1、本科毕业论文(20 届)IEC60870-5 协议脆弱性分析与网络数据解析软件研制所在学院 专业班级 智能电网信息工程 学生姓名 学号 指导教师 职称 完成日期 年 月 - 2 -声 明我声明,本毕业设计说明书及其研究工作和所取得的成果是本人在导师的指导下独立完成的。研究过程中利用的所有资料均已在参考文献中列出,其他人员或机构对本毕业设计工作做出的贡献也已在致谢部分说明。本毕业设计说明书不涉及任何秘密,南京理工大学有权保存其电子和纸质文档,可以借阅或网上公布其部分或全部内容,可以向有关部门或机构送交并授权保存、借阅或网上公布其部分或全部内容。学生签名:年 月 日 指导教师签名:年 月 日- 3
2、 -毕 业 设 计 说 明 书 中 文 摘 要随着工业化和信息化的融合,工业控制系统的开放性与复杂性逐步增强,所面临的网络安全风险和入侵威胁不断加深。论文为提高工控系统对网络异常数据的检测能力,研究了基于 IEC60870-5 系列协议工控系统的网络数据异常检测技术,设计了 IEC60870-5 网络通信数据监测系统。论文所开展主要工作如下:(1)通过与传统信息系统作比较,分析工控系统的主要特点。结合实例阐述目前工控系统所受到的安全威胁,介绍当前国内外在工控系统网络安全领域的研究现状。研究工业控制系统中广泛应用的 IEC60870-5-104 协议和 IEC60870-5-103 协议,并分析
3、这两种协议的网络安全方面的脆弱性。(2)搭建了基于 LAMP 架构的网络通信数据在线监测系统,该系统包括原始数据捕获模块、数据包解析模块、数据库模块以及检测系统服务器端模块,重点对数据包解析模块的设计进行了阐述。(3)基于 TcpReplay 网络数据回放工具开发了一款网络通信仿真软件,为实现异常检测的功能搭建了搭建仿真测试平台,为下一步的研究奠定了基础。论文最后对全文所做的工作进行总结,并对未来值得进一步研究的问题进行展望。关键词:工控网络安全 IEC60870-5 系列协议 网络数据异常检测 异常数据分类 报文结构- 4 -毕 业 设 计 说 明 书 外 文 摘 要Title Vulner
4、ability analysis of IEC60870-5 protocol and development of network data analysis software AbstractWith the integration of industrialization and informatization, the openness and complexity of industrial control system (ICS) gradually increased, deepening facing network security risks and threats of
5、invasion. In order to improve the industrial control system on network anomaly data detection capability, the network data anomaly detection technology based on IEC60870-5 series protocol industrial control system is studied, IEC60870-5 network communication data anomaly detection system is designed
6、. The main work of this paper is as follows.(1) Through comparison with the traditional information system, the main characteristics of the industrial control system are analyzed. This paper expounds the security threat of the current industrial control system, and the present research status at hom
7、e and abroad is introduced. IEC60870-5-104 protocol and IEC60870-5-103 protocol in industrial control system are introduced, and the vulnerability of the two protocols are analyzed.(2) In anomaly detection model as the core and combining with key information of the data being transmitted, establishe
8、s a set of anomaly detection rules, concise and write flexible. Anomaly detection system based on the LAMP architecture of network communication data, including the original data capture module, packet parsing module, data anomaly detection module, database module and detection system server module
9、is designed.(3) The network communication simulation software is designed based on the TcpReplay network data playback tool. In view of the common abnormal behavior in the IEC60870-5-104 protocol and IEC60870-5-103 protocol, the - 5 -abnormal detection rules are written, the data packet capture mode
10、 is set up. Finally, the simulation test platform is built, use the network communication simulation software to verify the effectiveness of the network anomaly data system (NADS) designed in this paper.Finally, the full text of the work done is summarized, and the next question is worth further stu
11、dy were discussed.Keywords ICS network security IEC60870-5 series protocol Anomaly detection of network data Abnormal data classification Message structure本 科 毕 业 设 计 说 明 书 第 I 页 - I -目 次本 科 毕 业 设 计 说 明 书 第 2 页 21 引言1.1 研究背景与意义工业控制系统 1(ICS,Industrial Control System) ,广泛应用于电力 2,3、水利 4、能源 5,6等关系到国家安全的
12、重要行业领域。工控系统以其通信协议的专一性和系统的相对封闭性 7使得攻击者很难入侵。随着工业化和信息化的不断交叉融合,越来越多的信息技术应用到了工业控制领域,工控系统与外界进行数据交换更加频繁,使得工控系统面临更多的安全问题。近些年来发生了一系列的工控系统安全事件,如 2010 年的“震网”病毒 8,9事件,此病毒是首个针对工控系统的蠕虫病毒,利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA) ,向可编程逻辑控制器(PLC)写入代码并将代码隐藏。通过使离心机骤停的方式来破坏离心机,同时获取涡轮机的控制权限,改变控制参数,最后破坏涡轮机
13、。它是已知的第一个包含 PLC rootkit 的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。病毒成功入侵并破坏了伊朗布什尔核电站核设施;发生在 2011 年的 Duqu 病毒 10,这种病毒是Stuxnet 病毒的一种变种,大量重用了 Stuxnet 的代码,利用微软的零日漏洞 MS11-087并伪装 C-Media 公司的数字签名逃避安全工具检测,在入侵工控系统后便窃取与攻击目标相关的各种情报,并将收集到的信息通过加密处理成图片的形式返回给攻击者。此病毒的攻击目标主要为中东及欧洲国家的一些能源行业;发生在 2012 年的 Flame 病毒 11,12,它是一种综合渗透扩散、预
14、留后门、信息窃取等功能的间谍软件,它可以创建屏幕快照截取屏幕信息,通过声音采集设备,窃取语音信息,获取键盘记录、网络数据等,通过 SSH 和 HTTPS 建立安全连接,采用五种加密算法对窃取的数据进行加密,采用三种压缩技术对窃取的数据进行压缩,以躲过病毒检测软件。最终病毒在中东国家的爆发导致伊朗及其他中东国家的机密信息遭到泄露。以及去年 12 月,乌克兰的电力系统曾多次陷入瘫痪,导致出现大规模停电现象。当安全行业专家对事故原因进行排查时,他们发现是黑客网络攻击所致。罪魁祸首就是一种叫 Black Enery 的恶意软件攻击方式,黑客利用它入侵了乌克兰的电力系统。Black Energy 恶意软
15、件攻击对于SCADA(Supervisory Control And Data Acquisition)数据采集与监视控制系统。它是以本 科 毕 业 设 计 说 明 书 第 3 页 3计算机为基础的 DCS 与电力自动化监控系统;它应用领域很广,可以应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域)系统来说,是一个巨大的威胁。因为黑客对其进行了更新,其中包括 Kill Disk 组件的最新变体,它能够抹去硬盘上的相关信息,让黑客能够轻易地控制 SCADA 系统的运行。根据美国 CVE ICS-CERT13以及中国国家信息安全漏洞共享平台所发布的漏洞信息,
16、总结的公开漏洞总体变化趋势如图 1.1 所示。图 Error! No text of specified style in document.1 公开的工控系统漏洞的年度变化趋势在 2011 年之前,公开披露的工业控制系统相关漏洞数量相当少,但在 2011 年出现快速增长,主要是由于 2010 年的“震网”蠕虫病毒事件之后,人们对于工业控制系统安全问题持续关注以及工业控制系统厂商分析解决历史遗留问题所造成的。随着各方面对工业控制系统安全的日益重视,工业控制系统的相关漏洞数量仍然保持一个增长的总体趋势。目前我国的 ICS 市场规模约为 100 亿元,但由于各个行业对 ICS 的要求不同,因此发展
17、也完全不同。其中,在电力行业中 ICS 应用最为广泛,约占整个 ICS 市场的半壁江山 14,如图 1.2 所示,电力系统中,变电站自动化约占到 ICS 市场的 40%,是 ICS最大的应用领域。本 科 毕 业 设 计 说 明 书 第 4 页 4制 造 业 , 12%油 气 管 线 8市 政 , 30% 其 他 , 50%调 度 自 动 化 , 10% 变 电 站 自 动 化 , 40%制 造 业 油 气 管 线 市 政 调 度 自 动 化 变 电 站 自 动 化图 Error! No text of specified style in document.2 工业控制系统市场分布情况电力系统
18、中常用的几种通信协议有 ModbusTcp15,16、DNP3 17,18、IEC60870-5 系列等,其中 IEC60870-5 系列远动通信规约在变电站自动化以及调度自动化方面应用比较成熟也比较广泛。综上所述,随着计算机技术在工控系统中的广泛应用,工控系统原有的封闭性已经被打破,工控系统的网络安全面临非常严峻的考验。因此分析工控系统的安全问题,加强工控网络的入侵防御显得尤其重要,也成为国家基础设施和关键领域安全的重大命题。基于当前背景下,必须通过大量研究分析入侵工控网络的异常数据,建立完善的工控网络安全防护体系,从而保障工控系统以及国家关键基础设施的安全。1.2 电力系统网电安全威胁调研
19、现状电力系统是由网络、设备、数据等要素构成,每个要素都有各种可能被攻击的弱点。网络线路可能会被窃听;网络连接设备、操作、应用系统在系统设计、协议设计以及配置等环节存在着安全弱点和漏洞。每时每刻都有新的安全漏洞公布在网上,每天都有系统受到攻击和黑客入侵。攻击者的手段越来越多,面对一个复杂且繁琐性日益增长的网络环境进行安全分析,动态、发展认识安全威胁是重要前提。深刻了解电力系统的网络进程发展和应用实际现状,结合对其网络软硬件设备的基础和原理的专业分析,才能深入了解影响电力系统潜在的威胁与隐患,才能制定出一整套完整且科学的网络安全体系,从根本上解决电力系统的网电安全。从目前的企业网络使用情况来看,主
20、要存在以下几种安全威胁:(1)病毒感染。病毒本 科 毕 业 设 计 说 明 书 第 5 页 5感染是危害面最广最严重的安全隐患,威胁着整体网络运行。 (2)黑客入侵和攻击。黑客攻击损害很大,入侵途径和攻击方式多样性与针对性,难以预防。目前防御措施主要是通过防火墙系统、入侵检测系统、网络隔离技术等防御黑客攻击,还有系统漏洞和补丁升级系统。(3)非法访问。非法用户访问企业网络时可能携带病毒或其它恶意程序,也可能删除服务器系统文件和数据以及窃取企业机密信息。防御措施除了防火墙系统、入侵检测系统和网络隔离技术外,还应注意在网络管理中引入安全机制,如对关键部门划分子网隔离保护,对重要的数据和文件进行加密
21、以及对于需要进行远程访问的用户。(4)数据破坏或遗失。网络数据对于企业来说是非常重要的。数据的备份是一切安全措施中最彻底有效,也是最后一项保护措施。1.3 国内外研究现状目前,工业控制系统的网络安全问题已经引起了世界各国的高度重视,尤其是自2010年发生的Stuxnet蠕虫病毒事件后,各国在政策标准、技术方案等方面开展了积极应对。然而由于工控系统相对封闭的使用环境,开发时侧重系统的功能实现,对安全的关注相对缺乏,使得在工控系统网络安全方面并没有太多的研究成果和实践经验,本文通过以下文献分析了当前的研究状况:文献 40设计了一种基于IEC60870-5-104远动规约的监听与测试系统,利用Soc
22、ket编程实现对控制主站与从站设备之间传输数据的检测分析,能在第一时间发出故障报警。但此系统的异常检测功能比较单一,只对数据的重复传输进行检测。并不能抵御系统面临的其他安全威胁。文献 41利用系统的正常参数建立状态矩阵,并在此基础上设计了异常检测模型。通过分析工控系统的异常行为信息,采集异常行为导致变化的参数,建立正常参数状态矩阵。进行异常检测时监测各个参数的变化情况,若超出了正常参数阈值则产生告警。该方法的适用性非常好,但在不同环境下需要设定不同的阈值,而阈值的设定直接影响了检测效果。文献 42设计了一种具有认证功能的协议,通过使用加密函数以及哈希链表对通信双方进行验证,从而可以避免攻击者伪装成主机进行攻击。这种方式虽然通过增加认证过程保证了通信双方的安全,但同时也增加了通信负担。通信双方的每次数据交换都需要进行加密认证,会对工控系统的实时性造成影响。