呂卓，郭志民，陳岑，莫堅松，常朝穩(wěn)

（1.國網(wǎng)河南省電力公司電力科學(xué)研究院，鄭州 450052； 2.中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué)，鄭州 450004）

近年來，國內(nèi)外由于嵌入式設(shè)備遭受攻擊造成的電力系統(tǒng)安全事故屢有發(fā)生，2015年12月23日發(fā)生的烏克蘭電網(wǎng)遭受黑客攻擊導(dǎo)致大面積用戶停電事件，成為世界上首例由于黑客入侵而導(dǎo)致的大面積停電事故，如何保障電網(wǎng)控制系統(tǒng)的安全穩(wěn)定運行已經(jīng)成為了各國保障國家安全的重要研究課題。

相對于傳統(tǒng)PC設(shè)備，智能電網(wǎng)設(shè)備關(guān)注更優(yōu)的硬件適配、更少的資源占用及更可靠的系統(tǒng)運行等問題，而對其自身信息安全缺少足夠的防護，攻擊者很容易通過各種安全漏洞侵入到智能電網(wǎng)設(shè)備中實施干擾、監(jiān)視甚至遠程控制［1-3］。由于嵌入式設(shè)備自身計算及存儲資源有限，面對各類網(wǎng)絡(luò)攻擊行為時顯的力不從心［4-6］，現(xiàn)有智能電網(wǎng)設(shè)備面臨的安全形勢非常嚴峻。

目前，國內(nèi)外已廣泛開展智能設(shè)備網(wǎng)絡(luò)威脅監(jiān)測分析工作。文獻［7］基于屬性的多源事件融合模型，構(gòu)建了源網(wǎng)荷系統(tǒng)惡意攻擊關(guān)聯(lián)分析方法；文獻［8］設(shè)計了基于自體集密度自動劃分聚類方法，開展自適應(yīng)免疫計算的網(wǎng)絡(luò)攻擊檢測。同時，也有采用度量方法對系統(tǒng)安全運行狀態(tài)進行評估。文獻［9］提供了一種基于網(wǎng)絡(luò)流量評估、威脅評估、和漏洞評估3個模塊的網(wǎng)絡(luò)安全態(tài)勢評估模型，彌補了僅靠單一網(wǎng)絡(luò)因素導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢的評估不夠全面的問題；文獻［10］通過建立網(wǎng)絡(luò)信息系統(tǒng)的安全效用基線，對網(wǎng)絡(luò)系統(tǒng)的標識特征、流量特征、效用影響進行度量評估，從而實現(xiàn)面向網(wǎng)絡(luò)系統(tǒng)安全度量的攻擊檢測。上述方法在網(wǎng)絡(luò)攻擊威脅檢測方面均有一定優(yōu)勢，但在實際應(yīng)用中存在以下問題：與電力控制業(yè)務(wù)的結(jié)合深度不足，導(dǎo)致檢測方法效率不高；無法對于操作系統(tǒng)運行過程中動態(tài)變化的內(nèi)容進行度量，檢測準確率難以滿足要求。

本文針對智能電網(wǎng)嵌入式設(shè)備安全防護方面存在的上述挑戰(zhàn)，提出了一種基于組件動態(tài)可信度量的智能電網(wǎng)嵌入式設(shè)備網(wǎng)絡(luò)攻擊行為動態(tài)評估方法。相比于其他度量方法，該方法充分考慮了智能電網(wǎng)設(shè)備嵌入式系統(tǒng)“行為有限”和“狀態(tài)有限”特點，在保證設(shè)備運行可靠性的前提下，通過對各種真實攻擊行為的準確捕捉，快速、準確地對已知或未知的電力系統(tǒng)網(wǎng)絡(luò)攻擊進行實時動態(tài)的安全檢測和評估，同時還能夠?qū)崿F(xiàn)網(wǎng)絡(luò)攻擊過濾裝置的數(shù)據(jù)包標識和解析判別模式與文件配置模式的隔離，有效阻止攻擊者通過網(wǎng)絡(luò)接口模塊對評估系統(tǒng)本身的攻擊，提高設(shè)備自身安全性，實現(xiàn)對電網(wǎng)嵌入式系統(tǒng)的有效保護。

1 方法架構(gòu)

1.1 方法整體架構(gòu)

智能電網(wǎng)嵌入式設(shè)備網(wǎng)絡(luò)攻擊行為動態(tài)評估方法主要針對智能電網(wǎng)環(huán)境下各種嵌入式控制系統(tǒng)提供安全防護，該方法主要由網(wǎng)絡(luò)接口模塊、安全控制模塊、嵌入式設(shè)備模擬機及安全分析服務(wù)器等部分組成。

運行時，由網(wǎng)絡(luò)接口模塊對當前通信網(wǎng)絡(luò)行為的網(wǎng)絡(luò)數(shù)據(jù)進行采集，利用安全控制模塊對所接收的實際嵌入式設(shè)備發(fā)送的數(shù)據(jù)進行解析判別，在嵌入式設(shè)備模擬機中對網(wǎng)絡(luò)行為的實際安全危害進行安全檢測與評估，并通過安全分析服務(wù)器在平臺配置屬性、平臺運行屬性及用戶認證屬性3個方面進行多維度屬性綜合度量，最終得出安全檢測結(jié)果。

智能電網(wǎng)嵌入式設(shè)備網(wǎng)絡(luò)攻擊行為動態(tài)評估方法的系統(tǒng)架構(gòu)如圖1所示。

圖1 面向智能電網(wǎng)嵌入式設(shè)備的網(wǎng)絡(luò)威脅動態(tài)評估方法架構(gòu)Fig.1 Framework of dynamic network threat evaluation method for smart grid embedded devices

本文在文獻［11］所提出的智能電網(wǎng)嵌入式設(shè)備網(wǎng)絡(luò)檢測評估系統(tǒng)與檢測評估方法的基礎(chǔ)上，在安全控制模塊中增加了解析判別模式與文件配置模式，通過2種模式物理切換實現(xiàn)了系統(tǒng)運行時內(nèi)外部環(huán)境的隔離，有效阻止針對安全控制模塊本身的攻擊。以下對各模塊具體功能進行說明。

1.2 方法模塊設(shè)計

1.2.1 網(wǎng)絡(luò)接口模塊

網(wǎng)絡(luò)接口模塊用于完成IP數(shù)據(jù)包的收發(fā)，包括外部網(wǎng)絡(luò)接口模塊和內(nèi)部網(wǎng)絡(luò)接口模塊。

1）外部網(wǎng)絡(luò)接口模塊連接安全控制模塊和智能電網(wǎng)網(wǎng)絡(luò)，用于接收外部通信網(wǎng)絡(luò)所發(fā)送的IP數(shù)據(jù)包并傳送給安全控制模塊，以及接收安全控制模塊所發(fā)送的IP數(shù)據(jù)包并通過外部通信網(wǎng)絡(luò)進行發(fā)送。

2）內(nèi)部網(wǎng)絡(luò)接口模塊分別連接安全控制模塊、嵌入式設(shè)備模擬機、實際嵌入式設(shè)備，用于接收安全控制模塊所發(fā)送的IP數(shù)據(jù)包并傳送給實際嵌入式設(shè)備或嵌入式設(shè)備模擬機，以及接收實際嵌入式設(shè)備所發(fā)送的IP數(shù)據(jù)包并傳送給安全控制模塊。

1.2.2 安全控制模塊

安全控制模塊保存有與之相應(yīng)目的地址和來源地址對應(yīng)的密鑰、發(fā)送序列號及接收序列號，用于對所接收的網(wǎng)絡(luò)數(shù)據(jù)包進行解析判別。

安全控制模塊還連接有開關(guān)模塊，開關(guān)模塊的信號輸出端連接安全控制模塊的信號輸入端。開關(guān)模塊用于向安全控制模塊輸入高電平或低電平信號，安全控制模塊根據(jù)接收到開關(guān)模塊發(fā)送的不同信號分別執(zhí)行IP數(shù)據(jù)包標識和解析判別模式與文件配置模式。

文件配置模式下，安全控制模塊僅通過串口通信模塊與外界進行通信。當安全控制模塊執(zhí)行攻擊過濾模式時，安全控制模塊從內(nèi)部啟動，即從內(nèi)部存儲單元中讀取IP數(shù)據(jù)包標識和解析判別程序并執(zhí)行，安全控制模塊不能訪問外部存儲器，能夠保證不會篡改外部存儲中的程序，進而保證了配置程序的安全。當安全控制模塊執(zhí)行配置程序運行模式時，安全控制模塊從外部存儲器中讀取配置程序并執(zhí)行，配置程序在用戶的計算機中運行，用戶計算機通過串口通信模塊與安全控制模塊進行通信，此時安全控制模塊中運行配置程序，與用戶的計算機形成C／S的工作模式。系統(tǒng)利用硬件開關(guān)隔離安全控制模塊2種運行模式，安全控制模塊執(zhí)行配置程序時不通過網(wǎng)絡(luò)進行，能夠有效阻止通過網(wǎng)絡(luò)接口模塊發(fā)起的針對安全控制模塊本身的攻擊，不論安全控制模塊的配置程序有無漏洞，攻擊者均不能修改安全控制模塊的配置程序，安全性大為提高。

1.2.3 嵌入式設(shè)備模擬機

嵌入式設(shè)備模擬機用于對實際嵌入式設(shè)備的運行環(huán)境和計算環(huán)境進行模擬，包括硬件環(huán)境模擬和軟件環(huán)境模擬，并對實際嵌入式設(shè)備受到網(wǎng)絡(luò)攻擊時其網(wǎng)絡(luò)狀態(tài)和主機狀態(tài)變化進行檢測，將網(wǎng)絡(luò)狀態(tài)及主機狀態(tài)信息發(fā)送至安全分析服務(wù)器進行分析。

嵌入式設(shè)備模擬機中包括硬件可信平臺模塊（TPM），用于實現(xiàn)信息采集與組件動態(tài)可信度量［12］。其中信息采集包括對于異常網(wǎng)絡(luò)事件和主機事件的采集。異常網(wǎng)絡(luò)事件信息包括異常的網(wǎng)絡(luò)數(shù)據(jù)信息和網(wǎng)絡(luò)流量信息，主機事件包括嵌入式設(shè)備模擬機配置信息和嵌入式設(shè)備模擬機運行信息［13-15］。組件動態(tài)可信度量是利用嵌入式設(shè)備模擬機的特權(quán)控制機制分析嵌入式設(shè)備模擬機內(nèi)的組件運行時的動態(tài)內(nèi)存影像，從而對運行組件進行有效的動態(tài)度量，及時發(fā)現(xiàn)組件運行異常情況，對攻擊做到主動防御，為嵌入式設(shè)備模擬機安全穩(wěn)定運行提供安全可信的計算和運行環(huán)境［16-18］。

1.2.4 安全分析服務(wù)器

安全分析服務(wù)器用于對嵌入式設(shè)備模擬機發(fā)送的網(wǎng)絡(luò)狀態(tài)及主機狀態(tài)信息進行分析，通過基于平臺配置屬性度量、平臺運行屬性度量和用戶認證屬性度量進行的多維度屬性綜合度量，得出最終面對外部攻擊下的設(shè)備安全檢測結(jié)果。

2 多維度屬性綜合度量方法

本文面向智能電網(wǎng)應(yīng)用場景，基于文獻［19-20］中提出的基于多維的環(huán)境信任度計算方法，在安全分析服務(wù)器中開展智能電網(wǎng)嵌入式設(shè)備的平臺配置屬性度量、平臺運行屬性度量、用戶認證屬性度量，最終綜合以上3個方面度量結(jié)果，計算多維度屬性綜合度量結(jié)果，如圖2所示。

圖2 多維度屬性綜合度量方法Fig.2 Multi-dimensional attribute comprehensive measurement method

2.1 平臺配置屬性度量

平臺配置屬性度量反映了智能電網(wǎng)嵌入式設(shè)備各項配置的完整度，從而對遭受攻擊時設(shè)備安全狀態(tài)進行評估。本文通過將各組件完整性度量值存儲在硬件可信平臺模塊TPM中，對其可信程度進行綜合計算。

1）TPM采用可信密碼技術(shù)，用于保證度量信息存儲與傳輸過程的安全性。組件完整性度量值即存儲在TPM中。

2）各組件的完整性由安全分析服務(wù)器進行驗證，安全分析服務(wù)器從TPM提供的安全通道中獲取到完整性度量值，對其開展安全性驗證。

3）計算平臺配置信任度TI，使用｛bS，dS，uS｝和｛bF，dF，uF｝分別表示完整性驗證成功和失敗的組件可信情況，bS表示該組件未受惡意代碼影響的可能性，dS表示該組件受惡意代碼影響的可能性，uS表示該組件受惡意代碼影響的不確定程度；bF表示該組件對系統(tǒng)安全性造成破壞的可能性，dF表示該組件不會對系統(tǒng)安全性造成破壞的可能性，uF表示該組件對系統(tǒng)安全性是否造成破壞的不確定程度。使用｛bI，dI，uI｝表示平臺配置信任度TI：

式中：bI為完整性狀態(tài)正常的概率；dI為完整性受到破壞的概率；uI為不確定度；n為組件的個數(shù)；f為完整性驗證失敗的組件數(shù)；κ為調(diào)整因子，一般?。╪－f）／n，信任組件隨著非信任組件的增多受影響越來越大。

2.2 平臺運行屬性度量

平臺運行屬性反映了嵌入式設(shè)備模擬機當前行為的信任屬性。平臺運行屬性包括性能特性（如CPU、內(nèi)存、硬盤使用情況和網(wǎng)絡(luò)流量信息等）、可靠性（如成功率、丟包率和平均無故障時間等）和安全性（如非法連接次數(shù)、端口掃描次數(shù)和越權(quán)嘗試企圖等）。

平臺運行屬性度量通過將正常的網(wǎng)絡(luò)通信事件作為正向事件，用r表示，將網(wǎng)絡(luò)惡意攻擊事件作為負向事件，用z表示。基于這些特性計算當前嵌入式設(shè)備模擬機運行情況的信任值TH，其中H表示平臺運行屬性，平臺運行屬性信任度TH由｛bH，dH，uH｝表示：

式中：bH為正常網(wǎng)絡(luò)通信的可能性；dH為非法網(wǎng)絡(luò)通信事件的可能性；uH為正常網(wǎng)絡(luò)通信的不確定程度。

2.3 用戶認證屬性度量

用戶認證屬性由其具有的身份憑證判定，并決定了其資源訪問權(quán)限，是行為控制的基本屬性。身份屬性不同，在同樣的平臺上，可能造成安全風(fēng)險也不同。當用戶為了獲得非法利益時，如訪問未授權(quán)資源，可能利用系統(tǒng)漏洞或其他技術(shù)手段假冒其他用戶身份，這就要求能對用戶提交的身份憑證的可信性做出度量，即計算認證信任等級。在系統(tǒng)中，用戶身份憑證可能有多種，如數(shù)字證書、指紋、虹膜乃至簡單的PIN碼，為了統(tǒng)一用戶身份屬性可信性的表達，用戶認證屬性度量采用認證方法被攻破的概率來計算認證信任級。用戶認證屬性度量問題實際上是計算多因素認證方式的破解概率問題。

用戶認證屬性度量具體步驟如下：

1）假設(shè)認證方法A被攻擊破解的概率是P（A），則該認證方法A的可信等級levelA＝－lg（P（A））。

2）如果系統(tǒng)采取多因素認證方案，A1，A2，…Am，m為認證因素的數(shù)量，如采用指紋、口令和證書3因素認證，那么m＝3；則該多因素認證法被攻破的條件是全部認證方法均被攻破，其概率為P（A1∩A2∩…∩Am）；假設(shè)用戶U通過了多因素認證，那么U通過系統(tǒng)認證后取得的可信等級AU表示為

2.4 多維度屬性綜合度量

基于平臺配置屬性度量、平臺運行屬性度量和用戶認證屬性度量進行多維度屬性綜合度量是在用戶認證屬性度量的基礎(chǔ)上，對平臺配置屬性度量和平臺運行屬性度量的加權(quán)平均。設(shè)αI和αH分別為平臺配置屬性度量和平臺運行屬性度量的權(quán)重，αI＋αH＝1，則嵌入式設(shè)備模擬機安全度量評估值TP＝｛bP，dP，uP｝為

式中：bP為實際嵌入式設(shè)備模擬機安全可信的可能性；dP為實際嵌入式設(shè)備模擬機非安全可信的可能性；uP為實際嵌入式設(shè)備模擬機安全可信的不確定程度。

基于式（4），即可得出最終安全評估結(jié)果。

3 實驗結(jié)果分析

3.1 實驗環(huán)境搭建

利用配電自動化模擬主站及真實DTU、FTU配電自動化終端搭建了一個配電自動化系統(tǒng)模擬仿真環(huán)境，并對攻擊行為檢測模型進行了系統(tǒng)實現(xiàn)，完成檢測系統(tǒng)與配電自動化系統(tǒng)的防護接入，如圖3所示。

圖3 實驗網(wǎng)絡(luò)結(jié)構(gòu)Fig.3 Experimental network structure

通過本文設(shè)計的多維度屬性綜合度量方法，對工具掃描、數(shù)據(jù)篡改、報文注入等一系列模擬攻擊行為進行評估，通過平臺配置、平臺運行、用戶認證等維度的度量結(jié)果，對攻擊行為進行實時檢測，并通過攻擊檢測準確率和業(yè)務(wù)響應(yīng)時間來檢驗該模型對于攻擊的實際檢測效果。

3.2 實驗過程分析

1）攻擊模擬。將自動化滲透工具接入配電自動化實驗網(wǎng)絡(luò)，工具中預(yù)置端口掃描、畸形報文、消息篡改、拒絕服務(wù)等多類安全攻擊測試腳本，對配電自動化終端設(shè)備開展不同類型的攻擊測試。

2）可信度量?；谇度胧皆O(shè)備虛擬機與安全分析服務(wù)器，依托本文設(shè)計度量方法，對網(wǎng)絡(luò)攻擊行為及該攻擊行為對嵌入式設(shè)備虛擬機內(nèi)配置狀態(tài)、運行狀態(tài)、用戶狀態(tài)造成的影響進行度量，確定不同攻擊模型下的度量評估影響，并根據(jù)綜合度量結(jié)果對于攻擊行為進行判斷評估。

3）結(jié)果呈現(xiàn)。本文設(shè)計的評估方法的目標是檢測智能電網(wǎng)嵌入式設(shè)備中的攻擊行為，因此本文對不同攻擊類型及不同攻擊頻率下的評估結(jié)果進行分析，并以攻擊行為檢測準確率與檢測響應(yīng)時間作為衡量本文所提評估方法的重要指標。同時將本方法實驗結(jié)果與當前主流的入侵檢測算法Apriori進行對比分析，以驗證本文方法的有效性和準確性。

其中，Apriori算法是一種挖掘關(guān)聯(lián)規(guī)則的頻繁項集算法，該算法被廣泛應(yīng)用在網(wǎng)絡(luò)入侵檢測中，具有較好的效果。但隨著網(wǎng)絡(luò)攻擊逐漸向定值化方向發(fā)展，傳統(tǒng)Apriori算法只對網(wǎng)絡(luò)層事件進行關(guān)聯(lián)，存在關(guān)聯(lián)精度不高的不足。

3.3 實驗數(shù)據(jù)對比

評估效果通過攻擊檢測準確率和響應(yīng)時間2個方面來體現(xiàn)。如圖4所示，由于配電自動化系統(tǒng)通信過程的行為有限和狀態(tài)有限特點，攻擊行為給嵌入式設(shè)備所帶來的狀態(tài)變化是非常明顯的，對于真實攻擊行為的檢測準確率比較高，同時由于本文方法結(jié)合了智能電網(wǎng)設(shè)備業(yè)務(wù)特點，其檢測準確率、響應(yīng)時間與Apriori算法相比均具有一定的優(yōu)勢。

圖4 攻擊行為檢測模型檢測效果（高攻擊頻率）Fig.4 Detection result of attack behavior detection model（high attack frequency）

如圖5所示，當減緩攻擊動作的發(fā)生頻率時，檢測準確率依然保持在較高的水平，但是由于單位時間窗內(nèi)生成的攻擊行為樣本縮小，響應(yīng)時間出現(xiàn)了一定的下滑，但是仍然能夠給出較為及時的安全響應(yīng)，在此種條件下，Apriori算法由于其依托的安全事件關(guān)聯(lián)性下降，其檢測指標同樣產(chǎn)生下滑，本文設(shè)計方法依然保持一定的檢測優(yōu)勢。

圖5 攻擊行為檢測模型檢測效果（低攻擊頻率）Fig.5 Detection result of attack behavior detection model（low attack frequency）

與此類算法相比，本文方法將攻擊行為與電網(wǎng)真實業(yè)務(wù)場景相結(jié)合，將攻擊影響與智能設(shè)備真實運行環(huán)境相結(jié)合，針對典型控制系統(tǒng)攻擊類型進行檢測對比分析，相比當前常用入侵檢測方法，顯著提升了針對智能電網(wǎng)設(shè)備的檢測準確率。

基于以上實驗環(huán)境，針對本文所設(shè)計的安全控制模塊自身安全性開展攻擊測試，以驗證方法自身抵抗外部攻擊的防護能力。

如表1所示，利用命令執(zhí)行、畸形數(shù)據(jù)、內(nèi)存溢出、內(nèi)核提權(quán)及拒絕服務(wù)等攻擊手段對于本文設(shè)計安全控制模塊進行攻擊，由于本文方法采用了內(nèi)外部存儲隔離、網(wǎng)絡(luò)接口隔離等安全控制方法，能夠?qū)ν獠烤W(wǎng)絡(luò)進行有效的邊界隔離，使得攻擊行為無法訪問到真實控制系統(tǒng)，即使在核心模塊存在漏洞的情況下，不會引入新的風(fēng)險點，保證動態(tài)度量系統(tǒng)自身的安全性，滿足智能電網(wǎng)嵌入式設(shè)備自身的安全防護需求。

表1 攻擊防御測試Table 1 Attack protection test

4 結(jié) 論

本文提出了一種智能電網(wǎng)嵌入式設(shè)備網(wǎng)絡(luò)攻擊行為動態(tài)評估方法和系統(tǒng)，能夠?qū)崿F(xiàn)對嵌入式設(shè)備網(wǎng)絡(luò)攻擊行為的實時動態(tài)評估，同時能夠更加真實反映攻擊行為對設(shè)備狀態(tài)與業(yè)務(wù)運行帶來的影響，主要具備以下特點：

1）在應(yīng)對常規(guī)網(wǎng)絡(luò)攻擊方面，本文方法能夠保持很高的檢測準確率與較低的響應(yīng)時間。

2）在面臨針對電網(wǎng)業(yè)務(wù)的隱蔽性攻擊行為方面，由于攻擊者普遍會降低攻擊強度和攻擊頻次，普通檢測方法難以保持較好檢測效果。本文方法充分結(jié)合電網(wǎng)業(yè)務(wù)場景，檢測準確率和響應(yīng)時間始終保持在較高水平。

3）本文系統(tǒng)在提供高效檢測能力的同時，通過引入內(nèi)外部存儲隔離、網(wǎng)絡(luò)接口隔離等安全控制機制，充分保證了自身系統(tǒng)的安全性，避免了引入新的安全風(fēng)險。

智能電網(wǎng)設(shè)備承載業(yè)務(wù)眾多，未來將針對不同電網(wǎng)業(yè)務(wù)對方法進一步優(yōu)化，提升針對智能電網(wǎng)的全面防護能力。