CN107995182B - 一种变电站内漏洞的挖掘系统 - Google Patents
一种变电站内漏洞的挖掘系统 Download PDFInfo
- Publication number
- CN107995182B CN107995182B CN201711208491.9A CN201711208491A CN107995182B CN 107995182 B CN107995182 B CN 107995182B CN 201711208491 A CN201711208491 A CN 201711208491A CN 107995182 B CN107995182 B CN 107995182B
- Authority
- CN
- China
- Prior art keywords
- communication
- substation
- ied
- vulnerability
- transformer substation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000009412 basement excavation Methods 0.000 title abstract description 7
- 238000004891 communication Methods 0.000 claims abstract description 119
- 238000000034 method Methods 0.000 claims abstract description 11
- 238000012038 vulnerability analysis Methods 0.000 claims abstract description 9
- 238000005065 mining Methods 0.000 claims description 16
- 239000000284 extract Substances 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims description 3
- 238000004088 simulation Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Abstract
本发明公开了一种变电站内漏洞的挖掘系统,包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块。本发明能够有效解决现有工控设备漏洞挖掘对变电站漏洞针对性不强的问题。
Description
技术领域
本发明涉及一种变电站内漏洞的挖掘系统。
背景技术
变电站配置语言SCL是IEC61850采用的变电站专用描述语言。它采用可扩展的标记语言清楚地描述变电站IED设备、变电站系统和变电站网络通信拓扑结构的配置。SCL配置文件包含5个元素,分别是Header、Substation、IED、Communication和DataTypeTemplates,其中Communication元素定义逻辑节点之间通过逻辑总线和IED接入点之间的联系方式;IED元素描述所有IED的信息,如接入点、逻辑装置、逻辑节点、数据对象和所具备的通信服务能力;DataTypeTemplates详细定义了在文件中出现的逻辑节点实例类型以及逻辑节点所包含的数据对象与数据属性等。
整个变电站不同设备直接的通信全部由SCL配置文件定义,该文件定义通信参加的双方、通信方式、通信内容。一般来说正常的IED设备均按照预先定义好的配置进行通信,目前并未监测变电站中所有IED设备是否存在除定义以外的通信方式、通信内容,以及是否存在超过定义之外的数据对象和数据属性。而如果特定IED设备存在超越定义之外的通信方式、通信内容、数据对象、数据属性,极容易形成变电站内工控设备漏洞,从而影响变电站安全运行。
现有技术方法中,针对变电站工控安全较多是基于公开的设备漏洞库、系统模型库开展变电站工控安全漏洞扫描,主要以厂商、设备类型、设备固件、公开操作系统/软件漏洞等为主,目前缺乏对变电站内IED设备之间通信是否完全符合预先定义、IED设备是否由未被使用的隐藏通信、IED设备是否有不应当对外提供的数据对象、数据属性等进行分析从而发现IED设备在变电站内潜在风险的方法和技术。
发明内容
本发明的目的是提供一种变电站内漏洞的挖掘系统,解决现有技术方法中,针对变电站工控安全较多是基于公开的设备漏洞库、系统模型库开展变电站工控安全漏洞扫描,主要以厂商、设备类型、设备固件、公开操作系统/软件漏洞等为主,目前缺乏对变电站内IED设备之间通信是否完全符合预先定义、IED设备是否由未被使用的隐藏通信、IED设备是否有不应当对外提供的数据对象、数据属性等进行分析从而发现IED设备在变电站内潜在风险的方法和技术的问题。
本发明解决其技术问题所采用的技术方案是:一种变电站内漏洞的挖掘系统,包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块;
变电站SCL解析模块从变电站综合自动化系统自动获取变电站SCL配置描述SCD文件,解析文件Communication节点、IED节点、DataTypeTemplates节点,提取站内IED设备提供的通信方式、IED设备提供的通信数据及属性、站内定义的IED设备间通讯方式和通信地址、协议,进而生成站内通信定义拓扑图;
变电站站控层实时通信采集模块以端口镜像方式接入变电站站控层交换机采集变电站内的实时通信数据流,经过通信要素提取、IED数据元素提取、合并、去重处理,进而生成站内实际通信拓扑图;
变电站通信拓扑比对模块比对变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图,从通信双方IP地址、MAC地址、通信协议、通信端口、MMS协议方法、MMS协议中数据对象、MMS协议中数据属性这几个方面进行比对,提取实际通信拓扑图中未包含在通信定义拓扑图的内容,标记为漏洞;其中IP地址、MAC地址不符合的表示为设备不符漏洞;通信协议、通信端口不符的标记为通信方式不符漏洞;其他不符的标记为未许可漏洞;
变电站IED漏洞挖掘模块将变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图进行合并,形成整体站内IED设备及IED设备通信能力列表;然后依次遍历该列表中IED设备,建立网络连接,按IEC61850中规定的所有通信方式、数据对象、数据属性对IED发起模拟访问请求,记录对应的反馈信息、IED状态;
变电站IED漏洞挖掘分析模块分析变电站IED漏洞挖掘模块的记录情况,找出IED设备跟变电站配置描述SCD文件中声明不一致情况、IED报文与标准通信协议不符合、IED设备超过功能发布数据、IED设备超过定义发布数据、IED设备报文响应溢出,并分别标记为相应的漏洞;
变电站整体漏洞分析模块合并变电站通信拓扑比对模块、变电站IED漏洞挖掘分析模块以及第三方漏洞扫描系统的结果数据,按变电站设备类型、漏洞类型形成变电站漏洞分析报告及整改建议。
本发明的有益效果:本系统不依赖于公开漏洞库对变电站内工控设备进行漏洞挖掘;不依赖于具体IED设备对IEC61850协议实现框架,具备普适性;本系统相对于现有公开工控漏洞挖掘系统或者方法更适用于变电站内挖掘设备协议级别深层次漏洞;本系统相对于现有SCL检查方法,更广泛的验证了IED设备未通过设备定义文件发布的服务、数据、报文。同时能够有效解决现有技术方法中,针对变电站工控安全较多是基于公开的设备漏洞库、系统模型库开展变电站工控安全漏洞扫描,主要以厂商、设备类型、设备固件、公开操作系统/软件漏洞等为主,目前缺乏对变电站内IED设备之间通信是否完全符合预先定义、IED设备是否由未被使用的隐藏通信、IED设备是否有不应当对外提供的数据对象、数据属性等进行分析从而发现IED设备在变电站内潜在风险的方法和技术的问题。
以下将通过实施例,对本发明进行较为详细的说明。
具体实施方式
实施例1,一种变电站内漏洞的挖掘系统,包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块;
变电站SCL解析模块从变电站综合自动化系统自动获取变电站SCL配置描述SCD文件,解析文件Communication节点、IED节点、DataTypeTemplates节点,提取站内IED设备提供的通信方式、IED设备提供的通信数据及属性、站内定义的IED设备间通讯方式和通信地址、协议,进而生成站内通信定义拓扑图;
变电站站控层实时通信采集模块以端口镜像方式接入变电站站控层交换机采集变电站内的实时通信数据流,经过通信要素提取、IED数据元素提取、合并、去重处理,进而生成站内实际通信拓扑图;
变电站通信拓扑比对模块比对变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图,从通信双方IP地址、MAC地址、通信协议、通信端口、MMS协议方法、MMS协议中数据对象、MMS协议中数据属性这几个方面进行比对,提取实际通信拓扑图中未包含在通信定义拓扑图的内容,标记为漏洞;其中IP地址、MAC地址不符合的表示为设备不符漏洞;通信协议、通信端口不符的标记为通信方式不符漏洞;其他不符的标记为未许可漏洞;
变电站IED漏洞挖掘模块将变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图进行合并,形成整体站内IED设备及IED设备通信能力列表;然后依次遍历该列表中IED设备,建立网络连接,按IEC61850中规定的所有通信方式、数据对象、数据属性对IED发起模拟访问请求,记录对应的反馈信息、IED状态;
变电站IED漏洞挖掘分析模块分析变电站IED漏洞挖掘模块的记录情况,找出IED设备跟变电站配置描述SCD文件中声明不一致情况、IED报文与标准通信协议不符合、IED设备超过功能发布数据、IED设备超过定义发布数据、IED设备报文响应溢出,并分别标记为相应的漏洞;
变电站整体漏洞分析模块合并变电站通信拓扑比对模块、变电站IED漏洞挖掘分析模块以及第三方漏洞扫描系统的结果数据,按变电站设备类型、漏洞类型形成变电站漏洞分析报告及整改建议。
以上对本发明进行了示例性描述。显然,本发明具体实现并不受上述方式的限制。只要是采用了本发明的方法构思和技术方案进行的各种非实质性的改进;或未经改进,将本发明的上述构思和技术方案直接应用于其它场合的,均在本发明的保护范围之内。
Claims (1)
1.一种变电站内漏洞的挖掘系统,其特征在于:包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块;
变电站SCL解析模块从变电站综合自动化系统自动获取变电站SCL配置描述SCD文件,解析文件Communication节点、IED节点、DataTypeTemplates节点,提取站内IED设备提供的通信方式、IED设备提供的通信数据及属性、站内定义的IED设备间通讯方式和通信地址、协议,进而生成站内通信定义拓扑图;
变电站站控层实时通信采集模块以端口镜像方式接入变电站站控层交换机采集变电站内的实时通信数据流,经过通信要素提取、IED数据元素提取、合并、去重处理,进而生成站内实际通信拓扑图;
变电站通信拓扑比对模块比对变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图,从通信双方IP地址、MAC地址、通信协议、通信端口、MMS协议方法、MMS协议中数据对象、MMS协议中数据属性这几个方面进行比对,提取实际通信拓扑图中未包含在通信定义拓扑图的内容,标记为漏洞;其中IP地址、MAC地址不符合的表示为设备不符漏洞;通信协议、通信端口不符的标记为通信方式不符漏洞;其他不符的标记为未许可漏洞;
变电站IED漏洞挖掘模块将变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图进行合并,形成整体站内IED设备及IED设备通信能力列表;然后依次遍历该列表中IED设备,建立网络连接,按IEC61850中规定的所有通信方式、数据对象、数据属性对IED发起模拟访问请求,记录对应的反馈信息、IED状态;
变电站IED漏洞挖掘分析模块分析变电站IED漏洞挖掘模块的记录情况,找出IED设备跟变电站配置描述SCD文件中声明不一致情况、IED报文与标准通信协议不符合、IED设备超过功能发布数据、IED设备超过定义发布数据、IED设备报文响应溢出,并分别标记为相应的漏洞;
变电站整体漏洞分析模块合并变电站通信拓扑比对模块、变电站IED漏洞挖掘分析模块以及第三方漏洞扫描系统的结果数据,按变电站设备类型、漏洞类型形成变电站漏洞分析报告及整改建议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711208491.9A CN107995182B (zh) | 2017-11-27 | 2017-11-27 | 一种变电站内漏洞的挖掘系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711208491.9A CN107995182B (zh) | 2017-11-27 | 2017-11-27 | 一种变电站内漏洞的挖掘系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107995182A CN107995182A (zh) | 2018-05-04 |
CN107995182B true CN107995182B (zh) | 2020-09-08 |
Family
ID=62032272
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711208491.9A Active CN107995182B (zh) | 2017-11-27 | 2017-11-27 | 一种变电站内漏洞的挖掘系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107995182B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108810034A (zh) * | 2018-08-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息资产的安全防护方法 |
CN111796585B (zh) * | 2020-09-10 | 2020-12-01 | 浙江浙能技术研究院有限公司 | 一种工控设备漏洞挖掘检测系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102255389A (zh) * | 2011-07-18 | 2011-11-23 | 四川省电力公司 | 基于智能电网体系的集约型智能子站的实现方法 |
CN102694420A (zh) * | 2012-06-08 | 2012-09-26 | 上海毅昊自动化有限公司 | 智能变电站网络化测控系统及其方法 |
CN103856579A (zh) * | 2014-03-03 | 2014-06-11 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
CN104539473A (zh) * | 2014-12-03 | 2015-04-22 | 广东电网有限责任公司茂名供电局 | 智能变电站网络虚拟二次回路整组校验方法和系统 |
CN105186697A (zh) * | 2015-10-28 | 2015-12-23 | 云南电网有限责任公司红河供电局 | Iec61850智能化变电站ied运行工况的远程诊断系统 |
CN105827613A (zh) * | 2016-04-14 | 2016-08-03 | 广东电网有限责任公司电力科学研究院 | 一种针对变电站工控设备信息安全的测试方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368265A (zh) * | 2013-07-25 | 2013-10-23 | 云南电网公司大理供电局 | 一种单向跨安全分区的变电站综合测控平台及其测控方法 |
US20160238282A1 (en) * | 2014-04-08 | 2016-08-18 | Esolar Inc. | Power and Communication Distribution Topology for Heliostats |
CN106559261A (zh) * | 2016-11-03 | 2017-04-05 | 国网江西省电力公司电力科学研究院 | 一种基于特征指纹的变电站网络入侵检测与分析方法 |
-
2017
- 2017-11-27 CN CN201711208491.9A patent/CN107995182B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102255389A (zh) * | 2011-07-18 | 2011-11-23 | 四川省电力公司 | 基于智能电网体系的集约型智能子站的实现方法 |
CN102694420A (zh) * | 2012-06-08 | 2012-09-26 | 上海毅昊自动化有限公司 | 智能变电站网络化测控系统及其方法 |
CN103856579A (zh) * | 2014-03-03 | 2014-06-11 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
CN104539473A (zh) * | 2014-12-03 | 2015-04-22 | 广东电网有限责任公司茂名供电局 | 智能变电站网络虚拟二次回路整组校验方法和系统 |
CN105186697A (zh) * | 2015-10-28 | 2015-12-23 | 云南电网有限责任公司红河供电局 | Iec61850智能化变电站ied运行工况的远程诊断系统 |
CN105827613A (zh) * | 2016-04-14 | 2016-08-03 | 广东电网有限责任公司电力科学研究院 | 一种针对变电站工控设备信息安全的测试方法及系统 |
Non-Patent Citations (2)
Title |
---|
基于信息综合判断的智能变电站网络通信故障定位技术研究;伊洋;《电力系统保护与控制》;20160201;第44卷(第3期);全文 * |
智能变电站通信网络状态监测信息模型及配置描述;朱林等;《电力系统自动化》;20130610;第37卷(第11期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN107995182A (zh) | 2018-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yang et al. | Multidimensional intrusion detection system for IEC 61850-based SCADA networks | |
US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
Radoglou-Grammatikis et al. | Securing the smart grid: A comprehensive compilation of intrusion detection and prevention systems | |
CN106982235B (zh) | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 | |
Yang et al. | Intrusion detection system for IEC 60870-5-104 based SCADA networks | |
Barbosa et al. | Intrusion detection in SCADA networks | |
CN105577496B (zh) | 一种家庭网关利用云平台识别接入设备类型的系统 | |
CN102752141B (zh) | 一种ip地址可达性的检查方法及装置 | |
US10645167B2 (en) | Distributed setting of network security devices from power system IED settings files | |
CN107995182B (zh) | 一种变电站内漏洞的挖掘系统 | |
CN112702333B (zh) | 数据安全检测方法及装置 | |
Kush et al. | Gap analysis of intrusion detection in smart grids | |
Yang et al. | Intrusion detection system for IEC 61850 based smart substations | |
Matoušek et al. | Flow based monitoring of ICS communication in the smart grid | |
CN110808865A (zh) | 一种被动工控网络拓扑发现方法及工控网络安全管理系统 | |
CN112787861B (zh) | 一种基于sdn的网络安全监测一体化可编程控制器 | |
CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
CN111917741B (zh) | 一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法 | |
CN107666468A (zh) | 网络安全检测方法和装置 | |
Paul et al. | Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO | |
CN104065160A (zh) | 一种电力系统中异常报文处理方法 | |
Mai et al. | Uncharted networks: A first measurement study of the bulk power system | |
Chromik et al. | Bro in SCADA: Dynamic intrusion detection policies based on a system model | |
CN104914328A (zh) | 一种变电站在线监测装置故障自动诊断方法 | |
CN111935085A (zh) | 工业控制网络异常网络行为的检测防护方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |