面向新能源場站的主動監視與預警技術研究

金學奇，蘇 達，毛南平，王立建，梁 野，郭抒然

（1.國網浙江省電力有限公司，杭州 310007；2.北京科東電力控制系統有限責任公司，北京 100192；3.國網浙江省電力有限公司電力科學研究院，杭州 310014；4.國網浙江省電力有限公司杭州供電公司，杭州 310009）

0 引言

目前，國內外電力系統的網絡安全形勢嚴峻，如：伊朗核設施遭受“震網”病毒攻擊，導致離心機報廢；烏克蘭電網遭受網絡攻擊導致大面積停電；2018 年3 月印度電力公司遭到黑客的攻擊，竊取用戶賬單數據從而向電力公司勒索；同樣是在2018 年3 月，國內某省調控中心內網安全監控平臺出現了大量告警，經分析確認告警信息為某風電場在通過省調接入網非實時縱向加密認證裝置時，被攔截到不符合安全策略的非法訪問，導致電力監控系統生產控制大區裸露于公網，給電網安全運行帶來極大隱患。可見，針對電力領域的網絡安全事件，可能發生在任意一個環節，一個小的漏洞就可能導致局部甚至全網的崩潰。

文獻[1]對國內電網調度自動化系統的發展進行了回顧，闡述了現有電力調控系統的總體架構及重大技術突破和應用。其中在對未來技術發展方向描述中，特別提到對電力二次系統的安全防護，應當構建可信計算和安全免疫技術的安全閥防護體系，由結構安全、本體安全、基因安全、物理安全和安全管理等5 個方面構成。可信計算和安全免疫技術極大地提高了整個計算機網絡的可靠性，但“三分技術、七分管理”，針對一些設備的操作過程及人員安全行為，技術措施其實難以做到全覆蓋。針對上述情況，采用網絡安全監視和預警技術是安全防護的重要手段之一，其中安全監視可以幫助網絡和系統管理員在影響業務連續性之前識別可能的問題，并在出現問題前及時預警或及時采取安全防御措施，甚至對攻擊方進行溯源。

文獻[2]設計了一種分布式網絡安全預警系統，將網絡劃分為若干個檢測域，每個檢測域包含的檢測對象有服務器、主機、交換機等，然后在每一個網絡段安裝一個完整的網絡監控中心，負責對各個網段的數據信息采集，并及時分析入侵網絡的數據信息，將結果傳送給網絡預警中心，預警中心對數據包的檢測手段主要有誤用檢測和異常檢測等，最后根據綜合分析的結果，實現網絡安全的實時報警、安全態勢評估及攻擊識別。

文獻[3]則采用了一種“笨”方法，針對核電廠的實時信息監控系統，主機設備、網絡設備和通信通道都采用冗余備份措施，從而保證數據安全、業務安全、通信安全和電源安全等。

通過上述研究可以看出，目前網絡安全監視和預警主要還是通過被動防御措施來實現，單一的安全手段不能建立一個良好的循環，數據之間缺乏協作和共享。其次，一些預警技術也過于簡單，不能很好反映資產的重要性，也不能在安全策略改變時改變風險評估。本文基于現有安全研究基礎，提出了一種主動網絡安全保護系統，不但能主動采集網絡數據，對網絡結構、網絡狀態進行監視，還能對動態安全事件（如：操作行為等）進行感知、預警和處置。

1 新能源電站現狀

1.1 新能源電站網絡環境

新能源電站是電力系統的上游，其運行穩定性可能會影響局部或斷面地區電網的運行穩定性。以風電為例，典型風電場站控層如圖1 所示。

安全Ⅰ區業務主要包含風機監控系統、升壓站監控系統、AGC/AVC（自動發電控制/自動電壓無功控制）及PMU（電源管理單元）等，安全Ⅱ區業務主要包含故障錄波、電能量采集、功率預測及狀態監測系統等，管理信息大區主要包含天氣預報、氣象設備及辦公信息系統等。

圖1 風電場站控層

1.2 新能源電站安全防護

新能源場站主機及網絡、安防等軟硬件設備，是站控層中重要的組成部分，數量眾多、資產價值較高，面臨的安全風險極大。一方面，這些設備是各類業務數據和信息的主要載體，數據和信息是電站信息資產的重要組成部分；另一方面，與常規電力監控系統不同的是，新能源電站的發電終端數量較多（如：風機控制器、光伏逆變器等），病毒及惡意代碼很容易通過發電終端滲透到站控層及各類業務應用中，且多采用工控協議，標準化程度較低，所以可能還涉及到工控安全，給電力監控系統的整體安全帶來了更多危害性[4]。如圖1 所示，現階段新能源場站電力監控系統已經采取了一定的安全保障措施，如：邊界防護、安全分區等。但這些傳統的安全手段只能對特定的安全事件進行控制，隨著網絡攻擊手段的多樣化，來自內網的安全攻擊逐漸增多，如何有效防止來自內部的安全問題，如：管理或運維人員的誤操作行為以及惡意攻擊等，是新的研究方向。內部攻擊所造成的危害遠比外部入侵大得多，且攻擊手段隱秘，如果不加以有效的遏制，將造成無法估量的損失。因此對網絡安全事件不能僅限于靜態的事后防御，更應在事前即感應，并采取一定規避措施，這樣不僅能夠使安全事件影響最小化，也間接提高了電力系統的運行經濟性和用戶滿意度。

2 安全監視與預警關鍵技術

常規電力監控系統安全防護措施，通常是使用各種設備來保護網絡的不同部分，例如：通過獲取防火墻日志來監控未經授權的訪問，入侵檢測系統通過監測流量來發現DDoS（拒絕服務）攻擊等。但由于生產廠商的設計思路和安全理念差異，這些防護手段雖然具有一定效果，但其之間通常缺乏統一的協作和管理，產生的事件信息難以進行有效的關聯和整合，當發生安全事件時，需要在不同的設備上分別進行操作，對安全事件進行的處理和診斷比較遲緩，客觀上增加了安全防護的難度，也沒有使防護效果最大化。 基于此，可以通過采用主動數據采集、流量監視、集中預警及安全阻斷等技術，整合相關網絡資源，將網絡安全的可靠性最大化。

2.1 主動數據采集（嗅探式）

主動數據采集方式即嗅探式采集，與之前被動采集不同的是，主動采集agent 程序是部署在網絡安全保護裝置上的，整個采集過程分為2 個階段：第一階段，在網絡安全保護裝置中部署的agent 程序現向目標設備發送請求獲取列表項，打開TCP 連接，目標設備響應并返回列表，包括數據的key，delay，lastlogsize 及time 等屬性，agent 收到后響應成功，并關閉TCP 連接；第二階段，agent 再次發送請求，開始收集數據，包括目標設備的hostname，version，value，clock 及number 等，收集完成后反饋成功或失敗條目，然后關閉TCP 連接[5]。這種方式可以提高數據采集的范圍和靈活性。

2.2 流量分析

通過流量分析可以針對新型的網絡攻擊手段和網絡病毒有很好的檢測效果，能大大降低由于對攻擊手段不了解而發生漏報的可能性，在產生嚴重破壞前找到攻擊源頭，將網絡損失降低到最小[6]。具體分析過程為：

（1）交換機數據通過SNMP 協議采用統計分析方法，從網絡安全保護裝置獲取的數據中提取樣本數據，根據樣本數據分布特征和正常時的特征進行比較，判斷是否發生了流量變化，常用的網絡協議主要有SMTP，FTP 及ICMP 等，將正常流量值與異常數據量進行對比，符合某異常行為出現初期時的流量特征，即可判斷發生了流量異常，但該過程尚不能確定攻擊的類型及源頭。

（2）在第二步過程中，通過篩選出不同IP 地址流量數，對流量較大的IP 地址源進行排名，從而確定存在流量異常行為的設備。利用流量分析也可以實現對網絡非法外聯及非法設備接入行為的識別，在常規電力系統內網中，業務流量通常較為固定，對不同業務可以根據其流量特性設定一個閾值，如某一個時間段顯示某業務進行活動的連接數量、峰值流量和選定時間范圍內的均值流量等數據，如果采集到的流量超出這個閾值，即可判斷可能產生了非法外聯。

2.3 安全預警

根據事件嚴重程度將預警機制設為3 種可能：一是無效預警，攻擊行為確實發生，但對設備沒有影響的告警；二是錯誤預警，由于錯誤判斷而產生的告警，將正常的網絡行為看成入侵行為；最后一個才是真正的安全威脅預警[7]。在保護系統的知識庫中收集歷史的告警信息，包括攻擊成功必須依賴的條件，漏洞、操作系統、端口、服務及應用系統的狀態等[8]，將具體事件根據發生時間進行切段，找出安全事件發生的高峰期，然后統計某一段時期內不同安全事件發生頻率排名，通過對歷史數據不斷的迭代，當安全行為構成觸發條件，網絡安全保護系統立即響應并給出風險預警。例如：針對某安全事件，將采集到的信息，如登錄信息（A）、端口狀態（B）、非法設備接入（C）及非法外聯（D）等事件，每個安全狀態都有一個安全系數：

式中：S 代表最終的安全估值系數；β 代表權重；W 代表嚴重程度；P 代表概率。對事件的嚴重程度可通過相關安全事件的累加判斷，系數越低代表安全性越差。

經過較長時間積累，預測準確度也會越來越高[9]，但該預警只作為發生概率的判斷，不作為最終決策的依據。

2.4 事件處置

另一方面，預警后人工可能無法快速對事件做出反應，因此需要有一種手段對事件進行預處置，對安全事件的及時處置可以避免事故的進一步蔓延，最大程度減少對整個網絡的損害。

文獻[10]提出了一種基于PKI 技術的網絡邊界安全監控方法，該方法通過建立基礎信任體系，先向訪問目標用戶頒發強認證數字證書，所有用戶必須通過數字證書進行身份認證才能進入內網，然后對網絡流量和認證信息進行監控和關聯分析，判斷是否存在DoS，flood 等攻擊，同時還能準確定位入侵來源，并向攻擊源發出fin 包中斷會話或通知認證網關，拒絕來自攻擊源的終端或用戶接入。

本文在網絡安全保護系統中，嵌入了安全處置功能，可以實現對事故的鏈路阻斷、端口禁用等；其中鏈路阻斷以TCP 協議為例，在發現網絡中TCP 連接異常后，可以向目標主機發送一個帶有RST 標志位的數據包，包括設備的源、目的地址以及端口號等，目標主機收到RST 包后，就會認為通信對端發生了異常，從而馬上關閉自己的連接[11]。端口禁用則利用SNMP 協議，當通過流量分析手段發現接入該端口的訪問異常時，SNMP 協議的nms 主動向Agent 發出set request報文請求，Agent 接收到請求后，向交換機發出shutdown（關閉端口）命令，然后生成response 報文，并將報文返回給nms。在實際應用過程中，Agent程序在發現設備重新啟動等異常情況時，也會主動向nms 發送Trap 報文，匯報所發生的事件。

3 應用實例

基于上述關鍵技術基礎，設計了一套網絡安全保護系統，在浙江湖州地區某光伏電站部署該系統，依托保護系統自身對網絡安全事件的感知能力，不僅可以實現對站內主機、網絡及安防等設備運行狀況的監視，還可以對人員及設備的操作行為進行主動分析和預警[12]，同時支持對安全事件的隔離和阻斷，最終由人機界面展示結果。

3.1 系統部署

監視與預警系統采用旁路的形式部署在交換機上，設備按功能劃分為網絡安全保護裝置及網絡安全平臺。其中，網絡安全保護裝置分別部署在站控層安全Ⅰ區和Ⅱ區，實現對生產控制大區數據的主動采集和保護動作執行功能，網絡安全平臺只部署在站控層安全Ⅱ區,主要對采集到的數據進行關聯、存儲、查詢和深度分析等，如圖2 所示。

圖2 系統拓撲

3.2 功能描述

系統處理流程如圖3 所示。

在網絡安全保護裝置上部署Agent 程序，實現對主機信息的數據采集，通過SNMP 協議實現對網絡設備和通信數據的采集等，通過Syslog 日志實現對安防設備信息采集[13]，信息格式如表1所示。

圖3 處理流程

表1 采集信息類別

對于數據的分析與處理,關鍵在于對信息的識別，清洗不需要的垃圾和噪聲數據，然后從安全事件的數據中提取特征值，依據預先定義的字段或參數采集聚合數據，根據發生頻率和前后因果關系等相關性進行聚類，最后根據事件的嚴重程度和發生概率進行風險評估，識別攻擊者真正的攻擊意圖，并預測下一步行動[14]，最后根據分析結果，做出相應安全處置。如圖4 所示。

圖4 分析預警流程

3.3 系統測試

為了驗證上述網絡安全保護系統的實際效果，挑選一款國外的網絡安全監測工具同時部署在該光伏電站，與網絡安全保護系統進行比較。SSU（影子安全單元）的原理是以混雜工作模式捕獲所有網絡流量，并使用規則化過濾機制對其進行預處理，對捕獲數據的協議流進行解碼和分析，以查找TCP 和Modbus 協議等數據單元中的錯誤或不一致。SSU 能夠解碼每個命令的語義并跟蹤主站和被保護設備之間交換的消息，從而可以執行完整性檢查，檢測未經授權的訪問或偵察嘗試。該模塊還能提取有關網絡流量的信息，例如數據包速率或消息到達時間，這可用于診斷和發現惡意軟件感染、分布式等問題DDoS、洪水或暴力攻擊、任意設備故障，甚至是零日威脅。

3.3.1 測試環境

為了保證測試的可比性，SSU 工具部署在與網絡安全保護系統相同節點，如圖5 所示，2 種系統分別對交換機的數據包進行采集，在此過程中，人為制造一些安全事件，觀察2 種安全監測工具對安全事件的響應及處理方式，以驗證其準確性與可靠性。

圖5 測試拓撲

3.3.2 測試方法

（1）安全策略制定

依據36 號文《電力監控系統安全防護評估規范》及《信息系統安全等級保護基本要求》，對2套網絡安全監測工具設定相同安全策略，包括邊界安全策略、主機安全策略及通信安全策略等。例如：當用戶訪問主機或服務器時，需要進行不同級別的用戶認證，并由此控制用戶的訪問權限；IP 及MAC 地址綁定，凡是IP 或MAC 地址不匹配的都不允許通過防火墻進入[15]。

（2）安全事件預置

測試預置以下安全事件：非授權IP 或MAC地址訪問站內業務；主機網卡流量超過最大限值；非電力業務常用網絡協議訪問；管理員賬戶修改普通賬戶權限。

（3）測試結果

根據上述測試辦法，對光伏電站站控層的整體進行掃描，判斷是否滿足該測試場景下的安全策略要求，2 種工具的采集列情況如表2 和表3所示，表2 為SSU 工具掃描結果，表3 為網絡安全保護系統掃描結果。

表2 SSU 事件告警

3.3.3 測試結果分析

通過測試情況看，SSU 工具雖然也較為全面地監控了組網部件的安全事件，但對每個事件的描述較為粗糙，僅說明了有事件發生，但未對事件源進行定位，且沒有相關安全處置手段，后續還需要有人工進行排查和分析，對使用者的參考并不直觀，時效性較差。另一方面，SSU 工具屬于單兵作戰，無安全處置功能，無事后的深度分析及復盤，因此其可用性一般。網絡保護系統則對事件的發生過程進行了詳細記錄，包括時間、主機名稱、IP、地點、事件級別、告警次數及詳細內容等，數據采集面較廣、監視內容集中，且具備事件處置能力及建議，相比原先的人工篩查，信息覆蓋面得到了較大提升，最大程度地保證了光伏電站站控層網絡的安全性。

表3 網絡安全保護系統告警

4 結語

上述研究成果有效地解決了浙江地區新能源廠站（包括集中式、分布式及微電網等形式）接入大電網后，對電力信息網絡攻擊的復雜性和多樣性問題，結合之前電力系統積累的大量攻擊案例，從漏洞分析、攻擊行為預警、攻擊趨勢預測建立了一套完整的安全監控與預警體系，針對新能源廠站攻擊點多面廣特點，充分發揮其實時監控及提前預判的技術優勢。后續應結合新興技術（大數據、人工智能、區塊鏈等）持續深入探索網絡安全態勢感知能力研究，科學結合電力行業安全防護標準的變化，優化系統規范，適應網絡安全的動態發展趨勢。當然，所謂“三分技術七分管理”，需要對網絡安全提出更多的戰略性指導意見，才能使電力監控系統的安全邊際最大化。