基于大數(shù)據(jù)的主動防御技術(shù)在電力信息網(wǎng)絡(luò)安全的應(yīng)用分析

貴州電網(wǎng)有限責(zé)任公司銅仁供電局 付義洲

引言

伴隨著現(xiàn)代化技術(shù)的不斷發(fā)展，以計算機為基礎(chǔ)的現(xiàn)代通信方式逐漸改變著人們生活的方方面面，并在電力發(fā)展行業(yè)也實現(xiàn)了廣泛應(yīng)用。南方電網(wǎng)公司在推進智能電網(wǎng)、電力物聯(lián)網(wǎng)建設(shè)過程中，雖然已經(jīng)取得了良好的成果，但也面臨同樣面臨著各種各樣的困難，其中最為突出的就是信息系統(tǒng)網(wǎng)絡(luò)安全問題。與其他類型的安全維護工作相比，電力信息安全需要更多的技術(shù)支持，且不僅局限于信息安全管理的前端，其相關(guān)異常行為的追蹤溯源及攻擊行為的防御，以及整體網(wǎng)絡(luò)環(huán)境的安全態(tài)勢分析，都在電力信息安全維護中發(fā)揮著重要作用。

已有諸多學(xué)者就該問題展開了相關(guān)研究：文獻(xiàn)[1]在GRU-CNN 的基礎(chǔ)上對網(wǎng)絡(luò)攻擊進行識別檢測，并且實現(xiàn)了良好的檢測效果，但是其對新類型攻擊的識別仍然需要一段時間的優(yōu)化，因此應(yīng)用的時效性存在一定提升空間；文獻(xiàn)[2]將主動防御新技術(shù)應(yīng)用在電力信息網(wǎng)絡(luò)安全維護中，同樣在一定程度上降低了網(wǎng)絡(luò)安全風(fēng)險，但是對于攻擊的定位追蹤效果并不理想，難以為后續(xù)的技術(shù)優(yōu)化提供數(shù)據(jù)基礎(chǔ)。

為了提高電力信息網(wǎng)絡(luò)的安全性，對其實施有效的主動防御技術(shù)是十分必要的，為此,提出了基于大數(shù)據(jù)的主動防御技術(shù)在電力信息網(wǎng)絡(luò)安全的應(yīng)用分析。利用大數(shù)據(jù)設(shè)置檢測指標(biāo)閾值范圍，以此確保蜜罐技術(shù)能夠?qū)崿F(xiàn)對異常信息的全面識別和處理，結(jié)合大數(shù)據(jù)反饋的威脅指標(biāo)，分析異常信息影響下的電力信息網(wǎng)絡(luò)安全態(tài)勢，最后通過大數(shù)據(jù)獲取異常信息行為的多源日志，實現(xiàn)對其的準(zhǔn)確溯源技術(shù)。

測試結(jié)果表明，設(shè)計方法對異常信息的檢測誤差不超過0.1，對安全態(tài)勢的分析結(jié)果不超過0.01，且能夠?qū)崿F(xiàn)對異常信息行為的準(zhǔn)確溯源。通過本文的研究，也希望為相關(guān)電力信息系統(tǒng)網(wǎng)絡(luò)安全維護與保障工作的開展帶去有價值的參考。

1 主動防御技術(shù)在電力信息網(wǎng)絡(luò)安全的應(yīng)用

1.1 電力信息網(wǎng)絡(luò)安全檢測

通過主動防御技術(shù)和被動防御技術(shù)的結(jié)合，電力信息網(wǎng)絡(luò)的動態(tài)安全防御體系可以使電力信息網(wǎng)絡(luò)更加安全[3]。電力信息網(wǎng)絡(luò)安全檢測最主要的內(nèi)容就是對網(wǎng)絡(luò)中的異常訪問信息和信號進行識別，而要實現(xiàn)這一目標(biāo)，首先要制定一個合理的網(wǎng)絡(luò)信息資源運行閾值標(biāo)準(zhǔn)。在傳統(tǒng)方法中，該標(biāo)準(zhǔn)主要是通過統(tǒng)一標(biāo)準(zhǔn)或結(jié)合運維人員的工作憑經(jīng)驗進行手動設(shè)置的[4]，但是在這種設(shè)置方法往往存在較大的偏差。

為此，本文利用大數(shù)據(jù)實現(xiàn)對檢測指標(biāo)閾值范圍的設(shè)置，再結(jié)合蜜罐技術(shù)實現(xiàn)對網(wǎng)絡(luò)信息資源狀態(tài)的分析檢測。在進行檢測之間需要注意的是，對于異常安全信息不僅僅要實現(xiàn)準(zhǔn)確檢測，同時也要對于實施有效的干預(yù)，在一定程度上預(yù)防網(wǎng)絡(luò)安全隱患的發(fā)生[5]。

利用大數(shù)據(jù)技術(shù)對電力信息網(wǎng)絡(luò)中的歷史訪問數(shù)據(jù)進行有效分析，得到信息資源指標(biāo)的合理運行范圍，并將其作為蜜罐技術(shù)的閾值，其計算方式可以表示為：Dmax=cD0max+D/(2mn-1)、Dmin=cD0min+D/(2mn-1)，其中：Dmax和Dmin分別表示蜜罐技術(shù)檢測識別判定風(fēng)險信息的閾值上限和下限，c 表示電力信息網(wǎng)絡(luò)環(huán)境的自擾動系數(shù)，D0max和D0min分別表示大數(shù)據(jù)中信息的最大值和最小值，m 和n 分別表示電力信息網(wǎng)絡(luò)的傳輸系數(shù)和冗余系數(shù)。以此為基礎(chǔ)，將[Dmax,Dmin]范圍內(nèi)的結(jié)果判定其為正常信息，將超出[Dmax,Dmin]范圍的結(jié)果判罰為異常信息，并采用蜜罐技術(shù)對其實施相應(yīng)的欺騙，最大限度降低其對電力信息網(wǎng)絡(luò)環(huán)境帶來的安全威脅。

1.2 電力信息網(wǎng)絡(luò)安全態(tài)勢分析

基于上述條件，本節(jié)針對電力信息網(wǎng)絡(luò)安全的態(tài)勢分析，是通過對電力信息網(wǎng)絡(luò)環(huán)境內(nèi)所有異常數(shù)據(jù)的分布情況實現(xiàn)的。對其的分析本節(jié)同樣采用大數(shù)據(jù)實現(xiàn)。假設(shè)在大數(shù)據(jù)下，1.1部分識別的異常網(wǎng)絡(luò)信息導(dǎo)致信息資源指標(biāo)出現(xiàn)非正常突變的概率為P，在多個異常網(wǎng)絡(luò)信息的堆積下這種突變逐漸累加，當(dāng)其超出正常閾值范圍時，蜜罐技術(shù)的常規(guī)的干預(yù)手段難以實現(xiàn)對網(wǎng)絡(luò)安全的維護，此時的安全態(tài)勢也將發(fā)生變化，其對應(yīng)的計算方式可以表示為：γ=(p-∑p)/Z，其中：γ 表示安全態(tài)勢分析結(jié)果，p 表示網(wǎng)絡(luò)安全波動的正常閾值范圍，Z 表示網(wǎng)絡(luò)環(huán)境的基礎(chǔ)負(fù)載。通過這樣的方式，計算得出電力信息網(wǎng)絡(luò)安全態(tài)勢情況。

1.3 電力信息網(wǎng)絡(luò)安全攻擊追蹤

由1.2可知，當(dāng)電力信息網(wǎng)絡(luò)安全態(tài)勢達(dá)到原有的預(yù)警標(biāo)準(zhǔn)時，除實施有效的防御基礎(chǔ)外，還需要對該異常信息對網(wǎng)絡(luò)環(huán)境造成的攻擊進行識別，并結(jié)合識別結(jié)果作出相應(yīng)的修復(fù)，這就要求對異常信息的行為進行準(zhǔn)確追蹤。為此，本節(jié)基于信息網(wǎng)絡(luò)的歷史運行大數(shù)據(jù)，建立包含在線用戶數(shù)、日登錄用戶數(shù)、運行狀態(tài)、接口狀態(tài)、健康運行時長的多源日志標(biāo)簽，并建立一級緊急搶修位置及二級緊急搶修位置，其計算方式可以表示為：F=100-γf。

其中，F(xiàn) 表示溯源結(jié)果，f 表示異常信息的多源日志標(biāo)簽數(shù)據(jù)。以此為基礎(chǔ)，當(dāng)F 值大于60時判定其為二級緊急搶修位置，當(dāng)F 值小于60時判定其為一級緊急搶修位置。但需注意的是，溯源結(jié)果中不僅包含異常數(shù)據(jù)的攻擊痕跡，同時也包括其經(jīng)過的非目標(biāo)攻擊位置，因此對其的溯源可結(jié)合1.1部分的檢測結(jié)果進行。通過這樣的方式，實現(xiàn)對電力信息網(wǎng)絡(luò)異常信息行動軌跡的準(zhǔn)確追蹤，為后續(xù)的修復(fù)工作提供可靠的數(shù)據(jù)基礎(chǔ)，最大限度降低由此帶來的網(wǎng)絡(luò)安全問題。

2 測試分析

2.1 測試環(huán)境

本文按照電力信息網(wǎng)絡(luò)的實際結(jié)構(gòu)，采用模擬軟件構(gòu)建了一個網(wǎng)絡(luò)拓?fù)洵h(huán)境，包含核心層、匯聚層和接入層，以此滿足數(shù)據(jù)的交互需求，并將其作為電力信息網(wǎng)絡(luò)的路由器裝置，編號1～5。考慮到在實際的電力信息網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的分層是以電力實際場景需求進行分配的，因此本文選用5個設(shè)備實現(xiàn)對其的分層建設(shè)，確保模擬電力信息網(wǎng)絡(luò)最大限度貼近實際結(jié)構(gòu)。考慮到各地區(qū)調(diào)度數(shù)據(jù)網(wǎng)大多采用H3C MSR 36-40路由器，結(jié)合安全基線配置檢測標(biāo)準(zhǔn)，本文啟用telnet 明文service 搭建了開啟SNMP 的寫功能，以此更好地服務(wù)H3C MSR 36-40，并在access 中綁定了設(shè)置的設(shè)備脆弱項，根據(jù)典型脆弱項表現(xiàn)出的特性對模擬的網(wǎng)絡(luò)節(jié)點進行賦值。

其中，接入層的1號和5號節(jié)點為機房中的設(shè)備，1號節(jié)點包含1個高級設(shè)備脆弱項、10個中級設(shè)備脆弱項，以及12個低級設(shè)備脆弱項；5號節(jié)點無高級設(shè)備脆弱項，包含5個中級設(shè)備脆弱項和9個低級設(shè)備脆弱項。從設(shè)置上可看出，1號節(jié)點包含高級設(shè)備脆弱項，因此與5號節(jié)點相比其更易受到攻擊。匯聚層的節(jié)點2號和4號為該匯聚中的設(shè)備，2號節(jié)點無高級設(shè)備脆弱項，但包含9個中級設(shè)備脆弱項和12個低級設(shè)備脆弱項，4號節(jié)點包含1個高級設(shè)備脆弱項、8個中級設(shè)備脆弱項和3個低級設(shè)備脆弱項。與接入層相同，4號節(jié)點包含高級設(shè)備脆弱項，因此比2號節(jié)點更易受到攻擊。核心層對應(yīng)的節(jié)點為3號，也是核心中的設(shè)備，設(shè)置該節(jié)點無高級設(shè)備脆弱項，包含6個中級設(shè)備脆弱項和7個低級設(shè)備脆弱項。

在上述基礎(chǔ)上，對各節(jié)點的參數(shù)進行設(shè)置，其節(jié)點編號、價值、脆弱度、威脅度、整體風(fēng)險分別為：1、2.246、1.521、3.50、2.650；2、3.492、1.396、2.50、2.771；3、4.501、1.242、2.50、3.209；4、3.512、1.150、3.50、2.545；5、2.264、1.092、2.50、5.471。按照以上設(shè)置，分別采用文獻(xiàn)[1]文獻(xiàn)[2]以及本文提出的方法進行試驗測試，分析本文設(shè)計方法的應(yīng)用效果。

2.2 測試結(jié)果

首先，統(tǒng)計了三種方法對各個網(wǎng)絡(luò)節(jié)點脆弱度的檢測結(jié)果誤差，具體如圖1所示。

圖1 網(wǎng)絡(luò)節(jié)點脆弱度檢測結(jié)果誤差對比圖

從圖1中可以看出，對比三種方法，文獻(xiàn)[1]方法的檢測誤差最為明顯，最大值達(dá)到了0.331（2號節(jié)點），最小值也達(dá)到了0.156（3號節(jié)點）。文獻(xiàn)[2]方法雖然與文獻(xiàn)[1]方法相比有一定的提升，但是總體誤差仍在0.150左右，相對偏高。

通過觀察本文方法的檢測結(jié)果可以看出，其誤差最大值也僅為0.092（2號節(jié)點），最小值僅為0.037（4號節(jié)點），由此可以判定，本文設(shè)計方法可以實現(xiàn)對電力信息網(wǎng)絡(luò)脆弱節(jié)點的有效檢測，可以為后續(xù)的安全態(tài)勢感知提供可靠數(shù)據(jù)基礎(chǔ)。在此基礎(chǔ)上統(tǒng)計了本文方法對測試環(huán)境整體風(fēng)險的計算結(jié)果，具體的誤差如圖2所示。

圖2 網(wǎng)絡(luò)環(huán)境整體風(fēng)險檢測結(jié)果誤差對比圖

從圖2中可以看出，對比三種方法，文獻(xiàn)[1]方法對測試環(huán)境整體風(fēng)險的檢測誤差仍然最為明顯，最大值達(dá)到了0.121（2號節(jié)點），最小值也達(dá)到了0.109（3號節(jié)點）。由于文獻(xiàn)[2]方法對網(wǎng)絡(luò)節(jié)點脆弱度檢測結(jié)果誤差相對文獻(xiàn)[1]方法有一定的提升，因此對測試環(huán)境整體風(fēng)險的檢測誤差也偏低，基本穩(wěn)定在0.095左右。觀察本文方法的檢測結(jié)果可以看出，誤差最大值也僅為0.064（1號節(jié)點），最小值僅為0.042（3號節(jié)點），由此可以判定，本文設(shè)計方法可以實現(xiàn)對電力信息網(wǎng)絡(luò)整體風(fēng)險情況的準(zhǔn)確分析，可以為相關(guān)安全維護技術(shù)手段的實施提供可靠數(shù)據(jù)。為進一步分析本文設(shè)計方法對攻擊定位的檢測結(jié)果，本節(jié)進行了5次攻擊位置檢測（表1）。

表1 不同方法攻擊追蹤結(jié)果統(tǒng)計表

從表1中可以看出，文獻(xiàn)[1]方法對于小規(guī)模攻擊的追蹤效果較好，但是當(dāng)攻擊節(jié)點數(shù)量增加時，其追蹤明顯增加，文獻(xiàn)[2]方法同樣在小規(guī)模攻擊追蹤中表現(xiàn)出良好效果，但是對于3個節(jié)點以上攻擊的追蹤結(jié)果不夠全面，丟失問題嚴(yán)重，而本節(jié)方法不僅實現(xiàn)了對攻擊節(jié)點的準(zhǔn)確定位，同時未出現(xiàn)信息丟失，具有良好的溯源能力。

3 結(jié)語

電力信息系統(tǒng)網(wǎng)絡(luò)安全維護是一項關(guān)系到電力資源價值利用和電力系統(tǒng)運行風(fēng)險管控的重要手段，為了最大限度降低由于網(wǎng)絡(luò)攻擊帶來的信息安全問題，建立起包含安全檢測、安全態(tài)勢感知、安全攻擊追蹤一體化的全方位防御體系是十分必要的。本文提出基于大數(shù)據(jù)的主動防御技術(shù)在電力信息網(wǎng)絡(luò)安全的應(yīng)用分析研究，利用大數(shù)據(jù)的優(yōu)越性，分別采用多源日志的行為溯源技術(shù)、蜜罐技術(shù)以及態(tài)勢感知技術(shù)實現(xiàn)對電力信息網(wǎng)絡(luò)安全的管理。通過本文的研究，以期為電力信息網(wǎng)絡(luò)環(huán)境的安全穩(wěn)定發(fā)展提供幫助。