CN113225342A - 一种通信异常检测方法、装置、电子设备及存储介质 - Google Patents

一种通信异常检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113225342A
CN113225342A CN202110499712.2A CN202110499712A CN113225342A CN 113225342 A CN113225342 A CN 113225342A CN 202110499712 A CN202110499712 A CN 202110499712A CN 113225342 A CN113225342 A CN 113225342A
Authority
CN
China
Prior art keywords
network access
equipment
attack
message
access behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110499712.2A
Other languages
English (en)
Other versions
CN113225342B (zh
Inventor
贾锦辉
付从海
龚海澎
王庭宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Yingdesaike Technology Co ltd
Original Assignee
Sichuan Yingdesaike Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Yingdesaike Technology Co ltd filed Critical Sichuan Yingdesaike Technology Co ltd
Priority to CN202110499712.2A priority Critical patent/CN113225342B/zh
Publication of CN113225342A publication Critical patent/CN113225342A/zh
Application granted granted Critical
Publication of CN113225342B publication Critical patent/CN113225342B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种通信异常检测方法、装置、电子设备及存储介质,方法包括:接收网络报文,并筛选出网络报文中的IEC61850协议报文;确定IEC61850协议报文的报文类型、源设备和目标设备;判断源设备的网络访问行为是否存在攻击行为且目标设备是否为工控设备;攻击行为包括端口扫描攻击或ARP欺骗攻击;当确定源设备的网络访问行为存在攻击行为且目标设备为工控设备时,则根据报文类型确定源设备的通信异常类型。本方法利用源设备历史的攻击行为判断源设备和工控设备之间是否存在通信风险,进而可结合报文类型准确判定源设备的通信异常类型,能够对基于IEC61850协议的异常通信进行有效检测和防护。

Description

一种通信异常检测方法、装置、电子设备及存储介质
技术领域
本发明涉及智能变电站领域,特别涉及一种通信异常检测方法、装置、电子设备及计算机可读存储介质。
背景技术
在智能变电站系统中,智能装置之间的通信主要依靠IEC61850协议实现,由于智能装置之间的关联紧密,一旦某个智能装置遭到恶意攻击,将会影响整个智能变电站内的通信。然而在相关技术中,仅根据IEC61850协议的网络报文特征难以判定智能装置存在通信异常。
因此,如何有效对IEC61850协议报文进行通信异常检测,是本领域技术人员需要面对的技术问题。
发明内容
本发明的目的是提供一种通信异常检测方法、装置、电子设备及计算机可读存储介质,可利用源设备的网络访问行为边界判断源设备和工控设备之间是否存在通信风险,进而可结合报文类型准确判定源设备的通信异常类型,能够对基于IEC61850协议的异常通信进行有效检测和防护。
为解决上述技术问题,本发明提供一种通信异常检测方法,包括:
接收网络报文,并筛选出所述网络报文中的IEC61850协议报文;
确定所述IEC61850协议报文的报文类型、源设备和目标设备;
判断所述源设备的网络访问行为是否存在攻击行为且所述目标设备是否为工控设备;所述攻击行为包括端口扫描攻击或ARP欺骗攻击;
当确定所述源设备的网络访问行为存在攻击行为且所述目标设备为所述工控设备时,则根据所述报文类型确定所述源设备的通信异常类型。
可选地,所述根据所述报文类型确定所述源设备的通信异常类型,包括:
若所述报文类型为TCP连接报文,则判定所述通信异常类型为异常连接所述工控设备,并将所述源设备标记为异常设备及输出表示所述异常连接所述工控设备的攻击告警;
若所述报文类型为遥信报文或遥控报文且所述源设备为所述异常设备,则判定所述通信异常类型为异常控制所述工控设备,并输出从所述IEC61850协议报文中提取的开关名称及表示所述异常控制所述工控设备的攻击告警。
可选地,在筛选出所述网络报文中的IEC61850协议报文之前,还包括:
确定所述网络报文中的源设备及对应的网络访问行为;
利用预设网络访问行为表对所述网络访问行为进行验证,确定所述网络访问行为是否为所述攻击行为;所述预设网络访问行为表中包含监听范围内的源设备和目标设备原有的网络访问行为;
若是,则将所述网络访问行为标记为所述源设备的攻击行为。
可选地,所述利用预设网络访问行为表对所述网络访问行为进行验证,确定所述网络访问行为是否为所述攻击行为,包括:
确定接收所述网络报文的时间点,并将所述时间点及所述网络访问行为记录于网络访问行为表中;
当所述网络报文使用的网络端口为IEC61850协议的服务端口时,判断所述网络访问行为是否处于所述预设网络访问行为表中;
若否,则在所述网络访问行为表中,确定所述源设备在所述时间点前第一预设时间段内不在所述预设网络访问行为表的网络访问行为的数量,并利用所述数量及所述第一预设时间段计算所述源设备的异常通信频率;
当所述异常通信频率大于预设阈值时,则确定所述网络报文中的网络访问行为为所述端口扫描攻击。
可选地,所述利用预设网络访问行为表对所述网络访问行为进行验证,确定所述网络访问行为是否为所述攻击行为,包括:
从所述网络访问行为中提取所述源设备的MAC地址及IP地址;
利用所述预设网络访问行为表判断所述MAC地址及所述IP地址的对应关系,与所述源设备在所述预设网络访问行为表中的对应关系是否相同;
若否,则确定所述网络访问行为为所述ARP欺骗攻击。
可选地,在接收网络报文之前,还包括:
利用在第二预设时间段内接收到的网络报文所包含的源设备的网络访问行为生成所述预设网络访问行为表。
可选地,在将所述网络访问行为标记为所述源设备的攻击行为之后,还包括:
输出所述攻击行为对应的攻击告警。
本发明还提供一种通信异常检测装置,包括:
报文处理模块,用于接收网络报文,并筛选出所述网络报文中的IEC61850协议报文;
信息确定模块,用于确定所述IEC61850协议报文的报文类型、源设备和目标设备;
判断模块,用于判断所述源设备的网络访问行为是否存在攻击行为且所述目标设备是否为工控设备;所述攻击行为包括端口扫描攻击或ARP欺骗攻击;
判定模块,用于当确定所述源设备的网络访问行为存在所述攻击行为且所述目标设备为所述工控设备时,则根据所述报文类型确定所述源设备的通信异常类型。
本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的通信异常检测方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述的通信异常检测方法。
本发明提供一种通信异常检测方法,包括:接收网络报文,并筛选出所述网络报文中的IEC61850协议报文;确定所述IEC61850协议报文的报文类型、源设备和目标设备;判断所述源设备的网络访问行为是否存在攻击行为且所述目标设备是否为工控设备;所述攻击行为包括端口扫描攻击或ARP欺骗攻击;当确定所述源设备的网络访问行为存在所述攻击行为且所述目标设备为所述工控设备时,则根据所述报文类型确定所述源设备的通信异常类型。
可见,本方法对IEC61850协议报文的通信异常检测,通过将IEC61850协议报文的报文类型与源设备的攻击行为相结合的方式进行检测判断。由于源设备在利用IEC61850协议报文进行恶意攻击前,首先会对工控设备进行端口扫描攻击或APR欺骗攻击,以套取工控设备信息,因此本方法先通过确定源设备的网络访问行为是否存在攻击行为,并在确定源设备存在攻击行为且目标设备为工控设备时,再判定源设备与目标设备之间的通信是否存在风险,最后结合IEC61850协议报文的报文类型可准确且高效地确定源设备存在的通信异常类型,有效避免了相关技术中仅根据IEC61850协议的网络报文特征难以判定通信异常的问题,能够对基于IEC61850协议的通信进行有效检测及防护。本发明还提供一种通信异常检测装置、电子设备及计算机可读存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种通信异常检测方法的流程图;
图2为本发明实施例所提供的一种通信异常检测方法适用的网络结构的示意图;
图3为本发明实施例所提供的一种端口扫描攻击检测的流程图;
图4为本发明实施例所提供的一种ARP欺骗攻击检测的流程图;
图5为本发明实施例所提供的一种通信异常检测装置的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在智能变电站系统中,智能装置之间的通信主要依靠IEC61850协议实现,由于智能装置之间的关联紧密,一旦某个智能装置遭到恶意攻击,将会影响整个智能变电站内的通信。然而在相关技术中,仅根据IEC61850协议的网络报文特征难以判定智能装置存在通信异常。有鉴于此,本发明提供一种通信异常检测方法,可利用源设备是否存在攻击行为来判断源设备和工控设备之间是否存在通信风险,进而可结合报文类型准确判定源设备的通信异常类型,能够对基于IEC61850协议的异常通信进行有效检测和防护。请参考图1,图1为本发明实施例所提供的一种通信异常检测方法的流程图,该方法可以包括:
S101、接收网络报文,并筛选出网络报文中的IEC61850协议报文。
需要说明的是,本发明实施例并不限定在网络报文中筛选IEC61850协议报文的具体方式,可参考过滤网络报文的相关技术。
S102、确定IEC61850协议报文的报文类型、源设备和目标设备。
需要说明的是,本发明实施例并不限定IEC61850协议报文的具体形式及可包含的报文类型,用户可参考IEC61850协议的相关技术。可以理解的是,由于IEC61850协议属于网络报文,而网络报文中必然包含源设备及目标设备的设备信息,例如IP地址及MAC地址,因此可利用IEC61850协议报文中包含的设备信息确定源设备及目标设备。
S103、判断源设备的网络访问行为是否存在攻击行为且目标设备是否为工控设备;攻击行为包括端口扫描攻击或ARP欺骗攻击;若是,则进入步骤S104;若否,则进入步骤S101。
在本发明实施例中,为了确定源设备与目标设备之间存在通信风险,首先判断了源设备的网络访问行为是否存在攻击行为,网络访问行为表示该源设备与目标设备之间的访问行为。这是由于源设备在利用IEC61850协议对工控设备进行通信攻击之前,首先会使用端口扫描或是ARP欺骗等方式套取工控设备的设备信息,进而利用工控设备的设备信息对工控设备进行通信攻击,因此本发明实施例将源设备的攻击行为融合至通信异常检测中,可有效地确定与工控设备存在通信风险的源设备,进而结合IEC61850协议的报文类型便可准确地确定源设备存在的异常通信类型,可准确有效地对基于IEC61850协议的异常通信进行检测和防护。
需要说明的是,由于在该步骤中确定的是源设备的网络访问行为中是否存在攻击行为,即在接收到该IEC61850协议报文之前,源设备已经发生了攻击行为,因此可以理解的是,在接收到该IEC61850协议报文之前,已对源设备的攻击行为进行了检测。同样可以理解的是,由于源设备及目标设备均为网络设备,因此源设备可以通过发送网络报文的方式收集目标设备的设备信息,例如IP地址、MAC地址及可用端口等,而在本发明实施例中,也正是通过网络报文对该源设备的攻击行为进行检测。
需要说明的是,本发明实施例并不限定检测源设备是否存在攻击行为时所利用的网络报文是否使用IEC61850协议。当源设备仅使用该协议的报文收集目标设备的设备信息时,可以只利用IEC61850协议报文对源设备的攻击行为进行检测;当源设备可通过多种协议类型的网络报文收集目标设备的设备信息时,也可使用多种协议类型的网络报文对源设备的攻击行为进行检测。考虑到源设备会发送各种类型的网络报文对目标设备的设备信息进行全方位收集,因此在本发明实施例中并不限定检测源设备是否存在攻击行为所使用的网络报文协议。在发现源设备存在攻击行为后,便可将对应的攻击行为设置为源设备的攻击行为。
进一步,本发明实施例并不限定检测源设备是否存在攻击行为的方式,例如可对接收到的网络报文存储至一监听列表(也即“网络访问行为表”)中,对将网络报文中携带的通信信息(例如源设备信息、目标设备信息、所用协议、端口信息等)与该列表中记录的其他通信信息进行比较,进而确定源设备是否存在攻击行为;当然,也可以预先设置一个预设网络访问行为表,该表中包含监听范围内的源设备和目标设备原有的通信行为,进而将网络报文中的源设备及对应的通信行为信息(例如源设备信息、目标设备信息、所用协议、端口信息等)与预设网络访问行为表中记录的通信行为信息进行对比验证,以确定源设备是否存在攻击行为。在本发明实施例中,考虑到网络报文数量较大,当大量的网络报文存储于监听列表时,利用监听列表进行反复比较操作将带来巨大的计算量,进而降低攻击行为检测的效率,而利用预设网络访问行为表则可提升验证的效率,因此在本发明实施例中,检测源设备是否存在攻击行为可利用预设网络访问行为表进行。
在一种可能的情况中,在筛选出网络报文中的IEC61850协议报文之前,还可以包括:
步骤11:确定网络报文中的源设备及对应的网络访问行为;
步骤12:利用预设网络访问行为表对网络访问行为进行验证,确定源设备的网络访问行为是否为攻击行为;预设网络访问行为表中包含监听范围内的源设备和目标设备原有的网络访问行为,若是,则进入步骤13,若否,则进入步骤11;
步骤13:将网络访问行为标记为源设备的攻击行为。
需要说明的是,本发明实施例并不限定预设网络访问行为表的设置方式,该表可通过人工输入的方式进行设置,即由人工规定监听范围内的源设备应当存在的通信行为;也可以设置用于学习的预设时间段,并利用该预设时间段接收到的网络报文所包含的源设备的网络访问行为生成该预设网络访问行为表。考虑到源设备数量较多,人工设置的方式效率较低,因此在本发明实施例中,预设网络访问行为表可通过预设时间段接收到的网络报文所包含的源设备的网络访问行为生成。
进一步,本发明实施例并不限定预设网络访问行为表中具体可包含的源设备网络访问行为的信息,例如可以包含源设备信息、目标设备信息、网络报文所用协议、服务端口等,源设备信息及目标设备信息可包含MAC地址和IP地址;当然,当预设网络访问行为表利用预设时间段接收到的网络报文所包含源设备的网络访问行为生成时,由于预设网络访问行为表也可包含记录该网络访问行为对应的时间信息,该时间信息可以包含源设备首次进行该网络访问行为的时间及最近一次进行该网络访问行为的时间,用户可根据实际应用需求进行设置。
在一种可能的情况中,在接收网络报文之前,还可以包括:
步骤21:利用在第二预设时间段内接收到的网络报文所包含的源设备的网络访问行为生成预设网络访问行为表。
需要说明的是,本发明实施例并不限定第二预设时间段的具体数值,用户可根据实际应用需求进行设置。
进一步,在确定源设备存在攻击行为后,可将源设备对应的攻击行为进行预警输出,以告知管理人员及时处理。当然,可以对源设备信息进行相应的标记,以便后续快速查找及管理。本发明实施例并不锌锭标记源设备所使用的源设备信息,例如可以为MAC地址,也可以为IP地址。考虑到MAC地址为硬件设备的唯一硬件标识,因此可对MAC地址进行标记。
在一种可能的情况中,在将网络访问行为标记为源设备的攻击行为之后,还可以包括:
步骤31:输出攻击行为对应的攻击告警。
进一步,本发明实施例并不限定利用预设网络访问行为表确定源设备存在端口扫描攻击的具体方式,例如可对该源设备为通过预设网络访问行为表验证的网络访问行为进行计数,确定异常通信数量,并在异常通信数量大于预设阈值时判定该源设备存在端口扫描攻击;当然,也可在预设时间段内,对该源设备为通过预设网络访问行为表验证的网络访问行为进行计数,确定异常通信数量,并利用预设时间段及异常通信数量计算异常通信频率,最后在异常通信频率大于预设阈值时判定该源设备存在异常端口扫描。考虑到计算频率的方式可更加快速地确定源设备的端口扫描攻击,因此在本发明实施例中对源设备端口扫描攻击的检测可通过计算异常通信频率并利用预设阈值进行比较的方式进行。
进一步,本发明实施例也不限定利用预设网络访问行为表确定源设备存在ARP欺骗攻击的具体方式。可以理解的是,由于采用ARP欺骗攻击进行通信攻击的攻击设备,会通过将自身MAC地址更换为目标主机的MAC地址的方式截取发往目标主机的网络报文,因此只需利用预设网络访问行为表对网络报文中源设备的MAC地址及IP地址的对应关系进行验证,便可快速确定源设备是否存在ARP欺骗攻击。
最后,需要说明的是,步骤11至步骤13所述的攻击行为检测过程,可与步骤S101至步骤S103所述的通信异常检测过程并行执行,即对收集到的网络报文同时执行攻击行为检测及通信异常检测,也可以首先对网络报文执行攻击行为检测,当完成攻击行为检测后,再确定网络报文是否使用IEC61850协议,若是则继续进行通信异常检测。
S104、当确定源设备的网络访问行为存在攻击行为且目标设备为工控设备时,则根据报文类型确定源设备的通信异常类型。
当源设备存在攻击行为且目标设备为工控设备时,表明源设备及目标设备之间存在通信风险,此时便可进一步利用IEC61850协议报文的报文类型确定源设备的通信异常类型,以确定源设备具体的通信攻击行为。
需要说明的是,本发明实施例并不限定具体的工控设备,用户可参考智能变电站的相关技术。可以理解的是,可通过目标设备的目标设备信息确定目标设备是否为工控设备。本发明实施例并不限定确定目标设备是否为工控设备所使用的目标设备信息,例如可以为MAC地址,也可以为IP地址。
本发明实施例也不限定IEC61850协议报文具体的报文类型,例如可以有TCP连接报文、遥信报文、遥控报文等,可参考IEC61850协议的相关技术。本发明也不限定可确定具体通信异常类型的报文类型,由于TCP连接报文、遥信报文及遥控报文在智能变电站系统中较为敏感,因此可根据上述三种报文确定源设备的通信异常类型。本发明也不限定TCP连接报文、遥信报文及遥控报文可对应的通信异常类型,考虑到TCP连接报文用于通信连接,因此TCP连接报文对应的通信异常类型可以为异常连接工控设备;而遥信报文及遥控报文均用于向工控设备发送控制设备,因此遥信报文及遥控报文可对应的通信异常类型可以为异常控制工控设备。当然,用户可以设置其他的通信异常类型,本发明实施例在此不进行限定。
在一种可能的情况中,根据报文类型确定源设备的通信异常类型,可以包括:
步骤41:若报文类型为TCP连接报文,则判定通信异常类型为异常连接工控设备,并将源设备标记为异常设备及输出表示异常连接工控设备的攻击告警。
可以理解的是,源设备与工控设备的通信顺序为:先建立TCP连接在发送控制信息,因此在确定报文类型为TCP连接报文后,可将该源设备对应的源设备信息标记为异常设备,以确保接收到该源设备发送的遥信报文或遥控报文后,可确认该源设备存在过异常的TCP连接。需要说明的是,本发明实施例并不限定将源设备标记为异常设备所使用的源设备信息,例如可以为MAC地址,也可以为IP地址,考虑到MAC地址为硬件设备的唯一硬件标识,因此可对MAC地址进行标记。本发明实施例也不限定表示异常连接工控设备的攻击告警的具体内容及输出形式,可根据实际应用需求进行设置。
步骤42:若报文类型为遥信报文或遥控报文且源设备为异常设备,则判定通信异常类型为异常控制工控设备,并输出从IEC61850协议报文中提取的开关名称及表示异常控制工控设备的攻击告警。
开关即为源设备所控制的变电站设备,例如刀闸、断路器等。
在确定了源设备的通信异常类型后,也可将该通信异常类型进行预警或告警输出,以提示管理人员及时处理。本发明实施例并不限定表示异常控制工控设备的攻击告警的具体内容及输出形式,可根据实际应用需求进行设置。
最后,本发明实施例并不限定执行通信异常检测的装置在智能变电站网络中的设置位置,例如该装置可以为智能变电站站控层的交换机,当然也可以为与该交换机进行旁路连接的另一监听设备。考虑到利用与智能变电站站控层交换机进行旁路连接的另一监听设备进行通信异常检测不会对现存网络造成网络拥堵,因此在本发明实施例中可利用与智能变电站站控层交换机进行旁路连接的另一监听设备进行通信异常检测。请参考图2,图2为本发明实施例所提供的一种通信异常检测适用的网络结构的示意图,其中的IEC61850协议攻击检测方法载体即为上述与智能变电站站控层交换机进行旁路连接的监听设备。该载体可将检测结果通过电力生产大区非控制区网络发送至管理机,以方便管理人员及时进行处理。
基于上述实施例,本方法对IEC61850协议报文的通信异常检测,通过将IEC61850协议报文的报文类型及源设备历史的攻击行为相结合的方式进行。由于源设备在利用IEC61850协议报文进行恶意攻击前,首先会对工控设备进行端口扫描攻击或APR欺骗攻击,以套取工控设备信息,因此本方法通过确定源设备的网络访问行为是否存在历史的攻击行为可首先判定源设备是否存在历史异常通信,并在确定源设备存在攻击行为且目标设备为工控设备时,可判定源设备与目标设备之间的通信存在风险,最后结合IEC61850协议报文的报文类型可准确且高效地确定源设备存在的通信异常类型,有效避免了相关技术中仅根据IEC61850协议的网络报文特征难以判定通信异常的问题,能够对基于IEC61850协议的通信进行有效检测及防护。
基于上述实施例,下面对端口扫描攻击的具体检测方式进行介绍。请参考图3,图3为本发明实施例所提供的一种端口扫描攻击检测的流程图。在一种可能的情况中,利用预设网络访问行为表对网络访问行为进行验证,确定网络访问行为是否为攻击行为,可以包括:
S301、确定接收网络报文的时间点,并将时间点及网络访问行为记录于网络访问行为表中。
需要说明的是,本发明实施例中对网络访问行为表可保存的网络访问行为的限定描述,与预设网络访问行为表可保存的网络访问行为的限定描述一致,此处不再赘述。可以理解的是,网络访问行为表用于暂存时间点信息及网络访问行为。需要说明的是,本发明并不限定网络访问行为表可保存的网络访问行为的最大数量,用户可根据实际应用需求进行设定。本发明实施例也不限定当网络访问行为表中存放的网络访问行为达到最大数量的后续操作,例如可将网络访问行为表中较早出现的网络访问行为进行移除,也可将网络访问行为表中存放的所有网络访问行为进行移除,用户可根据实际应用需求进行设定。
S302、当网络报文使用的网络端口为IEC61850协议的服务端口时,判断网络访问行为是否处于预设网络访问行为表中;若是,则退出检测;若否,则进入步骤S203。
可以理解的是,为了探测IEC61850协议服务端口的弱点,网络报文将会对IEC61850协议的服务端口进行全方位探测,因此将使用IEC61850协议的服务端口的网络报文进行专门检测。同样可以理解的是,当网络访问行为并不处于预设网络访问行为表时,除了退出检测之外,还可继续进行ARP欺骗检测,以确定源设备是否存在APR欺骗行为。
S303、在网络访问行为表中,确定源设备在时间点前第一预设时间段内不在预设网络访问行为表的网络访问行为的数量,并利用数量及第一预设时间段计算源设备的异常通信频率。
在本发明实施例中,利用异常通信频率判断源设备使用存在端口扫描攻击。当源设备在第一预设时间段内反复向目标设备发送网络报文时,可确定源设备存在试探目标设备服务端口的行为,进而在异常通信频率大于预设阈值时,便可准确判定源设备存在端口扫描攻击。
需要说明的是,本发明实施例并不限定第一预设时间段的具体数值,用户可根据实际应用需求进行设置。
S304、当异常通信频率大于预设阈值时,则确定网络报文中的网络访问行为为端口扫描攻击。
需要说明的是,本发明实施例并不限定预设阈值的具体数值,用户可根据实际应用需求进行设定。
当确定源设备存在端口扫描攻击后,可以将网络报文中的网络访问行为标记为端口扫描攻击,也可直接将源设备信息标记为端口扫描攻击设备。需要说明的是,本发明实施例并不限定标记所使用的源设备信息,例如可以为MAC地址,也可以为IP地址。考虑到MAC地址为硬件设备的唯一硬件标识,因此可对MAC地址进行标记。
基于上述实施例,本方法可利用异常通信频率判断源设备是否存在端口扫描攻击。当源设备在第一预设时间段内反复向多个目标设备的IEC61850协议服务端口发送网络报文时,可确定源设备存在试探目标设备服务端口的行为,因此本方法可利用异常通信频率,准确判定源设备是否存在端口扫描攻击。
基于上述实施例,下面对ARP欺骗攻击的具体检测方式进行介绍。请参考图4,图4为本发明实施例所提供的一种ARP欺骗攻击检测的流程图。在一种可能的情况中,利用预设网络访问行为表对网络访问行为进行验证,确定网络访问行为是否为攻击行为,包括:
S401、从网络访问行为中提取源设备的MAC地址及IP地址。
S402、利用预设网络访问行为表判断MAC地址及IP地址的对应关系,与源设备在预设网络访问行为表中的对应关系是否相同;若是,则退出检测,若否,则进入步骤S303。
由于采用ARP欺骗方法进行通信攻击的攻击设备,会通过将自身MAC地址更换为目标主机的MAC地址的方式截取发往目标主机的网络报文,因此只需利用预设网络访问行为表对网络报文中源设备的MAC地址及IP地址的对应关系进行验证,便可快速确定源设备是否存在ARP欺骗攻击。例如,当源设备在预设网络访问行为表中的对应关系为MAC1对应IP1,但在网络报文中的对应关系为MAC2对应IP1,又或是MAC1对应IP2时(MAC1与MAC2不相同,IP1与IP2不相同),此时便可判定该源设备存在APR欺骗攻击。
S403、确定网络访问行为为ARP欺骗攻击。
当确定源设备存在ARP欺骗攻击后,可以将网络报文中的网络访问行为标记为ARP欺骗攻击,也可将源设备信息标记为ARP欺骗攻击设备。需要说明的是,本发明实施例并不限定标记所使用的源设备信息,例如可以为MAC地址,也可以为IP地址。考虑到MAC地址为硬件设备的唯一硬件标识,因此可对MAC地址进行标记。
基于上述实施例,本方法可将源设备在网络报文中MAC地址及IP地址的对应关系,与预设网络访问行为表中的相应的对应关系进行对比,当两者不相同时,便可准确判定源设备存在ARP欺骗攻击。
下面对本发明实施例提供的一种通信异常检测装置、电子设备及计算机可读存储介质进行介绍,下文描述的通信异常检测装置、电子设备及计算机可读存储介质与上文描述的通信异常检测方法可相互对应参照。
请参考图5,图5为本发明实施例所提供的一种通信异常检测装置的结构框图,该装置可以包括:
报文处理模块501,用于接收网络报文,并筛选出网络报文中的IEC61850协议报文;
信息确定模块502,用于确定IEC61850协议报文的报文类型、源设备和目标设备;
判断模块503,用于判断源设备的网络访问行为是否存在攻击行为且目标设备是否为工控设备;攻击行为包括端口扫描攻击或ARP欺骗攻击;
判定模块504,用于当确定源设备的网络访问行为存在攻击行为且目标设备为工控设备时,则根据报文类型确定源设备的通信异常类型。
可选地,判定模块504,可以包括:
第一告警子模块,用于若报文类型为TCP连接报文,则判定通信异常类型为异常连接工控设备,并将源设备标记为异常设备及输出表示异常连接工控设备的攻击告警;
第二告警子模块,用于若报文类型为遥信报文或遥控报文,则判定通信异常类型为异常控制工控设备,并输出从IEC61850协议报文中提取的开关名称及表示异常控制工控设备的攻击告警。
可选地,该装置还可以包括:
第二信息确定模块,用于确定网络报文中的源设备及对应的网络访问行为;
验证模块,用于利用预设网络访问行为表对网络访问行为进行验证,确定网络访问行为是否为攻击行为;预设网络访问行为表中包含监听范围内的源设备原有的网络访问行为;
标记模块,用于将网络访问行为标记为源设备的攻击行为。
可选地,验证模块可以包括:
记录子模块,用于确定接收网络报文的时间点,并将时间点及网络访问行为记录于网络访问行为表中;
第一判断子模块,用于当网络报文使用的网络端口为IEC61850协议的服务端口时,判断网络访问行为是否处于预设网络访问行为表中;
频率计算子模块,用于在网络访问行为表中,确定源设备在时间点前第一预设时间段内不在预设网络访问行为表的网络访问行为的数量,并利用数量及第一预设时间段计算源设备的异常通信频率;
第三判定子模块,用于当异常通信频率大于预设阈值时,则确定网络报文中的网络访问行为为端口扫描攻击。
可选地,验证模块可以包括:
提取子模块,用于从网络访问行为中提取源设备的MAC地址及IP地址;
第二判断子模块,用于利用预设网络访问行为表判断MAC地址及IP地址的对应关系,与源设备在预设网络访问行为表中的对应关系是否相同;
第四判定子模块,用于若否,则确定网络访问行为为ARP欺骗攻击;
可选地,该装置还可以包括:
预设网络访问行为表设置模块,用于利用在第二预设时间段内接收到的网络报文所包含的源设备的网络访问行为生成预设网络访问行为表。
可选地,该装置还可以包括:
输出模块,用于输出攻击行为对应的攻击告警。
本发明实施例还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的通信异常检测方法的步骤。
由于电子设备部分的实施例与通信异常检测方法部分的实施例相互对应,因此电子设备部分的实施例请参见通信异常检测方法部分的实施例的描述,这里暂不赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读上存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的通信异常检测方法的步骤。如计算机程序被处理器执行时实现接收网络报文,并筛选出网络报文中的IEC61850协议报文;确定IEC61850协议报文的报文类型、源设备和目标设备;判断源设备的网络访问行为是否存在攻击行为且目标设备是否为工控设备;攻击行为包括端口扫描攻击或ARP欺骗攻击;当确定源设备的网络访问行为存在攻击行为且目标设备为工控设备时,则根据报文类型确定源设备的通信异常类型。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
由于计算机可读存储介质部分的实施例与通信异常检测方法部分的实施例相互对应,因此计算机可读存储介质部分的实施例请参见通信异常检测方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种通信异常检测方法、装置、电子设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种通信异常检测方法,其特征在于,包括:
接收网络报文,并筛选出所述网络报文中的IEC61850协议报文;
确定所述IEC61850协议报文的报文类型、源设备和目标设备;
判断所述源设备的网络访问行为是否存在攻击行为且所述目标设备是否为工控设备;所述攻击行为包括端口扫描攻击或ARP欺骗攻击;
当确定所述源设备的网络访问行为存在所述攻击行为且所述目标设备为所述工控设备时,则根据所述报文类型确定所述源设备的通信异常类型。
2.根据权利要求1所述的通信异常检测方法,其特征在于,所述根据所述报文类型确定所述源设备的通信异常类型,包括:
若所述报文类型为TCP连接报文,则判定所述通信异常类型为异常连接所述工控设备,并将所述源设备标记为异常设备及输出表示所述异常连接所述工控设备的攻击告警;
若所述报文类型为遥信报文或遥控报文且所述源设备为所述异常设备,则判定所述通信异常类型为异常控制所述工控设备,并输出从所述IEC61850协议报文中提取的开关名称及表示所述异常控制所述工控设备的攻击告警。
3.根据权利要求1至2任一项所述的通信异常检测方法,其特征在于,在筛选出所述网络报文中的IEC61850协议报文之前,还包括:
确定所述网络报文中的源设备及对应的网络访问行为;
利用预设网络访问行为表对所述网络访问行为进行验证,确定所述网络访问行为是否为所述攻击行为;所述预设网络访问行为表中包含监听范围内的源设备和目标设备原有的网络访问行为;
若是,则将所述网络访问行为标记为所述源设备的攻击行为。
4.根据权利要求3所述的通信异常检测方法,其特征在于,所述利用预设网络访问行为表对所述网络访问行为进行验证,确定所述网络访问行为是否为所述攻击行为,包括:
确定接收所述网络报文的时间点,并将所述时间点及所述网络访问行为记录于网络访问行为表中;
当所述网络报文使用的网络端口为IEC61850协议的服务端口时,判断所述网络访问行为是否处于所述预设网络访问行为表中;
若否,则在所述网络访问行为表中,确定所述源设备在所述时间点前第一预设时间段内不在所述预设网络访问行为表的网络访问行为的数量,并利用所述数量及所述第一预设时间段计算所述源设备的异常通信频率;
当所述异常通信频率大于预设阈值时,则确定所述网络报文中的网络访问行为为所述端口扫描攻击。
5.根据权利要求3所述的通信异常检测方法,其特征在于,所述利用预设网络访问行为表对所述网络访问行为进行验证,确定所述网络访问行为是否为所述攻击行为,包括:
从所述网络访问行为中提取所述源设备的MAC地址及IP地址;
利用所述预设网络访问行为表判断所述MAC地址及所述IP地址的对应关系,与所述源设备在所述预设网络访问行为表中的对应关系是否相同;
若否,则确定所述网络访问行为为所述ARP欺骗攻击。
6.根据权利要求3所述的通信异常检测方法,其特征在于,在接收网络报文之前,还包括:
利用在第二预设时间段内接收到的网络报文所包含的源设备的网络访问行为生成所述预设网络访问行为表。
7.根据权利要求3所述的通信异常检测方法,其特征在于,在将所述网络访问行为标记为所述源设备的攻击行为之后,还包括:
输出所述攻击行为对应的攻击告警。
8.一种通信异常检测装置,其特征在于,包括:
报文处理模块,用于接收网络报文,并筛选出所述网络报文中的IEC61850协议报文;
信息确定模块,用于确定所述IEC61850协议报文的报文类型、源设备和目标设备;
判断模块,用于判断所述源设备的网络访问行为是否存在攻击行为且所述目标设备是否为工控设备;所述攻击行为包括端口扫描攻击或ARP欺骗攻击;
判定模块,用于当确定所述源设备的网络访问行为存在所述攻击行为且所述目标设备为所述工控设备时,则根据所述报文类型确定所述源设备的通信异常类型。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的通信异常检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述的通信异常检测方法。
CN202110499712.2A 2021-05-08 2021-05-08 一种通信异常检测方法、装置、电子设备及存储介质 Active CN113225342B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110499712.2A CN113225342B (zh) 2021-05-08 2021-05-08 一种通信异常检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110499712.2A CN113225342B (zh) 2021-05-08 2021-05-08 一种通信异常检测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113225342A true CN113225342A (zh) 2021-08-06
CN113225342B CN113225342B (zh) 2023-06-30

Family

ID=77093855

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110499712.2A Active CN113225342B (zh) 2021-05-08 2021-05-08 一种通信异常检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113225342B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301668A (zh) * 2021-12-28 2022-04-08 北京安天网络安全技术有限公司 流量检测方法及装置、电子设备和计算机可读存储介质
CN115361308A (zh) * 2022-08-19 2022-11-18 一汽解放汽车有限公司 一种工控网络数据风险确定方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108063753A (zh) * 2017-11-10 2018-05-22 全球能源互联网研究院有限公司 一种信息安全监测方法及系统
CN110535888A (zh) * 2019-10-12 2019-12-03 广州西麦科技股份有限公司 端口扫描攻击检测方法及相关装置
US10945117B1 (en) * 2019-11-26 2021-03-09 Korea Internet & Security Agency Method and apparatus for detecting diameter protocol IDR message spoofing attack in mobile communication network
CN112738018A (zh) * 2020-11-30 2021-04-30 南方电网数字电网研究院有限公司 Arp欺骗攻击检测方法、装置、计算机设备和存储介质
CN112751862A (zh) * 2020-12-30 2021-05-04 杭州迪普科技股份有限公司 一种端口扫描攻击检测方法、装置及电子设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108063753A (zh) * 2017-11-10 2018-05-22 全球能源互联网研究院有限公司 一种信息安全监测方法及系统
CN110535888A (zh) * 2019-10-12 2019-12-03 广州西麦科技股份有限公司 端口扫描攻击检测方法及相关装置
US10945117B1 (en) * 2019-11-26 2021-03-09 Korea Internet & Security Agency Method and apparatus for detecting diameter protocol IDR message spoofing attack in mobile communication network
CN112738018A (zh) * 2020-11-30 2021-04-30 南方电网数字电网研究院有限公司 Arp欺骗攻击检测方法、装置、计算机设备和存储介质
CN112751862A (zh) * 2020-12-30 2021-05-04 杭州迪普科技股份有限公司 一种端口扫描攻击检测方法、装置及电子设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王绍龙等: "ARP欺骗攻击的取证和防御方法", 《网络安全技术与应用》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301668A (zh) * 2021-12-28 2022-04-08 北京安天网络安全技术有限公司 流量检测方法及装置、电子设备和计算机可读存储介质
CN115361308A (zh) * 2022-08-19 2022-11-18 一汽解放汽车有限公司 一种工控网络数据风险确定方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113225342B (zh) 2023-06-30

Similar Documents

Publication Publication Date Title
CN109067596B (zh) 一种变电站网络安全态势感知方法及系统
CN108063753A (zh) 一种信息安全监测方法及系统
CN109063486B (zh) 一种基于plc设备指纹识别的安全渗透测试方法与系统
CN111030876B (zh) 一种基于DPI的NB-IoT终端故障定位方法和装置
US20060034305A1 (en) Anomaly-based intrusion detection
CN112468488A (zh) 工业异常监测方法、装置、计算机设备及可读存储介质
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
CN113225342B (zh) 一种通信异常检测方法、装置、电子设备及存储介质
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN109462621A (zh) 网络安全保护方法、装置及电子设备
KR20070099201A (ko) 휴대형 무선 기기의 보안 관리 방법 및 이를 이용한 보안관리 장치
CN112565300B (zh) 基于行业云黑客攻击识别与封堵方法、系统、装置及介质
CN112291213A (zh) 一种基于智能终端的异常流量分析方法及装置
CN111565196B (zh) 一种KNXnet/IP协议入侵检测方法、装置、设备及介质
CN117560196A (zh) 一种智慧变电站二次系统测试系统及方法
CN117560187A (zh) 一种面向工控网络的iec104服务防护方法以及设备
CN110995733B (zh) 一种基于遥测技术的工控领域的入侵检测系统
CN112152895A (zh) 智能家居设备控制方法、装置、设备及计算机可读介质
CN218387540U (zh) 一种电力二次设备网络通讯故障检测系统
CN115499239A (zh) 智慧城市网络安全处理方法和系统
CN115242686A (zh) 一种电力二次设备网络通讯故障检测系统及方法
KR101551537B1 (ko) 정보유출방지장치
CN112153027B (zh) 仿冒行为识别方法、装置、设备及计算机可读存储介质
CN101222498A (zh) 一种提高网络安全性的方法
CN114374838A (zh) 一种网络摄像头监测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant