电力系统作为国家关键基础设施，能否安全平稳运行关系到国计民生。近年爆发的乌克兰电网遭受攻击[1]，伊朗核设施遭受攻击事件，显示出网络安全在电网运行中的极端重要性。

IEC 61850[2]是变电站的主要通信规约之一，站控层使用明文通信，存在安全隐患。IEC 62351[3]针对这种情况提出MMS的加密措施，极大地提高了安全性，但没有针对报文应用层内容的安全性提出解决方案。本文提出IEC 61850应用层网络安全的解决方案，可作为IEC 62351的补充，可以从语义层面漆层次加强继电保护装置的抗攻击能力。

1 相关技术介绍

1.1 IEC 62351的MMS安全方案

IEC 62351-4提出利用TLS技术[4]对MMS报文的加密安全措施，TLS架设在TCP之上可以提供以下安全防护：认证；机密性；数据完整性；不可抵赖性。

1.2 IEC 62351的局限

IEC 62351指出：“TCP/IP的TLS为通信协议集的传输层提供安全防护。TLS并不提供应用层安全防护，所以应用层安全应由其他安全措施提供。”由于具体应用场景不同，IEC 62351无法提出应用层防护建议，无法检查客户端/服务器交互过程的逻辑性与服务请求的合理性，无法检测出隐藏在应用层的攻击。

1.3 防火墙技术

防火墙是网络之间的安全屏障，保护内网免受非法侵入。防火墙可分为包过滤防火墙、应用层防火墙、代理服务防火墙。

在课堂教学中渗透马克思主义的哲学理论是哲学课的题中应有之义。在理论知识的教学中，必须在”哲理”上下功夫，注重科学性，坚持以理服人，增强知识的可信度，培育学生的认同情感。

(4) 频繁通断TCP连接。

1.4 深度报文检测(DPI)

传统的报文检测技术仅涉及TCP/IP协议栈各层的头部，如MAC地址、IP地址、TCP端口号。深度报文检测是在传统检测的基础上，增加对应用层具体内容的检测。

DPI技术主要有：基于特征字的识别技术、应用层网关识别技术、行为模式识别技术。

本文提出“MMS行为特征检测(MMS behavior feature detection,简称MMS-BFD)”方案，构造MMS行为特征库，深度解析客户端的服务请求报文，采取安全措施进行防护。MMS-BFD既具备应用层防火墙的深度报文检测功能，又突破了独立硬件防火墙不能解析密文的局限。

(3) 多客户端服务不合逻辑，如使用FileClose服务关闭其他客户端通过FileOpen创建和FileRead使用的读写句柄(系统总是从一个整数开始按照规则顺序分配句柄，试探攻击者并不需要试探整个句柄空间)，一个客户端切换定值区后另一个客户端紧接着切换到另一个定值区。

数学教学内容是抽象的，对于具体形象思维占优势的小学生来说，动手操作是他们学习数学的重要方式之一。在具体的教学过程中，教师要根据学习内容及学生特点，合理选择、组织操作活动，扎实推进操作活动的开展，让学生在亲历中体验“做数学”，在体验中实现数学的“再创造”，积累扎实的数学基本活动经验。

2 MMS-BFD防攻击架构

2.1 IEC 61850应用层攻击

IEC 61850应用层攻击主要分为三种。

由图2可知，紫菜的水分含量随着微波功率的增强而降低。在500 W时水分含量最低为3.8%，这是由于在堆积厚度、微波时间不变的前提下，微波功率越大，紫菜烘干越彻底，所以水分含量越低。在紫菜干燥过程中，微波功率过高紫菜会出现烤焦现象，所以综合感官评分和水分含量选定微波功率100，200，300 W作为正交试验的3个水平。

(1) 畸形报文攻击。通过向目标系统发送应用层有缺陷的报文，使得目标系统在处理这样的报文时会出现崩溃。

(2) DOS攻击。利用合理的服务请求来占用过多的服务资源，目标服务系统无法提供正常的服务或资源访问，停止响应甚至崩溃，从而使合法用户无法得到服务的响应。

(3)错误逻辑请求。利用通信规约和系统逻辑漏洞，制造符合语法要求，但业务逻辑不合理的服务请求。

刘彬表示，农拓者从成立之初便改变了经销农资产品为主的立场，站在农民的立场上致力于农化服务，真正满足农民的切身需求，肩负起了企业的社会责任。他表示，在致力于农民增产增收的同时，农拓者还在不断助力节水节肥的高效农业发展，探索土壤修复模式，推广新疆特色品牌农产品，今后还将打造绿色种植生产基地，打通农民和市场之间的产业链条。

IEC 61850对装置的行为并没有做出硬性约束。一些ACSI/MMS服务超出一般需求范围，属于DOS攻击和反逻辑请求。

(1) 频繁请求Read服务，如高频率注册报告控制块，高频率总召，超出正常需求。

(2) 频繁请求Write服务，如短时间内连续多次切换定值区、修改定值、投退压板和断路器。

平淡是诗歌的一种美的境界，淡中有味也是一种高的诗歌创作追求。白居易的闲适诗无疑是平淡，且不事雕琢的。它们呈现出的是一种复归返自然的朴素之美。这种美同样也是道家所推崇的。老子说：“道之出口,淡乎其无味。”(《老子》第三十五章:)他又说：“恬淡为上,胜而不美”。(《老子》第三十一章:)庄子在《庄子.刻意》中说道:“淡然无极而众美从之。”道家美学思想认为这种“淡”美是美的最高境界。

防火墙既可部署在专门的硬件上，也可通过软件形式部署在主机本身。

(5) 不完整流程，如投退压板时仅预选但不执行，读录波文件仅读取其中部分就结束。

这些行为虽完全符合IEC 61850规范，但对一般变电站而言属于异常行为范畴，是隐藏在合法报文中的非法操作。

2.2 MMS的三层安全防护

根据这些需求，构造状态层节点。

(1) MMS解码模块。解析MMS报文，过滤畸形报文。

(2) 特征检测模块。根据具体场景，检测服务请求是否合理，是否允许执行。

矿化带呈40°方向展布，长约8 km，宽2.4 km，按叠复关系由下向上可分为7个矿化部位，13个矿化层，主矿体9个主要分布于中部及中下部，矿体似层状体、大透镜体为主，一般长数百～数千米，最长5.3 km，宽数百米至千余米，最宽2.1 km，单矿体一般厚2.0m～5 m，矿体平均厚度3.25 m，单工程累计最厚44.97 m，一般间距3～15 m。长轴多为北东向，总体产状平缓，倾向SE，倾角3～10°，与岩层接近（见图2）。

(3) 服务模块。执行服务，或拒绝服务(如向客户端发送否定响应报文)。这是最后一道防护，执行服务程序根据装置状态执行成功或失败。

图1 三层安全防护结构

MMS解码模块、服务模块是实现IEC 61850通信必不可缺的基本模块。MMS解码模块对畸形报文检测的强度随系统不同而有所差异，本文不深入探讨。

特征检测模块是防DOS攻击和反逻辑请求的主要模块，是一般IEC 61850程序中不具备的功能。

这一重阻碍还不够，李高明很快发现识字不多的他根本分不清店里产品的名称和功能。随时都得用到这些产品，是不是只有识字才行？李高明拿这个问题请教店里另外一位姓周的师傅，周师傅看李高明有三分诚恳、五分聪明，愿意指点他：“这个东西跟你识不识字没有关系。”李高明吃了定心丸，“这句话对我有特别大的帮助，我就定心了。”

3 MMS服务请求的特征检测方案

特征检测模块针对解析MMS后得到的客户端服务请求，做深层次行为解析，判断其是否合理，是否符合正常业务逻辑。

3.1 特征的分类

客户端的服务请求可抽象为两类行为特征。

外壳的三维模型如图1所示．从图1可以看出：压铸件的形状相对复杂，壁厚不均匀．从整体分析来看：压铸件的最大长度为275 mm，最大宽度为185 mm，最大高度为105 mm；压铸件的最大厚度为10 mm，最小厚度为3 mm，平均壁厚为5 mm；压铸体积为586 794 mm3，质量为1 584 g．从图1中还可以看出，压铸件有两个突出部分，突出部分的壁厚在填充过程中可能会出现基底和气孔等缺陷[1]．

(1) 独立行为特征。这类特征仅跟一个特定客户端的行为有关，不涉及其他客户端。例如：单个客户端注册报告控制块频率、单个客户端获取VMD中的对象列表的次数。

(2) 关联行为特征。这类行为特征跟多个客户端的行为相关。例如：某客户端在其他客户端切换定值区后，又下达切区命令切回去。从单个客户端来看，切区是正常操作；而从多客户端角度连贯起来看，属于可疑操作。

3.2 特征的表示

根据继电保护装置的部署环境，装置行为特征用计数器、计时器、行为链等形式表示，但不局限于这些形式。

(1) 计数器。计数器用于统计客户端在一段时间内同一类行为发生次数。一旦次数超过阈值，装置就启动防护。

(2) 计时器。计时器用于记录一个行为在多久之前发生。

(3) 行为链。行为链记录客户端一连串相关行为及行为的时间间隔。行为链的每个节点表示一个行为的发生，用五元组表示：

Action = {Client,Time,Code,Object,Para}

其中，Client为客户端识别码；Time为距上一行为的时间；Code为操作码；Object为操作对象；Para为操作参数。

例如，把“客户端A切换定值区至1，过了0.5 s后B客户端切至2，再过0.3 s后A又切换至3”，切区为链如图2所示。

图2 切区行为链

为了不占用过多内存，行为链在数据结构上采用队列的形式。节点数达到阈值时，删除最早入队的行为节点。

一条行为链要求操作码Code必须具有关联性，操作码可在装置配置文件中约定。

4 入侵检测和防御策略

MMS-BFD通过入侵检测，来防御客户端攻击。入侵检测采用DPI方法，把客户端报文的语义归结并反映成行为特征，再根据行为特征判断是否遭遇攻击，再通过防御策略抵御攻击。

4.1 部署MMS-BFD

MMS-BFD部署的前提是能够解密报文，暴露应用层内容。根据IEC 62351对MMS报文加密后，只有通信两端能加解密报文。因此，把DPI部署到保护测控装置上，作为IEC 61850程序的一部分。

MMS深度报文检测模块分为四层。

(1)分拣层。接收MMS解析模块的解析结果(参数集)，把参数规格化后分拣，形成若干参数子集，输入至特征层节点。

作为本系列的第二册教材，本册收录了阿伦斯基《六首儿童小曲》中的三首、贝多芬 《D大调奏鸣曲》选段、沃克曼《俄罗斯人来了》、加德《C大调进行曲》、傅契斯《降E大调圆舞曲》、安德烈《D大调小奏鸣曲》、莫舍莱斯《圆舞曲和三声中部》、库劳《快板》、舒曼《花园之歌》、赖内克 《中庸的快板》、比才《舞会》、莫什科夫斯基《西班牙舞曲》，以及弗雷《洋娃娃组曲》等15首四手联弹作品。值得注意的是，编者强调了这些作品都是原创的四手联弹，让我们感受到过去时代不同作曲家对这类重奏的理解和运用。本册的作曲家的选择均很有代表性，并且跨越多种风格。

(2)特征层。本层节点是一系列计数器、计时器、行为链。设单客户特征有n个，对应标号为FS1,FS2,…,FSn，n∈[0,+∞)，多客户端特征有m个，对应标号为FM1,FM2,…,FMm，m∈[0,+∞)。特征层节点接收分拣层格式化后的参数集，计算相应结果。

基于MMS深度检测结构，装置根据一系列配置的阈值来探测攻击的发生。

(4)决策层。本层综合各个状态层节点的输出状态，计算出是否提供客户端请求的服务。

MMS深度检测结构见图3。

图3 MMS深度检测结构

(3)状态层。本层节点是一系列状态机，单客户特征有p个，对应标号为SS1,SS2,…,SSp，p∈[0,+∞)，多客户端特征有q个，对应标号为FM1,FM2,…,FMq，q∈[0,+∞)。状态层节点接收特征层的特征计算结果，经过状态变迁运算，得出新的状态。

4.2 防御策略

决策层为装置是否响应客户端服务请求提供了依据，但决策结果不应仅仅影响本次服务。

决策层应当具有反馈机制，影响前面流程的执行。在拒绝服务后，分拣层的MMS解码模块甚至TCP/IP协议栈，都可对相应客户端采取处罚措施，丢弃相关请求或闭锁相关功能。

4.3 MMS-BFD的配置

控制块的配置与具体应用部署相关。既可将配置以xml格式嵌入扩展的ICD模型文件，也可在装置flash中新建专门的配置文件。

配置的主要目的是设置防御参数，建立检测和防御体系。

5 MMS-BFD在关闭录波文件句柄中的应用

5.1 安全需求

根据典型变电站特性，客户端关闭comtrade文件句柄行为的限制如下。

R1：该句柄必须为本客户端打开；

R2：不能频繁读取同一个录波文件。设1 h内只能读一次；

本研究结果显示，对于AECOPD合并呼吸衰竭的患者，在NIPPV治疗的基础上，给予纳洛酮静脉滴注或泵注能显著增加降低增加PO2水平和降低PCO2水平，增加SaO2水平，从而显著降低院内死亡率和再次有创气管插管率，且不增加不良反应发生率。但是鉴于纳入研究文献存在一定局限，因此准确结论尚需进一步验证。

R3：一个客户端不得关闭其他客户端打开的句柄。

当角度环有偏差的时候，电机本身也会存在一定的速度，倒立摆以什么速度维持平衡，光靠直立环无法做到。因此该系统加入了速度环，采用PID控制器中的PI控制器控制速度环输出的PWM值。

5.2 特征层和状态层的表示

针对这些攻击，MMS-BFD在TLS解密报文后，接下来先后分三个模块处理，见图1。

SS1：该客户端的读文件状态，分为离线、在读、异常三个状态，见图4。

笔者以百度翻译工具为例，在翻译教学中，上课的一半时间为传统的翻译基础知识和翻译技巧的讲解，一半时间为学生利用百度翻译工具来查找语料、检索、完成和校对翻译任务。百度翻译的语料库词库容量大，单词的扩展度高，并配有双语例句，让学生能够快速找到或匹配到相对应的准确译文。通过翻译任务的完成，让学生不再一味地直接使用错误或不准确的百度翻译译文，学会使用快捷的资料检索功能的同时，使用在课堂上学习的翻译技巧，从而得出地道的译文。

图4 文件操作状态层节点SS1

为R1在特征层设置行为链FS1，行为链节点的Para字段为客户端Client操纵的文件句柄FileID。

为R2在特征层设置计时器FS2，记录从上一次读取该comtrade文件开始所经历的时间t，用min_t表示读同一录波文件的最短间隔时间。

大巴车上，导游银措娜姆跟我们讲，相比丹巴，白马藏族是四大分支里的权贵，百年前文成公主出嫁，带来青稞。讲一妻多夫如何分配夜晚，讲信奉活佛的子民肩膀上都有两盏酥油灯，讲有缘人才能让土拨鼠站起来。

R3复用FS1，若FileClose节点的FileID与前一行为节点一致，则FS1向SS1传入“合法FileClose”信号，否则传入“违反R3的FileClose”。

SS1在状态跃迁后，向决策层传达MMS指令及状态。向装置执行模块程序下达提供或拒绝服务的指令，由执行模块执行相关操作并生产应答报文。

6 结语

本文提出的MMS行为特征检测，是对TLS安全防护的有效补充。即使客户端被物理的、网络的方式攻破，装置也能在一定程度上，从语义层面抵御非法服务请求。

三层安全防护结构需消耗CPU资源，如何在有限的软硬件资源下实现最大化防护，尽量减小对继电保护装置工作效率的影响，是下一步研究内容。

参考文献：

[1] 刘念,余星火,张建华. 网络协同攻击: 乌克兰停电事件的推演与启示[J].电力系统自动化,2016,40(6)：144-147.

LIU Nian,YU Xinghuo,ZHANG Jianhua. Coordinated Cyber-attack： Inference and Thinking of Incident on Ukrainian Power Grid[J].Electric Power System Automation, 2016,40(6) ：144-147.

[2]IEC 61850：Communication Networks and Systems in Substations [S]．

[3]IEC 62351：Data and Communication Security [S]．

[4]IETF．RFC 5246：The Transport Layer Security (TLS) Protocol [S]．