◆封保占 林亮成

基于新型APT攻擊緩解技術的電力網絡異常行為快速發(fā)現

◆封保占 林亮成

（國網思極網安科技（北京）有限公司 北京 102211）

電力網絡是一個龐大而復雜的網絡，要保證抵御所有APT攻擊是難度非常大的任務，因此更務實的做法是接收APT風險始終存在的事實，然后快速追蹤、識別并予以糾正，也就是采取APT攻擊的緩解方案。因此，面對正在進行的APT攻擊，有必要構建積極的“彈性網絡”，從而阻止攻擊并減少影響。該類“彈性網絡”包含“主動技術”和“聯(lián)動技術”。“主動技術”主要是利用欺騙技術還原、構建之前的攻擊，分析出攻擊的必要信息和特征，為之后的應急響應提供支撐；“聯(lián)動技術”則是一系列調用應急響應流程的機制，兩種技術相輔相成共同構建起“網絡彈性”（Cyber Resilience）。

APT攻擊；彈性網絡；主動技術；聯(lián)動技術

隨著網絡時代的飛速發(fā)展，工業(yè)控制系統(tǒng)也開始廣泛連接至互聯(lián)網，而網絡安全問題日益突出，其安全穩(wěn)定運行關系到社會穩(wěn)定、經濟發(fā)展、基礎民生等重要領域，是民眾賴以生存的基礎設施和信息溝通的橋梁。同時，正是因為其舉足輕重的社會地位，它也極易成為被攻擊的目標。尤其是部分網絡設備比較陳舊，更新補丁等不及時，當遇到APT攻擊時，可能造成嚴重損失。

電力系統(tǒng)由于其供電的復雜性、供電區(qū)域分布的廣泛性，決定了電力系統(tǒng)是一個非常復雜而龐大的網絡，其安全運行關系到社會發(fā)展的方方面面。然而，近年來多次爆發(fā)的形式多樣的網絡攻擊問題，使得互聯(lián)網的安全運行飽受威脅。如果要時時有效抵御各種層出不窮的APT攻擊，對目前而言，具有非常大的難度，因此，我們需要采取更加務實而有效的方法是正視各種APT攻擊的存在，然后采取積極的，有效的方法去快速追蹤各種攻擊，第一時間進行識別和糾正，簡單來說，也即采取應對APT攻擊的一個緩解方案。面對正在進行的APT攻擊，有效構建一個積極的“彈性網絡”，從而盡量阻止攻擊或者減少影響。該類“彈性網絡”主要包含了“主動技術”和“聯(lián)動技術”。

目前在APT攻擊緩解技術的電力網絡異常行為快速發(fā)現方面的研究主要有：

參考文獻[1]提出了APT攻擊的特點、攻擊的形式，并分析了傳統(tǒng)防御方法的不足，并提出了新的防御思路。

參考文獻[2]提出了主動防御技術的模型、原理和體系的構成。

參考文獻[3]針對主動防御技術的發(fā)展現狀，對于主動防御技術的關鍵技術進行了分析，有助于更全面深入了解主動防御技術。

參考文獻[4]主要介紹了電力系統(tǒng)的三道防線以及聯(lián)動系統(tǒng)的關鍵技術運用。

參考文獻[5]針對聯(lián)動技術的特點，詳細分析了聯(lián)動技術的模型以及總體構架，還有聯(lián)動技術的實現要求。

1 APT攻擊的特點

APT攻擊是一種目標明確，并且攻擊性強的攻擊活動，其主要針對關乎民生的重要基礎設施，或者選擇具有相對而言價值比較高的產業(yè)進行一定程度的破壞或者竊取重要的數據和資料，其典型特點是高級，并且持續(xù)的攻擊，往往會給相關行業(yè)或部門帶來嚴重的損失。

APT攻擊的原理主要是大多數情況下利用了0day（零日）漏洞，有時候也會相應利用1day或Nday 漏洞，0day 漏洞只是少量黑客組織所掌握，所以一般的安全系統(tǒng)很難發(fā)現。而1day或Nday 漏洞，是黑客利用相應的工具實施攻擊的目的所公布出來的漏洞，當系統(tǒng)長期未更新補丁，或進行一定的殺毒，就很可能受到嚴重的攻擊，所以APT攻擊是一種非常高級的攻擊。

另一方面，APT攻擊具有很長的持續(xù)性特點，從黑客們開始進行前期的探索以及相應資料收集，一直到最終成功盜取數據或給目標造成嚴重損失的過程一般要持續(xù)幾個月，或者更長的能夠持續(xù)幾年，所以很難發(fā)現這些循序漸進的告警信息并及時采取措施，也在一定程度上增加了檢測難度。

APT攻擊可以說也非常具有針對性，往往致力于竊取國家重要基礎設施，比如政府機構、通信機構、電力行業(yè)等等。然而如前所述，國家供電網絡構架十分復雜，電力對人類的生產生活又至關重要，所以本文重點研究電力網絡中，當發(fā)現APT攻擊的異常行為時如何能夠快速發(fā)現這些異常，也就是采取APT攻擊時的緩解方案，下面主要介紹兩種比較行之有效的技術，也即主動技術和聯(lián)動技術。

2 主動技術

主動防御技術是一種在網絡安全領域得到廣泛運用的新興技術，這種技術與傳統(tǒng)采用的被動防御技術有所不同，它包括了防護技術以及檢測技術，還具備新型的對抗技術，其典型特點是采用了欺騙技術來干擾和阻礙攻擊行為，還原和恢復攻擊前的狀態(tài)，為后續(xù)應急處理提供一定的技術支撐。

這種主動防御技術能夠充分實現網絡的主動防御，有效應對黑客的多種入侵手段，降低了各種網絡系統(tǒng)的使用風險，構建和保護網絡安全。

圖1 主動防御技術數據分析流程圖

主動防御技術數據分析流程圖如圖1所示，電力系統(tǒng)網絡中的主動防御技術，是通過一個動態(tài)的、虛擬的網絡環(huán)境來分析、判定可疑的網絡攻擊行為，對于已知的攻擊行為，通過特征庫所設定的判別方式，進行判定識別，當發(fā)現其為惡意行為之后即進行阻斷，而對于未知的攻擊，則通過相關算法和模型來進行交叉驗證，當發(fā)現屬于異常行為時，起動入侵響應，同時修改相應的安全策略，將異常行為反饋給知識庫，以便于下次對于其他異常行為進行判定。

其中蜜網誘捕和沙箱攻擊，主要是通過網絡的誘騙技術，偽裝成一個真實的系統(tǒng)網絡，故意誘惑各種攻擊者做出一些惡意行為，然后采取監(jiān)視以及跟蹤的方式，通過對攻擊行為進行分析判定，追根溯源，以便于后續(xù)對類似行為做出準確反應。

3 聯(lián)動技術

電力系統(tǒng)目前普遍采用了三道的縱深防線，三道防線圖如圖2所示。其中，第一道的防線是采用通用的防火墻技術，而第二和第三道防線都是采用了專用的電力安全防護設備，目前這三道防線之間的信息是相對獨立的，因而屬于被動的防御，所以我們需要將三道防線之間實現聯(lián)動機制，再結合前文介紹的主動防御技術，當發(fā)現攻擊時，既能有效判別并啟動響應機制，同時聯(lián)動機制又能調動一系列應急響應機制，二者相輔相成，互相分析判別，共同抵制異常攻擊行為，保障電力網絡安全有效運行。

圖2 電力系統(tǒng)三道防線圖

三道防線的聯(lián)動系統(tǒng)圖見圖3所示：

圖3 聯(lián)動系統(tǒng)圖

由聯(lián)動系統(tǒng)圖可以看出，首先我們需要在發(fā)生安全事件時進行事件的相關信息收集，并且對異常事件進行分析檢測，當發(fā)現是潛在的攻擊或不安全事件時，將會把相關信息和資料發(fā)送給聯(lián)動決策模塊，并根據事件的嚴重程度給予相應的告警通知，而聯(lián)動決策模塊通過對系統(tǒng)中的知識庫進行檢索和匹配分析，進行判斷之后，再根據事件可能帶來的危害程度進一步判斷是否需要聯(lián)動執(zhí)行，當判斷威脅達到了規(guī)定程度，系統(tǒng)將會連接映射表來生成相應的聯(lián)動規(guī)則，然后再將規(guī)則進行輸出，傳送到相應的設備以進行有效的防御。

4 結束語

隨著后續(xù)電力網絡的繼續(xù)完善和發(fā)展，各種網絡攻擊行為也會隨之加強，如何快速識別、跟蹤并且及時解決這種網絡攻擊行為，是需要深入研究的重要課題。本文主要提出了構建彈性網絡的理念，采取APT攻擊的緩解方案，采用主動防御技術以及聯(lián)動防御技術有效結合，將電力系統(tǒng)中的三道防線有效聯(lián)動，便于及時發(fā)現各種攻擊行為，并且對攻擊行為進行分析，從而采取有效對策，盡量減少攻擊對于網絡的影響，進一步保障整個電力系統(tǒng)網絡的有效安全運行。

[1]劉積芬.網絡入侵檢測關鍵技術研究[D].上海：東華大學，2013.

[2]劉鑫.網絡入侵檢測系統(tǒng)中模式匹配算法的應用研究[D].大連海事大學，2013.

[3]王友釗，黃冬.一種提高系統(tǒng)搜索效率的BM改進算法[J].計算機工程，2014．

[4]張宏莉，徐東亮，梁敏，劉宇峰.海量模式高效匹配方法研究[J].電子學報，2014.

[5]王正才，許道云，王曉峰.基于自動機并操作的多目標AC-BM算法[J].計算機科學，2013.

[6]陸琳琳，田野.基于確定有限狀態(tài)自動機的改進多模式匹配算法研究[J].計算機應用與軟件，2013.

[7]蔣曉鴿，武小年，張昭.基于后綴WM匹配算法的改進算法[J].計算機與數字工程，2013.

[8]Laboratory Lincoln.MIT Lincoln Laboratory Inf-ormation Systems Technology[EB/OL].http://www.ll.mit.edu/ideval/data/2000data.html.