今日頭條
官方微信
官方抖音
資訊頻道電力行業(yè)作為關(guān)乎國計民生的重要基礎(chǔ)行業(yè),也是技術(shù)、資金密集型行業(yè),在注重信息 化建設(shè)的同時,對網(wǎng)絡(luò)安全工作也歷來高度重視。放眼全球,從伊朗到烏克蘭再到委內(nèi)瑞拉,“電力戰(zhàn)”從未消失,網(wǎng)絡(luò)攻擊的破壞程度越來越大,能源系統(tǒng)的安全備受關(guān)注。
構(gòu)建基于大數(shù)據(jù)的安全監(jiān)測系統(tǒng),利用大數(shù)據(jù)分析技術(shù)多維度分析系統(tǒng)的健康狀態(tài)、網(wǎng)絡(luò)流量等,依靠人工智能和神經(jīng)元網(wǎng)絡(luò)科學(xué)評價網(wǎng)絡(luò)狀態(tài),并形成狀態(tài)評價的自動學(xué)習(xí)、持續(xù)迭代以及自我完善的深度學(xué)習(xí)模型,對系統(tǒng)狀態(tài)進行判斷、預(yù)測、提示和預(yù)警,以協(xié)助維持生產(chǎn)網(wǎng)絡(luò)空間內(nèi)部環(huán)境穩(wěn)定、健康、可控、安全與運行平衡。
電力行業(yè)作為關(guān)系國計民生的重要基礎(chǔ)行業(yè),也是技術(shù)、資金密集型行業(yè),在注重信息化建設(shè)的同時,對網(wǎng)絡(luò)安全工作也歷來高度重視。2010年“震 網(wǎng)” (stuxnet )病毒的爆發(fā),讓全球再一次明白,工業(yè)控制系統(tǒng)已成為黑客的主要目標。
隨后,“毒區(qū)” (duqu )和“火焰”(flame)病毒相繼出現(xiàn),與“震 網(wǎng)”共同形成“網(wǎng)絡(luò)戰(zhàn)”攻擊群。2014年,功能更 為強大的Havex以不同工業(yè)領(lǐng)域為目標進行攻擊,至2016年已發(fā)展到88個變種。2015年底發(fā)生的烏 克蘭大面積停電事件,又一次為電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全拉響警報。
這些事例說明電力監(jiān)控系統(tǒng)所面臨 的安全風險日益增大,直接威脅到電力系統(tǒng)的安全 穩(wěn)定運行和電力可靠供應(yīng)。針對工業(yè)網(wǎng)絡(luò)的攻擊,更多體現(xiàn)在敵對勢力或者是一種國家意志的行為,從APT到網(wǎng)絡(luò)空間戰(zhàn),組合式的攻擊方式和以破壞基礎(chǔ)設(shè)施為目的的攻擊方式,已經(jīng)成為工業(yè)網(wǎng)絡(luò)面臨的主要威脅。
鑒于電力行業(yè)的核心地位,國務(wù)院、 工信部以及南方電網(wǎng)等國家、行業(yè)監(jiān)管部門,已經(jīng) 在不同的場合下多次強調(diào)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全 的重要性,并且已經(jīng)開始對工業(yè)系統(tǒng)網(wǎng)絡(luò)安全進行檢查和研究。
基于工業(yè)控制系統(tǒng)自身對實時性、穩(wěn)定性以及 兼容性的要求,技術(shù)人員無法直接在生產(chǎn)環(huán)境進行攻防驗證。
鑒于上述情況,搭建基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng),在模擬環(huán)境中進行工業(yè)控制系統(tǒng)漏洞挖掘、網(wǎng)絡(luò)協(xié)議分析、滲透測試以及威脅評估等試驗和研究,以檢驗電力工業(yè)控制系統(tǒng)網(wǎng)絡(luò)防護能力。
從技術(shù)上講,安全事件監(jiān)視和態(tài)勢評估可以綜 合分析各個方面的安全要素,從整體上動態(tài)反映網(wǎng) 絡(luò)的安全狀況,評估的結(jié)果具有綜合性、多角度性和多粒度性等特。
通過安全事件監(jiān)視和態(tài)勢評估,可以準確了解自身的網(wǎng)絡(luò)和各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀,從而明晰安全需求。
通過確定主要安全風險,并選擇規(guī)避、降低、轉(zhuǎn)移以及接受等風險處置措施,然后有依據(jù)地制定網(wǎng)絡(luò)和系統(tǒng)的安全策略和安全解決方案,從而指導(dǎo)信息系 統(tǒng)安全技術(shù)體系與安全管理制度的建設(shè)。
電力安全監(jiān)測系統(tǒng)建設(shè)
1.1建設(shè)目標
在原有自動化防護能力基礎(chǔ)上,利用大數(shù)據(jù)分析技術(shù)對系統(tǒng)運行狀況、網(wǎng)絡(luò)流量進行漏洞挖掘、 協(xié)議分析和威脅評估,并依靠人工智能和神經(jīng)元算法對系統(tǒng)現(xiàn)狀做出科學(xué)評價閔形成深度學(xué)習(xí)模型,動態(tài)識別系統(tǒng)的風險點和威脅情況,建立預(yù)測預(yù)警, 有針對性地改善安全體系,最終達到有效監(jiān)測、防御新型攻擊威脅的目的。
1.2建設(shè)方案
基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)采用開放平臺架 構(gòu)設(shè)計,遵循業(yè)界通行的應(yīng)用接口和管理接口,實現(xiàn) 了模塊化裝配和靈活性部署,系統(tǒng)架構(gòu)如圖1所示。
感知層:平臺支持多種數(shù)據(jù)源的接入,包括工控設(shè)備、物聯(lián)網(wǎng)設(shè)備(包括各類傳感器、攝像頭等) 和第三方數(shù)據(jù)接口接入等的海量數(shù)據(jù)信息。
接入層:平臺支持各類電力行業(yè)工業(yè)控制系統(tǒng)的數(shù)據(jù)接人包括變電站自動化系統(tǒng)、微機保護系統(tǒng)、 電力調(diào)度自動化系統(tǒng)和SCADA系統(tǒng)等數(shù)據(jù)信息。
大數(shù)據(jù)層:將采集的海量異構(gòu)數(shù)據(jù)進行實時和離線分析,采用數(shù)據(jù)預(yù)處理、分布式存儲、關(guān)聯(lián)分析、 機器學(xué)習(xí)、統(tǒng)計分析以及數(shù)據(jù)挖掘等多種大數(shù)據(jù)分 析手段實現(xiàn)對異常、事件、資產(chǎn)的檢測與追蹤溯源。
監(jiān)測層:將大數(shù)據(jù)識別分析的數(shù)據(jù),通過平臺搭建的大數(shù)據(jù)模型進行綜合分析與評估,進而實現(xiàn)對電力行業(yè)各系統(tǒng)的合規(guī)檢查監(jiān)管、量化安全威脅和風險、發(fā)現(xiàn)電網(wǎng)系統(tǒng)中潛在漏洞和隱患、攻擊溯源、預(yù)測未知攻擊及報警/預(yù)警等功能。
展現(xiàn)層:提供人機交互界面,向安全管理人員 呈現(xiàn)全方位工控及物聯(lián)網(wǎng)等安全態(tài)勢。
平臺功能設(shè)計
基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng),通過漏洞挖 掘、協(xié)議分析、滲透測試以及威脅評估等技術(shù)手段, 實現(xiàn)對系統(tǒng)安全狀況的評估和風險識別。
一是工控網(wǎng)絡(luò)漏洞挖掘。采取端口掃描、模塊 特征探測以及漏洞庫指紋匹配等手段,快速定位目 標網(wǎng)絡(luò)服務(wù)系統(tǒng)潛在的脆弱點,形成漏洞分析結(jié)果。
二是工控網(wǎng)絡(luò)協(xié)議漏洞分析。構(gòu)建可擴展的網(wǎng)絡(luò)協(xié)議漏洞分析平臺,對已知協(xié)議和未知協(xié)議開展遠程 模糊測試,挖掘網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議漏洞。
三是脆弱點識別。綜合利用靜態(tài)掃描、逆向還原以及模糊測試等手段對目標系統(tǒng)進行深度剖析,定位系統(tǒng)漏洞脆弱點。
四是威脅評估。以資產(chǎn)為主線,通過流量 分析綜合漏洞挖掘、協(xié)議漏洞分析以及滲透測試結(jié)果,準確識別電力監(jiān)控系統(tǒng)安全風險。
五是監(jiān)測結(jié)果融合展示。對檢測引擎檢測結(jié)果進行多維度、多層次展示,并支持結(jié)果信息去重、融合與關(guān)聯(lián)分析, 以直觀生動的方式呈現(xiàn)結(jié)果。
整個平臺包了5個子系統(tǒng),即漏洞挖掘系統(tǒng)、工控協(xié)議漏洞分析系統(tǒng)、脆弱點分析系統(tǒng)、威脅評估系統(tǒng)和監(jiān)測結(jié)果呈現(xiàn)系統(tǒng)。
2.1漏洞挖掘系統(tǒng)
漏洞挖掘檢測系統(tǒng)提供了最完整的工控安全漏洞庫和設(shè)備庫、最豐富全面的工控協(xié)議測試用例庫以及最先進的模糊測試引擎(覆蓋Modbus、 IEC104, IEC101, MMS、Profinet、S7、DNP3 以及 CAN總線等十幾種常見工控協(xié)議;針對私有未知協(xié) 議模式提供多種解決方案,如定制開發(fā)、培訓(xùn)用戶 自開發(fā)和未知協(xié)議智能測試)。
通過漏洞庫與設(shè)備 庫的關(guān)聯(lián)驗證,自定義模糊測試等多種方式發(fā)現(xiàn)工 控設(shè)備中存在的已知安全漏洞和挖掘未知(零日)安全漏洞。
抓包重放及專業(yè)分析工具精確定位漏洞產(chǎn)生根源,梳理攻擊原理,在漏洞挖掘過程中進行數(shù)據(jù)包捕獲,使用漏洞分析工具分析捕獲的數(shù)據(jù)包。
根據(jù)數(shù)據(jù)包分析的結(jié)果,修改范圍和參數(shù)后進行針對性 測試,直至找到產(chǎn)生漏洞的真正根源,并在此基礎(chǔ) 上發(fā)現(xiàn)潛在漏洞的利用方式和評估漏洞風險等級。
根據(jù)漏洞根源分析的結(jié)果,本平臺提供了開發(fā)針對該漏洞的攻擊套件工具,以測試同類產(chǎn)品是否存在相同漏洞特征,同時也能開發(fā)針對性的保護策略,以抵御針對此漏洞的攻擊。由漏洞挖掘工具檢測出的系統(tǒng)或設(shè)備漏洞,可在開發(fā)后加入漏洞挖掘工具的漏洞庫,也能通過第三方導(dǎo)入的方式不斷完善漏洞庫,增加系統(tǒng)檢測能力。
2.2工控協(xié)議漏洞分析系統(tǒng)
運用模糊測試的原理,構(gòu)建完整、可擴展的通信協(xié)議動態(tài)隨機分析測試框架,建設(shè)通信協(xié)議 健壯性檢測評估系統(tǒng),通過設(shè)計變異測試用例并 構(gòu)造變異報文,檢查通信協(xié)議實現(xiàn)的缺陷。
支持對 Ethernet, ARP、IP、ICMP、IGMP、UDP 以 及 TCP等網(wǎng)絡(luò)協(xié)議的檢測評估,并研發(fā)相應(yīng)的檢測評 估工具;支持 ModbusTCP/IP、DNP3.0、EtherNet/ IP-CIP, Foudation Fieldbus, IEC104、IEC61850、 MMS、PROFINET以及OPC UA等常用工業(yè)控制協(xié)議的檢測評估,并研發(fā)相應(yīng)的檢測評估工具;
支持多目標(如文件、網(wǎng)絡(luò)協(xié)議等)、多種協(xié)議(如 Modbus TCP、DNP3等不同類型的協(xié)議)以及多線 程(加速測試進度);研發(fā)對未知協(xié)議的靈活開放 的測評接口,支持私有協(xié)議的檢測評估。
2.3脆弱點分析系統(tǒng)
綜合利用靜態(tài)掃描、逆向還原以及模糊測試等 手段(包括OWASP、CVE在內(nèi)的信息化漏洞、工業(yè)控制漏洞類型,對被測系統(tǒng)進行靜態(tài)掃描,將匹配后的結(jié)果呈現(xiàn)報告。
通過逆向還原發(fā)現(xiàn)被測系統(tǒng) 組建、架構(gòu)以及業(yè)務(wù)邏輯的脆弱點;
通過Fuzz技術(shù)遍歷所有可能的數(shù)據(jù)對程序進行測試,在測試過程中記錄程序執(zhí)行的狀態(tài),篩選出可能出bug的數(shù)據(jù)并記錄,供人繼續(xù)分析)對應(yīng)用服務(wù)程序文件進行深度剖析,定位應(yīng)用服務(wù)漏洞脆弱點,即在已經(jīng)獲取應(yīng)用程序全部或部分程序模塊的基礎(chǔ)上,對應(yīng)用程序進行脆弱性分析。
2.4威脅評估系統(tǒng)
威脅評估平臺擁有威脅分析、資產(chǎn)分析和流量 分析3大功能模塊,可以從管理規(guī)范和技術(shù)要求等方面滿足所有工控環(huán)境下的風險評估要求。
平臺支持近70種工控和IT協(xié)議,能夠安全準確地識別工 控網(wǎng)絡(luò)中的各類工業(yè)控制系統(tǒng)、設(shè)備、軟件以及其 他運行中的IT服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備,智能生成網(wǎng)絡(luò)拓撲,結(jié)合專業(yè)的工控漏洞庫、設(shè)備庫、 病毒特征庫和全網(wǎng)威脅評分系統(tǒng),清晰定義各類設(shè)備和整體網(wǎng)絡(luò)的安全風險,并在評估報告中進行詳細的漏洞分析,提供可操作的威脅整改建議,從可視化和專業(yè)化的角度幫助用戶認識當前工控網(wǎng)絡(luò)所符合的安全等級和需要整改的部分。
主要功能如下。
項目向?qū)В和ㄟ^項目為向?qū)В梢院侠砬逦貛椭脩魳?gòu)建一個完整的工業(yè)現(xiàn)場風險評估項目。
威脅分析:威脅評估平臺基于國際和國家標準, 同時結(jié)合行業(yè)標準,形成了多套具備嚴格理論依據(jù) 的評估標準,如調(diào)度系統(tǒng)、智能變電站系統(tǒng)、配網(wǎng)系統(tǒng)以及電廠系統(tǒng)等評估標準和流程。基于標準評 估問卷的結(jié)果,采用威脅評分算法進行智能評分, 最終得出威脅分析的整體評估結(jié)果。
資產(chǎn)分析:資產(chǎn)分析中資產(chǎn)信息可通過自動設(shè) 備識別和手動資產(chǎn)錄入?yún)f(xié)同完成,平臺將對資產(chǎn)信息進行安全性分析,得出詳細的漏洞信息、評分以 及相應(yīng)的安全解決方案。
流量分析:針對工業(yè)控制網(wǎng)絡(luò)日新月異的攻擊 手段和入侵方式,建立完善的特征匹配庫,涵蓋專門針對工業(yè)控制系統(tǒng)的木馬、蠕蟲、病毒、滲透攻 擊以及拒絕服務(wù)等全面信息,通過在線監(jiān)測和離線 分析的多重手段,對工業(yè)控制系統(tǒng)實施流量分析, 得出網(wǎng)絡(luò)中潛在的安全隱患。
工業(yè)漏洞庫:威脅評估平臺中包含行業(yè)領(lǐng)先的 工業(yè)控制設(shè)備漏洞庫,涵蓋了各大主流工控設(shè)備生產(chǎn)廠商的設(shè)備和協(xié)議,囊括了已經(jīng)公布的漏洞和由網(wǎng)絡(luò)測試產(chǎn)品所挖掘到的設(shè)備和協(xié)議未知漏洞。
威脅評分:威脅評分系統(tǒng)將引入強大的智能威脅分析引擎,支持全方位的智能評分,包括管理制 度、業(yè)務(wù)流程、網(wǎng)絡(luò)結(jié)構(gòu)、資產(chǎn)信息和通信數(shù)據(jù)等。
報告系統(tǒng):威脅評估平臺基于風險評估的流程 進行設(shè)計,自動生成報告模板。
2.5威脅信息呈現(xiàn)系統(tǒng)
以資產(chǎn)為主線利用大數(shù)據(jù)分析技術(shù),對漏洞信 息和威脅信息進行數(shù)據(jù)處理和關(guān)聯(lián)分析,對安全威 脅進行綜合分析呈現(xiàn)、告警和威脅態(tài)勢,展示截圖如圖2、圖3所示。
平臺通過采用分布式網(wǎng)絡(luò)空間設(shè)備探測技術(shù)、 多維度的工控協(xié)議識別等,實現(xiàn)自動釆集、識別工 業(yè)控制系統(tǒng)的漏洞與潛在威脅的能力。
平臺通過大數(shù)據(jù)建模分析與核心知識庫進行風險評估、態(tài)勢感知,預(yù)防設(shè)備潛在風險的發(fā)生。
平臺能夠隨數(shù)據(jù)以及應(yīng)用壓力增長自動實現(xiàn)彈 性伸縮,同時可以滿足未來跨數(shù)據(jù)中心進行數(shù)據(jù)存儲與分析計算。
平臺能夠感知工控聯(lián)網(wǎng)設(shè)備的安全態(tài)勢,精確定位全網(wǎng)脆弱節(jié)點并進行威脅評估。
核心技術(shù)研究
本文研究的核心技術(shù)包括大數(shù)據(jù)技術(shù)、數(shù)據(jù)融合技術(shù)、威脅數(shù)據(jù)融合技術(shù)和流量包威脅檢測技術(shù)。
3.1大數(shù)據(jù)技術(shù)
大數(shù)據(jù)技術(shù)是支撐系統(tǒng)高效運行的前提,是關(guān)聯(lián)分析、挖掘脆弱點以及發(fā)現(xiàn)識別隱藏漏洞的關(guān)鍵。大數(shù)據(jù)技術(shù)是使用一系列非傳統(tǒng)工具對海量結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)進行處理,從而獲得分析和預(yù)測結(jié) 果的數(shù)據(jù)處理和分析技術(shù)。
從數(shù)據(jù)分析流程的角度,可以把大數(shù)據(jù)技術(shù)分為以下幾個層面。
數(shù)據(jù)采集與預(yù)處理:利用ETL工具將分布的異構(gòu)數(shù)據(jù)中的數(shù)據(jù),如關(guān)系數(shù)據(jù)、平面數(shù)據(jù)文件等抽取到臨時中間層后進行清洗、轉(zhuǎn)換和集成,最后加載到數(shù)據(jù)倉庫或者數(shù)據(jù)集市中,成為聯(lián)機分析處理 和數(shù)據(jù)挖掘的基礎(chǔ);可以利用日志采集工具把實時 釆集的數(shù)據(jù)作為流計算系統(tǒng)的輸入,進行實時處理 分析。
數(shù)據(jù)存儲與管理:利用分布式文件系統(tǒng)、數(shù)據(jù) 倉庫、關(guān)系數(shù)據(jù)庫和NoSQL數(shù)據(jù)庫等,實現(xiàn)對結(jié) 構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的處理和分析。
數(shù)據(jù)處理與分析:利用分布式并行編程模型和 計算框架,結(jié)合機器學(xué)習(xí)和數(shù)據(jù)挖掘算法,實現(xiàn)對海量數(shù)據(jù)的處理和分析。
數(shù)據(jù)可視化呈現(xiàn):采用可視化工具,對數(shù)據(jù)分 析結(jié)果進行可視化呈現(xiàn),幫助用戶更好地理解數(shù)據(jù)和分析數(shù)據(jù)。
3.2數(shù)據(jù)融合
數(shù)據(jù)融合技術(shù)能有效融合所獲得的多源數(shù)據(jù), 充分利用其冗余性和互補性,在多個數(shù)據(jù)源之間進行取長補短,從而為漏洞挖掘與分析系統(tǒng)的識別、挖掘以及驗證漏洞做保障,以便更準確地識別、挖 掘、分析和驗證漏洞信息,也是檢測結(jié)果數(shù)據(jù)提取 精確呈現(xiàn)的核心技術(shù)。
3.2.1數(shù)據(jù)融合的層次分類
數(shù)據(jù)融合作為多級別、多層次的數(shù)據(jù)處理,經(jīng)過對原始數(shù)據(jù)的融合操作,使得通過數(shù)據(jù)分析而得的結(jié)論更加準確與可靠。系統(tǒng)采取數(shù)據(jù)融合技術(shù)貫 穿數(shù)據(jù)級融合、特征級融合和決策級融合。在整個系統(tǒng)架構(gòu)上是貫穿數(shù)據(jù)采集層、漏洞挖掘與分析層 和結(jié)果呈現(xiàn)層,既減輕了存儲的壓力,又提高了檢測效果。
3.2.2數(shù)據(jù)融合關(guān)鍵算法
系統(tǒng)除了采用基于模型和基于概率的方法(如加權(quán)平均法、卡爾曼濾波法、貝葉斯推理、小波分析以及經(jīng)典概率等),還融入了現(xiàn)代方法,如邏輯推理和機器學(xué)習(xí)的人工智能方法(如聚類分析法、粗糙集、模糊理論以及進化法等)。
3.3海量數(shù)據(jù)內(nèi)容識別與威脅檢測
3.3.1基于端口的識別方法
大部分網(wǎng)絡(luò)應(yīng)用的常用傳輸層端口號是固定 的,因此根據(jù)端口號識別網(wǎng)絡(luò)應(yīng)用是最簡單的一類方法。
IANA主要將端口劃分為3類。
熟知端口號:端口號的范圍是0 ~ 1 023,該類端口由IANA進行統(tǒng)一分配。
注冊端口號:端口號的范圍是1 024 ~ 49 151,主機中的用戶級進程可以隨意使用 這些端口號進行數(shù)據(jù)傳輸。
動態(tài)端口號:端口號的范圍是49 152 - 65 535, IANA沒有對這類端口進行分配,網(wǎng) 絡(luò)應(yīng)用可以任意使用這類端口。
由于通過端口號解析的方法識別速度快、開銷 小,因而獲得了廣泛應(yīng)用。但是,這種方法的識別準確率不高,因為很多應(yīng)用軟件使用隨即生成的端口進行通信,不容易進行識別。
相關(guān)研究表明,通 過IANA分配的端口號對網(wǎng)絡(luò)流量進行識別,有近約31%的字節(jié)流量(29%的數(shù)據(jù)包)不能被準確識別出來。
3.3.2流量統(tǒng)計特征識別
基于流量統(tǒng)計特征的識別方法利用計算機網(wǎng) 絡(luò)協(xié)議規(guī)范的差異導(dǎo)致的流量屬性的不同識別網(wǎng)絡(luò) 協(xié)議。Moore等人首先對已經(jīng)打好標簽的網(wǎng)絡(luò)流量 數(shù)據(jù)集進行學(xué)習(xí),然后按照高斯分布的特性對網(wǎng)絡(luò) 流量屬性進行綜合評估。
首先根據(jù)網(wǎng)絡(luò)流量特性對數(shù)據(jù)包到達時間間隔、數(shù)據(jù)包平均長度和數(shù)據(jù)包持續(xù)時間等進行特征選擇。
其次使用EM算法計算每個數(shù)據(jù)包屬于某一類的類別概率。該種方法適合在訓(xùn)練數(shù)據(jù)集不足的情況下對網(wǎng)絡(luò)流量進行模糊聚類。給出一個流量分類器框架,分類過程由基于統(tǒng) 計特性的機器學(xué)習(xí)完成,并在此基礎(chǔ)上給出一種特征選擇方法,有利于降低分類的復(fù)雜度,提高分類精度。
通過對多種聚類算法進行比較,評估各種聚類算法在計算機網(wǎng)絡(luò)流量分類中的性能。
3.3.3基于DPI的流量分析技術(shù)
基于DPI流量檢測技術(shù),可以利用數(shù)據(jù)報文中 的“指紋”(如特定端口、特定的字符或特定的位 序列)信息的檢測確定所承載業(yè)務(wù)的應(yīng)用狀況和實現(xiàn)對新協(xié)議的檢測,可以基于對攻擊者已經(jīng)實施的行為分析判斷攻擊者正在進行的動作或即將實施的動作。
3.3.4基于DFI的流量分析技術(shù)
DFI是DPI在持續(xù)改善中衍生出來的檢測技術(shù), 可用于網(wǎng)絡(luò)安全數(shù)據(jù)采集和檢測。DFI主要分為3 部分:流特征選擇、流特征提取和分類器分析。在 深度流檢測中,對會話流進行識別,提取流特征, 然后經(jīng)由分類器進行分析。
如果判斷為異常數(shù)據(jù), 則可采取相應(yīng)的處理行為;如果判斷為可疑流量, 則可結(jié)合其他方法如上下行流量對稱法、時間跨度 衡量法或行為鏈關(guān)聯(lián)法等進行延遲監(jiān)控判別。
3.4協(xié)議分析
協(xié)議分析是利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測是否存在攻擊,通過辨別數(shù)據(jù)包的協(xié)議類型,以便使用相應(yīng)的數(shù)據(jù)分析程序檢測數(shù)據(jù)包。它將所有協(xié)議構(gòu)成一棵協(xié)議樹(二叉樹),如圖4所示。
某個特定協(xié)議是該樹結(jié)構(gòu)中的一個節(jié)點,對網(wǎng)絡(luò)數(shù)據(jù) 包的分析是一條從根到某個葉節(jié)點的路徑。只要在程序中動態(tài)維護和配置這個樹結(jié)構(gòu),就能實現(xiàn)靈活 的協(xié)議分析功能。
協(xié)議樹分析技術(shù)的主要優(yōu)勢在于采用命令解析器(在不同的協(xié)議層次上)對每個用戶命令做出詳細分析,如果出現(xiàn)IP碎片,可以對數(shù)據(jù)包進行重裝還原再分析。協(xié)議分析將降低檢測中出現(xiàn)的誤報現(xiàn)象,可以確保一個特征串的實際意義被真正理解, 且基于協(xié)議分析的監(jiān)測平臺在高速網(wǎng)絡(luò)環(huán)境下不會造成性能衰減。
結(jié)語
通過研制基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng), 建設(shè)公司電力監(jiān)控系統(tǒng)自身檢測與攻擊行為監(jiān)測能力,提高基于泛在電力物聯(lián)網(wǎng)應(yīng)用落地、融通發(fā)展 環(huán)境下安全監(jiān)測與感知能力,對未來新技術(shù)應(yīng)用拓 展提供了安全保障。
一是對自身網(wǎng)絡(luò)和各種應(yīng)用系 統(tǒng)的脆弱性進行透析和驗證,識別安全狀況,對系統(tǒng)策略管理、運維管理提供技術(shù)依據(jù),同時驗證考 核安全管理制度規(guī)范的落實情況;
二是通過威脅分析感知外部攻擊行為,對原有的防御決策提供補充;
三是通過對基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)的研究,提升工控安全威脅檢測能力、漏洞識別與驗證能力,為工控網(wǎng)絡(luò)安全人員培訓(xùn)提供技術(shù)環(huán)境。
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號