配電自動化系統(tǒng)安全管理模型研究

黃慶祥,王 堅,萬文承,徐 杰

(武漢供電設(shè)計院有限公司，湖北 武漢 430000)

0 引言

近年來，計算機、網(wǎng)絡(luò)、通信、大數(shù)據(jù)、物聯(lián)網(wǎng)[1-2]等技術(shù)為配電自動化系統(tǒng)[3-5](distribution automation systems，DAS)的發(fā)展奠定了基礎(chǔ)。然而，DAS建設(shè)規(guī)模及其應(yīng)用需求的擴大增加了系統(tǒng)遭受網(wǎng)絡(luò)和物理攻擊的風險。

目前，國內(nèi)外大量學者對DAS中的安全防護[6]進行了研究。確保DAS的安全已成為自動化行業(yè)的關(guān)鍵挑戰(zhàn)。為了降低損失，安全技術(shù)人員可以通過對攻擊進行合理的定量評估，以及對DAS中每個部分的攻擊概率進行評估，以提前采取防御措施。同時，這些攻擊量化結(jié)果也可以為安全技術(shù)人員實施DAS防御系統(tǒng)提供重要參考。文獻[7]提出一種融合可信計算和數(shù)字證書技術(shù)的配電終端安全防護方法，有效降低了惡意入侵以及業(yè)務(wù)交互數(shù)據(jù)被非法截獲、篡改的風險。文獻[8]根據(jù)配電網(wǎng)主站的集中式調(diào)控功能，深入分析通信異常對系統(tǒng)故障處理過程的影響，構(gòu)建了考慮信息傳輸失效的系統(tǒng)可靠性評估模型。文獻[9]研究了一種新的配電自動化故障智能檢測方法，依據(jù)零序電壓和電流夾角等因素來確定配電自動化系統(tǒng)的故障發(fā)生位置。然而，大部分評估方法沒有對攻擊者在攻擊概率量化方面進行研究。此外，大部分防護措施主要基于網(wǎng)絡(luò)攻擊，很少有研究涉及物理攻擊。同時，部分方法缺乏完整的攻擊過程識別方法，分析攻擊路徑的能力不足。

為了解決上述問題，本文提出了一種從攻擊者行為的角度量化對DAS的攻擊的模型。同時，本文結(jié)合攻擊樹(attack trees，AT)模型中節(jié)點攻擊概率量化算法計算攻擊概率，以提高對DAS攻擊的預(yù)測準確率。

1 系統(tǒng)設(shè)計

DAS具有終端數(shù)量多、架構(gòu)復(fù)雜度高、靈活性差等特點[10]。根據(jù)DAS的功能特點和安全防護要求，系統(tǒng)對網(wǎng)絡(luò)攻擊和物理攻擊進行嚴格防護。本文所提DAS安全體系結(jié)構(gòu)如圖1所示。

圖1 DAS安全體系結(jié)構(gòu)Fig.1 DAS security architecture

圖1所示的DAS安全體系結(jié)構(gòu)包含四個主要部分，分別為生產(chǎn)控制區(qū)、管理信息區(qū)、安全接入?yún)^(qū)和配電終端。

生產(chǎn)控制區(qū)直接管理配電自動化系統(tǒng)的主站，并控制整個配電網(wǎng)的自動配電調(diào)度。該區(qū)域是DAS配送計劃和生產(chǎn)服務(wù)的核心，主要包括主站服務(wù)器、主站監(jiān)控計算站、主站傳輸單元控制器以及其他易受網(wǎng)絡(luò)釣魚、分布式拒絕服務(wù)攻擊和物理攻擊的設(shè)備[11]。

管理信息區(qū)的通信方式主要基于公網(wǎng)通信。該區(qū)域通過隔離裝置連接到生產(chǎn)控制區(qū)域，從而實現(xiàn)大量數(shù)據(jù)存儲，因此對Web數(shù)據(jù)安全性要求比較高。

安全接入?yún)^(qū)包括無線網(wǎng)絡(luò)、采集服務(wù)器集群，以及傳輸命令和收集終端數(shù)據(jù)的前端設(shè)備等，為DAS實現(xiàn)智能配電和優(yōu)化操作提供支持。作為連接配送網(wǎng)絡(luò)核心和終端信息交換的紐帶，該區(qū)域面臨諸多安全風險，如攻擊者可以利用終端作為跳板，通過無線網(wǎng)絡(luò)執(zhí)行入侵或攻擊。

配電終端主要通過光纖與主站遠程通信。該部分設(shè)備距離配電核心設(shè)備很遠，是DAS中的最小功能單元，主要為配電自動化系統(tǒng)供電。因此，該區(qū)域也是系統(tǒng)最容易受到攻擊的地方。

2 DAS攻擊量化算法

為了應(yīng)對DAS安全體系結(jié)構(gòu)中可能發(fā)生的各種安全攻擊，本節(jié)提出了一種基于AT的DAS攻擊概率量化模型。AT的每個葉節(jié)點代表對DAS安全體系結(jié)構(gòu)的某個組件的攻擊。AT中每條攻擊路徑的最大概率將基于通用漏洞評分系統(tǒng)(common vulnerability scoring system，CVSS)進行評估。

2.1 DAS的AT模型

一般情況下，AT結(jié)構(gòu)中根節(jié)點代表攻擊的目標。基本AT模型如圖2所示。

圖2 基本AT模型Fig.2 Basic AT model

節(jié)點代表實施攻擊的手段。節(jié)點之間的關(guān)系包含以下三種情況。

①邏輯或(Or)：當兩個節(jié)點E1和E2中的任意一個滿足攻擊條件時，即可以到達攻擊目標。

②邏輯和(And)：當節(jié)點E1和E2同時滿足攻擊條件時，才可以到達攻擊目標。

③偏序(Order)：節(jié)點E1和E2滿足攻擊條件，且節(jié)點E1先于E2，才可以到達攻擊目標。

基于AT模型的DAS主要執(zhí)行過程如圖3所示。當AT建立時，首先對所有節(jié)點進行量化；然后，計算系統(tǒng)所有路徑中成功攻擊的概率；最后，通過計算得到攻擊路徑序列，且攻擊概率最大的路徑為最優(yōu)攻擊路徑。

圖3 基于AT模型的DAS主要執(zhí)行過程Fig.3 Main execution process of DAS based on AT model

2.2 CVSS

一般情況下，CVSS使用0～10的數(shù)值來量化系統(tǒng)漏洞嚴重程度，并且可以制定嚴格的攻擊指標，包括攻擊向量(attack vector，AV)、攻擊復(fù)雜性(attack complexity，AC)、認證、可用性、完整性和機密性索引。CVSS由三個基本分數(shù)指標組成：基本分數(shù)、時間分數(shù)和環(huán)境分數(shù)。其中，基本分數(shù)包括可利用性指標和影響指標，代表脆弱性本身的固有特征以及這些特征可能產(chǎn)生的影響。表1所示為CVSS基本分數(shù)的部分相關(guān)變量。評分情況可以確定漏洞所代表的攻擊概率。

表1 CVSS基本分數(shù)的部分相關(guān)變量

2.3 攻擊概率量化

為了量化整個DAS的攻擊概率，首先必須確定DAS中每個關(guān)鍵模塊(葉節(jié)點)的攻擊概率；其次，需要遍歷AT中的所有潛在攻擊路徑，從而計算每條路徑的概率，并確定最可能的攻擊路徑。基于CVSS特性，令葉節(jié)點的漏洞攻擊概率為Pa，則Pa計算式為：

(1)

式中：sb、st和se分別為基本分數(shù)、時間分數(shù)和環(huán)境分數(shù)。

需注意，sb是一個強制性選項，但st和se的指標分數(shù)是可選的。n表示時間分數(shù)和環(huán)境分數(shù)的數(shù)量。此外，基本得分包括可利用性子得分ses和影響子得分sis。

此外，ses與AV、AC、權(quán)限需求(privileges required，PR)、用戶交互(user interaction，UI)之間的關(guān)系可表示為：

ses=AV×AC×PR×UI

(2)

式中：AV為AV；AC為AC；PR為PR；UI為UI。

在計算單個節(jié)點的攻擊概率后，計算父節(jié)點成功攻擊概率的計算式基于And和Or這兩個節(jié)點。具體可分為以下兩種情況。

①對于And或Order節(jié)點，當前父節(jié)點G的攻擊概率可定義為子節(jié)點攻擊概率的乘積：

(3)

②對于Or節(jié)點，父節(jié)點G的攻擊概率可定義為子節(jié)點的最大攻擊概率：

Pa(G)=max[Pa(G1),Pa(G2),…,Pa(Gn)]

(4)

進一步，從葉節(jié)點到根節(jié)點的遍歷表示DAS中可能存在的攻擊路徑。基于And和Or節(jié)點的攻擊概率的計算，令攻擊特定路徑Sj={Gi|i=1,2,…,n}的目標節(jié)點為G，則成功攻擊的概率可計算為：

(5)

當Pa(Sj)較高時，成功攻擊的概率和系統(tǒng)的風險因素也較高。因此，整個系統(tǒng)的最大攻擊概率可以表示為：

Pa(S)=max[Pa(S1),Pa(S2),…,Pa(Sj)]

(6)

3 數(shù)值與分析

為了驗證攻擊概率量化算法的可行性和有效性，本節(jié)通過量化算法建立攻擊者模型。模型主要功能基于MATLAB2019A建立。其中，AT模型主要基于C++編寫，可根據(jù)接口完成調(diào)用。此外，為消除隨機誤差帶來的干擾，本研究共進行50次試驗，并選取每組試驗平均值作為最終測試結(jié)果。

3.1 試驗設(shè)置

為簡化試驗過程，首先對攻擊者的能力、狀態(tài)和DAS相關(guān)信息進行設(shè)定。令攻擊者可以從系統(tǒng)內(nèi)外的任何地方發(fā)起攻擊。基于攻擊者可能的最大攻擊行為，本研究采用以下假設(shè)。

①攻擊者了解DAS并掌握最新的DAS漏洞信息。

②攻擊者可以利用社會工程學(social engineering，SE)，通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，以有效地進行攻擊。

③攻擊者在攻擊之前獲得最小預(yù)期攻擊收益。

④有效攻擊通常包括多個子攻擊。

根據(jù)攻擊者的行為以及實際系統(tǒng)各個組件的所有漏洞和可能的攻擊狀態(tài)，基于AT模型的攻擊路徑如圖4所示。

圖4 基于AT模型的攻擊路徑圖Fig.4 Attack path graph based on AT model

樹中的每個葉節(jié)點代表對DAS安全體系結(jié)構(gòu)的某個組件的攻擊行為。當計算葉節(jié)點攻擊概率后，模型可從葉節(jié)點遍歷到根節(jié)點生成完整的攻擊路徑，同時根節(jié)點表示攻擊已到達G。根據(jù)攻擊類型的不同，DAS的入侵可分為通過分布式終端和信息管理區(qū)域的網(wǎng)絡(luò)攻擊(G1)和通過生產(chǎn)控制區(qū)域的物理設(shè)備的攻擊(G2)。當G1和G2上發(fā)生任何攻擊時，系統(tǒng)被有效攻擊并遭受損失。

AT模型中節(jié)點的定義如表2所示。

表2 AT模型中節(jié)點的定義

3.2 結(jié)果與分析

試驗中涉及的漏洞編號主要基于每個葉節(jié)點{Ei|i=1,2,…,11}的攻擊特征和DAS漏洞評估建立。同時，系統(tǒng)組件漏洞不是當前DAS中可完全利用的漏洞，而是同一類型的不同供應(yīng)商組件的漏洞。表3所示為DAS組件以及攻擊概率統(tǒng)計結(jié)果。通過表3可知，節(jié)點E7攻擊概率最高，而節(jié)點E6攻擊概率最低。

表3 DAS組件以及攻擊概率統(tǒng)計結(jié)果

在葉節(jié)點攻擊概率的基礎(chǔ)上，試驗可以通過組合方式計算每個攻擊路徑的概率。表4所示為攻擊路徑概率統(tǒng)計結(jié)果。通過表4可以看出，攻擊概率超過50%以上的路徑有兩個：其一為S2(E1,E3,G1,G)，攻擊概率為54.97%；其二為S4(E1,E5,G1,G)，攻擊概率為59.58%。

表4 攻擊路徑概率統(tǒng)計結(jié)果

3.3 交叉對比

本節(jié)將本文所提攻擊概率量化模型與Bayes模型進行比較。Bayes模型[12]是一種經(jīng)典的機器學習模型，可用來描述兩個條件概率的直接關(guān)系。表5所示為不同方法對比結(jié)果。

表5 不同方法對比結(jié)果

由表5可知，在評估路徑S2和S4時，本文模型比Bayes方法獲得更高的攻擊概率。在圖1所示的DAS安全體系結(jié)構(gòu)中，路徑S2和S4上的攻擊概率最高。本文所提模型和Bayes模型兩種方法得到的攻擊序列的概率結(jié)果略有不同，但S2和S4都是風險概率最高的攻擊路徑。這也驗證了本文模型的可靠性和有效性。另一方面，在S2和S4條件下，本文模型概率高于Bayes方法概率4.02%～6.11%。仿真結(jié)果表明，本文模型攻擊概率高于Bayes方法。試驗結(jié)果有助于安全從業(yè)者更加重視DAS危險組件的保護。綜上，攻擊者最有效的攻擊序列為S2和S4，相應(yīng)的攻擊方法為分布式拒絕服務(wù)攻擊和網(wǎng)站入侵。因此，DAS安全從業(yè)人員應(yīng)該花更多時間專注于防御這些相關(guān)的攻擊和系統(tǒng)漏洞。

4 結(jié)論

本文對配電終端及配電自動化中可能存在的隱私安全問題進行了研究與分析，提出了基于AT模型的DAS攻擊量化算法，從而確定DAS危險組件。首先必須確定DAS中每個葉節(jié)點的攻擊概率。其次，遍歷AT中的所有潛在攻擊路徑，從而計算每條路徑的攻擊概率，并確定最可能的攻擊路徑。本文模型可為DAS安全從業(yè)人員專注于防御相關(guān)的攻擊和系統(tǒng)漏洞提供一定借鑒。