吕卓，郭志民，陈岑，莫坚松，常朝稳

（1.国网河南省电力公司电力科学研究院，郑州 450052； 2.中国人民解放军战略支援部队信息工程大学，郑州 450004）

近年来，国内外由于嵌入式设备遭受攻击造成的电力系统安全事故屡有发生，2015年12月23日发生的乌克兰电网遭受黑客攻击导致大面积用户停电事件，成为世界上首例由于黑客入侵而导致的大面积停电事故，如何保障电网控制系统的安全稳定运行已经成为了各国保障国家安全的重要研究课题。

相对于传统PC设备，智能电网设备关注更优的硬件适配、更少的资源占用及更可靠的系统运行等问题，而对其自身信息安全缺少足够的防护，攻击者很容易通过各种安全漏洞侵入到智能电网设备中实施干扰、监视甚至远程控制［1-3］。由于嵌入式设备自身计算及存储资源有限，面对各类网络攻击行为时显的力不从心［4-6］，现有智能电网设备面临的安全形势非常严峻。

目前，国内外已广泛开展智能设备网络威胁监测分析工作。文献［7］基于属性的多源事件融合模型，构建了源网荷系统恶意攻击关联分析方法；文献［8］设计了基于自体集密度自动划分聚类方法，开展自适应免疫计算的网络攻击检测。同时，也有采用度量方法对系统安全运行状态进行评估。文献［9］提供了一种基于网络流量评估、威胁评估、和漏洞评估3个模块的网络安全态势评估模型，弥补了仅靠单一网络因素导致网络安全态势的评估不够全面的问题；文献［10］通过建立网络信息系统的安全效用基线，对网络系统的标识特征、流量特征、效用影响进行度量评估，从而实现面向网络系统安全度量的攻击检测。上述方法在网络攻击威胁检测方面均有一定优势，但在实际应用中存在以下问题：与电力控制业务的结合深度不足，导致检测方法效率不高；无法对于操作系统运行过程中动态变化的内容进行度量，检测准确率难以满足要求。

本文针对智能电网嵌入式设备安全防护方面存在的上述挑战，提出了一种基于组件动态可信度量的智能电网嵌入式设备网络攻击行为动态评估方法。相比于其他度量方法，该方法充分考虑了智能电网设备嵌入式系统“行为有限”和“状态有限”特点，在保证设备运行可靠性的前提下，通过对各种真实攻击行为的准确捕捉，快速、准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估，同时还能够实现网络攻击过滤装置的数据包标识和解析判别模式与文件配置模式的隔离，有效阻止攻击者通过网络接口模块对评估系统本身的攻击，提高设备自身安全性，实现对电网嵌入式系统的有效保护。

1 方法架构

1.1 方法整体架构

智能电网嵌入式设备网络攻击行为动态评估方法主要针对智能电网环境下各种嵌入式控制系统提供安全防护，该方法主要由网络接口模块、安全控制模块、嵌入式设备模拟机及安全分析服务器等部分组成。

运行时，由网络接口模块对当前通信网络行为的网络数据进行采集，利用安全控制模块对所接收的实际嵌入式设备发送的数据进行解析判别，在嵌入式设备模拟机中对网络行为的实际安全危害进行安全检测与评估，并通过安全分析服务器在平台配置属性、平台运行属性及用户认证属性3个方面进行多维度属性综合度量，最终得出安全检测结果。

智能电网嵌入式设备网络攻击行为动态评估方法的系统架构如图1所示。

图1 面向智能电网嵌入式设备的网络威胁动态评估方法架构Fig.1 Framework of dynamic network threat evaluation method for smart grid embedded devices

本文在文献［11］所提出的智能电网嵌入式设备网络检测评估系统与检测评估方法的基础上，在安全控制模块中增加了解析判别模式与文件配置模式，通过2种模式物理切换实现了系统运行时内外部环境的隔离，有效阻止针对安全控制模块本身的攻击。以下对各模块具体功能进行说明。

1.2 方法模块设计

1.2.1 网络接口模块

网络接口模块用于完成IP数据包的收发，包括外部网络接口模块和内部网络接口模块。

1）外部网络接口模块连接安全控制模块和智能电网网络，用于接收外部通信网络所发送的IP数据包并传送给安全控制模块，以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送。

2）内部网络接口模块分别连接安全控制模块、嵌入式设备模拟机、实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或嵌入式设备模拟机，以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块。

1.2.2 安全控制模块

安全控制模块保存有与之相应目的地址和来源地址对应的密钥、发送序列号及接收序列号，用于对所接收的网络数据包进行解析判别。

安全控制模块还连接有开关模块，开关模块的信号输出端连接安全控制模块的信号输入端。开关模块用于向安全控制模块输入高电平或低电平信号，安全控制模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式。

文件配置模式下，安全控制模块仅通过串口通信模块与外界进行通信。当安全控制模块执行攻击过滤模式时，安全控制模块从内部启动，即从内部存储单元中读取IP数据包标识和解析判别程序并执行，安全控制模块不能访问外部存储器，能够保证不会篡改外部存储中的程序，进而保证了配置程序的安全。当安全控制模块执行配置程序运行模式时，安全控制模块从外部存储器中读取配置程序并执行，配置程序在用户的计算机中运行，用户计算机通过串口通信模块与安全控制模块进行通信，此时安全控制模块中运行配置程序，与用户的计算机形成C／S的工作模式。系统利用硬件开关隔离安全控制模块2种运行模式，安全控制模块执行配置程序时不通过网络进行，能够有效阻止通过网络接口模块发起的针对安全控制模块本身的攻击，不论安全控制模块的配置程序有无漏洞，攻击者均不能修改安全控制模块的配置程序，安全性大为提高。

1.2.3 嵌入式设备模拟机

嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，并对实际嵌入式设备受到网络攻击时其网络状态和主机状态变化进行检测，将网络状态及主机状态信息发送至安全分析服务器进行分析。

嵌入式设备模拟机中包括硬件可信平台模块（TPM），用于实现信息采集与组件动态可信度量［12］。其中信息采集包括对于异常网络事件和主机事件的采集。异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括嵌入式设备模拟机配置信息和嵌入式设备模拟机运行信息［13-15］。组件动态可信度量是利用嵌入式设备模拟机的特权控制机制分析嵌入式设备模拟机内的组件运行时的动态内存影像，从而对运行组件进行有效的动态度量，及时发现组件运行异常情况，对攻击做到主动防御，为嵌入式设备模拟机安全稳定运行提供安全可信的计算和运行环境［16-18］。

1.2.4 安全分析服务器

安全分析服务器用于对嵌入式设备模拟机发送的网络状态及主机状态信息进行分析，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终面对外部攻击下的设备安全检测结果。

2 多维度属性综合度量方法

本文面向智能电网应用场景，基于文献［19-20］中提出的基于多维的环境信任度计算方法，在安全分析服务器中开展智能电网嵌入式设备的平台配置属性度量、平台运行属性度量、用户认证属性度量，最终综合以上3个方面度量结果，计算多维度属性综合度量结果，如图2所示。

图2 多维度属性综合度量方法Fig.2 Multi-dimensional attribute comprehensive measurement method

2.1 平台配置属性度量

平台配置属性度量反映了智能电网嵌入式设备各项配置的完整度，从而对遭受攻击时设备安全状态进行评估。本文通过将各组件完整性度量值存储在硬件可信平台模块TPM中，对其可信程度进行综合计算。

1）TPM采用可信密码技术，用于保证度量信息存储与传输过程的安全性。组件完整性度量值即存储在TPM中。

2）各组件的完整性由安全分析服务器进行验证，安全分析服务器从TPM提供的安全通道中获取到完整性度量值，对其开展安全性验证。

3）计算平台配置信任度TI，使用｛bS，dS，uS｝和｛bF，dF，uF｝分别表示完整性验证成功和失败的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件不会对系统安全性造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度。使用｛bI，dI，uI｝表示平台配置信任度TI：

式中：bI为完整性状态正常的概率；dI为完整性受到破坏的概率；uI为不确定度；n为组件的个数；f为完整性验证失败的组件数；κ为调整因子，一般取（n－f）／n，信任组件随着非信任组件的增多受影响越来越大。

2.2 平台运行属性度量

平台运行属性反映了嵌入式设备模拟机当前行为的信任属性。平台运行属性包括性能特性（如CPU、内存、硬盘使用情况和网络流量信息等）、可靠性（如成功率、丢包率和平均无故障时间等）和安全性（如非法连接次数、端口扫描次数和越权尝试企图等）。

平台运行属性度量通过将正常的网络通信事件作为正向事件，用r表示，将网络恶意攻击事件作为负向事件，用z表示。基于这些特性计算当前嵌入式设备模拟机运行情况的信任值TH，其中H表示平台运行属性，平台运行属性信任度TH由｛bH，dH，uH｝表示：

式中：bH为正常网络通信的可能性；dH为非法网络通信事件的可能性；uH为正常网络通信的不确定程度。

2.3 用户认证属性度量

用户认证属性由其具有的身份凭证判定，并决定了其资源访问权限，是行为控制的基本属性。身份属性不同，在同样的平台上，可能造成安全风险也不同。当用户为了获得非法利益时，如访问未授权资源，可能利用系统漏洞或其他技术手段假冒其他用户身份，这就要求能对用户提交的身份凭证的可信性做出度量，即计算认证信任等级。在系统中，用户身份凭证可能有多种，如数字证书、指纹、虹膜乃至简单的PIN码，为了统一用户身份属性可信性的表达，用户认证属性度量采用认证方法被攻破的概率来计算认证信任级。用户认证属性度量问题实际上是计算多因素认证方式的破解概率问题。

用户认证属性度量具体步骤如下：

1）假设认证方法A被攻击破解的概率是P（A），则该认证方法A的可信等级levelA＝－lg（P（A））。

2）如果系统采取多因素认证方案，A1，A2，…Am，m为认证因素的数量，如采用指纹、口令和证书3因素认证，那么m＝3；则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P（A1∩A2∩…∩Am）；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为

2.4 多维度属性综合度量

基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均。设αI和αH分别为平台配置属性度量和平台运行属性度量的权重，αI＋αH＝1，则嵌入式设备模拟机安全度量评估值TP＝｛bP，dP，uP｝为

式中：bP为实际嵌入式设备模拟机安全可信的可能性；dP为实际嵌入式设备模拟机非安全可信的可能性；uP为实际嵌入式设备模拟机安全可信的不确定程度。

基于式（4），即可得出最终安全评估结果。

3 实验结果分析

3.1 实验环境搭建

利用配电自动化模拟主站及真实DTU、FTU配电自动化终端搭建了一个配电自动化系统模拟仿真环境，并对攻击行为检测模型进行了系统实现，完成检测系统与配电自动化系统的防护接入，如图3所示。

图3 实验网络结构Fig.3 Experimental network structure

通过本文设计的多维度属性综合度量方法，对工具扫描、数据篡改、报文注入等一系列模拟攻击行为进行评估，通过平台配置、平台运行、用户认证等维度的度量结果，对攻击行为进行实时检测，并通过攻击检测准确率和业务响应时间来检验该模型对于攻击的实际检测效果。

3.2 实验过程分析

1）攻击模拟。将自动化渗透工具接入配电自动化实验网络，工具中预置端口扫描、畸形报文、消息篡改、拒绝服务等多类安全攻击测试脚本，对配电自动化终端设备开展不同类型的攻击测试。

2）可信度量。基于嵌入式设备虚拟机与安全分析服务器，依托本文设计度量方法，对网络攻击行为及该攻击行为对嵌入式设备虚拟机内配置状态、运行状态、用户状态造成的影响进行度量，确定不同攻击模型下的度量评估影响，并根据综合度量结果对于攻击行为进行判断评估。

3）结果呈现。本文设计的评估方法的目标是检测智能电网嵌入式设备中的攻击行为，因此本文对不同攻击类型及不同攻击频率下的评估结果进行分析，并以攻击行为检测准确率与检测响应时间作为衡量本文所提评估方法的重要指标。同时将本方法实验结果与当前主流的入侵检测算法Apriori进行对比分析，以验证本文方法的有效性和准确性。

其中，Apriori算法是一种挖掘关联规则的频繁项集算法，该算法被广泛应用在网络入侵检测中，具有较好的效果。但随着网络攻击逐渐向定值化方向发展，传统Apriori算法只对网络层事件进行关联，存在关联精度不高的不足。

3.3 实验数据对比

评估效果通过攻击检测准确率和响应时间2个方面来体现。如图4所示，由于配电自动化系统通信过程的行为有限和状态有限特点，攻击行为给嵌入式设备所带来的状态变化是非常明显的，对于真实攻击行为的检测准确率比较高，同时由于本文方法结合了智能电网设备业务特点，其检测准确率、响应时间与Apriori算法相比均具有一定的优势。

图4 攻击行为检测模型检测效果（高攻击频率）Fig.4 Detection result of attack behavior detection model（high attack frequency）

如图5所示，当减缓攻击动作的发生频率时，检测准确率依然保持在较高的水平，但是由于单位时间窗内生成的攻击行为样本缩小，响应时间出现了一定的下滑，但是仍然能够给出较为及时的安全响应，在此种条件下，Apriori算法由于其依托的安全事件关联性下降，其检测指标同样产生下滑，本文设计方法依然保持一定的检测优势。

图5 攻击行为检测模型检测效果（低攻击频率）Fig.5 Detection result of attack behavior detection model（low attack frequency）

与此类算法相比，本文方法将攻击行为与电网真实业务场景相结合，将攻击影响与智能设备真实运行环境相结合，针对典型控制系统攻击类型进行检测对比分析，相比当前常用入侵检测方法，显著提升了针对智能电网设备的检测准确率。

基于以上实验环境，针对本文所设计的安全控制模块自身安全性开展攻击测试，以验证方法自身抵抗外部攻击的防护能力。

如表1所示，利用命令执行、畸形数据、内存溢出、内核提权及拒绝服务等攻击手段对于本文设计安全控制模块进行攻击，由于本文方法采用了内外部存储隔离、网络接口隔离等安全控制方法，能够对外部网络进行有效的边界隔离，使得攻击行为无法访问到真实控制系统，即使在核心模块存在漏洞的情况下，不会引入新的风险点，保证动态度量系统自身的安全性，满足智能电网嵌入式设备自身的安全防护需求。

表1 攻击防御测试Table 1 Attack protection test

4 结 论

本文提出了一种智能电网嵌入式设备网络攻击行为动态评估方法和系统，能够实现对嵌入式设备网络攻击行为的实时动态评估，同时能够更加真实反映攻击行为对设备状态与业务运行带来的影响，主要具备以下特点：

1）在应对常规网络攻击方面，本文方法能够保持很高的检测准确率与较低的响应时间。

2）在面临针对电网业务的隐蔽性攻击行为方面，由于攻击者普遍会降低攻击强度和攻击频次，普通检测方法难以保持较好检测效果。本文方法充分结合电网业务场景，检测准确率和响应时间始终保持在较高水平。

3）本文系统在提供高效检测能力的同时，通过引入内外部存储隔离、网络接口隔离等安全控制机制，充分保证了自身系统的安全性，避免了引入新的安全风险。

智能电网设备承载业务众多，未来将针对不同电网业务对方法进一步优化，提升针对智能电网的全面防护能力。