基于马尔科夫模型的分布式电网CPS网络攻击动态检测

常 杰,刘 硕,郭禹伶

(国网河北省电力有限公司电力科学研究院,河北 石家庄 050021)

分布式电网CPS在传感器与制动设备的支撑下,在网络传输接口实现人机之间信息的高效交互[1]。但随着分布式电网覆盖范围的提升及电力市场对于电网通信要求的提高,CPS在运行中潜在的漏洞与不足越发明显。在电力产业建设水平持续提升的背景下,分布式电网与信息通信网络之间的耦合性能越发显著,因此,电网在运行中十分容易受到信息通信网络中不良因素的干扰,在严重情况下,甚至会遭受到CPS网络的攻击,从而导致分布式电网的可持续运行受阻[2]。为了解决此类问题,降低恶意攻击现象的发生,本文引进马尔科夫模型,设计了一种针对分布式电网的CPS网络攻击动态检测方法。尽管我国电网安全保护已针对此类问题进行了多次设计与研究,但在实际工作中,仍存在对危险因子检测能力差的问题,甚至在对CPS网络危险因子识别过程中,存在取值与评估不稳定的现象,从而导致设计的方法灵活性与操作稳定性相对较差[3]。而本文设计的方法,将在早期研究成果的基础上实施,致力于通过此次设计,解决传统方法存在的不足与漏洞。

1 分布式电网CPS网络攻击动态检测方法设计

1.1 基于马尔科夫模型提取CPS网络隐性攻击因子

为了解决分布式电网受到网络攻击的问题引进马尔科夫模型,利用模型的统计功能,对CPS网络攻击因子进行提取。马尔科夫模型是一种统计模型,善于处理序列型数据,能够计算出具有维修能力和多重降级状态系统的概率。文献[4]利用马尔科夫模型有效检测了HTTP协议的隐蔽信道,且检测率可以达到较高的水准。文献[5]利用马尔科夫模型和层次聚类方法检测无监督攻击,通过分析用户的偏好序列以及真实用户和攻击用户在评分行为上的差异,计算出每个用户的可疑程度。在深入对攻击分析的过程中可知,CPS网络的攻击行为主要是通过切断电网与终端之间联系的方式,对其正常运行造成负面干预[4]。因此,可定位CPS网络攻击目标为电网运行流量与电力资源。

电力资源在分布式电网中属于隐性资源,直接采用人工采集的方式,难以有效地获取隐性资源,为此要在马尔科夫模型的应用下,对隐性参数进行提取,并利用模型的统计功能,对攻击因子进行总结与归纳。此过程的操作步骤如下。

当CPS网络对分布式电网开始攻击时,可先从电网流量层面分析,提取马尔科夫模型中的可观参数,观察参数发生转移行为的概率,并构建对应的可观参数矩阵。输出参数矩阵后,对电力资源消耗情况进行提取,参照上述流程,提取电力资源的可观参数,建立对应的参数矩阵[5]。完成提取后,输出CPS网络攻击因子数组,将其表示为X=(x1,x2,…,xn)。此过程中,对因子状态转移概率矩阵的表达可用以下公式表示

式中:X为攻击因子状态转移概率矩阵;xa为攻击因子a;xa+1为a的下一个网络节点攻击因子;xb为攻击因子b;xb+1为b的下一个网络节点攻击因子。在完成对上述公式的计算后,提取数组矩阵中的隐性攻击因子,并参照式(1)构建隐性因子状态转移概率矩阵[6]。在完成对攻击因子数组的提取后,绘制其概念模型图示,如下图1所示。

根据图1中表达方式,识别在分布式电网节点中,与此结构类似或存在结构框架雷同的因子,并将其按照上述方法,使用马尔科夫模型对其进行矩阵规划。在此基础上,描述CPS网络攻击下电网运行状态,以缩减网络攻击的判定的检测时间。

图1 CPS网络攻击因子概念模型

1.2 CPS网络攻击下分布式电网运行描述

考虑到CPS网络是一个综合性与复杂度较高的网络,其中多个区间均需要在有线或无线网络的支撑下进行通信,而一旦其网络运行出现流畅度差的问题,便会导致CPS网络运行受阻,甚至会出现大幅度的震荡,这种震荡会使分布式电网运行出现不稳定信号。

在此过程中,定义CPS网络攻击信号表示为u K(t),其中K表示为CPS网络的攻击节点数量或攻击行为规模,以此可以对分布式电网受到信号干扰后的运行进行描述[7]。在此种状态下,可认为电力执行机构、控制对象、因子检测单元等共同构成电网检测机制,因此对于电网检测机制的描述可用如下计算公式表示

式中:xi为电网运行子区间内电力资源的状态变化量;xj为在第j个子区间内输出的电力状态变化参数;Ei为分布式电网传输特性对应的矩阵模型;Ai为在第i个子区间内分布式电网的连通方向;BKiuKi(t)为子区间内的攻击信号;DKiuKi(t)为传感器识别的攻击信号;Ci为对i区间的观测行为;yi为电网运行负载目标;i为分布式电网的运行子区间;j为CPS网络运行子区间。通过上述计算公式,完成对CPS网络攻击下分布式电网运行的描述,便于网络攻击入口的检测,从而提高攻击检测的精度。

1.3 基于攻击可检测性定位CPS网络攻击入口

CPS网络攻击或入侵通常会在某种特定的形式下实施,以此达到一种相对较优的攻击效果,设定K表示为CPS网络攻击范围,则对K的描述可用下述公式表示。

式中:n为电力资源攻击范围;p为通信攻击范围。对于存在∀i∈K的情况,可认为此时存在某一个电网运行时刻,此时ui(t)≠0,对于存在∀i∉K的情况,可认为分布式电网在任意一个运行时刻,均存在ui(t)=0的条件。而CPS网络攻击模式,通常被划分为静态隐蔽性攻击、重放式攻击、动态虚假电力数据攻击3种形式。下述将根据3种攻击方式,对其分别给定攻击入口定位方式。

(1)针对静态隐蔽性攻击,可通过对分布式电网中拉普拉斯变量进行导出的方式检测,当第i个子区域中不存在行向量,仅存在纵向向量时,认为此时存在CPS网络的隐蔽性攻击因子[8]。

(2)针对重放式攻击,可通过判定分布式电网的初始化运行状态与实时运行状态之间差异的方式进行分析,当实时运行状态中存在测量单元无法辨识条件时,认为此时存在CPS网络的重放式攻击因子。

(3)针对动态虚假电力数据攻击,可直接通过估计电网的分布式运行状态的方式进行分析,当子区间内状态变量与预测变量存在差异时,认为此时电网受到虚假数据攻击。

按照上述方式,结合分布式电网的实时运行状态,选择不同的攻击因子识别方式,以此实现对分布式电网CPS网络攻击的动态检测。

2 实验论证分析

选择某电力公司作为此次对比实验的参与单位,设计如下对比实验。在实验实施前,对实验环境及实验参数进行准备,见表1。

表1 对比实验环境

按照表1中内容,布设静态隐蔽性攻击因子、重放式攻击因子、动态虚假电力数据攻击因子,各10个,对电力企业运行的分布式电网进行持续的攻击。在攻击过程中,分别使用本文设计的基于马尔科夫模型的分布式电网CPS网络攻击动态检测方法,与传统检测方法(文献[3]方法),对电网中30个攻击因子进行检测,对比提取电力隐性参数的性能。完成检测后,输出此次对比实验结果,见表2。

表2 攻击因子检测结果

根据上述实验结果可知,传统检测方法在检测静态隐蔽性攻击因子时,存在能力层面欠缺,但在识别其他类型攻击因子时,检测准确率尚可。因此,得出对比实验结论,本文设计的基于马尔科夫模型的分布式电网CPS网络攻击动态检测方法,可准确且全面地识别多种CPS网络攻击因子,平均识别准确率可高达96.0%。

3 结束语

基于我国电网信息通信网络建设的不断完善,嵌入式电力系统开发水平的不断提升,分布式电网已实现了在多个控制领域内广泛应用,并对电力资源均衡调度、水利工程电网运行控制等方面工作的研究,造成了较为显著的影响。因此,本文设计了一种基于马尔科夫模型的分布式电网CPS网络攻击动态检测方法,并在完成设计后,通过对比实验证明了相比传统方法,本文设计的检测方法实用性更强,攻击因子的平均检测准确率可高达96.0%。