基于协议状态图遍历的IEC104协议漏洞挖掘方法_CN109660558A

104规约详细介绍及报文解析-回复规约（Protocol）是计算机网络通信中的一种协议，用于定义数据交换的格式、顺序以及错误检测和纠正等内容。

104规约（IEC 60870-5-104）是国际电工委员会（International Electrotechnical Commission）制定的一种规约，主要用于监控与控制系统之间的通信。

本文将详细介绍104规约及其报文解析。

一、104规约简介104规约是一种基于TCP/IP网络通信的规约，主要用于工业自动化领域中的远程监控与控制系统。

它提供了一种可靠、高效的通信方式，能够满足实时性、灵活性和可靠性等要求。

104规约采用了面向报文和面向连接的通信方式，能够支持点对点、点对多点和多点对点的通信模式。

二、104规约报文结构104规约的报文结构包括报文头（Header）、ASDU（Application Service Data Unit）和报文尾（Footer）。

报文头包含了报文的控制信息，用于表示报文类型、优先级和传输原因等。

ASDU是实际传输的数据部分，负责携带各种监控与控制的信息。

报文尾用于检测报文的完整性和一致性。

三、104规约报文解析1. 报文头解析：首先读取报文头，根据报文头的信息可以确定报文的类型、传输原因和发送序号等。

报文类型表示了报文的目的和功能，如启动报文、确认报文或者监控与控制的报文。

传输原因表示了触发发送该报文的原因，如周期定时发送、事件触发发送等。

2. ASDU解析：根据ASDU的类型可以确定ASDU的功能和数据的含义。

不同类型的ASDU用于传输不同种类的监控与控制的数据，如单点信息、双点信息、测量值和参数等。

根据ASDU的结构和定义，可以提取出数据的具体内容。

3. 报文尾解析：最后检查报文尾以验证报文的完整性和一致性。

报文尾通常包括一个校验和，用于检测报文是否被修改或丢失。

四、104规约报文的应用104规约广泛应用于电力、水利、交通、石油等行业中的远程监控与控制系统。

RTU上行通信IEC104协议简述目录1.RTU IEC104协议基本参数 (1)2.应用规约控制单元（APDU）格式 (1)2.1应用规约控制信息（APCI）格式 (1)2.2应用服务数据单元（ASDU）格式 (3)3.定时器定义 (7)4.未被确认的I帧最大数目k和最迟确认数目W (7)5.总召唤机制 (7)6.电度总召唤机制 (8)7.时钟同步机制 (8)8.遥控机制 (8)8.1正常遥控 (8)8.2从站拒绝 (9)8.3主站撤销 (9)9.遥调机制 (9)9.1正常遥调 (9)9.2从站拒绝 (10)9.3主站撤销 (10)10.非标召唤机制 (10)11.变位遥信机制 (11)12.历史数据召唤机制 (11)12.1RTU没有历史数据 (12)13.地址分配 (12)1.RTU IEC104协议基本参数●基于IEC60870-5-104协议；●最大帧长度为255Byte；●帧间隔：50ms；●TCP/IP 网络通信端口号2404；●采用平衡传输，每个节点（包括主站、厂站）均可以启动报文发送。

2.应用规约控制单元（APDU）格式●应用规约数据单元：APDU(Application protocol data unit)●应用规约控制信息：APCI(Application protocol control information)●应用服务数据单元：ASDU(Application protocol control unit)2.1应用规约控制信息（APCI）格式为了检出ASDU的启动和结束，每个APCI包括下列的定界元素：一个启动字符，ASDU 的规定长度，以及控制域（见下图）。

可以传送一个完整的APDU（或者，出于控制目的，仅仅是传送APCI域）。

启动字符0X68定义了数据流中的起点。

APDU的长度域定义了APDU体的长度，它包括APCI的四个控制域八位位组和ASDU。

第一个被计数的八位位组是控制域的第一个八位位组，最后一个被计数的八位位组是ASDU的最后一个八位位组。

iec104协议2009版（最新版）目录1.IEC 104 协议概述2.IEC 104 协议 2009 版的主要内容3.IEC 104 协议 2009 版的应用领域4.IEC 104 协议 2009 版的优势和意义正文一、IEC 104 协议概述IEC 104 协议，全称为国际电工委员会（International Electrotechnical Commission，简称 IEC）104 技术规范，是关于电力系统和设备的通信和自动化领域的一项重要国际标准。

该协议旨在实现电力系统和设备之间的互操作性，以确保电力系统的安全、稳定和可靠运行。

二、IEC 104 协议 2009 版的主要内容IEC 104 协议 2009 版是在 2009 年发布的最新版本，其主要内容包括以下几个方面：1.适用范围：该协议主要适用于电力系统和设备的通信和自动化领域，包括发电、输电、配电和能源管理等各个环节。

2.通信协议：IEC 104 协议 2009 版定义了一种基于网络通信的通信协议，以实现电力系统和设备之间的数据交换和远程控制。

3.设备模型：该协议规定了一种统一的设备模型，以便在不同的电力系统和设备之间实现互操作性。

4.数据结构和编码：IEC 104 协议 2009 版定义了一种数据结构和编码方式，以确保在不同的系统和设备之间进行数据交换时的一致性和正确性。

三、IEC 104 协议 2009 版的应用领域IEC 104 协议 2009 版在电力系统和设备的通信和自动化领域具有广泛的应用，包括以下几个方面：1.发电厂自动化：实现发电厂的远程监控、数据采集和控制命令的下达等功能。

2.输电和配电系统：实现输电和配电系统的自动化控制、故障检测和远程维护等功能。

3.能源管理：通过实现电力系统和设备的互操作性，提高能源管理的效率和准确性。

4.其他领域：如电力市场交易、电力系统安全和稳定性分析等。

四、IEC 104 协议 2009 版的优势和意义IEC 104 协议 2009 版的实施具有以下优势和意义：1.提高电力系统的安全性：通过实现电力系统和设备之间的互操作性，可以有效提高电力系统的安全性和稳定性。

iec104规约组-回复关于IEC 104规约组的介绍IEC 104规约组是指基于IEC 60870-5-104标准的通信规约组，用于远程监控和控制系统中的数据传输。

本文将从IEC 104规约组的背景、工作原理、应用和发展趋势等方面进行详细介绍。

一、背景IEC 60870-5-104是一种通信规约，用于实现电力系统中的自动化和监控控制。

其基于IEC 60870-5-101规约，并对其进行了改进和完善。

相较于IEC 60870-5-101，IEC 104规约组具有更高的传输速率、更简单的编码格式和更灵活的连接方式，使得它更适用于现代化智能电力系统的需求。

二、工作原理IEC 104规约组采用了客户端-服务器架构，在数据通信过程中，系统中的客户端主动向服务器发送请求，服务器将相应的数据发送回客户端。

数据传输是以可靠性为基础的，即每个数据包都会经过确认和重传机制以保证数据的完整性和可靠性。

IEC 104规约组采用了相对应用层服务接口（ASDU）的结构，ASDU是由信息对象组成的，每个信息对象包含了不同类型的信息，如测量值、状态变化和控制命令等。

ASDU中的每个信息对象都有一个唯一的标识符，以便于服务器和客户端进行识别和处理。

三、应用IEC 104规约组主要应用于电力系统中的远程监控和控制系统。

它可以实现对电力系统中各个设备（如变电站、发电厂等）的数据采集、状态监测和远程控制等功能。

通过IEC 104规约组，用户可以实时监测系统的运行状态、采集各种测量值和故障信息，并可以对系统进行远程控制和调整。

IEC 104规约组还可以与其他通信协议（如MODBUS、DNP3等）进行互联互通，实现不同设备和系统之间的数据交换和共享。

这使得IEC 104规约组的应用范围更加广泛，可以适用于各种类型的智能电力系统和自动化控制系统。

四、发展趋势随着电力系统的不断发展和智能化程度的提高，IEC 104规约组也在不断演进和完善。

第54卷 第1期2021年1月通信技术Communications TechnologyVol.54 No.1Jan. 2021文献引用格式：张周晶，申玲钰. 基于suricata的IEC104插件设计与实现[J].通信技术，2021，54（01）： 251-258.ZHANG Zhoujing，SHEN lingyu. IEC104 Plug-in Design and Implementation based on SuricataSoftware Framework [J].Communications Technology,2021,54(01):251-258.doi:10.3969/j.issn.1002-0802.2021.01.039基于suricata的IEC104插件设计与实现*张周晶1，申玲钰2(1.中国电子科技网络信息安全有限公司，四川 成都 610041；2.中国电子科技集团公司第三十研究所，成都 610041）摘 要：工业互联网发展的过程中，针对工业协议的指令级IDS需求正在迅速增长，IEC104作为国家基础设施通信的基础工业协议是当前网络中监测、审计的重点关注协议。

针对该需求，将IEC104的解析分析、监测告警及日志输出以插件模式在已有开源框架suricata中设计、开发及实现，满足当前系统需求。

关键词：入侵检测；IEC104；suricata；IDS中图分类号：TP311 文献标识码：A 文章编号：1002-0802(2021)-01-0251-08IEC104 Plug-in Design and Implementation based onSuricata Software FrameworkZHANG Zhoujing1，SHEN Lingyu2(1.China Electronics Technology Cyber Security Co., Ltd., Chengdu Sichuan 610041, China; 2.No.30 Institute, CETC, Chengdu Sichuan610041, China)Abstract: In the process of industrial Internet development, the demand for directive-level IDS for industrial protocols is growing rapidly, and IEC104 as the basic industrial protocol of national infrastructure communication is the focus of monitoring and auditing in the current network. In response to this demand, the resolution analysis, monitoring alert and log output of IEC104 are designed, developed and implemented in the existing open source framework suricata in plug-in mode to meet the current system requirements.Keywords: Intrusion detection; IEC104; suricata; IDS0 引 言随着工业互联网的发展，工业网络单独组网的状态正在被改变，为了将人、数据和设备进行有效连接，国外众多大型公司已根据其自身产品及产业特点构建了对应的工业互联网平台，我国在该领域也正在建立更加完善的框架。

iec104规约协议报文流程解析iec104规约协议报文，就像是一种特殊的语言，在电力系统这个大舞台上传递着重要的信息。

想象一下，电力系统是一个超级大的家族，各个设备就像是家族里的成员。

而iec104规约协议报文呢，就是这些成员之间沟通的信件。

每一个报文都有着自己独特的格式和内容，就像每封信都有特定的书写格式和要表达的事情一样。

我们先来看报文的起始部分。

这部分就像是信件的开头称呼，它会告诉接收方，“嘿，我是从哪里来的”。

比如说，它会包含发送端的一些标识信息，这就好比是写信人的地址。

这个标识很重要呢，就像你收到一封信，你得知道是谁寄来的。

如果这个标识乱了或者错了，那就好比收到一封不知道谁寄来的信，会让人很迷糊。

然后是报文的类型部分。

这就像是信里写的事情的大致分类。

是通知对方有新情况了呢，还是在回答对方之前的询问？不同的报文类型有着不同的作用。

就像你给家人写信，有时候是告诉他们你最近发生的新鲜事，这就类似一种类型的报文；有时候是回复家人之前问你的问题，这又是另一种类型的报文。

比如说，一个设备检测到电力参数有异常了，它就会发出一种特定类型的报文，告诉监控系统“我这儿有点不对劲啦”。

报文的数据部分就像是信的正文内容。

这里面包含了真正有用的信息。

在电力系统里，可能是电压值、电流值、设备状态之类的信息。

这部分信息就像是你告诉家人你现在的生活状况，是过得好呢，还是遇到了困难。

这些电力数据非常关键，因为它们直接反映了电力系统的运行情况。

就像你家人通过你信里描述的生活状况来了解你的真实生活一样，电力系统的监控人员通过这些数据部分的报文来掌握电力系统的运行状态。

报文还有校验部分。

这就像是信件的防伪标识。

因为在传输过程中，可能会出现各种干扰，导致报文的内容发生错误。

校验部分就可以检查这个报文是不是完整的、正确的。

这就好比你收到一封信，你要看看这封信有没有在途中被损坏或者被人篡改过。

如果校验不通过，那就好比收到一封字迹模糊、内容被乱改的信，这样的报文是不能被信任的，就像这样的信你也不会相信里面的内容一样。