[发明专利]一种变电站内漏洞的挖掘系统

说明书

本发明公开了一种变电站内漏洞的挖掘系统，包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块。本发明能够有效解决现有工控设备漏洞挖掘对变电站漏洞针对性不强的问题。

技术领域

本发明涉及一种变电站内漏洞的挖掘系统。

背景技术

变电站配置语言SCL是IEC61850采用的变电站专用描述语言。它采用可扩展的标记语言清楚地描述变电站IED设备、变电站系统和变电站网络通信拓扑结构的配置。SCL配置文件包含5个元素，分别是Header、Substation、IED、Communication和DataTypeTemplates，其中Communication元素定义逻辑节点之间通过逻辑总线和IED接入点之间的联系方式；IED元素描述所有IED的信息，如接入点、逻辑装置、逻辑节点、数据对象和所具备的通信服务能力；DataTypeTemplates详细定义了在文件中出现的逻辑节点实例类型以及逻辑节点所包含的数据对象与数据属性等。

整个变电站不同设备直接的通信全部由SCL配置文件定义，该文件定义通信参加的双方、通信方式、通信内容。一般来说正常的IED设备均按照预先定义好的配置进行通信，目前并未监测变电站中所有IED设备是否存在除定义以外的通信方式、通信内容，以及是否存在超过定义之外的数据对象和数据属性。而如果特定IED设备存在超越定义之外的通信方式、通信内容、数据对象、数据属性，极容易形成变电站内工控设备漏洞，从而影响变电站安全运行。

现有技术方法中，针对变电站工控安全较多是基于公开的设备漏洞库、系统模型库开展变电站工控安全漏洞扫描，主要以厂商、设备类型、设备固件、公开操作系统/软件漏洞等为主，目前缺乏对变电站内IED设备之间通信是否完全符合预先定义、IED设备是否由未被使用的隐藏通信、IED设备是否有不应当对外提供的数据对象、数据属性等进行分析从而发现IED设备在变电站内潜在风险的方法和技术。

发明内容

本发明的目的是提供一种变电站内漏洞的挖掘系统，解决现有技术方法中，针对变电站工控安全较多是基于公开的设备漏洞库、系统模型库开展变电站工控安全漏洞扫描，主要以厂商、设备类型、设备固件、公开操作系统/软件漏洞等为主，目前缺乏对变电站内IED设备之间通信是否完全符合预先定义、IED设备是否由未被使用的隐藏通信、IED设备是否有不应当对外提供的数据对象、数据属性等进行分析从而发现IED设备在变电站内潜在风险的方法和技术的问题。

本发明解决其技术问题所采用的技术方案是：一种变电站内漏洞的挖掘系统，包括变电站SCL解析模块、变电站站控层实时通信采集模块、变电站通信拓扑比对模块、变电站IED漏洞挖掘模块、变电站IED漏洞挖掘分析模块、变电站整体漏洞分析模块；

变电站SCL解析模块从变电站综合自动化系统自动获取变电站SCL配置描述SCD文件，解析文件Communication节点、IED节点、DataTypeTemplates节点，提取站内IED设备提供的通信方式、IED设备提供的通信数据及属性、站内定义的IED设备间通讯方式和通信地址、协议，进而生成站内通信定义拓扑图；

变电站站控层实时通信采集模块以端口镜像方式接入变电站站控层交换机采集变电站内的实时通信数据流，经过通信要素提取、IED数据元素提取、合并、去重处理，进而生成站内实际通信拓扑图；

变电站通信拓扑比对模块比对变电站SCL解析模块生成的站内通信定义拓扑图和变电站站控层实时通信采集模块生成的站内实际通信拓扑图，从通信双方IP地址、MAC地址、通信协议、通信端口、MMS协议方法、MMS协议中数据对象、MMS协议中数据属性这几个方面进行比对，提取实际通信拓扑图中未包含在通信定义拓扑图的内容，标记为漏洞；其中IP地址、MAC地址不符合的表示为设备不符漏洞；通信协议、通信端口不符的标记为通信方式不符漏洞；其他不符的标记为未许可漏洞；