基于區(qū)塊鏈及聯邦計算的主機入侵檢測方法

常英賢,桂 綱,楊 濤,王紅梅,宋益睿,湯 泉,田 野

(1.國網山東省電力公司,山東 濟南 250001;2.國網山東省電力公司濟寧供電公司,山東 濟寧 272073;3.杭州鏈城數字科技有限公司,浙江 杭州 310012)

隨著產業(yè)數字化進程的推進和能源互聯網的發(fā)展,安全生產管理范疇開始涉及網絡安全問題。2017年5月,受到WannaCry永恒之藍勒索病毒的攻擊,中國石油緊急中斷所有加油站網絡端口,對油罐業(yè)務造成嚴重影響。在能源互聯網中,對網絡攻擊進行主動感知并預警至關重要。為此,研究者提出多種入侵檢測系統(tǒng)(Intrusion detection system,IDS),并廣泛部署在能源企業(yè)的主機上進行威脅檢測與攻擊溯源。當前主機入侵檢測方法可以分為兩種:一種是基于特征規(guī)則的方法,另一種是基于人工智能的方法。在基于特征規(guī)則的入侵檢測中,一種常用的方法是基于網絡數據包各維度數據特征進行攻擊分析,如根據流量日志中的源IP、目的IP、端口號和協議類型等協議信息[1-3],或是流量熵、主機之間的字節(jié)流量等統(tǒng)計信息[4-6]。有研究者提出了基于主機靜態(tài)代碼特征的分析方法,其通常是指在不運行程序的情況下,提取程序的指令、函數調用等可用于異常檢測的靜態(tài)代碼特征[7-9]。作為靜態(tài)檢測的補充,動態(tài)檢測方法[10-12]可以根據記錄的程序運行時上下文行為進行檢測。然而,上述基于特征規(guī)則的檢測方法需要大量的先驗知識和專家判斷,一旦有新的惡意軟件或者新的攻擊手段,基于特征規(guī)則的檢測就很難有效應對。基于人工智能的入侵檢測因具有較強的泛化能力和識別未知攻擊的能力,有效克服了傳統(tǒng)基于特征規(guī)則的入侵檢測固有缺陷,已被廣大研究者所采用。……