六方云

六方云电力行业攻击检测方案:全流量威胁检测与研判

列表首页

2021年04月02日 20:00

电力行业简介

随着“互联网+电力”的深度耦合发展,电力生产对现场设备之间的信息互通提出了更高的要求,以工业以太网为代表的组网技术不断得到广泛应用,电力系统建设已不再是系统的简单集成,而是向网络化、智能化方向全面拓展。


因此,电力系统的网络化、智能化在提高生产效率和管理效率的同时,也为恶意攻击者增加了新的攻击途径,针对电力行业的攻击技术和手段不断发展,各种安全事件层出不穷,使得电力行业面临越来越多的安全威胁和挑战,包括僵木蠕、恶意加密流量、恶意行为以及敌对势力等。


近几年发生的乌克兰停电事件、伊朗核电站瘫痪事件表明,作为网络战的首轮攻击目标之一,电力系统始终处在网络打击破坏的最前沿。电力网络安全风险管控在防范已知威胁的基础上必须兼顾未知威胁的检测。


安全风险分析

伴随着信息化建设的全面展开,企业数字化转型在迅速发展的同时,也面临着愈演愈烈的网络安全威胁。高级攻击和未知威胁不断出现。据Radware 公司发布《 2019-2020 年全球应用及网络安全报告》显示,在2018 年,19% 的企业认为他们遭受了国家支持的攻击。在 2019 年,这一数字增长到了 27%。传统基于已知攻击特征和威胁情报的安全检测技术无法实时检测,企业只能望而兴叹。


● 在复杂多变的攻击手段中,黑客加密攻击约占70%。经过加密之后,基于规则匹配的技术无法对流量中包含的恶意片段进行检测,传统网络安全设备无计可施。


● 无法对资产的行为进行可视化的审计,导致网络攻击和轻微违规行为被放任存在,进一步发展成为高级威胁的跳板。


● 由于网络安全建设,许多企业增加了大量设备,但由于缺少有效的运维手段,无法实现设备统一管理。


● 有些企业虽然部署了网络安全产品,但由于缺少专业安全服务人员进行日常运维,或安全服务人员的运维的经验参差不齐,在发现威胁事件之后无法及时有效的进行分析溯源。


这促使关乎国计民生的关基行业对于网络安全产品的技术和能力提出了更高的要求,对已知和未知威胁的新型防护措施也日益迫切。


方案建设依据

● 《GB/T 20271-2006 信息安全技术信息系统通用安全技术要求》


● 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》


● 《GB/T 28448-2019 信息安全技术 信息系统安全等级保护测评要求》


● 《国家发展和改革委员会令2014年第14号 电力监控系统安全防护规定》


● 《GB/T 36572-2018电力监控系统网络安全防护导则》


安全解决方案

面对严峻的考验,六方云领先性的提出了“AI基因,威胁免疫”的防护理念。产品采用自主知识产权的人工智能技术,以网络与信息安全监测预警分析需求为基础,利用基于攻击路径的安全场景模型为监测依据,运用人工智能技术实现对安全威胁的主动防御。


部署说明


●在信息管理大区,通过旁路的方式部署神探流量探针及文件探针,平台管理口连接核心交换机。探针设备接收镜像流量进行数据解析,将结果上送平台进行建模分析及威胁检测。


实现功能


●产品在不解密流量的情况,利用AI威胁检测技术,精准识别恶意加密流量,不仅能够检测已知的恶意流量,而且对于新型恶意流量同样具有泛化检测能力。首先,分析百万级的正常流量和恶意流量中TLS流、DNS流和HTTP流的不同之处,具体包括未加密的TLS握手信息、TLS流中与目的IP地址相关的DNS响应信息、相同源IP地址5min窗口内HTTP流的头部信息;然后,选取具有明显区分度的特征集作为分类器(有监督机器学习)的输入来训练检测模型,从而识别加密的恶意流量。

1.png


●可以从网络流量中自行学习现场的所有资产并将其放入对应的分组中进行统一管理;同时产品采用simrank算法对同类资产进行聚类,极大减轻了运维人员的工作量。当网络中接入非法设备时,神探产品也会实时告警,及时规避安全风险;


●神探产品支持网络侦查->网络入侵->提升攻击权限->内网渗透->安装系统后门->命令与控制C&C->清除入侵痕迹的资产攻击链可视化技术,通过定位威胁所处攻击链环节,结合关联分析技术,将黑客的攻击过程完全还原。


2.png


解决方案价值

经过近1个月的客户现场安全效果测试,神探产品在现场发现了超过100起恶意代码感染,300多起外部网络攻击。


●高级攻击与未知威胁检测准确率超过90%


采用自主知识产权的AI算法引擎,不依赖先验的攻击特征或威胁情报,实现基于非结构化数据的智能分析与挖掘,发现疑似APT、暴力破解、蠕虫病毒、异常登录等高级威胁以及未知威胁。颠覆了安全设备必须定期进行特征库升级的惯例,为客户弥补了之前不具备的未知威胁检测能力,之前一个新的威胁从被发现到出现相应规则,需要两个月以上的时间,而部署神探产品之后,只需要短短几分钟。


● 威胁检测时间MTTD缩减到秒级,处置效率提升达百倍


部署设备之前需要经历人工确认分析->结果上报->下发处置通知等繁复的流程,最快也需要1-2天;部署设备之后,通过AI引擎进行行为分析,结合威胁情报、关联分析、威胁情报等手段辅助进行威胁判断,并自动将威胁事件以邮件方式发送管理员进行通告,整个过程不超过5分钟。


● 资产运维效率提升180倍


从之前需要近半月的资产梳理,到仅仅2个小时就能通过自学习方式完成全部资产的梳理。


●满足电力行业合规性要求


方案整体符合电力行业网络安全防护的管理要求,符合国家对电力行业的发展规划及工控安全防护要求。