基于馬爾科夫模型的分布式電網CPS網絡攻擊動態檢測

常 杰,劉 碩,郭禹伶

(國網河北省電力有限公司電力科學研究院,河北 石家莊 050021)

分布式電網CPS在傳感器與制動設備的支撐下,在網絡傳輸接口實現人機之間信息的高效交互[1]。但隨著分布式電網覆蓋范圍的提升及電力市場對于電網通信要求的提高,CPS在運行中潛在的漏洞與不足越發明顯。在電力產業建設水平持續提升的背景下,分布式電網與信息通信網絡之間的耦合性能越發顯著,因此,電網在運行中十分容易受到信息通信網絡中不良因素的干擾,在嚴重情況下,甚至會遭受到CPS網絡的攻擊,從而導致分布式電網的可持續運行受阻[2]。為了解決此類問題,降低惡意攻擊現象的發生,本文引進馬爾科夫模型,設計了一種針對分布式電網的CPS網絡攻擊動態檢測方法。盡管我國電網安全保護已針對此類問題進行了多次設計與研究,但在實際工作中,仍存在對危險因子檢測能力差的問題,甚至在對CPS網絡危險因子識別過程中,存在取值與評估不穩定的現象,從而導致設計的方法靈活性與操作穩定性相對較差[3]。而本文設計的方法,將在早期研究成果的基礎上實施,致力于通過此次設計,解決傳統方法存在的不足與漏洞。

1 分布式電網CPS網絡攻擊動態檢測方法設計

1.1 基于馬爾科夫模型提取CPS網絡隱性攻擊因子

為了解決分布式電網受到網絡攻擊的問題引進馬爾科夫模型,利用模型的統計功能,對CPS網絡攻擊因子進行提取。馬爾科夫模型是一種統計模型,善于處理序列型數據,能夠計算出具有維修能力和多重降級狀態系統的概率。文獻[4]利用馬爾科夫模型有效檢測了HTTP協議的隱蔽信道,且檢測率可以達到較高的水準。文獻[5]利用馬爾科夫模型和層次聚類方法檢測無監督攻擊,通過分析用戶的偏好序列以及真實用戶和攻擊用戶在評分行為上的差異,計算出每個用戶的可疑程度。在深入對攻擊分析的過程中可知,CPS網絡的攻擊行為主要是通過切斷電網與終端之間聯系的方式,對其正常運行造成負面干預[4]。因此,可定位CPS網絡攻擊目標為電網運行流量與電力資源。

電力資源在分布式電網中屬于隱性資源,直接采用人工采集的方式,難以有效地獲取隱性資源,為此要在馬爾科夫模型的應用下,對隱性參數進行提取,并利用模型的統計功能,對攻擊因子進行總結與歸納。此過程的操作步驟如下。

當CPS網絡對分布式電網開始攻擊時,可先從電網流量層面分析,提取馬爾科夫模型中的可觀參數,觀察參數發生轉移行為的概率,并構建對應的可觀參數矩陣。輸出參數矩陣后,對電力資源消耗情況進行提取,參照上述流程,提取電力資源的可觀參數,建立對應的參數矩陣[5]。完成提取后,輸出CPS網絡攻擊因子數組,將其表示為X=(x1,x2,…,xn)。此過程中,對因子狀態轉移概率矩陣的表達可用以下公式表示

式中:X為攻擊因子狀態轉移概率矩陣;xa為攻擊因子a;xa+1為a的下一個網絡節點攻擊因子;xb為攻擊因子b;xb+1為b的下一個網絡節點攻擊因子。在完成對上述公式的計算后,提取數組矩陣中的隱性攻擊因子,并參照式(1)構建隱性因子狀態轉移概率矩陣[6]。在完成對攻擊因子數組的提取后,繪制其概念模型圖示,如下圖1所示。

根據圖1中表達方式,識別在分布式電網節點中,與此結構類似或存在結構框架雷同的因子,并將其按照上述方法,使用馬爾科夫模型對其進行矩陣規劃。在此基礎上,描述CPS網絡攻擊下電網運行狀態,以縮減網絡攻擊的判定的檢測時間。

圖1 CPS網絡攻擊因子概念模型

1.2 CPS網絡攻擊下分布式電網運行描述

考慮到CPS網絡是一個綜合性與復雜度較高的網絡,其中多個區間均需要在有線或無線網絡的支撐下進行通信,而一旦其網絡運行出現流暢度差的問題,便會導致CPS網絡運行受阻,甚至會出現大幅度的震蕩,這種震蕩會使分布式電網運行出現不穩定信號。

在此過程中,定義CPS網絡攻擊信號表示為u K(t),其中K表示為CPS網絡的攻擊節點數量或攻擊行為規模,以此可以對分布式電網受到信號干擾后的運行進行描述[7]。在此種狀態下,可認為電力執行機構、控制對象、因子檢測單元等共同構成電網檢測機制,因此對于電網檢測機制的描述可用如下計算公式表示

式中:xi為電網運行子區間內電力資源的狀態變化量;xj為在第j個子區間內輸出的電力狀態變化參數;Ei為分布式電網傳輸特性對應的矩陣模型;Ai為在第i個子區間內分布式電網的連通方向;BKiuKi(t)為子區間內的攻擊信號;DKiuKi(t)為傳感器識別的攻擊信號;Ci為對i區間的觀測行為;yi為電網運行負載目標;i為分布式電網的運行子區間;j為CPS網絡運行子區間。通過上述計算公式,完成對CPS網絡攻擊下分布式電網運行的描述,便于網絡攻擊入口的檢測,從而提高攻擊檢測的精度。

1.3 基于攻擊可檢測性定位CPS網絡攻擊入口

CPS網絡攻擊或入侵通常會在某種特定的形式下實施,以此達到一種相對較優的攻擊效果,設定K表示為CPS網絡攻擊范圍,則對K的描述可用下述公式表示。

式中:n為電力資源攻擊范圍;p為通信攻擊范圍。對于存在?i∈K的情況,可認為此時存在某一個電網運行時刻,此時ui(t)≠0,對于存在?i?K的情況,可認為分布式電網在任意一個運行時刻,均存在ui(t)=0的條件。而CPS網絡攻擊模式,通常被劃分為靜態隱蔽性攻擊、重放式攻擊、動態虛假電力數據攻擊3種形式。下述將根據3種攻擊方式,對其分別給定攻擊入口定位方式。

(1)針對靜態隱蔽性攻擊,可通過對分布式電網中拉普拉斯變量進行導出的方式檢測,當第i個子區域中不存在行向量,僅存在縱向向量時,認為此時存在CPS網絡的隱蔽性攻擊因子[8]。

(2)針對重放式攻擊,可通過判定分布式電網的初始化運行狀態與實時運行狀態之間差異的方式進行分析,當實時運行狀態中存在測量單元無法辨識條件時,認為此時存在CPS網絡的重放式攻擊因子。

(3)針對動態虛假電力數據攻擊,可直接通過估計電網的分布式運行狀態的方式進行分析,當子區間內狀態變量與預測變量存在差異時,認為此時電網受到虛假數據攻擊。

按照上述方式,結合分布式電網的實時運行狀態,選擇不同的攻擊因子識別方式,以此實現對分布式電網CPS網絡攻擊的動態檢測。

2 實驗論證分析

選擇某電力公司作為此次對比實驗的參與單位,設計如下對比實驗。在實驗實施前,對實驗環境及實驗參數進行準備,見表1。

表1 對比實驗環境

按照表1中內容,布設靜態隱蔽性攻擊因子、重放式攻擊因子、動態虛假電力數據攻擊因子,各10個,對電力企業運行的分布式電網進行持續的攻擊。在攻擊過程中,分別使用本文設計的基于馬爾科夫模型的分布式電網CPS網絡攻擊動態檢測方法,與傳統檢測方法(文獻[3]方法),對電網中30個攻擊因子進行檢測,對比提取電力隱性參數的性能。完成檢測后,輸出此次對比實驗結果,見表2。

表2 攻擊因子檢測結果

根據上述實驗結果可知,傳統檢測方法在檢測靜態隱蔽性攻擊因子時,存在能力層面欠缺,但在識別其他類型攻擊因子時,檢測準確率尚可。因此,得出對比實驗結論,本文設計的基于馬爾科夫模型的分布式電網CPS網絡攻擊動態檢測方法,可準確且全面地識別多種CPS網絡攻擊因子,平均識別準確率可高達96.0%。

3 結束語

基于我國電網信息通信網絡建設的不斷完善,嵌入式電力系統開發水平的不斷提升,分布式電網已實現了在多個控制領域內廣泛應用,并對電力資源均衡調度、水利工程電網運行控制等方面工作的研究,造成了較為顯著的影響。因此,本文設計了一種基于馬爾科夫模型的分布式電網CPS網絡攻擊動態檢測方法,并在完成設計后,通過對比實驗證明了相比傳統方法,本文設計的檢測方法實用性更強,攻擊因子的平均檢測準確率可高達96.0%。