基于行為的電力網(wǎng)絡(luò)安全事件聯(lián)動響應(yīng)及協(xié)同處置方法

吳榮春， 張治兵， 蔣皓， 劉欣東

(中國信息通信研究院， 北京 100191)

0 引言

電力網(wǎng)絡(luò)安全運(yùn)行是電力系統(tǒng)信息化管理的重難點(diǎn)[1-2]。網(wǎng)絡(luò)攻擊手段隨著網(wǎng)絡(luò)的高速發(fā)展逐漸增多[3]，電力系統(tǒng)所設(shè)置的眾多防御手段互相關(guān)聯(lián)較少，容易出現(xiàn)錯誤及遺漏情況，無法抵抗大規(guī)模復(fù)雜的攻擊行為。

應(yīng)急處置協(xié)同技術(shù)能夠令電力網(wǎng)絡(luò)受到攻擊后快速恢復(fù)，受到眾多電力網(wǎng)絡(luò)安全研究學(xué)者的重視。文獻(xiàn)[4]闡述了計算機(jī)網(wǎng)絡(luò)安全的重要性，分析了電力系統(tǒng)計算網(wǎng)絡(luò)存在的風(fēng)險，提出了有針對性的計算機(jī)網(wǎng)絡(luò)安全防護(hù)措施。文獻(xiàn)[5]提出一種基于URPF和精確ACL的協(xié)同處置方法，能全流程精確處置DRDoS型網(wǎng)絡(luò)攻擊。文獻(xiàn)[6]根據(jù)網(wǎng)絡(luò)系統(tǒng)全局狀態(tài)，選擇網(wǎng)絡(luò)安全感知所需的元素最佳組合來應(yīng)對潛在攻擊，將應(yīng)急協(xié)同處置動態(tài)化、實(shí)時化、主動化。

基于以上研究成果，本文提出基于行為的電力網(wǎng)絡(luò)安全事件聯(lián)動響應(yīng)及協(xié)同處置方法，充分分析對電力網(wǎng)絡(luò)安全存在威脅的攻擊行為，針對所檢測的電力網(wǎng)絡(luò)攻擊行為實(shí)施聯(lián)動響應(yīng)及協(xié)同處置，保障電力網(wǎng)絡(luò)安全運(yùn)行。

1 基于行為的電力網(wǎng)絡(luò)安全事件聯(lián)動響應(yīng)及協(xié)同處置

基于行為的電力網(wǎng)絡(luò)安全事件聯(lián)動響應(yīng)及協(xié)同處置方法充分結(jié)合了主動防御與被動防御方法[7]。主動防御方法是指通過流量行為特征熵的DoS/DDoS攻擊檢測方法檢測電力網(wǎng)絡(luò)中存在的攻擊行為；被動防御方法是指通過聯(lián)動響應(yīng)及協(xié)同處置保障電力網(wǎng)絡(luò)安全運(yùn)行。

1.1 流量行為特征熵的DoS/DDoS攻擊檢測

利用基于流量行為特征信息熵的Dos/DDoS攻擊檢測方法，通常是獲取電力網(wǎng)絡(luò)中存在異常行為的具體IP地址，提取電力網(wǎng)絡(luò)中存在異常行為的流量信息，判斷異常是否為安全事件中的Dos攻擊行為和/或DDos攻擊行為。

提取電力網(wǎng)絡(luò)中所包含的字節(jié)數(shù)、源IP地址、包流量、目的端口號等流量行為特征。利用隨機(jī)過程表示不同時間段數(shù)據(jù)包的統(tǒng)計過程，利用信息熵獲取電力網(wǎng)絡(luò)中不同屬性的分散程度和集中程度。

統(tǒng)計不同時間段電力網(wǎng)絡(luò)的流量信息，定義固定時間段屬性信息熵公式如下：

(1)

式中，N與Pi分別表示電力網(wǎng)絡(luò)屬性內(nèi)全部可能的取值數(shù)量和隨機(jī)事件Pi的概率,i=1，2，3,…,n。

分析電力網(wǎng)絡(luò)中目的IP的信息熵，搜尋電力網(wǎng)絡(luò)流量行為特征信息和存在異常行為的時間。將粗粒度的電力網(wǎng)絡(luò)流量行為特征參數(shù)設(shè)置為信息熵。

異常行為時間輸入以及輸出的檢測。通過比較不同時間點(diǎn)的目的IP信息熵，信息熵高于已設(shè)定閾值時即為存在異常的時間點(diǎn)。

電力網(wǎng)絡(luò)中的DoS攻擊和DDoS攻擊通常以發(fā)送無效請求的方式占用電力網(wǎng)絡(luò)資源，導(dǎo)致電力網(wǎng)絡(luò)無法正常運(yùn)行。

電力網(wǎng)絡(luò)中，服務(wù)率能夠體現(xiàn)IP節(jié)點(diǎn)的用戶請求是否無效，因此利用服務(wù)率搜尋存在攻擊行為的IP節(jié)點(diǎn)流量行為特征，服務(wù)率表達(dá)式如下：

Se(t)=ns(t)/nr(t)

(2)

式中，ns(t)與nr(t)分別表示時間為t時目的IP發(fā)送和接收的數(shù)據(jù)包數(shù)量。

IP節(jié)點(diǎn)服務(wù)率較低表示DoS和DDoS攻擊行為攻擊該IP節(jié)點(diǎn)的可能性較大。

電力網(wǎng)絡(luò)細(xì)粒度的流量特征行為結(jié)構(gòu)圖如圖1所示。

圖1 細(xì)粒度流量特征行為

利用電力網(wǎng)絡(luò)細(xì)粒度的五個流量特征行為比較異常時間點(diǎn)的細(xì)粒度流量行為，精準(zhǔn)定位電力網(wǎng)絡(luò)存在攻擊行為的安全事件目的IP位置。

定義細(xì)粒度流量行為特征參數(shù)的變化比率公式如下：

(3)

(4)

利用以上公式所獲取的特征參數(shù)變化比率評價流量行為特征參數(shù)。當(dāng)流量行為特征參數(shù)在檢測過程中存在明顯提升或下降的趨勢，所獲取的參數(shù)變化比率高于所設(shè)定閾值時，判定該IP節(jié)點(diǎn)為異常IP。

依據(jù)異常時間點(diǎn)確定異常IP節(jié)點(diǎn)的流程如圖2所示。

圖2 異常IP節(jié)點(diǎn)檢測流程圖

依據(jù)圖2可知，檢測電力網(wǎng)絡(luò)異常IP節(jié)點(diǎn)主要流程如下：

(1) 依據(jù)大小排序檢測異常時間點(diǎn)相應(yīng)的IP節(jié)點(diǎn)流量；

(2) 提取排名為前N的IP節(jié)點(diǎn)；

(3) 提取歷史時間窗內(nèi)不同時間點(diǎn)所獲取前N個目的IP節(jié)點(diǎn)的相應(yīng)子流；

(4) 計算所提取子流的流量行為特征參數(shù)值，利用子流的流量行為特征參數(shù)值計算子流變化比率；

(5) 依據(jù)所獲取IP節(jié)點(diǎn)相應(yīng)流量的行為特征參數(shù)值和變化比率，確定電力網(wǎng)絡(luò)中存在攻擊行為的異常IP節(jié)點(diǎn)。

1.2 聯(lián)動響應(yīng)協(xié)同處置平臺

電力網(wǎng)絡(luò)安全事件聯(lián)動響應(yīng)協(xié)同處置對所下達(dá)任務(wù)的可靠性、時間以及精度具有較高要求，協(xié)同處置的同時需改善帶寬利用率低的缺陷。

聯(lián)動響應(yīng)協(xié)同處置平臺結(jié)構(gòu)如圖3所示。

由圖3可以看出聯(lián)動響應(yīng)協(xié)同處置應(yīng)用了SOA架構(gòu)。SOA架構(gòu)中所包含的協(xié)同處置單元自組織性能優(yōu)越，滿足了用戶在不同協(xié)同處置單元的需求。

圖3 聯(lián)動響應(yīng)協(xié)同處置結(jié)構(gòu)圖

1.2.1 安全事件聯(lián)動響應(yīng)

安全事件聯(lián)動響應(yīng)需具備網(wǎng)絡(luò)安全策略聯(lián)合、功能統(tǒng)一及組織良好協(xié)作的功能，保障電力網(wǎng)絡(luò)快速解決攻擊行為。

安全事件聯(lián)動響應(yīng)所包含機(jī)構(gòu)如圖4所示。

圖4 安全事件聯(lián)動響應(yīng)機(jī)構(gòu)

聯(lián)動響應(yīng)中應(yīng)包含專家顧問、研發(fā)機(jī)構(gòu)、應(yīng)急響應(yīng)、信息管理、行為跟蹤、信息聯(lián)絡(luò)6個機(jī)構(gòu)的聯(lián)動。研發(fā)機(jī)構(gòu)負(fù)責(zé)開發(fā)電力網(wǎng)絡(luò)安全相關(guān)工具和技術(shù)，同時測試網(wǎng)絡(luò)中所包含的漏洞；專家顧問負(fù)責(zé)提供網(wǎng)絡(luò)攻擊行為的解決策略；應(yīng)急響應(yīng)模塊負(fù)責(zé)應(yīng)對攻擊行為；行為跟蹤模塊和信息管理模塊是聯(lián)動響應(yīng)的核心，可實(shí)現(xiàn)安全信息的管理以及攻擊行為的報告與決策。信息聯(lián)絡(luò)和應(yīng)急響應(yīng)兩個模塊令聯(lián)動響應(yīng)更加便捷。

1.2.2 協(xié)同決策

電力網(wǎng)絡(luò)協(xié)同處置過程中，通過專家顧問、研發(fā)機(jī)構(gòu)、應(yīng)急響應(yīng)、信息管理、行為跟蹤、信息聯(lián)絡(luò)6個機(jī)構(gòu)共同實(shí)現(xiàn)協(xié)同決策。協(xié)同決策結(jié)構(gòu)如圖5所示。

圖5 協(xié)同決策結(jié)構(gòu)圖

由圖5可以看出，協(xié)同決策由多媒體通道、智能代理、通信引擎組成。聯(lián)動響應(yīng)協(xié)同處置平臺利用通信引擎通過書寫器、閱讀器等方式實(shí)現(xiàn)決策。閱讀器與書寫器分別在共享白板中展示攻擊行為的變化、知識源以及對于攻擊行為的執(zhí)行結(jié)果，眾多信息利用通信引擎實(shí)現(xiàn)信息傳送。通過眾多專家實(shí)現(xiàn)攻擊行為的協(xié)同決策，通過語音、文本等通信方式實(shí)現(xiàn)智能代理，專家可選取合適的通信方式協(xié)同處置。

1.2.3 基于Agent的安全交互

聯(lián)動響應(yīng)協(xié)同處置平臺中共享數(shù)據(jù)庫的安全機(jī)制如圖6所示。

圖6 共享數(shù)據(jù)庫安全機(jī)制

圖6中，聯(lián)動響應(yīng)協(xié)同處置平臺運(yùn)行過程中，需調(diào)用加密服務(wù)、身份認(rèn)證等安全措施，其中，協(xié)同決策人員通過協(xié)同處置的專家體系處置攻擊行為等事件前，通過協(xié)同處置單元的安全服務(wù)中心注冊賬號，獲取授權(quán)后參與處置任務(wù)，安全基礎(chǔ)設(shè)施以及密碼基礎(chǔ)設(shè)施分別提供授權(quán)管理、身份管理以及信息與數(shù)據(jù)傳輸?shù)募用艽胧?，保障電力網(wǎng)絡(luò)聯(lián)動響應(yīng)協(xié)同處置過程中的服務(wù)為保密及安全狀態(tài)。

設(shè)置各協(xié)同處理單元均包含一個Agent，利用Agent加密及解密交互數(shù)據(jù)，僅設(shè)置一個開放端口于不同的協(xié)同處置單元，避免電力網(wǎng)絡(luò)中的防御單元受到攻擊。

2 實(shí)驗分析

為了驗證本文提出的基于行為的電力網(wǎng)絡(luò)安全事件聯(lián)動響應(yīng)及協(xié)同處置方法的有效性，選取某電力公司的通信網(wǎng)絡(luò)作為實(shí)驗對象。

實(shí)驗過程如下：提取關(guān)鍵策略數(shù)據(jù)，并進(jìn)行大數(shù)據(jù)解析和分析，展示安全域基礎(chǔ)架構(gòu)；分析業(yè)務(wù)流程和組織職責(zé)，在安全域基礎(chǔ)架構(gòu)圖上展示基于用戶角色和業(yè)務(wù)流向的可視化關(guān)鍵業(yè)務(wù)合規(guī)基線策略和違規(guī)策略預(yù)警機(jī)制；在各個區(qū)域部署網(wǎng)絡(luò)安全監(jiān)測裝置，結(jié)合告警信息和響應(yīng)處置建議，快速實(shí)現(xiàn)響應(yīng)處置；結(jié)合業(yè)務(wù)流程和運(yùn)維機(jī)制，研究展示策略變更工作流，一旦運(yùn)維人員提出變更請求，系統(tǒng)能夠自動分析出與其關(guān)聯(lián)的設(shè)備和策略，并進(jìn)行影響分析。

統(tǒng)計該電力網(wǎng)絡(luò)于2020年2月13日運(yùn)行24 h的隨機(jī)IP節(jié)點(diǎn)的信息熵結(jié)果，如圖7所示。

圖7 目的IP信息熵序列結(jié)果

由圖7可知，目的IP信息熵值在3.5～6.5之間，采用本文方法可有效獲取IP節(jié)點(diǎn)的信息熵，為精準(zhǔn)監(jiān)測攻擊行為提供依據(jù)。將本文方法檢測攻擊行為結(jié)果與實(shí)際攻擊行為進(jìn)行對比，對比結(jié)果如表1所示。

表1 攻擊檢測結(jié)果

從表1檢測結(jié)果可以看出，采用本文方法可有效檢測電力網(wǎng)絡(luò)中的攻擊行為，僅未檢測出1例DDoS攻擊行為，漏報率低至10%，誤報率低至0，驗證本文方法具有較高的攻擊行為檢測精度。

統(tǒng)計采用本文方法對于電力網(wǎng)絡(luò)安全事件聯(lián)動響應(yīng)及協(xié)同處置結(jié)果，統(tǒng)計結(jié)果如表2所示。

表2 聯(lián)動響應(yīng)及協(xié)同處置結(jié)果

表2實(shí)驗結(jié)果可以看出，采用本文方法可有效檢測電力網(wǎng)絡(luò)中存在的攻擊行為、攻擊事件和攻擊IP。本文方法采用聯(lián)動響應(yīng)協(xié)同決策方法具有極快的響應(yīng)速率，處置時間均低于600 ms，可快速解決電力網(wǎng)絡(luò)安全事件。

利用電力網(wǎng)絡(luò)誤碼率衡量電力網(wǎng)絡(luò)運(yùn)行性能，統(tǒng)計該電力網(wǎng)絡(luò)采用本文方法前后的運(yùn)行性能，統(tǒng)計結(jié)果如圖8所示。

圖8 電力網(wǎng)絡(luò)運(yùn)行性能變化

圖8實(shí)驗結(jié)果可以看出，應(yīng)用本文方法聯(lián)動響應(yīng)及協(xié)同處置電力網(wǎng)絡(luò)安全事件后，電力網(wǎng)絡(luò)誤碼率降低明顯，說明本文方法可快速檢測電力網(wǎng)絡(luò)中存在的攻擊行為，提升了電力網(wǎng)絡(luò)的運(yùn)行性能。

3 總結(jié)

本文研究基于行為的電力網(wǎng)絡(luò)安全事件聯(lián)動響應(yīng)及協(xié)同處置方法，實(shí)現(xiàn)安全信息交換以及共享，屬于完整的網(wǎng)絡(luò)安全策略，具有較高的實(shí)用價值以及理論意義。將該研究方法應(yīng)用于電力系統(tǒng)實(shí)際應(yīng)用中極為重要，可提升電力網(wǎng)絡(luò)運(yùn)行安全性。利用流量行為特征信息熵檢測電力網(wǎng)絡(luò)中所存在的攻擊行為，精準(zhǔn)監(jiān)測網(wǎng)絡(luò)中存在攻擊行為的具體部位，針對檢測結(jié)果實(shí)現(xiàn)聯(lián)動響應(yīng)以及協(xié)同處置，能使網(wǎng)絡(luò)快速恢復(fù)正常，提升電力網(wǎng)絡(luò)運(yùn)行水平。