一種針對DNP協議的異常流量檢測平臺的製作方法
2023-04-30 09:26:36 1
本實用新型涉及工業控制系統信息安全領域,特別涉及一種針對DNP協議的異常流量檢測平臺。
背景技術:
由於DNP3.0的設計結構具有靈活性和複雜性,這些靈活性和複雜性都使得攻擊者更有可能利用協議本身的規則進行欺騙型攻擊如命令注入攻擊。命令注入攻擊是命令本身合乎協議規則,屬於欺騙型攻擊,一旦插入系統網絡後,正常和惡意代碼一併執行,導致信息洩露或者正常數據的破壞,惡意命令掌控外站和網絡,最終引起系統的崩壞。如何檢測具有信息安全隱患的DNP3.0協議控制系統或設備成為一個重要問題。目前,工業控制網絡常用的安全防護手段主要以TCP/IP為主的乙太網通信網絡作為對象,提出了大量的防護和檢測的解決方案,而對以DNP3.0為代表的工業現場通信協議缺乏具體的防護和檢測手段。
技術實現要素:
本實用新型的目的在於提供一種實現對電力SCADA系統和設備的DNP3.0通信的流量分析、解決電力SCADA系統信息安全的設備級檢測問題、防範基於DNP3.0的信息安全攻擊的針對DNP3.0協議的異常流量檢測平臺。
本實用新型的目的是通過以下技術方案實現的:
一種針對DNP協議的異常流量檢測平臺,其特徵在於:包括模擬設備、DNP3.0流量記錄裝置、被測試設備和DNP3.0異常流量分析裝置;所述模擬設備模擬無信息安全隱患且無故障的正常設備站;所述DNP3.0流量記錄裝置設置在模擬設備和被測試設備之間並截獲由DNP3.0通信流量形成的DNP3.0報文,並且DNP3.0流量記錄裝置與DNP3.O異常流量分析裝置通信相連;所述被測試設備通過其調試埠與DNP3.O異常流量分析裝置數據相連;所述DNP3.O異常流量分析裝置接收並分析截獲的所有DNP3.0報文。
所述DNP3.0流量記錄裝置通過RS485和/或RS232形式的串口線纜與所述模擬設備和被測試設備通信相連。
所述DNP3.0流量記錄裝置與DNP3.O異常流量分析裝置通過雙絞線形式的乙太網相連。
所述模擬設備為基於嵌入式技術的仿真硬體平臺和/或具有實際應用功能的具體工業控制設備。例如PLC、RTU、智能儀表、HMI等。仿真硬體平臺包括但不限於具有網絡仿真軟體(MATLAB、OPNET、NS2等)的機架式計算機。模擬設備為機櫃式結構,安裝2U或3U機架式計算機,部分具體工業控制設備採用DIN導軌安裝。
所述被測試設備為單個工業控制設備和/或一套SCADA系統。
所述DNP3.0流量記錄裝置包括至少兩個支持DNP3.0協議的RS232或RS485接口,部署於模擬設備和被測試設備之間實現對DNP3.0協議流量的截獲和記錄形成DNP3.0報文,並通過網絡將DNP3.0報文發送給DNP3.0異常流量分析裝置。這樣DNP3.0流量記錄裝置具備DNP3.0報文採集和轉發功能,其流量抓取的結果通過乙太網傳給DNP3.O異常流量分析裝置用於進一步的分析。
所述被測試設備為多個工業控制設備和/或仿真設備,被測試設備和DNP3.0流量記錄裝置之間通過工業串口交換機相連。
帶有DNP3.0異常流量分析裝置的計算機搭載了DNP3.0異常流量分析系統或軟體,並且具有多個乙太網卡。
所述DNP3.O異常流量分析裝置包括殼體和設置在殼體內並與主控制模塊數據相連的DNP3.0通信模塊、網絡通信模塊、看門狗模塊、Bypass模塊和存儲模塊和,還設置有電源模塊為裝置各部件供電;殼體上設置有協議信號接口、網絡接口、撥碼開關、運行狀態燈和電源開關,協議信號接口與DNP3.0通信模塊相連,網絡接口與網絡通信模塊相連;看門狗模塊監測主控制模塊的運行狀態,並控制管理Bypass模塊和電源模塊,Bypass模塊還與DNP3.0通信模塊相連以保證斷電和/或主控制模塊異常時信號正常地通過裝置。
所述主控制模塊為基於ARM Cortex-A8處理器的AM3358開發板,工作頻率800MHz。具備兩個工業千兆位乙太網接口(10、100 和 1000Mbps)和多個UART通用異步收發接口。為了保證AM3358能夠正常運行,擴展了256MB的DDR存儲以實時運行程序、1GB的FLASH來存儲入侵檢測程序和基礎數據,同時還擴展了一個4GB microSD卡用於存儲系統配置和異常流量特徵數據。
所述DNP3.0通信模塊包括至少兩個RS485轉換電路,DNP3.0通信模塊與主控制模塊之間採用光耦隔離進行保護。兩個RS485轉換電路支持終端匹配和無終端匹配兩種模式。
DNP3.0異常流量分析裝置搭載了DNP3.0異常流量分析系統或軟體,實現異常流量的判定,其工作流程如下:
1、訪問DNP3.0流量記錄裝置,讀取截獲的DNP3.0協議雙向數據包;
2、訪問被測試設備,讀取設備狀態、輸入輸出數據、系統日誌等信息;
3、通過機器學習算法(神經網絡、決策樹、支持向量機等)構建的流量分析模型來判斷所截獲的數據包與被測試設備的信息之間的匹配程度,若匹配程度大於90%,則判定為異常流量;
4、單獨記錄判定的異常流量以供後期分析。
所述網絡通信模塊包括至少一個匹配RJ45類型接口的乙太網轉換電路。乙太網通達模塊和DNP3.0通信模塊都具有保護功能,可防止意外高壓對模塊的衝擊
所述看門狗模塊包括看門狗處理器和擴展電路,看門狗模塊接收來自主處理模塊的餵狗信號,控制主處理模塊的供電電路及Bypass模塊。餵狗信號可以是主處理模塊的氣動信號,看門狗電路獨立於其它模塊電路,實時監測主處理模塊的運行狀態,發現主處理模塊有異常時可以重啟該模塊並保證Bypass功能開啟。
所述電源模塊包括主控制模塊供電及復位控制電路、看門狗供電電路和通信模塊供電電路,分別輸出+1.8V、+3.3V和+5V電壓。電源模塊向主控制模塊提供復位信號,復位電路的輸入源是看門狗處理器的輸出。
DNP3.0異常流量分析裝置搭載了DNP3.0異常流量分析系統或軟體,實現異常流量的判定,其工作流程如下:
1、訪問DNP3.0流量記錄裝置,讀取截獲的DNP3.0協議雙向數據包;
2、訪問被測試設備,讀取設備狀態、輸入輸出數據、系統日誌等信息;
3、通過機器學習算法(神經網絡、決策樹、支持向量機等)構建的流量分析模型來判斷所截獲的數據包與被測試設備的信息之間的匹配程度,若匹配程度大於90%,則判定為異常流量;
4、單獨記錄判定的異常流量以供後期分析。
本實用新型的有益效果如下:
一、本實用新型提供的一種針對DNP協議的異常流量檢測平臺,模擬設備主要用於模擬無信息安全隱患且無故障的正常設備;DNP3.0流量記錄裝置主要用於截獲模擬設備和被測試設備之間的DNP3.0通信流量,具備DNP3.0報文採集和轉發功能,流量抓取的結果傳給DNP3.O異常流量分析裝置用於進一步的分析;DNP3.O異常流量分析裝置主要用於接收並分析截獲的所有DNP3.0報文,通過被測試設備或系統上設定的調試埠,監視被測試設備的系統狀態,讀取被測試設備採集的數據或下發的控制指令,檢查被測試設備的系統日誌,從而判斷DNP3.0流量記錄裝置所截獲的單條或多條報文是否為異常報文,進而給出被測試設備是否具有信息安全隱患的結論。
二、本實用新型提供的一種針對DNP協議的異常流量檢測平臺,DNP3.0流量記錄裝置通過RS485和/或RS232形式的串口線纜與模擬設備和被測試設備通信相連、DNP3.0流量記錄裝置與DNP3.O異常流量分析裝置通過雙絞線形式的乙太網相連,採用成熟穩定地連接方式有助於提高平臺的穩定性,同時也具有更好的兼容性;模擬設備為基於嵌入式技術的仿真硬體平臺和/或具有實際應用功能的具體工業控制設備,可採用的技術方案多兼容性高,例如PLC、RTU、智能儀表、HMI等等,對應可以選擇最適合現場實際的安裝方式;被測試設備為單個工業控制設備和/或一套SCADA系統,可以實現對單一或同時對多元系統的檢測;DNP3.0流量記錄裝置包括至少兩個支持DNP3.0協議的RS232或RS485接口,部署於模擬設備和被測試設備之間實現對DNP3.0協議流量的截獲和記錄形成DNP3.0報文,並通過網絡將DNP3.0報文發送給DNP3.0異常流量分析裝置,這樣DNP3.0流量記錄裝置具備DNP3.0報文採集和轉發功能,其流量抓取的結果通過乙太網傳給DNP3.O異常流量分析裝置用於進一步的分析;被測試設備為多個工業控制設備和/或仿真設備,被測試設備和DNP3.0流量記錄裝置之間通過工業串口交換機相連,即可實現同時對多個對象的監管檢測。
附圖說明
圖1是本實用新型一種優選方案的通信關係示意圖;
圖2是本實用新型一種優選方案設備級異常流量檢測的連接結構示意圖;
圖3是本實用新型一種優選方案系統級異常流量檢測的連接關係示意圖;
圖中:
1、模擬設備;2、DNP3.0流量記錄裝置;3、被測試設備;4、DNP3.0異常流量分析裝置;5、計算機;6、工業串口交換機。
具體實施方式
以下通過幾個具體實施例來進一步說明實現本實用新型目的的技術方案,需要說明的是,本實用新型的技術方案包含但不限於以下實施例。
實施例1
如圖1、圖2和圖3,一種針對DNP協議的異常流量檢測平臺,包括模擬設備1、DNP3.0流量記錄裝置2、被測試設備3和帶有DNP3.0異常流量分析裝置4的計算機5;所述模擬設備1模擬無信息安全隱患且無故障的正常設備站;所述DNP3.0流量記錄裝置2設置在模擬設備1和被測試設備3之間並截獲由DNP3.0通信流量形成的DNP3.0報文,並且DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通信相連;所述被測試設備3設有調試埠,被測試設備3通過其調試埠與DNP3.O異常流量分析裝置4數據相連;所述DNP3.O異常流量分析裝置4接收並分析截獲的所有DNP3.0報文。
這是本實用新型一種最基本實施方案。模擬設備1主要用於模擬無信息安全隱患且無故障的正常設備;DNP3.0流量記錄裝置2主要用於截獲模擬設備1和被測試設備3之間的DNP3.0通信流量,具備DNP3.0報文採集和轉發功能,流量抓取的結果傳給DNP3.O異常流量分析裝置4用於進一步的分析;DNP3.O異常流量分析裝置4主要用於接收並分析截獲的所有DNP3.0報文,通過被測試設備3或系統上設定的調試埠,監視被測試設備3的系統狀態,讀取被測試設備3採集的數據或下發的控制指令,檢查被測試設備的系統日誌,從而判斷DNP3.0流量記錄裝置2所截獲的單條或多條報文是否為異常報文,進而給出被測試設備3是否具有信息安全隱患的結論。
實施例2
如圖1、圖2和圖3,一種針對DNP協議的異常流量檢測平臺,包括模擬設備1、DNP3.0流量記錄裝置2、被測試設備3和帶有DNP3.0異常流量分析裝置4的計算機5;所述模擬設備1模擬無信息安全隱患且無故障的正常設備站;所述DNP3.0流量記錄裝置2設置在模擬設備1和被測試設備3之間並截獲由DNP3.0通信流量形成的DNP3.0報文,並且DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通信相連;所述被測試設備3設有調試埠,被測試設備3通過其調試埠與DNP3.O異常流量分析裝置4數據相連;所述DNP3.O異常流量分析裝置4接收並分析截獲的所有DNP3.0報文。
所述DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與所述模擬設備1和被測試設備3通信相連。
所述DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的乙太網相連。
這是本實用新型一種優選的實施方案。模擬設備1主要用於模擬無信息安全隱患且無故障的正常設備;DNP3.0流量記錄裝置2主要用於截獲模擬設備1和被測試設備3之間的DNP3.0通信流量,具備DNP3.0報文採集和轉發功能,流量抓取的結果傳給DNP3.O異常流量分析裝置4用於進一步的分析;DNP3.O異常流量分析裝置4主要用於接收並分析截獲的所有DNP3.0報文,通過被測試設備3或系統上設定的調試埠,監視被測試設備3的系統狀態,讀取被測試設備3採集的數據或下發的控制指令,檢查被測試設備的系統日誌,從而判斷DNP3.0流量記錄裝置2所截獲的單條或多條報文是否為異常報文,進而給出被測試設備3是否具有信息安全隱患的結論;DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與模擬設備1和被測試設備3通信相連、DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的乙太網相連,採用成熟穩定地連接方式有助於提高平臺的穩定性,同時也具有更好的兼容性。
實施例3
如圖1、圖2和圖3,一種針對DNP協議的異常流量檢測平臺,包括模擬設備1、DNP3.0流量記錄裝置2、被測試設備3和帶有DNP3.0異常流量分析裝置4的計算機5;所述模擬設備1模擬無信息安全隱患且無故障的正常設備站;所述DNP3.0流量記錄裝置2設置在模擬設備1和被測試設備3之間並截獲由DNP3.0通信流量形成的DNP3.0報文,並且DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通信相連;所述被測試設備3設有調試埠,被測試設備3通過其調試埠與DNP3.O異常流量分析裝置4數據相連;所述DNP3.O異常流量分析裝置4接收並分析截獲的所有DNP3.0報文。
所述DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與所述模擬設備1和被測試設備3通信相連。
所述DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的乙太網相連。
所述模擬設備1為基於嵌入式技術的仿真硬體平臺和/或具有實際應用功能的具體工業控制設備。
所述被測試設備3為單個工業控制設備和/或一套SCADA系統。
這是本實用新型一種優選的實施方案。模擬設備1主要用於模擬無信息安全隱患且無故障的正常設備;DNP3.0流量記錄裝置2主要用於截獲模擬設備1和被測試設備3之間的DNP3.0通信流量,具備DNP3.0報文採集和轉發功能,流量抓取的結果傳給DNP3.O異常流量分析裝置4用於進一步的分析;DNP3.O異常流量分析裝置4主要用於接收並分析截獲的所有DNP3.0報文,通過被測試設備3或系統上設定的調試埠,監視被測試設備3的系統狀態,讀取被測試設備3採集的數據或下發的控制指令,檢查被測試設備的系統日誌,從而判斷DNP3.0流量記錄裝置2所截獲的單條或多條報文是否為異常報文,進而給出被測試設備3是否具有信息安全隱患的結論;DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與模擬設備1和被測試設備3通信相連、DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的乙太網相連,採用成熟穩定地連接方式有助於提高平臺的穩定性,同時也具有更好的兼容性;模擬設備1為基於嵌入式技術的仿真硬體平臺和/或具有實際應用功能的具體工業控制設備,可採用的技術方案多兼容性高,例如PLC、RTU、智能儀表、HMI等等,對應可以選擇最適合現場實際的安裝方式;被測試設備3為單個工業控制設備和/或一套SCADA系統,可以實現對單一或同時對多元系統的檢測。
實施例4
如圖1、圖2和圖3,一種針對DNP協議的異常流量檢測平臺,包括模擬設備1、DNP3.0流量記錄裝置2、被測試設備3和帶有DNP3.0異常流量分析裝置4的計算機5;所述模擬設備1模擬無信息安全隱患且無故障的正常設備站;所述DNP3.0流量記錄裝置2設置在模擬設備1和被測試設備3之間並截獲由DNP3.0通信流量形成的DNP3.0報文,並且DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通信相連;所述被測試設備3設有調試埠,被測試設備3通過其調試埠與DNP3.O異常流量分析裝置4數據相連;所述DNP3.O異常流量分析裝置4接收並分析截獲的所有DNP3.0報文。
所述DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與所述模擬設備1和被測試設備3通信相連。
所述DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的乙太網相連。
所述模擬設備1為基於嵌入式技術的仿真硬體平臺和/或具有實際應用功能的具體工業控制設備。
所述被測試設備3為單個工業控制設備和/或一套SCADA系統。
所述DNP3.0流量記錄裝置2包括至少兩個支持DNP3.0協議的RS232和/或RS485接口,部署於模擬設備1和被測試設備3之間實現對DNP3.0協議流量的截獲和記錄形成DNP3.0報文,並通過網絡將DNP3.0報文發送給DNP3.0異常流量分析裝置4。
所述被測試設備3為多個工業控制設備和/或仿真設備,被測試設備3和DNP3.0流量記錄裝置2之間通過工業串口交換機6相連。
這是本實用新型一種優選的實施方案。模擬設備1主要用於模擬無信息安全隱患且無故障的正常設備;DNP3.0流量記錄裝置2主要用於截獲模擬設備1和被測試設備3之間的DNP3.0通信流量,具備DNP3.0報文採集和轉發功能,流量抓取的結果傳給DNP3.O異常流量分析裝置4用於進一步的分析;DNP3.O異常流量分析裝置4主要用於接收並分析截獲的所有DNP3.0報文,通過被測試設備3或系統上設定的調試埠,監視被測試設備3的系統狀態,讀取被測試設備3採集的數據或下發的控制指令,檢查被測試設備的系統日誌,從而判斷DNP3.0流量記錄裝置2所截獲的單條或多條報文是否為異常報文,進而給出被測試設備3是否具有信息安全隱患的結論;DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與模擬設備1和被測試設備3通信相連、DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的乙太網相連,採用成熟穩定地連接方式有助於提高平臺的穩定性,同時也具有更好的兼容性;模擬設備1為基於嵌入式技術的仿真硬體平臺和/或具有實際應用功能的具體工業控制設備,可採用的技術方案多兼容性高,例如PLC、RTU、智能儀表、HMI等等,對應可以選擇最適合現場實際的安裝方式;被測試設備3為單個工業控制設備和/或一套SCADA系統,可以實現對單一或同時對多元系統的檢測;DNP3.0流量記錄裝置2包括至少兩個支持DNP3.0協議的RS232或RS485接口,部署於模擬設備1和被測試設備3之間實現對DNP3.0協議流量的截獲和記錄形成DNP3.0報文,並通過網絡將DNP3.0報文發送給DNP3.0異常流量分析裝置4,這樣DNP3.0流量記錄裝置2具備DNP3.0報文採集和轉發功能,其流量抓取的結果通過乙太網傳給DNP3.O異常流量分析裝置用於進一步的分析;被測試設備3為多個工業控制設備和/或仿真設備,被測試設備3和DNP3.0流量記錄裝置2之間通過工業串口交換機6相連,即可實現同時對多個對象的監管檢測。
實施例5
如圖1和圖2,一種針對DNP協議的異常流量檢測平臺其設備級異常流量檢測運用,檢測系統包括模擬設備1、DNP3.0流量記錄裝置2、被測試設備3、DNP3.0異常流量分析裝置4。
所述模擬設備1主要用於模擬無信息安全隱患且無故障的正常設備,可以模擬DNP3.0主站或從站。模擬設備1可以是基於嵌入式技術的仿真硬體平臺,也可以採用具有實際應用功能的具體工業控制設備,例如PLC、RTU、智能儀表、HMI等等。
所述被測試設備3是指可能存在信息安全隱患的工業控制設備,可能會發送異常的DNP3.0通信報文到模擬設備。被測試設備3可以是單個工業控制設備,也可以是一套SCADA系統。
所述DNP3.0流量記錄裝置2主要用於截獲模擬設備1和被測試設備3之間的DNP3.0通信流量。該設備具備DNP3.0報文採集和轉發功能。流量抓取的結果通過乙太網傳給DNP3.O異常流量分析裝置4用於進一步的分析。
DNP3.0流量記錄裝置2與模擬設備1和被測試設備3之間採用符合RS232或RS485標準的串行總線連接。
所述DNP3.O異常流量分析裝置4主要用於接收並分析截獲的所有DNP3.0報文。該設備具有對比分析功能。該設備可以通過被測試設備或系統上設定的調試埠,監視被測試設備的系統狀態,讀取被測試設備採集的數據或下發的控制指令,檢查被測試設備的系統日誌,從而判斷DNP3.0流量記錄裝置所截獲的單條或多條報文是否為異常報文,進而給出被測試設備是否具有信息安全隱患的結論。所述DNP3.O異常流量分析裝置4通過乙太網與DNP3.0流量檢測裝置相連。
被測試設備是具有DNP3.0通信功能的設備,例如一個PLC。該設備不但具有DNP3.0通信模塊,而且具有乙太網或串口的調試接口用以連接DNP3.0異常流量分析裝置,DNP3.0異常流量分析裝置通過訪問可以讀取設備運行狀態、IO模塊的輸入輸出、系統配置,部分設備可以獲得系統日誌和操作日誌。
模擬設備採用內置了仿真計算機的仿真設備機櫃,該機櫃內的仿真計算機採用機架式結構,該計算機具備一個串口擴展卡,並通過MATLAB/OPNET/NS2等網絡仿真軟體仿真DNP3.0通信。
DNP3.0異常流量分析裝置搭載了DNP3.0異常流量分析系統或軟體,實現異常流量的判定,其工作流程如下:
1、訪問DNP3.0流量記錄裝置,讀取截獲的DNP3.0協議雙向數據包;
2、訪問被測試設備,讀取設備狀態、輸入輸出數據、系統日誌等信息;
3、通過機器學習算法(神經網絡、決策樹、支持向量機等)構建的流量分析模型來判斷所截獲的數據包與被測試設備的信息之間的匹配程度,若匹配程度大於90%,則判定為異常流量;
4、單獨記錄判定的異常流量以供後期分析。
實施例
如圖1和圖3,一種針對DNP協議的異常流量檢測平臺其設備級異常流量檢測運用,檢測系統包括模擬設備1、DNP3.0流量記錄裝置2、被測試設備3、DNP3.0異常流量分析裝置4。
所述模擬設備1主要用於模擬無信息安全隱患且無故障的正常設備,可以模擬DNP3.0主站或從站。模擬設備1可以是基於嵌入式技術的仿真硬體平臺,也可以採用具有實際應用功能的具體工業控制設備,例如PLC、RTU、智能儀表、HMI等等。
所述被測試設備3是指可能存在信息安全隱患的工業控制設備,可能會發送異常的DNP3.0通信報文到模擬設備。被測試設備3可以是單個工業控制設備,也可以是一套SCADA系統。
所述DNP3.0流量記錄裝置2主要用於截獲模擬設備1和被測試設備3之間的DNP3.0通信流量。該設備具備DNP3.0報文採集和轉發功能。流量抓取的結果通過乙太網傳給DNP3.O異常流量分析裝置4用於進一步的分析。
DNP3.0流量記錄裝置2與模擬設備1和被測試設備3之間採用符合RS232或RS485標準的串行總線連接。
所述DNP3.O異常流量分析裝置4主要用於接收並分析截獲的所有DNP3.0報文。該設備具有對比分析功能。該設備可以通過被測試設備或系統上設定的調試埠,監視被測試設備的系統狀態,讀取被測試設備採集的數據或下發的控制指令,檢查被測試設備的系統日誌,從而判斷DNP3.0流量記錄裝置所截獲的單條或多條報文是否為異常報文,進而給出被測試設備是否具有信息安全隱患的結論。所述DNP3.O異常流量分析裝置4通過乙太網與DNP3.0流量檢測裝置相連。
被測試設備是支持DNP3.0通信的SCADA系統。該系統可通過工業串口交換機連接多個DNP3.0協議工業控制設備,例如PLC、HMI、智能儀表等。
模擬設備採用支持DNP3.0的已知工業控制設備,如智能儀表、HMI、PLC等。已知工業控制設備採用分布式部署,各個設備通過串口交換機與DNP3.0流量記錄裝置連接。。
DNP3.0流量記錄裝置採用定製開發的專用設備,至少具備2個支持DNP3.0協議的RS232或RS485接口,部署於模擬設備和被測試設備之間實現對DNP3.0協議流量的截獲和記錄。該裝置同時具備一個乙太網類型的訪問接口以實現將截獲的DNP3.0報文發送給DNP3.0異常流量分析裝置的功能。當模擬設備由多個工業控制設備或仿真設備組成時,DNP3.0流量記錄裝置應部署於工業串口交換機與被測試設備之間。
DNP3.0異常流量分析裝置採用具有多個乙太網卡的計算機工作站實現。同時連接DNP3.0流量記錄裝置和被測試設備。
DNP3.0異常流量分析裝置搭載了DNP3.0異常流量分析系統或軟體,實現異常流量的判定,其工作流程如下:
1、訪問DNP3.0流量記錄裝置,讀取截獲的DNP3.0協議雙向數據包;
2、訪問被測試設備,讀取設備狀態、輸入輸出數據、系統日誌等信息;
3、通過機器學習算法(神經網絡、決策樹、支持向量機等)構建的流量分析模型來判斷所截獲的數據包與被測試設備的信息之間的匹配程度,若匹配程度大於90%,則判定為異常流量;
4、單獨記錄判定的異常流量以供後期分析。