基于協(xié)議特征的電力工控網(wǎng)絡(luò)流量異常行為檢測方法

王文博，劉 絢，張 博，王玉斐，黃 偉

（1. 湖南大學(xué)電氣與信息工程學(xué)院，湖南省 長沙市 410082；2. 江蘇省信息安全測評中心，江蘇省 無錫市 214072；3. 國網(wǎng)江蘇省電力有限公司電力科學(xué)研究院，江蘇省 南京市 210013）

0 引言

近年來，隨著信息通信系統(tǒng)與傳統(tǒng)電力物理系統(tǒng)的高度融合，電力系統(tǒng)逐步轉(zhuǎn)型為電力信息物理系統(tǒng)（cyber physical system，CPS）［1-2］。電力CPS 通過使用量測、通信、控制等技術(shù)，能夠全面采集并分析實時電網(wǎng)運行數(shù)據(jù)，實現(xiàn)電力信息的集成、共享以及電氣設(shè)備的監(jiān)視、控制等功能［3］。各類智能電氣設(shè)備和通信鏈路的激增，也給電力系統(tǒng)帶來了一定的網(wǎng)絡(luò)安全隱患。例如，2016 年以色列電網(wǎng)因執(zhí)行了攻擊者發(fā)送的釣魚郵件中的惡意代碼，導(dǎo)致大量電力基礎(chǔ)設(shè)施被迫關(guān)閉［4］。電力工控系統(tǒng)作為電力CPS 的重要組成部分，以各類通信協(xié)議為載體進(jìn)行流量信息的傳輸和交互，這使得電力工控系統(tǒng)面臨著數(shù)據(jù)竊取及篡改等風(fēng)險［5］。因此，如何有效地對電力工控流量進(jìn)行異常行為檢測對電力系統(tǒng)的安全穩(wěn)定運行具有重要意義。

目前，針對電力工控流量的異常行為檢測問題，國內(nèi)外學(xué)者做了大量研究。文獻(xiàn)［6］利用通用網(wǎng)絡(luò)特征指標(biāo)以及通用面向?qū)ο笞冸娬臼录℅OOSE）報文的常規(guī)行為模式進(jìn)行異常檢測。文獻(xiàn)［7］針對簡單閾值檢測的不足提出使用差分序列方差的方法對智能變電站過程層網(wǎng)絡(luò)流量進(jìn)行異常檢測。文獻(xiàn)［8］將智能變電站流量數(shù)據(jù)的頻域特征進(jìn)行提取，并與時域特征融合，構(gòu)建時-頻域混合特征集進(jìn)而識別異常流量。文獻(xiàn)［9-11］利用機器學(xué)習(xí)的方法對電力工控異常流量數(shù)據(jù)進(jìn)行檢測。文獻(xiàn)［12］針對電力工控系統(tǒng)數(shù)據(jù)的時序特征提出基于高斯混合聚類的異常檢測方法。文獻(xiàn)［13］基于IEC 61850 協(xié)議進(jìn)行規(guī)則設(shè)計，根據(jù)所設(shè)計規(guī)則對智能變電站的數(shù)據(jù)采集與監(jiān)控系統(tǒng)進(jìn)行入侵檢測。文獻(xiàn)［14-15］基于規(guī)則對IEC 60870-5-104 協(xié)議報文進(jìn)行異常檢測。文獻(xiàn)［16］提出基于業(yè)務(wù)邏輯黑白名單及其相似度匹配的方法識別攻擊報文。

上述已有異常行為檢測方法側(cè)重于網(wǎng)絡(luò)層流量特征的統(tǒng)計分析，存在檢測準(zhǔn)確率低、誤報率高、耗費時間長的問題。雖有少部分研究基于規(guī)則設(shè)計對應(yīng)用層報文進(jìn)行異常檢測，但只能針對單幀報文的格式進(jìn)行簡單畸形檢驗，無法對單幀報文多字段耦合邏輯異常、幀與幀之間的時序異常等進(jìn)行檢測。同時，也有少量文獻(xiàn)通過業(yè)務(wù)邏輯黑白名單的相似度匹配方法實現(xiàn)攻擊報文的識別，但只停留在理論層面，沒有針對具體的電力協(xié)議及業(yè)務(wù)，而且存在準(zhǔn)確率低的問題。

電力工控系統(tǒng)通信采用多種協(xié)議，例如:IEC 60870 系 列、IEC 61850 系 列、IEC 62351 系 列等［17-18］。其中，IEC 60870-5-104 報文用于主站與子站之間遠(yuǎn)動信息的傳輸，遙測、遙信數(shù)據(jù)的準(zhǔn)確上送以及遙控、遙調(diào)指令的正確下發(fā)至關(guān)重要，報文的錯誤傳輸會導(dǎo)致嚴(yán)重的后果。然而現(xiàn)有的報文異常檢測方法難以有效地針對字段特征和業(yè)務(wù)特征進(jìn)行檢測，無法保證遠(yuǎn)動信息的安全傳輸。因此，本文基于IEC 60870-5-104 協(xié)議特征提出了新的電力工控流量異常行為檢測方法，主要創(chuàng)新點如下:

1）本文在協(xié)議脆弱性分析以及深度包解析的基礎(chǔ)上提取了應(yīng)用層報文的字段特征，并建立了融合字段特征的異常檢測模型，實現(xiàn)了針對電力工控流量應(yīng)用層報文的單字段畸形校驗與多字段耦合邏輯校驗。

2）本文考慮了電力工控協(xié)議中典型業(yè)務(wù)的正常行為模式，構(gòu)建了融合電力業(yè)務(wù)時序邏輯以及上下文邏輯異常檢測模型，實現(xiàn)了針對電力工控流量應(yīng)用層報文的業(yè)務(wù)邏輯校驗。

3）本文提出了基于協(xié)議特征的電力工控流量異常行為檢測方法，實現(xiàn)了對電力工控流量應(yīng)用層異常行為的精準(zhǔn)識別，克服了現(xiàn)有方法缺乏對于業(yè)務(wù)邏輯深入考慮的不足，提升了電力工控流量異常行為檢測的準(zhǔn)確性。

1 IEC 60870-5-104 協(xié)議及其脆弱性分析

1.1 IEC 60870-5-104 協(xié)議報文格式

IEC 60870-5-104 報文是應(yīng)用層報文，在各個國家的電力工控系統(tǒng)中廣泛應(yīng)用，報文傳輸?shù)亩丝谔枮?404，格式如附錄A 圖A1 所示［19］。報文整體稱為應(yīng)用規(guī)約數(shù)據(jù)單元（APDU），由應(yīng)用規(guī)約控制單元（APCI）和應(yīng)用服務(wù)數(shù)據(jù)單元（ASDU）構(gòu)成。

APCI 由啟動字符、長度字段、控制域組成，根據(jù)報文控制域能夠識別出報文的3 種幀類型:U 幀、I 幀、S 幀。

ASDU 由類型標(biāo)識、可變結(jié)構(gòu)限定詞、傳送原因、公共地址、信息體數(shù)據(jù)組成，用于上送各類業(yè)務(wù)信 息，3 種 幀 類 型 中 只 有I 幀 有ASDU，U 幀 和S 幀沒有ASDU。

根據(jù)上述報文格式對Wireshark 所捕獲到的IEC 60870-5-104 報文的分析結(jié)果如附錄A 圖A2所示。

1.2 IEC 60870-5-104 協(xié)議脆弱性分析

雖然IEC 60870-5-104 協(xié)議已經(jīng)被廣泛應(yīng)用于電力工控系統(tǒng)中，但協(xié)議的自身設(shè)計致使其存在以下脆弱性。

1）缺乏認(rèn)證機制:由于IEC 60870-5-104 協(xié)議沒有認(rèn)證機制，攻擊者能夠通過合法地址建立非法通信會話，向設(shè)備發(fā)送惡意控制指令，從而干擾并破壞正常的控制過程。

2）缺乏授權(quán)機制:IEC 60870-5-104 協(xié)議缺少針對用戶的訪問控制機制，對于每個用戶的操作權(quán)限沒有進(jìn)行限制，攻擊者可以冒充合法用戶實施各種操作行為，進(jìn)而導(dǎo)致攻擊事件的發(fā)生。

3）缺乏加密機制:報文加密可以防止攻擊者在通信過程中竊取雙方信息。但是IEC 60870-5-104報文的ASDU 在傳輸過程中采用明文傳輸，攻擊者在攔截報文后可以對其進(jìn)行解析、篡改，然后重新注入通信鏈路中，達(dá)到攻擊目的［20-22］。

由于IEC 60870-5-104 協(xié)議存在以上脆弱性，電力工控網(wǎng)絡(luò)安全事件頻發(fā)。例如，2015 年烏克蘭電網(wǎng)主控計算機被攻擊者注入病毒后，控制權(quán)限丟失，攻擊者不斷下發(fā)惡意遙控指令，造成大停電［21］。

2 基于協(xié)議特征的流量異常行為檢測

2.1 異常行為檢測流程

本文通過對IEC 60870-5-104 協(xié)議進(jìn)行分析，建立了基于報文字段特征和業(yè)務(wù)特征的正常行為模型，并結(jié)合正常行為模型對實時流量進(jìn)行異常行為檢測，能夠全面、及時發(fā)現(xiàn)異常流量。具體檢測流程如圖1 所示。

圖1 異常行為檢測流程Fig.1 Flow chart of abnormal behavior detection

步驟1:利用交換機鏡像端口對電力工控系統(tǒng)通信過程中IEC 60870-5-104 協(xié)議的流量數(shù)據(jù)進(jìn)行實時捕獲。

步驟2:將每幀流量數(shù)據(jù)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層等進(jìn)行分離，提取出應(yīng)用層報文，并根據(jù)IEC 60870-5-104 協(xié)議對報文進(jìn)行解析，獲取報文各字段的數(shù)值以及報文具體業(yè)務(wù)類型。

步驟3:基于報文字段特征建立正常行為模型對報文進(jìn)行異常行為檢測，如果不符合正常行為模型，則判定報文異常，發(fā)出告警信號。

步驟4:基于遙測、遙信、遙控等典型業(yè)務(wù)特征建立正常行為模型對報文所屬業(yè)務(wù)進(jìn)行異常行為檢測，如果不符合正常的業(yè)務(wù)行為模型，則判定報文異常，發(fā)出告警信號。

2.2 基于協(xié)議字段特征的異常檢測

2.2.1 報文長度字段模型

根據(jù)IEC 60870-5-104 報文長度字段計算出的報文長度為ASDU 長度和控制域長度的總和，再加上啟動字符的長度以及長度字段自身長度，即為報文的整體理論長度LTHE，其計算公式為:

式中:LASDU為報文ASDU 的長度；LCF為報文控制域長度；LST為啟動字符的長度；LLEN為長度字段自身長度。

如果報文P的實際長度與報文理論計算長度不相等，即不滿足式（2），則判定報文異常。

式中:P為流量數(shù)據(jù)的應(yīng)用層報文；PIEC104為IEC 60870-5-104 報文；LEN(P)為報文實際長度。

2.2.2 報文控制域字段模型

報文的控制域字段具有防止報文丟失和重傳的功能，同時包含報文傳輸?shù)倪B接、啟動、停止等信息。因此，針對控制域建立正常模型并對其進(jìn)行異常檢測，可以有效避免報文因控制域數(shù)據(jù)錯誤而造成的報文傳輸異常。

I 幀類型的報文控制域第1 個八位位組的第1 位bit=0，如果不滿足式（3），則判定報文異常。

式中:PI為IEC 60870-5-104 協(xié)議的I 幀報文；CBIT1為報文控制域第1 個八位位組的第1 位bit 值。

S 幀類型的報文控制域第1 個八位位組的第1 位bit=1，第2 位bit=0，如果不滿足式（4），則判定報文異常。

式中:PS為IEC 60870-5-104 協(xié)議的S 幀報文；CBIT2為報文控制域第1 個八位位組的第2 位bit 值。

U 幀類型的報文控制域第1 個八位位組的第1 位bit=1，第2 位bit=1，如果不滿足式（5），則判定報文異常。

式中:PU為IEC 60870-5-104 協(xié)議的U 幀報文。

2.2.3 報文類型標(biāo)識字段模型IEC 60870-5-104 報文的類型標(biāo)識字段表示信息體的數(shù)據(jù)類型，例如:“09”表示“帶品質(zhì)描述的測量值，每個遙測值占3 個字節(jié)”。類型標(biāo)識字段閾值為［1，127］，如果實際報文的類型標(biāo)識字段值超出閾值，即不滿足式（6），則判定報文異常。

式中:FTYP(P)為報文的類型標(biāo)識字段的十進(jìn)制數(shù)值。

2.2.4 報文傳送原因字段模型

IEC 60870-5-104 報文的傳送原因字段表示報文上送或者下發(fā)的原因，例如:“03”表示“突發(fā)”。傳送原因字段閾值為［1，41］，如果實際報文的傳送原因字段值超出閾值，即不滿足式（7），則判定報文異常。

式中:FCOT(P)為報文的傳送原因字段的十進(jìn)制數(shù)值。

2.2.5 U 幀報文功能字段模型

IEC 60870-5-104 協(xié)議的U 幀報文用于完成不計數(shù)的控制功能，包含測試、停止和開啟3 種，并且在一個U 幀報文中只可能存在一種。即控制域第1 個八位位組的第3 位至第8 位只能有一位為1，如果不滿足式（8），則判定報文異常。

式中:CBIT，i為報文控制域第一個八位位組的第i位數(shù)值。

2.3 基于協(xié)議業(yè)務(wù)特征的異常檢測

IEC 60870-5-104 協(xié)議包含遙測、遙信、遙控、遙調(diào)等典型電力業(yè)務(wù)，這些業(yè)務(wù)的正常執(zhí)行與交互是保障電力工控系統(tǒng)穩(wěn)定運行的前提。本文根據(jù)IEC 60870-5-104 協(xié)議對業(yè)務(wù)特征進(jìn)行分析，建立起典型業(yè)務(wù)正常行為模型，實現(xiàn)基于業(yè)務(wù)特征的異常行為檢測。以遙測、遙信、遙控業(yè)務(wù)為例，分別在單幀報文層面和多幀報文層面進(jìn)行檢測，具體檢測框架如圖2 所示。

圖2 基于典型業(yè)務(wù)特征的異常行為檢測Fig.2 Abnormal behavior detection based on typical business features

2.3.1 遙測業(yè)務(wù)特征的異常檢測

遙測業(yè)務(wù)用于將子站的各類測量值（例如電壓、電流值）傳輸?shù)街髡?，實現(xiàn)對子站各類電氣設(shè)備的監(jiān)視和控制。針對遙測業(yè)務(wù)建立的各類正常行為模型如下。

1）遙測業(yè)務(wù)與傳送原因關(guān)聯(lián)模型

該模型為多字段耦合邏輯校驗，遙測業(yè)務(wù)的傳送原因有4 種:01（周期）、02（背景掃描）、03（突發(fā)）、20（響應(yīng)總召喚），如果違反式（9），則判定報文異常。

式中:PRM為IEC 60870-5-104 協(xié)議的遙測報文。

2）遙測業(yè)務(wù)信息體地址正常模型

該模型為單字段畸形校驗，遙測報文的信息體地址范圍在［4001H，6000H］之間，如果違反式（10），則判定報文異常。

式中:FIOA(P)為報文的信息體地址；H 表示數(shù)值為十六進(jìn)制。

3）遙測業(yè)務(wù)品質(zhì)參數(shù)描述詞正常模型

該模型為多字段耦合邏輯校驗，遙測數(shù)據(jù)的品質(zhì)描述詞中各標(biāo)志位有固定的邏輯，如果違反式（11），則判定報文異常。

式中:FQU為遙測報文的品質(zhì)描述詞；OV 為品質(zhì)描述詞的溢出標(biāo)志；IV 為有效標(biāo)志；SB 為取代標(biāo)志；NT 為刷新標(biāo)志。

4）遙測業(yè)務(wù)類型標(biāo)識與信息體關(guān)聯(lián)模型

該模型為多字段耦合邏輯校驗，遙測報文的類型標(biāo)識決定每一個信息體數(shù)據(jù)的字節(jié)數(shù)，如果前后字節(jié)數(shù)不一致，即違反式（12），則判定報文異常。

式中:NNUM(P)為每個信息體數(shù)據(jù)字節(jié)數(shù)；NQU(P)i為每個信息體數(shù)據(jù)的長度；m為報文信息體數(shù)據(jù)的個數(shù)。

5）遙測值正常范圍模型

該模型為單字段畸形校驗，根據(jù)正常流量的統(tǒng)計結(jié)果可以分析出遙測值具有上下限，如果超出上下限，即違反式（13），則判定報文異常。

式 中:NRMV，i為 遙 測 報 文 的 第i號 遙 測 值；xn為 正 常流量數(shù)據(jù)的第n個遙測值。

6）遙測值死區(qū)正常模型

該模型為幀與幀上下文異常校驗，遙測數(shù)據(jù)的死區(qū)為0.2%，即遙測值變化率在0.2%內(nèi)不進(jìn)行上送，如果遙測值的上送違反式（14），則判定報文異常。

式 中:NRMV1，i為 遙 測 報 文 第i號 遙 測 當(dāng) 前 值；NRMV2，i為遙測報文第i號遙測前一次值。

2.3.2 遙信業(yè)務(wù)特征的異常檢測

遙信業(yè)務(wù)用于將子站各類開關(guān)設(shè)備的狀態(tài)（0 表示設(shè)備開關(guān)斷開，1 表示設(shè)備開關(guān)閉合）傳輸?shù)街髡荆瑢崿F(xiàn)主站對斷路器、隔離開關(guān)等開關(guān)設(shè)備狀態(tài)的監(jiān)測，如果遙信報文被篡改會導(dǎo)致主站獲取的開關(guān)設(shè)備狀態(tài)錯誤，影響主站的調(diào)度與決策。

針對遙信業(yè)務(wù)建立的各類正常行為模型如下。

1）遙信類型與品質(zhì)描述詞關(guān)聯(lián)模型

該模型為多字段耦合邏輯校驗，如果報文為單點遙信，其品質(zhì)描述詞的單點遙信狀態(tài)（SPI）位只存在0 和1 兩種狀態(tài)，如違反式（15），則判定報文異常。

式中:PDRS為IEC 60870-5-104 協(xié)議的單點遙信報文；FSPI(P)為報文品質(zhì)描述詞SPI 位的值。

如果報文為雙點遙信，其品質(zhì)描述詞的雙點遙信狀態(tài)（DPI）位只存在0、1、2、3 四種狀態(tài)，如違反式（16），則判定為異常。

式中:PSRS為IEC 60870-5-104 協(xié)議的雙點遙信報文；FDPI(P)為報文品質(zhì)描述詞的DPI 位的值。

2）遙信變位邏輯正常模型

該模型為幀與幀時序邏輯校驗，在正常通信過程中，同一信息體地址的遙信變位狀態(tài)為由開（00）到合（01）或由合（01）到開（00），如果出現(xiàn)連續(xù)的開（00）或合（01），即違反式（17），則判定異常。

式中:SRSV1(P)、SRSV2(P)分別為同一信息體地址遙信數(shù)據(jù)本幀和上一幀的遙信狀態(tài)。

3）突發(fā)遙信變位閾值正常模型

該模型為幀與幀上下文異常校驗，正常情況下，電力工控系統(tǒng)處于穩(wěn)定運行狀態(tài)，突發(fā)遙信變位數(shù)量很少，如果短時間內(nèi)出現(xiàn)大量突發(fā)遙信變位，即違反式（18），則判定異常。

式中:t為統(tǒng)計突發(fā)遙信變位數(shù)量的時間段；MRSV為突發(fā)遙信變位標(biāo)志值，報文是突發(fā)遙信則為1，否則為0；RSMAX為根據(jù)正常流量統(tǒng)計出的t時間內(nèi)遙信變 位 閾 值；RS，t，n為 第n個t時 間 段 內(nèi) 遙 信 變 位 指 令 數(shù)量；Pi為t時 間 內(nèi) 的 第i幀 報 文。

2.3.3 遙控業(yè)務(wù)特征的異常檢測

遙控業(yè)務(wù)用于遠(yuǎn)程控制子站各類開關(guān)設(shè)備的合閘或跳閘、各類電氣設(shè)備的投入或切除。遙控指令涉及電力工控系統(tǒng)的安全穩(wěn)定運行，如果遙控報文被惡意攔截、篡改、注入會導(dǎo)致設(shè)備開斷錯誤、投切異常，進(jìn)而引起電力系統(tǒng)大停電事故。

針對遙控業(yè)務(wù)建立的各類正常行為模型如下:

1）遙控執(zhí)行邏輯正常模型

該模型為幀與幀時序邏輯校驗，正常的遙控執(zhí)行邏輯為遙控選擇、遙控選擇確認(rèn)、遙控執(zhí)行、遙控執(zhí)行確認(rèn)，如果不為該邏輯，即違反式（19），則判定異常。

式中:PRC1為遙控選擇指令；PRC2為遙控選擇確認(rèn)指令；PRC3為遙控執(zhí)行指令；PRC4為遙控執(zhí)行確認(rèn)指令。

2）遙控指令閾值正常模型

該模型為幀與幀上下文異常校驗，正常情況下，電力工控系統(tǒng)處于穩(wěn)定運行狀態(tài)，遙控指令數(shù)量很少，如果短時間內(nèi)出現(xiàn)大量遙控指令，即違反式（20），則判定異常。

式中:t為統(tǒng)計各類指令數(shù)量的時間段；MRCV為遙控指令標(biāo)志值，報文是遙控指令則為1，否則為0；MRTV為遙測報文標(biāo)志值，報文是遙測業(yè)務(wù)則為1，否則為0；RCMAX為根據(jù)正常流量統(tǒng)計出的t時間內(nèi)遙控指令 閾 值；RC，t，n為 第n個t時 間 段 內(nèi) 遙 控 指 令 在 遙 測、遙信、遙控報文中的比例。

3 案例分析

為驗證本文所提基于協(xié)議特征的電力工控流量異常行為檢測方法的有效性，首先利用電力工控流量異常行為檢測裝置在實際變電站進(jìn)行測試，并分析檢測出的真實異常情況。然后，使用所采集的某省220 kV 變電站的實際流量以及根據(jù)報文字段特征、業(yè)務(wù)特征構(gòu)造的異常流量進(jìn)行實驗，并將所提方法與其他文獻(xiàn)提出的方法進(jìn)行檢測能力的對比。

3.1 變電站實際測試結(jié)果

將基于協(xié)議特征的電力工控流量異常行為檢測程序集成至電力工控流量異常行為檢測裝置，并將該裝置與某省變電站交換機連接進(jìn)行流量數(shù)據(jù)的采集及檢測。

在某省變電站檢測出的異常如下:

1）遙測值死區(qū)上送

正常情況下，同一信息體地址的遙測值在死區(qū)（變化率小于0.2%）之內(nèi)不進(jìn)行上送，如果檢測到死區(qū)上送的遙測值則視為異常。

2020-09-08T02:14:31 至2020-09-08T17:28:54檢測出的遙測值死區(qū)上送的報文數(shù)量及其死區(qū)區(qū)間分布情況如圖3 所示。從圖3 中可以看出，在各個死區(qū)區(qū)間內(nèi)均有大量遙測報文的上送，其中在40%～60%區(qū)間內(nèi)的數(shù)量最多，達(dá)到10 831 幀。然而，隨著電力工控系統(tǒng)智能化程度的不斷提高，海量物聯(lián)網(wǎng)終端需要接入變電站中，遙測報文的數(shù)量會大大增加，此時大量遙測報文的死區(qū)上送會占用過多的CPU 資源，使變電站裝置發(fā)生通信中斷，影響變電站的正常運行。因此，遙測值死區(qū)上送的檢測能夠有效避免遙測值大量上送的情況，為變電站的安全、可靠運行提供保障。遙測值死區(qū)上送檢測結(jié)果示例如附錄A 圖A3 所示。

圖3 遙測值死區(qū)區(qū)間分布Fig.3 Interval distribution of dead zone of telemetry value

2）遙信變位邏輯異常

正常情況下，同一信息體地址的遙信變位邏輯為開（00）到合（01）或合（01）到開（00），見圖4（a）。

圖4 遙信變位邏輯Fig.4 Telesignaling displacement logic

在實際變電站流量數(shù)據(jù)中檢測到信息體地址為950200 的開關(guān)設(shè)備前一幀報文的遙信狀態(tài)為合（01），后一幀報文的遙信狀態(tài)理論上是開（00），但是卻是合（01），如圖4（b）所示。該異常告警時間為2020 年9 月8 日12 時21 分45.69 秒，報 文 來 源 端 口為2404，目的端口為37573。推理分析出現(xiàn)該異常的原因可能為:1）由于開關(guān)設(shè)備自然故障造成的遙信變位失??；2）攻擊者惡意篡改遙信變位報文，掩飾開關(guān)設(shè)備的正常動作，從而影響設(shè)備的運行監(jiān)視以及主站的決策調(diào)度

3）總召喚邏輯異常

總召喚（類型標(biāo)識:64）的正常邏輯為主站發(fā)起總召喚（傳送原因:06）、子站發(fā)出總召喚確認(rèn)指令并上送數(shù)據(jù)（傳送原因:07）、數(shù)據(jù)上送完畢后子站發(fā)出總召喚結(jié)束（傳送原因:0a）指令，如圖5 中藍(lán)色虛線框所示。

圖5 總召喚邏輯異常Fig.5 Abnormal of general call logic

在實際變電站流量數(shù)據(jù)中檢測到了總召喚結(jié)束指令（傳送原因:0a）后直接出現(xiàn)了總召喚確認(rèn)指令（傳送原因:07），中間缺失了發(fā)起總召喚指令（傳送原因:06），如圖5 黑色虛線框所示。該異常告警時間 為2020 年9 月9 日2 時16 分03.16 秒，報 文 來 源 端口為2404，目的端口為25360，詳細(xì)報文及告警信號如附錄A 圖A4 所示。出現(xiàn)這種情況的網(wǎng)絡(luò)攻擊場景為:攻擊者模擬主站IP 注入虛假的總召喚發(fā)起指令，從而使子站誤認(rèn)為是主站發(fā)起的總召喚，導(dǎo)致子站進(jìn)行總召喚確認(rèn)并上送數(shù)據(jù)，攻擊者進(jìn)而對流量數(shù)據(jù)進(jìn)行攔截并竊取。因此，總召喚邏輯異常檢測能夠有效避免電力工控系統(tǒng)的流量數(shù)據(jù)被攻擊者惡意竊取。

3.2 基于流量數(shù)據(jù)集的異常檢測結(jié)果分析

3.2.1 流量數(shù)據(jù)集

為了驗證本文所提方法的普適性，使用某省220 kV 變電站所采集的電力工控流量數(shù)據(jù)作為實驗數(shù)據(jù)，數(shù)據(jù)量為82 111 幀。其中包含在電力工控實驗室環(huán)境下基于所采集的正常流量數(shù)據(jù)以及IEC 60870-5-104 報文特征構(gòu)造的異常流量數(shù)據(jù)，用以模擬電力工控系統(tǒng)遭受網(wǎng)絡(luò)攻擊的場景。同時基于所提方法在Windows 10 操作系統(tǒng)環(huán)境（主頻為2.4 GHz 的Intel Core i5-9300H CPU）下使用Visual Studio 2019 編寫C/C++異常檢測程序?qū)α髁繑?shù)據(jù)的異常行為進(jìn)行檢測。

本次實驗中共有正常流量81 872 幀，異常流量239 幀，其中基于字段特征的異常流量共30 幀（占總流量數(shù)據(jù)的0.037%），基于業(yè)務(wù)特征的異常流量共209 幀（占總流量數(shù)據(jù)的0.25%），具體分類如附錄A表A1 所示。

3.2.2 異常行為檢測結(jié)果分析

附錄A 表A2 為82 111 幀流量數(shù)據(jù)的異常行為檢測結(jié)果，包含正常流量數(shù)據(jù)和異常流量數(shù)據(jù)。其中，正常流量數(shù)據(jù)檢測結(jié)果正確（true positive，TP）的數(shù)目為81 858，錯誤（false positive，F(xiàn)P）的數(shù)目為14，異常流量數(shù)據(jù)檢測結(jié)果正確（false negative，F(xiàn)N）的數(shù)目為239，錯誤（true negative，TN）的數(shù)目為0。由TP、FP、TN、FN這4類基本指標(biāo)計算出的異常檢測結(jié)果性能評估常用指標(biāo)數(shù)值如附錄A 表A3 所示。

從附錄A 表A2 和表A3 中可以看出，所提基于協(xié)議特征的電力工控流量異常行為檢測方法的漏報率為0，對于異常流量的識別率達(dá)到了100%，檢測的準(zhǔn)確率達(dá)到99.98%，誤報率僅為0.017%。同時F1 值為99.98%，驗證了所提方法對于各類特征進(jìn)行異常檢測的有效性。

其中，由于模型閾值的設(shè)定誤差以及流量采集過程中的丟包現(xiàn)象，本文所提檢測方法產(chǎn)生了0.017%的誤報。該誤報率在合理范圍之內(nèi)，不影響所提方法的有效性。

3.2.3 中間人非法遙控注入攻擊場景與檢測

為了更加直觀地驗證本文所提方法對惡意攻擊檢測的有效性，以遙控業(yè)務(wù)邏輯異常為例構(gòu)建中間人非法遙控注入攻擊場景。遙控指令的正常執(zhí)行邏輯為遙控選擇、選擇確認(rèn)、遙控執(zhí)行、執(zhí)行確認(rèn)。在流量數(shù)據(jù)中，遙控指令正常執(zhí)行的應(yīng)用層報文序列示例如下:

式中:PRC1為遙控選擇指令；PRC2為遙控選擇確認(rèn)指令；PRC3為遙控執(zhí)行指令；PRC4為遙控執(zhí)行確認(rèn)指令。

通過將惡意遙控指令封裝入流量數(shù)據(jù)的應(yīng)用層中構(gòu)造出pcap（packet capture）攻擊包，進(jìn)而模擬中間人非法遙控注入攻擊場景，具體過程如下。

1）設(shè)置流量數(shù)據(jù)的以太網(wǎng)層源MAC 地址為:00:XX:29:25:XX:02，設(shè)置流量數(shù)據(jù)目的MAC 地址為:00:XX:29:6D:XX:06，協(xié)議類型為IPv4。

2）設(shè)置流量數(shù)據(jù)的網(wǎng)絡(luò)層源IP 為:XX.16.X.40，目的IP 為:XX.16.X.42。

3）設(shè)置流量數(shù)據(jù)傳輸層源端口為:56500，目的端口為:2404。

4）設(shè)置流量數(shù)據(jù)的應(yīng)用層報文分別為PRC1、PRC2，報文詳細(xì)內(nèi)容與分析如下:

其中，PRC1表示遙控選擇指令，傳送原因為0600（激活），信息體數(shù)據(jù)為80（遙控選擇）。按照正常的遙控執(zhí)行邏輯，PRC2應(yīng)該為選擇確認(rèn)指令，傳送原因為0700（激活確認(rèn)），信息體數(shù)據(jù)為80（遙控選擇）。在此仍將PRC2設(shè)置為遙控選擇指令，傳送原因為0600（激活），信息體數(shù)據(jù)為80（遙控選擇），模擬中間人非法遙控注入攻擊，使其不符合正常的遙控指令執(zhí)行邏輯。

構(gòu)造的pcap 包流量數(shù)據(jù)使用Wireshark 打開后如附錄A 圖A5 所示。將構(gòu)造的pcap 攻擊包作為輸入，使用所提方法進(jìn)行檢測，成功識別出異常并發(fā)出告警信號:中間人非法遙控注入攻擊。

3.3 異常檢測性能對比分析

將所提流量異常行為檢測方法與現(xiàn)有方法進(jìn)行比較，結(jié)果如表1 所示。表1 中，“√”和“×”分別表示具備和不具備某項功能?？梢钥闯?，在檢測能力方面，大部分現(xiàn)有方法只能在網(wǎng)絡(luò)層進(jìn)行檢測，不能實現(xiàn)應(yīng)用層的異常檢測。少部分方法雖在應(yīng)用層進(jìn)行檢測，但僅能實現(xiàn)報文解析、報文格式校驗，而所提方法能夠全面實現(xiàn)報文解析、報文格式校驗、單字段畸形校驗、多字段耦合邏輯校驗、幀與幀時序邏輯校驗、幀與幀上下文異常校驗。同時，在檢測指標(biāo)方面，流量異常行為檢測的準(zhǔn)確率和誤報率相比于其他方法也具有一定的優(yōu)勢。因此，所提方法能夠更加全面、精準(zhǔn)地實現(xiàn)流量異常行為的識別。

表1 不同方法的檢測結(jié)果對比Table 1 Comparison of detection results of different methods

4 結(jié)語

針對目前電力工控系統(tǒng)流量數(shù)據(jù)傳輸過程中所存在的網(wǎng)絡(luò)攻擊威脅，本文提出了一種基于協(xié)議特征的電力工控流量異常行為檢測方法。結(jié)合電力工控協(xié)議建立報文字段、業(yè)務(wù)特征的正常行為模型，并依據(jù)正常行為模型對實時流量進(jìn)行異常行為檢測。案例分析結(jié)果表明，所提方法能夠?qū)崿F(xiàn)電力工控流量應(yīng)用層報文的格式校驗、單字段畸形校驗、多字段耦合邏輯校驗、幀與幀時序邏輯校驗、幀與幀上下文異常校驗，典型異常行為的識別準(zhǔn)確率較高，為99.98%，誤報率較低，為0.017%，能夠有效降低電力工控系統(tǒng)流量傳輸過程中報文的竊取、篡改、注入等風(fēng)險，提升電力系統(tǒng)運行的安全性。同時，文中基于協(xié)議特征的正常行為模型參數(shù)能夠隨著實際應(yīng)用場景的變化進(jìn)行動態(tài)調(diào)整，且所提方法的應(yīng)用可以擴展至電力工控系統(tǒng)中的多種通信協(xié)議，體現(xiàn)了本文方法的一般性與擴展性。

需要指出的是，目前的虛假數(shù)據(jù)注入攻擊能夠?qū)崿F(xiàn)對報文的字段、邏輯在符合協(xié)議規(guī)范的情況下進(jìn)行篡改，本文所提方法難以檢測。同時，本文所提方法需要進(jìn)一步完善，從而實現(xiàn)針對檢測出的異常進(jìn)行系統(tǒng)側(cè)故障和二次側(cè)攻擊的區(qū)分，以便調(diào)度人員實施更為精準(zhǔn)的應(yīng)對措施。因此，這兩方面將成為下一步的重要研究方向。

附錄見本刊網(wǎng)絡(luò)版（http：//www.aeps-info.com/aeps/ch/index.aspx），掃英文摘要后二維碼可以閱讀網(wǎng)絡(luò)全文。