CN107995182B - 一种变电站内漏洞的挖掘系统 - Google Patents

一种变电站内漏洞的挖掘系统 Download PDF

Info

Publication number
CN107995182B
CN107995182B CN201711208491.9A CN201711208491A CN107995182B CN 107995182 B CN107995182 B CN 107995182B CN 201711208491 A CN201711208491 A CN 201711208491A CN 107995182 B CN107995182 B CN 107995182B
Authority
CN
China
Prior art keywords
communication
substation
ied
vulnerability
transformer substation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711208491.9A
Other languages
English (en)
Other versions
CN107995182A (zh
Inventor
唐波
邵名声
王阳
朱兵
叶水勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Huanshang Power Supply Co of State Grid Anhui Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Huanshang Power Supply Co of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Huanshang Power Supply Co of State Grid Anhui Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201711208491.9A priority Critical patent/CN107995182B/zh
Publication of CN107995182A publication Critical patent/CN107995182A/zh
Application granted granted Critical
Publication of CN107995182B publication Critical patent/CN107995182B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Abstract

本发明公开了一种变电站内漏洞的挖掘系统,包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块。本发明能够有效解决现有工控设备漏洞挖掘对变电站漏洞针对性不强的问题。

Description

一种变电站内漏洞的挖掘系统
技术领域
本发明涉及一种变电站内漏洞的挖掘系统。
背景技术
变电站配置语言SCL是IEC61850采用的变电站专用描述语言。它采用可扩展的标记语言清楚地描述变电站IED设备、变电站系统和变电站网络通信拓扑结构的配置。SCL配置文件包含5个元素,分别是Header、Substation、IED、Communication和DataTypeTemplates,其中Communication元素定义逻辑节点之间通过逻辑总线和IED接入点之间的联系方式;IED元素描述所有IED的信息,如接入点、逻辑装置、逻辑节点、数据对象和所具备的通信服务能力;DataTypeTemplates详细定义了在文件中出现的逻辑节点实例类型以及逻辑节点所包含的数据对象与数据属性等。
整个变电站不同设备直接的通信全部由SCL配置文件定义,该文件定义通信参加的双方、通信方式、通信内容。一般来说正常的IED设备均按照预先定义好的配置进行通信,目前并未监测变电站中所有IED设备是否存在除定义以外的通信方式、通信内容,以及是否存在超过定义之外的数据对象和数据属性。而如果特定IED设备存在超越定义之外的通信方式、通信内容、数据对象、数据属性,极容易形成变电站内工控设备漏洞,从而影响变电站安全运行。
现有技术方法中,针对变电站工控安全较多是基于公开的设备漏洞库、系统模型库开展变电站工控安全漏洞扫描,主要以厂商、设备类型、设备固件、公开操作系统/软件漏洞等为主,目前缺乏对变电站内IED设备之间通信是否完全符合预先定义、IED设备是否由未被使用的隐藏通信、IED设备是否有不应当对外提供的数据对象、数据属性等进行分析从而发现IED设备在变电站内潜在风险的方法和技术。
发明内容
本发明的目的是提供一种变电站内漏洞的挖掘系统,解决现有技术方法中,针对变电站工控安全较多是基于公开的设备漏洞库、系统模型库开展变电站工控安全漏洞扫描,主要以厂商、设备类型、设备固件、公开操作系统/软件漏洞等为主,目前缺乏对变电站内IED设备之间通信是否完全符合预先定义、IED设备是否由未被使用的隐藏通信、IED设备是否有不应当对外提供的数据对象、数据属性等进行分析从而发现IED设备在变电站内潜在风险的方法和技术的问题。
本发明解决其技术问题所采用的技术方案是:一种变电站内漏洞的挖掘系统,包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块;
变电站SCL解析模块从变电站综合自动化系统自动获取变电站SCL配置描述SCD文件,解析文件Communication节点、IED节点、DataTypeTemplates节点,提取站内IED设备提供的通信方式、IED设备提供的通信数据及属性、站内定义的IED设备间通讯方式和通信地址、协议,进而生成站内通信定义拓扑图;
变电站站控层实时通信采集模块以端口镜像方式接入变电站站控层交换机采集变电站内的实时通信数据流,经过通信要素提取、IED数据元素提取、合并、去重处理,进而生成站内实际通信拓扑图;
变电站通信拓扑比对模块比对变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图,从通信双方IP地址、MAC地址、通信协议、通信端口、MMS协议方法、MMS协议中数据对象、MMS协议中数据属性这几个方面进行比对,提取实际通信拓扑图中未包含在通信定义拓扑图的内容,标记为漏洞;其中IP地址、MAC地址不符合的表示为设备不符漏洞;通信协议、通信端口不符的标记为通信方式不符漏洞;其他不符的标记为未许可漏洞;
变电站IED漏洞挖掘模块将变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图进行合并,形成整体站内IED设备及IED设备通信能力列表;然后依次遍历该列表中IED设备,建立网络连接,按IEC61850中规定的所有通信方式、数据对象、数据属性对IED发起模拟访问请求,记录对应的反馈信息、IED状态;
变电站IED漏洞挖掘分析模块分析变电站IED漏洞挖掘模块的记录情况,找出IED设备跟变电站配置描述SCD文件中声明不一致情况、IED报文与标准通信协议不符合、IED设备超过功能发布数据、IED设备超过定义发布数据、IED设备报文响应溢出,并分别标记为相应的漏洞;
变电站整体漏洞分析模块合并变电站通信拓扑比对模块、变电站IED漏洞挖掘分析模块以及第三方漏洞扫描系统的结果数据,按变电站设备类型、漏洞类型形成变电站漏洞分析报告及整改建议。
本发明的有益效果:本系统不依赖于公开漏洞库对变电站内工控设备进行漏洞挖掘;不依赖于具体IED设备对IEC61850协议实现框架,具备普适性;本系统相对于现有公开工控漏洞挖掘系统或者方法更适用于变电站内挖掘设备协议级别深层次漏洞;本系统相对于现有SCL检查方法,更广泛的验证了IED设备未通过设备定义文件发布的服务、数据、报文。同时能够有效解决现有技术方法中,针对变电站工控安全较多是基于公开的设备漏洞库、系统模型库开展变电站工控安全漏洞扫描,主要以厂商、设备类型、设备固件、公开操作系统/软件漏洞等为主,目前缺乏对变电站内IED设备之间通信是否完全符合预先定义、IED设备是否由未被使用的隐藏通信、IED设备是否有不应当对外提供的数据对象、数据属性等进行分析从而发现IED设备在变电站内潜在风险的方法和技术的问题。
以下将通过实施例,对本发明进行较为详细的说明。
具体实施方式
实施例1,一种变电站内漏洞的挖掘系统,包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块;
变电站SCL解析模块从变电站综合自动化系统自动获取变电站SCL配置描述SCD文件,解析文件Communication节点、IED节点、DataTypeTemplates节点,提取站内IED设备提供的通信方式、IED设备提供的通信数据及属性、站内定义的IED设备间通讯方式和通信地址、协议,进而生成站内通信定义拓扑图;
变电站站控层实时通信采集模块以端口镜像方式接入变电站站控层交换机采集变电站内的实时通信数据流,经过通信要素提取、IED数据元素提取、合并、去重处理,进而生成站内实际通信拓扑图;
变电站通信拓扑比对模块比对变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图,从通信双方IP地址、MAC地址、通信协议、通信端口、MMS协议方法、MMS协议中数据对象、MMS协议中数据属性这几个方面进行比对,提取实际通信拓扑图中未包含在通信定义拓扑图的内容,标记为漏洞;其中IP地址、MAC地址不符合的表示为设备不符漏洞;通信协议、通信端口不符的标记为通信方式不符漏洞;其他不符的标记为未许可漏洞;
变电站IED漏洞挖掘模块将变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图进行合并,形成整体站内IED设备及IED设备通信能力列表;然后依次遍历该列表中IED设备,建立网络连接,按IEC61850中规定的所有通信方式、数据对象、数据属性对IED发起模拟访问请求,记录对应的反馈信息、IED状态;
变电站IED漏洞挖掘分析模块分析变电站IED漏洞挖掘模块的记录情况,找出IED设备跟变电站配置描述SCD文件中声明不一致情况、IED报文与标准通信协议不符合、IED设备超过功能发布数据、IED设备超过定义发布数据、IED设备报文响应溢出,并分别标记为相应的漏洞;
变电站整体漏洞分析模块合并变电站通信拓扑比对模块、变电站IED漏洞挖掘分析模块以及第三方漏洞扫描系统的结果数据,按变电站设备类型、漏洞类型形成变电站漏洞分析报告及整改建议。
以上对本发明进行了示例性描述。显然,本发明具体实现并不受上述方式的限制。只要是采用了本发明的方法构思和技术方案进行的各种非实质性的改进;或未经改进,将本发明的上述构思和技术方案直接应用于其它场合的,均在本发明的保护范围之内。

Claims (1)

1.一种变电站内漏洞的挖掘系统,其特征在于:包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块;
变电站SCL解析模块从变电站综合自动化系统自动获取变电站SCL配置描述SCD文件,解析文件Communication节点、IED节点、DataTypeTemplates节点,提取站内IED设备提供的通信方式、IED设备提供的通信数据及属性、站内定义的IED设备间通讯方式和通信地址、协议,进而生成站内通信定义拓扑图;
变电站站控层实时通信采集模块以端口镜像方式接入变电站站控层交换机采集变电站内的实时通信数据流,经过通信要素提取、IED数据元素提取、合并、去重处理,进而生成站内实际通信拓扑图;
变电站通信拓扑比对模块比对变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图,从通信双方IP地址、MAC地址、通信协议、通信端口、MMS协议方法、MMS协议中数据对象、MMS协议中数据属性这几个方面进行比对,提取实际通信拓扑图中未包含在通信定义拓扑图的内容,标记为漏洞;其中IP地址、MAC地址不符合的表示为设备不符漏洞;通信协议、通信端口不符的标记为通信方式不符漏洞;其他不符的标记为未许可漏洞;
变电站IED漏洞挖掘模块将变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图进行合并,形成整体站内IED设备及IED设备通信能力列表;然后依次遍历该列表中IED设备,建立网络连接,按IEC61850中规定的所有通信方式、数据对象、数据属性对IED发起模拟访问请求,记录对应的反馈信息、IED状态;
变电站IED漏洞挖掘分析模块分析变电站IED漏洞挖掘模块的记录情况,找出IED设备跟变电站配置描述SCD文件中声明不一致情况、IED报文与标准通信协议不符合、IED设备超过功能发布数据、IED设备超过定义发布数据、IED设备报文响应溢出,并分别标记为相应的漏洞;
变电站整体漏洞分析模块合并变电站通信拓扑比对模块、变电站IED漏洞挖掘分析模块以及第三方漏洞扫描系统的结果数据,按变电站设备类型、漏洞类型形成变电站漏洞分析报告及整改建议。
CN201711208491.9A 2017-11-27 2017-11-27 一种变电站内漏洞的挖掘系统 Active CN107995182B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711208491.9A CN107995182B (zh) 2017-11-27 2017-11-27 一种变电站内漏洞的挖掘系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711208491.9A CN107995182B (zh) 2017-11-27 2017-11-27 一种变电站内漏洞的挖掘系统

Publications (2)

Publication Number Publication Date
CN107995182A CN107995182A (zh) 2018-05-04
CN107995182B true CN107995182B (zh) 2020-09-08

Family

ID=62032272

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711208491.9A Active CN107995182B (zh) 2017-11-27 2017-11-27 一种变电站内漏洞的挖掘系统

Country Status (1)

Country Link
CN (1) CN107995182B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108810034A (zh) * 2018-08-20 2018-11-13 杭州安恒信息技术股份有限公司 一种工业控制系统信息资产的安全防护方法
CN111796585B (zh) * 2020-09-10 2020-12-01 浙江浙能技术研究院有限公司 一种工控设备漏洞挖掘检测系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102255389A (zh) * 2011-07-18 2011-11-23 四川省电力公司 基于智能电网体系的集约型智能子站的实现方法
CN102694420A (zh) * 2012-06-08 2012-09-26 上海毅昊自动化有限公司 智能变电站网络化测控系统及其方法
CN103856579A (zh) * 2014-03-03 2014-06-11 国家电网公司 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法
CN104539473A (zh) * 2014-12-03 2015-04-22 广东电网有限责任公司茂名供电局 智能变电站网络虚拟二次回路整组校验方法和系统
CN105186697A (zh) * 2015-10-28 2015-12-23 云南电网有限责任公司红河供电局 Iec61850智能化变电站ied运行工况的远程诊断系统
CN105827613A (zh) * 2016-04-14 2016-08-03 广东电网有限责任公司电力科学研究院 一种针对变电站工控设备信息安全的测试方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368265A (zh) * 2013-07-25 2013-10-23 云南电网公司大理供电局 一种单向跨安全分区的变电站综合测控平台及其测控方法
US20160238282A1 (en) * 2014-04-08 2016-08-18 Esolar Inc. Power and Communication Distribution Topology for Heliostats
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102255389A (zh) * 2011-07-18 2011-11-23 四川省电力公司 基于智能电网体系的集约型智能子站的实现方法
CN102694420A (zh) * 2012-06-08 2012-09-26 上海毅昊自动化有限公司 智能变电站网络化测控系统及其方法
CN103856579A (zh) * 2014-03-03 2014-06-11 国家电网公司 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法
CN104539473A (zh) * 2014-12-03 2015-04-22 广东电网有限责任公司茂名供电局 智能变电站网络虚拟二次回路整组校验方法和系统
CN105186697A (zh) * 2015-10-28 2015-12-23 云南电网有限责任公司红河供电局 Iec61850智能化变电站ied运行工况的远程诊断系统
CN105827613A (zh) * 2016-04-14 2016-08-03 广东电网有限责任公司电力科学研究院 一种针对变电站工控设备信息安全的测试方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于信息综合判断的智能变电站网络通信故障定位技术研究;伊洋;《电力系统保护与控制》;20160201;第44卷(第3期);全文 *
智能变电站通信网络状态监测信息模型及配置描述;朱林等;《电力系统自动化》;20130610;第37卷(第11期);全文 *

Also Published As

Publication number Publication date
CN107995182A (zh) 2018-05-04

Similar Documents

Publication Publication Date Title
Yang et al. Multidimensional intrusion detection system for IEC 61850-based SCADA networks
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
Radoglou-Grammatikis et al. Securing the smart grid: A comprehensive compilation of intrusion detection and prevention systems
CN106982235B (zh) 一种基于iec 61850的电力工业控制网络入侵检测方法及系统
Yang et al. Intrusion detection system for IEC 60870-5-104 based SCADA networks
Barbosa et al. Intrusion detection in SCADA networks
CN105577496B (zh) 一种家庭网关利用云平台识别接入设备类型的系统
CN102752141B (zh) 一种ip地址可达性的检查方法及装置
US10645167B2 (en) Distributed setting of network security devices from power system IED settings files
CN107995182B (zh) 一种变电站内漏洞的挖掘系统
CN112702333B (zh) 数据安全检测方法及装置
Kush et al. Gap analysis of intrusion detection in smart grids
Yang et al. Intrusion detection system for IEC 61850 based smart substations
Matoušek et al. Flow based monitoring of ICS communication in the smart grid
CN110808865A (zh) 一种被动工控网络拓扑发现方法及工控网络安全管理系统
CN112787861B (zh) 一种基于sdn的网络安全监测一体化可编程控制器
CN114553537A (zh) 一种面向工业互联网的异常流量监测方法和系统
CN111917741B (zh) 一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法
CN107666468A (zh) 网络安全检测方法和装置
Paul et al. Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO
CN104065160A (zh) 一种电力系统中异常报文处理方法
Mai et al. Uncharted networks: A first measurement study of the bulk power system
Chromik et al. Bro in SCADA: Dynamic intrusion detection policies based on a system model
CN104914328A (zh) 一种变电站在线监测装置故障自动诊断方法
CN111935085A (zh) 工业控制网络异常网络行为的检测防护方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant