自動(dòng)化碩士學(xué)位論文基于iec60870-5系列協(xié)議工控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)異常檢測(cè)技術(shù)

1、<p><b>　　碩士學(xué)位論文</b></p><p><b>　?。?0 屆）</b></p><p>　　基于IEC60870-5系列協(xié)議工控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)異常檢測(cè)技術(shù)</p><p>　　所在學(xué)院 </p><p>　　專(zhuān)業(yè)

2、班級(jí) 控制工程（網(wǎng)絡(luò)信息安全方向）</p><p>　　學(xué)生姓名 學(xué)號(hào) </p><p>　　指導(dǎo)教師 職稱(chēng) </p><p>　　完成日期 年 月 </p><p><b>　　摘 要<

3、;/b></p><p>　　隨著工業(yè)化和信息化的融合，工業(yè)控制系統(tǒng)的開(kāi)放性與復(fù)雜性逐步增強(qiáng)，所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和入侵威脅不斷加深。論文為提高工控系統(tǒng)對(duì)網(wǎng)絡(luò)異常數(shù)據(jù)的檢測(cè)能力，研究了基于IEC60870-5系列協(xié)議工控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)異常檢測(cè)技術(shù)，設(shè)計(jì)了IEC60870-5網(wǎng)絡(luò)通信數(shù)據(jù)異常檢測(cè)系統(tǒng)。論文所做的主要工作如下：</p><p>　?。?）通過(guò)與傳統(tǒng)信息系統(tǒng)作比較，分析工控

4、系統(tǒng)的主要特點(diǎn)。結(jié)合實(shí)例闡述目前工控系統(tǒng)所受到的安全威脅，介紹當(dāng)前國(guó)內(nèi)外在工控系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域的研究現(xiàn)狀。研究工業(yè)控制系統(tǒng)中廣泛應(yīng)用的IEC60870-5-104協(xié)議和IEC60870-5-103協(xié)議，并分析兩種協(xié)議的脆弱性。</p><p>　?。?）根據(jù)IEC60870-5-104協(xié)議和IEC60870-5-103協(xié)議的脆弱性分析結(jié)論，設(shè)計(jì)兩種異常數(shù)據(jù)檢測(cè)方法，基于異常數(shù)據(jù)分類(lèi)的異常檢測(cè)方法和基于報(bào)文結(jié)構(gòu)的異

5、常檢測(cè)方法。將常見(jiàn)的異常行為進(jìn)行總結(jié)歸納，并設(shè)計(jì)相應(yīng)的異常檢測(cè)模型。</p><p>　　（3）以異常檢測(cè)模型為核心結(jié)合數(shù)據(jù)傳輸時(shí)包含的關(guān)鍵信息，建立一套異常檢測(cè)規(guī)則，內(nèi)容簡(jiǎn)潔且規(guī)則編寫(xiě)靈活。設(shè)計(jì)基于LAMP架構(gòu)的網(wǎng)絡(luò)通信數(shù)據(jù)異常檢測(cè)系統(tǒng)，包括原始數(shù)據(jù)捕獲模塊、數(shù)據(jù)包解析模塊、異常數(shù)據(jù)檢測(cè)模塊、數(shù)據(jù)庫(kù)模塊以及檢測(cè)系統(tǒng)服務(wù)器端模塊。</p><p>　　（4）基于TcpReplay網(wǎng)絡(luò)數(shù)據(jù)回

6、放工具設(shè)計(jì)網(wǎng)絡(luò)通信仿真軟件，針對(duì)IEC60870-5-104協(xié)議和IEC60870-5-103協(xié)議中常見(jiàn)的異常行為，編寫(xiě)異常檢測(cè)規(guī)則，設(shè)置數(shù)據(jù)包捕獲模式。最后搭建仿真測(cè)試平臺(tái)，利用網(wǎng)絡(luò)通信仿真軟件向異常檢測(cè)系統(tǒng)所在的目的主機(jī)發(fā)送異常數(shù)據(jù)包，驗(yàn)證測(cè)試異常檢測(cè)系統(tǒng)的有效性。</p><p>　　論文最后對(duì)全文所做的工作進(jìn)行總結(jié)，并對(duì)未來(lái)值得進(jìn)一步研究的問(wèn)題進(jìn)行展望。</p><p>　　關(guān)鍵詞

7、：工控網(wǎng)絡(luò)安全、IEC60870-5系列協(xié)議、網(wǎng)絡(luò)數(shù)據(jù)異常檢測(cè)、異常數(shù)據(jù)分類(lèi)、報(bào)文結(jié)構(gòu)</p><p><b>　　Abstract</b></p><p>　　With the integration of industrialization and informatization, the openness and complexity of industrial

8、 control system (ICS) gradually increased, deepening facing network security risks and threats of invasion. In order to improve the industrial control system on network anomaly data detection capability, the network data

9、 anomaly detection technology based on IEC60870-5 series protocol industrial control system is studied, IEC60870-5 network communication data anomaly detection system is design</p><p>　　(1) Through compariso

10、n with the traditional information system, the main characteristics of the industrial control system are analyzed. This paper expounds the security threat of the current industrial control system, and the present researc

11、h status at home and abroad is introduced. IEC60870-5-104 protocol and IEC60870-5-103 protocol in industrial control system are introduced, and the vulnerability of the two protocols are analyzed.</p><p>　　(

12、2) Two anomaly detection methods are designed according to IEC60870-5-103 protocol and IEC60870-5-104 protocol vulnerability analysis conclusion, the anomaly detection method for data classification of anomalies and anom

13、aly detection method based on packet structure. The common abnormal behavior is summarized and the corresponding anomaly detection model is designed.</p><p>　　(3) In anomaly detection model as the core and c

14、ombining with key information of the data being transmitted, establishes a set of anomaly detection rules, concise and write flexible. Anomaly detection system based on the LAMP architecture of network communication data

15、, including the original data capture module, packet parsing module, data anomaly detection module, database module and detection system server module is designed.</p><p>　　(4) The network communication simu

16、lation software is designed based on the TcpReplay network data playback tool. In view of the common abnormal behavior in the IEC60870-5-104 protocol and IEC60870-5-103 protocol, the abnormal detection rules are written,

17、 the data packet capture mode is set up. Finally, the simulation test platform is built, use the network communication simulation software to verify the effectiveness of the network anomaly data system (NADS) designed in

18、 this paper.</p><p>　　Finally, the full text of the work done is summarized, and the next question is worth further study were discussed.</p><p>　　Key Word: ICS network security, IEC60870-5 seri

19、es protocol, Anomaly detection of network data,Abnormal data classification,Message structure</p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p><p>　　Abstra

20、ctIII</p><p><b>　　1.緒論1</b></p><p>　　1.1研究背景與意義1</p><p>　　1.2工控系統(tǒng)的特點(diǎn)3</p><p>　　1.3國(guó)內(nèi)外研究現(xiàn)狀5</p><p>　　1.4論文組織架構(gòu)6</p><p>　　1.4

21、.1研究?jī)?nèi)容6</p><p>　　1.4.2章節(jié)安排7</p><p>　　2.IEC60870-5通信規(guī)約及其脆弱性分析9</p><p>　　2.1 IEC60870-5系列通信規(guī)約9</p><p>　　2.1.1 IEC60870-5-104協(xié)議簡(jiǎn)介9</p><p>　　2.1.2 IEC608

22、70-5-103協(xié)議簡(jiǎn)介10</p><p>　　2.2 IEC104協(xié)議與IEC103協(xié)議的結(jié)構(gòu)實(shí)現(xiàn)11</p><p>　　2.2.1 IEC60870-5-104協(xié)議結(jié)構(gòu)11</p><p>　　2.2.2 IEC60870-5-103協(xié)議結(jié)構(gòu)14</p><p>　　2.3 IEC104協(xié)議與IEC103協(xié)議脆弱性分析17&

23、lt;/p><p>　　2.4 本章小結(jié)18</p><p>　　3.IEC60870-5網(wǎng)絡(luò)數(shù)據(jù)異常檢測(cè)方法和模型19</p><p>　　3.1IEC60870-5異常檢測(cè)方法19</p><p>　　3.1.1基于異常數(shù)據(jù)分類(lèi)的異常檢測(cè)方法19</p><p>　　3.1.2基于報(bào)文結(jié)構(gòu)的異常檢測(cè)方法20

24、</p><p>　　3.2網(wǎng)絡(luò)數(shù)據(jù)異常檢測(cè)模型22</p><p>　　3.2.1不符合規(guī)范報(bào)文異常檢測(cè)模型23</p><p>　　3.2.2可疑的類(lèi)型標(biāo)識(shí)異常檢測(cè)模型25</p><p>　　3.2.3可疑的傳送原因異常檢測(cè)模型30</p><p>　　3.3本章小結(jié)31</p><

25、p>　　4.IEC60870-5網(wǎng)絡(luò)通信數(shù)據(jù)異常檢測(cè)系統(tǒng)的設(shè)計(jì)33</p><p>　　4.1系統(tǒng)總體設(shè)計(jì)33</p><p>　　4.1.1Linux操作系統(tǒng)33</p><p>　　4.1.2Apache服務(wù)器34</p><p>　　4.2基于Libcap的數(shù)據(jù)捕獲和解析34</p><p>　

26、　4.2.1數(shù)據(jù)包捕獲原理34</p><p>　　4.2.2基于Libpcap的數(shù)據(jù)包捕獲35</p><p>　　4.2.3基于Libpcap捕獲數(shù)據(jù)包的處理與解析38</p><p>　　4.3異常檢測(cè)模塊的設(shè)計(jì)44</p><p>　　4.3.1異常檢測(cè)規(guī)則設(shè)計(jì)44</p><p>　　4.3.2異常

27、檢測(cè)程序設(shè)計(jì)45</p><p>　　4.4基于PHP和MySQL的檢測(cè)系統(tǒng)設(shè)計(jì)46</p><p>　　4.4.1檢測(cè)系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)46</p><p>　　4.4.2檢測(cè)系統(tǒng)服務(wù)器端設(shè)計(jì)48</p><p>　　4.5本章小結(jié)55</p><p>　　5.基于IEC60870-5網(wǎng)絡(luò)通信檢測(cè)系統(tǒng)的仿真測(cè)

28、試57</p><p>　　5.1 IEC60870-5網(wǎng)絡(luò)通信仿真軟件設(shè)計(jì)57</p><p>　　5.2測(cè)試與驗(yàn)證58</p><p>　　5.2.1測(cè)試平臺(tái)搭建58</p><p>　　5.2.2測(cè)試與結(jié)果分析59</p><p>　　5.3本章小結(jié)61</p><p>　　6

29、.總結(jié)與展望63</p><p>　　6.1文章總結(jié)63</p><p>　　6.2未來(lái)展望63</p><p><b>　　致 謝65</b></p><p><b>　　參考文獻(xiàn)67</b></p><p><b>　　附 錄71<

30、;/b></p><p><b>　　圖表目錄</b></p><p>　　圖 1.1公開(kāi)的工控系統(tǒng)漏洞的年度變化趨勢(shì)2</p><p>　　圖 1.2工業(yè)控制系統(tǒng)市場(chǎng)分布情況2</p><p>　　圖 1.3工控系統(tǒng)安全時(shí)的原則性特點(diǎn)4</p><p>　　圖 2.1 IEC104協(xié)

31、議的規(guī)約結(jié)構(gòu)10</p><p>　　圖 2.2 ISO模型和EPA模型圖10</p><p>　　圖 2.3應(yīng)用規(guī)約數(shù)據(jù)單元APDU結(jié)構(gòu)12</p><p>　　圖 2.4應(yīng)用規(guī)約控制信息APCI結(jié)構(gòu)圖12</p><p>　　圖 2.5應(yīng)用服務(wù)數(shù)據(jù)單元ASDU的結(jié)構(gòu)13</p><p>　　圖 3.1基于

32、異常分類(lèi)的檢測(cè)方法流程圖20</p><p>　　圖 3.2 IEC104協(xié)議I格式待檢數(shù)據(jù)鏈表結(jié)構(gòu)20</p><p>　　圖 3.3 IEC103協(xié)議待檢數(shù)據(jù)鏈表結(jié)構(gòu)21</p><p>　　圖 3.4基于報(bào)文結(jié)構(gòu)的異常檢測(cè)方法流程圖22</p><p>　　圖 3.5異常數(shù)據(jù)檢測(cè)架構(gòu)圖22</p><p&g

33、t;　　圖 3.6異常檢測(cè)模型結(jié)構(gòu)23</p><p>　　圖 4.1網(wǎng)絡(luò)通信數(shù)據(jù)異常檢測(cè)系統(tǒng)33</p><p>　　圖 4.2基于TCP/IP協(xié)議的數(shù)據(jù)包封裝35</p><p>　　圖 4.3 BPF過(guò)濾器架構(gòu)36</p><p>　　圖 4.4 Libpcap工作流程36</p><p>　　圖 4.

34、5 Libpcap數(shù)據(jù)包捕獲編程步驟37</p><p>　　圖 4.6網(wǎng)絡(luò)通信報(bào)文結(jié)構(gòu)圖39</p><p>　　圖 4.7原始數(shù)據(jù)包解析過(guò)程39</p><p>　　圖 4.8以太網(wǎng)幀格式40</p><p>　　圖 4.9 IP報(bào)文格式41</p><p>　　圖 4.10 TCP報(bào)文段格式42<

35、;/p><p>　　圖 4.11通信數(shù)據(jù)處理43</p><p>　　圖 4.12異常檢測(cè)規(guī)則結(jié)構(gòu)44</p><p>　　圖 4.13異常檢測(cè)程序流程圖46</p><p>　　圖 4.14 Ubuntu系統(tǒng)下異常檢測(cè)系統(tǒng)登錄界面50</p><p>　　圖 4.15 Ubuntu系統(tǒng)下異常檢測(cè)系統(tǒng)主頁(yè)界面51

36、</p><p>　　圖 4.16 Ubuntu系統(tǒng)下數(shù)據(jù)包捕獲模式設(shè)置界面51</p><p>　　圖 4.17 Ubuntu系統(tǒng)下導(dǎo)入異常檢測(cè)規(guī)則52</p><p>　　圖 4.18 Ubuntu系統(tǒng)下手動(dòng)設(shè)置異常檢測(cè)規(guī)則53</p><p>　　圖 4.19 Ubuntu系統(tǒng)下待檢數(shù)據(jù)查詢(xún)界面54</p><

37、;p>　　圖 4.20 Ubuntu系統(tǒng)下異常數(shù)據(jù)查詢(xún)界面55</p><p>　　圖 5.1 IEC60870-5網(wǎng)絡(luò)通信仿真軟件界面圖57</p><p>　　圖 5.2仿真測(cè)試平臺(tái)結(jié)構(gòu)58</p><p>　　圖 5.3異常數(shù)據(jù)包發(fā)送60</p><p>　　圖 5.4異常數(shù)據(jù)信息表61</p><p

38、>　　表 1.1信息系統(tǒng)與工控系統(tǒng)差異3</p><p>　　表 1.3信息系統(tǒng)與工控系統(tǒng)的安全性對(duì)比5</p><p>　　表 2.1可變長(zhǎng)度幀格式及各字節(jié)含義14</p><p>　　表 2.2控制方向報(bào)文的控制域15</p><p>　　表 2.3監(jiān)視方向報(bào)文的控制域15</p><p>　　表

39、2.4 ASDU具體結(jié)構(gòu)信息16</p><p>　　表 2.5固定長(zhǎng)度幀格式及各字節(jié)含義16</p><p>　　表 3.1啟動(dòng)字符異常的報(bào)文結(jié)構(gòu)23</p><p>　　表 3.2應(yīng)用規(guī)約數(shù)據(jù)單元長(zhǎng)度異常的報(bào)文結(jié)構(gòu)23</p><p>　　表 3.3類(lèi)型標(biāo)識(shí)為0傳送原因?yàn)?的異常報(bào)文結(jié)構(gòu)24</p><p&g

40、t;　　表 3.4不符合規(guī)范的報(bào)文集合24</p><p>　　表 3.5不符合規(guī)范報(bào)文異常檢測(cè)模型25</p><p>　　表 3.6循環(huán)上報(bào)初始化的異常報(bào)文結(jié)構(gòu)26</p><p>　　表 3.7復(fù)位進(jìn)程報(bào)文結(jié)構(gòu)26</p><p>　　表 3.8讀從站配置信息的報(bào)文結(jié)構(gòu)27</p><p>　　表 3.

41、9主站啟動(dòng)總召喚的報(bào)文結(jié)構(gòu)28</p><p>　　表 3.10可疑的類(lèi)型標(biāo)識(shí)集合28</p><p>　　表 3.11可疑的類(lèi)型標(biāo)識(shí)異常檢測(cè)模型29</p><p>　　表 3.12帶未知傳送原因的異常報(bào)文結(jié)構(gòu)30</p><p>　　表 3.13可疑的傳送原因集合30</p><p>　　表 3.14可疑

42、的傳送原因異常檢測(cè)模型30</p><p>　　表 4.1用戶(hù)表47</p><p>　　表 4.2待檢數(shù)據(jù)表48</p><p>　　表 4.3異常數(shù)據(jù)表48</p><p><b>　　緒論</b></p><p>　　1.1研究背景與意義</p><p>　　

43、工業(yè)控制系統(tǒng)[1]（ICS，Industrial Control System），廣泛應(yīng)用于電力[2,3]、水利[4]、能源[5,6]等關(guān)系到國(guó)家安全的重要行業(yè)領(lǐng)域。工控系統(tǒng)以其通信協(xié)議的專(zhuān)一性和系統(tǒng)的相對(duì)封閉性[7]使得攻擊者很難入侵。隨著工業(yè)化和信息化的不斷交叉融合，越來(lái)越多的信息技術(shù)應(yīng)用到了工業(yè)控制領(lǐng)域，工控系統(tǒng)與外界進(jìn)行數(shù)據(jù)交換更加頻繁，使得工控系統(tǒng)面臨更多的安全問(wèn)題。</p><p>　　近些年來(lái)發(fā)生了

44、一系列的工控系統(tǒng)安全事件，如2010年的“震網(wǎng)”病毒[8,9]事件，此病毒是首個(gè)針對(duì)工控系統(tǒng)的蠕蟲(chóng)病毒，利用西門(mén)子公司控制系統(tǒng)（SIMATIC WinCC/Step7）存在的漏洞感染數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA），向可編程邏輯控制器（PLC）寫(xiě)入代碼并將代碼隱藏。通過(guò)使離心機(jī)驟停的方式來(lái)破壞離心機(jī)，同時(shí)獲取渦輪機(jī)的控制權(quán)限，改變控制參數(shù)，最后破壞渦輪機(jī)。它是已知的第一個(gè)包含PLC rootkit的電腦蠕蟲(chóng)，也是已知的第一個(gè)以關(guān)鍵工業(yè)基

45、礎(chǔ)設(shè)施為目標(biāo)的蠕蟲(chóng)。病毒成功入侵并破壞了伊朗布什爾核電站核設(shè)施；發(fā)生在2011年的Duqu病毒[10]，這種病毒是Stuxnet病毒的一種變種，大量重用了Stuxnet的代碼，利用微軟的零日漏洞MS11-087并偽裝C-Media公司的數(shù)字簽名逃避安全工具檢測(cè)，在入侵工控系統(tǒng)后便竊取與攻擊目標(biāo)相關(guān)的各種情報(bào)，并將收集到的信息通過(guò)加密處理成圖片的形式返回給攻擊者。此病毒的攻擊目標(biāo)主要為中東及歐洲國(guó)家的一些能源行業(yè)；以及發(fā)生在2012年的F

46、lame病毒[11,12]，它是一種綜合滲透擴(kuò)散、預(yù)留后門(mén)、信息竊取等功能的間諜軟件，它可以創(chuàng)建屏幕快照截</p><p>　　根據(jù)美國(guó)CVE ICS-CERT[13]以及中國(guó)國(guó)家信息安全漏洞共享平臺(tái)所發(fā)布的漏洞信息，總結(jié)的公開(kāi)漏洞總體變化趨勢(shì)如圖1.1所示。</p><p>　　圖 1.1公開(kāi)的工控系統(tǒng)漏洞的年度變化趨勢(shì)</p><p>　　在2011年之前，公開(kāi)

47、披露的工業(yè)控制系統(tǒng)相關(guān)漏洞數(shù)量相當(dāng)少，但在2011年出現(xiàn)快速增長(zhǎng)，主要是由于2010年的“震網(wǎng)”蠕蟲(chóng)病毒事件之后，人們對(duì)于工業(yè)控制系統(tǒng)安全問(wèn)題持續(xù)關(guān)注以及工業(yè)控制系統(tǒng)廠商分析解決歷史遺留問(wèn)題所造成的。隨著各方面對(duì)工業(yè)控制系統(tǒng)安全的日益重視，工業(yè)控制系統(tǒng)的相關(guān)漏洞數(shù)量仍然保持一個(gè)增長(zhǎng)的總體趨勢(shì)。</p><p>　　目前我國(guó)的ICS市場(chǎng)規(guī)模約為100億元，但由于各個(gè)行業(yè)對(duì)ICS的要求不同，因此發(fā)展也完全不同。其中，

48、在電力行業(yè)中ICS應(yīng)用最為廣泛，約占整個(gè)ICS市場(chǎng)的半壁江山[14]，如圖1.2所示，電力系統(tǒng)中，變電站自動(dòng)化約占到ICS市場(chǎng)的40%，是ICS最大的應(yīng)用領(lǐng)域。</p><p>　　圖 1.2工業(yè)控制系統(tǒng)市場(chǎng)分布情況</p><p>　　電力系統(tǒng)中常用的幾種通信協(xié)議有ModbusTcp[15,16]、DNP3[17,18]、IEC60870-5系列等，其中IEC60870-5系列遠(yuǎn)動(dòng)通信規(guī)

49、約在變電站自動(dòng)化以及調(diào)度自動(dòng)化方面應(yīng)用比較成熟也比較廣泛。</p><p>　　綜上所述，隨著計(jì)算機(jī)技術(shù)在工控系統(tǒng)中的廣泛應(yīng)用，工控系統(tǒng)原有的封閉性已經(jīng)被打破，工控系統(tǒng)的網(wǎng)絡(luò)安全面臨非常嚴(yán)峻的考驗(yàn)。因此分析工控系統(tǒng)的安全問(wèn)題，加強(qiáng)工控網(wǎng)絡(luò)的入侵防御顯得尤其重要，也成為國(guó)家基礎(chǔ)設(shè)施和關(guān)鍵領(lǐng)域安全的重大命題?；诋?dāng)前背景下，必須通過(guò)大量研究分析入侵工控網(wǎng)絡(luò)的異常數(shù)據(jù)，建立完善的工控網(wǎng)絡(luò)安全防護(hù)體系，從而保障工控系統(tǒng)以

50、及國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全。</p><p>　　1.2工控系統(tǒng)的特點(diǎn)</p><p>　　工控系統(tǒng)以其專(zhuān)有的通信協(xié)議和相對(duì)封閉的環(huán)境為外界所熟知，隨著工業(yè)信息化的快速發(fā)展，工業(yè)控制系統(tǒng)也在利用最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平，使得工控系統(tǒng)具有一定的開(kāi)放性。同時(shí)逐步采用基于TCP/IP[19]協(xié)議的工業(yè)以太環(huán)網(wǎng)和OPC[20,21]通信協(xié)議，促使TCP/IP協(xié)議

51、逐步成為工業(yè)控制系統(tǒng)的基礎(chǔ)通信協(xié)議，而為保持工業(yè)控制系統(tǒng)的兼容性，專(zhuān)用的工業(yè)控制協(xié)議則將會(huì)逐步遷移到應(yīng)用層，使得工控系統(tǒng)的通信協(xié)議又具有一定的復(fù)雜性。正是由于這兩個(gè)特性加劇了工控網(wǎng)絡(luò)安全的威脅。</p><p>　　與傳統(tǒng)的信息系統(tǒng)相比工控系統(tǒng)有很大的區(qū)別，這也是工控系統(tǒng)的特點(diǎn)[22] ，如表1.1所示。在加強(qiáng)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)上必須注意到這些特點(diǎn)，才能實(shí)現(xiàn)實(shí)質(zhì)性的防護(hù)技術(shù)與措施。在傳統(tǒng)的信息安全領(lǐng)域，通常將

52、保密性（Confidentiality）、完整性（Integrity）和可用性（Availablity）稱(chēng)為信息安全的三要素，簡(jiǎn)稱(chēng)為CIA[23]。保密性是指保證正確的人可以訪問(wèn)正確的信息。完整性是指保證所有信息均保持完整、正確，沒(méi)有被篡改、刪除?？捎眯允侵副ＷC所有資源及信息都處于可用狀態(tài)。且在傳統(tǒng)的信息系統(tǒng)通常認(rèn)為保密性的優(yōu)先級(jí)最高，完整性次之，最后是可用性。</p><p>　　表 1.1信息系統(tǒng)與工控系統(tǒng)差

53、異</p><p>　　在工業(yè)控制系統(tǒng)領(lǐng)域則有較大的不同，工業(yè)控制系統(tǒng)強(qiáng)調(diào)的是工業(yè)自動(dòng)化過(guò)程及相關(guān)設(shè)備的智能控制、監(jiān)測(cè)與管理。它們?cè)谙到y(tǒng)架構(gòu)、設(shè)備操作系統(tǒng)、數(shù)據(jù)交換協(xié)議等方面與傳統(tǒng)信息系統(tǒng)存在較大差異。工業(yè)控制系統(tǒng)對(duì)系統(tǒng)設(shè)備的可用性、實(shí)時(shí)性、可控性等特性要求很高，如圖1.3所示。首先，在考慮工業(yè)控制系統(tǒng)安全時(shí)要優(yōu)先保證系統(tǒng)的可用性。其次，因各組件之間存在固有的關(guān)聯(lián)，完整性次之。最后，由于工控系統(tǒng)中傳輸?shù)臄?shù)據(jù)通常是

54、控制命令和采集的原始數(shù)據(jù)，且多是實(shí)時(shí)數(shù)據(jù)，需要放在特定的背景下分析才有意義，因此對(duì)保密性的要求最低。這就是在考慮工業(yè)控制系統(tǒng)安全時(shí)與考慮傳統(tǒng)IT信息系統(tǒng)安全時(shí)的原則性區(qū)別。</p><p>　　圖 1.3工控系統(tǒng)安全時(shí)的原則性特點(diǎn)</p><p>　　工業(yè)控制系統(tǒng)作為企業(yè)的核心生產(chǎn)運(yùn)營(yíng)系統(tǒng)，其工作環(huán)境具有嚴(yán)格的管理，外人很難進(jìn)入。同時(shí)系統(tǒng)自身也多與企業(yè)的辦公網(wǎng)絡(luò)系統(tǒng)之間存在一定的隔離措施，

55、其環(huán)境相對(duì)封閉。再加上工業(yè)控制系統(tǒng)主要由 PLC、RTU、DCS、SCADA 等工業(yè)控制設(shè)備及系統(tǒng)組成，這些設(shè)備品種繁多，且功能多基于不同于互聯(lián)網(wǎng)通用操作系統(tǒng)的嵌入式操作系統(tǒng)（如 VxWorks、uCLinux、WinCE等）開(kāi)發(fā)，并采用專(zhuān)用的通信協(xié)議或規(guī)約（如 OPC、Modbus、DNP3 等）實(shí)現(xiàn)系統(tǒng)間通信。正是由于這些工業(yè)控制系統(tǒng)設(shè)備及通信規(guī)約的專(zhuān)有性以及系統(tǒng)的相對(duì)封閉性，使得一般的互聯(lián)網(wǎng)黑客或黑客組織很難獲得相應(yīng)的工業(yè)控制系統(tǒng)

56、攻防研究環(huán)境以及相關(guān)系統(tǒng)資料支持，從而通常黑客的攻防研究工作多集中在互聯(lián)網(wǎng)或普通 IT 信息系統(tǒng)上，而很少關(guān)注工業(yè)控制系統(tǒng)，自然相關(guān)的系統(tǒng)及通信規(guī)約的安全缺陷（或漏洞）也很少被發(fā)現(xiàn)。同時(shí)工業(yè)控制系統(tǒng)提供商則重點(diǎn)關(guān)注系統(tǒng)的可用性、實(shí)時(shí)性，對(duì)系統(tǒng)的安全問(wèn)題、防護(hù)措施以及運(yùn)維策略也缺乏系統(tǒng)的考慮。上述這些原因，也使得工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在所面臨的安全威脅、安全問(wèn)題及所需要考慮的安全防護(hù)措施等方面存在較大的不同，表1.</p>

57、<p>　　表 1.2信息系統(tǒng)與工控系統(tǒng)的安全性對(duì)比</p><p>　　顯然，對(duì)于工業(yè)控制系統(tǒng)及其安全性進(jìn)行研究。首先，需要了解工業(yè)控制系統(tǒng)的特點(diǎn)。其次，重點(diǎn)研究工控系統(tǒng)間通信規(guī)約的安全性問(wèn)題，建立仿真系統(tǒng)，模擬攻擊場(chǎng)景進(jìn)行攻防演練分析。最后，根據(jù)結(jié)果分析設(shè)計(jì)出有效的網(wǎng)絡(luò)異常防御方法或異常檢測(cè)方法，使系統(tǒng)的安全性保障措施逐步完善。</p><p>　　1.3國(guó)內(nèi)外研究現(xiàn)狀&

58、lt;/p><p>　　目前，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題已經(jīng)引起了世界各國(guó)的高度重視，尤其是自2010年發(fā)生的Stuxnet蠕蟲(chóng)病毒事件后，各國(guó)在政策標(biāo)準(zhǔn)、技術(shù)方案等方面開(kāi)展了積極應(yīng)對(duì)。然而由于工控系統(tǒng)相對(duì)封閉的使用環(huán)境，開(kāi)發(fā)時(shí)側(cè)重系統(tǒng)的功能實(shí)現(xiàn)，對(duì)安全的關(guān)注相對(duì)缺乏，使得在工控系統(tǒng)網(wǎng)絡(luò)安全方面并沒(méi)有太多的研究成果和實(shí)踐經(jīng)驗(yàn)，本文通過(guò)以下文獻(xiàn)分析了當(dāng)前的研究狀況：</p><p>　　文獻(xiàn)[4

59、0]設(shè)計(jì)了一種基于IEC60870-5-104遠(yuǎn)動(dòng)規(guī)約的監(jiān)聽(tīng)與測(cè)試系統(tǒng)，利用Socket編程實(shí)現(xiàn)對(duì)控制主站與從站設(shè)備之間傳輸數(shù)據(jù)的檢測(cè)分析，能在第一時(shí)間發(fā)出故障報(bào)警。但此系統(tǒng)的異常檢測(cè)功能比較單一，只對(duì)數(shù)據(jù)的重復(fù)傳輸進(jìn)行檢測(cè)。并不能抵御系統(tǒng)面臨的其他安全威脅。</p><p>　　文獻(xiàn)[41]利用系統(tǒng)的正常參數(shù)建立狀態(tài)矩陣，并在此基礎(chǔ)上設(shè)計(jì)了異常檢測(cè)模型。通過(guò)分析工控系統(tǒng)的異常行為信息，采集異常行為導(dǎo)致變化的參數(shù)

60、，建立正常參數(shù)狀態(tài)矩陣。進(jìn)行異常檢測(cè)時(shí)監(jiān)測(cè)各個(gè)參數(shù)的變化情況，若超出了正常參數(shù)閾值則產(chǎn)生告警。該方法的適用性非常好，但在不同環(huán)境下需要設(shè)定不同的閾值，而閾值的設(shè)定直接影響了檢測(cè)效果。</p><p>　　文獻(xiàn)[42]設(shè)計(jì)了一種具有認(rèn)證功能的協(xié)議，通過(guò)使用加密函數(shù)以及哈希鏈表對(duì)通信雙方進(jìn)行驗(yàn)證，從而可以避免攻擊者偽裝成主機(jī)進(jìn)行攻擊。這種方式雖然通過(guò)增加認(rèn)證過(guò)程保證了通信雙方的安全，但同時(shí)也增加了通信負(fù)擔(dān)。通信雙方的

61、每次數(shù)據(jù)交換都需要進(jìn)行加密認(rèn)證，會(huì)對(duì)工控系統(tǒng)的實(shí)時(shí)性造成影響。</p><p>　　文獻(xiàn)[43]提出了一種在通信系統(tǒng)基礎(chǔ)上增加信息安全層的方法，無(wú)需改變底層的傳輸系統(tǒng)?？梢栽鰪?qiáng)通信雙方的認(rèn)證，通信的完整性以及保密性。安全層作為軟件層置于通信系統(tǒng)之上，可以防御網(wǎng)絡(luò)攻擊但并不能保護(hù)設(shè)備的安全。</p><p>　　文獻(xiàn)[44]在文獻(xiàn)[42]基礎(chǔ)之上增加了基于角色的權(quán)限認(rèn)證機(jī)制和用戶(hù)ID安全審查

62、功能，從而解決了非法用戶(hù)登錄和違規(guī)越權(quán)操作的問(wèn)題。但增加認(rèn)證模塊和用戶(hù)ID審查同樣是以整個(gè)系統(tǒng)的通信實(shí)時(shí)性為代價(jià)。</p><p>　　文獻(xiàn)[45]提出了一種多通道組播安全認(rèn)證方法，實(shí)現(xiàn)了變電站自動(dòng)化系統(tǒng)中從站設(shè)備之間的認(rèn)證以及密鑰更新。但該方法只能針對(duì)從站設(shè)備節(jié)點(diǎn)數(shù)目較少的情況，對(duì)跨地域、多通信節(jié)點(diǎn)的系統(tǒng)則不適用。</p><p>　　文獻(xiàn)[46]分析了重放攻擊，采用了卡爾曼濾波檢測(cè)系統(tǒng)

63、是否受到攻擊，文獻(xiàn)[47]分析了完整性攻擊。但在使用檢測(cè)方法之前需要構(gòu)造物理模型，基于模型設(shè)計(jì)檢測(cè)算法時(shí)還需要考慮平臺(tái)的計(jì)算能力與計(jì)算速度。</p><p>　　文獻(xiàn)[48]針對(duì)DOS攻擊和欺騙攻擊，設(shè)計(jì)了物理模型并簡(jiǎn)化成線性系統(tǒng)，最終形成安全控制器，使得系統(tǒng)能檢測(cè)出欺騙攻擊抵御拒絕服務(wù)攻擊。但安全控制器需要精確性高的模型，在實(shí)際應(yīng)用中尚未成熟。</p><p>　　綜上所述，由于工控系統(tǒng)

64、的特殊性在保密性和實(shí)時(shí)性方面很難做到平衡。目前工控系統(tǒng)安全研究比較零散，研究人員從多個(gè)方面對(duì)工控系統(tǒng)安全進(jìn)行探索，尚未形成系統(tǒng)的研究體系和公認(rèn)的研究方向。尤其是對(duì)于通過(guò)建立異常檢測(cè)模型以及異常檢測(cè)規(guī)則，并針對(duì)應(yīng)用層傳輸數(shù)據(jù)信息進(jìn)行異常檢測(cè)方面，仍然沒(méi)有相關(guān)的深入研究。</p><p><b>　　1.4論文組織架構(gòu)</b></p><p><b>　　1.4

65、.1研究?jī)?nèi)容</b></p><p>　　本文重點(diǎn)分析了工業(yè)控制系統(tǒng)中廣泛使用的IEC60870-5-104通信協(xié)議和IEC60870-5-103通信協(xié)議的脆弱性。利用脆弱性分析結(jié)果，設(shè)計(jì)了一套異常數(shù)據(jù)檢測(cè)方法?？偨Y(jié)歸納出兩種協(xié)議的典型異常行為并分類(lèi)，建立對(duì)應(yīng)異常分類(lèi)的異常檢測(cè)模型?；贚AMP架構(gòu)，開(kāi)發(fā)了占用資源少、輕量化的IEC60870-5網(wǎng)絡(luò)通信數(shù)據(jù)異常檢測(cè)系統(tǒng)。以異常檢測(cè)模型為核心，結(jié)合數(shù)據(jù)

66、傳輸時(shí)包含的關(guān)鍵信息，設(shè)計(jì)了異常檢測(cè)規(guī)則。根據(jù)檢測(cè)規(guī)則可編寫(xiě)異常數(shù)據(jù)檢測(cè)規(guī)則文件，并直接部署在異常檢測(cè)系統(tǒng)上。</p><p><b>　　1.4.2章節(jié)安排</b></p><p>　　本文共分為六章，各個(gè)章節(jié)的主要內(nèi)容安排如下：</p><p>　　第一章 首先介紹了本文的研究意義與當(dāng)前的研究背景，結(jié)合近幾年發(fā)生的一系列工控網(wǎng)絡(luò)安全事件，分

67、析了工控系統(tǒng)所面臨的威脅。其次通過(guò)工控系統(tǒng)與傳統(tǒng)IT信息系統(tǒng)的比較分析了工控系統(tǒng)的特點(diǎn)。最后介紹了在工控網(wǎng)絡(luò)安全領(lǐng)域國(guó)內(nèi)外的研究現(xiàn)狀。</p><p>　　第二章 介紹了IEC60870-5-104協(xié)議與IEC60870-5-103協(xié)議，詳細(xì)闡述了兩種協(xié)議的結(jié)構(gòu)。闡述了采用這兩種協(xié)議的工控系統(tǒng)所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，分析了造成這些問(wèn)題的原因，并對(duì)協(xié)議的脆弱性進(jìn)行分析。</p><p>　　第

68、三章 本章設(shè)計(jì)了一套針對(duì)IEC60870-5系列協(xié)議的異常檢測(cè)方法，基于異常數(shù)據(jù)分類(lèi)的異常檢測(cè)方法和基于報(bào)文結(jié)構(gòu)的異常檢測(cè)方法。將網(wǎng)絡(luò)異常數(shù)據(jù)進(jìn)行總結(jié)分類(lèi)，包括不符合規(guī)范的報(bào)文、可疑的類(lèi)型標(biāo)識(shí)、可疑的傳送原因，并針對(duì)每一類(lèi)異常行為設(shè)計(jì)了異常檢測(cè)模型。</p><p>　　第四章 本章設(shè)計(jì)了基于LAMP架構(gòu)的IEC60870-5網(wǎng)絡(luò)通信數(shù)據(jù)異常檢測(cè)系統(tǒng)以及用于異常檢測(cè)的異常檢測(cè)規(guī)則。首先，對(duì)系統(tǒng)總體設(shè)計(jì)進(jìn)行介紹，包

69、括操作系統(tǒng)、服務(wù)器、數(shù)據(jù)庫(kù)以及使用的服務(wù)器端編程語(yǔ)言。其次，詳細(xì)介紹了基于Libpcap數(shù)據(jù)包捕獲函數(shù)庫(kù)的數(shù)據(jù)包捕獲模塊，設(shè)計(jì)了數(shù)據(jù)包解析模塊，編寫(xiě)數(shù)據(jù)包解析程序。以異常檢測(cè)模型為核心，設(shè)計(jì)了異常檢測(cè)規(guī)則。最后，設(shè)計(jì)了用戶(hù)數(shù)據(jù)表、待檢數(shù)據(jù)表、異常數(shù)據(jù)表以及用于操作人員與檢測(cè)系統(tǒng)進(jìn)行交互的Web表單。</p><p>　　第五章 本章基于TcpReplay網(wǎng)絡(luò)數(shù)據(jù)回放工具，利用Qt跨平臺(tái)圖形用戶(hù)界面應(yīng)用程序開(kāi)發(fā)框架

70、開(kāi)發(fā)了IEC60870-5網(wǎng)絡(luò)通信仿真軟件。搭建試驗(yàn)測(cè)試平臺(tái)，針對(duì)可疑的類(lèi)型標(biāo)識(shí)異常設(shè)置了IEC60870-5-104非法復(fù)位進(jìn)程異常檢測(cè)規(guī)則和IEC60870-5-103非法讀子站配置信息異常檢測(cè)規(guī)則并導(dǎo)入規(guī)則庫(kù)。利用IEC60870-5網(wǎng)絡(luò)通信仿真軟件，向檢測(cè)系統(tǒng)所在目的主機(jī)發(fā)送異常數(shù)據(jù)，最終得到異常數(shù)據(jù)檢測(cè)的詳細(xì)信息，從而驗(yàn)證了本文設(shè)計(jì)的異常檢測(cè)規(guī)則的正確性以及異常檢測(cè)系統(tǒng)的有效性。</p><p>　　第

71、六章 總結(jié)與展望，論文最后對(duì)全文所做的工作進(jìn)行了總結(jié)，并對(duì)未來(lái)值得進(jìn)一步研究的問(wèn)題進(jìn)行了展望。</p><p>　　IEC60870-5通信規(guī)約及其脆弱性分析</p><p>　　2.1 IEC60870-5系列通信規(guī)約</p><p>　　隨著我國(guó)電力工業(yè)的快速發(fā)展，電力系統(tǒng)不斷擴(kuò)大，電網(wǎng)結(jié)構(gòu)日趨復(fù)雜，電力系統(tǒng)的各種運(yùn)行參數(shù)瞬息萬(wàn)變、互相影響。電力調(diào)度自動(dòng)化系統(tǒng)是

72、保障電網(wǎng)安全、穩(wěn)定、優(yōu)質(zhì)、經(jīng)濟(jì)運(yùn)行及電力市場(chǎng)運(yùn)營(yíng)的基礎(chǔ)設(shè)施和重要手段。調(diào)度自動(dòng)化系統(tǒng)和繼電保護(hù)管理系統(tǒng)通信協(xié)議的標(biāo)準(zhǔn)化、規(guī)范化，是一項(xiàng)重要的工作。</p><p>　　目前，IEC60870-5系列協(xié)議[24]是電力行業(yè)進(jìn)行信息傳輸通信所使用的最為廣泛的協(xié)議。IEC60870-5系列通信協(xié)議包含如下幾個(gè)部分：</p><p>　　IEC60870-5-1：傳輸幀格式[25]</p&g

73、t;<p>　　IEC60870-5-2：鏈路傳輸規(guī)則[26]</p><p>　　IEC60870-5-3：應(yīng)用數(shù)據(jù)的一般結(jié)構(gòu)[27]</p><p>　　IEC60870-5-4：應(yīng)用信息元素的定義和編碼[28]</p><p>　　IEC60870-5-5：基本應(yīng)用功能[29]</p><p>　　IEC60870-5-1

74、01：基本遠(yuǎn)動(dòng)任務(wù)配套標(biāo)準(zhǔn)</p><p>　　IEC60870-5-102：電力系統(tǒng)電能累計(jì)量傳輸配套標(biāo)準(zhǔn)</p><p>　　IEC60870-5-103：繼電保護(hù)信息接口配套標(biāo)準(zhǔn)</p><p>　　IEC60870-5-104：采用標(biāo)準(zhǔn)傳輸協(xié)議自己的IEC60870-5-101網(wǎng)絡(luò)訪問(wèn)</p><p>　　結(jié)合實(shí)際情況，本文對(duì)工控系統(tǒng)

75、常用的IEC60870-5-104協(xié)議和IEC60870-5-103協(xié)議進(jìn)行分析研究。</p><p>　　2.1.1 IEC60870-5-104協(xié)議簡(jiǎn)介</p><p>　　IEC60870-5-101[30]通信協(xié)議規(guī)定的內(nèi)容和IEC60870-5-1~IEC60870-5-5定義的標(biāo)準(zhǔn)兼容?？梢允褂萌p工或半雙工通信，主要用于變電站與控制中心之間或不同系統(tǒng)之間的串行數(shù)據(jù)通信，能夠傳

76、輸遙信、遙測(cè)、遙調(diào)、遙控和系統(tǒng)信息。在電力系統(tǒng)調(diào)度自動(dòng)化中，變電站自動(dòng)化系統(tǒng)是一個(gè)承上啟下的環(huán)節(jié)，而改善遠(yuǎn)動(dòng)通信是提高整個(gè)調(diào)度自動(dòng)化實(shí)時(shí)性和可靠性的關(guān)鍵，以太網(wǎng)僅僅在主站和遠(yuǎn)動(dòng)子站之間提供虛擬的數(shù)據(jù)電路，可能會(huì)導(dǎo)致報(bào)文傳輸出現(xiàn)相當(dāng)大時(shí)間范圍內(nèi)變化的延時(shí)，該類(lèi)延時(shí)還與網(wǎng)絡(luò)的通信負(fù)荷有關(guān)[31]。一般可變的報(bào)文延時(shí)意味著不可能采用IEC101所定義的主站和遠(yuǎn)動(dòng)子站之間的鏈路層。為此，國(guó)際電工委員會(huì)制定了IEC60870-5-104[32]協(xié)

77、議（以下簡(jiǎn)稱(chēng)IEC104協(xié)議），它是將IEC101協(xié)議應(yīng)用數(shù)據(jù)以TCP/IP協(xié)議的網(wǎng)絡(luò)報(bào)文格式在因特網(wǎng)上傳輸?shù)臄U(kuò)展應(yīng)用。</p><p>　　IEC104協(xié)議定義了開(kāi)放的TCP/IP接口的使用，包含一個(gè)由傳輸IEC101協(xié)議ASDU的遠(yuǎn)動(dòng)設(shè)備構(gòu)成的局域網(wǎng)的實(shí)例。如圖2.1所示為終端系統(tǒng)的規(guī)約結(jié)構(gòu)。</p><p>　　圖 2.1 IEC104協(xié)議的規(guī)約結(jié)構(gòu)</p><p

78、>　　2.1.2 IEC60870-5-103協(xié)議簡(jiǎn)介</p><p>　　IEC60870-5-103[33]（以下簡(jiǎn)稱(chēng)IEC103協(xié)議）是國(guó)際電工委員會(huì)TC57技術(shù)委員會(huì)制定的繼電保護(hù)設(shè)備信息接口配套標(biāo)準(zhǔn)。主要應(yīng)用于變電站后臺(tái)監(jiān)控系統(tǒng)與繼電保護(hù)設(shè)備信息交換領(lǐng)域，用以傳送繼電保護(hù)的相關(guān)信息。此標(biāo)準(zhǔn)不但規(guī)定了實(shí)現(xiàn)標(biāo)準(zhǔn)化報(bào)文傳輸方法，還規(guī)定了實(shí)現(xiàn)傳輸幾乎所有可能信息的通用分類(lèi)服務(wù)的傳輸方法，使得變電站內(nèi)同一個(gè)

79、監(jiān)控系統(tǒng)的不同繼電保護(hù)設(shè)備實(shí)現(xiàn)數(shù)據(jù)互換，提高了自動(dòng)化系統(tǒng)的安全性，有利于變電站自動(dòng)化系統(tǒng)內(nèi)監(jiān)控系統(tǒng)和不同繼電保護(hù)設(shè)備之間的互聯(lián)。</p><p>　　IEC103規(guī)約使用的網(wǎng)絡(luò)模型是增強(qiáng)性能結(jié)構(gòu)EPA，如圖2.2所示。僅用到ISO-OSI[34]基本參考模型的全七層結(jié)構(gòu)中的三層，即物理層、鏈路層及應(yīng)用層。根據(jù)遠(yuǎn)動(dòng)系統(tǒng)的特點(diǎn)，考慮到傳輸速率，這種結(jié)構(gòu)在出現(xiàn)故障時(shí)可以迅速響應(yīng)從而提高通信的實(shí)時(shí)性。</p>

80、<p>　　圖 2.2 ISO模型和EPA模型圖</p><p>　　物理層采用光纖系統(tǒng)或基于銅線的系統(tǒng)，它提供一個(gè)二進(jìn)制對(duì)稱(chēng)和無(wú)記憶傳輸。一般選用性?xún)r(jià)比較高的基于銅線的數(shù)據(jù)交換傳輸系統(tǒng)，且需要符合EIA RS-485[35]標(biāo)準(zhǔn)，在同一條傳輸線路上可以連接單個(gè)或者數(shù)個(gè)設(shè)備單元，但是最大數(shù)量不超過(guò)32個(gè)。若基于TCP/IP協(xié)議進(jìn)行網(wǎng)絡(luò)傳輸，則使用光纖。</p><p>　　鏈

81、路層由一系列采用明確的鏈路規(guī)約控制信息（LPCI）的傳輸單元所組成，此鏈路規(guī)約控制信息可將一些應(yīng)用服務(wù)數(shù)據(jù)單元（ASDU）當(dāng)作鏈路用戶(hù)數(shù)據(jù)，鏈路層采用保證數(shù)據(jù)完整性以及方便傳輸?shù)膸袷竭x集。鏈路層定義了兩種幀格式：一種是固定幀格式，啟動(dòng)字符為10H，主要用做繼電保護(hù)設(shè)備向控制系統(tǒng)傳輸確認(rèn)幀，或者用于控制系統(tǒng)向機(jī)電保護(hù)設(shè)備傳輸詢(xún)問(wèn)幀；另一種是可變幀格式，啟動(dòng)字符為68H，主要用于控制系統(tǒng)與繼電保護(hù)設(shè)備之間的信息傳輸。IEC60870-5-

82、2提供了采用控制域和任選的地址域的鏈路傳輸規(guī)則的選集，站之間的鏈路可以采用非平衡傳輸模式或平衡傳輸模式，通過(guò)控制域中相應(yīng)的功能碼指定。</p><p>　　應(yīng)用層包含一系列應(yīng)用功能，它包含在源和目的之間傳送的應(yīng)用服務(wù)數(shù)據(jù)單元中。配套標(biāo)準(zhǔn)應(yīng)當(dāng)按照IEC60870-5-3的一般結(jié)構(gòu)來(lái)定義相應(yīng)的應(yīng)用服務(wù)數(shù)據(jù)單元用IEC60870-5-4中應(yīng)用信息元素的定義和編碼規(guī)范來(lái)構(gòu)成應(yīng)用服務(wù)數(shù)據(jù)單元。規(guī)約數(shù)據(jù)單元由規(guī)約控制信息和服

83、務(wù)數(shù)據(jù)單元組成，IEC103規(guī)約未采用應(yīng)用規(guī)約控制信息ACPI，所以在應(yīng)用層中的應(yīng)用規(guī)約數(shù)據(jù)單元APDU和應(yīng)用服務(wù)數(shù)據(jù)單元ASDU及鏈路服務(wù)數(shù)據(jù)單元LSDU是一樣的。</p><p>　　根據(jù)當(dāng)前的通信技術(shù)發(fā)展趨勢(shì)，IEC103協(xié)議作為國(guó)內(nèi)第一個(gè)使用的標(biāo)準(zhǔn)保護(hù)通用協(xié)議，越來(lái)越多的應(yīng)用于控制主站和從站之間的保護(hù)信息通信，已經(jīng)不再局限于變電站的內(nèi)部應(yīng)用了。根據(jù)實(shí)際應(yīng)用情況,現(xiàn)有的串行通信方式已經(jīng)無(wú)法滿(mǎn)足需要，為保證面

84、向連接的準(zhǔn)確傳輸，已經(jīng)出現(xiàn)了基于TCP/IP通信的IEC103協(xié)議，即上層協(xié)議則使用了應(yīng)用非常廣泛的TCP/IP協(xié)議。</p><p>　　2.2 IEC104協(xié)議與IEC103協(xié)議的結(jié)構(gòu)實(shí)現(xiàn)</p><p>　　2.2.1 IEC60870-5-104協(xié)議結(jié)構(gòu)</p><p>　　應(yīng)用規(guī)約數(shù)據(jù)單元（APDU）包括應(yīng)用規(guī)約控制信息（APCI）和應(yīng)用服務(wù)數(shù)據(jù)單元（AS

85、DU）[36]如圖2.3所示，在實(shí)際應(yīng)用中可以傳輸一個(gè)完整的APDU或者出于控制目的僅僅只傳送APCI。</p><p>　　圖 2.3應(yīng)用規(guī)約數(shù)據(jù)單元APDU結(jié)構(gòu)</p><p>　　1、應(yīng)用規(guī)約控制信息APCI的結(jié)構(gòu)</p><p>　　傳輸接口（TCP到用戶(hù)）是一個(gè)定向流接口，它沒(méi)有為IEC101中的ASDU定義任何啟動(dòng)或者停止機(jī)制。為了檢出ASDU的啟動(dòng)和結(jié)

86、束，每個(gè)應(yīng)用規(guī)約控制信息APCI包括如下的定界元素：?jiǎn)?dòng)字符ASDU幀長(zhǎng)度字段以及控制域，如圖2.4所示。</p><p>　　圖 2.4應(yīng)用規(guī)約控制信息APCI結(jié)構(gòu)圖</p><p>　　其中啟動(dòng)字符68H定義了數(shù)據(jù)流的起點(diǎn)，APDU長(zhǎng)度字段定義了APDU的長(zhǎng)度，它包括APCI的四個(gè)控制域八位位組和ASDU。ASDU的最大長(zhǎng)度限制在249以?xún)?nèi)，因?yàn)锳PDU域的最大長(zhǎng)度是253（APDU最

87、大值=255減去啟動(dòng)和長(zhǎng)度八位位組），控制域的長(zhǎng)度是4個(gè)八位位組。</p><p>　　通過(guò)APCI的四個(gè)八位位組的控制域IEC104定義了三種類(lèi)型的APDU格式：編號(hào)的信息傳輸（I格式），編號(hào)的監(jiān)視功能（S格式）和未編號(hào)的控制功能（U格式）。</p><p>　　控制域第一個(gè)八位位組的第一位比特為0 定義了I 格式，I格式的APDU常常包含一個(gè)ASDU?？刂朴虻谝粋€(gè)八位位組的第一位比特為

88、1且第二位比特為0 定義了S 格式。 S格式的APDU只包括APCI?？刂朴虻谝粋€(gè)八位位組的第一位比特為1且第二位比特為1定義了U格式。U格式的APDU只包括APCI。在同一時(shí)刻，TESTFR，STOPDT或STARTDT中只有一個(gè)功能可以被激活。</p><p>　　2 應(yīng)用服務(wù)數(shù)據(jù)單元ASDU的結(jié)構(gòu)</p><p>　　如圖2.5所示，應(yīng)用服務(wù)數(shù)據(jù)單元的基本結(jié)構(gòu)包括：數(shù)據(jù)單元標(biāo)識(shí)符和一

89、個(gè)或多個(gè)信息體。數(shù)據(jù)單元標(biāo)識(shí)符的結(jié)構(gòu)是固定的，每個(gè)應(yīng)用服務(wù)數(shù)據(jù)單元中包含單一的類(lèi)型標(biāo)識(shí)和傳送原因。</p><p>　　圖 2.5應(yīng)用服務(wù)數(shù)據(jù)單元ASDU的結(jié)構(gòu)</p><p>　　數(shù)據(jù)單元標(biāo)識(shí)符中第一個(gè)八位位組是類(lèi)型標(biāo)識(shí)，定義了信息對(duì)象的結(jié)構(gòu)、類(lèi)型和格式。分為監(jiān)視方向的過(guò)程信息類(lèi)型標(biāo)識(shí)、控制方向的過(guò)程信息類(lèi)型標(biāo)識(shí)、監(jiān)視方向的系統(tǒng)信息、控制方向的系統(tǒng)命令。第二個(gè)八位組定義為可變化結(jié)構(gòu)限定詞

90、，由兩部分組成。低7位表示本ASDU內(nèi)包含的信息對(duì)象數(shù)量，最高位表示信息對(duì)象的排列方式。第三個(gè)和第四個(gè)八位位組分別定義為傳送原因和源發(fā)地址，源發(fā)地址一般情況不使用。傳送原因有三部分構(gòu)成，低6位是傳送原因序號(hào)，次高位表示肯定或否定確認(rèn)，最高位是測(cè)試標(biāo)志。最后兩個(gè)八位位組是應(yīng)用服務(wù)數(shù)據(jù)單元公共地址。</p><p>　　信息體由信息體地址、信息體元素、信息體時(shí)標(biāo)構(gòu)成。每個(gè)ASDU的首個(gè)信息體必須有信息體地址，若采用連

91、續(xù)信息傳輸方式則從第二個(gè)信息體開(kāi)始信息體地址不出現(xiàn)，默認(rèn)為上一個(gè)信息體地址加1，若采用離散信息傳輸方式則每一個(gè)信息體必須有信息地址。信息元素集包括遙信信息、遙測(cè)信息、初始化原因、遙控信息、各類(lèi)限定詞。信息體時(shí)標(biāo)有三種，2字節(jié)時(shí)標(biāo)、3字節(jié)時(shí)標(biāo)和7字節(jié)時(shí)標(biāo)。2字節(jié)時(shí)標(biāo)比較少用，3字節(jié)時(shí)標(biāo)包括1字節(jié)的分和2字節(jié)的毫秒，實(shí)際應(yīng)用中僅精確到分鐘的時(shí)標(biāo)是不安全的，一般不采用。7字節(jié)時(shí)標(biāo)是一個(gè)絕對(duì)時(shí)標(biāo)，包含年、月、日、時(shí)、分、秒、毫秒的信息。<

92、/p><p>　　2.2.2 IEC60870-5-103協(xié)議結(jié)構(gòu)</p><p>　　IEC103協(xié)議使用的是EPA三層結(jié)構(gòu)，應(yīng)用層是系統(tǒng)中數(shù)據(jù)通信的核心部分。該層未采用明確的應(yīng)用規(guī)約控制信息，它暗含在應(yīng)用服務(wù)數(shù)據(jù)中。按照IEC60870-5-3的一般結(jié)構(gòu)來(lái)定義相應(yīng)的應(yīng)用服務(wù)數(shù)據(jù)單元，采用IEC60870-5-4中應(yīng)用信息元素的定義和編碼規(guī)范來(lái)構(gòu)成應(yīng)用服務(wù)數(shù)據(jù)單元[37]。</p>

93、;<p>　　IEC103規(guī)約采用IEC60870-5-2中的標(biāo)準(zhǔn)傳輸幀格式FT1.2，根據(jù)報(bào)文長(zhǎng)度類(lèi)型，可分為可變長(zhǎng)度幀和固定長(zhǎng)度幀。</p><p><b>　　1.可變長(zhǎng)度幀格式</b></p><p>　　當(dāng)主機(jī)監(jiān)控系統(tǒng)向間隔層繼電保護(hù)裝置下發(fā)某種傳輸命令時(shí)，或者當(dāng)間隔層繼電保護(hù)裝置向主機(jī)監(jiān)控系統(tǒng)響應(yīng)某種裝置信息時(shí)，通常使用可變長(zhǎng)度幀，其幀格式如

94、表2.2所示。</p><p>　　表 2.1可變長(zhǎng)度幀格式及各字節(jié)含義</p><p><b>　?。?）啟動(dòng)字符</b></p><p>　　可變長(zhǎng)度幀報(bào)文的第一個(gè)字節(jié)和第四個(gè)字節(jié)內(nèi)容相同，表示啟動(dòng)字符，為68H。</p><p><b>　?。?）長(zhǎng)度字符</b></p><

95、;p>　　第二個(gè)字節(jié)和第三個(gè)字節(jié)內(nèi)容相同，為長(zhǎng)度字符，表示報(bào)文長(zhǎng)度。等于控制域字符、地址域字符和用戶(hù)數(shù)據(jù)區(qū)的八位位組的字節(jié)總數(shù)。</p><p><b>　?。?）控制域</b></p><p>　　控制域字段包含控制方向和監(jiān)視方向兩種情況。控制方向是指從監(jiān)控主機(jī)的監(jiān)控系統(tǒng)到間隔層繼電保護(hù)裝置的傳輸方向，也稱(chēng)為下行方向，控制方向報(bào)文控制域的各字段如表2.3所示。

96、</p><p>　　表 2.2控制方向報(bào)文的控制域</p><p>　　D7位為備用位，一般設(shè)置為0。D6位為啟動(dòng)報(bào)文位，表明信息傳輸方向。PRM置1表示由主站至從站進(jìn)行信息傳輸，即控制方向。D5位是幀計(jì)數(shù)位，當(dāng)主站向從站發(fā)送新的數(shù)據(jù)時(shí)，需要把此位取反，用以表明此次傳輸是新的一輪服務(wù)。D4位是幀計(jì)數(shù)有效位，F(xiàn)CV置1表示幀計(jì)數(shù)位的變化有效，F(xiàn)CV置0表示幀計(jì)數(shù)位的變化無(wú)效。D3~D0位表

97、示功能碼，控制方向的數(shù)據(jù)幀有多種功能碼，并且代表不同的功能。</p><p>　　監(jiān)視方向是指從從站到主站的傳輸方向，也稱(chēng)上行方向。監(jiān)視方向報(bào)文控制域各字段如表2.4所示。</p><p>　　表 2.3監(jiān)視方向報(bào)文的控制域</p><p>　　D7位為備用位，設(shè)置為0。D6位為啟動(dòng)報(bào)文位，表明信息傳輸方向，PRM=0表示由間隔層繼電保護(hù)裝置至主機(jī)監(jiān)控系統(tǒng)進(jìn)行信息傳

98、輸，即監(jiān)視方向。D5位為要求訪問(wèn)位，若從站沒(méi)有一級(jí)用戶(hù)數(shù)據(jù)，則ACD置為0，若間隔層繼電保護(hù)裝置發(fā)生狀態(tài)變位等突發(fā)事件而導(dǎo)致產(chǎn)生一級(jí)用戶(hù)數(shù)據(jù)，則ACD置為1。D4位為數(shù)據(jù)流控制位，若DFC置為1，則表示從站緩沖區(qū)已滿(mǎn)，不可以繼續(xù)接收新數(shù)據(jù)。若DFC置為0，則表示從站可以繼續(xù)接收新數(shù)據(jù)。D3~DO位表示功能碼，監(jiān)視方向的數(shù)據(jù)幀有多種功能碼，代表著不同功能。</p><p><b>　?。?）地址域<

99、/b></p><p>　　地址域是從站裝置與主站監(jiān)控系統(tǒng)進(jìn)行數(shù)據(jù)傳輸?shù)牡刂?，使用范圍?~255，其中0~254用于裝置地址，255用于廣播地址。</p><p><b>　　（5）鏈路用戶(hù)數(shù)據(jù)</b></p><p>　　一個(gè)鏈路規(guī)約數(shù)據(jù)單元至多包含一個(gè)應(yīng)用服務(wù)數(shù)據(jù)單元。</p><p><b>　　

100、（6）幀校驗(yàn)和</b></p><p>　　可變長(zhǎng)度幀報(bào)文的幀校驗(yàn)和是控制域、地址域及用戶(hù)數(shù)據(jù)區(qū)三部分?jǐn)?shù)據(jù)的算術(shù)和。</p><p><b>　　（7）結(jié)束字符</b></p><p>　　可變長(zhǎng)度幀報(bào)文的最后一個(gè)字符是結(jié)束字符，為16H。</p><p>　　IEC103協(xié)議在應(yīng)用層未采用APCI，只在可變

101、長(zhǎng)度幀格式中包含了ASDU部分，由單元標(biāo)識(shí)符和信息體兩部分組成。如表2.5所示。</p><p>　　表 2.4 ASDU具體結(jié)構(gòu)信息</p><p>　　第一個(gè)字節(jié)為類(lèi)型標(biāo)識(shí)，IEC103協(xié)議規(guī)定了眾多類(lèi)型的應(yīng)用服務(wù)數(shù)據(jù)單元，各種類(lèi)型的信息體皆有所差別，并且以唯一的標(biāo)號(hào)加以區(qū)別。第二個(gè)字節(jié)為可變結(jié)構(gòu)限定詞，可變結(jié)構(gòu)限定詞包含應(yīng)用服務(wù)數(shù)據(jù)單元信息體中的兩個(gè)重要信息，最高數(shù)據(jù)位為SQ，標(biāo)識(shí)信

102、息體的尋址方式，低七位表示信息元的數(shù)目，最多不會(huì)超過(guò)127個(gè)。第三個(gè)字節(jié)為傳送原因，根據(jù)應(yīng)用服務(wù)數(shù)據(jù)單元和傳送信息的不同，數(shù)據(jù)幀中通常會(huì)用到不同的傳送原因。第四個(gè)字節(jié)為應(yīng)用服務(wù)數(shù)據(jù)單元公共地址，一般應(yīng)用服務(wù)數(shù)據(jù)單元公共地址和鏈路層地址一致。第五和第六字節(jié)為信息元標(biāo)識(shí)符，信息元標(biāo)識(shí)符包括功能類(lèi)型和信息序號(hào)兩個(gè)部分。對(duì)于確定的某一類(lèi)型裝置都有唯一的功能類(lèi)型和信息序號(hào)與之相對(duì)應(yīng)。最后四個(gè)或七個(gè)字節(jié)是信息體時(shí)標(biāo)，根據(jù)不同的類(lèi)型標(biāo)識(shí)，可選用不同的

103、信息體時(shí)標(biāo)。</p><p><b>　　2.固定長(zhǎng)度幀格式</b></p><p>　　當(dāng)主機(jī)監(jiān)控系統(tǒng)向間隔層繼電保護(hù)裝置發(fā)送問(wèn)詢(xún)幀命令時(shí)，或者當(dāng)運(yùn)行于間隔層的繼電保護(hù)裝置向運(yùn)行于站控層的主機(jī)監(jiān)控系統(tǒng)響應(yīng)確認(rèn)幀報(bào)文時(shí)，一般使用固定長(zhǎng)度幀，其幀格式如表2.1所示。</p><p>　　表 2.5固定長(zhǎng)度幀格式及各字節(jié)含義</p>

104、<p>　　與可變長(zhǎng)度幀相比，固定長(zhǎng)度幀較為簡(jiǎn)短。第一個(gè)字節(jié)為啟動(dòng)字符，固定為10H。第二個(gè)字節(jié)和第三個(gè)字節(jié)分別表示控制域和地址域，與可變長(zhǎng)度幀相同。第四個(gè)字節(jié)為幀校驗(yàn)和，是控制域與地址域數(shù)據(jù)相加的算術(shù)和。最后一個(gè)字節(jié)是結(jié)束字符，固定為16H。</p><p>　　2.3 IEC104協(xié)議與IEC103協(xié)議脆弱性分析</p><p>　　基于TCP/IP協(xié)議傳輸?shù)腎EC104協(xié)議

105、和IEC103協(xié)議在工控系統(tǒng)中已經(jīng)得到廣泛應(yīng)用，然而這兩種協(xié)議在設(shè)計(jì)時(shí)并沒(méi)有充分考慮到網(wǎng)絡(luò)安全問(wèn)題。因此，采用這種協(xié)議的工控系統(tǒng)存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，具體如下[38]：</p><p>　　（1）旁路控制：攻擊者入侵系統(tǒng)后取的控制主站的控制權(quán)限，向從站設(shè)備發(fā)送非法的控制命令，如針對(duì)配電站發(fā)送非法的分閘或合閘命令，可能導(dǎo)致重大的停電事故或生命安全事故。</p><p>　　（2）假冒：攻擊者入侵

106、系統(tǒng)后通過(guò)偽造合法的通信地址，假冒從站設(shè)備向控制主站發(fā)送虛假數(shù)據(jù)，干擾系統(tǒng)正常的數(shù)據(jù)分析。</p><p>　?。?）篡改：攻擊者非法篡改系統(tǒng)通信中的數(shù)據(jù)，如控制主站的下行數(shù)據(jù)或從站設(shè)備的上行數(shù)據(jù)，從而對(duì)系統(tǒng)造成破壞。</p><p>　　（4）竊聽(tīng)：在工控系統(tǒng)中，控制主站可能會(huì)根據(jù)具體情況采用廣播方式傳輸控制命令，攻擊者入侵系統(tǒng)后可以使用探測(cè)工具竊聽(tīng)到所有的控制命令數(shù)據(jù)，為下一步的破壞行

107、為做準(zhǔn)備。</p><p>　?。?）重放攻擊：攻擊者入侵系統(tǒng)后對(duì)系統(tǒng)通信中的控制命令或上傳數(shù)據(jù)進(jìn)行攔截，延遲或者重復(fù)發(fā)送這些數(shù)據(jù)，從而造成生產(chǎn)事故。</p><p>　?。?）拒絕服務(wù)：攻擊者竊聽(tīng)系統(tǒng)通信中的數(shù)據(jù)并進(jìn)行數(shù)據(jù)分析，偽造大量合法但無(wú)用的垃圾數(shù)據(jù)發(fā)送到系統(tǒng)中，使得系統(tǒng)網(wǎng)絡(luò)變得擁塞，導(dǎo)致傳輸速度減緩，最終影響系統(tǒng)的正常運(yùn)轉(zhuǎn)。</p><p>　　綜上所述，

108、應(yīng)用此類(lèi)協(xié)議的工控系統(tǒng)所面臨的安全風(fēng)險(xiǎn)十分突出，造成這種安全風(fēng)險(xiǎn)的重要原因就是協(xié)議本身存在的脆弱性。造成協(xié)議脆弱性的原因無(wú)外乎兩類(lèi)，一類(lèi)是協(xié)議本身的設(shè)計(jì)和描述引起的，另一類(lèi)是協(xié)議的不正確實(shí)現(xiàn)造成的。大多數(shù)的工控協(xié)議在考慮到實(shí)時(shí)性問(wèn)題上，都會(huì)放棄一些不是必需的特征或功能。目前很多工控協(xié)議已經(jīng)演化或擴(kuò)展為在通用計(jì)算機(jī)和通用操作系統(tǒng)上實(shí)現(xiàn)，并運(yùn)行在以太網(wǎng)之上以滿(mǎn)足商業(yè)發(fā)展需要，潛在地將這些有漏洞的協(xié)議暴露給攻擊者。</p>&l

109、t;p>　　由于工控協(xié)議的脆弱性帶來(lái)的安全問(wèn)題，體現(xiàn)的一個(gè)特點(diǎn)是針對(duì)系統(tǒng)的攻擊主要集中在應(yīng)用層的通信數(shù)據(jù)上。針對(duì)IEC104協(xié)議和IEC103協(xié)議出現(xiàn)的一系列安全問(wèn)題進(jìn)行分析，其主要問(wèn)題在于缺乏認(rèn)證、缺乏授權(quán)、缺乏加密、缺乏簽名等安全防護(hù)措施[39]。</p><p>　?。?）缺乏認(rèn)證保護(hù)：IEC104協(xié)議和IEC103協(xié)議通信過(guò)程中，沒(méi)有任何認(rèn)證方面的相關(guān)定義，攻擊者可以使用定義良好報(bào)文非常容易地建立一