1、SHANDONG ELECTRIC POWER山东电力技术第50卷(总第307期)2023年第6期 数字新基建 0引言暴力破解是指采用一些技术手段,向攻击目标系统不断发起请求,再根据系统反馈的数据包特征来判断验证相关信息,进一步跳过验证所使用的机制1-3。暴力破解的场景主要有系统用户登录时对用户和密码进行暴力破解,人机验证机制相对比较好绕过,如系统需要输入验证码或使用短信验证码的情况。暴力破解的影响主要包括三方面:一是暴力破解后,攻击方会通过技术手段盗取用户数据;二基于RASP技术的电力应用系统账户安全防御技术研究刘冬兰,张昊,王睿,张方哲,孙莉莉(国网山东省电力公司电力科学研究院,山东济南2
2、50003)摘要:目前常用的使用验证码进行验证登录、限制登录IP和认证日志监控等方法,都无法完美地解决账户密码暴力破解的问题。为提升电力应用系统账户安全性,提出基于运行时应用程序自我保护(Runtime Application Self-Protection,RASP)技术的电力应用系统账户安全防御技术方法。首先,提出一种基于数据中台架构的用户登录请求和数据库关联方法,在Web服务器部署jar包软件探针,通过采用RASP技术在Web中间件处理请求的类中加入拦截代码,通过监控Java虚拟机中的应用程序类,实现对HTTP请求和数据交换的全过程监测。其次,提出基于RASP用户行为分析的暴力破解账户检
3、测方法,构建用户的访问行为,通过对比分析当前用户行为与用户行为模型,由此评判该用户行为是否存在异常,实现电力应用系统账户的安全防御。最后,设计基于RASP技术的电力应用系统账户安全防御系统,并详细介绍系统部署架构和功能架构,在数据中台架构下采用数据关联方法,精准关联前台用户访问请求和后台数据库访问,采用机器学习和大数据分析等技术实现账户密码防止暴力破解,有效提升新型数据攻击的检测能力。关键词:运行时应用程序自我保护;电力应用系统;安全防御;软件探针;暴力破解中图分类号:TN915.08文献标识码:A文章编号:1007-9904(2023)06-0001-05ResearchonAccountS
4、ecurityDefenseTechnologyofPowerApplicationSystem BasedonRuntimeApplicationSelf-protectionTechnologyLIU Donglan,ZHANG Hao,WANG Rui,ZHANG Fangzhe,SUN Lili(State Grid Shandong Electric Power Research Institute,Jinan 250003,China)Abstract:Common methods such as using verification code to authenticate lo
5、gin,limiting login IP address,and monitoringauthentication logs cannot perfectly solve the problem of brute force cracking of account passwords.In order to improve the accountsecurity of power application system,a method of account security defense of power application system based on runtimeapplica
6、tion self-protection(RASP)technology was proposed.Firstly,a method of user login request and database association basedon data platform architecture was proposed.A JAR package software probe was deployed in the Web server,and the interceptioncode was added to the request processing class in the Web
7、middleware based on RASP technology,which can realize the wholeprocess of monitoring HTTP request and data exchange.Secondly,a brute-force account cracking detection method based on RASPuser behavior analysis was proposed,and the normal behavior profile of the user was constructed.The current user b
8、ehavior wasjudged to be abnormal by comparing whether the current user behavior deviates from the user behavior model,so as to realize thesecurity defense of the power application system account.Finally,the account security defense system of power application systemwas designed based on RASP technol
9、ogy,and the system deployment architecture and functional architecture was introduced indetail.Based on the data association method in the data center architecture,the precise association between the backstage databaseaccess and the foreground specific access request was realized.Big data analytics
10、and machine learning technologies were used toprevent brute-force cracking of account passwords,effectively improving the detection capability of new data attacks.Keywords:runtime application self-protection(RASP);power application system;security defense;software probe;brute force基金项目:国家自然科学基金项目“面向
11、大规模复杂网络的云雾端动态群体协同安全保护关键技术”(U22A2029);国网山东省电力公司科技项目“智能电网5G安全接入及数据可信共享关键技术研究-课题 4:基于联邦学习的智能电网 5G 数据可信共享关键技术研究”(520626220016)。DOI:10.20097/ki.issn1007-9904.2023.06.0011山东电力技术第50卷(总第307期)2023年第6期是全球广域网(World Wide Web,Web)的资产信息可能会被泄露;三是攻击方可对服务器植入病毒木马,影响用户正常访问。对于暴力破解攻击,目前已有的解决方案为:1)验证登录使用验证码。目前,大多数网站登录的验证
12、码都采用静态验证码,一个验证码被使用多次,特别容易被破解器扫描并解析4-5。一旦被破解器解析,验证码无效。针对这种验证登录情况,一般可以采用手机短信验证、动态验证码、设计问题回答等方式。动态生成的验证码受时间限制,破解比较难。系统在登录过程中,一般先验证验证码,能够在暴力破解的时候间接降低风险。2)限制失败登录的次数。很多传统网站在设计之初未考虑系统安全性,比如在用户登录方面未限制登录错误次数,这样当黑客攻击时会不停尝试暴力破解密码。为增加系统安全性,预防被暴力破解,设计系统登录时可限制用户登录次数,如登录出现5次密码错误就锁定账户,减小暴力破解风险。3)认证日志监控。记录用户登录以及登录后进
13、行的一些敏感操作,比如频繁添加账户、删除信息等,当监控到的日志信息中敏感操作过于频繁,就产生告警,这样系统用户可及时对用户账户进行排查分析。4)判断用户登录网际互连协议(Internet Proto-col,IP)。目前,很多网站设计时未考虑对用户登录IP监控研判,即可在用户登录系统后记录IP,如果用户经常用此IP登录则记录为用户的常用IP,当后期出现用户登录IP与常用IP不一致时,则须采用其他方式验证,比如邮箱或短信验证。目前,电力信息系统大多部署在内网,当系统登录需要验证码时,验证码平台和互联网之间不能进行通信,在行业推广方面有所受限。针对认证日志监控和限制失败登录次数的方法,可针对源代码
14、进行修改。大多数电力信息系统无法关停更新。针对判断用户所使用的IP地址,攻击方会采用更换代理方式逃避安全检测。目前,登录大多采用验证码、限制登录IP和认证日志监控等方法,都无法解决账户密码暴力破解的问题 6-12。为解决此问题,须将用户的超文本传输协议(Hyper Text Transfer Proto-col,HTTP)登录请求和结构化查询语言(StructuredQuery Language,SQL)进行关联,再进行分析判断 13-16。因此,创新提出基于运行时应用程序自我保护(Runtime Application Self-Protection,RASP)技术解决账户密码暴力破解难题,
15、信息系统数据交互过程涉及浏览器与Web端、Web端与数据库、Web与应用程序编程接口(Application Program Interface,API)服务器、API和数据库。上述情况下,用户的访问请求与SQL语句关联比较困难。1用户登录请求和数据库关联方法1.1基于数据中台架构的用户登录请求和数据关联方法提出用户登录请求和数据库关联方法,主要适用于目前典型的数据中台架构,流程如图1所示。首先,在Web端部署jar包非侵入软件探针,采用RASP技术处理Web用户请求过程中,加入一段拦截代码,通过监控Java虚拟机(Java Virtual Machine,JVM)中的应用程序类 Class,
16、访问人员从浏览器到Web服务器、Web服务器到API接口服务器、API到数据库服务器的过程,从HTTP请求到API链接数据库服务器所有数据请求,通过从服务器获取数据后回传给用户,可以不修改系统对应的源代码,且能实现对HTTP请求和数据交换的全过程监测。将jar包软探针部署在Web和API服务器,如果有多个Web、API服务器则需要将jar包软探针部署在所有服务器。当系统加载 API 服务和 Web 程序时,使用JVM进程启动SQL和HTTP插件库。目前,基于数据中台结构的模式下,数据库和Web服务器交互时需要有API接口对接业务数据。文中提出的jar包软件探针也可以部署在API上,实现从用户侧
17、、Web服务侧、接口侧、数据库之间的数据传输交互,可对数据流转进行监测。当用户访问系统数据时,先发送 HTTP 请求,Web服务器接收到请求后会生成请求处理对应的线程,HTTP插件会识别HTTP请求并形成请求标识,从而实现在数据库中获取相应的元数据。当JVM虚拟机执行SQL语句时,通过SQL插件识别SQL查询之后,再计算SQL执行结果。用户发起的HTTP请求数据和后台数据库数据可以进行关联,关联数据主要包括:用户账户、Web服务器信息、请求统一资源定位系统(Uniform Re-source Locator,URL)、用户IP、请求标识、数据库信息等,为后期数据分析奠定基础。1.2提取用户登录
18、时形成的SQL语句提出的数据关联方法可以实现精准关联用户2HTTP请求数据和SQL查询结果。因此,模拟一次用户的登录,会记录相关的五元组信息、HTTP请求和SQL语句,此时通过采集登录IP、用户信息等相关信息,当HTTP请求中含有IP及用户信息时,判定为用户正常的登录操作。另外,也可以通过查看数据库返回信息,判断用户是否登录成功。2基于 RASP 用户行为分析的暴力破解账户检测方法提出基于RASP用户行为分析的暴力破解账户的检测方法,实现针对电力信息系统账户进行主动防御,通过构建用户的访问行为,对比分析用户行为与用户行为模型的区别,由此研判用户行为异常情况。最初通过对用户行为建模,把用户异常行
19、为特征抽取出来,并利用数据挖掘方法找出用户的异常行为,构建用户异常行为特征库,建立用户信任度评估模型。在建立用户信任度评估模型过程中,首先构建元数据记录库,存储用户元数据,包括待评估数据和完成评估的数据。随后,提取用户行为特征,主要根据用户访问的日志记录进行特征抽取。最后,根据单位时间里有效的登录次数进行综合对比分析,判定系统有没有暴力破解用户密码。2.1提取异常行为特征用户异常操作主要分析IP查询突变、用户查询突变、超量查询、高频查询、非工作时间查询5种典型情况,从5个方面分析用户的异常行为特征。异常行为特征如表1所示。表1用户异常行为特征序号12345用户异常操作IP查询突变用户查询突变超
20、量查询高频查询非工作时间查询异常行为特征判断用户每月使用固定IP地址访问系统情况,评估有没有异常查询判断用户每月查询的总请求数,评估有没有异常查询情况判断用户是否比平常查询系统的操作频繁数,评估有没有超量查询,当一段时间内有大量查询请求则可认为是超量查询判断用户有没有高频率查询操作,判断有没有异常查询。当单位时间内有大量的查询请求则可认为是高频查询判断用户在非工作时间的查询情况,评估有没有异常查询情况2.2构建异常行为分析模型针对用户不同的异常检测情况,重点分析异常登录、频繁登录、暴力破解、高频操作等情况。1)异常登录:异常登录主要是指在一定时间内,同一个账户频繁注册账号、登录系统、修改或重置
21、密图1用户登录请求和数据库关联方法流程刘冬兰,等:基于RASP技术的电力应用系统账户安全防御技术研究3山东电力技术第50卷(总第307期)2023年第6期码等行为17-18。通过采用jar包非侵入式软探针获取用户日志数据,分析用户异常登录行为模型,如判断是否为异地登录、暴力破解等。2)频繁登录:通过将用户设备指纹与用户登录日志数据进行融合分析,算出访问请求的熵,针对存在异常的可能情况做出频繁登录的报警信息。如可自行设置为,在5 min内账户登录次数和对应的SQL查询不能超过10条,超过登录次数则可认为是频繁登录。3)暴力破解:暴力破解就是同一用户在短期内频繁登录信息系统,尝试是否有密码能正确登
22、录19-20,此种情况下,若密码是弱口令则比较容易被暴力破解而成功登录系统。暴力破解的行为分析模型则通过采用URL访问登录系统,根据机器学习建立时间序列模型,并将用户访问和时间序列模型进行对比分析,结合用户登录是否成功、密码错误次数等信息研判这种情况是否属于暴力破解,对短时间内登录次数比较多的用户指纹进行分析研判。4)高频操作:在一定时间段内,同一个用户进行频繁的操作,比如在短时间内频繁访问信息系统、对信息系统信息进行频繁查询等。2.3训练数据分析模型1)正向模型训练:根据用户登录日志信息进行分析,采用多维度进行分析统计,对日志数据进行分析过滤,通过对用户特征值进行分析可以直接输出训练样本,并
23、加以人工研判提高准确率。2)反向模型训练:在用户登录日志信息中,根据用户日志信息反向查找源数据,处理分析后得到训练样本,并加以人工研判提高准确率。比如根据异常行为人员名单,可反向分析出相似行为的人员名单。3)模型实时检测:针对用户登录的日志信息,采用通用数据分析模型进行融合分析,输出分析结果。4)模型人工判定:通过采用数据分析和可视化技术,展示数据分析结果,辅助用户对数据分析模型进行研判。对用户行为特征值进行分析后,提供可视化的分析结果,业务人员可根据业务经验对数据进行分析研判,提高模型数据分析准确率。通过把参数设置在jar包软件探针节点中,再采集登录IP、用户信息等相关信息,当发起HTTP请
24、求时,含有用户相关信息,则判定为正在执行登录操作。可以根据用户需求定制化配置用户登录频率对应的阈值,超出阈值时则告警提示,也可以在告警信息中显示用户是否登录成功。3基于 RASP 技术的电力应用系统账户安全防御系统架构设计基于RASP技术的电力应用系统账户安全防御系统,将前台用户访问请求和后台数据库访问进行准确关联,采用机器学习和大数据分析等技术方法来解决用户密码暴力破解问题。系统通过部署jar包软件探针,实现对系统各类数据进行安全风险分析监测,并提供全面的分析决策建议,提升系统安全防御能力,可以有效防止系统被攻击造成的敏感信息泄漏。基于RASP技术的电力应用系统账户安全防御系统,部署非侵入软
25、探针的实现过程如图2所示,系统功能架构如图3所示。图2非侵入软探针部署架构3.1信息获取层信息获取层主要包括非侵入式软探针和数据访问请求两部分。非侵入式软探针是通过字节码插桩实现从程序中动态获取信息,通过向程序中插入一段额外的代码,实现在程序动态运行时获取运行信息。数据访问请求可以通过SQL语句获取相关数据。3.2安全大数据分析层安全大数据分析平台主要包括全景元数据、综合分析和结果分析。通过采用搜索数据分析引擎Elas-ticsearch 作为数据的存储引擎,存储相应的会话数据、告警数据、日志数据等。在系统中对各类数据,可以创建对应的数据索引,这样便于高效搜索数据,提高数据分析速率,便于快速分
26、析出用户的异常行为。全景元数据模块主要接收HTTP请求,并将URL转换为相应的SQL查询语句,并对查询结果数据进行处理,通过对查询结果进行数据清洗,最终得到结构化的元数据。综合分析模块主要实现对结构化的数据进行特征提取,分析提取用户行为、正常用户和异常用户4的行为特征,分析研判数据集中可能存在的用户异常行为。针对暴力破解账户的攻击,可以通过对源IP、目的 IP、SQL流量等信息开展统计分析,结合大数据分析、机器学习等技术,分析数据的访问行为,从而判断检测新型数据攻击。通过定期监测网络出口数据流量,构建用户的访问关系模型,并将此模型和用户的实时访问数据进行对比分析,可检测出异常访问行为。结合设备
27、指纹信息,对攻击访问行为进行回溯分析,可挖掘出SQL流量中的异常行为,从而找出相应的暴力破解攻击,并把攻击方IP添加到防火墙设备,可以实现对攻击者IP进行封禁。结果分析模块主要是把形成的特征集作为机器学习模型的输入集,通过不断训练模型进而得到用户行为画像,对暴力破解账户的攻击行为对应的告警信息进行异常判定,可以大幅提高安全威胁预警的准确率。3.3功能展示层功能展示层主要包括异常行为发现、被攻击账户列表、历史记录查询、数据窃密发现、数据资产监控、历史行为分析,实时展示数据访问列表、系统攻击和溯源等信息,直观展示系统资产安全状态及被攻击情况。通过分析系统攻击范围、攻击类型、攻击频次等情况,可直观展
28、现数据资产被攻击的情况,方便用户定位攻击并对攻击情况进行回溯分析,及时制定相应的安全防护方案,有力保障系统数据安全。4结束语提出基于RASP技术的电力应用系统账户安全防御方法,可有效解决数据中台架构下数据准确关联,通过部署jar包非侵入软探针,支持虚拟化和云环境,可有效地实现在数据中台架构下,Web应用服务器请求数据和后台数据库访问结果进行准确关联,为网络安全攻击回溯分析提供基础。另外,所提方法能够更加精准地识别攻击,通过利用机器学习及大数据挖掘分析技术方法,通过用户登录系统时间、用户登录系统的频繁情况、用户登录系统后所做的操作行为来识别异常检测。参考文献1张文金,覃仲宇,冯钊,等.大数据下的
29、web暴力破解攻击检测J.深圳大学学报(理工版),2020,37(增刊1):44-49.2刘卓华,黄彩娟,所辉.改进的抗假冒攻击的移动RFID双向认证协议 J.计算机应用与软件,2020,37(6):309-315.3安亚巍,罗顺,朱智慧.基于马尔可夫链的口令破解算法 J.计算机工程,2018,44(11):119-122.4吴俪昊,张晓曙,梁雪枫.基于机器学习的系统登录验证码自动识别与安全风险研究 J.中国卫生信息管理杂志,2020,17(4):523-527.5陈莞蓉.移动支付场景下协议实现的安全性分析与改进技术研究 D.北京:北京邮电大学,2019.6周小红,周建伙.MD5加密算法在注册
30、及登录验证模块中的应用 J.工业控制计算机,2015,28(11):118-119.7张未未,郭凤英,韩爱庆.基于多种类型宏的Access数据库登录身份验证系统 J.计算机与现代化,2015(5):121-126.8潘孝阳.微服务安全监控及认证交互机制研究 D.绵阳:西南科技大学,2019.图3基于RASP技术的电力应用系统账户安全防御系统功能架构(下转第26页)刘冬兰,等:基于RASP技术的电力应用系统账户安全防御技术研究5山东电力技术第50卷(总第307期)2023年第6期行,还可利用热力系统的虚拟储能特性实现系统热能供需实时平衡,进一步减小预测数据的误差对系统调度准确度产生的影响。参考文
31、献1孙宏斌,潘昭光,郭庆来.多能流能量管理研究:挑战与展望 J.电力系统自动化,2016,40(15):1-8.2刘涤尘,马恒瑞,王波,等.含冷热电联供及储能的区域综合能源系统运行优化 J.电力系统自动化,2018,42(4):113-120.3邱玥,陆帅,陆海,等.综合能源系统灵活性:基本内涵、数学模型与研究框架 J/OL.电力系统自动化:1-27 2022-09-14.http:/ J.电力自动化设备,2019,39(8):203-213.5王成山,吕超贤,李鹏,等.园区型综合能源系统多时间尺度模型预测优化调度 J .中国电机工程学报,2019,39(23):6 791-6 803.6汤翔
32、鹰,胡炎,耿琪,等.考虑多能灵活性的综合能源系统多时间尺度优化调度 J.电力系统自动化,2021,45(4):81-90.7YANG H Z,LI M L,JIANG Z Y,et al.Multi-time scale optimalscheduling of regional integrated energy systems consideringintegrated demand response J .IEEE Access,2020,8:5 080-5 090.8潘昭光,孙宏斌,郭庆来.面向能源互联网的多能流静态安全分析方法 J.电网技术,2016,40(6):1 627-1 63
33、4.9周丹,孙可,郑朝明,等.考虑供热系统热储能特性的电-热综合系统随机优化调度模型研究 J.可再生能源,2020,38(3):380-387.10 石亚平.基于热网动态特性的城市热电综合能源系统灵活性调度 D.天津:天津大学,2020.11 ZHANG Z W,WANG C F,WANG R Q,et al.Multi-time scale co-optimization scheduling of integrated energy system for uncertaintybalancing C/2021 IEEE IAS Industrial and Commercial Power
34、System Asia,Chengdu,China,2021.12 董帅,林卓然,王杉,等.一种电-热综合能源系统调度最佳时间尺度配合方法:CN112700066B P.2022-09-02.13 李敏超.计及多类型储能的电热联合系统低碳经济调度研究D.沈阳:沈阳工业大学,2020.14 邓红卫.计及碳排放成本的电-气-热综合能源系统节点能价计算方法研究 D.吉林:东北电力大学,2019.15 李祐廷.计及电力柔性负荷的综合能源系统优化配置和调度运行研究 D.上海:上海电力大学,2020.收稿日期:2022-09-14修回日期:2022-09-22作者简介:董帅(1994),女,硕士,工程师,
35、主要从事电网调度自动化及运维工作;王杉(1982),男,硕士,工程师,主要从事电力监控系统厂站自动化工作;李昊(1986),男,硕士,工程师,主要从事电网调度自动化及运维工作;张媛(1979),女,硕士,高级工程师,主要从事电力调度数据网运维工作;钟世民(1983),男,硕士,高级工程师,主要从事电网调控运行工作。9黄苏豫.加密重复数据删除系统的元数据高效管理研究 D.成都:电子科技大学,2022.10 周扬帆.抗穷举攻击的改进的RFID双向认证协议 J.计算机应用与软件,2022,39(8):320-324.11 李满礼,倪明,颜云松,等.面向恶意攻击的安全稳定控制系统信息物理协调防御方法
36、J.电力系统自动化,2021,45(18):113-121.12 沙乐天,肖甫,陈伟,等.面向工业物联网环境下后门隐私泄露感知方法 J.软件学报,2018,29(7):1 863-1 879.13 朱忠栋.基于HTTP流量的SOL注入攻击检测研究 D.北京:北京邮电大学,2021.14 王昌.动态网站安全漏洞检测系统的设计与实现 D.北京:北京邮电大学,2020.15 武云蕾.Web 应用的 SQL 注入测试工具的设计与实现 D.西安:西安电子科技大学,2019.16 赵宇飞,熊刚,贺龙涛,等.面向网络环境的SQL注入行为检测方法 J.通信学报,2016,37(2):88-97.17 明泽,宋
37、文爱,单纯,等.基于深度学习的网络恶意登录异常检测方法研究 J.中北大学学报(自然科学版),2021,42(4):325-331.18 明泽.基于主机日志的恶意登录异常检测方法研究 D.广州:中北大学,2021.19 肖贵灯,张颖.抗暴力破解的改进的超轻量级认证协议 J.计算机应用与软件,2022,39(9):345-349.20 张文金,覃仲宇,冯钊,等.大数据下的web暴力破解攻击检测J.深圳大学学报(理工版),2020,37(增刊):44-49.收稿日期:2022-10-05修回日期:2023-02-16作者简介:刘冬兰(1987),女,硕士,高级工程师,研究方向为网络安全、物联网安全、数据安全等;张昊(1990),男,硕士,工程师,研究方向为网络安全、物联网安全、数据安全等;王睿(1991),男,博士,高级工程师,研究方向为网络安全、物联网安全、数据安全等;张方哲(1995),男,硕士,工程师,研究方向为网络安全、物联网安全等;孙莉莉(1995),女,硕士,工程师,研究方向为网络安全、物联网安全等。(上接第5页)26
浙ICP备2021020529号-1 | 浙B2-20240490 
