网络攻击下电力系统混合入侵防御算法研究

胡超， 乔治中， 黄天明

(南京南瑞信息通信科技有限公司， 江苏， 南京 210003)

0 引言

近些年来各类网络安全事件频发，网络安全环境日趋严峻，为此研究一种网络攻击下电力系统混合入侵防御算法是很有必要的[1]。依照现有的技术水平，加强对含有关键信息基础设施的保护，重点保护承担电力系统运行的信息系统及相应的软硬件。充分考虑电力系统的关键业务及其影响，按照电力CII认定识别级别，结合电力系统的实际，建立安全防御机制，有效抵御电力系统的外部入侵[2]。

目前，常用于入侵检测的方法主要有SDN网络拓扑污染攻击防御方法[3]、针对认知无线网络大规模入侵的双重防御方法[4]和基于相关信息熵和CNN-BiLSTM的工业控制系统入侵检测方法[5]，现有方法通过形成应用层操作，设计支持策略、行为异常检测算法，实现攻击事件和正常事件的智能区分，形成了一个多层次的安全防护体系。但是现有方法在网络攻击下，存在数据丢包率较大，网络吞吐量较低和系统响应时间较长的问题，因此，本文提出了网络攻击下电力系统混合入侵防御算法。

1 网络攻击下电力系统混合入侵防御算法研究

1.1 电力系统混合入侵数据分类

采集网络攻击下电力系统的混合入侵数据，并以此为研究对象，进行数据分类，利用PSO算法控制入侵数据的频率，引入一个控制入侵数据进程的频率上限值vmax，如式(1)：

|vj(t)|≤vmax

(1)

按照上式设定的频率上限值控制入侵数据分类，此时入侵数据在电力系统中的传输频率随时间变化的曲线，如图1所示。

图1 入侵数据的频率变化

按照如上图所示的频率变化规律，以入侵频率为分类指标[6]，采用聚类算法将不同频率状态下无标签入侵数据进行划分，此时入侵数据分类可表示为

(2)

式中，c表示划分的入侵数据类别，U表示一个模糊矩阵，uij表示入侵数据样本xj中第i个类别的隶属度值，V表示由聚类中心向量构成的矩阵，m表示模糊系数，dij是入侵数据xj到聚类中心的距离。依据不同类型的电力系统混合入侵数据类型，制定响应映射关系[7-8]。

1.2 建立入侵响应映射

在建立算法入侵响应映射时，使用分类后的入侵数据，针对不同的入侵数据类型建立相对应的响应防御映射，利用复杂映射决策模型来建立该映射，使用的复杂映射模型如图2所示。

图2 复杂映射模型

利用图2所示的结构可知，在建立响应映射时，接收上述分类后的电力系统入侵数据后，使用接口Agent处理该数据，将入侵数据传送至主分析器，定义主分析器中的入侵类型为已知入侵类型与新入侵性质，主分析器依照定义的入侵数据的性质识别该分类数据[9]。在主分析器中添加一个分析Agent处理，处理电力系统中新入侵性质的数据，一个分析Agent对应一个防御措施，将该过程看作一个响应映射，多个分析Agent对应一个防御措施集合，其动态映射过程，如图3所示。

图3 动态防御响应映射

依照上图所示的动态防御响应映射，针对新入侵的数据类型及防御因素，分析Agent形成一个该类型入侵数据的措施子集，防御完毕后该措施并入到上图所示的措施集中[10]。计算上图所示过程的响应时间TI，计算公式为

(3)

式中，ε表示映射系数，RI表示映射关系的有效性，FI表示映射的负响应指数。为了缩短防御响应时间，引入电力系统中的节点结构，完善上图所示的映射，该分层结构，如图4所示。

图4 映射分层结构

依照上图所示映射分层结构，将防御映射响应变成一个可持续释放的过程，以此来缩短防御过程的时间。此外，调节上图所示分层结构的机制阈值，减少防御过程中不必要的响应，进一步缩短响应时间[11]。

1.3 入侵防御的实现

电力系统因外部环境的不同，表现出不同的特性，算法在电力系统应用时会受到不同程度的限制，因此运用所提算法在网络攻击下对电力系统混合入侵数据的防御前，需要进行有效抑制[12]，以保持电力资源的可用性，为此建立一个算法受限模型，控制不同的参量变化，并通过计算入侵数据防御资源的最大容量系数，解除不同程度的限制[13]。以构建的入侵响应映射为基础，以电力系统中的节点为研究对象，假设D(t)表示节点在防御过程中的数据防御数量，则此时节点总的入侵数据防御数量为

(4)

式中，r表示入侵数据防御量的增长率。

考虑到容量系数的大小不仅直接决定电力系统使用成本，同时，影响电力系统混合入侵防御效果，因此，在此公式的基础上，计算入侵数据防御资源的最大容量系数H：

(5)

式中，D(t0)表示电力系统节点在t0时刻防御的入侵数据量。

为了防止最大容量系数计算出现精度误差，建立隶属度函数，计算公式如下：

(6)

依照上述计算过程，将初始化迭代数值设置为0[14]，以此来保证最大容量系数H的计算精度。

在网络攻击下，控制式(5)中t0的数值，对应得到算法在电力系统中受限制的位置编号，

(7)

式中，ω为权重，j表示电力系统入侵数据，c1表示认知系数，c2表示电力系统的安全系数，s1、s2表示服从均匀分布的随机数，pj(t)表示入侵数据的历史位置，xj(t)表示t代入侵数据在电力系统中的位置。使用上述各项系数，得到入侵数据频率更新规则：

(8)

根据式(7)得到的电力系统中受限制的位置编号，扫描并隔离处理该位置的信任事务，同时，依照式(8)规范入侵数据在网络中的进程，计算公式如下：

(9)

位置编号对应电力系统限制算法防御的位置，扫描并隔离处理该位置的信任事务，消除算法在电力系统中应用时的限制，实现对电力系统中混合入侵防御算法的研究[15]。

2 实验

为验证所设计网络攻击下电力系统混合入侵防御算法能否实现电力系统安全防御的目的，进行实验验证。

2.1 测试环境与参数设置

测试环境选用一台接入局域网及互联网的服务器，将该服务器安置在局域网与互联网之间的网关处，利用一个测试服务器将局域网中的计算机与互联网隔离，模拟电力系统受到网络攻击的过程，在该过程中测试算法的性能。将服务器的网口与IXIA网络测试仪对应相连，使用的IXIA网络测试仪如图5所示。

图5 实验所需的IXIA网络测试仪

将图5所示的IXIA网络测试仪使用网线连接在测试服务器上。不断测试数据过滤模块中的各项操作，确认规则管理、捕获分析以及过滤部分需要达到预期结果。分别利用上述测试环境承载SDN网络拓扑污染攻击防御方法(方法1)、针对认知无线网络大规模入侵的双重防御方法(方法2)和基于相关信息熵和CNN-BiLSTM的工业控制系统入侵检测方法(方法3)与网络攻击下电力系统混合入侵防御算法进行实验，针对不同方法在电力系统中形成的入侵检测部分，开启互联网在局域网中的传输，调用数据过滤模块，确认防御算法形成的关联性规则是否被激活，确认测试结果通过后，测试不同防御方法的性能。

实验所用数据来自于KDD99入侵检测数据集。由于数据量大，选取数据集中的部分数据进行测试，抽取了4种典型的攻击数据作为实验数据，4种异常类型分别是：拒绝服务攻击(DOS)、来自远程主机的未授权访问(R2L)、未授权的本地超级用户特权访问(U2R)、端口监视或扫描(PROBING)，本实验选择的攻击包含了攻击的四大类。如表1所示。

表1 攻击数据

2.2 结果与分析

基于上述实验准备，调整网络测试仪的参数，以防火墙开启状态下的丢包率为对比指标，控制计算机发送恒定大小的数据包，测试时间为40 min，不同方法控制下计算机防火墙丢包率测试结果，如图6所示。

分析图6可知，控制计算机与网线直连的情况下，防火墙的丢包率应在0.2%左右，以此作为算法性能对比标准，按照如上表所示的测试结果可知，在方法1控制下数据包丢失最严重，说明该方法在网络攻击下能够实现的关联性规则数量较少，防御效果不明显。方法2和方法3控制下的数据丢包率数值较方法1小，说明与方法1相比，方法2和方法3得到的防御关联性规则更多，具有一定的防御效果。而文中研究的防御算法丢包率最小，可以实现的防御关联性规则最多，丢包率保持在0.2%左右，说明该算法的防御效果最好。

使用上述测试中的配置，分别测试不同防御方法在计算机中的响应时间，具体包括：启动防火墙、添加规则、点击浏览、显示电力系统入侵事件详细信息、切换主界面等内容，汇总算法在计算机中的主要操作，统计算法实现单次操作的响应时间，结果如表2所示。

由表2各个操作对应的响应时间可知，由于网络攻击导致电力系统产生了不同程度的堵塞，不同方法控制下表现出了不同的响应时间，其中，方法1的平均响应时间最长，方法2和方法3的响应时间均高于所提算法，本文算法的最低响应时间仅为0.1 s，说明该算法的时效性更强，适合在电力系统防御中使用。这是由于该算法在建立入侵响应映射时，将防御映射响应变成一个可持续释放的过程，减少防御过程中不必要的响应，以此缩短了防御所需时间。

网络吞吐量是衡量电力系统应用效果的主要指标，将其作为指标比较不同方法的应用效果，结果如图7所示。

图7 不同方法下网络吞吐量对比

分析图7可知，在不同数据流下，所提算法的吞吐量明显高于现有方法，在相同条件下，本文算法的网络吞吐量最高值达到了800 Byte/s以上，充分验证了该算法的应用性能。

3 总结

入侵防御是现今电力系统安全的重要研究方向，研究在网络攻击下电力系统混合入侵防御算法可以增强电力系统的安全，解决传统防御算法存在的不足。本文针对网络攻击下的电力系统混合入侵防御进行了一定的研究，主要工作有以下几个方面：

(1) 根据不同频率类型的入侵数据，利用复杂映射决策模型建立入侵响应映射，能够有效防御不同频率入侵数据的攻击;

(2) 通过建立入侵响应映射将防御映射响应变成一个可持续释放的过程，缩短了防御时间，减少防御过程中不必要的响应，进一步缩短了响应时间;

(3) 根据入侵数据频率变化规律，采用聚类算法将不同频率状态下无标签入侵数据进行划分，使入侵防御更具有针对性，进而使数据丢包率降低。

该算法没有确定电力系统中的有效性指标，也没有得到建立可量化的参数，建立的防御机制还存在一定的不足，仍需不断地研究改进。