基于指紋的協(xié)議識(shí)別及安全風(fēng)險(xiǎn)預(yù)警

葉水勇

(國網(wǎng)安徽省電力有限公司黃山供電公司，安徽 黃山 245000)

0 引 言

電力系統(tǒng)的安全穩(wěn)定運(yùn)行是關(guān)系社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展的共性問題[1]，2015年12月23日，烏克蘭電網(wǎng)因遭受黑客攻擊而導(dǎo)致大面積停電，這次事件進(jìn)一步提高了國網(wǎng)公司對(duì)電力工控系統(tǒng)信息安全問題的關(guān)注。隨著“大云物移”等新技術(shù)在電力系統(tǒng)的應(yīng)用和智能電網(wǎng)的發(fā)展，電力工控側(cè)的信息安全問題將更加突出[2]。為適應(yīng)“互聯(lián)網(wǎng)+”和能源互聯(lián)網(wǎng)的發(fā)展，保障電力工控側(cè)的信息安全，亟需針對(duì)電力工控系統(tǒng)研究開發(fā)信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)和工具。

1 研究內(nèi)容

1.1 電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)協(xié)議指紋分析

對(duì)于網(wǎng)絡(luò)協(xié)議指紋的選擇，即對(duì)n維特征屬性的選擇，是網(wǎng)絡(luò)協(xié)議識(shí)別面臨的主要問題。原則上選擇可以基于任何可獲得信息，包括基于單個(gè)數(shù)據(jù)包的信息與基于整個(gè)數(shù)據(jù)包集合的信息等，然而不同的特征選取對(duì)識(shí)別算法的準(zhǔn)確性、時(shí)間復(fù)雜度和空間復(fù)雜度有很大影響。網(wǎng)絡(luò)協(xié)議指紋的屬性可以從以下幾個(gè)方面進(jìn)行研究，如圖1所示。

圖1 網(wǎng)絡(luò)指紋分析的研究流程圖

1.1.1 端口分析

TCP/IP網(wǎng)絡(luò)模型中，傳輸層協(xié)議根據(jù)端口對(duì)應(yīng)用層協(xié)議進(jìn)行復(fù)用和解復(fù)用，故數(shù)據(jù)包中的傳輸層端口指明了其所屬應(yīng)用層協(xié)議類別[3-4]。互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(Internet Assigned Numbers Authority，IANA)定義了標(biāo)準(zhǔn)應(yīng)用層協(xié)議所使用的約定端口號(hào)，如DNS協(xié)議使用TCP 53端口、UDP 53端口，F(xiàn)TP控制協(xié)議使用TCP 21端口等。

端口的使用并無強(qiáng)制規(guī)定，IANA給出的只是建議端口，協(xié)議在具體實(shí)現(xiàn)過程中可自行選擇所用端口。……