CN109873838A - 一种新能源厂站远程运维非法网络通道识别方法 - Google Patents
一种新能源厂站远程运维非法网络通道识别方法 Download PDFInfo
- Publication number
- CN109873838A CN109873838A CN201910318655.6A CN201910318655A CN109873838A CN 109873838 A CN109873838 A CN 109873838A CN 201910318655 A CN201910318655 A CN 201910318655A CN 109873838 A CN109873838 A CN 109873838A
- Authority
- CN
- China
- Prior art keywords
- teamviewer
- new energy
- plant stand
- recognition methods
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明的目的在于针对新能源厂站普遍存在的违规外联、远程运维、厂站监控中心网络外连等安全隐患,提出一种适用于新能源厂站站域的非法网络通道识别方法,代替人工巡检,通过技术手段来有效监测、杜绝此类非法网络通道。新能源厂站的站域典型远程运维非法网络通道有三类,第一种是站域外的设备与安全区I中的风机监控系统和功率控制系统之间的运维通道,第二种是站域外的设备与安全区II中的功率预测系统之间的运维通道,第三种是站域外的设备与管理信息大区中的天气预报系统之间的运维通道。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种新能源厂站远程运维非法网络通道识别方法。
背景技术
以风能、太阳能为代表的新能源厂站是未来电网发展的大势所趋。新能源发电不仅环保清洁,而且其储能充足,可有效应对日益严峻的环境污染和化石能源短缺问题。利用新能源来逐步代替传统的煤、石油或天然气等化石能源来进行发电,是今后电力工业发展的主要趋势。近年来,新能源产业规模的不断扩大,以光电、风电为代表的新能源厂站规模呈快速增长态势,装机容量将快速取代水电、火电等传统能源的统治地位。随着越来越多新能源厂站的建设和入网,诸如违规外联、远程运维、厂站监控中心网络外连等网络安全风险问题也日益突出。
新能源厂站相较于传统厂站来说,个体规模较小,地理位置普遍位于较为偏远的郊区甚至山区,现场维护人员配置不足。部分设备提供商为降低后期运行维护成本,建设了发电集团的集中控制中心(以下简称“集控中心”),通过接入多个风电场生产控制大区对场站安全区I的监控系统和安全区II的功率预测系统进行远程监视、控制及维护。同时,新能源厂站普遍存在允许设备厂商通过互联网进行生产控制大区系统、设备的远程运维情况。
集控中心与新能源厂站监控系统的网络连接方式和安全防护措施差异较大,缺乏相关标准规范,普遍存在安全防护措施不到位情况。例如,某些风电集控中心连接了风电厂内管理信息大区,甚至部分集控中心直接与厂站的生产控制大区相连。在网络传输通道方面,部分集控中心与新能源厂站的通信网络采用企业自建的光纤专网,部分通过租用移动运营商的专用VPN或电力专用网络,甚至也存在部分企业采用公网传输的情况。当集控中心直接通过非电力专用网络接入新能源厂站的生产控制大区时,普遍存在未采用有效的加密认证、访问控制等安全防护措施的问题,存在生产控制网络遭受网络入侵、控制指令及数据被恶意篡改的安全隐患。此外,部分新能源厂站站域电子监控系统中的设备存在多网卡跨接电力调度数据网和企业集控专网现象,这也就使得将企业集控网络作为跳板,向电力调度数据网发起网络攻击成为可能。集控中心通过网络接入,可直接控制多个风电厂的生产控制系统,远程对风机实现启停控制。一旦集控中心遭受网络攻击,攻击者就可以通过控制指令关停集控中心管辖的所有风机,造成风电大面积脱网,导致电网内部电压不平衡,甚至出现局部或大范围电网事故。
此外,部分运维人员或设备厂家利用远程运维软件,如QQ或Teamviewer等,直接通过互联网访问厂站站域内的电力监控系统实施故障处理、程序升级等维护操作,导致生产控制系统与互联网直接相连,将控制系统完全暴露在了互联网上。部分风电场集团公司总部或第三方部门也存在绕过电力专用隔离装置直接维护风电场数据采集设备的现象。在远程运维过程中,一旦运维人员帐号被盗用、运维人员误操作或非法操作,均会给风电厂及区域电网的网络安全带来巨大的安全威胁。
集控中心与新能源厂站之间的网络通道,运维人员所使用的计算机与厂站站域内的电力监控系统之间的网络通道,都属于非法网络通道的范畴,会使得新能源厂站自身以及电力调度数据网面临严峻的网络安全威胁。目前,电力相关管理部门只能通过人工巡检的方式来发现此类非法网络通道,并监督新能源厂站进行整改。人工巡检需要安排大量人员到每个厂站现场,不仅耗时耗力,而且某些厂站可能会为了应付检查,临时拆除用于建立非法网络通道的设备,在检查结束后又进行重新安装部署。因此,亟需一种强有力的技术监测手段来识别出此类非法网络通道。
发明内容
本发明的目的在于针对新能源厂站普遍存在的违规外联、远程运维、厂站监控中心网络外连等安全隐患,提出一种适用于新能源厂站站域的非法网络通道识别方法,代替人工巡检,通过技术手段来有效监测、杜绝此类非法网络通道。
新能源厂站的站域典型远程运维非法网络通道有三类,第一种是站域外的设备与安全区I中的风机监控系统和功率控制系统之间的运维通道,第二种是站域外的设备与安全区II中的功率预测系统之间的运维通道,第三种是站域外的设备与管理信息大区中的天气预报系统之间的运维通道。
本发明提供了一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,该方法包括以下步骤:
①首先,根据新能源厂站网络建设规划,建立网络IP白名单;
②基于建立的网络IP白名单来分析是否存新能源厂站站域网络设备是否存在违规外联行为;
③如果发现可疑IP,则记录通信会话五元组信息(源IP、目的IP、源端口、目的端口、传输层协议),并保存到非法通道告警数据库;
④如果没有发现可疑IP情况下,仍需要基于协议特征串匹配的识别方法,来监测新能源厂站站域外的设备或系统与站域内的风机监控系统、功率控制系统、功率预测系统和天气预报系统之间是否存在使用QQ或Teamviewer软件来进行远程运维的操作,若在网络流量中发现存在远程控制协议,则记录通信会话五元组信息,并保存到非法通道告警数据库中;
⑤若既没有发现可疑IP也没有发现存在远程控制协议,则丢弃流量。
进一步地,所述步骤④中的协议特征串匹配的识别方法包括基于QQ协议特征远程控制协议识别方法和基于Teamviewer远程运维协议特征串匹配识别方法。
进一步地,所述的一种适用于新能源厂站远程运维非法网络通道识别方法,所述的基于QQ协议特征远程控制协议识别方法包括以下步骤:该方法是通过应用层协议特征字段和有效载荷长度来确认识别。
进一步地,上述的应用层协议包括控制端及其服务器、被控制端及其服务器。
进一步地,在优选实施方案中,QQ远程控制通道分为建立与未建立两种。
进一步地,在优选实施方案中,当QQ远程控制通道建立,控制端点击“请求控制对方电脑”发起远程控制被控制端的请求,被控制端点击“接受”该请求时,被控端与服务器通信的应用层协议特征字段的QQ命令字以及有效载荷长度的特征为:被控端向服务器发送的数据包中的QQ命令字段为十进制的205,应用层有效载荷长度为103、135、或215。服务器向被控端发送的数据包中的QQ命令字段为十进制的206,应用层有效载荷长度为159、167、或271。控端与服务器通信的应用层协议特征字段的QQ命令字以及有效载荷长度的特征为:控制端向服务器发送的数据包中的QQ命令字段为十进制的205,应用层有效载荷长度为119、231、127的请求包,服务器向控制端发送的数据包中的QQ命令字段为十进制的206,应用层有效载荷长度为143、175、255的请求包。
进一步地,2所述的一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,所述的基于Teamviewer远程运维协议特征串匹配识别方法包括以下步骤:1)当TeamViewer_service.exe会向TeamViewer服务器A发送请求数据包时,判断该数据包的应用层有效载荷长度是否为37,应用层数据是否固定为17 24 0A 20 00 XX XX XX XX XX 1380 00 57 80 80 00 01 00 00 0014 80 00 00 4F B3 80 80 6E FD F3 9B CF FF A9 80,其中五个字节的XX是可变字段,表示TeamViewer客户端软件的版本号;
2)判断TeamViewer服务器A返回给TeamViewer_service.exe的确认数据包的有效载荷长度是否为32,应用层数据是否为11 30 36 00 08 00 00 00 0100 00 00 00 00 0000 1B 00 00 00 18;
3)若满足以上1)、2),则表示已建立通信通道。
进一步地,在优选实施方案中,所述的TeamViewer软件版本为13版本,该版本的客户端程序TeamViewer_service.exe与TeamViewer服务器A之间的应用层有效载荷长度为37的数据包示例为:17 24 0A 20 00 3F 3C E8 1A 88 1380 00 57 80 80 00 01 00 00 0014 80 00 00 4F B3 80 80 6E FD F3 9B CF FF A9 80。
进一步地,在优选实施方案中,所述的TeamViewer软件版本为14版本,该版本的客户端程序TeamViewer_service.exe与TeamViewer服务器A之间的应用层有效载荷长度为37的数据包示例为:17 24 0A 20 00 00 00 00 00 08 1380 00 57 80 80 00 01 00 00 0014 80 00 00 4F B3 80 80 6E FD F3 9B CF FF A9 80。
附图说明
图1风电厂典型远程运维非法网络通道;
图2风电厂远程运维非法网络通道识别流程图。
具体实施例
实施例1一种风电厂远程运维非法网络通道的识别方法
以风电厂为例,图1中的虚线给出了所述三种典型远程运维非法网络通道。新能源厂站中的远程运维通道是指,新能源发电集团集控中心到新能源电厂的运维通道,或者新能源电厂设备、系统厂家的运维人员使用计算机与厂站站域内的生产控制大区和管理信息大区中的设备/系统之间所建立的运维通道。例如,对新能源电厂内实施远程运维的设备/系统具体包括,安全区I中的风机监控系统(如风机监控工作站或服务器)和功率控制系统(如AGC/AVC工作站)、安全区II中的功率预测系统(如功率预测工作站或服务器)、管理信息大区中的天气预报系统(如天气预报工作站或服务器)等。
如图2所示,针对此类远程运维非法网络通道,本发明提出了一种综合基于协议特征串匹配和网络IP白名单的非法网络通道识别方法框架。具体地,对于纯被动网络监听所采集的网络流量,首先,基于网络IP白名单来分析是否存在新能源厂站站域网络设备违规外联行为,以此来识别、发现新能源厂站与发电集团集控中心之间是否存在远程运维操作;然后,针对新能源电厂设备、系统厂家的运维人员使用的典型远程控制协议,如QQ和Teamviewer软件,通过分析QQ和Teamviewer远程控制协议特征,本发明提出了基于协议特征串匹配的识别方法,以此来监测风机监控系统、功率控制系统、功率预测系统和天气预报系统中是否使用QQ或Teamviewer软件来进行远程运维操作。
Claims (5)
1.一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,该方法包括以下步骤:
①首先,根据新能源厂站网络建设规划,建立网络IP白名单;
②基于建立的网络IP白名单来分析是否存新能源厂站站域网络设备是否存在违规外联行为;
③如果发现可疑IP,则记录通信会话五元组信息(源IP、目的IP、源端口、目的端口、传输层协议),并保存到非法通道告警数据库;
④如果没有发现可疑IP情况下,仍需要基于协议特征串匹配的识别方法,来监测新能源厂站站域外的设备或系统与站域内的风机监控系统、功率控制系统、功率预测系统和天气预报系统之间是否存在使用QQ或Teamviewer软件来进行远程运维的操作,若在网络流量中发现存在远程控制协议,则记录通信会话五元组信息,并保存到非法通道告警数据库中;
⑤若既没有发现可疑IP也没有发现存在远程控制协议,则丢弃流量。
2.如权利要求1所述的一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,所述步骤④中的协议特征串匹配的识别方法包括基于QQ协议特征远程控制协议识别方法和基于Teamviewer远程运维协议特征串匹配识别方法。
3.如权利要求2所述的一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,所述的基于QQ协议特征远程控制协议识别方法包括以下步骤:该方法是通过应用层协议特征字段和有效载荷长度来确认识别;
上述的应用层协议包括控制端及其服务器、被控制端及其服务器;QQ远程控制通道分为建立与未建立两种;当QQ远程控制通道建立,控制端点击“请求控制对方电脑”发起远程控制被控制端的请求,被控制端点击“接受”该请求时,被控端与服务器通信的应用层协议特征字段的QQ命令字以及有效载荷长度的特征为:被控端向服务器发送的数据包中的QQ命令字段为十进制的205,应用层有效载荷长度为103、135、或215。服务器向被控端发送的数据包中的QQ命令字段为十进制的206,应用层有效载荷长度为159、167、或271。控端与服务器通信的应用层协议特征字段的QQ命令字以及有效载荷长度的特征为:控制端向服务器发送的数据包中的QQ命令字段为十进制的205,应用层有效载荷长度为119、231、127的请求包,服务器向控制端发送的数据包中的QQ命令字段为十进制的206,应用层有效载荷长度为143、175、255的请求包。
4.如权利要求2所述的一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,所述的基于Teamviewer远程运维协议特征串匹配识别方法包括以下步骤:1)当TeamViewer_service.exe会向TeamViewer服务器A发送请求数据包时,判断该数据包的应用层有效载荷长度是否为37,应用层数据是否固定为17 24 0A20 00XX XX XX XX XX13 8000 57 80 80 00 01 00 00 00 14 80 00 00 4F B3 80 80 6E FD F3 9B CF FF A9 80,其中五个字节的XX是可变字段,表示TeamViewer客户端软件的版本号;
2)判断TeamViewer服务器A返回给TeamViewer_service.exe的确认数据包的有效载荷长度是否为32,应用层数据是否为11 30 36 00 08 00 00 00 01 00 00 00 00 00 00 001B00 00 00 18;
3)若满足以上1)、2),则表示已建立通信通道;所述的TeamViewer软件版本为13版本,该版本的客户端程序TeamViewer_service.exe与TeamViewer服务器A之间的应用层有效载荷长度为37的数据包示例为:17 24 0A20 00 3F 3C E8 1A88 13 80 00 57 80 80 00 0100 00 00 14 80 00 00 4F B3 80 80 6E FD F3 9B CF FF A9 80。
5.如权利要求4所述的一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,所述的TeamViewer软件版本为14版本,该版本的客户端程序TeamViewer_service.exe与TeamViewer服务器A之间的应用层有效载荷长度为37的数据包示例为:1724 0A20 00 00 00 00 00 08 13 80 00 57 80 80 00 01 00 00 00 14 80 00 00 4F B380 80 6E FD F3 9B CF FF A9 80。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910318655.6A CN109873838A (zh) | 2019-04-19 | 2019-04-19 | 一种新能源厂站远程运维非法网络通道识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910318655.6A CN109873838A (zh) | 2019-04-19 | 2019-04-19 | 一种新能源厂站远程运维非法网络通道识别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109873838A true CN109873838A (zh) | 2019-06-11 |
Family
ID=66922795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910318655.6A Pending CN109873838A (zh) | 2019-04-19 | 2019-04-19 | 一种新能源厂站远程运维非法网络通道识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109873838A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086085A (zh) * | 2022-08-19 | 2022-09-20 | 南京华盾电力信息安全测评有限公司 | 一种新能源平台终端安全接入认证方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282251A (zh) * | 2008-05-08 | 2008-10-08 | 中国科学院计算技术研究所 | 一种应用层协议识别特征挖掘方法 |
| CN101562560A (zh) * | 2008-04-18 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种通用流量控制方法及系统 |
| US20130054619A1 (en) * | 2010-05-19 | 2013-02-28 | Alcatel Lucent | Method and apparatus for identifying application protocol |
| CN104038389A (zh) * | 2014-06-19 | 2014-09-10 | 高长喜 | 多重应用协议识别方法和装置 |
| CN106911529A (zh) * | 2015-12-22 | 2017-06-30 | 国网青海省电力公司 | 基于协议解析的电网工控安全检测系统 |
| CN107241224A (zh) * | 2017-06-09 | 2017-10-10 | 珠海市鸿瑞软件技术有限公司 | 一种变电站的网络风险监测方法及系统 |
-
2019
- 2019-04-19 CN CN201910318655.6A patent/CN109873838A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562560A (zh) * | 2008-04-18 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种通用流量控制方法及系统 |
| CN101282251A (zh) * | 2008-05-08 | 2008-10-08 | 中国科学院计算技术研究所 | 一种应用层协议识别特征挖掘方法 |
| US20130054619A1 (en) * | 2010-05-19 | 2013-02-28 | Alcatel Lucent | Method and apparatus for identifying application protocol |
| CN104038389A (zh) * | 2014-06-19 | 2014-09-10 | 高长喜 | 多重应用协议识别方法和装置 |
| CN106911529A (zh) * | 2015-12-22 | 2017-06-30 | 国网青海省电力公司 | 基于协议解析的电网工控安全检测系统 |
| CN107241224A (zh) * | 2017-06-09 | 2017-10-10 | 珠海市鸿瑞软件技术有限公司 | 一种变电站的网络风险监测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 牟乔;: "准确高效的应用层协议分析识别方法" * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086085A (zh) * | 2022-08-19 | 2022-09-20 | 南京华盾电力信息安全测评有限公司 | 一种新能源平台终端安全接入认证方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101283539B (zh) | 网络安全设备 | |
| Lee et al. | Cyber attack scenarios on smart city and their ripple effects | |
| CN110996285A (zh) | 一种基于6LoWPAN的高校智慧消防服务系统及设计方法 | |
| CN204965565U (zh) | 变电站门禁管理系统 | |
| CN104320332A (zh) | 多协议工业通信安全网关及应用该网关的通信方法 | |
| CN111654103A (zh) | 一种配电站房智能管控方法 | |
| CN107948100A (zh) | 云备用调度自动化主站系统及实现方法 | |
| CN113094729A (zh) | 一种海上风电一体化系统的数据安全接入方法 | |
| CN104113415A (zh) | 一种用于电力系统调试控制的远动无线通道系统 | |
| CN108471413B (zh) | 边缘网络安全准入防御系统及其方法 | |
| CN109873838A (zh) | 一种新能源厂站远程运维非法网络通道识别方法 | |
| CN110162978A (zh) | 一种终端安全风险评估管理方法、装置及系统 | |
| CN111210547A (zh) | 通过nb-iot技术远程控制的光交箱智能锁系统及方法 | |
| CN109617918B (zh) | 一种安全运维网关及其运维方法 | |
| CN102073310A (zh) | 一种小区安防监控系统及监控方法 | |
| CN105610846A (zh) | 一种电能监控终端数据采集能耗管理系统及其应用方法 | |
| CN115833380A (zh) | 一种应用于电力物联网的边缘物联代理方法 | |
| CN113315778B (zh) | 应用于隐患定位的二重加密信息安全传输方法 | |
| CN114400778A (zh) | 一种智能变电站一体化信息平台及其使用方法 | |
| CN112419680B (zh) | 一种输电线路安全隐患分类识别方法及系统 | |
| CN107294998A (zh) | 一种智能电力二次系统的安全防护系统 | |
| Barnes et al. | Introduction to SCADA protection and vulnerabilities | |
| Iskhakov et al. | Analysis of vulnerabilities in low-power wide-area networks by example of the LoRaWAN | |
| CN110071972A (zh) | 一种识别基于TeamViewer软件远程控制网络通道的方法 | |
| CN112019590A (zh) | 静载试验远程监控系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |