电力通信网络终端未知威胁协同防御方法

周 玲

(贵州电网有限责任公司信息中心，贵州 贵阳 550002)

在信息化时代，各类通信系统中的主体操作系统、网络路由等都存在一定的共通性，因此攻击者在了解了相关的结构体系后，直接就可以针对特定目标进行攻击。如果没有可靠的防御措施，电力通信系统极易受到攻击。电力通信网络由于节点数量过大，很难在短时间内做出有效的反应，这就直接导致攻击者可以直接攻击超过20%的网络节点，进而造成整个电力通信网络的瘫痪。

若想要保护电力通信网络的完整，需设计一种特殊的防御网络攻击模式，减少电力通信网络的反应时间。为此，文献[1]利用非合作信号的博弈理论，建立了一个对未来信号欺骗的探测模型，可以极大地削减网络欺骗信号的衰减效果，并推演下一步攻防双方的对抗反应，从另一个角度提高电力通信网络的反应效率。但是这样的方法难以确定推演结果的准确性，导致该防御方法存在一定的缺陷。文献[2]为避免遭到攻击时由于数据丢失导致的系统瘫痪，设计了一种以保护数据、建立能耗信任值系统为核心的攻击检测方法，基于两级检测的传感网络，利用节点与位置进行初步检测，并计算定时窗口的能耗值，在最终融合时减少通信开销。文献[3]通过请求-应答模式开发了一种命名数据网络的防御方案，在拒绝服务请求时提供了基于粒子群优化的反向神经网络算法，结合不同纯度的识别模式开发了一种兴趣包的攻击缓解模型，该模型可以用于监测防御的准确度。

本文综合以上文献研究，对电力通信网络终端针对未知威胁协同防御的方法进行了优化设计。

1 电力通信网络终端威胁分析

1.1 终端威胁入侵成功概率

假设电力通信网络攻击者依次攻击单条通信路径上的n个脆弱性点，且相邻两次攻击间无时间间隔，完成对任意一个脆弱点攻击所需要的时间周期均为τ，则突破单条路径上的n个脆弱点所需要的总时间周期为nτ，将攻击者在T内通过具有n个脆弱点的单条通信路径实施攻击的次数记为k，则：

(1)

因为存在k不等于整数的情况，所以随机抽样时先对k取整。根据首次入侵发起时间点t1(0≤t1

对于任意T，当0≤T-[k]nτ时，攻击者实际可完成的威胁入侵次数为[k]；当T-[k]nτ≤t1

假设t1在[0,nτ)服从均匀分布，那么当攻击者持续发起威胁入侵且相邻两次威胁入侵无时间间隔时，实际可完成的入侵次数为[k]和[k]-1时的概率分别为：

(2)

(3)

(4)

因此当脆弱点数量为n时，威胁在入侵时间窗口T内的入侵成功概率：

(5)

尤其是当n=1时，因为T=interval1是一个定制，所以此时的入侵成功概率：

asp(interval1)=

(6)

而当n>1时，因为T在区间[0,min{intervali}]内随机分布，所以此时入侵成功概率的期望值可表示为：

(7)

其中，f(T)的具体表达形式与脆弱点数量n、变换周期intervali(1≤i≤n)以及变换的相对时间关系有关，在实际电力通信网络动态防御体系中[6]，可结合动态安全策略部署情况及变换的相对时间关系有关，在实际电力通信网络动态防御体系中[7]，可结合动态安全策略部署情况确定n和intervali(1≤i≤n)，并通过概率分布拟合的方式得出f(T)的表达式[7]。

1.2 网络威胁指数

基于电力通信网络威胁入侵成功概率，采用威胁匹配矩阵对特征模式进行相似度匹配。威胁匹配矩阵主要用于描述两种威胁模式之间的基本匹配关系[8]，根据威胁特征模式元素分别进行处理，特征模式元素匹配相似度Sim(a,b)：

(8)

其中，a,b分别表示电力通信网络威胁的特征元素：max{|a|,|b|}表示特征元素a,b中较长一个字符的长度。

模式向量元素相似匹配度Sim(V1,V2)：

·Sim(t,s)

(9)

其中，V1,V2满足：Close(θ,V1,V2)表示元素r在威胁模式元素V中的权重。

定义威胁匹配矩阵模型(TMMM)，该模型的存在模式Si,Sj,ein,ejm是两个模式中的元素，即Si={ei1,ei2,……,ein}，Sj={ej1,ej2,……,ejn}，那么初始分类匹配矩阵模型TMMM(Si,Sj)表示为：

(10)

由此算法对于网络威胁指数分析问题[9]，在某一时段内的实际值为ri(t=1,2,3,……,n)，威胁预测值为ri(t=1,2,3,……,n)。假设xit为第i种方法的第t个预测值(i=1,2,3,……,m,t=1,2,3,……,n)，在这m种威胁预测方法的加权系数为wi(i=1,2,3,……,m)，eit为第i种方法的第t个预测值的威胁预测误差，则：

eit=rt-xit

(11)

(12)

(13)

综上所述，确定多个预测方法的加权系数wi，可以充分利用每个单独预测方法的优点[10]，再进行重叠预测，使预测效果达到最佳，所以这种预测算法的关键技术就是确定每个单独预测方法的加权系数wi。威胁预测模型中确定每个单独预测方法的加权系数wi是至关重要的，会直接影响到模型的重叠预测准确程度。

在服务层级中，威胁程度与服务的访问量相关，不同时段的访问量不同，在分析时段Δt内，t时刻的服务Si的威胁指数为：

RSi(t)=f(θ,Ci(t),Di(t),N(t),DD)=

θ·(Ci(t)·10Di(t)+100N(t)·10DD)

(14)

其中θ为服务正常访问，Ci(t)为t时刻攻击发生次数，Di(t)为t时刻攻击严重程度，N(t)为t时刻网络带宽占用率，DD为DDoS攻击的威胁等级。RSi(t)=10Di(t)表示评价指标值中较小者的作用，100N(t)是为了把网络带宽占用率转为整数，方便对未知威胁的评估[11]。由此计算可知，RSi(t)值越大，表示威胁程度越高，在一定时段内，可以计算出一段连续的安全威胁值，从而判断服务Si的安全威胁趋势。

在主机层中，t时刻主机Hk的威胁指数为：

RHi(t)=V·Rs(t)

(15)

式中，Rs(t)为t时刻主机的服务安全威胁指数，通过威胁指数计算得到，V表示服务在主机所开通的所有服务中占有的权重比例，RHi(t)越大，表示主机的威胁程度越高，计算出时段内的连续值可以判断主机在一段时间内的安全威胁趋势。电力通信网络中，在t时刻的网络威胁指数为：

RL(t)=f(RH(t),U)=U·RH(t)

(16)

式中，RH(t)表示t时刻电力通信网络的安全威胁值，RHl(t)(l=1,2,……,n)由公式计算而来，n为网络信道数。U表示网络中所占重要性的权重比，RL(t)取值越大，表示危险程度越高，通过计算出一段时间内的连续值，可以判断这段使其内网络的安全威胁趋势。

2 方法设计

2.1 计算电力通信网络特征路径长度

在电力通信网络的数学模型中，有一个基础的定义，可以表示为(fs,Ue)，设较为复杂的通信网络中有N个节点，可以得到无向网络模型、有向网络模型以及加权网络模型，三类网络如图1所示。

(a)无向模型 (b)有向模型 (c)加权模型(a)Undirectional model; (b)Directional model; (c)Weighted model图1 网络模型示意图Fig.1 Schematic diagram of the network model

在如图1所示的网络模型中，分别具备连接矩阵和路径矩阵，以代表链路映射到函数表中的临界元素。若邻接矩阵包含一个0，则分割点不存在路径，若邻接矩阵包含一个1，则分割点存在路径[12-14]。此时若将节点度作为一个重要参量，计算网络模型的平均度，可以通过公式：

(17)

式中，fd表示在加权网络模型d中的网络平均度；Ni表示网络模型中的网络节点数量；fdi表示第i个加权网络平均度；En表示连接节点与网络的链路数量[15-16]。在有向网络模型中，节点的幂律分布可以分为出度与入度分布，此时可以通过公式计算分布函数中的节点度分布：

(18)

式中，hp表示节点的出度分布，up表示节点的入度分布；h-k表示概率分布的累积度；ti表示时间参数；p(ki)表示节点在标度网络中的分布指数[17]。以此计算网络的节点路径长度，可以得到公式：

(19)

式中，XL表示电力通信网络在不同特征中的路径长度；Lij表示路径节点的最短距离平均值。基于以上公式，可以计算不同网络模型中的节点终端距离。

2.2 设置区域协同防御目标变量及约束条件

电力通信网络在传感器的状态估计设施中，可以通过两侧状态变量计算加权平均值的精度指标，计算公式为：

(20)

(21)

式中，θLNR表示量测估计误差在正态分布中的阈值；fe表示设备故障导致的通信干扰系数；f(x)表示由不同的故障原因造成的状态污染剔除函数；kp表示在状态变量中的量测精度[22]。因此可以得到电网故障荷载优化目标变量为：

(22)

(23)

式中，PSmin1表示在特定场景下电力通信网络的线路潮流最小电抗；PSmax1表示该潮流模式下的最大电抗；PSe表示当前电抗值；KSminn表示节点n的最小负荷量；KSmaxn表示节点n的最大负荷量；Pmini表示线路稳定极限的最小出力；Pmaxi表示线路稳定极限的最大出力；Pi表示功率平衡约束的当前出力[23]。据此可以得到某电力通信网络的区域内，终端协同防御过程的荷载值，并划定可防御与不可防御的区域，优化协同防御的系统参数。

2.3 针对未知威胁设计协同防御模型

由于攻击者的未知性，需要在防御模型中，添加一个针对线路集合的识别程序，以此可以得到如图2所示的防御策略算法。

图2 电力通信网络防御策略算法Fig.2 Defense strategy algorithm of electric power communication network

如图2所示，在建立协同防御算法时，首先需要将防御结构初始化，通过攻击识别算法识别未知威胁的种类，并在计算最小路径长度后得到不良数据的辨识结果。此时可以计算荷载量测参数，以验证该方法是否能够得到准确的结果[24-25]。在判断功率输入是否小于检测结果时，可以通过任意电网节点的回报矩阵，计算攻击与防御策略的均衡模型：

(24)

式中，uij表示算法在电力通信网络中攻击与防御的均衡点；Pa表示回报矩阵的信息函数；Dv表示检测结果。当该不等式成立时，代表协同防御的功率为正常值，当该不等式不成立时，则代表该协同防御算法的结果效率达不到要求。在计算所有路径节点后，选取所有路径加入集合，最后在集合中选取最优解作为输出的结果。此时便可以得到电力通信网络终端未知威胁协同防御的优化方法。

3 实验研究

通过对比实验，使电力通信网络攻击防御方获取对协同防御策略实施的体验，验证协同防御机制的有效性，反应协同防御的微观机理。

3.1 实验环境

Ubuntu Server10操作系统的服务器一台；Windows 10操作系统的攻击发动节点一台；协同节点5台，其中主机为Windows 10操作系统。CPU为Intel P4 2.66G，内存10G，硬盘1T，SWAP为1.6G。模拟的网络环境主要由协同防御体系、攻击设备和网络业务设备三部分组成，由此产生流转于网络环境的交互协作流量、攻击流量和业务流量。

3.2 建立电力通信网络物理架构

为测试上文中设计的电力通信网络终端未知威胁协同防御方法的实际防御效果，设计如下实验。

首先设置电力通信网络如图3所示。

图3 电力通信网络Fig.3 Electric power communication network

电力系统与通信网络中存在一条连通的输电线，在图3中以虚线的形式表现。本实验中的电力系统为一个IEEE-14的线路。其中，节点2和节点11为发电机线路，节点1和节点13为过渡节点，节点3、节点5、节点7、节点10、节点12、节点14为电力负荷节点，节点4、节点6、节点8、节点9为源荷节点。在与其相对应的通信网络中，只有一个控制主站，其余节点均为控制子站。

3.3 攻击位置对网络延时的影响

电力通信网络在经过节点时，存在三个运算步骤，分别为上传信号、信号转译以及下发信号。如想要将数据经过节点5传递另一个节点中，需要通过上传信号将数据传递到节点5，然后在节点5中经数据转译处理，最后再经过下发的步骤将数据传递下去。攻击者首先发动攻击的位置如图3所示，设置网络攻击的时间点为50s～60s，攻击结束的时间点为100s～110s。则在通信网络系统中可以有13个节点受到感染，记录每条线路的传输延时，结果如图4所示。

图4 各节点传输延时Fig.4 Transmission delay of each node

根据图4中各节点的延时数据可知，在三个步骤中，下发信号所需时间大于上传信号，信号转译所需时间最少。将除控制主站以外的13个节点分为四类，结果如表1所示。

表1 节点分类Tab.1 Node classification

表1中，通过节点与控制主站的距离，将13个节点分为4种距离长度，其中节点8、节点9、节点12为“1”距离节点，其传输延时的总时间在1.1s～1.3s之间；节点5、节点6、节点7、节点11、节点13、节点14为“2”距离节点，其传输延时的总时间在2.3s～2.8s之间；节点1、节点3、节点4为“3”距离节点，其传输延时的总时间约为3.5s～3.9s；节点2为“4”距离节点，其传输延时的总时间约为5s。通过三类传输延时的对比可知，在同一距离长度下，上传信号、信号转译、下发信号的传输延时相似，随着距离长度的增加，三类传输延时会呈正比例的上升趋势，距离越远，延时越长。

3.4 四类区域协同防御效果分析

根据距离长度，将以上13个控制子站分为4类区域，分别测试四类区域在面对不同威胁时的系统响应频率，以CC攻击、DDoS攻击、蠕虫病毒为例，对本文设计的防御方法进行测试，得到的频率响应结果如图5所示。

(a)CC攻击(a) CC attack

如图5所示，四片节点区域的相应终止时间随距离长度的增加而减少，且相应终止的频率也在不断增加，其响应终止时的时间如表2所示。

表2 频率响应终止时间Tab.2 Frequency response termination time

如表2所示，在三种不同的攻击模式下，四个区域的频率响应终止时间随距离长度的增加而增加，且本文设计的电力通信网络终端未知威胁协同防御方法在频率响应终止时间的测试中，所获得的数据均不超过80ms，具备较好的速度。

4 结束语

电力通信网络是信息化社会的重要组成部分，想要保证电力通信网络的信息安全，就需要在其中的重要节点添加针对未知威胁的防御算法。本文在保证防御效果的前提下，极大地缩短了针对未知威胁的防御响应时间，通过计算网络特征的路径长度，以及构建目标函数和约束条件，得到了一种针对未知威胁的协同防御模型，极大地优化了防御的时间效率。

在未来的相关工作中，可以继续进行协同防御的抗攻击型分析，引入误报率和漏报率等概念，增强协同防御算法的准确性。