CN106559261A - 一种基于特征指纹的变电站网络入侵检测与分析方法 - Google Patents

Abstract

一种基于特征指纹的变电站网络入侵检测与分析方法，用于对变电站工业控制网络入侵进行检测与分析，所述方法包括以下步骤：（1）通过分析变电站通信网络，建立变电站网络拓扑结构图；（2）通过分层分析的方法建立特征指纹库分层模型；（3）采用DPI和DFI技术对流量进行提取分析，提取特征指纹，完善特征指纹库；（4）基于上述建立的特征指纹库，建立特征指纹库评估体系，对网络特征指纹进行检测分析。本方法能够对变电站工控网络入侵进行全面检测分析，并且可以迅速的判断出异常节点。

Description

一种基于特征指纹的变电站网络入侵检测与分析方法

技术领域

本发明涉及一种基于特征指纹的变电站网络入侵检测与分析方法，属网络信息安全领域。

背景技术

随着信息技术的大力发展，工业控制系统也获得了快速发展，变电站与信息技术之间的结合越来越紧密，由此给整个变电站系统的运行带来了很多的便利，但同时也很大程度上使变电站面临安全威胁的可能性极大增加。

由于在数字变电站中信息数据使用的越来越多，其作用也更加重要，数字变电站中很多重要功能都实现了自动化控制，这都需要通过各设备之间的信息通信来实现。而通信基于以太网技术，这使得数字变电站的信息数据在这种环境下遭遇到很多威胁。

近年来越来越多的研究人员投入大量的时间和精力来研究数字变电站信息安全方面的课题。传统的基于流量分析的网络入侵检测方法可以精确检测出大流量攻击及明显特征的攻击，但对于流量特征不明显的攻击往往会漏报；基于协议的网络入侵检测需要对报文进行深度包检测，存在效率低下的问题；基于设备状态及配置的检测，不容易查找到设备的具体位置。综合来看，目前的研究多为单一的检测与分析，缺乏对一种全面检测与分析的方法。

发明内容

本发明的目的是，为了解决上述问题，能够对变电站工控网络进行检测和分析，并且便捷的判断出网络异常节点，本发明提供一种基于特征指纹的变电站网络入侵检测与分析方法。

本发明为了实现上述目的，采用了以下方案：

一种基于特征指纹的变电站网络入侵检测与分析方法，包括以下步骤：

步骤1：通过分析变电站通信网络，建立变电站网络拓扑结构图；

步骤2：通过分层分析的方法建立特征指纹库分层模型；所述特征指纹库分层包括流量、协议类型和协议属性；

步骤3：采用DPI和DFI技术对流量进行提取分析，提取特征指纹，完善特征指纹库；

步骤4：基于上述建立的特征指纹库，建立特征指纹库评估体系，对网络特征指纹进行检测分析。

所述步骤2采用分层分析的方法，针对变电站工控网络建立分层特征指纹库，特征指纹库主要包括流量、协议类别、协议属性。

所述步骤2包含以下子步骤：

步骤2-1：流量计量：对流量进行计量，将结果与既定的阈值对比，将其划分为正常、异常两种状态；

步骤2-2：协议类别：将协议类别分成了MMS、GOOSE、SV三种；站控层网络主要传输MMS报文；过程层网络主要传输GOOSE报文、SV报文；

步骤2-3：协议属性：对于协议属性，根据报文的结构及协议类别，SV协议包括APPID、SmpCnt、SVID；GOOSE协议包括APPID、MAC地址、goID；MMS协议包括SourceID、DestinationID。

所述步骤3包括以下子步骤：

步骤3-1：流量采集：采集过程层设备与间隔层设备间数据流、间隔层设备间数据流、间隔层设备与站控层设备之间数据流；

步骤3-2：流量识别：流量识别只送入一条流的前16个数据包，送入的前16个数据包，一般只扫描每个数据包的前后64字节内容，对于数据流的特征信息不固定的流量，需要扫描整个数据包的内容；识别技术以DPI为主，同时辅以DFI技术、端口识别技术；

步骤3-3：流量匹配：负责将特征库解析的结果与网络流量进行匹配，匹配的算法将同时采用AC、DFA；

步骤3-4：识别结果统计：负责统计流量识别的结果及流量的相关信息，同时以不同角度对识别出的网络流量进行统计以供前台模块进行查询。同时，存储流识别、多包识别等的中间匹配结果。

所述步骤4包括以下子步骤：

步骤4-1：影响因素分类

该体系中总目标D是数字变电站网络正常；为了达到总体目标必须在三个方面达到相应的目标：流量、协议类型、协议属性；

对数字变电站网络安全评估结果的分析，表明每个目标的实现又取决于各种影响因素,把各种影响因素设为F；形式上评估参数模型可以表示成一个集合的形式D＝{P1,P2,P3},其中：P1＝{流量计量}＝{F1}；P2＝{MMS、GOOSE、SV}＝{F2，F3，F4}；P3＝{APPID(GOOSE)、APPID(SV)、SVID、goID、MAC地址、SmpCnt、SourceID、DestinationID}＝{F5，F6，F7、F8、F9、F10、F11、F12}；其中，P1表示流量，P2表示协议类别；P3表示协议属性；

步骤4-2：评估流程

在特征指纹库中对每一个设备建立相应的特征指纹分类库；对于协议类别属性，包含为真，值为1，不包含为假，值为0；对于SmpCnt，将其与相邻的前一次数据库进行比对，若连续，则为1，不连续则为0；协议属性等按照提取的特征指纹写入，每一次提取的流量包都有唯一的指纹分类库在特征指纹库中与其对应，经过与特征指纹库中进行相应比较，任一影响因素节点发生异常，都可以直观的反映出来，因此除可判定流量包是否正常外，还可以定位到异常节点。

所述变电站网络拓扑结构，包括站控层、间隔层和过程层；

过程层包含三个合并单元，三个智能单元；间隔层包含有线路保护装置、测控装置、滤波装置和报文记录仪；各设备层之间的信息传递通过层间MMS网络实现。

本发明的有益效果是，本发明提供基于特征指纹的变电站网络入侵检测与分析方法，采用分层分析的方法建立变电站网络特征指纹库，并通过DPI、DFI技术提取网络中流量数据，接着对提取的流量进行识别匹配，最后根据匹配结果进行统计，达到网络入侵报警的目的。并且本发明的方法对这些网络入侵，可以判断发生异常的节点，能够迅速的查出系统异常点。

附图说明

图1是实施例中的基于特征指纹网络入侵检测分析流程图；

图2是实施例中的数字化变电站二次设备网络拓扑结构示意图；

图3是实施例中的变电站工控网络特征指纹库分层分析架构图；

图4是实施例中的特征指纹提取流程图；

图5是实施例中网络入侵检测系统主界面图；

图6(a)是实施例中入侵前系统检测样例图；图6(b)是实施例中入侵后系统检测样例图。

具体实施方式

以下结合附图对本发明涉及的基于特征指纹的变电站网络入侵检测与分析方法的具体实施方案进行详细地说明。

如图1所示，本实施例建立基于特征指纹库的网络入侵检测的流程图。网络入侵检测流程为，从变电站通信网络通过数据采集获得网络入侵信息，然后对网络入侵信息提取特征指纹，建立分层特征指纹库，将采集的特征指纹进行量化，再对采集的特征指纹进行入侵检测判定，如属异常，则发出异常告警。

如图2所示，本实施例建立典型变电站框架图。其过程层包含三个合并单元，三个智能单元；间隔层包含有线路保护装置、测控装置、滤波装置、报文记录仪。在本实施例中，设备的配置如表1-表3所示：

表1合并单元配置表

表2智能单元配置表

表3间隔层设备配置表

如图3所示，本实施例对变电站网络流量进行分层分析，建立了分层特征指纹库。

如图4所示，本实施例完成流量协议的提取、分析，及对流量包进行深度分析，提取所需特征指纹。

如图5所示，本实施例运用提出的检测分析方法设计了检测系统。左侧柱状图为提取的各协议类型报文的数量。中间饼图为个协议类型报文所占的比例。右侧为选中类型设备的ID、Mac地址等基本信息。

当入侵者通过替换合并单元0入侵网络系统时，其AppID发生改变，通过上述基于特征指纹库的网络入侵检测系统进行检测，得到仿真结果如下。

如图6(a)所示，为入侵前，检测系统的捕获实例，其采集了网络传输协议，及合并单元的AppID，从系统报文处可以看出3个合并单元运行正常。

如图6(b)所示，为入侵者通过替换合并单元0入侵网络系统时，其AppID发生改变，通过上述基于特征指纹库的网络入侵检测系统进行检测，得到仿真结果如下。检测系统的捕获实例，可以看出#1合并单元的AppID发生变化，系统报文报告#1合并单元运行异常。

Claims (6)

1.一种基于特征指纹的变电站网络入侵检测与分析方法，其特征在于，所述方法包括以下步骤：

（1）通过分析变电站通信网络，建立变电站网络拓扑结构图；

（2）通过分层分析的方法建立特征指纹库分层模型；所述特征指纹库分层包括流量、协议类型和协议属性；

（3）采用DPI和DFI技术对流量进行提取分析，提取特征指纹，完善特征指纹库；

（4）基于上述建立的特征指纹库，建立特征指纹库评估体系，对网络特征指纹进行检测分析。

2.根据权利要求1所述的一种基于特征指纹的变电站网络入侵检测与分析方法，其特征在于，所述步骤（2），采用分层分析的方法，针对变电站工控网络建立分层特征指纹库，特征指纹库主要包括流量、协议类别、协议属性。

3.根据权利要求1所述的一种基于特征指纹的变电站网络入侵检测与分析方法，其特征在于，所述步骤（2）包含以下子步骤：

（2-1）流量计量：对流量进行计量，将结果与既定的阈值对比，将其划分为正常、异常两种状态；

（2-2）协议类别：将协议类别分成了MMS、GOOSE、SV三种；站控层网络主要传输MMS报文；过程层网络主要传输GOOSE报文、SV报文；

（2-3）协议属性：对于协议属性，根据报文的结构及协议类别，SV协议包括APPID、SmpCnt、SVID；GOOSE协议包括APPID、MAC地址、goID；MMS协议包括SourceID、DestinationID。

4.根据权利要求1所述的一种基于特征指纹的变电站网络入侵检测与分析方法，其特征在于，所述步骤（3）包括以下子步骤：

（3-1）流量采集：采集过程层设备与间隔层设备间数据流、间隔层设备间数据流、间隔层设备与站控层设备之间数据流；

（3-2）流量识别：流量识别只送入一条流的前16个数据包，送入的前16个数据包，一般只扫描每个数据包的前后64字节内容，对于数据流的特征信息不固定的流量，需要扫描整个数据包的内容；识别技术以DPI为主，同时辅以DFI技术、端口识别技术；

（3-3）流量匹配：负责将特征库解析的结果与网络流量进行匹配，匹配的算法将同时采用AC、DFA；

（3-4）识别结果统计：负责统计流量识别的结果及流量的相关信息，同时以不同角度对识别出的网络流量进行统计以供前台模块进行查询；

同时，存储流识别、多包识别等的中间匹配结果。

5.根据权利要求1所述的一种基于特征指纹的变电站网络入侵检测与分析方法，其特征在于，所述步骤（4）包括以下子步骤：

（4-1）影响因素分类

该体系中总目标D是数字变电站网络正常；为了达到总体目标必须在三个方面达到相应的目标：流量、协议类型、协议属性；

对数字变电站网络安全评估结果的分析，表明每个目标的实现又取决于各种影响因素, 把各种影响因素设为F；形式上评估参数模型可以表示成一个集合的形式 D={P1, P2,P3}, 其中：P1={流量计量}={F1}；P2={MMS、GOOSE、SV}={F2，F3，F4}；P3={APPID（GOOSE）、APPID（SV）、SVID、goID、MAC地址、SmpCnt、SourceID、DestinationID}={F5，F6，F7、F8、F9、F10、F11、F12}；其中，P1表示流量，P2表示协议类别；P3表示协议属性；

（4-2）评估流程

在特征指纹库中对每一个设备建立相应的特征指纹分类库；对于协议类别属性，包含为真，值为1，不包含为假，值为0；对于SmpCnt，将其与相邻的前一次数据库进行比对，若连续，则为1，不连续则为0；协议属性等按照提取的特征指纹写入，每一次提取的流量包都有唯一的指纹分类库在特征指纹库中与其对应，经过与特征指纹库中进行相应比较，任一影响因素节点发生异常，都可以直观的反映出来，因此除可判定流量包是否正常外，还可以定位到异常节点。

6.根据权利要求1所述的一种基于特征指纹的变电站网络入侵检测与分析方法，其特征在于，所述变电站网络拓扑结构，包括站控层、间隔层和过程层；

过程层包含三个合并单元，三个智能单元；间隔层包含有线路保护装置、测控装置、滤波装置和报文记录仪；各设备层之间的信息传递通过层间MMS网络实现。