摘要:本文总结分析现有电力监控系统安全威胁检测方法,提出了一种针对电力监控系统私有协议的安全威胁发现方法,在对电力监控系统涉及到的IEC61850、IEC60870-5、MODBUS-TCP等工控协议以及其他电力通信议进行深度学习的基础上,生成电力协议解析神经网络模型,实现对电力私有协议的解析、审计与针对性的安全监测,保证电网的安全稳定运行。
关键词:电力监控系统神经网络私有协议解析 威胁检测
Abstract: This paper summarizes and analyses the existing security threat detection methods of power monitoring system, and proposes a security threat detection method for private protocols of power monitoring system. On the basis of in-depth study of industrial control protocols such as IEC61850, IEC60870-5, MODBUS-TCP and other power communication protocols involved in power monitoring system, The model of analytic neural network for power protocol is established to realize the parsing, auditing and targeted safety monitoring of private power protocol, and to ensure the safe and stable operation of power grid.
Keywords: Neural Network ApplicationIn Electric Power Monitoring System;Private Protocol Dissection;Threat Detection
1引言
随着信息技术的飞速发展、国际政治经济竞争的加剧,能源、电力、通信、水利等国家关键信息基础设施面临日益严峻的网络攻击风险,2010年发生的伊朗核电站“震网”攻击事件和2015年、2016年乌克兰电网连续两次遭受攻击导致的大面积停电事件,表明网络空间的恶意攻击已成为电网安全稳定运行的现实威胁。因此,电力监控系统的网络安全直接关系着国家安全。
电力关键信息基础设施关系国计民生与社会稳定,对于该类型监控系统的安全监测,目前市面上主要采用网络流量旁路采集分析模型架构,对电力原有生产环境“零影响”,其总体方案为:基于IEC61850、IEC60870-5等通用电力应用协议流量的实时解析,采用基于协议合规性检查的威胁检测方法、基于流量统计分析的威胁检测方法和基于系统状态安全分析的威胁检测方法等,实现对电力监控系统安全威胁的监测,该方案针对于已知或则通用应用协议, 然而由于各个方面的需求,电力监控系统也应用着各种私有协议,如国网IEC103协议等。对于标准协议,由于存在对应的国际或者内部标准规范,对其应用协议的语义与语法存在明确定义,实现监测与管控相对容易;而针对私有协议,因为协议规范未知,所以先验信息未知,在学术研究中,称为先验信息匮乏或损失,根据概率论,先验信息损失,只能观测到后验概率,因为无法还原字段规格的联合概率分布,从理论上来讲,永远不可能求解字段的正确位置,更难以实现对其协议通信的安全监测。
通常应用环境下的私有协议,也是在借鉴已有协议标准的基础上,通过不同的组合形式演变而来,如国网IEC103协议,正是借鉴了国际IEC103协议和IEC104协议规范。同时,电力监控系统中,也包括其他很多特征不明显的私有通信协议,针对此类应用情况,本文提出一种针对电力私有协议的安全威胁发现方法,实现对电力私有协议的解析与针对性的安全监测。
2研究意义
本文提出一种针对电力监控系统私有协议的安全威胁发现方法,在对电网应用场景涉及到的工控协议IEC61850、IEC60870-5、MODBUS-TCP以及其他电力通信议进行深度学习的基础上,生成电力协议解析神经网络模型,实现对电力私有协议的解析、审计与针对性的安全监测,保证电网的安全稳定运行。
本文进行了如下方面的研究:
1.应用Progressive neural networks(渐进式神经网络模型)于电力私有协议的识别与解析,为电力私有协议的安全监测提供基础保障。
2.根据电力私有协议网络通信数据,生成动态电力私有协议安全监测规则,为电力私有协议安全威胁发现提供依据,大大减少纯人工创建规则导致误操作等情况的发生。
3研究内容
本文提出的针对电力监控系统私有协议的安全威胁发现方法,由电力私有协议识别与解析、电力私有协议安全监测规则建立和电力私有协议通信数据安全监测三部分组成,如下图1所示。
•电力私有协议识别与解析
神经网络(neural network)是一种模仿生物神经网络(动物的中枢神经系统,特别是大脑)的结构和功能的数学模型或计算模型,用于对函数进行估计或近似,Progressive neural networks(渐进式神经网络模型)的原理是让已经训练好的神经网络也参与到新任务网络的训练过程中,因为已经训练好的网络所具有的信息抽取的能力,可能对新的任务有一定的参考价值,如图2所示。
.png)
图1 总体设计方案
.png)
图2 Progressive neural networks模型图
由于目前电力系统中的私有协议,也是在借鉴已有协议标准的基础上,结合电力系统实际应用情况,进行定制化修改,其基本原理与已有协议相同或则类似。因此,本文提出一种基于Progressive neural networks(渐进式神经网络模型)的电力系统私有协议识别与解析的方法。核心思路就是通过对电力系统已知协议规范的识别与解析的训练,学习协议通用识别与解析方法,应用于未知的私有协议识别与解析。处理过程如下:
(1)构建一个基础协议数据分析提取网络,并且随机初始化所有连接的权重。
(2)将已知的协议通信数据应用于该网络中。
(3)网络处理这些解析并且进行学习。
(4)如果这个动作是好的,则进行奖励,否则惩罚,以拟合最佳连接权重。
(5)经过对于已知通信协议的识别与解析训练,学习私有协议的识别与解析,并提取相应的字段。期间可以搭建模拟环境,使用该私有协议的通信软件,设置针对性的通信内容,深度学习该通信数据输入与输出,对学习结果进行奖励与惩罚,提升深度学习算法的准确率。
电力私有协议识别与解析基础在于协议数据分析提取网络的建立。根据数据提取方式的不同,协议数据分析提取网络包含基础数据类型提取、复合数据类型提取、字符编码数据提取、常用编码数据提取、多类型数据组合提取和嵌套数据提取等六个部分。
基础数据类型提取
(1)位数据提取
通过对输入的字节,按照BIT位进行有序拆分, 按照BIT位输出进行提取,比如输入字节49,输出0、0、1、1、0、0、0、1等BIT位。
(2)字节整数拆分提取
对于输入单个字节,按照BIT位进行有序拆分组合,按照整数输出进行学习,比如输入字节49,输出【0,49】、【0,0,49】,【0,0,1,17】、【1,17】等多种整数序列。
(3)整数提取
对于输入单个或多个字节的整数,按照字节进行有序拆分与组合,按照整数输出进行提取。
(4)浮点数提取
对于输入浮点数,按照浮点数进行提取。
(5)字符提取
输入字节流,按照以’\0’结尾输出字符串;不判断结尾字符输出字符串。
复合数据类型提取
包括时间、实数数据类型提取。
字符编码提取
包括常用的UTF8编码提取、GBK编码提取、UNICODE编码提取等等。
常用编码规则
BASE64解码提取、ASN.1解码提取、URL解码提取、OLE通信产常用到的Unmarshalling提取等等。
多类型数据组合、嵌套提取
对数据分组,学习数据分组格式,比如IEC103通信协议中,当可变结构限定值表示连续多个数据单元时,多个信息体为连续序列,如下图3所示。
.png)
图3 IEC103应用服务数据单元结构图
在反复测试并构建基础协议数据分析提取网络后,针对性输入IEC61850和IEC60870-5以及其它已知应用协议网络数据,如数据包pcap文件和旁路镜像的网络流量等,使用该数据分析提取网络进行反复拟合并更新各种数据提取方式的权值,构建完整的协议识别与解析算法。该过程需要大量已知应用协议数据的学习,协议数据分析提取拟合程度越高,对于未知协议识别与解析的效果更好。
•电力私有协议安全监测规则建立
.png)
图4 操作指令规则
基于以上电力私有协议识别与解析方法,对电力系统中的私有协议网络流量提取相应的操作指令和数据字段。通过对操作指令数据范围进行统计分析,得出操作指令有效性配置;通过对各种操作指令的使用频率进行统计,对于使用概率极低的数据指令配置为可疑数据指令,如图4所示。
通过数据字段类型与范围统计分析,生成数据字段有效性配置策略,如对于时间字段,统计其最早时间,时间字段的范围应该在最早时间至当前时间加上时间同步合理偏差;对于数据字段通过进行线性回归分析,生成数据字段的动态阈值配置,如下图5所示。
.png)
图5 数据字段规则
•电力私有协议通信数据安全监测
基于对私有协议的解码以及对合规性的分析,可实时发现工业控制网络内的危险指令、高风险指令、无效数据、数据夹带等异常业务数据。其合规性检查方法如下:
操作指令有效性检测
根据有效数据指令配置,判断数据指令是否是协议有效,对于无效指令进行告警。
可疑操作指令检测
根据操作指令黑名单配置,对在黑名单指令中的数据指令进行告警。
数据字段有效性检测
基于数据字段有效性配置,对于无效传输数据进行告警。
数据字段阈值检测
基于数据字段动态阈值范围配置,在阈值配置之外的传输数据进行告警。
4结语。
本文在总结现有电力监控系统威胁检测方法的基础上,提出一种针对电力监控系统私有协议的安全威胁发现方法,在对电网应用场景涉及到的工控协议IEC61850、IEC60870-5、MODBUS-TCP以及其他电力通信议进行深度学习的基础上,生成电力协议解析神经网络模型,并通过电力私有协议识别与解析、安全监测规则建立以及通信数据安全监测,实现了对于电力私有协议的安全监测,突破了传统的应用协议级安全监测必须依赖于完整协议规范的限制,具有良好的适应性,大大提升了电力监控系统安全威胁监测能力,保障了电力监控系统安全稳定运行。
5参考文献
[1]胡朝辉,王方立.电力监控系统通信安全技术研究[J].电子技术应用,2017,43(03):21-24
[2]许子立,姚剑敏,郭太良.基于递进卷积神经网络的台标识别及其并行化[J].电视技术,2016,40(05):67-73
[3][1]Shao Jie,Zhao Zhicheng,Su Fei,Cai Anni.Progressive framework for deep neural networks: from linear to non-linear[J].The Journal of China Universities of Posts and Telecommunications,2016,23(06):1-7.
[4]石贵民,林宏基.基于旁路的网络流量监控模式[J].重庆理工大学学报(自然科学),2011,25(09):63-69.
[5]陈庄,黄勇,邹航.工业控制系统信息安全审计系统分析与设计[J].计算机科学,2013,40(S1):340-343.
[6]胡晨,陈凯.工业控制系统行为审计方案设计与部署[J].软件导刊,2017,16(01):120-123.
[7]冷建飞,高旭,朱嘉平.多元线性回归统计预测模型的应用[J].统计与决策,2016(07):82-85.
作者简介:
汪杰(1992-),男(汉族),湖北随州,本科,中级工程师,研究方向:调度自动化及网络安全。
钟志明(1973-),男(汉族),广东紫金,本科,高级工程师,研究方向:调度自动化及网络安全。
鲁承波(1988-),男(汉族),陕西西安,本科,无,研究方向:电力调度自动化系统。
项目名称:基于电力监控系统应用协议的信息安全风险分析预警研究及应用
项目编号:031900KK52160062
论文作者:汪杰,钟志明,鲁承波
论文发表刊物:《电力设备》2019年第19期
论文发表时间:2020/1/15
标签:协议论文; 电力论文; 数据论文; 字段论文; 指令论文; 神经网络论文; 监控系统论文; 《电力设备》2019年第19期论文;