基于電力監控系統虛擬沙箱的異常攻擊監測技術

◆鐘志明 汪 杰

（廣東電網有限責任公司東莞供電局 廣東 523000）

當前，國內外網絡安全形勢異常嚴峻，網絡安全事件層出不窮。近年來爆發的伊朗“震網”事件、烏克蘭大規模停電事件及今年爆發的比特幣勒索病毒事件表明，能源、電力行業已成為網絡攻擊的重要對象和重點目標。

關鍵信息基礎設施關系國計民生與社會穩定，對其進行入侵攻擊容易造成巨大危害，產生顯著影響。電力監控系統是一種典型的工業控制系統，也是國家關鍵信息基礎設施，一旦遭受攻擊將可能造成電力安全生產事故，甚至引發大面積停電，后果非常嚴重。因此，電力監控系統的網絡安全直接關系著國家安全。

目前電力監控系統安全防護建設已按照電力行業標準進行搭建，但仍存在很多安全隱患，特別是針對APT攻擊、工業病毒和未知威脅的安全防護，目前電網部署的安全產品，如防病毒網關、IDS等設備，只能對少部分協議和應用進行檢測，只能對已知病毒進行特征識別，只能對已知威脅進行監測，不支持對疑似工業病毒、工控指令等的模擬運行能力，不具備對未知威脅的模擬研究能力，這樣無法在出現新型工業病毒和新的安全威脅情況下進行有效監測與預警。這些新型的工業病毒、攻擊和未知威脅種類會對電網的安全穩定運行造成嚴重的影響。

1 技術方案

本技術方案包括虛擬化解決方案、應用場景虛擬機、虛擬環境網絡流量旁路采集與電網安全監測預警系統四部分組成，如圖1所示。

圖1 技術方案架構

2 虛擬化解決方案

虛擬化解決方案可由業界知名的虛擬化技術提供方案解決，如OpenStack，使用Open vSwitch即開放虛擬交換標準，通過軟件的方式形成交換機部件。跟傳統的物理交換機相比，虛擬交換機具備眾多優點，一是配置更加靈活，二是成本更加低廉。Open vSwitch通過OpenFlow交換協議實現嚴密流量控制，使網絡控制器軟件能夠通過網絡訪問一個交換機或路由器的數據路徑。網絡管理員可以使用該技術在一臺PC上遠程控制數據管理，通過精細的路由和交換控制，實現復雜的網絡策略。

虛擬機可以充當電力監控系統的某個業務單元如IEC104主站、電能量采集服務器、遠動裝置即IEC104的從站等。通過虛擬多組虛擬交換機、虛擬路由器模擬電網中不同的安全區，結合針對電力監控系統中各個應用系統的軟件模擬器即可組成一比一的模擬環境。借助于此類虛擬化方案的圖形化虛擬機管理界面，還可以對所有虛擬節點設備進行創建、克隆、恢復、組網等集中化配置工作，極大提高模擬的工作效率。

3 場景模擬器

場景模擬器由各種業務場景模擬器組成，包括IEC60870系列協議模擬器、IEC61850系列協議模擬器、Modbus系列協議模擬器、DNP3等其他電力協議模擬器、HTTP等通用協議模擬器、工控病毒和網絡攻擊模擬器和網絡流量重放與產生模擬器等。

3.1 IEC60870系列協議模擬器

IEC60870協議是電網中主要用到的協議種類，主要包括IEC60870-5-101（簡稱 IEC101）、IEC60870-5-102（簡稱 IEC102）、IEC60870-5-103（簡稱 IEC103）、IEC60870-5-104（簡稱 IEC104）四個部分，除了IEC101基于串口通信外，其他三種協議基本都是通過工業以太網進行工作的。IEC102主要用在主網的電能量采集、風/光功率預測等方面。IEC103主要用在站內的保護、測控方面。IEC104主要用在遠程的四遙（遙信、遙測、遙控、遙調）等方面。知名的針對IEC60870系列的模擬器有Protocol Test Harness、PMA、格西烽火等。

3.2 IEC61850系列協議模擬器

IEC61850系列協議主要包括MMS、Goose、SV等，主要用在變電站的間隔層和過程層設備之間進行通信。知名的針對IEC61850系列協議的模擬器有IEC61850TestSuiteInstall3.7.0、IEDScout、SV_toolset_Trial-1.2.0.1 等。

3.3 Modbus系列協議模擬器

Modbus系列協議主要包括基于串口的Modbus RTU等、還有基于以太網的Modbus TCP，主要用在過程層的開關PLC、站控層的數據采集等方面。知名的針對Modbus系列協議的模擬器有modsim32、modscan32、modbuspoll、modbusslave、Protocol Test Harness等。

3.4 DNP3等其他電力協議模擬器

DNP3協議主要用于電力系統如變電站中子站系統、RTU、智能電子設備（IEDs）以及主站系統之間的通信。知名的針對DNP3系列的模擬器有Protocol Test Harness等。

3.5 HTTP等通用協議模擬器

電力監控系統中除了工控協議通信外，也存在通用的IT協議流量，如省調和光伏電站之間就存在D5000信息發布系統的WEB訪問等，針對通用協議的知名模擬器有apache、tomcat、vsftpd、ntpd等。

3.6 工控病毒和網絡攻擊模擬器

通過給虛擬機安裝未打補丁版本的操作系統、部署疑似工業病毒樣本、安裝各種網絡攻擊模擬軟件等方式，將某些虛擬機打造成疑似樣本的運行環境，打造成惡意攻擊的攻擊發生者，通過這些機器向模擬的電網主站或從站發起病毒或網絡攻擊，通過監測疑似樣本的傳輸或控制行為，監測惡意攻擊的攻擊特征，進行規則的自學習和監測研究。知名的用來對網絡攻擊的模擬器有：hping3、iperf、Kali等。

3.7 網絡流量重放與產生模擬器

對現網發現的異常流量如高頻訪問、畸形數據包等可以通過流量重放軟件在模擬環境中進行還原，通過分析模擬器對特定流量的反應行為，判斷和總結可能的未知威脅種類，避免對現網造成影響。在特定環境下，還需主動產生一些特定的畸形報文、異常流量等，如構造某種格式的控制工控協議包，發送給特定的裝置如遠動裝置，檢驗對象是否受到影響，從而總結在發生可能的畸形數據包攻擊時我們可以采取的監測預警方法。知名的用來對網絡流量進行重放與產生的模擬器有tcpreplay、科來、libpcap等，知名的流量重構軟件有Achilles、Acheron等。

4 虛擬環境網絡流量旁路采集

4.1 Open vSwitch網絡流量旁路采集

相對于物理網絡環境，虛擬化環境下。上述的多個應用以虛擬機的形式分享同一物理服務器，虛擬機的生成和管理由虛擬機監視器（Hypervisor）來完成。虛擬機的網絡功能由虛擬網卡（vNIC）提供，Hypervisor可以為每個虛擬機創建一個或多個vNIC，交換機也被虛擬化為虛擬交換機（vSwitch），各個vNIC連接在vSwith的端口上，vSwith通過物理服務器的物理網卡連接外部網絡。

Open vSwitch既可以作為在虛擬機（VM）管理程序中運行的基于軟件的網絡交換機運行，也可以作為專用交換硬件的控制棧運行，其提供ovs-vsctl相關命令可實現網絡流量映射功能，將虛擬網絡被監測端口的流量映射至鏡像端口。端口映射指令示例如下：

通過以上命令，網絡流量被映射至tap3虛擬網卡，實現虛擬網絡環境流量的旁路采集。

4.2 多網卡網絡流量旁路采集

虛擬環境下，可使用Open vSwitch的端口映射指令實現流量采集，不過此種方案下，流量采集模塊需部署于虛擬機的物理服務器上。具有一定的局限性。本方案還提出了一種基于多網卡配置的虛擬環境網絡流量旁路采集技術，如圖2所示。

圖2 虛擬環境多網卡旁路采集

模擬IEC104主站和模擬IEC104從站各自獨立橋接虛擬沙箱的一個物理網卡，各個物理網卡之間均連接到交換機上，模擬主站和從站的IP地址配置同一網段，通過該技術，該模擬主站與從站之間可實現正常通信且流量通信均由交換機端口進行轉發，與多機器間網絡通信類似，可使用交換機自身的網絡鏡像功能實現對該虛擬沙箱環境的流量匯聚與旁路采集，此種技術擴展性更高，但需更多物理網卡支持。

4.3 電網安全監測預警系統

基于虛擬沙箱的網絡流量旁路采集，電力監控系統通過網絡流量的重組、去重、協議識別與深度解析，實現電力監控系統網絡流量的深層次閱讀，在此基礎上使用異常行為基線檢測、工控病毒檢測、網絡攻擊檢測、畸形報文檢測、旁路控制檢測、非法使用檢測和異常流量檢測等工控網絡安全檢測手段，發現電力監控系統網絡異常攻擊行為，并通過回歸預測、統計分析、事件關聯分析與攻擊路徑分析，對電力監控系統進行深層次安全預警與態勢感知。如圖3所示。

圖3 電網安全監測預警系統

5 電力監控系統協議魯棒性測試

模糊測試（Fuzz testing）或稱之為健壯性測試作為一種新型的黑盒測試技術在檢測軟件、產品及系統中存在的安全漏洞方面取得了顯著的成功。借助于模糊測試，有可能在系統測試階段檢測出那些可能會被忽略的產品或系統缺陷。該類測試基于畸形報文、大流量并發等手段對電力監控系統網絡通信進行健壯性測試，很可能會影響電力監控系統的正常運行，甚至會導致其系統宕機，本方案可通過部署Acheron（國內首家也是唯一獲得ISASecure CRT Tool認證的產品）等魯棒性測試系統對電力監控系統模擬系統進行針對性的健壯性測試，在不影響電力監控系統的安全生產環境的同時，及時發現監控系統自身的通信協議漏洞，督促相應的電力監控系統進行通信協議漏洞修復，保障電力監控系統的穩定運行。

6 病毒攻擊測試與檢測演練

2000年以來，國內外發生多起工控安全事件，2010年發生的伊朗核電站“震網”攻擊事件和2015年、2016年烏克蘭電網連續兩次遭受攻擊導致的大面積停電事件，表明網絡空間的惡意攻擊已成為電網安全穩定運行的現實威脅。本沙箱方案提供了病毒攻擊分析平臺，可通過廣泛收集勒索病毒、震網、飛客、火焰、Industroyer等工控病毒，并進行病毒攻擊測試、監測與防護演練，確切發現其攻擊途徑與方式，并通過針對性的系統補丁、防護策略等反復演練，實現對工控病毒的封堵。

7 網絡攻擊測試與檢測演練

本方案通過拒絕服務攻擊、SQL注入、XSS攻擊模擬工具，提供了網絡攻擊測試平臺，發現電力監控系統網絡攻擊漏洞，并通過將流量鏡像到電網安全檢測預警系統，為電網安全檢測預警系統提供網絡攻擊素材，以方便其進行針對性的網絡攻擊檢測功能升級，增強其安全監測能力。

8 其他應用場景

未知威脅是指一類高度隱秘性的長期性的計算機黑客攻擊，如高級持續性威脅（APT），其攻擊手段多樣，技術水平高，攻擊周期長，常常持續數月甚至數年，其生命周期包含偵查準備階段、初始滲透階段、訪問建立階段、提升權限階段、內部偵查階段、擴展行動階段、保持存在階段和攻擊完成階段。本技術方案通過嗅探掃描、滲透測試、漏洞利用攻擊工具進行各種攻擊模擬，也可以將利用其他環境的疑似、未知或已知攻擊流量重放進行攻擊模擬，在對電力控制系統進行漏洞檢測的同時，使用電網安全監測系統進行流量采集、異常攻擊檢測與攻擊路徑分析，可深層次發現工控系統安全威脅來源與被攻擊手段，基于多樣化的攻擊素材積累，加強多層次的安全事件關聯分析，可進一步提升電網安全監測系統的監測能力。

9 結語

本文針對電力監控系統虛擬沙箱的異常攻擊監測技術研究可以填補國內外沒有針對電網應用環境進行一比一模擬產品的空白，可以針對電網多種業務系統不同的應用場景進行模擬，具有良好的適應性。虛擬沙箱中支持對疑似工業病毒、新型網絡攻擊的模擬運行能力，不對現網環境造成影響，模擬環境支持快速恢復，可深入發現異常攻擊步驟與各個步驟的階段性影響。虛擬沙箱中也支持對現網抓取的異常網絡流量的重放，支持通過流量模擬器產生需要的異常流量，對于新型的未知威脅具備還原、主動模擬的能力。通過針對性的模擬研究，可以發現新型的工業病毒、新型網絡攻擊和未知安全威脅，提高電網安全監測預警能力，保證安全穩定運行。