[发明专利]基于IEC60870‑5‑104协议的SCADA网络入侵检测方法及系统

说明书

技术领域

本发明涉及工业控制系统网络信息安全技术领域，特别是涉及基于IEC60870-5-104协议的SCADA网络入侵检测方法及系统。

背景技术

监控和数据采集系统(SCADA)是以计算机为基础的生产过程控制与调度自动化系统，它可以对现场的运行设备进行监视和控制，在电力、石油、化工等关键基础设施的工业控制系统中发挥着重要作用。随着工业SCADA系统的复杂性和互连性不断增加，同时也增大了恶意网络攻击的可能性。遵循传统通信协议的工业控制网络，在设计之初对网络安全威胁的考虑往往不足。不断发展的SCADA系统可能被恶意攻击者或心怀不满的内部员工视为攻击的重点目标，在未经授权的情况下利用系统脆弱点实现非法访问和控制。这种入侵可能是一些简单或高级持续的攻击，并可能危及工业控制系统的安全稳定运行。例如：2015年12月乌克兰遭受恶意攻击导致电网发生大停电事件。国内外工业界和学术界对工控系统网络安全问题愈加重视并更加关注，SCADA系统网络信息安全问题已经成为关系电力、石油、化工等系统安全、可靠和稳定运行的工程实际问题。

目前，在电力SCADA系统中存在许多开放的国际标准。例如分布式网络协议(DNP3)，IEC60870-5系列和IEC 61850等标准。其中IEC60870-5-104(下文简称“IEC/104”)传输协议特别为基于TCP/IP的60870-5-101协议作为网络接入服务，可以实现控制中心和变电站之间的基本远动任务。

IEC/104协议已广泛应用于欧洲、中国和其他非美国家的SCADA系统。IEC/104协议在增强性能架构(EPA)模型的基础上增加了传输层和网络层，属于应用层协议。基于TCP/IP的应用层协议具有相应的端口号。IEC/104协议的标准端口号为<2404>。

IEC/104协议的应用层传输应用服务数据单元(ASDU)。因为传输接口没有定义IEC60870-5-101的应用服务数据单元的开始或停止机制，IEC/104协议定义了应用协议控制信息(APCI)用于检测ASDU的开始和结束。APCI包括起始字符(68H)、APDU的长度字段和控制字段。APCI与ASDU组合构成应用协议数据单元(APDU)。APDU的最大长度为253字节，控制字段的长度为4字节。三种类型的控制字段格式是I格式，S格式和U格式，I格式用于执行编号信息传输，S格式是编号监控函数和U格式是未编号的控制函数。

由于传统系统中有限的计算资源，以及缺乏内置的安全考虑，传统IT安全方案可能在使用IEC/104的SCADA系统中失效，目前传统工业控制SCADA系统缺乏网络安全入侵检测系统。

发明内容

发明目的：本发明的目的是提供一种能够在使用IEC/104的SCADA系统中使用的基于IEC60870-5-104协议的SCADA网络入侵检测方法及系统。

技术方案：本发明所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法，所述方法包括：

确定待检测的报文；

检测报文中是否包含异常行为，检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程，其中，基于特征的入侵检测过程为：将待检测的报文与攻击特征的规则数据库进行匹配，如果匹配，则产生相应的告警；基于模型的入侵检测过程为：建立表征特定协议预期行为的模型，如果检测的报文违背了这些模型，则产生相应的告警；

将检测发现的异常行为记录到日志文件中，并显示为告警信息。

进一步，所述确定待检测的报文包括：在线捕获网口流入的数据包或离线导入PCAP数据报文。

进一步，在所述检测报文中是否包含异常行为之前，进一步包括，对所述待检测报文进行解析和处理。

进一步，所述基于特征的入侵检测过程中，攻击特征的规则数据库包括以下检测规则：

1)控制中心的客户端与服务器之间已建立的连接被劫持或者欺骗；

2)服务器发送虚假报文，影响控制服务器以及调度人员的判断；

3)未经授权的客户端从现场设备读取信息；

4)未经授权的客户端向服务器发出询问命令；

5)未授权客户端向服务器发出遥控或者遥调命令；

6)通过发送带类型标识69H的命令，强制服务器重置进程；

7)向服务器网络发送广播请求包；

8)报文长度超过正常报文长度。

进一步，所述基于模型的入侵检测过程中，所述表征特定协议预期行为的模型包括以下几种：