基于大数据关联性分析的新能源网络边界协同防护技术

摘要：随着能源互联网的发展，电力信息网络系统架构也在不断变化，使电力信息网络安全面临着新的挑战。研究基于网络流水印的多点协同追踪和多层次的网络威胁协同阻断技术，由此设计高效的水印嵌入和检测算法，通过节点的协同配合，实现对安全威胁的实时追踪，同时针对不同的安全威胁，设计多层次的连接干扰和网络阻断技术，实现网络威胁的弱化和阻断。提出了跨域协同入侵追踪架构，解决了跨域网络入侵路径的快速重构。提出了基于时隙质心网络流水印的跳板节点发现算法，解决了利用跳板机网络攻击的溯源分析问题。

随着互联网技术的不断发展，网络安全形势越来越严峻，网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域，网络攻击逐渐趋于国家间、团队集团的对抗，攻击强度、烈度越来越迅猛。美国网络部队总人数已达 7万人以上，严重威胁着我国的网络空间安全。由于电力系统结构复杂多样、分布广泛、重要性高，一旦瘫痪将造成严重影响，极易成为敌对势力攻击的首选目标。面对这样的形势，电网公司陆续建设了多个安全子系统，但是各系统间的数据未实现集中，呈现“孤岛”分布状态，在攻击溯源和协同阻断方面缺乏实质性的手段。本文针对新能源网络边界的安全威胁，研究基于网络流水印的跨域追踪和多层次协同阻断技术，实现了多个网络安全防护设备的协同联动，提升了网络安全事件的处置效率和效果。

为解决当前电力行业信息网络安全防护面临的新的难题，本文主要研究如何在多自治域组成的网络中，通过域内和域间设备的协同，实现跨域的网络入侵追踪。

本文的研究意义在于开展网络安全三道防线联动防御技术研究，突破网络安全威胁协同防御算法，实现不同安全防护产品和公司网络与信息安全预警分析平台间的有机联动，主动阻断攻击，有利于提升信息安全事件响应及应急处置能力，最终提升公司整体网络安全防护水平。

1、当前新能源网络边界协同防护研究水平

随着现代工业的快速发展，以及受到国家能源结构战略调整等因素的影响，我国新能源电力设施发展迅猛。特别是宁夏等地广人稀的省份，修建了大量的新能源电厂。在各类新能源中，光伏、风能等新能源凭借技术成熟、污染少、建设快、占地面积小等特点，得到了快速发展。

1.1　网络安全设备联动

网络安全一贯的做法是静态防御，利用防火墙进行访问控制，其他类设备进行内容过滤和加密。随着技术的进步，网络安全技术也由静态防御向动态防御进行转变，入侵防御、应用防火墙、漏洞扫描等动态网络安全防护手段得到广泛应用，是网络安全防护的不二选择。动态防御技术检测能力很强，但受设备检测深度和特征库丰富程度的限制，不能有效防御攻击。因此，需要一个动静结合的、具备互动能力的综合安全体系，不仅包括多种安全技术的有机集成和多种安全产品之间的动态联动，同时也是安全产品提供商和服务提供商之间的有机集成。

1.2　新能源网络边界威胁场景分析

新能源具有间歇性波动的特点，如果不能掌握实时的发电信息，其并网后的功率波动会带来电网频率偏移和频率稳定性问题，将对电网调度、负荷预测和发用电平衡产生重大影响，因此省地电力调度需要对新能源电厂的运行数据进行实时的监测。本项目的研究重点在于对新能源电厂运行数据通过调度网络接入主站所形成的接入区域的网络安全进行防护。

根据电网安全防护要求，新能源网络已经实现了网络隔离、分区管理的模式。根据不同的网络入侵场景的特点，可以将网络入侵的场景分为纵向入侵和横向入侵两种类型。两种入侵场景的特点在于：纵向入侵主要在同一个分区内实施，网络连接条件较好，网络流量经过加密装置；横向入侵主要是从低安全要求区域往高安全防护要求区域进行渗透，会经过网络隔离设备，网络流量未经过加密装置。

2、基于大数据的新能源边界网络安全探索

目前，在新能源网络中能采集到的各类电网信息主要包括拓扑结构、实时运行信息、设备状态信息、电网稳态数据信息、电网动态数据信息、电网运行环境信息和各类设备软硬件信息等。电网信息数据体量巨大，数据类型繁多，大数据环境下大规模原始情报数据量与日俱增，来源多样且结构复杂。基于数据的关联性和重复性，利用大数据技术，建立网络安全感知模型，将海量数据进行去重、关联，实现宏观描述网络安全态势，支撑跨域入侵追踪。新能源网络安全大数据分析包括数据采集、数据去重、入侵数据路径还原，其中，数据采集是指结合网络拓扑信息，通过设备日志、设备告警和网络数据包的嗅探来获取原始数据。数据去重是指数据采集探测到海量日志、告警数据，对海量数据进行去重，化繁从简。入侵数据路径还原是指对采集的原始数据先去重，然后提取特征，再结合知识库中的攻击模式进行攻击行为的匹配，还原攻击路径。

新能源网络安全大数据分析实现了从数据采集到网络安全入侵路径重现的全过程。新能源边界网络安全入侵路径重现的详细过程如下文所述。

(1）数据采集。采集新能源网络中各类设备、系统产生的日志和发生异常时的日志，以及攻击者攻击时产生的日志和流量。

(2）基于属性相似性的告警去重。一个网络告警事件包含了一系列的属性，利用告警事件属性的相似性和告警发生的小间隔时间，采用哈希函数来快速发现属性相似的告警事件。一个网络事件按照其发生到形成的时间序列可以描述为一个多元组，其中 t　代表日志记录生成的时刻，s 代表监测事件的类型，代表事件的属性，可以包括事件名称、参与者、出现场景、攻击对象、性质、检测依据等要素。

一个网络事件的发生具有一定的持续时间，因此告警日志中会出现大量相似的重复记录，若两个日志的时间间隔在某个特定范围内，且日志除去 t 和 s 元素后剩下的 n 元组哈希值相等，便判定为同一个网络事件，并对其进行去重。去重判定方法如下文所述。

对于两条告警日志x和y，若，且则认为 x=y 并保留时间较前的一条日志。其中，是一个基于过去经验计算得到的时间间隔，Hash 代表哈希函数。Hash 函数可以使用常用的 MD5，SHA-1 等散列函数。时间间隔 取过去日志数据中同一事件类型的网络攻击持续时间 的算术平均值，即对于事件类型 和时间间隔，最终我们可以得到全集

(3）入侵数据路径还原。依据新能源信息网络分区布防的信息（一区、二区、三区、各区边界布防和三个区域传递的信息），结合钻石分析模型，推断出入侵事件中无法直接获得的关联性元素，具体为提取一个元素，并利用该元素与数据源相结合，以发现相关元素。最后从网络协议特征、网络负载特征和网络流量特征 3 个方面对网络入侵事件进行路径还原。

 3、跨域协同追踪技术

针对多网络自治域环境下跨域的安全威胁，针对基于跨域入侵追踪技术展开研究，通过域间节点的协同配合，实现对跨域安全威胁的实时追踪。

3.1　跨域入侵追踪技术

当前，入侵追踪主要通过两种途径：一种是基于 IP 报文的，通过网络中的各级路由器支持，结合 IP 报文信息，层层溯源找到入侵源；另一种是面向连接的，通过将入侵源和被攻击源之间的网络流进行关联，从而确定两者间的关系。

入侵追踪 IP 数据报文分为测试连接、记录日 志、 控 制 消 息 协 议（Internet Control Message Protocol，ICMP）追踪和报文标记。其中，测试连接是从距离受攻击主机最近的路由设备开始，进行上游数据链递归检查，直至找到攻击流量源头。日志记录是收集分析网络中报文日志信息，从而获取入侵报文的传输途径。ICMP 追踪是对路由器转发报文时以较低的概率随机复制若干报文，添加路由信息并封装成 ICMP 报文，再发到接收端。被攻击主机在收到这些 ICMP 报文后，收集报文中存在的路由信息，重构入侵传输途径。报文标记是以一定的概率对路由器转发报文添加标记，再通过收集携带标记的数据包完成对入侵路径的重构。

3.2　多层次的网络协同阻断技术

目前，网络中常用的阻断技术包括：在网络边界通过路由器或者防火墙阻断网络连接，在内网通过划分虚拟局域网（Virtual Local Area Network，VLAN）来控制内部节点之间的连通性，在内网还可以通过向连接两端的节点发送 TCP Reset 包来阻断连接。

3.3　协同追踪模型的功能

单元网络入侵可能在多个自治域（Autonomous System，AS）之间跨越，这就需要建立协同入侵追踪机制，在多个 AS 间追踪入侵，从而实现安全高效、易扩展的跨域入侵追踪，同时基于网络流间的关联性，提出入侵路径的构建算法，有效防止自治域间泄露敏感信息。基于网络流水印的跨域入侵追踪架构如图 1 所示，包含如下组件：域内追踪服务客户端组件（Tracking Service Client，TSC） 负 责 接 收 本 自 治 域 内 来 自 预 警分析平台追踪策略或入侵检测组件（Intrusion Detection System，IDS） 的 入 侵 报 警， 然 后 向域 内 追 踪 审 定 决 策 点 组 件（Tracking Decision Point，TDP）提出启动入侵追踪的请求；TDP 根据本自治域的入侵追踪管理策略对来自本域中TSC 发出的追踪请求进行审核；域间追踪管理器 组 件（Inter-domain Tracking Manager，ITM）是实现本自治域内以及跨自治域追踪的管理中心；域 边 界 追 踪 管 理 器 组 件（Border Tracking Manager，BTM）用于确定当前的网络攻击流与本自治域的关系；域内追踪管理器组件（Domain Tracking Manager，DTM）用于定位源自本自治域的入侵源。

图 1　跨域协同入侵追踪架构

3.4　跨域网络入侵跳板节点发现算法

跨域的网络入侵采用跳板节点时，通常采用事后追踪的方式，该方式需要分析海量的服务器日志和交换设备日志才能溯源到攻击者。本文提出采用基于网络流水印的方法来定位跳板节点，可以做到实时追踪，并且避免了分析海量日志，能够有的放矢地采集数据。

3.4.1　基于数据包间隔的自校验网络流水印

在原来基于数据包间隔的网络流水印算法的基础上，对用于嵌入网络流水印的数据包组引入冗余。假设需要嵌入 m 位的网络流水印，原先需要提取 m 组数据包，现在提取 2m 组数据包，其中相邻的 2 组数据包用于产生 1 位网络流水印。相邻 2 组中的前 1 组按照原来的方法产生 1 位网络流水印，后 1 组按照校验规则产生当前网络流水印位的校验信息。

本文采用 m 位的 2 进制校验码来决定每 1位网络流水印的校验规则，即校验码和网络流水印长度相同，1 位对应 1 位。当校验码为 0 时，校验信息位和网络流水印位相同；当校验码为 1时，校验信息位和网络流水印位相反。

3.4.2　基于时隙质心的扩频流水印机制

现有的水印机制虽然能有效追踪单个网络攻击入侵，但在水印实际追踪过程中，多个水印流常进入同一个匿名信道中的混合结点 [3]。多个不同的水印流之间存在严重干扰情况，严重影响现有水印的追踪效果。因此，采用基于时隙质心的扩频流水印的新型水印技术，增强了现有的直接序列扩频水印和时隙质心水印的检测效果。

使用时隙质心网络流水印嵌入方法可以解决直接扩频方法流速率不稳定的问题，但是存在多个流水印在网络中形成干扰的情况。因此，可以将直接序列扩频和时隙质心方法相互结合，先将原始的网络数据包按照直接扩频方式进行调制，然后按照时隙质心的方法嵌入网络流水印。

3.5　跨域网络入侵的路径重构

自治域网络中的 ITM 根据确定的入侵源，沿跨域协同追踪请求转发的逆向路径依次返回跨域追踪结果。当最初签发 ITM 协同追踪请求的 ITM1 组件收到所有相邻 ITM 组件返回的追踪结果时，即可利用跨域入侵路径构建算法以确定当前入侵攻击的跨域入侵路径。

4、多层次的网络威胁协同阻断技术

研究常见的网络阻断技术的实现机理，按照域内和域间、TCP/IP 分层模型、阻断机理，结合信息网络典型威胁场景，实现多层次网络阻断。

4.1　网络阻断技术及其分层方法

旁路阻断是旁路接入用以侦听通信数据报文、还原协议、识别攻击行为、阻断非法连接的方法，其优点是不影响网络访问速度，用户无须设置。采用旁路的方式管理网络并阻断非法连接的方法可以分为以下 3 类：

(1） 发 送包。对 标 准 TCP 连接两端发送阻断信息，主动切断连接，但无法阻断用户数据报协议（User Datagram Protocol，UDP）会话。

(2）通过与网关产品联动，建立临时规则。主要向防火墙发送临时规则，以及向路由器或交换机发送临时访问控制列表（Access Control List，ACL），阻断当前会话。

(3）基于 ARP 的阻断方式。伪造地址解析协议（Address Resolution Protocol，ARP）应答包，使得非法连接主机的 ARP 表错误，无法连接到网关，从而阻断连接。

4.2　跨域网络入侵的多层次协同阻断

为实现多层次的网络协同阻断，本课题在网络攻击图的基础上，进一步使用防御图进行网络协同阻断研究。与攻击图类似，防御图是一个有向图，节点表示某种网络安全状态，表达了网络的资源属性及用户或攻击者对整个网络的访问能力 [4]。但防御图的有向边表示攻击者利用各种原子攻击从一个网络安全状态到另一个新的网络安全状态的转换关系和实现该转换的攻击成本和收益。这种状态变化可以表现为文件修改、系统配置改变、可执行程序运行、攻击者的特权提升等。Sa 是攻击者从初始节点到目标节点所有的攻击路径的集合，即攻击策略集合。每一个攻击路径是一个或多个原子攻击的序列。对于每一个原子攻击或攻击策略都对应一系列防御策略，所有的防御策略组成 Sd。

某 网 络 系 统 生 成 的 防 御 图 如 图 2 所 示，防御图集合攻击者从初始节点到目标节点所有的攻击路径的集合S={A，B，C，D.E，F}，用标有字母的圆圈表示。SO={4}，Ss={F}，用标有原子攻击名称和攻击收益的有向边表示状态转换关系，如 al∶30表示原子攻击 al使得网络从状态A到状态B，攻击收益是30（单位是货币单位），Sa={1，2，3}，用标有防御策略名称和收益的方框表示每条攻击路径的防御策略。

图2  防御图实例

在此基础上，为了有效地、主动地防御网络攻击，本文拟设计一种多层次的网络协同阻断方法，包括物理网络阻断和连接干扰。根据防御图，以攻击路径共同点、攻击收益和防御成本为优化目标，使用多目标优化方法选择具体的防御节点，具体防御方法可根据实际网络情形进行多层选择，如使用交换机阻断方式，通过统一的配置脚本修改交换机配置， 使得攻击者无法连接到常规网络，也可以通过向攻击源的 IP地址发送TCP RST包，终止当前TCP连接，或修改可疑包的若干字节，使得攻击者发出的报文被丢弃，虽然攻击者仍然能够建立连接，但由于发出的攻击包失效，无法收到正常的应答包，从而降低攻击者对网络的影响。

 5、总结与展望

本文根据新能源电力二次系统的网络拓扑和布防特点，基于大数据研究了跨域和域内两种类型的网络入侵追踪。根据对现有常用追踪方式的调研和比较，最终采用了基于网络流水印的主动网络流量分析手段。然后提出了多层次的网络协同阻断技术方案，作为追踪到入侵源头并且重构获得了入侵路径后所采取的响应处置技术手段，有力降低了网络入侵的威胁。