CN110336808B

CN110336808B - 一种面向电力工控网络的攻击溯源方法及系统

Info

Publication number: CN110336808B
Application number: CN201910573131.1A
Authority: CN
Inventors: 黄益彬; 杨维永; 郭子昕; 金建龙; 朱世顺; 郑卫波; 李牧野; 谢华菁; 王梓; 张跃; 孙辰军
Original assignee: State Grid Corp of China SGCC; State Grid Hebei Electric Power Co Ltd; NARI Group Corp; Nari Information and Communication Technology Co
Current assignee: State Grid Corp of China SGCC; State Grid Hebei Electric Power Co Ltd; NARI Group Corp; Nari Information and Communication Technology Co
Priority date: 2019-06-28
Filing date: 2019-06-28
Publication date: 2021-08-24
Anticipated expiration: 2039-06-28
Also published as: CN110336808A

Abstract

本发明公开了一种面向电力工控网络的攻击溯源方法及系统，方法包括从电力VPN设备采集信息；对采集的信息进行攻击检测分析，检测是否存在网络攻击事件；对检测到的网络攻击事件进行溯源分析，定位攻击者所在区域或节点；生成处置策略，对攻击进行管控处置。本发明通过对电力工控网络边界处电力VPN设备相关信息的采集，结合电力工控业务通信的特点，对电力工控网络中网络攻击进行溯源，克服了传统的溯源方法成本高、改造难度大、精度低，可操作性不强的缺点，实现了电力工控网络攻击的自动发现与智能处置。

Description

一种面向电力工控网络的攻击溯源方法及系统

技术领域

本发明属于信息安全技术领域，具体涉及一种面向电力工控网络的攻击溯源方法及系统。

背景技术

当前，以开放、互联为特征TCP/IP协议占据着网络通信协议的主导，无论是互联网、物联网，还是企业信息网，甚至电力工控网络，大多构建在基于TCP/IP协议的网络上。然而TCP/IP协议在设计之初主要是用于科学研究，并没有考虑到安全性，伴随着网络通信的发展，利用TCP/IP的设计缺陷进行网络攻击成为一个不可忽视的问题。

对电力工控网络中网络攻击溯源，定位网络攻击的源头，是遏制网络攻击的前提。然而，当前盛行的伪造源IP地址攻击、利用跳板机(又称“肉鸡”、傀儡机、僵尸主机等)攻击等攻击手段，隐藏了真正的攻击者，给电力工控网络攻击的溯源带来了极大的挑战。

为此，有学者提出了分组标记溯源法、发送特定ICMP溯源法、日志记录溯源法、受控洪泛溯源法、链路测试溯源法等攻击溯源方法，但这些方法普遍存在需要特定路由器支持、溯源精度不高、可操作性不强等问题，难以在实际电力工控网络环境中推广应用。

发明内容

本发明的目的在于克服现有技术的不足，提供了一种面向电力工控网络的攻击溯源方法，通过对电力工控网络边界处电力VPN设备相关信息的采集，实现了对电力工控网络中网络攻击的溯源，并根据溯源结果进行管控处置。

为解决上述技术问题，本发明提供了一种面向电力工控网络的攻击溯源方法，其特征是，包括以下过程：

在电力工控网络静态时，采集电力工控网络中所有电力VPN设备的隧道配置信息、策略配置信息和链路信息，并获取中心节点及所有终端节点的节点配置表；根据隧道配置信息、链路信息和节点配置表构建网络连接静态模型；

在电力工控网络运行时，获取实时网络连接关系；

将实时网络连接关系与网络连接静态模型比对，若存在不匹配的网络连接，则判定所述网络连接为网络攻击链路；

对检测到的网络攻击链路进行溯源分析，定位攻击者源端所在区域或节点；

根据定位攻击者源端所在区域或节点，将所述策略配置信息更新为限制所述区域或节点的网络连接。

进一步的，所述隧道配置信息由至少一条隧道配置记录组成，每一条隧道配置记录包括隧道ID、本端电力VPN设备IP地址和对端电力VPN设备IP地址信息；

所述策略配置信息由至少一条策略配置记录组成，每一条策略配置记录包括该配置记录对应的隧道ID、本端局域网内主机IP地址及端口的范围、对端局域网内主机IP地址及端口的范围和协议信息；

链路信息由至少一条网络连接记录组成，每一条链路信息记录包括对应的隧道ID、本端局域网内主机IP地址、本端局域网内主机端口、对端局域网内主机IP地址、对端局域网内主机端口、协议和发起标识信息；

中心节点及所有终端节点的节点配置表由与节点个数相等的多条记录组成，每条记录包括节点ID和节点电力VPN设备的IP地址信息。

进一步的，网络连接静态模型为一条或多条网络连接记录，每条记录包括节点ID、对应的隧道ID、本端局域网内主机IP地址与本端局域网内主机端口和对端局域网内主机IP地址与对端局域网内主机端口信息。

进一步的，将实时网络连接关系与网络连接静态模型比对的过程为：

将实时网络连接关系里的每一条网络连接与网络连接静态模型中的网络连接记录进行逐个比对。

进一步的，对检测到的网络攻击链路进行溯源分析的具体过程为：

(1)根据采集到的隧道配置信息及节点配置表，构建隧道关系表；

此隧道关系表由多条记录构成，每条记录包含节点IDm、隧道IDx、对端节点IDn和对端隧道IDy的信息；

(2)根据网络攻击链路中的隧道ID及所属节点ID，查找隧道关系表，定位该链路的源头为对端节点ID，再查找对端节点ID的区域IP地址范围列表，从而定位出该源头的区域IP地址范围，记为[IP1,IP2]；

(3)检查网络攻击链路中的对端局域网内主机IP是否在[IP1,IP2]内，若不是，则判定为伪造源IP地址攻击，最终溯源的源端可以定位到攻击的节点区域网络；否则进入下一步；

(4)检测之前是否有与此对端局域网内主机IP地址的历史网络攻击链路信息存在，如果有，则判定此次攻击为跳板机攻击，否则，为普通攻击；跳板机攻击或普通攻击最终溯源的源端可以定位到对端局域网内主机IP。

相应的，本发明还提供了一种面向电力工控网络的攻击溯源系统，其特征是，包括网络连接静态模块构建模块、实时网络连接关系获取模块；网络攻击检测模块、攻击溯源分析模块和策略配置信息更新模块；

网络连接静态模块构建模块，用于在电力工控网络静态时，采集电力工控网络中所有电力VPN设备的隧道配置信息、策略配置信息和链路信息，并获取中心节点及所有终端节点的节点配置表；根据隧道配置信息、链路信息和节点配置表构建网络连接静态模型；

实时网络连接关系获取模块，用于在电力工控网络运行时，获取实时网络连接关系；

网络攻击检测模块，用于将实时网络连接关系与网络连接静态模型比对，若存在不匹配的网络连接，则判定所述网络连接为网络攻击链路；

攻击溯源分析模块，用于对检测到的网络攻击链路进行溯源分析，定位攻击者源端所在区域或节点；

策略配置信息更新模块，用于根据定位攻击者源端所在区域或节点，将所述策略配置信息更新为限制所述区域或节点的网络连接。

进一步的，网络攻击检测模块中，将实时网络连接关系与网络连接静态模型比对的过程为：

进一步的，攻击溯源分析模块中，对检测到的网络攻击链路进行溯源分析的具体过程为：

与现有技术相比，本发明所达到的有益效果是：本发明通过对电力工控网络边界处电力VPN设备相关信息的采集，结合电力工控业务通信的特点，实现了对电力工控网络中网络攻击的溯源，并根据溯源结果进行管控处置。本发明克服了传统的溯源方法成本高、改造难度大、精度低，可操作性不强的缺点，实现了电力工控网络攻击的自动发现与智能处置。

附图说明

图1为本发明中电力工控广域网络的通信结构图；

图2为本发明中攻击检测流程图；

图3为本发明中溯源分析流程图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本领域技术人员公知，电力工控广域网络是电力企业搭建的私有的用于电力调度实时监视与控制的内部网络，电力工控广域网络的网络通信是一种典型的星型通信结构，参见图1所示，即所有终端节点都需要与中心节点进行网络通信，终端节点之间不需要通信。电力VPN设备是电力工控网络中专用的VPN设备(Virtual Private Network，虚拟专用网络)，是一种安全防护设备，是电力安全防护的基础设施。电力VPN设备部署在电力公司、变电站、发电厂的电力工控广域网络的边界出口处，对外连接边界路由器，对内连接内部工控局域网，是内部工控局域网对外出口的唯一必经通道。电力工控广域网络中，在业务通信之前，所有终端节点处的电力VPN设备都会与中心节点处的电力VPN设备建立虚拟加密隧道，业务通信经过加密隧道进行传输。

本发明的一种面向电力工控网络的攻击溯源方法，包括攻击检测和攻击溯源分析过程。

攻击检测过程参见图2所示，具体包括以下过程：

第一步，在电力工控网络静态时，采集电力工控网络中所有电力VPN设备的隧道配置信息、策略配置信息和链路信息，并获取中心节点及所有终端节点的节点配置表；根据隧道配置信息、链路信息和节点配置表构建网络连接静态模型。

采集电力工控网络中所有电力VPN设备的配置信息和链路信息，并获取中心节点及所有终端节点的区域IP地址范围列表。

其中配置信息包括电力VPN设备的隧道配置信息和策略配置信息。

所述隧道配置信息由一或多条隧道配置记录组成，每一条隧道配置记录包括<隧道ID、本端电力VPN设备IP地址、对端电力VPN设备IP地址>信息，隧道信息反映的是本端与对端电力VPN设备的隧道通信关系。

所述策略配置信息由一或多条策略配置记录组成，每一条策略配置记录包括<该配置记录对应的隧道ID、本端局域网内主机IP地址及端口的范围，对端局域网内主机IP地址及端口的范围、协议>信息。

链路信息是指经过电力VPN设备的实时链路信息，由一或多条网络连接记录组成，每一条链路信息记录包括<对应的隧道ID、本端局域网内主机IP地址、本端局域网内主机端口、对端局域网内主机IP地址、对端局域网内主机端口、协议、发起标识>等信息，其中发起标识表示该链路是否从本端主机发起，如果是，则发起标识为1，否则发起标识为0(说明是从对端主机发起的链路)。

配置信息可以采用主动获取方式，因配置信息变动不频繁，一般采用定期获取的方式来获取，如每天获取一次。链路信息可以采用由电力VPN设备主动触发上送和周期性上送，主动触发上送包括连接的新建、连接的拆除等单一连接信息，周期性上送则按一定周期时间(如每十分钟)上送电力VPN设备中当前活跃的所有连接信息。

电力工控网络中的中心节点局域网络、终端节点局域网络中的IP地址范围都是静态预分配好的，是事先预知的。也就是说每个区域里的所有主机的IP地址的范围是预先框定的，比如节点A区域的IP地址范围为192.168.0.1到192.168.0.255，节点B区域的IP地址范围为192.168.1.1到192.168.1.255。中心节点及所有终端节点的区域IP地址范围列表可以通过人工录入或者外部导入的方式获取，区域IP地址范围列表由一到多条记录组成，每条记录包括<节点ID、起始IP地址、终止IP地址>信息。

中心节点及所有终端节点的节点配置表由与节点个数相等的多条记录组成，每条记录包括<节点ID、节点电力VPN设备的IP地址>等信息，节点ID为给每个节点分配的唯一ID编号，节点电力VPN设备的IP地址为该节点的电力VPN设备的IP地址。节点配置表可以通过人工录入或者外部导入的方式获取。

所述隧道配置信息、策略配置信息、链路信息在采集后，会根据节点配置表进行预处理，即将节点ID附加到隧道配置信息、策略配置信息和链路信息等信息记录上(简单说就是将这些信息与属于哪个节点关联起来)，即处理后的隧道配置信息记录为<节点ID、隧道ID、本端电力VPN设备IP地址、对端电力VPN设备IP地址>，处理后的策略配置信息记录为<节点ID、该配置记录对应的隧道ID、本端局域网内主机IP地址及端口的范围，对端局域网内主机IP地址及端口的范围>，处理后的链路信息记录为<节点ID、对应的隧道ID、本端局域网内主机IP地址、本端局域网内主机端口、对端局域网内主机IP地址、对端局域网内主机端口、协议、发起标识>。

在电力工控网络静态时，根据以上预处理后的链路信息构建网络连接静态模型。

网络连接静态模型为一条或多条网络连接记录，每条记录包括<节点ID，对应的隧道ID，本端局域网内主机IP地址与本端局域网内主机端口，对端局域网内主机IP地址与对端局域网内主机端口>，其中主机端口为服务提供方所有，服务使用方为空，例如当链路信息中发起标识为0时，表示本端局域网内主机作为服务提供方，本端主机端口为链路信息中的本端局域网内主机端口，对端主机端口为空；否则表示对端局域网内主机作为服务提供方，本端服务端口为空，对端服务端口为链路信息中的对端局域网内主机端口。由于网络连接是成对出现的，即一个连接必然存在于两个不同节点上，且一个节点上其发起标识为0，另一个节点上其发起标识为1，因此，选择其中一个即可表征网络连接信息，这里选择发起标识为0的链路构建网络连接静态模型。例如网络连接静态模型中的网络连接记录为：

节点ID1，对应的隧道ID1，本端局域网内主机IP1:本端局域网内主机服务端口1->对端局域网内主机IP2

节点ID1，对应的隧道ID2，本端局域网内主机IP1:本端局域网内主机服务端口2->对端局域网内主机IP3

...

节点ID2，对应的隧道ID3，本端局域网内主机IP2:本端局域网内主机服务端口3->对端局域网内主机IP1

节点ID3，对应的隧道ID4，本端局域网内主机IP3:本端局域网内主机服务端口4->对端局域网内主机IP1

...

第二步，在电力工控网络运行时，采集网络的链路信息生成实时网络连接关系。

在电力工控网络运行时，按照构建网络连接静态模型的方法生成实时网络连接关系。

第三步，将实时网络连接关系与网络连接静态模型比对，若存在不匹配的网络连接，则判定此网络连接为网络攻击链路。

具体过程为：

(1)将实时网络连接关系里的每一条网络连接与网络连接静态模型中的网络连接记录进行逐个比对，当存在不匹配的网络连接时，形成网络攻击告警并进入下一步的进一步判断。

(2)人工对网络攻击告警进行判定，当判定为误告警时，反馈到网络连接静态模型进行修正，将此网络连接记录添加到网络连接静态模型。否则，判定此网络连接为网络攻击链路。

第四步，对检测到的网络攻击链路进行溯源分析，定位攻击者源端所在区域或节点。

如图3所示，对检测到的网络攻击链路进行溯源分析过程为：

(1)根据采集到的隧道配置信息及节点配置表，构建隧道关系表。

由于隧道是成对出现的，即节点IDm中存在一条隧道<隧道IDx，本端电力VPN设备IP1、对端电力VPN设备IP2>，必然存在节点IDn中有一条隧道<隧道IDy，本端电力VPN设备IP2、对端电力VPN设备IP1>与之对应，因此，可以获取存在对应关系的节点和隧道，构建隧道关系表，此隧道关系表由多条记录构成，每条记录包含<节点IDm、隧道IDx，对端节点IDn，对端隧道IDy>的信息。

例如图1中包括1个中心节点和2个终端节点，设图1中的中心节点ID为1、终端节点ID分别为2、3，终端节点2、3分别与中心节点1建立一条隧道，则隧道关系表为4条记录，如下表所示：

表1隧道关系表

节点IDm	隧道IDx	对端节点IDn	对端隧道IDy
				1	1	2	1
1	2	3	1
				2	1	1	1
3	1	1	2

(2)根据网络攻击链路中的隧道ID及所属节点ID，查找隧道关系表，定位该链路的源头为对端节点ID，再查找对端节点ID的区域IP地址范围列表，从而定位出该源头的区域IP地址范围，记为[IP1,IP2]。

(3)检查网络攻击链路中的对端局域网内主机IP是否在[IP1,IP2]内，若不是，则判定为伪造源IP地址攻击，最终溯源的源端可以定位到攻击的节点区域网络；否则进入下一步。

(4)检测之前是否有与此对端局域网内主机IP地址的历史网络攻击链路信息存在，如果有，则判定此次攻击为跳板机攻击，否则，为普通攻击。跳板机攻击或普通攻击最终溯源的源端可以定位到对端局域网内主机IP。

第五步，根据定位攻击者源端所在区域或节点，将所述策略配置信息更新为限制所述区域或节点的网络连接。

对于伪造IP地址的攻击，检查步骤一中所采集到的策略配置信息，由于此策略配置信息中的IP地址及端口是一个范围，这个范围比较大，包含了伪造IP地址，因此缩小策略配置信息中IP地址及端口范围，限制攻击节点区域的网络连接，从而就达到了限制攻击的目的。

对于跳板机攻击或普通攻击，根据攻击的源IP地址，使得攻击IP地址不被包含在任何一个策略配置记录里，限制住攻击的源IP地址。这样这个IP地址的连接信息在经过电力VPN设备时，就会被阻断，从而阻止攻击的发生。

将生成的处置策略采用专用的管控协议对电力VPN设备的策略配置进行更新，实现对攻击区域或攻击节点的网络连接访问限制。

上述方法针对直接运用传统攻击溯源方法存在的改造难度大、溯源精度不高、可操作性不强的问题，充分考虑电力工控网络的特点，利用现有的电力VPN设备，实现了对普遍存在的伪造源IP地址攻击、跳板机攻击等溯源难的这类网络攻击的精准溯源。

需要说明的是，本发明主要解决跨越电力工控广域网络的攻击，对于局限在电力工控节点局域网内的攻击，主要依靠局域网络内的IDS/IPS等设备探测，不在本发明的考虑范围内。

进一步的，所述隧道配置信息由一到多条隧道配置记录组成，每一条隧道配置记录包括<隧道ID、本端电力VPN设备IP地址、对端电力VPN设备IP地址>信息；

所述策略配置信息由一到多条策略配置记录组成，每一条策略配置记录包括<该配置记录对应的隧道ID、本端局域网内主机IP地址及端口的范围，对端局域网内主机IP地址及端口的范围、协议>信息；

链路信息由一到多条网络连接记录组成，每一条链路信息记录包括<对应的隧道ID、本端局域网内主机IP地址、本端局域网内主机端口、对端局域网内主机IP地址、对端局域网内主机端口、协议、发起标识>信息；

中心节点及所有终端节点的节点配置表由与节点个数相等的多条记录组成，每条记录包括<节点ID、节点电力VPN设备的IP地址>信息。

进一步的，网络连接静态模型为一条或多条网络连接记录，每条记录包括<节点ID，对应的隧道ID，本端局域网内主机IP地址与本端局域网内主机端口，对端局域网内主机IP地址与对端局域网内主机端口>信息。

此隧道关系表由多条记录构成，每条记录包含<节点IDm、隧道IDx，对端节点IDn，对端隧道IDy>的信息；

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims

1.一种面向电力工控网络的攻击溯源方法，其特征是，包括以下过程：

在电力工控网络运行时，获取实时网络连接关系；

根据定位攻击者源端所在区域或节点，将所述策略配置信息更新为限制所述区域或节点的网络连接；

所述对检测到的网络攻击链路进行溯源分析的具体过程为：

2.根据权利要求1所述的一种面向电力工控网络的攻击溯源方法，其特征是，所述隧道配置信息由至少一条隧道配置记录组成，每一条隧道配置记录包括隧道ID、本端电力VPN设备IP地址和对端电力VPN设备IP地址信息；

3.根据权利要求1所述的一种面向电力工控网络的攻击溯源方法，其特征是，网络连接静态模型为一条或多条网络连接记录，每条记录包括节点ID，对应的隧道ID，本端局域网内主机IP地址与本端局域网内主机端口和对端局域网内主机IP地址与对端局域网内主机端口信息。

4.根据权利要求1所述的一种面向电力工控网络的攻击溯源方法，其特征是，将实时网络连接关系与网络连接静态模型比对的过程为：

5.一种面向电力工控网络的攻击溯源系统，其特征是，包括网络连接静态模块构建模块、实时网络连接关系获取模块；网络攻击检测模块、攻击溯源分析模块和策略配置信息更新模块；

策略配置信息更新模块，用于根据定位攻击者源端所在区域或节点，将所述策略配置信息更新为限制所述区域或节点的网络连接；

所述攻击溯源分析模块中，对检测到的网络攻击链路进行溯源分析的具体过程为：

6.根据权利要求5所述的一种面向电力工控网络的攻击溯源系统，其特征是，所述隧道配置信息由至少一条隧道配置记录组成，每一条隧道配置记录包括隧道ID、本端电力VPN设备IP地址和对端电力VPN设备IP地址信息；

7.根据权利要求5所述的一种面向电力工控网络的攻击溯源系统，其特征是，网络连接静态模型为一条或多条网络连接记录，每条记录包括节点ID、对应的隧道ID、本端局域网内主机IP地址与本端局域网内主机端口和对端局域网内主机IP地址与对端局域网内主机端口信息。

8.根据权利要求5所述的一种面向电力工控网络的攻击溯源系统，其特征是，网络攻击检测模块中，将实时网络连接关系与网络连接静态模型比对的过程为：