CN109756478A - 一种考虑优先级的工控系统攻击异常多级后备阻断方法 - Google Patents

Abstract

本发明涉及一种考虑优先级的工控系统攻击异常多级后备阻断方法。该方法包括：入侵检测、路径重构、阻断决策、规则优化等步骤。本发明能够有效提高电网网络安全分析质量和效率，保障电网安全稳定运行，可以促进信息安全防护技术在各行业的规模化应用，提高工控安全领域的技术水平，实现工控安全的自主可控。针对于现有的源网荷互动工控系统，具有一定的应用价值。

Description

一种考虑优先级的工控系统攻击异常多级后备阻断方法

技术领域

本发明涉及一种融合电网信息物理异常的事件预处理方法，属于电力系统安全技术领域。

背景技术

随着全球能源互联网建设，特高压电网及分布式能源的快速发展，微网、可控用户、电动汽车等具有电网双向互动能力，并且带有“源”、“荷”双重特性的新型负荷的比重也在呈现不断上升的趋势。电网潮流的时空分布特性也日趋复杂，电网、电源和用户三者之间互动协同控制的重要性和迫切性也在不断提升。在源网荷互动的背景下，广泛分布在供电公司、电厂、变电站的工控系统持续向新能源发电侧、用户侧延伸，其安全管控存在层级多、种类多、监视控制信息交互频繁等特点，而各类运行信息和控制指令在采集、传输、执行的过程中存在着被窃听、篡改、中断等风险。就目前而言，国内外工控系统在安全管控方面特别是在攻击威胁的应对、处理手段等还达不到电网安全所要求的水平，主要存在以下问题：

1、攻击和异常识别准确率低；

2、安全防御手段单一；

3、阻断操作可靠性无法保证。

目前，针对攻击异常的阻断手段主要基于设备或固定策略，容易因为设备失效、流量堵塞等导致攻击阻断失效。并且没有考虑基于业务影响度分析的后备阻断体系，没有对业务影响度进行分析和评估，设备之间防护策略固定且缺乏协同，无法保证攻击异常阻断的可靠性，从而给源网荷互动所涉及的电网工控系统的安全稳定运行带来了隐患。

发明内容

本发明要解决技术问题是：克服上述技术的缺点，提供一种基于源网荷工控系统的特点，考虑优先级的工控系统攻击异常多级后备阻断方法。

为了解决上述技术问题，本发明提出的技术方案是：一种考虑优先级的工控系统攻击异常多级后备阻断方法，所述工控系统包括入侵检测模块、路径重构模块、阻断决策模块、分布式阻断模块以及数据库；所述方法包括如下步骤：

（1）所述入侵检测模块检测到入侵后，进行入侵报警，并将攻击时间和攻击数据传送给所述路径重构模块；

（2）所述路径重构模块在接收到攻击时间以及攻击数据后，就对攻击事件分析并进行路径重构，将重构好的攻击路径信息即攻击拓扑信息发送给所述阻断决策模块；

（3）所述阻断决策模块收到攻击路径信息后开始对攻击拓扑进行分析，并且制定相应的阻断决策，将制定好的阻断决策信息编辑成阻断请求，发送给所述分布式阻断模块；

（4）所述分布式阻断模块收到阻断请求后便生成相应的阻断规则，依据设备类别的不同，根据判断依据，采取断开网络、关闭端口、增加访问控制策略中的一种或多种阻断措施生成阻断措施信息；

（5）所述分布式阻断模块生成相应的阻断规则以及阻断措施信息后，会将生成的阻断规则和阻断措施信息整合，编辑成阻断请求回复信息发送给所述阻断决策模块；

（6）所述分布式阻断模块通过所述阻断决策模块发来的阻断请求进行学习，对阻断规则进行优化，并将优化后的规则调整信息发送给所述阻断决策模块；

（7）所述阻断决策模块在收到分布式阻断模块发来的阻断请求回复后，向入侵检测模块发送一条阻断完成回复消息，从而完成本次阻断过程。。

上述方案进一步的改进在于：所述步骤（1）中的所述入侵检测模块采用入侵检测系统snort。

上述方案进一步的改进在于：所述步骤（2）中的所述路径重构模块采用一种混合式包标记溯源方法，采取包摘要和包标记交替进行，标记算法使用三跳范围的路由器标识策略，每经过一次存储可以保存三跳之内的路由器标识信息，即是每隔两跳的标记动作后进行一次存储操作。

上述方案进一步的改进在于：所述路径重构模块包括溯源管理组件和数据收集组件；所述溯源管理组件用于接收溯源请求，并且发起溯源过程，最后根据溯源结果，绘制出攻击路径；所述数据收集组件用于对数据包进行摘要或者标记，部署在所经历的节点路由器上；当受害者发现攻击行为时，所述数据收集组件需要对攻击路径进行重构，找到攻击者并阻止正在发生的攻击行为；具体路径重构步骤如下：

（201）所述路径重构模块接收到所述入侵检测模块的溯源请求、攻击时间和攻击数据；

（202）所述路径重构模块对溯源请求进行鉴权，分析请求数据，通过所述数据收集组件向阻断路由器进行查询；

（203）阻断路由器收到查询请求后，提取出攻击样本包，并在其ID字段加入其所有可能的上两跳路由器的ID，然后在其摘要表中匹配攻击包，从而确定此时攻击的前三跳地址；

（204）所述路径重构模块向已确认回溯路径的最远一跳的阻断路由器发起查询请求，；

（205）如果有阻断路由器匹配上了攻击包，则转回到步骤203，继续溯源；如果没有匹配，则本次溯源结束；

（206）当溯源结束后则确定了一条溯源路径，所述路径重构模块记录该路径，并向所述阻断决策模块发送该路径信息。

上述方案进一步的改进在于：所述步骤（3）中使用遗传算法，通过所述攻击拓扑信息，将攻击拓扑上的每一个阻断路由器都作为一个阻断节点；遗传算法的输入是攻击拓扑和攻击数据，输出是一个阻断节点的集合。

上述方案进一步的改进在于：所述步骤（3）具体包括如下步骤：

（301）对攻击拓扑中的阻断节点进行编码，根据阻断节点的数目N，将阻断节点的集合编码成一个N位的二进制数S，一个S表示一个候选阻断集群里面的一个个体，其中每一位与一个阻断节点对应，如果对应位置为1，则表示在该阻断节点上进行阻断，如果为0，表示不选该阻断节点，S的初值是随机的，一共有N个随机产生的S组成初始阻断集Set；

（302）计算适应度，一个个体的适应度是其选中的阻断节点的适应度的均值；

（303）从候选阻断集群中按照适应度的高低成比例的概率，选择个体复制到交配池中。选择方法采用赌盘选择法，即被选中的几率与自身的适应性分数成比例；

（304）交叉：从交配池中随机选择两个个体，通过杂交算法产生一个新个体，计算新个体的适应度，与父个体的适应度进行比较，如果小于所有的父个体，则跳转到步骤（305），否则替换候选阻断集中适应度较小的父个体再次交叉；

（305）变异：步骤（304）中所产生的个体以一定的概率P改变其某些位上的值，而后计算变异之后的适应度，如果小于所有的父个体，则跳转到步骤（306），否则替换候选阻断集中适应度较小的父个体，跳转到步骤（304）再次交叉；

（306）判断是否达到迭代次数，如果达到，则选出阻断集中适应度最高的个体，作为阻断节点集合并输出；如果没有达到，则跳转步骤（302）。

上述方案进一步的改进在于：所述阻断节点的适应度是由攻击流量, 所述阻断节点距离受害者的跳数，正常流量计算所得，其中攻击流量通过攻击路径重构得出；所述阻断节点距离受害者的跳数是所保护网络的范围，根据攻击路径得出；所述正常流量依据历史数据获得；所述一个个体的适应度由公式：；计算得出，式中，，是各个因素所占的权重。

上述方案进一步的改进在于：所述步骤（4）中，阻断规则由六个字段构成：协议、源地址、目的地址、源端口、目的端口以及动作；

规则的权重受两个因素，匹配频率和匹配鲜度的影响，其中匹配频率是规则被匹配的频发程度，用表示，匹配鲜度是规则距离上一次匹配的时间长短用表示；

规则的匹配频率定义为一段时间内规则匹配的数据包的数量与整个规则表匹配数量的比例，具体公式为：；

规则的匹配鲜度定义为规则最后一次匹配时间距离与防火墙上一次匹配的时间距离的比值，具体公式为：；

规则的权重计算方法为：；式中，根据当前攻击流量的类型进行调整，如果是长时间的攻击流，则增加的值，如果是爆发式的攻击流则减小的值。

上述方案进一步的改进在于：所述步骤（6）中采用如下规则进行优化：

(601)根据当前规则表的阻断性能来判断是否需要进行优化，即判断数据包的平均匹配时间，如果平均匹配时间增加超过阈值，那么将会触发优化算法；

(602)如果规则表的性能下降是一个渐进的过程，且每次增加值始终小于的能与所述阈值，则采用定时更新的机制，更新的时间间隔根据阻断节点的性能来定。

本发明提供的考虑优先级的工控系统攻击异常多级后备阻断方法，借鉴继电保护的原理，首先在IP溯源过程中采用混合式包标记溯源方法，能够实现单包溯源，并且路由开销也在可承受的范围之内。其次，对阻断位置选择过程中所用到的遗传算法进行了改进，提高了阻断的准确性，降低了阻断的代价。最后提出了一种阻断规则优化算法，能够有效的提高数据包匹配的平均时间，从而减小阻断系统对网络造成的时延开销。

在经济效益方面，可以降低系统安全的管理难度，提高安全事件的处理效率，节约成本。还可以增强工控系统的监测、分析以及防御能力，减少攻击带来的经济损失。在社会效益方面，可以促进信息安全防护技术在各行业的规模化应用，提高工控安全领域的技术水平，实现工控安全的自主可控。针对于现有的源网荷互动工控系统，具有一定的应用价值。

附图说明

图1为本发明所述的源网荷多层协同防御系统示意图。

图2为本发明所述的后备自动阻断架构图。

图3为本发明所述的后备自动阻断过程顺序图。

图4为本发明所述的阻断依据及措施图。

图5为本发明所述的攻击路径重构流程示意图。

图6为本发明所述的阻断位置选择算法流程图。

具体实施方式

实施例

本实施例的考虑优先级的工控系统攻击异常多级后备阻断方法，其中的工控系统包括入侵检测模块、路径重构模块、阻断决策模块、分布式阻断模块以及数据库。

基于源网荷网络架构，总体上分为主站层、通信层、城市汇聚、接入层及用户终端层，各个部分具体内容如下：

1、主站层包括生产控制区和管理信息区，其中生产控制区包含EMS应用系统和负控快速响应子系统，管理信息区包含用电信息采集系统；

2、通信层由路由器组成，负责连接主站层和接入层；

3、城市汇聚在接入层之前为“荷”端提供防火墙保护；

4、接入层为具体变电站的路由器和交换机，负责连接通信层和用户终端层；

5、用户终端层包括交换机，纵向加密设备及用户智能负荷控制终端。

在此基础上构建源网荷多层协同防御模型，整个协同防御模型体系结构分为主站层、通道层以及子站层三层，层与层之间所通讯的信息各不相同。主站层以协同防御控制中心为核心，与区协防控制模块通信，主要负责协防策略下发。通道层主要负责协防动作下发，底层的子站层则是执行具体的协防动作以及自动阻断。

具体方法包括如下步骤：

（1）入侵检测模块检测到入侵后，进行入侵报警，并将攻击时间和攻击数据传送给路径重构模块；

（2）路径重构模块在接收到攻击时间以及攻击数据后，就对攻击事件分析并进行路径重构，将重构好的攻击路径信息即攻击拓扑信息发送给阻断决策模块；

（3）阻断决策模块收到攻击路径信息后开始对攻击拓扑进行分析，并且制定相应的阻断决策，将制定好的阻断决策信息编辑成阻断请求，发送给分布式阻断模块；

（4）分布式阻断模块收到阻断请求后便生成相应的阻断规则，依据设备类别的不同，根据判断依据，采取断开网络、关闭端口、增加访问控制策略中的一种或多种阻断措施生成阻断措施信息；

（5）分布式阻断模块生成相应的阻断规则以及阻断措施信息后，会将生成的阻断规则和阻断措施信息整合，编辑成阻断请求回复信息发送给阻断决策模块；

（6）分布式阻断模块通过阻断决策模块发来的阻断请求进行学习，对阻断规则进行优化，并将优化后的规则调整信息发送给阻断决策模块；

（7）阻断决策模块在收到分布式阻断模块发来的阻断请求回复后，向入侵检测模块发送一条阻断完成回复消息，从而完成本次阻断过程。。

步骤（1）中的入侵检测模块采用入侵检测系统snort。

步骤（2）中的路径重构模块采用一种混合式包标记溯源方法，采取包摘要和包标记交替进行，标记算法使用三跳范围的路由器标识策略，每经过一次存储可以保存三跳之内的路由器标识信息，即是每隔两跳的标记动作后进行一次存储操作。

路径重构模块包括溯源管理组件和数据收集组件；溯源管理组件用于接收溯源请求，并且发起溯源过程，最后根据溯源结果，绘制出攻击路径；数据收集组件用于对数据包进行摘要或者标记，部署在所经历的节点路由器上；当受害者发现攻击行为时，数据收集组件需要对攻击路径进行重构，找到攻击者并阻止正在发生的攻击行为；具体路径重构步骤如下：

（201）路径重构模块接收到入侵检测模块的溯源请求、攻击时间和攻击数据；

（202）路径重构模块对溯源请求进行鉴权，分析请求数据，通过数据收集组件向阻断路由器进行查询；

（203）阻断路由器收到查询请求后，提取出攻击样本包，并在其ID字段加入其所有可能的上两跳路由器的ID，然后在其摘要表中匹配攻击包，从而确定此时攻击的前三跳地址；

（204）路径重构模块向已确认回溯路径的最远一跳的阻断路由器发起查询请求，；

（205）如果有阻断路由器匹配上了攻击包，则转回到步骤203，继续溯源；如果没有匹配，则本次溯源结束；

（206）当溯源结束后则确定了一条溯源路径，路径重构模块记录该路径，并向阻断决策模块发送该路径信息。

步骤（3）中使用遗传算法，通过攻击拓扑信息，将攻击拓扑上的每一个阻断路由器都作为一个阻断节点；遗传算法的输入是攻击拓扑和攻击数据，输出是一个阻断节点的集合。

步骤（3）具体包括如下步骤：

（301）对攻击拓扑中的阻断节点进行编码，根据阻断节点的数目N，将阻断节点的集合编码成一个N位的二进制数S，一个S表示一个候选阻断集群里面的一个个体，其中每一位与一个阻断节点对应，如果对应位置为1，则表示在该阻断节点上进行阻断，如果为0，表示不选该阻断节点，S的初值是随机的，一共有N个随机产生的S组成初始阻断集Set；

（302）计算适应度，一个个体的适应度是其选中的阻断节点的适应度的均值；

（303）从候选阻断集群中按照适应度的高低成比例的概率，选择个体复制到交配池中。选择方法采用赌盘选择法，即被选中的几率与自身的适应性分数成比例；

（304）交叉：从交配池中随机选择两个个体，通过杂交算法产生一个新个体，计算新个体的适应度，与父个体的适应度进行比较，如果小于所有的父个体，则跳转到步骤（305），否则替换候选阻断集中适应度较小的父个体再次交叉；

（305）变异：步骤（304）中所产生的个体以一定的概率P改变其某些位上的值，而后计算变异之后的适应度，如果小于所有的父个体，则跳转到步骤（306），否则替换候选阻断集中适应度较小的父个体，跳转到步骤（304）再次交叉；

（306）判断是否达到迭代次数，如果达到，则选出阻断集中适应度最高的个体，作为阻断节点集合并输出；如果没有达到，则跳转步骤（302）。

阻断节点的适应度是由攻击流量, 阻断节点距离受害者的跳数，正常流量计算所得，其中攻击流量通过攻击路径重构得出；阻断节点距离受害者的跳数是所保护网络的范围，根据攻击路径得出；正常流量依据历史数据获得；一个个体的适应度由公式：；计算得出，式中，，是各个因素所占的权重。

步骤（4）中，阻断规则由六个字段构成：协议、源地址、目的地址、源端口、目的端口以及动作；

规则的权重受两个因素，匹配频率和匹配鲜度的影响，其中匹配频率是规则被匹配的频发程度，用表示，匹配鲜度是规则距离上一次匹配的时间长短用表示；

规则的匹配频率定义为一段时间内规则匹配的数据包的数量与整个规则表匹配数量的比例，具体公式为：；

规则的匹配鲜度定义为规则最后一次匹配时间距离与防火墙上一次匹配的时间距离的比值，具体公式为：；

规则的权重计算方法为：；式中，根据当前攻击流量的类型进行调整，如果是长时间的攻击流，则增加的值，如果是爆发式的攻击流则减小的值。

步骤（6）中采用如下规则进行优化：

(601)根据当前规则表的阻断性能来判断是否需要进行优化，即判断数据包的平均匹配时间，如果平均匹配时间增加超过阈值，那么将会触发优化算法；

(602)如果规则表的性能下降是一个渐进的过程，且每次增加值始终小于的能与阈值，则采用定时更新的机制，更新的时间间隔根据阻断节点的性能来定。

图1所示是本发明所述的源网荷多层协同防御体系示意图，本发明所研究的后备自动阻断技术主要应用于该体系结构，系统整体采用集中式控制，分布式部署。部署主要分为三个部分：阻断管理服务器作为一个单独的服务器接入到各个区控制域、自治域的域内网络中，负责接收来自各设备及用户所发出的阻断请求；阻断路由器FR经过改装，具有路径重构和采取阻断措施的功能，部署在层与层之间以及域与域之间的边界，主要负责层间阻断和域间阻断；入侵检测模块主要安装在主站层的源网监测设施以及网荷监测设施当中，主要用于检测入侵信息。

每个自治域有各自的自治域协防模块，主要负责域内阻断和域间阻断（包括层间阻断和跨域阻断）。域内阻断主要是针对本域内的网络设备，发生入侵威胁后能够及时断开本地服务保障本域的稳定运行，如果无法完全屏蔽掉入侵威胁，此时会进行跨域阻断，及时将阻断请求发送至上级网络设施和同级网络设施，隔绝本域与其他域的网络连接。而其他域网络设施在接收到该域发送的阻断请求后会及时进行跨域阻断，阻断与该域相关网络设备的连接，同时进行入侵检测，检测本地是否有入侵威胁，根据具体情况采取相应的阻断措施。

协同防御示意图中，“荷”端（用电侧）属于业务层，网荷监测设施还需要处理业务数据，包括异常访问的频度、次数、IP地址以及端口数等，及时对业务数据的分析和处理能够更好的为下一次的阻断提供依据和保障。

图2所示是本发明所述的后备自动阻断架构图，该架构中核心模块是阻断管理模块，该模块与其他五个模块之间进行信息传输，主要负责接收攻击拓扑、发送阻断请求以及发送阻断完成回复等消息，期间所产生的重要决策信息通过管理阻断模块传给数据库进行存储。依据具体的实施部署，分为三个部分，分别是阻断管理服务器（对应于阻断管理模块、路径重构模块、阻断决策模块以及数据库）、阻断路由器FR（对应于分布式阻断模块）和入侵检测模块（对应于入侵检测模块）。

图3所示是本发明所述的后备自动阻断系统过程顺序图，描述了一次阻断过程，具体步骤如下：

步骤301，入侵检测模块检测到入侵后，及时做出反应，进行入侵报警，将攻击时间和攻击数据传送给路径重构模块；

步骤302，路径重构模块在接收到攻击时间以及攻击数据信息后，就对攻击事件分析并进行路径重构，将重构好的攻击路径信息即攻击拓扑信息发送给阻断决策模块；

步骤303，阻断决策模块收到攻击拓扑后开始对攻击拓扑进行分析，并且制定相应的阻断决策，将制定好的阻断决策信息编辑成阻断请求信息，发送给分布式阻断模块；

步骤304，分布式阻断模块收到阻断请求后便生成相应的阻断规则，依据设备类别的不同，根据判断依据，采取断开网络、关闭端口、增加访问控制策略等阻断措施。

步骤305，分布式阻断模块生成相应的阻断规则以及阻断措施信息后，会将生成的阻断规则和阻断措施信息整合，编辑成阻断请求回复信息发送给阻断决策模块；

步骤306，分布式阻断模块通过阻断决策模块发来的阻断请求进行学习，对阻断规则进行优化，并将优化后的规则调整信息发送给阻断决策模块；

步骤307，阻断决策模块在收到分布式阻断模块发来的阻断请求回复后，向入侵检测模块发送一条阻断完成回复消息，从而完成本次阻断过程。

图4所示是本发明所述的阻断依据及措施图，设备类别主要分为“主机/终端设备”、“网络设备”和“安全设备”。

1、主机/终端设备主要针对用户终端层，包括“源”端（发电侧）和“荷”端（用电侧），终端根据流量、CPU负载、应用以及报文异常等条件判断是否入侵，当有入侵威胁时终端会及时杀死异常应用，结束进程，断开本地网络；

2、网络设备主要针对通信层、城市汇聚和接入层中的路由设备，依据网络流量信息和CPU负载信息来判断是否入侵，当发生入侵后会在路由表里查找相关异常设备，去除该设备的MAC地址绑定，同时关闭与其相关的网络端口，增加访问控制策略；

3、安全设备主要针对各个域内和域间的防火墙、加密装置等，依据网络流量信息、CPU负载信息以及异常访问报文来判断是否入侵，具体所采用的阻断方式是关闭入侵威胁的端口，增加访问控制策略。

图5所示是本发明所述的攻击路径重构示意图，路径重构模块主要由两个组件构成，分别是溯源管理组件和数据收集模块。溯源管理模块用于接收溯源请求，并且发起溯源过程，最后根据溯源结果，绘制出攻击路径。数据收集模块用于对数据包进行摘要或者标记，主要部署在所经历的节点路由器上。当受害者发现攻击行为时，它需要对攻击路径进行重构，找到攻击者并阻止正在发生的攻击行为。图示中实线为攻击包路径，虚线为回溯路径，R1，R6，R10是阻断路由器，保存数据包摘要等信息，其他的路由器则为标记路由器。具体路径重构步骤如下：

步骤501，路径重构模块接收到入侵检测模块的溯源请求，包括攻击包，受害者及时间等特征；

步骤502，路径重构模块对请求进行鉴权，分析请求数据，选择数据收集模块进行查询，图示中路径重构模块从V出发将向R10进行查询。

步骤503，R10收到查询请求后，提取出攻击样本包，并在其ID字段加入其所有可能的上两跳路由器的ID，然后在其摘要表中匹配攻击包。图示中R8，R5，R7和R9会被选中，通过进行包摘要计算后，R9、R5的ID会被匹配，从而确定此时攻击的前三跳地址；

步骤504，然后路径重构模块会向已确认回溯路径的最远一跳阻断路由器发起查询请求，图示中为R5，V向R5发出查询请求；

步骤505，如果有阻断路由器匹配上了攻击包，则转回到步骤503，继续溯源；

步骤506，如果没有匹配，则本次溯源结束。

步骤507，当溯源结束后则确定了一条溯源路径，路径重构模块会记录该路径，同时向阻断决策模块发送该路径信息。

图6所示是本发明所述的阻断位置选择算法流程图，本发明提出了一种改进的遗传算法对阻断位置进行选择。借助路径重构模块绘制出的攻击拓扑，将攻击拓扑上的每一个路由器都作为一个阻断节点，记为FR。遗传算法的输入是攻击拓扑和攻击数据，输出是一个阻断节点的集合。算法具体步骤如下：

步骤601，初始化过滤集，首先对攻击拓扑中的FR进行编码，根据FR的数目N，将阻断集合编码成一个N位的二进制数S，一个S表示一个候选阻断集群里面的一个个体，其中每一位与一个FR对应，如果对应位置为1，则表示在该FR上进行阻断，如果为0，表示不选该FR。S的初值是随机的，一共有N个随机产生的S组成初始阻断集Set；

步骤602，计算适应度，一个个体的适应度是其选中的FR的适应度的均值。

步骤603，选择：从候选阻断集群中按照适应度的高低成比例的概率，选择个体复制到交配池中。选择方法采用赌盘选择法，即被选中的几率与自身的适应性分数成比例。

步骤604，交叉：以一定的概率从交配池中随机选择两个个体，通过杂交算子产生一个新个体，计算新个体的适应度，与父个体的适应度进行比较，如果小于所有的父个体，则跳转到步骤605，否则替换候选阻断集中适应度较小的父个体。

步骤605，变异：为了防止整个阻断集被少数群体所主导，加入变异过程，使得会有新的类型个体出现，保证群体的多样性。步骤604所产生的个体以一定的概率P改变其某些位上的值，即0变1，1变0。同样计算变异之后的适应度，替换相应的父个体。

步骤606，判断是否达到迭代次数，如果达到，则选出阻断集中适应度最高的个体，作为阻断节点集合。如果没有达到，则跳转步骤602。

步骤607，得到满意的集合后则结束该过程。

综上所述，本发明借鉴继电保护的原理，提出了考虑优先级的工控系统攻击异常多级后备阻断方法，首先在IP溯源过程中采用混合式包标记溯源方法，实现单包溯源，使得路由开销在可承受范围内。其次，对阻断位置选择过程中所用到的遗传算法进行了改进，提高了阻断的准确性，降低了阻断的代价。最后提出了一种阻断规则优化算法，能够有效的提高数据包匹配的平均时间，从而减小阻断系统对网络造成的时延开销。

本发明主要针对基于源网荷互动的工控系统，整体采用集中式控制，分布式部署，由主站层的源网监测设施和网荷监测设施进行入侵检测，利用分布式部署协同进行防御，核心模块是阻断决策模块，主要负责阻断策略的生成与发布，同时对分布式阻断节点进行管理。其阻断策略是根据路径重构模块绘制的攻击路径，并结合网络阻断资源情况、网络流量等因素，采用遗传算法而制定出来的。然后通过分布式阻断模块下发阻断措施，不同的设备所依据的内容有所不同，采取相对应的阻断措施，从而实现对攻击异常自动、可靠阻断与隔离，保障电网工控系统的安全与稳定。

本发明所运用到的技术均结合现有技术并对特定算法进行调整，加以改进，使得符合工控系统的要求。具体实现的方案和途径很多，针对不同的切入点可以采用不同的算法及技术，后备自动阻断不仅仅适用于工控系统，相关技术人员也可以对阻断步骤中每个阶段加以改进，制定出适合具体项目要求的多及后备自动阻断系统。

本发明不局限于上述实施例。凡采用等同替换形成的技术方案，均落在本发明要求的保护范围。

Claims (9)

1.一种考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于，所述工控系统包括入侵检测模块、路径重构模块、阻断决策模块、分布式阻断模块以及数据库；所述方法包括如下步骤：

（1）所述入侵检测模块检测到入侵后，进行入侵报警，并将攻击时间和攻击数据传送给所述路径重构模块；

（2）所述路径重构模块在接收到攻击时间以及攻击数据后，就对攻击事件分析并进行路径重构，将重构好的攻击路径信息即攻击拓扑信息发送给所述阻断决策模块；

（3）所述阻断决策模块收到攻击路径信息后开始对攻击拓扑进行分析，并且制定相应的阻断决策，将制定好的阻断决策信息编辑成阻断请求，发送给所述分布式阻断模块；

（4）所述分布式阻断模块收到阻断请求后便生成相应的阻断规则，依据设备类别的不同，根据判断依据，采取断开网络、关闭端口、增加访问控制策略中的一种或多种阻断措施生成阻断措施信息；

（5）所述分布式阻断模块生成相应的阻断规则以及阻断措施信息后，会将生成的阻断规则和阻断措施信息整合，编辑成阻断请求回复信息发送给所述阻断决策模块；

（6）所述分布式阻断模块通过所述阻断决策模块发来的阻断请求进行学习，对阻断规则进行优化，并将优化后的规则调整信息发送给所述阻断决策模块；

（7）所述阻断决策模块在收到分布式阻断模块发来的阻断请求回复后，向入侵检测模块发送一条阻断完成回复消息，从而完成本次阻断过程。

2.根据权利要求1所述的考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于：所述步骤（1）中的所述入侵检测模块采用入侵检测系统snort。

3.根据权利要求1所述的考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于：所述步骤（2）中的所述路径重构模块采用一种混合式包标记溯源方法，采取包摘要和包标记交替进行，标记算法使用三跳范围的路由器标识策略，每经过一次存储可以保存三跳之内的路由器标识信息，即是每隔两跳的标记动作后进行一次存储操作。

4.根据权利要求3所述的考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于：所述路径重构模块包括溯源管理组件和数据收集组件；所述溯源管理组件用于接收溯源请求，并且发起溯源过程，最后根据溯源结果，绘制出攻击路径；所述数据收集组件用于对数据包进行摘要或者标记，部署在所经历的节点路由器上；当受害者发现攻击行为时，所述数据收集组件需要对攻击路径进行重构，找到攻击者并阻止正在发生的攻击行为；具体路径重构步骤如下：

（201）所述路径重构模块接收到所述入侵检测模块的溯源请求、攻击时间和攻击数据；

（202）所述路径重构模块对溯源请求进行鉴权，分析请求数据，通过所述数据收集组件向阻断路由器进行查询；

（203）阻断路由器收到查询请求后，提取出攻击样本包，并在其ID字段加入其所有可能的上两跳路由器的ID，然后在其摘要表中匹配攻击包，从而确定此时攻击的前三跳地址；

（204）所述路径重构模块向已确认回溯路径的最远一跳的阻断路由器发起查询请求，；

（205）如果有阻断路由器匹配上了攻击包，则转回到步骤203，继续溯源；如果没有匹配，则本次溯源结束；

（206）当溯源结束后则确定了一条溯源路径，所述路径重构模块记录该路径，并向所述阻断决策模块发送该路径信息。

5.根据权利要求1所述的考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于：所述步骤（3）中使用遗传算法，通过所述攻击拓扑信息，将攻击拓扑上的每一个阻断路由器都作为一个阻断节点；遗传算法的输入是攻击拓扑和攻击数据，输出是一个阻断节点的集合。

6.根据权利要求5所述的考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于：所述步骤（3）具体包括如下步骤：

（301）对攻击拓扑中的阻断节点进行编码，根据阻断节点的数目N，将阻断节点的集合编码成一个N位的二进制数S，一个S表示一个候选阻断集群里面的一个个体，其中每一位与一个阻断节点对应，如果对应位置为1，则表示在该阻断节点上进行阻断，如果为0，表示不选该阻断节点，S的初值是随机的，一共有N个随机产生的S组成初始阻断集Set；

（302）计算适应度，一个个体的适应度是其选中的阻断节点的适应度的均值；

（303）从候选阻断集群中按照适应度的高低成比例的概率，选择个体复制到交配池中;选择方法采用赌盘选择法，即被选中的几率与自身的适应性分数成比例；

（304）交叉：从交配池中随机选择两个个体，通过杂交算法产生一个新个体，计算新个体的适应度，与父个体的适应度进行比较，如果小于所有的父个体，则跳转到步骤（305），否则替换候选阻断集中适应度较小的父个体再次交叉；

（305）变异：步骤（304）中所产生的个体以一定的概率P改变其某些位上的值，而后计算变异之后的适应度，如果小于所有的父个体，则跳转到步骤（306），否则替换候选阻断集中适应度较小的父个体，跳转到步骤（304）再次交叉；

（306）判断是否达到迭代次数，如果达到，则选出阻断集中适应度最高的个体，作为阻断节点集合并输出；如果没有达到，则跳转步骤（302）。

7. 根据权利要求6所述的考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于：所述阻断节点的适应度是由攻击流量, 所述阻断节点距离受害者的跳数，正常流量计算所得，其中攻击流量通过攻击路径重构得出；所述阻断节点距离受害者的跳数是所保护网络的范围，根据攻击路径得出；所述正常流量依据历史数据获得；所述一个个体的适应度由公式：；计算得出，式中，，是各个因素所占的权重。

8.根据权利要求1所述的考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于：所述步骤（4）中，阻断规则由六个字段构成：协议、源地址、目的地址、源端口、目的端口以及动作；

规则的权重受两个因素，匹配频率和匹配鲜度的影响，其中匹配频率是规则被匹配的频发程度，用表示，匹配鲜度是规则距离上一次匹配的时间长短用表示；

规则的匹配频率定义为一段时间内规则匹配的数据包的数量与整个规则表匹配数量的比例，具体公式为：；

规则的匹配鲜度定义为规则最后一次匹配时间距离与防火墙上一次匹配的时间距离的比值，具体公式为：；

规则的权重计算方法为：；式中，根据当前攻击流量的类型进行调整，如果是长时间的攻击流，则增加的值，如果是爆发式的攻击流则减小的值。

9.根据权利要求8所述的考虑优先级的工控系统攻击异常多级后备阻断方法，其特征在于：所述步骤（6）中采用如下规则进行优化：

(601)根据当前规则表的阻断性能来判断是否需要进行优化，即判断数据包的平均匹配时间，如果平均匹配时间增加超过阈值，那么将会触发优化算法；

(602)如果规则表的性能下降是一个渐进的过程，且每次增加值始终小于的能与所述阈值，则采用定时更新的机制，更新的时间间隔根据阻断节点的性能来定。