面向新能源場站的主動監(jiān)視與預(yù)警技術(shù)研究

金學(xué)奇，蘇 達，毛南平，王立建，梁 野，郭抒然

（1.國網(wǎng)浙江省電力有限公司，杭州 310007；2.北京科東電力控制系統(tǒng)有限責(zé)任公司，北京 100192；3.國網(wǎng)浙江省電力有限公司電力科學(xué)研究院，杭州 310014；4.國網(wǎng)浙江省電力有限公司杭州供電公司，杭州 310009）

0 引言

目前，國內(nèi)外電力系統(tǒng)的網(wǎng)絡(luò)安全形勢嚴峻，如：伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊，導(dǎo)致離心機報廢；烏克蘭電網(wǎng)遭受網(wǎng)絡(luò)攻擊導(dǎo)致大面積停電；2018 年3 月印度電力公司遭到黑客的攻擊，竊取用戶賬單數(shù)據(jù)從而向電力公司勒索；同樣是在2018 年3 月，國內(nèi)某省調(diào)控中心內(nèi)網(wǎng)安全監(jiān)控平臺出現(xiàn)了大量告警，經(jīng)分析確認告警信息為某風(fēng)電場在通過省調(diào)接入網(wǎng)非實時縱向加密認證裝置時，被攔截到不符合安全策略的非法訪問，導(dǎo)致電力監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)裸露于公網(wǎng)，給電網(wǎng)安全運行帶來極大隱患?？梢?，針對電力領(lǐng)域的網(wǎng)絡(luò)安全事件，可能發(fā)生在任意一個環(huán)節(jié)，一個小的漏洞就可能導(dǎo)致局部甚至全網(wǎng)的崩潰。

文獻[1]對國內(nèi)電網(wǎng)調(diào)度自動化系統(tǒng)的發(fā)展進行了回顧，闡述了現(xiàn)有電力調(diào)控系統(tǒng)的總體架構(gòu)及重大技術(shù)突破和應(yīng)用。其中在對未來技術(shù)發(fā)展方向描述中，特別提到對電力二次系統(tǒng)的安全防護，應(yīng)當(dāng)構(gòu)建可信計算和安全免疫技術(shù)的安全閥防護體系，由結(jié)構(gòu)安全、本體安全、基因安全、物理安全和安全管理等5 個方面構(gòu)成。可信計算和安全免疫技術(shù)極大地提高了整個計算機網(wǎng)絡(luò)的可靠性，但“三分技術(shù)、七分管理”，針對一些設(shè)備的操作過程及人員安全行為，技術(shù)措施其實難以做到全覆蓋。針對上述情況，采用網(wǎng)絡(luò)安全監(jiān)視和預(yù)警技術(shù)是安全防護的重要手段之一，其中安全監(jiān)視可以幫助網(wǎng)絡(luò)和系統(tǒng)管理員在影響業(yè)務(wù)連續(xù)性之前識別可能的問題，并在出現(xiàn)問題前及時預(yù)警或及時采取安全防御措施，甚至對攻擊方進行溯源。

文獻[2]設(shè)計了一種分布式網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，將網(wǎng)絡(luò)劃分為若干個檢測域，每個檢測域包含的檢測對象有服務(wù)器、主機、交換機等，然后在每一個網(wǎng)絡(luò)段安裝一個完整的網(wǎng)絡(luò)監(jiān)控中心，負責(zé)對各個網(wǎng)段的數(shù)據(jù)信息采集，并及時分析入侵網(wǎng)絡(luò)的數(shù)據(jù)信息，將結(jié)果傳送給網(wǎng)絡(luò)預(yù)警中心，預(yù)警中心對數(shù)據(jù)包的檢測手段主要有誤用檢測和異常檢測等，最后根據(jù)綜合分析的結(jié)果，實現(xiàn)網(wǎng)絡(luò)安全的實時報警、安全態(tài)勢評估及攻擊識別。

文獻[3]則采用了一種“笨”方法，針對核電廠的實時信息監(jiān)控系統(tǒng)，主機設(shè)備、網(wǎng)絡(luò)設(shè)備和通信通道都采用冗余備份措施，從而保證數(shù)據(jù)安全、業(yè)務(wù)安全、通信安全和電源安全等。

通過上述研究可以看出，目前網(wǎng)絡(luò)安全監(jiān)視和預(yù)警主要還是通過被動防御措施來實現(xiàn)，單一的安全手段不能建立一個良好的循環(huán)，數(shù)據(jù)之間缺乏協(xié)作和共享。其次，一些預(yù)警技術(shù)也過于簡單，不能很好反映資產(chǎn)的重要性，也不能在安全策略改變時改變風(fēng)險評估。本文基于現(xiàn)有安全研究基礎(chǔ)，提出了一種主動網(wǎng)絡(luò)安全保護系統(tǒng)，不但能主動采集網(wǎng)絡(luò)數(shù)據(jù)，對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)狀態(tài)進行監(jiān)視，還能對動態(tài)安全事件（如：操作行為等）進行感知、預(yù)警和處置。

1 新能源電站現(xiàn)狀

1.1 新能源電站網(wǎng)絡(luò)環(huán)境

新能源電站是電力系統(tǒng)的上游，其運行穩(wěn)定性可能會影響局部或斷面地區(qū)電網(wǎng)的運行穩(wěn)定性。以風(fēng)電為例，典型風(fēng)電場站控層如圖1 所示。

安全Ⅰ區(qū)業(yè)務(wù)主要包含風(fēng)機監(jiān)控系統(tǒng)、升壓站監(jiān)控系統(tǒng)、AGC/AVC（自動發(fā)電控制/自動電壓無功控制）及PMU（電源管理單元）等，安全Ⅱ區(qū)業(yè)務(wù)主要包含故障錄波、電能量采集、功率預(yù)測及狀態(tài)監(jiān)測系統(tǒng)等，管理信息大區(qū)主要包含天氣預(yù)報、氣象設(shè)備及辦公信息系統(tǒng)等。

圖1 風(fēng)電場站控層

1.2 新能源電站安全防護

新能源場站主機及網(wǎng)絡(luò)、安防等軟硬件設(shè)備，是站控層中重要的組成部分，數(shù)量眾多、資產(chǎn)價值較高，面臨的安全風(fēng)險極大。一方面，這些設(shè)備是各類業(yè)務(wù)數(shù)據(jù)和信息的主要載體，數(shù)據(jù)和信息是電站信息資產(chǎn)的重要組成部分；另一方面，與常規(guī)電力監(jiān)控系統(tǒng)不同的是，新能源電站的發(fā)電終端數(shù)量較多（如：風(fēng)機控制器、光伏逆變器等），病毒及惡意代碼很容易通過發(fā)電終端滲透到站控層及各類業(yè)務(wù)應(yīng)用中，且多采用工控協(xié)議，標準化程度較低，所以可能還涉及到工控安全，給電力監(jiān)控系統(tǒng)的整體安全帶來了更多危害性[4]。如圖1 所示，現(xiàn)階段新能源場站電力監(jiān)控系統(tǒng)已經(jīng)采取了一定的安全保障措施，如：邊界防護、安全分區(qū)等。但這些傳統(tǒng)的安全手段只能對特定的安全事件進行控制，隨著網(wǎng)絡(luò)攻擊手段的多樣化，來自內(nèi)網(wǎng)的安全攻擊逐漸增多，如何有效防止來自內(nèi)部的安全問題，如：管理或運維人員的誤操作行為以及惡意攻擊等，是新的研究方向。內(nèi)部攻擊所造成的危害遠比外部入侵大得多，且攻擊手段隱秘，如果不加以有效的遏制，將造成無法估量的損失。因此對網(wǎng)絡(luò)安全事件不能僅限于靜態(tài)的事后防御，更應(yīng)在事前即感應(yīng)，并采取一定規(guī)避措施，這樣不僅能夠使安全事件影響最小化，也間接提高了電力系統(tǒng)的運行經(jīng)濟性和用戶滿意度。

2 安全監(jiān)視與預(yù)警關(guān)鍵技術(shù)

常規(guī)電力監(jiān)控系統(tǒng)安全防護措施，通常是使用各種設(shè)備來保護網(wǎng)絡(luò)的不同部分，例如：通過獲取防火墻日志來監(jiān)控未經(jīng)授權(quán)的訪問，入侵檢測系統(tǒng)通過監(jiān)測流量來發(fā)現(xiàn)DDoS（拒絕服務(wù)）攻擊等。但由于生產(chǎn)廠商的設(shè)計思路和安全理念差異，這些防護手段雖然具有一定效果，但其之間通常缺乏統(tǒng)一的協(xié)作和管理，產(chǎn)生的事件信息難以進行有效的關(guān)聯(lián)和整合，當(dāng)發(fā)生安全事件時，需要在不同的設(shè)備上分別進行操作，對安全事件進行的處理和診斷比較遲緩，客觀上增加了安全防護的難度，也沒有使防護效果最大化。 基于此，可以通過采用主動數(shù)據(jù)采集、流量監(jiān)視、集中預(yù)警及安全阻斷等技術(shù)，整合相關(guān)網(wǎng)絡(luò)資源，將網(wǎng)絡(luò)安全的可靠性最大化。

2.1 主動數(shù)據(jù)采集（嗅探式）

主動數(shù)據(jù)采集方式即嗅探式采集，與之前被動采集不同的是，主動采集agent 程序是部署在網(wǎng)絡(luò)安全保護裝置上的，整個采集過程分為2 個階段：第一階段，在網(wǎng)絡(luò)安全保護裝置中部署的agent 程序現(xiàn)向目標設(shè)備發(fā)送請求獲取列表項，打開TCP 連接，目標設(shè)備響應(yīng)并返回列表，包括數(shù)據(jù)的key，delay，lastlogsize 及time 等屬性，agent 收到后響應(yīng)成功，并關(guān)閉TCP 連接；第二階段，agent 再次發(fā)送請求，開始收集數(shù)據(jù)，包括目標設(shè)備的hostname，version，value，clock 及number 等，收集完成后反饋成功或失敗條目，然后關(guān)閉TCP 連接[5]。這種方式可以提高數(shù)據(jù)采集的范圍和靈活性。

2.2 流量分析

通過流量分析可以針對新型的網(wǎng)絡(luò)攻擊手段和網(wǎng)絡(luò)病毒有很好的檢測效果，能大大降低由于對攻擊手段不了解而發(fā)生漏報的可能性，在產(chǎn)生嚴重破壞前找到攻擊源頭，將網(wǎng)絡(luò)損失降低到最小[6]。具體分析過程為：

（1）交換機數(shù)據(jù)通過SNMP 協(xié)議采用統(tǒng)計分析方法，從網(wǎng)絡(luò)安全保護裝置獲取的數(shù)據(jù)中提取樣本數(shù)據(jù)，根據(jù)樣本數(shù)據(jù)分布特征和正常時的特征進行比較，判斷是否發(fā)生了流量變化，常用的網(wǎng)絡(luò)協(xié)議主要有SMTP，F(xiàn)TP 及ICMP 等，將正常流量值與異常數(shù)據(jù)量進行對比，符合某異常行為出現(xiàn)初期時的流量特征，即可判斷發(fā)生了流量異常，但該過程尚不能確定攻擊的類型及源頭。

（2）在第二步過程中，通過篩選出不同IP 地址流量數(shù)，對流量較大的IP 地址源進行排名，從而確定存在流量異常行為的設(shè)備。利用流量分析也可以實現(xiàn)對網(wǎng)絡(luò)非法外聯(lián)及非法設(shè)備接入行為的識別，在常規(guī)電力系統(tǒng)內(nèi)網(wǎng)中，業(yè)務(wù)流量通常較為固定，對不同業(yè)務(wù)可以根據(jù)其流量特性設(shè)定一個閾值，如某一個時間段顯示某業(yè)務(wù)進行活動的連接數(shù)量、峰值流量和選定時間范圍內(nèi)的均值流量等數(shù)據(jù)，如果采集到的流量超出這個閾值，即可判斷可能產(chǎn)生了非法外聯(lián)。

2.3 安全預(yù)警

根據(jù)事件嚴重程度將預(yù)警機制設(shè)為3 種可能：一是無效預(yù)警，攻擊行為確實發(fā)生，但對設(shè)備沒有影響的告警；二是錯誤預(yù)警，由于錯誤判斷而產(chǎn)生的告警，將正常的網(wǎng)絡(luò)行為看成入侵行為；最后一個才是真正的安全威脅預(yù)警[7]。在保護系統(tǒng)的知識庫中收集歷史的告警信息，包括攻擊成功必須依賴的條件，漏洞、操作系統(tǒng)、端口、服務(wù)及應(yīng)用系統(tǒng)的狀態(tài)等[8]，將具體事件根據(jù)發(fā)生時間進行切段，找出安全事件發(fā)生的高峰期，然后統(tǒng)計某一段時期內(nèi)不同安全事件發(fā)生頻率排名，通過對歷史數(shù)據(jù)不斷的迭代，當(dāng)安全行為構(gòu)成觸發(fā)條件，網(wǎng)絡(luò)安全保護系統(tǒng)立即響應(yīng)并給出風(fēng)險預(yù)警。例如：針對某安全事件，將采集到的信息，如登錄信息（A）、端口狀態(tài)（B）、非法設(shè)備接入（C）及非法外聯(lián)（D）等事件，每個安全狀態(tài)都有一個安全系數(shù)：

式中：S 代表最終的安全估值系數(shù)；β 代表權(quán)重；W 代表嚴重程度；P 代表概率。對事件的嚴重程度可通過相關(guān)安全事件的累加判斷，系數(shù)越低代表安全性越差。

經(jīng)過較長時間積累，預(yù)測準確度也會越來越高[9]，但該預(yù)警只作為發(fā)生概率的判斷，不作為最終決策的依據(jù)。

2.4 事件處置

另一方面，預(yù)警后人工可能無法快速對事件做出反應(yīng)，因此需要有一種手段對事件進行預(yù)處置，對安全事件的及時處置可以避免事故的進一步蔓延，最大程度減少對整個網(wǎng)絡(luò)的損害。

文獻[10]提出了一種基于PKI 技術(shù)的網(wǎng)絡(luò)邊界安全監(jiān)控方法，該方法通過建立基礎(chǔ)信任體系，先向訪問目標用戶頒發(fā)強認證數(shù)字證書，所有用戶必須通過數(shù)字證書進行身份認證才能進入內(nèi)網(wǎng)，然后對網(wǎng)絡(luò)流量和認證信息進行監(jiān)控和關(guān)聯(lián)分析，判斷是否存在DoS，flood 等攻擊，同時還能準確定位入侵來源，并向攻擊源發(fā)出fin 包中斷會話或通知認證網(wǎng)關(guān)，拒絕來自攻擊源的終端或用戶接入。

本文在網(wǎng)絡(luò)安全保護系統(tǒng)中，嵌入了安全處置功能，可以實現(xiàn)對事故的鏈路阻斷、端口禁用等；其中鏈路阻斷以TCP 協(xié)議為例，在發(fā)現(xiàn)網(wǎng)絡(luò)中TCP 連接異常后，可以向目標主機發(fā)送一個帶有RST 標志位的數(shù)據(jù)包，包括設(shè)備的源、目的地址以及端口號等，目標主機收到RST 包后，就會認為通信對端發(fā)生了異常，從而馬上關(guān)閉自己的連接[11]。端口禁用則利用SNMP 協(xié)議，當(dāng)通過流量分析手段發(fā)現(xiàn)接入該端口的訪問異常時，SNMP 協(xié)議的nms 主動向Agent 發(fā)出set request報文請求，Agent 接收到請求后，向交換機發(fā)出shutdown（關(guān)閉端口）命令，然后生成response 報文，并將報文返回給nms。在實際應(yīng)用過程中，Agent程序在發(fā)現(xiàn)設(shè)備重新啟動等異常情況時，也會主動向nms 發(fā)送Trap 報文，匯報所發(fā)生的事件。

3 應(yīng)用實例

基于上述關(guān)鍵技術(shù)基礎(chǔ)，設(shè)計了一套網(wǎng)絡(luò)安全保護系統(tǒng)，在浙江湖州地區(qū)某光伏電站部署該系統(tǒng)，依托保護系統(tǒng)自身對網(wǎng)絡(luò)安全事件的感知能力，不僅可以實現(xiàn)對站內(nèi)主機、網(wǎng)絡(luò)及安防等設(shè)備運行狀況的監(jiān)視，還可以對人員及設(shè)備的操作行為進行主動分析和預(yù)警[12]，同時支持對安全事件的隔離和阻斷，最終由人機界面展示結(jié)果。

3.1 系統(tǒng)部署

監(jiān)視與預(yù)警系統(tǒng)采用旁路的形式部署在交換機上，設(shè)備按功能劃分為網(wǎng)絡(luò)安全保護裝置及網(wǎng)絡(luò)安全平臺。其中，網(wǎng)絡(luò)安全保護裝置分別部署在站控層安全Ⅰ區(qū)和Ⅱ區(qū)，實現(xiàn)對生產(chǎn)控制大區(qū)數(shù)據(jù)的主動采集和保護動作執(zhí)行功能，網(wǎng)絡(luò)安全平臺只部署在站控層安全Ⅱ區(qū),主要對采集到的數(shù)據(jù)進行關(guān)聯(lián)、存儲、查詢和深度分析等，如圖2 所示。

圖2 系統(tǒng)拓撲

3.2 功能描述

系統(tǒng)處理流程如圖3 所示。

在網(wǎng)絡(luò)安全保護裝置上部署Agent 程序，實現(xiàn)對主機信息的數(shù)據(jù)采集，通過SNMP 協(xié)議實現(xiàn)對網(wǎng)絡(luò)設(shè)備和通信數(shù)據(jù)的采集等，通過Syslog 日志實現(xiàn)對安防設(shè)備信息采集[13]，信息格式如表1所示。

圖3 處理流程

表1 采集信息類別

對于數(shù)據(jù)的分析與處理,關(guān)鍵在于對信息的識別，清洗不需要的垃圾和噪聲數(shù)據(jù)，然后從安全事件的數(shù)據(jù)中提取特征值，依據(jù)預(yù)先定義的字段或參數(shù)采集聚合數(shù)據(jù)，根據(jù)發(fā)生頻率和前后因果關(guān)系等相關(guān)性進行聚類，最后根據(jù)事件的嚴重程度和發(fā)生概率進行風(fēng)險評估，識別攻擊者真正的攻擊意圖，并預(yù)測下一步行動[14]，最后根據(jù)分析結(jié)果，做出相應(yīng)安全處置。如圖4 所示。

圖4 分析預(yù)警流程

3.3 系統(tǒng)測試

為了驗證上述網(wǎng)絡(luò)安全保護系統(tǒng)的實際效果，挑選一款國外的網(wǎng)絡(luò)安全監(jiān)測工具同時部署在該光伏電站，與網(wǎng)絡(luò)安全保護系統(tǒng)進行比較。SSU（影子安全單元）的原理是以混雜工作模式捕獲所有網(wǎng)絡(luò)流量，并使用規(guī)則化過濾機制對其進行預(yù)處理，對捕獲數(shù)據(jù)的協(xié)議流進行解碼和分析，以查找TCP 和Modbus 協(xié)議等數(shù)據(jù)單元中的錯誤或不一致。SSU 能夠解碼每個命令的語義并跟蹤主站和被保護設(shè)備之間交換的消息，從而可以執(zhí)行完整性檢查，檢測未經(jīng)授權(quán)的訪問或偵察嘗試。該模塊還能提取有關(guān)網(wǎng)絡(luò)流量的信息，例如數(shù)據(jù)包速率或消息到達時間，這可用于診斷和發(fā)現(xiàn)惡意軟件感染、分布式等問題DDoS、洪水或暴力攻擊、任意設(shè)備故障，甚至是零日威脅。

3.3.1 測試環(huán)境

為了保證測試的可比性，SSU 工具部署在與網(wǎng)絡(luò)安全保護系統(tǒng)相同節(jié)點，如圖5 所示，2 種系統(tǒng)分別對交換機的數(shù)據(jù)包進行采集，在此過程中，人為制造一些安全事件，觀察2 種安全監(jiān)測工具對安全事件的響應(yīng)及處理方式，以驗證其準確性與可靠性。

圖5 測試拓撲

3.3.2 測試方法

（1）安全策略制定

依據(jù)36 號文《電力監(jiān)控系統(tǒng)安全防護評估規(guī)范》及《信息系統(tǒng)安全等級保護基本要求》，對2套網(wǎng)絡(luò)安全監(jiān)測工具設(shè)定相同安全策略，包括邊界安全策略、主機安全策略及通信安全策略等。例如：當(dāng)用戶訪問主機或服務(wù)器時，需要進行不同級別的用戶認證，并由此控制用戶的訪問權(quán)限；IP 及MAC 地址綁定，凡是IP 或MAC 地址不匹配的都不允許通過防火墻進入[15]。

（2）安全事件預(yù)置

測試預(yù)置以下安全事件：非授權(quán)IP 或MAC地址訪問站內(nèi)業(yè)務(wù)；主機網(wǎng)卡流量超過最大限值；非電力業(yè)務(wù)常用網(wǎng)絡(luò)協(xié)議訪問；管理員賬戶修改普通賬戶權(quán)限。

（3）測試結(jié)果

根據(jù)上述測試辦法，對光伏電站站控層的整體進行掃描，判斷是否滿足該測試場景下的安全策略要求，2 種工具的采集列情況如表2 和表3所示，表2 為SSU 工具掃描結(jié)果，表3 為網(wǎng)絡(luò)安全保護系統(tǒng)掃描結(jié)果。

表2 SSU 事件告警

3.3.3 測試結(jié)果分析

通過測試情況看，SSU 工具雖然也較為全面地監(jiān)控了組網(wǎng)部件的安全事件，但對每個事件的描述較為粗糙，僅說明了有事件發(fā)生，但未對事件源進行定位，且沒有相關(guān)安全處置手段，后續(xù)還需要有人工進行排查和分析，對使用者的參考并不直觀，時效性較差。另一方面，SSU 工具屬于單兵作戰(zhàn)，無安全處置功能，無事后的深度分析及復(fù)盤，因此其可用性一般。網(wǎng)絡(luò)保護系統(tǒng)則對事件的發(fā)生過程進行了詳細記錄，包括時間、主機名稱、IP、地點、事件級別、告警次數(shù)及詳細內(nèi)容等，數(shù)據(jù)采集面較廣、監(jiān)視內(nèi)容集中，且具備事件處置能力及建議，相比原先的人工篩查，信息覆蓋面得到了較大提升，最大程度地保證了光伏電站站控層網(wǎng)絡(luò)的安全性。

表3 網(wǎng)絡(luò)安全保護系統(tǒng)告警

4 結(jié)語

上述研究成果有效地解決了浙江地區(qū)新能源廠站（包括集中式、分布式及微電網(wǎng)等形式）接入大電網(wǎng)后，對電力信息網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性問題，結(jié)合之前電力系統(tǒng)積累的大量攻擊案例，從漏洞分析、攻擊行為預(yù)警、攻擊趨勢預(yù)測建立了一套完整的安全監(jiān)控與預(yù)警體系，針對新能源廠站攻擊點多面廣特點，充分發(fā)揮其實時監(jiān)控及提前預(yù)判的技術(shù)優(yōu)勢。后續(xù)應(yīng)結(jié)合新興技術(shù)（大數(shù)據(jù)、人工智能、區(qū)塊鏈等）持續(xù)深入探索網(wǎng)絡(luò)安全態(tài)勢感知能力研究，科學(xué)結(jié)合電力行業(yè)安全防護標準的變化，優(yōu)化系統(tǒng)規(guī)范，適應(yīng)網(wǎng)絡(luò)安全的動態(tài)發(fā)展趨勢。當(dāng)然，所謂“三分技術(shù)七分管理”，需要對網(wǎng)絡(luò)安全提出更多的戰(zhàn)略性指導(dǎo)意見，才能使電力監(jiān)控系統(tǒng)的安全邊際最大化。