智能電網入侵檢測綜述

蔣南允 程光

摘 要：在智能電網中，高級量測體系通過集成計算和網絡組件用來監視并控制電力設備，使電網滿足現代化的需求。但兩者的融合使得一旦信息通信技術存在的缺陷被攻擊利用，電力設備原本因為其封閉性而被未暴露的漏洞也將被發掘利用，最后導致災難性后果。論文首先介紹了當前電網存在的安全問題，高級量測體系的概念和作用，然后闡述了其安全需求，并詳述近年來入侵檢測方法在高級量測體系中的應用和發展，最后對其防護模型進行了探討。

關鍵詞：智能電網；高級量測體系；流量檢測

中圖分類號：TP393.08；TM711 文獻標識碼：A

A Review of intrusion detection in smart grid

Abstract： In the smart grid， AMI （Advanced Metering Infrastructure） monitors and controls power equipment by integrated computing and network components in order to make the power grid meet modern requirements. However， the combination of the two parts above leads to a severe result that once the deficiencies of information and communication technology is attacked and applied in an improper way， the loopholes of power equipment which was not exposed due to its closure previously will be explored and utilized， which may result in disastrous consequence. The paper later expounds the AMIs demands for security and expatiates the application and development of intrusion detection techniques in AMI network. Finally， the author discusses its defense model.

Key words： smart grid； advanced metering infrastructure； intrusion detection

1 引言

發生在美國、加拿大等國的大規模停電事件表明傳統電網架構已經過時，其現有的管理和工作模式越來越不能滿足用戶在用電高峰期的需求[1-4]。因此在20世紀初，美國和歐洲各國相繼開展智能電網相關研究，以便提高電網安全穩定性和能源利用率[5]。對一個國家來講，智能電網可以增強電網安全穩定、節能減排和控制溫室效應；對用戶來說，利用電網提供的分時電價功能，在低電價用電，在高電價、用電高峰時通過存儲的分布式電能（沼氣、太陽能、風能等）向電網或周圍用戶供電，實現自身經濟利益的同時，減少電網高峰負荷。從技術角度上理解，智能電網是將計算機和信息通信技術與電網基礎設施高度集成，從而增強電網對設備的監視、控制和預測用電能力[6]。

電網用戶的用電等信息最早是利用人工抄表的方式采集的。隨后自動抄表技術的出現解決了電量采集人力成本高等問題，但其單向通信的特點并不適用于上述智能電網的使用場景[7]。因此智能電網通過具備雙向通信能力的高級量測體系（Advanced Metering Infrastructure，AMI）與用戶互動，相比傳統電網僅上傳月用電量來進行計費， AMI以分鐘為單位收集用戶的用電信息，提高了電網對設備的監控能力，還為用戶提供分時電價，需求管理等功能[8]。但相關研究[9]證明AMI的雙向通信能力一旦被攻擊利用，將導致攻擊影響擴大等后果。

例如2009年美國某地電網公司智能電表被入侵導致竊電，造成了每年4億美元的損失[11]。2010年“震網”事件表明工業控制系統存在的漏洞會導致嚴重后果，2015年烏克蘭電力二次系統發生惡意軟件入侵和DDoS攻擊，導致大停電 [10]。由此可見，當前的網絡防護技術并不適用于結構復雜、實時性強的電網系統[12]。從2009年開始，國外相繼對AMI網絡存在的問題和檢測防護方法展開相關研究，主要聚焦于當前網絡攻擊能對電網造成巨大危害的三類問題：惡意代碼入侵、DDoS攻擊和電量欺騙。

2 AMI網絡模型和安全需求

2.1 AMI網絡模型

高級測量體系（Advanced Metering Infrastructure，AMI）一般由智能電表、集中器、電網計量管理服務器和其通信網絡組成；工作模式為，智能電表采集用戶用電信息和用電需求，上傳至小區的數據集中器，服務器主動向集中器請求電量數據或集中器按照預設的時間間隔將數據上傳至計量服務器。同時，服務器還可以向用戶分發電價信息，電表控制命令[13]。其網絡結構一般由三種不同類型的網絡組成，并按層級結構分布，分別是廣域網（Wide Area Network，WAN）、鄰域網（Neighborhood Area Network，NAN）和家域網（Home Area Network，HAN）[12-15]。如圖1所示。

2.2AMI體系的安全需求

AMI體系中有幾個關鍵特征使得其容易受到攻擊：（1）通信體系復雜不同于互聯網，部分通信鏈路帶寬有限；（2）接入了百萬計的低計算、低存儲、低防護能力的設備；（3）存儲用戶敏感數據；（4）攻擊AMI能嚴重影響電網運行；（5）篡改電力消費數據的經濟價值[15]。因此，有幾種核心信息需要受到保護[12]：（1）智能計量數據；（2）控制數據；（3）電價信息。

根據以上關鍵目標，安全需求可以分類四類[16]。

機密性：用電數據涉及用戶隱私，相關敏感數據應只能被授權的實體獲取。

完整性：傳輸的數據必須是真實有效的，不能被任意非授權實體篡改，對計量數據篡改可以導致竊電，篡改低電價信息可以導致用戶端大量設備同時啟動，影響電網供電，從而導致部分用戶停電。

有效性：利用大量電表或其它設備發起DDoS攻擊可以導致電網受攻擊設備資源耗盡不可用，因此AMI中傳輸的數據必須能被授權的實體在任意時刻獲取到。

不可否認性：任何實體不能否認做過或未做過的事。

3 AMI網絡攻擊和檢測方法

針對AMI網絡的攻擊按攻擊位置可分為兩類[17]：一是基于連接的攻擊，主要攻擊三層通信網，攻擊類型包括竊聽、無線干擾、數據篡改和協議失效等；二是基于設備的攻擊，主要攻擊電表、集中器和計量管理系統，攻擊類型有惡意接入點、中間人攻擊、DoS攻擊、重放攻擊和服務非法使用等，如圖2所示。

當前入侵檢測有基于誤用、基于異常和基于規范三種檢測方法[18]。基于規范的檢測成本高，目前多采用基于誤用和基于異常的檢測方法。基于誤用的檢測方法依靠匹配樣本特征代碼庫進行檢測，無法檢測未知的攻擊，而AMI是一個新興的系統，新類型的攻擊方法在快速增長中，所以該方法不適用于當前環境。而基于異常的檢測方法主要刻畫用戶的正常行為模型，使用統計或機器學習方法對當前的活動行為進行比較，不符合正常模型的即為異常行為，該方法能檢測到未知的攻擊。本文主要描述了當前AMI網絡存在的主要問題和其異常入侵檢測方法。

3.1惡意代碼入侵及檢測

由于智能電表處于用戶端，缺少物理防護，惡意用戶很容易對電表進行長時間的滲透測試，同時電表生產商為了快速占有市場會忽視電表安全問題，部分滲透實驗證實了智能電表可以被蠕蟲攻擊，然后再感染附近的電表[19，20]。被感染的電表可進一步向電網內部發起攻擊，從而造成更大的危害[9]。互聯網中的惡意代碼檢測一直是一個難點，幸運的是由于智能電表的業務特點，并不需要上傳可執行代碼，而電表軟件和固件的更新，通常采用人工現場操作或者電表端下載可執行代碼。因此針對惡意代碼的檢測可以擴展到對可執行代碼的檢測。

Park Y等人[21]根據信息熵和ARM指令的統計特征，檢測可執行代碼。Choo E等人[22]采用反匯編技術得到34個ARM基本指令分布圖，隨后采用K-MEANS算法和皮爾遜系數區分可執行代碼。由于ARM指令相當有規律并且長度定長，因此兩種方法的精度非常高，可用于電表的檢測，但存在如下缺陷，即通過被感染控制的軟件置換字節可以繞過該類型的攻擊。

電網計量管理系統多采用X86架構的計算機系統，而X86架構的指令則是不定長的，因此上述方法并不能直接用于X86 可執行代碼的檢測。Babu V等人[23]采用四種不同的方法提取了四個不相關的特征，使用SVM對數據進行訓練測試。在實驗平臺上的證明該方法檢測精度最高可達99.861%，誤檢率在0.319%和0.796%之間。

3.2 DDoS攻擊

DDoS攻擊主要用來耗盡目標的計算、內存和網絡資源，一旦計量系統和網絡中的智能電表受到攻擊，會嚴重影響電網正常業務展開，造成大量用戶停電[24]。DDoS攻擊可以利用電表和網絡協議漏洞展開攻擊，該文[25]利用無線Mesh網絡DSR（Dynamic Source Routing）協議的路由維護階段的漏洞，對該網絡協議設計了相應的攻擊方法，仿真實驗證實該方法效果優于一般的泛洪攻擊。

DDoS攻擊的防護可以分為兩個階段：一是攻擊防護，即在攻擊發起之前，防護方法包括完善系統和協議的安全等級、防火墻、資源分配和審計；二是攻擊檢測，包括對攻擊源的檢測和正確的響應措施[26]。

Wang K等人[27]提出采用貝葉斯蜜罐博弈模型，解決傳統蜜罐技術檢測動態攻擊能力弱的缺點，實驗驗證該模型能提高檢測效率，同時減少能源消耗。

3.3 電量數據欺騙

在傳統電網中，攻擊者可以通過在電表中加入磁鐵或電阻等物理手段減少電表計量的電量造成竊電。由于其產生的巨大經濟利益，導致該現象屢禁不止，相比傳統電表，智能電表的引入給攻擊者增加了新的攻擊平面，攻擊者可以破解智能電表密碼，篡改存儲電量或者中斷網絡通信，使用中間人攻擊等方式修改計量報文等方法[14]。

由于電網用戶的用電量隨著時間（季節、假日和周末）住宅位置和用戶性質（商用和家用）等因素變化而變化，Wang Y等人[29]根據以上因素提取特征，然后使用SVM對用戶正常數據和異常數據進行分類。莊池杰等人[31]和田野等人[32]使用年、季度和月份提取統計特征，再使用PCA降維和機器學習方法進行竊電檢測，但兩者缺少對低電價增加用電量，高電價竊電，使得當天或當月總電量不變這種竊電方法的檢測能力。Jokar P等人[30]除了使用各個用戶每2小時的用電量數據，還采集了小區總用戶用電量數據來減少誤檢率，隨后模擬六類惡意用戶的行為習慣，構造了相應的惡意電量數據，最后使用K-MEANS和SVM算法進行檢測，其檢測效果明顯優于其它算法，并能檢測到上述總電量不變的竊電行為。

由于智能電網提倡用戶合理利用可再生能源減少電網用電高峰負荷，該類型用戶可以將多余的電量供給附近用戶，形成一個小型的微電網，因此可以篡改用電側用電需求，用戶供電側能提供的電量和電能鏈路狀態，引起電力系統震蕩，最終造成停電[28]。針對該攻擊的檢測方法有待進一步研究。

4 入侵檢測防護架構

當前，針對AMI網絡的攻擊通常采用入侵檢測系統（Intrusion Detection System，IDS）進行防護，IDS是在網絡或系統中監控并收集系統各種狀態信息，并對收集的信息進行分析判斷是否有異常情況的發生。

4.1 檢測利用的信息

檢測利用的信息一般可以分成三類[33，34]。

系統信息：電表的狀態報告、網關的CPU和內存使用率、設備的固件和軟件的完整性。

網絡信息：領域網網絡碰撞率、丟包率、節點響應時間、通信速率、路由表的完整性、節點身份和物理位置對應等。

策略信息：授權的協議、設備、傳輸模式、路由更新和固件升級等。

4.2 IDS架構介紹和未來展望

AMI是一個層級的網絡，根據在AMI網絡中部署的位置可以將IDS分為中央IDS 、嵌入式傳感器IDS 和專用傳感器IDS[33，34]。

中央IDS：主要部署于數據收集中心，根據AMI網絡的層級架構，中央IDS部署于WAN網絡中電網計量管理系統與AMI網絡設備的通信鏈路之間，這樣可以監控到計量管理系統與所有智能電表的雙向網絡流，該方案部署相對簡單，成本較低，但監控不到NAN網絡中的流量，比如利用第3節提到的DDoS攻擊方法，當存在多臺電表被控制時，利用無線網狀網的協議漏洞，可以向集中器發起DDoS攻擊，由于中央IDS檢測不到該攻擊行為，因此無法及時做出有效的應對措施。解決方法是部署一些傳感器分布在NAN網絡中。

嵌入式傳感器IDS：通過在電表或集中器中嵌入傳感器監控設備的狀態，包括固件、CPU、內存讀寫和通信數據，使得電表或集中器具備了入侵檢測能力[35]。但由于電表硬件資源相當有限使得嵌入式傳感器IDS的檢測能力受到限制。

專用傳感器IDS：通過在目標網絡中部署獨立的傳感器檢測網絡狀態，因此部署的數量相比嵌入式傳感器IDS大大減少，成本更低，且更強的計算和存儲能力使其可以具備更復雜的檢測能力，例如基于規范的入侵檢測方法[36]。但缺少對設備本身狀態的監控能力。

對電網的AMI網絡來講，IDS從設計上需考慮兩點原則。一是檢測安全事件的高準確率，電網一旦檢測到安全事件，往往需要人工排查，誤報率過高會增加人力成本。二是系統的低開銷和健壯性，即不能對當前業務系統正常操作產生影響。因此，混合型的IDS架構更適合AMI網絡的檢測防護，即在網絡中部署中央IDS并結合嵌入式IDS或專用IDS。

5 結束語

本文就智能電網AMI的網絡結構、當前面臨的威脅、檢測和防御方法進行了介紹，國內關于智能電網網絡安全的研究相對國外起步較晚，隨著智能電網的安全建設上升到國家戰略層面，其面臨的威脅也會加大，因此針對AMI網絡安全的研究刻不容緩。本文通過介紹AMI當前存在的威脅和安全需求，結合近年來的流量檢測方法，對其防護架構進行了探討。

基金項目：

本課題得到國家高技術研究發展計劃（863計劃）（項目編號：2015AA015603）；江蘇省未來網絡創新研究院未來網絡前瞻性研究項目（項目編號：BY2013095-5-03）；江蘇省“六大人才高峰”高層次人才項目（項目編號：2011-DZ024）；中央高校基本科研業務費專項資金資助和江蘇省普通高校研究生科研創新計劃資助項目（項目編號：KYLX15_0118）資助。

參考文獻

[1] Task-Force U C P S O. Final Report on the August 14， 2003 Blackout in the United States and Canada： Causes and Recommendations[J]. 2004.

[2] Van der Vleuten E， Lagendijk V. Transnational infrastructure vulnerability： The historical shaping of the 2006 European “Blackout”[J]. Energy Policy， 2010， 38（4）： 2042-2052.

[3] LU J， JIANG Z L E I， Hongcai Z H， et al. Analysis of Hunan Power Grid Ice Disaster Accident in 2008 [J][J]. Automation of Electric Power Systems， 2008， 11（005）.

[4] Tang Y， Bu G， Yi J. Analysis and lessons of the blackout in Indian power grid on July 30 and 31， 2012[C]//Zhongguo Dianji Gongcheng Xuebao（Proceedings of the Chinese Society of Electrical Engineering）. Chinese Society for Electrical Engineering， 2012， 32（25）： 167-174.

[5] 張文亮，劉壯志，王明俊， 等.智能電網的研究進展及發展趨勢[J]. 電網技術， 2009， 33（13）： 1-11.

[6] McDaniel P， McLaughlin S. Security and privacy challenges in the smart grid[J]. IEEE Security & Privacy， 2009， 7（3）.

[7] 唐志偉，孫菡婧，陳奇志.高級量測體系和需求響應下的互動配網[J].電力系統及其自動化學報， 2011， 23（5）：31-34.

[8] LaPlace C， Uluski R W. Realizing the smart grid of the future through AMI technology[J]. by Elster， 2009， 1.

[9] McLaughlin S， Podkuiko D， McDaniel P. Energy theft in the advanced metering infrastructure[C]//International Workshop on Critical Information Infrastructures Security. Springer， Berlin， Heidelberg， 2009： 176-187.

[10] 湯奕，陳倩，李夢雅，等.電力信息物理融合系統環境中的網絡攻擊研究綜述[J].電力系統自動化， 2016， 40（17）： 59G69.

[11] FBI： Smart Meter Hacks Likely to Spread. Available at http：//krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.

[12] Mo Y， Kim T H J， Brancik K， et al. Cyber–physical security of a smart grid infrastructure[J]. Proceedings of the IEEE， 2012， 100（1）： 195-209.

[13] 欒文鵬.高級量測體系[J].南方電網技術， 2009， 3（2）： 6-10.

[14] Jiang R， Lu R， Wang Y， et al. Energy-theft detection issues for advanced metering infrastructure in smart grid[J]. Tsinghua Science and Technology， 2014， 19（2）： 105-120.

[15] Grochocki D， Huh J H， Berthier R， et al. AMI threats， intrusion detection requirements and deployment recommendations[C]//Smart Grid Communications （SmartGridComm）， 2012 IEEE Third International Conference on. IEEE， 2012： 395-400.

[16] Cleveland F M. Cyber security issues for Advanced Metering Infrasttructure （AMI）[C]// Power and Energy Society General Meeting - Conversion and Delivery of Electrical Energy in the， Century. IEEE， 2008：1-5.

[17] Bou-Harb E， Fachkha C， Pourzandi M， et al. Communication security for smart grid distribution networks[J]. IEEE Communications Magazine， 2013， 51（1）：42-49.

[18] Berthier R， Sanders W H， Khurana H. Intrusion Detection for Advanced Metering Infrastructures： Requirements and Architectural Directions[C]// First IEEE International Conference on Smart Grid Communications. IEEE， 2010：350-355.

[19] FBI： Smart Meter Hacks Likely to Spread. Available at http：// krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.

[20] IOActive's Mike Davis to Unveil Smart Grid Research at Black Hat USA， IOActive Press Release， Seattle， WA， USA， Jul. 2009.

[21] Park Y， Nicol D M， Zhu H， et al. Prevention of malware propagation in AMI[C]// IEEE International Conference on Smart Grid Communications. IEEE， 2013：474-479.

[22] Choo E， Park Y， Siyamwala H. Identifying malicious metering data in advanced metering infrastructure[C]//Service Oriented System Engineering （SOSE）， 2014 IEEE 8th International Symposium on. IEEE， 2014： 490-495.

[23] Babu V， Nicol D M. Detection of x86 malware in AMI data payloads[C]//Smart Grid Communications （SmartGridComm）， 2015 IEEE International Conference on. IEEE， 2015： 617-622.

[24] Asri S， Pranggono B. Impact of Distributed Denial-of-Service Attack on Advanced Metering Infrastructure[J]. Wireless Personal Communications， 2015， 83（3）：1-13.

[25] Yi P， Zhu T， Zhang Q， et al. A denial of service attack in advanced metering infrastructure network[C]// IEEE International Conference on Communications. IEEE， 2015：1029-1034.

[26] Guo Y， Ten C W， Hu S， et al. Modeling distributed denial of service attack in advanced metering infrastructure[C]// Innovative Smart Grid Technologies Conference. IEEE， 2015：1-5.

[27] Wang K， Du M， Maharjan S， et al. Strategic Honeypot Game Model for Distributed Denial of Service Attacks in the Smart Grid[J]. IEEE Transactions on Smart Grid， 2017， PP（99）：1-1.

[28] Lin J， Yu W， Yang X， et al. On False Data Injection Attacks against Distributed Energy Routing in Smart Grid[C]// Ieee/acm Third International Conference on Cyber-Physical Systems. IEEE， 2012：183-192.

[29] Wang Y， Tanbo T， ?byholm T， et al. Support vector machine based data classification for detection of electricity theft[C]// Power Systems Conference and Exposition. IEEE， 2011：1-8.

[30] Jokar P， Arianpoo N， Leung V C M. Electricity Theft Detection in AMI Using Customers Consumption Patterns[J]. IEEE Transactions on Smart Grid， 2015， 7（1）：216-226.

[31] 莊池杰，張斌，胡軍，等.基于無監督學習的電力用戶異常用電模式檢測[J].中國電機工程學報， 2016， 36（2）：379-387.

[32] 田野， 張程， 毛昕儒，等.運用PCA改進BP神經網絡的用電異常行為檢測[J].重慶理工大學學報， 2017， 31（8）.

[33] Grochocki D， Huh J H， Berthier R， et al. AMI threats， intrusion detection requirements and deployment recommendations[C]// IEEE Third International Conference on Smart Grid Communications. IEEE， 2012：395-400.

[34] Cárdenas A A， Berthier R， Bobba R B， et al. A Framework for Evaluating Intrusion Detection Architectures in Advanced Metering Infrastructures[J]. IEEE Transactions on Smart Grid， 2014， 5（2）：906-915.

[35] Tabrizi F M， Pattabiraman K. Flexible Intrusion Detection Systems for Memory-Constrained Embedded Systems[C]// European Dependable Computing Conference. IEEE Computer Society， 2015：1-12.

[36] Berthier R， Sanders W H. Specification-Based Intrusion Detection for Advanced Metering Infrastructures[C]// IEEE， Pacific Rim International Symposium on Dependable Computing. IEEE， 2012：184-193.