本實用新型涉及工業(yè)控制系統(tǒng)信息安全領(lǐng)域，特別涉及一種針對DNP協(xié)議的異常流量檢測平臺。

背景技術(shù)：

由于DNP3.0的設(shè)計結(jié)構(gòu)具有靈活性和復(fù)雜性，這些靈活性和復(fù)雜性都使得攻擊者更有可能利用協(xié)議本身的規(guī)則進(jìn)行欺騙型攻擊如命令注入攻擊。命令注入攻擊是命令本身合乎協(xié)議規(guī)則，屬于欺騙型攻擊，一旦插入系統(tǒng)網(wǎng)絡(luò)后，正常和惡意代碼一并執(zhí)行，導(dǎo)致信息泄露或者正常數(shù)據(jù)的破壞，惡意命令掌控外站和網(wǎng)絡(luò)，最終引起系統(tǒng)的崩壞。如何檢測具有信息安全隱患的DNP3.0協(xié)議控制系統(tǒng)或設(shè)備成為一個重要問題。目前，工業(yè)控制網(wǎng)絡(luò)常用的安全防護(hù)手段主要以TCP/IP為主的以太網(wǎng)通信網(wǎng)絡(luò)作為對象，提出了大量的防護(hù)和檢測的解決方案，而對以DNP3.0為代表的工業(yè)現(xiàn)場通信協(xié)議缺乏具體的防護(hù)和檢測手段。

技術(shù)實現(xiàn)要素：

本實用新型的目的在于提供一種實現(xiàn)對電力SCADA系統(tǒng)和設(shè)備的DNP3.0通信的流量分析、解決電力SCADA系統(tǒng)信息安全的設(shè)備級檢測問題、防范基于DNP3.0的信息安全攻擊的針對DNP3.0協(xié)議的異常流量檢測平臺。

本實用新型的目的是通過以下技術(shù)方案實現(xiàn)的：

一種針對DNP協(xié)議的異常流量檢測平臺，其特征在于：包括模擬設(shè)備、DNP3.0流量記錄裝置、被測試設(shè)備和DNP3.0異常流量分析裝置；所述模擬設(shè)備模擬無信息安全隱患且無故障的正常設(shè)備站；所述DNP3.0流量記錄裝置設(shè)置在模擬設(shè)備和被測試設(shè)備之間并截獲由DNP3.0通信流量形成的DNP3.0報文，并且DNP3.0流量記錄裝置與DNP3.O異常流量分析裝置通信相連；所述被測試設(shè)備通過其調(diào)試端口與DNP3.O異常流量分析裝置數(shù)據(jù)相連；所述DNP3.O異常流量分析裝置接收并分析截獲的所有DNP3.0報文。

所述DNP3.0流量記錄裝置通過RS485和/或RS232形式的串口線纜與所述模擬設(shè)備和被測試設(shè)備通信相連。

所述DNP3.0流量記錄裝置與DNP3.O異常流量分析裝置通過雙絞線形式的以太網(wǎng)相連。

所述模擬設(shè)備為基于嵌入式技術(shù)的仿真硬件平臺和/或具有實際應(yīng)用功能的具體工業(yè)控制設(shè)備。例如PLC、RTU、智能儀表、HMI等。仿真硬件平臺包括但不限于具有網(wǎng)絡(luò)仿真軟件（MATLAB、OPNET、NS2等）的機架式計算機。模擬設(shè)備為機柜式結(jié)構(gòu)，安裝2U或3U機架式計算機，部分具體工業(yè)控制設(shè)備采用DIN導(dǎo)軌安裝。

所述被測試設(shè)備為單個工業(yè)控制設(shè)備和/或一套SCADA系統(tǒng)。

所述DNP3.0流量記錄裝置包括至少兩個支持DNP3.0協(xié)議的RS232或RS485接口，部署于模擬設(shè)備和被測試設(shè)備之間實現(xiàn)對DNP3.0協(xié)議流量的截獲和記錄形成DNP3.0報文，并通過網(wǎng)絡(luò)將DNP3.0報文發(fā)送給DNP3.0異常流量分析裝置。這樣DNP3.0流量記錄裝置具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能，其流量抓取的結(jié)果通過以太網(wǎng)傳給DNP3.O異常流量分析裝置用于進(jìn)一步的分析。

所述被測試設(shè)備為多個工業(yè)控制設(shè)備和/或仿真設(shè)備，被測試設(shè)備和DNP3.0流量記錄裝置之間通過工業(yè)串口交換機相連。

帶有DNP3.0異常流量分析裝置的計算機搭載了DNP3.0異常流量分析系統(tǒng)或軟件，并且具有多個以太網(wǎng)卡。

所述DNP3.O異常流量分析裝置包括殼體和設(shè)置在殼體內(nèi)并與主控制模塊數(shù)據(jù)相連的DNP3.0通信模塊、網(wǎng)絡(luò)通信模塊、看門狗模塊、Bypass模塊和存儲模塊和，還設(shè)置有電源模塊為裝置各部件供電；殼體上設(shè)置有協(xié)議信號接口、網(wǎng)絡(luò)接口、撥碼開關(guān)、運行狀態(tài)燈和電源開關(guān)，協(xié)議信號接口與DNP3.0通信模塊相連，網(wǎng)絡(luò)接口與網(wǎng)絡(luò)通信模塊相連；看門狗模塊監(jiān)測主控制模塊的運行狀態(tài)，并控制管理Bypass模塊和電源模塊，Bypass模塊還與DNP3.0通信模塊相連以保證斷電和/或主控制模塊異常時信號正常地通過裝置。

所述主控制模塊為基于ARM Cortex-A8處理器的AM3358開發(fā)板，工作頻率800MHz。具備兩個工業(yè)千兆位以太網(wǎng)接口（10、100 和 1000Mbps）和多個UART通用異步收發(fā)接口。為了保證AM3358能夠正常運行，擴展了256MB的DDR存儲以實時運行程序、1GB的FLASH來存儲入侵檢測程序和基礎(chǔ)數(shù)據(jù)，同時還擴展了一個4GB microSD卡用于存儲系統(tǒng)配置和異常流量特征數(shù)據(jù)。

所述DNP3.0通信模塊包括至少兩個RS485轉(zhuǎn)換電路，DNP3.0通信模塊與主控制模塊之間采用光耦隔離進(jìn)行保護(hù)。兩個RS485轉(zhuǎn)換電路支持終端匹配和無終端匹配兩種模式。

DNP3.0異常流量分析裝置搭載了DNP3.0異常流量分析系統(tǒng)或軟件，實現(xiàn)異常流量的判定，其工作流程如下：

1、訪問DNP3.0流量記錄裝置，讀取截獲的DNP3.0協(xié)議雙向數(shù)據(jù)包；

2、訪問被測試設(shè)備，讀取設(shè)備狀態(tài)、輸入輸出數(shù)據(jù)、系統(tǒng)日志等信息；

3、通過機器學(xué)習(xí)算法（神經(jīng)網(wǎng)絡(luò)、決策樹、支持向量機等）構(gòu)建的流量分析模型來判斷所截獲的數(shù)據(jù)包與被測試設(shè)備的信息之間的匹配程度，若匹配程度大于90%，則判定為異常流量；

4、單獨記錄判定的異常流量以供后期分析。

所述網(wǎng)絡(luò)通信模塊包括至少一個匹配RJ45類型接口的以太網(wǎng)轉(zhuǎn)換電路。以太網(wǎng)通達(dá)模塊和DNP3.0通信模塊都具有保護(hù)功能，可防止意外高壓對模塊的沖擊

所述看門狗模塊包括看門狗處理器和擴展電路，看門狗模塊接收來自主處理模塊的喂狗信號，控制主處理模塊的供電電路及Bypass模塊。喂狗信號可以是主處理模塊的氣動信號，看門狗電路獨立于其它模塊電路，實時監(jiān)測主處理模塊的運行狀態(tài)，發(fā)現(xiàn)主處理模塊有異常時可以重啟該模塊并保證Bypass功能開啟。

所述電源模塊包括主控制模塊供電及復(fù)位控制電路、看門狗供電電路和通信模塊供電電路，分別輸出+1.8V、+3.3V和+5V電壓。電源模塊向主控制模塊提供復(fù)位信號，復(fù)位電路的輸入源是看門狗處理器的輸出。

DNP3.0異常流量分析裝置搭載了DNP3.0異常流量分析系統(tǒng)或軟件，實現(xiàn)異常流量的判定，其工作流程如下：

1、訪問DNP3.0流量記錄裝置，讀取截獲的DNP3.0協(xié)議雙向數(shù)據(jù)包；

2、訪問被測試設(shè)備，讀取設(shè)備狀態(tài)、輸入輸出數(shù)據(jù)、系統(tǒng)日志等信息；

3、通過機器學(xué)習(xí)算法（神經(jīng)網(wǎng)絡(luò)、決策樹、支持向量機等）構(gòu)建的流量分析模型來判斷所截獲的數(shù)據(jù)包與被測試設(shè)備的信息之間的匹配程度，若匹配程度大于90%，則判定為異常流量；

4、單獨記錄判定的異常流量以供后期分析。

本實用新型的有益效果如下：

一、本實用新型提供的一種針對DNP協(xié)議的異常流量檢測平臺，模擬設(shè)備主要用于模擬無信息安全隱患且無故障的正常設(shè)備；DNP3.0流量記錄裝置主要用于截獲模擬設(shè)備和被測試設(shè)備之間的DNP3.0通信流量，具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能，流量抓取的結(jié)果傳給DNP3.O異常流量分析裝置用于進(jìn)一步的分析；DNP3.O異常流量分析裝置主要用于接收并分析截獲的所有DNP3.0報文，通過被測試設(shè)備或系統(tǒng)上設(shè)定的調(diào)試端口，監(jiān)視被測試設(shè)備的系統(tǒng)狀態(tài)，讀取被測試設(shè)備采集的數(shù)據(jù)或下發(fā)的控制指令，檢查被測試設(shè)備的系統(tǒng)日志，從而判斷DNP3.0流量記錄裝置所截獲的單條或多條報文是否為異常報文，進(jìn)而給出被測試設(shè)備是否具有信息安全隱患的結(jié)論。

二、本實用新型提供的一種針對DNP協(xié)議的異常流量檢測平臺，DNP3.0流量記錄裝置通過RS485和/或RS232形式的串口線纜與模擬設(shè)備和被測試設(shè)備通信相連、DNP3.0流量記錄裝置與DNP3.O異常流量分析裝置通過雙絞線形式的以太網(wǎng)相連，采用成熟穩(wěn)定地連接方式有助于提高平臺的穩(wěn)定性，同時也具有更好的兼容性；模擬設(shè)備為基于嵌入式技術(shù)的仿真硬件平臺和/或具有實際應(yīng)用功能的具體工業(yè)控制設(shè)備，可采用的技術(shù)方案多兼容性高，例如PLC、RTU、智能儀表、HMI等等，對應(yīng)可以選擇最適合現(xiàn)場實際的安裝方式；被測試設(shè)備為單個工業(yè)控制設(shè)備和/或一套SCADA系統(tǒng)，可以實現(xiàn)對單一或同時對多元系統(tǒng)的檢測；DNP3.0流量記錄裝置包括至少兩個支持DNP3.0協(xié)議的RS232或RS485接口，部署于模擬設(shè)備和被測試設(shè)備之間實現(xiàn)對DNP3.0協(xié)議流量的截獲和記錄形成DNP3.0報文，并通過網(wǎng)絡(luò)將DNP3.0報文發(fā)送給DNP3.0異常流量分析裝置，這樣DNP3.0流量記錄裝置具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能，其流量抓取的結(jié)果通過以太網(wǎng)傳給DNP3.O異常流量分析裝置用于進(jìn)一步的分析；被測試設(shè)備為多個工業(yè)控制設(shè)備和/或仿真設(shè)備，被測試設(shè)備和DNP3.0流量記錄裝置之間通過工業(yè)串口交換機相連，即可實現(xiàn)同時對多個對象的監(jiān)管檢測。

附圖說明

圖1是本實用新型一種優(yōu)選方案的通信關(guān)系示意圖；

圖2是本實用新型一種優(yōu)選方案設(shè)備級異常流量檢測的連接結(jié)構(gòu)示意圖；

圖3是本實用新型一種優(yōu)選方案系統(tǒng)級異常流量檢測的連接關(guān)系示意圖；

圖中：

1、模擬設(shè)備；2、DNP3.0流量記錄裝置；3、被測試設(shè)備；4、DNP3.0異常流量分析裝置；5、計算機；6、工業(yè)串口交換機。

具體實施方式

以下通過幾個具體實施例來進(jìn)一步說明實現(xiàn)本實用新型目的的技術(shù)方案，需要說明的是，本實用新型的技術(shù)方案包含但不限于以下實施例。

實施例1

如圖1、圖2和圖3，一種針對DNP協(xié)議的異常流量檢測平臺，包括模擬設(shè)備1、DNP3.0流量記錄裝置2、被測試設(shè)備3和帶有DNP3.0異常流量分析裝置4的計算機5；所述模擬設(shè)備1模擬無信息安全隱患且無故障的正常設(shè)備站；所述DNP3.0流量記錄裝置2設(shè)置在模擬設(shè)備1和被測試設(shè)備3之間并截獲由DNP3.0通信流量形成的DNP3.0報文，并且DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通信相連；所述被測試設(shè)備3設(shè)有調(diào)試端口，被測試設(shè)備3通過其調(diào)試端口與DNP3.O異常流量分析裝置4數(shù)據(jù)相連；所述DNP3.O異常流量分析裝置4接收并分析截獲的所有DNP3.0報文。

這是本實用新型一種最基本實施方案。模擬設(shè)備1主要用于模擬無信息安全隱患且無故障的正常設(shè)備；DNP3.0流量記錄裝置2主要用于截獲模擬設(shè)備1和被測試設(shè)備3之間的DNP3.0通信流量，具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能，流量抓取的結(jié)果傳給DNP3.O異常流量分析裝置4用于進(jìn)一步的分析；DNP3.O異常流量分析裝置4主要用于接收并分析截獲的所有DNP3.0報文，通過被測試設(shè)備3或系統(tǒng)上設(shè)定的調(diào)試端口，監(jiān)視被測試設(shè)備3的系統(tǒng)狀態(tài)，讀取被測試設(shè)備3采集的數(shù)據(jù)或下發(fā)的控制指令，檢查被測試設(shè)備的系統(tǒng)日志，從而判斷DNP3.0流量記錄裝置2所截獲的單條或多條報文是否為異常報文，進(jìn)而給出被測試設(shè)備3是否具有信息安全隱患的結(jié)論。

實施例2

如圖1、圖2和圖3，一種針對DNP協(xié)議的異常流量檢測平臺，包括模擬設(shè)備1、DNP3.0流量記錄裝置2、被測試設(shè)備3和帶有DNP3.0異常流量分析裝置4的計算機5；所述模擬設(shè)備1模擬無信息安全隱患且無故障的正常設(shè)備站；所述DNP3.0流量記錄裝置2設(shè)置在模擬設(shè)備1和被測試設(shè)備3之間并截獲由DNP3.0通信流量形成的DNP3.0報文，并且DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通信相連；所述被測試設(shè)備3設(shè)有調(diào)試端口，被測試設(shè)備3通過其調(diào)試端口與DNP3.O異常流量分析裝置4數(shù)據(jù)相連；所述DNP3.O異常流量分析裝置4接收并分析截獲的所有DNP3.0報文。

所述DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與所述模擬設(shè)備1和被測試設(shè)備3通信相連。

所述DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的以太網(wǎng)相連。

這是本實用新型一種優(yōu)選的實施方案。模擬設(shè)備1主要用于模擬無信息安全隱患且無故障的正常設(shè)備；DNP3.0流量記錄裝置2主要用于截獲模擬設(shè)備1和被測試設(shè)備3之間的DNP3.0通信流量，具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能，流量抓取的結(jié)果傳給DNP3.O異常流量分析裝置4用于進(jìn)一步的分析；DNP3.O異常流量分析裝置4主要用于接收并分析截獲的所有DNP3.0報文，通過被測試設(shè)備3或系統(tǒng)上設(shè)定的調(diào)試端口，監(jiān)視被測試設(shè)備3的系統(tǒng)狀態(tài)，讀取被測試設(shè)備3采集的數(shù)據(jù)或下發(fā)的控制指令，檢查被測試設(shè)備的系統(tǒng)日志，從而判斷DNP3.0流量記錄裝置2所截獲的單條或多條報文是否為異常報文，進(jìn)而給出被測試設(shè)備3是否具有信息安全隱患的結(jié)論；DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與模擬設(shè)備1和被測試設(shè)備3通信相連、DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的以太網(wǎng)相連，采用成熟穩(wěn)定地連接方式有助于提高平臺的穩(wěn)定性，同時也具有更好的兼容性。

實施例3

如圖1、圖2和圖3，一種針對DNP協(xié)議的異常流量檢測平臺，包括模擬設(shè)備1、DNP3.0流量記錄裝置2、被測試設(shè)備3和帶有DNP3.0異常流量分析裝置4的計算機5；所述模擬設(shè)備1模擬無信息安全隱患且無故障的正常設(shè)備站；所述DNP3.0流量記錄裝置2設(shè)置在模擬設(shè)備1和被測試設(shè)備3之間并截獲由DNP3.0通信流量形成的DNP3.0報文，并且DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通信相連；所述被測試設(shè)備3設(shè)有調(diào)試端口，被測試設(shè)備3通過其調(diào)試端口與DNP3.O異常流量分析裝置4數(shù)據(jù)相連；所述DNP3.O異常流量分析裝置4接收并分析截獲的所有DNP3.0報文。

所述DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與所述模擬設(shè)備1和被測試設(shè)備3通信相連。

所述DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的以太網(wǎng)相連。

所述模擬設(shè)備1為基于嵌入式技術(shù)的仿真硬件平臺和/或具有實際應(yīng)用功能的具體工業(yè)控制設(shè)備。

所述被測試設(shè)備3為單個工業(yè)控制設(shè)備和/或一套SCADA系統(tǒng)。

這是本實用新型一種優(yōu)選的實施方案。模擬設(shè)備1主要用于模擬無信息安全隱患且無故障的正常設(shè)備；DNP3.0流量記錄裝置2主要用于截獲模擬設(shè)備1和被測試設(shè)備3之間的DNP3.0通信流量，具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能，流量抓取的結(jié)果傳給DNP3.O異常流量分析裝置4用于進(jìn)一步的分析；DNP3.O異常流量分析裝置4主要用于接收并分析截獲的所有DNP3.0報文，通過被測試設(shè)備3或系統(tǒng)上設(shè)定的調(diào)試端口，監(jiān)視被測試設(shè)備3的系統(tǒng)狀態(tài)，讀取被測試設(shè)備3采集的數(shù)據(jù)或下發(fā)的控制指令，檢查被測試設(shè)備的系統(tǒng)日志，從而判斷DNP3.0流量記錄裝置2所截獲的單條或多條報文是否為異常報文，進(jìn)而給出被測試設(shè)備3是否具有信息安全隱患的結(jié)論；DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與模擬設(shè)備1和被測試設(shè)備3通信相連、DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的以太網(wǎng)相連，采用成熟穩(wěn)定地連接方式有助于提高平臺的穩(wěn)定性，同時也具有更好的兼容性；模擬設(shè)備1為基于嵌入式技術(shù)的仿真硬件平臺和/或具有實際應(yīng)用功能的具體工業(yè)控制設(shè)備，可采用的技術(shù)方案多兼容性高，例如PLC、RTU、智能儀表、HMI等等，對應(yīng)可以選擇最適合現(xiàn)場實際的安裝方式；被測試設(shè)備3為單個工業(yè)控制設(shè)備和/或一套SCADA系統(tǒng)，可以實現(xiàn)對單一或同時對多元系統(tǒng)的檢測。

實施例4

如圖1、圖2和圖3，一種針對DNP協(xié)議的異常流量檢測平臺，包括模擬設(shè)備1、DNP3.0流量記錄裝置2、被測試設(shè)備3和帶有DNP3.0異常流量分析裝置4的計算機5；所述模擬設(shè)備1模擬無信息安全隱患且無故障的正常設(shè)備站；所述DNP3.0流量記錄裝置2設(shè)置在模擬設(shè)備1和被測試設(shè)備3之間并截獲由DNP3.0通信流量形成的DNP3.0報文，并且DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通信相連；所述被測試設(shè)備3設(shè)有調(diào)試端口，被測試設(shè)備3通過其調(diào)試端口與DNP3.O異常流量分析裝置4數(shù)據(jù)相連；所述DNP3.O異常流量分析裝置4接收并分析截獲的所有DNP3.0報文。

所述DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與所述模擬設(shè)備1和被測試設(shè)備3通信相連。

所述DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的以太網(wǎng)相連。

所述模擬設(shè)備1為基于嵌入式技術(shù)的仿真硬件平臺和/或具有實際應(yīng)用功能的具體工業(yè)控制設(shè)備。

所述被測試設(shè)備3為單個工業(yè)控制設(shè)備和/或一套SCADA系統(tǒng)。

所述DNP3.0流量記錄裝置2包括至少兩個支持DNP3.0協(xié)議的RS232和/或RS485接口，部署于模擬設(shè)備1和被測試設(shè)備3之間實現(xiàn)對DNP3.0協(xié)議流量的截獲和記錄形成DNP3.0報文，并通過網(wǎng)絡(luò)將DNP3.0報文發(fā)送給DNP3.0異常流量分析裝置4。

所述被測試設(shè)備3為多個工業(yè)控制設(shè)備和/或仿真設(shè)備，被測試設(shè)備3和DNP3.0流量記錄裝置2之間通過工業(yè)串口交換機6相連。

這是本實用新型一種優(yōu)選的實施方案。模擬設(shè)備1主要用于模擬無信息安全隱患且無故障的正常設(shè)備；DNP3.0流量記錄裝置2主要用于截獲模擬設(shè)備1和被測試設(shè)備3之間的DNP3.0通信流量，具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能，流量抓取的結(jié)果傳給DNP3.O異常流量分析裝置4用于進(jìn)一步的分析；DNP3.O異常流量分析裝置4主要用于接收并分析截獲的所有DNP3.0報文，通過被測試設(shè)備3或系統(tǒng)上設(shè)定的調(diào)試端口，監(jiān)視被測試設(shè)備3的系統(tǒng)狀態(tài)，讀取被測試設(shè)備3采集的數(shù)據(jù)或下發(fā)的控制指令，檢查被測試設(shè)備的系統(tǒng)日志，從而判斷DNP3.0流量記錄裝置2所截獲的單條或多條報文是否為異常報文，進(jìn)而給出被測試設(shè)備3是否具有信息安全隱患的結(jié)論；DNP3.0流量記錄裝置2通過RS485和/或RS232形式的串口線纜與模擬設(shè)備1和被測試設(shè)備3通信相連、DNP3.0流量記錄裝置2與DNP3.O異常流量分析裝置4通過雙絞線形式的以太網(wǎng)相連，采用成熟穩(wěn)定地連接方式有助于提高平臺的穩(wěn)定性，同時也具有更好的兼容性；模擬設(shè)備1為基于嵌入式技術(shù)的仿真硬件平臺和/或具有實際應(yīng)用功能的具體工業(yè)控制設(shè)備，可采用的技術(shù)方案多兼容性高，例如PLC、RTU、智能儀表、HMI等等，對應(yīng)可以選擇最適合現(xiàn)場實際的安裝方式；被測試設(shè)備3為單個工業(yè)控制設(shè)備和/或一套SCADA系統(tǒng)，可以實現(xiàn)對單一或同時對多元系統(tǒng)的檢測；DNP3.0流量記錄裝置2包括至少兩個支持DNP3.0協(xié)議的RS232或RS485接口，部署于模擬設(shè)備1和被測試設(shè)備3之間實現(xiàn)對DNP3.0協(xié)議流量的截獲和記錄形成DNP3.0報文，并通過網(wǎng)絡(luò)將DNP3.0報文發(fā)送給DNP3.0異常流量分析裝置4，這樣DNP3.0流量記錄裝置2具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能，其流量抓取的結(jié)果通過以太網(wǎng)傳給DNP3.O異常流量分析裝置用于進(jìn)一步的分析；被測試設(shè)備3為多個工業(yè)控制設(shè)備和/或仿真設(shè)備，被測試設(shè)備3和DNP3.0流量記錄裝置2之間通過工業(yè)串口交換機6相連，即可實現(xiàn)同時對多個對象的監(jiān)管檢測。

實施例5

如圖1和圖2，一種針對DNP協(xié)議的異常流量檢測平臺其設(shè)備級異常流量檢測運用，檢測系統(tǒng)包括模擬設(shè)備1、DNP3.0流量記錄裝置2、被測試設(shè)備3、DNP3.0異常流量分析裝置4。

所述模擬設(shè)備1主要用于模擬無信息安全隱患且無故障的正常設(shè)備，可以模擬DNP3.0主站或從站。模擬設(shè)備1可以是基于嵌入式技術(shù)的仿真硬件平臺，也可以采用具有實際應(yīng)用功能的具體工業(yè)控制設(shè)備，例如PLC、RTU、智能儀表、HMI等等。

所述被測試設(shè)備3是指可能存在信息安全隱患的工業(yè)控制設(shè)備，可能會發(fā)送異常的DNP3.0通信報文到模擬設(shè)備。被測試設(shè)備3可以是單個工業(yè)控制設(shè)備，也可以是一套SCADA系統(tǒng)。

所述DNP3.0流量記錄裝置2主要用于截獲模擬設(shè)備1和被測試設(shè)備3之間的DNP3.0通信流量。該設(shè)備具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能。流量抓取的結(jié)果通過以太網(wǎng)傳給DNP3.O異常流量分析裝置4用于進(jìn)一步的分析。

DNP3.0流量記錄裝置2與模擬設(shè)備1和被測試設(shè)備3之間采用符合RS232或RS485標(biāo)準(zhǔn)的串行總線連接。

所述DNP3.O異常流量分析裝置4主要用于接收并分析截獲的所有DNP3.0報文。該設(shè)備具有對比分析功能。該設(shè)備可以通過被測試設(shè)備或系統(tǒng)上設(shè)定的調(diào)試端口，監(jiān)視被測試設(shè)備的系統(tǒng)狀態(tài)，讀取被測試設(shè)備采集的數(shù)據(jù)或下發(fā)的控制指令，檢查被測試設(shè)備的系統(tǒng)日志，從而判斷DNP3.0流量記錄裝置所截獲的單條或多條報文是否為異常報文，進(jìn)而給出被測試設(shè)備是否具有信息安全隱患的結(jié)論。所述DNP3.O異常流量分析裝置4通過以太網(wǎng)與DNP3.0流量檢測裝置相連。

被測試設(shè)備是具有DNP3.0通信功能的設(shè)備，例如一個PLC。該設(shè)備不但具有DNP3.0通信模塊，而且具有以太網(wǎng)或串口的調(diào)試接口用以連接DNP3.0異常流量分析裝置，DNP3.0異常流量分析裝置通過訪問可以讀取設(shè)備運行狀態(tài)、IO模塊的輸入輸出、系統(tǒng)配置，部分設(shè)備可以獲得系統(tǒng)日志和操作日志。

模擬設(shè)備采用內(nèi)置了仿真計算機的仿真設(shè)備機柜，該機柜內(nèi)的仿真計算機采用機架式結(jié)構(gòu)，該計算機具備一個串口擴展卡，并通過MATLAB/OPNET/NS2等網(wǎng)絡(luò)仿真軟件仿真DNP3.0通信。

DNP3.0異常流量分析裝置搭載了DNP3.0異常流量分析系統(tǒng)或軟件，實現(xiàn)異常流量的判定，其工作流程如下：

1、訪問DNP3.0流量記錄裝置，讀取截獲的DNP3.0協(xié)議雙向數(shù)據(jù)包；

2、訪問被測試設(shè)備，讀取設(shè)備狀態(tài)、輸入輸出數(shù)據(jù)、系統(tǒng)日志等信息；

3、通過機器學(xué)習(xí)算法（神經(jīng)網(wǎng)絡(luò)、決策樹、支持向量機等）構(gòu)建的流量分析模型來判斷所截獲的數(shù)據(jù)包與被測試設(shè)備的信息之間的匹配程度，若匹配程度大于90%，則判定為異常流量；

4、單獨記錄判定的異常流量以供后期分析。

實施例

如圖1和圖3，一種針對DNP協(xié)議的異常流量檢測平臺其設(shè)備級異常流量檢測運用，檢測系統(tǒng)包括模擬設(shè)備1、DNP3.0流量記錄裝置2、被測試設(shè)備3、DNP3.0異常流量分析裝置4。

所述模擬設(shè)備1主要用于模擬無信息安全隱患且無故障的正常設(shè)備，可以模擬DNP3.0主站或從站。模擬設(shè)備1可以是基于嵌入式技術(shù)的仿真硬件平臺，也可以采用具有實際應(yīng)用功能的具體工業(yè)控制設(shè)備，例如PLC、RTU、智能儀表、HMI等等。

所述被測試設(shè)備3是指可能存在信息安全隱患的工業(yè)控制設(shè)備，可能會發(fā)送異常的DNP3.0通信報文到模擬設(shè)備。被測試設(shè)備3可以是單個工業(yè)控制設(shè)備，也可以是一套SCADA系統(tǒng)。

所述DNP3.0流量記錄裝置2主要用于截獲模擬設(shè)備1和被測試設(shè)備3之間的DNP3.0通信流量。該設(shè)備具備DNP3.0報文采集和轉(zhuǎn)發(fā)功能。流量抓取的結(jié)果通過以太網(wǎng)傳給DNP3.O異常流量分析裝置4用于進(jìn)一步的分析。

DNP3.0流量記錄裝置2與模擬設(shè)備1和被測試設(shè)備3之間采用符合RS232或RS485標(biāo)準(zhǔn)的串行總線連接。

所述DNP3.O異常流量分析裝置4主要用于接收并分析截獲的所有DNP3.0報文。該設(shè)備具有對比分析功能。該設(shè)備可以通過被測試設(shè)備或系統(tǒng)上設(shè)定的調(diào)試端口，監(jiān)視被測試設(shè)備的系統(tǒng)狀態(tài)，讀取被測試設(shè)備采集的數(shù)據(jù)或下發(fā)的控制指令，檢查被測試設(shè)備的系統(tǒng)日志，從而判斷DNP3.0流量記錄裝置所截獲的單條或多條報文是否為異常報文，進(jìn)而給出被測試設(shè)備是否具有信息安全隱患的結(jié)論。所述DNP3.O異常流量分析裝置4通過以太網(wǎng)與DNP3.0流量檢測裝置相連。

被測試設(shè)備是支持DNP3.0通信的SCADA系統(tǒng)。該系統(tǒng)可通過工業(yè)串口交換機連接多個DNP3.0協(xié)議工業(yè)控制設(shè)備，例如PLC、HMI、智能儀表等。

模擬設(shè)備采用支持DNP3.0的已知工業(yè)控制設(shè)備，如智能儀表、HMI、PLC等。已知工業(yè)控制設(shè)備采用分布式部署，各個設(shè)備通過串口交換機與DNP3.0流量記錄裝置連接。。

DNP3.0流量記錄裝置采用定制開發(fā)的專用設(shè)備，至少具備2個支持DNP3.0協(xié)議的RS232或RS485接口，部署于模擬設(shè)備和被測試設(shè)備之間實現(xiàn)對DNP3.0協(xié)議流量的截獲和記錄。該裝置同時具備一個以太網(wǎng)類型的訪問接口以實現(xiàn)將截獲的DNP3.0報文發(fā)送給DNP3.0異常流量分析裝置的功能。當(dāng)模擬設(shè)備由多個工業(yè)控制設(shè)備或仿真設(shè)備組成時，DNP3.0流量記錄裝置應(yīng)部署于工業(yè)串口交換機與被測試設(shè)備之間。

DNP3.0異常流量分析裝置采用具有多個以太網(wǎng)卡的計算機工作站實現(xiàn)。同時連接DNP3.0流量記錄裝置和被測試設(shè)備。

DNP3.0異常流量分析裝置搭載了DNP3.0異常流量分析系統(tǒng)或軟件，實現(xiàn)異常流量的判定，其工作流程如下：

1、訪問DNP3.0流量記錄裝置，讀取截獲的DNP3.0協(xié)議雙向數(shù)據(jù)包；

2、訪問被測試設(shè)備，讀取設(shè)備狀態(tài)、輸入輸出數(shù)據(jù)、系統(tǒng)日志等信息；

3、通過機器學(xué)習(xí)算法（神經(jīng)網(wǎng)絡(luò)、決策樹、支持向量機等）構(gòu)建的流量分析模型來判斷所截獲的數(shù)據(jù)包與被測試設(shè)備的信息之間的匹配程度，若匹配程度大于90%，則判定為異常流量；

4、單獨記錄判定的異常流量以供后期分析。