CN111431862A - 威胁驱动的电力监控系统网络安全深度防护方法及系统 - Google Patents

Abstract

本发明涉及电力监控系统领域，本发明公开了一种威胁驱动的电力监控系统网络安全深度防护方法及系统，其中该系统包括纵向防护功能单元、横向防护功能单元、内网漏洞探测功能单元和外网威胁态势感知功能单元，内网漏洞探测功能单元和外网威胁态势感知功能单元协同完成电力监控系统内网与外网的威胁探测，纵向防护功能单元和横向防护功能单元协同完成深度安全防护，由威胁探测引导深度安全防护。本发明的核心内容在于创新性提出将电力监控系统的威胁探测与安全防护联系起来，由威胁发现引导网络安全动态防护。并提出将纵向加密认证安全资源与横向安全防护资源进行结合，实现协同防护，解决了电力监控系统中由威胁驱动和引导的定向防护问题。

Description

威胁驱动的电力监控系统网络安全深度防护方法及系统

技术领域

本发明涉及电力监控系统领域，尤其涉及一种威胁驱动的电力监控系统网络安全深度防护方法及系统。

背景技术

电力监控系统中多型网络安全设备的孤立堆叠，并不能瞄准针对电力系统新型网络攻击进行有效防御。近年来国内外不断发生电力系统网络攻击事件，表明电力监控系统网络安全防护能力需要提升。近几年电力监控系统安全防护建设过程中，局部过度防护、局部防护缺失、突发性攻击事件的应急处置目标模糊方面需要提升，全网遭遇系统性大规模网络攻击诱发大停电的威胁无时不在。

目前缺乏电力监控系统的网络安全方面的文献资料，以及威胁驱动的电力监控系统网络安全防护的文献资料，相关的技术文献有：

专利文献CN 208046653 U公开了一种实用新型专利：一种电力监控系统网络安全监测主站平台系统，包括采集接收器(1)、队列存储器(2)、缓冲读取器(3)、纵向扩展接口(4)、中心桥接部件(5)、高速计算部件(6)和中心应用部件(7)；采集接收器连接队列存储器，队列存储器分别连接缓冲读取器以及纵向扩展接口，缓冲读取器和纵向扩展接口再分别与中心桥接部件相连，中心桥接部件再分别与高速计算部件和中心应用部件连接；高速计算部件和中心应用部件之间还通过网络连接。该专利只是公开了一种电力监控系统网络安全监测主站平台的硬件设计方案，该产品设计未明确是针对电力监控系统的内网还是外网的网络安全防护问题。

专利文献CN 208227074 U公开了实用新型专利：一种电力监控系统网络安全监测终端，包括：依次连接的数据采集引擎、数据处理引擎和通信服务代理转发器，以及分别与数据采集引擎、数据处理引擎和装置配置模块连接的装置配置模块；数据采集引擎还分别与主机采集、数据库采集、网络设备采集、安全防护设备采集和公共设备采集各单元连接；数据处理引擎包括基线核查、风险评估、网络流量分析、防病毒、日志审计和漏洞扫描各单元，用于负责对数据采集引擎发送的数据进行网络安全监测分析。本装置通过监测对象采用自身感知技术，收集终端装置所需网络安全事件，同时，提供主站网络安全平台所需的服务代理。该专利只是公开了一种电力监控系统网络安全监测终端的功能模块设计方案，但是该方案未涉及针对电力监控系统的内网还是外网的防御，也未涉及电力监控系统纵向防护和横向防护的区分与联系。

专利CN 209233564 U实用新型专利，公开了一种电力监控系统多层布局网络安全态势感知系统，在厂站的I区、Ⅲ区均分别布置用于采集网络安全态势感知数据信息的网络安全态势感知采集装置；在地市主站、省级主站、网级主站的I区、Ⅱ区、Ⅲ区均分别布置有用于采集网络安全态势感知数据信息的网络安全态势感知采集装置；在省级主站、网级主站的Ⅱ区、Ⅲ区均分别布置有的用于应用和存储网络安全态势感知数据信息的态势感知主站系统；厂站、地市主站的生产控制大区内的网络安全态势感知采集装置通过调度数据网上传到省级主站、网级主站的态势感知主站系统；厂站、地市主站的管理信息大区内的网络安全态势感知采集装置通过综合业务数据网分上传到省级主站、网级主站的态势感知主站系统。该专利涉及电力监控系统多层布局网络安全态势感知系统，主要功能在于安全态势感知，未包含安全防护，特别是密码防护方面的内容。

专利CN209767579 U实用新型专利，涉及一种电力监控系统安全防护一体机，包括：机壳，机壳上设置有网络接口，机壳的腔室内设置有安防控制器和告警执行器，告警执行器用于电力系统网络安全事件告警；安防控制器分别与网络接口和告警执行器连接，且网络接口还用于与电力监控系统通信。通过将安防控制器和网络接口以及告警执行器均集成化设置在机壳腔室内，大大减小了设备的体积，解决了成本高、占用屏位资源、UPS资源、空调资源、运行管理不方便等问题。该专利涉及的是一种电力监控系统安全防护一体机的硬件结构设计方案，重点在于所述装置与电力系统自身的连接方式，不涉及威胁发现与纵向、横向安全防护的内容。

目前的电力监控系统网络安全防护是将内网防护环节与外网防护环节相隔离，并且电力监控系统的漏洞与威胁探测，和安全防护之间缺乏有机联系，局部防御过度、局部防御不足的问题在电力监控系统网络安全防护实践中较为突出。因此，难以有效防御具有系统性攻击特点的APT攻击。

发明内容

为了解决上述问题，本发明提出一种威胁驱动的电力监控系统网络安全深度防护方法及系统，利用创新设计的数据交互方式，将电力监控系统外网和内网网络安全威胁检测资源，与安全防护资源进行结合，从而解决电力监控系统中由威胁驱动和引导地定向防护问题，实现电力监控系统的安全防护与威胁发现的高度关联和协同联动。

本发明提供的一种威胁驱动的电力监控系统网络安全深度防护方法，包括以下步骤：

S1.建立三角模糊矩阵A：建立三角模糊矩阵A＝(α_ij)_m*n，在确定攻防双方的策略空间之后，从机密性、完整性和可用性三个方面评价系统安全属性的损害程度，并计算三角模糊矩阵A的攻防损益值∝_ij；

S2.将三角模糊矩阵A转化为常规矩阵B：通过计算模糊概率将三角模糊矩阵A转化为常规矩阵B＝(b_ij)_m*n,即将三角模糊矩阵A中的三角模糊数转化为非模糊数；

S3.求解攻击者和防御系统的最优策略：首先根据纯策略计算过程判断矩阵博弈是否存在纯策略纳什均衡点，若存在纯策略纳什均衡，则进行求解；否则，利用线性规划方法求解矩阵博弈的混合策略纳什均衡。

进一步的，所述步骤S2中，采用模糊概率处理三角模糊数，即在电力监控系统网络攻防对抗中，攻防双方的损益用l，h，u和模糊概率来描述，根据l，h，u的偏离程度来确定模糊概率；若以h为界，分等概率情况来考虑，由l和h的偏离程度，确定攻防损益是h的可能性为l的N倍；由h和u的偏离程度，确定攻防损益是h的可能性为u的M倍，则l，h，u的模糊概率分别为：

进一步的，所述步骤S2中，将三角模糊数转化为非模糊数，则常规矩阵B＝(b_ij)_m*n中b_ij的期望值为：

b_ij＝E_ij(l_ij，h_ij，u_ij)＝P_ij(l_ij)·l_ij+P_ij(h_ij)·h_ij+P_ij(u_ij)·u_ij(2)。

进一步的，所述步骤S3中，令

根据纯策略的计算过程，若v₁＝v₂，则存在纯策略纳什均衡点，纯策略纳什均衡为(∝_i，β_i)；若v₁≠v₂，则利用线性规划方法求解矩阵博弈的混合策略纳什均衡。

本发明提供的一种威胁驱动的电力监控系统网络安全深度防护系统，包括纵向防护功能单元、横向防护功能单元、内网漏洞探测功能单元和外网威胁态势感知功能单元，所述内网漏洞探测功能单元和所述外网威胁态势感知功能单元协同完成电力监控系统内网与外网的威胁探测，所述纵向防护功能单元和所述横向防护功能单元协同完成深度安全防护，由威胁探测引导深度安全防护；

所述内网漏洞探测功能单元通过多种类型的接口，接入在线或离线运行的电力监控系统设备，进而向所述电力监控系统设备发送能够判断漏洞类型的通信会话协议数据包，通过数轮的会话交互，判断所述电力监控系统设备是否存在某种类型的漏洞及威胁；

所述外网威胁态势感知功能单元通过互联网方式，向互联网远程发送探测报文，在线运行的电力监控系统设备接收到所述探测报文后会以报文应答；再通过互联网IP地址和/或多种扫描方式，探测出所述在线运行的电力监控系统设备的漏洞及威胁；所述多种扫描方式包括端口扫描、电力控制专用协议扫描和电力系统设备指纹扫描。

进一步的，所述内网漏洞探测功能单元和所述外网威胁态势感知功能单元探测到的漏洞及威胁，统一汇聚到数据融合平台，进行数据预处理和精细化处理，并根据分类规则训练生成若干汇聚模型；所述预处理包括存储、去重和排序，所述精细化处理包括大数据分析、机器学习和深度学习。

进一步的，所述横向防护功能单元和所述纵向防护功能单元交互联系密切，能够实现三层次的互动：

第一层次，通过互联互通接口能够进行消息互通和信息共享；

第二层次，针对定向威胁攻击的系统性行动，所述横向防护单元能够发送可疑业务流量信息给所述纵向防护单元，所述纵向防护单元基于纵向加密认证装置的基于熵的加密行为判断机制，从统计学角度对业务流量的合理性做出分析，并将判断结果反馈给所述横向防护单元；

第三层次，所述横向防护单元能够向所述纵向防护单元发送密码防护强度调整策略，所述纵向防护单元能够将加密强度调整后的系统处理效率反馈给所述横向防护单元。

进一步的，所述第二层次中，所述加密行为判断机制包括以下步骤：

先以统计方法建立起采用各种纵向加密认证算法后，网络流量的信息熵分布模型，建立模型库；然后依据所述模型库判断当前流量的信息熵分布是否是所述模型库中已有的类型，若不是，则认为当前流量可疑或异常。

进一步的，所述横向防护功能单元以大数据分析为基础，能够识别与管理资产存活性，进行边界防护，以及查杀病毒、蠕虫和木马；所述纵向防护功能单元以国产密码为基础，通过密码算法、加密认证协议和高并发处理能力的密钥管理算法进行防护。

进一步的，所述加密认证协议包括四遥加密认证协议，所述四遥加密认证协议包括以下步骤：

接收数据：接收协议报文，所述协议报文包括遥控、遥测、遥信与遥调的业务数据报文；

协议分析：识别协议报文的结构，定位功能字段；

关键协议报文识别：识别完整的协议报文，并进行报文规范性处理；

生成处理策略：依据关键协议报文识别情况，选择是否对报文加密处理；

查找隧道模板库：在预先建立的加密隧道模板库中查找相应的关键协议报文加密处理模板；所述加密隧道模板库包括软件动态链接库。

本发明的有益效果在于：

(1)本发明创新提出将纵向加密认证安全资源与横向安全防护资源进行结合，实现协同防护，通过基于大数据分析的电力监控系统边界防护、污染源数据(病毒、恶意代码)清洗，以及关键电力监控防护设备的威胁资源共享和防御要素的可定制化装配机制，解决电力监控系统中由威胁驱动和引导的定向防护问题，将明显提高防护能力；

(2)本发明将电力监控系统外网和内网网络安全威胁检测资源，与安全防护资源进行有机结合，实现了有针对性地安全防护能力；

(3)本发明在合规性防护基础上，创新提出将横向防护域和纵向防护域通过三层次互动进行协同的机制，提升了电力监控系统的整体安全防护能力；

(4)为提高专利所述方法的可用性，创新设计了针对电力系统四遥(遥控、遥测、遥信与遥调)业务数据的细粒度加密认证协议，极大地提高了加密处理效率，获得了较为突出的应用效果。

附图说明

图1威胁驱动的电力监控系统安全深度防护动力学模型；

图2威胁驱动的电力监控系统网络安全深度防护系统示意图；

图3电力监控系统二元威胁数据多尺度智能关联框架；

图4纵向防护域与横向防护域信息交互联系模式；

图5选择性加密处理流程图；

图6电力监控系统关键协议报文加密隧道模板库示意图；

图7加密处理流程图。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现说明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本实施例提供了一种威胁驱动的电力监控系统网络安全深度防护方法及系统，具体包括以下内容：

(1)威胁驱动的电力监控系统安全深度防护模型

针对长期以来电力监控系统中多型网络安全设备的孤立堆叠，并不能有效防范新形势下APT攻击(即高级可持续威胁攻击，或定向威胁攻击)的难题。本发明创新性地提出了威胁驱动的电力监控系统安全深度防护模型、原理及体系结构，通过互联互通接口完成信息共享，使得威胁发现与安全防护贯通，结合电力监控系统威胁态势感知及可视化。解决电力监控系统中由威胁驱动和引导地定向防护问题，实现电力监控系统的安全防护与威胁发现的高度关联和协同联动。

威胁驱动的电力监控系统安全深度防护模型如图1所示，电力监控系统外网的威胁主要来源于与互联网有连接关系的管理信息系统、办公自动化系统和电能量计费系统，内网的威胁主要存在于电力SCADA系统、配网自动化系统、变电站自动化系统、调度自动化系统的各类野外无人值守型终端装置、设备、传感器节点等，研究应用排队系统(queuingsystems)、Petri网(petri nets)等合适的建模工具对电力监控系统安全威胁的演化动力学过程进行规范的描述，形成安全威胁形式化模型。包含外网和内网信息的威胁探测结果，将以威胁情报的形式动态发送给安全防护域的纵向防护和横向防护双方，双方将依据威胁情报的态势选择合适的安全防护策略。

在威胁驱动防护的理论研究方面，电力监控系统防护的冲突对立双方在于攻击、侦察威胁和防护的代价。在电力系统生产运行状态下，电力监控系统威胁和防御的基础因素主要包含目标特性、攻击方法、攻击策略、防护能力与防护策略5个要素，攻击方或威胁方的能力或者行动效果往往受到防御因素的抑制，而电力监控系统防御策略、方法和技术同样依赖于攻击者或威胁方可能采取的攻击策略，因此，电力监控系统的攻防对抗是基于博弈理论的网络攻防模型。另一方面，从大量电力网攻击事件分析中发现：机密性、完整性和可用性是电力监控系统安全中最为基础性的三个需求。因此，本发明从机密性代价、完整性代价和可用性代价三个方面对电力监控系统在攻防对抗过程中的损失程度进行评估，并提出了提出基于三角模糊矩阵博弈的电力监控系统威胁与防护关系数学模型，以帮助防护方选择最优的防御策略进行主动防御。

基于三角模糊矩阵博弈的电力监控系统威胁与防护关系数学模型：

针对电力监控系统的基于三角模糊矩阵的博弈算法可以预测攻击者行为以及向防御方提供最优的防御策略，其基本思路如下：

1)建立三角模糊矩阵A＝(α_ij)_m*n。在确定攻防双方的策略空间之后，从机密性、完整性和可用性三个方面评价系统安全属性的损害程度，攻击者对主机系统造成的损失为：

SDC＝IC·W_i+CC·W_c+AC·W_a (1)

式中，IC指攻击者对电力监控系统信息的更改或破坏所付出的代价，CC指电力监控系统中未授权的信息泄露所付出的代价，AC指电力监控系统服务不能被相关授权用户访问和使用所付出的代价，W_i,W_c,W_a表示对这3种安全属性代价的偏重，且满足W_i+W_c+W_a＝1；

同时结合式(1)计算三角模糊矩阵A中元素∝_ij的取值(即攻防损益值)，并将三角模糊矩阵A作为博弈算法的输入。

2)通过计算模糊概率将三角模糊矩阵A转化为常规矩阵B＝(b_ij)_m*n，即将三角模糊矩阵矩阵A中的三角模糊数转化为非模糊数。这里采用模糊概率处理三角模糊数，即在军事智能系统网络攻防对抗中，攻防双方的损益用l，h，u和模糊概率来描述，根据l，h，u的偏离程度来确定模糊概率；若以h为界，分等概率情况来考虑，由l和h的偏离程度，确定攻防损益是h的可能性为l的N倍；由h和u的偏离程度，确定攻防损益是h的可能性为u的M倍，则l，h，u的模糊概率分别为：

3)求解攻击者和防御系统的最优策略。首先根据纯策略计算过程判断矩阵博弈是否存在纯策略纳什均衡点，若存在纯策略纳什均衡，则进行求解。否则，利用线性规划方法求解矩阵博弈的混合策略纳什均衡。

基于三角模糊矩阵的电力监控系统威胁与防护博弈算法如下：

①输入：三角模糊矩阵A；

②输出：纳什均衡；

③计算步骤：

步骤1：计算三角模糊数的模糊概率，分别为：

和

步骤2：将三角模糊数转化为非模糊数，则b_ij的期望值为：

b_ij＝E_ij(l_ij，h_ij，u_ij)＝P_ij(l_ij)·l_ij+P_ij(h_ij)·h_ij+P_ij(u_ij)·u_ij,由b_ij构成非模糊矩阵B＝(b_ij)_m×n；

步骤3：令

根据纯策略的计算过程，若v₁＝v₂，则存在纯策略纳什均衡点，纯策略纳什均衡为(∝_i，β_i)；若v₁≠v₂，继续步骤4；

步骤4：由于在矩阵博弈中，一定存在混合策略纳什均衡，本发明采用线性规划方法求解，求解过程如下：

a)Maximizev₃

b)Subject to

c)for all x∈X_m

f)Minimizev₄

g)Subject to

h)for all y∈Y_n

步骤5：判断v₃和v₄的取值大小，若v₃＝v₄，则混合策略组合(x^*，y^*)为三角模糊矩阵A的解。

基于三角模糊矩阵的博弈算法主要目的是计算出该矩阵的纳什均衡，从而获得攻防双方的最优策略。算法的时间复杂度分析可分为以下3个部分进行：

①将三角模糊数转化为非模糊数，该过程是将矩阵A＝(a_ij)_m×n中的全部元素转化为非模糊数，因此其算法复杂度为O_mn；

②矩阵B若存在纯策略纳什均衡则进行求解，由定义3中纯策略的计算过程可知，需要对各行或各列中元素进行最大、最小比较，因此其算法复杂度为O_m+n+2；

③利用非线性规划求解混合策略纳什均衡，已经证明该算法复杂度是多项式时间。

由以上分析可见，整个算法的时间复杂度可满足电力监控系统网络安全分析与评估的需求。

本发明的威胁驱动的电力监控系统安全深度防护系统，由纵向防护功能单元、外网威胁态势感知功能单元、内网漏洞探测功能单元和横向防护功能单元组成，如图2所示，其中外网威胁态势感知功能单元、内网漏洞探测功能单元协同完成电力监控系统外网与内网的威胁探测功能，纵向防护功能单元和横向防护功能单元协同完成深度安全防护功能，由威胁探测引导深度安全防护。

需要说明的是，本发明中的内网指电力监控系统中实时性较高的生产控制大区网络，外网指电力企业管理信息系统。

(2)外网和内网探测结合的电力监控系统威胁发现技术体系

针对电力监控系统既存在与互联网连接的管理信息外网，又存在生产控制专用内网，威胁情况复杂多样的特点。本发明创新提出将电力监控系统连接互联网(外网)重要资产的威胁态势，与针对内网关键设备的漏洞扫描相结合的威胁发现体系。使得外网与内网威胁情报有机融合一体，提高了电力监控系统威胁感知的动态性、精准性，特别提升了对APT攻击的全生命周期监控能力。

如图3所示，本发明专利通过电力监控系统二元威胁数据多尺度智能关联框架，将电力监控系统外网威胁与内网关键设备漏洞扫描结合，极大提高了针对APT等系统性侦察、攻击行动的早期监测预警能力。

在电力监控系统二元威胁数据多尺度智能关联框架中，通过电力监控系统接入互联网威胁态势感知功能单元，扫描与互联网连接度较高的管理信息系统、办公自动化系统、电能量计费系统、移动互联网终端和视频监控系统等存在的威胁情报。通过电力监控系统内网漏洞探测功能单元探测RTU、DCS、FTU、PLC、IED以及继电保护装置等电力监控系统设备中存在的漏洞。并将外网威胁和内网设备漏洞信息统一汇聚到数据融合平台，在数据融合平台中，首先进行实时数据存储、去重、排序等预处理，然后采用大数据分析、机器学习与深度学习等算法对数据进行精细化处理，并根据分类规则训练生成若干汇聚模型。最终将外网威胁和内网设备漏洞信息进行发电控制业务、输电控制业务、变电控制业务、调度控制业务、配电控制业务、地理位置、公司和用户以及特殊任务等多尺度关联，提高了对非法探测、攻击行为的系统性观测能力。

(3)纵向加密认证与横向安全综合防护协同的深度安全防护机制

由于近几年电力监控系统安全防护建设过程中，局部过度防护、局部防护缺失、突发性攻击事件的应急处置目标模糊方面需要提升。针对这一问题，本发明创新提出基于电力攻击、侦察威胁的纵向加密认证与横向安全综合防护协同的深度安全防护机制，实现纵向认证和横向隔离之间的协同防护，通过基于大数据分析的电力监控系统边界防护、污染源数据清洗，以及关键电力监控防护设备的威胁资源共享和防御要素的可定制化装配机制，解决了在电力监控系统中纵向安全与横向安全资源间的配合问题，极大提高了防护效率。

纵向防护和横向防护之间存在密切的联系，横向防护域主要以大数据分析为基础，具有资产存活性识别与管理、边界防护和病毒、蠕虫、木马查杀等功能，纵向防护域主要以国产密码为基础，具有自主设计的密码算法、“四遥”加密认证和高并发处理能力的密钥管理算法。本模型的横向防护域和纵向防护域交互联系密切，实现三层次的互动，如图4所示，第一层次，通过互联互通接口可以进行消息互通和信息共享。第二层次，针对APT攻击的系统性行动，横向防护域可以发送可疑业务流量信息给纵向防护域，纵向防护域基于纵向加密认证装置独特设计的基于熵的加密行为判断机制，从统计学角度对业务流量的合理性做出分析，并将判断结果反馈给横向防护域。在第三层次的交互过程中，横向防护域可以向纵向防护域发送密码防护强度调整策略，纵向防护域可以将加密强度调整后的系统处理效率反馈给横向防护域，进而实现三层次的互动。

在第二层次中，加密行为判断机制包括以下步骤：

先以统计方法建立起采用各种纵向加密认证算法后，网络流量的信息熵分布模型，建立模型库；然后依据模型库判断当前流量的信息熵分布是否是模型库中已有的类型，若不是，则认为当前流量可疑或异常。

(4)电力系统四遥(遥控、遥测、遥信与遥调)业务数据的细粒度加密认证协议

针对批量电力终端进行加密认证操作可能会对电力监控系统生产控制业务造成一定影响的工程难题。本发明创新提出面向电力系统遥控、遥测、遥信与遥调业务数据进行细粒度地、选择性加密认证操作，解决高并发连接条件下的加密隧道规模化构建和批量密钥高速协商、生成与释放问题。实现不改变用户网络环境，对用户业务处理影响最小的效果。

电力监控系统中使用的通信控制协议类型多种多样，有代表性的协议包括IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-5-104、IEC61850、IEC61970、IEC61970等，国际电工委员会等组织专门设计的数十种电力监控系统通信协议，系统性承载了电力生产运行控制的各种测量、控制、信标等重要业务。使用普通IP网络的IPSEC隧道加密式，将面临批量电力终端进行加密认证操作，将对电力监控系统生产控制业务造成不可忽略影响的工程难题。为提升加密处理效率和可用性，本发明专利独特设计电力系统四遥(遥控、遥测、遥信与遥调)业务数据的细粒度加密认证协议，对电力监控系统生产控制协议进行选择性加密处理。其核心步骤为：1)识别协议数据流中的关键报文即遥控、遥测、遥信与遥调业务数据报文；2)在加密隧道模板库中查找隧道。其处理流程如下图5所示。其中，接收数据阶段需要接收一定数量的完整协议报文，协议分析需要识别协议的报文结构，定位功能字段。协议类型识别出具体的协议类型，如IEC61850协议等。关键协议报文识别具有识别出遥信、遥测、遥控、遥信等完整协议报文，并进行报文规范性处理等功能。生成处理策略阶段主要依据关键协议报文识别情况，选择是将报文加密处理，还是对报文不进行加密处理。查找隧道模板库阶段主要是在预先建立的加密隧道模板库中查找相应的关键协议报文加密处理模板的功能。关键协议报文加密隧道模板库主要是预先对一种协议的关键报文加密处理模型进行实现，形成“模板库”，以软件动态链接库等形态存在，提高处理效率。电力监控系统关键协议报文加密隧道模板库结构如图6所示。

对电力监控系统通信协议报文的处理方式有明通、密通、选择性加密(即明通)、丢弃。当找不到策略或者报文加密隧道时，此数据包将被丢弃。对电力监控系统专用协议的具体处理流程如图7所示。该流程采用策略与隧道的梯度组合查找模式，实现“模板式”选择性加密，提高了对电力生产控制报文的处理效率。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

在本发明的描述中，需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

Claims (10)

1.一种威胁驱动的电力监控系统网络安全深度防护方法，其特征在于，包括以下步骤：

S1.建立三角模糊矩阵A：建立三角模糊矩阵A＝(α_ij)_m*n，在确定攻防双方的策略空间之后，从机密性、完整性和可用性三个方面评价系统安全属性的损害程度，并计算三角模糊矩阵A的攻防损益值∝_ij；

S2.将三角模糊矩阵A转化为常规矩阵B：通过计算模糊概率将三角模糊矩阵A转化为常规矩阵B＝(b_ij)_m*n，即将三角模糊矩阵A中的三角模糊数转化为非模糊数；

S3.求解攻击者和防御系统的最优策略：首先根据纯策略计算过程判断矩阵博弈是否存在纯策略纳什均衡点，若存在纯策略纳什均衡，则进行求解；否则，利用线性规划方法求解矩阵博弈的混合策略纳什均衡。

2.根据权利要求1所述的一种威胁驱动的电力监控系统网络安全深度防护方法，其特征在于，所述步骤S2中，采用模糊概率处理三角模糊数，即在电力监控系统网络攻防对抗中，攻防双方的损益用l，h，u和模糊概率来描述，根据l，h，u的偏离程度来确定模糊概率；若以h为界，分等概率情况来考虑，由l和h的偏离程度，确定攻防损益是h的可能性为l的N倍；由h和u的偏离程度，确定攻防损益是h的可能性为u的M倍，则l，h，u的模糊概率分别为：

3.根据权利要求2所述的一种威胁驱动的电力监控系统网络安全深度防护方法，其特征在于，所述步骤S2中，将三角模糊数转化为非模糊数，则常规矩阵B＝(b_ij)_m*n中b_ij的期望值为：

b_ij＝E_ij(l_ij，h_ij，u_ij)＝P_ij(l_ij)·l_ij+P_ij(h_ij)·h_ij+P_ij(u_ij)·u_ij (2)。

4.根据权利要求3所述的一种威胁驱动的电力监控系统网络安全深度防护方法，其特征在于，所述步骤S3中，令

根据纯策略的计算过程，若v₁＝v₂，则存在纯策略纳什均衡点，纯策略纳什均衡为(∝_i，β_i)；若v₁≠v₂，则利用线性规划方法求解矩阵博弈的混合策略纳什均衡。

5.一种威胁驱动的电力监控系统网络安全深度防护系统，其特征在于，包括纵向防护功能单元、横向防护功能单元、内网漏洞探测功能单元和外网威胁态势感知功能单元，所述内网漏洞探测功能单元和所述外网威胁态势感知功能单元协同完成电力监控系统内网与外网的威胁探测，所述纵向防护功能单元和所述横向防护功能单元协同完成深度安全防护，由威胁探测引导深度安全防护；

所述内网漏洞探测功能单元通过多种类型的接口，接入在线或离线运行的电力监控系统设备，进而向所述电力监控系统设备发送能够判断漏洞类型的通信会话协议数据包，通过数轮的会话交互，判断所述电力监控系统设备是否存在某种类型的漏洞及威胁；

所述外网威胁态势感知功能单元通过互联网方式，向互联网远程发送探测报文，在线运行的电力监控系统设备接收到所述探测报文后会以报文应答；再通过互联网IP地址和/或多种扫描方式，探测出所述在线运行的电力监控系统设备的漏洞及威胁；所述多种扫描方式包括端口扫描、电力控制专用协议扫描和电力系统设备指纹扫描。

6.根据权利要求5所述的一种威胁驱动的电力监控系统网络安全深度防护系统，其特征在于，所述内网漏洞探测功能单元和所述外网威胁态势感知功能单元探测到的漏洞及威胁，统一汇聚到数据融合平台，进行数据预处理和精细化处理，并根据分类规则训练生成若干汇聚模型；所述预处理包括存储、去重和排序，所述精细化处理包括大数据分析、机器学习和深度学习。

7.根据权利要求5所述的一种威胁驱动的电力监控系统网络安全深度防护系统，其特征在于，所述横向防护功能单元和所述纵向防护功能单元交互联系密切，能够实现三层次的互动：

第一层次，通过互联互通接口能够进行消息互通和信息共享；

第二层次，针对定向威胁攻击的系统性行动，所述横向防护单元能够发送可疑业务流量信息给所述纵向防护单元，所述纵向防护单元基于纵向加密认证装置的基于熵的加密行为判断机制，从统计学角度对业务流量的合理性做出分析，并将判断结果反馈给所述横向防护单元；

第三层次，所述横向防护单元能够向所述纵向防护单元发送密码防护强度调整策略，所述纵向防护单元能够将加密强度调整后的系统处理效率反馈给所述横向防护单元。

8.根据权利要求7所述的一种威胁驱动的电力监控系统网络安全深度防护系统，其特征在于，所述第二层次中，所述加密行为判断机制包括以下步骤：

先以统计方法建立起采用各种纵向加密认证算法后，网络流量的信息熵分布模型，建立模型库；然后依据所述模型库判断当前流量的信息熵分布是否是所述模型库中已有的类型，若不是，则认为当前流量可疑或异常。

9.根据权利要求5所述的一种威胁驱动的电力监控系统网络安全深度防护系统，其特征在于，所述横向防护功能单元以大数据分析为基础，能够识别与管理资产存活性，进行边界防护，以及查杀病毒、蠕虫和木马；所述纵向防护功能单元以国产密码为基础，通过密码算法、加密认证协议和高并发处理能力的密钥管理算法进行防护。

10.根据权利要求9所述的一种威胁驱动的电力监控系统网络安全深度防护系统，其特征在于，所述加密认证协议包括四遥加密认证协议，所述四遥加密认证协议包括以下步骤：

接收数据：接收协议报文，所述协议报文包括遥控、遥测、遥信与遥调的业务数据报文；

协议分析：识别协议报文的结构，定位功能字段；

关键协议报文识别：识别完整的协议报文，并进行报文规范性处理；

生成处理策略：依据关键协议报文识别情况，选择是否对报文加密处理；

查找隧道模板库：在预先建立的加密隧道模板库中查找相应的关键协议报文加密处理模板；所述加密隧道模板库包括软件动态链接库。

Images