摘 要:
隨著能源互聯(lián)網(wǎng)的發(fā)展,電力信息網(wǎng)絡(luò)系統(tǒng)架構(gòu)也在不斷變化,使電力信息網(wǎng)絡(luò)安全面臨著新的挑戰(zhàn)。研究基于網(wǎng)絡(luò)流水印的多點(diǎn)協(xié)同追蹤和多層次的網(wǎng)絡(luò)威脅協(xié)同阻斷技術(shù),由此設(shè)計(jì)高效的水印嵌入和檢測(cè)算法,通過(guò)節(jié)點(diǎn)的協(xié)同配合,實(shí)現(xiàn)對(duì)安全威脅的實(shí)時(shí)追蹤,同時(shí)針對(duì)不同的安全威脅,設(shè)計(jì)多層次的連接干擾和網(wǎng)絡(luò)阻斷技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)威脅的弱化和阻斷。提出了跨域協(xié)同入侵追蹤架構(gòu),解決了跨域網(wǎng)絡(luò)入侵路徑的快速重構(gòu)。提出了基于時(shí)隙質(zhì)心網(wǎng)絡(luò)流水印的跳板節(jié)點(diǎn)發(fā)現(xiàn)算法,解決了利用跳板機(jī)網(wǎng)絡(luò)攻擊的溯源分析問(wèn)題。
內(nèi)容目錄:
1 當(dāng)前新能源網(wǎng)絡(luò)邊界協(xié)同防護(hù)研究水平
1.1 網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)
1.2 新能源網(wǎng)絡(luò)邊界威脅場(chǎng)景分析
2 基于大數(shù)據(jù)的新能源邊界網(wǎng)絡(luò)安全探索3 跨域協(xié)同追蹤技術(shù)
3.1 跨域入侵追蹤技術(shù)
3.2 多層次的網(wǎng)絡(luò)協(xié)同阻斷技術(shù)
3.3 協(xié)同追蹤模型的功能
3.4 跨域網(wǎng)絡(luò)入侵跳板節(jié)點(diǎn)發(fā)現(xiàn)算法
3.4.1 基于數(shù)據(jù)包間隔的自校驗(yàn)網(wǎng)絡(luò)流水印
3.4.2 基于時(shí)隙質(zhì)心的擴(kuò)頻流水印機(jī)制
3.5 跨域網(wǎng)絡(luò)入侵的路徑重構(gòu)4 多層次的網(wǎng)絡(luò)威脅協(xié)同阻斷技術(shù)
4.1 網(wǎng)絡(luò)阻斷技術(shù)及其分層方法
4.2 跨域網(wǎng)絡(luò)入侵的多層次協(xié)同阻斷
5 總結(jié)與展望
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻,網(wǎng)絡(luò)空間已成為國(guó)家繼陸、海、空、天四個(gè)疆域之后的第五疆域,網(wǎng)絡(luò)攻擊逐漸趨于國(guó)家間、團(tuán)隊(duì)集團(tuán)的對(duì)抗,攻擊強(qiáng)度、烈度越來(lái)越迅猛。美國(guó)網(wǎng)絡(luò)部隊(duì)總?cè)藬?shù)已達(dá) 7萬(wàn)人以上,嚴(yán)重威脅著我國(guó)的網(wǎng)絡(luò)空間安全。由于電力系統(tǒng)結(jié)構(gòu)復(fù)雜多樣、分布廣泛、重要性高,一旦癱瘓將造成嚴(yán)重影響,極易成為敵對(duì)勢(shì)力攻擊的首選目標(biāo)。面對(duì)這樣的形勢(shì),電網(wǎng)公司陸續(xù)建設(shè)了多個(gè)安全子系統(tǒng),但是各系統(tǒng)間的數(shù)據(jù)未實(shí)現(xiàn)集中,呈現(xiàn)“孤島”分布狀態(tài),在攻擊溯源和協(xié)同阻斷方面缺乏實(shí)質(zhì)性的手段。本文針對(duì)新能源網(wǎng)絡(luò)邊界的安全威脅,研究基于網(wǎng)絡(luò)流水印的跨域追蹤和多層次協(xié)同阻斷技術(shù),實(shí)現(xiàn)了多個(gè)網(wǎng)絡(luò)安全防護(hù)設(shè)備的協(xié)同聯(lián)動(dòng),提升了網(wǎng)絡(luò)安全事件的處置效率和效果。
為解決當(dāng)前電力行業(yè)信息網(wǎng)絡(luò)安全防護(hù)面臨的新的難題,本文主要研究如何在多自治域組成的網(wǎng)絡(luò)中,通過(guò)域內(nèi)和域間設(shè)備的協(xié)同,實(shí)現(xiàn)跨域的網(wǎng)絡(luò)入侵追蹤。
本文的研究意義在于開展網(wǎng)絡(luò)安全三道防線聯(lián)動(dòng)防御技術(shù)研究,突破網(wǎng)絡(luò)安全威脅協(xié)同防御算法,實(shí)現(xiàn)不同安全防護(hù)產(chǎn)品和公司網(wǎng)絡(luò)與信息安全預(yù)警分析平臺(tái)間的有機(jī)聯(lián)動(dòng),主動(dòng)阻斷攻擊,有利于提升信息安全事件響應(yīng)及應(yīng)急處置能力,最終提升公司整體網(wǎng)絡(luò)安全防護(hù)水平。
1 當(dāng)前新能源網(wǎng)絡(luò)邊界協(xié)同防護(hù)研究水平
隨著現(xiàn)代工業(yè)的快速發(fā)展,以及受到國(guó)家能源結(jié)構(gòu)戰(zhàn)略調(diào)整等因素的影響,我國(guó)新能源電力設(shè)施發(fā)展迅猛。特別是寧夏等地廣人稀的省份,修建了大量的新能源電廠。在各類新能源中,光伏、風(fēng)能等新能源憑借技術(shù)成熟、污染少、建設(shè)快、占地面積小等特點(diǎn),得到了快速發(fā)展。
1.1 網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)
網(wǎng)絡(luò)安全一貫的做法是靜態(tài)防御,利用防火墻進(jìn)行訪問(wèn)控制,其他類設(shè)備進(jìn)行內(nèi)容過(guò)濾和加密。隨著技術(shù)的進(jìn)步,網(wǎng)絡(luò)安全技術(shù)也由靜態(tài)防御向動(dòng)態(tài)防御進(jìn)行轉(zhuǎn)變,入侵防御、應(yīng)用防火墻、漏洞掃描等動(dòng)態(tài)網(wǎng)絡(luò)安全防護(hù)手段得到廣泛應(yīng)用,是網(wǎng)絡(luò)安全防護(hù)的不二選擇。動(dòng)態(tài)防御技術(shù)檢測(cè)能力很強(qiáng),但受設(shè)備檢測(cè)深度和特征庫(kù)豐富程度的限制,不能有效防御攻擊。因此,需要一個(gè)動(dòng)靜結(jié)合的、具備互動(dòng)能力的綜合安全體系,不僅包括多種安全技術(shù)的有機(jī)集成和多種安全產(chǎn)品之間的動(dòng)態(tài)聯(lián)動(dòng),同時(shí)也是安全產(chǎn)品提供商和服務(wù)提供商之間的有機(jī)集成。
1.2 新能源網(wǎng)絡(luò)邊界威脅場(chǎng)景分析
新能源具有間歇性波動(dòng)的特點(diǎn),如果不能掌握實(shí)時(shí)的發(fā)電信息,其并網(wǎng)后的功率波動(dòng)會(huì)帶來(lái)電網(wǎng)頻率偏移和頻率穩(wěn)定性問(wèn)題,將對(duì)電網(wǎng)調(diào)度、負(fù)荷預(yù)測(cè)和發(fā)用電平衡產(chǎn)生重大影響,因此省地電力調(diào)度需要對(duì)新能源電廠的運(yùn)行數(shù)據(jù)進(jìn)行實(shí)時(shí)的監(jiān)測(cè)。本項(xiàng)目的研究重點(diǎn)在于對(duì)新能源電廠運(yùn)行數(shù)據(jù)通過(guò)調(diào)度網(wǎng)絡(luò)接入主站所形成的接入?yún)^(qū)域的網(wǎng)絡(luò)安全進(jìn)行防護(hù)。
根據(jù)電網(wǎng)安全防護(hù)要求,新能源網(wǎng)絡(luò)已經(jīng)實(shí)現(xiàn)了網(wǎng)絡(luò)隔離、分區(qū)管理的模式。根據(jù)不同的網(wǎng)絡(luò)入侵場(chǎng)景的特點(diǎn),可以將網(wǎng)絡(luò)入侵的場(chǎng)景分為縱向入侵和橫向入侵兩種類型。兩種入侵場(chǎng)景的特點(diǎn)在于:縱向入侵主要在同一個(gè)分區(qū)內(nèi)實(shí)施,網(wǎng)絡(luò)連接條件較好,網(wǎng)絡(luò)流量經(jīng)過(guò)加密裝置;橫向入侵主要是從低安全要求區(qū)域往高安全防護(hù)要求區(qū)域進(jìn)行滲透,會(huì)經(jīng)過(guò)網(wǎng)絡(luò)隔離設(shè)備,網(wǎng)絡(luò)流量未經(jīng)過(guò)加密裝置。
2 基于大數(shù)據(jù)的新能源邊界網(wǎng)絡(luò)安全探索
目前,在新能源網(wǎng)絡(luò)中能采集到的各類電網(wǎng)信息主要包括拓?fù)浣Y(jié)構(gòu)、實(shí)時(shí)運(yùn)行信息、設(shè)備狀態(tài)信息、電網(wǎng)穩(wěn)態(tài)數(shù)據(jù)信息、電網(wǎng)動(dòng)態(tài)數(shù)據(jù)信息、電網(wǎng)運(yùn)行環(huán)境信息和各類設(shè)備軟硬件信息等。電網(wǎng)信息數(shù)據(jù)體量巨大,數(shù)據(jù)類型繁多,大數(shù)據(jù)環(huán)境下大規(guī)模原始情報(bào)數(shù)據(jù)量與日俱增,來(lái)源多樣且結(jié)構(gòu)復(fù)雜?;跀?shù)據(jù)的關(guān)聯(lián)性和重復(fù)性,利用大數(shù)據(jù)技術(shù),建立網(wǎng)絡(luò)安全感知模型,將海量數(shù)據(jù)進(jìn)行去重、關(guān)聯(lián),實(shí)現(xiàn)宏觀描述網(wǎng)絡(luò)安全態(tài)勢(shì),支撐跨域入侵追蹤。新能源網(wǎng)絡(luò)安全大數(shù)據(jù)分析包括數(shù)據(jù)采集、數(shù)據(jù)去重、入侵?jǐn)?shù)據(jù)路徑還原,其中,數(shù)據(jù)采集是指結(jié)合網(wǎng)絡(luò)拓?fù)湫畔ⅲㄟ^(guò)設(shè)備日志、設(shè)備告警和網(wǎng)絡(luò)數(shù)據(jù)包的嗅探來(lái)獲取原始數(shù)據(jù)。數(shù)據(jù)去重是指數(shù)據(jù)采集探測(cè)到海量日志、告警數(shù)據(jù),對(duì)海量數(shù)據(jù)進(jìn)行去重,化繁從簡(jiǎn)。入侵?jǐn)?shù)據(jù)路徑還原是指對(duì)采集的原始數(shù)據(jù)先去重,然后提取特征,再結(jié)合知識(shí)庫(kù)中的攻擊模式進(jìn)行攻擊行為的匹配,還原攻擊路徑。
新能源網(wǎng)絡(luò)安全大數(shù)據(jù)分析實(shí)現(xiàn)了從數(shù)據(jù)采集到網(wǎng)絡(luò)安全入侵路徑重現(xiàn)的全過(guò)程。新能源邊界網(wǎng)絡(luò)安全入侵路徑重現(xiàn)的詳細(xì)過(guò)程如下文所述。
(1)數(shù)據(jù)采集。采集新能源網(wǎng)絡(luò)中各類設(shè)備、系統(tǒng)產(chǎn)生的日志和發(fā)生異常時(shí)的日志,以及攻擊者攻擊時(shí)產(chǎn)生的日志和流量。
(2)基于屬性相似性的告警去重。一個(gè)網(wǎng)絡(luò)告警事件包含了一系列的屬性,利用告警事件屬性的相似性和告警發(fā)生的小間隔時(shí)間,采用哈希函數(shù)來(lái)快速發(fā)現(xiàn)屬性相似的告警事件。一個(gè)網(wǎng)絡(luò)事件按照其發(fā)生到形成的時(shí)間序列可以描述為一個(gè)多元組,其中 t 代表日志記錄生成的時(shí)刻,s 代表監(jiān)測(cè)事件的類型,代表事件的屬性,可以包括事件名稱、參與者、出現(xiàn)場(chǎng)景、攻擊對(duì)象、性質(zhì)、檢測(cè)依據(jù)等要素。
一個(gè)網(wǎng)絡(luò)事件的發(fā)生具有一定的持續(xù)時(shí)間,因此告警日志中會(huì)出現(xiàn)大量相似的重復(fù)記錄,若兩個(gè)日志的時(shí)間間隔在某個(gè)特定范圍內(nèi),且日志除去 t 和 s 元素后剩下的 n 元組哈希值相等,便判定為同一個(gè)網(wǎng)絡(luò)事件,并對(duì)其進(jìn)行去重。去重判定方法如下文所述。
對(duì)于兩條告警日志x和y,若,且則認(rèn)為 x=y 并保留時(shí)間較前的一條日志。其中,是一個(gè)基于過(guò)去經(jīng)驗(yàn)計(jì)算得到的時(shí)間間隔,Hash 代表哈希函數(shù)。Hash 函數(shù)可以使用常用的 MD5,SHA-1 等散列函數(shù)。時(shí)間間隔 取過(guò)去日志數(shù)據(jù)中同一事件類型的網(wǎng)絡(luò)攻擊持續(xù)時(shí)間 的算術(shù)平均值,即對(duì)于事件類型 和時(shí)間間隔,最終我們可以得到全集
(3)入侵?jǐn)?shù)據(jù)路徑還原。依據(jù)新能源信息網(wǎng)絡(luò)分區(qū)布防的信息(一區(qū)、二區(qū)、三區(qū)、各區(qū)邊界布防和三個(gè)區(qū)域傳遞的信息),結(jié)合鉆石分析模型,推斷出入侵事件中無(wú)法直接獲得的關(guān)聯(lián)性元素,具體為提取一個(gè)元素,并利用該元素與數(shù)據(jù)源相結(jié)合,以發(fā)現(xiàn)相關(guān)元素。最后從網(wǎng)絡(luò)協(xié)議特征、網(wǎng)絡(luò)負(fù)載特征和網(wǎng)絡(luò)流量特征 3 個(gè)方面對(duì)網(wǎng)絡(luò)入侵事件進(jìn)行路徑還原。
3 跨域協(xié)同追蹤技術(shù)
針對(duì)多網(wǎng)絡(luò)自治域環(huán)境下跨域的安全威脅,針對(duì)基于跨域入侵追蹤技術(shù)展開研究,通過(guò)域間節(jié)點(diǎn)的協(xié)同配合,實(shí)現(xiàn)對(duì)跨域安全威脅的實(shí)時(shí)追蹤。
3.1 跨域入侵追蹤技術(shù)
當(dāng)前,入侵追蹤主要通過(guò)兩種途徑:一種是基于 IP 報(bào)文的,通過(guò)網(wǎng)絡(luò)中的各級(jí)路由器支持,結(jié)合 IP 報(bào)文信息,層層溯源找到入侵源;另一種是面向連接的,通過(guò)將入侵源和被攻擊源之間的網(wǎng)絡(luò)流進(jìn)行關(guān)聯(lián),從而確定兩者間的關(guān)系。
入侵追蹤 IP 數(shù)據(jù)報(bào)文分為測(cè)試連接、記錄日 志、 控 制 消 息 協(xié) 議(Internet Control Message Protocol,ICMP)追蹤和報(bào)文標(biāo)記。其中,測(cè)試連接是從距離受攻擊主機(jī)最近的路由設(shè)備開始,進(jìn)行上游數(shù)據(jù)鏈遞歸檢查,直至找到攻擊流量源頭。日志記錄是收集分析網(wǎng)絡(luò)中報(bào)文日志信息,從而獲取入侵報(bào)文的傳輸途徑。ICMP 追蹤是對(duì)路由器轉(zhuǎn)發(fā)報(bào)文時(shí)以較低的概率隨機(jī)復(fù)制若干報(bào)文,添加路由信息并封裝成 ICMP 報(bào)文,再發(fā)到接收端。被攻擊主機(jī)在收到這些 ICMP 報(bào)文后,收集報(bào)文中存在的路由信息,重構(gòu)入侵傳輸途徑。報(bào)文標(biāo)記是以一定的概率對(duì)路由器轉(zhuǎn)發(fā)報(bào)文添加標(biāo)記,再通過(guò)收集攜帶標(biāo)記的數(shù)據(jù)包完成對(duì)入侵路徑的重構(gòu)。
3.2 多層次的網(wǎng)絡(luò)協(xié)同阻斷技術(shù)
目前,網(wǎng)絡(luò)中常用的阻斷技術(shù)包括:在網(wǎng)絡(luò)邊界通過(guò)路由器或者防火墻阻斷網(wǎng)絡(luò)連接,在內(nèi)網(wǎng)通過(guò)劃分虛擬局域網(wǎng)(Virtual Local Area Network,VLAN)來(lái)控制內(nèi)部節(jié)點(diǎn)之間的連通性,在內(nèi)網(wǎng)還可以通過(guò)向連接兩端的節(jié)點(diǎn)發(fā)送 TCP Reset 包來(lái)阻斷連接。
3.3 協(xié)同追蹤模型的功能
單元網(wǎng)絡(luò)入侵可能在多個(gè)自治域(Autonomous System,AS)之間跨越,這就需要建立協(xié)同入侵追蹤機(jī)制,在多個(gè) AS 間追蹤入侵,從而實(shí)現(xiàn)安全高效、易擴(kuò)展的跨域入侵追蹤,同時(shí)基于網(wǎng)絡(luò)流間的關(guān)聯(lián)性,提出入侵路徑的構(gòu)建算法,有效防止自治域間泄露敏感信息?;诰W(wǎng)絡(luò)流水印的跨域入侵追蹤架構(gòu)如圖 1 所示,包含如下組件:域內(nèi)追蹤服務(wù)客戶端組件(Tracking Service Client,TSC) 負(fù) 責(zé) 接 收 本 自 治 域 內(nèi) 來(lái) 自 預(yù) 警分析平臺(tái)追蹤策略或入侵檢測(cè)組件(Intrusion Detection System,IDS) 的 入 侵 報(bào) 警, 然 后 向域 內(nèi) 追 蹤 審 定 決 策 點(diǎn) 組 件(Tracking Decision Point,TDP)提出啟動(dòng)入侵追蹤的請(qǐng)求;TDP 根據(jù)本自治域的入侵追蹤管理策略對(duì)來(lái)自本域中TSC 發(fā)出的追蹤請(qǐng)求進(jìn)行審核;域間追蹤管理器 組 件(Inter-domain Tracking Manager,ITM)是實(shí)現(xiàn)本自治域內(nèi)以及跨自治域追蹤的管理中心;域 邊 界 追 蹤 管 理 器 組 件(Border Tracking Manager,BTM)用于確定當(dāng)前的網(wǎng)絡(luò)攻擊流與本自治域的關(guān)系;域內(nèi)追蹤管理器組件(Domain Tracking Manager,DTM)用于定位源自本自治域的入侵源。
圖 1 跨域協(xié)同入侵追蹤架構(gòu)
3.4 跨域網(wǎng)絡(luò)入侵跳板節(jié)點(diǎn)發(fā)現(xiàn)算法
跨域的網(wǎng)絡(luò)入侵采用跳板節(jié)點(diǎn)時(shí),通常采用事后追蹤的方式,該方式需要分析海量的服務(wù)器日志和交換設(shè)備日志才能溯源到攻擊者。本文提出采用基于網(wǎng)絡(luò)流水印的方法來(lái)定位跳板節(jié)點(diǎn),可以做到實(shí)時(shí)追蹤,并且避免了分析海量日志,能夠有的放矢地采集數(shù)據(jù)。
3.4.1 基于數(shù)據(jù)包間隔的自校驗(yàn)網(wǎng)絡(luò)流水印
在原來(lái)基于數(shù)據(jù)包間隔的網(wǎng)絡(luò)流水印算法的基礎(chǔ)上,對(duì)用于嵌入網(wǎng)絡(luò)流水印的數(shù)據(jù)包組引入冗余。假設(shè)需要嵌入 m 位的網(wǎng)絡(luò)流水印,原先需要提取 m 組數(shù)據(jù)包,現(xiàn)在提取 2m 組數(shù)據(jù)包,其中相鄰的 2 組數(shù)據(jù)包用于產(chǎn)生 1 位網(wǎng)絡(luò)流水印。相鄰 2 組中的前 1 組按照原來(lái)的方法產(chǎn)生 1 位網(wǎng)絡(luò)流水印,后 1 組按照校驗(yàn)規(guī)則產(chǎn)生當(dāng)前網(wǎng)絡(luò)流水印位的校驗(yàn)信息。
本文采用 m 位的 2 進(jìn)制校驗(yàn)碼來(lái)決定每 1位網(wǎng)絡(luò)流水印的校驗(yàn)規(guī)則,即校驗(yàn)碼和網(wǎng)絡(luò)流水印長(zhǎng)度相同,1 位對(duì)應(yīng) 1 位。當(dāng)校驗(yàn)碼為 0 時(shí),校驗(yàn)信息位和網(wǎng)絡(luò)流水印位相同;當(dāng)校驗(yàn)碼為 1時(shí),校驗(yàn)信息位和網(wǎng)絡(luò)流水印位相反。
3.4.2 基于時(shí)隙質(zhì)心的擴(kuò)頻流水印機(jī)制
現(xiàn)有的水印機(jī)制雖然能有效追蹤單個(gè)網(wǎng)絡(luò)攻擊入侵,但在水印實(shí)際追蹤過(guò)程中,多個(gè)水印流常進(jìn)入同一個(gè)匿名信道中的混合結(jié)點(diǎn) [3]。多個(gè)不同的水印流之間存在嚴(yán)重干擾情況,嚴(yán)重影響現(xiàn)有水印的追蹤效果。因此,采用基于時(shí)隙質(zhì)心的擴(kuò)頻流水印的新型水印技術(shù),增強(qiáng)了現(xiàn)有的直接序列擴(kuò)頻水印和時(shí)隙質(zhì)心水印的檢測(cè)效果。
使用時(shí)隙質(zhì)心網(wǎng)絡(luò)流水印嵌入方法可以解決直接擴(kuò)頻方法流速率不穩(wěn)定的問(wèn)題,但是存在多個(gè)流水印在網(wǎng)絡(luò)中形成干擾的情況。因此,可以將直接序列擴(kuò)頻和時(shí)隙質(zhì)心方法相互結(jié)合,先將原始的網(wǎng)絡(luò)數(shù)據(jù)包按照直接擴(kuò)頻方式進(jìn)行調(diào)制,然后按照時(shí)隙質(zhì)心的方法嵌入網(wǎng)絡(luò)流水印。
3.5 跨域網(wǎng)絡(luò)入侵的路徑重構(gòu)
自治域網(wǎng)絡(luò)中的 ITM 根據(jù)確定的入侵源,沿跨域協(xié)同追蹤請(qǐng)求轉(zhuǎn)發(fā)的逆向路徑依次返回跨域追蹤結(jié)果。當(dāng)最初簽發(fā) ITM 協(xié)同追蹤請(qǐng)求的 ITM1 組件收到所有相鄰 ITM 組件返回的追蹤結(jié)果時(shí),即可利用跨域入侵路徑構(gòu)建算法以確定當(dāng)前入侵攻擊的跨域入侵路徑。
4 多層次的網(wǎng)絡(luò)威脅協(xié)同阻斷技術(shù)
研究常見的網(wǎng)絡(luò)阻斷技術(shù)的實(shí)現(xiàn)機(jī)理,按照域內(nèi)和域間、TCP/IP 分層模型、阻斷機(jī)理,結(jié)合信息網(wǎng)絡(luò)典型威脅場(chǎng)景,實(shí)現(xiàn)多層次網(wǎng)絡(luò)阻斷。
4.1 網(wǎng)絡(luò)阻斷技術(shù)及其分層方法
旁路阻斷是旁路接入用以偵聽通信數(shù)據(jù)報(bào)文、還原協(xié)議、識(shí)別攻擊行為、阻斷非法連接的方法,其優(yōu)點(diǎn)是不影響網(wǎng)絡(luò)訪問(wèn)速度,用戶無(wú)須設(shè)置。采用旁路的方式管理網(wǎng)絡(luò)并阻斷非法連接的方法可以分為以下 3 類:
(1) 發(fā) 送包。對(duì) 標(biāo) 準(zhǔn) TCP 連接兩端發(fā)送阻斷信息,主動(dòng)切斷連接,但無(wú)法阻斷用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol,UDP)會(huì)話。
(2)通過(guò)與網(wǎng)關(guān)產(chǎn)品聯(lián)動(dòng),建立臨時(shí)規(guī)則。主要向防火墻發(fā)送臨時(shí)規(guī)則,以及向路由器或交換機(jī)發(fā)送臨時(shí)訪問(wèn)控制列表(Access Control List,ACL),阻斷當(dāng)前會(huì)話。
(3)基于 ARP 的阻斷方式。偽造地址解析協(xié)議(Address Resolution Protocol,ARP)應(yīng)答包,使得非法連接主機(jī)的 ARP 表錯(cuò)誤,無(wú)法連接到網(wǎng)關(guān),從而阻斷連接。
4.2 跨域網(wǎng)絡(luò)入侵的多層次協(xié)同阻斷
為實(shí)現(xiàn)多層次的網(wǎng)絡(luò)協(xié)同阻斷,本課題在網(wǎng)絡(luò)攻擊圖的基礎(chǔ)上,進(jìn)一步使用防御圖進(jìn)行網(wǎng)絡(luò)協(xié)同阻斷研究。與攻擊圖類似,防御圖是一個(gè)有向圖,節(jié)點(diǎn)表示某種網(wǎng)絡(luò)安全狀態(tài),表達(dá)了網(wǎng)絡(luò)的資源屬性及用戶或攻擊者對(duì)整個(gè)網(wǎng)絡(luò)的訪問(wèn)能力 [4]。但防御圖的有向邊表示攻擊者利用各種原子攻擊從一個(gè)網(wǎng)絡(luò)安全狀態(tài)到另一個(gè)新的網(wǎng)絡(luò)安全狀態(tài)的轉(zhuǎn)換關(guān)系和實(shí)現(xiàn)該轉(zhuǎn)換的攻擊成本和收益。這種狀態(tài)變化可以表現(xiàn)為文件修改、系統(tǒng)配置改變、可執(zhí)行程序運(yùn)行、攻擊者的特權(quán)提升等。Sa 是攻擊者從初始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)所有的攻擊路徑的集合,即攻擊策略集合。每一個(gè)攻擊路徑是一個(gè)或多個(gè)原子攻擊的序列。對(duì)于每一個(gè)原子攻擊或攻擊策略都對(duì)應(yīng)一系列防御策略,所有的防御策略組成 Sd。
某 網(wǎng) 絡(luò) 系 統(tǒng) 生 成 的 防 御 圖 如 圖 2 所 示,防御圖集合攻擊者從初始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)所有的攻擊路徑的集合S={A,B,C,D.E,F(xiàn)},用標(biāo)有字母的圓圈表示。SO={4},Ss={F},用標(biāo)有原子攻擊名稱和攻擊收益的有向邊表示狀態(tài)轉(zhuǎn)換關(guān)系,如 al∶30表示原子攻擊 al使得網(wǎng)絡(luò)從狀態(tài)A到狀態(tài)B,攻擊收益是30(單位是貨幣單位),Sa={1,2,3},用標(biāo)有防御策略名稱和收益的方框表示每條攻擊路徑的防御策略。
圖2 防御圖實(shí)例
在此基礎(chǔ)上,為了有效地、主動(dòng)地防御網(wǎng)絡(luò)攻擊,本文擬設(shè)計(jì)一種多層次的網(wǎng)絡(luò)協(xié)同阻斷方法,包括物理網(wǎng)絡(luò)阻斷和連接干擾。根據(jù)防御圖,以攻擊路徑共同點(diǎn)、攻擊收益和防御成本為優(yōu)化目標(biāo),使用多目標(biāo)優(yōu)化方法選擇具體的防御節(jié)點(diǎn),具體防御方法可根據(jù)實(shí)際網(wǎng)絡(luò)情形進(jìn)行多層選擇,如使用交換機(jī)阻斷方式,通過(guò)統(tǒng)一的配置腳本修改交換機(jī)配置, 使得攻擊者無(wú)法連接到常規(guī)網(wǎng)絡(luò),也可以通過(guò)向攻擊源的 IP地址發(fā)送TCP RST包,終止當(dāng)前TCP連接,或修改可疑包的若干字節(jié),使得攻擊者發(fā)出的報(bào)文被丟棄,雖然攻擊者仍然能夠建立連接,但由于發(fā)出的攻擊包失效,無(wú)法收到正常的應(yīng)答包,從而降低攻擊者對(duì)網(wǎng)絡(luò)的影響。
5 總結(jié)與展望
本文根據(jù)新能源電力二次系統(tǒng)的網(wǎng)絡(luò)拓?fù)浜筒挤捞攸c(diǎn),基于大數(shù)據(jù)研究了跨域和域內(nèi)兩種類型的網(wǎng)絡(luò)入侵追蹤。根據(jù)對(duì)現(xiàn)有常用追蹤方式的調(diào)研和比較,最終采用了基于網(wǎng)絡(luò)流水印的主動(dòng)網(wǎng)絡(luò)流量分析手段。然后提出了多層次的網(wǎng)絡(luò)協(xié)同阻斷技術(shù)方案,作為追蹤到入侵源頭并且重構(gòu)獲得了入侵路徑后所采取的響應(yīng)處置技術(shù)手段,有力降低了網(wǎng)絡(luò)入侵的威脅。
引用本文:張曉東 , 劉俊 , 夏琨 . 基于大數(shù)據(jù)關(guān)聯(lián)性分析的新能源網(wǎng)絡(luò)邊界協(xié)同防護(hù)技術(shù) [J]. 信息安全與通信保密 ,2022(4):96-102.
作者簡(jiǎn)介 >>>張曉東,男,大專,主要研究方向?yàn)樾畔⑾到y(tǒng)應(yīng)用、網(wǎng)絡(luò)安全;劉 俊,男,學(xué)士,工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)建設(shè)維護(hù)、網(wǎng)絡(luò)安全、信息系統(tǒng)應(yīng)用;夏 琨,男,學(xué)士,工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)建設(shè)維護(hù)、網(wǎng)絡(luò)安全、信息系統(tǒng)應(yīng)用。
選自《信息安全與通信保密》2022年第4期(為便于排版,已省去參考文獻(xiàn))
文章來(lái)源: 信息安全與通信保密雜志社