CN114866298B - 结合包标记与包日志的电力工控系统网络攻击溯源方法 - Google Patents

Abstract

本发明提供了结合包标记与包日志的电力工控系统网络攻击溯源方法，包括：S1、初始化攻击报文PG的传输链L为PG捕获点的MAC地址、接收攻击报文的端口号Ports为PG捕获点的端口号；S2、对PG数据链路层以上内存进行哈希得到Hash(PG)，并从数据库中查找所有报文摘要为Hash(PG)的记录的集合CONT；S3、判断PG是否具有TCP/IP层，若PG不具有TCP/IP层，则报文仅经过交换机转发，转S4，否则进入子流程2；S4、从CONT中找到传输设备MAC地址为MACs的记录Conts；S5、判断Conts中的传输设备类型是否为具有传输设备特性的计算设备，若是则进入子流程1，否则进入子流程2；S6、输出攻击报文传输链L，溯源结束。本发明的方法实现了细粒度的网络攻击溯源。

Description

结合包标记与包日志的电力工控系统网络攻击溯源方法

技术领域

本发明涉及智能电网安全技术领域，尤其涉及一种结合包标记与包日志的电力工控系统网络攻击溯源方法。

背景技术

对网络攻击进行溯源可以帮助电力工控系统采取合适的防御策略，从源头阻断攻击，最大程度上使电力工控系统摆脱攻击的威胁。目前，针对电力工控系统的网络攻击溯源缺乏相关研究。现有网络攻击溯源方法主要这对互联网，依赖于IP协议，且均对路由器或网络的实时处理能力具有较大影响，无法有效应用到保护控制业务具有高实时性要求、部分通信协议无TCP/IP层的电力工控系统中。

发明内容

本发明的目的在于提供一种结合包标记与包日志的电力工控系统网络攻击溯源方法，将参与溯源的设备由路由器扩展到所有工作于数据链路层及以上的传输设备，以应用于电力工控系统中对各类应用层报文(包含不使用TCP/IP协议的应用层报文)实施的网络攻击的溯源，解决攻击传播链生成和攻击源定位的问题。

为了解决上述技术问题，本发明采用的技术方案是：

提供一种结合包标记与包日志的电力工控系统网络攻击溯源方法，包括：

S1：将攻击报文PG的传输链L初始化为PG捕获点的MAC地址，将接收攻击报文的端口号Ports初始化为PG捕获点的端口号；

S2：对PG数据链路层以上内存进行哈希得到报文摘要Hash(PG)，并从分布式日志数据库中查找所有报文摘要为Hash(PG)的报文记录所构成的集合CONT，分布式日志数据库中存储有报文记录，报文记录的内容包括报文摘要、时间戳、传输设备的MAC地址、传输设备类型、传输设备接收报文的端口号、转换后的报文摘要、预留字段内容；

S3：判断攻击报文PG是否具有TCP/IP层，如果不具有TCP/IP层，则报文仅经过交换机转发，转S4，否则结合包标记和包日志的方法对攻击报文的传输节点进行追溯；

S4：从集合CONT中找到传输设备的MAC地址为MACs的第一记录Conts，其中，传输设备的类型包括：交换机、路由器、内容更改型传输设备以及具有传输设备特性的计算设备；

S5：判断第一记录Conts中的传输设备类型是否为具有传输设备特性的计算设备，若是则基于包日志的方法对攻击报文的传输节点进行追溯，否则结合包标记和包日志的方法对攻击报文的传输节点进行追溯；

S6：输出攻击报文传输链L，溯源结束。

在一种实施方式中，基于包日志的方法对攻击报文的传输节点进行追溯的流程包括：

P1.1：读取攻击报文PG的传输链L的起点MACa；

P1.2：判断集合CONT中是否存在传输设备MAC地址为MACa的第二记录Conta，若存在则转P1.3，否则转P1.7；

P1.3：判断第二记录Conta中的传输设备类型是否为路由器或内容更改型传输设备，若是则结合包标记和包日志的方法对攻击报文的传输节点进行追溯，否则转P1.4；

P1.4：将接收攻击报文的端口号Ports更新为第二记录Conta中的端口号Porta；

P1.5：根据MACa和Ports从网络攻击溯源主机预置的网络拓扑图中查找对应的直连关系Contection＝(MACb,Portb,MACa,Ports,UTC)，若查找成功则转P1.6，否则转P1.7，其中，网络拓扑图中存储具有直连关系的两个节点的MAC地址和端口号，MACa、Ports表示第二记录Conta对应的节点a的MAC地址和端口号，MACb、Portb为与节点a具有直连关系的节点b的MAC地址和端口号，UTC为直接连接关系建立的时间；

P1.6：判断节点b的端口号Portb是否为-1，若是则转P1.7，否则将MACb作为前缀链入L，转P1.1；

P1.7：此时不存在前置传输设备，传输链L为最终的攻击传播链，且MAC为攻击源，溯源结束。

在一种实施方式中，结合包标记和包日志的方法对攻击报文的传输节点进行追溯的流程包括：

P2.1：读取攻击报文PG中的预留字段，并根据预置的网络拓扑图将预留字段转换为攻击报文所经过的转发传输设备的链路L1，然后将的链路L1作为前缀与攻击报文PG的传输链L进行合并，如果L1的终点MAC地址与L的起点MAC地址相同，则仅保留一个；

P2.2：读取攻击报文PG的传输链L的起点MACc；

P2.3：从CONT中查找传输设备MAC地址为MACc的第三记录Contc；

P2.4：判断第三记录Contc的预留字段是否为空，若是则转P2.5，否则转P2.10；

P2.5：将接收攻击报文的端口号Ports更新为第三记录Contc中的端口号；

P2.6：根据MACc和Ports从预置的网络拓扑图中查找前置传输设备，若查找成功则转P2.7，否则转P2.13；

P2.7：将前置传输设备的MAC地址插入L的头部；

P2.8：判断第三记录Contc中的传输设备类型是否为内容更改型传输设备，若是则转P2.9，否则基于包日志的方法对攻击报文的传输节点进行追溯；

P2.9：从第三记录Contc中读取报文转换前的摘要信息Hash(PG2)，更新CONT为数据库中所有报文摘要为Hash(PG2)的记录的集合，然后基于包日志的方法对攻击报文的传输节点进行追溯；

P2.10：根据预置的网络拓扑图将预留字段转换为攻击报文所经过的转发传输设备的链路L2，然后将L2作为前缀与L进行合并，如果L2的终点MAC地址与L的起点MAC地址相同，则仅保留一个；

P2.11：判断Contc中的传输设备类型是否为内容更改型传输设备，若是则转P2.12，否则转P2.2；

P2.12：从第三记录Contc中读取报文转换前的摘要信息Hash(PG1)，更新CONT为数据库中所有报文摘要为Hash(PG1)的记录的集合，然后转P2.2；

P2.13：此时不存在前置传输设备，传输链L为最终的攻击传播链，且MACa为攻击源，溯源结束。

在一种实施方式中，所述具有传输设备特性的计算设备为通过不同的物理端口与多个设备直连的计算设备，所述内容更改型传输设备包括网关机、规约转换器、纵向加密装置。

在一种实施方式中，当传输设备为交换机时，转发报文的流程包括：

1)当交换机接收到一个来自端口C的报文P，在转发报文P的同时，将该报文的相关信息转发一份至网络攻击溯源日志主机，报文的相关信息包括原报文P、交换机MAC地址MACe、接收报文的端口号C、时间戳UTC1和交换机类型标识E，其中，UTC1为交换机收到报文P的时间；

2)网络攻击溯源日志主机接收到交换机转发的报文相关信息后，将原报文P的数据链路层以上的内容通过Hash算法计算出报文摘要信息Hash(P)，并将Hash(P)、UTC、MACe、C和E存储到分布式日志数据库中，流程结束。

在一种实施方式中，当传输设备为路由器时，转发报文的流程包括：

1)当路由器在接收到一个来自端口C的报文P，判断报文P的IP报文头部预留字段是否已有信息，如果没有任何信息，则将报文的第一相关信息发送至网络攻击溯源系统日志数据库中，报文的第一相关信息包括报文P的数据链路层以上内容经过Hash后的摘要信息Hash(P)、时间戳UTC2、路由器的MAC地址MACr、接收报文的端口号C和路由器类型标识R，其中，UTC2为路由器收到该报文的时间；然后在预留字段写入路由器的编号Numr形成新的报文P1并转发到相应的端口上，流程结束；如果预留字段中已有信息，转2)；

2)判断预留字段剩余的空间是否足够写入路由器的编号Numr，如果是，在剩余的空间中写入Numr形成新的报文P2并转发到相应的端口上，流程结束；否则，转3)；

3)将报文的第二相关信息转发并记录到网络攻击溯源系统日志数据库中，报文的第二相关信息包括报文P的预留字段内容、报文P预留字段清空后的报文P3的数据链路层以上内容经过Hash后的摘要信息Hash(P3)、UTC3、路由器的MAC地址MACr和路由器类型标识R，然后在预留字段写入路由器的编号Numr形成新的报文P4并转发到相应的端口上，流程结束。

在一种实施方式中，当传输设备为内容更改型传输设备时，转发报文的流程包括：

1)当内容更改型传输设备接收到一个来自端口C的报文P，读取报文P的IP报文头部预留字段是否已有信息，如果没有任何信息，则将报文的第三相关信息发送和记录到网络攻击溯源系统日志数据库中，第三相关信息包括转换后的报文P1的摘要信息Hash(P1)、时间戳UTC4、传输设备的MAC地址MACn、接收报文的端口号C、传输设备类型标识N和转换前报文P数据链路层以上内容经过Hash后的摘要信息Hash(P)，然后在转换后的报文预留字段中写入传输设备编号Numn形成新的报文P2并转发到相应的端口上，流程结束；如果预留字段中已有信息，转2)；

2)将报文P预留字段清空，得报文P3；按照传输设备功能对P3进行转换，得报文P4；将报文的第四相关信息发送和记录到网络攻击溯源系统日志数据库中，第四相关信息包括报文P4数据链路层以上内容的摘要信息Hash(P4)、时间戳UTC5、MACn、N、转换前报文P的预留字段内容和报文P3数据链路层以上内容的摘要信息Hash(P3)；然后在报文P4的预留字段中写入Numn形成新的报文P5并转发到相应的端口上，流程结束。

在一种实施方式中，当传输设备为具有传输设备特性的计算设备时，转发报文的流程包括：

1)当具有传输设备特性的终端接收到一个来自端口C的报文P，在转发或接收报文P的同时，将该报文的第五相关信息转发一份给网络攻击溯源系统日志数据库，第五相关信息包括原报文P、该终端的MAC地址MACz、端口号C、时间戳UTC6和具有传输设备特性的终端的类型标识T；

2)网络攻击溯源主机接收到具有传输设备特性的终端转发的报文的第五相关信息后，将原报文P数据链路层以上内容通过Hash算法计算出报文摘要信息Hash(P)，并将Hash(P)、UTC6、MACz、C和T存储到日志数据库中，流程结束。

本申请实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术效果：

本发明在现有的包标记和包日志网络攻击溯源方法的基础上，将参与网络攻击溯源的传输设备由路由器扩展到电力工控系统中所有工作于数据链路层及以上的传输设备，包括路交换机、路由器、内容更改型传输设备以及具有传输设备特性的计算设备，可以实现更细粒度的网络攻击溯源。并且根据捕获到的攻击报文、存储报文记录的数据库以及溯源主机预置的网络拓扑图，逐一地对转发攻击报文的传输设备(包括交换机、路由器、)进行追溯，最终定位攻击源并生成攻击传播链，解决了现有方法无法有效应用到保护控制业务具有高实时性要求、部分通信协议无TCP/IP层的电力工控系统中的问题，能够实现完整攻击传输链的追踪以及攻击源的准确定位。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的结合包标记与包日志的电力工控系统网络攻击溯源方法总体流程图；

图2为本发明实施例提供的结合包标记与包日志的电力工控系统网络攻击溯源方法中子流程1的流程图；

图3为本发明实施例提供的结合包标记与包日志的电力工控系统网络攻击溯源方法中子流程2的流程图；。

具体实施方式

本发明公开了一种结合包标记与包日志的电力工控系统网络攻击溯源方法，方法包括：S1、初始化攻击报文PG传输链L为PG捕获点的MAC地址即L＝{MACs}、接收攻击报文的端口号Ports为PG捕获点的端口号；S2、对PG数据链路层以上内存进行哈希得到Hash(PG)，并从数据库中查找所有报文摘要为Hash(PG)的记录的集合CONT；S3、判断PG是否具有TCP/IP层，若PG不具有TCP/IP层，则报文仅经过交换机转发，转S4，否则进入子流程2(结合包标记和包日志的方法对攻击报文的传输节点进行追溯)；S4、从CONT中找到传输设备MAC地址为MACs的记录Conts；S5、判断Conts中的传输设备类型是否为具有传输设备特性的计算设备，若是则进入子流程1(基于包日志的方法对攻击报文的传输节点进行追溯)，否则进入子流程2；S6、输出攻击报文传输链L，溯源结束。该方法将参与网络攻击溯源的传输设备由路由器扩展到电力工控系统中所有工作于数据链路层及以上的传输设备，包括路由器、交换机、网关机、规约转换器、纵向加密装置以及具有传输设备特性的计算设备等，实现了细粒度的网络攻击溯源。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的结合包标记与包日志的电力工控系统网络攻击溯源方法总体流程图，如图1所示，本发明实施例提供一种结合包标记与包日志的电力工控系统网络攻击溯源方法，包括：

S1：将攻击报文PG的传输链L初始化为PG捕获点的MAC地址，将接收攻击报文的端口号Ports初始化为PG捕获点的端口号；

S2：对PG数据链路层以上内存进行哈希得到报文摘要Hash(PG)，并从分布式日志数据库中查找所有报文摘要为Hash(PG)的报文记录所构成的集合CONT，分布式日志数据库中存储有报文记录，报文记录的内容包括报文摘要、时间戳、传输设备的MAC地址、传输设备类型、传输设备接收报文的端口号、转换后的报文摘要、预留字段内容；

S3：判断攻击报文PG是否具有TCP/IP层，如果不具有TCP/IP层，则报文仅经过交换机转发，转S4，否则结合包标记和包日志的方法对攻击报文的传输节点进行追溯；

S4：从集合CONT中找到传输设备的MAC地址为MACs的第一记录Conts，其中，传输设备包括：交换机、路由器、内容更改型传输设备以及具有传输设备特性的计算设备；

S5：若是则基于包日志的方法对攻击报文的传输节点进行追溯，否则结合包标记和包日志的方法对攻击报文的传输节点进行追溯；

S6：输出攻击报文传输链L，溯源结束。

具体来说，入侵检测系统(intrusion detection system，简称“IDS”)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。通过IDS检测到攻击后，基于IDS提供的攻击报文信息进行攻击的溯源。本实施例中可以设置一台服务器作为分布式日志数据库，并设置另一台服务器作为网络攻击溯源主机与之进行连接，用来执行该方法。

在报文的处理和溯源过程中，用报文P数据链路层以上内容经过哈希(Hash)后的摘要信息Hash(P)来标识通信网络中传输的不同报文。日志数据库所存储的报文记录内容为：(报文摘要，时间戳，传输设备的MAC地址，传输设备接收报文的端口号，传输设备类型，转换后的报文摘要，预留字段内容)。

当追溯到攻击报文的所有传输设备，即不存在其他前置传输设备时，说明当前传输链L为最终的攻击报文传播链，L的起点为攻击源，网络攻击溯源结束。

本发明实施例提供的结合包标记与包日志的电力工控系统网络攻击溯源方法，基于IDS提供的攻击报文的相关信息，从攻击报文的捕获点开始，基于报文预留字段、网络拓扑图和日志数据库逐一地对攻击报文的传输设备进行追溯，能够实现完整攻击传输链的追踪以及攻击源的准确定位。

在一种实施方式中，基于包日志的方法对攻击报文的传输节点进行追溯的流程包括：

P1.1：读取攻击报文PG的传输链L的起点MACa；

P1.2：判断集合CONT中是否存在传输设备MAC地址为MACa的第二记录Conta，若存在则转P1.3，否则转P1.7；

P1.3：判断第二记录Conta中的传输设备类型是否为路由器或内容更改型传输设备，若是则则结合包标记和包日志的方法对攻击报文的传输节点进行追溯，否则转P1.4；

P1.4：将接收攻击报文的端口号Ports更新为第二记录Conta中的端口号Porta；

P1.5：根据MACa和Ports从网络攻击溯源主机预置的网络拓扑图中查找对应的直连关系Contection＝(MACb,Portb,MACa,Ports,UTC)，若查找成功则转P1.6，否则转P1.7，其中，网络拓扑图中存储具有直连关系的两个节点的MAC地址和端口号，MACa、Ports表示第二记录Conta对应的节点a的MAC地址和端口号，MACb、Portb为与节点a具有直连关系的节点b的MAC地址和端口号，UTC直接连接关系建立的时间；

P1.6：判断节点b的端口号Portb是否为-1，若是则转P1.7，否则将MACb作为前缀链入L，转P1.1；

P1.7：此时不存在前置传输设备，传输链L为最终的攻击传播链，且MAC为攻击源，溯源结束。

图2为本发明另一实施例提供的结合包标记与包日志的电力工控系统网络攻击溯源方法中的子流程1的流程图。

具体来说，直连关系Connection表示网络拓扑图中存在直接连接关系的两个节点不经过网络拓扑图中其它节点转发就能够直接通信，其形式化定义如下：

Connection＝(MACx,Portx,MACy,Porty,UTC) (1)

式(1)中MACx和MACy为存在直接连接关系的两个节点的MAC地址，Portx为MAC地址为MACx的节点的端口号，Porty为MAC地址为MACy的节点的端口号，UTC为该直接连接关系建立的时间。

利用网络拓扑，网络攻击溯源主机可以获取节点的相关信息，且网络拓扑图中包含通信网络中所有传输设备时，根据节点的MAC地址及其端口号可以获取与其连接的唯一传输设备信息。考虑到多个计算设备可能通过工作于物理层的传输设备连入同一传输设备的同一端口，此时，根据节点的MAC地址及其端口号可以获取多个与其相连的计算设备。

当存在直接连接关系的两个节点中的一个节点的类型为不具有传输设备特性的计算设备时，其对应的端口号为-1；当存在直接连接关系的两个节点中一个节点的类型为具有传输设备特性的计算设备且该节点的端口号为-1、另一个节点的类型为传输设备时，类型为具有传输设备特性的计算设备的节点不具备报文转发的功能。

在一种实施方式中，结合包标记和包日志的方法对攻击报文的传输节点进行追溯的流程包括：

P2.1：读取攻击报文PG中的预留字段，并根据预置的网络拓扑图将预留字段转换为攻击报文所经过的转发传输设备的链路L1，然后将的链路L1作为前缀与攻击报文PG的传输链L进行合并，如果L1的终点MAC地址与L的起点MAC地址相同，则仅保留一个；

P2.2：读取攻击报文PG的传输链L的起点MACc；

P2.3：从CONT中查找传输设备MAC地址为MACc的第三记录Contc；

P2.4：判断第三记录Contc的预留字段是否为空，若是则转P2.5，否则转P2.10；

P2.5：将接收攻击报文的端口号Ports更新为第三记录Contc中的端口号；

P2.6：根据MACc和Ports从预置的网络拓扑图中查找前置传输设备，若查找成功则转P2.7，否则转P2.13；

P2.7：将前置传输设备的MAC地址插入L的头部；

P2.8：判断第三记录Contc中的传输设备类型是否为内容更改型传输设备，若是则转P2.9，否则基于包日志的方法对攻击报文的传输节点进行追溯；

P2.9：从第三记录Contc中读取报文转换前的摘要信息Hash(PG2)，更新CONT为数据库中所有报文摘要为Hash(PG2)的记录的集合，然后基于包日志的方法对攻击报文的传输节点进行追溯；

P2.10：根据预置的网络拓扑图将预留字段转换为攻击报文所经过的转发传输设备的链路L2，然后将L2作为前缀与L进行合并，如果L2的终点MAC地址与L的起点MAC地址相同，则仅保留一个；

P2.11：判断Contc中的传输设备类型是否为内容更改型传输设备，若是则转P2.12，否则转P2.2；

P2.12：从第三记录Contc中读取报文转换前的摘要信息Hash(PG1)，更新CONT为数据库中所有报文摘要为Hash(PG1)的记录的集合，然后转P2.2；

P2.13：此时不存在前置传输设备，传输链L为最终的攻击传播链，且MACa为攻击源，溯源结束。

图3为本发明另一实施例提供的结合包标记与包日志的电力工控系统网络攻击溯源方法中的子流程2的流程图。

在一种实施方式中，所述具有传输设备特性的计算设备为通过不同的物理端口与多个设备直连的计算设备，所述内容更改型传输设备包括网关机、规约转换器、纵向加密装置。

在一种实施方式中，当传输设备为交换机时，转发报文的流程包括：

1)当交换机接收到一个来自端口C的报文P，在转发报文P的同时，将该报文的相关信息转发一份至网络攻击溯源日志主机，报文的相关信息包括原报文P、交换机MAC地址MACe、接收报文的端口号C、时间戳UTC1和交换机类型标识E，其中，UTC1为交换机收到报文P的时间；

2)网络攻击溯源日志主机接收到交换机转发的报文相关信息后，将原报文P的数据链路层以上的内容通过Hash算法计算出报文摘要信息Hash(P)，并将Hash(P)、UTC、MACe、C和E存储到分布式日志数据库中，流程结束。

与IP报文头部不同，以太网帧头部中无预留字段，无法在数据链路层加入传输设备的标记信息，因此，交换机转发的报文仅使用包日志的方法记录信息，处理流程如上所述。

在一种实施方式中，当传输设备为路由器时，转发报文的流程包括：

1)当路由器在接收到一个来自端口C的报文P，判断报文P的IP报文头部预留字段是否已有信息，如果没有任何信息，则将报文的第一相关信息发送至网络攻击溯源系统日志数据库中，报文的第一相关信息包括报文P的数据链路层以上内容经过Hash后的摘要信息Hash(P)、时间戳UTC2、路由器的MAC地址MACr、接收报文的端口号C和路由器类型标识R，其中，UTC2为路由器收到该报文的时间；然后在预留字段写入路由器的编号Numr形成新的报文P1并转发到相应的端口上，流程结束；如果预留字段中已有信息，转2)；

2)判断预留字段剩余的空间是否足够写入路由器的编号Numr，如果是，在剩余的空间中写入Numr形成新的报文P2并转发到相应的端口上，流程结束；否则，转3)；

3)将报文的第二相关信息转发并记录到网络攻击溯源系统日志数据库中，报文的第二相关信息包括报文P的预留字段内容、报文P预留字段清空后的报文P3的数据链路层以上内容经过Hash后的摘要信息Hash(P3)、UTC3、路由器的MAC地址MACr和路由器类型标识R，然后在预留字段写入路由器的编号Numr形成新的报文P4并转发到相应的端口上，流程结束。

目前电力工控系统未采用IPv6，即所有使用TCP/IP的通信都使用IPv4的报文结构，因此将标记信息添加到IPv4报文头部的选项字段(预留字段)中，处理流程如上所述。

在一种实施方式中，当传输设备为内容更改型传输设备时，转发报文的流程包括：

1)当内容更改型传输设备接收到一个来自端口C的报文P，读取报文P的IP报文头部预留字段是否已有信息，如果没有任何信息，则将报文的第三相关信息发送和记录到网络攻击溯源系统日志数据库中，第三相关信息包括转换后的报文P1的摘要信息Hash(P1)、时间戳UTC4、传输设备的MAC地址MACn、接收报文的端口号C、传输设备类型标识N和转换前报文P数据链路层以上内容经过Hash后的摘要信息Hash(P)，然后在转换后的报文预留字段中写入传输设备编号Numn形成新的报文P2并转发到相应的端口上，流程结束；如果预留字段中已有信息，转2)；

2)将报文P预留字段清空，得报文P3；按照传输设备功能对P3进行转换，得报文P4；将报文的第四相关信息发送和记录到网络攻击溯源系统日志数据库中，第四相关信息包括报文P4数据链路层以上内容的摘要信息Hash(P4)、时间戳UTC5、MACn、N、转换前报文P的预留字段内容和报文P3数据链路层以上内容的摘要信息Hash(P3)；然后在报文P4的预留字段中写入Numn形成新的报文P5并转发到相应的端口上，流程结束。

内容更改型传输设备包括网关机、规约转换器、纵向加密装置等会对报文内容进行修改的设备。内容更改型传输设备在转发报文时会对报文网络层或以上内容进行更改，工作于网络层及以上，能够对具有IP报文头部的报文添加标记，但不能直接采用与路由器转发报文相同的处理流程，原因如下：

网关机：路由器在转发报文时不会修改报文的目的IP地址，但有些时候，部分站内会搭建自己的内部网络，并使用私有IP地址，这时，内部的终端在与外部进行通信时会经由网关机进行IP地址转换，如一台被植入恶意代码的主站控制主机下发一个恶意控制命令时，攻击报文首先抵达主站的网关机，经由网关机进行IP转换，进而抵达目的终端，此时，网关机会修改攻击报文的源IP地址，如利用NAT技术进行IP映射，网关机前后的传输设备记录的报文摘要信息也发生变化，当攻击报文在子站内部被捕获时，依据报文摘要信息仅能追溯到网关机，无法定位到真正的攻击源。

规约转换器：电力工控系统中，不同站点使用的通信协议可能不同，当这些站点之间进行通信时，报文在传输过程中会经过规约转换器转换，将原有报文转换成新的报文格式进行转发。因此，规约转换器前后的传输设备记录的报文摘要信息会发生变化，如IEC60870-5-104报文转换成IEC 61850MMS报文。一旦攻击报文经历了协议转换，且捕获的攻击报文为转换后的攻击报文，依赖报文摘要信息仅能追溯到规约转换器，无法定位到真正的攻击源。

纵向加密装置：电力工控系统为了保证数据传输的安全，在与调度数据网连接处一般会部署纵向加密装置对报文的应用层内容进行加密，防止报文被窃听或篡改。报文经过纵向加密装置加密后，其应用层内容将发生变化，纵向加密装置前后的传输设备记录的报文摘要信息也会发生变化。当攻击报文被捕获的位置为经过纵向加密装置后的传输设备时，依赖报文摘要信息仅能追溯到纵向加密装置，无法定位到真正的攻击源。

内容更改型传输设备在转发报文时的处理流程如上所述。

在一种实施方式中，当传输设备为具有传输设备特性的计算设备时，转发报文的流程包括：

1)当具有传输设备特性的终端接收到一个来自端口C的报文P，在转发或接收报文P的同时，将该报文的第五相关信息转发一份给网络攻击溯源系统日志数据库，第五相关信息包括原报文P、该终端的MAC地址MACz、端口号C、时间戳UTC6和具有传输设备特性的终端的类型标识T；

2)网络攻击溯源主机接收到具有传输设备特性的终端转发的报文的第五相关信息后，将原报文P数据链路层以上内容通过Hash算法计算出报文摘要信息Hash(P)，并将Hash(P)、UTC6、MACz、C和T存储到日志数据库中，流程结束。

在电力工控系统中，存在一些具有传输设备特性的终端，这些终端具有2个或以上网络接口，与多个设备相连，具备报文转发或应用层网关功能，如通过2M通道点对点直连的稳控装置、变电站间隔层的智能装置。这类设备的主要通信使用专用或私有协议，无TCP/IP协议栈，相应端口无IP地址、甚至无MAC地址，通信报文中也没有多余的空间写入传输设备的标记信息。因此，对于这类设备转发的报文，仅使用包日志的方法记录信息，处理流程如上所述。

实施例二

本实施例还提供一种电力工控系统网络攻击溯源分析系统，包括攻击信息解析模块、网络攻击溯源模块、网络攻击溯源结果输出模块、网络拓扑管理模块和通信模块。

其中攻击信息解析模块，用于解析IDS提供的攻击报文及相关信息，包括报文摘要计算功能以及对802.3、802.1q、IP的解析功能，同时也支持对其他协议的扩展功能；

网络攻击溯源模块，用于基于攻击报文相关信息、网络拓扑图和分布式日志数据库对攻击报文的传输设备进行逐一追溯，以实现网络攻击溯源功能；

网络攻击溯源结果输出模块包括控制台输出功能、本地存储输出功能和第三方接口输出模块，控制台输出功能用于将网络攻击溯源结果输出到控制台，本地存储输出功能用于将网络攻击溯源结果输出到日志文件，第三方接口输出模块用于将溯源结果输出到其他系统；

网络拓扑管理模块用于维护网络攻击溯源模块所需要的工控系统的拓扑信息，包括网络拓扑更新功能、节点信息查询功能与连接信息查询功能；通信模块主要提供数据库查询功能，实现从分布式日志数据库获取相应的记录。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。

本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器。使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims (6)

1.结合包标记与包日志的电力工控系统网络攻击溯源方法，其特征在于，包括：

S1：将攻击报文PG的传输链L初始化为PG捕获点的MAC地址，将接收攻击报文的端口号Ports初始化为PG捕获点的端口号；

S2：对PG数据链路层以上内存进行哈希得到报文摘要Hash(PG)，并从分布式日志数据库中查找所有报文摘要为Hash(PG)的报文记录所构成的集合CONT，分布式日志数据库中存储有报文记录，报文记录的内容包括报文摘要、时间戳、传输设备的MAC地址、传输设备类型、传输设备接收报文的端口号、转换后的报文摘要、预留字段内容；

S3：判断攻击报文PG是否具有TCP/IP层，如果不具有TCP/IP层，则报文仅经过交换机转发，转S4，否则结合包标记和包日志的方法对攻击报文的传输节点进行追溯；

S4：从集合CONT中找到传输设备的MAC地址为MACs的第一记录Conts，其中，传输设备的类型包括：交换机、路由器、内容更改型传输设备以及具有传输设备特性的计算设备；

S5：判断第一记录Conts中的传输设备类型是否为具有传输设备特性的计算设备，若是则基于包日志的方法对攻击报文的传输节点进行追溯，否则结合包标记和包日志的方法对攻击报文的传输节点进行追溯；

S6：输出攻击报文传输链L，溯源结束；

其中，基于包日志的方法对攻击报文的传输节点进行追溯的流程包括：

P1.1：读取攻击报文PG的传输链L的起点MACa；

P1.2：判断集合CONT中是否存在传输设备MAC地址为MACa的第二记录Conta，若存在则转P1.3，否则转P1.7；

P1.3：判断第二记录Conta中的传输设备类型是否为路由器或内容更改型传输设备，若是则结合包标记和包日志的方法对攻击报文的传输节点进行追溯，否则转P1.4；

P1.4：将接收攻击报文的端口号Ports更新为第二记录Conta中的端口号Porta；

P1.5：根据MACa和Ports从网络攻击溯源主机预置的网络拓扑图中查找对应的直连关系Contection＝(MACb,Portb,MACa,Ports,UTC)，若查找成功则转P1.6，否则转P1.7，其中，网络拓扑图中存储具有直连关系的两个节点的MAC地址和端口号，MACa、Ports表示第二记录Conta对应的节点a的MAC地址和端口号，MACb、Portb为与节点a具有直连关系的节点b的MAC地址和端口号，UTC为直接连接关系建立的时间；

P1.6：判断节点b的端口号Portb是否为-1，若是则转P1.7，否则将MACb作为前缀链入L，转P1.1；

P1.7：此时不存在前置传输设备，传输链L为最终的攻击传播链，且MAC为攻击源，溯源结束；

结合包标记和包日志的方法对攻击报文的传输节点进行追溯的流程包括：

P2.1：读取攻击报文PG中的预留字段，并根据预置的网络拓扑图将预留字段转换为攻击报文所经过的转发传输设备的链路L1，然后将的链路L1作为前缀与攻击报文PG的传输链L进行合并，如果L1的终点MAC地址与L的起点MAC地址相同，则仅保留一个；

P2.2：读取攻击报文PG的传输链L的起点MACc；

P2.3：从CONT中查找传输设备MAC地址为MACc的第三记录Contc；

P2.4：判断第三记录Contc的预留字段是否为空，若是则转P2.5，否则转P2.10；

P2.5：将接收攻击报文的端口号Ports更新为第三记录Contc中的端口号；

P2.6：根据MACc和Ports从预置的网络拓扑图中查找前置传输设备，若查找成功则转P2.7，否则转P2.13；

P2.7：将前置传输设备的MAC地址插入L的头部；

P2.8：判断第三记录Contc中的传输设备类型是否为内容更改型传输设备，若是则转P2.9，否则基于包日志的方法对攻击报文的传输节点进行追溯；

P2.9：从第三记录Contc中读取报文转换前的摘要信息Hash(PG2)，更新CONT为数据库中所有报文摘要为Hash(PG2)的记录的集合，然后基于包日志的方法对攻击报文的传输节点进行追溯；

P2.10：根据预置的网络拓扑图将预留字段转换为攻击报文所经过的转发传输设备的链路L2，然后将L2作为前缀与L进行合并，如果L2的终点MAC地址与L的起点MAC地址相同，则仅保留一个；

P2.11：判断Contc中的传输设备类型是否为内容更改型传输设备，若是则转P2.12，否则转P2.2；

P2.12：从第三记录Contc中读取报文转换前的摘要信息Hash(PG1)，更新CONT为数据库中所有报文摘要为Hash(PG1)的记录的集合，然后转P2.2；

P2.13：此时不存在前置传输设备，传输链L为最终的攻击传播链，且MACa为攻击源，溯源结束。

2.如权利要求1所述的结合包标记与包日志的电力工控系统网络攻击溯源方法，其特征在于，所述具有传输设备特性的计算设备为通过不同的物理端口与多个设备直连的计算设备，所述内容更改型传输设备包括网关机、规约转换器、纵向加密装置。

3.如权利要求1所述的结合包标记与包日志的电力工控系统网络攻击溯源方法，其特征在于，当传输设备为交换机时，转发报文的流程包括：

1)当交换机接收到一个来自端口C的报文P，在转发报文P的同时，将该报文的相关信息转发一份至网络攻击溯源日志主机，报文的相关信息包括原报文P、交换机MAC地址MACe、接收报文的端口号C、时间戳UTC1和交换机类型标识E，其中，UTC1为交换机收到报文P的时间；

2)网络攻击溯源日志主机接收到交换机转发的报文相关信息后，将原报文P的数据链路层以上的内容通过Hash算法计算出报文摘要信息Hash(P)，并将Hash(P)、UTC、MACe、C和E存储到分布式日志数据库中，流程结束。

4.如权利要求1所述的结合包标记与包日志的电力工控系统网络攻击溯源方法，其特征在于，当传输设备为路由器时，转发报文的流程包括：

1)当路由器在接收到一个来自端口C的报文P，判断报文P的IP报文头部预留字段是否已有信息，如果没有任何信息，则将报文的第一相关信息发送至网络攻击溯源系统日志数据库中，报文的第一相关信息包括报文P的数据链路层以上内容经过Hash后的摘要信息Hash(P)、时间戳UTC2、路由器的MAC地址MACr、接收报文的端口号C和路由器类型标识R，其中，UTC2为路由器收到该报文的时间；然后在预留字段写入路由器的编号Numr形成新的报文P1并转发到相应的端口上，流程结束；如果预留字段中已有信息，转2)；

2)判断预留字段剩余的空间是否足够写入路由器的编号Numr，如果是，在剩余的空间中写入Numr形成新的报文P2并转发到相应的端口上，流程结束；否则，转3)；

3)将报文的第二相关信息转发并记录到网络攻击溯源系统日志数据库中，报文的第二相关信息包括报文P的预留字段内容、报文P预留字段清空后的报文P3的数据链路层以上内容经过Hash后的摘要信息Hash(P3)、UTC3、路由器的MAC地址MACr和路由器类型标识R，然后在预留字段写入路由器的编号Numr形成新的报文P4并转发到相应的端口上，流程结束。

5.如权利要求1所述的结合包标记与包日志的电力工控系统网络攻击溯源方法，其特征在于，当传输设备为内容更改型传输设备时，转发报文的流程包括：

1)当内容更改型传输设备接收到一个来自端口C的报文P，读取报文P的IP报文头部预留字段是否已有信息，如果没有任何信息，则将报文的第三相关信息发送和记录到网络攻击溯源系统日志数据库中，第三相关信息包括转换后的报文P1的摘要信息Hash(P1)、时间戳UTC4、传输设备的MAC地址MACn、接收报文的端口号C、传输设备类型标识N和转换前报文P数据链路层以上内容经过Hash后的摘要信息Hash(P)，然后在转换后的报文预留字段中写入传输设备编号Numn形成新的报文P2并转发到相应的端口上，流程结束；如果预留字段中已有信息，转2)；

2)将报文P预留字段清空，得报文P3；按照传输设备功能对P3进行转换，得报文P4；将报文的第四相关信息发送和记录到网络攻击溯源系统日志数据库中，第四相关信息包括报文P4数据链路层以上内容的摘要信息Hash(P4)、时间戳UTC5、MACn、N、转换前报文P的预留字段内容和报文P3数据链路层以上内容的摘要信息Hash(P3)；然后在报文P4的预留字段中写入Numn形成新的报文P5并转发到相应的端口上，流程结束。

6.如权利要求1所述的结合包标记与包日志的电力工控系统网络攻击溯源方法，其特征在于，当传输设备为具有传输设备特性的计算设备时，转发报文的流程包括：

1)当具有传输设备特性的终端接收到一个来自端口C的报文P，在转发或接收报文P的同时，将该报文的第五相关信息转发一份给网络攻击溯源系统日志数据库，第五相关信息包括原报文P、该终端的MAC地址MACz、端口号C、时间戳UTC6和具有传输设备特性的终端的类型标识T；

2)网络攻击溯源主机接收到具有传输设备特性的终端转发的报文的第五相关信息后，将原报文P数据链路层以上内容通过Hash算法计算出报文摘要信息Hash(P)，并将Hash(P)、UTC6、MACz、C和T存储到日志数据库中，流程结束。

Images