基于Dempster-Shafer证据理论的网络安全推断方法
Network Security Inference Method Based on Dempster-Shafer Theory
Received: 2021-08-20
作者简介 About authors
吴楠(1985-),男,浙江省嘉兴市人,工程师,主要研究方向为网络安全管理.
电力物联网边缘层的网络环境复杂,处于开放环境中,安全威胁多样且动态变化.传统的基于防火墙的网络安全体系难以有效应对电力物联网层出不穷的安全问题.本文使用了数据驱动的思想对边缘设备的网络行为进行动态地判断.基于电力物联网的特点,采用网络日志、域名生成算法以及网络流量三个维度作为判据,给出了基于混淆矩阵的基本概率指派方法.通过Dempster-Shafer证据理论进行多源信息融合,对电力物联网的网络安全进行判别.
关键词:
The network environment of the edge layer of the Internet of Things in power systems (IOTIPS) is complex in an open environment, and the security threats are diverse and dynamic. It is difficult for the traditional network security system based on firewall to effectively deal with the emerging security problems of the IOTIPS. This paper uses the data-driven idea to dynamically judge the network behavior of edge devices. Based on the characteristics of the IOTIPS, by using the three dimensions of network log, domain name generated by domain generation algorithm, and network traffic as criteria, a basic probability assignment method based on confusion matrix is proposed. Multi-source information fusion is performed by using the Dempster-Shafer theory, and the network security of IOTIPS is distinguished.
Keywords:
本文引用格式
吴楠, 程哲韬, 杜亮, 沈颖平.
WU Nan, CHENG Zhetao, DU Liang, SHEN Yingping.
电力物联网将电力系统中的各种设备、发电企业、用电用户相连接,通过在边缘部署海量智能终端和各种采集设备来感知电网的运行工况.电力物联网可以有效提升电力系统的感知能力、互动水平和运行效率,能有力地支撑各种能源接入和综合利用,适应智慧电力和低碳发展的新形势[1].然而,开放网络环境下电力物联网所面临的安全挑战完全不同于过去仅使用电力专网的时代,因此电网过去的基于防火墙的安全措施很难适用于新的开放网络环境.而处于开放环境中的电力物联网的边缘设备,实际上处在一种“零信任”的环境中,给工业物联网的安全带来挑战[2,3].为了确保电力物联网可以在开放互联的网络环境下安全、稳定地运行,在边缘侧对电力物联网接入的设备进行安全风险评估非常重要.因此,电力物联网中已经不存在天然安全的“内部安全区”,传统的网络边界已经被打破.采用“从不信任、永远验证”的安全理念对边缘设备的网络行为进行动态地判断,更契合新形势下的物联网安全现状,如采用聚类分析进行安全态势感知[4].
1 DS证据理论
DS证据理论是对概率论的一种推广,也是一种十分有效的数据融合方法.证据理论将概率论中的基本事件空间拓展到基本元素的幂集,将基本元素的单一概率值更换为一个概率范围,即基本概率指派(BPA)函数,将贝叶斯公式延伸为Dempster组合规则,因此可认为是对经典概率论的延拓[7].
1.1 识别框架和基本概率指派[8]
若Θ=
式中:⌀为空集.
基本概率指派:在辨识框架Θ下,设命题A为幂集P(Θ)的任意一个子集,若函数m将幂集P(Θ)中每个元素映射到[0, 1]的闭区间内,且函数m满足式以下两个条件:
则称函数m为BPA函数,m(A)为命题A的基本概率数.
基本概率数反映了对命题A的信任程度.并且,若m(A)>0,则称命题A为基本概率指派m的焦元(Focal Elements).
1.2 信任函数与似真函数
设m为辨识框架Θ下的基本概率指派函数,若函数Bel将Θ的幂集P(Θ)中任意一个元素映射到[0, 1]的闭区间内,且函数Bel满足
则称函数Bel为辨识框架Θ下的信任函数.Bel(A)表示了对命题A为真的信任程度.对于单元素命题A,有Bel(A)=m(A),并且信任函数满足:
设m为辨识框架Θ下的基本概率指派函数,若函数Pl将Θ的幂集P(Θ)中任意一个元素映射到[0, 1]的闭区间内,且对任意的A⊆P(Θ)有:
则称Pl为Θ上的似真函数,Pl(A)表示不反对命题A的信度.
1.3 Dempster组合规则
设m1和m2为辨识框架Θ下的两组基本概率指派,对应的焦元分别为A1 (i=1,2,…,k)和Bj (j=1,2,…,l),用m表示组合后的新的基本概率指派,则Dempster组合规则可以表示为以下形式:
式中:K为冲突系数.
2 电力物联网安全监控因素
传统网络安全主要建立在防火墙等技术之上.但是,这些方法在本质上都是基于一种已有规则或知识的网络安全检测方式[9].震网病毒对工业设备的成功破坏已经充分地说明了基于已有规则或知识的安全防护模式已经不再可靠.数据驱动的网络安全监测方法可以监视和标记与合法流量有明显偏离的网络行为,并将标记为可疑对象的网络行为进行上报.
2.1 边缘代理分析
在电力物联网领域,有的物联网设备可能使用X86架构的CPU,有的则是使用ARM架构的CPU.并且工业现场常见的通信协议就有几十种之多.边缘代理设备的计算资源往往是十分有限的,决策树、随机森林、支持向量机(SVM)等经典机器学习算法具有更快的运行速度和更少的资源消耗,因此更适合在边缘代理上使用.
从表1中可以看到,边缘设备使用的通信协议不但种类复杂,而且同一种协议有可能会对应不同的物理接口.这些复杂多样的通信协议同样也带来了复杂多样的安全问题.
表1 电力物联网边缘设备常见通信协议和接口[10]
Tab.1
方向 | 协议类型 | 接口物理形态 |
---|---|---|
北向接口 | 以太网 | RJ45 |
无线公网 | SMA同轴 | |
电力无线专网 | SMA同轴 | |
NB-IoT | SMA同轴 | |
eMTC | SMA同轴 | |
南向接口 | Modbus(IP) | RJ45 |
Modbus(RS232) | RJ45/凤凰端子 | |
Modbus(RS485) | RJ45/凤凰端子 | |
LoRa | SMA同轴 | |
ZigBee | SMA同轴 | |
电力线载波 | 凤凰端子 | |
微功率无线 | SMA同轴 |
2.2 基于网络日志判别
Modbus协议历史悠久并且对所有人开放、免费.在TCP/IP协议流行后,Modbus协议还新增了Modbus TCP模式,这使得工业设备可以直接使用以太网接口连接控制.以上这些种种优点让Modbus协议成为了工业场景中最常用的通信协议.
Modbus协议在设计时完全没有考虑到安全问题,而是一切以性能和效率为优先.由于Modbus协议没有认证和授权机制,并且也没有加密措施,使得Modbus协议成为了边缘层安全的一个薄弱环节.边缘层中类似于Modbus协议这样的在安全措施上有缺陷的协议还有很多,要将使用这些协议的物联网设备接入工业物联网,就必须从整体上考虑网络安全方面的措施.边缘代理将对网络日志进行解析,提取出与网络行为有关的关键特征.然后将处理后的日志输入机器学习算法,对网络行为是否安全做出判断.机器学习算法可以不受网络安全专业知识的限制,深入发掘非法行为与合法行为的深层次的区别,更好地检测和发现未知的网络入侵行为.
2.3 基于域名生成算法的域名判别
网络攻击事件中,黑客的行为可以分为两步.第一步是控制足够多的物联网设备,大部分的恶意代码在取得物联网设备的控制权后,并不会立刻开始盗取数据、发动分布式拒绝服务(DDoS)攻击等恶意行为.而是会试图与黑客取得联系等待进一步的指令,再伺机而动.等到控制的设备数量达到一定的规模后,才向目标发动DDoS攻击.其中关键的一环就是恶意代码可以访问到黑客的命令与控制服务器以获得到进一步的攻击指令.被入侵物联网终端会运行黑客事先设置的域名生成算法(DGA)产生一系列域名,并依次连接这些域名,直到发现找到可连接的命令和控制(C&C)服务器.DGA技术在恶意软件上的应用,使得基于黑名单的防火墙技术完全失效.
DGA在本质上是一种产生随机字符串的方法,习惯上把由同一个DGA产生的DGA域名称为一个DGA域名家族.在进行DGA域名识别时,重要的一点是正确区分正常域名和DGA域名,因此需要有正常网站的域名作为训练数据.通过基于DGA域名家族的安全监测,可以判断其是否属于网络攻击.
2.4 基于网络流量判别
物联网网络流量的模式与互联网有很大的差别.对于以物联网边缘代理为中心的小型局域网,其连接的物联网设备是基本保持稳定的.一般情况下,大多数物联网设备都会以特定的频率规律进行网络通信.因此电力物联网的网络流量在大多数时候都是稳定的、可预计的.在少数情况下,若某一区域的物联网设备可能存在网络连通等故障,在故障恢复后,物联网设备一般均首先向边缘代理发送初始化请求.当大量的物联网设备出现这种行为时,从边缘代理端看起来,似乎像是发生了拒绝服务攻击,但是这种情况并不是一种网络攻击.针对正常运行工况和并发连接工况,可以采用队列服务模型,分别建立了M/M/1队列模型和Beta/M/1队列模型.在通过仿真分析电力物联网通信特征的基础上,给出网络攻击流量阈值特征.
3 基于混淆矩阵的 BPA 生成
对于一个可分为k分类的分类任务.设在测试集X中,一共有N个样本.其中,每个分类里分别有Ni个样本N=
式中:混淆矩阵中元素的第一个下标对应该样本的真实分类,第二个下标对应分类器α认为该样本所属的分类,即cij(i,j=1, 2, …, k) 表示第i类样本被分类器α判断为属于第j类样本占第 i类样本总数的百分比.混淆矩阵中主对角线上的元素表示各分类能够被分类器α正确识别的百分比,非对角线上的元素则表示分类器α判断出错的百分比.
混淆矩阵的每一行ci(i=1, 2, …, k)反映了分类器α对第i类样本进行分类时做出判断的倾向性.
在这里,把PCα(ωi∣ωj)简单记为PCα(ωi).当分类器α认为未知目标x属于ωi分类时,PCα(ωi)可以看作是对判断的一种支持度.
因此,这里把PCα(ωi)定义为分类器α输出分类结果是ωi分类时的可信度.其中,
设Pi为分类器α认为未知目标x属于ωi分类的概率大小.用θ'i(ωi)表示考虑分类器α分类可信度后的概率大小,其中θ'i(ωi)为
对θ'i(ωi)进行归一化就得到了最终的BPA:
对于物联环境的网络日志证据,采用公开物联网安全异构数据集 ToN_IoT,包含了Modbus日志记录及标记的网络安全事件类型.
基于随机森林进行分类的混淆矩阵如表2和3所示.
表2 随机森林模型的混淆矩阵
Tab.2
实际分类 | 预测分类 | |||||
---|---|---|---|---|---|---|
Backdoor | Injection | Normal | Password | Scanning | XSS | |
Backdoor | 0.9948 | 0 | 0.0052 | 0 | 0 | 0 |
Injection | 0 | 0.9996 | 0.0004 | 0 | 0 | 0 |
Normal | 0 | 0 | 1 | 0 | 0 | 0 |
Password | 0 | 0 | 0.0008 | 0.9992 | 0 | 0 |
Scanning | 0 | 0 | 0.0302 | 0 | 0.9698 | 0 |
XSS | 0 | 0 | 0.0069 | 0 | 0 | 0.9931 |
表3 随机森林模型输出的分类可信度
Tab.3
编号 | 分类器输出的威胁类别 | PCα(ωi) |
---|---|---|
1 | Backdoor | 0.9948 |
2 | Injection | 0.9996 |
3 | Normal | 1 |
4 | Password | 0.9992 |
5 | Scanning | 0.9698 |
6 | XSS | 0.9931 |
4 证据融合及仿真实现
图1
表4 信息源证据及融合结果(Normal)
Tab.4
信息源 | 信度函数值 | 判别结果 | ||
---|---|---|---|---|
Normal | Scanning | Backdoor | ||
网络日志 | 0.8103 | 0.1707 | 0.0205 | Normal |
访问域名 | 1 | 0 | 0 | Normal |
网络流量 | 0.9 | 0.05 | 0.05 | Normal |
融合 | 0.9516 | 0.0475 | 0.0109 | Normal |
表5 信息源证据及融合结果(Scanning)
Tab.5
信息源 | 信度函数值 | 判别结果 | ||
---|---|---|---|---|
Normal | Scanning | Backdoor | ||
网络日志 | 0.6404 | 0.2221 | 0.1371 | Normal |
访问域名 | 0 | 0.9281 | 0.072 | Scanning |
网络流量 | 0.7 | 0.15 | 0.15 | Normal |
融合 | 0.3102 | 0.5908 | 0.109 | Scanning |
表6 信息源证据及融合结果 (Backdoor)
Tab.6
信息源 | 信度函数值 | 判别结果 | ||
---|---|---|---|---|
Normal | Scanning | Backdoor | ||
网络日志 | 0.0197 | 0.2376 | 0.7388 | Backdoor |
访问域名 | 0 | 0.4087 | 0.6092 | Backdoor |
网络流量 | 1 | 0 | 0 | Normal |
融合 | 0.2362 | 0.1182 | 0.6456 | Backdoor |
由于Modbus协议开放且没有认证机制的特点,使得攻击者可以直接将自己的物理设备接入该网络或控制该网络中的某个物联网设备.接下来攻击者会通过远程的服务器向该网络中自己的设备(图1中的恶意攻击者)发送各种指令.在该测试环境中,共模拟了Normal、Scanning和Backdoor等3种情况.在这里将识别效果较差的两个DGA域名家族分别映射为Scanning和Backdoor.统计此时 Modbus 网络中的网络流量信息、各设备访问的域名信息和各设备的网络日志,并分别生成 BPA.考虑证据的冲突特征,使用基于密度的噪声空间聚类(DBSCAN)的证据融合方法对原始证据进行融合.将综合冲突测量函数引入到无监督的 DBSCAN模型中,对原始证据进行聚类;再根据聚类结果对不同冲突强度的证据使用不同的折扣因子进行证据折扣.
仿真结果说明了使用多源信息融合后对证据进行判断的优势.如果只使用单一的证据进行判断,那么三个测试结果中的后两个有很大的概率会判断错误.进行证据融合后,则可以避免某一条证据错误而导致系统判断出现错误.
5 结语
工业物联网前景广阔,但是也面临着许多挑战.一方面工业物联网的广泛应用可以极大地提升现有工业生产的效率,让工业变得更加智能.另一方面工业物联网也存在许多网络安全、身份认证方面的问题.DS 证据理论的依靠“证据” 和“组合”来处理不确定性问题,非常适合应用在存在大量不确定因素的电力物联网安全领域.同时,融合后的证据综合考虑了目前已知的信息,可以最大程度地降低系统的不确定度.
参考文献
泛在电力物联网智能感知关键技术发展思路
[J].
Development of intelligent perception key technology in the ubiquitous Internet of Things in electricity
[J].
针对电力系统的物联网需求攻击研究进展与发展趋势
[J].
Review of research progress and development trend of Internet of Things demand attack on power system
[J].
物联网安全检测与防护机制综述
[J].
A survey of security detection and protection for Internet of Things
[J].
基于聚类分析的网络安全态势评估方法
[J].
Network security assessment method based on cluster analysis
[J].
SSTP: A scalable and secure transport protocol for smart grid data collection
[C]//
Energy-aware dynamic Internet of Things security system based on elliptic curve cryptography and message queue telemetry transport protocol for mitigating replay attacks
[J].DOI:10.1016/j.pmcj.2019.101105 URL [本文引用: 1]
Cyber security challenges: Designing efficient intrusion detection systems and antivirus tools
[J].
/
〈 |
|
〉 |
