基于態(tài)勢感知的智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測

彭伯莊，鄧建鋒，王金賀，賴宇陽，胡朝輝

（南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司網(wǎng)絡安全公司，廣東廣州 510000）

態(tài)勢感知是基于動態(tài)與環(huán)境感知的安全性風險洞察能力，始終以大數(shù)據(jù)安全作為實踐應用基礎，可以從全局化角度提升識別主機對于信息響應漏洞的處置強度，從而使數(shù)據(jù)決策行為在較短時間內(nèi)收獲理想化的收益效果[1]。隨著互聯(lián)網(wǎng)技術的興起，態(tài)勢感知方案被逐漸應用于配電網(wǎng)規(guī)劃、電量信息檢測等多個實踐領域，且由于電阻敏感性特征的影響，該項技術手段能夠大幅加強電力網(wǎng)絡空間的安全續(xù)航監(jiān)控能力，一方面可維護智能配電網(wǎng)的固有規(guī)劃能力，另一方面也能夠?qū)崿F(xiàn)互聯(lián)主機對于傳輸電子量的分配與調(diào)試[2-3]。

由于配網(wǎng)線路的延長，一部分傳輸電量會被數(shù)據(jù)采集器、信息展示器等電路結(jié)構(gòu)消耗，從而導致電網(wǎng)能源利用效率的大幅下降。為避免上述情況的發(fā)生，注入型電子量檢測手段在FDI 攻擊檢測框架的支持下，調(diào)節(jié)總線環(huán)境中的各路傳輸節(jié)點，再借助池化層設備實現(xiàn)對電量數(shù)據(jù)節(jié)點的重排與規(guī)劃。但該方法很難使電信號識別準確度處于既定范圍區(qū)間內(nèi)，易導致電子傳輸與信息通信間融合性能力的持續(xù)下降。為解決此問題，設計基于態(tài)勢感知的智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測方法，通過規(guī)劃智能配電網(wǎng)部署架構(gòu)的方式，連接電網(wǎng)流量數(shù)據(jù)采集器與基礎信息展示模塊，再聯(lián)合狀態(tài)識別層結(jié)構(gòu)體，實現(xiàn)對AC 狀態(tài)值與DC 狀態(tài)值的精準估計。

1 智能配電網(wǎng)環(huán)境規(guī)劃

基于態(tài)勢感知的智能配電網(wǎng)環(huán)境由智能配電網(wǎng)部署架構(gòu)、電網(wǎng)流量數(shù)據(jù)采集器、態(tài)勢基礎信息展示模塊三部分共同組成，具體搭建方法如下。

1.1 智能配電網(wǎng)部署架構(gòu)

智能配電網(wǎng)部署架構(gòu)由外部路由網(wǎng)絡、內(nèi)部路由網(wǎng)絡兩部分共同組成，具體結(jié)構(gòu)如圖1 所示。

圖1 智能配電網(wǎng)部署架構(gòu)

其中，外部路由網(wǎng)絡包含一個態(tài)勢感知主機和一個路由連接設備，前者能夠干預智能配電網(wǎng)的現(xiàn)有連接形式，而后者則可以準確分析電網(wǎng)攻擊數(shù)據(jù)的實際傳輸需求。內(nèi)部路由網(wǎng)絡包含檢測主機、交換機、配電網(wǎng)監(jiān)控臺、電網(wǎng)管理員、電網(wǎng)防火墻五類應用設備[4-5]。當電網(wǎng)防火墻進入穩(wěn)定輸出狀態(tài)后，電網(wǎng)管理員可直接干預配電網(wǎng)監(jiān)控臺的實際連接行為，且由于交換機設備的存在，檢測主機中會累積大量的隱蔽型攻擊數(shù)據(jù)，且其數(shù)量值水平會不斷提升，直至能夠與智能配電網(wǎng)的態(tài)勢感知指令需求完全匹配。

1.2 電網(wǎng)流量數(shù)據(jù)采集器

電網(wǎng)流量數(shù)據(jù)采集器存在于智能配電網(wǎng)部署架構(gòu)中，可根據(jù)態(tài)勢感知指令的實際傳輸需求，將電流量信息均分為多個數(shù)據(jù)包結(jié)構(gòu)體，從而使配電網(wǎng)數(shù)據(jù)的隱蔽性攻擊行為得到有效檢測[6]。電網(wǎng)流量數(shù)據(jù)采集器結(jié)構(gòu)如圖2 所示。

圖2 電網(wǎng)流量數(shù)據(jù)采集器結(jié)構(gòu)

從功能性角度來看，電網(wǎng)流量數(shù)據(jù)采集器中包含至少3 個流量數(shù)據(jù)采集主機，且這些結(jié)構(gòu)對象可分別與配電網(wǎng)環(huán)境中不同的層級主機相連，一方面獲取其中已存儲的隱蔽性攻擊行為信息，另一方面建立與其他主機應用元件的物理連接[7-8]。檢測行為管理員作為電網(wǎng)流量數(shù)據(jù)采集器中的核心執(zhí)行結(jié)構(gòu)，可在隱蔽性檢測主機元件的作用下，干預感知行為記錄主機中的電量信息傳輸需求，從而使智能配電網(wǎng)應用環(huán)境逐漸趨于穩(wěn)定。

1.3 態(tài)勢基礎信息展示模塊

態(tài)勢基礎信息展示模塊中包含多個配電網(wǎng)流量數(shù)據(jù)表單結(jié)構(gòu)，主要負責評估電量數(shù)據(jù)隱蔽攻擊行為的可能發(fā)生幾率，并針對不同可能性信息進行分級處理，從而提升態(tài)勢感知技術對數(shù)據(jù)在線檢測指令的實際影響性能[9]。一般情況下，配電網(wǎng)流量數(shù)據(jù)表單需要同時包含Name、type、note 3 項命名條件。其中，Name 是指隱蔽性配電網(wǎng)攻擊數(shù)據(jù)的命名形式，如Total、Recieve Multipck、Sent Multipck、Recieve Byte 等。type 是指隱蔽性配電網(wǎng)攻擊數(shù)據(jù)的傳輸格式，在態(tài)勢感知指令的影響下，大多數(shù)數(shù)據(jù)傳輸格式均保持為NUMBER 類型[10]。note 是對隱蔽性配電網(wǎng)攻擊數(shù)據(jù)作用能力的解釋與說明，由于命名形式的不同，各類數(shù)據(jù)對象的解釋說明條件也有所不同。具體定義形式如表1 所示。

表1 態(tài)勢基礎信息展示模塊定義形式

2 智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊的在線檢測

在態(tài)勢感知指令的作用下，按照狀態(tài)識別層搭建、AC 狀態(tài)估計、DC 狀態(tài)估計的處理流程，完成智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測方法的設計。

2.1 狀態(tài)識別層搭建

狀態(tài)識別層能夠準確感知智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊行為的實際傳輸形式，并可在輸入層、隱蔽層、輸出層三類層次節(jié)點的作用下，實現(xiàn)由態(tài)勢感知系數(shù)x到在線檢測系數(shù)y的轉(zhuǎn)變，具體狀態(tài)識別層結(jié)構(gòu)如圖3 所示。

圖3 狀態(tài)識別層結(jié)構(gòu)

當隱蔽性數(shù)據(jù)攻擊智能電網(wǎng)時，態(tài)勢感知測量信息的實際概率分布情況將遠遠偏離正常的概率分布趨勢。因此，狀態(tài)識別層結(jié)構(gòu)體始終具備隱蔽性電量數(shù)據(jù)的所有傳輸特征，能夠?qū)ΤＲ?guī)分布狀態(tài)下的電子信息參量進行精準預測[11-12]。在狀態(tài)識別層組織中，由于智能配電網(wǎng)子網(wǎng)環(huán)境的數(shù)據(jù)輸入信息量始終相同，且能夠同時承載多種隱蔽性攻擊行為，因此每一個狀態(tài)識別節(jié)點都直接對應智能電網(wǎng)環(huán)境中的獨立檢測對象。

2.2 AC狀態(tài)估計

AC 狀態(tài)估計數(shù)據(jù)的主要功能是對隱蔽性電網(wǎng)信息進行集中化處理，也被稱為濾波性行為分析，能夠精準確定或預報智能配電網(wǎng)的現(xiàn)有運行狀態(tài)，從而排除攻擊性干擾對電量傳輸行為造成的影響。從配電網(wǎng)風險感知能力的角度來看，AC 狀態(tài)估計是針對某一處理對象所進行的高維化計算問題，能通過卡爾曼濾波標準來考量配電網(wǎng)數(shù)據(jù)的實際可用價值，但卻不能直接獲得較為清晰的檢測處理結(jié)果[13-14]。因此，AC 狀態(tài)估計只適用于較為粗略的智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測需求。設e0代表最小的配電網(wǎng)AC 狀態(tài)評估權(quán)限量，en代表最大的配電網(wǎng)AC 狀態(tài)評估權(quán)限量，n代表在線檢測指令傳輸處理次數(shù)。聯(lián)立上述物理量，可將AC 狀態(tài)估計結(jié)果表示為：

式（1）中，代表智能配電網(wǎng)環(huán)境中的電子量數(shù)據(jù)輸出均值，β代表基于態(tài)勢感知的隱蔽性攻擊數(shù)據(jù)檢測系數(shù)，ΔP代表單位時間內(nèi)的電信號輸出變化量。

2.3 DC狀態(tài)估計

在智能配電網(wǎng)環(huán)境中，電子傳輸線路可將所產(chǎn)生的隱蔽性攻擊數(shù)據(jù)傳遞給既定檢測節(jié)點。從理論化角度來看，所有電子傳輸線路之間的電量檢測功率始終相同，且輸出總線上的阻抗數(shù)值始終等于各分線阻抗數(shù)值之和。一般來說，電子傳輸線路具有較高水平的阻抗能力，且能夠通過態(tài)勢感知行為確定隱蔽性攻擊數(shù)據(jù)所處的實時位置，從而方便后續(xù)在線檢測指令的準確實施[15-16]。設Vmin代表智能配電網(wǎng)環(huán)境中最小的隱蔽性攻擊數(shù)據(jù)承載權(quán)限，Vmax代表智能配電網(wǎng)環(huán)境中最大的隱蔽性攻擊數(shù)據(jù)承載權(quán)限。在上述物理量的支持下，聯(lián)立式（1），可將DC狀態(tài)估計結(jié)果表示為：

式（2）中，f代表隱蔽性電網(wǎng)數(shù)據(jù)的攻擊檢測行為量，λ代表電量信息的檢測應用數(shù)據(jù)值，θ1、θn分別代表兩個不同的配電網(wǎng)數(shù)據(jù)隱蔽性攻擊行為指標。至此，完成各項理論系數(shù)的計算與處理，在態(tài)勢感知技術的支持下，實現(xiàn)智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測方法的順利應用。

3 對比實驗分析

為驗證基于態(tài)勢感知的智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測方法的實際應用價值，設計如下對比實驗。在MATLAB 仿真平臺中搭建如圖4 所示的智能配電網(wǎng)檢測環(huán)境。分別將實驗組、對照組控制主機與檢測服務器相連，其中，實驗組控制主機搭載基于態(tài)勢感知的智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測方法，對照組控制主機搭載注入型電子量檢測手段，在相同實驗環(huán)境下，分析各項實驗干預指標的實際變化趨勢。

圖4 智能配電網(wǎng)檢測環(huán)境

電信號識別準確度、電網(wǎng)能源利用效率均能反映電子傳輸與信息通信間的融合應用能力，一般情況下，電信號識別準確度越大，電網(wǎng)能源利用效率越高，電子傳輸與信息通信間的融合應用能力也就越強，反之越弱。圖5 記錄了實驗組、對照組的實際實驗數(shù)值情況。

分析圖5 可知，隨著實驗時間的延長，實驗組電信號識別準確度始終保持不斷上升的變化趨勢，整個實驗過程中的最大值達到了94.80%。對照組電信號識別準確度則在一段時間的穩(wěn)定狀態(tài)后，開始持續(xù)下降，整個實驗過程中的最大值僅能達到63.29%，與實驗組最大值相比，下降了31.51%。電網(wǎng)能源利用效率對比如表2 所示。

圖5 電信號識別準確度對比圖

表2 電網(wǎng)能源利用效率對比表

分析表2 可知，隨著實驗時間的延長，實驗組電網(wǎng)能源利用效率始終保持相對穩(wěn)定的波動變化趨勢，全局最大值達到了85.01%。對照組電網(wǎng)能源利用效率則始終保持不斷下降的變化趨勢，全局最大值僅能達到77.22%，與實驗組最大值相比，下降了7.79%。

綜上可知，隨著基于態(tài)勢感知的智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測方法的應用，電信號識別準確度、電網(wǎng)能源利用效率兩項物理指標均出現(xiàn)明顯上升的變化趨勢，可在促進電子傳輸與信息通信間融合應用能力增強的同時，滿足智能配電網(wǎng)的穩(wěn)定性規(guī)劃需求。

4 結(jié)束語

在態(tài)勢感知技術的支持下，智能配電網(wǎng)數(shù)據(jù)隱蔽攻擊在線檢測方法針對電信號識別準確度差、電網(wǎng)能源利用效率低的問題進行了完善，一方面聯(lián)合電網(wǎng)流量數(shù)據(jù)采集器，規(guī)劃態(tài)勢基礎信息展示模塊的實際連接需求，另一方面借助狀態(tài)識別層結(jié)構(gòu)，計算得到AC 狀態(tài)估計與DC 狀態(tài)估計結(jié)果，具備較強的應用可行性。