基于SOAR的電力5G MEC安全解決方案

摘" 要： 5G技術與MEC技術的融合為電力行業的升級轉型提供了有力的支撐，但電力5G MEC采用了新型架構和部署，傳統的安全防護措施無法有效應對新環境下出現的各類安全威脅和挑戰。為此，提出一種基于安全編排自動化與響應技術的電力5G MEC安全解決方案。依據智能電網業務在接入的高開放性、異構終端連接的海量性、業務的低延時性和威脅處理的低干預性四個方面的安全需求特征，針對終端安全威脅、APP安全威脅、接入安全威脅和威脅處置不及時等問題，提出將SOAR組件引入5G MEC，實現威脅情報收集、安全事件響應編排和執行自動化；并設計云邊、邊邊協同的層級MEC部署方案，提供整體聯動的安全保障。仿真實驗結果表明，所設計的方案可以依據劇本快速靈活部署，反應時間短，可有效抵御常見攻擊。

關鍵詞： 智能電網； 5G MEC技術； SOAR； 安全威脅； 分級協同部署； 安全解決方案

中圖分類號： TN929.5?34" " " " " " " " " " " " " 文獻標識碼： A" " " " " " " " " " " "文章編號： 1004?373X（2024）10?0151?08

SOAR?based 5G MEC security solution for electric power

Abstract： The integration of 5G technology and MEC （multi?access edge computing） technology can provide strong support for the upgrading and transformation of the electric power industry， and a new type of architecture and deployment is applied in the electric power 5G MEC， and the traditional security protection measures can not effectively respond to all kinds of security threats and challenges that appear in the new environment. A security solution for electric power 5G MEC based on security orchestration automation and response technology is proposed. According to the security demand characteristics of smart grid services in four aspects： high openness of access， massive connectivity of heterogeneous terminals， low latency of services， and low intervention of threat processing， and in allusion to the problems of terminal security threat， APP security threat， access security threat， and untimely disposal of threats， SOAR components are introduced into 5G MEC to realize threat intelligence collection， security event response orchestration and execution automation. The cloud?side and edge?side collaborative tier MEC deployment scheme is used to provide overall linked security assurance. The simulation experimental results show that the scheme can be deployed quickly and flexibly according to the script， with short response time， and can effectively defend against common attacks.

Keywords： smart grid; 5G MEC technology; SOAR; security threat; hierarchical collaborative deployment; security solution

0" 引" 言

5G MEC（Multi?Access Edge Computing）是5G網絡中嶄露頭角的重要技術領域之一。它融合了5G移動通信和邊緣計算，為移動通信和應用提供了更高的性能和更低的延遲。目前5G MEC已逐步應用于生活的各個方面，如自動駕駛、工業自動化和智能電網等[1]。

智能電網作為我國“碳達峰、碳中和”的重要基礎設施支撐，其發展與“雙碳”目標緊密相連。推動智能電網建設可以有效提高能源利用效率，優化資源配置，促進可再生能源的發展，降低碳排放，提高供電可靠性以及促進節能減排。根據電力二次系統的特點，電力網絡劃分為生產控制大區和管理信息大區兩類。生產控制大區分為控制區（安全區Ⅰ）和非控制區（安全區Ⅱ），信息管理大區分為生產管理區（安全區Ⅲ）和管理信息區（安全區Ⅳ）。生產控制大區的業務類型主要包括配網差動保護、廣域同步向量測量、配網自動化及其三遙等，此類業務對安全性、時延和網絡接入要求嚴格，但對傳輸速率的要求不高。管理信息大區的業務類型主要包括視頻監控、電力應急、無人巡檢和充電樁檢測等，這類業務對時延和網絡接入的要求不嚴格，但對數據傳輸帶寬的要求高[2]。

5G MEC與智能電網的融合能夠滿足電網業務對時延、網絡接入和傳輸帶寬的要求，但隨之也帶來了新的安全威脅和挑戰，如APP安全威脅、終端安全威脅及接入網安全威脅，依賴傳統的人工干預與介入模式難以保證此類威脅處理的及時性和正確性。

安全編排自動化與響應（Security Orchestration，" Automation and Response， SOAR）的概念最早于2015年由Gartner提出，這是一種能夠整合各類安全數據，為安全運營團隊提供報告、分析和管理能力的平臺，具有安全事件響應、安全編排與自動化以及威脅與脆弱性管理的運營能力[3]。

本文提出一種基于SOAR的電力5G MEC安全解決方案，在MEC中引入SOAR，充分融合數據、工具、流程以及人的安全技能，從而達到電力5G MEC安全運營的目的。本文首先分析5G MEC與智能電網的融合場景下，電網業務在接入的高開放性、異構終端連接的海量性、業務的低延時性和威脅處理的低干預性四個方面的安全需求特征，以及由此帶來的終端安全威脅、APP安全威脅、接入安全威脅和威脅處置不及時等問題；其次，提出一種基于SOAR的電力5G MEC安全解決方案，將SOAR組件引入5G MEC，實現威脅情報收集、安全事件響應編排和執行自動化，并設計云邊、邊邊協同的層級MEC部署方案，提供整體聯動的安全保障；最后，基于W5 SOAR實現了電力5G MEC安全解決方案，并針對所面臨的兩類主要威脅進行測試，驗證了所提方案的可行性和有效性。

1" 相關工作

針對5G MEC的安全問題，文獻[4]研究MEC在5G中的安全問題和對策，介紹了在MEC和5G安全領域主要的研究機構和團體、5G應用所面臨的潛在問題和挑戰以及相應的技術解決方案。文獻[5]分析5G邊緣計算環境中的安全威脅，從網絡、MEC系統和應用、虛擬化三個角度探討了MEC所面臨的安全威脅，并介紹了應對此類安全威脅的技術。文獻[6]聚焦MEC的安全與隱私問題，指出了現有研究中對安全問題關注的不足，探討了MEC系統中的威脅向量，并提出了一些解決安全問題的方法和措施，最后還討論了MEC系統中的機密性和完整性問題。

對于電力5G MEC安全解決方案，文獻[7]基于零信任技術，提出了一種電網安全防護架構，分析了在智能電網的5G網絡中遵循零信任安全規則的需求，探討了如何應用零信任模型來保護電網免受網絡攻擊，并提出了一種智能安全電網的綜合策略。文獻[8]考慮隱私保護問題，介紹了一種在5G網絡中注重隱私的電能注入方案，方案分為6個階段，包括系統初始化、注冊、電能收集請求、隱私感知出價生成、隱私感知出價聚合和隱私感知聚合出價讀取，并評估了方案的計算復雜性和通信開銷。文獻[9]基于區塊鏈技術，提出了一種應用于智能電網的許可區塊鏈邊緣模型，通過結合區塊鏈和邊緣計算技術來解決智能電網、隱私保護和能量安全中的若干問題。

在SOAR應用方面，文獻[10]提出了一種低成本的云原生SOAR平臺，可使事務處理流程更快，同時節省人力資源預算，并通過大型跨國企業的實際測試，對所提解決方案的性能進行了評估。文獻[11]介紹了一個基于自動化和編排的計算機安全事件響應系統，引入集中式事件跟蹤系統來解決安全事件處理問題。文獻[12]介紹了一個名為SOAR Engine的安全編排、自動化和響應引擎，可用來部署行為蜜罐以增強網絡安全防御，SOAR Engine包括動態部署蜜罐、DDOS和僵尸網絡檢測、惡意軟件收集等，并驗證了使用SOAR Engine的蜜罐能夠吸引更多的攻擊者的結果。

2" 電力5G MEC安全需求特征及面臨的威脅

2.1" 安全需求特征

由于智能電網與5G MEC融合，使其業務在接入、時延和運行環境上發生了諸多變化，電力5G MEC中的業務在安全需求方面具備以下4個特征。

1） 接入的高開放性：5G網絡的發展推動了物聯網應用的進步，使得更多終端設備能夠接入網絡。電力MEC允許多種類型設備的接入，對于設備類型有較高的寬容度，同時在MEC應用方面也有很高的開放性，允許合法應用注冊服務。

2） 異構終端連接的海量性：隨著5G網絡性能的提升，電力MEC在接入的異構終端數量巨大。面對海量接入設備，當發生安全威脅時，必須在安全事件處理效率和處理效果上給予保證。

3） 業務的低延時性：MEC的卸載與分流結合5G網絡性能，能夠為智能電網提供更低延時、更高帶寬的業務支持，生產控制大區的業務類型往往具備此類要求，必須保證在發生DDOS等資源消耗型攻擊的情況下，服務的低延時依然能夠被滿足。

4） 威脅處理的低干預性：MEC的邊緣屬性和部署環境決定了MEC不具有大量人工維護的特點，傳統的威脅處理方案更依賴人工的干預與介入，并且難以保證處理的及時性和高效率，必須在威脅事件處理上實現自動化，對復雜的安全事件可以實現聯動處理。

2.2" 面臨的威脅

結合上述電力5G MEC的4個安全需求特征，可分析得出其所面臨的如下主要威脅。

1） 終端安全威脅：電力5G MEC安全解決方案中的終端不僅是手機和計算機，還覆蓋智能電表、巡檢機器人、無人機、智能攝像頭等設備。這些設備在電力5G MEC中起著不可替代的作用，但同時也面臨不一樣的安全威脅，比如物理攻擊、惡意軟件入侵、未經授權的訪問、數據泄漏、供應鏈攻擊等[13]。例如攻擊者可能試圖攻擊智能電表，以獲取用戶的用電數據和規律，甚至有可能操控電表修改數據等。

2） APP安全威脅：電力5G MEC方案中的APP是指與電力系統相關的移動應用程序，通常用于用戶監控、管理和與電力網絡互動。這些應用程序用于電力賬單支付、用電數據檢測等，其也面臨諸多安全威脅，如隱私泄漏、惡意應用程序、網絡攻擊等。例如某些惡意應用程序會偽裝成合法的電網應用程序，以欺騙用戶來獲取其敏感信息，并可能進一步危害他們的設備及數據安全。

3） 接入安全威脅：電網的接入網是指電力系統與外部網絡相連接的部分，這類連接可能允許實時監控、控制和管理電力系統。接入網的安全地位非常重要，因此受到潛在威脅的影響也很大，這些威脅可以對電力系統的可用性、完整性和機密性造成巨大損害。其面臨的威脅包括遠程攻擊、拒絕服務攻擊、中間人攻擊和數據篡改等。比如攻擊者可能試圖篡改電力分配或操作參數，以影響甚至破壞電力系統的運行。

4） 威脅處置不及時：MEC處于網絡的邊緣端，其所在環境及運行具有一定的特殊性，如人力資源稀少、7×24 h運行，并且依賴傳統的人工干預與介入，難以保證處理的及時性和高效率。如果威脅處理及時性缺失、效率低下，則可能導致攻擊范圍的擴大和危害后果的進一步惡化。

3" 基于SOAR的電力5G MEC安全解決方案

3.1" 方案框架

結合上述對電力5G MEC的安全需求特征和面臨的威脅分析，本文提出了一種基于SOAR的電力5G MEC安全解決方案，其整體框架如圖1所示。

圖1的左側部分為電力5G MEC的各類接入設備，包括與電力相關的發電、輸電、變電和配電設備，無人機、機器人以及用戶設備。圖1的中間部分為核心架構，包括核心網絡和邊緣網絡。圖1的右側為電網的生產控制大區和管理信息大區。核心網絡包括MEC系統層和5G核心網絡，其中MEC系統層可通過網關連接到互聯網；SMF（會話管理功能）管理著下沉到邊緣網絡中的UPF（用戶面功能）。邊緣網絡是一個兩層架構，在二級邊緣網絡中，MEPM（移動邊緣平臺管理器）與VIM（虛擬化基礎設施管理器）管理著多個MEH（移動邊緣主機）。在一個MEH中，分布著MEP（移動邊緣平臺）、ME APP（移動邊緣APP）、VI（虛擬設施）及SOAR。在一級邊緣網絡中，有一個中心級MEH，其UPF接入電力系統的生產控制區和管理信息區。

3.2" MEC中的SOAR架構

MEC中的SOAR架構包括威脅情報平臺、安全事件響應平臺以及安全編排自動化三部分，具體部署如圖2所示。

威脅情報平臺實現對威脅的檢測，輔助完成對威脅的響應，包括情報收集、情報關聯、情報分類和情報共享等功能。安全事件響應平臺主要實現對威脅的響應、處置和恢復，包括告警管理、工單管理、案件管理等功能[14]。安全編排與自動化是SOAR的核心能力，通常包括劇本編輯、工作流引擎、動作庫等功能。安全編排是指將不同的安全系統或者安全工具通過可編程接口和人工檢查點，按照一定的邏輯關系組合到一起，用以完成某個特定安全操作的過程。這一過程在軟件上的映射稱為劇本，為方便對劇本的操作，SOAR提供可視化的劇本編輯工具。安全自動化可以視為自動化的編排過程，其關鍵在于通過工作流引擎實現對劇本的自動化執行。

SOAR具有開放性，上述架構中的功能模塊可以依賴第三方應用來實現，如情報收集、情報關聯等。基于SOAR的5G MEC安全解決方案，組合并實現所需要的功能，提升整個系統的安全性能和對威脅的處理能力。圖2中關鍵模塊的具體實現如下：

1） 情報收集：在情報收集功能模塊中，除了從網絡中收集多源多維度且已經公開的威脅情報，還可以添加對系統狀態的監測功能，具體通過MEPM來實現。MEPM是監測MEH活動的實體，通過它與VIM、MEO和OSS的連接來執行資源分配和監測功能。利用MEPM提供的對主機實體的整體監測來統計數據，可以完成對MEC的完整監測。對于數據中出現的異常波動，將其傳輸到情報分析部分進行分析，進而確定后續的威脅響應動作。

2） 情報共享：威脅情報的共享一般是指在中心云端，從情報中提取出具有實用價值的失陷指標（Indicators of Compromise， IOC），這種共享模式是針對于周期較長且地域較廣的場景。本文在方案中引入了一種新的情報共享模式，即在短期和小范圍內的情報共享，以期對抗較為緊急的威脅和攻擊。數據傳輸的高速和便捷將威脅情報傳輸給周邊的MEC，可以對該情報進行關聯分析，豐富本地數據庫，提高MEC對威脅的態勢感知能力。

3） 動作庫：在動作庫中，通過MEC中的管理器豐富動作庫，與各管理器聯動，如虛擬化基礎設施管理器，加入分配、管理、釋放和監測虛擬化資源等操作；還可通過多接入邊緣協調器，管理單個或多個移動邊緣主機層面，提供服務遷移、移動性管理和流量引導監控動作。

3.3" 方案分級協同部署

電力MEC的應用場景和威脅復雜多樣，不同的應用場景對于安全能力有不同的要求，采用統一的標準會造成資源的浪費。威脅的多樣性使得劇本數量龐大，充分利用云端的集中存儲能力可有效緩解這一問題。此外，攻擊者發起的攻擊通常不是針對單個MEC，而是具有區域性的特點，MEC與MEC之間應能夠協同防御攻擊。針對以上分析，提出分級協同的部署策略，如圖3所示。

1） 分級部署，云邊協同

地域分級：MEC根據省市各級別不同分級部署，SOAR也相應進行分級部署，高級別SOAR對低級別SOAR具有調配和監測功能。

安全能力分級：根據部署場景對安全性的要求，劃分SOAR的防護能力，根據具體場景靈活移植SOAR的功能模塊。

云邊協同：如果單純在云端存儲完整的威脅情報和劇本庫，會降低安全響應時間。在邊端直接處理安全事件更有利于及時響應和劇本執行，邊端定期從云端更新劇本情報等，并將自己存儲的情報定時更新至云端，以確保云端數據的完整性和豐富性。

2） MEC之間協同聯動

當某一MEC受到攻擊，其會向周圍MEC發出告警，周邊MEC接到告警并分析后，執行相應的響應動作，如提高相關劇本的優先級等，從而提高一定區域內的威脅預防能力，防范區域性攻擊。

4" 實驗仿真

4.1" 實驗環境及設計

為驗證本文提出的電力5G MEC安全解決方案的有效性，設計了兩類實驗對安全方案的處理及時性和非法訪問阻斷有效性分別進行測試。實驗使用參數為Intel[?] CoreTM i5?8300H CPU @2.30 GHz 16 GB內存和CentOS 8操作系統的虛擬機模擬邊緣服務器，使用W5 SOAR開源平臺（網址為https：//w5.io/index.html）在邊緣服務器上進行SOAR部署，使用kali系統的虛擬機模擬攻擊方。

實驗1：邊緣服務器在資源耗盡攻擊下的健壯性測試。在電力業務中，源網荷儲協同控制、配電自動化系統、分布式配電自動化等場景操作需要毫秒級的低延時，而邊緣計算節點暴露在網絡邊緣，易受攻擊者的攻擊，攻擊者可以通過惡意耗盡服務主機的計算、網絡等資源，導致服務節點失效，這將會直接對部分低延時要求的電力業務造成嚴重影響。實驗1使用hping3工具對模擬的邊緣服務器進行DoS攻擊，觀察SOAR在DoS攻擊下的自動化處理是否可以滿足低時延的需求。在本次實驗中，由OTX（Open Threat Exchange）威脅情報社區（網址為https：//otx.alienvault.com/dashboard/new）提供SOAR中所需的惡意IP、脈沖ID等。

實驗2：邊緣服務器對中間人攻擊的檢測有效性測試。惡意的應用程序會偽裝成合法的用電賬單查詢、在線賬單支付等電網應用程序來欺騙用戶，獲取敏感信息。攻擊者將使用中間人攻擊截取這些敏感信息，在適當的場合中重放這些信息，以達到攻擊目的。例如用戶使用智能電表進行抄表，如果用戶操作不當，將導致中間人攻擊，攻擊者將截獲用戶的敏感信息，對用戶的邊緣網絡設備進行竊聽或重放等攻擊，導致用戶隱私與財產受到侵害。實驗2中使用MITMproxy工具對模擬的邊緣服務器進行中間人攻擊。

4.2" 邊緣服務器資源耗盡攻擊下的健壯性

實驗1通過安全編排功能實現邊緣服務器被DoS攻擊后快速的檢測、響應、恢復，劇本就是對編排的表述[15]，是依據先驗知識提前編輯好的應對威脅的一套工作流。

SOAR提供可視化工具對劇本進行編輯，實驗1所需劇本如圖4所示。

在W5 SOAR平臺提供的可視化面板中，箭頭表示劇本的執行次序，結合劇本的執行邏輯，圖4展示的流程如下。

1） 發起攻擊：使用kali中hping3進行syn flood攻擊。

2） 劇本觸發：OTX威脅情報對IP進行快速威脅檢測，確認是否為惡意IP，如果檢測結果為True，執行安全動作3）。

3） 安全動作執行：對惡意IP執行封鎖命令以及更詳細的威脅信息查詢，IP封鎖使用Linux iptables命令向防火墻添加入站規則；同時，微步威脅情報對IP地址進行詳細的威脅信息查詢。

實驗1的劇本執行日志如圖5所示，整個劇本從觸發到OTX威脅檢測、IP封鎖，再到詳細威脅情報獲取及通知，均在不到1 s內完成。

4.3" 邊緣服務器對中間人攻擊的檢測有效性

實驗2通過安全編排功能實現對邊緣服務器受到的中間人攻擊進行檢測、響應、恢復操作，實驗2劇本如圖6所示。

結合劇本的執行邏輯，圖6展現的具體流程如下。

1） 發起攻擊：使用kali中MITMproxy進行中間人攻擊。

2） 劇本觸發并進行威脅檢測：使用身份認證白名單對邊緣設備進行快速匹配，確認是否為白名單中的合法設備，如果檢測結果為True，劇本繼續執行，并進一步對請求包進行行為的時間戳驗證。

3） 安全動作執行：如果“合法”設備其行為時間戳不合理，則認定該設備“被劫持”（非法時間戳可能是歷史合法數據的重放導致），從而執行取消授權命令，并將該設備通告周圍節點，再上報威脅信息；如果時間戳驗證通過，則確認為是合法行為，執行對其的授權。

實驗2的執行日志劇本執行日志如圖7所示。

通過實驗驗證，本文提出的電力5G MEC安全解決方案可以有效抵御對邊緣服務器的DoS攻擊與中間人攻擊。通過自動化執行劇本，不需要人工干涉處理過程，可以在極短的時間內正確完成威脅處置流程，滿足特定電力業務的低延時需求。此外，方案對于第三方應用具有開放性，使其可以支持更豐富的動作庫和應用庫、更完備的威脅檢測庫與更完善的威脅處理流程，能夠應對更加復雜多變的威脅場景。

5" 結" 論

為應對電力5G MEC融合發展所帶來的新威脅和新挑戰，本文提出一種基于SOAR的電力5G MEC安全解決方案，實現了威脅檢測、響應、處置的自動化執行，降低了響應時間，契合了5G MEC低人工干預的特點。將5G MEC和SOAR進行開放性結合，豐富了MEC的安全功能；利用安全編排功能形成對安全防御的統一整體調度，提高了MEC安全防御效率。此外，通過云邊、邊邊協同的部署方案，讓云端和邊端在功能上各有側重，更充分發揮MEC的協同能力。

參考文獻

[1] 張濱.5G邊緣計算安全研究與應用[J].電信工程技術與標準化，2020，33（12）：1?7.

[2] 余曉光，余瀅鑫，陽陳錦劍，等.安全技術在5G智能電網中的應用[J].信息安全研究，2021，7（9）：815?821.

[3] 奇安信，Gartner .安全運行迎來SOAR時代[M/OL].[2020?10?30]. https：//www.bigdata?expo.cn/uploads/exhibitorfiles/2022/05/18/82a1b0cc7421d3ff5f119ead400d1caa.pdf.

[4] RANAWEERA P， JURCUT A， LIYANAGE M. MEC?enabled 5G use cases： a survey on security vulnerabilities and countermeasures [J]. ACM computing surveys， 2022， 54（9）： 1?37.

[5] KIM Y， PARK J G， LEE J H. Security threats in 5G edge computing environments [C]// 2020 International Conference on Information and Communication Technology Convergence. Jeju， Korea （South）： IEEE， 2020： 905?907.

[6] RANAWEERA P， JURCUT A D， LIYANAGE M. Survey on multi?access edge computing security and privacy [J]. IEEE communications surveys amp; tutorials， 2021（99）： 1078?1124.

[7] ALIPOUR M， GHASEMSHIRAZI S， SHIRVANI G. Enabling a zero trust architecture in a 5G?enabled smart grid [EB/OL]. [2023?04?17]. https：//arxiv.org/ftp/arxiv/papers/2210/2210.01739.pdf.

[8] ZHANG Y， ZHAO J， ZHENG D. Efficient and privacy?aware power injection over AMI and smart grid slice in future 5G networks [J]. Mobile information systems， 2017（2）： 1?11.

[9] GAI K， WU Y， ZHU L， et al. Permissioned blockchain and edge computing empowered privacy?preserving smart grid networks [J]. IEEE Internet of Things journal， 2019， 6（5）： 7992?8004.

[10] CHRISTIAN J， PAULINO L， DE Sá AO. A low?cost and cloud native solution for security orchestration， automation， and response [C]// International Conference on Information Security Practice and Experience. Cham： Springer， 2022： 115?139.

[11] OHMORI M. On automation and orchestration of an initial computer security incident response by introducing centralized incident tracking system [J]. Journal of information processing， 2019， 27： 564?573.

[12] BARTWAL U， MUKHOPADHYAY S， NEGI R， et al. Security orchestration， automation， and response engine for deployment of behavioural honeypots [C]// 2022 IEEE Conference on Dependable and Secure Computing （DSC）. Edinburgh， United Kingdom： IEEE， 2022： 1?8.

[13] 莊小君，楊波，楊利民，等.面向垂直行業的5G邊緣計算安全研究[J].保密科學技術，2020（9）：20?27.

[14] VAST R， SAWANT S， THORBOLE A， et al. Artificial intelligence based security orchestration， automation and response system [C]// International Conference for Convergence in Technology. Maharashtra， India： IEEE， 2021： 1?5.

[15] ELGENDY I， ZHANG W， ZENG Y， et al. Efficient and secure multi?user multi?task computation offloading for mobile?edge computing in mobile IoT networks [J]. IEEE transactions on network and service management， 2020， 17（4）： 2410?2422.