李惠軍，陸建強，周霞*，解相朋，萬磊

（1.國電南瑞科技股份有限公司，南京 211106；2.南京郵電大學碳中和先進技術研究院，南京 210023）

0 引言

綜合能源系統(tǒng)中不同能源系統(tǒng)之間、電力網絡與信息網絡之間的耦合關系以及電力信息通信系統(tǒng)對電力物理系統(tǒng)的支撐作用不斷提高［1-3］。智慧園區(qū)內部將風電、光伏等可再生能源與負荷終端以及儲能設備組合成區(qū)域微電網，逐漸成為一種具有通信能力的多源信息物理系統(tǒng)［4-5］。然而，針對智慧園區(qū)系統(tǒng)的網絡攻擊行為在近年來不斷發(fā)生，如虛假數據注入攻擊［6］、拒絕服務攻擊［7-8］等。同時，由于系統(tǒng)漏洞或工作人員誤操作等原因，園區(qū)內部網絡和設備現場智能終端上同樣面臨著網絡攻擊的威脅［9-10］。因此，如何挖掘異常事件與網絡攻擊之間的關聯關系，對異常事件實時匹配，識別攻擊場景，部署攻擊防護策略消除攻擊影響，保證智慧園區(qū)系統(tǒng)的安全穩(wěn)定運行至關重要。

目前，關聯規(guī)則分析技術已廣泛運用于輸電線路缺陷狀態(tài)預測［11-12］、安全分析［13］、網絡攻擊場景識別［14-17］等領域。文獻［14］提出采用關聯規(guī)則分析算法提取網絡攻擊報警事件的特征，生成網絡攻擊事件組合規(guī)則，實現對網絡攻擊行為的有效預警。傳統(tǒng)電網環(huán)境下，經典關聯規(guī)則分析Apriori 算法能夠有效地挖掘電網各層次頻繁項集，生成電網網絡攻擊場景下的關聯規(guī)則［15］。然而，傳統(tǒng)Apriori 算法在挖掘頻繁項集的過程中，在內存占用、計算性能等方面具有一定局限性［16］。雖已有部分專家提出從減少數據庫掃描次數，并利用頻繁預選項剪枝的方式對傳統(tǒng)Apriori 算法進行改進［17］，但面對智慧園區(qū)系統(tǒng)海量實時數據時容易產生過多的候選頻繁項集，存儲成本較大且實時性無法滿足。同時，機器學習等智能算法也逐步運用于網絡攻擊關聯分析當中，通過對電力通信側異常事件初步分類，利用遺傳算法自動生成對應不同網絡攻擊場景的關聯規(guī)則，并基于時序邏輯實現關聯規(guī)則的匹配［18］。但該方法需要對所有攻擊場景內的關聯規(guī)則依次進行匹配，異常事件匹配效率不高。文獻［19］利用貝葉斯網絡模型挖掘多步攻擊間存在的關聯規(guī)則，描述網絡攻擊場景圖，實現網絡攻擊場景的預測。貝葉斯模型需要知道先驗概率，假設的先驗概率往往會影響預測結果，從而無法保證其可靠性。

針對不同網絡攻擊場景，科研人員提出了安全防護策略與防護技術，提高安全防護能力［20-21］，保障電力通信系統(tǒng)的安全穩(wěn)定運行。文獻［22］針對網絡攻擊對信息側與物理側的影響，從時間維度上的事前防御和事后恢復出發(fā)，總結歸納了相關網絡攻擊防御手段，但并未指出如何識別相關網絡攻擊場景。文獻［23］針對電力系統(tǒng)智能終端業(yè)務特征，總結提出了電力系統(tǒng)智能終端信息安全防護需要研究的關鍵技術，構建安全防護研究框架，但文中未考慮通信側所受的網絡攻擊威脅［24］。

針對上述方法存在的問題，為了解決網絡攻擊場景識別效率慢、準確率低的問題。本文首先提出基于頻繁模式增長（Frequent Pattern-Growth，FPGrowth）算法的網絡攻擊異常事件關聯規(guī)則分析技術，相較于傳統(tǒng)關聯規(guī)則算法，大幅提高關聯規(guī)則離線訓練的效率，適應智慧園區(qū)系統(tǒng)海量數據的環(huán)境。其次，利用灰色關聯分析算法實現實時異常事件與關聯規(guī)則的在線匹配，有效提高了網絡攻擊場景識別效率與準確率。同時，針對匹配的攻擊場景所對應的環(huán)節(jié)提出網絡攻擊防護策略，應用相應的攻擊防護技術，進行網絡攻擊防御，消除攻擊影響，提高智慧園區(qū)系統(tǒng)面對各層次網絡攻擊的應對能力。最后，與2 種Apriori 算法在不同數據量下的關聯規(guī)則挖掘速度進行對比，驗證所提方法的分析效率；以智慧園區(qū)系統(tǒng)負荷頻率控制（Load Frequency Control，LFC）業(yè)務為場景驗證本文所提網絡攻擊防護策略的必要性和有效性。

1 智慧園區(qū)系統(tǒng)下網絡安全防護體系分析

現有的智慧園區(qū)系統(tǒng)內部主要按照“安全分區(qū)，網絡專用，橫向隔離，縱向認證”16 字方針以提升智慧園區(qū)內外網絡邊界處的網絡安全防護。然而，隨著園區(qū)內終端接入數量的陡增，新型源網荷儲智能終端友好互動需求不斷增加，園區(qū)內部網絡和設備現場關鍵測量和控制設備上同樣面臨著來自不同方面的威脅，智慧園區(qū)系統(tǒng)網絡安全攻防體系示意如圖1 所示。利用操作系統(tǒng)漏洞、數據庫漏洞、注入木馬程序、監(jiān)聽破解報文和第三方運維人員的違規(guī)操作等方式，針對不同環(huán)節(jié)產生不同網絡攻擊類型，如分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）、中間人攻擊等，從而導致設備拒動誤動或通信的中斷，最終造成大面積停電事故的發(fā)生。

結合對智慧園區(qū)系統(tǒng)內網絡安全防護體系的分析，對存在網絡攻擊威脅的攻擊場景與異常表現形式進行歸納總結，見表1。針對智慧園區(qū)系統(tǒng)的網絡攻擊，以破壞網絡安全3 要素為目標。主要通過非法監(jiān)聽報文、會話劫持等方式破壞其保密性；通過修改配置參數、設備重啟動等方式破壞其完整性；通過拒絕服務攻擊、偽造控制指令等方式破壞其可用性。因此，智慧園區(qū)系統(tǒng)內信息側的信息安全與物理側的安全穩(wěn)定運行均受到極大的影響，其異常表現形式復雜且多樣，主要分為2類。

表1 智慧園區(qū)系統(tǒng)網絡攻擊場景及異常表現形式Table 1 Network attack scenarios and abnormal manifestations of the smart park system

如何將智慧園區(qū)系統(tǒng)內實時異常事件與網絡攻擊場景進行在線匹配，根據攻擊場景提出相應的網絡攻擊防護策略，消除攻擊影響使智慧園區(qū)系統(tǒng)安全穩(wěn)定運行，是目前亟須解決的問題。

2 智慧園區(qū)系統(tǒng)網絡攻擊關聯分析方法

為了實現智慧園區(qū)系統(tǒng)內實時異常事件與關聯規(guī)則的快速匹配，以實現對網絡攻擊場景的準確快速識別。本文借助FP-Growth 算法和灰色關聯分析算法構建智慧園區(qū)系統(tǒng)網絡攻擊異常事件關聯分析框架，如圖2所示。

圖2 智慧園區(qū)系統(tǒng)網絡攻擊異常事件關聯分析框架Fig.2 Association analysis on the abnormal network attack events in the smart park system

2.1 智慧園區(qū)系統(tǒng)攻擊關聯規(guī)則生成

2.1.1 異常事件數據預處理模塊

分析網絡攻擊異常事件需要獲取有效且具有代表性的特征數據構成項集。根據上述多維度攻擊異常表現形式、攻擊場景分類、攻擊對象分析可知，引起異常事件的攻擊異常表現形式和攻擊場景這2 個數據量是分析網絡攻擊異常事件、提取關聯規(guī)則的必需元素。由此可構建網絡攻擊異常事件關鍵因素集合

式中：Si為攻擊場景；Ai為網絡攻擊異常表現形式；Oi為數據來源對象。

歸納得出主要攻擊場景有9 類，包括修改配置參數、會話劫持、設備重啟動、篡改量測數據、偽造控制指令、非法監(jiān)聽報文、惡意控制通信、拒絕服務攻擊和設備鎖控制；攻擊異常表現形式主要包含9類，分別為電壓異常、電流異常、切負荷量異常、設備拒動/誤動、時變電價異常、網絡流量異常、終端違規(guī)外聯、業(yè)務應用拒絕服務、用戶數據泄露。

讀取智慧園區(qū)電力側與通信側終端設備的日志文件，對日志中異常數據進行編號。其中，電壓異常、電流異常、切負荷量異常等9類攻擊異常表現形式用1—9進行編號，而修改配置參數、會話劫持、設備重啟動等9 類攻擊場景用A—I 進行編號，每一條數據如E1=｛A，1，C，D，3，6｝。并將處理后的數據寫入網絡攻擊異常事件數據集。

2.1.2 基于FP-Growth的關聯規(guī)則訓練算法

區(qū)別于傳統(tǒng)利用Apriori 算法實現頻繁項集和關聯規(guī)則挖掘，FP-Growth 算法采用FP 樹存儲數據集，減少數據集掃描次數，算法流程如下。

（1）1 次掃描異常事件數據集，對每一條數據，統(tǒng)計Si或Ai頻繁1 項集的個數，去除低于支持度閾值的Si或Ai，建立異常事件項表頭，如圖3所示。

圖3 網絡攻擊異常事件數據集1次掃描Fig.3 The 1st scan for the data set of abnormal network attack events

（2）2 次掃描異常數據集，對每一條數據，剔除不在項表頭中的Si或Ai，并按照支持度降序排序，重新建立異常數據數據集，如圖4所示。

圖4 網絡攻擊異常事件數據集2次掃描Fig.4 The 2nd scan for the data set of abnormal network attack events

（3）讀取新建異常數據集，建立FP樹，其中樹中的每一個節(jié)點表示Si或Ai和其在新建異常數據集中出現的次數，從根節(jié)點到葉子節(jié)點的每一條路徑表示1 條異常數據。同時可遞歸建立Si或Ai對應的條件模式基，獲得頻繁項集，如圖5所示。

圖5 FP樹建立與條件模式基獲取Fig.5 FP tree establishment and conditional pattern base acquisition

基于FP-Growth 算法實現的智慧園區(qū)系統(tǒng)網絡攻擊異常事件的頻繁項集，挖掘事件之間潛在的關聯關系，建立網絡攻擊關聯規(guī)則庫，處理流程如圖6所示。通過該方法，可以快速挖掘攻擊場景Si與網絡攻擊異常表現形式Ai之間滿足最小置信度的頻繁項集，獲得二者之間的關聯規(guī)則，寫入網絡攻擊規(guī)則庫，為在線網絡攻擊場景匹配提供基礎。

圖6 基于FP-Growth的網絡攻擊關聯規(guī)則挖掘流程Fig.6 Mining process of network attack association rules based on FP-Growth

例如，網絡攻擊異常表現形式Ai中1和2與攻擊場景Si中的C 置信度較高，則可以生成關聯規(guī)則：［1+2］→［C］，即表示電壓異常和電流異常與偽造控制指令信號之間存在關聯關系。

2.2 智慧園區(qū)系統(tǒng)攻擊關聯匹配模塊

在生成關聯規(guī)則后，需要將智慧園區(qū)系統(tǒng)內實時異常事件與關聯規(guī)則進行快速匹配，以實現對攻擊場景的快速識別。提出了基于灰色關聯分析的智慧園區(qū)系統(tǒng)攻擊關聯匹配模塊。

首先對于實時異常事件，選取表1 中的9 種網絡攻擊異常表現形式構成異常事件屬性集X=｛x1，x2，x3，x4，x5，x6，x7，x8，x9｝；設置各指標的最優(yōu)值（或最劣值）構成參考屬性集Y=｛y1，y2，y3，y4，y5，y6，y7，y8，y9｝。同時，為了計算屬性集中各屬性與參考屬性之間的關聯度，建立了實時比較數列Xi（k）與參考數列Y（k）。

式中：k為不同時刻；i為屬性集中的不同屬性。

由于各因素列中的數據的量綱存在不同，因此在評估實時異常事件各屬性與參考屬性之間的關聯度之前需要對數據進行無量綱化處理，主要采用以下2種方法，分別為初值化處理和均值化處理：

利用無量綱化處理后的數據計算各時段下的關聯系數ξi(k)

式中：ρ為分辨系數。ρ越小，分辨力越大，通常取ρ=0.5。

最后，計算比較數列與參考數列在各個時刻的關聯系數平均值，即為實時異常事件各屬性與參考屬性之間的關聯度ri

對單個屬性設定不同的閾值β，通過對比閾值β與對應屬性的關聯度ri，判斷該屬性對應的異常表現是否發(fā)生。例如，對電流異常的關聯度計算可以設定為

由此，可以得到實時異常事件對于網絡攻擊異常表現形式的元素集合，結合網絡攻擊規(guī)則庫中的關聯規(guī)則，將實時異常事件對應的異常表現形式與關聯規(guī)則中的異常表現形式進行比對，實現對攻擊場景的快速識別。

3 智慧園區(qū)系統(tǒng)網絡攻擊防護策略

智慧園區(qū)內部雖已普遍采用專網專用，區(qū)域之間采用縱向認證的方式進行防護，但園區(qū)內部多種能源種類在傳輸分配和儲存消納的過程中也同時衍生出園區(qū)內部網絡攻擊與設備現場攻擊等新型網絡攻擊形式。本節(jié)基于所提出的網絡攻擊關聯規(guī)則分析方法對異常事件進行匹配，針對匹配的攻擊場景所對應的環(huán)節(jié)提出網絡攻擊防護策略，應用相應的攻擊防護技術，進行攻擊防御消除攻擊影響?；诓煌魣鼍暗木W絡攻擊防護策略如圖7所示。

圖7 基于不同攻擊場景的網絡攻擊防護策略Fig.7 Network attack protection strategies for different attack scenarios

（1）主站側的攻擊防御防護技術包括網絡隔離、地址管理、認證校驗和數據加密等技術。

1）網絡隔離：采用應用層數據提取技術和專用的數據傳輸協議，實現互聯網與園區(qū)內部專用網絡之間的數據交互，并進行審計、過濾，降低網絡安全風險。

2）地址管理：對數據傳輸設備和站點分配可信固定地址，僅接收來自固定地址的數據，對異常數據來源的地址拉入黑名單，防止地址被攻擊者所盜用。

3）認證校驗：在檢測到主站側出現網絡攻擊之后，對下發(fā)的控制指令利用異或和、哈希算法等加密算法添加校驗碼，保證其完整性。

4）數據加密：對傳輸的數據進行加密，主要通過對稱加密、非對稱加密等形式。同時，為了保證指令下發(fā)的實時性，需要對密鑰加密算法進行合理改進，保證其安全性。

（2）通信側的攻擊防御防護技術包括證書驗證、限制帶寬、報文過濾和資源調配等技術。

1）證書驗證：在傳輸數據時，利用數字證書和CA去驗證公鑰持有者的身份，防止攻擊方冒充。

2）限制帶寬：為防止傳輸協議等洪泛攻擊對通信的影響，對報文設置流量閾值，防止網絡異常報文的大量涌入，占用帶寬資源。

3）報文過濾：為防止大量重復性報文造成的網絡堵塞，可通過識別報文類型，對報文進行過濾，濾除與業(yè)務無關的重復報文。

4）資源調配：面向優(yōu)先級較高的通信業(yè)務，設置備用帶寬資源，在檢測到出現通信網絡阻塞時啟用備用帶寬，實時消除攻擊影響，保證通信順暢。

（3）終端側的攻擊防御防護技術包括設備隔離、地址加密、訪問授權、可信芯片等技術。

1）設備隔離：對出現異常的終端及時殺死進程，斷開本地網絡，同時去除物理地址綁定，關閉端口，增加訪問控制策略。

2）地址加密：為了應對攻擊方通過竊聽獲取主機地址信息，偽裝自身地址下發(fā)虛假指令，利用地址跳變技術，實現主機地址的動態(tài)變化。

3）訪問授權：在終端連接時需向服務器發(fā)送授權配置信息，并將終端登陸標識添加到目標終端通信目錄當中，同時設置有效時限定時刷新。

4）可信芯片：在智能終端內部嵌入可信芯片，只有通過可信芯片的認證，才能確保終端連接、控制可信。

4 算例分析

本節(jié)首先針對網絡攻擊的關聯規(guī)則分析方法在智慧園區(qū)系統(tǒng)大數據量狀態(tài)下的訓練速度進行分析，通過與傳統(tǒng)算法在不同數據量下的訓練時間進行對比，驗證本文所提方法的有效性；其次，建立多電源區(qū)域互聯電網模型，模擬智慧園區(qū)內以孤島模式運行的微網系統(tǒng)，分析所提防護策略對LFC 業(yè)務的影響。

4.1 關聯規(guī)則訓練算法效率分析

本文采用Java 語言實現了FP-Growth 算法、傳統(tǒng)的Apriori 算法和改進的Apriori 算法，在同一臺內存為16 GB，安裝Windows 11 的64 位操作系統(tǒng)，部署JDK 1.8版本的主機下進行仿真。分別采用某智慧園區(qū)內異常數據集作為訓練樣本，通過設置不同數據量（1 000，3 000，5 000，10 000，50 000，80 000）的數據，進行關聯規(guī)則的訓練，并對訓練效率進行對比，結果如圖8所示。

圖8 不同數據量下3種算法訓練時間對比Fig.8 Three algorithms'training time with data in different volumes

由圖8 可知，相較于傳統(tǒng)的Apriori 算法和改進的Apriori 算法，本文所提出的方法在不同數據量下，訓練時間均有大幅度降低，可以有效降低異常事件關聯規(guī)則的訓練事件，提高訓練效率。在大數據量下，本文所提方法在訓練時間上的優(yōu)勢更為明顯。例如在80 000 條數據時，本文所提方法相較于傳統(tǒng)Apriori算法效率提高了近370倍。隨著數據量的增加，本文所提方法對于在訓練時間上并沒有大幅度的增加。從1 000 條數據到80 000 條數據，訓練時間僅增加了不到5 倍，更加適用于智慧園區(qū)系統(tǒng)海量數據的環(huán)境。

4.2 網絡攻擊防護策略效果分析

為了模擬智慧園區(qū)系統(tǒng)中以孤島模式運行的微電網系統(tǒng)，本節(jié)在Matlab/Simulink 平臺搭建兩區(qū)域互聯微電網LFC 模型。其中，將風電其作為擾動負荷加入互聯系統(tǒng)當中。而飛輪儲能通過與微電網進行有功/無功交換，提高LFC 效果。利用標準單元模型對每個微電網進行建模，并利用分布式比例積分微分（Proportion Integration Differentiation，PID）控制器以區(qū)域控制誤差（Area Control Error，ACE）信號通過通信網絡傳輸到控制器中實現頻率控制。同時考慮DDoS 下對控制信號量傳輸時延的影響，多區(qū)域互聯系統(tǒng)第i區(qū)域LFC模型如圖9所示。

圖9 網絡攻擊下多區(qū)域互聯系統(tǒng)第i區(qū)域LFC模型Fig.9 LFC model for the ith area of the interconnected multiarea system under cyber attacks

在兩區(qū)域互聯系統(tǒng)中，各微電源與聯絡線參數見表2。假設在區(qū)域2 中從t為0 s 時加入風電負荷擾動，在不施加任何控制策略時，兩區(qū)域內穩(wěn)態(tài)頻率和聯絡線功率均有所下降，電能質量受到了影響。頻率偏差Δfi和聯絡線功率偏差ΔPtie-i的仿真結果如圖10所示。

圖10 無控制器參與時頻率與聯絡線功率偏差響應Fig.10 Response to frequency and tie-line power deviations without a controller

表2 2區(qū)域微電網互聯電力系統(tǒng)參數Table 2 Parameters of the interconnected power system for the two-region microgrid

設置在t為0 s時智慧園區(qū)系統(tǒng)開始遭受網絡攻擊，攻擊方控制10 個代理端向主站服務器發(fā)動DDoS 攻擊，從而導致服務器內存占比激增，通信系統(tǒng)收發(fā)流量急劇增加，以ACE 的誤差量作為控制器的輸入量在傳輸過程中存在傳輸時延，從而導致LFC 系統(tǒng)中被控對象不能及時反映系統(tǒng)所受擾動，超調量明顯增加，系統(tǒng)穩(wěn)定性變差。對兩區(qū)域內分別添加風電功率擾動，同時設置兩區(qū)域內傳輸時延分別為0.28 s 和0.08 s，對區(qū)域內頻率偏差和聯絡線功率偏差進行仿真，并與未遭受DDoS 攻擊時的結果進行對比，如圖11所示。

由圖11可知，在未遭受DDoS 攻擊時，頻率偏差和聯絡線功率偏差較小，能迅速恢復擾動前的狀態(tài)。在延時較小時（區(qū)域2），頻率和功率的恢復時間和超調量有所增加，分別為12.35 s 和16.44 s。而在延時較大時（區(qū)域1），系統(tǒng)穩(wěn)定性明顯降低，頻率與功率偏差變化較大，系統(tǒng)分別需要30.16 s 和27.94 s將頻率和功率控制到穩(wěn)定狀態(tài)。同時，隨著時延不斷增加，頻率最低點不斷降低。

圖11 LFC系統(tǒng)不同延時頻率與聯絡線功率偏差響應Fig.11 Responses to the delay frequency and tie line power deviations of the LFC system

為了消除DDoS 攻擊對LFC 業(yè)務帶來的延時影響，保證控制策略的實時性，對延時較大的區(qū)域實施網絡攻擊防護策略：在通信側，限制帶寬設置報文流量閾值，對大量涌入的異常報文進行丟棄。同時，基于報文頭部與相關信息對其進行分類，過濾惡意攻擊報文。在終端側，添加防火墻規(guī)則，僅接收來自可信名單內地址的數據。同時，對被感染的終端設備進行隔離，斷開網絡連接，防止被攻擊方控制從而進行DDoS 攻擊?？紤]網絡攻擊防護策略下的控制效果比較如圖12所示。

圖12 考慮網絡攻擊防護策略下的控制效果比較Fig.12 Control effects of the network attack protection strategy

由圖12 可知，在未添加防護策略時，頻率和聯絡線功率恢復穩(wěn)定的時間約為28.40 s 和26.10 s；添加防護策略后，頻率和聯絡線功率恢復穩(wěn)定的時間約為8.30 s 和20.20 s，頻率與功率偏差最低點也提高了約20%?？梢钥闯?，在添加防護策略后，系統(tǒng)頻率超調量和穩(wěn)定時間明顯降低，LFC 控制效果大幅提高?？梢妼τ谥腔蹐@區(qū)內孤島模式運行的多電源互聯微電網系統(tǒng)，本文所提的網絡攻擊防護策略可以有效地改善網絡攻擊對LFC 問題的影響，保證智慧園區(qū)內部微電網運行的穩(wěn)定性與動態(tài)可靠性。

5 結論

隨著智慧園區(qū)系統(tǒng)的不斷發(fā)展，針對智慧園區(qū)內部網絡和海量智能設備而進行的網絡攻擊手段更加多樣、攻擊影響越發(fā)嚴重。本文建立了網絡攻擊異常事件關聯分析框架，提出了面向智慧園區(qū)系統(tǒng)的網絡攻擊關聯分析方法，并針對不同攻擊環(huán)節(jié)提出了相應攻擊防護策略，消除網絡攻擊影響，保障智慧園區(qū)系統(tǒng)安全穩(wěn)定運行。

（1）在智慧園區(qū)系統(tǒng)網絡攻擊關聯分析方面，本文基于FP-Growth 算法挖掘網絡攻擊異常事件頻繁項集，與傳統(tǒng)關聯規(guī)則分析算法相比，進一步提高了網絡攻擊異常事件關聯分析效率，大幅降低了訓練網絡攻擊異常事件關聯規(guī)則的時間復雜度；結合灰色關聯度分析算法實現對異常事件與關聯規(guī)則的在線匹配，有效提高了網絡攻擊場景識別的精度，具有重要工程實用價值。

（2）在攻擊防護策略方面，本文結合網絡攻擊場景所對應的環(huán)節(jié)提出網絡攻擊防護策略，對園區(qū)內外網絡和現場設備應用相應的攻擊防護技術，進行攻擊防御保護消除攻擊影響。在智慧園區(qū)系統(tǒng)中，以LFC 業(yè)務為場景驗證了本文所提策略的必要性和有效性。