【优秀硕博论文】基于iec60870-5系列协议工控系统的网络数据异常检测技术

分类号密级UDC注1硕士专业学位论文基于IEC608705系列协议工控系统的网络数据异常检测技术（题名和副题名）（作者姓名）学位类别工程硕士专业名称控制工程研究方向网络信息安全论文提交时间2016年01月注1注明国际十进分类法UDC的类号。摘要随着工业化和信息化的融合，工业控制系统的开放性与复杂性逐步增强，所面临的网络安全风险和入侵威胁不断加深。论文为提高工控系统对网络异常数据的检测能力，研究了基于IEC608705系列协议工控系统的网络数据异常检测技术，设计了IEC608705网络通信数据异常检测系统。论文所做的主要工作如下（1）通过与传统信息系统作比较，分析工控系统的主要特点。结合实例阐述目前工控系统所受到的安全威胁，介绍当前国内外在工控系统网络安全领域的研究现状。研究工业控制系统中广泛应用的IEC608705104协议和IEC608705103协议，并分析两种协议的脆弱性。（2）根据IEC608705104协议和IEC608705103协议的脆弱性分析结论，设计两种异常数据检测方法，基于异常数据分类的异常检测方法和基于报文结构的异常检测方法。将常见的异常行为进行总结归纳，并设计相应的异常检测模型。（3）以异常检测模型为核心结合数据传输时包含的关键信息，建立一套异常检测规则，内容简洁且规则编写灵活。设计基于LAMP架构的网络通信数据异常检测系统，包括原始数据捕获模块、数据包解析模块、异常数据检测模块、数据库模块以及检测系统服务器端模块。（4）基于TCPREPLAY网络数据回放工具设计网络通信仿真软件，针对IEC608705104协议和IEC608705103协议中常见的异常行为，编写异常检测规则，设置数据包捕获模式。最后搭建仿真测试平台，利用网络通信仿真软件向异常检测系统所在的目的主机发送异常数据包，验证测试异常检测系统的有效性。论文最后对全文所做的工作进行总结，并对未来值得进一步研究的问题进行展望。关键词工控网络安全、IEC608705系列协议、网络数据异常检测、异常数据分类、报文结构ABSTRACTWITHTHEINTEGRATIONOFINDUSTRIALIZATIONANDINFORMATIZATION,THEOPENNESSANDCOMPLEXITYOFINDUSTRIALCONTROLSYSTEMICSGRADUALLYINCREASED,DEEPENINGFACINGNETWORKSECURITYRISKSANDTHREATSOFINVASIONINORDERTOIMPROVETHEINDUSTRIALCONTROLSYSTEMONNETWORKANOMALYDATADETECTIONCAPABILITY,THENETWORKDATAANOMALYDETECTIONTECHNOLOGYBASEDONIEC608705SERIESPROTOCOLINDUSTRIALCONTROLSYSTEMISSTUDIED,IEC608705NETWORKCOMMUNICATIONDATAANOMALYDETECTIONSYSTEMISDESIGNEDTHEMAINWORKOFTHISPAPERISASFOLLOWS1THROUGHCOMPARISONWITHTHETRADITIONALINFORMATIONSYSTEM,THEMAINCHARACTERISTICSOFTHEINDUSTRIALCONTROLSYSTEMAREANALYZEDTHISPAPEREXPOUNDSTHESECURITYTHREATOFTHECURRENTINDUSTRIALCONTROLSYSTEM,ANDTHEPRESENTRESEARCHSTATUSATHOMEANDABROADISINTRODUCEDIEC608705104PROTOCOLANDIEC608705103PROTOCOLININDUSTRIALCONTROLSYSTEMAREINTRODUCED,ANDTHEVULNERABILITYOFTHETWOPROTOCOLSAREANALYZED2TWOANOMALYDETECTIONMETHODSAREDESIGNEDACCORDINGTOIEC608705103PROTOCOLANDIEC608705104PROTOCOLVULNERABILITYANALYSISCONCLUSION,THEANOMALYDETECTIONMETHODFORDATACLASSIFICATIONOFANOMALIESANDANOMALYDETECTIONMETHODBASEDONPACKETSTRUCTURETHECOMMONABNORMALBEHAVIORISSUMMARIZEDANDTHECORRESPONDINGANOMALYDETECTIONMODELISDESIGNED3INANOMALYDETECTIONMODELASTHECOREANDCOMBININGWITHKEYINFORMATIONOFTHEDATABEINGTRANSMITTED,ESTABLISHESASETOFANOMALYDETECTIONRULES,CONCISEANDWRITEFLEXIBLEANOMALYDETECTIONSYSTEMBASEDONTHELAMPARCHITECTUREOFNETWORKCOMMUNICATIONDATA,INCLUDINGTHEORIGINALDATACAPTUREMODULE,PACKETPARSINGMODULE,DATAANOMALYDETECTIONMODULE,DATABASEMODULEANDDETECTIONSYSTEMSERVERMODULEISDESIGNED4THENETWORKCOMMUNICATIONSIMULATIONSOFTWAREISDESIGNEDBASEDONTHETCPREPLAYNETWORKDATAPLAYBACKTOOLINVIEWOFTHECOMMONABNORMALBEHAVIORINTHEIEC608705104PROTOCOLANDIEC608705103PROTOCOL,THEABNORMALDETECTIONRULESAREWRITTEN,THEDATAPACKETCAPTUREMODEISSETUPFINALLY,THESIMULATIONTESTPLATFORMISBUILT,USETHENETWORKCOMMUNICATIONSIMULATIONSOFTWARETOVERIFYTHEEFFECTIVENESSOFTHENETWORKANOMALYDATASYSTEMNADSDESIGNEDINTHISPAPERFINALLY,THEFULLTEXTOFTHEWORKDONEISSUMMARIZED,ANDTHENEXTQUESTIONISWORTHFURTHERSTUDYWEREDISCUSSEDKEYWORDICSNETWORKSECURITY,IEC608705SERIESPROTOCOL,ANOMALYDETECTIONOFNETWORKDATA,ABNORMALDATACLASSIFICATION,MESSAGESTRUCTURE目录摘要IABSTRACTIII1绪论111研究背景与意义112工控系统的特点313国内外研究现状514论文组织架构6141研究内容6142章节安排72IEC608705通信规约及其脆弱性分析921IEC608705系列通信规约9211IEC608705104协议简介9212IEC608705103协议简介1022IEC104协议与IEC103协议的结构实现11221IEC608705104协议结构11222IEC608705103协议结构1423IEC104协议与IEC103协议脆弱性分析1724本章小结183IEC608705网络数据异常检测方法和模型1931IEC608705异常检测方法19311基于异常数据分类的异常检测方法19312基于报文结构的异常检测方法2032网络数据异常检测模型22321不符合规范报文异常检测模型23322可疑的类型标识异常检测模型25323可疑的传送原因异常检测模型3033本章小结314IEC608705网络通信数据异常检测系统的设计3341系统总体设计33411LINUX操作系统33412APACHE服务器3442基于LIBCAP的数据捕获和解析34421数据包捕获原理34422基于LIBPCAP的数据包捕获35423基于LIBPCAP捕获数据包的处理与解析3843异常检测模块的设计44431异常检测规则设计44432异常检测程序设计4544基于PHP和MYSQL的检测系统设计46441检测系统数据库设计46442检测系统服务器端设计4845本章小结555基于IEC608705网络通信检测系统的仿真测试5751IEC608705网络通信仿真软件设计5752测试与验证58521测试平台搭建58522测试与结果分析5953本章小结616总结与展望6361文章总结6362未来展望63致谢65参考文献67附录71图表目录图11公开的工控系统漏洞的年度变化趋势2图12工业控制系统市场分布情况2图13工控系统安全时的原则性特点4图21IEC104协议的规约结构10图22ISO模型和EPA模型图10图23应用规约数据单元APDU结构12图24应用规约控制信息APCI结构图12图25应用服务数据单元ASDU的结构13图31基于异常分类的检测方法流程图20图32IEC104协议I格式待检数据链表结构20图33IEC103协议待检数据链表结构21图34基于报文结构的异常检测方法流程图22图35异常数据检测架构图22图36异常检测模型结构23图41网络通信数据异常检测系统33图42基于TCP/IP协议的数据包封装35图43BPF过滤器架构36图44LIBPCAP工作流程36图45LIBPCAP数据包捕获编程步骤37图46网络通信报文结构图39图47原始数据包解析过程39图48以太网帧格式40图49IP报文格式41图410TCP报文段格式42图411通信数据处理43图412异常检测规则结构44图413异常检测程序流程图46图414UBUNTU系统下异常检测系统登录界面50图415UBUNTU系统下异常检测系统主页界面51图416UBUNTU系统下数据包捕获模式设置界面51图417UBUNTU系统下导入异常检测规则52图418UBUNTU系统下手动设置异常检测规则53图419UBUNTU系统下待检数据查询界面54图420UBUNTU系统下异常数据查询界面55图51IEC608705网络通信仿真软件界面图57图52仿真测试平台结构58图53异常数据包发送60图54异常数据信息表61表11信息系统与工控系统差异3表13信息系统与工控系统的安全性对比5表21可变长度帧格式及各字节含义14表22控制方向报文的控制域15表23监视方向报文的控制域15表24ASDU具体结构信息16表25固定长度帧格式及各字节含义16表31启动字符异常的报文结构23表32应用规约数据单元长度异常的报文结构23表33类型标识为0传送原因为0的异常报文结构24表34不符合规范的报文集合24表35不符合规范报文异常检测模型25表36循环上报初始化的异常报文结构26表37复位进程报文结构26表38读从站配置信息的报文结构27表39主站启动总召唤的报文结构28表310可疑的类型标识集合28表311可疑的类型标识异常检测模型29表312带未知传送原因的异常报文结构30表313可疑的传送原因集合30表314可疑的传送原因异常检测模型30表41用户表47表42待检数据表48表43异常数据表481绪论11研究背景与意义工业控制系统1（ICS，INDUSTRIALCONTROLSYSTEM），广泛应用于电力2,3、水利4、能源5,6等关系到国家安全的重要行业领域。工控系统以其通信协议的专一性和系统的相对封闭性7使得攻击者很难入侵。随着工业化和信息化的不断交叉融合，越来越多的信息技术应用到了工业控制领域，工控系统与外界进行数据交换更加频繁，使得工控系统面临更多的安全问题。近些年来发生了一系列的工控系统安全事件，如2010年的“震网”病毒8,9事件，此病毒是首个针对工控系统的蠕虫病毒，利用西门子公司控制系统（SIMATICWINCC/STEP7）存在的漏洞感染数据采集与监控系统（SCADA），向可编程逻辑控制器（PLC）写入代码并将代码隐藏。通过使离心机骤停的方式来破坏离心机，同时获取涡轮机的控制权限，改变控制参数，最后破坏涡轮机。它是已知的第一个包含PLCROOTKIT的电脑蠕虫，也是已知的第一个以关键工业基础设施为目标的蠕虫。病毒成功入侵并破坏了伊朗布什尔核电站核设施；发生在2011年的DUQU病毒10，这种病毒是STUXNET病毒的一种变种，大量重用了STUXNET的代码，利用微软的零日漏洞MS11087并伪装CMEDIA公司的数字签名逃避安全工具检测，在入侵工控系统后便窃取与攻击目标相关的各种情报，并将收集到的信息通过加密处理成图片的形式返回给攻击者。此病毒的攻击目标主要为中东及欧洲国家的一些能源行业；以及发生在2012年的FLAME病毒11,12，它是一种综合渗透扩散、预留后门、信息窃取等功能的间谍软件，它可以创建屏幕快照截取屏幕信息，通过声音采集设备，窃取语音信息，获取键盘记录、网络数据等，通过SSH和HTTPS建立安全连接，采用五种加密算法对窃取的数据进行加密，采用三种压缩技术对窃取的数据进行压缩，以躲过病毒检测软件。最终病毒在中东国家的爆发导致伊朗及其他中东国家的机密信息遭到泄露。根据美国CVEICSCERT13以及中国国家信息安全漏洞共享平台所发布的漏洞信息，总结的公开漏洞总体变化趋势如图11所示。05105202304250627082901201232014H151417351764漏洞数量图11公开的工控系统漏洞的年度变化趋势在2011年之前，公开披露的工业控制系统相关漏洞数量相当少，但在2011年出现快速增长，主要是由于2010年的“震网”蠕虫病毒事件之后，人们对于工业控制系统安全问题持续关注以及工业控制系统厂商分析解决历史遗留问题所造成的。随着各方面对工业控制系统安全的日益重视，工业控制系统的相关漏洞数量仍然保持一个增长的总体趋势。目前我国的ICS市场规模约为100亿元，但由于各个行业对ICS的要求不同，因此发展也完全不同。其中，在电力行业中ICS应用最为广泛，约占整个ICS市场的半壁江山14，如图12所示，电力系统中，变电站自动化约占到ICS市场的40，是ICS最大的应用领域。制造业,12油气管线8市政,30其他,50调度自动化,10变电站自动化,40制造业油气管线市政调度自动化变电站自动化图12工业控制系统市场分布情况电力系统中常用的几种通信协议有MODBUSTCP15,16、DNP317,18、IEC608705系列等，其中IEC608705系列远动通信规约在变电站自动化以及调度自动化方面应用比较成熟也比较广泛。综上所述，随着计算机技术在工控系统中的广泛应用，工控系统原有的封闭性已经被打破，工控系统的网络安全面临非常严峻的考验。因此分析工控系统的安全问题，加强工控网络的入侵防御显得尤其重要，也成为国家基础设施和关键领域安全的重大命题。基于当前背景下，必须通过大量研究分析入侵工控网络的异常数据，建立完善的工控网络安全防护体系，从而保障工控系统以及国家关键基础设施的安全。12工控系统的特点工控系统以其专有的通信协议和相对封闭的环境为外界所熟知，随着工业信息化的快速发展，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平，使得工控系统具有一定的开放性。同时逐步采用基于TCP/IP19协议的工业以太环网和OPC20,21通信协议，促使TCP/IP协议逐步成为工业控制系统的基础通信协议，而为保持工业控制系统的兼容性，专用的工业控制协议则将会逐步迁移到应用层，使得工控系统的通信协议又具有一定的复杂性。正是由于这两个特性加剧了工控网络安全的威胁。与传统的信息系统相比工控系统有很大的区别，这也是工控系统的特点22，如表11所示。在加强工控系统的网络安全防护上必须注意到这些特点，才能实现实质性的防护技术与措施。在传统的信息安全领域，通常将保密性（CONFIDENTIALITY）、完整性（INTEGRITY）和可用性（AVAILABLITY）称为信息安全的三要素，简称为CIA23。保密性是指保证正确的人可以访问正确的信息。完整性是指保证所有信息均保持完整、正确，没有被篡改、删除。可用性是指保证所有资源及信息都处于可用状态。且在传统的信息系统通常认为保密性的优先级最高，完整性次之，最后是可用性。表11信息系统与工控系统差异内容工业控制系统信息系统性能必须马上应答，延迟一般是不允许的根据系统不同，条件有所不同可用性一般情况下不允许系统重新启动一般情况下不允许重新启动即时性必须保证紧急处理即时性要求低于工控系统。长期性1520年或更长35年保护资产控制器及现场设备是第一保护目标信息资产是第一保护目标系统运用多采用专有操作系统，不支持自动升级所采用WINDOWS操作系统支持自动升级占用资源必须保证控制所需的内存、计算等资源可以为保证安全策略提供足够资源通信多采用专门的协议及设备均采用标准协议支持服务支持服务大多由一家公司提供有各种各样的服务公司风险评估人和环境的安全是第一位的数据保密是第一位的在工业控制系统领域则有较大的不同，工业控制系统强调的是工业自动化过程及相关设备的智能控制、监测与管理。它们在系统架构、设备操作系统、数据交换协议等方面与传统信息系统存在较大差异。工业控制系统对系统设备的可用性、实时性、可控性等特性要求很高，如图13所示。首先，在考虑工业控制系统安全时要优先保证系统的可用性。其次，因各组件之间存在固有的关联，完整性次之。最后，由于工控系统中传输的数据通常是控制命令和采集的原始数据，且多是实时数据，需要放在特定的背景下分析才有意义，因此对保密性的要求最低。这就是在考虑工业控制系统安全时与考虑传统IT信息系统安全时的原则性区别。图13工控系统安全时的原则性特点工业控制系统作为企业的核心生产运营系统，其工作环境具有严格的管理，外人很难进入。同时系统自身也多与企业的办公网络系统之间存在一定的隔离措施，其环境相对封闭。再加上工业控制系统主要由PLC、RTU、DCS、SCADA等工业控制设备及系统组成，这些设备品种繁多，且功能多基于不同于互联网通用操作系统的嵌入式操作系统（如VXWORKS、UCLINUX、WINCE等）开发，并采用专用的通信协议或规约（如OPC、MODBUS、DNP3等）实现系统间通信。正是由于这些工业控制系统设备及通信规约的专有性以及系统的相对封闭性，使得一般的互联网黑客或黑客组织很难获得相应的工业控制系统攻防研究环境以及相关系统资料支持，从而通常黑客的攻防研究工作多集中在互联网或普通IT信息系统上，而很少关注工业控制系统，自然相关的系统及通信规约的安全缺陷（或漏洞）也很少被发现。同时工业控制系统提供商则重点关注系统的可用性、实时性，对系统的安全问题、防护措施以及运维策略也缺乏系统的考虑。上述这些原因，也使得工业控制系统与传统信息系统在所面临的安全威胁、安全问题及所需要考虑的安全防护措施等方面存在较大的不同，表12从多个角度对这些差异进行了讨论分析。表12信息系统与工控系统的安全性对比对比项工业控制系统信息系统威胁来源以组织为主个体、群体、组织攻击方法高级持续性威胁、有组织的多协同攻击拒绝服务、病毒、恶意代码、非授权实用、破坏数据安全三性（CIA）等系统安全重点关注ICS系统及其设备专用操作系统的漏洞、配置缺陷等问题关注通用操作系统的脆弱性、安全配置、病毒防护以及系统资源的非授权访问等。网络安全重点关注专有通信协议及规约的安全性及其实时、安全的传输能力。通常需要与互联网进行物理隔离。关注TCP/IP协议簇的安全性传输、拒绝服务、应用层安全等，不要求与互联网进行物理隔离数据安全重点关注ICS设备状态、控制信息等在传输、处理及存储中的安全关注服务器中存储数据的安全存储及授权使用身份管理系统用户的身份认证及授权管理相对简单。IT用户的身份认证、授权机制比较成熟、完善。补丁管理ICS系统补丁兼容性差、发布周期长，不会轻易安装非ICS设备制造商指定的升级补丁传统IT信息系统的漏洞和补丁管理系统或工具比较成熟，漏洞一般可以及时地得到处理。行为管理缺乏针对ICS的安全日志审计及配置变更管理。一般有比较完善的IT系统及网络行为审计机制应急响应需要保障ICS系统，强调快速响应应急响应计划可选显然，对于工业控制系统及其安全性进行研究。首先，需要了解工业控制系统的特点。其次，重点研究工控系统间通信规约的安全性问题，建立仿真系统，模拟攻击场景进行攻防演练分析。最后，根据结果分析设计出有效的网络异常防御方法或异常检测方法，使系统的安全性保障措施逐步完善。13国内外研究现状目前，工业控制系统的网络安全问题已经引起了世界各国的高度重视，尤其是自2010年发生的STUXNET蠕虫病毒事件后，各国在政策标准、技术方案等方面开展了积极应对。然而由于工控系统相对封闭的使用环境，开发时侧重系统的功能实现，对安全的关注相对缺乏，使得在工控系统网络安全方面并没有太多的研究成果和实践经验，本文通过以下文献分析了当前的研究状况文献40设计了一种基于IEC608705104远动规约的监听与测试系统，利用SOCKET编程实现对控制主站与从站设备之间传输数据的检测分析，能在第一时间发出故障报警。但此系统的异常检测功能比较单一，只对数据的重复传输进行检测。并不能抵御系统面临的其他安全威胁。文献41利用系统的正常参数建立状态矩阵，并在此基础上设计了异常检测模型。通过分析工控系统的异常行为信息，采集异常行为导致变化的参数，建立正常参数状态矩阵。进行异常检测时监测各个参数的变化情况，若超出了正常参数阈值则产生告警。该方法的适用性非常好，但在不同环境下需要设定不同的阈值，而阈值的设定直接影响了检测效果。文献42设计了一种具有认证功能的协议，通过使用加密函数以及哈希链表对通信双方进行验证，从而可以避免攻击者伪装成主机进行攻击。这种方式虽然通过增加认证过程保证了通信双方的安全，但同时也增加了通信负担。通信双方的每次数据交换都需要进行加密认证，会对工控系统的实时性造成影响。文献43提出了一种在通信系统基础上增加信息安全层的方法，无需改变底层的传输系统。可以增强通信双方的认证，通信的完整性以及保密性。安全层作为软件层置于通信系统之上，可以防御网络攻击但并不能保护设备的安全。文献44在文献42基础之上增加了基于角色的权限认证机制和用户ID安全审查功能，从而解决了非法用户登录和违规越权操作的问题。但增加认证模块和用户ID审查同样是以整个系统的通信实时性为代价。文献45提出了一种多通道组播安全认证方法，实现了变电站自动化系统中从站设备之间的认证以及密钥更新。但该方法只能针对从站设备节点数目较少的情况，对跨地域、多通信节点的系统则不适用。文献46分析了重放攻击，采用了卡尔曼滤波检测系统是否受到攻击，文献47分析了完整性攻击。但在使用检测方法之前需要构造物理模型，基于模型设计检测算法时还需要考虑平台的计算能力与计算速度。文献48针对DOS攻击和欺骗攻击，设计了物理模型并简化成线性系统，最终形成安全控制器，使得系统能检测出欺骗攻击抵御拒绝服务攻击。但安全控制器需要精确性高的模型，在实际应用中尚未成熟。综上所述，由于工控系统的特殊性在保密性和实时性方面很难做到平衡。目前工控系统安全研究比较零散，研究人员从多个方面对工控系统安全进行探索，尚未形成系统的研究体系和公认的研究方向。尤其是对于通过建立异常检测模型以及异常检测规则，并针对应用层传输数据信息进行异常检测方面，仍然没有相关的深入研究。14论文组织架构141研究内容本文重点分析了工业控制系统中广泛使用的IEC608705104通信协议和IEC608705103通信协议的脆弱性。利用脆弱性分析结果，设计了一套异常数据检测方法。总结归纳出两种协议的典型异常行为并分类，建立对应异常分类的异常检测模型。基于LAMP架构，开发了占用资源少、轻量化的IEC608705网络通信数据异常检测系统。以异常检测模型为核心，结合数据传输时包含的关键信息，设计了异常检测规则。根据检测规则可编写异常数据检测规则文件，并直接部署在异常检测系统上。142章节安排本文共分为六章，各个章节的主要内容安排如下第一章首先介绍了本文的研究意义与当前的研究背景，结合近几年发生的一系列工控网络安全事件，分析了工控系统所面临的威胁。其次通过工控系统与传统IT信息系统的比较分析了工控系统的特点。最后介绍了在工控网络安全领域国内外的研究现状。第二章介绍了IEC608705104协议与IEC608705103协议，详细阐述了两种协议的结构。阐述了采用这两种协议的工控系统所面临的网络安全风险，分析了造成这些问题的原因，并对协议的脆弱性进行分析。第三章本章设计了一套针对IEC608705系列协议的异常检测方法，基于异常数据分类的异常检测方法和基于报文结构的异常检测方法。将网络异常数据进行总结分类，包括不符合规范的报文、可疑的类型标识、可疑的传送原因，并针对每一类异常行为设计了异常检测模型。第四章本章设计了基于LAMP架构的IEC608705网络通信数据异常检测系统以及用于异常检测的异常检测规则。首先，对系统总体设计进行介绍，包括操作系统、服务器、数据库以及使用的服务器端编程语言。其次，详细介绍了基于LIBPCAP数据包捕获函数库的数据包捕获模块，设计了数据包解析模块，编写数据包解析程序。以异常检测模型为核心，设计了异常检测规则。最后，设计了用户数据表、待检数据表、异常数据表以及用于操作人员与检测系统进行交互的WEB表单。第五章本章基于TCPREPLAY网络数据回放工具，利用QT跨平台图形用户界面应用程序开发框架开发了IEC608705网络通信仿真软件。搭建试验测试平台，针对可疑的类型标识异常设置了IEC608705104非法复位进程异常检测规则和IEC608705103非法读子站配置信息异常检测规则并导入规则库。利用IEC608705网络通信仿真软件，向检测系统所在目的主机发送异常数据，最终得到异常数据检测的详细信息，从而验证了本文设计的异常检测规则的正确性以及异常检测系统的有效性。第六章总结与展望，论文最后对全文所做的工作进行了总结，并对未来值得进一步研究的问题进行了展望。2IEC608705通信规约及其脆弱性分析21IEC608705系列通信规约随着我国电力工业的快速发展，电力系统不断扩大，电网结构日趋复杂，电力系统的各种运行参数瞬息万变、互相影响。电力调度自动化系统是保障电网安全、稳定、优质、经济运行及电力市场运营的基础设施和重要手段。调度自动化系统和继电保护管理系统通信协议的标准化、规范化，是一项重要的工作。目前，IEC608705系列协议24是电力行业进行信息传输通信所使用的最为广泛的协议。IEC608705系列通信协议包含如下几个部分IEC6087051传输帧格式25IEC6087052链路传输规则26IEC6087053应用数据的一般结构27IEC6087054应用信息元素的定义和编码28IEC6087055基本应用功能29IEC608705101基本远动任务配套标准IEC608705102电力系统电能累计量传输配套标准IEC608705103继电保护信息接口配套标准IEC608705104采用标准传输协议自己的IEC608705101网络访问结合实际情况，本文对工控系统常用的IEC608705104协议和IEC608705103协议进行分析研究。211IEC608705104协议简介IEC60870510130通信协议规定的内容和IEC6087051IEC6087055定义的标准兼容。可以使用全双工或半双工通信，主要用于变电站与控制中心之间或不同系统之间的串行数据通信，能够传输遥信、遥测、遥调、遥控和系统信息。在电力系统调度自动化中，变电站自动化系统是一个承上启下的环节，而改善远动通信是提高整个调度自动化实时性和可靠性的关键，以太网仅仅在主站和远动子站之间提供虚拟的数据电路，可能会导致报文传输出现相当大时间范围内变化的延时，该类延时还与网络的通信负荷有关31。一般可变的报文延时意味着不可能采用IEC101所定义的主站和远动子站之间的链路层。为此，国际电工委员会制定了IEC60870510432协议（以下简称IEC104协议），它是将IEC101协议应用数据以TCP/IP协议的网络报文格式在因特网上传输的扩展应用。IEC104协议定义了开放的TCP/IP接口的使用，包含一个由传输IEC101协议ASDU的远动设备构成的局域网的实例。如图21所示为终端系统的规约结构。根据IEC608705101从IEC6087055中选取的应用功能初始化用户进程从IEC608705101和IEC608705104中选取的ASDUAPCI（应用规约控制信息）传输接口（用户到TCP的接口）TCP/IP协议子集（RFC2200）应用层第7层传输层（第4层）网络层（第3层）链路层（第2层）物理层（第1层）注第5，第6层未使用图21IEC104协议的规约结构212IEC608705103协议简介IEC60870510333（以下简称IEC103协议）是国际电工委员会TC57技术委员会制定的继电保护设备信息接口配套标准。主要应用于变电站后台监控系统与继电保护设备信息交换领域，用以传送继电保护的相关信息。此标准不但规定了实现标准化报文传输方法，还规定了实现传输几乎所有可能信息的通用分类服务的传输方法，使得变电站内同一个监控系统的不同继电保护设备实现数据互换，提高了自动化系统的安全性，有利于变电站自动化系统内监控系统和不同继电保护设备之间的互联。IEC103规约使用的网络模型是增强性能结构EPA，如图22所示。仅用到ISOOSI34基本参考模型的全七层结构中的三层，即物理层、链路层及应用层。根据远动系统的特点，考虑到传输速率，这种结构在出现故障时可以迅速响应从而提高通信的实时性。应用层表示层会话层传输层网络层链路层物理层ISO参考模型应用层链路层物理层EPA参考模型图22ISO模型和EPA模型图物理层采用光纤系统或基于铜线的系统，它提供一个二进制对称和无记忆传输。一般选用性价比较高的基于铜线的数据交换传输系统，且需要符合EIARS48535标准，在同一条传输线路上可以连接单个或者数个设备单元，但是最大数量不超过32个。若基于TCP/IP协议进行网络传输，则使用光纤。链路层由一系列采用明确的链路规约控制信息（LPCI）的传输单元所组成，此链路规约控制信息可将一些应用服务数据单元（ASDU）当作链路用户数据，链路层采用保证数据完整性以及方便传输的帧格式选集。链路层定义了两种帧格式一种是固定帧格式，启动字符为10H，主要用做继电保护设备向控制系统传输确认帧，或者用于控制系统向机电保护设备传输询问帧；另一种是可变帧格式，启动字符为68H，主要用于控制系统与继电保护设备之间的信息传输。IEC6087052提供了采用控制域和任选的地址域的链路传输规则的选集，站之间的链路可以采用非平衡传输模式或平衡传输模式，通过控制域中相应的功能码指定。应用层包含一系列应用功能，它包含在源和目的之间传送的应用服务数据单元中。配套标准应当按照IEC6087053的一般结构来定义相应的应用服务数据单元用IEC6087054中应用信息元素的定义和编码规范来构成应用服务数据单元。规约数据单元由规约控制信息和服务数据单元组成，IEC103规约未采用应用规约控制信息ACPI，所以在应用层中的应用规约数据单元APDU和应用服务数据单元ASDU及链路服务数据单元LSDU是一样的。根据当前的通信技术发展趋势，IEC103协议作为国内第一个使用的标准保护通用协议，越来越多的应用于控制主站和从站之间的保护信息通信，已经不再局限于变电站的内部应用了。根据实际应用情况,现有的串行通信方式已经无法满足需要，为保证面向连接的准确传输，已经出现了基于TCP/IP通信的IEC103协议，即上层协议则使用了应用非常广泛的TCP/IP协议。22IEC104协议与IEC103协议的结构实现221IEC608705104协议结构应用规约数据单元（APDU）包括应用规约控制信息（APCI）和应用服务数据单元（ASDU）36如图23所示，在实际应用中可以传输一个完整的APDU或者出于控制目的仅仅只传送APCI。启动字符68HAPDU长度（最大，253）控制域八位位组1控制域八位位组2控制域八位位组3控制域八位位组4IEC104规约定义的ASDU长度ASDUAPDUAPCI图23应用规约数据单元APDU结构1、应用规约控制信息APCI的结构传输接口（TCP到用户）是一个定向流接口，它没有为IEC101中的ASDU定义任何启动或者停止机制。为了检出ASDU的启动和结束，每个应用规约控制信息APCI包括如下的定界元素启动字符ASDU帧长度字段以及控制域，如图24所示。启动字符68HAPDU长度（最大，253）控制域八位位组1控制域八位位组2控制域八位位组3控制域八位位组4长度4APCI图24应用规约控制信息APCI结构图其中启动字符68H定义了数据流的起点，APDU长度字段定义了APDU的长度，它包括APCI的四个控制域八位位组和ASDU。ASDU的最大长度限制在249以内，因为APDU域的最大长度是253（APDU最大值255减去启动和长度八位位组），控制域的长度是4个八位位组。通过APCI的四个八位位组的控制域IEC104定义了三种类型的APDU格式编号的信息传输（I格式），编号的监视功能（S格式）和未编号的控制功能（U格式）。控制域第一个八位位组的第一位比特为0定义了I格式，I格式的APDU常常包含一个ASDU。控制域第一个八位位组的第一位比特为1且第二位比特为0定义了S格式。S格式的APDU只包括APCI。控制域第一个八位位组的第一位比特为1且第二位比特为1定义了U格式。U格式的APDU只包括APCI。在同一时刻，TESTFR，STOPDT或STARTDT中只有一个功能可以被激活。2应用服务数据单元ASDU的结构如图25所示，应用服务数据单元的基本结构包括数据单元标识符和一个或多个信息体。数据单元标识符的结构是固定的，每个应用服务数据单元中包含单一的类型标识和传送原因。类型标识可变结构限定词传送原因（2个八位位组）ASDU公共地址（2个八位位组）信息对象地址（3个八位位组）时标3个八位位组MS至MIN或时标7个八位位组MS至年信息对象N应用服务数据单元数据单元标识符数据单元类型信息对象标识符信息对象时标（可以出现或者不出现）信息体1信息体N图25应用服务数据单元ASDU的结构数据单元标识符中第一个八位位组是类型标识，定义了信息对象的结构、类型和格式。分为监视方向的过程信息类型标识、控制方向的过程信息类型标识、监视方向的系统信息、控制方向的系统命令。第二个八位组定义为可变化结构限定词，由两部分组成。低7位表示本ASDU内包含的信息对象数量，最高位表示信息对象的排列方式。第三个和第四个八位位组分别定义为传送原因和源发地址，源发地址一般情况不使用。传送原因有三部分构成，低6位是传送原因序号，次高位表示肯定或否定确认，最高位是测试标志。最后两个八位位组是应用服务数据单元公共地址。信息体由信息体地址、信息体元素、信息体时标构成。每个ASDU的首个信息体必须有信息体地址，若采用连续信息传输方式则从第二个信息体开始信息体地址不出现，默认为上一个信息体地址加1，若采用离散信息传输方式则每一个信息体必须有信息地址。信息元素集包括遥信信息、遥测信息、初始化原因、遥控信息、各类限定词。信息体时标有三种，2字节时标、3字节时标和7字节时标。2字节时标比较少用，3字节时标包括1字节的分和2字节的毫秒，实际应用中仅精确到分钟的时标是不安全的，一般不采用。7字节时标是一个绝对时标，包含年、月、日、时、分、秒、毫秒的信息。222IEC608705103协议结构IEC103协议使用的是EPA三层结构，应用层是系统中数据通信的核心部分。该层未采用明确的应用规约控制信息，它暗含在应用服务数据中。按照IEC6087053的一般结构来定义相应的应用服务数据单元，采用IEC6087054中应用信息元素的定义和编码规范来构成应用服务数据单元37。IEC103规约采用IEC6087052中的标准传输帧格式FT12，根据报文长度类型，可分为可变长度帧和固定长度帧。1可变长度帧格式当主机监控系统向间隔层继电保护装置下发某种传输命令时，或者当间隔层继电保护装置向主机监控系统响应某种装置信息时，通常使用可变长度帧，其帧格式如表22所示。表21可变长度帧格式及各字节含义字节序号字节含义备注字节1启动字符固定为0X68字节2长度字符（L）控制域、地址域和用户数据区的总字节数字节3长度字符（L）同字节2字节4启动字符同字节1字节5控制域包含信息传输方向和功能码等信息字节6地址域包含主从站通信地址信息N个字节链路用户数据包含用户有效数据信息字节N1帧校验和字节5至字节N1的L个八位位组算术和字节N2结束字符固定为0X16（1）启动字符可变长度帧报文的第一个字节和第四个字节内容相同，表示启动字符，为68H。（2）长度字符第二个字节和第三个字节内容相同，为长度字符，表示报文长度。等于控制域字符、地址域字符和用户数据区的八位位组的字节总数。（3）控制域控制域字段包含控制方向和监视方向两种情况。控制方向是指从监控主机的监控系统到间隔层继电保护装置的传输方向，也称为下行方向，控制方向报文控制域的各字段如表23所示。表22控制方向报文的控制域数据位D7D6D5D4D3D2D1D0含义RES0PRM1FCBFCV功能码D7位为备用位，一般设置为0。D6位为启动报文位，表明信息传输方向。PRM置1表示由主站至从站进行信息传输，即控制方向。D5位是帧计数位，当主站向从站发送新的数据时，需要把此位取反，用以表明此次传输是新的一轮服务。D4位是帧计数有效位，FCV置1表示帧计数位的变化有效，FCV置0表示帧计数位的变化无效。D3D0位表示功能码，控制方向的数据帧有多种功能码，并且代表不同的功能。监视方向是指从从站到主站的传输方向，也称上行方向。监视方向报文控制域各字段如表24所示。表23监视方向报文的控制域数据位D7D6D5D4D3D2D1D0含义RES0PRM0ACDDEC功能码D7位为备用位，设置为0。D6位为启动报文位，表明信息传输方向，PRM0表示由间隔层继电保护装置至主机监控系统进行信息传输，即监视方向。D5位为要求访问位，若从站没有一级用户数据，则ACD置为0，若间隔层继电保护装置发生状态变位等突发事件而导致产生一级用户数据，则ACD置为1。D4位为数据流控制位，若DFC置为1，则表示从站缓冲区已满，不可以继续接收新数据。若DFC置为0，则表示从站可以继续接收新数据。D3DO位表示功能码，监视方向的数据帧有多种功能码，代表着不同功能。（4）地址域地址域是从站装置与主站监控系统进行数据传输的地址，使用范围为0255，其中0254用于装置地址，255用于广播地址。（5）链路用户数据一个链路规约数据单元至多包含一个应用服务数据单元。（6）帧校验和可变长度帧报文的帧校验和是控制域、地址域及用户数据区三部分数据的算术和。（7）结束字符可变长度帧报文的最后一个字符是结束字符，为16H。IEC103协议在应用层未采用APCI，只在可变长度帧格式中包含了ASDU部分，由单元标识符和信息体两部分组成。如表25所示。表24ASDU具体结构信息字节序号结构信息备注字节1类型标识符标识各种类型的信息字节2可变结构限定词包含信息体中信息元数目以及寻址方式字节3传送原因包含信息传送的原因信息字节4ASDU地址一般与链路层地址一致字节5功能类型字节6信息序号信息元标识具体的功能类型和信息序号对应于装置的信息点表N个字节信息元素集包含信息的状态和数值信息4或7个字节时标（任选）4字节或7字节时标信息第一个字节为类型标识，IEC103协议规定了众多类型的应用服务数据单元，各种类型的信息体皆有所差别，并且以唯一的标号加以区别。第二个字节为可变结构限定词，可变结构限定词包含应用服务数据单元信息体中的两个重要信息，最高数据位为SQ，标识信息体的寻址方式，低七位表示信息元的数目，最多不会超过127个。第三个字节为传送原因，根据应用服务数据单元和传送信息的不同，数据帧中通常会用到不同的传送原因。第四个字节为应用服务数据单元公共地址，一般应用服务数据单元公共地址和链路层地址一致。第五和第六字节为信息元标识符，信息元标识符包括功能类型和信息序号两个部分。对于确定的某一类型装置都有唯一的功能类型和信息序号与之相对应。最后四个或七个字节是信息体时标，根据不同的类型标识，可选用不同的信息体时标。2固定长度帧格式当主机监控系统向间隔层继电保护装置发送问询帧命令时，或者当运行于间隔层的继电保护装置向运行于站控层的主机监控系统响应确认帧报文时，一般使用固定长度帧，其帧格式如表21所示。表25固定长度帧格式及各字节含义字节序号字节含义备注字节1启动字符固定为0X10字节2控制域包含信息传输方向、功能码等信息字节3地址域包含主从站通信地址信息字节4帧校验和字节2和字节3的算术和字节5结束字符固定为0X16与可变长度帧相比，固定长度帧较为简短。第一个字节为启动字符，固定为10H。第二个字节和第三个字节分别表示控制域和地址域，与可变长度帧相同。第四个字节为帧校验和，是控制域与地址域数据相加的算术和。最后一个字节是结束字符，固定为16H。23IEC104协议与IEC103协议脆弱性分析基于TCP/IP协议传输的IEC104协议和IEC103协议在工控系统中已经得到广泛应用，然而这两种协议在设计时并没有充分考虑到网络安全问题。因此，采用这种协议的工控系统存在网络安全风险，具体如下38（1）旁路控制攻击者入侵系统后取的控制主站的控制权限，向从站设备发送非法的控制命令，如针对配电站发送非法的分闸或合闸命令，可能导致重大的停电事故或生命安全事故。（2）假冒攻击者入侵系统后通过伪造合法的通信地址，假冒从站设备向控制主站发送虚假数据，干扰系统正常的数据分析。（3）篡改攻击者非法篡改系统通信中的数据，如控制主站的下行数据或从站设备的上行数据，从而对系统造成破坏。（4）窃听在工控系统中，控制主站可能会根据具体情况采用广播方式传输控制命令，攻击者入侵系统后可以使用探测工具窃听到所有的控制命令数据，为下一步的破坏行为做准备。（5）重放攻击攻击者入侵系统后对系统通信中的控制命令或上传数据进行拦截，延迟或者重复发送这些数据，从而造成生产事故。（6）拒绝服务攻击者窃听系统通信中的数据并进行数据分析，伪造大量合法但无用的垃圾数据发送到系统中，使得系统网络变得拥塞，导致传输速度减缓，最终影响系统的正常运转。综上所述，应用此类协议的工控系统所面临的安全风险十分突出，造成这种安全风险的重要原因就是协议本身存在的脆弱性。造成协议脆弱性的原因无