站控层网络风暴与攻击抑制方法研究

2020-11-30孙利刚葛圣超王沼钧王建功王保齐

中国电气工程学报 2020年17期

孙利刚葛圣超王沼钧王建功王保齐

摘要：如何提高IED设备抵御站控层网络风暴与网络攻击的能力，是智能变电站安全可靠运行的焦点问题。本文首先分析了抵御站控层网络风暴与网络攻击的必要性，其次，分析了广播风暴与各种攻击的原理及对装置的影响，并根据智能变电站的典型结构建立了测试模型，用于方案验证。最后，从设备架构、网卡与驱动设计、广播风暴和攻击过滤算法几个方面提出了有效的网络风暴与网络攻击抑制方法。经验证，本文论述方案在设备抵御站控层网络风暴与网络攻击方面效果良好。

关键词：网络风暴;网络攻击;智能变电站;站控层网络。

中图分类号：TP3 文献标志码：A

【Abstract】How to improve IED equipment against network storm and network attack on substation control layer is the focus of safe and reliable operation of smart substation.At first，This paper analyzes the necessity of resisting network storm and network attack. Secondly， it analyzes the principle of broadcast storm and various network attacks ， the influence on the device， and establishes the test model according to the typical structure of smart substation， which is used for program verification Finally， an effective network storm and network attack suppression technology are proposed from several aspects ，as device architecture， network card and driver design， broadcast storm and attack filtering algorithm. Through validation， this paper discusses the program in the equipment against network storms and network attacks to facilitate the effect is good.

【Key words】Network Storm;Network Attack;Smart Substation; Substation Control Layer Network

1 引言

近年来，变电站正在朝着智能化、信息化、网络化的方向发展。变电站越来越依赖于网络通信技术，这已成为智能电网健康稳定运行的关键因素。各种保护系统，自动化系统及通信设备通过网络互联，从而导致网络安全成为电网可靠稳定运行的焦点问题。

变电站采用的是共享信道的以太网通信技术，是一种存在资源竞争的链路通信技术。虽然可以通过虚拟以太网技术将竞争降低，但是存在着网络风暴与攻击的可能[1]。站控层网络在变电站内承担着运载采集数据，监控控制，操作闭锁等信息功能。一旦网络出现风暴或者攻击，可能会导致变电站保护与控制功能退出，甚至导致IED设备重启，死机，误动等错误行为，进而影响整个电网的安全运行。

至今，在智能变电站网络风暴与攻击方面仍然没有一种有效的方案。文献[2]提出了基于哈希值过滤的方案，但是只能针对重复性报文。文献[3]从软硬件及网络结构方面提出了多种风暴抑制技术，但是没有提出对于网络攻击的有效应对方案。本文阐述了网络风暴与攻击对IED设备产生的危害原理，并在智能变电站特殊应用环境与要求下提出了一种有效抑制網络风暴与攻击的设备结构与算法。

2 网络风暴与攻击原理分析与测试模型

网络风暴会大量占用信道带宽，造成网络拥塞。从设备角度来讲，对其造成最大危害的是广播报文。大量广播报文会消耗处理器资源，严重的会导致功能缺失，死机等。网络攻击是针对IED设备产生大量使其消耗资源从而拒绝服务甚至死机的报文。目前，针对网络泛洪式攻击及智能电网的特殊网络环境，允许IED设备暂时的拒绝服务，但是要保证设备保护等重要功能正常，不能出现误动，拒动，甚至死机等严重问题。在攻击过后，网络通信能够恢复正常[4]。

2.1 测试模型与性能要求

开普电器检测研究院《合并单元智能终端装置集成测试方案》和中国电科院《智能变电站保护及相关设备网络压力测试方案》规定了网络风暴与网络攻击的测试方法，并提供了详细的测试例。站控层网络压力测试模型如图1所示。

整个测试分为网络压力与网络安全测试。网络压力测试是在原有网络流量基础上通过网络测试仪分别注入广播报文（ARP广播，UDP广播， TCP未知单播），注入量为1-100M，持续时间2分钟。要求被测装置运行正常，动作可靠，能正确接收订阅报文及联闭锁信号，且要求能与MMS客户端正常通信。网络安全测试是在原有网络流量基础上通过网络测试仪分别施加SYN FLOOD、UDP FLOOD、ICMP FLOOD、SMURF攻击、pingofdeath攻击、arp缓存攻击及异常MMS报文攻击。注入流量为1-100M，持续时间2分钟，要求被测装置运行正常，动作可靠，能正确接收订阅报文及联闭锁信号，可以与MMS客户端暂时中断通信，网络攻击结束后应保证测试过程中所有保护动作信号正确上送。

2.2 风暴与攻击作用原理

2.2.1 风暴作用原理及影响

当变电站站控层网络出现广播风暴时，大量的广播报文会使接收到报文的网卡产生大量中断及数据传输复制，导致内存，CPU资源使用率迅速升高。这种情况下下如果IED设备系统任务或者架构设计不合理，将会导致通信，保护功能，GOOSE等重要功能时延增大，不能满足保护要求，甚至出现重启死机。

2.2.2 攻击作用原理及影响

相对于广播风暴，网络攻击要复杂许多。下面将简单阐述网络攻击的原理及影响。

1）SYN FLOOD：该泛洪攻击是利用建立链接时三次握手的缺陷，向IED设备大量发送链接请报文。IED设备收到请求，未得到对方回应时，会进入等待期。这会导致大量socket资源消耗，并最终拒绝服务。

2）UDP FLOOD：UDP是无连接协议，所以只要向IED设备开放的端口中注入大量UDP报文，将会导致设备拒绝服务。目前智能变电站通信不采用UDP，故可以关闭UDP服务或者端口。

3）ICMP FLOOD：通过向目标IED设备发送大量ICMP报文，导致目标消耗大量CPU资源和有效带宽来处理ICMP RELAY，导致目标设备拒绝服务或者故障。

4）SMURF攻击：通过向目标IED设备发送大量ICMP ECHO报文，消耗目标IED设备大量资源，导致拒绝服务或者故障。实验发现，部分操作系统的协议栈不能经受SMURF攻击而瘫痪。

5）PINGOFDEATH攻击：利用TCP/IP特征“碎裂”，允许将一个大包分成几个小包分发的特点，向目标IED设备发送长度大于65535长度的大包ping request，并修改最后一个分裂小包大小，这样将会导致目标IED协议栈出现故障，甚至死机。

6）异常MMS通信报文：随意向IED设备发送修改过的MMS异常请求报文，导致IEC61850规约异常。该类攻击考查IEC61850协议健壮性。

由于网络攻击的复杂性，目前没绝对可靠的应对方法。但是智能电网属于专用网络，同时网络结构上也做了许多防范措施，以上攻击很难发生。一旦发生上述攻击，首先要确保IED设备保护，采集，控制等功能正常，其次设备可以缓存报告，允许通信暂时中断，能够在攻击过后恢复通信，并上送报告。

3 网络风暴与攻击抑制技术初探

智能电网是专用网络，其内部IED设备服务接入量有固定的限制，通常每个IED设备不会超过30个连接，甚至更少，并不是尽最大能力服务。现行测试标准要求设备具备同时服务16个通信链接的能力。

3.1 设备架构在抑制方面的作用

目前智能电网对IED设备的要求越来越高，多核架构及多处理器架构已经是主流趋势，如图2所示。

图2所示三种架构中，后两种架构是当前发展的主流架构，实现了通信，显示与保护，测量，控制等重要单元隔离，增强了保护设备的可靠性。对于后两种通信与保护等功能分离的设备，只要实现通信核心上广播风暴的检测过滤及MMS通信可恢复性即可，无需考虑对保护，采集，测量及控制功能及实时性的影响。后两种架构是大多数厂商采用的架构，能在风暴与攻击抑制方面起到很好系统保护作用，增加系統可靠性与实时性。

3.2 采用流量控制式MAC与驱动设计

网卡通常采用中断方式通知CPU数据的接收与发送情况。驱动设计上采用上半程中断与下半程中断相结合的程序设计。上半程中断是中断服务程序，简单处理中断标志与简短必要的处理，然后将数据处理任务投到工作队列，由下半程中断来处理。下半程中断通常是系统内核线程。在实时操作系统中，当网络风暴或者压力注入装置后，如果下半程中断线程优先级太高或者是不合理，将导致该线程大量消耗CPU资源而导致设备异常。而频繁的中断则会导致大量任务向队列中投递，控制不当将会导致系统崩溃。目前，智能电网中IED设备网络接口较多，要求特殊，很多厂商采用FPGA自行构建。本文提出一种采用流量控制式的MAC与驱动设计方案，能有效缓冲网络压力的冲击，如图3所示。

驱动层的上下半程中断通过任务队列进行同步。当驱动收到网卡接收中断后，查看上半程中断是否已经处理完上次任务。如果上次任务已经处理完成，则向任务队列投递任务。下半程中断每次收到任务后将处理所有数据包。MAC核在设计上要在缓存满后停止接收，并停止向驱动发送中断。数据缓存实际上起到一个令牌桶的作用，驱动负责释放令牌，而MAC只有从缓存中取到令牌才能接收数据并产生中断。在实时操作系统中，下半程中断线程的优先级应低于重要任务优先级，而非实时操作系统则需要合理的软件架构。这种设计会以处理器处理能力为上限形成两级缓冲，减少大量网络数据对系统处理能力的冲击，形成自适应式流量控制，而非绝对数值的流量控制。实验表明，这种设计在抵御网络压力方面表现优良。

3.3 广播风暴识别与过滤

站控层网络传播的广播报文是网络控制报文，如ARP，ICMP，其它报文则可以全部丢弃，并不会对通信造成影响。这些广播报文通常流量不会很大，也不具备连续性和突发大流量的情况。这些特点可以做为广播风暴识别的一个重要依据。

如果采用FPGA进行过滤，可以采用图4所示的滑窗法。FPGA需要先滤掉除ARP，ICMP以外的报文。滑动窗口的大小T1设定为200ms，当滑窗内广播数据大于等于WH，则停止向CPU发送广播数据。当滑窗内数据小于等于WL，恢复广播数据的上送CPU的操作。WH与WL选择可以根据自己CPU处理能力合理选定，参考值为： WH=100， WL=70。

如果采用软件方法实现过滤，则需要采用图4的定窗检测指数退避方法。采用定窗检测主要原因是定时统计更加方便，节省资源。该方法需要网卡具备广播报文接收统计功能及广播报文禁止接收功能支持。定窗检测窗口一般不宜设置过小，过小浪费CPU资源，设置T2=20ms即可。当窗口收接收报文数量大于等于WH，则将网卡接收广播功能关闭T3=n x T2s（n=2K ），K为一个随机数，使得。

3.4 网络攻击处理算法

智能电网IED设备的处理网络攻击方面有其特殊性。首先，每个IED设备提供相对很少的MMS接入服务，目前最多只需接入16路MMS服务。其次，IED设备在网络攻击发生时，可以拒绝服务来保证保护功能正常。网络攻击的处理方式不能像广播风暴处理一样按流量大小进行攻击识别。因为小量而长时间的smurf攻击也会造成部分操作系统协议栈瘫痪而不能恢复。FPGA在过滤攻击时可以按报文类型过滤，比如过滤掉UDP报文，但是对于小流量smurf攻击也显得很无力。基于以上问题，本文提出一种固定长度ARP表的替换算法。算法如图5所示。

该算法可以结合流量阈值过滤算法，可以起到非常好的抵御攻击效果。流量阈值不宜设置过低，限制装置网络传输能力，可以根据具体装置处理能力设定。通常，MMS流量不会超过3M/S，但是为了兼容其他应用，如FTP传输，我们通常将流量阈值设定到10M以上。没有达到流量阈值而上送驱动层的数据包，通过建立固定长度的驱动层ARP表，按图5所示算法进行过滤。在收到网络攻击时，IED设备站控层通信可能会响应延迟增大，甚至通信断开。但是能保证装置保护功能正常，通信能在攻击停止后恢复。

4 结束语

本文通过对网络风暴与网络攻击的分析，结合实际测试验证，从继电保护设备角度提出了应对风暴和攻击的有效手段。随着今后智能电网的不断发展提高，愈加复杂的网络会对设备抵御网络风暴与攻击的能力提出更高要求，更加高效的算法和方案有待提出。

参考文献：

[1] 李大勇，房亚囡，王洋，等.智能变电站网络压力性能测试研究[J].电子技术应用，2015，41（S1）18—20.24.

[2] 黄曙，马文霜，陈炯聪，等. 智能變电站网络风暴的监测和过滤算法研究，电力系统保护与控制，2013， Vol.41 No.18.

[3] 王志华，杜振华，董志平等，智能变电站网络风暴抑制技术研究，电气工程学报，2016， Vo1.11 No. 2.

[4] 国家电网公司，GB/T 14598.XX-201，智能保护测控设备技术规范，2016.

[5] Q/GDW 396—2009 IEC 61850 工程继电保护应用模型[S].北京：中国电力出版社，2010.

[6] 浮明军，刘秋菊等，智能变电站网络风暴测试研究，现代电力，2013，Vol.3

[7] 丁腾波，林亚男，赵萌.智能变电站虚拟局域网逻辑结构划分方案的研究[J].电力系统保护与控制，2012，40（1）：115-119.

作者简介：

孙利刚（1983-），男，山东烟台，中级工程师，研究方向为智能变电站继电保护平台软件。