張 露

（云南華電金沙江中游水電開發(fā)有限公司梨園發(fā)電分公司，云南 麗江 674100）

0 引 言

電力監(jiān)控系統(tǒng)的安全威脅主要是來自網(wǎng)絡(luò)病毒、黑客攻擊及內(nèi)部故障等方面。國內(nèi)外因網(wǎng)絡(luò)攻擊造成大面積停電事故案例數(shù)不勝數(shù)。就目前發(fā)展技術(shù)而言，網(wǎng)絡(luò)安全專家在威脅溯源技術(shù)方面的研究已取得一定成果，能夠?qū)崿F(xiàn)部分攻擊行為的有效溯源。但日益復(fù)雜的網(wǎng)絡(luò)環(huán)境對威脅溯源技術(shù)提出了更高要求，其未來發(fā)展要融入數(shù)字化、智能化元素，并且更加符合電力行業(yè)的工業(yè)需求，將技術(shù)與管理相結(jié)合，解決多個層面的網(wǎng)絡(luò)安全防護(hù)問題。

1 網(wǎng)絡(luò)安全定義

《智能電網(wǎng)網(wǎng)絡(luò)安全指南：卷1》中對于網(wǎng)絡(luò)安全指標(biāo)進(jìn)行了規(guī)定，即機(jī)密性、完整性以及可用性。其中，機(jī)密性是指要控制用戶隱私的數(shù)據(jù)傳輸安全，只有在被授予訪問權(quán)限的端口才能夠進(jìn)行信息查詢。若用戶隱私在未經(jīng)同意的情況下被泄露，則證明系統(tǒng)中存在一定風(fēng)險。完整性是指網(wǎng)絡(luò)中的信息一致性以及不可修改性，若因安全手段不足導(dǎo)致網(wǎng)絡(luò)信息出現(xiàn)破壞情況，或在未經(jīng)授權(quán)的情況下進(jìn)行網(wǎng)絡(luò)信息修改，則意味著網(wǎng)絡(luò)安全事故?？捎眯允侵冈谛畔⑸蟼鞯骄W(wǎng)絡(luò)系統(tǒng)中后，要保證用戶能夠隨時隨地進(jìn)行獲取，避免出現(xiàn)訪問過程中的惡意中斷，實現(xiàn)網(wǎng)絡(luò)通信的數(shù)據(jù)安全、加密等作用，有效降低相關(guān)業(yè)務(wù)安全隱患[1]。

2 電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全威脅溯源技術(shù)處理流程

2.1 構(gòu)建事件樹

一般電力監(jiān)控系統(tǒng)的主要安全防范方式是通過對安全日志信息采集分析，并生成完整的網(wǎng)絡(luò)攻擊圖，根據(jù)顯示的異常情況，解決電力系統(tǒng)用戶網(wǎng)絡(luò)安全問題，提升威脅行為的追溯能力。事先進(jìn)行網(wǎng)絡(luò)初始數(shù)值的設(shè)定，將不同電力監(jiān)控系統(tǒng)IP發(fā)生的疑似威脅、告警信息等內(nèi)容，建立相應(yīng)的事件樹節(jié)點，輸入電力監(jiān)控系統(tǒng)存儲的原始告警日志，在防護(hù)模塊的作用下構(gòu)建事件發(fā)生鏈。

其中，電力監(jiān)控系統(tǒng)的告警日志是事件樹的數(shù)據(jù)源，構(gòu)建出首尾IP地址相連的大型網(wǎng)絡(luò)系統(tǒng)，并以樹狀圖的形式表現(xiàn)出來。而進(jìn)行事件樹構(gòu)建應(yīng)保證電力監(jiān)控系統(tǒng)之間的告警源IP存在關(guān)聯(lián)性，并且不同IP之間有著因果遞進(jìn)式關(guān)系，事件上并不是同時發(fā)生的。對事件樹進(jìn)行聚合處理，分析不同子節(jié)點的告警類型，將后一個IP的告警結(jié)束時間覆蓋前一個子節(jié)點的告警結(jié)束時間，并刪除后一個子節(jié)點。

2.2 拆分事件鏈

事件樹構(gòu)建完成后，需要對安全事故進(jìn)行深化分析，即拆分安全事件發(fā)生鏈。而事件鏈的首要工作，便在于找到鏈?zhǔn)赘婢畔?。一般情況下，電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全威脅溯源事件鏈告警包含兩種原因，一種是告警源的IP節(jié)點并沒有雙親節(jié)點，另一種是雖然存在雙親節(jié)點，但其雙親告警時間卻晚于告警開始時間。因此，針對事件鏈拆分應(yīng)分為如下兩個環(huán)節(jié)：第一環(huán)節(jié)是對沒有雙親節(jié)點的IP進(jìn)行深度剖析，得到集合鏈；第二環(huán)節(jié)是針對剩下的有雙親節(jié)點的IP深度剖析，并將結(jié)果加入到集合鏈中，從而構(gòu)成事件發(fā)生鏈流程圖。針對流程圖進(jìn)行下一步的拆分處理，若事件發(fā)生鏈之間不具備固定的因果關(guān)系，需要進(jìn)行相應(yīng)的斷鏈處理。若兩個告警事件之間存在一定的因果關(guān)系，需要將原有的安全發(fā)生鏈拆分為兩個安全發(fā)生鏈，再進(jìn)行相應(yīng)的斷鏈處理。

2.3 構(gòu)建威脅量化模型

安全發(fā)生鏈完成后，需要對發(fā)生鏈的威脅程度進(jìn)行量化評定，從而實現(xiàn)對于整個電力監(jiān)控系統(tǒng)的動態(tài)感知。模型需要考慮到告警信息的等級與可能存在的攻擊嘗試事件等多個內(nèi)容，考慮到原始數(shù)據(jù)中夾雜此類信息的可能性。設(shè)置安全閾值來完成安全威脅溯源，一旦超過安全閾值，則該安全發(fā)生鏈就要被認(rèn)定為疑似危險事件，并通過量化模型進(jìn)行可視化展示，便于工作人員進(jìn)行運維分析。完成這些步驟后，能夠?qū)W(wǎng)絡(luò)安全事件的發(fā)起者進(jìn)行鎖定，并查找出攻擊源的具體位置，從而找到對電力監(jiān)控系統(tǒng)的攻擊者，完成網(wǎng)絡(luò)安全威脅溯源工作[2]。

3 電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全威脅溯源技術(shù)綜合分析

3.1 網(wǎng)絡(luò)傳播溯源定位

網(wǎng)絡(luò)安全威脅溯源技術(shù)就是對電力監(jiān)控系統(tǒng)中的病毒源進(jìn)行逆向追蹤，是一項富有挑戰(zhàn)性的任務(wù)，可以通過IP網(wǎng)絡(luò)節(jié)點中的信息來搜集感染源數(shù)據(jù)，并借此進(jìn)行感染源未知推理。就目前發(fā)展技術(shù)水平而言，若網(wǎng)絡(luò)節(jié)點中的狀態(tài)被系統(tǒng)發(fā)現(xiàn)后，可以初步實現(xiàn)對復(fù)雜電力監(jiān)控系統(tǒng)的污染源控制。經(jīng)過對電力監(jiān)控系統(tǒng)中的IP節(jié)點實驗可知，完成網(wǎng)絡(luò)傳播源定位，只需要對被檢測個體15%～25%的節(jié)點進(jìn)行追蹤判斷，即能大概率鎖定傳播源位置。

20世紀(jì)90年代，計算機(jī)還是一種專業(yè)技術(shù)水平較高的工具，其操作性較強(qiáng)，使用者多數(shù)為計算機(jī)專業(yè)，且具備計算機(jī)理論的人。隨著現(xiàn)代化技術(shù)水平的發(fā)展，計算機(jī)逐漸普及的同時，也出現(xiàn)大量非法黑客。通過對全球黑客攻擊行為與攻擊模式的信息數(shù)據(jù)收集，構(gòu)建網(wǎng)絡(luò)安全攻擊者知識庫。在網(wǎng)絡(luò)安全事故發(fā)生時，可以將指紋、罪犯特征等信息在數(shù)據(jù)庫中進(jìn)行比對，若比對成功就可以初步確定攻擊者的大致位置或個人信息，提高了電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全威脅溯源工作效率。構(gòu)建攻擊者知識庫，可以利用攻擊者普遍會在攻擊行為中重復(fù)使用某代碼塊的特點，根據(jù)已有的惡意軟件舊代碼來分析惡意軟件種類，實現(xiàn)傳播溯源定位。

3.2 溯源技術(shù)發(fā)展趨勢

現(xiàn)代化的網(wǎng)絡(luò)安全技術(shù)手段為提高電力監(jiān)控系統(tǒng)的安全溯源效率提供了很大的便捷性。溯源技術(shù)開發(fā)方式變得多樣化，不同IP之間的兼容性問題影響較小，滿足電力監(jiān)控系統(tǒng)高質(zhì)量服務(wù)的同時，保證系統(tǒng)網(wǎng)絡(luò)安全。但無論什么時期，電力監(jiān)控系統(tǒng)的安全溯源服務(wù)對象永遠(yuǎn)是“工業(yè)對象”，其使用主體也是“工業(yè)對象”。若片面地提高溯源處理效率，而忽視了其在實際工業(yè)運用中的服務(wù)效果，將本末倒置，失去溯源技術(shù)開發(fā)的意義。因此在溯源技術(shù)發(fā)展過程中，要將本質(zhì)化作為主要發(fā)展目標(biāo)，有效保證隱私數(shù)據(jù)，拒絕因為提高溯源效率而將信息當(dāng)做誘餌被泄露，保證數(shù)據(jù)安全。溯源技術(shù)研究要從本質(zhì)化的角度進(jìn)行電力監(jiān)控系統(tǒng)開發(fā)，考慮到系統(tǒng)用戶的實際需求，強(qiáng)調(diào)系統(tǒng)設(shè)計要滿足人性化服務(wù)[3]。

我國計算機(jī)信息技術(shù)發(fā)展速度迅猛，且人工智能發(fā)展方向愈發(fā)顯著。電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全威脅溯源技術(shù)研究時，通過威脅量化模型進(jìn)行智能化網(wǎng)絡(luò)安全數(shù)據(jù)采集，比較適用于我國電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全開發(fā)建設(shè)。現(xiàn)代計算機(jī)系統(tǒng)應(yīng)用逐漸趨向于開放化發(fā)展，強(qiáng)調(diào)通過智能化技術(shù)手段進(jìn)行網(wǎng)絡(luò)安全防護(hù)技術(shù)優(yōu)化，不斷有效提高信息反饋處理效率，用電子傳感器進(jìn)行IP節(jié)點數(shù)據(jù)采集，以及數(shù)據(jù)識別、斷定、初步修改、決策等操作，在網(wǎng)絡(luò)安全溯源技術(shù)不斷革新的同時，滿足電力監(jiān)控系統(tǒng)開發(fā)建設(shè)與發(fā)展的實際需求。在溯源技術(shù)研究環(huán)節(jié)，專業(yè)技術(shù)人員的技術(shù)水平對整體溯源效率起著決定性的作用，因此要加強(qiáng)對相關(guān)人員的培訓(xùn)與管理工作，并對培訓(xùn)的結(jié)果加以考核。智能化是電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全威脅溯源技術(shù)的必然發(fā)展趨勢，能夠提高電力監(jiān)控系統(tǒng)的智能化工業(yè)水平，滿足電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全需求，增強(qiáng)系統(tǒng)服務(wù)性。

3.3 網(wǎng)絡(luò)安全攻擊類型

3.3.1 拒接服務(wù)攻擊

拒接服務(wù)攻擊（Denial of Service，DoS）的攻擊手段是對整個電力監(jiān)控系統(tǒng)中的資源進(jìn)行高度消耗，使其中心處理能力不足，無法對系統(tǒng)內(nèi)部正常請求進(jìn)行回應(yīng)，從而達(dá)到暫停甚至中斷整個系統(tǒng)的目的。通過對攻擊源不同參數(shù)的變化情況分析，獲取整個網(wǎng)絡(luò)攻擊頻率的動態(tài)效果圖，并在此基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)安全威脅溯源。

3.3.2 中間人式攻擊

中間人式攻擊（Momentum Iterative Method，MIM）的攻擊手段是將攻擊信息偽裝成某一通信終端的回執(zhí)信息，擁有較高的隱匿性，能夠有效降低自身被發(fā)現(xiàn)的風(fēng)險。其攻擊效果取決于電力監(jiān)控系統(tǒng)通信協(xié)議的認(rèn)證漏洞，所以在攻擊環(huán)節(jié)要強(qiáng)調(diào)以通信協(xié)議為主，并針對MIM對于整個系統(tǒng)的影響效果進(jìn)行安全發(fā)生鏈建模。同時，存在調(diào)整傳感器電氣量測量值，以及開閉狀態(tài)的MIN攻擊手段，使得拓?fù)涔烙嬛蹬c原電力監(jiān)控系統(tǒng)中的數(shù)據(jù)相同，達(dá)到不被運維人員發(fā)現(xiàn)的攻擊目的[4]。

3.3.3 數(shù)據(jù)篡改攻擊

數(shù)據(jù)篡改攻擊（False Data Injection，F(xiàn)DI）的攻擊手段與DCS有著直接關(guān)系。DCS是整個電力監(jiān)控系統(tǒng)中的重要環(huán)節(jié)，它的核心功能便是潮流計算與運行狀態(tài)估計，當(dāng)系統(tǒng)中出現(xiàn)錯誤信息時，其相應(yīng)的狀態(tài)估計結(jié)果會同原來出現(xiàn)較大差異，從而發(fā)現(xiàn)攻擊信息。其工作基礎(chǔ)是數(shù)據(jù)錯誤量測量的任務(wù)較少，但攻擊者進(jìn)行網(wǎng)絡(luò)入侵時，由于其了解整個電力監(jiān)控系統(tǒng)的參數(shù)配置，可以針對DCS進(jìn)行惡意數(shù)據(jù)修改，繞過數(shù)據(jù)檢測模塊直接對運行狀態(tài)進(jìn)行破壞，從而對整個電力監(jiān)控系統(tǒng)造成影響。

4 結(jié) 論

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，加強(qiáng)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全威脅溯源技術(shù)研究，能夠?qū)崿F(xiàn)在復(fù)雜的網(wǎng)絡(luò)環(huán)境下降低系統(tǒng)運行風(fēng)險。針對大多數(shù)網(wǎng)絡(luò)入侵，可以采用安全事件發(fā)生樹的子節(jié)點合并的方式進(jìn)行威脅溯源，構(gòu)建事件發(fā)生鏈，并通過可視化的發(fā)展模式將告警信息直接呈現(xiàn)出來，提高整體網(wǎng)絡(luò)安全威脅溯源的準(zhǔn)確度。