摘　要：

隨著能源互聯(lián)網(wǎng)的發(fā)展，電力信息網(wǎng)絡系統(tǒng)架構也在不斷變化，使電力信息網(wǎng)絡安全面臨著新的挑戰(zhàn)。研究基于網(wǎng)絡流水印的多點協(xié)同追蹤和多層次的網(wǎng)絡威脅協(xié)同阻斷技術，由此設計高效的水印嵌入和檢測算法，通過節(jié)點的協(xié)同配合，實現(xiàn)對安全威脅的實時追蹤，同時針對不同的安全威脅，設計多層次的連接干擾和網(wǎng)絡阻斷技術，實現(xiàn)網(wǎng)絡威脅的弱化和阻斷。提出了跨域協(xié)同入侵追蹤架構，解決了跨域網(wǎng)絡入侵路徑的快速重構。提出了基于時隙質心網(wǎng)絡流水印的跳板節(jié)點發(fā)現(xiàn)算法，解決了利用跳板機網(wǎng)絡攻擊的溯源分析問題。

內容目錄：

1　當前新能源網(wǎng)絡邊界協(xié)同防護研究水平

1.1　網(wǎng)絡安全設備聯(lián)動

1.2　新能源網(wǎng)絡邊界威脅場景分析

2　基于大數(shù)據(jù)的新能源邊界網(wǎng)絡安全探索3　跨域協(xié)同追蹤技術

3.1　跨域入侵追蹤技術

3.2　多層次的網(wǎng)絡協(xié)同阻斷技術

3.3　協(xié)同追蹤模型的功能

3.4　跨域網(wǎng)絡入侵跳板節(jié)點發(fā)現(xiàn)算法

3.4.1　基于數(shù)據(jù)包間隔的自校驗網(wǎng)絡流水印

3.4.2　基于時隙質心的擴頻流水印機制

3.5　跨域網(wǎng)絡入侵的路徑重構4　多層次的網(wǎng)絡威脅協(xié)同阻斷技術

4.1　網(wǎng)絡阻斷技術及其分層方法

4.2　跨域網(wǎng)絡入侵的多層次協(xié)同阻斷

5 總結與展望

隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，網(wǎng)絡安全形勢越來越嚴峻，網(wǎng)絡空間已成為國家繼陸、海、空、天四個疆域之后的第五疆域，網(wǎng)絡攻擊逐漸趨于國家間、團隊集團的對抗，攻擊強度、烈度越來越迅猛。美國網(wǎng)絡部隊總人數(shù)已達 7萬人以上，嚴重威脅著我國的網(wǎng)絡空間安全。由于電力系統(tǒng)結構復雜多樣、分布廣泛、重要性高，一旦癱瘓將造成嚴重影響，極易成為敵對勢力攻擊的首選目標。面對這樣的形勢，電網(wǎng)公司陸續(xù)建設了多個安全子系統(tǒng)，但是各系統(tǒng)間的數(shù)據(jù)未實現(xiàn)集中，呈現(xiàn)“孤島”分布狀態(tài)，在攻擊溯源和協(xié)同阻斷方面缺乏實質性的手段。本文針對新能源網(wǎng)絡邊界的安全威脅，研究基于網(wǎng)絡流水印的跨域追蹤和多層次協(xié)同阻斷技術，實現(xiàn)了多個網(wǎng)絡安全防護設備的協(xié)同聯(lián)動，提升了網(wǎng)絡安全事件的處置效率和效果。

為解決當前電力行業(yè)信息網(wǎng)絡安全防護面臨的新的難題，本文主要研究如何在多自治域組成的網(wǎng)絡中，通過域內和域間設備的協(xié)同，實現(xiàn)跨域的網(wǎng)絡入侵追蹤。

本文的研究意義在于開展網(wǎng)絡安全三道防線聯(lián)動防御技術研究，突破網(wǎng)絡安全威脅協(xié)同防御算法，實現(xiàn)不同安全防護產品和公司網(wǎng)絡與信息安全預警分析平臺間的有機聯(lián)動，主動阻斷攻擊，有利于提升信息安全事件響應及應急處置能力，最終提升公司整體網(wǎng)絡安全防護水平。

1 當前新能源網(wǎng)絡邊界協(xié)同防護研究水平

隨著現(xiàn)代工業(yè)的快速發(fā)展，以及受到國家能源結構戰(zhàn)略調整等因素的影響，我國新能源電力設施發(fā)展迅猛。特別是寧夏等地廣人稀的省份，修建了大量的新能源電廠。在各類新能源中，光伏、風能等新能源憑借技術成熟、污染少、建設快、占地面積小等特點，得到了快速發(fā)展。

1.1　網(wǎng)絡安全設備聯(lián)動

網(wǎng)絡安全一貫的做法是靜態(tài)防御，利用防火墻進行訪問控制，其他類設備進行內容過濾和加密。隨著技術的進步，網(wǎng)絡安全技術也由靜態(tài)防御向動態(tài)防御進行轉變，入侵防御、應用防火墻、漏洞掃描等動態(tài)網(wǎng)絡安全防護手段得到廣泛應用，是網(wǎng)絡安全防護的不二選擇。動態(tài)防御技術檢測能力很強，但受設備檢測深度和特征庫豐富程度的限制，不能有效防御攻擊。因此，需要一個動靜結合的、具備互動能力的綜合安全體系，不僅包括多種安全技術的有機集成和多種安全產品之間的動態(tài)聯(lián)動，同時也是安全產品提供商和服務提供商之間的有機集成。

1.2　新能源網(wǎng)絡邊界威脅場景分析

新能源具有間歇性波動的特點，如果不能掌握實時的發(fā)電信息，其并網(wǎng)后的功率波動會帶來電網(wǎng)頻率偏移和頻率穩(wěn)定性問題，將對電網(wǎng)調度、負荷預測和發(fā)用電平衡產生重大影響，因此省地電力調度需要對新能源電廠的運行數(shù)據(jù)進行實時的監(jiān)測。本項目的研究重點在于對新能源電廠運行數(shù)據(jù)通過調度網(wǎng)絡接入主站所形成的接入?yún)^(qū)域的網(wǎng)絡安全進行防護。

根據(jù)電網(wǎng)安全防護要求，新能源網(wǎng)絡已經實現(xiàn)了網(wǎng)絡隔離、分區(qū)管理的模式。根據(jù)不同的網(wǎng)絡入侵場景的特點，可以將網(wǎng)絡入侵的場景分為縱向入侵和橫向入侵兩種類型。兩種入侵場景的特點在于：縱向入侵主要在同一個分區(qū)內實施，網(wǎng)絡連接條件較好，網(wǎng)絡流量經過加密裝置;橫向入侵主要是從低安全要求區(qū)域往高安全防護要求區(qū)域進行滲透，會經過網(wǎng)絡隔離設備，網(wǎng)絡流量未經過加密裝置。

2 基于大數(shù)據(jù)的新能源邊界網(wǎng)絡安全探索

目前，在新能源網(wǎng)絡中能采集到的各類電網(wǎng)信息主要包括拓撲結構、實時運行信息、設備狀態(tài)信息、電網(wǎng)穩(wěn)態(tài)數(shù)據(jù)信息、電網(wǎng)動態(tài)數(shù)據(jù)信息、電網(wǎng)運行環(huán)境信息和各類設備軟硬件信息等。電網(wǎng)信息數(shù)據(jù)體量巨大，數(shù)據(jù)類型繁多，大數(shù)據(jù)環(huán)境下大規(guī)模原始情報數(shù)據(jù)量與日俱增，來源多樣且結構復雜。基于數(shù)據(jù)的關聯(lián)性和重復性，利用大數(shù)據(jù)技術，建立網(wǎng)絡安全感知模型，將海量數(shù)據(jù)進行去重、關聯(lián)，實現(xiàn)宏觀描述網(wǎng)絡安全態(tài)勢，支撐跨域入侵追蹤。新能源網(wǎng)絡安全大數(shù)據(jù)分析包括數(shù)據(jù)采集、數(shù)據(jù)去重、入侵數(shù)據(jù)路徑還原，其中，數(shù)據(jù)采集是指結合網(wǎng)絡拓撲信息，通過設備日志、設備告警和網(wǎng)絡數(shù)據(jù)包的嗅探來獲取原始數(shù)據(jù)。數(shù)據(jù)去重是指數(shù)據(jù)采集探測到海量日志、告警數(shù)據(jù)，對海量數(shù)據(jù)進行去重，化繁從簡。入侵數(shù)據(jù)路徑還原是指對采集的原始數(shù)據(jù)先去重，然后提取特征，再結合知識庫中的攻擊模式進行攻擊行為的匹配，還原攻擊路徑。

新能源網(wǎng)絡安全大數(shù)據(jù)分析實現(xiàn)了從數(shù)據(jù)采集到網(wǎng)絡安全入侵路徑重現(xiàn)的全過程。新能源邊界網(wǎng)絡安全入侵路徑重現(xiàn)的詳細過程如下文所述。

（1）數(shù)據(jù)采集。采集新能源網(wǎng)絡中各類設備、系統(tǒng)產生的日志和發(fā)生異常時的日志，以及攻擊者攻擊時產生的日志和流量。

（2）基于屬性相似性的告警去重。一個網(wǎng)絡告警事件包含了一系列的屬性，利用告警事件屬性的相似性和告警發(fā)生的小間隔時間，采用哈希函數(shù)來快速發(fā)現(xiàn)屬性相似的告警事件。一個網(wǎng)絡事件按照其發(fā)生到形成的時間序列可以描述為一個多元組，其中 t　代表日志記錄生成的時刻，s 代表監(jiān)測事件的類型，代表事件的屬性，可以包括事件名稱、參與者、出現(xiàn)場景、攻擊對象、性質、檢測依據(jù)等要素。

一個網(wǎng)絡事件的發(fā)生具有一定的持續(xù)時間，因此告警日志中會出現(xiàn)大量相似的重復記錄，若兩個日志的時間間隔在某個特定范圍內，且日志除去 t 和 s 元素后剩下的 n 元組哈希值相等，便判定為同一個網(wǎng)絡事件，并對其進行去重。去重判定方法如下文所述。

對于兩條告警日志x和y，若，且則認為 x=y 并保留時間較前的一條日志。其中，是一個基于過去經驗計算得到的時間間隔，Hash 代表哈希函數(shù)。Hash 函數(shù)可以使用常用的 MD5，SHA-1 等散列函數(shù)。時間間隔 取過去日志數(shù)據(jù)中同一事件類型的網(wǎng)絡攻擊持續(xù)時間 的算術平均值，即對于事件類型 和時間間隔，最終我們可以得到全集

（3）入侵數(shù)據(jù)路徑還原。依據(jù)新能源信息網(wǎng)絡分區(qū)布防的信息(一區(qū)、二區(qū)、三區(qū)、各區(qū)邊界布防和三個區(qū)域傳遞的信息)，結合鉆石分析模型，推斷出入侵事件中無法直接獲得的關聯(lián)性元素，具體為提取一個元素，并利用該元素與數(shù)據(jù)源相結合，以發(fā)現(xiàn)相關元素。最后從網(wǎng)絡協(xié)議特征、網(wǎng)絡負載特征和網(wǎng)絡流量特征 3 個方面對網(wǎng)絡入侵事件進行路徑還原。

3 跨域協(xié)同追蹤技術

針對多網(wǎng)絡自治域環(huán)境下跨域的安全威脅，針對基于跨域入侵追蹤技術展開研究，通過域間節(jié)點的協(xié)同配合，實現(xiàn)對跨域安全威脅的實時追蹤。

3.1　跨域入侵追蹤技術

當前，入侵追蹤主要通過兩種途徑：一種是基于 IP 報文的，通過網(wǎng)絡中的各級路由器支持，結合 IP 報文信息，層層溯源找到入侵源;另一種是面向連接的，通過將入侵源和被攻擊源之間的網(wǎng)絡流進行關聯(lián)，從而確定兩者間的關系。

入侵追蹤 IP 數(shù)據(jù)報文分為測試連接、記錄日 志、 控 制 消 息 協(xié) 議(Internet Control Message Protocol，ICMP)追蹤和報文標記。其中，測試連接是從距離受攻擊主機最近的路由設備開始，進行上游數(shù)據(jù)鏈遞歸檢查，直至找到攻擊流量源頭。日志記錄是收集分析網(wǎng)絡中報文日志信息，從而獲取入侵報文的傳輸途徑。ICMP 追蹤是對路由器轉發(fā)報文時以較低的概率隨機復制若干報文，添加路由信息并封裝成 ICMP 報文，再發(fā)到接收端。被攻擊主機在收到這些 ICMP 報文后，收集報文中存在的路由信息，重構入侵傳輸途徑。報文標記是以一定的概率對路由器轉發(fā)報文添加標記，再通過收集攜帶標記的數(shù)據(jù)包完成對入侵路徑的重構。

3.2　多層次的網(wǎng)絡協(xié)同阻斷技術

目前，網(wǎng)絡中常用的阻斷技術包括：在網(wǎng)絡邊界通過路由器或者防火墻阻斷網(wǎng)絡連接，在內網(wǎng)通過劃分虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)來控制內部節(jié)點之間的連通性，在內網(wǎng)還可以通過向連接兩端的節(jié)點發(fā)送 TCP Reset 包來阻斷連接。

3.3　協(xié)同追蹤模型的功能

單元網(wǎng)絡入侵可能在多個自治域(Autonomous System，AS)之間跨越，這就需要建立協(xié)同入侵追蹤機制，在多個 AS 間追蹤入侵，從而實現(xiàn)安全高效、易擴展的跨域入侵追蹤，同時基于網(wǎng)絡流間的關聯(lián)性，提出入侵路徑的構建算法，有效防止自治域間泄露敏感信息。基于網(wǎng)絡流水印的跨域入侵追蹤架構如圖 1 所示，包含如下組件：域內追蹤服務客戶端組件(Tracking Service Client，TSC) 負 責 接 收 本 自 治 域 內 來 自 預 警分析平臺追蹤策略或入侵檢測組件(Intrusion Detection System，IDS) 的 入 侵 報 警， 然 后 向域 內 追 蹤 審 定 決 策 點 組 件(Tracking Decision Point，TDP)提出啟動入侵追蹤的請求;TDP 根據(jù)本自治域的入侵追蹤管理策略對來自本域中TSC 發(fā)出的追蹤請求進行審核;域間追蹤管理器 組 件(Inter-domain Tracking Manager，ITM)是實現(xiàn)本自治域內以及跨自治域追蹤的管理中心;域 邊 界 追 蹤 管 理 器 組 件(Border Tracking Manager，BTM)用于確定當前的網(wǎng)絡攻擊流與本自治域的關系;域內追蹤管理器組件(Domain Tracking Manager，DTM)用于定位源自本自治域的入侵源。

圖 1　跨域協(xié)同入侵追蹤架構

3.4　跨域網(wǎng)絡入侵跳板節(jié)點發(fā)現(xiàn)算法

跨域的網(wǎng)絡入侵采用跳板節(jié)點時，通常采用事后追蹤的方式，該方式需要分析海量的服務器日志和交換設備日志才能溯源到攻擊者。本文提出采用基于網(wǎng)絡流水印的方法來定位跳板節(jié)點，可以做到實時追蹤，并且避免了分析海量日志，能夠有的放矢地采集數(shù)據(jù)。

3.4.1　基于數(shù)據(jù)包間隔的自校驗網(wǎng)絡流水印

在原來基于數(shù)據(jù)包間隔的網(wǎng)絡流水印算法的基礎上，對用于嵌入網(wǎng)絡流水印的數(shù)據(jù)包組引入冗余。假設需要嵌入 m 位的網(wǎng)絡流水印，原先需要提取 m 組數(shù)據(jù)包，現(xiàn)在提取 2m 組數(shù)據(jù)包，其中相鄰的 2 組數(shù)據(jù)包用于產生 1 位網(wǎng)絡流水印。相鄰 2 組中的前 1 組按照原來的方法產生 1 位網(wǎng)絡流水印，后 1 組按照校驗規(guī)則產生當前網(wǎng)絡流水印位的校驗信息。

本文采用 m 位的 2 進制校驗碼來決定每 1位網(wǎng)絡流水印的校驗規(guī)則，即校驗碼和網(wǎng)絡流水印長度相同，1 位對應 1 位。當校驗碼為 0 時，校驗信息位和網(wǎng)絡流水印位相同;當校驗碼為 1時，校驗信息位和網(wǎng)絡流水印位相反。

3.4.2　基于時隙質心的擴頻流水印機制

現(xiàn)有的水印機制雖然能有效追蹤單個網(wǎng)絡攻擊入侵，但在水印實際追蹤過程中，多個水印流常進入同一個匿名信道中的混合結點 [3]。多個不同的水印流之間存在嚴重干擾情況，嚴重影響現(xiàn)有水印的追蹤效果。因此，采用基于時隙質心的擴頻流水印的新型水印技術，增強了現(xiàn)有的直接序列擴頻水印和時隙質心水印的檢測效果。

使用時隙質心網(wǎng)絡流水印嵌入方法可以解決直接擴頻方法流速率不穩(wěn)定的問題，但是存在多個流水印在網(wǎng)絡中形成干擾的情況。因此，可以將直接序列擴頻和時隙質心方法相互結合，先將原始的網(wǎng)絡數(shù)據(jù)包按照直接擴頻方式進行調制，然后按照時隙質心的方法嵌入網(wǎng)絡流水印。

3.5　跨域網(wǎng)絡入侵的路徑重構

自治域網(wǎng)絡中的 ITM 根據(jù)確定的入侵源，沿跨域協(xié)同追蹤請求轉發(fā)的逆向路徑依次返回跨域追蹤結果。當最初簽發(fā) ITM 協(xié)同追蹤請求的 ITM1 組件收到所有相鄰 ITM 組件返回的追蹤結果時，即可利用跨域入侵路徑構建算法以確定當前入侵攻擊的跨域入侵路徑。

4 多層次的網(wǎng)絡威脅協(xié)同阻斷技術

研究常見的網(wǎng)絡阻斷技術的實現(xiàn)機理，按照域內和域間、TCP/IP 分層模型、阻斷機理，結合信息網(wǎng)絡典型威脅場景，實現(xiàn)多層次網(wǎng)絡阻斷。

4.1　網(wǎng)絡阻斷技術及其分層方法

旁路阻斷是旁路接入用以偵聽通信數(shù)據(jù)報文、還原協(xié)議、識別攻擊行為、阻斷非法連接的方法，其優(yōu)點是不影響網(wǎng)絡訪問速度，用戶無須設置。采用旁路的方式管理網(wǎng)絡并阻斷非法連接的方法可以分為以下 3 類：

（1） 發(fā) 送包。對 標 準 TCP 連接兩端發(fā)送阻斷信息，主動切斷連接，但無法阻斷用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP）會話。

（2）通過與網(wǎng)關產品聯(lián)動，建立臨時規(guī)則。主要向防火墻發(fā)送臨時規(guī)則，以及向路由器或交換機發(fā)送臨時訪問控制列表(Access Control List，ACL)，阻斷當前會話。

（3）基于 ARP 的阻斷方式。偽造地址解析協(xié)議(Address Resolution Protocol，ARP)應答包，使得非法連接主機的 ARP 表錯誤，無法連接到網(wǎng)關，從而阻斷連接。

4.2　跨域網(wǎng)絡入侵的多層次協(xié)同阻斷

為實現(xiàn)多層次的網(wǎng)絡協(xié)同阻斷，本課題在網(wǎng)絡攻擊圖的基礎上，進一步使用防御圖進行網(wǎng)絡協(xié)同阻斷研究。與攻擊圖類似，防御圖是一個有向圖，節(jié)點表示某種網(wǎng)絡安全狀態(tài)，表達了網(wǎng)絡的資源屬性及用戶或攻擊者對整個網(wǎng)絡的訪問能力 [4]。但防御圖的有向邊表示攻擊者利用各種原子攻擊從一個網(wǎng)絡安全狀態(tài)到另一個新的網(wǎng)絡安全狀態(tài)的轉換關系和實現(xiàn)該轉換的攻擊成本和收益。這種狀態(tài)變化可以表現(xiàn)為文件修改、系統(tǒng)配置改變、可執(zhí)行程序運行、攻擊者的特權提升等。Sa 是攻擊者從初始節(jié)點到目標節(jié)點所有的攻擊路徑的集合，即攻擊策略集合。每一個攻擊路徑是一個或多個原子攻擊的序列。對于每一個原子攻擊或攻擊策略都對應一系列防御策略，所有的防御策略組成 Sd。

某 網(wǎng) 絡 系 統(tǒng) 生 成 的 防 御 圖 如 圖 2 所 示，防御圖集合攻擊者從初始節(jié)點到目標節(jié)點所有的攻擊路徑的集合S={A，B，C，D.E，F(xiàn)}，用標有字母的圓圈表示。SO={4}，Ss={F}，用標有原子攻擊名稱和攻擊收益的有向邊表示狀態(tài)轉換關系，如 al∶30表示原子攻擊 al使得網(wǎng)絡從狀態(tài)A到狀態(tài)B，攻擊收益是30（單位是貨幣單位），Sa={1，2，3}，用標有防御策略名稱和收益的方框表示每條攻擊路徑的防御策略。

圖2 防御圖實例

在此基礎上，為了有效地、主動地防御網(wǎng)絡攻擊，本文擬設計一種多層次的網(wǎng)絡協(xié)同阻斷方法，包括物理網(wǎng)絡阻斷和連接干擾。根據(jù)防御圖，以攻擊路徑共同點、攻擊收益和防御成本為優(yōu)化目標，使用多目標優(yōu)化方法選擇具體的防御節(jié)點，具體防御方法可根據(jù)實際網(wǎng)絡情形進行多層選擇，如使用交換機阻斷方式，通過統(tǒng)一的配置腳本修改交換機配置， 使得攻擊者無法連接到常規(guī)網(wǎng)絡，也可以通過向攻擊源的 IP地址發(fā)送TCP RST包，終止當前TCP連接，或修改可疑包的若干字節(jié)，使得攻擊者發(fā)出的報文被丟棄，雖然攻擊者仍然能夠建立連接，但由于發(fā)出的攻擊包失效，無法收到正常的應答包，從而降低攻擊者對網(wǎng)絡的影響。

5 總結與展望

本文根據(jù)新能源電力二次系統(tǒng)的網(wǎng)絡拓撲和布防特點，基于大數(shù)據(jù)研究了跨域和域內兩種類型的網(wǎng)絡入侵追蹤。根據(jù)對現(xiàn)有常用追蹤方式的調研和比較，最終采用了基于網(wǎng)絡流水印的主動網(wǎng)絡流量分析手段。然后提出了多層次的網(wǎng)絡協(xié)同阻斷技術方案，作為追蹤到入侵源頭并且重構獲得了入侵路徑后所采取的響應處置技術手段，有力降低了網(wǎng)絡入侵的威脅。

引用本文：張曉東 , 劉俊 , 夏琨 . 基于大數(shù)據(jù)關聯(lián)性分析的新能源網(wǎng)絡邊界協(xié)同防護技術 [J]. 信息安全與通信保密 ,2022(4):96-102.

作者簡介 >>>張曉東，男，大專，主要研究方向為信息系統(tǒng)應用、網(wǎng)絡安全;劉 俊，男，學士，工程師，主要研究方向為網(wǎng)絡建設維護、網(wǎng)絡安全、信息系統(tǒng)應用;夏 琨，男，學士，工程師，主要研究方向為網(wǎng)絡建設維護、網(wǎng)絡安全、信息系統(tǒng)應用。

選自《信息安全與通信保密》2022年第4期(為便于排版，已省去參考文獻)

文章來源： 信息安全與通信保密雜志社