基于非掃描漏洞探測的輸電信息安全防御研究

靳曉琪

(中國南方電網有限責任公司超高壓輸電公司 廣州 510670)

1 引言

隨著中國電網事業的快速發展，輸電系統的網絡安全存在著很多安全隱患，如重要信息被篡改、病毒入侵以及使用權被盜等，造成輸電中心站系統癱瘓，影響了輸電系統的正常運行[1]。近年來，隨著信息技術和信息安全的快速發展，輸電信息的安全形態日漸嚴重，致使電網有關故障經常發生，產生的危險也逐漸擴大，對輸電信息的攻擊迫害逐步增多，防御難度系數日漸加劇[2]。

安全漏洞指完成程序代碼時產生的詳細錯誤，如邊界查詢錯誤和邏輯錯誤等[3]。漏洞的產生是由于網絡缺乏嚴密有效的安全防范，使得不安全的操作軟件和內部程序等給入侵者提供了機會，產生不可避免的危險[4]。盡管漏洞自身沒有攻擊行為，但是攻擊者會依據漏洞的存在編寫有關病毒編碼，通過各種方法將病毒編碼傳播出去，造成違法違規行為，如盜竊用戶隱私數據、越權訪問機密文件和損壞輸電線路的信息安全等[5-6]。因此安全人員發現漏洞要及時進行修補，提高輸電信息的安全防御。

采用非掃描漏洞探測方法即隨機探測的機器學習方法，依據輸電信息動態特征，實現對輸電信息的非掃描漏洞探測，并在此基礎上進行輸電信息的安全防御。

2 非掃描漏洞探測方法

2.1 非掃描漏洞探測原型設計

運用1 400 個輸電信息的二進制程序，該程序從Debian 漏洞跟蹤報告中獲得。設計一種基于機器人學習的非掃描漏洞探測方法，通過該檢測方法對輸電信息安全機制中的大量二進制程序實行非掃描漏洞探測。非掃描漏洞探測方法程序如圖1 所示。

圖1 非掃描漏洞探測方法程序圖

2.1.1 基于信息聚合的動態特征提取

hook 程序的關鍵代碼是動態特征提取關鍵環節，機器學習模型訓練用的動態特征是程序執行事件序列，該序列通過在特定時間里執行程序獲取。對序列程序執行事件的采集和按次存儲完成動態特征提取。程序結束或程序調用C 標準庫函數的一次實參是程序執行事件。Cj(agr1,agr2,…,agri)|program End 表示程序執行事件，該執行事件用程序復返狀況或帶實參的函數代表。

其中，j為C 標準庫函數的一次實參調用程序執行事件。該函數的agri表示第i個參數時程序執行事件可以結束特征提取，用program End 表示程序結束狀態。C 標準庫函數程序結束狀態通常和輸電信息內存泄露漏洞緊密相關，程序結束狀態也是最后一次對C 庫函數調用的有關信息。誘發性異常終止(Abort)、異常終止(Crash)、程序退出(Exit)、和時間耗盡(Timeout)4 種狀態屬于程序結束狀態。從測試實例中提取出海量事件是動態特征提取的優點[7-8]。動態特征提取即便面對小程序提取出的時間序列也能建造出特別大的數據集，如單一的循環可以被延展成隨意長的事件序列。但是如果機器學習分類器將動態特征提取的事件序列直接用在模型訓練，沒有任何處理加工的過程，會給模型學習造成兩方面的困擾，一方面是如果參數值域很大，則不同的參數值會很多(如11 位參數取值范圍增加到121 種)，因此如果要運用不連續事件序列去訓練機器學習模型，要對參數的取值范圍大大降低；另一方面，如果參數的特征值很多會導致單個參數攜帶信息很少，致使全部參數攜帶的信息存在比較分散的狀態。

通過子類型去標記每個參數的方式，解決上述存在的兩個問題，如圖2 所示。

圖2 動態特征參數子類型

圖2 中，對指針Ptr32 實行劃分。一共劃分為5部分，分別是堆地址、棧地址、全局內存地址、懸空指針和空指針，這5 部分分別用DPtr32、CPtr32、EPtr32、APtr32 和BPtr32 表示。整數的劃分依據其取值范圍完成，且指針傳遞的信息比整數Fig32 傳遞的信息多。如果輸電信息程序的內存毀壞，那么C 標準庫函數fread 參數取值太大，對fread 參數的子類劃分可依據取值范圍完成，將該參數取值和內存毀壞漏洞間的關系保存，產生的動態特征可有效應用在非掃描漏洞探測中[9-11]。圖2 中，Fig32Bm指示在2m和m+1 間的一個32 位數。

為避免參數信息分散，利用子類型標記方法聚合參數信息。通過子類型標記方法，提取的不同程序執行蹤跡共142 214 條。

2.1.2 特征預處理和機器學習模型訓練

采用TF-IDF 算法完成樣本特征集的特征向量化，并將特征量輸入模型[12]，且獲得的向量長度相同，因此不必對長度實行歸一化處理。

假設t表示輸電信息中敏感詞頻(敏感信息出現的次數)，出現次數較多的輸電信息擁有較大的權重值，出現次數較少的輸電信息權重值較小，那么特征詞tk在輸電信息l中的權重ζ為

輸電脫敏后的數據頻率用fs表示，電網數據傳輸容量idf(tk)為

式中，N表示電網傳輸數據總數，nk表示tk的負荷增長步長，a為常量，且a>0，a≠1。TF 方法能夠有效識別電網數據的高頻特征，但是對低頻詞的分類幫助不大，會忽略輸電信息中的低頻數據，使低頻的輸電信息不完整，為此，通過IDF 方法能夠有效提升低頻輸電信息的重要性，增強了權重。TF-IDF 加權方法將兩方法結合在一起，獲得準確的輸電信息特征權重為

在上述結果下訓練動態特征集，該模型訓練采用Logistic 回歸模型、隨機森林和Text-CNN 完成。

Logistic 回歸和Text-CNN 的假設函數如下所示

但Logistic 回歸模型受到限制，屬于線性分類器，為此，通過隨機森林方法阻止過擬合情況的發生[13]。具體過程如圖3 所示。

圖3 隨機森林擬合阻止過程

根據上述過程，采用最大化訓練數據上的對數似然函數求解完成模型的訓練[14]，通過機器學習方法易忽視某些新特征和隱藏的特征，而過分關注訓練集中擁有的一些特定特征，即易于過擬合會造成對訓練集誤差估計達不到實際預想的效果，因此需要一組獨立的訓練樣本，并精確地估計該訓練樣本，再利用一組獨立的驗證集驗證該訓練樣本。將驗證后獲得的訓練樣本分成3 部分：訓練集、驗證集和測試集[15]。并對Text-CNN 和Logistic 回歸模型實行擬合處理，該擬合處理過程采用交叉驗證的方式，對Text-CNN 實行參數選擇完成輸電信息安全動態特征集的選取，即獲取輸電信息安全漏洞結果。

2.2 非掃描漏洞探測方法在輸電信息安全防御中的應用

2.2.1 線路檢測終端的安全防御

為了保證輸電信息檢測終端和中心站間通信鏈路的安全性和傳輸數據的完好性與保密性，完成中心站和終端間的雙重身份判別是線路檢測終端的安全防御目標。主要防御輸電信息中心站的信息安全受到非掃描漏洞探測到的輸電信息安全漏洞，造成身份造假、重放攻擊等攻擊形式對終端的惡意損壞、攻擊以及其他不正當運作，避免因此造成電網事故，通過輸電信息終端本體實現線路檢測終端的安全防御。由于非掃描漏洞探測技術具有以下幾點優勢，對于輸電信息安全防御具有至關重要的作用。

(1) 含可信模塊的本體固件

可信加載的實現可避免檢測終端本體加載的固件被篡改，其可信加載的過程為：利用內置可信密碼模塊(Trusted cryptography module，TCM)和基于板卡熔斷機制芯片，通過國密可信平臺模塊(Trusted platform module，TPM)，在通電時啟動CPU 共同完成對外存取程序驗證，如圖4 所示。

圖4 基于TCM 的可信加載

為避免出現安全漏洞后電網設施被離線或在線導入惡意代碼和敏感數據的泄露，改動可信模塊的本體固件和操作系統，該改動過程通過基于板卡熔斷機制和內置TPM 芯片完成，由此實現從芯片至系統驅動的逐級可信驗證和全部加密。可信計算機的可信鏈防御過程是從啟動系統開始防御，逐級校正。通過從可信計算機硬件結構、操作系統和芯片等方面采取綜合措施，實現對輸電信息程序的防御。為了提升輸電信息程序整體安全性，在電網通信系統和計算機中，大量應用基于硬件安全模塊支持下的可信計算機平臺。

(2) 基于可信鏈的軟件設計

將監測終端本體上電啟動后，設計基于可信鏈的軟件安全防御過程包括三方面：① 操作系統的可信加載和啟動通過引導輸電信息程序和可信芯片交互完成；② 平臺程序的可信加載和啟動通過操作系統實現；③ 每個進程的可信加載和啟動通過平臺程序完成。通過三個方法的循環操作產生一個依附于可信根的可信鏈，如圖5 所示。

圖5 基于可信芯片的可信鏈傳遞框架圖

通過構建基于可信芯片的可信鏈接傳遞框架圖和數字認證體系，完成輕量化的可信度構建，解決電網惡意病毒漏洞的安全危險。

2.2.2 安全存儲和安全隔離

非掃描漏洞探測出的輸電網絡安全漏洞會導致輸電網絡經常被切換，數據傳輸安全性大大降低。當輸電網絡外網被接入到內網安全區區域中，外網發布服務器會接收到由內網安全區傳遞的同步數據。輸電網絡探測出安全漏洞后，為了確保輸電網絡外網以及內網傳輸的安全性，需要從安全存儲以及安全隔離兩方面著手。

輸電網絡安全防御的重心是監控運維中心，其處于電力專網中，不可信終端不能直接接入該運維中心，且直接訪問該運維中心的數據庫不包括其他服務器或網絡協議。通過安全網關在監控運維中心的邊緣上過濾掉不可信監測接入，為了確保輸電信息服務器的安全，要求外網發布服務器在技術層面上隔離全部反向連接的任務通過正向隔離裝置完成。

監測終端接入監控運維中心采用4G 網絡多跳完成，接入過程中會產生多種風險，如采用路由器盜取IP 包，調換攻擊、攻擊者監聽，篡改和插入等，造成輸電信息多處漏洞導致監控運維中心服務站癱瘓。

3 仿真試驗

為驗證基于非掃描漏洞探測的輸電信息安全防御方法的有效性，進行仿真試驗。采用所提方法對某居民小區中4 個區域某天三個時刻(上午8:00 屬于用電高峰期，下午14:00 用電低峰期和晚上20:00用電中峰期)的輸電信息情況進行漏洞探測，結果見表1。

表1 所提方法探測漏洞結果

分析表1 可知，無論是用電高峰期還是用電低峰期，采用所提方法對4 個區域輸電信息的漏洞探測結果和實際漏洞結果相同，說明所提方法能有效地探測輸電信息漏洞，并有效地提升輸電信息安全防御效果。

為驗證所提方法的魯棒性，在不同信噪比的高斯白噪聲條件下，選擇某日用電高峰時刻8:00，驗證所提方法對4 個區域輸電信息漏洞探測次數，結果見表2。

表2 不同信噪比下輸電信息漏洞探測次數 次

分析表2 可知，所提方法能夠有效地探測4 個區域輸電信息，探測次數接近表1 描述的實際漏洞次數，說明所提方法對輸電信息安全防御效果好，魯棒性強。

在50 dB 高斯白噪聲干擾下，采用所提方法對4 個區域輸電信息情況進行10 次仿真試驗，同樣選擇該日用電高峰時刻8:00，驗證所提方法進行安全防御的4 個區域中的輸電信息抗干擾系數，結果見表3。其中，抗干擾系數越靠近1，抗干擾性能越好。

表3 輸電信息的抗干擾系數

分析表3 可知，采用所提方法進行安全防御的4 個區域中的輸電信息抗干擾系數都靠近1，輸電信息的抗干擾性能好，說明所提方法對輸電信息安全防御效果好。

通過sokit TCP/UDP 軟件測得數據物聯網防御方法、GPRS 防御方法以及非掃描漏洞探測防御方法對 Open Data 500 (http://www.opendata500.com/us/)數據庫中4 個試驗區域輸電信息漏洞平均檢測準確率進行驗證，結果如圖6 所示。

圖6 不同方法漏洞檢測準確率對比圖

分析圖6 可知，不同方法的漏洞檢測準確率不同。當運行時間為100 s 時，物聯網防御方法、GPRS防御方法的漏洞檢測準確率較低，分別為22%、19%，非掃描漏洞探測方法的檢測準確率為96%。當運行時間為500 s 時，物聯網防御方法的漏洞檢測準確率為70%，GPRS 防御方法的漏洞檢測準確率為68%，非掃描漏洞探測方法的漏洞檢測準確率為99%。所提方法一直保持較高漏洞檢測準確率，具有較好的安全防御效果。

為了驗證輸電信息丟包情況，在強干擾下，通過 cmd 命 令 獲 得 Open Data 500 (http://www.opendata500.com/us/)數據庫中輸電信息丟包情況，結果如圖7 所示。

圖7 輸電信息丟包率

采用不同方法迭代檢測輸電信息丟包情況，將結果整理如下，見表4。

表4 不同方法下輸電信息丟包率

分析表4 可知，不同方法下輸電信息丟包率不同。當運行時間為30 s 時，物聯網防御方法的輸電信息丟包率為25%，GPRS 防御方法的輸電信息丟包率為10%，非掃描漏洞探測方法的輸電信息丟包率為0。物聯網防御方法的輸電信息丟包均值為27.5%，GPRS 防御方法的輸電信息丟包率均值為20.17%，非掃描漏洞探測方法的輸電信息丟包率均值為0.5%。所提方法的輸電信息丟包率始終較低，說明了其數據防御效果較好。

為進一步驗證所提方法的防御效果，以攻擊系數為測試指標，驗證不同方法的防御效果，結果如圖8 所示。

圖8 不同方法防御效果對比圖

如圖8 所示，在同等條件下對輸電信息進行防御，所提方法的攻擊系數最低，具有較為明顯的優勢以及較高的實際應用性。

4 結論

采用一種非掃描漏洞探測方法即隨機探測算法對輸電信息安全漏洞進行動態特征提取，通過Text-CNN、Logistic 回歸和隨機森林等算法對提取的動態特征集實行模型訓練獲得輸電信息安全漏洞。當探測出安全漏洞后，從線路檢測終端的安全防御、安全存儲和安全隔離三個方面出發，提高輸電網外網以及內網傳輸信息的安全性，并從添加網關、添加安全接入平臺、利用身份驗證以及采用SM2算法實現報文的加密和解密等四個方面確保電網監控運維中心服務的安全性，這些措施大大實現輸電網絡信息的安全防御。通過試驗得出以下結論。

(1) 所提方法進行安全防御的4 個區域中的輸電信息抗干擾系數都靠近1，輸電信息的抗干擾性能好，說明所提方法對輸電信息安全防御效果好。

(2) 所提方法一直保持較高的漏洞檢測準確率，最高漏洞檢測率可達99%，具有較好的安全防御效果。