徐 植, 陳 俊, 張智勇, 萬俊嶺, 袁培森

（1. 廣西電網(wǎng)有限責(zé)任公司計(jì)量中心, 南寧 530024;2. 南京農(nóng)業(yè)大學(xué) 人工智能學(xué)院, 南京 210095）

0 引 言

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展, 電力領(lǐng)域的信息化和智能化建設(shè)也越來越完善. 電力高級量測系統(tǒng)(advanced metering infrastructure, AMI)是智能電網(wǎng)建設(shè)的重要基礎(chǔ)設(shè)施, 可用于電力網(wǎng)絡(luò)之間的信息傳輸, 并且可以收集、存儲和分析智能電表的數(shù)據(jù)[1]. 網(wǎng)絡(luò)安全已受到越來越多的重視和關(guān)注, 其中的各種安全漏洞、情報(bào)等內(nèi)容的抵御防護(hù)已經(jīng)成為企業(yè)、國家相關(guān)部門的重要工作. 對于用電網(wǎng)絡(luò)而言, 錯(cuò)綜復(fù)雜的電網(wǎng)結(jié)構(gòu)中存在著大量的安全漏洞及攻擊點(diǎn), 涉及很多不同崗位不同部門的工作人員.針對這些問題[2], 首先, 需要對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行研究. 其次, 用戶也可以基于AMI 主動(dòng)參與到電力價(jià)值鏈中, 實(shí)時(shí)看到共享的用電信息, 提升用戶的參與度和滿意度[3]. 通過AMI 系統(tǒng)可以收集、存儲和分析智能電表的數(shù)據(jù), 從而實(shí)現(xiàn)數(shù)字化電網(wǎng). 然而, 隨著智能電表的廣泛安裝, 隱私泄露的風(fēng)險(xiǎn)越來越大, 因?yàn)樗鼈兺瑫r(shí)傳輸讀數(shù)和敏感數(shù)據(jù)[4]. 在電力網(wǎng)絡(luò)不斷地迭代發(fā)展中, 電網(wǎng)和信息化、智能化的結(jié)合越來越緊密. 信息化開放的電力網(wǎng)絡(luò)中顯然存在著很高的網(wǎng)絡(luò)安全風(fēng)險(xiǎn), 如果不及時(shí)地進(jìn)行防范抵御, 就會導(dǎo)致電力數(shù)據(jù)的泄露, 甚至于電網(wǎng)的癱瘓. 因此, 對電網(wǎng)的安全檢測是很有必要和有意義的事情. 電網(wǎng)的信息化雖然帶來了一些安全風(fēng)險(xiǎn), 但是通過對基于信息化程度較高的電網(wǎng)收集到的電網(wǎng)數(shù)據(jù)進(jìn)行安全分析, 可以及時(shí)觀察和預(yù)測到電網(wǎng)的安全態(tài)勢變化情況, 并及時(shí)采取措施干預(yù)[5].

AMI 作為新型電力系統(tǒng)的基礎(chǔ)設(shè)施, 收集數(shù)據(jù)并存儲和分析時(shí), 也依賴于網(wǎng)絡(luò)信息設(shè)備, 存在著很大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[6]. 然而, 智能電網(wǎng)等網(wǎng)絡(luò)設(shè)備經(jīng)常出現(xiàn)被攻擊的現(xiàn)象, 并且網(wǎng)絡(luò)安全系統(tǒng)在防范、反應(yīng)及遭遇攻擊后的恢復(fù)能力等方面仍然很薄弱[7], 甚至于可能會永久性地破壞大量的智能電表等設(shè)備, 最終影響數(shù)以百計(jì)用戶的電力使用, 更為嚴(yán)重的是電力用戶的信息遭到泄露[8]. 因此, AMI 系統(tǒng)網(wǎng)絡(luò)安全問題的研究仍然面臨著嚴(yán)峻的挑戰(zhàn)[9].

網(wǎng)絡(luò)安全態(tài)勢評估是對網(wǎng)絡(luò)進(jìn)行安全上的估計(jì), 進(jìn)而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中可能出現(xiàn)的在實(shí)現(xiàn)上或者在設(shè)計(jì)上的脆弱性, 然后運(yùn)維人員能夠針對性地對安全薄弱的節(jié)點(diǎn)及時(shí)干預(yù), 從而保證網(wǎng)絡(luò)系統(tǒng)不會遭受故意或者偶然的損害[10]. 網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢評估技術(shù)可以準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)中的相關(guān)缺陷, 從而最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行[11-12].

王金恒等[13]將概率神經(jīng)網(wǎng)絡(luò)用來評估網(wǎng)絡(luò)的安全態(tài)勢, 并且采用遺傳算法去優(yōu)化概率神經(jīng)網(wǎng)絡(luò)以提高評估的結(jié)果. 但是算法的建模復(fù)雜度較高, 且通過遺傳算法的參數(shù)優(yōu)化存在不足, 導(dǎo)致部分算法模型具有一定的局限性. Liu 等[14]設(shè)計(jì)了一種雙向簡約存儲單元, 通過其時(shí)間序列關(guān)系來學(xué)習(xí)、表征數(shù)據(jù)及評估無線網(wǎng)絡(luò)的安全狀況. 但是其算法的建模復(fù)雜度也較高, 并且其研究成果針對特定的場景, 對模型的推廣具有局限性.

雖然國內(nèi)外的專家學(xué)者對安全態(tài)勢做了較多工作, 但是由于存在建模復(fù)雜程度較高的問題, 并且參數(shù)優(yōu)化的不足導(dǎo)致了評估結(jié)果不理想及應(yīng)用場景的局限性, 也導(dǎo)致了算法模型存在一定的缺陷, 又或者是針對波動(dòng)較大的數(shù)據(jù)、實(shí)時(shí)數(shù)據(jù)存在評估準(zhǔn)確性不高的問題. 隱馬爾可夫模型 (hidden Markov model, HMM) 的算法復(fù)雜程度可控, 并且對于時(shí)序波動(dòng)數(shù)據(jù)也具有不錯(cuò)的分析效果. HMM 是一種動(dòng)態(tài)的貝葉斯模型, 廣泛應(yīng)用于天氣預(yù)報(bào)、行為評估等[15]. 在信息化的電力網(wǎng)絡(luò)里, 根據(jù)告警信息能夠知道某個(gè)電網(wǎng)節(jié)點(diǎn)或者設(shè)備的網(wǎng)絡(luò)攻擊狀態(tài). 在網(wǎng)絡(luò)入侵過程中會產(chǎn)生大量的告警, 其種類多種多樣,如果不做處理就用于HMM 的觀察矩陣, 會使矩陣的維度非常大[16]. 本文提出了一種基于人工免疫和隱馬爾可夫模型的算法對新型電力系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢評估. 首先, 利用計(jì)數(shù)器算法來獲得觀測序列; 其次, 將告警類型分為4 類, 分別對應(yīng)4 種網(wǎng)絡(luò)狀態(tài), 通過人工免疫算法來確定隱馬爾可夫模型不同狀態(tài)之間的轉(zhuǎn)移概率, 得到狀態(tài)轉(zhuǎn)移矩陣; 接著, 利用態(tài)勢評估誤差對狀態(tài)轉(zhuǎn)移矩陣進(jìn)行修正; 最終, 計(jì)算得到安全態(tài)勢評估值.

1 基于博弈論和隱馬爾可夫模型的用電信息采集網(wǎng)絡(luò)安全態(tài)勢評估方法

1.1 隱馬爾可夫模型

HMM 是一種動(dòng)態(tài)的貝葉斯模型, 常用于統(tǒng)計(jì)學(xué)習(xí)及序列數(shù)據(jù)處理, 具有以下特點(diǎn): 識別率高、數(shù)據(jù)量小、建模簡單、計(jì)算速度快, 被廣泛應(yīng)用于天氣預(yù)報(bào)、行為識別等領(lǐng)域[17]. 此外, 在網(wǎng)絡(luò)安全領(lǐng)域,除了主機(jī)信息、告警信息、漏洞信息等是可以直接看見的, 網(wǎng)絡(luò)安全狀態(tài)等信息是看不見摸不到的.但通過可直接看見的因素可以表征電力網(wǎng)絡(luò)的安全狀態(tài)變化的過程, 適合HMM 的應(yīng)用領(lǐng)域[18], 因此,可以利用HMM 對網(wǎng)絡(luò)安全的變化過程進(jìn)行描述. 隱馬爾可夫模型可以用λ={S,V,P,Q,π}[19]表示,模型說明如下.

(1)本文將網(wǎng)絡(luò)安全狀態(tài)劃分為4 個(gè)狀態(tài), 狀態(tài)集合空間用S來表示,S={I,P,A,C}. 其中,I表示安全狀態(tài), 指此時(shí)的電力網(wǎng)絡(luò)無任何安全隱患;P表示預(yù)攻擊狀態(tài);A表示攻擊入侵狀態(tài);C表示網(wǎng)絡(luò)攻陷狀態(tài).

(2)由于電力網(wǎng)絡(luò)安全狀態(tài)是一個(gè)感知不到的狀態(tài), 無法通過具體形象的描述讓電力網(wǎng)絡(luò)運(yùn)維人員感知, 因此, 本文以發(fā)生安全攻擊時(shí)電力網(wǎng)絡(luò)運(yùn)維系統(tǒng)中所產(chǎn)生的安全警報(bào)的數(shù)量作為電力觀測數(shù)據(jù). 由于警報(bào)種類、數(shù)量龐大, 故將警報(bào)進(jìn)行分類. 根據(jù)網(wǎng)絡(luò)安全狀態(tài)將警報(bào)對應(yīng)地分為4 類, 電力觀測向量集合空間用V表示,V={i,p,a,c}. 警報(bào)分類如表1 所示.

表1 警報(bào)分類Tab. 1 Classification of alarms

(3)狀態(tài)轉(zhuǎn)移矩陣用P來表示, 其含義是某狀態(tài)的下一個(gè)時(shí)刻變換為另一個(gè)狀態(tài)的概率分布,P=[pij] . 其中,pij={qt+1=Sj|qt=Si}, 1 ≤i,j≤N, 表示從t時(shí)刻的狀態(tài)Si到t+1 時(shí)刻的狀態(tài)Sj的概率. 采用的狀態(tài)轉(zhuǎn)移矩陣如圖1 所示.

圖1 網(wǎng)絡(luò)安全狀態(tài)轉(zhuǎn)移矩陣Fig. 1 Network security state transfer matrix

(4)概率分布矩陣用Q表征, 其具體形式為Q=[qi(vk)] , 含義是網(wǎng)絡(luò)在Si狀態(tài)下觀測到的警報(bào)為vk的概率, 用qi(vk) 來表示,qi(vk) 的表達(dá)式如式(1)所示.

(5)初始概率分布矩陣用π表征,π=[πi] ,πi=p{q1=Si}的含義為在初始時(shí)間刻度下的網(wǎng)絡(luò)處于Si狀態(tài)的概率, 其中, 1 ≤i≤N.

確定參數(shù){S,V,P,Q,π}之后, 根據(jù)從網(wǎng)絡(luò)設(shè)備上獲取的觀測序列求出在t時(shí)刻處于不同網(wǎng)絡(luò)狀態(tài)Si的概率λt(i) , 接著引入一個(gè)參數(shù): 風(fēng)險(xiǎn)損失向量C(i) , 便可得到t時(shí)刻網(wǎng)絡(luò)安全態(tài)勢值Rt[20],Rt的計(jì)算如式(2)所示.

式(2)中:λt(i) 表示t時(shí)刻網(wǎng)絡(luò)狀態(tài)為Si的概率;C(i) 表示對應(yīng)狀態(tài)下的風(fēng)險(xiǎn)損失;N表示設(shè)定的網(wǎng)絡(luò)安全狀態(tài)的總數(shù)目.

隨著可再生能源的大規(guī)模并網(wǎng),電網(wǎng)運(yùn)行逐漸呈現(xiàn)出高階不確定性的新特點(diǎn),對系統(tǒng)運(yùn)行的安全性和穩(wěn)定性提出了嚴(yán)峻的挑戰(zhàn)[21]. 盡管基于隱馬爾可夫模型的態(tài)勢評估模型能夠反映當(dāng)前研究中的網(wǎng)絡(luò)安全狀況, 但也存在一些問題. 首先, 在統(tǒng)計(jì)不同時(shí)間段的安全觀測數(shù)據(jù)時(shí), 有可能由于不同時(shí)間段重疊或者安全事件在某些時(shí)間段過于集中, 導(dǎo)致實(shí)際觀測得到的安全數(shù)據(jù)不準(zhǔn)確. 其次, 狀態(tài)轉(zhuǎn)移矩陣和觀測矩陣的建立通?；趯＜医?jīng)驗(yàn), 取得好的或壞的效果也取決于專家的知識經(jīng)驗(yàn)水平, 具有較強(qiáng)的主觀性.

1.2 計(jì)數(shù)器算法

為了避免由于時(shí)間段重疊或者時(shí)間段間隔較大導(dǎo)致獲取的電力安全觀測數(shù)據(jù)較多或者較少, 從而影響電力網(wǎng)絡(luò)態(tài)勢評估, 本文利用計(jì)數(shù)器算法將時(shí)間分成時(shí)間片段, 根據(jù)時(shí)間片段內(nèi)的請求記錄安全狀態(tài), 該算法描述如下.

首先, 設(shè)置時(shí)間片段的大小. 給定一個(gè)時(shí)間段T=(ts,ts+1,··· ,te-1,te) , 時(shí)間段的長度為te-ts.其中, 子時(shí)間片段的大小為ti-ti-1(s+1 ≤i≤e).

其次, 統(tǒng)計(jì)安全觀測值落在不同子時(shí)間片段內(nèi)的數(shù)量是多少, 并且間隔時(shí)間后子時(shí)間片段就要向右進(jìn)行滑動(dòng), 如果子時(shí)間片段內(nèi)的安全觀測數(shù)據(jù)達(dá)到設(shè)定的閾值則該時(shí)間片段停止滑動(dòng), 其余子時(shí)間片段繼續(xù)滑動(dòng), 直到觀測值數(shù)量滿足閾值后停止. 當(dāng)時(shí)間片段往右滑動(dòng)的片段較小時(shí), 電力網(wǎng)絡(luò)安全情況可以反映在更多的時(shí)段.

1.3 初始狀態(tài)轉(zhuǎn)移矩陣

利用隱馬爾可夫模型進(jìn)行電力網(wǎng)絡(luò)安全態(tài)勢評估的關(guān)鍵是確定網(wǎng)絡(luò)安全狀態(tài)轉(zhuǎn)移矩陣, 傳統(tǒng)的方法是根據(jù)專家的經(jīng)驗(yàn)給出, 但是這種方法太過于主觀, 不同專家給出的經(jīng)驗(yàn)值不盡相同. 為此, 本文基于人工免疫算法, 借鑒免疫過程來確定網(wǎng)絡(luò)安全的狀態(tài)轉(zhuǎn)移矩陣. 具體地說, 就是參考病毒入侵后免疫系統(tǒng)和病毒抗原之間的過程來確定狀態(tài)轉(zhuǎn)移矩陣, 通過這種方式可以提高評估的準(zhǔn)確性[22].

Si狀態(tài)轉(zhuǎn)移到Sj狀態(tài)的概率如式(3)所示.

式(3)中:pij表示Si狀態(tài)轉(zhuǎn)移到Sj狀態(tài)的概率,也就是說,Si狀態(tài)轉(zhuǎn)移到Sj狀態(tài)的數(shù)目占Si狀態(tài)轉(zhuǎn)移到其他所有狀態(tài)數(shù)目的比例;NSj表示Si狀態(tài)轉(zhuǎn)移到Sj狀態(tài)的數(shù)目;NSk表示Si狀態(tài)轉(zhuǎn)移到其他所有狀態(tài)數(shù)目的和. 然后根據(jù)每個(gè)狀態(tài)的概率分布便可得到網(wǎng)絡(luò)安全狀態(tài)轉(zhuǎn)移矩陣.

人工免疫算法(immune algorithm, IA)[23]是受自然免疫系統(tǒng)的啟發(fā), 用于數(shù)據(jù)操作、分類、表示和推理的方法. 其處理過程包括: ① 當(dāng)病毒抗原入侵機(jī)體時(shí), 免疫系統(tǒng)首先進(jìn)行抗原的識別, 然后產(chǎn)生初始抗體; ② 計(jì)算抗體和抗原之間的親和性以及抗體之間的親和性, 并且將與病毒抗原親和性高的抗體加入記憶單元, 如果新產(chǎn)生的抗體和病毒抗原的親和性更高, 則進(jìn)行抗體的更新; ③ 計(jì)算每個(gè)抗體的抑制期望值, 如果抗體的抑制期望值小于設(shè)定的閾值, 那么就對該抗體進(jìn)行抑制; 對和病毒抗原具有高親和力的抗體加速克隆, 該抗體的克隆數(shù)目越高, 其變異率就越低, 經(jīng)過交叉和變異產(chǎn)生進(jìn)入下一代的抗體, 具有更強(qiáng)的殺滅病毒的能力; ④ 最終機(jī)體中交叉變異產(chǎn)生的抗體中和病毒抗原, 分解病毒, 使病毒失去致病能力, 從而達(dá)到消滅病毒的目的.

1.4 根據(jù)人工免疫算法確定狀態(tài)轉(zhuǎn)移概率

當(dāng)電力網(wǎng)絡(luò)受到安全攻擊時(shí), 電力運(yùn)維系統(tǒng)及運(yùn)維人員會有相應(yīng)的安全防御措施. 結(jié)合人工免疫算法中的病毒抗原和抗體的斗爭過程, 得到如下的狀態(tài)轉(zhuǎn)移過程.

(1) 假如初始電力網(wǎng)絡(luò)處于安全狀態(tài), 此時(shí)在任意的安全防護(hù)措施下, 依然是安全的; 如果接著發(fā)生了預(yù)攻擊的安全事件, 那么如果不做任何防護(hù)措施, 就會處于預(yù)攻擊狀態(tài); 如果進(jìn)行檢測類防護(hù), 并且不組織安全攻擊, 此時(shí)處于安全和預(yù)攻擊狀態(tài)的概率均為1/2; 當(dāng)進(jìn)行抗體對抗類防護(hù)措施時(shí), 此時(shí)處于安全和預(yù)攻擊狀態(tài)的概率均為1/2, 修復(fù)防護(hù)時(shí), 會處于安全狀態(tài).

(2) 如果接著發(fā)生了攻擊入侵類安全事件, 那么如果不做任何防護(hù)措施, 就會處于攻擊入侵狀態(tài);如果進(jìn)行檢測類防護(hù), 并且檢測到后采取了防護(hù)策略, 那么處于預(yù)攻擊狀態(tài)或者安全狀態(tài)的概率分別為3/4、1/4; 當(dāng)進(jìn)行抗體對抗類防護(hù)時(shí), 處于安全狀態(tài)的概率為1/2, 處于預(yù)攻擊狀態(tài)的概率為1/2, 當(dāng)進(jìn)行修復(fù)防護(hù)時(shí), 會處于安全狀態(tài).

(3) 如果接著發(fā)生了攻陷類安全事件, 那么如果不做任何防護(hù)措施, 就會處于網(wǎng)絡(luò)攻陷狀態(tài); 如果進(jìn)行檢測類防護(hù), 那么處于安全狀態(tài)和攻陷狀態(tài)的概率分別為1/4、3/4; 當(dāng)進(jìn)行抗體對抗類防護(hù)時(shí),處于安全狀態(tài)的概率為1/2, 處于攻陷狀態(tài)的概率為1/2, 當(dāng)進(jìn)行修復(fù)防護(hù)時(shí), 會處于安全狀態(tài). 轉(zhuǎn)移概率如表2 所示.

表2 安全狀態(tài)I 的矩陣Tab. 2 Matrix of security state I

根據(jù)網(wǎng)絡(luò)安全狀態(tài)I的|E|×|D|矩陣, 可以得到網(wǎng)絡(luò)安全狀態(tài)I在t+1 時(shí)刻轉(zhuǎn)移到其他幾種網(wǎng)絡(luò)安全狀態(tài)的概率分別為:pII=0.59 ,pIP=0.13 ,pIA=0.14 和pIC=0.14 .

同理, 分別構(gòu)建P狀態(tài)、A狀態(tài)、C狀態(tài)的|E|×|D|矩陣, 從而初步確定網(wǎng)絡(luò)安全狀態(tài)轉(zhuǎn)移矩陣如式(4)所示.

1.5 修正狀態(tài)轉(zhuǎn)移矩陣

利用態(tài)勢評估誤差對狀態(tài)轉(zhuǎn)移矩陣進(jìn)行修正. 態(tài)勢評估誤差是指根據(jù)模型計(jì)算出的態(tài)勢評估值和實(shí)際的態(tài)勢評估值之間的誤差.

首先, 統(tǒng)計(jì)一段時(shí)間內(nèi)網(wǎng)絡(luò)安全態(tài)勢評估的誤差情況, 設(shè)為ε=(ε1,ε2,··· ,εi,··· ,εm) ; 然后, 計(jì)算狀態(tài)Si到下一個(gè)狀態(tài)的所有誤差和與狀態(tài)Si到狀態(tài)Sj之間累計(jì)的誤差和的商, 并作為pij的修正因子θij. 那么, 修正后的狀態(tài)轉(zhuǎn)移概率如式(5)所示.

由于表示Si狀態(tài)轉(zhuǎn)移到其他狀態(tài)的概率和為1, 故需要將p′ij的值進(jìn)行歸一化處理, 如式(6)所示.

式(6)中:p′i′j表示最終的狀態(tài)轉(zhuǎn)移概率值;p′ik表示中間計(jì)算中修正狀態(tài)概率轉(zhuǎn)移概率值.

2 實(shí)驗(yàn)分析

2.1 實(shí)驗(yàn)數(shù)據(jù)集

選取經(jīng)典數(shù)據(jù)集DARPA2000[24-25]中的LLDOS 1.0 作為實(shí)驗(yàn)數(shù)據(jù)集. LLDOS 1.0 是DDOS 攻擊場景的測試集, 數(shù)據(jù)集是對美國艾爾空軍基地的主機(jī)實(shí)施分布式的拒絕服務(wù)攻擊的模擬產(chǎn)物. 場景模擬攻擊的階段數(shù)目為5, 對于不同階段而言, 不同的攻擊或者安全事件會使網(wǎng)絡(luò)處于不同的安全狀態(tài), 詳見表3.

表3 LLDOS 1.0 數(shù)據(jù)集攻擊說明表[26] Tab. 3 LLDOS 1.0 dataset attack description table

2.2 實(shí)驗(yàn)評價(jià)標(biāo)準(zhǔn)

為了在被攻擊時(shí)運(yùn)維人員能夠及時(shí)反應(yīng), 故出現(xiàn)攻擊時(shí)需要及時(shí)告警. 本文對網(wǎng)絡(luò)態(tài)勢評估的性能評價(jià)采用告警準(zhǔn)確率 (accuracy, ACC, 用RA表示) 、漏報(bào)率 (false negative rate, FNR, 用RFN表示) 、誤報(bào)率（false positive rate, FPR, 用RFP表示）、誤警率 (false alarm rate, FAR, 用RFA表示) 作為衡量指標(biāo). 各項(xiàng)指標(biāo)的計(jì)算如式(7)—(10).

其中, 真正例 (true positive, TP, 用nTP表示) 代表正例樣本被預(yù)測為正例的數(shù)量, 真反例 (true negative, TN, 用nTN表示) 代表反例樣本被預(yù)測為反例的數(shù)量, 假反例 (false negative, FN, 用nFN表示) 代表正例樣本被預(yù)測為反例的數(shù)量, 假正例 (false positive, FP, 用nFP表示) 代表反例樣本被預(yù)測為正例的數(shù)量[27], 如表4 所示.

表4 混淆矩陣Tab. 4 Confusion matrix

通過利用網(wǎng)絡(luò)安全狀態(tài)更新的前向 (forward) 算法計(jì)算t時(shí)刻處在狀態(tài)Si下的概率λt(i) , 根據(jù)不同時(shí)刻處于各個(gè)狀態(tài)下的概率判斷其所處的狀態(tài), 計(jì)算出ACC、FPR、FNR、FAR 的值, 從而得出該方法判斷的準(zhǔn)確性.

2.3 實(shí)驗(yàn)結(jié)果與分析

本文利用wireshark 對轉(zhuǎn)儲文件進(jìn)行分析, 并通過wireshark 設(shè)置過濾規(guī)則, 從而獲取文件中的各種服務(wù)信息. 為了避免由于時(shí)間段重疊或者時(shí)間段間隔較大獲取的電力安全觀測數(shù)據(jù)較多或者較少,從而影響電力網(wǎng)絡(luò)態(tài)勢評估, 本文利用計(jì)數(shù)器算法獲取安全觀測數(shù)據(jù). 將時(shí)間窗寬度 Δt設(shè)置為5 min,子窗口大小為1 min, 滑動(dòng)步長為1, 設(shè)置的每個(gè)子窗口的閾值為50, 也就是說當(dāng)子窗口的警報(bào)數(shù)超出50 時(shí), 則停止滑動(dòng), 否則向右進(jìn)行步長為1 的滑動(dòng).

LLDOS1.0 數(shù)據(jù)集沒有提供防護(hù)措施的相關(guān)說明, 根據(jù)對告警信息及安全事件的分析, 并進(jìn)行修正確定初始的網(wǎng)絡(luò)安全狀態(tài)轉(zhuǎn)移矩陣, 其結(jié)果如式(11)所示.

Q, π ,C(i) 的值如下所示:

確定觀測序列Ot和λ={S,V,P,Q,π}后, 利用網(wǎng)絡(luò)安全狀態(tài)更新的前向算法計(jì)算t時(shí)刻處在狀態(tài)Si下的概率λt(i) , 結(jié)果如圖2 所示.

圖2 各狀態(tài)概率分布圖Fig. 2 Probability distribution of each state

在各狀態(tài)概率分布圖(圖2)中, 若某一時(shí)刻中有一個(gè)狀態(tài)概率最大, 則判斷當(dāng)前處于該狀態(tài). 場景模擬攻擊的總時(shí)間為200 min, 整個(gè)實(shí)驗(yàn)過程為初始的網(wǎng)絡(luò)處于安全狀態(tài), 且前10 min 網(wǎng)絡(luò)都是處于安全狀態(tài). 通過圖2 可以看出, 前10 min 都是處于安全狀態(tài)的概率最高. 然后開始獲取電力網(wǎng)絡(luò)攻擊的列表, 接著開始進(jìn)行網(wǎng)絡(luò)預(yù)攻擊, 尋找薄弱的主機(jī). 接下來的大約50 min, 此時(shí)網(wǎng)絡(luò)處于預(yù)攻擊狀態(tài)的概率最大. 在不斷地攻擊、尋找到薄弱的主機(jī)后, 開始通過漏洞對主機(jī)進(jìn)行入侵, 從而達(dá)到控制薄弱主機(jī)的目的. 在控制薄弱主機(jī)時(shí), 根據(jù)攻擊場景的描述, 當(dāng)t=90 min 時(shí)攻擊者就獲得了主機(jī)的系統(tǒng)權(quán)限, 此刻的網(wǎng)絡(luò)安全狀態(tài)應(yīng)該是攻陷狀態(tài). 接下來的25 min 內(nèi), 網(wǎng)絡(luò)處于攻擊入侵狀態(tài). 然后在第90 分鐘時(shí), 處于狀態(tài)C的概率最大. 由圖2 可知, 在90 min 時(shí)攻陷狀態(tài)C的概率遠(yuǎn)大于其他狀態(tài), 出現(xiàn)了0.8 的高概率值, 而其他狀態(tài)的概率值很低, 所以此時(shí)可以判定為處于攻陷狀態(tài)C. 接著, 在網(wǎng)絡(luò)攻陷后開始網(wǎng)絡(luò)防御, 并且攻擊者停止了網(wǎng)絡(luò)攻陷, 網(wǎng)絡(luò)安全狀態(tài)開始慢慢恢復(fù). 然后, 攻擊者又開始進(jìn)行新一輪的服務(wù)器攻擊, 網(wǎng)絡(luò)安全狀態(tài)又開始惡化. 但是由于網(wǎng)絡(luò)安全的自身防御, 并沒有被網(wǎng)絡(luò)攻陷, 并且在停止服務(wù)器攻擊后, 網(wǎng)絡(luò)安全處于相對平穩(wěn)的狀態(tài)中. 根據(jù)圖2 可以看出, 在接下來的時(shí)間中, 網(wǎng)絡(luò)安全狀態(tài)由攻陷狀態(tài)變?yōu)楣羧肭譅顟B(tài)又變?yōu)轭A(yù)攻擊狀態(tài); 但是由于服務(wù)器攻擊, 網(wǎng)絡(luò)狀態(tài)又開始變?yōu)楣羧肭譅顟B(tài); 在服務(wù)器攻擊停止后, 又慢慢變?yōu)轭A(yù)攻擊狀態(tài), 網(wǎng)絡(luò)狀態(tài)逐漸好轉(zhuǎn).

本文算法與Xi 算法[26]、Arnes 算法[28]、Haslum 算法[29]、遺傳算法[30]進(jìn)行比較, 對比結(jié)果如表5 所示. 根據(jù)表5, 并結(jié)合圖2 和表3 可以看出, 本文提出的算法可以較好地描述網(wǎng)絡(luò)攻擊時(shí)的安全狀態(tài)變化, 并且相較于另外4 種算法, 唯一正確體現(xiàn)出了網(wǎng)絡(luò)被攻時(shí)的安全狀態(tài). Xi 算法雖然也一定程度上體現(xiàn)出了網(wǎng)絡(luò)攻擊時(shí)的安全狀態(tài)變化, 但是和實(shí)際情況相比還是存在一定的誤差, 且沒有體現(xiàn)出攻陷狀態(tài). Arnes 算法和Haslum 算法在整個(gè)攻擊過程中只有兩種安全狀態(tài), 顯然與實(shí)際情況不符合. 而遺傳算法的幾種狀態(tài)概率值差別不大, 不能較好地區(qū)分不同時(shí)刻的網(wǎng)絡(luò)狀態(tài). 因此, 經(jīng)過對比, 本文提出的算法能夠較好地描述不同時(shí)刻的安全狀態(tài).

表5 算法在不同時(shí)刻的不同的網(wǎng)絡(luò)安全狀態(tài)情況比較Tab. 5 Comparison of the different network security states of the algorithms at different moments

網(wǎng)絡(luò)安全態(tài)勢評估的性能測試結(jié)果如圖3 所示. 通過圖3 可以得出, 網(wǎng)絡(luò)態(tài)勢判斷的準(zhǔn)確率達(dá)到了95%, FPR、FNR、FAR 分別為19%、3%、10%, 因此, 本文提出的方法對于網(wǎng)絡(luò)狀態(tài)的判斷具有不錯(cuò)的效果, 當(dāng)電力網(wǎng)絡(luò)出現(xiàn)攻擊行為時(shí), 能夠及時(shí)地告警上報(bào).

圖3 各衡量指標(biāo)值分布圖Fig. 3 Distribution of each measurement index value

根據(jù)圖2 已經(jīng)計(jì)算得出的不同時(shí)刻下的不同狀態(tài)的概率值, 還可以得出各個(gè)狀態(tài)的準(zhǔn)確率, 結(jié)果如圖4 所示.

圖4 4 種狀態(tài)準(zhǔn)確率圖Fig. 4 Four-state accuracy bar graph

圖4 可以看出, 對I狀態(tài)的預(yù)測準(zhǔn)確率為82%, 對P狀態(tài)的預(yù)測準(zhǔn)確率為93%, 對A狀態(tài)的預(yù)測準(zhǔn)確率為89%, 對C狀態(tài)的預(yù)測準(zhǔn)確率為100%. 以上數(shù)據(jù)表明, 該方法可以準(zhǔn)確地預(yù)測攻陷狀態(tài)的趨勢變化, 同時(shí)對其他態(tài)勢的預(yù)測也比較準(zhǔn)確. 可以說明, 通過該方法判斷網(wǎng)絡(luò)所處狀態(tài)是較為準(zhǔn)確的.為了在被攻擊時(shí)及時(shí)作出反應(yīng), 出現(xiàn)攻擊時(shí)需要告警. 通過前100 min 時(shí)間段內(nèi)每5 min 的告警準(zhǔn)確率來判斷告警是否平穩(wěn), 從而反映預(yù)測的正確性, 結(jié)果如圖5 所示.

圖5 告警準(zhǔn)確率折線圖Fig. 5 Alarm accuracy line chart

通過圖5 可以判斷出, 總體上告警的準(zhǔn)確率比較平穩(wěn), 在20 min 以后準(zhǔn)確率始終在92%以上, 說明該方法可以準(zhǔn)確預(yù)測各狀態(tài)的趨勢變化, 在出現(xiàn)不安全的情況下及時(shí)告警, 同時(shí)還能夠精確地通過量化的概率值來說明某個(gè)時(shí)刻網(wǎng)絡(luò)的實(shí)際狀態(tài).

圖6 網(wǎng)絡(luò)安全態(tài)勢值Fig. 6 Network security posture values

3 總 結(jié)

本文基于HMM 評估AMI 系統(tǒng)的安全狀態(tài). 首先, 利用滑動(dòng)時(shí)間窗口機(jī)制可以完全捕捉到某個(gè)時(shí)間段的變化; 然后, 利用安全防護(hù)措施和AMI 安全事件的博弈過程結(jié)合專家經(jīng)驗(yàn)確定狀態(tài)轉(zhuǎn)移的過程, 從而初步確定AMI 系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)轉(zhuǎn)移矩陣, 最終對AMI 系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)作態(tài)勢評估,保障智慧電網(wǎng)的安全平穩(wěn)運(yùn)行. 實(shí)驗(yàn)結(jié)果表明, 該方法對于網(wǎng)絡(luò)安全態(tài)勢的評估比較合理.