基于消息列队的电力信息平台安全漏洞智能检测

徐家宁， 陈齐瑞， 张维， 俞佳莉， 蒋颖

(国网浙江省电力有限公司营销服务中心 计量中心， 浙江 杭州 310014)

0 引言

随着网络技术的发展与革新，检测技术发生重大转变，在国外，美、德两国根据工业4.0计划，对漏洞检测提出优化方案，国内以此为借鉴，在此基础上，提出“中国制造2025”战略，为网络检测技术的发展提供理论依据。因此文献[1]提出计算机软件中，安全漏洞检测技术的应用，文献[2]则在大数据背景下，研究计算机安全漏洞检测技术。两个传统技术分别利用计算机检测程序和大数据背景，对电力信息平台的漏洞进行分析，通过识别算法找出平台中的漏洞。但随着入侵数据类型的多样化、复杂化，传统检测技术只能针对静态漏洞做出较为准确的反馈，面对动态漏洞和混合型漏洞，其漏洞检测遗失率超过了50%，因此研究基于消息列队的电力信息平台安全漏洞智能检测。消息列队是在消息的传输过程中，用来保存信息的“容器”，利用消息列队作为漏洞检测的连接桥梁，形成一个十分密集的检测网，扩大检测过程中，对漏洞数据的识别与筛选。此次提出的检测技术，通过消息列队改进电力信息平台安全漏洞智能检测方式，为电力信息平台的使用安全与存储安全，提供更可靠的技术支持。

1 电力信息平台安全漏洞智能检测

1.1 基于消息列队网络设计智能扫描方式

以消息列队的消息处理技术，为平台漏洞检测提供消息处理和消息队列功能，设计一个智能化的扫描方式。已知无论检测程序是否在同一网络或是否同时联机，消息队列可以相互来回发送检索信息，构成一个“密不透风”的检测网络，增强检测过程中对漏洞的识别扫描。以该工具为依托，设计一个智能型的综合检测方式。该检测分为三个方面：针对网络空间的整体检测、针对主机的检测以及主动式和被动式的检测[3]。

针对网络的漏洞检测，包含网络映射和端口检测。端口是用于通信的通道，也是一个容易被入侵的通道，因此在端口检测过程中，利用TCP会话连接目标主机，当连接成功且收到目标主机回复时，则表明该端口为“活动端口”。根据主机的反馈信息，分析平台中是否存在漏洞脆弱性，及时预测漏洞的空间位置；而被动式检测，是周期性的漏洞扫描，对平台内的多项内容反复扫描，防止漏洞的出现。上式智能扫描方式中，均利用消息列队将检测结果看作一个记录，根据其特定的格式和优先级，制定一个连续性的检测程序，保证上述智能检测方式，在执行检测任务时可以实现一对一的覆盖式信息检测，不遗漏任何一处信息空间点[4]。

1.2 评估漏洞风险态势

根据消息列队规则，获取电力信息平台的漏洞扫描结果，以此评估漏洞风险态势，区别平台漏洞类型。而评估漏洞风险态势，是以风险评估模型为基础，通过考虑风险传播因素来估算风险值，再根据层次模型，综合考虑不同电力信息重要性权值，从服务层至网络层，实现自下而上的平台漏洞风险评估，得到整个电力信息平台的网络安全态势。这其中，电力信息平台的总体漏洞风险，为电力信息在机密性、完整性、可用性三个方面的漏洞风险[5-6]。

假设漏洞风险用F(a,k,b)表示，其中a为攻击行为;b为某一项服务;k为b的弱点。若a针对k，对b的攻击有效，则说明a影响b的安全属性，即机密性、完整性、可用性[7]，如式(1)。

F(a,k,b)=f,f∈[j′,w′,y′]

(1)

式中，f表示风险影响范畴；j′、w′、y′分别表示平台面临的机密性、完整性、可用性风险值，则对于电力信息平台s，存在安全属性集合q=[j′,w′,y′]。此时s面临的直接风险值如式(2)。

HZ(s)=j′+w′+y′

(2)

通过评估漏洞风险态势，加强检测结果的可靠程序。因此利用映射转换函数的感知敏感性，评估不同类型的漏洞风险态势。

1.3 多角度漏洞检测

根据评估所得的漏洞风险态势，设置智能扫描方式的多角度平台漏洞检测。

静态漏洞检测以漏洞模型为指导，运用静态程序分析技术，发现网络平台中的静态漏洞[8]。而动态漏洞检测，是在电力平台运行过程中，用插装方式收集平台运行信息，进而验证或发现动态漏洞。由于静态漏洞与动态漏洞有各自的特点，因此平台在长期的漏洞攻击下，还出现了一种混合型的漏洞，即静态动态相结合的平台漏洞类型[9-10]。

2 实验研究

2.1 实验准备

利用木马程序攻击电力信息平台，模拟出一个真实的测试环境，同时还要让漏洞中包含静态漏洞、动态漏洞和混合漏洞3个类型，其中所有漏洞的安全级别如表1所示。

表1 漏洞安全级别设置要求

统计该实验测试环境中，不同类型漏洞数据的信息量，漏洞数据含量的统计结果如图1所示。

图1 漏洞数据量统计饼状图

根据图1可知，明确不同漏洞数据在电力信息平台中的占比。实验将此次研究的检测技术作为实验组，将两种传统检测技术，分别作为对照A组、对照B组，根据上述实验测试条件，开始实验。

2.2 第一阶段检测

第一阶段是对电力信息平台中，静态漏洞的智能检测，实验结果如图2所示。

a 实验组

根据图2结果可知，三种技术均得到了较为相似的静态漏洞检测结果。静态漏洞数据在检测过程中的统计结果如表2所示。

表2 第一阶段静态漏洞检测遗失率统计

根据表2统计结果可知，三种检测技术的漏洞遗失率在10%以下，接近图2中漏洞类型一的统计结果，可见面对静态漏洞，3个检测技术都能实现较为完整的漏洞检测。

2.3 第二阶段检测

第二阶段是对电力信息平台中，动态漏洞的智能检测，实验结果如图3所示。

a 实验组

b 对照A组

c 对照B组

根据图3检测结果可知，对照组中的检测数据，明显少于实验组。经统计，动态漏洞检测遗失率如表3所示。

表3 第二阶段动态漏洞检测遗失率统计

根据表3可知，传统检测方法面对动态漏洞，遗失了一半以上的漏洞信息，导致动态漏洞检测遗失率在一半左右；而实验组的数据遗失率为0，可见该方法得到了平台中的所有动态漏洞数据。

2.4 第三阶段检测

第三阶段是对电力信息平台中，混合漏洞的智能检测，实验结果如图4所示。

a 实验组

b 对照A组

c 对照B组

面对复杂程度更高的混合型平台漏洞，实验组的检测结果较多，而传统方法的漏洞检测结果极少，经计算，混合漏洞的检测遗失率如表4所示。

表4 第三阶段混合型漏洞检测遗失率统计

根据表4统计结果可知，面对混合型漏洞，两个对照组的漏洞检测遗失率超过了50%，而实验组的遗失率仅为10%，可见所提出方法面对混合型漏洞，检测效果更好。

2.5 讨论与分析

根据上述三个阶段的实验测试可知，面对静态漏洞时，3个检测均有较好检测结果；面对动态漏洞时，所提出方法对动态漏洞的检测遗失率还保持在0，而传统检测方法对漏洞检测的平均遗失率，达到了52.94%；面对混合型漏洞，所提出方法的漏洞检测遗失率为10%，而传统检测结果的平均遗失率为65%。综合上述实验测试结果，可知面对不同的漏洞类型，所提出方法有更加可靠的检测结果。

3 总结

此次提出的检测方法，利用消息列队重新设计电力平台的漏洞智能检测方式，并根据风险类型，从多角度检测平台漏洞，提高了检测结果的可靠程度。但此次提出的检测方法，并没有详细列出风险漏洞等级，今后的研究与分析，可以对这一方面进行详细介绍。