曾 穎, 武 斌, 田寧姍

1(北京郵電大學 信息安全中心, 北京 100876)

2(北京郵電大學 網絡空間安全學院, 北京 100876)

計算機和網絡技術的發(fā)展使得信息技術在各個行業(yè)都得到了廣泛的應用, 電力系統(tǒng)的信息化水平在不斷提高, 但同時也帶來了更多的安全威脅. 據(jù)ICSCERT報告, 近年來類似于“震網”、HaveX、Black Engery等針對電力行業(yè)的網絡安全事件在呈現(xiàn)穩(wěn)步增長的趨勢. 電力監(jiān)控系統(tǒng)具有監(jiān)控現(xiàn)場設備和故障處理的能力, 一旦遭受攻擊, 會極大影響電力系統(tǒng)的正常運行. 因此保障電力監(jiān)控系統(tǒng)的安全已經成為各級安全責任單位的重中之重. 風險評估作為檢測系統(tǒng)安全狀態(tài)的有力手段, 能夠評估系統(tǒng)的安全風險, 利于及時制定相應的風險控制策略. 對電力監(jiān)控系統(tǒng)進行合理的安全風險評估, 可以幫助提高電力監(jiān)控系統(tǒng)的安全性, 有效避免災害的發(fā)生.

從目前的研究來看, 電力系統(tǒng)的風險評估主要集中在對電力設備和輸電網絡上[1–4], 對電力監(jiān)控系統(tǒng)的研究較少. 梁寧波[5]通過漏洞排查對電力監(jiān)控系統(tǒng)進行風險管理, 但對于漏洞結果未給出明確風險評估標準; 楊鵬[6]針對電力監(jiān)控系統(tǒng)中的兩個子系統(tǒng)進行安全風險分析, 但缺乏對系統(tǒng)整體的考慮; 梁智強等人[7]使用AHP方法, 并結合模糊數(shù)學的原理對關鍵資產風險進行了評估, 但沒有給出電力系統(tǒng)的整體風險; 曹波等人[8]結合狀態(tài)攻擊圖對電力監(jiān)控系統(tǒng)的脆弱性進行評估, 但在大規(guī)模場景下攻擊圖易產生狀態(tài)爆炸問題.總體來看, 目前電力監(jiān)控系統(tǒng)風險評估主要存在著系統(tǒng)建模不完整以及缺乏對系統(tǒng)整體風險的考慮的問題.

風險評估中在定性指標的評價上會表現(xiàn)為專家評價意見的模糊性, 影響評估結果的準確性. 因此, 云模型[9]自提出以來, 由于其能夠刻畫自然語言中概念的不確定性和模糊性[10], 已廣泛應用于評估領域. 張仕斌等人[11]引入云模型對復雜網絡環(huán)境中的用戶信息進行信任評估; 徐巖等人[12]利用云模型得到定量指標對變壓器各狀態(tài)的隸屬等級對變壓器狀態(tài)進行評估; 胡文平等人[13]將正態(tài)云模型用于輸變電設備故障的不確定性推理預測, 完成對電網的綜合風險評估; 龍賽琴等人[14]設計了基于云模型的多指標融合評估策略對數(shù)據(jù)中心的能效進行評估. 云模型在評估領域的應用中取得了不錯的效果, 能夠在一定程度上減小評價中模糊性和不確定性的影響.

云模型解決了定性指標的量化問題, 然而在綜合評估時, 由于多位專家側重點不同, 還存在著評估信息不一致的問題. 在多源信息的融合方面, 證據(jù)理論是一種有效的嘗試. 證據(jù)理論能夠將多源信息視為證據(jù), 解決證據(jù)間的沖突并進行融合, 形成相對完整和一致的表達. 因而在質量評估[15]、故障診斷[16]、多屬性決策[17]等領域應用廣泛, 能有效提高結果的準確性.

為此, 本文提出基于云模型和改進證據(jù)理論的電力監(jiān)控系統(tǒng)綜合風險評估方法. 在建立風險評估模型時充分考慮系統(tǒng)的特點, 使得對系統(tǒng)的建模更加完整;使用云模型實現(xiàn)專家語言評價的有效轉換, 同時使用基于沖突系數(shù)和概率距離函數(shù)的證據(jù)修正方法和基于矩陣分析的證據(jù)合成算法, 可減小證據(jù)沖突的影響和提高評估的效率.

1 構建電力監(jiān)控系統(tǒng)風險評估模型

1.1 電力監(jiān)控系統(tǒng)的安全性分析

典型電力監(jiān)控系統(tǒng)的組網結構如圖1所示, 3個層次的主要功能如下: 主站層能夠人機交互, 可從整體上對系統(tǒng)的工作進行維護和管理; 網絡通訊層是層次間數(shù)據(jù)交換的橋梁, 使得主站層能夠快速得到現(xiàn)場設備層的監(jiān)測信息和下發(fā)控制指令; 現(xiàn)場設備層主要用于監(jiān)測設備的運行, 并根據(jù)上層指令對設備進行控制.

圖1 電力監(jiān)控系統(tǒng)組網結構圖

相比于傳統(tǒng)網絡系統(tǒng), 電力監(jiān)控系統(tǒng)具有節(jié)點多樣性、網絡異構性、應用實時性和業(yè)務連續(xù)性的特點,因而在電力監(jiān)控系統(tǒng)中, 可用性是其首要保障, 其次是完整性和機密性. 針對電力監(jiān)控系統(tǒng)的特點, 本文另提出了可見性和可控性的安全屬性. 可見性是指可觀察過程的當前狀態(tài)以便做出決策以及監(jiān)視過程的當前狀態(tài)并對異常事件做出警報; 可控性是防止對電力系統(tǒng)控制功能的影響.

威脅是系統(tǒng)風險產生的關鍵因素, 根據(jù)《工業(yè)控制網絡安全風險評估規(guī)范》[18]和電力監(jiān)控系統(tǒng)的實際情況, 分析得到電力監(jiān)控系統(tǒng)常見的威脅主要有非法設備的物理接入、訪問權限非法獲取、控制信息被篡改、未授權的網絡連接、數(shù)據(jù)包重放攻擊、拒絕提供服務、病毒感染、被植入木馬、控制信息非法獲取等[19].

1.2 電力監(jiān)控系統(tǒng)風險評估模型的建立

根據(jù)《信息安全風險評估規(guī)范》[20]的定義, 信息安全風險評估是通過資產、威脅和脆弱性對信息的安全屬性進行評價的過程. 本文參照該原理, 通過對系統(tǒng)及其安全屬性進行評價以實現(xiàn)電力監(jiān)控系統(tǒng)的綜合風險評估. 針對電力監(jiān)控系統(tǒng), 將系統(tǒng)關鍵設備類比“資產”, 系統(tǒng)攻擊方式類比于“威脅”[21], 通過威脅對系統(tǒng)安全屬性的影響以及系統(tǒng)關鍵設備對安全屬性的依賴來對系統(tǒng)總體安全風險進行評估. 結合第1.1節(jié)對電力監(jiān)控系統(tǒng)的安全性分析, 建立圖2所示的電力監(jiān)控系統(tǒng)風險評估模型.

圖2 電力監(jiān)控系統(tǒng)風險評估模型

由電力監(jiān)控系統(tǒng)組網結構圖可知, 現(xiàn)場設備層主要由電力一次設備組成, 對攻擊者來說, 攻擊成本大且收益小. 因此本文的風險評估主要針對主站層和網絡通訊層, 選取的關鍵設備有監(jiān)控終端、應用服務器、數(shù)據(jù)服務器、網絡交換機、數(shù)據(jù)采集器和PLC.

各關鍵設備功能的不同導致與其相關的安全屬性的重要程度的差異, 本文在建立關鍵設備層與安全屬性層的聯(lián)系時, 根據(jù)關鍵設備的功能選擇其最為重要的3個安全屬性建立聯(lián)系, 這樣既可以突出各設備的功能特性, 也便于后文各元素權重的確定.

最后根據(jù)威脅對系統(tǒng)的影響建立評價層與安全屬性層間的聯(lián)系.

1.3 電力監(jiān)控系統(tǒng)風險評估原理

本文的電力監(jiān)控系統(tǒng)風險評估流程如圖3所示.具體步驟如下.

圖3 電力監(jiān)控系統(tǒng)風險評估流程圖

(1) 收集數(shù)據(jù): 根據(jù)建立的風險評估模型, 收集專家評價信息和系統(tǒng)的運行數(shù)據(jù);

(2) 計算指標的主客觀權重: 根據(jù)收集的專家意見基于FAHP方法對指標進行主觀賦權, 根據(jù)系統(tǒng)運行數(shù)據(jù)基于修正的熵權法對指標進行客觀賦權;

(3) 計算綜合權重: 使用最優(yōu)化模型確定主客觀權重的組合系數(shù), 對指標進行組合賦權;

(4) 綜合評估: 使用云模型和改進的證據(jù)理論進行綜合評估, 得到系統(tǒng)的風險評估結果.

2 基于組合賦權的指標權重的確定

為提高權重的準確性和評估的合理性, 以更好地反映電力監(jiān)控系統(tǒng)的運行狀態(tài), 本文采用組合賦權的方法. 該方法能夠減小專家意見的主觀性影響, 又能兼顧客觀數(shù)據(jù)信息, 可避免單一權重賦值方法的主導性.

2.1 基于FAHP的主觀權重賦值方法

由于本文評估模型中元素多樣且層次間的關聯(lián)復雜, 若使用傳統(tǒng)的AHP方法, 構造的判斷矩陣維度較大, 查驗矩陣一致性以及調整元素使其一致非常困難.因此, 為避免上述問題, 本文引入了模糊AHP方法[22].步驟如下.

(1) 根據(jù)表1, 專家評判構造模糊判斷矩陣A=(rij)n×n,rij含義為: 對于上層某個元素, 本層與之相關的元素xi和xj的相對重要程度.

表1 模糊互補判斷矩陣重要性標度

(3) 按照式(1)進行計算各要素的權重值:

2.2 基于改進熵權法的客觀權重賦值方法

熵權法利用信息熵表征指標集的不確定度, 熵值大小表示各指標的變異程度. 若某個指標的信息熵越小, 表示該指標所包含的信息量越大, 則相應賦予的權重應較大. 傳統(tǒng)的熵權法確定客觀權重的步驟如下:

(3) 根據(jù)式(3)計算得到第j個指標的熵值:

(4) 由式(4)計算第j個指標的客觀權重:

由于電力監(jiān)控系統(tǒng)的數(shù)據(jù)不穩(wěn)定, 不確定性較大,導致指標的信息熵易接近于1. 在這種情況下, 若采用上述傳統(tǒng)的熵權法, 結果易與現(xiàn)實相悖[23]. 因此本文對該方法進行修正, 在傳統(tǒng)計算方法中加入起修正作用的正數(shù)z, 修正的熵權法計算第j個指標的權重公式為:

研究表明[23], 使用該公式進行權重計算能夠成功解決傳統(tǒng)熵權法存在的上述問題. 其中,z的值越大時修正作用越好, 本文令

2.3 組合權重賦值方法

組合權重賦值公式如下:

其中,wj和vj分別為主觀權重和客觀權重, α 和 β為權重系數(shù), 取值范圍為[0, 1], 并且α +β=1. 本文使用基于最小方差原理的最優(yōu)化模型確定權重系數(shù), 該模型可使主客觀權重的比例達到最佳, 使得評估結果更加準確. 建立的最優(yōu)化模型如下:

其中,B為主客觀權重與組合權重的方差值, 上述模型表示求取使得式B最小的權重系數(shù)α 和 β. 根據(jù)微分的性質, 上式存在的唯一解, 因此根據(jù)主客觀權重可唯一確定組合權重值.

3 基于云模型和證據(jù)理論的風險評估方法

3.1 證據(jù)理論

3.1.1 傳統(tǒng)證據(jù)理論

證據(jù)理論能夠有效處理問題的模糊性, 符合人類推理的決策過程, 用于風險評估可充分利用評估過程中的不確定性, 得到更為合理的評估結果, 其關鍵是Dempster 證據(jù)合成規(guī)則[24]:

其中,m1,m2,···,mn表示n個獨立證據(jù),K為沖突系數(shù),代表證據(jù)的沖突程度.

然而, 傳統(tǒng)證據(jù)理論在電力監(jiān)控系統(tǒng)中應用時存在著以下問題: 由于各層元素間關系復雜, 專家評判時受主觀因素的影響易出現(xiàn)證據(jù)沖突, 直接使用上述合成規(guī)則的計算結果可能與實際情況不符; 另外, 直接使用上述合成規(guī)則進行證據(jù)融合效率較低. 因此有必要對證據(jù)理論進行改進.

3.1.2 證據(jù)沖突修正方法

為解決證據(jù)沖突的問題, 本文引入了基于沖突系數(shù)和概率函數(shù)的證據(jù)沖突修正方法, 具體運算過程參考文獻[25], 流程如圖4所示.

圖4 證據(jù)沖突修正流程圖

該方法的基本原理是: 在獲取原始證據(jù)體后, 根據(jù)沖突系數(shù)、Jousselme概率距離和Pignistic概率距離定義一種新的證據(jù)沖突量, 通過計算各專家的證據(jù)可信度, 結合專家權重得到各專家的證據(jù)修正系數(shù), 對原始證據(jù)體進行修正.

3.1.3 基于矩陣分析的證據(jù)合成方法

為解決證據(jù)融合的效率問題, 本文引入了基于矩陣分析[26]的方法, 該方法通過遞推計算的方式融合專家意見, 可提高證據(jù)融合的效率.

假設有n位專家, 5個隸屬等級, 根據(jù)評判得到mass矩陣為:

mij表示第i位專家的評判中目標風險等級j的隸屬度, 基于矩陣分析的證據(jù)融合流程如圖5所示.

圖5 基于矩陣分析的D-S合成算法流程圖

3.2 利用云模型實現(xiàn)mass函數(shù)的構造

在證據(jù)理論的應用中, 原始證據(jù)大都是用定性語言進行描述的, 具有較大的不確定性, 難以進行直接融合, 因此構造有效的mass函數(shù)是難點之一. 云模型刻化了定性語言值和精確數(shù)值之間隨機和模糊的性質,具有定性與定量信息轉換上的優(yōu)勢. 因此, 本文將云模型用于構造證據(jù)理論的mass函數(shù), 以實現(xiàn)專家評價從定性向定量的有效轉化, 具體方法如下:

(1) 設專家的自然語言評價有r個等級, 評價值的有效論域為 [Xmin,Xmax], 使用黃金分割法[27]將評價等級轉化為標準云Ch(Exh,Enh,Heh), 其中,h=1,…,r, 表示第n個評語等級. 再利用標準云將m位專家相對于上層元素Xi對應的第j個元素的語言評價值轉化為評價云決策矩陣

(2) 結合標準云模型, 將云決策矩陣的元素轉換為隸屬度, 公式如下:

得到的隸屬度矩陣為:

然后按照式(11)進行歸一化處理:

3.3 基于云模型-證據(jù)理論的風險評估步驟

(1) 以問卷的方式收集專家關于評價層元素對上層元素影響等級的定性評價信息.

(2) 利用第3.2節(jié)的方法將專家定性評價信息轉換為隸屬度矩陣也即證據(jù)理論的原始證據(jù)體.

(3) 證據(jù)沖突修正.

根據(jù)圖4所示的方法計算各位專家的證據(jù)修正系數(shù), 并對原始證據(jù)體按照式(12)進行修正:

其中, ρg為 第g個專家的證據(jù)修正系數(shù).

(4) 綜合評估

得到評價層元素相對于上層元素的mass矩陣后,利用圖5所示的基于矩陣分析的證據(jù)合成方法進行證據(jù)合成. 然后根據(jù)各屬性的權重值={ωj|j=1,2,···,l},得到上層第i個元素的mass函數(shù)值為:

根據(jù)上式自底向上進行合成, 最終得到綜合風險S的mass函數(shù)值, 最大隸屬等級即為系統(tǒng)的風險等級.

4 算例仿真

4.1 實例計算

本次仿真使用的數(shù)據(jù)來源于國網河北省電力有限公司實驗網絡, 該網絡的拓撲圖如圖1所示. 該實驗網絡與真實網絡以同樣的方式運行, 將實際網絡約1/20的運行流量鏡像到該實驗網絡, 并通過人工干預的方式對其定時實施攻擊.

為驗證本文方法的適用性, 實驗收集實驗網絡中監(jiān)控終端、應用服務器、數(shù)據(jù)服務器、網絡交換機、數(shù)據(jù)采集器和PLC的運行數(shù)據(jù), 并邀請4位電網的工程技術人員進行專家評判, 其中, 1位正高級工程師,2位副高級工程師, 1位中級工程師.

4.1.1 最優(yōu)化組合賦權確定元素權重

計算各層元素的主客觀權重并運用最優(yōu)化模型進行組合, 得到各元素的權重如圖6所示.

圖6 各元素權重值

圖6中,S,A1,…,A6,B1,…,B5,C1,…,C9代表圖2中的各層元素.

4.1.2 專家語言評價信息轉換

設專家評估有效論域為[0, 100], 分數(shù)越高表示評價指標對上層元素的影響越大, 利用黃金分割法確定的5朵標準云為: C-2(0, 10.31, 0.26), C-1(30.9, 6.37,0.16), C0(50, 3.93, 0.1), C+1(69.1, 6.37, 0.16), C+2(100,10.31, 0.26).

由決策專家組成員{G1,G2,G3,G4}確定指標對上層元素的評價值, 假設隸屬等級分為5級, 描述為{V–2=很低,V–1=低,V0=中,V1=高,V2=很高}. 以可用性B1為例, 評價下層威脅對其的影響程度, 專家評價信息如表2所示.

表2 專家評價結果

根據(jù)標準云轉化得到的云決策矩陣為:

根據(jù)式(9)–式(11), 以C1為例, 計算各等級的隸屬度并歸一化處理得初始mass矩陣為:

4.1.3 證據(jù)沖突修正

以MC1為例, 證據(jù)沖突修正步驟如下:

計算兩兩專家間的沖突系數(shù)K、Jousselme概率距離和Pignistic概率距離, 如表3所示.

表3 沖突系數(shù)K和概率距離

根據(jù)表3, 利用文獻[25]中的方法, 得各專家的證據(jù)可信度分別為:

Rel(G1)=1,Rel(G2)=0.9636,Rel(G3)=1,Rel(G4)=0.9395.

根據(jù)專家的經驗和行業(yè)認可度確定專家權重向量λ={0.3,0.2,0.4,0.1}, 則相對權重為:

λG1=0.75,λG2=0.50,λG3=1,λG4=0.25

令證據(jù)可信度分配系數(shù)β=0.6, 則專家G1的證據(jù)修正系數(shù)為:

同理得 ρG2=0.78, ρG3=1, ρG4=0.66.

根據(jù)式(12)得修正后的mass矩陣為:

4.1.4 綜合評估

使用圖5所示方法對 進行合成得:

mass(C1)=(0.1336, 0.1260, 0.1577, 0.2038, 0.2158,0.1631)

同理可得mass(C2)和mass(C3). 然后結合表2的權重值, 根據(jù)式(13)求取mass(B1). 以此類推進行逐層合成, 最終得S的隸屬度向量:

mass(S)=(0.0156, 0.2124, 0.3460, 0.1819, 0.2056,0.0385)

得系統(tǒng)的風險等級為V0即“中”, 該結果與系統(tǒng)的實際安全狀態(tài)一致, 證明了所提方法的適用性.

根據(jù)各元素的mass函數(shù)值, 得各元素的風險等級評價結果如圖7所示.

圖7 各元素風險等級

根據(jù)以上評價結果, 系統(tǒng)管理人員可明確當前系統(tǒng)的薄弱環(huán)節(jié)以進行針對性的防護, 防護建議如下.

(1) 系統(tǒng)整體的風險等級為“中”, 有提高安全性的必要, 需要對其進行安全管理. 根據(jù)系統(tǒng)關鍵設備的評估結果, 監(jiān)控終端和PLC的風險評估等級為“高”, 可知系統(tǒng)的薄弱點集中于監(jiān)控終端和PLC, 需要對兩者進行針對性的管理;

(2) 對于監(jiān)控終端, 評估結果表明其可見性的威脅程度較高, 且主要風險來源于拒絕服務攻擊和病毒感染, 因此需要盡可能對系統(tǒng)加載最新的補丁, 采取有效的合規(guī)性配置, 對安全域劃分的合理性進行檢驗, 并檢查防火墻和入侵檢測系統(tǒng)的配置安全性;

(3) 對于PLC來說, 評估結果表明其完整性的威脅程度較高, 且主要風險來源于非法設備的物理接入, 因此需加強對設備的安全邊界管理和設備接入的管控措施, 同時應該嚴格控制機房區(qū)域的人員進出.

4.2 有效性分析

根據(jù)元素C1的原始mass矩陣MC1和修正后的mass矩陣, 得證據(jù)修正前后專家間的證據(jù)沖突系數(shù)如表4所示. 對比如圖8所示.

表4 專家間沖突系數(shù)

圖8 沖突系數(shù)對比圖

由圖8可知, 本文使用的證據(jù)修正方法使得專家間的證據(jù)沖突程度明顯降低, 整體證據(jù)沖突系數(shù)由0.009 6降低為0.007 7, 證明了本文證據(jù)沖突修正方法的有效性.

同樣以C1的mass矩陣為例, 分別使用傳統(tǒng)方法和本文的方法進行證據(jù)合成, 得到的結果以及運行時間如表5所示.

表5 結果對比

結果表明, 傳統(tǒng)方法和本文方法得系統(tǒng)可用性的風險等級結果均為“很高”, 然而對比發(fā)現(xiàn), 采用本文方法的執(zhí)行時間僅為傳統(tǒng)方法的1/8, 能夠大大提高數(shù)據(jù)融合的效率.

上述分析證明了本文電力監(jiān)控系統(tǒng)風險評估方法的有效性.

5 結語

在電力監(jiān)控系統(tǒng)的風險評估過程中, 構建評估模型時結合系統(tǒng)的特點進行了詳細的安全性分析, 并提出了可見性和可控性的安全目標, 層次間關聯(lián)和層次元素的細化使得對系統(tǒng)的建模更加完整; 將云模型引入證據(jù)理論, 能夠充分考慮到專家評價意見的模糊性;使用基于沖突系數(shù)和概率函數(shù)的證據(jù)沖突修正方法和矩陣分析的證據(jù)合成算法, 可在一定程度上解決證據(jù)沖突的問題和提高風險評估的效率. 本文的工作為電力監(jiān)控系統(tǒng)的安全管理工作提供了新的思路.