基于工控系統功能碼特征的同源攻擊分析

王建華,陳永樂,張壯壯,連曉偉,陳俊杰

(太原理工大學 信息與計算機學院,太原 030024)

0 概述

隨著工業互聯網技術的推廣普及,工業控制系統(Industrial Control System,ICS)安全為國家安全和社會經濟發展提供重要保障。然而,網絡環境下的不安全因素對ICS構成極大威脅,2010年的“震網病毒”事件以及2015年的“波蘭航空公司黑客攻擊”事件等,充分顯示出ICS遭遇攻擊后的嚴重危害性。因此,如何保障ICS安全是當今網絡安全領域廣泛關注的問題。攻擊者溯源能夠為ICS安全提供主動防護,蜜罐技術是實現攻擊者溯源追蹤的手段之一[1-2],通過蜜罐技術收集攻擊者信息,分析攻擊者的攻擊行為、攻擊特征等,能夠對工控網絡的組織和安全態勢進行更準確的分析。目前,IP溯源技術是攻擊者溯源的主要手段,但是,IP溯源需要對路由設備進行更改,存在資源開銷大、識別精度低以及有效驗證難等問題。此外,現有的攻擊手段多數采用攻擊代理來實施攻擊行為[3],提高了IP溯源的難度。事實上,目前多數工控系統攻擊是有組織、有規模的攻擊行為,攻擊者并非單一個體,對惡意組織進行全面溯源更有實際價值。然而,IP溯源往往針對單個IP進行溯源,對于惡意IP所屬組織的識別效率較低。

本文借鑒惡意代碼常用的家族同源判斷分析方法[4-5],將具有相同攻擊者信息或相似攻擊特征的攻擊定義為同源攻擊。使用基于粗、細粒度功能碼特征結合的特征提取和建模方法來判定具有攻擊特征的攻擊者是否屬于同一惡意組織,從而實現攻擊者溯源。此外,針對蜜罐數據同一攻擊源判定驗證較難的問題,使用開源威脅情報庫驗證惡意IP所屬組織[6-7]。

1 相關工作

攻擊者溯源的研究主要依賴于IP溯源技術,IP溯源技術作為網絡安全主動防護的關鍵手段,主要包括概率包標記溯源法和日志溯源法2類。概率包分組標記技術[8]將標識信息(如IP地址)寫入轉發分組的頭域,也即標記域中,然后受害者從收到的分組中找回標記信息,最終確定攻擊路徑。日志溯源法[9]是路由器在轉發分組前記錄下分組相關的信息并進行重構。然而,設備的修改以及日志格式的不統一,使得傳統IP溯源技術成本開銷高、誤報率高、可操作性低,在工控領域難以實現。

工控蜜罐技術通過搜集信息來分析工控系統攻擊者的行為,包括攻擊方式、攻擊手段等。Glastopf項目發布了第一個開源工控蜜罐框架Conpot[10],其實現了協議棧上的請求-應答交互。文獻[11]提出了一種基于物聯網設備的蜜網系統,提升了蜜罐的交互能力和仿真度。對蜜罐數據中攻擊者行為進行分析依賴于攻擊特征的提取,Honeycomb[12]作為Honeyd蜜罐的擴展模塊,其提出了利用蜜罐捕獲數據進行攻擊特征提取的基礎方法。Nemean系統[13]改進了Honeycomb,其將原始數據包轉換為會話樹,生成基于語義特征最后轉換為入侵檢測系統的特征規則格式。但是,上述特征提取技術多數沒有基于工控協議數據特性的攻擊特征提取方法。

攻擊行為的相似性分析有助于更加全面地對攻擊者進行溯源。文獻[14]將一個攻擊源發送的有效載荷轉換為字符串并進行連接生成攻擊指紋,然后通過簡單的字符串距離度量比較指紋,從而分析攻擊源。文獻[15]使用Micro-Honeypot框架內瀏覽器指紋來追蹤攻擊者,并提出一種指紋關聯算法,將瀏覽器中cookie、IP信息和指紋進行關聯,生成字符串并作比較,從而確定同源攻擊者。然而,上述同源攻擊者判斷方法仍無法直接應用于工控網絡。文獻[16]部署分布式蜜罐系統來收集威脅數據庫,根據3種不同的工控協議蜜罐數據對攻擊方法、攻擊模式和攻擊源進行分析,提出一種針對攻擊組織的聚類算法。然而,人工劃分攻擊模式無法分析大規模數據,且該算法識別的攻擊源組織并未進行結果驗證。網絡攻擊同源性是指不同的網絡攻擊事件具有內在相似性,源自同一個人或同一組織等[4]。現有同源攻擊的分析主要集中在惡意代碼家族判定方面,此外,也有部分針對蜜罐數據進行組織判定的研究[16-17]。針對工控協議進行同源判定及組織分析的研究較少,且結果驗證不足,為此,本文依據工控蜜罐數據進行同源攻擊分析,并重點研究同一組織的判定問題。

2 工控攻擊行為特征提取

2.1 工控功能碼

根據工控協議規約,功能碼用于標明一個信息幀的用途,當主設備向從設備發送信息時,功能碼將通知從設備需要執行哪些行為。文獻[18]使用Modbus功能碼來界定某一攻擊者對于設備的請求,根據請求報文中的意圖進行分類并總結出攻擊方法。然而,在真實情況下,單一功能碼無法較好地體現整個攻擊序列的企圖。文獻[18]將連續的Modbus TCP數據包抽象簡化為Modbus功能碼序列,利用序列順序進行系統異常檢測。wireshark為常用的網絡封包分析軟件,圖1所示為wireshark解析器下工控協議Modbus蜜罐數據流PCAP文件的各字段解析示例。其中,加框字段為功能碼字段。基于Modbus協議報文格式,利用python腳本對蜜罐數據流PCAP文件進行處理,提取出Modbus TCP數據包中的初始數據包特征以便進行后續處理。對PCAP數據流進行處理后的工控信息庫示例如表1所示。

圖1 Modbus蜜罐數據流PCAP文件

表1 工控信息庫示例

2.2 基于統計信息的功能碼粗粒度特征

根據文獻[19]提出的249個基于流量的特征,結合所搜集的工控蜜罐中Modbus TCP數據包信息特征,本文提出一種基于統計信息的功能碼粗粒度特征,其中包括功能碼類型占比、攻擊頻率和稀有評級占比。攻擊頻率屬于數據流特征,其余屬于數據包內功能碼信息特征。圖2所示為Modbus協議的報文格式以及功能碼在整個報文中的位置。

圖2 Modbus協議報文格式

功能碼類型占比是功能碼序列的功能碼類型占整體功能碼的比例。功能碼類型占比表示為Ti=Tf/T,其中,Tf為功能碼序列中功能碼類型個數,T為蜜罐數據中功能碼類型個數。

攻擊頻率體現功能碼序列中的時間特征,其值為功能碼數量與交互總時長的比例,即Fi=Num/Time,其中,Num代表序列中功能碼數量,Time代表序列交互總時長。由于存在自動化攻擊單位時間內發包數大于1的情況,因此本文對攻擊頻率進行0-1標準歸一化處理。

稀有評級可以反映功能碼序列在蜜罐數據中的特殊程度。以Modbus協議數據為例,在超過1.7萬條Modbus數據包中,0x2b、0x11出現頻率最高,將其分別劃為1、2級,其余按表2所示進行評級。稀有評級占比為Ri=Di/Dmax,其中,Ri表示稀有評級占比,Di為功能碼序列i中的最高稀有評級,Dmax表示整體數據中的最高評級5。表3所示為基于wireshark解析器的報文解析樣例,其中包括2個Modbus TCP粗粒度特征提取過程。從表2可以看出,蜜罐中的功能碼類型數為5,因此,計算出這一組Modbus TCP功能碼類型占比為0.4。出現功能碼的稀有評級最高為2,即其稀有評級占比為0.4。攻擊頻率則根據時間戳進行計算,值為3.876 8,后續再依據所有蜜罐數據整合進行歸一化處理。

表2 功能碼稀有評級

表3 基于wireshark解析器的報文解析樣例

2.3 基于功能碼序列的細粒度特征

細粒度特征即功能碼序列特征,十六進制Modbus功能碼序列為07、01、01、11、2b、11、2b。由于Modbus功能碼序列的有序性,本文使用窗口滑動的方法,通過一個大小為2的窗口對整個功能碼序列進行截取,通過計算該功能碼組合在整個序列各項組合中出現的概率,對vector內的相同功能碼組合進行概率值填充,進而得到所有蜜罐數據中攻擊IP的細粒度特征向量。

圖3所示為細粒度特征提取方法示意圖,其中,左半部分為樣例功能碼序列的處理過程,其得到對應攻擊者IP和所有攻擊者IP的向量值。功能碼序列特征劃分如表4所示,其中,n=2,n代表維度。

圖3 細粒度特征提取方法示意圖

表4 功能碼序列特征劃分樣例

在表4中,功能碼組合表示當窗口長度n=2時得到的十六進制值,次數表示功能碼組合出現的次數,概率表示某二元功能碼出現的幾率。

將功能碼組合進行功能碼排序,得到有關功能碼序列的多維向量。根據蜜罐數據以及功能碼序列的有序性,向量種類表示為(0101,0107,0111,…,5a5a),特征向量為vector=(P0101,P0107,P0111,…,P5a5a)。

3 工控攻擊行為特征建模

3.1 基于粗糙集思想的粗粒度特征聚類

2.2節介紹了功能碼類型占比、攻擊頻率和稀有評級占比3個粗粒度行為特征。基于粗糙集思想的粗粒度特征建模方法,使用Canopy聚類算法將這3個行為特征轉換為(Ti,Fi,Ri)三維向量。文獻[20]實現了傳統的Canopy算法,其具有快捷、簡單等特點,為后續聚類算法消除了K值的不確定性,以便合理地使用初始聚類中心。

3.2 基于功能碼序列的聚類模型

在機器學習中有一些基于標識數據的有監督機器學習算法,如SVM、KNN和決策樹等。對于組織溯源領域,除一部分公開的設備掃描安全廠商外,其余攻擊者的IP均沒有樣例標識。因此,需要通過無監督或半監督的機器學習算法來進行聚類分析。本文提出基于K-Medoids的改進圍繞中心點劃分(Partitioning Around Medoid,PAM)聚類算法,建立基于攻擊行為的聚類模型,并使用基于密度的離群點檢測方法對離群點進行檢測和處理。

引入輪廓系數(Silhouette coefficient,S)來體現簇內數據的緊湊程度和簇間距離的分離程度。設數據集中的每個對象為O,對象O與O所屬的簇內其他對象之間的平均距離為A(O),B(O)指對象O到不包含O的所有簇的最小平均距離。所有點的輪廓系數平均值越接近1,則顯示聚類模型內聚度和外分離度越好,模型性能越優。輪廓系數的計算如式(1)所示:

(1)

本文使用改進的PAM聚類算法對攻擊行為向量進行聚類并對攻擊行為實現建模,流程如圖4所示。

圖4 改進的PAM聚類算法流程

本文算法具體步驟如下:

1)根據粗粒度、細粒度特征對數據集數據進行預處理。

2)使用基于粗糙集思想的粗粒度特征處理方法將粗粒度特征轉換為三維向量,使用Canopy聚類算法計算最優類簇數量并進行第一次聚類。

3)使用基于功能碼序列的細粒度特征處理方法將細粒度特征轉換為攻擊行為特征向量,并通過改進的PAM聚類算法對K簇進行聚類。基于K-Medoids改進的PAM聚類算法的基本思想為:

(1)任選k

(2)迭代使用Medoids外的其余非代表對象點來代替初始點進行聚類,找出更好的中心點,并根據部分已知組織信息,用半監督的方式取得更好的輪廓系數和聚類性能。

(3)由于相同IP可能有幾種不同的掃描方式,因此引入懲罰因子ξ用于減小相同IP的不同向量間歐式距離的差異值。懲罰因子ξ計算公式如式(2)所示:

(2)

其中,N為集合{IPs}中相同IP攻擊信息向量的個數,EDvector(i,i+1)表示2個向量的歐式距離差異值。

(3)

4)使用基于密度的離群點檢測方法對離群點進行檢測和處理,并根據半監督標識實現迭代學習,迭代輪廓系數S(O),直到得到更好的聚類精度。

5)使用本文提出的驗證方法并應用第三方惡意IP庫進行數據驗證,計算精度和召回率,得到聚類結果。

3.3 基于密度的離群點檢測方法

(4)

則局部離群因子LOF計算如式(5)所示:

(5)

通過已有方法找出聚類模型中的離群點因子,為了得到更好的輪廓系數、聚類性能和結果,本文提出收縮因子α(0≤α≤1)進行離群點處理,α的迭代取值遵循α=arctanx+1,以降低生成粗糙集時隨機質心對離群點的判斷誤差并迭代出更優的輪廓系數S(O)。聚類精確度不再提高時收縮停止。

4 實驗結果與分析

4.1 數據集

本文數據來源于文獻[16]收集到的分布式工控協議蜜罐數據,時間跨度超過12個月。實驗及數據驗證部分使用Modbus協議蜜罐數據,該協議是工控系統中常用的具有公開協議規約的通信協議。圖5記錄了Modbus蜜罐在一段時間期間的數據收集情況,其中,在2018年8月收集到了2 987條數據包,總數據包數量超過1.7萬條。

圖5 Modbus協議數據量

4.2 數據驗證

文獻[16]指出,由于沒有相似性實驗,工控蜜罐數據攻擊源分析后很難進行結果對比與驗證。本文通過反向解析攻擊者IP發現,只有很少一部分公開的設備掃描網站信息。在尋找公開數據集時,得知AbuseIPDB[22]和ipvoid[23]可以對濫用IP(通常包括與可疑主機公司、僵尸網絡、被黑客入侵的服務器或其他由黑客控制的機器相關的IP地址)進行記錄、將網絡中自動化軟件掃描和攻擊事件進行存儲,而IBM X-Force Exchange[24]公開的情報分析庫甚至可以找到近5年內某一IP的活動情況,包括其何時被識別為掃描IP、何時自動運行木馬以及是否運行惡意軟件。本文的數據驗證方式是將同源判定的結果與公開網站數據進行匹配驗證。當無法在開源濫用IP數據庫中找到其明顯組織后,使用物理位置判定方法,在數據驗證時將同一網段的攻擊者默認歸于同一攻擊源。

4.3 結果分析

文獻[25]在觀察大規模蜜罐攻擊數據時發現,可追溯同源的類似DDOS攻擊源的惡意服務器TTL值經常在某2個連續值之間波動。本次實驗將對比本文同源攻擊判定方法與TTL方法[22]、位置信息方法[3]的聚類性能。從圖6可以看出,在Modbus協議數據集中,使用Canopy方法和PAM方法后,通過粗粒度特征向量生成k1個類簇,簇中的細粒度聚類結果隨著k2值的變化而變化,其中,k2是對粗糙集中細粒度特征向量使用改進的PAM算法后的結果。當k1=1時,F1值最高的是k2=4,即k21=4,F1值為0.60,表示在類簇1中,繼續細分為4個簇時精確度和召回率的綜合表現最佳。在其余3組中,F1值最高的分別是類簇2k2=3,F1值為0.81;類簇3k2=2,F1值為0.90;類簇4k2=1,F1值為1.00。因此,類簇組織的最優數量為k21+k22+k23+k24=10,平均F1值為0.827 5。

圖6 不同k1和k2值時算法聚類性能比較

不同的同源攻擊分析方法性能對比如圖7所示。圖7(a)顯示了不同初始簇數下方法的精確度,圖7(b)為召回率,圖7(c)使用F1值計算分析方法的精確率和召回率,圖7(d)顯示聚類模型隨類簇數改變時SSE值的變化情況。從中可以看出,本文方法較其他2種方法具有更高的F1值,數據的綜合精確度和查全率具有更好的表現。理論上來說,隨著類簇數k的增大,樣本劃分會更精細,每個簇的聚合程度會逐漸提高,則SSE值會逐漸變小。實驗結果也證明,當k小于某一類簇數時,由于k的增大會大幅增加每個簇的聚合程度,而當k到達某一數值時,再增加k時所得到的聚合程度反饋會迅速變小,所以SSE的下降幅度會隨著k值的繼續增大而趨于平緩,這意味著當k值為12時,聚類模型具有更合理的SSE值,約為7.376。然而,觀察其F1值的結果可知,當k為10或11時,達到最高F1值0.792。而且,在實驗過程中,當k值大于10時,結果出現了測試集為空的情況,這顯示出實驗中可能存在過擬合現象。綜合圖6、圖7,本文選取最優的類簇數為10。

圖7 同源攻擊分析方法性能對比結果

4.4 實驗結論

蜜罐數據分析的驗證是一個難題,本文通過反查DNS,調用開源濫用IP庫進行同源攻擊者結果驗證,相比于TTL值判別方法,本文方法具有更高的精確度和F1值。在判別威脅情報庫中識別的shodan IP時具有100%的精確度和召回率,而對于其余惡意IP所屬組織,如plcscan、censys[26]、University of Michigan等的判別,精確度達到0.91。4種協議攻擊IP數前10的組織溯源結果如表5所示。其中,包括物聯網設備識別企業和安全服務提供商,如shodan、plcscan和censys等。

表5 同源攻擊分析結果

5 結束語

本文提出一種基于工控功能碼序列的同源攻擊分析方法,根據攻擊者特征找到其物理位置特征,依據細粒度特征和粗粒度特征生成攻擊行為模型。分析結果表明,該方法針對開源濫用IP庫識別時具有較高的精確率,能夠識別出shodan、censys和plcscan等10個組織。下一步將擴展工控蜜罐的適用協議,包括S7comm、BACnet等使用率較高的工控協議。此外,將攻擊行為處理方法加入到入侵檢測系統中實現一定程度的安全防護也是今后的研究方向。