基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)設計與研究

00引言電力行業(yè)作為關系國計民生的重要基礎行業(yè)，也是技術、資金密集型行業(yè)，在注重信息化建設的同時，對網(wǎng)絡安全工作也歷來高度重視。2010年“震網(wǎng)”(stuxnet)病毒的爆發(fā)，讓全球再一次明白，工業(yè)控制系統(tǒng)已成為黑客的主要目標。隨后，“毒區(qū)”(duqu)和“火焰”(flame)病毒相繼出現(xiàn)，與“震網(wǎng)”共同形成“網(wǎng)絡戰(zhàn)”攻擊群。2014年，功能更為強大的Havex以不同工業(yè)領域為目標進行攻擊，至2016年已發(fā)展到88個變種。2015年底發(fā)生的烏克蘭大面積停電事件，又一次為電力監(jiān)控系統(tǒng)網(wǎng)絡安全拉響警報。這些事例說明電力監(jiān)控系統(tǒng)所面臨的安全風險日益增大，直接威脅到電力系統(tǒng)的安全穩(wěn)定運行和電力可靠供應。針對工業(yè)網(wǎng)絡的攻擊，更多體現(xiàn)在敵對勢力或者是一種國家意志的行為，從APT到網(wǎng)絡空間戰(zhàn)，組合式的攻擊方式和以破壞基礎設施為目的的攻擊方式，已經(jīng)成為工業(yè)網(wǎng)絡面臨的主要威脅。鑒于電力行業(yè)的核心地位，國務院、工信部以及南方電網(wǎng)等國家、行業(yè)監(jiān)管部門，已經(jīng)在不同的場合下多次強調(diào)了工業(yè)控制系統(tǒng)網(wǎng)絡安全的重要性，并且已經(jīng)開始對工業(yè)系統(tǒng)網(wǎng)絡安全進行檢查和研究?；诠I(yè)控制系統(tǒng)自身對實時性、穩(wěn)定性以及兼容性的要求，技術人員無法直接在生產(chǎn)環(huán)境進行攻防驗證。鑒于上述情況，搭建基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)，在模擬環(huán)境中進行工業(yè)控制系統(tǒng)漏洞挖掘、網(wǎng)絡協(xié)議分析、滲透測試以及威脅評估等試驗和研究，以檢驗電力工業(yè)控制系統(tǒng)網(wǎng)絡防護能力。從技術上講，安全事件監(jiān)視和態(tài)勢評估可以綜合分析各個方面的安全要素，從整體上動態(tài)反映網(wǎng)絡的安全狀況，評估的結果具有綜合性、多角度性和多粒度性等特點。通過安全事件監(jiān)視和態(tài)勢評估，可以準確了解自身的網(wǎng)絡和各種應用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰安全需求。通過確定主要安全風險，并選擇規(guī)避、降低、轉移以及接受等風險處置措施，然后有依據(jù)地制定網(wǎng)絡和系統(tǒng)的安全策略和安全解決方案，從而指導信息系統(tǒng)安全技術體系與安全管理制度的建設。01基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)建設1.1建設目標在原有自動化防護能力基礎上，利用大數(shù)據(jù)分析技術對系統(tǒng)運行狀況、網(wǎng)絡流量進行漏洞挖掘、協(xié)議分析和威脅評估，并依靠人工智能和神經(jīng)元算法對系統(tǒng)現(xiàn)狀做出科學評價形成深度學習模型，動態(tài)識別系統(tǒng)的風險點和威脅情況，建立預測預警,有針對性地改善安全體系，最終達到有效監(jiān)測、防御新型攻擊威脅的目的。1.2建設方案基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)采用開放平臺架構設計，遵循業(yè)界通行的應用接口和管理接口，實現(xiàn)了模塊化裝配和靈活性部署，系統(tǒng)架構如圖1所示。圖1基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)系統(tǒng)架構感知層：平臺支持多種數(shù)據(jù)源的接入，包括工控設備、物聯(lián)網(wǎng)設備(包括各類傳感器、攝像頭等)和第三方數(shù)據(jù)接口接入等的海量數(shù)據(jù)信息。接入層：平臺支持各類電力行業(yè)工業(yè)控制系統(tǒng)的數(shù)據(jù)接人包括變電站自動化系統(tǒng)、微機保護系統(tǒng)、電力調(diào)度自動化系統(tǒng)和SCADA系統(tǒng)等數(shù)據(jù)信息。大數(shù)據(jù)層：將采集的海量異構數(shù)據(jù)進行實時和離線分析，采用數(shù)據(jù)預處理、分布式存儲、關聯(lián)分析、機器學習、統(tǒng)計分析以及數(shù)據(jù)挖掘等多種大數(shù)據(jù)分析手段實現(xiàn)對異常、事件、資產(chǎn)的檢測與追蹤溯源。監(jiān)測層：將大數(shù)據(jù)識別分析的數(shù)據(jù)，通過平臺搭建的大數(shù)據(jù)模型進行綜合分析與評估，進而實現(xiàn)對電力行業(yè)各系統(tǒng)的合規(guī)檢查監(jiān)管、量化安全威脅和風險、發(fā)現(xiàn)電網(wǎng)系統(tǒng)中潛在漏洞和隱患、攻擊源、預測未知攻擊及報警/預警等功能。展現(xiàn)層：提供人機交互界面，向安全管理人員呈現(xiàn)全方位工控及物聯(lián)網(wǎng)等安全態(tài)勢。02平臺功能設計基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)，通過漏洞挖掘、協(xié)議分析、滲透測試以及威脅評估等技術手段,實現(xiàn)對系統(tǒng)安全狀況的評估和風險識別。一是工控網(wǎng)絡漏洞挖掘。采取端口掃描、模塊特征探測以及漏洞庫指紋匹配等手段，快速定位目標網(wǎng)絡服務系統(tǒng)潛在的脆弱點，形成漏洞分析結果。二是工控網(wǎng)絡協(xié)議漏洞分析。構建可擴展的網(wǎng)絡協(xié)議漏洞分析平臺，對已知協(xié)議和未知協(xié)議開展遠程模糊測試，挖掘網(wǎng)絡應用服務協(xié)議漏洞。三是脆弱點識別。綜合利用靜態(tài)掃描、逆向還原以及模糊測試等手段對目標系統(tǒng)進行深度剖析，定位系統(tǒng)漏洞脆弱點。四是威脅評估。以資產(chǎn)為主線，通過流量分析綜合漏洞挖掘、協(xié)議漏洞分析以及滲透測試結果，準確識別電力監(jiān)控系統(tǒng)安全風險。五是監(jiān)測結果融合展示。對檢測引擎檢測結果進行多維度、多層次展示，并支持結果信息去重、融合與關聯(lián)分析,以直觀生動的方式呈現(xiàn)結果。整個平臺包了5個子系統(tǒng)，即漏洞挖掘系統(tǒng)、工控協(xié)議漏洞分析系統(tǒng)、脆弱點分析系統(tǒng)、威脅評估系統(tǒng)和監(jiān)測結果呈現(xiàn)系統(tǒng)。2.1漏洞挖掘系統(tǒng)漏洞挖掘檢測系統(tǒng)提供了最完整的工控安全漏洞庫和設備庫、最豐富全面的工控協(xié)議測試用例庫以及最先進的模糊測試引擎（覆蓋Modbus、IEC104,IEC101,MMS、Profinet、S7、DNP3以及CAN總線等十幾種常見工控協(xié)議；針對私有未知協(xié)議模式提供多種解決方案，如定制開發(fā)、培訓用戶自開發(fā)和未知協(xié)議智能測試）。通過漏洞庫與設備庫的關聯(lián)驗證，自定義模糊測試等多種方式發(fā)現(xiàn)工控設備中存在的已知安全漏洞和挖掘未知（零日）安全漏洞。抓包重放及專業(yè)分析工具精確定位漏洞產(chǎn)生根源，梳理攻擊原理，在漏洞挖掘過程中進行數(shù)據(jù)包捕獲，使用漏洞分析工具分析捕獲的數(shù)據(jù)包。根據(jù)數(shù)據(jù)包分析的結果，修改范圍和參數(shù)后進行針對性測試，直至找到產(chǎn)生漏洞的真正根源，并在此基礎上發(fā)現(xiàn)潛在漏洞的利用方式和評估漏洞風險等級。根據(jù)漏洞根源分析的結果，本平臺提供了開發(fā)針對該漏洞的攻擊套件工具，以測試同類產(chǎn)品是否存在相同漏洞特征，同時也能開發(fā)針對性的保護策略，以抵御針對此漏洞的攻擊。由漏洞挖掘工具檢測出的系統(tǒng)或設備漏洞，可在開發(fā)后加入漏洞挖掘工具的漏洞庫，也能通過第三方導入的方式不斷完善漏洞庫，增加系統(tǒng)檢測能力。2.2工控協(xié)議漏洞分析系統(tǒng)運用模糊測試的原理，構建完整、可擴展的通信協(xié)議動態(tài)隨機分析測試框架，建設通信協(xié)議健壯性檢測評估系統(tǒng)，通過設計變異測試用例并構造變異報文，檢查通信協(xié)議實現(xiàn)的缺陷。支持對Ethernet,ARP、IP、ICMP、IGMP、UDP以及TCP等網(wǎng)絡協(xié)議的檢測評估，并研發(fā)相應的檢測評估工具；支持ModbusTCP/IP、DNP3.0、EtherNet/IP-CIP,FoudationFieldbus,IEC104、IEC61850、MMS、PROFINET以及OPCUA等常用工業(yè)控制協(xié)議的檢測評估，并研發(fā)相應的檢測評估工具；支持多目標（如文件、網(wǎng)絡協(xié)議等）、多種協(xié)議（如ModbusTCP、DNP3等不同類型的協(xié)議）以及多線程（加速測試進度）;研發(fā)對未知協(xié)議的靈活開放的測評接口，支持私有協(xié)議的檢測評估。2.3脆弱點分析系統(tǒng)綜合利用靜態(tài)掃描、逆向還原以及模糊測試等手段（包括OWASP、CVE在內(nèi)的信息化漏洞、工業(yè)控制漏洞類型，對被測系統(tǒng)進行靜態(tài)掃描，將匹配后的結果呈現(xiàn)報告。通過逆向還原發(fā)現(xiàn)被測系統(tǒng)組建、架構以及業(yè)務邏輯的脆弱點；通過Fuzz技術遍歷所有可能的數(shù)據(jù)對程序進行測試，在測試過程中記錄程序執(zhí)行的狀態(tài)，篩選出可能出bug的數(shù)據(jù)并記錄，供人繼續(xù)分析）對應用服務程序文件進行深度剖析，定位應用服務漏洞脆弱點，即在已經(jīng)獲取應用程序全部或部分程序模塊的基礎上，對應用程序進行脆弱性分析。2.4威脅評估系統(tǒng)威脅評估平臺擁有威脅分析、資產(chǎn)分析和流量分析3大功能模塊，可以從管理規(guī)范和技術要求等方面滿足所有工控環(huán)境下的風險評估要求。平臺支持近70種工控和IT協(xié)議，能夠安全準確地識別工控網(wǎng)絡中的各類工業(yè)控制系統(tǒng)、設備、軟件以及其他運行中的IT服務器、數(shù)據(jù)庫和網(wǎng)絡設備，智能生成網(wǎng)絡拓撲，結合專業(yè)的工控漏洞庫、設備庫、病毒特征庫和全網(wǎng)威脅評分系統(tǒng)，清晰定義各類設備和整體網(wǎng)絡的安全風險，并在評估報告中進行詳細的漏洞分析，提供可操作的威脅整改建議，從可視化和專業(yè)化的角度幫助用戶認識當前工控網(wǎng)絡所符合的安全等級和需要整改的部分。主要功能如下。項目向?qū)В和ㄟ^項目為向?qū)В梢院侠砬逦貛椭脩魳嫿ㄒ粋€完整的工業(yè)現(xiàn)場風險評估項目。威脅分析：威脅評估平臺基于國際和國家標準,同時結合行業(yè)標準，形成了多套具備嚴格理論依據(jù)的評估標準，如調(diào)度系統(tǒng)、智能變電站系統(tǒng)、配網(wǎng)系統(tǒng)以及電廠系統(tǒng)等評估標準和流程?；跇藴试u估問卷的結果，采用威脅評分算法進行智能評分，最終得出威脅分析的整體評估結果。資產(chǎn)分析：資產(chǎn)分析中資產(chǎn)信息可通過自動設備識別和手動資產(chǎn)錄入?yún)f(xié)同完成，平臺將對資產(chǎn)信息進行安全性分析，得出詳細的漏洞信息、評分以及相應的安全解決方案。流量分析：針對工業(yè)控制網(wǎng)絡日新月異的攻擊手段和入侵方式，建立完善的特征匹配庫，涵蓋專門針對工業(yè)控制系統(tǒng)的木馬、蠕蟲、病毒、滲透攻擊以及拒絕服務等全面信息，通過在線監(jiān)測和離線分析的多重手段，對工業(yè)控制系統(tǒng)實施流量分析，得出網(wǎng)絡中潛在的安全隱患。工業(yè)漏洞庫：威脅評估平臺中包含行業(yè)領先的工業(yè)控制設備漏洞庫，涵蓋了各大主流工控設備生產(chǎn)廠商的設備和協(xié)議，囊括了已經(jīng)公布的漏洞和由網(wǎng)絡測試產(chǎn)品所挖掘到的設備和協(xié)議未知漏洞。威脅評分：威脅評分系統(tǒng)將引入強大的智能威脅分析引擎，支持全方位的智能評分，包括管理制度、業(yè)務流程、網(wǎng)絡結構、資產(chǎn)信息和通信數(shù)據(jù)等。報告系統(tǒng)：威脅評估平臺基于風險評估的流程進行設計，自動生成報告模板。2.5脆弱點分析系統(tǒng)以資產(chǎn)為主線利用大數(shù)據(jù)分析技術，對漏洞信息和威脅信息進行數(shù)據(jù)處理和關聯(lián)分析，對安全威脅進行綜合分析呈現(xiàn)、告警和威脅態(tài)勢，展示截圖如圖2、圖3所示。圖2基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)展示狀況一圖3基于大數(shù)據(jù)的電力安全監(jiān)測系統(tǒng)展示狀況二平臺通過采用分布式網(wǎng)絡空間設備探測技術、多維度的工控協(xié)議識別等，實現(xiàn)自動釆集、識別工業(yè)控制系統(tǒng)的漏洞與潛在威脅的能力。平臺通過大數(shù)據(jù)建模分析與核心知識庫進行風險評估、態(tài)勢感知，預防設備潛在風險的發(fā)生。平臺能夠隨數(shù)據(jù)以及應用壓力增長自動實現(xiàn)彈性伸縮，同時可以滿足未來跨數(shù)據(jù)中心進行數(shù)據(jù)存儲與分析計算。平臺能夠感知工控聯(lián)網(wǎng)設備的安全態(tài)勢，精確定位全網(wǎng)脆弱節(jié)點并進行威脅評估。03核心技術研究本文研究的核心技術包括大數(shù)據(jù)技術、數(shù)據(jù)融合技術、威脅數(shù)據(jù)融合技術和流量包威脅檢測技術。3.1大數(shù)據(jù)技術大數(shù)據(jù)技術是支撐系統(tǒng)高效運行的前提，是關聯(lián)分析、挖掘脆弱點以及發(fā)現(xiàn)識別隱藏漏洞的關鍵。大數(shù)據(jù)技術是使用一系列非傳統(tǒng)工具對海量結構化和非結構化數(shù)據(jù)進行處理，從而獲得分析和預測結果的數(shù)據(jù)處理和分析技術。從數(shù)據(jù)分析流程的角度，可以把大數(shù)據(jù)技術分為以下幾個層面。數(shù)據(jù)采集與預處理：利用ETL工具將分布的異構數(shù)據(jù)中的數(shù)據(jù)，如關系數(shù)據(jù)、平面數(shù)據(jù)文件等抽取到臨時中間層后進行清洗、轉換和集成，最后加載到數(shù)據(jù)倉庫或者數(shù)據(jù)集市中，成為聯(lián)機分析處理和數(shù)據(jù)挖掘的基礎；可以利用日志采集工具把實時釆集的數(shù)據(jù)作為流計算系統(tǒng)的輸入，進行實時處理分析。數(shù)據(jù)存儲與管理：利用分布式文件系統(tǒng)、數(shù)據(jù)倉庫、關系數(shù)據(jù)庫和NoSQL數(shù)據(jù)庫等，實現(xiàn)對結構化數(shù)據(jù)和非結構化數(shù)據(jù)的處理和分析。數(shù)據(jù)處理與分析：利用分布式并行編程模型和計算框架，結合機器學習和數(shù)據(jù)挖掘算法，實現(xiàn)對海量數(shù)據(jù)的處理和分析。數(shù)據(jù)可視化呈現(xiàn)：采用可視化工具，對數(shù)據(jù)分析結果進行可視化呈現(xiàn)，幫助用戶更好地理解數(shù)據(jù)和分析數(shù)據(jù)。3.2數(shù)據(jù)融合數(shù)據(jù)融合技術能有效融合所獲得的多源數(shù)據(jù)，充分利用其冗余性和互補性，在多個數(shù)據(jù)源之間進行取長補短，從而為漏洞挖掘與分析系統(tǒng)的識別、挖掘以及驗證漏洞做保障，以便更準確地識別、挖掘、分析和驗證漏洞信息，也是檢測結果數(shù)據(jù)提取精確呈現(xiàn)的核心技術。3.2.1數(shù)據(jù)融合的層次分類數(shù)據(jù)融合作為多級別、多層次的數(shù)據(jù)處理，經(jīng)過對原始數(shù)據(jù)的融合操作，使得通過數(shù)據(jù)分析而得的結論更加準確與可靠。系統(tǒng)采取數(shù)據(jù)融合技術貫穿數(shù)據(jù)級融合、特征級融合和決策級融合。在整個系統(tǒng)架構上是貫穿數(shù)據(jù)采集層、漏洞挖掘與分析層和結果呈現(xiàn)層，既減輕了存儲的壓力，又提高了測效果。3.2.2數(shù)據(jù)融合關鍵算法系統(tǒng)除了采用基于模型和基于概率的方法（如加權平均法、卡爾曼濾波法、貝葉斯推理、小波分析以及經(jīng)典概率等），還融入了現(xiàn)代方法，如邏輯推理和機器學習的人工智能方法（如聚類分析法、粗糙集、模糊理論以及進化法等）。3.3海量數(shù)據(jù)內(nèi)容識別與威脅檢測3.3.1基于端口的識別方法大部分網(wǎng)絡應用的常用傳輸層端口號是固定的，因此根據(jù)端口號識別網(wǎng)絡應用是最簡單的一類方法。IANA主要將端口劃分為3類。（1）熟知端口號。端口號的范圍是0~1023,該類端口由IANA進行統(tǒng)一分配。（2）注冊端口號。端口號的范圍是1024~49151,主機中的用戶級進程可以隨意使用這些端口號進行數(shù)據(jù)傳輸。（3）動態(tài)端口號。端口號的范圍是49152-65535,IANA沒有對這類端口進行分配，網(wǎng)絡應用可以任意使用這類端口。由于通過端口號解析的方法識別速度快、開銷小，因而獲得了廣泛應用。但是，這種方法的識別準確率不高，因為很多應用軟件使用隨即生成的端口進行通信，不容易進行識別。相關研究表明，通過IANA分配的端口號對網(wǎng)絡流量進行識別，有近約31%的字節(jié)流量（29%的數(shù)據(jù)包）不能被準確識別出來。3.3.2流量統(tǒng)計特征識別基于流量統(tǒng)計特征的識別方法利用計算機網(wǎng)絡協(xié)議規(guī)范的差異導致的流量屬性的不同識別網(wǎng)絡協(xié)議。Moore等人首先對已經(jīng)打好標簽的網(wǎng)絡流量數(shù)據(jù)集進行學習，然后按照高斯分布的特性對網(wǎng)絡流量屬性進行綜合評估。首先根據(jù)網(wǎng)絡流量特性對數(shù)據(jù)包到達時間間隔、數(shù)據(jù)包平均長度和數(shù)據(jù)包持續(xù)時間等進行特征選擇，其次使用EM算法計算每個數(shù)據(jù)包屬于某一類的類別概率。該種方法適合在訓練數(shù)據(jù)集不足的情況下對網(wǎng)絡流量進行模糊聚類。給出一個流量分類器框架，分類過程由基于統(tǒng)計特性的機器學習完成，并在此基礎上給出一種特征選擇方法，有利于降低分類的復雜度，提高分類精度。通過對多種聚類算法進行比較，評估各種聚類算法在計算機網(wǎng)絡流量分類中的性能。3.3.3基于DPI的流量分析技術基于DPI流量檢測技術，可以利用數(shù)據(jù)報文中的“指紋”（如特定端口、特定的字符或特定的位序列）信息的檢測確定所承載業(yè)務的應用狀況和實現(xiàn)對新協(xié)議的檢測，可以基于對攻擊者已經(jīng)實施的行為分析判斷攻擊者正在進行的動作或即將實施的動作。3.3.4基于DFI的流量分析技術DFI是DPI在持續(xù)改善中衍生出來的檢測技術,可用于網(wǎng)絡安全數(shù)據(jù)采集和檢測。DFI主要分為3部分：流特征選擇、流特征提取和分類器分析。在深度流檢測中，對會話流進行識別，提取流特征，然后