基于新型APT攻击缓解技术的电力网络异常行为快速发现
2019-12-07封保占林亮成
◆封保占 林亮成
基于新型APT攻击缓解技术的电力网络异常行为快速发现
◆封保占 林亮成
(国网思极网安科技(北京)有限公司 北京 102211)
电力网络是一个庞大而复杂的网络,要保证抵御所有APT攻击是难度非常大的任务,因此更务实的做法是接收APT风险始终存在的事实,然后快速追踪、识别并予以纠正,也就是采取APT攻击的缓解方案。因此,面对正在进行的APT攻击,有必要构建积极的“弹性网络”,从而阻止攻击并减少影响。该类“弹性网络”包含“主动技术”和“联动技术”。“主动技术”主要是利用欺骗技术还原、构建之前的攻击,分析出攻击的必要信息和特征,为之后的应急响应提供支撑;“联动技术”则是一系列调用应急响应流程的机制,两种技术相辅相成共同构建起“网络弹性”(Cyber Resilience)。
APT攻击;弹性网络;主动技术;联动技术
随着网络时代的飞速发展,工业控制系统也开始广泛连接至互联网,而网络安全问题日益突出,其安全稳定运行关系到社会稳定、经济发展、基础民生等重要领域,是民众赖以生存的基础设施和信息沟通的桥梁。同时,正是因为其举足轻重的社会地位,它也极易成为被攻击的目标。尤其是部分网络设备比较陈旧,更新补丁等不及时,当遇到APT攻击时,可能造成严重损失。
电力系统由于其供电的复杂性、供电区域分布的广泛性,决定了电力系统是一个非常复杂而庞大的网络,其安全运行关系到社会发展的方方面面。然而,近年来多次爆发的形式多样的网络攻击问题,使得互联网的安全运行饱受威胁。如果要时时有效抵御各种层出不穷的APT攻击,对目前而言,具有非常大的难度,因此,我们需要采取更加务实而有效的方法是正视各种APT攻击的存在,然后采取积极的,有效的方法去快速追踪各种攻击,第一时间进行识别和纠正,简单来说,也即采取应对APT攻击的一个缓解方案。面对正在进行的APT攻击,有效构建一个积极的“弹性网络”,从而尽量阻止攻击或者减少影响。该类“弹性网络”主要包含了“主动技术”和“联动技术”。
目前在APT攻击缓解技术的电力网络异常行为快速发现方面的研究主要有:
参考文献[1]提出了APT攻击的特点、攻击的形式,并分析了传统防御方法的不足,并提出了新的防御思路。
参考文献[2]提出了主动防御技术的模型、原理和体系的构成。
参考文献[3]针对主动防御技术的发展现状,对于主动防御技术的关键技术进行了分析,有助于更全面深入了解主动防御技术。
参考文献[4]主要介绍了电力系统的三道防线以及联动系统的关键技术运用。
参考文献[5]针对联动技术的特点,详细分析了联动技术的模型以及总体构架,还有联动技术的实现要求。
1 APT攻击的特点
APT攻击是一种目标明确,并且攻击性强的攻击活动,其主要针对关乎民生的重要基础设施,或者选择具有相对而言价值比较高的产业进行一定程度的破坏或者窃取重要的数据和资料,其典型特点是高级,并且持续的攻击,往往会给相关行业或部门带来严重的损失。
APT攻击的原理主要是大多数情况下利用了0day(零日)漏洞,有时候也会相应利用1day或Nday 漏洞,0day 漏洞只是少量黑客组织所掌握,所以一般的安全系统很难发现。而1day或Nday 漏洞,是黑客利用相应的工具实施攻击的目的所公布出来的漏洞,当系统长期未更新补丁,或进行一定的杀毒,就很可能受到严重的攻击,所以APT攻击是一种非常高级的攻击。
另一方面,APT攻击具有很长的持续性特点,从黑客们开始进行前期的探索以及相应资料收集,一直到最终成功盗取数据或给目标造成严重损失的过程一般要持续几个月,或者更长的能够持续几年,所以很难发现这些循序渐进的告警信息并及时采取措施,也在一定程度上增加了检测难度。
APT攻击可以说也非常具有针对性,往往致力于窃取国家重要基础设施,比如政府机构、通信机构、电力行业等等。然而如前所述,国家供电网络构架十分复杂,电力对人类的生产生活又至关重要,所以本文重点研究电力网络中,当发现APT攻击的异常行为时如何能够快速发现这些异常,也就是采取APT攻击时的缓解方案,下面主要介绍两种比较行之有效的技术,也即主动技术和联动技术。
2 主动技术
主动防御技术是一种在网络安全领域得到广泛运用的新兴技术,这种技术与传统采用的被动防御技术有所不同,它包括了防护技术以及检测技术,还具备新型的对抗技术,其典型特点是采用了欺骗技术来干扰和阻碍攻击行为,还原和恢复攻击前的状态,为后续应急处理提供一定的技术支撑。
这种主动防御技术能够充分实现网络的主动防御,有效应对黑客的多种入侵手段,降低了各种网络系统的使用风险,构建和保护网络安全。
图1 主动防御技术数据分析流程图
主动防御技术数据分析流程图如图1所示,电力系统网络中的主动防御技术,是通过一个动态的、虚拟的网络环境来分析、判定可疑的网络攻击行为,对于已知的攻击行为,通过特征库所设定的判别方式,进行判定识别,当发现其为恶意行为之后即进行阻断,而对于未知的攻击,则通过相关算法和模型来进行交叉验证,当发现属于异常行为时,起动入侵响应,同时修改相应的安全策略,将异常行为反馈给知识库,以便于下次对于其他异常行为进行判定。
其中蜜网诱捕和沙箱攻击,主要是通过网络的诱骗技术,伪装成一个真实的系统网络,故意诱惑各种攻击者做出一些恶意行为,然后采取监视以及跟踪的方式,通过对攻击行为进行分析判定,追根溯源,以便于后续对类似行为做出准确反应。
3 联动技术
电力系统目前普遍采用了三道的纵深防线,三道防线图如图2所示。其中,第一道的防线是采用通用的防火墙技术,而第二和第三道防线都是采用了专用的电力安全防护设备,目前这三道防线之间的信息是相对独立的,因而属于被动的防御,所以我们需要将三道防线之间实现联动机制,再结合前文介绍的主动防御技术,当发现攻击时,既能有效判别并启动响应机制,同时联动机制又能调动一系列应急响应机制,二者相辅相成,互相分析判别,共同抵制异常攻击行为,保障电力网络安全有效运行。
图2 电力系统三道防线图
三道防线的联动系统图见图3所示:
图3 联动系统图
由联动系统图可以看出,首先我们需要在发生安全事件时进行事件的相关信息收集,并且对异常事件进行分析检测,当发现是潜在的攻击或不安全事件时,将会把相关信息和资料发送给联动决策模块,并根据事件的严重程度给予相应的告警通知,而联动决策模块通过对系统中的知识库进行检索和匹配分析,进行判断之后,再根据事件可能带来的危害程度进一步判断是否需要联动执行,当判断威胁达到了规定程度,系统将会连接映射表来生成相应的联动规则,然后再将规则进行输出,传送到相应的设备以进行有效的防御。
4 结束语
随着后续电力网络的继续完善和发展,各种网络攻击行为也会随之加强,如何快速识别、跟踪并且及时解决这种网络攻击行为,是需要深入研究的重要课题。本文主要提出了构建弹性网络的理念,采取APT攻击的缓解方案,采用主动防御技术以及联动防御技术有效结合,将电力系统中的三道防线有效联动,便于及时发现各种攻击行为,并且对攻击行为进行分析,从而采取有效对策,尽量减少攻击对于网络的影响,进一步保障整个电力系统网络的有效安全运行。
[1]刘积芬.网络入侵检测关键技术研究[D].上海:东华大学,2013.
[2]刘鑫.网络入侵检测系统中模式匹配算法的应用研究[D].大连海事大学,2013.
[3]王友钊,黄冬.一种提高系统搜索效率的BM改进算法[J].计算机工程,2014.
[4]张宏莉,徐东亮,梁敏,刘宇峰.海量模式高效匹配方法研究[J].电子学报,2014.
[5]王正才,许道云,王晓峰.基于自动机并操作的多目标AC-BM算法[J].计算机科学,2013.
[6]陆琳琳,田野.基于确定有限状态自动机的改进多模式匹配算法研究[J].计算机应用与软件,2013.
[7]蒋晓鸽,武小年,张昭.基于后缀WM匹配算法的改进算法[J].计算机与数字工程,2013.
[8]Laboratory Lincoln.MIT Lincoln Laboratory Inf-ormation Systems Technology[EB/OL].http://www.ll.mit.edu/ideval/data/2000data.html.