近年來(lái)，電力信息安全事故頻發(fā)，電力作為關(guān)乎國(guó)計(jì)民生的重要基礎(chǔ)設(shè)施，一直以來(lái)都是網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象，極易成為網(wǎng)絡(luò)戰(zhàn)的首要目標(biāo)。烏克蘭大停電事故也進(jìn)一步印證了網(wǎng)絡(luò)攻擊已成為破壞電力等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的新型武器。

電力監(jiān)控系統(tǒng)的信息安全建設(shè)，已經(jīng)從原來(lái)的只考慮網(wǎng)絡(luò)邊界的“十六字方針”（橫向隔離、縱向認(rèn)證、安全分區(qū)、網(wǎng)絡(luò)專用）過(guò)渡到電力監(jiān)控系統(tǒng)內(nèi)部。盡管電力監(jiān)控系統(tǒng)采用專網(wǎng)專用的形式，但是監(jiān)控專用網(wǎng)絡(luò)中一旦有設(shè)備或計(jì)算機(jī)被黑客攻陷，極易在專用網(wǎng)絡(luò)環(huán)境下傳播，導(dǎo)致產(chǎn)生網(wǎng)絡(luò)安全問(wèn)題。

在軌道交通網(wǎng)絡(luò)信息系統(tǒng)、配電網(wǎng)自動(dòng)化通信系統(tǒng)和直流控制保護(hù)系統(tǒng)中均存在較復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題。其中，特別是分布式拒絕服務(wù)（distributed denial-of-service, DDoS）攻擊帶來(lái)的危害不可小覷，DDoS攻擊的主要目的是消耗攻擊目標(biāo)的計(jì)算資源，令網(wǎng)絡(luò)服務(wù)在一段時(shí)間內(nèi)不可被訪問(wèn)，致使服務(wù)癱瘓，在電力監(jiān)控系統(tǒng)中則會(huì)導(dǎo)致重要設(shè)備如監(jiān)控后臺(tái)無(wú)法及時(shí)響應(yīng)控制命令，發(fā)生嚴(yán)重電力安全事故。

DDoS攻擊流量大、范圍廣、造成的損失大，已經(jīng)嚴(yán)重威脅電力系統(tǒng)網(wǎng)絡(luò)的安全，因此，如何使用較少的資源實(shí)時(shí)準(zhǔn)確地檢測(cè)出DDoS攻擊是目前一個(gè)亟待解決的問(wèn)題。

本文基于準(zhǔn)確性和實(shí)時(shí)性要求，提出一種基于防火墻裝置的軟硬件結(jié)合的實(shí)時(shí)DDoS攻擊檢測(cè)方法，硬件負(fù)責(zé)采集數(shù)據(jù)，軟件負(fù)責(zé)檢測(cè)和分析，軟硬件各司其職，大大提升了電力監(jiān)控系統(tǒng)內(nèi)DDoS攻擊檢測(cè)的準(zhǔn)確性和實(shí)時(shí)性。

1 相關(guān)研究

國(guó)內(nèi)外針對(duì)DDoS攻擊檢測(cè)的研究有很多，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境和互聯(lián)網(wǎng)環(huán)境下，也有很多方法來(lái)檢測(cè)DDoS攻擊。但是，相關(guān)文獻(xiàn)的所提方法較少用于電力監(jiān)控系統(tǒng)內(nèi)部。因?yàn)檫@些方法要么計(jì)算量太大導(dǎo)致無(wú)法做到實(shí)時(shí)性，要么可以實(shí)時(shí)檢測(cè)但是準(zhǔn)確率較低，無(wú)法滿足電力系統(tǒng)對(duì)攻擊檢測(cè)的實(shí)時(shí)性和準(zhǔn)確性要求。

為解決上述問(wèn)題，本文提出一種基于防火墻裝置的軟硬件結(jié)合的實(shí)時(shí)DDoS攻擊檢測(cè)方法。電力監(jiān)控系統(tǒng)中采用的防火墻裝置，一般都擁有可編程特性，本文利用電力監(jiān)控系統(tǒng)防火墻的可編程特性，新增硬件計(jì)數(shù)器，通過(guò)讀取硬件計(jì)數(shù)器對(duì)DDoS攻擊進(jìn)行預(yù)判斷，在疑似發(fā)生DDoS攻擊時(shí)，將報(bào)文提取至防火墻的軟件層面，并運(yùn)行機(jī)器學(xué)習(xí)模塊對(duì)報(bào)文數(shù)據(jù)進(jìn)行檢測(cè)，從而實(shí)現(xiàn)資源占用低、識(shí)別準(zhǔn)確率高的實(shí)時(shí)DDoS攻擊檢測(cè)。

本文基于電力監(jiān)控系統(tǒng)專用防火墻裝置，該裝置用于電力監(jiān)控系統(tǒng)內(nèi)網(wǎng)絡(luò)報(bào)文過(guò)濾，采用多核CPU作核心處理，同時(shí)輔以現(xiàn)場(chǎng)可編程門陣列（field programmable gate array, FPGA），兩者互相配合，以便實(shí)現(xiàn)特定的功能。由于CPU與FPGA的結(jié)合，防火墻裝置可以同時(shí)編寫軟硬件程序，控制其對(duì)報(bào)文的處理，實(shí)現(xiàn)可編程功能。

因此，本文在防火墻裝置中編寫軟件代碼，在FPGA中運(yùn)行硬件程序，軟件代碼可以通過(guò)對(duì)應(yīng)的應(yīng)用程序接口（application programming interface, API）讀取相應(yīng)的硬件計(jì)數(shù)器，可以較為方便地在該平臺(tái)上實(shí)現(xiàn)軟硬件的配合，收發(fā)并分析報(bào)文，以及配置規(guī)則等，電力監(jiān)控系統(tǒng)專用防火墻裝置提供了硬件基礎(chǔ)，可以實(shí)現(xiàn)實(shí)時(shí)DDoS攻擊檢測(cè)。

2 軟硬件結(jié)合的DDoS攻擊檢測(cè)方法

本文從降低設(shè)備資源使用率、實(shí)時(shí)性和準(zhǔn)確性出發(fā)，提出基于防火墻裝置的軟硬件結(jié)合的實(shí)時(shí)DDoS攻擊檢測(cè)方法，該方法由兩大模塊組成：基于FPGA的實(shí)時(shí)數(shù)據(jù)采集模塊和基于機(jī)器學(xué)習(xí)的攻擊識(shí)別模塊。兩大模塊均在防火墻裝置的用戶空間中運(yùn)行，數(shù)據(jù)采集模塊基于FPGA進(jìn)行編程，改變報(bào)文在防火墻中的流向，同時(shí)記錄重要數(shù)據(jù)并保存在寄存器中；攻擊識(shí)別模塊提取寄存器值和報(bào)文特征值進(jìn)行在線識(shí)別，基于機(jī)器學(xué)習(xí)技術(shù)可以高準(zhǔn)確率地檢測(cè)出是否存在DDoS攻擊。

2.1 基于FPGA的實(shí)時(shí)數(shù)據(jù)采集模塊

在對(duì)DDoS攻擊的檢測(cè)中，實(shí)時(shí)數(shù)據(jù)采集比較影響網(wǎng)絡(luò)性能，容易造成網(wǎng)絡(luò)堵塞，影響防火墻裝置的正常轉(zhuǎn)發(fā)，因此采用硬件方式實(shí)時(shí)感知網(wǎng)絡(luò)狀態(tài)。經(jīng)過(guò)對(duì)DDoS攻擊的調(diào)研可知，攻擊過(guò)程中一般會(huì)在短時(shí)間內(nèi)有大量不同的源端訪問(wèn)同一個(gè)目的機(jī)器，而目的機(jī)器無(wú)法處理大量的請(qǐng)求，從而導(dǎo)致拒絕服務(wù)。

這樣在鏈路上可以看到接收的報(bào)文數(shù)遠(yuǎn)大于發(fā)出的報(bào)文數(shù)，會(huì)出現(xiàn)收發(fā)數(shù)量不對(duì)等和流量激增等特征，利用這樣的特征可以通過(guò)對(duì)FPGA編程，從硬件層面上獲取網(wǎng)絡(luò)鏈路狀態(tài)值，同時(shí)將數(shù)據(jù)保存在寄存器中，便于軟件程序讀取硬件計(jì)數(shù)器，以最小的資源代價(jià)提前感知網(wǎng)絡(luò)異常狀態(tài)。

實(shí)時(shí)采集模塊基于FPGA的可編程特性，將流經(jīng)防火墻的報(bào)文在經(jīng)過(guò)簡(jiǎn)單的計(jì)算后保存在相應(yīng)的計(jì)數(shù)器中，用戶空間的軟件可以通過(guò)硬件API獲取實(shí)時(shí)采集的數(shù)據(jù)。報(bào)文在被FPGA捕獲到后，首先解析用戶定義的關(guān)鍵字信息，隨后根據(jù)關(guān)鍵字提取報(bào)文中的相應(yīng)值，然后通過(guò)查表模塊將獲取的值更新到對(duì)應(yīng)的硬件寄存器中，最后報(bào)文由自定義動(dòng)作模塊轉(zhuǎn)發(fā)到目的地址，硬件原理框圖如圖1所示。

圖1 硬件原理框圖

為了減少軟件和硬件之間的交互時(shí)間，本文在收集消息特征時(shí)使用字節(jié)速率來(lái)幫助實(shí)現(xiàn)實(shí)時(shí)攻擊預(yù)測(cè)。一般來(lái)說(shuō)，正常流中的字節(jié)率會(huì)比較穩(wěn)定。當(dāng)主機(jī)受到DDoS攻擊時(shí)，字節(jié)率的差異會(huì)在短時(shí)間內(nèi)急劇增加，在統(tǒng)計(jì)上呈現(xiàn)出一定的突變。

本文基于滑動(dòng)窗口法進(jìn)行DDoS攻擊檢測(cè)預(yù)判，通過(guò)計(jì)算相鄰時(shí)間段內(nèi)的狀態(tài)及狀態(tài)的變化量推算是否產(chǎn)生異常。采取該方法以窗口的形式計(jì)算網(wǎng)絡(luò)中的字節(jié)速率，判斷電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境是否穩(wěn)定無(wú)突變等。

綜上所述，基于FPGA的實(shí)時(shí)數(shù)據(jù)采集模塊能夠?qū)崟r(shí)采集數(shù)據(jù)，并根據(jù)閾值進(jìn)行DDoS攻擊檢測(cè)預(yù)判，一旦檢測(cè)到網(wǎng)絡(luò)異常，將通知DDoS攻擊識(shí)別模塊，在該模塊中，利用機(jī)器學(xué)習(xí)技術(shù)對(duì)DDoS攻擊進(jìn)行識(shí)別。

2.2 基于機(jī)器學(xué)習(xí)的攻擊識(shí)別模塊

1）基于機(jī)器學(xué)習(xí)的DDoS攻擊識(shí)別機(jī)制

在發(fā)生DDoS攻擊時(shí)，網(wǎng)絡(luò)環(huán)境中的某些特征在統(tǒng)計(jì)上與正常流量差異較為明顯，如IP數(shù)量、端口數(shù)量、雙向報(bào)文數(shù)量等特征值。因此可以利用機(jī)器學(xué)習(xí)技術(shù)分析正常流量和異常流量數(shù)據(jù)，提取特征值并建模，以識(shí)別DDoS攻擊。

基于機(jī)器學(xué)習(xí)的DDoS攻擊識(shí)別機(jī)制首先進(jìn)行訓(xùn)練和測(cè)試，訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集的處理如下文所述。訓(xùn)練和測(cè)試完成后將得到分類模型，DDoS攻擊識(shí)別器加載該分類模型后根據(jù)實(shí)時(shí)從報(bào)文中提取出的特征值進(jìn)行DDoS攻擊識(shí)別。

為了達(dá)到實(shí)時(shí)性，本文選擇以2s為時(shí)間單位，在有報(bào)文流入該模塊后，分析每個(gè)周期的流量情況，提取該周期內(nèi)的特征值，形成特征向量，由訓(xùn)練好的DDoS攻擊識(shí)別程序進(jìn)行分類，以進(jìn)行實(shí)時(shí)DDoS攻擊檢測(cè)。

2）數(shù)據(jù)集處理

為達(dá)到最佳訓(xùn)練效果，本文選用CICIDS2017數(shù)據(jù)集，該數(shù)據(jù)集由標(biāo)記的網(wǎng)絡(luò)流組成，包括完整的數(shù)據(jù)包pcap文件和進(jìn)行過(guò)標(biāo)記的CSV文件等。

本文首先從數(shù)據(jù)集中提取與DDoS攻擊相關(guān)的報(bào)文和相應(yīng)的CSV文件，根據(jù)已知的DDoS攻擊的發(fā)生時(shí)間和攻擊者與受害者IP等信息，對(duì)不同的記錄進(jìn)行標(biāo)記，將正常記錄標(biāo)記為0，DDoS攻擊記錄標(biāo)記為1，提取出正常記錄約9.0萬(wàn)條，攻擊記錄約13.0萬(wàn)條，共約22.0萬(wàn)條。

隨后對(duì)數(shù)據(jù)集進(jìn)行隨機(jī)劃分，按照9:1的比例將數(shù)據(jù)集劃分為訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集，數(shù)據(jù)集劃分結(jié)果見表1。

表1 數(shù)據(jù)集劃分結(jié)果

3）特征選擇與分類器

特征選擇指的是在特征向量中選擇出那些優(yōu)秀的特征，組成新的、更精簡(jiǎn)的特征向量的過(guò)程。它在高維數(shù)據(jù)分析中十分常用，可以剔除冗余和無(wú)關(guān)的特征，提升分類器的性能。

本文在選擇特征時(shí)基于協(xié)議分析和流量模型分析等兩大類方法，泛化性較好。本文采用封裝的特征選擇方法，其核心思想是將子集的選擇視為一個(gè)搜索優(yōu)化問(wèn)題，生成不同的組合，對(duì)這些組合進(jìn)行評(píng)估，并與其他組合進(jìn)行比較。

在特征選擇的過(guò)程中，采用的具體算法為遞歸消除特征法。首先隨機(jī)構(gòu)建模型，然后選出最差的特征，把選出來(lái)的特征剔除，在剩余的特征中重復(fù)這個(gè)過(guò)程，直至遍歷完所有的特征值。該特征選擇法使用比較簡(jiǎn)單，可以面向分類器算法進(jìn)行優(yōu)化，但由于存在龐大的搜索空間，因此可能具有不穩(wěn)定性，需要通過(guò)知識(shí)儲(chǔ)備預(yù)先定義啟發(fā)式策略，因此本文在選擇特征的過(guò)程中，同時(shí)考慮了Karimazad的建議，最終選擇表2中的11個(gè)特征值進(jìn)行DDoS

表2 DDoS攻擊檢測(cè)算法特征值

攻擊識(shí)別和分類。其中，8個(gè)特征值為計(jì)數(shù)特征值，可直接從防火墻設(shè)備上的硬件計(jì)數(shù)器獲取，3個(gè)特征值為計(jì)算特征值，需要在防火墻軟件層進(jìn)行簡(jiǎn)單計(jì)算。

分類器作用是在標(biāo)記好類別的訓(xùn)練數(shù)據(jù)基礎(chǔ)上判斷一個(gè)新的觀察樣本所屬的類別。針對(duì)DDoS攻擊識(shí)別，分類器依據(jù)的學(xué)習(xí)方式為監(jiān)督學(xué)習(xí)，每個(gè)訓(xùn)練樣本包括訓(xùn)練樣本的特征和相對(duì)應(yīng)的標(biāo)簽。

本文選取支持向量機(jī)（support vector machine, SVM）分類算法，利用支持向量機(jī)建立的分類器能夠同時(shí)最小化經(jīng)驗(yàn)誤差與最大化幾何邊緣區(qū)，提高查準(zhǔn)率和查全率。軟件選擇開源的支持向量機(jī)的庫(kù)LibSVM。

2.3 軟硬件結(jié)合的DDoS攻擊檢測(cè)原型系統(tǒng)

為驗(yàn)證所提的DDoS攻擊檢測(cè)算法能夠低能耗、高準(zhǔn)確率地檢測(cè)出DDoS攻擊，在電力監(jiān)控系統(tǒng)防火墻裝置中編寫軟硬件代碼，根據(jù)2.1節(jié)和2.2節(jié)中的算法實(shí)現(xiàn)了DDoS攻擊檢測(cè)原型系統(tǒng)，原型系統(tǒng)運(yùn)行在該防火墻上。

原型系統(tǒng)由三個(gè)模塊組成：FPGA模塊、硬件感知模塊和在線識(shí)別模塊。首先根據(jù)需求對(duì)FPGA進(jìn)行編程，使電力監(jiān)控系統(tǒng)防火墻設(shè)備在轉(zhuǎn)發(fā)報(bào)文的同時(shí)可以進(jìn)行計(jì)數(shù)，并提供2.2節(jié)中要求的計(jì)數(shù)型特征值。

硬件感知模塊定期讀取防火墻的硬件計(jì)數(shù)器，根據(jù)閾值判斷網(wǎng)絡(luò)是否波動(dòng)。在線識(shí)別模塊在硬件感知模塊識(shí)別出異常的網(wǎng)絡(luò)波動(dòng)后啟動(dòng)，提取報(bào)文的特征值，并使用訓(xùn)練好的分類器模型識(shí)別是否為DDoS攻擊。原型系統(tǒng)的流程如圖2所示。

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)環(huán)境

采用變電站網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)交換設(shè)備，電力系統(tǒng)專用防火墻中安裝DDoS攻擊檢測(cè)原型系統(tǒng)，PC作為終端，針對(duì)服務(wù)器進(jìn)行DDoS攻擊檢測(cè)實(shí)驗(yàn)。所有機(jī)器均直接或間接地連接在變電站網(wǎng)絡(luò)交換機(jī)上，彼此可以互相訪問(wèn)，其中服務(wù)器與PC之間安裝有電力監(jiān)控系統(tǒng)防火墻。實(shí)驗(yàn)拓?fù)淙鐖D3所示。

在PC1和PC2上，運(yùn)行DDoS攻擊流量產(chǎn)生軟件Hyenae，用于模擬對(duì)服務(wù)器進(jìn)行DDoS攻擊，PC和服務(wù)器上均運(yùn)行變電站站內(nèi)通信常用程序等以模擬正常流量。PC2除了運(yùn)行以上程序外，還用作電力監(jiān)控系統(tǒng)防火墻的控制器，用于配置流表、下發(fā)規(guī)則、離線訓(xùn)練分類器、下發(fā)分類器模型及控制DDoS攻擊產(chǎn)生器等。在電力監(jiān)控系統(tǒng)防火墻中，運(yùn)行2.3節(jié)中實(shí)現(xiàn)的軟硬件結(jié)合的DDoS攻擊檢測(cè)原型系統(tǒng)。

圖2 原型系統(tǒng)流程

圖3 實(shí)驗(yàn)拓?fù)?/p>

3.2 實(shí)驗(yàn)內(nèi)容

首先通過(guò)Hyenae程序產(chǎn)生大量的正常流量和TCP、UDP、ICMP等攻擊流量，在防火墻中采集報(bào)文，每隔單位時(shí)間匯總至控制器處，本次數(shù)據(jù)采集共運(yùn)行2天，每一種類型（Normal、TCP、UDP、ICMP）各24h，每隔2s采集一次數(shù)據(jù)，共采集17.28萬(wàn)條數(shù)據(jù)，然后在控制器上訓(xùn)練SVM分類器，并采用Radial Basis核函數(shù)進(jìn)行驗(yàn)證。訓(xùn)練完成后控制器將分類模型更新至電力監(jiān)控系統(tǒng)防火墻裝置的配置中。

實(shí)驗(yàn)開始后，在兩臺(tái)機(jī)器之間正常通信，將某電力監(jiān)控系統(tǒng)站內(nèi)報(bào)文進(jìn)行還原和重放，分類結(jié)果一直顯示為0（即沒(méi)有攻擊產(chǎn)生），在Hyenae產(chǎn)生攻擊流量（TCP SYN Flood）后，分類結(jié)果顯示為1（即有TCP SYN Flood攻擊），當(dāng)調(diào)整DDoS攻擊類型后，如進(jìn)行UDP Flood攻擊時(shí)，電力監(jiān)控系統(tǒng)防火墻裝置中的分類程序顯示結(jié)果為相應(yīng)的代碼。

3.3 實(shí)驗(yàn)結(jié)果分析

在發(fā)起攻擊后，本實(shí)驗(yàn)監(jiān)控DDoS攻擊檢測(cè)和識(shí)別的實(shí)時(shí)性能。實(shí)驗(yàn)發(fā)現(xiàn)，識(shí)別系統(tǒng)可以在1～2個(gè)周期內(nèi)，即2s內(nèi)確定DDoS攻擊類型，并通過(guò)控制臺(tái)打印攻擊類型。每種攻擊類型測(cè)試10min，計(jì)算周期2s，計(jì)算識(shí)別準(zhǔn)確率。表3為實(shí)時(shí)DDoS攻擊識(shí)別程序?qū)Σ煌愋凸舻淖R(shí)別準(zhǔn)確率。

表3 不同DDoS攻擊的識(shí)別準(zhǔn)確率

由表3可見，該方法能夠準(zhǔn)確識(shí)別TCP、UDP、ICMP三種不同類型的DDoS攻擊，其中對(duì)TCP SYN Flood攻擊的識(shí)別準(zhǔn)確率最高，達(dá)到96.3%。不同算法的對(duì)比見表4，由表4可知，與Karimazad提出的RBF神經(jīng)網(wǎng)絡(luò)算法和Subbulakshmi提出的EMC-SVM算法相比，本文提出的基于硬件感知器和在線SVM的DDoS攻擊檢測(cè)有更高的準(zhǔn)確率，較高的準(zhǔn)確率為后續(xù)的DDoS攻擊流量的清洗提供了前提。

表4 不同攻擊檢測(cè)算法的準(zhǔn)確率對(duì)比

同時(shí)注意到，在線識(shí)別對(duì)防火墻裝置的系統(tǒng)資源消耗較大，所以本文采用硬件感知結(jié)合機(jī)器學(xué)習(xí)在線識(shí)別的方式對(duì)DDoS攻擊進(jìn)行檢測(cè)，降低了資源使用率。實(shí)驗(yàn)中對(duì)防火墻裝置的資源使用率進(jìn)行了監(jiān)控，其在識(shí)別期間的CPU和RAM的使用率變化曲線如圖4所示。

由圖4可見，系統(tǒng)運(yùn)行時(shí)CPU只使用了30%左右，當(dāng)開始在線識(shí)別DDoS攻擊后，CPU使用率最高也只是在35%左右，而RAM則一直穩(wěn)定在42%～48%之間。由此可見，本文提出的實(shí)時(shí)DDoS攻擊檢測(cè)方法具有占用系統(tǒng)資源小的特點(diǎn)。

圖4 防火墻裝置的資源使用率

4 結(jié)論

本文提出了一種基于電力監(jiān)控系統(tǒng)防火墻裝置的軟硬件結(jié)合的實(shí)時(shí)DDoS攻擊檢測(cè)方法，該方法采用軟硬件結(jié)合的方式，首先利用硬件計(jì)數(shù)器感知網(wǎng)絡(luò)狀態(tài)，占用資源較少，在檢測(cè)到可能的網(wǎng)絡(luò)異常后，使用機(jī)器學(xué)習(xí)技術(shù)在線識(shí)別DDoS攻擊。

由于電力監(jiān)控系統(tǒng)防火墻裝置可以從硬件層面提供大多數(shù)特征值，因而大大減少了計(jì)算量，達(dá)到實(shí)時(shí)檢測(cè)的效果，且準(zhǔn)確率較高。實(shí)驗(yàn)表明，本文所提方法可以有效地進(jìn)行實(shí)時(shí)DDoS攻擊檢測(cè)。

本文編自2022年第2期《電氣技術(shù)》，論文標(biāo)題為“電力監(jiān)控系統(tǒng)實(shí)時(shí)DDoS攻擊檢測(cè)方法”，作者為繆海飛、曹翔 等。