蔣南允 程光

摘 要：在智能電網(wǎng)中，高級量測體系通過集成計算和網(wǎng)絡組件用來監(jiān)視并控制電力設備，使電網(wǎng)滿足現(xiàn)代化的需求。但兩者的融合使得一旦信息通信技術(shù)存在的缺陷被攻擊利用，電力設備原本因為其封閉性而被未暴露的漏洞也將被發(fā)掘利用，最后導致災難性后果。論文首先介紹了當前電網(wǎng)存在的安全問題，高級量測體系的概念和作用，然后闡述了其安全需求，并詳述近年來入侵檢測方法在高級量測體系中的應用和發(fā)展，最后對其防護模型進行了探討。

關鍵詞：智能電網(wǎng)；高級量測體系；流量檢測

中圖分類號：TP393.08；TM711 文獻標識碼：A

A Review of intrusion detection in smart grid

Abstract： In the smart grid， AMI （Advanced Metering Infrastructure） monitors and controls power equipment by integrated computing and network components in order to make the power grid meet modern requirements. However， the combination of the two parts above leads to a severe result that once the deficiencies of information and communication technology is attacked and applied in an improper way， the loopholes of power equipment which was not exposed due to its closure previously will be explored and utilized， which may result in disastrous consequence. The paper later expounds the AMIs demands for security and expatiates the application and development of intrusion detection techniques in AMI network. Finally， the author discusses its defense model.

Key words： smart grid； advanced metering infrastructure； intrusion detection

1 引言

發(fā)生在美國、加拿大等國的大規(guī)模停電事件表明傳統(tǒng)電網(wǎng)架構(gòu)已經(jīng)過時，其現(xiàn)有的管理和工作模式越來越不能滿足用戶在用電高峰期的需求[1-4]。因此在20世紀初，美國和歐洲各國相繼開展智能電網(wǎng)相關研究，以便提高電網(wǎng)安全穩(wěn)定性和能源利用率[5]。對一個國家來講，智能電網(wǎng)可以增強電網(wǎng)安全穩(wěn)定、節(jié)能減排和控制溫室效應；對用戶來說，利用電網(wǎng)提供的分時電價功能，在低電價用電，在高電價、用電高峰時通過存儲的分布式電能（沼氣、太陽能、風能等）向電網(wǎng)或周圍用戶供電，實現(xiàn)自身經(jīng)濟利益的同時，減少電網(wǎng)高峰負荷。從技術(shù)角度上理解，智能電網(wǎng)是將計算機和信息通信技術(shù)與電網(wǎng)基礎設施高度集成，從而增強電網(wǎng)對設備的監(jiān)視、控制和預測用電能力[6]。

電網(wǎng)用戶的用電等信息最早是利用人工抄表的方式采集的。隨后自動抄表技術(shù)的出現(xiàn)解決了電量采集人力成本高等問題，但其單向通信的特點并不適用于上述智能電網(wǎng)的使用場景[7]。因此智能電網(wǎng)通過具備雙向通信能力的高級量測體系（Advanced Metering Infrastructure，AMI）與用戶互動，相比傳統(tǒng)電網(wǎng)僅上傳月用電量來進行計費， AMI以分鐘為單位收集用戶的用電信息，提高了電網(wǎng)對設備的監(jiān)控能力，還為用戶提供分時電價，需求管理等功能[8]。但相關研究[9]證明AMI的雙向通信能力一旦被攻擊利用，將導致攻擊影響擴大等后果。

例如2009年美國某地電網(wǎng)公司智能電表被入侵導致竊電，造成了每年4億美元的損失[11]。2010年“震網(wǎng)”事件表明工業(yè)控制系統(tǒng)存在的漏洞會導致嚴重后果，2015年烏克蘭電力二次系統(tǒng)發(fā)生惡意軟件入侵和DDoS攻擊，導致大停電 [10]。由此可見，當前的網(wǎng)絡防護技術(shù)并不適用于結(jié)構(gòu)復雜、實時性強的電網(wǎng)系統(tǒng)[12]。從2009年開始，國外相繼對AMI網(wǎng)絡存在的問題和檢測防護方法展開相關研究，主要聚焦于當前網(wǎng)絡攻擊能對電網(wǎng)造成巨大危害的三類問題：惡意代碼入侵、DDoS攻擊和電量欺騙。

2 AMI網(wǎng)絡模型和安全需求

2.1 AMI網(wǎng)絡模型

高級測量體系（Advanced Metering Infrastructure，AMI）一般由智能電表、集中器、電網(wǎng)計量管理服務器和其通信網(wǎng)絡組成；工作模式為，智能電表采集用戶用電信息和用電需求，上傳至小區(qū)的數(shù)據(jù)集中器，服務器主動向集中器請求電量數(shù)據(jù)或集中器按照預設的時間間隔將數(shù)據(jù)上傳至計量服務器。同時，服務器還可以向用戶分發(fā)電價信息，電表控制命令[13]。其網(wǎng)絡結(jié)構(gòu)一般由三種不同類型的網(wǎng)絡組成，并按層級結(jié)構(gòu)分布，分別是廣域網(wǎng)（Wide Area Network，WAN）、鄰域網(wǎng)（Neighborhood Area Network，NAN）和家域網(wǎng)（Home Area Network，HAN）[12-15]。如圖1所示。

2.2AMI體系的安全需求

AMI體系中有幾個關鍵特征使得其容易受到攻擊：（1）通信體系復雜不同于互聯(lián)網(wǎng)，部分通信鏈路帶寬有限；（2）接入了百萬計的低計算、低存儲、低防護能力的設備；（3）存儲用戶敏感數(shù)據(jù)；（4）攻擊AMI能嚴重影響電網(wǎng)運行；（5）篡改電力消費數(shù)據(jù)的經(jīng)濟價值[15]。因此，有幾種核心信息需要受到保護[12]：（1）智能計量數(shù)據(jù)；（2）控制數(shù)據(jù)；（3）電價信息。

根據(jù)以上關鍵目標，安全需求可以分類四類[16]。

機密性：用電數(shù)據(jù)涉及用戶隱私，相關敏感數(shù)據(jù)應只能被授權(quán)的實體獲取。

完整性：傳輸?shù)臄?shù)據(jù)必須是真實有效的，不能被任意非授權(quán)實體篡改，對計量數(shù)據(jù)篡改可以導致竊電，篡改低電價信息可以導致用戶端大量設備同時啟動，影響電網(wǎng)供電，從而導致部分用戶停電。

有效性：利用大量電表或其它設備發(fā)起DDoS攻擊可以導致電網(wǎng)受攻擊設備資源耗盡不可用，因此AMI中傳輸?shù)臄?shù)據(jù)必須能被授權(quán)的實體在任意時刻獲取到。

不可否認性：任何實體不能否認做過或未做過的事。

3 AMI網(wǎng)絡攻擊和檢測方法

針對AMI網(wǎng)絡的攻擊按攻擊位置可分為兩類[17]：一是基于連接的攻擊，主要攻擊三層通信網(wǎng)，攻擊類型包括竊聽、無線干擾、數(shù)據(jù)篡改和協(xié)議失效等；二是基于設備的攻擊，主要攻擊電表、集中器和計量管理系統(tǒng)，攻擊類型有惡意接入點、中間人攻擊、DoS攻擊、重放攻擊和服務非法使用等，如圖2所示。

當前入侵檢測有基于誤用、基于異常和基于規(guī)范三種檢測方法[18]。基于規(guī)范的檢測成本高，目前多采用基于誤用和基于異常的檢測方法?；谡`用的檢測方法依靠匹配樣本特征代碼庫進行檢測，無法檢測未知的攻擊，而AMI是一個新興的系統(tǒng)，新類型的攻擊方法在快速增長中，所以該方法不適用于當前環(huán)境。而基于異常的檢測方法主要刻畫用戶的正常行為模型，使用統(tǒng)計或機器學習方法對當前的活動行為進行比較，不符合正常模型的即為異常行為，該方法能檢測到未知的攻擊。本文主要描述了當前AMI網(wǎng)絡存在的主要問題和其異常入侵檢測方法。

3.1惡意代碼入侵及檢測

由于智能電表處于用戶端，缺少物理防護，惡意用戶很容易對電表進行長時間的滲透測試，同時電表生產(chǎn)商為了快速占有市場會忽視電表安全問題，部分滲透實驗證實了智能電表可以被蠕蟲攻擊，然后再感染附近的電表[19，20]。被感染的電表可進一步向電網(wǎng)內(nèi)部發(fā)起攻擊，從而造成更大的危害[9]?；ヂ?lián)網(wǎng)中的惡意代碼檢測一直是一個難點，幸運的是由于智能電表的業(yè)務特點，并不需要上傳可執(zhí)行代碼，而電表軟件和固件的更新，通常采用人工現(xiàn)場操作或者電表端下載可執(zhí)行代碼。因此針對惡意代碼的檢測可以擴展到對可執(zhí)行代碼的檢測。

Park Y等人[21]根據(jù)信息熵和ARM指令的統(tǒng)計特征，檢測可執(zhí)行代碼。Choo E等人[22]采用反匯編技術(shù)得到34個ARM基本指令分布圖，隨后采用K-MEANS算法和皮爾遜系數(shù)區(qū)分可執(zhí)行代碼。由于ARM指令相當有規(guī)律并且長度定長，因此兩種方法的精度非常高，可用于電表的檢測，但存在如下缺陷，即通過被感染控制的軟件置換字節(jié)可以繞過該類型的攻擊。

電網(wǎng)計量管理系統(tǒng)多采用X86架構(gòu)的計算機系統(tǒng)，而X86架構(gòu)的指令則是不定長的，因此上述方法并不能直接用于X86 可執(zhí)行代碼的檢測。Babu V等人[23]采用四種不同的方法提取了四個不相關的特征，使用SVM對數(shù)據(jù)進行訓練測試。在實驗平臺上的證明該方法檢測精度最高可達99.861%，誤檢率在0.319%和0.796%之間。

3.2 DDoS攻擊

DDoS攻擊主要用來耗盡目標的計算、內(nèi)存和網(wǎng)絡資源，一旦計量系統(tǒng)和網(wǎng)絡中的智能電表受到攻擊，會嚴重影響電網(wǎng)正常業(yè)務展開，造成大量用戶停電[24]。DDoS攻擊可以利用電表和網(wǎng)絡協(xié)議漏洞展開攻擊，該文[25]利用無線Mesh網(wǎng)絡DSR（Dynamic Source Routing）協(xié)議的路由維護階段的漏洞，對該網(wǎng)絡協(xié)議設計了相應的攻擊方法，仿真實驗證實該方法效果優(yōu)于一般的泛洪攻擊。

DDoS攻擊的防護可以分為兩個階段：一是攻擊防護，即在攻擊發(fā)起之前，防護方法包括完善系統(tǒng)和協(xié)議的安全等級、防火墻、資源分配和審計；二是攻擊檢測，包括對攻擊源的檢測和正確的響應措施[26]。

Wang K等人[27]提出采用貝葉斯蜜罐博弈模型，解決傳統(tǒng)蜜罐技術(shù)檢測動態(tài)攻擊能力弱的缺點，實驗驗證該模型能提高檢測效率，同時減少能源消耗。

3.3 電量數(shù)據(jù)欺騙

在傳統(tǒng)電網(wǎng)中，攻擊者可以通過在電表中加入磁鐵或電阻等物理手段減少電表計量的電量造成竊電。由于其產(chǎn)生的巨大經(jīng)濟利益，導致該現(xiàn)象屢禁不止，相比傳統(tǒng)電表，智能電表的引入給攻擊者增加了新的攻擊平面，攻擊者可以破解智能電表密碼，篡改存儲電量或者中斷網(wǎng)絡通信，使用中間人攻擊等方式修改計量報文等方法[14]。

由于電網(wǎng)用戶的用電量隨著時間（季節(jié)、假日和周末）住宅位置和用戶性質(zhì)（商用和家用）等因素變化而變化，Wang Y等人[29]根據(jù)以上因素提取特征，然后使用SVM對用戶正常數(shù)據(jù)和異常數(shù)據(jù)進行分類。莊池杰等人[31]和田野等人[32]使用年、季度和月份提取統(tǒng)計特征，再使用PCA降維和機器學習方法進行竊電檢測，但兩者缺少對低電價增加用電量，高電價竊電，使得當天或當月總電量不變這種竊電方法的檢測能力。Jokar P等人[30]除了使用各個用戶每2小時的用電量數(shù)據(jù)，還采集了小區(qū)總用戶用電量數(shù)據(jù)來減少誤檢率，隨后模擬六類惡意用戶的行為習慣，構(gòu)造了相應的惡意電量數(shù)據(jù)，最后使用K-MEANS和SVM算法進行檢測，其檢測效果明顯優(yōu)于其它算法，并能檢測到上述總電量不變的竊電行為。

由于智能電網(wǎng)提倡用戶合理利用可再生能源減少電網(wǎng)用電高峰負荷，該類型用戶可以將多余的電量供給附近用戶，形成一個小型的微電網(wǎng)，因此可以篡改用電側(cè)用電需求，用戶供電側(cè)能提供的電量和電能鏈路狀態(tài)，引起電力系統(tǒng)震蕩，最終造成停電[28]。針對該攻擊的檢測方法有待進一步研究。

4 入侵檢測防護架構(gòu)

當前，針對AMI網(wǎng)絡的攻擊通常采用入侵檢測系統(tǒng)（Intrusion Detection System，IDS）進行防護，IDS是在網(wǎng)絡或系統(tǒng)中監(jiān)控并收集系統(tǒng)各種狀態(tài)信息，并對收集的信息進行分析判斷是否有異常情況的發(fā)生。

4.1 檢測利用的信息

檢測利用的信息一般可以分成三類[33，34]。

系統(tǒng)信息：電表的狀態(tài)報告、網(wǎng)關的CPU和內(nèi)存使用率、設備的固件和軟件的完整性。

網(wǎng)絡信息：領域網(wǎng)網(wǎng)絡碰撞率、丟包率、節(jié)點響應時間、通信速率、路由表的完整性、節(jié)點身份和物理位置對應等。

策略信息：授權(quán)的協(xié)議、設備、傳輸模式、路由更新和固件升級等。

4.2 IDS架構(gòu)介紹和未來展望

AMI是一個層級的網(wǎng)絡，根據(jù)在AMI網(wǎng)絡中部署的位置可以將IDS分為中央IDS 、嵌入式傳感器IDS 和專用傳感器IDS[33，34]。

中央IDS：主要部署于數(shù)據(jù)收集中心，根據(jù)AMI網(wǎng)絡的層級架構(gòu)，中央IDS部署于WAN網(wǎng)絡中電網(wǎng)計量管理系統(tǒng)與AMI網(wǎng)絡設備的通信鏈路之間，這樣可以監(jiān)控到計量管理系統(tǒng)與所有智能電表的雙向網(wǎng)絡流，該方案部署相對簡單，成本較低，但監(jiān)控不到NAN網(wǎng)絡中的流量，比如利用第3節(jié)提到的DDoS攻擊方法，當存在多臺電表被控制時，利用無線網(wǎng)狀網(wǎng)的協(xié)議漏洞，可以向集中器發(fā)起DDoS攻擊，由于中央IDS檢測不到該攻擊行為，因此無法及時做出有效的應對措施。解決方法是部署一些傳感器分布在NAN網(wǎng)絡中。

嵌入式傳感器IDS：通過在電表或集中器中嵌入傳感器監(jiān)控設備的狀態(tài)，包括固件、CPU、內(nèi)存讀寫和通信數(shù)據(jù)，使得電表或集中器具備了入侵檢測能力[35]。但由于電表硬件資源相當有限使得嵌入式傳感器IDS的檢測能力受到限制。

專用傳感器IDS：通過在目標網(wǎng)絡中部署獨立的傳感器檢測網(wǎng)絡狀態(tài)，因此部署的數(shù)量相比嵌入式傳感器IDS大大減少，成本更低，且更強的計算和存儲能力使其可以具備更復雜的檢測能力，例如基于規(guī)范的入侵檢測方法[36]。但缺少對設備本身狀態(tài)的監(jiān)控能力。

對電網(wǎng)的AMI網(wǎng)絡來講，IDS從設計上需考慮兩點原則。一是檢測安全事件的高準確率，電網(wǎng)一旦檢測到安全事件，往往需要人工排查，誤報率過高會增加人力成本。二是系統(tǒng)的低開銷和健壯性，即不能對當前業(yè)務系統(tǒng)正常操作產(chǎn)生影響。因此，混合型的IDS架構(gòu)更適合AMI網(wǎng)絡的檢測防護，即在網(wǎng)絡中部署中央IDS并結(jié)合嵌入式IDS或?qū)Ｓ肐DS。

5 結(jié)束語

本文就智能電網(wǎng)AMI的網(wǎng)絡結(jié)構(gòu)、當前面臨的威脅、檢測和防御方法進行了介紹，國內(nèi)關于智能電網(wǎng)網(wǎng)絡安全的研究相對國外起步較晚，隨著智能電網(wǎng)的安全建設上升到國家戰(zhàn)略層面，其面臨的威脅也會加大，因此針對AMI網(wǎng)絡安全的研究刻不容緩。本文通過介紹AMI當前存在的威脅和安全需求，結(jié)合近年來的流量檢測方法，對其防護架構(gòu)進行了探討。

基金項目：

本課題得到國家高技術(shù)研究發(fā)展計劃（863計劃）（項目編號：2015AA015603）；江蘇省未來網(wǎng)絡創(chuàng)新研究院未來網(wǎng)絡前瞻性研究項目（項目編號：BY2013095-5-03）；江蘇省“六大人才高峰”高層次人才項目（項目編號：2011-DZ024）；中央高?；究蒲袠I(yè)務費專項資金資助和江蘇省普通高校研究生科研創(chuàng)新計劃資助項目（項目編號：KYLX15_0118）資助。

參考文獻

[1] Task-Force U C P S O. Final Report on the August 14， 2003 Blackout in the United States and Canada： Causes and Recommendations[J]. 2004.

[2] Van der Vleuten E， Lagendijk V. Transnational infrastructure vulnerability： The historical shaping of the 2006 European “Blackout”[J]. Energy Policy， 2010， 38（4）： 2042-2052.

[3] LU J， JIANG Z L E I， Hongcai Z H， et al. Analysis of Hunan Power Grid Ice Disaster Accident in 2008 [J][J]. Automation of Electric Power Systems， 2008， 11（005）.

[4] Tang Y， Bu G， Yi J. Analysis and lessons of the blackout in Indian power grid on July 30 and 31， 2012[C]//Zhongguo Dianji Gongcheng Xuebao（Proceedings of the Chinese Society of Electrical Engineering）. Chinese Society for Electrical Engineering， 2012， 32（25）： 167-174.

[5] 張文亮，劉壯志，王明俊， 等.智能電網(wǎng)的研究進展及發(fā)展趨勢[J]. 電網(wǎng)技術(shù)， 2009， 33（13）： 1-11.

[6] McDaniel P， McLaughlin S. Security and privacy challenges in the smart grid[J]. IEEE Security & Privacy， 2009， 7（3）.

[7] 唐志偉，孫菡婧，陳奇志.高級量測體系和需求響應下的互動配網(wǎng)[J].電力系統(tǒng)及其自動化學報， 2011， 23（5）：31-34.

[8] LaPlace C， Uluski R W. Realizing the smart grid of the future through AMI technology[J]. by Elster， 2009， 1.

[9] McLaughlin S， Podkuiko D， McDaniel P. Energy theft in the advanced metering infrastructure[C]//International Workshop on Critical Information Infrastructures Security. Springer， Berlin， Heidelberg， 2009： 176-187.

[10] 湯奕，陳倩，李夢雅，等.電力信息物理融合系統(tǒng)環(huán)境中的網(wǎng)絡攻擊研究綜述[J].電力系統(tǒng)自動化， 2016， 40（17）： 59G69.

[11] FBI： Smart Meter Hacks Likely to Spread. Available at http：//krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.

[12] Mo Y， Kim T H J， Brancik K， et al. Cyber–physical security of a smart grid infrastructure[J]. Proceedings of the IEEE， 2012， 100（1）： 195-209.

[13] 欒文鵬.高級量測體系[J].南方電網(wǎng)技術(shù)， 2009， 3（2）： 6-10.

[14] Jiang R， Lu R， Wang Y， et al. Energy-theft detection issues for advanced metering infrastructure in smart grid[J]. Tsinghua Science and Technology， 2014， 19（2）： 105-120.

[15] Grochocki D， Huh J H， Berthier R， et al. AMI threats， intrusion detection requirements and deployment recommendations[C]//Smart Grid Communications （SmartGridComm）， 2012 IEEE Third International Conference on. IEEE， 2012： 395-400.

[16] Cleveland F M. Cyber security issues for Advanced Metering Infrasttructure （AMI）[C]// Power and Energy Society General Meeting - Conversion and Delivery of Electrical Energy in the， Century. IEEE， 2008：1-5.

[17] Bou-Harb E， Fachkha C， Pourzandi M， et al. Communication security for smart grid distribution networks[J]. IEEE Communications Magazine， 2013， 51（1）：42-49.

[18] Berthier R， Sanders W H， Khurana H. Intrusion Detection for Advanced Metering Infrastructures： Requirements and Architectural Directions[C]// First IEEE International Conference on Smart Grid Communications. IEEE， 2010：350-355.

[19] FBI： Smart Meter Hacks Likely to Spread. Available at http：// krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.

[20] IOActive's Mike Davis to Unveil Smart Grid Research at Black Hat USA， IOActive Press Release， Seattle， WA， USA， Jul. 2009.

[21] Park Y， Nicol D M， Zhu H， et al. Prevention of malware propagation in AMI[C]// IEEE International Conference on Smart Grid Communications. IEEE， 2013：474-479.

[22] Choo E， Park Y， Siyamwala H. Identifying malicious metering data in advanced metering infrastructure[C]//Service Oriented System Engineering （SOSE）， 2014 IEEE 8th International Symposium on. IEEE， 2014： 490-495.

[23] Babu V， Nicol D M. Detection of x86 malware in AMI data payloads[C]//Smart Grid Communications （SmartGridComm）， 2015 IEEE International Conference on. IEEE， 2015： 617-622.

[24] Asri S， Pranggono B. Impact of Distributed Denial-of-Service Attack on Advanced Metering Infrastructure[J]. Wireless Personal Communications， 2015， 83（3）：1-13.

[25] Yi P， Zhu T， Zhang Q， et al. A denial of service attack in advanced metering infrastructure network[C]// IEEE International Conference on Communications. IEEE， 2015：1029-1034.

[26] Guo Y， Ten C W， Hu S， et al. Modeling distributed denial of service attack in advanced metering infrastructure[C]// Innovative Smart Grid Technologies Conference. IEEE， 2015：1-5.

[27] Wang K， Du M， Maharjan S， et al. Strategic Honeypot Game Model for Distributed Denial of Service Attacks in the Smart Grid[J]. IEEE Transactions on Smart Grid， 2017， PP（99）：1-1.

[28] Lin J， Yu W， Yang X， et al. On False Data Injection Attacks against Distributed Energy Routing in Smart Grid[C]// Ieee/acm Third International Conference on Cyber-Physical Systems. IEEE， 2012：183-192.

[29] Wang Y， Tanbo T， ?byholm T， et al. Support vector machine based data classification for detection of electricity theft[C]// Power Systems Conference and Exposition. IEEE， 2011：1-8.

[30] Jokar P， Arianpoo N， Leung V C M. Electricity Theft Detection in AMI Using Customers Consumption Patterns[J]. IEEE Transactions on Smart Grid， 2015， 7（1）：216-226.

[31] 莊池杰，張斌，胡軍，等.基于無監(jiān)督學習的電力用戶異常用電模式檢測[J].中國電機工程學報， 2016， 36（2）：379-387.

[32] 田野， 張程， 毛昕儒，等.運用PCA改進BP神經(jīng)網(wǎng)絡的用電異常行為檢測[J].重慶理工大學學報， 2017， 31（8）.

[33] Grochocki D， Huh J H， Berthier R， et al. AMI threats， intrusion detection requirements and deployment recommendations[C]// IEEE Third International Conference on Smart Grid Communications. IEEE， 2012：395-400.

[34] Cárdenas A A， Berthier R， Bobba R B， et al. A Framework for Evaluating Intrusion Detection Architectures in Advanced Metering Infrastructures[J]. IEEE Transactions on Smart Grid， 2014， 5（2）：906-915.

[35] Tabrizi F M， Pattabiraman K. Flexible Intrusion Detection Systems for Memory-Constrained Embedded Systems[C]// European Dependable Computing Conference. IEEE Computer Society， 2015：1-12.

[36] Berthier R， Sanders W H. Specification-Based Intrusion Detection for Advanced Metering Infrastructures[C]// IEEE， Pacific Rim International Symposium on Dependable Computing. IEEE， 2012：184-193.