CN105868629A - 一种适用于电力信息物理系统的安全威胁态势评估方法 - Google Patents

Abstract

本发明涉及一种适用于电力信息物理系统的安全威胁态势评估方法，包括：对所述电力信息物理系统进行安全威胁检测；根据安全威胁检测结果对所述电力信息物理系统进行安全态势评估；根据安全态势评估结果对所述电力信息物理系统进行安全威胁告警；本发明提供的一种适用于电力信息物理系统的安全威胁态势评估方法，能够通过对ECPS中信息威胁、电力系统故障、由信息威胁引发的跨空间连锁故障等三类安全威胁的实时检测，统计得到任一时刻ECPS存在的各种安全威胁，并利用综合评估方法给出ECPS在任一时刻的安全威胁态势值，进而给出不同危害程度的告警，最终采取相应的安全防护措施。

Description

一种适用于电力信息物理系统的安全威胁态势评估方法

技术领域

本发明涉及电力信息物理系统安全技术领域，具体涉及一种适用于电力信息物理系统的安全威胁态势评估方法。

背景技术

近年来，随着“互联网+”、智能电网、能源互联网等概念的不断涌现，极大的推动了电力系统的研究和建设工作，现代电力系统正在变得更加智能化、分布化、互动化。当前大量间歇性、分布式、可再生能源广泛接入电力系统，同时信息通信系统及设备亦在电力系统的量测感知与优化调度控制等领域发挥更为重要的作用，一个跨越信息空间与传统电力系统的新型电力系统已初具规模，其具备了信息物理系统(Cyber Physical Systems，CPS)的主要特征，这个新型电力系统即为电力信息物理系统(Electric Cyber Physical Systems，ECPS)。在ECPS深刻变革人类日常生活的同时，其安全问题不容忽视，特别是近几年发生的“北美8.14大停电”、伊朗震网病毒事件、乌克兰电网遭恶意攻击停运等事故表明各类安全威胁将极大的干扰ECPS的安全稳定运行，急需一种针对ECPS安全威胁的全面评估手段，以便工作人员明确当前ECPS的安全状态及安全隐患，并采取相应的应对措施。

ECPS中存在三类安全威胁，分别是信息威胁、电力系统故障、由信息威胁引发的跨空间连锁电力系统故障。其中信息威胁主要包括局限在信息空间的各种威胁，如各类网络攻击、信息脆弱性、网络漏洞等；电力系统故障主要包括局限在电力系统中的各类暂态稳定扰动、电力二次设备故障、级联故障、继法故障等；由信息威胁引发的跨空间连锁电力系统故障较为特殊，其故障源头在信息空间，故障的最终影响点在电力系统，其产生和传播过程跨越了信息空间和电力系统，故其危害性要远高于其他两类安全威胁。

当前ECPS的安全技术领域中仅有分别针对信息威胁的检测方法和防护手段，以及针对电力系统故障的检测方法和防护手段，但两者之间没有任何联系。现有技术采取的方式是分别在信息空间或电力系统内部进行检测、防护。信息威胁的检测以入侵检测技术为主。入侵检测是对入侵行为的检测，入侵检测系统通过收集网络及计算机系统内所有关键节点的信息，检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备(如防火墙、IDS、IPS等)的日志，这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。电力系统故障的检测技术以电力系统潮流仿真计算和电力二次设备监控为主：一方面，通过电力二次设备实时测量电力系统的运行状态参数，一旦发生异常，则保护装置动作切除故障并报警；另一方面，依据实时采集的电力系统运行参数，调度中心对电力系统未来时段的运行状况进行潮流仿真，以发现安全隐患，并提前采取相应的安全措施消除隐患。

现有的ECPS安全分析技术缺少对于由信息威胁引发的跨空间连锁故障的检测方法及防护手段，对于ECPS中各类安全威胁的检测不完全，并且各种检测手段之间缺少内在关联、相互孤立，无法从宏观层面展示ECPS的整体安全状况。

发明内容

本发明提供一种适用于电力信息物理系统的安全威胁态势评估方法，其目的是通过对ECPS中信息威胁、电力系统故障、由信息威胁引发的跨空间连锁故障等三类安全威胁的实时检测，统计得到任一时刻ECPS存在的各种安全威胁，并利用综合评估方法给出ECPS在任一时刻的安全威胁态势值，进而给出不同危害程度的告警，最终采取相应的安全防护措施。

本发明的目的是采用下述技术方案实现的：

一种适用于电力信息物理系统的安全威胁态势评估方法，其改进之处在于，包括：

对所述电力信息物理系统进行安全威胁检测；

根据安全威胁检测结果对所述电力信息物理系统进行安全态势评估；

根据安全态势评估结果对所述电力信息物理系统进行安全威胁告警。

优选的，所述安全威胁包括：信息威胁故障、电力系统故障以及由信息威胁引发的跨空间电力系统连锁故障。

优选的，所述对所述电力信息物理系统进行安全威胁检测，包括：

通过信息威胁检测系统获取信息威胁故障次数集合l为所述信息威胁故障类别总数，t为时间标识；

通过电力系统故障检测系统获取电力系统故障次数集合m为所述电力系统故障类别总数；

利用信息元件和电力系统元件的工作状态参数集合获取由信息威胁引发的跨空间电力系统连锁故障次数集合n为所述信息元件和电力系统元件的工作状态参数类别总数，p为所述由信息威胁引发的跨空间电力系统连锁故障类别总数。

进一步的，所述信息元件包括：网络设备、信息设备和信息系统，所述电力系统元件包括：电力一次设备和电力二次设备，所述信息元件和电力系统元件的工作状态参数包括：网络报文的类型、长度、源地址、目的地址、当前的网络流量、信息设备当前的工作状态、电力二次设备的工作状态及电力一次设备的工作状态。

进一步的，所述利用信息元件和电力系统元件的工作状态参数集合获取由信息威胁引发的跨空间电力系统连锁故障次数集合包括：

根据所述信息元件和电力系统元件的工作状态参数的历史数据和所述由信息威胁引发的跨空间电力系统连锁故障次数的历史数据，通过推理方法构建所述信息元件和电力系统元件的工作状态参数与所述由信息威胁引发的跨空间电力系统连锁故障次数的映射关系式y^t＝f(x^t)，以所述映射关系式y^t＝f(x^t)为判据判断当前时刻是否存在由信息威胁引发的跨空间电力系统连锁故障，并获取当前时刻由信息威胁引发的跨空间电力系统连锁故障次数集合。

进一步的，所述推理方法包括：微分方程组、机器学习算法和离散数学的状态迁移公式。

优选的，所述根据安全威胁检测结果对所述电力信息物理系统进行安全态势评估，包括：

按下式确定所述电力信息物理系统的安全态势评估值E^t：

$E^t=\underset{i=1}{\overset{l}{\Σ}}{a}_i^t\·q_i+\underset{j=1}{\overset{m}{\Σ}}{b}_j^t\·q_j+\underset{k=1}{\overset{p}{\Σ}}{y}_k^t\·q_k---\left(1\right)$

式(1)中，l为信息威胁故障类别总数，m为电力系统故障类别总数，p为由信息威胁引发的跨空间电力系统连锁故障类别总数，i∈[1,l]，j∈[1,m]，k∈[1,p]，t为时间标识，为t时刻第i类信息威胁故障次数，为t时刻第j类电力系统故障次数，为t时刻第k类由信息威胁引发的跨空间电力系统连锁故障次数，q_i为第i类信息威胁故障权重系数，q_j为第j类电力系统故障权重系数，q_k为第k类由信息威胁引发的跨空间电力系统连锁故障权重系数。

进一步的，采用贝叶斯网络分析法、层次分析法或灰色关联聚类分析法对所述电力信息物理系统进行安全态势评估。

优选的，所述根据安全态势评估结果对所述电力信息物理系统进行安全威胁告警，包括：

获取所述电力信息物理系统的安全态势评估值E^t并设置告警阈值E_alarm，若所述电力信息物理系统的安全态势评估值满足E^t≥E_alarm，则对所述电力信息物理系统进行告警。

本发明的有益效果：

本发明提供的一种适用于电力信息物理系统的安全威胁态势评估方法，通过对ECPS中信息威胁、电力系统故障、由信息威胁引发的跨空间连锁故障等三类安全威胁的实时检测，统计得到任一时刻ECPS存在的各种安全威胁，并利用综合评估方法给出ECPS在任一时刻的安全威胁态势值，进而给出不同危害程度的告警，最终采取相应的安全防护措施，填补了目前所缺少的针对由信息威胁引发的跨空间连锁故障检测方法的技术空白，并设计了面向ECPS中各类安全威胁的实时联合检测体系，进一步提出了基于智能化评估算法的威胁态势评估体系，有效提升了对ECPS中实时发生的各类高危安全威胁的辨识能力，加强了针对各类高危安全威胁防护措施的目的性，有助于从整体层面改善ECPS的运行状况，保障其安全稳定运行。

附图说明

图1是本发明一种适用于电力信息物理系统的安全威胁态势评估方法的流程图；

图2是本发明实施例中对安全威胁实时检测的应用场景示意图；

图3是本发明实施例中采用层次分析法对所述电力信息物理系统进行安全态势评估体系的结构示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作详细说明。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明提供的一种适用于电力信息物理系统(Electric Cyber Physical Systems，ECPS)的安全威胁态势评估方法，ECPS安全威胁态势评估是指通过对ECPS中信息威胁、电力系统故障、由信息威胁引发的跨空间连锁故障等三类安全威胁的实时检测，其中，信息威胁包含网络攻击、网络脆弱性、网络漏洞等局限于信息空间的各类影响ECPS安全稳定运行的安全威胁，电力系统故障包括级联故障、继发故障等局限于电力系统的各类影响ECPS安全稳定运行的安全威胁，由信息威胁引发的跨空间连锁故障包括各类跨越信息空间与电力系统的安全威胁，统计得到任一时刻ECPS存在的各种安全威胁，并利用综合评判方法给出ECPS在任一时刻的安全威胁态势评估值，进而给出不同危害程度的告警，最终采取相应的安全防护措施。首先，建立ECPS安全威胁实时检测体系，涵盖信息威胁检测、电力系统故障检测、由信息威胁引发的跨空间连锁故障检测等三种检测手段，以其做为ECPS安全威胁态势评估的输入量；其次，建立基于智能化评价方法的安全威胁评判体系，其中，智能化评价方法可以采用贝叶斯网络、层次分析法、灰色关联聚类分析等，并对ECPS中各类安全威胁赋以不同的权重，权重值正比于安全威胁的危害程度，将某一时刻各类安全威胁的检测结果，检测结果为发生次数的统计值，并与其对应的权重相乘并最终求和，以得到某一时刻ECPS的安全威胁态势评估值；再次，依据预先设定的告警级别和告警条件，结合某一时刻ECPS的安全威胁态势评估值，对该时刻ECPS的运行状态给出评判，并对该时刻出现的若干类高危安全威胁进行告警，实现安全威胁态势评估结果的输出；最后，针对该时刻出现的不同高危安全威胁采用对应的防护措施，以消除其影响。本发明设计的ECPS安全威胁态势评估方法，可全面、实时、准确的感知ECPS中存在的各类安全威胁，并精确评估ECPS在任一时刻的安全威胁态势，对出现的各类安全威胁给出及时告警，并快速采取有效应对措施，保障ECPS安全稳定运行，如图1所示，包括：

对所述电力信息物理系统进行安全威胁检测；

根据安全威胁检测结果对所述电力信息物理系统进行安全态势评估；

根据安全态势评估结果对所述电力信息物理系统进行安全威胁告警。

其中，所述安全威胁包括：信息威胁故障、电力系统故障以及由信息威胁引发的跨空间电力系统连锁故障。

具体的，所述对所述电力信息物理系统进行安全威胁检测，包括：

通过信息威胁检测系统获取信息威胁故障次数集合l为所述信息威胁故障类别总数，t为时间标识；

其中，所述信息威胁检测系统为入侵检测系统(intrusion detection system，IDS)或入侵防御系统(Intrusion Prevention System，IPS)；

通过电力系统故障检测系统获取电力系统故障次数集合m为所述电力系统故障类别总数；

其中，所述电力系统故障检测系统为电力系统稳态分析软件或电力系统暂态分析软件；

利用信息元件和电力系统元件的工作状态参数集合获取由信息威胁引发的跨空间电力系统连锁故障次数集合n为所述信息元件和电力系统元件的工作状态参数类别总数，p为所述由信息威胁引发的跨空间电力系统连锁故障类别总数。

其中，所述信息元件包括：网络设备、信息设备和信息系统，所述电力系统元件包括：电力一次设备和电力二次设备，所述信息元件和电力系统元件的工作状态参数包括：网络报文的类型、长度、源地址、目的地址、当前的网络流量、信息设备当前的工作状态、电力二次设备的工作状态及电力一次设备的工作状态。

例如，在如图2所示的应用场景中，ECPS安全威胁检测的对象为信息威胁、电力系统故障、由信息威胁引发的跨空间电力系统连锁故障等三类安全威胁，并且对这三类安全威胁采用实时的并行检测模式。即分别在信息空间、电力系统、信息空间与电力系统边界等位置部署针对各类安全威胁的实时检测装置，并行工作。

进一步的，所述利用信息元件和电力系统元件的工作状态参数集合获取由信息威胁引发的跨空间电力系统连锁故障次数集合包括：

根据所述信息元件和电力系统元件的工作状态参数的历史数据和所述由信息威胁引发的跨空间电力系统连锁故障次数的历史数据，通过推理方法构建所述信息元件和电力系统元件的工作状态参数与所述由信息威胁引发的跨空间电力系统连锁故障次数的映射关系式y^t＝f(x^t)，以所述映射关系式y^t＝f(x^t)为判据判断当前时刻是否存在由信息威胁引发的跨空间电力系统连锁故障，并获取当前时刻由信息威胁引发的跨空间电力系统连锁故障次数集合。

需要说明的是并非所有的信息威胁均可以引发电力系统故障，同理并非所有的电力系统故障均可由信息威胁引发；

其中，所述推理方法包括：微分方程组、机器学习算法和离散数学的状态迁移公式。

例如，采用机器学习算法中的支持向量机(Support Vector Machine，SVM)构建所述利用信息元件和电力系统元件的工作状态参数与所述由信息威胁引发的跨空间电力系统连锁故障次数的映射关系式y^t＝f(x^t)，首先，设定支持向量机的各种训练参数，包括核函数类型、核函数相关参数、惩罚因子等。其次，确定由信息威胁引发的跨空间连锁故障检测方法的输入量和输出量，取部分信息元件的工作状态参数做为输入量，如网络报文类型x₁、网络报文长度x₂、网络报文的连接时间x₃、网络报文的源地址x₄和目的地址x₅等，则输入量为t为时间标号，选择由拒绝服务攻击引发的电力一次设备拒动y1、由恶意攻击引发的电力一次设备拒动y2、由恶意攻击引发的电力一次设备误动y3做为输出量，输出量为进而，根据ECPS的工作状况历史统计构建输入量与输出量之间的二元组做为支持向量机的训练样本集，训练样本集中以时间标号t做为样本的划分依据，每条样本均记录了在t时刻输入量和输出量的统计值，样本的记录格式为如某条样本为{11,0,0,0,0,0,0,0,0}，则表明在第11时刻，ECPS中没有网络报文也没有由信息威胁引发的跨空间连锁故障；再次，将训练样本集输入到支持向量机中进行训练，支持向量机通过对于每一个历史输入量与输出量之间的二元组进行自动训练学习来发现输入量与输出量之间的内在联系，该训练过程无需人工干预，并得到训练模型，该训练模型即为输入量和输出量之间的函数映射关系y^t＝f(x^t)的一种隐含表达式；最后，将当前时刻的输入量输入到训练模型中，即可判别在当前时刻是否存在由信息威胁引发的跨空间连锁故障，从而完成实时检测。

所述根据安全威胁检测结果对所述电力信息物理系统进行安全态势评估，包括：

按下式确定所述电力信息物理系统的安全态势评估值E^t：

$E^t=\underset{i=1}{\overset{l}{\Σ}}{a}_i^t\·q_i+\underset{j=1}{\overset{m}{\Σ}}{b}_j^t\·q_j+\underset{k=1}{\overset{p}{\Σ}}{y}_k^t\·q_k---\left(1\right)$

式(1)中，l为信息威胁故障类别总数，m为电力系统故障类别总数，p为由信息威胁引发的跨空间电力系统连锁故障类别总数，i∈[1,l]，j∈[1,m]，k∈[1,p]，t为时间标识，为t时刻第i类信息威胁故障次数，为t时刻第j类电力系统故障次数，为t时刻第k类由信息威胁引发的跨空间电力系统连锁故障次数，q_i为第i类信息威胁故障权重系数，q_j为第j类电力系统故障权重系数，q_k为第k类由信息威胁引发的跨空间电力系统连锁故障权重系数。

其中，本发明能够采用贝叶斯网络分析法、层次分析法或灰色关联聚类分析法对所述电力信息物理系统进行安全态势评估。

例如，采用层次分析法对所述电力信息物理系统进行安全态势评估，如图3所示，首先，确定安全威胁评判体系的输入量和输出量，设定各类安全威胁的实时检测结果做为输入量，安全威胁评估值E^t做为输出量，设ECPS中共有s类安全威胁，t为时间标号；进而，依据层次分析法将安全威胁评判体系自下而上划分为“指标层A”、“准则层B”和“目标层C”，以各类安全威胁做为指标层A，以各类安全威胁的特征构造准则层B，并在准则层B中依照各类安全威胁的危害性进行归类，分成“强”、“中”和“弱”三类，以安全威胁评估值做为目标层C，其中准则层B可由多层构成，准则层B为各类安全威胁对应的“强”、“中”、“弱”等三类，设定“强”、“中”、“弱”三类中各有α、β、γ种安全威胁，且α+β+γ＝s；

计算各类安全威胁的危害性权重，首先，对ECPS中各类安全威胁进行危害性权重初始赋值x_i，其中，x_i的5个子项分别表征了安全威胁i在技术先进性、易实现程度、隐蔽性、发生频度、破坏强度等5个方面的因素，每个子项的取值采用1至5的自然数，1表示危害程度最低，5表示危害程度最高，如公式(2)：

$x_i=\frac{1}{s}\underset{j=1}{\overset{5}{\Σ}}{x}_{i,j},i\∈\[1,s\]---\left(2\right)$

再按照“先局部，后整体”策略，确定安全威胁评判体系中每层所有的指标之间的两两判断矩阵并求解判断矩阵的特征向量，并以特征向量做为每层的各指标相对上一层指标的影响系数。即先计算各类安全威胁分别属于准则层中“强”、“中”、“弱”三个类别中的哪类，再计算“强”、“中”、“弱”对于安全威胁评估值的影响权重，最后用加权求和的方法逐层确定各种安全威胁对ECPS安全威胁评判的最终危害性权重{q₁,q₂,…,q_s}，各类安全威胁的权重{q₁,q₂,…,q_s}正比于其对ECPS的危害程度。

所述根据安全态势评估结果对所述电力信息物理系统进行安全威胁告警，包括：

获取所述电力信息物理系统的安全态势评估值E^t并设置告警阈值E_alarm，若所述电力信息物理系统的安全态势评估值满足E^t≥E_alarm，则对所述电力信息物理系统进行告警。

本发明提供的一种适用于电力信息物理系统的安全威胁态势评估方法针对ECPS安全威胁态势评估方法实现了对ECPS运行状况的宏观评判，填补了目前所缺少的针对由信息威胁引发的跨空间电力系统连锁故障检测方法的技术空白，并设计了面向ECPS中各类安全威胁的实时联合检测体系，进一步提出了基于智能化评估算法的威胁态势评估体系，有效提升了对ECPS中实时发生的各类高危安全威胁的辨识能力，加强了针对各类高危安全威胁防护措施的目的性，有助于从整体层面改善ECPS的运行状况，保障其安全稳定运行。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims (9)

1.一种适用于电力信息物理系统的安全威胁态势评估方法，其特征在于，所述方法包括：

对所述电力信息物理系统进行安全威胁检测；

根据安全威胁检测结果对所述电力信息物理系统进行安全态势评估；

根据安全态势评估结果对所述电力信息物理系统进行安全威胁告警。

2.如权利要求1所述的方法，其特征在于，所述安全威胁包括：信息威胁故障、电力系统故障以及由信息威胁引发的跨空间电力系统连锁故障。

3.如权利要求1所述的方法，其特征在于，所述对所述电力信息物理系统进行安全威胁检测，包括：

通过信息威胁检测系统获取信息威胁故障次数集合l为所述信息威胁故障类别总数，t为时间标识；

通过电力系统故障检测系统获取电力系统故障次数集合m为所述电力系统故障类别总数；

利用信息元件和电力系统元件的工作状态参数集合获取由信息威胁引发的跨空间电力系统连锁故障次数集合n为所述信息元件和电力系统元件的工作状态参数类别总数，p为所述由信息威胁引发的跨空间电力系统连锁故障类别总数。

4.如权利要求3所述的方法，其特征在于，所述信息元件包括：网络设备、信息设备和信息系统，所述电力系统元件包括：电力一次设备和电力二次设备，所述信息元件和电力系统元件的工作状态参数包括：网络报文的类型、长度、源地址、目的地址、当前的网络流量、信息设备当前的工作状态、电力二次设备的工作状态及电力一次设备的工作状态。

5.如权利要求3所述的方法，其特征在于，所述利用信息元件和电力系统元件的工作状态参数集合获取由信息威胁引发的跨空间电力系统连锁故障次数集合包括：

根据所述信息元件和电力系统元件的工作状态参数的历史数据和所述由信息威胁引发的跨空间电力系统连锁故障次数的历史数据，通过推理方法构建所述信息元件和电力系统元件的工作状态参数与所述由信息威胁引发的跨空间电力系统连锁故障次数的映射关系式y^t＝f(x^t)，以所述映射关系式y^t＝f(x^t)为判据判断当前时刻是否存在由信息威胁引发的跨空间电力系统连锁故障，并获取当前时刻由信息威胁引发的跨空间电力系统连锁故障次数集合。

6.如权利要求5所述的方法，其特征在于，所述推理方法包括：微分方程组、机器学习算法和离散数学的状态迁移公式。

7.如权利要求1所述的方法，其特征在于，所述根据安全威胁检测结果对所述电力信息物理系统进行安全态势评估，包括：

按下式确定所述电力信息物理系统的安全态势评估值E^t：

$E^t=\underset{i=1}{\overset{l}{\mathrm{\Σ}}}{a}_i^t\·q_i+\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{b}_j^t\·q_j+\underset{k=1}{\overset{p}{\Σ}}{y}_k^t\·q_k---\left(1\right)$

式(1)中，l为信息威胁故障类别总数，m为电力系统故障类别总数，p为由信息威胁引发的跨空间电力系统连锁故障类别总数，i∈[1,l]，j∈[1,m]，k∈[1,p]，t为时间标识，为t时刻第i类信息威胁故障次数，为t时刻第j类电力系统故障次数，为t时刻第k类由信息威胁引发的跨空间电力系统连锁故障次数，q_i为第i类信息威胁故障权重系数，q_j为第j类电力系统故障权重系数，q_k为第k类由信息威胁引发的跨空间电力系统连锁故障权重系数。

8.如权利要求7所述的方法，其特征在于，采用贝叶斯网络分析法、层次分析法或灰色关联聚类分析法对所述电力信息物理系统进行安全态势评估。

9.如权利要求1所述的方法，其特征在于，所述根据安全态势评估结果对所述电力信息物理系统进行安全威胁告警，包括：

获取所述电力信息物理系统的安全态势评估值E^t并设置告警阈值E_alarm，若所述电力信息物理系统的安全态势评估值满足E^t≥E_alarm，则对所述电力信息物理系统进行告警。