基于行為的電力網(wǎng)絡安全事件聯(lián)動響應及協(xié)同處置方法

吳榮春， 張治兵， 蔣皓， 劉欣東

(中國信息通信研究院， 北京 100191)

0 引言

電力網(wǎng)絡安全運行是電力系統(tǒng)信息化管理的重難點[1-2]。網(wǎng)絡攻擊手段隨著網(wǎng)絡的高速發(fā)展逐漸增多[3]，電力系統(tǒng)所設置的眾多防御手段互相關聯(lián)較少，容易出現(xiàn)錯誤及遺漏情況，無法抵抗大規(guī)模復雜的攻擊行為。

應急處置協(xié)同技術能夠令電力網(wǎng)絡受到攻擊后快速恢復，受到眾多電力網(wǎng)絡安全研究學者的重視。文獻[4]闡述了計算機網(wǎng)絡安全的重要性，分析了電力系統(tǒng)計算網(wǎng)絡存在的風險，提出了有針對性的計算機網(wǎng)絡安全防護措施。文獻[5]提出一種基于URPF和精確ACL的協(xié)同處置方法，能全流程精確處置DRDoS型網(wǎng)絡攻擊。文獻[6]根據(jù)網(wǎng)絡系統(tǒng)全局狀態(tài)，選擇網(wǎng)絡安全感知所需的元素最佳組合來應對潛在攻擊，將應急協(xié)同處置動態(tài)化、實時化、主動化。

基于以上研究成果，本文提出基于行為的電力網(wǎng)絡安全事件聯(lián)動響應及協(xié)同處置方法，充分分析對電力網(wǎng)絡安全存在威脅的攻擊行為，針對所檢測的電力網(wǎng)絡攻擊行為實施聯(lián)動響應及協(xié)同處置，保障電力網(wǎng)絡安全運行。

1 基于行為的電力網(wǎng)絡安全事件聯(lián)動響應及協(xié)同處置

基于行為的電力網(wǎng)絡安全事件聯(lián)動響應及協(xié)同處置方法充分結合了主動防御與被動防御方法[7]。主動防御方法是指通過流量行為特征熵的DoS/DDoS攻擊檢測方法檢測電力網(wǎng)絡中存在的攻擊行為；被動防御方法是指通過聯(lián)動響應及協(xié)同處置保障電力網(wǎng)絡安全運行。

1.1 流量行為特征熵的DoS/DDoS攻擊檢測

利用基于流量行為特征信息熵的Dos/DDoS攻擊檢測方法，通常是獲取電力網(wǎng)絡中存在異常行為的具體IP地址，提取電力網(wǎng)絡中存在異常行為的流量信息，判斷異常是否為安全事件中的Dos攻擊行為和/或DDos攻擊行為。

提取電力網(wǎng)絡中所包含的字節(jié)數(shù)、源IP地址、包流量、目的端口號等流量行為特征。利用隨機過程表示不同時間段數(shù)據(jù)包的統(tǒng)計過程，利用信息熵獲取電力網(wǎng)絡中不同屬性的分散程度和集中程度。

統(tǒng)計不同時間段電力網(wǎng)絡的流量信息，定義固定時間段屬性信息熵公式如下：

(1)

式中，N與Pi分別表示電力網(wǎng)絡屬性內(nèi)全部可能的取值數(shù)量和隨機事件Pi的概率,i=1，2，3,…,n。

分析電力網(wǎng)絡中目的IP的信息熵，搜尋電力網(wǎng)絡流量行為特征信息和存在異常行為的時間。將粗粒度的電力網(wǎng)絡流量行為特征參數(shù)設置為信息熵。

異常行為時間輸入以及輸出的檢測。通過比較不同時間點的目的IP信息熵，信息熵高于已設定閾值時即為存在異常的時間點。

電力網(wǎng)絡中的DoS攻擊和DDoS攻擊通常以發(fā)送無效請求的方式占用電力網(wǎng)絡資源，導致電力網(wǎng)絡無法正常運行。

電力網(wǎng)絡中，服務率能夠體現(xiàn)IP節(jié)點的用戶請求是否無效，因此利用服務率搜尋存在攻擊行為的IP節(jié)點流量行為特征，服務率表達式如下：

Se(t)=ns(t)/nr(t)

(2)

式中，ns(t)與nr(t)分別表示時間為t時目的IP發(fā)送和接收的數(shù)據(jù)包數(shù)量。

IP節(jié)點服務率較低表示DoS和DDoS攻擊行為攻擊該IP節(jié)點的可能性較大。

電力網(wǎng)絡細粒度的流量特征行為結構圖如圖1所示。

圖1 細粒度流量特征行為

利用電力網(wǎng)絡細粒度的五個流量特征行為比較異常時間點的細粒度流量行為，精準定位電力網(wǎng)絡存在攻擊行為的安全事件目的IP位置。

定義細粒度流量行為特征參數(shù)的變化比率公式如下：

(3)

(4)

利用以上公式所獲取的特征參數(shù)變化比率評價流量行為特征參數(shù)。當流量行為特征參數(shù)在檢測過程中存在明顯提升或下降的趨勢，所獲取的參數(shù)變化比率高于所設定閾值時，判定該IP節(jié)點為異常IP。

依據(jù)異常時間點確定異常IP節(jié)點的流程如圖2所示。

圖2 異常IP節(jié)點檢測流程圖

依據(jù)圖2可知，檢測電力網(wǎng)絡異常IP節(jié)點主要流程如下：

(1) 依據(jù)大小排序檢測異常時間點相應的IP節(jié)點流量；

(2) 提取排名為前N的IP節(jié)點；

(3) 提取歷史時間窗內(nèi)不同時間點所獲取前N個目的IP節(jié)點的相應子流；

(4) 計算所提取子流的流量行為特征參數(shù)值，利用子流的流量行為特征參數(shù)值計算子流變化比率；

(5) 依據(jù)所獲取IP節(jié)點相應流量的行為特征參數(shù)值和變化比率，確定電力網(wǎng)絡中存在攻擊行為的異常IP節(jié)點。

1.2 聯(lián)動響應協(xié)同處置平臺

電力網(wǎng)絡安全事件聯(lián)動響應協(xié)同處置對所下達任務的可靠性、時間以及精度具有較高要求，協(xié)同處置的同時需改善帶寬利用率低的缺陷。

聯(lián)動響應協(xié)同處置平臺結構如圖3所示。

由圖3可以看出聯(lián)動響應協(xié)同處置應用了SOA架構。SOA架構中所包含的協(xié)同處置單元自組織性能優(yōu)越，滿足了用戶在不同協(xié)同處置單元的需求。

圖3 聯(lián)動響應協(xié)同處置結構圖

1.2.1 安全事件聯(lián)動響應

安全事件聯(lián)動響應需具備網(wǎng)絡安全策略聯(lián)合、功能統(tǒng)一及組織良好協(xié)作的功能，保障電力網(wǎng)絡快速解決攻擊行為。

安全事件聯(lián)動響應所包含機構如圖4所示。

圖4 安全事件聯(lián)動響應機構

聯(lián)動響應中應包含專家顧問、研發(fā)機構、應急響應、信息管理、行為跟蹤、信息聯(lián)絡6個機構的聯(lián)動。研發(fā)機構負責開發(fā)電力網(wǎng)絡安全相關工具和技術，同時測試網(wǎng)絡中所包含的漏洞；專家顧問負責提供網(wǎng)絡攻擊行為的解決策略；應急響應模塊負責應對攻擊行為；行為跟蹤模塊和信息管理模塊是聯(lián)動響應的核心，可實現(xiàn)安全信息的管理以及攻擊行為的報告與決策。信息聯(lián)絡和應急響應兩個模塊令聯(lián)動響應更加便捷。

1.2.2 協(xié)同決策

電力網(wǎng)絡協(xié)同處置過程中，通過專家顧問、研發(fā)機構、應急響應、信息管理、行為跟蹤、信息聯(lián)絡6個機構共同實現(xiàn)協(xié)同決策。協(xié)同決策結構如圖5所示。

圖5 協(xié)同決策結構圖

由圖5可以看出，協(xié)同決策由多媒體通道、智能代理、通信引擎組成。聯(lián)動響應協(xié)同處置平臺利用通信引擎通過書寫器、閱讀器等方式實現(xiàn)決策。閱讀器與書寫器分別在共享白板中展示攻擊行為的變化、知識源以及對于攻擊行為的執(zhí)行結果，眾多信息利用通信引擎實現(xiàn)信息傳送。通過眾多專家實現(xiàn)攻擊行為的協(xié)同決策，通過語音、文本等通信方式實現(xiàn)智能代理，專家可選取合適的通信方式協(xié)同處置。

1.2.3 基于Agent的安全交互

聯(lián)動響應協(xié)同處置平臺中共享數(shù)據(jù)庫的安全機制如圖6所示。

圖6 共享數(shù)據(jù)庫安全機制

圖6中，聯(lián)動響應協(xié)同處置平臺運行過程中，需調(diào)用加密服務、身份認證等安全措施，其中，協(xié)同決策人員通過協(xié)同處置的專家體系處置攻擊行為等事件前，通過協(xié)同處置單元的安全服務中心注冊賬號，獲取授權后參與處置任務，安全基礎設施以及密碼基礎設施分別提供授權管理、身份管理以及信息與數(shù)據(jù)傳輸?shù)募用艽胧Ｕ想娏W(wǎng)絡聯(lián)動響應協(xié)同處置過程中的服務為保密及安全狀態(tài)。

設置各協(xié)同處理單元均包含一個Agent，利用Agent加密及解密交互數(shù)據(jù)，僅設置一個開放端口于不同的協(xié)同處置單元，避免電力網(wǎng)絡中的防御單元受到攻擊。

2 實驗分析

為了驗證本文提出的基于行為的電力網(wǎng)絡安全事件聯(lián)動響應及協(xié)同處置方法的有效性，選取某電力公司的通信網(wǎng)絡作為實驗對象。

實驗過程如下：提取關鍵策略數(shù)據(jù)，并進行大數(shù)據(jù)解析和分析，展示安全域基礎架構；分析業(yè)務流程和組織職責，在安全域基礎架構圖上展示基于用戶角色和業(yè)務流向的可視化關鍵業(yè)務合規(guī)基線策略和違規(guī)策略預警機制；在各個區(qū)域部署網(wǎng)絡安全監(jiān)測裝置，結合告警信息和響應處置建議，快速實現(xiàn)響應處置；結合業(yè)務流程和運維機制，研究展示策略變更工作流，一旦運維人員提出變更請求，系統(tǒng)能夠自動分析出與其關聯(lián)的設備和策略，并進行影響分析。

統(tǒng)計該電力網(wǎng)絡于2020年2月13日運行24 h的隨機IP節(jié)點的信息熵結果，如圖7所示。

圖7 目的IP信息熵序列結果

由圖7可知，目的IP信息熵值在3.5～6.5之間，采用本文方法可有效獲取IP節(jié)點的信息熵，為精準監(jiān)測攻擊行為提供依據(jù)。將本文方法檢測攻擊行為結果與實際攻擊行為進行對比，對比結果如表1所示。

表1 攻擊檢測結果

從表1檢測結果可以看出，采用本文方法可有效檢測電力網(wǎng)絡中的攻擊行為，僅未檢測出1例DDoS攻擊行為，漏報率低至10%，誤報率低至0，驗證本文方法具有較高的攻擊行為檢測精度。

統(tǒng)計采用本文方法對于電力網(wǎng)絡安全事件聯(lián)動響應及協(xié)同處置結果，統(tǒng)計結果如表2所示。

表2 聯(lián)動響應及協(xié)同處置結果

表2實驗結果可以看出，采用本文方法可有效檢測電力網(wǎng)絡中存在的攻擊行為、攻擊事件和攻擊IP。本文方法采用聯(lián)動響應協(xié)同決策方法具有極快的響應速率，處置時間均低于600 ms，可快速解決電力網(wǎng)絡安全事件。

利用電力網(wǎng)絡誤碼率衡量電力網(wǎng)絡運行性能，統(tǒng)計該電力網(wǎng)絡采用本文方法前后的運行性能，統(tǒng)計結果如圖8所示。

圖8 電力網(wǎng)絡運行性能變化

圖8實驗結果可以看出，應用本文方法聯(lián)動響應及協(xié)同處置電力網(wǎng)絡安全事件后，電力網(wǎng)絡誤碼率降低明顯，說明本文方法可快速檢測電力網(wǎng)絡中存在的攻擊行為，提升了電力網(wǎng)絡的運行性能。

3 總結

本文研究基于行為的電力網(wǎng)絡安全事件聯(lián)動響應及協(xié)同處置方法，實現(xiàn)安全信息交換以及共享，屬于完整的網(wǎng)絡安全策略，具有較高的實用價值以及理論意義。將該研究方法應用于電力系統(tǒng)實際應用中極為重要，可提升電力網(wǎng)絡運行安全性。利用流量行為特征信息熵檢測電力網(wǎng)絡中所存在的攻擊行為，精準監(jiān)測網(wǎng)絡中存在攻擊行為的具體部位，針對檢測結果實現(xiàn)聯(lián)動響應以及協(xié)同處置，能使網(wǎng)絡快速恢復正常，提升電力網(wǎng)絡運行水平。