论文部分内容阅读
随着电力系统规模的不断扩大,大量的分布式电力系统如新能源发、变电站等接入主网,而由于地域或铺设成本等限制,其SCADA(数据采集与监控)系统往往只采用公网通信的方式,其网络节点直接暴露在公网中,通信网络的安全性远远比不上大电网主干的封闭式电力调度数据专网。诸如DOS等类别的传统电力系统恶意攻击可以轻易接触到分布式SCADA系统设备的网络节点,使得局部电力信息网瘫痪。需要注意的是,电力系统应对网络攻击的传统主要手段——防火墙,在应对DOS攻击时却存在先天不足,导致DOS攻击成为了对分布式SCADA系统安全的巨大威胁,而目前业界仍然没有除了防火墙之外的更优防御手段。本文旨在针对这一实际问题做出研究,通过算法防御方案来解决其中的主要问题。根据数据统计,DOS类攻击中对分布式SCADA系统危害最大的一种是SYN flood洪泛攻击。因此,本论文开展了针对分布式电力SCADA系统SYN flood攻击的安全防御研究,主要研究如下:1.实物搭建了分布式电力SCADA系统攻防平台。依托南瑞集团实验验证中心信安实验室的优良条件,并根据RFCC2544网络测试基准和《国家电网公司生产移动作业应用终端设备配置规范》标准选择了实验方案与仪器设备,在此基础上搭建平台并进行了无攻击情况下的信息传输实验,为后续有攻击无防御和有攻击有算法防御的研究奠定基础。2.设计了针对分布式SCADA系统的SYNflood攻击方案。分析了 SYNflood洪泛攻击的攻击机理,并通过实验验证其攻击效果,分析实验结果图和被测对象在攻击下的实际反应,证明了 SYNflood对分布式SCADA系统监控设备的破坏力,进一步说明了研究新的防御方案来弥补传统工业防火墙短板的必要性。3.提出了 RED与Reno拥塞控制防御算法。分析了 TCP拥塞控制与Reno防御算法、IP拥塞控制与RED防御算法的原理,并通过交叉编译链Arp-tools将它们的C源代码嵌入进被测对象中,实验验证分析得出其作用效果。最后,将实验结果与传统防火墙方案防御结果作对比,得出结论。证明了本算法防御方案在防御SYNflood攻击上具有的优越性和可用价值,弥补了防火墙在这一方面的短板,可以作为防火墙防御网络攻击的一种很好的补充。