本发明专利技术公开了一种基于IEC60870‑5‑104协议的SCADA网络入侵检测方法及系统,包括基于特征的入侵检测过程和基于模型的入侵检测过程;基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警,并存储到日志文件中;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警,并存储到日志文件中。本发明专利技术能够有效提高基于IEC/104协议的SCADA系统的网络安全性。
【技术实现步骤摘要】
基于IEC60870-5-104协议的SCADA网络入侵检测方法及系统
本专利技术涉及工业控制系统网络信息安全
,特别是涉及基于IEC60870-5-104协议的SCADA网络入侵检测方法及系统。
技术介绍
监控和数据采集系统(SCADA)是以计算机为基础的生产过程控制与调度自动化系统,它可以对现场的运行设备进行监视和控制,在电力、石油、化工等关键基础设施的工业控制系统中发挥着重要作用。随着工业SCADA系统的复杂性和互连性不断增加,同时也增大了恶意网络攻击的可能性。遵循传统通信协议的工业控制网络,在设计之初对网络安全威胁的考虑往往不足。不断发展的SCADA系统可能被恶意攻击者或心怀不满的内部员工视为攻击的重点目标,在未经授权的情况下利用系统脆弱点实现非法访问和控制。这种入侵可能是一些简单或高级持续的攻击,并可能危及工业控制系统的安全稳定运行。例如:2015年12月乌克兰遭受恶意攻击导致电网发生大停电事件。国内外工业界和学术界对工控系统网络安全问题愈加重视并更加关注,SCADA系统网络信息安全问题已经成为关系电力、石油、化工等系统安全、可靠和稳定运行的工程实际问题。目前,在电力SCADA系统中存在许多开放的国际标准。例如分布式网络协议(DNP3),IEC60870-5系列和IEC61850等标准。其中IEC60870-5-104(下文简称“IEC/104”)传输协议特别为基于TCP/IP的60870-5-101协议作为网络接入服务,可以实现控制中心和变电站之间的基本远动任务。IEC/104协议已广泛应用于欧洲、中国和其他非美国家的SCADA系统。IEC/104协议在增强性能架构(EPA)模型的基础上增加了传输层和网络层,属于应用层协议。基于TCP/IP的应用层协议具有相应的端口号。IEC/104协议的标准端口号为<2404>。IEC/104协议的应用层传输应用服务数据单元(ASDU)。因为传输接口没有定义IEC60870-5-101的应用服务数据单元的开始或停止机制,IEC/104协议定义了应用协议控制信息(APCI)用于检测ASDU的开始和结束。APCI包括起始字符(68H)、APDU的长度字段和控制字段。APCI与ASDU组合构成应用协议数据单元(APDU)。APDU的最大长度为253字节,控制字段的长度为4字节。三种类型的控制字段格式是I格式,S格式和U格式,I格式用于执行编号信息传输,S格式是编号监控函数和U格式是未编号的控制函数。由于传统系统中有限的计算资源,以及缺乏内置的安全考虑,传统IT安全方案可能在使用IEC/104的SCADA系统中失效,目前传统工业控制SCADA系统缺乏网络安全入侵检测系统。
技术实现思路
专利技术目的:本专利技术的目的是提供一种能够在使用IEC/104的SCADA系统中使用的基于IEC60870-5-104协议的SCADA网络入侵检测方法及系统。技术方案:本专利技术所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,所述方法包括:确定待检测的报文;检测报文中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程,其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;将检测发现的异常行为记录到日志文件中,并显示为告警信息。进一步,所述确定待检测的报文包括:在线捕获网口流入的数据包或离线导入PCAP数据报文。进一步,在所述检测报文中是否包含异常行为之前,进一步包括,对所述待检测报文进行解析和处理。进一步,所述基于特征的入侵检测过程中,攻击特征的规则数据库包括以下检测规则:1)控制中心的客户端与服务器之间已建立的连接被劫持或者欺骗;2)服务器发送虚假报文,影响控制服务器以及调度人员的判断;3)未经授权的客户端从现场设备读取信息;4)未经授权的客户端向服务器发出询问命令;5)未授权客户端向服务器发出遥控或者遥调命令;6)通过发送带类型标识69H的命令,强制服务器重置进程;7)向服务器网络发送广播请求包;8)报文长度超过正常报文长度。进一步,所述基于模型的入侵检测过程中,所述表征特定协议预期行为的模型包括以下几种:1)类型标识模型:所述类型标识模型中有256个可能的值,其中,数字0无效,数字1-127的类型标识值已定义,数字128-255的类型标识值未定义;2)传输原因模型:所述传输原因模型中的传输原因字段有64个可能的值,其中,数字0未定义,数字14-19和42-63为保留值,传输原因值定义在1-13和20-41范围内;3)长度字段模型:所述长度字段模型中长度字段值的范围是4-253;4)关联模型:所述关联模型中的类型标识字段数值与传输原因字段数值相匹配;5)基于流量模式的模型:所述基于流量模式的模型中,从客户端发送TCP初始化连接请求到服务器,TCP初始化连接到服务器的端口号为2404,服务器的TCP连接包括授权的客户端。本专利技术所述的基于IEC60870-5-104协议的SCADA网络入侵检测系统,包括:数据采集模块:用于确定待检测的报文;检测规则模块:用于检测数据包中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程;其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;检查结果输出模块:用于将检测发现的异常行为记录到日志文件中,并显示为告警信息。进一步,数据采集模块用于在线捕获网口流入的数据包或者离线导入PCAP数据报文。进一步包括数据处理模块,所述数据处理模块包括包解码器和预处理器,所述包解码器用于对数据包进行解码,所述预处理器对所述解码后的数据包进行处理,所述处理包括对分片的数据包进行重新组装以及处理明显的错误。进一步,所述检验规则模块包括Snort配置文件、用户自定义规则库和检测引擎;所述检测过程通过Snort规则实现。进一步,所述Snort配置文件包括规则头和规则选项;其中,规则头包括规则的响应、协议、源IP、源端口、方向、目的IP和目的端口;规则选项包括告警内容。有益效果:本专利技术公开了一种基于IEC60870-5-104协议的SCADA网络入侵检测方法,其中,基于特征的入侵检测过程能够检测已知的恶意攻击和可疑威胁,也能够识别攻击的来源,预防未来的入侵。基于模型的入侵检测过程是对基于特征的入侵检测过程的有效补充,通过监视SCADA系统中使用IEC/104协议的设备的通信行为,可以检测未知攻击和零日漏洞攻击。本专利技术还公开了一种基于IEC60870-5-104协议的SCADA网络入侵检测系统。本专利技术能够有效提高基于IEC/104协议的SCADA系统的网络安全性。附图说明图1为本专利技术具体实施方式的方法的流程图;图2为本专利技术具体实施方式的系统的框图。具体实施方式下面结合附图和具体实施方式,对本专利技术的技术方案作进一步的介绍。本具体实施方式公开了一种基于IEC60870-5-104本文档来自技高网...
【技术保护点】
基于IEC60870‑5‑104协议的SCADA网络入侵检测方法,其特征在于,所述方法包括:确定待检测的报文;检测报文中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程,其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;将检测发现的异常行为记录到日志文件中,并显示为告警信息。
【技术特征摘要】
1.基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于,所述方法包括:确定待检测的报文;检测报文中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程,其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;将检测发现的异常行为记录到日志文件中,并显示为告警信息。2.根据权利要求1所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于:所述确定待检测的报文包括:在线捕获网口流入的数据包或离线导入PCAP数据报文。3.根据权利要求1所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于:在所述检测报文中是否包含异常行为之前,进一步包括,对所述待检测报文进行解析和处理。4.根据权利要求1所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于:所述基于特征的入侵检测过程中,攻击特征的规则数据库包括以下检测规则:1)控制中心的客户端与服务器之间已建立的连接被劫持或者欺骗;2)服务器发送虚假报文,影响控制服务器以及调度人员的判断;3)未经授权的客户端从现场设备读取信息;4)未经授权的客户端向服务器发出询问命令;5)未授权客户端向服务器发出遥控或者遥调命令;6)通过发送带类型标识69H的命令,强制服务器重置进程;7)向服务器网络发送广播请求包;8)报文长度超过正常报文长度。5.根据权利要求1所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于:所述基于模型的入侵检测过程中,所述表征特定协议预期行为的模型包括以下几种:1)类型标识模型:所述类型标识模型中有256个可能的值,其中,数字0无效,数字1-127的类型标识值已定义,数字128-255的类型标识值未定义;2)传输原因模型:所述传输原因模型中的传输原因字段有64个可能的值,其中,数字0未定义,数字14-19和42-63为...
【专利技术属性】
技术研发人员:杨毅,高磊,袁宇波,黄伟,姜海涛,王琦,李天然,徐毅凯,居佳琪,
申请(专利权)人:江苏省电力试验研究院有限公司,国家电网公司,国网江苏省电力公司电力科学研究院,南京师范大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。