技術領域

本發明涉及工業控制系統網絡信息安全技術領域，特別是涉及基于IEC60870-5-104協議的SCADA網絡入侵檢測方法及系統。

背景技術

監控和數據采集系統(SCADA)是以計算機為基礎的生產過程控制與調度自動化系統，它可以對現場的運行設備進行監視和控制，在電力、石油、化工等關鍵基礎設施的工業控制系統中發揮著重要作用。隨著工業SCADA系統的復雜性和互連性不斷增加，同時也增大了惡意網絡攻擊的可能性。遵循傳統通信協議的工業控制網絡，在設計之初對網絡安全威脅的考慮往往不足。不斷發展的SCADA系統可能被惡意攻擊者或心懷不滿的內部員工視為攻擊的重點目標，在未經授權的情況下利用系統脆弱點實現非法訪問和控制。這種入侵可能是一些簡單或高級持續的攻擊，并可能危及工業控制系統的安全穩定運行。例如：2015年12月烏克蘭遭受惡意攻擊導致電網發生大停電事件。國內外工業界和學術界對工控系統網絡安全問題愈加重視并更加關注，SCADA系統網絡信息安全問題已經成為關系電力、石油、化工等系統安全、可靠和穩定運行的工程實際問題。

目前，在電力SCADA系統中存在許多開放的國際標準。例如分布式網絡協議(DNP3)，IEC60870-5系列和IEC 61850等標準。其中IEC60870-5-104(下文簡稱“IEC/104”)傳輸協議特別為基于TCP/IP的60870-5-101協議作為網絡接入服務，可以實現控制中心和變電站之間的基本遠動任務。

IEC/104協議已廣泛應用于歐洲、中國和其他非美國家的SCADA系統。IEC/104協議在增強性能架構(EPA)模型的基礎上增加了傳輸層和網絡層，屬于應用層協議。基于TCP/IP的應用層協議具有相應的端口號。IEC/104協議的標準端口號為<2404>。

IEC/104協議的應用層傳輸應用服務數據單元(ASDU)。因為傳輸接口沒有定義IEC60870-5-101的應用服務數據單元的開始或停止機制，IEC/104協議定義了應用協議控制信息(APCI)用于檢測ASDU的開始和結束。APCI包括起始字符(68H)、APDU的長度字段和控制字段。APCI與ASDU組合構成應用協議數據單元(APDU)。APDU的最大長度為253字節，控制字段的長度為4字節。三種類型的控制字段格式是I格式，S格式和U格式，I格式用于執行編號信息傳輸，S格式是編號監控函數和U格式是未編號的控制函數。

由于傳統系統中有限的計算資源，以及缺乏內置的安全考慮，傳統IT安全方案可能在使用IEC/104的SCADA系統中失效，目前傳統工業控制SCADA系統缺乏網絡安全入侵檢測系統。

發明內容

發明目的：本發明的目的是提供一種能夠在使用IEC/104的SCADA系統中使用的基于IEC60870-5-104協議的SCADA網絡入侵檢測方法及系統。

技術方案：本發明所述的基于IEC60870-5-104協議的SCADA網絡入侵檢測方法，所述方法包括：

確定待檢測的報文；

檢測報文中是否包含異常行為，檢測過程包括基于特征的入侵檢測過程和基于模型的入侵檢測過程，其中，基于特征的入侵檢測過程為：將待檢測的報文與攻擊特征的規則數據庫進行匹配，如果匹配，則產生相應的告警；基于模型的入侵檢測過程為：建立表征特定協議預期行為的模型，如果檢測的報文違背了這些模型，則產生相應的告警；

將檢測發現的異常行為記錄到日志文件中，并顯示為告警信息。

進一步，所述確定待檢測的報文包括：在線捕獲網口流入的數據包或離線導入PCAP數據報文。

進一步，在所述檢測報文中是否包含異常行為之前，進一步包括，對所述待檢測報文進行解析和處理。

進一步，所述基于特征的入侵檢測過程中，攻擊特征的規則數據庫包括以下檢測規則：

1)控制中心的客戶端與服務器之間已建立的連接被劫持或者欺騙；

2)服務器發送虛假報文，影響控制服務器以及調度人員的判斷；

3)未經授權的客戶端從現場設備讀取信息；

4)未經授權的客戶端向服務器發出詢問命令；

5)未授權客戶端向服務器發出遙控或者遙調命令；

6)通過發送帶類型標識69H的命令，強制服務器重置進程；

7)向服務器網絡發送廣播請求包；

8)報文長度超過正常報文長度。

進一步，所述基于模型的入侵檢測過程中，所述表征特定協議預期行為的模型包括以下幾種：