電網調度系統網絡安全態勢感知分析

鄒洪 付志博 陳傳才

(1.南方電網數字電網研究院有限公司,廣東廣州 510000;2.南方電網深圳數字電網研究院有限公司,廣東深圳 518053)

0 引言

現階段,網絡安全風險已發展成為威脅電網運行安全的主要風險之一。而且,隨著現代網絡技術的不斷發展,病毒、黑客等風險源的攻擊侵襲能力越來越強,常規防護措施已無法達到高質量的電網保護效果?；诖?我們有必要對網絡安全態勢感知技術在電網調度系統中的有效運用展開探究討論,以尋找出提升電網安全保障水平、維護電力行業穩定運行的可行路徑。

1 電網調度系統網絡安全態勢感知的概念特點

所謂“態勢感知”,即一種著眼于環境整體的、全面動態分析安全風險的能力與行為。將這一概念引入到網絡安全保護領域,即構建出以安全大數據為基礎,全局性、全視角、全過程進行網絡安全風險因素識別排查、理解分析與反饋處理的技術體系。在當前,面對紛繁復雜的網絡環境與日益多樣的威脅來源,電力企業有必要將網絡安全態勢感知技術融合到電網的調度管理系統當中,以此補齊傳統安全防御體系在環境探查、風險預測、及時響應等方面的缺陷短板,實現電網安全防護等級的進一步提高[1]。

從目前來看,網絡安全態勢感知技術在電網調度系統中可表現出如下應用特點:

第一,廣覆蓋特點。發展至今,網絡安全態勢感知技術可依托SNMP、NSSP、Syslog等十余種協議進行工作環境內網絡流量的篩查與風險數據的采集,從而實現風險類型、風險來源、風險點位的廣覆蓋。同時,網絡安全態勢感知技術下的電網調度系統感知模型為多層結構,通常包含有態勢要素獲取層、態勢理解層、態勢預測層、態勢感知層、輔助決策層、控制執行層等。這樣一來,一方面有助于實施未知威脅、模糊風險的多層排查,從而充分強化安全保護體系的嚴密性。另一方面,也有助于系統完成對態勢要素的細致分析,將風險告警的誤報率降至最低水平。由此,便可實現風險處理環節的廣覆蓋。

第二,前瞻性特點。在機器學習引擎、溯源分析引擎、卷積神經網絡、云端數據庫等工具的支持下,網絡安全態勢感知技術下的電網調度系統不但能進行所處網絡環境的實時感知與流量監控,還可對歷史數據進行存儲整理與運算分析,從而得出某一周期階段內電網涉及風險因素的類型分布、出現規律、發生機理。這樣一來,便可進一步提升系統及人員對風險隱患的預測評估能力,并制定出相應的規避或應對策略,達到“未雨綢繆”的網絡安全防護效果。

2 電網調度系統網絡安全態勢感知的技術要求

2.1 網絡安全態勢感知技術的功能要求

電網調度系統在日常運行過程中,會面臨多源化、多樣化的風險威脅。所以,在應用網絡安全態勢感知技術、構建網絡安全態勢感知體系時,必須要保證其作用功能的全面化覆蓋,以確保最大程度地為電網調度系統提供安全保障支持。具體來講,應注重滿足以下三個方面的功能要求:

第一,脆弱性的感知要求。所謂“脆弱性”,即電網調度系統本身的安全保障能力。在應用網絡安全態勢感知技術時,首先需要對系統內部的組織結構、運行狀態進行感知,及時化、精細化地分析系統中有無靜態的漏洞、缺陷存在;其次,需要對系統的動態脆弱性進行感知,檢察電網調度系統有無不合規的異常行為、異常事件產生;最后,若已有病毒、木馬侵入到電網調度系統當中,也應及時作出排查響應,并向管理人員發出威脅來源、病毒類型、攻擊部位、態勢預測等告警信息。

第二,威脅性的感知要求。所謂“威脅性”,即電網調度系統對外的風險敏感能力。從目前來看,在應用網絡安全態勢感知技術時,主要需要對敵對集團、外部用戶以及黑客組織三種威脅主體進行重點防范與應對。在此基礎上,應構建起全覆蓋式的安全感知壁壘,對各類威脅主體進行網絡層、業務層、信息層、終端層等多個系統層級的大數據關聯分析,并實現零日漏洞、APT攻擊等新型威脅行為的有效感知。

第三,經濟性的感知要求。電力企業具備公共服務與市場經營的雙重屬性,所以其經濟安全也必須得到充分保障。在應用網絡安全態勢感知技術時,還需從網絡、數據、主機、終端、物理等多個維度出發,進行電力企業虛實資產的綜合化感知監測,明確評估電網調度系統在常規狀態與攻擊事件中各類信息資產的變動情況,為經濟損失核算、應對策略制定等后續活動提供充足可靠的依據基礎。

2.2 網絡安全態勢感知技術的架構要求

從原理上講,網絡安全態勢感知技術的運行流程為“采集實時數據→規范化處理數據→分析異常網絡變化→識別攻擊行為→評估攻擊威脅性→尋找攻擊源→響應反饋→評估保護效果→預測網絡態勢”?；诖?應將態勢要素獲取、態勢理解分析、態勢趨向預測、態勢整體感知等模塊或層次納入到技術架構當中,并將各層次、模塊有序地與電網調度系統主體建立連接,以便輔助系統完成風險規避、防御或應對的調度決策,并為調度人員提供出精準的態勢感知信息。

2.3 網絡安全態勢感知技術的算法要求

結合實際來看,一些特殊的病毒、黑客攻擊行為可繞過常規性的電網防御壁壘,或躲避電網隔離邊界。此時,針對某防護時刻、某風險類型、某網絡信道的安全防護機制便會趨于無效化。因此,在網絡安全態勢感知技術的應用中,相關人員必須要轉變原有的安全防護策略,圍繞網絡環境的動態變化進行算法設置,以確保在最大程度上刻畫出電網所處網絡環境的狀態波動過程,為后續的防護反饋行為提供依據。在目前,可選擇以Markav決策為基礎的Q算法作為網絡安全態勢感知技術的核心算法[2]。

在實踐中,Q算法可實時獲取電網環境的狀態數據St,以及調度系統的執行動作at,并依照公式Q(St,at)=(1-αt)Q(St,at)+αt[Rt(St,at)+γmax(St+1,at+1)]進行循環的迭代運算,從而得到當下時間點中最優的安全防護與電網調度策略π(St)=arg maxQ(St,at)。在該算法公式中,(St,at)表示某一時刻t下電網環境狀態與調度動作的關系,αt為系統的迭代學習速率(αt∈[0,1]),γ為系統運算的折扣因子(γ∈[0,1]),Rt(St,at)為電網調度的瞬時收益。

2.4 網絡安全態勢感知技術的度量要求

在網絡安全態勢感知技術的應用中,度量電網調度系統的攻防效益具有重要意義。所以,還需對電網攻擊、防御等相關動作的回報與成本進行模型量運算。具體如下:

第一,攻擊回報。從本質上講,攻擊回報即代表電網調度系統在受到攻擊時的損失代價,可用公式表示。其中,Acost、Icost、Ccost分別代表電網調度系統在可用性、機密性、完整性三個維度的受損情況,ωa、ωi、ωc分別代表電網調度系統在可用性、機密性、完整性三個維度的權重系數,且三者之和為1,m代表遭受病毒或黑客攻擊的系統主機數量,critility代表受攻擊方的資源損失數量,AL為本次攻擊行為的威脅程度。

第二,攻擊成本。該模型量主要表示實施網絡攻擊一方的消耗成本,可用公式AC(Att)=Aop(Att)+Apc(Att)表示。其中,Aop、Apc分別代表本次攻擊涉及的技術投入成本與法律威脅成本。

第三,防御成本。該模型量主要表示電網調度系統在防御攻擊行為時付出的成本,可用公式D e C(D e f)=OPcost+REcost+NEcost表示。其中,OPcost、REcost、NEcost分別為系統防御的技術成本、殘余代價成本以及負面代價成本(即系統防御引發的難以挽回的運行損失)。

第四,防御回報。在安全態勢感知技術的應用視域下,電網調度系統的防御回報可分為完全防御、大量防御、部分防御、輕微防御以及幾乎未防御五個層次,其所對應的防御回報值分別為0.9、0.7、0.5、0.3、0.1。

3 電網調度系統網絡安全態勢感知的建模思路

在開展建模實踐之前,需要明確電網調度系統網絡安全態勢感知的建模思路規劃原則:第一,場景導向原則。在安全威脅事件發生時,網絡安全態勢的感知是一種交互行為,即同一場景中存在攻擊者與防御者兩種角色。在建模過程中,必須要以場景為導向,處理好供方雙方的對應關系,而不是僅從系統內部防御或系統外部侵襲的單一角度建立模型;第二,技術驅動原則。在建模實踐中,應做好多種技術的有效運用,如大數據技術、博弈論原理等;第三,協同運行原則。電網調度系統具有很強的聯動性,當其內部某一運行節點、系統環節受到攻擊時,通常會出現“牽一發而動全身”的影響效果。所以,在基于網絡安全態勢感知技術建立感知模型時,也應考慮到攻防博弈中電網調度系統的一體化動作特點,制定出協同運行的威脅感知與動作響應方案。

然后,在電網調度系統網絡安全態勢感知體系滿足架構、算法、度量等設計要求的基礎上,可結合博弈論建立相應的感知模型。首先,應預設出如下兩點模型建立的背景條件:第一,模型中博弈的兩方為攻擊者與防御者,且均處在理性、標準的狀態當中;第二,在博弈關系中,攻擊者以最大化掠奪系統資源為目的,防御者以最大化保障系統資源為目的。由此,設計出模型函數DEG=(N,φ,P,U,S)。其中,N為攻(a)防(d)兩方的參與空間,φ為博弈空間,P為概率空間,U為投入收益集合,S為網絡狀態集合。其后,分別運算攻防兩方的平均收益, 即最后,設計、執行如下流程:“初始化DEG函數→初始化Pai、Pdj→建立動態博弈機制→計算博弈雙方收益,運算獲得電力調度系統的動作最優解→存儲相關信息→再次進行循環”。這樣一來,便可實現電網調度系統中網絡安全態勢感知技術的有效落實,對網絡攻擊的影響威脅度、防御可行性等進行評估,并驅動電網調度系統實施出有效的應對措施[3]。

4 結語

總而言之,在當前時代下,傳統網絡安全防護機制略顯疲態,無法為電力行業提供出高強度、全面化的保障支持。此時,將網絡安全態勢感知技術應用到電網調度系統的運用體系中,可顯著提高系統對網絡環境中各類風險的采集、分析與響應能力,從而使電網調度系統持續處于安全穩定、高效響應的良性狀態中,為電力企業的生產、管理、服務等活動保駕護航。