二次设备集中安防运维及主动感知和诊断预警关键技术的研究

巫聪云，刘斌，沈梓正，颜丽，廖晓春

（1.广西电网有限责任公司，南宁 530000；2.武汉华电顺承科技有限公司，武汉 430071）

近年来，国际网络安全形势愈发严峻，乌克兰、委内瑞拉等国家级大规模停电事故时有发生，电网已成为网络攻击战的主战场。我国对电力系统网络信息安全监管引起了高度的重视，国家发展和改革委员会第14号令《电力监控系统安全防护规定》、国能安全36号文《变电站监控系统安全防护总体方案》和《中国南方电网电力监控系统安全管理办法》（Q/CSG 212001—2015）等陆续颁布，对保障电网稳定运行的监控系统网络信息安全加大了管控力度，对已经投运的变电站二次设备提出了严格的整改要求［1-3］。

变电站二次设备不仅分布广泛、数量庞大、类型繁杂，而且投放时间各异、安全水平参差不齐，安防整改同步实施难以实现。相较于采用入网软件直接并网的保护装置等嵌入式设备，利用后台管理机并网的录波器安全问题最为突出［4-5］。南方电网已有超过50%的录波器因无有效的安防整改手段，不得不大面积脱网运行，数据无法正常上送；部分安防整改后达标的录波器，虽暂时符合电网安全等级的要求，但其安防体系长期处于静态，仍存在安全隐患。目前采用分头安防整改的现场运维模式，已暴露出整改效率低下、效果不可控等问题，而且也无法从根本上解决安防要求持续更新的难题，变电站二次设备安防运维模式优化，成为电力系统网络信息安全保障工作中亟待解决的问题。

1 变电站二次设备安防运维现状分析

国内外对电力监控系统安防运维的探索多停留于智能终端安防体系的建立，对仍处于服役期但安防要求不达标的脱网二次设备安防运维方面的研究较少，安防运维模式优化及相关技术的研究更为鲜见，变电站二次设备安防运维现状如表1所列。本文考虑到现存部分二次设备安全整改不达标脱网运行后数据无法上送主站系统的现状，并结合文献［6］-［13］所提方法，通过在变电站内部署安防体系完善的合规并网装置，实现变电站二次设备集中管理和数据安全输出，同时兼顾设备数据安全统一管理和装置安防体系集中运维，最终实现二次设备安防整改和维护管理效益的最大化。

表1 变电站二次设备安防运维现状分析Tab.1 Analysis on the current situation of security operation and maintenance for secondary equipment in substation

基于上述分析，本文提出二次设备集中安防运维及主动感知和诊断预警关键技术的研究，在变电站内统一部署合规并网装置，就地解决录波器并网和数据安全传输的问题，提供高可靠的录波数据传输和访问服务；利用录波主站拓展运维业务应用，开发集中运维管理平台，将对数量多、分布广和改造难度大的异构录波器进行安防整改，转换成对规格一致的合规并网装置进行安防策略升级和统一维护，形成变电站二次设备集中安防运维的新模式。

2 变电站二次设备集中安防运维架构

在合规并网装置接入变电站后，通过集中运维的方法不断升级和优化装置内部的安防体系，保持装置高安全防护标准。变电站二次设备集中安防运维架构主要包含合规并网装置、录波主站系统和运维管理平台三个部分，其中合规并网装置的作用在于安全防护录波数据和威胁追踪处理，录波主站系统和运维管理平台是利用调度侧主站多源数据分析能力和运维业务拓展功能，对分散的合规并网装置安防体系进行全盘统筹和维护管理，如图1所示。

图1 变电站二次设备集中安防运维架构Fig.1 Substation secondary equipment centralized security operation and maintenance architecture

1）合规并网装置：装置有多个物理通信接口与变电站录波器进行互连，具备健全的安防体系，包含设备安全管理、网络状态监视、漏洞扫描、病毒查杀、权限管理、日志审计和服务优化等，在录波器和调度数据网之间起到安全隔离的作用。将接入的数据根据通信协议和特征属性进行数据分类、主动感知和威胁分离，确保上送的数据安全可靠。

2）录波主站系统：利用现有的主站系统，进行合规并网装置安防体系集中运维业务的延伸，通过录波主站和装置之间建立的通信连接，接收分布式合规并网装置上送的录波数据和预警的威胁信息整理结果，站在全局角度对风险进行综合评估。

3）运维管理平台：录波主站对所有连接的合规并网装置触发安防体系巡检任务，生成记录合规并网装置安防体系版本信息的检查报告，调度统一制定相应的应对策略，通过专用运维接口，对合规并网装置进行规范化的策略部署，包括但不限于病毒库升级、漏洞修复和系统升级，实现集中安防运维管理。

3 变电站二次设备集中安防运维方法

利用合规并网装置解决变电站录波器安全并网问题，对接收到的录波数据进行安全管控，通过入侵检测和反向追踪进行威胁感知和追溯诊断，录波主站根据威胁预警信息进行风险综合评估，调度制定应对策略，通过集中部署的方式进行变电站侧安防体系统一升级和维护。变电站二次设备集中安防运维管理方法主要包含威胁入侵拦截、风险综合评估和安全策略部署三个部分，如图2所示。

图2 变电站二次设备集中安防运维方法Fig.2 Substation secondary equipment centralized security operation and maintenance method

1）威胁入侵拦截：合规并网装置实时接收站内录波器上送的数据，为防止录波器数据被非法篡改或与录波器连接的链路遭受网络攻击等问题的发生，对数据源IP、MAC地址、设备端口、数据格式、携带病毒等情况进行检查，利用入侵检测技术筛选出符合预先通信设置和格式、内容审计要求的录波数据，过滤出符合入侵特征的威胁数据，利用反向追踪技术，追溯到恶意代码、非法行为的来源，进行威胁拦截和阻断。

2）风险综合评估：合规并网装置利用威胁和对抗分析相结合的方式对感知到的威胁进行评估和预警，录波主站对装置上报的风险进行综合评估和等级评定，制定相应的短期对策，如高危端口暂时屏蔽、数据传输链路转移等应对办法，使得风险可以暂时规避，争取更多时间制定长期有效的安防策略。

3）安全策略部署：对风险进行策略的制定和验证，进行攻防演练，确认策略的有效性、可行性和归属类别，在全网范围内实施有效防御措施。运维管理平台利用策略部署的方式进行分布式合规并网装置安防体系策略库的版本升级，实现变电站内合规并网装置安全策略的统一部署和集中运维的目标，提高装置自身的安全防护能力。

4 变电站二次设备集中安防运维关键技术

4.1 基于入侵检测和反向追踪的威胁主动感知和追溯诊断

合规并网装置处于录波器和主站系统之间，其作用是安全传递录波数据，该装置接收与自身达成通信协议要求的录波器数据，对监测到的数据的来源、格式和内容等信息做数据检测和安全检查，筛选出主站所需的录波数据，以及感知和诊断二次设备入侵的威胁，提高录波数据上送的安全可靠性［14-15］。基于入侵检测和反向追踪的威胁主动感知和追溯诊断如图3所示。

图3 基于入侵检测和反向追踪的威胁主动感知和追溯诊断Fig.3 Threat active perception and traceback diagnosis based on intrusion detection and traceback

1）基于入侵检测的威胁主动感知：建立录波数据特征库和入侵特征信息库，对录波数据的需求内容进行定义，对已出现过的非法入侵等风险行为进行特征提取，利用适合于海量数据环境的基于深度信念网络的多类支持向量机（deep belief nets multi-class support vector machine，DBN-MSVM）入侵检测技术进行数据筛选［16］。

a）特征降维：对高维、非线性接收到的数据进行DBN特征降维处理，去除冗余特征。

b）深度检测：利用深度数据包检测（deep packet inspection，DPI）对低维特征数据检测其传输协议、头部信息和有效载荷等，使用录波数据特征库和网络攻击入侵特征信息库进行快速匹配。

c）数据筛选：采用MSVN分类器分离出不同类别的数据，包含录波数据、威胁数据和其他数据三类：

①录波数据：将遵循协议要求且符合暂态数据交换通用格式（common format for transient data exchange，COMTRADE）标准的录波数据，与其他数据初步分离开来，录波数据需经过合规并网装置安全检查，确认安全后上送录波主站。

②威胁数据：利用入侵特征信息库，主动感知带有攻击性质的入侵行为或企图，发出威胁入侵告警信号，并对识别到的恶意代码、病毒、漏洞等威胁进行有效隔离。

③其他数据：非录波数据和威胁数据，可以设定保留期限，将其进行暂存处理，保留期间无主站主动召唤，不得上传，减少网路开销。

2）基于反向追踪的威胁追溯诊断：网络攻击者在实施攻击之时或之后，会留下登录的记录、文件权限更改等证据，利用基于自适应概率标记的IP反向追踪（adaptive probabilistic marking scheme IP traceback，APMS-IT）技术对威胁数据进行破译，消除威胁者伪造IP标记的影响，重构攻击的完整路径阻断威胁［17-18］，并根据收集的信息利用安防体系进行威胁诊断和跟踪处理。

a）启动追踪：根据威胁入侵告警信号，发起反向追踪，并做相应的追踪任务编号，实现威胁追踪任务的并行处理。

b）范围确定：IP首部包含8位生存时间TTL（time-to-live）字段，设置了数据包可以经过的最多路由器数。对接入网端口进行统一TTL值配置，依据数据包每经过一个路由器TTL值减1的特性，从TTL值的变化推断数据包经过的路由器跳数，自适应调整标记数据包的概率，从而确定IP标记追踪的路由器范围。

c）反向标记：利用开始时刻和路由器范围，触发该范围内路由器级数的标记工作。

d）路径重构：进行威胁攻击路径的反向重构，追溯威胁发起者的实际物理地址。

e）威胁诊断：合规并网装置根据攻击路径，可迅速采取限流、过滤等拦截手段，阻断威胁并控制影响范围，利用装置部署的漏洞扫描、病毒查杀、设备安全检查、权限检查、日志审计、服务检查等安防手段对控制的威胁进行诊断定位，并持续跟踪处理。

4.2 基于威胁和对抗分析相结合的风险预警和综合评估

根据过往经验、知识总结，不断更新合规并网装置的入侵特征信息库，使其具备快速发现代码或者环境安全问题的能力，并利用自身所建立的安防体系对抗威胁产生的攻击，进行威胁博弈状态的动态分析和风险评估，实现风险快速预警的目标。主站系统根据单台装置上报的风险概率和严重程度，进行风险影响范围的全面评估和等级评定，实现风险信息全盘掌控和快速应对的目标，基于威胁和对抗分析相结合的风险预警和综合评估技术如图4所示。

图4 基于威胁和对抗分析相结合的风险预警和综合评估Fig.4 Risk early warning and comprehensive assessment based on the combination of threat and adversarialanalysis

1）装置风险预警：合规并网装置利用威胁和对抗分析相结合的方式，对感知到的威胁进行内部评估和风险预警，并整理追踪过程中收集到的证据，按照主站协议要求和安全汇报形式进行风险信息报送。

a）对于合规并网装置a安防体系的对抗能力，生成对抗性集合A=｛Ai|i=1，2，…，n｝，其中，n表示装置对抗性种类的数量，Ai表示第i种对抗性。

b）合规并网装置主动感知到的威胁集合为T=｛Tj|j=1，2，…，m｝，其中，m表示装置识别出的威胁数量，Tj表示第j种威胁。

c）Pj=P（Tj，A）表示威胁Tj与合规并网装置的安防体系A对抗后，威胁事件发生的可能性。

d）Ia表示合规并网装置a的重要程度，Vj表示威胁事件Tj发生后装置安防体系脆弱性，Sj=S（Ia，Vj）表示威胁事件Tj发生后装置受损的严重程度。

e）Rj=Pj×Sj超过合规并网装置设定的安全阈值RS，装置即刻发出风险预警［19］。

由于合规装置安防体系对抗威胁产生的攻击，属于一个博弈的过程，可以参考文献［19］进行博弈模型的搭建、威胁攻击成功的概率Pj=P（Tj，A）和装置受损严重程度Sj=S（Ia，Vj）的计算，最后得到威胁风险Rj，并和历史安防经验选取的对抗性阈值RS比较，定性判断出合规并网装置对抗威胁能力的强或弱。

2）主站综合评估：对合规并网装置预警的威胁事件展开全网范围内的排查，经过多源信息融合分析［20-21］，进行影响范围的综合评估。对攻击类型相同、源地址一致，以及攻击时间相近的威胁统计合规并网装置上报的总次数，计算该次数与全网该装置总数的比值k，根据合规并网装置a在威胁事件Tj发生后的风险Rj，最终计算全网风险Rj*=k×Rj，并归一化到区间［0，1］，利用表2映射关系，将风险划分为高、中、低三个级别［22］。

表2 基于威胁和对抗分析相结合的风险综合评估映射关系Tab.2 Comprehensive risk assessment mapping relationship based on the combination of threat and confrontation analysis

5 变电站二次设备集中安防运维运作模式

变电站二次设备集中安防运维遵循“最小授权和最少服务”的原则：

1）最小授权：以最小权限开放IP地址及端口，阻止装置被安装未授权、未许可的恶意软件，防止不法分子对装置的非法访问和信息篡改等问题。

2）最少服务：禁用高危服务，合规并网装置仅支持录波数据的安全传输和主站系统的定制运维业务需求。

变电站二次设备安防运维采用就地安防管控和集中运维管理相结合的运作模式，如图5所示。

图5 变电站二次设备集中安防运维运作模式Fig.5 Substation secondary equipment centralized security operation and maintenance mode

1）就地安防管控：合规并网装置实现变电站内所有录波器受控并网和录波数据安全上送，对录波数据外的威胁进行主动感知和反向追踪，拦截威胁将风险控制在最小范围，根据装置安防体系对抗性分析确认风险严重程度，上报主站系统进行风险综合评估［23-24］。装置配备运维专用接口，既支持运维管理平台远程统一升级，也支持运维策略的现场落地。

2）集中运维管理：运维平台基于合规并网装置的设备序列号和安全版本信息，选择需要升级的装置，通过专用运维接口和堡垒机进行权限审核后，利用补丁或系统更新等方式，制定相应的升级策略、升级包和升级情况管控表单进行进度跟踪处理，确保合规并网装置安全策略升级成功，并配套更新主站数据库中的装置安全版本信息。

集中安防运维的新模式，全面替代以往录波器长期脱网、分头整改、重复下站的现场安防运维模式，该模式集中修复合规并网装置安防体系存在的风险，提高装置安防体系的安全级别和运维效率［25-26］。

6 实例应用

6.1 变电站二次设备数据威胁主动感知和追溯诊断

对电力监控系统二次设备历史数据网络传输过程中发现的威胁按攻击类型进行分类，大致分为拒绝服务类、获取权限类、信息收集类、网络监控类等，根据不同类型威胁的入侵特征及攻击链建立入侵特征信息库，一级特征提取信息展示如表3所列。

表3 威胁类型及特征信息Tab.3 Treat classification and character information

合规并网装置利用DBN-MSVM入侵检测技术，利用文献［14］中目前较为权威的Lincoln实验室KDD’99测试数据集入侵检测模型搭建方法，从训练样本集中选取2 000个数据作为候选，其中正常录波数据1 796个，携带威胁数据204个，该装置对实时接收到的录波器数据进行威胁特征识别，利用RBF核函数，调整核参数gamma=0.125，惩罚系数C=8，通过10折交叉验证获得平均超过95%的验证准确率，并从威胁标注完成后的准确率和误报率两个角度表征入侵检测模型的精度，如表4所列，实现不同类别的威胁数据主动感知、快速检测和分离。

表4 基于DBN-MSVM入侵检测技术的主动感知结果Tab.4 Active perception result based on DBN-MSVM intrusion detection technology

合规并网装置利用威胁类别特征更为细分的二级、三级特征子集进行威胁数据入侵特征匹配，记录每个数据入侵特征匹配的可信程度，按威胁入侵特征可信度进行优先级排序并诊断，利用APMS-IT技术查询TTL值，自动探测威胁数据覆盖范围和传播路径，反向追踪找到威胁入网端口并取证，拦截威胁，将风险控制在当前变电站最小范围内，从而为威胁数据诊断和风险评估预警争取有利时机。

6.2 变电站二次设备集中安防运维管理模型

利用入侵检测主动感知威胁数据，利用反向追踪和安防手段进行威胁溯源和诊断分析，采用威胁和对抗分析相结合的方法进行风险预警和综合评估，使用补丁、脚本、操作规范和软件升级等方式进行集中的安全策略统一部署。

变电站二次设备集中运维管理模型如表5所列，从表中可清晰呈现面对不同风险，合规并网装置的对抗性，以及主站评估的风险影响范围、等级和策略配置需求，安防运维人员可根据运维管理平台汇总的安防管理信息有计划、有策略地进行合规并网装置的安防升级和维护管理，实现变电站安全问题参差不齐的录波器安防管理和集中运维的目标。

表5 变电站二次设备集中安防运维管理模型Tab.5 Substation secondary equipment centralized security operation and maintenance management model

6.3 变电站二次设备集中运维效率提升

对于最常发生的漏洞和病毒安全问题，运维人员通过安防体系集中运维管理平台，即可全盘掌握变电站合规并网装置规格信息和软件版本，为安防体系的策略部署提供必要的信息支撑。原来需要协调不同厂商重复下站安防整改，现在只需要对变电站内合规并网装置版本信息调取和后台部署升级即可，可大大减少沟通、管理成本和人力投入。

以合规并网装置诊断预警的远程桌面漏洞为例，采用变电站二次设备现场和集中安防运维模式，其效率比对结果如表6所列。从表中可以看出，CVE-2019-0708漏洞集中运维的效率提升90%以上，利用运维管理平台跟踪装置后台补丁安装进程，同步更新安全版本信息库，即可实现装置安防体系的集中升级和运维管理，缓解运维人员的工作压力和劳动强度。

表6 远程桌面漏洞/两种模式的变电站二次设备安防运维效率比对Tab.6 Remote desktop vulnerability/comparison of security operation and maintenance efficiency of two modes for substation secondary equipment

7 结 论

本文所研究的二次设备集中安防运维及主动感知和诊断预警关键技术，通过厂站侧合规并网装置对接入的数据进行深度检测，对威胁主动感知、追溯诊断和风险预警，利用调度侧录波主站系统接收的多源信息和对装置的安全版本管理，全盘考虑威胁的影响程度和范围进行综合评估，制定相应的安全策略，集中进行策略部署和升级维护，通过动态的安防运维，保障合规并网装置安防体系持续地升级和完善。此方法基本解决了安防要求不断更新的难题和现场安防效率低下、效果不可控的问题，大幅度提高了变电站二次设备的安防运维效率。