上海交通大学学报, 2021, 55(S2): 77-81 doi: 10.16183/j.cnki.jsjtu.2021.S2.012

基于Dempster-Shafer证据理论的网络安全推断方法

吴楠1, 程哲韬1, 杜亮2, 沈颖平,3

1.中核核电运行管理有限公司,浙江 海盐 314300

2.上海交通大学 自动化系; 系统控制与信息处理教育部重点实验室,上海 200240

3.上海云欣电子信息技术有限公司,上海 200233

Network Security Inference Method Based on Dempster-Shafer Theory

WU Nan1, CHENG Zhetao1, DU Liang2, SHEN Yingping,3

1. CNNP Nuclear Power Operation Management Co., Ltd., Haiyan 314300, Zhejiang, China

2. Department of Automation; Key Laboratory of System Control and Information Processing of the Ministry of Education, Shanghai Jiao Tong University, Shanghai 200240, China

3. Shanghai Yunxin Electronic Information Technology Co., Ltd., Shanghai 200233, China

通讯作者: 沈颖平,男,工程师,电话(Tel.):13641885450; E-mail:withnet@126.com.

责任编辑: 黄伟

收稿日期: 2021-08-20  

Received: 2021-08-20  

作者简介 About authors

吴楠(1985-),男,浙江省嘉兴市人,工程师,主要研究方向为网络安全管理.

摘要

电力物联网边缘层的网络环境复杂,处于开放环境中,安全威胁多样且动态变化.传统的基于防火墙的网络安全体系难以有效应对电力物联网层出不穷的安全问题.本文使用了数据驱动的思想对边缘设备的网络行为进行动态地判断.基于电力物联网的特点,采用网络日志、域名生成算法以及网络流量三个维度作为判据,给出了基于混淆矩阵的基本概率指派方法.通过Dempster-Shafer证据理论进行多源信息融合,对电力物联网的网络安全进行判别.

关键词: 电力物联网; Dempster-Shafer证据理论; 网络安全; 证据融合

Abstract

The network environment of the edge layer of the Internet of Things in power systems (IOTIPS) is complex in an open environment, and the security threats are diverse and dynamic. It is difficult for the traditional network security system based on firewall to effectively deal with the emerging security problems of the IOTIPS. This paper uses the data-driven idea to dynamically judge the network behavior of edge devices. Based on the characteristics of the IOTIPS, by using the three dimensions of network log, domain name generated by domain generation algorithm, and network traffic as criteria, a basic probability assignment method based on confusion matrix is proposed. Multi-source information fusion is performed by using the Dempster-Shafer theory, and the network security of IOTIPS is distinguished.

Keywords: Internet of Things in power systems (IOTIPS); Dempster-Shafer theory; network security; evidence fusion

PDF (939KB) 元数据 多维度评价 相关文章 导出 EndNote| Ris| Bibtex  收藏本文

本文引用格式

吴楠, 程哲韬, 杜亮, 沈颖平. 基于Dempster-Shafer证据理论的网络安全推断方法[J]. 上海交通大学学报, 2021, 55(S2): 77-81 doi:10.16183/j.cnki.jsjtu.2021.S2.012

WU Nan, CHENG Zhetao, DU Liang, SHEN Yingping. Network Security Inference Method Based on Dempster-Shafer Theory[J]. Journal of shanghai Jiaotong University, 2021, 55(S2): 77-81 doi:10.16183/j.cnki.jsjtu.2021.S2.012

电力物联网将电力系统中的各种设备、发电企业、用电用户相连接,通过在边缘部署海量智能终端和各种采集设备来感知电网的运行工况.电力物联网可以有效提升电力系统的感知能力、互动水平和运行效率,能有力地支撑各种能源接入和综合利用,适应智慧电力和低碳发展的新形势[1].然而,开放网络环境下电力物联网所面临的安全挑战完全不同于过去仅使用电力专网的时代,因此电网过去的基于防火墙的安全措施很难适用于新的开放网络环境.而处于开放环境中的电力物联网的边缘设备,实际上处在一种“零信任”的环境中,给工业物联网的安全带来挑战[2,3].为了确保电力物联网可以在开放互联的网络环境下安全、稳定地运行,在边缘侧对电力物联网接入的设备进行安全风险评估非常重要.因此,电力物联网中已经不存在天然安全的“内部安全区”,传统的网络边界已经被打破.采用“从不信任、永远验证”的安全理念对边缘设备的网络行为进行动态地判断,更契合新形势下的物联网安全现状,如采用聚类分析进行安全态势感知[4].

现有的传输控制协议(TCP)和安全传输层协议(TLS)难以满足大规模电力物联网在可扩展方面的要求.为了解决这个问题,提出一种可扩展的安全传输协议(SSTP)可用于周期性发送数据的电力物联网传感器[5].De Rango等[6]提出的基于椭圆曲线密码体系和消息队列遥测传输协议(MQTT)的动态物联网安全系统可以以较低的计算消耗应对重放攻击等恶意攻击.该方案最大的优点是加密所消耗的能源少,需要的算力低.本文基于Dempster-Shafer (DS)证据理论,将来自于多个信息源的证据进行融合,从而判别边缘设备网络行为是否安全.

1 DS证据理论

DS证据理论是对概率论的一种推广,也是一种十分有效的数据融合方法.证据理论将概率论中的基本事件空间拓展到基本元素的幂集,将基本元素的单一概率值更换为一个概率范围,即基本概率指派(BPA)函数,将贝叶斯公式延伸为Dempster组合规则,因此可认为是对经典概率论的延拓[7].

1.1 识别框架和基本概率指派[8]

Θ= {θ1,θ2,,θN}是由N个元素组成的有限完备集合,其中θi(i=1, 2, …, N)为两两互斥的元素,则称Θ为待判别问题的辨识框架包含了系统需要判别命题的全集.相应的Θ的幂集P(Θ)由2N个元素构成,即:

P(Θ)={⌀, {θ1}, {θ2}, …, {θN}, {θ1, θ2}, …, {θ1, θ2, …, θi}, …, Θ}
(1)

式中:⌀为空集.

基本概率指派:在辨识框架Θ下,设命题A为幂集P(Θ)的任意一个子集,若函数m将幂集P(Θ)中每个元素映射到[0, 1]的闭区间内,且函数m满足式以下两个条件:

AΘm(A)=1m()=0}
(2)

则称函数m为BPA函数,m(A)为命题A的基本概率数.

基本概率数反映了对命题A的信任程度.并且,若m(A)>0,则称命题A为基本概率指派m的焦元(Focal Elements).

1.2 信任函数与似真函数

m为辨识框架Θ下的基本概率指派函数,若函数Bel将Θ的幂集P(Θ)中任意一个元素映射到[0, 1]的闭区间内,且函数Bel满足

Bel(A)= BAm(B), ∀AP(Θ)
(3)

则称函数Bel为辨识框架Θ下的信任函数.Bel(A)表示了对命题A为真的信任程度.对于单元素命题A,有Bel(A)=m(A),并且信任函数满足:

Bel(Θ)=1Bel()=0}
(4)

m为辨识框架Θ下的基本概率指派函数,若函数Pl将Θ的幂集P(Θ)中任意一个元素映射到[0, 1]的闭区间内,且对任意的AP(Θ)有:

Pl(A)=1-Bel(-A)= BAm(B)
(5)

则称Pl为Θ上的似真函数,Pl(A)表示不反对命题A的信度.

1.3 Dempster组合规则

m1m2为辨识框架Θ下的两组基本概率指派,对应的焦元分别为A1 (i=1,2,…,k)和Bj (j=1,2,…,l),用m表示组合后的新的基本概率指派,则Dempster组合规则可以表示为以下形式:

m(A)=m1(A)m2(A)=  11-KAiBj=Am1(Ai)m2(Bj)m()=0}
(6)
K= AiBj=m1(Ai)m2(Bj)
(7)

式中:K为冲突系数.

2 电力物联网安全监控因素

传统网络安全主要建立在防火墙等技术之上.但是,这些方法在本质上都是基于一种已有规则或知识的网络安全检测方式[9].震网病毒对工业设备的成功破坏已经充分地说明了基于已有规则或知识的安全防护模式已经不再可靠.数据驱动的网络安全监测方法可以监视和标记与合法流量有明显偏离的网络行为,并将标记为可疑对象的网络行为进行上报.

2.1 边缘代理分析

在电力物联网领域,有的物联网设备可能使用X86架构的CPU,有的则是使用ARM架构的CPU.并且工业现场常见的通信协议就有几十种之多.边缘代理设备的计算资源往往是十分有限的,决策树、随机森林、支持向量机(SVM)等经典机器学习算法具有更快的运行速度和更少的资源消耗,因此更适合在边缘代理上使用.

表1中可以看到,边缘设备使用的通信协议不但种类复杂,而且同一种协议有可能会对应不同的物理接口.这些复杂多样的通信协议同样也带来了复杂多样的安全问题.

表1   电力物联网边缘设备常见通信协议和接口[10]

Tab.1  Common communication protocols and interfaces for edge devices of IOTIPS[10]

方向协议类型接口物理形态
北向接口以太网RJ45
无线公网SMA同轴
电力无线专网SMA同轴
NB-IoTSMA同轴
eMTCSMA同轴
南向接口Modbus(IP)RJ45
Modbus(RS232)RJ45/凤凰端子
Modbus(RS485)RJ45/凤凰端子
LoRaSMA同轴
ZigBeeSMA同轴
电力线载波凤凰端子
微功率无线SMA同轴

新窗口打开| 下载CSV


2.2 基于网络日志判别

Modbus协议历史悠久并且对所有人开放、免费.在TCP/IP协议流行后,Modbus协议还新增了Modbus TCP模式,这使得工业设备可以直接使用以太网接口连接控制.以上这些种种优点让Modbus协议成为了工业场景中最常用的通信协议.

Modbus协议在设计时完全没有考虑到安全问题,而是一切以性能和效率为优先.由于Modbus协议没有认证和授权机制,并且也没有加密措施,使得Modbus协议成为了边缘层安全的一个薄弱环节.边缘层中类似于Modbus协议这样的在安全措施上有缺陷的协议还有很多,要将使用这些协议的物联网设备接入工业物联网,就必须从整体上考虑网络安全方面的措施.边缘代理将对网络日志进行解析,提取出与网络行为有关的关键特征.然后将处理后的日志输入机器学习算法,对网络行为是否安全做出判断.机器学习算法可以不受网络安全专业知识的限制,深入发掘非法行为与合法行为的深层次的区别,更好地检测和发现未知的网络入侵行为.

2.3 基于域名生成算法的域名判别

网络攻击事件中,黑客的行为可以分为两步.第一步是控制足够多的物联网设备,大部分的恶意代码在取得物联网设备的控制权后,并不会立刻开始盗取数据、发动分布式拒绝服务(DDoS)攻击等恶意行为.而是会试图与黑客取得联系等待进一步的指令,再伺机而动.等到控制的设备数量达到一定的规模后,才向目标发动DDoS攻击.其中关键的一环就是恶意代码可以访问到黑客的命令与控制服务器以获得到进一步的攻击指令.被入侵物联网终端会运行黑客事先设置的域名生成算法(DGA)产生一系列域名,并依次连接这些域名,直到发现找到可连接的命令和控制(C&C)服务器.DGA技术在恶意软件上的应用,使得基于黑名单的防火墙技术完全失效.

DGA在本质上是一种产生随机字符串的方法,习惯上把由同一个DGA产生的DGA域名称为一个DGA域名家族.在进行DGA域名识别时,重要的一点是正确区分正常域名和DGA域名,因此需要有正常网站的域名作为训练数据.通过基于DGA域名家族的安全监测,可以判断其是否属于网络攻击.

2.4 基于网络流量判别

物联网网络流量的模式与互联网有很大的差别.对于以物联网边缘代理为中心的小型局域网,其连接的物联网设备是基本保持稳定的.一般情况下,大多数物联网设备都会以特定的频率规律进行网络通信.因此电力物联网的网络流量在大多数时候都是稳定的、可预计的.在少数情况下,若某一区域的物联网设备可能存在网络连通等故障,在故障恢复后,物联网设备一般均首先向边缘代理发送初始化请求.当大量的物联网设备出现这种行为时,从边缘代理端看起来,似乎像是发生了拒绝服务攻击,但是这种情况并不是一种网络攻击.针对正常运行工况和并发连接工况,可以采用队列服务模型,分别建立了M/M/1队列模型和Beta/M/1队列模型.在通过仿真分析电力物联网通信特征的基础上,给出网络攻击流量阈值特征.

3 基于混淆矩阵的 BPA 生成

对于一个可分为k分类的分类任务.设在测试集X中,一共有N个样本.其中,每个分类里分别有Ni个样本N= i=1kNi.则分类器α对测试集X进行分类后的混淆矩阵可以表示为

C= [c11c1kck1ckk]
(8)

式中:混淆矩阵中元素的第一个下标对应该样本的真实分类,第二个下标对应分类器α认为该样本所属的分类,即cij(i,j=1, 2, …, k) 表示第i类样本被分类器α判断为属于第j类样本占第 i类样本总数的百分比.混淆矩阵中主对角线上的元素表示各分类能够被分类器α正确识别的百分比,非对角线上的元素则表示分类器α判断出错的百分比.

混淆矩阵的每一行ci(i=1, 2, …, k)反映了分类器α对第i类样本进行分类时做出判断的倾向性.

当分类器α输出类别ωj时,当前样本x的真实类别是ωi的概率为[7,8]

PCα(ωi∣ωj)=ci/ j=1kcij
(9)

在这里,把PCα(ωi∣ωj)简单记为PCα(ωi).当分类器α认为未知目标x属于ωi分类时,PCα(ωi)可以看作是对判断的一种支持度.

因此,这里把PCα(ωi)定义为分类器α输出分类结果是ωi分类时的可信度.其中,

PCα(ωi)=cii/ j=1kcij
(10)

Pi为分类器α认为未知目标x属于ωi分类的概率大小.用θ'i(ωi)表示考虑分类器α分类可信度后的概率大小,其中θ'i(ωi)为

θ'i(ωi)=PiPCα(ωi)
(11)

θ'i(ωi)进行归一化就得到了最终的BPA:

mi(ωi)= θ'i(ωi)i=1kθ'i(ωi)
(12)

对于物联环境的网络日志证据,采用公开物联网安全异构数据集 ToN_IoT,包含了Modbus日志记录及标记的网络安全事件类型.

基于随机森林进行分类的混淆矩阵如表2和3所示.

表2   随机森林模型的混淆矩阵

Tab.2  Confusion matrix of random forest model

实际分类预测分类
BackdoorInjectionNormalPasswordScanningXSS
Backdoor0.994800.0052000
Injection00.99960.0004000
Normal001000
Password000.00080.999200
Scanning000.030200.96980
XSS000.0069000.9931

新窗口打开| 下载CSV


表3   随机森林模型输出的分类可信度

Tab.3  Reliability of classification output by random forest model

编号分类器输出的威胁类别PCαi)
1Backdoor0.9948
2Injection0.9996
3Normal1
4Password0.9992
5Scanning0.9698
6XSS0.9931

新窗口打开| 下载CSV


4 证据融合及仿真实现

模拟网络环境的拓扑结构如图1所示.在该网络环境中,电力物联网边缘代理同时扮演Modbus主设备的角色,其工作过程是依次读取各个Modbus从设备的数据,并同时监测接入设备的网络行为.主设备与从设备之间使用 Modbus TCP 协议通信,然后模拟了电力物联网边缘层的网络事件来对算法进行验证.对物联网设备网络行为的判断同时考虑了三方面的信息源,如表4~6所示.

图1

图1   模拟网络环境的拓扑结构图

Fig.1   Topological structure of simulated network environment


表4   信息源证据及融合结果(Normal)

Tab.4  Evidence and fusion results generated by information source (Normal)

信息源信度函数值判别结果
NormalScanningBackdoor
网络日志0.81030.17070.0205Normal
访问域名100Normal
网络流量0.90.050.05Normal
融合0.95160.04750.0109Normal

新窗口打开| 下载CSV


表5   信息源证据及融合结果(Scanning)

Tab.5  Evidence and fusion results generated by information source (Scanning)

信息源信度函数值判别结果
NormalScanningBackdoor
网络日志0.64040.22210.1371Normal
访问域名00.92810.072Scanning
网络流量0.70.150.15Normal
融合0.31020.59080.109Scanning

新窗口打开| 下载CSV


表6   信息源证据及融合结果 (Backdoor)

Tab.6  Evidence and fusion results generated by information source (Backdoor)

信息源信度函数值判别结果
NormalScanningBackdoor
网络日志0.01970.23760.7388Backdoor
访问域名00.40870.6092Backdoor
网络流量100Normal
融合0.23620.11820.6456Backdoor

新窗口打开| 下载CSV


由于Modbus协议开放且没有认证机制的特点,使得攻击者可以直接将自己的物理设备接入该网络或控制该网络中的某个物联网设备.接下来攻击者会通过远程的服务器向该网络中自己的设备(图1中的恶意攻击者)发送各种指令.在该测试环境中,共模拟了Normal、Scanning和Backdoor等3种情况.在这里将识别效果较差的两个DGA域名家族分别映射为Scanning和Backdoor.统计此时 Modbus 网络中的网络流量信息、各设备访问的域名信息和各设备的网络日志,并分别生成 BPA.考虑证据的冲突特征,使用基于密度的噪声空间聚类(DBSCAN)的证据融合方法对原始证据进行融合.将综合冲突测量函数引入到无监督的 DBSCAN模型中,对原始证据进行聚类;再根据聚类结果对不同冲突强度的证据使用不同的折扣因子进行证据折扣.

仿真结果说明了使用多源信息融合后对证据进行判断的优势.如果只使用单一的证据进行判断,那么三个测试结果中的后两个有很大的概率会判断错误.进行证据融合后,则可以避免某一条证据错误而导致系统判断出现错误.

5 结语

工业物联网前景广阔,但是也面临着许多挑战.一方面工业物联网的广泛应用可以极大地提升现有工业生产的效率,让工业变得更加智能.另一方面工业物联网也存在许多网络安全、身份认证方面的问题.DS 证据理论的依靠“证据” 和“组合”来处理不确定性问题,非常适合应用在存在大量不确定因素的电力物联网安全领域.同时,融合后的证据综合考虑了目前已知的信息,可以最大程度地降低系统的不确定度.

参考文献

周峰, 周晖, 刁赢龙.

泛在电力物联网智能感知关键技术发展思路

[J]. 中国电机工程学报, 2020, 40(1): 70-82.

[本文引用: 1]

ZHOU Feng, ZHOU Hui, DIAO Yinglong.

Development of intelligent perception key technology in the ubiquitous Internet of Things in electricity

[J]. Proceedings of the CSEE, 2020, 40(1): 70-82.

[本文引用: 1]

吕志宁, 胡子珩, 宁柏锋, .

针对电力系统的物联网需求攻击研究进展与发展趋势

[J]. 南方电网技术, 2020, 14(1): 24-30.

[本文引用: 1]

Zhining, HU Ziheng, NING Baifeng, et al.

Review of research progress and development trend of Internet of Things demand attack on power system

[J]. Southern Power System Technology, 2020, 14(1): 24-30.

[本文引用: 1]

化存卿.

物联网安全检测与防护机制综述

[J]. 上海交通大学学报, 2018, 52(10): 1307-1313.

[本文引用: 1]

HUA Cunqing.

A survey of security detection and protection for Internet of Things

[J]. Journal of Shanghai Jiao Tong University, 2018, 52(10): 1307-1313.

[本文引用: 1]

文志诚, 陈志刚, 唐军.

基于聚类分析的网络安全态势评估方法

[J]. 上海交通大学学报, 2016, 50(9): 1407-1414.

[本文引用: 1]

WEN Zhicheng, CHEN Zhigang, TANG Jun.

Network security assessment method based on cluster analysis

[J]. Journal of Shanghai Jiao Tong University, 2016, 50(9): 1407-1414.

[本文引用: 1]

KIM Y, KOLESNIKOV V, KIM H, et al.

SSTP: A scalable and secure transport protocol for smart grid data collection

[C]// 2011 IEEE International Conference on Smart Grid Communications. Brussels, Belgium: IEEE, 2011: 161-166.

[本文引用: 1]

DE RANGO F, POTRINO G, TROPEA M, et al.

Energy-aware dynamic Internet of Things security system based on elliptic curve cryptography and message queue telemetry transport protocol for mitigating replay attacks

[J]. Pervasive and Mobile Computing, 2020, 61:101105.

DOI:10.1016/j.pmcj.2019.101105      URL     [本文引用: 1]

SHAFER G. A mathematical theory of evidence[M]. Princeton: Princeton University Press, 1976: 23-29.

[本文引用: 2]

蒋雯, 邓鑫洋. D-S证据理论: 信息建模与应用[M]. 北京: 科学出版社, 2018: 8-17.

[本文引用: 2]

JIANG Wen, DENG Xinyang. Dempster-Shafer evidence theory: Information modeling and application[M]. Beijing: Science Press, 2018: 8-17.

[本文引用: 2]

MUKKAMALA S, SUNG A, ABRAHAM A.

Cyber security challenges: Designing efficient intrusion detection systems and antivirus tools

[J]. Enhancing Computer Security with Smart Technology, 2005, 3(2): 125-163.

[本文引用: 1]

王洪勉, 孙慧, 郑利斌, .

泛在电力物联网智联单元设计与实现

[J]. 供用电, 2019, 36(6): 5-9.

[本文引用: 2]

WANG Hongmian, SUN Hui, ZHENG Libin, et al.

Design and implementation of wisdom unit in the ubiquitous Internet of Things in electricity

[J]. Distribution & Utilization, 2019, 36(6): 5-9.

[本文引用: 2]

/