調(diào)度自動化系統(tǒng)入侵檢測技術(shù)研究

陳飛

(云南電力調(diào)度控制中心，昆明 650011)

調(diào)度自動化系統(tǒng)入侵檢測技術(shù)研究

陳飛

(云南電力調(diào)度控制中心，昆明 650011)

在調(diào)度自動化系統(tǒng)研究應(yīng)用入侵檢測技術(shù)能有效發(fā)現(xiàn)系統(tǒng)潛在的信息安全隱患，保障系統(tǒng)安全。本文針對互聯(lián)網(wǎng)信息系統(tǒng)與調(diào)度自動化系統(tǒng)的差異，總結(jié)了調(diào)度自動化系統(tǒng)遠動通信的特點，研究了系統(tǒng)的通信規(guī)約，設(shè)計了系統(tǒng)的入侵檢測技術(shù)。

調(diào)度自動化系統(tǒng)；入侵檢測；模式識別；遠動規(guī)約

0 前言

調(diào)度自動化系統(tǒng)是電力系統(tǒng)監(jiān)視與控制的硬件及軟件的總稱，主要包括數(shù)據(jù)采集與監(jiān)控(SCADA)、自動發(fā)電控制與經(jīng)濟調(diào)度控制 (AGC/ EDC)、電力系統(tǒng)狀態(tài)估計與安全分析 (SE/SA)和調(diào)度員模擬培訓(xùn) (DTS)等[1]。

各級電網(wǎng)企業(yè)按照國家和行業(yè)的要求投入了大量資源對調(diào)度自動化系統(tǒng)進行了信息安全防護[2]。在傳統(tǒng)的調(diào)度自動化系統(tǒng)信息安全防護當中，網(wǎng)絡(luò)加密、網(wǎng)絡(luò)隔離、訪問控制、身份鑒別、防病毒等信息安全技術(shù)得到了大量的應(yīng)用[3-4]。

隨著網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)的發(fā)展和演繹，入侵檢測技術(shù)作為一種主動防御方法受到關(guān)注[5]。目前，國內(nèi)大部分信息安全廠商均推出專門的入侵檢測設(shè)備，在其防火墻產(chǎn)品中集成了入侵檢測模塊[6]。

在目前的調(diào)度自動化系統(tǒng)安全防護體系當中，入侵檢測系統(tǒng)作為一種重要的信息安全防護手段，主要部署在系統(tǒng)的數(shù)據(jù)出口。然而，傳統(tǒng)的入侵檢測設(shè)備主要面向互聯(lián)網(wǎng)信息系統(tǒng)，調(diào)度自動化系統(tǒng)作為電力企業(yè)的實時數(shù)據(jù)采集監(jiān)控系統(tǒng)，有別于互聯(lián)網(wǎng)信息系統(tǒng)，主要表現(xiàn)在如下方面：

1)系統(tǒng)提供的服務(wù)不同。[7]。調(diào)度自動化系統(tǒng)由數(shù)據(jù)采集終端以及集中處理主站組成，主要為電網(wǎng)的運行提供數(shù)據(jù)監(jiān)視及自動發(fā)電控制(AGC)、自動電壓控制 (AVC)等控制及高級應(yīng)用等服務(wù)。

2)業(yè)務(wù)數(shù)據(jù)規(guī)約及格式不同。系統(tǒng)提供服務(wù)的差異導(dǎo)致業(yè)務(wù)數(shù)據(jù)規(guī)約及格式的差異，互聯(lián)網(wǎng)信息系統(tǒng)根據(jù)其提供的服務(wù)不同采用多種的數(shù)據(jù)網(wǎng)絡(luò)層及應(yīng)用層通信規(guī)約，而調(diào)度自動化系統(tǒng)為專有信息系統(tǒng)，采用專有或私有協(xié)議較多。在電力調(diào)度自動化系統(tǒng)的采集通道，業(yè)務(wù)數(shù)據(jù)為遠動信息規(guī)約數(shù)據(jù)，格式遵從IEC60870或者電力企業(yè)通信標準，通信規(guī)約包括IEC-101和IEC-104等；在調(diào)度自動化系統(tǒng)的生產(chǎn)控制大區(qū)主站側(cè)內(nèi)部，業(yè)務(wù)數(shù)據(jù)通信大部分采用私有協(xié)議，數(shù)據(jù)的格式自定義；在調(diào)度自動化系統(tǒng)的管理信息大區(qū)，服務(wù)器提供的主要為WEB服務(wù)，數(shù)據(jù)格式遵從W3C標準。

圖1 調(diào)度自動化系統(tǒng)業(yè)務(wù)數(shù)據(jù)示意圖

3)業(yè)務(wù)實時性要求不同。調(diào)度自動化系統(tǒng)屬于實時生產(chǎn)控制系統(tǒng)，生產(chǎn)控制大區(qū)業(yè)務(wù)數(shù)據(jù)要求為秒級或者毫秒級。相比而言，互聯(lián)網(wǎng)信息系統(tǒng)的業(yè)務(wù)實時性要求較低。

有必要針對電力調(diào)度自動化系統(tǒng)的通訊特點進行研究，對系統(tǒng)的承載的業(yè)務(wù)數(shù)據(jù)進行剖析，對電力調(diào)度自動化系統(tǒng)的入侵檢測技術(shù)進行設(shè)計，以保障調(diào)度自動化系統(tǒng)的信息安全。

1 調(diào)度自動化系統(tǒng)數(shù)據(jù)通信

目前，調(diào)度自動化系統(tǒng)在生產(chǎn)控制大區(qū)通過多種方式進行數(shù)據(jù)通信，主要的通信方式包括如下四種，如圖2所示。

1)調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)通道。業(yè)務(wù)數(shù)據(jù)通過調(diào)度數(shù)據(jù)網(wǎng)進行數(shù)據(jù)傳輸，業(yè)務(wù)數(shù)據(jù)在傳輸?shù)倪^程中通過硬件化的設(shè)備進行加解密。

2)E/M(MODEM)方式模擬四線通道：業(yè)務(wù)數(shù)據(jù)通過模擬四線通道與主站側(cè)進行通信。

3)串口通道：業(yè)務(wù)數(shù)據(jù)通過串口如RS232、RS422/RS485等方式與調(diào)度自動化系統(tǒng)主站進行通信。

4)2M專線通道：業(yè)務(wù)數(shù)據(jù)通過2M光纖專線與調(diào)度自動化系統(tǒng)主站進行通信。

圖2 調(diào)度自動化系統(tǒng)架構(gòu)

業(yè)務(wù)數(shù)據(jù)通過控制區(qū)交換機進行集中匯集，其中，串口通道接入終端服務(wù)器轉(zhuǎn)換為以太網(wǎng)數(shù)據(jù)進行接入；調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)通道數(shù)據(jù)經(jīng)過縱向加密裝置解密還原之后進行接入。前置機和控制區(qū)交換機直接相連，對業(yè)務(wù)數(shù)據(jù)進行集中采集并轉(zhuǎn)發(fā)給系統(tǒng)的內(nèi)部服務(wù)器。調(diào)度自動化系統(tǒng)在生產(chǎn)控制大區(qū)主站側(cè)內(nèi)部主要部署的是數(shù)據(jù)庫服務(wù)器及高級應(yīng)用服務(wù)器，服務(wù)器之間的內(nèi)部通信采用私有協(xié)議為主。

調(diào)度自動化系統(tǒng)在生產(chǎn)控制大區(qū)進行數(shù)據(jù)采集之后，經(jīng)過處理運算之后得到系統(tǒng)運行數(shù)據(jù)，經(jīng)過數(shù)據(jù)隔離通道傳輸?shù)焦芾硇畔⒋髤^(qū)，最終通過WEB的方式進行發(fā)布。

2 遠動通信協(xié)議分析

盡管調(diào)度自動化系統(tǒng)在業(yè)務(wù)數(shù)據(jù)采集及控制通道的通信方式各異，然而其通信規(guī)約大部分一致。調(diào)度自動化系統(tǒng)在數(shù)據(jù)采集與控制領(lǐng)域多數(shù)采用IEC-101規(guī)約和IEC-104規(guī)約，IEC-101采用的是串口通信協(xié)議，IEC-104采用的是以太網(wǎng)通信。傳輸?shù)臄?shù)據(jù)主要包括四種：系統(tǒng)主站下發(fā)遙控及遙調(diào)指令，變電站向上傳送遙信和遙調(diào)數(shù)據(jù)[8]。

IEC-101與IEC-104規(guī)約都可用于調(diào)度自動化系統(tǒng)業(yè)務(wù)通信[9]，傳統(tǒng)上可以認為IEC-104是IEC-101規(guī)約的以太網(wǎng)版本，協(xié)議棧對應(yīng)關(guān)系如圖3所示[10]。

圖3 規(guī)約協(xié)議對應(yīng)關(guān)系

IEC-101在物理層面通過MAC地址進行尋找，IEC-104規(guī)約在網(wǎng)絡(luò)層面通過IP進行尋址。IEC-101規(guī)約和IEC-104規(guī)約在應(yīng)用層面類似，包括固定幀長和可變幀長類型的數(shù)據(jù)，數(shù)據(jù)格式如圖4所示[11]。

圖4 規(guī)約定義

控制域定義了保護報文不至丟失和重復(fù)傳送的控制信息，報文傳輸啟動/停止，以及傳輸連接的監(jiān)視等。應(yīng)用層數(shù)據(jù)中包含了應(yīng)用數(shù)據(jù)類型標識、可變結(jié)構(gòu)限定詞、傳輸原因、應(yīng)用層公共地址與、信息體地址、信息體等業(yè)務(wù)數(shù)據(jù)[12]。

3 入侵檢測技術(shù)

入侵檢測從數(shù)據(jù)處理的流程上看，可以分為4大處理流程：數(shù)據(jù)采集、數(shù)據(jù)過濾、檢測與分析、報警與響應(yīng)。

基于主機的入侵檢測系統(tǒng) (HIDS：Host-Based Intrusion Detection System)的數(shù)據(jù)來源主要為系統(tǒng)內(nèi)部的審計數(shù)據(jù)，通過這些數(shù)據(jù)分析、判斷各種異常的用戶行為及入侵事件[13]，這通常需要在系統(tǒng)主機上安裝入侵檢測的模塊，通過主機的入侵檢測模塊采集業(yè)務(wù)系統(tǒng)服務(wù)器上的數(shù)據(jù)。

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) (NIDS：Network-Based Intrusion Detection System)的數(shù)據(jù)來源為網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)報文及相關(guān)網(wǎng)絡(luò)會話，這通常需要廣播式的網(wǎng)絡(luò)并將數(shù)據(jù)采集的端口設(shè)置為混雜模式或者采用鏡像端口的方式[14]。

調(diào)度自動化系統(tǒng)主要運行電網(wǎng)運行高級應(yīng)用程序或者數(shù)據(jù)采集服務(wù)程序，出于系統(tǒng)可用性及安全性的考慮，服務(wù)器一般不安裝入侵檢測模塊。因此，調(diào)度自動化系統(tǒng)宜采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，通過在前置交換機以及調(diào)度自動化系統(tǒng)內(nèi)部核心交換機上配置鏡像端口的方式實現(xiàn)系統(tǒng)的數(shù)據(jù)采集。

入侵檢測系統(tǒng)的核心功能是數(shù)據(jù)的入侵檢測處理。在數(shù)據(jù)的檢測分析階段，入侵檢測系統(tǒng)將采集到的數(shù)據(jù)包進一步組成合理的會話數(shù)據(jù)，并根據(jù)數(shù)據(jù)的特點進行分析，數(shù)據(jù)的處理流程如圖5所示。

圖5 數(shù)據(jù)處理流程

入侵檢測系統(tǒng)將采集到的數(shù)據(jù)包進行重組以后，對數(shù)據(jù)包進行解析，獲取數(shù)據(jù)包的IP、協(xié)議號、端口、應(yīng)用層數(shù)據(jù)，并將數(shù)據(jù)包發(fā)送至入侵檢測規(guī)則庫進行規(guī)制檢查，對可疑的入侵行為進行報警。

入侵檢測算法從技術(shù)上可以分為誤用檢測和異常檢測?；貧w入侵檢測技術(shù)的本質(zhì)，可以將其視為數(shù)據(jù)分類的問題。數(shù)據(jù)分類技術(shù)是指通過設(shè)計分類器實現(xiàn)數(shù)據(jù)分類的方法，經(jīng)典的模式識別算法均可以用于數(shù)據(jù)分類，如神經(jīng)網(wǎng)絡(luò)算法、支持向量機算法、樸素貝葉斯算法、K-近鄰算法和決策樹算法等[15]。

K最近鄰分類算法是一個理論上比較成熟，復(fù)雜度較低的算法。其基本思想是：在一個樣本空間中，一個樣本屬于某個類別，如果其K個最鄰近樣本中的大多數(shù)屬于該類別[16]。調(diào)度自動化系統(tǒng)的入侵檢測算法可采用該種算法，通過采集到的業(yè)務(wù)數(shù)據(jù)對入侵檢測系統(tǒng)進行訓(xùn)練，之后將訓(xùn)練得的模式庫對采集到的數(shù)據(jù)進行匹配，以判斷是否有入侵的行為。

協(xié)議分析和處理是調(diào)度自動化系統(tǒng)可以采用的另一種入侵檢測技術(shù)，其主要對通信協(xié)議進行解析，根據(jù)數(shù)據(jù)協(xié)議中的格式或者特殊字段進行檢查，并根據(jù)數(shù)據(jù)包中的命令字段進行詳細分析以判斷是否有入侵行為，用到的技術(shù)主要包括字符串匹配和文本檢索。

字符串匹配技術(shù)通過在業(yè)務(wù)數(shù)據(jù)中查找相應(yīng)數(shù)據(jù)實現(xiàn)入侵檢測，可用到的算法包括KMP算法，BM單模式匹配算法。文本檢索是指從一個文本信息集合中找出滿足用戶需求的文本的過程，文本檢索主要使用自然語言處理的方法實現(xiàn)。

4 結(jié)束語

本文主要對調(diào)度自動化系統(tǒng)中的入侵檢測技術(shù)進行了討論。論文首先分析了調(diào)度自動化系統(tǒng)與互聯(lián)網(wǎng)信息系統(tǒng)的異同，其次分析了調(diào)度自動化系統(tǒng)中業(yè)務(wù)的業(yè)務(wù)通信，剖析對業(yè)務(wù)的通信規(guī)約，最后對調(diào)度自動化系統(tǒng)的入侵檢測技術(shù)進行了研究討論。電力調(diào)度自動化系統(tǒng)是重要的基礎(chǔ)設(shè)施，入侵系統(tǒng)能有效的對電力通信規(guī)約進行應(yīng)用層的解析及檢測，發(fā)現(xiàn)系統(tǒng)潛在的安全風險，保障系統(tǒng)的信息安全。

[1] 孫浩.新一代調(diào)度自動化系統(tǒng)的設(shè)計與實現(xiàn) [D].山東：山東大學(xué)，2008.

[2] 焦偉.電力調(diào)度自動化網(wǎng)絡(luò)安全防護系統(tǒng)的研究與實現(xiàn)[D].北京：華北電力大學(xué)，2014.

[3] 王喜賀.電力調(diào)度自動化網(wǎng)絡(luò)安全與實現(xiàn) [D].山東：山東大學(xué)，2009.

[4] 陳玉平.電力調(diào)度自動化二次系統(tǒng)安全防護初探 [J].自動化技術(shù)與應(yīng)用，2009，28(8)：132-134.

[5] 隋新，楊喜權(quán)，陳棉書，等.入侵檢測系統(tǒng)的研究 [J].科學(xué)技術(shù)與工程，2012，12(33)：8971-8977.

[6] 工艷.網(wǎng)絡(luò)安全與入侵檢測技術(shù) [J].和田師范專科學(xué)校學(xué)報，2008，28(03)：187-188.

[7] 陳文.2008-2009年中國互聯(lián)網(wǎng)市場發(fā)展評述 [J].電子商務(wù)，2009(4)：28-29.

[8] 張波.電網(wǎng)調(diào)度自動化系統(tǒng)的設(shè)計與實現(xiàn) [D].成都：電子科技大學(xué)，2003.

[9] 屈萬一.電力系統(tǒng)遠動規(guī)約研究及其實現(xiàn) [D].武漢：武漢大學(xué)，2004.

[10] 霍寧.遠動通信規(guī)約 (協(xié)議)的標準化研究 [D].南京：南京工業(yè)大學(xué)，2004.

[11] 馬強.基于遠動規(guī)約的電力信息傳輸系統(tǒng)的研究 [D].山東：山東大學(xué)，2008.

[12] 劉巖松.IEC60870-5-104規(guī)約在電力調(diào)度系統(tǒng)中的應(yīng)用[D].山東：山東大學(xué)，2009.

[13] 張蕭木.基于主機入侵檢測系統(tǒng)的設(shè)計與實現(xiàn) [D].山東：山東大學(xué)，2007.

[14] 陳麗麗，李衛(wèi)，管曉宏，等.一種基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的研究與實現(xiàn) [J].微電子學(xué)與計算機，2004(6)：129-134.

[15] 王超.計算機網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)的研究與設(shè)計[D].成都：電子科技大學(xué)，2007.

[16] 仲媛.最近鄰分類的若干改進算法研究 [D].南京：南京理工大學(xué)，2012.

Research on Intrusion Detection Technology in Dispatching Automation System

CHEN Fei
(Yunnan Power Dispatching Control Center，Kunming 650011，China)

Using intrusion detection technology in the dispatching automation system is widely considered an effective way to improve the safety level of the systems which can be used to found potential security risks and ensure systems.Considered the differences between the internet information systems and dispatching automation system，this paper discussed the intrusion detection applications in SCADA systems technology for the targeted research，summarized the SCADA system communication features and analyzed the communication protocol to study the SCADA system intrusion detection technology.At last，this paper made a conclusion.

dispatching automation systems；intrusion detectio；pattern recognition；telecontrol protocol

TM76

B

1006-7345(2015)05-0020-04

2015-04-15

陳飛 (1982)，男，碩士，高級工程師，云南電力調(diào)度控制中心，主要從事方向為調(diào)度自動化系統(tǒng)及電力二次系統(tǒng)的運行維護工作 (e-mail)13908858762＠139.com。