王文婷 徐康 趙曉紅 趙洋 陳劍飛

摘 ? 要：隨著工業(yè)化與信息化的快速交叉融合，工業(yè)網(wǎng)絡(luò)安全問題正在變得越來越嚴重。針對智能變電站系統(tǒng)的安全場景，分析了智能變電站中的MMS（Manufacturing Message Specification）報文傳輸?shù)臅r間特性，并采用傅里葉變換和小波變換的方法對MMS報文傳輸?shù)臅r間特性進行更細粒度的分析。通過分析，可以得出一種建立報文傳輸時間特性基線的方法，用來進行智能變電站系統(tǒng)網(wǎng)絡(luò)的異常檢測。

關(guān)鍵詞：智能變電站;MMS報文;傅里葉變換;小波變換

中圖分類號： TP29 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A

Time Characteristic Analysis of MMS Packet

Transmission in Smart Substation

WANG Wen-ting1？覮，XU Kang2，ZHAO Xiao-hong1，ZHAO Yang1，CHEN Jian-fei3

（1. Electrie Power Research Institute，State Grid Shangdong Electric Power Gompany，Jinan，Shangdong 250000，China;

2. Weihai Power Supply Company，State Grid Shangdong Electric Power Company，Weihai，Shangdong 264200，China;

3. State Grid Shangdong Electric Power Company，Jinan，Shangdong 250000，China）

Abstract： With the rapid combination of industrialization and informatization，the issue of the industrial network security is becoming more and more serious. The security problem of the smart substation system is focused on in this paper，and the time features of the MMS packages is analyzed by the Fourier transform and the wavelet transform methods. A method for establishing a baseline of the time features of the MMS packages is obtained to perform abnormal detection of the network in the smart substation system.

Key words：smart substation;MMS message;Fourier transformation;wavelet transformation

隨著工業(yè)4.0，工業(yè)物聯(lián)網(wǎng)，中國制造2025等概念的提出，工業(yè)化與信息化正在快速交叉融合，工業(yè)控制系統(tǒng)正向著智能化的方向發(fā)展。未來的工業(yè)系統(tǒng)將呈現(xiàn)垂直整合，水平整合，端到端價值鏈的數(shù)字化整合的形態(tài)。工業(yè)系統(tǒng)將發(fā)生巨大的變化。與此同時，這些變化也將使工業(yè)控制網(wǎng)絡(luò)由封閉轉(zhuǎn)向開放。工業(yè)網(wǎng)絡(luò)不再是一個孤立的網(wǎng)絡(luò)，因此會面臨很多安全問題[1]。以往的工控系統(tǒng)安全保障方案主要集中在訪問控制，現(xiàn)場總線安全協(xié)議，物理安全等方面。針對越來越多的APT（Advanced Persistent Threat，高級持續(xù)性威脅）攻擊，目前的檢測與防御手段主要包括沙箱檢測方案，流量異常監(jiān)測方案，全流量審計方案等。這些方案在普通的IT網(wǎng)絡(luò)中可以對APT攻擊進行比較有效的檢測，但是由于工業(yè)控制網(wǎng)絡(luò)和普通IT網(wǎng)絡(luò)的差異性，例如工業(yè)網(wǎng)絡(luò)協(xié)議私有，同時會伴隨著大量的心跳與輪詢數(shù)據(jù)傳輸?shù)龋瑐鹘y(tǒng)的IT網(wǎng)絡(luò)的安全保障方案并不能完全解決工業(yè)控制網(wǎng)絡(luò)中的安全問題[2]。因此，針對工業(yè)網(wǎng)絡(luò)中的異常檢測已經(jīng)成為了一個新的研究熱點[3-6]。

以電力系統(tǒng)中的智能變電站[7]為例，變電站是電力系統(tǒng)中變換電壓、接受和分配電能、控制電力的流向和調(diào)整電壓的電力設(shè)施。它通過其變壓器將各級電壓的電網(wǎng)聯(lián)系起來。而智能變電站是指通過智能設(shè)備以全站信息數(shù)字化、通信平臺網(wǎng)絡(luò)化、信息共享標準化為基本要求，自動完成信息采集、測量、控制、保護、計量和監(jiān)測等基本功能，并可根據(jù)需要支持電網(wǎng)實時自動控制、智能調(diào)節(jié)、在線分析決策、協(xié)同互動等高級功能的變電站。與傳統(tǒng)變電站不同，智能變電站采用IEC61850的標準。這是一個國際通用的變電站自動化系統(tǒng)。它對于設(shè)備的行為，數(shù)據(jù)的命名以及定義都進行了規(guī)范。智能變電站使用電子式互感器替代傳統(tǒng)的電壓互感器，使用光纖接線替代傳統(tǒng)的信號電纜硬接線，傳輸?shù)臄?shù)據(jù)也變?yōu)閿?shù)字量。

根據(jù)IEC61850標準，智能變電站由三層兩網(wǎng)構(gòu)成，如圖1所示。三層，即站控層，間隔層和過程層。其中，站控層主要包括監(jiān)控，遠動和故障信息系統(tǒng);間隔層主要包括保護裝置和測控裝置;過程層包括模擬量收集終端合并單元和實現(xiàn)開關(guān)輸入輸出的智能單元。兩網(wǎng)指的是過程層網(wǎng)和站控層網(wǎng)。其中，過程層網(wǎng)主要傳輸GOOSE報文和SV報文。GOOSE（Generic Object Oriented Substation Event）指的是面向通用對象的變電站事件。GOOSE報文是一種二層報文，主要用于傳輸跳閘，遙控，啟動失靈，連鎖，自檢信息等。SV（Sample Value）報文也是一種二層報文，主要傳輸電壓和電流的采樣值。站控層網(wǎng)主要傳輸MMS報文。MMS（Manufacturing Message Specification）即制造報文規(guī)范，是一種通用通信協(xié)議，可以用于多種通用工業(yè)控制設(shè)備之間的通信。在變電站IEC61850規(guī)約下，MMS用來實現(xiàn)站控層與間隔層之間的通信。MMS是OSI七層模型中的一種應(yīng)用層協(xié)議，在變電站中主要用于控制指令下發(fā)，測量數(shù)據(jù)上報等用途。

由于智能變電站采用信息網(wǎng)絡(luò)代替?zhèn)鹘y(tǒng)的電纜來傳輸測量信號和控制信號，所以信息網(wǎng)絡(luò)的安全直接關(guān)系到變電站的運行安全。如果變電站的信息網(wǎng)絡(luò)遭到攻擊，則會導(dǎo)致變電站運行異常甚至崩潰，造成嚴重的生產(chǎn)事故。

與一般的IT網(wǎng)絡(luò)不同，由于工業(yè)網(wǎng)絡(luò)中經(jīng)常存在輪詢，診斷，周期刷新等業(yè)務(wù)，工業(yè)網(wǎng)絡(luò)中傳輸?shù)膱笪脑跁r間上通常具有一定的規(guī)律。變電站網(wǎng)絡(luò)如果遭到入侵導(dǎo)致工作異常，其報文傳輸?shù)臅r間特性通常會發(fā)生變化。因此對變電站網(wǎng)絡(luò)中報文傳輸?shù)臅r間特性進行分析，可以為變電站網(wǎng)絡(luò)是否遭到入侵提供一種檢測的方法。本文對變電站中的MMS報文進行聚合，并采用傅里葉變換和小波變換的方法對的傳輸時間特性進行了不同粒度的

分析。

結(jié)構(gòu)如下：第1章對MMS報文進行聚合，并按照聚合結(jié)果畫出報文傳輸?shù)臅r間特性曲線;第2章采用傅里葉分析的方法對報文周期性進行檢測;第3章采用小波變換的方法對MMS報文傳輸?shù)臅r

間特性進行了更細粒度的分析;最后，第4章給出

結(jié)論。

1 ? MMS報文類型與時間特性分析

如前所述，在智能變電站中，MMS報文用于控制指令下發(fā)，測量數(shù)據(jù)上報等用途。例如上位機需要下達跳閘控制指令，則上位機向合并單眼發(fā)送MMS報文，合并單元收到上位機的MMS報文以后會向智能終端發(fā)送GOOSE報文，以執(zhí)行跳閘指令。如果變電站中出現(xiàn)異常情況，例如異常跳閘，也會在短時間出發(fā)大量的MMS報文。而在變電站正常運行且沒有控制指令下發(fā)時，站控層網(wǎng)絡(luò)中仍然會有MMS報文傳輸。這些MMS報文主要是診斷和心跳的報文。

1.1 ? MMS報文聚合

在變電站系統(tǒng)中，每臺上位機會同時跟多個間隔層設(shè)備進行通信，通信所采用的協(xié)議使用TCP/IP協(xié)議。因此可以根據(jù)報文中的IP地址和端口號首先對MMS報文進行聚合，即按照連接將MMS報文聚合在一起，結(jié)果如表1所示。

由于在實際的數(shù)據(jù)中連接的數(shù)量較多，在表1中只給出了示例的連接統(tǒng)計結(jié)果。從表1中可以看出，每個連接中傳輸MMS報文的源端口和目的端口只有一個，而且在變電站的運行過程中保持不變。對于上位機來說，每次發(fā)送報文都是采用102端口，但不同的間隔層設(shè)備，接收報文的端口可能會不同。

給定一個連接，例如IP地址 （172.16.0.73，172.16.0.182）所對應(yīng)的連接，對其傳輸?shù)腗MS報文進行更深層次的解析，會發(fā)現(xiàn)在這兩個IP之間傳輸?shù)腗MS報文不止一種。源IP為172.16.0.182，目的IP為172.16.0.73的MMS報文只有Confirmed_Request一種。統(tǒng)計相鄰兩次Confirmed_Request報文發(fā)送的時間間隔，然后以報文序號為橫坐標，以相鄰兩次MMS報文的時間間隔為縱坐標畫出圖表，如圖2所示。

從圖2中看出，request報文整體的發(fā)送時間間隔都很接近，但會出現(xiàn)一些間隔特別長的情況，也就是圖1中的尖峰。這些尖峰的高度沒有規(guī)律，但尖峰的間隔較有規(guī)律，也就是說，Confirmed_Request報文的每發(fā)送一定數(shù)量的數(shù)據(jù)包之后就會出現(xiàn)停頓的情況。

源IP為172.16.0.73，目的IP為172.16.0.182之間包含有response報文和unconfirmed報文。按照上述方法分別畫出兩種報文的時間特性曲線，如圖3和圖4所示。

從圖3中可以看出，response類型的報文和request類型的報文傳輸?shù)臅r間間隔分布特性基本相同。從圖4中可以看出，unconfirmed報文的傳輸時間間隔與response報文和request報文的時間分布差距較大。而且在實際的數(shù)據(jù)中，unconfirmed報文數(shù)量遠小于request報文和response報文的數(shù)量。

更進一步，智能變電站中的request報文和response報文中都對應(yīng)有invokeID字段。按照該字段將request和response報文進行聚合。通過報文中的時間戳可以算出在發(fā)送request請求報文到收到response報文所需的時間間隔。以request報文的出現(xiàn)次序為橫坐標，以上述時間間隔為縱坐標，可以畫出報文問答間隔的曲線，如圖5所示。

從圖5可以看出，對于相同的invokeID字段的報文，其發(fā)送request報文和收到response報文的間隔時間很短。大多數(shù)報文的間隔時間都在0.1秒以下，有少部分間隔時間較長，但也都在0.5s以下，遠小于request報文發(fā)送的時間間隔。且發(fā)送request報文和收到response報文間隔時間分布沒有明顯的規(guī)律。

由于圖2和圖3中所示的request報文和response報文發(fā)送的時間間隔分布基本相同，所以這里主要分析request報文。對request報文進行更深層次的解析發(fā)現(xiàn)，request報文包含有read和write兩種報文。將這兩種報文分別提取出來，按照前面的方法分別畫出報文發(fā)送時間間隔曲線，如圖6和圖7所示。

從圖6和圖7中可以看出，read類型的報文數(shù)量遠遠少于write類型報文的數(shù)量。對于read類型的報文，其發(fā)送時間間隔變化不大，在30-32秒之間。而對于write類型的報文來說，多數(shù)報文的發(fā)送時間間隔在2秒以下，但會出現(xiàn)有規(guī)律的長間隔的發(fā)送。同時，結(jié)合圖2，圖6和圖7可以看出，圖2中曲線的峰值高度不相同主要是由于read報文無規(guī)律發(fā)送引起。

更進一步，對read報文和write報文分別進行深入解析，可以發(fā)現(xiàn)read報文只有一種類型，而write報文可以根據(jù)其中的itemID進行更細致的分組。將根據(jù)itemID分組以后的報文按照前面的方法分別畫出時間特性曲線。由于報文中itemID較多，所以這里只給出其中的一個itemID的示例，如圖8所示。

在圖8中，曲線圖上方的文字就是相應(yīng)的曲線所對應(yīng)的itemID的值。圖8中的曲線具有明顯的周期性特征。也就是說對于確定類型的write報文，其發(fā)送的時間間隔具有一定的規(guī)律性，而不是隨機分布的。

通過以上分析可以發(fā)現(xiàn)，在變電站中MMS報文的發(fā)送是有一定的時間規(guī)律的。通過對這些規(guī)律進行分析與學(xué)習(xí)，可以得到變電站系統(tǒng)的正常行為基線。以上分析主要是采用畫圖的方法進行定性的觀察。接下來需要對報文的傳輸時間特性進行更深入的分析。這里所采用的方法是傅里葉分析和小波分析。

2 ? MMS報文傳輸特性的頻域分析

本章采用傅里葉變換的方法對MMS報文傳輸?shù)臅r間特性進行分析。

2.1 ? 傅里葉變換簡介

傅里葉變換是將滿足一定條件的函數(shù)表示為正弦函數(shù)和余弦函數(shù)或者它們的積分的線性組合的形式。對于給定序列（x0，1，xt，1，xN），假設(shè)序列以N為周期，也就是說有xt = xt + N，那么該序列對應(yīng)的傅里葉變換也是一條具有N個值的離散序列，即（x0，1，xk，1，xN），其中，xk定義如下：

傅里葉變換是可逆的變換，基于式（1），其逆變換可以表示為：

?在式（1）和式（2）中，Xk對應(yīng)周期Tk = N/k的 k次諧波。k次諧波的幅值為Ak = Xk，則功率譜密度（Power Spectral Density，PSD）的計算式為：

?如果原序列中具有周期性，則其功率譜序列中對應(yīng)的頻率處會出現(xiàn)峰值。

2.2 ? MMS報文傳輸時間特性的傅里葉分析

從上一章的分析中可以看出，有些MMS報文傳輸是具有周期性的，有些MMS報文則沒有確定的規(guī)律。但是在實際的系統(tǒng)中，由于報文傳輸量很大，對報文傳輸?shù)闹芷谛詸z測無法通過畫圖來完成，因此，這里采用傅里葉變換的方法檢測MMS報文傳輸?shù)闹芷谛浴?/p>

對于圖8中傳輸時間具有周期性的MMS報文，按照式（1）和式（3）中的方法計算其功率譜，其功率譜圖像如圖9所示。

從圖9可以看到，對于具有周期性的序列，其功率譜圖像具有明顯的峰值。圖9中所示為完整的功率譜的圖像。對于離散序列來說，其功率譜是對稱的，因此只需要考慮功率譜圖像的左半部分。在圖9中，我們可以看到在0.2 Hz的時候出現(xiàn)了第一個尖峰，在0.4 Hz的時候出現(xiàn)了第二個尖峰。因此可以判斷出源序列中存在周期性，其周期為。

對于圖5所示的非周期信號，其功率譜圖像如圖10所示。

從圖10可以看出，對于非周期序列，其功率譜圖沒有明顯的峰值。

采用傅里葉變換的方法可以對MMS報文的周期性進行檢測。如果MMS報文的周期性發(fā)生變化，則可能對應(yīng)了控制指令下發(fā)或者異常情況發(fā)生。

3 ? MMS報文傳輸特性的小波分析

本章采用小波變換[9]的方法對MMS報文傳輸?shù)臅r間特性進行分析。

3.1 ? 傅里葉變換的局限

在第2章中，我們采用了傅里葉分析的方法將時域序列變換到頻域，然后檢測信號的周期性。但是傅里葉變換主要用來針對平穩(wěn)信號做分析，也就是統(tǒng)計特性不隨時間的變化而變化的信號。對于非平穩(wěn)信號，傅里葉變換就不能很好地分析了。

如圖11所示，圖11（a）是一個標準的正弦曲線，圖11（b）是其對應(yīng)的功率譜。圖11（c）是圖11（a）的正弦曲線基礎(chǔ)上出現(xiàn)了一個微小的尖峰，圖11（d）為對應(yīng)的功率譜圖像?？梢钥闯觯瑑蓚€功率譜圖像基本相同，從功率譜圖像中并不能反映出時域信號的微小變化。在圖12中，對同樣的函數(shù)應(yīng)用Haar小波變換，可以看出小波變換可以對微小的尖峰進行檢測。在實際的變電站系統(tǒng)中，MMS報文的變化并不都會是大時間尺度的，也就是說采用分析平穩(wěn)信號的方法不能有效監(jiān)測MMS報文傳輸時間特性的小范圍變化。因此，這里采用小波變換的方法來細粒度的檢測MMS報文傳輸?shù)臅r間特性變化。

3.2 ? MMS報文傳輸特性的小波分析

如前所述，如果變電站中MMS報文傳輸發(fā)生非常微小的變化，則傅里葉變換無法精確的檢測出這種變化。由于變化十分微小，所以在時域上面檢測這種變化也會比較困難。而采用小波變換的方法檢測這種微小變化可以得到較好的效果。

如圖13所示是對圖8中的序列進行小波變換以后所得到的結(jié)果。在圖13（b）中，時域信號發(fā)生了微小的變化。這種時域的變化不容易直接檢測，也無法采用傅里葉分析的方法進行檢測。但是采用Haar小波變換的方法卻可以檢測這種變化，如圖13（b）中間的曲線圖所示，時域序列的微小變化會引起小波變換以后的結(jié)果發(fā)生較大的變化。通過檢測這種變化，即可檢測到原始時域序列的變化，進而檢測報文傳輸?shù)漠惓！?/p>

4 ? 結(jié) ? 論

對智能變電站中的MMS報文的傳輸時間特性進行了分析，并采用傅里葉分析和小波分析的方法從不同粒度上分析了MMS報文傳輸?shù)臅r間特性。通過對報文傳輸時間特性的分析，可以建立報文的時間特性基線，作為進一步的異常檢測的基礎(chǔ)。

參考文獻

[1] ? ?RALSTON P A S，GARHAM J H，HIEB J L. Cyber security risk assessment for SCADA and DCS networks[J]. ISA Transactions，2007，46（4）：583—594.

[2] ? ?KEITH S，JOE F，KAREN S. SP 800-82 guide to industrial control systems（ICS） security[P]. National Institute of Standards & Technology，2011.

[3] ? ?GARCIA T P，DIAZ V J，MACIA F G，et al. Anomaly-based network intrusion detection：techniques，systems and challenges[J]. Computers & Security，2009，28（1）：18—28.

[4] ? ?National infrastructure plan[R]. Washington DC，USA：Department of Homeland Security，2009.

[5] ? ?Critical infrastructure protection：challenges and efforts to secure control systems. GAO-04-3 54[R]. Washington DC，USA：General Accounting Office（GAO），2004.

[6] ? ?BRANDLE M，NAEDELE M. Security for process control systems：an overview[J]. IEEE Security & Privacy，2008，6（6）：24—29.

[7] ? ?李孟超，王允平，李獻偉，等. 智能變電站及技術(shù)特點分析[J]. 電力系統(tǒng)維護與控制，2010，38（18）：59—62.

[8] ? ?冷建華，傅里葉變換[D].北京：清華大學(xué)出版社，2004.

[9] ? ?周宇峰，程景全. 小波變換及其應(yīng)用[J]. 物理，2008，37（1）：24—32.