電力監控系統網絡安全威脅溯源技術分析

張 露

（云南華電金沙江中游水電開發有限公司梨園發電分公司，云南 麗江 674100）

0 引 言

電力監控系統的安全威脅主要是來自網絡病毒、黑客攻擊及內部故障等方面。國內外因網絡攻擊造成大面積停電事故案例數不勝數。就目前發展技術而言，網絡安全專家在威脅溯源技術方面的研究已取得一定成果，能夠實現部分攻擊行為的有效溯源。但日益復雜的網絡環境對威脅溯源技術提出了更高要求，其未來發展要融入數字化、智能化元素，并且更加符合電力行業的工業需求，將技術與管理相結合，解決多個層面的網絡安全防護問題。

1 網絡安全定義

《智能電網網絡安全指南：卷1》中對于網絡安全指標進行了規定，即機密性、完整性以及可用性。其中，機密性是指要控制用戶隱私的數據傳輸安全，只有在被授予訪問權限的端口才能夠進行信息查詢。若用戶隱私在未經同意的情況下被泄露，則證明系統中存在一定風險。完整性是指網絡中的信息一致性以及不可修改性，若因安全手段不足導致網絡信息出現破壞情況，或在未經授權的情況下進行網絡信息修改，則意味著網絡安全事故。可用性是指在信息上傳到網絡系統中后，要保證用戶能夠隨時隨地進行獲取，避免出現訪問過程中的惡意中斷，實現網絡通信的數據安全、加密等作用，有效降低相關業務安全隱患[1]。

2 電力監控系統的網絡安全威脅溯源技術處理流程

2.1 構建事件樹

一般電力監控系統的主要安全防范方式是通過對安全日志信息采集分析，并生成完整的網絡攻擊圖，根據顯示的異常情況，解決電力系統用戶網絡安全問題，提升威脅行為的追溯能力。事先進行網絡初始數值的設定，將不同電力監控系統IP發生的疑似威脅、告警信息等內容，建立相應的事件樹節點，輸入電力監控系統存儲的原始告警日志，在防護模塊的作用下構建事件發生鏈。

其中，電力監控系統的告警日志是事件樹的數據源，構建出首尾IP地址相連的大型網絡系統，并以樹狀圖的形式表現出來。而進行事件樹構建應保證電力監控系統之間的告警源IP存在關聯性，并且不同IP之間有著因果遞進式關系，事件上并不是同時發生的。對事件樹進行聚合處理，分析不同子節點的告警類型，將后一個IP的告警結束時間覆蓋前一個子節點的告警結束時間，并刪除后一個子節點。

2.2 拆分事件鏈

事件樹構建完成后，需要對安全事故進行深化分析，即拆分安全事件發生鏈。而事件鏈的首要工作，便在于找到鏈首告警信息。一般情況下，電力監控系統的網絡安全威脅溯源事件鏈告警包含兩種原因，一種是告警源的IP節點并沒有雙親節點，另一種是雖然存在雙親節點，但其雙親告警時間卻晚于告警開始時間。因此，針對事件鏈拆分應分為如下兩個環節：第一環節是對沒有雙親節點的IP進行深度剖析，得到集合鏈；第二環節是針對剩下的有雙親節點的IP深度剖析，并將結果加入到集合鏈中，從而構成事件發生鏈流程圖。針對流程圖進行下一步的拆分處理，若事件發生鏈之間不具備固定的因果關系，需要進行相應的斷鏈處理。若兩個告警事件之間存在一定的因果關系，需要將原有的安全發生鏈拆分為兩個安全發生鏈，再進行相應的斷鏈處理。

2.3 構建威脅量化模型

安全發生鏈完成后，需要對發生鏈的威脅程度進行量化評定，從而實現對于整個電力監控系統的動態感知。模型需要考慮到告警信息的等級與可能存在的攻擊嘗試事件等多個內容，考慮到原始數據中夾雜此類信息的可能性。設置安全閾值來完成安全威脅溯源，一旦超過安全閾值，則該安全發生鏈就要被認定為疑似危險事件，并通過量化模型進行可視化展示，便于工作人員進行運維分析。完成這些步驟后，能夠對網絡安全事件的發起者進行鎖定，并查找出攻擊源的具體位置，從而找到對電力監控系統的攻擊者，完成網絡安全威脅溯源工作[2]。

3 電力監控系統的網絡安全威脅溯源技術綜合分析

3.1 網絡傳播溯源定位

網絡安全威脅溯源技術就是對電力監控系統中的病毒源進行逆向追蹤，是一項富有挑戰性的任務，可以通過IP網絡節點中的信息來搜集感染源數據，并借此進行感染源未知推理。就目前發展技術水平而言，若網絡節點中的狀態被系統發現后，可以初步實現對復雜電力監控系統的污染源控制。經過對電力監控系統中的IP節點實驗可知，完成網絡傳播源定位，只需要對被檢測個體15%～25%的節點進行追蹤判斷，即能大概率鎖定傳播源位置。

20世紀90年代，計算機還是一種專業技術水平較高的工具，其操作性較強，使用者多數為計算機專業，且具備計算機理論的人。隨著現代化技術水平的發展，計算機逐漸普及的同時，也出現大量非法黑客。通過對全球黑客攻擊行為與攻擊模式的信息數據收集，構建網絡安全攻擊者知識庫。在網絡安全事故發生時，可以將指紋、罪犯特征等信息在數據庫中進行比對，若比對成功就可以初步確定攻擊者的大致位置或個人信息，提高了電力監控系統的網絡安全威脅溯源工作效率。構建攻擊者知識庫，可以利用攻擊者普遍會在攻擊行為中重復使用某代碼塊的特點，根據已有的惡意軟件舊代碼來分析惡意軟件種類，實現傳播溯源定位。

3.2 溯源技術發展趨勢

現代化的網絡安全技術手段為提高電力監控系統的安全溯源效率提供了很大的便捷性。溯源技術開發方式變得多樣化，不同IP之間的兼容性問題影響較小，滿足電力監控系統高質量服務的同時，保證系統網絡安全。但無論什么時期，電力監控系統的安全溯源服務對象永遠是“工業對象”，其使用主體也是“工業對象”。若片面地提高溯源處理效率，而忽視了其在實際工業運用中的服務效果，將本末倒置，失去溯源技術開發的意義。因此在溯源技術發展過程中，要將本質化作為主要發展目標，有效保證隱私數據，拒絕因為提高溯源效率而將信息當做誘餌被泄露，保證數據安全。溯源技術研究要從本質化的角度進行電力監控系統開發，考慮到系統用戶的實際需求，強調系統設計要滿足人性化服務[3]。

我國計算機信息技術發展速度迅猛，且人工智能發展方向愈發顯著。電力監控系統的網絡安全威脅溯源技術研究時，通過威脅量化模型進行智能化網絡安全數據采集，比較適用于我國電力監控系統的網絡安全開發建設。現代計算機系統應用逐漸趨向于開放化發展，強調通過智能化技術手段進行網絡安全防護技術優化，不斷有效提高信息反饋處理效率，用電子傳感器進行IP節點數據采集，以及數據識別、斷定、初步修改、決策等操作，在網絡安全溯源技術不斷革新的同時，滿足電力監控系統開發建設與發展的實際需求。在溯源技術研究環節，專業技術人員的技術水平對整體溯源效率起著決定性的作用，因此要加強對相關人員的培訓與管理工作，并對培訓的結果加以考核。智能化是電力監控系統的網絡安全威脅溯源技術的必然發展趨勢，能夠提高電力監控系統的智能化工業水平，滿足電力監控系統的網絡安全需求，增強系統服務性。

3.3 網絡安全攻擊類型

3.3.1 拒接服務攻擊

拒接服務攻擊（Denial of Service，DoS）的攻擊手段是對整個電力監控系統中的資源進行高度消耗，使其中心處理能力不足，無法對系統內部正常請求進行回應，從而達到暫停甚至中斷整個系統的目的。通過對攻擊源不同參數的變化情況分析，獲取整個網絡攻擊頻率的動態效果圖，并在此基礎上進行網絡安全威脅溯源。

3.3.2 中間人式攻擊

中間人式攻擊（Momentum Iterative Method，MIM）的攻擊手段是將攻擊信息偽裝成某一通信終端的回執信息，擁有較高的隱匿性，能夠有效降低自身被發現的風險。其攻擊效果取決于電力監控系統通信協議的認證漏洞，所以在攻擊環節要強調以通信協議為主，并針對MIM對于整個系統的影響效果進行安全發生鏈建模。同時，存在調整傳感器電氣量測量值，以及開閉狀態的MIN攻擊手段，使得拓撲估計值與原電力監控系統中的數據相同，達到不被運維人員發現的攻擊目的[4]。

3.3.3 數據篡改攻擊

數據篡改攻擊（False Data Injection，FDI）的攻擊手段與DCS有著直接關系。DCS是整個電力監控系統中的重要環節，它的核心功能便是潮流計算與運行狀態估計，當系統中出現錯誤信息時，其相應的狀態估計結果會同原來出現較大差異，從而發現攻擊信息。其工作基礎是數據錯誤量測量的任務較少，但攻擊者進行網絡入侵時，由于其了解整個電力監控系統的參數配置，可以針對DCS進行惡意數據修改，繞過數據檢測模塊直接對運行狀態進行破壞，從而對整個電力監控系統造成影響。

4 結 論

隨著網絡規模的不斷擴大，加強電力監控系統的網絡安全威脅溯源技術研究，能夠實現在復雜的網絡環境下降低系統運行風險。針對大多數網絡入侵，可以采用安全事件發生樹的子節點合并的方式進行威脅溯源，構建事件發生鏈，并通過可視化的發展模式將告警信息直接呈現出來，提高整體網絡安全威脅溯源的準確度。