IEC104 检查器

IEC104 检查器概述

类型

检查器(服务)

使用方式

检测

实例类型

多实例

所需其他检查器

stream_tcp

已启用

false

IEC 60870-5-104 (IEC104) 协议描述了一种在电力系统之间交换远程控制消息的通信标准。IEC104 协议使用 TCP 端口 2404。

iec104 检查器会检测网络流量中的 IEC104 消息。 iec104 检查器通过组合分布在多个框架中的消息或拆分一个框架内的多条消息来分析和规范化 IEC104 消息。

启用后,入侵规则选项将提供对 IEC104 应用协议控制信息 (APCI) 类型和应用服务数据单元 (ASDU) 功能代码的访问。

IEC104 检查器参数

IEC104 TCP 端口配置

绑定程序 检查器定义 IEC104 TCP 端口配置。有关详细信息,请参阅绑定程序检查器概述

示例: 
[
    {
        "when": {
            "role": "server",
            "proto": "tcp",
            "ports": "2404"
         },
        "use": {
            "type": "iec104"
        }
    }
]

iec104 检查器不提供任何参数。

IEC104 检查器规则

启用 iec104 检查器规则以 生成事件并在内联部署中丢弃攻击性数据包

表 1. IEC104 检查器规则

GID:SID

Rule Message

151:1

IEC104 APCI 信头中的长度与给定的 IEC104 ASDU 类型 ID 所需的长度不匹配

151:2

IEC104 起始字节与 0x68 不匹配

151:3

保留的 IEC104 ASDU 类型 ID 正在使用中

151:4

IEC104 APCI U 保留字段包含非默认值

151:5

IEC104 APCI U 消息类型设置为无效值

151:6

IEC104 APCI S 保留字段包含非默认值

151:7

IEC104 APCI I 元素数量设置为零

151:8

在不支持该功能的 ASDU 上设置了 IEC104 APCI I SQ 位

151:9

IEC104 APCI I 在不支持功能的 ASDU 上设置的元素数量大于一个

151:10

IEC104 APCI I 初始化原因设置为保留值

151:11

IEC104 APCI I 询问命令限定符设置为保留值

151:12

IEC104 APCI I Qualifier of Counter Interrogation Command 请求参数设置为保留值

151:13

设置为保留值的测量值参数类型的 IEC104 APCI I 参数限定符

151:14

测量值本地参数更改为 IEC104 APCI I 参数限定符设置为技术上有效但未使用的值

151:15

测量值参数的 IEC104 APCI I 限定符参数选项设置为技术上有效但未使用的值

151:16

参数激活的 IEC104 APCI I 限定符设置为保留值

151:17

命令的 IEC104 APCI I 限定符设置为保留值

151:18

重置过程的 IEC104 APCI I 限定符设置为保留值

151:19

IEC104 APCI I 文件就绪限定符设置为保留值

151:20

IEC104 APCI I 区域就绪限定符设置为保留值

151:21

IEC104 APCI I 选择和设置为保留值的呼叫限定符

151:22

IEC104 APCI I 最后的分段或网段限定符设置为保留值

151:23

IEC104 APCI I 确认文件或部分限定符设置为保留值

151:24

邮件上设置的 IEC104 APCI I 结构限定符原本不应产生任何影响

151:25

IEC104 APCI I 单点信息保留字段包含非默认值

151:26

IEC104 APCI I 双点信息保留字段包含非默认值

151:27

IEC104 APCI I 传输原因设置为保留值

151:28

设置为 ASDU 不允许的值的 IEC104 APCI I 传输原因设置的值

151:29

IEC104 APCI I 检测到两个八位组通用地址值无效

151:30

IEC104 APCI I 质量描述符结构保留字段包含非默认值

151:31

保护设备结构保留字段的 IEC104 APCI I 质量描述符包含非默认值

151:32

IEC104 APCI I IEEE STD 754 值导致 NaN

151:33

IEC104 APCI I IEEE STD 754 值导致无限大

151:34

IEC104 APCI I 保护设备结构单一事件保留字段包含非默认值

151:35

IEC104 APCI I 保护设备结构开始事件的保留字段包含非默认值

151:36

IEC104 APCI I 输出电路信息结构保留字段包含非默认值

151:37

检测到 IEC104 APCI I 异常固定测试位模式

151:38

IEC104 APCI I 单个命令结构保留字段包含非默认值

151:39

IEC104 APCI I 双命令结构包含无效值

151:40

IEC104 APCI I 管制步骤命令结构保留字段包含非默认值

151:41

设置的 IEC104 APCI I Time2a 毫秒超出允许范围

151:42

IEC104 APCI I Time2a 分钟设置超出允许范围

151:43

IEC104 APCI I Time2a “保留的分钟”字段包含非默认值

151:44

设置的 IEC104 APCI I Time2a 小时数超出允许的范围

151:45

IEC104 APCI I Time2a “保留小时”字段包含非默认值

151:46

IEC104 APCI I 设置的 Time2a 月份日期超出允许范围

151:47

设置的 IEC104 APCI I 月 Time2a 超出允许的范围

151:48

IEC104 APCI I Time2a “保留月份”字段包含非默认值

151:49

设置的 IEC104 APCI I Time2a 年份超出允许范围

151:50

IEC104 APCI I Time2a “保留年份”字段包含非默认值

151:51

IEC104 APCI I 检测到空的网段长度值

151:52

IEC104 APCI I 检测到无效的网段长度值

151:53

IEC104 APCI I 文件状态设置为保留值

151:54

IEC104 APCI I 设定值命令限定符设置为保留值

IEC104 Inspector 入侵规则选项

iec104_apci_type

验证 IEC104 消息是否与选项中设置的 IEC104 应用协议信息控制 (APIC) 类型匹配。

iec104_apci_type 入侵规则选项接受使用完整 APIC 类型名称或者大写或小写 APIC 类型缩写指定的字符串。

类型: 字符串

语法: iec104_apci_type: <apic_type>;

示例: 
iec104_apci_type: unnumbered_control_function;
iec104_apci_type: S;
iec104_apci_type: I;
iec104_apci_type: i;

iec104_asdu_func

验证 IEC104 消息是否与选项中设置的 IEC104 应用服务数据单元 (ASDU) 功能代码相匹配。

iec104_asdu_fuc 入侵规则选项接受以大写或小写字母 ASDU 功能代码指定的字符串。

类型: 字符串

语法: iec104_asdu_fuc: <asdu_func>;

示例: 
iec104_asdu_func: M_SP_NA_1;
iec104_asdu_func: m_sp_na_1;