王捷 李晶 喻潇 周亮

（1.国网湖北省电力有限公司电力科学研究院 湖北省武汉市 430000 2.国网湖北省电力有限公司 湖北省武汉市 430000）

近年来，国家电网、南方电网等国家大型电网企业已经在不断加强网络安全防御体系的建设，但现有的防御体系主要还是在攻击发生之后采取应对措施，未能掌握主动权，提前预测和消除威胁。在智能电网中应用和发展网络安全态势感知技术，能够采集、理解与预测各类安全因素，准确掌握电网的安全态势，达到主动预防电网安全风险的目的。本文通过对智能电网系统存在的各种常见网络攻击及危害进行归纳分析，针对性构建网络安全态势评估模型，为智能电网主动防御攻击提供指导依据。

1 智能电网中的网络安全态势

1.1 态势感知

网络态势感知关键技术包括态势可视化技术、智能Agent 模型、数据采集和预处理等。智能电网日常网络安全工作需要采集各类影响网络安全变化的因素数据，对电网安全态势进行分析、理解、评估与预测。在智能电网系统的网络环境中，可以采集的数据信息包括电网系统动态数据、设备安全状态信息、网络拓扑结构信息、电网运行环境信息、电网暂态故障信息、电网运行稳态数据等。利用网络态势感知技术，准确监测当前网络系统的安全状态，以及预判未来安全发展趋势，可以在事前采取主动、有效的防御与反制措施，应对即将出现的大规模攻击，将极大转变过去电力网络安全管理的事后处理、被动防御的不利局面。

1.2 态势理解与评估

对智能电网的网络安全状态、趋势的理解，即态势理解，其关键是如何通过分析所采集的数据信息，准确有效地评估当前及将来的网络安全态势。态势评估技术包括模糊逻辑、人工神经网络、贝叶斯分析等。评估方法的核心是构建网络安全态势评估模型[2]。许多态势评估方法都是以传统的计算机网络作为研究对象，很少面向于智能电网网络安全威胁的态势评估。本文在智能电网环境下，以信息融合为基础，提出一种新的网络安全态势评估模型。该模型利用广域态势感知技术（Wide-Area Situational Awareness，WASA）[3]采集和融合智能电网中外部攻击信息、节点内部脆弱性、攻击自身威胁性等方面的数据信息，并通过将多种单一预测模型进行有效结合，达到准确评估和预测真实网络安全态势信息的目的。

2 基于智能电网的网络安全态势评估模型

2.1 网络安全态势评估模型

本文所构建的评估模型主要选取智能电网系统中的外部攻击信息、节点内部脆弱性、攻击自身威胁性三方面的特征信息，通过融合与分析计算获得网络安全态势评估结果，如图1所示。其中，外部攻击信息主要包括系统中的网络端口流量信息，以及各类电网设备的日志信息。通过WASA技术收集这些信息并进行融合处理分析，获得可能发生某类网络安全攻击的概率，也即攻击发生概率。网络中主机节点的内部脆弱性等内部环境因素是判断攻击是否可以成功的关键因素。某类攻击发生后，由内部环境、外部攻击等因素共同决定攻击成功的概率，也即攻击成功概率。攻击自身威胁性是当该类型攻击所依赖的网络环境、漏洞利用等所有条件都与主机节点环境符合时，其所能造成的影响。已知攻击可能带来的最大影响，也即攻击威胁。根据评估的结果，归纳和总结智能电网网络安全态势的真实发展变化规律，从而能够对未来的发展态势进行预测。同时可以建立可视化的态势展示平台，用于直观表示各类数据信息，以及通过不同的图形状态展示数据信息的各种变化特征，从而为网络安全人员提供准确的参考与指导，帮助制定和实施相应的防御和应急处置措施。

2.2 智能电网网络安全态势预测

基于智能电网系统的特殊性，不能直接应用传统的网络安全态势预测技术，因此需要新的组合预测技术。依据D-S（Dempster/Shafer）证据理论[4]，本文提出一种组合预测方法，将自回归（Autoregressive，AR）[5]预测模型、最小二乘支持向量机（Least Squares Support Vector Machine，LSSVM）[6]预测模型以及径向基函数（Radial Basis Function，RBF）[7]神经网络预测模型进行结合，通过调整各模型的权重，有效融合各模型的预测结果，从而获取更符合真实状况的预测结果，以期达到网络安全态势预测的高精度要求。

2.2.1 权重提取

假设三种预测模型AR、LSSVM、RBF 对同一日的网络安全态势预测结果为Ai（i=1,2,3），当日网络安全态势的真实值为R。用e 表示模型预测误差，即ei=Ai-R（i=1,2,3）。用ω 表示各模型的权重系数。则有如下计算公式：

预测方差：

2.2.2 权重融合

融合权重中，权重系数较大的预测值的预测精度更高，权重系数较小的预测值的预测精度更低，并满足。建立识别框架，用m 表示各预测模型的基本可信度，即m（Ai）=ωi。将预测日前5日的网络安全态势预测值表示为mj（Ai）（j=1,2,3,4,5，i=1,2,3），对应信度函数（Belief Function）[8]表示为Belj。首先融合前两日的信度函数Bel=Bel1⊕Bel2；然后是二重融合，融合第三天预测值对应信度及信度函数Bel=Bel1⊕Bel2⊕Bel3；依次进行三重、四重融合，直至融合第五天的预测值后结束，最终的融合信度函数为Bel=Bel1⊕Bel2⊕Bel3⊕Bel4⊕Bel5，对应的基本信度值表示为mc（Ai）。模型对预测日的融合权重结果即当日基本信度值，通过迭代可计算得到每日网络安全态势预测值。

表1：三种模型预测误差比较

3 智能电网网络安全态势评估模型应用实例

3.1 三种模型预测结果对比

本文研究选取国家电网公司某区域单位所提供的实际网络攻击监测数据，包括攻击时间长度、攻击深度等级、网络攻击方式等，利用所构建的评估模型对2019年10月11-15日的网络安全态势值进行预测计算。

首先使用AR 模型进行基本预测。以前10日（10月1-10日）的网络安全态势真实值为依据，获取后5日（10月11-15日）的预测值。

然后使用LSSVM 和RBF 模型进行基本预测，同样依据前10日数据预测后5日数据，预测结果分别如图2、图3所示。

计算并对比三种模型的预测误差，结果如表1所示。结果表明，AR 模型能够预测网络安全态势的基本走势，但存在较大误差。与AR 模型相比，LSSVM 模型的网络安全态势预测值与真实值相对更接近，但也存在一定差异。RBF 神经网络模型预测误差为三种模型中最小。

3.2 基于D-S证据理论的组合预测结果

根据D-S 证据理论，结合前10日的历史预测数据，融合三种基本预测模型的权重，对后5日的网络安全态势值进行组合预测。首先预测第6-10日网络安全态势，获得每日权重。根据合成法则多重融合模型权重，多重融合结果即为预测日的模型权重。通过调整优化预测模型的融合，获得预测日更精确的预测结果。即：

（1）提取权重。综合AR 模型、LSSVM 模型、RBF 神经网络模型的预测结果，计算第6-10日的对应权重。

（2）权重融合。多重融合对应的信度，根据信度函数计算获得各种预测模型在待预测日的权重。

基于本文组合预测评估模型对10月11-15日的最终预测结果如图4所示。可见其结果与实际网络安全态势值最接近，并且平均相对误差、绝对误差均最小。该应用实例证明，本文的组合预测模型能够获得比传统单一预测模型更为精确的预测结果。

4 总结

电力系统与人们的生产生活密切相关。现代智能电网系统不断发展与开放，不可避免面临网络安全的问题。随着信息与网络技术的不断进步，网络攻击方式更加复杂多样，对智能电网系统的网络安全提出了更高的要求。为保证智能电网的安全稳定运行，需要加强和提升对网络攻击和未知威胁的主动防御和提前预测能力。本文综合应用广域态势感知技术、自回归模型、最小二乘支持向量机模型、RBF 神经网络模型和D-S 证据理论，构建了一种适用于智能电网的网络安全态势评估模型。通过应用实例表明，该模型能够取得较好的预测精度，能够有效描述智能电网系统的网络安全态势，从而能够为网络安全措施的制定与实施提供较为科学的指导依据。