一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
【专利摘要】本发明公开了一种智能电网嵌入式设备网络攻击诱捕系统,包括诱捕装置和安全分析服务器;诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;网络接口模块用于完成IP数据包的收发,安全控制模块用于对IP数据包进行标识和解析判别,安全控制模块连接有串口通信模块、外部存储器和开关模块;实际嵌入式设备模拟机将网络状态及主机状态信息发送至安全分析服务器;安全分析服务器通过多维度属性综合度量得出最终安全检测结果。本发明能够在不影响嵌入式终端正常工作的情况下,快速、准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估;同时有效阻止攻击者通过网络接口模块对诱捕装置进行攻击。
【专利说明】一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
【技术领域】
[0001]本发明涉及网络安全防御领域,尤其涉及一种能够在智能电网中针对网络攻击进行诱捕的系统和方法。
【背景技术】
[0002]目前,随着物联网产业的兴起,在智能电网中,各种传感器、控制设备均为嵌入式系统,广泛应用于发电、输电、变电、配电以及用户用电的各主要环节。除了业务上的测量、传输功能外,嵌入式系统还起着核心业务运行控制的功能。例如,用户层的复费率电能计量管理单元,设备层的变压器油温等传感器、电压电流变送器、继电保护装置、故障录波、线路保护、故障测距装置,控制室的数字录音、变电站的图像监控、配电网的远程抄表、负荷控制及自动化保护模块等等,基本上涵盖了电网指挥运行的各个方面。
[0003]从嵌入式系统自身来看,相对于传统的PC设备,嵌入式操作系统及其应用程序主要考虑的是硬件的适配性、更少的资源占用等问题,很多嵌入式系统的安全防护功能很少或者几乎没有,恶意攻击者很容易侵入到系统中,对嵌入式系统实施干扰、监视甚至远程控制。近年来,在国内外由于嵌入式系统造成的电力系统事故屡有发生,如著名的伊朗Stuxnet震网病毒事件,该病毒专门针对PLC (Programmable Logic Controller,可编程逻辑控制器)设备攻击,通过修改PLC来改变工业生产控制系统的行为,一度导致伊朗核电站推迟发电。
[0004]从网络层面来看,随着3G、WIFI等通讯手段的普及,嵌入式系统从有线网络向无线网络延伸,使得网络的安全问题更加突出。嵌入式系统由于计算资源有限,很多嵌入式网络协议均没有考虑安全问题,其设计目标是尽可能简单地实现路由,并方便日后扩展网络,基本上没有任何的安全机制。一旦嵌入式系统遭到网络攻击,整个智能电网的正常业务工作便会受到影响甚至于瘫痪。
[0005]与传统PC设备相比,嵌入式系统计算资源少、能耗低、工作环境复杂,现有的很多安全解决方案并不适用,而且嵌入式系统一般处于开放的工作环境中,传统计算机很容易解决的物理安全问题在嵌入式系统上也成为一个难题。这些嵌入式系统多为一体化设备,其操作系统包括嵌入式Linux、Vxfforks> WinCe等。针对来自网络层面的非法截获、中断、篡改或伪造等攻击,由于无法直接在这些嵌入式设备上加装额外的网络安全检测软件或系统,因此无法做到对嵌入式系统进行实时的网络安全检测与评估。
[0006]另一方面,随着网络攻击的日益严重,为提高网络安全性,防火墙、入侵检测、加密VPN等设备相继推出,能够在一定程度上提高网络安全性。但针对现有的网络安全设备,网络攻击发起者很容易利用网络接口模块对网络攻击过滤装置进行攻击,攻击者通过配置程序获取对网络安全设备进行配置的权限,然后修改网络安全设备中的配置信息。修改配置时,攻击者会按照后续攻击的目的设定特定的配置,以达到最终攻击受上述网络安全设备保护的网络的目的。因此,现有的网络攻击过滤装置在配置程序上存在漏洞,危害非常巨大,极易造成网络安全设备完全失去了防御作用。
【发明内容】
[0007]本发明的目的是提供一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法,能够在保护真实智能电网终端的基础上,通过诱捕设备捕获各种针对真实设备的攻击,在不影响嵌入式终端正常工作的情况下,快速、准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估;同时,本发明还能够通过硬件的改进实现网络攻击过滤装置的数据包标识和解析判别模式与文件配置模式的隔离,有效阻止攻击者通过网络接口模块对诱捕装置进行攻击,提高安全性,实现诱捕装置的有效保护。
[0008]本发明采用下述技术方案:
[0009]一种智能电网嵌入式设备网络攻击诱捕系统,包括诱捕装置和安全分析服务器;
[0010]所述诱捕装置的数据接收端连接智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;
[0011]网络接口模块用于完成IP数据包的收发,包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块;
[0012]安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,以及对所接收的智能电网网络发送的IP数据包进行解析判别,并将正常的IP数据包发送至实际嵌入式设备,将异常的IP数据包发送至实际嵌入式设备模拟机;安全控制模块连接有串口通信模块和用于单独存放文件配置程序的外部存储器,安全控制模块还连接有开关模块,开关模块的信号输出端连接安全控制模块的信号输入端;
[0013]实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器;
[0014]所述安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。
[0015]所述的安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络;当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。
[0016]所述的实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。
[0017]所述的安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估;
[0018]所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度:首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;然后安全分析服务器对完整性报告进行验证,得到PCRO, PCR1,…,PCRn-1对应组件的完整性信息,其中η为组件的个数;若得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f ;最后依据组件完整性与否的信息,计算平台配置信任度Ti ;
[0019]本发明使用三元组{bS,dS, uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度。
[0020]用三元组{bF,dF, uF}表示完整性验证失败的组件可信情况(完整性验证失败未必表示组件安全性受到威胁,其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度。
[0021]使用三元组表示平台配置信任度TI,TI={bI,dI,uI};
【权利要求】
1.一种智能电网嵌入式设备网络攻击诱捕系统,其特征在于:包括诱捕装置和安全分析服务器; 所述诱捕装置的数据接收端连接智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机; 网络接口模块用于完成IP数据包的收发,包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块; 安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,以及对所接收的智能电网网络发送的IP数据包进行解析判别,并将正常的IP数据包发送至实际嵌入式设备,将异常的IP数据包发送至实际嵌入式设备模拟机;安全控制模块连接有串口通信模块和用于单独存放文件配置程序的外部存储器,安全控制模块还连接有开关模块,开关模块的信号输出端连接安全控制模块的信号输入端; 实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器; 所述安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。
2.根据权利要求1所述的智能电网嵌入式设备网络攻击诱捕系统,其特征在于:所述的安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络;当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。
3.根据权利要求2所述的智能电网嵌入式设备网络攻击诱捕系统,其特征在于:所述的实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。
4.根据权利要求3所述的智能电网嵌入式设备网络攻击诱捕系统,其特征在于:所述的安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估; 所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度:首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;然后安全分析服务器对完整性报告进行验证,得到PCRO, PCR1,...,PCRn-1对应组件的完整性信息,其中η为组件的个数;若得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f ;最后依据组件完整性与否的信息,计算平台配置信任度Ti ; 本发明使用三元组IbS,dS, uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度; 用三元组{bF,dF, uF}表示完整性验证失败的组件可信情况,其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度; 使用三元组表示平台配置信任度TI,TI={bI, dl, ul};
5.一种智能电网嵌入式设备网络攻击诱捕方法,其特征在于,包括以下步骤: A:将诱捕装置的数据接收端直接接入智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;所述诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;网络接口模块包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块;B:当实际嵌入式设备需向智能电网网络上其他设备发送IP数据包时,利用安全控制模块对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络; 当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机; C:利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器; D:利用安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。
6.根据权利要求5所述的智能电网嵌入式设备网络攻击诱捕方法,其特征在于:所述的B步骤中,在安全处理模块上连接有串口通信模块和用于单独存放网络攻击过滤装置的文件配置程序的外部存储器,同时在安全处理模块上连接开关模块,开关模块的信号输出端连接安全处理模块的信号输入端;利用开关模块向安全处理模块输入高电平或低电平信号,安全处理模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式,文件配置模式下安全处理模块仅通过串口通信模块与外界进行通信;当安全处理模块执行IP数据包标识和解析判别模式时,安全处理模块从内部启动,即安全处理模块从内部存储单元中读取网络攻击过滤程序并执行,安全处理模块不能访问外部存储器;当安全处理模块执行配置程序运行模式时,安全处理模块从外部存储器中读取配置程序并执行,配置程序在用户的计算机中运行,用户计算机通过串口通信模块与安全处理模块进行通信。
7.根据权利要求6所述的智能电网嵌入式设备网络攻击诱捕方法,其特征在于:所述的C步骤中,实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。
8.根据权利要求7所述的智能电网嵌入式设备网络攻击诱捕方法,其特征在于:所述的D步骤中,安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估; 所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度:首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;然后安全分析服务器对完整性报告进行验证,得到PCRO, PCR1,...,PCRn-1对应组件的完整性信息,其中n为组件的个数;若得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f ;最后依据组件完整性与否的信息,计算平台配置信任度Ti: 本发明使用三元组IbS,dS, uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度; 用三元组{bF,dF, uF}表示完整性验证失败的组件可信情况(完整性验证失败未必表示组件安全性受到威胁,例如软件版本升级等也会导致PCR值验证失败,却是无害的),其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度; 使用三元组表示平台配置信任度TI,TI={bI, dI, uI};
【文档编号】H04L29/06GK103905451SQ201410133307
【公开日】2014年7月2日 申请日期:2014年4月3日 优先权日:2014年4月3日
【发明者】牛霜霞, 张之刚, 吕卓, 王艳敏 申请人:国家电网公司, 国网河南省电力公司电力科学研究院