1 智能变电站网络中的入侵检测

随着网络技术的发展，未来的网络通信将为自动化技术提供坚实的互联基础。智能变电站是典型的电力自动化控制系统，在中国电力网络发展中占据重要地位，其产生的数据具有规模大、复杂性高特点，对数据处理过程和方法有较高要求，同时，对系统的安全防护也提升到更复杂维度上。入侵检测系统作为安全防护的重要组成部分，也是智能变电站安全防护的关键环节。

目前的入侵检测系统是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。近年来国内外对入侵检测的研究集中在精确性中，在机器学习分类算法的提升上有很多应用^[1-10]，这种方法要求首先对捕获的数据进行预处理并且引入参数^[11-17]，在牺牲计算资源的同时可以在一定程度上提高检测系统的精度。另外在建立威胁模型方面，各类相关研究都专注于对特定的网络结构有效获取威胁来源^[18-21]，并且平衡各威胁源对安全的权重也是研究的方向之一。在威胁分析后建立风险模型时，如何使得风险模型有效的反映出系统的安全状态^[22-25]，近年来相关研究以引入机器学习与神经网络方法为主，在消耗运算资源的同时可以得出具有代表性的数值。

将入侵检测系统应用于智能变电站，需要结合智能变电站的运行特征^[26-29]，例如变电站的报文捕获必须采用被动获取的方式，并且不能给变电站施加过多的系统负荷以至影响变电站的运行状态。另外智能变电站需要实时处理大量信息，并且对系统的可靠性要求极高，在任何数据量和运行状态下必须首先满足系统的平稳性要求。所以基于智能变电站的入侵检测系统需考虑系统在被动性、低负荷、实时性以及可靠性方面的影响。基于以上特点，面向智能变电站的入侵检测采用网络式结构设计，以被动式监听工具为载体并优化数据存储结构，使得系统在实际环境中的负载更小。

1.1 入侵检测系统结构

入侵检测系统在工业领域主要检测的威胁包括：利用系统权限进行非法操控，对设备参数的恶意篡改，通信协议的异常和攻击等。检测系统通过收集系统日志，网络报文，用户行为来判断是否产生告警信息，它有3种体系结构：主机入侵检测、网络入侵检测和分布式入侵检测。其中主机入侵检测是检测对主机或服务器的入侵与攻击，具有部署成本低，准确度高，可以应用在加密场景中并且检测出攻击造成的影响，但是主机入侵检测对系统资源占用较多，并且检测方法依赖系统记录文件，对入侵攻击存在一定的时差并且可能出现漏判的情况。

分布式入侵检测是由多个组成部分构成，并部署在网络中的各个设备中，每个设备将各自监听采集到的信息汇总到系统控制中心进行处理，但是这种方式对大型网络部署与维护代价高，并且同样会对系统资源大量占用。网络入侵检测是将系统的监听模块部署在设备的网卡中从而监听整个网络中的报文，从而使得系统的实时性响应度高，能够在收到威胁报文时迅速做出告警动作，并且系统在部署中对资源的需求低，对系统的正常功能影响低，这对设备运行稳定性要求高的设备十分重要；虽然这种模式只能检测到单独网卡中的报文信息，但是由于智能变电站的站控层中，监控主机具有集中收发报文的功能，所以在智能变电站中部署不受影响，适合在智能变电站中使用。

基于以上分析，在资源受限并且对运行稳定性要求高的环境中，使用网络入侵检测是可行且必要的选择。

1.2 智能变电站网络与部署

根据IEC-61850智能变电站通信结构被分为“三层两网”，如图 1所示。

以上结构组成了智能变电站二次通信网络。其中站控层与间隔层的网络为站控层网络，间隔层与过程层中的网络为过程层网络。在站控层网络中，间隔层向上发送MMS(manufacturing message specification)，GOOSE(generic object oriented substation event)和SNTP(simple network time protocol)报文格式的设备信息，站控层向下发送一样格式的控制命令；在过程层网络中过程层向上发送SV(Sampled Value)报文传输设备状态信息，间隔层向过程层发送GOOSE报文。

根据智能变电站中网络结构，入侵检测系统部署在站控层时可以更有效的检测报文，并且将系统界面实时更新在监控主机中；另一方面，来自外部的攻击是以与站控层设备通信为主，通过攻击操作平台来向网络中的设备发送恶意指令，因此系统部署在站控层主机可以更有效及时地应对威胁。

2 面向智能变电站的威胁与风险评价模型 2.1 面向工业设备的威胁分析模型

在网络威胁分析中，部署在网络中的各式安全防护系统所产生数据具有多样化和复杂化的特点，各类威胁分析模型被提出并应用于此类问题，并且在一定程度上对系统整合威胁分析提供了有效的帮助。

对于工业设备中常用威胁分析模型存在3点问题：1)所需系统资源高，威胁分析需要对系统日志，网络报文和数据库进行实时扫描，这对许多工业设备来说容易造成系统过载；2)传统威胁分析对各类数据进行格式统一时会遇到对报文有效信息的误裁剪，尤其是对存在特殊通信协议的系统；3)由于设计和算法的复杂性，系统对攻击的响应滞后，这对安全性要求高的工业设备来说同样是不可接受的。基于以上问题，研究提出面向工业设备的威胁分析模型，模型结构如图 2所示。

模型将信息安全领域划分为3个功能域，功能域之间相互关联，相互传输数据，完成系统整体的安全防护。其中数据功能域负责收集并提供对安全防护有价值的信息；设备功能域用于获取设备信息并评估系统安全风险值；威胁分析功能域是模型中的关键域，负责处理系统日志中的安全信息，入侵检测产生的安全信息，并将所需的数据综合分析后得到设备的风险值，其功能结构如图 3所示。

威胁分析功能域将不同来源的安全特征参数进行汇总，目的是将整个系统中提供的安全计算数据一起纳入风险模型的考量范围。但是风险模型输入的各安全特征对网络的影响参数不同，在优化威胁分析模型时，参考了专利^[30]提出的基于灰色模型的网络脆弱性节点的主动预测方法的权重评估内容计算安全特征对网络全局的影响权重。

在实际计算中首先对图 3中威胁分析功能域中安全分析与其他功能域的9项安全特征参数建立观测矩阵

$ \boldsymbol{A}=\left(\begin{array}{lll} f_{1}(1) f_{1}(2) & \cdots & f_{1}(9) \\ f_{2}(1) f_{2}(2) & \cdots & f_{2}(9) \\ \cdots & \cdots & \cdots \\ f_{t}(1) f_{t}(2) & \cdots & f_{t}(9) \end{array}\right), $

(1)

其中：t代表时刻，f_t(1)代表第t时刻第1个安全特征参数的影响值，并且按照公式(2)对观测矩阵进行无量纲处理得到矩阵A₁。

$ f_{t}^{\prime}(i)=\frac{f_{t}(i)}{f_{1}(i)} , $

(2)

$ \boldsymbol{A}_{1}=\left(\begin{array}{lll} 1 & \cdots & 1 \\ f_{2}^{\prime}(1) f_{2}^{\prime}(2) & \cdots & f_{2}^{\prime}(9) \\ \cdots & \cdots & \cdots \\ f_{t}^{\prime}(1) f_{t}^{\prime}(2) & \cdots & f_{t}^{\prime}(9) \end{array}\right), $

(3)

此时矩阵A₁的第一列向量为观测向量，其他列为比较向量，通过公式(4)计算得到各子项的关联系数并构成关联矩阵M。

$ \varepsilon_{t}(j)=\frac{\min _{t}\left(\min _{j}\left|f_{t}^{\prime}(j)-f_{t}^{\prime}(1)\right|\right)+0.5 \max _{t}\left(\max _{j}\left|f_{t}^{\prime}(j)-f_{t}^{\prime}(1)\right|\right)}{\left|f_{t}^{\prime}(j)-f_{t}^{\prime}(1)\right|+0.5 \max _{t}\left(\max _{j}\left|f_{t}^{\prime}(j)-f_{t}^{\prime}(1)\right|\right)}。$

(4)

$ \boldsymbol{M}=\left[\begin{array}{cccc} 1 & 1 & \cdots & 1 \\ \varepsilon_{2}(1) & \varepsilon_{2}(2) & \cdots & \varepsilon_{2}(9) \\ \ldots & \cdots & \cdots & \cdots \\ \varepsilon_{t}(1) & \varepsilon_{t}(2) & \cdots & \varepsilon_{t}(9) \end{array}\right] $

(5)

此时由关联矩阵M，再通过公式(6)、(7)、(8)得出任意2个安全特征参数的关联度，并形成新矩阵M′。

$ \nu(f(i), f(1))=\frac{1}{T} \sum\limits_{t} \varepsilon_{t}(i), $

(6)

$ \nu(f(k), f(1))=\frac{1}{T} \sum\limits_{t} \varepsilon_{t}(k) , $

(7)

$ \nu(f(i), f(k))=\frac{\nu(f(i), f(1))}{\nu(f(k), f(1))}, $

(8)

$ \boldsymbol{M}^{\prime}=\left[\begin{array}{cccc} 1 & \nu(f(1), f(2)) & \cdots & \nu(f(1), f(9)) \\ \nu(f(2), f(1)) & 1 & \cdots & \nu(f(2), f(9)) \\ \ldots & \ldots & \cdots & \cdots \\ \nu(f(i), f(1)) & \nu(f(i), f(2)) & \cdots & 1 \end{array}\right], $

(9)

因为M′是非负对称矩阵，M′存在最大模特征值λ，设特征向量为P, 存在λP=M′P, 此时该特征向量P即表示第i个安全特征参数在全局中的影响。

计算后可以根据9个安全特征参数在网络中的不同影响加以权值分析，使得模型计算出的风险值更具有说明性。

2.2 风险数值计算系统模型

在对威胁分析功能域模型中的9个影响参数进行计算后，系统在面临威胁攻击时主要产生影响的安全风险参数为以下5类，攻击风险，故障风险，报文数据，入侵告警以及设备可能故障，其中后三者为前两者的计算提供依据。所以攻击与故障的风险对整个系统的安全分析具有重要价值，为了进一步使计算出的安全风险具有代表性和说服力，系统将攻击与故障造成的风险进行分类。系统使用C(confidentiality)，I(integrity)，A(Availability)3个维度的安全风险因素作为分析元组，结合入侵检测中识别到威胁报文的攻击动态计算风险数值，最后将计算结果输入到威胁分析功能域中，通过功能模型对系统设备风险值实时更新。

在计算风险元组的参数数值时参考层次分析法(AHP)计算模型，考虑到该方法在一致性比较中一致性检验的代价不确定，并且存在主观性判断影响，为了优化参数生成，文献[31]中提出的攻击模型与文献[32]中提出的模糊一致判断矩阵实现对风险值参数的优化。

算法首先对某次入侵攻击R在机密性方面对下层传播层次元组中的a₁, a₂, …, a_n进行重要程度比较，按照表 1中的0.1~0.9标度的九标度法，从而生成模糊矩阵C。

$ \boldsymbol{C}=\left(\begin{array}{ccc} r_{11} & \cdots & r_{1 n} \\ \vdots & \ddots & \vdots \\ r_{\mathrm{n} 1} & \cdots & r_{n n} \end{array}\right), $

矩阵C满足：r_ii=0.5，i=1, 2, …, n；r_ij=1-r_ji，i=1, 2, …, n；r_ij=r_ik-r_jk, i, j, k = 1, 2, …, n。

接着对矩阵判断是否满足一致性，如果不满足则对矩阵进行一致化处理：以1，2行为例，r₁₁+r₂₂=r₁₂+r₂₁=1；r₁₁-r₂₁=r₁₂-r₂₂=a，r_2k=r_1k-a；同理推出，r₁₁-r₃₁=r₁₃-r₃₃=b，r₃₂=r₁₂-b，进一步得出r_kj=r_1j-C(j = 2, 3, …, n, k≠j)；

根据公式(10)计算得出新矩阵，最后按照公式(11)进行归一化处理后得到参数值。

$ r_{i j}^{\prime}=\frac{1}{2 n} \sum\limits_{k=1}^{n}\left(r_{i k}-r_{j k}\right)+0.5 ; $

(10)

$ \boldsymbol{W}_{i}=\frac{1}{n}-\frac{1}{2 a}+\frac{1}{n a} \sum\limits_{k=1}^{n} r_{i k}^{\prime}, $

(11)

在完整性、可用性方面同理，经计算得到攻击在机密性、完整性、可用性3个方面的评价指数。

在得到了攻击在3个维度的评分后对风险值进行进一步计算，公式如下

$ f_{c}(x)=\left[\sum\limits_{\mathrm{i}=1}\left(C \cdot T C_{i}\right)\right] / N , $

(12)

$ f_{i}(x)=\left[\sum\limits_{\mathrm{i}=1}\left(I \cdot T I_{i}\right)\right] / N , $

(13)

$ f_{a}(x)=\left[\sum\limits_{\mathrm{i}=1}\left(A \cdot T A_{i}\right)\right] / N , $

(14)

其中：f_c (x)，f_i (x)，f_a (x)分别表示攻击在机密性，完整性，可用性方面所造成影响与范围的评价指数；i代表第i个攻击可能引起的故障；C，I，A分别代表该攻击在机密性、完整性，可用性方面的评价指数；TC_i，TI_i，TA_i分别代表当前故障在机密性、完整性、可用性方面的评价指数；N代表可能引起故障的总数。

经过公式(12)、(13)、(14)计算出的对应风险值可以将攻击对系统风险影响的范围进行较好的定义，从而对后续系统安全防护提供重要依据。得到攻击在不同维度造成的风险评估后，系统需要将风险值更新至设备列表中，具体可以依据的函数为

$ F_{c}(x)=f_{C}(x) \cdot T(y), $

(15)

$ F_{I}(x)=f_{i}(x) \cdot T(y), $

(16)

$ F_{a}(x)=f_{a}(x) \cdot T(y), $

(17)

其中y代表该攻击来源攻击的次数，T (y)函数为

$ T(y)=\left\{\begin{array}{cc} 100, & y \geqslant 20 \\ 50, & 0 \leqslant y<20 \\ 20, & 5 \leqslant y<10 \\ 10, & 1<y<5 \\ 1, & \mathrm{y}=1 \end{array}\right.\ \ \ , $

(18)

T (y)函数根据不同攻击次数设定不同的参数以提高风险值，将最终的风险值更新到系统中。

在威胁与风险评价模型实际部署在入侵检测系统中时，系统执行流程将分为3步：1)每当系统受到威胁攻击，系统将首先通过威胁分析模型把9条关键参数传入到威胁分析功能域中，该域通过基于灰色模型的网络脆弱性节点主动预测的方法将9条参数的权重计算出来；2)系统将作用于攻击与故障的5条加权后的参数传入风险数值计算系统模型中，经过模糊一致矩阵和相应算法得出攻击在3个安全维度中的评估；3)将得出的评估数值传回威胁分析功能域，以经过三维风险计算的5条高权重安全影响因素为主体，加上4条低权重安全影响因素综合得出系统的安全风险，并实时更新。

3 系统实现 3.1 系统网络结构设计

为了将系统网络部署在智能变电站站控层设备中，本系统首先部署在与站控层设备具有相同内核的CentOS云服务器中，并且对系统的相关实验也在相同环境中建立并进行测试，服务器中的系统部署如图 4所示，其中系统的重点功能是根据检测出的数据对告警终端信息的后续处理以及设备风险值的同步更新。

对告警信息提供了下载与查看攻击详情的同时，可以联合查询，如来自同一攻击源发送的其他攻击信息等。对设备风险值的同步更新通过对数据库的低耦合性设计，使得在交互过程中可以保证良好的数据独立性。

3.2 数据库与交互设计

系统在实现风险值更新模块设计时采用了共享数据表的方法，通过数据访问实现入侵检测系统与风险计算关联交互，对数据库要进行相应的优化设计。

系统告警信息通过风险数值计算模型得出的三维度风险值，将分别存储在两张表中，第一张表在攻击发生后的初次计算后写入，第二张表在写入后通过更新算法继续写入，系统只从第二张表中获得更新后的数据，第一张表只用于数据计算，表示结构如表 2所示，并且单独列出数据表表示更新后的系统风险值表结构所示，这样降低数据耦合度可以使得数据访问效率和数据安全性提升。

通过对数据表的共享处理实现了入侵检测系统对安全分析风险值更新，另外在系统交互方面，为了更好地适应智能变电站网络，对入侵检测系统采用模块化分析，通过优化存储连接的方法优化性能表现。入侵检测系统结构分为：数据嗅探，威胁分析，响应处理和数据存储模块。模块之间的关系如图 5所示，其中数据嗅探器为被动式嗅探工具；威胁分析使用了官方数据漏洞库并提供更新漏洞库版本接口，并增加自定义威胁来源功能；在响应处理中对识别的威胁报文提供下载，查看详细信息和攻击类别的功能；最后优化存储结构，使得风险分析系统可以有效更新被攻击设备的风险值。

经过对各功能和效率的比较，嗅探器部分功能实现选择Snort，使得系统在满足被动式报文获取的同时可以匹配官方Snort漏洞库进行威胁分析，这样使得系统在入侵检测中更加适配，执行效率更高。Snort威胁分析是一种基于特征的入侵检测系统，入侵检测的关键模块在于威胁分析模块，其处理逻辑如图 6所示，其中报文解码与预处理对报文进行格式处理并先后交由2次匹配判断是否为威胁报文并存储，其数据可以为后续进行数值分析提供依据。

在按照上述结构完成系统搭建后，对系统交互逻辑实现了有效的优化。

4 实验与结果分析

系统在服务器中的部署后进行了运行效率以及模拟攻击测试的实验。其中运行效率分别考虑网络极限和处理器极限状态时的系统运行情况。

在网络测试中对1 M带宽的服务器中下载上传文件，使得网络带宽被占用的同时对服务器发送标记威胁报文，从而测试系统的有效性。结果如表 3所示。

在处理器测试中对1核1 G内存的服务器中对文件，在处理器占用时对服务器发送标记威胁报文，从而测试系统的有效性。结果如表 4所示。

如上述实验所示，在网络和处理器资源占用较大时系统依然具有良好的可靠性，并且证明了本系统对资源的占用低，不影响系统性能。

模拟攻击测试共分为5种类型的测试，包括更改权限，数据库访问，删除文件，虚假指令以及自定义威胁来源的测试。

测试结果使用混淆矩阵来评估表现，如表 5所示。

其中，TP(真阳性)表示正确预测的正常报文；FN(假阴性)表示错误预测的正常报文；FP(假阳性)表示错误预测的攻击报文；TN(真阴性)表示正确预测的攻击报文。其中预测正确的是TP，TN，故攻击实验的系统精确值计算方法为

$ P=\frac{T P+T N}{T P+F P+T N+F N}, $

(19)

分别对上述的5种攻击进行测试，将测试结果统计后如表 6所示。

在系统的攻击测试中，虚假指令一项识别率较低，分析认为主要有以下3点原因：1)入侵检测的关键部分漏洞规则检测中对虚假指令的涵盖不足；2)单个服务器难以还原智能变电站网络结构，所发送的虚假指令不能向下传输；3)因为构造的模拟报文不能正确触发预警；这种情况可以通过自定义规则，或者在实际网络中测试优化。

通过上述实验结果，总体上入侵检测系统可以满足主要的攻击检测需求，并且对系统的资源需求较低，可以作为安全辅助系统部署在智能变电站中。

5 结论

主要针对智能变电站中建立入侵检测系统进行研究，通过调整系统结构，存储方式，同时提出三维风险值更新算法，将入侵攻击的范围与影响直观的体现出来，实现了实时分析的被动式入侵检测系统，并且通过一系列实验证明了系统的有效性，为安全防护和后续研究提供了相关的依据和经验。