电力工业控制系统DDoS攻击防御技术研究

张莹莹，朱智光

(1.中国电建集团成都勘测设计研究院有限公司，四川 成都 610072；2.电子科技大学，四川 成都 610000)

0 前 言

“互联网+”、“工业4.0”的提出推动着工业领域的信息技术革命，ICS得到了快速发展，同时原本相对独立和封闭的系统越来越多与互联网发生联系，安全性问题变得尤为突出。电力工控系统作为基础设施的重要组成部分，关系到国家的经济命脉，成为网络攻击的重要目标。

DDoS攻击一直被视为电力行业重要网络攻击方式之一。近几年来，DDoS攻击的方式趋于多样化，攻击频率呈上升趋势，这使得电力工业控制系统受到了严重的影响和威胁[1]。例如，2015年12月，黑客通过建立僵尸网络对乌克兰电力设备实施DDoS攻击，导致乌克兰全国范围内发生大规模停电，给乌克兰造成了严重的经济损失；2019年3月，黑客组织利用电力系统漏洞对美国可再生能源电力SPower公司发动DDoS攻击，攻击导致控制系统与太阳能和风力发电设备之间的通讯中断。DDoS攻击是攻击者恶意地对网络进行干扰，通过发送大量的数据包请求耗尽主机或网络带宽资源，导致其瘫痪并拒绝正常用户合法请求。DDoS攻击频发的原因在于，它作为一种破坏型的攻击，具有实施简单的特点，只需要暴力式地消耗资源，而其攻击效果又十分显著，受害者很难做出及时有效的响应，且攻击溯源也较为困难；此外，低廉的成本是其频发的另一个主要原因。从博弈的角度，攻击者只需要较小的攻击成本，就可以发动一次大规模的DDoS攻击。

电力工业控制系统与传统的IT系统存在明显差异，具有不同的特征。传统IT系统对数据包的实时性要求不高，具有一定的延迟容忍度，而电力行业工控系统具有高实时、高可靠的特性，因此传统的检测手段不能直接应用于工控环境。传统IT网络的DDoS攻击检测方法在电力行业的应用是电力行业的一个新挑战。

1 电力工控系统DDoS攻击威胁

1.1 电力行业网络特点

近年来，电力行业网络安全事件频繁出现，一些恶意软件对电力网络中的基础设施影响巨大，且风险呈增长趋势。电力系统网络以各种方式暴露在互联网中，一些互联网用户出于某些目的，对电力系统和设备进行病毒入侵、攻击，导致影响网络数据传输、破坏系统和泄露敏感数据、窃取公司商业秘密和机密信息、非法使用网络资源等，给电力企业带来了巨大的损失。电力行业网络面临的安全挑战如下。

(1)面向电力行业网络的攻击增多。电力系统作为国家经济发展的关键，容易遭受各种网络攻击，因此电力系统网络安全意义重大。目前，电力系统网络自身建设方面存在安全缺陷，且随着“工业互联网”、“智能制造”等创新技术的发展，电力行业网络与传统IT网络的隔离逐渐被打破，攻击者通过攻击IT网络，进而侵蚀电力系统网络，且攻击类型及手段也呈现多样化特征。

(2)针对电力行业的恶意软件增多。电力行业发生勒索攻击、定向攻击的事件逐渐增多，恶意病毒已经对能源等领域带来了严重危害。攻击者开始研究新型的恶意软件以此对电力行业网络发起定向攻击，如针对电网设备的攻击软件“Industroyer”。

(3)工业智能化发展引入设备增多。随着智能化和工业领域的深度融合，新的智能化设备不断引入到电力系统中，为电力行业生产带来便利，但同时也引入了新的网络安全隐患，给电力网络带来了更大的安全挑战。

由此可见，计算机网络的发展给电力行业生产和发展带来了新的技术和手段，但同时也带来了一些安全隐患。因此，对电力行业网络安全机制的研究非常迫切与必要。

1.2 工业控制系统DDoS攻击特点

工业控制系统一般分为企业管理层、制造执行层、过程监控层、现场控制层和现场设备层，以制造执行层为分界，向上为通用IT领域，向下为工业控制系统领域。在设计ICS网络架构时，通常将ICS网络与办公网络分开，因为ICS网络是不允许因特网接入，以及FTP、e-mail、远程接入，但是在传统办公网中是允许的。办公网无法保证对网络设备及其安装以及软件变化的精密控制，如果将ICS网络运行在办公网的上层，它通常能抵御一次DDoS攻击；如果将办公网与ICS网络隔离开，发生在办公网中的安全事件就不会对ICS网络造成任何影响。其实，ICS网络与办公网之间的连接是不能断开的，但此连接要承担很大的风险。随着互联网的发展，攻击者可控制的僵尸机不再局限于PC，任何接入网络的设备都有可能被攻击者利用来组织DDoS攻击。

DDoS攻击的最大特点是：攻击控制端与受控僵尸主机之间是一对多的关系，而受控僵尸主机与被攻击的目标主机之间又是多对一的关系。DDoS攻击是一种分散性强、相互协作完成、分层次实施的大规模攻击方式。攻击源不是直接对受害者实时攻击，而是通过大量的僵尸主机来发起的，这样做有以下“好处”：第一，不管受害者的服务器安全性有多好，主机性能有多么强大，只要攻击者控制的僵尸主机足够多，发动攻击的次数足够频繁，就可以轻松将某台目标服务器摧毁，使之不能提供正常的服务而拒绝服务，即充分利用其分布式优势来实现对受害者的高强度、高密度精确打击；第二，DDoS攻击能够实现对某个域名服务器下属的服务器集群的泛洪攻击，甚至严重拥塞互联网的某些骨干链路等；第三，由于从发起攻击到受害者之间经历了两层，这就给IP源地址伪造提供了便利条件，从而给DDoS攻击的追踪溯源带来极大困难。

1.3 工业控制系统DDoS攻击分类

工业控制系统的DDoS攻击主要有两种表现形式，一种通过消耗受攻击设备的网络带宽来干扰合法的用户连接请求，另一种以消耗CPU资源、存储资源的方式影响合法用户的请求。

1.3.1 ACK和SYN泛洪攻击

ACK泛洪攻击发生在攻击者与目标设备建立连接的TCP三次握手过程中。三次握手过程从发送SYN报文[2-3]开始，然后从需要连接的设备接收到SYN+ACK包作为应答，反过来，ACK包的应答结束了整个连接建立阶段。但是，在恶意意图的情况下，攻击者发送ACK位启用包伪造的源地址会被目标设备丢弃，是因为它没有建立任何的连接到主机的欺骗IP地址。这需要对每个传入的数据包进行处理，这反过来会导致资源耗尽。

SYN泛洪是指攻击者启动三次握手过程[3-4]，首先以较高的速率向目标设备发送SYN报文，目标设备在接到SYN报文后发送SYN+ACK数据包予以响应。然而，攻击者没有故意发送所需的ACK包，整个连接处于半打开状态，致使目标服务器等待，直到有来自所需源地址的ACK包。

1.3.2 UDP泛洪攻击

在这种攻击中，入侵者不断尝试以匿名方式将UDP包发送到目标设备的随机端口，然后，目标设备被迫检查每个端口，以监听相应的应用程序。然而，并没有这样的应用程序存在，因此它以一个目的地不可达的ICMP数据包响应。整个过程使目标设备由于繁忙等待而不可达。

1.3.3 ICMP泛洪攻击

ICMP通常负责生成错误消息，将网络中或目的地发生的任何故障通知源(比如当网关无法缓冲数据时，或者当数据包无法到达目的地时)在ICMP协议中执行Ping功能，并发起echo请求，得到echo应答。如果没有收到这个应答，它表明另一个主机没有活动或没有Ping功能。在这种情况下，回显请求在不等待回显应答的情况下继续发送，并通过消耗不必要的带宽[3]而充斥网络。

1.3.4 DNS放大攻击

在DNS放大攻击中，攻击者使用的是开放的DNS解析器。它们用欺骗的源地址向这些解析器发送DNS查询请求。对于这些报文，DNS解析器会发送一个DNS记录响应给目标设备，而非攻击者[5]的设备。这样的响应通常比只包含域的查询要大得多，而且响应可以包含一个域的许多不同的信息记录。

1.3.5 NTP放大攻击

NTP协议用于通过Internet同步本地时钟和全球时钟。然而，它可以通过请求具有欺骗源地址[6]的查询来发起DDoS攻击。地址要求较大的响应，如最近连接到服务器的600个主机列表，该列表用于确定UTC的实际时间。这种较大的响应常常导致大量请求，而服务器开始拒绝进一步的请求[6]。

2 工控环境下DDoS攻击防御技术

工控环境下DDoS攻击呈现出规模大和手段多的趋势，因此对防御技术提出了新的要求。但无论DDoS攻击源来自何处，其应对措施一般包括3个层次，分别是防范、检测和缓解。本文将从这3个方面进行阐述。

2.1 工控系统中DDoS攻击的防范

DDoS攻击防范的目标是尽量将攻击流遏制在源端。通过对用户的接入请求进行限制，如对用户请求的延迟、选择以及对端口的速率限制等，从源头限制攻击数据包侵入内网。如图1所示，实施接入限制的策略可以给予门限、基于优先级或基于模式匹配等，而确定这些指标，通常要依据历史数据，并采用统计学习的方法进行分析建模。

图1 限制接入模型

文献[7]提出了一种新的DDoS防御机制——Umbrella，它是一种多层防御结构，其在流量限制层安装一组基于UDP等网络服务协议的静态过滤器，可以有效防御基于放大的攻击；在拥塞解决层，该文提出了一种拥堵问责制，并强制执行以惩罚那些面对充血性损失而持续注入大量流量的攻击者。该机制的原理是通过检测用户行为(例如，在发生拥塞时如果用户忽略数据包的丢失并不断注入数据包)，判定用户对DDoS攻击中持续拥塞负有的责任。为了解决拥塞问题，Umbrella为每个用户保留了一个速率限制窗口，以防止用户发送速度超过它的速率限制窗口。速率限制的方法可能导致一定的不公平性，而且对于伪冒成正常用户的攻击者而言效果并不理想。文献[8]提出了一种基于置信区间的过滤方法以限制用户的接入请求，当用户的访问速率脱离了置信区间，就会对其请求进行过滤。置信区间通常根据统计分析历史行为进行设定，数据包过滤能有效防范非法接入，但置信区间的设置是一个难题，如果设置不合理将导致大量合法用户的请求受到限制。文献[9]提出了基于学习自动机的解决方案，以防止在物联网工作的面向服务架构(SOA)作为系统模型使用DDoS攻击。此外，文献[9]还提出了一种跨层模型，用于在网络架构的每一层处理此类攻击。该方法通过3个阶段来防御DDoS攻击:①DDoS检测；②攻击者识别；③DDoS防御。第一阶段通过定义一个阈值来检测攻击，该阈值是根据计算资源可用性确定的服务能力最大值。如果服务请求的数量超过了限制，就会发出DALERT(DDoS警报)，它会在相邻邻居的帮助下传播。这就开始了下一个阶段，通过找出发送比其他设备更多请求的设备ID来识别攻击设备。此外，整个黑客的信息是通过一个包来传输的，这个包将进入下一阶段来防御攻击。现在，在获得了关于攻击者的所有信息之后，如果攻击者的设备没有合法采样，那么所有传入的数据包都很容易被丢弃。数据包通过取样以确定整个数据包范围的真实性。由于检查所有入站数据包的不可行性，那么抽样就是通过使用一个学习自动机概念来建立最佳抽样率并以此执行。由于在抽样过程中攻击者拒绝发送请求，服务器上的请求数会减少，从而使DDoS攻击无效。

2.2 工控系统中DDoS攻击的检测

DDoS攻击检测的目的是在造成更大损失前尽可能早地发现DDoS攻击。通常在靠近攻击端的位置发现是比较好的，但由于尚未汇聚成较大规模的攻击流，往往特征不够明显。而在靠近受害端的位置虽然可以获得较好的检测结果，但缺点是发现攻击的时间较晚。目前，针对工控系统中DDoS攻击的检测技术主要分为3类，其检测指标包括：流量、性能和行为。网络层流量特征的统计分析是检测DDoS攻击的常用手段，注入端口实时速率、受害端吞吐量、路由器缓存报个数等都是反映流流量特征的指标。流量检测的一般流程如图2所示。

文献[10]提出了一种使用统计流量分析发现DDoS攻击向量的方法，其原理是通过对攻击进行通知，并对攻击流量进行统计分析以找到向量，并分析正常流量的统计基线，发现异常流量作为TCP/IP数据包统计参数中的差异在给定时刻到达基线，从而确定攻击及其向量。文献[11]发现DDoS攻击检测受到高速网络中海量流量存储不可忽视的高复杂性的困扰，提出了一种新的低速率DDoS攻击检测方法(LDDM)，它通过多维草图结构聚合和压缩网络流，降低了数据存储成本并提高检测性能；然后，又提出了一种基于daub4小波变换的改进行为发散测量方法，以计算每个草图发散的能量百分比，该方法在区分正常流量和攻击流量方面获得了有效的结果；此外，还设计了一种改进的加权指数移动平均法来构造正常网络的动态阈值，同时提出了一种流量冻结机制，以保证动态阈值的标准化。文献[12]提出采样率会影响监视器的DDoS检测率，并且对于相同的采样率，不同类型流的DDoS检测率是不同的；统一的采样率可能不会产生良好的总体DDoS检测率；于是作者为不同的流量分配不同的采样率，并提出了一种基于虚拟机之间的相似性行为并进行虚拟机分层聚类的流分组方法；然后，为找到的最佳采样率分布制定了一个优化问题，使用混合整数线性规划对其进行了求解。文献[13]研究了SDN下的DDoS攻击检测方法，由于现有DDoS检测方法的不同局限性包括对网络拓扑的依赖，无法检测到所有DDoS攻击，无法满足过时和无效的数据集以及对强大而昂贵的硬件基础架构的需求，在先前时段中应用静态阈值及其对旧数据的依赖性降低了它们对新攻击的灵活性，并增加了攻击检测时间，该作者提出了一种新方法可以检测SDN中的DDoS攻击，此方法包括3个收集器，基于熵的部分和分类部分，通过使用UNB-ISCX、CTU-13和ISOT数据集获得的实验结果表明，该方法在SDN中检测DDoS攻击的准确性方面优于同类方法。对于流量检测，时域检测法适用于对高速率的DDoS攻击，但对低速率DDoS攻击效果不好，而频域检测法虽然对低速率DDoS攻击较为有效，但算法复杂度高，需要消耗较多的资源对其进行分析，这将会影响工控系统的性能。

图2 流量检测流程

2.3 工控系统中DDoS攻击的缓解

由于完全阻止DDoS攻击流非常困难，因此目前主要关注是在检测到攻击后如何缓解攻击，最大限度地保障工控系统正常运行。对于来自工控系统外部的DDoS攻击流，主要采取的是流量过滤技术，而在内部网络，SDN技术可以有效应对来自内部的DDoS攻击。

2.3.1 流量过滤

流量过滤技术的目的是尽量清洗掉攻击包，同时最大限度地允许合法包通过。如图3所示，该方法只要基于地址、特征和异常三种策略实现过滤。

图3 流量过滤原理

文献[14]提出了一种动态网络流量管理(DNTM)系统，该系统包含用于ISP的攻击检测器、IP优先级划分器、流量管理器和Netflow分类器。IP优先级划分器将IP地址划分为正常和可疑类别，然后应用速率限制算法为合法用户保证不间断的服务并减少网络流量阻塞。本文通过部署两层自组织映射(SOM)来标记数据，以训练具有不同功能集的三种监督算法来对网络流量进行分类，从而为Netflow分类器提供一种新颖的自我监督混合集成方法。我们为该系统配备了保险单，一致0和一致1的投票，以便从集成模块中获得最终分类结果，以降低将合法流量误分类为恶意的可能性。

Internet上资源和激励措施的分配不均，使得攻击者可以利用网络协议的缺陷来破坏其他用户的访问请求并获得最大的资源份额。文献[15]提出了一种基于贝叶斯博弈论的解决方案，通过对网络用户采用激励和定价规则，使服务商能够最大程度地提高社会福利。假定服务提供商和合法用户可以长时间观察网络，并获得有关其他用户是否为恶意用户的概率知识。服务提供商和合法用户可以利用次概率知识来修改其行为，以抵消网络中存在的恶意用户。考虑到这些假设和事实，本文提出了贝叶斯定价和拍卖机制，以在概率信息证明对合法用户和服务提供商有利的不同情况下实现贝叶斯纳什均衡点；还提出了一种信誉评估和更新机制，其中考虑了付款和参与参数来量化用户的可靠性。

2.3.2 SDN

软件定义网络自被定义以来应用广泛，许多企业将软件定义网路引入到工业网络中，用以实现工业软件定义产品功能和生产方式，并提供工业自动化的个性化定制方案。SDN应用于工业控制系统，为DDoS攻击的检测与防御提供了极大的便利。SDN防御DDoS攻击的核心架构如图4所示。

图4 SDN防御DDoS架构

传统电网中的信息通信技术(ICT)环境使DDoS攻击的检测和缓解更具挑战性，现有的安全技术，除了其效率外，由于高度分布且动态的网络环境，不足以满足智能电网的安全性。为解决这一类问题，文献[16]提出基于软件定义网络的DDoS保护系统(S-DPS)，它通过使用SDN缓解使用轻量级基于Tsallis熵的防御机制，并提供了早期检测机制，可以达到缓解异常情况的目的。该方法还提供了最佳的防御机制部署位置，采用了动态阈值机制使检测过程使用不断变化的网络状况。文献[17]提出了一种使用流量监控的新型检测和缓解SDN控制器中的DDoS攻击方法。该方法不仅可以利用基于排队论的模型优势来评估到达流和利用鲁棒的特征和熵，还可以基于距离的分类准确地设计为从合法数据包中检测恶意数据包。

文献[18]在防御DDoS攻击的初始阶段提出了另一种缓解技术，使用基于软件定义网络(Software Defined Networking，SDN)的基础设施概念来控制DDoS攻击的传播，防止其到达端点防火墙或者其他异常检测系统。SDN基础设施的效率体现在基于软件分析、本地集中控制、动态流插入等功能上，这些都有助于建立一个有效的DDoS缓解系统。它也有助于减少网络拥塞和防止恶意设备扩大攻击的服务器/主机。通过将网络控制与数据(转发信息)隔离开来，以区分SDN体系结构与传统网络基础设施的工作方式，从而使网络控制可以直接编程见图5。控制智能由一个能够理解整个网络拓扑结构的集中式控制器负责。传统的路由是通过查找路由表来确定入站数据包的目的地，与此不同的是，SDN体系结构能够在控制器的帮助下动态地操纵网络中的流量流或数据包流。为了在多个SDN域之间实现接口，可以将SDN基础架构扩展到SDNi，从而在多个域的SDN控制器之间实现信息共享。一个开放流协议用于允许由控制器管理的开放流启用开关(OF-switch)，且该开关包含内部流表。如果一个包的流条目出现在OF-switch的流表中，那么它将被正常转发；否则，则会被发送到控制器进行进一步分析。SDN控制器具有合理的计算能力来监控流量。交通分析可以使用机器学习算法(支持向量机(SVMs)、高斯混合模型(GMM)、人工神经网络(ANN))、数据库和任何其他软件工具实时执行。

图5 传统网络架构与SDN网络架构

SDN架构中描述了不同类型的DDoS攻击的缓解方法：①对于基于源的攻击，可以使用SDN控制器检测流量中的异常，并对网络入口附近的报文进行相应的改变。②对于网络攻击，控制器也被称为网络操作系统(NOS)，可以用数据包流来控制整个SDN网络的全局。在设备之间的网络流量流中，任何偏离正常行为的动作都很容易被控制器检测到，并采取先发制人的措施来防止攻击。③对于涉及从一个网络基础设施到另一个网络基础设施过渡的跨域攻击，SDN基础设施与传统IP网络并行存在，以交换可达性信息，并与其他协作功能一起转发流量。因此，从地理位置上，物联网设备触发的此类攻击检测变得有效，也更容易被减轻。对上述DDoS攻击缓解技术进行比较后，如表1所示。

表1 DDoS缓解技术的比较

3 结 语

随着信息化和工业化的深度融合，电力工控系统与互联网的联系增多，导致电力工控系统DDoS攻击的途径增多，严重破坏了工控系统的业务连续性，因此有必要针对工控环境下的DDoS攻击展开防御研究工作。文中首先分析了电力行业网络面临的安全威胁，揭示了攻击者基于这些隐患威胁实施DDoS攻击的手段和后果。除了传统大流量的DDoS攻击外，面向工控系统的DDoS攻击也呈现多样化的特点，新型攻击层出不穷，因此对工控环境下的DDoS攻击进行了分类比较十分必要。然后从攻击防范、攻击检测和攻击缓解3个层面进行了综述，针对每个层面的技术进行评估和比较，并探讨了当前技术在抗DDoS攻击的实践和部署中存在的局限性。在未来的研究方向上，SDN为缓解DDoS攻击提供了有效的途径，由于SDN的用途极为广泛，因此其自身遭受DDoS攻击的问题也是未来需要重点关注的领域。SDN的应用层、控制层和基础设施层均有可能遭受DDoS攻击。如果SDN控制器被攻击，那么攻击者将很容易地打破SDN架构。目前，SDN中DDoS的攻防研究大多从流表中提取一些直观的特征进行检测，然后通过简单的丢包方式防御攻击。从流表缓存建模、超时机制、拥塞控制等方面应对DDoS攻击是未来值得深入研究的方向。