[发明专利]基于虚拟元件主动诱骗的电力调度SCADA入侵检测方法

说明书

技术领域

本发明涉及一种电力调度SCADA系统入侵检测方法，具体涉及一种基于主动诱骗、虚拟重要元件引诱入侵者攻击的入侵检测方法。

背景技术

作为现代社会的关键性基础设施，电力系统是网络攻击的高价值目标。在电力系统的数字化和网络化发展过程中，电力系统逐渐发展成为由信息系统和物理电网融合构成的混杂系统。其中，电网的调度控制和生产管理高度依赖于信息系统，发生信息安全事件可能引发的后果显著上升。美国还专门组建网络司令部，专门从事电力等领域的网络攻击与防卫研究。

当前，电力系统信息安全研究侧重于边界防护，对恶意软件入侵以后的行为模式与防护方法研究相对有限。2010年新出现的震网病毒（Stuxnet），可以通过优盘传播攻击物理隔离的特定重要目标。采用类似震网病毒的方式，由有深厚电力系统背景知识的有组织攻击方制作的恶意软件侵入电力系统实时控制区，确实是存在现实可能性的。

为保证生产控制区的信息安全，它和其他电力信息系统在网络物理层实现隔离，如在调度中心和厂站之间通过专用的调度数据网进行经认证加密的远程通信，同一厂站的不同安全区之间设置隔离防火墙，并在生产控制大区边界设置入侵检测系统；对设备厂家的拨号接入采用加密、认证和访问控制措施，在安全区内则对恶意代码等攻击行为通过离线更新病毒库、木马库、入侵检测库等方式防护。总体来看，电力信息安防主要针对网络和基于网络的电力生产控制系统，重点强化边界防护，提高内部安全防护能力。传统上，物理隔离被认为是网络攻击难以逾越的天然屏障，包括电力系统在内、对安全性有较高要求的信息系统都以此为准则构建核心网络。当前，电力企业的信息安全防御思想主要还是侧重于边界防护，并假定隔离的生产网络自身是安全的。

总体来看，电力信息安防主要针对网络和基于网络的电力生产控制系统，重点强化边界防护，提高内部安全防护能力。传统上，物理隔离被认为是网络攻击难以逾越的天然屏障。2010年出现的震网病毒颠覆了这一认识。首先，该病毒借助强化设计的优盘传播机制，可以绕过安全边界攻击物理隔离的工业控制系统；其次，因杀毒软件仅能查杀已知病毒，而震网病毒利用多个零日漏洞，杀毒软件无法查杀；最后，因震网病毒有精确的破坏目标且对目标系统有深刻认识，它不会像普通病毒、木马一样大肆传播，还可以无需通信试探即可准确修改攻击目标的控制参数、实施破坏，这种行为模式与一般的恶意软件和病毒有明显差异，现有的被动式入侵检测系统很难准确捕捉。综上，当前对类似震网病毒的恶意软件缺乏针对性的防御手段。

在电力企业的各种信息系统中，调度SCADA涉及电网全局的监视与控制，一旦侵入即可能造成全网性事故，是最具价值的攻击目标。为保障调度SCADA系统的信息安全，我国电力企业将其置于最核心的生产控制安全Ⅰ区，和其他安全区之间在网络物理层实现隔离。在调度SCADA和厂站之间通过专用的调度数据网进行经认证加密的远程通信，并在生产控制大区边界设置入侵检测系统；对设备厂家的拨号接入采用加密、认证和访问控制措施，在安全区内则对恶意代码等攻击行为通过离线更新病毒库、木马库、入侵检测库等方式防护。

对电力系统及调度SCADA有深入认识的有组织攻击方，同样可以采用类似震网病毒的传播机制，经系统或设备厂家维护升级渠道，绕过安全防护边界侵入生产控制安全区向SCADA发起针对性攻击。由于SCADA系统对电网、一次设备及其控制地址和端口均以数据表形式记录，图1即为根据网络公开渠道搜集的电力调度SCADA系统数据库表结构信息。对有组织攻击方而言，其可根据SCADA的详细数据表结构，查找各变压器、发电机及输配电线路的信息及其关联断路器的IP地址、MAC地址和端口号，再根据SCADA的通信协议发送跳闸控制命令和返校信号，诱使线路跳闸。为了最大化破坏效果，熟知调度SCADA系统结构的攻击方还可获取电网信息，控制对电网安全稳定运行有突出影响的、具有较高电压等级的线路、具有较大发电装机容量的发电机或是具有较高电压等级和较大变电容量的变压器关联的断路器跳闸，以扩大破坏效果，造成大面积停电事故。从攻击方入侵目的出发，可以为实现电力调度系统的主动信息安全防护提供新的思路。

发明内容