一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及方法转让专利
申请号 : CN202010681706.4
文献号 : CN111917741B
文献日 : 2021-11-05
发明人 : 杜大军 , 蔡佳浩 , 王朝栋 , 仵大奎 , 张云鹏 , 许鲍岳
申请人 : 上海大学
摘要 :
权利要求 :
1.一种基于Dos和虚拟数据注入攻击的微电网安全防御系统,包括现场设备层(Ⅰ)、网络传输层(Ⅱ)和平台应用层(Ⅲ),其特征在于:所述现场设备层(Ⅰ)经网络传输层(Ⅱ)无线连接平台应用层(Ⅲ);
所述现场设备层(Ⅰ)包括微电网现场设备监控系统(1)、MODBUSRTU现场总线(2)和MODBUS主站(3);所述微电网现场设备监控系统(1)包括配电系统测控单元、光伏储能系统测控单元、风力并网发电系统测控单元、光伏并网发电系统测控单元,负责采集微电网现场设备的运行数据并对微电网现场设备进行控制;所述MODBUSRTU现场总线(2)负责建立配电系统监控器、光伏储能系统监控器、一号风力并网发电系统监控器、二号风力并网发电系统监控器、光伏并网发电系统测控单元与MODBUS主站之间的通信连接;所述MODBUS主站(3)包括力控监控软件和Wireshark抓包软件,力控监控软件通过COM6端口与MODBUSRTU现场总线相连,通过查询命令的下发实时监测微电网现场设备监控系统的运行状态;Wireshark抓包软件负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地址、数据包的内容和数据包的数量关键信息,判断数据传输是否安全;
所述网络传输层(Ⅱ)包含工业现场安全数据采集终端(4)和网络隔离设备(5);所述工业现场安全数据采集终端(4)通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据并转发至网络隔离设备(5),通过交换机与网络隔离设备(5)对接,接收网络隔离设备(5)下发的数据,进行病毒扫描、IP地址校验、资产库匹配数据安全校验,若数据安全,则将数据转发至MODBUS主站,若数据检测结果不合格,则直接舍弃;所述网络隔离设备(5)通过交换机与工业现场安全数据采集终端(4)对接,接收工业现场安全数据采集终端(4)的数据,通过以太网接收平台应用层(Ⅲ)下发的数据包,并对来自平台应用层(Ⅲ)的数据进行身份认证、病毒扫描和流量监控数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端(4),若数据检测结果不合格,则直接舍弃;
所述平台应用层(Ⅲ)包括Dos攻击模拟软件(6)和虚假数据注入攻击模拟软件(7);所述Dos攻击模拟软件(6)定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;所述虚假数据注入攻击模拟软件(7)定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置发送数据包的内容下发对微电网数据的查询和修改命令,实现微电网的虚假数据注入实验。
2.一种基于Dos和虚拟数据注入攻击的微电安全防御方法,采用根据权利要求1所述的基于Dos和虚拟数据注入攻击的微电网安全防御系统进行操作,其特征在于,具体操作步骤如下:
1)设置攻击信息:
Dos攻击模拟软件(6)定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,设置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;虚假数据注入攻击模拟软件(7)定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置发送数据包的内容下发对微电网数据的查询和修改命,实施微电网的虚假数据注入实验;
2)传输信息:
网络攻击实验平台发送的攻击数据包通过以太网下发给网络隔离设备(5),网络隔离设备(5)与网络攻击实验平台之间的数据传输采用单向传输方式,并对来自网络攻击实验平台的数据进行身份认证、病毒扫描和流量监控数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端(4),若数据检测结果不合格,则直接舍弃;
3)分析信息:
工业现场安全数据采集终端(4)通过交换机接收来自网络隔离设备(5)的数据包,进行病毒扫描、IP地址校验、资产库匹配数据安全校验,若数据安全,则将数据转发至MODBUS主站,若数据检测结果不合格,则直接舍弃;
4)查询确认信息:
对于Dos攻击实验,MODBUS主站(3)接收来自工业现场安全数据采集终端(4)下发的数据包,通过Wireshark抓包工具对接收到的数据包的数量,发送方IP地址和数据包内容关键信息进行分析,并分析Dos攻击实验在设置网络隔离设备(5)和工业现场安全数据采集终端(4)的安全防护前后对MODBUS主站的安全稳定运行带来的影响;对于虚假数据注入攻击实验,MODBUS主站(3)接收来自工业现场安全数据采集终端(4)下发的数据包,通过Wireshark抓包工具对抓取的数据包的发送方IP地址和数据包内容关键信息进行分析,力控监控软件通过下发查询命令校验微电网设备安全运行参数是否被修改,并分析虚假数据注入攻击实验在设置网络隔离设备(5)和工业现场安全数据采集终端(4)的安全防护前后对MODBUS主站的安全稳定运行带来的影响。
说明书 :
一种基于Dos和虚拟数据注入攻击的微电网安全防御系统及
方法
技术领域
背景技术
大、形式多样的分布式电源并网问题。开发和延伸微电网能够充分促进分布式电源与可再
生能源的大规模接入,实现对负荷多种能源形式的高可靠性供给,是实现主动式配电网的
一种有效方式,使传统电网向智能电网过渡。
的数据信息进行窃取、更改和伪造,很有可能导致设备的误操作,从而影响电力系统的安全
稳定运行导致严重后果。
发明内容
防护,解决因缺乏安全防护导致Dos网络攻击和虚假数据注入攻击对微电网现场设备的安
全稳定运行带来安全隐患的问题,提升系统的综合安全水平,从而在整体上提升系统的安
全性能。
网发电系统测控单元、光伏并网发电系统测控单元,负责采集微电网现场设备的运行数据
并对微电网现场设备进行控制。所述MODBUS RTU现场总线负责建立配电系统监控器、光伏
储能系统监控器、一号风力并网发电系统监控器、二号风力并网发电系统监控器、光伏并网
发电系统测控单元与MODBUS主站之间的通信连接。所述MODBUS主站包括力控监控软件和
Wireshark抓包软件,力控监控软件通过COM6端口与MODBUS RTU现场总线相连,通过查询命
令的下发实时监测微电网现场设备监控系统的运行状态;Wireshark抓包软件负责抓取并
分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地址、数据包的
内容和数据包的数量等关键信息,判断数据传输是否安全;
转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据,进
行病毒扫描、IP地址校验、资产库匹配等数据安全校验,若数据安全,则将数据转发至
MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络隔离设备通过交换机与工业现
场安全数据采集终端对接,接收工业现场安全数据采集终端的数据,通过以太网接收平台
应用层下发的数据包,并对来自平台应用层的数据进行身份认证、病毒扫描和流量监控等
数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端,若数据检测结果
不合格,则直接舍弃。
置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;所述虚假数据注入攻击模
拟软件可定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置发
送数据包的内容下发对微电网数据的查询和修改命令,实现微电网的虚假数据注入实验。
击模拟软件定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端口,通过设置
发送数据包的内容下发对微电网数据的查询和修改命,实施微电网的虚假数据注入实验;
的数据进行身份认证、病毒扫描和流量监控等数据安全校验,若数据安全,则将数据转发至
工业现场安全数据采集终端,若数据检测结果不合格,则直接舍弃;
站,若数据检测结果不合格,则直接舍弃。
信息进行分析,并分析Dos攻击实验在设置网络隔离设备和工业现场安全数据采集终端的
安全防护前后对MODBUS主站的安全稳定运行带来的影响;对于虚假数据注入攻击实验,
MODBUS主站接收来自工业现场安全数据采集终端下发的数据包,通过Wireshark抓包工具
对抓取的数据包的发送方IP地址和数据包内容等关键信息进行分析,力控监控软件通过下
发查询命令校验微电网设备安全运行参数是否被修改,并分析虚假数据注入攻击实验在设
置网络隔离设备和工业现场安全数据采集终端的安全防护前后对MODBUS主站的安全稳定
运行带来的影响。
关的返回参数,以一次查询电压测量有效值实验为例,获取网络性能参数的具体方法如下:
具体参数名称及设置范围如下表所示:
工业现场网络隔离产品采用B/S模式管理,必须分别通过各自的管理口对外端机和内端机
进行管理。网络隔离设备一次相应的网络设置如下表所示:
bus0 良好 192.168.10.120 255.255.255.0 可编辑
bus2 良好 192.168.22.22 255.255.255.0 可编辑
业现场网络隔离产品采用B/S模式管理,必须分别通过各自的管理口对外端机和内端机进
行管理,网络隔离产品相应的任务相关配置、内外段服务器相关配置、策略配置的相关字段
要求和解释如下表所示:
进行认证绑定,在“设备认证”名单内的设备允许传输,在设备认证”名单外的设备禁止传
输。设备注册的一次操作如下表所示:
1 192.168.10.120 192.168.10.120 可编辑
替换为新的内容,或添加关键字,将禁止含有关键的文件传输。
示:
单规则的筛选,属于资产列表中的白名单规则中包含的网络行为,将进入后面的工控协议
分析和数据分析中,不在白名单规则但在资产列表中的将会被列为规则不匹配。在白名单
规则内但不在资产列表中的将会被列为未知设备,“初始样本库”、资产列表和白名单的管
理格式如下所示:
量日志进行查询,流量日志的格式如下表所示:
数据传输是否安全。
收MODBUS主站需要上传的数据并转发至网络隔离设备,通过交换机与网络隔离设备对接,
接收网络隔离设备下发的数据,进行病毒扫描、IP地址校验、资产库匹配等数据安全校验,
若数据安全,则将数据转发至MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络
隔离设备通过交换机与工业现场安全数据采集终端对接,接收工业现场安全数据采集终端
的数据,通过以太网接收平台应用层下发的数据包,并对来自平台应用层的数据进行身份
认证、病毒扫描和流量监控等数据安全校验,若数据安全,则将数据转发至工业现场安全数
据采集终端,若数据检测结果不合格,则直接舍弃,解决因缺乏安全防护导致Dos网络攻击
和虚假数据注入攻击对微电网现场设备的安全稳定运行带来安全隐患的问题,提升系统的
综合安全水平,从而在整体上提升系统的安全性能。
据传输是否安全,可以快速评判已经设置的安全防范措施是否有效,根据评判结果进行相
应的调整,提高了安全措施调试的效率,进而提高了系统的安全性和可靠性。
附图说明
元、风力并网发电系统测控单元、光伏并网发电系统测控单元,负责采集微电网现场设备的
运行数据并对微电网现场设备进行控制。所述MODBUS RTU现场总线2负责建立配电系统监
控器、光伏储能系统监控器、一号风力并网发电系统监控器、二号风力并网发电系统监控
器、光伏并网发电系统测控单元与MODBUS主站之间的通信连接。所述MODBUS主站3包括力控
监控软件和Wireshark抓包软件,力控监控软件通过COM6端口与MODBUS RTU现场总线相连,
通过查询命令的下发实时监测微电网现场设备监控系统的运行状态;Wireshark抓包软件
负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数据包发送方的IP地
址、数据包的内容和数据包的数量等关键信息,判断数据传输是否安全;
数据并转发至网络隔离设备5,通过交换机与网络隔离设备5对接,接收网络隔离设备5下发
的数据,进行病毒扫描、IP地址校验、资产库匹配等数据安全校验,若数据安全,则将数据转
发至MODBUS主站,若数据检测结果不合格,则直接舍弃。所述网络隔离设备5通过交换机与
工业现场安全数据采集终端4对接,接收工业现场安全数据采集终端4的数据,通过以太网
接收平台应用层Ⅲ下发的数据包,并对来自平台应用层Ⅲ的数据进行身份认证、病毒扫描
和流量监控等数据安全校验,若数据安全,则将数据转发至工业现场安全数据采集终端4,
若数据检测结果不合格,则直接舍弃。
口,通过设置数据包发送的频率,数据包的大小对微电网实施Dos攻击实验;所述虚假数据
注入攻击模拟软件7可以定位MODBUS主站的IP地址以及连接微电网现场设备监控系统的端
口,通过设置发送数据包的内容下发对微电网数据的查询和修改命令,实现微电网的虚假
数据注入实验。
微电网实施Dos攻击实验;虚假数据注入攻击软件可以定位MODBUS主站的IP地址以及连接
微电网现场设备监控系统的端口,设置相关的数据修改命令对微电网实时虚假数据注入攻
击实验。
场安全数据采集终端通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据
并转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据。
判断数据传输是否安全。
略。
设备监控系统、MODBUS RTU现场总线和MODBUS主站,网络传输层包含工业现场安全数据采
集终端和网络隔离设备,平台应用层包括Dos攻击模拟软件和虚假数据注入攻击模拟软件。
Dos攻击模拟软件和虚假数据注入攻击软件可以定位MODBUS主站的IP地址以及连接微电网
现场设备监控系统的端口,通过设置数据包发送的频率,数据包的大小和数据包内容等相
关参数进行攻击实验,网络隔离设备通过交换机与工业现场安全数据采集终端对接,接收
工业现场安全数据采集终端的数据,通过以太网接收平台应用层下发的数据包,工业现场
安全数据采集终端通过以太网与MODBUS主站进行对接,接收MODBUS主站需要上传的数据并
转发至网络隔离设备,通过交换机与网络隔离设备对接,接收网络隔离设备下发的数据。
Wireshark抓包软件负责抓取并分析通过以太网络进出MODBUS主站的数据包,可以判断数
据包发送方的IP地址、数据包的内容和数据包的数量等关键信息,判断数据传输是否安全。
对于虚假数据注入攻击实验,力控监控软件在实验前后通过CMO6端口下发查询命令确认微
电网实时运行参数是否并修改,若修改则调整相应的防护策略。
域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰
或改变,仍应由本发明的权利要求所覆盖。