網絡攻擊下電力系統混合入侵防御算法研究

胡超， 喬治中， 黃天明

(南京南瑞信息通信科技有限公司， 江蘇， 南京 210003)

0 引言

近些年來各類網絡安全事件頻發，網絡安全環境日趨嚴峻，為此研究一種網絡攻擊下電力系統混合入侵防御算法是很有必要的[1]。依照現有的技術水平，加強對含有關鍵信息基礎設施的保護，重點保護承擔電力系統運行的信息系統及相應的軟硬件。充分考慮電力系統的關鍵業務及其影響，按照電力CII認定識別級別，結合電力系統的實際，建立安全防御機制，有效抵御電力系統的外部入侵[2]。

目前，常用于入侵檢測的方法主要有SDN網絡拓撲污染攻擊防御方法[3]、針對認知無線網絡大規模入侵的雙重防御方法[4]和基于相關信息熵和CNN-BiLSTM的工業控制系統入侵檢測方法[5]，現有方法通過形成應用層操作，設計支持策略、行為異常檢測算法，實現攻擊事件和正常事件的智能區分，形成了一個多層次的安全防護體系。但是現有方法在網絡攻擊下，存在數據丟包率較大，網絡吞吐量較低和系統響應時間較長的問題，因此，本文提出了網絡攻擊下電力系統混合入侵防御算法。

1 網絡攻擊下電力系統混合入侵防御算法研究

1.1 電力系統混合入侵數據分類

采集網絡攻擊下電力系統的混合入侵數據，并以此為研究對象，進行數據分類，利用PSO算法控制入侵數據的頻率，引入一個控制入侵數據進程的頻率上限值vmax，如式(1)：

|vj(t)|≤vmax

(1)

按照上式設定的頻率上限值控制入侵數據分類，此時入侵數據在電力系統中的傳輸頻率隨時間變化的曲線，如圖1所示。

圖1 入侵數據的頻率變化

按照如上圖所示的頻率變化規律，以入侵頻率為分類指標[6]，采用聚類算法將不同頻率狀態下無標簽入侵數據進行劃分，此時入侵數據分類可表示為

(2)

式中，c表示劃分的入侵數據類別，U表示一個模糊矩陣，uij表示入侵數據樣本xj中第i個類別的隸屬度值，V表示由聚類中心向量構成的矩陣，m表示模糊系數，dij是入侵數據xj到聚類中心的距離。依據不同類型的電力系統混合入侵數據類型，制定響應映射關系[7-8]。

1.2 建立入侵響應映射

在建立算法入侵響應映射時，使用分類后的入侵數據，針對不同的入侵數據類型建立相對應的響應防御映射，利用復雜映射決策模型來建立該映射，使用的復雜映射模型如圖2所示。

圖2 復雜映射模型

利用圖2所示的結構可知，在建立響應映射時，接收上述分類后的電力系統入侵數據后，使用接口Agent處理該數據，將入侵數據傳送至主分析器，定義主分析器中的入侵類型為已知入侵類型與新入侵性質，主分析器依照定義的入侵數據的性質識別該分類數據[9]。在主分析器中添加一個分析Agent處理，處理電力系統中新入侵性質的數據，一個分析Agent對應一個防御措施，將該過程看作一個響應映射，多個分析Agent對應一個防御措施集合，其動態映射過程，如圖3所示。

圖3 動態防御響應映射

依照上圖所示的動態防御響應映射，針對新入侵的數據類型及防御因素，分析Agent形成一個該類型入侵數據的措施子集，防御完畢后該措施并入到上圖所示的措施集中[10]。計算上圖所示過程的響應時間TI，計算公式為

(3)

式中，ε表示映射系數，RI表示映射關系的有效性，FI表示映射的負響應指數。為了縮短防御響應時間，引入電力系統中的節點結構，完善上圖所示的映射，該分層結構，如圖4所示。

圖4 映射分層結構

依照上圖所示映射分層結構，將防御映射響應變成一個可持續釋放的過程，以此來縮短防御過程的時間。此外，調節上圖所示分層結構的機制閾值，減少防御過程中不必要的響應，進一步縮短響應時間[11]。

1.3 入侵防御的實現

電力系統因外部環境的不同，表現出不同的特性，算法在電力系統應用時會受到不同程度的限制，因此運用所提算法在網絡攻擊下對電力系統混合入侵數據的防御前，需要進行有效抑制[12]，以保持電力資源的可用性，為此建立一個算法受限模型，控制不同的參量變化，并通過計算入侵數據防御資源的最大容量系數，解除不同程度的限制[13]。以構建的入侵響應映射為基礎，以電力系統中的節點為研究對象，假設D(t)表示節點在防御過程中的數據防御數量，則此時節點總的入侵數據防御數量為

(4)

式中，r表示入侵數據防御量的增長率。

考慮到容量系數的大小不僅直接決定電力系統使用成本，同時，影響電力系統混合入侵防御效果，因此，在此公式的基礎上，計算入侵數據防御資源的最大容量系數H：

(5)

式中，D(t0)表示電力系統節點在t0時刻防御的入侵數據量。

為了防止最大容量系數計算出現精度誤差，建立隸屬度函數，計算公式如下：

(6)

依照上述計算過程，將初始化迭代數值設置為0[14]，以此來保證最大容量系數H的計算精度。

在網絡攻擊下，控制式(5)中t0的數值，對應得到算法在電力系統中受限制的位置編號，

(7)

式中，ω為權重，j表示電力系統入侵數據，c1表示認知系數，c2表示電力系統的安全系數，s1、s2表示服從均勻分布的隨機數，pj(t)表示入侵數據的歷史位置，xj(t)表示t代入侵數據在電力系統中的位置。使用上述各項系數，得到入侵數據頻率更新規則：

(8)

根據式(7)得到的電力系統中受限制的位置編號，掃描并隔離處理該位置的信任事務，同時，依照式(8)規范入侵數據在網絡中的進程，計算公式如下：

(9)

位置編號對應電力系統限制算法防御的位置，掃描并隔離處理該位置的信任事務，消除算法在電力系統中應用時的限制，實現對電力系統中混合入侵防御算法的研究[15]。

2 實驗

為驗證所設計網絡攻擊下電力系統混合入侵防御算法能否實現電力系統安全防御的目的，進行實驗驗證。

2.1 測試環境與參數設置

測試環境選用一臺接入局域網及互聯網的服務器，將該服務器安置在局域網與互聯網之間的網關處，利用一個測試服務器將局域網中的計算機與互聯網隔離，模擬電力系統受到網絡攻擊的過程，在該過程中測試算法的性能。將服務器的網口與IXIA網絡測試儀對應相連，使用的IXIA網絡測試儀如圖5所示。

圖5 實驗所需的IXIA網絡測試儀

將圖5所示的IXIA網絡測試儀使用網線連接在測試服務器上。不斷測試數據過濾模塊中的各項操作，確認規則管理、捕獲分析以及過濾部分需要達到預期結果。分別利用上述測試環境承載SDN網絡拓撲污染攻擊防御方法(方法1)、針對認知無線網絡大規模入侵的雙重防御方法(方法2)和基于相關信息熵和CNN-BiLSTM的工業控制系統入侵檢測方法(方法3)與網絡攻擊下電力系統混合入侵防御算法進行實驗，針對不同方法在電力系統中形成的入侵檢測部分，開啟互聯網在局域網中的傳輸，調用數據過濾模塊，確認防御算法形成的關聯性規則是否被激活，確認測試結果通過后，測試不同防御方法的性能。

實驗所用數據來自于KDD99入侵檢測數據集。由于數據量大，選取數據集中的部分數據進行測試，抽取了4種典型的攻擊數據作為實驗數據，4種異常類型分別是：拒絕服務攻擊(DOS)、來自遠程主機的未授權訪問(R2L)、未授權的本地超級用戶特權訪問(U2R)、端口監視或掃描(PROBING)，本實驗選擇的攻擊包含了攻擊的四大類。如表1所示。

表1 攻擊數據

2.2 結果與分析

基于上述實驗準備，調整網絡測試儀的參數，以防火墻開啟狀態下的丟包率為對比指標，控制計算機發送恒定大小的數據包，測試時間為40 min，不同方法控制下計算機防火墻丟包率測試結果，如圖6所示。

分析圖6可知，控制計算機與網線直連的情況下，防火墻的丟包率應在0.2%左右，以此作為算法性能對比標準，按照如上表所示的測試結果可知，在方法1控制下數據包丟失最嚴重，說明該方法在網絡攻擊下能夠實現的關聯性規則數量較少，防御效果不明顯。方法2和方法3控制下的數據丟包率數值較方法1小，說明與方法1相比，方法2和方法3得到的防御關聯性規則更多，具有一定的防御效果。而文中研究的防御算法丟包率最小，可以實現的防御關聯性規則最多，丟包率保持在0.2%左右，說明該算法的防御效果最好。

使用上述測試中的配置，分別測試不同防御方法在計算機中的響應時間，具體包括：啟動防火墻、添加規則、點擊瀏覽、顯示電力系統入侵事件詳細信息、切換主界面等內容，匯總算法在計算機中的主要操作，統計算法實現單次操作的響應時間，結果如表2所示。

由表2各個操作對應的響應時間可知，由于網絡攻擊導致電力系統產生了不同程度的堵塞，不同方法控制下表現出了不同的響應時間，其中，方法1的平均響應時間最長，方法2和方法3的響應時間均高于所提算法，本文算法的最低響應時間僅為0.1 s，說明該算法的時效性更強，適合在電力系統防御中使用。這是由于該算法在建立入侵響應映射時，將防御映射響應變成一個可持續釋放的過程，減少防御過程中不必要的響應，以此縮短了防御所需時間。

網絡吞吐量是衡量電力系統應用效果的主要指標，將其作為指標比較不同方法的應用效果，結果如圖7所示。

圖7 不同方法下網絡吞吐量對比

分析圖7可知，在不同數據流下，所提算法的吞吐量明顯高于現有方法，在相同條件下，本文算法的網絡吞吐量最高值達到了800 Byte/s以上，充分驗證了該算法的應用性能。

3 總結

入侵防御是現今電力系統安全的重要研究方向，研究在網絡攻擊下電力系統混合入侵防御算法可以增強電力系統的安全，解決傳統防御算法存在的不足。本文針對網絡攻擊下的電力系統混合入侵防御進行了一定的研究，主要工作有以下幾個方面：

(1) 根據不同頻率類型的入侵數據，利用復雜映射決策模型建立入侵響應映射，能夠有效防御不同頻率入侵數據的攻擊;

(2) 通過建立入侵響應映射將防御映射響應變成一個可持續釋放的過程，縮短了防御時間，減少防御過程中不必要的響應，進一步縮短了響應時間;

(3) 根據入侵數據頻率變化規律，采用聚類算法將不同頻率狀態下無標簽入侵數據進行劃分，使入侵防御更具有針對性，進而使數據丟包率降低。

該算法沒有確定電力系統中的有效性指標，也沒有得到建立可量化的參數，建立的防御機制還存在一定的不足，仍需不斷地研究改進。