电力监控系统网络安全威胁溯源技术分析

张 露

（云南华电金沙江中游水电开发有限公司梨园发电分公司，云南 丽江 674100）

0 引 言

电力监控系统的安全威胁主要是来自网络病毒、黑客攻击及内部故障等方面。国内外因网络攻击造成大面积停电事故案例数不胜数。就目前发展技术而言，网络安全专家在威胁溯源技术方面的研究已取得一定成果，能够实现部分攻击行为的有效溯源。但日益复杂的网络环境对威胁溯源技术提出了更高要求，其未来发展要融入数字化、智能化元素，并且更加符合电力行业的工业需求，将技术与管理相结合，解决多个层面的网络安全防护问题。

1 网络安全定义

《智能电网网络安全指南：卷1》中对于网络安全指标进行了规定，即机密性、完整性以及可用性。其中，机密性是指要控制用户隐私的数据传输安全，只有在被授予访问权限的端口才能够进行信息查询。若用户隐私在未经同意的情况下被泄露，则证明系统中存在一定风险。完整性是指网络中的信息一致性以及不可修改性，若因安全手段不足导致网络信息出现破坏情况，或在未经授权的情况下进行网络信息修改，则意味着网络安全事故。可用性是指在信息上传到网络系统中后，要保证用户能够随时随地进行获取，避免出现访问过程中的恶意中断，实现网络通信的数据安全、加密等作用，有效降低相关业务安全隐患[1]。

2 电力监控系统的网络安全威胁溯源技术处理流程

2.1 构建事件树

一般电力监控系统的主要安全防范方式是通过对安全日志信息采集分析，并生成完整的网络攻击图，根据显示的异常情况，解决电力系统用户网络安全问题，提升威胁行为的追溯能力。事先进行网络初始数值的设定，将不同电力监控系统IP发生的疑似威胁、告警信息等内容，建立相应的事件树节点，输入电力监控系统存储的原始告警日志，在防护模块的作用下构建事件发生链。

其中，电力监控系统的告警日志是事件树的数据源，构建出首尾IP地址相连的大型网络系统，并以树状图的形式表现出来。而进行事件树构建应保证电力监控系统之间的告警源IP存在关联性，并且不同IP之间有着因果递进式关系，事件上并不是同时发生的。对事件树进行聚合处理，分析不同子节点的告警类型，将后一个IP的告警结束时间覆盖前一个子节点的告警结束时间，并删除后一个子节点。

2.2 拆分事件链

事件树构建完成后，需要对安全事故进行深化分析，即拆分安全事件发生链。而事件链的首要工作，便在于找到链首告警信息。一般情况下，电力监控系统的网络安全威胁溯源事件链告警包含两种原因，一种是告警源的IP节点并没有双亲节点，另一种是虽然存在双亲节点，但其双亲告警时间却晚于告警开始时间。因此，针对事件链拆分应分为如下两个环节：第一环节是对没有双亲节点的IP进行深度剖析，得到集合链；第二环节是针对剩下的有双亲节点的IP深度剖析，并将结果加入到集合链中，从而构成事件发生链流程图。针对流程图进行下一步的拆分处理，若事件发生链之间不具备固定的因果关系，需要进行相应的断链处理。若两个告警事件之间存在一定的因果关系，需要将原有的安全发生链拆分为两个安全发生链，再进行相应的断链处理。

2.3 构建威胁量化模型

安全发生链完成后，需要对发生链的威胁程度进行量化评定，从而实现对于整个电力监控系统的动态感知。模型需要考虑到告警信息的等级与可能存在的攻击尝试事件等多个内容，考虑到原始数据中夹杂此类信息的可能性。设置安全阈值来完成安全威胁溯源，一旦超过安全阈值，则该安全发生链就要被认定为疑似危险事件，并通过量化模型进行可视化展示，便于工作人员进行运维分析。完成这些步骤后，能够对网络安全事件的发起者进行锁定，并查找出攻击源的具体位置，从而找到对电力监控系统的攻击者，完成网络安全威胁溯源工作[2]。

3 电力监控系统的网络安全威胁溯源技术综合分析

3.1 网络传播溯源定位

网络安全威胁溯源技术就是对电力监控系统中的病毒源进行逆向追踪，是一项富有挑战性的任务，可以通过IP网络节点中的信息来搜集感染源数据，并借此进行感染源未知推理。就目前发展技术水平而言，若网络节点中的状态被系统发现后，可以初步实现对复杂电力监控系统的污染源控制。经过对电力监控系统中的IP节点实验可知，完成网络传播源定位，只需要对被检测个体15%～25%的节点进行追踪判断，即能大概率锁定传播源位置。

20世纪90年代，计算机还是一种专业技术水平较高的工具，其操作性较强，使用者多数为计算机专业，且具备计算机理论的人。随着现代化技术水平的发展，计算机逐渐普及的同时，也出现大量非法黑客。通过对全球黑客攻击行为与攻击模式的信息数据收集，构建网络安全攻击者知识库。在网络安全事故发生时，可以将指纹、罪犯特征等信息在数据库中进行比对，若比对成功就可以初步确定攻击者的大致位置或个人信息，提高了电力监控系统的网络安全威胁溯源工作效率。构建攻击者知识库，可以利用攻击者普遍会在攻击行为中重复使用某代码块的特点，根据已有的恶意软件旧代码来分析恶意软件种类，实现传播溯源定位。

3.2 溯源技术发展趋势

现代化的网络安全技术手段为提高电力监控系统的安全溯源效率提供了很大的便捷性。溯源技术开发方式变得多样化，不同IP之间的兼容性问题影响较小，满足电力监控系统高质量服务的同时，保证系统网络安全。但无论什么时期，电力监控系统的安全溯源服务对象永远是“工业对象”，其使用主体也是“工业对象”。若片面地提高溯源处理效率，而忽视了其在实际工业运用中的服务效果，将本末倒置，失去溯源技术开发的意义。因此在溯源技术发展过程中，要将本质化作为主要发展目标，有效保证隐私数据，拒绝因为提高溯源效率而将信息当做诱饵被泄露，保证数据安全。溯源技术研究要从本质化的角度进行电力监控系统开发，考虑到系统用户的实际需求，强调系统设计要满足人性化服务[3]。

我国计算机信息技术发展速度迅猛，且人工智能发展方向愈发显著。电力监控系统的网络安全威胁溯源技术研究时，通过威胁量化模型进行智能化网络安全数据采集，比较适用于我国电力监控系统的网络安全开发建设。现代计算机系统应用逐渐趋向于开放化发展，强调通过智能化技术手段进行网络安全防护技术优化，不断有效提高信息反馈处理效率，用电子传感器进行IP节点数据采集，以及数据识别、断定、初步修改、决策等操作，在网络安全溯源技术不断革新的同时，满足电力监控系统开发建设与发展的实际需求。在溯源技术研究环节，专业技术人员的技术水平对整体溯源效率起着决定性的作用，因此要加强对相关人员的培训与管理工作，并对培训的结果加以考核。智能化是电力监控系统的网络安全威胁溯源技术的必然发展趋势，能够提高电力监控系统的智能化工业水平，满足电力监控系统的网络安全需求，增强系统服务性。

3.3 网络安全攻击类型

3.3.1 拒接服务攻击

拒接服务攻击（Denial of Service，DoS）的攻击手段是对整个电力监控系统中的资源进行高度消耗，使其中心处理能力不足，无法对系统内部正常请求进行回应，从而达到暂停甚至中断整个系统的目的。通过对攻击源不同参数的变化情况分析，获取整个网络攻击频率的动态效果图，并在此基础上进行网络安全威胁溯源。

3.3.2 中间人式攻击

中间人式攻击（Momentum Iterative Method，MIM）的攻击手段是将攻击信息伪装成某一通信终端的回执信息，拥有较高的隐匿性，能够有效降低自身被发现的风险。其攻击效果取决于电力监控系统通信协议的认证漏洞，所以在攻击环节要强调以通信协议为主，并针对MIM对于整个系统的影响效果进行安全发生链建模。同时，存在调整传感器电气量测量值，以及开闭状态的MIN攻击手段，使得拓扑估计值与原电力监控系统中的数据相同，达到不被运维人员发现的攻击目的[4]。

3.3.3 数据篡改攻击

数据篡改攻击（False Data Injection，FDI）的攻击手段与DCS有着直接关系。DCS是整个电力监控系统中的重要环节，它的核心功能便是潮流计算与运行状态估计，当系统中出现错误信息时，其相应的状态估计结果会同原来出现较大差异，从而发现攻击信息。其工作基础是数据错误量测量的任务较少，但攻击者进行网络入侵时，由于其了解整个电力监控系统的参数配置，可以针对DCS进行恶意数据修改，绕过数据检测模块直接对运行状态进行破坏，从而对整个电力监控系统造成影响。

4 结 论

随着网络规模的不断扩大，加强电力监控系统的网络安全威胁溯源技术研究，能够实现在复杂的网络环境下降低系统运行风险。针对大多数网络入侵，可以采用安全事件发生树的子节点合并的方式进行威胁溯源，构建事件发生链，并通过可视化的发展模式将告警信息直接呈现出来，提高整体网络安全威胁溯源的准确度。