电力是国民经济发展的命脉,作为国家关键信息基础设施,网络安全问题日益突出,面临着严峻的挑战。电力系统中的智能变电站普遍采用三层两网体系结构[1],当前网络安全研究较多关注在其中的站控层和过程层设备[2-3],间隔层设备的网络安全建设则相对薄弱。随着网络环境日益复杂,电网对间隔层设备的网络安全要求越来越高。拒绝服务攻击(DoS)是一种常见网络攻击手段,通过向通信网络或网络接入设备发送大量雪崩数据,造成拒绝服务。为了提高间隔层设备的DoS攻击的检测、防护和告警能力,本文提出了一种基于DoS类型分类的间隔层设备DoS攻击检测方法。1间隔层设备MMS网络安全分析智能变电站间隔层设备包括继电保护装置、测控装置等,作为嵌入式设备,具有CPU算力一般、内存容量小等特点,所以网络安全的检测和防护功能需要简单有效,避免过多消耗有限的系统资源。间隔层设备对下通过GOOSE、SV网络与过程层设备通信,对上通过MMS网络与站控层设备通信。GOOSE、SV网络传输的报文是电力专用的二层报文,报文特征明确,一般通过FPGA的网络风暴防护模块实现网络安全防护。MMS网络传输的报文以MMS报文为主,此外,还包括少量的SNTP、GOOSE等报文。MMS网络接入公网或电力工业专网,传输的报文类型多样,DoS攻击的检测和防护难度较大。MMS是TCP/IP网络模型中的一种应用层协议,在变电站中主要用于控制指令下发,测量数据上报等用途。MMS报文发送间隔一般是以秒为单位,比如诊断、心跳等报文[4]。如果变电站中出现异常情况,例如异常跳闸,会在短时间出发大量的MMS报文,但是实际应用中的MMS网络的最大每秒包数(pps)是可估算和测量的。MMS网络一般采用双重化配置以提高MMS网络的可靠性,间隔层设备提供2个以太网口分别连接MMSA网和B网[5]。对于间隔层设备单个MMS网口的DoS攻击,检测机构的抗拒绝服务检测标准中要求,在DoS攻击期间,装置运行正常,不误动、不误发报文、不死机、不重启,网络状态正常;DoS攻击停止后,背景流量恢复正常;而且特别要求支持DoS攻击类型的识别和告警。2DoS攻击类型特征分析DoS攻击种类众多,常见的DoS攻击类型有ICMPFlood攻击、SYNFlood攻击、UDPFlood攻击、ARPFlood攻击、Smurf攻击等。我们以上述DoS攻击类型为例,对DoS攻击类型特征进行分析。ICMPFlood攻击通过向目标主机发送大量ICMP报文实施攻击。攻击报文的IP报文头中的IP协议字段都是ICMP协议。SYNFlood攻击通过发送大量虚假MAC和IP地址的TCPSYN报文,使目标主机永...
