CN112261042A

CN112261042A - 一种基于攻击危害评估的防渗透系统

Info

Publication number: CN112261042A
Application number: CN202011131228.6A
Authority: CN
Inventors: 周晓军; 王利明; 邵宝珠; 董之微; 张武洋; 金世鑫; 赵东艳; 原义栋; 李奇
Original assignee: Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd; Institute of Information Engineering of CAS; Beijing Smartchip Microelectronics Technology Co Ltd
Current assignee: Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd; Institute of Information Engineering of CAS; Beijing Smartchip Microelectronics Technology Co Ltd
Priority date: 2020-10-21
Filing date: 2020-10-21
Publication date: 2021-01-22
Anticipated expiration: 2040-10-21
Also published as: CN112261042B

Abstract

本发明涉及一种基于攻击危害评估的防渗透系统，包括三个模块：面向电力终端的危害评估模块；防渗透策略的构建与优化模块；控制阻断与网络隔离模块。其中，面向电力终端危害评估模块对异常电力终端进行建模，提取攻击产生的业务影响和网络影响，并给出量化的危害评估结果；防渗透策略的构建与优化模块基于攻击危害评估结果，对攻击影响范围及严重程度实施预测，构建防渗透策略并对其进行优化；控制阻断与网络隔离模块基于危害评估结果和防渗透策略的执行规则，对一般风险终端实施控制阻断措施，对高风险终端实施网络隔离措施，从而防止攻击危害的进一步扩散。

Description

一种基于攻击危害评估的防渗透系统

技术领域

本发明涉及电力终端安全领域，更为具体地，涉及一种基于攻击危害评估的防渗透系统。

背景技术

电力终端数量巨大，业务模式复杂，各过程耦合相对比较紧密，很容易造成级联故障，需要对不同风险等级的终端采取不同的防渗透策略。首先，需要对电力终端进行业务影响分析和网络影响分析，对电力终端进行危害评估；其次，根据影响范围及严重程度预测，构建防渗透策略，然后对防渗透策略进行进一步的优化；最后，针对不同风险等级的电力终端，采取不同的防渗透策略，对于一般风险的电力终端采用控制阻断的策略，对于高风险的电力终端采用网络隔离的控制策略。因此，针对电力终端网络的特点，研究电力终端异常与业务故障关联分析技术，研究多维度攻击影响分析技术，基于攻击影响分析结果量化攻击危害。并结合危害评估与异常识别的结果，预测当前攻击的可能影响范围以及影响的严重程度，生成防渗透策略。研究防渗透策略的构建优化方法。针对影响程序较低的一般风险终端，研究电力终端控制阻断技术，阻断攻击渗透的途径。针对影响程度严重的高风险终端，研究电力终端网络隔离技术，防止影响进一步扩大。

目前关于电力终端安全威胁评估方法的专利是CN104657915B，该专利提出了一种动态自适应的电力系统终端安全威胁评估方法，从层次模型的角度出发，通过设置关联矩阵，保证层与层之间在一方受到影响时，威胁效果可以传遍整个模型，实现对于环境的动态变化风险评估。但是没有从网络影响和业务影响两个方面进行分析。关于电力终端安全防护方法和设备的专利是CN103475478B，通过对终端和电力主站传输的数据进行规约检查、加解密、完整性校验，从而对电力终端进行安全防护。但是，未涉及攻击的进一步扩大时安全防护方法。基于区域保护的智能终端专利是CN105391038B，该专利设计了电力网络中基于区域保护的智能终端，但是没有防渗透阻断及隔离措施。

综上所述，现有的电力终端安全分析方法普遍存四个方面问题：(1)全面性问题。没有从网络和业务两个层面进行危害评估，导致分析结果不全面；(2)关联性问题。无法做到电力终端受到攻击时的关联分析；(3)防渗透策略构建问题。没有根据影响范围和严重程度制定相应的防渗透策略；(4)策略下发问题。无法根据攻击的严重程度进行有选择性的策略下发。

发明内容

本发明技术解决问题：针对传统网络隔离方法可能会引发隔离范围过大、隔离强度过高等过度防护从而影响电力系统业务的连续性问题，提供一种基于攻击危害评估的防渗透系统，对攻击危害进行准确的量化评估，并基于评估结果量化电力终端所处的安全等级，在最低限度影响电网实时控制业务条件下，实现低风险终端的控制阻断和高风险终端的精准隔离，从而阻止攻击危害的进一步扩大。

本发明技术解决方案：针对电力终端网络的特点，研究终端异常与业务故障关联分析技术，研究多维度攻击影响分析技术，基于攻击影响分析结果量化攻击危害。并结合危害评估与异常识别的结果，预测当前攻击的可能影响范围以及影响的严重程度，生成防渗透策略。研究防渗透策略的构建优化方法。针对影响程序较低的一般风险终端，研究电力终端控制阻断技术，阻断攻击渗透的途径。针对影响程度严重的高风险终端，研究电力终端网络隔离技术，防止影响进一步扩大。

本发明的基于攻击危害评估的防渗透系统包括三个模块：面型电力终端的危害评估模块；防渗透策略的构建与优化模块；控制阻断与网络隔离模块。

(1)所述面型电力终端的危害评估模块，包括业务影响分析和网络影响分析两个部异常识别结果部分、业务影响分析部分、网络影响分析部分、危害评估量化指标体系构建部分。异常识别结果部分，确定被攻击终端，并对该被攻击终端进行建模。业务影响分析部分，基于被攻击终端建模结果，结合电力终端自身运行规律和业务场景，提取攻击产生的业务影响。网络影响分析部分，基于被攻击终端建模结果，结合电力终端网络组网的特点和复杂网络理论，提取攻击产生的网络影响；危害评估量化指标体系构建部分，从电力终端、网络和业务三个维度建立攻击危害量化评估指标体系，并计算得到攻击危害量化评估结果。

(2)所述防渗透策略的构建与优化，包括影响范围及严重程度预测、防渗透策略构建、防渗透策略优化三个部分。影响范围及严重程度预测指基于危害评估的结果，并结合异常识别的结果，预测当前攻击的可能影响范围以及影响的严重程度。防渗透策略构建首先根据异常识别的结果确定被攻击的终端，然后结合网络影响分析的结果，从被攻击的终端分别向其上游和下游同时做广度优先遍历，将上游方向广度遍历过程中发现直接前驱终端作为源端集合，将被攻击的终端作为目的端，构成阻断攻击路径的防渗透策略；并将被攻击的终端作为源端，将下游方向广度遍历过程中发现直接后继终端作为目的端集合，形成控制影响进一步扩大的防渗透策略。防渗透策略优化首先需要针对存在交集的防渗透策略设计机制，实现防渗透策略间的正交化，减小策略的冗余度，提升策略的下发、执行效率；其次需要针对存在冲突的防渗透策略，实现冲突策略削减策机制。

(3)所述控制阻断与网络隔离，包括一般风险终端控制阻断和高风险终端网络隔离。对于影响程序较低的一般风险终端，防渗透策略实例化为工业控制协议数据包过滤规则，数据包过滤规则通过简单网络管理协议(SNMP)作用在电力终端网络的安全设备(例如，防火墙设备)上，电力终端网络的安全设备将工业控制协议数据包过滤规则映射到管理信息库(MIB，Management Information Base)中的管理对象，使数据包过滤规则在深度数据包解析(DPI)架构中生效。对于影响程度严重的高风险终端，防渗透策略实例化为地址或端口过滤规则，地址或端口过滤规则通过SNMP协议作用在电力终端网络的网络通信设备(例如，交换机、路由器设备)上，与控制阻断策略相同，电力终端网络的网络通信设备将地址或端口过滤规则映射到管理信息库MIB中的管理对象，从而关闭目的地址或端口。

本发明的一种基于攻击危害评估的防渗透系统具有如下有益效果：

(1)本发明针对电力终端网络的特点，识别发生异常的电力终端并进行建模，构建量化指标体系，对攻击产生的业务影响和网络影响进行量化评估，能够准确判定攻击的危害程度。

(2)本发明基于量化的攻击危害评估结果，准确预测攻击可能影响的范围及严重程度，有针对性的构建防渗透策略并采取冗余去除、冲突消减等策略优化方法，获得精简后的防渗透策略集，此时防渗透策略具有明确的针对性。

(3)本发明基于危害评估结果和防渗透策略的执行规则，量化出电力终端所处的安全等级。对于安全等级较低的一般风险终端，实施控制阻断的防渗透策略，对于安全等级较高的高风险终端，实施网络隔离的防渗透策略。做到安全分级、区别处理，从而将攻击阻断过程对电力终端网络的影响降至最低。

附图说明

图1是本发明中整体结构示意图；

图2是本发明中防渗透策略的构建与优化示意图。

具体实施方式

为使本发明的实施例的目的、技术方案和优点更加清楚，下面进一步结合附图对本发明作详细描述。

如图1所示，本发明基于攻击危害评估的防渗透系统，包括三个部分：面型电力终端的危害评估模块、防渗透策略的构建与优化模块、控制阻断与网络隔离模块。

面向电力终端的危害评估模块：(1)确定被攻击终端，并该终端进行建模，包括可用性、可控性和可恢复性三个方面。1)可用性建模。将终端的状态定义为“可用”和“不可用”两种状态；2)可控性建模。将对终端的控制权限分类三类：管理员权限、普通权限和受限权限。其中，管理员权限表示对终端具有完全的控制权限，包括任意读和任意写权限；普通权限包括只对终端进行读操作的只读权限和只对终端进行写操作的只写权限；受限权限包括对终端进行有限读操作的受限读权限和对终端进行有限写操作的受限写权限。3)可恢复性建模。定义可恢复性指标，用于表示终端在受到攻击后，经过修复措施所能达到的恢复程度。

(2)基于被攻击终端模型，提取攻击产生的业务影响和网络影响。具体过程：1)业务影响提取。a.被攻击终端协议报文的深度解析。对被攻击终端协议报文采用深度解析(DPI)的方法，获得源IP地址、目的IP地址、源端口、目的端口、协议类型、报文流向等信息。b.定义业务控制指令模式。将每个业务控制指令定义为一个子结构。c.基于业务控制指令关键字，利用子结构对每一行报文进行按位与运算，判定子结构在报文中的位置，从而实现业务控制指令的匹配。d.业务影响确定。基于被攻击终端协议报文深度解析结果和匹配的业务控制指令，得到被攻击终端对业务的影响要素，为攻击危害评估量化指标体系中业务影响量化指标的构建提供数据支持。2)网络影响提取。a.被攻击终端所在网络流量的采集与获取。网络流量数据由一系列数据报文组成，包括用户和系统的各种状态信息；采用旁路映射的方法，通过部署在网络通信探针获取网络流量。b.被攻击终端所在网络流量的提取与解析。对网络流量进行预处理，过滤无关报文数据信息；对预处理后的网络流量进行提取，获得所有报文的长度、类型、源IP地址、目的IP地址、源端口、目的端口和服务类型等静态指标。对预处理后的报文进行发送时间统计，计算得到网络流量的统计指标数据，包括单位时间内同一个源IP的同一个端口发送的报文数量、单位时间内特定报文的应答数量等。c.被攻击终端所在网络影响确定。将提取的静态指标和统计指标数据进行训练和比对，发现被攻击终端所在网络的异常，为攻击危害评估量化指标体系中网络影响量化指标的构建提供数据支持。

(3)基于被攻击终端的模型、提取的业务影响结果和网络影响结果，建立攻击危害评估量化指标体系。具体包括：

1)基于被攻击终端的模型，得到被攻击终端危害评估量化指标DEV_imp的构建过程：a.可用性指标为Avai_np，计算过程为

其中i为变量的下标；x_i表示终端设备处于可用状态的时间，y_i表示终端设备处于不可用状态的时间。在公式中，n是终端设备处于不可用状态的次数。b.可控性指标

其中i为变量的下标，且i∈[1,3],λ_i为不同控制权限的权重，η_i为各项指标的值。c.可恢复性指标Dev_res为微分方程

的实数解，其中P_s(x,t)表示t时刻设备处于s状态其恢复时间为x的概率，μ_s(x)表示设备处于s状态且恢复时间为x的恢复率，

表示P_s(x,t)对t进行求偏导数运算，

表示P_s(x,t)对x进行求偏导数运算。d.结合攻击对被攻击终端可用性、可控性和可恢复性的影响，得到被攻击终端危害评估量化指标DEV_imp的计算公式为：DEV_imp＝μ₁*Avai_np+μ₂*Dev_ctrl+μ₃*Dev_res，其中，μ₁、μ₂和μ₃分别表示终端设备不同方面危害的权重，且满足μ₁+μ₂+μ₃＝1。

2)业务影响危害评估量化指标OPT_imp：a.基于提取的业务影响结果，将业务影响分为数据采集和远程控制两个方面。其中，数据采集是指电力终端将采集的用户数据逐级上传，用于系统的安全监测；远程控制是指电力终端发送控制指令，使得被控其他终端执行相应动作。2)业务影响危害评估量化指标计算过程为：

其中θ₁和θ₂表示发生攻击的概率，且满足θ₁+θ₂＝1；ω₁和ω₂分别表示数据收集功能和远程控制功能的权重；δ表示数据收集功能，

表示远程控制功能。

3)网络影响危害评估量化指标OPT_imp：1)基于提取的网络影响结果，确定被攻击节点的入度和出度，并定义被攻击节点入度和出度权重系数。2)网络影响危害评估量化指标计算过程为：NET_imp＝γ₁*e_i*ω₁+γ₂*e_o*ω₂，其中γ₁和γ₂表示攻击成功的可能性度量系数，且满足γ₁+γ₂＝1；ω₁和ω₂表示被攻击节点入度和出度权重系数，e_i表示被攻击节点的入度，e_o表示被攻击节点的出度。

(4)基于攻击危害评估量化指标体系，计算得到攻击危害量化评估结果。

(5)将攻击危害量化评估结果传递给攻击危害评估量化指标体系，用于攻击影响范围及严重程度预测。

防渗透策略的构建与优化模块：基于攻击危害评估量化结果，预测当前攻击的可能影响范围以及影响的严重程度，针对影响范围内的所有终端设备，构建防渗透策略并进行优化，获得精简的防渗透策略集。(1)影响范围及严重程度预测部分基于量化的攻击危害评估结果，对攻击可能的影响范围及严重程度进行预测判定，并给出电力终端的安全风险等级；(2)防渗透策略构建部分基于量化的攻击危害评估结果和电力终端安全风险的等级，构建防渗透策略。从被攻击的终端分别向其上游和下游同时做广度优先遍历：首先将上游方向广度遍历过程中发现直接前驱终端作为源端集合，将被攻击的终端作为目的端，构成阻断攻击路径的防渗透策略；然后将被攻击的终端作为源端，将下游方向广度遍历过程中发现直接后继终端作为目的端集合，形成控制影响进一步扩大的防渗透策略集合。(3)防渗透策略优化部分对已构建的防渗透策略集合进行冗余去除及冲突检测和消解，实现防渗透策略的优化。首先，对防渗透策略进行冗余检测，减小策略的冗余度，提升策略的下发、执行效率最终；然后，对渗透策略集合实施冲突策略的检测和消除，最终获得经过优化后的防渗透策略集合。

控制阻断与网络隔离模块：基于危害评估结果和防渗透策略的执行规则，对一般风险终端实施控制阻断措施，对高风险终端实施网络隔离措施，从而防止攻击危害的进一步扩散。(1)一般风险终端控制阻断部分，基于危害评估结果和防渗透策略的执行规则，量化出电力终端所处的安全等级。对于安全等级较低的一般风险终端，防渗透策略实例化为工业控制协议数据包过滤规则，数据包过滤规则通过简单网络管理协议(SNMP)作用在电力终端网络的安全设备(例如，防火墙设备)上，电力终端网络的安全设备将工业控制协议数据包过滤规则映射到管理信息库MIB中的管理对象，使数据包过滤规则在深度数据包解析(DPI)架构中生效；在被攻击终端上游生效的控制阻断策略可以有效限制控制指令的下发，从而防止攻击者实施进一步动作，阻断攻击渗透的途径；在被攻击终端下游生效的控制阻断策略限制了从一般风险终端发出的控制指令，从而防止危害的进一步扩散。由于没有限制回传的数据传送指令，因此电力终端控制阻断技术在阻断攻击渗透的途径的同时确保一般风险终端能够继续回传现场数据，以便进一步分析。(2)高风险终端网络隔离部分，对于安全等级较高的高风险终端，防渗透策略实例化为地址或端口过滤规则，地址或端口过滤规则通过SNMP协议作用在电力终端网络的网络通信设备(例如，交换机、路由器设备)上，与控制阻断策略相同，电力终端网络的网络通信设备将地址或端口过滤规则映射到管理信息库MIB中的管理对象，从而关闭目的地址或端口。在被攻击终端上游生效的网络隔离策略可以快速隔离高风险终端，阻断攻击；在被攻击终端下游生效的网络隔离策略限制了从高风险终端发出的任何数据，从而防止危害的进一步扩散。此方式同时限制了上下行的数据，因此不会有现场数据回传。

如图2所示，本发明中防渗透策略的构建与优化模块详细说明。

首先，基于危害评估的结果，并结合异常识别的结果，预测当前攻击的可能影响范围以及影响的严重程度。

随后，根据异常识别的结果确定被攻击的终端，然后结合网络影响分析的结果，从被攻击的终端分别向其上游和下游同时做广度优先遍历，将上游方向广度遍历过程中发现直接前驱终端作为源端集合，将被攻击的终端作为目的端，构成控制阻断的防渗透策略集合；并将被攻击的终端作为源端，将下游方向广度遍历过程中发现直接后继终端作为目的端集合，构成网络隔离的防渗透策略集合。

最后，需要针对存在交集的防渗透策略设计机制，实现防渗透策略间的正交化，减小策略的冗余度，提升策略的下发、执行效率；其次需要针对存在冲突的防渗透策略，实现冲突策略削减策机制。具体包括：1)防渗透策略冗余去除。同样的安全策略有多条，或不同的安全策略之间存在着可容的交集，称为策略冗余。如果策略集合R_i和R_j存在冗余，则去除冗余后为：(R_i-R_j)+R_j，而且通过形式化证明可得

即冗余去除前后的策略集合是等价的。其中，i和j为防渗透策略集合的下标，用于区分不同的防渗透策略集合。2)防渗透策略冲突消解。当两条或多条策略的目标不能同时满足时将发生策略冲突。冲突策略削减的方法采取否定优先法，即在出现肯定与否定的策略冲突下，采取优先执行否定策略的原则。

综上所述，本发明的基于攻击危害评估的防渗透系统，针对电力终端网络的特点，首先，构建攻击危害评估量化指标体系，并对受攻击的电力终端进行建模，确定业务影响和网络影响的量化结果；然后，基于量化的危害评估结果，预测攻击可能的影响范围及严重程度，构建防渗透策略并进行优化，获得防渗透策略集合；最后，根据优化后的防渗透策略集合，对一般风险终端实施控制阻断措施，对高风险终端实施网络隔离措施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明所述基于攻击危害评估的防渗透系统的实现过程，以上实施示例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种基于攻击危害评估的防渗透系统，其特征在于，包括三个模块：面向电力终端的危害评估模块、防渗透策略的构建与优化模块、控制阻断与网络隔离模块；其中：

面向电力终端的危害评估模块：首先，确定被攻击终端，即电力终端，并该终端进行建模；然后，基于被攻击终端模型，提取攻击产生的业务影响和网络影响；最后，建立攻击危害评估量化指标体系，计算得到攻击危害量化评估结果，即基于攻击影响范围和严重程度预测结果，并将所述结果传递给防渗透策略的构建与优化模块，用于攻击影响范围及严重程度预测；

防渗透策略的构建与优化模块：对当前攻击影响范围以及攻击严重程度进行预测；基于攻击影响范围和严重程度预测结果确定被攻击终端安全等级；然后基于攻击影响范围和严重程度预测结果以及被攻击终端安全等级，构建防渗透策略，形成防渗透策略集合；最后对防渗透策略集合进行优化，获得优化后的防渗透策略集合；

控制阻断与网络隔离模块：根据被攻击终端安全等级和优化后的防渗透策略集合，基于设定的安全等级阈值，确定被攻终端当前状态是否高于设定的安全等级阈值；然后，对安全等级低于设定阈值的被攻击终端实施控制阻断的防渗透策略，对安全等级高于设定阈值终端实施网络隔离的防渗透策略。

2.根据权利要求1所述的基于攻击危害评估的防渗透系统，其特征在于：所述面向电力终端的危害评估模块包括：异常识别结果部分、业务影响分析部分、网络影响分析部分、危害评估量化指标体系构建部分；

异常识别结果部分，确定被攻击终端，并对该被攻击终端进行建模，得到被攻击终端建模结果；

业务影响分析部分，基于被攻击终端建模结果，对被攻击终端协议报文进行深度解析，定义业务控制指令模式，最终确定攻击产生的业务影响；

网络影响分析部分，基于被攻击终端建模结果，对被攻击终端所在网络的流量进行采集与获取，提取网络流量的静态指标和统计指标，确认攻击产生的网络影响；

危害评估量化指标体系构建部分，基于被攻击终端建模结果、业务影响分析结果和万罗影响分析结果，从电力终端、网络和业务三个维度建立攻击危害量化评估指标体系，采用加权求和的方法，计算得到攻击危害量化评估结果。

3.根据权利要求1所述的基于攻击危害评估的防渗透系统，其特征在于：所述防渗透策略的构建与优化模块包括：影响范围及严重程度预测部分、防渗透策略构建部分、防渗透策略优化部分；

影响范围及严重程度预测部分，基于计算得到攻击危害量化评估结果，对当前攻击影响范围以及攻击严重程度进行预测；对攻击影响范围的预测结果，用于指导防渗透策略的构建；对攻击严重程度的预测结果，用于确定被攻击终端的安全等级；

防渗透策略构建部分，基于对攻击影响范围的预测结果，对攻击影响范围内的所有终端设备构建防渗透策略，得到防渗透策略集合；基于被攻击终端安全等级，确定防渗透策略的类型；

防渗透策略优化部分，基于防渗透策略集合，采取冗余去除及冲突消解处理，实现防渗透策略的优化，得到优化后的防渗透策略集合。

4.根据权利要求1所述的基于攻击危害评估的防渗透系统，其特征在于：所述控制阻断与网络隔离模块包括：对一般风险终端控制阻断措施和对高风险终端网络隔离措施；

一般风险终端控制阻断措施，基于被攻击终端安全等级和优化后的防渗透策略集合，对于安全等级低于设定阈值的电力终端，设定数据包过滤规则，通过简单网络管理协议作用在电力终端网络的安全设备；电力终端网络的安全设备将数据包过滤规则映射到管理信息库MIB(MIB，Management Information Base)中的管理对象，对攻击数据包进行过滤，从而实现对被攻击终端的控制阻断；

高风险终端网络隔离措施，基于被攻击终端安全等级和优化后的防渗透策略集合，对于安全等级高于等于设定阈值的电力终端，设定地址或端口过滤规则，通过简单网络管理协议作用在电力终端网络的通信设备；电力终端网络的通信设备将地址或端口过滤规则映射到管理信息库MIB中的管理对象，关闭目的地址或端口，从而实现对被攻击终端的网络隔离。