基于隨機巡視機制的電力物聯網安全技術研究

李穎杰,黃勇光,包賢祿

(1.深圳供電局有限公司,廣東 深圳 518000 ; 2.南方電網深圳數字電網研究院有限公司,廣東 深圳518000)

0 引 言

隨著信息通信技術的飛速發展,物聯網技術在各個行業得到了廣泛的應用和推廣[1]。電力物聯網在電力生產、電力運維、電力服務等方面應用廣泛。然而,目前電網尚未建立容納大量終端訪問的物聯網安全防御系統,現有大多數電力物聯網都遵循傳統的信息系統安全體系[2]。因此,研究電力物聯網的安全技術具有十分重要的現實意義。

目前,國內外許多學者對電力物聯網的安全技術進行研究,并取得了許多優異的成果,但是關于如何檢測電力物聯網異常行為的研究卻很少。比如：文獻[3]提出了一種用于電力物聯網的技術標準體系,對電力物聯網的標準化要求進行了全面分類,形成了一個統一的、全面的技術標準體系。文獻[4]對窄帶物聯網的網絡安全技術進行分析,并與傳統物聯網進行對比,提出了一種跨層的窄帶物聯網安全框架。文獻[5]提出了一種基于知識圖譜的電力物聯網安全可視化技術。通過對內部和外部威脅情報進行建模,建立概念實體之間的關系,將復雜的警報信息轉換為直觀且易于理解的圖形信息。文獻[6]提出了一種基于國密SM9算法的強大的物聯網ID認證技術。 國密SM9算法云服務是通過集成云技術構建的,以保證從業務終端到云服務器的訪問,并確保整個服務鏈中的數據傳輸和信任安全性。在上述研究中還存在一些問題,如資源受限、能耗不平衡、異常行為不確定性等問題,需要進一步增強適應性。

文章在此基礎上,將隨機巡視機制應用于電力物聯網安全行為異常檢測方法。通過管理網絡節點的編號,為具有不同信譽值的節點設計了不同的隨機巡視頻率。通過仿真對比分析驗證文中方法的優越性。

1 電力物聯網安全技術

電力物聯網圍繞電力系統的各個方面展開,充分利用“大云物移智”等現代技術,實現電力系統的能源生產和消費方人、機、物的互聯互通,促進電網中的各環節和全電壓等級“能源-信息-業務”的集成提高了系統安全性和運營效率[7]。如圖1所示,電力物聯網的系統結構類似于傳統的物聯網,可以分為四個層：感知層、網絡層、平臺層和應用程序層。

圖1 電力物理網體系結構

電力物聯網不僅包括較多類型的設備,而且有更密集的網絡布局,因此對其安全威脅的因素又有很多[8]。電力物聯網安全技術主要包括訪問控制技術、入侵檢測技術、安全成簇技術等。

1)訪問控制的目的是僅對授權的合法用戶開放這些資源或服務[9];

2)入侵檢測是一種主動的安全保護技術,可以及時檢測和響應入侵;

3)安全成簇技術建立了基于“集簇”的分層拓撲,實現了數據融合,高效利用能源[10]。

文中從電力物聯網的高能效和低功耗出發,將隨機巡視機制應用于電力物聯網安全行為異常檢測中,圖2所示網絡模型的結構。

2 檢測方法

2.1 方案設計

檢測方法主要由異常行為檢測和隨機巡視機制兩部分組成。

假設匯聚節點或基站是絕對可靠的,具有很高的計算能力,并且不考慮能量消耗。在隨機檢測機制中,通過匯聚節點監測的通信行為計算信譽值,通過信譽值劃分巡視頻率。實現過程如圖3所示。

圖2 異常行為網絡檢測模型結構

圖3 總體實現過程

通過監測數據通信參數(完整性、傳輸速率和傳輸時延)對通信行為進行評估,通過通信行為計算節點信譽值[11-12]。隨機巡視機制進一步查找和管理節點。根據節點號檢測節點,獲取節點的信譽值,判斷是惡意節點還是異常節點。

2.2 信譽評估機制

文中選擇三種類型的節點通信行為參數,數據包完整性、傳輸速率和傳輸延遲,并對這三個行為參數進行統計量化。最后,建立節點異常通信行為的綜合評價值Sij,如式(1)所示[13]：

(1)

式中ω1和ω2分別為異常評估中的傳輸速率和傳輸延遲占比,0<ω2<ω1<1;Dij為傳輸速率;Tij為傳輸延遲;Pij=0為數據包已被篡改;Pij=1為數據包尚未被篡改。

基于此,設置節點通信行為的綜合評估閾值Sfz。 如果Sij

在文中使用節點的正常和異常行為數作為beta分布的二元輸入,通過計算概率分布的期望值,得到信任值的輸出[15]。

beta概率密度函數如式(2)所示[16]：

(2)

式中ρ為事件的故障率,值在0～1之間。

期望值如式(3)所示[17]：

(3)

通過擬合節點i關于節點j的正常和異常通信行為數beta分布,得到如式(4)所示節點信譽分布。

Xij=Beta(αij+1,βij+1)

(4)

式中αij和βij分別為節點i相對于節點j的正常和異常通信次數。

信譽值Rij如式(5)所示[18]：

(5)

根據節點的信譽值設置信譽閾值Rfz,如果Rij

2.3 隨機巡視機制

隨機巡視機制根據節點的通信行為計算信譽值,為了提高融合結果的準確性,需要過濾掉平均信譽值以下的節點,并保留其它節點輸出消息進行數據融合[20]。如果簇中存在m個節點,則該簇的數據融合結果U如式(6)所示[21]：

(6)

式中Ri為簇內成員節點的當前可信度值;Ui為簇內節點的輸出結果。當U和Ui之差比預設閾值大,可判定為節點在數據融合過程存在異常,否則可判定為正常通信[22]。閾值的設定取決于應用,其大小取決于電力物聯網環境和傳感器的種類。

為了使匯聚節點能夠同時檢測出正常節點和惡意節點,文中提出了統一劃分所有節點的信譽值,并提出了信譽值區間的概念。文中在信譽值0～1之間設置多級閾值,不同的信譽值區間如下所示[23]：

(7)

式中R1和R2分別為信用懷疑值和正常值;Rt為可信信譽值。

如果在一個通信周期內檢測到Rij≤Rfz,則確定該節點為惡意節點。系統會記錄傳感器id,將其放入黑名單,在網絡中剔除。若Rij≥Rt,則判斷該節點為可信節點,加入白名單。

匯聚節點基于不同置信值的區間確定節點的隨機巡視頻率,如式(8)所示[24]：

(8)

式中 ΔTf和tf分別為隨機巡視頻率和參考時頻;Mcm和Ncn分別為節點持續異常和正常節點的通信統計。

2.4 電力物聯網安全檢測算法

在電力物聯網安全技術的基礎上,提出了一種基于隨機巡視的電力物聯網安全行為異常檢測方法在均衡節點負載和能耗的同時,提高了異常行為的檢測率和惡意節點的識別率,在一定程度上延長了網絡生命周期。具體算法流程如下：

步驟1：根據LEACH-C對網絡節點進行聚類,網絡中5%的節點為簇頭節點,根據通信信號強度和臨近性分簇[25];

步驟2：節點間進行正常通信,簇頭節點融合簇內信息,根據U和Ui大小分析數據融合中的異常通信行為或異常采樣;

步驟3：簇頭節點數據融合完成后,對簇內的成員節點進行通信行為綜合評價(數據包完整性、傳輸速率、傳輸延遲),與預設值進行對比,判斷節點通信狀態,如異常,則β=β+1,否則為正常狀態,α=α+1;

步驟4：根據步驟3得到α和β,對節點的綜合信譽值進行計算并更新;

步驟5：在一個通信周期之后,系統開始進行隨機巡視,匯聚節點根據節點編號對節點進行檢測;

步驟6：保留上一步選擇的待檢節點,匯聚節點與簇頭節點進行通信獲取節點信息,檢測并更新節點信譽值。如果在一個通信周期內檢測到Rij≤Rfz,則確定該節點為惡意節點,否則為可信節點,進行下一次巡視;

步驟7：在上一步的的基礎上,提出了信譽值區間和隨機巡視頻率的概念,通過對信譽值區間進行劃分,不同信譽區間,隨機巡視頻率不同。檢測流程如圖4所示。

3 仿真結果與分析

3.1 仿真參數

為了驗證算法的性能和有效性,仿真使用NS2仿真平臺,具體的網絡仿真參數如表1所示。實驗中使用的計算機是Intel i5處理器,8G內存和WIN10系統。匯聚節點的位置是固定的,普通節點和惡意節點是隨機分布的。集頭節點的數量占總數的5%,惡意節點的數量占總數的10%。共有10個惡意節點,持續攻擊惡意節點5個,偽裝惡意節點5個。

圖4 檢測流程

表1 仿真相關參數

3.2 安全性能分析

為了評估該方法的安全性能,分析了網絡存活時間和網絡能耗兩個方面。在節點通信環境中,網絡中的正常節點存在兩種死亡現象。一種是能量耗盡,一種是惡意節點的攻擊。兩者都會影響整個網絡的存活時間。圖5所示文中方法和 LEACH-C 算法剩余節點數量的比較。

圖5中,LEACH-C協議的網絡路由沒有受到惡意節點的攻擊。可以看出,第一個死亡節點在400 s,網絡生存時間為532 s。文中方法的網絡生存時間為630 s,比LEACH-C協議長約18.42%。

圖5 節點剩余存活個數對比

文中方法的第一個死亡持續攻擊惡意節點出現在40 s中,使用文中方法在160 s內檢測出惡意節點并從網絡中刪除。第一個死亡的偽裝惡意節點出現在230 s,在310 s內文中方法檢測到這些節點并將其從網絡中刪除。正常節點的真正死區時間為480 s,這是因為節點的能量枯竭。

圖6所示文中方法和LEACH-C算法的網絡能量消耗對比。

圖6 網絡消耗性能對比

圖6中LEACH-C協議網絡路由加入惡意節點攻擊。可知,與圖5的LEACH-C 算法未受到惡意節點攻擊的網絡的生存時間相比,網絡死亡提前了約50 s左右。LEACH-C算法在受到惡意節點進行攻擊時的平均能耗為0.42 J/s,而文中方法的平均能耗為0.32 J/s,文中方法不僅能降低能耗,還能及時發現網絡中的異常行為,消除惡意節點。

3.3 惡意節點識別

為了驗證文中方法的性能,與文獻[26]和文獻[27]的算法進行比較。文獻[26]的方案提出了一種基于優化環境參數和時間可靠性序列的惡意節點識別模型。文獻[27]的方案基于自適應量度閾值確定機制來屏蔽無線傳感器網絡中的惡意節點。圖7所示多種方法識別的惡意節點數的比較。圖8所示幾種方法的惡意節點識別率比較。為了對比效果,選擇網絡中有10個惡意節點的測試環境。

圖7 不同算法惡意節點識別數對比

從圖7可以看出,文中方法比文獻[26]和文獻[27]先檢測到惡意節點,初期一直領先,中期短暫地被文獻[26]超過。在所有惡意節點的檢測時間上文中方法比文獻[26]的算法快約50 s,比文獻[27]的算法快約100 s,文中方法的誤檢測率比其他兩種算法低。

圖8 不同算法惡意節點識別率對比

從圖8中可以看出,文中提出的方法與文獻[26]和文獻[27]兩個算法的對比結果表明,當網絡的惡意節點的數量從5個增加到30個時,文中方法和文獻[26]及文獻[27]都出現識別率大幅下降現象,10個惡意節點時,三種方法識別率相同,但隨著惡意節點數的增加,超過15個節點時,文中方法識別率優于文獻[26]和文獻[27]算法。這是因為文中方法采用隨機巡視機制,根據信譽區間劃分不同的隨機巡視頻率,使得惡意節點的識別率高于其他兩種方法。因此,與其他檢測算法相比,文中方法對惡意節點或異常節點具有更好的檢測效率。

4 結束語

電力物聯網在智能電網的各個方面都發揮著巨大作用,針對電力物聯網安全保護技術,提出了一種基于隨機巡視的電力物聯網安全行為異常檢測方法。仿真結果表明,所提出的異常檢測算法在安全性和惡意節點識別上都優于傳統算法,能夠及時有效地檢測異常行為和惡意節點,降低網絡能耗。目前,由于實驗室硬件和數據規模的影響,基于電力物聯網的安全異常檢測方法的研究還處于起步階段。在此基礎上,不斷完善和改進將是下一步工作的重點。