基于协议解析的电网工控安全检测系统的制作方法

本发明涉及一种监测系统，尤其涉及一种用于电网工业控制系统安全威胁监测系统。

背景技术：

现代工业基础设施包括电力、石油与天然气、化工、水利、工业制造及交通控制等重点行业，构成了我国国民经济、现代社会以及国家安全的重要基础。工业基础设施中关键应用、系统的故障可能导致人员伤亡、严重的经济损失、基础设施被破坏、环境灾难、危及公众生活及国家安全等。工业控制系统(ICS-Industrial Control System)构成了现代工业基础设施的神经系统。传统上，工业控制系统多为采用专用技术的封闭网络，对外没有互联互通，其面临的信息安全威胁不突出。相应地，各种工业控制设备、应用、系统、通信协议都主要针对专有的封闭环境而设计。由于没有现实的信息安全威胁，工业自动化控制系统在设计、实现与部署过程中，其主要指标是可用性、功能、性能、(物理)安全性、实时性等，而无须过多考虑网络攻击、信息安全等问题。

近几十年来，各种工业控制系统正快速地从封闭、孤立的系统走向开放、互联(包括与传统IT系统互联)，日益广泛地采用以太网/IP/TCP网络作为通信基础设施，将工业控制协议迁移到TCP/IP协议栈的应用层；采用包括IWLAN、GPRS等在内的各种无线网络；广泛采用标准的Windows等商用操作系统、设备、软件、中间件与各种通用技术。典型的工业自动化控制系统，包括SCADA(Supervisory Control And Data Acquisition，数据采集与监控系统)、DCS(Distributed Control System，分布式控制系统)、PLC(Programmable LogicController，可编程逻辑控制器)等，正日益变得开放、通用和标准化。

工业控制系统在享受开放、互联技术带来的进步、效率与利益的同时，也面临着日益严重的安全威胁。由于长期缺乏安全需求的推动，对(采用TCP/IP等通用技术的)网络环境下广泛存在的安全威胁缺乏充分认识，现有工业控制系统过去在设计、研发中几乎完全没有考虑信息安全的问题，都无法抵御黑客入侵、恶意代码感染、APT(Advanced Persistent Threat，高级持续性威胁)攻击等安全威胁，加之在部署和运维中又缺乏必要的安全意识、管理、流程、策略与相关专业技术的支撑，导致许多工业控制系统中存在着这样或那样的安全问题，一旦被无意或恶意利用，就会造成各种严重的安全事件。

电网工业控制系统作为自动化水平、联网程度最高的ICS系统，其安全性近年来在学术研究及工业领域受到了高度的重视。

2005年，John Robert Hughes在其发明专利“基于规则的可扩展认证(Rule Based Extensible Authentication)”(US8418233B1)中提出了一种采用基于规则的深度报文解析用于提取凭证，并进一步用于对资源的访问进行管理的方法。在该发明中，在客户端设备与服务器设备之间部署一台网络设备。当客户的设备发送报文，请求资源时，网络设备拦截该请求，并对其进行多层次的深度报文解析，提取出请求中的凭证。随后，网络设备将利用该凭证判断该请求是否能够访问所请求的资源。在一种实施例中，网络设备可以接受来自另一设备的规则，该规则指导网络设备请求其他的凭证。尽管该发明涉及将DPI用于访问控制，但该发明的目的在于代替服务器设备执行安全功能，从而减少服务器设备的非业务负荷。并且该发明只适用于客户端设备的请求中已经包含了安全凭证的应用场景(如采用SSL、TLS通信)。

2006年，阿尔卡特公司的Z.克尔斯图里奇在发明专利“用于优先化通过因特网接入网络的业务的系统和方法”(CN101005454A)中提出了一种方法，“用于即使在公共分组通信网络被严重拥塞时也确保特定业务流量在该网络中被充分优先化。每个流的QoS能力被添加到VPN隧道。连接请求通过接入提供商的网络中的特定端口路由到指定的VPN网关。对通过该端口的业务执行深度分组检查，试图确定该连接请求是否被接受。如果该连接请求被接受，则当与该会话相关的业务流量经过分组接入网络时其被给予特定的QoS级别的优先级。”该发明将深度分组检查用于识别接入分组的特点，以便用于确定该业务流量的QoS的优先级，并未涉及对业务访问进行身份识别(Identification)、认证(Authentication)和授权(Authorization)。

2008年，武汉虹旭信息技术有限责任公司的熊桂兰等人提出的发明专利“一种基于动态深度包检测的互联网应用识别方法”，目的是对P2P等有害业务进行识别和接入控制。该发明除了采用传统的ACL技术对业务进行接入控制外，进一步采用DPI技术对业务流量的流量、特征字进行分析统计，从而动态识别出有害的业务。

2010年，Eun Joo KIM等人在发明专利“在通信网络中采用DPI提供无缝的按需应用服务的系统与方法(System and Method for Providing Seamless On-Demand Application Service Using DPI in Communication Networks)”(US20110145902A1)中提出了一种提供按需服务的系统，即采用一个交换机设备识别媒体的签名，根据签名、用户设备的解析度等改变媒体的解析度，或根据认证管理服务器的要求对终端或用户进行认证等。该发明涉及的是网络媒体的按需服务质量管理领域，其中DPI仅被用于识别媒体网络流量的签名、解析度等。

2011年，Gaash Hazan在发明专利“用于检测内容服务器、缓存热门内容、并提供恰当认证的系统与方法(System and Methods Thereof For Detection of Content Servers，Caching Popular Content Therein，and Providing Support for Proper Authentication)”(US20130212708A1)提出了一种方法，将 内容源提供的内容存储在内容源与内容用户之间的一个设备中，允许从该设备将该内容传送给其他内容用户，从而减少整个网络的负荷。为保护该内容，该设备会识别出认证的需要并提供一个随机的标识给目标内容用户，同时该设备会存储该标识及与其相关的参数用于以后对该内容用户进行验证。

2014年，Eric Byres等人在其文章“Securing EtherNet/IP Control Systems using Deep Packet Inspection Firewall Technology”中介绍了如何采用DPI技术对EtherNet/IP协议报文进行检查和过滤。

综上所述，现有技术多是利用DPI技术对网络报文的内容进行解析后，直接将结果用于QoS、业务识别、内容管理、报文过滤等应用领域。但并未涉及将DPI用于电网工业控制系统安全威胁监测方面的内容。

技术实现要素：

发明目的：发明一种针对在对电网工业控制系统，特别是调度中心与新能源电站之间的工控通信面临的安全威胁，部署电网工业控制系统威胁监测系统，对现网的流量进行监测与分析，为电网工业控制信息安全提供保障。并将基于协议报文深度解析的电网工业控制系统安全威胁监测系统部署于调度中心与新能源电站，对104规约及TCP协议通信流量进行深度解析和安全威胁监测，及时识别并记录包括旁路控制、完整性破坏、违反授权、篡改报文、非法使用、欺骗伪装、拒绝服务、窃听、明文通信、恶意代码、准入控制等威胁，为应对电网工业控制系统提供了一个完备的基于协议深度解析的威胁监测解决方案。

本发明是这样实现的：一种基于协议解析的电网工控安全监测系统基于分布式部署架构，由监测系统主站和现场监测装置组成。监测主站部署于电网调度控制中心，电网调度控制中心通常还包括通过工业以太网连接起来的工程师站、人机界面、操作员站和服务器等设备；光伏电站通常包括通过工业以太网连接起来的人机界面、操作员站、测量仪表、远动装置等。现场监测装置则分别部署于电网调度控制中心及个光伏电站，以及两者之间的通信链路上的现场监测装置具体部署方式如下：①、在电网调度控制中心的关键网络交换机或路由器上设置端口镜像，将工业以太网内的通信流量镜像到一个空闲的网络端口，再将现场监测装置I接入到该网络端口，即可监测电网调度控制中心的网络通信流量；②、在光伏电站的关键网络交换机或路由器上设置端口镜像，将工业以太网内的通信流量镜像到一个空闲的网络端口，再将现场监测装置II接入到该网络端口，即可监测光伏电站的网络通信流量；③、在电网调度控制中心的纵向加密装置与光伏电站的纵向加密装置之间的网络交换机或路由器上设置端口镜像，将工业以太网内的通信流量镜像到一个空闲的网络端口，再将现场监测装置III接入到该网络端口，即可监测电网调度中心与光伏电站之间的通信流量。

部署在电网调度控制中心、各光伏电站，以及它们之间通信链路上的各现场监测装置，采集各 种所在网络上的所有网络通信流量，将其发送到监测主站。监测主站将对来自各现场监测装置的网络流量进行数据汇聚，解析保存到数据库中，并根据预先定义好的安全策略对其进行分析，如发现违反安全策略的通信行为，就在基于Web的数据展现层面进行告警。同时，监测主站还会还会针对所监测的流量提供态势展示、统计报表等功能。所述的电网调度控制中心与光伏电站线路分为两条，实时业务和非实时业务；两条业务通过纵向加密装置与光伏电站各业务相连。

相较于现有技术本发明具有的技术效果在于：本发明所述基于协解析的电网工控安全监测系统主要针对工业控制智能设备的应用分析、安全威胁分析、检测技术等方面展开示范性部署与效果分析研究，解决了如下问题：

1、解决了工控智能设备安全检测的问题。对工控智能设备的安全检测技术进行了研究，同时对其所面临的风险进行检测验证，开发了电网工业控制系统威胁监测系统，能够实现工控智能设备从系统安全到业务安全的检测。

2、解决了电网工业控制系统智能设备安全威胁监测与分析的问题。电网工业控制系统是电力信息重要组成部分，电网的安全威胁分析离不开工业控制智能设备的安全威胁，这些智能设备面临哪些安全威胁、这些安全威胁会造成哪些危害，本项目采取与设备特点相适应的安全监测与分析方法对工控智能设备的安全性进行监测与分析，并结合实际设备进行了现网部署与监测验证，进行了资产识别和非法报文等重要安全威胁的监测与分析。

3、针对工控智能设备的安全监测结果进行深度分析，与基于协议的深度分析相结合，为进一步的安全处置和防护提供了宝贵的经验，后面可以，参考相关标准，提出了系统的安全防护方案，并利用相应的安全防护技术来进行电网工业控制系统的安全建设。

4、为以后电网智能设备信息安全监测技术研究理清了思路。通过示范应用的研究，对工控智能设备的技术特点、安全威胁有了整体上的认识，对其安全检测、安全防护方法有了总体上的思路。

附图说明

图1是本发明电网工业控制系统安全威胁监测系统基于分布式部署架构示意图。

图2是本发明的应用场景即电力调度控制中心与光伏发电站的网络架构示意图。

图3是本发明基于协议深度解析的电网工业控制系统安全威胁监测系统功能架构示意图。

具体实施方式

电网工业控制智能设备是电网工业控制系统的重要组成部分，其安全性直接关系到整个电力信息系统安全，有效地分析并监测工业控制智能设备的安全威胁，并及时进行相应的安全处置与安全防护，才能为电力信息系统的安全提供保障。

由图1是本发明电网工业控制系统安全威胁监测系统基于分布式部署架构示意图可知一种基 于协议深度解析的电网工业控制系统安全威胁监测系统基于分布式部署架构，由监测系统主站和现场监测装置组成。

监测主站5部署于电网调度控制中心8，用于实现来自现场监测装置6、10、12数据的接受与汇聚，并提供数据展现、监测业务实施、数据分析、数据汇聚存储、系统管理功能，其功能架构如图3是本发明基于协议深度解析的电网工业控制系统安全威胁监测系统功能架构示意图所示；电网工业控制系统威胁监测系统主要基于协议深度解析的电网工业控制流量的采集、检测与安全威胁分析。安全威胁监测需要和电网边界分析相结合，新能源光伏站的边界，包括用户边界防护，发电厂边界，重点的安全威胁是以调控系统与光伏电站11工控系统边界为重点。

电网工业控制系统系统由设备、系统平台、业务软件和网络等要素组成，其中每个要素都存在着各种可被攻击的弱点，随着攻击手段的层出不穷，其面临的威胁越来越严重。安全威胁监测主要针对用电采集系统智能终端和配电自动化终端的安全问题进行威胁的监测与分析，系统地监测其所面临的威胁及其存在的脆弱性，及时识别出安全事件。

电网调度控制中心8通常还包括通过工业以太网7连接起来的工程师站1、人机界面2、操作员站3和服务器4等设备；光伏电站11通常包括通过工业以太网7连接起来的人机界面2、操作员站3、测量仪表12、远动装置14等。以及两者之间的通信链路上的现场监测装置6、10、12，具体部署方式如下：

●在电网调度控制中心8的关键网络交换机或路由器15上设置端口镜像，将工业以太网7内的通信流量镜像到一个空闲的网络端口，再将现场监测装置I 6接入到该网络端口，即可监测电网调度控制中心8的网络通信流量。

●在光伏电站11的关键网络交换机或路由器15上设置端口镜像，将工业以太网7内的通信流量镜像到一个空闲的网络端口，再将现场监测装置II 12接入到该网络端口，即可监测光伏电站11的网络通信流量。

●在电网调度控制中心8的纵向加密装置9与光伏电站11的纵向加密装置9之间的网络交换机或路由器16上设置端口镜像，将工业以太网7内的通信流量镜像到一个空闲的网络端口，再将现场监测装置III10接入到该网络端口，即可监测电网调度中心8与光伏电站11之间的通信流量。

部署在电网调度控制中心8、各光伏电站11，以及它们之间通信链路上的各现场监测装置6、10、12，采集各种所在网络上的所有网络通信流量，将其发送到监测主站5。

监测主站5将对来自各现场监测装置6、10、12的网络流量进行数据汇聚，解析保存到数据库中，并根据预先定义好的安全策略对其进行分析，如发现违反安全策略的通信行为，就在基于 Web的数据展现层面进行告警。同时，监测主站5还会还会针对所监测的流量提供态势展示、统计报表等功能。

如图2所示的本发明的应用场景即电力调度控制中心与光伏发电站的网络架构示意图可知电网调度控制中心8与光伏电站11线路分为两条，一条为实时业务，一条为非实时业务。两条业务通过纵向加密装置9与光伏电站11各业务相连。(旁路监听)

变电站综合自动化监控系统是将变电站的二次设备(包括测量仪表13、信号系统、继电保护、自动装置和远动装置等)经过功能组合和优化设计，利用先进的计算机技术、现代电子技术、通讯技术和信号处理技术，实现对全变电站的主要设备和输、配电线路的自动监视、测量、自动控制和微机护，以及与调度通信等综合性的自动化功能。

由于新能源发电站安全防护体系存在薄弱环节，容易遭受来自外部通过新能源发电站工控系统的渗透攻击。调控系统与新能源发电站边界安全威胁包括：

·发送非法控制命令；

·非授权修改系统配置、程序、控制命令和敏感数据；

·利用授权身份或设备进行非授权操作；

·拦截或篡改传输中的命令、参数及敏感数据

·伪装身份入侵；

·发送大量雪崩数据，造成网络或系统瘫痪；

窃听明文传输的敏感信息。

因此，本发明将针对在对电网工业控制系统，特别是调度中心与新能源电站之间的工控通信面临的安全威胁，部署电网工业控制系统威胁监测系统，对现网的流量进行监测与分析，为电网工业控制信息安全提供保障。

电网工业控制系统安全威胁监测系统是一个综合性的安全风险监控系统，为保证在调度控制系统与新能源电站工业控制系统边界成功示范应用，还必须重视新能源电站工业控制系统安全风险和电网调度控制系统安全风险的具体特点。

本发明电网工业控制系统安全威胁监测系统基于分布式部署架构，由监测系统主站和监测装置或现场监测装置6、10、12组成。安全威胁监测系统可以实现运行监控、异常监控、运行管理、配网分析等功能，通过数据采集、扫描、分析，对非法或遭到恶意篡改的指令进行过滤，并发出告警信息。

电网工业控制系统安全威胁监测系统需要能够监测新能源电站工业控制系统和电网调度控制系统主要安全风险。电网工业控制系统安全威胁监测系统提供新能源电站主要的安全风险的监测 能力和必要的预警能力。

电网工业控制系统安全威胁监测系统应在新能源电站(即厂站端)和调控系统(调控端)提供资产自动识别功能，并实现如下监测功能：

1、旁路控制监测。能够监测到入侵者对厂站或调控系统发送非法控制命令。

(1)、基于资产自动识别，将厂站端或调控中心的合法主机的IP添加到威胁监测平台中。

(2)、当一台非法攻击主机接入到厂站或调控中心，并利用iec103规约报文向厂站或调控中心的其他主机发送非法的控制指令，

(3)、威胁监测平台在监听厂站端的网络流量过程中，发现来自白名单之外的IP地址在发送103规约报文，就记录安全日志并在界面上告警。

2、完整性破坏监测。能够监测出非授权修改厂站或调控系统配置、程序、敏感数据等操作。

(1)、威胁监测系统支持对IEC 60870-5 103规约通信的深度解析。在此基础上，用户可配置允许访问或不运行访问的IEC103规约设备地址(段)。

(2)、在厂站端或调控中心，如果有攻击者劫持了一台主机，利用104规约报文向调控系统发送数据指令，访问完整性安全策略未授权访问的设备地址。

(3)、威胁监测平台在监听厂站端的网络流量过程中，发现该主机利用IEC103规约报文访问完整性安全策略未授权访问的设备地址，就记录安全日志并在界面上告警。

3、违反授权监测。能够监测出厂站端、调控中心非授权操作。

(1)、威胁监测平台支持对IEC 60870-5 103规约通信的深度解析。在此基础上，用户可定义相应的授权策略，将103规约中的敏感报文设置到黑名单中。

(2)、如果攻击者劫持了厂站端或调控中心的一台主机，违反授权策略利用不允许的103规约敏感报文与其他主机进行通信。

(3)、威胁监测平台在监听厂站的网络流量过程中，发现该主机违反了预定义的通信授权策略，进行了非授权的通信(包括发送103规约报文)，就记录安全日志并在界面上告警。

4、篡改报文监测。能够监测出厂站内传输、厂站端-调控端传输报文拦截或篡改报文操作。

(1)、威胁监测平台中开发了60870-5 103规约报文的合法性检查模块，可对103规约中各种类型报文的格式进行合法性检查。在此基础上，用户可根据需要启用对103规约不同报文的不同字段及结构的检查。

(2)、如果攻击者劫持了厂站端或调控中心的一台主机，违反103协议规范，在厂站或调控中心内发送经过篡改的畸形的103规约报文。具体包括：

·关键的功能字段；

·长度字段；

·信号量取值的范围(阈值)等

(3)、威胁监测平台在监听厂站端或调控中心的网络流量过程中，发现该主机违反103规约，发送经过篡改的畸形的103协议报文，一旦匹配成功，就记录安全日志并在界面上告警。

5、非法使用监测。能够非授权操作出厂站端、调控中心系统或设备的操作。

(1)、在威胁监测平台中配置厂站端及调控中心端的每个主机允许执行的通信(TCP通信)作为授权策略；

(2)、如果攻击者劫持了厂站端或调控中心的一台主机，违反通信授权利用不允许的协议(TCP通信)与其他主机进行通信，

(3)、威胁监测平台在监听厂站端或网络流量过程中，发现该主机违反了预定义的通信授权策略，进行了非授权的通信，就记录安全日志并在界面上告警。

6、欺骗、伪装监测。能够监测出厂站端、调控中心服务欺骗攻击。

(1)、基于资产自动识别，在威胁监测平台中预先配置厂站端及调控中心各个主机IP、MAC地址及其允许访问的网络服务作为访问控制策略；

(2)、当攻击者在厂站端或调控中心的一台主机上，利用IP伪源技术冒充其他(合法)主机的IP访问指定的网络服务。

(3)、威胁监测平台在监听厂站端的网络流量过程中，利用IP、MAC地址及绑定允许访问的服务，识别出该主机违反了预定义的访问控制策略，进行了服务欺骗攻击，就记录安全日志并在界面上告警。

7、拒绝服务监测。能够监测厂站端、调控中心发生大量雪崩数据行为。

(1)、在威胁监测平台中配置厂站端及调控中心的ARP洪范、TCP洪泛攻击监测策略；

(2)、当攻击者在厂站端的A/B网中或在调控中心发动ARP洪泛攻击或TCP洪泛攻击时。

(3)、威胁监测平台在监听厂站端的网络流量过程中，发现网络中发生了ARP洪范攻击或TCP洪泛攻击，就记录安全日志并在界面上告警。

8、窃听监测。能够监测到厂站内传输、厂站端-调控端报文传输窃听行为。

(1)、基于资产自动识别，在威胁监测平台中预先配置了厂站端及调控中心的每个主机的MAC地址作为访问控制策略；

(2)、当攻击者在厂站端或调控中心接入一台窃听主机，该主机在未配置IP地址的情况下就可采用Wireshark等软件进行通信流量窃听。

(3)、威胁监测平台在监听厂站端及调控中心网络流量过程中，或在发送ARP广播报文过程中， 发现有访问控制列表之外的MAC地址，即可怀疑有设备接入进行通信流量(传输报文)的窃听，就记录安全日志并在界面上告警。

9、明文监测。能够监测出厂站内传输、厂站端-调控端报文传输是否进行加密。

(1)、在厂站端与调控中心的加密装置之间部署一个网络探针。

(2)、在威胁监测平台中配置该网络探针检查厂站端-调控中心之间的通信是否为加密通信；

(3)、如果在厂站端有设备绕过加密装置，向调控中心发送明文通信报文。

(4)、该网络探针监测到明文通信后，及向威胁监测平台报告，威胁监测平台相应地记录安全日志并在界面上告警。

10、恶意代码监测。能够监测出传输厂站内传输、厂站端-调控端报文传输报文中的恶意代码。

(1)、威胁监测平台支持对多种工控相关恶意代码(面向Linux的病毒)的识别。在此基础上，用户可在威胁监测平台中配置相应的恶意代码监测策略。

(2)、当厂站端及调控中心的主机上感染了恶意代码，该恶意代码会试图通过网络通信(传输报文)感染其他主机。

(3)、威胁监测平台在监听厂站端及调控中心的网络流量过程中，发现存在有恶意代码传播的网络流量，就记录安全日志并在界面上告警。

11、准入监测。能够监测出调控中心、厂站端非授权设备的接入。

(1)、基于资产自动发现，将厂站端及调控中心中合法主机的IP地址添加到威胁监测平台的主机白名单中。

(2)、将一台非授权设备配置到对应的IP地址段，接入到厂站端。

(3)、威胁监测平台在监听厂站端及调控中心的网络流量过程中，发现来自白名单之外的IP地址在收发通信报文，就记录安全日志并在界面上告警。

(4)、可以基于历史数据挖掘分析，实现所有新能源电站工业控制系统和调度控制系统的安全趋势分析。