摘" 要： 5G技術(shù)與MEC技術(shù)的融合為電力行業(yè)的升級轉(zhuǎn)型提供了有力的支撐，但電力5G MEC采用了新型架構(gòu)和部署，傳統(tǒng)的安全防護(hù)措施無法有效應(yīng)對新環(huán)境下出現(xiàn)的各類安全威脅和挑戰(zhàn)。為此，提出一種基于安全編排自動化與響應(yīng)技術(shù)的電力5G MEC安全解決方案。依據(jù)智能電網(wǎng)業(yè)務(wù)在接入的高開放性、異構(gòu)終端連接的海量性、業(yè)務(wù)的低延時性和威脅處理的低干預(yù)性四個方面的安全需求特征，針對終端安全威脅、APP安全威脅、接入安全威脅和威脅處置不及時等問題，提出將SOAR組件引入5G MEC，實現(xiàn)威脅情報收集、安全事件響應(yīng)編排和執(zhí)行自動化；并設(shè)計云邊、邊邊協(xié)同的層級MEC部署方案，提供整體聯(lián)動的安全保障。仿真實驗結(jié)果表明，所設(shè)計的方案可以依據(jù)劇本快速靈活部署，反應(yīng)時間短，可有效抵御常見攻擊。

關(guān)鍵詞： 智能電網(wǎng)； 5G MEC技術(shù)； SOAR； 安全威脅； 分級協(xié)同部署； 安全解決方案

中圖分類號： TN929.5?34" " " " " " " " " " " " " 文獻(xiàn)標(biāo)識碼： A" " " " " " " " " " " "文章編號： 1004?373X（2024）10?0151?08

SOAR?based 5G MEC security solution for electric power

Abstract： The integration of 5G technology and MEC （multi?access edge computing） technology can provide strong support for the upgrading and transformation of the electric power industry， and a new type of architecture and deployment is applied in the electric power 5G MEC， and the traditional security protection measures can not effectively respond to all kinds of security threats and challenges that appear in the new environment. A security solution for electric power 5G MEC based on security orchestration automation and response technology is proposed. According to the security demand characteristics of smart grid services in four aspects： high openness of access， massive connectivity of heterogeneous terminals， low latency of services， and low intervention of threat processing， and in allusion to the problems of terminal security threat， APP security threat， access security threat， and untimely disposal of threats， SOAR components are introduced into 5G MEC to realize threat intelligence collection， security event response orchestration and execution automation. The cloud?side and edge?side collaborative tier MEC deployment scheme is used to provide overall linked security assurance. The simulation experimental results show that the scheme can be deployed quickly and flexibly according to the script， with short response time， and can effectively defend against common attacks.

Keywords： smart grid; 5G MEC technology; SOAR; security threat; hierarchical collaborative deployment; security solution

0" 引" 言

5G MEC（Multi?Access Edge Computing）是5G網(wǎng)絡(luò)中嶄露頭角的重要技術(shù)領(lǐng)域之一。它融合了5G移動通信和邊緣計算，為移動通信和應(yīng)用提供了更高的性能和更低的延遲。目前5G MEC已逐步應(yīng)用于生活的各個方面，如自動駕駛、工業(yè)自動化和智能電網(wǎng)等[1]。

智能電網(wǎng)作為我國“碳達(dá)峰、碳中和”的重要基礎(chǔ)設(shè)施支撐，其發(fā)展與“雙碳”目標(biāo)緊密相連。推動智能電網(wǎng)建設(shè)可以有效提高能源利用效率，優(yōu)化資源配置，促進(jìn)可再生能源的發(fā)展，降低碳排放，提高供電可靠性以及促進(jìn)節(jié)能減排。根據(jù)電力二次系統(tǒng)的特點，電力網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩類。生產(chǎn)控制大區(qū)分為控制區(qū)（安全區(qū)Ⅰ）和非控制區(qū)（安全區(qū)Ⅱ），信息管理大區(qū)分為生產(chǎn)管理區(qū)（安全區(qū)Ⅲ）和管理信息區(qū)（安全區(qū)Ⅳ）。生產(chǎn)控制大區(qū)的業(yè)務(wù)類型主要包括配網(wǎng)差動保護(hù)、廣域同步向量測量、配網(wǎng)自動化及其三遙等，此類業(yè)務(wù)對安全性、時延和網(wǎng)絡(luò)接入要求嚴(yán)格，但對傳輸速率的要求不高。管理信息大區(qū)的業(yè)務(wù)類型主要包括視頻監(jiān)控、電力應(yīng)急、無人巡檢和充電樁檢測等，這類業(yè)務(wù)對時延和網(wǎng)絡(luò)接入的要求不嚴(yán)格，但對數(shù)據(jù)傳輸帶寬的要求高[2]。

5G MEC與智能電網(wǎng)的融合能夠滿足電網(wǎng)業(yè)務(wù)對時延、網(wǎng)絡(luò)接入和傳輸帶寬的要求，但隨之也帶來了新的安全威脅和挑戰(zhàn)，如APP安全威脅、終端安全威脅及接入網(wǎng)安全威脅，依賴傳統(tǒng)的人工干預(yù)與介入模式難以保證此類威脅處理的及時性和正確性。

安全編排自動化與響應(yīng)（Security Orchestration，" Automation and Response， SOAR）的概念最早于2015年由Gartner提出，這是一種能夠整合各類安全數(shù)據(jù)，為安全運營團(tuán)隊提供報告、分析和管理能力的平臺，具有安全事件響應(yīng)、安全編排與自動化以及威脅與脆弱性管理的運營能力[3]。

本文提出一種基于SOAR的電力5G MEC安全解決方案，在MEC中引入SOAR，充分融合數(shù)據(jù)、工具、流程以及人的安全技能，從而達(dá)到電力5G MEC安全運營的目的。本文首先分析5G MEC與智能電網(wǎng)的融合場景下，電網(wǎng)業(yè)務(wù)在接入的高開放性、異構(gòu)終端連接的海量性、業(yè)務(wù)的低延時性和威脅處理的低干預(yù)性四個方面的安全需求特征，以及由此帶來的終端安全威脅、APP安全威脅、接入安全威脅和威脅處置不及時等問題；其次，提出一種基于SOAR的電力5G MEC安全解決方案，將SOAR組件引入5G MEC，實現(xiàn)威脅情報收集、安全事件響應(yīng)編排和執(zhí)行自動化，并設(shè)計云邊、邊邊協(xié)同的層級MEC部署方案，提供整體聯(lián)動的安全保障；最后，基于W5 SOAR實現(xiàn)了電力5G MEC安全解決方案，并針對所面臨的兩類主要威脅進(jìn)行測試，驗證了所提方案的可行性和有效性。

1" 相關(guān)工作

針對5G MEC的安全問題，文獻(xiàn)[4]研究MEC在5G中的安全問題和對策，介紹了在MEC和5G安全領(lǐng)域主要的研究機構(gòu)和團(tuán)體、5G應(yīng)用所面臨的潛在問題和挑戰(zhàn)以及相應(yīng)的技術(shù)解決方案。文獻(xiàn)[5]分析5G邊緣計算環(huán)境中的安全威脅，從網(wǎng)絡(luò)、MEC系統(tǒng)和應(yīng)用、虛擬化三個角度探討了MEC所面臨的安全威脅，并介紹了應(yīng)對此類安全威脅的技術(shù)。文獻(xiàn)[6]聚焦MEC的安全與隱私問題，指出了現(xiàn)有研究中對安全問題關(guān)注的不足，探討了MEC系統(tǒng)中的威脅向量，并提出了一些解決安全問題的方法和措施，最后還討論了MEC系統(tǒng)中的機密性和完整性問題。

對于電力5G MEC安全解決方案，文獻(xiàn)[7]基于零信任技術(shù)，提出了一種電網(wǎng)安全防護(hù)架構(gòu)，分析了在智能電網(wǎng)的5G網(wǎng)絡(luò)中遵循零信任安全規(guī)則的需求，探討了如何應(yīng)用零信任模型來保護(hù)電網(wǎng)免受網(wǎng)絡(luò)攻擊，并提出了一種智能安全電網(wǎng)的綜合策略。文獻(xiàn)[8]考慮隱私保護(hù)問題，介紹了一種在5G網(wǎng)絡(luò)中注重隱私的電能注入方案，方案分為6個階段，包括系統(tǒng)初始化、注冊、電能收集請求、隱私感知出價生成、隱私感知出價聚合和隱私感知聚合出價讀取，并評估了方案的計算復(fù)雜性和通信開銷。文獻(xiàn)[9]基于區(qū)塊鏈技術(shù)，提出了一種應(yīng)用于智能電網(wǎng)的許可區(qū)塊鏈邊緣模型，通過結(jié)合區(qū)塊鏈和邊緣計算技術(shù)來解決智能電網(wǎng)、隱私保護(hù)和能量安全中的若干問題。

在SOAR應(yīng)用方面，文獻(xiàn)[10]提出了一種低成本的云原生SOAR平臺，可使事務(wù)處理流程更快，同時節(jié)省人力資源預(yù)算，并通過大型跨國企業(yè)的實際測試，對所提解決方案的性能進(jìn)行了評估。文獻(xiàn)[11]介紹了一個基于自動化和編排的計算機安全事件響應(yīng)系統(tǒng)，引入集中式事件跟蹤系統(tǒng)來解決安全事件處理問題。文獻(xiàn)[12]介紹了一個名為SOAR Engine的安全編排、自動化和響應(yīng)引擎，可用來部署行為蜜罐以增強網(wǎng)絡(luò)安全防御，SOAR Engine包括動態(tài)部署蜜罐、DDOS和僵尸網(wǎng)絡(luò)檢測、惡意軟件收集等，并驗證了使用SOAR Engine的蜜罐能夠吸引更多的攻擊者的結(jié)果。

2" 電力5G MEC安全需求特征及面臨的威脅

2.1" 安全需求特征

由于智能電網(wǎng)與5G MEC融合，使其業(yè)務(wù)在接入、時延和運行環(huán)境上發(fā)生了諸多變化，電力5G MEC中的業(yè)務(wù)在安全需求方面具備以下4個特征。

1） 接入的高開放性：5G網(wǎng)絡(luò)的發(fā)展推動了物聯(lián)網(wǎng)應(yīng)用的進(jìn)步，使得更多終端設(shè)備能夠接入網(wǎng)絡(luò)。電力MEC允許多種類型設(shè)備的接入，對于設(shè)備類型有較高的寬容度，同時在MEC應(yīng)用方面也有很高的開放性，允許合法應(yīng)用注冊服務(wù)。

2） 異構(gòu)終端連接的海量性：隨著5G網(wǎng)絡(luò)性能的提升，電力MEC在接入的異構(gòu)終端數(shù)量巨大。面對海量接入設(shè)備，當(dāng)發(fā)生安全威脅時，必須在安全事件處理效率和處理效果上給予保證。

3） 業(yè)務(wù)的低延時性：MEC的卸載與分流結(jié)合5G網(wǎng)絡(luò)性能，能夠為智能電網(wǎng)提供更低延時、更高帶寬的業(yè)務(wù)支持，生產(chǎn)控制大區(qū)的業(yè)務(wù)類型往往具備此類要求，必須保證在發(fā)生DDOS等資源消耗型攻擊的情況下，服務(wù)的低延時依然能夠被滿足。

4） 威脅處理的低干預(yù)性：MEC的邊緣屬性和部署環(huán)境決定了MEC不具有大量人工維護(hù)的特點，傳統(tǒng)的威脅處理方案更依賴人工的干預(yù)與介入，并且難以保證處理的及時性和高效率，必須在威脅事件處理上實現(xiàn)自動化，對復(fù)雜的安全事件可以實現(xiàn)聯(lián)動處理。

2.2" 面臨的威脅

結(jié)合上述電力5G MEC的4個安全需求特征，可分析得出其所面臨的如下主要威脅。

1） 終端安全威脅：電力5G MEC安全解決方案中的終端不僅是手機和計算機，還覆蓋智能電表、巡檢機器人、無人機、智能攝像頭等設(shè)備。這些設(shè)備在電力5G MEC中起著不可替代的作用，但同時也面臨不一樣的安全威脅，比如物理攻擊、惡意軟件入侵、未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄漏、供應(yīng)鏈攻擊等[13]。例如攻擊者可能試圖攻擊智能電表，以獲取用戶的用電數(shù)據(jù)和規(guī)律，甚至有可能操控電表修改數(shù)據(jù)等。

2） APP安全威脅：電力5G MEC方案中的APP是指與電力系統(tǒng)相關(guān)的移動應(yīng)用程序，通常用于用戶監(jiān)控、管理和與電力網(wǎng)絡(luò)互動。這些應(yīng)用程序用于電力賬單支付、用電數(shù)據(jù)檢測等，其也面臨諸多安全威脅，如隱私泄漏、惡意應(yīng)用程序、網(wǎng)絡(luò)攻擊等。例如某些惡意應(yīng)用程序會偽裝成合法的電網(wǎng)應(yīng)用程序，以欺騙用戶來獲取其敏感信息，并可能進(jìn)一步危害他們的設(shè)備及數(shù)據(jù)安全。

3） 接入安全威脅：電網(wǎng)的接入網(wǎng)是指電力系統(tǒng)與外部網(wǎng)絡(luò)相連接的部分，這類連接可能允許實時監(jiān)控、控制和管理電力系統(tǒng)。接入網(wǎng)的安全地位非常重要，因此受到潛在威脅的影響也很大，這些威脅可以對電力系統(tǒng)的可用性、完整性和機密性造成巨大損害。其面臨的威脅包括遠(yuǎn)程攻擊、拒絕服務(wù)攻擊、中間人攻擊和數(shù)據(jù)篡改等。比如攻擊者可能試圖篡改電力分配或操作參數(shù)，以影響甚至破壞電力系統(tǒng)的運行。

4） 威脅處置不及時：MEC處于網(wǎng)絡(luò)的邊緣端，其所在環(huán)境及運行具有一定的特殊性，如人力資源稀少、7×24 h運行，并且依賴傳統(tǒng)的人工干預(yù)與介入，難以保證處理的及時性和高效率。如果威脅處理及時性缺失、效率低下，則可能導(dǎo)致攻擊范圍的擴大和危害后果的進(jìn)一步惡化。

3" 基于SOAR的電力5G MEC安全解決方案

3.1" 方案框架

結(jié)合上述對電力5G MEC的安全需求特征和面臨的威脅分析，本文提出了一種基于SOAR的電力5G MEC安全解決方案，其整體框架如圖1所示。

圖1的左側(cè)部分為電力5G MEC的各類接入設(shè)備，包括與電力相關(guān)的發(fā)電、輸電、變電和配電設(shè)備，無人機、機器人以及用戶設(shè)備。圖1的中間部分為核心架構(gòu)，包括核心網(wǎng)絡(luò)和邊緣網(wǎng)絡(luò)。圖1的右側(cè)為電網(wǎng)的生產(chǎn)控制大區(qū)和管理信息大區(qū)。核心網(wǎng)絡(luò)包括MEC系統(tǒng)層和5G核心網(wǎng)絡(luò)，其中MEC系統(tǒng)層可通過網(wǎng)關(guān)連接到互聯(lián)網(wǎng)；SMF（會話管理功能）管理著下沉到邊緣網(wǎng)絡(luò)中的UPF（用戶面功能）。邊緣網(wǎng)絡(luò)是一個兩層架構(gòu)，在二級邊緣網(wǎng)絡(luò)中，MEPM（移動邊緣平臺管理器）與VIM（虛擬化基礎(chǔ)設(shè)施管理器）管理著多個MEH（移動邊緣主機）。在一個MEH中，分布著MEP（移動邊緣平臺）、ME APP（移動邊緣APP）、VI（虛擬設(shè)施）及SOAR。在一級邊緣網(wǎng)絡(luò)中，有一個中心級MEH，其UPF接入電力系統(tǒng)的生產(chǎn)控制區(qū)和管理信息區(qū)。

3.2" MEC中的SOAR架構(gòu)

MEC中的SOAR架構(gòu)包括威脅情報平臺、安全事件響應(yīng)平臺以及安全編排自動化三部分，具體部署如圖2所示。

威脅情報平臺實現(xiàn)對威脅的檢測，輔助完成對威脅的響應(yīng)，包括情報收集、情報關(guān)聯(lián)、情報分類和情報共享等功能。安全事件響應(yīng)平臺主要實現(xiàn)對威脅的響應(yīng)、處置和恢復(fù)，包括告警管理、工單管理、案件管理等功能[14]。安全編排與自動化是SOAR的核心能力，通常包括劇本編輯、工作流引擎、動作庫等功能。安全編排是指將不同的安全系統(tǒng)或者安全工具通過可編程接口和人工檢查點，按照一定的邏輯關(guān)系組合到一起，用以完成某個特定安全操作的過程。這一過程在軟件上的映射稱為劇本，為方便對劇本的操作，SOAR提供可視化的劇本編輯工具。安全自動化可以視為自動化的編排過程，其關(guān)鍵在于通過工作流引擎實現(xiàn)對劇本的自動化執(zhí)行。

SOAR具有開放性，上述架構(gòu)中的功能模塊可以依賴第三方應(yīng)用來實現(xiàn)，如情報收集、情報關(guān)聯(lián)等?；赟OAR的5G MEC安全解決方案，組合并實現(xiàn)所需要的功能，提升整個系統(tǒng)的安全性能和對威脅的處理能力。圖2中關(guān)鍵模塊的具體實現(xiàn)如下：

1） 情報收集：在情報收集功能模塊中，除了從網(wǎng)絡(luò)中收集多源多維度且已經(jīng)公開的威脅情報，還可以添加對系統(tǒng)狀態(tài)的監(jiān)測功能，具體通過MEPM來實現(xiàn)。MEPM是監(jiān)測MEH活動的實體，通過它與VIM、MEO和OSS的連接來執(zhí)行資源分配和監(jiān)測功能。利用MEPM提供的對主機實體的整體監(jiān)測來統(tǒng)計數(shù)據(jù)，可以完成對MEC的完整監(jiān)測。對于數(shù)據(jù)中出現(xiàn)的異常波動，將其傳輸?shù)角閳蠓治霾糠诌M(jìn)行分析，進(jìn)而確定后續(xù)的威脅響應(yīng)動作。

2） 情報共享：威脅情報的共享一般是指在中心云端，從情報中提取出具有實用價值的失陷指標(biāo)（Indicators of Compromise， IOC），這種共享模式是針對于周期較長且地域較廣的場景。本文在方案中引入了一種新的情報共享模式，即在短期和小范圍內(nèi)的情報共享，以期對抗較為緊急的威脅和攻擊。數(shù)據(jù)傳輸?shù)母咚俸捅憬輰⑼{情報傳輸給周邊的MEC，可以對該情報進(jìn)行關(guān)聯(lián)分析，豐富本地數(shù)據(jù)庫，提高M(jìn)EC對威脅的態(tài)勢感知能力。

3） 動作庫：在動作庫中，通過MEC中的管理器豐富動作庫，與各管理器聯(lián)動，如虛擬化基礎(chǔ)設(shè)施管理器，加入分配、管理、釋放和監(jiān)測虛擬化資源等操作；還可通過多接入邊緣協(xié)調(diào)器，管理單個或多個移動邊緣主機層面，提供服務(wù)遷移、移動性管理和流量引導(dǎo)監(jiān)控動作。

3.3" 方案分級協(xié)同部署

電力MEC的應(yīng)用場景和威脅復(fù)雜多樣，不同的應(yīng)用場景對于安全能力有不同的要求，采用統(tǒng)一的標(biāo)準(zhǔn)會造成資源的浪費。威脅的多樣性使得劇本數(shù)量龐大，充分利用云端的集中存儲能力可有效緩解這一問題。此外，攻擊者發(fā)起的攻擊通常不是針對單個MEC，而是具有區(qū)域性的特點，MEC與MEC之間應(yīng)能夠協(xié)同防御攻擊。針對以上分析，提出分級協(xié)同的部署策略，如圖3所示。

1） 分級部署，云邊協(xié)同

地域分級：MEC根據(jù)省市各級別不同分級部署，SOAR也相應(yīng)進(jìn)行分級部署，高級別SOAR對低級別SOAR具有調(diào)配和監(jiān)測功能。

安全能力分級：根據(jù)部署場景對安全性的要求，劃分SOAR的防護(hù)能力，根據(jù)具體場景靈活移植SOAR的功能模塊。

云邊協(xié)同：如果單純在云端存儲完整的威脅情報和劇本庫，會降低安全響應(yīng)時間。在邊端直接處理安全事件更有利于及時響應(yīng)和劇本執(zhí)行，邊端定期從云端更新劇本情報等，并將自己存儲的情報定時更新至云端，以確保云端數(shù)據(jù)的完整性和豐富性。

2） MEC之間協(xié)同聯(lián)動

當(dāng)某一MEC受到攻擊，其會向周圍MEC發(fā)出告警，周邊MEC接到告警并分析后，執(zhí)行相應(yīng)的響應(yīng)動作，如提高相關(guān)劇本的優(yōu)先級等，從而提高一定區(qū)域內(nèi)的威脅預(yù)防能力，防范區(qū)域性攻擊。

4" 實驗仿真

4.1" 實驗環(huán)境及設(shè)計

為驗證本文提出的電力5G MEC安全解決方案的有效性，設(shè)計了兩類實驗對安全方案的處理及時性和非法訪問阻斷有效性分別進(jìn)行測試。實驗使用參數(shù)為Intel[?] CoreTM i5?8300H CPU @2.30 GHz 16 GB內(nèi)存和CentOS 8操作系統(tǒng)的虛擬機模擬邊緣服務(wù)器，使用W5 SOAR開源平臺（網(wǎng)址為https：//w5.io/index.html）在邊緣服務(wù)器上進(jìn)行SOAR部署，使用kali系統(tǒng)的虛擬機模擬攻擊方。

實驗1：邊緣服務(wù)器在資源耗盡攻擊下的健壯性測試。在電力業(yè)務(wù)中，源網(wǎng)荷儲協(xié)同控制、配電自動化系統(tǒng)、分布式配電自動化等場景操作需要毫秒級的低延時，而邊緣計算節(jié)點暴露在網(wǎng)絡(luò)邊緣，易受攻擊者的攻擊，攻擊者可以通過惡意耗盡服務(wù)主機的計算、網(wǎng)絡(luò)等資源，導(dǎo)致服務(wù)節(jié)點失效，這將會直接對部分低延時要求的電力業(yè)務(wù)造成嚴(yán)重影響。實驗1使用hping3工具對模擬的邊緣服務(wù)器進(jìn)行DoS攻擊，觀察SOAR在DoS攻擊下的自動化處理是否可以滿足低時延的需求。在本次實驗中，由OTX（Open Threat Exchange）威脅情報社區(qū)（網(wǎng)址為https：//otx.alienvault.com/dashboard/new）提供SOAR中所需的惡意IP、脈沖ID等。

實驗2：邊緣服務(wù)器對中間人攻擊的檢測有效性測試。惡意的應(yīng)用程序會偽裝成合法的用電賬單查詢、在線賬單支付等電網(wǎng)應(yīng)用程序來欺騙用戶，獲取敏感信息。攻擊者將使用中間人攻擊截取這些敏感信息，在適當(dāng)?shù)膱龊现兄胤胚@些信息，以達(dá)到攻擊目的。例如用戶使用智能電表進(jìn)行抄表，如果用戶操作不當(dāng)，將導(dǎo)致中間人攻擊，攻擊者將截獲用戶的敏感信息，對用戶的邊緣網(wǎng)絡(luò)設(shè)備進(jìn)行竊聽或重放等攻擊，導(dǎo)致用戶隱私與財產(chǎn)受到侵害。實驗2中使用MITMproxy工具對模擬的邊緣服務(wù)器進(jìn)行中間人攻擊。

4.2" 邊緣服務(wù)器資源耗盡攻擊下的健壯性

實驗1通過安全編排功能實現(xiàn)邊緣服務(wù)器被DoS攻擊后快速的檢測、響應(yīng)、恢復(fù)，劇本就是對編排的表述[15]，是依據(jù)先驗知識提前編輯好的應(yīng)對威脅的一套工作流。

SOAR提供可視化工具對劇本進(jìn)行編輯，實驗1所需劇本如圖4所示。

在W5 SOAR平臺提供的可視化面板中，箭頭表示劇本的執(zhí)行次序，結(jié)合劇本的執(zhí)行邏輯，圖4展示的流程如下。

1） 發(fā)起攻擊：使用kali中hping3進(jìn)行syn flood攻擊。

2） 劇本觸發(fā)：OTX威脅情報對IP進(jìn)行快速威脅檢測，確認(rèn)是否為惡意IP，如果檢測結(jié)果為True，執(zhí)行安全動作3）。

3） 安全動作執(zhí)行：對惡意IP執(zhí)行封鎖命令以及更詳細(xì)的威脅信息查詢，IP封鎖使用Linux iptables命令向防火墻添加入站規(guī)則；同時，微步威脅情報對IP地址進(jìn)行詳細(xì)的威脅信息查詢。

實驗1的劇本執(zhí)行日志如圖5所示，整個劇本從觸發(fā)到OTX威脅檢測、IP封鎖，再到詳細(xì)威脅情報獲取及通知，均在不到1 s內(nèi)完成。

4.3" 邊緣服務(wù)器對中間人攻擊的檢測有效性

實驗2通過安全編排功能實現(xiàn)對邊緣服務(wù)器受到的中間人攻擊進(jìn)行檢測、響應(yīng)、恢復(fù)操作，實驗2劇本如圖6所示。

結(jié)合劇本的執(zhí)行邏輯，圖6展現(xiàn)的具體流程如下。

1） 發(fā)起攻擊：使用kali中MITMproxy進(jìn)行中間人攻擊。

2） 劇本觸發(fā)并進(jìn)行威脅檢測：使用身份認(rèn)證白名單對邊緣設(shè)備進(jìn)行快速匹配，確認(rèn)是否為白名單中的合法設(shè)備，如果檢測結(jié)果為True，劇本繼續(xù)執(zhí)行，并進(jìn)一步對請求包進(jìn)行行為的時間戳驗證。

3） 安全動作執(zhí)行：如果“合法”設(shè)備其行為時間戳不合理，則認(rèn)定該設(shè)備“被劫持”（非法時間戳可能是歷史合法數(shù)據(jù)的重放導(dǎo)致），從而執(zhí)行取消授權(quán)命令，并將該設(shè)備通告周圍節(jié)點，再上報威脅信息；如果時間戳驗證通過，則確認(rèn)為是合法行為，執(zhí)行對其的授權(quán)。

實驗2的執(zhí)行日志劇本執(zhí)行日志如圖7所示。

通過實驗驗證，本文提出的電力5G MEC安全解決方案可以有效抵御對邊緣服務(wù)器的DoS攻擊與中間人攻擊。通過自動化執(zhí)行劇本，不需要人工干涉處理過程，可以在極短的時間內(nèi)正確完成威脅處置流程，滿足特定電力業(yè)務(wù)的低延時需求。此外，方案對于第三方應(yīng)用具有開放性，使其可以支持更豐富的動作庫和應(yīng)用庫、更完備的威脅檢測庫與更完善的威脅處理流程，能夠應(yīng)對更加復(fù)雜多變的威脅場景。

5" 結(jié)" 論

為應(yīng)對電力5G MEC融合發(fā)展所帶來的新威脅和新挑戰(zhàn)，本文提出一種基于SOAR的電力5G MEC安全解決方案，實現(xiàn)了威脅檢測、響應(yīng)、處置的自動化執(zhí)行，降低了響應(yīng)時間，契合了5G MEC低人工干預(yù)的特點。將5G MEC和SOAR進(jìn)行開放性結(jié)合，豐富了MEC的安全功能；利用安全編排功能形成對安全防御的統(tǒng)一整體調(diào)度，提高了MEC安全防御效率。此外，通過云邊、邊邊協(xié)同的部署方案，讓云端和邊端在功能上各有側(cè)重，更充分發(fā)揮MEC的協(xié)同能力。

參考文獻(xiàn)

[1] 張濱.5G邊緣計算安全研究與應(yīng)用[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2020，33（12）：1?7.

[2] 余曉光，余瀅鑫，陽陳錦劍，等.安全技術(shù)在5G智能電網(wǎng)中的應(yīng)用[J].信息安全研究，2021，7（9）：815?821.

[3] 奇安信，Gartner .安全運行迎來SOAR時代[M/OL].[2020?10?30]. https：//www.bigdata?expo.cn/uploads/exhibitorfiles/2022/05/18/82a1b0cc7421d3ff5f119ead400d1caa.pdf.

[4] RANAWEERA P， JURCUT A， LIYANAGE M. MEC?enabled 5G use cases： a survey on security vulnerabilities and countermeasures [J]. ACM computing surveys， 2022， 54（9）： 1?37.

[5] KIM Y， PARK J G， LEE J H. Security threats in 5G edge computing environments [C]// 2020 International Conference on Information and Communication Technology Convergence. Jeju， Korea （South）： IEEE， 2020： 905?907.

[6] RANAWEERA P， JURCUT A D， LIYANAGE M. Survey on multi?access edge computing security and privacy [J]. IEEE communications surveys amp; tutorials， 2021（99）： 1078?1124.

[7] ALIPOUR M， GHASEMSHIRAZI S， SHIRVANI G. Enabling a zero trust architecture in a 5G?enabled smart grid [EB/OL]. [2023?04?17]. https：//arxiv.org/ftp/arxiv/papers/2210/2210.01739.pdf.

[8] ZHANG Y， ZHAO J， ZHENG D. Efficient and privacy?aware power injection over AMI and smart grid slice in future 5G networks [J]. Mobile information systems， 2017（2）： 1?11.

[9] GAI K， WU Y， ZHU L， et al. Permissioned blockchain and edge computing empowered privacy?preserving smart grid networks [J]. IEEE Internet of Things journal， 2019， 6（5）： 7992?8004.

[10] CHRISTIAN J， PAULINO L， DE Sá AO. A low?cost and cloud native solution for security orchestration， automation， and response [C]// International Conference on Information Security Practice and Experience. Cham： Springer， 2022： 115?139.

[11] OHMORI M. On automation and orchestration of an initial computer security incident response by introducing centralized incident tracking system [J]. Journal of information processing， 2019， 27： 564?573.

[12] BARTWAL U， MUKHOPADHYAY S， NEGI R， et al. Security orchestration， automation， and response engine for deployment of behavioural honeypots [C]// 2022 IEEE Conference on Dependable and Secure Computing （DSC）. Edinburgh， United Kingdom： IEEE， 2022： 1?8.

[13] 莊小君，楊波，楊利民，等.面向垂直行業(yè)的5G邊緣計算安全研究[J].保密科學(xué)技術(shù)，2020（9）：20?27.

[14] VAST R， SAWANT S， THORBOLE A， et al. Artificial intelligence based security orchestration， automation and response system [C]// International Conference for Convergence in Technology. Maharashtra， India： IEEE， 2021： 1?5.

[15] ELGENDY I， ZHANG W， ZENG Y， et al. Efficient and secure multi?user multi?task computation offloading for mobile?edge computing in mobile IoT networks [J]. IEEE transactions on network and service management， 2020， 17（4）： 2410?2422.