基于B/S 架構的電力網絡安全智能預警系統設計

葛敏輝，張亮，翟海保

（國家電網公司華東分部，上海 200120）

電力網絡安全是保障電力可靠穩定輸送的關鍵，為加強電力網絡系統傳送安全保護，避免發生被攻擊的風險和存在漏洞弱點，應構建完善的電網安全智能預警系統[1]。在受到攻擊前及時修復，能夠提高網絡系統安全，起到對電力網絡所有攻擊事件免疫的作用[2]。電網安全智能預警系統由硬件系統和軟件系統組成，針對各種智能預警系統的局限性，一些學者從硬件方面對網絡安全智能預警進行了改進，改進硬件系統后，預警效果十分明顯，能有效提高電網的安全性能，但硬件系統改進成本相對較高，不適合對電網安全性要求較低的地區[3-4]。基于這一原因，一些學者對系統軟件部分進行了改進，比如對電網安全智能預警系統進行改進，通過對船舶電力通信網安全狀態規則的識別，然后建立了一整套網絡安全智能化預警機制，改進系統軟件，但是改進后的系統預警效果并不明顯，準確率相對較低，實時預警能力較差，所以智能報警系統需要更進一步改進[5]。

針對上述問題，文中提出并設計了基于B/S 架構的電力網絡安全智能預警系統，該系統根據當前電力公司信息網絡系統現狀進行科學合理規劃與設計，制定了一套完善的電力網絡預警體系。通過分析討論系統開發的主要策略原則，給出系統運行階段劃分及建設任務，開發設計了關鍵功能模塊，并且對系統的硬件配置以及系統重要功能模板進行了檢測。

1 系統硬件設計

B/S 架構使用方便，維護簡單，擴展性好，信息資源共享程度較高。以B/S 體系結構為基礎，設計了電網安全智能預警系統硬件，包括蜜罐主機、蜜罐網絡管理、日志服務器等硬件功能模塊，如圖1 所示。

圖1 系統硬件結構

1.1 蜜罐宿主機

虛擬安裝實際業務系統，監控主要入侵造成的威脅，蜜罐主要分為管理層區域和攻擊層捕捉區域。

在蜜罐宿主機結構下，設置管理區域和攻擊區域。其中，管理區域主要用于電力信息網絡主動風險預警系統對各個組件之間的通信，電力信息網絡活動的風險預警系統管理員負責管理訪問系統管理區域，并通過監測網絡的管理系統管理界面進行日常管理和日志分析[6-8]。攻擊區域中訪問權是一種信息網絡，來自外界所有蜜罐入口都必須先通過蜜罐網關，根據eth3界面捕獲攻擊區域中的信息，再將捕獲到的信息發送到監控管理系統eth3接口，更改系統惡意樣本文件。訪問控制策略是在監視管理系統的eth3 接口上啟用的，它禁止接收蜜罐捕獲到信息之外的數據[9-10]。

1.2 蜜網網關

對主動防御系統和實際信息網絡系統進行隔離，控制蜜罐主機對蜜罐主系統的入侵威脅[11]。

1.3 日志服務器

收購各種類型數據和日志，包括web 日志和主機日志以及樣本文檔等一系列數據，結合離線分析技術，實現了蜜網需求“數據分析”。圖2 為日志服務器結構。

圖2 日志服務器

日志服務器負責為網絡監控中心進行日志監控服務，采用中心配置為Linux 上的syslog 服務器，可接收一切能夠通過網絡的路由器、交換機和其他主機等的所有設備發送的日志[12-13]。其中syslog 服務器能夠過濾和合并各種不同設備或主機發送的日志信息，從而使日志信息變得更加準確清晰，提高了日志信息捕獲效率。

2 軟件功能設計

采用模塊化結構，使系統具有良好的維護性，各模塊構成一個功能獨立的子系統，完全可以做到通過主控窗口來進行相對應的調用[14-15]。

2.1 預警指標確定

按照預警指標體系建立原則，采用絕對指標和相對指標對電力網絡安全進行預警。在指標設計中考慮了電網之間的換電、停電等因素。其中，絕對指標預警當前實際電力供需狀況，而相對指標則通過與前期對比分析預測供需發展趨勢，由此確定預警指標：

式中，W出、W凈分別表示系統最大可調出力和凈受電力；P表示系統最大用電負荷；T表示電力平衡指數。

2.2 網絡安全狀態特征提取

由于收集到的電網安全狀態信息無法直接識別電網安全狀態，為此提出了一種以電網安全狀態等級為代表的安全狀態特征提取方法，并用小波熵表示。

設從電力平衡指數T中選取的網絡安全信息為{x(n)}，經過小波變換處理后，xi(n)為第i層分解后電力網絡安全信息，網絡傳輸能量值為Ei，計算公式如式（2）所示：

式中，m表示電力網絡安全信息大小。

計算分解后網絡安全信息小波熵如式（3）所示：

當電力網絡安全狀態信息改變時，小波熵也會出現變化，由此可通過小波熵確定電力網絡是否安全[16]。

2.3 預警流程設計

在設計預警流程之前，需先設定條件，并修改數據，按照指標體系輸出指標。

2.3.1 條件設定

1）選定省份或地區：全國或省；

2）選擇時段：年度或季度；

3）輸入時間：預警時間；

4）粗略預警：由于不會有時間收集前一階段數據，但是根據指標系統，需要前一個階段數據，在這一點上，可以選擇粗略警告和前一階段數據。

2.3.2 數據修改

1）按照系統設計指標，需要在預警期提供數據。在需求方，功率負載數據可以被用來預測結果值，在供應方，由于功率變化，供方數據可能會有明顯變化，也可能沒有變化，因此，系統設計接口允許用戶在上述階段修改自己的數據；

2）前階段供方和現階段供方電力負荷數據，都可以從數據庫中讀取。以下是系統設計修改接口：

①預計裝機增長：默認值為0；

②預計分析：通過對前一個時間段(從數據庫檢索)設備利用率小時數進行預計分析，設計缺省值；

③數據查詢：基于索引系統，從數據庫中獲取需要數據，并查詢預用用電量數據；

④圖形顯示：基于指標體系計算和輸出指標值，按照系統設計指標體系顯示圖形。

將電網安全狀況分為4 個級別，即安全、風險、中度風險和嚴重風險。電力網絡處于安全狀態時，才能正常運行。在網絡處于危險、中度和嚴重危險等不安全狀態時，啟動智能預警機制，保障電力網絡安全。

3 系統調試

針對基于B/S 架構的電力網絡安全智能預警系統設計的合理性，進行系統調試。

3.1 調試步驟

需要打開一個隨機配件箱，包括下列附件，然后才能安裝硬件設備；

1）直連網絡電纜——當主動風險警告系統硬件設備被連接到網絡時，需要一根直連的網絡電纜；

2）交叉網線——當使用PC 直連到設備管理端口，通過HTTPS 協議登錄到管理接口進行配置時，需要交叉網線來連接；

3）電源線——準備兩根電源線(如果是單電源，只需要準備一根電源線)；

4）橡膠墊片——墊片可沿其虛線切成四段，不粘紙剝開并附著于設備四角下半部；

5）上架安裝——如需將硬件設備安裝到架子上，應將其安裝到耳框上。

如需將硬件設備安裝到機架上，需參考上架耳框安裝方式，然后用螺釘固定硬件設備。硬件設備根據實際網絡情況接入網絡并進行調整。其中需要注意的是在與網絡連接時，使用直接網絡將交換機和系統硬件的工作接口連接起來。

3.2 數據分析

針對數據分析，選擇國家某用電情況分析，表1顯示了2008～2018 年該市用電的歷史數據。

表1 該市2008～2018年用電量/×105kWh

3.3 攻擊場景捕獲

針對攻擊場景監控管理系統模塊，可以查詢到在此之前受到攻擊的事件和數量，發起攻擊源IP 地址與目標主機之間的相對應關系，以及恢復攻擊事件處理等，幫助用戶更直觀地分析黑客的攻擊方式。使用者可于指定時間范圍內查詢攻擊事件、查詢攻擊統計資料。

攻擊事件1：選擇左邊監控對象導航樹中的監控對象以查看攻擊場景，右邊顯示監視對象攻擊事件圖形信息和在兩個小時之內的所有攻擊事件，如圖3所示。

圖3 攻擊事件1

攻擊事件2：在進入攻擊場景頁面后，選擇被監視對象進行查看。該頁右邊顯示了攻擊事件數量，以及在監控對象中收集到攻擊IP 和目標主機的對應情況，如圖4 所示。

圖4 攻擊事件2

3.4 預警效果對比分析

針對攻擊事件1，分別將傳統未改進系統與基于B/S 架構改進后的系統預警效果進行對比分析，對比結果如表2 所示。

表2 兩種系統攻擊事件1下的預警效果

采用傳統未改進系統可以在沒有警報的地方預警，而在受到攻擊的地方卻沒有預警；而采用基于B/S 架構改進后的系統則可以在受到攻擊的地方準確預警，而在其他位置無需預警。由此可知，在攻擊事件1 下，基于B/S 架構改進后的系統能夠準確預警。

分別采用兩種系統對攻擊事件2 的預警效果進行對比分析，對比結果如表3 所示。

表3 兩種系統攻擊事件2下的預警效果

在圖形信息為2、3、31時，采用傳統未改進系統在2、3圖形信息下發生了預警，而在圖形信息為31時，卻沒有預警；而采用基于B/S 架構改進后的系統在2、3、31 圖形信息下進行了預警。由此可知，在攻擊事件2下，基于B/S 架構改進后的系統能夠準確預警。

4 結束語

1）研究結果

由于電力企業信息化建設不斷深入，對電力企業信息安全保障能力的要求也越來越高。基于此背景，結合某市電力公司信息，設計了基于B/S 架構預警系統。根據總體設計技術原理，結合當前電網安全問題，給出了電網風險預警系統總體結構，并對系統關鍵部分進行了詳細設計。

2）系統局限

信息安全越來越受到電力企業及其他行業的重視，逐漸成為電力企業信息化建設的重點之一。伴隨著現代電力企業技術集成的不斷發展，對信息安全技術要求也越來越高。因此，電力企業信息安全技術研究將是一個長期而不斷深入的課題。