董一帆，熊蔭喬,2，王寶耀

(1.國(guó)防科技大學(xué) 計(jì)算機(jī)學(xué)院，湖南 長(zhǎng)沙 410073；2.長(zhǎng)沙學(xué)院 電子信息與電氣工程學(xué)院，湖南 長(zhǎng)沙 410022)

0 引 言

智能電網(wǎng)是國(guó)家基礎(chǔ)設(shè)施中最為重要的系統(tǒng)之一，也是工業(yè)生產(chǎn)、工作生活必不可少的能源供應(yīng)系統(tǒng)，同時(shí)也是將計(jì)算機(jī)網(wǎng)絡(luò)、信息基礎(chǔ)設(shè)施同現(xiàn)有電力系統(tǒng)基礎(chǔ)設(shè)施結(jié)合而成的自動(dòng)化、數(shù)字化、智能化的電網(wǎng)系統(tǒng)[1]。隨著智能變電站中各種智能設(shè)備的引入與聯(lián)網(wǎng)運(yùn)行，攻擊者可以利用信息域的傳統(tǒng)攻擊方法對(duì)智能變電站系統(tǒng)進(jìn)行攻擊，使之存在嚴(yán)重的安全威脅。傳統(tǒng)的智能變電站防御手段主要依靠?jī)?nèi)外網(wǎng)的邊界防護(hù)及物理隔離，而隨著信息域與物理域的深入融合，傳統(tǒng)的防御方式已不能滿足智能化發(fā)展的需要。因此，智能變電站的安全由原來物理域中簡(jiǎn)單的設(shè)備安全，演變成了信息域與物理域融合的復(fù)雜安全。2010年，“震網(wǎng)”(Stuxnet)病毒爆發(fā)，“毒區(qū)”(Duqu)和“火焰”(Flame)病毒也相繼出現(xiàn)，共同形成病毒攻擊群；2015年，烏克蘭電力部門遭到惡意代碼攻擊，黑客入侵監(jiān)控管理系統(tǒng)，烏克蘭超過一半的地區(qū)斷電多個(gè)小時(shí)，針對(duì)智能電網(wǎng)中核心設(shè)施變電站的攻擊方法和檢測(cè)防御技術(shù)進(jìn)行分析研究變得尤為重要。

IEC 61850是以以太網(wǎng)(IEEE 802.3)為基礎(chǔ)、面向?qū)ο蟮淖冸娬咀詣?dòng)化通信標(biāo)準(zhǔn)[2]。基于IEC 61850標(biāo)準(zhǔn)中的GOOSE(generic object oriented substation events)、SMV(sampled measured value)及MMS(manufacturing message specification)協(xié)議，對(duì)智能變電站安全威脅與防御技術(shù)進(jìn)行了分析研究。

1 IEC 61850中的主要通信服務(wù)

智能變電站網(wǎng)絡(luò)的整體架構(gòu)分為三層，分別是站控層、間隔層和過程層，如圖1所示。站控層包括自動(dòng)化系統(tǒng)、站域控制、通信系統(tǒng)、對(duì)時(shí)系統(tǒng)等；間隔層主要包括系統(tǒng)測(cè)控裝置、繼電保護(hù)裝置、監(jiān)測(cè)功能組、主IED(intelligent electronic device)等二次設(shè)備；過程層包括智能電子裝置及電壓互感裝置、變壓器、電流、斷路器、隔離開關(guān)等一次設(shè)備及其所屬的智能組件。

圖1 智能變電站的三層架構(gòu)

工作在智能變電站三層架構(gòu)中的IEC 61850提供了三種通訊模型：客戶端-服務(wù)器模型、發(fā)布者-訂閱者模型、采樣值模型。通信協(xié)議主要有三類：GOOSE、SMV、MMS。

GOOSE采用發(fā)布者-訂閱者模型，主要功能是從IED發(fā)送跳閘信號(hào)到斷路器，控制指定區(qū)域的供電，實(shí)現(xiàn)設(shè)備間信息交換。交換的信息包括狀態(tài)量、錄波圖、非實(shí)時(shí)采集量。該協(xié)議主要應(yīng)用于智能變電站中過程層與間隔層之間，采用組播技術(shù)，訂閱者不向發(fā)布者發(fā)送確認(rèn)信息。GOOSE協(xié)議數(shù)據(jù)單元大小約1 500字節(jié)，時(shí)限要求小于4 ms；GOOSE報(bào)文包含sqNum(序列號(hào))和stNum(狀態(tài)號(hào))，無(wú)事件發(fā)生時(shí)，sqNum隨著報(bào)文的發(fā)送而累加(越界重置)，stNum保持不變；事件發(fā)生時(shí)，stNum累加(越界重置)，sqNum重置。

SMV協(xié)議與GOOSE相似，同樣采用組播技術(shù)，實(shí)時(shí)性報(bào)文時(shí)限要求為4 ms，反映了智能變電站系統(tǒng)設(shè)備運(yùn)行的真實(shí)情況，是SCADA(supervisor-y control and data acquisition)與EMS(energy management system)狀態(tài)估計(jì)的主要依據(jù)。SMV提供了釆樣值模型對(duì)象及服務(wù)，包括這些模型對(duì)象本身及服務(wù)到以太網(wǎng)數(shù)據(jù)端之間的映射，協(xié)議數(shù)據(jù)單元大小約1 500字節(jié)，時(shí)限要求小于4 ms，該服務(wù)主要應(yīng)用于數(shù)字化變電站間隔層設(shè)備與過程層間的單向電流、電壓采樣值傳輸，將采樣的測(cè)量電壓和電流值從合并單元(merging unit，MU)發(fā)送到IED。

制造報(bào)文規(guī)范MMS是智能設(shè)備之間交換實(shí)時(shí)數(shù)據(jù)和監(jiān)控信息的一套獨(dú)立的國(guó)際報(bào)文規(guī)范，該標(biāo)準(zhǔn)來源于20世紀(jì)80年代的通用汽車公司。目的是為了規(guī)范智能電子設(shè)備、智能傳感器、智能控制設(shè)備的通信行為，使不同廠商的設(shè)備可互操作。在智能變電站中，MMS協(xié)議主要用于間隔層與站控層設(shè)備之間的通訊，不規(guī)定通信的網(wǎng)絡(luò)類型和通信幀的格式，而規(guī)定了通信模式和通信幀的功能，為變電站的穩(wěn)定運(yùn)行提供保證。協(xié)議數(shù)據(jù)單元大于3 000字節(jié)，無(wú)時(shí)限要求，傳輸類型為面向連接。

2 智能變電站網(wǎng)絡(luò)協(xié)議脆弱性分析

工作在智能變電站上的IEC 61850標(biāo)準(zhǔn)本身并沒有指定安全策略，也沒有強(qiáng)制使用任何身份認(rèn)證或加密技術(shù)，因而無(wú)法抵抗各種網(wǎng)絡(luò)攻擊。一旦變電站遭受攻擊，將導(dǎo)致變電站自動(dòng)化系統(tǒng)故障、斷路器執(zhí)行虛假操作、現(xiàn)場(chǎng)設(shè)備物理?yè)p壞或使整個(gè)控制區(qū)域的電力中斷。

GOOSE和SMV報(bào)文采用的組播技術(shù)使得網(wǎng)絡(luò)安全問題凸顯，如開放組員資格和可接入設(shè)備帶來的安全問題。GOOSE和SMV報(bào)文傳輸有嚴(yán)格的時(shí)限要求(4 ms)，而IED的存儲(chǔ)空間與計(jì)算能力均十分有限，因此無(wú)法采用復(fù)雜的信息技術(shù)安全手段。GOOSE報(bào)文中的stNum和sqNum均用32位無(wú)符號(hào)整數(shù)表示，取值范圍為0到232-1。攻擊者利用GOOSE的通信機(jī)制在此范圍內(nèi)偽造指定的stNum與sqNum字段，使后續(xù)GOOSE報(bào)文被丟棄，造成嚴(yán)重后果。

目前合并單元在使用SMV報(bào)文處理的過程中沒有任何信息安全防護(hù)手段，類似虛假數(shù)據(jù)注入的攻擊方法將產(chǎn)生嚴(yán)重的威脅。起保護(hù)作用的SMV報(bào)文容易遭受惡意篡改，將引起繼電保護(hù)系統(tǒng)錯(cuò)誤響應(yīng)甚至拒絕響應(yīng)，導(dǎo)致嚴(yán)重后果；起測(cè)控作用的SMV報(bào)文，是SCADA與EMS進(jìn)行系統(tǒng)狀態(tài)估計(jì)的重要參考，若遭受惡意篡改，將導(dǎo)致SCADA/EMS做出錯(cuò)誤乃至危險(xiǎn)的決策。

MMS是智能變電站中使用廣泛的通訊服務(wù)協(xié)議。雖然MMS存在認(rèn)證和訪問控制機(jī)制，但它工作在TCP/IP上，后者對(duì)于中間人攻擊是脆弱的，使得MMS對(duì)中間人攻擊同樣脆弱。此外，MMS沒有加密，也沒有校驗(yàn)和字段，即使存在校驗(yàn)和字段，攻擊者依然可以使用中間人攻擊方法實(shí)現(xiàn)對(duì)所有數(shù)據(jù)包的讀取，也可以通過未加密的數(shù)據(jù)包讀取相關(guān)信息并偽造校驗(yàn)字段來實(shí)施攻擊。因此MMS十分脆弱，安全性無(wú)法保證。

綜上，組播的通信機(jī)制、報(bào)文的明文傳輸、無(wú)安全的認(rèn)證機(jī)制等，使得智能變電站在大部分的網(wǎng)絡(luò)攻擊下是十分脆弱的。

3 攻擊方法分析

作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的智能變電站已經(jīng)成為惡意攻擊的主要目標(biāo)，攻擊可以來自智能變電站的外部和內(nèi)部，如圖2所示[3]。攻擊者可以從遠(yuǎn)程接入點(diǎn)A1或者控制中心A2發(fā)起外部攻擊，突破防火墻并攻入智能變電站網(wǎng)絡(luò)A3后，其所有設(shè)備都暴露在攻擊者面前；攻擊者也可以直接從智能變電站網(wǎng)絡(luò)A3和用戶接口A4發(fā)起內(nèi)部攻擊，進(jìn)而控制網(wǎng)絡(luò)中的其他設(shè)施。

圖2 變電站網(wǎng)絡(luò)入侵點(diǎn)

3.1 針對(duì)GOOSE協(xié)議的攻擊

一個(gè)有效的GOOSE報(bào)文的欺騙攻擊分為四個(gè)步驟[4]，第一步監(jiān)視以太網(wǎng)報(bào)文，通過截獲以以太網(wǎng)幀的協(xié)議類型字段為0X88B8識(shí)別出的GOOSE報(bào)文，得到報(bào)文的時(shí)間間隔；第二步使用ASN.1編碼方式對(duì)GOOSE報(bào)文解碼；第三步更改數(shù)據(jù)集中的值如翻轉(zhuǎn)報(bào)文中控制量相關(guān)的布爾值，并保持stNum和sqNum序列性質(zhì)；第四步，使用BER(basic encoding rules)編碼數(shù)據(jù)包，并通過克隆源MAC地址的物理端口在觀察到的時(shí)間間隔內(nèi)插入欺騙報(bào)文，完成一次欺騙攻擊。圖3展示了攻擊者在每個(gè)有效報(bào)文之間插入欺騙數(shù)據(jù)包的時(shí)間與方法[4]。其中T0指穩(wěn)定狀態(tài)(長(zhǎng)時(shí)間沒有事件產(chǎn)生)下的報(bào)文發(fā)送間隔，T1指事件發(fā)生后的最短重傳時(shí)間間隔，T2、T3指重傳時(shí)間間隔遞增直到到達(dá)穩(wěn)定狀態(tài)，攻擊者在T0時(shí)間段內(nèi)插入錯(cuò)誤的二層數(shù)據(jù)包。

圖3 GOOSE攻擊原理

3.2 針對(duì)SMV協(xié)議的攻擊

針對(duì)SMV報(bào)文的攻擊與針對(duì)GOOSE的攻擊相似，因此大多數(shù)研究均將針對(duì)這兩類報(bào)文協(xié)議的攻擊放在一起進(jìn)行研究。

第一種攻擊方式是Hong等[5]提出的基于GOOSE和SMV的欺騙攻擊，這種攻擊方式是攻擊者修改捕獲的網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容，用于對(duì)IED設(shè)備的破壞。隨后Hong等[3]進(jìn)一步擴(kuò)展了這種攻擊方法，通過惡意軟件實(shí)現(xiàn)捕獲、更改并重新向網(wǎng)絡(luò)中注入虛假報(bào)文實(shí)施攻擊。第二種攻擊方法是發(fā)送大量的SMV消息報(bào)文“淹沒”IED設(shè)備，阻止IED服務(wù)于合法的SMV消息[5]。當(dāng)然，這種方式即Dos攻擊，也可以用于GOOSE報(bào)文的攻擊。對(duì)于SMV數(shù)據(jù)包，攻擊者可以產(chǎn)生一個(gè)模擬值(電流或電壓值)，并將該值發(fā)送到變電站中的控制中心，產(chǎn)生惡意操作，這種攻擊將使攻擊者能夠獲得對(duì)IED的控制，并引起計(jì)劃外停電甚至損壞變電站現(xiàn)場(chǎng)設(shè)備。還有一種攻擊方式是重放攻擊，攻擊者可以捕獲包含電壓值的SMV數(shù)據(jù)包，然后將該相同的SMV數(shù)據(jù)包重放到變電站中的IED，導(dǎo)致IED無(wú)法收到正確的采樣值。

3.3 針對(duì)MMS協(xié)議的攻擊

由于MMS的操作基于TCP/IP協(xié)議，而后者非常容易受到中間人攻擊，且MMS協(xié)議報(bào)文沒有加密，所以MMS也面臨中間人攻擊威脅。如通過ARP欺騙，攻擊者可以對(duì)智能變電站設(shè)備的MMS通信發(fā)起中間人攻擊，攻擊位置位于網(wǎng)關(guān)與SCADA系統(tǒng)之間，攻擊者在交換機(jī)位置切斷SCADA系統(tǒng)與物理設(shè)備的通信，偽造身份來進(jìn)行中間人攻擊。

Kang等[6]提到了針對(duì)MMS的中間人攻擊有4種類型：竊聽、修改、注入和DOS攻擊。竊聽指攻擊者可以通過竊聽來收集更多的機(jī)密信息，比如攻擊者可以觀察兩臺(tái)設(shè)備之間的所有流量，并通過解碼MMS報(bào)文收集設(shè)備信息，這樣就可以在應(yīng)用層執(zhí)行新的攻擊。修改指攻擊者從某個(gè)設(shè)備截獲報(bào)文，修改報(bào)文并將修改后的報(bào)文發(fā)送到原目的設(shè)備。注入攻擊在設(shè)備通訊過程中進(jìn)行，由于攻擊者注入的報(bào)文會(huì)刪除或者更改目標(biāo)設(shè)備中的操作，因此會(huì)使目標(biāo)設(shè)備產(chǎn)生異常響應(yīng)。此外，注入攻擊使得TCP報(bào)頭中的序列字段和確認(rèn)字段以及MMS報(bào)文中調(diào)用的ID字段產(chǎn)生變化，設(shè)備之間的通信會(huì)被終止或者重置。基于中間人攻擊的Dos攻擊分為兩種，一種是攻擊者丟棄中間人攻擊的轉(zhuǎn)發(fā)步驟，阻止所有報(bào)文到達(dá)原目的地址。第二種方式是攻擊者將報(bào)文中的數(shù)據(jù)進(jìn)行修改，使得設(shè)備獲得錯(cuò)誤的數(shù)據(jù)，而無(wú)法提供應(yīng)有的服務(wù)。

3.4 典型攻擊方法比較

上述三種協(xié)議的攻擊方法主要從協(xié)議的運(yùn)行機(jī)制和漏洞入手，破壞了智能變電站網(wǎng)絡(luò)系統(tǒng)的可靠性、可用性、保密性、完整性、不可抵賴性、可控性，綜合比較如表1所示。

表1 典型攻擊方法比較

除此之外，從信息域與物理域的融合來看，針對(duì)智能變電站構(gòu)成的整個(gè)系統(tǒng)的攻擊威脅可以分為四類[8]：第一類是針對(duì)信息域的攻擊，威脅信息的真實(shí)性、完整性和可用性；第二類指信息域到物理域的攻擊，通過信息域滲透進(jìn)入智能變電站的網(wǎng)絡(luò)設(shè)備及電氣設(shè)備，造成物理域的實(shí)質(zhì)破壞；第三類是物理域到物理域的攻擊，通過對(duì)物理域中的某臺(tái)設(shè)備的攻擊使相關(guān)物理設(shè)備產(chǎn)生異常；第四類是物理域到信息域的攻擊，通過對(duì)物理參數(shù)的篡改誤導(dǎo)信息域中的相關(guān)信息服務(wù)。

4 攻擊檢測(cè)與防御技術(shù)

4.1 檢測(cè)技術(shù)

現(xiàn)有的IDS不能有效檢測(cè)針對(duì)GOOSE和SMV協(xié)議最常見的欺騙攻擊和重放攻擊，因此Da Silva等[9]提出了一種基于異常檢測(cè)的方法來檢測(cè)欺騙攻擊，通過觀察智能變電站系統(tǒng)中的正常操作，將違反正常的任何操作都?xì)w類為入侵來抽取GOOSE消息的特征，用以對(duì)欺騙攻擊進(jìn)行識(shí)別。針對(duì)GOOSE和SMV報(bào)文的攻擊行為，Hong等[3]提出了智能變電站組播報(bào)文異常檢測(cè)模型(SMMAD)，由三部分組成，分別是包分類模塊、異常檢測(cè)模塊和評(píng)估模塊，通過預(yù)先定義的重傳規(guī)則估算出限定時(shí)間內(nèi)的GOOSE報(bào)文數(shù)量作為閾值，當(dāng)捕獲到的單位時(shí)間內(nèi)的報(bào)文數(shù)量大于閾值，說明極有可能發(fā)生了注入攻擊或Dos攻擊，SMV異常檢測(cè)與其相似。

Sheng等[10]提出了一種虛假數(shù)據(jù)檢測(cè)算法，利用智能變電站網(wǎng)絡(luò)中的各類故障數(shù)據(jù)對(duì)概率型神經(jīng)網(wǎng)絡(luò)(PNNs)進(jìn)行訓(xùn)練，并將訓(xùn)練后的PNNs作為入侵檢測(cè)的手段。Yang等[11]提出了一種基于IEC 61850的新型入侵檢測(cè)系統(tǒng)，包含訪問控制檢測(cè)、協(xié)議白名單、基于模型的檢測(cè)和基于多參數(shù)的檢測(cè)，并在實(shí)驗(yàn)中得到了有效的驗(yàn)證。Kwon等[12]提出了基于行為的入侵檢測(cè)系統(tǒng)，它使用多個(gè)網(wǎng)絡(luò)特性的統(tǒng)計(jì)分析，檢測(cè)精度較高，不僅能檢測(cè)到已知攻擊，還能檢測(cè)出未知攻擊。

4.2 防御技術(shù)

基于IEC 61850的智能變電站系統(tǒng)對(duì)報(bào)文傳輸有嚴(yán)格的時(shí)限要求，在變電站實(shí)時(shí)通信環(huán)境中，Khaled等[16]研究了安全通信機(jī)制，重點(diǎn)分析了MMS的TCP/IP安全配置，測(cè)試了不同的加密套件，最后提出了一系列的密碼套件組合應(yīng)用方法。Wang等[17]提出了基于GCM的通用型消息認(rèn)證加密算法；Zhang等[18]提到輕量級(jí)分組密碼主要有兩類，一類是對(duì)標(biāo)準(zhǔn)分組密碼如DES、AES等算法的組件進(jìn)行輕量化改進(jìn)；另一類是用新的架構(gòu)設(shè)計(jì)加密算法，如MIBS、SEA、LED等。除密碼算法設(shè)計(jì)與改進(jìn)外，也需要對(duì)加密體系進(jìn)行研究與修改，Luo等[19]提出了一種SM2加密體系并在變電站中應(yīng)用，并證明了該體系下可滿足GOOSE和SMV報(bào)文的傳輸要求。

表2 檢測(cè)技術(shù)綜合比較

IEC 62351是針對(duì)IEC 61850、IEC 60870-5-104等在內(nèi)的通信協(xié)議安全的一套標(biāo)準(zhǔn)，通過相關(guān)加密算法使協(xié)議增強(qiáng)并提高智能變電站網(wǎng)絡(luò)的報(bào)文傳輸安全[20]。采用了分層、面向?qū)ο蠼５燃夹g(shù)，將GOOSE/SMV消息直接映射到鏈路層和物理層，確保消息分組的實(shí)時(shí)傳輸。IEC 62351-4規(guī)定了協(xié)議的擴(kuò)展算法來保護(hù)MMS報(bào)文，建議使用TLS方法來保護(hù)MMS通信，然而，傳統(tǒng)的嵌入式系統(tǒng)資源和性能是有限的，復(fù)雜加密會(huì)導(dǎo)致高內(nèi)存占用率及高CPU使用率，使得大量實(shí)時(shí)報(bào)文傳輸延遲，造成嚴(yán)重后果，因此IEC 62351-4提出的方法未得到廣泛采用。

智能變電站網(wǎng)絡(luò)面臨著越來越大的網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，為了應(yīng)對(duì)這種風(fēng)險(xiǎn)，一個(gè)比較合理的發(fā)展方向是為智能變電站設(shè)計(jì)和部署一個(gè)額外的防御層。Gunathilaka等[21]介紹了SoftGrid的設(shè)計(jì)和實(shí)現(xiàn)，SoftGrid是一個(gè)基于軟件的智能電網(wǎng)測(cè)試臺(tái)，用于評(píng)估保護(hù)變電站遠(yuǎn)程控制接口安全方案的有效性、性能和互操作性，展示了SoftGrid的功能和實(shí)用性，但其中依然存在兼容性問題。

5 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)安全問題逐漸從傳統(tǒng)網(wǎng)絡(luò)領(lǐng)域擴(kuò)展進(jìn)入工業(yè)控制網(wǎng)絡(luò)之中，基于文中相關(guān)工作的調(diào)研和分析，認(rèn)為智能變電站網(wǎng)絡(luò)在安全性和防御檢測(cè)方面有如下發(fā)展趨勢(shì)：

針對(duì)當(dāng)前已有和未來將出現(xiàn)的各類攻擊方法，迫切需要設(shè)計(jì)更加安全、可靠、適用的智能變電站通信系統(tǒng)來保證機(jī)密性、完整性和可控性。針對(duì)監(jiān)控信息傳輸?shù)膶?shí)時(shí)性要求，需要提出符合變電站硬件性能的新型輕量級(jí)加密和認(rèn)證算法。由于智能變電站系統(tǒng)使用的軟硬件平臺(tái)種類繁多且標(biāo)準(zhǔn)性能差異較大，通用型輕量級(jí)密碼技術(shù)的研究仍然面臨挑戰(zhàn)。除了考慮檢測(cè)傳統(tǒng)的攻擊手段，還應(yīng)該考慮人的因素。例如，系統(tǒng)考察智能電網(wǎng)等工業(yè)設(shè)施中操作員的脆弱性、行為異常，大量用戶的集體行為對(duì)系統(tǒng)的穩(wěn)定性和安全性的影響等。