多源大規模電網的多階攻擊風險感知量化和防御技術

駱晨,馮玉,吳凱,周建軍,吳少雷,郭小東

(1.國網安徽省電力有限公司電力科學研究院,合肥 233011; 2.國網安徽省電力有限公司,合肥 233011)

隨著配電網的日益普及,涉及的端用電用戶范圍越來越大,當前對電網故障感知的準確性和實時性也有了更高的要求,目前的傳統電網已經無法應對當前不斷增長的電力需求。因此電網目前正進行著新型電力系統建設和發展的根本性變化[1],尤其是數字化引入互聯網通信技術[2]。在這一轉變中出現的范式變化的主要特點是利用額外外部數據,進行多源數據融合輔助分析,從而實現電網組件的遠程可控集成和準確電網態勢分析。然而,電網部門中信息和負荷側網絡端數據之間的融合探索將導致新威脅格局的出現,從而帶來了新的網絡安全挑戰。

對于數字化的電網運營,這種新的威脅形勢帶來了新的事件風險[3],可能導致嚴重的破壞性后果[4]。在傳統電網中的一般的安全措施中,大部分以通信數據加密以及簡單的訪問權限控制來避免電網外部攻擊的發生,用以增強網絡安全的預防性安全概念[5],例如,文獻[6]中設計的安全設計原則,包括加密、訪問控制和網絡分段。而這樣從上述傳統的、被動性的、特定領域的角度(例如所涉及的基礎設施的通信或進程級別)來保護和監控系統已經是不夠的。

同時由于電網的攻擊方式越來越多樣化和智能化。電網環境中對電力系統的攻擊逐漸趨向于系統化和多階段化,文獻[7]也提及現代攻擊趨向于使用協議、身份驗證過程和系統模塊化中的弱點進行攻擊。因此為了獲得系統的完整態勢感知,文獻[8]通過檢查可能的攻擊痕跡的指示來防范電網攻擊;文獻[9]驗證來自不同組件的攻擊指標的上下文相關性來檢測高級攻擊;文獻[10]則檢查網絡的不同域來判斷攻擊流程,特別是處理關鍵數據流[11],以及隨時間展開的時間發展[12]。但上述這些方法也都局限于攻擊流的相關性來感知電網系統態勢,而電力系統需要進一步詳細和動態的風險量化來區分應對這些攻擊。

同時極具威脅性的攻擊也伴隨著多種迷惑性的次要攻擊,所以事件相關性和完整性檢查是也檢測復雜攻擊的必要過程[13]。因此除了利用被動的安全措施以外,其中檢測性防御措施是必不可少的[14],入侵檢測系統等檢測措施旨在檢測攻擊的早期指標[15],可用于監控網絡的網絡安全態勢[16]并為確定適當的響應提供基礎和補救措施[17]。

因此,現基于引入網絡端數據的多源大規模電網攻擊風險感知中帶來的新的網絡安全挑戰,提出一種電網節點安全態勢自動化感知模型來系統地處理大量跨域信息和關聯各種網絡情報,以正確評估情況,為了彌補傳統通信級別加密算法的被動安全性,提出一種基于神經網絡節點主動安全狀態感知的智能系統,縮小攻擊分析搜索范圍;同時為了應對多樣化的電網攻擊方式,在主動攻擊節點檢測的基礎上嵌入動態風險量化模塊來細化區分電網所受到的攻擊,進一步在處理高級多階段攻擊的挑戰下,結合電網節點量化風險分析結果,基于上下文的跨域關聯框架,檢測到具有最可能風險的路徑和查殺鏈步驟,來執行查殺決策,避免錯過最具威脅性的高級攻擊。

1 方法概述

本文框架的核心概念追求基于攻擊的觀察和結構建模重構網絡攻擊的傳播行為和預期策略的目標,如圖1所示。主要由3個組件構成,第一部分為基于人工神經網絡的電網網絡攻擊檢測,以此來識別節點中不良的數據以及當前狀態是否遭受網絡攻擊,在網絡攻擊檢測模塊之后,事件相關器在攻擊者可以執行的一組給定的已知可能操作的上下文中使用組合規則,根據預處理的攻擊指標確定可能的攻擊操作。之后通過第二個攻擊風險量化模塊,該模塊可以在所有組件中可用的防御措施已知后持續重新評估系統風險,并在所有系統組件部署和運行時持續更新評估的風險,來細化區分電網所受到的攻擊。識別所有可能執行的攻擊動作的過程之后是查殺鏈策略相關器,它根據組合規則在已知攻擊圖的上下文中執行識別可能路徑的分析。在分析的上下文中,考慮檢測到的攻擊動作的量化質量值和攻擊圖的邊緣是根據當前觀察確定可行攻擊策略的一部分。在關聯過程之后,觸發殺傷鏈識別組件進行分析,以根據結果確定最可能的攻擊路徑和相應的圖表。在此步驟中,確定與識別的攻擊路徑結構相關的相應殺傷鏈步驟。在生成攻擊動作、圖形和路徑之后,后處理組件對結果進行更高級別的處理。圖1顯示了核心模塊及其功能的簡化概述。在以下部分中,將更詳細地介紹和討論上述過程的設計。

圖1 引入網絡端數據的多源電網節點安全態勢自動化感知以及多階段攻擊風險量化和防御技術框架

2 模型與算法分析

本文具體模型算法分為基于人工神經網絡的電網網絡攻擊檢測模塊、攻擊風險量化模塊、查殺鏈策略相關模塊三部分,模型流程如圖1所示,三部分原理實際算法過程如下。

2.1 電網網絡攻擊檢測

在提出的電網網絡攻擊檢測神經模型中,如圖2所示,最開始是完成電網節點狀態估計,同時電網中的不良數據由損壞數據檢測器(bad data detector,BDD)識別。然后是狀態特征由離散小波變換(discrete wavelet transform,DWT)提取,之后利用節點狀態特征人工神經網絡(artificial neural network,ANN)技術就會檢測到電網中是否存在攻擊。通過這種方式,所提出的神經模型提高了網絡攻擊檢測的準確性。因此電網中檢測網絡攻擊的主要過程涉及3個階段,包括狀態估計、特征選擇和檢測。

電網節點狀態測量數據是從電網主控系統匯總的,在該系統中,電網的狀態通過利用從傳感器收集的數據(如幅度和母線電壓角)來監控。狀態變量是根據儀表測量值估計的。在電力控制中心獲取狀態變量的過程稱為“狀態估計”。

測量向量j∈Rw,而狀態向量g∈R2y-1,其中R為實數集合,用于表示電網狀態變量的取值范圍。w表示測量向量j的維數,即電網節點狀態測量數據的數量或者傳感器收集的數據量。y表示上游或下游電網中節點的數量或者電網的規模,y可以被理解為電網中節點的數量。狀態相位角為θa,其中a∈[2,y],a表示電網中的節點編號;電壓幅度為Va,其中a∈[1,y],w≥2y-1,在該場景中,w≥2y-1,這是因為狀態向量g的維數為2y-1,所以測量向量的維數必須至少等于狀態向量的維數,以確保足夠的信息來進行狀態估計。j和g之間的關系為

j=h(g)+n

(1)

式(1)中:h為狀態向量g與測量向量j之間的映射或轉換函數,將電網節點狀態的估計值轉換為實際的測量數據;n為具有方差的高斯噪聲σ2。

總線a的功率注入(實際功率)為

(2)

(3)

(4)

(5)

式中:Rlab和Imab分別為線路阻抗的實部和虛部;θab為母線a和母線b之間的相位差;Va為母線a的電壓;Vb為母線b的電壓;Pa(real)為總線a的有功功率;Qa(reactive)為總線a的無功功率;Pab(real)為母線a和母線b之間的實際功率差;Qab(reactive)為母線a和母線b之間的無功功率差。

進行電網節點狀態向量估計,遵循文獻[18]中提出的3個假設:①相位差很小;②串聯電阻和并聯電納被忽略;③所有總線的固定電壓為 1 p.u.。基于上述假設,式(4)可以寫成

Pab(real)=Imabsinθab?Imab(θb-θb)

(6)

(7)

j=Hg+n

(8)

式中:H∈Rw×y為定義狀態和測量之間關系的雅可比矩陣;ζ為每條總線的集合。

(9)

式(9)中:D為具有元素的對角矩陣Daa=σ-2。

(10)

式(10)中:Rs為惡意數據篡改后的測量殘差的L2范數。

入侵者的主要目的是對狀態變量進行某些更改,這是通過改變負載來執行的。通過使用電力系統的知識,入侵者可以通過在觀測到的測量值ju=j+u上使用攻擊向量u=He將惡意數據注入電表測量值j中。例如,如果攻擊是通過修改狀態變量g2來使用 6% 的攻擊注入,則攻擊向量e是使用方程式(11)生成的:

e=[0,0.06e2,0,…,0]

(11)

從而利用該方法得到攻擊向量u=He。

若檢測到無虛假數據攻擊,則進行后續的狀態特征提取進一步分析,在特征提取步驟中,使用 128 個特征對電網事件進行分類。這里,116 個特征是從4個相量測量單元獲得的,其余 12 個特征是通過集成繼電器和 相量測量單元獲得的。從相量測量單元獲得的特征包括電壓的相位角、電壓的相位幅度等,而繼電器日志、snort警報和控制面板日志等 12 個特征是通過集成繼電器和相量測量單元獲得的。DWT 將輸入信號分解為小波系數。

通常,小波ψq,p(t)是使用等式(12)從母小波ψ(t)推導出來的。

(12)

式(12)中:ψ表示母小波,它是離散小波變換的基本函數,用于分解信號。母小波ψ(t)用于推導離散小波系數。p和q分別為移位和縮放因子。

(13)

式(13)中:q0=2和p0=1。

然后使用式(14)變換原始信號x(t),即

(14)

式(14)中:ψ*b,r(t)為離散小波的復共軛。

(15)

式(15)中:ψb,r(t)為離散信號處理中的基本函數離散小波函數,用于分解信號,并和ψ*b,r(t)互為共軛復數;a0表示初始縮放因子,其值為默認為1,用于作為尺度縮放因子。

在頻譜級,信號x(t)使用方程式(16)分解為多分辨率,即

(16)

(17)

人工神經網絡是人腦中神經元行為所采用的一種眾所周知的分類技術,其結構如圖3所示。人工神經網絡包括大量稱為節點的獨立組件。

圖3 利用人工神經網絡進行網絡攻擊分類的結構

ANN分類由兩部分組成:①訓練階段來更新權重;②測試階段。測試階段使用測試數據確定分類的準確性。輸入層的輸出由方程式(18)確定。

(18)

式(18)中:Vx為輸入;By為隱藏層的偏差值;Wtxy為輸入層和隱藏層之間的權重。

隱藏層的輸出的計算公式為

(19)

最終輸出計算公式為

(20)

式(20)中:Wtyn為節點y和節點n之間獲得的權重;Bn為偏差值;fy為作用于節點y的神經網絡激活函數。

2.2 節點攻擊風險量化

本文的電網系統定量風險評估方法通過始終評估運行中系統的安全狀態來促進在開發時評估的風險的早期更新。該方法將不同系統組件在所選基礎設施中部署的影響以及防御和攻擊的當前狀態集成到風險計算中,因此持續的風險評估被提供。

持續風險管理涉及識別和初步評估系統資產的風險,然后持續監控風險嚴重程度的演變。這意味著在系統運行期間對設計階段確定的風險屬性的狀態進行持續評估,以便可以根據實際發生的攻擊或其癥狀以及部署的防御狀態調整風險級別。

圖4顯示了在電網中系統地執行持續風險管理的迭代過程。整個過程包括3個主要步驟。

圖4 基于攻擊防御樹的持續量化風險管理流程

(1)系統 ADT(attack defense tree)建模,系統安全分析師在其中創建代表潛在攻擊防御場景的系統 ADT。

(2)對系統 ADT 的風險量化評估,包括通過將風險屬性值設置到代表可能的攻擊和所需防御的樹葉節點。

(3)基于風險的防御優化,根據不同的約束組合選擇系統保護,例如在有限的安全預算下最小化系統風險,執行查殺鏈決策。

本節專注于節點的系統 ADT 建模和風險量化過程,第一步就是系統攻擊防御樹的建模,其中包括創建 ADT 模型,捕獲針對系統的潛在攻擊場景以及可用于對抗攻擊的相應防御控制。在本節中,解釋了構建代表系統不同攻擊場景的 ADT 的提出方法,以及如何將它們集成到單個系統 ADT 中,從而能夠評估整體系統風險。在該方法中,復雜復合系統的特性通過從系統 ADT 派生出與每個系統資產相對應的一組攻擊事件和控制來解決,因此以后可以對特定資產或組件進行風險分析。

按照分層攻擊建模方法,對于設想的每個攻擊防御場景,都會創建一個 ADT,其中高級潛在威脅由根節點表示,根節點被分解為由中間節點表示的低級威脅。樹葉是攻擊者的行為,它們利用系統資產的特定漏洞,因此不可進一步分解。一般而言,針對系統資產(組件)的攻擊行為取決于組件的性質、類型、接口等。系統開發人員為抵御外部攻擊行為而采取的防御或保護措施與下層的攻擊事件相關聯。圖5描繪了攻擊防御樹(attack defense tree,ADT)結構,其中攻擊由紅色橢圓表示,對策(防御)由綠色矩形表示。攻擊目標細化關系繪制為節點之間的實線,而防御通過虛線連接到反擊攻擊。從父節點到子節點的兩種類型的細化(所有相同類型)是可能的:①合取細化(AND);②析取細化 (OR)。

圖5 攻擊防御樹(ADT)的一般結構

從圖5中可以看出,ADT 的樹結構有助于推理攻擊子目標是集體的(由 AND 運算符在父節點中連接的連接子目標)還是有助于實現父目標的實現(分離子目標)。由 OR 運算符在父級中加入的目標)。類似地,ADT 說明了防御是共同促成父對策機制(由父項中的與門加入)還是替代解決方案(由或門在父級中加入)。這將允許定量表達:① 攻擊事件對系統風險嚴重性級別的貢獻,以及 ② 防御性控制對威脅緩解和風險嚴重性級別降低的貢獻。

在 ADT 中對防御進行建模時,首先需要對系統內部組件進行自我評估,以便了解哪些保護已經實施,從而消除一些潛在的損害。在這些情況下,潛在的攻擊應該與資產中實施的防御一起表示為一個樹節點。

對于大型復合系統或已經建模了許多單個 ADT 的系統,構建統一的系統 ADT 可能會導致樹結構過大,其可視化不再容易,因此,建議將單個 ADT 的集合一起維護使用簡化的系統 ADT,其根節點將所有單獨的析取 ADT 的根節點作為子節點,通過它們之間的 OR 關系聚合。

第二步就是對系統 ADT 的風險定量風險分析,用提出的風險屬性的估計值描述系統 ADT 中的攻擊事件和防御。一旦定義了葉節點的屬性值,就可以通過將這些值傳播到樹根節點來獲得 ADT 上的不同度量。

在本文方法中,利用文獻[19]中使用的基于三屬性的風險評估,因為它有助于分析為最小化系統風險而采用的防御策略的成本效益:

(21)

式(21)中:i為針對系統的一組T個威脅中的每個威脅或潛在攻擊,即i∈[0,T];Pi為攻擊成功的概率;Ii為攻擊對系統;Ci為攻擊的成本。

將這3個屬性的值與得到的風險值一起,建立一個風險屬性向量{Pi,Ii,Ci,Ri},Ri是使用等式(21)評估的風險嚴重性。要注意公式中操作數的單位和潛在值范圍,以便由此產生的風險水平是有意義的。成功發生概率值落在[0,1]區間,而影響值通常在0～10,0表示沒有影響,10表示對系統的影響最大。可能性為 0 或影響為 0 的威脅不值得考慮風險。

在電網系統中,從第三方服務提供商處使用一項或多項服務,如運營商網絡端數據支持,建模的攻擊場景需要包括對這些外包資產的攻擊事件以及潛在的應對措施。在這些情況下,也有必要對這些攻擊事件和防御的風險屬性進行初步估計。在運行過程中對系統服務的狀態、防御和攻擊征兆進行持續監控,可以細化攻擊事件節點和各自防御中的風險屬性向量{Pi,Ii,Ci,Ri}。

當在 ADT 中為葉節點攻擊添加防御時,被反擊攻擊給系統帶來的風險會被防御的風險緩解有效性所修改,反之亦然,當攻擊事件被建模為針對 ADT 中的防御時,其防護效果減弱。因此,ADT 中的防御作為攻擊的對策,反之,攻擊作為防御的對策。因此,如果將這種情況概括為 ADT 的支持者(攻擊者)和反對者(防御者)的角度,則需要一種計算被對抗節點風險屬性的方法。表1 給出了用于評估被相反類型節點對抗的節點的規則。

表1 ADT中對抗節點的風險向量評估規則

如表1所示,當一個被反擊的節點的保障措施成功時,其成功率會降低。因此,被反擊節點的成功概率可以計算為該節點的成功概率乘以反措施的失敗概率(即1減去反措施的成功概率)。

2.3 最大風險路徑傳播和查殺鏈策略執行

在這個階段,為了量化評估系統被攻擊的風險,需要計算系統ADT中“攻擊系統”的根節點的風險屬性向量。為此,需要一種自下而上的傳播算法,該算法將風險向量從葉節點向上傳播到邏輯樹層次結構。

在本文方法中,通過假設最壞的情況來采取自動化領域初步的安全與保障流程[20]的原則,在這種情況下,聰明的對手會智能地應用所有可用資源來攻擊系統。只要AND操作數和 OR 操作數在評估來自其子級的風險屬性時的行為,該假設就會影響ADT中的風險自下而上傳播規則。

與AND節點相關的風險是以子節點的努力之和來計算的。也就是說,雖然父節點的可滿足性(成功概率)要求所有子節點都得到滿足,但父節點的成本是子節點的成本之和,而且父節點的影響也是子節點影響的總和。在影響的情況下,提出的公式是Edge等[21]的公式,它適應了這樣一個事實:在大多數情況下,一組成功行動對系統的影響大于單個事件的總和。父OR節點的風險是與其后代相關的風險的最大值,因為聰明的對手會選擇實施成功概率較高的攻擊,并在實施攻擊的支出方面產生最高的損害。

查殺鏈識別模塊則負責確定整個攻擊的置信度,并據此根據之前的相關結果,識別出代表攻擊活動的最佳結果對。因此,分析主要基于找到一對最優的攻擊圖和路徑,這些攻擊圖和路徑根據質量函數值被表征為最可信和最合理的結果對。特別地,質量函數的值被連續地與預定義的閾值和限制進行比較,這些閾值和限制表示被認為是感興趣的結果的最小置信水平。因此,攻擊圖和路徑對的相應合理性和置信度值用于這些比較任務中的截止過程。

使用選定的成對結果集,檢查最可信的路徑是否包含在將形成最優解的最可信的圖中。因此,在這個過程中確定的攻擊策略由最優解中包含的攻擊圖定義。因此,攻擊的殺傷鏈階段由包含在最優解路徑中的階段含義決定。路徑中包含的攻擊節點的最后一個殺傷鏈階段代表攻擊者所處的當前階段。

關聯過程的最終輸出包括檢測到的攻擊行為和策略、攻擊者最后感知到的殺傷鏈階段以及檢測到受感染的主機列表。因此,該模型提供的結果可確定是否攻擊發生在一定的時間范圍內(由可用輸入和假設的指標相關性定義)、攻擊的發展過程(由攻擊路徑決定)和遵循的策略(由攻擊圖定義)。此外,還確定了相應的階段(檢測到的殺傷鏈階段)和參與攻擊的主機(按攻擊動作列出的受感染主機)。

3 實驗分析

對提出方法性能的評估基于通過衡量系統正確識別電網網絡中受感染主機的能力或攻擊者執行的操作來深入了解系統能力的標準。此外,該標準確定系統是否能夠正確識別已知的攻擊策略以及當前在其中執行的查殺鏈階段。因此,有3個主要標準來評估攻擊檢測方法的性能:①檢測網絡中受攻擊的節點準確率;②檢測到的攻擊者行為的風險度;③查殺鏈策略執行有效率。

首先評估攻擊檢測模塊在電網中檢測網絡中受攻擊的節點準確率。然后將評估結果與 ERT[19]、GA[22]、IF[23]、SOS[24]、AGWO[25]、KHO[26]和 MEHO[27]等主流技術進行比較。評估結果在公開的電力系統攻擊數據集進行,其中包括正常和受損測量。該數據集包含從電力網絡收集的37個不同事件。37個事件分為自然事件、無事件和受攻擊事件。在這里,80%的數據用于訓練,剩下的20%用于測試提出的攻擊檢測模塊。模型的性能使用接收者操作特征(receiver operating characteristic,ROC)指標進行評估。

如圖6提供了提出的攻擊檢測模塊和現有技術獲得的 ROC 曲線。通過確定真正例率(true positive rate,TPR)和假正例率(false positive rate,FPR)繪制ROC曲線。將“正常攻擊”識別為“受損”稱為 FPR,而將受損數據正確識別為“受損攻擊”稱為 TPR。ROC 曲線接近 1 表示更好的結果。因此,對于公開的電網攻擊檢測數據集,由本文提出方法的準確檢測,從ROC 曲線可被證明具有更好的結果。

圖6 本文攻擊檢測模塊和現有技術的ROC曲線比較

其次為了評估本文模型的攻擊者行為的風險度量化程度,由于篇幅限制和為了簡化攻擊風險量化,構建一種“竊取電網數據”的簡化ADT,這個ADT是由3個析取ADT組成,“在數據源盜取”、“在交換節點盜取”和“在數據庫盜取”通過OR關系連接起來,這表明了3種潛在的獨立的數據竊取方式通過在捕獲數據時在組件之間傳輸,或存儲在數據庫中利用系統漏洞來獲取數據。

通過本文的攻擊風險量化模塊,得到表2包含與“節點查殺之前的風險向量”對應的列中顯示的攻擊事件的初始估計風險向量以及執行節點查殺鏈之后的風險向量,其中攻擊事件中使用的符號是Ati。所有具有 0.6～1的高概率和 6～10 的高影響的攻擊事件都屬于關鍵高風險攻擊。

由所提出的風險向量傳播方法,推導出了“竊取能量數據”主要目標的成功概率、對系統的影響以及總體攻擊成本。在 ADT 根節點中生成的風險向量為 {0.05,4.32,2.8,0.08},其中風險值 0.1 給出了在估計所有節點查殺防御措施的有效性后系統風險暴露的度量。將該向量與在沒有節點查殺對策的根節點中評估的風險向量 {0.61,8.7,7.6,0.7} 的比較(當所有節點查殺的概率設置為0時)提供了所實現的風險降低了0.62點意味著,通過應用系統 ADT 中建模的所有查殺鏈防御措施,相對于不實施任何防御措施,可以實現 88.57% 的風險最小化。

最后驗證攻擊路徑節點查殺鏈執行模塊,由圖7可看到,查殺鏈識別的可靠性高度依賴于攻擊策略的正確識別。當一個已知的攻擊圖被正確識別時,殺傷鏈階段也在超過 98% 的案例中被正確確定執行。如果攻擊策略沒有被正確檢測到,相應的節點查殺鏈執行檢測就不太可靠,節點查殺鏈執行錯誤執行率有9%。

圖7 在隨機生成攻擊和無電網攻擊測試下受到攻擊的檢測率以及被攻擊節點查殺策略執行有效率

4 結論

隨著電網的規模逐漸擴大,為了防止不斷發展的電力網絡中的潛在攻擊和漏洞,加強對安全和隱私機制的額外研究的需要,被動緩解和對策需要準確和情景描述的攻擊活動檢測能力,不僅僅只能從依賴于通信的過程方面了解攻擊發展過程。因此本文提出了一種電網節點安全態勢自動化感知模型來系統地處理大量跨域信息和關聯各種網絡情報,以正確評估情況,并得到以下結論。

(1)提出了一種基于神經網絡節點主動安全狀態感知的智能系統,彌補傳統通信級別加密算法的被動安全性;并且通過實驗分析證明該方法檢測網絡中受攻擊的節點能達到較好的準確率。

(2)為了應對多樣化的電網攻擊方式,在主動攻擊節點檢測的基礎上嵌入動態風險量化模塊來細化區分電網所受到的攻擊,量化了攻擊風險。

(3)進一步在處理高級多階段攻擊的挑戰下,結合電網節點量化風險分析結果,基于上下文的跨域關聯框架,檢測到具有最可能風險的路徑和查殺鏈步驟,進一步了解攻擊的演變、所收集信息的質量、攻擊對關鍵資產的影響、攻擊者在事件中的行為以及未來可能的發展,來執行查殺決策,實現了對電網網絡安全的上下文關聯感知和輔助防御決策執行。