徐家寧， 陳齊瑞， 張維， 俞佳莉， 蔣穎

(國(guó)網(wǎng)浙江省電力有限公司營(yíng)銷(xiāo)服務(wù)中心 計(jì)量中心， 浙江 杭州 310014)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與革新，檢測(cè)技術(shù)發(fā)生重大轉(zhuǎn)變，在國(guó)外，美、德兩國(guó)根據(jù)工業(yè)4.0計(jì)劃，對(duì)漏洞檢測(cè)提出優(yōu)化方案，國(guó)內(nèi)以此為借鑒，在此基礎(chǔ)上，提出“中國(guó)制造2025”戰(zhàn)略，為網(wǎng)絡(luò)檢測(cè)技術(shù)的發(fā)展提供理論依據(jù)。因此文獻(xiàn)[1]提出計(jì)算機(jī)軟件中，安全漏洞檢測(cè)技術(shù)的應(yīng)用，文獻(xiàn)[2]則在大數(shù)據(jù)背景下，研究計(jì)算機(jī)安全漏洞檢測(cè)技術(shù)。兩個(gè)傳統(tǒng)技術(shù)分別利用計(jì)算機(jī)檢測(cè)程序和大數(shù)據(jù)背景，對(duì)電力信息平臺(tái)的漏洞進(jìn)行分析，通過(guò)識(shí)別算法找出平臺(tái)中的漏洞。但隨著入侵?jǐn)?shù)據(jù)類(lèi)型的多樣化、復(fù)雜化，傳統(tǒng)檢測(cè)技術(shù)只能針對(duì)靜態(tài)漏洞做出較為準(zhǔn)確的反饋，面對(duì)動(dòng)態(tài)漏洞和混合型漏洞，其漏洞檢測(cè)遺失率超過(guò)了50%，因此研究基于消息列隊(duì)的電力信息平臺(tái)安全漏洞智能檢測(cè)。消息列隊(duì)是在消息的傳輸過(guò)程中，用來(lái)保存信息的“容器”，利用消息列隊(duì)作為漏洞檢測(cè)的連接橋梁，形成一個(gè)十分密集的檢測(cè)網(wǎng)，擴(kuò)大檢測(cè)過(guò)程中，對(duì)漏洞數(shù)據(jù)的識(shí)別與篩選。此次提出的檢測(cè)技術(shù)，通過(guò)消息列隊(duì)改進(jìn)電力信息平臺(tái)安全漏洞智能檢測(cè)方式，為電力信息平臺(tái)的使用安全與存儲(chǔ)安全，提供更可靠的技術(shù)支持。

1 電力信息平臺(tái)安全漏洞智能檢測(cè)

1.1 基于消息列隊(duì)網(wǎng)絡(luò)設(shè)計(jì)智能掃描方式

以消息列隊(duì)的消息處理技術(shù)，為平臺(tái)漏洞檢測(cè)提供消息處理和消息隊(duì)列功能，設(shè)計(jì)一個(gè)智能化的掃描方式。已知無(wú)論檢測(cè)程序是否在同一網(wǎng)絡(luò)或是否同時(shí)聯(lián)機(jī)，消息隊(duì)列可以相互來(lái)回發(fā)送檢索信息，構(gòu)成一個(gè)“密不透風(fēng)”的檢測(cè)網(wǎng)絡(luò)，增強(qiáng)檢測(cè)過(guò)程中對(duì)漏洞的識(shí)別掃描。以該工具為依托，設(shè)計(jì)一個(gè)智能型的綜合檢測(cè)方式。該檢測(cè)分為三個(gè)方面：針對(duì)網(wǎng)絡(luò)空間的整體檢測(cè)、針對(duì)主機(jī)的檢測(cè)以及主動(dòng)式和被動(dòng)式的檢測(cè)[3]。

針對(duì)網(wǎng)絡(luò)的漏洞檢測(cè)，包含網(wǎng)絡(luò)映射和端口檢測(cè)。端口是用于通信的通道，也是一個(gè)容易被入侵的通道，因此在端口檢測(cè)過(guò)程中，利用TCP會(huì)話連接目標(biāo)主機(jī)，當(dāng)連接成功且收到目標(biāo)主機(jī)回復(fù)時(shí)，則表明該端口為“活動(dòng)端口”。根據(jù)主機(jī)的反饋信息，分析平臺(tái)中是否存在漏洞脆弱性，及時(shí)預(yù)測(cè)漏洞的空間位置；而被動(dòng)式檢測(cè)，是周期性的漏洞掃描，對(duì)平臺(tái)內(nèi)的多項(xiàng)內(nèi)容反復(fù)掃描，防止漏洞的出現(xiàn)。上式智能掃描方式中，均利用消息列隊(duì)將檢測(cè)結(jié)果看作一個(gè)記錄，根據(jù)其特定的格式和優(yōu)先級(jí)，制定一個(gè)連續(xù)性的檢測(cè)程序，保證上述智能檢測(cè)方式，在執(zhí)行檢測(cè)任務(wù)時(shí)可以實(shí)現(xiàn)一對(duì)一的覆蓋式信息檢測(cè)，不遺漏任何一處信息空間點(diǎn)[4]。

1.2 評(píng)估漏洞風(fēng)險(xiǎn)態(tài)勢(shì)

根據(jù)消息列隊(duì)規(guī)則，獲取電力信息平臺(tái)的漏洞掃描結(jié)果，以此評(píng)估漏洞風(fēng)險(xiǎn)態(tài)勢(shì)，區(qū)別平臺(tái)漏洞類(lèi)型。而評(píng)估漏洞風(fēng)險(xiǎn)態(tài)勢(shì)，是以風(fēng)險(xiǎn)評(píng)估模型為基礎(chǔ)，通過(guò)考慮風(fēng)險(xiǎn)傳播因素來(lái)估算風(fēng)險(xiǎn)值，再根據(jù)層次模型，綜合考慮不同電力信息重要性權(quán)值，從服務(wù)層至網(wǎng)絡(luò)層，實(shí)現(xiàn)自下而上的平臺(tái)漏洞風(fēng)險(xiǎn)評(píng)估，得到整個(gè)電力信息平臺(tái)的網(wǎng)絡(luò)安全態(tài)勢(shì)。這其中，電力信息平臺(tái)的總體漏洞風(fēng)險(xiǎn)，為電力信息在機(jī)密性、完整性、可用性三個(gè)方面的漏洞風(fēng)險(xiǎn)[5-6]。

假設(shè)漏洞風(fēng)險(xiǎn)用F(a,k,b)表示，其中a為攻擊行為;b為某一項(xiàng)服務(wù);k為b的弱點(diǎn)。若a針對(duì)k，對(duì)b的攻擊有效，則說(shuō)明a影響b的安全屬性，即機(jī)密性、完整性、可用性[7]，如式(1)。

F(a,k,b)=f,f∈[j′,w′,y′]

(1)

式中，f表示風(fēng)險(xiǎn)影響范疇；j′、w′、y′分別表示平臺(tái)面臨的機(jī)密性、完整性、可用性風(fēng)險(xiǎn)值，則對(duì)于電力信息平臺(tái)s，存在安全屬性集合q=[j′,w′,y′]。此時(shí)s面臨的直接風(fēng)險(xiǎn)值如式(2)。

HZ(s)=j′+w′+y′

(2)

通過(guò)評(píng)估漏洞風(fēng)險(xiǎn)態(tài)勢(shì)，加強(qiáng)檢測(cè)結(jié)果的可靠程序。因此利用映射轉(zhuǎn)換函數(shù)的感知敏感性，評(píng)估不同類(lèi)型的漏洞風(fēng)險(xiǎn)態(tài)勢(shì)。

1.3 多角度漏洞檢測(cè)

根據(jù)評(píng)估所得的漏洞風(fēng)險(xiǎn)態(tài)勢(shì)，設(shè)置智能掃描方式的多角度平臺(tái)漏洞檢測(cè)。

靜態(tài)漏洞檢測(cè)以漏洞模型為指導(dǎo)，運(yùn)用靜態(tài)程序分析技術(shù)，發(fā)現(xiàn)網(wǎng)絡(luò)平臺(tái)中的靜態(tài)漏洞[8]。而動(dòng)態(tài)漏洞檢測(cè)，是在電力平臺(tái)運(yùn)行過(guò)程中，用插裝方式收集平臺(tái)運(yùn)行信息，進(jìn)而驗(yàn)證或發(fā)現(xiàn)動(dòng)態(tài)漏洞。由于靜態(tài)漏洞與動(dòng)態(tài)漏洞有各自的特點(diǎn)，因此平臺(tái)在長(zhǎng)期的漏洞攻擊下，還出現(xiàn)了一種混合型的漏洞，即靜態(tài)動(dòng)態(tài)相結(jié)合的平臺(tái)漏洞類(lèi)型[9-10]。

2 實(shí)驗(yàn)研究

2.1 實(shí)驗(yàn)準(zhǔn)備

利用木馬程序攻擊電力信息平臺(tái)，模擬出一個(gè)真實(shí)的測(cè)試環(huán)境，同時(shí)還要讓漏洞中包含靜態(tài)漏洞、動(dòng)態(tài)漏洞和混合漏洞3個(gè)類(lèi)型，其中所有漏洞的安全級(jí)別如表1所示。

表1 漏洞安全級(jí)別設(shè)置要求

統(tǒng)計(jì)該實(shí)驗(yàn)測(cè)試環(huán)境中，不同類(lèi)型漏洞數(shù)據(jù)的信息量，漏洞數(shù)據(jù)含量的統(tǒng)計(jì)結(jié)果如圖1所示。

圖1 漏洞數(shù)據(jù)量統(tǒng)計(jì)餅狀圖

根據(jù)圖1可知，明確不同漏洞數(shù)據(jù)在電力信息平臺(tái)中的占比。實(shí)驗(yàn)將此次研究的檢測(cè)技術(shù)作為實(shí)驗(yàn)組，將兩種傳統(tǒng)檢測(cè)技術(shù)，分別作為對(duì)照A組、對(duì)照B組，根據(jù)上述實(shí)驗(yàn)測(cè)試條件，開(kāi)始實(shí)驗(yàn)。

2.2 第一階段檢測(cè)

第一階段是對(duì)電力信息平臺(tái)中，靜態(tài)漏洞的智能檢測(cè)，實(shí)驗(yàn)結(jié)果如圖2所示。

a 實(shí)驗(yàn)組

根據(jù)圖2結(jié)果可知，三種技術(shù)均得到了較為相似的靜態(tài)漏洞檢測(cè)結(jié)果。靜態(tài)漏洞數(shù)據(jù)在檢測(cè)過(guò)程中的統(tǒng)計(jì)結(jié)果如表2所示。

表2 第一階段靜態(tài)漏洞檢測(cè)遺失率統(tǒng)計(jì)

根據(jù)表2統(tǒng)計(jì)結(jié)果可知，三種檢測(cè)技術(shù)的漏洞遺失率在10%以下，接近圖2中漏洞類(lèi)型一的統(tǒng)計(jì)結(jié)果，可見(jiàn)面對(duì)靜態(tài)漏洞，3個(gè)檢測(cè)技術(shù)都能實(shí)現(xiàn)較為完整的漏洞檢測(cè)。

2.3 第二階段檢測(cè)

第二階段是對(duì)電力信息平臺(tái)中，動(dòng)態(tài)漏洞的智能檢測(cè)，實(shí)驗(yàn)結(jié)果如圖3所示。

a 實(shí)驗(yàn)組

b 對(duì)照A組

c 對(duì)照B組

根據(jù)圖3檢測(cè)結(jié)果可知，對(duì)照組中的檢測(cè)數(shù)據(jù)，明顯少于實(shí)驗(yàn)組。經(jīng)統(tǒng)計(jì)，動(dòng)態(tài)漏洞檢測(cè)遺失率如表3所示。

表3 第二階段動(dòng)態(tài)漏洞檢測(cè)遺失率統(tǒng)計(jì)

根據(jù)表3可知，傳統(tǒng)檢測(cè)方法面對(duì)動(dòng)態(tài)漏洞，遺失了一半以上的漏洞信息，導(dǎo)致動(dòng)態(tài)漏洞檢測(cè)遺失率在一半左右；而實(shí)驗(yàn)組的數(shù)據(jù)遺失率為0，可見(jiàn)該方法得到了平臺(tái)中的所有動(dòng)態(tài)漏洞數(shù)據(jù)。

2.4 第三階段檢測(cè)

第三階段是對(duì)電力信息平臺(tái)中，混合漏洞的智能檢測(cè)，實(shí)驗(yàn)結(jié)果如圖4所示。

a 實(shí)驗(yàn)組

b 對(duì)照A組

c 對(duì)照B組

面對(duì)復(fù)雜程度更高的混合型平臺(tái)漏洞，實(shí)驗(yàn)組的檢測(cè)結(jié)果較多，而傳統(tǒng)方法的漏洞檢測(cè)結(jié)果極少，經(jīng)計(jì)算，混合漏洞的檢測(cè)遺失率如表4所示。

表4 第三階段混合型漏洞檢測(cè)遺失率統(tǒng)計(jì)

根據(jù)表4統(tǒng)計(jì)結(jié)果可知，面對(duì)混合型漏洞，兩個(gè)對(duì)照組的漏洞檢測(cè)遺失率超過(guò)了50%，而實(shí)驗(yàn)組的遺失率僅為10%，可見(jiàn)所提出方法面對(duì)混合型漏洞，檢測(cè)效果更好。

2.5 討論與分析

根據(jù)上述三個(gè)階段的實(shí)驗(yàn)測(cè)試可知，面對(duì)靜態(tài)漏洞時(shí)，3個(gè)檢測(cè)均有較好檢測(cè)結(jié)果；面對(duì)動(dòng)態(tài)漏洞時(shí)，所提出方法對(duì)動(dòng)態(tài)漏洞的檢測(cè)遺失率還保持在0，而傳統(tǒng)檢測(cè)方法對(duì)漏洞檢測(cè)的平均遺失率，達(dá)到了52.94%；面對(duì)混合型漏洞，所提出方法的漏洞檢測(cè)遺失率為10%，而傳統(tǒng)檢測(cè)結(jié)果的平均遺失率為65%。綜合上述實(shí)驗(yàn)測(cè)試結(jié)果，可知面對(duì)不同的漏洞類(lèi)型，所提出方法有更加可靠的檢測(cè)結(jié)果。

3 總結(jié)

此次提出的檢測(cè)方法，利用消息列隊(duì)重新設(shè)計(jì)電力平臺(tái)的漏洞智能檢測(cè)方式，并根據(jù)風(fēng)險(xiǎn)類(lèi)型，從多角度檢測(cè)平臺(tái)漏洞，提高了檢測(cè)結(jié)果的可靠程度。但此次提出的檢測(cè)方法，并沒(méi)有詳細(xì)列出風(fēng)險(xiǎn)漏洞等級(jí)，今后的研究與分析，可以對(duì)這一方面進(jìn)行詳細(xì)介紹。