CN111835733B - Dlt 645-2007协议漏洞挖掘状态机实现方法 - Google Patents
Dlt 645-2007协议漏洞挖掘状态机实现方法 Download PDFInfo
- Publication number
- CN111835733B CN111835733B CN202010588687.0A CN202010588687A CN111835733B CN 111835733 B CN111835733 B CN 111835733B CN 202010588687 A CN202010588687 A CN 202010588687A CN 111835733 B CN111835733 B CN 111835733B
- Authority
- CN
- China
- Prior art keywords
- message
- equipment
- channel
- executing
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
本发明公开了一种DLT 645‑2007协议漏洞挖掘状态机实现方法,方法包括:A)如是单通道设备,执行B);如是多通道设备,执行B′)和B");B)在通信信道上发送测试报文;C)判断是否满足指定条目,如是,执行D);否则,返回B);D)在通信信道上发送监测报文;E)判断是否满足触发规则,如是,执行F);F)发出报警,返回B);B′)在其中一通信信道上发送测试报文;C′)判断测试报文是否发送完毕,如是,执行D′);D′)停止发送;B")在另一通信信道上发送监测报文;C")判断是否满足触发规则,如是,执行D");D")发出告警。本发明能减少人力与时间成本,并捕捉不会造成设备物理瘫痪。
Description
技术领域
本发明涉及协议漏洞挖掘领域,特别涉及一种DLT 645-2007协议漏洞挖掘状态机实现方法。
背景技术
电能计量自动化系统是智能用电领域最核心、最关键的系统,是建设智能电网的着力点和落脚点。随着国内电力自动化技术的飞速发展,具有自主知识产权的电力自动化设备也随之开发成功,设备性能也逐渐提升。但由于生产这些设备的厂商不同,通信采用的工业控制协议不同,设备早期设计的重点不同等多种原因,造成自动化设备存在一些功能性或安全性的逻辑缺陷,这些就构成了电能计量自动化系统的漏洞,一旦某些较严重的漏洞被攻击者发现,就有可能被其利用,在未授权的情况下访问或破坏整个系统。因此,先于恶意攻击者发现并分析自动化设备的安全漏洞,及时针对漏洞制定相应保护策略,可有效减少来自外部网络的威胁。与此同时,我国的工控网络安全研究者们在漏洞研究方面显得相对被动和滞后,尤其是缺少有效针对漏洞生命周期中各环节相关的测试盒开发工具,如能使用对工控漏洞进行挖掘检测的产品,对研究工控安全是具有重要意义的。现在技术中,对DL/T 645—2007协议模糊测试漏洞的判断大多要基于人工观察设备的运行状态,再针对触发时间找漏洞报文。缺点是会大量耗费人力与时间成本。并且会漏掉相当一部分不会造成设备物理瘫痪的漏洞报文。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能减少人力与时间成本,并捕捉不会造成设备物理瘫痪的漏洞报文的DLT 645-2007协议漏洞挖掘状态机实现方法。
本发明解决其技术问题所采用的技术方案是:构造一种DLT 645-2007协议漏洞挖掘状态机实现方法,包括如下步骤:
A)判断当前设备是单通道设备还是多通道设备,如是单通道设备,则执行步骤B);如是多通道设备,则执行步骤B′)和B");
B)在通信信道上发送测试报文;
C)判断是否满足指定条目,如是,执行步骤D);否则,返回步骤B);
D)在所述通信信道上发送监测报文;
E)判断是否满足触发规则,如是,执行步骤F);否则,返回步骤B);
F)发出报警,返回步骤B);
B′)在其中一个通信信道上发送测试报文;
C′)判断所述测试报文是否发送完毕,如是,执行步骤D′);否则,返回步骤B′);
D′)停止发送;
B")在另一个通信信道上发送监测报文;
C")判断是否满足触发规则,如是,执行步骤D");否则,返回步骤B");
D")发出告警,返回步骤B")。
在本发明所述的DLT 645-2007协议漏洞挖掘状态机实现方法中,所述监测报文采取电压值、电流值、时间、超长报文检测、设备掉线检测和设备接收正常包无响应检测。
在本发明所述的DLT 645-2007协议漏洞挖掘状态机实现方法中,所述监测报文的心跳包采取地址域为全A。
在本发明所述的DLT 645-2007协议漏洞挖掘状态机实现方法中,所述超长报文检测用于判断出超长报文对设备造成功能瘫痪的影响,也列为功能漏洞,当返回的响应报文长度超过指定的阈值,则认为触发此规则。
在本发明所述的DLT 645-2007协议漏洞挖掘状态机实现方法中,针对设备掉线检测,发送5次心跳检测报文,只要5次心跳报文中,其中的1次有响应,则认为设备在线,如果5次心跳检测全部没响应,则认为设备已掉线。
在本发明所述的DLT 645-2007协议漏洞挖掘状态机实现方法中,针对设备接收正常包无响应检测,首先发送心跳包,所述心跳包有响应,然后发送采集状态的报文,但所述采集的状态报文没得到正常的响应,则认为触发了判断规则。
在本发明所述的DLT 645-2007协议漏洞挖掘状态机实现方法中,所述单通道设备采用时分复用的监测方法。
实施本发明的DLT 645-2007协议漏洞挖掘状态机实现方法,具有以下有益效果:由于针对单通道和双通道的设备有不同的解决方法,针对单通道设备,采用时分复用的监测方法,一段时间阈值内发送测试报文,用于检测、并尽可能触发漏洞,随后停止发送测试报文,发送监测报文,采集设备各种状态值是否属于正常范围;若采集的设备状态值超出正常范围,则发出警告,并发出疑似漏洞报警;对于双通单设备,采取测试报文与监测报文相互独立的方法进行测试,一个通道不间断地发送测试报文,另一通道不间断地采集设备状态,若状态值超出正常范围,则发出疑似漏洞警告;本发明能减少人力与时间成本,并捕捉不会造成设备物理瘫痪。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明DLT 645-2007协议漏洞挖掘状态机实现方法一个实施例中的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明DLT 645-2007协议漏洞挖掘状态机实现方法实施例中,该DLT 645-2007协议漏洞挖掘状态机实现方法的流程图如图1所示。图1中,该DLT 645-2007协议漏洞挖掘状态机实现方法包括如下步骤:
步骤S01判断当前设备是单通道设备还是多通道设备:本步骤中,判断当前设备是单通道设备还是多通道设备,如果判断的结果是单通道设备,则执行步骤S02;如果判断的结果是多通道设备,则执行步骤S02′和步骤S02"。
步骤S02在通信信道上发送测试报文:本步骤中,在单通道设备的通信信道上发送测试报文。
步骤S03判断是否满足指定条目:本步骤中,判断是否满足指定条目,如果判断的结果为是,则执行步骤S04;否则,返回步骤S02。
步骤S04在通信信道上发送监测报文:如果上述步骤S03的判断结果为是,则执行本步骤。本步骤中,在单通道设备的通信信道上发送监测报文。
步骤S05判断是否满足触发规则:本步骤中,判断是否满足触发规则,如果判断的结果为是,则执行步骤S06;否则,返回步骤S02。
步骤S06发出报警:本步骤中,发出报警。执行完本步骤,返回步骤S02。由此可见,单通道设备,因为其只具有一路通信通道,而测试与检测不能同时进行,所以采取时分复用的方法进行测试与检测,在发送指定条数的测试报文后,停止发送测试报文,然后在此通道上发送监测报文,并对状态值进行判断。
步骤S02′在其中一个通信信道上发送测试报文:本步骤中,在多通道设备其中一个通信信道上发送测试报文。
步骤S03′判断测试报文是否发送完毕:本步骤中,判断测试报文是否发送完毕,如果判断的结果为是,则执行步骤S04′;否则,返回步骤S02′。
步骤S04′停止发送:本步骤中,停止发送。
步骤S02"在另一个通信信道上发送监测报文:本步骤中,在多通道设备另一个通信信道上发送监测报文。监测报文采取常见的电压值、电流值、时间、超长报文检测、设备掉线检测和设备接收正常包无响应检测。监测报文的心跳包为了针对设备地址不同造成的不响应误报,统一采取地址域为全A。超长报文检测用于判断出超长报文对设备造成功能瘫痪的影响,也列为功能漏洞,当返回的响应报文长度超过指定的阀值,则认为触发此规则。
步骤S03"判断是否满足触发规则:本步骤中,判断是否满足触发规则,如果判断的结果为是,则执行步骤S04";否则,返回步骤S02"。
步骤S04"发出告警:如果上述步骤S03"的判断结果为是,则执行本步骤。本步骤中,发出告警。多通道设备,具有多条通信通道,测试与检测可以同时进行,所以采取相互独立发送测试报文与监测报文的形式,在一条通信通道上不间断发送测试报文,另一条通信通道上不间断的发送报状监测报文,并对状态值进行判断。本发明能减少人力与时间成本,并捕捉不会造成设备物理瘫痪。
针对设备掉线检测,为了减少误判,发送5次心跳检测报文,只要5次心跳报文中,其中的1次有响应,则认为设备在线,如果5次心跳检测全部没响应,则认为设备已掉线。
针对设备接收正常包无响应检测,采取的办法是,首先发送心跳包,心跳包有响应,然后发送采集状态的报文,但采集状态报文没得到正常的响应,则认为触发了此判断规则。
总之,本发明设有通过基于报文状态检测的漏洞触发判断模型,简称漏模。以漏模作为基础对DL/T 645—2007协议进行模糊测试时对设备状态进行检测,以此为根据判断是否触发协议漏洞。针对三相表,因其有两路独立的接收报文端口,所以状态机采用独立线路检测模式,一路不间断接收模糊测试报文,另一路不间断接收状态监测报文。以达到可以实时监测智能电表的状态。针对单相表,因其只有一路端口,所以只能采取模糊测试报文与状态监测报文轮询发送的方法。此技术可以在对DL/T 645—2007协议进行模糊测试时,能程序式发现触发漏洞的时间,然后根据该时间找出触发漏洞的报文。本发明可以更准确、便捷地发现漏洞报文。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种DLT645-2007协议漏洞挖掘状态机实现方法,其特征在于,包括如下步骤:A)判断当前设备是单通道设备还是多通道设备,如是单通道设备,则执行步骤B);如是多通道设备,则执行步骤B′)和B");B)在单通道设备的通信信道上发送测试报文;所述单通道设备采用时分复用的监测方法;C)判断是否满足指定条目,如是,执行步骤D);否则,返回步骤B);D)在所述通信信道上发送监测报文;E)判断是否满足触发规则,如是,执行步骤F);否则,返回步骤B);F)发出报警,返回步骤B);B′)在多通道设备其中一个通信信道上发送测试报文;C′)判断所述测试报文是否发送完毕,如是,执行步骤D′);否则,返回步骤B′);D′)停止发送;B")在多通道设备另一个通信信道上发送监测报文;所述监测报文采取电压值、电流值、时间、超长报文检测、设备掉线检测和设备接收正常包无响应检测;所述监测报文的心跳包采取地址域为全A ;C")判断是否满足触发规则,如是,执行步骤D");否则,返回步骤B");D")发出告警,返回步骤B")。
2.根据权利要求1所述的一种DLT645-2007协议漏洞挖掘状态机实现方法,其特征在于,所述超长报文检测用于判断出超长报文对设备造成功能瘫痪的影响,也列为功能漏洞,当返回的响应报文长度超过指定的阈值,则认为触发此规则。
3.根据权利要求1至2任意一项所述的一种DLT645-2007协议漏洞挖掘状态机实现方法,其特征在于,针对设备掉线检测,发送5次心跳检测报文,只要5次心跳检测 报文中,其中的1次有响应,则认为设备在线,如果5次心跳检测报文全部没响应,则认为设备已掉线。
4.根据权利要求3所述的一种DLT645-2007协议漏洞挖掘状态机实现方法,其特征在于,针对设备接收正常包无响应检测,首先发送心跳包,所述心跳包有响应,然后发送采集状态的报文,但所述采集的状态的报文没得到正常的响应,则认为触发了判断规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010588687.0A CN111835733B (zh) | 2020-06-24 | 2020-06-24 | Dlt 645-2007协议漏洞挖掘状态机实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010588687.0A CN111835733B (zh) | 2020-06-24 | 2020-06-24 | Dlt 645-2007协议漏洞挖掘状态机实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835733A CN111835733A (zh) | 2020-10-27 |
| CN111835733B true CN111835733B (zh) | 2022-06-14 |
Family
ID=72898141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010588687.0A Active CN111835733B (zh) | 2020-06-24 | 2020-06-24 | Dlt 645-2007协议漏洞挖掘状态机实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835733B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010048776A1 (zh) * | 2008-10-28 | 2010-05-06 | 中国科学院研究生院 | 一种obex协议漏洞挖掘方法及其系统 |
| CN102307367A (zh) * | 2011-08-18 | 2012-01-04 | 大唐移动通信设备有限公司 | 一种通信设备及掉电告警方法 |
| CN105763392A (zh) * | 2016-02-19 | 2016-07-13 | 中国人民解放军理工大学 | 一种基于协议状态的工控协议模糊测试方法 |
| CN110213083A (zh) * | 2019-05-05 | 2019-09-06 | 成都大学 | 一种新型多功能电力通讯网络测试仪 |
| CN110716872A (zh) * | 2019-09-23 | 2020-01-21 | 广州海颐信息安全技术有限公司 | 电能计量自动化设备的漏洞挖掘系统及方法 |
-
2020
- 2020-06-24 CN CN202010588687.0A patent/CN111835733B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010048776A1 (zh) * | 2008-10-28 | 2010-05-06 | 中国科学院研究生院 | 一种obex协议漏洞挖掘方法及其系统 |
| CN102307367A (zh) * | 2011-08-18 | 2012-01-04 | 大唐移动通信设备有限公司 | 一种通信设备及掉电告警方法 |
| CN105763392A (zh) * | 2016-02-19 | 2016-07-13 | 中国人民解放军理工大学 | 一种基于协议状态的工控协议模糊测试方法 |
| CN110213083A (zh) * | 2019-05-05 | 2019-09-06 | 成都大学 | 一种新型多功能电力通讯网络测试仪 |
| CN110716872A (zh) * | 2019-09-23 | 2020-01-21 | 广州海颐信息安全技术有限公司 | 电能计量自动化设备的漏洞挖掘系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于STM32的智能电表;王肖峰;《物联网技术》;20190930(第9期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835733A (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Morris et al. | A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems | |
| CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| Yang et al. | Intrusion detection system for IEC 60870-5-104 based SCADA networks | |
| CN111556083B (zh) | 电网信息物理系统网络攻击物理侧与信息侧协同溯源装置 | |
| Dharma et al. | Time-based DDoS detection and mitigation for SDN controller | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| US20200302054A1 (en) | Method for detecting physical intrusion attack in industrial control system based on analysis of signals on serial communication bus | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| CN101728869A (zh) | 电站自动化系统数据网络安全监控方法 | |
| Wang et al. | A survey on bad data injection attack in smart grid | |
| CN101026505A (zh) | 用于监控通信网络中的恶意流量的方法和装置 | |
| CN105827613B (zh) | 一种针对变电站工控设备信息安全的测试方法及系统 | |
| Chavez et al. | Hybrid intrusion detection system design for distributed energy resource systems | |
| CN113507436B (zh) | 一种针对goose协议的电网嵌入式终端模糊测试方法 | |
| CN101136797A (zh) | 内外网物理连通的检测、通断控制方法及应用该方法的装置 | |
| CN101364981A (zh) | 基于因特网协议版本6的混合式入侵检测方法 | |
| Morris et al. | A retrofit network transaction data logger and intrusion detection system for transmission and distribution substations | |
| CN110716872A (zh) | 电能计量自动化设备的漏洞挖掘系统及方法 | |
| CN111835733B (zh) | Dlt 645-2007协议漏洞挖掘状态机实现方法 | |
| CN114760212A (zh) | 一种基于SDN的DDoS攻击检测和缓解方法及系统 | |
| Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
| CN112769653B (zh) | 一种基于网口绑定的网络检测与切换方法、系统及介质 | |
| CN113285937B (zh) | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |