南瑞继保电气公司研究团队提出电力监控系统实时DDoS攻击检测方法
南瑞继保电气公司研究团队提出电力监控系统实时DDoS攻击检测方法
近年来,电力信息安全事故频发,电力作为关乎国计民生的重要基础设施,一直以来都是网络攻击的重点对象,极易成为网络战的首要目标。乌克兰大停电事故也进一步印证了网络攻击已成为破坏电力等国家关键基础设施的新型武器。
电力监控系统的信息安全建设,已经从原来的只考虑网络边界的“十六字方针”(横向隔离、纵向认证、安全分区、网络专用)过渡到电力监控系统内部。尽管电力监控系统采用专网专用的形式,但是监控专用网络中一旦有设备或计算机被黑客攻陷,极易在专用网络环境下传播,导致产生网络安全问题。
在轨道交通网络信息系统、配电网自动化通信系统和直流控制保护系统中均存在较复杂的网络安全问题。其中,特别是分布式拒绝服务(distributed denial-of-service, DDoS)攻击带来的危害不可小觑,DDoS攻击的主要目的是消耗攻击目标的计算资源,令网络服务在一段时间内不可被访问,致使服务瘫痪,在电力监控系统中则会导致重要设备如监控后台无法及时响应控制命令,发生严重电力安全事故。
DDoS攻击流量大、范围广、造成的损失大,已经严重威胁电力系统网络的安全,因此,如何使用较少的资源实时准确地检测出DDoS攻击是目前一个亟待解决的问题。
本文基于准确性和实时性要求,提出一种基于防火墙装置的软硬件结合的实时DDoS攻击检测方法,硬件负责采集数据,软件负责检测和分析,软硬件各司其职,大大提升了电力监控系统内DDoS攻击检测的准确性和实时性。
1 相关研究
国内外针对DDoS攻击检测的研究有很多,在电力监控系统网络环境和互联网环境下,也有很多方法来检测DDoS攻击。但是,相关文献的所提方法较少用于电力监控系统内部。因为这些方法要么计算量太大导致无法做到实时性,要么可以实时检测但是准确率较低,无法满足电力系统对攻击检测的实时性和准确性要求。
本文基于电力监控系统专用防火墙装置,该装置用于电力监控系统内网络报文过滤,采用多核CPU作核心处理,同时辅以现场可编程门阵列(field programmable gate array, FPGA),两者互相配合,以便实现特定的功能。由于CPU与FPGA的结合,防火墙装置可以同时编写软硬件程序,控制其对报文的处理,实现可编程功能。
因此,本文在防火墙装置中编写软件代码,在FPGA中运行硬件程序,软件代码可以通过对应的应用程序接口(application programming interface, API)读取相应的硬件计数器,可以较为方便地在该平台上实现软硬件的配合,收发并分析报文,以及配置规则等,电力监控系统专用防火墙装置提供了硬件基础,可以实现实时DDoS攻击检测。
2 软硬件结合的DDoS攻击检测方法
2.1 基于FPGA的实时数据采集模块
在对DDoS攻击的检测中,实时数据采集比较影响网络性能,容易造成网络堵塞,影响防火墙装置的正常转发,因此采用硬件方式实时感知网络状态。经过对DDoS攻击的调研可知,攻击过程中一般会在短时间内有大量不同的源端访问同一个目的机器,而目的机器无法处理大量的请求,从而导致拒绝服务。
这样在链路上可以看到接收的报文数远大于发出的报文数,会出现收发数量不对等和流量激增等特征,利用这样的特征可以通过对FPGA编程,从硬件层面上获取网络链路状态值,同时将数据保存在寄存器中,便于软件程序读取硬件计数器,以最小的资源代价提前感知网络异常状态。
实时采集模块基于FPGA的可编程特性,将流经防火墙的报文在经过简单的计算后保存在相应的计数器中,用户空间的软件可以通过硬件API获取实时采集的数据。报文在被FPGA捕获到后,首先解析用户定义的关键字信息,随后根据关键字提取报文中的相应值,然后通过查表模块将获取的值更新到对应的硬件寄存器中,最后报文由自定义动作模块转发到目的地址,硬件原理框图如图1所示。
图1 硬件原理框图
为了减少软件和硬件之间的交互时间,本文在收集消息特征时使用字节速率来帮助实现实时攻击预测。一般来说,正常流中的字节率会比较稳定。当主机受到DDoS攻击时,字节率的差异会在短时间内急剧增加,在统计上呈现出一定的突变。
本文基于滑动窗口法进行DDoS攻击检测预判,通过计算相邻时间段内的状态及状态的变化量推算是否产生异常。采取该方法以窗口的形式计算网络中的字节速率,判断电力监控系统网络环境是否稳定无突变等。
2)数据集处理
为达到最佳训练效果,本文选用CICIDS2017数据集,该数据集由标记的网络流组成,包括完整的数据包pcap文件和进行过标记的CSV文件等。
本文首先从数据集中提取与DDoS攻击相关的报文和相应的CSV文件,根据已知的DDoS攻击的发生时间和攻击者与受害者IP等信息,对不同的记录进行标记,将正常记录标记为0,DDoS攻击记录标记为1,提取出正常记录约9.0万条,攻击记录约13.0万条,共约22.0万条。
随后对数据集进行随机划分,按照9:1的比例将数据集划分为训练数据集和测试数据集,数据集划分结果见表1。
表1 数据集划分结果
3)特征选择与分类器
特征选择指的是在特征向量中选择出那些优秀的特征,组成新的、更精简的特征向量的过程。它在高维数据分析中十分常用,可以剔除冗余和无关的特征,提升分类器的性能。
本文在选择特征时基于协议分析和流量模型分析等两大类方法,泛化性较好。本文采用封装的特征选择方法,其核心思想是将子集的选择视为一个搜索优化问题,生成不同的组合,对这些组合进行评估,并与其他组合进行比较。
在特征选择的过程中,采用的具体算法为递归消除特征法。首先随机构建模型,然后选出最差的特征,把选出来的特征剔除,在剩余的特征中重复这个过程,直至遍历完所有的特征值。该特征选择法使用比较简单,可以面向分类器算法进行优化,但由于存在庞大的搜索空间,因此可能具有不稳定性,需要通过知识储备预先定义启发式策略,因此本文在选择特征的过程中,同时考虑了Karimazad的建议,最终选择表2中的11个特征值进行DDoS
表2 DDoS攻击检测算法特征值
本文选取支持向量机(support vector machine, SVM)分类算法,利用支持向量机建立的分类器能够同时最小化经验误差与最大化几何边缘区,提高查准率和查全率。软件选择开源的支持向量机的库LibSVM。
2.3 软硬件结合的DDoS攻击检测原型系统
为验证所提的DDoS攻击检测算法能够低能耗、高准确率地检测出DDoS攻击,在电力监控系统防火墙装置中编写软硬件代码,根据2.1节和2.2节中的算法实现了DDoS攻击检测原型系统,原型系统运行在该防火墙上。
3 实验与分析
3.1 实验环境
采用变电站网络交换机作为网络交换设备,电力系统专用防火墙中安装DDoS攻击检测原型系统,PC作为终端,针对服务器进行DDoS攻击检测实验。所有机器均直接或间接地连接在变电站网络交换机上,彼此可以互相访问,其中服务器与PC之间安装有电力监控系统防火墙。实验拓扑如图3所示。
在PC1和PC2上,运行DDoS攻击流量产生软件Hyenae,用于模拟对服务器进行DDoS攻击,PC和服务器上均运行变电站站内通信常用程序等以模拟正常流量。PC2除了运行以上程序外,还用作电力监控系统防火墙的控制器,用于配置流表、下发规则、离线训练分类器、下发分类器模型及控制DDoS攻击产生器等。在电力监控系统防火墙中,运行2.3节中实现的软硬件结合的DDoS攻击检测原型系统。
图2 原型系统流程
图3 实验拓扑
3.2 实验内容
首先通过Hyenae程序产生大量的正常流量和TCP、UDP、ICMP等攻击流量,在防火墙中采集报文,每隔单位时间汇总至控制器处,本次数据采集共运行2天,每一种类型(Normal、TCP、UDP、ICMP)各24h,每隔2s采集一次数据,共采集17.28万条数据,然后在控制器上训练SVM分类器,并采用Radial Basis核函数进行验证。训练完成后控制器将分类模型更新至电力监控系统防火墙装置的配置中。
实验开始后,在两台机器之间正常通信,将某电力监控系统站内报文进行还原和重放,分类结果一直显示为0(即没有攻击产生),在Hyenae产生攻击流量(TCP SYN Flood)后,分类结果显示为1(即有TCP SYN Flood攻击),当调整DDoS攻击类型后,如进行UDP Flood攻击时,电力监控系统防火墙装置中的分类程序显示结果为相应的代码。
3.3 实验结果分析
表4 不同攻击检测算法的准确率对比
图4 防火墙装置的资源使用率
4 结论
由于电力监控系统防火墙装置可以从硬件层面提供大多数特征值,因而大大减少了计算量,达到实时检测的效果,且准确率较高。实验表明,本文所提方法可以有效地进行实时DDoS攻击检测。
本文编自2022年第2期《电气技术》,论文标题为“电力监控系统实时DDoS攻击检测方法”,作者为缪海飞、曹翔 等。
