[实用新型]一种针对DNP协议的异常流量检测平台

说明书

技术领域

本实用新型涉及工业控制系统信息安全领域，特别涉及一种针对DNP协议的异常流量检测平台。

背景技术

由于DNP3.0的设计结构具有灵活性和复杂性，这些灵活性和复杂性都使得攻击者更有可能利用协议本身的规则进行欺骗型攻击如命令注入攻击。命令注入攻击是命令本身合乎协议规则，属于欺骗型攻击，一旦插入系统网络后，正常和恶意代码一并执行，导致信息泄露或者正常数据的破坏，恶意命令掌控外站和网络，最终引起系统的崩坏。如何检测具有信息安全隐患的DNP3.0协议控制系统或设备成为一个重要问题。目前，工业控制网络常用的安全防护手段主要以TCP/IP为主的以太网通信网络作为对象，提出了大量的防护和检测的解决方案，而对以DNP3.0为代表的工业现场通信协议缺乏具体的防护和检测手段。

发明内容

本实用新型的目的在于提供一种实现对电力SCADA系统和设备的DNP3.0通信的流量分析、解决电力SCADA系统信息安全的设备级检测问题、防范基于DNP3.0的信息安全攻击的针对DNP3.0协议的异常流量检测平台。

本实用新型的目的是通过以下技术方案实现的：

一种针对DNP协议的异常流量检测平台，其特征在于：包括模拟设备、DNP3.0流量记录装置、被测试设备和DNP3.0异常流量分析装置；所述模拟设备模拟无信息安全隐患且无故障的正常设备站；所述DNP3.0流量记录装置设置在模拟设备和被测试设备之间并截获由DNP3.0通信流量形成的DNP3.0报文，并且DNP3.0流量记录装置与DNP3.O异常流量分析装置通信相连；所述被测试设备通过其调试端口与DNP3.O异常流量分析装置数据相连；所述DNP3.O异常流量分析装置接收并分析截获的所有DNP3.0报文。

所述DNP3.0流量记录装置通过RS485和/或RS232形式的串口线缆与所述模拟设备和被测试设备通信相连。

所述DNP3.0流量记录装置与DNP3.O异常流量分析装置通过双绞线形式的以太网相连。

所述模拟设备为基于嵌入式技术的仿真硬件平台和/或具有实际应用功能的具体工业控制设备。例如PLC、RTU、智能仪表、HMI等。仿真硬件平台包括但不限于具有网络仿真软件（MATLAB、OPNET、NS2等）的机架式计算机。模拟设备为机柜式结构，安装2U或3U机架式计算机，部分具体工业控制设备采用DIN导轨安装。

所述被测试设备为单个工业控制设备和/或一套SCADA系统。

所述DNP3.0流量记录装置包括至少两个支持DNP3.0协议的RS232或RS485接口，部署于模拟设备和被测试设备之间实现对DNP3.0协议流量的截获和记录形成DNP3.0报文，并通过网络将DNP3.0报文发送给DNP3.0异常流量分析装置。这样DNP3.0流量记录装置具备DNP3.0报文采集和转发功能，其流量抓取的结果通过以太网传给DNP3.O异常流量分析装置用于进一步的分析。

所述被测试设备为多个工业控制设备和/或仿真设备，被测试设备和DNP3.0流量记录装置之间通过工业串口交换机相连。

带有DNP3.0异常流量分析装置的计算机搭载了DNP3.0异常流量分析系统或软件，并且具有多个以太网卡。

所述DNP3.O异常流量分析装置包括壳体和设置在壳体内并与主控制模块数据相连的DNP3.0通信模块、网络通信模块、看门狗模块、Bypass模块和存储模块和，还设置有电源模块为装置各部件供电；壳体上设置有协议信号接口、网络接口、拨码开关、运行状态灯和电源开关，协议信号接口与DNP3.0通信模块相连，网络接口与网络通信模块相连；看门狗模块监测主控制模块的运行状态，并控制管理Bypass模块和电源模块，Bypass模块还与DNP3.0通信模块相连以保证断电和/或主控制模块异常时信号正常地通过装置。

所述主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz。具备两个工业千兆位以太网接口（10、100 和 1000Mbps）和多个UART通用异步收发接口。为了保证AM3358能够正常运行，扩展了256MB的DDR存储以实时运行程序、1GB的FLASH来存储入侵检测程序和基础数据，同时还扩展了一个4GB microSD卡用于存储系统配置和异常流量特征数据。

所述DNP3.0通信模块包括至少两个RS485转换电路，DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护。两个RS485转换电路支持终端匹配和无终端匹配两种模式。