基于RASP技术的电力应用系统账户安全防御技术研究_刘冬兰.pdf

SHANDONG ELECTRIC POWER山东电力技术第50卷（总第307期）2023年第6期 数字新基建 0引言暴力破解是指采用一些技术手段，向攻击目标系统不断发起请求，再根据系统反馈的数据包特征来判断验证相关信息，进一步跳过验证所使用的机制1-3。暴力破解的场景主要有系统用户登录时对用户和密码进行暴力破解，人机验证机制相对比较好绕过，如系统需要输入验证码或使用短信验证码的情况。暴力破解的影响主要包括三方面：一是暴力破解后，攻击方会通过技术手段盗取用户数据；二基于RASP技术的电力应用系统账户安全防御技术研究刘冬兰，张昊，王睿，张方哲，孙莉莉（国网山东省电力公司电力科学研究院，山东济南250003）摘要：目前常用的使用验证码进行验证登录、限制登录IP和认证日志监控等方法，都无法完美地解决账户密码暴力破解的问题。为提升电力应用系统账户安全性，提出基于运行时应用程序自我保护（Runtime Application Self-Protection，RASP）技术的电力应用系统账户安全防御技术方法。首先，提出一种基于数据中台架构的用户登录请求和数据库关联方法，在Web服务器部署jar包软件探针，通过采用RASP技术在Web中间件处理请求的类中加入拦截代码，通过监控Java虚拟机中的应用程序类，实现对HTTP请求和数据交换的全过程监测。其次，提出基于RASP用户行为分析的暴力破解账户检测方法，构建用户的访问行为，通过对比分析当前用户行为与用户行为模型，由此评判该用户行为是否存在异常，实现电力应用系统账户的安全防御。最后，设计基于RASP技术的电力应用系统账户安全防御系统，并详细介绍系统部署架构和功能架构，在数据中台架构下采用数据关联方法，精准关联前台用户访问请求和后台数据库访问，采用机器学习和大数据分析等技术实现账户密码防止暴力破解，有效提升新型数据攻击的检测能力。关键词：运行时应用程序自我保护；电力应用系统；安全防御；软件探针；暴力破解中图分类号：TN915.08文献标识码：A文章编号：1007-9904（2023）06-0001-05ResearchonAccountSecurityDefenseTechnologyofPowerApplicationSystem BasedonRuntimeApplicationSelf-protectionTechnologyLIU Donglan，ZHANG Hao，WANG Rui，ZHANG Fangzhe，SUN Lili（State Grid Shandong Electric Power Research Institute，Jinan 250003，China）Abstract：Common methods such as using verification code to authenticate login，limiting login IP address，and monitoringauthentication logs cannot perfectly solve the problem of brute force cracking of account passwords.In order to improve the accountsecurity of power application system，a method of account security defense of power application system based on runtimeapplication self-protection（RASP）technology was proposed.Firstly，a method of user login request and database association basedon data platform architecture was proposed.A JAR package software probe was deployed in the Web server，and the interceptioncode was added to the request processing class in the Web middleware based on RASP technology，which can realize the wholeprocess of monitoring HTTP request and data exchange.Secondly，a brute-force account cracking detection method based on RASPuser behavior analysis was proposed，and the normal behavior profile of the user was constructed.The current user behavior wasjudged to be abnormal by comparing whether the current user behavior deviates from the user behavior model，so as to realize thesecurity defense of the power application system account.Finally，the account security defense system of power application systemwas designed based on RASP technology，and the system deployment architecture and functional architecture was introduced indetail.Based on the data association method in the data center architecture，the precise association between the backstage databaseaccess and the foreground specific access request was realized.Big data analytics and machine learning technologies were used toprevent brute-force cracking of account passwords，effectively improving the detection capability of new data attacks.Keywords：runtime application self-protection（RASP）；power application system；security defense；software probe；brute force基金项目：国家自然科学基金项目“面向大规模复杂网络的云雾端动态群体协同安全保护关键技术”（U22A2029）；国网山东省电力公司科技项目“智能电网5G安全接入及数据可信共享关键技术研究-课题 4：基于联邦学习的智能电网 5G 数据可信共享关键技术研究”（520626220016）。DOI：10.20097/ki.issn1007-9904.2023.06.0011山东电力技术第50卷（总第307期）2023年第6期是全球广域网（World Wide Web，Web）的资产信息可能会被泄露；三是攻击方可对服务器植入病毒木马，影响用户正常访问。对于暴力破解攻击，目前已有的解决方案为：1）验证登录使用验证码。目前，大多数网站登录的验证码都采用静态验证码，一个验证码被使用多次，特别容易被破解器扫描并解析4-5。一旦被破解器解析，验证码无效。针对这种验证登录情况，一般可以采用手机短信验证、动态验证码、设计问题回答等方式。动态生成的验证码受时间限制，破解比较难。系统在登录过程中，一般先验证验证码，能够在暴力破解的时候间接降低风险。2）限制失败登录的次数。很多传统网站在设计之初未考虑系统安全性，比如在用户登录方面未限制登录错误次数，这样当黑客攻击时会不停尝试暴力破解密码。为增加系统安全性，预防被暴力破解，设计系统登录时可限制用户登录次数，如登录出现5次密码错误就锁定账户，减小暴力破解风险。3）认证日志监控。记录用户登录以及登录后进行的一些敏感操作，比如频繁添加账户、删除信息等，当监控到的日志信息中敏感操作过于频繁，就产生告警，这样系统用户可及时对用户账户进行排查分析。4）判断用户登录网际互连协议（Internet Proto-col，IP）。目前，很多网站设计时未考虑对用户登录IP监控研判，即可在用户登录系统后记录IP，如果用户经常用此IP登录则记录为用户的常用IP，当后期出现用户登录IP与常用IP不一致时，则须采用其他方式验证，比如邮箱或短信验证。目前，电力信息系统大多部署在内网，当系统登录需要验证码时，验证码平台和互联网之间不能进行通信，在行业推广方面有所受限。针对认证日志监控和限制失败登录次数的方法，可针对源代码进行修改。大多数电力信息系统无法关停更新。针对判断用户所使用的IP地址，攻击方会采用更换代理方式逃避安全检测。目前，登录大多采用验证码、限制登录IP和认证日志监控等方法，都无法解决账户密码暴力破解的问题 6-12。为解决此问题，须将用户的超文本传输协议（Hyper Text Transfer Proto-col，HTTP）登录请求和结构化查询语言（StructuredQuery Language，SQL）进行关联，再进行分析判断 13-16。因此，创新提出基于运行时应用程序自我保护（Runtime Application Self-Protection，RASP）技术解决账户密码暴力破解难题，信息系统数据交互过程涉及浏览器与Web端、Web端与数据库、Web与应用程序编程接口（Application Program Interface，API）服务器、API和数据库。上述情况下，用户的访问请求与SQL语句关联比较困难。1用户登录请求和数据库关联方法1.1基于数据中台架构的用户登录请求和数据关联方法提出用户登录请求和数据库关联方法，主要适用于目前典型的数据中台架构，流程如图1所示。首先，在Web端部署jar包非侵入软件探针，采用RASP技术处理Web用户请求过程中，加入一段拦截代码，通过监控Java虚拟机（Java Virtual Machine，JVM）中的应用程序类 Class，访问人员从浏览器到Web服务器、Web服务器到API接口服务器、API到数据库服务器的过程，从HTTP请求到API链接数据库服务器所有数据请求，通过从服务器获取数据后回传给用户，可以不修改系统对应的源代码，且能实现对HTTP请求和数据交换的全过程监测。将jar包软探针部署在Web和API服务器，如果有多个Web、API服务器则需要将jar包软探针部署在所有服务器。当系统加载 API 服务和 Web 程序时，使用JVM进程启动SQL和HTTP插件库。目前，基于数据中台结构的模式下，数据库和Web服务器交互时需要有API接口对接业务数据。文中提出的jar包软件探针也可以部署在API上，实现从用户侧、Web服务侧、接口侧、数据库之间的数据传输交互，可对数据流转进行监测。当用户访问系统数据时，先发送 HTTP 请求，Web服务器接收到请求后会生成请求处理对应的线程，HTTP插件会识别HTTP请求并形成请求标识，从而实现在数据库中获取相应的元数据。当JVM虚拟机执行SQL语句时，通过SQL插件识别SQL查询之后，再计算SQL执行结果。用户发起的HTTP请求数据和后台数据库数据可以进行关联，关联数