CN110401624A - 源网荷系统交互报文异常的检测方法及系统 - Google Patents
源网荷系统交互报文异常的检测方法及系统 Download PDFInfo
- Publication number
- CN110401624A CN110401624A CN201810383074.6A CN201810383074A CN110401624A CN 110401624 A CN110401624 A CN 110401624A CN 201810383074 A CN201810383074 A CN 201810383074A CN 110401624 A CN110401624 A CN 110401624A
- Authority
- CN
- China
- Prior art keywords
- message
- field
- network packet
- source
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 54
- 230000002159 abnormal effect Effects 0.000 claims description 35
- 238000000605 extraction Methods 0.000 claims description 23
- 238000004458 analytical method Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000000034 method Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 11
- 230000003993 interaction Effects 0.000 claims description 10
- 230000011664 signaling Effects 0.000 claims description 6
- 230000002452 interceptive effect Effects 0.000 abstract description 27
- 230000005856 abnormality Effects 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 230000002547 anomalous effect Effects 0.000 description 8
- 230000032258 transport Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 240000002853 Nelumbo nucifera Species 0.000 description 3
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 3
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 239000002131 composite material Substances 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
源网荷系统交互报文异常的检测方法及系统,包括:将采集的网络数据包进行解析得到报文字段内容;从所述报文字段内容中提取指令级字段内容;基于预设的报文特征规则库、违规业务指令规则库和攻击特征库对所述指令级字段内容依次进行语法语义、业务指令和攻击特征匹配,当有一个匹配成功时产生告警,本发明实现了源网荷系统实时交互过程中指令级内容的异常检测。
Description
技术领域
本发明涉及信息安全领域,具体涉及源网荷系统交互报文异常的检测方法及系统。
背景技术
在电力工控报文的解析方面,目前侧重于报文格式的解析,但是由于电力工控系统的封闭性和复杂性,针对电力工控报文数据包应用层的解析与检测比较缺乏。在电力工控报文数据包应用层解析中,由于不同报文类型体系间通信报文定义的数据项差异很大,且通信报文的交互流程及语义存在较大的差异,需要结合具体工控系统业务报文指令,对指令语义进行进一步的分析与判定,在源网荷系统实时交互过程中,如果指令级内容出现异常,则有可能导致源网荷系统瘫痪,因此,在源网荷系统实时交互过程中,及时发现指令级内容的异常,对源网荷系统相当重要,如何在源网荷系统实时交互过程中检测异常急需解决。
发明内容
为了解决现有技术中所存在的上述不足,本发明提供源网荷系统交互报文异常的检测方法及系统。对于电力工控报文,任何一个应用层报文的特征规则都是确定的,业务指令集都是有限的,攻击特征也是能够描述的;因此,结合源网荷系统报文格式规范,通过建立源网荷系统报文的特征库,依据特征库匹配源网荷系统报文指令级字段内容,跟踪业务应用交互状态,能够及时发现源网荷系统业务流中的畸形报文、违规行为和攻击行为等异常交互状态。
本发明提供的技术方案是:源网荷系统交互报文异常的检测方法,包括:
将采集的网络数据包进行解析得到报文字段内容;
从所述报文字段内容中提取指令级字段内容;
将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常。
优选的,所述从所述报文字段内容中提取指令级字段内容,包括:
从所述报文字段内容中提取报文头字段值、报文控制域字段值、长度字段值、应用服务数据单元字段类型标识及传送原因字段值、业务指令值和应用服务数据单元字段载荷内容。
优选的,所述基于系统报文格式规范预设的规则,包括:
报文特征规则、业务规则和攻击特征规则。
优选的,所述将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常,包括:
将所述指令级字段内容与所述报文特征规则进行匹配,当匹配成功时判定所述网络数据包异常为:报文头格式异常、报文控制域格式异常、长度字段异常或应用服务数据单元部分异常;
将所述指令级字段内容与所述业务规则进行匹配,当匹配成功时判定所述网络数据包异常为:业务指令异常;
将所述指令级字段内容与所述攻击特征规则进行匹配,当匹配成功时判定所述网络数据包异常为:攻击报文。
优选的,所述业务指令异常包括:遥信、遥控中的关键业务指令异常。
优选的,所述将采集的网络数据包进行解析得到报文字段内容,包括:
将采集到网络数据进行解析;
对解析后的数据包进行过滤;
在应用层中根据获取的源网荷系统报文的特殊标识,获得报文字段内容。
优选的,所述将采集的网络数据包进行解析,包括:
对所述网络数据包基于以太网协议在数据链路层解析得到源mac地址和目的mac地址;
对所述网络数据包基于IP协议在网络层解析得到源IP地址和目的IP地址;
对所述网络数据包基于TCP协议、UDP协议和ICMP协议在传输层解析得到源端口号和目的端口号。
优选的,所述对解析后的数据包进行过滤,包括:
查询所述网络数据包和进程之间的对元关系;
将所述网络数据包中的源IP、目的IP、源端口、目的端口和TCP/UDP信息与所述对元关系进行比对;
将比对成功的网络数据包中的链接报文进行保存并进行包重组。
优选的,所述网络数据包,包括:
共享式以太网环境下的数据包或交换式以太网环境下的数据包。
优选的,所述将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常,还包括:
将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常,并产生告警。
基于同一发明构思,本发明还提供了源网荷系统交互报文异常的检测系统,包括:
报文深度解析模块,用于将采集的网络数据包进行解析得到报文字段内容;
指令级字段提取模块,用于从所述报文字段内容中提取指令级字段内容;
交互检测模块,用于将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常。
优选的,所述报文深度解析模块,包括:
第一解析单元,用于对所述网络数据包基于以太网协议在数据链路层解析得到源mac地址和目的mac地址;
第二解析单元,用于对所述网络数据包基于IP协议在网络层解析得到源IP地址和目的IP地址;
第三解析单元,用于对所述网络数据包基于TCP协议、UDP协议和ICMP协议在传输层解析得到源端口号和目的端口号。
与最接近的现有技术相比,本发明提供的技术方案具有以下有益效果:
本发明提供的技术方案,将采集的网络数据包进行解析得到报文字段内容;从所述报文字段内容中提取指令级字段内容;将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常,实现了源网荷系统实时交互过程中指令级内容的异常检测。
本发明提供的技术方案,结合源网荷系统报文格式规范,通过建立源网荷系统报文的特征库,依据特征库匹配源网荷系统报文指令级字段内容,跟踪业务应用交互状态,能够及时发现源网荷系统业务流中的畸形报文、违规行为和攻击行为等异常交互状态。
附图说明
图1为本发明源网荷系统交互报文异常的检测方法流程图;
图2为本发明实施例中源网荷系统交互报文异常的检测系统的组成结构图;
图3为本发明实施例中体系结构图;
图4为本发明实施例中的检测方法实施流程图。
具体实施方式
为了更好地理解本发明,下面结合说明书附图和实例对本发明的内容做进一步的说明。
实施例1
图1为本发明源网荷系统交互报文异常的检测方法流程图,如图1所示,包括:
步骤S101、将采集的网络数据包进行解析得到报文字段内容;
步骤S102、从所述报文字段内容中提取指令级字段内容;
步骤S103、将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常。
步骤S101、将采集的网络数据包进行解析得到报文字段内容,包括:
网络数据包包括:共享式以太网环境下的数据包或交换式以太网环境下的数据包。
将采集到网络数据进行解析;
对解析后的数据包进行过滤;
在应用层中根据获取的源网荷系统报文的特殊标识,获得报文字段内容。
进一步的,将采集的网络数据包进行解析,包括:
对网络数据包基于以太网协议在数据链路层解析得到源mac地址和目的mac地址;
对网络数据包基于IP协议在网络层解析得到源IP地址和目的IP地址;
对网络数据包基于TCP协议、UDP协议和ICMP协议在传输层解析得到源端口号和目的端口号。
其中,对解析后的数据包进行过滤,包括:
查询网络数据包和进程之间的对元关系;
将网络数据包中的源IP、目的IP、源端口、目的端口和TCP/UDP信息与对元关系进行比对;
将比对成功的网络数据包中的链接报文进行保存并进行包重组。
进一步的,对解析后的网络数据包进行过滤处理,具体包括:
查询所述网络数据包和进程之间的对元关系;
将所述网络数据包中的源IP、目的IP、源端口、目的端口和TCP/UDP信息与所述对元关系进行比对;
将比对成功的网络数据包中的链接报文进行保存并进行包重组。
步骤S102、从所述报文字段内容中提取指令级字段内容,具体包括:
从报文字段内容中提取报文头字段值、报文控制域字段值、长度字段值、应用服务数据单元字段类型标识及传送原因字段值、业务指令值和应用服务数据单元字段载荷内容。
步骤S103、将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常,包括:
基于系统报文格式规范预设的规则,包括:报文特征规则、业务规则和攻击特征规则。
进一步的,将指令级字段内容与所述报文特征规则进行匹配,当匹配成功时判定所述网络数据包异常为:报文头格式异常、报文控制域格式异常、长度字段异常或应用服务数据单元部分异常;
将指令级字段内容与所述业务规则进行匹配,当匹配成功时判定所述网络数据包异常为:业务指令异常;其中业务指令异常包括:遥信、遥控中的关键业务指令异常;
将指令级字段内容与所述攻击特征规则进行匹配,当匹配成功时判定所述网络数据包异常为:攻击报文。
实施例2
图2为源网荷系统交互异常检测系统的组成结构图,它主要包括四个部分:源网荷系统流量采集模块、源网荷系统报文深度解析模块、源网荷系统指令级字段提取模块和源网荷系统实时交互检测模块。
其中,源网荷系统流量采集模块、报文深度解析模块和指令级字段提取模块负责源网荷系统实时交互流量的采集、解析和指令级字段提取,源网荷系统实时交互检测模块完成源网荷系统业务流中的畸形报文、违规行为和攻击行为的识别。
某电力企业的源网荷系统中使用104规约实现源网荷系统主站和源网荷互动终端之间的通信,针对源网荷互动终端,扩充了IEC60870-5-104协议中的I帧定义,增加了类型标识0xAA,并定义了终端读值命令、终端写值命令、终端控制命令的传送原因字段值范围。
如图3所示,结合本方法提供的四个部分具体进行介绍:
源网荷系统流量采集模块:负责从网络中采集网络数据包,实现方式包括采用成熟网络数据包捕获软件、自行调用网络截包库。源网荷系统流量采集模块中集成了背景流量过滤功能,从复杂的网络数据包中过滤出目标进程的流量,过滤掉不需要的流量,以便于更好的分析网络数据包。
源网荷系统报文深度解析模块:负责对采集上来的网络数据包进行分析和识别,首先进行源mac地址和目的mac地址等相关链路层信息的解析,然后进行源ip地址和目的ip地址等相关网络层信息的解析,接着进行源端口号和目的端口号等相关传输层协议的解析,最后根据源网荷系统报文的特殊标识,对源网荷系统报文的内容进行解析。
源网荷系统指令级字段提取模块:根据源网荷系统报文格式,对应用层的指令级字段内容进行提取,然后将提取的指令级字段内容提交给源网荷系统实时交互检测模块,进行畸形报文、违规业务指令和攻击行为的识别。
源网荷系统实时交互检测模块:识别畸形报文、违规业务指令和攻击行为。对于解析的内容,根据源网荷系统报文的异常规则、业务指令的异常规则、攻击特征进行匹配,识别出不满足报文规范的畸形报文、违规业务指令和攻击行为,产生实时告警。
首先,对于源网荷系统流量采集模块进行进一步解释:
网络数据包捕获有两类:
一、从网络设备中获取网络数据流信息,主要适用于大型网络的数据流量信息捕获;
二、从本地网络流量中用数据包嗅探的方式获取信息,主要适用于小型网络的数据流量信息捕获。
目前,源网荷系统主要是以太网,以太网又分为共享式以太网和交换式以太网。针对共享式以太网的广播式收发特点,本实施例中采用数据包嗅探的方式从本地网络流量中获取信息。针对交换式以太网没有广播机制的特点,本实施例采用从网络设备中直接获取网络数据流信息的方法。
在共享式以太网中,数据包嗅探具体通过以下两种途径实现:
①、使用现有成熟数据包捕获软件,包括tcpdump、Iris、Sniffer、
Wireshark、winpcap等,使用成熟的软件捕获数据可以保证数据包捕获的效率、稳定性和兼容性;
②、自行调用网络截包库,包括libpcap、WinPcap等,自行调用网络截包库则可以满足电网工控流量采集中的个性化需求。
在交换式以太网中,从网络设备中直接获取数据具体通过以下两种途径实现:
a、通过基于ARP欺骗的中间人截获数据包,通过ARP欺骗使得希望获取数据包的设备把数据包都先发送给中间人,再通过中间人发送给真正的联系对象。这样中间人就能获取所有通信数据包;
b、通过交换机端口镜像功能实现,将发往目的设备的数据流量全部实时拷贝一份到指定的交换机端口发送到相应主机,从而实现数据包的获取。
源网荷系统流量采集模块的工作流程包括:
(1)启用源网荷系统流量采集模块,如果是共享式以太网转步骤2,否则转步骤3。
(2)共享式以太网环境下的流量捕获
(2-1)设置设备网络接口为混杂模式。混杂模式下对报文中的目的硬件地址不加任何检查全部接收,不仅截获目的地为本机的数据包,同时也截获目的地址为其它设备的数据包。
(2-2)启用网络嗅探工具或调用网络截包库,从网络中捕获数据流量。
(3)交换式以太网环境下的流量捕获,启用基于ARP欺骗的中间人方式或交换机镜像功能方式,从网络中捕获数据流量。
其次,对于源网荷系统报文深度解析模块进行进一步解释:
源网荷系统报文深度解析就是对报文进行分析,经过分析获得报文的数据的结构和格式逐层解析报文字段内容。网络流量都是基于TCP、IP协议簇的,而TCP、IP协议是分层结构,因此报文格式识别模块需要一层一层地对流量进行分析。
TCP/IP协议分为链路层、网络层、传输层、应用层。网络层记录的是网络流量的IP信息,传输层记录的是网络流量的端口信息,应用层承载应用功能码。
源网荷系统报文深度解析模块的主要工作流程:
(1)数据链路层信息解析。在数据链路层识别以太网协议,并对源mac地址和目的mac地址等相关链路层信息进行解析。
(2)网络层信息解析。在网络层识别IP协议对相关网络层信息进行解析得到源ip地址和目的ip地址。
(3)传输层信息解析。在传输层识别TCP协议、UDP协议、ICMP协议对传输层信息进行解析获得源端口号和目的端口号。
(4)启用过滤功能对网络数据包进行过滤,保存过滤下来的网络数据包。
首先利用系统中的命令(比如windows系统的netstat-nbo命令)查询网络流量和进程之间的对元关系,然后把数据包的源IP、目的IP、源端口、目的端口、TCP/UDP信息和查到的信息进行比对,过滤保存下来的数据报中的链接报文,把TCP分包的报文进行包重组。
(5)应用层协议解析。根据源网荷系统报文的特殊标识,识别出源网荷系统报文,并对报文内容进行解析。
然后,对源网荷系统指令级字段提取模块进行进一步解释:
源网荷系统指令级字段提取主要是识别源网荷系统报文中字段,提取报文头字段值、报文控制域字段值、长度字段值、应用服务数据单元字段类型标识及传送原因字段值、业务指令值、应用服务数据单元字段载荷内容提取,然后将提取的报文字段内容提交给源网荷系统实时交互检测模块,进行畸形报文、违规业务指令和攻击行为的识别。
源网荷系统指令级字段提取模块的主要工作流程:
(1)报文头字段值提取。提取报文头的起始字符,共1个字节,将提取的起始字符的值交给源网荷系统实时交互检测模块,进行报文头格式异常识别。
(2)报文控制域字段值提取。提取报文控制域字段值,共4个字节,将提取的字段值交给源网荷系统实时交互检测模块,进行控制域格式异常识别。
(3)长度字段值提取。提取长度字段值,应用服务数据单元长度字符1个字节,将提取的字段值交给源网荷系统实时交互检测模块,进行长度字段异常识别。
(4)应用服务数据单元字段类型标识及传送原因字段值提取。提取应用服务数据单元字段内容的第7个字节类型标识、第9个字节传送原因,将提取的字段值交给源网荷系统实时交互检测模块,进行应用服务数据单元部分异常识别。
(5)业务指令值提取。提取业务指令值包括遥信、遥控中的关键业务指令,将业务指令值交给源网荷系统实时交互检测模块,进行违规业务指令识别。
(6)应用服务数据单元字段载荷内容提取。提取应用服务数据单元字段载荷内容,将提取的载荷内容交给源网荷系统实时交互检测模块,进行攻击特征识别。
最后,对源网荷系统实时交互异常检测模块进行进一步解释:
将提取的报文字段内容根据工控报文的报文特征规则(如协议长度、协议各字段格式规范)、业务规则、攻击特征规则进行匹配,识别出不满足工控协议规范的畸形报文、违规业务指令和攻击报文,并产生实时告警。网络数据包实质上就是报文,报文异常即网络数据包异常。
其中,业务规则是根据源网荷系统的实际应用场景,设定非法的违规业务规则后,对于接收到的源网荷系统实时交互报文,监测数据流中可能导致系统异常的敏感业务操作行为,如大量发送合闸信息等。
源网荷系统实时交互异常检测模块的主要工作流程:
(1)报文头格式异常识别
源网荷系统报文IEC0870-5-104的起始字为‘68H’,将提取的起始字符的值与‘68H’进行匹配,若匹配结果为是,继续进行下一步匹配,若匹配结果为否,则表示报文为报文头格式异常报文,进行告警然后结束。
(2)控制域格式异常识别
将提取的控制域字段值与‘第1个8位组的第1比特位为0且第3个8位组第一比特位为0’、‘第1个8位组的第1比特位为1、第2比特位为0且第3个8位组第1比特位为0’、‘第1个8位组的第1比特位为1、第2比特位为1且第3个8位位组第1比特位为0’进行匹配,若匹配结果为是,继续进行下一步匹配,若匹配结果为否,则表示报文为控制域格式异常报文,进行告警然后结束。
(3)长度字段异常识别
源网荷系统报文IEC0870-5-104的长度字段值范围为[4,253],将提取的长度字段的值与[4,253]进行匹配,若匹配结果为是,继续进行下一步匹配,若匹配结果为否,则表示报文为长度字段异常报文,进行告警然后结束。
(4)应用服务数据单元部分异常识别
源网荷系统交互报文扩充了IEC IEC0870-5-104中的I帧定义,增加类型标识‘0xAA’,并定义传输原因值范围为‘5,6,7,61,69,71,125’,提取应用服务数据单元字段内容的第7个字节类型标识、第9个字节传送原因,分别与‘0xAA’和‘5,6,7,61,69,71,125’进行匹配,若匹配结果为是,继续进行下一步匹配,若匹配结果为否,则表示报文为应用服务数据单元部分异常报文,进行告警然后结束。
(5)违规业务指令识别
提取业务指令值包括遥信、遥控中的关键业务指令,将业务指令值交给源网荷系统实时交互检测模块,进行违规业务指令识别。例如,遥控跳合命令的遥控跳闸轮次和允许合闸轮次取值范围均为[0,7],读取报文里的遥控跳合闸轮次与[0,7]进行匹配,若匹配结果为是,继续进行下一步匹配,若匹配结果为否,则表示报文为异常业务指令,进行报警。
(6)攻击报文识别
提取应用服务数据单元字段载荷内容,跟攻击特征库中攻击特征进行匹配,若匹配结果为否,则表示报文为正常,若匹配结果为是,则表示报文为攻击报文,进行告警然后结束。
实施例3
如图4所示,具体运用检测方法实施流程图,具体步骤包括:
步骤1:流量采集模块采集网络中的数据包,将捕获的数据包发送给报文深度解析模块进行解析。
步骤2:源网荷系统报文深度解析模块进行TCP/IP层解析,提取源mac地址、目的mac地址、源ip地址、目的ip地、源端口号、目的端口号等信息,并对报文进行应用层解析。
步骤3:源网荷系统指令级字段提取模块分别提取1个字节的报文头的起始字符、4个字节的报文控制域字段值、1个字节的应用服务数据单元长度字符、应用服务数据单元字段内容的第7个字节类型标识、第9个字节传送原因以及遥信、遥控中的关键业务指令和应用服务数据单元字段载荷内容。
步骤4:源网荷系统实时交互异常检测模块将报文头字段内容跟语法语义规则库(语法语义规则库即报文特征规则库)中消息头格式异常规则进行匹配,若匹配结果为否则转到步骤(5),若匹配结果为是,则表示报文为报文头格式异常报文,进行告警然后结束。
步骤5:源网荷系统实时交互异常检测模块将控制域字段内容跟语法语义规则库中控制域格式异常规则进行匹配,若匹配结果为否则转到步骤(6),若匹配结果为是,则表示报文为控制域格式异常报文,进行告警然后结束。
步骤6:源网荷系统实时交互异常检测模块将长度字段内容跟语法语义规则库中长度格式异常规则进行匹配,若匹配结果为否则转到步骤(7),若匹配结果为是,则表示报文为长度格式异常报文,进行告警然后结束。
步骤7:源网荷系统实时交互异常检测模块将应用服务数据单元部分类型标识、传送原因等字段内容跟语法语义规则库中应用服务数据单元部分异常规则进行匹配,若匹配结果为否则转到步骤(8),若匹配结果为是,则表示报文为应用服务数据单元部分异常报文,进行告警然后结束。
步骤8:源网荷系统实时交互异常检测模块将业务指令跟违规业务指令规则库中违规规则进行匹配,若匹配结果为否,则表示报文为正常业务指令,若匹配结果为是,则表示报文为违规报文,进行告警然后结束。
步骤9:源网荷系统实时交互异常检测模块将应用服务数据单元载荷内容跟攻击特征库中攻击特征进行匹配,若匹配结果为否,则表示报文为正常,若匹配结果为是,则表示报文为攻击报文,进行告警然后结束。
基于同一发明构思,本发明还提供了源网荷系统交互报文异常的检测系统,包括:
报文深度解析模块,用于将采集的网络数据包进行解析得到报文字段内容;
指令级字段提取模块,用于从所述报文字段内容中提取指令级字段内容;
交互检测模块,用于将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常。
实施例中,所述报文深度解析模块,包括:
第一解析单元,用于对所述网络数据包基于以太网协议在数据链路层解析得到源mac地址和目的mac地址;
第二解析单元,用于对所述网络数据包基于IP协议在网络层解析得到源IP地址和目的IP地址;
第三解析单元,用于对所述网络数据包基于TCP协议、UDP协议和ICMP协议在传输层解析得到源端口号和目的端口号。
实施例中,还包括,流量采集模块,
所述流量采集模块,用于采集网络数据包。
实施例中,所述指令级字段提取模块,包括:
提取单元,用于从所述报文字段内容中提取报文头字段值、报文控制域字段值、长度字段值、应用服务数据单元字段类型标识及传送原因字段值、业务指令值和应用服务数据单元字段载荷内容。
实施例中,所述交互检测模块,包括:
第一检测单元,用于将所述指令级字段内容与所述报文特征规则进行匹配,当匹配成功时判定所述网络数据包异常为:报文头格式异常、报文控制域格式异常、长度字段异常或应用服务数据单元部分异常;
第二检测单元,用于将所述指令级字段内容与所述业务规则进行匹配,当匹配成功时判定所述网络数据包异常为:业务指令异常;
第三检测单元,用于将所述指令级字段内容与所述攻击特征规则进行匹配,当匹配成功时判定所述网络数据包异常为:应用服务数据单元字段载荷内容异常。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。
Claims (10)
1.源网荷系统交互报文异常的检测方法,其特征在于,包括:
将采集的网络数据包进行解析得到报文字段内容;
从所述报文字段内容中提取指令级字段内容;
将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常。
2.如权利要求1所述的检测方法,其特征在于,所述从所述报文字段内容中提取指令级字段内容,包括:
从所述报文字段内容中提取报文头字段值、报文控制域字段值、长度字段值、应用服务数据单元字段类型标识及传送原因字段值、业务指令值和应用服务数据单元字段载荷内容。
3.如权利要求1所述的检测方法,其特征在于,所述基于系统报文格式规范预设的规则,包括:
报文特征规则、业务规则和攻击特征规则。
4.如权利要求3所述的检测方法,其特征在于,所述将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常,包括:
将所述指令级字段内容与所述报文特征规则进行匹配,当匹配成功时判定所述网络数据包异常为:报文头格式异常、报文控制域格式异常、长度字段异常或应用服务数据单元部分异常;
将所述指令级字段内容与所述业务规则进行匹配,当匹配成功时判定所述网络数据包异常为:业务指令异常;
将所述指令级字段内容与所述攻击特征规则进行匹配,当匹配成功时判定所述网络数据包异常为:攻击报文。
5.如权利要求4所述的检测方法,其特征在于,所述业务指令异常包括:遥信、遥控中的关键业务指令异常。
6.如权利要求1所述的检测方法,其特征在于,所述将采集的网络数据包进行解析得到报文字段内容,包括:
将采集到网络数据进行解析;
对解析后的数据包进行过滤;
在应用层中根据获取的源网荷系统报文的特殊标识,获得报文字段内容。
7.如权利要求6所述的检测方法,其特征在于,所述将采集的网络数据包进行解析,包括:
对所述网络数据包基于以太网协议在数据链路层解析得到源mac地址和目的mac地址;
对所述网络数据包基于IP协议在网络层解析得到源IP地址和目的IP地址;
对所述网络数据包基于TCP协议、UDP协议和ICMP协议在传输层解析得到源端口号和目的端口号。
8.如权利要求7所述的检测方法,其特征在于,所述对解析后的数据包进行过滤,包括:
查询所述网络数据包和进程之间的对元关系;
将所述网络数据包中的源IP、目的IP、源端口、目的端口和TCP/UDP信息与所述对元关系进行比对;
将比对成功的网络数据包中的链接报文进行保存并进行包重组。
9.源网荷系统交互报文异常的检测系统,其特征在于,包括:
报文深度解析模块,用于将采集的网络数据包进行解析得到报文字段内容;
指令级字段提取模块,用于从所述报文字段内容中提取指令级字段内容;
交互检测模块,用于将所述指令级字段内容与基于系统报文格式规范预设的规则进行匹配,当匹配成功时判定所述网络数据包异常。
10.如权利要求9所述的检测系统,其特征在于,所述报文深度解析模块,包括:
第一解析单元,用于对所述网络数据包基于以太网协议在数据链路层解析得到源mac地址和目的mac地址;
第二解析单元,用于对所述网络数据包基于IP协议在网络层解析得到源IP地址和目的IP地址;
第三解析单元,用于对所述网络数据包基于TCP协议、UDP协议和ICMP协议在传输层解析得到源端口号和目的端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810383074.6A CN110401624A (zh) | 2018-04-25 | 2018-04-25 | 源网荷系统交互报文异常的检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810383074.6A CN110401624A (zh) | 2018-04-25 | 2018-04-25 | 源网荷系统交互报文异常的检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110401624A true CN110401624A (zh) | 2019-11-01 |
Family
ID=68320254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810383074.6A Pending CN110401624A (zh) | 2018-04-25 | 2018-04-25 | 源网荷系统交互报文异常的检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110401624A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110113332A (zh) * | 2019-04-30 | 2019-08-09 | 北京奇安信科技有限公司 | 一种检测工控协议是否存在异常的方法及装置 |
| CN110995700A (zh) * | 2019-12-02 | 2020-04-10 | 山东超越数控电子股份有限公司 | 一种畸形ip报文检测方法、设备以及存储介质 |
| CN111092889A (zh) * | 2019-12-18 | 2020-05-01 | 贾海芳 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN111814183A (zh) * | 2020-07-06 | 2020-10-23 | 桦蓥(上海)信息科技有限责任公司 | 一种基于网络层报文解析的金融实时风控系统及方法 |
| CN112351002A (zh) * | 2020-10-21 | 2021-02-09 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112367266A (zh) * | 2020-10-29 | 2021-02-12 | 北京字节跳动网络技术有限公司 | 限流方法、装置、电子设备和计算机可读介质 |
| CN113497797A (zh) * | 2020-04-08 | 2021-10-12 | 中国移动通信集团广东有限公司 | 一种icmp隧道传输数据的异常检测方法及装置 |
| CN113612721A (zh) * | 2021-01-05 | 2021-11-05 | 青岛鼎信通讯股份有限公司 | 一种基于电力线载波通信的报文智能分析方法 |
| CN113676466A (zh) * | 2021-08-11 | 2021-11-19 | 中国人民银行数字货币研究所 | 一种网络安全检测的方法和装置 |
| CN113765720A (zh) * | 2021-09-09 | 2021-12-07 | 国网湖南省电力有限公司 | 基于电力通信网流量的业务交互特征提取方法 |
| CN114124478A (zh) * | 2021-11-08 | 2022-03-01 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
| CN114362368A (zh) * | 2021-12-31 | 2022-04-15 | 湖南大学 | 智能变电站网络流量异常行为监测方法与系统 |
| CN114513369A (zh) * | 2022-04-18 | 2022-05-17 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于深度报文检测的物联网行为分析方法及系统 |
| CN114697136A (zh) * | 2022-05-07 | 2022-07-01 | 苏州雄立科技有限公司 | 一种基于交换网络的网络攻击检测方法与系统 |
| CN114745176A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 数据传输控制方法、装置、计算机设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090323536A1 (en) * | 2008-06-30 | 2009-12-31 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, device and system for network interception |
| US20100050256A1 (en) * | 2008-08-20 | 2010-02-25 | Stephen Knapp | Methods and systems for internet protocol (ip) packet header collection and storage |
| CN104579818A (zh) * | 2014-12-01 | 2015-04-29 | 国家电网公司 | 智能变电站网络异常报文检测方法 |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
-
2018
- 2018-04-25 CN CN201810383074.6A patent/CN110401624A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090323536A1 (en) * | 2008-06-30 | 2009-12-31 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, device and system for network interception |
| US20100050256A1 (en) * | 2008-08-20 | 2010-02-25 | Stephen Knapp | Methods and systems for internet protocol (ip) packet header collection and storage |
| CN104579818A (zh) * | 2014-12-01 | 2015-04-29 | 国家电网公司 | 智能变电站网络异常报文检测方法 |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110113332A (zh) * | 2019-04-30 | 2019-08-09 | 北京奇安信科技有限公司 | 一种检测工控协议是否存在异常的方法及装置 |
| CN110995700A (zh) * | 2019-12-02 | 2020-04-10 | 山东超越数控电子股份有限公司 | 一种畸形ip报文检测方法、设备以及存储介质 |
| CN111092889A (zh) * | 2019-12-18 | 2020-05-01 | 贾海芳 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN111092889B (zh) * | 2019-12-18 | 2020-11-20 | 江苏美杜莎信息科技有限公司 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN113497797A (zh) * | 2020-04-08 | 2021-10-12 | 中国移动通信集团广东有限公司 | 一种icmp隧道传输数据的异常检测方法及装置 |
| CN113497797B (zh) * | 2020-04-08 | 2023-04-28 | 中国移动通信集团广东有限公司 | 一种icmp隧道传输数据的异常检测方法及装置 |
| CN111814183A (zh) * | 2020-07-06 | 2020-10-23 | 桦蓥(上海)信息科技有限责任公司 | 一种基于网络层报文解析的金融实时风控系统及方法 |
| CN112351002B (zh) * | 2020-10-21 | 2022-04-26 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112351002A (zh) * | 2020-10-21 | 2021-02-09 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112367266A (zh) * | 2020-10-29 | 2021-02-12 | 北京字节跳动网络技术有限公司 | 限流方法、装置、电子设备和计算机可读介质 |
| CN113612721A (zh) * | 2021-01-05 | 2021-11-05 | 青岛鼎信通讯股份有限公司 | 一种基于电力线载波通信的报文智能分析方法 |
| CN113676466A (zh) * | 2021-08-11 | 2021-11-19 | 中国人民银行数字货币研究所 | 一种网络安全检测的方法和装置 |
| CN113765720A (zh) * | 2021-09-09 | 2021-12-07 | 国网湖南省电力有限公司 | 基于电力通信网流量的业务交互特征提取方法 |
| CN113765720B (zh) * | 2021-09-09 | 2023-10-24 | 国网湖南省电力有限公司 | 基于电力通信网流量的业务交互特征提取方法 |
| CN114124478A (zh) * | 2021-11-08 | 2022-03-01 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
| CN114362368A (zh) * | 2021-12-31 | 2022-04-15 | 湖南大学 | 智能变电站网络流量异常行为监测方法与系统 |
| CN114362368B (zh) * | 2021-12-31 | 2024-04-16 | 湖南大学 | 智能变电站网络流量异常行为监测方法与系统 |
| CN114745176A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 数据传输控制方法、装置、计算机设备和存储介质 |
| CN114513369A (zh) * | 2022-04-18 | 2022-05-17 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于深度报文检测的物联网行为分析方法及系统 |
| CN114513369B (zh) * | 2022-04-18 | 2022-07-08 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于深度报文检测的物联网行为分析方法及系统 |
| CN114697136A (zh) * | 2022-05-07 | 2022-07-01 | 苏州雄立科技有限公司 | 一种基于交换网络的网络攻击检测方法与系统 |
| CN114697136B (zh) * | 2022-05-07 | 2024-05-14 | 苏州雄立科技有限公司 | 一种基于交换网络的网络攻击检测方法与系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN106464577B (zh) | 网络系统、控制装置、通信装置以及通信控制方法 | |
| CN112866075B (zh) | 面向Overlay网络的带内网络遥测方法、系统及相关装置 | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| CN104937886B (zh) | 日志分析装置、信息处理方法 | |
| CN107181738B (zh) | 一种软件化入侵检测系统及方法 | |
| CN109391613A (zh) | 一种基于scd解析的智能变电站安全审计方法 | |
| CN107404400A (zh) | 一种网络态势感知实现方法及装置 | |
| EP2566102A1 (en) | Security event logging and conversion of security event messages in process control | |
| CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
| US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
| CN103067218B (zh) | 一种高速网络数据包内容分析装置 | |
| CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
| CN107347047A (zh) | 攻击防护方法和装置 | |
| CN107395588A (zh) | 视频监控接入安全阻断方法及系统 | |
| CN104660552A (zh) | 一种wlan网络入侵检测系统 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN105827629A (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
| CN105007175A (zh) | 一种基于openflow的流深度关联分析方法及系统 | |
| CN115801441A (zh) | 一种列车通信网络的安全防护系统及方法 | |
| CN106572103A (zh) | 一种基于sdn网络架构的隐藏端口检测方法 | |
| CN108199906B (zh) | 一种sdn构架中异常流量处理方法、装置和用户终端 | |
| CN104917757A (zh) | 一种事件触发式的mtd防护系统及方法 | |
| CN112688924A (zh) | 网络协议分析系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191101 |