基于行為的電力網絡安全事件聯動響應及協同處置方法

吳榮春， 張治兵， 蔣皓， 劉欣東

(中國信息通信研究院， 北京 100191)

0 引言

電力網絡安全運行是電力系統信息化管理的重難點[1-2]。網絡攻擊手段隨著網絡的高速發展逐漸增多[3]，電力系統所設置的眾多防御手段互相關聯較少，容易出現錯誤及遺漏情況，無法抵抗大規模復雜的攻擊行為。

應急處置協同技術能夠令電力網絡受到攻擊后快速恢復，受到眾多電力網絡安全研究學者的重視。文獻[4]闡述了計算機網絡安全的重要性，分析了電力系統計算網絡存在的風險，提出了有針對性的計算機網絡安全防護措施。文獻[5]提出一種基于URPF和精確ACL的協同處置方法，能全流程精確處置DRDoS型網絡攻擊。文獻[6]根據網絡系統全局狀態，選擇網絡安全感知所需的元素最佳組合來應對潛在攻擊，將應急協同處置動態化、實時化、主動化。

基于以上研究成果，本文提出基于行為的電力網絡安全事件聯動響應及協同處置方法，充分分析對電力網絡安全存在威脅的攻擊行為，針對所檢測的電力網絡攻擊行為實施聯動響應及協同處置，保障電力網絡安全運行。

1 基于行為的電力網絡安全事件聯動響應及協同處置

基于行為的電力網絡安全事件聯動響應及協同處置方法充分結合了主動防御與被動防御方法[7]。主動防御方法是指通過流量行為特征熵的DoS/DDoS攻擊檢測方法檢測電力網絡中存在的攻擊行為；被動防御方法是指通過聯動響應及協同處置保障電力網絡安全運行。

1.1 流量行為特征熵的DoS/DDoS攻擊檢測

利用基于流量行為特征信息熵的Dos/DDoS攻擊檢測方法，通常是獲取電力網絡中存在異常行為的具體IP地址，提取電力網絡中存在異常行為的流量信息，判斷異常是否為安全事件中的Dos攻擊行為和/或DDos攻擊行為。

提取電力網絡中所包含的字節數、源IP地址、包流量、目的端口號等流量行為特征。利用隨機過程表示不同時間段數據包的統計過程，利用信息熵獲取電力網絡中不同屬性的分散程度和集中程度。

統計不同時間段電力網絡的流量信息，定義固定時間段屬性信息熵公式如下：

(1)

式中，N與Pi分別表示電力網絡屬性內全部可能的取值數量和隨機事件Pi的概率,i=1，2，3,…,n。

分析電力網絡中目的IP的信息熵，搜尋電力網絡流量行為特征信息和存在異常行為的時間。將粗粒度的電力網絡流量行為特征參數設置為信息熵。

異常行為時間輸入以及輸出的檢測。通過比較不同時間點的目的IP信息熵，信息熵高于已設定閾值時即為存在異常的時間點。

電力網絡中的DoS攻擊和DDoS攻擊通常以發送無效請求的方式占用電力網絡資源，導致電力網絡無法正常運行。

電力網絡中，服務率能夠體現IP節點的用戶請求是否無效，因此利用服務率搜尋存在攻擊行為的IP節點流量行為特征，服務率表達式如下：

Se(t)=ns(t)/nr(t)

(2)

式中，ns(t)與nr(t)分別表示時間為t時目的IP發送和接收的數據包數量。

IP節點服務率較低表示DoS和DDoS攻擊行為攻擊該IP節點的可能性較大。

電力網絡細粒度的流量特征行為結構圖如圖1所示。

圖1 細粒度流量特征行為

利用電力網絡細粒度的五個流量特征行為比較異常時間點的細粒度流量行為，精準定位電力網絡存在攻擊行為的安全事件目的IP位置。

定義細粒度流量行為特征參數的變化比率公式如下：

(3)

(4)

利用以上公式所獲取的特征參數變化比率評價流量行為特征參數。當流量行為特征參數在檢測過程中存在明顯提升或下降的趨勢，所獲取的參數變化比率高于所設定閾值時，判定該IP節點為異常IP。

依據異常時間點確定異常IP節點的流程如圖2所示。

圖2 異常IP節點檢測流程圖

依據圖2可知，檢測電力網絡異常IP節點主要流程如下：

(1) 依據大小排序檢測異常時間點相應的IP節點流量；

(2) 提取排名為前N的IP節點；

(3) 提取歷史時間窗內不同時間點所獲取前N個目的IP節點的相應子流；

(4) 計算所提取子流的流量行為特征參數值，利用子流的流量行為特征參數值計算子流變化比率；

(5) 依據所獲取IP節點相應流量的行為特征參數值和變化比率，確定電力網絡中存在攻擊行為的異常IP節點。

1.2 聯動響應協同處置平臺

電力網絡安全事件聯動響應協同處置對所下達任務的可靠性、時間以及精度具有較高要求，協同處置的同時需改善帶寬利用率低的缺陷。

聯動響應協同處置平臺結構如圖3所示。

由圖3可以看出聯動響應協同處置應用了SOA架構。SOA架構中所包含的協同處置單元自組織性能優越，滿足了用戶在不同協同處置單元的需求。

圖3 聯動響應協同處置結構圖

1.2.1 安全事件聯動響應

安全事件聯動響應需具備網絡安全策略聯合、功能統一及組織良好協作的功能，保障電力網絡快速解決攻擊行為。

安全事件聯動響應所包含機構如圖4所示。

圖4 安全事件聯動響應機構

聯動響應中應包含專家顧問、研發機構、應急響應、信息管理、行為跟蹤、信息聯絡6個機構的聯動。研發機構負責開發電力網絡安全相關工具和技術，同時測試網絡中所包含的漏洞；專家顧問負責提供網絡攻擊行為的解決策略；應急響應模塊負責應對攻擊行為；行為跟蹤模塊和信息管理模塊是聯動響應的核心，可實現安全信息的管理以及攻擊行為的報告與決策。信息聯絡和應急響應兩個模塊令聯動響應更加便捷。

1.2.2 協同決策

電力網絡協同處置過程中，通過專家顧問、研發機構、應急響應、信息管理、行為跟蹤、信息聯絡6個機構共同實現協同決策。協同決策結構如圖5所示。

圖5 協同決策結構圖

由圖5可以看出，協同決策由多媒體通道、智能代理、通信引擎組成。聯動響應協同處置平臺利用通信引擎通過書寫器、閱讀器等方式實現決策。閱讀器與書寫器分別在共享白板中展示攻擊行為的變化、知識源以及對于攻擊行為的執行結果，眾多信息利用通信引擎實現信息傳送。通過眾多專家實現攻擊行為的協同決策，通過語音、文本等通信方式實現智能代理，專家可選取合適的通信方式協同處置。

1.2.3 基于Agent的安全交互

聯動響應協同處置平臺中共享數據庫的安全機制如圖6所示。

圖6 共享數據庫安全機制

圖6中，聯動響應協同處置平臺運行過程中，需調用加密服務、身份認證等安全措施，其中，協同決策人員通過協同處置的專家體系處置攻擊行為等事件前，通過協同處置單元的安全服務中心注冊賬號，獲取授權后參與處置任務，安全基礎設施以及密碼基礎設施分別提供授權管理、身份管理以及信息與數據傳輸的加密措施，保障電力網絡聯動響應協同處置過程中的服務為保密及安全狀態。

設置各協同處理單元均包含一個Agent，利用Agent加密及解密交互數據，僅設置一個開放端口于不同的協同處置單元，避免電力網絡中的防御單元受到攻擊。

2 實驗分析

為了驗證本文提出的基于行為的電力網絡安全事件聯動響應及協同處置方法的有效性，選取某電力公司的通信網絡作為實驗對象。

實驗過程如下：提取關鍵策略數據，并進行大數據解析和分析，展示安全域基礎架構；分析業務流程和組織職責，在安全域基礎架構圖上展示基于用戶角色和業務流向的可視化關鍵業務合規基線策略和違規策略預警機制；在各個區域部署網絡安全監測裝置，結合告警信息和響應處置建議，快速實現響應處置；結合業務流程和運維機制，研究展示策略變更工作流，一旦運維人員提出變更請求，系統能夠自動分析出與其關聯的設備和策略，并進行影響分析。

統計該電力網絡于2020年2月13日運行24 h的隨機IP節點的信息熵結果，如圖7所示。

圖7 目的IP信息熵序列結果

由圖7可知，目的IP信息熵值在3.5～6.5之間，采用本文方法可有效獲取IP節點的信息熵，為精準監測攻擊行為提供依據。將本文方法檢測攻擊行為結果與實際攻擊行為進行對比，對比結果如表1所示。

表1 攻擊檢測結果

從表1檢測結果可以看出，采用本文方法可有效檢測電力網絡中的攻擊行為，僅未檢測出1例DDoS攻擊行為，漏報率低至10%，誤報率低至0，驗證本文方法具有較高的攻擊行為檢測精度。

統計采用本文方法對于電力網絡安全事件聯動響應及協同處置結果，統計結果如表2所示。

表2 聯動響應及協同處置結果

表2實驗結果可以看出，采用本文方法可有效檢測電力網絡中存在的攻擊行為、攻擊事件和攻擊IP。本文方法采用聯動響應協同決策方法具有極快的響應速率，處置時間均低于600 ms，可快速解決電力網絡安全事件。

利用電力網絡誤碼率衡量電力網絡運行性能，統計該電力網絡采用本文方法前后的運行性能，統計結果如圖8所示。

圖8 電力網絡運行性能變化

圖8實驗結果可以看出，應用本文方法聯動響應及協同處置電力網絡安全事件后，電力網絡誤碼率降低明顯，說明本文方法可快速檢測電力網絡中存在的攻擊行為，提升了電力網絡的運行性能。

3 總結

本文研究基于行為的電力網絡安全事件聯動響應及協同處置方法，實現安全信息交換以及共享，屬于完整的網絡安全策略，具有較高的實用價值以及理論意義。將該研究方法應用于電力系統實際應用中極為重要，可提升電力網絡運行安全性。利用流量行為特征信息熵檢測電力網絡中所存在的攻擊行為，精準監測網絡中存在攻擊行為的具體部位，針對檢測結果實現聯動響應以及協同處置，能使網絡快速恢復正常，提升電力網絡運行水平。