基于TEE和eSE的智能电网风险态势感知防护技术

2022-05-11姚海燕向新宇於志渊樊立波杜忠

微型电脑应用 2022年4期

姚海燕，向新宇，於志渊，樊立波，杜忠

(1.杭州市电力设计院有限公司余杭分公司，浙江，杭州 310000；2.国网浙江省电力有限公司杭州供电公司，浙江，杭州 310000；3.北京博思汇众科技有限公司，北京 100000)

0 引言

在互联网的发展推动下，国家电网的信息化建设也已经全面覆盖，形成智能电网。智能电网是集成、高速、双向通信网络为基础建立而成，结合先进的设备和仪器，保证电网安全、高效运行，因此也称为电网的智能化[1]。智能电网具备五大显著优势，分别为具备免疫系统，实现自愈；促进电力系统的运行和管理；具备抵御攻击能力，能够在一定程度内降低物理攻击和网络攻击；可实现无缝地容、即插即用；可对电网资产实行管理和优化，降低运行成本[2]。智能电网虽然能够在一定程度内降低物理攻击和网络攻击，但仍然会受到一定影响，产生一定运行风险，并且智能电网日渐复杂，其风险一旦产生，将会对整个电力系统造成不可预计以及复杂性的安全隐患。智能电网风险态势感知防护，则是用于电网的安全风险实行感知以及保护，避免智能电网运行的重要信息数据被窃取、恶意入侵等，避免发生信息安全出现问题，导致电网故障甚至是事故的发生[3]。其中感知的主要依据是智能电网的态势，网络态势既是体现网络状态变化的，对网络风险态势实行感知、评估，综合分析网络存在的安全问题。

TEE(Trusted execution environment)也称为可信执行环境，是IT行业的专业术语，主要应用于安全智能设备方面。eSE(E-commerce based on search engine)也称作生态情景体验，其具备将搜索和信息有效结合的功能。当下关于智能电网风险造成的原因有很多，例如没有经过授权的访问、恶意以及暴力破解和入侵等，上述等行为会对智能电网的多方面运行造成一定影响，例如会导致智能电网数据传输时端到端的时延增加、导致网络瘫痪等情况。因此，为避免上述问题，本文研究基于TEE和eSE的智能电网风险态势感知防护技术，实现智能电网的风险态势感知以及防护，保证智能电网的正常运行。

1 基于TEE和eSE的智能电网风险态势感知防护技术

1.1 技术架构

基于TEE和eSE的智能电网风险态势感知防护技术的主要目的为保证智能电网具备主动防御、保证网络的深层安全。因此，以TEE和eSE技术为核心，实现智能电网风险态势感知防护，该技术架构如图1所示。

图1 技术架构

基于TEE和eSE的智能电网风险态势感知防护技术的应用，需具备信任源，其通过引入可信计算理念、可信平台控制模块(TPCM)，设计无法篡改的智能电网信任根实现；同时结合TEE技术完成身份鉴别、安全检查等敏感指令，实现对用户、程序等主体的可信检查和权限控制[4]。

1.2 基于eSE的智能电网安全风险感知模型

1.2.1 模型结构

安全防护的目的为降低风险或完全避免风险，达到安全防护，需先完成智能电网安全风险感知。采用eSE模型完成智能电网安全风险感知，该模型如图2所示。

通过结合相关方法实现智能电网风险态势感知，其实现分为3个步骤，分别为基于DS证据理论的风险态势感知、基于概率风险分析的逐层风险态势量化以及风险态势判别[5]。

基于DS证据理论[6]可将每一个感知器感知到的风险信息实行融合，根据融合结果分析存在风险以及风险产生的可信度，并将其作为模型第二个步骤的输入；基于概率风险分析的逐层风险态势量化对输入的结果实行量化分析，同时将时间权重等相关权重引入确保分析结果的客观性；根据量化

图2 基于eSE的智能电网安全风险评估模型

结果对风险态势实行判别，获取判别结果。

1.2.2 DS证据理论的风险态势感知

作为一种融合技术，DS证据理论具备较强的优势，其可以通过不同的数据处理方法，处理同一识别框架内的信息，将不同数据处理方法处理的结果用于表示每一个子证据体，并用Dempster合成规则对其进行融合，得出一个新的证据体，该获取的主要依据是决策规则[7]。

DS证据理论的风险态势感知步骤如下所述。

(1) 建立子证据体的基本概率分配函数

识别框架用ϑ表示，其同时可表示智能电网风险态势集；第k个子证据体对应的第j个智能电网风险态势的为智能电网输出值用Ok(j)表示，采用转换手段对我实行处理，将其看作基本概率分配[8]，因此，子证据体对智能电网风险态势Fj的概率推理过程公式为

(1)

以得出的mk(Fj)为依据，获取所有智能电网风险态势的信度以及似真两种函数值分别用B、P表示，两者的计算式为

(2)

(2) 证据合成

存在差异性且相互独立的概率分配函数额获取，是由于证据来源在相同识别框架内存在差异性，且用m1和m2表示，采用DS证据理论的合成规则，完成每一个子证据体的充分融合[11-13]，融合后形成的新的概率分配函数为

(3)

式中,直和用⊕表示,且E=X+Y，在E=φ的情况下，[m1⊕m2](E)=0。

(3) 决策规则

证据体的信任区间用[B(Fj),B(Fj)]表示，其是决策规则的实现依据，如果Fi=[B(Fi)]，则Fj需满足下述式：

(4)

式中,Fi表示风险态势识别结果用,ε1、ε2表示设定的阈值。

1.3 TEE技术

由于TEE技术拥有执行空间，因此其具备极高的安全性，并且富操作系统(Rich OS)的安全服务由其提供，两者并存运行。可信应用(TA)的安全执行环境、资源、数据的保密性、完整性、访问权限均有TEE技术支撑完成。作为可信根的TEE技术，通过验证是其执行的基础，并且必须和Rich OS的运行实行间隔[14]。相互独立是所有的TA在TEE技术中的呈现状态，其相互之间的访问在没有授权的情况下，无法进行，其详细情况如图3所示。

图3 TEE技术结构

可信应用是TEE技术的核心，该应用则是信任建立依据。在此基础上，实现信任链的构建，实现整个智能电网的逐级信任，保证整个网络的安全防护[15]。

2 实验设计与分析

为测试本文技术的风险态势感知防护效果，搭建相关测试环境，并采用激光漏洞扫描系统对智能电网风险进行仿真，模拟网络攻击，分析本文技术的感知防护性能。搭建的网络架构中，交换机作为网络中的连接站，与目标服务器相连，同时连接使用本文技术的风险态势感知系统以及入侵模拟系统。

实验环境：目标服务器使用Windows Server 2019，并且服务ID分为3个，其服务名称分别为IIS6.0、MySQL Server 2008、FTP Server，其中，保证IIS配置的正常连接，能够完成应用的正常传输、目标服务器主机防火墙能够正常启动和关闭。在整个搭建的智能电网中，设定3种风险态势，分别为恶意入侵、信息窃取以及非验证访问。

采用安全服务、节点风险指数、节点风险概率以及网络风险概率4项指标作为衡量本文技术效果的指标，其计算公式分别为

(5)

(6)

(7)

(8)

式中,RNi(t)、RNi(t)、R(t)和P(t)分别表示安全服务风险指数、节点风险指数、节点风险概率和网络风险概率,Ni表示节点,t表示时刻,wsijk、wni分别表示安全服务SAj和Ni的相对重要权值，且两者分贝属于Ni中和智能电网中。

2.1 风险权重值的获取

启动漏洞扫描，模拟3种风险态势对目标主机实行攻击，利用上述公式，计算服务相对权重感知主机受到攻击后风险级别，以此衡量本文技术的风险态势感知效果，如图4所示。

(a) 安全服务相对权重测试结果

(b) 风险级别感知结果

根据图4测试结果可知：在5种服务性能下，本文技术能够获取服务相对权重，并且能够根据该权重结果完成主机受到攻击后风险级别感知。该结果表明，本文技术能够完成风险态势感知。

2.2 不同节点的风险概率感知

为进一步测试风险感知效果，随机选取3个目标服务器(A、B、C)，采用DS理论证据计算各个节点发生的风险概率，以此衡量本文技术的风险感知效果，由于篇幅有限，该测试仅模拟信息窃取风险，结果如表1所示。

表1 各节点上安全服务性能的风险测试结果

根据表1测试结果可知：3个节点在不同的安全服务情况下，直接威胁概率与发生威胁的概相同，间接概率则为零，风险总值则是分别呈现不同的变化。该结果表明，本文技术的风险态势感知性能良好，能够准确完成风险态势的感知。

2.3 数据突发运行时智能电网运行状态

安全防护是保证智能电网运行数据信息安全关键，因此防护效果决定信息的安全程度。获取智能电网在正常网络通信时，突发运行情况下传送重要数据以及非重要数据的网络状态，结果如图5所示。

根据图5获取的测试结果可知，重要数据突发运行状态下，具备安全防护技术时，智能电网在端到端的运行过程中，时延结果一种处于十分平稳状态，时延结果为0.28 s，没有安全防护技术时，则时延结果呈现波动状态，其时延范围在0.28-0.60 s之间；非重要数据在突发运行状态下，具备防护技术与不具备防护技术的端到端的时延结果均呈现波动状态，时延明显增加。

2.4 所提方法应用下交换机流量分布与数据端到端的时延稳定性

风险态势防护技术的有效性，可通过智能电网数据时延以及抖动情况进行体现，延时越小，防护性能越好。因此模拟恶意入侵时，交换机流量变化情况和数据端到端的时延结果，如图6所示。

(a) 重要数据突发运行时的智能电网运行状态

(b) 非重要数据突发运行时的智能电网运行状态

(a) 交换机流量测试结果

(b) 端到端的时延结果

根据图6测试结果可知：智能电网在风险态势防护下，交换机流量分布结果并没有受到防护技术的影响，其流量范围在5～30 Mbits/s之间；在受到恶意入侵时，没有风险防护技术情况下，交换机流量最高可达43 Mbits/s，该现象可导致智能电网网络瘫痪。同时，使用风险防技术后，数据端到端的时延结果相对平稳，处于0.32～0.58 s的范围之内，没有风险防护技术时，时延波动较大，其范围在0.22 ～0.58 s之间。该结果表明风险防护技术具备较好的风险态势防护效果。