本发明专利技术公开了一种基于通信时延与安全性评估的工控系统网络攻击溯源方法,包括:S1、确定潜在攻击源地址列表L;S2、向L中所有节点发送网络状态反馈请求,若有节点网络连接断开,或预设次数请求后未收到反馈,则判为攻击源,否则转S3;S3、向L中所有节点发送系统运行状态信息反馈请求;S4、根据系统运行状态信息进行安全性评估,将安全度最低的节点作为攻击源;S5、向L中所有节点发送系统监管日志信息反馈请求;S6、根据系统监管日志信息进行安全性评估,则将安全度最低的节点作为攻击源;S7、输出与L中节点直连的交换机信息或路由器信息列表,用于非法外接终端排查。该方法实现了潜在攻击源的全面覆盖,对攻击源的准确定位。
【技术实现步骤摘要】
基于通信时延与安全性评估的工控系统网络攻击溯源方法
本专利技术属于智能电网安全
,具体涉及一种基于通信时延与安全性评估的工控系统网络攻击溯源方法。
技术介绍
网络攻击溯源可以帮助电力工控系统采取合适的防御策略,从源头处阻断攻击,最大程度上使电力工控系统摆脱攻击的威胁。目前,缺乏针对电力基于通信时延与安全性评估的工控系统网络攻击溯源的相关研究。由于电力工控系统中实时控制业务具有高实时性要求、部分通信协议无TCP/IP层的特点,针对传统信息网络的网络攻击溯源方法无法适用。
技术实现思路
本专利技术的目的在于提供一种基于通信时延与安全性评估的工控系统网络攻击溯源方法,以解决如何有效地对电力工控系统网络攻击进行追溯,以确定攻击源的问题。本专利技术解决其技术问题所采用的技术方案是:一种基于通信时延与安全性评估的工控系统网络攻击溯源方法,包括以下步骤:S1、确定所有潜在攻击源,根据所有潜在攻击源,确定潜在攻击源地址列表L,所述潜在攻击源包括攻击报文,所有和攻击报文具有相同时延特征的报文,以及和捕获攻击报文的传输设备直接相连的终端;S2、向L中所有节点发送网络状态反馈请求,若有节点网络连接断开,或预设次数请求后未收到反馈,则判为攻击源,否则转至S3;S3、向L中所有节点发送系统运行状态信息反馈请求;S4、根据系统运行状态信息进行安全性评估,得到一级安全度列表,若存在安全度低于第一预设阈值的节点,则将安全度最低的节点作为攻击源,否则转至S5;S5、向L中所有节点发送系统监管日志信息反馈请求;S6、根据系统监管日志信息进行安全性评估,得到二级安全度列表,若存在安全度低于第二预设阈值的终端节点,则将安全度最低的节点作为攻击源,否则,转至S7;S7、输出与L中节点直连的交换机信息或路由器信息列表,用于非法外接终端的排查。进一步地,所述步骤S1,包括:S1.1、初始化潜在攻击源地址列表L;当攻击报文为非以太网帧,则转至S1.3;当攻击报文为以太网帧但没有IP头部,则将攻击报文中的源MAC地址加入L;当报文为以太网帧且有IP头部,将源IP地址对应的设备MAC地址加入L;S1.2、获取所有与捕获点直接相连的非传输设备的MAC地址,并加入L;S1.3、获取攻击报文的时间标签,计算攻击报文的时延信息,若无时间标签,则转S1.5S1.4、根据所述时延信息,获取所有具有相同时延特征节点的MAC地址,作为第二攻击源地址列表,若第二攻击源地址列表不为空,则加入L,S1结束;若二攻击源地址列表为空,则转至S1.5;S1.5、将L更新为所有与攻击捕获点处于同一网络的终端MAC地址列表。进一步地,所述系统运行状态信息包括:CPU利用率、内存利用率、交换分区利用率、磁盘利用率与进程数量中任意一种或多种。进一步地,所述系统监管日志信息包括:文件增删改记录和/或进程详细信息。本专利技术的有益效果是:将和攻击报文具有相同时延特征的报文,以及和捕获攻击报文的传输设备直接相连的终端,作为潜在攻击源,实现了潜在攻击源的全面覆盖,避免遗漏。根据网络连接状态反馈、系统运行状态信息反馈以及系统监管日志信息反馈,逐层级的对攻击源进行追溯,能够实现对攻击源的准确定位。附图说明下面将结合附图及实施方式对本专利技术作进一步说明,附图中:图1为本专利技术实施例提供的基于通信时延与安全性评估的工控系统网络攻击溯源方法流程图;图2为本专利技术实施例提供的基于通信时延与安全性评估的工控系统网络攻击溯源方法应用场景图;图3为本专利技术另一实施例提供的基于通信时延与安全性评估的工控系统网络攻击溯源方法流程图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术的一部分实施例,而不是全部的实施例。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术实施例提供的基于通信时延与安全性评估的工控系统网络攻击溯源方法流程图,如图1所示,本专利技术实施例提供一种基于通信时延与安全性评估的工控系统网络攻击溯源方法,包括以下步骤:S1、确定所有潜在攻击源,根据所有潜在攻击源,确定潜在攻击源地址列表L,所述潜在攻击源包括攻击报文,所有和攻击报文具有相同时延特征的报文,以及和捕获攻击报文的传输设备直接相连的终端。图2为本专利技术实施例提供的基于通信时延与安全性评估的工控系统网络攻击溯源方法应用场景图,如图2所示,表示了一种针对电网嵌入式终端可能遭受的网络攻击场景。首先,攻击者将恶意代码植入运维人员设备上。之后,当运维人员将该设备连入变电站站控层网络进行运维时,通过该设备作为“跳板”,利用电网嵌入式终端即测控终端存在的漏洞向一个终端中植入恶意代码;该恶意代码可以通过篡改网络上传输的GOOSE控制报文的数据字段,实现对与该终端处于同一VLAN的其它终端所控制的断路器开断操作;最后,该恶意程序通过不断篡改控制报文实现多个断路器多次同时开/断,从而达到对电网造成持续性破坏的目的。入侵检测系统(intrusiondetectionsystem,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。通过IDS检测到攻击报文后,提供的网络攻击相关信息,以此确定潜在攻击源。本实施例中可以设置一台服务器,或利用现有服务器作为网络攻击溯源主机,用来执行该方法。考虑到攻击报文的时延特征,本实施例中将具有相同时延特征的报文,也作为潜在攻击源进行考虑。相同时延特征可根据预设的区间确定,例如,(0,0.2ms]为一个区间,该区间内都作为相同特征。同时,还需考虑和捕获攻击报文的传输设备直接相连的终端。例如,根据这些潜在攻击源的源MAC地址、目的MAC地址,确定最终的攻击源地址列表L。S2、向L中所有节点发送网络状态反馈请求,若有节点网络连接断开,或预设次数请求后未收到反馈,则判为攻击源,否则转至S3。通知列表L中所有可疑节点向网络攻击溯源主机反馈当前网络连接状况,若网络攻击溯源主机在tMAX时间仍未收到某个可疑节点的网络连接状况,则重新向该节点发送通知命令,预设次数(如三次)后仍未收到,则判定该可疑节点所在位置为攻击源位置,此时,攻击设备为非法终端,根据预置的网络拓扑图,输出该节点接入的传输设备MAC地址及端口号作为攻击源的位置,网络攻击溯源结束。若某个可疑节点与IDS提供的攻击捕获点位置所在网络的连接断开,则判定该可疑节点所在位置为攻击源位置,此时,攻击设备为非法终端,输出该节点接入的传输设备MAC地址及端口号作为攻击源的位置,网络攻击溯源结束。如果网络攻击溯源主机收到所有可疑节点的网络连接状况,且所有可疑节点的网络连本文档来自技高网...
【技术保护点】
1.一种基于通信时延与安全性评估的工控系统网络攻击溯源方法,其特征在于,包括以下步骤:/nS1、确定所有潜在攻击源,根据所有潜在攻击源,确定潜在攻击源地址列表L,所述潜在攻击源包括攻击报文,所有和攻击报文具有相同时延特征的报文,以及和捕获攻击报文的传输设备直接相连的终端;/nS2、向L中所有节点发送网络状态反馈请求,若有节点网络连接断开,或预设次数请求后未收到反馈,则判为攻击源,否则转至S3;/nS3、向L中所有节点发送系统运行状态信息反馈请求;/nS4、根据系统运行状态信息进行安全性评估,得到一级安全度列表,若存在安全度低于第一预设阈值的节点,则将安全度最低的节点作为攻击源,否则转至S5;/nS5、向L中所有节点发送系统监管日志信息反馈请求;/nS6、根据系统监管日志信息进行安全性评估,得到二级安全度列表,若存在安全度低于第二预设阈值的终端节点,则将安全度最低的节点作为攻击源,否则,转至S7;/nS7、输出与L中节点直连的交换机信息或路由器信息列表,用于非法外接终端的排查。/n
【技术特征摘要】
1.一种基于通信时延与安全性评估的工控系统网络攻击溯源方法,其特征在于,包括以下步骤:
S1、确定所有潜在攻击源,根据所有潜在攻击源,确定潜在攻击源地址列表L,所述潜在攻击源包括攻击报文,所有和攻击报文具有相同时延特征的报文,以及和捕获攻击报文的传输设备直接相连的终端;
S2、向L中所有节点发送网络状态反馈请求,若有节点网络连接断开,或预设次数请求后未收到反馈,则判为攻击源,否则转至S3;
S3、向L中所有节点发送系统运行状态信息反馈请求;
S4、根据系统运行状态信息进行安全性评估,得到一级安全度列表,若存在安全度低于第一预设阈值的节点,则将安全度最低的节点作为攻击源,否则转至S5;
S5、向L中所有节点发送系统监管日志信息反馈请求;
S6、根据系统监管日志信息进行安全性评估,得到二级安全度列表,若存在安全度低于第二预设阈值的终端节点,则将安全度最低的节点作为攻击源,否则,转至S7;
S7、输出与L中节点直连的交换机信息或路由器信息列表,用于非法外接终端的排查。
2.根据权利要求1所述的基于通信时延与安全性评估的工控系统网络攻击溯源方法,其特征在于,所述步骤S1,包括:
【专利技术属性】
技术研发人员:王宇,李俊娥,黄桂容,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。