CN103905450A - 智能电网嵌入式设备网络检测评估系统与检测评估方法 - Google Patents

Abstract

本发明公开了一种智能电网嵌入式设备网络检测评估系统，包括专用网络安全检测设备、影子机和电力系统安全监控中心；专用网络安全检测设备对各类网络数据包进行分析过滤；影子机对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；电力系统安全监控中心通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出安全检测结果。本发明能够利用影子机在不影响嵌入式系统正常工作的情况下，快速准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估。

Description

智能电网嵌入式设备网络检测评估系统与检测评估方法

技术领域

本发明涉及一种智能电网嵌入式设备安全测试领域，尤其涉及一种智能电网嵌入式设备网络检测评估系统与检测评估方法。

背景技术

随着物联网产业的兴起，在智能电网中，各种传感器、控制设备均为嵌入式系统，其广泛应用于发电、输电、变电、配电以及用户用电的各主要环节。除了业务上的测量、传输功能外，嵌入式系统还起着核心业务运行控制的功能。例如，用户层的复费率电能计量管理单元，设备层的变压器油温等传感器、电压电流变送器、继电保护装置、故障录波、线路保护、故障测距装置，控制室的数字录音、变电站的图像监控、配电网的远程抄表、负荷控制及自动化保护模块等等，基本上涵盖了电网指挥运行的各个方面。

从嵌入式系统自身来看，相对于传统的PC设备，嵌入式操作系统及其应用程序主要考虑的是硬件的适配性、更少的资源占用等问题，很多嵌入式系统的安全防护功能很少或者几乎没有，恶意攻击者很容易侵入到系统中，对嵌入式系统实施干扰、监视甚至远程控制。近年来，在国内外由于嵌入式系统造成的电力系统事故屡有发生，如著名的伊朗Stuxnet震网病毒事件，该病毒专门针对PLC（Programmable Logic Controller，可编程逻辑控制器）设备攻击，通过修改PLC来改变工业生产控制系统的行为，一度导致伊朗核电站推迟发电。

从网络层面来看，随着3G、WIFI等通讯手段的普及，嵌入式系统从有线网络向无线网络的延伸，使得网络的安全问题更加突出。嵌入式系统由于计算资源有限，很多嵌入式网络协议均没有考虑安全问题，其设计目标是尽可能简单地实现路由，并方便日后扩展网络，基本上没有任何的安全机制。一旦嵌入式系统遭到网络攻击，整个智能电网的正常业务工作便会受到影响甚至于瘫痪。

与传统PC设备相比，嵌入式系统计算资源少、能耗低、工作环境复杂，现有的很多安全解决方案并不适用，而且嵌入式系统一般处于开放的工作环境中，传统计算机很容易解决的物理安全问题在嵌入式系统上也成为一个难题。这些嵌入式系统多为一体化设备，其操作系统包括嵌入式Linux、VxWorks、WinCe等。针对来自网络层面的非法截获、中断、篡改或伪造等攻击，由于无法直接在这些嵌入式设备上加装额外的网络安全检测软件或系统，因此无法做到对嵌入式系统进行实时的网络安全检测与评估。

发明内容

本发明的目的是提供一种智能电网嵌入式设备网络检测评估系统与检测评估方法，能够利用影子机在不影响嵌入式系统正常工作的情况下，快速准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估。

本发明采用下述技术方案：

一种智能电网嵌入式设备网络检测评估系统，其特征在于：包括专用网络安全检测设备、影子机和电力系统安全监控中心；

所述的专用网络安全检测设备的数据接收端连接智能电网网络，专用网络安全检测设备的数据发送端分别连接影子机和实际嵌入式设备，专用网络安全检测设备用于对各类网络数据包进行分析过滤，并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异常的网络数据信息发送给影子机；

所述的影子机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；

所述的电力系统安全监控中心用于对影子机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进行统一配置管理。

所述的专用网络安全检测设备包括网络接口模块和安全控制模块；

所述的网络接口模块用于完成IP数据包的收发，网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收智能电网网络所发送的IP数据包并传送给安全控制模块；内网网络接口模块分别连接安全控制模块和影子机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给影子机或实际嵌入式设备；

所述的安全控制模块用于对所接收的智能电网网络发送的IP数据包进行解析判别；安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号，当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至影子机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包合法，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至影子机。

所述的影子机包括硬件可信密码模块TPM（Trust PlatformModule），用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件以及主机事件并发送至电力系统安全监控中心，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括影子机配置信息和影子机运行信息；进行组件动态可信度量时首先在影子机内配置XEN虚拟机，XEN虚拟机位于影子机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

所述的电力系统安全监控中心包括服务器，用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs(Platform Configure Register)中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于影子机可信硬件模块TPM，以安全可信的方式获得影子机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后电力系统安全监控中心对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti；

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况，其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\mathrm{\κ}\left(\frac{1}{n}\underset{=1}{\overset{n-f}{\mathrm{\Σ}}}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\Σ}}}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{d}_{\mathrm{Fj}}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\Σ}}}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取

当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，

b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表示正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成合法用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可信的可能性；u_P表示影子机安全可信的不确定程度。

一种智能电网嵌入式设备网络检测评估方法，包括以下步骤：

A：利用专用网络安全检测设备对各类网络数据包进行分析过滤，并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异常的网络数据信息发送给影子机；

B：利用影子机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；

C：利用电力系统安全监控中心用于对影子机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进行统一配置管理。

6.根据权利要求5所述的智能电网嵌入式设备网络检测评估方法，其特征在于：所述A步骤中，专用网络安全检测设备包括网络接口模块和安全控制模块；网络接口模块用于完成IP数据包的收发，网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收智能电网网络所发送的IP数据包并传送给安全控制模块；内网网络接口模块分别连接安全控制模块和影子机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给影子机或实际嵌入式设备；

安全控制模块用于对所接收的智能电网网络发送的IP数据包进行解析判别；安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号，当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至影子机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包合法，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至影子机。

影子机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件以及主机事件并发送至电力系统安全监控中心，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括影子机配置信息和影子机运行信息；进行组件动态可信度量时首先在影子机内配置XEN虚拟机，XEN虚拟机位于影子机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

所述C步骤中，电力系统安全监控中心包括服务器，用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于影子机可信硬件模块TPM，以安全可信的方式获得影子机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后电力系统安全监控中心对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况，其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\mathrm{\κ}\left(\frac{1}{n}\underset{=1}{\overset{n-f}{\mathrm{\Σ}}}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\Σ}}}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{d}_{\mathrm{Fj}}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\Σ}}}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取

当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，

bH表示正常网络通信的可能性；

dH表示非法网络通信事件的可能性；

uH表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成合法用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可信的可能性；u_P表示影子机安全可信的不确定程度。

本发明通过引入影子机，在保证实际嵌入式设备正常工作的同时，对未知网络攻击进行实时检测和感知。专用网络安全检测设备对各类网络数据包进行分析过滤，并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异常的网络数据信息发送给影子机；影子机用于对实际嵌入式设备（如配电自动化设备、用户用电采集设备）的运行环境和计算环境进行模拟，从硬件配置、关键系统进程、重要组件和应用程序进行模拟配置与构建，对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；电力系统安全监控中心对影子机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果。

附图说明

图1为本发明的原理框图；

图2为本发明的结构示意图；

图3为IP数据包标识原理示意图。

具体实施方式

如图1所示，本发明所述的智能电网嵌入式设备网络检测评估系统，包括专用网络安全检测设备、影子机和电力系统安全监控中心；

所述的专用网络安全检测设备的数据接收端连接智能电网网络，专用网络安全检测设备的数据发送端分别连接影子机和实际嵌入式设备，专用网络安全检测设备用于对各类网络数据包进行分析过滤，并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异常的网络数据信息发送给影子机；异常的网络数据信息包括两部分：

（1）网络数据内容异常：专用网络安全检测设备通过判断网络数据包格式、协议、数据内容等信息，将异常的网络信息发送给影子机，电力系统安全监控中心依据这些信息能够发现扫描、渗透攻击、重放攻击、缓冲溢出、漏洞利用等多种网络攻击行为。

（2）网络流量信息：专用网络安全检测设备通过判断设备总体流量、某个服务流量、当前会话连接数量等网络流量信息，将异常的网络流量信息发送给影子机，电力系统安全监控中心通过这些信息能够发现非法信息外传、拒绝服务攻击等。

所述的影子机用于对实际嵌入式设备（如配电自动化设备、用户用电采集设备）的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，如同实际设备的影子一样。影子机对实际嵌入式设备的硬件配置、关键系统进程、重要组件和应用程序进行模拟配置与构建，采用相同的硬件接口，使影子机的运行环境与计算环境与实际嵌入式设备基本保持一致。对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；

所述的电力系统安全监控中心用于对影子机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进行统一配置管理。

专用网络安全检测设备包括网络接口模块和安全控制模块；网络接口模块用于完成IP数据包的收发，网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收智能电网网络所发送的IP数据包并传送给安全控制模块；内网网络接口模块分别连接安全控制模块和影子机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给影子机或实际嵌入式设备；安全控制模块用于对所接收的智能电网网络发送的IP数据包进行解析判别；安全控制模块具有ROM、EFLASH、RAM存储单元，安全控制模块内部存储单元内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号，当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至影子机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包合法，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至影子机。

本实施例中，网络接口模块采用支持IEEE802.3等以太网规范的接口芯片，称为网卡芯片，能够支持以太网数据包的收发。为提高整体安全性，网卡芯片选择国产芯片。安全控制模块，指具有安全功能的控制芯片，安全功能指能够进行密码运算且自身具有较强的防多种攻击措施，密码运算可采用摘要运算，自身具有的防攻击措施包括芯片具有的多层特殊版图设计、电压检测、存储区加密保护、光照检测、MPU（内存保护单元）等防范物理攻击、软件攻击的保护措施。开关模块可采用电路开关，电路开关的开合可以向安全处理芯片发出低电平、高电平两种不同的控制信号。串口通信模块可采用支持RS232标准的异步串行通信接口芯片，通信时需要专用的串口电缆分别连接该异步串行通信接口芯片与用户配置用计算机上的异步串行通信接口芯片（一般称为COM口）。外部存储器可采用FLASH芯片，FLASH芯片为通用的一种存储芯片，在掉电情况下保存数据，可以通过FLASH芯片的外部接口对FLASH芯片进行读、写、擦除等操作。

本发明中对网络数据包过滤的方法是通过对合法网络通信双方之间的IP数据包进行精确标识，标识方法基于序列号与密码学中的摘要算法，能够明确区分来自合法通信主体的数据包（需要接受）和来自其他通信主体（有些是恶意主体，如攻击者）的数据包。由于本发明中专用网络安全检测设备用于接收数据包并对其进行过滤。但相对于所接收到的IP数据包的发送对象，即智能电网网络上发送IP数据包的其他计算机，这些计算机在发送IP数据包之前需要利用预先配置的专用网络安全发送设备对欲发送的IP数据包进行基于序列号与摘要算法标识。

专用网络安全发送设备同样包括网络接口模块和安全控制模块；专用网络安全发送设备的网络接口模块用于完成IP数据包的收发，专用网络安全发送设备的网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接专用网络安全发送设备的安全控制模块和智能电网网络，用于接收专用网络安全发送设备的安全控制模块所发送的IP数据包并通过智能电网网络进行发送；内网网络接口模块连接专用网络安全发送设备的安全控制模块和计算机，用于接收计算机所发送的IP数据包并传送给专用网络安全发送设备的安全控制模块。

专用网络安全发送设备的安全控制模块具有ROM、EFLASH、RAM存储单元，专用网络安全发送设备的安全控制模块内部存储单元内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号，当专用网络安全发送设备的安全控制模块接收到计算机所发送的IP数据包时，专用网络安全发送设备的安全控制模块读取该IP数据包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并根据当前长度调整IP首部信息中的长度指示信息，然后将此标识后的IP数据包通过专用网络安全发送设备的外网网络接口模块发送至外部通信网络；图3为IP数据包标识原理示意图。

影子机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件以及主机事件（如主机进程、服务、性能等运行信息）并发送至电力系统安全监控中心，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括：（1）影子机配置信息，包括嵌入式系统的安全策略、网络配置、开机启动项等，通过这些信息能够评估系统可能存在的安全配置缺陷；（2）影子机运行信息：设备资源占用情况（如CPU、内存）、服务运行情况等，通过这些信息能够发现非法进程的运行、拒绝服务攻击造成的资源过载等情况。

影子机中的组件动态可信度量的作用是保护影子机自身免受异常网络攻击所带来的不必要的威胁和破坏。影子机中的组件动态可信度量利用虚拟机的特权控制机制分析影子机内的组件运行时的动态内存影像，从而对运行组件进行有效的动态度量，及时发现组件运行异常情况（受到攻击或破坏），对攻击做到主动防御，为影子机安全稳定运行提供安全可信的计算和运行环境。

组件动态变化是通过操作系统对内存的分配和置换反映出来的。操作系统对应用程序（组件）实施加载管理和运行管理。当组件或应用程序被执行时，操作系统为其分配一定数量的内存，并为该进程创建页表，以映射物理内存和地址空间。当组件或应用程序发生页面失效时，即运行过程中，操作系统按照一定的页面置换算法，将部分所需的页面从磁盘上置换进内存，并更新页表。

基于上述工作原理，进行组件动态可信度量时：

首先在影子机内配置XEN虚拟机，XEN虚拟机位于影子机硬件层之上且操作系统之下；

然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；

最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测，指定的度量方式包括完整性度量、代码特征检测、行为相似度检测。在每次发生内存分配和置换时都进行组件动态可信度量检测，即可实现组件变化过程的动态度量。

电力系统安全监控中心包括服务器，一般位于网络中心节点。电力系统安全监控中心对影子机采集上报的安全信息，从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估，最终得到安全检测结果。影子机的多维属性包括计算平台配置、平台运行和身份认证属性，这些属性均对系统安全产生影响。

（1）平台配置属性度量

平台配置属性度量实际上就是基于各个组件完整性的综合评价，反映出平台配置的可信任程度。平台各个组件的完整性度量值已经被扩展存储到影子机平台硬件可信密码模块TPM(TrustedPlatform Module)相应的平台配置寄存器PCRs中，平台配置属性度量通过验证这些PCRs值，即可计算出平台配置的可信任程度。

平台配置属性度量的具体方法如下：

首先基于影子机可信硬件模块TPM，以安全可信的方式获得影子机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；

然后电力系统安全监控中心对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；假设得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；

最后依据组件完整性与否的信息，计算平台配置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况（完整性验证失败未必表示组件安全性受到威胁，例如软件版本升级等也会导致PCR值验证失败，却是无害的），其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\mathrm{\κ}\left(\frac{1}{n}\underset{=1}{\overset{n-f}{\mathrm{\Σ}}}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\Σ}}}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{d}_{\mathrm{Fj}}---\left(1\right)$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\Σ}}}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取

当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

式（1）可简化为

$b_I=\mathrm{\κ}\left(\frac{1}{n}\underset{=1}{\overset{n-f}{\mathrm{\Σ}}}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\Σ}}}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\Σ}}}{d}_{\mathrm{Fj}}---\left(2\right)$

（2）平台运行属性度量

平台运行属性反映了影子机当前行为可观察的信任属性。平台运行属性包括性能特性性（如CPU、内存、硬盘使用情况和网络流量信息等）、可靠特性（如成功率、丢包率和平均无故障时间等）和安全特性（如非法连接次数、端口扫描次数和越权尝试企图等）。

平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

基于这些特性，可计算当前影子机运行情况的信任值。计算方法如下：

平台运行属性信任度T_H由三元组T_H={b_H,d_H,u_H}组成，其中，

$b_H=\frac{r}{r+s+1}$

$d_H=\frac{s}{r+s+1}---\left(3\right)$

$u_H=\frac{1}{r+s+1}$

其中，b_H表示正常网络通信的可能性；d_H表示非法网络通信事件的可能性；u_H表正常网络通信的不确定程度；

基于式(3)，即可计算出平台运行属性信任度T_H。

（3）用户认证属性度量

当用户为了获得非法利益时，如访问未授权资源，可能利用系统漏洞或其它技术手段假冒其他用户身份，这就要求能对用户提交的身份凭证的可信性做出度量，即计算认证信任等级。在系统中，用户身份凭证可能有多种，如数字证书、指纹、虹膜乃至简单的PIN码，为了统一用户身份属性可信性的表达，用户认证属性度量采用认证方法被攻破的概率来计算认证信任级。用户身份属性度量问题实际上时如何计算多因素认证方式的破解概率问题。

用户认证属性度量具体步骤如下：

首先，设一个攻击者成功攻破认证方法A并可以扮演成合法用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；

然后，如果系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，如采用指纹、口令和证书三因素认证，那么m=3；则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

（4）多维度属性综合度量

基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H(4)

u_P=α_I u_I+α_H u_H

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可信的可能性；u_P表示影子机安全可信的不确定程度；

基于式（4），即可计算出影子机安全状况的量化值，得出最终安全检测结果。

例如，检测系统设定用户认证安全阈值AU=0.65，影子机安全状况阈值{λb_P，λd_P，λu_P}={0.7,0.1,0.2}。当用上述方法计算出某一时刻用户认证属性度量值为0.7，影子机平台度量值为{0.6，0.2，0.2}时，虽然用户认证属性度量值0.7>用户认证安全阈值0.65，但由于平台度量值中b_P=0.6<λb_P=0.7,所以认定该时刻影子机安全状况没有达到规定，是存在安全风险的。

本发明所述的智能电网嵌入式设备网络检测评估系统通过引入影子机，在保证实际嵌入式设备正常工作的同时，对未知网络攻击进行实时检测和感知。影子机模拟实际设备，从组件、进程、硬件配置等影响系统安全的关键因素进行动态检测和控制，对未知的网络攻击和异常应为进行及时相应和处理，克服现有网络攻击检测技术无法直接应用于嵌入式设备且只能做到事后防御的弊端，对嵌入式设备进行实时动态的网络安全检测和评估。

如图2所示，本发明所述的智能电网嵌入式设备网络检测评估方法，包括以下步骤：

A：利用专用网络安全检测设备对各类网络数据包进行分析过滤，并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异常的网络数据信息发送给影子机；

B：利用影子机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；

C：利用电力系统安全监控中心用于对影子机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进行统一配置管理。

所述A步骤中，专用网络安全检测设备包括网络接口模块和安全控制模块；网络接口模块用于完成IP数据包的收发，网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收智能电网网络所发送的IP数据包并传送给安全控制模块；内网网络接口模块分别连接安全控制模块和影子机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给影子机或实际嵌入式设备；

安全控制模块用于对所接收的智能电网网络发送的IP数据包进行解析判别；安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号，当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至影子机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包合法，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至影子机。

所述B步骤中，影子机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件以及主机事件并发送至电力系统安全监控中心，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括影子机配置信息和影子机运行信息；进行组件动态可信度量时首先在影子机内配置XEN虚拟机，XEN虚拟机位于影子机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

所述C步骤中，电力系统安全监控中心包括服务器，用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于影子机可信硬件模块TPM，以安全可信的方式获得影子机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后电力系统安全监控中心对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况（完整性验证失败未必表示组件安全性受到威胁，例如软件版本升级等也会导致PCR值验证失败，却是无害的），其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\mathrm{\&kappa;}\left(\frac{1}{n}\underset{=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{d}_{\mathrm{Fj}}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取

当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，

bH表示正常网络通信的可能性；

dH表示非法网络通信事件的可能性；

uH表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成合法用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可信的可能性；u_P表示影子机安全可信的不确定程度。

由于智能电网嵌入式设备网络检测评估方法是配合智能电网嵌入式设备网络检测评估系统实现，方法与工作原理在此不再赘述。

Claims (8)

1.一种智能电网嵌入式设备网络检测评估系统，其特征在于：包括专用网络安全检测设备、影子机和电力系统安全监控中心；

所述的专用网络安全检测设备的数据接收端连接智能电网网络，专用网络安全检测设备的数据发送端分别连接影子机和实际嵌入式设备，专用网络安全检测设备用于对各类网络数据包进行分析过滤，并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异常的网络数据信息发送给影子机；

所述的影子机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；

所述的电力系统安全监控中心用于对影子机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进行统一配置管理。

2.根据权利要求1所述的智能电网嵌入式设备网络检测评估系统，其特征在于：所述的专用网络安全检测设备包括网络接口模块和安全控制模块；

所述的网络接口模块用于完成IP数据包的收发，网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收智能电网网络所发送的IP数据包并传送给安全控制模块；内网网络接口模块分别连接安全控制模块和影子机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给影子机或实际嵌入式设备；

所述的安全控制模块用于对所接收的智能电网网络发送的IP数据包进行解析判别；安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号，当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至影子机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包合法，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至影子机。

3.根据权利要求2所述的智能电网嵌入式设备网络检测评估系统，其特征在于：所述的影子机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件以及主机事件并发送至电力系统安全监控中心，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括影子机配置信息和影子机运行信息；进行组件动态可信度量时首先在影子机内配置XEN虚拟机，XEN虚拟机位于影子机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

4.根据权利要求3所述的智能电网嵌入式设备网络检测评估系统，其特征在于：所述的电力系统安全监控中心包括服务器，用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于影子机可信硬件模块TPM，以安全可信的方式获得影子机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后电力系统安全监控中心对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti；

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况，其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\mathrm{\&kappa;}\left(\frac{1}{n}\underset{=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{d}_{\mathrm{Fj}}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取

当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，

b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成合法用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可信的可能性；u_P表示影子机安全可信的不确定程度。

5.一种智能电网嵌入式设备网络检测评估方法，其特征在于，包括以下步骤：

A：利用专用网络安全检测设备对各类网络数据包进行分析过滤，并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异常的网络数据信息发送给影子机；

B：利用影子机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；

C：利用电力系统安全监控中心用于对影子机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进行统一配置管理。

6.根据权利要求5所述的智能电网嵌入式设备网络检测评估方法，其特征在于：所述A步骤中，专用网络安全检测设备包括网络接口模块和安全控制模块；网络接口模块用于完成IP数据包的收发，网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收智能电网网络所发送的IP数据包并传送给安全控制模块；内网网络接口模块分别连接安全控制模块和影子机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给影子机或实际嵌入式设备；

安全控制模块用于对所接收的智能电网网络发送的IP数据包进行解析判别；安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号，当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至影子机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包合法，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至影子机。

7.根据权利要求6所述的智能电网嵌入式设备网络检测评估方法，其特征在于：所述B步骤中，影子机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件以及主机事件并发送至电力系统安全监控中心，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括影子机配置信息和影子机运行信息；进行组件动态可信度量时首先在影子机内配置XEN虚拟机，XEN虚拟机位于影子机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

8.根据权利要求7所述的智能电网嵌入式设备网络检测评估方法，其特征在于：所述C步骤中，电力系统安全监控中心包括服务器，用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于影子机可信硬件模块TPM，以安全可信的方式获得影子机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后电力系统安全监控中心对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti；

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况（完整性验证失败未必表示组件安全性受到威胁，例如软件版本升级等也会导致PCR值验证失败，却是无害的），其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\mathrm{\&kappa;}\left(\frac{1}{n}\underset{=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{d}_{\mathrm{Fj}}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\mathrm{\&Sigma;}}}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\mathrm{\&Sigma;}}}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，

b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成合法用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可信的可能性；u_P表示影子机安全可信的不确定程度。

Images