智能電網(wǎng)鄰域網(wǎng)分級式入侵檢測系統(tǒng)研究

李雅潔　丁一　馬文潔　鈕丹陽

摘要：近年來，智能電網(wǎng)逐漸成為世界電力工業(yè)的共同發(fā)展趨勢。鄰域網(wǎng)作為智能電力通信網(wǎng)絡(luò)的中心樞紐，其安全問題越來越被研究者們所重視。目前，已應(yīng)用物理控制、數(shù)據(jù)加密以及認(rèn)證等技術(shù)提高鄰域?qū)影踩裕匀狈皶r有效的檢測方法來避免電網(wǎng)受到惡意入侵行為的威脅。針對此問題，本文設(shè)計和實現(xiàn)了一個高效輕量級的智能電網(wǎng)鄰域網(wǎng)分級式入侵檢測系統(tǒng)。在解決方案中，我們把鄰域?qū)泳W(wǎng)絡(luò)分為三個層級。根據(jù)不同層級設(shè)備以及通信的特點，采用相對應(yīng)的檢測方式實現(xiàn)上層級對下層級的行為檢測。同時，本文提出結(jié)合基于信任度的規(guī)則檢測和基于SVM機(jī)器學(xué)習(xí)算法的異常檢測，旨在將這兩種檢測技術(shù)的優(yōu)點結(jié)合起來檢測多種入侵。經(jīng)仿真實驗驗證，本文提出的入侵檢測方案以較低的能量消耗獲得高檢測率，符合預(yù)期結(jié)果。

關(guān)鍵詞：智能電網(wǎng)；鄰域網(wǎng)；信任度；機(jī)器學(xué)習(xí)；分級檢測

0引言

隨著信息化時代的到來，工業(yè)產(chǎn)業(yè)正在經(jīng)歷重大轉(zhuǎn)型。在這樣的發(fā)展背景下，智能電網(wǎng)的概念應(yīng)運而生，并在全球范圍內(nèi)得到廣泛認(rèn)同，成為世界電力工業(yè)的共同發(fā)展趨勢。智能電網(wǎng)是以電力和信息雙向流動為特征的網(wǎng)絡(luò)。通過集成通信基礎(chǔ)設(shè)施，連接電力設(shè)備運行，以提供可靠和可持續(xù)的電力供應(yīng)。智能電網(wǎng)通信網(wǎng)絡(luò)被定義為三級層次，分別是家庭局域?qū)泳W(wǎng)絡(luò)（HAN），鄰域網(wǎng)絡(luò)層（NAN）和廣域網(wǎng)絡(luò)層（WAN）。本文重點關(guān)注鄰域?qū)右约皯?yīng)用在該層網(wǎng)絡(luò)上的測量體系安全問題。鄰域網(wǎng)（NAN）的功能主要是匯聚來自多個家域網(wǎng)的數(shù)據(jù)，將這些數(shù)據(jù)傳送到相應(yīng)的高層控制中心。同時，NAN從電力控制中心動態(tài)接收電力數(shù)據(jù)信息，并轉(zhuǎn)發(fā)給家域網(wǎng)。由此可見，鄰域網(wǎng)是連接家域網(wǎng)和廣域網(wǎng)之間通信的唯一橋梁，是整個電力通信網(wǎng)絡(luò)的中心樞紐環(huán)節(jié)。

目前用于保護(hù)鄰域網(wǎng)安全的解決方案通常包括物理控制（例如，智能電表上的防篡改密封），儀表認(rèn)證以及對所有網(wǎng)絡(luò)通信數(shù)據(jù)和控制信令進(jìn)行加密。然而，由于智能設(shè)備的計算和存儲能力的限制，無法在通信中使用復(fù)雜的加密認(rèn)證算法嚴(yán)密地保護(hù)通信安全。即使在控制中心部署了大型入侵檢測系統(tǒng)，大量分布在無人監(jiān)管的公共領(lǐng)域的電網(wǎng)設(shè)備并未得到監(jiān)控與防護(hù)。因此，鄰域網(wǎng)需要可靠的本地檢測方案來檢測入侵行為。文獻(xiàn)中，Robin Berthier等人針對AMI提出一種基于規(guī)則的入侵檢測系統(tǒng)，解決方案依賴于協(xié)議規(guī)范，安全需求和安全策略來檢測入侵行為。但此系統(tǒng)需使用獨立的傳感器網(wǎng)絡(luò)，部署價格昂貴。Eunsuk Kang等人在文獻(xiàn)中采用基于馬爾可夫鏈的博弈分析模型，提出了一種針對智能電網(wǎng)中的虛假數(shù)據(jù)注入攻擊的實時檢測方案，此方案缺乏對電網(wǎng)常見攻擊類型的覆蓋。在文獻(xiàn)中，Yichi Zhang等人設(shè)計了一種智能電網(wǎng)分布式入侵檢測系統(tǒng)（SGDIDS）。在其框架中，基于機(jī)器學(xué)習(xí)算法的入侵檢測代理嵌入每個智能儀表，采集器和控制中心。該檢測框架具有保護(hù)智能電網(wǎng)免受攻擊的能力。然而，在每個智能電表上嵌入計算開銷繁重的算法會降低電網(wǎng)的性能。文獻(xiàn)提出了一種基于BloomFilter地址統(tǒng)計的動態(tài)閾值更新的改進(jìn)型CUSUM入侵攻擊檢測方法。該方案在數(shù)據(jù)采集階段中收集電網(wǎng)流量數(shù)據(jù)，進(jìn)而進(jìn)行入侵行為判斷。當(dāng)網(wǎng)絡(luò)中存在干擾的情況下，采用網(wǎng)絡(luò)流量作為入侵檢測的唯一特征會導(dǎo)致較高的誤檢率。劉烴等人在文獻(xiàn)中提出的基于報警數(shù)據(jù)融合的攻擊檢測方法符合電網(wǎng)異構(gòu)特性，從而消除了單純物理層檢測方法或單純信息層檢測方法的偏差。但是此方法僅能判斷出線路異常，不能定位到具體被攻擊節(jié)點。并且此方法需要額外的主機(jī)設(shè)備部署Snort，主機(jī)設(shè)備的安全性也將影響檢測結(jié)果。雖然已有前人提出了一些智能電網(wǎng)入侵檢測方案，但鮮有專注于研究針對鄰域網(wǎng)的入侵檢測系統(tǒng)。在[6]中，作者針對鄰域網(wǎng)提出了基于規(guī)則的分布式入侵檢測系統(tǒng)，其中IDS嵌入在智能電表中以監(jiān)視惡意行為。然而，在此方案中，檢測系統(tǒng)不能監(jiān)控負(fù)責(zé)存儲轉(zhuǎn)發(fā)儀表數(shù)據(jù)的采集器，無法避免熱點攻擊問題。此外，該系統(tǒng)只用于檢測單一的路由攻擊——蟲洞攻擊，對于安全性要求高的電力網(wǎng)絡(luò)缺乏實用性。

本文針對智能電網(wǎng)現(xiàn)有入侵檢測系統(tǒng)存在的缺陷，設(shè)計和實現(xiàn)了一個高效輕量級的智能電網(wǎng)鄰域網(wǎng)分級式入侵檢測系統(tǒng)。根據(jù)調(diào)研結(jié)果，本文是首次將分級式檢測方法應(yīng)用在智能電網(wǎng)鄰域網(wǎng)上。從整體上看，我們提出的入侵檢測方案結(jié)合了分層級檢測的優(yōu)勢，在每層上分別布置了與之相適應(yīng)的入侵檢測技術(shù)。與此同時，本文利用信任度判別法進(jìn)行先驗檢測，結(jié)合SVM異常檢測算法進(jìn)一步確認(rèn)結(jié)果并動態(tài)更新閾值。規(guī)則檢測法節(jié)約設(shè)備的存儲空間和能耗，在無異常發(fā)生的情況下運行對系統(tǒng)影響較小。條件式啟動SVM監(jiān)督學(xué)習(xí)算法能更合理的利用有限能量實現(xiàn)精確檢測。相比于相關(guān)文獻(xiàn)中提及的方案，本文設(shè)計的入侵檢測系統(tǒng)不需要額外的節(jié)點作為檢測代理，節(jié)省了開支且便于管理。利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的特殊性，在保證檢測正確率的前提下，極大的降低了檢測功耗。

1檢測系統(tǒng)模型描述

1.1網(wǎng)絡(luò)拓?fù)淠Ｐ?/p>

由于智能電網(wǎng)鄰域?qū)油ㄐ啪W(wǎng)中接入的智能用電設(shè)備都是依附于電網(wǎng)的拓?fù)溥M(jìn)行分部的，所以網(wǎng)絡(luò)中各節(jié)點都存在以下特點：

（1）節(jié)點位置相對固定

由于鄰域?qū)油ㄐ啪W(wǎng)中的接人設(shè)備主要以DTU和FTU為主，即所有的接人節(jié)點都是固定節(jié)點，而且節(jié)點的新增和退出事件很少發(fā)生，拓?fù)浣Y(jié)構(gòu)多為靜態(tài)形式。

（2）各地區(qū)節(jié)點密度差異較大

我國居民用電用戶在城市和郊區(qū)相差較大，因此電力通信網(wǎng)中匯聚接人節(jié)點在城市和郊區(qū)的分布密度就極為不均。由于變電站一般都坐落在郊區(qū)，所以以變電站為中心匯入節(jié)點的鄰域?qū)泳W(wǎng)絡(luò)在拓?fù)浣Y(jié)構(gòu)上就形成了“郊區(qū)-市區(qū)-郊區(qū)”的分布形態(tài)。

（3）節(jié)點大多數(shù)沿街道分布

鄰域?qū)油ㄐ啪W(wǎng)中的數(shù)據(jù)采集節(jié)點基本都是沿街道呈網(wǎng)格型分布的，網(wǎng)格中的各個節(jié)點不僅處于靜態(tài)而且大都以規(guī)則的“井”分布與整個拓?fù)洚?dāng)中。這就使得鄰域?qū)油ㄐ啪W(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有著明顯區(qū)別于其他通信網(wǎng)絡(luò)的特點。網(wǎng)絡(luò)拓?fù)浞植既鐖D1所示。endprint