智能電網鄰域網分級式入侵檢測系統研究

李雅潔　丁一　馬文潔　鈕丹陽

摘要：近年來，智能電網逐漸成為世界電力工業的共同發展趨勢。鄰域網作為智能電力通信網絡的中心樞紐，其安全問題越來越被研究者們所重視。目前，已應用物理控制、數據加密以及認證等技術提高鄰域層安全性，但仍缺乏及時有效的檢測方法來避免電網受到惡意入侵行為的威脅。針對此問題，本文設計和實現了一個高效輕量級的智能電網鄰域網分級式入侵檢測系統。在解決方案中，我們把鄰域層網絡分為三個層級。根據不同層級設備以及通信的特點，采用相對應的檢測方式實現上層級對下層級的行為檢測。同時，本文提出結合基于信任度的規則檢測和基于SVM機器學習算法的異常檢測，旨在將這兩種檢測技術的優點結合起來檢測多種入侵。經仿真實驗驗證，本文提出的入侵檢測方案以較低的能量消耗獲得高檢測率，符合預期結果。

關鍵詞：智能電網；鄰域網；信任度；機器學習；分級檢測

0引言

隨著信息化時代的到來，工業產業正在經歷重大轉型。在這樣的發展背景下，智能電網的概念應運而生，并在全球范圍內得到廣泛認同，成為世界電力工業的共同發展趨勢。智能電網是以電力和信息雙向流動為特征的網絡。通過集成通信基礎設施，連接電力設備運行，以提供可靠和可持續的電力供應。智能電網通信網絡被定義為三級層次，分別是家庭局域層網絡（HAN），鄰域網絡層（NAN）和廣域網絡層（WAN）。本文重點關注鄰域層以及應用在該層網絡上的測量體系安全問題。鄰域網（NAN）的功能主要是匯聚來自多個家域網的數據，將這些數據傳送到相應的高層控制中心。同時，NAN從電力控制中心動態接收電力數據信息，并轉發給家域網。由此可見，鄰域網是連接家域網和廣域網之間通信的唯一橋梁，是整個電力通信網絡的中心樞紐環節。

目前用于保護鄰域網安全的解決方案通常包括物理控制（例如，智能電表上的防篡改密封），儀表認證以及對所有網絡通信數據和控制信令進行加密。然而，由于智能設備的計算和存儲能力的限制，無法在通信中使用復雜的加密認證算法嚴密地保護通信安全。即使在控制中心部署了大型入侵檢測系統，大量分布在無人監管的公共領域的電網設備并未得到監控與防護。因此，鄰域網需要可靠的本地檢測方案來檢測入侵行為。文獻中，Robin Berthier等人針對AMI提出一種基于規則的入侵檢測系統，解決方案依賴于協議規范，安全需求和安全策略來檢測入侵行為。但此系統需使用獨立的傳感器網絡，部署價格昂貴。Eunsuk Kang等人在文獻中采用基于馬爾可夫鏈的博弈分析模型，提出了一種針對智能電網中的虛假數據注入攻擊的實時檢測方案，此方案缺乏對電網常見攻擊類型的覆蓋。在文獻中，Yichi Zhang等人設計了一種智能電網分布式入侵檢測系統（SGDIDS）。在其框架中，基于機器學習算法的入侵檢測代理嵌入每個智能儀表，采集器和控制中心。該檢測框架具有保護智能電網免受攻擊的能力。然而，在每個智能電表上嵌入計算開銷繁重的算法會降低電網的性能。文獻提出了一種基于BloomFilter地址統計的動態閾值更新的改進型CUSUM入侵攻擊檢測方法。該方案在數據采集階段中收集電網流量數據，進而進行入侵行為判斷。當網絡中存在干擾的情況下，采用網絡流量作為入侵檢測的唯一特征會導致較高的誤檢率。劉烴等人在文獻中提出的基于報警數據融合的攻擊檢測方法符合電網異構特性，從而消除了單純物理層檢測方法或單純信息層檢測方法的偏差。但是此方法僅能判斷出線路異常，不能定位到具體被攻擊節點。并且此方法需要額外的主機設備部署Snort，主機設備的安全性也將影響檢測結果。雖然已有前人提出了一些智能電網入侵檢測方案，但鮮有專注于研究針對鄰域網的入侵檢測系統。在[6]中，作者針對鄰域網提出了基于規則的分布式入侵檢測系統，其中IDS嵌入在智能電表中以監視惡意行為。然而，在此方案中，檢測系統不能監控負責存儲轉發儀表數據的采集器，無法避免熱點攻擊問題。此外，該系統只用于檢測單一的路由攻擊——蟲洞攻擊，對于安全性要求高的電力網絡缺乏實用性。

本文針對智能電網現有入侵檢測系統存在的缺陷，設計和實現了一個高效輕量級的智能電網鄰域網分級式入侵檢測系統。根據調研結果，本文是首次將分級式檢測方法應用在智能電網鄰域網上。從整體上看，我們提出的入侵檢測方案結合了分層級檢測的優勢，在每層上分別布置了與之相適應的入侵檢測技術。與此同時，本文利用信任度判別法進行先驗檢測，結合SVM異常檢測算法進一步確認結果并動態更新閾值。規則檢測法節約設備的存儲空間和能耗，在無異常發生的情況下運行對系統影響較小。條件式啟動SVM監督學習算法能更合理的利用有限能量實現精確檢測。相比于相關文獻中提及的方案，本文設計的入侵檢測系統不需要額外的節點作為檢測代理，節省了開支且便于管理。利用現有網絡結構的特殊性，在保證檢測正確率的前提下，極大的降低了檢測功耗。

1檢測系統模型描述

1.1網絡拓撲模型

由于智能電網鄰域層通信網中接入的智能用電設備都是依附于電網的拓撲進行分部的，所以網絡中各節點都存在以下特點：

（1）節點位置相對固定

由于鄰域層通信網中的接人設備主要以DTU和FTU為主，即所有的接人節點都是固定節點，而且節點的新增和退出事件很少發生，拓撲結構多為靜態形式。

（2）各地區節點密度差異較大

我國居民用電用戶在城市和郊區相差較大，因此電力通信網中匯聚接人節點在城市和郊區的分布密度就極為不均。由于變電站一般都坐落在郊區，所以以變電站為中心匯入節點的鄰域層網絡在拓撲結構上就形成了“郊區-市區-郊區”的分布形態。

（3）節點大多數沿街道分布

鄰域層通信網中的數據采集節點基本都是沿街道呈網格型分布的，網格中的各個節點不僅處于靜態而且大都以規則的“井”分布與整個拓撲當中。這就使得鄰域層通信網的網絡拓撲結構有著明顯區別于其他通信網絡的特點。網絡拓撲分布如圖1所示。endprint