(国网安徽省电力公司检修公司 安徽 242000)
摘要:本文利用智能变电站相对封闭的特点,提出一种智能变电站网络报文异常检测方法,实时捕获系统内部的网络报文,通过对变电站配置文件、历史网络流量信息和设备固有服务的分析,实现了对智能变电站内部各种恶意攻击的检测与预警,为提升电力工控系统信息安全防护水平提供依据。
关键词:智能变电站;网络异常;分析方法
1 引言
随着电力工控系统中设备智能化、网络化水平的不断提高,在节约成本提高效率的同时,也产生了网络安全问题:各种病毒木马利用网络传播,各种恶意行为通过网络发动攻击。
2 网络异常报文检测具体实现
本文通过对电力工控系统网络报文的分析,主要建立以下3种规则。
①地址规则:智能变电站内有固定的设备,且每个设备的MAC地址和对应的IP地址也是固定的,出现未知的IP和MAC地址视为异常情况。
②流量规则:智能变电站网络内的单个设备单位时间内的发送流量,以及任意2个设备之间单位时间内的通信流量都在一定的范围内,流量过大和过小都视为异常情况。
③协议规则:电力工控系统内部允许出现的网络协议是有限的(公开的电力工控协议、通用网络协议和设备厂家的私有协议),每个报文属于特定的协议,出现其他未知协议的报文视为异常情况。
上述3种异常行为从不同的角度对变电站网络环境进行检测,下面分别介绍这3种异常的检测方式。
从智能变电站中捕获报文,假设时间T内(单位为s)捕获报文的集合为ST,集合中的每个报文p使用8个字段表示如下:
pi与某条规则的所有不为null的特征匹配,才可认为报文与该规则匹配。其中,端口特征要求是pi源或目的端口与规则中的端口一致;长度特征要求pi内容的长度在规则规定的范围内;报文内容特征要求pi内容中某些字段的取值与规则规定的一致。如果报文pi不与任何一个规则匹配,则判定pi为异常协议。
3 实验与结果分析
3.1实验环境
将报文分析系统在某电科院500kV实验变电站环境中进行测试。
①站控层设备:包含监控主机、保护装置和测控装置,设备间的通信产生网络报文信息。
②网络报文分析系统:执行本文提出的网络报文异常检测方法。
③站控层交换机:从交换机的镜像端口可以获取系统内部的全部网络报文信息。
④隔离装置:分析设备通过隔离装置与交换机相连,数据只能从交换机向分析设备单向传输,确保分析设备不会对变电站运行造成任何影响。
3.2异常检测
在上述环境中模拟2种恶意攻击行为,通过观察网络报文分析系统是否有告警信息输出,判断检测规则的合理性与有效性。
①拒绝服务攻击:变电站内部现有设备感染恶意程序,在网络中广播地址解析协议报文,导致监控后台与设备之间通信中断。
②利用系统漏洞攻击:未知设备接入变电站网络,并且利用VxVorks系统WDB调试端口(UDP17185)漏洞进行攻击,导致设备宕机。异常检测结果见表1所列。
表1异常检测结果
上表显示了网络报文分析系统检测到的异常告警信息。从中可以看出,对于第1种攻击行为,由于单个IP地址短时间内广播大量的ARP报文,系统利用地址规则检测到单个设备的流量异常。对于第2种攻击行为,由于有未知设备接入,根据地址规则判断出异常的IP地址(172.20.220.134),恶意攻击造成172.20.220.134与172.20.50.13之间的网络流量,系统根据流量规则判断出现了异常流量,恶意攻击由于使用UDP17185端口发动攻击,系统根据协议规则将攻击报文判断为未知协议异常。通过这2种攻击行为的检测,验证了本文提出检测方法的可行性与建立规则的合理性。
4 小结
本文利用智能变电站网络环境相对封闭的特点,建立站内设备、流量和协议的规则,并通过对捕获报文的分析发现异常网络行为。在变电站实验环境中开展模拟攻击测试,验证了报文分析方法的可行性与所建立规则的有效性,为判断变电站系统的安全运行水平提供参考依据。
参考文献
[1]谈树峰,冯善强,王红星.智能变电站网络闭环测试系统实现与应用[J].广东电力,2015,12:68-73.
[2]陈志光,李一泉,黄勇,苏忠阳,陆伟.基于风险管控的智能变电站继电保护测试平台研究[J].机电工程技术,2015,11:108-113+162.
[3]邓烽,何思源,赵高峰.基于IEC61850标准的变电站网络设备性能信息模型[J].电信科学,2015,S1:227-231.
[4]卢江水,闫春江,戴瑞成,武志松,苏京文.智能变电站合并单元运维及异常分析[J].电气应用,2015,S2:145-151.
[5]井柯,董黎芳,孙一桉.智能变电站监测预警系统研究与应用[J].电力信息与通信技术,2015,11:153-157.
论文作者:李明富,洪波
论文发表刊物:《电力设备》2017年第19期
论文发表时间:2017/11/17
标签:报文论文; 变电站论文; 异常论文; 网络论文; 规则论文; 设备论文; 系统论文; 《电力设备》2017年第19期论文;