SCADA系统通信网论文

1、SCADA系统中的APT攻击

许多系统管理者和系统分析师认为SCADA通信网络是独立于企业网络的，不会受到外界的攻击，这也给SCADA系统的管理者一种安全错觉。文献[8]表明一旦企业网络受到攻击，那么SCADA系统中任何基于TCP/IP协议的设备或电脑系统都可能受到高级持续性攻击。

1.1攻击过程

APT攻击者利用包括社会工程学方法在内的各种先进手段，不计成本地挖掘漏洞，甚至针对被攻击对象编写专门的攻击代码，一步步地获取进入SCADA系统内部的权限。尽管APT攻击手段复杂多样，但准备和实施APT攻击有一个通用的过程[10]。如图1所示，APT攻击过程一般分为5个步骤，其中各步骤的目的和方法也不尽相同。

1.2攻击模型

图2描述了一个针对SCADA系统的简单的攻击树模型。图中所示的根节点表示最终的攻击目标，子节点表示取得上层攻击目标的各种攻击方法，各子节点之间用“与”、“或”连接，而叶节点表示不同攻击环境中具体的攻击事件的实例。任何一条从叶节点到根节点的路径表示一条可能的攻击路径。从图2可以看出一条完整的APT攻击路径：（1）攻击者向目标用户发送钓鱼邮件；（2）通过执行邮件中的恶意代码，控制该目标用户；（3）以该用户为跳板，对内部网络进行渗透、攻击，并构建一条加密的命令控制通道（command&control，C&C）；（4）通过C&C通道进一步控制内网服务器；（5a）向系统数据库发送信息，并建立连接；（5b）通过控制系统数据库，获取SCADA系统中的目标数据；（5c）SCADA系统目标数据被暂存在内网服务器；（6）最终数据被泄漏。

2、APT攻击检测方法

SCADA系统APT攻击检测的主要实现过程可分为行为建模和攻击检测两个阶段，如图3所示。行为建模的主要工作是将正常日志信息作为训练数据建立合法服务请求的正常行为轮廓。检测阶段的工作是根据建立的正常日志行为模式序列，利用特定的检测模型来识别当前日志序列中的异常行为。由于合法服务请求的行为本身是变化的，且APT攻击手段复杂多样，也极有可能伪装成正常服务请求，使其行为看起来是正常的。因此如何利用现有的训练数据来尽可能精确地描述正常行为模式，以及如何有效地利用该正常行为模式进行APT攻击检测是重点研究的内容。

2.1行为建模

通过观察系统日志，可以发现原始日志信息中一些字符串大量重复出现，这些重复出现的字符串称为特征子串，它们可代表系统内的循环逻辑，其特征相对稳定。因此，在保证日志事件序列局部时序关系的基础上，采用多种长度不同的特征子串流来表示正常日志行为模式，并通过基于行为模式的支持度来建立正常日志行为轮廓。行为建模阶段的主要工作包括如下几部分。

2.2攻击检测

攻击检测阶段的工作是根据建立的日志正常行为轮廓，利用特定的检测模型来检测当前日志行为中的异常（APT攻击）。针对APT攻击行为复杂多变的特点，从矩阵相似度角度分析正常行为模型与当前日志行为模型之间的相似性，并通过判决值对被监测日志行为进行判决。攻击检测阶段的主要工作包括如下几部分。

3、实验与分析

3.1实验结果分析

在正常日志行为建模阶段，采用同方股份有限公司提供的某电力企业SCADA系统实验用日志数据进行了实验。实验日志数据包含了2854行SCADA日志记录和221行防火墙日志，图4列出了部分日志记录，其中前两条为抽取的防火墙日志，后两条为SCADA系统日志。将上述实验日志数据作为训练数据，运行特征子串提取算法，提取了26个用于表示行为模式的特征子串（如图5所示）。进一步采用文中提出的行为模式序列提取方法，获得了14个行为序列库L={L(1)L(2)L(14)}。在建立正常日志行为轮廓后，对SCADA系统注入了APT攻击代码，以此来验证本文提出的APT检测方法的有效性。为选择在实际检测中最佳判决阈值，可基于已有的训练数据并通过预先实验来确定。图6给出了进行实验选择判决阈值w的曲线，图中实线为未注入APT攻击对应的判决阈值曲线，而虚线为注入APT攻击后对应的判决阈值曲线。在图6中，当w=0.55时，正常日志行为下的判决阈值曲线与注入APT攻击后对应的判决阈值曲线有着较好的区分度（仅有很少量的交叠部分出现）。同时，还利用SCADA系统实验用日志数据分别对文献[14]中基于关联聚类的检测方法、文献[15]中基于大数据处理的检测方法以及文献[16]中基于网络流量审计的检测方法进行了实验，并同本文提出的检测方法在检测准确率和实验时间两方面进行了对比，实验结果如表1所示。从表1可以看出，本文检测方法在误报率上明显优于其他3种检测方法，且检测率也高于关联聚类和流量审计检测方法。虽然本文检测方法在检测率上稍低于大数据处理检测方法，但是实验时间降低了50%以上，而表中的实验时间是指实验中进行正常行为建模和APT攻击检测所需要的时间，该指标在一定程度上反映了检测方法的实时性。

3.2讨论

本文检测方法能够有效地检测出针对SCADA系统通信网的APT攻击，它具有以下特点：（1）在检测率方面，由于很多流量行为存在统计意义上的普适性规律，全流量分析检测方法不但检测率低，还要解决大数据空间的不确定性问题。相对于全流量分析法，本文提出的基于矩阵相似匹配和判决阈值联合的检测模型，当任何小于判决阈值的异常数据出现时，将产生报警，大大提高了检测效率。（2）更低的时间复杂度和可变的抽样间隔，降低了对计算机资源的消耗。虽然本文检测方法在检测率上稍低于大数据检测法，但由于大数据分析检测方案并不重点检测APT攻击中的某个步骤，它覆盖了整个攻击过程，而APT攻击过程有可能持续几年，因此很容易造成数据灾难，同时很难实现检测的实时性。（3）本文方法具有一定的可扩展性，不但能够用于SCADA系统中的APT攻击的检测，也可用于针对中小企业内网的APT攻击检测，这将在后续的相关工作成果中给予介绍。当然，本文检测方法也存在不足，由于判决阈值的选取是在经验的基础上进行多次实验验证选取的，存在一定的随机性。在实际应用中如何更有效地选取判决阈值也是下一步要进行的工作之一。

4结束语

本文提出了一种新的日志事件序列和多重行为模式挖掘的APT攻击检测方法。该方法充分考虑了正常日志行为的特点，采用多种长度不同的特征子串流来表示正常日志行为模式，通过基于行为模式的支持度来建立正常日志行为轮廓，并利用特定的检测模型来检测当前日志行为中的异常。实验结果表明，本文检测方法可有效地检测APT攻击，并且具有一定的可扩展性。

作者：王传安 张天会 赵海燕 周广新 单位：安徽科技学院 清华同方股份有限公司