電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知分析

鄒洪 付志博 陳傳才

(1.南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司,廣東廣州 510000;2.南方電網(wǎng)深圳數(shù)字電網(wǎng)研究院有限公司,廣東深圳 518053)

0 引言

現(xiàn)階段,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已發(fā)展成為威脅電網(wǎng)運(yùn)行安全的主要風(fēng)險(xiǎn)之一。而且,隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,病毒、黑客等風(fēng)險(xiǎn)源的攻擊侵襲能力越來(lái)越強(qiáng),常規(guī)防護(hù)措施已無(wú)法達(dá)到高質(zhì)量的電網(wǎng)保護(hù)效果。基于此,我們有必要對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)在電網(wǎng)調(diào)度系統(tǒng)中的有效運(yùn)用展開(kāi)探究討論,以尋找出提升電網(wǎng)安全保障水平、維護(hù)電力行業(yè)穩(wěn)定運(yùn)行的可行路徑。

1 電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念特點(diǎn)

所謂“態(tài)勢(shì)感知”,即一種著眼于環(huán)境整體的、全面動(dòng)態(tài)分析安全風(fēng)險(xiǎn)的能力與行為。將這一概念引入到網(wǎng)絡(luò)安全保護(hù)領(lǐng)域,即構(gòu)建出以安全大數(shù)據(jù)為基礎(chǔ),全局性、全視角、全過(guò)程進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)因素識(shí)別排查、理解分析與反饋處理的技術(shù)體系。在當(dāng)前,面對(duì)紛繁復(fù)雜的網(wǎng)絡(luò)環(huán)境與日益多樣的威脅來(lái)源,電力企業(yè)有必要將網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)融合到電網(wǎng)的調(diào)度管理系統(tǒng)當(dāng)中,以此補(bǔ)齊傳統(tǒng)安全防御體系在環(huán)境探查、風(fēng)險(xiǎn)預(yù)測(cè)、及時(shí)響應(yīng)等方面的缺陷短板,實(shí)現(xiàn)電網(wǎng)安全防護(hù)等級(jí)的進(jìn)一步提高[1]。

從目前來(lái)看,網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)在電網(wǎng)調(diào)度系統(tǒng)中可表現(xiàn)出如下應(yīng)用特點(diǎn):

第一,廣覆蓋特點(diǎn)。發(fā)展至今,網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可依托SNMP、NSSP、Syslog等十余種協(xié)議進(jìn)行工作環(huán)境內(nèi)網(wǎng)絡(luò)流量的篩查與風(fēng)險(xiǎn)數(shù)據(jù)的采集,從而實(shí)現(xiàn)風(fēng)險(xiǎn)類型、風(fēng)險(xiǎn)來(lái)源、風(fēng)險(xiǎn)點(diǎn)位的廣覆蓋。同時(shí),網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)下的電網(wǎng)調(diào)度系統(tǒng)感知模型為多層結(jié)構(gòu),通常包含有態(tài)勢(shì)要素獲取層、態(tài)勢(shì)理解層、態(tài)勢(shì)預(yù)測(cè)層、態(tài)勢(shì)感知層、輔助決策層、控制執(zhí)行層等。這樣一來(lái),一方面有助于實(shí)施未知威脅、模糊風(fēng)險(xiǎn)的多層排查,從而充分強(qiáng)化安全保護(hù)體系的嚴(yán)密性。另一方面,也有助于系統(tǒng)完成對(duì)態(tài)勢(shì)要素的細(xì)致分析,將風(fēng)險(xiǎn)告警的誤報(bào)率降至最低水平。由此,便可實(shí)現(xiàn)風(fēng)險(xiǎn)處理環(huán)節(jié)的廣覆蓋。

第二,前瞻性特點(diǎn)。在機(jī)器學(xué)習(xí)引擎、溯源分析引擎、卷積神經(jīng)網(wǎng)絡(luò)、云端數(shù)據(jù)庫(kù)等工具的支持下,網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)下的電網(wǎng)調(diào)度系統(tǒng)不但能進(jìn)行所處網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)感知與流量監(jiān)控,還可對(duì)歷史數(shù)據(jù)進(jìn)行存儲(chǔ)整理與運(yùn)算分析,從而得出某一周期階段內(nèi)電網(wǎng)涉及風(fēng)險(xiǎn)因素的類型分布、出現(xiàn)規(guī)律、發(fā)生機(jī)理。這樣一來(lái),便可進(jìn)一步提升系統(tǒng)及人員對(duì)風(fēng)險(xiǎn)隱患的預(yù)測(cè)評(píng)估能力,并制定出相應(yīng)的規(guī)避或應(yīng)對(duì)策略,達(dá)到“未雨綢繆”的網(wǎng)絡(luò)安全防護(hù)效果。

2 電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的技術(shù)要求

2.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的功能要求

電網(wǎng)調(diào)度系統(tǒng)在日常運(yùn)行過(guò)程中,會(huì)面臨多源化、多樣化的風(fēng)險(xiǎn)威脅。所以,在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)、構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系時(shí),必須要保證其作用功能的全面化覆蓋,以確保最大程度地為電網(wǎng)調(diào)度系統(tǒng)提供安全保障支持。具體來(lái)講,應(yīng)注重滿足以下三個(gè)方面的功能要求:

第一,脆弱性的感知要求。所謂“脆弱性”,即電網(wǎng)調(diào)度系統(tǒng)本身的安全保障能力。在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)時(shí),首先需要對(duì)系統(tǒng)內(nèi)部的組織結(jié)構(gòu)、運(yùn)行狀態(tài)進(jìn)行感知,及時(shí)化、精細(xì)化地分析系統(tǒng)中有無(wú)靜態(tài)的漏洞、缺陷存在;其次,需要對(duì)系統(tǒng)的動(dòng)態(tài)脆弱性進(jìn)行感知,檢察電網(wǎng)調(diào)度系統(tǒng)有無(wú)不合規(guī)的異常行為、異常事件產(chǎn)生;最后,若已有病毒、木馬侵入到電網(wǎng)調(diào)度系統(tǒng)當(dāng)中,也應(yīng)及時(shí)作出排查響應(yīng),并向管理人員發(fā)出威脅來(lái)源、病毒類型、攻擊部位、態(tài)勢(shì)預(yù)測(cè)等告警信息。

第二,威脅性的感知要求。所謂“威脅性”,即電網(wǎng)調(diào)度系統(tǒng)對(duì)外的風(fēng)險(xiǎn)敏感能力。從目前來(lái)看,在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)時(shí),主要需要對(duì)敵對(duì)集團(tuán)、外部用戶以及黑客組織三種威脅主體進(jìn)行重點(diǎn)防范與應(yīng)對(duì)。在此基礎(chǔ)上,應(yīng)構(gòu)建起全覆蓋式的安全感知壁壘,對(duì)各類威脅主體進(jìn)行網(wǎng)絡(luò)層、業(yè)務(wù)層、信息層、終端層等多個(gè)系統(tǒng)層級(jí)的大數(shù)據(jù)關(guān)聯(lián)分析,并實(shí)現(xiàn)零日漏洞、APT攻擊等新型威脅行為的有效感知。

第三,經(jīng)濟(jì)性的感知要求。電力企業(yè)具備公共服務(wù)與市場(chǎng)經(jīng)營(yíng)的雙重屬性,所以其經(jīng)濟(jì)安全也必須得到充分保障。在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)時(shí),還需從網(wǎng)絡(luò)、數(shù)據(jù)、主機(jī)、終端、物理等多個(gè)維度出發(fā),進(jìn)行電力企業(yè)虛實(shí)資產(chǎn)的綜合化感知監(jiān)測(cè),明確評(píng)估電網(wǎng)調(diào)度系統(tǒng)在常規(guī)狀態(tài)與攻擊事件中各類信息資產(chǎn)的變動(dòng)情況,為經(jīng)濟(jì)損失核算、應(yīng)對(duì)策略制定等后續(xù)活動(dòng)提供充足可靠的依據(jù)基礎(chǔ)。

2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的架構(gòu)要求

從原理上講,網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的運(yùn)行流程為“采集實(shí)時(shí)數(shù)據(jù)→規(guī)范化處理數(shù)據(jù)→分析異常網(wǎng)絡(luò)變化→識(shí)別攻擊行為→評(píng)估攻擊威脅性→尋找攻擊源→響應(yīng)反饋→評(píng)估保護(hù)效果→預(yù)測(cè)網(wǎng)絡(luò)態(tài)勢(shì)”。基于此,應(yīng)將態(tài)勢(shì)要素獲取、態(tài)勢(shì)理解分析、態(tài)勢(shì)趨向預(yù)測(cè)、態(tài)勢(shì)整體感知等模塊或?qū)哟渭{入到技術(shù)架構(gòu)當(dāng)中,并將各層次、模塊有序地與電網(wǎng)調(diào)度系統(tǒng)主體建立連接,以便輔助系統(tǒng)完成風(fēng)險(xiǎn)規(guī)避、防御或應(yīng)對(duì)的調(diào)度決策,并為調(diào)度人員提供出精準(zhǔn)的態(tài)勢(shì)感知信息。

2.3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的算法要求

結(jié)合實(shí)際來(lái)看,一些特殊的病毒、黑客攻擊行為可繞過(guò)常規(guī)性的電網(wǎng)防御壁壘,或躲避電網(wǎng)隔離邊界。此時(shí),針對(duì)某防護(hù)時(shí)刻、某風(fēng)險(xiǎn)類型、某網(wǎng)絡(luò)信道的安全防護(hù)機(jī)制便會(huì)趨于無(wú)效化。因此,在網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的應(yīng)用中,相關(guān)人員必須要轉(zhuǎn)變?cè)械陌踩雷o(hù)策略,圍繞網(wǎng)絡(luò)環(huán)境的動(dòng)態(tài)變化進(jìn)行算法設(shè)置,以確保在最大程度上刻畫出電網(wǎng)所處網(wǎng)絡(luò)環(huán)境的狀態(tài)波動(dòng)過(guò)程,為后續(xù)的防護(hù)反饋行為提供依據(jù)。在目前,可選擇以Markav決策為基礎(chǔ)的Q算法作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的核心算法[2]。

在實(shí)踐中,Q算法可實(shí)時(shí)獲取電網(wǎng)環(huán)境的狀態(tài)數(shù)據(jù)St,以及調(diào)度系統(tǒng)的執(zhí)行動(dòng)作at,并依照公式Q(St,at)=(1-αt)Q(St,at)+αt[Rt(St,at)+γmax(St+1,at+1)]進(jìn)行循環(huán)的迭代運(yùn)算,從而得到當(dāng)下時(shí)間點(diǎn)中最優(yōu)的安全防護(hù)與電網(wǎng)調(diào)度策略π(St)=arg maxQ(St,at)。在該算法公式中,(St,at)表示某一時(shí)刻t下電網(wǎng)環(huán)境狀態(tài)與調(diào)度動(dòng)作的關(guān)系,αt為系統(tǒng)的迭代學(xué)習(xí)速率(αt∈[0,1]),γ為系統(tǒng)運(yùn)算的折扣因子(γ∈[0,1]),Rt(St,at)為電網(wǎng)調(diào)度的瞬時(shí)收益。

2.4 網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的度量要求

在網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的應(yīng)用中,度量電網(wǎng)調(diào)度系統(tǒng)的攻防效益具有重要意義。所以,還需對(duì)電網(wǎng)攻擊、防御等相關(guān)動(dòng)作的回報(bào)與成本進(jìn)行模型量運(yùn)算。具體如下:

第一,攻擊回報(bào)。從本質(zhì)上講,攻擊回報(bào)即代表電網(wǎng)調(diào)度系統(tǒng)在受到攻擊時(shí)的損失代價(jià),可用公式表示。其中,Acost、Icost、Ccost分別代表電網(wǎng)調(diào)度系統(tǒng)在可用性、機(jī)密性、完整性三個(gè)維度的受損情況,ωa、ωi、ωc分別代表電網(wǎng)調(diào)度系統(tǒng)在可用性、機(jī)密性、完整性三個(gè)維度的權(quán)重系數(shù),且三者之和為1,m代表遭受病毒或黑客攻擊的系統(tǒng)主機(jī)數(shù)量,critility代表受攻擊方的資源損失數(shù)量,AL為本次攻擊行為的威脅程度。

第二,攻擊成本。該模型量主要表示實(shí)施網(wǎng)絡(luò)攻擊一方的消耗成本,可用公式AC(Att)=Aop(Att)+Apc(Att)表示。其中,Aop、Apc分別代表本次攻擊涉及的技術(shù)投入成本與法律威脅成本。

第三,防御成本。該模型量主要表示電網(wǎng)調(diào)度系統(tǒng)在防御攻擊行為時(shí)付出的成本,可用公式D e C(D e f)=OPcost+REcost+NEcost表示。其中,OPcost、REcost、NEcost分別為系統(tǒng)防御的技術(shù)成本、殘余代價(jià)成本以及負(fù)面代價(jià)成本(即系統(tǒng)防御引發(fā)的難以挽回的運(yùn)行損失)。

第四,防御回報(bào)。在安全態(tài)勢(shì)感知技術(shù)的應(yīng)用視域下,電網(wǎng)調(diào)度系統(tǒng)的防御回報(bào)可分為完全防御、大量防御、部分防御、輕微防御以及幾乎未防御五個(gè)層次,其所對(duì)應(yīng)的防御回報(bào)值分別為0.9、0.7、0.5、0.3、0.1。

3 電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的建模思路

在開(kāi)展建模實(shí)踐之前,需要明確電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的建模思路規(guī)劃原則:第一,場(chǎng)景導(dǎo)向原則。在安全威脅事件發(fā)生時(shí),網(wǎng)絡(luò)安全態(tài)勢(shì)的感知是一種交互行為,即同一場(chǎng)景中存在攻擊者與防御者兩種角色。在建模過(guò)程中,必須要以場(chǎng)景為導(dǎo)向,處理好供方雙方的對(duì)應(yīng)關(guān)系,而不是僅從系統(tǒng)內(nèi)部防御或系統(tǒng)外部侵襲的單一角度建立模型;第二,技術(shù)驅(qū)動(dòng)原則。在建模實(shí)踐中,應(yīng)做好多種技術(shù)的有效運(yùn)用,如大數(shù)據(jù)技術(shù)、博弈論原理等;第三,協(xié)同運(yùn)行原則。電網(wǎng)調(diào)度系統(tǒng)具有很強(qiáng)的聯(lián)動(dòng)性,當(dāng)其內(nèi)部某一運(yùn)行節(jié)點(diǎn)、系統(tǒng)環(huán)節(jié)受到攻擊時(shí),通常會(huì)出現(xiàn)“牽一發(fā)而動(dòng)全身”的影響效果。所以,在基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)建立感知模型時(shí),也應(yīng)考慮到攻防博弈中電網(wǎng)調(diào)度系統(tǒng)的一體化動(dòng)作特點(diǎn),制定出協(xié)同運(yùn)行的威脅感知與動(dòng)作響應(yīng)方案。

然后,在電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系滿足架構(gòu)、算法、度量等設(shè)計(jì)要求的基礎(chǔ)上,可結(jié)合博弈論建立相應(yīng)的感知模型。首先,應(yīng)預(yù)設(shè)出如下兩點(diǎn)模型建立的背景條件:第一,模型中博弈的兩方為攻擊者與防御者,且均處在理性、標(biāo)準(zhǔn)的狀態(tài)當(dāng)中;第二,在博弈關(guān)系中,攻擊者以最大化掠奪系統(tǒng)資源為目的,防御者以最大化保障系統(tǒng)資源為目的。由此,設(shè)計(jì)出模型函數(shù)DEG=(N,φ,P,U,S)。其中,N為攻(a)防(d)兩方的參與空間,φ為博弈空間,P為概率空間,U為投入收益集合,S為網(wǎng)絡(luò)狀態(tài)集合。其后,分別運(yùn)算攻防兩方的平均收益, 即最后,設(shè)計(jì)、執(zhí)行如下流程:“初始化DEG函數(shù)→初始化Pai、Pdj→建立動(dòng)態(tài)博弈機(jī)制→計(jì)算博弈雙方收益,運(yùn)算獲得電力調(diào)度系統(tǒng)的動(dòng)作最優(yōu)解→存儲(chǔ)相關(guān)信息→再次進(jìn)行循環(huán)”。這樣一來(lái),便可實(shí)現(xiàn)電網(wǎng)調(diào)度系統(tǒng)中網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的有效落實(shí),對(duì)網(wǎng)絡(luò)攻擊的影響威脅度、防御可行性等進(jìn)行評(píng)估,并驅(qū)動(dòng)電網(wǎng)調(diào)度系統(tǒng)實(shí)施出有效的應(yīng)對(duì)措施[3]。

4 結(jié)語(yǔ)

總而言之,在當(dāng)前時(shí)代下,傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)機(jī)制略顯疲態(tài),無(wú)法為電力行業(yè)提供出高強(qiáng)度、全面化的保障支持。此時(shí),將網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用到電網(wǎng)調(diào)度系統(tǒng)的運(yùn)用體系中,可顯著提高系統(tǒng)對(duì)網(wǎng)絡(luò)環(huán)境中各類風(fēng)險(xiǎn)的采集、分析與響應(yīng)能力,從而使電網(wǎng)調(diào)度系統(tǒng)持續(xù)處于安全穩(wěn)定、高效響應(yīng)的良性狀態(tài)中,為電力企業(yè)的生產(chǎn)、管理、服務(wù)等活動(dòng)保駕護(hù)航。