引文信息
何金栋, 王宇, 赵志超, 等. 智能变电站嵌入式终端的网络攻击类型研究及验证[J]. 中国电力, 2020, 53(1): 81-91.
HE Jindong, WANG Yu, ZHAO Zhichao, et al. Type and verification of network attacks on embedded terminals of intelligent substation[J]. Electric Power, 2020, 53(1): 81-91.
嵌入式终端广泛应用于智能变电站中,是电力工控系统的重要组成部分。嵌入式终端在使电网更加智能化的同时,也带来了更多的安全风险。研究表明,大部分嵌入式终端存在安全漏洞,有些嵌入式系统的固件还存在厂商植入的后门,容易遭受DoS、虚假数据注入等网络攻击,存在“一点突破,影响全网”的风险。因此,如何应对嵌入式终端引入的安全风险,成为智能变电站进一步发展必须解决的问题。智能变电站嵌入式终端运行周期长,且所承载的业务具有连续性要求,一旦上线,系统更新很难、漏洞修补不易。因此,上线前的安全测试与漏洞修补极为重要。
论文基于智能变电站嵌入式终端及其通信协议的脆弱性,从攻击检测所需要的数据源和检测方法的角度,总结了智能变电站嵌入式终端可能遭受的网络攻击类型;通过构造攻击工具,对与电力工控系统通信协议相关的泛洪类和报文类两类网络攻击进行了实验测试,验证了攻击的可能性和对电力一次系统的影响,揭示了智能变电站的网络空间安全风险。论文工作可以帮助终端生产者在终端上线前尽最大可能消除其存在的安全脆弱性,也可为智能变电站嵌入式终端的上线前安全测试和智能变电站的网络攻击主动防御系统研发提供参考。
依据攻击检测所需要的数据源和检测方法,智能变电站嵌入式终端可能遭受的网络攻击可归纳为3大类:报文攻击、泛洪攻击和恶意代码攻击。1)报文攻击:攻击者通过篡改、伪造和重放报文实施的攻击。这类攻击包括:通过构造畸形报文造成终端拒绝服务;通过篡改、伪造和重放业务报文对一次设备进行恶意控制或伪造量测数据干扰运行控制和调度决策;通过重放报文实施中间人攻击,实现身份伪造。2)泛洪攻击:攻击者通过发送大量报文实施的攻击。这类攻击可以造成网络资源耗尽或终端拒绝服务,以致电力业务发生延迟甚至中断。3)恶意代码攻击:攻击者利用终端上存在的漏洞向终端植入恶意代码实施的攻击。这类攻击可能使攻击者恶意控制终端、删除重要配置文件和以此终端为跳板实施其它攻击。
图1 智能变电站嵌入式终端可能遭受的网络攻击类型
按照如图2所示的流程对图1中的泛洪类和报文类网络攻击进行了分析与测试。
图2 智能变电站嵌入式终端攻击验证流程
论文依据IEC 61850智能变电站三层两网的实际运行结构搭建了攻击测试环境,拓扑如图3。
图3 攻击测试环境拓扑
图1中列出的泛洪类攻击中,ICMP泛洪、UDP泛洪、SYN泛洪、Smurf和TCP Land等攻击为针对TCP/IP协议脆弱性的攻击,且实施极其容易,因此,文章通过分析这5种攻击的原理,构造了相应的攻击工具,并在测试环境中进行了测试。测试结果显示终端对于泛洪类攻击的抵抗能力较弱,特别是ICMP泛洪、UDP泛洪、SYN泛洪攻击、TCP Land等,当其遭受这些泛洪攻击时,无法响应站控主机下发的控制命令,严重时甚至会宕机,必须依靠重启才能恢复正常运转,且这些影响在遭遇攻击后随即出现;Smurf攻击的效果与同一网段的主机数量有关,主机数少时攻击效果不明显。泛洪类攻击实现非常简单,因此,可以认为,泛洪攻击属于一类电网嵌入式终端极易遭受的网络攻击,并会引起电力一次设备的拒动,从而影响电网的正常运行控制,对电网的安全稳定运行是一个巨大的威胁。上述泛洪攻击利用的是TCP/IP协议的脆弱性,只要是运行TCP/IP协议栈的终端都会遭受这一类攻击,必须在电力工控系统中部署在线的抵御措施才能避免或减少其造成的危害,且ICMP泛洪、UDP泛洪、SYN泛洪、TCP Land攻击这4种攻击是防御的重点。图1中列出的报文类攻击中,Ping of death、Teardrop、CVE-2012-0207漏洞和GOOSE畸形报文等攻击是针对系统或软件脆弱性的攻击,且实施极其容易;而GOOSE报文跳变等攻击是针对电力业务报文发起的攻击,旨在恶意控制电力一次设备误动,从而引发电力事故的发生。因此,论文通过分析这5种攻击的原理,构造了相应的攻击工具,并在测试环境中进行了测试。测试表明,在过程层网络中,攻击者可以通过篡改GOOSE控制报文恶意控制一次设备误动,但需要攻击者具有一定的电力背景,且对攻击的电力业务环境比较熟悉。此外,构造攻击报文的一些信息需要从SCD文件中获取,因此,SCD文件的安全性非常重要,而目前变电站中SCD文件是明文存放的,这将是一个安全隐患。Ping of death、Teardrop和CVE-2012-0207漏洞攻击与终端的系统有关,部分终端不会受其影响;GOOSE畸形报文攻击与终端上运行的应用软件相关,部分终端不会受其影响。因此,可以认为,报文攻击也属于一类电网嵌入式终端极易遭受的网络攻击,并会引起电力一次设备的误动或拒动,影响电网的正常运行控制,对电网的安全稳定运行是一个巨大的威胁。由于Ping of death、Teardrop、CVE-2012-0207漏洞和GOOSE畸形报文攻击利用的是系统或软件脆弱性,只要是搭载存在漏洞的系统或应用程序的终端都会遭受这一类攻击,因此,必须在终端上线前通过改进系统或应用软件解决。此外,由于GOOSE报文跳变攻击利用的是GOOSE报文使用明文传输控制业务这一特点,只要是接受GOOSE控制报文的终端都会遭受这一类攻击,因此,必须在电力工控系统中部署在线的抵御措施才能避免或减少其造成的危害。
智能变电站嵌入式终端系统及其通信协议均存在安全脆弱性,使得终端可能遭受泛洪攻击、报文攻击与恶意代码攻击。泛洪攻击和畸形报文极易导致终端拒绝服务,报文篡改攻击可直接恶意控制电力一次设备,给电力一次系统安全稳定运行带来极大安全风险,必须从上线前安全测试和在线安全防护两个方面保障智能变电站嵌入式终端的安全运行。
第一作者:何金栋(1982—),男,硕士,高级工程师,从事网络安全技术研究。E-mail: dky.he_jindong@fj.sgcc.com.cn。
第二作者:王宇(1996—),男,硕士研究生,从事电力工控系统安全研究。E-mail: 564943524@qq.com。
◀《中国电力》2021年第3期目录
◀【精彩论文】基于移动无线传感网的电缆通道应急监测系统
◀【精彩论文】基于多预测模型融合的电力变压器安全预判
◀【精彩论文】考虑灾害事件攻防顺序的电网防灾资源分配策略
◀【精彩论文】降雨滑坡灾害对输电杆塔故障的时空强在线预警
◀【征稿启事】“面向数字化转型的电力系统大数据分析技术”专题征稿启事
◀【征稿启事】“交通-能源耦合互联复杂网络理论与技术”专栏征稿启事
◀【征稿启事】“面向‘双高’电力系统的电、热、氢储能应用与协同”专题征稿启事
◀【征稿启事】“能源转型背景下增强电力系统弹性方法”专题
编辑:杨彪
审核:方彤
根据国家版权局最新规定,纸媒、网站、微博、微信公众号转载、摘编《中国电力》编辑部的作品,转载时要包含本微信号名称、二维码等关键信息,在文首注明《中国电力》原创。个人请按本微信原文转发、分享。欢迎大家转载分享。