技術領域

本實用新型涉及工業控制系統信息安全領域，特別涉及一種針對DNP協議的異常流量檢測平臺。

背景技術

由于DNP3.0的設計結構具有靈活性和復雜性，這些靈活性和復雜性都使得攻擊者更有可能利用協議本身的規則進行欺騙型攻擊如命令注入攻擊。命令注入攻擊是命令本身合乎協議規則，屬于欺騙型攻擊，一旦插入系統網絡后，正常和惡意代碼一并執行，導致信息泄露或者正常數據的破壞，惡意命令掌控外站和網絡，最終引起系統的崩壞。如何檢測具有信息安全隱患的DNP3.0協議控制系統或設備成為一個重要問題。目前，工業控制網絡常用的安全防護手段主要以TCP/IP為主的以太網通信網絡作為對象，提出了大量的防護和檢測的解決方案，而對以DNP3.0為代表的工業現場通信協議缺乏具體的防護和檢測手段。

發明內容

本實用新型的目的在于提供一種實現對電力SCADA系統和設備的DNP3.0通信的流量分析、解決電力SCADA系統信息安全的設備級檢測問題、防范基于DNP3.0的信息安全攻擊的針對DNP3.0協議的異常流量檢測平臺。

本實用新型的目的是通過以下技術方案實現的：

一種針對DNP協議的異常流量檢測平臺，其特征在于：包括模擬設備、DNP3.0流量記錄裝置、被測試設備和DNP3.0異常流量分析裝置；所述模擬設備模擬無信息安全隱患且無故障的正常設備站；所述DNP3.0流量記錄裝置設置在模擬設備和被測試設備之間并截獲由DNP3.0通信流量形成的DNP3.0報文，并且DNP3.0流量記錄裝置與DNP3.O異常流量分析裝置通信相連；所述被測試設備通過其調試端口與DNP3.O異常流量分析裝置數據相連；所述DNP3.O異常流量分析裝置接收并分析截獲的所有DNP3.0報文。

所述DNP3.0流量記錄裝置通過RS485和/或RS232形式的串口線纜與所述模擬設備和被測試設備通信相連。

所述DNP3.0流量記錄裝置與DNP3.O異常流量分析裝置通過雙絞線形式的以太網相連。

所述模擬設備為基于嵌入式技術的仿真硬件平臺和/或具有實際應用功能的具體工業控制設備。例如PLC、RTU、智能儀表、HMI等。仿真硬件平臺包括但不限于具有網絡仿真軟件（MATLAB、OPNET、NS2等）的機架式計算機。模擬設備為機柜式結構，安裝2U或3U機架式計算機，部分具體工業控制設備采用DIN導軌安裝。

所述被測試設備為單個工業控制設備和/或一套SCADA系統。

所述DNP3.0流量記錄裝置包括至少兩個支持DNP3.0協議的RS232或RS485接口，部署于模擬設備和被測試設備之間實現對DNP3.0協議流量的截獲和記錄形成DNP3.0報文，并通過網絡將DNP3.0報文發送給DNP3.0異常流量分析裝置。這樣DNP3.0流量記錄裝置具備DNP3.0報文采集和轉發功能，其流量抓取的結果通過以太網傳給DNP3.O異常流量分析裝置用于進一步的分析。

所述被測試設備為多個工業控制設備和/或仿真設備，被測試設備和DNP3.0流量記錄裝置之間通過工業串口交換機相連。

帶有DNP3.0異常流量分析裝置的計算機搭載了DNP3.0異常流量分析系統或軟件，并且具有多個以太網卡。

所述DNP3.O異常流量分析裝置包括殼體和設置在殼體內并與主控制模塊數據相連的DNP3.0通信模塊、網絡通信模塊、看門狗模塊、Bypass模塊和存儲模塊和，還設置有電源模塊為裝置各部件供電；殼體上設置有協議信號接口、網絡接口、撥碼開關、運行狀態燈和電源開關，協議信號接口與DNP3.0通信模塊相連，網絡接口與網絡通信模塊相連；看門狗模塊監測主控制模塊的運行狀態，并控制管理Bypass模塊和電源模塊，Bypass模塊還與DNP3.0通信模塊相連以保證斷電和/或主控制模塊異常時信號正常地通過裝置。

所述主控制模塊為基于ARM Cortex-A8處理器的AM3358開發板，工作頻率800MHz。具備兩個工業千兆位以太網接口（10、100 和 1000Mbps）和多個UART通用異步收發接口。為了保證AM3358能夠正常運行，擴展了256MB的DDR存儲以實時運行程序、1GB的FLASH來存儲入侵檢測程序和基礎數據，同時還擴展了一個4GB microSD卡用于存儲系統配置和異常流量特征數據。

所述DNP3.0通信模塊包括至少兩個RS485轉換電路，DNP3.0通信模塊與主控制模塊之間采用光耦隔離進行保護。兩個RS485轉換電路支持終端匹配和無終端匹配兩種模式。