劉祥國(guó)，張 營(yíng)，王中龍，杜慧珺，周 佳

（1.國(guó)網(wǎng)山東省電力公司泰安供電公司，山東 泰安 271000；2.國(guó)網(wǎng)山東省電力公司寧陽(yáng)縣供電公司，山東 泰安 271400）

0 引言

隨著我國(guó)電網(wǎng)運(yùn)行網(wǎng)絡(luò)規(guī)模的快速擴(kuò)大，電網(wǎng)系統(tǒng)的用戶數(shù)量不斷增加，電網(wǎng)實(shí)時(shí)運(yùn)行中產(chǎn)生大量有價(jià)值的數(shù)據(jù)。為確保電網(wǎng)數(shù)據(jù)安全，如何開(kāi)展具有內(nèi)生安全效應(yīng)的主動(dòng)安全防護(hù)體系至關(guān)重要［1-4］。

目前，我國(guó)各部門智能電網(wǎng)數(shù)據(jù)的管理水平參差不齊，數(shù)據(jù)資產(chǎn)化存在諸多風(fēng)險(xiǎn)，因此，風(fēng)險(xiǎn)管理成為智能電網(wǎng)數(shù)據(jù)資產(chǎn)化工作推進(jìn)的必要環(huán)節(jié)［5-7］。針對(duì)智能電網(wǎng)數(shù)據(jù)安全，已有研究大多結(jié)合大數(shù)據(jù)技術(shù)，解決數(shù)據(jù)實(shí)時(shí)處理、分析、關(guān)聯(lián)、分類、檢索和還原等問(wèn)題，實(shí)現(xiàn)安全可視分析、多源事件數(shù)據(jù)關(guān)聯(lián)、用戶行為分析等數(shù)據(jù)安全分析功能［8-12］，缺乏對(duì)多類對(duì)象（如用戶、終端、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)等）審計(jì)記錄的關(guān)聯(lián)分析，難以進(jìn)行有效的審計(jì)追蹤，反向追溯到行為人的行為［13-15］。當(dāng)前，新一代信息系統(tǒng)的安全管控對(duì)象為非結(jié)構(gòu)化數(shù)據(jù)，先建立數(shù)據(jù)分類和數(shù)據(jù)分級(jí)的方法，再將種類繁多的數(shù)據(jù)資產(chǎn)依據(jù)制定好的方法設(shè)置級(jí)別，使用不同安全防護(hù)工具在數(shù)據(jù)的各個(gè)傳輸過(guò)程中進(jìn)行防護(hù)，同時(shí)提供相關(guān)安全取證視圖［16-17］，這種分類方法對(duì)結(jié)構(gòu)化數(shù)據(jù)的處理有待進(jìn)一步的優(yōu)化。隨著軟件項(xiàng)目上云成為主流，建立以云計(jì)算環(huán)境為核心的“自然資源云”平臺(tái)，服務(wù)器由傳統(tǒng)的物理機(jī)變成云模式下的虛擬機(jī)。因此，安全防護(hù)也從傳統(tǒng)的防護(hù)模式擴(kuò)展到基于云計(jì)算、移動(dòng)辦公等環(huán)境的具有新特性的防護(hù)體系［18-21］。

針對(duì)上述問(wèn)題，為更好地應(yīng)對(duì)電網(wǎng)在線運(yùn)行平臺(tái)運(yùn)行時(shí)數(shù)據(jù)安全的問(wèn)題，在“輸、變、配”三大類關(guān)鍵系統(tǒng)運(yùn)行中，采用基于運(yùn)行時(shí)攻擊自免疫的技術(shù)，把守護(hù)程序和應(yīng)用程序融為一體。守護(hù)程序進(jìn)行實(shí)時(shí)檢測(cè)和阻斷安全攻擊，確保應(yīng)用程序具備自我免疫和保護(hù)能力。

1 應(yīng)用數(shù)據(jù)防護(hù)系統(tǒng)現(xiàn)狀分析

1.1 共性問(wèn)題分析

為保障電力系統(tǒng)運(yùn)行安全，電網(wǎng)企業(yè)每年都會(huì)組織大量攻防實(shí)戰(zhàn)。針對(duì)現(xiàn)有應(yīng)用數(shù)據(jù)防護(hù)系統(tǒng)存在問(wèn)題，通過(guò)實(shí)驗(yàn)，對(duì)攻擊方和防守方實(shí)際應(yīng)用進(jìn)行分析，總結(jié)為以下4 種共性問(wèn)題。

1）攻擊數(shù)據(jù)訪問(wèn)者追蹤溯源僅能標(biāo)識(shí)網(wǎng)際互聯(lián)協(xié)議（Internet Protocol，IP）。

傳統(tǒng)身份溯源追蹤方式采用用戶注冊(cè)的身份標(biāo)識(shí)號(hào)（Identity Document，ID）、Cookie 和IP 等信息，但就業(yè)務(wù)系統(tǒng)而言，一個(gè)用戶可以注冊(cè)多個(gè)ID，而且攻擊者可以不斷更換IP 地址，僅能對(duì)IP 地址進(jìn)行追溯和攔截，隨著電網(wǎng)企業(yè)數(shù)據(jù)資產(chǎn)互聯(lián)網(wǎng)化，基于IP 的防御策略難以滿足現(xiàn)狀。因此，在不修改業(yè)務(wù)系統(tǒng)源代碼的前提條件下，引入非侵入式軟探針，通過(guò)設(shè)計(jì)實(shí)現(xiàn)瀏覽器指紋追溯模型，解決地址追蹤定位問(wèn)題，具體模型設(shè)計(jì)如圖1 所示。

圖1 瀏覽器指紋追蹤模型Fig.1 Browser fingerprint tracing model

由圖1 可知，用戶訪問(wèn)系統(tǒng)后，Canvas 畫(huà)布獲得瀏覽器指紋，通過(guò)打印預(yù)覽、小型文本和畫(huà)布記錄相似指紋，通過(guò)指紋追蹤算法，分析相似指紋閾值（按照指紋相似度閾值是否大于90%的取值原則），通過(guò)圖像處理引擎給數(shù)據(jù)訪問(wèn)者分配一個(gè)唯一身份指紋ID，最終實(shí)現(xiàn)對(duì)每一個(gè)用戶訪問(wèn)的數(shù)據(jù)追蹤溯源。

2）數(shù)據(jù)庫(kù)加密流量無(wú)法審計(jì)。

數(shù)據(jù)庫(kù)系統(tǒng)采用加密傳輸方式進(jìn)行數(shù)據(jù)交換。然而數(shù)據(jù)庫(kù)安全審計(jì)裝置需通過(guò)流量鏡像方式對(duì)數(shù)據(jù)庫(kù)傳輸內(nèi)容進(jìn)行安全審計(jì)，因此加密流量和數(shù)據(jù)庫(kù)審計(jì)產(chǎn)生互斥性。數(shù)據(jù)庫(kù)審計(jì)裝置在遇到加密流量后無(wú)法審計(jì)數(shù)據(jù)庫(kù)數(shù)據(jù)。因此，設(shè)計(jì)實(shí)現(xiàn)非侵入軟探針技術(shù)方案，通過(guò)字節(jié)碼插樁等技術(shù)在應(yīng)用層對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行安全審計(jì)，同時(shí)提取數(shù)據(jù)請(qǐng)求及真實(shí)的結(jié)構(gòu)化查詢語(yǔ)言（Structured Query Language，SQL）語(yǔ)句、訪問(wèn)頻次和訪問(wèn)時(shí)間元數(shù)據(jù)，對(duì)加密流量實(shí)現(xiàn)審計(jì)應(yīng)用。

3）復(fù)雜的電網(wǎng)數(shù)據(jù)資產(chǎn)運(yùn)行環(huán)境。

電網(wǎng)及下轄各公司面臨的研發(fā)環(huán)境和運(yùn)行環(huán)境不盡相同，被監(jiān)測(cè)目標(biāo)的硬件配置和計(jì)算能力不同，數(shù)據(jù)資產(chǎn)的存在形態(tài)不同，各個(gè)監(jiān)測(cè)點(diǎn)的網(wǎng)絡(luò)環(huán)境不同。針對(duì)復(fù)雜的數(shù)據(jù)資產(chǎn)運(yùn)行環(huán)境，設(shè)計(jì)各個(gè)環(huán)境下的監(jiān)測(cè)Agent 技術(shù)結(jié)構(gòu)、監(jiān)測(cè)策略和部署方案，最終實(shí)現(xiàn)適用于復(fù)雜數(shù)據(jù)資產(chǎn)運(yùn)行環(huán)境的安全監(jiān)測(cè)技術(shù)。

4）新型數(shù)據(jù)攻擊手段檢測(cè)困難。

伴隨著云計(jì)算的普及、新的DevOps 流程的發(fā)展、物聯(lián)網(wǎng)設(shè)備的蔓延、供應(yīng)鏈的復(fù)雜交織以及數(shù)字基建的涌現(xiàn)，新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進(jìn)，有效的威脅檢測(cè)與響應(yīng)能力作為重要的攻防手段，是提升實(shí)戰(zhàn)化對(duì)抗能力的關(guān)鍵因素。

1.2 新型數(shù)據(jù)攻擊的安全挑戰(zhàn)

隨著新型數(shù)據(jù)攻擊手段的更新，諸如鯨釣攻擊、數(shù)據(jù)勒索、零日攻擊、供應(yīng)鏈攻擊等，作為重要的攻防手段，有效的威脅檢測(cè)與響應(yīng)能力是提升實(shí)戰(zhàn)化對(duì)抗能力的關(guān)鍵因素。針對(duì)新興的、嚴(yán)峻的威脅攻擊手段，電網(wǎng)公司面臨如下安全挑戰(zhàn)。

一是新型攻擊手段難以發(fā)現(xiàn)。由于國(guó)家電網(wǎng)很多在線運(yùn)行系統(tǒng)暴露在互聯(lián)網(wǎng)之外，現(xiàn)有新型攻擊手段多數(shù)能繞過(guò)防火墻、殺毒軟件等傳統(tǒng)安全檢測(cè)設(shè)備，僅沿用過(guò)去的防御手段，將產(chǎn)生防護(hù)盲區(qū)和漏洞。

二是攻擊鏈難以回溯。通常，安全團(tuán)隊(duì)能夠發(fā)現(xiàn)內(nèi)部（或橫向）異常，但是難以完整地復(fù)現(xiàn)整個(gè)攻擊過(guò)程，包括攻擊如何產(chǎn)生、如何進(jìn)入、控制對(duì)象、橫向內(nèi)部攻擊對(duì)象等信息。由于無(wú)法還原整個(gè)攻擊鏈，導(dǎo)致數(shù)據(jù)安全維護(hù)人員不能掌握整個(gè)攻擊的發(fā)展趨勢(shì)，在后續(xù)的防御中比較被動(dòng)。

三是攻擊者信息難以溯源。安全防守方對(duì)攻擊誘發(fā)因素難以掌握和攻擊者的背景等信息，安全運(yùn)維人員面臨巨大的挑戰(zhàn)。

綜上所述，在面對(duì)高可疑攻擊行為時(shí)，對(duì)抗的關(guān)鍵點(diǎn)在于怎樣去快速驗(yàn)證、研判以及擴(kuò)線分析。防守方取勝的要訣是在程序執(zhí)行期間，使程序能夠自我監(jiān)控和識(shí)別有害的輸入行為，能夠自主進(jìn)行病毒免疫和防護(hù)。

2 RASP應(yīng)用技術(shù)原理分析

在攻防演練實(shí)踐中，防守方一般在訪問(wèn)數(shù)據(jù)庫(kù)SQL 應(yīng)用的系統(tǒng)中植入監(jiān)控代碼，監(jiān)測(cè)程序運(yùn)行時(shí)的動(dòng)態(tài)信息和所有的數(shù)據(jù)庫(kù)請(qǐng)求，甄別有效請(qǐng)求和非法請(qǐng)求，實(shí)現(xiàn)自免疫的能力，保護(hù)系統(tǒng)運(yùn)行安全，及時(shí)處置異常請(qǐng)求和有害攻擊。以下就防守中的運(yùn)行時(shí)攻擊自免疫技術(shù)（Runtime Application Self Protection，RASP）技術(shù)應(yīng)用及相關(guān)算法實(shí)現(xiàn)原理進(jìn)行闡述。

2.1 非侵入式軟探針安全防護(hù)技術(shù)

通過(guò)研發(fā)基于字節(jié)碼插樁的非侵入式軟探針技術(shù)，可實(shí)現(xiàn)對(duì)終端設(shè)備指紋追蹤和訪問(wèn)請(qǐng)求元數(shù)據(jù)捕獲。用于發(fā)現(xiàn)電網(wǎng)數(shù)據(jù)在形成資產(chǎn)的過(guò)程中產(chǎn)生的威脅情報(bào)，以增強(qiáng)對(duì)整個(gè)系統(tǒng)安全運(yùn)維的防護(hù)。基于字節(jié)碼插樁的非侵入式軟探針程序插樁流程如圖2 所示。

圖2 基于字節(jié)碼插樁的非侵入式軟探針程序插樁流程Fig.2 Non-intrusive soft probe program instrumentation process based on bytecode instrumentation

由圖2 可知，通過(guò)判斷源程序是否為空后，通過(guò)行號(hào)遍歷信息檢索（Information Retrieval，IR）后進(jìn)行判斷改行的語(yǔ)句類型。在3 類插樁流程中，插樁規(guī)則1 為待插樁方法的集合，對(duì)Java 和Servlet 基礎(chǔ)類庫(kù)進(jìn)行分析后，提取出的與污點(diǎn)傳播相關(guān)的方法。插樁1 基于可達(dá)方法集合和待插樁方法集合的交集，利用轉(zhuǎn)換包（Jimple Transform Pack，JTP）過(guò)程對(duì)JIMPLE 進(jìn)行動(dòng)態(tài)插樁。插樁規(guī)則2 為進(jìn)行污點(diǎn)分析，包括污點(diǎn)傳播策略設(shè)計(jì)、污點(diǎn)路徑跟蹤、污點(diǎn)檢查與驗(yàn)證，根據(jù)條件覆蓋率等規(guī)則算法形成污點(diǎn)傳播分析方法庫(kù)，將污點(diǎn)傳播分析方法庫(kù)和插樁后的應(yīng)用程序進(jìn)行鏈接后形成可跟蹤污點(diǎn)傳播的可執(zhí)行程序。插樁規(guī)則3 為插樁源判斷，用于待插樁文件是否為空的判定，決定下一步是否啟動(dòng)判定。

非侵入式軟探針插樁技術(shù)可以實(shí)現(xiàn)從宏觀到微觀過(guò)程中風(fēng)險(xiǎn)數(shù)據(jù)的可視化呈現(xiàn)，并輔助分析決策，從而有效增強(qiáng)新形勢(shì)下互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)基礎(chǔ)，提高系統(tǒng)安全狀況的認(rèn)知能力，使數(shù)據(jù)防御從被動(dòng)預(yù)防轉(zhuǎn)為主動(dòng)式預(yù)防，實(shí)現(xiàn)系統(tǒng)安全防御能力可視化，并建立警示、通報(bào)、應(yīng)對(duì)的工作流閉環(huán)，有效保障應(yīng)用業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全。

2.2 基于行為畫(huà)像的數(shù)據(jù)安全防御技術(shù)

在電網(wǎng)系統(tǒng)的運(yùn)行過(guò)程中，主要有以下幾種網(wǎng)絡(luò)訪問(wèn)類型：電力專網(wǎng)、電力內(nèi)網(wǎng)、互聯(lián)網(wǎng)、虛擬專網(wǎng)（Virtual Private Network，VPN）虛擬網(wǎng)絡(luò)訪問(wèn)。所提基于行為畫(huà)像的數(shù)據(jù)安全防御技術(shù)是針對(duì)安全數(shù)據(jù)收集、處理、存儲(chǔ)、外部接口（Application Programming Interface，API）以及挖掘?yàn)槎嗑S一體的異常檢測(cè)模型。在系統(tǒng)運(yùn)行中，安全防御整體系統(tǒng)設(shè)計(jì)如圖3所示。

圖3 安全防御整體架構(gòu)設(shè)計(jì)Fig.3 Design of overall security defense architecture

實(shí)踐中常使用多種安全工具，模擬生物體自免疫的原理。從信息獲取層，安全大數(shù)據(jù)而分析層，到功能展示層的三層設(shè)計(jì)。從數(shù)據(jù)訪問(wèn)請(qǐng)求層開(kāi)始，收集終端指紋分析，發(fā)現(xiàn)業(yè)務(wù)威脅情報(bào)，最終模擬實(shí)現(xiàn)人體從病毒輸入，分辨有害病體，人體免疫系統(tǒng)介入，產(chǎn)生抗體，吞噬處理有害病毒的這一過(guò)程，有效保護(hù)了生物體的健康。

2.3 多維度特征提取分析

根據(jù)電網(wǎng)實(shí)踐中，對(duì)異常用戶幾種主要異常操作數(shù)據(jù)，按照不同維度來(lái)分片統(tǒng)計(jì)，如表1 所示。

表1 用戶異常行為特征Table 1 Abnormal user behavior characteristics

根據(jù)表1 可知，通過(guò)6 類用戶的異常操作類型，可以得到不同的用戶異常行為判定，可以從多維度分析該部分用戶輸入數(shù)據(jù)的特征，得到對(duì)用戶的異常預(yù)警，辨別正常行為與非正常行為（內(nèi)部攻擊/外部攻擊），保障系統(tǒng)的安全運(yùn)行。

3 攻防演練分析

基于所提模型和算法進(jìn)行攻防演練，一次攻防演練后電網(wǎng)數(shù)據(jù)安全防御系統(tǒng)攻擊統(tǒng)計(jì)結(jié)果如圖4所示。

圖4 一次攻防演練后的攻擊統(tǒng)計(jì)分類Fig.4 Statistical classification of attacks after an attack and defense drill

由圖4 可知，在電網(wǎng)數(shù)據(jù)安全防御系統(tǒng)中，從數(shù)據(jù)審計(jì)記錄、終端指紋威脅統(tǒng)計(jì)、攻擊告警、終端IP威脅統(tǒng)計(jì)、登錄賬號(hào)威脅統(tǒng)計(jì)、威脅分布、威脅趨勢(shì)等多個(gè)維度對(duì)實(shí)時(shí)系統(tǒng)進(jìn)行監(jiān)控和預(yù)警，以應(yīng)對(duì)諸如SQL 注入、違規(guī)操作、數(shù)據(jù)泄露、指紋偽造等攻擊手段。通過(guò)攻防演練分析后得出電網(wǎng)數(shù)據(jù)安全防御系統(tǒng)具備如下能力。

1）身份追蹤機(jī)制能力。通過(guò)軟探針?lè)绞皆诓桓淖冺?yè)面源代碼的情況下實(shí)現(xiàn)，利用多維指紋獲取技術(shù)實(shí)現(xiàn)所有訪問(wèn)數(shù)據(jù)的訪問(wèn)者終端設(shè)備分配唯一身份令牌作為用戶標(biāo)記。如數(shù)據(jù)訪問(wèn)者通過(guò)web 方式訪問(wèn)數(shù)據(jù)庫(kù)，可將訪問(wèn)者的請(qǐng)求轉(zhuǎn)換為完整的SQL語(yǔ)句，為下一步數(shù)據(jù)防護(hù)審計(jì)和黑客攻擊行為分析提供元數(shù)據(jù)。

2）SQL 數(shù)據(jù)審計(jì)能力。通過(guò)SQL 語(yǔ)義分析技術(shù)實(shí)現(xiàn)低誤報(bào)的數(shù)據(jù)審計(jì)，每一個(gè)防護(hù)的數(shù)據(jù)平臺(tái)安全策略都智能量身定制，有效防范SQL 注入、拖庫(kù)和撞庫(kù)等數(shù)據(jù)庫(kù)攻擊行為。通過(guò)對(duì)數(shù)據(jù)庫(kù)本機(jī)操作行為的捕獲并解析，實(shí)現(xiàn)應(yīng)用與數(shù)據(jù)庫(kù)的同機(jī)審計(jì)。為使數(shù)據(jù)庫(kù)的訪問(wèn)行為有效定位到業(yè)務(wù)工作人員，可以通過(guò)SQL 行為與業(yè)務(wù)用戶的準(zhǔn)確關(guān)聯(lián)分析，使基于風(fēng)險(xiǎn)、語(yǔ)句、會(huì)話、客戶端、應(yīng)用端、響應(yīng)時(shí)長(zhǎng)、應(yīng)答結(jié)果等可以溯源和定責(zé)。

3）行為畫(huà)像分析能力。利用大數(shù)據(jù)分析技術(shù)檢測(cè)數(shù)據(jù)訪問(wèn)中潛在的異常行為，在整個(gè)數(shù)據(jù)保護(hù)生命周期中具備更深層次的分析和挖掘。其中部分功能還結(jié)合了機(jī)器學(xué)習(xí)智能分析的方法，可以通過(guò)對(duì)正常用戶和惡意黑客行為分析進(jìn)行動(dòng)態(tài)的判斷，彌補(bǔ)傳統(tǒng)的數(shù)據(jù)安全防護(hù)方案不能對(duì)刷單、撞庫(kù)和薅羊毛等新型數(shù)據(jù)攻擊進(jìn)行防御缺陷。

4）協(xié)同防御自免疫能力。以全網(wǎng)聯(lián)動(dòng)的云情報(bào)中心為核心的協(xié)同防御策略。將攻擊者身份令牌作為阻斷標(biāo)識(shí)，當(dāng)攻擊者攻擊A 數(shù)據(jù)庫(kù)時(shí)，自動(dòng)記錄攻擊者唯一身份令牌并上報(bào)云情報(bào)中心。當(dāng)數(shù)據(jù)訪問(wèn)者訪問(wèn)B 數(shù)據(jù)庫(kù)時(shí)，B 數(shù)據(jù)庫(kù)與云情報(bào)中心聯(lián)動(dòng)比對(duì)訪問(wèn)者唯一身份令牌是否在云情報(bào)中心的黑名單中，如存在進(jìn)行阻斷形成協(xié)同防御，最終實(shí)現(xiàn)自免疫能力。

由于RASP 技術(shù)是直接部署在系統(tǒng)中間件（Tomcat、weblogic 等）中，在應(yīng)用程序接收請(qǐng)求之前對(duì)請(qǐng)求進(jìn)行過(guò)濾和分析，規(guī)避安全風(fēng)險(xiǎn)。應(yīng)用程序無(wú)須進(jìn)行任何開(kāi)發(fā)方面的修改，只需要進(jìn)行簡(jiǎn)單的配置即可，且具備實(shí)時(shí)檢測(cè)和攔截風(fēng)險(xiǎn)，因此對(duì)CPU（Central Processing Unit）性能有一定損耗，進(jìn)而影響用戶的流暢體驗(yàn)，因此需要采用高性能并行計(jì)算處理器部署RASP 技術(shù)。

4 結(jié)束語(yǔ)

為應(yīng)對(duì)越來(lái)越嚴(yán)峻的新型數(shù)據(jù)攻擊手段帶來(lái)的安全挑戰(zhàn)和減少日新月異的網(wǎng)絡(luò)安全攻擊事件帶來(lái)的損失，提出基于運(yùn)行時(shí)攻擊自免疫技術(shù)的電網(wǎng)數(shù)據(jù)安全防御系統(tǒng)。通過(guò)RSAP 技術(shù)在電網(wǎng)數(shù)據(jù)安全防御系統(tǒng)的實(shí)踐，能有效自我監(jiān)控和識(shí)別有害的輸入行為，實(shí)現(xiàn)自主進(jìn)行病毒免疫、預(yù)警和自我防護(hù)的機(jī)制，提高電網(wǎng)“輸、變、配”三大類系統(tǒng)在線運(yùn)行系統(tǒng)的安全水平，確保電網(wǎng)數(shù)據(jù)安全。