基于分布容侵技術(shù)的電網(wǎng)信息安全防護(hù)體系構(gòu)建

朱亞飛,楊文保，許 強(qiáng)

(國網(wǎng)安徽省電力有限公司合肥供電公司，安徽 合肥 230000)

0 引言

智慧電網(wǎng)是整合發(fā)電、輸電、配電用戶端和現(xiàn)代化智能電力管理網(wǎng)絡(luò)，是一種雙向溝通的現(xiàn)代通信電力網(wǎng)絡(luò)。其利用先進(jìn)的電表基礎(chǔ)設(shè)計(jì)并結(jié)合無線網(wǎng)絡(luò)技術(shù)來傳遞電力信息和管理分配電力，可提高能源使用效率[1]。智慧電網(wǎng)所具有的雙向溝通特性，使得電力公司不再只是單向輸電給用戶。用戶端的用電信息也能通過無線電網(wǎng)，實(shí)時(shí)傳遞到電力公司，使電力公司利用監(jiān)控系統(tǒng)進(jìn)行遠(yuǎn)程監(jiān)控、了解各地的用電狀況并進(jìn)行電力調(diào)配[2]。智慧電網(wǎng)也提供用戶線上查詢信息的功能，使用戶可以即時(shí)了解當(dāng)前用電情況，從而提高用戶對用電的自覺與意識。

用戶端與服務(wù)器端進(jìn)行溝通，需要通過電網(wǎng)傳輸大量用戶信息與分配所有電力平衡的信息。由于電網(wǎng)是一種雙向即時(shí)的通信系統(tǒng)，在電力管理、電力分配與用戶用電等問題上，可以在服務(wù)器的資料庫作查詢分析，以獲取相關(guān)的信息和數(shù)據(jù)[3]。信息安全問題常常發(fā)生在科學(xué)技術(shù)的使用過程中，數(shù)據(jù)資料非常容易遭到篡改、竊取，導(dǎo)致重大財(cái)產(chǎn)的損失。由于智慧電網(wǎng)的控制與調(diào)度比起傳統(tǒng)的電網(wǎng)傳輸更為復(fù)雜，智慧電網(wǎng)傳輸時(shí)可能會遭受針對信息安全的攻擊[4]。因此，電網(wǎng)系統(tǒng)信息傳輸?shù)臋C(jī)密性、完整性、可用性、隱私權(quán)以及電網(wǎng)攻擊等信息安全問題顯得尤為重要。

本文對智慧電網(wǎng)的結(jié)構(gòu)和電網(wǎng)信息安全進(jìn)行多層面的分析，并在此基礎(chǔ)之上說明了電網(wǎng)不同層面各自面臨的信息安全挑戰(zhàn)。對于全新的攻擊行為，難以通過自動化方式進(jìn)行偵測。對此，通過異常偵測機(jī)制系統(tǒng)，建立攻擊行為的雙線性容侵模型，以進(jìn)一步識別攻擊數(shù)據(jù)樣本，并加強(qiáng)異常偵測的精確率，從而對當(dāng)今惡意行為快速變化的環(huán)境作出更加完善的應(yīng)對和防護(hù)。

1 方法

1.1 智慧電網(wǎng)架構(gòu)及電網(wǎng)信息安全分層

智慧電網(wǎng)架構(gòu)如圖1所示。

圖1 智慧電網(wǎng)架構(gòu)Fig.1 Smart grid architecture

近年來，不少的國家和地區(qū)都開始投資建設(shè)智慧電網(wǎng)，并大力開展相關(guān)技術(shù)研究。智慧電網(wǎng)的發(fā)展對可再生能源而言至關(guān)重要。美國國家標(biāo)準(zhǔn)技術(shù)研究院提出了智慧電網(wǎng)的模型，并定義了智慧電網(wǎng)的七大主要構(gòu)成模塊，包括電力生產(chǎn)、傳輸、分配、客戶、運(yùn)營、市場、服務(wù)提供商[5]。傳輸模塊在智能電網(wǎng)中的配電域之間進(jìn)行配電。分配模塊與智能電網(wǎng)中的終端用戶之間進(jìn)行配電。客戶模塊包括家庭區(qū)域網(wǎng)絡(luò)、建筑區(qū)域網(wǎng)絡(luò)和工業(yè)區(qū)域網(wǎng)絡(luò)。運(yùn)營模塊負(fù)責(zé)管理向其他模塊的電力輸送。市場模塊負(fù)責(zé)管理所有智慧電力網(wǎng)絡(luò)的參與者。服務(wù)提供商模塊負(fù)責(zé)管理智慧電網(wǎng)中第三方合作伙伴。智慧電網(wǎng)的七大構(gòu)成模塊之間，不僅有電力的輸送，更有數(shù)據(jù)交流的信息流[6]。

智慧電網(wǎng)的信息安全問題可以劃分為四個層面。最底層是傳輸電能的物理能源設(shè)施層。物理能源設(shè)施的上一層是管理整個電力能源供應(yīng)鏈通信的通信基礎(chǔ)設(shè)施層。再上一層是作出即時(shí)決策的計(jì)算信息技術(shù)層。最頂層是電網(wǎng)應(yīng)用層[7]。信息安全問題貫穿著智慧電網(wǎng)的四個層面，而每個層面都與特定的技術(shù)相關(guān)。本文對于電網(wǎng)信息安全問題的研究集中于智慧電網(wǎng)應(yīng)用層。智慧電網(wǎng)信息安全分層如圖2所示。

圖2 智慧電網(wǎng)信息安全分層Fig.2 Smart grid information security layering

智慧電網(wǎng)收集并分析整個電網(wǎng)的傳輸、分布和使用數(shù)據(jù)。基于這些數(shù)據(jù)，智慧電網(wǎng)技術(shù)提供相關(guān)的預(yù)測信息和電力管理信息。在發(fā)展智慧電網(wǎng)技術(shù)的同時(shí)，對于信息安全和隱私保護(hù)問題的研究也是非常必要的。

1.2 智慧電網(wǎng)應(yīng)用層的入侵檢測技術(shù)

隨著智慧電網(wǎng)在全國范圍內(nèi)的普及，越來越多樣的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用和服務(wù)充斥在人們的日常生活中。在大量技術(shù)服務(wù)的背后，衍生出的各種惡意入侵行為卻因?yàn)椴灰妆徊煊X而被大眾所忽略。凡是未經(jīng)授權(quán)的數(shù)據(jù)資料信息存取行為、通過網(wǎng)絡(luò)程序上的弱點(diǎn)或漏洞來嘗試獲得服務(wù)主機(jī)的控制權(quán)，以及借由大量的數(shù)據(jù)連接造成服務(wù)癱瘓的行為，都是對電力網(wǎng)絡(luò)的惡意入侵行為。此類惡意入侵行為所造成的影響巨大，凸顯了入侵檢測和信息安全防護(hù)體系建設(shè)的重要性。通過智能電網(wǎng)通信，攻擊者可能會竊取或篡改能源使用和消耗信息。電力供應(yīng)商的數(shù)據(jù)庫可能被攻擊者入侵[8-9]。智能電網(wǎng)會定期收集和存儲每個用戶的功耗信息，以提供有效的電力服務(wù)。這些用戶數(shù)據(jù)擁有重大的分析價(jià)值和戰(zhàn)略意義。同時(shí)，保護(hù)用戶的隱私信息在智能電網(wǎng)中的通信安全至關(guān)重要。目前，已經(jīng)有部分研究提出了解決智能電網(wǎng)安全性的方法，例如消息身份驗(yàn)證、通信系統(tǒng)安全性和安全聚合。但這些研究主要集中在針對外部惡意攻擊行為的防護(hù)上。對于惡意攻擊行為的入侵檢測技術(shù)仍然是一大難題。入侵到內(nèi)部的攻擊者可以合法地收集和存儲用戶的功耗信息。因此，對此類行為進(jìn)行入侵檢測是極其重要的一環(huán)。

入侵檢測系統(tǒng)通過數(shù)據(jù)連接的資料和信息，包括流量、封包、連線類型等特征值，對入侵行為預(yù)先進(jìn)行偵測，再由系統(tǒng)作出初步的過濾，并對管理員作出警示[10]。目前的入侵檢測系統(tǒng)主要分為兩種類型，分別為特征偵測與異常偵測兩種。

特征偵測是一個復(fù)雜的過程。首先，利用過去的入侵攻擊樣本，通過系統(tǒng)分析得出攻擊行為的特征，建立攻擊行為的異常特征資料庫。然后，通過對異常特征資料庫的比對實(shí)現(xiàn)入侵攻擊的偵測辨識。若連線數(shù)據(jù)與資料庫中的特征相吻合，便會被判定為入侵攻擊行為。此方法的優(yōu)點(diǎn)是不容易誤判，缺點(diǎn)是入侵攻擊行為的特征提取和資料庫的建立需要耗費(fèi)大量的人力和時(shí)間。在當(dāng)今攻擊行為快速變動的環(huán)境下，特征的建立往往比不上攻擊的出現(xiàn)速度。因此，特征偵測系統(tǒng)的最大特點(diǎn)是無法偵測到未知的零時(shí)攻擊，對于緊急威脅沒有臨時(shí)應(yīng)變的能力。

異常偵測是利用已知的攻擊樣本與一般的正常樣本混合成資料集，對個別樣本的特征，采用相關(guān)算法建構(gòu)入侵行為的模型，作為辨識之用。異常偵測方法的優(yōu)點(diǎn)在于有能力偵測出未知的零時(shí)攻擊，在新型攻擊行為出現(xiàn)時(shí)便即時(shí)察覺。但該方法的缺點(diǎn)是具有較高的誤判率，即把一般正常的行為錯誤地辨識為惡意入侵行為，導(dǎo)致系統(tǒng)的效益下降。因此，對異常偵測方法進(jìn)行優(yōu)化以降低誤判率、提高檢測識別的正確率，是當(dāng)前電網(wǎng)信息安全防護(hù)體系的重點(diǎn)工作之一。

1.3 電網(wǎng)入侵攻擊行為的多層學(xué)習(xí)機(jī)制

多層學(xué)習(xí)機(jī)制的目的在于利用未標(biāo)記的數(shù)據(jù)樣本，配合演算模型，建立對未知攻擊具有良好偵測能力的系統(tǒng)。本研究首先利用多層機(jī)制，使用多個針對個別攻擊的分類器，更好地實(shí)現(xiàn)對各類攻擊的辨識；然后，在多階段的分類器訓(xùn)練中，避免其可能產(chǎn)生的最壞狀況。

本研究所指的多層學(xué)習(xí)機(jī)制，是借由重復(fù)對未標(biāo)記的樣本集作識別，增加訓(xùn)練集中的惡意樣本數(shù)目。首先，利用已標(biāo)記的訓(xùn)練樣本訓(xùn)練出分類器。一次分類器對未標(biāo)記的樣本進(jìn)行識別且標(biāo)記，并將被辨識為惡意樣本的資料加到訓(xùn)練樣本中；然后，重新訓(xùn)練新的分類器后，再以新的分類器對上一輪被辨識別為普通樣本的數(shù)資料加以識別。結(jié)果同樣將這些樣本中被標(biāo)記為惡意樣本的資料加到訓(xùn)練樣本，重復(fù)這樣的程序，直到?jīng)]有樣本被辨識惡意樣本，或是達(dá)到設(shè)定的執(zhí)行上限為止。該做法的意義在于增加原本已標(biāo)記的訓(xùn)練資料中較少的惡意樣本數(shù)，并借由樣本訓(xùn)練的過程辨識可能為惡意的樣本，以獲得更多與惡意樣本有關(guān)的特征與行為數(shù)據(jù)。多層學(xué)習(xí)機(jī)制實(shí)現(xiàn)過程如圖3所示。

通過研究俄羅斯秋明Сг—6井下套管技術(shù)我們不難發(fā)現(xiàn)，要想取得超深井大尺寸套管一次性下套管成功，需要做到以下三點(diǎn)：第一，良好的井眼準(zhǔn)備是最重要的前提條件。第二，為了應(yīng)對大噸位的套管下入，應(yīng)采用足夠安全的鉆井設(shè)備和套管下入工具。第三，嚴(yán)格制定下套管操作規(guī)程，采取適當(dāng)?shù)墓に嚧胧瑖?yán)防套管遇阻及其他事故的發(fā)生。

圖3 多層學(xué)習(xí)機(jī)制實(shí)現(xiàn)過程Fig.3 Multi-layer learning mechanism implementation process

美國國際高級研究計(jì)劃局(Defense Advanted Research Progects Agency,DARPA)數(shù)據(jù)集是目前網(wǎng)絡(luò)入侵檢測領(lǐng)域的標(biāo)準(zhǔn)數(shù)據(jù)集。DARPA包含了Probe、DoS、R2L、U2R四大攻擊類型。而攻擊種類就是依據(jù)此分類來作分層的原則。由于數(shù)據(jù)集中R2L與U2R類型的樣本數(shù)量比較少，故將其合并為同一層，借由同一個分類器來作辨識。而根據(jù)憤怒統(tǒng)計(jì)分析，對于DOS的偵測誤判率是最低的，Probe次之，最高的則是R2L這類攻擊。于是本文利用過濾方式，從DOS的攻擊開始偵測，以達(dá)到最好的效益，建構(gòu)多層入侵偵測系統(tǒng)。

1.4 電網(wǎng)分布數(shù)據(jù)轉(zhuǎn)換與平穩(wěn)性檢驗(yàn)

電力網(wǎng)絡(luò)分布數(shù)據(jù)的網(wǎng)絡(luò)流量特征檢測，需要轉(zhuǎn)換為連續(xù)性的可觀測狀態(tài)。對于一個凈流量的連續(xù)性特征，必須先將其從數(shù)值的特征值轉(zhuǎn)換為離散的觀測值。本文將這些特征值分成五種觀測值。分類的依據(jù)是依照正態(tài)分布的情況，加上平均值和標(biāo)準(zhǔn)差進(jìn)行處理。由于正態(tài)分布在平均值正負(fù)一個標(biāo)準(zhǔn)差內(nèi)，應(yīng)占有全部的70%左右，本文使用以下四個值作為界限，將連續(xù)性的特征數(shù)值加以轉(zhuǎn)換，分別是：①平均值-標(biāo)準(zhǔn)差；②平均值-0.25×標(biāo)準(zhǔn)差；③平均值+0.25×標(biāo)準(zhǔn)差；④平均值+標(biāo)準(zhǔn)差。

但在此轉(zhuǎn)換方式下，由于平均值在標(biāo)準(zhǔn)差之后可能為負(fù)數(shù)，故需要針對此狀態(tài)進(jìn)行簡單的轉(zhuǎn)換處理。

本文采用分段檢驗(yàn)法對電網(wǎng)系統(tǒng)節(jié)點(diǎn)產(chǎn)生的聚合數(shù)據(jù)時(shí)間序列進(jìn)行檢驗(yàn)，以驗(yàn)證其是否滿足平穩(wěn)性。現(xiàn)對聚合節(jié)點(diǎn)產(chǎn)生的聚合數(shù)據(jù)時(shí)間序列{xt}進(jìn)行平穩(wěn)性檢驗(yàn)，將{xt}時(shí)間序列分成{x1t}、{x2t}和{xnt}。

{xjt}={xj1,xj2,...,xjm},j=1,2,...,n

(1)

(2)

(3)

(4)

|ui-uj|>2.77σ(uj)

(5)

(6)

|Ri,k-Rj,k|>2.77σ(Rj,k)

(7)

在對一個時(shí)間序列{xt}進(jìn)行平穩(wěn)性數(shù)據(jù)檢驗(yàn)之后，若滿足條件，則可以進(jìn)行進(jìn)一步的處理和分析。

1.5 入侵檢測系統(tǒng)分類器權(quán)重及門檻值設(shè)置

本文研究的重點(diǎn)在于對一個分類器的權(quán)重及門檻值的設(shè)置。權(quán)重的設(shè)置主要有三種。第一種是將每個分類器給予一樣的權(quán)重，依照分類器的平均情況作為辨識的結(jié)果。第二種則是隨著多層學(xué)習(xí)機(jī)制的進(jìn)行，訓(xùn)練出分類器。其權(quán)重越低，則原始的分類器權(quán)重越高。該做法比較重視初始的分類器，后續(xù)的分類器權(quán)重值較低，比較適用于辨識率比較差的狀況。這是因?yàn)榻?jīng)過多層學(xué)習(xí)機(jī)制后，新分類器表現(xiàn)的波動性比較大，雖然可能有較高的攻擊偵測率，但其誤判率可能也比較高。第三種方法是對第二種方法的改進(jìn)，借由對x系數(shù)的調(diào)整來決定初始與最終訓(xùn)練出的分類器之間的權(quán)值比重，以免過度忽略后期訓(xùn)練出的分類器。閾值門檻值設(shè)置的第一種方法是基本的平均方式，取所有權(quán)重取平均值作為門檻值；第二種方式則是借由調(diào)整參數(shù)k來設(shè)定門檻值的高低。通過調(diào)整k值來決定k個擁有最小權(quán)值的分類器總和，以此作為依據(jù)，使門檻值的設(shè)定更具彈性化。

1.6 入侵行為分類識別評估

表1 入侵攻擊行為識別評估情況Tab.1 Intrusion attack behavior identification assessment situation

同時(shí)，使用接受者操作特征曲線 (receiver operating characteristic curve,ROC)作為判斷識別結(jié)果方法。ROC以二維線性表示，橫軸為假陽性概率(false positive rate，F(xiàn)PR)，縱軸為真陽性概率(true positive rate，TPR)。ROC曲線下的面積(area under the curve,AUC)則是表示在繪制出的ROC曲線圖中，曲線下方的面積。該面積越大，代表檢測系統(tǒng)的TPR越高，F(xiàn)PR越低，即辨識的結(jié)果越好。ROC曲線實(shí)例如圖4所示。

圖4 ROC曲線實(shí)例圖Fig.4 Example graph of ROC curve

2 結(jié)果與討論

2.1 電網(wǎng)入侵檢測系統(tǒng)的試驗(yàn)預(yù)測結(jié)果

本文使用DARPA數(shù)據(jù)集的原始鏈接數(shù)據(jù)資料所轉(zhuǎn)換的數(shù)據(jù)作為試驗(yàn)評測的數(shù)據(jù)集。通過對原始數(shù)據(jù)資料進(jìn)行轉(zhuǎn)換，將原始數(shù)據(jù)轉(zhuǎn)換成網(wǎng)絡(luò)流格式，再提取特征資料，作為多層學(xué)習(xí)模型的特征值。電網(wǎng)入侵檢測系統(tǒng)的試驗(yàn)預(yù)測結(jié)果如圖5所示。

圖5 電網(wǎng)入侵檢測系統(tǒng)的試驗(yàn)預(yù)測結(jié)果Fig.5 Experimental prediction results of power grid intrusion detection system

根據(jù)圖5所示的結(jié)果，經(jīng)過改進(jìn)的電網(wǎng)入侵異常偵測方法模型的絕對平均誤差(mean absolute error,MAE)降低了16.73%。

2.2 電網(wǎng)攻擊行為多層學(xué)習(xí)機(jī)制模型的算法仿真

本文使用 MATLAB 進(jìn)行試驗(yàn)仿真。對經(jīng)過脈沖噪聲處理的數(shù)據(jù)，進(jìn)行檢測率、誤判率、接收者操作特征曲線曲線AUC等指標(biāo)的分析，對本文提出的基于分布數(shù)據(jù)的雙階段容侵算法和常用的Bo算法進(jìn)行仿真試驗(yàn)。

試驗(yàn)仿真結(jié)果對比如圖6所示。

圖6 試驗(yàn)仿真結(jié)果對比Fig.6 Comparison of experimental simulation results

圖6表示了當(dāng)惡意攻擊概率p=0.2、惡意攻擊強(qiáng)度D=6時(shí)，在不同無線信道通信質(zhì)量下，本文算法與Bo算法的性能差異。通過觀察可知，在通信質(zhì)量較好時(shí)，本文算法和常用的Bo算法的AUC都更大，說明良好的無線信道通信可以有效提高容侵算法的檢測率、降低漏報(bào)率。整體來看，在各種通信質(zhì)量情況下，本文算法都要優(yōu)于Bo算法。在通信質(zhì)量惡劣的情況下，兩種算法對應(yīng)的AUC差值拉大。這意味著在無線信道通信質(zhì)量較差的情況之下，本文提出的多層學(xué)習(xí)機(jī)制模型具有更強(qiáng)的抗噪性能。

3 結(jié)論

本文對智慧電網(wǎng)應(yīng)用層中的信息安全入侵檢測行為和模型建構(gòu)進(jìn)行學(xué)習(xí)和研究，使用多層學(xué)習(xí)機(jī)制的方法對電網(wǎng)中的分布數(shù)據(jù)的未知入侵攻擊行為進(jìn)行有效的偵測和識別，并配合相應(yīng)的數(shù)據(jù)資料集進(jìn)行試驗(yàn)數(shù)據(jù)預(yù)測。試驗(yàn)結(jié)果顯示，本文模型的數(shù)據(jù)預(yù)測結(jié)果MAE降低了16.73%。MATLAB仿真試驗(yàn)表明，本文提出的算法有效地提高了異常偵測方法的精確率、降低了誤判率。未來在電網(wǎng)信息入侵攻擊安全防護(hù)方面的研究還有不少需要深入挖掘的地方，可以進(jìn)一步擴(kuò)展測試數(shù)據(jù)集的多樣性，提升評估結(jié)果的價(jià)值。