1、SHANDONG ELECTRIC POWER山东电力技术第50卷(总第309期)2023年第8期DOI:10.20097/ki.issn1007-9904.2023.08.0100引言随着我国电网运行网络规模的快速扩大,电网系统的用户数量不断增加,电网实时运行中产生大量有价值的数据。为确保电网数据安全,如何开展具有内生安全效应的主动安全防护体系至关重要1-4。目前,我国各部门智能电网数据的管理水平参差不齐,数据资产化存在诸多风险,因此,风险管理成为智能电网数据资产化工作推进的必要环节5-7。针对智能电网数据安全,已有研究大多结合大数据技术,解决数据实时处理、分析、关联、分类、检索和还原等问题
2、,实现安全可视分析、多源事件数据关联、用户行为分析等数据安全分析功能8-12,缺乏对多类对象(如用户、终端、应用系统、数据库等)审计记录的关联分析,难以进行有效的审计追踪,反向追溯到行为人的行为13-15。当前,新一代信息系统的安全管控对象为非结构化数据,先建立数据分类和数据分级的方法,再将种类繁多的数据资产依据基金项目:国网山东省电力公司科技项目“基于运行时自保护技术的应用数据安全防护技术与应用”(520609220005)。Science and Technology Project of State Grid Shandong ElectricPower Company“Applicat
3、ion Data Security Protection Technologyand Application Based on Runtime Self-Protection Technology”(520609220005).运行时攻击自免疫技术在电网数据安全防御系统的应用刘祥国1,张营2,王中龙1,杜慧珺1,周佳1(1.国网山东省电力公司泰安供电公司,山东泰安271000;2.国网山东省电力公司宁阳县供电公司,山东泰安271400)摘要:为提高电网实时在线运行系统的安全防御能力,构建基于运行时攻击自免疫技术的电网数据安全防御系统。首先,构建非侵入式软探针字节码插桩安全防护技术,生成用户访问
4、行为画像,实时监测程序运行时的动态信息和所有的数据库请求,甄别有效请求和非法请求。然后,在复杂的电网数据资产运行环境中,设计主动安全防御架构体系。最后,应用多维度特征提取技术,分析用户常见六大类异常行为特征,实时预警异常用户操作。通过模拟黑客新型攻击实验,验证所提防御系统可有效提升电网数据安全性和稳定性。关键词:非侵入式软探针;用户画像;特征提取;主动安全防御中图分类号:TP393文献标识码:A文章编号:1007-9904(2023)08-0074-07Application of Runtime Attack Autoimmunity Technology inPower Grid Data
5、 Security Defense PlatformLIU Xiangguo1,ZHANG Ying2,WANG Zhonglong1,DU Huijun1,ZHOU Jia1(1.State Grid Taian Power Supply Company,Taian 271000,China;2.State Grid Ningyang Power Supply Company,Taian 271400,China)Abstract:To improve the security defense capability of the real-time online operation syst
6、em of the power grid,a power grid datasecurity defense system based on runtime attack autoimmunity technology is constructed.Firstly,a non-intrusive soft probebytecode instrumentation security protection technology is constructed,which generates user access behavior portraits,monitorsdynamic informa
7、tion during program execution and all database requests in real time,and identifies valid requests and illegalrequests.Then,in the complex operation environment of power grid data assets,an active security defense architecture system isdesigned.Finally,the multi-dimensional feature extraction techno
8、logy is applied to analyze the six common types of user abnormalbehavior characteristics,and warn abnormal user operations in real time.By simulating a new type of hacker attack experiment,itis verified that the proposed defense system can effectively improve the security and stability of power grid
9、 data.Keywords:non-intrusive soft probe;user portrait;feature extraction;active safety defense74制定好的方法设置级别,使用不同安全防护工具在数据的各个传输过程中进行防护,同时提供相关安全取证视图16-17,这种分类方法对结构化数据的处理有待进一步的优化。随着软件项目上云成为主流,建立以云计算环境为核心的“自然资源云”平台,服务器由传统的物理机变成云模式下的虚拟机。因此,安全防护也从传统的防护模式扩展到基于云计算、移动办公等环境的具有新特性的防护体系18-21。针对上述问题,为更好地应对电网在线运行平
10、台运行时数据安全的问题,在“输、变、配”三大类关键系统运行中,采用基于运行时攻击自免疫的技术,把守护程序和应用程序融为一体。守护程序进行实时检测和阻断安全攻击,确保应用程序具备自我免疫和保护能力。1应用数据防护系统现状分析1.1共性问题分析为保障电力系统运行安全,电网企业每年都会组织大量攻防实战。针对现有应用数据防护系统存在问题,通过实验,对攻击方和防守方实际应用进行分析,总结为以下 4 种共性问题。1)攻击数据访问者追踪溯源仅能标识网际互联协议(Internet Protocol,IP)。传统身份溯源追踪方式采用用户注册的身份标识号(Identity Document,ID)、Cookie
11、和 IP 等信息,但就业务系统而言,一个用户可以注册多个 ID,而且攻击者可以不断更换 IP 地址,仅能对 IP 地址进行追溯和拦截,随着电网企业数据资产互联网化,基于 IP 的防御策略难以满足现状。因此,在不修改业务系统源代码的前提条件下,引入非侵入式软探针,通过设计实现浏览器指纹追溯模型,解决地址追踪定位问题,具体模型设计如图 1 所示。由图 1 可知,用户访问系统后,Canvas 画布获得浏览器指纹,通过打印预览、小型文本和画布记录相似指纹,通过指纹追踪算法,分析相似指纹阈值(按照指纹相似度阈值是否大于 90%的取值原则),通过图像处理引擎给数据访问者分配一个唯一身份指纹 ID,最终实现
12、对每一个用户访问的数据追踪溯源。2)数据库加密流量无法审计。数据库系统采用加密传输方式进行数据交换。然而数据库安全审计装置需通过流量镜像方式对数据库传输内容进行安全审计,因此加密流量和数据库审计产生互斥性。数据库审计装置在遇到加密流量后无法审计数据库数据。因此,设计实现非侵入图1浏览器指纹追踪模型Fig.1 Browser fingerprint tracing model刘祥国,等:运行时攻击自免疫技术在电网数据安全防御系统的应用75山东电力技术第50卷(总第309期)2023年第8期软探针技术方案,通过字节码插桩等技术在应用层对数据资产进行安全审计,同时提取数据请求及真实的结构化查询语言(
13、Structured Query Language,SQL)语句、访问频次和访问时间元数据,对加密流量实现审计应用。3)复杂的电网数据资产运行环境。电网及下辖各公司面临的研发环境和运行环境不尽相同,被监测目标的硬件配置和计算能力不同,数据资产的存在形态不同,各个监测点的网络环境不同。针对复杂的数据资产运行环境,设计各个环境下的监测 Agent 技术结构、监测策略和部署方案,最终实现适用于复杂数据资产运行环境的安全监测技术。4)新型数据攻击手段检测困难。伴随着云计算的普及、新的 DevOps 流程的发展、物联网设备的蔓延、供应链的复杂交织以及数字基建的涌现,新一代网络攻击手段也在持续演进,有效的
14、威胁检测与响应能力作为重要的攻防手段,是提升实战化对抗能力的关键因素。1.2新型数据攻击的安全挑战随着新型数据攻击手段的更新,诸如鲸钓攻击、数据勒索、零日攻击、供应链攻击等,作为重要的攻防手段,有效的威胁检测与响应能力是提升实战化对抗能力的关键因素。针对新兴的、严峻的威胁攻击手段,电网公司面临如下安全挑战。一是新型攻击手段难以发现。由于国家电网很多在线运行系统暴露在互联网之外,现有新型攻击手段多数能绕过防火墙、杀毒软件等传统安全检测设备,仅沿用过去的防御手段,将产生防护盲区和漏洞。二是攻击链难以回溯。通常,安全团队能够发现内部(或横向)异常,但是难以完整地复现整个攻击过程,包括攻击如何产生、如
15、何进入、控制对象、横向内部攻击对象等信息。由于无法还原整个攻击链,导致数据安全维护人员不能掌握整个攻击的发展趋势,在后续的防御中比较被动。三是攻击者信息难以溯源。安全防守方对攻击诱发因素难以掌握和攻击者的背景等信息,安全运维人员面临巨大的挑战。综上所述,在面对高可疑攻击行为时,对抗的关键点在于怎样去快速验证、研判以及扩线分析。防守方取胜的要诀是在程序执行期间,使程序能够自我监控和识别有害的输入行为,能够自主进行病毒免疫和防护。2RASP应用技术原理分析在攻防演练实践中,防守方一般在访问数据库 SQL 应用的系统中植入监控代码,监测程序运行时的动态信息和所有的数据库请求,甄别有效请求和非法请求,
16、实现自免疫的能力,保护系统运行安全,及时处置异常请求和有害攻击。以下就防 守 中 的 运 行 时 攻 击 自 免 疫 技 术(RuntimeApplication Self Protection,RASP)技术应用及相关算法实现原理进行阐述。2.1非侵入式软探针安全防护技术通过研发基于字节码插桩的非侵入式软探针技术,可实现对终端设备指纹追踪和访问请求元数据捕获。用于发现电网数据在形成资产的过程中产生的威胁情报,以增强对整个系统安全运维的防护。基于字节码插桩的非侵入式软探针程序插桩流程如图 2 所示。图2基于字节码插桩的非侵入式软探针程序插桩流程Fig.2 Non-intrusive soft
17、probe program instrumentationprocess based on bytecode instrumentation76由图 2 可知,通过判断源程序是否为空后,通过行号遍历信息检索(Information Retrieval,IR)后进行判断改行的语句类型。在 3 类插桩流程中,插桩规则 1 为待插桩方法的集合,对 Java 和 Servlet 基础类库进行分析后,提取出的与污点传播相关的方法。插桩 1 基于可达方法集合和待插桩方法集合的交集,利用转换包(Jimple Transform Pack,JTP)过程对JIMPLE 进行动态插桩。插桩规则 2 为进行污点分析
18、,包括污点传播策略设计、污点路径跟踪、污点检查与验证,根据条件覆盖率等规则算法形成污点传播分析方法库,将污点传播分析方法库和插桩后的应用程序进行链接后形成可跟踪污点传播的可执行程序。插桩规则 3 为插桩源判断,用于待插桩文件是否为空的判定,决定下一步是否启动判定。非侵入式软探针插桩技术可以实现从宏观到微观过程中风险数据的可视化呈现,并辅助分析决策,从而有效增强新形势下互联网行业数据基础,提高系统安全状况的认知能力,使数据防御从被动预防转为主动式预防,实现系统安全防御能力可视化,并建立警示、通报、应对的工作流闭环,有效保障应用业务系统的数据安全。2.2基于行为画像的数据安全防御技术在电网系统的运
19、行过程中,主要有以下几种网络访问类型:电力专网、电力内网、互联网、虚拟专网(Virtual Private Network,VPN)虚拟网络访问。所提基于行为画像的数据安全防御技术是针对安全数据收集、处理、存储、外部接口(Application ProgrammingInterface,API)以及挖掘为多维一体的异常检测模型。在系统运行中,安全防御整体系统设计如图 3所示。实践中常使用多种安全工具,模拟生物体自免疫的原理。从信息获取层,安全大数据而分析层,到功能展示层的三层设计。从数据访问请求层开始,收集终端指纹分析,发现业务威胁情报,最终模拟实现人体从病毒输入,分辨有害病体,人体免疫系统介
20、入,产生抗体,吞噬处理有害病毒的这一过程,有效保护了生物体的健康。2.3多维度特征提取分析根据电网实践中,对异常用户几种主要异常操作数据,按照不同维度来分片统计,如表 1 所示。图3安全防御整体架构设计Fig.3 Design of overall security defense architecture刘祥国,等:运行时攻击自免疫技术在电网数据安全防御系统的应用77山东电力技术第50卷(总第309期)2023年第8期表1用户异常行为特征Table 1 Abnormal user behavior characteristics序号123456用户操作类型用户 IP 查询地址突变用户查询数量
21、突变敏感信息源模糊查询行为超正常流量查询高频次业务操作工作时间外的查询用户行为异常判定衡量用户每月使用特定 IP 查询量变化情况,判断是否存在异常查询针对真实用户每月固定的查询总数量的变化情况,识别出异常查询针对敏感信息源模糊查询的行为,识别出异常查询针对用户超工作量的操作或业务查询,识别出异常查询针对用户某些高频次的操作或者业务查询,识别出异常查询针对用户工作时间外的查询,识别出异常查询根据表 1 可知,通过 6 类用户的异常操作类型,可以得到不同的用户异常行为判定,可以从多维度分析该部分用户输入数据的特征,得到对用户的异常预警,辨别正常行为与非正常行为(内部攻击/外部攻击),保障系统的安全
22、运行。3攻防演练分析基于所提模型和算法进行攻防演练,一次攻防演练后电网数据安全防御系统攻击统计结果如图 4所示。由图 4 可知,在电网数据安全防御系统中,从数据审计记录、终端指纹威胁统计、攻击告警、终端 IP威胁统计、登录账号威胁统计、威胁分布、威胁趋势等多个维度对实时系统进行监控和预警,以应对诸如 SQL 注入、违规操作、数据泄露、指纹伪造等攻击手段。通过攻防演练分析后得出电网数据安全防御系统具备如下能力。1)身份追踪机制能力。通过软探针方式在不改变页面源代码的情况下实现,利用多维指纹获取技术实现所有访问数据的访问者终端设备分配唯一身图4一次攻防演练后的攻击统计分类Fig.4 Statist
23、ical classification of attacks after an attack and defense drill78份令牌作为用户标记。如数据访问者通过 web 方式访问数据库,可将访问者的请求转换为完整的 SQL语句,为下一步数据防护审计和黑客攻击行为分析提供元数据。2)SQL 数据审计能力。通过 SQL 语义分析技术实现低误报的数据审计,每一个防护的数据平台安全策略都智能量身定制,有效防范 SQL 注入、拖库和撞库等数据库攻击行为。通过对数据库本机操作行为的捕获并解析,实现应用与数据库的同机审计。为使数据库的访问行为有效定位到业务工作人员,可以通过 SQL 行为与业务用户的
24、准确关联分析,使基于风险、语句、会话、客户端、应用端、响应时长、应答结果等可以溯源和定责。3)行为画像分析能力。利用大数据分析技术检测数据访问中潜在的异常行为,在整个数据保护生命周期中具备更深层次的分析和挖掘。其中部分功能还结合了机器学习智能分析的方法,可以通过对正常用户和恶意黑客行为分析进行动态的判断,弥补传统的数据安全防护方案不能对刷单、撞库和薅羊毛等新型数据攻击进行防御缺陷。4)协同防御自免疫能力。以全网联动的云情报中心为核心的协同防御策略。将攻击者身份令牌作为阻断标识,当攻击者攻击 A 数据库时,自动记录攻击者唯一身份令牌并上报云情报中心。当数据访问者访问 B 数据库时,B 数据库与云
25、情报中心联动比对访问者唯一身份令牌是否在云情报中心的黑名单中,如存在进行阻断形成协同防御,最终实现自免疫能力。由于 RASP 技术是直接部署在系统中间件(Tomcat、weblogic 等)中,在应用程序接收请求之前对请求进行过滤和分析,规避安全风险。应用程序无须进行任何开发方面的修改,只需要进行简单的配置即可,且具备实时检测和拦截风险,因此对 CPU(Central Processing Unit)性能有一定损耗,进而影响用户的流畅体验,因此需要采用高性能并行计算处理器部署 RASP 技术。4结束语为应对越来越严峻的新型数据攻击手段带来的安全挑战和减少日新月异的网络安全攻击事件带来的损失,提
26、出基于运行时攻击自免疫技术的电网数据安全防御系统。通过 RSAP 技术在电网数据安全防御系统的实践,能有效自我监控和识别有害的输入行为,实现自主进行病毒免疫、预警和自我防护的机制,提高电网“输、变、配”三大类系统在线运行系统的安全水平,确保电网数据安全。参考文献1贾哲,张林杰,安海涛.网络自免疫内生安全防护体系设计 J.计算机与网络,2021,47(12):65-68.JIA Zhe,ZHANG Linjie,AN Haitao.Design of endogenous securityprotection system for network self-immunityJ.Computer
27、andNetwork,2021,47(12):65-68.2张毅,王涛,陈月娥.面向多用户的自免疫网络抗毁性检测仿真J.计算机仿真,2019,36(3):414-417.ZHANG Yi,WANG Tao,CHEN Yuee.Multi user oriented selfimmunity networkinvulnerability detection simulationJ .ComputerSimulation,2019,36(3):414-417.3王新年,冯珊,周凯波,等.自免疫网络安全防御体系研究 J.武汉理工大学学报,2006(6):90-92.WANG Xinnian,FENG
28、 Shan,ZHOU Kaibo,et al.Research on thesecurity architecture for the self-immune networkJ.Journal ofWuhan University of Technology,2006(6):90-92.4李爱华,陈思光,张悦今.智能电网数据资产的风险管理 J.大数据,2019,5(2):104-115.LI Aihua,CHEN Siguang,ZHANG Yuejin.Risk management ofsmart grid data assetsJ.Big Data,2019,5(2):104-115.5
29、李若鹏.基于大数据的网络异常行为检测平台的设计与实现D.广州:华南理工大学,2018.6张云.基于大数据的交管用户异常行为审计系统设计 D.杭州:浙江工业大学,2019.7张婧婧.非结构化数据资产安全管控系统的设计与实现 D.济南:山东大学,2017.8胡辉,徐世亮.基于分层防护的“自然资源云”安全体系建设实践 J.电脑知识与技术,2020,16(26):38-40.HU Hui,XU Shiliang.Construction practice of natural resourcecloud security system based on layered protectionJ.Comp
30、uterKnowledge and Technology,2020,16(26):38-40.9李尚,周志刚,张宏莉,等.大数据安全高效搜索与隐私保护机制展望 J.网络与信息安全学报,2016,2(4):21-32.LI Shang,ZHOU Zhigang,ZHANG Hongli,et al.Prospect ofsecure-efficient search and privacy-preserving mechanism on bigdata J.Journal of Network and Information Security,2016,2(4):21-32.10 王维扬.基于
31、web 应用模型的二阶 SQL 注入测试用例集生成D.北京:北京化工大学,2020.11 杨晓峰.基于机器学习的Web安全检测方法研究 D.南京:南京理工大学,2011.刘祥国,等:运行时攻击自免疫技术在电网数据安全防御系统的应用79山东电力技术第50卷(总第309期)2023年第8期12 邱若男,胡岸琪,彭国军,等.基于运行时技术的Java Web框架漏洞通用检测与定位方案 J.武汉大学学报,2020,66(3):285-296.QIU Ruonan,HU Anqi,PENG Guojun,et al.A universalvulnerability detection and locati
32、on scheme for java web frameworkbased on runtime technologyJ.Journal of Wuhan University,2020,66(3):285-296.13 叶志鹏.基于污点分析的代码注入攻击检测与防御方法研究D.武汉:武汉工程大学,2018.14 何作鑫.基于运行时的 Webshell检测程序设计与实现 D.重庆:西南大学,2022.15 蒋磊.基于机器学习的SQL注入检测技术研究 D.南京:南京邮电大学,2017.16 李佳文,王锐.基于RASP的Java Web应用安全防护系统的研究与实现 J.网络安全技术与应用,2022(
33、12):26-28.LI Jiawen,WANG Rui.Research and implementation of java webapplication security protection system based on RASPJ.NetworkSecurity Technology and Application,2022(12):26-28.17 张金莉,陈星辰,王晓蕾,等.面向 Java 的高对抗内存型Webshell检测技术 J.信息安全学报,2022,7(6):62-79.ZHANG Jinli,CHEN Xingchen,WANG Xiaolei,et al.Higha
34、dversarial memory based Webshell detection technology for JavaJ.Journal of Information Security,2022,7(6):62-79.18 王奕钧.RASP技术在关键信息基础设施防护中的局限性分析J.信息安全研究,2021,7(3):250-256.WANG Yijun.Analysis of the limitations of RASP technology in theprotection of critical information infrastructure J.InformationSec
35、urity Research,2021,7(3):250-256.19 葛蕊.国家电网公司网络安全组织管理体系研究 D.北京:华北电力大学,2019.20 陈春霖,屠正伟,郭靓.国家电网公司网络与信息安全态势感知的实践 J.电力信息与通信技术,2017,15(6):3-8.CHEN Chunlin,TU Zhengwei,GUO Liang.Practice of network andinformation security situation awareness in SGCC J.PowerInformation and Communication Technology,2017,15(
36、6):3-8.21 李向阳,赵汉卿,王丽婧.大数据在计算机网络安全防范中的应用分析 J.网络安全技术与应用,2023(2):53-54.LI Xingyang,ZHAO Hanqing,WANG Lijing.Application analysisof big data in computer network security preventionJ.NetworkSecurity Technology and Application,2023(2):53-54.收稿日期:2022-12-15修回日期:2023-05-23作者简介:刘祥国(1983),男,高级工程师,主要从事电力系统及其自动化、网络安全方面工作;张营(1979),男,高级工程师,主要从事网络安全方面工作;王中龙(1980),男,硕士,高级工程师,主要从事网络安全和数字化方面工作;杜慧珺(1990),女,工程师,主要从事网络安全和数字化方面工作;周佳(1980),女,硕士,高级工程师,主要从事网络安全和数字化方面工作。(责任编辑张丹丹)80
浙ICP备2021020529号-1 | 浙B2-20240490 
