基于协议状态图遍历的IEC104协议漏洞挖掘方法_CN109660558A
104规约详细介绍及报文解析 -回复
104规约详细介绍及报文解析-回复规约(Protocol)是计算机网络通信中的一种协议,用于定义数据交换的格式、顺序以及错误检测和纠正等内容。
104规约(IEC 60870-5-104)是国际电工委员会(International Electrotechnical Commission)制定的一种规约,主要用于监控与控制系统之间的通信。
本文将详细介绍104规约及其报文解析。
一、104规约简介104规约是一种基于TCP/IP网络通信的规约,主要用于工业自动化领域中的远程监控与控制系统。
它提供了一种可靠、高效的通信方式,能够满足实时性、灵活性和可靠性等要求。
104规约采用了面向报文和面向连接的通信方式,能够支持点对点、点对多点和多点对点的通信模式。
二、104规约报文结构104规约的报文结构包括报文头(Header)、ASDU(Application Service Data Unit)和报文尾(Footer)。
报文头包含了报文的控制信息,用于表示报文类型、优先级和传输原因等。
ASDU是实际传输的数据部分,负责携带各种监控与控制的信息。
报文尾用于检测报文的完整性和一致性。
三、104规约报文解析1. 报文头解析:首先读取报文头,根据报文头的信息可以确定报文的类型、传输原因和发送序号等。
报文类型表示了报文的目的和功能,如启动报文、确认报文或者监控与控制的报文。
传输原因表示了触发发送该报文的原因,如周期定时发送、事件触发发送等。
2. ASDU解析:根据ASDU的类型可以确定ASDU的功能和数据的含义。
不同类型的ASDU用于传输不同种类的监控与控制的数据,如单点信息、双点信息、测量值和参数等。
根据ASDU的结构和定义,可以提取出数据的具体内容。
3. 报文尾解析:最后检查报文尾以验证报文的完整性和一致性。
报文尾通常包括一个校验和,用于检测报文是否被修改或丢失。
四、104规约报文的应用104规约广泛应用于电力、水利、交通、石油等行业中的远程监控与控制系统。
IEC104通讯机制
RTU上行通信IEC104协议简述目录1.RTU IEC104协议基本参数 (1)2.应用规约控制单元(APDU)格式 (1)2.1应用规约控制信息(APCI)格式 (1)2.2应用服务数据单元(ASDU)格式 (3)3.定时器定义 (7)4.未被确认的I帧最大数目k和最迟确认数目W (7)5.总召唤机制 (7)6.电度总召唤机制 (8)7.时钟同步机制 (8)8.遥控机制 (8)8.1正常遥控 (8)8.2从站拒绝 (9)8.3主站撤销 (9)9.遥调机制 (9)9.1正常遥调 (9)9.2从站拒绝 (10)9.3主站撤销 (10)10.非标召唤机制 (10)11.变位遥信机制 (11)12.历史数据召唤机制 (11)12.1RTU没有历史数据 (12)13.地址分配 (12)1.RTU IEC104协议基本参数●基于IEC60870-5-104协议;●最大帧长度为255Byte;●帧间隔:50ms;●TCP/IP 网络通信端口号2404;●采用平衡传输,每个节点(包括主站、厂站)均可以启动报文发送。
2.应用规约控制单元(APDU)格式●应用规约数据单元:APDU(Application protocol data unit)●应用规约控制信息:APCI(Application protocol control information)●应用服务数据单元:ASDU(Application protocol control unit)2.1应用规约控制信息(APCI)格式为了检出ASDU的启动和结束,每个APCI包括下列的定界元素:一个启动字符,ASDU 的规定长度,以及控制域(见下图)。
可以传送一个完整的APDU(或者,出于控制目的,仅仅是传送APCI域)。
启动字符0X68定义了数据流中的起点。
APDU的长度域定义了APDU体的长度,它包括APCI的四个控制域八位位组和ASDU。
第一个被计数的八位位组是控制域的第一个八位位组,最后一个被计数的八位位组是ASDU的最后一个八位位组。
iec104协议2009版
iec104协议2009版(最新版)目录1.IEC 104 协议概述2.IEC 104 协议 2009 版的主要内容3.IEC 104 协议 2009 版的应用领域4.IEC 104 协议 2009 版的优势和意义正文一、IEC 104 协议概述IEC 104 协议,全称为国际电工委员会(International Electrotechnical Commission,简称 IEC)104 技术规范,是关于电力系统和设备的通信和自动化领域的一项重要国际标准。
该协议旨在实现电力系统和设备之间的互操作性,以确保电力系统的安全、稳定和可靠运行。
二、IEC 104 协议 2009 版的主要内容IEC 104 协议 2009 版是在 2009 年发布的最新版本,其主要内容包括以下几个方面:1.适用范围:该协议主要适用于电力系统和设备的通信和自动化领域,包括发电、输电、配电和能源管理等各个环节。
2.通信协议:IEC 104 协议 2009 版定义了一种基于网络通信的通信协议,以实现电力系统和设备之间的数据交换和远程控制。
3.设备模型:该协议规定了一种统一的设备模型,以便在不同的电力系统和设备之间实现互操作性。
4.数据结构和编码:IEC 104 协议 2009 版定义了一种数据结构和编码方式,以确保在不同的系统和设备之间进行数据交换时的一致性和正确性。
三、IEC 104 协议 2009 版的应用领域IEC 104 协议 2009 版在电力系统和设备的通信和自动化领域具有广泛的应用,包括以下几个方面:1.发电厂自动化:实现发电厂的远程监控、数据采集和控制命令的下达等功能。
2.输电和配电系统:实现输电和配电系统的自动化控制、故障检测和远程维护等功能。
3.能源管理:通过实现电力系统和设备的互操作性,提高能源管理的效率和准确性。
4.其他领域:如电力市场交易、电力系统安全和稳定性分析等。
四、IEC 104 协议 2009 版的优势和意义IEC 104 协议 2009 版的实施具有以下优势和意义:1.提高电力系统的安全性:通过实现电力系统和设备之间的互操作性,可以有效提高电力系统的安全性和稳定性。
iec104规约组 -回复
iec104规约组-回复关于IEC 104规约组的介绍IEC 104规约组是指基于IEC 60870-5-104标准的通信规约组,用于远程监控和控制系统中的数据传输。
本文将从IEC 104规约组的背景、工作原理、应用和发展趋势等方面进行详细介绍。
一、背景IEC 60870-5-104是一种通信规约,用于实现电力系统中的自动化和监控控制。
其基于IEC 60870-5-101规约,并对其进行了改进和完善。
相较于IEC 60870-5-101,IEC 104规约组具有更高的传输速率、更简单的编码格式和更灵活的连接方式,使得它更适用于现代化智能电力系统的需求。
二、工作原理IEC 104规约组采用了客户端-服务器架构,在数据通信过程中,系统中的客户端主动向服务器发送请求,服务器将相应的数据发送回客户端。
数据传输是以可靠性为基础的,即每个数据包都会经过确认和重传机制以保证数据的完整性和可靠性。
IEC 104规约组采用了相对应用层服务接口(ASDU)的结构,ASDU是由信息对象组成的,每个信息对象包含了不同类型的信息,如测量值、状态变化和控制命令等。
ASDU中的每个信息对象都有一个唯一的标识符,以便于服务器和客户端进行识别和处理。
三、应用IEC 104规约组主要应用于电力系统中的远程监控和控制系统。
它可以实现对电力系统中各个设备(如变电站、发电厂等)的数据采集、状态监测和远程控制等功能。
通过IEC 104规约组,用户可以实时监测系统的运行状态、采集各种测量值和故障信息,并可以对系统进行远程控制和调整。
IEC 104规约组还可以与其他通信协议(如MODBUS、DNP3等)进行互联互通,实现不同设备和系统之间的数据交换和共享。
这使得IEC 104规约组的应用范围更加广泛,可以适用于各种类型的智能电力系统和自动化控制系统。
四、发展趋势随着电力系统的不断发展和智能化程度的提高,IEC 104规约组也在不断演进和完善。
南方电网远动101、104通信规约故障分析及排查基本方法培训讲义
<102> <103>
<105>
读命令 时钟同步命令
复位进程命令
C-RD-NA-1 C-CS-NA-1
C-RP-NA-1
应用层
信息体地址
对象名称 状态量信息 继电保护信息 16进制地址 1-1000 1001-4000 个数 4096 12288
模拟量信息
模拟量参数 控制量信息 AGC调节 累计电度量 分接头位置 计划值曲线
IEC101、104规约培训讲义
IEC101、104规约培训讲义
南方电网远动IEC101、104通信 规约故障分析及排查基本方法 培训资料 讲义
2012.06.18-21 云南 大理
2012年6月27日
规约发展简史
一.规约发展简史 二.规约层次结构和相关标准 三.物理层介绍 四.链路层介绍 五.应用层介绍 六.常见问题及诊断分析真实案例分析 七.问题及解答
应用层
典型初始化过程:
应用层
遥测举例: 应用服务数据单元∶M_ME_NA_1 测量值, 规一化值
0 1 在中定义 在中定义 在中定义 Value S Value 0 0 0 OV 0 0 0 1 0 0 1 类型标识(TYP) 可变结构限定词(VSQ) 传送原因(COT) 应用服务数据单元公共地址 信息对象地址 1 NVA=规一化值(在.4中定义) 属于信息对象地址A QDS=品质描述词(在.3中定义) 信息对象 Value j NVA=规一化值(在.4中定义) 7.1中定义 标识符在 数据单元 信息元素数j
链路层
FT1.2 单字节帧
链路层
FT1.2 固定长度帧
链路层
FT1.2 可变长度帧
链路层
IEC104规约介绍(共40张PPT)
• 接收方收到w个I格式APDU后确认。 • k值的最大范围:1到32767(2的十五次方-1)APDU,精确
到一个 APDU.
• w值的最大范围:1到32767 APDU,精确到一个APDU。(推荐:w不 应超过三分之二的k)。
。规约推荐:k值为12,w值为8
规约结构(3)- APCI控制信息
起 动 字 符 68H A P D U 长 度 (最 大 , 253)
控制域八位位组 1 控制域八位位组 2 控制域八位位组 3 控制域八位位组 4
APCI APDU
IE C 60870 -5-101 和 IE C A SD U
60870-5-104 定 义 的 A S D U
Ack V(S) V(R)
0
0
0
U(STARTDT 确认)
数据传输激活
或
超时
U(STARTD 生效)
t1
主动关闭
开 始 数 据 传 送 过 程
通讯特点(8)和连接有关的4个超时时
间t0,t1,t2,t3
• t0:TCP连接建立的超时时间,即RTU(服务器)端进入等待连接的状
态后,若超过此时间,主站(客户)端还没有Connect()过来就主动退出
+1-2-15> 规约结构
(
7
)等待连接S格的式状态;规约推荐的缺省值为30秒。
局R由T域于U网 I(EC(服•6两务0层器87t超交)01-换端5:-时1机应0连答R4时采接(T很用的明U间平单显衡(网,窗传段口服输、若尺方三务寸式超层>,1交器)当过:换主)机此站或(端路时客由启户器间)连动端还接没的U有没多格进网有行段式数)收据测召到唤试,主而过R站T程U((后服客务等器户)待端)中U有端格变化的式数U据测时格试,式R应TU测要答主试动的上应送
基于suricata的IEC104插件设计与实现
第54卷 第1期2021年1月通信技术Communications TechnologyVol.54 No.1Jan. 2021文献引用格式:张周晶,申玲钰. 基于suricata的IEC104插件设计与实现[J].通信技术,2021,54(01): 251-258.ZHANG Zhoujing,SHEN lingyu. IEC104 Plug-in Design and Implementation based on SuricataSoftware Framework [J].Communications Technology,2021,54(01):251-258.doi:10.3969/j.issn.1002-0802.2021.01.039基于suricata的IEC104插件设计与实现*张周晶1,申玲钰2(1.中国电子科技网络信息安全有限公司,四川 成都 610041;2.中国电子科技集团公司第三十研究所,成都 610041)摘 要:工业互联网发展的过程中,针对工业协议的指令级IDS需求正在迅速增长,IEC104作为国家基础设施通信的基础工业协议是当前网络中监测、审计的重点关注协议。
针对该需求,将IEC104的解析分析、监测告警及日志输出以插件模式在已有开源框架suricata中设计、开发及实现,满足当前系统需求。
关键词:入侵检测;IEC104;suricata;IDS中图分类号:TP311 文献标识码:A 文章编号:1002-0802(2021)-01-0251-08IEC104 Plug-in Design and Implementation based onSuricata Software FrameworkZHANG Zhoujing1,SHEN Lingyu2(1.China Electronics Technology Cyber Security Co., Ltd., Chengdu Sichuan 610041, China; 2.No.30 Institute, CETC, Chengdu Sichuan610041, China)Abstract: In the process of industrial Internet development, the demand for directive-level IDS for industrial protocols is growing rapidly, and IEC104 as the basic industrial protocol of national infrastructure communication is the focus of monitoring and auditing in the current network. In response to this demand, the resolution analysis, monitoring alert and log output of IEC104 are designed, developed and implemented in the existing open source framework suricata in plug-in mode to meet the current system requirements.Keywords: Intrusion detection; IEC104; suricata; IDS0 引 言随着工业互联网的发展,工业网络单独组网的状态正在被改变,为了将人、数据和设备进行有效连接,国外众多大型公司已根据其自身产品及产业特点构建了对应的工业互联网平台,我国在该领域也正在建立更加完善的框架。
iec104规约协议报文流程解析
iec104规约协议报文流程解析iec104规约协议报文,就像是一种特殊的语言,在电力系统这个大舞台上传递着重要的信息。
想象一下,电力系统是一个超级大的家族,各个设备就像是家族里的成员。
而iec104规约协议报文呢,就是这些成员之间沟通的信件。
每一个报文都有着自己独特的格式和内容,就像每封信都有特定的书写格式和要表达的事情一样。
我们先来看报文的起始部分。
这部分就像是信件的开头称呼,它会告诉接收方,“嘿,我是从哪里来的”。
比如说,它会包含发送端的一些标识信息,这就好比是写信人的地址。
这个标识很重要呢,就像你收到一封信,你得知道是谁寄来的。
如果这个标识乱了或者错了,那就好比收到一封不知道谁寄来的信,会让人很迷糊。
然后是报文的类型部分。
这就像是信里写的事情的大致分类。
是通知对方有新情况了呢,还是在回答对方之前的询问?不同的报文类型有着不同的作用。
就像你给家人写信,有时候是告诉他们你最近发生的新鲜事,这就类似一种类型的报文;有时候是回复家人之前问你的问题,这又是另一种类型的报文。
比如说,一个设备检测到电力参数有异常了,它就会发出一种特定类型的报文,告诉监控系统“我这儿有点不对劲啦”。
报文的数据部分就像是信的正文内容。
这里面包含了真正有用的信息。
在电力系统里,可能是电压值、电流值、设备状态之类的信息。
这部分信息就像是你告诉家人你现在的生活状况,是过得好呢,还是遇到了困难。
这些电力数据非常关键,因为它们直接反映了电力系统的运行情况。
就像你家人通过你信里描述的生活状况来了解你的真实生活一样,电力系统的监控人员通过这些数据部分的报文来掌握电力系统的运行状态。
报文还有校验部分。
这就像是信件的防伪标识。
因为在传输过程中,可能会出现各种干扰,导致报文的内容发生错误。
校验部分就可以检查这个报文是不是完整的、正确的。
这就好比你收到一封信,你要看看这封信有没有在途中被损坏或者被人篡改过。
如果校验不通过,那就好比收到一封字迹模糊、内容被乱改的信,这样的报文是不能被信任的,就像这样的信你也不会相信里面的内容一样。
iec104规约组 -回复
iec104规约组-回复什么是IEC 104规约?IEC 104规约是一种用于远程监控与控制系统(SCADA)的通信协议,是国际电工委员会(IEC)制定的一项标准。
它定义了在电力系统和工业自动化领域中,远程站点与控制中心之间的数据传输方式。
IEC 104规约采用了一种基于传输控制协议/互联网协议(TCP/IP)的通信机制,被广泛应用于电力系统、输变电控制和工业自动化领域。
IEC 104规约的结构IEC 104规约由两个主要部分组成:应用层和传输层。
1. 应用层:应用层定义了数据传输的格式和方式。
它规定了数据的封装方式、传输的数据类型、监测和控制过程的命令,以及与规约相关的其他信息。
2. 传输层:传输层是基于TCP/IP的通信链路。
它负责建立连接、数据的可靠传输和连接的维护。
传输层使用TCP作为连接协议,确保数据的完整性和可靠性。
IEC 104规约的特点1. 高可靠性:IEC 104规约使用TCP作为传输层协议,确保数据传输的可靠性。
TCP提供了可靠的数据传输机制,包括重复数据检测、丢失数据重传和数据顺序控制等功能,以确保数据的准确性和完整性。
2. 实时性:IEC 104规约支持实时数据传输,能够满足需要快速响应的应用场景。
它采用轮询方式进行数据传输,在每个循环周期内,远程站点将其当前状态传输给控制中心,以实现实时数据的监测和控制。
3. 可扩展性:IEC 104规约支持多对多的数据传输方式,允许多个远程站点与一个控制中心建立连接。
这种方式能够满足大规模系统中多个站点同时进行数据传输和控制的需求。
IEC 104规约的应用场景IEC 104规约被广泛应用于电力系统和工业自动化领域。
它能够满足对数据传输实时性和可靠性要求较高的应用场景。
1. 电力系统监控与控制:在电力系统中,IEC 104规约可以实现对发电厂、输电线路和变电站等远程站点的实时监测和控制。
它能够传输各种类型的数据,如开关状态、遥测数据和告警信息等,为电力系统运行和维护提供可靠的数据支持。
IEC104协议重点内容-讲解课件
RTU须逐条对命令用相同报文确认
报文类型标识(四) (Type Identification)
系统命令
《100》站(总)召唤命令 《101》计数量召唤命令 《102》读命令 《103》时钟同步命令 《104》测试命令 《105》复位进程命令 《106》延时获得命令 C-IC-NA-1 C-CI-NA-1 C-RD-NA-1 C-CS-NA-1 C-TS-NA-1 C-RP-NA-1 C-CD-NA-1
报文类型标识(二) (Type Identification)
《33》带CP56时标的32比特串 《34》带CP56时标的归一化测量值 《35》带CP56时标的标度化测量值 《36》带CP56时标的短浮点测量值 《37》带CP56时标的累计量 《38》带CP56时标的继电保护设备事件 《39》带CP56时标的继电保护设备成组启动事件 《40》带CP56时标的继电保护设备成组输出信息 《70》站端初始化结束 M-BO-TB-1 M-ME-TD-1 M-ME-TE-1 M-ME-TF-1 M-IT-TB-1 M-EP-TD-1 M-EP-TE-1 M-EP-TF-1 M-EI-NA-1
IEC104协议 重点内容介绍
• • • • • • • 应用模型及基本定义 基本报文格式 抗报文丢失机制 传输机制及流程 几个技术参数 有代表性的信息报文格式 IEC104部分小结
IEC104协议的应用模型 及基本定义
• 基于TCP/IP的SCADA数据传输协议 • 《101的网络传输》 • 应用模型 。基本定义 应用层 端口号 2404 站端为 Server 传输层 控端为 Client 网络层 问答式传输 链路层 2Byte站地址 物理层 2Byte传送原因 3Byte信息地址
IEC104规约报文实例分析
IEC-104规约报文实例分析版本:V1.00日期:2016-09-03目录1. 概述 ................................................................................................................................................................... - 1 -2. 引用标准 ........................................................................................................................................................... - 1 -3. 信息体基地址范围 ........................................................................................................................................... - 1 -4.报文字节数的设置 ........................................................................................................................................... - 1 -5.类型标示符 ....................................................................................................................................................... - 2 -6.传送原因 ........................................................................................................................................................... - 3 -7. 端口号 ............................................................................................................................................................... - 3 -8. 报文实例 ........................................................................................................................................................... - 4 -8.1. 建立网络连接或启动链路 ................................................................................................................. - 4 -8.2. 停止链路 ............................................................................................................................................. - 4 -8.3. U帧测试帧 ......................................................................................................................................... - 4 -8.4. S帧测试帧.......................................................................................................................................... - 4 -8.5. 总召唤 ................................................................................................................................................. - 4 -8.6. 对时 ..................................................................................................................................................... - 5 -8.7. 全遥测 ................................................................................................................................................. - 5 -8.8. 全遥信 ................................................................................................................................................. - 5 -8.9. 变化遥信 ............................................................................................................................................. - 6 -8.10. SOE ...................................................................................................................................................... - 6 -8.11. 遥控 ..................................................................................................................................................... - 6 -8.12. 电度总召唤 ......................................................................................................................................... - 8 -9. 规约测试软件 ................................................................................................................................................... - 9 -9.1. 测试流程 ............................................................................................................................................. - 9 -9.2. 测试软件比较 ..................................................................................................................................... - 9 -9.3. KW-2200配电网自动化模拟测试系统使用说明........................................................................... - 10 -9.4. PMA通信协议分析及仿真软件使用说明...................................................................................... - 15 -1.概述随着通信网络的迅猛发展,IEC-104规约被广泛采用,本文着重讲解IEC-104的规约报文格式和实例分析,详细的交互和应用介绍请参考引用标准。
104协议简介与测试
起始字 68H
APDU长度(最大253) 控制域1 控制域2 控制域3 控制域4
IEC 60870-5-101和 IEC 60870-5-104定义的ASDU
104协议简介
重要参数:
❖ 超时时间: ❖ T0 建立TCP连接时的最大允许时间; ❖ T1 发送I帧或U帧后,必须在T1时间内收到确认帧; ❖ T2 收到I帧经过T2时间没有进行回复,就必须回复一条确认帧; ❖ T3 若在T3时间内没有收到任何报文,则发送报告链路测试帧;
104协议简介
常用交互流程:
6804 83000000
1000 0011
测试确认
104协议简介
S帧:
计数的监视功能类型,用于传输对站端的确认的报文,本身没有信息发送的情况。(S格式的APDU只包含 APCI,帧长6字节。) S格式的APDU的帧内容为如下6个字节:68 04 01 00 98 53 前四个字节固定,后两个字节表示接收序号。
104协议简介
数据单元标识符:
❖ ASDU公共地址(ADR):2字节
ASDU地址为2个字节,一般作为站地址,在低版本远 动程序中,一般高字节固定为0,1~254表示站地址, 255表示全局地址 新远动程序则可支持1~65534为站地址,而65535为全 局地址。
104协议简介 信息体
案例:49 01 00(信息对象地址)01(信息体元素) 信息体地址为01 49H,在报文中低位在前,高位在后, 显示为49 01 00H 信息元素集 案例:01 40 00(信息对象地址) 00 c0 c9 44 00(信 息体元素,前四个字节为遥测值,第五个字节为品质 描述词) 信息对象时标(56位)
基IEC104规约的配电终端测试软件设计
基IEC104规约的配电终端测试软件设计
王莉
【期刊名称】《科技资讯》
【年(卷),期】2022(20)14
【摘要】从最初的电力网发展到今天,伴随着计算机技术、网络技术和通信技术的发展,这些技术被广泛地应用到电力网络中。
随着电力物联网的提出,配电设备向着物联化、智能化方向转变,此次终端测试软件的设计目标就是一套基于IEC104协议的实时数据库的电力远程测试平台,以第三方视角对系统、设备、通信等多方面进行模型比对和数据分析,把被动的维护工作向主动的量化管理推进,以更好地保障电网的安全稳定运行。
【总页数】3页(P34-36)
【作者】王莉
【作者单位】南京信息职业技术学院
【正文语种】中文
【中图分类】V242.4;3
【相关文献】
1.IEC104规约应用协议控制信息测试内容及方法研究
2.基于IEC104远动规约的智能变电站辅助平台测试系统设计与实现
3.试论IEC104规约在配电自动化系统中的应用
4.IEC104规约在配电自动化系统中的应用研究
5.基于IEC104规约的配电房运行状态监控系统开发
因版权原因,仅展示原文概要,查看原文内容请购买。
IEC104规约报文分析(104报文解释的比较好的文本)
IEC104规约调试小结一、四遥信息体基地址范围“可设置104调度规约”有1997年和2002年两个版本,在流程上没有什么变化,02此配置要根据主站来定,有的主站可能设为1,1,2,我们要改与主站一致。
三、以公共地址字节数=2,传输原因字节数=2,信息体地址字节数=3为例对一些基本的报文分析第一步:首次握手(U帧)发送→激活传输启动:68(启动符)04(长度)07(控制域)00 00 00接收→确认激活传输启动:68(启动符)04(长度)0B(控制域)00 00 00第二步:总召唤(I帧)召唤YC、YX(可变长I帧)初始化后定时发送总召唤,每次总召唤的间隔时间一般设为15分钟召唤一次,不同的主站系统设置不同。
发送→总召唤:68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共地址即RTU地址)00 00 00(信息体地址)14(区分是总召唤还是分组召唤,02年修改后的规约中没有分组召唤)接收→S帧:注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。
6804 01 00 02 00接收→总召唤确认(发送帧的镜像,除传送原因不同):68(启动符)0E(长度)00 00(发送序号)00 00(接收序号)64(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共地址即RTU地址)00 00 00(信息体地址)14(同上)发送→S帧:注意:记录接收到的长帧,双方可以按频率发送,比如接收8帧I帧回答一帧S帧,也可以要求接收1帧I帧就应答1帧S帧。
68 04 01 00 02 00接收→YX帧(以类型标识1为例):68(启动符)1A(长度)02 00(发送序号)02 00(接收序号)01(类型标示,单点遥信)04(可变结构限定词,有4个遥信上送)14 00(传输原因,响应总召唤)01 00(公共地址即RTU地址)03 00 00(信息体地址,第3号遥信)00(遥信分)发送→S帧:68 04 01 00 04 00接收→YX帧(以类型标识3为例):68(启动符)1E(长度)04 00(发送序号)02 00(接收序号)03(类型标示,双点遥信)05(可变结构限定词,有5个遥信上送)14 00(传输原因,响应总召唤)01 00(公共地址)01 00 00(信息体地址,第1号遥信)02(遥信合)06 00 00(信息体地址,第6号遥信)02(遥信合)0A 00 00(信息体地址,第10号遥信)01(遥信分)0B 00 00(信息体地址,第11号遥信)02(遥信合)0C 00 00(信息体地址,第12号遥信)01(遥信分)发送→S帧:68 04 01 00 06 00接收→YC帧(以类型标识9为例):68(启动符)13(长度)06 00(发送序号)02 00(接收序号)09(类型标示,带品质描述的遥测)82(可变结构限定词,有2个连续遥测上送)14 00(传输原因,响应总召唤)01 00(公共地址)01 40 00(信息体地址,从0X4001开始第0号遥测)A1 10(遥测值10A1)00(品质描述)89 15(遥测值1589)00(品质描述)发送→S帧:68 04 01 00 08 00接收→结束总召唤帧:68(启动符)0E(长度)08 00(发送序号)02 00(接收序号)64(类型标示)01(可变结构限定词)0A 00(传输原因)01 00(公共地址)00 00 00(信息体地址)14(区分是总召唤还是分组召唤,02年修改后的规约中没有分组召唤)发送→S帧:6804 01 00 0A 00第二步:发送对时报文(通过设置RTU参数表中的”对间间隔”,单位是分钟,一般是20分钟)发送→对时命令:68(启动符)14(长度)02 00(发送序号)0A 00(接收序号)67(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共地址)00 00 00(信息体地址)01(毫秒低位)02(毫秒高位)03(分钟)04(时)81(日与星期)09(月)05(年)接收→对时确认:68(启动符)14(长度)0C 00(发送序号)02 00(接收序号)67(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共地址)00 00 00(信息体地址)**(毫秒低位)**(毫秒高位)**(分钟)04(时)81(日与星期)09(月)05(年)发送→S帧:68 04 01 00 0E 00第三步:电度总召唤(如果没有电度此步骤可以省略且可以在对时之前以送.通过设置参数中”全数据扫描间隔”,单位是分钟一般是15分钟召唤一交,如果不需要召唤电度一定要将参数中的电度个数设为0)发送→召唤电度:68(启动符)0E(长度)04 00(发送序号)0E 00(接收序号)65(类型标示)01(可变结构限定词)06 00(传输原因)01 00(公共地址)00 00 00(信息体地址)45(QCC)接收→召唤确认(发送帧的镜像,除传送原因不同) :68(启动符)0E(长度)10 00(发送序号)06 00(接收序号)65(类型标示)01(可变结构限定词)07 00(传输原因)01 00(公共地址)00 00 00(信息体地址)45(QCC)发送→S帧:68 04 01 00 12 00接收→电度数据:68(启动符)1A(长度)12 00(发送序号)06 00(接收序号)0F(类型标示)02(可变结构限定词,有两个电度量上送)05 00(传输原因)01 00(公共地址)01 64 00(信息体地址,从0X6401开始第0号电度)00 00 00 00(电度值)00(描述信息)02 64 00(信息体地址,从0X6401开始第1号电度)00 00 00 00(电度值)01(描述信息)发送→S帧:68 04 01 00 14 00接收→结束总召唤帧:68(启动符)0E(长度)14 00(发送序号)06 00(接收序号)65(类型标示)01(可变结构限定词)0A 00(传输原因)01 00(公共地址)00 00 00(信息体地址)45(QCC)发送→S帧:6804 01 00 16 00第四步:如果RTU有变化数据主动上送主动上送变位遥信,类型标识为1或3接收→变位遥信:68(启动符)0E(长度)16 00(发送序号)06 00(接收序号)01(类型标示,单点遥信)01(可变结构限定词,有1个变位遥信上送)03 00(传输原因,表突发事件)01 00(公共地址即RTU地址)03 00 00(信息体地址,第3号遥信)00(遥信分)发送→S帧:68 04 01 00 18 00接收→变位遥信:68(启动符)0E(长度)18 00(发送序号)06 00(接收序号)03(类型标示,双点遥信)01(可变结构限定词,有1个变位遥信上送)03 00(传输原因,表突发事件)01 00(公共地址即RTU地址)06 00 00(信息体地址,第6号遥信)01(遥信分)发送→S帧:68 04 01 00 1a 00主动上送SOE,类型标识为0x1e(单点YX)或0x1f(双点YX)接收→SOE :68(启动符)15(长度)1a 00(发送序号)06 00(接收序号)1e(类型标示,单点遥信)01(可变结构限定词,有1个SOE)03 00(传输原因,表突发事件)01 00(公共地址即RTU 地址)08 00 00(信息体地址,第8号遥信)00(遥信分)ad(毫秒低位)39(毫秒高位)1c(分钟)10(时)7a(日与星期)0b(月)05(年)发送→S帧:68 04 01 00 1c 00接收→SOE :68(启动符)15(长度)1c 00(发送序号)06 00(接收序号)1f(类型标示,双点遥信)01(可变结构限定词,有1个SOE)03 00(传输原因,表突发事件)01 00(公共地址即RTU 地址)0a 00 00(信息体地址,第10遥信)01(遥信分)2f(毫秒低位)40(毫秒高位)1c(分钟)10(时)7a(日与星期)0b(月)05(年)第四步:如果主站超过一定时间没有下发报文或RTU也没有上送任何报文则双方都可以按频率发送U帧,测试帧,以检测链路通断。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
( 12 )发明专利申请
(21)申请号 201910046332 .6
(22)申请日 2019 .01 .18
(71)申请人 中国电力科学研究院有限公司 地址 100192 北京市海淀区清河小营东路 15号 申请人 国家电网有限公司 国网浙江省电力有限公司
掘方法 ( 57 )摘要
本发明提供一种基于协议状态图遍历的 IEC104协议漏洞挖掘方法 ,包括 :将获取的目标 设备的网络数据包处理为去重后的协议基础块; 根据所述去重后的协议基础块构造协议状态图 ; 对所述协议状态图按照预先设定的规则进行遍 历 ,生成至 少一个畸 形数据包 ;对所述至 少一个 畸形数据包进行漏洞测试,并确定通过漏洞测试 的畸形数据包对应的脚本为所述目标设备的一 个漏洞。本发明提供的漏洞挖掘方法以站端RTU 设备为对象进行漏洞挖掘测试,能够有效地发现 电 力系统 及工业控 制系统设备中存在的 安全漏 洞 ;在生成测试 用例时 ,遍历的路径更有效 ,生成 的有效测试 用例占比 更高 ,减少了执行时间。
(10)申请公布号 CN 109660558 A (43)申请公布日 2019.04.19
权利要求书2页 说明书10页 附图3页
CN 109660558 A
CN 109660558 A
权 利 要 求 书
1/2 页
1 .一种基于协议状态图遍历的IEC104协议漏洞挖掘方法,其特征在于,包括: 将获取的目标设备的网络数据包处理为去重后的协议基础块; 根据所述去重后的协议基础块构造协议状态图 ; 对所述协议状态图按照预先设定的规则进行遍历,生成至少一个畸形数据包; 对所述至少一个畸形数据包进行漏洞测试,并确定通过漏洞测试的畸形数据包对应的 脚本为所述目标设备的一个漏洞。 2 .根据权利要求1所述的方法,其特征在于, 所述将获取的目标设备的网络数据包处理为去重后的协议基础块,包括: 与目标设备进行交互,抓取目标设备的网络数据包; 从抓取到的网络数据包中过滤出IEC104协议的 数 据包 ,并 对数 据包去重 ,得到IEC104 协议数据包集合; 利用协议自动化分析方法,对IEC104协议数据包集合中的IEC104网络数据包进行分块 处理,得到去重后的协议基础块。 3 .根据权利要求1所述的方法,其特征在于, 所述根据所述去重后的协议基础块构造协议状态图 ,包括 : 获取各数据包内基础块之间的约束关联关系及数据包间的状态转移关联关系,构造协 议状态图 ;或 获得对IEC104协议数据包集合中的数据包内或所述去重后的协议基础块内的节点内 的约束关联关系; 获得所述去重后的协议基础块的节点之间的状态转移关联关系。 4 .根据权利要求1所述的方法,其特征在于, 所述对协议状态图按照预先设定的规则进行遍历,生成至少一个畸形数据包,包括: 按 照预先设定的 最大遍历深度 ,采 用深度优先方式 对协议状态图 进行遍历 ,依据节点 内的约束关联关系及节点之间的状态转移关联关系生成至少一个畸形数据包。 5 .根据权利要求1所述的方法,其特征在于, 所述针对所述至少一个畸形数据包,进行漏洞测试,包括: 发送所述畸形数据包至所述目标设备,以测定所述畸形数据包是否会触发所述目标设 备崩溃; 若所述畸 形数 据包触发所述目 标设备 崩溃 ,则根据所述畸 形数 据包编写重放脚本 ,利 用所述重放脚本进行漏洞验证; 确定经过漏洞验证后的重放脚本为对应于所述目标设备的漏洞。 6 .根据权利要求5所述的方法,其特征在于, 所述测定所述畸形数据包是否会触发所述目标设备崩溃,包括: 向目标设备发送探测数据包,探测目标设备对应于所述探测数据包是存活还是崩溃; 若目 标设备 崩溃 ,则记录上一个发出的 测试 用例 ,所述 测试 用例与所述畸 形数 据包唯 一对应。 7 .根据权利要求6所述的方法,其特征在于, 根据所述畸形数据包编写重放脚本,利用所述重放脚本进行漏洞验证,包括: 根据所述畸形数据包和上一个发出的测试用例,生成重放脚本;
(72)发明人 王磊 孙利民 朱朝阳 周亮 韩丽芳 孙玉砚 应欢 缪思薇 余文豪 邱意民 庞铖
(74)专利代理机构 北京工信联合知识产权代理 有限公司 11266
代理人 姜丽辉
(51)Int .Cl . H04L 29/06(2006 .01)
( 54 )发明 名称 基于协议状态图遍历的IEC104协议漏洞挖
2
CN 109660558 A
权 利 要 求 书
2/2 页
向目 标设备发送所述重放脚本 ;若查看到所述重放脚本 引起目 标程序异常 ,则确定所 述重放脚本及对应的测试用例为一个与所述目标设备对应的漏洞。
8 .根据权利要求2所述的方法,其特征在于, 在所述与目标设备进行交互 ,抓取目标设备的网络数据包时 ,可以 使 用以 下任一种工 具: Wireshark、Tcpdump、Burpsuite、Fiddler、Scapy、libpcap。 9 .根据权利要求1所述的方法,其特征在于, 所述目标设备包括远动系统中的站端RTU、PLC。 10 .根据权利要求2所述的方法,其特征在于, 所述协议基础块包括协议请求头及请求数据、协议关键字、660558 A
说 明 书
1/10 页
基于协议状态图遍历的IEC104协议漏洞挖掘方法
技术领域 [0001] 本发明属于电力系统安全技术领域,具体涉及一种基于协议状态图遍历的IEC104 协议漏洞挖掘方法。
背景技术 [0002] 电力系统是国家必不可少的基础设施之一,随着通讯、工业控制和服务器的不断 融入 ,电 力系统自 动化成为主流 ,电 力系统的运行环境更加复杂 ,对电 网的安全稳定运行要 求也越来越高 ,电 力系统 信息安全成为影响电 网稳定运行的一项重要指标 ,电 力系统 信息 安全受到国家及电 力行业极大的 重视。建立电 力系统安全防 护体系 ,进一步完善安全防范 技术措施,从而提高电力系统信息安全整体防护水平成为电力企业面临的首要问题。 [0003] 国际电工委员会(IEC)公布的基于TCP/IP的IEC60870-5-104(以下简称IEC104)远 动规约适用于调度主站与变电站综合自动化系统或调度主站与RTU之间基于以太网传输数 据,是IEC60870-5系列标准的配套标准。 [0004] 随着电力系统中综合监控自动化系统的不断发展,IEC104协议改变了传统电网通 信系统 利用串口 进行数据传输的现状 ,其应 用能 够满足实时电 力监控系统通信、可靠等要 求。 [0005] 另一方面,远动系统网络化之后,网络信息安全问题随之而来。当攻击者向这类设 备发送畸 形的 IEC104协议数据包之后 ,很容易对这些设备乃至系统造成破坏性的 影响 ,进 而导致无法预计的后果。