一种基于自治域的源网荷工控系统协同防御方法与流程

本发明属于电力系统信息安全检测与防御技术领域，特别涉及一种基于自治域的源网荷工控系统协同防御方法。

背景技术：

随着全球能源互联网建设、特高压电网及分布式能源的快速发展，电动汽车、可控用户、微网等具有与电网双向互动能力，并且带有“源”、“荷”双重特征的新型负荷的比重呈不断上升的趋势。电网潮流的时空分布特性也日趋复杂，实现电网、电源与用户三者之间互动及协同控制的重要性和迫切性也在持续提升。

网络结构复杂化、边界模糊化以及威胁形态多样化对源网荷互动所涉及的工控系统安全防护带来严峻挑战。传统独立防御方式已不能满足目前用户的安全需求，为了实现系统各个层次之间协同防御，首先应建立业务逻辑角度和设备角度的多层次防御模型，然后研究安全防御策略的形式化描述方法，支撑多层协同防御策略的构建及优化学习，实现适用于源网荷互动的工控系统多层协同防御。

目前，由于现有各个环节部署的安全防护设备和措施相对独立，在安全攻击多样性、复杂性的网络时代，单靠某种安全技术不足以维护网络的正常运行。同时，面对大量的网络入侵，被动防御和静态响应无法达到有效防御的目的，因此，需要根据网络威胁数据实时生成协同防御策略，并结合多层次的网络阻断技术对安全攻击进行实时、主动防御。

技术实现要素：

发明目的：针对现有技术中存在的问题，本发明提供一种基于自治域的源网荷工控系统协同防御方法，将协同范围限制在与攻击相关的网络区域内，避免不必要的大范围协同通信，降低协同防御所带来的网络开销，不同的自治域之间采用集中式控制器的方法从而有效提升了跨域之间的协同防御效率。

技术方案：为解决上述技术问题，本发明提供一种基于自治域的源网荷工控系统协同防御方法，包括如下步骤：

(1)全局网络中的自治域m发现入侵异常；

(2)发现异常后自治域m进行域内自主防御；

(3)自治域m通过ssl数据传输模块向其他自治域发送异常消息或协同策略；

(4)自治域n收到来自自治域m的异常消息或协同策略；

(5)自治域n进行域间协同防御；

(6)自治域n完成协同防御后会将新产生的防御结果发送至协同控制中心。

进一步的，所述步骤(2)中自治域域内自主防御的具体步骤如下：

(2.1)启动自治域m内的协同控制器；

(2.2)与自治域m内的防火墙、路由器和交换机建立通信连接；

(2.3)协同控制器对将要发送的异常消息或协同策略进行加密；

(2.4)ssl数据传输模块准备向其他自治域发送异常消息或协同策略。

进一步的，所述步骤(5)中自治域域间协同防御的具体步骤如下：

(5.1)对自治域m发送来的异常消息或协同策略进行解析，同时整合数据，将解析后的数据融合到发送的消息当中；

(5.2)自治域m中的协同控制器会将融合后的消息发送至本域内的防火墙、路由器以及交换机；

(5.3)防火墙、路由器及交换机收到来自本域的协同控制器发来的消息后创建新的访问控制策略以及过滤规则；

(5.4)防火墙、路由器和交换机依据新产生的访问控制策略及过滤规则采取入侵阻断措施；

(5.5)自治域n的协同控制器会将新产生的访问控制策略及过滤规则进行加密，通过ssl数据传输模块向其他自治域发送协同策略。

进一步的，所述步骤(5.4)中防火墙、路由器和交换机依据新产生的访问控制策略及过滤规则采取入侵阻断措施的具体步骤如下：

(5.4.1)防火墙收到来自外部网络或内部子网的ip包；

(5.4.2)判断ip包类型，如果是转发ip包则根据防火墙内部制定的策略交由路由器，如果是终点ip包则进入步骤(5.4.3)；

(5.4.3)检测ip包，会有以下三种情形：

a)若包检测结果为正常包，防火墙会将该ip包交由上层应用程序响应，从而结束本次ip包检测；

b)若ip包检测结果为攻击包，则进入步骤(5.4.8)；

c)若ip包无法依据策略库进行识别，为新的攻击方法或病毒，则进入步骤(5.4.4)；

(5.4.4)防火墙将无法识别的ip包转发到内部子网；

(5.4.5)自治域内的入侵检测系统ids依据自身的防御策略检测出无法识别的ip攻击包；

(5.4.6)将检测得到的ip攻击包反馈至防火墙；

(5.4.7)防火墙接收到ids的反馈信息后会立即做出反应，完善策略，根据策略分析入侵的危害程度或攻击强度；

(5.4.8)当防火墙检测到ip包具有攻击性后依据策略库决定丢弃数据包或者堵塞网络端口。

与现有技术相比，本发明的优点在于：

本发明针对源网荷多层次、分布式的网络结构特点，将源网荷网络划分为具有层次结构的安全自治域群，在自治域内采用对等结构进行分布式协同防御。该方法可将协同范围限制在与攻击相关的网络区域内，避免不必要的大范围协同通信，降低协同防御所带来的网络开销，不同的自治域之间采用集中式控制器的方法从而有效提升了跨域之间的协同防御效率。

附图说明

图1为本发明的整体流程图；

图2为本发明中采取入侵阻断措施的流程图；

图3为具体实施例中源网荷自治域逻辑结构示意图；

图4为具体实施例中协同防御系统部署模型示意图；

图5为具体实施例中两种协同策略防御模型示意图；

图6为具体实施例中协同防御模型架构图。

具体实施方式

下面结合附图和具体实施方式，进一步阐明本发明。

如图1-6所示，本发明针对源网荷多层、分布式的网络结构特点，提出一种基于自治域的多层次协同防御结构模型，通过大规模网络自治域域内和域间的安全设备协作，实现主站层、通道层、子站层及业务层对源网荷大规模网络安全问题进行多层次协同防御。该模型方法的逻辑结构介绍如下：

模型将上至主站层，下至终端用户划分为一系列自治域，为了实现大规模源网荷网络分层协同防御，采用分布式协同控制的方法，各自治域拟采用基于代理(agent)的协同控制框架，包括协同控制中心(center)、协同成员、协防方式以及分布式协同机制四个部分。

1、协同控制中心：用于管理自治域内各个成员的master主机，以及接受来自上层自治域的协同防御策略和下发消息，同时下发安全策略给协同成员，完成防御响应动作。大规模源网荷网络的协同防御，主要通过协同控制中心节点之间的协作从而实现全局响应。

2、协同成员：包括协同纵向隔离装置、入侵检测系统、防火墙、路由器、交换机和厂站网络安全监测装置等安全设备。

3、协防方式：主要分为两种，分别是域内协防和跨域协防，域内协防是各自治域相对独立地对本地响应和防御。跨域协防是通过协同控制中心之间的信息共享来完成协同防御。

如图1所示，即本发明所述的一种基于自治域的源网荷工控系统协同防御方法，具体步骤如下：

步骤501，全局网络中的自治域m发现入侵异常。

步骤502，发现异常后自治域m便会进行域内自主防御，具体防御措施有：

1)启动自治域m内的协同控制器；

2)与自治域m内的防火墙、路由器和交换机建立通信连接；

3)协同控制器对将要发送的异常消息(或协同策略)进行加密；

4)ssl数据传输模块准备向其他自治域发送异常消息(或协同策略)。

步骤503，自治域m通过ssl数据传输模块向其他自治域发送异常消息(或协同策略)。

步骤504，自治域n收到来自自治域m的异常消息(或协同策略)。

步骤505，自治域n进行域间协同防御，具体的防御措施为：

1)对自治域m发送来的异常消息(或协同策略)进行解析，同时整合数据，将解析后的数据融合到发送的消息当中；

2)自治域m中的协同控制器会将融合后的消息发送至本域内的防火墙、路由器以及交换机；

3)防火墙、路由器及交换机收到来自本域的协同控制器发来的消息后会创建新的访问控制策略以及过滤规则。

4)防火墙、路由器和交换机会依据新产生的访问控制策略及过滤规则采取入侵阻断措施(详见图2)；

5)自治域n的协同控制器会将新产生的访问控制策略及过滤规则进行加密，通过ssl数据传输模块向其他自治域发送协同策略。

步骤506，自治域n完成协同防御后会将新产生的防御结果发送至协同控制中心，从而达到跨域信息共享，共同防御入侵的目的。

图2所示是本发明所述的数据包分析算法流程图。在每个自治域内的交换机镜像端口上会部署一个探测器，主要用来采集自治域内的网络流量信息，并将各种数据流量信息发送给入侵检测系统。当入侵检测系统(ids)检测到入侵后，如果已知该入侵的攻击特征，会通过协同控制器来命令网络中所有的路由器对其进行阻断，拒绝该流量信息。如果该流量以一种可疑的方式变化，但并不具备已知的特征，此时协同控制器会将该流量牵引至honeynet当中，由honeynet进行观测，在此期间一旦确定为新的攻击行为，就会启动协同控制器，采取防御措施。具体的防御步骤如下：

步骤601，防火墙收到来自外部网络或内部子网的ip包。

步骤602，收到ip包后会对ip包的类型进行判断，如果是转发ip包则会根据防火墙内部制定的策略交由路由器。

步骤603，如果是终点ip包，此时防火墙会结合策略库对该ip包的安全性进行检测和判断，会有以下三种情形：

1)若ip包检测结果为正常包，防火墙会将该ip包交由上层应用程序响应，从而结束本次ip包检测；

2)若ip包检测结果为攻击包，则跳转到步骤608，采取具体的应对措施，丢弃该数据包或堵塞相应的网络端口；

3)若ip包无法依据策略库进行识别，为新的攻击方法或病毒，则继续对该ip包进行检测。

步骤604，防火墙会将无法识别的ip包转发到内部子网。

步骤605，自治域内的入侵检测系统(ids)会依据自身的防御策略，检测到这些无法识别的ip包。

步骤606，ids检测到这些ip包具有攻击性后会马上反馈给防火墙。

步骤607，防火墙接收到ids的反馈信息后会立即做出反应，完善策略，根据策略分析入侵的危害程度(或攻击强度)。

步骤608，当防火墙检测到ip包具有攻击性后会依据策略库决定丢弃数据包或者堵塞网络端口。

本发明能够针对不同层面的网络安全问题，做出可靠地响应。系统模型部署在各个自治域内，其安全防御分为域内防御和域间防御两个层面，前者是自治域内部安全组件(如防火墙、ids等)之间的协同防御，主要解决局部网络安全问题，使得各自治域的安全防御具有相对的独立性，并且能够满足自治域对网络安全防御的不同需求；后者是自治域之间通过协作来共享网络安全信息，解决自治域之间所面临的共同大规模网络安全问题，主要通过实时审计，实时共享和实时调度，来实现灵活快速的应急响应，为攻击源定位和快速响应提供丰富、准确的信息。因此，每个自治域既是大规模网络安全防御的贡献者，又是网络安全防御的受益者。

本发明采用分布式p2p通信方式，克服了单点故障，使单个自治域防御系统的崩溃不会造成大规模网络协同防御系统的瘫痪。在协同防御的过程中，系统模型采用分布式ca认证和ssl数据传输的措施来保证系统的安全性。

4、分布式协同机制：分布式协同机制是通过各自治域之间的协作服务、各自治域之间共享消息的方式来实现，从而提高单独自治域的防御效率。各自治域独立地监测网络安全，将监测到的威胁信息用统一的格式进行描述，具体采用消息快速分发算法，实现更快更精准的全网协同防御。

在每一个自治域模块中，包含一个域内防御模块和一个跨域防御模块，域内防御模块主要负责自治域内部出现的系统安全问题，跨域防御模块主要负责不同自治域间的系统安全协同防御问题。针对两类不同的防御问题，本发明设计了两种系统协同防御策略，分别是自治域内协同策略和自治域间协同策略。

1)自治域内协同策略：由各协同控制中心独立制定。

2)自治域间协同策略：由各协同控制中心经过协同来制定。

协同策略定义为统一的格式和字段：

<domain><target><type><event><level><operation><objects>

其中：

domain：表示该策略属于域内或域间的标志；

target：表示策略所针对的目标，可以是自定义的常量，如ip地址、端口等；

type：表示策略的类型，例如入侵或者响应；

event：表示策略所针对的安全事件信息，如tcpflood、udpflood等；

level：表示安全事件的危险等级；

operation：表示策略需要执行的操作，包括检测、警报、隔离等；

objects：表示操作对象，如ids、防火墙等。

不同的协同策略有着不同的协同策略类型，本发明主要有以下三种协同策略类型：

1、基于端口的协同策略：根据网络流量检测结果，获知哪些地址所对应的端口出现网络异常，通过对路由器或者交换机的协同控制，进行流量阻拦；

2、基于地址的协同策略：根据网络流量检测结果，获知哪些网络地址出现网络异常，通过对路由器或者交换机的协同控制，进行流量阻拦；

3、基于服务的协同策略：根据对网络用户行为的检测结果，对于可疑的用户行为采取动态隔离的控制策略，控制异常行为的扩散。

以下针对两种典型的协同防御场景给出具体的算法描述及实现方法：

1、分布式拒绝服务攻击多层协同防御场景

当ddos攻击时，本发明能够使ddos源端自治域、中间自治域和受害端自治域进行域间协同防御。各自治域间利用消息传播算法来共享安全事件消息，形成域间协同防御策略同时进行协同防御。具体算法描述如下：

对于任何一个自治域(用as(i)来表示)而言，当as(i)检测到ddos攻击时，采用一系列度量a(如两个方向的tcp流量比率、icmp和udp报文速率的异常变化)和报文属性m(如报文大小、服务端口、ip信息等)来标识该局部攻击。

对于每个度量aj，使用相应的属性mj来测量，得到该攻击的置信度：

confj＝(mj)×d(mj)(1)

其中：mj表示权重，它依赖于属性mj造成误报或漏报的程度，d(mj)表示决策函数，一旦confj超过设定的阈值，as(i)一方面会对该流量执行限速：

rout(aj)＝rin(aj)×θ(confj)(2)

其中：θ(confj)为置信水平(其值介于0到1之间)；另一方面，依靠消息分发算法向其邻居as(k)发送消息(confj，aj，dest)到目的节点dest。当as(k)收到消息后，执行下面的算法进行异常流量的限制：

dj＝∑confj

if(dj≥threshold)

then(dest受到攻击)and(as(k))限制该流量

其中，threshold表示设定的阈值。

在发生ddos攻击时，网络往往会承受较大的负载。因此，上述算法的性能主要面临两个方面的考验：

1)消息在传递过程中所带来的网络负载；

2)消息融合过程中所产生的延迟。

上述问题可采用有向流言(directionalgossip)传输策略来解决。gossip协议和多播或广播协议相比无需同步，因而具有更低的负载。有向流言能够极大地减小消息传输过程中所产生的负载和延迟。在ddos的协同防御算法中，as(i)以概率1来发送消息(confj，aj，dest)到dest路径上的所有自治域节点，它随机地将来自其他节点的消息转发给其余节点。任一个自治域节点都会保持一个消息列表，并通过消息融合来确定攻击行为，最终为限制ddos攻击流量提供依据。

2、恶意代码攻击的多层协同防御场景

在一个特定的自治域内，协同控制中心及该自治域内部的其他防御节点协同地对恶意代码(蠕虫、病毒等)进行检测和响应，各检测节点向协同控制中心节点报告检测的结果(局部检测警报信息)。该协同控制中心将这些检测结果分发给其他自治域的协同控制中心，并接收来自其他协同控制中心发送的检测信息，根据数据融合的结果进行决策和响应，所采取的响应机制包括resettcp、通过snmp重新设定交换机、路由器和防火墙等设备。为了有效地阻止恶意代码的攻击或扩散，必须在检测的过程中对恶意代码进行抑制，随后根据数据融合的结果，更准确地判断出恶意代码的类型，从而逐渐地对协同策略进行调整。通过网络异常监控，主要对主机漏洞、网络流量和恶意代码进行监控，通过相应的检测模块判断是否存在异常，将检测的结果通知协同控制器，由它采用相应的防御策略，最终通过snmp来控制防火墙、交换机或路由器等安全设备进行过滤。如果所检测的结果是已知攻击，就可直接采用现有的防御策略：

1)在易感主机上安装补丁修补漏洞；

2)在网络和主机中对恶意代码传播产生的流量进行过滤；

3)将感染主机从网络中隔离；

4)用杀毒程序清除蠕虫。

如果检测到未知攻击时，交由主站恶意代码分析，来获取进一步的攻击信息，并产生新的防御策略。

在上述算法流程中，各个安全模块之间的主动协同控制需要系统模型框架来协调。算法利用报文交换语言来使得模块间无歧义地协同控制和通信，采用基于安全策略的统一描述，有助于保证系统模型中不同安全系统和不同主机对蠕虫或病毒事件做出统一的响应，避免策略不一致而产生冲突。另外，由于xml具有灵活、开放、操作方便、扩展性强的特点，使其成为解决不同系统间通信的有效途径。算法采用xml作为安全模块间通信报文的协议语言，安全系统需要其他系统协同工作时，自动生成基于xml的消息，使算法的有效性得以保证。

源网荷互动工控系统安全问题是任何一个自治域所难以独立解决的问题，需要各自治域之间通过部署协同防御系统来达到共同抵御网络攻击的目的。由于各自治域出于对业务分离、安全等方面的考虑，使得系统模型的实施面临挑战。模型需要进行合理地部署，从而确保其可靠性和安全性。

图3所示是本发明所述的源网荷自治域逻辑结构示意图，根据源网荷层次模型，分为主站层，通道层(变电站层)和子站层。与其相对应的是主站自治域，区控自治域和自治域。安全策略等问题由主站自治域负责下发，下发至区控自治域后采取具体应对措施，包括域间防御和跨域防御，同时向子站层自治域下发协防策略，同样采取域间防御和跨域防御，最大化协同防御，抵御入侵，将损失降到最低，确保源网荷互动工控系统稳定运行。

图4所示是本发明所述的协同防御系统部署模型示意图，各个自治域多层协同防御，每个自治域又分为域内防御和跨域防御两个模块，域内防御主要负责本自治域内各层级之间的协同防御，跨域防御主要负责各个域之间的协同防御。

图5所示是本发明所述的两种协同策略防御模型示意图，根据图1所示的三层模型，具体对应到省公司层，变电站层和用户侧，由省公司负责协防策略的下发，下发至各下级所属的变电站，由各变电站采取域内和域间防御措施，同时生成协防策略再下发至用户终端，采取具体的物理应对措施，这样能够控制损失，及时阻断，保证整个大规模网络的稳定运行。

图6所示是本发明所述的协同防御模型架构图，该架构主要由协同控制中心、各接口模块(ids接口模块、漏洞扫描接口模块和主机接口模块)以及在该框架上运行的各种安全系统(路由器、防火墙和交换机)组成。其中，协同控制中心在每个自治域内有且只有一个，它具有协同控制器的功能，并通过本机的代理程序与其他自治域进行通信，整个协同防御网络的防御过程是通过协同控制中心节点之间的协作来进行全局响应，从而达到协同防御的目的。针对于协同控制中心的安全性，本发明采用分布式ca认证和ssl数据传输协议来确保协同控制中心节点的身份认证、数据传输保密以及数据完整性。

整个主动协同防御模型采用域内和域间相结合的方式，即各自治域相对独立地对本地进行检测和防御，当发生跨域攻击时进行域间协同，通过协同控制中心之间的信息共享来达到共同防御攻击的目的。此外，架构模型还集成了入侵检测系统(ids)、防火墙、路由器、交换机和honeynet(蜜网)等安全设备和多种安全技术，从而保障多层次、纵深化防御。

以上所述仅为本发明的实施例子而已，并不用于限制本发明。凡在本发明的原则之内，所作的等同替换，均应包含在本发明的保护范围之内。本发明未作详细阐述的内容属于本专业领域技术人员公知的已有技术。