姜海濤，李斌，王祥，陳錦銘，郭雅娟

（國網(wǎng)江蘇省電力公司電力科學(xué)研究院，江蘇 南京210011）

1 引言

智能變電站作為典型的工控系統(tǒng)，是智能電網(wǎng)中的重要組成部分，其信息安全直接關(guān)系到整個(gè)電力系統(tǒng)的安全性與穩(wěn)定性[1]。隨著基于TCP/IP的智能電子設(shè)備在智能變電站中的廣泛應(yīng)用，在增強(qiáng)設(shè)備互操作性和訪問能力的同時(shí)，也增加了網(wǎng)絡(luò)安全脆弱性與安全事件發(fā)生的可能性[2]。本文從智能電子設(shè)備頑健性測試的角度出發(fā)，利用異常報(bào)文檢測設(shè)備的通信模塊的容錯(cuò)能力和故障恢復(fù)能力，為提高智能變電站的安全與穩(wěn)定提供支持。

學(xué)術(shù)界已經(jīng)提出了許多頑健性測試方法：參考文獻(xiàn)[3]給出了一個(gè)基于狀態(tài)機(jī)的構(gòu)件頑健性測試框架，并實(shí)現(xiàn)了原型工具RoTesCo；參考文獻(xiàn)[4]中在增加狀態(tài)、遷移和事件的基礎(chǔ)上構(gòu)造了具有頑健性處理過程的RFSM（robustness finite state machine），并把RFSM模型應(yīng)用到BGP頑健性測試當(dāng)中；參考文獻(xiàn)[5]使用有限狀態(tài)機(jī)對軟件產(chǎn)品進(jìn)行建模，通過狀態(tài)擴(kuò)充和狀態(tài)對各種異常事件的響應(yīng)，構(gòu)建完備的增強(qiáng)有限狀態(tài)機(jī)進(jìn)行頑健性測試。在商業(yè)應(yīng)用領(lǐng)域，也已經(jīng)出現(xiàn)了很多頑健性測試工具，如Kali是一個(gè)操作系統(tǒng)滲透測試工具；Appscan是一個(gè)針對Web應(yīng)用漏洞的掃描工具。但是在電力工控系統(tǒng)中，設(shè)備頑健性測試的研究還相對較少。

傳統(tǒng)觀念認(rèn)為智能變電站是一個(gè)相對封閉的環(huán)境，不存在來自外部的威脅。但是由于U盤等介質(zhì)和無線設(shè)備的普及，工控系統(tǒng)的封閉性已被打破，例如破壞伊朗核電站離心機(jī)的震網(wǎng)病毒就是通過U盤帶入[6]。目前針對智能變電站中信息安全的研究已經(jīng)取得了一定成果：參考文獻(xiàn)[7]介紹了智能變電站的特點(diǎn)，探討了智能變電站的體系架構(gòu)、智能設(shè)備、保護(hù)控制策略、測試仿真和信息安全策略等方面的問題，參考文獻(xiàn)[8]分析了變電站自動化通信系統(tǒng)的安全性，并提出了一些能有效提高安全強(qiáng)度的方法；參考文獻(xiàn)[9]建立了信息安全評估體系，運(yùn)用D-S證據(jù)理論對變電站通信系統(tǒng)的信息安全威脅進(jìn)行評估。上述研究都是基于工控系統(tǒng)的安全架構(gòu)或網(wǎng)絡(luò)安全相關(guān)技術(shù)，并未關(guān)注設(shè)備的頑健性。本文提出了一種基于異常報(bào)文的設(shè)備頑健性方法，在此基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了針對設(shè)備頑健性的測試系統(tǒng)。

2 基于異常報(bào)文的設(shè)備頑健性測試方法

測試設(shè)備頑健性的核心思想是基于向設(shè)備發(fā)送異常報(bào)文測試用例，檢測設(shè)備的通信狀態(tài)，通過判別設(shè)備對異常報(bào)文的處理情況，確定設(shè)備的頑健性。如果設(shè)備出現(xiàn)通信中斷、出錯(cuò)、宕機(jī)等異常情況，則說明設(shè)備對異常報(bào)文的抵御能力較差，設(shè)備的頑健性有待改善。這是一種僅知道設(shè)備支持的通信協(xié)議標(biāo)準(zhǔn)，不知道設(shè)備內(nèi)部通信模塊具體實(shí)現(xiàn)時(shí)，采取的黑盒測試方法。以變電站中目前使用最廣泛的IEC61850[10]協(xié)議為例，設(shè)計(jì)了圖1所示的測試模型，涉及5種設(shè)備或系統(tǒng)，分別是：

·用于測試的間隔層智能電子設(shè)備；

·用于對智能電子設(shè)備進(jìn)行日常運(yùn)維的機(jī)器；

·用于捕獲數(shù)據(jù)報(bào)文的流量采集裝置；

·用于測試設(shè)備IEC61850通信模塊頑健性的測試系統(tǒng)；

·用于實(shí)現(xiàn)以上設(shè)備互通的站控層交換機(jī)。

上述模型是對變電站實(shí)際組織結(jié)構(gòu)的簡化，省略了監(jiān)控后臺、過程層網(wǎng)絡(luò)和設(shè)備以及與調(diào)度通信的相關(guān)設(shè)備，只保留了站控層交換機(jī)、間隔層智能電子設(shè)備和運(yùn)維機(jī)器。同時(shí)為了測試設(shè)備IEC61850通信模塊的頑健性，增加了流量采集裝置和頑健性測試系統(tǒng)，測試的一般流程如下所述。

（1）運(yùn)維機(jī)器通過IEC61850協(xié)議選擇某個(gè)設(shè)備執(zhí)行正常的運(yùn)維操作，產(chǎn)生IEC61850的數(shù)據(jù)報(bào)文。由于IEC61850是一種國際通用的通信協(xié)議，因此通過任何一個(gè)IEC61850客戶端軟件都可以與各個(gè)廠商設(shè)備進(jìn)行互操作。

（2）由于所有數(shù)據(jù)報(bào)文都要通過交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，流量采集機(jī)器可以從交換機(jī)捕獲運(yùn)維機(jī)器與智能電子設(shè)備之間通信的數(shù)據(jù)報(bào)文。目前大部分交換機(jī)都設(shè)有一個(gè)專門的鏡像端口，用于將所有經(jīng)過交換機(jī)的數(shù)據(jù)，從鏡像端口做一個(gè)備份輸出。

（3）對采集到的報(bào)文進(jìn)行預(yù)處理，除去非IEC61850協(xié)議的冗余數(shù)據(jù)，形成測試報(bào)文樣例，導(dǎo)入頑健性測試系統(tǒng)。

圖1 電子設(shè)備IEC61850通信模塊頑健性測試模型

（4）頑健性測試系統(tǒng)解析測試樣例，對正常的數(shù)據(jù)報(bào)文中的某個(gè)或者某幾個(gè)字段進(jìn)行變異，選擇某個(gè)被測設(shè)備，并向該設(shè)備發(fā)送變異之后的異常報(bào)文。整個(gè)測試過程中，對于每個(gè)正常報(bào)文，系統(tǒng)產(chǎn)生并向設(shè)備發(fā)送多個(gè)不同的異常報(bào)文，同時(shí)記錄所發(fā)送報(bào)文以及設(shè)備狀態(tài)等實(shí)時(shí)信息。

（5）測試結(jié)束后，系統(tǒng)根據(jù)記錄的信息提取設(shè)備出現(xiàn)異常時(shí)發(fā)送的異常報(bào)文，統(tǒng)計(jì)設(shè)備異常時(shí)間、發(fā)送測試報(bào)文數(shù)目等信息，根據(jù)報(bào)告模板生成測試報(bào)告。

（6）測試人員根據(jù)測試報(bào)告中的異常報(bào)文，對問題進(jìn)行排查，確認(rèn)設(shè)備是否出現(xiàn)異常，驗(yàn)證測試結(jié)果的合理性，完善測試報(bào)告。

在上述流程中，前3個(gè)步驟是準(zhǔn)備階段，主要目的是形成IEC61850協(xié)議的測試報(bào)文樣例；后3個(gè)步驟是測試階段，主要為了發(fā)掘并驗(yàn)證可以導(dǎo)致設(shè)備異常的異常報(bào)文。圖1的5種設(shè)備和系統(tǒng)中站控層交換機(jī)、智能電子設(shè)備、運(yùn)維機(jī)器是變電站已有的設(shè)備，利用Wireshark等數(shù)據(jù)分組捕獲軟件即可實(shí)現(xiàn)流量采集，頑健性測試系統(tǒng)成了整個(gè)測試模型的核心部分。

3 頑健性測試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

測試系統(tǒng)的核心功能為讀取IEC61850測試報(bào)文樣例文件、生成異常報(bào)文測試樣本并將其發(fā)送給被測設(shè)備，檢測設(shè)備的通信狀態(tài)，以判斷設(shè)備對異常報(bào)文的抵御能力。

3.1 測試系統(tǒng)的組織模塊

圖2顯示了系統(tǒng)的組織模塊以及各個(gè)模塊之間的關(guān)聯(lián)。系統(tǒng)主要由1個(gè)核心調(diào)度器、6個(gè)功能模塊、2個(gè)預(yù)定義文件和2個(gè)數(shù)據(jù)存儲單元組成。

每個(gè)模塊的主要功能如下所述。

（1）測試樣例加載模塊

將磁盤上的IEC61850測試報(bào)文樣例文件，去掉IP頭信息，以字節(jié)數(shù)組的形式加載到內(nèi)存中。IP頭信息主要為報(bào)文的IP地址、MAC地址和端口號，并非IEC61850協(xié)議的內(nèi)容。

（2）配置文件讀取模塊

獲取XML格式的配置文件，該文件包括了系統(tǒng)執(zhí)行過程中需要的數(shù)據(jù)，如發(fā)送2個(gè)報(bào)文的時(shí)間間隔、判斷設(shè)備異常的等待時(shí)間等。

（3）異常報(bào)文產(chǎn)生模塊

結(jié)合異常報(bào)文的歷史信息，通過對正常IEC61850報(bào)文進(jìn)行變異產(chǎn)生異常報(bào)文。

（4）報(bào)文發(fā)送模塊

通過102端口（IEC61850協(xié)議使用的標(biāo)準(zhǔn)端口）與設(shè)備建立TCP連接，向指定設(shè)備發(fā)送IEC61850報(bào)文。在通信鏈路完好的情況下，如果無法與設(shè)備建立連接，則說明設(shè)備出現(xiàn)異常。

（5）界面展示模塊

顯示實(shí)時(shí)測試信息，如發(fā)送測試報(bào)文數(shù)目、測試經(jīng)歷時(shí)間等。同時(shí)接收用戶輸入，如被測設(shè)備的IP地址，測試的開始、停止命令。

（6）報(bào)告生成模塊

從實(shí)時(shí)數(shù)據(jù)存儲單元中讀取測試產(chǎn)生的結(jié)果信息，根據(jù)預(yù)定義的HTML格式的報(bào)告模板輸出測試報(bào)告，報(bào)告中主要列舉了設(shè)備信息和導(dǎo)致設(shè)備異常的異常報(bào)文。

（7）核心調(diào)度器

協(xié)調(diào)上述6個(gè)模塊協(xié)同工作，調(diào)用各個(gè)模塊的接口，在各個(gè)模塊之間共享數(shù)據(jù)，這也符合MVC（model-view-controller）設(shè)計(jì)模式。其中核心調(diào)度模塊是controller，界面展示模塊和報(bào)告生成模塊是view，其余的模塊都是model。

3.2 基于歷史信息的異常報(bào)文產(chǎn)生方式

在上述6個(gè)模塊中，異常報(bào)文產(chǎn)生方式?jīng)Q定了測試樣例的質(zhì)量，從而影響了檢測的效果。由于同一廠商的設(shè)備可能存在相同的問題，并且國內(nèi)目前IED廠商數(shù)量有限，因此本文使用基于歷史信息的異常報(bào)文產(chǎn)生方式，通過已經(jīng)確認(rèn)的異常報(bào)文構(gòu)造測試樣例集合，提高異常報(bào)文導(dǎo)致設(shè)備出現(xiàn)異常的概率。同時(shí)不斷完善已確認(rèn)的異常報(bào)文信息，提高測試質(zhì)量。

圖2 頑健性測試系統(tǒng)組織結(jié)構(gòu)

任意IEC61850報(bào)文，在去掉TCP報(bào)文頭信息后，都可以根據(jù)IEC61850協(xié)議的語法規(guī)則解析得到多個(gè)字段，每個(gè)字段有相應(yīng)的名稱和長度，字段的值為二進(jìn)制值或子字段。因 此 利 用 正 常 報(bào) 文（packet）、字 段（field）、異 常 取 值（value）的形式，保存已確認(rèn)的異常報(bào)文。某正常報(bào)文的二進(jìn)制如圖3所示。

圖3 某正常報(bào)文的二進(jìn)制

報(bào)文解析之后得到各個(gè)字段的名稱和值如圖4所示。

圖4 IEC61850報(bào)文解析結(jié)果

異常報(bào)文保存形式如圖5所示。

圖5 異常報(bào)文保存形式

算法1顯示了異常報(bào)文樣例的產(chǎn)生過程。該算法中最外層循環(huán)對測試樣本的每個(gè)字段進(jìn)行遍歷。對于每個(gè)字段，如果有歷史異常取值，則從歷史異常取值中選取一部分，并隨機(jī)生成一部分異常取值（5～18行）。在該方法中，選取的歷史異常報(bào)文數(shù)最多為異常報(bào)文總數(shù)的一半（7～11行），這樣既可以有效利用歷史異常報(bào)文信息，也能夠保證在測試過程中可以發(fā)現(xiàn)新的異常報(bào)文。

算法1

3.3 測試系統(tǒng)的執(zhí)行流程

算法2顯示了測試的執(zhí)行流程。該算法中，第1、2行為測試的準(zhǔn)備階段，需要讀取測試報(bào)文樣例文件，設(shè)置被測設(shè)備的IP地址。第3～20行的雙層循環(huán)為測試的執(zhí)行過程，外層循環(huán)遍歷樣例文件中的測試基準(zhǔn)報(bào)文，針對每個(gè)基準(zhǔn)報(bào)文生成異常報(bào)文樣本集合。內(nèi)層循環(huán)遍歷異常報(bào)文集合，且向設(shè)備發(fā)送異常報(bào)文之后，根據(jù)設(shè)備的狀態(tài)記錄導(dǎo)致設(shè)備出現(xiàn)異常的報(bào)文。并且在設(shè)備出現(xiàn)異常之后，暫停報(bào)文的發(fā)送工作直到設(shè)備恢復(fù)正常（第12～15行）。第21～28行是異常報(bào)文的驗(yàn)證過程，通過再次向設(shè)備發(fā)送已記錄的異常報(bào)文，檢驗(yàn)設(shè)備的狀態(tài)，驗(yàn)證該報(bào)文的有效性，對檢測出的異常報(bào)文進(jìn)行驗(yàn)證的目的在于排除網(wǎng)絡(luò)中斷等客觀因素造成的誤報(bào)。最后根據(jù)已驗(yàn)證的異常報(bào)文信息生成測試報(bào)告（第30行）。

算法2

4 頑健性測試實(shí)驗(yàn)及結(jié)果分析

為了檢驗(yàn)測試方法的有效性及測試系統(tǒng)的可行性，在智能變電站實(shí)驗(yàn)室中執(zhí)行測試過程。其中測試的前3個(gè)步驟形成了一個(gè)包括8個(gè)數(shù)據(jù)報(bào)文的IEC61850測試樣本，接下來使用相同的測試樣本，選擇了4個(gè)不同廠商的設(shè)備運(yùn)行測試系統(tǒng)，執(zhí)行測試的后3個(gè)步驟。測試系統(tǒng)的執(zhí)行過程如圖6所示。

圖6 測試系統(tǒng)執(zhí)行界面

在測試的執(zhí)行過程中，會顯示當(dāng)前發(fā)送的測試用例數(shù)（異常報(bào)文數(shù)目）、發(fā)現(xiàn)的漏洞數(shù)（導(dǎo)致設(shè)備出現(xiàn)異常的異常報(bào)文數(shù)目）、裝置的異常時(shí)間和測試的已用時(shí)間。同時(shí)顯示當(dāng)前發(fā)送的異常報(bào)文，其中虛線框出字段為發(fā)生變異的字段。圖7按照IEC61850協(xié)議的分層統(tǒng)計(jì)了測試結(jié)果。

圖7 測試結(jié)果

從圖7中可以看出，執(zhí)行相同的測試樣本，4個(gè)設(shè)備均存在漏洞。MMS層的漏洞數(shù)目要高于TPKT層的漏洞數(shù)目，MMS層的報(bào)文結(jié)構(gòu)復(fù)雜、測試用例多，檢測出的漏洞也多。測試過程中的部分漏洞未得到確認(rèn)，主要原因?yàn)樵O(shè)備的某些異常情況并非單個(gè)數(shù)據(jù)報(bào)文導(dǎo)致，而是連續(xù)幾個(gè)有關(guān)聯(lián)的報(bào)文導(dǎo)致，而測試軟件只記錄導(dǎo)致設(shè)備異常的上一個(gè)報(bào)文，因此無法驗(yàn)證漏洞是否存在。在下一步的工作中，還將對多個(gè)連續(xù)報(bào)文導(dǎo)致設(shè)備異常的情況進(jìn)行研究。

5 結(jié)束語

為了測試變電站中智能電子設(shè)備通信模塊的頑健性，本文設(shè)計(jì)了一種測試方法，并實(shí)現(xiàn)了對應(yīng)的測試系統(tǒng)。實(shí)驗(yàn)結(jié)果表明本文的測試方法可以發(fā)掘?qū)е略O(shè)備出現(xiàn)異常的IEC61850異常報(bào)文，檢測設(shè)備針對異常報(bào)文的抵御能力。本文僅研究了基于TCP/IP的通信模塊的頑健性測試方法，可以研究MAC層協(xié)議通信模塊的頑健性測試方法；本文的測試只是對裝置的黑盒測試，可通過白盒測試進(jìn)一步定位裝置接收異常報(bào)文后出現(xiàn)異常的原因，還需要完善設(shè)備的頑健性以提高智能變電站的安全運(yùn)行水平。

[1]龐思睿,許鴻飛,杜劍雯,等.面向物聯(lián)網(wǎng)與三維可視化的智能變電站運(yùn)行輔助管理系統(tǒng)研究與設(shè)計(jì)[J].電信科學(xué),2015,31(5):173-176.PANG S R,XU H F,DU J W,et al.Research and design of intelligent substation of assist control system based on internet of things and three-dimensional visualization technology[J].Telecommunications Science,2015,31(5):173-176.

[2]吳威,宋亮亮.江蘇電網(wǎng)500kV智能變電站建設(shè)技術(shù)綜述[J].江蘇電機(jī)工程,2013(6):51-54.WU W,SONG L L.Review on 500kV substation construction technology in Jiangsu power grid[J].Jiangsu Electrical Engineering,2013(6):51-54.

[3]雷斌,王林章,卜磊,等.基于狀態(tài)機(jī)模型的構(gòu)件頑健性測試[J].軟件學(xué)報(bào),2010,21(5):930-941.LEI B,WANG L Z,BU L,et al.Robustness testing for components based on state machine model[J].Journal of Software,2010,21(5):930-941.

[4]王樂春,朱培棟,龔正虎.基于RFSM的頑健性測試技術(shù)研究[J].通信學(xué)報(bào),2005,26(9):21-29.WANG L C,ZHU P D,GONG Z H.BGP robustness testing based on RFSM[J].Journal on Communications,2005,26(9):21-29.

[5]周章慧,王同洋,吳俊軍,等.基于有限狀態(tài)機(jī)的頑健性測試研究[J].計(jì)算機(jī)工程與科學(xué),2009,31(5):93-97.ZHOU Z H,WANG T Y,WU J J,et al.Research of robustness testing based on FSM[J].Computer Engineering & Science,2009,31(5):93-97.

[6]郭強(qiáng).工控系統(tǒng)信息安全案例[J].信息安全與通信保密,2012,33(12):68-70.GUO Q.Information security cases of industrial control system[J].China Information Security,2012,33(12):68-70.

[7]曹楠,李剛,王冬青.智能變電站關(guān)鍵技術(shù)及其構(gòu)建方式的探討[J].電力系統(tǒng)保護(hù)與控制,2011,39(5):63-68.CAO N,LI G,WANG D Q.Key technologies and construction methods of smart substation[J].Power System Protection and Control,2011,39(5):63-68.

[8]DZUNG D,NAEDELE M,VOBHOFF T.Security for industrial communication systems[J].Proceedings of the IEEE,2005,96(6):1152-1177.

[9]曹一家,姚歡,黃小慶,等.基于D-S證據(jù)理論的變電站通信系統(tǒng)信息安全評估[J].電力自動化設(shè)備,2011,31(6):1-5.CAO Y J,YAO H,HUANG X Q,et al.Security evaluation of substation communication system based on D-S theory[J].Electric Power Automation Equipemnt,2011,31(6):1-5.

[10]潘海萍,謝狄輝,儲乾旭.基于IEC61850變電站輔助設(shè)備信息綜合監(jiān)管系統(tǒng)[J].江蘇電機(jī)工程,2013,32(1):65-67.PAN H P,XIE D H,CHU Q X.Integrated monitoring system of auxiliary equipment in transformer substation based on IEC 61850[J].Jiangsu Electrical Engineering,2013,32(1):65-67.