今日頭條
官方微信
官方抖音
資訊頻道電力行業作為關乎國計民生的重要基礎行業,也是技術、資金密集型行業,在注重信息 化建設的同時,對網絡安全工作也歷來高度重視。放眼全球,從伊朗到烏克蘭再到委內瑞拉,“電力戰”從未消失,網絡攻擊的破壞程度越來越大,能源系統的安全備受關注。
構建基于大數據的安全監測系統,利用大數據分析技術多維度分析系統的健康狀態、網絡流量等,依靠人工智能和神經元網絡科學評價網絡狀態,并形成狀態評價的自動學習、持續迭代以及自我完善的深度學習模型,對系統狀態進行判斷、預測、提示和預警,以協助維持生產網絡空間內部環境穩定、健康、可控、安全與運行平衡。
電力行業作為關系國計民生的重要基礎行業,也是技術、資金密集型行業,在注重信息化建設的同時,對網絡安全工作也歷來高度重視。2010年“震 網” (stuxnet )病毒的爆發,讓全球再一次明白,工業控制系統已成為黑客的主要目標。
隨后,“毒區” (duqu )和“火焰”(flame)病毒相繼出現,與“震 網”共同形成“網絡戰”攻擊群。2014年,功能更 為強大的Havex以不同工業領域為目標進行攻擊,至2016年已發展到88個變種。2015年底發生的烏 克蘭大面積停電事件,又一次為電力監控系統網絡安全拉響警報。
這些事例說明電力監控系統所面臨 的安全風險日益增大,直接威脅到電力系統的安全 穩定運行和電力可靠供應。針對工業網絡的攻擊,更多體現在敵對勢力或者是一種國家意志的行為,從APT到網絡空間戰,組合式的攻擊方式和以破壞基礎設施為目的的攻擊方式,已經成為工業網絡面臨的主要威脅。
鑒于電力行業的核心地位,國務院、 工信部以及南方電網等國家、行業監管部門,已經 在不同的場合下多次強調了工業控制系統網絡安全 的重要性,并且已經開始對工業系統網絡安全進行檢查和研究。
基于工業控制系統自身對實時性、穩定性以及 兼容性的要求,技術人員無法直接在生產環境進行攻防驗證。
鑒于上述情況,搭建基于大數據的電力安全監測系統,在模擬環境中進行工業控制系統漏洞挖掘、網絡協議分析、滲透測試以及威脅評估等試驗和研究,以檢驗電力工業控制系統網絡防護能力。
從技術上講,安全事件監視和態勢評估可以綜 合分析各個方面的安全要素,從整體上動態反映網 絡的安全狀況,評估的結果具有綜合性、多角度性和多粒度性等特。
通過安全事件監視和態勢評估,可以準確了解自身的網絡和各種應用系統以及管理制度規范的安全現狀,從而明晰安全需求。
通過確定主要安全風險,并選擇規避、降低、轉移以及接受等風險處置措施,然后有依據地制定網絡和系統的安全策略和安全解決方案,從而指導信息系 統安全技術體系與安全管理制度的建設。
電力安全監測系統建設
1.1建設目標
在原有自動化防護能力基礎上,利用大數據分析技術對系統運行狀況、網絡流量進行漏洞挖掘、 協議分析和威脅評估,并依靠人工智能和神經元算法對系統現狀做出科學評價閔形成深度學習模型,動態識別系統的風險點和威脅情況,建立預測預警, 有針對性地改善安全體系,最終達到有效監測、防御新型攻擊威脅的目的。
1.2建設方案
基于大數據的電力安全監測系統采用開放平臺架 構設計,遵循業界通行的應用接口和管理接口,實現 了模塊化裝配和靈活性部署,系統架構如圖1所示。
感知層:平臺支持多種數據源的接入,包括工控設備、物聯網設備(包括各類傳感器、攝像頭等) 和第三方數據接口接入等的海量數據信息。
接入層:平臺支持各類電力行業工業控制系統的數據接人包括變電站自動化系統、微機保護系統、 電力調度自動化系統和SCADA系統等數據信息。
大數據層:將采集的海量異構數據進行實時和離線分析,采用數據預處理、分布式存儲、關聯分析、 機器學習、統計分析以及數據挖掘等多種大數據分 析手段實現對異常、事件、資產的檢測與追蹤溯源。
監測層:將大數據識別分析的數據,通過平臺搭建的大數據模型進行綜合分析與評估,進而實現對電力行業各系統的合規檢查監管、量化安全威脅和風險、發現電網系統中潛在漏洞和隱患、攻擊溯源、預測未知攻擊及報警/預警等功能。
展現層:提供人機交互界面,向安全管理人員 呈現全方位工控及物聯網等安全態勢。
平臺功能設計
基于大數據的電力安全監測系統,通過漏洞挖 掘、協議分析、滲透測試以及威脅評估等技術手段, 實現對系統安全狀況的評估和風險識別。
一是工控網絡漏洞挖掘。采取端口掃描、模塊 特征探測以及漏洞庫指紋匹配等手段,快速定位目 標網絡服務系統潛在的脆弱點,形成漏洞分析結果。
二是工控網絡協議漏洞分析。構建可擴展的網絡協議漏洞分析平臺,對已知協議和未知協議開展遠程 模糊測試,挖掘網絡應用服務協議漏洞。
三是脆弱點識別。綜合利用靜態掃描、逆向還原以及模糊測試等手段對目標系統進行深度剖析,定位系統漏洞脆弱點。
四是威脅評估。以資產為主線,通過流量 分析綜合漏洞挖掘、協議漏洞分析以及滲透測試結果,準確識別電力監控系統安全風險。
五是監測結果融合展示。對檢測引擎檢測結果進行多維度、多層次展示,并支持結果信息去重、融合與關聯分析, 以直觀生動的方式呈現結果。
整個平臺包了5個子系統,即漏洞挖掘系統、工控協議漏洞分析系統、脆弱點分析系統、威脅評估系統和監測結果呈現系統。
2.1漏洞挖掘系統
漏洞挖掘檢測系統提供了最完整的工控安全漏洞庫和設備庫、最豐富全面的工控協議測試用例庫以及最先進的模糊測試引擎(覆蓋Modbus、 IEC104, IEC101, MMS、Profinet、S7、DNP3 以及 CAN總線等十幾種常見工控協議;針對私有未知協 議模式提供多種解決方案,如定制開發、培訓用戶 自開發和未知協議智能測試)。
通過漏洞庫與設備 庫的關聯驗證,自定義模糊測試等多種方式發現工 控設備中存在的已知安全漏洞和挖掘未知(零日)安全漏洞。
抓包重放及專業分析工具精確定位漏洞產生根源,梳理攻擊原理,在漏洞挖掘過程中進行數據包捕獲,使用漏洞分析工具分析捕獲的數據包。
根據數據包分析的結果,修改范圍和參數后進行針對性 測試,直至找到產生漏洞的真正根源,并在此基礎 上發現潛在漏洞的利用方式和評估漏洞風險等級。
根據漏洞根源分析的結果,本平臺提供了開發針對該漏洞的攻擊套件工具,以測試同類產品是否存在相同漏洞特征,同時也能開發針對性的保護策略,以抵御針對此漏洞的攻擊。由漏洞挖掘工具檢測出的系統或設備漏洞,可在開發后加入漏洞挖掘工具的漏洞庫,也能通過第三方導入的方式不斷完善漏洞庫,增加系統檢測能力。
2.2工控協議漏洞分析系統
運用模糊測試的原理,構建完整、可擴展的通信協議動態隨機分析測試框架,建設通信協議 健壯性檢測評估系統,通過設計變異測試用例并 構造變異報文,檢查通信協議實現的缺陷。
支持對 Ethernet, ARP、IP、ICMP、IGMP、UDP 以 及 TCP等網絡協議的檢測評估,并研發相應的檢測評 估工具;支持 ModbusTCP/IP、DNP3.0、EtherNet/ IP-CIP, Foudation Fieldbus, IEC104、IEC61850、 MMS、PROFINET以及OPC UA等常用工業控制協議的檢測評估,并研發相應的檢測評估工具;
支持多目標(如文件、網絡協議等)、多種協議(如 Modbus TCP、DNP3等不同類型的協議)以及多線 程(加速測試進度);研發對未知協議的靈活開放 的測評接口,支持私有協議的檢測評估。
2.3脆弱點分析系統
綜合利用靜態掃描、逆向還原以及模糊測試等 手段(包括OWASP、CVE在內的信息化漏洞、工業控制漏洞類型,對被測系統進行靜態掃描,將匹配后的結果呈現報告。
通過逆向還原發現被測系統 組建、架構以及業務邏輯的脆弱點;
通過Fuzz技術遍歷所有可能的數據對程序進行測試,在測試過程中記錄程序執行的狀態,篩選出可能出bug的數據并記錄,供人繼續分析)對應用服務程序文件進行深度剖析,定位應用服務漏洞脆弱點,即在已經獲取應用程序全部或部分程序模塊的基礎上,對應用程序進行脆弱性分析。
2.4威脅評估系統
威脅評估平臺擁有威脅分析、資產分析和流量 分析3大功能模塊,可以從管理規范和技術要求等方面滿足所有工控環境下的風險評估要求。
平臺支持近70種工控和IT協議,能夠安全準確地識別工 控網絡中的各類工業控制系統、設備、軟件以及其 他運行中的IT服務器、數據庫和網絡設備,智能生成網絡拓撲,結合專業的工控漏洞庫、設備庫、 病毒特征庫和全網威脅評分系統,清晰定義各類設備和整體網絡的安全風險,并在評估報告中進行詳細的漏洞分析,提供可操作的威脅整改建議,從可視化和專業化的角度幫助用戶認識當前工控網絡所符合的安全等級和需要整改的部分。
主要功能如下。
項目向導:通過項目為向導,可以合理清晰地幫助用戶構建一個完整的工業現場風險評估項目。
威脅分析:威脅評估平臺基于國際和國家標準, 同時結合行業標準,形成了多套具備嚴格理論依據 的評估標準,如調度系統、智能變電站系統、配網系統以及電廠系統等評估標準和流程。基于標準評 估問卷的結果,采用威脅評分算法進行智能評分, 最終得出威脅分析的整體評估結果。
資產分析:資產分析中資產信息可通過自動設 備識別和手動資產錄入協同完成,平臺將對資產信息進行安全性分析,得出詳細的漏洞信息、評分以 及相應的安全解決方案。
流量分析:針對工業控制網絡日新月異的攻擊 手段和入侵方式,建立完善的特征匹配庫,涵蓋專門針對工業控制系統的木馬、蠕蟲、病毒、滲透攻 擊以及拒絕服務等全面信息,通過在線監測和離線 分析的多重手段,對工業控制系統實施流量分析, 得出網絡中潛在的安全隱患。
工業漏洞庫:威脅評估平臺中包含行業領先的 工業控制設備漏洞庫,涵蓋了各大主流工控設備生產廠商的設備和協議,囊括了已經公布的漏洞和由網絡測試產品所挖掘到的設備和協議未知漏洞。
威脅評分:威脅評分系統將引入強大的智能威脅分析引擎,支持全方位的智能評分,包括管理制 度、業務流程、網絡結構、資產信息和通信數據等。
報告系統:威脅評估平臺基于風險評估的流程 進行設計,自動生成報告模板。
2.5威脅信息呈現系統
以資產為主線利用大數據分析技術,對漏洞信 息和威脅信息進行數據處理和關聯分析,對安全威 脅進行綜合分析呈現、告警和威脅態勢,展示截圖如圖2、圖3所示。
平臺通過采用分布式網絡空間設備探測技術、 多維度的工控協議識別等,實現自動釆集、識別工 業控制系統的漏洞與潛在威脅的能力。
平臺通過大數據建模分析與核心知識庫進行風險評估、態勢感知,預防設備潛在風險的發生。
平臺能夠隨數據以及應用壓力增長自動實現彈 性伸縮,同時可以滿足未來跨數據中心進行數據存儲與分析計算。
平臺能夠感知工控聯網設備的安全態勢,精確定位全網脆弱節點并進行威脅評估。
核心技術研究
本文研究的核心技術包括大數據技術、數據融合技術、威脅數據融合技術和流量包威脅檢測技術。
3.1大數據技術
大數據技術是支撐系統高效運行的前提,是關聯分析、挖掘脆弱點以及發現識別隱藏漏洞的關鍵。大數據技術是使用一系列非傳統工具對海量結構化和非結構化數據進行處理,從而獲得分析和預測結 果的數據處理和分析技術。
從數據分析流程的角度,可以把大數據技術分為以下幾個層面。
數據采集與預處理:利用ETL工具將分布的異構數據中的數據,如關系數據、平面數據文件等抽取到臨時中間層后進行清洗、轉換和集成,最后加載到數據倉庫或者數據集市中,成為聯機分析處理 和數據挖掘的基礎;可以利用日志采集工具把實時 釆集的數據作為流計算系統的輸入,進行實時處理 分析。
數據存儲與管理:利用分布式文件系統、數據 倉庫、關系數據庫和NoSQL數據庫等,實現對結 構化數據和非結構化數據的處理和分析。
數據處理與分析:利用分布式并行編程模型和 計算框架,結合機器學習和數據挖掘算法,實現對海量數據的處理和分析。
數據可視化呈現:采用可視化工具,對數據分 析結果進行可視化呈現,幫助用戶更好地理解數據和分析數據。
3.2數據融合
數據融合技術能有效融合所獲得的多源數據, 充分利用其冗余性和互補性,在多個數據源之間進行取長補短,從而為漏洞挖掘與分析系統的識別、挖掘以及驗證漏洞做保障,以便更準確地識別、挖 掘、分析和驗證漏洞信息,也是檢測結果數據提取 精確呈現的核心技術。
3.2.1數據融合的層次分類
數據融合作為多級別、多層次的數據處理,經過對原始數據的融合操作,使得通過數據分析而得的結論更加準確與可靠。系統采取數據融合技術貫 穿數據級融合、特征級融合和決策級融合。在整個系統架構上是貫穿數據采集層、漏洞挖掘與分析層 和結果呈現層,既減輕了存儲的壓力,又提高了檢測效果。
3.2.2數據融合關鍵算法
系統除了采用基于模型和基于概率的方法(如加權平均法、卡爾曼濾波法、貝葉斯推理、小波分析以及經典概率等),還融入了現代方法,如邏輯推理和機器學習的人工智能方法(如聚類分析法、粗糙集、模糊理論以及進化法等)。
3.3海量數據內容識別與威脅檢測
3.3.1基于端口的識別方法
大部分網絡應用的常用傳輸層端口號是固定 的,因此根據端口號識別網絡應用是最簡單的一類方法。
IANA主要將端口劃分為3類。
熟知端口號:端口號的范圍是0 ~ 1 023,該類端口由IANA進行統一分配。
注冊端口號:端口號的范圍是1 024 ~ 49 151,主機中的用戶級進程可以隨意使用 這些端口號進行數據傳輸。
動態端口號:端口號的范圍是49 152 - 65 535, IANA沒有對這類端口進行分配,網 絡應用可以任意使用這類端口。
由于通過端口號解析的方法識別速度快、開銷 小,因而獲得了廣泛應用。但是,這種方法的識別準確率不高,因為很多應用軟件使用隨即生成的端口進行通信,不容易進行識別。
相關研究表明,通 過IANA分配的端口號對網絡流量進行識別,有近約31%的字節流量(29%的數據包)不能被準確識別出來。
3.3.2流量統計特征識別
基于流量統計特征的識別方法利用計算機網 絡協議規范的差異導致的流量屬性的不同識別網絡 協議。Moore等人首先對已經打好標簽的網絡流量 數據集進行學習,然后按照高斯分布的特性對網絡 流量屬性進行綜合評估。
首先根據網絡流量特性對數據包到達時間間隔、數據包平均長度和數據包持續時間等進行特征選擇。
其次使用EM算法計算每個數據包屬于某一類的類別概率。該種方法適合在訓練數據集不足的情況下對網絡流量進行模糊聚類。給出一個流量分類器框架,分類過程由基于統 計特性的機器學習完成,并在此基礎上給出一種特征選擇方法,有利于降低分類的復雜度,提高分類精度。
通過對多種聚類算法進行比較,評估各種聚類算法在計算機網絡流量分類中的性能。
3.3.3基于DPI的流量分析技術
基于DPI流量檢測技術,可以利用數據報文中 的“指紋”(如特定端口、特定的字符或特定的位 序列)信息的檢測確定所承載業務的應用狀況和實現對新協議的檢測,可以基于對攻擊者已經實施的行為分析判斷攻擊者正在進行的動作或即將實施的動作。
3.3.4基于DFI的流量分析技術
DFI是DPI在持續改善中衍生出來的檢測技術, 可用于網絡安全數據采集和檢測。DFI主要分為3 部分:流特征選擇、流特征提取和分類器分析。在 深度流檢測中,對會話流進行識別,提取流特征, 然后經由分類器進行分析。
如果判斷為異常數據, 則可采取相應的處理行為;如果判斷為可疑流量, 則可結合其他方法如上下行流量對稱法、時間跨度 衡量法或行為鏈關聯法等進行延遲監控判別。
3.4協議分析
協議分析是利用網絡協議的高度規則性快速探測是否存在攻擊,通過辨別數據包的協議類型,以便使用相應的數據分析程序檢測數據包。它將所有協議構成一棵協議樹(二叉樹),如圖4所示。
某個特定協議是該樹結構中的一個節點,對網絡數據 包的分析是一條從根到某個葉節點的路徑。只要在程序中動態維護和配置這個樹結構,就能實現靈活 的協議分析功能。
協議樹分析技術的主要優勢在于采用命令解析器(在不同的協議層次上)對每個用戶命令做出詳細分析,如果出現IP碎片,可以對數據包進行重裝還原再分析。協議分析將降低檢測中出現的誤報現象,可以確保一個特征串的實際意義被真正理解, 且基于協議分析的監測平臺在高速網絡環境下不會造成性能衰減。
結語
通過研制基于大數據的電力安全監測系統, 建設公司電力監控系統自身檢測與攻擊行為監測能力,提高基于泛在電力物聯網應用落地、融通發展 環境下安全監測與感知能力,對未來新技術應用拓 展提供了安全保障。
一是對自身網絡和各種應用系 統的脆弱性進行透析和驗證,識別安全狀況,對系統策略管理、運維管理提供技術依據,同時驗證考 核安全管理制度規范的落實情況;
二是通過威脅分析感知外部攻擊行為,對原有的防御決策提供補充;
三是通過對基于大數據的電力安全監測系統的研究,提升工控安全威脅檢測能力、漏洞識別與驗證能力,為工控網絡安全人員培訓提供技術環境。
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號