網絡攻擊下電力系統(tǒng)混合入侵防御算法研究

胡超， 喬治中， 黃天明

(南京南瑞信息通信科技有限公司， 江蘇， 南京 210003)

0 引言

近些年來各類網絡安全事件頻發(fā)，網絡安全環(huán)境日趨嚴峻，為此研究一種網絡攻擊下電力系統(tǒng)混合入侵防御算法是很有必要的[1]。依照現有的技術水平，加強對含有關鍵信息基礎設施的保護，重點保護承擔電力系統(tǒng)運行的信息系統(tǒng)及相應的軟硬件。充分考慮電力系統(tǒng)的關鍵業(yè)務及其影響，按照電力CII認定識別級別，結合電力系統(tǒng)的實際，建立安全防御機制，有效抵御電力系統(tǒng)的外部入侵[2]。

目前，常用于入侵檢測的方法主要有SDN網絡拓撲污染攻擊防御方法[3]、針對認知無線網絡大規(guī)模入侵的雙重防御方法[4]和基于相關信息熵和CNN-BiLSTM的工業(yè)控制系統(tǒng)入侵檢測方法[5]，現有方法通過形成應用層操作，設計支持策略、行為異常檢測算法，實現攻擊事件和正常事件的智能區(qū)分，形成了一個多層次的安全防護體系。但是現有方法在網絡攻擊下，存在數據丟包率較大，網絡吞吐量較低和系統(tǒng)響應時間較長的問題，因此，本文提出了網絡攻擊下電力系統(tǒng)混合入侵防御算法。

1 網絡攻擊下電力系統(tǒng)混合入侵防御算法研究

1.1 電力系統(tǒng)混合入侵數據分類

采集網絡攻擊下電力系統(tǒng)的混合入侵數據，并以此為研究對象，進行數據分類，利用PSO算法控制入侵數據的頻率，引入一個控制入侵數據進程的頻率上限值vmax，如式(1)：

|vj(t)|≤vmax

(1)

按照上式設定的頻率上限值控制入侵數據分類，此時入侵數據在電力系統(tǒng)中的傳輸頻率隨時間變化的曲線，如圖1所示。

圖1 入侵數據的頻率變化

按照如上圖所示的頻率變化規(guī)律，以入侵頻率為分類指標[6]，采用聚類算法將不同頻率狀態(tài)下無標簽入侵數據進行劃分，此時入侵數據分類可表示為

(2)

式中，c表示劃分的入侵數據類別，U表示一個模糊矩陣，uij表示入侵數據樣本xj中第i個類別的隸屬度值，V表示由聚類中心向量構成的矩陣，m表示模糊系數，dij是入侵數據xj到聚類中心的距離。依據不同類型的電力系統(tǒng)混合入侵數據類型，制定響應映射關系[7-8]。

1.2 建立入侵響應映射

在建立算法入侵響應映射時，使用分類后的入侵數據，針對不同的入侵數據類型建立相對應的響應防御映射，利用復雜映射決策模型來建立該映射，使用的復雜映射模型如圖2所示。

圖2 復雜映射模型

利用圖2所示的結構可知，在建立響應映射時，接收上述分類后的電力系統(tǒng)入侵數據后，使用接口Agent處理該數據，將入侵數據傳送至主分析器，定義主分析器中的入侵類型為已知入侵類型與新入侵性質，主分析器依照定義的入侵數據的性質識別該分類數據[9]。在主分析器中添加一個分析Agent處理，處理電力系統(tǒng)中新入侵性質的數據，一個分析Agent對應一個防御措施，將該過程看作一個響應映射，多個分析Agent對應一個防御措施集合，其動態(tài)映射過程，如圖3所示。

圖3 動態(tài)防御響應映射

依照上圖所示的動態(tài)防御響應映射，針對新入侵的數據類型及防御因素，分析Agent形成一個該類型入侵數據的措施子集，防御完畢后該措施并入到上圖所示的措施集中[10]。計算上圖所示過程的響應時間TI，計算公式為

(3)

式中，ε表示映射系數，RI表示映射關系的有效性，FI表示映射的負響應指數。為了縮短防御響應時間，引入電力系統(tǒng)中的節(jié)點結構，完善上圖所示的映射，該分層結構，如圖4所示。

圖4 映射分層結構

依照上圖所示映射分層結構，將防御映射響應變成一個可持續(xù)釋放的過程，以此來縮短防御過程的時間。此外，調節(jié)上圖所示分層結構的機制閾值，減少防御過程中不必要的響應，進一步縮短響應時間[11]。

1.3 入侵防御的實現

電力系統(tǒng)因外部環(huán)境的不同，表現出不同的特性，算法在電力系統(tǒng)應用時會受到不同程度的限制，因此運用所提算法在網絡攻擊下對電力系統(tǒng)混合入侵數據的防御前，需要進行有效抑制[12]，以保持電力資源的可用性，為此建立一個算法受限模型，控制不同的參量變化，并通過計算入侵數據防御資源的最大容量系數，解除不同程度的限制[13]。以構建的入侵響應映射為基礎，以電力系統(tǒng)中的節(jié)點為研究對象，假設D(t)表示節(jié)點在防御過程中的數據防御數量，則此時節(jié)點總的入侵數據防御數量為

(4)

式中，r表示入侵數據防御量的增長率。

考慮到容量系數的大小不僅直接決定電力系統(tǒng)使用成本，同時，影響電力系統(tǒng)混合入侵防御效果，因此，在此公式的基礎上，計算入侵數據防御資源的最大容量系數H：

(5)

式中，D(t0)表示電力系統(tǒng)節(jié)點在t0時刻防御的入侵數據量。

為了防止最大容量系數計算出現精度誤差，建立隸屬度函數，計算公式如下：

(6)

依照上述計算過程，將初始化迭代數值設置為0[14]，以此來保證最大容量系數H的計算精度。

在網絡攻擊下，控制式(5)中t0的數值，對應得到算法在電力系統(tǒng)中受限制的位置編號，

(7)

式中，ω為權重，j表示電力系統(tǒng)入侵數據，c1表示認知系數，c2表示電力系統(tǒng)的安全系數，s1、s2表示服從均勻分布的隨機數，pj(t)表示入侵數據的歷史位置，xj(t)表示t代入侵數據在電力系統(tǒng)中的位置。使用上述各項系數，得到入侵數據頻率更新規(guī)則：

(8)

根據式(7)得到的電力系統(tǒng)中受限制的位置編號，掃描并隔離處理該位置的信任事務，同時，依照式(8)規(guī)范入侵數據在網絡中的進程，計算公式如下：

(9)

位置編號對應電力系統(tǒng)限制算法防御的位置，掃描并隔離處理該位置的信任事務，消除算法在電力系統(tǒng)中應用時的限制，實現對電力系統(tǒng)中混合入侵防御算法的研究[15]。

2 實驗

為驗證所設計網絡攻擊下電力系統(tǒng)混合入侵防御算法能否實現電力系統(tǒng)安全防御的目的，進行實驗驗證。

2.1 測試環(huán)境與參數設置

測試環(huán)境選用一臺接入局域網及互聯網的服務器，將該服務器安置在局域網與互聯網之間的網關處，利用一個測試服務器將局域網中的計算機與互聯網隔離，模擬電力系統(tǒng)受到網絡攻擊的過程，在該過程中測試算法的性能。將服務器的網口與IXIA網絡測試儀對應相連，使用的IXIA網絡測試儀如圖5所示。

圖5 實驗所需的IXIA網絡測試儀

將圖5所示的IXIA網絡測試儀使用網線連接在測試服務器上。不斷測試數據過濾模塊中的各項操作，確認規(guī)則管理、捕獲分析以及過濾部分需要達到預期結果。分別利用上述測試環(huán)境承載SDN網絡拓撲污染攻擊防御方法(方法1)、針對認知無線網絡大規(guī)模入侵的雙重防御方法(方法2)和基于相關信息熵和CNN-BiLSTM的工業(yè)控制系統(tǒng)入侵檢測方法(方法3)與網絡攻擊下電力系統(tǒng)混合入侵防御算法進行實驗，針對不同方法在電力系統(tǒng)中形成的入侵檢測部分，開啟互聯網在局域網中的傳輸，調用數據過濾模塊，確認防御算法形成的關聯性規(guī)則是否被激活，確認測試結果通過后，測試不同防御方法的性能。

實驗所用數據來自于KDD99入侵檢測數據集。由于數據量大，選取數據集中的部分數據進行測試，抽取了4種典型的攻擊數據作為實驗數據，4種異常類型分別是：拒絕服務攻擊(DOS)、來自遠程主機的未授權訪問(R2L)、未授權的本地超級用戶特權訪問(U2R)、端口監(jiān)視或掃描(PROBING)，本實驗選擇的攻擊包含了攻擊的四大類。如表1所示。

表1 攻擊數據

2.2 結果與分析

基于上述實驗準備，調整網絡測試儀的參數，以防火墻開啟狀態(tài)下的丟包率為對比指標，控制計算機發(fā)送恒定大小的數據包，測試時間為40 min，不同方法控制下計算機防火墻丟包率測試結果，如圖6所示。

分析圖6可知，控制計算機與網線直連的情況下，防火墻的丟包率應在0.2%左右，以此作為算法性能對比標準，按照如上表所示的測試結果可知，在方法1控制下數據包丟失最嚴重，說明該方法在網絡攻擊下能夠實現的關聯性規(guī)則數量較少，防御效果不明顯。方法2和方法3控制下的數據丟包率數值較方法1小，說明與方法1相比，方法2和方法3得到的防御關聯性規(guī)則更多，具有一定的防御效果。而文中研究的防御算法丟包率最小，可以實現的防御關聯性規(guī)則最多，丟包率保持在0.2%左右，說明該算法的防御效果最好。

使用上述測試中的配置，分別測試不同防御方法在計算機中的響應時間，具體包括：啟動防火墻、添加規(guī)則、點擊瀏覽、顯示電力系統(tǒng)入侵事件詳細信息、切換主界面等內容，匯總算法在計算機中的主要操作，統(tǒng)計算法實現單次操作的響應時間，結果如表2所示。

由表2各個操作對應的響應時間可知，由于網絡攻擊導致電力系統(tǒng)產生了不同程度的堵塞，不同方法控制下表現出了不同的響應時間，其中，方法1的平均響應時間最長，方法2和方法3的響應時間均高于所提算法，本文算法的最低響應時間僅為0.1 s，說明該算法的時效性更強，適合在電力系統(tǒng)防御中使用。這是由于該算法在建立入侵響應映射時，將防御映射響應變成一個可持續(xù)釋放的過程，減少防御過程中不必要的響應，以此縮短了防御所需時間。

網絡吞吐量是衡量電力系統(tǒng)應用效果的主要指標，將其作為指標比較不同方法的應用效果，結果如圖7所示。

圖7 不同方法下網絡吞吐量對比

分析圖7可知，在不同數據流下，所提算法的吞吐量明顯高于現有方法，在相同條件下，本文算法的網絡吞吐量最高值達到了800 Byte/s以上，充分驗證了該算法的應用性能。

3 總結

入侵防御是現今電力系統(tǒng)安全的重要研究方向，研究在網絡攻擊下電力系統(tǒng)混合入侵防御算法可以增強電力系統(tǒng)的安全，解決傳統(tǒng)防御算法存在的不足。本文針對網絡攻擊下的電力系統(tǒng)混合入侵防御進行了一定的研究，主要工作有以下幾個方面：

(1) 根據不同頻率類型的入侵數據，利用復雜映射決策模型建立入侵響應映射，能夠有效防御不同頻率入侵數據的攻擊;

(2) 通過建立入侵響應映射將防御映射響應變成一個可持續(xù)釋放的過程，縮短了防御時間，減少防御過程中不必要的響應，進一步縮短了響應時間;

(3) 根據入侵數據頻率變化規(guī)律，采用聚類算法將不同頻率狀態(tài)下無標簽入侵數據進行劃分，使入侵防御更具有針對性，進而使數據丟包率降低。

該算法沒有確定電力系統(tǒng)中的有效性指標，也沒有得到建立可量化的參數，建立的防御機制還存在一定的不足，仍需不斷地研究改進。