協(xié)議異常檢測(cè)技術(shù)在核電廠實(shí)時(shí)信息系統(tǒng)中的應(yīng)用

Application of Protocol Anomaly Detection Technology

in Real Time Information System of Nuclear Power Plant

趙　靜1　谷鵬飛2　延　霞1　孫永濱2

(深圳信息職業(yè)技術(shù)學(xué)院1，深圳　518029;深圳中廣核工程設(shè)計(jì)有限公司2，深圳　518124)

協(xié)議異常檢測(cè)技術(shù)在核電廠實(shí)時(shí)信息系統(tǒng)中的應(yīng)用

Application of Protocol Anomaly Detection Technology

in Real Time Information System of Nuclear Power Plant

趙靜1谷鵬飛2延霞1孫永濱2

(深圳信息職業(yè)技術(shù)學(xué)院1，深圳518029;深圳中廣核工程設(shè)計(jì)有限公司2，深圳518124)

摘要：網(wǎng)絡(luò)安全是當(dāng)前人人關(guān)注的焦點(diǎn)問(wèn)題，入侵檢測(cè)技術(shù)因具有主動(dòng)防御特性而成為研究重點(diǎn)。針對(duì)核電廠實(shí)時(shí)信息系統(tǒng)建立協(xié)議異常檢測(cè)系統(tǒng)，實(shí)現(xiàn)結(jié)合網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)移和頻率特性的檢測(cè)算法，并從系統(tǒng)部署、運(yùn)行流程等方面介紹系統(tǒng)的功能。運(yùn)行結(jié)果表明,此系統(tǒng)能夠有效檢測(cè)入侵。

關(guān)鍵詞：網(wǎng)絡(luò)安全入侵檢測(cè)異常檢測(cè)協(xié)議異常檢測(cè)核電廠

Abstract：The network security status of the real time information system in nuclear power plant is investigated, and the current status of unitary safety means is reported. In accordance with the transfer and frequency characteristics of network data, the detection algorithm which combines both characteristics is proposed, and the protocol anomaly detection system is established. The functions of system are introduced from the aspects of system deployment, running processes, etc. The result of operation indicates that this system can effectively detect intrusion.

Keywords：Network securityIntrusion detectionAnomaly detectionProtocol anomaly detectionNuclear power plant

0引言

隨著網(wǎng)絡(luò)安全問(wèn)題的日益嚴(yán)重，入侵檢測(cè)已成為保護(hù)信息安全的重要手段。異常檢測(cè)是入侵檢測(cè)技術(shù)[1-2]方法之一，它根據(jù)用戶或系統(tǒng)的正常程度來(lái)判定入侵[3]，可以檢測(cè)到變種的和新的攻擊。協(xié)議異常檢測(cè)可看作異常檢測(cè)的一個(gè)特例，因?yàn)樗械木W(wǎng)絡(luò)活動(dòng)都應(yīng)遵循網(wǎng)絡(luò)通信協(xié)議的規(guī)定，所以當(dāng)出現(xiàn)違反網(wǎng)絡(luò)通信協(xié)議的行為時(shí)就極可能是入侵活動(dòng)。

在2011年日本福島核事故發(fā)生后，確保核電安全是我國(guó)的一項(xiàng)重要國(guó)策。隨著數(shù)字化技術(shù)和信息技術(shù)的推廣和發(fā)展，核電企業(yè)日常辦公和生產(chǎn)運(yùn)行已離不開(kāi)網(wǎng)絡(luò)。但是簡(jiǎn)單的安全防護(hù)手段，如防火墻和殺毒軟件，已不能滿足核電企業(yè)對(duì)網(wǎng)絡(luò)安全的特殊需求。

核電廠實(shí)時(shí)信息監(jiān)控系統(tǒng)(KNS)采用三層網(wǎng)絡(luò)架構(gòu)，作為核電廠的實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)的傳輸和應(yīng)用平臺(tái)，它連接底層控制系統(tǒng)，同時(shí)向管理信息系統(tǒng)網(wǎng)輸出數(shù)據(jù)，因此，保障KNS的安全至關(guān)重要。當(dāng)前防護(hù)KNS系統(tǒng)的安全方法單一，僅包括設(shè)立防病毒服務(wù)器、更新病毒庫(kù)、配有專門的安全人員等手段，并沒(méi)有針對(duì)KNS系統(tǒng)進(jìn)行細(xì)致的網(wǎng)絡(luò)區(qū)域劃分，并對(duì)不同區(qū)域建立相應(yīng)的安全防護(hù)體系。

本文針對(duì)核電廠生產(chǎn)運(yùn)行的特定環(huán)境，將協(xié)議異常檢測(cè)技術(shù)應(yīng)用于KNS系統(tǒng)，建立了協(xié)議異常檢測(cè)系統(tǒng)。

本文的結(jié)構(gòu)如下：在第二部分介紹結(jié)合轉(zhuǎn)移和頻率特性的協(xié)議異常檢測(cè)算法；第三部分介紹系統(tǒng)的運(yùn)行流程；第四部分展示系統(tǒng)的運(yùn)行效果；最后，給出總結(jié)和未來(lái)的研究方向。

1協(xié)議異常檢測(cè)算法

目前用于入侵檢測(cè)的數(shù)據(jù)主要包括網(wǎng)絡(luò)數(shù)據(jù)、用戶行為數(shù)據(jù)和系統(tǒng)調(diào)用數(shù)據(jù)。這些數(shù)據(jù)具有3種統(tǒng)計(jì)特性：轉(zhuǎn)移特性、頻率特性和關(guān)聯(lián)特性[4]。轉(zhuǎn)移特性描述數(shù)據(jù)特征之間的轉(zhuǎn)移關(guān)系，適用于基于主機(jī)的入侵檢測(cè)，通過(guò)建立隱馬爾科夫模型(hidden Markov model,HMM)[5-6]或馬爾科夫模型[7-8]進(jìn)行檢測(cè)。頻率特性描述數(shù)據(jù)特征的分布特點(diǎn)，通過(guò)研究分布特點(diǎn)進(jìn)行入侵檢測(cè)。關(guān)聯(lián)特性同時(shí)在時(shí)間上和空間上對(duì)事件進(jìn)行關(guān)聯(lián)。本文首先根據(jù)數(shù)據(jù)包標(biāo)志位的轉(zhuǎn)移特性建立HMM，并根據(jù)頻率特性建立支持向量機(jī)(support vector machine,SVM)，進(jìn)行協(xié)議異常檢測(cè)。試驗(yàn)結(jié)果表明，這種方法比單一的考慮轉(zhuǎn)移特性或頻率特性的方法檢測(cè)效果好[9]。

1.1　標(biāo)志位的轉(zhuǎn)移特性

FTP協(xié)議的狀態(tài)轉(zhuǎn)移圖如圖1所示，描述了各個(gè)數(shù)據(jù)包標(biāo)志位之間的轉(zhuǎn)移特性。狀態(tài)轉(zhuǎn)移圖中的每個(gè)狀態(tài)代表協(xié)議連接的某一步，狀態(tài)的轉(zhuǎn)移是在一定的條件下按照特定的順序發(fā)生的，不符合的狀態(tài)轉(zhuǎn)移就可能是攻擊行為。我們根據(jù)這些狀態(tài)的轉(zhuǎn)移特性構(gòu)造HMM檢測(cè)模型[9]。

圖1　FTP協(xié)議的狀態(tài)轉(zhuǎn)移圖

1.2　標(biāo)志位的頻率特性

通過(guò)TCP的標(biāo)志位可以確定協(xié)議在連接開(kāi)始時(shí)、結(jié)束時(shí)的相關(guān)標(biāo)志信息，進(jìn)而判斷在完整的連接過(guò)程中，6種標(biāo)志的頻率特性是有規(guī)律的。以FTP協(xié)議連接為例：連接開(kāi)始時(shí)對(duì)應(yīng)標(biāo)志位為SYN→SYN+ACK→ACK，連接斷開(kāi)時(shí)對(duì)應(yīng)的標(biāo)志位為FIN+ACK→ACK→FIN+ACK→ACK，中間狀態(tài)的轉(zhuǎn)換代表兩臺(tái)主機(jī)的數(shù)據(jù)傳輸。因此，可以通過(guò)檢測(cè)標(biāo)志位的頻率特性，從正常的頻率分布中找出異常的頻率分布，具體過(guò)程見(jiàn)文獻(xiàn)[9]。

2系統(tǒng)運(yùn)行流程

系統(tǒng)的運(yùn)行流程如圖2所示。

圖2　運(yùn)行流程圖

根據(jù)文獻(xiàn)[9]提出的檢測(cè)算法，結(jié)合KNS的運(yùn)行環(huán)境，建立了協(xié)議異常檢測(cè)系統(tǒng)。受邊界條件的限制，該系統(tǒng)暫時(shí)只檢測(cè)FTP、HTTP和SSH協(xié)議的數(shù)據(jù)，重點(diǎn)驗(yàn)證了方案的可行性。當(dāng)系統(tǒng)初始運(yùn)行時(shí)，需要在網(wǎng)絡(luò)上觀察并學(xué)習(xí)一段時(shí)間，建立系統(tǒng)中HMM和SVM檢測(cè)模型以及狀態(tài)模式庫(kù)。我們采用攻擊工具發(fā)起攻擊，通過(guò)系統(tǒng)運(yùn)行結(jié)果驗(yàn)證系統(tǒng)功能。

系統(tǒng)使用C#實(shí)現(xiàn)。我們使用了與libsvm缺省參數(shù)相同的參數(shù)，滑動(dòng)窗口的大小設(shè)為6，狀態(tài)模式庫(kù)容量為500。

3運(yùn)行效果

本節(jié)給出協(xié)議異常檢測(cè)系統(tǒng)的運(yùn)行結(jié)果，系統(tǒng)暫時(shí)只包括FTP、HTTP和SSH協(xié)議的檢測(cè)，并以FTP協(xié)議為例給出具體的運(yùn)行界面和檢測(cè)結(jié)果。

在協(xié)議異常檢測(cè)系統(tǒng)初始運(yùn)行時(shí)的主界面中設(shè)有以下參數(shù)：設(shè)定閾值為0.6，所有偏離度小于0.6的數(shù)據(jù)認(rèn)為是異常；設(shè)定狀態(tài)模式庫(kù)容量為500。統(tǒng)計(jì)信息給出了系統(tǒng)運(yùn)行后檢測(cè)到異常數(shù)據(jù)的一些統(tǒng)計(jì)信息，包括異常數(shù)據(jù)總數(shù)、FTP異常數(shù)據(jù)總數(shù)、HTTP異常數(shù)據(jù)總數(shù)、SSH異常數(shù)據(jù)總數(shù)、源IP地址、目的IP地址。協(xié)議流量趨勢(shì)給出了檢測(cè)的數(shù)據(jù)中各種協(xié)議所占的百分比。

在FTP協(xié)議的界面中設(shè)置了“隱馬爾科夫模型的狀態(tài)”，允許修改狀態(tài)值。這是因?yàn)槲覀兪歉鶕?jù)RFC草案來(lái)設(shè)定FTP檢測(cè)模型的參數(shù)。如果局域網(wǎng)中存在一些沒(méi)有嚴(yán)格遵守RFC中協(xié)議規(guī)定的軟件應(yīng)用程序，該選項(xiàng)可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境設(shè)定增加或減少狀態(tài)值。“狀態(tài)數(shù)據(jù)庫(kù)”列出當(dāng)前FTP協(xié)議的狀態(tài)數(shù)據(jù)庫(kù)中的內(nèi)容，這是由Viterbi算法推導(dǎo)出來(lái)的最優(yōu)狀態(tài)序列。點(diǎn)擊“查看”按鈕，可以修改狀態(tài)數(shù)據(jù)庫(kù)。還可以增加或刪除狀態(tài)數(shù)據(jù)庫(kù)中的短序列“異常數(shù)據(jù)”中列出違反FTP協(xié)議的異常數(shù)據(jù)，并給出這些異常數(shù)據(jù)的統(tǒng)計(jì)信息，包括源地址、目的地址、端口號(hào)、發(fā)生時(shí)間、異常數(shù)據(jù)對(duì)應(yīng)的偏離度。其中偏離度是數(shù)據(jù)中被模型判斷為異常連接的數(shù)目與連接總數(shù)的比值。系統(tǒng)計(jì)算每條數(shù)據(jù)的偏離度，如果偏離度大于閾值，則為正常數(shù)據(jù)，小于閾值則為異常數(shù)據(jù)。

選擇一條異常數(shù)據(jù)，可查詢這條異常數(shù)據(jù)的詳細(xì)數(shù)據(jù)包頭信息。按照WinDump格式,分別是源地址>目的地址 端口號(hào)：標(biāo)志位 分組的開(kāi)始序號(hào)：結(jié)尾序號(hào)(數(shù)據(jù)字節(jié)數(shù)) 窗口大小 最大報(bào)文段長(zhǎng)度。根據(jù)給出的異常數(shù)據(jù)詳細(xì)信息，管理人員可以進(jìn)一步理解異常數(shù)據(jù)，掌握異常是如何產(chǎn)生的。根據(jù)管理人員的需要，也可以更改格式提取更多信息。

系統(tǒng)還可將異常數(shù)據(jù)的標(biāo)志位量化，然后根據(jù)滑動(dòng)窗口的大小(運(yùn)行中設(shè)為6)進(jìn)行劃分，得到的短序列與異常數(shù)據(jù)所屬協(xié)議的狀態(tài)數(shù)據(jù)庫(kù)作比較，得出不在狀態(tài)數(shù)據(jù)庫(kù)中的短序列。這是因?yàn)榫W(wǎng)絡(luò)中存在一些不符合協(xié)議規(guī)定的軟件應(yīng)用程序或操作，雖然這些操作或數(shù)據(jù)被判定為異常，但是并不屬于攻擊。通過(guò)選定這樣的異常數(shù)據(jù)，經(jīng)量化后得到被判定為“異?！钡亩绦蛄?，管理人員可以選擇將這些短序列加入到狀態(tài)模式庫(kù)中，在以后的檢測(cè)中避免將此類數(shù)據(jù)歸類為異常，降低誤報(bào)率。

HTTP界面和SSH界面的設(shè)置與FTP界面相同，但是各個(gè)協(xié)議的內(nèi)容不同，界面的具體數(shù)據(jù)也有所變化。

運(yùn)行結(jié)果表明，協(xié)議異常檢測(cè)系統(tǒng)能夠積極適應(yīng)網(wǎng)絡(luò)的具體環(huán)境，降低因環(huán)境變化產(chǎn)生的誤報(bào)率；能夠檢測(cè)到攻擊數(shù)據(jù)，并記錄攻擊數(shù)據(jù)的詳細(xì)信息，有助于進(jìn)一步分析和理解攻擊對(duì)系統(tǒng)的影響。

4結(jié)束語(yǔ)

本文針對(duì)核電廠實(shí)時(shí)信息監(jiān)控系統(tǒng)(KNS)，建立了協(xié)議異常檢測(cè)系統(tǒng)。該系統(tǒng)對(duì)網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包進(jìn)行檢測(cè)并發(fā)現(xiàn)異常數(shù)據(jù)，為入侵檢測(cè)和響應(yīng)決策提供必要的報(bào)警信息。協(xié)議異常檢測(cè)系統(tǒng)實(shí)現(xiàn)了結(jié)合轉(zhuǎn)移和頻率特性的協(xié)議異常檢測(cè)算法。在實(shí)際網(wǎng)絡(luò)中，系統(tǒng)建立了各個(gè)協(xié)議的狀態(tài)模式庫(kù)，計(jì)算數(shù)據(jù)對(duì)協(xié)議規(guī)定的偏離度，表明了協(xié)議異常檢測(cè)系統(tǒng)的可行性。

參考文獻(xiàn)

[1] Balasubramaniyan J S,Garcia-Fernandez J O,Isacoff D,et al.An architecture for intrusion detection using autonomous agents[C]//The 14th Annual Computer Security Applications Conference,1998:13-24.

[2] Mu Chengpo,Huang Houkuan,Tian Shengfeng.A survey of intrusion-detection alert aggregation and correlation techniques[J].Journal of Computer Research and Development,2006,49(1):1-8.

[3] Das K.Protocol anomaly detection for network-based intrusion detection[R].GSEC Practical Assignment Version1.2f,2001.

[4] Wang Wei,Guan Xiaohong,Zhang Xiangliang.A processing of massive audit data streams for real-time anomaly intrusion detection[J].Computer Communications,2008,31(1):58-72.

[5] Tan Xiaobin,Wang Weiping,Xi Hongsheng,et al.A hidden Markov model used in intrusion detection[J].Journal of Computer Research and Development,2003,40(2):246-250.

[6] Yan Qiao,Xie Weixin,Song Ge,et al.System call anomaly detection method based on HMM[J].Acta Electronica Sinica,2003,31(10):1486-1490.

[7] Ye N,Zhang Y,Borror C M.Robustness of the Markov chain model for cyber attack detection[J].IEEE Transactions on Reliability,2004,53(1):116-121.

[8] Ju W H,Vardi Y.A hybrid high-order Markov chain model for computer intrusion detection[J].Journal of Computational and Graphical Statistics,2001,10(2):277-295.

[9] Zhao Jing,Huang Houkuan,Tian Shengfeng,et al.Protocol anomaly detection based on transition property and frequency property of attribute[J].Journal of Beijing Jiaotong University,2009,33(5):104-108.------------------------------------------------------------------------------------------------

中圖分類號(hào)：TP393+.0

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201502011

修改稿收到日期：2014-09-09。

第一作者趙靜(1980-)，女，2010年畢業(yè)于北京交通大學(xué)計(jì)算機(jī)專業(yè)，獲博士學(xué)位，講師；主要從事計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)安全的研究。