李寒箬 廖莹璐
云南电网有限责任公司信息中心 云南省,昆明市,650217
摘要: 电力企业是国家重要的能源机构,保证电力相关的信息系统的正常运转和不受威胁至关重要。本研究以南方电网内网核心交换的流量分析为例,探索和研究超过21个异常场景的感知模型,目的是通过构建这些模型,能够将可能发生的网络威胁在有苗头时候就进行处理,以防止真正的网络安全事件的发生。
关键词:电力系统;异常感知场景;全流量报文分析;自动检测
0 引言
近年来,云南电网公司深入贯彻落实以数字化转型推动高质量发展相关要求,着手应对网络空间安全趋势和各类攻击行为,确保重大保障活动中“安全防护边界不被突破、关键业务不被控制、敏感数据不被泄露”的安全底线,夯实云南电网公司网络与信息化安全预警、检测、防护、响应主线,提升云南电网公司的网络与信息安全机制奠定基础,进一步加强信息系统安全保障能力,保障云南电网公司网络与信息系统安全稳定运行,以支撑公司业务的正常开展。
基于云南电网公司已建设的网络安全边界隔离、网络安全接入、网络安全检测和防护、网络全流量分析、终端安全管理及防护、主机(虚拟化)安全防护、主机监控、主机安全评估等系统,充分挖掘这些系统中的运行、检测、告警和结果等数据价值,基于场景联合联动构建多个网络空间异常感知模型,为云南电网公司网络空间安全感知和防护升级建设提供导向支持。
1 全流量分析技术
全流量分析技术主要的实现方式是旁路镜像,它会主动去采集网络中上行和下行的全部原始网络流量。这种技术通过保存大量的风险记录和对风险的处理来处理潜在的威胁,从而快速发现风险事件的起因或根源,确定风险是通过什么手段进行攻击的,造成的损失有多少,争取在短时间内解决等。
全流量分析技术在异常感知场景的应用中,主要围绕两方面检测方法的研究:发现异常的检测方法研究和区分不同异常的检测方法研究。
1.1 异常流量检测方式研究
从全流量中筛选出异常流量进行处理。通常的做法是建立正常流量的二分类模型,在这个模型中,正常流量和异常流量的分布有较大的偏移,可以通过现有的离群点挖掘检测方法从这个模型中提取出离群点(把离群点看成异常流量),并分析其特征。
1.2不同异常类型检测方法研究
设计一个高性能的分类算法来满足把异常流量进行分类要求。在网络异常流量检测中若把异常流量的分类看成重点,就需要设计一个装有正常或异常(异常还可以进一步划分为特定的攻击类型)标签的训练集[1]。在分类算法的基础上对训练集进行分析,建立一个分类模型,对这个模型上的网络流量进行分析和评估,判断哪些网络流量是正常的,哪些网络流量是异常的。网络流量检测现在常用的算法有:K近邻分类算法、决策树分类方法、贝叶斯分类算法、人工神经网络算法、支持向量机算法等[2-5]。
因此本文的研究将从基于异常流量检测技术的研究开始,到如何面向特定异常流量进行检测为止。
2异常感知发现模型建立
2.1 数据预处理
通常的识别方式是不看内部的具体内容,而是对流量外部的数字化表现(比如数据包有多长,统一资源定位符有多长,网络地址是多少位,端口号是多少等等)的数据进行提取和分析,以便于从中获取需要的参数和类型标签,这个过程就是数据预处理 [6]。原始数据主要有小部分异常流量数据包、系统对它产生的警告日志文件、少部分正常流量数据包和大部分混合流量数据包组成。
混合流量中既包含正常流量又包含异常流量,所以首先对这部分混合流量进行分析,从里面提出流量包的长度和统一资源定位符的长度,并按时间顺序把这部分的数据存储到数据库中。然后分析正常的流量包并把提取的外部参数标为‘Z’,异常流量包中根据警告日志把攻击类型的外部参数标记为‘F’和‘S’。
这时,训练数据的量还没有达到要求,仔细分析日志和流量数据发现:
(1)网络中的请求大部分都是正常的(大概占比90%),恶意攻击占比很小;
(2)正常请求和恶意攻击是十分容易区分的,对它们分类也是十分容易的。因此为了使训练数据更加充足,选择一些混合流量包,采取同样的操作(提取包长度和统一资源定位符的长度)。在相同的网络环境中,大量重复性存在的是正常流量,而攻击行为则很少 [7-8]。因此为了提高测试的效率和减少工作任务,本文在KNN的算法的基础上对流量进行分析,将正常的流量筛选掉,然后对异常流量打上分类标签。
2.2 异常流量特征提取
上面的分析表明,正常的流量和异常的流量之间差异很大,要区分它们是很容易的。首先在KNN算法的基础上从包含正常流量和异常流量的混合流量数据的外部参数中提取出异常流量数据的外部参数,实现过程[9-10]为:
(1)将现有的标记好的数据和没有标记的数据都看成向量,然后计算它的欧氏距离。欧式距离的计算公式为:。它的主要作用是用来计算多个维度中存在的各个点之间的绝对距离是多少。
(2)利用这个公式分析出最接近没有标记的数据的前M个数据中标记好的数据,然后将没有标记的数据标记为与分析出的标记好的数据相同的标记。这样标记好的数据就又增加了些,为后续的工作做准备。
3 场景应用
选择ASA(自适应安全框架)模型,构建探测行为、内外网攻击行为、应用系统及账号异常等21个场景覆盖“防御、检测、响应、预测、持续监控分析”的各个环节。以监测分析为手段,检验纵深防御的效果,及时发现穿透纵深防护的攻击行为;以响应处置为支撑,及时对监测分析过程中发现问题进行修复;以整体安全管理为依据,结合响应处置过程中优化的新安全基线,改善纵深防御措施。
自适应安全架构将持续的监控和分析过程分为:预防预测、阻止与防护、检测与监控、响应与调查四个主要环节,每个环节中包含多个监控和分析方法。支撑这些监控和分析方法的是组织内部的各层数据和威胁情报数据,需具备安全大数据的采集、存储和分析的技术能力。
4、结束语
一个能快速有效检测异常流量、预测网络攻击的网络流量监测模型的构建是具有非常重要的意义的。信息中心可以对网络流量走势的分析提前预知网络的基本情况:网络是否存在可能出现的网络威胁,从而采取相应措施尽早处理。本研究提出了21个智能检测场景,并已经投入实践,在今后的研究中,会将21个场景的检测结果进行深度分析,继续研究异常流量的问题。
参考文献:
[1]王奇. 浅谈全流量分析技术在网络威胁感知及安全事件响应的应用[C]. 公安部第三研究所、江苏省公安厅、无锡市公安局.2019中国网络安全等级保护和关键信息基础设施保护大会论文集.公安部第三研究所、江苏省公安厅、无锡市公安局:《信息网络安全》北京编辑部,2019:155-157.
[2]袁钦献. 加密网络流量分析关键技术研究与开发[D].西安电子科技大学,2019.
[3]郑浩楠. 基于网络流量分析的业务安全态势感知技术研究[D].华北电力大学(北京),2019.
[4].全流量安全分析实践[J].金融电子化,2018(11):98-99.
[5]金一.网络全流量安全分析系统[J].信息技术与标准化,2018(09):89-93.
[6]李冰. 基于异常流量分析的网络攻击检测技术研究[D].中国民航大学,2018.
[7]吴颖.基于流量分析网络入侵模式特征对比技术研究[J].计算机仿真,2016,33(04):352-355.
[8]宋庆峰,周涛,毕亲波. 基于全流量大数据分析技术构建电视台总控APT攻击检测系统方法初探[C]. 中国新闻技术工作者联合会.中国新闻技术工作者联合会2015年度“新闻科技论文”优秀论文集.中国新闻技术工作者联合会:中国新闻技术工作者联合会,2015:460-467.
[9]王刚.网络流量分析技术在信息网管理中的应用[J].信息技术,2015(04):161-164+169.
[10]彭庆.基于大数据技术的流量分析平台方案研究[J].邮电设计技术,2014(08):22-25.