基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)威脅評(píng)估體系*

王 丹，宋 闖，李 斌，韓 偉，薛蓋超，呂 潔

（1.國(guó)網(wǎng)河南省電力公司 電力科學(xué)研究院，河南 鄭州 450052；2.泰安網(wǎng)信科技（北京）有限公司，北京 100083）

0 引 言

隨著信息通信新技術(shù)的大量引入，大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)與電網(wǎng)的深度融合，網(wǎng)絡(luò)基礎(chǔ)環(huán)境隨之變化，“攻擊面”迅速擴(kuò)大，烏克蘭事件[1]敲醒了惡意行為攻擊誘發(fā)電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)的警鐘。實(shí)際電網(wǎng)系統(tǒng)的薄弱環(huán)節(jié)不再局限于物理系統(tǒng)內(nèi)部，網(wǎng)絡(luò)信息環(huán)節(jié)的失效也可能誘發(fā)電網(wǎng)運(yùn)行風(fēng)險(xiǎn)[2]。針對(duì)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是保證復(fù)雜電力系統(tǒng)穩(wěn)定運(yùn)行的重要基礎(chǔ)，一直以來(lái)受到了相關(guān)領(lǐng)域研究者的高度重視[2-5]。

目前，基于定性和定量分析相結(jié)合的風(fēng)險(xiǎn)評(píng)估方法，在電力企業(yè)管理上得到了廣泛應(yīng)用[6-12]，即根據(jù)研究者的歷史經(jīng)驗(yàn)做出定性評(píng)估，并對(duì)指標(biāo)進(jìn)行量化，用直觀的數(shù)據(jù)表述評(píng)估結(jié)果。陳向前等人[7-8]提出了系統(tǒng)脆弱性的模型，從結(jié)構(gòu)、技術(shù)、設(shè)備3個(gè)方面建立了以大面積停電為評(píng)估總目標(biāo)的四級(jí)電力系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估體系。Baiard等人[10]利用層次化分析的風(fēng)險(xiǎn)管理方法評(píng)估了電力系統(tǒng)中關(guān)鍵基礎(chǔ)設(shè)施受到攻擊時(shí)的脆弱性，可操作性強(qiáng)。韓霞等人[11]針對(duì)電力系統(tǒng)運(yùn)行的實(shí)際情況，提出了層次化電力信息風(fēng)險(xiǎn)指標(biāo)體系，分為安全風(fēng)險(xiǎn)、軟件安全、硬件安全、安全管理及環(huán)境安全5個(gè)方面指標(biāo)。劉念等人[12]提出了網(wǎng)絡(luò)環(huán)境下變電站自動(dòng)化通信系統(tǒng)基于攻擊圖的脆弱性評(píng)估方法，對(duì)系統(tǒng)漏洞發(fā)現(xiàn)與安全策略部署有一定的指導(dǎo)作用。然而，上述方法都基于傳統(tǒng)被動(dòng)防御（電力系統(tǒng)本身具有的防護(hù)設(shè)備和系統(tǒng)），無(wú)法做到事前偵測(cè)，只在安全事件發(fā)生時(shí)進(jìn)行量化評(píng)估和安全告警，在處理復(fù)雜度和信息獲取難度較大的電力監(jiān)控系統(tǒng)中存在局限性。

因此，對(duì)于網(wǎng)絡(luò)安全要求等級(jí)極高的電力監(jiān)控系統(tǒng)，引入主動(dòng)防御技術(shù)[13-15]可以及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)威脅（包括未知威脅），尤其是高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT），并進(jìn)行實(shí)時(shí)檢測(cè)與告警，很大程度上提高了電力監(jiān)控系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力。文獻(xiàn)[16]提出了在云平臺(tái)下基于威脅評(píng)估與策略部署的主動(dòng)防御模型，結(jié)合威脅本身的行為數(shù)據(jù)和對(duì)整個(gè)平臺(tái)信息安全屬性產(chǎn)生的破壞效果，建立可用性、完整性以及目標(biāo)性3種屬性的云平臺(tái)威脅評(píng)估指標(biāo)體系。但是，它的主動(dòng)防御平臺(tái)僅限于計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議攻擊的分析，并沒(méi)有針對(duì)性地模擬電力監(jiān)控系統(tǒng)私有協(xié)議而對(duì)攻擊者行為進(jìn)行量化。

基于以上分析，目前主動(dòng)防御系統(tǒng)下安全量化評(píng)估還處于初步階段。基于虛擬化動(dòng)態(tài)部署的主動(dòng)防御系統(tǒng)可以及時(shí)捕獲攻擊者意圖、手段和方法等信息，獲取相比于傳統(tǒng)電力監(jiān)控系統(tǒng)評(píng)估指標(biāo)更準(zhǔn)確的攻擊行為信息，如參數(shù)獲取、參數(shù)篡改、運(yùn)行控制等。本文結(jié)合該優(yōu)勢(shì)和特點(diǎn)，針對(duì)電力行業(yè)網(wǎng)絡(luò)惡意行為開(kāi)展基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)量化評(píng)估體系的研究，主要工作如下：

（1）提出了基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)威脅評(píng)估架構(gòu)，采用動(dòng)態(tài)虛擬化技術(shù)構(gòu)建分布式云蜜網(wǎng)和云沙箱模擬具有漏洞的電力監(jiān)控網(wǎng)絡(luò)，誘騙攻擊者進(jìn)入，提取并記錄入侵特征和攻擊軌跡；

（2）構(gòu)建了電力監(jiān)控系統(tǒng)的四級(jí)威脅評(píng)估指標(biāo)體系，采用層次化模型量化系統(tǒng)捕獲的攻擊對(duì)不同系統(tǒng)設(shè)備造成的危害以及泄露數(shù)據(jù)的敏感性等指標(biāo)；

（3）對(duì)某電力公司智能變電站檢測(cè)技術(shù)實(shí)驗(yàn)室的電力監(jiān)控系統(tǒng)進(jìn)行實(shí)例評(píng)估，驗(yàn)證了所提評(píng)估體系的有效性。

1 評(píng)估指標(biāo)體系的設(shè)計(jì)

傳統(tǒng)被動(dòng)防御措施只能在安全事件發(fā)生時(shí)進(jìn)行防護(hù)。為了彌補(bǔ)不足，主動(dòng)防御措施可以及時(shí)檢測(cè)高級(jí)持續(xù)性威脅APT攻擊，實(shí)現(xiàn)對(duì)攻擊行為的主動(dòng)感知、主動(dòng)偵測(cè)、主動(dòng)響應(yīng)和主動(dòng)防護(hù)。同時(shí)，威脅評(píng)估作為主動(dòng)防御中的核心部分，為主動(dòng)防御措施的選擇提供了重要參考。因此，提出基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)來(lái)保護(hù)實(shí)際電力監(jiān)控系統(tǒng)，并對(duì)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估。

1.1 基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)評(píng)估架構(gòu)

首先設(shè)計(jì)了一種基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)評(píng)估架構(gòu)，主要包括數(shù)據(jù)采集、分析和威脅評(píng)估兩個(gè)具體過(guò)程，從而對(duì)惡意行為分析進(jìn)行詳細(xì)描述，如圖1所示。

1.1.1 數(shù)據(jù)采集、分析

本電力監(jiān)控系統(tǒng)采用動(dòng)態(tài)虛擬化部署技術(shù)，利用Docker容器技術(shù)對(duì)大規(guī)模蜜罐進(jìn)行自動(dòng)化部署運(yùn)維，實(shí)現(xiàn)對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境的動(dòng)態(tài)構(gòu)建和虛擬，保護(hù)實(shí)際電力監(jiān)控系統(tǒng)底層。當(dāng)這些虛擬機(jī)部署到網(wǎng)絡(luò)中后，誘使攻擊者在蜜網(wǎng)平臺(tái)上做出惡意行為，可以快速捕獲攻擊者的攻擊，收集可疑行為，從概率上減小真實(shí)系統(tǒng)被攻擊的概率。在外部網(wǎng)絡(luò)發(fā)起攻擊行為后，系統(tǒng)管理員根據(jù)知識(shí)庫(kù)進(jìn)行初步分析與識(shí)別。針對(duì)已知攻擊行為，直接進(jìn)行阻斷響應(yīng)；針對(duì)未知攻擊行為，要利用蜜網(wǎng)偽裝誘捕，并通過(guò)沙箱分析和其他相關(guān)算法、模型來(lái)交叉判定驗(yàn)證。最后，需要結(jié)合行為判定結(jié)果修改安全策略規(guī)則知識(shí)庫(kù)，將分析的行為特征寫(xiě)入知識(shí)庫(kù)，供下次實(shí)時(shí)的判定。此知識(shí)庫(kù)包含的行為特征是整個(gè)系統(tǒng)威脅評(píng)估的數(shù)據(jù)來(lái)源。

圖1 基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)惡意行為分析流程

1.1.2 威脅評(píng)估

威脅評(píng)估是進(jìn)行主動(dòng)防御的重要步驟，主要包括評(píng)估體系的建立、指標(biāo)權(quán)重的賦值以及威脅等級(jí)的判定。根據(jù)電力監(jiān)控系統(tǒng)復(fù)雜的網(wǎng)絡(luò)特點(diǎn)，構(gòu)建四級(jí)威脅評(píng)估體系，并基于層次化分析法對(duì)各指標(biāo)進(jìn)行權(quán)重賦值。在收到數(shù)據(jù)后，利用建立的評(píng)估體系與各項(xiàng)指標(biāo)的權(quán)重進(jìn)行加權(quán)計(jì)算，得出電力監(jiān)控系統(tǒng)的威脅等級(jí)。此數(shù)值將同樣存入知識(shí)庫(kù)，用以惡意攻擊行為的判定。

該架構(gòu)完成了從數(shù)據(jù)采集、分析到威脅評(píng)估的全過(guò)程，采用基于虛擬化動(dòng)態(tài)部署的主動(dòng)防御，填補(bǔ)了針對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)攻擊行為取證方面的空白，解決了系統(tǒng)威脅分析上的不足。

1.2 威脅量化評(píng)估指標(biāo)體系

依據(jù)1.1節(jié)中基于虛擬化動(dòng)態(tài)部署電力監(jiān)控系統(tǒng)捕獲的攻擊者意圖、手段和方法等信息，定性分析攻擊信息對(duì)電力物理系統(tǒng)的影響，并綜合考慮威脅本身對(duì)電力監(jiān)控系統(tǒng)中不同網(wǎng)絡(luò)設(shè)備的危害程度以及泄露數(shù)據(jù)的敏感性，設(shè)計(jì)合理的威脅量化評(píng)估體系。

正如文獻(xiàn)[2]指出的，目前電力系統(tǒng)已經(jīng)演進(jìn)為電力信息-物理融合的系統(tǒng)，網(wǎng)絡(luò)攻擊對(duì)于電力監(jiān)控系統(tǒng)（本身是信息系統(tǒng)）的攻擊會(huì)直接影響其軟、硬件的運(yùn)行，進(jìn)而影響電力物理系統(tǒng)的運(yùn)行。電力監(jiān)控系統(tǒng)包括獲取電力數(shù)據(jù)的前置機(jī)、數(shù)據(jù)采集、監(jiān)視系統(tǒng)（Supervisory Control And Data Acquisition，SCADA）以及實(shí)時(shí)數(shù)據(jù)庫(kù)等信息化節(jié)點(diǎn)，同時(shí)包括廠站端和調(diào)度端。調(diào)度端主要負(fù)責(zé)收集下屬?gòu)S站中的電力監(jiān)控狀態(tài)數(shù)據(jù)，廠站端主要負(fù)責(zé)從傳感器中收集電力監(jiān)控信息和狀態(tài)信息上報(bào)到調(diào)度端。在此過(guò)程中，由于調(diào)度端是整體電力監(jiān)控系統(tǒng)的集中平臺(tái)，所以如果受到攻擊會(huì)影響整個(gè)電力監(jiān)控系統(tǒng)以及與電力監(jiān)控系統(tǒng)相關(guān)聯(lián)的其他電力物理系統(tǒng)。

具體來(lái)說(shuō)，本文基于虛擬化動(dòng)態(tài)部署電力監(jiān)控系統(tǒng)捕獲的網(wǎng)絡(luò)攻擊行為分為探測(cè)和攻擊兩種類型。探測(cè)是指針對(duì)電力監(jiān)控系統(tǒng)的信息收集與嗅探，在此過(guò)程中可針對(duì)前置機(jī)、SCADA、實(shí)時(shí)數(shù)據(jù)庫(kù)進(jìn)行存活性探測(cè)、系統(tǒng)版本探測(cè)、硬件版本探測(cè)、協(xié)議版本探測(cè)以及開(kāi)放服務(wù)探測(cè)等。探測(cè)類型的攻擊不會(huì)對(duì)系統(tǒng)造成直接影響，但是在APT攻擊過(guò)程中是潛伏期最久、最不容易被發(fā)現(xiàn)的，屬于所有攻擊行為的基礎(chǔ)。因此，有必要將此類攻擊作為重要的參考指標(biāo)。

攻擊是指針對(duì)電力監(jiān)控系統(tǒng)的實(shí)際攻擊行為，在此過(guò)程中會(huì)對(duì)前置機(jī)、SCADA以及實(shí)時(shí)數(shù)據(jù)庫(kù)進(jìn)行攻擊。例如：（1）針對(duì)前置機(jī)發(fā)送拒絕服務(wù)攻擊或者控制其工作狀態(tài)，導(dǎo)致前置機(jī)無(wú)法從廠站端收集電力監(jiān)控?cái)?shù)據(jù)，使得電力監(jiān)控系統(tǒng)出現(xiàn)數(shù)據(jù)、信息中斷和不可用等，進(jìn)而無(wú)法完成對(duì)電力物理系統(tǒng)的業(yè)務(wù)調(diào)度或控制等功能，從而達(dá)到對(duì)電力系統(tǒng)的破壞；（2）非法篡改電力監(jiān)控系統(tǒng)的SCADA系統(tǒng)數(shù)據(jù)影響正常電力監(jiān)控系統(tǒng)對(duì)硬件下達(dá)指令和收集數(shù)據(jù)的功能，導(dǎo)致電力系統(tǒng)收到虛假數(shù)據(jù)和控制命令，而電力系統(tǒng)由于無(wú)法接收到實(shí)時(shí)正確的指令，會(huì)誘發(fā)一系列的電網(wǎng)故障。

基于以上分析，本文構(gòu)建了四級(jí)威脅評(píng)估指標(biāo)體系，如表1所示。其中，第一級(jí)指標(biāo)表明評(píng)估的對(duì)象為電力監(jiān)控系統(tǒng)的威脅情況；第二級(jí)指標(biāo)表明外部行為的攻擊類別；第三級(jí)指標(biāo)圍繞第二級(jí)指標(biāo)展開(kāi)，表明攻擊行為指令的功能；最后一層指標(biāo)為第四級(jí)指標(biāo)，該層指標(biāo)則對(duì)應(yīng)可能對(duì)電力監(jiān)控系統(tǒng)造成威脅的基本影響因素。

表1 電力監(jiān)控系統(tǒng)的四級(jí)威脅評(píng)估指標(biāo)體系

2 指標(biāo)權(quán)重賦值模型的構(gòu)建

2.1 指標(biāo)權(quán)重賦值

2.1.1 建立層次結(jié)構(gòu)模型

根據(jù)表1的電力監(jiān)控系統(tǒng)量化評(píng)估指標(biāo)體系，將該指標(biāo)體系進(jìn)行層次劃分，確定各層次的指標(biāo)集合，構(gòu)造出的層次模型為目標(biāo)層、屬性層和指標(biāo)層。指標(biāo)層連接到屬性層，屬性層又與目標(biāo)層相連接。目標(biāo)層為電力監(jiān)控系統(tǒng)的威脅A；屬性層B的元素為B1、B2，其中B1表示探測(cè)行為，B2表示攻擊行為；指標(biāo)層C的元素為C1，C2，…，C7，與下一級(jí)指標(biāo)層D的元素的對(duì)應(yīng)關(guān)系為：C1=(D1)，C2=(D2,D3)，C3=(D4,D5,D6,D7)，C4=(D7,D8,D9)，C5=(D10,D11,D12)，C6=(D13,D14)，C7=(D15,D16)。

2.1.2 構(gòu)造判斷矩陣

判斷矩陣表示本層所有元素（頂層除外）關(guān)于上一層元素相對(duì)重要性的標(biāo)度值。層次分析法通過(guò)“兩兩比較”的方式建立判斷矩陣。構(gòu)造判斷矩陣的方法：同層元素之間兩兩比較，依據(jù)相對(duì)重要性的程度確定判斷矩陣中每個(gè)元素的值。設(shè)某層共有n個(gè)元素X1，X2，…，Xn，構(gòu)建一個(gè)n階判斷矩陣Q=(qij)n×n，表示如下：

其中，qij表示元素Xi和Xj關(guān)于上一層元素的重要性之比。對(duì)于任意qij＞0，qii=1，且qji表示元素Xj和Xi關(guān)于上一層元素的重要性之比，qji=1/qij，兩者為倒數(shù)關(guān)系。關(guān)于如何確定qji的取值，本文根據(jù)電力監(jiān)控系統(tǒng)中廠站端和調(diào)度端各自的功能，將指標(biāo)分為關(guān)鍵、重要和一般3級(jí)，各個(gè)指標(biāo)的相對(duì)重要性如表2所示，用以確定各個(gè)指標(biāo)的權(quán)重。

表2 各個(gè)指標(biāo)相對(duì)重要性的標(biāo)度值

2.1.3 單層相對(duì)權(quán)重計(jì)算

基于構(gòu)造的判斷矩陣，首先要對(duì)其進(jìn)行一致性檢驗(yàn)，檢驗(yàn)該矩陣是否有效。本文一致性指標(biāo)（Consistency Index，CI）由式（2）確定：

其中，λmax表示矩陣Q的最大特征值。此外，層次化分析中引入平均隨機(jī)一致性指標(biāo)（Random Index，RI）。表3規(guī)定了判斷矩陣維度n與RI的對(duì)應(yīng)關(guān)系。

表3 平均隨機(jī)一致性指標(biāo)

最終，根據(jù)式（3）計(jì)算一致性比率CR，從而衡量矩陣的一致性：

其中，若CR≥0.1，說(shuō)明構(gòu)造的矩陣不滿足一致性要求，則需重新更改矩陣的權(quán)重分值；若CR＜0.1，說(shuō)明構(gòu)造的矩陣符合要求。

基于以上符合一致性檢驗(yàn)的判斷矩陣，利用方根法得到各元素的單層相對(duì)權(quán)重，具體計(jì)算過(guò)程分為兩步：第一步是由式（4）計(jì)算向量M；第二步是由式（5）歸一化處理得到相對(duì)權(quán)重向量w。

2.1.4 合成權(quán)重計(jì)算

合成權(quán)重等于相對(duì)權(quán)重及其上層關(guān)聯(lián)元素合成權(quán)重的乘積，其中相對(duì)權(quán)重向量的求取在3.1節(jié)的計(jì)算實(shí)例中進(jìn)行說(shuō)明，通過(guò)求解下一層指標(biāo)對(duì)上一層指標(biāo)的貢獻(xiàn)程度，從而確定每個(gè)指標(biāo)的權(quán)重，最終得到本文構(gòu)建的電力監(jiān)控系統(tǒng)威脅評(píng)估指標(biāo)體系中各個(gè)指標(biāo)的合成權(quán)重向量，如圖2所示。第四級(jí)指標(biāo)從D1～D16其權(quán)重呈現(xiàn)逐漸上升趨勢(shì)，說(shuō)明指標(biāo)的威脅值在遞增。

圖2 基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)評(píng)估指標(biāo)權(quán)重分布

2.2 威脅評(píng)分計(jì)算

為了直觀描述系統(tǒng)的威脅情況，本文對(duì)每個(gè)指標(biāo)設(shè)置了相應(yīng)的評(píng)分基準(zhǔn)，并對(duì)其進(jìn)行威脅評(píng)分，如表1所示。基于對(duì)各個(gè)指標(biāo)權(quán)重的求解，采用對(duì)應(yīng)指標(biāo)的威脅評(píng)分乘以系統(tǒng)權(quán)重，得到系統(tǒng)的最終威脅評(píng)分：

式中，Si代表第i個(gè)指標(biāo)評(píng)分，wi代表各個(gè)指標(biāo)的權(quán)重，k為指標(biāo)總數(shù)。

為了便于將威脅等級(jí)與系統(tǒng)主動(dòng)防御的策略響應(yīng)相聯(lián)系，本文依據(jù)系統(tǒng)的最終威脅評(píng)分將威脅情況分為高、中高、中低和低4個(gè)等級(jí)。威脅得分與評(píng)估等級(jí)對(duì)應(yīng)關(guān)系如表4所示，分值越大，表示對(duì)系統(tǒng)的威脅越嚴(yán)重。基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)可以根據(jù)知識(shí)庫(kù)中的威脅等級(jí)，更有針對(duì)性地采取相應(yīng)的防御措施。

表4 威脅評(píng)分與威脅等級(jí)對(duì)應(yīng)關(guān)系

3 實(shí)例評(píng)估

為了驗(yàn)證提出的評(píng)估體系和方法的有效性，本文針對(duì)某電力公司智能變電站檢測(cè)技術(shù)實(shí)驗(yàn)室的電力監(jiān)控系統(tǒng)進(jìn)行測(cè)試。具體的網(wǎng)絡(luò)環(huán)境部署如圖3所示，包括由虛擬前置機(jī)、虛擬服務(wù)器和虛擬數(shù)據(jù)庫(kù)構(gòu)成的主動(dòng)防御系統(tǒng)和真實(shí)網(wǎng)絡(luò)的設(shè)備。主要對(duì)公網(wǎng)數(shù)據(jù)和內(nèi)部數(shù)據(jù)的進(jìn)行測(cè)試收集，其中公網(wǎng)數(shù)據(jù)測(cè)試是將系統(tǒng)部署到公網(wǎng)上進(jìn)行一段時(shí)間的信息收集，可根據(jù)公網(wǎng)存在的攻擊行為進(jìn)行測(cè)試驗(yàn)證；內(nèi)部數(shù)據(jù)測(cè)試則使用攻擊腳本和掃描工具進(jìn)行測(cè)試，可根據(jù)攻擊腳本和掃描工具收集到的行為進(jìn)行測(cè)試驗(yàn)證。

截止2019年6月，已捕獲1 579 688條數(shù)據(jù)，其中針對(duì)電力監(jiān)控系統(tǒng)協(xié)議端口探測(cè)、攻擊數(shù)據(jù)攻擊139 427條。經(jīng)過(guò)數(shù)據(jù)清洗，提取出有效事件91 227件，對(duì)應(yīng) S7comm、modbus、bacnet、IEC104、Kamstrup和ipmi共6種攻擊協(xié)議類型。它的詳細(xì)攻擊事件威脅等級(jí)分布如表5所示，說(shuō)明該電力監(jiān)控系統(tǒng)能夠及時(shí)發(fā)現(xiàn)高級(jí)持續(xù)性威脅，并對(duì)其進(jìn)行準(zhǔn)確評(píng)估。

3.1 計(jì)算實(shí)例

為了直觀說(shuō)明威脅評(píng)分及威脅等級(jí)的評(píng)估過(guò)程，將以本電力監(jiān)控系統(tǒng)的廠站端為例進(jìn)行說(shuō)明。屬性層元素B1、B2關(guān)于目標(biāo)層A的判斷矩陣A為：

圖3 電力監(jiān)控系統(tǒng)部署

表5 電力監(jiān)控系統(tǒng)攻擊事件的威脅等級(jí)分布

同理可得，指標(biāo)層C1～C7關(guān)于屬性層B的判斷矩陣B1、B2分別為：

最后一級(jí)指標(biāo)層D1～D7關(guān)于指標(biāo)層C的判斷矩陣分別為：

根據(jù)式（2）～式（5），對(duì)矩陣A、B1、B2、C1、C2、C3、C4、C5、C6、C7進(jìn)行一致性檢驗(yàn)和歸一化處理，可得每一層的相對(duì)權(quán)重向量分別為：

綜上，得到電力監(jiān)控系統(tǒng)威脅效果評(píng)估指標(biāo)體系中指標(biāo)層各元素的合成權(quán)重分布如圖2所示。

3.2 評(píng)估結(jié)果分析

圖4給出了S7comm協(xié)議攻擊的詳細(xì)數(shù)據(jù)，攻擊IP“182.131.21.95”針對(duì)50640端口實(shí)施攻擊，讀取寄存器值下載數(shù)據(jù)進(jìn)行有目的的探測(cè)。根據(jù)所構(gòu)建的四級(jí)威脅評(píng)估指標(biāo)體系，本協(xié)議此次攻擊的威脅評(píng)分處于100～1 000，因此得出的評(píng)估等級(jí)為中高危。該系統(tǒng)存在一定的網(wǎng)絡(luò)風(fēng)險(xiǎn)，需要及早采取防御措施。

圖4 S7comm協(xié)議的攻擊詳情

圖5展示了從2017年4月到2018年3月shodan組織對(duì)電力監(jiān)控系統(tǒng)造成的威脅趨勢(shì)。從圖5中可以看出，該電力監(jiān)控系統(tǒng)在2017年12月時(shí)間段內(nèi)的威脅評(píng)分比較低，說(shuō)明該月網(wǎng)絡(luò)處在比較安全和穩(wěn)定的狀態(tài)；該系統(tǒng)在2017年10月的威脅評(píng)分高于1 000，網(wǎng)絡(luò)遭受到了嚴(yán)重的攻擊威脅；其余10個(gè)月的時(shí)間內(nèi)，網(wǎng)絡(luò)遭受了一定的中高危攻擊威脅。上述結(jié)果有效證明了基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)威脅評(píng)估體系，可以對(duì)一段時(shí)間段以來(lái)的系統(tǒng)威脅進(jìn)行量化評(píng)估，從而輔助相關(guān)人員根據(jù)威脅趨勢(shì)指定實(shí)際系統(tǒng)的安全保障策略。

圖5 威脅等級(jí)變化趨勢(shì)

4 結(jié) 語(yǔ)

本文提出了基于虛擬化動(dòng)態(tài)部署的電力監(jiān)控系統(tǒng)威脅評(píng)估指標(biāo)體系，從系統(tǒng)捕獲的攻擊對(duì)不同系統(tǒng)設(shè)備造成的危害和泄露數(shù)據(jù)的敏感性方面，建立了電力監(jiān)控系統(tǒng)四級(jí)威脅評(píng)估指標(biāo)體系。根據(jù)指標(biāo)之間的關(guān)聯(lián)性，本文采用層次化模型的評(píng)估方法，對(duì)電力監(jiān)控系統(tǒng)進(jìn)行實(shí)例評(píng)估，收集協(xié)議端口探測(cè)和攻擊數(shù)據(jù)，分析攻擊指令詳情，并直觀給出系統(tǒng)威脅等級(jí)的評(píng)估結(jié)果，驗(yàn)證了提出的評(píng)估體系在主動(dòng)防御系統(tǒng)中的有效性，為電力企業(yè)管理人員進(jìn)行主動(dòng)防御策略的實(shí)施提供了針對(duì)性參考，提升了電力監(jiān)控系統(tǒng)的安全防護(hù)水平，為電網(wǎng)的安全穩(wěn)定運(yùn)行提供了保障。