基于大数据的主动防御技术在电力信息网络安全的应用分析

贵州电网有限责任公司铜仁供电局 付义洲

引言

伴随着现代化技术的不断发展，以计算机为基础的现代通信方式逐渐改变着人们生活的方方面面，并在电力发展行业也实现了广泛应用。南方电网公司在推进智能电网、电力物联网建设过程中，虽然已经取得了良好的成果，但也面临同样面临着各种各样的困难，其中最为突出的就是信息系统网络安全问题。与其他类型的安全维护工作相比，电力信息安全需要更多的技术支持，且不仅局限于信息安全管理的前端，其相关异常行为的追踪溯源及攻击行为的防御，以及整体网络环境的安全态势分析，都在电力信息安全维护中发挥着重要作用。

已有诸多学者就该问题展开了相关研究：文献[1]在GRU-CNN 的基础上对网络攻击进行识别检测，并且实现了良好的检测效果，但是其对新类型攻击的识别仍然需要一段时间的优化，因此应用的时效性存在一定提升空间；文献[2]将主动防御新技术应用在电力信息网络安全维护中，同样在一定程度上降低了网络安全风险，但是对于攻击的定位追踪效果并不理想，难以为后续的技术优化提供数据基础。

为了提高电力信息网络的安全性，对其实施有效的主动防御技术是十分必要的，为此,提出了基于大数据的主动防御技术在电力信息网络安全的应用分析。利用大数据设置检测指标阈值范围，以此确保蜜罐技术能够实现对异常信息的全面识别和处理，结合大数据反馈的威胁指标，分析异常信息影响下的电力信息网络安全态势，最后通过大数据获取异常信息行为的多源日志，实现对其的准确溯源技术。

测试结果表明，设计方法对异常信息的检测误差不超过0.1，对安全态势的分析结果不超过0.01，且能够实现对异常信息行为的准确溯源。通过本文的研究，也希望为相关电力信息系统网络安全维护与保障工作的开展带去有价值的参考。

1 主动防御技术在电力信息网络安全的应用

1.1 电力信息网络安全检测

通过主动防御技术和被动防御技术的结合，电力信息网络的动态安全防御体系可以使电力信息网络更加安全[3]。电力信息网络安全检测最主要的内容就是对网络中的异常访问信息和信号进行识别，而要实现这一目标，首先要制定一个合理的网络信息资源运行阈值标准。在传统方法中，该标准主要是通过统一标准或结合运维人员的工作凭经验进行手动设置的[4]，但是在这种设置方法往往存在较大的偏差。

为此，本文利用大数据实现对检测指标阈值范围的设置，再结合蜜罐技术实现对网络信息资源状态的分析检测。在进行检测之间需要注意的是，对于异常安全信息不仅仅要实现准确检测，同时也要对于实施有效的干预，在一定程度上预防网络安全隐患的发生[5]。

利用大数据技术对电力信息网络中的历史访问数据进行有效分析，得到信息资源指标的合理运行范围，并将其作为蜜罐技术的阈值，其计算方式可以表示为：Dmax=cD0max+D/(2mn-1)、Dmin=cD0min+D/(2mn-1)，其中：Dmax和Dmin分别表示蜜罐技术检测识别判定风险信息的阈值上限和下限，c 表示电力信息网络环境的自扰动系数，D0max和D0min分别表示大数据中信息的最大值和最小值，m 和n 分别表示电力信息网络的传输系数和冗余系数。以此为基础，将[Dmax,Dmin]范围内的结果判定其为正常信息，将超出[Dmax,Dmin]范围的结果判罚为异常信息，并采用蜜罐技术对其实施相应的欺骗，最大限度降低其对电力信息网络环境带来的安全威胁。

1.2 电力信息网络安全态势分析

基于上述条件，本节针对电力信息网络安全的态势分析，是通过对电力信息网络环境内所有异常数据的分布情况实现的。对其的分析本节同样采用大数据实现。假设在大数据下，1.1部分识别的异常网络信息导致信息资源指标出现非正常突变的概率为P，在多个异常网络信息的堆积下这种突变逐渐累加，当其超出正常阈值范围时，蜜罐技术的常规的干预手段难以实现对网络安全的维护，此时的安全态势也将发生变化，其对应的计算方式可以表示为：γ=(p-∑p)/Z，其中：γ 表示安全态势分析结果，p 表示网络安全波动的正常阈值范围，Z 表示网络环境的基础负载。通过这样的方式，计算得出电力信息网络安全态势情况。

1.3 电力信息网络安全攻击追踪

由1.2可知，当电力信息网络安全态势达到原有的预警标准时，除实施有效的防御基础外，还需要对该异常信息对网络环境造成的攻击进行识别，并结合识别结果作出相应的修复，这就要求对异常信息的行为进行准确追踪。为此，本节基于信息网络的历史运行大数据，建立包含在线用户数、日登录用户数、运行状态、接口状态、健康运行时长的多源日志标签，并建立一级紧急抢修位置及二级紧急抢修位置，其计算方式可以表示为：F=100-γf。

其中，F 表示溯源结果，f 表示异常信息的多源日志标签数据。以此为基础，当F 值大于60时判定其为二级紧急抢修位置，当F 值小于60时判定其为一级紧急抢修位置。但需注意的是，溯源结果中不仅包含异常数据的攻击痕迹，同时也包括其经过的非目标攻击位置，因此对其的溯源可结合1.1部分的检测结果进行。通过这样的方式，实现对电力信息网络异常信息行动轨迹的准确追踪，为后续的修复工作提供可靠的数据基础，最大限度降低由此带来的网络安全问题。

2 测试分析

2.1 测试环境

本文按照电力信息网络的实际结构，采用模拟软件构建了一个网络拓扑环境，包含核心层、汇聚层和接入层，以此满足数据的交互需求，并将其作为电力信息网络的路由器装置，编号1～5。考虑到在实际的电力信息网络中，网络设备的分层是以电力实际场景需求进行分配的，因此本文选用5个设备实现对其的分层建设，确保模拟电力信息网络最大限度贴近实际结构。考虑到各地区调度数据网大多采用H3C MSR 36-40路由器，结合安全基线配置检测标准，本文启用telnet 明文service 搭建了开启SNMP 的写功能，以此更好地服务H3C MSR 36-40，并在access 中绑定了设置的设备脆弱项，根据典型脆弱项表现出的特性对模拟的网络节点进行赋值。

其中，接入层的1号和5号节点为机房中的设备，1号节点包含1个高级设备脆弱项、10个中级设备脆弱项，以及12个低级设备脆弱项；5号节点无高级设备脆弱项，包含5个中级设备脆弱项和9个低级设备脆弱项。从设置上可看出，1号节点包含高级设备脆弱项，因此与5号节点相比其更易受到攻击。汇聚层的节点2号和4号为该汇聚中的设备，2号节点无高级设备脆弱项，但包含9个中级设备脆弱项和12个低级设备脆弱项，4号节点包含1个高级设备脆弱项、8个中级设备脆弱项和3个低级设备脆弱项。与接入层相同，4号节点包含高级设备脆弱项，因此比2号节点更易受到攻击。核心层对应的节点为3号，也是核心中的设备，设置该节点无高级设备脆弱项，包含6个中级设备脆弱项和7个低级设备脆弱项。

在上述基础上，对各节点的参数进行设置，其节点编号、价值、脆弱度、威胁度、整体风险分别为：1、2.246、1.521、3.50、2.650；2、3.492、1.396、2.50、2.771；3、4.501、1.242、2.50、3.209；4、3.512、1.150、3.50、2.545；5、2.264、1.092、2.50、5.471。按照以上设置，分别采用文献[1]文献[2]以及本文提出的方法进行试验测试，分析本文设计方法的应用效果。

2.2 测试结果

首先，统计了三种方法对各个网络节点脆弱度的检测结果误差，具体如图1所示。

图1 网络节点脆弱度检测结果误差对比图

从图1中可以看出，对比三种方法，文献[1]方法的检测误差最为明显，最大值达到了0.331（2号节点），最小值也达到了0.156（3号节点）。文献[2]方法虽然与文献[1]方法相比有一定的提升，但是总体误差仍在0.150左右，相对偏高。

通过观察本文方法的检测结果可以看出，其误差最大值也仅为0.092（2号节点），最小值仅为0.037（4号节点），由此可以判定，本文设计方法可以实现对电力信息网络脆弱节点的有效检测，可以为后续的安全态势感知提供可靠数据基础。在此基础上统计了本文方法对测试环境整体风险的计算结果，具体的误差如图2所示。

图2 网络环境整体风险检测结果误差对比图

从图2中可以看出，对比三种方法，文献[1]方法对测试环境整体风险的检测误差仍然最为明显，最大值达到了0.121（2号节点），最小值也达到了0.109（3号节点）。由于文献[2]方法对网络节点脆弱度检测结果误差相对文献[1]方法有一定的提升，因此对测试环境整体风险的检测误差也偏低，基本稳定在0.095左右。观察本文方法的检测结果可以看出，误差最大值也仅为0.064（1号节点），最小值仅为0.042（3号节点），由此可以判定，本文设计方法可以实现对电力信息网络整体风险情况的准确分析，可以为相关安全维护技术手段的实施提供可靠数据。为进一步分析本文设计方法对攻击定位的检测结果，本节进行了5次攻击位置检测（表1）。

表1 不同方法攻击追踪结果统计表

从表1中可以看出，文献[1]方法对于小规模攻击的追踪效果较好，但是当攻击节点数量增加时，其追踪明显增加，文献[2]方法同样在小规模攻击追踪中表现出良好效果，但是对于3个节点以上攻击的追踪结果不够全面，丢失问题严重，而本节方法不仅实现了对攻击节点的准确定位，同时未出现信息丢失，具有良好的溯源能力。

3 结语

电力信息系统网络安全维护是一项关系到电力资源价值利用和电力系统运行风险管控的重要手段，为了最大限度降低由于网络攻击带来的信息安全问题，建立起包含安全检测、安全态势感知、安全攻击追踪一体化的全方位防御体系是十分必要的。本文提出基于大数据的主动防御技术在电力信息网络安全的应用分析研究，利用大数据的优越性，分别采用多源日志的行为溯源技术、蜜罐技术以及态势感知技术实现对电力信息网络安全的管理。通过本文的研究，以期为电力信息网络环境的安全稳定发展提供帮助。