基于TEE和eSE的智能電網風險態勢感知防護技術

姚海燕， 向新宇， 於志淵， 樊立波， 杜忠

(1.杭州市電力設計院有限公司余杭分公司， 浙江，杭州 310000；2.國網浙江省電力有限公司杭州供電公司， 浙江，杭州 310000；3.北京博思匯眾科技有限公司， 北京 100000)

0 引言

在互聯網的發展推動下，國家電網的信息化建設也已經全面覆蓋，形成智能電網。智能電網是集成、高速、雙向通信網絡為基礎建立而成，結合先進的設備和儀器，保證電網安全、高效運行，因此也稱為電網的智能化[1]。智能電網具備五大顯著優勢，分別為具備免疫系統，實現自愈；促進電力系統的運行和管理；具備抵御攻擊能力，能夠在一定程度內降低物理攻擊和網絡攻擊；可實現無縫地容、即插即用；可對電網資產實行管理和優化，降低運行成本[2]。智能電網雖然能夠在一定程度內降低物理攻擊和網絡攻擊，但仍然會受到一定影響，產生一定運行風險，并且智能電網日漸復雜，其風險一旦產生，將會對整個電力系統造成不可預計以及復雜性的安全隱患。智能電網風險態勢感知防護，則是用于電網的安全風險實行感知以及保護，避免智能電網運行的重要信息數據被竊取、惡意入侵等，避免發生信息安全出現問題，導致電網故障甚至是事故的發生[3]。其中感知的主要依據是智能電網的態勢，網絡態勢既是體現網絡狀態變化的，對網絡風險態勢實行感知、評估，綜合分析網絡存在的安全問題。

TEE(Trusted execution environment)也稱為可信執行環境，是IT行業的專業術語，主要應用于安全智能設備方面。eSE(E-commerce based on search engine)也稱作生態情景體驗，其具備將搜索和信息有效結合的功能。當下關于智能電網風險造成的原因有很多，例如沒有經過授權的訪問、惡意以及暴力破解和入侵等，上述等行為會對智能電網的多方面運行造成一定影響，例如會導致智能電網數據傳輸時端到端的時延增加、導致網絡癱瘓等情況。因此，為避免上述問題，本文研究基于TEE和eSE的智能電網風險態勢感知防護技術，實現智能電網的風險態勢感知以及防護，保證智能電網的正常運行。

1 基于TEE和eSE的智能電網風險態勢感知防護技術

1.1 技術架構

基于TEE和eSE的智能電網風險態勢感知防護技術的主要目的為保證智能電網具備主動防御、保證網絡的深層安全。因此，以TEE和eSE技術為核心，實現智能電網風險態勢感知防護，該技術架構如圖1所示。

圖1 技術架構

基于TEE和eSE的智能電網風險態勢感知防護技術的應用，需具備信任源，其通過引入可信計算理念、可信平臺控制模塊(TPCM)，設計無法篡改的智能電網信任根實現；同時結合TEE技術完成身份鑒別、安全檢查等敏感指令，實現對用戶、程序等主體的可信檢查和權限控制[4]。

1.2 基于eSE的智能電網安全風險感知模型

1.2.1 模型結構

安全防護的目的為降低風險或完全避免風險，達到安全防護，需先完成智能電網安全風險感知。采用eSE模型完成智能電網安全風險感知，該模型如圖2所示。

通過結合相關方法實現智能電網風險態勢感知，其實現分為3個步驟，分別為基于DS證據理論的風險態勢感知、基于概率風險分析的逐層風險態勢量化以及風險態勢判別[5]。

基于DS證據理論[6]可將每一個感知器感知到的風險信息實行融合，根據融合結果分析存在風險以及風險產生的可信度，并將其作為模型第二個步驟的輸入；基于概率風險分析的逐層風險態勢量化對輸入的結果實行量化分析，同時將時間權重等相關權重引入確保分析結果的客觀性；根據量化

圖2 基于eSE的智能電網安全風險評估模型

結果對風險態勢實行判別，獲取判別結果。

1.2.2 DS證據理論的風險態勢感知

作為一種融合技術，DS證據理論具備較強的優勢，其可以通過不同的數據處理方法，處理同一識別框架內的信息，將不同數據處理方法處理的結果用于表示每一個子證據體，并用Dempster合成規則對其進行融合，得出一個新的證據體，該獲取的主要依據是決策規則[7]。

DS證據理論的風險態勢感知步驟如下所述。

(1) 建立子證據體的基本概率分配函數

識別框架用?表示，其同時可表示智能電網風險態勢集；第k個子證據體對應的第j個智能電網風險態勢的為智能電網輸出值用Ok(j)表示，采用轉換手段對我實行處理，將其看作基本概率分配[8]，因此，子證據體對智能電網風險態勢Fj的概率推理過程公式為

(1)

以得出的mk(Fj)為依據，獲取所有智能電網風險態勢的信度以及似真兩種函數值分別用B、P表示，兩者的計算式為

(2)

(2) 證據合成

存在差異性且相互獨立的概率分配函數額獲取，是由于證據來源在相同識別框架內存在差異性，且用m1和m2表示，采用DS證據理論的合成規則，完成每一個子證據體的充分融合[11-13]，融合后形成的新的概率分配函數為

(3)

式中,直和用⊕表示,且E=X+Y，在E=φ的情況下，[m1⊕m2](E)=0。

(3) 決策規則

證據體的信任區間用[B(Fj),B(Fj)]表示，其是決策規則的實現依據，如果Fi=[B(Fi)]，則Fj需滿足下述式：

(4)

式中,Fi表示風險態勢識別結果用,ε1、ε2表示設定的閾值。

1.3 TEE技術

由于TEE技術擁有執行空間，因此其具備極高的安全性，并且富操作系統(Rich OS)的安全服務由其提供，兩者并存運行。可信應用(TA)的安全執行環境、資源、數據的保密性、完整性、訪問權限均有TEE技術支撐完成。作為可信根的TEE技術，通過驗證是其執行的基礎，并且必須和Rich OS的運行實行間隔[14]。相互獨立是所有的TA在TEE技術中的呈現狀態，其相互之間的訪問在沒有授權的情況下，無法進行，其詳細情況如圖3所示。

圖3 TEE技術結構

可信應用是TEE技術的核心，該應用則是信任建立依據。在此基礎上，實現信任鏈的構建，實現整個智能電網的逐級信任，保證整個網絡的安全防護[15]。

2 實驗設計與分析

為測試本文技術的風險態勢感知防護效果，搭建相關測試環境，并采用激光漏洞掃描系統對智能電網風險進行仿真，模擬網絡攻擊，分析本文技術的感知防護性能。搭建的網絡架構中，交換機作為網絡中的連接站，與目標服務器相連，同時連接使用本文技術的風險態勢感知系統以及入侵模擬系統。

實驗環境：目標服務器使用Windows Server 2019，并且服務ID分為3個，其服務名稱分別為IIS6.0、MySQL Server 2008、FTP Server，其中，保證IIS配置的正常連接，能夠完成應用的正常傳輸、目標服務器主機防火墻能夠正常啟動和關閉。在整個搭建的智能電網中，設定3種風險態勢，分別為惡意入侵、信息竊取以及非驗證訪問。

采用安全服務、節點風險指數、節點風險概率以及網絡風險概率4項指標作為衡量本文技術效果的指標，其計算公式分別為

(5)

(6)

(7)

(8)

式中,RNi(t)、RNi(t)、R(t)和P(t)分別表示安全服務風險指數、節點風險指數、節點風險概率和網絡風險概率,Ni表示節點,t表示時刻,wsijk、wni分別表示安全服務SAj和Ni的相對重要權值，且兩者分貝屬于Ni中和智能電網中。

2.1 風險權重值的獲取

啟動漏洞掃描，模擬3種風險態勢對目標主機實行攻擊，利用上述公式，計算服務相對權重感知主機受到攻擊后風險級別，以此衡量本文技術的風險態勢感知效果，如圖4所示。

(a) 安全服務相對權重測試結果

(b) 風險級別感知結果

根據圖4測試結果可知：在5種服務性能下，本文技術能夠獲取服務相對權重，并且能夠根據該權重結果完成主機受到攻擊后風險級別感知。該結果表明，本文技術能夠完成風險態勢感知。

2.2 不同節點的風險概率感知

為進一步測試風險感知效果，隨機選取3個目標服務器(A、B、C)，采用DS理論證據計算各個節點發生的風險概率，以此衡量本文技術的風險感知效果，由于篇幅有限，該測試僅模擬信息竊取風險，結果如表1所示。

表1 各節點上安全服務性能的風險測試結果

根據表1測試結果可知：3個節點在不同的安全服務情況下，直接威脅概率與發生威脅的概相同，間接概率則為零，風險總值則是分別呈現不同的變化。該結果表明，本文技術的風險態勢感知性能良好，能夠準確完成風險態勢的感知。

2.3 數據突發運行時智能電網運行狀態

安全防護是保證智能電網運行數據信息安全關鍵，因此防護效果決定信息的安全程度。獲取智能電網在正常網絡通信時，突發運行情況下傳送重要數據以及非重要數據的網絡狀態，結果如圖5所示。

根據圖5獲取的測試結果可知，重要數據突發運行狀態下，具備安全防護技術時，智能電網在端到端的運行過程中，時延結果一種處于十分平穩狀態，時延結果為0.28 s，沒有安全防護技術時，則時延結果呈現波動狀態，其時延范圍在0.28-0.60 s之間；非重要數據在突發運行狀態下，具備防護技術與不具備防護技術的端到端的時延結果均呈現波動狀態，時延明顯增加。

2.4 所提方法應用下交換機流量分布與數據端到端的時延穩定性

風險態勢防護技術的有效性，可通過智能電網數據時延以及抖動情況進行體現，延時越小，防護性能越好。因此模擬惡意入侵時，交換機流量變化情況和數據端到端的時延結果，如圖6所示。

(a) 重要數據突發運行時的智能電網運行狀態

(b) 非重要數據突發運行時的智能電網運行狀態

(a) 交換機流量測試結果

(b) 端到端的時延結果

根據圖6測試結果可知：智能電網在風險態勢防護下，交換機流量分布結果并沒有受到防護技術的影響，其流量范圍在5～30 Mbits/s之間；在受到惡意入侵時，沒有風險防護技術情況下，交換機流量最高可達43 Mbits/s，該現象可導致智能電網網絡癱瘓。同時，使用風險防技術后，數據端到端的時延結果相對平穩，處于0.32～0.58 s的范圍之內，沒有風險防護技術時，時延波動較大，其范圍在0.22 ～0.58 s之間。該結果表明風險防護技術具備較好的風險態勢防護效果。

3 總結

本文為實現智能電網的風險態勢感知和防護，以TEE和eSE技術為核心，實現感知和防護。經測試：該技術能夠準確感知智能電網中的風險勢態，并完成有效安全防護，適用于智能電網的風險勢態感知防護。