王文婷 徐康 赵晓红 赵洋 陈剑飞
摘 要:随着工业化与信息化的快速交叉融合,工业网络安全问题正在变得越来越严重。针对智能变电站系统的安全场景,分析了智能变电站中的MMS(Manufacturing Message Specification)報文传输的时间特性,并采用傅里叶变换和小波变换的方法对MMS报文传输的时间特性进行更细粒度的分析。通过分析,可以得出一种建立报文传输时间特性基线的方法,用来进行智能变电站系统网络的异常检测。
关键词:智能变电站;MMS报文;傅里叶变换;小波变换
中图分类号: TP29 文献标识码:A
Time Characteristic Analysis of MMS Packet
Transmission in Smart Substation
WANG Wen-ting1?覮,XU Kang2,ZHAO Xiao-hong1,ZHAO Yang1,CHEN Jian-fei3
(1. Electrie Power Research Institute,State Grid Shangdong Electric Power Gompany,Jinan,Shangdong 250000,China;
2. Weihai Power Supply Company,State Grid Shangdong Electric Power Company,Weihai,Shangdong 264200,China;
3. State Grid Shangdong Electric Power Company,Jinan,Shangdong 250000,China)
Abstract: With the rapid combination of industrialization and informatization,the issue of the industrial network security is becoming more and more serious. The security problem of the smart substation system is focused on in this paper,and the time features of the MMS packages is analyzed by the Fourier transform and the wavelet transform methods. A method for establishing a baseline of the time features of the MMS packages is obtained to perform abnormal detection of the network in the smart substation system.
Key words:smart substation;MMS message;Fourier transformation;wavelet transformation
随着工业4.0,工业物联网,中国制造2025等概念的提出,工业化与信息化正在快速交叉融合,工业控制系统正向着智能化的方向发展。未来的工业系统将呈现垂直整合,水平整合,端到端价值链的数字化整合的形态。工业系统将发生巨大的变化。与此同时,这些变化也将使工业控制网络由封闭转向开放。工业网络不再是一个孤立的网络,因此会面临很多安全问题[1]。以往的工控系统安全保障方案主要集中在访问控制,现场总线安全协议,物理安全等方面。针对越来越多的APT(Advanced Persistent Threat,高级持续性威胁)攻击,目前的检测与防御手段主要包括沙箱检测方案,流量异常监测方案,全流量审计方案等。这些方案在普通的IT网络中可以对APT攻击进行比较有效的检测,但是由于工业控制网络和普通IT网络的差异性,例如工业网络协议私有,同时会伴随着大量的心跳与轮询数据传输等,传统的IT网络的安全保障方案并不能完全解决工业控制网络中的安全问题[2]。因此,针对工业网络中的异常检测已经成为了一个新的研究热点[3-6]。
以电力系统中的智能变电站[7]为例,变电站是电力系统中变换电压、接受和分配电能、控制电力的流向和调整电压的电力设施。它通过其变压器将各级电压的电网联系起来。而智能变电站是指通过智能设备以全站信息数字化、通信平台网络化、信息共享标准化为基本要求,自动完成信息采集、测量、控制、保护、计量和监测等基本功能,并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协同互动等高级功能的变电站。与传统变电站不同,智能变电站采用IEC61850的标准。这是一个国际通用的变电站自动化系统。它对于设备的行为,数据的命名以及定义都进行了规范。智能变电站使用电子式互感器替代传统的电压互感器,使用光纤接线替代传统的信号电缆硬接线,传输的数据也变为数字量。
根据IEC61850标准,智能变电站由三层两网构成,如图1所示。三层,即站控层,间隔层和过程层。其中,站控层主要包括监控,远动和故障信息系统;间隔层主要包括保护装置和测控装置;过程层包括模拟量收集终端合并单元和实现开关输入输出的智能单元。两网指的是过程层网和站控层网。其中,过程层网主要传输GOOSE报文和SV报文。GOOSE(Generic Object Oriented Substation Event)指的是面向通用对象的变电站事件。GOOSE报文是一种二层报文,主要用于传输跳闸,遥控,启动失灵,连锁,自检信息等。SV(Sample Value)报文也是一种二层报文,主要传输电压和电流的采样值。站控层网主要传输MMS报文。MMS(Manufacturing Message Specification)即制造报文规范,是一种通用通信协议,可以用于多种通用工业控制设备之间的通信。在变电站IEC61850规约下,MMS用来实现站控层与间隔层之间的通信。MMS是OSI七层模型中的一种应用层协议,在变电站中主要用于控制指令下发,测量数据上报等用途。
由于智能变电站采用信息网络代替传统的电缆来传输测量信号和控制信号,所以信息网络的安全直接关系到变电站的运行安全。如果变电站的信息网络遭到攻擊,则会导致变电站运行异常甚至崩溃,造成严重的生产事故。
与一般的IT网络不同,由于工业网络中经常存在轮询,诊断,周期刷新等业务,工业网络中传输的报文在时间上通常具有一定的规律。变电站网络如果遭到入侵导致工作异常,其报文传输的时间特性通常会发生变化。因此对变电站网络中报文传输的时间特性进行分析,可以为变电站网络是否遭到入侵提供一种检测的方法。本文对变电站中的MMS报文进行聚合,并采用傅里叶变换和小波变换的方法对的传输时间特性进行了不同粒度的
分析。
结构如下:第1章对MMS报文进行聚合,并按照聚合结果画出报文传输的时间特性曲线;第2章采用傅里叶分析的方法对报文周期性进行检测;第3章采用小波变换的方法对MMS报文传输的时
间特性进行了更细粒度的分析;最后,第4章给出
结论。
1 MMS报文类型与时间特性分析
如前所述,在智能变电站中,MMS报文用于控制指令下发,测量数据上报等用途。例如上位机需要下达跳闸控制指令,则上位机向合并单眼发送MMS报文,合并单元收到上位机的MMS报文以后会向智能终端发送GOOSE报文,以执行跳闸指令。如果变电站中出现异常情况,例如异常跳闸,也会在短时间出发大量的MMS报文。而在变电站正常运行且没有控制指令下发时,站控层网络中仍然会有MMS报文传输。这些MMS报文主要是诊断和心跳的报文。
1.1 MMS报文聚合
在变电站系统中,每台上位机会同时跟多个间隔层设备进行通信,通信所采用的协议使用TCP/IP协议。因此可以根据报文中的IP地址和端口号首先对MMS报文进行聚合,即按照连接将MMS报文聚合在一起,结果如表1所示。
由于在实际的数据中连接的数量较多,在表1中只给出了示例的连接统计结果。从表1中可以看出,每个连接中传输MMS报文的源端口和目的端口只有一个,而且在变电站的运行过程中保持不变。对于上位机来说,每次发送报文都是采用102端口,但不同的间隔层设备,接收报文的端口可能会不同。
给定一个连接,例如IP地址 (172.16.0.73,172.16.0.182)所对应的连接,对其传输的MMS报文进行更深层次的解析,会发现在这两个IP之间传输的MMS报文不止一种。源IP为172.16.0.182,目的IP为172.16.0.73的MMS报文只有Confirmed_Request一种。统计相邻两次Confirmed_Request报文发送的时间间隔,然后以报文序号为横坐标,以相邻两次MMS报文的时间间隔为纵坐标画出图表,如图2所示。
从图2中看出,request报文整体的发送时间间隔都很接近,但会出现一些间隔特别长的情况,也就是图1中的尖峰。这些尖峰的高度没有规律,但尖峰的间隔较有规律,也就是说,Confirmed_Request报文的每发送一定数量的数据包之后就会出现停顿的情况。
源IP为172.16.0.73,目的IP为172.16.0.182之间包含有response报文和unconfirmed报文。按照上述方法分别画出两种报文的时间特性曲线,如图3和图4所示。
从图3中可以看出,response类型的报文和request类型的报文传输的时间间隔分布特性基本相同。从图4中可以看出,unconfirmed报文的传输时间间隔与response报文和request报文的时间分布差距较大。而且在实际的数据中,unconfirmed报文数量远小于request报文和response报文的数量。
更进一步,智能变电站中的request报文和response报文中都对应有invokeID字段。按照该字段将request和response报文进行聚合。通过报文中的时间戳可以算出在发送request请求报文到收到response报文所需的时间间隔。以request报文的出现次序为横坐标,以上述时间间隔为纵坐标,可以画出报文问答间隔的曲线,如图5所示。
从图5可以看出,对于相同的invokeID字段的报文,其发送request报文和收到response报文的间隔时间很短。大多数报文的间隔时间都在0.1秒以下,有少部分间隔时间较长,但也都在0.5s以下,远小于request报文发送的时间间隔。且发送request报文和收到response报文间隔时间分布没有明显的规律。
由于图2和图3中所示的request报文和response报文发送的时间间隔分布基本相同,所以这里主要分析request报文。对request报文进行更深层次的解析发现,request报文包含有read和write两种报文。将这两种报文分别提取出来,按照前面的方法分别画出报文发送时间间隔曲线,如图6和图7所示。
从图6和图7中可以看出,read类型的报文数量远远少于write类型报文的数量。对于read类型的报文,其发送时间间隔变化不大,在30-32秒之间。而对于write类型的报文来说,多数报文的发送时间间隔在2秒以下,但会出现有规律的长间隔的发送。同时,结合图2,图6和图7可以看出,图2中曲线的峰值高度不相同主要是由于read报文无规律发送引起。
更进一步,对read报文和write报文分别进行深入解析,可以发现read报文只有一种类型,而write报文可以根据其中的itemID进行更细致的分组。将根据itemID分组以后的报文按照前面的方法分别画出时间特性曲线。由于报文中itemID较多,所以这里只给出其中的一个itemID的示例,如图8所示。
在图8中,曲线图上方的文字就是相应的曲线所对应的itemID的值。图8中的曲线具有明显的周期性特征。也就是说对于确定类型的write报文,其发送的时间间隔具有一定的规律性,而不是随机分布的。
通过以上分析可以发现,在变电站中MMS报文的发送是有一定的时间规律的。通过对这些规律进行分析与学习,可以得到变电站系统的正常行为基线。以上分析主要是采用画图的方法进行定性的观察。接下来需要对报文的传输时间特性进行更深入的分析。这里所采用的方法是傅里叶分析和小波分析。
2 MMS报文传输特性的频域分析
本章采用傅里叶变换的方法对MMS报文传输的时间特性进行分析。
2.1 傅里叶变换简介
傅里叶变换是将满足一定条件的函数表示为正弦函数和余弦函数或者它们的积分的线性组合的形式。对于给定序列(x0,1,xt,1,xN),假设序列以N为周期,也就是说有xt = xt + N,那么该序列对应的傅里叶变换也是一条具有N个值的离散序列,即(x0,1,xk,1,xN),其中,xk定义如下:
傅里叶变换是可逆的变换,基于式(1),其逆变换可以表示为:
在式(1)和式(2)中,Xk对应周期Tk = N/k的 k次谐波。k次谐波的幅值为Ak = Xk,则功率谱密度(Power Spectral Density,PSD)的计算式为:
如果原序列中具有周期性,则其功率谱序列中对应的频率处会出现峰值。
2.2 MMS报文传输时间特性的傅里叶分析
从上一章的分析中可以看出,有些MMS报文传输是具有周期性的,有些MMS报文则没有确定的规律。但是在实际的系统中,由于报文传输量很大,对报文传输的周期性检测无法通过画图来完成,因此,这里采用傅里叶变换的方法检测MMS报文传输的周期性。
对于图8中传输时间具有周期性的MMS报文,按照式(1)和式(3)中的方法计算其功率谱,其功率谱图像如图9所示。
从图9可以看到,对于具有周期性的序列,其功率谱图像具有明显的峰值。图9中所示为完整的功率谱的图像。对于离散序列来说,其功率谱是对称的,因此只需要考虑功率谱图像的左半部分。在图9中,我们可以看到在0.2 Hz的时候出现了第一个尖峰,在0.4 Hz的时候出现了第二个尖峰。因此可以判断出源序列中存在周期性,其周期为。
对于图5所示的非周期信号,其功率谱图像如图10所示。
从图10可以看出,对于非周期序列,其功率谱图没有明显的峰值。
采用傅里叶变换的方法可以对MMS报文的周期性进行检测。如果MMS报文的周期性发生变化,则可能对应了控制指令下发或者异常情况发生。
3 MMS报文传输特性的小波分析
本章采用小波變换[9]的方法对MMS报文传输的时间特性进行分析。
3.1 傅里叶变换的局限
在第2章中,我们采用了傅里叶分析的方法将时域序列变换到频域,然后检测信号的周期性。但是傅里叶变换主要用来针对平稳信号做分析,也就是统计特性不随时间的变化而变化的信号。对于非平稳信号,傅里叶变换就不能很好地分析了。
如图11所示,图11(a)是一个标准的正弦曲线,图11(b)是其对应的功率谱。图11(c)是图11(a)的正弦曲线基础上出现了一个微小的尖峰,图11(d)为对应的功率谱图像。可以看出,两个功率谱图像基本相同,从功率谱图像中并不能反映出时域信号的微小变化。在图12中,对同样的函数应用Haar小波变换,可以看出小波变换可以对微小的尖峰进行检测。在实际的变电站系统中,MMS报文的变化并不都会是大时间尺度的,也就是说采用分析平稳信号的方法不能有效监测MMS报文传输时间特性的小范围变化。因此,这里采用小波变换的方法来细粒度的检测MMS报文传输的时间特性变化。
3.2 MMS报文传输特性的小波分析
如前所述,如果变电站中MMS报文传输发生非常微小的变化,则傅里叶变换无法精确的检测出这种变化。由于变化十分微小,所以在时域上面检测这种变化也会比较困难。而采用小波变换的方法检测这种微小变化可以得到较好的效果。
如图13所示是对图8中的序列进行小波变换以后所得到的结果。在图13(b)中,时域信号发生了微小的变化。这种时域的变化不容易直接检测,也无法采用傅里叶分析的方法进行检测。但是采用Haar小波变换的方法却可以检测这种变化,如图13(b)中间的曲线图所示,时域序列的微小变化会引起小波变换以后的结果发生较大的变化。通过检测这种变化,即可检测到原始时域序列的变化,进而检测报文传输的异常。
4 结 论
对智能变电站中的MMS报文的传输时间特性进行了分析,并采用傅里叶分析和小波分析的方法从不同粒度上分析了MMS报文传输的时间特性。通过对报文传输时间特性的分析,可以建立报文的时间特性基线,作为进一步的异常检测的基础。
参考文献
[1] RALSTON P A S,GARHAM J H,HIEB J L. Cyber security risk assessment for SCADA and DCS networks[J]. ISA Transactions,2007,46(4):583—594.
[2] KEITH S,JOE F,KAREN S. SP 800-82 guide to industrial control systems(ICS) security[P]. National Institute of Standards & Technology,2011.
[3] GARCIA T P,DIAZ V J,MACIA F G,et al. Anomaly-based network intrusion detection:techniques,systems and challenges[J]. Computers & Security,2009,28(1):18—28.
[4] National infrastructure plan[R]. Washington DC,USA:Department of Homeland Security,2009.
[5] Critical infrastructure protection:challenges and efforts to secure control systems. GAO-04-3 54[R]. Washington DC,USA:General Accounting Office(GAO),2004.
[6] BRANDLE M,NAEDELE M. Security for process control systems:an overview[J]. IEEE Security & Privacy,2008,6(6):24—29.
[7] 李孟超,王允平,李献伟,等. 智能变电站及技术特点分析[J]. 电力系统维护与控制,2010,38(18):59—62.
[8] 冷建华,傅里叶变换[D].北京:清华大学出版社,2004.
[9] 周宇峰,程景全. 小波变换及其应用[J]. 物理,2008,37(1):24—32.