基于状态跟踪的变电站主机运行漏洞检测方法

王 莹，于波涛，张 岩

（北京中电飞华通信有限公司，北京 100070）

变电站为电网更稳定和更便捷地供电提供了强大的技术支撑，但是变电站自从与网络服务系统连接后，会受到网络风险的威胁，从而产生较多运行漏洞，对电网供电稳定性造成了影响。相关技术人员针对变电站主机运行漏洞设计了众多的检测方法，文献[1]中设计一种装设在变电站监控主机的硬件模块，内部的组成构架简单、维护方便，具有较强的可操作性，但是对一些新型的漏洞没有识别效果。文献[2]中针对计算机主机运行过程中经常出现的漏洞问题建立离散函数，具有较高的可靠性，但是检测漏洞不具备多面化特性，容易出现漏洞遗漏问题。

状态跟踪技术可以对某一种数据进行持续性地识别，具有一定的可靠性和广泛性，该文设计了变电站主机运行漏洞检测方法。

1 基于状态跟踪的运行漏洞数据采集

变电站主机端口是漏洞数据侵入的第一场所，所以对变电站主机端口中的漏洞数据进行采集是必要的[3]。在端口中建立可以对外访问的TCP/UDP 连接测试服务端口，该服务端口不占用变电站主机端口的内部资源，主要为安全管理人员查询信息提供硬件基础[4]。变电站主机中的数据具有分散性强、跨度广、信息量多的特点，若对内部的数据全部进行筛选采集则会浪费大量的资源，所以需要建立一个具有独立运行的低损耗检测模块，在模块中引用Java多线程机制，通过多线程向主机中输入多个端口中的数据，然后在这些数据中设定一个漏洞数据的目标地址，确定每个端口中漏洞数据的型号，最后实现漏洞数据的筛选与采集[5]。

依据主机端口监控变电站主机各设备的运行状态，当存在异常状态时，触发报警机制。变电站主机设备存在故障时，需要隔离设备，依据故障类型，从专家数据库中调取恢复策略，为变电站主机调度人员提供在线安全稳定辅助决策。通过聚类算法聚类数据采集模块中传感器采集的数据，通过数据分析生成故障分析与处置报告，为变电站调度人员提供数据支持，降低调度人员的工作量，实现在线安全稳定辅助决策。通过状态跟踪进行数据漏洞标识，将数据属性分为可信数据和不可信数据，分析数据安全状态，基于状态跟踪的数据安全状态判定如式（1）所示：

式（1）中，s代表数据的安全状态；p代表数据状态转换操作；s′代表数据特征被执行了操作后的安全状态。数据在漏洞状态机模型中需要对外表现出安全状态，从安全状态中进一步提取安全属性和被执行的操作，然后再根据安全属性和被执行操作判断该数据是否达到了采集范围[6-7]。根据状态分析完成主机所有端口的漏洞数据采集后，进入主机运行程序内进行漏洞数据的采集[8]。

在完成追踪状态分析后，建立一个漏洞状态机模型，对安全数据设定一个专属的标识，并对相关的标识赋予相应的安全性质，所设定的主要数据标识有STO、OPP 和OPV，其中，STO 代表程序中的安全状态转换操作集合，集合中包含所有安全数据属性发生变化时的操作；OPP 代表安全数据经过状态转换后的一个映射内容，其中的各种元素均有独立的编号；OPV 代表安全数据相关属性被执行了某种不信任操作[9]。在漏洞状态机模型中，通过追踪结果，使用STO 集中一个变量的安全状态建立一个五元组：

式（2）中，S代表安全状态集，与STO 集合中的数据相对应；∑代表主机运行数据状态机控制字符集合，可以用来表示STO；f代表数据状态转换函数；s0代表数据在漏洞状态机模型中的初始状态，可以用来代表OPV；z代表终止状态集。因为在漏洞状态机模型中不具备终止状态，所以该集为空集[10]。在确定了所有变电站主机运行数据的安全状态后，利用状态追踪完成状态检测，直接在模型中进行漏洞数据的采集，采集流程如图1 所示。

图1 基于状态追踪的漏洞数据采集流程

分析数据信息，同步采集数据运行状态，记录不同时间段数据模式，确定待采集数据的可信性。变电站主机中的数据被恶意用户控制后的数据是不可信的，该类数据对外表现的是不安全状态，通过对该类数据的采集可以进一步获取到主机运行过程中存在的更大漏洞[11]。确定数据的可信性需要判断数据属性中是否存在缺陷代码，具有缺陷代码的数据一定是不可信的，若是不存在缺陷代码还需要对数据进行可行性标识的跟踪，寻找数据源，判断数据源中是否存在不可信因素，若数据源中存在不可信因素，则该数据源中所有的数据都要被采集[12]。

设定显示模块，通过该模块对信息进行分析，采用状态划分对不可信数据进行合法性检查，其本质是对不可信数据的安全状态进行合法检查，检查不可信数据的识别粒度，分析不可信数据的构成，设置不可信数据在采集流程中的合法性表现，对不可信数据的实时状态进行监测，最后对监测追踪的不可信数据进行整合归纳，在不降低精准度的同时将检查结果上传到变电站主机终端。

在得到状态跟踪结果后，对不可信数据进行实时储存。将经过检查并上传的数据进行统计，利用模型对所有的数据进行定位，设置指引标识，指引标识中包含数据位置、安全状态信息等内容，通过指引标识进行采集和储存。

2 变电站主机运行漏洞数据鉴别

在不可信数据储存库中进行漏洞数据的鉴别，可以寻找漏洞存在位置和发生状态等信息，根据状态信息实现漏洞鉴别。鉴别漏洞数据的方法需要参考变电站主机运行过程中漏洞数据的状态转换处理方式，不同状态的处理方式下有着不同的函数，其中的变量也有所不同，不同的变量则会指引出不同类型的漏洞[13-14]。在进行漏洞数据鉴别前，对采集到的所有不可信数据内部结构特征进行标识，利用状态分析每种特征标识并进行定义，特征定义内容如下：

特征定义1：不可信数据边界是安全状态数据，需要处理边界内部的数据不受外部函数的影响。

特征定义2：不可信数据边界入口是外部不可信数据进入不可信数据储存库中的通道。

基于状态跟踪的数据鉴别过程如图2 所示。

图2 基于状态跟踪的数据鉴别过程

观察图2 可知，利用状态跟踪对数据特征进行检测，确定是否存在异常特征，如果确定有漏洞码，则需要进行漏洞检测，移动鉴别程序后，才能进行继续状态跟踪[15]。不可信数据边界入口可以有效控制不可信数据储存库中的数据量，为鉴别函数提供了稳定空间[16]。不可信数据边界入口也可以作为数据鉴别的基础点位之一，在入口处设定一个漏洞数据目标集，再设定每一个不可信数据在操作集中的属性编号，根据编号确定不可信数据类型，利用状态分析，得到转换目标，然后通过数据类型深入分析状态机转换函数f(s,ep)：

式（3）中，true、false 分别代表经过状态机转换函数转换后的安全状态和不安全状态，这种函数下的漏洞数据鉴别只能够对新进入不可信数据储存库中的数据进行鉴别。

将不可信数据某一个特征作为赋值表达式的左值，右值则体现出不可信数据的安全状态，设定安全状态的左值表达式为Q，那么不同特征量的表达式为：

当Q在表达式中为单个变量时，计算公式为：

式（4）中，Fstate(x) 代表特征变量。当Q在表达式中为单个常量时，计算公式为：

特征赋值在函数的计算中，为了保证鉴别不可信数据的特殊性，还可以将不可信数据的属性代入鉴别内容中。

3 实验研究

为进一步检测该文提出的基于状态跟踪的变电站主机运行漏洞检测方法的实际应用效果，同时采用该文提出的检测方法和文献[1]提出的安全防护装置、文献[2]提出的人工智能网络安全漏洞检测方法进行实验对比。选用不同线程的多端口测试主机，同时选用三种方法对端口进行扫描，扫描过程中，端口呈现开放状态，设定扫描的端口号分别为0～200、200～400、400～600，不同线程所对应的数字分别为20、40、60，在不同时间段内，三种方法接收的变电站主机数据量实验结果如图3 所示。

图3 接收数据包实验结果

根据图3 可知，安全防护装置在进行漏洞检测过程中，接收数据包数量和变电站主机时间呈现非线性关系，在检测过程中出现了两次波动，先后达到两次波峰，当到达第二次波峰后接收数据包开始呈现下降趋势，检测能力逐渐下降。与时间呈现线性关系，随着时间的增加，接收数据包数量逐渐递增，与人工智能检测方法相比，该文提出的检测方法在相同时间内接收数据包数量更多，人工智能检测方法接收数据包数量低于安全防护装置和状态跟踪方法，当检测时间达到360 s 时，接收数据包的大小也仅为14 GB，而该文提出的方法接收数据量已经达到39 GB。

同时采用不同方法进行线程检测，分析不同方法的漏洞检测率和检测误差率实验结果。漏洞检测率实验结果如表1 所示。

表1 漏洞检测率实验结果

观察表1 可知，在检测漏洞过程中，传统的人工智能检测方法检测能力最弱，由于传统检测方法接收的数据包数量较小，因此难以实现很好地漏洞检测，当端口号为0～200 时，人工智能的检测能力最低，随着检测时间的增加，检测能力逐渐增加，最高可以达到70.44%。安全防护装置的检测性能相对较好，漏洞检测率较高，能够较为精准地确定主机运行漏洞，但是到了后期，这种检测方法检测能力逐渐下降，不适合于实际检测。该文提出的检测方法具有较强的能力，随着时间的增加，数据包接收量逐渐增加，漏洞检测率最高能够达到97.33%，适用于实际检测工作。漏洞检测误差率是衡量检测能力的重要标准，实验结果如表2 所示。

表2 漏洞检测误差率实验结果

根据表2 可知，人工智能检测方法的检测误差率最低，虽然该文提出的检测方法漏洞检测误差率略高于对比方法，但是检测率更高，检测能力更强，因此有很高的实际应用价值。在综合分析数据包接收能力、漏洞检测率和漏洞检测误差率等多种因素后，具有更高的应用价值。

4 结束语

我国电网中各层次变电站已经逐渐达到智能化和数字化的水平，在具备电能分配功能的基础上还实现了信息监测、数据储存和数据分析等功能，该文以状态跟踪法作为基础对变电站主机运行漏洞进行检测，通过建立状态机模型对变电站主机运行漏洞中的不可信数据进行采集，然后再利用不可信数据的特殊性和属性特征进行不同种类不可信数据的鉴别，根据不可信数据来确定主机运行漏洞的组成结构、漏洞属性等信息。这种方法将主机中所有不可信数据进行采集与储存，具有较强的广泛性，又分别对每种类的不可信数据进行状态追踪，具有较强的精准性，避免了传统方法中漏洞检测覆盖面不全、精准度差的缺陷。