智能電網(wǎng)網(wǎng)絡(luò)安全態(tài)勢評估模型構(gòu)建與應(yīng)用

王捷 李晶 喻瀟 周亮

（1.國網(wǎng)湖北省電力有限公司電力科學(xué)研究院 湖北省武漢市 430000 2.國網(wǎng)湖北省電力有限公司 湖北省武漢市 430000）

近年來，國家電網(wǎng)、南方電網(wǎng)等國家大型電網(wǎng)企業(yè)已經(jīng)在不斷加強(qiáng)網(wǎng)絡(luò)安全防御體系的建設(shè)，但現(xiàn)有的防御體系主要還是在攻擊發(fā)生之后采取應(yīng)對措施，未能掌握主動權(quán)，提前預(yù)測和消除威脅。在智能電網(wǎng)中應(yīng)用和發(fā)展網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，能夠采集、理解與預(yù)測各類安全因素，準(zhǔn)確掌握電網(wǎng)的安全態(tài)勢，達(dá)到主動預(yù)防電網(wǎng)安全風(fēng)險的目的。本文通過對智能電網(wǎng)系統(tǒng)存在的各種常見網(wǎng)絡(luò)攻擊及危害進(jìn)行歸納分析，針對性構(gòu)建網(wǎng)絡(luò)安全態(tài)勢評估模型，為智能電網(wǎng)主動防御攻擊提供指導(dǎo)依據(jù)。

1 智能電網(wǎng)中的網(wǎng)絡(luò)安全態(tài)勢

1.1 態(tài)勢感知

網(wǎng)絡(luò)態(tài)勢感知關(guān)鍵技術(shù)包括態(tài)勢可視化技術(shù)、智能Agent 模型、數(shù)據(jù)采集和預(yù)處理等。智能電網(wǎng)日常網(wǎng)絡(luò)安全工作需要采集各類影響網(wǎng)絡(luò)安全變化的因素數(shù)據(jù)，對電網(wǎng)安全態(tài)勢進(jìn)行分析、理解、評估與預(yù)測。在智能電網(wǎng)系統(tǒng)的網(wǎng)絡(luò)環(huán)境中，可以采集的數(shù)據(jù)信息包括電網(wǎng)系統(tǒng)動態(tài)數(shù)據(jù)、設(shè)備安全狀態(tài)信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息、電網(wǎng)運(yùn)行環(huán)境信息、電網(wǎng)暫態(tài)故障信息、電網(wǎng)運(yùn)行穩(wěn)態(tài)數(shù)據(jù)等。利用網(wǎng)絡(luò)態(tài)勢感知技術(shù)，準(zhǔn)確監(jiān)測當(dāng)前網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，以及預(yù)判未來安全發(fā)展趨勢，可以在事前采取主動、有效的防御與反制措施，應(yīng)對即將出現(xiàn)的大規(guī)模攻擊，將極大轉(zhuǎn)變過去電力網(wǎng)絡(luò)安全管理的事后處理、被動防御的不利局面。

1.2 態(tài)勢理解與評估

對智能電網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)、趨勢的理解，即態(tài)勢理解，其關(guān)鍵是如何通過分析所采集的數(shù)據(jù)信息，準(zhǔn)確有效地評估當(dāng)前及將來的網(wǎng)絡(luò)安全態(tài)勢。態(tài)勢評估技術(shù)包括模糊邏輯、人工神經(jīng)網(wǎng)絡(luò)、貝葉斯分析等。評估方法的核心是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢評估模型[2]。許多態(tài)勢評估方法都是以傳統(tǒng)的計算機(jī)網(wǎng)絡(luò)作為研究對象，很少面向于智能電網(wǎng)網(wǎng)絡(luò)安全威脅的態(tài)勢評估。本文在智能電網(wǎng)環(huán)境下，以信息融合為基礎(chǔ)，提出一種新的網(wǎng)絡(luò)安全態(tài)勢評估模型。該模型利用廣域態(tài)勢感知技術(shù)（Wide-Area Situational Awareness，WASA）[3]采集和融合智能電網(wǎng)中外部攻擊信息、節(jié)點(diǎn)內(nèi)部脆弱性、攻擊自身威脅性等方面的數(shù)據(jù)信息，并通過將多種單一預(yù)測模型進(jìn)行有效結(jié)合，達(dá)到準(zhǔn)確評估和預(yù)測真實(shí)網(wǎng)絡(luò)安全態(tài)勢信息的目的。

2 基于智能電網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢評估模型

2.1 網(wǎng)絡(luò)安全態(tài)勢評估模型

本文所構(gòu)建的評估模型主要選取智能電網(wǎng)系統(tǒng)中的外部攻擊信息、節(jié)點(diǎn)內(nèi)部脆弱性、攻擊自身威脅性三方面的特征信息，通過融合與分析計算獲得網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果，如圖1所示。其中，外部攻擊信息主要包括系統(tǒng)中的網(wǎng)絡(luò)端口流量信息，以及各類電網(wǎng)設(shè)備的日志信息。通過WASA技術(shù)收集這些信息并進(jìn)行融合處理分析，獲得可能發(fā)生某類網(wǎng)絡(luò)安全攻擊的概率，也即攻擊發(fā)生概率。網(wǎng)絡(luò)中主機(jī)節(jié)點(diǎn)的內(nèi)部脆弱性等內(nèi)部環(huán)境因素是判斷攻擊是否可以成功的關(guān)鍵因素。某類攻擊發(fā)生后，由內(nèi)部環(huán)境、外部攻擊等因素共同決定攻擊成功的概率，也即攻擊成功概率。攻擊自身威脅性是當(dāng)該類型攻擊所依賴的網(wǎng)絡(luò)環(huán)境、漏洞利用等所有條件都與主機(jī)節(jié)點(diǎn)環(huán)境符合時，其所能造成的影響。已知攻擊可能帶來的最大影響，也即攻擊威脅。根據(jù)評估的結(jié)果，歸納和總結(jié)智能電網(wǎng)網(wǎng)絡(luò)安全態(tài)勢的真實(shí)發(fā)展變化規(guī)律，從而能夠?qū)ξ磥淼陌l(fā)展態(tài)勢進(jìn)行預(yù)測。同時可以建立可視化的態(tài)勢展示平臺，用于直觀表示各類數(shù)據(jù)信息，以及通過不同的圖形狀態(tài)展示數(shù)據(jù)信息的各種變化特征，從而為網(wǎng)絡(luò)安全人員提供準(zhǔn)確的參考與指導(dǎo)，幫助制定和實(shí)施相應(yīng)的防御和應(yīng)急處置措施。

2.2 智能電網(wǎng)網(wǎng)絡(luò)安全態(tài)勢預(yù)測

基于智能電網(wǎng)系統(tǒng)的特殊性，不能直接應(yīng)用傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)，因此需要新的組合預(yù)測技術(shù)。依據(jù)D-S（Dempster/Shafer）證據(jù)理論[4]，本文提出一種組合預(yù)測方法，將自回歸（Autoregressive，AR）[5]預(yù)測模型、最小二乘支持向量機(jī)（Least Squares Support Vector Machine，LSSVM）[6]預(yù)測模型以及徑向基函數(shù)（Radial Basis Function，RBF）[7]神經(jīng)網(wǎng)絡(luò)預(yù)測模型進(jìn)行結(jié)合，通過調(diào)整各模型的權(quán)重，有效融合各模型的預(yù)測結(jié)果，從而獲取更符合真實(shí)狀況的預(yù)測結(jié)果，以期達(dá)到網(wǎng)絡(luò)安全態(tài)勢預(yù)測的高精度要求。

2.2.1 權(quán)重提取

假設(shè)三種預(yù)測模型AR、LSSVM、RBF 對同一日的網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果為Ai（i=1,2,3），當(dāng)日網(wǎng)絡(luò)安全態(tài)勢的真實(shí)值為R。用e 表示模型預(yù)測誤差，即ei=Ai-R（i=1,2,3）。用ω 表示各模型的權(quán)重系數(shù)。則有如下計算公式：

預(yù)測方差：

2.2.2 權(quán)重融合

融合權(quán)重中，權(quán)重系數(shù)較大的預(yù)測值的預(yù)測精度更高，權(quán)重系數(shù)較小的預(yù)測值的預(yù)測精度更低，并滿足。建立識別框架，用m 表示各預(yù)測模型的基本可信度，即m（Ai）=ωi。將預(yù)測日前5日的網(wǎng)絡(luò)安全態(tài)勢預(yù)測值表示為mj（Ai）（j=1,2,3,4,5，i=1,2,3），對應(yīng)信度函數(shù)（Belief Function）[8]表示為Belj。首先融合前兩日的信度函數(shù)Bel=Bel1⊕Bel2；然后是二重融合，融合第三天預(yù)測值對應(yīng)信度及信度函數(shù)Bel=Bel1⊕Bel2⊕Bel3；依次進(jìn)行三重、四重融合，直至融合第五天的預(yù)測值后結(jié)束，最終的融合信度函數(shù)為Bel=Bel1⊕Bel2⊕Bel3⊕Bel4⊕Bel5，對應(yīng)的基本信度值表示為mc（Ai）。模型對預(yù)測日的融合權(quán)重結(jié)果即當(dāng)日基本信度值，通過迭代可計算得到每日網(wǎng)絡(luò)安全態(tài)勢預(yù)測值。

表1：三種模型預(yù)測誤差比較

3 智能電網(wǎng)網(wǎng)絡(luò)安全態(tài)勢評估模型應(yīng)用實(shí)例

3.1 三種模型預(yù)測結(jié)果對比

本文研究選取國家電網(wǎng)公司某區(qū)域單位所提供的實(shí)際網(wǎng)絡(luò)攻擊監(jiān)測數(shù)據(jù)，包括攻擊時間長度、攻擊深度等級、網(wǎng)絡(luò)攻擊方式等，利用所構(gòu)建的評估模型對2019年10月11-15日的網(wǎng)絡(luò)安全態(tài)勢值進(jìn)行預(yù)測計算。

首先使用AR 模型進(jìn)行基本預(yù)測。以前10日（10月1-10日）的網(wǎng)絡(luò)安全態(tài)勢真實(shí)值為依據(jù)，獲取后5日（10月11-15日）的預(yù)測值。

然后使用LSSVM 和RBF 模型進(jìn)行基本預(yù)測，同樣依據(jù)前10日數(shù)據(jù)預(yù)測后5日數(shù)據(jù)，預(yù)測結(jié)果分別如圖2、圖3所示。

計算并對比三種模型的預(yù)測誤差，結(jié)果如表1所示。結(jié)果表明，AR 模型能夠預(yù)測網(wǎng)絡(luò)安全態(tài)勢的基本走勢，但存在較大誤差。與AR 模型相比，LSSVM 模型的網(wǎng)絡(luò)安全態(tài)勢預(yù)測值與真實(shí)值相對更接近，但也存在一定差異。RBF 神經(jīng)網(wǎng)絡(luò)模型預(yù)測誤差為三種模型中最小。

3.2 基于D-S證據(jù)理論的組合預(yù)測結(jié)果

根據(jù)D-S 證據(jù)理論，結(jié)合前10日的歷史預(yù)測數(shù)據(jù)，融合三種基本預(yù)測模型的權(quán)重，對后5日的網(wǎng)絡(luò)安全態(tài)勢值進(jìn)行組合預(yù)測。首先預(yù)測第6-10日網(wǎng)絡(luò)安全態(tài)勢，獲得每日權(quán)重。根據(jù)合成法則多重融合模型權(quán)重，多重融合結(jié)果即為預(yù)測日的模型權(quán)重。通過調(diào)整優(yōu)化預(yù)測模型的融合，獲得預(yù)測日更精確的預(yù)測結(jié)果。即：

（1）提取權(quán)重。綜合AR 模型、LSSVM 模型、RBF 神經(jīng)網(wǎng)絡(luò)模型的預(yù)測結(jié)果，計算第6-10日的對應(yīng)權(quán)重。

（2）權(quán)重融合。多重融合對應(yīng)的信度，根據(jù)信度函數(shù)計算獲得各種預(yù)測模型在待預(yù)測日的權(quán)重。

基于本文組合預(yù)測評估模型對10月11-15日的最終預(yù)測結(jié)果如圖4所示?？梢娖浣Y(jié)果與實(shí)際網(wǎng)絡(luò)安全態(tài)勢值最接近，并且平均相對誤差、絕對誤差均最小。該應(yīng)用實(shí)例證明，本文的組合預(yù)測模型能夠獲得比傳統(tǒng)單一預(yù)測模型更為精確的預(yù)測結(jié)果。

4 總結(jié)

電力系統(tǒng)與人們的生產(chǎn)生活密切相關(guān)。現(xiàn)代智能電網(wǎng)系統(tǒng)不斷發(fā)展與開放，不可避免面臨網(wǎng)絡(luò)安全的問題。隨著信息與網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)攻擊方式更加復(fù)雜多樣，對智能電網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全提出了更高的要求。為保證智能電網(wǎng)的安全穩(wěn)定運(yùn)行，需要加強(qiáng)和提升對網(wǎng)絡(luò)攻擊和未知威脅的主動防御和提前預(yù)測能力。本文綜合應(yīng)用廣域態(tài)勢感知技術(shù)、自回歸模型、最小二乘支持向量機(jī)模型、RBF 神經(jīng)網(wǎng)絡(luò)模型和D-S 證據(jù)理論，構(gòu)建了一種適用于智能電網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢評估模型。通過應(yīng)用實(shí)例表明，該模型能夠取得較好的預(yù)測精度，能夠有效描述智能電網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢，從而能夠為網(wǎng)絡(luò)安全措施的制定與實(shí)施提供較為科學(xué)的指導(dǎo)依據(jù)。