CN113285937B - 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 - Google Patents
一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 Download PDFInfo
- Publication number
- CN113285937B CN113285937B CN202110531951.1A CN202110531951A CN113285937B CN 113285937 B CN113285937 B CN 113285937B CN 202110531951 A CN202110531951 A CN 202110531951A CN 113285937 B CN113285937 B CN 113285937B
- Authority
- CN
- China
- Prior art keywords
- traditional
- substation
- transformer substation
- configuration file
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000012550 audit Methods 0.000 title claims abstract description 42
- 239000010410 layer Substances 0.000 claims abstract description 86
- 238000004891 communication Methods 0.000 claims abstract description 55
- 238000004458 analytical method Methods 0.000 claims abstract description 50
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 5
- 239000011229 interlayer Substances 0.000 claims abstract description 3
- 230000006399 behavior Effects 0.000 claims description 64
- 230000006870 function Effects 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 20
- 230000007246 mechanism Effects 0.000 claims description 16
- 238000012544 monitoring process Methods 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000007726 management method Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 9
- 238000001914 filtration Methods 0.000 claims description 8
- 230000001960 triggered effect Effects 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000013528 artificial neural network Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 claims description 4
- 238000007619 statistical method Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 108700026140 MAC combination Proteins 0.000 claims description 2
- 239000000126 substance Substances 0.000 claims 1
- 230000000875 corresponding effect Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,包括以下步骤:步骤(1),根据传统变电站的配置文件的格式规范,编写IEC103协议解析引擎;步骤(2),将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能,以获取传统变电站控制层的全息流量,通过IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析,获取传统变电站站内设备之间的通讯和控制的逻辑关系;步骤(3),建立传统变电站的安全行为基线,对传统变电站控制网络的实时通讯进行解析判断,获取传统变电站异常行为。本发明的方法能够实现对传统变电站可能出现的安全风险进行全方位多角度的记录和分析,最终实现对传统变电站的安全审计。
Description
技术领域
本发明涉及一种基于传统变电站配置文件和IEC103协议流量的安全审计方法及系统。
背景技术
传统变电站的配置文件是对变电站设备及其连接情况的描述文件,存储了传统变电站现场设备IP/MAC地址与设备实际名称之间的对应关系,同时存储了传统变电站不同层级的设备信息,这些信息对传统变电站的业务审计起到了十分关键的作用。
传统变电站具有进行数据分析和取证的网络分析仪,目前在传统变电站场景下主要使用网络分析仪进行分析及告警。网络分析仪检测的对象如下:(1)IEC103协议报文;(2)UDP/TCP/ICMP/SNMP协议报文。网络分析仪主要实现在线通讯监视(各种异常告警),通讯信息记录及分析,波形还原及异常告警(人机界面告警及硬接点输出告警),数据检索及提取(按照时间段、报文类型、报文特征条件检索并提取报文列表),数据转换(导出CAP格式或者COMTRADE格式)。
但是,网络分析仪只能对后台机和测控装置之间的网络通信报文进行提取,对涉及采样及跳闸过程给出告警,缺乏基于变电站配置文件与IEC103协议网络报文相结合的实时监控分析以及给出安全方面告警信息。
目前,在电力系统中,对各设备及其控制网络的安全审计方法主要采用基于DPI(Deep Packet Inspection,深度包检测)的业务识别方法。所谓“深度”是和普通的报文层次相比较而言,“普通报文检测”仅分析IP包的4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI除了对前面的层次分析外,还增加了应用层分析,识别各种应用以及内容。DPI的技术关键是高效的识别网络中的各种应用,通过对应用流中的数据报文内容进行检测,从而确定数据报文的真正应用。
但是,目前市场上的变电站安全审计系统一般仅适用于智能变电站,缺少适用于大量传统变电站的安全审计功能。因此,如何结合传统变电站的业务特点,针对传统变电站中常用的IEC103协议进行深度解析,提出一种能深度解析传统变电站的配置文件和IEC103协议的安全审计方法及系统,是目前亟待解决的问题。
发明内容
本发明目的在于弥补现有的传统变电站中,缺乏针对IEC103协议簇网络报文的实时监控分析以及安全方面告警信息给出的技术短板,现提供一种基于传统变电站配置文件和IEC103协议流量的安全审计方法及系统。
根据本发明的第一方面,提供了一种基于传统变电站配置文件和IEC103协议流量的安全审计方法。
在一些可选实施例中,所述方法包括以下步骤:
步骤(1),根据传统变电站的配置文件的格式规范,编写IEC103协议解析引擎;
步骤(2),将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能,以获取传统变电站控制层的全息流量,通过IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析,获取传统变电站站内设备之间的通讯和控制的逻辑关系;
步骤(3),根据传统变电站站内设备之间的通讯和控制关系,建立传统变电站的安全行为基线;基于该安全行为基线,对传统变电站控制网络的实时通讯进行解析判断,获取传统变电站异常行为。
可选地,所述步骤(1)中,传统变电站配置文件描述了传统变电站控制系统所有设备的特征、基础配置参数和设备之间的连接关系,并且遵循统一的格式规范;根据传统变电站的配置文件的格式规范,编写针对性的解析引擎,解析出不同设备之间的通讯和控制的逻辑关系。
可选地,所述步骤(1)中,传统变电站的配置文件包括:设备表、网络表、装置表,配置文件之间通过数据库中的键值建立联系。
可选地,所述步骤(1)中,通过对传统变电站配置文件的解析,从逻辑上建立传统变电站设备之间电气连接关系。
可选地,所述步骤(1)中,采用设置配置文件解析数据表模式,将所有传统变电站配置文件中的设备信息提取出来。
可选地,所述步骤(2)中,对于IEC103协议解析引擎的实现是基于网络的OSI七层模型和IEC103协议的标准,将传统变电站控制网络的通讯数据包逐层解析,直至获取到IEC103协议标准的操作指令,实现对变电站控制网络流量的深度解析。
可选地,所述步骤(3)中,传统变电站控制网络已经建立的安全行为基线中包含正常通讯状态下的五元组、订阅关系、数据包中的指令信息,后续对目标传统变电站网络状态进行审计时,依据安全行为基线中的信息,基于对通信数据包的实时全息解析引擎,实现传统变电站控制网络通讯行为的监控。
可选地,在创建传统变电站的安全行为基线时,首先将该传统变电站的配置文件进行解析,然后对该传统变电站的流量进行解析,通过神经网络自学习形成该传统变电站的安全行为基线。
可选地,上述方法还包括:在自学习过程中建立资产数据表,将所有流量的IP/MAC协议放入此表。
可选地,上述方法还包括:建立关系数据表,将传统变电站配置文件中和所有流量的IP/MAC源地址到目的地址的所有关系放入此表。
根据本发明的第二方面,提供了一种基于传统变电站配置文件和IEC103协议流量的安全审计系统。
在一些可选实施例中,所述系统将系统设备旁路部署在传统变电站的站控层、间隔层之间网络的交换机上,包括:底层基础模块、镜像模块、数据包收发模块、L1-L3层攻击告警及防护模块、应用层攻击告警及防护模块、安全管理模块;其中,
底层基础模块为整个系统的架构基础;
镜像模块,配置在传统变电站的站控层、间隔层之间网络的交换机上,以获取传统变电站控制层的全息流量,以数据包形式发送到数据包收发模块;
数据包收发模块,用于对镜像模块镜像过来的数据包进行批量的收包和自动调节,同时对接口数据进行整体统计分析;
L1-L3层攻击告警及防护模块,用于对L1-L3层的数据包进行解码,针对L1-L3层进行基于安全规则的数据包过滤检测;
应用层攻击告警及防护模块,用于对传统变电站的IEC103协议进行深度解析,对数据包进行层层解码分析,获取设备之间的通讯和控制关系;结合对该传统变电站配置文件的解析结果,通过自学习策略的方式建立目标传统变电站的安全行为基线;
告警功能模块,用于对传统变电站的控制网络获取的流量进行解析,解析获得的信息与已生成的安全行为基线进行比对,根据不一致安全元素的种类触发针对性的告警。
可选地,所述告警功能模块抓取一段流量,将其与黑名单匹配,并判断其是否出现黑名单特征码,如出现,则产生由黑名单触发的告警信息;如不出现,则继续判断其是否在白名单基线范围内,如在,则顺利通过黑白名单规则验证,不产生告警;如不在,则产生由白名单触发的告警信息。
可选地,所述系统还包括安全管理模块,用于接收告警功能模块推送的告警;告警功能模块与安全管理模块之间通过加密的通信信道进行数据传输。
可选地,所述系统还包括安全行为基线模块,安全行为基线模块对传统变电站中流量进行自学习,学习完成后比对该传统变电站对应的配置文件,建立该传统变电站的安全基线模型。
可选地,所述系统还包括告警功能组件、设备拓扑生成功能组件、异常处理机制以及HA双机热备功能组件;
告警组件将基于安全行为基线和传统变电站控制网络中获取并解析到的实时流量进行对比,对不符合安全行为基线的行为或事件产生告警;
设备拓扑生成功能组件通过分析多种链路协议,生成网络拓扑,关联设备告警、链路状态信息;
异常处理机制是在程序运行时遇到某些因素导致程序不能正常运行的异常情况下,保证设备能够继续运行的一种健壮性机制;
HA双机热备功能组件是指用两台机器,一台处于工作状态,一台处于备用状态。
根据本发明的第三方面,提供了一种基于传统变电站配置文件和IEC103协议流量的安全审计系统。
在一些可选实施例中,所述系统用于实施上述的安全审计方法,该系统基于Linux2.6.39内核,整体系统为64位系统,包处理采用Intel的DPDK技术,L1-L3底层数据包处理由唯一进程Server负责,Server将L4-L7高层解码交由Client负责,Server支持多Client并发处理高层解码;日志代理模块统一采用NPAI机制和管理中心平台进行互联。
已有的审计设备存在只能对后台机和测控装置之间的网络通信报文进行提取且不支持IEC103协议的缺陷,致使市场已有的审计设备无法对涉及传统变电站安全的采样及跳闸过程给出告警。因此,本发明的安全审计方法及系统采用了基于传统变电站配置文件和IEC103协议解析而产生的安全行为基线,对传统变电站应用场景下可能发生的安全风险进行全方位多角度的安全分析,由此,最终实现对传统变电站的安全审计。
本发明的方案是基于对传统变电站配置文件和IEC103协议深度解析的安全审计方法及系统,是专门针对传统变电站控制系统网络安全的审计方法及系统。同时,该安全审计方法及系统还通过配置文件将基于信息系统的告警转化成基于业务的安全告警机制,如传统变电站业务场景下的遥控操作、定值切区操作、定值修改操作等关键业务行为告警。基于对传统变电站所使用的IEC103协议的通信报文进行深度解析(DPI,Deep PacketInspection),能够实时检测针对传统变电站工业控制系统网络的攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时还能够实现详实记录所部署的变电站控制系统网络的全部通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查和追溯提供坚实的基础。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解:
图1是一种基于传统变电站配置文件和IEC103协议流量的安全审计方法的流程示意图;
图2是一种基于传统变电站配置文件和IEC103协议流量的安全审计系统的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。下面结合附图进一步说明。
图1示出了一种基于传统变电站配置文件和IEC103协议流量的安全审计方法的一个实施例。
该实施例中,如图1所示,一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,包括以下步骤:
步骤(1),传统变电站配置文件描述了传统变电站控制系统所有设备的特征、基础配置参数和设备之间的连接关系,并且遵循统一的格式规范,根据传统变电站的配置文件的格式规范,编写针对性的IEC103协议解析引擎,用以解析出不同设备之间的通讯和控制的逻辑关系。
传统变电站控制网络的流量协议主要为IEC103协议,对于部分串口协议通常用协议转换网关转化成IEC103协议。通过对传统变电站控制网络中的IEC103协议的深度解析,能够获得不同设备之间的通讯和控制关系。
可选地,传统变电站的配置文件包括:设备表、网络表、装置表等,配置文件之间通过设备逻辑别名等数据库中的键值建立联系。可选地,通过对传统变电站配置文件的解析,从逻辑上建立传统变电站设备之间电气连接关系。可选地,上述方法采用设置配置文件解析数据表模式,将所有传统变电站配置文件中的IP/MAC等设备信息提取出来。
步骤(2),将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能,以获取传统变电站控制层的全息流量,通过高速IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析,获取传统变电站站内设备之间的通讯和控制的逻辑关系。可选地,对于IEC103协议解析引擎的实现主要是基于网络的OSI七层模型和IEC103协议的标准,将传统变电站控制网络的通讯数据包逐层解析,直至获取到IEC103协议标准的操作指令,实现对变电站控制网络流量的深度解析。
步骤(3),根据传统变电站站内设备之间的通讯和控制的逻辑关系,建立传统变电站的安全行为基线;基于该安全行为基线,对传统变电站控制网络的实时通讯进行解析判断,获取传统变电站异常行为,异常行为包括:异常资产、异常协议、异常的通讯和控制指令下达的路径等。
基于配置文件解析获得的设备电气连接关系,与从传统站控制网络通讯数据包中解析获得的通讯关系进行比对,就可以获得目标传统变电站的安全行为基线。基于该安全行为基线,就能识别处传统变电站控制网络中的异常设备和异常通讯行为,进而触发对应的告警;同时,由于上述过程全息的记录了设备之间的通讯关系和内容,还能够基于此实现对关键时间的高精度回溯审计。
传统变电站控制网络已经建立的安全行为基线中包含正常通讯状态下的五元组、订阅关系、数据包中的指令信息,因此后续对目标传统变电站网络状态进行审计时,就可以依据安全行为基线中的信息,基于对通信数据包的实时全息解析引擎,实现传统变电站控制网络通讯行为的监控。对于与安全行为基线不符的异常通信指令、路径或者MAC地址,触发相应的告警。
本发明的安全审计方法通过将传统变电站的配置文件与该传统变电站正常业务开展时的IEC103流量相结合,建立该传统变电站的安全行为基线,基于该安全行为基线实现对传统变电站控制系统的安全分析。可选地,使用IP/MAC、地址码等设备信息对设备之间的通讯和控制关系进行关联,建立传统变电站的安全行为基线。
在一个实施例中,上述方法还包括神经网络自学习的步骤:在创建某一传统变电站的安全行为基线时,首先将该传统变电站的配置文件进行解析,然后对该传统变电站的流量进行解析,通过神经网络自学习形成该传统变电站的安全行为基线。
在一个实施例中,上述方法还包括对安全行为基线的管理,在不同安全行为基线之间进行切换,删除某一个安全行为基线。在一个实施例中,上述方法还包括对传统变电站配置文件的管理,增加或删除传统变电站的配置文件。
在一个实施例中,基于传统变电站配置文件和IEC103协议解析而获得的传动变电站安全行为基线的步骤中,还包括:采用设置配置文件解析数据表模式,将所有传统变电站配置文件中的IP/MAC等设备描述提取出来。在一个实施例中,上述方法还包括在自学习过程中建立资产数据表,将所有流量的IP/MAC协议放入此表。在一个实施例中,上述方法还包括建立关系数据表,将传统变电站配置文件中和所有流量的IP/MAC源地址到目的地址的所有关系放入此表。在一个实施例中,上述方法还包括:通过传统变电站的设备清单及其接线关系图,获得传统变电站的拓扑,拓扑由传统变电站设备节点和设备相互之间的连线组成。
在一个实施例中,上述方法还包括新建安全行为基线的步骤,配置新建安全行为基线的名称,配置自学习流量的起止时间,导入工程配置文件,将解码的报文信息发送给基线引擎,基线引擎将设备数据和关系数据录入数据库,输出设备拓扑图。
在一个实施例中,上述方法还通过配置文件将基于信息系统的告警转化成基于业务的安全告警机制,如传统变电站业务场景下的遥控操作、定值切区操作、定值修改操作等关键业务行为告警。
在另一些实施例中,如图2所示,本发明还提出了一种基于传统变电站配置文件和IEC103协议流量的安全审计系统,在传统变电站的站控层、间隔层之间网络的交换机配置镜像模块,将系统设备旁路部署在交换机上,包括:底层基础模块、镜像模块、数据包收发模块、L1-L3层攻击告警及防护模块、应用层攻击告警及防护模块、安全管理模块。
其中,底层基础模块为整个系统的架构基础,包括产品内核、电子盘系统以及应用的WEB-CAVY框架。例如,整个系统为64位系统,基于Linux 2.6.39内核。
镜像模块,配置在传统变电站的站控层、间隔层之间网络的交换机上,以获取传统变电站控制层的全息流量,以数据包形式发送到数据包收发模块。
数据包收发模块,用于对镜像模块镜像过来的数据包进行批量的收包和自动调节,同时对接口数据进行整体统计分析。可选地,数据包收发模块采用Intel的DPDK技术对数据包进行处理。
L1-L3层攻击告警及防护模块,用于对L1-L3层的数据包进行解码,针对L1-L3层进行基于安全规则的数据包过滤检测,将网络中ARP、ICMP等协议进行过滤,仅保留OSI模型中传输层及以上层次的协议数据包。L1-L3层攻击告警及防护模块用于对DDOS攻击进行检测和防护,保障系统不受L1-L3层的攻击危害。可选地,L1-L3层攻击告警及防护模块还用于对网络层的IPV4和IPV6提供支持,建立通信隧道。
应用层攻击告警及防护模块,用于对传统变电站的IEC103协议(即应用层协议)进行深度解析,对数据包进行层层解码分析获得通信的IP/MAC地址和订阅关系,即设备之间的通讯和控制关系;该审计系统能够一键执行对目标网络流量的获取和解析完成对传统变电站流量特征的学习,并结合对该传统变电站配置文件的解析结果,通过自学习策略的方式建立目标传统变电站的安全行为基线。在对该传统变电站进行安全分析时,该系统能够基于前述安全行为基线进行安全分析。
告警功能模块,用于对从传统变电站的控制网络各层交换机的镜像口中获取的流量进行解析,解析获得的信息与已生成的安全行为基线进行比对,根据不一致安全元素的种类触发针对性的告警。首先,系统抓取一段流量,将其与黑名单匹配,并判断其是否出现黑名单特征码,如出现,则产生由黑名单触发的告警信息;如不出现,则继续判断其是否在白名单基线范围内,如在,则顺利通过黑白名单规则验证,不产生告警;如不在,则产生由白名单触发的告警信息。
在一个实施例中,上述系统还包括安全管理模块,用于接收告警功能模块推送的告警。可选地,告警功能模块与安全管理模块之间通过加密的通信信道进行数据传输。可选地,设备间或开放了API接口的设备,可通过API接口在程序层面进行信息互通,其传输的信息完整性好、稳定性好,可以快速、有效、安全、可靠、完整地于审计设备(场站端)进行信息互通。可选地,上述系统将设备中的功能编写成API接口,向外部提供调用接口。例如实现获取和管理设备运行状态、远程收集和下发安全策略、及时获取场站中各类安全事件和信息等。
在一个实施例中,上述系统还包括生产构建模块,用于完成系统的打包和灌装,通过自定义的升级站点为系统提供升级功能。
在一个实施例中,上述系统还包括进程监控模块,进程监控模块对系统中的关键应用提供进程监控服务,检测被监控对象是否存在。可选地,进程监控模块对系统中的关键应用提供进程监控服务采取在监控管理器与应用之间发送Heartbeat信号,或是通过监控管理器监测对象进程的/proc文件实现,若监测到进程异常,则触发进程重启。
在一个实施例中,上述系统还包括数据通信引擎模块,数据通信引擎模块根据设定的规则,将报文分发到对应的安全引擎处理,根据安全引擎对报文处理的结果决定报文的丢弃、转发、拷贝,该块模块支持L1-L3层解码,ACL,QoS。
在一个实施例中,上述系统还包括安全行为基线模块,安全行为基线模块对传统变电站中流量进行自学习,学习完成后比对该传统变电站对应的配置文件,建立该传统变电站的安全基线模型,包含设备IP、MAC白名单、连接的方向、业务行为、业务通讯的路径等元素。
在一个实施例中,上述系统还包括告警功能组件、设备拓扑生成功能组件、异常处理机制以及HA双机热备功能组件。告警组件功能主要是能够将基于安全行为基线和传统变电站控制网络中获取并解析到实时流量进行对比,对不符合安全行为基线的行为或事件产生告警;设备拓扑生成功能组件主要是通过分析多种链路协议,智能生成网络拓扑,关联设备告警、链路状态等信息;异常处理机制是在程序运行时能够遇到一些因素导致程序不能正常运行的异常情况下,保证设备能够继续运行的一种健壮性机制,能够增强系统或组件的稳定性;HA双机热备功能组件是指用两台机器,一台处于工作状态,一台处于备用状态,但备用状态下,也是开机状态,只是开机后没有进行其他的操作。
在对传统变电站站的配置文件进行解析之后,通过设备拓扑生成功能组件自动生成专属于传统变电站场景的站控层、间隔层及其连接网络的安全行为基线,依据该安全行为基线对传统变电站控制系统和网络的安全进行安全分析。同时,基于异常处理机制和HA双机热备机制,本系统的稳定性和可用性将大幅增加。
在一个实施例中,上述系统还包括接口管理模块,接口管理模块用于对系统设备自身的管理,对外部提供服务接口支持与升级,为系统统一进行数据传输,对设备相关功能进行配置。
在一个实施例中,上述系统还包括日志代理模块,可选地,日志代理模块为syslog服务接口,系统设备支持配置syslog服务接口向电网调度中心统一监控管理平台上传日志信息。
在一个实施例中,上述系统还包括流量统计模块,通过该模块查看所监控网络协议的种类及其大小等统计信息。
在一个实施例中,上述系统还包括日志查询模块,该模块用于查询告警日志、运行日志、操作日志等。
在一个实施例中,上述系统还包括报表导出模块,该模块用于将监控到的流量、告警等信息导出成html报表。
在另一些实施例中,本发明还提出了一种基于传统变电站配置文件和IEC103协议流量的安全审计系统,用于实施上述各实施例中的安全审计方法,该系统基于Linux2.6.39内核,整体系统为64位系统,包处理采用Intel的DPDK技术,L1-L3底层数据包处理由唯一进程Server负责,Server将L4-L7高层解码交由Client负责,Server支持多Client并发处理高层解码;日志代理模块统一采用NPAI机制和管理中心平台进行互联。
在一个实施例中,上述安全分析系统采取最大功能模块分离原则,尽可能将相对独立的功能模块在不同的CPU核即线程上运行。
在一个实施例中,上述安全分析系统采取独立的业务功能尽量分离原则,安全引擎和数通引擎运行在不同的CPU核(即线程)上。
在本说明书的描述中,参考术语“一个实施例”的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其同物限定。
Claims (15)
1.一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,包括以下步骤:
步骤(1),根据传统变电站的配置文件的格式规范,编写IEC103协议解析引擎;
步骤(2),将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能,以获取传统变电站控制层的全息流量,通过IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析,获取传统变电站站内设备之间的通讯和控制的逻辑关系;所述深度解析是指基于网络的OSI七层模型和IEC103协议的标准,将传统变电站控制网络的通讯数据包逐层解析,直至获取到数据包中IEC103协议标准的操作指令;
步骤(3),根据传统变电站站内设备之间的通讯和控制的逻辑关系,建立传统变电站的安全行为基线;基于该安全行为基线,对传统变电站控制网络的实时通讯进行解析判断,获取传统变电站异常行为。
2.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,
所述步骤(1)中,传统变电站配置文件描述了传统变电站控制系统所有设备的特征、基础配置参数和设备之间的连接关系,并且遵循统一的格式规范;根据传统变电站的配置文件的格式规范,编写针对性的解析引擎,解析出不同设备之间的通讯和控制的逻辑关系。
3.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,
所述步骤(1)中,传统变电站的配置文件包括:设备表、网络表、装置表,配置文件之间通过数据库中的键值建立联系。
4.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,
所述步骤(1)中,通过对传统变电站配置文件的解析,从逻辑上建立传统变电站设备之间电气连接关系。
5.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,
所述步骤(1)中,采用设置配置文件解析数据表模式,将所有传统变电站配置文件中的设备信息提取出来。
6.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,
所述步骤(3)中,传统变电站控制网络已经建立的安全行为基线中包含正常通讯状态下的五元组、订阅关系、数据包中的指令信息,后续对目标传统变电站网络状态进行审计时,依据安全行为基线中的信息,基于对通信数据包的实时全息解析引擎,实现传统变电站控制网络通讯行为的监控。
7.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,
在创建传统变电站的安全行为基线时,首先将该传统变电站的配置文件进行解析,然后对该传统变电站的流量进行解析,通过神经网络自学习形成该传统变电站的安全行为基线。
8.如权利要求7所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,还包括:
在自学习过程中建立资产数据表,将所有流量的IP/MAC协议放入此表。
9.如权利要求8所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法,其特征在于,还包括:
建立关系数据表,将传统变电站配置文件中和所有流量的IP/MAC源地址到目的地址的所有关系放入此表。
10.一种基于传统变电站配置文件和IEC103协议流量的安全审计系统,其特征在于,将系统设备旁路部署在传统变电站的站控层、间隔层之间网络的交换机上,包括:底层基础模块、镜像模块、数据包收发模块、L1-L3层攻击告警及防护模块、应用层攻击告警及防护模块、安全管理模块;其中,
底层基础模块为整个系统的架构基础;
镜像模块,配置在传统变电站的站控层、间隔层之间网络的交换机上,以获取传统变电站控制层的全息流量,以数据包形式发送到数据包收发模块;
数据包收发模块,用于对镜像模块镜像过来的数据包进行批量的收包和自动调节,同时对接口数据进行整体统计分析;
L1-L3层攻击告警及防护模块,用于对L1-L3层的数据包进行解码,针对L1-L3层进行基于安全规则的数据包过滤检测;
应用层攻击告警及防护模块,用于对传统变电站的IEC103协议进行深度解析,对数据包进行层层解码分析,获取设备之间的通讯和控制关系;结合对该传统变电站配置文件的解析结果,通过自学习策略的方式建立目标传统变电站的安全行为基线;
告警功能模块,用于对传统变电站的控制网络获取的流量进行解析,解析获得的信息与已生成的安全行为基线进行比对,根据不一致安全元素的种类触发针对性的告警。
11.如权利要求10所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计系统,其特征在于,
所述告警功能模块抓取一段流量,将其与黑名单匹配,并判断其是否出现黑名单特征码,如出现,则产生由黑名单触发的告警信息;如不出现,则继续判断其是否在白名单基线范围内,如在,则顺利通过黑白名单规则验证,不产生告警;如不在,则产生由白名单触发的告警信息。
12.如权利要求10所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计系统,其特征在于,
还包括安全管理模块,用于接收告警功能模块推送的告警;告警功能模块与安全管理模块之间通过加密的通信信道进行数据传输。
13.如权利要求10所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计系统,其特征在于,
还包括安全行为基线模块,安全行为基线模块对传统变电站中流量进行自学习,学习完成后比对该传统变电站对应的配置文件,建立该传统变电站的安全基线模型。
14.如权利要求10所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计系统,其特征在于,
还包括告警功能组件、设备拓扑生成功能组件、异常处理机制以及HA双机热备功能组件;
告警组件将基于安全行为基线和传统变电站控制网络中获取并解析到的实时流量进行对比,对不符合安全行为基线的行为或事件产生告警;
设备拓扑生成功能组件通过分析多种链路协议,生成网络拓扑,关联设备告警、链路状态信息;
异常处理机制是在程序运行时遇到某些因素导致程序不能正常运行的异常情况下,保证设备能够继续运行的一种健壮性机制;
HA双机热备功能组件是指用两台机器,一台处于工作状态,一台处于备用状态。
15.一种基于传统变电站配置文件和IEC103协议流量的安全审计系统,其特征在于,用于实施如权利要求1至9任一项所述的方法,该系统基于Linux 2.6.39内核,整体系统为64位系统,包处理采用Intel的DPDK技术,L1-L3底层数据包处理由唯一进程Server负责,Server将L4-L7高层解码交由Client负责,Server支持多Client并发处理高层解码;日志代理模块统一采用NPAI机制和管理中心平台进行互联。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110531951.1A CN113285937B (zh) | 2021-05-17 | 2021-05-17 | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110531951.1A CN113285937B (zh) | 2021-05-17 | 2021-05-17 | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113285937A CN113285937A (zh) | 2021-08-20 |
| CN113285937B true CN113285937B (zh) | 2022-07-19 |
Family
ID=77279397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110531951.1A Active CN113285937B (zh) | 2021-05-17 | 2021-05-17 | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113285937B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913642A (zh) * | 2022-10-19 | 2023-04-04 | 云南电网有限责任公司 | 一种电力变电站网络威胁防护方法和装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710027A (zh) * | 2012-06-18 | 2012-10-03 | 成都智达电力自动控制有限公司 | 变电站自动化通信网络实时评价及状态监控系统 |
| CN202750102U (zh) * | 2012-06-18 | 2013-02-20 | 成都智达电力自动控制有限公司 | 变电站自动化通信网络实时评价及状态监控系统 |
| US10609079B2 (en) * | 2015-10-28 | 2020-03-31 | Qomplx, Inc. | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management |
| CN106302540A (zh) * | 2016-10-14 | 2017-01-04 | 国网浙江省电力公司绍兴供电公司 | 基于变电站信息安全的通信网络安全检测系统及方法 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| US20190342338A1 (en) * | 2018-05-01 | 2019-11-07 | Microsoft Technology Licensing, Llc | Automated compliance with security, audit and network configuration policies |
| CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
| CN110113336B (zh) * | 2019-05-06 | 2020-11-13 | 四川英得赛克科技有限公司 | 一种用于变电站网络环境的网络流量异常分析与识别方法 |
| CN112350846B (zh) * | 2019-08-07 | 2024-01-09 | 浙江木链物联网科技有限公司 | 一种智能变电站的资产学习方法、装置、设备及存储介质 |
| CN111049843A (zh) * | 2019-12-18 | 2020-04-21 | 国网浙江省电力有限公司宁波供电公司 | 一种智能变电站网络异常流量分析方法 |
-
2021
- 2021-05-17 CN CN202110531951.1A patent/CN113285937B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113285937A (zh) | 2021-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yang et al. | Multidimensional intrusion detection system for IEC 61850-based SCADA networks | |
| US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| EP2721801B1 (en) | Security measures for the smart grid | |
| Yang et al. | Cybersecurity test-bed for IEC 61850 based smart substations | |
| Vigna et al. | NetSTAT: A network-based intrusion detection approach | |
| CN109391613A (zh) | 一种基于scd解析的智能变电站安全审计方法 | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN113507436B (zh) | 一种针对goose协议的电网嵌入式终端模糊测试方法 | |
| CN111049843A (zh) | 一种智能变电站网络异常流量分析方法 | |
| CN110808865A (zh) | 一种被动工控网络拓扑发现方法及工控网络安全管理系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN111917741B (zh) | 一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法 | |
| CN113783880A (zh) | 网络安全检测系统及其网络安全检测方法 | |
| CN113285937B (zh) | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 | |
| CN116257021A (zh) | 一种工控系统智能网络安全态势监测预警平台 | |
| CN117560196A (zh) | 一种智慧变电站二次系统测试系统及方法 | |
| CN111698168A (zh) | 消息处理方法、装置、存储介质及处理器 | |
| KR100964392B1 (ko) | 망 관리에서의 장애 관리 시스템 및 그 방법 | |
| CN110971467A (zh) | 一种网络集中化管理系统 | |
| EP2888860B1 (en) | Communication configuration analysis in process control systems | |
| Meng et al. | Research and application based on network security monitoring platform and device | |
| Rinaldi et al. | Softwarization of SCADA: lightweight statistical SDN-agents for anomaly detection | |
| CN103248505A (zh) | 基于视图的网络监控方法及装置 | |
| Zhang | Design of intrusion detection system based on a new pattern matching algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |