駱晨,馮玉,吳凱,周建軍,吳少雷,郭小東

(1.國網(wǎng)安徽省電力有限公司電力科學(xué)研究院,合肥 233011; 2.國網(wǎng)安徽省電力有限公司,合肥 233011)

隨著配電網(wǎng)的日益普及,涉及的端用電用戶范圍越來越大,當(dāng)前對電網(wǎng)故障感知的準(zhǔn)確性和實(shí)時性也有了更高的要求,目前的傳統(tǒng)電網(wǎng)已經(jīng)無法應(yīng)對當(dāng)前不斷增長的電力需求。因此電網(wǎng)目前正進(jìn)行著新型電力系統(tǒng)建設(shè)和發(fā)展的根本性變化[1],尤其是數(shù)字化引入互聯(lián)網(wǎng)通信技術(shù)[2]。在這一轉(zhuǎn)變中出現(xiàn)的范式變化的主要特點(diǎn)是利用額外外部數(shù)據(jù),進(jìn)行多源數(shù)據(jù)融合輔助分析,從而實(shí)現(xiàn)電網(wǎng)組件的遠(yuǎn)程可控集成和準(zhǔn)確電網(wǎng)態(tài)勢分析。然而,電網(wǎng)部門中信息和負(fù)荷側(cè)網(wǎng)絡(luò)端數(shù)據(jù)之間的融合探索將導(dǎo)致新威脅格局的出現(xiàn),從而帶來了新的網(wǎng)絡(luò)安全挑戰(zhàn)。

對于數(shù)字化的電網(wǎng)運(yùn)營,這種新的威脅形勢帶來了新的事件風(fēng)險(xiǎn)[3],可能導(dǎo)致嚴(yán)重的破壞性后果[4]。在傳統(tǒng)電網(wǎng)中的一般的安全措施中,大部分以通信數(shù)據(jù)加密以及簡單的訪問權(quán)限控制來避免電網(wǎng)外部攻擊的發(fā)生,用以增強(qiáng)網(wǎng)絡(luò)安全的預(yù)防性安全概念[5],例如,文獻(xiàn)[6]中設(shè)計(jì)的安全設(shè)計(jì)原則,包括加密、訪問控制和網(wǎng)絡(luò)分段。而這樣從上述傳統(tǒng)的、被動性的、特定領(lǐng)域的角度(例如所涉及的基礎(chǔ)設(shè)施的通信或進(jìn)程級別)來保護(hù)和監(jiān)控系統(tǒng)已經(jīng)是不夠的。

同時由于電網(wǎng)的攻擊方式越來越多樣化和智能化。電網(wǎng)環(huán)境中對電力系統(tǒng)的攻擊逐漸趨向于系統(tǒng)化和多階段化,文獻(xiàn)[7]也提及現(xiàn)代攻擊趨向于使用協(xié)議、身份驗(yàn)證過程和系統(tǒng)模塊化中的弱點(diǎn)進(jìn)行攻擊。因此為了獲得系統(tǒng)的完整態(tài)勢感知,文獻(xiàn)[8]通過檢查可能的攻擊痕跡的指示來防范電網(wǎng)攻擊;文獻(xiàn)[9]驗(yàn)證來自不同組件的攻擊指標(biāo)的上下文相關(guān)性來檢測高級攻擊;文獻(xiàn)[10]則檢查網(wǎng)絡(luò)的不同域來判斷攻擊流程,特別是處理關(guān)鍵數(shù)據(jù)流[11],以及隨時間展開的時間發(fā)展[12]。但上述這些方法也都局限于攻擊流的相關(guān)性來感知電網(wǎng)系統(tǒng)態(tài)勢,而電力系統(tǒng)需要進(jìn)一步詳細(xì)和動態(tài)的風(fēng)險(xiǎn)量化來區(qū)分應(yīng)對這些攻擊。

同時極具威脅性的攻擊也伴隨著多種迷惑性的次要攻擊,所以事件相關(guān)性和完整性檢查是也檢測復(fù)雜攻擊的必要過程[13]。因此除了利用被動的安全措施以外,其中檢測性防御措施是必不可少的[14],入侵檢測系統(tǒng)等檢測措施旨在檢測攻擊的早期指標(biāo)[15],可用于監(jiān)控網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢[16]并為確定適當(dāng)?shù)捻憫?yīng)提供基礎(chǔ)和補(bǔ)救措施[17]。

因此,現(xiàn)基于引入網(wǎng)絡(luò)端數(shù)據(jù)的多源大規(guī)模電網(wǎng)攻擊風(fēng)險(xiǎn)感知中帶來的新的網(wǎng)絡(luò)安全挑戰(zhàn),提出一種電網(wǎng)節(jié)點(diǎn)安全態(tài)勢自動化感知模型來系統(tǒng)地處理大量跨域信息和關(guān)聯(lián)各種網(wǎng)絡(luò)情報(bào),以正確評估情況,為了彌補(bǔ)傳統(tǒng)通信級別加密算法的被動安全性,提出一種基于神經(jīng)網(wǎng)絡(luò)節(jié)點(diǎn)主動安全狀態(tài)感知的智能系統(tǒng),縮小攻擊分析搜索范圍;同時為了應(yīng)對多樣化的電網(wǎng)攻擊方式,在主動攻擊節(jié)點(diǎn)檢測的基礎(chǔ)上嵌入動態(tài)風(fēng)險(xiǎn)量化模塊來細(xì)化區(qū)分電網(wǎng)所受到的攻擊,進(jìn)一步在處理高級多階段攻擊的挑戰(zhàn)下,結(jié)合電網(wǎng)節(jié)點(diǎn)量化風(fēng)險(xiǎn)分析結(jié)果,基于上下文的跨域關(guān)聯(lián)框架,檢測到具有最可能風(fēng)險(xiǎn)的路徑和查殺鏈步驟,來執(zhí)行查殺決策,避免錯過最具威脅性的高級攻擊。

1 方法概述

本文框架的核心概念追求基于攻擊的觀察和結(jié)構(gòu)建模重構(gòu)網(wǎng)絡(luò)攻擊的傳播行為和預(yù)期策略的目標(biāo),如圖1所示。主要由3個組件構(gòu)成,第一部分為基于人工神經(jīng)網(wǎng)絡(luò)的電網(wǎng)網(wǎng)絡(luò)攻擊檢測,以此來識別節(jié)點(diǎn)中不良的數(shù)據(jù)以及當(dāng)前狀態(tài)是否遭受網(wǎng)絡(luò)攻擊,在網(wǎng)絡(luò)攻擊檢測模塊之后,事件相關(guān)器在攻擊者可以執(zhí)行的一組給定的已知可能操作的上下文中使用組合規(guī)則,根據(jù)預(yù)處理的攻擊指標(biāo)確定可能的攻擊操作。之后通過第二個攻擊風(fēng)險(xiǎn)量化模塊,該模塊可以在所有組件中可用的防御措施已知后持續(xù)重新評估系統(tǒng)風(fēng)險(xiǎn),并在所有系統(tǒng)組件部署和運(yùn)行時持續(xù)更新評估的風(fēng)險(xiǎn),來細(xì)化區(qū)分電網(wǎng)所受到的攻擊。識別所有可能執(zhí)行的攻擊動作的過程之后是查殺鏈策略相關(guān)器,它根據(jù)組合規(guī)則在已知攻擊圖的上下文中執(zhí)行識別可能路徑的分析。在分析的上下文中,考慮檢測到的攻擊動作的量化質(zhì)量值和攻擊圖的邊緣是根據(jù)當(dāng)前觀察確定可行攻擊策略的一部分。在關(guān)聯(lián)過程之后,觸發(fā)殺傷鏈識別組件進(jìn)行分析,以根據(jù)結(jié)果確定最可能的攻擊路徑和相應(yīng)的圖表。在此步驟中,確定與識別的攻擊路徑結(jié)構(gòu)相關(guān)的相應(yīng)殺傷鏈步驟。在生成攻擊動作、圖形和路徑之后,后處理組件對結(jié)果進(jìn)行更高級別的處理。圖1顯示了核心模塊及其功能的簡化概述。在以下部分中,將更詳細(xì)地介紹和討論上述過程的設(shè)計(jì)。

圖1 引入網(wǎng)絡(luò)端數(shù)據(jù)的多源電網(wǎng)節(jié)點(diǎn)安全態(tài)勢自動化感知以及多階段攻擊風(fēng)險(xiǎn)量化和防御技術(shù)框架

2 模型與算法分析

本文具體模型算法分為基于人工神經(jīng)網(wǎng)絡(luò)的電網(wǎng)網(wǎng)絡(luò)攻擊檢測模塊、攻擊風(fēng)險(xiǎn)量化模塊、查殺鏈策略相關(guān)模塊三部分,模型流程如圖1所示,三部分原理實(shí)際算法過程如下。

2.1 電網(wǎng)網(wǎng)絡(luò)攻擊檢測

在提出的電網(wǎng)網(wǎng)絡(luò)攻擊檢測神經(jīng)模型中,如圖2所示,最開始是完成電網(wǎng)節(jié)點(diǎn)狀態(tài)估計(jì),同時電網(wǎng)中的不良數(shù)據(jù)由損壞數(shù)據(jù)檢測器(bad data detector,BDD)識別。然后是狀態(tài)特征由離散小波變換(discrete wavelet transform,DWT)提取,之后利用節(jié)點(diǎn)狀態(tài)特征人工神經(jīng)網(wǎng)絡(luò)(artificial neural network,ANN)技術(shù)就會檢測到電網(wǎng)中是否存在攻擊。通過這種方式,所提出的神經(jīng)模型提高了網(wǎng)絡(luò)攻擊檢測的準(zhǔn)確性。因此電網(wǎng)中檢測網(wǎng)絡(luò)攻擊的主要過程涉及3個階段,包括狀態(tài)估計(jì)、特征選擇和檢測。

電網(wǎng)節(jié)點(diǎn)狀態(tài)測量數(shù)據(jù)是從電網(wǎng)主控系統(tǒng)匯總的,在該系統(tǒng)中,電網(wǎng)的狀態(tài)通過利用從傳感器收集的數(shù)據(jù)(如幅度和母線電壓角)來監(jiān)控。狀態(tài)變量是根據(jù)儀表測量值估計(jì)的。在電力控制中心獲取狀態(tài)變量的過程稱為“狀態(tài)估計(jì)”。

測量向量j∈Rw,而狀態(tài)向量g∈R2y-1,其中R為實(shí)數(shù)集合,用于表示電網(wǎng)狀態(tài)變量的取值范圍。w表示測量向量j的維數(shù),即電網(wǎng)節(jié)點(diǎn)狀態(tài)測量數(shù)據(jù)的數(shù)量或者傳感器收集的數(shù)據(jù)量。y表示上游或下游電網(wǎng)中節(jié)點(diǎn)的數(shù)量或者電網(wǎng)的規(guī)模,y可以被理解為電網(wǎng)中節(jié)點(diǎn)的數(shù)量。狀態(tài)相位角為θa,其中a∈[2,y],a表示電網(wǎng)中的節(jié)點(diǎn)編號;電壓幅度為Va,其中a∈[1,y],w≥2y-1,在該場景中,w≥2y-1,這是因?yàn)闋顟B(tài)向量g的維數(shù)為2y-1,所以測量向量的維數(shù)必須至少等于狀態(tài)向量的維數(shù),以確保足夠的信息來進(jìn)行狀態(tài)估計(jì)。j和g之間的關(guān)系為

j=h(g)+n

(1)

式(1)中:h為狀態(tài)向量g與測量向量j之間的映射或轉(zhuǎn)換函數(shù),將電網(wǎng)節(jié)點(diǎn)狀態(tài)的估計(jì)值轉(zhuǎn)換為實(shí)際的測量數(shù)據(jù);n為具有方差的高斯噪聲σ2。

總線a的功率注入(實(shí)際功率)為

(2)

(3)

(4)

(5)

式中:Rlab和Imab分別為線路阻抗的實(shí)部和虛部;θab為母線a和母線b之間的相位差;Va為母線a的電壓;Vb為母線b的電壓;Pa(real)為總線a的有功功率;Qa(reactive)為總線a的無功功率;Pab(real)為母線a和母線b之間的實(shí)際功率差;Qab(reactive)為母線a和母線b之間的無功功率差。

進(jìn)行電網(wǎng)節(jié)點(diǎn)狀態(tài)向量估計(jì),遵循文獻(xiàn)[18]中提出的3個假設(shè):①相位差很小;②串聯(lián)電阻和并聯(lián)電納被忽略;③所有總線的固定電壓為 1 p.u.?；谏鲜黾僭O(shè),式(4)可以寫成

Pab(real)=Imabsinθab?Imab(θb-θb)

(6)

(7)

j=Hg+n

(8)

式中:H∈Rw×y為定義狀態(tài)和測量之間關(guān)系的雅可比矩陣;ζ為每條總線的集合。

(9)

式(9)中:D為具有元素的對角矩陣Daa=σ-2。

(10)

式(10)中:Rs為惡意數(shù)據(jù)篡改后的測量殘差的L2范數(shù)。

入侵者的主要目的是對狀態(tài)變量進(jìn)行某些更改,這是通過改變負(fù)載來執(zhí)行的。通過使用電力系統(tǒng)的知識,入侵者可以通過在觀測到的測量值ju=j+u上使用攻擊向量u=He將惡意數(shù)據(jù)注入電表測量值j中。例如,如果攻擊是通過修改狀態(tài)變量g2來使用 6% 的攻擊注入,則攻擊向量e是使用方程式(11)生成的:

e=[0,0.06e2,0,…,0]

(11)

從而利用該方法得到攻擊向量u=He。

若檢測到無虛假數(shù)據(jù)攻擊,則進(jìn)行后續(xù)的狀態(tài)特征提取進(jìn)一步分析,在特征提取步驟中,使用 128 個特征對電網(wǎng)事件進(jìn)行分類。這里,116 個特征是從4個相量測量單元獲得的,其余 12 個特征是通過集成繼電器和 相量測量單元獲得的。從相量測量單元獲得的特征包括電壓的相位角、電壓的相位幅度等,而繼電器日志、snort警報(bào)和控制面板日志等 12 個特征是通過集成繼電器和相量測量單元獲得的。DWT 將輸入信號分解為小波系數(shù)。

通常,小波ψq,p(t)是使用等式(12)從母小波ψ(t)推導(dǎo)出來的。

(12)

式(12)中:ψ表示母小波,它是離散小波變換的基本函數(shù),用于分解信號。母小波ψ(t)用于推導(dǎo)離散小波系數(shù)。p和q分別為移位和縮放因子。

(13)

式(13)中:q0=2和p0=1。

然后使用式(14)變換原始信號x(t),即

(14)

式(14)中:ψ*b,r(t)為離散小波的復(fù)共軛。

(15)

式(15)中:ψb,r(t)為離散信號處理中的基本函數(shù)離散小波函數(shù),用于分解信號,并和ψ*b,r(t)互為共軛復(fù)數(shù);a0表示初始縮放因子,其值為默認(rèn)為1,用于作為尺度縮放因子。

在頻譜級,信號x(t)使用方程式(16)分解為多分辨率,即

(16)

(17)

人工神經(jīng)網(wǎng)絡(luò)是人腦中神經(jīng)元行為所采用的一種眾所周知的分類技術(shù),其結(jié)構(gòu)如圖3所示。人工神經(jīng)網(wǎng)絡(luò)包括大量稱為節(jié)點(diǎn)的獨(dú)立組件。

圖3 利用人工神經(jīng)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)攻擊分類的結(jié)構(gòu)

ANN分類由兩部分組成:①訓(xùn)練階段來更新權(quán)重;②測試階段。測試階段使用測試數(shù)據(jù)確定分類的準(zhǔn)確性。輸入層的輸出由方程式(18)確定。

(18)

式(18)中:Vx為輸入;By為隱藏層的偏差值;Wtxy為輸入層和隱藏層之間的權(quán)重。

隱藏層的輸出的計(jì)算公式為

(19)

最終輸出計(jì)算公式為

(20)

式(20)中:Wtyn為節(jié)點(diǎn)y和節(jié)點(diǎn)n之間獲得的權(quán)重;Bn為偏差值;fy為作用于節(jié)點(diǎn)y的神經(jīng)網(wǎng)絡(luò)激活函數(shù)。

2.2 節(jié)點(diǎn)攻擊風(fēng)險(xiǎn)量化

本文的電網(wǎng)系統(tǒng)定量風(fēng)險(xiǎn)評估方法通過始終評估運(yùn)行中系統(tǒng)的安全狀態(tài)來促進(jìn)在開發(fā)時評估的風(fēng)險(xiǎn)的早期更新。該方法將不同系統(tǒng)組件在所選基礎(chǔ)設(shè)施中部署的影響以及防御和攻擊的當(dāng)前狀態(tài)集成到風(fēng)險(xiǎn)計(jì)算中,因此持續(xù)的風(fēng)險(xiǎn)評估被提供。

持續(xù)風(fēng)險(xiǎn)管理涉及識別和初步評估系統(tǒng)資產(chǎn)的風(fēng)險(xiǎn),然后持續(xù)監(jiān)控風(fēng)險(xiǎn)嚴(yán)重程度的演變。這意味著在系統(tǒng)運(yùn)行期間對設(shè)計(jì)階段確定的風(fēng)險(xiǎn)屬性的狀態(tài)進(jìn)行持續(xù)評估,以便可以根據(jù)實(shí)際發(fā)生的攻擊或其癥狀以及部署的防御狀態(tài)調(diào)整風(fēng)險(xiǎn)級別。

圖4顯示了在電網(wǎng)中系統(tǒng)地執(zhí)行持續(xù)風(fēng)險(xiǎn)管理的迭代過程。整個過程包括3個主要步驟。

圖4 基于攻擊防御樹的持續(xù)量化風(fēng)險(xiǎn)管理流程

(1)系統(tǒng) ADT(attack defense tree)建模,系統(tǒng)安全分析師在其中創(chuàng)建代表潛在攻擊防御場景的系統(tǒng) ADT。

(2)對系統(tǒng) ADT 的風(fēng)險(xiǎn)量化評估,包括通過將風(fēng)險(xiǎn)屬性值設(shè)置到代表可能的攻擊和所需防御的樹葉節(jié)點(diǎn)。

(3)基于風(fēng)險(xiǎn)的防御優(yōu)化,根據(jù)不同的約束組合選擇系統(tǒng)保護(hù),例如在有限的安全預(yù)算下最小化系統(tǒng)風(fēng)險(xiǎn),執(zhí)行查殺鏈決策。

本節(jié)專注于節(jié)點(diǎn)的系統(tǒng) ADT 建模和風(fēng)險(xiǎn)量化過程,第一步就是系統(tǒng)攻擊防御樹的建模,其中包括創(chuàng)建 ADT 模型,捕獲針對系統(tǒng)的潛在攻擊場景以及可用于對抗攻擊的相應(yīng)防御控制。在本節(jié)中,解釋了構(gòu)建代表系統(tǒng)不同攻擊場景的 ADT 的提出方法,以及如何將它們集成到單個系統(tǒng) ADT 中,從而能夠評估整體系統(tǒng)風(fēng)險(xiǎn)。在該方法中,復(fù)雜復(fù)合系統(tǒng)的特性通過從系統(tǒng) ADT 派生出與每個系統(tǒng)資產(chǎn)相對應(yīng)的一組攻擊事件和控制來解決,因此以后可以對特定資產(chǎn)或組件進(jìn)行風(fēng)險(xiǎn)分析。

按照分層攻擊建模方法,對于設(shè)想的每個攻擊防御場景,都會創(chuàng)建一個 ADT,其中高級潛在威脅由根節(jié)點(diǎn)表示,根節(jié)點(diǎn)被分解為由中間節(jié)點(diǎn)表示的低級威脅。樹葉是攻擊者的行為,它們利用系統(tǒng)資產(chǎn)的特定漏洞,因此不可進(jìn)一步分解。一般而言,針對系統(tǒng)資產(chǎn)(組件)的攻擊行為取決于組件的性質(zhì)、類型、接口等。系統(tǒng)開發(fā)人員為抵御外部攻擊行為而采取的防御或保護(hù)措施與下層的攻擊事件相關(guān)聯(lián)。圖5描繪了攻擊防御樹(attack defense tree,ADT)結(jié)構(gòu),其中攻擊由紅色橢圓表示,對策(防御)由綠色矩形表示。攻擊目標(biāo)細(xì)化關(guān)系繪制為節(jié)點(diǎn)之間的實(shí)線,而防御通過虛線連接到反擊攻擊。從父節(jié)點(diǎn)到子節(jié)點(diǎn)的兩種類型的細(xì)化(所有相同類型)是可能的:①合取細(xì)化(AND);②析取細(xì)化 (OR)。

圖5 攻擊防御樹(ADT)的一般結(jié)構(gòu)

從圖5中可以看出,ADT 的樹結(jié)構(gòu)有助于推理攻擊子目標(biāo)是集體的(由 AND 運(yùn)算符在父節(jié)點(diǎn)中連接的連接子目標(biāo))還是有助于實(shí)現(xiàn)父目標(biāo)的實(shí)現(xiàn)(分離子目標(biāo))。由 OR 運(yùn)算符在父級中加入的目標(biāo))。類似地,ADT 說明了防御是共同促成父對策機(jī)制(由父項(xiàng)中的與門加入)還是替代解決方案(由或門在父級中加入)。這將允許定量表達(dá):① 攻擊事件對系統(tǒng)風(fēng)險(xiǎn)嚴(yán)重性級別的貢獻(xiàn),以及 ② 防御性控制對威脅緩解和風(fēng)險(xiǎn)嚴(yán)重性級別降低的貢獻(xiàn)。

在 ADT 中對防御進(jìn)行建模時,首先需要對系統(tǒng)內(nèi)部組件進(jìn)行自我評估,以便了解哪些保護(hù)已經(jīng)實(shí)施,從而消除一些潛在的損害。在這些情況下,潛在的攻擊應(yīng)該與資產(chǎn)中實(shí)施的防御一起表示為一個樹節(jié)點(diǎn)。

對于大型復(fù)合系統(tǒng)或已經(jīng)建模了許多單個 ADT 的系統(tǒng),構(gòu)建統(tǒng)一的系統(tǒng) ADT 可能會導(dǎo)致樹結(jié)構(gòu)過大,其可視化不再容易,因此,建議將單個 ADT 的集合一起維護(hù)使用簡化的系統(tǒng) ADT,其根節(jié)點(diǎn)將所有單獨(dú)的析取 ADT 的根節(jié)點(diǎn)作為子節(jié)點(diǎn),通過它們之間的 OR 關(guān)系聚合。

第二步就是對系統(tǒng) ADT 的風(fēng)險(xiǎn)定量風(fēng)險(xiǎn)分析,用提出的風(fēng)險(xiǎn)屬性的估計(jì)值描述系統(tǒng) ADT 中的攻擊事件和防御。一旦定義了葉節(jié)點(diǎn)的屬性值,就可以通過將這些值傳播到樹根節(jié)點(diǎn)來獲得 ADT 上的不同度量。

在本文方法中,利用文獻(xiàn)[19]中使用的基于三屬性的風(fēng)險(xiǎn)評估,因?yàn)樗兄诜治鰹樽钚』到y(tǒng)風(fēng)險(xiǎn)而采用的防御策略的成本效益:

(21)

式(21)中:i為針對系統(tǒng)的一組T個威脅中的每個威脅或潛在攻擊,即i∈[0,T];Pi為攻擊成功的概率;Ii為攻擊對系統(tǒng);Ci為攻擊的成本。

將這3個屬性的值與得到的風(fēng)險(xiǎn)值一起,建立一個風(fēng)險(xiǎn)屬性向量{Pi,Ii,Ci,Ri},Ri是使用等式(21)評估的風(fēng)險(xiǎn)嚴(yán)重性。要注意公式中操作數(shù)的單位和潛在值范圍,以便由此產(chǎn)生的風(fēng)險(xiǎn)水平是有意義的。成功發(fā)生概率值落在[0,1]區(qū)間,而影響值通常在0～10,0表示沒有影響,10表示對系統(tǒng)的影響最大?？赡苄詾?0 或影響為 0 的威脅不值得考慮風(fēng)險(xiǎn)。

在電網(wǎng)系統(tǒng)中,從第三方服務(wù)提供商處使用一項(xiàng)或多項(xiàng)服務(wù),如運(yùn)營商網(wǎng)絡(luò)端數(shù)據(jù)支持,建模的攻擊場景需要包括對這些外包資產(chǎn)的攻擊事件以及潛在的應(yīng)對措施。在這些情況下,也有必要對這些攻擊事件和防御的風(fēng)險(xiǎn)屬性進(jìn)行初步估計(jì)。在運(yùn)行過程中對系統(tǒng)服務(wù)的狀態(tài)、防御和攻擊征兆進(jìn)行持續(xù)監(jiān)控,可以細(xì)化攻擊事件節(jié)點(diǎn)和各自防御中的風(fēng)險(xiǎn)屬性向量{Pi,Ii,Ci,Ri}。

當(dāng)在 ADT 中為葉節(jié)點(diǎn)攻擊添加防御時,被反擊攻擊給系統(tǒng)帶來的風(fēng)險(xiǎn)會被防御的風(fēng)險(xiǎn)緩解有效性所修改,反之亦然,當(dāng)攻擊事件被建模為針對 ADT 中的防御時,其防護(hù)效果減弱。因此,ADT 中的防御作為攻擊的對策,反之,攻擊作為防御的對策。因此,如果將這種情況概括為 ADT 的支持者(攻擊者)和反對者(防御者)的角度,則需要一種計(jì)算被對抗節(jié)點(diǎn)風(fēng)險(xiǎn)屬性的方法。表1 給出了用于評估被相反類型節(jié)點(diǎn)對抗的節(jié)點(diǎn)的規(guī)則。

表1 ADT中對抗節(jié)點(diǎn)的風(fēng)險(xiǎn)向量評估規(guī)則

如表1所示,當(dāng)一個被反擊的節(jié)點(diǎn)的保障措施成功時,其成功率會降低。因此,被反擊節(jié)點(diǎn)的成功概率可以計(jì)算為該節(jié)點(diǎn)的成功概率乘以反措施的失敗概率(即1減去反措施的成功概率)。

2.3 最大風(fēng)險(xiǎn)路徑傳播和查殺鏈策略執(zhí)行

在這個階段,為了量化評估系統(tǒng)被攻擊的風(fēng)險(xiǎn),需要計(jì)算系統(tǒng)ADT中“攻擊系統(tǒng)”的根節(jié)點(diǎn)的風(fēng)險(xiǎn)屬性向量。為此,需要一種自下而上的傳播算法,該算法將風(fēng)險(xiǎn)向量從葉節(jié)點(diǎn)向上傳播到邏輯樹層次結(jié)構(gòu)。

在本文方法中,通過假設(shè)最壞的情況來采取自動化領(lǐng)域初步的安全與保障流程[20]的原則,在這種情況下,聰明的對手會智能地應(yīng)用所有可用資源來攻擊系統(tǒng)。只要AND操作數(shù)和 OR 操作數(shù)在評估來自其子級的風(fēng)險(xiǎn)屬性時的行為,該假設(shè)就會影響ADT中的風(fēng)險(xiǎn)自下而上傳播規(guī)則。

與AND節(jié)點(diǎn)相關(guān)的風(fēng)險(xiǎn)是以子節(jié)點(diǎn)的努力之和來計(jì)算的。也就是說,雖然父節(jié)點(diǎn)的可滿足性(成功概率)要求所有子節(jié)點(diǎn)都得到滿足,但父節(jié)點(diǎn)的成本是子節(jié)點(diǎn)的成本之和,而且父節(jié)點(diǎn)的影響也是子節(jié)點(diǎn)影響的總和。在影響的情況下,提出的公式是Edge等[21]的公式,它適應(yīng)了這樣一個事實(shí):在大多數(shù)情況下,一組成功行動對系統(tǒng)的影響大于單個事件的總和。父OR節(jié)點(diǎn)的風(fēng)險(xiǎn)是與其后代相關(guān)的風(fēng)險(xiǎn)的最大值,因?yàn)槁斆鞯膶κ謺x擇實(shí)施成功概率較高的攻擊,并在實(shí)施攻擊的支出方面產(chǎn)生最高的損害。

查殺鏈識別模塊則負(fù)責(zé)確定整個攻擊的置信度,并據(jù)此根據(jù)之前的相關(guān)結(jié)果,識別出代表攻擊活動的最佳結(jié)果對。因此,分析主要基于找到一對最優(yōu)的攻擊圖和路徑,這些攻擊圖和路徑根據(jù)質(zhì)量函數(shù)值被表征為最可信和最合理的結(jié)果對。特別地,質(zhì)量函數(shù)的值被連續(xù)地與預(yù)定義的閾值和限制進(jìn)行比較,這些閾值和限制表示被認(rèn)為是感興趣的結(jié)果的最小置信水平。因此,攻擊圖和路徑對的相應(yīng)合理性和置信度值用于這些比較任務(wù)中的截止過程。

使用選定的成對結(jié)果集,檢查最可信的路徑是否包含在將形成最優(yōu)解的最可信的圖中。因此,在這個過程中確定的攻擊策略由最優(yōu)解中包含的攻擊圖定義。因此,攻擊的殺傷鏈階段由包含在最優(yōu)解路徑中的階段含義決定。路徑中包含的攻擊節(jié)點(diǎn)的最后一個殺傷鏈階段代表攻擊者所處的當(dāng)前階段。

關(guān)聯(lián)過程的最終輸出包括檢測到的攻擊行為和策略、攻擊者最后感知到的殺傷鏈階段以及檢測到受感染的主機(jī)列表。因此,該模型提供的結(jié)果可確定是否攻擊發(fā)生在一定的時間范圍內(nèi)(由可用輸入和假設(shè)的指標(biāo)相關(guān)性定義)、攻擊的發(fā)展過程(由攻擊路徑?jīng)Q定)和遵循的策略(由攻擊圖定義)。此外,還確定了相應(yīng)的階段(檢測到的殺傷鏈階段)和參與攻擊的主機(jī)(按攻擊動作列出的受感染主機(jī))。

3 實(shí)驗(yàn)分析

對提出方法性能的評估基于通過衡量系統(tǒng)正確識別電網(wǎng)網(wǎng)絡(luò)中受感染主機(jī)的能力或攻擊者執(zhí)行的操作來深入了解系統(tǒng)能力的標(biāo)準(zhǔn)。此外,該標(biāo)準(zhǔn)確定系統(tǒng)是否能夠正確識別已知的攻擊策略以及當(dāng)前在其中執(zhí)行的查殺鏈階段。因此,有3個主要標(biāo)準(zhǔn)來評估攻擊檢測方法的性能:①檢測網(wǎng)絡(luò)中受攻擊的節(jié)點(diǎn)準(zhǔn)確率;②檢測到的攻擊者行為的風(fēng)險(xiǎn)度;③查殺鏈策略執(zhí)行有效率。

首先評估攻擊檢測模塊在電網(wǎng)中檢測網(wǎng)絡(luò)中受攻擊的節(jié)點(diǎn)準(zhǔn)確率。然后將評估結(jié)果與 ERT[19]、GA[22]、IF[23]、SOS[24]、AGWO[25]、KHO[26]和 MEHO[27]等主流技術(shù)進(jìn)行比較。評估結(jié)果在公開的電力系統(tǒng)攻擊數(shù)據(jù)集進(jìn)行,其中包括正常和受損測量。該數(shù)據(jù)集包含從電力網(wǎng)絡(luò)收集的37個不同事件。37個事件分為自然事件、無事件和受攻擊事件。在這里,80%的數(shù)據(jù)用于訓(xùn)練,剩下的20%用于測試提出的攻擊檢測模塊。模型的性能使用接收者操作特征(receiver operating characteristic,ROC)指標(biāo)進(jìn)行評估。

如圖6提供了提出的攻擊檢測模塊和現(xiàn)有技術(shù)獲得的 ROC 曲線。通過確定真正例率(true positive rate,TPR)和假正例率(false positive rate,FPR)繪制ROC曲線。將“正常攻擊”識別為“受損”稱為 FPR,而將受損數(shù)據(jù)正確識別為“受損攻擊”稱為 TPR。ROC 曲線接近 1 表示更好的結(jié)果。因此,對于公開的電網(wǎng)攻擊檢測數(shù)據(jù)集,由本文提出方法的準(zhǔn)確檢測,從ROC 曲線可被證明具有更好的結(jié)果。

圖6 本文攻擊檢測模塊和現(xiàn)有技術(shù)的ROC曲線比較

其次為了評估本文模型的攻擊者行為的風(fēng)險(xiǎn)度量化程度,由于篇幅限制和為了簡化攻擊風(fēng)險(xiǎn)量化,構(gòu)建一種“竊取電網(wǎng)數(shù)據(jù)”的簡化ADT,這個ADT是由3個析取ADT組成,“在數(shù)據(jù)源盜取”、“在交換節(jié)點(diǎn)盜取”和“在數(shù)據(jù)庫盜取”通過OR關(guān)系連接起來,這表明了3種潛在的獨(dú)立的數(shù)據(jù)竊取方式通過在捕獲數(shù)據(jù)時在組件之間傳輸,或存儲在數(shù)據(jù)庫中利用系統(tǒng)漏洞來獲取數(shù)據(jù)。

通過本文的攻擊風(fēng)險(xiǎn)量化模塊,得到表2包含與“節(jié)點(diǎn)查殺之前的風(fēng)險(xiǎn)向量”對應(yīng)的列中顯示的攻擊事件的初始估計(jì)風(fēng)險(xiǎn)向量以及執(zhí)行節(jié)點(diǎn)查殺鏈之后的風(fēng)險(xiǎn)向量,其中攻擊事件中使用的符號是Ati。所有具有 0.6～1的高概率和 6～10 的高影響的攻擊事件都屬于關(guān)鍵高風(fēng)險(xiǎn)攻擊。

由所提出的風(fēng)險(xiǎn)向量傳播方法,推導(dǎo)出了“竊取能量數(shù)據(jù)”主要目標(biāo)的成功概率、對系統(tǒng)的影響以及總體攻擊成本。在 ADT 根節(jié)點(diǎn)中生成的風(fēng)險(xiǎn)向量為 {0.05,4.32,2.8,0.08},其中風(fēng)險(xiǎn)值 0.1 給出了在估計(jì)所有節(jié)點(diǎn)查殺防御措施的有效性后系統(tǒng)風(fēng)險(xiǎn)暴露的度量。將該向量與在沒有節(jié)點(diǎn)查殺對策的根節(jié)點(diǎn)中評估的風(fēng)險(xiǎn)向量 {0.61,8.7,7.6,0.7} 的比較(當(dāng)所有節(jié)點(diǎn)查殺的概率設(shè)置為0時)提供了所實(shí)現(xiàn)的風(fēng)險(xiǎn)降低了0.62點(diǎn)意味著,通過應(yīng)用系統(tǒng) ADT 中建模的所有查殺鏈防御措施,相對于不實(shí)施任何防御措施,可以實(shí)現(xiàn) 88.57% 的風(fēng)險(xiǎn)最小化。

最后驗(yàn)證攻擊路徑節(jié)點(diǎn)查殺鏈執(zhí)行模塊,由圖7可看到,查殺鏈識別的可靠性高度依賴于攻擊策略的正確識別。當(dāng)一個已知的攻擊圖被正確識別時,殺傷鏈階段也在超過 98% 的案例中被正確確定執(zhí)行。如果攻擊策略沒有被正確檢測到,相應(yīng)的節(jié)點(diǎn)查殺鏈執(zhí)行檢測就不太可靠,節(jié)點(diǎn)查殺鏈執(zhí)行錯誤執(zhí)行率有9%。

圖7 在隨機(jī)生成攻擊和無電網(wǎng)攻擊測試下受到攻擊的檢測率以及被攻擊節(jié)點(diǎn)查殺策略執(zhí)行有效率

4 結(jié)論

隨著電網(wǎng)的規(guī)模逐漸擴(kuò)大,為了防止不斷發(fā)展的電力網(wǎng)絡(luò)中的潛在攻擊和漏洞,加強(qiáng)對安全和隱私機(jī)制的額外研究的需要,被動緩解和對策需要準(zhǔn)確和情景描述的攻擊活動檢測能力,不僅僅只能從依賴于通信的過程方面了解攻擊發(fā)展過程。因此本文提出了一種電網(wǎng)節(jié)點(diǎn)安全態(tài)勢自動化感知模型來系統(tǒng)地處理大量跨域信息和關(guān)聯(lián)各種網(wǎng)絡(luò)情報(bào),以正確評估情況,并得到以下結(jié)論。

(1)提出了一種基于神經(jīng)網(wǎng)絡(luò)節(jié)點(diǎn)主動安全狀態(tài)感知的智能系統(tǒng),彌補(bǔ)傳統(tǒng)通信級別加密算法的被動安全性;并且通過實(shí)驗(yàn)分析證明該方法檢測網(wǎng)絡(luò)中受攻擊的節(jié)點(diǎn)能達(dá)到較好的準(zhǔn)確率。

(2)為了應(yīng)對多樣化的電網(wǎng)攻擊方式,在主動攻擊節(jié)點(diǎn)檢測的基礎(chǔ)上嵌入動態(tài)風(fēng)險(xiǎn)量化模塊來細(xì)化區(qū)分電網(wǎng)所受到的攻擊,量化了攻擊風(fēng)險(xiǎn)。

(3)進(jìn)一步在處理高級多階段攻擊的挑戰(zhàn)下,結(jié)合電網(wǎng)節(jié)點(diǎn)量化風(fēng)險(xiǎn)分析結(jié)果,基于上下文的跨域關(guān)聯(lián)框架,檢測到具有最可能風(fēng)險(xiǎn)的路徑和查殺鏈步驟,進(jìn)一步了解攻擊的演變、所收集信息的質(zhì)量、攻擊對關(guān)鍵資產(chǎn)的影響、攻擊者在事件中的行為以及未來可能的發(fā)展,來執(zhí)行查殺決策,實(shí)現(xiàn)了對電網(wǎng)網(wǎng)絡(luò)安全的上下文關(guān)聯(lián)感知和輔助防御決策執(zhí)行。