張瑩瑩，朱智光

(1.中國電建集團(tuán)成都勘測設(shè)計(jì)研究院有限公司，四川 成都 610072；2.電子科技大學(xué)，四川 成都 610000)

0 前 言

“互聯(lián)網(wǎng)+”、“工業(yè)4.0”的提出推動(dòng)著工業(yè)領(lǐng)域的信息技術(shù)革命，ICS得到了快速發(fā)展，同時(shí)原本相對獨(dú)立和封閉的系統(tǒng)越來越多與互聯(lián)網(wǎng)發(fā)生聯(lián)系，安全性問題變得尤為突出。電力工控系統(tǒng)作為基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國家的經(jīng)濟(jì)命脈，成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。

DDoS攻擊一直被視為電力行業(yè)重要網(wǎng)絡(luò)攻擊方式之一。近幾年來，DDoS攻擊的方式趨于多樣化，攻擊頻率呈上升趨勢，這使得電力工業(yè)控制系統(tǒng)受到了嚴(yán)重的影響和威脅[1]。例如，2015年12月，黑客通過建立僵尸網(wǎng)絡(luò)對烏克蘭電力設(shè)備實(shí)施DDoS攻擊，導(dǎo)致烏克蘭全國范圍內(nèi)發(fā)生大規(guī)模停電，給烏克蘭造成了嚴(yán)重的經(jīng)濟(jì)損失；2019年3月，黑客組織利用電力系統(tǒng)漏洞對美國可再生能源電力SPower公司發(fā)動(dòng)DDoS攻擊，攻擊導(dǎo)致控制系統(tǒng)與太陽能和風(fēng)力發(fā)電設(shè)備之間的通訊中斷。DDoS攻擊是攻擊者惡意地對網(wǎng)絡(luò)進(jìn)行干擾，通過發(fā)送大量的數(shù)據(jù)包請求耗盡主機(jī)或網(wǎng)絡(luò)帶寬資源，導(dǎo)致其癱瘓并拒絕正常用戶合法請求。DDoS攻擊頻發(fā)的原因在于，它作為一種破壞型的攻擊，具有實(shí)施簡單的特點(diǎn)，只需要暴力式地消耗資源，而其攻擊效果又十分顯著，受害者很難做出及時(shí)有效的響應(yīng)，且攻擊溯源也較為困難；此外，低廉的成本是其頻發(fā)的另一個(gè)主要原因。從博弈的角度，攻擊者只需要較小的攻擊成本，就可以發(fā)動(dòng)一次大規(guī)模的DDoS攻擊。

電力工業(yè)控制系統(tǒng)與傳統(tǒng)的IT系統(tǒng)存在明顯差異，具有不同的特征。傳統(tǒng)IT系統(tǒng)對數(shù)據(jù)包的實(shí)時(shí)性要求不高，具有一定的延遲容忍度，而電力行業(yè)工控系統(tǒng)具有高實(shí)時(shí)、高可靠的特性，因此傳統(tǒng)的檢測手段不能直接應(yīng)用于工控環(huán)境。傳統(tǒng)IT網(wǎng)絡(luò)的DDoS攻擊檢測方法在電力行業(yè)的應(yīng)用是電力行業(yè)的一個(gè)新挑戰(zhàn)。

1 電力工控系統(tǒng)DDoS攻擊威脅

1.1 電力行業(yè)網(wǎng)絡(luò)特點(diǎn)

近年來，電力行業(yè)網(wǎng)絡(luò)安全事件頻繁出現(xiàn)，一些惡意軟件對電力網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施影響巨大，且風(fēng)險(xiǎn)呈增長趨勢。電力系統(tǒng)網(wǎng)絡(luò)以各種方式暴露在互聯(lián)網(wǎng)中，一些互聯(lián)網(wǎng)用戶出于某些目的，對電力系統(tǒng)和設(shè)備進(jìn)行病毒入侵、攻擊，導(dǎo)致影響網(wǎng)絡(luò)數(shù)據(jù)傳輸、破壞系統(tǒng)和泄露敏感數(shù)據(jù)、竊取公司商業(yè)秘密和機(jī)密信息、非法使用網(wǎng)絡(luò)資源等，給電力企業(yè)帶來了巨大的損失。電力行業(yè)網(wǎng)絡(luò)面臨的安全挑戰(zhàn)如下。

(1)面向電力行業(yè)網(wǎng)絡(luò)的攻擊增多。電力系統(tǒng)作為國家經(jīng)濟(jì)發(fā)展的關(guān)鍵，容易遭受各種網(wǎng)絡(luò)攻擊，因此電力系統(tǒng)網(wǎng)絡(luò)安全意義重大。目前，電力系統(tǒng)網(wǎng)絡(luò)自身建設(shè)方面存在安全缺陷，且隨著“工業(yè)互聯(lián)網(wǎng)”、“智能制造”等創(chuàng)新技術(shù)的發(fā)展，電力行業(yè)網(wǎng)絡(luò)與傳統(tǒng)IT網(wǎng)絡(luò)的隔離逐漸被打破，攻擊者通過攻擊IT網(wǎng)絡(luò)，進(jìn)而侵蝕電力系統(tǒng)網(wǎng)絡(luò)，且攻擊類型及手段也呈現(xiàn)多樣化特征。

(2)針對電力行業(yè)的惡意軟件增多。電力行業(yè)發(fā)生勒索攻擊、定向攻擊的事件逐漸增多，惡意病毒已經(jīng)對能源等領(lǐng)域帶來了嚴(yán)重危害。攻擊者開始研究新型的惡意軟件以此對電力行業(yè)網(wǎng)絡(luò)發(fā)起定向攻擊，如針對電網(wǎng)設(shè)備的攻擊軟件“Industroyer”。

(3)工業(yè)智能化發(fā)展引入設(shè)備增多。隨著智能化和工業(yè)領(lǐng)域的深度融合，新的智能化設(shè)備不斷引入到電力系統(tǒng)中，為電力行業(yè)生產(chǎn)帶來便利，但同時(shí)也引入了新的網(wǎng)絡(luò)安全隱患，給電力網(wǎng)絡(luò)帶來了更大的安全挑戰(zhàn)。

由此可見，計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展給電力行業(yè)生產(chǎn)和發(fā)展帶來了新的技術(shù)和手段，但同時(shí)也帶來了一些安全隱患。因此，對電力行業(yè)網(wǎng)絡(luò)安全機(jī)制的研究非常迫切與必要。

1.2 工業(yè)控制系統(tǒng)DDoS攻擊特點(diǎn)

工業(yè)控制系統(tǒng)一般分為企業(yè)管理層、制造執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層，以制造執(zhí)行層為分界，向上為通用IT領(lǐng)域，向下為工業(yè)控制系統(tǒng)領(lǐng)域。在設(shè)計(jì)ICS網(wǎng)絡(luò)架構(gòu)時(shí)，通常將ICS網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)分開，因?yàn)镮CS網(wǎng)絡(luò)是不允許因特網(wǎng)接入，以及FTP、e-mail、遠(yuǎn)程接入，但是在傳統(tǒng)辦公網(wǎng)中是允許的。辦公網(wǎng)無法保證對網(wǎng)絡(luò)設(shè)備及其安裝以及軟件變化的精密控制，如果將ICS網(wǎng)絡(luò)運(yùn)行在辦公網(wǎng)的上層，它通常能抵御一次DDoS攻擊；如果將辦公網(wǎng)與ICS網(wǎng)絡(luò)隔離開，發(fā)生在辦公網(wǎng)中的安全事件就不會(huì)對ICS網(wǎng)絡(luò)造成任何影響。其實(shí)，ICS網(wǎng)絡(luò)與辦公網(wǎng)之間的連接是不能斷開的，但此連接要承擔(dān)很大的風(fēng)險(xiǎn)。隨著互聯(lián)網(wǎng)的發(fā)展，攻擊者可控制的僵尸機(jī)不再局限于PC，任何接入網(wǎng)絡(luò)的設(shè)備都有可能被攻擊者利用來組織DDoS攻擊。

DDoS攻擊的最大特點(diǎn)是：攻擊控制端與受控僵尸主機(jī)之間是一對多的關(guān)系，而受控僵尸主機(jī)與被攻擊的目標(biāo)主機(jī)之間又是多對一的關(guān)系。DDoS攻擊是一種分散性強(qiáng)、相互協(xié)作完成、分層次實(shí)施的大規(guī)模攻擊方式。攻擊源不是直接對受害者實(shí)時(shí)攻擊，而是通過大量的僵尸主機(jī)來發(fā)起的，這樣做有以下“好處”：第一，不管受害者的服務(wù)器安全性有多好，主機(jī)性能有多么強(qiáng)大，只要攻擊者控制的僵尸主機(jī)足夠多，發(fā)動(dòng)攻擊的次數(shù)足夠頻繁，就可以輕松將某臺(tái)目標(biāo)服務(wù)器摧毀，使之不能提供正常的服務(wù)而拒絕服務(wù)，即充分利用其分布式優(yōu)勢來實(shí)現(xiàn)對受害者的高強(qiáng)度、高密度精確打擊；第二，DDoS攻擊能夠?qū)崿F(xiàn)對某個(gè)域名服務(wù)器下屬的服務(wù)器集群的泛洪攻擊，甚至嚴(yán)重?fù)砣ヂ?lián)網(wǎng)的某些骨干鏈路等；第三，由于從發(fā)起攻擊到受害者之間經(jīng)歷了兩層，這就給IP源地址偽造提供了便利條件，從而給DDoS攻擊的追蹤溯源帶來極大困難。

1.3 工業(yè)控制系統(tǒng)DDoS攻擊分類

工業(yè)控制系統(tǒng)的DDoS攻擊主要有兩種表現(xiàn)形式，一種通過消耗受攻擊設(shè)備的網(wǎng)絡(luò)帶寬來干擾合法的用戶連接請求，另一種以消耗CPU資源、存儲(chǔ)資源的方式影響合法用戶的請求。

1.3.1 ACK和SYN泛洪攻擊

ACK泛洪攻擊發(fā)生在攻擊者與目標(biāo)設(shè)備建立連接的TCP三次握手過程中。三次握手過程從發(fā)送SYN報(bào)文[2-3]開始，然后從需要連接的設(shè)備接收到SYN+ACK包作為應(yīng)答，反過來，ACK包的應(yīng)答結(jié)束了整個(gè)連接建立階段。但是，在惡意意圖的情況下，攻擊者發(fā)送ACK位啟用包偽造的源地址會(huì)被目標(biāo)設(shè)備丟棄，是因?yàn)樗鼪]有建立任何的連接到主機(jī)的欺騙IP地址。這需要對每個(gè)傳入的數(shù)據(jù)包進(jìn)行處理，這反過來會(huì)導(dǎo)致資源耗盡。

SYN泛洪是指攻擊者啟動(dòng)三次握手過程[3-4]，首先以較高的速率向目標(biāo)設(shè)備發(fā)送SYN報(bào)文，目標(biāo)設(shè)備在接到SYN報(bào)文后發(fā)送SYN+ACK數(shù)據(jù)包予以響應(yīng)。然而，攻擊者沒有故意發(fā)送所需的ACK包，整個(gè)連接處于半打開狀態(tài)，致使目標(biāo)服務(wù)器等待，直到有來自所需源地址的ACK包。

1.3.2 UDP泛洪攻擊

在這種攻擊中，入侵者不斷嘗試以匿名方式將UDP包發(fā)送到目標(biāo)設(shè)備的隨機(jī)端口，然后，目標(biāo)設(shè)備被迫檢查每個(gè)端口，以監(jiān)聽相應(yīng)的應(yīng)用程序。然而，并沒有這樣的應(yīng)用程序存在，因此它以一個(gè)目的地不可達(dá)的ICMP數(shù)據(jù)包響應(yīng)。整個(gè)過程使目標(biāo)設(shè)備由于繁忙等待而不可達(dá)。

1.3.3 ICMP泛洪攻擊

ICMP通常負(fù)責(zé)生成錯(cuò)誤消息，將網(wǎng)絡(luò)中或目的地發(fā)生的任何故障通知源(比如當(dāng)網(wǎng)關(guān)無法緩沖數(shù)據(jù)時(shí)，或者當(dāng)數(shù)據(jù)包無法到達(dá)目的地時(shí))在ICMP協(xié)議中執(zhí)行Ping功能，并發(fā)起echo請求，得到echo應(yīng)答。如果沒有收到這個(gè)應(yīng)答，它表明另一個(gè)主機(jī)沒有活動(dòng)或沒有Ping功能。在這種情況下，回顯請求在不等待回顯應(yīng)答的情況下繼續(xù)發(fā)送，并通過消耗不必要的帶寬[3]而充斥網(wǎng)絡(luò)。

1.3.4 DNS放大攻擊

在DNS放大攻擊中，攻擊者使用的是開放的DNS解析器。它們用欺騙的源地址向這些解析器發(fā)送DNS查詢請求。對于這些報(bào)文，DNS解析器會(huì)發(fā)送一個(gè)DNS記錄響應(yīng)給目標(biāo)設(shè)備，而非攻擊者[5]的設(shè)備。這樣的響應(yīng)通常比只包含域的查詢要大得多，而且響應(yīng)可以包含一個(gè)域的許多不同的信息記錄。

1.3.5 NTP放大攻擊

NTP協(xié)議用于通過Internet同步本地時(shí)鐘和全球時(shí)鐘。然而，它可以通過請求具有欺騙源地址[6]的查詢來發(fā)起DDoS攻擊。地址要求較大的響應(yīng)，如最近連接到服務(wù)器的600個(gè)主機(jī)列表，該列表用于確定UTC的實(shí)際時(shí)間。這種較大的響應(yīng)常常導(dǎo)致大量請求，而服務(wù)器開始拒絕進(jìn)一步的請求[6]。

2 工控環(huán)境下DDoS攻擊防御技術(shù)

工控環(huán)境下DDoS攻擊呈現(xiàn)出規(guī)模大和手段多的趨勢，因此對防御技術(shù)提出了新的要求。但無論DDoS攻擊源來自何處，其應(yīng)對措施一般包括3個(gè)層次，分別是防范、檢測和緩解。本文將從這3個(gè)方面進(jìn)行闡述。

2.1 工控系統(tǒng)中DDoS攻擊的防范

DDoS攻擊防范的目標(biāo)是盡量將攻擊流遏制在源端。通過對用戶的接入請求進(jìn)行限制，如對用戶請求的延遲、選擇以及對端口的速率限制等，從源頭限制攻擊數(shù)據(jù)包侵入內(nèi)網(wǎng)。如圖1所示，實(shí)施接入限制的策略可以給予門限、基于優(yōu)先級或基于模式匹配等，而確定這些指標(biāo)，通常要依據(jù)歷史數(shù)據(jù)，并采用統(tǒng)計(jì)學(xué)習(xí)的方法進(jìn)行分析建模。

圖1 限制接入模型

文獻(xiàn)[7]提出了一種新的DDoS防御機(jī)制——Umbrella，它是一種多層防御結(jié)構(gòu)，其在流量限制層安裝一組基于UDP等網(wǎng)絡(luò)服務(wù)協(xié)議的靜態(tài)過濾器，可以有效防御基于放大的攻擊；在擁塞解決層，該文提出了一種擁堵問責(zé)制，并強(qiáng)制執(zhí)行以懲罰那些面對充血性損失而持續(xù)注入大量流量的攻擊者。該機(jī)制的原理是通過檢測用戶行為(例如，在發(fā)生擁塞時(shí)如果用戶忽略數(shù)據(jù)包的丟失并不斷注入數(shù)據(jù)包)，判定用戶對DDoS攻擊中持續(xù)擁塞負(fù)有的責(zé)任。為了解決擁塞問題，Umbrella為每個(gè)用戶保留了一個(gè)速率限制窗口，以防止用戶發(fā)送速度超過它的速率限制窗口。速率限制的方法可能導(dǎo)致一定的不公平性，而且對于偽冒成正常用戶的攻擊者而言效果并不理想。文獻(xiàn)[8]提出了一種基于置信區(qū)間的過濾方法以限制用戶的接入請求，當(dāng)用戶的訪問速率脫離了置信區(qū)間，就會(huì)對其請求進(jìn)行過濾。置信區(qū)間通常根據(jù)統(tǒng)計(jì)分析歷史行為進(jìn)行設(shè)定，數(shù)據(jù)包過濾能有效防范非法接入，但置信區(qū)間的設(shè)置是一個(gè)難題，如果設(shè)置不合理將導(dǎo)致大量合法用戶的請求受到限制。文獻(xiàn)[9]提出了基于學(xué)習(xí)自動(dòng)機(jī)的解決方案，以防止在物聯(lián)網(wǎng)工作的面向服務(wù)架構(gòu)(SOA)作為系統(tǒng)模型使用DDoS攻擊。此外，文獻(xiàn)[9]還提出了一種跨層模型，用于在網(wǎng)絡(luò)架構(gòu)的每一層處理此類攻擊。該方法通過3個(gè)階段來防御DDoS攻擊:①DDoS檢測；②攻擊者識別；③DDoS防御。第一階段通過定義一個(gè)閾值來檢測攻擊，該閾值是根據(jù)計(jì)算資源可用性確定的服務(wù)能力最大值。如果服務(wù)請求的數(shù)量超過了限制，就會(huì)發(fā)出DALERT(DDoS警報(bào))，它會(huì)在相鄰鄰居的幫助下傳播。這就開始了下一個(gè)階段，通過找出發(fā)送比其他設(shè)備更多請求的設(shè)備ID來識別攻擊設(shè)備。此外，整個(gè)黑客的信息是通過一個(gè)包來傳輸?shù)?，這個(gè)包將進(jìn)入下一階段來防御攻擊?，F(xiàn)在，在獲得了關(guān)于攻擊者的所有信息之后，如果攻擊者的設(shè)備沒有合法采樣，那么所有傳入的數(shù)據(jù)包都很容易被丟棄。數(shù)據(jù)包通過取樣以確定整個(gè)數(shù)據(jù)包范圍的真實(shí)性。由于檢查所有入站數(shù)據(jù)包的不可行性，那么抽樣就是通過使用一個(gè)學(xué)習(xí)自動(dòng)機(jī)概念來建立最佳抽樣率并以此執(zhí)行。由于在抽樣過程中攻擊者拒絕發(fā)送請求，服務(wù)器上的請求數(shù)會(huì)減少，從而使DDoS攻擊無效。

2.2 工控系統(tǒng)中DDoS攻擊的檢測

DDoS攻擊檢測的目的是在造成更大損失前盡可能早地發(fā)現(xiàn)DDoS攻擊。通常在靠近攻擊端的位置發(fā)現(xiàn)是比較好的，但由于尚未匯聚成較大規(guī)模的攻擊流，往往特征不夠明顯。而在靠近受害端的位置雖然可以獲得較好的檢測結(jié)果，但缺點(diǎn)是發(fā)現(xiàn)攻擊的時(shí)間較晚。目前，針對工控系統(tǒng)中DDoS攻擊的檢測技術(shù)主要分為3類，其檢測指標(biāo)包括：流量、性能和行為。網(wǎng)絡(luò)層流量特征的統(tǒng)計(jì)分析是檢測DDoS攻擊的常用手段，注入端口實(shí)時(shí)速率、受害端吞吐量、路由器緩存報(bào)個(gè)數(shù)等都是反映流流量特征的指標(biāo)。流量檢測的一般流程如圖2所示。

文獻(xiàn)[10]提出了一種使用統(tǒng)計(jì)流量分析發(fā)現(xiàn)DDoS攻擊向量的方法，其原理是通過對攻擊進(jìn)行通知，并對攻擊流量進(jìn)行統(tǒng)計(jì)分析以找到向量，并分析正常流量的統(tǒng)計(jì)基線，發(fā)現(xiàn)異常流量作為TCP/IP數(shù)據(jù)包統(tǒng)計(jì)參數(shù)中的差異在給定時(shí)刻到達(dá)基線，從而確定攻擊及其向量。文獻(xiàn)[11]發(fā)現(xiàn)DDoS攻擊檢測受到高速網(wǎng)絡(luò)中海量流量存儲(chǔ)不可忽視的高復(fù)雜性的困擾，提出了一種新的低速率DDoS攻擊檢測方法(LDDM)，它通過多維草圖結(jié)構(gòu)聚合和壓縮網(wǎng)絡(luò)流，降低了數(shù)據(jù)存儲(chǔ)成本并提高檢測性能；然后，又提出了一種基于daub4小波變換的改進(jìn)行為發(fā)散測量方法，以計(jì)算每個(gè)草圖發(fā)散的能量百分比，該方法在區(qū)分正常流量和攻擊流量方面獲得了有效的結(jié)果；此外，還設(shè)計(jì)了一種改進(jìn)的加權(quán)指數(shù)移動(dòng)平均法來構(gòu)造正常網(wǎng)絡(luò)的動(dòng)態(tài)閾值，同時(shí)提出了一種流量凍結(jié)機(jī)制，以保證動(dòng)態(tài)閾值的標(biāo)準(zhǔn)化。文獻(xiàn)[12]提出采樣率會(huì)影響監(jiān)視器的DDoS檢測率，并且對于相同的采樣率，不同類型流的DDoS檢測率是不同的；統(tǒng)一的采樣率可能不會(huì)產(chǎn)生良好的總體DDoS檢測率；于是作者為不同的流量分配不同的采樣率，并提出了一種基于虛擬機(jī)之間的相似性行為并進(jìn)行虛擬機(jī)分層聚類的流分組方法；然后，為找到的最佳采樣率分布制定了一個(gè)優(yōu)化問題，使用混合整數(shù)線性規(guī)劃對其進(jìn)行了求解。文獻(xiàn)[13]研究了SDN下的DDoS攻擊檢測方法，由于現(xiàn)有DDoS檢測方法的不同局限性包括對網(wǎng)絡(luò)拓?fù)涞囊蕾嚕瑹o法檢測到所有DDoS攻擊，無法滿足過時(shí)和無效的數(shù)據(jù)集以及對強(qiáng)大而昂貴的硬件基礎(chǔ)架構(gòu)的需求，在先前時(shí)段中應(yīng)用靜態(tài)閾值及其對舊數(shù)據(jù)的依賴性降低了它們對新攻擊的靈活性，并增加了攻擊檢測時(shí)間，該作者提出了一種新方法可以檢測SDN中的DDoS攻擊，此方法包括3個(gè)收集器，基于熵的部分和分類部分，通過使用UNB-ISCX、CTU-13和ISOT數(shù)據(jù)集獲得的實(shí)驗(yàn)結(jié)果表明，該方法在SDN中檢測DDoS攻擊的準(zhǔn)確性方面優(yōu)于同類方法。對于流量檢測，時(shí)域檢測法適用于對高速率的DDoS攻擊，但對低速率DDoS攻擊效果不好，而頻域檢測法雖然對低速率DDoS攻擊較為有效，但算法復(fù)雜度高，需要消耗較多的資源對其進(jìn)行分析，這將會(huì)影響工控系統(tǒng)的性能。

圖2 流量檢測流程

2.3 工控系統(tǒng)中DDoS攻擊的緩解

由于完全阻止DDoS攻擊流非常困難，因此目前主要關(guān)注是在檢測到攻擊后如何緩解攻擊，最大限度地保障工控系統(tǒng)正常運(yùn)行。對于來自工控系統(tǒng)外部的DDoS攻擊流，主要采取的是流量過濾技術(shù)，而在內(nèi)部網(wǎng)絡(luò)，SDN技術(shù)可以有效應(yīng)對來自內(nèi)部的DDoS攻擊。

2.3.1 流量過濾

流量過濾技術(shù)的目的是盡量清洗掉攻擊包，同時(shí)最大限度地允許合法包通過。如圖3所示，該方法只要基于地址、特征和異常三種策略實(shí)現(xiàn)過濾。

圖3 流量過濾原理

文獻(xiàn)[14]提出了一種動(dòng)態(tài)網(wǎng)絡(luò)流量管理(DNTM)系統(tǒng)，該系統(tǒng)包含用于ISP的攻擊檢測器、IP優(yōu)先級劃分器、流量管理器和Netflow分類器。IP優(yōu)先級劃分器將IP地址劃分為正常和可疑類別，然后應(yīng)用速率限制算法為合法用戶保證不間斷的服務(wù)并減少網(wǎng)絡(luò)流量阻塞。本文通過部署兩層自組織映射(SOM)來標(biāo)記數(shù)據(jù)，以訓(xùn)練具有不同功能集的三種監(jiān)督算法來對網(wǎng)絡(luò)流量進(jìn)行分類，從而為Netflow分類器提供一種新穎的自我監(jiān)督混合集成方法。我們?yōu)樵撓到y(tǒng)配備了保險(xiǎn)單，一致0和一致1的投票，以便從集成模塊中獲得最終分類結(jié)果，以降低將合法流量誤分類為惡意的可能性。

Internet上資源和激勵(lì)措施的分配不均，使得攻擊者可以利用網(wǎng)絡(luò)協(xié)議的缺陷來破壞其他用戶的訪問請求并獲得最大的資源份額。文獻(xiàn)[15]提出了一種基于貝葉斯博弈論的解決方案，通過對網(wǎng)絡(luò)用戶采用激勵(lì)和定價(jià)規(guī)則，使服務(wù)商能夠最大程度地提高社會(huì)福利。假定服務(wù)提供商和合法用戶可以長時(shí)間觀察網(wǎng)絡(luò)，并獲得有關(guān)其他用戶是否為惡意用戶的概率知識。服務(wù)提供商和合法用戶可以利用次概率知識來修改其行為，以抵消網(wǎng)絡(luò)中存在的惡意用戶?？紤]到這些假設(shè)和事實(shí)，本文提出了貝葉斯定價(jià)和拍賣機(jī)制，以在概率信息證明對合法用戶和服務(wù)提供商有利的不同情況下實(shí)現(xiàn)貝葉斯納什均衡點(diǎn)；還提出了一種信譽(yù)評估和更新機(jī)制，其中考慮了付款和參與參數(shù)來量化用戶的可靠性。

2.3.2 SDN

軟件定義網(wǎng)絡(luò)自被定義以來應(yīng)用廣泛，許多企業(yè)將軟件定義網(wǎng)路引入到工業(yè)網(wǎng)絡(luò)中，用以實(shí)現(xiàn)工業(yè)軟件定義產(chǎn)品功能和生產(chǎn)方式，并提供工業(yè)自動(dòng)化的個(gè)性化定制方案。SDN應(yīng)用于工業(yè)控制系統(tǒng)，為DDoS攻擊的檢測與防御提供了極大的便利。SDN防御DDoS攻擊的核心架構(gòu)如圖4所示。

圖4 SDN防御DDoS架構(gòu)

傳統(tǒng)電網(wǎng)中的信息通信技術(shù)(ICT)環(huán)境使DDoS攻擊的檢測和緩解更具挑戰(zhàn)性，現(xiàn)有的安全技術(shù)，除了其效率外，由于高度分布且動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境，不足以滿足智能電網(wǎng)的安全性。為解決這一類問題，文獻(xiàn)[16]提出基于軟件定義網(wǎng)絡(luò)的DDoS保護(hù)系統(tǒng)(S-DPS)，它通過使用SDN緩解使用輕量級基于Tsallis熵的防御機(jī)制，并提供了早期檢測機(jī)制，可以達(dá)到緩解異常情況的目的。該方法還提供了最佳的防御機(jī)制部署位置，采用了動(dòng)態(tài)閾值機(jī)制使檢測過程使用不斷變化的網(wǎng)絡(luò)狀況。文獻(xiàn)[17]提出了一種使用流量監(jiān)控的新型檢測和緩解SDN控制器中的DDoS攻擊方法。該方法不僅可以利用基于排隊(duì)論的模型優(yōu)勢來評估到達(dá)流和利用魯棒的特征和熵，還可以基于距離的分類準(zhǔn)確地設(shè)計(jì)為從合法數(shù)據(jù)包中檢測惡意數(shù)據(jù)包。

文獻(xiàn)[18]在防御DDoS攻擊的初始階段提出了另一種緩解技術(shù)，使用基于軟件定義網(wǎng)絡(luò)(Software Defined Networking，SDN)的基礎(chǔ)設(shè)施概念來控制DDoS攻擊的傳播，防止其到達(dá)端點(diǎn)防火墻或者其他異常檢測系統(tǒng)。SDN基礎(chǔ)設(shè)施的效率體現(xiàn)在基于軟件分析、本地集中控制、動(dòng)態(tài)流插入等功能上，這些都有助于建立一個(gè)有效的DDoS緩解系統(tǒng)。它也有助于減少網(wǎng)絡(luò)擁塞和防止惡意設(shè)備擴(kuò)大攻擊的服務(wù)器/主機(jī)。通過將網(wǎng)絡(luò)控制與數(shù)據(jù)(轉(zhuǎn)發(fā)信息)隔離開來，以區(qū)分SDN體系結(jié)構(gòu)與傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的工作方式，從而使網(wǎng)絡(luò)控制可以直接編程見圖5?？刂浦悄苡梢粋€(gè)能夠理解整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的集中式控制器負(fù)責(zé)。傳統(tǒng)的路由是通過查找路由表來確定入站數(shù)據(jù)包的目的地，與此不同的是，SDN體系結(jié)構(gòu)能夠在控制器的幫助下動(dòng)態(tài)地操縱網(wǎng)絡(luò)中的流量流或數(shù)據(jù)包流。為了在多個(gè)SDN域之間實(shí)現(xiàn)接口，可以將SDN基礎(chǔ)架構(gòu)擴(kuò)展到SDNi，從而在多個(gè)域的SDN控制器之間實(shí)現(xiàn)信息共享。一個(gè)開放流協(xié)議用于允許由控制器管理的開放流啟用開關(guān)(OF-switch)，且該開關(guān)包含內(nèi)部流表。如果一個(gè)包的流條目出現(xiàn)在OF-switch的流表中，那么它將被正常轉(zhuǎn)發(fā)；否則，則會(huì)被發(fā)送到控制器進(jìn)行進(jìn)一步分析。SDN控制器具有合理的計(jì)算能力來監(jiān)控流量。交通分析可以使用機(jī)器學(xué)習(xí)算法(支持向量機(jī)(SVMs)、高斯混合模型(GMM)、人工神經(jīng)網(wǎng)絡(luò)(ANN))、數(shù)據(jù)庫和任何其他軟件工具實(shí)時(shí)執(zhí)行。

圖5 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)與SDN網(wǎng)絡(luò)架構(gòu)

SDN架構(gòu)中描述了不同類型的DDoS攻擊的緩解方法：①對于基于源的攻擊，可以使用SDN控制器檢測流量中的異常，并對網(wǎng)絡(luò)入口附近的報(bào)文進(jìn)行相應(yīng)的改變。②對于網(wǎng)絡(luò)攻擊，控制器也被稱為網(wǎng)絡(luò)操作系統(tǒng)(NOS)，可以用數(shù)據(jù)包流來控制整個(gè)SDN網(wǎng)絡(luò)的全局。在設(shè)備之間的網(wǎng)絡(luò)流量流中，任何偏離正常行為的動(dòng)作都很容易被控制器檢測到，并采取先發(fā)制人的措施來防止攻擊。③對于涉及從一個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施到另一個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施過渡的跨域攻擊，SDN基礎(chǔ)設(shè)施與傳統(tǒng)IP網(wǎng)絡(luò)并行存在，以交換可達(dá)性信息，并與其他協(xié)作功能一起轉(zhuǎn)發(fā)流量。因此，從地理位置上，物聯(lián)網(wǎng)設(shè)備觸發(fā)的此類攻擊檢測變得有效，也更容易被減輕。對上述DDoS攻擊緩解技術(shù)進(jìn)行比較后，如表1所示。

表1 DDoS緩解技術(shù)的比較

3 結(jié) 語

隨著信息化和工業(yè)化的深度融合，電力工控系統(tǒng)與互聯(lián)網(wǎng)的聯(lián)系增多，導(dǎo)致電力工控系統(tǒng)DDoS攻擊的途徑增多，嚴(yán)重破壞了工控系統(tǒng)的業(yè)務(wù)連續(xù)性，因此有必要針對工控環(huán)境下的DDoS攻擊展開防御研究工作。文中首先分析了電力行業(yè)網(wǎng)絡(luò)面臨的安全威脅，揭示了攻擊者基于這些隱患威脅實(shí)施DDoS攻擊的手段和后果。除了傳統(tǒng)大流量的DDoS攻擊外，面向工控系統(tǒng)的DDoS攻擊也呈現(xiàn)多樣化的特點(diǎn)，新型攻擊層出不窮，因此對工控環(huán)境下的DDoS攻擊進(jìn)行了分類比較十分必要。然后從攻擊防范、攻擊檢測和攻擊緩解3個(gè)層面進(jìn)行了綜述，針對每個(gè)層面的技術(shù)進(jìn)行評估和比較，并探討了當(dāng)前技術(shù)在抗DDoS攻擊的實(shí)踐和部署中存在的局限性。在未來的研究方向上，SDN為緩解DDoS攻擊提供了有效的途徑，由于SDN的用途極為廣泛，因此其自身遭受DDoS攻擊的問題也是未來需要重點(diǎn)關(guān)注的領(lǐng)域。SDN的應(yīng)用層、控制層和基礎(chǔ)設(shè)施層均有可能遭受DDoS攻擊。如果SDN控制器被攻擊，那么攻擊者將很容易地打破SDN架構(gòu)。目前，SDN中DDoS的攻防研究大多從流表中提取一些直觀的特征進(jìn)行檢測，然后通過簡單的丟包方式防御攻擊。從流表緩存建模、超時(shí)機(jī)制、擁塞控制等方面應(yīng)對DDoS攻擊是未來值得深入研究的方向。