CN110138773B - 一种针对goose攻击的防护方法 - Google Patents
一种针对goose攻击的防护方法 Download PDFInfo
- Publication number
- CN110138773B CN110138773B CN201910396725.XA CN201910396725A CN110138773B CN 110138773 B CN110138773 B CN 110138773B CN 201910396725 A CN201910396725 A CN 201910396725A CN 110138773 B CN110138773 B CN 110138773B
- Authority
- CN
- China
- Prior art keywords
- goose
- stnum
- attack
- sqnum
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种针对goose攻击的防护方法,步骤为:S1、防火墙抓取goose报文;S2、对每条流的goose报文内容进行深度解析和监控;S3、解析出的报文p.StNum和p.SqNum,分析是否有goose攻击;S4、攻击者在检查GOOSE帧后向用户多播一个具有非常高状态号的欺骗GOOSE帧,用户一旦处理了该GOOSE帧,将不会处理状态号等于或小于此值的任何合法GOOSE帧;将该goose攻击类型定义为高状态号码攻击;S5、攻击者在开始使用低于正常StNum的状态字发送goose报文,逐渐递增StNum,当StNum增大到比当前正常StNum大1时,用户就会处理该攻击goose报文,并拒绝处理后续的正常goose报文;将该goose攻击类型定义为高速泛洪攻击防护。
Description
技术领域
本发明涉及智能电网安全技术领域,尤其涉及一种针对goose攻击的防护方法。
背景技术
随着信息技术的发展,工业控制系统逐步走向联网化。很多工业控制协议逐渐运行于工业以太网上,针对工业系统的攻击也更加普遍。
面向通用对象的变电站事件(GOOSE)是国际电工委员会(IEC)61850(国际电工委员会2005年)标准套件的一部分,并规定了变电站事件的通信。IEC61850是实现互操作变电站自动化系统(SAS)不可或缺的组成部分,可互操作的SAS是智能电网的关键组成部分。
GOOSE在数据链路层上进行组播,因此没有逻辑地址和流量控制功能,不支持消息验证,GOOSE帧中状态号的处理提供了实施攻击的机会。这些攻击可用于劫持与订户的通信,以防止处理合法的GOOSE消息,并欺骗额外的攻击流量来操纵订户。
目前,针对GOOSE报文的安全交互解决方法主要是签名和认证,客户端和服务器端需要采用一套秘钥机制,并且收发报文时对报文有解析验证处理,这种方法需必要时还需对已有的工业控制网络设备进行升级改造,增加设备处理开销。因此提供一种兼容现有网络和控制成本的方法很有意义。
发明内容
本发明目的是针对上述问题,提供一种针对goose攻击的防护方法,兼容现有网络和控制成本,无需升级改造现有网络实时监测GOOSE报文攻击,屏蔽攻击并进行告警。
为了实现上述目的,本发明的技术方案是:
一种针对goose攻击的防护方法,其特征在于:包括以下步骤:
S1、在IEDs设备之间部署防火墙,防火墙抓取所有经过防火墙的goose报文,并对goose报文建立信息流进行监控;
S2、对二层goose报文以源MAC、目的MAC和ethtype信息建立流,对三层goose报文以五元组信息建立流,在此基础上对每条流的goose报文内容进行深度解析和监控;
S3、防火墙根据数据流记录同一条goose流的协议解析信息,将解析出的报文p.StNum和p.SqNum和流中记录的f.StNum、f.SqNum和f.alm.StNum、f.alm.SqNum进行对比,分析是否有goose攻击,当有goose攻击时,将goose攻击类型分为高速泛洪攻击和语义攻击;
S4、攻击者在检查GOOSE帧后向用户多播一个具有高状态号的欺骗GOOSE帧,用户一旦处理了该GOOSE帧,将不会处理状态号等于或小于此值的任何合法GOOSE帧;将该goose攻击类型定义为语义攻击;
如果p.StNum大于f.SqNum+1,发送攻击告警,丢弃报文,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum;
S5、攻击者在开始使用低于正常StNum的状态号发送goose报文,逐渐递增StNum,当StNum增大到比当前正常StNum大1时,用户就会处理该攻击goose报文,并拒绝处理后续的正常goose报文;将该goose攻击类型定义为高速泛洪攻击;
S51、p.StNum小于f.StNum时,p.StNum与f.alm.StNum继续对比,如果p.StNum等于f.alm.StNum,同时连续计数和丢弃报文,如果计数超过限定次数说明f.StNum已经被攻击,发送已被攻击严重告警,这是因为p.StNum比f.StNum小,IEDs还在连续发送正常的goose报文;其他情况,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum,清除连续计数,发送攻击告警;
S52、p.StNum等于f.StNum时,如果p.SqNum等于f.SqNum加1,更新f.StNum和f.SqNum为p.StNum和p.SqNum;否则,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum,发送报文丢失告警,并丢弃报文;
S53、p.StNum等于f.StNum加1时,如果p.SqNum等于0,发送状态改变告警,更新f.StNum和f.SqNum为p.StNum和p.SqNum;如果p.SqNum不等于0,发送攻击告警,丢弃报文,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum。
goose报文的APDU有10个字段:DatSet、AppId、GoCbRef、T、StNum、SqNum、Test、ConfRev、NdsCom、Data。
每次发送GOOSE消息时数据集的值发生任何变化,该StNum增加。
每次发送GOOSE消息时都包含一个增量计数器,该值在StNum不变时SqNum递增,StNum发生改变时SqNum变为0再开始递增。
高速泛洪攻击是指攻击者在检查初始GOOSE帧后,通过增加状态号来组播一系列欺骗性GOOSE消息;欺骗分组的高速率泛滥最终将用大于用户预期状态号的状态号。
语义攻击分两个阶段执行;第一阶段攻击者观察网络流量并检查GOOSE消息以确定使用中的状态号并推断状态攻击速率;第二阶段攻击者推断出攻击速率,该攻击速率高于观察到的攻击速率;然后,以攻击速率对欺骗的GOOSE消息进行多播,状态号递增1;预计攻击流量将与合法流量竞争,并阻止订户处理真实GOOSE消息。
与现有技术相比,本发明具有的优点和积极效果是:
本发明的针对goose攻击的防护方法,无需升级改造现有网络即可实时监测GOOSE报文攻击,屏蔽攻击并进行告警。该发明具有以下特点:1、防火墙部署在网络的通信关键节点,对关键通信报文进行监控;2、对二层报文也采用流管理的方式,对协议流程进行监控;3、根据协议中goose报文的发送规律,对攻击行为进行屏蔽和告警。
具体实施方式
下面将结合本发明的具体实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
本发明的针对goose攻击的防护方法,包括以下步骤:
S1、在IEDs设备之间部署防火墙,防火墙抓取所有经过防火墙的goose报文,并对goose报文建立流信息进行监控;
S2、对二层goose报文以源MAC、目的MAC和ethtype信息建立流,对三层goose报文以五元组信息建立流,在此基础上对每条流的goose报文内容进行深度解析和监控;
S3、防火墙根据数据流记录同一条goose流的协议解析信息,将解析出的报文p.StNum和p.SqNum,和流中记录的f.StNum、f.SqNum和f.alm.StNum、f.alm.SqNum进行对比,分析是否有goose攻击,当有goose攻击时,将goose攻击类型分为高速泛洪攻击和语义攻击;
S4、攻击者在检查GOOSE帧后向用户多播一个具有非常高状态号的欺骗GOOSE帧,用户一旦处理了该GOOSE帧,将不会处理状态号等于或小于此值的任何合法GOOSE帧;将该goose攻击类型定义为语义攻击;
如果p.StNum大于f.SqNum+1,发送攻击告警,丢弃报文,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum;
S5、攻击者在开始使用低于正常StNum的状态字发送goose报文,逐渐递增StNum,当StNum增大到比当前正常StNum大1时,用户就会处理该攻击goose报文,并拒绝处理后续的正常goose报文;将该goose攻击类型定义为高速泛洪攻击;
S51、p.StNum小于f.StNum时,p.StNum与f.alm.StNum继续对比,如果p.StNum等于f.alm.StNum,同时连续计数和丢弃报文,如果计数超过限定次数比如5次,说明f.StNum已经被攻击,发送已被攻击严重告警,这是因为p.StNum比f.StNum小,IEDs还在连续发送正常的goose报文;其他情况,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum,清除连续计数,发送攻击告警;
S52、p.StNum等于f.StNum时,如果p.SqNum等于f.SqNum加1,更新f.StNum和f.SqNum为p.StNum和p.SqNum;否则,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum,发送报文丢失告警,并丢弃报文;
S53、p.StNum等于f.StNum加1时,如果p.SqNum等于0,发送状态改变告警,更新f.StNum和f.SqNum为p.StNum和p.SqNum;如果p.SqNum不等于0,发送攻击告警,丢弃报文,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum。
goose报文的APDU有10个字段:DatSet、AppId、GoCbRef、T、StNum、SqNum、Test、ConfRev、NdsCom、Data。
StNum是状态编码计数器,每次发送GOOSE消息时数据集的值发生任何变化,该计数器增加。SqNum是“序列号”,每次发送GOOSE消息时都包含一个增量计数器,该值在StNum不变时增加,StNum发生改变从0开始增加。
高速泛洪攻击是指攻击者在检查初始GOOSE帧后,通过增加状态号来组播一系列欺骗性GOOSE消息;欺骗分组的高速率泛滥最终将用大于用户预期状态号的状态号。
语义攻击分两个阶段执行;第一阶段攻击者观察网络流量并检查GOOSE消息以确定使用中的状态号并推断状态攻击速率;第二阶段攻击者推断出攻击速率,该攻击速率高于观察到的攻击速率;然后,以攻击速率对欺骗的GOOSE消息进行多播,状态号递增1;预计攻击流量将与合法流量竞争,并阻止订户处理真实GOOSE消息。
本发明的针对goose攻击的防护方法,无需升级改造现有网络即可实时监测GOOSE报文攻击,屏蔽攻击并进行告警。该发明具有以下特点:1、防火墙部署在网络的通信关键节点,对关键通信报文进行监控;2、对二层报文也采用流管理的方式,对协议流程进行监控;3、根据协议中goose报文的发送规律,对攻击行为进行屏蔽和告警。
Claims (6)
1.一种针对goose攻击的防护方法,其特征在于:包括以下步骤:
S1、在IEDs设备之间部署防火墙,防火墙抓取所有经过防火墙的goose报文,并对goose报文建立信息流进行监控;
S2、对二层goose报文以源MAC、目的MAC和ethtype信息建立流,对三层goose报文以五元组信息建立流,在此基础上对每条流的goose报文内容进行深度解析和监控;
S3、防火墙根据数据流记录同一条goose流的协议解析信息,将解析出的报文p.StNum和p.SqNum和流中记录的f.StNum、f.SqNum和f.alm.StNum、f.alm.SqNum进行对比,分析是否有goose攻击,当有goose攻击时,将goose攻击类型分为高速泛洪攻击和语义攻击;
S4、攻击者在检查GOOSE帧后向用户多播一个具有高状态号的欺骗GOOSE帧,用户一旦处理了该GOOSE帧,将不会处理状态号等于或小于此值的任何合法GOOSE帧;将该goose攻击类型定义为语义攻击;
如果p.StNum大于f.SqNum+1,发送攻击告警,丢弃报文,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum;
S5、攻击者在开始使用低于正常StNum的状态号发送goose报文,逐渐递增StNum,当StNum增大到比当前正常StNum大1时,用户就会处理该攻击goose报文,并拒绝处理后续的正常goose报文;将该goose攻击类型定义为高速泛洪攻击;
S51、p.StNum小于f.StNum时,p.StNum与f.alm.StNum继续对比,如果p.StNum等于f.alm.StNum,同时连续计数和丢弃报文,如果计数超过限定次数说明f.StNum已经被攻击,发送已被攻击严重告警,这是因为p.StNum比f.StNum小,IEDs还在连续发送正常的goose报文;其他情况,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum,清除连续计数,发送攻击告警;
S52、p.StNum等于f.StNum时,如果p.SqNum等于f.SqNum加1,更新f.StNum和f.SqNum为p.StNum和p.SqNum;否则,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum,发送报文丢失告警,并丢弃报文;
S53、p.StNum等于f.StNum加1时,如果p.SqNum等于0,发送状态改变告警,更新f.StNum和f.SqNum为p.StNum和p.SqNum;如果p.SqNum不等于0,发送攻击告警,丢弃报文,更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum。
2.如权利要求1所述的针对goose攻击的防护方法,其特征在于:goose报文的APDU有10个字段:DatSet、AppId、GoCbRef、T、StNum、SqNum、Test、ConfRev、NdsCom、Data。
3.如权利要求2所述的针对goose攻击的防护方法,其特征在于:每次发送GOOSE消息时数据集的值发生任何变化,该StNum增加。
4.如权利要求3所述的针对goose攻击的防护方法,其特征在于:每次发送GOOSE消息时都包含一个增量计数器,该值在StNum不变时SqNum递增,StNum发生改变时SqNum变为0再开始递增。
5.如权利要求4所述的针对goose攻击的防护方法,其特征在于:高速泛洪攻击是指攻击者在检查初始GOOSE帧后,通过增加状态号来组播一系列欺骗性GOOSE消息;欺骗分组的高速率泛滥最终将用大于用户预期状态号的状态号。
6.如权利要求5所述的针对goose攻击的防护方法,其特征在于:语义攻击分两个阶段执行;第一阶段攻击者观察网络流量并检查GOOSE消息以确定使用中的状态号并推断状态攻击速率;第二阶段攻击者推断出攻击速率,该攻击速率高于观察到的攻击速率;然后,以攻击速率对欺骗的GOOSE消息进行多播,状态号递增1;预计攻击流量将与合法流量竞争,并阻止订户处理真实GOOSE消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910396725.XA CN110138773B (zh) | 2019-05-14 | 2019-05-14 | 一种针对goose攻击的防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910396725.XA CN110138773B (zh) | 2019-05-14 | 2019-05-14 | 一种针对goose攻击的防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110138773A CN110138773A (zh) | 2019-08-16 |
CN110138773B true CN110138773B (zh) | 2022-01-11 |
Family
ID=67573642
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910396725.XA Active CN110138773B (zh) | 2019-05-14 | 2019-05-14 | 一种针对goose攻击的防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110138773B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024045095A1 (zh) * | 2022-08-31 | 2024-03-07 | 西门子股份公司 | 数据处理方法、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102932167A (zh) * | 2012-10-10 | 2013-02-13 | 华南理工大学 | 提高智能变电站继电保护可靠性的信息流控制方法和系统 |
CN103746962A (zh) * | 2013-12-12 | 2014-04-23 | 华南理工大学 | 一种goose电力实时报文加解密方法 |
CN106211136A (zh) * | 2016-08-31 | 2016-12-07 | 上海交通大学 | 一种智能电网中基于命名的安全通信机制 |
CN106953855A (zh) * | 2017-03-16 | 2017-07-14 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
US9894080B1 (en) * | 2016-10-04 | 2018-02-13 | The Florida International University Board Of Trustees | Sequence hopping algorithm for securing goose messages |
CN109241989A (zh) * | 2018-07-17 | 2019-01-18 | 中国电力科学研究院有限公司 | 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统 |
-
2019
- 2019-05-14 CN CN201910396725.XA patent/CN110138773B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102932167A (zh) * | 2012-10-10 | 2013-02-13 | 华南理工大学 | 提高智能变电站继电保护可靠性的信息流控制方法和系统 |
CN103746962A (zh) * | 2013-12-12 | 2014-04-23 | 华南理工大学 | 一种goose电力实时报文加解密方法 |
CN106211136A (zh) * | 2016-08-31 | 2016-12-07 | 上海交通大学 | 一种智能电网中基于命名的安全通信机制 |
US9894080B1 (en) * | 2016-10-04 | 2018-02-13 | The Florida International University Board Of Trustees | Sequence hopping algorithm for securing goose messages |
CN106953855A (zh) * | 2017-03-16 | 2017-07-14 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
CN109241989A (zh) * | 2018-07-17 | 2019-01-18 | 中国电力科学研究院有限公司 | 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统 |
Non-Patent Citations (1)
Title |
---|
Poisoned GOOSE: Exploiting the GOOSE Protocol;Nishchal Kush,et al.;《Proceedings of the Twelfth Australasian Information Security Conference (AISC 2014), Auckland, New Zealand》;20141231;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110138773A (zh) | 2019-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
Yang et al. | Multidimensional intrusion detection system for IEC 61850-based SCADA networks | |
US7607170B2 (en) | Stateful attack protection | |
Udd et al. | Exploiting bro for intrusion detection in a SCADA system | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
Van Trung et al. | A multi-criteria-based DDoS-attack prevention solution using software defined networking | |
CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
Sayegh et al. | SCADA intrusion detection system based on temporal behavior of frequent patterns | |
KR20150037285A (ko) | 침입 탐지 장치 및 방법 | |
Bohara et al. | Ed4gap: Efficient detection for goose-based poisoning attacks on iec 61850 substations | |
Shitharth et al. | A comparative analysis between two countermeasure techniques to detect DDoS with sniffers in a SCADA network | |
Elrawy et al. | Light-weight and robust network intrusion detection for cyber-attacks in digital substations | |
CN110138773B (zh) | 一种针对goose攻击的防护方法 | |
Oo et al. | Effective detection and mitigation of SYN flooding attack in SDN | |
KR20110028106A (ko) | 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 | |
Callau-Zori et al. | STONE: a stream-based DDoS defense framework | |
CN115834218A (zh) | 一种调度数据网多级阻断的安全防护方法及系统 | |
Girdhar et al. | Cybersecurity of process bus network in digital substations | |
Chen et al. | Dynamic Interval Strategy for MT6D in IoT Systems | |
Alaidaros et al. | From Packet-based Towards Hybrid Packet-based and Flow-based Monitoring for Efficient Intrusion Detection: An overview | |
Li et al. | Research on security protection of OPC UA PubSub Protocol | |
CN115021953B (zh) | 一种网络安全监控装置 | |
Coughlin et al. | EDSGuard: Enforcing network security requirements for energy delivery systems | |
Quincozes et al. | Feature extraction for intrusion detection in IEC-61850 communication networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |