站控層網(wǎng)絡(luò)風(fēng)暴與攻擊抑制方法研究

孫利剛 葛圣超 王沼鈞 王建功 王保齊

摘? 要：如何提高IED設(shè)備抵御站控層網(wǎng)絡(luò)風(fēng)暴與網(wǎng)絡(luò)攻擊的能力，是智能變電站安全可靠運行的焦點問題。本文首先分析了抵御站控層網(wǎng)絡(luò)風(fēng)暴與網(wǎng)絡(luò)攻擊的必要性，其次，分析了廣播風(fēng)暴與各種攻擊的原理及對裝置的影響，并根據(jù)智能變電站的典型結(jié)構(gòu)建立了測試模型，用于方案驗證。最后，從設(shè)備架構(gòu)、網(wǎng)卡與驅(qū)動設(shè)計、廣播風(fēng)暴和攻擊過濾算法幾個方面提出了有效的網(wǎng)絡(luò)風(fēng)暴與網(wǎng)絡(luò)攻擊抑制方法。經(jīng)驗證，本文論述方案在設(shè)備抵御站控層網(wǎng)絡(luò)風(fēng)暴與網(wǎng)絡(luò)攻擊方面效果良好。

關(guān)鍵詞：網(wǎng)絡(luò)風(fēng)暴;網(wǎng)絡(luò)攻擊;智能變電站;站控層網(wǎng)絡(luò)。

中圖分類號：TP3? ? 文獻(xiàn)標(biāo)志碼：A

【Abstract】How to improve IED equipment against network storm and network attack on substation control layer is the focus of safe and reliable operation of smart substation.At first，This paper analyzes the necessity of resisting network storm and network attack. Secondly， it analyzes the principle of broadcast storm and various network attacks ， the influence on the device， and establishes the test model according to the typical structure of smart substation， which is used for program verification Finally， an effective network storm and network attack suppression technology are proposed from several aspects ，as device architecture， network card and driver design， broadcast storm and attack filtering algorithm. Through validation， this paper discusses the program in the equipment against network storms and network attacks to facilitate the effect is good.

【Key words】Network Storm;Network Attack;Smart Substation; Substation Control Layer Network

1 引言

近年來，變電站正在朝著智能化、信息化、網(wǎng)絡(luò)化的方向發(fā)展。變電站越來越依賴于網(wǎng)絡(luò)通信技術(shù)，這已成為智能電網(wǎng)健康穩(wěn)定運行的關(guān)鍵因素。各種保護系統(tǒng)，自動化系統(tǒng)及通信設(shè)備通過網(wǎng)絡(luò)互聯(lián)，從而導(dǎo)致網(wǎng)絡(luò)安全成為電網(wǎng)可靠穩(wěn)定運行的焦點問題。

變電站采用的是共享信道的以太網(wǎng)通信技術(shù)，是一種存在資源競爭的鏈路通信技術(shù)。雖然可以通過虛擬以太網(wǎng)技術(shù)將競爭降低，但是存在著網(wǎng)絡(luò)風(fēng)暴與攻擊的可能[1]。站控層網(wǎng)絡(luò)在變電站內(nèi)承擔(dān)著運載采集數(shù)據(jù)，監(jiān)控控制，操作閉鎖等信息功能。一旦網(wǎng)絡(luò)出現(xiàn)風(fēng)暴或者攻擊，可能會導(dǎo)致變電站保護與控制功能退出，甚至導(dǎo)致IED設(shè)備重啟，死機，誤動等錯誤行為，進而影響整個電網(wǎng)的安全運行。

至今，在智能變電站網(wǎng)絡(luò)風(fēng)暴與攻擊方面仍然沒有一種有效的方案。文獻(xiàn)[2]提出了基于哈希值過濾的方案，但是只能針對重復(fù)性報文。文獻(xiàn)[3]從軟硬件及網(wǎng)絡(luò)結(jié)構(gòu)方面提出了多種風(fēng)暴抑制技術(shù)，但是沒有提出對于網(wǎng)絡(luò)攻擊的有效應(yīng)對方案。本文闡述了網(wǎng)絡(luò)風(fēng)暴與攻擊對IED設(shè)備產(chǎn)生的危害原理，并在智能變電站特殊應(yīng)用環(huán)境與要求下提出了一種有效抑制網(wǎng)絡(luò)風(fēng)暴與攻擊的設(shè)備結(jié)構(gòu)與算法。

2 網(wǎng)絡(luò)風(fēng)暴與攻擊原理分析與測試模型

網(wǎng)絡(luò)風(fēng)暴會大量占用信道帶寬，造成網(wǎng)絡(luò)擁塞。從設(shè)備角度來講，對其造成最大危害的是廣播報文。大量廣播報文會消耗處理器資源，嚴(yán)重的會導(dǎo)致功能缺失，死機等。網(wǎng)絡(luò)攻擊是針對IED設(shè)備產(chǎn)生大量使其消耗資源從而拒絕服務(wù)甚至死機的報文。目前，針對網(wǎng)絡(luò)泛洪式攻擊及智能電網(wǎng)的特殊網(wǎng)絡(luò)環(huán)境，允許IED設(shè)備暫時的拒絕服務(wù)，但是要保證設(shè)備保護等重要功能正常，不能出現(xiàn)誤動，拒動，甚至死機等嚴(yán)重問題。在攻擊過后，網(wǎng)絡(luò)通信能夠恢復(fù)正常[4]。

2.1 測試模型與性能要求

開普電器檢測研究院《合并單元智能終端裝置集成測試方案》和中國電科院《智能變電站保護及相關(guān)設(shè)備網(wǎng)絡(luò)壓力測試方案》規(guī)定了網(wǎng)絡(luò)風(fēng)暴與網(wǎng)絡(luò)攻擊的測試方法，并提供了詳細(xì)的測試?yán)?。站控層網(wǎng)絡(luò)壓力測試模型如圖1所示。

整個測試分為網(wǎng)絡(luò)壓力與網(wǎng)絡(luò)安全測試。網(wǎng)絡(luò)壓力測試是在原有網(wǎng)絡(luò)流量基礎(chǔ)上通過網(wǎng)絡(luò)測試儀分別注入廣播報文（ARP廣播，UDP廣播， TCP未知單播），注入量為1-100M，持續(xù)時間2分鐘。要求被測裝置運行正常，動作可靠，能正確接收訂閱報文及聯(lián)閉鎖信號，且要求能與MMS客戶端正常通信。網(wǎng)絡(luò)安全測試是在原有網(wǎng)絡(luò)流量基礎(chǔ)上通過網(wǎng)絡(luò)測試儀分別施加SYN FLOOD、UDP FLOOD、ICMP FLOOD、SMURF攻擊、pingofdeath攻擊、arp緩存攻擊及異常MMS報文攻擊。注入流量為1-100M，持續(xù)時間2分鐘，要求被測裝置運行正常，動作可靠，能正確接收訂閱報文及聯(lián)閉鎖信號，可以與MMS客戶端暫時中斷通信，網(wǎng)絡(luò)攻擊結(jié)束后應(yīng)保證測試過程中所有保護動作信號正確上送。

2.2 風(fēng)暴與攻擊作用原理

2.2.1 風(fēng)暴作用原理及影響

當(dāng)變電站站控層網(wǎng)絡(luò)出現(xiàn)廣播風(fēng)暴時，大量的廣播報文會使接收到報文的網(wǎng)卡產(chǎn)生大量中斷及數(shù)據(jù)傳輸復(fù)制，導(dǎo)致內(nèi)存，CPU資源使用率迅速升高。這種情況下下如果IED設(shè)備系統(tǒng)任務(wù)或者架構(gòu)設(shè)計不合理，將會導(dǎo)致通信，保護功能，GOOSE等重要功能時延增大，不能滿足保護要求，甚至出現(xiàn)重啟死機。

2.2.2 攻擊作用原理及影響

相對于廣播風(fēng)暴，網(wǎng)絡(luò)攻擊要復(fù)雜許多。下面將簡單闡述網(wǎng)絡(luò)攻擊的原理及影響。

1）SYN FLOOD：該泛洪攻擊是利用建立鏈接時三次握手的缺陷，向IED設(shè)備大量發(fā)送鏈接請報文。IED設(shè)備收到請求，未得到對方回應(yīng)時，會進入等待期。這會導(dǎo)致大量socket資源消耗，并最終拒絕服務(wù)。

2）UDP FLOOD：UDP是無連接協(xié)議，所以只要向IED設(shè)備開放的端口中注入大量UDP報文，將會導(dǎo)致設(shè)備拒絕服務(wù)。目前智能變電站通信不采用UDP，故可以關(guān)閉UDP服務(wù)或者端口。

3）ICMP FLOOD：通過向目標(biāo)IED設(shè)備發(fā)送大量ICMP報文，導(dǎo)致目標(biāo)消耗大量CPU資源和有效帶寬來處理ICMP RELAY，導(dǎo)致目標(biāo)設(shè)備拒絕服務(wù)或者故障。

4）SMURF攻擊：通過向目標(biāo)IED設(shè)備發(fā)送大量ICMP ECHO報文，消耗目標(biāo)IED設(shè)備大量資源，導(dǎo)致拒絕服務(wù)或者故障。實驗發(fā)現(xiàn)，部分操作系統(tǒng)的協(xié)議棧不能經(jīng)受SMURF攻擊而癱瘓。

5）PINGOFDEATH攻擊：利用TCP/IP特征“碎裂”，允許將一個大包分成幾個小包分發(fā)的特點，向目標(biāo)IED設(shè)備發(fā)送長度大于65535長度的大包ping request，并修改最后一個分裂小包大小，這樣將會導(dǎo)致目標(biāo)IED協(xié)議棧出現(xiàn)故障，甚至死機。

6）異常MMS通信報文：隨意向IED設(shè)備發(fā)送修改過的MMS異常請求報文，導(dǎo)致IEC61850規(guī)約異常。該類攻擊考查IEC61850協(xié)議健壯性。

由于網(wǎng)絡(luò)攻擊的復(fù)雜性，目前沒絕對可靠的應(yīng)對方法。但是智能電網(wǎng)屬于專用網(wǎng)絡(luò)，同時網(wǎng)絡(luò)結(jié)構(gòu)上也做了許多防范措施，以上攻擊很難發(fā)生。一旦發(fā)生上述攻擊，首先要確保IED設(shè)備保護，采集，控制等功能正常，其次設(shè)備可以緩存報告，允許通信暫時中斷，能夠在攻擊過后恢復(fù)通信，并上送報告。

3 網(wǎng)絡(luò)風(fēng)暴與攻擊抑制技術(shù)初探

智能電網(wǎng)是專用網(wǎng)絡(luò)，其內(nèi)部IED設(shè)備服務(wù)接入量有固定的限制，通常每個IED設(shè)備不會超過30個連接，甚至更少，并不是盡最大能力服務(wù)。現(xiàn)行測試標(biāo)準(zhǔn)要求設(shè)備具備同時服務(wù)16個通信鏈接的能力。

3.1 設(shè)備架構(gòu)在抑制方面的作用

目前智能電網(wǎng)對IED設(shè)備的要求越來越高，多核架構(gòu)及多處理器架構(gòu)已經(jīng)是主流趨勢，如圖2所示。

圖2所示三種架構(gòu)中，后兩種架構(gòu)是當(dāng)前發(fā)展的主流架構(gòu)，實現(xiàn)了通信，顯示與保護，測量，控制等重要單元隔離，增強了保護設(shè)備的可靠性。對于后兩種通信與保護等功能分離的設(shè)備，只要實現(xiàn)通信核心上廣播風(fēng)暴的檢測過濾及MMS通信可恢復(fù)性即可，無需考慮對保護，采集，測量及控制功能及實時性的影響。后兩種架構(gòu)是大多數(shù)廠商采用的架構(gòu)，能在風(fēng)暴與攻擊抑制方面起到很好系統(tǒng)保護作用，增加系統(tǒng)可靠性與實時性。

3.2 采用流量控制式MAC與驅(qū)動設(shè)計

網(wǎng)卡通常采用中斷方式通知CPU數(shù)據(jù)的接收與發(fā)送情況。驅(qū)動設(shè)計上采用上半程中斷與下半程中斷相結(jié)合的程序設(shè)計。上半程中斷是中斷服務(wù)程序，簡單處理中斷標(biāo)志與簡短必要的處理，然后將數(shù)據(jù)處理任務(wù)投到工作隊列，由下半程中斷來處理。下半程中斷通常是系統(tǒng)內(nèi)核線程。在實時操作系統(tǒng)中，當(dāng)網(wǎng)絡(luò)風(fēng)暴或者壓力注入裝置后，如果下半程中斷線程優(yōu)先級太高或者是不合理，將導(dǎo)致該線程大量消耗CPU資源而導(dǎo)致設(shè)備異常。而頻繁的中斷則會導(dǎo)致大量任務(wù)向隊列中投遞，控制不當(dāng)將會導(dǎo)致系統(tǒng)崩潰。目前，智能電網(wǎng)中IED設(shè)備網(wǎng)絡(luò)接口較多，要求特殊，很多廠商采用FPGA自行構(gòu)建。本文提出一種采用流量控制式的MAC與驅(qū)動設(shè)計方案，能有效緩沖網(wǎng)絡(luò)壓力的沖擊，如圖3所示。

驅(qū)動層的上下半程中斷通過任務(wù)隊列進行同步。當(dāng)驅(qū)動收到網(wǎng)卡接收中斷后，查看上半程中斷是否已經(jīng)處理完上次任務(wù)。如果上次任務(wù)已經(jīng)處理完成，則向任務(wù)隊列投遞任務(wù)。下半程中斷每次收到任務(wù)后將處理所有數(shù)據(jù)包。MAC核在設(shè)計上要在緩存滿后停止接收，并停止向驅(qū)動發(fā)送中斷。數(shù)據(jù)緩存實際上起到一個令牌桶的作用，驅(qū)動負(fù)責(zé)釋放令牌，而MAC只有從緩存中取到令牌才能接收數(shù)據(jù)并產(chǎn)生中斷。在實時操作系統(tǒng)中，下半程中斷線程的優(yōu)先級應(yīng)低于重要任務(wù)優(yōu)先級，而非實時操作系統(tǒng)則需要合理的軟件架構(gòu)。這種設(shè)計會以處理器處理能力為上限形成兩級緩沖，減少大量網(wǎng)絡(luò)數(shù)據(jù)對系統(tǒng)處理能力的沖擊，形成自適應(yīng)式流量控制，而非絕對數(shù)值的流量控制。實驗表明，這種設(shè)計在抵御網(wǎng)絡(luò)壓力方面表現(xiàn)優(yōu)良。

3.3 廣播風(fēng)暴識別與過濾

站控層網(wǎng)絡(luò)傳播的廣播報文是網(wǎng)絡(luò)控制報文，如ARP，ICMP，其它報文則可以全部丟棄，并不會對通信造成影響。這些廣播報文通常流量不會很大，也不具備連續(xù)性和突發(fā)大流量的情況。這些特點可以做為廣播風(fēng)暴識別的一個重要依據(jù)。

如果采用FPGA進行過濾，可以采用圖4所示的滑窗法。FPGA需要先濾掉除ARP，ICMP以外的報文?；瑒哟翱诘拇笮1設(shè)定為200ms，當(dāng)滑窗內(nèi)廣播數(shù)據(jù)大于等于WH，則停止向CPU發(fā)送廣播數(shù)據(jù)。當(dāng)滑窗內(nèi)數(shù)據(jù)小于等于WL，恢復(fù)廣播數(shù)據(jù)的上送CPU的操作。WH與WL選擇可以根據(jù)自己CPU處理能力合理選定，參考值為： WH=100， WL=70。

如果采用軟件方法實現(xiàn)過濾，則需要采用圖4的定窗檢測指數(shù)退避方法。采用定窗檢測主要原因是定時統(tǒng)計更加方便，節(jié)省資源。該方法需要網(wǎng)卡具備廣播報文接收統(tǒng)計功能及廣播報文禁止接收功能支持。定窗檢測窗口一般不宜設(shè)置過小，過小浪費CPU資源，設(shè)置T2=20ms即可。當(dāng)窗口收接收報文數(shù)量大于等于WH，則將網(wǎng)卡接收廣播功能關(guān)閉T3=n x T2s（n=2K ），K為一個隨機數(shù)，使得。

3.4 網(wǎng)絡(luò)攻擊處理算法

智能電網(wǎng)IED設(shè)備的處理網(wǎng)絡(luò)攻擊方面有其特殊性。首先，每個IED設(shè)備提供相對很少的MMS接入服務(wù)，目前最多只需接入16路MMS服務(wù)。其次，IED設(shè)備在網(wǎng)絡(luò)攻擊發(fā)生時，可以拒絕服務(wù)來保證保護功能正常。網(wǎng)絡(luò)攻擊的處理方式不能像廣播風(fēng)暴處理一樣按流量大小進行攻擊識別。因為小量而長時間的smurf攻擊也會造成部分操作系統(tǒng)協(xié)議棧癱瘓而不能恢復(fù)。FPGA在過濾攻擊時可以按報文類型過濾，比如過濾掉UDP報文，但是對于小流量smurf攻擊也顯得很無力。基于以上問題，本文提出一種固定長度ARP表的替換算法。算法如圖5所示。

該算法可以結(jié)合流量閾值過濾算法，可以起到非常好的抵御攻擊效果。流量閾值不宜設(shè)置過低，限制裝置網(wǎng)絡(luò)傳輸能力，可以根據(jù)具體裝置處理能力設(shè)定。通常，MMS流量不會超過3M/S，但是為了兼容其他應(yīng)用，如FTP傳輸，我們通常將流量閾值設(shè)定到10M以上。沒有達(dá)到流量閾值而上送驅(qū)動層的數(shù)據(jù)包，通過建立固定長度的驅(qū)動層ARP表，按圖5所示算法進行過濾。在收到網(wǎng)絡(luò)攻擊時，IED設(shè)備站控層通信可能會響應(yīng)延遲增大，甚至通信斷開。但是能保證裝置保護功能正常，通信能在攻擊停止后恢復(fù)。

4 結(jié)束語

本文通過對網(wǎng)絡(luò)風(fēng)暴與網(wǎng)絡(luò)攻擊的分析，結(jié)合實際測試驗證，從繼電保護設(shè)備角度提出了應(yīng)對風(fēng)暴和攻擊的有效手段。隨著今后智能電網(wǎng)的不斷發(fā)展提高，愈加復(fù)雜的網(wǎng)絡(luò)會對設(shè)備抵御網(wǎng)絡(luò)風(fēng)暴與攻擊的能力提出更高要求，更加高效的算法和方案有待提出。

參考文獻(xiàn)：

[1] 李大勇，房亞囡，王洋，等.智能變電站網(wǎng)絡(luò)壓力性能測試研究[J].電子技術(shù)應(yīng)用，2015，41（S1）18—20.24.

[2] 黃曙，馬文霜， 陳炯聰，等. 智能變電站網(wǎng)絡(luò)風(fēng)暴的監(jiān)測和過濾算法研究， 電力系統(tǒng)保護與控制，2013， Vol.41 No.18.

[3] 王志華，杜振華，董志平等，智能變電站網(wǎng)絡(luò)風(fēng)暴抑制技術(shù)研究，電氣工程學(xué)報，2016， Vo1.11 No. 2.

[4] 國家電網(wǎng)公司，GB/T 14598.XX-201，智能保護測控設(shè)備技術(shù)規(guī)范，2016.

[5] Q/GDW 396—2009 IEC 61850 工程繼電保護應(yīng)用模型[S].北京：中國電力出版社，2010.

[6] 浮明軍，劉秋菊等，智能變電站網(wǎng)絡(luò)風(fēng)暴測試研究，現(xiàn)代電力，2013，Vol.3

[7] 丁騰波，林亞男，趙萌.智能變電站虛擬局域網(wǎng)邏輯結(jié)構(gòu)劃分方案的研究[J].電力系統(tǒng)保護與控制，2012，40（1）：115-119.

作者簡介：

孫利剛（1983-），男，山東煙臺，中級工程師，研究方向為智能變電站繼電保護平臺軟件。

葛圣超（1986-），男，山東煙臺，中級工程師，研究方向為繼電保護原理及應(yīng)用，電力系統(tǒng)自動化技術(shù)。

王沼鈞（1988-），男，山東煙臺，中級工程師，研究方向為智能變電站繼電保護硬件平臺。

王建功（1985-），男，山東泰安，中級工程師，研究方向為智能變電站繼電保護算法。

王保齊（1978-），男，山東煙臺，中級工程師，研究方向為智能變電站繼電保護硬件平臺。