李雅洁 丁一 马文洁 钮丹阳
摘要:近年来,智能电网逐渐成为世界电力工业的共同发展趋势。邻域网作为智能电力通信网络的中心枢纽,其安全问题越来越被研究者们所重视。目前,已应用物理控制、数据加密以及认证等技术提高邻域层安全性,但仍缺乏及时有效的检测方法来避免电网受到恶意入侵行为的威胁。针对此问题,本文设计和实现了一个高效轻量级的智能电网邻域网分级式入侵检测系统。在解决方案中,我们把邻域层网络分为三个层级。根据不同层级设备以及通信的特点,采用相对应的检测方式实现上层级对下层级的行为检测。同时,本文提出结合基于信任度的规则检测和基于SVM机器学习算法的异常检测,旨在将这两种检测技术的优点结合起来检测多种入侵。经仿真实验验证,本文提出的入侵检测方案以较低的能量消耗获得高检测率,符合预期结果。
关键词:智能电网;邻域网;信任度;机器学习;分级检测
0引言
随着信息化时代的到来,工业产业正在经历重大转型。在这样的发展背景下,智能电网的概念应运而生,并在全球范围内得到广泛认同,成为世界电力工业的共同发展趋势。智能电网是以电力和信息双向流动为特征的网络。通过集成通信基础设施,连接电力设备运行,以提供可靠和可持续的电力供应。智能电网通信网络被定义为三级层次,分别是家庭局域层网络(HAN),邻域网络层(NAN)和广域网络层(WAN)。本文重点关注邻域层以及应用在该层网络上的测量体系安全问题。邻域网(NAN)的功能主要是汇聚来自多个家域网的数据,将这些数据传送到相应的高层控制中心。同时,NAN从电力控制中心动态接收电力数据信息,并转发给家域网。由此可见,邻域网是连接家域网和广域网之间通信的唯一桥梁,是整个电力通信网络的中心枢纽环节。
目前用于保护邻域网安全的解决方案通常包括物理控制(例如,智能电表上的防篡改密封),仪表认证以及对所有网络通信数据和控制信令进行加密。然而,由于智能设备的计算和存储能力的限制,无法在通信中使用复杂的加密认证算法严密地保护通信安全。即使在控制中心部署了大型入侵检测系统,大量分布在无人监管的公共领域的电网设备并未得到监控与防护。因此,邻域网需要可靠的本地检测方案来检测入侵行为。文献中,Robin Berthier等人针对AMI提出一种基于规则的入侵检测系统,解决方案依赖于协议规范,安全需求和安全策略来检测入侵行为。但此系统需使用独立的传感器网络,部署价格昂贵。Eunsuk Kang等人在文献中采用基于马尔可夫链的博弈分析模型,提出了一种针对智能电网中的虚假数据注入攻击的实时检测方案,此方案缺乏对电网常见攻击类型的覆盖。在文献中,Yichi Zhang等人设计了一种智能电网分布式入侵检测系统(SGDIDS)。在其框架中,基于机器学习算法的入侵检测代理嵌入每个智能仪表,采集器和控制中心。该检测框架具有保护智能电网免受攻击的能力。然而,在每个智能电表上嵌入计算开销繁重的算法会降低电网的性能。文献提出了一种基于BloomFilter地址统计的动态阈值更新的改进型CUSUM入侵攻击检测方法。该方案在数据采集阶段中收集电网流量数据,进而进行入侵行为判断。当网络中存在干扰的情况下,采用网络流量作为入侵检测的唯一特征会导致较高的误检率。刘烃等人在文献中提出的基于报警数据融合的攻击检测方法符合电网异构特性,从而消除了单纯物理层检测方法或单纯信息层检测方法的偏差。但是此方法仅能判断出线路异常,不能定位到具体被攻击节点。并且此方法需要额外的主机设备部署Snort,主机设备的安全性也将影响检测结果。虽然已有前人提出了一些智能电网入侵检测方案,但鲜有专注于研究针对邻域网的入侵检测系统。在[6]中,作者針对邻域网提出了基于规则的分布式入侵检测系统,其中IDS嵌入在智能电表中以监视恶意行为。然而,在此方案中,检测系统不能监控负责存储转发仪表数据的采集器,无法避免热点攻击问题。此外,该系统只用于检测单一的路由攻击——虫洞攻击,对于安全性要求高的电力网络缺乏实用性。
本文针对智能电网现有入侵检测系统存在的缺陷,设计和实现了一个高效轻量级的智能电网邻域网分级式入侵检测系统。根据调研结果,本文是首次将分级式检测方法应用在智能电网邻域网上。从整体上看,我们提出的入侵检测方案结合了分层级检测的优势,在每层上分别布置了与之相适应的入侵检测技术。与此同时,本文利用信任度判别法进行先验检测,结合SVM异常检测算法进一步确认结果并动态更新阈值。规则检测法节约设备的存储空间和能耗,在无异常发生的情况下运行对系统影响较小。条件式启动SVM监督学习算法能更合理的利用有限能量实现精确检测。相比于相关文献中提及的方案,本文设计的入侵检测系统不需要额外的节点作为检测代理,节省了开支且便于管理。利用现有网络结构的特殊性,在保证检测正确率的前提下,极大的降低了检测功耗。
1检测系统模型描述
1.1网络拓扑模型
由于智能电网邻域层通信网中接入的智能用电设备都是依附于电网的拓扑进行分部的,所以网络中各节点都存在以下特点:
(1)节点位置相对固定
由于邻域层通信网中的接人设备主要以DTU和FTU为主,即所有的接人节点都是固定节点,而且节点的新增和退出事件很少发生,拓扑结构多为静态形式。
(2)各地区节点密度差异较大
我国居民用电用户在城市和郊区相差较大,因此电力通信网中汇聚接人节点在城市和郊区的分布密度就极为不均。由于变电站一般都坐落在郊区,所以以变电站为中心汇入节点的邻域层网络在拓扑结构上就形成了“郊区-市区-郊区”的分布形态。
(3)节点大多数沿街道分布
邻域层通信网中的数据采集节点基本都是沿街道呈网格型分布的,网格中的各个节点不仅处于静态而且大都以规则的“井”分布与整个拓扑当中。这就使得邻域层通信网的网络拓扑结构有着明显区别于其他通信网络的特点。网络拓扑分布如图1所示。endprint