王繼業(yè) 楊 軍 韓麗芳 周 亮 周純杰

1(中國(guó)電力科學(xué)研究院有限公司 北京 100192)2(華中科技大學(xué)人工智能與自動(dòng)化學(xué)院 湖北 武漢 430072)

0 引 言

隨著智能電網(wǎng)建設(shè)的全面展開，我國(guó)電力系統(tǒng)飛速發(fā)展，自動(dòng)化水平不斷提高，人們對(duì)電力的需求和依賴日漸增加。近些年，一些黑客或不法分子通過(guò)網(wǎng)絡(luò)攻擊手段侵入電力系統(tǒng)內(nèi)部實(shí)施破壞的事件頻頻發(fā)生，給電力系統(tǒng)的穩(wěn)定運(yùn)行敲響了警鐘。智能變電站作為智能電網(wǎng)的重要組成部分，承載了變電設(shè)備狀態(tài)監(jiān)測(cè)、電網(wǎng)運(yùn)行數(shù)據(jù)、相關(guān)信息實(shí)時(shí)采集和發(fā)布等任務(wù)。智能變電站的運(yùn)行狀態(tài)影響著電力系統(tǒng)的穩(wěn)定運(yùn)行，而智能變電站系統(tǒng)的通信協(xié)議標(biāo)準(zhǔn)化、數(shù)字化模式使其極易遭到攻擊，變電站系統(tǒng)穩(wěn)定性面臨嚴(yán)峻的挑戰(zhàn)[1]。

隨著大量電網(wǎng)安全事件的發(fā)生，在對(duì)安全事件還原的過(guò)程中暴露出了告警數(shù)據(jù)量龐大、誤報(bào)現(xiàn)象嚴(yán)重等問(wèn)題。茹蓓等[2]提出一種海量數(shù)據(jù)干擾下冗余數(shù)據(jù)高性能消除方法，引入均值漂移傳遞函數(shù)對(duì)冗余數(shù)據(jù)進(jìn)行分類，并通過(guò)獲取其活躍程度實(shí)現(xiàn)高性能消除。劉自力等[3]提出了一種能夠處理大數(shù)據(jù)的頻繁項(xiàng)集挖掘算法，將海量復(fù)雜度高的多源異構(gòu)數(shù)據(jù)轉(zhuǎn)化為知識(shí)。文獻(xiàn)[4]利用基于特征重疊的告警去冗模塊，有效地去掉了海量告警日志中重復(fù)以及冗余的告警信息。

目前告警信息冗余處理大多是針對(duì)通信網(wǎng)絡(luò)的，而面向電力工控系統(tǒng)的告警信息處理的研究較少。針對(duì)智能變電站，本文提出基于模糊證據(jù)推理的智能變電站多源告警數(shù)據(jù)的攻擊取證方法。首先對(duì)數(shù)據(jù)進(jìn)行預(yù)處理達(dá)到統(tǒng)一數(shù)據(jù)類型減少數(shù)據(jù)量的目的，再通過(guò)特征匹配、模糊化、歸一化、相似度匹配等方法去掉智能變電站告警證據(jù)中的誤報(bào)。這樣，能夠在顯著減少告警信息數(shù)量的基礎(chǔ)上，有效解決單個(gè)設(shè)備的誤報(bào)問(wèn)題，在提高智能變電站數(shù)據(jù)可靠性、還原攻擊場(chǎng)景等方面具有積極意義。

1 智能變電站網(wǎng)絡(luò)架構(gòu)

基于IEC61850標(biāo)準(zhǔn)的智能變電站從邏輯結(jié)構(gòu)上分為站控層、間隔層和過(guò)程層[2-3]。其中過(guò)程層設(shè)備包括變壓器、斷路器、隔離開關(guān)、電流電壓互感器、合并單元、智能終端、獨(dú)立的智能電子裝置等，主要完成開關(guān)量、模擬量采樣和控制命令的執(zhí)行等與一次設(shè)備相關(guān)的功能；間隔層設(shè)備包括繼電保護(hù)裝置、系統(tǒng)測(cè)控裝置、在線監(jiān)測(cè)裝置等二次設(shè)備，主要完成對(duì)一次設(shè)備進(jìn)行測(cè)量、控制、保護(hù)的功能；站控層通信設(shè)備包括監(jiān)控主機(jī)、數(shù)據(jù)通信網(wǎng)關(guān)機(jī)、數(shù)據(jù)服務(wù)器、PMU數(shù)據(jù)集中器、綜合應(yīng)用服務(wù)器、對(duì)時(shí)系統(tǒng)等，實(shí)現(xiàn)面向全站設(shè)備的監(jiān)視、控制、告警和信息交互功能[5]。

智能變電站網(wǎng)絡(luò)化的成功應(yīng)用使其以功能、信息的冗余代替了常規(guī)變電站裝置的冗余。智能變電站網(wǎng)絡(luò)架構(gòu)[6]如圖1所示，其采用“三層兩網(wǎng)”分層分布的結(jié)構(gòu)，這使其站內(nèi)數(shù)據(jù)流傳遞方向具有“縱橫交錯(cuò)”的特點(diǎn)，即不僅保持了同一層次內(nèi)的橫向傳送，還具有不同層次間的縱向交換。

圖1 智能變電站網(wǎng)絡(luò)架構(gòu)

2 典型攻擊與告警證據(jù)

2.1 網(wǎng)絡(luò)攻擊特征描述

智能變電站的典型安全攻擊包括遠(yuǎn)程攻擊、本地提權(quán)(獲取超級(jí)權(quán)限)、系統(tǒng)數(shù)據(jù)竊取、偽造控制指令、篡改數(shù)據(jù)(包括篡改網(wǎng)絡(luò)數(shù)據(jù)和本地系統(tǒng)數(shù)據(jù)等)等。典型攻擊過(guò)程常常是這些安全攻擊的組合，例如首先通過(guò)遠(yuǎn)程攻擊獲取本地訪問(wèn)權(quán)限，然后采用數(shù)據(jù)竊取獲得關(guān)鍵用戶的口令、關(guān)鍵系統(tǒng)配置、關(guān)鍵控制組件的控制邏輯。獲得并分析電力控制系統(tǒng)的運(yùn)行邏輯后，通過(guò)發(fā)送偽造的控制指令，破壞電力控制系統(tǒng)的正常運(yùn)行。同時(shí)，攻擊者可以利用篡改數(shù)據(jù)攻擊，替換監(jiān)控?cái)?shù)據(jù)，使之符合控制邏輯，并達(dá)到隱蔽攻擊行為的效果。

因此在攻擊取證時(shí)要考慮攻擊的多種攻擊特征。攻擊特征主要從攻擊目的、攻擊機(jī)理、攻擊后果三個(gè)方面進(jìn)行考慮。針對(duì)收集到的攻擊種類，首先將攻擊進(jìn)行分類，然后針對(duì)每一種攻擊類型，從上述三個(gè)方面選取相應(yīng)的特征，以此構(gòu)建攻擊特征庫(kù)。智能變電站常見(jiàn)網(wǎng)絡(luò)攻擊[7-8]如表1所示。

表1 常見(jiàn)網(wǎng)絡(luò)攻擊

2.2 多源異構(gòu)告警證據(jù)

現(xiàn)今，通信網(wǎng)絡(luò)報(bào)文已成為智能變電站設(shè)備間信息交互和共享的主要方式，可將智能變電站系統(tǒng)的信息流主要分為GOOSE報(bào)文信息流、MMS報(bào)文信息流、SV報(bào)文信息流[9]。為了記錄報(bào)文事件，智能變電站新配置了網(wǎng)絡(luò)報(bào)文記錄分析裝置，除此之外，智能變電站還配置了記錄電壓電流發(fā)生突變、開關(guān)量變化引起的保護(hù)動(dòng)作波形的故障錄波裝置，在智能變電站遭到攻擊時(shí)，服務(wù)器中的系統(tǒng)日志及登錄日志文件可以提供大量有用的告警信息。不同層次的不同設(shè)備都會(huì)產(chǎn)生告警數(shù)據(jù)，它們的來(lái)源不同，而且格式多樣，如報(bào)文數(shù)據(jù)、日志文件等，由此可見(jiàn)告警數(shù)據(jù)具有多源異構(gòu)的特性。正是由于告警數(shù)據(jù)數(shù)量龐大且多源異構(gòu)，無(wú)法將告警數(shù)據(jù)直接進(jìn)行告警關(guān)聯(lián)以還原攻擊場(chǎng)景。因此，本文先對(duì)多源異構(gòu)的告警數(shù)據(jù)進(jìn)行預(yù)處理，再將智能變電站的多源告警數(shù)據(jù)與攻擊特征庫(kù)進(jìn)行特征匹配，并通過(guò)模糊隸屬度以及歸一化處理得到相同數(shù)據(jù)格式的告警證據(jù)，最終利用余弦相似度算法分析設(shè)備之間的證據(jù)相似度，得到有效的證據(jù)集，解決告警數(shù)據(jù)量龐大且格式不統(tǒng)一的問(wèn)題。

3 基于模糊證據(jù)推理的攻擊取證方法

面對(duì)形式各異和不斷發(fā)展的網(wǎng)絡(luò)攻擊手段，傳統(tǒng)的安全事件檢測(cè)手段日益不能滿足變電站安全管理的需求。入侵攻擊場(chǎng)景還原可以從整體上反映攻擊者攻擊意圖，為增強(qiáng)網(wǎng)絡(luò)安全管理效率、制定有效的安全規(guī)劃和監(jiān)管策略提供科學(xué)依據(jù)。然而由于變電站通信鏈路、設(shè)備狀態(tài)等問(wèn)題，各設(shè)備產(chǎn)生的告警不能保證其正確性，難免會(huì)發(fā)生誤報(bào)、漏報(bào)等現(xiàn)象。

為了避免過(guò)多的錯(cuò)誤信息影響攻擊場(chǎng)景的還原效率[10]，本文提出基于模糊證據(jù)推理的智能變電站多源告警數(shù)據(jù)的攻擊取證方法，從實(shí)現(xiàn)規(guī)則上講，用模糊證據(jù)推理確定目標(biāo)所屬類型的過(guò)程共分三步：(1)確定目標(biāo)信息的模糊隸屬函數(shù)。(2)用證據(jù)理論對(duì)目標(biāo)信息隸屬函數(shù)進(jìn)行合成。(3)判決準(zhǔn)則選取。此方法在減少誤報(bào)的同時(shí)降低了告警數(shù)據(jù)的數(shù)量，考慮到變電站各設(shè)備之間的關(guān)聯(lián)性，應(yīng)用于變電站的攻擊取證方法總體實(shí)現(xiàn)思路為：采集智能變電站各個(gè)設(shè)備的告警證據(jù)，經(jīng)過(guò)數(shù)據(jù)預(yù)處理后將其與攻擊特征庫(kù)進(jìn)行攻擊特征匹配，然后通過(guò)隸屬度函數(shù)對(duì)告警證據(jù)進(jìn)行模糊隸屬度計(jì)算，再對(duì)每個(gè)設(shè)備的模糊隸屬度進(jìn)行歸一化處理，此時(shí)對(duì)于各個(gè)設(shè)備的告警證據(jù)具有相同的數(shù)據(jù)格式。格式統(tǒng)一后，還需利用余弦相似度算法分析設(shè)備之間的證據(jù)相似度，得到符合要求的攻擊證據(jù)集，最后通過(guò)分析證據(jù)集判斷其屬于哪種類型的攻擊?；谀：C據(jù)推理的攻擊取證過(guò)程示意圖如圖2所示。

圖2 基于模糊證據(jù)推理的攻擊取證過(guò)程示意圖

3.1 告警信息預(yù)處理

在對(duì)智能變電站多源告警數(shù)據(jù)的攻擊取證過(guò)程中，一般要保存所有相關(guān)信息。由于告警信息數(shù)目龐大，因此在取證前需要對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，這樣可以節(jié)約時(shí)間和空間，降低后續(xù)成本。預(yù)處理分為兩個(gè)方面，一是減小數(shù)據(jù)量，二是統(tǒng)一數(shù)據(jù)類型。由于在數(shù)據(jù)采集過(guò)程中存在數(shù)據(jù)采集的非同步性、數(shù)據(jù)來(lái)源的不一致性、數(shù)據(jù)采集的時(shí)效性等問(wèn)題，不可避免會(huì)出現(xiàn)數(shù)據(jù)缺失、冗余、格式不符、含義不明等多種情況，這些不符合分類模型處理規(guī)范的數(shù)據(jù)在攻擊取證過(guò)程中十分棘手。因此，需要對(duì)變電站各類信息(量測(cè)信息、狀態(tài)信息、通信信息、事務(wù)日志等)進(jìn)行預(yù)處理，形成可以方便分析處理的數(shù)據(jù)集。

針對(duì)變電站數(shù)據(jù)本身不符合分析規(guī)范的情況進(jìn)行處理，主要包括數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)值化處理幾個(gè)方面。

數(shù)據(jù)清洗主要負(fù)責(zé)處理數(shù)據(jù)缺失及噪聲問(wèn)題。對(duì)于數(shù)據(jù)缺失可以采用剔除法或替代法，剔除法雖實(shí)現(xiàn)容易但可能造成其他關(guān)鍵數(shù)據(jù)的缺失，而替代法可以采用均值填補(bǔ)，或用回歸、貝葉斯等算法結(jié)合一些固定約束估計(jì)缺失值。噪聲數(shù)據(jù)則可以采用分箱、聚類、回歸、計(jì)算機(jī)與人工相結(jié)合的方法剔除。

數(shù)據(jù)集成主要負(fù)責(zé)將要進(jìn)行綜合分析計(jì)算的不同格式的數(shù)據(jù)合并成可用的數(shù)據(jù)集。

數(shù)值化處理將變電站數(shù)據(jù)中非數(shù)值型轉(zhuǎn)化為數(shù)值型，例如通信報(bào)文所用的協(xié)議類型MMS和SV分別用標(biāo)號(hào)“0”和“1”代替。

為了提高告警信息的通用性和擴(kuò)展性，選取入侵檢測(cè)信息交換格式(IDMEF)中權(quán)重比較大的屬性將告警信息格式標(biāo)準(zhǔn)化，即可以將告警信息的格式表示為Alarm(Alarm_ID，Alarm_Type，Alarm_Source，Alarm_Dest，Alarm_Time，Alarm_Port)。

獲取的告警信息中可能包含大量無(wú)關(guān)告警，通過(guò)各類安全設(shè)備從網(wǎng)絡(luò)中采集主機(jī)、服務(wù)、漏洞等告警校驗(yàn)所需信息判斷目標(biāo)系統(tǒng)與告警信息的相關(guān)性，以此去掉無(wú)關(guān)的告警信息。在告警校驗(yàn)中，需要根據(jù)攻擊行為的類型，相應(yīng)地調(diào)整元素內(nèi)容。以拒絕服務(wù)攻擊為例，給出告警校驗(yàn)函數(shù)：

Function DoS-Verification{

alarm:{

Dest : DestIP

/*告警的目的IP集合*/

Port: DestPort

/*目的端口號(hào)集合*/

Vulnerability: CVEID

/*告警的漏洞信息*/

Source: SrcIP

/*告警的源IP地址*/

}

Target:{

Active: Hosts

/*活躍主機(jī)地址集*/

Ports: ports

/*主機(jī)開放端口*/

Vul: CVEID

/*漏洞信息集合*/

RA: RAccessed

/*主機(jī)訪問(wèn)控制策略中被訪問(wèn)關(guān)系*/

}

Verification:{

If(alarm.Dest∈Target.Active & alarm.Port∈Target.Ports & alarm.Vulnerability∈Target.Vul & alarm.Source ∈Target.RA)

Result=1;

Else

Resut=0;

/*校驗(yàn)未通過(guò)，將告警信息濾除*/

}

}

雖然去除掉了告警中的無(wú)關(guān)告警信息，但是同一攻擊在某一瞬時(shí)可能在某一設(shè)備產(chǎn)生重復(fù)的原始告警，因此，在分析告警數(shù)據(jù)之前還要去除這些冗余的告警。本文采用滑動(dòng)窗口來(lái)消除重復(fù)告警，實(shí)現(xiàn)如下：

(1)產(chǎn)生新的告警NewAlarm時(shí)，從時(shí)間窗口中移除開始時(shí)間差值大于窗口值的告警，即若存在(NewAlarm.starttime—DeAlarm.starttime)>WindowSize，則將DeAlarm從時(shí)間窗口中移除；

(2)按時(shí)間順序匹配新告警NewAlarm與時(shí)間窗口中的告警Alarmi；

(3)若兩個(gè)告警的類型、源IP地址和目的IP地址均相同則將兩個(gè)告警合并，即若存在(NewAlarm.Alarm_type==Alarmi.Alarm_type)&&(NewAlarm.source==Alarmi.source)&&(NewAlarm.dest==Alarmi.dest)，則合并兩個(gè)告警。

3.2 單一告警證據(jù)的模糊化處理

模糊理論是指用到了模糊集合的基本概念或隸屬度函數(shù)的理論，其應(yīng)用范圍廣泛，從工程科技到人文科學(xué)都可以發(fā)現(xiàn)它的研究蹤跡與成果。針對(duì)電力系統(tǒng)，在模擬人腦對(duì)電力系統(tǒng)進(jìn)行運(yùn)行控制時(shí)，由于人腦存在識(shí)別、推理等模糊性的特點(diǎn)，在采用專家系統(tǒng)、模式識(shí)別等技術(shù)時(shí)均用到了模糊集方法。

當(dāng)智能變電站某部分運(yùn)行異常時(shí)，可能引發(fā)與其相關(guān)聯(lián)的部分發(fā)生運(yùn)行錯(cuò)誤，產(chǎn)生大量告警信息。通常情況下，依據(jù)0和1來(lái)判斷某件事情是否發(fā)生。然而，針對(duì)本文這種情況即告警信息與其產(chǎn)生的根源是一種模糊的、一對(duì)多的關(guān)系，采用1或者0來(lái)判斷比較片面和絕對(duì)，由此用0到1之間的任意數(shù)來(lái)表示[11]。本文結(jié)合最大隸屬法，對(duì)告警進(jìn)行模糊相關(guān)性分析，實(shí)現(xiàn)告警的精確描述與定位，以解決單個(gè)設(shè)備誤報(bào)問(wèn)題。

定義1設(shè)U為論域，一個(gè)模糊集合A在U上的一個(gè)映射uA表示為：

uA:U→[0,1]

u→uA(u)

(1)

對(duì)于u∈U，函數(shù)uA(u)稱為模糊集合A的隸屬度函數(shù)即表示u對(duì)A的隸屬度。通常結(jié)合實(shí)際選取隸屬度函數(shù)uA。

將理論應(yīng)用于智能變電站，告警信息經(jīng)過(guò)預(yù)處理后，要確定目標(biāo)信息的模糊隸屬度函數(shù)。隸屬度函數(shù)的確定有多種方法，例如：模糊統(tǒng)計(jì)法、例證法、專家經(jīng)驗(yàn)法、指派方法等。本文采用指派方法，根據(jù)問(wèn)題的性質(zhì)主觀地選用某些形式的模糊分布。

針對(duì)不同的變電站設(shè)備有不同的模糊集合，隸屬度函數(shù)有不同的選擇，比較典型的隸屬度函數(shù)包括三角形、梯形、S型等?？梢詫⑷切?、梯形的隸屬度函數(shù)表示為：

(2)

式中：a和c為確定三角形“腳”的參數(shù)；b為確定三角形 “峰”的參數(shù)。

(3)

式中：a和d為確定梯形“腳”的參數(shù)；b和c為確定梯形“肩膀”的參數(shù)。

將攻擊特征庫(kù)中的攻擊類型集合假設(shè)為Θ={θ1,θ2,…,θn}，并將某一節(jié)點(diǎn)設(shè)備A的告警證據(jù)集表示為eA={e1,e2,…,eNA}，則設(shè)備告警對(duì)攻擊θi的支持度表示為：

(4)

式中：NA,θi代表符合攻擊特征的異常告警數(shù)量；NA代表該設(shè)備異常告警的總數(shù)量。則該設(shè)備對(duì)攻擊的支持度為：uA={uA(θ1),uA(θ2),…,uA(θn)}。

本文采用偏大型上升函數(shù)S型隸屬函數(shù)[12]，即將攻擊θi的告警證據(jù)的隸屬度函數(shù)表示為：

(5)

式中：a、b的值需要自定義。通過(guò)隸屬度函數(shù)計(jì)算設(shè)備對(duì)各不同攻擊支持度的模糊隸屬度，得到的結(jié)果為fA={fA(θ1),fA(θ2),…,fA(θn)}。

為了讓數(shù)據(jù)尺度統(tǒng)一將上述結(jié)果作歸一化處理，即將有量綱的表達(dá)式經(jīng)過(guò)變換化為無(wú)量綱的表達(dá)式，其目的是可以用數(shù)值來(lái)直接進(jìn)行比較。歸一化后的形式如下：

(6)

3.3 多源告警證據(jù)相似度分析

通過(guò)對(duì)單一告警證據(jù)的模糊化處理，得到某個(gè)設(shè)備可能遭受的攻擊情況，由于智能變電站各設(shè)備模塊間有信息傳遞，若僅憑某一個(gè)設(shè)備遭到攻擊的情況就下定論可能不符合實(shí)際。由此，可以通過(guò)判斷智能變電站各設(shè)備間告警信息的相似程度以得到有效的告警證據(jù)集。

相似度度量即計(jì)算個(gè)體間的相似程度，相似度度量的值越小則說(shuō)明個(gè)體間相似度越小，反之說(shuō)明個(gè)體相似度越大。典型的相似度算法包括歐幾里得距離、Jaccard相似系數(shù)、余弦相似度等。歐幾里得距離的計(jì)算是基于各維度特征的絕對(duì)數(shù)值，指的是在m維空間中兩個(gè)點(diǎn)之間的真實(shí)距離。Jaccard相似系數(shù)主要用于計(jì)算符號(hào)度量或布爾值度量的個(gè)體間的相似度，其無(wú)法衡量差異具體值的大小，只關(guān)心個(gè)體間共同具有的特征是否一致。余弦相似度算法則用向量空間中兩個(gè)向量夾角的余弦值作為衡量?jī)蓚€(gè)個(gè)體間差異的大小的度量，其更加注重兩個(gè)向量在方向上的不同，相比于其他算法更適合應(yīng)用在智能變電站的各設(shè)備間多源告警證據(jù)的相似度的衡量上。因而，本文用余弦相似度算法[13]衡量智能變電站任意兩個(gè)節(jié)點(diǎn)設(shè)備間的相似度：

(7)

dAB越高則智能變電站中設(shè)備A、B發(fā)生相同攻擊的概率越大。計(jì)算完成后，將所有符合要求的告警證據(jù)集表示為：

E={(ei,ej)|dij≥δ,?i,j,i≠j}

(8)

式中：δ表示證據(jù)相似度閾值。進(jìn)一步，假設(shè)智能變電站中有k個(gè)設(shè)備符合要求，通過(guò)分析證據(jù)集E={e1,e2,…,ek}中的證據(jù)，可以得到證據(jù)集隸屬于某種攻擊θi的概率：

(9)

通過(guò)將單一告警證據(jù)模糊化處理，分析不同設(shè)備告警證據(jù)的相似度，得到有效的攻擊證據(jù)集，避免因錯(cuò)誤告警過(guò)多而影響攻擊取證的有效性，最后通過(guò)分析有效證據(jù)集判斷其屬于不同類型攻擊的概率。

4 案例分析

4.1 智能變電站多源告警數(shù)據(jù)

以圖1所示智能變電站網(wǎng)絡(luò)架構(gòu)來(lái)說(shuō)明本文所提方法的可行性和有效性。實(shí)驗(yàn)以UDP Flood攻擊[14-15]為例。當(dāng)間隔層設(shè)備收到UDP數(shù)據(jù)包時(shí)，檢測(cè)目的端口是否有正在等待的應(yīng)用程序，若不存在，其會(huì)給該偽造的源地址發(fā)送ICMP數(shù)據(jù)包。隨著不斷向間隔層設(shè)備的開放端口發(fā)送UDP數(shù)據(jù)包，導(dǎo)致整個(gè)系統(tǒng)負(fù)擔(dān)過(guò)重，通信緩慢甚至崩潰，不能處理合法的傳輸任務(wù)。具體流程如下：

(1)構(gòu)造UDP數(shù)據(jù)包。構(gòu)建與間隔層各類UDP數(shù)據(jù)包具體內(nèi)容相似的UDP數(shù)據(jù)包，以確保實(shí)驗(yàn)的有效性；

(2)檢測(cè)間隔層設(shè)備端口的開放性，為UDP攻擊作準(zhǔn)備；

(3)向間隔層設(shè)備的開放端口發(fā)送大量UDP報(bào)文，占用網(wǎng)絡(luò)資源，導(dǎo)致無(wú)法正常通信；

(4)監(jiān)控主機(jī)抓取數(shù)據(jù)包。

當(dāng)實(shí)際系統(tǒng)遭到攻擊時(shí)，首先從智能變電站的各層設(shè)備中得到多源異構(gòu)的告警數(shù)據(jù)，對(duì)智能變電站而言，同一設(shè)備產(chǎn)生的告警類型可能不同，通過(guò)分析智能變電站不同設(shè)備的告警信息，我們將告警類型分為事故告警、異常告警、變位告警、越限告警、告知告警，某一時(shí)間段內(nèi)，變電站的部分告警信息如表2所示。

表2 變電站的部分告警信息

攻擊實(shí)施后，先對(duì)多源異構(gòu)的告警數(shù)據(jù)進(jìn)行預(yù)處理，再截取某段時(shí)間內(nèi)智能變電站各設(shè)備的告警信息如表3所示。

表3 某段時(shí)間內(nèi)智能變電站各設(shè)備告警信息統(tǒng)計(jì)表

然后進(jìn)行攻擊類型匹配。具體流程如下：先逐條分析設(shè)備告警信息判斷是否屬于某種攻擊特征，如果屬于，則將對(duì)應(yīng)的NA,θ數(shù)量增加1。以典型的兩種攻擊為例，其在攻擊特征庫(kù)中的表現(xiàn)形式如表4所示，如果告警信息中出現(xiàn)表4所示情況，則可以判斷其隸屬的攻擊類型。另外，由于不同攻擊類型的攻擊特征可能具有相似性，例如“安全日志異?！本蟽煞N示例攻擊的特征，因此某一設(shè)備攻擊支持度之和可能不為1，即∑μA(θ)≠1。

表4 變電站的部分告警信息

4.2 取證分析

攻擊特征庫(kù)中包含UDP Flood和重放攻擊兩種攻擊類型，即表示為Θ={θ1,θ2}。統(tǒng)計(jì)表中的五個(gè)節(jié)點(diǎn)設(shè)備用A、B、C、D、E來(lái)表示，并將設(shè)備A的告警證據(jù)集表示為eA={e1,e2,…,eNA}，以此類推。將節(jié)點(diǎn)設(shè)備的告警證據(jù)集與攻擊特征庫(kù)相匹配，得到的統(tǒng)計(jì)結(jié)果如表5所示。

表5 攻擊特征匹配結(jié)果

表5中，u(θ1)、u(θ2)代表各設(shè)備對(duì)攻擊θ1、θ2的支持度。將隸屬度函數(shù)a、b的值設(shè)為0.3和0.7。即可以將攻擊θi的告警證據(jù)的隸屬度函數(shù)表示為：

(10)

通過(guò)隸屬度函數(shù)分別計(jì)算各設(shè)備對(duì)不同攻擊類型支持度的模糊隸屬度并進(jìn)行歸一化處理，得到的結(jié)果如表6所示。

表6 支持度的模糊隸屬度以及歸一化結(jié)果

采用余弦相似度算法計(jì)算任意兩節(jié)點(diǎn)設(shè)備間的相似度即[AB,AC,AD,AE,BC,BD,BE,CD,CE,DE]，其結(jié)果為[1,1,0.72,0.09,1,0.72,0.08,0.73,0.11,0.71]。

將相似度閾值δ置為0.8，由此可見(jiàn)，設(shè)備A、B、C相似度比較高，即智能變電站的這三個(gè)設(shè)備發(fā)生相同攻擊的概率比較大。現(xiàn)智能變電站中有三個(gè)設(shè)備符合E={(ei,ej)|dij>δ,?i,j,i≠j}，通過(guò)分析告警證據(jù)集E={eA,eB,eC}中的證據(jù)，計(jì)算出證據(jù)集隸屬于攻擊θ1、θ2的概率，即p(θ1)=0.68、p(θ2)=0.32。

若考慮到設(shè)備D、E，則可以將告警證據(jù)集表示為E={eA,eB,eC,eD,eE}。分別計(jì)算出證據(jù)集隸屬于攻擊θ1、θ2的概率：p′(θ1)=0.58、p′(θ2)=0.42。本次實(shí)驗(yàn)采用的UDP Flood攻擊，依據(jù)本文方法將攻擊隸屬于UDP Flood攻擊的概率由0.58提升至0.68，可見(jiàn)通過(guò)將證據(jù)模糊化的取證方法可以有效去掉誤報(bào)。為了驗(yàn)證此方法對(duì)不同攻擊的有效性，分別采用UDP Flood、SYN Flood、重放攻擊、中間人攻擊、錯(cuò)誤數(shù)據(jù)注入攻擊[8-9,14]進(jìn)行測(cè)試，實(shí)驗(yàn)結(jié)果如圖3所示。

圖3 誤報(bào)消除效果對(duì)比實(shí)驗(yàn)

由此可見(jiàn)，本文提出的基于模糊證據(jù)推理的智能變電站多源告警數(shù)據(jù)的攻擊取證方法可有效減少不同攻擊對(duì)智能變電站產(chǎn)生的誤報(bào)。

5 結(jié) 語(yǔ)

本文提出基于模糊證據(jù)推理的智能變電站多源告警數(shù)據(jù)的攻擊取證方法。首先介紹智能變電站的網(wǎng)絡(luò)架構(gòu)、告警數(shù)據(jù)的多源異構(gòu)特性，以及常見(jiàn)的攻擊。通過(guò)對(duì)智能變電站各個(gè)設(shè)備的告警證據(jù)進(jìn)行預(yù)處理和模糊化處理，將多源異構(gòu)的告警證據(jù)統(tǒng)一化，再利用余弦相似度算法分析設(shè)備之間的證據(jù)相似度，得到符合要求的攻擊證據(jù)集以減少誤報(bào)。最后以UDP Flood攻擊為例，對(duì)方法的有效性進(jìn)行驗(yàn)證。

本文方法能夠有效解決單個(gè)設(shè)備無(wú)法解決的誤報(bào)問(wèn)題，對(duì)提高工控系統(tǒng)的數(shù)據(jù)可靠性、還原攻擊場(chǎng)景等方面具有積極意義。