基于新型APT攻擊緩解技術的電力網絡異常行為快速發現

◆封保占 林亮成

基于新型APT攻擊緩解技術的電力網絡異常行為快速發現

◆封保占 林亮成

（國網思極網安科技（北京）有限公司 北京 102211）

電力網絡是一個龐大而復雜的網絡，要保證抵御所有APT攻擊是難度非常大的任務，因此更務實的做法是接收APT風險始終存在的事實，然后快速追蹤、識別并予以糾正，也就是采取APT攻擊的緩解方案。因此，面對正在進行的APT攻擊，有必要構建積極的“彈性網絡”，從而阻止攻擊并減少影響。該類“彈性網絡”包含“主動技術”和“聯動技術”。“主動技術”主要是利用欺騙技術還原、構建之前的攻擊，分析出攻擊的必要信息和特征，為之后的應急響應提供支撐；“聯動技術”則是一系列調用應急響應流程的機制，兩種技術相輔相成共同構建起“網絡彈性”（Cyber Resilience）。

APT攻擊；彈性網絡；主動技術；聯動技術

隨著網絡時代的飛速發展，工業控制系統也開始廣泛連接至互聯網，而網絡安全問題日益突出，其安全穩定運行關系到社會穩定、經濟發展、基礎民生等重要領域，是民眾賴以生存的基礎設施和信息溝通的橋梁。同時，正是因為其舉足輕重的社會地位，它也極易成為被攻擊的目標。尤其是部分網絡設備比較陳舊，更新補丁等不及時，當遇到APT攻擊時，可能造成嚴重損失。

電力系統由于其供電的復雜性、供電區域分布的廣泛性，決定了電力系統是一個非常復雜而龐大的網絡，其安全運行關系到社會發展的方方面面。然而，近年來多次爆發的形式多樣的網絡攻擊問題，使得互聯網的安全運行飽受威脅。如果要時時有效抵御各種層出不窮的APT攻擊，對目前而言，具有非常大的難度，因此，我們需要采取更加務實而有效的方法是正視各種APT攻擊的存在，然后采取積極的，有效的方法去快速追蹤各種攻擊，第一時間進行識別和糾正，簡單來說，也即采取應對APT攻擊的一個緩解方案。面對正在進行的APT攻擊，有效構建一個積極的“彈性網絡”，從而盡量阻止攻擊或者減少影響。該類“彈性網絡”主要包含了“主動技術”和“聯動技術”。

目前在APT攻擊緩解技術的電力網絡異常行為快速發現方面的研究主要有：

參考文獻[1]提出了APT攻擊的特點、攻擊的形式，并分析了傳統防御方法的不足，并提出了新的防御思路。

參考文獻[2]提出了主動防御技術的模型、原理和體系的構成。

參考文獻[3]針對主動防御技術的發展現狀，對于主動防御技術的關鍵技術進行了分析，有助于更全面深入了解主動防御技術。

參考文獻[4]主要介紹了電力系統的三道防線以及聯動系統的關鍵技術運用。

參考文獻[5]針對聯動技術的特點，詳細分析了聯動技術的模型以及總體構架，還有聯動技術的實現要求。

1 APT攻擊的特點

APT攻擊是一種目標明確，并且攻擊性強的攻擊活動，其主要針對關乎民生的重要基礎設施，或者選擇具有相對而言價值比較高的產業進行一定程度的破壞或者竊取重要的數據和資料，其典型特點是高級，并且持續的攻擊，往往會給相關行業或部門帶來嚴重的損失。

APT攻擊的原理主要是大多數情況下利用了0day（零日）漏洞，有時候也會相應利用1day或Nday 漏洞，0day 漏洞只是少量黑客組織所掌握，所以一般的安全系統很難發現。而1day或Nday 漏洞，是黑客利用相應的工具實施攻擊的目的所公布出來的漏洞，當系統長期未更新補丁，或進行一定的殺毒，就很可能受到嚴重的攻擊，所以APT攻擊是一種非常高級的攻擊。

另一方面，APT攻擊具有很長的持續性特點，從黑客們開始進行前期的探索以及相應資料收集，一直到最終成功盜取數據或給目標造成嚴重損失的過程一般要持續幾個月，或者更長的能夠持續幾年，所以很難發現這些循序漸進的告警信息并及時采取措施，也在一定程度上增加了檢測難度。

APT攻擊可以說也非常具有針對性，往往致力于竊取國家重要基礎設施，比如政府機構、通信機構、電力行業等等。然而如前所述，國家供電網絡構架十分復雜，電力對人類的生產生活又至關重要，所以本文重點研究電力網絡中，當發現APT攻擊的異常行為時如何能夠快速發現這些異常，也就是采取APT攻擊時的緩解方案，下面主要介紹兩種比較行之有效的技術，也即主動技術和聯動技術。

2 主動技術

主動防御技術是一種在網絡安全領域得到廣泛運用的新興技術，這種技術與傳統采用的被動防御技術有所不同，它包括了防護技術以及檢測技術，還具備新型的對抗技術，其典型特點是采用了欺騙技術來干擾和阻礙攻擊行為，還原和恢復攻擊前的狀態，為后續應急處理提供一定的技術支撐。

這種主動防御技術能夠充分實現網絡的主動防御，有效應對黑客的多種入侵手段，降低了各種網絡系統的使用風險，構建和保護網絡安全。

圖1 主動防御技術數據分析流程圖

主動防御技術數據分析流程圖如圖1所示，電力系統網絡中的主動防御技術，是通過一個動態的、虛擬的網絡環境來分析、判定可疑的網絡攻擊行為，對于已知的攻擊行為，通過特征庫所設定的判別方式，進行判定識別，當發現其為惡意行為之后即進行阻斷，而對于未知的攻擊，則通過相關算法和模型來進行交叉驗證，當發現屬于異常行為時，起動入侵響應，同時修改相應的安全策略，將異常行為反饋給知識庫，以便于下次對于其他異常行為進行判定。

其中蜜網誘捕和沙箱攻擊，主要是通過網絡的誘騙技術，偽裝成一個真實的系統網絡，故意誘惑各種攻擊者做出一些惡意行為，然后采取監視以及跟蹤的方式，通過對攻擊行為進行分析判定，追根溯源，以便于后續對類似行為做出準確反應。

3 聯動技術

電力系統目前普遍采用了三道的縱深防線，三道防線圖如圖2所示。其中，第一道的防線是采用通用的防火墻技術，而第二和第三道防線都是采用了專用的電力安全防護設備，目前這三道防線之間的信息是相對獨立的，因而屬于被動的防御，所以我們需要將三道防線之間實現聯動機制，再結合前文介紹的主動防御技術，當發現攻擊時，既能有效判別并啟動響應機制，同時聯動機制又能調動一系列應急響應機制，二者相輔相成，互相分析判別，共同抵制異常攻擊行為，保障電力網絡安全有效運行。

圖2 電力系統三道防線圖

三道防線的聯動系統圖見圖3所示：

圖3 聯動系統圖

由聯動系統圖可以看出，首先我們需要在發生安全事件時進行事件的相關信息收集，并且對異常事件進行分析檢測，當發現是潛在的攻擊或不安全事件時，將會把相關信息和資料發送給聯動決策模塊，并根據事件的嚴重程度給予相應的告警通知，而聯動決策模塊通過對系統中的知識庫進行檢索和匹配分析，進行判斷之后，再根據事件可能帶來的危害程度進一步判斷是否需要聯動執行，當判斷威脅達到了規定程度，系統將會連接映射表來生成相應的聯動規則，然后再將規則進行輸出，傳送到相應的設備以進行有效的防御。

4 結束語

隨著后續電力網絡的繼續完善和發展，各種網絡攻擊行為也會隨之加強，如何快速識別、跟蹤并且及時解決這種網絡攻擊行為，是需要深入研究的重要課題。本文主要提出了構建彈性網絡的理念，采取APT攻擊的緩解方案，采用主動防御技術以及聯動防御技術有效結合，將電力系統中的三道防線有效聯動，便于及時發現各種攻擊行為，并且對攻擊行為進行分析，從而采取有效對策，盡量減少攻擊對于網絡的影響，進一步保障整個電力系統網絡的有效安全運行。

[1]劉積芬.網絡入侵檢測關鍵技術研究[D].上海：東華大學，2013.

[2]劉鑫.網絡入侵檢測系統中模式匹配算法的應用研究[D].大連海事大學，2013.

[3]王友釗，黃冬.一種提高系統搜索效率的BM改進算法[J].計算機工程，2014．

[4]張宏莉，徐東亮，梁敏，劉宇峰.海量模式高效匹配方法研究[J].電子學報，2014.

[5]王正才，許道云，王曉峰.基于自動機并操作的多目標AC-BM算法[J].計算機科學，2013.

[6]陸琳琳，田野.基于確定有限狀態自動機的改進多模式匹配算法研究[J].計算機應用與軟件，2013.

[7]蔣曉鴿，武小年，張昭.基于后綴WM匹配算法的改進算法[J].計算機與數字工程，2013.

[8]Laboratory Lincoln.MIT Lincoln Laboratory Inf-ormation Systems Technology[EB/OL].http://www.ll.mit.edu/ideval/data/2000data.html.