一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法转让专利
申请号 : CN202010681706.4
文献号 : CN111917741B
文献日 : 2021-11-05
发明人 : 杜大军 , 蔡佳浩 , 王朝栋 , 仵大奎 , 张云鹏 , 许鲍岳
申请人 : 上海大学
摘要 :
本发明公开了一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法,本系统包括现场设备层、网络传输层和平台应用层。现场设备层包括微电网现场设备监控系统、MODBUS RTU现场总线和MODBUS主站,网络传输层包含工业现场安全数据采集终端和网络隔离设备,平台应用层包括Dos攻击模拟软件和虚假数据注入攻击模拟软件。Dos攻击模拟软件和虚假数据注入攻击软件可定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置数据包相关参数进行攻击实验。Wireshark抓包软件负责抓取并分析判断数数据传输是否安全。对于虚假数据注入攻击实验,力控监控软件在实验前后通过CMO6端口下发查询命令确认微电网实时运行参数是否并修改,若修改则调整相应的防护策略。
权利要求 :
1.一种基于Dos和虚拟数据注入攻击的微电网安全防御系统,包括现场设备层(Ⅰ)、网络传输层(Ⅱ)和平台应用层(Ⅲ),其特征在于:所述现场设备层(Ⅰ)经网络传输层(Ⅱ)无线连接平台应用层(Ⅲ);
所述现场设备层(Ⅰ)包括微电网现场设备监控系统(1)、MODBUSRTU现场总线(2)和MODBUS主站(3);所述微电网现场设备监控系统(1)包括配电系统测控单元、光伏储能系统测控单元、风力并网发电系统测控单元、光伏并网发电系统测控单元,负责采集微电网现场设备的运行数据并对微电网现场设备进行控制;所述MODBUSRTU现场总线(2)负责建立配电系统监控器、光伏储能系统监控器、一号风力并网发电系统监控器、二号风力并网发电系统监控器、光伏并网发电系统测控单元与MODBUS主站之间的通信连接;所述MODBUS主站(3)包括力控监控软件和Wireshark抓包软件,力控监控软件通过COM6端口与MODBUSRTU现场总线相连,通过查询命令的下发实时监测微电网现场设备监控系统的运行状态;Wireshark抓包软件负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地址、数据包的内容和数据包的数量关键信息,判断数据传输是否安全;
所述网络传输层(Ⅱ)包含工业现场安全数据采集终端(4)和网络隔离设备(5);所述工业现场安全数据采集终端(4)通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据并转发至网络隔离设备(5),通过交换机与网络隔离设备(5)对接,接收网络隔离设备(5)下发的数据,进行病毒扫描、IP地址校验、资产库匹配数据安全校验,若数据安全,则将数据转发至MODBUS主站,若数据检测结果不合格,则直接舍弃;所述网络隔离设备(5)通过交换机与工业现场安全数据采集终端(4)对接,接收工业现场安全数据采集终端(4)的数据,通过以太网接收平台应用层(Ⅲ)下发的数据包,并对来自平台应用层(Ⅲ)的数据进行身份认证、病毒扫描和流量监控数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端(4),若数据检测结果不合格,则直接舍弃;
所述平台应用层(Ⅲ)包括Dos攻击模拟软件(6)和虚假数据注入攻击模拟软件(7);所述Dos攻击模拟软件(6)定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;所述虚假数据注入攻击模拟软件(7)定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置发送数据包的内容下发对微电网数据的查询和修改命令,实现微电网的虚假数据注入实验。
2.一种基于Dos和虚拟数据注入攻击的微电安全防御方法,采用根据权利要求1所述的基于Dos和虚拟数据注入攻击的微电网安全防御系统进行操作,其特征在于,具体操作步骤如下:
1)设置攻击信息:
Dos攻击模拟软件(6)定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,设置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;虚假数据注入攻击模拟软件(7)定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置发送数据包的内容下发对微电网数据的查询和修改命,实施微电网的虚假数据注入实验;
2)传输信息:
网络攻击实验平台发送的攻击数据包通过以太网下发给网络隔离设备(5),网络隔离设备(5)与网络攻击实验平台之间的数据传输采用单向传输方式,并对来自网络攻击实验平台的数据进行身份认证、病毒扫描和流量监控数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端(4),若数据检测结果不合格,则直接舍弃;
3)分析信息:
工业现场安全数据采集终端(4)通过交换机接收来自网络隔离设备(5)的数据包,进行病毒扫描、IP地址校验、资产库匹配数据安全校验,若数据安全,则将数据转发至MODBUS主站,若数据检测结果不合格,则直接舍弃;
4)查询确认信息:
对于Dos攻击实验,MODBUS主站(3)接收来自工业现场安全数据采集终端(4)下发的数据包,通过Wireshark抓包工具对接收到的数据包的数量,发送方IP地址和数据包内容关键信息进行分析,并分析Dos攻击实验在设置网络隔离设备(5)和工业现场安全数据采集终端(4)的安全防护前后对MODBUS主站的安全稳定运行带来的影响;对于虚假数据注入攻击实验,MODBUS主站(3)接收来自工业现场安全数据采集终端(4)下发的数据包,通过Wireshark抓包工具对抓取的数据包的发送方IP地址和数据包内容关键信息进行分析,力控监控软件通过下发查询命令校验微电网设备安全运行参数是否被修改,并分析虚假数据注入攻击实验在设置网络隔离设备(5)和工业现场安全数据采集终端(4)的安全防护前后对MODBUS主站的安全稳定运行带来的影响。
说明书 :
一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及
方法
技术领域
[0001] 本发明涉及微电网及网络安全开发领域,具体设计一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法。
背景技术
[0002] 微电网是指由分布式电源、储能装置、能量转换装置、负荷、监控和保护装置等组成的小型发配电系统。微电网的提出旨在实现分布式电源的灵活、高效应用,解决数量庞
大、形式多样的分布式电源并网问题。开发和延伸微电网能够充分促进分布式电源与可再
生能源的大规模接入,实现对负荷多种能源形式的高可靠性供给,是实现主动式配电网的
一种有效方式,使传统电网向智能电网过渡。
大、形式多样的分布式电源并网问题。开发和延伸微电网能够充分促进分布式电源与可再
生能源的大规模接入,实现对负荷多种能源形式的高可靠性供给,是实现主动式配电网的
一种有效方式,使传统电网向智能电网过渡。
[0003] 建设完善高效的通信网络是实现微电网智能化和网络化的基本条件,现有的微电网的通信在传输数据时缺乏相应的安全防御措施,恶意的网络攻击入侵通信网络,对传输
的数据信息进行窃取、更改和伪造,很有可能导致设备的误操作,从而影响电力系统的安全
稳定运行导致严重后果。
的数据信息进行窃取、更改和伪造,很有可能导致设备的误操作,从而影响电力系统的安全
稳定运行导致严重后果。
发明内容
[0004] 本发明的目的在于针对已有技术的不足提供一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法,对微电网现场设备监控系统的安全稳定运行提供必要的安全
防护,解决因缺乏安全防护导致Dos网络攻击和虚假数据注入攻击对微电网现场设备的安
全稳定运行带来安全隐患的问题,提升系统的综合安全水平,从而在整体上提升系统的安
全性能。
防护,解决因缺乏安全防护导致Dos网络攻击和虚假数据注入攻击对微电网现场设备的安
全稳定运行带来安全隐患的问题,提升系统的综合安全水平,从而在整体上提升系统的安
全性能。
[0005] 为达到上述目的,本发明解决其技术问题所采用的技术方案:
[0006] 一种基于Dos和虚拟数据注入攻击的微电网安全防御系统,包括现场设备层、网络传输层和平台应用层,所述现场设备层经网络传输层无线连接平台应用层;
[0007] 所述现场设备层包括微电网现场设备监控系统、MODBUS RTU现场总线和MODBUS主站。所述微电网现场设备监控系统包括配电系统测控单元、光伏储能系统测控单元、风力并
网发电系统测控单元、光伏并网发电系统测控单元,负责采集微电网现场设备的运行数据
并对微电网现场设备进行控制。所述MODBUS RTU现场总线负责建立配电系统监控器、光伏
储能系统监控器、一号风力并网发电系统监控器、二号风力并网发电系统监控器、光伏并网
发电系统测控单元与MODBUS主站之间的通信连接。所述MODBUS主站包括力控监控软件和
Wireshark抓包软件,力控监控软件通过COM6端口与MODBUS RTU现场总线相连,通过查询命
令的下发实时监测微电网现场设备监控系统的运行状态;Wireshark抓包软件负责抓取并
分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地址、数据包的
内容和数据包的数量等关键信息,判断数据传输是否安全;
网发电系统测控单元、光伏并网发电系统测控单元,负责采集微电网现场设备的运行数据
并对微电网现场设备进行控制。所述MODBUS RTU现场总线负责建立配电系统监控器、光伏
储能系统监控器、一号风力并网发电系统监控器、二号风力并网发电系统监控器、光伏并网
发电系统测控单元与MODBUS主站之间的通信连接。所述MODBUS主站包括力控监控软件和
Wireshark抓包软件,力控监控软件通过COM6端口与MODBUS RTU现场总线相连,通过查询命
令的下发实时监测微电网现场设备监控系统的运行状态;Wireshark抓包软件负责抓取并
分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地址、数据包的
内容和数据包的数量等关键信息,判断数据传输是否安全;
[0008] 所述网络传输层包含工业现场安全数据采集终端和网络隔离设备;所述工业现场安全数据采集终端通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据并
转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据,进
行病毒扫描、IP地址校验、资产库匹配等数据安全校验,若数据安全,则将数据转发至
MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络隔离设备通过交换机与工业现
场安全数据采集终端对接,接收工业现场安全数据采集终端的数据,通过以太网接收平台
应用层下发的数据包,并对来自平台应用层的数据进行身份认证、病毒扫描和流量监控等
数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端,若数据检测结果
不合格,则直接舍弃。
转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据,进
行病毒扫描、IP地址校验、资产库匹配等数据安全校验,若数据安全,则将数据转发至
MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络隔离设备通过交换机与工业现
场安全数据采集终端对接,接收工业现场安全数据采集终端的数据,通过以太网接收平台
应用层下发的数据包,并对来自平台应用层的数据进行身份认证、病毒扫描和流量监控等
数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端,若数据检测结果
不合格,则直接舍弃。
[0009] 所述平台应用层包括Dos攻击模拟软件和虚假数据注入攻击模拟软件;所述Dos攻击模拟软件可定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设
置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;所述虚假数据注入攻击模
拟软件可定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置发
送数据包的内容下发对微电网数据的查询和修改命令,实现微电网的虚假数据注入实验。
置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;所述虚假数据注入攻击模
拟软件可定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置发
送数据包的内容下发对微电网数据的查询和修改命令,实现微电网的虚假数据注入实验。
[0010] 一种基于Dos和虚拟数据注入攻击的微电安全防御方法,采用上述系统进行操作,具体操作步骤如下:
[0011] 1)设置攻击信息:
[0012] Dos攻击模拟软件定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,设置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;虚假数据注入攻
击模拟软件定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置
发送数据包的内容下发对微电网数据的查询和修改命,实施微电网的虚假数据注入实验;
击模拟软件定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置
发送数据包的内容下发对微电网数据的查询和修改命,实施微电网的虚假数据注入实验;
[0013] 2)传输信息:
[0014] 网络攻击实验平台发送的攻击数据包通过以太网下发给网络隔离设备,网络隔离设备与网络攻击实验平台之间的数据传输采用单向传输方式,并对来自网络攻击实验平台
的数据进行身份认证、病毒扫描和流量监控等数据安全校验,若数据安全,则将数据转发至
工业现场安全数据采集终端,若数据检测结果不合格,则直接舍弃;
的数据进行身份认证、病毒扫描和流量监控等数据安全校验,若数据安全,则将数据转发至
工业现场安全数据采集终端,若数据检测结果不合格,则直接舍弃;
[0015] 3)分析信息:
[0016] 工业现场安全数据采集终端通过交换机接收来自网络隔离设备的数据包,进行病毒扫描、IP地址校验、资产库匹配等数据安全校验,若数据安全,则将数据转发至MODBUS主
站,若数据检测结果不合格,则直接舍弃。
站,若数据检测结果不合格,则直接舍弃。
[0017] 4)查询确认信息:
[0018] 对于Dos攻击实验,MODBUS主站接收来自工业现场安全数据采集终端下发的数据包,通过Wireshark抓包工具对接收到的数据包的数量,发送方IP地址和数据包内容等关键
信息进行分析,并分析Dos攻击实验在设置网络隔离设备和工业现场安全数据采集终端的
安全防护前后对MODBUS主站的安全稳定运行带来的影响;对于虚假数据注入攻击实验,
MODBUS主站接收来自工业现场安全数据采集终端下发的数据包,通过Wireshark抓包工具
对抓取的数据包的发送方IP地址和数据包内容等关键信息进行分析,力控监控软件通过下
发查询命令校验微电网设备安全运行参数是否被修改,并分析虚假数据注入攻击实验在设
置网络隔离设备和工业现场安全数据采集终端的安全防护前后对MODBUS主站的安全稳定
运行带来的影响。
信息进行分析,并分析Dos攻击实验在设置网络隔离设备和工业现场安全数据采集终端的
安全防护前后对MODBUS主站的安全稳定运行带来的影响;对于虚假数据注入攻击实验,
MODBUS主站接收来自工业现场安全数据采集终端下发的数据包,通过Wireshark抓包工具
对抓取的数据包的发送方IP地址和数据包内容等关键信息进行分析,力控监控软件通过下
发查询命令校验微电网设备安全运行参数是否被修改,并分析虚假数据注入攻击实验在设
置网络隔离设备和工业现场安全数据采集终端的安全防护前后对MODBUS主站的安全稳定
运行带来的影响。
[0019] 所述步骤1)MODBUS主站与微电网现场设备监控系统通过MODBUS RTU现场总线相连,MODBUS主站通过COM6端口下发查询命令和参数修改命令,并在下发查询命令是获取相
关的返回参数,以一次查询电压测量有效值实验为例,获取网络性能参数的具体方法如下:
关的返回参数,以一次查询电压测量有效值实验为例,获取网络性能参数的具体方法如下:
[0020] 查询数据(主机):
[0021]
[0022] 注:内置MODBUS‑RTU标准协议,仪表默认:仪表地址01,波特率9600bps,1个停止位,8个数据位,无校验,字节通讯。
[0023] 响应数据(从机)
[0024]
[0025] 电压有效值为:4364999A=228.6V
[0026] 所述步骤2)网络攻击平台进行Dos攻击实验时,首先需要定位控制主机的IP地址和相应的攻击端口,然后需要根据我们的实验需求设置数据包大小,发包频率等相关参数,
具体参数名称及设置范围如下表所示:
具体参数名称及设置范围如下表所示:
[0027]
[0028] 所述步骤2)网络攻击实验平台与网络隔离设备之间的数据传输采用单向传输方式,其中外端机与互联网中的各应用服务器相连,内端机与通信网内的各应用服务器相连,
工业现场网络隔离产品采用B/S模式管理,必须分别通过各自的管理口对外端机和内端机
进行管理。网络隔离设备一次相应的网络设置如下表所示:
工业现场网络隔离产品采用B/S模式管理,必须分别通过各自的管理口对外端机和内端机
进行管理。网络隔离设备一次相应的网络设置如下表所示:
[0029]接口名称 状态 IP地址 子网掩码 操作
bus0 良好 192.168.10.120 255.255.255.0 可编辑
bus2 良好 192.168.22.22 255.255.255.0 可编辑
bus0 良好 192.168.10.120 255.255.255.0 可编辑
bus2 良好 192.168.22.22 255.255.255.0 可编辑
[0030] 所述步骤2)络攻击实验平台与网络隔离设备之间的数据传输采用单向传输方式,其中外端机与互联网中的各应用服务器相连,内端机与通信网内的各应用服务器相连,工
业现场网络隔离产品采用B/S模式管理,必须分别通过各自的管理口对外端机和内端机进
行管理,网络隔离产品相应的任务相关配置、内外段服务器相关配置、策略配置的相关字段
要求和解释如下表所示:
业现场网络隔离产品采用B/S模式管理,必须分别通过各自的管理口对外端机和内端机进
行管理,网络隔离产品相应的任务相关配置、内外段服务器相关配置、策略配置的相关字段
要求和解释如下表所示:
[0031]
[0032] 所述步骤2)网络隔离设备对于接收到的传输数据包进行病毒扫描,病毒引擎查到病毒数据包后进行阻拦并审计。
[0033] 所述步骤2)对于通过网络隔离设备进行数据传输的设备会进行设备认证,需要对允许数据传输的设备进行注册,填写设备具体名称及其IP地址,将该服务器与外端机系统
进行认证绑定,在“设备认证”名单内的设备允许传输,在设备认证”名单外的设备禁止传
输。设备注册的一次操作如下表所示:
进行认证绑定,在“设备认证”名单内的设备允许传输,在设备认证”名单外的设备禁止传
输。设备注册的一次操作如下表所示:
[0034]序号 名称 IP地址 操作
1 192.168.10.120 192.168.10.120 可编辑
1 192.168.10.120 192.168.10.120 可编辑
[0035] 所述步骤2)网络隔离设备可以根据关键字对传输的数据内容进行过滤,可以设置添加关键字,将含有关键字的文件删除,或添加关键字及被替换的内容,将检查到的关键字
替换为新的内容,或添加关键字,将禁止含有关键的文件传输。
替换为新的内容,或添加关键字,将禁止含有关键的文件传输。
[0036] 所述步骤2)网络隔离设备可以显示指定接口(选择网口:bus0、bus1、bus2、bus3、bus4、bus5)上的流入、流出数据量大小,当流量超出设定阈值时进行报警。
[0037] 所述步骤3)工业现场安全数据采集终端可以通过设置开始时间和结束时间,对数据包进行抓取,进行业务数据的回放,以便重现问题,抓取的数据包的管理格式如下表所
示:
示:
[0038]选择 序号 所属引擎 数据包名称 抓取时间 数据包大小 操作
[0039] 所述步骤3)工业现场安全数据采集终端设立“初始样本库”,“初始样本库”包含安全审计在镜像口读到的所有网络行为,“初始样本库”里的网络行为要经过资产列表和白名
单规则的筛选,属于资产列表中的白名单规则中包含的网络行为,将进入后面的工控协议
分析和数据分析中,不在白名单规则但在资产列表中的将会被列为规则不匹配。在白名单
规则内但不在资产列表中的将会被列为未知设备,“初始样本库”、资产列表和白名单的管
理格式如下所示:
单规则的筛选,属于资产列表中的白名单规则中包含的网络行为,将进入后面的工控协议
分析和数据分析中,不在白名单规则但在资产列表中的将会被列为规则不匹配。在白名单
规则内但不在资产列表中的将会被列为未知设备,“初始样本库”、资产列表和白名单的管
理格式如下所示:
[0040] “初始样本库”管理格式:
[0041]
[0042] “资产列表”管理格式:
[0043]
[0044] “白名单”管理格式:
[0045]
[0046] 所述步骤3)工业现场安全数据采集终端可以通过流量检测,对流量进行实时监控,并通过设置过滤条件,分别是MAC地址、协议名称、流入、流出、开始时间、结束时间对流
量日志进行查询,流量日志的格式如下表所示:
量日志进行查询,流量日志的格式如下表所示:
[0047]
[0048] 所述步骤3)工业现场安全数据采集终端支持拓扑图管理,拓扑图里的设备实际也就对应着资产,可以资产图形化操作,对资产进行增删改,提高设备的可视性。
[0049] 所述步骤4)Wireshark抓包软件负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地址、数据包的内容和数据包的数量等关键信息,判断
数据传输是否安全。
数据传输是否安全。
[0050] 与现有系统相比,本发明具有如下显而易见的突出实质性特点和显著的技术进步:
[0051] 1.本发明通过设置网络隔离设备和工业现场安全数据采集终端设备,相当于为微电网设置了两层防护,工业现场安全数据采集终端通过以太网与MODBUS主站进行对接,接
收MODBUS主站需要上传的数据并转发至网络隔离设备,通过交换机与网络隔离设备对接,
接收网络隔离设备下发的数据,进行病毒扫描、IP地址校验、资产库匹配等数据安全校验,
若数据安全,则将数据转发至MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络
隔离设备通过交换机与工业现场安全数据采集终端对接,接收工业现场安全数据采集终端
的数据,通过以太网接收平台应用层下发的数据包,并对来自平台应用层的数据进行身份
认证、病毒扫描和流量监控等数据安全校验,若数据安全,则将数据转发至工业现场安全数
据采集终端,若数据检测结果不合格,则直接舍弃,解决因缺乏安全防护导致Dos网络攻击
和虚假数据注入攻击对微电网现场设备的安全稳定运行带来安全隐患的问题,提升系统的
综合安全水平,从而在整体上提升系统的安全性能。
收MODBUS主站需要上传的数据并转发至网络隔离设备,通过交换机与网络隔离设备对接,
接收网络隔离设备下发的数据,进行病毒扫描、IP地址校验、资产库匹配等数据安全校验,
若数据安全,则将数据转发至MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络
隔离设备通过交换机与工业现场安全数据采集终端对接,接收工业现场安全数据采集终端
的数据,通过以太网接收平台应用层下发的数据包,并对来自平台应用层的数据进行身份
认证、病毒扫描和流量监控等数据安全校验,若数据安全,则将数据转发至工业现场安全数
据采集终端,若数据检测结果不合格,则直接舍弃,解决因缺乏安全防护导致Dos网络攻击
和虚假数据注入攻击对微电网现场设备的安全稳定运行带来安全隐患的问题,提升系统的
综合安全水平,从而在整体上提升系统的安全性能。
[0052] 2.本发明通过Wireshark抓包软件抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地址、数据包的内容和数据包的数量等关键信息,判断数
据传输是否安全,可以快速评判已经设置的安全防范措施是否有效,根据评判结果进行相
应的调整,提高了安全措施调试的效率,进而提高了系统的安全性和可靠性。
据传输是否安全,可以快速评判已经设置的安全防范措施是否有效,根据评判结果进行相
应的调整,提高了安全措施调试的效率,进而提高了系统的安全性和可靠性。
附图说明
[0053] 图1为本发明网络攻击平台,网络传输层和现场设备层的结构框架图。
[0054] 图2为本发明为添加安全防护措施时的网络攻击的结构框架图。
[0055] 图3为本发明实施例安全防御方法流程图。具体实施方案
[0056] 为了使本发明的目的技术方案及优点更加清楚明白,以下优选实施例结合附图对本发明进行进一步详细说明。
[0057] 实施例一:
[0058] 如图1所示,一种基于Dos和虚拟数据注入攻击的微电网安全防御系统,由现场设备层Ⅰ经网络传输层Ⅱ无线连接平台应用层Ⅲ构成,系统各层功能具体如下:
[0059] 所述现场设备层Ⅰ包括微电网现场设备监控系统1、MODBUS RTU现场总线2和MODBUS主站3。所述微电网现场设备监控系统包括配电系统测控单元、光伏储能系统测控单
元、风力并网发电系统测控单元、光伏并网发电系统测控单元,负责采集微电网现场设备的
运行数据并对微电网现场设备进行控制。所述MODBUS RTU现场总线2负责建立配电系统监
控器、光伏储能系统监控器、一号风力并网发电系统监控器、二号风力并网发电系统监控
器、光伏并网发电系统测控单元与MODBUS主站之间的通信连接。所述MODBUS主站3包括力控
监控软件和Wireshark抓包软件,力控监控软件通过COM6端口与MODBUS RTU现场总线相连,
通过查询命令的下发实时监测微电网现场设备监控系统的运行状态;Wireshark抓包软件
负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地
址、数据包的内容和数据包的数量等关键信息,判断数据传输是否安全;
元、风力并网发电系统测控单元、光伏并网发电系统测控单元,负责采集微电网现场设备的
运行数据并对微电网现场设备进行控制。所述MODBUS RTU现场总线2负责建立配电系统监
控器、光伏储能系统监控器、一号风力并网发电系统监控器、二号风力并网发电系统监控
器、光伏并网发电系统测控单元与MODBUS主站之间的通信连接。所述MODBUS主站3包括力控
监控软件和Wireshark抓包软件,力控监控软件通过COM6端口与MODBUS RTU现场总线相连,
通过查询命令的下发实时监测微电网现场设备监控系统的运行状态;Wireshark抓包软件
负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地
址、数据包的内容和数据包的数量等关键信息,判断数据传输是否安全;
[0060] 所述网络传输层Ⅱ包含工业现场安全数据采集终端4和网络隔离设备5;所述工业现场安全数据采集终端4通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的
数据并转发至网络隔离设备5,通过交换机与网络隔离设备5对接,接收网络隔离设备5下发
的数据,进行病毒扫描、IP地址校验、资产库匹配等数据安全校验,若数据安全,则将数据转
发至MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络隔离设备5通过交换机与
工业现场安全数据采集终端4对接,接收工业现场安全数据采集终端4的数据,通过以太网
接收平台应用层Ⅲ下发的数据包,并对来自平台应用层Ⅲ的数据进行身份认证、病毒扫描
和流量监控等数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端4,
若数据检测结果不合格,则直接舍弃。
数据并转发至网络隔离设备5,通过交换机与网络隔离设备5对接,接收网络隔离设备5下发
的数据,进行病毒扫描、IP地址校验、资产库匹配等数据安全校验,若数据安全,则将数据转
发至MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络隔离设备5通过交换机与
工业现场安全数据采集终端4对接,接收工业现场安全数据采集终端4的数据,通过以太网
接收平台应用层Ⅲ下发的数据包,并对来自平台应用层Ⅲ的数据进行身份认证、病毒扫描
和流量监控等数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端4,
若数据检测结果不合格,则直接舍弃。
[0061] 所述平台应用层Ⅲ包括Dos攻击模拟软件6和虚假数据注入攻击模拟软件7。所述Dos攻击模拟软件6可以定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端
口,通过设置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;所述虚假数据
注入攻击模拟软件7可以定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端
口,通过设置发送数据包的内容下发对微电网数据的查询和修改命令,实现微电网的虚假
数据注入实验。
口,通过设置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;所述虚假数据
注入攻击模拟软件7可以定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端
口,通过设置发送数据包的内容下发对微电网数据的查询和修改命令,实现微电网的虚假
数据注入实验。
[0062] 实施例二:
[0063] 如图3所示,本基于微电网的安全防御方法流程图,采用上述系统进行操作,具体操作步骤如下:
[0064] S01.设置攻击信息:Dos攻击模拟软件可以定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置数据包发送的频率,数据包的大小等相关参数对
微电网实施Dos攻击实验;虚假数据注入攻击软件可以定位MODBUS主站的IP地址以及连接
微电网现场设备监控系统的端口,设置相关的数据修改命令对微电网实时虚假数据注入攻
击实验。
微电网实施Dos攻击实验;虚假数据注入攻击软件可以定位MODBUS主站的IP地址以及连接
微电网现场设备监控系统的端口,设置相关的数据修改命令对微电网实时虚假数据注入攻
击实验。
[0065] S02.传输信息:网络隔离设备通过交换机与工业现场安全数据采集终端对接,接收工业现场安全数据采集终端的数据,通过以太网接收平台应用层下发的数据包,工业现
场安全数据采集终端通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据
并转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据。
场安全数据采集终端通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据
并转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据。
[0066] S03.分析信息:Wireshark抓包软件负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地址、数据包的内容和数据包的数量等关键信息,
判断数据传输是否安全。
判断数据传输是否安全。
[0067] S04.查询确认信息:对于虚假数据注入攻击实验,力控监控软件在实验前后通过CMO6端口下发查询命令确认微电网实时运行参数是否并修改,若修改则调整相应的防护策
略。
略。
[0068] 综合上述实施例可知,本发明基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法。本系统包括现场设备层、网络传输层和平台应用层。现场设备层包括微电网现场
设备监控系统、MODBUS RTU现场总线和MODBUS主站,网络传输层包含工业现场安全数据采
集终端和网络隔离设备,平台应用层包括Dos攻击模拟软件和虚假数据注入攻击模拟软件。
Dos攻击模拟软件和虚假数据注入攻击软件可以定位MODBUS主站的IP地址以及连接微电网
现场设备监控系统的端口,通过设置数据包发送的频率,数据包的大小和数据包内容等相
关参数进行攻击实验,网络隔离设备通过交换机与工业现场安全数据采集终端对接,接收
工业现场安全数据采集终端的数据,通过以太网接收平台应用层下发的数据包,工业现场
安全数据采集终端通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据并
转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据。
Wireshark抓包软件负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数
据包发送方的IP地址、数据包的内容和数据包的数量等关键信息,判断数据传输是否安全。
对于虚假数据注入攻击实验,力控监控软件在实验前后通过CMO6端口下发查询命令确认微
电网实时运行参数是否并修改,若修改则调整相应的防护策略。
设备监控系统、MODBUS RTU现场总线和MODBUS主站,网络传输层包含工业现场安全数据采
集终端和网络隔离设备,平台应用层包括Dos攻击模拟软件和虚假数据注入攻击模拟软件。
Dos攻击模拟软件和虚假数据注入攻击软件可以定位MODBUS主站的IP地址以及连接微电网
现场设备监控系统的端口,通过设置数据包发送的频率,数据包的大小和数据包内容等相
关参数进行攻击实验,网络隔离设备通过交换机与工业现场安全数据采集终端对接,接收
工业现场安全数据采集终端的数据,通过以太网接收平台应用层下发的数据包,工业现场
安全数据采集终端通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据并
转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据。
Wireshark抓包软件负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数
据包发送方的IP地址、数据包的内容和数据包的数量等关键信息,判断数据传输是否安全。
对于虚假数据注入攻击实验,力控监控软件在实验前后通过CMO6端口下发查询命令确认微
电网实时运行参数是否并修改,若修改则调整相应的防护策略。
[0069] 以上所述说明本发明的原理及其效果,而非用于限制本发明。任何熟练此技术的人士皆可在不违背本发明的精神及范畴下,对上述实例进行修改或改进。因此,所述技术领
域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰
或改变,仍应由本发明的权利要求所覆盖。
域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰
或改变,仍应由本发明的权利要求所覆盖。