郭靜，黃偉，郭雅娟，周超，陳昊

（國網(wǎng)江蘇省電力公司電力科學(xué)研究院，江蘇 南京 211103）

1 引言

智能變電站是智能電網(wǎng)的重要組成部分，具有全站信息數(shù)字化、通信平臺網(wǎng)絡(luò)化、信息共享標(biāo)準(zhǔn)化等技術(shù)特征。目前，智能變電站自動化系統(tǒng)建設(shè)多采用IEC61850通信標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由國際電工委員會（IEC）共同開發(fā)，致力于提供一個靈活性、通用性強(qiáng)的通信系統(tǒng)[1]?；贗EC61850標(biāo)準(zhǔn)建設(shè)的智能變電站不再是一個孤島，工作人員和攻擊者都可以進(jìn)入變電站內(nèi)網(wǎng)，這帶來了新的安全威脅[2]。此外，基于微處理器的智能電子設(shè)備（IED）、基于廣域網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議TCP/IP（WAN）的新技術(shù)在變電站內(nèi)廣泛應(yīng)用，使用IED進(jìn)行維護(hù)或用戶界面遠(yuǎn)程訪問成為常見的做法。變電站存在的潛在漏洞，如不符合規(guī)范的標(biāo)準(zhǔn)協(xié)議、未經(jīng)授權(quán)遠(yuǎn)程訪問變電站IED以及一些變電站IED和用戶界面配置有Web服務(wù)器，可通過服務(wù)器進(jìn)行遠(yuǎn)程配置改變、控制默認(rèn)密碼等都對安全造成極大威脅。面對這些漏洞，即使采用防火墻和加密方案來加固網(wǎng)絡(luò)，仍可能會使攻擊目標(biāo)暴露在入侵者面前。綜上所述，亟需一種新技術(shù)來全面評估智能變電站的安全情況并采取有效的措施保障網(wǎng)絡(luò)的安全。目前，智能變電站網(wǎng)絡(luò)安全性研究仍然是一個新興的領(lǐng)域。因此，本文重點研究網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)在智能電網(wǎng)的應(yīng)用，并在此基礎(chǔ)上評估智能變電站的安全性。

態(tài)勢感知的概念來自于航空航天領(lǐng)域中的人為因素的研究。美國國土安全部把“態(tài)勢感知”定義為“識別、處理、綜合發(fā)生在重要設(shè)施或組織上的關(guān)鍵信息元素的能力”。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全問題變得越來越嚴(yán)峻。為了應(yīng)對不斷增加的安全威脅，大型網(wǎng)絡(luò)中使用了多種安全設(shè)備。這些設(shè)備報告了大量的安全事件[3]，然而在面對大量的預(yù)警信息時，很難準(zhǔn)確把握整個網(wǎng)絡(luò)的安全狀態(tài)。為解決這個問題，研究者將態(tài)勢感知的概念引入網(wǎng)絡(luò)安全系統(tǒng)中。1999年，Bass T首次將這一概念引入網(wǎng)絡(luò)，提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知框架，該框架可以幫助網(wǎng)絡(luò)管理員識別、跟蹤和評估網(wǎng)絡(luò)攻擊活動[4]；以Endsley態(tài)勢感知框架參考，賴積保等人[5]提出了新的網(wǎng)絡(luò)安全態(tài)勢感知模型，為了解整個網(wǎng)絡(luò)安全的趨勢，必須收集、融合和分析大量的信息，減少誤報率；湯永利等[6]報道了一種基于加權(quán)D-S證據(jù)理論的信息融合方法，該方法由D-S證據(jù)理論對（BPA）基本概率分配依次進(jìn)行合成計算，弱化人為因素對BPA的影響，提高BPA的預(yù)測精度和網(wǎng)絡(luò)安全態(tài)勢識別率。

從網(wǎng)絡(luò)安全信息獲取到構(gòu)建網(wǎng)絡(luò)安全態(tài)勢模型是一個復(fù)雜的過程。但是，大多數(shù)研究都集中在安全事件分析或安全風(fēng)險評估方法的融合。沒有對網(wǎng)絡(luò)安全狀況整體、正式的描述，缺乏一個完整的態(tài)勢感知框架。此外，大多數(shù)研究工作只專注于互聯(lián)網(wǎng)的網(wǎng)絡(luò)態(tài)勢感知框架和評估方法。

在分析智能變電站安全威脅的基礎(chǔ)上，本文綜合物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、協(xié)議安全、數(shù)據(jù)安全等因素提出了一種安全態(tài)勢感知模型，并提出了一種基于專用智能變電站網(wǎng)絡(luò)安全態(tài)勢感知裝置的變電站網(wǎng)絡(luò)安全監(jiān)控方案。該方案根據(jù)變電站網(wǎng)絡(luò)流量、網(wǎng)絡(luò)環(huán)境、服務(wù)穩(wěn)定等特點，將生產(chǎn)及維護(hù)過程中產(chǎn)生的網(wǎng)絡(luò)干擾考慮在內(nèi)，采取了探測思想對網(wǎng)絡(luò)異常特征和攻擊行為進(jìn)行分析。最后，提供了一個設(shè)計方案，包括智能變電站網(wǎng)絡(luò)安全態(tài)勢感知裝置的實施架構(gòu)和軟硬件設(shè)計。該方案采用多層軟件體系結(jié)構(gòu)，包括數(shù)據(jù)采集層、預(yù)處理層、分析層和可視化層，各層具有相對獨(dú)立的功能，并通過消息總線進(jìn)行交互；另一方面，根據(jù)工業(yè)控制系統(tǒng)（ICS）的特點，硬件設(shè)計采用英特爾Sandy Bridge處理器、總線結(jié)構(gòu)和模塊化設(shè)計技術(shù)，以滿足高性能的需求。

2 變電站架構(gòu)及其安全分析

2.1 變電站架構(gòu)

圖1是典型的變電站結(jié)構(gòu)[7]，其中主要組件是智能電子設(shè)備（IED）、電力設(shè)備、變電站控制中心。變電站控制中心位于站點中心，監(jiān)控和管理大量智能電子設(shè)備。智能電子設(shè)備通過傳感器等收集站內(nèi)電流和電壓數(shù)據(jù)，并將數(shù)據(jù)發(fā)送到站控層；另一方面直接或通過過程層網(wǎng)絡(luò)接收控制指令，驅(qū)動執(zhí)行器完成控制功能。變電站控制中心具有分級結(jié)構(gòu)，一個高級別主站可控制多臺低級別主站。

圖1 典型變電站結(jié)構(gòu)

數(shù)據(jù)和命令傳輸可能發(fā)生在變電站控制中心和IED之間、IED之間或IED和傳感器（或開關(guān)設(shè)備）之間。信息通過變電站網(wǎng)絡(luò)傳輸，變電站網(wǎng)絡(luò)是基于各種通信信道和網(wǎng)絡(luò)技術(shù)（包括以太網(wǎng)、串行鏈路、無線通信）建立的，這些通信都基于IEC61850標(biāo)準(zhǔn)。

2.2 安全性分析

安全性分析的目的是找出可能威脅到智能變電站的攻擊。已經(jīng)存在許多關(guān)于各種信息網(wǎng)絡(luò)安全攻擊的研究方案，這些方案主要可以分成兩種：一種是從防護(hù)者的角度出發(fā)；另一種是從攻擊者的角度出發(fā)。從防護(hù)者的角度來看，需要滿足自身的安全需求，因此安全策略以及執(zhí)行安全策略的安全機(jī)制都是必須的。安全策略的可執(zhí)行性取決于使用的機(jī)制，但無論選擇哪種方式，都不能影響系統(tǒng)的性能。另一方面，從攻擊者的角度來看，攻擊者總是想方設(shè)法實現(xiàn)既定目標(biāo)。目前，兩類主要攻擊類型可以被識別：一類是破壞服務(wù)功能 （可用性攻擊）；另一類是獲取機(jī)密信息，用于不公平競爭、勒索等惡意行為（保密性攻擊）。

3 網(wǎng)絡(luò)安全態(tài)勢感知建模

建模是網(wǎng)絡(luò)安全態(tài)勢感知（NSSA）的基礎(chǔ)。關(guān)于NSSA模型[5,6]已有許多研究。1999年，Bass T首次提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢感知功能框架，成為其他模型建模的基礎(chǔ)。但它并不能解決實際的安全問題，并有許多缺陷。在研究大量模型的基礎(chǔ)上，本文給出了一種多層次的態(tài)勢感知的概念模型，如圖2所示。

3.1 一種新型NSSA模型

基于上述提到的網(wǎng)絡(luò)安全態(tài)勢感知模型，本文提出了一種新的NSSA系統(tǒng)框架，如圖3所示。該框架應(yīng)用了安全態(tài)勢感知技術(shù)、安全態(tài)勢評估模型與評估算法。根據(jù)該框架，開發(fā)了一個適用于智能變電站的態(tài)勢感知裝置，將其部署在智能變電站的內(nèi)部網(wǎng)絡(luò)中，對原始態(tài)勢數(shù)據(jù)進(jìn)行收集、預(yù)處理、分析，全面感知變電站網(wǎng)絡(luò)訪問、通信過程、異常流量、惡意攻擊等安全態(tài)勢，實現(xiàn)智能變電站信息安全主動防御。

圖2 網(wǎng)絡(luò)態(tài)勢感知模型

該框架包括4個模塊：數(shù)據(jù)采集模塊、態(tài)勢評估模塊、態(tài)勢預(yù)測模塊與安全加固方案模塊。除了安全加固方案模塊，每個模塊都對應(yīng)不同的層級和架構(gòu)。

（1）數(shù)據(jù)采集模塊

該模塊的主要任務(wù)是使用多傳感器獲取原始安全態(tài)勢數(shù)據(jù)，并從中提取出影響網(wǎng)絡(luò)安全態(tài)勢的信息，轉(zhuǎn)化為統(tǒng)一的XML格式，為網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測提供必要的數(shù)據(jù)支持。

（2）態(tài)勢評估模塊

用精確的數(shù)學(xué)模型分析輸入的安全態(tài)勢信息，該模塊提供了一個全面、定量的網(wǎng)絡(luò)安全態(tài)勢狀況描述，它是態(tài)勢感知的核心。

（3）態(tài)勢預(yù)測模塊

圖3 智能變電站網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)框架

根據(jù)歷史網(wǎng)絡(luò)安全態(tài)勢信息和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢信息預(yù)測網(wǎng)絡(luò)安全趨勢。此外，綜合從其他模塊中獲得的數(shù)據(jù)，該模塊提供了一個實用的安全加固方案，指導(dǎo)管理者提高網(wǎng)絡(luò)的安全性。

3.2 數(shù)據(jù)采集

在態(tài)勢感知模型中，數(shù)據(jù)是研究的基礎(chǔ)，數(shù)據(jù)類型的選取對研究結(jié)果有決定性的作用。在該框架中，第一部分是數(shù)據(jù)采集（DA）模塊，它包含3個子模塊：設(shè)備日志收集子模塊，收集來自部署在變電站的各種安全設(shè)備所產(chǎn)生的日志數(shù)據(jù)；傳感器子模塊，它是由多個分布式異構(gòu)傳感器組成的。多源傳感器提供了更完整可靠的數(shù)據(jù)，使分析結(jié)果更精確。在試驗性研究中，選擇了Snort和NetFlow兩種傳感器來監(jiān)測變電站網(wǎng)絡(luò)。預(yù)處理子模塊，它具有格式化傳感器數(shù)據(jù)的功能，同步不同的傳感器并消除無效的傳感器數(shù)據(jù)，以獲得更準(zhǔn)確的分析結(jié)果。

在預(yù)處理的初始階段，所有接收到的安全事件被轉(zhuǎn)換為可被數(shù)據(jù)處理模塊識別的標(biāo)準(zhǔn)格式。收集到的安全事件種類多、數(shù)量大。它們的特性可以用一個多元組的形式表示出來：

其中，detectTimei代表安全事件發(fā)生的時間，eventTypei代表安全事件的類型，attacki代表安全事件的等級，srcIPi和desIPi代表安全事件的源和目的地址，srcPorti和desPorti是指安全事件的源端口和目的端口，protocoli代表了協(xié)議類型，sensorIDi代表檢測到事件的傳感器，confidencei代表安全事件發(fā)生的可信度，severityi代表安全事件的嚴(yán)重程度，other代表安全事件的其他信息。

安全事件數(shù)據(jù)來源各不相同，它們可能來自于入侵檢測事件記錄、防火墻日志文件、主機(jī)系統(tǒng)日志文件、NetFlow信息流等。收集到的信息具有不同的格式，必須將它們轉(zhuǎn)換為統(tǒng)一的格式。在框架中，提供了對應(yīng)不同傳感器的預(yù)處理模塊，將特定傳感器的信息轉(zhuǎn)化為文中定義的信息模型的屬性值。

3.3 安全事件檢測

為了檢測安全事件，設(shè)計了一個變電站網(wǎng)絡(luò)行為檢測引擎，如圖4所示。引擎的核心是統(tǒng)計協(xié)議識別（SPID）算法、規(guī)則觸發(fā)器。該算法使用K-L（Kullback-Leibler）統(tǒng)計法準(zhǔn)確地計算出網(wǎng)絡(luò)協(xié)議類型，其輸出結(jié)果將成為規(guī)則觸發(fā)器的輸入?；谝?guī)則庫的觸發(fā)器負(fù)責(zé)生成事件檢測結(jié)果，它高度依賴建立的規(guī)則庫，規(guī)則庫的質(zhì)量對事件檢測精度有很大的影響。

首先，從系統(tǒng)接收事件信息后，SPID算法通過事件屬性標(biāo)識識別協(xié)議類型。對于一個初始協(xié)議類型，創(chuàng)建了相應(yīng)的協(xié)議模型保存相關(guān)事件屬性，稱為指紋；對于已存在的協(xié)議類型，可以找到相應(yīng)的協(xié)議模型。協(xié)議模型保存了一系列的屬性指紋并負(fù)責(zé)增量相應(yīng)的指紋計數(shù)器。此外，新發(fā)生的安全事件將和所有協(xié)議模型進(jìn)行指紋比較，通過K-L散度方程計算兩者概率分布之間的K-L散度值。散度值從0到∞，可根據(jù)式（2）計算。

其中，Pattr和Qattr,prot分別代表被測安全事件具體屬性的概率向量和已知協(xié)議模型的具體屬性的概率向量。

K-L散度描述安全事件所需的額外信息量，K-L散度越小，指紋匹配度越高。比較好的判定方法是指定一個閾值，只要K-L散度的平均值低于該閾值就被認(rèn)為是匹配。如果沒有已知的協(xié)議模型，事件被列為“未知”，以避免誤報。在正確識別事件的協(xié)議類型后，規(guī)則觸發(fā)器通過比較規(guī)則庫協(xié)議模型和事件模型來完成規(guī)則的匹配，并給出最終的檢測結(jié)果。

圖4 網(wǎng)絡(luò)行為檢測引擎結(jié)構(gòu)

3.4 態(tài)勢評估

態(tài)勢評估是對安全性的定量分析，評估結(jié)果將為下一步預(yù)測算法做支撐。盡管已有一些成熟的評估算法，但大部分仍存在缺陷。本節(jié)提出了一種新的態(tài)勢評估算法，從不同的角度評估安全態(tài)勢。

在數(shù)據(jù)采集模塊中，使用了多個檢測子模塊來全方位監(jiān)控網(wǎng)絡(luò)，包括惡意軟件檢測、入侵檢測、防火墻、隔離裝置、安全設(shè)備和監(jiān)控設(shè)備等。在態(tài)勢評估模塊中，因為內(nèi)部網(wǎng)絡(luò)拓?fù)浜椭鳈C(jī)間都存在差異，必須對不同的網(wǎng)絡(luò)進(jìn)行區(qū)分。首先，設(shè)置一個時間閾值，并整合具有相同會話協(xié)議和攻擊類型的安全事件。之后，評估子模塊生成一個四維向量為：

其中，M代表攻擊類型的數(shù)量，所有的S值存儲在安全態(tài)勢數(shù)據(jù)庫中，歷史態(tài)勢的評估值可以為安全態(tài)勢預(yù)測提供依據(jù)。

4 方案實現(xiàn)

4.1 軟件實現(xiàn)

根據(jù)上面提出的態(tài)勢感知框架，設(shè)計了適用于智能變電站的網(wǎng)絡(luò)態(tài)勢感知裝置。其系統(tǒng)采用多層軟件體系結(jié)構(gòu)，包括數(shù)據(jù)采集層、數(shù)據(jù)預(yù)處理層、態(tài)勢分析層以及從底部到頂部的可視化層。每一層負(fù)責(zé)其自身功能并通過消息總線實現(xiàn)與其他層的合作。層級之間的合作形成了一個完整的態(tài)勢感知系統(tǒng)，它的體系結(jié)構(gòu)如圖5所示。

在數(shù)據(jù)采集層中，部署了各類信息采集設(shè)備和傳感器，如入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離裝置、安全設(shè)備以及監(jiān)控設(shè)備，收集整個變電站的安全信息。因此，需要統(tǒng)一的數(shù)據(jù)采集框架控制這些監(jiān)測行為并整合監(jiān)測數(shù)據(jù)。

圖5 軟件結(jié)構(gòu)

收集日志和事件數(shù)據(jù)后，可以采取一些方法，如數(shù)據(jù)簡化、數(shù)據(jù)集成、數(shù)據(jù)（事件）過濾等，進(jìn)行數(shù)據(jù)的簡化融合，簡化目標(biāo)是合并多個傳感器檢測到的相同攻擊的冗余警報事件。以端口分組掃描為例，入侵檢測系統(tǒng)運(yùn)行端口掃描時會產(chǎn)生安全事件。連續(xù)的端口掃描操作將產(chǎn)生大量的事件，這些事件不僅具有相同的事件類型，也有相同的源端口和目的端口。數(shù)據(jù)簡化操作會明顯減少事件的數(shù)量，節(jié)省處理資源。事件過濾的目的是消除不滿足約束要求的事件，約束要求定義了一組安全事件，并以規(guī)則或?qū)傩缘姆绞綄⑵浔４嬖诎踩R庫中。如果某些事件缺乏關(guān)鍵屬性或者數(shù)值不在所需范圍內(nèi)，不能提供有用的信息以供分析、評估和預(yù)測安全態(tài)勢，那么這些事件就會被刪除。通過簡化和過濾處理，重復(fù)的安全事件被合并，安全事件的數(shù)量大大降低，抽象度得到提高，同時隱含的安全態(tài)勢信息被保留。

在安全態(tài)勢分析階段，需要從內(nèi)置安全事件知識庫中獲取有用信息，并進(jìn)行事件關(guān)聯(lián)分析確定已知事件和發(fā)生事件的相關(guān)性。由于來自不同類型安全設(shè)備及傳感器的安全事件復(fù)雜多樣，因此，幾乎不可能由人工完成識別安全事件之間的聯(lián)系并分析當(dāng)前安全態(tài)勢。根據(jù)這些特點，采用數(shù)據(jù)挖掘的方法來發(fā)掘安全事件之間的潛在關(guān)系，并最終構(gòu)建了網(wǎng)絡(luò)安全態(tài)勢圖，步驟如下：安全事件的簡化和過濾；通過數(shù)據(jù)挖掘算法獲取安全態(tài)勢評估有效信息；獲得安全態(tài)勢評估規(guī)則。為了更好地分析解釋評估結(jié)果，引入了安全領(lǐng)域?qū)＜业闹R經(jīng)驗，并將新獲得的關(guān)聯(lián)規(guī)則擴(kuò)展到知識庫，以便今后處理這樣的攻擊；評估安全態(tài)勢并獲得最終的評估結(jié)果。

智能變電站網(wǎng)絡(luò)安全態(tài)勢包括網(wǎng)絡(luò)安全事件相關(guān)性分析、網(wǎng)絡(luò)安全態(tài)勢圖的構(gòu)建、整體安全態(tài)勢的評估。系統(tǒng)根據(jù)新的安全事件關(guān)聯(lián)關(guān)系及安全態(tài)勢評估結(jié)果定期更新網(wǎng)絡(luò)安全態(tài)勢圖。具體事件信息處理結(jié)束后，會把事件增加到事件知識庫。系統(tǒng)運(yùn)用關(guān)聯(lián)規(guī)則和數(shù)據(jù)挖掘算法進(jìn)行事件關(guān)聯(lián)分析，進(jìn)一步感知安全態(tài)勢。如果分析結(jié)果識別到發(fā)生的具體事件，即可根據(jù)系統(tǒng)設(shè)置刷新現(xiàn)有的安全事件態(tài)勢圖，并通知系統(tǒng)管理員發(fā)生了網(wǎng)絡(luò)攻擊事件。

4.2 硬件實現(xiàn)

將變電站對專用設(shè)備及網(wǎng)絡(luò)處理的高性能需求考慮在內(nèi)，對軟件體系結(jié)構(gòu)進(jìn)行了硬件設(shè)計。該裝置采用了總線結(jié)構(gòu)、模塊化設(shè)計技術(shù)、Intel的Sandy Bridge，提高了網(wǎng)絡(luò)運(yùn)行和計算性能。平臺包括6個模塊：CPU模塊、北橋芯片組模塊、看門狗模塊、電源模塊、本地局域網(wǎng)（LAN）模塊及周邊接口。CPU模塊使用了最新的英特爾酷睿處理器技術(shù)，可提供自動數(shù)據(jù)關(guān)聯(lián)、OS監(jiān)控和安全密鑰，以有效保證網(wǎng)絡(luò)的安全性和提高系統(tǒng)功能的可靠性。為了支持連續(xù)運(yùn)行，設(shè)計了雙冗余結(jié)構(gòu)電源模塊、過電壓保護(hù)和過電流保護(hù)，有效地保證了裝置的高可靠性和可用性。

5 結(jié)束語

由于IEC61850標(biāo)準(zhǔn)的應(yīng)用，智能變電站設(shè)備之間實現(xiàn)了無縫互操作；同時，面向傳輸協(xié)議的網(wǎng)絡(luò)攻擊方法層出不窮，智能變電站的網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻，網(wǎng)絡(luò)安全一直是智能變電站穩(wěn)定運(yùn)行的關(guān)鍵基礎(chǔ)。本文對智能變電站網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)進(jìn)行了研究，并給出了態(tài)勢感知框架模型及其軟硬件實現(xiàn)，為智能電網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的綜合應(yīng)用提供了一個很好的參考依據(jù)。

[1]MACKIEWICZ R E.Overview of IEC61850 and benefits[C]//IEEE PowerSystemsConference and Exposition,October 29-November 1,2006,Atlanta,GA,USA.New Jersey:IEEE Press,2006:623-630.

[2]SLAY J,MILLER M.Lessons learned from the maroochy water breach[J].IFIP Springer Boston,2007(253):73-82.

[3]文繼鋒,盛海華,周強(qiáng),等.智能變電站繼電保護(hù)在線監(jiān)測系統(tǒng)設(shè)計與應(yīng)用[J].江蘇電機(jī)工程,2015,34(1):21-24.

WEN J F,SHENG HH,ZHOU Q,etal.Designand application of relay protection on-line monitoring system in the intelligent substation[J].Jiangsu Electrical Engineering,2015,34(1):21-24.

[4]ENDSLEY M.Toward atheory ofsituation awarenessin dynamic systems[J].Journal of the Human Factors,2005,37(1):32-64.

[5]賴積保,王穎,王慧強(qiáng),等.基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究 [J].計算機(jī)科學(xué),2011,38(3):144-149.

LAI J B,WANG Y,WANG H Q,et al.Research on network security situation awareness system architecture based on multi-source heterogeneous sensors[J].Computer Science,2011,38(3):144-149.

[6]湯永利,李偉杰,于金霞，等.基于改進(jìn)D-S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢評估方法 [J].南京理工大學(xué)學(xué)報,2015,39(4):405-411.

TANG Y L,LI W J,YU J X,et al.Network security situational assessment method based on improved D-S evidence theory[J].Journal of Nanjing University of Science and Technology,2015,39(4):405-411.

[7]沈富寶,王中秋.蘇州首座220kV智能變電站分析 [J].江蘇電機(jī)工程,2015,34(2):45-48.

SHEN F B,WANG Z Q.The insulating oil purifying technology applied in online monitoring[J].Jiangsu Electrical Engineering,2015,34(2):45-48.

[8]HJELMVIK E. The spid algorithm-statistical protocol identification[R/OL].[2013-04-23].http://www.iis.se/docs/The SPID Algorithm-Statistical Protocol IDentification.pdf.