繆海飛 曹 翔 林 青 胡紹謙 湯震宇

電力監(jiān)控系統(tǒng)實(shí)時(shí)DDoS攻擊檢測(cè)方法

繆海飛 曹 翔 林 青 胡紹謙 湯震宇

（南京南瑞繼保電氣有限公司，南京 211102）

針對(duì)目前難以實(shí)時(shí)準(zhǔn)確且低能耗地識(shí)別電力監(jiān)控系統(tǒng)中分布式拒絕服務(wù)（DDoS）攻擊的問(wèn)題，本文基于電力監(jiān)控系統(tǒng)專用防火墻裝置提出一種實(shí)時(shí)DDoS攻擊檢測(cè)方法。采用軟硬件結(jié)合的方式：硬件方面，防火墻采用現(xiàn)場(chǎng)可編程門陣列（FPGA）實(shí)時(shí)采集報(bào)文數(shù)據(jù)，在轉(zhuǎn)發(fā)報(bào)文時(shí)更新計(jì)數(shù)器，實(shí)時(shí)提供檢測(cè)所需的特征值并進(jìn)行攻擊預(yù)判；軟件方面，在防火墻的用戶空間內(nèi)運(yùn)行基于機(jī)器學(xué)習(xí)的在線識(shí)別器，首先在實(shí)時(shí)采集報(bào)文數(shù)據(jù)時(shí)感知網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可能異常時(shí)使用在線識(shí)別器檢測(cè)攻擊。本文實(shí)現(xiàn)了基于該方法的DDoS攻擊檢測(cè)原型系統(tǒng)，并進(jìn)行了實(shí)驗(yàn)。實(shí)驗(yàn)表明，該方法可以實(shí)現(xiàn)資源占用低、識(shí)別準(zhǔn)確率高的實(shí)時(shí)DDoS攻擊檢測(cè)。

電力監(jiān)控系統(tǒng)；分布式拒絕服務(wù)（DDoS）攻擊；檢測(cè)；實(shí)時(shí)；機(jī)器學(xué)習(xí)

0 引言

近年來(lái)，電力信息安全事故頻發(fā)，電力作為關(guān)乎國(guó)計(jì)民生的重要基礎(chǔ)設(shè)施，一直以來(lái)都是網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象，極易成為網(wǎng)絡(luò)戰(zhàn)的首要目標(biāo)。烏克蘭大停電事故也進(jìn)一步印證了網(wǎng)絡(luò)攻擊已成為破壞電力等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的新型武器。

電力監(jiān)控系統(tǒng)的信息安全建設(shè)，已經(jīng)從原來(lái)的只考慮網(wǎng)絡(luò)邊界的“十六字方針”（橫向隔離、縱向認(rèn)證、安全分區(qū)、網(wǎng)絡(luò)專用）過(guò)渡到電力監(jiān)控系統(tǒng)內(nèi)部。盡管電力監(jiān)控系統(tǒng)采用專網(wǎng)專用的形式，但是監(jiān)控專用網(wǎng)絡(luò)中一旦有設(shè)備或計(jì)算機(jī)被黑客攻陷，極易在專用網(wǎng)絡(luò)環(huán)境下傳播，導(dǎo)致產(chǎn)生網(wǎng)絡(luò)安全問(wèn)題。在軌道交通網(wǎng)絡(luò)信息系統(tǒng)[1]、配電網(wǎng)自動(dòng)化通信系統(tǒng)[2-3]和直流控制保護(hù)系統(tǒng)[4]中均存在較復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題。其中，特別是分布式拒絕服務(wù)（distributed denial-of-service, DDoS）攻擊帶來(lái)的危害不可小覷，DDoS攻擊的主要目的是消耗攻擊目標(biāo)的計(jì)算資源，令網(wǎng)絡(luò)服務(wù)在一段時(shí)間內(nèi)不可被訪問(wèn)，致使服務(wù)癱瘓，在電力監(jiān)控系統(tǒng)中則會(huì)導(dǎo)致重要設(shè)備如監(jiān)控后臺(tái)無(wú)法及時(shí)響應(yīng)控制命令，發(fā)生嚴(yán)重電力安全事故。DDoS攻擊流量大、范圍廣、造成的損失大，已經(jīng)嚴(yán)重威脅電力系統(tǒng)網(wǎng)絡(luò)的安全，因此，如何使用較少的資源實(shí)時(shí)準(zhǔn)確地檢測(cè)出DDoS攻擊是目前一個(gè)亟待解決的問(wèn)題。

本文基于準(zhǔn)確性和實(shí)時(shí)性要求，提出一種基于防火墻裝置的軟硬件結(jié)合的實(shí)時(shí)DDoS攻擊檢測(cè)方法，硬件負(fù)責(zé)采集數(shù)據(jù)，軟件負(fù)責(zé)檢測(cè)和分析，軟硬件各司其職，大大提升了電力監(jiān)控系統(tǒng)內(nèi)DDoS攻擊檢測(cè)的準(zhǔn)確性和實(shí)時(shí)性。

1 相關(guān)研究

國(guó)內(nèi)外針對(duì)DDoS攻擊檢測(cè)的研究有很多，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境和互聯(lián)網(wǎng)環(huán)境下，也有很多方法來(lái)檢測(cè)DDoS攻擊。文獻(xiàn)[5]總結(jié)歸納了電力信息物理系統(tǒng)中信息側(cè)的網(wǎng)絡(luò)攻擊檢測(cè)方案，利用網(wǎng)絡(luò)流量分布規(guī)律檢測(cè)電力監(jiān)控系統(tǒng)是否遭受DDoS攻擊。文獻(xiàn)[6]提出一種基于時(shí)-頻域混合特征的變電站通信網(wǎng)異常流量檢測(cè)方法，采用人工蜂群優(yōu)化的支持向量機(jī)算法進(jìn)行DDoS攻擊的檢測(cè)。文獻(xiàn)[7]從攻擊方視角分析了電力系統(tǒng)內(nèi)網(wǎng)絡(luò)攻擊的常見模式，分析了DoS攻擊帶來(lái)的危害，提出針對(duì)性的入侵檢測(cè)方法。在傳統(tǒng)領(lǐng)域，針對(duì)DDoS攻擊的檢測(cè)更是很多，文獻(xiàn)[8]提出一種針對(duì)物聯(lián)網(wǎng)設(shè)備的基于機(jī)器學(xué)習(xí)方法的DDoS攻擊檢測(cè)方法，通過(guò)有限數(shù)量的端點(diǎn)和數(shù)據(jù)包之間的固定時(shí)間間隔來(lái)進(jìn)行特征選擇，最終實(shí)現(xiàn)低成本的DDoS攻擊檢測(cè)。文獻(xiàn)[9]提出一種通過(guò)構(gòu)建平均數(shù)據(jù)包間到達(dá)時(shí)間的模糊估計(jì)器來(lái)進(jìn)行DDoS檢測(cè)的方法，首先檢測(cè)DDoS攻擊事件，然后識(shí)別有問(wèn)題的IP地址。文獻(xiàn)[10]提出一種基于目標(biāo)IP地址的熵變化來(lái)檢測(cè)DDoS攻擊的解決方案，該方法的實(shí)時(shí)性較好，能夠在攻擊報(bào)文的前500幀報(bào)文內(nèi)完成檢測(cè)。文獻(xiàn)[11]提出一種基于網(wǎng)絡(luò)熵估計(jì)、協(xié)同聚類、信息增益比算法的用于在線DDoS檢測(cè)的半監(jiān)督式機(jī)器學(xué)習(xí)方法，該方法的無(wú)監(jiān)督部分允許減少與DDoS檢測(cè)無(wú)關(guān)的正常流量數(shù)據(jù)，從而降低誤報(bào)率并提高準(zhǔn)確性，而受監(jiān)督的部分允許降低無(wú)監(jiān)督部分的誤報(bào)率并準(zhǔn)確地對(duì)DDoS流量進(jìn)行分類。文獻(xiàn)[12]提出使用廣義熵度量和信息距離度量?jī)蓚€(gè)新的信息度量，通過(guò)測(cè)量合法流量和攻擊流量之間的差異來(lái)檢測(cè)低速率DDoS攻擊。

但是，上述方法較少用于電力監(jiān)控系統(tǒng)內(nèi)部。因?yàn)檫@些方法要么計(jì)算量太大導(dǎo)致無(wú)法做到實(shí)時(shí)性，要么可以實(shí)時(shí)檢測(cè)但是準(zhǔn)確率較低，無(wú)法滿足電力系統(tǒng)對(duì)攻擊檢測(cè)的實(shí)時(shí)性和準(zhǔn)確性要求。為解決上述問(wèn)題，本文提出一種基于防火墻裝置的軟硬件結(jié)合的實(shí)時(shí)DDoS攻擊檢測(cè)方法。電力監(jiān)控系統(tǒng)中采用的防火墻裝置，一般都擁有可編程特性，本文利用電力監(jiān)控系統(tǒng)防火墻的可編程特性，新增硬件計(jì)數(shù)器，通過(guò)讀取硬件計(jì)數(shù)器對(duì)DDoS攻擊進(jìn)行預(yù)判斷，在疑似發(fā)生DDoS攻擊時(shí)，將報(bào)文提取至防火墻的軟件層面，并運(yùn)行機(jī)器學(xué)習(xí)模塊對(duì)報(bào)文數(shù)據(jù)進(jìn)行檢測(cè)，從而實(shí)現(xiàn)資源占用低、識(shí)別準(zhǔn)確率高的實(shí)時(shí)DDoS攻擊檢測(cè)。

本文基于電力監(jiān)控系統(tǒng)專用防火墻裝置，該裝置用于電力監(jiān)控系統(tǒng)內(nèi)網(wǎng)絡(luò)報(bào)文過(guò)濾，采用多核CPU作核心處理，同時(shí)輔以現(xiàn)場(chǎng)可編程門陣列（field programmable gate array, FPGA），兩者互相配合，以便實(shí)現(xiàn)特定的功能。由于CPU與FPGA的結(jié)合，防火墻裝置可以同時(shí)編寫軟硬件程序，控制其對(duì)報(bào)文的處理，實(shí)現(xiàn)可編程功能。

因此，本文在防火墻裝置中編寫軟件代碼，在FPGA中運(yùn)行硬件程序，軟件代碼可以通過(guò)對(duì)應(yīng)的應(yīng)用程序接口（application programming interface, API）讀取相應(yīng)的硬件計(jì)數(shù)器，可以較為方便地在該平臺(tái)上實(shí)現(xiàn)軟硬件的配合，收發(fā)并分析報(bào)文，以及配置規(guī)則等，電力監(jiān)控系統(tǒng)專用防火墻裝置提供了硬件基礎(chǔ)，可以實(shí)現(xiàn)實(shí)時(shí)DDoS攻擊檢測(cè)。

2 軟硬件結(jié)合的DDoS攻擊檢測(cè)方法

本文從降低設(shè)備資源使用率、實(shí)時(shí)性和準(zhǔn)確性出發(fā)，提出基于防火墻裝置的軟硬件結(jié)合的實(shí)時(shí)DDoS攻擊檢測(cè)方法，該方法由兩大模塊組成：基于FPGA的實(shí)時(shí)數(shù)據(jù)采集模塊和基于機(jī)器學(xué)習(xí)的攻擊識(shí)別模塊。兩大模塊均在防火墻裝置的用戶空間中運(yùn)行，數(shù)據(jù)采集模塊基于FPGA進(jìn)行編程，改變報(bào)文在防火墻中的流向，同時(shí)記錄重要數(shù)據(jù)并保存在寄存器中；攻擊識(shí)別模塊提取寄存器值和報(bào)文特征值進(jìn)行在線識(shí)別，基于機(jī)器學(xué)習(xí)技術(shù)可以高準(zhǔn)確率地檢測(cè)出是否存在DDoS攻擊。

2.1 基于FPGA的實(shí)時(shí)數(shù)據(jù)采集模塊

在對(duì)DDoS攻擊的檢測(cè)中，實(shí)時(shí)數(shù)據(jù)采集比較影響網(wǎng)絡(luò)性能，容易造成網(wǎng)絡(luò)堵塞，影響防火墻裝置的正常轉(zhuǎn)發(fā)，因此采用硬件方式實(shí)時(shí)感知網(wǎng)絡(luò)狀態(tài)。經(jīng)過(guò)對(duì)DDoS攻擊的調(diào)研可知，攻擊過(guò)程中一般會(huì)在短時(shí)間內(nèi)有大量不同的源端訪問(wèn)同一個(gè)目的機(jī)器，而目的機(jī)器無(wú)法處理大量的請(qǐng)求，從而導(dǎo)致拒絕服務(wù)。這樣在鏈路上可以看到接收的報(bào)文數(shù)遠(yuǎn)大于發(fā)出的報(bào)文數(shù)，會(huì)出現(xiàn)收發(fā)數(shù)量不對(duì)等和流量激增等特征，利用這樣的特征可以通過(guò)對(duì)FPGA編程，從硬件層面上獲取網(wǎng)絡(luò)鏈路狀態(tài)值，同時(shí)將數(shù)據(jù)保存在寄存器中，便于軟件程序讀取硬件計(jì)數(shù)器，以最小的資源代價(jià)提前感知網(wǎng)絡(luò)異常狀態(tài)。

實(shí)時(shí)采集模塊基于FPGA的可編程特性，將流經(jīng)防火墻的報(bào)文在經(jīng)過(guò)簡(jiǎn)單的計(jì)算后保存在相應(yīng)的計(jì)數(shù)器中，用戶空間的軟件可以通過(guò)硬件API獲取實(shí)時(shí)采集的數(shù)據(jù)。報(bào)文在被FPGA捕獲到后，首先解析用戶定義的關(guān)鍵字信息，隨后根據(jù)關(guān)鍵字提取報(bào)文中的相應(yīng)值，然后通過(guò)查表模塊將獲取的值更新到對(duì)應(yīng)的硬件寄存器中，最后報(bào)文由自定義動(dòng)作模塊轉(zhuǎn)發(fā)到目的地址，硬件原理框圖如圖1所示。

圖1 硬件原理框圖

為了減少軟件和硬件之間的交互時(shí)間，本文在收集消息特征時(shí)使用字節(jié)速率來(lái)幫助實(shí)現(xiàn)實(shí)時(shí)攻擊預(yù)測(cè)。一般來(lái)說(shuō)，正常流中的字節(jié)率會(huì)比較穩(wěn)定。當(dāng)主機(jī)受到DDoS攻擊時(shí)，字節(jié)率的差異會(huì)在短時(shí)間內(nèi)急劇增加，在統(tǒng)計(jì)上呈現(xiàn)出一定的突變。

本文基于滑動(dòng)窗口法進(jìn)行DDoS攻擊檢測(cè)預(yù)判，通過(guò)計(jì)算相鄰時(shí)間段內(nèi)的狀態(tài)及狀態(tài)的變化量推算是否產(chǎn)生異常。采取該方法以窗口的形式計(jì)算網(wǎng)絡(luò)中的字節(jié)速率，判斷電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境是否穩(wěn)定無(wú)突變等。

由于防火墻裝置可以從硬件層面實(shí)時(shí)提供當(dāng)前時(shí)刻接收到的字節(jié)總數(shù)，用Y表示，那么式（1）可以轉(zhuǎn)換為式（2），改進(jìn)后的計(jì)算量更小，且無(wú)需采集報(bào)文，對(duì)網(wǎng)絡(luò)環(huán)境幾乎沒(méi)有影響。

根據(jù)滑動(dòng)窗口閾值的思想，若+1＞bf，其中閾值取0.5，則網(wǎng)絡(luò)可能發(fā)生了異常波動(dòng)。

綜上所述，基于FPGA的實(shí)時(shí)數(shù)據(jù)采集模塊能夠?qū)崟r(shí)采集數(shù)據(jù)，并根據(jù)閾值進(jìn)行DDoS攻擊檢測(cè)預(yù)判，一旦檢測(cè)到網(wǎng)絡(luò)異常，將通知DDoS攻擊識(shí)別模塊，在該模塊中，利用機(jī)器學(xué)習(xí)技術(shù)對(duì)DDoS攻擊進(jìn)行識(shí)別。

2.2 基于機(jī)器學(xué)習(xí)的攻擊識(shí)別模塊

1）基于機(jī)器學(xué)習(xí)的DDoS攻擊識(shí)別機(jī)制

在發(fā)生DDoS攻擊時(shí)，網(wǎng)絡(luò)環(huán)境中的某些特征在統(tǒng)計(jì)上與正常流量差異較為明顯，如IP數(shù)量、端口數(shù)量、雙向報(bào)文數(shù)量等特征值。因此可以利用機(jī)器學(xué)習(xí)技術(shù)分析正常流量和異常流量數(shù)據(jù)，提取特征值并建模，以識(shí)別DDoS攻擊。

基于機(jī)器學(xué)習(xí)的DDoS攻擊識(shí)別機(jī)制首先進(jìn)行訓(xùn)練和測(cè)試，訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集的處理如下文所述。訓(xùn)練和測(cè)試完成后將得到分類模型，DDoS攻擊識(shí)別器加載該分類模型后根據(jù)實(shí)時(shí)從報(bào)文中提取出的特征值進(jìn)行DDoS攻擊識(shí)別。

為了達(dá)到實(shí)時(shí)性，本文選擇以2s為時(shí)間單位，在有報(bào)文流入該模塊后，分析每個(gè)周期的流量情況，提取該周期內(nèi)的特征值，形成特征向量，由訓(xùn)練好的DDoS攻擊識(shí)別程序進(jìn)行分類，以進(jìn)行實(shí)時(shí)DDoS攻擊檢測(cè)。

2）數(shù)據(jù)集處理

為達(dá)到最佳訓(xùn)練效果，本文選用CICIDS2017數(shù)據(jù)集[13]，該數(shù)據(jù)集由標(biāo)記的網(wǎng)絡(luò)流組成，包括完整的數(shù)據(jù)包pcap文件和進(jìn)行過(guò)標(biāo)記的CSV文件等。

本文首先從數(shù)據(jù)集中提取與DDoS攻擊相關(guān)的報(bào)文和相應(yīng)的CSV文件，根據(jù)已知的DDoS攻擊的發(fā)生時(shí)間和攻擊者與受害者IP等信息，對(duì)不同的記錄進(jìn)行標(biāo)記，將正常記錄標(biāo)記為0，DDoS攻擊記錄標(biāo)記為1，提取出正常記錄約9.0萬(wàn)條，攻擊記錄約13.0萬(wàn)條，共約22.0萬(wàn)條。

隨后對(duì)數(shù)據(jù)集進(jìn)行隨機(jī)劃分，按照9:1的比例將數(shù)據(jù)集劃分為訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集，數(shù)據(jù)集劃分結(jié)果見表1。

表1 數(shù)據(jù)集劃分結(jié)果

3）特征選擇與分類器

特征選擇指的是在特征向量中選擇出那些優(yōu)秀的特征，組成新的、更精簡(jiǎn)的特征向量的過(guò)程。它在高維數(shù)據(jù)分析中十分常用，可以剔除冗余和無(wú)關(guān)的特征，提升分類器的性能。

本文在選擇特征時(shí)基于協(xié)議分析和流量模型分析等兩大類方法，泛化性較好。本文采用封裝的特征選擇方法，其核心思想是將子集的選擇視為一個(gè)搜索優(yōu)化問(wèn)題，生成不同的組合，對(duì)這些組合進(jìn)行評(píng)估，并與其他組合進(jìn)行比較。

在特征選擇的過(guò)程中，采用的具體算法為遞歸消除特征法。首先隨機(jī)構(gòu)建模型，然后選出最差的特征，把選出來(lái)的特征剔除，在剩余的特征中重復(fù)這個(gè)過(guò)程，直至遍歷完所有的特征值。該特征選擇法使用比較簡(jiǎn)單，可以面向分類器算法進(jìn)行優(yōu)化，但由于存在龐大的搜索空間，因此可能具有不穩(wěn)定性，需要通過(guò)知識(shí)儲(chǔ)備預(yù)先定義啟發(fā)式策略，因此本文在選擇特征的過(guò)程中，同時(shí)考慮了Karimazad的建議[14]，最終選擇表2中的11個(gè)特征值進(jìn)行DDoS攻擊識(shí)別和分類。其中，8個(gè)特征值為計(jì)數(shù)特征值，可直接從防火墻設(shè)備上的硬件計(jì)數(shù)器獲取，3個(gè)特征值為計(jì)算特征值，需要在防火墻軟件層進(jìn)行簡(jiǎn)單計(jì)算。

表2 DDoS攻擊檢測(cè)算法特征值

分類器作用是在標(biāo)記好類別的訓(xùn)練數(shù)據(jù)基礎(chǔ)上判斷一個(gè)新的觀察樣本所屬的類別。針對(duì)DDoS攻擊識(shí)別，分類器依據(jù)的學(xué)習(xí)方式為監(jiān)督學(xué)習(xí)，每個(gè)訓(xùn)練樣本包括訓(xùn)練樣本的特征和相對(duì)應(yīng)的標(biāo)簽。

本文選取支持向量機(jī)（support vector machine, SVM）分類算法，利用支持向量機(jī)建立的分類器能夠同時(shí)最小化經(jīng)驗(yàn)誤差與最大化幾何邊緣區(qū)，提高查準(zhǔn)率和查全率。軟件選擇開源的支持向量機(jī)的庫(kù)LibSVM[15]。

2.3 軟硬件結(jié)合的DDoS攻擊檢測(cè)原型系統(tǒng)

為驗(yàn)證所提的DDoS攻擊檢測(cè)算法能夠低能耗、高準(zhǔn)確率地檢測(cè)出DDoS攻擊，在電力監(jiān)控系統(tǒng)防火墻裝置中編寫軟硬件代碼，根據(jù)2.1節(jié)和2.2節(jié)中的算法實(shí)現(xiàn)了DDoS攻擊檢測(cè)原型系統(tǒng)，原型系統(tǒng)運(yùn)行在該防火墻上。

原型系統(tǒng)由三個(gè)模塊組成：FPGA模塊、硬件感知模塊和在線識(shí)別模塊。首先根據(jù)需求對(duì)FPGA進(jìn)行編程，使電力監(jiān)控系統(tǒng)防火墻設(shè)備在轉(zhuǎn)發(fā)報(bào)文的同時(shí)可以進(jìn)行計(jì)數(shù)，并提供2.2節(jié)中要求的計(jì)數(shù)型特征值。

硬件感知模塊定期讀取防火墻的硬件計(jì)數(shù)器，根據(jù)閾值判斷網(wǎng)絡(luò)是否波動(dòng)。在線識(shí)別模塊在硬件感知模塊識(shí)別出異常的網(wǎng)絡(luò)波動(dòng)后啟動(dòng)，提取報(bào)文的特征值，并使用訓(xùn)練好的分類器模型識(shí)別是否為DDoS攻擊。原型系統(tǒng)的流程如圖2所示。

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)環(huán)境

采用變電站網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)交換設(shè)備，電力系統(tǒng)專用防火墻中安裝DDoS攻擊檢測(cè)原型系統(tǒng)，PC作為終端，針對(duì)服務(wù)器進(jìn)行DDoS攻擊檢測(cè)實(shí)驗(yàn)。所有機(jī)器均直接或間接地連接在變電站網(wǎng)絡(luò)交換機(jī)上，彼此可以互相訪問(wèn)，其中服務(wù)器與PC之間安裝有電力監(jiān)控系統(tǒng)防火墻。實(shí)驗(yàn)拓?fù)淙鐖D3所示。

在PC1和PC2上，運(yùn)行DDoS攻擊流量產(chǎn)生軟件Hyenae，用于模擬對(duì)服務(wù)器進(jìn)行DDoS攻擊，PC和服務(wù)器上均運(yùn)行變電站站內(nèi)通信常用程序等以模擬正常流量。PC2除了運(yùn)行以上程序外，還用作電力監(jiān)控系統(tǒng)防火墻的控制器，用于配置流表、下發(fā)規(guī)則、離線訓(xùn)練分類器、下發(fā)分類器模型及控制DDoS攻擊產(chǎn)生器等。在電力監(jiān)控系統(tǒng)防火墻中，運(yùn)行2.3節(jié)中實(shí)現(xiàn)的軟硬件結(jié)合的DDoS攻擊檢測(cè)原型系統(tǒng)。

圖2 原型系統(tǒng)流程

圖3 實(shí)驗(yàn)拓?fù)?/p>

3.2 實(shí)驗(yàn)內(nèi)容

首先通過(guò)Hyenae程序產(chǎn)生大量的正常流量和TCP、UDP、ICMP等攻擊流量，在防火墻中采集報(bào)文，每隔單位時(shí)間匯總至控制器處，本次數(shù)據(jù)采集共運(yùn)行2天，每一種類型（Normal、TCP、UDP、ICMP）各24h，每隔2s采集一次數(shù)據(jù)，共采集17.28萬(wàn)條數(shù)據(jù)，然后在控制器上訓(xùn)練SVM分類器，并采用Radial Basis核函數(shù)[16]進(jìn)行驗(yàn)證。訓(xùn)練完成后控制器將分類模型更新至電力監(jiān)控系統(tǒng)防火墻裝置的配置中。

實(shí)驗(yàn)開始后，在兩臺(tái)機(jī)器之間正常通信，將某電力監(jiān)控系統(tǒng)站內(nèi)報(bào)文進(jìn)行還原和重放，分類結(jié)果一直顯示為0（即沒(méi)有攻擊產(chǎn)生），在Hyenae產(chǎn)生攻擊流量（TCP SYN Flood）后，分類結(jié)果顯示為1（即有TCP SYN Flood攻擊），當(dāng)調(diào)整DDoS攻擊類型后，如進(jìn)行UDP Flood攻擊時(shí)，電力監(jiān)控系統(tǒng)防火墻裝置中的分類程序顯示結(jié)果為相應(yīng)的代碼。

3.3 實(shí)驗(yàn)結(jié)果分析

在發(fā)起攻擊后，本實(shí)驗(yàn)監(jiān)控DDoS攻擊檢測(cè)和識(shí)別的實(shí)時(shí)性能。實(shí)驗(yàn)發(fā)現(xiàn)，識(shí)別系統(tǒng)可以在1～2個(gè)周期內(nèi)，即2s內(nèi)確定DDoS攻擊類型，并通過(guò)控制臺(tái)打印攻擊類型。每種攻擊類型測(cè)試10min，計(jì)算周期2s，計(jì)算識(shí)別準(zhǔn)確率。表3為實(shí)時(shí)DDoS攻擊識(shí)別程序?qū)Σ煌愋凸舻淖R(shí)別準(zhǔn)確率。

表3 不同DDoS攻擊的識(shí)別準(zhǔn)確率

由表3可見，該方法能夠準(zhǔn)確識(shí)別TCP、UDP、ICMP三種不同類型的DDoS攻擊，其中對(duì)TCP SYN Flood攻擊的識(shí)別準(zhǔn)確率最高，達(dá)到96.3%。不同算法的對(duì)比見表4，由表4可知，與Karimazad提出的RBF神經(jīng)網(wǎng)絡(luò)算法[14]和Subbulakshmi提出的EMC-SVM算法[17]相比，本文提出的基于硬件感知器和在線SVM的DDoS攻擊檢測(cè)有更高的準(zhǔn)確率，較高的準(zhǔn)確率為后續(xù)的DDoS攻擊流量的清洗提供了前提。

表4 不同攻擊檢測(cè)算法的準(zhǔn)確率對(duì)比

同時(shí)注意到，在線識(shí)別對(duì)防火墻裝置的系統(tǒng)資源消耗較大，所以本文采用硬件感知結(jié)合機(jī)器學(xué)習(xí)在線識(shí)別的方式對(duì)DDoS攻擊進(jìn)行檢測(cè)，降低了資源使用率。實(shí)驗(yàn)中對(duì)防火墻裝置的資源使用率進(jìn)行了監(jiān)控，其在識(shí)別期間的CPU和RAM的使用率變化曲線如圖4所示。

由圖4可見，系統(tǒng)運(yùn)行時(shí)CPU只使用了30%左右，當(dāng)開始在線識(shí)別DDoS攻擊后，CPU使用率最高也只是在35%左右，而RAM則一直穩(wěn)定在42%～48%之間。由此可見，本文提出的實(shí)時(shí)DDoS攻擊檢測(cè)方法具有占用系統(tǒng)資源小的特點(diǎn)。

圖4 檢測(cè)期間防火墻裝置的資源使用率

4 結(jié)論

本文提出了一種基于電力監(jiān)控系統(tǒng)防火墻裝置的軟硬件結(jié)合的實(shí)時(shí)DDoS攻擊檢測(cè)方法，該方法采用軟硬件結(jié)合的方式，首先利用硬件計(jì)數(shù)器感知網(wǎng)絡(luò)狀態(tài)，占用資源較少，在檢測(cè)到可能的網(wǎng)絡(luò)異常后，使用機(jī)器學(xué)習(xí)技術(shù)在線識(shí)別DDoS攻擊。由于電力監(jiān)控系統(tǒng)防火墻裝置可以從硬件層面提供大多數(shù)特征值，因而大大減少了計(jì)算量，達(dá)到實(shí)時(shí)檢測(cè)的效果，且準(zhǔn)確率較高。實(shí)驗(yàn)表明，本文所提方法可以有效地進(jìn)行實(shí)時(shí)DDoS攻擊檢測(cè)。

[1] 陳超群, 陳勃, 劉布麒, 等. 軌道交通網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)研究與設(shè)計(jì)[J]. 電氣技術(shù), 2020, 21(2): 50-55.

[2] 王剛, 張向東, 陳順利, 等. 依托灰關(guān)聯(lián)投影的配網(wǎng)自動(dòng)化通信網(wǎng)絡(luò)安全性評(píng)價(jià)研究[J]. 電氣技術(shù), 2019, 20(6): 66-69.

[3] 金能, 梁宇, 邢家維, 等. 提升配電網(wǎng)線路保護(hù)可靠性的遠(yuǎn)方保護(hù)及其與就地保護(hù)優(yōu)化配合方案研究[J]. 電工技術(shù)學(xué)報(bào), 2019, 34(24): 5221-5233.

[4] 張浩然, 賈帥鋒, 趙冠華, 等. 直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)安全分析與對(duì)策[J]. 電氣技術(shù), 2020, 21(1): 110- 112.

[5] 湯奕, 李夢(mèng)雅, 王琦, 等. 電力信息物理系統(tǒng)網(wǎng)絡(luò)攻擊與防御研究綜述: (二)檢測(cè)與保護(hù)[J]. 電力系統(tǒng)自動(dòng)化, 2019, 43(10): 1-9.

[6] 楊挺, 侯昱丞, 趙黎媛, 等. 基于時(shí)-頻域混合特征的變電站通信網(wǎng)異常流量檢測(cè)方法[J]. 電力系統(tǒng)自動(dòng)化, 2020, 44(16): 79-86.

[7] 蘇盛, 吳長(zhǎng)江, 馬鈞, 等. 基于攻擊方視角的電力CPS網(wǎng)絡(luò)攻擊模式分析[J]. 電網(wǎng)技術(shù), 2014, 38(11): 3115-3120.

[8] DOSHI R, APTHORPE N, FEAMSTER N. Machine learning ddos detection for consumer internet of things devices[C]//2018 IEEE Security and Privacy Workshops (SPW), San Francisco, USA, 2018: 29-35.

[9] SHIAELES S N, KATOS V, KARAKOS A S, et al.

Real time DDoS detection using fuzzy estimators[J]. Computers & Security, 2012, 31(6): 782-790.

[10] MOUSAVI S M, ST-HILAIRE M. Early detection of DDoS attacks against SDN controllers[C]//2015 International Conference on Computing, Networking and Communications (ICNC), Garden Grove, USA, 2015: 77-81.

[11] IDHAMMAD M, AFDEL K, BELOUCH M. Semi- supervised machine learning approach for DDoS detection[J]. Applied Intelligence, 2018, 48(10): 3193- 3208.

[12] YANG Xiang, LI Ke, ZHOU Wanlei. Low-rate DDoS attacks detection and traceback by using new information metrics[J]. IEEE Transactions on Infor- mation Forensics and Security, 2011, 6(2): 426-437.

[13] SHARAFALDIN I, LASHKARI A H, GHORBANI A A. Toward generating a new intrusion detection dataset and intrusion traffic characterization[C]//4th Inter- national Conference on Information Systems Security and Privacy (ICISSP), Portugal, 2018: 108-116.

[14] KARIMAZAD R, FARAAHI A. An anomaly-based method for DDoS attacks detection using RBF neural net-works[C]//Proceedings of the International Con- ference on Network and Electronics Engineering, Singapore, 2011, 11: 44-48.

[15] CHANG C C, LIN C J. LIBSVM: a library for support vector machines[J]. ACM Transactions on Intelligent Systems and Technology (TIST), 2011, 2(3): 1-27.

[16] BUHMANN M D. Radial basis functions: theory and implementations[M]. UK: Cambridge University Press, 2003.

[17] SUBBULAKSHMI T, BALAKRISHNAN K, SHALINIE S M, et al. Detection of DDoS attacks using enhanced support vector machines with real time generated dataset[C]//2011 Third International Conference on Advanced Computing, India, 2011: 17-22.

Real-time DDoS attack detection method in power monitoring system

MIAO Haifei CAO Xiang LIN Qing HU Shaoqian TANG Zhenyu

(NR Electric Co., Ltd, Nanjing 211102)

Aiming at the problem that distributed denial-of-service (DDoS) attacks in power monitoring system are difficult to identify in real time with high accuracy and low energy consumption, a real-time DDoS attack detection method based on firewall is proposed. The method adopts a combination of software and hardware. On the hardware side, the firewall uses field programmable gate array (FPGA) to collect message data in real time, update counters when forwarding messages, provide real-time characteristic values required for detection and perform attack prediction. On the software side, it runs a recognizer based on machine learning. The hardware senses the network status in real time when collecting packet data. Once the network is abnormal, the online identifier is launched to detect DDoS attack. A DDoS attack detection prototype system based on this method is implemented and deployed. Experiments show that the method can detect DDoS attack in real time with low resource occupancy and high accuracy.

power monitoring system; distributed denial-of-service (DDoS) attack; detection; real time; machine learning

2021-08-23

2021-09-30

繆海飛（1994—），男，江蘇如東人，碩士，工程師，主要從事變電站網(wǎng)絡(luò)安全和變電站自動(dòng)化系統(tǒng)的研究與開發(fā)工作。