电力信息物理系统网络安全防护:一部分成果与验证平台
AI智能总结
Cyberspace SecurityRiskMitigation of Electric PowerCPS:TechniguesandPlatform 杨强浙江大学电气工程学院、教授qyang@zju.edu.cn 研究背景 口高级网络威胁利用先进攻击手段对特定高价值自标进行网络化攻击,具有多样性,持续性、隐蔽性和动态性特征,我国是全球面临网络安全威助最严重的国家之一 口网络空间是国家安全的为“无形疆域”,主关键信息基础设施安全已成为国家间科技竞争的核心领域! 研究背景 针对关键信息基础设施恶意攻击与日俱增 人类历史上电力信息安全的“里程碑”事件! 2015年12月乌克兰电网攻击事件 以BlackEnergy等相关恶意代码为主要攻击工具,通过BOTNET体系进行前期的资料采集和环境预置:以邮件发送恶意代码载荷为最终攻击的直接突破入口,通过远程控制SCADA 节点下达指令为断电手段;以摧毁破坏SCADA系统实现迟滞恢复和状态致盲:以DDoS服务电话作为干扰,最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。 1.获取scada主机控制权 2.通过恶意代码直接对变电站系统的程序界面进行控制3.通过恶意代码伪造和篡改指令来控制电力设备 研究背景 电力系统与信息网络深度融合形成多维异构和高度耦合的电力信息物理融合系统(ECPS) 口系统特征 新能源电力系统和信息系统深度耦合、高度协同具有系统智能、多能协同、信息对称、供需分散、扁平管理、交易开放特征 口发展定位 ●能源互联网是我国推动能源革命的重要技术支撑平台能源互联互通、综合优化利用的资源配置中心和枢纽 口安全挑战 ●两网融合建设推动电力系统信息化、智能化、网络化、电力系统通信协议、设备、系统等逐渐由封闭、孤立走向包容、开放,网络攻击直接和间接威胁日益凸显 研究背景 口网络协同攻击 控制安全 控制软件、协议标准化使外部威肋便于渗透到电网运行控制环境 ●2015年12月23日乌克兰电网突发停电事件由“网络协同攻击”引发,是人类历史上信息安全影响电力系统运行的里程碑事件 网络协同攻击:采用多元化的网络攻击手段,攻击发生于信息域并明确作用于物理域自标,从时间和空间上造成电力系统停电损失最大化的组合攻击行为 网络IP化、异构化和庞大规模给网络带来更大范围的安全风险 网络安全 数据的开放、交互和共享使数据和隐私保护面临前所未有的挑战 数据安全 设备数学化和智能化使关键装备和控制软件面临未知网络攻击威 设备安全 口学术界共识 网络攻击在内在机理上有别于电网常规故障和物理攻击,网络攻击自标性更强、不确定性更高、造成破坏力更大电力系统信息基础设施脆弱性客观存在和不可规避的、协同攻击渗入手段、漏洞利用能力、传播机制和隐蔽潜伏性已信息战水平,现有安全防范体系不具备绝对抵御能力 基于网络协同化攻击的新特点,需要从电力信息物理融合系统视角开展研究。 1.“单一攻击检测”转向“异常智能检测2.“定性风险”转向”定量安全态势评价3.静态分析”转向“动态检测4.“被动防御”转向“主动防御 研究成果-1:电力通信流量建模和异常检测 根据电力系统网络流量采集方式、数据类型、通信模式、数据持征等特点,利用统计学模型刻画工业网络通信流量特征,支撑异常流量智能检测与安全分析,具体为: 通用场景的流量建模,重点刻画自相似性 动态场景的实时检测,重点刻画周期性海量数据建模预测,重点刻画大数据性大规模网络分布式检测,以低计算复杂度实现多点井行检测 研究成果-1:电力通信流量建模和异常检测 FARIMA模型基于ARMA模型,主要针对有显著自相似性的时间序列建模。若工业网络对实时性要求不严苛、数据量不大,且数据具有强自相似性,则较适合使用FARIMA模型对其进行建模。 根据实际采集的天津某110KV智能变电站通信网络(SCN)流量数据:对数据进行聚合分析,主要提取通信流量传输比特率作为研究参量,构建优化的FARIMA模型进行时间序列分析,根据不同统计学置信度生成网络流量阈值模型 构建变电站信息物理系统SCN正常流量数学模型 电力通信流量建模和异常检测研究成果-1:E 口基于FARIMA的工业网络流量建模 FARIMA模型能够对不同尺度、及不同粒度下SCN流量进行建模,具有良好预测性能与低算法复杂度,能够很好描述流量动态性、自相似性、多重分型特性以及平稳性。 平稳性测试和拟合参数 FARIMA模型描述 19y.=0.94920.632y.0.251y-0.881y.0.446y+0.447y-0.209y-60.123y-70.067y-90.031y,-n +8, 0.1858,--0.4008,-2+0.5726-30.1676,4-0.5738,--0.1676j-s+0.368+0.9008- 研究成果-1:电力通信流量建模和异常检测 口基于SARIMA的在线检测模型 模型关键技术 ICS通信关键点流量采集 实时异常检测技术 SARIMA/ARIMA模型 1.监控层与现场设备层网络是ICS核心2.配置交换机镜像口,采集全网流量3.搭载Python自编流量采集&分析脚本4.配合Wireshark分析流量PCAP文件 1.算法解释互联网流呈特性 1.内外两侧检测非法访问、恶意病毒探攻击及各种违反正常操作的行为2.数据异常转化为各种应用领域中的重要可操作信息 2.训练时间短,算法复杂度低 5.基于监督式模型充分提取流量特征 不同的恶意操作与网络攻击对通信流量的影响 电力通信流量建模和异常检测研究成果-1:F 图1:聚合尺度对通信流量产生的影响图2:原始流量的模型拟合效果图3:聚合后流量的模型拟合效果图4:不进行聚合下的正常流量的國值模型图5:为模型聚合尺度为10s的流量阈值生成与告警 研究成果-1:I电力通信流量建模和异常检测 现有大规模工业网络流量异常检测存在一定局限性,大多数模型都侧重于集中检测,导致流量负荷过大。实时可靠的通信对工业运行至关重要,提出了一种云边协同的流量异常检测方法: 浙江大学工业互联网攻防试验场采集正常/异常下的工控流量。异常特指工控系统受到网络攻击下的状态,如SYNFlooding,UDPFlooding,Pingofdeath,Nmap扫描等边缘侧部署基于SARIMA的在线异常流量预警模型,过滤大量的正常流量,仅上传异常流量到云端,实现通信负荷的降低云端部署深度学习异常流量检测模型,提取流量多维特征,实现异常流量种类的识别 研究成果-1:电力通信流量建模和异常检测 在浙江大学工业互联网攻防试验场测试平台上,用真实网络攻击用例进行试验验证。数值结果表明:与其他流量异常检测模型相比该检测方法具有更小的流量负载和更快速的检测效果 电力通信流量建模和异常检测研究成果-1:E 提出了一种基于无监督学习的异常流量检测方法,由数据预处理模型、无监督payload分词模型与自编码器组成对原始pcap包进行处理,仅考虑检测TCP/UDP协议流量,提高处理效率,提取数据包payload,转换成ASClI码利用基于LSTM的无监督分析算法对payload进行分词 采用基于BERT-CNN的自编码器,充分提取payload里的长期和短期依赖关系,实现对异常流量的准确检测 研究成果-1:F电力通信流量建模和异常检测 口基于无监督学习的异常载荷检测方法 利用信息/物理攻击数据集对所提出的检测方法进行评估。现有文献检测方法相比,该方法检测精度提高了18.83%回率增加了22.3% 研究成果-2:基于攻防博奔的安全防御决策 提出一种DDoS攻击下的基于有限资源可用性的信息不完全非零和博奔理论模型,实现防御资源的合理配置。设计了多维节点价值分析来引入物理和信息安全指标。 口针对分布式拒绝服务攻击的防御资源分配策略 贝叶斯博奔 DDoS攻击模型 G={P, S, R, B] DDoS攻击目的一般分为两类:过度延迟和资源耗尽当出现大量的干扰报文时,会导致网络带宽受到影响,导致节点之间的合法命令无法传递。当CPU接收到非法命令时,会发生资源耗尽,导致节点的内存耗尽或内核被占用,无法提供相应的服务。因此可以将延迟作为双方的收益 P=(Pa,Pd)是参与者集合,Pa和Pd分别表示攻击者和防御者S=(Sa,Sd)是策略集合R=(Rad,Rda)是双方的效益函数B=(Ba,Bd)是信念集合 信念更新 防御策略 由于双方都不了解对方的资源配置情况,并随着攻防守的进展逐渐加深对对方的了解,引入信念指数来假设双方对对方资源配置情况的了解程度信念指数在每阶段更新 具体策略:扩宽硬件带宽、限制异常流量过滤黑名单端口等根据策略的不同,相应的成本(包括设备布置成本,维护成本,传输成本等)不同。 研究成果-2:基于攻防博奔的安全防御决策 考虑防御资源有限情况,基于博奔论方法可以提供最优的防御资源分配策略,有效减少攻击下的资产损失 研究成果-2:基于攻防博奔的安全防御决策 口虚假数据注入攻击的防御资源分配策略 针对FDI攻击导致的状态(即电压)偏移和总线权重变化,通过电网状态估计方法估计状态偏移量,考虑网络拓扑结构的脆弱性和连接关系,建立有限防御资源下信息不完全的博弃理论模型 FDI攻击流程 具有先验知识的FDI攻击者通过控制仪表、通信网络和主站来干扰估计结果(如电压、电流和功率测量)。诱导控制中心采取紧急措施,对关键母线和线路进行操作,造成减载、过压或欠压。对于攻击者来说,状态估计的虚假数据注入通常有两个目标,即某些系统状态变量(如总线相角、总线电压幅值)和由系统结构和至少两个系统变量决定的某些测量值。如果要同时改变多个状态,攻击者需要向仪表中注入更多的假数据。 系统设计 攻击者具有一定先验知识的前提下选择节点进行攻击,从而使得测量设备获取到电压/电流/功率的错误数据系统根据错误数据进行计算,判断该节点产生异常,进行相应的措施导致误操作,从而对整体本电网产生影响,例如电压的失衡。将该电压偏移量量化为攻击者收益/防御者负收益。 研究成果-2:基于攻防博奔的安全防御决策 口虚假数据注入攻击的防御资源分配策略 利用实时数字仿真系统(RTDS)对IEEE33-bus与IEEE14-bus电力网络进行实验验证,结果表明提出方法与已有文献方法相比具有更佳的防御资源优化配置效果 研究成果-2:基于攻防博奔的安全防御决策 提出了一种贝叶斯-随机混合博奔模型,在攻击者不健全信息下生成防御策略。 提出了一种统一的博奔效用函数量化框架,以保证信息物理层效用函数的一致性利用基于状态转移的随机博奔模型来描述攻击者针对ECPS跨域渗透攻击的演化过程,将每个状态下的攻防交互建模为不完全信息贝叶斯博奔,以刻画攻击者信急的未知性提出了一种多智能体贝叶斯Q-learning算法,在信息不完全的情况下学习最优防御策略。在ECPS实验平台上进行性能评价,验证了该方法最优防御决策的可行性和有效性 研究成果-2:基于攻防博奔的安全防御决策 通过在ECPS实验平台上进行攻防实验测试,!验证了所提出的方法制定最优防御策略方面的有效性 恶意对抗样本生成与智能检测研究成果-3: 口恶意对抗样本自动生成 研究背景 威胁检测技术对已知样本检测效果颇有成效,但是对于对抗样本、新型恶意样本很难奏效生成对抗恶意样本可用于评价威肋检测系统对于对抗样本、新样本的检测效果,解决目前检测模型训练中缺少对抗样本、新样本的困境 研究方法 基于语义感知的对抗性AP调用序列生成方法:在清除亢余API调用基础上,利用BERT模型提取不同API调用之间的语义特征,从而生成对抗性API序列可执行恶意对抗样本生成技术:利用C++程序插入相应无干扰API调用,生成可执行的恶意对抗样本 研究成果-3:恶意对抗样本生成与智能检测 口恶意对抗样本自动生成 生成对抗性AP/调用序列攻击成效分析(攻击成效表
