基于IEC60870-5系列协议工控系统的网络数据异常检测技术

基于IEC60870-5系列协议工控系统的 网络数据异常检测技术 2 摘 要 随着工业化和信息化的融合，工业控制系统的开放性与复杂性逐步增强，所面临的网络安全风险和入侵威胁不断加深。论文为提高工控系统对网络异常数据的检测能力，研究了基于IEC60870-5系列协议工控系统的网络数据异常检测技术，设计了IEC60870-5网络通信数据异常检测系统。论文所做的主要工作如下： （1）通过与传统信息系统作比较，分析工控系统的主要特点。结合实例阐述目前工控系统所受到的安全威胁，介绍当前国内外在工控系统网络安全领域的研究现状。研究工业控制系统中广泛应用的IEC60870-5-104协议和IEC60870-5-103协议，并分析两种协议的脆弱性。 （2）根据IEC60870-5-104协议和IEC60870-5-103协议的脆弱性分析结论，设计两种异常数据检测方法，基于异常数据分类的异常检测方法和基于报文结构的异常检测方法。将常见的异常行为进行总结归纳，并设计相应的异常检测模型。 （3）以异常检测模型为核心结合数据传输时包含的关键信息，建立一套异常检测规则，内容简洁且规则编写灵活。设计基于LAMP架构的网络通信数据异常检测系统，包括原始数据捕获模块、数据包解析模块、异常数据检测模块、数据库模块以及检测系统服务器端模块。 （4）基于TcpReplay网络数据回放工具设计网络通信仿真软件，针对IEC60870-5-104协议和IEC60870-5-103协议中常见的异常行为，编写异常检测规则，设置数据包捕获模式。最后搭建仿真测试平台，利用网络通信仿真软件向异常检测系统所在的目的主机发送异常数据包，验证测试异常检测系统的有效性。 论文最后对全文所做的工作进行总结，并对未来值得进一步研究的问题进行展望。 关键词：工控网络安全、IEC60870-5系列协议、网络数据异常检测、异常数据分类、报文结构 I Abstract With the integration of industrialization and informatization, the openness and complexity of industrial control system (ICS) gradually increased, deepening facing network security risks and threats of invasion. In order to improve the industrial control system on network anomaly data detection capability, the network data anomaly detection technology based on IEC60870-5 series protocol industrial control system is studied, IEC60870-5 network communication data anomaly detection system is designed. The main work of this paper is as follows. (1) Through comparison with the traditional information system, the main characteristics of the industrial control system are analyzed. This paper expounds the security threat of the current industrial control system, and the present research status at home and abroad is introduced. IEC60870-5-104 protocol and IEC60870-5-103 protocol in industrial control system are introduced, and the vulnerability of the two protocols are analyzed. (2) Two anomaly detection methods are designed according to IEC60870-5-103 protocol and IEC60870-5-104 protocol vulnerability analysis conclusion, the anomaly detection method for data classification of anomalies and anomaly detection method based on packet structure. The common abnormal behavior is summarized and the corresponding anomaly detection model is designed. (3) In anomaly detection model as the core and combining with key information of the data being transmitted, establishes a set of anomaly detection rules, concise and write flexible. Anomaly detection system based on the LAMP architecture of network communication data, including the original data capture module, packet parsing module, data anomaly detection module, database module and detection system server module is designed. (4) The network communication simulation software is designed based on the TcpReplay network data playback tool. In view of the common abnormal behavior in the IEC60870-5-104 protocol and IEC60870-5-103 protocol, the abnormal detection rules are written, the data packet capture mode is set up. Finally, the simulation test platform is built, use the network communication simulation software to verify the effectiveness of the network anomaly data system (NADS) designed in this paper. Finally, the full text of the work done is summarized, and the next question is worth further study were discussed. III Key Word: ICS network security, IEC60870-5 series protocol, Anomaly detection of network data,Abnormal data classification,Message structure III 目 录 摘 要 I Abstract III 1. 绪论 1 1.1研究背景与意义 1 1.2工控系统的特点 3 1.3国内外研究现状 5 1.4论文组织架构 6 1.4.1研究内容 6 1.4.2章节安排 7 2. IEC60870-5通信规约及其脆弱性分析 9 2.1 IEC60870-5系列通信规约 9 2.1.1 IEC60870-5-104协议简介 9 2.1.2 IEC60870-5-103协议简介 10 2.2 IEC104协议与IEC103协议的结构实现 11 2.2.1 IEC60870-5-104协议结构 11 2.2.2 IEC60870-5-103协议结构 14 2.3 IEC104协议与IEC103协议脆弱性分析 17 2.4 本章小结 18 3. IEC60870-5网络数据异常检测方法和模型 19 3.1IEC60870-5异常检测方法 19 3.1.1基于异常数据分类的异常检测方法 19 3.1.2基于报文结构的异常检测方法 20 3.2网络数据异常检测模型 22 3.2.1不符合规范报文异常检测模型 23 3.2.2可疑的类型标识异常检测模型 25 3.2.3可疑的传送原因异常检测模型 30 3.3本章小结 31 4. IEC60870-5网络通信数据异常检测系统的设计 33 4.1系统总体设计 33 4.1.1Linux操作系统 33 4.1.2Apache服务器 34 V 4.2基于Libcap的数据捕获和解析 34 4.2.1数据包捕获原理 34 4.2.2基于Libpcap的数据包捕获 35 4.2.3基于Libpcap捕获数据包的处理与解析 38 4.3异常检测模块的设计 44 4.3.1异常检测规则设计 44 4.3.2异常检测程序设计 45 4.4基于PHP和MySQL的检测系统设计 46 4.4.1检测系统数据库设计 46 4.4.2检测系统服务器端设计 48 4.5本章小结 55 5. 基于IEC60870-5网络通信检测系统的仿真测试 57 5.1 IEC60870-5网络通信仿真软件设计 57 5.2测试与验证 58 5.2.1测试平台搭建 58 5.2.2测试与结果分析 59 5.3本章小结 61 6. 总结与展望 63 6.1文章总结 63 6.2未来展望 63 致 谢 65 参考文献 67 VII 图表目录 图 1.1公开的工控系统漏洞的年度变化趋势 2 图 1.2工业控制系统市场分布情况 2 图 1.3工控系统安全时的原则性特点 4 图 2.1 IEC104协议的规约结构 10 图 2.2 ISO模型和EPA模型图 10 图 2.3应用规约数据单元APDU结构 12 图 2.4应用规约控制信息APCI结构图 12 图 2.5应用服务数据单元ASDU的结构 13 图 3.1基于异常分类的检测方法流程图 20 图 3.2 IEC104协议I格式待检数据链表结构 20 图 3.3 IEC103协议待检数据链表结构 21 图 3.4基于报文结构的异常检测方法流程图 22 图 3.5异常数据检测架构图 22 图 3.6异常检测模型结构 23 图 4.1网络通信数据异常检测系统 33 图 4.2基于TCP/IP协议的数据包封装 35 图 4.3 BPF过滤器架构 36 图 4.4 Libpcap工作流程 36 图 4.5 Libpcap数据包捕获编程步骤 37 图 4.6网络通信报文结构图 39 图 4.7原始数据包解析过程 39 图 4