CN106888106A

CN106888106A - 智能电网中的it资产大规模侦测系统

Info

Publication number: CN106888106A
Application number: CN201510946324.9A
Authority: CN
Inventors: 王红凯; 张旭东; 郑生军; 夏正敏; 王莉; 伍军; 陈昊; 李建华; 夏业超
Original assignee: Shanghai Jiaotong University; State Grid Corp of China SGCC; Beijing Guodiantong Network Technology Co Ltd; Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Jibei Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Gansu Electric Power Co Ltd
Current assignee: Shanghai Jiaotong University; State Grid Corp of China SGCC; Beijing Guodiantong Network Technology Co Ltd; Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Jibei Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Gansu Electric Power Co Ltd
Priority date: 2015-12-16
Filing date: 2015-12-16
Publication date: 2017-06-23

Abstract

本发明公开了一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器，所述调度服务器用于获取侦测任务并将侦测任务按一定规则分配给各网络设备指纹获取服务器；所述网络设备指纹获取服务器用于在接收到调度服务器分配的侦测任务后对智能电网中的IP目标进行组件指纹探测扫描，将获取到的识别数据发送给数据库服务器；所述数据库服务器用于将网络设备指纹获取服务器发送的识别数据存入目标库。本发明具备对智能电网中IT资产的自主发现能力，和全方位信息定位能力，实现对智能电网空间的全面、实时、精确侦测。

Description

智能电网中的IT资产大规模侦测系统

技术领域

本发明涉及智能电网安全领域，具体是基于指纹识别技术和分布式调度的IT资产大规模侦测系统。

背景技术

智能电网(Smart Power Grids)是建立在集成的、高速双向通信网络的基础上，通过先进的传感与测量技术、设备技术、控制技术以及先进的决策支持系统技术的应用，实现电网的可靠稳定、经济、高效、环境友好和使用安全的目标。然而，随着智能电网的建设和发展，电力设备的更新换代，导致“信息孤岛”问题愈发突出，造成智能电网中的IT资产管理混乱，进而影响信息系统的安全性和稳定性。另外，随着互联网技术的迅猛发展，各类因应用组件造成的安全事件由应用组件所造成的服务中断等事故，只能是依靠以负反馈为主的方式逐级进行问题提交。对于异构的应用组件，在某一应用组件出现安全风险时只能被动的进行单一的针对性修复或防御策略追加，而无法有效匹配全网中所有受影响的应用组件，并进行统一的安全修复和防御策略追加。对于智能电网空间应用组件的变更、系统升级等变化无法进行有效探测、追溯和安全预警，为改变被动防御的现状，实现智能电网中IT资产的主动识别、追溯，并建立有效的积极防御体系，需要建立长期的资产全状态管理及预警能力，通过周期化、自动化的软硬件资产普查，掌握各类资产的安全属性，并在漏洞爆发时可以做到有效应对，从而更符合各种政策规范的要求，为智能电网空间的稳定运行提供技术保障。

综上所述，智能电网和信息化技术的发展对于IT资产大规模侦测的全面性和精确性提出了较高的要求，需要设计一种具备IT资产自主发现能力和全方位信息定位能力的大规模侦测系统。

发明内容

为了解决智能电网的安全性和稳定性问题，本发明提供了一种智能电网中的IT资产大规模侦测系统，利用指纹识别技术，对网络设备组件进行识别，并采用分布式架构设计实现了对智能电网中IT资产的大规模侦测。

本发明所采用的技术方案是：

一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器；

所述调度服务器用于获取侦测任务并将侦测任务按一定规则分配给各网络设备指纹获取服务器；

所述网络设备指纹获取服务器用于在接收到调度服务器分配的侦测任务后对智能电网中的IP目标进行组件指纹探测扫描，通过将扫描到的数据与数据库服务器中的指纹库进行指纹对比，获取侦测结果，并将扫描到的数据和侦测结果发送给数据库服务器的目标库和指纹侦测结果库；

所述数据库服务器用于提供目标库、指纹库和指纹侦测结果库的查询、更新、索引。

依据上述特征，所述组件指纹探测扫描包含以下步骤：

(1.1)对IP目标进行端口探测，获得至少一个开放端口和一个关闭端口，其中IP目标包括Web服务器，Web应用，操作系统；

(1.2)构造若干个探测报文，所述探测报文包含序列号和可选项的TCP探测报文、ICMP探测报文、ECN的TCP探测报文、关闭端口的TCP探测报文，关闭端口的UDP探测报文；

(1.3)将所述探测报文发送给IP目标，若某个报文没有应答，则重新发送一次；

(1.4)提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；

(1.5)使用构造的先验指纹库探测新的IP目标；

(1.6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。

依据上述特征，所述步骤1.1中：若IP目标为Web服务器时，主要探测：智能电网空间中网站响应头部数据、网站文件类型、网站对400错误响应的返回、网站对500错误响应的返回、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显；

若IP目标为Web应用时，主要探测：智能电网空间中网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS等链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5。

依据上述特征，所述指纹对比包含以下步骤：

(2.1)从IP目标响应的探测报文中提取出包含源IP地址、目的IP地址的基本信息及属性信息，整理成统一的数据格式，进行标准化指纹数据；

(2.2)通过聚类方法消除指纹数据中的噪声；

(2.3)再利用基于属性相似的概率关联方法将消除噪声的指纹数据与指纹库中的指纹信息进行关联分析，得到侦测结果。

优选地，所述数据库服务器采用MongoDB型分布式数据库实现分布式存储。

优选地，所述调度服务器包含任务下发子模块、进度汇总模块和异常处理模块，所述用于任务下发子模块用于将接收到的侦测任务放到侦测任务队列中，并将侦测任务队列中的任务按照任务下发标准接口传递给各网络设备指纹获取服务器；所述进度汇总模块用于将网络设备指纹获取服务器反馈的侦测任务执行状况进行汇总；所述异常处理模块用于在接收到网络设备指纹获取服务器的异常报告或超出一定时间无法连接网络设备指纹获取服务器，将下发给网络设备指纹获取服务器的侦测任务转移到其他网络设备指纹获取服务器继续执行。

优选地，所述任务下发子模块还用于根据采集服务器的网络速度优选将侦测任务下发给速度快的采集服务器。

进一步，所述的IT资产大规模侦测系统还包含UI服务器，所述UI服务器

用于提供人机交互界面，将用户提出的侦测任务发送给调度服务器。

进一步，所述的IT资产大规模侦测系统还包含日志服务器，所述日志服务

器用于进行日志管理。

进一步，所述的IT资产大规模侦测系统还包含任务管理器，所述任务管理

器用于对IT资产大规模侦测系统内部任务进行管理。

本发明的有益效果是具备对智能电网空间中IT资产的自主发现能力，对IT资产进行全方位信息定位，实现对智能电网空间的全面、实时、精确侦测。

附图说明

图1为本发明智能电网中的IT资产大规模侦测系统拓扑图；

图2为本发明智能电网中的IT资产大规模侦测系统组成图；

图3为本发明所述系统分布式数据存储示意图；

图4为本发明所述系统任务调度流程图；

图5为仿真测试2中心脏出血漏洞数目随时间变化示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明。本发明实施例在以本发明技术方案为前提下实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下面的实施例。

本发明智能电网中IT资产大规模侦测系统包括调度服务器、网络设备指纹获取服务器、数据库服务器和UI服务器等，经由路由器进行连接，通过任务调度，利用分布式存储等技术，完成对智能电网中各局域网设备的指纹获取和判别，系统部署参考附图图1。各服务器硬件配置见表一。

表一

本发明智能电网中IT资产大规模侦测系统利用指纹探测技术，对智能电网空间设备进行大规模侦测。系统包括调度服务器、UI(User Interface，用户界面)服务器、数据库服务器和网络设备指纹获取服务器等，核心是由网络设备指纹获取服务器构成的基于指纹库的网络设备组件识别模块，其侦测目标对象包括智能电网中的服务器、应用程序服务器、路由器、防火墙、网络摄像头和交换机等。另外，由于智能电网空间的IT资产信息多、规模大，所以调度服务器采用分布式技术，对侦测任务建立探测引擎集群，实现对智能电网中IT资产的大规模分布式侦测和采集任务。其具体拓扑结构参考附图图1，其中：

调度服务器采用分布式调度技术，分为分布式数据存储和任务调度，对侦测任务建立探测引擎集群，实现对智能电网中IT资产的大规模分布式侦测和采集任务；

UI服务器为界面有关的软件人机交互、操作逻辑等提供服务，操作界面包含报表、站点管理、系统管理等，其中报表信息从数据库服务器中获取，站点管理、系统管理的信息从调度服务器中获取；

数据库服务器为智能电网空间应用提供包括查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等操作，为调度服务器、UI服务器、网络设备指纹获取服务器等提出的请求提供全方位服务，并提供了用于数据操纵的标准接口API、监控性能、并发控制等工具，由DBA(Database Administrator，数据库管理员)统一负责数据库访问及网络管理的授权任务；

网络设备指纹获取服务器根据返回信息，利用指纹比对技术，结合指纹数据库，对该设备所使用的组件类型进行识别，指纹数据库数据请求由网络设备指纹获取服务器发出，数据库服务器接收到请求后进行查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等操作。

指纹对比技术首先采用聚类算法消除指纹数据中的噪声(异常数据)，再将处理后的数据与指纹数据库中的信息进行关联分析。指纹对比过程主要由属性提取、信息标准化、聚类引擎、关联分析四部分组成。在聚类实现前，通过对采集到的报文分析，提取出源IP地址、目的IP地址等基本信息及属性信息，整理成统一的数据格式，进行信息标准化。通过聚类，消除指纹数据中的噪声(异常数据)，再利用基于属性相似的概率关联方法将处理后的数据与指纹数据库中其他指纹信息进行关联分析，为智能电网中的IT资产大规模侦测提供数据支撑。

本发明所述智能电网中的IT资产大规模侦测系统的组成参考附图图2。侦测目标对象包括智能电网中的服务器、应用程序服务器、路由器、防火墙、网络摄像头和交换机等；侦测扫描模块由分布式调度和各个端口探测引擎构成，其中分布式调度模块由调度服务器负责，各端口探测引擎存在于网络设备指纹获取服务器中；数据中心主要由数据库服务器构成包括数据库主服务器和数据库从服务器，管理指纹库、目标库和指纹探测结果库；数据展示模块由UI服务器对数据库服务器中存储的指纹、目标和指纹探测结果进行数据查询、数据统计和数据导出操作；综合管理模块的引擎管理操作由调度服务器完成，日志管理和任务管理操作分别由日志管理服务器、任务管理服务器完成。分布式调度模块管理各个端口探测引擎，针对侦测目标对象，结合指纹库，进行周期性的组件指纹探测，并将结果数据存储入库，供数据展示模块调用，进行查询、统计、导出等操作。探测结果存储在指纹探测结果库中，通过数据展示模块对数据进行处理，可以实现数据查询、数据统计和数据导出等功能。综合管理模块负责任务管理、引擎管理以及日志管理，保证系统的正常运转。用户建立任务后，UI通过API接口传递到后台数据库，由调度服务器获取任务并将任务按一定分配规则分配给各网络设备指纹获取服务器，分配规则可以按照侦测任务的先后顺序、优先级、先后顺预与优先级的组合或者其它次序。网络设备指纹获取服务器接收任务后执行检测功能，通过命令行参数驱动Xmap、Wmap和POC(Proof of Concept，验证测试)功能的执行，获取到相应数据后，以IP或域名的方式归类到相应字段，再通过调度算法将获取数据入库到MongoDB。最终由UI接口从数据库提取相应数据完成信息的展示。

网络设备指纹获取服务器所执行的指纹探测技术包括Web服务器指纹探测、 Web应用指纹探测和操作系统指纹探测：

1、Web服务器指纹探测模块主要通过探测：智能电网空间中网站响应头部数据、网站文件类型、网站对400错误响应的返回、网站对500错误响应的返回(如果存在)、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显等请求，并利用返回信息作为判别依据对Web服务器的指纹进行判断，再通过指纹解析引擎获得目标网站的Web服务器发行版本及版本号等信息，同时，这些探测信息可用于辅助判断远程服务器上运行的操作系统、WEB脚本语言、Web组件及相应版本型号；

2、Web应用指纹探测模块利用高精度的指纹识别技术对Web应用进行精确识别，主要通过探测Web应用服务器上所运行的第三方Web组件特征信息来判断其所使用的组件情况和具体版本信息，包括以下几个请求和返回信息进行Web应用指纹判断：智能电网空间中网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS等链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5，并将这些信息进行组合匹配，包括：网站响应头部信息、HTML页面信息、特殊URL信息、网站文件MD5哈希值信息等；

3、操作系统指纹探测模块基于Nmap端口扫描工具，不断持续跟踪和分析不同版本操作系统在TCP/IP栈中的数据特征，获得网站开放端信息、端口上的协议类型和版本号等信息。通过对扫描结果的处理，从Banner中获取网站使用的Web容器及类型以及其它应用的信息。不同操作系统在接收TCP或UDP请求时，其返回的数据填充内容、IP头中的SEQ NUMBER等特征呈现出不同的规律，在该规律上进行深度挖掘，可以精确识别操作系统服务版本及其版本号。

本发明所述系统的网络设备指纹获取服务器是整个系统的核心，它采用如下方法进行探测：

(1)对IP目标进行端口探测，获得至少一个开放端口和一个关闭端口；

(2)构造16个探测报文，包含6个序列号和可选项的TCP探测报文，2个ICMP探测报文，1个ECN的TCP探测报文，6个关闭端口的TCP探测报文，1个关闭端口的UDP探测报文；

(3)构造的16个探测报文，确保每个报文在100ms内发送。如果某个报文没有应答，则重新发送一次；

(4)提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；

(5)使用构造的先验指纹库探测新的目标主机；

(6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。

本发明所述系统采用分布式调度技术，该技术分为分布式数据存储和任务调度，其中分布式数据存储功能由数据库服务器完成，任务调度由调度服务器完成。

1、分布式数据存储采用MongoDB这一文档型分布式数据库实现分布式存储，如附图图3所示，多个节点数据库服务器用于存储网站检测的相关数据及结果数据、统计数据等大量数据内容，其中MongoDB把数据保存到其他机器当中，所用到的MongodbShard指的是分片，Shard为水平方向的多节点数据分散存储，通过并行计算可满足大规模网络空间数据的并发访问、处理和分析等需求，并采用主从存储和分片存储方法。

2、任务调度模块，调用各组件指纹探测模块，对智能电网中各局域网内的IP目标进行组件指纹探测扫描；最后任务调度模块将扫描结果写入目标组件指纹数据库，完成了整个系统的任务生成、任务分发、任务接收、任务执行、异常处理、数据统计、任务复杂均衡等功能，其执行流程参考附图图4。当任务下发时，侦测任务自动将大的侦测任务拆分为内部小任务，并将小任务存放任务队列。内部小任务按照任务下发标准接口，传递给检测模块节点。各业务层的业务检测模块均提供标准的任务接受API，任务下发子模块，验证任务参数数据的正确性，并将任务参数数据按照API规范传递到各个业务层检测节点。为保证负载均衡，任务下发算法在内部自动将大的侦测任务拆分为小的任务，存放到队列，将队列中的任务下发给多个区域的多个业务检测单元；其间会记录各个检测单元到目标网络的速度，用于指导下一批次任务优选最快的检测单元。当下发给检测节点的任务由于检测节点服务器故障或网络故障而无法完成时，异常处理模块接受检测节点的异常报告或超出一定时间无法连接检测节点时，自动将下发给该检测节点的任务转移到其他节点继续执行。最后检测节点按照API规范汇报进度，进度汇总模块将这些进度信息汇总存储，供界面读取。

智能电网中IT资产大规模侦测系统采用B/S架构，支持集群方式的集中部署、统一管理。系统中各服务器部署于内网中，与外网保持物理隔离；网络设备指纹获取服务器部署在核心交换机镜像端口上，通过路由器将探测到的指纹数据传输到系统数据库服务器内的指纹库中。

侦测扫描：测试环境中部署9台网络设备指纹获取服务器和1台调度服务器，9台组件指纹探测服务器的端口探测引擎可实现每天约百万级指纹发现并由调度服务器采用分布式调度统一对它们进行引擎管理。

数据中心及数据展示：采集到的指纹信息通过路由器传输到内网数据库服务器。仿真实验测试系统部署了3台数据库服务器和1台UI服务器，所有的服务器均位于内网，用于数据存储和系统管理。内网出口处部署一台路由器，用于提供传输数据的保护。

综合管理：智能电网中的IT资产侦测系统由内智能电网的管理部门通过PC控制端，访问内网中的管理服务器，进行系统的维护管理。

仿真测试1，智能电网空间各网络设备，例如路由器和网络摄像头，都具有各自的固件。不同固件就是不同的操作系统，属于网络设备的操作系统。针对网络设备各自特有的固件进行分析，可以研究网络设备的安全漏洞。固件存在漏洞一般是由程序员在开发摄像头功能性程序的过程中疏忽造成，可能导致命令执行等高危漏洞，而存在后门帐号可能是开发人员(个人行为)或者生产厂商(公司行为)预留的。Dlink路由器的固件是指其内部运行的系统及程序，系统一般是轻量级的类Unix操作系统，而程序用于控制和实现路由器的各种功能。利用IT资产大规模侦测系统，通过基于固件分析的网络设备漏洞研究技术，可以发现Dlink路由器中存在安全漏洞的设备信息。在2013年10月份曝光的Dlink路由器漏洞中，受影响的D-LINK路由固件版本涉及DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240、TM-G5240、BRL-04R、BRL-04UR、BRL-04CW、BRL-04FWU。通过智能电网中的IT资产大规模侦测系统探测发现，搭建的电力系统网络中约63,000台设备受到影响。

仿真测试2，心脏出血漏洞通过读取智能电网空间网络服务器内存，攻击者可以访问敏感数据，从而危及服务器和用户的安全。敏感的安全数据，如服务器的专用主密钥，可使攻击者在服务器和客户端未使用完全正向保密时，通过被动中间人攻击解密当前或已存储的传输数据；或在通信方使用完全正向保密的情况下，发动主动中间人攻击。攻击者无法控制服务器返回的数据，因为服务器会响应随机的内存块。利用智能电网中IT资产大规模侦测系统，在基于Opnet搭建的电力系统网络通信仿真环境中，侦测结果发现714828个主机处于易受攻击状态。附图图5为心脏出血漏洞数目随时间变化示意图，在该示意图显示随着时间推移，心脏出血漏洞正逐步被修复。

可以理解的是，对本领域普通技术人员来说，可以根据本发明的技术方案及其发明构思加以等同替换或改变，而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims

1.一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器，其特征在于：

2.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述组件指纹探测扫描包含以下步骤：

(1.5)使用构造的先验指纹库探测新的IP目标；

3.根据权利要求2所述的IT资产大规模侦测系统，其特征在于所述步骤1.1中：若IP目标为Web服务器时，主要探测：智能电网空间中网站响应头部数据、网站文件类型、网站对400错误响应的返回、网站对500错误响应的返回、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显；

4.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述指纹对比包含以下步骤：

(2.2)通过聚类方法消除指纹数据中的噪声；

5.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述数据库服务器采用MongoDB型分布式数据库实现分布式存储。

6.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述调度服务器包含任务下发子模块、进度汇总模块和异常处理模块，所述用于任务下发子模块用于将接收到的侦测任务放到侦测任务队列中，并将侦测任务队列中的任务按照任务下发标准接口传递给各网络设备指纹获取服务器；所述进度汇总模块用于将网络设备指纹获取服务器反馈的侦测任务执行状况进行汇总；所述异常处理模块用于在接收到网络设备指纹获取服务器的异常报告或超出一定时间无法连接网络设备指纹获取服务器，将下发给网络设备指纹获取服务器的侦测任务转移到其他网络设备指纹获取服务器继续执行。

7.根据权利要求6所述的IT资产大规模侦测系统，其特征在于所述任务下发子模块还用于根据采集服务器的网络速度优选将侦测任务下发给速度快的采集服务器。

8.根据权利要求1所述的IT资产大规模侦测系统，其特征在于还包含UI服务器，所述UI服务器用于提供人机交互界面，将用户提出的侦测任务发送给调度服务器。

9.根据权利要求1所述的IT资产大规模侦测系统，其特征在于还包含日志服务器，所述日志服务器用于进行日志管理。

10.根据权利要求1所述的IT资产大规模侦测系统，其特征在于还包含任务管理器，所述任务管理器用于对IT资产大规模侦测系统内部任务进行管理。