楊 浩， 林 楠， 謝 昕

(1. 國網(wǎng)江西省電力有限公司 電力科學(xué)研究院， 南昌 330096； 2. 華東交通大學(xué) 信息工程學(xué)院， 南昌 330013)

計算機(jī)網(wǎng)絡(luò)獲取、利用信息的能力逐漸增強(qiáng)，不僅擴(kuò)大了溝通范圍，還降低了信息資源采集成本，節(jié)省了人力、物力和時間.然而，由于互聯(lián)網(wǎng)的開放性，導(dǎo)致網(wǎng)絡(luò)入侵現(xiàn)象時有發(fā)生，造成機(jī)密信息泄露、核心技術(shù)被竊取、關(guān)鍵程序被篡改等，經(jīng)濟(jì)損失巨大[1].電力監(jiān)控系統(tǒng)中包含海量電網(wǎng)信息，一旦遭遇網(wǎng)絡(luò)入侵將會對電網(wǎng)造成巨大損失，然而電子證據(jù)具有隱蔽性、可篡改性、可復(fù)制性、可偽裝性以及可刪除性等特點，要想在龐大數(shù)據(jù)中追蹤并捕獲到異常入侵?jǐn)?shù)據(jù)就變得非常困難[2].在上述背景下，國內(nèi)外相關(guān)專家對證據(jù)獲取進(jìn)行了深入研究，設(shè)計了各種入侵證據(jù)自動獲取系統(tǒng)，如基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng)、基于協(xié)議分析的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng)以及基于多代理的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng).然而，以上這些入侵證據(jù)獲取系統(tǒng)都只針對靜態(tài)網(wǎng)絡(luò)，對于現(xiàn)在更為流行的動態(tài)網(wǎng)絡(luò)而言，入侵者的入侵證據(jù)會隨著網(wǎng)絡(luò)的運行逐漸被掩蓋，因此利用傳統(tǒng)方式進(jìn)行入侵證據(jù)獲取的應(yīng)用效果并不好[3].為此，本文提出一種專門針對動態(tài)網(wǎng)絡(luò)的入侵證據(jù)獲取系統(tǒng)，該系統(tǒng)與入侵監(jiān)測系統(tǒng)、防火墻以及HoneyPot等網(wǎng)絡(luò)安全技術(shù)相結(jié)合，通過實時采集數(shù)據(jù)包對其進(jìn)行入侵檢測，并分析入侵目的，在確保安全的前提下獲取入侵證據(jù).基于動態(tài)網(wǎng)絡(luò)的入侵證據(jù)獲取系統(tǒng)可以說是在入侵發(fā)生時就可以獲取入侵證據(jù)的一種即時系統(tǒng)[4]，使獲取系統(tǒng)運行處理能力有了極大的提高和改善.

1 入侵證據(jù)獲取系統(tǒng)設(shè)計

1.1 動態(tài)網(wǎng)絡(luò)結(jié)構(gòu)特性分析

相比靜態(tài)網(wǎng)絡(luò)，動態(tài)網(wǎng)絡(luò)更為復(fù)雜，且可變性較強(qiáng)，導(dǎo)致網(wǎng)絡(luò)電子證據(jù)具有不同于傳統(tǒng)證據(jù)的特殊性：多態(tài)性.由于網(wǎng)絡(luò)動態(tài)的特性，使得網(wǎng)絡(luò)電子入侵證據(jù)的表現(xiàn)形式也是多種多樣的.入侵以電磁介質(zhì)為載體，當(dāng)非法者入侵后，產(chǎn)生的入侵證據(jù)主要是以電子的方式儲存在電磁介質(zhì)上[5-6]，其注定了證據(jù)會隨著網(wǎng)絡(luò)運行逐漸消失.

1.2 系統(tǒng)整體結(jié)構(gòu)框架及設(shè)計原則

用于電力監(jiān)控系統(tǒng)的入侵證據(jù)獲取系統(tǒng)設(shè)計采用B/S三層結(jié)構(gòu)模式，如圖1所示.該結(jié)構(gòu)最大特點就是維護(hù)工作量大大減少、易部署，而且頁面動態(tài)刷新，響應(yīng)速度明顯加快.

系統(tǒng)主要分為采集層、處理分析層以及顯示層.位于底端的采集層負(fù)責(zé)采集包含網(wǎng)絡(luò)入侵行為的所有可疑數(shù)據(jù)；處理分析層主要負(fù)責(zé)對采集到的數(shù)據(jù)進(jìn)行異常檢測分析，提取入侵證據(jù)；顯示層主要作用是顯示入侵證據(jù)獲取結(jié)果，并以此制定決策，采取相應(yīng)的措施進(jìn)行入侵防御[7].

系統(tǒng)設(shè)計需要遵循以下幾點原則：1)要保證證據(jù)獲取的及時性，盡可能跟上入侵發(fā)生速度，縮小影響范圍[8]；2)所設(shè)計系統(tǒng)需要具有較好的保護(hù)性能，保證獲取到的入侵證據(jù)的原始性；3)系統(tǒng)還需具有全天隨時取證的能力，入侵隨時有可能發(fā)生，系統(tǒng)也要伴隨啟動，隨時監(jiān)控入侵行為[9].

1.3 系統(tǒng)模塊設(shè)計

本文所設(shè)計的系統(tǒng)模塊包括監(jiān)控采集模塊、預(yù)處理模塊、數(shù)據(jù)傳輸模塊、中心分析模塊以及顯示模塊.

1) 監(jiān)控采集模塊.入侵證據(jù)獲取的首要工作就是采集網(wǎng)絡(luò)中異常數(shù)據(jù)，因此需要在不同網(wǎng)段設(shè)置多個網(wǎng)絡(luò)數(shù)據(jù)采集器，完成多種類型數(shù)據(jù)的分布式動態(tài)采集取證工作.該模塊當(dāng)中主要硬件設(shè)備就是NetDAQ 2640網(wǎng)絡(luò)數(shù)據(jù)采集器，該采集器將多個高精度高速度的數(shù)據(jù)采集單元用計算機(jī)網(wǎng)絡(luò)連成一個系統(tǒng)，其主要技術(shù)指標(biāo)[10]如表1所示.

表1 網(wǎng)絡(luò)數(shù)據(jù)采集器主要技術(shù)指標(biāo)Tab.1 Main technical indicators of network data collector

2) 數(shù)據(jù)預(yù)處理模塊.采集器采集到的信息(如日志、審計信息等)并不能作為入侵證據(jù)，即入侵證據(jù)隱藏在采集到的數(shù)據(jù)中，因此需要對采集到的數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)集成、數(shù)據(jù)清洗等，從而達(dá)到統(tǒng)計數(shù)據(jù)格式、縮減數(shù)據(jù)規(guī)模的目的，而這些流程主要依托一個預(yù)處理芯片TMs320LF2407 APGEA[11-12]發(fā)揮作用.該芯片主要技術(shù)指標(biāo)參數(shù)如下：封裝144LQFP；核心尺寸16位；I/O數(shù)41；程序存儲容量64 kB；電壓電源3～36 V；工作溫度-40～85 ℃.

設(shè)計模塊具體運行步驟如下：

1) 數(shù)據(jù)集成.在數(shù)據(jù)集成過程中，各數(shù)據(jù)源采用全局模式排布，據(jù)此用戶可以簡易接收各數(shù)據(jù)源的數(shù)據(jù).數(shù)據(jù)結(jié)構(gòu)、語義及將要進(jìn)行的操作可以通過全局模式來描述.數(shù)據(jù)集成系統(tǒng)接收到用戶請求，會立即將數(shù)據(jù)轉(zhuǎn)換為各數(shù)據(jù)源，執(zhí)行用戶請求.

由于采集到數(shù)據(jù)信息來自不同數(shù)據(jù)源，其格式、特點性質(zhì)等均有所不同，因此要想準(zhǔn)確獲得入侵證據(jù)，需要進(jìn)行集成，按照統(tǒng)一的模式運行.目前數(shù)據(jù)集成方式有3種：聯(lián)邦數(shù)據(jù)庫、中間件集成以及數(shù)據(jù)倉庫法.本系統(tǒng)選擇數(shù)據(jù)倉庫法進(jìn)行集成，主要包括抽取、轉(zhuǎn)換、加載3個步驟.

2) 數(shù)據(jù)清洗.數(shù)據(jù)清洗目的是濾除原始數(shù)據(jù)中的無關(guān)數(shù)據(jù)、冗余數(shù)據(jù)、噪聲數(shù)據(jù)，刪除與需要挖掘數(shù)據(jù)無關(guān)的部分，并尋找缺失值、異常特征等.數(shù)據(jù)清洗即數(shù)據(jù)的預(yù)處理過程[13]，根據(jù)拉格朗日方程得到入侵?jǐn)?shù)據(jù)的差值多項式為

(1)

式中：n為入侵?jǐn)?shù)據(jù)總數(shù)量；xi為第i個入侵?jǐn)?shù)據(jù)；xj為第j個缺失的入侵?jǐn)?shù)據(jù).將缺失的入侵?jǐn)?shù)據(jù)代入xj即可求得入侵?jǐn)?shù)據(jù)缺失值.

采用非局部均值濾波算法濾除冗余數(shù)據(jù)，其計算表達(dá)式為

(2)

非局部均值濾波算法能夠根據(jù)數(shù)據(jù)間的相似性，智能濾除冗余數(shù)據(jù)，得到的濾除結(jié)果較為準(zhǔn)確.

3) 數(shù)據(jù)傳輸.各模塊之間需要一個連接媒介進(jìn)行傳輸，將采集并處理好的包含入侵證據(jù)的數(shù)據(jù)傳輸?shù)街行姆治銎髦?在數(shù)據(jù)傳輸模塊中用到的硬件為串行外設(shè)接口(SPI)，它是一種高速、全雙工、同步的通信總線，該設(shè)備采用并行通信的方式進(jìn)行數(shù)據(jù)傳輸，優(yōu)點是可以在同一時刻發(fā)送多位數(shù)據(jù)，且發(fā)送速度快.

4) 數(shù)據(jù)分析.中心分析器接收傳輸過來的數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行檢測和分析，從大數(shù)據(jù)中提取出入侵證據(jù)，其數(shù)據(jù)分析基本流程如圖2所示.

5) 控制臺顯示.在入侵證據(jù)提取出來后，需要將其呈現(xiàn)給用戶，實現(xiàn)人機(jī)可視化交互，這些功能主要通過控制臺來實現(xiàn).控制臺的功能包括結(jié)果顯示、命令輸出、系統(tǒng)各參數(shù)配置、運行管理以及維護(hù)等.

圖2 數(shù)據(jù)分析流程Fig.2 Flow chart of data analysis

2 系統(tǒng)處理性能仿真測試

為驗證系統(tǒng)的處理能力，本文進(jìn)行了仿真測試，測試環(huán)境如下：Inter Core2 E7300 2.66 GHzCPU；1 GB內(nèi)存；Window XP Professional系統(tǒng)；Eclipse3.5開發(fā)環(huán)境.系統(tǒng)的處理能力主要通過系統(tǒng)檢測能力、最大包處理能力、平均包處理能力以及證據(jù)獲取耗時等4個指標(biāo)進(jìn)行測定.測試組主要包括：實驗組(基于動態(tài)網(wǎng)絡(luò)的入侵證據(jù)獲取系統(tǒng))和對照組(基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng)、基于協(xié)議分析的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng)以及基于多代理的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng)).系統(tǒng)操作界面如圖3所示.

圖3 基于動態(tài)網(wǎng)絡(luò)的入侵證據(jù)獲取系統(tǒng)操作界面Fig.3 Operation interface of intrusion evidence acquisition system based on dynamic network

實驗輸入的樣本數(shù)據(jù)來自江西省電力監(jiān)控系統(tǒng)的5 000個電網(wǎng)數(shù)據(jù)，樣本數(shù)據(jù)中攻擊類型的數(shù)據(jù)占總數(shù)據(jù)的3%，其余為正常類型數(shù)據(jù).利用4種方法進(jìn)行處理能力測試，結(jié)果如表2所示.

表2 4種方法處理能力對比Tab.2 Comparison of processing capability among four methods

根據(jù)表2可以看出，利用本系統(tǒng)進(jìn)行入侵證據(jù)獲取，得出的系統(tǒng)檢測能力、最大包處理能力、平均包處理能力以及證據(jù)獲取耗時等4項指標(biāo)值均要好于其他算法，由此可知本系統(tǒng)的處理性能更為優(yōu)越，達(dá)到了本次研究的預(yù)期目標(biāo).

為驗證所提方法對入侵證據(jù)獲取的查全率，在選取的樣本數(shù)據(jù)中混入4條APT攻擊數(shù)據(jù)，采用所提方法與其他3種算法進(jìn)行對比分析，其中混入的APT攻擊數(shù)據(jù)如圖4所示，查全率輸出結(jié)果如圖5所示.

圖4 混入的APT攻擊數(shù)據(jù)Fig.4 Blended APT attack data

圖5 查全率輸出對比Fig.5 Output comparison of recall rate

通過圖5可以看出，本文方法的查全率在80%以上；基于協(xié)議分析的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng)的查全率為64%；基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng)的查全率為52%；基于多代理的網(wǎng)絡(luò)入侵證據(jù)獲取系統(tǒng)的查全率為42%.由此證明所提方法查全率高，錯誤率低.

3 結(jié) 論

電力監(jiān)控系統(tǒng)由于其開放性，導(dǎo)致網(wǎng)絡(luò)入侵現(xiàn)象頻繁發(fā)生.電網(wǎng)信息被盜取泄露，造成嚴(yán)重?fù)p失，因此，維護(hù)電網(wǎng)安全運行，獲取非法者的入侵證據(jù)具有重要的現(xiàn)實意義.本文針對當(dāng)前基于數(shù)據(jù)挖掘、基于協(xié)議分析以及基于多代理的3種傳統(tǒng)入侵證據(jù)獲取系統(tǒng)存在的不足，設(shè)計了一種基于動態(tài)網(wǎng)絡(luò)的入侵證據(jù)獲取系統(tǒng).該系統(tǒng)主要解決了動態(tài)網(wǎng)絡(luò)安全問題，經(jīng)測試，本系統(tǒng)檢測能力、最大包處理能力、平均包處理能力以及證據(jù)獲取耗時等指標(biāo)均更為優(yōu)越，由此說明本系統(tǒng)的處理能力更為優(yōu)越，能夠有效捕獲網(wǎng)絡(luò)入侵證據(jù)，保證電網(wǎng)的安全運行.