一种基于IEC 61850的电力工业控制网络入侵检测方法及系统技术方案
An intrusion detection method and system for power industry control network based on IEC 61850
The invention discloses a IEC 61850 electric power industrial control network intrusion detection method and system based on access control protocol, including detection, detection, white list based on model and detection based on multi parameter detection. The access control can prevent and control the server to detect malicious software attacks and communication activities, in the initial stage of infection is particularly effective; white list detection can detect protocol substation control layer and a process layer network protocol traffic and abnormal alarm; abnormal behavior detection method based on model has found the station control layer and process layer network malicious attacks or unintended abnormal potential; detection based on multi parameter identification due to unintentional misuse of internal or external malicious attacks against industrial control systems may threaten by the most sensitive parameter monitoring of intelligent substation. The method is validated by simulating the network physical test platform of the actual 500kV intelligent transformer substation, and the real time and availability of the intrusion detection method are confirmed.
【技术实现步骤摘要】
一种基于IEC61850的电力工业控制网络入侵检测方法及系统
本专利技术属于工业控制系统网络信息安全
,尤其涉及一种基于IEC61850的电力工业控制网络入侵检测方法及系统。
技术介绍
工业控制系统是以计算机为基础的生产过程控制与调度自动化系统,它可以对现场的运行设备进行监视和控制,在电力、石油、化工等关键基础设施的工业控制系统中发挥着重要作用。随着工业控制系统的复杂性和互连性不断增加,恶意网络攻击的可能性也大幅增加。遵循传统通信协议的工业控制网络,在设计之初对网络安全威胁的考虑往往不足。不断发展的工业控制系统可能被恶意攻击者或心怀不满的内部员工视为攻击的重点目标,在未经授权的情况下利用系统脆弱点实现非法访问和控制。这种入侵可能是一些简单或高级持续的攻击,并可能危及工业控制系统的安全稳定运行。国内外工业界和学术界对电力工控系统网络安全问题愈加重视并更加关注,电力工业控制系统网络信息安全问题已经成为关系电力系统安全、可靠和稳定运行的工程实际问题。随着新的信息安全威胁的出现,已有的针对一般IT安全的方法,与基于IEC61850标准的电力工控系统的运行场景不能完全兼容。例如,传统的IT安全设备如防火墙、入侵检测系统(IDS)一般是无法解释这种通信的应用层数据。虽然IEC62351标准为基于IEC61850协议的网络安全规定定义了一个框架,但厂家一般不会对其智能电子设备(IED)实施适当的防护。在厂商响应速度缓慢的情况下,电网公司如何应对安全漏洞,使其能够检测和减轻再次出现的威胁成为亟待解决的问题。然而,现阶段的入侵检测方法还不能解决这类问题。目前已经发布的...
【技术保护点】
一种基于IEC 61850的电力工业控制网络入侵检测方法,其特征在于,包括:ACD访问控制检测:用于在初始感染阶段,防止试图与控制服务器通信的恶意软件活动和攻击;其包括从捕获的报文中提取目的和源IP地址、目的和源MAC地址或端口,并与预先建立的访问控制白名单进行比较,如果所述IP地址、MAC地址或端口不属于所述的访问控制白名单,则视为可疑的IP地址、MAC地址或端口;如果属于所述的访问控制白名单,则视为正常的IP地址、MAC地址或端口;PWD协议白名单检测:用于检测变电站站控层网络和过程层网络中的异常协议流量并告警;其包括对站控层网络和过程层网络的支持的各种协议进行设置,所述各种协议包括MMS、COTP、TPKT、SNTP、GOOSE、SMV和IEEE 1588;对于所述站控层网络,仅允许符合MMS、COTP、TPKT或SNTP协议的通信业务,否则将认为是可疑通信而生成告警信息;对于所述过程层网络,只允许GOOSE、SV或IEEE 1588流量,否则将认为是可疑流量而生成告警信息;MBD基于模型的检测:用于检测站控层网络和过程层网络中恶意攻击或无意异常的行为;其包括分析SCD文件和IE...
【技术特征摘要】
1.一种基于IEC61850的电力工业控制网络入侵检测方法,其特征在于,包括:ACD访问控制检测:用于在初始感染阶段,防止试图与控制服务器通信的恶意软件活动和攻击;其包括从捕获的报文中提取目的和源IP地址、目的和源MAC地址或端口,并与预先建立的访问控制白名单进行比较,如果所述IP地址、MAC地址或端口不属于所述的访问控制白名单,则视为可疑的IP地址、MAC地址或端口;如果属于所述的访问控制白名单,则视为正常的IP地址、MAC地址或端口;PWD协议白名单检测:用于检测变电站站控层网络和过程层网络中的异常协议流量并告警;其包括对站控层网络和过程层网络的支持的各种协议进行设置,所述各种协议包括MMS、COTP、TPKT、SNTP、GOOSE、SMV和IEEE1588;对于所述站控层网络,仅允许符合MMS、COTP、TPKT或SNTP协议的通信业务,否则将认为是可疑通信而生成告警信息;对于所述过程层网络,只允许GOOSE、SV或IEEE1588流量,否则将认为是可疑流量而生成告警信息;MBD基于模型的检测:用于检测站控层网络和过程层网络中恶意攻击或无意异常的行为;其包括分析SCD文件和IEC61850报文内容,并将检测的报文与使用协议分析定义的正常行为模型进行比较,如果出现违反任何正常行为模型的情形,将生成告警并记录检测结果;MPD基于多参数的检测:用于通过监测智能变电站的参数来识别由于内部无意误用或外部恶意攻击而导致的威胁;其包括对来自站控层网络和过程层网络的遥测数据和遥信数据进行的检测,通过同源比对识别异常数据,当同源数据不一致时,视为异常数据;具体为遥信比较检测和遥测比较检测。2.根据权利要求1所述的基于IEC61850的电力工业控制网络入侵检测方法,其特征在于,所述ACD访问控制检测中,建立的访问控制白名单包括数据链路层中的MAC地址、网络层中的IP地址和传输层端口的访问控制白名单。3.根据权利要求1所述的基于IEC61850的电力工业控制网络入侵检测方法,其特征在于,所述ACD访问控制检测中,对所述视为可疑的IP地址、MAC地址或端口,还将采取预设的动作,其具体为:在IDS模式下发出警报,在IPS模式下阻止,并记录检测结果;如下式(1):其中,AC=MACsrc,MACdst,IPsrc,IPdst,Portsrc,Portdst,ACwl表示建立的访问控制白名单;MACsrc,MACdst,IPsrc,IPdst,Portsrc,Portdst分别表示源MAC地址和目的MAC地址,源IP地址和目的IP地址,以及源端口和目的端口;每个主机或设备都有唯一的<IP,MAC>匹配;如果智能电子设备没有被新的装置替换,但如果两个或多个MAC地址对应相同的IP地址,即判断为发生欺骗攻击。4.根据权利要求1所述的基于IEC61850的电力工业控制网络入侵检测方法,其特征在于,所述对站控层网络进行的MBD基于模型的检测具体为:在站控层网络中,基于映射到MMS的ACSI或SNTP建立正常行为模型,如果违反任何正常行为模型,将生成告警并记录检测结果;所述正常行为模型的建立如下:a)报告服务模型在SCD文件中,已配置每个智能电子设备的可实例化报告控制块的最大数量;所提出的报告服务模型将每个智能电子设备的可实例化报告控制块的最大数目定义为检测规则;如果识别可能占用智能电子设备的所有可实例化报告控制块的异常连接请求,则告警可疑拒绝服务DoS攻击并记录检测结果;b)关联服务模型关联服务模型定义了可连接的IEC61850客户端的最大数量;如果检测到对客户端的异常连接请求,则产生告警并记录检测结果;c)设置服务模型设置服务模型定义仅允许IEC61850客户端修改设置,如果违反该定义,将发出告警信息。d)文件传输模型ACSIGetFile服务由客户端用于将文件的内容从服务器传输到客户端,客户端使用ACSIGetFileAttributeValues服务来获取服务器文件存储中的特定文件的名称和属性,文件传输模型定义了IEC61850客户端只能传输单个文件,如果违反此定义,将生成告警并记录检测结果;e)SNTP模型在变电站网络中,SNTP用于通过LAN通信实现时间同步,SNTP流量在传输层采用用户数据报协议,在SNTP流量方面,到IEC61850服务器的用户数据报协议连接的端口号应为<123>,如果SNTP流量的端口号不是<123>,将触发告警并将结果保存在日志文件中;f)时间相关模型重要的控制命令具有时间相关的约束,该约束包括时间间隔限制和频率限制,如果相同的合法命令发送太频繁,则违反式(2)(3)规则,在每种情况下,将启动一些告警和日志动作:CV(n)-CV(n-1)<T→Actions(alert,log)(2)式(2)中CV是控制命令,n是正整数(n>1),并且T是时间间隔的极限;式(3)中F表示频率限制。5.根据权利要求1所述的基于IEC61850的电力工业控制网络入侵检测方法,其特征在于,所述对过程层网络进行的MBD基于模型的检测具体为:在过程层网络中,基于GOOSE和SMV协议规范建立所述正常行为模型,如果违反任何正常行为模型,将生成告警并记录检测结果;GOOSEAPDU具有十二个字段为gocbRef,timeAllowedToLive,datSet,goID,t,StNum,SqNum,test,confRev,ndsCom,numDatSetEntries和allData;根据IEC61850-9-2、SMV数据报在数据链路层中采用ISO/IEC8802-3;SVAPDU具有svID,smpCnt,confRev,smpSynch和seqData五个字段,所述正常行为模型定义如下:a)目的地址模型在SCD文件<Communication>→<SubNetwork>→<ConnectedAP>中配置目的ISO/IEC8802-3多播地址用于传输GOOSE/SMV;GOOSE报文和SMV报文的目的地址字段分别以四个八位字节01-0C-CD-01和01-0C-CD-04开始。GOOSE和SMV的目的地地址如式(4)和(5):式(4)中P是过程层网络中捕获的报文,PGOOSE表示GOOSE报文,DstAField表示ISO/IEC8802-3帧格式中的目的地址字段的值;式(5)中PSMV表示SMV报文;b)TPID字段模型标签协议标识符字段2个八位字节显示为802.1Q以太网编码帧分配的以太网类型;GOOSE/SMV报文中的TPID字段的值应为0x8100,即其中TPIDField表示TPID字段的值,并且PGOOSE/SMV表示GOOSE或SMV报文;c)EtherType字段模型ISO/IEC8802-3的EtherType字段2个字节由IEEE授权机构注册,GOOSE和SMV的分配的EtherType值分别是0x88B8和0x88BA,即式(7)(8):其中EthTField是EtherType字段的值;d)优先级域模型定义GOOSE和SMV报文的优先级值,GOOSE/SMV的默认值为4,同时在SCD文件中配置,优先级值应该从0到7,即式(9):式(9)中PrioField是用户优先级字段的值;e)APPID字段模型每个GOOSE/SMV控制块在SCD文件中具有唯一的APPID,GOOSE报文的APPID字段2个八位字节是4位十六进制[0000-3FFF],并且SMV报文的字段是[4000-7FFF],如式(10)和(11):f)长度模型GOOSE/SMV报文的长度字段2个八位字节指定从APPID到APDU开始的帧中的字节总数,其等于8+m,其中,m是APDU的长度,m<1492,长度字段模型如式(12):其中LengField是长度字段的值;GOOSEAPDU中的goOD字段的长度小于65字节,即式(13),
【专利技术属性】
技术研发人员:杨毅,
申请(专利权)人:江苏省电力试验研究院有限公司,国家电网公司,国网江苏省电力公司电力科学研究院,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。