CN115189927A

CN115189927A - 一种基于零信任的电力网络安全防护方法

Info

Publication number: CN115189927A
Application number: CN202210726100.7A
Authority: CN
Inventors: 吴克河; 石进; 韩扬; 张继宇; 程瑞; 雷煜卿; 仝杰
Original assignee: China Electric Power Research Institute Co Ltd CEPRI; North China Electric Power University
Current assignee: China Electric Power Research Institute Co Ltd CEPRI; North China Electric Power University
Priority date: 2022-06-24
Filing date: 2022-06-24
Publication date: 2022-10-14
Anticipated expiration: 2042-06-24
Also published as: CN115189927B

Abstract

本发明公开了一种基于零信任的电力网络安全防护方法，从终端的可信准入、网络流量异常检测、终端对电力信息系统的动态访问控制三方面进行网络安全防护。本发明采用单包认证技术实现对系统资源隐身，保证终端接入具有很好的安全性和性能；基于信息熵和改进k‑means算法对网络流量进行预处理，去除冗余的流量数据信息，择优选出具有最大信息量的特征子集，将实时流量数据与正常设备访问行为基线比较，从而检测出用户异常行为、系统内部的横向攻击和内部人员的误操作；提出了基于信任值的动态访问控制方案框架，包括：基础身份认证、信任值评估、动态访问控制信任值计算和访问决策，针对用户信任值决定用户的访问权限，更好地确保了安全性。

Description

一种基于零信任的电力网络安全防护方法

技术领域

本发明涉及一种基于零信任的电力网络安全防护方法，属于电力网络安全防护技术领域。

背景技术

电力网络防护系统是基于边界保护的安全架构，根据设备在网络中的物理位置，将网络划分为内部网络和外部网络等不同的区域。内部和外部网络由边界隔开。在网络边界部署防火墙、入侵检测、漏洞扫描等措施，配置相应策略，构建边境安全防护体系。大多数基于网络边界的安全防护体系对内部访问的安全监管不够严格，一旦攻击者突破防护边界，进入内部网络，原有的网络安全防护措施就会失效。一旦攻击者窃取用户的账户密码，就可以很容易地访问系统和数据，窃取数据资源。在网络边界防护架构下，即使增加更多的安全设备，设置更多的安全策略，也只能增强网络边界的防护能力，不能有效地防范内部攻击。

当前电力信息系统的网络安全风险分析如下：

终端层：虽然在终端层提供了各种安全管理措施，但随着终端侧设备的普遍接入，各种接入的身份与权限管理人员越来越复杂。另外，目前的认证方式比较简单。当终端账号被盗或密码信息泄露时，攻击者可以通过被盗账号盗取业务端内部数据。

网络层：虽然电力信息系统在网络层提供了安全的传输通道，但随着信息化技术，电力信息网络的开放性提高，网络的暴露度也扩大了，传统基于物理隔离的安全防护作用逐渐减少。

接入层：在接入层主要基于网络数据流检测进行安全防护，实现了恶意流识别和数据包安全检测，但在数据交互过程中，业务侧对API接口调用的业务逻辑缺乏深入分析。

业务平台层：目前主要是静态访问控制，并没有根据终端入网后的行为进行持续评估，从而实现动态授权无法进行调整。此外，目前的访问控制策略固化，移动服务层缺乏细粒度的控制，导致恶意访问的发现和处理延迟。

因此，传统的边界防护体系暴露出许多问题、防护边界逐渐模糊，难以满足日益增长的安全防护需求。应用新的网络安全体系结构来应对技术发展带来的问题，是网络安全发展的必然要求。

谷歌的工程师John Kindervag在2010年提出了零信任架构。零信任体系结构是一个新的安全概念。它的核心原则是“永远不信任”和“始终在验证”。零信任体系结构采用身份认证作为访问控制中心，核心技术包括身份认证、持续风险评估、动态访问控制等。体系结构组件包括可信代理、动态访问控制引擎和身份认证引擎。

零信任网络的主要设计理念包括：假设所有网络设备都是不可信的，因为外部网络或内部网络都可能存在安全威胁，资源只能被合法的用户和设备访问。对服务的任何访问都必须经过身份验证、授权和加密。零信任体系结构的核心思想是在访问主体和访问对象之间建立一个以身份认证为核心的动态访问控制系统。访问主体在网络中的位置不再决定其访问权限。访问权限由系统根据用户的环境、访问行为等属性动态分配。无论访问者在任何地点、使用哪种Internet访问方式，都需要身份验证和授权。因此，所有的访问请求都需要经过审查，对访问主体进行持续的信任评估，并根据信任程度动态授予最小访问权限。零信任提出了一种动态细粒度的访问控制与授权系统模型，其核心在于对被访问的设备和用户进行动态、连续的身份认证，只有具有访问权限的可信主体(合法设备、合法用户)才能访问资源和数据。对于传统电力信息网络安全防御所出现的种种问题，应用基于零信任机制对电力信息网络安全的防护已经迫在眉睫。

发明内容

为了克服上述现有技术的不足，本发明提供了一种基于零信任的电力网络安全防护方法，并从终端可信认证、流量基线异常检测、用户动态访问控制三方面对电力信息系统网络进行安全防护。

为解决上述技术问题，本发明所采用的技术方案如下：

一种基于零信任的电力网络安全防护方法，从终端可信认证、流量基线异常检测、基于信任值的用户动态访问控制三方面对电力信息系统网络进行安全防护，包括如下步骤：

1)终端可信认证：基于单包授权身份认证实现终端的可信接入，采用单包认证(Single Packet Authorization，SPA)实现业务系统资源隐身；在客户端未完成单包认证前，系统资源服务器不会响应任何客户端的任何连接，任何客户端发送到单包认证服务器的第一个数据包必须是单包认证，如果服务器收到其他数据包，则断开客户端的连接；

2)流量基线异常检测：在基础认证通过后，用户取得对电力信息系统资源访问的一定权限，在用户对电力信息系统通信的过程中，需对其进行持续的信任评估，持续信任评估是零信任网络安全防御最核心的环节之一，其功能是为上层动态访问控制决策引擎提供访问终端的授权策略的依据，持续信任评估是将用户业务访问流量进行基于基线的异常分析，通过分析流量数据包基础特征和行为特征与用户历史行为作对比，分析出用户的行为是否可信，通过采集用户历史流量数据，训练出用户流量基线，解析用户实时流量数据，分析其流量行为特征，作为异常检测的凭据；

3)基于信任值的动态访问控制：在经过了对用户基础身份认证，用户访问业务流量异常流量检测后，基于历史行为特征，给出用户的信任度，基于信任度动态地对用户进行最小权限授权。

本申请提出了一种基于零信任机制的电力信息网络终端安全防护框架，并从终端可信认证、流量基线异常检测、用户动态访问控制三方面对电力信息系统网络进行安全防护。

基于零信任机制“从不信任并始终验证”的观点，在保证设备信任、用户可信、应用可信、流量可信的前提下，对用户在电力信息系统访问网络终端中行为进行实时持续监测，先认证后授权，构建一种基于零信任机制的电力信息网络安全防护框架，从终端可信接入、网络流量异常评估、动态访问控制三方面进行电力信息系统零信任安全框架的设计。

首先，基于零信任思想，提出了一种基于单包授权身份认证方案，有效提高了用户访问电力信息系统业务时的匿名性和保密性，并保证了电力信息系统的安全性，该方案实现了电力信息系统资源隐身和终端可信接入。

其次，提出一种基于基线的电力信息网络异常检测方法，利用信息熵和改进k-means算法进行流量特征提取，其中，k-means是一种实现简单、效果突出的聚类分析方法，但是k-means算法的缺点也很明显，比如聚类的最终结果依赖于初始簇的个数、初始簇中心点的选取是随机的、离群点对整个聚类过程产生的影响难以避免，这使得聚类结果往往不是最优的，因此需要对k-means算法进行改进。利用聚类算法训练出流量基线，将异常流量将与正常流量基线进行区分，从而检测出异常流量。

最后，设计了基于信任值的动态访问控制。在经过了对用户基础身份认证后，用户访问业务流量异常流量检测，基于历史行为特征，给出用户的信任度，基于信任度动态地对用户进行最小权限授权。防止了电力信息系统内部的横向攻击和内部人员的误操作，提高了电力信息系统的网络异常检测能力，保证了电力信息系统稳定、安全运行。

上述步骤1)中，单包认证客户端请求服务端认证过程，包括如下步骤：

1.1)电力终端上线后，客户端进行初始化，与服务端协商加密算法、密钥和HMAC密钥，客户端创建一个单包认证请求数据包，其中包括设备ID、协议和端口、允许访问的公共IP、数字签名及几个网络相关字段，此数据包被加密并使用UDP数据报发送到SPA服务器，请求访问系统业务资源；

1.2)服务端默认情况下禁止任何客户端的请求，当收到客户端的单包认证请求，对数据包进行解密，获取HMAC与服务器本地信息进行验证，验证签名并通过执行身份验证和授权脚本检查用户是否被授权，当认证通过，服务器生成临时的防火墙策略，允许客户接入系统资源，当认证不通过，服务器丢弃客户端的所有数据包，并断开客户端的连接；

1.3)服务器向客户端发送一个加密的单包认证响应数据包，其中包含白名单协议和端口以及防火墙例外规则有效的持续时间(例如3分钟)，客户端现在可以自由地与授予的服务正常通信，在指定的持续时间内不需要发送更多的单包认证请求数据包，持续时间到期后，服务器将移除防火墙规则，撤销客户端对服务的网络访问权限；

1.4)如果客户端希望继续通信，那么他们需要再次重复整个过程，为了简化流程，单包认证客户端将在防火墙规则到期之前发送额外的请求，以避免网络流量被单包认证服务器丢弃，如果单包认证客户端没有收到来自服务器的响应，它将尝试重新发送请求(默认情况下，总共3次)，这减轻了数据包丢失时的情况，客户端会认为SPA服务器没有监听流量或者用户没有被授权，不成功则立即退出。

上述步骤2)中，流量基线异常检测，利用信息熵和改进k-means算法进行流量特征提取，利用聚类算法训练出流量基线，将异常流量将与正常流量基线进行区分，从而检测出异常流量。

上述步骤2)中，流量基线异常检测，包括如下步骤：

2.1)基于信息熵，去除冗余的数据和流量样本属性；

2.2)对k-means算法进行改进，提取出流量样本数据的最佳特征子集，从而提高异常检测的准确率，提高了检测的运行效率；

2.3)利用聚类算法从网络流量时序构建设备访问行为基线，将实时流量数据对比正常设备访问行为基线比较，从而检测出异常流量，实现了电力信息系统流量异常检测。

上述步骤2.1)描述流量基线的流量特征有：源目的IP地址、协议和端口等，根据信息熵描述流量基线的计算方式，流量源IP地址看作样本事件，将电力信息系统网络流量数据包按照数量为200个为单位进行样本划分，统计某个样本源IP地址发生包的数量，第i个单位源IP地址的熵值C_i(W)可以计算为：

n_i代表某特征属性在总样本出现的次数，样本W＝{n_i,(i＝1,2…,n)}，这里的S等于200，通过需要计算的流量属性的各个熵值，就可以反映出当前网络流量在该流量属性的分布情况；至此，电力信息系统通信流量每个属性特征均能根据信息熵进行数值定量处理，对于熵值大的特征属性，表示捕获的流量数据越不稳定，越不能代表流量基线，所以可以分析各个流量数据属性进行取舍分析。

上述步骤2.2)中，对k-means算法进行改进的过程包括：

(1)避免离群点的影响：计算流量样本集中每个样本数据的紧密性，设置紧密性阈值，去除低于阈值的样本数据，避免了离群点被随机选择成为聚类中心，从而影响的聚类结果；

(2)聚类中心的选取：通过样本的紧密性，将紧密性高的样本选作为初始的簇中心，计算其他样本点与初始聚类中心的距离，距离值最大的点选作为下一个簇中心，重复这个过程，选出k个簇中心；

(3)计算每个点到每个簇中心的距离：每个点选择距离最小的聚类中心进簇后聚类，直到整个聚类收敛，将紧密性低的点加入聚类计算，整个聚类过程结束。

上述步骤2.2)中，对k-means算法进行改进后算法如下：

样本紧密性的计算：

M_n表示样本x_i周围距离值n最小的样本点的个数；

去除离群点阈值的计算：根据上述公式得出紧密性，给各个点的机密性进行排序，阈值可以表示为：

把样本集X＝{x₁,x₂,…,x_n}紧密性值最大的点选取为初试聚类样本点，根据k-means算法继续选取K个聚类中心，根据下面公式进行聚类计算：

每个样本都分配好簇后，对簇内各样本进行均值计算，重新选出每个簇的簇心s_i，不断重复计算，直到收敛函数方差值最小：

其中，μ_i为簇s_i的均值向量，E为所有样本数据的平方误差和；

最后将紧密性低的点加入聚类计算。

上述步骤3)中，动态访问控制是通过接收下层持续信任评估用户相关评估信息，基于最小权限授予策略，基于基础身份信任度、历史访问行为、动态行为信任度进行动态授权评价，是用户访问电力信息资源控制层的核心；动态访问控制策略库包括身份信息库、权限数据库、终端风险信息库和决策数据库，通过大数据分析和人工智能技术，对用户行为持续评估，动态访问控制策略库为用户提供授权决策依据。防护组件包括：访问决策代理、信任度量数据库和动态访问控制引擎。

在电力信息网络中，动态访问控制是指用户访问电力信息系统资源，通过对用户基础身份认证后，用户访问业务流量异常流量检测，基于历史行为特征，给出用户的信任度，基于信任度动态地对用户进行授权的过程。

终端接入电力信息系统首先要信息身份ID、密码认证，提交相应的访问请求，基于单包授权对用户身份初始评估，在单包授权后，具体的动态访问控制包括如下步骤：

1)用户尝试访问电力信息系统，基础身份认证组件基于用户提交的身份认证信息进行验证，当用户登录成功，用户终端将发送单包认证数据包，单包认证认证组件对数据包进行解密，单包认证组件将获取用户身份信息字段与事先同步的身份信息比对，对比成功，给予用户初始信任值对应的访问权限，反之，断开用户的连接；

2)通过基础身份认证、单包认证后，信任评估组件将对用户访问行为进行持续的评估，将用户访问受控电力信息业务机的通信流量进行解析，与流量基线进行聚类，在信任度量数据库中查询用户的历史行为数据，将计算的信任值发送给策略执行点；

3)策略执行点将信任评估组件发送的用户身份、请求访问资源及权限、用户评估的信任值等信息依照动态访问策略数据库，对用户访问控制进行决策；

4)通过授权的用户将进行资源的访问，未授权的用户请求被拒绝；

5)信任评估组件将持续地进行评估，授权是基于最小权限原则进行授权，若用户在资源访问的过程中，出现异常操作，信任度低于设置的阈值，立刻发出告警信息，策略执行点禁止该用户对网络终端的访问。

本发明未提及的技术均参照现有技术。

本发明基于零信任的电力网络安全防护方法，从终端的可信准入、网络流量异常检测、终端对电力信息系统的动态访问控制三方面进行网络安全防护，具有如下有益效果：

1)构建了一种基于零信任机制的网络安全防护框架，采用单包认证技术实现对系统资源隐身，保证终端接入具有很好的安全性和性能。

2)基于信息熵和改进k-means算法对网络流量进行预处理，去除冗余的流量数据信息，择优选出具有最大信息量的特征子集，将实时流量数据与正常设备访问行为基线比较，从而检测出用户异常行为、系统内部的横向攻击和内部人员的误操作。

3)提出了基于信任值的动态访问控制方案框架，该框架包括：基础身份认证、信任值评估、动态访问控制信任值计算和访问决策，针对用户信任值决定用户的访问权限，更好地确保了安全性。

附图说明

图1是本发明基于零信任机制的电力信息网络安全防护框架图；

图2是本发明SPA可信接入交互流程图；

图3是实验分析流量数据时序分布图；

图4是实验分析数据集包长频率分布图；

图5是实验分析数据集功率谱密度图；

图6是本发明基于信任机制的动态访问控制图。

具体实施方式

为了更好地理解本发明，下面结合实施例进一步阐明本发明的内容，但本发明的内容不仅仅局限于下面的实施例。

一、构建一种基于零信任机制的电力信息网络安全防护框架：

基于零信任机制“从不信任并始终验证”的观点，在保证设备信任、用户可信、应用可信、流量可信的前提下，对用户在电力信息系统访问网络终端中行为进行实时持续监测，先认证后授权，构建一种基于零信任机制的电力信息网络安全防护框架，从终端可信接入、网络流量异常评估、动态访问控制三方面进行电力信息系统零信任安全框架的设计。电力信息系统零信任安全框架如1图所示。

1)终端的可信接入：

当终端请求访问主站应用层业务资源时，在取得接入授权前要在可信接入区进行可信身份认证。身份基础认证包括用户ID和密码认证、设备硬件认证、应用哈希认证，以防止接入终端设备假冒或者被劫持。基础身份认证是零信任架构的可信基石。对用户进行多因素身份认证，通过基础身份认证后，需进行单包授权认证，单包授权包将设备信息、应用信息、用户信息组合，利用fwknop实现单包授权，保证了用户在接入电力信息系统前的设备、应用、用户可信。防护组件包括：可信终端环境感知组件、可信表示组件、终端访问代理和微服务访问网关。

2)持续信任评估：

在基础认证通过后，用户取得对电力信息系统资源访问的一定权限，在用户对电力信息系统通信的过程中，需对其进行持续的信任评估，持续信任评估是零信任网络安全防御最核心的环节之一，其功能是为上层动态访问控制决策引擎提供访问终端的授权策略的依据，持续信任评估是将用户业务访问流量进行基于基线的异常分析，通过分析流量数据包基础特征和行为特征与用户历史行为作对比，分析出用户的行为是否可信。通过采集用户历史流量数据，训练出用户流量基线，解析用户实时流量数据，分析其流量行为特征，作为异常检测的凭据。防护组件包括：检测组件和信任评估组件。

3)动态访问控制：

动态访问控制是通过接收下层持续信任评估用户相关评估信息，基于最小权限授予策略，基于基础身份信任度、历史访问行为、动态行为信任度进行动态授权评价，是用户访问电力信息资源控制层的核心。

动态访问控制策略库包括身份信息库、权限数据库、终端风险信息库、决策数据库。通过大数据分析和人工智能技术，对用户行为持续评估，动态访问控制策略库为用户提供授权决策依据。防护组件包括：访问决策代理、信任度量数据库和动态访问控制引擎。

二、设计基于单包授权实现终端可信接入的方案：

该方案采用单包认证(Single Packet Authorization，SPA)技术实现业务系统资源隐身。在客户端未完成SPA前，系统资源服务器不会响应任何客户端的任何连接。任何客户端发送到SPA服务器的第一个数据包必须是SPA，如果服务器收到其他数据包，则断开客户端的连接。

SPA可信接入交互流程如图2所示：

SPA客户端请求服务端认证过程如下：

步骤一：电力终端上线后，客户端进行初始化，与服务端协商加密算法、密钥、HMAC密钥。客户端创建一个SPA请求数据包，其中包括设备ID、协议和端口、允许访问的公共IP、数字签名和几个网络相关字段。此数据包被加密并使用UDP数据报发送到SPA服务器，请求访问系统业务资源。

步骤二：服务端默认情况下禁止任何客户端的请求，当收到客户端的SPA请求，对数据包进行解密，获取HMAC与服务器本地信息进行验证。验证签名并通过执行身份验证和授权脚本检查用户是否被授权。当认证通过，服务器生成临时的防火墙策略，允许客户接入系统资源，当认证不通过，服务器丢弃客户端的所有数据包，并断开客户端的连接。

步骤三：服务器向客户端发送一个加密的SPA响应数据包，其中包含白名单协议和端口以及防火墙例外规则有效的持续时间(例如3分钟)。客户端现在可以自由地与授予的服务正常通信。在指定的持续时间内不需要发送更多的SPA请求数据包。持续时间到期后，服务器将移除防火墙规则，撤销客户端对服务的网络访问权限。

步骤四：如果客户端希望继续通信，那么他们需要再次重复整个过程。为了简化流程，SPA客户端将在防火墙规则到期之前发送额外的请求，以避免网络流量被SPA服务器丢弃。如果SPA客户端没有收到来自服务器的响应，它将尝试重新发送请求(默认情况下，总共3次)。这减轻了数据包丢失时的情况，客户端会认为SPA服务器没有监听流量或者用户没有被授权，不成功则立即退出。

三、基于基线的工业控制网络异常检测方法：

该方法首先基于信息熵，去除冗余的数据和流量样本属性，之后对k-means算法进行改进，针对现有k-means算法的问题，给出合理的改进，提取出流量样本数据的最佳特征子集，从而提高异常检测的准确率，提高了检测的运行效率，最后利用聚类算法从网络流量时序构建设备访问行为基线，将实时流量数据对比正常设备访问行为基线比较，从而检测出异常流量，实现了电力信息系统流量异常检测。

1)信息熵：

描述流量基线的流量特征有：源目的地址IP、协议、端口等。根据信息熵描述流量基线的计算方式，流量源IP地址看作样本事件，将电力信息系统网络流量数据包按照数量为200个为单位进行样本划分，统计某个样本源IP地址发生包的数量，第i个单位源IP地址的熵值C_i(W)可以计算为：

n_i代表某特征属性在总样本出现的次数，样本W＝{n_i,(i＝1,2…,n)}，这里的S等于200。通过需要计算的流量属性的各个熵值，就可以反映出当前网络流量在该流量属性的分布情况。至此，电力信息系统通信流量每个属性特征均能根据信息熵进行数值定量处理。对于熵值大的特征属性，表示捕获的流量数据越不稳定，越不能代表流量基线，所以可以分析各个流量数据属性进行取舍分析。

2)改进k-means算法

改进的k-means算法的基本思路是：

(1)避免离群点的影响。计算流量样本集中每个样本数据的紧密性，设置紧密性阈值，去除低于阈值的样本数据，避免了离群点被随机选择成为聚类中心，从而影响的聚类结果。

(2)聚类中心的选取。通过样本的紧密性，将紧密性高的样本选作为初始的簇中心，计算其他样本点与初始聚类中心的距离，距离值最大的点选作为下一个簇中心，重复这个过程，选出k个簇中心。

(3)计算每个点到每个簇中心的距离，每个点选择距离最小的聚类中心进簇后聚类，直到整个聚类收敛。将紧密性低的点加入聚类计算，整个聚类过程结束。

具体算法如下：

样本紧密性的计算：

M_n表示样本x_i周围距离值n最小的样本点的个数。

去除离群点阈值的计算。根据上述公式得出紧密性，给各个点的机密性进行排序，阈值可以表示为：

把样本集X＝{x₁,x₂,…,x_n}紧密性值最大的点选取为初试聚类样本点，根据k-means算法继续选取K个聚类中心，根据下面公式进行聚类计算。

每个样本都分配好簇后，对簇内各样本进行均值计算，重新选出每个簇的簇心s_i，不断重复计算，直到收敛函数方差值最小。

其中μ_i为簇s_i的均值向量，E为所有样本数据的平方误差和。

最后将紧密性低的点加入聚类计算。

3)基于流量基线异常检测

基于基线的流量异常检测方法是根据流量时序特征去检测网络流量异常。流量时序特征是流量的基本属性，如源目的IP、源端口号、数据包的数量等。基于信息熵和改进的k-means算法对流量数据进行处理，去除冗余的流量特征和流量数据，将正常的流量特征形成属性组合信息，并在网络通信控制器形成属性组合特征流量特征基线。结合聚类的思想，将终端访问业务行为进行基线训练，形成终端访问业务流量的正常状态特征。

流量时序异常检测，根据采集的流量数据，结合信息熵和改进的k-means算法得出，流量最具代表的五个特征有：源目的IP地址、报文协议、数据包数量、报文协议周期、数据包发送方向。根据这五个流量特征形成网络流量时序，并在网络通信控制器形成流量特征基线，以此来对异常流量进行检测，其实具体过程如下。

(1)数据处理基于信息熵和改进的k-means算法选出流量特征最优子集，对各属性特征形成相应的数据码，例如IP地址取最后16位，相应的各属性字段都取相同的位数形成数据组合，将流量时序用(X，A，V)表示，X表示数据特征的最优子集，A表示各流量数据的属性特征，V表示A的具体值。

(2)属性特征分类基于聚类的思想，将每条流量数据划分为二维表中的一个点，采取k近邻算法，给整个流量特征最优子集进行聚类划分，每个簇则表示该流量数据的特征。根据每个聚类簇的样本数量，分析代表流量数据特征的样本属性。

(3)特征属性提取在混合特征选取方法中，我们已经提取出最佳样本子集，在根据属性特征分类，对比每个簇的样本个数，簇样本个数最多的特征最能表示出正常流量的特征，根据网络控制器中建立基线模型，电力信息系统设备之间通信流量相对稳定，设备每天的业务量一般呈现出周期性，这一点是该方案可行性的保证。在电力信息系统产生的实时流量数据与训练的流量基线相对比，如果聚类出离群点，则表示流量异常。

4)实验分析

电力系统终端业务一般为轮询、诊断、周期性刷新等，本文实验采用WebField JX-300XP实验平台真实网络流量数据。在工程师站，利用Wireshark抓包捕获工控系统终端业务通信流量数据，该抓包软件能解析出网络流量的IP五元组等实验所需的数据信息，且在流量捕获的过程中不会对工控系统正常业务通信产生影响。数据集统计信息如下表：

电力系统传输协议大多采用UDP广播形式。由表可见，UDP流量比占95.3％，剩余的4.7％流量占比大多是基于ICMP协议进行数据通信。数据包速度和字节传输速率较低，下面对通信流量数据流量时序、包长分布、网络流量周期性进行研究分析。

(1)数据时序分析

流量时序分析是通过单位时间所捕获的流量随时间增加所呈现的规律分布。通过分析字节的传输速率来检测异常，图3统计了1200秒的流量时序分布。纵轴上代表的是流量数据信息，横轴是时间，单位为秒。

(2)包长分布

通过wireshark解析网络流量数据包，分析了S7COMM、Modbus等协议的数据包长度。在数据集中，Modbus协议功能码有四种读线圈寄存器(Read Coils)、读取离散量输入(Read Discrete Inputs)、读输入寄存器(Read Input Registers)、写多线圈寄存器(Write Multiple Coils)。每种协议功能码信息见下表：

如上所述，工控网络数据包长度相对小且固定，常见的数据包长度为：65、67、76、80、85、87、101、327、353bit等。数据包长度虽然有所偏差，但是数据包长频率分布规律性明显，通过训练数据包长度基线模型，可以对网络异常起到检测的作用。当数据包出现与观测数据包长基线以外的数据包，应该判定为异常，上报上层动态访问控制器进行决策。数据集包长频率分布图如图4所示。

(3)网络流量周期性

周期性是指网络流量随时间表现出某种周期性的变化，基于图3所示流量表现出一定的周期性，这里引入功率谱密度的概念进行基线统计，功率谱密度(power spectraldensity，PSD)为流量时序经傅里叶变换后的平方，流量数据集的功率谱密度如图5所示。

由图可知，功率谱密度每0.15Hz出现一次波峰，可根据功率谱密度算出流量时序的周期为6.66秒，周期等于频率的倒数。这反映了该产生该流量数据集的终端业务状态。由此可建立流量基线进行流量的异常检测。

四、电力信息终端动态访问控制设计：

动态访问控制流程如图6所示。

终端接入电力信息系统首先要信息身份ID、密码认证，提交相应的访问请求，基于单包授权对用户身份初始评估，在单包授权后，具体的动态访问控制如下所示。

1)用户尝试访问电力信息系统，基础身份认证组件基于用户提交的身份认证信息进行验证，当用户登录成功，用户终端将发送SPA数据包，SPA认证组件对数据包进行解密，SPA组件将获取用户身份信息字段与事先同步的身份信息比对，对比成功，给予用户初始信任值对应的访问权限，反之，断开用户的连接。

2)通过基础身份认证、SPA认证后，信任评估组件将对用户访问行为进行持续的评估，将用户访问受控电力信息业务机的通信流量进行解析，与流量基线进行聚类，在信任度量数据库中查询用户的历史行为数据，将计算的信任值发送给策略执行点。

3)策略执行点将信任评估组件发送的用户身份、请求访问资源及权限、用户评估的信任值等信息，策略执行点根据动态访问策略数据库，对用户访问控制进行决策。

4)通过授权的用户将进行资源的访问，未授权的用户请求被拒绝。

5)信任评估组件将持续地进行评估，授权是基于最小权限原则进行授权。若用户在资源访问的过程中，出现异常操作，信任度低于设置的阈值，立刻发出告警信息，策略执行点禁止该用户对网络终端的访问。

Claims

1.一种基于零信任的电力网络安全防护方法，其特征在于：从终端可信认证、流量基线异常检测、基于信任值的用户动态访问控制三方面对电力信息系统网络进行安全防护，包括如下步骤：

1)终端可信认证：基于单包授权身份认证实现终端的可信接入，采用单包认证实现业务系统资源隐身；在客户端未完成单包认证前，系统资源服务器不会响应任何客户端的任何连接，任何客户端发送到单包认证服务器的第一个数据包必须是单包认证，如果服务器收到其他数据包，则断开客户端的连接；

2)流量基线异常检测：在基础认证通过后，用户取得对电力信息系统资源访问的一定权限，在用户对电力信息系统通信的过程中，需对其进行持续的信任评估，持续信任评估是将用户业务访问流量进行基于基线的异常分析，通过分析流量数据包基础特征和行为特征与用户历史行为作对比，分析出用户的行为是否可信，通过采集用户历史流量数据，训练出用户流量基线，解析用户实时流量数据，分析其流量行为特征，作为异常检测的凭据；

3)基于信任值的动态访问控制：在经过了对用户基础身份认证、用户访问业务流量异常流量检测后，基于历史行为特征，给出用户的信任度，基于信任度动态地对用户进行最小权限授权。

2.如权利要求1所述的基于零信任的电力网络安全防护方法，其特征在于：步骤1)包括如下步骤：

1.1)电力终端上线后，客户端进行初始化，与服务端协商加密算法、密钥和HMAC密钥，客户端创建一个单包认证请求数据包，其中包括设备ID、协议和端口、允许访问的公共IP、数字签名及几个网络相关字段，此数据包被加密并使用UDP数据报发送到单包认证服务器，请求访问系统业务资源；

1.3)服务器向客户端发送一个加密的单包认证响应数据包，其中包含白名单协议和端口以及防火墙例外规则有效的持续时间，客户端现在可以自由地与授予的服务正常通信，在指定的持续时间内不需要发送更多的单包认证请求数据包，持续时间到期后，服务器将移除防火墙规则，撤销客户端对服务的网络访问权限；

1.4)如果客户端希望继续通信，那么他们需要再次重复整个过程，为了简化流程，单包认证客户端将在防火墙规则到期之前发送额外的请求，以避免网络流量被单包认证服务器丢弃，如果单包认证客户端没有收到来自服务器的响应，它将尝试重新发送请，这减轻了数据包丢失时的情况，客户端会认为单包认证服务器没有监听流量或者用户没有被授权，不成功则立即退出。

3.如权利要求1或2所述的基于零信任的电力网络安全防护方法，其特征在于：步骤2)中，流量基线异常检测，利用信息熵和改进k-means算法进行流量特征提取，利用聚类算法训练出流量基线，将异常流量将与正常流量基线进行区分，从而检测出异常流量。

4.如权利要求3所述的基于零信任的电力网络安全防护方法，其特征在于：步骤2)包括如下步骤：

2.1)基于信息熵，去除冗余的数据和流量样本属性；

2.2)对k-means算法进行改进，提取出流量样本数据的最佳特征子集；

5.如权利要求4所述的基于零信任的电力网络安全防护方法，其特征在于：步骤2.1)根据信息熵描述流量基线的计算方式，流量源IP地址看作样本事件，将电力信息系统网络流量数据包按照数量为200个为单位进行样本划分，统计某个样本源IP地址发生包的数量，第i个单位源IP地址的熵值C_i(W)可以计算为：

n_i代表某特征属性在总样本出现的次数，样本W＝{n_i,(i＝1,2···,n)}，S等于200，通过需要计算的流量属性的各个熵值，就可以反映出当前网络流量在该流量属性的分布情况；至此，电力信息系统通信流量每个属性特征均能根据信息熵进行数值定量处理，对于熵值大的特征属性，表示捕获的流量数据越不稳定，越不能代表流量基线，分析各个流量数据属性进行取舍分析。

6.如权利要求4所述的基于零信任的电力网络安全防护方法，其特征在于：步骤2.2)中，对k-means算法进行改进的过程包括：

(1)避免离群点的影响：计算流量样本集中每个样本数据的紧密性，设置紧密性阈值，去除低于阈值的样本数据；

7.如权利要求6所述的基于零信任的电力网络安全防护方法，其特征在于：步骤2.2)中，对k-means算法进行改进后算法如下：

样本紧密性的计算：

M_n表示样本x_i周围距离值n最小的样本点的个数；

把样本集X＝{x₁,x₂,···,x_n}紧密性值最大的点选取为初试聚类样本点，根据k-means算法继续选取K个聚类中心，根据下面公式进行聚类计算：

最后将紧密性低的点加入聚类计算。

8.如权利要求1或2所述的基于零信任的电力网络安全防护方法，其特征在于：步骤3)包括如下步骤：

3.1)用户尝试访问电力信息系统，基础身份认证组件基于用户提交的身份认证信息进行验证，当用户登录成功，用户终端将发送单包认证数据包，单包认证组件对数据包进行解密，单包认证组件将获取用户身份信息字段与事先同步的身份信息比对，对比成功，给予用户初始信任值对应的访问权限，反之，断开用户的连接；

3.2)通过基础身份认证、单包认证后，信任评估组件将对用户访问行为进行持续的评估，将用户访问受控电力信息业务机的通信流量进行解析，与流量基线进行聚类，在信任度量数据库中查询用户的历史行为数据，将计算的信任值发送给策略执行点；

3.3)策略执行点将信任评估组件发送的用户身份、请求访问资源及权限、用户评估的信任值信息依照动态访问策略数据库，对用户访问控制进行决策；

3.4)通过授权的用户将进行资源的访问，未授权的用户请求被拒绝；

3.5)信任评估组件将持续地进行评估，授权是基于最小权限原则进行授权，若用户在资源访问的过程中，出现异常操作，信任度低于设置的阈值，立刻发出告警信息，策略执行点禁止该用户对网络终端的访问。