智能变电站间隔层设备DoS攻击类型检测与告警方法_陈彬.pdf

电力是国民经济发展的命脉，作为国家关键信息基础设施，网络安全问题日益突出，面临着严峻的挑战。电力系统中的智能变电站普遍采用三层两网体系结构1，当前网络安全研究较多关注在其中的站控层和过程层设备2-3，间隔层设备的网络安全建设则相对薄弱。随着网络环境日益复杂，电网对间隔层设备的网络安全要求越来越高。拒绝服务攻击（DoS）是一种常见网络攻击手段，通过向通信网络或网络接入设备发送大量雪崩数据，造成拒绝服务。为了提高间隔层设备的DoS攻击的检测、防护和告警能力，本文提出了一种基于DoS类型分类的间隔层设备DoS攻击检测方法。1间隔层设备MMS网络安全分析智能变电站间隔层设备包括继电保护装置、测控装置等，作为嵌入式设备，具有CPU算力一般、内存容量小等特点，所以网络安全的检测和防护功能需要简单有效，避免过多消耗有限的系统资源。间隔层设备对下通过GOOSE、SV网络与过程层设备通信，对上通过MMS网络与站控层设备通信。GOOSE、SV网络传输的报文是电力专用的二层报文，报文特征明确，一般通过FPGA的网络风暴防护模块实现网络安全防护。MMS网络传输的 报 文 以MMS报 文 为主，此 外，还包 括少量 的SNTP、GOOSE等报文。MMS网络接入公网或电力工业专网，传输的报文类型多样，DoS攻击的检测和防护难度较大。MMS是TCP/IP网络模型中的一种应用层协议，在变电站中主要用于控制指令下发，测量数据上报等用途。MMS报文发送间隔一般是以秒为单位，比如诊断、心跳等报文4。如果变电站中出现异常情况，例如异常跳闸，会在短时间出发大量的MMS报文，但是实际应用中的MMS网络的最大每秒包数(pps)是可估算和测量的。MMS网络一般采用双重化配置以提高MMS网络的可靠性，间隔层设备提供2个以太网口分别连接MMS A网和B网5。对于间隔层设备单个MMS网口的DoS攻击，检测机构的抗拒绝服务检测标准中要求，在DoS攻击期间，装置运行正常，不误动、不误发报文、不死机、不重启，网络状态正常；DoS攻击停止后，背景流量恢复正常；而且特别要求支持DoS攻击类型的识别和告警。2DoS攻击类型特征分析DoS攻击种类众多，常见的DoS攻击类型有ICMP Flood攻 击、SYN Flood攻 击、UDP Flood攻 击、ARP Flood攻 击、Smurf攻击等。我们以上述DoS攻击类型为例，对DoS攻击类型特征进行分析。ICMP Flood攻击通过向目标主机发送大量ICMP报文实施攻击。攻击报文的IP报文头中的IP协议字段都是ICMP协议。SYN Flood攻 击 通过 发送大量 虚假MAC和IP地址 的TCP SYN报文，使目标主机永远无法完成3次握手，占满系统的协议栈队列，进而拒绝服务。攻击报文的TCP报文头中的SYN标志比特位都是置1。UDP Flood攻击通过向目标主机发送大量UDP报文实施攻击。攻击报文的IP报文头中的IP协议字段都是UDP协议。ARP Flood攻击通过向目标主机发送大量ARP报文实施攻击。攻击报文的以太网报文头中的帧类型字段都是ARP类型。Smurf攻击通过向目标主机发送大量ICMP echo reply报文实施攻击。攻击报文的ICMP报文头的ICMP类型字段都是echo reply类型。3DoS攻击类型检测与告警方法为了实现DoS攻击类型检测，在每个采样周期，对进入MMS网口的报文按上述DoS攻击报文特征进行类型分类，并分别统计每个分类的pps。考虑到其他可能的DoS攻击和网络风暴，总报文pps也作为一个独立分类进行统计。每个分类报文都有各自独立的3个档位的pps水线值：1）低水线（low_pps）：如果采样周期内分类报文的pps值小于低水线，判定当前分类报文不是DoS攻击报文，清除丢包控制标识，上送此分类报文至网络协议栈。考虑到如果低水线过小，容易造成误检，影响用户体验，所以默认情况下，该值从正常业务场景下该分类报文最大pps值和MMS网口接收最大pps值的5%中取最大值。智能变电站间隔层设备 DoS 攻击类型检测与告警方法Detection and Alarm Method of DoS Attack Types for Bay Level Equipmentof Smart Substations陈 彬潘 可岳 峰董 贝（南京国电南自电网自动化有限公司，江苏 南京211153）摘要：随着网络环境日益复杂，智能变电站间隔层设备的网络安全要求越来越高。通过研究分析间隔层设备网络安全场景和拒绝服务攻击（DoS）类型特征，提出一种基于DoS类型分类的间隔层设备DoS攻击检测方法，在保证设备运行正常的同时，实现了DoS攻击类型的检测、防护和告警功能。工程应用和测试结果表明该方案的可行性和有效性。关键词：智能变电站；间隔层；拒绝服务攻击；攻击类型检测；攻击告警Abstract:With the increasing complexity of the network environment,the network security requirements of the bay layerequipment of smart substations are getting higher and higher.By studying and analyzing the network security scenarios ofbay layer devices and the characteristics of various denial of service attack(DoS)types,a DoS attack detection method forbay layer devices based on DoS type classification is proposed in this paper.While ensuring the normal operation of theequipment,the detection,protection and alarm functions of DoS attack types are realized.Engineering application and testresults show the feasibility and effectiveness of this scheme.Keywords:smart substation,bay layer,DoS attack,attack type detection,attack alarming智能变电站间隔层设备DoS攻击类型检测与告警方法52工业控制计算机2023年第36卷第2期（上接第51页）5结束语本系统以“实时”“可视”“可听”“远程”“自检”作为业务核心，具备实时可控、画面清晰、语音监听和数据存储等基础服务功能。该系统能够解决在某些特定场景下，当用户无法到达、或者不便到达时，遥控器仍然能够对被控制设备所处环境进行实时监控。本遥控采用了半自动化的检测方式，对于按键、摇杆只要人工进行按压或拨动即可显示该按键是否正常，无需通过被控设备进行反馈，减少了测试的中间环节。本遥控器应用较广泛，可应用于某些危险场景中，如抵近侦察、反恐等。参考文献1邹澳，杨小舟.基于用户体验的交互设计在无线遥控器设计中的发展趋势分析J.科技创新与应用，2021，11（21）：102-1042张飞，韩超艳.基于交互设计的家庭智能遥控器设计J.工业设计，2020（6）：116-1173刘军传，张玉茹，温凯.可识别非特定人语音指令的家电遥控器设计J.单片机与嵌入式系统应用，2013，13（5）：52-554袁宪锋，周风余，王然，等.基于ARM的嵌入式移动机器人遥控器设计J.北京联合大学学报（自然科学版），2012，26（3）：26-30，345韩宝玲，张述玉，罗庆生，等.STM32的小型仿人机器人控制系统设计J.单片机与嵌入式系统应用，2016，16（1）：60-636南京沁恒微电子股份有限公司.CH32F103快速应用手册V1.0Z.南京：南京沁恒微电子股份有限公司，20207深圳市天微电子股份有限公司.TM1650_V2.0Z.深圳：深圳市天微电子股份有限公司，20208李和平.一种基于STM32的嵌入式遥控器设计J.吉首大学学报（自然科学版），2012，33（4）：66-68，75收稿日期：2022-08-092）高水线（high_pps）：如果采样周期内分类报文的pps值大于高水线，判定当前分类报文是DoS攻击报文，使能丢包控制标识，丢弃此分类报文，避免上送网络协议栈消耗系统资源。默认情况下，该值为low_pps的125%。低水线和高水线间的这段区间作为检测裕量，避免报文pps抖动造成的误检和误告警，影响系统功能和用户体验。3）最高水线（max_pps）：如果采样周期内分类报文的pps值大于最高水线，说明当前分类报文流量对CPU、内存等资源消耗严重，需要关闭网络设备一定时间后再开启，避免大量的网络收包消耗系统资源，影响装置其他功能的正常运行。默认情况下，该值为网络设备接收最大pps的90%。以ICMP Flood攻击为例，被攻击MMS网口的ICMP报文采样pps变化示意过程如图1所示。在t2之前，接收并上送所有报文；t2时刻触发高水线，使能丢包控制标识，设置ICMPFlood攻击告警状态；在t2和t3区间，接收并上送非ICMP类型的报文，丢弃ICMP报文；t3时刻触发最高水线；在t3和t4区间，只在定期打开的采样窗口内接收并上送非ICMP类型的报文，其他时间内关闭网口不接收任何报文；t4时刻ICMP pps回落再次触发高水线；在t4和t6区间，接收所有报文，上送非ICMP类型的报文，丢弃ICMP报文；t6时刻ICMP pps回落到低水线之下，清除丢包控制标识；在t6之后，所有报文接收并上送，MMS网口工作恢复正常。图1ICMP Flood攻击pps示意图分类报文的丢包控制标识符在每个采样周期内更新，用于控制所接收到的分类报文是上送网络协议栈还是丢弃。当分类报文的丢包控制标识符使能时，同时设置DoS攻击类型的告警状态，此告警状态在用户读取时自动清除。DoS攻击类型告警状态的读清设计，保证在任何场景下，如低速DoS攻击6时，告警状态不会因为没有及时查询而丢失和漏报。4工程应用本方案应用于新一代的继电保护、测控、向量测量等多种智能变电站间隔层设备的研制。方案运行环境是1.2 GHz主频的四核ARM处理器和Linux操作系统的自研嵌入式平台。基于性能考虑，DoS攻击的类型检测、防护和告警等功能模块都实现在Linux内核态，通过钩子函数注册到Linux内核网络协议栈的数据链路层之上。网络设备驱动接收到报文之后，报文首先送入本方案功能模块进行采样和检测，根据检测结果，采取上送Linux内核网络层、丢弃或关闭网口等处理。不同功能的间隔层设备的硬件和业务的差异性较大，基于通用性考虑，本功能模块提供控制和配置功能，用户可以通过配置接口，对目标以太网口的每个DoS攻击类型的使能控制、3档pps水线值、采样周期、网络设备关闭时长等参数进行动态修改和调参。同时，为了满足DoS攻击告警需求，提供了DoS攻击类型的查询接口，查询接口支持多种常见DoS攻击类型。5结束语本文提供了一种基于DoS攻击类型分类的间隔层设备DoS攻击类型检测、防护和告警方案。采用本方案研制的多种间隔层设备，进行了多家检测机构的抗拒绝服务检测和现场试运行测试。测试结果表明本方案能够满足智能变电站间隔层设备的抗拒绝服务攻击等网络安全要求。参考文献1李孟超，王允平，李献伟，等.智能变电站及技术特点分析J.电力系统保护与控制，2010（18）：59-622王轶楠，林彦君，李焕，等.DoS攻击下电力网络控制系统脆弱性分析及防御J.控制与决策，2017，32（3）：411-4183丁修玲，张延旭，蔡泽祥，等.基于报文解析的变电站过程层网络信息流异常保护方法J.电力系统保护与控制，