自動化碩士學位論文基于iec60870-5系列協(xié)議工控系統(tǒng)的網(wǎng)絡數(shù)據(jù)異常檢測技術

1、<p><b>　　碩士學位論文</b></p><p><b>　　（20 屆）</b></p><p>　　基于IEC60870-5系列協(xié)議工控系統(tǒng)的網(wǎng)絡數(shù)據(jù)異常檢測技術</p><p>　　所在學院 </p><p>　　專業(yè)

2、班級 控制工程（網(wǎng)絡信息安全方向）</p><p>　　學生姓名 學號 </p><p>　　指導教師 職稱 </p><p>　　完成日期 年 月 </p><p><b>　　摘 要<

3、;/b></p><p>　　隨著工業(yè)化和信息化的融合，工業(yè)控制系統(tǒng)的開放性與復雜性逐步增強，所面臨的網(wǎng)絡安全風險和入侵威脅不斷加深。論文為提高工控系統(tǒng)對網(wǎng)絡異常數(shù)據(jù)的檢測能力，研究了基于IEC60870-5系列協(xié)議工控系統(tǒng)的網(wǎng)絡數(shù)據(jù)異常檢測技術，設計了IEC60870-5網(wǎng)絡通信數(shù)據(jù)異常檢測系統(tǒng)。論文所做的主要工作如下：</p><p>　　（1）通過與傳統(tǒng)信息系統(tǒng)作比較，分析工控

4、系統(tǒng)的主要特點。結合實例闡述目前工控系統(tǒng)所受到的安全威脅，介紹當前國內(nèi)外在工控系統(tǒng)網(wǎng)絡安全領域的研究現(xiàn)狀。研究工業(yè)控制系統(tǒng)中廣泛應用的IEC60870-5-104協(xié)議和IEC60870-5-103協(xié)議，并分析兩種協(xié)議的脆弱性。</p><p>　?。?）根據(jù)IEC60870-5-104協(xié)議和IEC60870-5-103協(xié)議的脆弱性分析結論，設計兩種異常數(shù)據(jù)檢測方法，基于異常數(shù)據(jù)分類的異常檢測方法和基于報文結構的異

5、常檢測方法。將常見的異常行為進行總結歸納，并設計相應的異常檢測模型。</p><p>　?。?）以異常檢測模型為核心結合數(shù)據(jù)傳輸時包含的關鍵信息，建立一套異常檢測規(guī)則，內(nèi)容簡潔且規(guī)則編寫靈活。設計基于LAMP架構的網(wǎng)絡通信數(shù)據(jù)異常檢測系統(tǒng)，包括原始數(shù)據(jù)捕獲模塊、數(shù)據(jù)包解析模塊、異常數(shù)據(jù)檢測模塊、數(shù)據(jù)庫模塊以及檢測系統(tǒng)服務器端模塊。</p><p>　　（4）基于TcpReplay網(wǎng)絡數(shù)據(jù)回

6、放工具設計網(wǎng)絡通信仿真軟件，針對IEC60870-5-104協(xié)議和IEC60870-5-103協(xié)議中常見的異常行為，編寫異常檢測規(guī)則，設置數(shù)據(jù)包捕獲模式。最后搭建仿真測試平臺，利用網(wǎng)絡通信仿真軟件向異常檢測系統(tǒng)所在的目的主機發(fā)送異常數(shù)據(jù)包，驗證測試異常檢測系統(tǒng)的有效性。</p><p>　　論文最后對全文所做的工作進行總結，并對未來值得進一步研究的問題進行展望。</p><p>　　關鍵詞

7、：工控網(wǎng)絡安全、IEC60870-5系列協(xié)議、網(wǎng)絡數(shù)據(jù)異常檢測、異常數(shù)據(jù)分類、報文結構</p><p><b>　　Abstract</b></p><p>　　With the integration of industrialization and informatization, the openness and complexity of industrial

8、 control system (ICS) gradually increased, deepening facing network security risks and threats of invasion. In order to improve the industrial control system on network anomaly data detection capability, the network data

9、 anomaly detection technology based on IEC60870-5 series protocol industrial control system is studied, IEC60870-5 network communication data anomaly detection system is design</p><p>　　(1) Through compariso

10、n with the traditional information system, the main characteristics of the industrial control system are analyzed. This paper expounds the security threat of the current industrial control system, and the present researc

11、h status at home and abroad is introduced. IEC60870-5-104 protocol and IEC60870-5-103 protocol in industrial control system are introduced, and the vulnerability of the two protocols are analyzed.</p><p>　　(

12、2) Two anomaly detection methods are designed according to IEC60870-5-103 protocol and IEC60870-5-104 protocol vulnerability analysis conclusion, the anomaly detection method for data classification of anomalies and anom

13、aly detection method based on packet structure. The common abnormal behavior is summarized and the corresponding anomaly detection model is designed.</p><p>　　(3) In anomaly detection model as the core and c

14、ombining with key information of the data being transmitted, establishes a set of anomaly detection rules, concise and write flexible. Anomaly detection system based on the LAMP architecture of network communication data

15、, including the original data capture module, packet parsing module, data anomaly detection module, database module and detection system server module is designed.</p><p>　　(4) The network communication simu

16、lation software is designed based on the TcpReplay network data playback tool. In view of the common abnormal behavior in the IEC60870-5-104 protocol and IEC60870-5-103 protocol, the abnormal detection rules are written,

17、 the data packet capture mode is set up. Finally, the simulation test platform is built, use the network communication simulation software to verify the effectiveness of the network anomaly data system (NADS) designed in

18、 this paper.</p><p>　　Finally, the full text of the work done is summarized, and the next question is worth further study were discussed.</p><p>　　Key Word: ICS network security, IEC60870-5 seri

19、es protocol, Anomaly detection of network data,Abnormal data classification,Message structure</p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p><p>　　Abstra

20、ctIII</p><p><b>　　1.緒論1</b></p><p>　　1.1研究背景與意義1</p><p>　　1.2工控系統(tǒng)的特點3</p><p>　　1.3國內(nèi)外研究現(xiàn)狀5</p><p>　　1.4論文組織架構6</p><p>　　1.4

21、.1研究內(nèi)容6</p><p>　　1.4.2章節(jié)安排7</p><p>　　2.IEC60870-5通信規(guī)約及其脆弱性分析9</p><p>　　2.1 IEC60870-5系列通信規(guī)約9</p><p>　　2.1.1 IEC60870-5-104協(xié)議簡介9</p><p>　　2.1.2 IEC608

22、70-5-103協(xié)議簡介10</p><p>　　2.2 IEC104協(xié)議與IEC103協(xié)議的結構實現(xiàn)11</p><p>　　2.2.1 IEC60870-5-104協(xié)議結構11</p><p>　　2.2.2 IEC60870-5-103協(xié)議結構14</p><p>　　2.3 IEC104協(xié)議與IEC103協(xié)議脆弱性分析17&

23、lt;/p><p>　　2.4 本章小結18</p><p>　　3.IEC60870-5網(wǎng)絡數(shù)據(jù)異常檢測方法和模型19</p><p>　　3.1IEC60870-5異常檢測方法19</p><p>　　3.1.1基于異常數(shù)據(jù)分類的異常檢測方法19</p><p>　　3.1.2基于報文結構的異常檢測方法20

24、</p><p>　　3.2網(wǎng)絡數(shù)據(jù)異常檢測模型22</p><p>　　3.2.1不符合規(guī)范報文異常檢測模型23</p><p>　　3.2.2可疑的類型標識異常檢測模型25</p><p>　　3.2.3可疑的傳送原因異常檢測模型30</p><p>　　3.3本章小結31</p><

25、p>　　4.IEC60870-5網(wǎng)絡通信數(shù)據(jù)異常檢測系統(tǒng)的設計33</p><p>　　4.1系統(tǒng)總體設計33</p><p>　　4.1.1Linux操作系統(tǒng)33</p><p>　　4.1.2Apache服務器34</p><p>　　4.2基于Libcap的數(shù)據(jù)捕獲和解析34</p><p>　

26、　4.2.1數(shù)據(jù)包捕獲原理34</p><p>　　4.2.2基于Libpcap的數(shù)據(jù)包捕獲35</p><p>　　4.2.3基于Libpcap捕獲數(shù)據(jù)包的處理與解析38</p><p>　　4.3異常檢測模塊的設計44</p><p>　　4.3.1異常檢測規(guī)則設計44</p><p>　　4.3.2異常

27、檢測程序設計45</p><p>　　4.4基于PHP和MySQL的檢測系統(tǒng)設計46</p><p>　　4.4.1檢測系統(tǒng)數(shù)據(jù)庫設計46</p><p>　　4.4.2檢測系統(tǒng)服務器端設計48</p><p>　　4.5本章小結55</p><p>　　5.基于IEC60870-5網(wǎng)絡通信檢測系統(tǒng)的仿真測

28、試57</p><p>　　5.1 IEC60870-5網(wǎng)絡通信仿真軟件設計57</p><p>　　5.2測試與驗證58</p><p>　　5.2.1測試平臺搭建58</p><p>　　5.2.2測試與結果分析59</p><p>　　5.3本章小結61</p><p>　　6

29、.總結與展望63</p><p>　　6.1文章總結63</p><p>　　6.2未來展望63</p><p><b>　　致 謝65</b></p><p><b>　　參考文獻67</b></p><p><b>　　附 錄71<

30、;/b></p><p><b>　　圖表目錄</b></p><p>　　圖 1.1公開的工控系統(tǒng)漏洞的年度變化趨勢2</p><p>　　圖 1.2工業(yè)控制系統(tǒng)市場分布情況2</p><p>　　圖 1.3工控系統(tǒng)安全時的原則性特點4</p><p>　　圖 2.1 IEC104協(xié)

31、議的規(guī)約結構10</p><p>　　圖 2.2 ISO模型和EPA模型圖10</p><p>　　圖 2.3應用規(guī)約數(shù)據(jù)單元APDU結構12</p><p>　　圖 2.4應用規(guī)約控制信息APCI結構圖12</p><p>　　圖 2.5應用服務數(shù)據(jù)單元ASDU的結構13</p><p>　　圖 3.1基于

32、異常分類的檢測方法流程圖20</p><p>　　圖 3.2 IEC104協(xié)議I格式待檢數(shù)據(jù)鏈表結構20</p><p>　　圖 3.3 IEC103協(xié)議待檢數(shù)據(jù)鏈表結構21</p><p>　　圖 3.4基于報文結構的異常檢測方法流程圖22</p><p>　　圖 3.5異常數(shù)據(jù)檢測架構圖22</p><p&g

33、t;　　圖 3.6異常檢測模型結構23</p><p>　　圖 4.1網(wǎng)絡通信數(shù)據(jù)異常檢測系統(tǒng)33</p><p>　　圖 4.2基于TCP/IP協(xié)議的數(shù)據(jù)包封裝35</p><p>　　圖 4.3 BPF過濾器架構36</p><p>　　圖 4.4 Libpcap工作流程36</p><p>　　圖 4.

34、5 Libpcap數(shù)據(jù)包捕獲編程步驟37</p><p>　　圖 4.6網(wǎng)絡通信報文結構圖39</p><p>　　圖 4.7原始數(shù)據(jù)包解析過程39</p><p>　　圖 4.8以太網(wǎng)幀格式40</p><p>　　圖 4.9 IP報文格式41</p><p>　　圖 4.10 TCP報文段格式42<

35、;/p><p>　　圖 4.11通信數(shù)據(jù)處理43</p><p>　　圖 4.12異常檢測規(guī)則結構44</p><p>　　圖 4.13異常檢測程序流程圖46</p><p>　　圖 4.14 Ubuntu系統(tǒng)下異常檢測系統(tǒng)登錄界面50</p><p>　　圖 4.15 Ubuntu系統(tǒng)下異常檢測系統(tǒng)主頁界面51

36、</p><p>　　圖 4.16 Ubuntu系統(tǒng)下數(shù)據(jù)包捕獲模式設置界面51</p><p>　　圖 4.17 Ubuntu系統(tǒng)下導入異常檢測規(guī)則52</p><p>　　圖 4.18 Ubuntu系統(tǒng)下手動設置異常檢測規(guī)則53</p><p>　　圖 4.19 Ubuntu系統(tǒng)下待檢數(shù)據(jù)查詢界面54</p><

37、;p>　　圖 4.20 Ubuntu系統(tǒng)下異常數(shù)據(jù)查詢界面55</p><p>　　圖 5.1 IEC60870-5網(wǎng)絡通信仿真軟件界面圖57</p><p>　　圖 5.2仿真測試平臺結構58</p><p>　　圖 5.3異常數(shù)據(jù)包發(fā)送60</p><p>　　圖 5.4異常數(shù)據(jù)信息表61</p><p

38、>　　表 1.1信息系統(tǒng)與工控系統(tǒng)差異3</p><p>　　表 1.3信息系統(tǒng)與工控系統(tǒng)的安全性對比5</p><p>　　表 2.1可變長度幀格式及各字節(jié)含義14</p><p>　　表 2.2控制方向報文的控制域15</p><p>　　表 2.3監(jiān)視方向報文的控制域15</p><p>　　表

39、2.4 ASDU具體結構信息16</p><p>　　表 2.5固定長度幀格式及各字節(jié)含義16</p><p>　　表 3.1啟動字符異常的報文結構23</p><p>　　表 3.2應用規(guī)約數(shù)據(jù)單元長度異常的報文結構23</p><p>　　表 3.3類型標識為0傳送原因為0的異常報文結構24</p><p&g

40、t;　　表 3.4不符合規(guī)范的報文集合24</p><p>　　表 3.5不符合規(guī)范報文異常檢測模型25</p><p>　　表 3.6循環(huán)上報初始化的異常報文結構26</p><p>　　表 3.7復位進程報文結構26</p><p>　　表 3.8讀從站配置信息的報文結構27</p><p>　　表 3.

41、9主站啟動總召喚的報文結構28</p><p>　　表 3.10可疑的類型標識集合28</p><p>　　表 3.11可疑的類型標識異常檢測模型29</p><p>　　表 3.12帶未知傳送原因的異常報文結構30</p><p>　　表 3.13可疑的傳送原因集合30</p><p>　　表 3.14可疑

42、的傳送原因異常檢測模型30</p><p>　　表 4.1用戶表47</p><p>　　表 4.2待檢數(shù)據(jù)表48</p><p>　　表 4.3異常數(shù)據(jù)表48</p><p><b>　　緒論</b></p><p>　　1.1研究背景與意義</p><p>　　

43、工業(yè)控制系統(tǒng)[1]（ICS，Industrial Control System），廣泛應用于電力[2,3]、水利[4]、能源[5,6]等關系到國家安全的重要行業(yè)領域。工控系統(tǒng)以其通信協(xié)議的專一性和系統(tǒng)的相對封閉性[7]使得攻擊者很難入侵。隨著工業(yè)化和信息化的不斷交叉融合，越來越多的信息技術應用到了工業(yè)控制領域，工控系統(tǒng)與外界進行數(shù)據(jù)交換更加頻繁，使得工控系統(tǒng)面臨更多的安全問題。</p><p>　　近些年來發(fā)生了

44、一系列的工控系統(tǒng)安全事件，如2010年的“震網(wǎng)”病毒[8,9]事件，此病毒是首個針對工控系統(tǒng)的蠕蟲病毒，利用西門子公司控制系統(tǒng)（SIMATIC WinCC/Step7）存在的漏洞感染數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA），向可編程邏輯控制器（PLC）寫入代碼并將代碼隱藏。通過使離心機驟停的方式來破壞離心機，同時獲取渦輪機的控制權限，改變控制參數(shù)，最后破壞渦輪機。它是已知的第一個包含PLC rootkit的電腦蠕蟲，也是已知的第一個以關鍵工業(yè)基

45、礎設施為目標的蠕蟲。病毒成功入侵并破壞了伊朗布什爾核電站核設施；發(fā)生在2011年的Duqu病毒[10]，這種病毒是Stuxnet病毒的一種變種，大量重用了Stuxnet的代碼，利用微軟的零日漏洞MS11-087并偽裝C-Media公司的數(shù)字簽名逃避安全工具檢測，在入侵工控系統(tǒng)后便竊取與攻擊目標相關的各種情報，并將收集到的信息通過加密處理成圖片的形式返回給攻擊者。此病毒的攻擊目標主要為中東及歐洲國家的一些能源行業(yè)；以及發(fā)生在2012年的F

46、lame病毒[11,12]，它是一種綜合滲透擴散、預留后門、信息竊取等功能的間諜軟件，它可以創(chuàng)建屏幕快照截</p><p>　　根據(jù)美國CVE ICS-CERT[13]以及中國國家信息安全漏洞共享平臺所發(fā)布的漏洞信息，總結的公開漏洞總體變化趨勢如圖1.1所示。</p><p>　　圖 1.1公開的工控系統(tǒng)漏洞的年度變化趨勢</p><p>　　在2011年之前，公開

47、披露的工業(yè)控制系統(tǒng)相關漏洞數(shù)量相當少，但在2011年出現(xiàn)快速增長，主要是由于2010年的“震網(wǎng)”蠕蟲病毒事件之后，人們對于工業(yè)控制系統(tǒng)安全問題持續(xù)關注以及工業(yè)控制系統(tǒng)廠商分析解決歷史遺留問題所造成的。隨著各方面對工業(yè)控制系統(tǒng)安全的日益重視，工業(yè)控制系統(tǒng)的相關漏洞數(shù)量仍然保持一個增長的總體趨勢。</p><p>　　目前我國的ICS市場規(guī)模約為100億元，但由于各個行業(yè)對ICS的要求不同，因此發(fā)展也完全不同。其中，

48、在電力行業(yè)中ICS應用最為廣泛，約占整個ICS市場的半壁江山[14]，如圖1.2所示，電力系統(tǒng)中，變電站自動化約占到ICS市場的40%，是ICS最大的應用領域。</p><p>　　圖 1.2工業(yè)控制系統(tǒng)市場分布情況</p><p>　　電力系統(tǒng)中常用的幾種通信協(xié)議有ModbusTcp[15,16]、DNP3[17,18]、IEC60870-5系列等，其中IEC60870-5系列遠動通信規(guī)

49、約在變電站自動化以及調(diào)度自動化方面應用比較成熟也比較廣泛。</p><p>　　綜上所述，隨著計算機技術在工控系統(tǒng)中的廣泛應用，工控系統(tǒng)原有的封閉性已經(jīng)被打破，工控系統(tǒng)的網(wǎng)絡安全面臨非常嚴峻的考驗。因此分析工控系統(tǒng)的安全問題，加強工控網(wǎng)絡的入侵防御顯得尤其重要，也成為國家基礎設施和關鍵領域安全的重大命題。基于當前背景下，必須通過大量研究分析入侵工控網(wǎng)絡的異常數(shù)據(jù)，建立完善的工控網(wǎng)絡安全防護體系，從而保障工控系統(tǒng)以

50、及國家關鍵基礎設施的安全。</p><p>　　1.2工控系統(tǒng)的特點</p><p>　　工控系統(tǒng)以其專有的通信協(xié)議和相對封閉的環(huán)境為外界所熟知，隨著工業(yè)信息化的快速發(fā)展，工業(yè)控制系統(tǒng)也在利用最新的計算機網(wǎng)絡技術來提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平，使得工控系統(tǒng)具有一定的開放性。同時逐步采用基于TCP/IP[19]協(xié)議的工業(yè)以太環(huán)網(wǎng)和OPC[20,21]通信協(xié)議，促使TCP/IP協(xié)議

51、逐步成為工業(yè)控制系統(tǒng)的基礎通信協(xié)議，而為保持工業(yè)控制系統(tǒng)的兼容性，專用的工業(yè)控制協(xié)議則將會逐步遷移到應用層，使得工控系統(tǒng)的通信協(xié)議又具有一定的復雜性。正是由于這兩個特性加劇了工控網(wǎng)絡安全的威脅。</p><p>　　與傳統(tǒng)的信息系統(tǒng)相比工控系統(tǒng)有很大的區(qū)別，這也是工控系統(tǒng)的特點[22] ，如表1.1所示。在加強工控系統(tǒng)的網(wǎng)絡安全防護上必須注意到這些特點，才能實現(xiàn)實質(zhì)性的防護技術與措施。在傳統(tǒng)的信息安全領域，通常將

52、保密性（Confidentiality）、完整性（Integrity）和可用性（Availablity）稱為信息安全的三要素，簡稱為CIA[23]。保密性是指保證正確的人可以訪問正確的信息。完整性是指保證所有信息均保持完整、正確，沒有被篡改、刪除?？捎眯允侵副ＷC所有資源及信息都處于可用狀態(tài)。且在傳統(tǒng)的信息系統(tǒng)通常認為保密性的優(yōu)先級最高，完整性次之，最后是可用性。</p><p>　　表 1.1信息系統(tǒng)與工控系統(tǒng)差

53、異</p><p>　　在工業(yè)控制系統(tǒng)領域則有較大的不同，工業(yè)控制系統(tǒng)強調(diào)的是工業(yè)自動化過程及相關設備的智能控制、監(jiān)測與管理。它們在系統(tǒng)架構、設備操作系統(tǒng)、數(shù)據(jù)交換協(xié)議等方面與傳統(tǒng)信息系統(tǒng)存在較大差異。工業(yè)控制系統(tǒng)對系統(tǒng)設備的可用性、實時性、可控性等特性要求很高，如圖1.3所示。首先，在考慮工業(yè)控制系統(tǒng)安全時要優(yōu)先保證系統(tǒng)的可用性。其次，因各組件之間存在固有的關聯(lián)，完整性次之。最后，由于工控系統(tǒng)中傳輸?shù)臄?shù)據(jù)通常是

54、控制命令和采集的原始數(shù)據(jù)，且多是實時數(shù)據(jù)，需要放在特定的背景下分析才有意義，因此對保密性的要求最低。這就是在考慮工業(yè)控制系統(tǒng)安全時與考慮傳統(tǒng)IT信息系統(tǒng)安全時的原則性區(qū)別。</p><p>　　圖 1.3工控系統(tǒng)安全時的原則性特點</p><p>　　工業(yè)控制系統(tǒng)作為企業(yè)的核心生產(chǎn)運營系統(tǒng)，其工作環(huán)境具有嚴格的管理，外人很難進入。同時系統(tǒng)自身也多與企業(yè)的辦公網(wǎng)絡系統(tǒng)之間存在一定的隔離措施，

55、其環(huán)境相對封閉。再加上工業(yè)控制系統(tǒng)主要由 PLC、RTU、DCS、SCADA 等工業(yè)控制設備及系統(tǒng)組成，這些設備品種繁多，且功能多基于不同于互聯(lián)網(wǎng)通用操作系統(tǒng)的嵌入式操作系統(tǒng)（如 VxWorks、uCLinux、WinCE等）開發(fā)，并采用專用的通信協(xié)議或規(guī)約（如 OPC、Modbus、DNP3 等）實現(xiàn)系統(tǒng)間通信。正是由于這些工業(yè)控制系統(tǒng)設備及通信規(guī)約的專有性以及系統(tǒng)的相對封閉性，使得一般的互聯(lián)網(wǎng)黑客或黑客組織很難獲得相應的工業(yè)控制系統(tǒng)

56、攻防研究環(huán)境以及相關系統(tǒng)資料支持，從而通常黑客的攻防研究工作多集中在互聯(lián)網(wǎng)或普通 IT 信息系統(tǒng)上，而很少關注工業(yè)控制系統(tǒng)，自然相關的系統(tǒng)及通信規(guī)約的安全缺陷（或漏洞）也很少被發(fā)現(xiàn)。同時工業(yè)控制系統(tǒng)提供商則重點關注系統(tǒng)的可用性、實時性，對系統(tǒng)的安全問題、防護措施以及運維策略也缺乏系統(tǒng)的考慮。上述這些原因，也使得工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在所面臨的安全威脅、安全問題及所需要考慮的安全防護措施等方面存在較大的不同，表1.</p>

57、<p>　　表 1.2信息系統(tǒng)與工控系統(tǒng)的安全性對比</p><p>　　顯然，對于工業(yè)控制系統(tǒng)及其安全性進行研究。首先，需要了解工業(yè)控制系統(tǒng)的特點。其次，重點研究工控系統(tǒng)間通信規(guī)約的安全性問題，建立仿真系統(tǒng)，模擬攻擊場景進行攻防演練分析。最后，根據(jù)結果分析設計出有效的網(wǎng)絡異常防御方法或異常檢測方法，使系統(tǒng)的安全性保障措施逐步完善。</p><p>　　1.3國內(nèi)外研究現(xiàn)狀&

58、lt;/p><p>　　目前，工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題已經(jīng)引起了世界各國的高度重視，尤其是自2010年發(fā)生的Stuxnet蠕蟲病毒事件后，各國在政策標準、技術方案等方面開展了積極應對。然而由于工控系統(tǒng)相對封閉的使用環(huán)境，開發(fā)時側(cè)重系統(tǒng)的功能實現(xiàn)，對安全的關注相對缺乏，使得在工控系統(tǒng)網(wǎng)絡安全方面并沒有太多的研究成果和實踐經(jīng)驗，本文通過以下文獻分析了當前的研究狀況：</p><p>　　文獻[4

59、0]設計了一種基于IEC60870-5-104遠動規(guī)約的監(jiān)聽與測試系統(tǒng)，利用Socket編程實現(xiàn)對控制主站與從站設備之間傳輸數(shù)據(jù)的檢測分析，能在第一時間發(fā)出故障報警。但此系統(tǒng)的異常檢測功能比較單一，只對數(shù)據(jù)的重復傳輸進行檢測。并不能抵御系統(tǒng)面臨的其他安全威脅。</p><p>　　文獻[41]利用系統(tǒng)的正常參數(shù)建立狀態(tài)矩陣，并在此基礎上設計了異常檢測模型。通過分析工控系統(tǒng)的異常行為信息，采集異常行為導致變化的參數(shù)

60、，建立正常參數(shù)狀態(tài)矩陣。進行異常檢測時監(jiān)測各個參數(shù)的變化情況，若超出了正常參數(shù)閾值則產(chǎn)生告警。該方法的適用性非常好，但在不同環(huán)境下需要設定不同的閾值，而閾值的設定直接影響了檢測效果。</p><p>　　文獻[42]設計了一種具有認證功能的協(xié)議，通過使用加密函數(shù)以及哈希鏈表對通信雙方進行驗證，從而可以避免攻擊者偽裝成主機進行攻擊。這種方式雖然通過增加認證過程保證了通信雙方的安全，但同時也增加了通信負擔。通信雙方的

61、每次數(shù)據(jù)交換都需要進行加密認證，會對工控系統(tǒng)的實時性造成影響。</p><p>　　文獻[43]提出了一種在通信系統(tǒng)基礎上增加信息安全層的方法，無需改變底層的傳輸系統(tǒng)?？梢栽鰪娡ㄐ烹p方的認證，通信的完整性以及保密性。安全層作為軟件層置于通信系統(tǒng)之上，可以防御網(wǎng)絡攻擊但并不能保護設備的安全。</p><p>　　文獻[44]在文獻[42]基礎之上增加了基于角色的權限認證機制和用戶ID安全審查

62、功能，從而解決了非法用戶登錄和違規(guī)越權操作的問題。但增加認證模塊和用戶ID審查同樣是以整個系統(tǒng)的通信實時性為代價。</p><p>　　文獻[45]提出了一種多通道組播安全認證方法，實現(xiàn)了變電站自動化系統(tǒng)中從站設備之間的認證以及密鑰更新。但該方法只能針對從站設備節(jié)點數(shù)目較少的情況，對跨地域、多通信節(jié)點的系統(tǒng)則不適用。</p><p>　　文獻[46]分析了重放攻擊，采用了卡爾曼濾波檢測系統(tǒng)

63、是否受到攻擊，文獻[47]分析了完整性攻擊。但在使用檢測方法之前需要構造物理模型，基于模型設計檢測算法時還需要考慮平臺的計算能力與計算速度。</p><p>　　文獻[48]針對DOS攻擊和欺騙攻擊，設計了物理模型并簡化成線性系統(tǒng)，最終形成安全控制器，使得系統(tǒng)能檢測出欺騙攻擊抵御拒絕服務攻擊。但安全控制器需要精確性高的模型，在實際應用中尚未成熟。</p><p>　　綜上所述，由于工控系統(tǒng)

64、的特殊性在保密性和實時性方面很難做到平衡。目前工控系統(tǒng)安全研究比較零散，研究人員從多個方面對工控系統(tǒng)安全進行探索，尚未形成系統(tǒng)的研究體系和公認的研究方向。尤其是對于通過建立異常檢測模型以及異常檢測規(guī)則，并針對應用層傳輸數(shù)據(jù)信息進行異常檢測方面，仍然沒有相關的深入研究。</p><p><b>　　1.4論文組織架構</b></p><p><b>　　1.4

65、.1研究內(nèi)容</b></p><p>　　本文重點分析了工業(yè)控制系統(tǒng)中廣泛使用的IEC60870-5-104通信協(xié)議和IEC60870-5-103通信協(xié)議的脆弱性。利用脆弱性分析結果，設計了一套異常數(shù)據(jù)檢測方法?？偨Y歸納出兩種協(xié)議的典型異常行為并分類，建立對應異常分類的異常檢測模型?；贚AMP架構，開發(fā)了占用資源少、輕量化的IEC60870-5網(wǎng)絡通信數(shù)據(jù)異常檢測系統(tǒng)。以異常檢測模型為核心，結合數(shù)據(jù)

66、傳輸時包含的關鍵信息，設計了異常檢測規(guī)則。根據(jù)檢測規(guī)則可編寫異常數(shù)據(jù)檢測規(guī)則文件，并直接部署在異常檢測系統(tǒng)上。</p><p><b>　　1.4.2章節(jié)安排</b></p><p>　　本文共分為六章，各個章節(jié)的主要內(nèi)容安排如下：</p><p>　　第一章 首先介紹了本文的研究意義與當前的研究背景，結合近幾年發(fā)生的一系列工控網(wǎng)絡安全事件，分

67、析了工控系統(tǒng)所面臨的威脅。其次通過工控系統(tǒng)與傳統(tǒng)IT信息系統(tǒng)的比較分析了工控系統(tǒng)的特點。最后介紹了在工控網(wǎng)絡安全領域國內(nèi)外的研究現(xiàn)狀。</p><p>　　第二章 介紹了IEC60870-5-104協(xié)議與IEC60870-5-103協(xié)議，詳細闡述了兩種協(xié)議的結構。闡述了采用這兩種協(xié)議的工控系統(tǒng)所面臨的網(wǎng)絡安全風險，分析了造成這些問題的原因，并對協(xié)議的脆弱性進行分析。</p><p>　　第

68、三章 本章設計了一套針對IEC60870-5系列協(xié)議的異常檢測方法，基于異常數(shù)據(jù)分類的異常檢測方法和基于報文結構的異常檢測方法。將網(wǎng)絡異常數(shù)據(jù)進行總結分類，包括不符合規(guī)范的報文、可疑的類型標識、可疑的傳送原因，并針對每一類異常行為設計了異常檢測模型。</p><p>　　第四章 本章設計了基于LAMP架構的IEC60870-5網(wǎng)絡通信數(shù)據(jù)異常檢測系統(tǒng)以及用于異常檢測的異常檢測規(guī)則。首先，對系統(tǒng)總體設計進行介紹，包

69、括操作系統(tǒng)、服務器、數(shù)據(jù)庫以及使用的服務器端編程語言。其次，詳細介紹了基于Libpcap數(shù)據(jù)包捕獲函數(shù)庫的數(shù)據(jù)包捕獲模塊，設計了數(shù)據(jù)包解析模塊，編寫數(shù)據(jù)包解析程序。以異常檢測模型為核心，設計了異常檢測規(guī)則。最后，設計了用戶數(shù)據(jù)表、待檢數(shù)據(jù)表、異常數(shù)據(jù)表以及用于操作人員與檢測系統(tǒng)進行交互的Web表單。</p><p>　　第五章 本章基于TcpReplay網(wǎng)絡數(shù)據(jù)回放工具，利用Qt跨平臺圖形用戶界面應用程序開發(fā)框架

70、開發(fā)了IEC60870-5網(wǎng)絡通信仿真軟件。搭建試驗測試平臺，針對可疑的類型標識異常設置了IEC60870-5-104非法復位進程異常檢測規(guī)則和IEC60870-5-103非法讀子站配置信息異常檢測規(guī)則并導入規(guī)則庫。利用IEC60870-5網(wǎng)絡通信仿真軟件，向檢測系統(tǒng)所在目的主機發(fā)送異常數(shù)據(jù)，最終得到異常數(shù)據(jù)檢測的詳細信息，從而驗證了本文設計的異常檢測規(guī)則的正確性以及異常檢測系統(tǒng)的有效性。</p><p>　　第

71、六章 總結與展望，論文最后對全文所做的工作進行了總結，并對未來值得進一步研究的問題進行了展望。</p><p>　　IEC60870-5通信規(guī)約及其脆弱性分析</p><p>　　2.1 IEC60870-5系列通信規(guī)約</p><p>　　隨著我國電力工業(yè)的快速發(fā)展，電力系統(tǒng)不斷擴大，電網(wǎng)結構日趨復雜，電力系統(tǒng)的各種運行參數(shù)瞬息萬變、互相影響。電力調(diào)度自動化系統(tǒng)是

72、保障電網(wǎng)安全、穩(wěn)定、優(yōu)質(zhì)、經(jīng)濟運行及電力市場運營的基礎設施和重要手段。調(diào)度自動化系統(tǒng)和繼電保護管理系統(tǒng)通信協(xié)議的標準化、規(guī)范化，是一項重要的工作。</p><p>　　目前，IEC60870-5系列協(xié)議[24]是電力行業(yè)進行信息傳輸通信所使用的最為廣泛的協(xié)議。IEC60870-5系列通信協(xié)議包含如下幾個部分：</p><p>　　IEC60870-5-1：傳輸幀格式[25]</p&g

73、t;<p>　　IEC60870-5-2：鏈路傳輸規(guī)則[26]</p><p>　　IEC60870-5-3：應用數(shù)據(jù)的一般結構[27]</p><p>　　IEC60870-5-4：應用信息元素的定義和編碼[28]</p><p>　　IEC60870-5-5：基本應用功能[29]</p><p>　　IEC60870-5-1

74、01：基本遠動任務配套標準</p><p>　　IEC60870-5-102：電力系統(tǒng)電能累計量傳輸配套標準</p><p>　　IEC60870-5-103：繼電保護信息接口配套標準</p><p>　　IEC60870-5-104：采用標準傳輸協(xié)議自己的IEC60870-5-101網(wǎng)絡訪問</p><p>　　結合實際情況，本文對工控系統(tǒng)

75、常用的IEC60870-5-104協(xié)議和IEC60870-5-103協(xié)議進行分析研究。</p><p>　　2.1.1 IEC60870-5-104協(xié)議簡介</p><p>　　IEC60870-5-101[30]通信協(xié)議規(guī)定的內(nèi)容和IEC60870-5-1~IEC60870-5-5定義的標準兼容?？梢允褂萌p工或半雙工通信，主要用于變電站與控制中心之間或不同系統(tǒng)之間的串行數(shù)據(jù)通信，能夠傳

76、輸遙信、遙測、遙調(diào)、遙控和系統(tǒng)信息。在電力系統(tǒng)調(diào)度自動化中，變電站自動化系統(tǒng)是一個承上啟下的環(huán)節(jié)，而改善遠動通信是提高整個調(diào)度自動化實時性和可靠性的關鍵，以太網(wǎng)僅僅在主站和遠動子站之間提供虛擬的數(shù)據(jù)電路，可能會導致報文傳輸出現(xiàn)相當大時間范圍內(nèi)變化的延時，該類延時還與網(wǎng)絡的通信負荷有關[31]。一般可變的報文延時意味著不可能采用IEC101所定義的主站和遠動子站之間的鏈路層。為此，國際電工委員會制定了IEC60870-5-104[32]協(xié)

77、議（以下簡稱IEC104協(xié)議），它是將IEC101協(xié)議應用數(shù)據(jù)以TCP/IP協(xié)議的網(wǎng)絡報文格式在因特網(wǎng)上傳輸?shù)臄U展應用。</p><p>　　IEC104協(xié)議定義了開放的TCP/IP接口的使用，包含一個由傳輸IEC101協(xié)議ASDU的遠動設備構成的局域網(wǎng)的實例。如圖2.1所示為終端系統(tǒng)的規(guī)約結構。</p><p>　　圖 2.1 IEC104協(xié)議的規(guī)約結構</p><p

78、>　　2.1.2 IEC60870-5-103協(xié)議簡介</p><p>　　IEC60870-5-103[33]（以下簡稱IEC103協(xié)議）是國際電工委員會TC57技術委員會制定的繼電保護設備信息接口配套標準。主要應用于變電站后臺監(jiān)控系統(tǒng)與繼電保護設備信息交換領域，用以傳送繼電保護的相關信息。此標準不但規(guī)定了實現(xiàn)標準化報文傳輸方法，還規(guī)定了實現(xiàn)傳輸幾乎所有可能信息的通用分類服務的傳輸方法，使得變電站內(nèi)同一個

79、監(jiān)控系統(tǒng)的不同繼電保護設備實現(xiàn)數(shù)據(jù)互換，提高了自動化系統(tǒng)的安全性，有利于變電站自動化系統(tǒng)內(nèi)監(jiān)控系統(tǒng)和不同繼電保護設備之間的互聯(lián)。</p><p>　　IEC103規(guī)約使用的網(wǎng)絡模型是增強性能結構EPA，如圖2.2所示。僅用到ISO-OSI[34]基本參考模型的全七層結構中的三層，即物理層、鏈路層及應用層。根據(jù)遠動系統(tǒng)的特點，考慮到傳輸速率，這種結構在出現(xiàn)故障時可以迅速響應從而提高通信的實時性。</p>

80、<p>　　圖 2.2 ISO模型和EPA模型圖</p><p>　　物理層采用光纖系統(tǒng)或基于銅線的系統(tǒng)，它提供一個二進制對稱和無記憶傳輸。一般選用性價比較高的基于銅線的數(shù)據(jù)交換傳輸系統(tǒng)，且需要符合EIA RS-485[35]標準，在同一條傳輸線路上可以連接單個或者數(shù)個設備單元，但是最大數(shù)量不超過32個。若基于TCP/IP協(xié)議進行網(wǎng)絡傳輸，則使用光纖。</p><p>　　鏈

81、路層由一系列采用明確的鏈路規(guī)約控制信息（LPCI）的傳輸單元所組成，此鏈路規(guī)約控制信息可將一些應用服務數(shù)據(jù)單元（ASDU）當作鏈路用戶數(shù)據(jù)，鏈路層采用保證數(shù)據(jù)完整性以及方便傳輸?shù)膸袷竭x集。鏈路層定義了兩種幀格式：一種是固定幀格式，啟動字符為10H，主要用做繼電保護設備向控制系統(tǒng)傳輸確認幀，或者用于控制系統(tǒng)向機電保護設備傳輸詢問幀；另一種是可變幀格式，啟動字符為68H，主要用于控制系統(tǒng)與繼電保護設備之間的信息傳輸。IEC60870-5-

82、2提供了采用控制域和任選的地址域的鏈路傳輸規(guī)則的選集，站之間的鏈路可以采用非平衡傳輸模式或平衡傳輸模式，通過控制域中相應的功能碼指定。</p><p>　　應用層包含一系列應用功能，它包含在源和目的之間傳送的應用服務數(shù)據(jù)單元中。配套標準應當按照IEC60870-5-3的一般結構來定義相應的應用服務數(shù)據(jù)單元用IEC60870-5-4中應用信息元素的定義和編碼規(guī)范來構成應用服務數(shù)據(jù)單元。規(guī)約數(shù)據(jù)單元由規(guī)約控制信息和服

83、務數(shù)據(jù)單元組成，IEC103規(guī)約未采用應用規(guī)約控制信息ACPI，所以在應用層中的應用規(guī)約數(shù)據(jù)單元APDU和應用服務數(shù)據(jù)單元ASDU及鏈路服務數(shù)據(jù)單元LSDU是一樣的。</p><p>　　根據(jù)當前的通信技術發(fā)展趨勢，IEC103協(xié)議作為國內(nèi)第一個使用的標準保護通用協(xié)議，越來越多的應用于控制主站和從站之間的保護信息通信，已經(jīng)不再局限于變電站的內(nèi)部應用了。根據(jù)實際應用情況,現(xiàn)有的串行通信方式已經(jīng)無法滿足需要，為保證面

84、向連接的準確傳輸，已經(jīng)出現(xiàn)了基于TCP/IP通信的IEC103協(xié)議，即上層協(xié)議則使用了應用非常廣泛的TCP/IP協(xié)議。</p><p>　　2.2 IEC104協(xié)議與IEC103協(xié)議的結構實現(xiàn)</p><p>　　2.2.1 IEC60870-5-104協(xié)議結構</p><p>　　應用規(guī)約數(shù)據(jù)單元（APDU）包括應用規(guī)約控制信息（APCI）和應用服務數(shù)據(jù)單元（AS

85、DU）[36]如圖2.3所示，在實際應用中可以傳輸一個完整的APDU或者出于控制目的僅僅只傳送APCI。</p><p>　　圖 2.3應用規(guī)約數(shù)據(jù)單元APDU結構</p><p>　　1、應用規(guī)約控制信息APCI的結構</p><p>　　傳輸接口（TCP到用戶）是一個定向流接口，它沒有為IEC101中的ASDU定義任何啟動或者停止機制。為了檢出ASDU的啟動和結

86、束，每個應用規(guī)約控制信息APCI包括如下的定界元素：啟動字符ASDU幀長度字段以及控制域，如圖2.4所示。</p><p>　　圖 2.4應用規(guī)約控制信息APCI結構圖</p><p>　　其中啟動字符68H定義了數(shù)據(jù)流的起點，APDU長度字段定義了APDU的長度，它包括APCI的四個控制域八位位組和ASDU。ASDU的最大長度限制在249以內(nèi)，因為APDU域的最大長度是253（APDU最

87、大值=255減去啟動和長度八位位組），控制域的長度是4個八位位組。</p><p>　　通過APCI的四個八位位組的控制域IEC104定義了三種類型的APDU格式：編號的信息傳輸（I格式），編號的監(jiān)視功能（S格式）和未編號的控制功能（U格式）。</p><p>　　控制域第一個八位位組的第一位比特為0 定義了I 格式，I格式的APDU常常包含一個ASDU。控制域第一個八位位組的第一位比特為

88、1且第二位比特為0 定義了S 格式。 S格式的APDU只包括APCI?？刂朴虻谝粋€八位位組的第一位比特為1且第二位比特為1定義了U格式。U格式的APDU只包括APCI。在同一時刻，TESTFR，STOPDT或STARTDT中只有一個功能可以被激活。</p><p>　　2 應用服務數(shù)據(jù)單元ASDU的結構</p><p>　　如圖2.5所示，應用服務數(shù)據(jù)單元的基本結構包括：數(shù)據(jù)單元標識符和一

89、個或多個信息體。數(shù)據(jù)單元標識符的結構是固定的，每個應用服務數(shù)據(jù)單元中包含單一的類型標識和傳送原因。</p><p>　　圖 2.5應用服務數(shù)據(jù)單元ASDU的結構</p><p>　　數(shù)據(jù)單元標識符中第一個八位位組是類型標識，定義了信息對象的結構、類型和格式。分為監(jiān)視方向的過程信息類型標識、控制方向的過程信息類型標識、監(jiān)視方向的系統(tǒng)信息、控制方向的系統(tǒng)命令。第二個八位組定義為可變化結構限定詞

90、，由兩部分組成。低7位表示本ASDU內(nèi)包含的信息對象數(shù)量，最高位表示信息對象的排列方式。第三個和第四個八位位組分別定義為傳送原因和源發(fā)地址，源發(fā)地址一般情況不使用。傳送原因有三部分構成，低6位是傳送原因序號，次高位表示肯定或否定確認，最高位是測試標志。最后兩個八位位組是應用服務數(shù)據(jù)單元公共地址。</p><p>　　信息體由信息體地址、信息體元素、信息體時標構成。每個ASDU的首個信息體必須有信息體地址，若采用連

91、續(xù)信息傳輸方式則從第二個信息體開始信息體地址不出現(xiàn)，默認為上一個信息體地址加1，若采用離散信息傳輸方式則每一個信息體必須有信息地址。信息元素集包括遙信信息、遙測信息、初始化原因、遙控信息、各類限定詞。信息體時標有三種，2字節(jié)時標、3字節(jié)時標和7字節(jié)時標。2字節(jié)時標比較少用，3字節(jié)時標包括1字節(jié)的分和2字節(jié)的毫秒，實際應用中僅精確到分鐘的時標是不安全的，一般不采用。7字節(jié)時標是一個絕對時標，包含年、月、日、時、分、秒、毫秒的信息。<

92、/p><p>　　2.2.2 IEC60870-5-103協(xié)議結構</p><p>　　IEC103協(xié)議使用的是EPA三層結構，應用層是系統(tǒng)中數(shù)據(jù)通信的核心部分。該層未采用明確的應用規(guī)約控制信息，它暗含在應用服務數(shù)據(jù)中。按照IEC60870-5-3的一般結構來定義相應的應用服務數(shù)據(jù)單元，采用IEC60870-5-4中應用信息元素的定義和編碼規(guī)范來構成應用服務數(shù)據(jù)單元[37]。</p>

93、;<p>　　IEC103規(guī)約采用IEC60870-5-2中的標準傳輸幀格式FT1.2，根據(jù)報文長度類型，可分為可變長度幀和固定長度幀。</p><p><b>　　1.可變長度幀格式</b></p><p>　　當主機監(jiān)控系統(tǒng)向間隔層繼電保護裝置下發(fā)某種傳輸命令時，或者當間隔層繼電保護裝置向主機監(jiān)控系統(tǒng)響應某種裝置信息時，通常使用可變長度幀，其幀格式如

94、表2.2所示。</p><p>　　表 2.1可變長度幀格式及各字節(jié)含義</p><p><b>　?。?）啟動字符</b></p><p>　　可變長度幀報文的第一個字節(jié)和第四個字節(jié)內(nèi)容相同，表示啟動字符，為68H。</p><p><b>　　（2）長度字符</b></p><

95、;p>　　第二個字節(jié)和第三個字節(jié)內(nèi)容相同，為長度字符，表示報文長度。等于控制域字符、地址域字符和用戶數(shù)據(jù)區(qū)的八位位組的字節(jié)總數(shù)。</p><p><b>　　（3）控制域</b></p><p>　　控制域字段包含控制方向和監(jiān)視方向兩種情況?？刂品较蚴侵笍谋O(jiān)控主機的監(jiān)控系統(tǒng)到間隔層繼電保護裝置的傳輸方向，也稱為下行方向，控制方向報文控制域的各字段如表2.3所示。

96、</p><p>　　表 2.2控制方向報文的控制域</p><p>　　D7位為備用位，一般設置為0。D6位為啟動報文位，表明信息傳輸方向。PRM置1表示由主站至從站進行信息傳輸，即控制方向。D5位是幀計數(shù)位，當主站向從站發(fā)送新的數(shù)據(jù)時，需要把此位取反，用以表明此次傳輸是新的一輪服務。D4位是幀計數(shù)有效位，F(xiàn)CV置1表示幀計數(shù)位的變化有效，F(xiàn)CV置0表示幀計數(shù)位的變化無效。D3~D0位表

97、示功能碼，控制方向的數(shù)據(jù)幀有多種功能碼，并且代表不同的功能。</p><p>　　監(jiān)視方向是指從從站到主站的傳輸方向，也稱上行方向。監(jiān)視方向報文控制域各字段如表2.4所示。</p><p>　　表 2.3監(jiān)視方向報文的控制域</p><p>　　D7位為備用位，設置為0。D6位為啟動報文位，表明信息傳輸方向，PRM=0表示由間隔層繼電保護裝置至主機監(jiān)控系統(tǒng)進行信息傳

98、輸，即監(jiān)視方向。D5位為要求訪問位，若從站沒有一級用戶數(shù)據(jù)，則ACD置為0，若間隔層繼電保護裝置發(fā)生狀態(tài)變位等突發(fā)事件而導致產(chǎn)生一級用戶數(shù)據(jù)，則ACD置為1。D4位為數(shù)據(jù)流控制位，若DFC置為1，則表示從站緩沖區(qū)已滿，不可以繼續(xù)接收新數(shù)據(jù)。若DFC置為0，則表示從站可以繼續(xù)接收新數(shù)據(jù)。D3~DO位表示功能碼，監(jiān)視方向的數(shù)據(jù)幀有多種功能碼，代表著不同功能。</p><p><b>　?。?）地址域<

99、/b></p><p>　　地址域是從站裝置與主站監(jiān)控系統(tǒng)進行數(shù)據(jù)傳輸?shù)牡刂?，使用范圍?~255，其中0~254用于裝置地址，255用于廣播地址。</p><p><b>　?。?）鏈路用戶數(shù)據(jù)</b></p><p>　　一個鏈路規(guī)約數(shù)據(jù)單元至多包含一個應用服務數(shù)據(jù)單元。</p><p><b>　　

100、（6）幀校驗和</b></p><p>　　可變長度幀報文的幀校驗和是控制域、地址域及用戶數(shù)據(jù)區(qū)三部分數(shù)據(jù)的算術和。</p><p><b>　?。?）結束字符</b></p><p>　　可變長度幀報文的最后一個字符是結束字符，為16H。</p><p>　　IEC103協(xié)議在應用層未采用APCI，只在可變

101、長度幀格式中包含了ASDU部分，由單元標識符和信息體兩部分組成。如表2.5所示。</p><p>　　表 2.4 ASDU具體結構信息</p><p>　　第一個字節(jié)為類型標識，IEC103協(xié)議規(guī)定了眾多類型的應用服務數(shù)據(jù)單元，各種類型的信息體皆有所差別，并且以唯一的標號加以區(qū)別。第二個字節(jié)為可變結構限定詞，可變結構限定詞包含應用服務數(shù)據(jù)單元信息體中的兩個重要信息，最高數(shù)據(jù)位為SQ，標識信

102、息體的尋址方式，低七位表示信息元的數(shù)目，最多不會超過127個。第三個字節(jié)為傳送原因，根據(jù)應用服務數(shù)據(jù)單元和傳送信息的不同，數(shù)據(jù)幀中通常會用到不同的傳送原因。第四個字節(jié)為應用服務數(shù)據(jù)單元公共地址，一般應用服務數(shù)據(jù)單元公共地址和鏈路層地址一致。第五和第六字節(jié)為信息元標識符，信息元標識符包括功能類型和信息序號兩個部分。對于確定的某一類型裝置都有唯一的功能類型和信息序號與之相對應。最后四個或七個字節(jié)是信息體時標，根據(jù)不同的類型標識，可選用不同的

103、信息體時標。</p><p><b>　　2.固定長度幀格式</b></p><p>　　當主機監(jiān)控系統(tǒng)向間隔層繼電保護裝置發(fā)送問詢幀命令時，或者當運行于間隔層的繼電保護裝置向運行于站控層的主機監(jiān)控系統(tǒng)響應確認幀報文時，一般使用固定長度幀，其幀格式如表2.1所示。</p><p>　　表 2.5固定長度幀格式及各字節(jié)含義</p>

104、<p>　　與可變長度幀相比，固定長度幀較為簡短。第一個字節(jié)為啟動字符，固定為10H。第二個字節(jié)和第三個字節(jié)分別表示控制域和地址域，與可變長度幀相同。第四個字節(jié)為幀校驗和，是控制域與地址域數(shù)據(jù)相加的算術和。最后一個字節(jié)是結束字符，固定為16H。</p><p>　　2.3 IEC104協(xié)議與IEC103協(xié)議脆弱性分析</p><p>　　基于TCP/IP協(xié)議傳輸?shù)腎EC104協(xié)議

105、和IEC103協(xié)議在工控系統(tǒng)中已經(jīng)得到廣泛應用，然而這兩種協(xié)議在設計時并沒有充分考慮到網(wǎng)絡安全問題。因此，采用這種協(xié)議的工控系統(tǒng)存在網(wǎng)絡安全風險，具體如下[38]：</p><p>　?。?）旁路控制：攻擊者入侵系統(tǒng)后取的控制主站的控制權限，向從站設備發(fā)送非法的控制命令，如針對配電站發(fā)送非法的分閘或合閘命令，可能導致重大的停電事故或生命安全事故。</p><p>　　（2）假冒：攻擊者入侵

106、系統(tǒng)后通過偽造合法的通信地址，假冒從站設備向控制主站發(fā)送虛假數(shù)據(jù)，干擾系統(tǒng)正常的數(shù)據(jù)分析。</p><p>　?。?）篡改：攻擊者非法篡改系統(tǒng)通信中的數(shù)據(jù)，如控制主站的下行數(shù)據(jù)或從站設備的上行數(shù)據(jù)，從而對系統(tǒng)造成破壞。</p><p>　?。?）竊聽：在工控系統(tǒng)中，控制主站可能會根據(jù)具體情況采用廣播方式傳輸控制命令，攻擊者入侵系統(tǒng)后可以使用探測工具竊聽到所有的控制命令數(shù)據(jù)，為下一步的破壞行

107、為做準備。</p><p>　?。?）重放攻擊：攻擊者入侵系統(tǒng)后對系統(tǒng)通信中的控制命令或上傳數(shù)據(jù)進行攔截，延遲或者重復發(fā)送這些數(shù)據(jù)，從而造成生產(chǎn)事故。</p><p>　?。?）拒絕服務：攻擊者竊聽系統(tǒng)通信中的數(shù)據(jù)并進行數(shù)據(jù)分析，偽造大量合法但無用的垃圾數(shù)據(jù)發(fā)送到系統(tǒng)中，使得系統(tǒng)網(wǎng)絡變得擁塞，導致傳輸速度減緩，最終影響系統(tǒng)的正常運轉(zhuǎn)。</p><p>　　綜上所述，

108、應用此類協(xié)議的工控系統(tǒng)所面臨的安全風險十分突出，造成這種安全風險的重要原因就是協(xié)議本身存在的脆弱性。造成協(xié)議脆弱性的原因無外乎兩類，一類是協(xié)議本身的設計和描述引起的，另一類是協(xié)議的不正確實現(xiàn)造成的。大多數(shù)的工控協(xié)議在考慮到實時性問題上，都會放棄一些不是必需的特征或功能。目前很多工控協(xié)議已經(jīng)演化或擴展為在通用計算機和通用操作系統(tǒng)上實現(xiàn)，并運行在以太網(wǎng)之上以滿足商業(yè)發(fā)展需要，潛在地將這些有漏洞的協(xié)議暴露給攻擊者。</p>&l

109、t;p>　　由于工控協(xié)議的脆弱性帶來的安全問題，體現(xiàn)的一個特點是針對系統(tǒng)的攻擊主要集中在應用層的通信數(shù)據(jù)上。針對IEC104協(xié)議和IEC103協(xié)議出現(xiàn)的一系列安全問題進行分析，其主要問題在于缺乏認證、缺乏授權、缺乏加密、缺乏簽名等安全防護措施[39]。</p><p>　?。?）缺乏認證保護：IEC104協(xié)議和IEC103協(xié)議通信過程中，沒有任何認證方面的相關定義，攻擊者可以使用定義良好報文非常容易地建立一