李 群， 王 超， 任天宇

(1. 國(guó)網(wǎng)北京市電力公司 電力科學(xué)研究院， 北京 100075； 2. 華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院， 北京 102206)

電力系統(tǒng)網(wǎng)絡(luò)安全是系統(tǒng)正常運(yùn)行的關(guān)鍵[1].當(dāng)電力系統(tǒng)網(wǎng)絡(luò)中的硬件或軟件以及其中的數(shù)據(jù)因惡意原因遭受到破壞、更改時(shí)，就會(huì)導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷或不穩(wěn)定運(yùn)行，上述現(xiàn)象可以稱(chēng)為網(wǎng)絡(luò)入侵.網(wǎng)絡(luò)入侵行為會(huì)導(dǎo)致電力系統(tǒng)數(shù)據(jù)泄漏，嚴(yán)重影響電力系統(tǒng)的運(yùn)行.現(xiàn)階段網(wǎng)絡(luò)入侵手法主要包括口令入侵、緩沖區(qū)溢出、端口掃描及欺騙攻擊等[2].

針對(duì)網(wǎng)絡(luò)安全的入侵檢測(cè)問(wèn)題，國(guó)內(nèi)外學(xué)者已經(jīng)進(jìn)行了相關(guān)的研究，并取得了一定的研究成果.其中包括基于支持向量機(jī)的網(wǎng)絡(luò)安全入侵檢測(cè)方法、模糊關(guān)聯(lián)規(guī)則挖掘的網(wǎng)絡(luò)安全入侵檢測(cè)方法和基于PCA和LOGIT模型的網(wǎng)絡(luò)入侵檢測(cè)方法[3].由于多層次網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)，傳統(tǒng)的入侵檢測(cè)技術(shù)無(wú)法得到精準(zhǔn)的檢測(cè)結(jié)果，為此需要引入滲透測(cè)試技術(shù).滲透測(cè)試就是通過(guò)模擬黑客在多層次網(wǎng)絡(luò)中的入侵攻擊行為，對(duì)網(wǎng)絡(luò)目標(biāo)實(shí)施攻擊，同時(shí)獲得訪(fǎng)問(wèn)控制權(quán)限的行為.在網(wǎng)絡(luò)的滲透測(cè)試過(guò)程中，需要測(cè)試者從攻擊者的角度出發(fā)，檢測(cè)網(wǎng)絡(luò)的漏洞、配置的缺陷以及網(wǎng)絡(luò)安全監(jiān)管的缺失，從而實(shí)現(xiàn)提升測(cè)試目標(biāo)安全性的目的.

1 檢測(cè)方法設(shè)計(jì)

本文分別分析網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)狀態(tài)來(lái)確定網(wǎng)絡(luò)運(yùn)行特征，將實(shí)時(shí)信號(hào)數(shù)據(jù)與正常網(wǎng)絡(luò)運(yùn)行特征做匹配，便可判斷當(dāng)前多層次網(wǎng)絡(luò)安全的運(yùn)行狀態(tài)，進(jìn)而對(duì)存在安全入侵現(xiàn)象的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)一步分析與測(cè)試，得出較為全面的檢測(cè)結(jié)果[4].設(shè)計(jì)的基于滲透測(cè)試的電力系統(tǒng)多層次網(wǎng)絡(luò)安全入侵檢測(cè)方法的實(shí)現(xiàn)過(guò)程如圖1所示.

圖1 電力系統(tǒng)多層次網(wǎng)絡(luò)入侵檢測(cè)方法實(shí)現(xiàn)過(guò)程Fig.1 Implementation process of multi-level network intrusion detection method for power system

1.1 多層次網(wǎng)絡(luò)結(jié)構(gòu)分析

為了實(shí)現(xiàn)對(duì)多層次網(wǎng)絡(luò)的精準(zhǔn)檢測(cè)，首先需要收集正常運(yùn)行狀態(tài)下多層次網(wǎng)絡(luò)每一個(gè)層級(jí)的狀態(tài)信息以及內(nèi)部網(wǎng)絡(luò)傳輸數(shù)據(jù)信號(hào)的運(yùn)行情況，以此作為檢測(cè)網(wǎng)絡(luò)異常入侵的依據(jù).經(jīng)過(guò)分析可知，多層次網(wǎng)絡(luò)由表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)訪(fǎng)問(wèn)層以及數(shù)據(jù)存儲(chǔ)層4個(gè)部分組成，其中用戶(hù)顯示層可以顯示與輸出其他層級(jí)運(yùn)算的結(jié)果，屬于直觀網(wǎng)絡(luò)層次[5]；業(yè)務(wù)邏輯層是表現(xiàn)層中單獨(dú)分離出的一層，主要用來(lái)接收網(wǎng)絡(luò)用戶(hù)的表現(xiàn)層請(qǐng)求，利用其內(nèi)部邏輯程序中的腳本引擎加載、編譯并執(zhí)行腳本語(yǔ)言后，將用戶(hù)的請(qǐng)求發(fā)送給下一個(gè)層次；數(shù)據(jù)訪(fǎng)問(wèn)層為多層次網(wǎng)絡(luò)中存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫(kù)服務(wù)器，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的檢索，該層的運(yùn)行需要與其下一層次，即數(shù)據(jù)存儲(chǔ)層相互配合，以實(shí)現(xiàn)對(duì)應(yīng)的數(shù)據(jù)訪(fǎng)問(wèn)功能[6].為了保證多層次網(wǎng)絡(luò)結(jié)構(gòu)分析的準(zhǔn)確性，將網(wǎng)絡(luò)結(jié)構(gòu)用一個(gè)無(wú)向圖模型來(lái)表述為

G=(V，E)

(1)

式中：V為任意兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的邊集；E為多層次網(wǎng)絡(luò)鏈路中的節(jié)點(diǎn)負(fù)載邊.入侵節(jié)點(diǎn)的多層次網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)分布情況如圖2所示.

圖2 多層次網(wǎng)絡(luò)入侵節(jié)點(diǎn)結(jié)構(gòu)分布Fig.2 Structure distribution of multi-level network intrusion nodes

根據(jù)圖2中的網(wǎng)絡(luò)節(jié)點(diǎn)分布情況，在多層次網(wǎng)絡(luò)環(huán)境中根據(jù)入侵節(jié)點(diǎn)遷移數(shù)據(jù)的幀數(shù)來(lái)確定數(shù)據(jù)的轉(zhuǎn)發(fā)時(shí)間，采用路由引擎等對(duì)入侵節(jié)點(diǎn)的數(shù)據(jù)收發(fā)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸信號(hào)的采集.

1.2 多層次網(wǎng)絡(luò)滲透測(cè)試

為了防止多層次網(wǎng)絡(luò)防御機(jī)制出現(xiàn)漏洞，造成特征數(shù)據(jù)提取不全的問(wèn)題，通過(guò)對(duì)多層次網(wǎng)絡(luò)系統(tǒng)的密切協(xié)作來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)元素丟包率、延遲等參數(shù)測(cè)量[7].由于多層次網(wǎng)絡(luò)源節(jié)點(diǎn)發(fā)送數(shù)據(jù)包經(jīng)過(guò)若干個(gè)節(jié)點(diǎn)的傳送而到達(dá)目的節(jié)點(diǎn)，因此可以將網(wǎng)絡(luò)滲透測(cè)試近似為一種線(xiàn)性模型，即

Y=Dθ+ε

(2)

式中：Y為滲透測(cè)試向量；D為路由矩陣；θ為待估計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包的參數(shù)向量；ε為多層次網(wǎng)絡(luò)的誤差向量.按照搭建的滲透測(cè)試線(xiàn)性模型，分別從多層次網(wǎng)絡(luò)客戶(hù)端和服務(wù)器端兩個(gè)方面滲透測(cè)試，具體的測(cè)試流程如圖3所示.

圖3 滲透測(cè)試工作流程圖Fig.3 Flow chart of penetration test

1.2.1 滲透檢測(cè)方向確定

滲透測(cè)試檢測(cè)的方向主要有兩個(gè)，一個(gè)為順網(wǎng)絡(luò)傳輸?shù)姆较?，另一個(gè)為逆網(wǎng)絡(luò)傳輸?shù)姆较騕8].滲透測(cè)試綜合搜尋個(gè)體的利己方向、利他方向和預(yù)動(dòng)方向，隨機(jī)加權(quán)平均確定最終的搜索方向.若計(jì)算結(jié)果在[0，1]之間，則滲透測(cè)試的搜索方向?yàn)轫槀鬏敺较颍駝t為逆網(wǎng)絡(luò)傳輸方向.

1.2.2 滲透檢測(cè)步長(zhǎng)確定

滲透測(cè)試檢測(cè)的搜索步長(zhǎng)可表示為

(3)

式中：u為高斯隸屬度；x為輸入變量；δ為隸屬函數(shù)參數(shù)[9].通過(guò)對(duì)隸屬度的計(jì)算，可以得到滲透測(cè)試的步長(zhǎng)為

(4)

式中：αij為j維度滲透搜索空間的搜索步長(zhǎng)；δij為隸屬度函數(shù)位置；ψ為慣性權(quán)值；xmin、xmax分別為輸入變量最小值和最大值；t為當(dāng)前迭代次數(shù)；Tmax為迭代最大值.通過(guò)雙向滲透確定多層次網(wǎng)絡(luò)防御機(jī)制的狀態(tài)，若其狀態(tài)正常則截獲需要檢測(cè)的網(wǎng)絡(luò)信號(hào)；若防御出現(xiàn)漏洞，則需要在網(wǎng)絡(luò)節(jié)點(diǎn)做好補(bǔ)丁后再截獲需要檢測(cè)的網(wǎng)絡(luò)信號(hào).

1.3 截獲網(wǎng)絡(luò)信號(hào)

在確定防御為正常狀態(tài)后，在電力系統(tǒng)多層次網(wǎng)絡(luò)中安裝數(shù)據(jù)的采集與截獲裝置[10]，設(shè)置連續(xù)采集周期為24 h，采集間隔時(shí)間為0.5 min.啟動(dòng)網(wǎng)絡(luò)信號(hào)采集裝置，按照?qǐng)D4所示的網(wǎng)絡(luò)信號(hào)截獲流程實(shí)現(xiàn)多層次網(wǎng)絡(luò)傳輸數(shù)據(jù)信號(hào)的截獲.

圖4 網(wǎng)絡(luò)信號(hào)截獲流程圖Fig.4 Flow chart of network signal interception

將多層次網(wǎng)絡(luò)中的運(yùn)行信號(hào)假設(shè)為平穩(wěn)的隨機(jī)信號(hào)，可以將截獲的單分量網(wǎng)絡(luò)信號(hào)表示為

(5)

式中：f(s[t-τ])為多層次網(wǎng)絡(luò)的單分量主頻特征；s為傳輸信號(hào)的特征分解尺度因子；τ為信號(hào)的賦值在時(shí)頻域上的時(shí)延[11].利用單分量信號(hào)截獲網(wǎng)絡(luò)信號(hào)中時(shí)間與頻率之間的關(guān)系，獲取多層次網(wǎng)絡(luò)傳輸信號(hào)的伸縮變換歸一化尺度參量H(ω，t).

由于多層次網(wǎng)絡(luò)環(huán)境中存在其他設(shè)備的干擾，因此在數(shù)據(jù)截獲與處理過(guò)程中需要考慮信號(hào)的噪聲情況[12].在噪聲干擾下可以得到相應(yīng)的傳輸信號(hào)波形表達(dá)式為

y(t)=a(θi)H(ω，t)+n(t)

(6)

式中：a(θi)為頻譜的幅值；n(t)為其他設(shè)備的干擾項(xiàng).

1.4 多層次網(wǎng)絡(luò)信號(hào)特征提純

由于截獲的網(wǎng)絡(luò)信號(hào)存在噪聲干擾，因此需要對(duì)原始網(wǎng)絡(luò)信號(hào)進(jìn)行濾波處理，以此來(lái)保證網(wǎng)絡(luò)安全入侵檢測(cè)結(jié)果的置信度[13].另外還需要將正常網(wǎng)絡(luò)環(huán)境下運(yùn)行數(shù)據(jù)的特征提取出來(lái)，作為網(wǎng)絡(luò)安全入侵檢測(cè)的標(biāo)準(zhǔn).

截獲并處理完成的電力系統(tǒng)多層次網(wǎng)絡(luò)傳輸信號(hào)包含的數(shù)據(jù)量較大，在入侵檢測(cè)過(guò)程中需要時(shí)間較長(zhǎng)，會(huì)影響網(wǎng)絡(luò)安全入侵檢測(cè)的效率[14].完成多層次網(wǎng)絡(luò)傳輸信號(hào)的特征提取后，將信號(hào)按照上、下包絡(luò)局部特征分解，存儲(chǔ)相應(yīng)的特征提取結(jié)果.建立多層網(wǎng)絡(luò)安全數(shù)據(jù)分類(lèi)器，將不同的信號(hào)特征，依據(jù)分類(lèi)器分類(lèi)，從而實(shí)現(xiàn)多層次網(wǎng)絡(luò)入侵信號(hào)檢測(cè).

1.5 多層次網(wǎng)絡(luò)安全入侵檢測(cè)

分別檢測(cè)多層次網(wǎng)絡(luò)的傳輸數(shù)據(jù)和數(shù)據(jù)傳輸流量，并與正常運(yùn)行環(huán)境下多層次網(wǎng)絡(luò)的狀態(tài)特征進(jìn)行匹配處理，從而得出有關(guān)多層次網(wǎng)絡(luò)安全入侵的檢測(cè)結(jié)果.

1.5.1 檢測(cè)網(wǎng)絡(luò)異常流量

多層次網(wǎng)絡(luò)環(huán)境中異常流量的檢測(cè)主要是通過(guò)網(wǎng)絡(luò)流量的行為描述來(lái)分析和發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的異常行為.具體的網(wǎng)絡(luò)異常流量檢測(cè)過(guò)程如圖5所示.

圖5 異常流量檢測(cè)流程圖Fig.5 Flow chart of abnormal flow detection

在確定網(wǎng)絡(luò)流量歷史行為測(cè)度框架的基礎(chǔ)上，對(duì)比檢測(cè)當(dāng)前的網(wǎng)絡(luò)入侵活動(dòng).歷史行為測(cè)度框架主要是由測(cè)度統(tǒng)計(jì)值構(gòu)成的，采集的網(wǎng)絡(luò)運(yùn)行流量與多層次網(wǎng)絡(luò)在正常運(yùn)行狀態(tài)下的運(yùn)行流量在數(shù)值之間出現(xiàn)明顯的偏差，即認(rèn)為出現(xiàn)了異常行為[15].

1.5.2 定位多層次網(wǎng)絡(luò)入侵節(jié)點(diǎn)

根據(jù)檢測(cè)樣本異常結(jié)果的數(shù)據(jù)來(lái)源確定多層次網(wǎng)絡(luò)結(jié)構(gòu)中網(wǎng)絡(luò)漏洞的基本位置，接著分別從多層次網(wǎng)絡(luò)結(jié)構(gòu)中的應(yīng)用層次和網(wǎng)絡(luò)層次分別定位入侵節(jié)點(diǎn).其中應(yīng)用層次的入侵主要利用程序上的漏洞，而網(wǎng)絡(luò)層次上的入侵行為主要針對(duì)的是網(wǎng)絡(luò)協(xié)議本身的漏洞以及協(xié)議實(shí)現(xiàn)過(guò)程中存在的漏洞.因此可以通過(guò)判斷網(wǎng)絡(luò)安全入侵的類(lèi)型來(lái)確定多層次網(wǎng)絡(luò)入侵節(jié)點(diǎn)的位置.綜合多層次網(wǎng)絡(luò)傳輸數(shù)據(jù)包、流量以及入侵節(jié)點(diǎn)等多個(gè)方面的檢測(cè)得出最終的檢測(cè)結(jié)果.

2 實(shí)驗(yàn)驗(yàn)證分析

2.1 實(shí)驗(yàn)配置

在實(shí)驗(yàn)啟動(dòng)之前，需要對(duì)網(wǎng)絡(luò)中的服務(wù)器、PC機(jī)以及連接節(jié)點(diǎn)等硬件設(shè)施調(diào)試，保證搭建的多層次網(wǎng)絡(luò)可以正常運(yùn)行.另外在實(shí)驗(yàn)網(wǎng)絡(luò)中需要人工設(shè)置網(wǎng)絡(luò)漏洞的節(jié)點(diǎn)，方便檢測(cè)和控制.檢測(cè)主機(jī)硬件的設(shè)備名記為cete-48，IP設(shè)置為218.234.24.23，該設(shè)備的操作系統(tǒng)為Windows XP系統(tǒng)，端口信息為161，23，1 900，28 781.將檢測(cè)方法以程序代碼的形式輸入到cete-48設(shè)備當(dāng)中，設(shè)置常規(guī)數(shù)據(jù)為2 000組，共2 GB，異常數(shù)據(jù)為3組，共0.1 GB，最終的檢測(cè)結(jié)果也通過(guò)cete-48設(shè)備顯示器輸出.

2.2 網(wǎng)絡(luò)入侵攻擊程序生成

以設(shè)置的多層次網(wǎng)絡(luò)漏洞節(jié)點(diǎn)為切入點(diǎn)，生成網(wǎng)絡(luò)入侵程序，向多層次網(wǎng)絡(luò)發(fā)動(dòng)入侵攻擊，網(wǎng)絡(luò)入侵攻擊程序的生成與實(shí)現(xiàn)過(guò)程如圖6所示.

圖6 網(wǎng)絡(luò)入侵過(guò)程Fig.6 Network intrusion process

為了保證實(shí)驗(yàn)結(jié)果的可信度，實(shí)驗(yàn)網(wǎng)絡(luò)結(jié)構(gòu)中的漏洞節(jié)點(diǎn)不唯一，且網(wǎng)絡(luò)入侵攻擊的入侵類(lèi)型不唯一.將拒絕服務(wù)入侵攻擊記為DOS，遠(yuǎn)程機(jī)器非法訪(fǎng)問(wèn)入侵記為R2L，程序修改入侵記為U2R，信息竊取入侵記為Probing，而網(wǎng)絡(luò)正常運(yùn)行記為Normal.

2.3 實(shí)驗(yàn)結(jié)果分析

啟動(dòng)電力系統(tǒng)多層次網(wǎng)絡(luò)，模擬實(shí)際運(yùn)行環(huán)境相關(guān)數(shù)據(jù)的傳輸.在3 h后分別生成多條網(wǎng)絡(luò)入侵攻擊程序，入侵攻擊程序全部生成30 min后發(fā)動(dòng)第一次入侵攻擊，接著利用隨機(jī)程序以不固定的時(shí)間間隔向網(wǎng)絡(luò)發(fā)動(dòng)入侵攻擊，直至生成的網(wǎng)絡(luò)入侵攻擊程序終止.

為驗(yàn)證所提方法的有效性，采用基于支持向量機(jī)的電力系統(tǒng)網(wǎng)絡(luò)安全入侵檢測(cè)方法作為對(duì)比方法，分別測(cè)試兩種方法的分類(lèi)器檢測(cè)數(shù)據(jù)異常結(jié)果如圖7所示.

由圖7可知，在相同數(shù)據(jù)量下，基于支持向量機(jī)的電力系統(tǒng)網(wǎng)絡(luò)安全入侵檢測(cè)方法未檢測(cè)出異常數(shù)據(jù)，而所提方法檢測(cè)出3組異常數(shù)據(jù).由此證明，所提方法的分類(lèi)器能準(zhǔn)確判斷數(shù)據(jù)異常.根據(jù)所提方法檢測(cè)出的3組異常數(shù)據(jù)，采用兩種算法同時(shí)對(duì)其進(jìn)行位置標(biāo)定，所得結(jié)果如圖8所示.

圖7 分類(lèi)器判斷數(shù)據(jù)異常結(jié)果對(duì)比Fig.7 Comparison results of abnormal data judged by classifiers

根據(jù)圖8可以看出，基于支持向量機(jī)的電力系統(tǒng)網(wǎng)絡(luò)安全入侵檢測(cè)方法不能標(biāo)定出異常數(shù)據(jù)在多層次網(wǎng)絡(luò)中的位置，而所提方法根據(jù)異常數(shù)

圖8 入侵?jǐn)?shù)據(jù)位置標(biāo)定對(duì)比Fig.8 Comparison of location calibration of intrusion data

據(jù)信息的來(lái)源判斷出該異常信息來(lái)自數(shù)據(jù)訪(fǎng)問(wèn)層和數(shù)據(jù)儲(chǔ)存層，證明所提方法能夠有效地標(biāo)定出分類(lèi)器判斷的異常數(shù)據(jù)位置.

3 結(jié) 論

基于滲透測(cè)試的多層次電力系統(tǒng)網(wǎng)絡(luò)安全入侵檢測(cè)方法的設(shè)計(jì)與實(shí)現(xiàn)，解決了傳統(tǒng)檢測(cè)方法存在的問(wèn)題，在提高入侵檢測(cè)準(zhǔn)確性的同時(shí)也加快了入侵檢測(cè)速度，為電力系統(tǒng)網(wǎng)絡(luò)安全入侵攻擊的防御提供充足的時(shí)間.然而經(jīng)過(guò)實(shí)驗(yàn)對(duì)比與驗(yàn)證發(fā)現(xiàn)，基于滲透測(cè)試的多層次網(wǎng)絡(luò)安全入侵檢測(cè)方法仍存在一定的誤測(cè)情況，在接下來(lái)的研究工作中需要針對(duì)該方面進(jìn)一步研究.