基于三角模糊數序貫博弈的電網安全研究

洪 超,施宇鋒,匡曉云,許愛東,張宇南

(1.南方電網科學研究院有限責任公司,廣東 廣州 510663;2.浙江騰瓏網安科技有限公司,浙江 杭州 311225)

0 引言

智能電網是關鍵信息基礎設施。因此,智能電網監控系統攻防研究具有十分重要的戰略意義和現實意義。

近年來,智能電網網絡安全事件頻發,黑客或敵對勢力利用智能電網中工藝、參數以及操作等漏洞,攻擊電網物理生產裝置并導致電網癱瘓[1]。2015年,烏克蘭電力系統遭受BlackEnergy攻擊,導致大面積停電、約140萬人受到影響[2]。2016年,Industroyer病毒利用電力協議實現對斷路器的控制,使得電網級聯故障,甚至造成設備損壞[3]。文獻[4]提出通過挖掘IEC 61850協議脆弱性,可以實現電網攻擊。雖然針對智能電網攻擊事件的研究已經有很多,但是使用博弈理論和策略方法對智能電網的攻防研究很少。

博弈論是研究多個個體或團隊之間在特定條件制約下尋求最優策略的理論,廣泛應用于網絡安全攻防行為策略研究。文獻[5]構建基于Q學習算法的網絡狀態轉移與演化博弈方法,以有效識別電網調度網絡安全態勢感知。文獻[6]針對智能電網信息和物理博弈,提出了一種貝葉斯序貫博弈模型,根據序貫博弈樹得到博弈雙方攻擊者的最優攻擊策略和防護者的最優防護策略。文獻[7]提出三角模糊數的博弈算法,以提高網絡攻防評估結果的準確性和有效性。

本文研究智能電網工控網絡安全博弈時,針對博弈雙方網絡安全屬性難以用精確數值表示的問題,提出了一種將三角模糊數應用到序貫博弈的算法,得到智能電網網絡安全攻防雙方最優攻防策略,從而保障智能電網網絡安全運行和防護。首先,本文結合智能電網網絡攻防雙方特點,構建網絡攻防輪流策略的序貫博弈模型。接著,本文采用三角模糊數攻防效用權益方法對網絡安全屬性進行模糊化處理,從而得到序貫博弈最優攻防策略。最后,本文對智能電網網絡安全博弈進行仿真試驗,驗證了模型和算法的準確性及有效性。

1 智能電網序貫博弈模型

智能電網由數據采集和監控、遠程終端、繼電保護裝置、故障錄波以及一次設備等組成,實現對電網遙測、遙信、遙控、遙調等調度和電力輸送。當前,由電網工控網絡脆弱性引起的惡意事件越來越多,但對智能電網攻擊和對應的防護策略研究較少。因此,使用博弈理論分析智能電網安全以及電網攻防策略的研究具有創新意義。智能電網博弈由攻擊者、防御者、安全防御機制等組成。攻擊者和防御者根據電網變化調整自身的策略,選擇對自身收益最大的策略進行博弈。智能電網安全博弈如圖1所示。

圖1 智能電網安全博弈圖

智能電網通過序貫博弈進行攻擊和防御博弈。其中:Ua、Ud分別為攻擊者和防御者功效收益集;ai、dj分別為攻擊者、防御者策略。

1.1 智能電網博弈模型

博弈模型是一個四元組G=。博弈雙方參與者集為P=(Pa,Pd)。其中:Pa為攻擊者;Pd為防御者。攻防動作集為A=(Aa,Ad)。攻擊動作集為Aa=a1,a2,…,ai;防御動作集為Ad=d1,d2,…,dj。博弈雙方攻擊者和防御者全部策略集為S=(Sa,Sd)。博弈雙方攻擊者和防御者獲得功效收益集為U=(Ua,Ud)。攻擊者和防御者策略收益不同。

①系統損失(system damage,SD)指博弈雙方攻防對目標系統資源造成的損害程度,通常由可用性A′a、完整性Ia、機密性Ca組成。

(1)

式中:ρe為被攻擊者利用概率的屬性;ωa、ωi、ωc分別為可用性、完整性、機密性屬性的代價權重系數,ωa+ωi+ωc=1;m為攻擊數量;Sd為SD;d為博弈樹深度。

②攻擊成本(attack cost,AC)指攻擊者為發現和利用攻擊需要消耗的成本。不同水平的攻擊者使用同一資源消耗的成本不同。攻擊成本Ac主要是攻擊操作成本Ao。

Ac(a)=Ao(a)

(2)

③防護成本(defence cost,DC)指目標系統受到攻擊采取的防護策略需要消耗的成本。防護成本Dc主要是防護操作成本Do。

Dc(d)=Do(d)

(3)

④攻擊效用(attack effect,AE)指攻擊者對目標系統造成的損害程度。攻擊效用Ua(a)為:

Ua(a)=Sd(a)+Ac(a)

(4)

⑤防護效用(defence reward,DR)指目標系統遇到攻擊時采取的防護策略獲得的收益。防護效用Ud(d)為:

Ud(d)=Sd(a)+Dc(d)

(5)

1.2 智能電網序貫博弈模型

智能電網安全博弈是攻擊者和防御者之間的雙人博弈。博弈參與者決策有先有后。后決策的參與者知道先決策的參與者做出的決策。這種決策稱為序貫博弈。攻擊者和防御者之間輪流選擇策略,可以用博弈樹表示。

序貫博弈攻擊效用Ua(a)和防護效用Ud(d)是系統損失Sd加上攻擊者或防御者收益。

(6)

序貫博弈雙方攻擊者和防御者策略集合為S′=(A′a,A′d)。

由于序貫博弈攻擊者和防御者輪流采取策略,當攻擊者策略為A′a且博弈方為攻擊者時,博弈行為收益是博弈樹深度d乘以攻擊者成本;當博弈方為防御者時,博弈行為收益為負的博弈樹深度d乘以防御者成本;當防御者策略為A′d且博弈方為攻擊者時,博弈行為收益是0;當博弈方為防御者時,博弈行為收益為博弈樹深度d乘以防御者成本。

納什均衡存在性為:博弈四元組G=有n個博弈方,如果n有限,則每個博弈方策略集合Si有限。該博弈至少有一個納什均衡,而且不是純策略納什均衡就是混合策略納什均衡[6,8]。

因此,智能電網博弈可以用攻擊者和防御者的概率來確定納什均衡解,并確定攻擊者和防御者的類型。

1.3 三角模糊數算法

攻擊者和防御者的攻防雙方SD很難用確定的計算式計算,因此,本文引入三角模糊數的方法。本文通過攻防雙方的網絡安全屬性值來獲得三角模糊數,進而非模糊化確定SD。

三角模糊數為M(l,m′,u)(0

(7)

式中:m′為三角模糊數M的主值;l為三角模糊數M的下界;u為三角模糊數M的上界。

三角模糊數M的下限為(m′-l)、上限為(m′-u)。(u-l)的值越大,則表示三角模糊數M的模糊程度越大。在網絡攻防環境下,三角模糊數上界u和下界l分別表示攻防參與者對收益的最大可能值和最小可能值,則m′為最可能值。

p=(pl,pm′,pu)用于表示三角模糊數M的概率。本文根據l、u與m′的偏離程度,確定m′的可能性,即m′的可能性為l的倍數N。同時,m′的可能性為u的倍數。三角模糊數概率為pl、pm′、pu。

(8)

式中:pl+pm′+pu=1,pl>0,pm′>0,pu>0。

序貫博弈攻防SD使用三角模糊數轉化為非模糊化的三角模糊數M的均值來表示。由M的概率可得均值E(M)。

E(M)=pl×l+pm′×m′+pu×u

(9)

2 三角模糊數序貫博弈算法

序貫博弈各方的決策不是同時進行,而是按一定順序選擇戰略,并實施最優策略。因此,本文序貫博弈基于博弈樹由攻防雙方依次輪流采取策略。攻防雙方先后采取一次行動后,用所構成的一組新的子博弈來計算。計算方法采用博弈樹逆向歸納法。序貫博弈數值可以用攻防效用(即系統損失Sd加上攻擊者或防御者收益)求得。

三角模糊數序貫博弈算法步驟如下。

①初始化。

本文初始化可用性、完整性、機密性的權值ωa、ωi、ωc。同時,博弈樹攻擊者和防御者效用初始化為(0,0)。

②建立序貫博弈樹。

根據序貫博弈四元組G=建立博弈樹。每個博弈樹深度決策節點依次表示攻擊者和防御者。每個決策節點分支表示攻擊者或防御者的策略。d≥0。

③建立三角模糊數和非模糊均值。

根據式(7)～式(9),計算三角模糊數、模糊概率分布和非模糊數均值,確定系統損失Sd值。

④建立序貫博弈攻擊者或防御者效用。

以清晰化的均值作為SD,加上攻擊者或防御者行為收益,求得博弈樹的每個節點的效用。前者為攻擊者的效用。后者為防御者的效用。

⑤迭代。

代碼如下。

fori=0;i≤d;i++;do

if決策節點為攻擊者輪次then比較后續分支的攻擊者的效用,保留攻擊者效用較大的行為為策略;

end if

if決策節點為防御者輪次then比較后續分支的防御者的效用,保留防御者效用較大的行為為策略;

end if

end for。

3 工控安全三角模糊數序貫博弈仿真

隨著電網工控系統網絡安全威脅日益突出,電網數據采集與監視控制(supervisory control and data acquisition,SCADA)、遠程終端、繼電保護裝置等控制器的公用/私用協議和漏洞機理都有可能誘發攻擊行為。若同時結合工藝業務場景脆弱性以及工藝互鎖等,可能使得電網負荷切投潮流、電壓/電流數據值變化、斷路器/刀閘合閘/跳閘動作以及狀態變位等,從而造成電網臨界狀態轉變、電網設備癱瘓、設備損毀[9-10]。為了驗證本文提出的三角模糊數序貫博弈模型和算法的有效性,本文以智能電網網絡安全模型進行驗證。

通過三角模糊數序貫博弈對智能電網進行攻擊者和防御者策略分析,建立攻防雙方行動空間。其中,電網網絡攻擊者使用遙信欺騙(ars)、控制接管(arc)、工藝互鎖(ate)等策略,不攻擊策略為ano;電網網絡防御者采取工控威脅感知策略(dtp),不防御者策略為dno。本文設智能電網網絡攻擊者AC為ars=3、arc=5、ate=60、ano=0;防御者行動的DC為dtp=4、dno=0。

三角模糊數序貫博弈雙方首先采取攻擊者策略,然后使用防御者策略依次輪流行動,最后采用數值算法進行攻防雙方效用分析。其中:三角模糊數序貫博弈樹攻擊者為實心圓;防御者為空心圓;博弈樹根節點攻防效用初始化為(0,0)。博弈樹高度0層為攻擊者,左側為ars,右側為ano;高度1層為防御者,即dtp和dno;高度2層為攻擊者,即ate和arc。本文根據智能電網序貫博弈樹,通過三角模糊數式(7)～式(9)和表1進行攻防效用計算。

表1 攻防損失效用

本文智能電網的Sd用安全屬性表示,包括可用性、保密性和完整性。其安全屬性權重為ωa=0.3、ωi=0.4、ωc=0.3。由于智能電網的Sd很難用精確數值表示,因此用三角模糊數來表示智能電網SD,以求得攻防效用。每個安全屬性都規定了影響級,分別為嚴重(30～20)、中等(19～10)、輕微(9～0)。不攻擊或不防御時攻防效用為零。計算得到的攻擊模糊化攻防效用值,可使用嚴重、中等、輕微表示。智能電網的攻防損失效用如表1所示。

表2 攻擊者去模糊化的攻防效用

依據去模糊化均值得到Sd,由式(6)可得攻防序貫博弈中的攻擊者效用Ua(a)和防御者效用Ud(d),即(Ua,Ud)。攻防效用如表3所示。

表3 攻防效用

智能電網三角模糊數序貫博弈和貝葉斯序貫博弈,即用逆向歸納法從最后一個決策點開始,找到第一個決策點的最優行動選擇和路徑,并依次找到攻防雙方最優決策。智能電網攻防序貫博弈樹如圖2所示。

圖2 智能電網攻防序貫博弈樹

圖2中,序貫博弈樹有三層:第一層由攻擊者ars和ano進行博弈;第二層由防御者dtp和dno進行博弈;第三層由攻擊者ate和arc進行博弈。

首先,最后決策是攻擊者輪次:左側攻擊者效用為ate和45.83、arc和35、ate和39.83、arc和30.17,則左側攻擊者最優策略和效用是ate和45.83;右側攻擊者最優策略和效用是ate和43.17。

其次,博弈樹深度1是防御者輪次:左側防御者最優策略和效用是dtp和9.83;右側防御者最優策略和效用是dtp和7.17。

最后,博弈樹深度0是攻擊者輪次:左側攻擊者最優策略和效用是ars和45.83;右側攻擊者最優策略和效用是ano和43.17。因此,攻擊者最優效用為45.83。

本文基于貝葉斯序貫博弈模型對智能電網網絡安全進行博弈和均衡策略分析[6]。智能電網攻防貝葉斯序貫博弈樹如圖3所示。

圖3 智能電網攻防貝葉斯序貫博弈樹

通過序貫博弈算法得到攻擊者博弈樹深度為2時:左側攻擊者效用為ate和21、arc和18,則左側攻擊者最優策略和效用是ate和21;右側攻擊者最優策略和效用為ate和18。防御者博弈樹深度為1時:左側防御者最優策略和效用是dtp和-211;右側防御者最優策略和效用是dtp和-208。攻擊者博弈樹高度為0時:左側攻擊者最優策略和效用是ars和21;右側攻擊者最優策略和效用是ate和18。

綜上所述,智能電網安全三角模糊序貫博弈均衡路徑攻擊者的最優策略是ars和ate,防御者的最優策略是dtp;基于貝葉斯序貫博弈最優策略攻擊者是ars和ate,防御者是dtp。引入三角模糊序貫博弈對智能電網進行攻防判定和攻防效用,使得均衡路徑和最優策略優于貝葉斯序貫博弈。

4 結論

本文針對智能電網中的工藝流程、工藝參數等脆弱性引起的物理生產裝置、對象損毀等現象,將三角模糊數理論引入序貫博弈分析模型,解決了難以用精確數值表示攻防雙方損益值的問題,為智能電網攻防策略提供了決策分析方法。首先,本文通過序貫博弈模型研究了SD、攻擊者成本、防御者成本以及攻防效用。其次,本文通過三角模糊數形式和概率分布為網絡攻防博弈SD的判定奠定了基礎。試驗結果表明,智能電網序貫博弈和均衡路徑獲得了攻防雙方最優攻擊策略和最優防御策略,對實際電網安全防護具有一定的指導意義。