基于TEE和eSE的智能電網(wǎng)風險態(tài)勢感知防護技術(shù)

姚海燕， 向新宇， 於志淵， 樊立波， 杜忠

(1.杭州市電力設(shè)計院有限公司余杭分公司， 浙江，杭州 310000；2.國網(wǎng)浙江省電力有限公司杭州供電公司， 浙江，杭州 310000；3.北京博思匯眾科技有限公司， 北京 100000)

0 引言

在互聯(lián)網(wǎng)的發(fā)展推動下，國家電網(wǎng)的信息化建設(shè)也已經(jīng)全面覆蓋，形成智能電網(wǎng)。智能電網(wǎng)是集成、高速、雙向通信網(wǎng)絡(luò)為基礎(chǔ)建立而成，結(jié)合先進的設(shè)備和儀器，保證電網(wǎng)安全、高效運行，因此也稱為電網(wǎng)的智能化[1]。智能電網(wǎng)具備五大顯著優(yōu)勢，分別為具備免疫系統(tǒng)，實現(xiàn)自愈；促進電力系統(tǒng)的運行和管理；具備抵御攻擊能力，能夠在一定程度內(nèi)降低物理攻擊和網(wǎng)絡(luò)攻擊；可實現(xiàn)無縫地容、即插即用；可對電網(wǎng)資產(chǎn)實行管理和優(yōu)化，降低運行成本[2]。智能電網(wǎng)雖然能夠在一定程度內(nèi)降低物理攻擊和網(wǎng)絡(luò)攻擊，但仍然會受到一定影響，產(chǎn)生一定運行風險，并且智能電網(wǎng)日漸復(fù)雜，其風險一旦產(chǎn)生，將會對整個電力系統(tǒng)造成不可預(yù)計以及復(fù)雜性的安全隱患。智能電網(wǎng)風險態(tài)勢感知防護，則是用于電網(wǎng)的安全風險實行感知以及保護，避免智能電網(wǎng)運行的重要信息數(shù)據(jù)被竊取、惡意入侵等，避免發(fā)生信息安全出現(xiàn)問題，導(dǎo)致電網(wǎng)故障甚至是事故的發(fā)生[3]。其中感知的主要依據(jù)是智能電網(wǎng)的態(tài)勢，網(wǎng)絡(luò)態(tài)勢既是體現(xiàn)網(wǎng)絡(luò)狀態(tài)變化的，對網(wǎng)絡(luò)風險態(tài)勢實行感知、評估，綜合分析網(wǎng)絡(luò)存在的安全問題。

TEE(Trusted execution environment)也稱為可信執(zhí)行環(huán)境，是IT行業(yè)的專業(yè)術(shù)語，主要應(yīng)用于安全智能設(shè)備方面。eSE(E-commerce based on search engine)也稱作生態(tài)情景體驗，其具備將搜索和信息有效結(jié)合的功能。當下關(guān)于智能電網(wǎng)風險造成的原因有很多，例如沒有經(jīng)過授權(quán)的訪問、惡意以及暴力破解和入侵等，上述等行為會對智能電網(wǎng)的多方面運行造成一定影響，例如會導(dǎo)致智能電網(wǎng)數(shù)據(jù)傳輸時端到端的時延增加、導(dǎo)致網(wǎng)絡(luò)癱瘓等情況。因此，為避免上述問題，本文研究基于TEE和eSE的智能電網(wǎng)風險態(tài)勢感知防護技術(shù)，實現(xiàn)智能電網(wǎng)的風險態(tài)勢感知以及防護，保證智能電網(wǎng)的正常運行。

1 基于TEE和eSE的智能電網(wǎng)風險態(tài)勢感知防護技術(shù)

1.1 技術(shù)架構(gòu)

基于TEE和eSE的智能電網(wǎng)風險態(tài)勢感知防護技術(shù)的主要目的為保證智能電網(wǎng)具備主動防御、保證網(wǎng)絡(luò)的深層安全。因此，以TEE和eSE技術(shù)為核心，實現(xiàn)智能電網(wǎng)風險態(tài)勢感知防護，該技術(shù)架構(gòu)如圖1所示。

圖1 技術(shù)架構(gòu)

基于TEE和eSE的智能電網(wǎng)風險態(tài)勢感知防護技術(shù)的應(yīng)用，需具備信任源，其通過引入可信計算理念、可信平臺控制模塊(TPCM)，設(shè)計無法篡改的智能電網(wǎng)信任根實現(xiàn)；同時結(jié)合TEE技術(shù)完成身份鑒別、安全檢查等敏感指令，實現(xiàn)對用戶、程序等主體的可信檢查和權(quán)限控制[4]。

1.2 基于eSE的智能電網(wǎng)安全風險感知模型

1.2.1 模型結(jié)構(gòu)

安全防護的目的為降低風險或完全避免風險，達到安全防護，需先完成智能電網(wǎng)安全風險感知。采用eSE模型完成智能電網(wǎng)安全風險感知，該模型如圖2所示。

通過結(jié)合相關(guān)方法實現(xiàn)智能電網(wǎng)風險態(tài)勢感知，其實現(xiàn)分為3個步驟，分別為基于DS證據(jù)理論的風險態(tài)勢感知、基于概率風險分析的逐層風險態(tài)勢量化以及風險態(tài)勢判別[5]。

基于DS證據(jù)理論[6]可將每一個感知器感知到的風險信息實行融合，根據(jù)融合結(jié)果分析存在風險以及風險產(chǎn)生的可信度，并將其作為模型第二個步驟的輸入；基于概率風險分析的逐層風險態(tài)勢量化對輸入的結(jié)果實行量化分析，同時將時間權(quán)重等相關(guān)權(quán)重引入確保分析結(jié)果的客觀性；根據(jù)量化

圖2 基于eSE的智能電網(wǎng)安全風險評估模型

結(jié)果對風險態(tài)勢實行判別，獲取判別結(jié)果。

1.2.2 DS證據(jù)理論的風險態(tài)勢感知

作為一種融合技術(shù)，DS證據(jù)理論具備較強的優(yōu)勢，其可以通過不同的數(shù)據(jù)處理方法，處理同一識別框架內(nèi)的信息，將不同數(shù)據(jù)處理方法處理的結(jié)果用于表示每一個子證據(jù)體，并用Dempster合成規(guī)則對其進行融合，得出一個新的證據(jù)體，該獲取的主要依據(jù)是決策規(guī)則[7]。

DS證據(jù)理論的風險態(tài)勢感知步驟如下所述。

(1) 建立子證據(jù)體的基本概率分配函數(shù)

識別框架用?表示，其同時可表示智能電網(wǎng)風險態(tài)勢集；第k個子證據(jù)體對應(yīng)的第j個智能電網(wǎng)風險態(tài)勢的為智能電網(wǎng)輸出值用Ok(j)表示，采用轉(zhuǎn)換手段對我實行處理，將其看作基本概率分配[8]，因此，子證據(jù)體對智能電網(wǎng)風險態(tài)勢Fj的概率推理過程公式為

(1)

以得出的mk(Fj)為依據(jù)，獲取所有智能電網(wǎng)風險態(tài)勢的信度以及似真兩種函數(shù)值分別用B、P表示，兩者的計算式為

(2)

(2) 證據(jù)合成

存在差異性且相互獨立的概率分配函數(shù)額獲取，是由于證據(jù)來源在相同識別框架內(nèi)存在差異性，且用m1和m2表示，采用DS證據(jù)理論的合成規(guī)則，完成每一個子證據(jù)體的充分融合[11-13]，融合后形成的新的概率分配函數(shù)為

(3)

式中,直和用⊕表示,且E=X+Y，在E=φ的情況下，[m1⊕m2](E)=0。

(3) 決策規(guī)則

證據(jù)體的信任區(qū)間用[B(Fj),B(Fj)]表示，其是決策規(guī)則的實現(xiàn)依據(jù)，如果Fi=[B(Fi)]，則Fj需滿足下述式：

(4)

式中,Fi表示風險態(tài)勢識別結(jié)果用,ε1、ε2表示設(shè)定的閾值。

1.3 TEE技術(shù)

由于TEE技術(shù)擁有執(zhí)行空間，因此其具備極高的安全性，并且富操作系統(tǒng)(Rich OS)的安全服務(wù)由其提供，兩者并存運行?？尚艖?yīng)用(TA)的安全執(zhí)行環(huán)境、資源、數(shù)據(jù)的保密性、完整性、訪問權(quán)限均有TEE技術(shù)支撐完成。作為可信根的TEE技術(shù)，通過驗證是其執(zhí)行的基礎(chǔ)，并且必須和Rich OS的運行實行間隔[14]。相互獨立是所有的TA在TEE技術(shù)中的呈現(xiàn)狀態(tài)，其相互之間的訪問在沒有授權(quán)的情況下，無法進行，其詳細情況如圖3所示。

圖3 TEE技術(shù)結(jié)構(gòu)

可信應(yīng)用是TEE技術(shù)的核心，該應(yīng)用則是信任建立依據(jù)。在此基礎(chǔ)上，實現(xiàn)信任鏈的構(gòu)建，實現(xiàn)整個智能電網(wǎng)的逐級信任，保證整個網(wǎng)絡(luò)的安全防護[15]。

2 實驗設(shè)計與分析

為測試本文技術(shù)的風險態(tài)勢感知防護效果，搭建相關(guān)測試環(huán)境，并采用激光漏洞掃描系統(tǒng)對智能電網(wǎng)風險進行仿真，模擬網(wǎng)絡(luò)攻擊，分析本文技術(shù)的感知防護性能。搭建的網(wǎng)絡(luò)架構(gòu)中，交換機作為網(wǎng)絡(luò)中的連接站，與目標服務(wù)器相連，同時連接使用本文技術(shù)的風險態(tài)勢感知系統(tǒng)以及入侵模擬系統(tǒng)。

實驗環(huán)境：目標服務(wù)器使用Windows Server 2019，并且服務(wù)ID分為3個，其服務(wù)名稱分別為IIS6.0、MySQL Server 2008、FTP Server，其中，保證IIS配置的正常連接，能夠完成應(yīng)用的正常傳輸、目標服務(wù)器主機防火墻能夠正常啟動和關(guān)閉。在整個搭建的智能電網(wǎng)中，設(shè)定3種風險態(tài)勢，分別為惡意入侵、信息竊取以及非驗證訪問。

采用安全服務(wù)、節(jié)點風險指數(shù)、節(jié)點風險概率以及網(wǎng)絡(luò)風險概率4項指標作為衡量本文技術(shù)效果的指標，其計算公式分別為

(5)

(6)

(7)

(8)

式中,RNi(t)、RNi(t)、R(t)和P(t)分別表示安全服務(wù)風險指數(shù)、節(jié)點風險指數(shù)、節(jié)點風險概率和網(wǎng)絡(luò)風險概率,Ni表示節(jié)點,t表示時刻,wsijk、wni分別表示安全服務(wù)SAj和Ni的相對重要權(quán)值，且兩者分貝屬于Ni中和智能電網(wǎng)中。

2.1 風險權(quán)重值的獲取

啟動漏洞掃描，模擬3種風險態(tài)勢對目標主機實行攻擊，利用上述公式，計算服務(wù)相對權(quán)重感知主機受到攻擊后風險級別，以此衡量本文技術(shù)的風險態(tài)勢感知效果，如圖4所示。

(a) 安全服務(wù)相對權(quán)重測試結(jié)果

(b) 風險級別感知結(jié)果

根據(jù)圖4測試結(jié)果可知：在5種服務(wù)性能下，本文技術(shù)能夠獲取服務(wù)相對權(quán)重，并且能夠根據(jù)該權(quán)重結(jié)果完成主機受到攻擊后風險級別感知。該結(jié)果表明，本文技術(shù)能夠完成風險態(tài)勢感知。

2.2 不同節(jié)點的風險概率感知

為進一步測試風險感知效果，隨機選取3個目標服務(wù)器(A、B、C)，采用DS理論證據(jù)計算各個節(jié)點發(fā)生的風險概率，以此衡量本文技術(shù)的風險感知效果，由于篇幅有限，該測試僅模擬信息竊取風險，結(jié)果如表1所示。

表1 各節(jié)點上安全服務(wù)性能的風險測試結(jié)果

根據(jù)表1測試結(jié)果可知：3個節(jié)點在不同的安全服務(wù)情況下，直接威脅概率與發(fā)生威脅的概相同，間接概率則為零，風險總值則是分別呈現(xiàn)不同的變化。該結(jié)果表明，本文技術(shù)的風險態(tài)勢感知性能良好，能夠準確完成風險態(tài)勢的感知。

2.3 數(shù)據(jù)突發(fā)運行時智能電網(wǎng)運行狀態(tài)

安全防護是保證智能電網(wǎng)運行數(shù)據(jù)信息安全關(guān)鍵，因此防護效果決定信息的安全程度。獲取智能電網(wǎng)在正常網(wǎng)絡(luò)通信時，突發(fā)運行情況下傳送重要數(shù)據(jù)以及非重要數(shù)據(jù)的網(wǎng)絡(luò)狀態(tài)，結(jié)果如圖5所示。

根據(jù)圖5獲取的測試結(jié)果可知，重要數(shù)據(jù)突發(fā)運行狀態(tài)下，具備安全防護技術(shù)時，智能電網(wǎng)在端到端的運行過程中，時延結(jié)果一種處于十分平穩(wěn)狀態(tài)，時延結(jié)果為0.28 s，沒有安全防護技術(shù)時，則時延結(jié)果呈現(xiàn)波動狀態(tài)，其時延范圍在0.28-0.60 s之間；非重要數(shù)據(jù)在突發(fā)運行狀態(tài)下，具備防護技術(shù)與不具備防護技術(shù)的端到端的時延結(jié)果均呈現(xiàn)波動狀態(tài)，時延明顯增加。

2.4 所提方法應(yīng)用下交換機流量分布與數(shù)據(jù)端到端的時延穩(wěn)定性

風險態(tài)勢防護技術(shù)的有效性，可通過智能電網(wǎng)數(shù)據(jù)時延以及抖動情況進行體現(xiàn)，延時越小，防護性能越好。因此模擬惡意入侵時，交換機流量變化情況和數(shù)據(jù)端到端的時延結(jié)果，如圖6所示。

(a) 重要數(shù)據(jù)突發(fā)運行時的智能電網(wǎng)運行狀態(tài)

(b) 非重要數(shù)據(jù)突發(fā)運行時的智能電網(wǎng)運行狀態(tài)

(a) 交換機流量測試結(jié)果

(b) 端到端的時延結(jié)果

根據(jù)圖6測試結(jié)果可知：智能電網(wǎng)在風險態(tài)勢防護下，交換機流量分布結(jié)果并沒有受到防護技術(shù)的影響，其流量范圍在5～30 Mbits/s之間；在受到惡意入侵時，沒有風險防護技術(shù)情況下，交換機流量最高可達43 Mbits/s，該現(xiàn)象可導(dǎo)致智能電網(wǎng)網(wǎng)絡(luò)癱瘓。同時，使用風險防技術(shù)后，數(shù)據(jù)端到端的時延結(jié)果相對平穩(wěn)，處于0.32～0.58 s的范圍之內(nèi)，沒有風險防護技術(shù)時，時延波動較大，其范圍在0.22 ～0.58 s之間。該結(jié)果表明風險防護技術(shù)具備較好的風險態(tài)勢防護效果。

3 總結(jié)

本文為實現(xiàn)智能電網(wǎng)的風險態(tài)勢感知和防護，以TEE和eSE技術(shù)為核心，實現(xiàn)感知和防護。經(jīng)測試：該技術(shù)能夠準確感知智能電網(wǎng)中的風險勢態(tài)，并完成有效安全防護，適用于智能電網(wǎng)的風險勢態(tài)感知防護。