基于软件定义安全的配电物联网分组转发异常检测.pdf

1、收稿日期:修回日期:基金项目:国家电网科学技术基金资助项目()作者简介:吴 平()男博士生主要研究方向为网络系统安全、数据平面可编程:.:/基于软件定义安全的配电物联网分组转发异常检测吴 平 孙浩洋 周莉梅 尚宇炜 高 飞(.北京云谷科创信息科技有限公司 北京 .中国电力科学研究院有限公司 北京)摘要:针对配电物联网“云、管、边、端”架构中云平台与边缘设备远程通信中存在的恶意的分组注入、篡改、丢弃与劫持攻击提出基于软件定义安全的配电物联网分组转发异常检测机制克服了传统网络通过插入随路径长度以线性尺度增加密码标签的方式实现分组转发检测引入的计算与带宽开销大的缺点 机制结合软件定义架构通过地址跳变

2、将网络流运行时间分割为随机的时隙网络节点基于跳变的地址信息转发分组流边缘入口与出口交换机采样该时隙内的分组并生成流量梗概控制器基于流量梗概检测分组转发异常最后构建仿真网络实现了所提机制分析与实验表明该开销小于同类机制引入了不超过 的转发延迟与低于的吞吐率损失可有效检测物联网云边远程通信分组转发异常关键词:软件定义配电物联网流量梗概分组转发异常检测中图分类号:文献标识码:文章编号:().第 卷第 期 年 月信 息 工 程 大 学 学 报 .引言作为国家关键基础设施的电力系统是高价值的网络攻击目标依托物理隔离的电力网络系统构筑了基于边界安全的纵深防御体系 随着配电物联网的快速发展电力系统广泛接入了

3、海量物联网终端基于分层思想将配电物联网系统架构分为感知层、网络层以及应用层应用、云平台、网络协议以及设备之间的相互作用构成了配电物联网的体系大厦 万物互联为电力网络转型带来了巨大的安全威胁风险配电物联网系统面临接口安全、应用安全、物理安全、设备安全、通信与流量安全等安全挑战大量设备的接入原有的安全边界变得模糊数量庞大和多样的网络流量为信道攻击提供了可行性条件基于边界的防御体系难以阻止攻击的传播 软件定义网络()作为一种新型的网络范式将控制与数据平面解耦重塑了传统网络僵化的体系架构 不同领域的研究人员正在尝试合并 与物联网这两种技术以解决物联网系统的安全问题 引入 架构的物联网为基于“云、管、边

4、、端”的配电物联网络安全带来了很多新的机遇:动态决策、动态网络监控、动态实时变化以及动态流量管理基于安全策略、防护、检测和响应的网络安全体系框架中检测作为网络安全模型中的一个重要环节既是网络安全防护和动态响应的依据又是制定并实施网络安全策略的有力工具 配电物联网“云、管、边、端”框架中的“端”是配电物联网的感知、控制与执行终端用于感知、监测、采集配电设备环境与状态数据是配电网络安全运行的重要部分为移动环境下手持终端设备身份认证和会话密钥协商而设计的 密码算法采用分组算法进行身份认证与密钥共享运算极为简单且资源占用极少适用于计算资源受限的配电物联网终端身份认证和会话密钥协商可以有效兼顾终端性能与

5、安全 然而“云、管、边、端”框架中的“管”包括了配电物联网云平台与边缘节点间通信的远程通信网其融合了传统网络协议既引入了传统安全威胁也由于在物联网系统中常见的底层协议和私有协议使得在设计和实现物联网系统协议过程中引入了新的缺陷和漏洞 远程通信网中恶意的网络节点可实施注入、丢弃、篡改数据分组高效、实时检测配电物联网云平台与边缘节点间通信传输中的异常并采取安全措施是对抗威胁、保障电力网络安全的重要手段 传统 网络转发验证通用方法是在分组头中嵌入密码标签实现分组逐跳验证检测而现有的 分组转发验证解决方案大多是通过引入传统 网络的验证机制来实现该类分组转发异常检测方案存在通信开销、计算资源开销大等不足

6、影响数据传输性能嵌入随路径长度增加而线性扩展的标签是网络分组转发验证解决方案的基本障碍 本文提出基于软件定义安全的配电物联网分组转发异常检测机制旨在对配电物联网云平台与边缘设备节点间网络分组转发行为进行检测实时检测网络报文转发中的异常行为及时采取响应策略具体来说本文提出了基于软件定义安全的配电物联网分组转发异常检测机制()机制基于流量梗概实现网络分组转发异常检测无需额外的分组头开销优于现有的随路径长度线性增加验证标签的检测机制以较小的开销实现高效分组转发可有效检测分组传输中的异常通过扩展可编程的协议无关报文处理交换机模型()实现了 并在虚拟网络环境中对其性能进行了评估结果表明所提机制引入了有限

7、的计算开销和通信开销验证了所提机制的有效性本文首先介绍相关工作其次简要描述攻击模型然后提出基于软件定义安全的配电物联网分组转发异常检测机制 并通过扩展 软件交换机对 性能进行评估最后给出结论 相关研究嵌入基于密码标识的分组转发验证机制在传统 网络的分组转发验证中已被广泛应用 使用聚合消息认证码技术将所有验证域凭证压缩到同一个路由器实现了源和路径验证但需要每个中间路由器存储和查找路径上其他路由器的共享密钥分组头开销较大每增加一跳 需增加 字节包头开销 ()设计了一种轻量级的数据源与路径验证机制发送端在数据包头设置数据包转发路径上所有节点验证标识中间节点执行两次消息认证码计算操作目的端验证转发路径

8、的正确性 标识随路径长度线性增加 文献提出了一种同态非对称密钥加密方案 构 信 息 工 程 大 学 学 报 年造一个恒定长度开销的路径验证机制其缺点是每一跳采用非对称的同态加密验证算法计算开销较大 网络中许多研究试图通过检查流统计数据的一致性来检测定位恶意的 交换机这些方法只能实现粗粒度检测不能应对复杂的攻击 文献通过使用探针的方式主动验证路径一致性或检查源与目的端的可达性这类机制假定交换机是诚实可信的不适用于对抗环境 文献分别提出了 网络分组路径验证机制 和 ()机制 中控制器与数据平面交换机共享对称密钥控制器加密流规则至流入口交换机下游交换机解密入口交换机在包头携带的流规则并转发分组同时各

9、交换机通过共享密钥计算消息认证码形成路径验证哈希链 与 不同的是 机制通过向转发的分组头中嵌入分组摘要信息保证其完整性同时路径中各交换机更新基于压缩消息认证码的标签信息防止恶意的分组重定向控制器基于嵌入的包头信息验证其是否通过了控制器授权的合法路径 使用压缩消息认证码降低了带宽开销但由于网络中存在的自然丢包率使得压缩消息认证码验证易出现错误同样 与 存在的共同缺点是嵌入的验证标签随路径长度线性增加本文提出基于软件定义安全的配电物联网分组转发异常检测机制 无需嵌入额外的密码标识引入了较小的计算和通信开销实现了高效的分组转发可实时检测配电物联网云平台与边缘节点间网络分组转发的异常行为 问题描述基于

10、网络控制面策略物联网数据平面交换机遵循控制器授权策略转发数据 然而云平台与边缘设备通信路径中一个被敌手控制的交换机节点可以对传输的分组实施篡改、丢弃、重放或注入虚假分组等攻击行为)分组注入 攻击者控制路径中某一交换机并向路径中的后继节点注入虚假数据分组)分组篡改 攻击者控制的交换机可以篡改数据分组的任意部分如数据包头信息、负载数据等内容)分组劫持 攻击者控制数据流路径中的某一交换机并重定向数据流至另一非控制器所授权的路径)分组丢弃 攻击者控制某一交换机并丢弃某一特定路径数据流的数据分组)分组重放 攻击者控制某一交换机并重放以前的数据分组攻击者的目标是控制某一路径上的节点交换机并破坏数据流分组的

11、正常转发本文目标是以有限的计算开销和通信开销检测在配电物联网中“云、边”网络分组传输中的异常转发行为本文假定逻辑集中的控制器是安全的控制器与数据平面的通信信道是安全的任一数据流入口与出口交换机为诚实的交换机节点基于流量梗概的异常检测 设计实现 的挑战在于克服传统机制通过嵌入随路径长度线性增加包头字段的方式、以较小的开销实现分组高效转发与近实时异常检测本节将阐述如何解决该设计挑战并实现安全目标如表 所示为文中使用的部分相关标识表 部分标识符及含义符 号描 述串连接符数据分组分组摘要函数哈希函数交换机标识时隙标识流传输路径消息认证码分组负载分组传输路径长度时隙 的流表规则流量梗概.节概述 机制.节

12、分别阐述 中基于地址跳变的分组转发以及基于流量梗概的异常检测机制.机制概述总体而言 机制是通过抽样统计检测分组传输中存在的篡改、注入、丢弃等攻击 然而由于流分组传输中存在的网络时延因此通过统计网络传输中交换机节点接收/转发的流分组计数信息必然存在时间同步问题 为此利用移动目标防御()中地址跳变()的思想将流运行时间分割为一系列的随机时隙或时间间隔 第 期吴 平等:基于软件定义安全的配电物联网分组转发异常检测可以有效解决控制器统计交换机分组计数信息的同步问题在任一时间间隔内流边缘入口和出口交换机基于相同的采样算法将采样的分组流量聚合为一个数据结构称之为流量摘要()或流量梗概()梗概和分组之间的区

13、别在于梗概所占空间小但提供了关于流数据分组聚合的近似信息而单个分组则提供了流分组的确切信息 控制器基于入口/出口交换机的网络流量梗概检测在该时隙内存在的异常转发行为 简言之 机制是将原本针对流的每一分组()的验证转化为针对分组聚合的近似信息的验证以此检测分组传输中的异常.基于地址跳变的分组转发基于软件定义的配电物联网架构中控制器可以通过请求命令消息获取交换机流表转发分组的统计信息然而由于网络传输时延使得流分组统计信息严格依赖于交换机之间的时间同步为此 通过地址信息跳变技术实现流传输中交换机间的统计信息同步并保证无损、可靠的分组流传输 本文将具有相同源与目的地址的分组传输定义为一个流 基于地址跳

14、变的时隙分割如算法 所示算法 基于地址跳变的流时隙分割输入:超时定时器 输出:下一时隙流表规则.()().().().().().等待一个往返时延.().算法 中的地址跳变由控制器实现当控制器分组传输超时定时器超时表明上一个时隙 结束基于算法 为流路径中的各交换机安装下一时隙 的流表规则 并撤销时隙 的流表规则 算法 按照逆序安装流表、顺序卸载流表的方式更新流路径中交换机流表 此处逆序安装指的是时段 的流表按照从目的交换机至源交换机的顺序安装而顺序卸载指的是从源至目的交换机的顺序卸载 时隙的流表 算法 中的下一时隙 的地址信息根据分组原始的地址信息和时段 标识计算而来(行)行)流路径中目的边缘

15、交换机 安装的流表指令将恢复原始地址信息并转发分组至目的端(行)而路径中的其余交换机将安装基于跳变后的流规则并按该流表规则转发分组(行)行)行)为入口交换机安装流表规则该规则将指定交换机修改分组的原始地址信息为跳变后的地址信息 在等待一个往返时延()后控制器按从源至目的交换机的顺序依次删除 时隙的流表规则(行)行)基于控制器流表规则流入口交换机修改流分组的原始地址信息实现流运行时间分割通过路径中交换机的任意分组在地址跳变的瞬时或者匹配 时隙的流表规则、或者匹配 时隙的流表但不可能同时匹配这两个时隙的流表 若分组进入路径中的某一交换机 且匹配 时隙的流表规则考虑到地址跳变时时隙的流表按顺序卸载因

16、此此时 所有后继交换机()必定保存着 时隙的流表分组可以可靠传输至目的主机若分组进入交换机 且匹配 时隙的流表规则而地址跳变时时隙的流表按逆序安装同样所有后继交换机()也必定已安装好 时隙的流表 因此算法 通过地址跳变实现了流运行时间的分割与同步保证了流分组无损、可靠传输.基于流量梗概的异常检测在任一时隙 内交换机节点基于跳变后的流表规则转发分组攻击者控制的交换机节点可以针对网络分组实施如第 节中描述的攻击行为控制器不能有效检测此类攻击:虽然控制器可以通过请求命令消息获取各节点的分组转发统计信息但攻击者可以通过修改分组或者丢弃一定数量的分组同时注入相同数量的伪造分组规避此类检测 为避免传统机制

17、随路径长度增加在分组头中嵌入线性增加分组验证字段引入的较大计算与带宽开销问题 采用流量梗概技术在流入口与出口交换机采样分组并基于采样的分组构造流量梗概检测异常转发行为 中基于流量梗概的检测机制将不严格区分攻击者所采用的攻击方式(注入、篡改、丢弃等)控制器只需对比入口及出口交换机生成的流量梗概即可检测分组传输中的异常 如图 所示为入口、出口交换机分组处理的逻辑 信 息 工 程 大 学 学 报 年图 入口/出口交换机分组处理逻辑流入口及出口交换机共享密钥 并通过式()计算分组消息验证码:()()式中为某一时隙 内分组在传输中始终保持不变的 头字段域(包含了算法 中跳变后的源与目的地址信息)通过式(

18、)入口/出口交换机在时隙 内以概率 采样分组摘要其中 为摘要值的比特位长度()()根据文献可知基于式()给定了参数 设在一个时隙 内转发的流分组计数为 在该时隙内的采样概率为 如果攻击者以大于概率 对流分组实施的丢弃、注入、篡改等攻击控制器至少以概率()检测到异常若无恶意攻击且流分组传输路径上的最大自然丢包率为 则控制器将至多以概率 发生误报在一个时隙 内若未检测到异常则在下一时隙 将减小分组 采样概率并增加定时器超时时间 ()()基于 构造的流量梗概所占用的交换机存储空间 如式()所示:()()式中:即被采样的分组摘要计数值且 且当时 实验及评估本节构建一个简单的仿真网络环境通过扩展交换 机

19、 行 为 模 型()及可编程 交换机评估 机制的 第 期吴 平等:基于软件定义安全的配电物联网分组转发异常检测有效性包括机制异常检测准确性并测试其网络性能.实验环境实验采用联想 作为运行平台操作系统运行 位 .配置为()()、.、内存使用 模拟网络环境可编程 软件交换机、基于 接口实现的控制器相关组件本文扩展了交换机行为模型 使其支持 机制中的采样与流量梗概生成通过 编译器编译 程序生成 格式描述文件并导入 交换机行为模型模拟网络采用分布式拓扑由若干虚拟 交换机及虚拟主机终端组成.异常检测准确率实验测试内容包括:在无恶意节点实施攻击时因自然丢包引发的异常检测误报率以及存在恶意攻击时控制器异常检

20、测的准确率实验时隙设定为 通过 持续向网络“边”节点发送分组实验 实验选取一条路径长度 的简单路径 路径自然丢包率 .选取 采样概率分别为.和 .在无恶意攻击的场景下控制器异常检测机制误报率如图 所示图 无攻击时的误报率从图 中可以看出无恶意攻击的情况下由于存在的自然丢包率基于采样分组摘要生成的流量梗概使得检测机制存在一定的误报但其误报率低于 约为.实验 考虑恶意节点针对分组的篡改等同于丢弃原数据包并注入伪造的分组分组的劫持攻击可等价于丢弃原路径上正常转发的分组因此实验中选取的恶意节点将随机实施针对分组篡改以及丢弃攻击实验结果如图 所示图 攻击检测准确率图 所示是在恶意攻击者随机篡改与丢弃攻击

21、下的实验结果 采样概率分别为.和.选取交换机节点 作为攻击者其分别以.、.、.、.、.、.的概率随机实施篡改或丢弃攻击 可以看出在以低于 的概率实施攻击时检测机制存在一定的漏报漏报率约 准确率大于 而当攻击者以大于 的概率实施攻击时漏报率低于 检测准确率为 以上.性能评估本小节评估机制的网络性能内容包括分组传输中的计算开销、分组头带宽开销、网络分组传输时延及网络吞吐率计算开销 数据平面交换机计算开销与带宽开销是影响转发时延及网络吞吐率的主要因素现有典型分组转发验证检测方案单次分组传输数据平面节点计算开销如表 所示表 典型方案计算复杂度方案源端中间节点目的端总开销()从表 可以看出 机制计算开销

22、优于现有典型机制 表 中:表示摘要计算 表示加解密 为路径长度 在长度为 的路径上 机制中节点需计算 次验证计算 机制中源与目的端各需 次验证操作 中只需入口/出口交换机一次消息验证码计算其开销小于 及 机制带宽开销 表 所示为典型机制的分组头带宽开销 为路径长度 随路径长度每增加一 信 息 工 程 大 学 学 报 年跳分组头开销增加 而 则增加 增加 而 机制采用地址跳变的实现分组转发基于流量梗概未插入任何额外的分组头开销表 典型方案带宽开销方案分组头开销/实验 实验对比测试了运行 协议及未运行 协议也即标准协议()的网络性能测试其在不同路径长度 下的转发验证 同时测试了在相同网络仿真环境下

23、表 以及表 中节点计算开销与带宽开销较小的机制 往返时延测试结果如图 所示图 分组传输往返时延图 中路径长 、时运行标准协议平均往返时延约为 及.而 的平均往返时延约为.及.平均引入了约.的单向网络转发时延机制 略高于 在 、时的时延分别约为 及.引入了平均约 的转发时延实验 网络吞吐率 实验对比测试了运行 机制及未运行 的吞吐率并测试运行了开销较小的机制 在分组负载为 下的网络吞吐率图 所示是在路径长度 的网络传输吞吐率实验结果 在同一负载条件下机制 吞吐率损失约为 而 约损失 的吞吐率图 网络传输吞吐率 结束语针对配电物联网“云、管、边、端”体系架构中云平台与边缘设备间网络通信存在的针对传

24、输分组的注入、篡改、丢弃与劫持攻击行为本文提出基于软件定义架构的配电物联网分组转发异常检测机制 基于网络流量梗概 无需额外的分组头带宽开销克服了传统 网络以及 网络中嵌入随路径长度线性增加分组头开销实现分组转发异常检测的缺点通过地址跳变保证了分组统计信息的同步与无损传输控制平面基于入口/出口交换机生成的流量梗概检测流分组传输路径中的异常行为最后构建仿真网络实现了所提机制分析与实验结果表明 计算开销与带宽开销小于同类机制可以有效检测配电物联网“云、边”网络传输中恶意的分组注入、篡改、丢弃等异常行为参考文献:苏盛汪干刘亮等.电力物联网终端安全防护研究综述.高电压技术():.杨毅宇周威赵尚儒等.物联

25、网安全研究综述:威胁、检测与防御.通信学报():.刘奇旭靳泽陈灿华等.物联网访问控制安全性综述.计算机研究与发展():.:.():.第 期吴 平等:基于软件定义安全的配电物联网分组转发异常检测 .():.:./:.郑建华任盛靖青等.密码算法设计方案.密码学报():.:.徐恪付松涛李琦等.互联网内生安全体系结构研究进展.计算机学报():.:.:./():.():.:.:.:.林耘森箫毕军周禹等.基于 的可编程数据平面研究及其应用.计算机学报():.:.:.:.:.:.:.:.:.:./():.:.():.?:.:.:.():.:./():.:.:.():.:.(编辑:刘彦茹)信 息 工 程 大 学 学 报 年