董一帆，熊蔭喬,2，王寶耀

(1.國防科技大學(xué) 計算機學(xué)院，湖南 長沙 410073；2.長沙學(xué)院 電子信息與電氣工程學(xué)院，湖南 長沙 410022)

0 引 言

智能電網(wǎng)是國家基礎(chǔ)設(shè)施中最為重要的系統(tǒng)之一，也是工業(yè)生產(chǎn)、工作生活必不可少的能源供應(yīng)系統(tǒng)，同時也是將計算機網(wǎng)絡(luò)、信息基礎(chǔ)設(shè)施同現(xiàn)有電力系統(tǒng)基礎(chǔ)設(shè)施結(jié)合而成的自動化、數(shù)字化、智能化的電網(wǎng)系統(tǒng)[1]。隨著智能變電站中各種智能設(shè)備的引入與聯(lián)網(wǎng)運行，攻擊者可以利用信息域的傳統(tǒng)攻擊方法對智能變電站系統(tǒng)進行攻擊，使之存在嚴重的安全威脅。傳統(tǒng)的智能變電站防御手段主要依靠內(nèi)外網(wǎng)的邊界防護及物理隔離，而隨著信息域與物理域的深入融合，傳統(tǒng)的防御方式已不能滿足智能化發(fā)展的需要。因此，智能變電站的安全由原來物理域中簡單的設(shè)備安全，演變成了信息域與物理域融合的復(fù)雜安全。2010年，“震網(wǎng)”(Stuxnet)病毒爆發(fā)，“毒區(qū)”(Duqu)和“火焰”(Flame)病毒也相繼出現(xiàn)，共同形成病毒攻擊群；2015年，烏克蘭電力部門遭到惡意代碼攻擊，黑客入侵監(jiān)控管理系統(tǒng)，烏克蘭超過一半的地區(qū)斷電多個小時，針對智能電網(wǎng)中核心設(shè)施變電站的攻擊方法和檢測防御技術(shù)進行分析研究變得尤為重要。

IEC 61850是以以太網(wǎng)(IEEE 802.3)為基礎(chǔ)、面向?qū)ο蟮淖冸娬咀詣踊ㄐ艠藴蔥2]?；贗EC 61850標準中的GOOSE(generic object oriented substation events)、SMV(sampled measured value)及MMS(manufacturing message specification)協(xié)議，對智能變電站安全威脅與防御技術(shù)進行了分析研究。

1 IEC 61850中的主要通信服務(wù)

智能變電站網(wǎng)絡(luò)的整體架構(gòu)分為三層，分別是站控層、間隔層和過程層，如圖1所示。站控層包括自動化系統(tǒng)、站域控制、通信系統(tǒng)、對時系統(tǒng)等；間隔層主要包括系統(tǒng)測控裝置、繼電保護裝置、監(jiān)測功能組、主IED(intelligent electronic device)等二次設(shè)備；過程層包括智能電子裝置及電壓互感裝置、變壓器、電流、斷路器、隔離開關(guān)等一次設(shè)備及其所屬的智能組件。

圖1 智能變電站的三層架構(gòu)

工作在智能變電站三層架構(gòu)中的IEC 61850提供了三種通訊模型：客戶端-服務(wù)器模型、發(fā)布者-訂閱者模型、采樣值模型。通信協(xié)議主要有三類：GOOSE、SMV、MMS。

GOOSE采用發(fā)布者-訂閱者模型，主要功能是從IED發(fā)送跳閘信號到斷路器，控制指定區(qū)域的供電，實現(xiàn)設(shè)備間信息交換。交換的信息包括狀態(tài)量、錄波圖、非實時采集量。該協(xié)議主要應(yīng)用于智能變電站中過程層與間隔層之間，采用組播技術(shù)，訂閱者不向發(fā)布者發(fā)送確認信息。GOOSE協(xié)議數(shù)據(jù)單元大小約1 500字節(jié)，時限要求小于4 ms；GOOSE報文包含sqNum(序列號)和stNum(狀態(tài)號)，無事件發(fā)生時，sqNum隨著報文的發(fā)送而累加(越界重置)，stNum保持不變；事件發(fā)生時，stNum累加(越界重置)，sqNum重置。

SMV協(xié)議與GOOSE相似，同樣采用組播技術(shù)，實時性報文時限要求為4 ms，反映了智能變電站系統(tǒng)設(shè)備運行的真實情況，是SCADA(supervisor-y control and data acquisition)與EMS(energy management system)狀態(tài)估計的主要依據(jù)。SMV提供了釆樣值模型對象及服務(wù)，包括這些模型對象本身及服務(wù)到以太網(wǎng)數(shù)據(jù)端之間的映射，協(xié)議數(shù)據(jù)單元大小約1 500字節(jié)，時限要求小于4 ms，該服務(wù)主要應(yīng)用于數(shù)字化變電站間隔層設(shè)備與過程層間的單向電流、電壓采樣值傳輸，將采樣的測量電壓和電流值從合并單元(merging unit，MU)發(fā)送到IED。

制造報文規(guī)范MMS是智能設(shè)備之間交換實時數(shù)據(jù)和監(jiān)控信息的一套獨立的國際報文規(guī)范，該標準來源于20世紀80年代的通用汽車公司。目的是為了規(guī)范智能電子設(shè)備、智能傳感器、智能控制設(shè)備的通信行為，使不同廠商的設(shè)備可互操作。在智能變電站中，MMS協(xié)議主要用于間隔層與站控層設(shè)備之間的通訊，不規(guī)定通信的網(wǎng)絡(luò)類型和通信幀的格式，而規(guī)定了通信模式和通信幀的功能，為變電站的穩(wěn)定運行提供保證。協(xié)議數(shù)據(jù)單元大于3 000字節(jié)，無時限要求，傳輸類型為面向連接。

2 智能變電站網(wǎng)絡(luò)協(xié)議脆弱性分析

工作在智能變電站上的IEC 61850標準本身并沒有指定安全策略，也沒有強制使用任何身份認證或加密技術(shù)，因而無法抵抗各種網(wǎng)絡(luò)攻擊。一旦變電站遭受攻擊，將導(dǎo)致變電站自動化系統(tǒng)故障、斷路器執(zhí)行虛假操作、現(xiàn)場設(shè)備物理損壞或使整個控制區(qū)域的電力中斷。

GOOSE和SMV報文采用的組播技術(shù)使得網(wǎng)絡(luò)安全問題凸顯，如開放組員資格和可接入設(shè)備帶來的安全問題。GOOSE和SMV報文傳輸有嚴格的時限要求(4 ms)，而IED的存儲空間與計算能力均十分有限，因此無法采用復(fù)雜的信息技術(shù)安全手段。GOOSE報文中的stNum和sqNum均用32位無符號整數(shù)表示，取值范圍為0到232-1。攻擊者利用GOOSE的通信機制在此范圍內(nèi)偽造指定的stNum與sqNum字段，使后續(xù)GOOSE報文被丟棄，造成嚴重后果。

目前合并單元在使用SMV報文處理的過程中沒有任何信息安全防護手段，類似虛假數(shù)據(jù)注入的攻擊方法將產(chǎn)生嚴重的威脅。起保護作用的SMV報文容易遭受惡意篡改，將引起繼電保護系統(tǒng)錯誤響應(yīng)甚至拒絕響應(yīng)，導(dǎo)致嚴重后果；起測控作用的SMV報文，是SCADA與EMS進行系統(tǒng)狀態(tài)估計的重要參考，若遭受惡意篡改，將導(dǎo)致SCADA/EMS做出錯誤乃至危險的決策。

MMS是智能變電站中使用廣泛的通訊服務(wù)協(xié)議。雖然MMS存在認證和訪問控制機制，但它工作在TCP/IP上，后者對于中間人攻擊是脆弱的，使得MMS對中間人攻擊同樣脆弱。此外，MMS沒有加密，也沒有校驗和字段，即使存在校驗和字段，攻擊者依然可以使用中間人攻擊方法實現(xiàn)對所有數(shù)據(jù)包的讀取，也可以通過未加密的數(shù)據(jù)包讀取相關(guān)信息并偽造校驗字段來實施攻擊。因此MMS十分脆弱，安全性無法保證。

綜上，組播的通信機制、報文的明文傳輸、無安全的認證機制等，使得智能變電站在大部分的網(wǎng)絡(luò)攻擊下是十分脆弱的。

3 攻擊方法分析

作為國家關(guān)鍵基礎(chǔ)設(shè)施的智能變電站已經(jīng)成為惡意攻擊的主要目標，攻擊可以來自智能變電站的外部和內(nèi)部，如圖2所示[3]。攻擊者可以從遠程接入點A1或者控制中心A2發(fā)起外部攻擊，突破防火墻并攻入智能變電站網(wǎng)絡(luò)A3后，其所有設(shè)備都暴露在攻擊者面前；攻擊者也可以直接從智能變電站網(wǎng)絡(luò)A3和用戶接口A4發(fā)起內(nèi)部攻擊，進而控制網(wǎng)絡(luò)中的其他設(shè)施。

圖2 變電站網(wǎng)絡(luò)入侵點

3.1 針對GOOSE協(xié)議的攻擊

一個有效的GOOSE報文的欺騙攻擊分為四個步驟[4]，第一步監(jiān)視以太網(wǎng)報文，通過截獲以以太網(wǎng)幀的協(xié)議類型字段為0X88B8識別出的GOOSE報文，得到報文的時間間隔；第二步使用ASN.1編碼方式對GOOSE報文解碼；第三步更改數(shù)據(jù)集中的值如翻轉(zhuǎn)報文中控制量相關(guān)的布爾值，并保持stNum和sqNum序列性質(zhì)；第四步，使用BER(basic encoding rules)編碼數(shù)據(jù)包，并通過克隆源MAC地址的物理端口在觀察到的時間間隔內(nèi)插入欺騙報文，完成一次欺騙攻擊。圖3展示了攻擊者在每個有效報文之間插入欺騙數(shù)據(jù)包的時間與方法[4]。其中T0指穩(wěn)定狀態(tài)(長時間沒有事件產(chǎn)生)下的報文發(fā)送間隔，T1指事件發(fā)生后的最短重傳時間間隔，T2、T3指重傳時間間隔遞增直到到達穩(wěn)定狀態(tài)，攻擊者在T0時間段內(nèi)插入錯誤的二層數(shù)據(jù)包。

圖3 GOOSE攻擊原理

3.2 針對SMV協(xié)議的攻擊

針對SMV報文的攻擊與針對GOOSE的攻擊相似，因此大多數(shù)研究均將針對這兩類報文協(xié)議的攻擊放在一起進行研究。

第一種攻擊方式是Hong等[5]提出的基于GOOSE和SMV的欺騙攻擊，這種攻擊方式是攻擊者修改捕獲的網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容，用于對IED設(shè)備的破壞。隨后Hong等[3]進一步擴展了這種攻擊方法，通過惡意軟件實現(xiàn)捕獲、更改并重新向網(wǎng)絡(luò)中注入虛假報文實施攻擊。第二種攻擊方法是發(fā)送大量的SMV消息報文“淹沒”IED設(shè)備，阻止IED服務(wù)于合法的SMV消息[5]。當然，這種方式即Dos攻擊，也可以用于GOOSE報文的攻擊。對于SMV數(shù)據(jù)包，攻擊者可以產(chǎn)生一個模擬值(電流或電壓值)，并將該值發(fā)送到變電站中的控制中心，產(chǎn)生惡意操作，這種攻擊將使攻擊者能夠獲得對IED的控制，并引起計劃外停電甚至損壞變電站現(xiàn)場設(shè)備。還有一種攻擊方式是重放攻擊，攻擊者可以捕獲包含電壓值的SMV數(shù)據(jù)包，然后將該相同的SMV數(shù)據(jù)包重放到變電站中的IED，導(dǎo)致IED無法收到正確的采樣值。

3.3 針對MMS協(xié)議的攻擊

由于MMS的操作基于TCP/IP協(xié)議，而后者非常容易受到中間人攻擊，且MMS協(xié)議報文沒有加密，所以MMS也面臨中間人攻擊威脅。如通過ARP欺騙，攻擊者可以對智能變電站設(shè)備的MMS通信發(fā)起中間人攻擊，攻擊位置位于網(wǎng)關(guān)與SCADA系統(tǒng)之間，攻擊者在交換機位置切斷SCADA系統(tǒng)與物理設(shè)備的通信，偽造身份來進行中間人攻擊。

Kang等[6]提到了針對MMS的中間人攻擊有4種類型：竊聽、修改、注入和DOS攻擊。竊聽指攻擊者可以通過竊聽來收集更多的機密信息，比如攻擊者可以觀察兩臺設(shè)備之間的所有流量，并通過解碼MMS報文收集設(shè)備信息，這樣就可以在應(yīng)用層執(zhí)行新的攻擊。修改指攻擊者從某個設(shè)備截獲報文，修改報文并將修改后的報文發(fā)送到原目的設(shè)備。注入攻擊在設(shè)備通訊過程中進行，由于攻擊者注入的報文會刪除或者更改目標設(shè)備中的操作，因此會使目標設(shè)備產(chǎn)生異常響應(yīng)。此外，注入攻擊使得TCP報頭中的序列字段和確認字段以及MMS報文中調(diào)用的ID字段產(chǎn)生變化，設(shè)備之間的通信會被終止或者重置?；谥虚g人攻擊的Dos攻擊分為兩種，一種是攻擊者丟棄中間人攻擊的轉(zhuǎn)發(fā)步驟，阻止所有報文到達原目的地址。第二種方式是攻擊者將報文中的數(shù)據(jù)進行修改，使得設(shè)備獲得錯誤的數(shù)據(jù)，而無法提供應(yīng)有的服務(wù)。

3.4 典型攻擊方法比較

上述三種協(xié)議的攻擊方法主要從協(xié)議的運行機制和漏洞入手，破壞了智能變電站網(wǎng)絡(luò)系統(tǒng)的可靠性、可用性、保密性、完整性、不可抵賴性、可控性，綜合比較如表1所示。

表1 典型攻擊方法比較

除此之外，從信息域與物理域的融合來看，針對智能變電站構(gòu)成的整個系統(tǒng)的攻擊威脅可以分為四類[8]：第一類是針對信息域的攻擊，威脅信息的真實性、完整性和可用性；第二類指信息域到物理域的攻擊，通過信息域滲透進入智能變電站的網(wǎng)絡(luò)設(shè)備及電氣設(shè)備，造成物理域的實質(zhì)破壞；第三類是物理域到物理域的攻擊，通過對物理域中的某臺設(shè)備的攻擊使相關(guān)物理設(shè)備產(chǎn)生異常；第四類是物理域到信息域的攻擊，通過對物理參數(shù)的篡改誤導(dǎo)信息域中的相關(guān)信息服務(wù)。

4 攻擊檢測與防御技術(shù)

4.1 檢測技術(shù)

現(xiàn)有的IDS不能有效檢測針對GOOSE和SMV協(xié)議最常見的欺騙攻擊和重放攻擊，因此Da Silva等[9]提出了一種基于異常檢測的方法來檢測欺騙攻擊，通過觀察智能變電站系統(tǒng)中的正常操作，將違反正常的任何操作都歸類為入侵來抽取GOOSE消息的特征，用以對欺騙攻擊進行識別。針對GOOSE和SMV報文的攻擊行為，Hong等[3]提出了智能變電站組播報文異常檢測模型(SMMAD)，由三部分組成，分別是包分類模塊、異常檢測模塊和評估模塊，通過預(yù)先定義的重傳規(guī)則估算出限定時間內(nèi)的GOOSE報文數(shù)量作為閾值，當捕獲到的單位時間內(nèi)的報文數(shù)量大于閾值，說明極有可能發(fā)生了注入攻擊或Dos攻擊，SMV異常檢測與其相似。

Sheng等[10]提出了一種虛假數(shù)據(jù)檢測算法，利用智能變電站網(wǎng)絡(luò)中的各類故障數(shù)據(jù)對概率型神經(jīng)網(wǎng)絡(luò)(PNNs)進行訓(xùn)練，并將訓(xùn)練后的PNNs作為入侵檢測的手段。Yang等[11]提出了一種基于IEC 61850的新型入侵檢測系統(tǒng)，包含訪問控制檢測、協(xié)議白名單、基于模型的檢測和基于多參數(shù)的檢測，并在實驗中得到了有效的驗證。Kwon等[12]提出了基于行為的入侵檢測系統(tǒng)，它使用多個網(wǎng)絡(luò)特性的統(tǒng)計分析，檢測精度較高，不僅能檢測到已知攻擊，還能檢測出未知攻擊。

4.2 防御技術(shù)

基于IEC 61850的智能變電站系統(tǒng)對報文傳輸有嚴格的時限要求，在變電站實時通信環(huán)境中，Khaled等[16]研究了安全通信機制，重點分析了MMS的TCP/IP安全配置，測試了不同的加密套件，最后提出了一系列的密碼套件組合應(yīng)用方法。Wang等[17]提出了基于GCM的通用型消息認證加密算法；Zhang等[18]提到輕量級分組密碼主要有兩類，一類是對標準分組密碼如DES、AES等算法的組件進行輕量化改進；另一類是用新的架構(gòu)設(shè)計加密算法，如MIBS、SEA、LED等。除密碼算法設(shè)計與改進外，也需要對加密體系進行研究與修改，Luo等[19]提出了一種SM2加密體系并在變電站中應(yīng)用，并證明了該體系下可滿足GOOSE和SMV報文的傳輸要求。

表2 檢測技術(shù)綜合比較

IEC 62351是針對IEC 61850、IEC 60870-5-104等在內(nèi)的通信協(xié)議安全的一套標準，通過相關(guān)加密算法使協(xié)議增強并提高智能變電站網(wǎng)絡(luò)的報文傳輸安全[20]。采用了分層、面向?qū)ο蠼５燃夹g(shù)，將GOOSE/SMV消息直接映射到鏈路層和物理層，確保消息分組的實時傳輸。IEC 62351-4規(guī)定了協(xié)議的擴展算法來保護MMS報文，建議使用TLS方法來保護MMS通信，然而，傳統(tǒng)的嵌入式系統(tǒng)資源和性能是有限的，復(fù)雜加密會導(dǎo)致高內(nèi)存占用率及高CPU使用率，使得大量實時報文傳輸延遲，造成嚴重后果，因此IEC 62351-4提出的方法未得到廣泛采用。

智能變電站網(wǎng)絡(luò)面臨著越來越大的網(wǎng)絡(luò)攻擊的風(fēng)險，為了應(yīng)對這種風(fēng)險，一個比較合理的發(fā)展方向是為智能變電站設(shè)計和部署一個額外的防御層。Gunathilaka等[21]介紹了SoftGrid的設(shè)計和實現(xiàn)，SoftGrid是一個基于軟件的智能電網(wǎng)測試臺，用于評估保護變電站遠程控制接口安全方案的有效性、性能和互操作性，展示了SoftGrid的功能和實用性，但其中依然存在兼容性問題。

5 結(jié)束語

隨著網(wǎng)絡(luò)安全問題逐漸從傳統(tǒng)網(wǎng)絡(luò)領(lǐng)域擴展進入工業(yè)控制網(wǎng)絡(luò)之中，基于文中相關(guān)工作的調(diào)研和分析，認為智能變電站網(wǎng)絡(luò)在安全性和防御檢測方面有如下發(fā)展趨勢：

針對當前已有和未來將出現(xiàn)的各類攻擊方法，迫切需要設(shè)計更加安全、可靠、適用的智能變電站通信系統(tǒng)來保證機密性、完整性和可控性。針對監(jiān)控信息傳輸?shù)膶崟r性要求，需要提出符合變電站硬件性能的新型輕量級加密和認證算法。由于智能變電站系統(tǒng)使用的軟硬件平臺種類繁多且標準性能差異較大，通用型輕量級密碼技術(shù)的研究仍然面臨挑戰(zhàn)。除了考慮檢測傳統(tǒng)的攻擊手段，還應(yīng)該考慮人的因素。例如，系統(tǒng)考察智能電網(wǎng)等工業(yè)設(shè)施中操作員的脆弱性、行為異常，大量用戶的集體行為對系統(tǒng)的穩(wěn)定性和安全性的影響等。