張陽,胡紹謙,湯震宇
(南瑞繼保電氣有限公司,江蘇 南京 211100)
摘要:為了應(yīng)對電力系統(tǒng)中日趨嚴(yán)重的安全問題,闡述了僵尸網(wǎng)絡(luò)在電力二次系統(tǒng)中部署和傳播的可能性,分析了僵尸網(wǎng)絡(luò)在活動時產(chǎn)生的報文特征和流量的行為特性,并針對電力二次系統(tǒng)僵尸網(wǎng)絡(luò)的特點,提出了兩種可部署于網(wǎng)絡(luò)分析儀的僵尸網(wǎng)絡(luò)檢測方法,分別是基于深度包檢測技術(shù)的異常協(xié)議識別方法和基于循環(huán)自相關(guān)和Xmeans聚類的流序列特征分析方法。實驗證明,這兩種方法均具有良好的檢測效果,其中,異常協(xié)議識別方法在特定場景下將失效,而流序列特征分析方法具有更好的通用性。
關(guān)鍵詞:僵尸網(wǎng)絡(luò);電力系統(tǒng);深度包檢測;流量行為;循環(huán)自相關(guān);聚類分析;網(wǎng)絡(luò)分析儀
0引言
2015年末,烏克蘭電網(wǎng)遭到黑客攻擊,這是首次由黑客攻擊行為導(dǎo)致的大規(guī)模停電事件,電力二次系統(tǒng)的網(wǎng)絡(luò)安全問題日益嚴(yán)峻。僵尸網(wǎng)絡(luò)是指通過各種手段在多臺設(shè)備中植入惡意程序,使僵尸控制者能相對方便和集中地控制這些設(shè)備,向這些受控制的設(shè)備發(fā)布各種指令以進行相應(yīng)惡意活動的攻擊網(wǎng)絡(luò)。隨著全球電力系統(tǒng)和互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,特別是能源互聯(lián)網(wǎng)的興起[1],電力二次系統(tǒng)的規(guī)模和復(fù)雜性越來越高,智能化設(shè)備和以太網(wǎng)通信的普及在帶來更加豐富功能的同時,也帶來了各種安全問題,如Web應(yīng)用中數(shù)據(jù)庫信息的SQL注入攻擊[2]、Web客戶端腳本注入攻擊[3]、僵尸網(wǎng)絡(luò)等。
本文研究了僵尸網(wǎng)絡(luò)在電力二次系統(tǒng)中的部署方法和傳播機制,分析了僵尸程序產(chǎn)生的網(wǎng)絡(luò)流量的行為特性,并以此提出了兩種基于網(wǎng)絡(luò)分析儀的僵尸網(wǎng)絡(luò)的檢測方法,最后按照電力二次系統(tǒng)的網(wǎng)絡(luò)架構(gòu)搭建環(huán)境進行實驗。
1電力二次系統(tǒng)中僵尸網(wǎng)絡(luò)部署及傳播
1.1僵尸網(wǎng)絡(luò)部署方法
國內(nèi)電力二次系統(tǒng)是一個相對封閉的局域網(wǎng)系統(tǒng),一般不與公網(wǎng)直接相連,所以直接從公網(wǎng)感染僵尸程序的可能性不大。部署僵尸程序有以下幾種方法:
(1)事先在智能設(shè)備中部署僵尸程序,當(dāng)該設(shè)備在站內(nèi)安裝接入二次網(wǎng)絡(luò)時即可發(fā)作。
(2)直接連接二次網(wǎng)絡(luò)中的交換機,將僵尸程序植入網(wǎng)絡(luò)。
(3)將小型的無線網(wǎng)卡接入二次網(wǎng)絡(luò),將站內(nèi)局域網(wǎng)與公網(wǎng)連接。
1.2僵尸網(wǎng)絡(luò)傳播機制
僵尸程序一般具有自我復(fù)制和自動傳播的能力,在電力二次系統(tǒng)中,各設(shè)備供應(yīng)商為方便現(xiàn)場調(diào)試,一般會開放設(shè)備的telnet、ftp、ssh服務(wù),并且用戶名密碼相對固定,僵尸程序通過這些服務(wù)很容易進行傳播,步驟如下:
(1)周期掃描網(wǎng)絡(luò)中所有的IP地址,記錄所有在線設(shè)備的IP,記為G1。
(2)測試G1中所有設(shè)備的telnet服務(wù)、ftp服務(wù)、ssh服務(wù)是否打開,至少打開其中一個服務(wù)的設(shè)備IP記為G2。
(3)電力二次系統(tǒng)中大部分設(shè)備采用VxWorks、Linux、Windows等操作系統(tǒng),配合ARM、x86、PowerPc、MIPS、Sparc等CPU架構(gòu),組合是有限的,僵尸程序通過telnet、ftp、ssh可以判斷G2中設(shè)備的操作系統(tǒng)和CPU架構(gòu),選擇適配的二進制文件,通過telnet或ssh復(fù)制至目標(biāo)系統(tǒng),并加入啟動腳本。
2電力二次系統(tǒng)中僵尸網(wǎng)絡(luò)流量特性
僵尸網(wǎng)絡(luò)的目的是控制被感染的設(shè)備執(zhí)行特定的指令,如重啟、發(fā)送惡意報文、控制一次設(shè)備等。所以僵尸網(wǎng)絡(luò)一般會有一個C&C服務(wù)器(命令與控制服務(wù)器),C&C服務(wù)器可以是網(wǎng)絡(luò)中固定的節(jié)點,也可由僵尸程序選舉產(chǎn)生,所有僵尸程序周期訪問C&C服務(wù)器獲取指令,或者由C&C服務(wù)器周期廣播指令至所有僵尸程序。在這個過程中,僵尸程序會產(chǎn)生帶有特定特征的網(wǎng)絡(luò)流量。
2.1僵尸程序會產(chǎn)生非常規(guī)協(xié)議的流量
常規(guī)的僵尸網(wǎng)絡(luò)可分為以下3種類型[4]:
(1)IRC僵尸網(wǎng)絡(luò):控制和通信方式采用IRC協(xié)議(互聯(lián)網(wǎng)中繼聊天協(xié)議)的僵尸網(wǎng)絡(luò)[5]。
(2)HTTP僵尸網(wǎng)絡(luò):控制和通信方式采用HTTP協(xié)議(同時伴隨DNS)的僵尸網(wǎng)絡(luò)。
(3)P2P僵尸網(wǎng)絡(luò):控制和通信方式采用P2P協(xié)議或類似結(jié)構(gòu)的僵尸網(wǎng)絡(luò)[6 7]。
這三種類型的僵尸網(wǎng)絡(luò)同樣可以在電力二次系統(tǒng)中部署和傳播,常規(guī)電力二次系統(tǒng)中極少產(chǎn)生IRC、HTTP、DNS、P2P的流量。
2.2僵尸程序產(chǎn)生的流量具有周期性
對于單個僵尸網(wǎng)絡(luò)節(jié)點,需要周期性地從C&C服務(wù)器獲取指令,在與C&C服務(wù)器通信時,通信行為會產(chǎn)生較為明顯的周期性[8],如周期的IRC報文、周期的DNS請求、周期的HTTP流量等。周期性可分為以下兩種類型:
(1)單報文的周期性:研究對象為單個報文組成的序列,如一段時間內(nèi),僵尸節(jié)點向C&C服務(wù)器周期發(fā)送的DNS請求報文的周期性。
(2)流的周期性:僵尸節(jié)點與C&C服務(wù)器一次通信時產(chǎn)生的完整問答過程可以稱為一個流,一段時間內(nèi)產(chǎn)生的流組成流序列,流序列同樣具有周期性。
2.3僵尸程序產(chǎn)生的流量具有群體性
對于同一個僵尸網(wǎng)絡(luò)中的多個僵尸節(jié)點,由于感染相同的僵尸程序,在與C&C服務(wù)器通信行為上會產(chǎn)生較為明顯的群體相似性[9]。以著名的HTTP僵尸程序BlackEnergy為例,僵尸網(wǎng)絡(luò)中的N個節(jié)點,在足夠長的時間間隔T內(nèi),會產(chǎn)生幾乎相同次數(shù)的DNS請求,并且請求的目標(biāo)域名一致(C&C服務(wù)器的域名)。
3電力二次系統(tǒng)中僵尸網(wǎng)絡(luò)的檢測方法
電力二次系統(tǒng)中僵尸網(wǎng)絡(luò)的檢測需要分析全站的報文,網(wǎng)絡(luò)分析儀從核心交換機的鏡像口獲取報文,可得到全站所有報文的鏡像,僵尸網(wǎng)絡(luò)檢測程序完全可部署于網(wǎng)絡(luò)分析儀上。
3.1DPI(深度包檢測)方法
電力二次系統(tǒng)中使用的網(wǎng)絡(luò)協(xié)議相對較為固定,以站控層網(wǎng)絡(luò)為例,通常是103、61850、DNP,少數(shù)情況下會有101(網(wǎng)絡(luò)形式)和104。除此之外的所有協(xié)議報文都可以認(rèn)為是非常規(guī)協(xié)議,都可能由僵尸程序產(chǎn)生,所以可以用協(xié)議識別的方法檢測僵尸網(wǎng)絡(luò)。
以DNS協(xié)議為例,根據(jù)RFC1034[10]的說明,DNS報文的總體格式如圖1所示。
常規(guī)的協(xié)議識別一般采用端口號識別協(xié)議,但僵尸程序往往利用這一點采用特殊的端口號躲避檢測。DPI方法深度分析報文的內(nèi)部特征,對協(xié)議進行模糊識別。
與DNS協(xié)議類似,IRC協(xié)議可根據(jù)RFC1459[11]解析,103可根據(jù)IEC608705103[12]協(xié)議規(guī)范解析等。在電力二次系統(tǒng)中,事先規(guī)定協(xié)議的“白名單”,只允許運行特定的協(xié)議,是檢測僵尸網(wǎng)絡(luò)的有效手段。
3.2流量行為分析方法
為了描述僵尸節(jié)點與C&C服務(wù)器通信時的流量特性,本文使用源IP、目的IP、目標(biāo)端口、協(xié)議四元組組流,這里忽略源端口,因為源端口一般由操作系統(tǒng)隨機指定,每一次交互時都不一樣,不具有代表性。在給定的超時時間內(nèi),四元組相同的所有報文形成一個流,多個四元組相同的流按時間排序可形成流序列。流序列的特性描述了僵尸節(jié)點與C&C服務(wù)器通信時的流量特性。
描述流序列的周期性時,需要對流序列進行01序列化,序列化過程如圖2所示,即用較小的時間間隔t切割整個流序列,若某間隔內(nèi)有流開始,則為1,否則為0,本文取t=Intervalavg/4,即平均流時間間隔的1/4。
本文使用循環(huán)自相關(guān)的方法[13]量化01序列f的周期性,公式(1)是循環(huán)自相關(guān)函數(shù),通過公式(2)找到使ω最大的序號k,再通過公式(3)即可得到描述周期性的循環(huán)自相關(guān)頻率freq。
式中:f為流序列的01序列;M為01序列長度
以HTTP僵尸程序BlackEnergy為例,使用多個BlackEnergy僵尸樣本產(chǎn)生數(shù)十個流序列,提取平均流時間間隔、平均流持續(xù)時間、平均流長度、循環(huán)自相關(guān)頻率作為BlackEnergy僵尸程序產(chǎn)生的流序列的“指紋”,對于每一項流特征,本文采用Xmeans聚類算法[14]進行聚類,用以區(qū)分BlackEnergy僵尸程序在不同狀態(tài)下對于同一個特征的不同特性,如表1所示,表中Q為Xmeans的聚類質(zhì)量,由公式(4)計算,質(zhì)量越大說明類別中各項越相似。
式中:β取2.5;sd為標(biāo)準(zhǔn)差,c為均值
表1中每一個聚類類別描述了BlackEnergy僵尸程序產(chǎn)生不同流序列的特性,如流長度有3個聚類類別,說明BlackEnergy會產(chǎn)生3種長度的流。
通過分析電力二次系統(tǒng)中全站流量,可以獲得全站103、61850、DNP的流序列的“指紋”,可以采用白名單方式:正常情況下,網(wǎng)絡(luò)分析儀檢測到的流序列的指紋應(yīng)該與正常流量指紋相似,出現(xiàn)異常即可認(rèn)為是僵尸流量指紋。或者采用黑名單方式:事先分析已知的大量僵尸程序的流序列“指紋”,當(dāng)站內(nèi)有流序列匹配僵尸指紋時,即可認(rèn)為是僵尸流量。匹配方法使用加權(quán)得分的方法,未知流序列的某項屬性滿足公式(5)時,會按照公式(6)計算得分,當(dāng)所有屬性的得分之和大于一個閾值時,即判定匹配該僵尸指紋。
式中:QTi是待匹配流序列在自身第i個屬性的質(zhì)量,計算方法與公式(4)一致,T[i]為待匹配流序列的第i個屬性,c為已知僵尸流序列第i個屬性的均值,sd為標(biāo)準(zhǔn)差。
4實驗分析
本文采用電力二次系統(tǒng)中常規(guī)設(shè)備和系統(tǒng)搭建實驗環(huán)境,包括后臺監(jiān)控系統(tǒng)、交換機、規(guī)約轉(zhuǎn)換裝置、網(wǎng)絡(luò)分析儀、其他智能設(shè)備(測控裝置、保護裝置),主要通信規(guī)約采用103,一部分智能設(shè)備使用其他規(guī)約,需要規(guī)約轉(zhuǎn)換裝置轉(zhuǎn)換成103,總體架構(gòu)如圖3所示。正常運行時,可以通過后臺監(jiān)控系統(tǒng)監(jiān)視所有設(shè)備的運行情況以及采集各個相關(guān)測點的值。
本文在后臺監(jiān)控系統(tǒng)及一部分智能設(shè)備中運行僵尸程序BlackEnergy,在核心交換機中配置鏡像口,將全站流量全部鏡像發(fā)送至網(wǎng)絡(luò)分析儀,網(wǎng)絡(luò)分析儀中運行僵尸網(wǎng)絡(luò)檢測程序。在DPI檢測方面,由于全站只有BlackEnergy在使用HTTP和DNS協(xié)議,在這種情況下,檢測率為100%,誤報率為0,但只要有正常流量也使用HTTP和DNS協(xié)議,或者僵尸程序采用103或61850交互,DPI方法將變得極不可靠;在流量行為分析方法方面,實驗采用匹配已知僵尸流量特征的黑名單方式,得分閾值取1.3,可使BlackEnergy的檢測率大于90%而誤報率低于0.02%,類似的方法可以推廣到檢測電力二次系統(tǒng)中任何類型的僵尸網(wǎng)絡(luò)。
5結(jié)論
本文闡述了僵尸網(wǎng)絡(luò)在電力二次系統(tǒng)中的部署方法和傳播機制,分析了僵尸網(wǎng)絡(luò)在網(wǎng)絡(luò)中活動時產(chǎn)生的報文特征和流量行為,并提出了兩種僵尸網(wǎng)絡(luò)檢測方法,分別是識別異常協(xié)議的DPI(深度包檢測)方法、提取流序列特征的流量行為分析法。僵尸檢測程序需要網(wǎng)絡(luò)分析儀的支持。實驗表明這兩種方法都有較好的檢測效果。
其中,當(dāng)僵尸程序使用103、61850等規(guī)約進行傳播和活動時,DPI方法將失效,所以流量行為分析方法具有更廣泛的應(yīng)用范圍,但流量行為分析方法涉及大量的計算,需要消耗相當(dāng)大的CPU和內(nèi)存資源,將DPI方法、流量行為分析法等多種方法相結(jié)合,可以獲得更好的檢測效果,并降低計算資源的消耗。
參考文獻
[1] 曹軍威,袁仲達,明陽陽. 能源互聯(lián)網(wǎng)大數(shù)據(jù)分析技術(shù)綜述[J]. 南方電網(wǎng)技術(shù),2015,9(11):9 20.
[2] 張燕. 數(shù)據(jù)挖掘提取查詢樹特征的SQL注入攻擊檢測[J]. 電子技術(shù)應(yīng)用,2016,42(3):90 94.
[3] 張海燕,莫勇. 基于決策樹分類的跨站腳本攻擊檢測方法[J]. 微型機與應(yīng)用,2015,34(16):55 57 61.
[4] Zhu Zhaosheng, Lu Guohan, Chen Yan, et al. Botnet research survey[C]. IEEE International Computer Software and Applications Conference, 2008:967 972.
[5] SCHILLER C A, BINKLEY J, HARLEY D, et al. Botnets: the killer Web App[M]. 北京:科學(xué)出版社 2009.
[6] SCHOOF R, KONING R. Detecting peer to peer botnets[D]. Amsterdam: System and Network Engineering University of Amsterdam, 2007.
[7] 冉宏敏,柴勝,馮鐵,等. P2P僵尸網(wǎng)絡(luò)研究[J]. 計算機應(yīng)用研究,2010(10):3628 3632.
[8] 向慶華. 基于IRC協(xié)議的網(wǎng)絡(luò)流量檢測方法研究與實現(xiàn)[D]. 重慶:重慶大學(xué),2009.
[9] 李超. 基于行為特征的IRC僵尸網(wǎng)絡(luò)檢測方法研究[D]. 哈爾濱:哈爾濱工業(yè)大學(xué),2008.
[10] MOCKAPETRIS P. Domain names(RFC1034)[EB/OL]. (1987 11 xx)[2016 04 xx] https://www.rfceditor.org/rfc/rfc1034.txt.[11] OIKARINEN J, REED D. Internet relay chat protocol(RFC1459) [EB/OL].(1993 05 xx)[2016 04 xx]https://www.rfceditor.org/rfc/rfc1459.txt.
[12] IEC60870 5 103:1997, Telecontrol equipment and systems Part 5:Transmission protocols Section 103 Companion standard for the information interface of protection equipment [S].1998.
[13] Wang Binbin, Li Zhitang, Li Dong, et al. Modeling connections behavior for Webbased bots detection[C]. 2nd International Conference on e Business and Information System Security, 2010:1 4.
[14] PELLEG D, MOORE A W. Xmeans: Extending kmeans with efficient estimation of the number of clusters[C]. Proceedings of the Seventeenth International Conference on Machine Learning (ICML’00), San Francisco, CA, USA, 2000:727 734.