基于滲透測試的多層次網(wǎng)絡(luò)安全入侵檢測方法

李 群， 王 超， 任天宇

(1. 國網(wǎng)北京市電力公司 電力科學(xué)研究院， 北京 100075； 2. 華北電力大學(xué) 控制與計算機工程學(xué)院， 北京 102206)

電力系統(tǒng)網(wǎng)絡(luò)安全是系統(tǒng)正常運行的關(guān)鍵[1].當(dāng)電力系統(tǒng)網(wǎng)絡(luò)中的硬件或軟件以及其中的數(shù)據(jù)因惡意原因遭受到破壞、更改時，就會導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷或不穩(wěn)定運行，上述現(xiàn)象可以稱為網(wǎng)絡(luò)入侵.網(wǎng)絡(luò)入侵行為會導(dǎo)致電力系統(tǒng)數(shù)據(jù)泄漏，嚴重影響電力系統(tǒng)的運行.現(xiàn)階段網(wǎng)絡(luò)入侵手法主要包括口令入侵、緩沖區(qū)溢出、端口掃描及欺騙攻擊等[2].

針對網(wǎng)絡(luò)安全的入侵檢測問題，國內(nèi)外學(xué)者已經(jīng)進行了相關(guān)的研究，并取得了一定的研究成果.其中包括基于支持向量機的網(wǎng)絡(luò)安全入侵檢測方法、模糊關(guān)聯(lián)規(guī)則挖掘的網(wǎng)絡(luò)安全入侵檢測方法和基于PCA和LOGIT模型的網(wǎng)絡(luò)入侵檢測方法[3].由于多層次網(wǎng)絡(luò)的結(jié)構(gòu)特點，傳統(tǒng)的入侵檢測技術(shù)無法得到精準(zhǔn)的檢測結(jié)果，為此需要引入滲透測試技術(shù).滲透測試就是通過模擬黑客在多層次網(wǎng)絡(luò)中的入侵攻擊行為，對網(wǎng)絡(luò)目標(biāo)實施攻擊，同時獲得訪問控制權(quán)限的行為.在網(wǎng)絡(luò)的滲透測試過程中，需要測試者從攻擊者的角度出發(fā)，檢測網(wǎng)絡(luò)的漏洞、配置的缺陷以及網(wǎng)絡(luò)安全監(jiān)管的缺失，從而實現(xiàn)提升測試目標(biāo)安全性的目的.

1 檢測方法設(shè)計

本文分別分析網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)狀態(tài)來確定網(wǎng)絡(luò)運行特征，將實時信號數(shù)據(jù)與正常網(wǎng)絡(luò)運行特征做匹配，便可判斷當(dāng)前多層次網(wǎng)絡(luò)安全的運行狀態(tài)，進而對存在安全入侵現(xiàn)象的網(wǎng)絡(luò)節(jié)點進一步分析與測試，得出較為全面的檢測結(jié)果[4].設(shè)計的基于滲透測試的電力系統(tǒng)多層次網(wǎng)絡(luò)安全入侵檢測方法的實現(xiàn)過程如圖1所示.

圖1 電力系統(tǒng)多層次網(wǎng)絡(luò)入侵檢測方法實現(xiàn)過程Fig.1 Implementation process of multi-level network intrusion detection method for power system

1.1 多層次網(wǎng)絡(luò)結(jié)構(gòu)分析

為了實現(xiàn)對多層次網(wǎng)絡(luò)的精準(zhǔn)檢測，首先需要收集正常運行狀態(tài)下多層次網(wǎng)絡(luò)每一個層級的狀態(tài)信息以及內(nèi)部網(wǎng)絡(luò)傳輸數(shù)據(jù)信號的運行情況，以此作為檢測網(wǎng)絡(luò)異常入侵的依據(jù).經(jīng)過分析可知，多層次網(wǎng)絡(luò)由表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)訪問層以及數(shù)據(jù)存儲層4個部分組成，其中用戶顯示層可以顯示與輸出其他層級運算的結(jié)果，屬于直觀網(wǎng)絡(luò)層次[5]；業(yè)務(wù)邏輯層是表現(xiàn)層中單獨分離出的一層，主要用來接收網(wǎng)絡(luò)用戶的表現(xiàn)層請求，利用其內(nèi)部邏輯程序中的腳本引擎加載、編譯并執(zhí)行腳本語言后，將用戶的請求發(fā)送給下一個層次；數(shù)據(jù)訪問層為多層次網(wǎng)絡(luò)中存儲數(shù)據(jù)的數(shù)據(jù)庫服務(wù)器，可以實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的檢索，該層的運行需要與其下一層次，即數(shù)據(jù)存儲層相互配合，以實現(xiàn)對應(yīng)的數(shù)據(jù)訪問功能[6].為了保證多層次網(wǎng)絡(luò)結(jié)構(gòu)分析的準(zhǔn)確性，將網(wǎng)絡(luò)結(jié)構(gòu)用一個無向圖模型來表述為

G=(V，E)

(1)

式中：V為任意兩個網(wǎng)絡(luò)節(jié)點的邊集；E為多層次網(wǎng)絡(luò)鏈路中的節(jié)點負載邊.入侵節(jié)點的多層次網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)分布情況如圖2所示.

圖2 多層次網(wǎng)絡(luò)入侵節(jié)點結(jié)構(gòu)分布Fig.2 Structure distribution of multi-level network intrusion nodes

根據(jù)圖2中的網(wǎng)絡(luò)節(jié)點分布情況，在多層次網(wǎng)絡(luò)環(huán)境中根據(jù)入侵節(jié)點遷移數(shù)據(jù)的幀數(shù)來確定數(shù)據(jù)的轉(zhuǎn)發(fā)時間，采用路由引擎等對入侵節(jié)點的數(shù)據(jù)收發(fā)實現(xiàn)對網(wǎng)絡(luò)傳輸信號的采集.

1.2 多層次網(wǎng)絡(luò)滲透測試

為了防止多層次網(wǎng)絡(luò)防御機制出現(xiàn)漏洞，造成特征數(shù)據(jù)提取不全的問題，通過對多層次網(wǎng)絡(luò)系統(tǒng)的密切協(xié)作來實現(xiàn)對網(wǎng)絡(luò)元素丟包率、延遲等參數(shù)測量[7].由于多層次網(wǎng)絡(luò)源節(jié)點發(fā)送數(shù)據(jù)包經(jīng)過若干個節(jié)點的傳送而到達目的節(jié)點，因此可以將網(wǎng)絡(luò)滲透測試近似為一種線性模型，即

Y=Dθ+ε

(2)

式中：Y為滲透測試向量；D為路由矩陣；θ為待估計的網(wǎng)絡(luò)數(shù)據(jù)包的參數(shù)向量；ε為多層次網(wǎng)絡(luò)的誤差向量.按照搭建的滲透測試線性模型，分別從多層次網(wǎng)絡(luò)客戶端和服務(wù)器端兩個方面滲透測試，具體的測試流程如圖3所示.

圖3 滲透測試工作流程圖Fig.3 Flow chart of penetration test

1.2.1 滲透檢測方向確定

滲透測試檢測的方向主要有兩個，一個為順網(wǎng)絡(luò)傳輸?shù)姆较?，另一個為逆網(wǎng)絡(luò)傳輸?shù)姆较騕8].滲透測試綜合搜尋個體的利己方向、利他方向和預(yù)動方向，隨機加權(quán)平均確定最終的搜索方向.若計算結(jié)果在[0，1]之間，則滲透測試的搜索方向為順傳輸方向，否則為逆網(wǎng)絡(luò)傳輸方向.

1.2.2 滲透檢測步長確定

滲透測試檢測的搜索步長可表示為

(3)

式中：u為高斯隸屬度；x為輸入變量；δ為隸屬函數(shù)參數(shù)[9].通過對隸屬度的計算，可以得到滲透測試的步長為

(4)

式中：αij為j維度滲透搜索空間的搜索步長；δij為隸屬度函數(shù)位置；ψ為慣性權(quán)值；xmin、xmax分別為輸入變量最小值和最大值；t為當(dāng)前迭代次數(shù)；Tmax為迭代最大值.通過雙向滲透確定多層次網(wǎng)絡(luò)防御機制的狀態(tài)，若其狀態(tài)正常則截獲需要檢測的網(wǎng)絡(luò)信號；若防御出現(xiàn)漏洞，則需要在網(wǎng)絡(luò)節(jié)點做好補丁后再截獲需要檢測的網(wǎng)絡(luò)信號.

1.3 截獲網(wǎng)絡(luò)信號

在確定防御為正常狀態(tài)后，在電力系統(tǒng)多層次網(wǎng)絡(luò)中安裝數(shù)據(jù)的采集與截獲裝置[10]，設(shè)置連續(xù)采集周期為24 h，采集間隔時間為0.5 min.啟動網(wǎng)絡(luò)信號采集裝置，按照圖4所示的網(wǎng)絡(luò)信號截獲流程實現(xiàn)多層次網(wǎng)絡(luò)傳輸數(shù)據(jù)信號的截獲.

圖4 網(wǎng)絡(luò)信號截獲流程圖Fig.4 Flow chart of network signal interception

將多層次網(wǎng)絡(luò)中的運行信號假設(shè)為平穩(wěn)的隨機信號，可以將截獲的單分量網(wǎng)絡(luò)信號表示為

(5)

式中：f(s[t-τ])為多層次網(wǎng)絡(luò)的單分量主頻特征；s為傳輸信號的特征分解尺度因子；τ為信號的賦值在時頻域上的時延[11].利用單分量信號截獲網(wǎng)絡(luò)信號中時間與頻率之間的關(guān)系，獲取多層次網(wǎng)絡(luò)傳輸信號的伸縮變換歸一化尺度參量H(ω，t).

由于多層次網(wǎng)絡(luò)環(huán)境中存在其他設(shè)備的干擾，因此在數(shù)據(jù)截獲與處理過程中需要考慮信號的噪聲情況[12].在噪聲干擾下可以得到相應(yīng)的傳輸信號波形表達式為

y(t)=a(θi)H(ω，t)+n(t)

(6)

式中：a(θi)為頻譜的幅值；n(t)為其他設(shè)備的干擾項.

1.4 多層次網(wǎng)絡(luò)信號特征提純

由于截獲的網(wǎng)絡(luò)信號存在噪聲干擾，因此需要對原始網(wǎng)絡(luò)信號進行濾波處理，以此來保證網(wǎng)絡(luò)安全入侵檢測結(jié)果的置信度[13].另外還需要將正常網(wǎng)絡(luò)環(huán)境下運行數(shù)據(jù)的特征提取出來，作為網(wǎng)絡(luò)安全入侵檢測的標(biāo)準(zhǔn).

截獲并處理完成的電力系統(tǒng)多層次網(wǎng)絡(luò)傳輸信號包含的數(shù)據(jù)量較大，在入侵檢測過程中需要時間較長，會影響網(wǎng)絡(luò)安全入侵檢測的效率[14].完成多層次網(wǎng)絡(luò)傳輸信號的特征提取后，將信號按照上、下包絡(luò)局部特征分解，存儲相應(yīng)的特征提取結(jié)果.建立多層網(wǎng)絡(luò)安全數(shù)據(jù)分類器，將不同的信號特征，依據(jù)分類器分類，從而實現(xiàn)多層次網(wǎng)絡(luò)入侵信號檢測.

1.5 多層次網(wǎng)絡(luò)安全入侵檢測

分別檢測多層次網(wǎng)絡(luò)的傳輸數(shù)據(jù)和數(shù)據(jù)傳輸流量，并與正常運行環(huán)境下多層次網(wǎng)絡(luò)的狀態(tài)特征進行匹配處理，從而得出有關(guān)多層次網(wǎng)絡(luò)安全入侵的檢測結(jié)果.

1.5.1 檢測網(wǎng)絡(luò)異常流量

多層次網(wǎng)絡(luò)環(huán)境中異常流量的檢測主要是通過網(wǎng)絡(luò)流量的行為描述來分析和發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的異常行為.具體的網(wǎng)絡(luò)異常流量檢測過程如圖5所示.

圖5 異常流量檢測流程圖Fig.5 Flow chart of abnormal flow detection

在確定網(wǎng)絡(luò)流量歷史行為測度框架的基礎(chǔ)上，對比檢測當(dāng)前的網(wǎng)絡(luò)入侵活動.歷史行為測度框架主要是由測度統(tǒng)計值構(gòu)成的，采集的網(wǎng)絡(luò)運行流量與多層次網(wǎng)絡(luò)在正常運行狀態(tài)下的運行流量在數(shù)值之間出現(xiàn)明顯的偏差，即認為出現(xiàn)了異常行為[15].

1.5.2 定位多層次網(wǎng)絡(luò)入侵節(jié)點

根據(jù)檢測樣本異常結(jié)果的數(shù)據(jù)來源確定多層次網(wǎng)絡(luò)結(jié)構(gòu)中網(wǎng)絡(luò)漏洞的基本位置，接著分別從多層次網(wǎng)絡(luò)結(jié)構(gòu)中的應(yīng)用層次和網(wǎng)絡(luò)層次分別定位入侵節(jié)點.其中應(yīng)用層次的入侵主要利用程序上的漏洞，而網(wǎng)絡(luò)層次上的入侵行為主要針對的是網(wǎng)絡(luò)協(xié)議本身的漏洞以及協(xié)議實現(xiàn)過程中存在的漏洞.因此可以通過判斷網(wǎng)絡(luò)安全入侵的類型來確定多層次網(wǎng)絡(luò)入侵節(jié)點的位置.綜合多層次網(wǎng)絡(luò)傳輸數(shù)據(jù)包、流量以及入侵節(jié)點等多個方面的檢測得出最終的檢測結(jié)果.

2 實驗驗證分析

2.1 實驗配置

在實驗啟動之前，需要對網(wǎng)絡(luò)中的服務(wù)器、PC機以及連接節(jié)點等硬件設(shè)施調(diào)試，保證搭建的多層次網(wǎng)絡(luò)可以正常運行.另外在實驗網(wǎng)絡(luò)中需要人工設(shè)置網(wǎng)絡(luò)漏洞的節(jié)點，方便檢測和控制.檢測主機硬件的設(shè)備名記為cete-48，IP設(shè)置為218.234.24.23，該設(shè)備的操作系統(tǒng)為Windows XP系統(tǒng)，端口信息為161，23，1 900，28 781.將檢測方法以程序代碼的形式輸入到cete-48設(shè)備當(dāng)中，設(shè)置常規(guī)數(shù)據(jù)為2 000組，共2 GB，異常數(shù)據(jù)為3組，共0.1 GB，最終的檢測結(jié)果也通過cete-48設(shè)備顯示器輸出.

2.2 網(wǎng)絡(luò)入侵攻擊程序生成

以設(shè)置的多層次網(wǎng)絡(luò)漏洞節(jié)點為切入點，生成網(wǎng)絡(luò)入侵程序，向多層次網(wǎng)絡(luò)發(fā)動入侵攻擊，網(wǎng)絡(luò)入侵攻擊程序的生成與實現(xiàn)過程如圖6所示.

圖6 網(wǎng)絡(luò)入侵過程Fig.6 Network intrusion process

為了保證實驗結(jié)果的可信度，實驗網(wǎng)絡(luò)結(jié)構(gòu)中的漏洞節(jié)點不唯一，且網(wǎng)絡(luò)入侵攻擊的入侵類型不唯一.將拒絕服務(wù)入侵攻擊記為DOS，遠程機器非法訪問入侵記為R2L，程序修改入侵記為U2R，信息竊取入侵記為Probing，而網(wǎng)絡(luò)正常運行記為Normal.

2.3 實驗結(jié)果分析

啟動電力系統(tǒng)多層次網(wǎng)絡(luò)，模擬實際運行環(huán)境相關(guān)數(shù)據(jù)的傳輸.在3 h后分別生成多條網(wǎng)絡(luò)入侵攻擊程序，入侵攻擊程序全部生成30 min后發(fā)動第一次入侵攻擊，接著利用隨機程序以不固定的時間間隔向網(wǎng)絡(luò)發(fā)動入侵攻擊，直至生成的網(wǎng)絡(luò)入侵攻擊程序終止.

為驗證所提方法的有效性，采用基于支持向量機的電力系統(tǒng)網(wǎng)絡(luò)安全入侵檢測方法作為對比方法，分別測試兩種方法的分類器檢測數(shù)據(jù)異常結(jié)果如圖7所示.

由圖7可知，在相同數(shù)據(jù)量下，基于支持向量機的電力系統(tǒng)網(wǎng)絡(luò)安全入侵檢測方法未檢測出異常數(shù)據(jù)，而所提方法檢測出3組異常數(shù)據(jù).由此證明，所提方法的分類器能準(zhǔn)確判斷數(shù)據(jù)異常.根據(jù)所提方法檢測出的3組異常數(shù)據(jù)，采用兩種算法同時對其進行位置標(biāo)定，所得結(jié)果如圖8所示.

圖7 分類器判斷數(shù)據(jù)異常結(jié)果對比Fig.7 Comparison results of abnormal data judged by classifiers

根據(jù)圖8可以看出，基于支持向量機的電力系統(tǒng)網(wǎng)絡(luò)安全入侵檢測方法不能標(biāo)定出異常數(shù)據(jù)在多層次網(wǎng)絡(luò)中的位置，而所提方法根據(jù)異常數(shù)

圖8 入侵數(shù)據(jù)位置標(biāo)定對比Fig.8 Comparison of location calibration of intrusion data

據(jù)信息的來源判斷出該異常信息來自數(shù)據(jù)訪問層和數(shù)據(jù)儲存層，證明所提方法能夠有效地標(biāo)定出分類器判斷的異常數(shù)據(jù)位置.

3 結(jié) 論

基于滲透測試的多層次電力系統(tǒng)網(wǎng)絡(luò)安全入侵檢測方法的設(shè)計與實現(xiàn)，解決了傳統(tǒng)檢測方法存在的問題，在提高入侵檢測準(zhǔn)確性的同時也加快了入侵檢測速度，為電力系統(tǒng)網(wǎng)絡(luò)安全入侵攻擊的防御提供充足的時間.然而經(jīng)過實驗對比與驗證發(fā)現(xiàn)，基于滲透測試的多層次網(wǎng)絡(luò)安全入侵檢測方法仍存在一定的誤測情況，在接下來的研究工作中需要針對該方面進一步研究.