協議異常檢測技術在核電廠實時信息系統中的應用

Application of Protocol Anomaly Detection Technology

in Real Time Information System of Nuclear Power Plant

趙　靜1　谷鵬飛2　延　霞1　孫永濱2

(深圳信息職業技術學院1，深圳　518029;深圳中廣核工程設計有限公司2，深圳　518124)

協議異常檢測技術在核電廠實時信息系統中的應用

Application of Protocol Anomaly Detection Technology

in Real Time Information System of Nuclear Power Plant

趙靜1谷鵬飛2延霞1孫永濱2

(深圳信息職業技術學院1，深圳518029;深圳中廣核工程設計有限公司2，深圳518124)

摘要：網絡安全是當前人人關注的焦點問題，入侵檢測技術因具有主動防御特性而成為研究重點。針對核電廠實時信息系統建立協議異常檢測系統，實現結合網絡數據的轉移和頻率特性的檢測算法，并從系統部署、運行流程等方面介紹系統的功能。運行結果表明,此系統能夠有效檢測入侵。

關鍵詞：網絡安全入侵檢測異常檢測協議異常檢測核電廠

Abstract：The network security status of the real time information system in nuclear power plant is investigated, and the current status of unitary safety means is reported. In accordance with the transfer and frequency characteristics of network data, the detection algorithm which combines both characteristics is proposed, and the protocol anomaly detection system is established. The functions of system are introduced from the aspects of system deployment, running processes, etc. The result of operation indicates that this system can effectively detect intrusion.

Keywords：Network securityIntrusion detectionAnomaly detectionProtocol anomaly detectionNuclear power plant

0引言

隨著網絡安全問題的日益嚴重，入侵檢測已成為保護信息安全的重要手段。異常檢測是入侵檢測技術[1-2]方法之一，它根據用戶或系統的正常程度來判定入侵[3]，可以檢測到變種的和新的攻擊。協議異常檢測可看作異常檢測的一個特例，因為所有的網絡活動都應遵循網絡通信協議的規定，所以當出現違反網絡通信協議的行為時就極可能是入侵活動。

在2011年日本福島核事故發生后，確保核電安全是我國的一項重要國策。隨著數字化技術和信息技術的推廣和發展，核電企業日常辦公和生產運行已離不開網絡。但是簡單的安全防護手段，如防火墻和殺毒軟件，已不能滿足核電企業對網絡安全的特殊需求。

核電廠實時信息監控系統(KNS)采用三層網絡架構，作為核電廠的實時數據和歷史數據的傳輸和應用平臺，它連接底層控制系統，同時向管理信息系統網輸出數據，因此，保障KNS的安全至關重要。當前防護KNS系統的安全方法單一，僅包括設立防病毒服務器、更新病毒庫、配有專門的安全人員等手段，并沒有針對KNS系統進行細致的網絡區域劃分，并對不同區域建立相應的安全防護體系。

本文針對核電廠生產運行的特定環境，將協議異常檢測技術應用于KNS系統，建立了協議異常檢測系統。

本文的結構如下：在第二部分介紹結合轉移和頻率特性的協議異常檢測算法；第三部分介紹系統的運行流程；第四部分展示系統的運行效果；最后，給出總結和未來的研究方向。

1協議異常檢測算法

目前用于入侵檢測的數據主要包括網絡數據、用戶行為數據和系統調用數據。這些數據具有3種統計特性：轉移特性、頻率特性和關聯特性[4]。轉移特性描述數據特征之間的轉移關系，適用于基于主機的入侵檢測，通過建立隱馬爾科夫模型(hidden Markov model,HMM)[5-6]或馬爾科夫模型[7-8]進行檢測。頻率特性描述數據特征的分布特點，通過研究分布特點進行入侵檢測。關聯特性同時在時間上和空間上對事件進行關聯。本文首先根據數據包標志位的轉移特性建立HMM，并根據頻率特性建立支持向量機(support vector machine,SVM)，進行協議異常檢測。試驗結果表明，這種方法比單一的考慮轉移特性或頻率特性的方法檢測效果好[9]。

1.1　標志位的轉移特性

FTP協議的狀態轉移圖如圖1所示，描述了各個數據包標志位之間的轉移特性。狀態轉移圖中的每個狀態代表協議連接的某一步，狀態的轉移是在一定的條件下按照特定的順序發生的，不符合的狀態轉移就可能是攻擊行為。我們根據這些狀態的轉移特性構造HMM檢測模型[9]。

圖1　FTP協議的狀態轉移圖

1.2　標志位的頻率特性

通過TCP的標志位可以確定協議在連接開始時、結束時的相關標志信息，進而判斷在完整的連接過程中，6種標志的頻率特性是有規律的。以FTP協議連接為例：連接開始時對應標志位為SYN→SYN+ACK→ACK，連接斷開時對應的標志位為FIN+ACK→ACK→FIN+ACK→ACK，中間狀態的轉換代表兩臺主機的數據傳輸。因此，可以通過檢測標志位的頻率特性，從正常的頻率分布中找出異常的頻率分布，具體過程見文獻[9]。

2系統運行流程

系統的運行流程如圖2所示。

圖2　運行流程圖

根據文獻[9]提出的檢測算法，結合KNS的運行環境，建立了協議異常檢測系統。受邊界條件的限制，該系統暫時只檢測FTP、HTTP和SSH協議的數據，重點驗證了方案的可行性。當系統初始運行時，需要在網絡上觀察并學習一段時間，建立系統中HMM和SVM檢測模型以及狀態模式庫。我們采用攻擊工具發起攻擊，通過系統運行結果驗證系統功能。

系統使用C#實現。我們使用了與libsvm缺省參數相同的參數，滑動窗口的大小設為6，狀態模式庫容量為500。

3運行效果

本節給出協議異常檢測系統的運行結果，系統暫時只包括FTP、HTTP和SSH協議的檢測，并以FTP協議為例給出具體的運行界面和檢測結果。

在協議異常檢測系統初始運行時的主界面中設有以下參數：設定閾值為0.6，所有偏離度小于0.6的數據認為是異常；設定狀態模式庫容量為500。統計信息給出了系統運行后檢測到異常數據的一些統計信息，包括異常數據總數、FTP異常數據總數、HTTP異常數據總數、SSH異常數據總數、源IP地址、目的IP地址。協議流量趨勢給出了檢測的數據中各種協議所占的百分比。

在FTP協議的界面中設置了“隱馬爾科夫模型的狀態”，允許修改狀態值。這是因為我們是根據RFC草案來設定FTP檢測模型的參數。如果局域網中存在一些沒有嚴格遵守RFC中協議規定的軟件應用程序，該選項可以根據具體的網絡環境設定增加或減少狀態值。“狀態數據庫”列出當前FTP協議的狀態數據庫中的內容，這是由Viterbi算法推導出來的最優狀態序列。點擊“查看”按鈕，可以修改狀態數據庫。還可以增加或刪除狀態數據庫中的短序列“異常數據”中列出違反FTP協議的異常數據，并給出這些異常數據的統計信息，包括源地址、目的地址、端口號、發生時間、異常數據對應的偏離度。其中偏離度是數據中被模型判斷為異常連接的數目與連接總數的比值。系統計算每條數據的偏離度，如果偏離度大于閾值，則為正常數據，小于閾值則為異常數據。

選擇一條異常數據，可查詢這條異常數據的詳細數據包頭信息。按照WinDump格式,分別是源地址>目的地址 端口號：標志位 分組的開始序號：結尾序號(數據字節數) 窗口大小 最大報文段長度。根據給出的異常數據詳細信息，管理人員可以進一步理解異常數據，掌握異常是如何產生的。根據管理人員的需要，也可以更改格式提取更多信息。

系統還可將異常數據的標志位量化，然后根據滑動窗口的大小(運行中設為6)進行劃分，得到的短序列與異常數據所屬協議的狀態數據庫作比較，得出不在狀態數據庫中的短序列。這是因為網絡中存在一些不符合協議規定的軟件應用程序或操作，雖然這些操作或數據被判定為異常，但是并不屬于攻擊。通過選定這樣的異常數據，經量化后得到被判定為“異常”的短序列，管理人員可以選擇將這些短序列加入到狀態模式庫中，在以后的檢測中避免將此類數據歸類為異常，降低誤報率。

HTTP界面和SSH界面的設置與FTP界面相同，但是各個協議的內容不同，界面的具體數據也有所變化。

運行結果表明，協議異常檢測系統能夠積極適應網絡的具體環境，降低因環境變化產生的誤報率；能夠檢測到攻擊數據，并記錄攻擊數據的詳細信息，有助于進一步分析和理解攻擊對系統的影響。

4結束語

本文針對核電廠實時信息監控系統(KNS)，建立了協議異常檢測系統。該系統對網絡協議的數據包進行檢測并發現異常數據，為入侵檢測和響應決策提供必要的報警信息。協議異常檢測系統實現了結合轉移和頻率特性的協議異常檢測算法。在實際網絡中，系統建立了各個協議的狀態模式庫，計算數據對協議規定的偏離度，表明了協議異常檢測系統的可行性。

參考文獻

[1] Balasubramaniyan J S,Garcia-Fernandez J O,Isacoff D,et al.An architecture for intrusion detection using autonomous agents[C]//The 14th Annual Computer Security Applications Conference,1998:13-24.

[2] Mu Chengpo,Huang Houkuan,Tian Shengfeng.A survey of intrusion-detection alert aggregation and correlation techniques[J].Journal of Computer Research and Development,2006,49(1):1-8.

[3] Das K.Protocol anomaly detection for network-based intrusion detection[R].GSEC Practical Assignment Version1.2f,2001.

[4] Wang Wei,Guan Xiaohong,Zhang Xiangliang.A processing of massive audit data streams for real-time anomaly intrusion detection[J].Computer Communications,2008,31(1):58-72.

[5] Tan Xiaobin,Wang Weiping,Xi Hongsheng,et al.A hidden Markov model used in intrusion detection[J].Journal of Computer Research and Development,2003,40(2):246-250.

[6] Yan Qiao,Xie Weixin,Song Ge,et al.System call anomaly detection method based on HMM[J].Acta Electronica Sinica,2003,31(10):1486-1490.

[7] Ye N,Zhang Y,Borror C M.Robustness of the Markov chain model for cyber attack detection[J].IEEE Transactions on Reliability,2004,53(1):116-121.

[8] Ju W H,Vardi Y.A hybrid high-order Markov chain model for computer intrusion detection[J].Journal of Computational and Graphical Statistics,2001,10(2):277-295.

[9] Zhao Jing,Huang Houkuan,Tian Shengfeng,et al.Protocol anomaly detection based on transition property and frequency property of attribute[J].Journal of Beijing Jiaotong University,2009,33(5):104-108.------------------------------------------------------------------------------------------------

中圖分類號：TP393+.0

文獻標志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201502011

修改稿收到日期：2014-09-09。

第一作者趙靜(1980-)，女，2010年畢業于北京交通大學計算機專業，獲博士學位，講師；主要從事計算機技術及網絡安全的研究。