基于CML的智能變電站設備節點網絡連鎖失效模型

王 勝，張 頡，唐 超，張凌浩，王 海，唐 勇，柴繼文，鄭永康，鄧 平，曹亮，柯亞文

(1. 國網四川省電力科學研究院，四川成都 610072；2. 國網自貢供電公司，四川自貢 643000；3. 國網甘孜供電公司，四川甘孜 626700； 4. 重慶大學大數據與軟件學院，重慶 400044)

隨著計算機科學和通信技術的發展，傳統變電站的運營形式已無法滿足需求，國家電網提出了發展建設智能電網的目標，國內大量智能變電站的新建和改造工程也正在進行中。相比于傳統的變電站，智能電網中的智能變電站采用了安全、集成度高、環保的設備，站內信息一體化、數字化，通過中國DL/T 860(IEC 61850)標準進行信息共享，建設智能電網已經成為了國家新能源戰略的重要環節[1]。

智能變電站，作為智能電網的核心節點，其安全的重要性自然不言而喻，一旦出現問題，后果可能是災難性的。一些不法分子也可能利用黑客技術竊取智能變電站的相關信息，使國家資產蒙受損失。因此，分析變電站存在的風險，確保智能電網信息安全是重要目標[2]。

智能變電站可能面臨的信息安全風險來自多個方面，包括信息和控制系統的信息安全風險、通信協議方面的信息安全風險、運維信息安全風險和人員信息安全風險，其中信息和控制系統的信息安全風險是關注的主要內容，即由站控層、間隔層操作系統漏洞和部分主流工業控制系統漏洞導致的信息安全風險。

研究詳細闡述了一些關于智能變電站信息安全風險分析的方法和智能變電站信息安全風險分析管理子系統從設計到實現的思路和過程，有助于提高對智能變電站信息安全風險的分析、管理和預警能力。

1 智能變電站信息安全風險

1.1 傳統的信息安全風險概念

信息安全風險是指在信息化建設進程中，各種類型的系統網絡及其中存儲和傳輸的數據信息，由于可能存在的軟硬件、系統集成等各種缺陷，以及信息安全管理流程中潛在的薄弱環節，導致的不同程度的安全風險。

1.2 面向智能變電站的信息安全風險概念

1.2.1 智能變電站基本概念

智能變電站是使用智能設備，能實現信息采集自動化、按標準進行信息共享，同時具備基本的測控、采集、保護等功能的新一代變電站。

智能變電站的總體結構從上而下依次為站控層、站控層網絡、間隔層、過程層網絡和過程層。站控層主要包括遠動站、數據和應用服務器、對時服務器、通信網關等。間隔層主要包括繼電保護裝置、錄波裝置、測控裝置等。過程層主要包括合并單元、智能終端和組件等。兩網：站控層網絡主要實現站控層內部設備間以及站控層和間隔層設備之間的通信。過程層網絡主要實現間隔層設備和過程層設備之間的數據傳輸。

1.2.2 智能變電站的信息安全風險

隨著計算機通信和網絡技術的發展，智能變電站逐漸替代了傳統變電站，成為了變電站未來的發展方向。但在廣闊發展前景的同時，智能變電站的安全問題也逐漸引起關注，來自傳統網絡空間的安全威脅以及有針對性的工控系統攻擊手段已經日益嚴峻地影響到電力系統的信息安全。如何監測、評估、管理智能變電站中存在的漏洞和風險，保證智能變電站的可靠性成為了重要研究內容[3]。研究選擇并改進了基于CML的連鎖故障模型，結合采用CVSS評分標準基于機器學習方法的漏洞評估模型，對智能變電站整體安全風險進行分析評估并給出相應的改進意見。

2 相關工作

2.1 智能變電站信息安全風險分析的傳統方法

隨著電力需求的逐步增長以及國家電網提出建設智能電網的發展目標，幾批國家變電站試點工程的成功使得智能變電站建設中不僅強調技術創新和經濟效益，智能變電站本身的安全和可靠性更是被納入了重要目標。為此，如何利用智能變電站的漏洞信息對其存在的安全風險進行評估也成為重要研究內容。

在實際的智能變電站信息安全風險分析過程中，大多還是利用傳統的信息安全風險評估流程(如圖1所示)，首先識別資產，然后評估威脅和脆弱性，以此得出影響和可能性，最后利用影響和可能性計算風險值[4]。

圖1 傳統風險評估流程Fig1 Traditional Risk Evaluation Process

2.2 引入機器學習后的風險模型選擇

常用的風險及威脅分析方法包括：微軟STRIDE模型、基于風險傳遞網絡的風險評估模型、基于機器學習的安全風險評估，基于CML的連鎖故障評估模型。其中基于機器學習的安全風險評估又包括基于支持向量機(SVM, support vector machine)的評估模型、基于C4.5決策樹評估模型、基于BP神經網絡評估模型、基于樸素貝葉斯的評估模型、基于K近鄰(KNN, k-nearest neighbor)算法的評估模型(如表1所示)。

表1 模型分析

分析以上模型方法的優缺點之后，決定采用基于CML的連鎖故障評估模型應用于智能變電站信息安全風險分析。

3 智能變電站信息安全風險分析方法

在IEC61850標準中，設備節點(LN, logical node)是實現功能的基本單位，同時也是數據對象的容器，變電站的自動化系統功能的實現依賴于不同的設備節點之間的信息交互，而在智能變電站的信息網絡中，設備中的漏洞被利用很容易導致設備節點功能失效，如何分析一個或多個設備節點故障對整個智能變電站網絡帶來的影響，進一步評估對應設備節點乃至其所在設備上存在的信息安全風險正是所要研究的內容[5](如圖2、圖3所示)。

圖2 設備節點Fig.2 Logical Node

圖3 設備節點連接Fig.3 Logical Node Connection

3.1 復雜網絡

3.1.1 概念介紹

復雜網絡，是呈現高度復雜性的網絡，嚴格定義是指具有自組織、自相似、吸引子、小世界、無標度中部分或全部性質的網絡，常被應用于研究現實世界中各種復雜系統的模型建立。目前復雜網絡的研究內容包括以下幾個方向：幾何性質、形成機制、網絡演化、結構穩定性、網絡動力學機制以及多重復雜性融合等問題[6]。

復雜網絡一般具有如下幾種重要性質[6](如圖4所示)。

圖4 復雜網絡Fig.4 Complex Network

1)小世界：該性質表現了一些復雜網絡雖然具有很大規模，但任意2個節點之間總能找到一條較短連通路徑，正如六度空間理論所描述的，地球上任意2個陌生人之間所間隔的人不會超過6個；

2)集群/集聚程度：集聚程度表現了一個網絡的集群化程度，即復雜網絡系統中小網絡的內聚程度以及小網絡之間的聯系；

3)無標度：無標度網絡是指分布嚴重不均勻，較少的節點具有較高的介數，而其余大部分節點介數較低，度分布符合冪律分布，即P(k)～k-γ的網絡稱為無標度網絡(如圖5所示)。

圖5 復雜網絡的度分布Fig.5 Degree distribution of Complex Network

3.1.2 相關知識

復雜網絡可以用一個由點集V和邊集E構成的圖G= (V,E)來抽象表示。圖中的節點為復雜網絡系統中實體的映射，邊則為復雜網絡系統中實體間關系的映射，邊可以有權重和方向，權重表征節點間聯系的緊密程度，方向表征節點間聯系的單向或者多向。

1)度分布：網絡中所有節點v的度；k的平均值稱為網絡的平均值

(1)

2)平均路徑長度：網絡的平均路徑長度L，定義為任意2個節點之間距離的平均值

(2)

(3)

整個網絡的聚類系數C為Ci的平均值。

4)度相關性：度相關性用于描述網絡中節點之間的連接關系，若度較大的節點傾向于連接度大的節點，則稱此網絡是正相關的；否則稱之為負相關的。只需計算頂點度的Pearson相關系數r即可描述網絡的度相關性。

(4)

其中：ji，ki分別表示連接第i條邊的2個頂點j,k的度；M表示網絡的總邊數。

3.2 智能變電站設備節點網絡的性質分析

將智能變電站中設備節點映射為網絡中的節點，設備節點間的數據交互映射為網絡中的邊。經考察，智能變電站設備節點網絡中的平均路徑長度較小，整個網絡的集聚系數較高，符合小世界網絡的特征。同時網絡中設備節點的度分布服從冪律分布，也符合無標度網絡的特征[7]。

可以看出智能變電站的設備節點網絡同時具有小世界和無標度網絡的特征，即網絡中小網絡的內聚程度高，少量的節點具有較高的出入度，大量的節點凝聚在少量的HUB節點周圍。上述對智能變電站設備節點網絡性質的分析為信息安全風險分析模型的選擇建立了基礎。

3.3 基于CML的智能變電站設備節點網絡的連鎖失效模型

CML(coupled map lattice)即耦合映像格子，是日本東京大學純應用科學系Kunihiko Kaneko博士于1984年提出的理論，它是一個將時間、空間進行離散化，狀態保持連續的非線性動力學模型，是近年來一種廣泛應用于研究復雜網絡中的時空動力學行為模型，該理論常用于一些有規則拓撲結構的復雜網絡中，如今在一些具有小世界或無標度網絡的動力學研究中也得到廣泛應用[8-9]。

含有N個節點的有向CML模型如下

(5)

其中：xi(t)表示節點i在t時刻的狀態，如果節點i的狀態一直維持在(0,1)內，則該節點狀態正常；如果節點i在m時的狀態xi(m)≥1，則節點i在m時刻失效，m時刻后該節點狀態均為0。節點間的連接信息可表示為連接矩陣:A= (ai,j)N×N,若有向邊從i到j連接，則ai,j= 1，反之亦然，若2節點之間無連接，則ai,j=aj,i= 0。N1為含有入度的節點個數，N2為含有出度的節點個數；deg+(i)為i節點的入度，deg-(i)為i節點的出度；ε1為i節點的入邊耦合強度，ε2為i節點的出邊耦合強度，ε1,ε2∈(0,1)。f為混沌Logistic映射f(x)=4x(1-x)x∈[0,1]f(x)∈[0,1]。

在CML模型下，網絡中所有節點都按該公式進行演化，若開始時網絡中所有節點都處于正常狀態，且無外部影響因素，那么演化過程中所有節點均將保持正常狀態。

為了模擬設備在遭受攻擊等設備節點失效情況下智能電網的變化情況，考慮對節點i的狀態于時刻m施加一個擾動R≥1，使得該節點在m時刻發生了故障，節點i的狀態變化由下式描述

(6)

施加擾動后，即從下一個時間片m+ 1開始節點i的狀態持續為0，同時m時刻節點i的狀態xi(m)將會影響其所有的鄰節點，并使其鄰節點依照式(4)所描述的方式進行狀態值刷新，而這可能導致鄰節點同樣失效，繼續影響其鄰節點，從而在整個網絡中產生設備節點失效的連鎖反應[10-12](如圖6所示)。

圖6 設備節點連鎖失效模擬Fig.6 Device Nodes Chain Failure Simulation

3.4 其他智能變電站信息安全風險分析方法介紹

3.4.1 基于貝葉斯網絡的風險關聯模型

1986年，美國加州大學教授珀爾(J.F.Pearl)針對不確定性知識提出貝葉斯網絡(Bayesian network)模型。貝葉斯網絡也稱為因果網絡(causal networks)，它是由圖論和概率論結合描述多元統計關系的模型，是可以用貝葉斯概率理論與圖形模式結合起來由有向無環圖(DAG, directed acyclic graph)來表示的模型。

基于貝葉斯網絡的風險關聯模型將貝葉斯網絡與粗糙理論集相結合，基于專家群決策方法來確定智能變電站的風險誘發因素及設備風險，建立決策表,利用粗糙集提取最佳屬性約簡組合;利用貝葉斯網絡技術構建風險關聯關系圖,采用專家知識與伽瑪分布函數聯合確定貝葉斯圖的條件概率分布,并通過融入監測數據的方式對模型進行更新[13-14]。

相比CML智能變電站設備節點連鎖失效模型以設備為基本節點構建網絡，基于貝葉斯網絡的風險關聯模型針對具體變電站設備約簡了相關的風險因素，生成了基于貝葉斯網絡的風險關聯圖，最后逆向分析出風險誘發因素的可能性次序。CML模型主要研究了智能變電站中風險在設備節點之間的傳播，貝葉斯網絡風險模型則是通過概率分布反向分析出風險誘發因素(如圖7所示)。

圖7 貝葉斯網絡方法流程Fig.7 Bayesian network method model

3.4.2 基于風險傳遞網絡的智能變電站風險評估模型

該方法是結合復雜網絡理論和風險傳遞理論，鑒于二次系統中設備和功能的連接關系，定義網絡風險元素，并考慮網絡元素間的相互影響，構建二次系統風險傳遞網絡并建立了一套評估二次系統風險的指標體系。具體流程如圖8所示：通過建立待評估二次設備的風險網絡，構建網絡功能關聯矩陣，求出節點度、主體度等相關網絡參數，對基本主體集失效概率和損失進行分析，得到基本主體集風險，最后根據基本主體集風險求出系統級和設備級的其他風險指標[15]。

圖8 風險評估流程圖Fig.8 Flowchart of Risk Assesment

與基于CML的智能變電站設備節點網絡連鎖失效模型中的設備節點網絡相似，基于風險傳遞網絡的智能變電站風險評估模型也構建了二次設備的風險傳遞網絡，2個網絡均涵蓋了智能變電站“三層兩網”結構中的所有設備，不同之處在于CML的設備節點網絡選用了耦合映像格子作為風險傳遞模型，而基于風險傳遞網絡的二次設備網絡則是選用了常用于金融行業的風險傳遞模型并制定了風險體系指標用于評估智能變電站系統和設備的風險[16-17]。

4 結 論

傳統的變電站漏洞掃描信息以分散的報告形式組成，不方便用戶從中讀取整體風險信息，而且沒有以數據庫形式裝載數據，不方便進行管理。

利用web技術實現的基于CML的設備節點網絡連鎖失效風險模型的智能變電站信息安全風險分析管理系統是為了方便變電站工作和管理人員對變電站信息安全風險信息管理而開發的一款原型系統，通過此系統可以對站內設備信息安全風險信息進行分析和管理，得出基于CML設備節點網絡連鎖失效風險模型計算出的各個變電站的風險評分，使用戶更直觀查看變電站漏洞數據，使管理人員在處理變電站漏洞時更有針對性。