基于行为的电力网络安全事件联动响应及协同处置方法

2023-03-06 11:46吴荣春张治兵蒋皓刘欣东
微型电脑应用 2023年1期
关键词:攻击行为信息熵网络安全

吴荣春, 张治兵, 蒋皓, 刘欣东

(中国信息通信研究院, 北京 100191)

0 引言

电力网络安全运行是电力系统信息化管理的重难点[1-2]。网络攻击手段随着网络的高速发展逐渐增多[3],电力系统所设置的众多防御手段互相关联较少,容易出现错误及遗漏情况,无法抵抗大规模复杂的攻击行为。

应急处置协同技术能够令电力网络受到攻击后快速恢复,受到众多电力网络安全研究学者的重视。文献[4]阐述了计算机网络安全的重要性,分析了电力系统计算网络存在的风险,提出了有针对性的计算机网络安全防护措施。文献[5]提出一种基于URPF和精确ACL的协同处置方法,能全流程精确处置DRDoS型网络攻击。文献[6]根据网络系统全局状态,选择网络安全感知所需的元素最佳组合来应对潜在攻击,将应急协同处置动态化、实时化、主动化。

基于以上研究成果,本文提出基于行为的电力网络安全事件联动响应及协同处置方法,充分分析对电力网络安全存在威胁的攻击行为,针对所检测的电力网络攻击行为实施联动响应及协同处置,保障电力网络安全运行。

1 基于行为的电力网络安全事件联动响应及协同处置

基于行为的电力网络安全事件联动响应及协同处置方法充分结合了主动防御与被动防御方法[7]。主动防御方法是指通过流量行为特征熵的DoS/DDoS攻击检测方法检测电力网络中存在的攻击行为;被动防御方法是指通过联动响应及协同处置保障电力网络安全运行。

1.1 流量行为特征熵的DoS/DDoS攻击检测

利用基于流量行为特征信息熵的Dos/DDoS攻击检测方法,通常是获取电力网络中存在异常行为的具体IP地址,提取电力网络中存在异常行为的流量信息,判断异常是否为安全事件中的Dos攻击行为和/或DDos攻击行为。

提取电力网络中所包含的字节数、源IP地址、包流量、目的端口号等流量行为特征。利用随机过程表示不同时间段数据包的统计过程,利用信息熵获取电力网络中不同属性的分散程度和集中程度。

统计不同时间段电力网络的流量信息,定义固定时间段属性信息熵公式如下:

(1)

式中,N与Pi分别表示电力网络属性内全部可能的取值数量和随机事件Pi的概率,i=1,2,3,…,n。

分析电力网络中目的IP的信息熵,搜寻电力网络流量行为特征信息和存在异常行为的时间。将粗粒度的电力网络流量行为特征参数设置为信息熵。

异常行为时间输入以及输出的检测。通过比较不同时间点的目的IP信息熵,信息熵高于已设定阈值时即为存在异常的时间点。

电力网络中的DoS攻击和DDoS攻击通常以发送无效请求的方式占用电力网络资源,导致电力网络无法正常运行。

电力网络中,服务率能够体现IP节点的用户请求是否无效,因此利用服务率搜寻存在攻击行为的IP节点流量行为特征,服务率表达式如下:

Se(t)=ns(t)/nr(t)

(2)

式中,ns(t)与nr(t)分别表示时间为t时目的IP发送和接收的数据包数量。

IP节点服务率较低表示DoS和DDoS攻击行为攻击该IP节点的可能性较大。

电力网络细粒度的流量特征行为结构图如图1所示。

图1 细粒度流量特征行为

利用电力网络细粒度的五个流量特征行为比较异常时间点的细粒度流量行为,精准定位电力网络存在攻击行为的安全事件目的IP位置。

定义细粒度流量行为特征参数的变化比率公式如下:

(3)

(4)

利用以上公式所获取的特征参数变化比率评价流量行为特征参数。当流量行为特征参数在检测过程中存在明显提升或下降的趋势,所获取的参数变化比率高于所设定阈值时,判定该IP节点为异常IP。

依据异常时间点确定异常IP节点的流程如图2所示。

图2 异常IP节点检测流程图

依据图2可知,检测电力网络异常IP节点主要流程如下:

(1) 依据大小排序检测异常时间点相应的IP节点流量;

(2) 提取排名为前N的IP节点;

(3) 提取历史时间窗内不同时间点所获取前N个目的IP节点的相应子流;

(4) 计算所提取子流的流量行为特征参数值,利用子流的流量行为特征参数值计算子流变化比率;

(5) 依据所获取IP节点相应流量的行为特征参数值和变化比率,确定电力网络中存在攻击行为的异常IP节点。

1.2 联动响应协同处置平台

电力网络安全事件联动响应协同处置对所下达任务的可靠性、时间以及精度具有较高要求,协同处置的同时需改善带宽利用率低的缺陷。

联动响应协同处置平台结构如图3所示。

由图3可以看出联动响应协同处置应用了SOA架构。SOA架构中所包含的协同处置单元自组织性能优越,满足了用户在不同协同处置单元的需求。

图3 联动响应协同处置结构图

1.2.1 安全事件联动响应

安全事件联动响应需具备网络安全策略联合、功能统一及组织良好协作的功能,保障电力网络快速解决攻击行为。

安全事件联动响应所包含机构如图4所示。

图4 安全事件联动响应机构

联动响应中应包含专家顾问、研发机构、应急响应、信息管理、行为跟踪、信息联络6个机构的联动。研发机构负责开发电力网络安全相关工具和技术,同时测试网络中所包含的漏洞;专家顾问负责提供网络攻击行为的解决策略;应急响应模块负责应对攻击行为;行为跟踪模块和信息管理模块是联动响应的核心,可实现安全信息的管理以及攻击行为的报告与决策。信息联络和应急响应两个模块令联动响应更加便捷。

1.2.2 协同决策

电力网络协同处置过程中,通过专家顾问、研发机构、应急响应、信息管理、行为跟踪、信息联络6个机构共同实现协同决策。协同决策结构如图5所示。

图5 协同决策结构图

由图5可以看出,协同决策由多媒体通道、智能代理、通信引擎组成。联动响应协同处置平台利用通信引擎通过书写器、阅读器等方式实现决策。阅读器与书写器分别在共享白板中展示攻击行为的变化、知识源以及对于攻击行为的执行结果,众多信息利用通信引擎实现信息传送。通过众多专家实现攻击行为的协同决策,通过语音、文本等通信方式实现智能代理,专家可选取合适的通信方式协同处置。

1.2.3 基于Agent的安全交互

联动响应协同处置平台中共享数据库的安全机制如图6所示。

图6 共享数据库安全机制

图6中,联动响应协同处置平台运行过程中,需调用加密服务、身份认证等安全措施,其中,协同决策人员通过协同处置的专家体系处置攻击行为等事件前,通过协同处置单元的安全服务中心注册账号,获取授权后参与处置任务,安全基础设施以及密码基础设施分别提供授权管理、身份管理以及信息与数据传输的加密措施,保障电力网络联动响应协同处置过程中的服务为保密及安全状态。

设置各协同处理单元均包含一个Agent,利用Agent加密及解密交互数据,仅设置一个开放端口于不同的协同处置单元,避免电力网络中的防御单元受到攻击。

2 实验分析

为了验证本文提出的基于行为的电力网络安全事件联动响应及协同处置方法的有效性,选取某电力公司的通信网络作为实验对象。

实验过程如下:提取关键策略数据,并进行大数据解析和分析,展示安全域基础架构;分析业务流程和组织职责,在安全域基础架构图上展示基于用户角色和业务流向的可视化关键业务合规基线策略和违规策略预警机制;在各个区域部署网络安全监测装置,结合告警信息和响应处置建议,快速实现响应处置;结合业务流程和运维机制,研究展示策略变更工作流,一旦运维人员提出变更请求,系统能够自动分析出与其关联的设备和策略,并进行影响分析。

统计该电力网络于2020年2月13日运行24 h的随机IP节点的信息熵结果,如图7所示。

图7 目的IP信息熵序列结果

由图7可知,目的IP信息熵值在3.5~6.5之间,采用本文方法可有效获取IP节点的信息熵,为精准监测攻击行为提供依据。将本文方法检测攻击行为结果与实际攻击行为进行对比,对比结果如表1所示。

表1 攻击检测结果

从表1检测结果可以看出,采用本文方法可有效检测电力网络中的攻击行为,仅未检测出1例DDoS攻击行为,漏报率低至10%,误报率低至0,验证本文方法具有较高的攻击行为检测精度。

统计采用本文方法对于电力网络安全事件联动响应及协同处置结果,统计结果如表2所示。

表2 联动响应及协同处置结果

表2实验结果可以看出,采用本文方法可有效检测电力网络中存在的攻击行为、攻击事件和攻击IP。本文方法采用联动响应协同决策方法具有极快的响应速率,处置时间均低于600 ms,可快速解决电力网络安全事件。

利用电力网络误码率衡量电力网络运行性能,统计该电力网络采用本文方法前后的运行性能,统计结果如图8所示。

图8 电力网络运行性能变化

图8实验结果可以看出,应用本文方法联动响应及协同处置电力网络安全事件后,电力网络误码率降低明显,说明本文方法可快速检测电力网络中存在的攻击行为,提升了电力网络的运行性能。

3 总结

本文研究基于行为的电力网络安全事件联动响应及协同处置方法,实现安全信息交换以及共享,属于完整的网络安全策略,具有较高的实用价值以及理论意义。将该研究方法应用于电力系统实际应用中极为重要,可提升电力网络运行安全性。利用流量行为特征信息熵检测电力网络中所存在的攻击行为,精准监测网络中存在攻击行为的具体部位,针对检测结果实现联动响应以及协同处置,能使网络快速恢复正常,提升电力网络运行水平。

猜你喜欢
攻击行为信息熵网络安全
基于信息熵可信度的测试点选择方法研究
住院精神病人暴力攻击行为原因分析及护理干预
基于人工蜂群算法的无线网络攻击行为的辨识研究
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
一种基于信息熵的雷达动态自适应选择跟踪方法
基于信息熵的IITFN多属性决策方法
我国拟制定网络安全法
基于计划行为理论的高职学生攻击行为探析