基于SOAR的電力5G MEC安全解決方案

摘" 要： 5G技術(shù)與MEC技術(shù)的融合為電力行業(yè)的升級(jí)轉(zhuǎn)型提供了有力的支撐，但電力5G MEC采用了新型架構(gòu)和部署，傳統(tǒng)的安全防護(hù)措施無(wú)法有效應(yīng)對(duì)新環(huán)境下出現(xiàn)的各類安全威脅和挑戰(zhàn)。為此，提出一種基于安全編排自動(dòng)化與響應(yīng)技術(shù)的電力5G MEC安全解決方案。依據(jù)智能電網(wǎng)業(yè)務(wù)在接入的高開(kāi)放性、異構(gòu)終端連接的海量性、業(yè)務(wù)的低延時(shí)性和威脅處理的低干預(yù)性四個(gè)方面的安全需求特征，針對(duì)終端安全威脅、APP安全威脅、接入安全威脅和威脅處置不及時(shí)等問(wèn)題，提出將SOAR組件引入5G MEC，實(shí)現(xiàn)威脅情報(bào)收集、安全事件響應(yīng)編排和執(zhí)行自動(dòng)化；并設(shè)計(jì)云邊、邊邊協(xié)同的層級(jí)MEC部署方案，提供整體聯(lián)動(dòng)的安全保障。仿真實(shí)驗(yàn)結(jié)果表明，所設(shè)計(jì)的方案可以依據(jù)劇本快速靈活部署，反應(yīng)時(shí)間短，可有效抵御常見(jiàn)攻擊。

關(guān)鍵詞： 智能電網(wǎng)； 5G MEC技術(shù)； SOAR； 安全威脅； 分級(jí)協(xié)同部署； 安全解決方案

中圖分類號(hào)： TN929.5?34" " " " " " " " " " " " " 文獻(xiàn)標(biāo)識(shí)碼： A" " " " " " " " " " " "文章編號(hào)： 1004?373X（2024）10?0151?08

SOAR?based 5G MEC security solution for electric power

Abstract： The integration of 5G technology and MEC （multi?access edge computing） technology can provide strong support for the upgrading and transformation of the electric power industry， and a new type of architecture and deployment is applied in the electric power 5G MEC， and the traditional security protection measures can not effectively respond to all kinds of security threats and challenges that appear in the new environment. A security solution for electric power 5G MEC based on security orchestration automation and response technology is proposed. According to the security demand characteristics of smart grid services in four aspects： high openness of access， massive connectivity of heterogeneous terminals， low latency of services， and low intervention of threat processing， and in allusion to the problems of terminal security threat， APP security threat， access security threat， and untimely disposal of threats， SOAR components are introduced into 5G MEC to realize threat intelligence collection， security event response orchestration and execution automation. The cloud?side and edge?side collaborative tier MEC deployment scheme is used to provide overall linked security assurance. The simulation experimental results show that the scheme can be deployed quickly and flexibly according to the script， with short response time， and can effectively defend against common attacks.

Keywords： smart grid; 5G MEC technology; SOAR; security threat; hierarchical collaborative deployment; security solution

0" 引" 言

5G MEC（Multi?Access Edge Computing）是5G網(wǎng)絡(luò)中嶄露頭角的重要技術(shù)領(lǐng)域之一。它融合了5G移動(dòng)通信和邊緣計(jì)算，為移動(dòng)通信和應(yīng)用提供了更高的性能和更低的延遲。目前5G MEC已逐步應(yīng)用于生活的各個(gè)方面，如自動(dòng)駕駛、工業(yè)自動(dòng)化和智能電網(wǎng)等[1]。

智能電網(wǎng)作為我國(guó)“碳達(dá)峰、碳中和”的重要基礎(chǔ)設(shè)施支撐，其發(fā)展與“雙碳”目標(biāo)緊密相連。推動(dòng)智能電網(wǎng)建設(shè)可以有效提高能源利用效率，優(yōu)化資源配置，促進(jìn)可再生能源的發(fā)展，降低碳排放，提高供電可靠性以及促進(jìn)節(jié)能減排。根據(jù)電力二次系統(tǒng)的特點(diǎn)，電力網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩類。生產(chǎn)控制大區(qū)分為控制區(qū)（安全區(qū)Ⅰ）和非控制區(qū)（安全區(qū)Ⅱ），信息管理大區(qū)分為生產(chǎn)管理區(qū)（安全區(qū)Ⅲ）和管理信息區(qū)（安全區(qū)Ⅳ）。生產(chǎn)控制大區(qū)的業(yè)務(wù)類型主要包括配網(wǎng)差動(dòng)保護(hù)、廣域同步向量測(cè)量、配網(wǎng)自動(dòng)化及其三遙等，此類業(yè)務(wù)對(duì)安全性、時(shí)延和網(wǎng)絡(luò)接入要求嚴(yán)格，但對(duì)傳輸速率的要求不高。管理信息大區(qū)的業(yè)務(wù)類型主要包括視頻監(jiān)控、電力應(yīng)急、無(wú)人巡檢和充電樁檢測(cè)等，這類業(yè)務(wù)對(duì)時(shí)延和網(wǎng)絡(luò)接入的要求不嚴(yán)格，但對(duì)數(shù)據(jù)傳輸帶寬的要求高[2]。

5G MEC與智能電網(wǎng)的融合能夠滿足電網(wǎng)業(yè)務(wù)對(duì)時(shí)延、網(wǎng)絡(luò)接入和傳輸帶寬的要求，但隨之也帶來(lái)了新的安全威脅和挑戰(zhàn)，如APP安全威脅、終端安全威脅及接入網(wǎng)安全威脅，依賴傳統(tǒng)的人工干預(yù)與介入模式難以保證此類威脅處理的及時(shí)性和正確性。

安全編排自動(dòng)化與響應(yīng)（Security Orchestration，" Automation and Response， SOAR）的概念最早于2015年由Gartner提出，這是一種能夠整合各類安全數(shù)據(jù)，為安全運(yùn)營(yíng)團(tuán)隊(duì)提供報(bào)告、分析和管理能力的平臺(tái)，具有安全事件響應(yīng)、安全編排與自動(dòng)化以及威脅與脆弱性管理的運(yùn)營(yíng)能力[3]。

本文提出一種基于SOAR的電力5G MEC安全解決方案，在MEC中引入SOAR，充分融合數(shù)據(jù)、工具、流程以及人的安全技能，從而達(dá)到電力5G MEC安全運(yùn)營(yíng)的目的。本文首先分析5G MEC與智能電網(wǎng)的融合場(chǎng)景下，電網(wǎng)業(yè)務(wù)在接入的高開(kāi)放性、異構(gòu)終端連接的海量性、業(yè)務(wù)的低延時(shí)性和威脅處理的低干預(yù)性四個(gè)方面的安全需求特征，以及由此帶來(lái)的終端安全威脅、APP安全威脅、接入安全威脅和威脅處置不及時(shí)等問(wèn)題；其次，提出一種基于SOAR的電力5G MEC安全解決方案，將SOAR組件引入5G MEC，實(shí)現(xiàn)威脅情報(bào)收集、安全事件響應(yīng)編排和執(zhí)行自動(dòng)化，并設(shè)計(jì)云邊、邊邊協(xié)同的層級(jí)MEC部署方案，提供整體聯(lián)動(dòng)的安全保障；最后，基于W5 SOAR實(shí)現(xiàn)了電力5G MEC安全解決方案，并針對(duì)所面臨的兩類主要威脅進(jìn)行測(cè)試，驗(yàn)證了所提方案的可行性和有效性。

1" 相關(guān)工作

針對(duì)5G MEC的安全問(wèn)題，文獻(xiàn)[4]研究MEC在5G中的安全問(wèn)題和對(duì)策，介紹了在MEC和5G安全領(lǐng)域主要的研究機(jī)構(gòu)和團(tuán)體、5G應(yīng)用所面臨的潛在問(wèn)題和挑戰(zhàn)以及相應(yīng)的技術(shù)解決方案。文獻(xiàn)[5]分析5G邊緣計(jì)算環(huán)境中的安全威脅，從網(wǎng)絡(luò)、MEC系統(tǒng)和應(yīng)用、虛擬化三個(gè)角度探討了MEC所面臨的安全威脅，并介紹了應(yīng)對(duì)此類安全威脅的技術(shù)。文獻(xiàn)[6]聚焦MEC的安全與隱私問(wèn)題，指出了現(xiàn)有研究中對(duì)安全問(wèn)題關(guān)注的不足，探討了MEC系統(tǒng)中的威脅向量，并提出了一些解決安全問(wèn)題的方法和措施，最后還討論了MEC系統(tǒng)中的機(jī)密性和完整性問(wèn)題。

對(duì)于電力5G MEC安全解決方案，文獻(xiàn)[7]基于零信任技術(shù)，提出了一種電網(wǎng)安全防護(hù)架構(gòu)，分析了在智能電網(wǎng)的5G網(wǎng)絡(luò)中遵循零信任安全規(guī)則的需求，探討了如何應(yīng)用零信任模型來(lái)保護(hù)電網(wǎng)免受網(wǎng)絡(luò)攻擊，并提出了一種智能安全電網(wǎng)的綜合策略。文獻(xiàn)[8]考慮隱私保護(hù)問(wèn)題，介紹了一種在5G網(wǎng)絡(luò)中注重隱私的電能注入方案，方案分為6個(gè)階段，包括系統(tǒng)初始化、注冊(cè)、電能收集請(qǐng)求、隱私感知出價(jià)生成、隱私感知出價(jià)聚合和隱私感知聚合出價(jià)讀取，并評(píng)估了方案的計(jì)算復(fù)雜性和通信開(kāi)銷。文獻(xiàn)[9]基于區(qū)塊鏈技術(shù)，提出了一種應(yīng)用于智能電網(wǎng)的許可區(qū)塊鏈邊緣模型，通過(guò)結(jié)合區(qū)塊鏈和邊緣計(jì)算技術(shù)來(lái)解決智能電網(wǎng)、隱私保護(hù)和能量安全中的若干問(wèn)題。

在SOAR應(yīng)用方面，文獻(xiàn)[10]提出了一種低成本的云原生SOAR平臺(tái)，可使事務(wù)處理流程更快，同時(shí)節(jié)省人力資源預(yù)算，并通過(guò)大型跨國(guó)企業(yè)的實(shí)際測(cè)試，對(duì)所提解決方案的性能進(jìn)行了評(píng)估。文獻(xiàn)[11]介紹了一個(gè)基于自動(dòng)化和編排的計(jì)算機(jī)安全事件響應(yīng)系統(tǒng)，引入集中式事件跟蹤系統(tǒng)來(lái)解決安全事件處理問(wèn)題。文獻(xiàn)[12]介紹了一個(gè)名為SOAR Engine的安全編排、自動(dòng)化和響應(yīng)引擎，可用來(lái)部署行為蜜罐以增強(qiáng)網(wǎng)絡(luò)安全防御，SOAR Engine包括動(dòng)態(tài)部署蜜罐、DDOS和僵尸網(wǎng)絡(luò)檢測(cè)、惡意軟件收集等，并驗(yàn)證了使用SOAR Engine的蜜罐能夠吸引更多的攻擊者的結(jié)果。

2" 電力5G MEC安全需求特征及面臨的威脅

2.1" 安全需求特征

由于智能電網(wǎng)與5G MEC融合，使其業(yè)務(wù)在接入、時(shí)延和運(yùn)行環(huán)境上發(fā)生了諸多變化，電力5G MEC中的業(yè)務(wù)在安全需求方面具備以下4個(gè)特征。

1） 接入的高開(kāi)放性：5G網(wǎng)絡(luò)的發(fā)展推動(dòng)了物聯(lián)網(wǎng)應(yīng)用的進(jìn)步，使得更多終端設(shè)備能夠接入網(wǎng)絡(luò)。電力MEC允許多種類型設(shè)備的接入，對(duì)于設(shè)備類型有較高的寬容度，同時(shí)在MEC應(yīng)用方面也有很高的開(kāi)放性，允許合法應(yīng)用注冊(cè)服務(wù)。

2） 異構(gòu)終端連接的海量性：隨著5G網(wǎng)絡(luò)性能的提升，電力MEC在接入的異構(gòu)終端數(shù)量巨大。面對(duì)海量接入設(shè)備，當(dāng)發(fā)生安全威脅時(shí)，必須在安全事件處理效率和處理效果上給予保證。

3） 業(yè)務(wù)的低延時(shí)性：MEC的卸載與分流結(jié)合5G網(wǎng)絡(luò)性能，能夠?yàn)橹悄茈娋W(wǎng)提供更低延時(shí)、更高帶寬的業(yè)務(wù)支持，生產(chǎn)控制大區(qū)的業(yè)務(wù)類型往往具備此類要求，必須保證在發(fā)生DDOS等資源消耗型攻擊的情況下，服務(wù)的低延時(shí)依然能夠被滿足。

4） 威脅處理的低干預(yù)性：MEC的邊緣屬性和部署環(huán)境決定了MEC不具有大量人工維護(hù)的特點(diǎn)，傳統(tǒng)的威脅處理方案更依賴人工的干預(yù)與介入，并且難以保證處理的及時(shí)性和高效率，必須在威脅事件處理上實(shí)現(xiàn)自動(dòng)化，對(duì)復(fù)雜的安全事件可以實(shí)現(xiàn)聯(lián)動(dòng)處理。

2.2" 面臨的威脅

結(jié)合上述電力5G MEC的4個(gè)安全需求特征，可分析得出其所面臨的如下主要威脅。

1） 終端安全威脅：電力5G MEC安全解決方案中的終端不僅是手機(jī)和計(jì)算機(jī)，還覆蓋智能電表、巡檢機(jī)器人、無(wú)人機(jī)、智能攝像頭等設(shè)備。這些設(shè)備在電力5G MEC中起著不可替代的作用，但同時(shí)也面臨不一樣的安全威脅，比如物理攻擊、惡意軟件入侵、未經(jīng)授權(quán)的訪問(wèn)、數(shù)據(jù)泄漏、供應(yīng)鏈攻擊等[13]。例如攻擊者可能試圖攻擊智能電表，以獲取用戶的用電數(shù)據(jù)和規(guī)律，甚至有可能操控電表修改數(shù)據(jù)等。

2） APP安全威脅：電力5G MEC方案中的APP是指與電力系統(tǒng)相關(guān)的移動(dòng)應(yīng)用程序，通常用于用戶監(jiān)控、管理和與電力網(wǎng)絡(luò)互動(dòng)。這些應(yīng)用程序用于電力賬單支付、用電數(shù)據(jù)檢測(cè)等，其也面臨諸多安全威脅，如隱私泄漏、惡意應(yīng)用程序、網(wǎng)絡(luò)攻擊等。例如某些惡意應(yīng)用程序會(huì)偽裝成合法的電網(wǎng)應(yīng)用程序，以欺騙用戶來(lái)獲取其敏感信息，并可能進(jìn)一步危害他們的設(shè)備及數(shù)據(jù)安全。

3） 接入安全威脅：電網(wǎng)的接入網(wǎng)是指電力系統(tǒng)與外部網(wǎng)絡(luò)相連接的部分，這類連接可能允許實(shí)時(shí)監(jiān)控、控制和管理電力系統(tǒng)。接入網(wǎng)的安全地位非常重要，因此受到潛在威脅的影響也很大，這些威脅可以對(duì)電力系統(tǒng)的可用性、完整性和機(jī)密性造成巨大損害。其面臨的威脅包括遠(yuǎn)程攻擊、拒絕服務(wù)攻擊、中間人攻擊和數(shù)據(jù)篡改等。比如攻擊者可能試圖篡改電力分配或操作參數(shù)，以影響甚至破壞電力系統(tǒng)的運(yùn)行。

4） 威脅處置不及時(shí)：MEC處于網(wǎng)絡(luò)的邊緣端，其所在環(huán)境及運(yùn)行具有一定的特殊性，如人力資源稀少、7×24 h運(yùn)行，并且依賴傳統(tǒng)的人工干預(yù)與介入，難以保證處理的及時(shí)性和高效率。如果威脅處理及時(shí)性缺失、效率低下，則可能導(dǎo)致攻擊范圍的擴(kuò)大和危害后果的進(jìn)一步惡化。

3" 基于SOAR的電力5G MEC安全解決方案

3.1" 方案框架

結(jié)合上述對(duì)電力5G MEC的安全需求特征和面臨的威脅分析，本文提出了一種基于SOAR的電力5G MEC安全解決方案，其整體框架如圖1所示。

圖1的左側(cè)部分為電力5G MEC的各類接入設(shè)備，包括與電力相關(guān)的發(fā)電、輸電、變電和配電設(shè)備，無(wú)人機(jī)、機(jī)器人以及用戶設(shè)備。圖1的中間部分為核心架構(gòu)，包括核心網(wǎng)絡(luò)和邊緣網(wǎng)絡(luò)。圖1的右側(cè)為電網(wǎng)的生產(chǎn)控制大區(qū)和管理信息大區(qū)。核心網(wǎng)絡(luò)包括MEC系統(tǒng)層和5G核心網(wǎng)絡(luò)，其中MEC系統(tǒng)層可通過(guò)網(wǎng)關(guān)連接到互聯(lián)網(wǎng)；SMF（會(huì)話管理功能）管理著下沉到邊緣網(wǎng)絡(luò)中的UPF（用戶面功能）。邊緣網(wǎng)絡(luò)是一個(gè)兩層架構(gòu)，在二級(jí)邊緣網(wǎng)絡(luò)中，MEPM（移動(dòng)邊緣平臺(tái)管理器）與VIM（虛擬化基礎(chǔ)設(shè)施管理器）管理著多個(gè)MEH（移動(dòng)邊緣主機(jī)）。在一個(gè)MEH中，分布著MEP（移動(dòng)邊緣平臺(tái)）、ME APP（移動(dòng)邊緣APP）、VI（虛擬設(shè)施）及SOAR。在一級(jí)邊緣網(wǎng)絡(luò)中，有一個(gè)中心級(jí)MEH，其UPF接入電力系統(tǒng)的生產(chǎn)控制區(qū)和管理信息區(qū)。

3.2" MEC中的SOAR架構(gòu)

MEC中的SOAR架構(gòu)包括威脅情報(bào)平臺(tái)、安全事件響應(yīng)平臺(tái)以及安全編排自動(dòng)化三部分，具體部署如圖2所示。

威脅情報(bào)平臺(tái)實(shí)現(xiàn)對(duì)威脅的檢測(cè)，輔助完成對(duì)威脅的響應(yīng)，包括情報(bào)收集、情報(bào)關(guān)聯(lián)、情報(bào)分類和情報(bào)共享等功能。安全事件響應(yīng)平臺(tái)主要實(shí)現(xiàn)對(duì)威脅的響應(yīng)、處置和恢復(fù)，包括告警管理、工單管理、案件管理等功能[14]。安全編排與自動(dòng)化是SOAR的核心能力，通常包括劇本編輯、工作流引擎、動(dòng)作庫(kù)等功能。安全編排是指將不同的安全系統(tǒng)或者安全工具通過(guò)可編程接口和人工檢查點(diǎn)，按照一定的邏輯關(guān)系組合到一起，用以完成某個(gè)特定安全操作的過(guò)程。這一過(guò)程在軟件上的映射稱為劇本，為方便對(duì)劇本的操作，SOAR提供可視化的劇本編輯工具。安全自動(dòng)化可以視為自動(dòng)化的編排過(guò)程，其關(guān)鍵在于通過(guò)工作流引擎實(shí)現(xiàn)對(duì)劇本的自動(dòng)化執(zhí)行。

SOAR具有開(kāi)放性，上述架構(gòu)中的功能模塊可以依賴第三方應(yīng)用來(lái)實(shí)現(xiàn)，如情報(bào)收集、情報(bào)關(guān)聯(lián)等?；赟OAR的5G MEC安全解決方案，組合并實(shí)現(xiàn)所需要的功能，提升整個(gè)系統(tǒng)的安全性能和對(duì)威脅的處理能力。圖2中關(guān)鍵模塊的具體實(shí)現(xiàn)如下：

1） 情報(bào)收集：在情報(bào)收集功能模塊中，除了從網(wǎng)絡(luò)中收集多源多維度且已經(jīng)公開(kāi)的威脅情報(bào)，還可以添加對(duì)系統(tǒng)狀態(tài)的監(jiān)測(cè)功能，具體通過(guò)MEPM來(lái)實(shí)現(xiàn)。MEPM是監(jiān)測(cè)MEH活動(dòng)的實(shí)體，通過(guò)它與VIM、MEO和OSS的連接來(lái)執(zhí)行資源分配和監(jiān)測(cè)功能。利用MEPM提供的對(duì)主機(jī)實(shí)體的整體監(jiān)測(cè)來(lái)統(tǒng)計(jì)數(shù)據(jù)，可以完成對(duì)MEC的完整監(jiān)測(cè)。對(duì)于數(shù)據(jù)中出現(xiàn)的異常波動(dòng)，將其傳輸?shù)角閳?bào)分析部分進(jìn)行分析，進(jìn)而確定后續(xù)的威脅響應(yīng)動(dòng)作。

2） 情報(bào)共享：威脅情報(bào)的共享一般是指在中心云端，從情報(bào)中提取出具有實(shí)用價(jià)值的失陷指標(biāo)（Indicators of Compromise， IOC），這種共享模式是針對(duì)于周期較長(zhǎng)且地域較廣的場(chǎng)景。本文在方案中引入了一種新的情報(bào)共享模式，即在短期和小范圍內(nèi)的情報(bào)共享，以期對(duì)抗較為緊急的威脅和攻擊。數(shù)據(jù)傳輸?shù)母咚俸捅憬輰⑼{情報(bào)傳輸給周邊的MEC，可以對(duì)該情報(bào)進(jìn)行關(guān)聯(lián)分析，豐富本地?cái)?shù)據(jù)庫(kù)，提高M(jìn)EC對(duì)威脅的態(tài)勢(shì)感知能力。

3） 動(dòng)作庫(kù)：在動(dòng)作庫(kù)中，通過(guò)MEC中的管理器豐富動(dòng)作庫(kù)，與各管理器聯(lián)動(dòng)，如虛擬化基礎(chǔ)設(shè)施管理器，加入分配、管理、釋放和監(jiān)測(cè)虛擬化資源等操作；還可通過(guò)多接入邊緣協(xié)調(diào)器，管理單個(gè)或多個(gè)移動(dòng)邊緣主機(jī)層面，提供服務(wù)遷移、移動(dòng)性管理和流量引導(dǎo)監(jiān)控動(dòng)作。

3.3" 方案分級(jí)協(xié)同部署

電力MEC的應(yīng)用場(chǎng)景和威脅復(fù)雜多樣，不同的應(yīng)用場(chǎng)景對(duì)于安全能力有不同的要求，采用統(tǒng)一的標(biāo)準(zhǔn)會(huì)造成資源的浪費(fèi)。威脅的多樣性使得劇本數(shù)量龐大，充分利用云端的集中存儲(chǔ)能力可有效緩解這一問(wèn)題。此外，攻擊者發(fā)起的攻擊通常不是針對(duì)單個(gè)MEC，而是具有區(qū)域性的特點(diǎn)，MEC與MEC之間應(yīng)能夠協(xié)同防御攻擊。針對(duì)以上分析，提出分級(jí)協(xié)同的部署策略，如圖3所示。

1） 分級(jí)部署，云邊協(xié)同

地域分級(jí)：MEC根據(jù)省市各級(jí)別不同分級(jí)部署，SOAR也相應(yīng)進(jìn)行分級(jí)部署，高級(jí)別SOAR對(duì)低級(jí)別SOAR具有調(diào)配和監(jiān)測(cè)功能。

安全能力分級(jí)：根據(jù)部署場(chǎng)景對(duì)安全性的要求，劃分SOAR的防護(hù)能力，根據(jù)具體場(chǎng)景靈活移植SOAR的功能模塊。

云邊協(xié)同：如果單純?cè)谠贫舜鎯?chǔ)完整的威脅情報(bào)和劇本庫(kù)，會(huì)降低安全響應(yīng)時(shí)間。在邊端直接處理安全事件更有利于及時(shí)響應(yīng)和劇本執(zhí)行，邊端定期從云端更新劇本情報(bào)等，并將自己存儲(chǔ)的情報(bào)定時(shí)更新至云端，以確保云端數(shù)據(jù)的完整性和豐富性。

2） MEC之間協(xié)同聯(lián)動(dòng)

當(dāng)某一MEC受到攻擊，其會(huì)向周圍MEC發(fā)出告警，周邊MEC接到告警并分析后，執(zhí)行相應(yīng)的響應(yīng)動(dòng)作，如提高相關(guān)劇本的優(yōu)先級(jí)等，從而提高一定區(qū)域內(nèi)的威脅預(yù)防能力，防范區(qū)域性攻擊。

4" 實(shí)驗(yàn)仿真

4.1" 實(shí)驗(yàn)環(huán)境及設(shè)計(jì)

為驗(yàn)證本文提出的電力5G MEC安全解決方案的有效性，設(shè)計(jì)了兩類實(shí)驗(yàn)對(duì)安全方案的處理及時(shí)性和非法訪問(wèn)阻斷有效性分別進(jìn)行測(cè)試。實(shí)驗(yàn)使用參數(shù)為Intel[?] CoreTM i5?8300H CPU @2.30 GHz 16 GB內(nèi)存和CentOS 8操作系統(tǒng)的虛擬機(jī)模擬邊緣服務(wù)器，使用W5 SOAR開(kāi)源平臺(tái)（網(wǎng)址為https：//w5.io/index.html）在邊緣服務(wù)器上進(jìn)行SOAR部署，使用kali系統(tǒng)的虛擬機(jī)模擬攻擊方。

實(shí)驗(yàn)1：邊緣服務(wù)器在資源耗盡攻擊下的健壯性測(cè)試。在電力業(yè)務(wù)中，源網(wǎng)荷儲(chǔ)協(xié)同控制、配電自動(dòng)化系統(tǒng)、分布式配電自動(dòng)化等場(chǎng)景操作需要毫秒級(jí)的低延時(shí)，而邊緣計(jì)算節(jié)點(diǎn)暴露在網(wǎng)絡(luò)邊緣，易受攻擊者的攻擊，攻擊者可以通過(guò)惡意耗盡服務(wù)主機(jī)的計(jì)算、網(wǎng)絡(luò)等資源，導(dǎo)致服務(wù)節(jié)點(diǎn)失效，這將會(huì)直接對(duì)部分低延時(shí)要求的電力業(yè)務(wù)造成嚴(yán)重影響。實(shí)驗(yàn)1使用hping3工具對(duì)模擬的邊緣服務(wù)器進(jìn)行DoS攻擊，觀察SOAR在DoS攻擊下的自動(dòng)化處理是否可以滿足低時(shí)延的需求。在本次實(shí)驗(yàn)中，由OTX（Open Threat Exchange）威脅情報(bào)社區(qū)（網(wǎng)址為https：//otx.alienvault.com/dashboard/new）提供SOAR中所需的惡意IP、脈沖ID等。

實(shí)驗(yàn)2：邊緣服務(wù)器對(duì)中間人攻擊的檢測(cè)有效性測(cè)試。惡意的應(yīng)用程序會(huì)偽裝成合法的用電賬單查詢、在線賬單支付等電網(wǎng)應(yīng)用程序來(lái)欺騙用戶，獲取敏感信息。攻擊者將使用中間人攻擊截取這些敏感信息，在適當(dāng)?shù)膱?chǎng)合中重放這些信息，以達(dá)到攻擊目的。例如用戶使用智能電表進(jìn)行抄表，如果用戶操作不當(dāng)，將導(dǎo)致中間人攻擊，攻擊者將截獲用戶的敏感信息，對(duì)用戶的邊緣網(wǎng)絡(luò)設(shè)備進(jìn)行竊聽(tīng)或重放等攻擊，導(dǎo)致用戶隱私與財(cái)產(chǎn)受到侵害。實(shí)驗(yàn)2中使用MITMproxy工具對(duì)模擬的邊緣服務(wù)器進(jìn)行中間人攻擊。

4.2" 邊緣服務(wù)器資源耗盡攻擊下的健壯性

實(shí)驗(yàn)1通過(guò)安全編排功能實(shí)現(xiàn)邊緣服務(wù)器被DoS攻擊后快速的檢測(cè)、響應(yīng)、恢復(fù)，劇本就是對(duì)編排的表述[15]，是依據(jù)先驗(yàn)知識(shí)提前編輯好的應(yīng)對(duì)威脅的一套工作流。

SOAR提供可視化工具對(duì)劇本進(jìn)行編輯，實(shí)驗(yàn)1所需劇本如圖4所示。

在W5 SOAR平臺(tái)提供的可視化面板中，箭頭表示劇本的執(zhí)行次序，結(jié)合劇本的執(zhí)行邏輯，圖4展示的流程如下。

1） 發(fā)起攻擊：使用kali中hping3進(jìn)行syn flood攻擊。

2） 劇本觸發(fā)：OTX威脅情報(bào)對(duì)IP進(jìn)行快速威脅檢測(cè)，確認(rèn)是否為惡意IP，如果檢測(cè)結(jié)果為True，執(zhí)行安全動(dòng)作3）。

3） 安全動(dòng)作執(zhí)行：對(duì)惡意IP執(zhí)行封鎖命令以及更詳細(xì)的威脅信息查詢，IP封鎖使用Linux iptables命令向防火墻添加入站規(guī)則；同時(shí)，微步威脅情報(bào)對(duì)IP地址進(jìn)行詳細(xì)的威脅信息查詢。

實(shí)驗(yàn)1的劇本執(zhí)行日志如圖5所示，整個(gè)劇本從觸發(fā)到OTX威脅檢測(cè)、IP封鎖，再到詳細(xì)威脅情報(bào)獲取及通知，均在不到1 s內(nèi)完成。

4.3" 邊緣服務(wù)器對(duì)中間人攻擊的檢測(cè)有效性

實(shí)驗(yàn)2通過(guò)安全編排功能實(shí)現(xiàn)對(duì)邊緣服務(wù)器受到的中間人攻擊進(jìn)行檢測(cè)、響應(yīng)、恢復(fù)操作，實(shí)驗(yàn)2劇本如圖6所示。

結(jié)合劇本的執(zhí)行邏輯，圖6展現(xiàn)的具體流程如下。

1） 發(fā)起攻擊：使用kali中MITMproxy進(jìn)行中間人攻擊。

2） 劇本觸發(fā)并進(jìn)行威脅檢測(cè)：使用身份認(rèn)證白名單對(duì)邊緣設(shè)備進(jìn)行快速匹配，確認(rèn)是否為白名單中的合法設(shè)備，如果檢測(cè)結(jié)果為True，劇本繼續(xù)執(zhí)行，并進(jìn)一步對(duì)請(qǐng)求包進(jìn)行行為的時(shí)間戳驗(yàn)證。

3） 安全動(dòng)作執(zhí)行：如果“合法”設(shè)備其行為時(shí)間戳不合理，則認(rèn)定該設(shè)備“被劫持”（非法時(shí)間戳可能是歷史合法數(shù)據(jù)的重放導(dǎo)致），從而執(zhí)行取消授權(quán)命令，并將該設(shè)備通告周圍節(jié)點(diǎn)，再上報(bào)威脅信息；如果時(shí)間戳驗(yàn)證通過(guò)，則確認(rèn)為是合法行為，執(zhí)行對(duì)其的授權(quán)。

實(shí)驗(yàn)2的執(zhí)行日志劇本執(zhí)行日志如圖7所示。

通過(guò)實(shí)驗(yàn)驗(yàn)證，本文提出的電力5G MEC安全解決方案可以有效抵御對(duì)邊緣服務(wù)器的DoS攻擊與中間人攻擊。通過(guò)自動(dòng)化執(zhí)行劇本，不需要人工干涉處理過(guò)程，可以在極短的時(shí)間內(nèi)正確完成威脅處置流程，滿足特定電力業(yè)務(wù)的低延時(shí)需求。此外，方案對(duì)于第三方應(yīng)用具有開(kāi)放性，使其可以支持更豐富的動(dòng)作庫(kù)和應(yīng)用庫(kù)、更完備的威脅檢測(cè)庫(kù)與更完善的威脅處理流程，能夠應(yīng)對(duì)更加復(fù)雜多變的威脅場(chǎng)景。

5" 結(jié)" 論

為應(yīng)對(duì)電力5G MEC融合發(fā)展所帶來(lái)的新威脅和新挑戰(zhàn)，本文提出一種基于SOAR的電力5G MEC安全解決方案，實(shí)現(xiàn)了威脅檢測(cè)、響應(yīng)、處置的自動(dòng)化執(zhí)行，降低了響應(yīng)時(shí)間，契合了5G MEC低人工干預(yù)的特點(diǎn)。將5G MEC和SOAR進(jìn)行開(kāi)放性結(jié)合，豐富了MEC的安全功能；利用安全編排功能形成對(duì)安全防御的統(tǒng)一整體調(diào)度，提高了MEC安全防御效率。此外，通過(guò)云邊、邊邊協(xié)同的部署方案，讓云端和邊端在功能上各有側(cè)重，更充分發(fā)揮MEC的協(xié)同能力。

參考文獻(xiàn)

[1] 張濱.5G邊緣計(jì)算安全研究與應(yīng)用[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2020，33（12）：1?7.

[2] 余曉光，余瀅鑫，陽(yáng)陳錦劍，等.安全技術(shù)在5G智能電網(wǎng)中的應(yīng)用[J].信息安全研究，2021，7（9）：815?821.

[3] 奇安信，Gartner .安全運(yùn)行迎來(lái)SOAR時(shí)代[M/OL].[2020?10?30]. https：//www.bigdata?expo.cn/uploads/exhibitorfiles/2022/05/18/82a1b0cc7421d3ff5f119ead400d1caa.pdf.

[4] RANAWEERA P， JURCUT A， LIYANAGE M. MEC?enabled 5G use cases： a survey on security vulnerabilities and countermeasures [J]. ACM computing surveys， 2022， 54（9）： 1?37.

[5] KIM Y， PARK J G， LEE J H. Security threats in 5G edge computing environments [C]// 2020 International Conference on Information and Communication Technology Convergence. Jeju， Korea （South）： IEEE， 2020： 905?907.

[6] RANAWEERA P， JURCUT A D， LIYANAGE M. Survey on multi?access edge computing security and privacy [J]. IEEE communications surveys amp; tutorials， 2021（99）： 1078?1124.

[7] ALIPOUR M， GHASEMSHIRAZI S， SHIRVANI G. Enabling a zero trust architecture in a 5G?enabled smart grid [EB/OL]. [2023?04?17]. https：//arxiv.org/ftp/arxiv/papers/2210/2210.01739.pdf.

[8] ZHANG Y， ZHAO J， ZHENG D. Efficient and privacy?aware power injection over AMI and smart grid slice in future 5G networks [J]. Mobile information systems， 2017（2）： 1?11.

[9] GAI K， WU Y， ZHU L， et al. Permissioned blockchain and edge computing empowered privacy?preserving smart grid networks [J]. IEEE Internet of Things journal， 2019， 6（5）： 7992?8004.

[10] CHRISTIAN J， PAULINO L， DE Sá AO. A low?cost and cloud native solution for security orchestration， automation， and response [C]// International Conference on Information Security Practice and Experience. Cham： Springer， 2022： 115?139.

[11] OHMORI M. On automation and orchestration of an initial computer security incident response by introducing centralized incident tracking system [J]. Journal of information processing， 2019， 27： 564?573.

[12] BARTWAL U， MUKHOPADHYAY S， NEGI R， et al. Security orchestration， automation， and response engine for deployment of behavioural honeypots [C]// 2022 IEEE Conference on Dependable and Secure Computing （DSC）. Edinburgh， United Kingdom： IEEE， 2022： 1?8.

[13] 莊小君，楊波，楊利民，等.面向垂直行業(yè)的5G邊緣計(jì)算安全研究[J].保密科學(xué)技術(shù)，2020（9）：20?27.

[14] VAST R， SAWANT S， THORBOLE A， et al. Artificial intelligence based security orchestration， automation and response system [C]// International Conference for Convergence in Technology. Maharashtra， India： IEEE， 2021： 1?5.

[15] ELGENDY I， ZHANG W， ZENG Y， et al. Efficient and secure multi?user multi?task computation offloading for mobile?edge computing in mobile IoT networks [J]. IEEE transactions on network and service management， 2020， 17（4）： 2410?2422.