提示:点击"电力系统自动化"↑关注本刊微信
原文发表在《电力系统自动化》2016年第40卷第17期, 欢迎品读。
温馨提醒: 进入《电力系统自动化》微信号首页, 点击右下角“微文微站”, 可分类搜索、阅读历史好文。
变电站过程层与SMV安全传输的网络攻击检测与取证设计
DOI: 10.7500/AEPS20160516001
侯连全,章坚民,金乃正,张亮, 朱玛,李勇
过程层SMV原始采样报文,是电力系统一次侧设备运行的真实反映;保护类SMV报文,直接决定了继电保护的动作行为;测控类SMV报文,是调控中心数据采集与监控系统SCADA/EMS状态估计的主要依据。
IEC 62351是IEC 第57技术委员会WG15工作组针对有关通信协议(IEC 60870-5、IEC 60870-6、IEC 61850、IEC 61970、IEC 61968系列和DNP 3)而开发的数据和通信安全标准。IEC 62351-6对IEC61850中的面向通用对象变电站事件(GOOSE)和采样测量值(SMV)提供安全机制;由于变电站对SMV传输实时性要求很高(不得超过4ms),IEC 62351建议,对于GOOSE /SMV不采用加密,而仅仅采用认证。由于符合该标准的变电站目前还处于理论研究阶段或工程实施起步阶段;继电保护自身的网络攻击防御能力也尚在理论研究阶段,目前MU(Merging Unit)往往对SMV不加任何信息安全防护措施,因此存在虚假数据注入攻击的可能性。
过程层网络攻击,主要表现为向间隔层继电保护装置、测控装置发送欺诈SMV或被篡改的SMV,其恶意企图是:
1)无故障发生,却改为故障电流;
2)有故障电流,却改为无故障发生;
3)任意修改采样值。
一旦保护类SMV报文受到恶意篡改及重放,可能引起继电保护系统误动、拒动,导致重大安全事故;测控类SMV报文受到恶意篡改及重放,可能导致SCADA/EMS做出错误甚至危险决策。
就保护类或测控类的SMV报文,已有一些初步的研究,主要在于:
1)虚假数据入侵检测算法:比基于广域采样数据模式识别、采用变电站一次网络各类短路故障计算的正常量测值和虚假数据进行概率神经网络训练,并将训练的PNNs作为入侵检测手段;如应用图论和多项式时间复杂度方法构造攻击模型,并用广义似然比检验方法来检测此攻击;如假设所有间隔均存在冗余CT/PT,当同一间隔两套以上冗余量测出现不一致时,提出了基于其他间隔CTs/PTs量测数据的融合算法,来对本间隔CTs/PTs测量值进行基于证据理论的推论,以判断本间隔是否真的出现一次故障,但也存在不确定区间,如同时在多个关键IED中扫描入侵者的足迹,通过推理算法检测IED中潜在的入侵事件,保障IED设备拥有一个安全的网络环境等。
2)认证技术及加密技术,如提出无条件安全认证码技术,但该方法,每台保护装置存储空间达到1.5 TB(1.5*1024GB),在目前条件下技术经济不可行;也有提出采取数据加密算法(DES)、公钥加密算法(RSA)、微型加密算法(TEA)等加密方法等方法,专用加密硬件也日益得到重视。
目前的虚假数据入侵检测算法,基本上都基于仿真数据模拟;许多研究没有考虑报文实时性,以及检测过程的实时性问题;这些研究无工程应用实际案例,尤其是缺乏攻击取证的工程可行方案;显然,变电站就地SMV报文信息攻击检测与取证,并积累大量实际数据,对于变电站继电保护,,均具有重大意义。因此本文认为,在变电站建立就地SMV网络攻击检测取证模块(SVDE, Sampled measured Values attack Detection and Evidence taking),并且将可疑的SMV报文报告及原报文安全地传输到调控中心,以建立起证据库,应该是工程应用的首要任务,也是本文的研究重点;由于目前间隔装置尚无SMV报文认证及网络攻击检测功能,因此探索SVDE作为间隔装置代理网关的可行性,也很有意义。
图1为所设计的变电站就地SMV网络攻击检测取证模块SVDE在变电站信息交互的位置。SVDE功能包括:
1)SVDE进行SMV就地信息攻击检测和取证。
2)作为MU和间隔装置之间的SMV代理加密网关,或代理信息安全检测网关。
图1 就地SMV网络攻击检测取证模块SVDE
图2为SVDE数据流图。变电站一次侧CT、VT采样值经过数字签名或未经过数字签名的SMV报文,由过程层交换机发送到SVDE进行数据检测。由于采样值数据对实时性要求极严格(不超过4ms),SVDE将对数据包进行如下操作:
图2 基于规范的SMV数据检测模块设计
MU发送数字签名SMV报文,则:
1)对数据包签名验证,以及数据完整性校验;如果SVDE作为MU和间隔装置之间的SMV代理认证加密网关,则通过完整性校验,则SVDE通过特定端口授权通道将数据发送给间隔装置。若未通过完整性校验,则丢弃SMV且产生告警,并将告警事件写入告警日志。
2)将通过数字签名验证的数据包文发送到SMV包过滤模块,经过SMV包解析进入基于规范的入侵检测模块。该入侵检测模块,并不承担实时检测作用,而是通过对数据报文的检测进行入侵检测取证并告警,比如DoS攻击,包序列号逻辑异常等取证工作。
3)若通过了入侵检测模块,则进行基于历史事件的数据检测。
对未通过检测的检查项目进行记录,并形成报告,向主站告警;同时存储的被侵SMV报文,将形成就地存储,等待主站调用。
MU发送未经数字签名SMV报文,则将直接进入SMV包过滤、包解析模块,进入基于规范的入侵检测模块;如果SVDE作为间隔装置的SMV预检网关,则所选择的预检项目检测总时间限定在4ms内;若预检合格,则SVDE通过特定端口授权通道将数据发送给间隔装置。对未通过检测的检查项目进行记录,并形成报告,向主站告警;同时存储的被侵SMV报文,将形成就地存储,等待主站调用。
在不影响原有变电站与调控中心传输实时数据的性能前提下,SVDE可利用变电站与调控中心间的61850MMS通道,将认证后的SMV报文,以及经过攻击检测怀疑的SMV报文及报告,通过61850 MMS上送调控中心,以形成证据库,以此:①掌握就地MU及间隔层网络状态;②复核就地继电保护行为;③与通过远动通道获取SMV进行复核校验,并且作为变电站到调控中心SMV报文是否存在欺诈或篡改攻击进行检测。
IEC61850-9-2支持3种抽象通信服务接口(ACSI)服务:
①SendMSVMessage,映射到数据链路层用于实现采样值数据帧发送;②GetMSVCBValues,映射到制造报文规范MMS用于读取采样值控制块值;③SetMSVCBValues,映射到MMS用于设置采样值控制块值。调控中心(客户端)可通过GetMSVCBValues获取SVDE(服务器)中的SMV报文;对于引起报警的SMV报文,SVDE(客户端)也可通过SetMSVCBValues实现向调控中心(服务器)写入告警报警SMV报文,实现快速取证。
基于预定义规范的安全规则检测算法,就是通过主动识别那些与预定义规范的逻辑不相符合的行为,对其进行判断。所有正确的操作行为规范加入自定义“白名单”,可通过不断训练正确行为的数据以丰富“白名单”。如果有任意一组数据行为经过训练后不符合白名单规范,则加入“黑名单”。提出SMV入侵检测关键子模块有6个,整体检测流程见图2,说明如下:
1)包解密模块:对MU经过数字签名的SMV包进行数字签名验证模块,根据加密解密规则进行数据包处理。
2)包过滤模块:由于GOOSE/SMV对实时性要求很高,GOOSE/SMV报文传输由应用层直接到数据链层,未使用UDP/TCP/IP协议,因此需要根据SMV数据包MVC起始地址的不同,过滤出SMV数据包。
3)包解析模块:剥离掉数据包外层的MAC地址协议,提取出包中的数据,并把MAC地址和包数据发送到包异常检测模块。
4)MAC地址异常检测:所有到达入侵检测模块的MAC地址都要严格遵守预定义的地址接收表,一旦出现与地址库中不匹配的MAC地址,则检测指示器rMAC设置为true,立刻告警并丢弃数据。
5)基于规范的入侵检测模块:包括主要针对引发跳闸数据、不良数据、违反逻辑、超流量阀值告警等。
6)基于历史事件的数据检测:检测目前的采样数据是否符合历史事件的触发条件,如过流、过压、短路故障等历史事件,若符合,则设置一次故障rlsft指示为true;然后检查采样数据是否符合某一次历史网络攻击数据模型,若符合,则设置历史入侵rlsit指示为true等。
最后的检测结果分类写入正常事件日志、告警日志,根据入侵数据进行异常评估指标vn计算;告警及入侵数据、异常评估指标vn将上送主站;也可进行就地告警显示。
由于整个SMV报文中最核心也是外界最想截获的信息是每个应用服务数据单元(ASDU)后半部分的DataSet域中的每个电气量前4B的数据,只要保证这部分信息的机密性,则SMV报文实质信息将不会泄露。因此为了减少加密运算耗时,只针对采用报文的关键内容进行数字签名,这样提高报文传输的实时性。
有关SM2密码体系的说明本文不再累赘介绍。本文直接采用SM2体系数字签名具体的实现过程,如图3所示。
以下对SMV报文安全传输的时间开销分析。以MU到母线间隔保护为例,如图4,SMV报文整个传输延时,记传输总延时为T,计时从MU数字签名处理时刻,直到继电保护装置从其传输栈中取走数据报文为止。
图3 SMV报文完整性和数字签名认证过程
图4 SMV报文安全传输延时
T= t1+t2+t3+t4 (1)
1)t1表示数字签名处理时间,包括SM3散列时间和SM2对散列值加密时间。以本文拟采用的华大信安SSM0901加密芯片硬件加密及数字验证为例,可查得SSM0901模块性能指标,SM3算法生成256bit散列摘要的处理速度为290Mbit/s,而MU向母线间隔保护装置发送的SMV报文总大小为113B,其中包含2个ASDU数据单元,其关键报文内容的大小为8B,因此散列一次的时间为0.00006ms。同时SM2加密一次256bit的报文耗时为0.438ms。最终MU数字签名处理时间t1=0.43806ms。
2)t2表示通信处理打包发送到SVDE数字签名验证处理之前的延时。对典型的T-1型变电站组成的星形通信网络和环形通信网络进行了仿真。图5的t从0s到20s,为OPNET软件仿真在T-1型变电站组成的星、环形通信网络中MU到SVDE的延时情况,由图可知其端到端发送延时t2分别为0.034ms,0.052ms。
图5 星、环形网络下SMV报文从MU到SVDE、
从SVDE到继电保护装置传输延时仿真
3)t3表示SVDE数字签名验证所消耗的时间,包括SM3算法散列时间和SM2算法的解密时间。由于SM3算法散列时间为0.00006ms。查SSM0901模块性能指标可知,SM2算法验证一次签名的时间为0.713ms。最终SVDE数字签名验证所消耗的时间t3=0.71306ms。
4)t4表示SVDE将验证后的SMV报文去除签名摘要部分,以原始SMV报文形式下发到继电保护装置传输时间。图5的t从20s到40s,为OPNET软件仿真在T-1型变电站组成的星、环形通信网络中SVDE到继电保护装置的延时情况,由图5可知其端到端发送延时t4分别为0.044ms,0.075ms。
因此整个星/环形SMV报文的传输总延时T分别为1.229ms和1.278ms,均满足IEC62351-6通信标准中传输延时小于4ms的要求。
SMV数据包阀值取决于采样速率。在包过滤模块,SMV数据包的MVC地址可以从01-0C-CD-04-00-00开始的,因此可以检查其MVC地址来扑获SMV数据包,记录每秒数据包的数量和其他详细的信息。在入侵检测模块,如果在1s内捕获的数据包数量大于预定义的数据包阀值,那么此异常将被写入异常日志并产生告警,作为SMV包可能遭受DoS攻击的判定依据 。SMV数据包阀值异常检测指示器rfz设置为true。
本文把SCADA/EMS中量测值状态估计算法引入到本地SVDE中,进行本地二次状态估计,符合信息的可验证性特点。
以直流潮流为基础的状态估计模型来检测不良数据检测算法如下:
z=Hx+e (2)
式中,量测矩阵Hm*n是一个常数雅克比矩阵,通常情况下传感器量测值数目m要大于状态变量数目n,即m>n。x为待估计的状态量,e为测量误差。
当状态估计结果大于阀值时,表明量测向量中含有不良数据,将量测向量中估计误差最大的变量滤除,不良数据检测状态指示器rbl设为true,重新进行状态估计,直到通过不良数据检测为止。
1)引发跳闸数据检测:主要检测包数据中是否含有引起继电保护跳闸的过压、过流等告警值。若检测到此类数据,则记入告警日志,上送变电站综自系统,以及调控主站。
2)SMV数据上送主站被篡改或伪造检测:加密方式只是降低了SMV数据从MU到继电保护装置被篡改可能性,但是SMV通过远动装置到达主站有比较长的传输路径,报文被篡改的可能性很大,同时也可能存在SMV数据伪造的可能。通过上发本地状态估计值,同时接受主站发回的状态估计值,并进行对比:①如果不配对,则表明测量原始SMV在广域网传输过程中存在数据伪造,则置上送SMV伪造指示rSVfk为true;②两值相差很大,则表明测量原始SMV在广域网传输过程中存在数据篡改可能,则置上送SMV篡改指示rSVtp为true。
3)预定义逻辑检测:数据包的发送和接收顺序是符合一定的逻辑规范(比如数据包的序列号大小)的,对于不符合逻辑的数据包一旦检测到,就将之丢弃,并设置逻辑检测指示rlj为true,进行告警。
4)数据流量阀值异常:数据经过解析模块进入入侵检测模块的速率是有一个预定义阀值;对于那些一直超过阀值的包,就有理由怀疑此MAC地址遭受到了DoS攻击或者网络风暴攻击。
本文设置了:①数字签名验证未通过rgj;②不良数据rbl;③逻辑检测未通过rlj;④阀值异常rfz;⑤历史一次故障相似rlsft;⑥历史网络攻击相似rlsit;⑦上送SMV伪造rSVfk;⑧上送SMV篡改rSVtp;⑨MAC地址异常rMAC等9种异常指示器,并对其进行累计计数,用于过程层网络攻击的检测状态在线监控和历史统计。
在线异常评估指标vn可以定义如下:
vn=rgj∩rbl∩rlj∩rfz∩rlsft∩rlsit∩rSVfk∩rSVtp∩rMAC
(3)
如果有某一项检测结果异常,状态指示器值为true,异常评估指标vn值为1,表示入侵检测模块存在异常入侵事件,智能装置SVDE向站控主站、调控主站及自身外接LED显示屏幕产生告警提示。如果异常评估指标vn值为0,则表示原始报文无异常入侵。
本文提出了在间隔层部署SMV网络安全检测模块以及相应的检测取证策略:
1)设计了MAC地址异常、SMV不良数据、数据包逻辑检测、数据流量阀值异常、一次故障相似、网络攻击相似、上送SMV伪造、上送SMV篡改等9种异常状态指示器,可方便快速定位攻击形式以及可能的攻击位置,以便快速告知调度侧运行监控人员。
2)检测取证策略完全独立于现有间隔装置,减少对现有继电保护、测控装置的影响,并且借助于现有站控子站如保信子站、ERTU的MMS通道,大大降低了现有变电站网络及装置的耦合,且可复用现有变电站智能设备与网络系统。
鉴于目前间隔装置尚无SMV报文认证加密及网络攻击检测功能,探索了SVDE作为间隔装置代理加密网关或代理检测的可行性;提出了只对SMV报文关键电气量值进行散列加密签名的轻量级加密算法,对提出的硬件加密芯片加密及数字验证进行了时间定量计算以及OPNET仿真验证;仿真结果满足了IEC62351通信体系标准中的对SMV报文传输延时小于4ms的要求;以上设想需要实际开发时进行实际验证。
本文研究得到国家自然科学基金51677047、浙江省电力公司科技项目(ZBGW15-011-007-83)资助,特此感谢。
本文已申请发明专利“一种变电站过程层SMV安全传输的网络攻击检测与取证方法”以及实用新型专利“一种变电站过程层SMV安全传输的网络攻击检测与取证装置”。
侯连全,杭州电子科技大学硕士研究生,主要研究方向:智能电力系统控制与优化。
章坚民,杭州电子科技大学自动化学院教授,校学位委员会委员,智能电网信息工程实验室主任;电气学科建设负责人(2011-2015);浙江省电力学会理事。研究方向包括智能电网建模与优化运行;智能变电站技术;智能电网态势感知与态势可视化;智能电网信息安全等。获省部级二等奖、三等奖4次。发表论文百余篇,其中SCI/EI收录40余篇。
金乃正,浙江绍兴供电公司高级工程师,智能变电站创新团队负责人,长期从事电力系统继电保护和智能变电站技术研究,获多项电力科技进步奖和发明、实用专利,发表多篇技术论文。
张亮,浙江绍兴供电公司副总经理、总工程师,高级工程师,长期从事电力系统技术研究,曾多次承担国家电网公司、浙江省电力公司的重点科技项目,并获得多项电力科技进步奖和发明、实用新型专利,在国内著名刊物中发表过多篇技术论文。
朱玛,硕士,浙江绍兴供电公司高级工程师,智能变电站创新团队核心成员,长期从事电力系统继电保护和智能变电站技术研究,获多项电力科技进步奖和发明、实用新型专利。
李勇,硕士,浙江绍兴供电公司工程师,智能变电站创新团队核心成员,长期从事电力系统继电保护和智能变电站技术研究。
杭州电子科技大学是浙江省重点建设五所大学之一。其电气工程学科拥有教授13名,副教授12名,讲师10名,主要分布在电机与电器、电力电子与电力拖动、电力系统以及自动化三个领域;电气工程及其自动化本科专业为浙江省“十二五”优势专业和浙江省重点建设专业;拥有中日国际合作光伏发电微电网实验室、电力系统仿真实验室、智能电网信息工程实验室、电力电子与微电网并网技术实验室等;近五年,共承接国家级项目13项、省部级项目22项、横向项目61项,研究总经费达到2500万元;发表SCI论文30余篇、EI收录论文100余篇。作者所在自动化学院的“控制科学与工程”学科为浙江省重中之重一级学科和博士点。在“控制科学与工程”一级学科下设立“新能源电力与控制”博士点和学术硕士点。
国网浙江省电力公司绍兴供电公司智能变电站创新团队,在智能变电站创新方面取得了丰硕成果,近三年获浙江省电力公司科技进步奖项10项,其中一等奖2项,二等奖4项,三等奖4项,获专利十多项。具有丰富的智能变电站建设与运行经验,在智能变电站建设方面进行了大量的探索和创新:2008年建成全国首座基于GOOSE跳闸的宣家变;2010自主设计施工,建成了全国高智能化水平的大侣变;2011年建成全省首座采用直采直跳方式的道墟变。
声明:本文为原创文章,所涉文字及图片版权均属电力系统自动化杂志社所有,根据国家版权局最新规定,纸媒、网站、微博、微信公众号转载、摘编我社的作品,务请提前联系我社。个人请按本微信原文转发、分享。
点击左下方“阅读原文”获取原文摘要