基于DPI技術(shù)的變電站網(wǎng)絡(luò)異常檢測研究?

吳克河 李夢雪 張曉良 李 為

（華北電力大學(xué)控制與計(jì)算機(jī)工程學(xué)院 北京 102206）

1 引言

近年來，隨著國家電網(wǎng)提倡的全球能源互聯(lián)網(wǎng)的發(fā)展，工業(yè)控制系統(tǒng)間也開始形成大規(guī)模的互聯(lián)［1］，因此變電站網(wǎng)絡(luò)的安全風(fēng)險隨之增加。與傳統(tǒng)網(wǎng)絡(luò)相比，現(xiàn)在的信息化網(wǎng)絡(luò)存在大量漏洞，黑客也借此漏洞開始對變電站網(wǎng)絡(luò)展開攻擊，造成變電站網(wǎng)絡(luò)的癱瘓，耗費(fèi)了大量的人力與財力。2010年發(fā)生的“震網(wǎng)”事件，黑客注入的病毒攻破了整個伊朗核電站；2015年，烏克蘭國家電網(wǎng)發(fā)生了大規(guī)模的停電［2］，經(jīng)調(diào)查是一種名為“BlackEnergy”的病毒侵入了電網(wǎng)，清除了電力系統(tǒng)大量的存儲數(shù)據(jù)，造成系統(tǒng)癱瘓；2016年在以色列同樣發(fā)生了一起網(wǎng)絡(luò)攻擊，造成了嚴(yán)重的經(jīng)濟(jì)損失。以上事件向全世界電力系統(tǒng)敲響了警鐘，為確保變電站控制系統(tǒng)安全穩(wěn)定的運(yùn)行［3］，本文提出了基于工控網(wǎng)絡(luò)協(xié)議的分析，發(fā)現(xiàn)潛在的安全威脅，為提高電力工控系統(tǒng)的安全穩(wěn)定運(yùn)行提供支持。

2 相關(guān)技術(shù)理論

目前，隨著網(wǎng)絡(luò)信息化的發(fā)展，我們已跨入大數(shù)據(jù)時代，也正是因?yàn)楹Ａ繑?shù)據(jù)的增加，網(wǎng)絡(luò)通訊數(shù)據(jù)中會存在惡意流量，對網(wǎng)絡(luò)設(shè)備、通訊設(shè)備產(chǎn)生安全威脅。為此，需要實(shí)時檢測海量通訊數(shù)據(jù)中存在的異常，深度包檢測（Deep Packet Inspection）技術(shù)是在傳統(tǒng)數(shù)據(jù)包檢測的基礎(chǔ)上對應(yīng)用層協(xié)議進(jìn)行深度解析，傳統(tǒng)數(shù)據(jù)包檢測只是分析了數(shù)據(jù)包中源地址、目的地址、源端口、目的端口、協(xié)議類型，深度包檢測技術(shù)不僅僅局限于傳輸層和網(wǎng)絡(luò)層數(shù)據(jù)包頭，而是深入到應(yīng)用層數(shù)據(jù)包的有效載荷所封裝的內(nèi)容中，并且通過與特征庫中的規(guī)則進(jìn)行對比，數(shù)據(jù)包中哪些內(nèi)容與特征庫中的不符，將丟棄非法的數(shù)據(jù)包，圖1為深度包檢測過程。DPI技術(shù)主要分為以下三種關(guān)鍵技術(shù)。

1）“特征字”識別技術(shù)

“特征字”識別技術(shù)通常來講是用于識別某種應(yīng)用，不同的應(yīng)用都依賴于不同的協(xié)議，每種協(xié)議都有不同的特征字，就相當(dāng)于人類特有的“指紋”一樣，通過這些“指紋”，包括字符串、特定的端口、特定的編碼序列等來識別特有的應(yīng)用協(xié)議［4］?！爸讣y”信息升級時，基于特征字的識別技術(shù)可實(shí)現(xiàn)對新協(xié)議的檢測，方便進(jìn)行功能擴(kuò)展。

圖1 深度包檢測過程

2）應(yīng)用層網(wǎng)關(guān)識別技術(shù)

應(yīng)用層網(wǎng)關(guān)識別技術(shù)是針對業(yè)務(wù)流和控制流分離的某些業(yè)務(wù)，因?yàn)檫@些業(yè)務(wù)中業(yè)務(wù)流沒有特征［4］，因此采用應(yīng)用層網(wǎng)關(guān)技術(shù)先識別控制流的協(xié)議，根據(jù)控制流的協(xié)議通過特定的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行解析，從控制流協(xié)議的內(nèi)容中識別相應(yīng)的業(yè)務(wù)流。不同的協(xié)議都有特定的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行分析。

3）行為模式識別技術(shù)

行為模式識別技術(shù)通過對終端已經(jīng)實(shí)施的行為進(jìn)行分析，對用戶正在實(shí)施的動作或即將實(shí)施的動作做一個預(yù)判［5］，可以通過分析上下行流量的比例、發(fā)送/接收數(shù)據(jù)包的頻率、應(yīng)用的連接數(shù)等識別應(yīng)用類型。這種技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識別。

3 基于DPI技術(shù)的變電站網(wǎng)絡(luò)異常檢測

變電站網(wǎng)絡(luò)在邏輯上分為三層兩網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，三層包括站控層、間隔層、網(wǎng)絡(luò)層。站控層設(shè)備包括監(jiān)控主機(jī)、數(shù)據(jù)服務(wù)器、操作員站、數(shù)據(jù)通信網(wǎng)關(guān)等終端；間隔層設(shè)備包括繼電保護(hù)裝置、測控裝置、網(wǎng)絡(luò)記錄分析儀等；過程層包括合并單元、智能終端等。兩網(wǎng)主要為站控層網(wǎng)絡(luò)、間隔層網(wǎng)絡(luò)、過程層網(wǎng)絡(luò)，全站通信采用高速工業(yè)以太網(wǎng)組成。站控層網(wǎng)絡(luò)主要實(shí)現(xiàn)站控層與網(wǎng)絡(luò)層之間的數(shù)據(jù)傳輸，采用MMS通信協(xié)議；過程層網(wǎng)絡(luò)實(shí)現(xiàn)間隔層與過程層之間的數(shù)據(jù)傳輸，包括GOOSE網(wǎng)和SV網(wǎng)；間隔層網(wǎng)絡(luò)實(shí)際上起到了承上啟下的作用，在物理上可以映射到站控層網(wǎng)絡(luò)，也可以映射到過程層網(wǎng)絡(luò)［6～10］。

圖2 三層兩網(wǎng)架構(gòu)

隨著智能變電站在國內(nèi)的逐步發(fā)展，與傳統(tǒng)變電站相比，變電站控制系統(tǒng)中存在較大的網(wǎng)絡(luò)安全隱患，因此，通過對變電站網(wǎng)絡(luò)中所使用的通信規(guī)約進(jìn)行分析，包括IEC61850、IEC104、用電信息采集等規(guī)約［11］，實(shí)現(xiàn)對變電站控制系統(tǒng)操作的分析，對于網(wǎng)絡(luò)中的設(shè)備操作進(jìn)行分析，檢測變電站控制系統(tǒng)是否存在異常操作并及時作出阻斷，由此保障變電站控制系統(tǒng)的安全穩(wěn)定運(yùn)行［12～13］。

3.1 數(shù)據(jù)采集

在對實(shí)時數(shù)據(jù)進(jìn)行分析前，需要獲取變電站網(wǎng)絡(luò)中的數(shù)據(jù)來源，將數(shù)據(jù)采集裝置分布式部署在變電站站控層網(wǎng)絡(luò)中，每臺設(shè)備配有采集口、管理口、大容量存儲介質(zhì)，并與交換機(jī)端口進(jìn)行連接，交換機(jī)端口為千兆網(wǎng)口，鏡像網(wǎng)絡(luò)數(shù)據(jù)，采用libpacp（）函數(shù)包捕獲數(shù)據(jù)包［14］，包括通過站控層網(wǎng)絡(luò)的所有通信數(shù)據(jù)流量，如IEC61850，用電采集協(xié)議等以及調(diào)度數(shù)據(jù)網(wǎng)中的IEC104規(guī)約（過程層SV和GOOSE采用直采直跳，暫不需要采集），分析所采集的網(wǎng)絡(luò)數(shù)據(jù)包，按照相應(yīng)協(xié)議標(biāo)準(zhǔn)對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析，采集裝置部署如圖3所示。

圖3 采集裝置部署

3.2 工控協(xié)議深度解析

工控協(xié)議深度解析主要用DPI（深度包檢測）技術(shù)分析采集到的網(wǎng)絡(luò)數(shù)據(jù)包（此網(wǎng)絡(luò)數(shù)據(jù)包是由變電站主站發(fā)送到從站的數(shù)據(jù)），根據(jù)端口號和特征字段識別出工業(yè)控制系統(tǒng)各類私有協(xié)議，如變電站網(wǎng)絡(luò)通信協(xié)議中通常使用的的協(xié)議包括IEC61850、IEC104規(guī)約、用電采集信息、MODBUS等，通信協(xié)議分析流程如圖4所示。

圖4 通信協(xié)議分析流程圖

本文主要以解析站控層網(wǎng)絡(luò)MMS（制造報文規(guī)范）通信協(xié)議為例，MMS是解決設(shè)備之間實(shí)現(xiàn)實(shí)時數(shù)據(jù)交換與監(jiān)控信息的國際報文規(guī)范，站控層和間隔層的通信采用抽象通信服務(wù)接口ASCI映射到MMS［15］。

1）首先確定MMS協(xié)議的格式，如圖5所示，其中ASN.1是表示層的抽象語法描述，MMS與ASN.1采用了基本編碼規(guī)則BER的編碼格式：標(biāo)識域（Tag）+長度域（Length）+值域（Value）。MMS定義了一組專用的tag值［16］，通過MMS PDU的ASN.1定義和對應(yīng)的數(shù)據(jù)結(jié)構(gòu)的分析取出一對標(biāo)簽和值，調(diào)用相應(yīng)的編碼函數(shù)進(jìn)行具體的編碼。從接收的8位位組中依次取出MMS PDU的標(biāo)簽，產(chǎn)生一個空結(jié)構(gòu)用來存放解碼產(chǎn)生的值。然后根據(jù)整個MMS PDU的長度依次取出標(biāo)簽和長度，進(jìn)行具體的解碼，獲得的信息填入結(jié)構(gòu)中

2）按照相應(yīng)MMS協(xié)議標(biāo)準(zhǔn)對獲取的數(shù)據(jù)進(jìn)行逐層解析，提取出關(guān)鍵的數(shù)據(jù)字段，匹配的主要字段為MAC（源地址-目的地址）、VLAN地段、APPID字段、APDU等。

圖5 MMS通信協(xié)議格式

表1 MMS定義的相關(guān)類標(biāo)記（Tag）值

（1）數(shù)據(jù)鏈路層通過網(wǎng)口抓取的MMS報文，獲取接收方和發(fā)送方的MAC地址。

（2）網(wǎng)絡(luò)層對部分?jǐn)?shù)據(jù)內(nèi)容進(jìn)行解析，獲取IC?MP協(xié)議、IP協(xié)議、ARP協(xié)議類型。

（3）傳輸層根據(jù)端口號2404識別MMS傳輸層協(xié)議TCP。

（4）會話層根據(jù)MMS協(xié)議建立面向會話的鏈接。

（5）表示層是MMS協(xié)議中ASN.1的抽象語言描述，根據(jù)相應(yīng)的編碼規(guī)則進(jìn)行具體的編解碼。

圖6 AC算法工作流程

（6）應(yīng)用層是根據(jù)IP五元組、端口號識別MMS協(xié)議，解析MMS協(xié)議頭部，根據(jù)基本編碼規(guī)則，判斷功能標(biāo)識符、數(shù)據(jù)長度及域值是否符合。根據(jù)協(xié)議中主要字段，用多模式字符串匹配（Aho-Cora?sick）算法對數(shù)據(jù)內(nèi)容進(jìn)行匹配［17］。

AC算法解析流程需要一個預(yù)處理過程，將待處理的匹配串輸入到構(gòu)造的字典樹中，根據(jù)suc?cess函數(shù)構(gòu)造success表，檢查并創(chuàng)建失效函數(shù)，如果當(dāng)前字符串匹配失敗，將跳轉(zhuǎn)前綴為前一個字符串匹配成功的節(jié)點(diǎn)繼續(xù)匹配，直到輸出函數(shù)不為空，輸出匹配成功的字符串［18］。

3.3 異常檢測

通過解析獲取的數(shù)據(jù)，基于工控協(xié)議的分析，實(shí)時上傳當(dāng)前監(jiān)測的網(wǎng)絡(luò)數(shù)據(jù)流量，對變電站網(wǎng)絡(luò)中的設(shè)備信息、網(wǎng)絡(luò)通信等進(jìn)行收集、形成電力工業(yè)控制系統(tǒng)特征指紋，并根據(jù)特征指紋建立策略規(guī)則。如網(wǎng)絡(luò)通信流量閾值、黑/白名單、異常報文檢測等策略。

1）基于流量閾值的異常檢測

變電站工業(yè)控制系統(tǒng)中每臺設(shè)備通信是會產(chǎn)生一定的通信流量，假設(shè)每臺設(shè)備是一個節(jié)點(diǎn)，IP地址是每個節(jié)點(diǎn)的標(biāo)識，記錄兩兩節(jié)點(diǎn)之間的實(shí)時連接情況、實(shí)時流量、實(shí)時連接數(shù)、根據(jù)正常通信流量建立基線，實(shí)時監(jiān)控節(jié)點(diǎn)通訊的最大帶寬、最大實(shí)時連接數(shù)量、最大通訊間隔、最大外發(fā)流量和接收流量、發(fā)包頻率和接收包頻率是否超過設(shè)定的基線值，當(dāng)超過基線值時，說明該設(shè)備正在進(jìn)行異常操作，產(chǎn)生實(shí)時告警。

2）基于黑/白名單的異常檢測

通過對變電站網(wǎng)絡(luò)通信協(xié)議進(jìn)行解析，分析應(yīng)用層協(xié)議的關(guān)鍵操作信息，設(shè)置黑/白名單機(jī)制。每個應(yīng)用層協(xié)議都有不同的功能碼，每個功能碼都象征不同的操作指令，黑名單指通信過程中存在的非法指令操作，如設(shè)置參數(shù)（0×04）、控制命令（0×05）、身份認(rèn)證（0×06）、請求終端配置（0×09）、數(shù)據(jù)轉(zhuǎn)發(fā)（0×10）、請求任務(wù)數(shù)據(jù)（0×0B）等重要操作指令，在通信過程中，將獲取的數(shù)據(jù)包與黑名單的規(guī)則進(jìn)行比對，若符合黑名單中的非法指令操作，說明該通信協(xié)議發(fā)出的操作指令為異常操作，將該數(shù)據(jù)包過濾掉。與之相對的則是白名單的設(shè)置，白名單是指可以通過的數(shù)據(jù)包所具有的特征，包括MAC地址、源/目的IP地址、源/目的端口、單元標(biāo)識符以及功能碼等，將獲取的數(shù)據(jù)包與白名單的規(guī)則進(jìn)行比對，若符合白名單的特征規(guī)則，則認(rèn)為該數(shù)據(jù)包可以通過。

3）異常報文檢測

由于變電站工業(yè)控制系統(tǒng)中的攻擊日益復(fù)雜并且對系統(tǒng)的危害越來越大，如果完全通過流量特征或黑/白名單的設(shè)置來監(jiān)測工業(yè)控制系統(tǒng)中存在的威脅不僅一直處于被動狀態(tài)，還無法有效避免工業(yè)系統(tǒng)遭受攻擊而帶來的嚴(yán)重危害，因此需要對通信過程中異常報文的檢測來提升系統(tǒng)的安全。

IEC61850協(xié)議畸形報文攻擊，對協(xié)議報文不符合規(guī)約規(guī)定的格式進(jìn)行檢測并告警。

TCP/IP協(xié)議層風(fēng)暴攻擊，基于IP地址的閾值檢測Syn Flood、Ping Flood、UDP Flood攻擊。

IEC61850協(xié)議層風(fēng)暴攻擊，基于IP地址某工控協(xié)議的接收報文速率閾值檢測。

IP無流量事件檢測，在設(shè)定的時間內(nèi)，單IP某服務(wù)的接收報文為零。

針對IEC61850協(xié)議的攻擊，監(jiān)測IEC61850協(xié)議異常檢測規(guī)則。

4 應(yīng)用測試

變電站工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全存在多種威脅，本文主要通過對變電站網(wǎng)絡(luò)通信協(xié)議進(jìn)行分析，及時發(fā)現(xiàn)通信過程中存在的異常操作并實(shí)時告警，保證變電站工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行。

4.1 測試環(huán)境部署

本次測試主要將實(shí)驗(yàn)室的服務(wù)器和交換機(jī)作為通信裝置與采集裝置。服務(wù)器軟硬件配置如表所示。1臺服務(wù)器作為采集裝置，負(fù)責(zé)采集數(shù)據(jù)，1臺服務(wù)器作為監(jiān)控平臺，將分析數(shù)據(jù)展現(xiàn)給管理員，平臺內(nèi)裝有數(shù)據(jù)庫，用于存儲數(shù)據(jù)，2臺服務(wù)器通過交換機(jī)連接，測試環(huán)境部署如圖所示。

表2 服務(wù)器軟硬件配置

圖7 測試環(huán)境部署

4.2 測試結(jié)果

本文測試過程中下載IEC61850模擬數(shù)據(jù)包，通過tcpreplay重放發(fā)送該數(shù)據(jù)包，采集裝置抓取數(shù)據(jù)包，解析當(dāng)前抓取數(shù)據(jù)包的協(xié)議內(nèi)容，并與當(dāng)前設(shè)置的策略規(guī)則進(jìn)行匹配，如設(shè)置流量閾值為10，獲取實(shí)時流量已超過10，違反策略規(guī)則，產(chǎn)生異常告警，將結(jié)果上傳到監(jiān)控平臺，展示給管理員，以便管理員更好地觀察變電站工業(yè)控制系統(tǒng)的是否安全運(yùn)行，測試結(jié)果如圖所示。

圖8 發(fā)送IEC61850數(shù)據(jù)包

圖9 識別IEC61850 MMS協(xié)議類型

圖10 IEC61850 MMS流量

圖11 異常告警

5 結(jié)語

本文主要介紹了變電站工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅，通過分析該類威脅，提出一種基于DPI技術(shù)的變電站網(wǎng)絡(luò)異常檢測研究。首先介紹了DPI技術(shù)的廣泛應(yīng)用，同時將DPI技術(shù)應(yīng)用到識別變電站網(wǎng)絡(luò)的工控協(xié)議上，其次根據(jù)主要的網(wǎng)絡(luò)安全威脅設(shè)置了策略規(guī)則，將深度解析的協(xié)議內(nèi)容與策略進(jìn)行比對，從而發(fā)現(xiàn)其存在的異常操作。最后，通過實(shí)驗(yàn)驗(yàn)證了該方法的有效性，一方面及時發(fā)現(xiàn)潛在的網(wǎng)絡(luò)攻擊或威脅并發(fā)出告警，在攻擊發(fā)生前提前采取應(yīng)對措施，防止對關(guān)鍵電力基礎(chǔ)設(shè)施造成破壞。另一方面，在攻擊發(fā)生后，能夠還原攻擊路徑，追蹤攻擊源，發(fā)現(xiàn)脆弱點(diǎn)，有效地保證了工控系統(tǒng)的安全穩(wěn)定運(yùn)行。