調度自動化系統入侵檢測技術研究

陳飛

(云南電力調度控制中心，昆明 650011)

調度自動化系統入侵檢測技術研究

陳飛

(云南電力調度控制中心，昆明 650011)

在調度自動化系統研究應用入侵檢測技術能有效發現系統潛在的信息安全隱患，保障系統安全。本文針對互聯網信息系統與調度自動化系統的差異，總結了調度自動化系統遠動通信的特點，研究了系統的通信規約，設計了系統的入侵檢測技術。

調度自動化系統；入侵檢測；模式識別；遠動規約

0 前言

調度自動化系統是電力系統監視與控制的硬件及軟件的總稱，主要包括數據采集與監控(SCADA)、自動發電控制與經濟調度控制 (AGC/ EDC)、電力系統狀態估計與安全分析 (SE/SA)和調度員模擬培訓 (DTS)等[1]。

各級電網企業按照國家和行業的要求投入了大量資源對調度自動化系統進行了信息安全防護[2]。在傳統的調度自動化系統信息安全防護當中，網絡加密、網絡隔離、訪問控制、身份鑒別、防病毒等信息安全技術得到了大量的應用[3-4]。

隨著網絡技術和信息安全技術的發展和演繹，入侵檢測技術作為一種主動防御方法受到關注[5]。目前，國內大部分信息安全廠商均推出專門的入侵檢測設備，在其防火墻產品中集成了入侵檢測模塊[6]。

在目前的調度自動化系統安全防護體系當中，入侵檢測系統作為一種重要的信息安全防護手段，主要部署在系統的數據出口。然而，傳統的入侵檢測設備主要面向互聯網信息系統，調度自動化系統作為電力企業的實時數據采集監控系統，有別于互聯網信息系統，主要表現在如下方面：

1)系統提供的服務不同。[7]。調度自動化系統由數據采集終端以及集中處理主站組成，主要為電網的運行提供數據監視及自動發電控制(AGC)、自動電壓控制 (AVC)等控制及高級應用等服務。

2)業務數據規約及格式不同。系統提供服務的差異導致業務數據規約及格式的差異，互聯網信息系統根據其提供的服務不同采用多種的數據網絡層及應用層通信規約，而調度自動化系統為專有信息系統，采用專有或私有協議較多。在電力調度自動化系統的采集通道，業務數據為遠動信息規約數據，格式遵從IEC60870或者電力企業通信標準，通信規約包括IEC-101和IEC-104等；在調度自動化系統的生產控制大區主站側內部，業務數據通信大部分采用私有協議，數據的格式自定義；在調度自動化系統的管理信息大區，服務器提供的主要為WEB服務，數據格式遵從W3C標準。

圖1 調度自動化系統業務數據示意圖

3)業務實時性要求不同。調度自動化系統屬于實時生產控制系統，生產控制大區業務數據要求為秒級或者毫秒級。相比而言，互聯網信息系統的業務實時性要求較低。

有必要針對電力調度自動化系統的通訊特點進行研究，對系統的承載的業務數據進行剖析，對電力調度自動化系統的入侵檢測技術進行設計，以保障調度自動化系統的信息安全。

1 調度自動化系統數據通信

目前，調度自動化系統在生產控制大區通過多種方式進行數據通信，主要的通信方式包括如下四種，如圖2所示。

1)調度數據網業務通道。業務數據通過調度數據網進行數據傳輸，業務數據在傳輸的過程中通過硬件化的設備進行加解密。

2)E/M(MODEM)方式模擬四線通道：業務數據通過模擬四線通道與主站側進行通信。

3)串口通道：業務數據通過串口如RS232、RS422/RS485等方式與調度自動化系統主站進行通信。

4)2M專線通道：業務數據通過2M光纖專線與調度自動化系統主站進行通信。

圖2 調度自動化系統架構

業務數據通過控制區交換機進行集中匯集，其中，串口通道接入終端服務器轉換為以太網數據進行接入；調度數據網業務通道數據經過縱向加密裝置解密還原之后進行接入。前置機和控制區交換機直接相連，對業務數據進行集中采集并轉發給系統的內部服務器。調度自動化系統在生產控制大區主站側內部主要部署的是數據庫服務器及高級應用服務器，服務器之間的內部通信采用私有協議為主。

調度自動化系統在生產控制大區進行數據采集之后，經過處理運算之后得到系統運行數據，經過數據隔離通道傳輸到管理信息大區，最終通過WEB的方式進行發布。

2 遠動通信協議分析

盡管調度自動化系統在業務數據采集及控制通道的通信方式各異，然而其通信規約大部分一致。調度自動化系統在數據采集與控制領域多數采用IEC-101規約和IEC-104規約，IEC-101采用的是串口通信協議，IEC-104采用的是以太網通信。傳輸的數據主要包括四種：系統主站下發遙控及遙調指令，變電站向上傳送遙信和遙調數據[8]。

IEC-101與IEC-104規約都可用于調度自動化系統業務通信[9]，傳統上可以認為IEC-104是IEC-101規約的以太網版本，協議棧對應關系如圖3所示[10]。

圖3 規約協議對應關系

IEC-101在物理層面通過MAC地址進行尋找，IEC-104規約在網絡層面通過IP進行尋址。IEC-101規約和IEC-104規約在應用層面類似，包括固定幀長和可變幀長類型的數據，數據格式如圖4所示[11]。

圖4 規約定義

控制域定義了保護報文不至丟失和重復傳送的控制信息，報文傳輸啟動/停止，以及傳輸連接的監視等。應用層數據中包含了應用數據類型標識、可變結構限定詞、傳輸原因、應用層公共地址與、信息體地址、信息體等業務數據[12]。

3 入侵檢測技術

入侵檢測從數據處理的流程上看，可以分為4大處理流程：數據采集、數據過濾、檢測與分析、報警與響應。

基于主機的入侵檢測系統 (HIDS：Host-Based Intrusion Detection System)的數據來源主要為系統內部的審計數據，通過這些數據分析、判斷各種異常的用戶行為及入侵事件[13]，這通常需要在系統主機上安裝入侵檢測的模塊，通過主機的入侵檢測模塊采集業務系統服務器上的數據。

基于網絡的入侵檢測系統 (NIDS：Network-Based Intrusion Detection System)的數據來源為網絡中傳輸的數據報文及相關網絡會話，這通常需要廣播式的網絡并將數據采集的端口設置為混雜模式或者采用鏡像端口的方式[14]。

調度自動化系統主要運行電網運行高級應用程序或者數據采集服務程序，出于系統可用性及安全性的考慮，服務器一般不安裝入侵檢測模塊。因此，調度自動化系統宜采用基于網絡的入侵檢測系統，通過在前置交換機以及調度自動化系統內部核心交換機上配置鏡像端口的方式實現系統的數據采集。

入侵檢測系統的核心功能是數據的入侵檢測處理。在數據的檢測分析階段，入侵檢測系統將采集到的數據包進一步組成合理的會話數據，并根據數據的特點進行分析，數據的處理流程如圖5所示。

圖5 數據處理流程

入侵檢測系統將采集到的數據包進行重組以后，對數據包進行解析，獲取數據包的IP、協議號、端口、應用層數據，并將數據包發送至入侵檢測規則庫進行規制檢查，對可疑的入侵行為進行報警。

入侵檢測算法從技術上可以分為誤用檢測和異常檢測。回歸入侵檢測技術的本質，可以將其視為數據分類的問題。數據分類技術是指通過設計分類器實現數據分類的方法，經典的模式識別算法均可以用于數據分類，如神經網絡算法、支持向量機算法、樸素貝葉斯算法、K-近鄰算法和決策樹算法等[15]。

K最近鄰分類算法是一個理論上比較成熟，復雜度較低的算法。其基本思想是：在一個樣本空間中，一個樣本屬于某個類別，如果其K個最鄰近樣本中的大多數屬于該類別[16]。調度自動化系統的入侵檢測算法可采用該種算法，通過采集到的業務數據對入侵檢測系統進行訓練，之后將訓練得的模式庫對采集到的數據進行匹配，以判斷是否有入侵的行為。

協議分析和處理是調度自動化系統可以采用的另一種入侵檢測技術，其主要對通信協議進行解析，根據數據協議中的格式或者特殊字段進行檢查，并根據數據包中的命令字段進行詳細分析以判斷是否有入侵行為，用到的技術主要包括字符串匹配和文本檢索。

字符串匹配技術通過在業務數據中查找相應數據實現入侵檢測，可用到的算法包括KMP算法，BM單模式匹配算法。文本檢索是指從一個文本信息集合中找出滿足用戶需求的文本的過程，文本檢索主要使用自然語言處理的方法實現。

4 結束語

本文主要對調度自動化系統中的入侵檢測技術進行了討論。論文首先分析了調度自動化系統與互聯網信息系統的異同，其次分析了調度自動化系統中業務的業務通信，剖析對業務的通信規約，最后對調度自動化系統的入侵檢測技術進行了研究討論。電力調度自動化系統是重要的基礎設施，入侵系統能有效的對電力通信規約進行應用層的解析及檢測，發現系統潛在的安全風險，保障系統的信息安全。

[1] 孫浩.新一代調度自動化系統的設計與實現 [D].山東：山東大學，2008.

[2] 焦偉.電力調度自動化網絡安全防護系統的研究與實現[D].北京：華北電力大學，2014.

[3] 王喜賀.電力調度自動化網絡安全與實現 [D].山東：山東大學，2009.

[4] 陳玉平.電力調度自動化二次系統安全防護初探 [J].自動化技術與應用，2009，28(8)：132-134.

[5] 隋新，楊喜權，陳棉書，等.入侵檢測系統的研究 [J].科學技術與工程，2012，12(33)：8971-8977.

[6] 工艷.網絡安全與入侵檢測技術 [J].和田師范專科學校學報，2008，28(03)：187-188.

[7] 陳文.2008-2009年中國互聯網市場發展評述 [J].電子商務，2009(4)：28-29.

[8] 張波.電網調度自動化系統的設計與實現 [D].成都：電子科技大學，2003.

[9] 屈萬一.電力系統遠動規約研究及其實現 [D].武漢：武漢大學，2004.

[10] 霍寧.遠動通信規約 (協議)的標準化研究 [D].南京：南京工業大學，2004.

[11] 馬強.基于遠動規約的電力信息傳輸系統的研究 [D].山東：山東大學，2008.

[12] 劉巖松.IEC60870-5-104規約在電力調度系統中的應用[D].山東：山東大學，2009.

[13] 張蕭木.基于主機入侵檢測系統的設計與實現 [D].山東：山東大學，2007.

[14] 陳麗麗，李衛，管曉宏，等.一種基于網絡的入侵檢測系統的研究與實現 [J].微電子學與計算機，2004(6)：129-134.

[15] 王超.計算機網絡安全中入侵檢測系統的研究與設計[D].成都：電子科技大學，2007.

[16] 仲媛.最近鄰分類的若干改進算法研究 [D].南京：南京理工大學，2012.

Research on Intrusion Detection Technology in Dispatching Automation System

CHEN Fei
(Yunnan Power Dispatching Control Center，Kunming 650011，China)

Using intrusion detection technology in the dispatching automation system is widely considered an effective way to improve the safety level of the systems which can be used to found potential security risks and ensure systems.Considered the differences between the internet information systems and dispatching automation system，this paper discussed the intrusion detection applications in SCADA systems technology for the targeted research，summarized the SCADA system communication features and analyzed the communication protocol to study the SCADA system intrusion detection technology.At last，this paper made a conclusion.

dispatching automation systems；intrusion detectio；pattern recognition；telecontrol protocol

TM76

B

1006-7345(2015)05-0020-04

2015-04-15

陳飛 (1982)，男，碩士，高級工程師，云南電力調度控制中心，主要從事方向為調度自動化系統及電力二次系統的運行維護工作 (e-mail)13908858762＠139.com。