自动化硕士学位论文：基于IEC60870-5系列协议工控系统的网络数据异常检测技术.docx

1、硕士学位论文（20 届）基于 IEC60870-5 系列协议工控系统的网 络数 据 异 常 检 测 技 术所在学院 专业班级 控制工程（网络信息安全方向）学生姓名 学号 指导教师 职称 完成日期 年 月 硕士学位论文 基于 IEC60870-5 系列协议工控系统的网络数据异常检测技术I摘 要随着工业化和信息化的融合，工业控制系统的开放性与复杂性逐步增强，所面临的网络安全风险和入侵威胁不断加深。论文为提高工控系统对网络异常数据的检测能力，研究了基于 IEC60870-5 系列协议工控系统的网络数据异常检测技术，设计了IEC60870-5 网络通信数据异常检测系统。论文所做的主要工作如下：（1）通

2、过与传统信息系统作比较，分析工控系统的主要特点。结合实例阐述目前工控系统所受到的安全威胁，介绍当前国内外在工控系统网络安全领域的研究现状。研究工业控制系统中广泛应用的 IEC60870-5-104 协议和 IEC60870-5-103 协议，并分析两种协议的脆弱性。（2）根据 IEC60870-5-104 协议和 IEC60870-5-103 协议的脆弱性分析结论，设计两种异常数据检测方法，基于异常数据分类的异常检测方法和基于报文结构的异常检测方法。将常见的异常行为进行总结归纳，并设计相应的异常检测模型。（3）以异常检测模型为核心结合数据传输时包含的关键信息，建立一套异常检测规则，内容简洁且规

3、则编写灵活。设计基于 LAMP 架构的网络通信数据异常检测系统，包括原始数据捕获模块、数据包解析模块、异常数据检测模块、数据库模块以及检测系统服务器端模块。（4）基于 TcpReplay 网络数据回放工具设计网络通信仿真软件，针对 IEC60870-5-104 协议和 IEC60870-5-103 协议中常见的异常行为，编写异常检测规则，设置数据包捕获模式。最后搭建仿真测试平台，利用网络通信仿真软件向异常检测系统所在的目的主机发送异常数据包，验证测试异常检测系统的有效性。论文最后对全文所做的工作进行总结，并对未来值得进一步研究的问题进行展望。关键词：工控网络安全、IEC60870-5 系列协议

4、、网络数据异常检测、异常数据分类、报文结构硕士学位论文 基于 IEC60870-5 系列协议工控系统的网络数据异常检测技术IIIAbstractWith the integration of industrialization and informatization, the openness and complexity of industrial control system (ICS) gradually increased, deepening facing network security risks and threats of invasion. In order to impr

5、ove the industrial control system on network anomaly data detection capability, the network data anomaly detection technology based on IEC60870-5 series protocol industrial control system is studied, IEC60870-5 network communication data anomaly detection system is designed. The main work of this pa

6、per is as follows.(1) Through comparison with the traditional information system, the main characteristics of the industrial control system are analyzed. This paper expounds the security threat of the current industrial control system, and the present research status at home and abroad is introduced

7、. IEC60870-5-104 protocol and IEC60870-5-103 protocol in industrial control system are introduced, and the vulnerability of the two protocols are analyzed.(2) Two anomaly detection methods are designed according to IEC60870-5-103 protocol and IEC60870-5-104 protocol vulnerability analysis conclusion

8、, the anomaly detection method for data classification of anomalies and anomaly detection method based on packet structure. The common abnormal behavior is summarized and the corresponding anomaly detection model is designed.(3) In anomaly detection model as the core and combining with key informati

9、on of the data being transmitted, establishes a set of anomaly detection rules, concise and write flexible. Anomaly detection system based on the LAMP architecture of network communication data, including the original data capture module, packet parsing module, data anomaly detection module, databas

10、e module and detection system server module is designed.(4) The network communication simulation software is designed based on the TcpReplay network data playback tool. In view of the common abnormal behavior in the IEC60870-5-104 protocol and IEC60870-5-103 protocol, the abnormal detection rules ar

11、e written, the data packet capture mode is set up. Finally, the simulation test platform is built, use the network communication simulation software to verify the effectiveness of the network anomaly data system (NADS) designed in this paper.Finally, the full text of the work done is summarized, and

12、 the next question is worth further study were discussed.Abstract 硕士学位论文IVKey Word: ICS network security, IEC60870-5 series protocol, Anomaly detection of network data,Abnormal data classification,Message structure硕士学位论文 基于 IEC60870-5 系列协议工控系统的网络数据异常检测技术V目 录摘 要 .IAbstract .III1. 绪论 .11.1 研究背景与意义.11.

13、2 工控系统的特点.31.3 国内外研究现状.51.4 论文组织架构.61.4.1 研究内容 .61.4.2 章节安排 .72. IEC60870-5 通信规约及其脆弱性分析 .92.1 IEC60870-5 系列通信规约 .92.1.1 IEC60870-5-104 协议简介 .92.1.2 IEC60870-5-103 协议简介 .102.2 IEC104 协议与 IEC103 协议的结构实现 .112.2.1 IEC60870-5-104 协议结构 .112.2.2 IEC60870-5-103 协议结构 .142.3 IEC104 协议与 IEC103 协议脆弱性分析 .172.4 本

14、章小结.183. IEC60870-5 网络数据异常检测方法和模型 .193.1IEC60870-5 异常检测方法 .193.1.1 基于异常数据分类的异常检测方法 .193.1.2 基于报文结构的异常检测方法 .203.2 网络数据异常检测模型.223.2.1 不符合规范报文异常检测模型 .233.2.2 可疑的类型标识异常检测模型 .253.2.3 可疑的传送原因异常检测模型 .303.3 本章小结.314. IEC60870-5 网络通信数据异常检测系统的设计 .334.1 系统总体设计.334.1.1Linux 操作系统 .334.1.2Apache 服务器 .34目录 硕士学位论文V

15、I4.2 基于 Libcap 的数据捕获和解析 .344.2.1 数据包捕获原理 .344.2.2 基于 Libpcap 的数据包捕获 .354.2.3 基于 Libpcap 捕获数据包的处理与解析 .384.3 异常检测模块的设计.444.3.1 异常检测规则设计 .444.3.2 异常检测程序设计 .454.4 基于 PHP 和 MySQL 的检测系统设计 .464.4.1 检测系统数据库设计 .464.4.2 检测系统服务器端设计 .484.5 本章小结.555. 基于 IEC60870-5 网络通信检测系统的仿真测试 .575.1 IEC60870-5 网络通信仿真软件设计 .575.

16、2 测试与验证.585.2.1 测试平台搭建 .585.2.2 测试与结果分析 .595.3 本章小结.616. 总结与展望 .636.1 文章总结.636.2 未来展望.63致 谢 .65参考文献 .67附 录 .71硕士学位论文 基于 IEC60870-5 系列协议工控系统的网络数据异常检测技术VII图表目录图 1.1 公开的工控系统漏洞的年度变化趋势.2图 1.2 工业控制系统市场分布情况.2图 1.3 工控系统安全时的原则性特点.4图 2.1 IEC104 协议的规约结构 .10图 2.2 ISO 模型和 EPA 模型图 .10图 2.3 应用规约数据单元 APDU 结构 .12图 2

17、.4 应用规约控制信息 APCI 结构图 .12图 2.5 应用服务数据单元 ASDU 的结构 .13图 3.1 基于异常分类的检测方法流程图.20图 3.2 IEC104 协议 I 格式待检数据链表结构 .20图 3.3 IEC103 协议待检数据链表结构 .21图 3.4 基于报文结构的异常检测方法流程图.22图 3.5 异常数据检测架构图.22图 3.6 异常检测模型结构.23图 4.1 网络通信数据异常检测系统.33图 4.2 基于 TCP/IP 协议的数据包封装 .35图 4.3 BPF 过滤器架构 .36图 4.4 Libpcap 工作流程 .36图 4.5 Libpcap 数据包

18、捕获编程步骤 .37图 4.6 网络通信报文结构图.39图 4.7 原始数据包解析过程.39图 4.8 以太网帧格式.40图 4.9 IP 报文格式 .41图 4.10 TCP 报文段格式 .42图 4.11 通信数据处理.43图 4.12 异常检测规则结构.44图 4.13 异常检测程序流程图.46图 4.14 Ubuntu 系统下异常检测系统登录界面.50图 4.15 Ubuntu 系统下异常检测系统主页界面.51图 4.16 Ubuntu 系统下数据包捕获模式设置界面.51图 4.17 Ubuntu 系统下导入异常检测规则.52图 4.18 Ubuntu 系统下手动设置异常检测规则.53

19、图表目录 硕士学位论文VIII图 4.19 Ubuntu 系统下待检数据查询界面.54图 4.20 Ubuntu 系统下异常数据查询界面.55图 5.1 IEC60870-5 网络通信仿真软件界面图 .57图 5.2 仿真测试平台结构.58图 5.3 异常数据包发送.60图 5.4 异常数据信息表.61表 1.1 信息系统与工控系统差异.3表 1.3 信息系统与工控系统的安全性对比.5表 2.1 可变长度帧格式及各字节含义.14表 2.2 控制方向报文的控制域.15表 2.3 监视方向报文的控制域.15表 2.4 ASDU 具体结构信息 .16表 2.5 固定长度帧格式及各字节含义.16表 3.1 启动字符异常的报文结构.23表 3.2 应用规约数据单元长度异常的报文结构.23表 3.3 类型标识为 0 传送原因为 0 的异常报文结构.24表 3.4 不符合规范的报文集合.24表 3.5 不符合规范报文异常检测模型.