王 瑩，于波濤，張 巖

（北京中電飛華通信有限公司，北京 100070）

變電站為電網(wǎng)更穩(wěn)定和更便捷地供電提供了強(qiáng)大的技術(shù)支撐，但是變電站自從與網(wǎng)絡(luò)服務(wù)系統(tǒng)連接后，會(huì)受到網(wǎng)絡(luò)風(fēng)險(xiǎn)的威脅，從而產(chǎn)生較多運(yùn)行漏洞，對(duì)電網(wǎng)供電穩(wěn)定性造成了影響。相關(guān)技術(shù)人員針對(duì)變電站主機(jī)運(yùn)行漏洞設(shè)計(jì)了眾多的檢測(cè)方法，文獻(xiàn)[1]中設(shè)計(jì)一種裝設(shè)在變電站監(jiān)控主機(jī)的硬件模塊，內(nèi)部的組成構(gòu)架簡(jiǎn)單、維護(hù)方便，具有較強(qiáng)的可操作性，但是對(duì)一些新型的漏洞沒(méi)有識(shí)別效果。文獻(xiàn)[2]中針對(duì)計(jì)算機(jī)主機(jī)運(yùn)行過(guò)程中經(jīng)常出現(xiàn)的漏洞問(wèn)題建立離散函數(shù)，具有較高的可靠性，但是檢測(cè)漏洞不具備多面化特性，容易出現(xiàn)漏洞遺漏問(wèn)題。

狀態(tài)跟蹤技術(shù)可以對(duì)某一種數(shù)據(jù)進(jìn)行持續(xù)性地識(shí)別，具有一定的可靠性和廣泛性，該文設(shè)計(jì)了變電站主機(jī)運(yùn)行漏洞檢測(cè)方法。

1 基于狀態(tài)跟蹤的運(yùn)行漏洞數(shù)據(jù)采集

變電站主機(jī)端口是漏洞數(shù)據(jù)侵入的第一場(chǎng)所，所以對(duì)變電站主機(jī)端口中的漏洞數(shù)據(jù)進(jìn)行采集是必要的[3]。在端口中建立可以對(duì)外訪問(wèn)的TCP/UDP 連接測(cè)試服務(wù)端口，該服務(wù)端口不占用變電站主機(jī)端口的內(nèi)部資源，主要為安全管理人員查詢信息提供硬件基礎(chǔ)[4]。變電站主機(jī)中的數(shù)據(jù)具有分散性強(qiáng)、跨度廣、信息量多的特點(diǎn)，若對(duì)內(nèi)部的數(shù)據(jù)全部進(jìn)行篩選采集則會(huì)浪費(fèi)大量的資源，所以需要建立一個(gè)具有獨(dú)立運(yùn)行的低損耗檢測(cè)模塊，在模塊中引用Java多線程機(jī)制，通過(guò)多線程向主機(jī)中輸入多個(gè)端口中的數(shù)據(jù)，然后在這些數(shù)據(jù)中設(shè)定一個(gè)漏洞數(shù)據(jù)的目標(biāo)地址，確定每個(gè)端口中漏洞數(shù)據(jù)的型號(hào)，最后實(shí)現(xiàn)漏洞數(shù)據(jù)的篩選與采集[5]。

依據(jù)主機(jī)端口監(jiān)控變電站主機(jī)各設(shè)備的運(yùn)行狀態(tài)，當(dāng)存在異常狀態(tài)時(shí)，觸發(fā)報(bào)警機(jī)制。變電站主機(jī)設(shè)備存在故障時(shí)，需要隔離設(shè)備，依據(jù)故障類型，從專家數(shù)據(jù)庫(kù)中調(diào)取恢復(fù)策略，為變電站主機(jī)調(diào)度人員提供在線安全穩(wěn)定輔助決策。通過(guò)聚類算法聚類數(shù)據(jù)采集模塊中傳感器采集的數(shù)據(jù)，通過(guò)數(shù)據(jù)分析生成故障分析與處置報(bào)告，為變電站調(diào)度人員提供數(shù)據(jù)支持，降低調(diào)度人員的工作量，實(shí)現(xiàn)在線安全穩(wěn)定輔助決策。通過(guò)狀態(tài)跟蹤進(jìn)行數(shù)據(jù)漏洞標(biāo)識(shí)，將數(shù)據(jù)屬性分為可信數(shù)據(jù)和不可信數(shù)據(jù)，分析數(shù)據(jù)安全狀態(tài)，基于狀態(tài)跟蹤的數(shù)據(jù)安全狀態(tài)判定如式（1）所示：

式（1）中，s代表數(shù)據(jù)的安全狀態(tài)；p代表數(shù)據(jù)狀態(tài)轉(zhuǎn)換操作；s′代表數(shù)據(jù)特征被執(zhí)行了操作后的安全狀態(tài)。數(shù)據(jù)在漏洞狀態(tài)機(jī)模型中需要對(duì)外表現(xiàn)出安全狀態(tài)，從安全狀態(tài)中進(jìn)一步提取安全屬性和被執(zhí)行的操作，然后再根據(jù)安全屬性和被執(zhí)行操作判斷該數(shù)據(jù)是否達(dá)到了采集范圍[6-7]。根據(jù)狀態(tài)分析完成主機(jī)所有端口的漏洞數(shù)據(jù)采集后，進(jìn)入主機(jī)運(yùn)行程序內(nèi)進(jìn)行漏洞數(shù)據(jù)的采集[8]。

在完成追蹤狀態(tài)分析后，建立一個(gè)漏洞狀態(tài)機(jī)模型，對(duì)安全數(shù)據(jù)設(shè)定一個(gè)專屬的標(biāo)識(shí)，并對(duì)相關(guān)的標(biāo)識(shí)賦予相應(yīng)的安全性質(zhì)，所設(shè)定的主要數(shù)據(jù)標(biāo)識(shí)有STO、OPP 和OPV，其中，STO 代表程序中的安全狀態(tài)轉(zhuǎn)換操作集合，集合中包含所有安全數(shù)據(jù)屬性發(fā)生變化時(shí)的操作；OPP 代表安全數(shù)據(jù)經(jīng)過(guò)狀態(tài)轉(zhuǎn)換后的一個(gè)映射內(nèi)容，其中的各種元素均有獨(dú)立的編號(hào)；OPV 代表安全數(shù)據(jù)相關(guān)屬性被執(zhí)行了某種不信任操作[9]。在漏洞狀態(tài)機(jī)模型中，通過(guò)追蹤結(jié)果，使用STO 集中一個(gè)變量的安全狀態(tài)建立一個(gè)五元組：

式（2）中，S代表安全狀態(tài)集，與STO 集合中的數(shù)據(jù)相對(duì)應(yīng)；∑代表主機(jī)運(yùn)行數(shù)據(jù)狀態(tài)機(jī)控制字符集合，可以用來(lái)表示STO；f代表數(shù)據(jù)狀態(tài)轉(zhuǎn)換函數(shù)；s0代表數(shù)據(jù)在漏洞狀態(tài)機(jī)模型中的初始狀態(tài)，可以用來(lái)代表OPV；z代表終止?fàn)顟B(tài)集。因?yàn)樵诼┒礌顟B(tài)機(jī)模型中不具備終止?fàn)顟B(tài)，所以該集為空集[10]。在確定了所有變電站主機(jī)運(yùn)行數(shù)據(jù)的安全狀態(tài)后，利用狀態(tài)追蹤完成狀態(tài)檢測(cè)，直接在模型中進(jìn)行漏洞數(shù)據(jù)的采集，采集流程如圖1 所示。

圖1 基于狀態(tài)追蹤的漏洞數(shù)據(jù)采集流程

分析數(shù)據(jù)信息，同步采集數(shù)據(jù)運(yùn)行狀態(tài)，記錄不同時(shí)間段數(shù)據(jù)模式，確定待采集數(shù)據(jù)的可信性。變電站主機(jī)中的數(shù)據(jù)被惡意用戶控制后的數(shù)據(jù)是不可信的，該類數(shù)據(jù)對(duì)外表現(xiàn)的是不安全狀態(tài)，通過(guò)對(duì)該類數(shù)據(jù)的采集可以進(jìn)一步獲取到主機(jī)運(yùn)行過(guò)程中存在的更大漏洞[11]。確定數(shù)據(jù)的可信性需要判斷數(shù)據(jù)屬性中是否存在缺陷代碼，具有缺陷代碼的數(shù)據(jù)一定是不可信的，若是不存在缺陷代碼還需要對(duì)數(shù)據(jù)進(jìn)行可行性標(biāo)識(shí)的跟蹤，尋找數(shù)據(jù)源，判斷數(shù)據(jù)源中是否存在不可信因素，若數(shù)據(jù)源中存在不可信因素，則該數(shù)據(jù)源中所有的數(shù)據(jù)都要被采集[12]。

設(shè)定顯示模塊，通過(guò)該模塊對(duì)信息進(jìn)行分析，采用狀態(tài)劃分對(duì)不可信數(shù)據(jù)進(jìn)行合法性檢查，其本質(zhì)是對(duì)不可信數(shù)據(jù)的安全狀態(tài)進(jìn)行合法檢查，檢查不可信數(shù)據(jù)的識(shí)別粒度，分析不可信數(shù)據(jù)的構(gòu)成，設(shè)置不可信數(shù)據(jù)在采集流程中的合法性表現(xiàn)，對(duì)不可信數(shù)據(jù)的實(shí)時(shí)狀態(tài)進(jìn)行監(jiān)測(cè)，最后對(duì)監(jiān)測(cè)追蹤的不可信數(shù)據(jù)進(jìn)行整合歸納，在不降低精準(zhǔn)度的同時(shí)將檢查結(jié)果上傳到變電站主機(jī)終端。

在得到狀態(tài)跟蹤結(jié)果后，對(duì)不可信數(shù)據(jù)進(jìn)行實(shí)時(shí)儲(chǔ)存。將經(jīng)過(guò)檢查并上傳的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，利用模型對(duì)所有的數(shù)據(jù)進(jìn)行定位，設(shè)置指引標(biāo)識(shí)，指引標(biāo)識(shí)中包含數(shù)據(jù)位置、安全狀態(tài)信息等內(nèi)容，通過(guò)指引標(biāo)識(shí)進(jìn)行采集和儲(chǔ)存。

2 變電站主機(jī)運(yùn)行漏洞數(shù)據(jù)鑒別

在不可信數(shù)據(jù)儲(chǔ)存庫(kù)中進(jìn)行漏洞數(shù)據(jù)的鑒別，可以尋找漏洞存在位置和發(fā)生狀態(tài)等信息，根據(jù)狀態(tài)信息實(shí)現(xiàn)漏洞鑒別。鑒別漏洞數(shù)據(jù)的方法需要參考變電站主機(jī)運(yùn)行過(guò)程中漏洞數(shù)據(jù)的狀態(tài)轉(zhuǎn)換處理方式，不同狀態(tài)的處理方式下有著不同的函數(shù)，其中的變量也有所不同，不同的變量則會(huì)指引出不同類型的漏洞[13-14]。在進(jìn)行漏洞數(shù)據(jù)鑒別前，對(duì)采集到的所有不可信數(shù)據(jù)內(nèi)部結(jié)構(gòu)特征進(jìn)行標(biāo)識(shí)，利用狀態(tài)分析每種特征標(biāo)識(shí)并進(jìn)行定義，特征定義內(nèi)容如下：

特征定義1：不可信數(shù)據(jù)邊界是安全狀態(tài)數(shù)據(jù)，需要處理邊界內(nèi)部的數(shù)據(jù)不受外部函數(shù)的影響。

特征定義2：不可信數(shù)據(jù)邊界入口是外部不可信數(shù)據(jù)進(jìn)入不可信數(shù)據(jù)儲(chǔ)存庫(kù)中的通道。

基于狀態(tài)跟蹤的數(shù)據(jù)鑒別過(guò)程如圖2 所示。

圖2 基于狀態(tài)跟蹤的數(shù)據(jù)鑒別過(guò)程

觀察圖2 可知，利用狀態(tài)跟蹤對(duì)數(shù)據(jù)特征進(jìn)行檢測(cè)，確定是否存在異常特征，如果確定有漏洞碼，則需要進(jìn)行漏洞檢測(cè)，移動(dòng)鑒別程序后，才能進(jìn)行繼續(xù)狀態(tài)跟蹤[15]。不可信數(shù)據(jù)邊界入口可以有效控制不可信數(shù)據(jù)儲(chǔ)存庫(kù)中的數(shù)據(jù)量，為鑒別函數(shù)提供了穩(wěn)定空間[16]。不可信數(shù)據(jù)邊界入口也可以作為數(shù)據(jù)鑒別的基礎(chǔ)點(diǎn)位之一，在入口處設(shè)定一個(gè)漏洞數(shù)據(jù)目標(biāo)集，再設(shè)定每一個(gè)不可信數(shù)據(jù)在操作集中的屬性編號(hào)，根據(jù)編號(hào)確定不可信數(shù)據(jù)類型，利用狀態(tài)分析，得到轉(zhuǎn)換目標(biāo)，然后通過(guò)數(shù)據(jù)類型深入分析狀態(tài)機(jī)轉(zhuǎn)換函數(shù)f(s,ep)：

式（3）中，true、false 分別代表經(jīng)過(guò)狀態(tài)機(jī)轉(zhuǎn)換函數(shù)轉(zhuǎn)換后的安全狀態(tài)和不安全狀態(tài)，這種函數(shù)下的漏洞數(shù)據(jù)鑒別只能夠?qū)π逻M(jìn)入不可信數(shù)據(jù)儲(chǔ)存庫(kù)中的數(shù)據(jù)進(jìn)行鑒別。

將不可信數(shù)據(jù)某一個(gè)特征作為賦值表達(dá)式的左值，右值則體現(xiàn)出不可信數(shù)據(jù)的安全狀態(tài)，設(shè)定安全狀態(tài)的左值表達(dá)式為Q，那么不同特征量的表達(dá)式為：

當(dāng)Q在表達(dá)式中為單個(gè)變量時(shí)，計(jì)算公式為：

式（4）中，F(xiàn)state(x) 代表特征變量。當(dāng)Q在表達(dá)式中為單個(gè)常量時(shí)，計(jì)算公式為：

特征賦值在函數(shù)的計(jì)算中，為了保證鑒別不可信數(shù)據(jù)的特殊性，還可以將不可信數(shù)據(jù)的屬性代入鑒別內(nèi)容中。

3 實(shí)驗(yàn)研究

為進(jìn)一步檢測(cè)該文提出的基于狀態(tài)跟蹤的變電站主機(jī)運(yùn)行漏洞檢測(cè)方法的實(shí)際應(yīng)用效果，同時(shí)采用該文提出的檢測(cè)方法和文獻(xiàn)[1]提出的安全防護(hù)裝置、文獻(xiàn)[2]提出的人工智能網(wǎng)絡(luò)安全漏洞檢測(cè)方法進(jìn)行實(shí)驗(yàn)對(duì)比。選用不同線程的多端口測(cè)試主機(jī)，同時(shí)選用三種方法對(duì)端口進(jìn)行掃描，掃描過(guò)程中，端口呈現(xiàn)開放狀態(tài)，設(shè)定掃描的端口號(hào)分別為0～200、200～400、400～600，不同線程所對(duì)應(yīng)的數(shù)字分別為20、40、60，在不同時(shí)間段內(nèi)，三種方法接收的變電站主機(jī)數(shù)據(jù)量實(shí)驗(yàn)結(jié)果如圖3 所示。

圖3 接收數(shù)據(jù)包實(shí)驗(yàn)結(jié)果

根據(jù)圖3 可知，安全防護(hù)裝置在進(jìn)行漏洞檢測(cè)過(guò)程中，接收數(shù)據(jù)包數(shù)量和變電站主機(jī)時(shí)間呈現(xiàn)非線性關(guān)系，在檢測(cè)過(guò)程中出現(xiàn)了兩次波動(dòng)，先后達(dá)到兩次波峰，當(dāng)?shù)竭_(dá)第二次波峰后接收數(shù)據(jù)包開始呈現(xiàn)下降趨勢(shì)，檢測(cè)能力逐漸下降。與時(shí)間呈現(xiàn)線性關(guān)系，隨著時(shí)間的增加，接收數(shù)據(jù)包數(shù)量逐漸遞增，與人工智能檢測(cè)方法相比，該文提出的檢測(cè)方法在相同時(shí)間內(nèi)接收數(shù)據(jù)包數(shù)量更多，人工智能檢測(cè)方法接收數(shù)據(jù)包數(shù)量低于安全防護(hù)裝置和狀態(tài)跟蹤方法，當(dāng)檢測(cè)時(shí)間達(dá)到360 s 時(shí)，接收數(shù)據(jù)包的大小也僅為14 GB，而該文提出的方法接收數(shù)據(jù)量已經(jīng)達(dá)到39 GB。

同時(shí)采用不同方法進(jìn)行線程檢測(cè)，分析不同方法的漏洞檢測(cè)率和檢測(cè)誤差率實(shí)驗(yàn)結(jié)果。漏洞檢測(cè)率實(shí)驗(yàn)結(jié)果如表1 所示。

表1 漏洞檢測(cè)率實(shí)驗(yàn)結(jié)果

觀察表1 可知，在檢測(cè)漏洞過(guò)程中，傳統(tǒng)的人工智能檢測(cè)方法檢測(cè)能力最弱，由于傳統(tǒng)檢測(cè)方法接收的數(shù)據(jù)包數(shù)量較小，因此難以實(shí)現(xiàn)很好地漏洞檢測(cè)，當(dāng)端口號(hào)為0～200 時(shí)，人工智能的檢測(cè)能力最低，隨著檢測(cè)時(shí)間的增加，檢測(cè)能力逐漸增加，最高可以達(dá)到70.44%。安全防護(hù)裝置的檢測(cè)性能相對(duì)較好，漏洞檢測(cè)率較高，能夠較為精準(zhǔn)地確定主機(jī)運(yùn)行漏洞，但是到了后期，這種檢測(cè)方法檢測(cè)能力逐漸下降，不適合于實(shí)際檢測(cè)。該文提出的檢測(cè)方法具有較強(qiáng)的能力，隨著時(shí)間的增加，數(shù)據(jù)包接收量逐漸增加，漏洞檢測(cè)率最高能夠達(dá)到97.33%，適用于實(shí)際檢測(cè)工作。漏洞檢測(cè)誤差率是衡量檢測(cè)能力的重要標(biāo)準(zhǔn)，實(shí)驗(yàn)結(jié)果如表2 所示。

表2 漏洞檢測(cè)誤差率實(shí)驗(yàn)結(jié)果

根據(jù)表2 可知，人工智能檢測(cè)方法的檢測(cè)誤差率最低，雖然該文提出的檢測(cè)方法漏洞檢測(cè)誤差率略高于對(duì)比方法，但是檢測(cè)率更高，檢測(cè)能力更強(qiáng)，因此有很高的實(shí)際應(yīng)用價(jià)值。在綜合分析數(shù)據(jù)包接收能力、漏洞檢測(cè)率和漏洞檢測(cè)誤差率等多種因素后，具有更高的應(yīng)用價(jià)值。

4 結(jié)束語(yǔ)

我國(guó)電網(wǎng)中各層次變電站已經(jīng)逐漸達(dá)到智能化和數(shù)字化的水平，在具備電能分配功能的基礎(chǔ)上還實(shí)現(xiàn)了信息監(jiān)測(cè)、數(shù)據(jù)儲(chǔ)存和數(shù)據(jù)分析等功能，該文以狀態(tài)跟蹤法作為基礎(chǔ)對(duì)變電站主機(jī)運(yùn)行漏洞進(jìn)行檢測(cè)，通過(guò)建立狀態(tài)機(jī)模型對(duì)變電站主機(jī)運(yùn)行漏洞中的不可信數(shù)據(jù)進(jìn)行采集，然后再利用不可信數(shù)據(jù)的特殊性和屬性特征進(jìn)行不同種類不可信數(shù)據(jù)的鑒別，根據(jù)不可信數(shù)據(jù)來(lái)確定主機(jī)運(yùn)行漏洞的組成結(jié)構(gòu)、漏洞屬性等信息。這種方法將主機(jī)中所有不可信數(shù)據(jù)進(jìn)行采集與儲(chǔ)存，具有較強(qiáng)的廣泛性，又分別對(duì)每種類的不可信數(shù)據(jù)進(jìn)行狀態(tài)追蹤，具有較強(qiáng)的精準(zhǔn)性，避免了傳統(tǒng)方法中漏洞檢測(cè)覆蓋面不全、精準(zhǔn)度差的缺陷。