电力系统信息化、网络化、智能化建设的持续推进使远距离、大范围的电力监测控制成为现实,在为电力业务开展带来便利的同时,也给电力监控系统网络安全带来更大的挑战.在网络安全新形势下,新型攻击工具、攻击手段、安全漏洞层出不穷,攻击路径更是难以预测,传统的电力监控系统网络安全防护手段已经不能很好地满足新形势下的防护要求.网络安全态势感知(NSSA)借助机器学习、人工智能、大数据等技术手段,通过对长期、海量网络安全态势数据处理的学习,洞察数据隐含的内在逻辑关系,对电力业务网络中各种活动实现异常行为辨识、攻击意图理解和影响评估,以提升对安全态势的推理性判断和知识性把控能力.本文从实践角度对构建电力监控系统网络安全态势感知平台所涉及的关键技术开展研究.

网络安全态势感知技术^[1]是以大数据平台为基础,从全局、动态视角获取、关联、理解并展示各类网络安全态势要素,对当前的网络安全态势以及未来出现的可能性威胁进行态势分析、判断、预警和处置,以提升对网络安全威胁的发现识别、分析洞察、发展预测和响应处置能力^[2,3].

网络安全态势感知系统主要包括6部分:数据采集与数据预处理、安全态势要素获取、态势理解与评估、态势预警与处置、态势认知模块,以及作为态势数据存储、处理、分析基础的大数据平台.网络安全态势感知系统框架^[4,5]如图1所示.

通过海量数据采集与数据预处理,进行安全事件关联,从大量的安全事件中发掘隐藏的相关性.单看局部信息可能无法发现问题,但将全局所有信息整合到一起,就可能发现隐藏其中的网络攻击行为.提取安全态势要素,进行安全态势分析与理解,并对当前的时间点进行危险评估、判断危险等级,对未来的安全态势进行预测、预警和处置.态势理解与评估是通过对提取的数据进行合理分析,探究当前网络系统是否正遭受或者将要遭受网络攻击,并通过定量指标量化所处的风险,给出攻击路径,然后根据评估模型将态势具体化和细化,生成相对安全的态势展现.态势预测及处置是对当前网络环境进行合理预测,对重大风险提出应对措施.态势认知是指通过机器学习、人工智能、大数据等技术,从长期、海量态势数据的处理中学习,洞察数据隐含的内在逻辑关系,以提升对安全态势的推理性判断和知识性把控能力,不断优化系统态势决策能力.

针对工业控制系统乃至电力系统的网络攻击,其典型案例有2010年伊朗“震网”病毒、2015年乌克兰大停电、2019年委内瑞拉大停电等.电力监控系统作为关系国计民生的关键信息基础设施,其网络安全遭到威胁时不仅会导致业务中断、数据泄露、系统无法使用等问题,而且对现实社会造成直接的、巨大的影响.电力监控系统面临的网络安全风险主要体现在以下4点.

(1) 攻击电力监控系统:智能电网电力监控系统若遭受有组织的黑客网络入侵,黑客通常会先潜伏下来,然后采用逐级渗透模式,通过嗅探、渗透、提权等手段对系统内主机、网络和设备进行蚕食,待时机成熟后突然发起集团式组合攻击,通过夺取开关操作控制权、瘫痪业务系统、引爆逻辑炸弹、修改保护定值等方法,引发开关跳闸、保护误动或拒动、业务系统崩溃,进而造成一次设备故障、电网震荡,严重时导致整个电网瘫痪,甚至出现大面积停电事故.

(2) 攻击调度数据网络:黑客通过直接攻击调度数据网的网络设备造成个别设备停止服务,甚至可通过路由器自身漏洞渗透修改关键路由器配置引发诸如网络设备频繁中断、全网路由震荡等情况,进而导致调度数据网大面积故障和中断,直接影响电力调度业务的正常开展.

(3) 窃取关键敏感数据:当前数据资源已成为新的生产要素和国家战略资源,对经济发展、人民生活、空间主权有着重大影响.电力生产数据具有敏感性、保密性和重大使用价值,但长期以来电力调度数据安全保障技术手段匮乏.电力内网一旦遭受网络入侵,关键资料和敏感数据外泄,将对国家安全造成重大隐患.电网公司除了拥有大量涉及国家安全、企业核心商业利益的机密数据,还拥有电力设备名称和位置、客户个人信息以及用电信息等敏感数据.特别是随着电力市场的推进,保护敏感数据的需求更加突出,如果这些数据被泄露、损坏,不仅会给电力企业带来经济上的损失,而且会给国家安全带来隐患.

(4) 借机发布反动信息:入侵电力网络后,黑客利用电力信息系统存在的漏洞和隐患,劫持业务系统网站,篡改网页,发布反动言论,传播非法信息,造成恶劣的社会影响.

电力调度机构经过十多年的努力,按照“安全分区、网络专用、横向隔离、纵向认证”的安全方针建立了栅格状电力监控系统安全防护体系.2017年起,在国家电力调度通信中心统一领导下,在调度机构建设网络安全管理平台,在 35 kV 以上厂站部署网络安全监测装置,实现对主站和厂站电力监控系统网络安全事件的全面采集和快速处置,取得了良好效果.但从网络安全风险管控角度看,新形势下电力监控系统仍然存在网络安全风险:海量异构数据关联分析效率低、网络行为异常监测预警能力差、网络安全高危风险识别难度大、网络攻击联合应急处置协同差.针对以上技术问题,华东电力调度控制中心将人工智能、机器学习、大数据等新技术应用于电力监控系统网络安全领域,通过构建基于Hadoop+Spark 分布式存储架构的电力监控系统网络安全态势感知平台,实现安全事件的多维度关联、智能化分析和可视化呈现,全方位构建动态监控、关联预警、协同处置的电力监控系统纵深防御体系.

广义的电力监控系统网络安全态势感知技术领域上可分成4部分:态势感知、态势认知、态势处置和态势呈现,共同构成电力监控系统网络安全纵深防御体系.电力监控系统网络安全态势感知和认知系统技术框架详见图2.由图可见,电力系统态势感知包含电力监控、电力工控和电力物联业务这3类典型电力业务场景.在态势认知的帮助下,系统可以通过学习洞察网络安全事件间的内在逻辑关系,不断优化自己的决策能力.

智能电网网络安全态势感知系统以安全大数据为基础,全面收集安全日志、网络流量、终端日志、业务数据、用户行为、资产状态等多源数据,结合外部威胁情报,实现网络安全风险的实时监控、分析、响应和预测,从威胁、风险、资产、业务、用户等多个视角,对全局网络安全态势进行态势感知、态势认知、态势处置和态势呈现.电力监控系统网络安全态势感知技术实现架构如图3所示.电力监控系统网络安全态势感知平台智能安全引擎示意图如图4所示.

电力监控系统网络安全态势感知系统架构上包含4个层次:数据采集与预处理层、态势数据存储计算层、态势数据理解层、态势呈现层.

3.2.1 数据采集与预处理层 数据采集主要包括日志采集和原始流量采集,日志采集功能包括日志接收、日志分类、日志格式化和日志转发,流量采集功能包括流量采集、协议解析、文件还原和流量元数据上报.数据采集层需要支持海量高速多类型日志采集和归一化操作,通过成熟的主流日志采集工具Flume,将采集到的日志进行归一化后,通过Syslog、文件或Kafka消息队列的方式同步到大数据存储平台.数据预处理是对采集到的数据实施清洗/过滤、标准化、关联补齐、添加标签等处理,并将标准数据加载到数据存储中,对于被标准化的数据应保存原始日志和原始流量.数据预处理层对采集器上报的归一化日志和流探针上报的流量元数据进行格式化处理,补充相关的上下文信息,并将格式化后的数据发布到分布式总线.

3.2.2 态势数据存储计算层 态势数据存储计算层基于 Hadoop+Spark 分布式计算存储架构,对于搜集的网络设备、安全设备、主机设备、业务系统、数据库、终端等的海量流量、日志、行为及状态数据,通过 ElasticSearch 分布式搜索和分析技术实现安全事件的多维度关联、智能化分析和可视化呈现.Hadoop分布式文件系统(HDFS)用于存储历史海量数据,进行离线大数据分析;ElasticSearch为索引性数据库实现海量数据下的快速检索查询.

3.2.3 态势数据理解层 态势数据理解层利用大数据分析技术对存在的主要安全威胁和攻击事件进行态势判断,对内外部安全威胁状况从网络威胁、系统安全维度进行态势安全理解,主要包括关联分析、异常检测和威胁分析等功能.

(1) 关联分析主要通过挖掘事件之间的关联和时序关系,从而发现有效的攻击.关联分析采用了高性能的流计算引擎,引擎直接从分布式消息总线上获取归一化日志装入内存,并根据系统加载的关联规则进行在线分析.

(2) 流量基线/异常检测主要解决网络内部的主机/区域之间的异常访问问题.流量基线是指网络内部主机之间、区域之间或者内外网之间的访问规则,包括指定时间段内是否允许访问、访问的频次范围、流量大小范围等.

(3) 威胁判定根据多个异常进行关联、评估和判定产生高级威胁,为威胁监控和攻击链路可视化提供数据.威胁判定按照攻击链的阶段标识/分类各种异常,并以异常发生的时间为准,通过主机IP、文件MD5和URL建立异常的时序和关联关系,根据预定义的行为判定模式判定是否高级威胁,同时根据相关联异常的严重程度、影响范围、可信度进行打分和评估,从而产生威胁事件.

3.2.4 态势呈现层 智能电网网络安全态势感知系统的正常运行可利用可视化技术,将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化,形成全局性、动态化、关联化的可视化视图.利用全网威胁情报和大数据平台分析对攻击事件和潜在隐患进行实时检测,实现安全事件实时监控与预警,提供丰富多样的数据可视化效果,包括3D图表、雷达图、拓扑图、热度图等样式,从不同视角和维度进行风险呈现.态势呈现层提供Web图形化界面展示网络安全态势现状和趋势,包括安全告警、关联的安全事件、网络攻击态势、风险态势等,通过可视化、流程化的安全运营决策体系直观展现,更全面地掌握电力监控系统网络安全态势,有针对性地对网络设备、安全设备、主机设备等的防护策略进行主动调整来阻断攻击,达到网络安全的可视、可管、可控.

从电力调度网络安全实践角度看,智能电网电力监控系统网络安全态势感知系统的主要关键技术有多维度安全事件关联分析模型^[5]、基于“基线学习”的异常流量和异常行为检测方法、基于攻击场景的攻击链识别模型和基于“地址自校验”的电力遥控安全等技术.

3.3.1 多维度安全事件关联分析模型 鉴于电力监控系统涉及的网络设备、安全设备、主机设备和应用系统厂家、型号、版本差异较大,数据采集规范标准、协议方式也各不相同,首先对这些多元异构数据进行过滤、整合,并做归一化处理,采用标准化格式进行存储、管理,借助安全事件关联分析对采集的数据进行融合.网络安全事件关联分析目的在于从看似分散独立的海量安全信息中寻找异常活动的潜在逻辑关系,发现网络攻击意图、步骤、危害、风险等信息,具体做法是对多源数据进行分析、聚类、分类、关联、以获得更高层面、更高质量的安全态势信息.电力监控系统业务环境下采用多维安全事件关联分析方法,从资产关联分析、逻辑关联分析、时间序列关联分析、漏洞关联分析、威胁情报关联和基线统计关联6个维度进行关联,基于聚类算法、正态分布和累积概率分布构建异常识别模型,从多个维度进行异常判别,解决异常行为识别和网络安全预警问题^[6].

3.3.2 基于“基线学习”的异常流量和异常行为检测方法 基于机器学习对一定时间及空间范围内大范围样本数据进行智能化分析,构建 “行为基线”和“流量基线”,根据用户行为基线特征和网络流量基线特征发现潜在的安全威胁.通过机器学习算法训练出相应的网络流量分类、异常流量检测、威胁行为分析和流量趋势预测模型,由此进行结果输出.根据知识库中的安全量化指标,对分析输出的结果进行量化评估,通过学习和分析用户使用过程的历史数据反馈,用来改进模型和算法参数,从而不断提高模型的准确率,减低安全事件的误报率并有效发现潜在威胁^[7].

针对电力具体业务环境,根据历史数据,基于机器学习实现海量网络流量的数据分析及流量基线挖掘.为实现流量基线应能基于实际业务变化而进行自适应动态调整,提出一种流量基线的生成方法.该方法在多变量时间序列基础上使用长短期记忆网络模型来动态生成流量基线,在周期内根据流量变化情况自适应动态调整基线,解决传统静态流量基线在业务变化情况下适应性差、误报多的问题,有效提升网络行为异常的检测效果.

3.3.3 基于攻击场景的攻击链识别模型 基于恶意代码防护技术和知识图谱技术研发了基于“攻击场景”的攻击链识别模块,使电力监控系统网络安全态势感知平台能够有效实现对变种恶意代码和基于攻击链的未知攻击的有效识别和预警,提升电力监控系统恶意代码监测能力.针对网络攻击者留下的蛛丝马迹进行多维挖掘,动态绘制出完整的攻击链条,以便对安全事件进行溯源.基于大数据平台提供原始日志检索功能,对攻击事件的影响和系统防御效果进行评估,并综合展现攻击的完整过程,覆盖攻击的源头、手段、目标、范围等相关信息,并可对被发现的未知威胁进行快速溯源和定性.同时,针对网络安全应急处置严重依赖“人工经验”的现状,构建电力监控系统网络安全应急处置知识图谱,研发网络安全事件自动化响应和处置模块,在遭受网络攻击时能自动匹配、智能推荐网络安全应急预案,提高了网络安全事件响应和处置的效率.

3.3.4 基于“地址自校验”的电力遥控安全技术 目前,我国电力系统普遍采用DL/T 634.5104远动通信标准.该标准使用信息对象地址来指定操作的目标对象,通信双方的信息表仍然使用连续的地址编码方式,且在整个通信过程中不具备防错纠错机制.此外,遥控遥调所使用的顺序编码地址众所周知、相对固定且范围不大,从而也给黑客通过电力二次系统攻击、控制电力一次系统(遥控遥调)提供了可能,某种程度上讲,电力调度普遍采用的104通用规约存在安全漏洞和隐患.本文通过扩充104通用规约地址域使其支持离散编排应用方式,令遥控遥调对象使用离散化的信息对象地址(与相应一次设备名称、调度编号等固有属性相对应),且所有合法的遥控遥调指令均可自校验.误遥控遥调指令由于不存在该特定预设映射关系,将无法通过厂站侧的校验,从而被拦截;来自网络攻击、伪装了的遥控遥调指令也将由于不能匹配地址校验而被发现,并触发网络安全告警,可及时开展攻击预警与处置.

针对 EC60870-5-104 电力远动通信规约中遥控操作采用连续地址编码以及规约本身缺少防错纠错机制的安全隐患,采用基于地址自校验的电力远动可靠控制方法,有效地解决了黑客利用电力通用规约安全漏洞伪造遥控报文进行“遍历式”遥控攻击的问题.

网络安全态势感知是借助机器学习、人工智能、大数据等技术,通过对从长期、海量网络安全态势数据处理的学习,洞察数据隐含的内在逻辑关系,实现对电力业务网络中各种活动的行为辨识、意图理解和影响评估.针对智能电网面临的日益严峻的网络安全威胁,围绕风险、资产、业务应用等对象,构建了智能电网电力监控系统网络安全态势感知系统,从安全日志、终端行为、网络流量、业务数据等多方面入手,进行相关数据的全面收集,通过网络安全态势要素提取、网络安全态势理解、态势风险评估、判断风险等级、态势可视化展现、安全态势预测预警等技术手段,智能电网电力监控系统网络安全态势感知平台实现了对各类安全风险的实时监测能力,大幅提升了对网络安全态势的推理性判断和知识性把控能力,从而实现从传统的被动、静态的网络安全到主动、动态网络安全的转变.

本文针对电力监控系统网络安全现状和不足,从实践角度详细阐述了电力监控系统网络安全态势感知平台所涉及的多维度安全事件关联分析模型、基于“基线学习”的异常流量和异常行为检测方法、基于攻击场景的攻击链识别模型和基于“地址自校验”的电力遥控安全技术等关键技术.但目前对于网络安全态势感知的研究和时间还处于初级阶段,许多关键问题还有待进一步研究解决,尤其是关于态势理解、态势认知相关的算法还有待深入研究.