王文婷 徐康 趙曉紅 趙洋 陳劍飛

摘 ? 要：隨著工業(yè)化與信息化的快速交叉融合，工業(yè)網(wǎng)絡(luò)安全問題正在變得越來越嚴(yán)重。針對(duì)智能變電站系統(tǒng)的安全場(chǎng)景，分析了智能變電站中的MMS（Manufacturing Message Specification）報(bào)文傳輸?shù)臅r(shí)間特性，并采用傅里葉變換和小波變換的方法對(duì)MMS報(bào)文傳輸?shù)臅r(shí)間特性進(jìn)行更細(xì)粒度的分析。通過分析，可以得出一種建立報(bào)文傳輸時(shí)間特性基線的方法，用來進(jìn)行智能變電站系統(tǒng)網(wǎng)絡(luò)的異常檢測(cè)。

關(guān)鍵詞：智能變電站;MMS報(bào)文;傅里葉變換;小波變換

中圖分類號(hào)： TP29 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Time Characteristic Analysis of MMS Packet

Transmission in Smart Substation

WANG Wen-ting1？覮，XU Kang2，ZHAO Xiao-hong1，ZHAO Yang1，CHEN Jian-fei3

（1. Electrie Power Research Institute，State Grid Shangdong Electric Power Gompany，Jinan，Shangdong 250000，China;

2. Weihai Power Supply Company，State Grid Shangdong Electric Power Company，Weihai，Shangdong 264200，China;

3. State Grid Shangdong Electric Power Company，Jinan，Shangdong 250000，China）

Abstract： With the rapid combination of industrialization and informatization，the issue of the industrial network security is becoming more and more serious. The security problem of the smart substation system is focused on in this paper，and the time features of the MMS packages is analyzed by the Fourier transform and the wavelet transform methods. A method for establishing a baseline of the time features of the MMS packages is obtained to perform abnormal detection of the network in the smart substation system.

Key words：smart substation;MMS message;Fourier transformation;wavelet transformation

隨著工業(yè)4.0，工業(yè)物聯(lián)網(wǎng)，中國(guó)制造2025等概念的提出，工業(yè)化與信息化正在快速交叉融合，工業(yè)控制系統(tǒng)正向著智能化的方向發(fā)展。未來的工業(yè)系統(tǒng)將呈現(xiàn)垂直整合，水平整合，端到端價(jià)值鏈的數(shù)字化整合的形態(tài)。工業(yè)系統(tǒng)將發(fā)生巨大的變化。與此同時(shí)，這些變化也將使工業(yè)控制網(wǎng)絡(luò)由封閉轉(zhuǎn)向開放。工業(yè)網(wǎng)絡(luò)不再是一個(gè)孤立的網(wǎng)絡(luò)，因此會(huì)面臨很多安全問題[1]。以往的工控系統(tǒng)安全保障方案主要集中在訪問控制，現(xiàn)場(chǎng)總線安全協(xié)議，物理安全等方面。針對(duì)越來越多的APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）攻擊，目前的檢測(cè)與防御手段主要包括沙箱檢測(cè)方案，流量異常監(jiān)測(cè)方案，全流量審計(jì)方案等。這些方案在普通的IT網(wǎng)絡(luò)中可以對(duì)APT攻擊進(jìn)行比較有效的檢測(cè)，但是由于工業(yè)控制網(wǎng)絡(luò)和普通IT網(wǎng)絡(luò)的差異性，例如工業(yè)網(wǎng)絡(luò)協(xié)議私有，同時(shí)會(huì)伴隨著大量的心跳與輪詢數(shù)據(jù)傳輸?shù)?，傳統(tǒng)的IT網(wǎng)絡(luò)的安全保障方案并不能完全解決工業(yè)控制網(wǎng)絡(luò)中的安全問題[2]。因此，針對(duì)工業(yè)網(wǎng)絡(luò)中的異常檢測(cè)已經(jīng)成為了一個(gè)新的研究熱點(diǎn)[3-6]。

以電力系統(tǒng)中的智能變電站[7]為例，變電站是電力系統(tǒng)中變換電壓、接受和分配電能、控制電力的流向和調(diào)整電壓的電力設(shè)施。它通過其變壓器將各級(jí)電壓的電網(wǎng)聯(lián)系起來。而智能變電站是指通過智能設(shè)備以全站信息數(shù)字化、通信平臺(tái)網(wǎng)絡(luò)化、信息共享標(biāo)準(zhǔn)化為基本要求，自動(dòng)完成信息采集、測(cè)量、控制、保護(hù)、計(jì)量和監(jiān)測(cè)等基本功能，并可根據(jù)需要支持電網(wǎng)實(shí)時(shí)自動(dòng)控制、智能調(diào)節(jié)、在線分析決策、協(xié)同互動(dòng)等高級(jí)功能的變電站。與傳統(tǒng)變電站不同，智能變電站采用IEC61850的標(biāo)準(zhǔn)。這是一個(gè)國(guó)際通用的變電站自動(dòng)化系統(tǒng)。它對(duì)于設(shè)備的行為，數(shù)據(jù)的命名以及定義都進(jìn)行了規(guī)范。智能變電站使用電子式互感器替代傳統(tǒng)的電壓互感器，使用光纖接線替代傳統(tǒng)的信號(hào)電纜硬接線，傳輸?shù)臄?shù)據(jù)也變?yōu)閿?shù)字量。

根據(jù)IEC61850標(biāo)準(zhǔn)，智能變電站由三層兩網(wǎng)構(gòu)成，如圖1所示。三層，即站控層，間隔層和過程層。其中，站控層主要包括監(jiān)控，遠(yuǎn)動(dòng)和故障信息系統(tǒng);間隔層主要包括保護(hù)裝置和測(cè)控裝置;過程層包括模擬量收集終端合并單元和實(shí)現(xiàn)開關(guān)輸入輸出的智能單元。兩網(wǎng)指的是過程層網(wǎng)和站控層網(wǎng)。其中，過程層網(wǎng)主要傳輸GOOSE報(bào)文和SV報(bào)文。GOOSE（Generic Object Oriented Substation Event）指的是面向通用對(duì)象的變電站事件。GOOSE報(bào)文是一種二層報(bào)文，主要用于傳輸跳閘，遙控，啟動(dòng)失靈，連鎖，自檢信息等。SV（Sample Value）報(bào)文也是一種二層報(bào)文，主要傳輸電壓和電流的采樣值。站控層網(wǎng)主要傳輸MMS報(bào)文。MMS（Manufacturing Message Specification）即制造報(bào)文規(guī)范，是一種通用通信協(xié)議，可以用于多種通用工業(yè)控制設(shè)備之間的通信。在變電站IEC61850規(guī)約下，MMS用來實(shí)現(xiàn)站控層與間隔層之間的通信。MMS是OSI七層模型中的一種應(yīng)用層協(xié)議，在變電站中主要用于控制指令下發(fā)，測(cè)量數(shù)據(jù)上報(bào)等用途。

由于智能變電站采用信息網(wǎng)絡(luò)代替?zhèn)鹘y(tǒng)的電纜來傳輸測(cè)量信號(hào)和控制信號(hào)，所以信息網(wǎng)絡(luò)的安全直接關(guān)系到變電站的運(yùn)行安全。如果變電站的信息網(wǎng)絡(luò)遭到攻擊，則會(huì)導(dǎo)致變電站運(yùn)行異常甚至崩潰，造成嚴(yán)重的生產(chǎn)事故。

與一般的IT網(wǎng)絡(luò)不同，由于工業(yè)網(wǎng)絡(luò)中經(jīng)常存在輪詢，診斷，周期刷新等業(yè)務(wù)，工業(yè)網(wǎng)絡(luò)中傳輸?shù)膱?bào)文在時(shí)間上通常具有一定的規(guī)律。變電站網(wǎng)絡(luò)如果遭到入侵導(dǎo)致工作異常，其報(bào)文傳輸?shù)臅r(shí)間特性通常會(huì)發(fā)生變化。因此對(duì)變電站網(wǎng)絡(luò)中報(bào)文傳輸?shù)臅r(shí)間特性進(jìn)行分析，可以為變電站網(wǎng)絡(luò)是否遭到入侵提供一種檢測(cè)的方法。本文對(duì)變電站中的MMS報(bào)文進(jìn)行聚合，并采用傅里葉變換和小波變換的方法對(duì)的傳輸時(shí)間特性進(jìn)行了不同粒度的

分析。

結(jié)構(gòu)如下：第1章對(duì)MMS報(bào)文進(jìn)行聚合，并按照聚合結(jié)果畫出報(bào)文傳輸?shù)臅r(shí)間特性曲線;第2章采用傅里葉分析的方法對(duì)報(bào)文周期性進(jìn)行檢測(cè);第3章采用小波變換的方法對(duì)MMS報(bào)文傳輸?shù)臅r(shí)

間特性進(jìn)行了更細(xì)粒度的分析;最后，第4章給出

結(jié)論。

1 ? MMS報(bào)文類型與時(shí)間特性分析

如前所述，在智能變電站中，MMS報(bào)文用于控制指令下發(fā)，測(cè)量數(shù)據(jù)上報(bào)等用途。例如上位機(jī)需要下達(dá)跳閘控制指令，則上位機(jī)向合并單眼發(fā)送MMS報(bào)文，合并單元收到上位機(jī)的MMS報(bào)文以后會(huì)向智能終端發(fā)送GOOSE報(bào)文，以執(zhí)行跳閘指令。如果變電站中出現(xiàn)異常情況，例如異常跳閘，也會(huì)在短時(shí)間出發(fā)大量的MMS報(bào)文。而在變電站正常運(yùn)行且沒有控制指令下發(fā)時(shí)，站控層網(wǎng)絡(luò)中仍然會(huì)有MMS報(bào)文傳輸。這些MMS報(bào)文主要是診斷和心跳的報(bào)文。

1.1 ? MMS報(bào)文聚合

在變電站系統(tǒng)中，每臺(tái)上位機(jī)會(huì)同時(shí)跟多個(gè)間隔層設(shè)備進(jìn)行通信，通信所采用的協(xié)議使用TCP/IP協(xié)議。因此可以根據(jù)報(bào)文中的IP地址和端口號(hào)首先對(duì)MMS報(bào)文進(jìn)行聚合，即按照連接將MMS報(bào)文聚合在一起，結(jié)果如表1所示。

由于在實(shí)際的數(shù)據(jù)中連接的數(shù)量較多，在表1中只給出了示例的連接統(tǒng)計(jì)結(jié)果。從表1中可以看出，每個(gè)連接中傳輸MMS報(bào)文的源端口和目的端口只有一個(gè)，而且在變電站的運(yùn)行過程中保持不變。對(duì)于上位機(jī)來說，每次發(fā)送報(bào)文都是采用102端口，但不同的間隔層設(shè)備，接收?qǐng)?bào)文的端口可能會(huì)不同。

給定一個(gè)連接，例如IP地址 （172.16.0.73，172.16.0.182）所對(duì)應(yīng)的連接，對(duì)其傳輸?shù)腗MS報(bào)文進(jìn)行更深層次的解析，會(huì)發(fā)現(xiàn)在這兩個(gè)IP之間傳輸?shù)腗MS報(bào)文不止一種。源IP為172.16.0.182，目的IP為172.16.0.73的MMS報(bào)文只有Confirmed_Request一種。統(tǒng)計(jì)相鄰兩次Confirmed_Request報(bào)文發(fā)送的時(shí)間間隔，然后以報(bào)文序號(hào)為橫坐標(biāo)，以相鄰兩次MMS報(bào)文的時(shí)間間隔為縱坐標(biāo)畫出圖表，如圖2所示。

從圖2中看出，request報(bào)文整體的發(fā)送時(shí)間間隔都很接近，但會(huì)出現(xiàn)一些間隔特別長(zhǎng)的情況，也就是圖1中的尖峰。這些尖峰的高度沒有規(guī)律，但尖峰的間隔較有規(guī)律，也就是說，Confirmed_Request報(bào)文的每發(fā)送一定數(shù)量的數(shù)據(jù)包之后就會(huì)出現(xiàn)停頓的情況。

源IP為172.16.0.73，目的IP為172.16.0.182之間包含有response報(bào)文和unconfirmed報(bào)文。按照上述方法分別畫出兩種報(bào)文的時(shí)間特性曲線，如圖3和圖4所示。

從圖3中可以看出，response類型的報(bào)文和request類型的報(bào)文傳輸?shù)臅r(shí)間間隔分布特性基本相同。從圖4中可以看出，unconfirmed報(bào)文的傳輸時(shí)間間隔與response報(bào)文和request報(bào)文的時(shí)間分布差距較大。而且在實(shí)際的數(shù)據(jù)中，unconfirmed報(bào)文數(shù)量遠(yuǎn)小于request報(bào)文和response報(bào)文的數(shù)量。

更進(jìn)一步，智能變電站中的request報(bào)文和response報(bào)文中都對(duì)應(yīng)有invokeID字段。按照該字段將request和response報(bào)文進(jìn)行聚合。通過報(bào)文中的時(shí)間戳可以算出在發(fā)送request請(qǐng)求報(bào)文到收到response報(bào)文所需的時(shí)間間隔。以request報(bào)文的出現(xiàn)次序?yàn)闄M坐標(biāo)，以上述時(shí)間間隔為縱坐標(biāo)，可以畫出報(bào)文問答間隔的曲線，如圖5所示。

從圖5可以看出，對(duì)于相同的invokeID字段的報(bào)文，其發(fā)送request報(bào)文和收到response報(bào)文的間隔時(shí)間很短。大多數(shù)報(bào)文的間隔時(shí)間都在0.1秒以下，有少部分間隔時(shí)間較長(zhǎng)，但也都在0.5s以下，遠(yuǎn)小于request報(bào)文發(fā)送的時(shí)間間隔。且發(fā)送request報(bào)文和收到response報(bào)文間隔時(shí)間分布沒有明顯的規(guī)律。

由于圖2和圖3中所示的request報(bào)文和response報(bào)文發(fā)送的時(shí)間間隔分布基本相同，所以這里主要分析request報(bào)文。對(duì)request報(bào)文進(jìn)行更深層次的解析發(fā)現(xiàn)，request報(bào)文包含有read和write兩種報(bào)文。將這兩種報(bào)文分別提取出來，按照前面的方法分別畫出報(bào)文發(fā)送時(shí)間間隔曲線，如圖6和圖7所示。

從圖6和圖7中可以看出，read類型的報(bào)文數(shù)量遠(yuǎn)遠(yuǎn)少于write類型報(bào)文的數(shù)量。對(duì)于read類型的報(bào)文，其發(fā)送時(shí)間間隔變化不大，在30-32秒之間。而對(duì)于write類型的報(bào)文來說，多數(shù)報(bào)文的發(fā)送時(shí)間間隔在2秒以下，但會(huì)出現(xiàn)有規(guī)律的長(zhǎng)間隔的發(fā)送。同時(shí)，結(jié)合圖2，圖6和圖7可以看出，圖2中曲線的峰值高度不相同主要是由于read報(bào)文無規(guī)律發(fā)送引起。

更進(jìn)一步，對(duì)read報(bào)文和write報(bào)文分別進(jìn)行深入解析，可以發(fā)現(xiàn)read報(bào)文只有一種類型，而write報(bào)文可以根據(jù)其中的itemID進(jìn)行更細(xì)致的分組。將根據(jù)itemID分組以后的報(bào)文按照前面的方法分別畫出時(shí)間特性曲線。由于報(bào)文中itemID較多，所以這里只給出其中的一個(gè)itemID的示例，如圖8所示。

在圖8中，曲線圖上方的文字就是相應(yīng)的曲線所對(duì)應(yīng)的itemID的值。圖8中的曲線具有明顯的周期性特征。也就是說對(duì)于確定類型的write報(bào)文，其發(fā)送的時(shí)間間隔具有一定的規(guī)律性，而不是隨機(jī)分布的。

通過以上分析可以發(fā)現(xiàn)，在變電站中MMS報(bào)文的發(fā)送是有一定的時(shí)間規(guī)律的。通過對(duì)這些規(guī)律進(jìn)行分析與學(xué)習(xí)，可以得到變電站系統(tǒng)的正常行為基線。以上分析主要是采用畫圖的方法進(jìn)行定性的觀察。接下來需要對(duì)報(bào)文的傳輸時(shí)間特性進(jìn)行更深入的分析。這里所采用的方法是傅里葉分析和小波分析。

2 ? MMS報(bào)文傳輸特性的頻域分析

本章采用傅里葉變換的方法對(duì)MMS報(bào)文傳輸?shù)臅r(shí)間特性進(jìn)行分析。

2.1 ? 傅里葉變換簡(jiǎn)介

傅里葉變換是將滿足一定條件的函數(shù)表示為正弦函數(shù)和余弦函數(shù)或者它們的積分的線性組合的形式。對(duì)于給定序列（x0，1，xt，1，xN），假設(shè)序列以N為周期，也就是說有xt = xt + N，那么該序列對(duì)應(yīng)的傅里葉變換也是一條具有N個(gè)值的離散序列，即（x0，1，xk，1，xN），其中，xk定義如下：

傅里葉變換是可逆的變換，基于式（1），其逆變換可以表示為：

?在式（1）和式（2）中，Xk對(duì)應(yīng)周期Tk = N/k的 k次諧波。k次諧波的幅值為Ak = Xk，則功率譜密度（Power Spectral Density，PSD）的計(jì)算式為：

?如果原序列中具有周期性，則其功率譜序列中對(duì)應(yīng)的頻率處會(huì)出現(xiàn)峰值。

2.2 ? MMS報(bào)文傳輸時(shí)間特性的傅里葉分析

從上一章的分析中可以看出，有些MMS報(bào)文傳輸是具有周期性的，有些MMS報(bào)文則沒有確定的規(guī)律。但是在實(shí)際的系統(tǒng)中，由于報(bào)文傳輸量很大，對(duì)報(bào)文傳輸?shù)闹芷谛詸z測(cè)無法通過畫圖來完成，因此，這里采用傅里葉變換的方法檢測(cè)MMS報(bào)文傳輸?shù)闹芷谛浴?/p>

對(duì)于圖8中傳輸時(shí)間具有周期性的MMS報(bào)文，按照式（1）和式（3）中的方法計(jì)算其功率譜，其功率譜圖像如圖9所示。

從圖9可以看到，對(duì)于具有周期性的序列，其功率譜圖像具有明顯的峰值。圖9中所示為完整的功率譜的圖像。對(duì)于離散序列來說，其功率譜是對(duì)稱的，因此只需要考慮功率譜圖像的左半部分。在圖9中，我們可以看到在0.2 Hz的時(shí)候出現(xiàn)了第一個(gè)尖峰，在0.4 Hz的時(shí)候出現(xiàn)了第二個(gè)尖峰。因此可以判斷出源序列中存在周期性，其周期為。

對(duì)于圖5所示的非周期信號(hào)，其功率譜圖像如圖10所示。

從圖10可以看出，對(duì)于非周期序列，其功率譜圖沒有明顯的峰值。

采用傅里葉變換的方法可以對(duì)MMS報(bào)文的周期性進(jìn)行檢測(cè)。如果MMS報(bào)文的周期性發(fā)生變化，則可能對(duì)應(yīng)了控制指令下發(fā)或者異常情況發(fā)生。

3 ? MMS報(bào)文傳輸特性的小波分析

本章采用小波變換[9]的方法對(duì)MMS報(bào)文傳輸?shù)臅r(shí)間特性進(jìn)行分析。

3.1 ? 傅里葉變換的局限

在第2章中，我們采用了傅里葉分析的方法將時(shí)域序列變換到頻域，然后檢測(cè)信號(hào)的周期性。但是傅里葉變換主要用來針對(duì)平穩(wěn)信號(hào)做分析，也就是統(tǒng)計(jì)特性不隨時(shí)間的變化而變化的信號(hào)。對(duì)于非平穩(wěn)信號(hào)，傅里葉變換就不能很好地分析了。

如圖11所示，圖11（a）是一個(gè)標(biāo)準(zhǔn)的正弦曲線，圖11（b）是其對(duì)應(yīng)的功率譜。圖11（c）是圖11（a）的正弦曲線基礎(chǔ)上出現(xiàn)了一個(gè)微小的尖峰，圖11（d）為對(duì)應(yīng)的功率譜圖像?？梢钥闯觯瑑蓚€(gè)功率譜圖像基本相同，從功率譜圖像中并不能反映出時(shí)域信號(hào)的微小變化。在圖12中，對(duì)同樣的函數(shù)應(yīng)用Haar小波變換，可以看出小波變換可以對(duì)微小的尖峰進(jìn)行檢測(cè)。在實(shí)際的變電站系統(tǒng)中，MMS報(bào)文的變化并不都會(huì)是大時(shí)間尺度的，也就是說采用分析平穩(wěn)信號(hào)的方法不能有效監(jiān)測(cè)MMS報(bào)文傳輸時(shí)間特性的小范圍變化。因此，這里采用小波變換的方法來細(xì)粒度的檢測(cè)MMS報(bào)文傳輸?shù)臅r(shí)間特性變化。

3.2 ? MMS報(bào)文傳輸特性的小波分析

如前所述，如果變電站中MMS報(bào)文傳輸發(fā)生非常微小的變化，則傅里葉變換無法精確的檢測(cè)出這種變化。由于變化十分微小，所以在時(shí)域上面檢測(cè)這種變化也會(huì)比較困難。而采用小波變換的方法檢測(cè)這種微小變化可以得到較好的效果。

如圖13所示是對(duì)圖8中的序列進(jìn)行小波變換以后所得到的結(jié)果。在圖13（b）中，時(shí)域信號(hào)發(fā)生了微小的變化。這種時(shí)域的變化不容易直接檢測(cè)，也無法采用傅里葉分析的方法進(jìn)行檢測(cè)。但是采用Haar小波變換的方法卻可以檢測(cè)這種變化，如圖13（b）中間的曲線圖所示，時(shí)域序列的微小變化會(huì)引起小波變換以后的結(jié)果發(fā)生較大的變化。通過檢測(cè)這種變化，即可檢測(cè)到原始時(shí)域序列的變化，進(jìn)而檢測(cè)報(bào)文傳輸?shù)漠惓！?/p>

4 ? 結(jié) ? 論

對(duì)智能變電站中的MMS報(bào)文的傳輸時(shí)間特性進(jìn)行了分析，并采用傅里葉分析和小波分析的方法從不同粒度上分析了MMS報(bào)文傳輸?shù)臅r(shí)間特性。通過對(duì)報(bào)文傳輸時(shí)間特性的分析，可以建立報(bào)文的時(shí)間特性基線，作為進(jìn)一步的異常檢測(cè)的基礎(chǔ)。

參考文獻(xiàn)

[1] ? ?RALSTON P A S，GARHAM J H，HIEB J L. Cyber security risk assessment for SCADA and DCS networks[J]. ISA Transactions，2007，46（4）：583—594.

[2] ? ?KEITH S，JOE F，KAREN S. SP 800-82 guide to industrial control systems（ICS） security[P]. National Institute of Standards & Technology，2011.

[3] ? ?GARCIA T P，DIAZ V J，MACIA F G，et al. Anomaly-based network intrusion detection：techniques，systems and challenges[J]. Computers & Security，2009，28（1）：18—28.

[4] ? ?National infrastructure plan[R]. Washington DC，USA：Department of Homeland Security，2009.

[5] ? ?Critical infrastructure protection：challenges and efforts to secure control systems. GAO-04-3 54[R]. Washington DC，USA：General Accounting Office（GAO），2004.

[6] ? ?BRANDLE M，NAEDELE M. Security for process control systems：an overview[J]. IEEE Security & Privacy，2008，6（6）：24—29.

[7] ? ?李孟超，王允平，李獻(xiàn)偉，等. 智能變電站及技術(shù)特點(diǎn)分析[J]. 電力系統(tǒng)維護(hù)與控制，2010，38（18）：59—62.

[8] ? ?冷建華，傅里葉變換[D].北京：清華大學(xué)出版社，2004.

[9] ? ?周宇峰，程景全. 小波變換及其應(yīng)用[J]. 物理，2008，37（1）：24—32.