电力物联网终端非法无线通信链路检测方法

电力物联网终端非法无线通信链路检测方法[1];;;[1];;;[1];;;[1];;;[1];;;内容摘要分布于电力系统各处的配用电终端及输电系统在线监测物联网终端多采取2G的通信无线分组业务〔GPRS〕，通过电信效劳商的无线虚拟专网通信，存在接入非法无线通信链路的安全风险。虽然3G和4G支持双向身份认证，可避免接入非法无线通信链路，但在物联网终端向下兼容特性影响下，相关风险在支持GPRS的通信物联网终端退出运行前将始终存在。针对电力物联网终端可能接入非法无线通信链路的问题，利用电力物联网终端和通信基站均为固定位置部署、物联网终端感悟的合法通信基站信号强度具有一样变化趋势的特点，将真、伪通信基站在信号强度变化形式上的差别性特征用作无线通信基站的特征指纹，提出基于基站信号强度历史曲线密度聚类的非法无线通信链路检测方法。数值仿真表示清楚所提方法可在有限计算资源和通信资源的约束下、在设置的时间窗内有效甄别非法无线通信链路，提升电力物联网终端的安全防护水平。[1];;;[1];;;[1];;;[1];;;[1];;;本文关键词语：非法无线通信链路；信号强度；聚类分析；无线虚拟专网[1];;;[1];;;[1];;;[1];;;[1];;;0引言[1];;;[1];;;[1];;;[1];;;[1];;;建立泛在电力物联网，在海量数据的支撑下实现物理、商业和信息的互联与互动，是适应高比例可再生能源接入和电力市场化改革需要、推动能源转型的主要基础[1]。电力系统中广泛部署的物联网终端可有效促进电网生产运行全经过的全景感悟、信息融合及智能管理与决策，但也带来了突出的网络安全风险[2]。[1];;;[1];;;[1];;;[1];;;[1];;;电力系统中得到广泛应用的配用电终端和输电系统在线状况监测终端数量庞大、分布广泛，为保障终端可靠接入，一般采取由电信效劳商提供的覆盖广阔区域的移动无线网络通信，在无线通信和公用网络通信环节安全风险突出[3-4]。为防备相关风险，配用电终端一般采取嵌入式安全控制模块〔EmbeddedSecureAccessModule，ESAM〕安全芯片对上报数据和接收的指令进行对称加/解密，经无线通信基站接入后，再利用电信效劳商提供的虚拟专网与业务系统后台〔配电子站/主站及计量主站〕进行双向通信[5-6]。电力物联网终端普遍采取的通信无线分组业务〔GeneralPacketRadioService，GPRS〕技术仅支持对通信终端的单向认证，可能接入伪基站并建立非法无线通信链路、遭中间人等方式攻击毁坏，以至如文献[7]所述被注入恶意代码。当大量配用电物联网终端遭恶意控制时，敌对组织攻击毁坏可能使负荷剧烈变化，造成电网运行状况的大幅波动，威胁电网安全并造成大量用户停电[8-9]。[1];;;[1];;;[1];;;[1];;;[1];;;在物联网终端安全通信领域，当前国内外重要发展了5G和Lora等通信协议。由于要保障分布在辽阔地域上的配用电终端可靠接入，当前采取的重要还是由电信效劳商提供的2G/3G/4G通信效劳[10-11]，将来将逐步过渡到5G通信。一般以为只要2G通信退网或采取支持双向身份认证的3G/4G通信，即可釜底抽薪、杜绝配用电终端接入非法无线链接的风险。实际上，由于配用电终端按向下兼容设计，往往同时支持2G/3G/4G通信，攻击方只要干扰屏蔽3G/4G通信，仍可迫使物联网终端退回2G通信后遂行攻击。即使2G退网也不足以避免配用电终端接入伪基站，只要终端不再支持2G通信，能力消除接入伪基站的风险。而最新的研究表示清楚，4G通信也同样存在潜在的安全风险[12]。因而，有需要研究合适电力物联网终端的非法无线通信链路辨别方法。[1];;;[1];;;[1];;;[1];;;[1];;;本文借鉴体感物联网领域基于人体姿态调整导致终端信号强度周期性变化的规律来实现物联网终端身份认证的方法，利用配用电终端感遭到周边合法无线基站的信号强度具有相近变化规律而伪基站信号具有突变性的差别性特征，提出将真、伪通信基站在时间窗内信号强度时间序列用作无线通信基站的特征指纹，通过基于基站信号强度历史曲线密度聚类实现非法无线通信链路检测。[1];;;[1];;;[1];;;[1];;;[1];;;1物联网终端通信认证机制与攻击检测[1];;;[1];;;[1];;;[1];;;[1];;;1.1配用电物联网终端网络通信[1];;;[1];;;[1];;;[1];;;[1];;;除具有遥控功能的配电终端和变电站计量终端采取专用光纤通信外，绝大多数配用电物联网终端都采取电信效劳商提供的无线虚拟专网通信，其架构示意如此图1所示。由图可见，系统分为无线接入网、数据传输网和电力核心网三层，各层功能如下[5-6]：[1];;;[1];;;[1];;;[1];;;[1];;;〔1〕无线接入网经2G/3G/4G无线传输形式实现电力终端与运营商网络之间的通信，加密传输上报数据与下发指令。因GPRS通信缺乏双向身份认证，存在接入伪基站非法无线链接的安全风险。[1];;;[1];;;[1];;;[1];;;[1];;;〔2〕数据传输网实现电信运营商与电力系统接入终端之间的电力业务数据通信传输，采取虚拟专用网络〔VirtualPrivateNetwork，VPN〕技术保障数据传输网通信安全。电力行业采取第二层隧道协议〔Layer2TunnelingProtocol，L2TP〕构建虚拟专网，并在L2TP之上采取通道加密、端对端数据加密或应用层数据加密等方案来提升数据安全性[4，6]。[1];;;[1];;;[1];;;[1];;;[1];;;〔3〕电力核心网为供电企业内部网，实现接入终端与后台效劳器的数据传输。利用防火墙进行网络隔离，并部署入侵检测系统提升防护水平。[1];;;[1];;;[1];;;[1];;;[1];;;配用电物联网终端采取ESAM加密上报数据，经无线虚拟专网上报至主站侧；主站侧根据终端编码查询对应密钥解密后存入数据库。主站下发控制指令时，由加密机按终端编码对应密钥加密，下发至配用电终端后再解密履行[13]。[1];;;[1];;;[1];;;[1];;;[1];;;1.2配用电物联网终端的通信认证机制[1];;;[1];;;[1];;;[1];;;[1];;;配用电物联网终端联网通信时，会根据无线基站通信质量〔信噪比等〕不定期选择接入的基站。终端附着经过中，首先向基站发送附着恳求，收到鉴定回应后发送终端身份标识码和国际设备辨别码，在基站侧进行鉴权认证和位置更新等，完成终端附着经过后，激活分组数据协议上下文，实现终端与基站间的数据传输[10]。[1];;;[1];;;[1];;;[1];;;[1];;;通用无线分组业务GPRS通信形式仅具备无线基站对终端的单向鉴权，配用电物联网终端可能接入伪基站并遭恶意攻击。利用伪基站进行攻击毁坏时，首先可侦测目的小区载波信息；然后采取较高的发射功率在目的小区特定频段范围发射与运营商一样设置的系统广播信息，迫使终端小区重选接入伪基站[10]。[1];;;[1];;;[1];;;[1];;;[1];;;针对无线通信物联网终端的非法无线通信链路检测问题，国内外学者从无线通信基站位置合规性检测和物联网终端身份认证等角度开展了大量研究。文献[14]利用无线通信基站的位置区码〔LocationAreaCode，LAC〕可标识其地理位置的特点，提出根据位置区码确定基站经纬度信息后估算终端与基站间间隔的方式来辨别间隔明显大于合理数值的伪基站，但智能化的伪基站复制邻近合法基站位置区码时，相关方法将失效。由于设备元件参数的离散分布可造成频谱特征的微小差别，在物联网通信安全领域当前重要采集终端开/关经过瞬态特征或调制信号差别等隐性特征作为设备指纹，来辨别终端身份[15-16]。文献[16]利用无线网卡在制作工艺和元件参数上的细微差别，抽取无线网络帧在调制域的相关特征生成设备指纹，借助机器学习算法实现了对设备身份的辨别。文献[17]针对超高频传感设备，将无线电信号开/关的振幅和相位变化值、载波信号峰值数、瞬态功率的标准化均值和最大值之间的差值以及离散小波变换系数等瞬态特征用作设备指纹，辨别设备身份。文献[18]从GSM-GMSK〔globalsystemformobile-Gaussianminimumshiftkeying〕突发信号中提取射频指纹，利用最大似然估计和多重判别分析法认证GSM终端设备。[1];;;[1];;;[1];;;[1];;;[1];;;需要指出的是，物联网终端计算资源有限，前述基于瞬态信号的设备指纹来认证身份对终端性能有严苛要求[16]，暂不适用于配用电物联网终端。在体感物联网领域，同样存在终端身份认证问题。文献[19]根据人行走时在体感传感器上记录的振动和加速度信号，通过辨识用户步态来隐式地认证用户身份。文献[20]利用体感物联网终端感悟到的信号强度随人体姿势变化呈规律性变化的特点，提出将体感终端间感悟信号强度的变化规律作为身份指纹，实现计算资源有限物联网终端的身份认证。该类方法采取秒级的稳态信号进行身份辨别，已在体感物联网终端中得到实际应用。借鉴相关思路，深切进入发掘配用电物联网终端的运行特性，同样有可能为其在接入无线基站时进行身份认证提供技术方法。[1];;;[1];;;[1];;;[1];;;[1];;;2真/伪通信基站行为形式差别性分析[1];;;[1];;;[1];;;[1];;;[1];;;与手机等移动终端相比，配用电物联网终端的突出特点是安装位置固定。因无线通信基站信号覆盖范围有限，且同为固定位置安装，配用电物联网终端一般只能如此图2接收周边几个无线基站的网络信号，并选择接入其中信噪比最高的基站。终端接收到的信号强度重要和通信基站的间隔、房屋遮挡及天气等环境因素有关[21]。因配用电终端与无线基站间间隔及房屋遮挡等因素固定，其收到周边基站的信号强度重要受天气条件影响。由图3中配用电终端在一天内接收到基站信号强度变化趋势可见，各基站无线信号强度随间隔远近各有不同；在大雾天气影响下，各基站信号强度从凌晨3：00点起有明显衰减，至凌晨8：00大雾消散后逐步恢复正常，之后在正常区间小幅波动。在这里，真实基站的信号强度变化具有相近的趋势性特征。[1];;;[1];;;[1];;;[1];;;[1];;;为逃避电信效劳商的追踪和打击，伪基站往往流窜作案，其信号强度变化方式与真实基站存在明显差别。伪基站开机时，信号强度从0跃迁至明显高于真实基站的水平，以强迫周边无线通信终端脱离真实基站转而接入伪基站。由图3可见，真实基站信号强度在气象因素影响下呈相近波动趋势，而伪基站信号强度则具有明显的跳变，两种时间序列的曲线形态存在显著差别。有可能借鉴体感物联网终端的方式，将信号强度历史曲线用作设备指纹，标识终端身份。由于同类型用户的负荷曲线具有相近的曲线形态，智能用电领域常根据用户负荷曲线进行聚类分析，来辨别用户类型并提取用电形式特征[22]或进行不同用户群体的负荷预测[23]。参照这一做法，可将过去24h时间窗的各基站无线信号强度历史数据进行聚类分析，辨别出无线信号强度曲线有显著差别的伪基站，避免接入非法无线链接。[1];;;[1];;;[1];;;[1];;;[1];;;3基于密度聚类的非法通信链路检测[1];;;[1];;;[1];;;[1];;;[1];;;聚类分析是将样本集合分构成为由类似的样本构成的多个类簇的分析经过。作为一种无监督的形式辨别方法，聚类方法需要在没有标记数据指点下对数据集进行分组，使得同一类内的类似性尽可能大，而不同类之间的差别性尽可能大[24]。在无监督条件下怎样确定聚类数量，是聚类算法的核心问题。作为一种经典的密度聚类算法〔DensityBasedSpatialClusteringofApplicationswithNoise，DBSCAN〕可在有噪声的状况空间中根据样本分布密度划分任意形状类簇，并可根据邻域半径和邻域内样本数自动确定聚类数量，能有效解决人为设定聚类数量的难题[25-26]。DBSCAN聚类示意图如此图4所示。[1];;;[1];;;[1];;;[1];;;[1];;;DBSCAN算法通过搜索样本空间中特定对象在邻域半径内的相邻对象，当其邻域半径内样本数大于等于邻域最小样本数时，将这些对象构成一个类簇。下面结合图4说明算法基本概念：[1];;;[1];;;[1];;;[1];;;[1];;;〔1〕邻域半径R：算法中给定数据集特定对象搜索其相邻对象的扫描邻域半径。[1];;;[1];;;[1];;;[1];;;[1];;;〔2〕邻域内最小样本数Min：特定对象及其邻域内对象构成类簇起码包括样本数，图4中设置为4。[1];;;[1];;;[1];;;[1];;;[1];;;〔3〕核心样本p：样本p四周邻域半径内存在不少于Min个相邻样本；如此图4中的样本a、b、c。[1];;;[1];;;[1];;;[1];;;[1];;;〔4〕界限样本：界限样本是不知足核心样本条件、但处于其他核心样本邻域半径内的样本，界限样本半径邻域内的样本数达不到最小样本数。[1];;;[1];;;[1];;;[1];;;[1];;;〔5〕噪声样本：数据集中不属于各聚类类簇的样本。[1];;;[1];;;[1];;;[1];;;[1];;;〔6〕密度可达：核心点a邻域半径内的点与a为直接密度可达；核心点a邻域半径内多点间为密度可达。[1];;;[1];;;[1];;;[1];;;[1];;;〔7〕密度相连：数据集中样本a、b与样本f均为密度可达，但a和b密度不可达，则称a、b密度相连。[1];;;[1];;;[1];;;[1];;;[1];;;密度聚类算法流程如此图5所示。首先确定聚类半径和邻域内起码样本数Min；然后计算所有样本间欧氏间隔；再逐个扫描样本点，将邻域内大于Min的样本设为核心点，处于核心点邻域内的设为界限点，剩下未进行归类的为噪声点；最后将密度可达和密度相连的样本归为一类即可完成聚类。[1];;;[1];;;[1];;;[1];;;[1];;;4测试仿真[1];;;[1];;;[1];;;[1];;;[1];;;利用DBSCAN算法进行无线基站信号强度变化曲线聚类分析，需考虑邻域半径R、邻域内样本数Min和无线信号时间窗长度[26]三个参数设置。[1];;;[1];;;[1];;;[1];;;[1];;;〔1〕因电信效劳商会定位和打击伪基站，伪基站一般流窜作案，本文设置一天24h的无线信号强度监测时间窗，保证配用电终端在24h内有效辨别伪基站，为电信效劳商定和去除伪基站留出需要的时间。[1];;;[1];;;[1];;;[1];;;[1];;;〔2〕邻域内最小样本数Min重要受状况空间中样本总数影响。人口密集地区，每隔300~500m部署无线通信基站，单个配用电终端周边可感悟的无线基站数量在6~20个之间。考虑到农村及野外通信基站分布稀疏，本文设置Min为2。按此设置，辨别聚类样本点仅有核心点和噪声点两类，一个核心点邻域内只可有1个样本点，可以看成除噪声点外均为核心点。[1];;;[1];;;[1];;;[1];;;[1];;;〔3〕邻域半径R用于标识真实无线通信基站。在接收到信号的所有无线基站经检测为真实基站时，可计算所有基站信号强度在时间窗内互相之间的欧氏间隔，并根据其确定邻域半径。本文将其设置为所有基站间欧氏间隔均值的1.5倍，因时间窗内合法基站信号强度变化趋势相近，对应的欧氏间隔较小，可聚为一类，而伪基站时间窗内信号强度曲线形态明显不同，在状况空间中远离合法基站，将被单独聚为一类。[1];;;[1];;;[1];;;[1];;;[1];;;强信号固定真、伪基站信号强度曲线如此图6所示。下面结合图6所示连续48h无线基站信号强度变化曲线，说明伪基站甄别经过。通信终端小区重选经过中，若相邻基站无线信道质量参数优于当下停留小区且维持时间在5s以上，则终端进行小区重选。为避免频繁切换接入的基站，小区重选的死区时间间隔在20~620s间随机取值。为方便说明，下面按配用电终端每隔15min进行小区重选设置仿真条件。为躲避离终端间隔不等带来的基站信号强度差别的影响，按式〔1〕对基站信号强度做归一化处理。[1];;;[1];;;[1];;;[1];;;[1];;;4.1固定式伪基站的接入辨别分析[1];;;[1];;;[1];;;[1];;;[1];;;出现固定式伪基站时，配用电终端感悟的基站信号变化曲线如此图6所示。终端在伪基站出现的23：30进行小区重选、切换接入信号强度最强、信噪比最高的无线基站，此时需检测待接入无线通信链路合法性。[1];;;[1];;;[1];;;[1];;;[1];;;根据小区重选前信号强度数据，计算各基站24h时间窗信号强度变化曲线之间的欧氏间隔，并将其列于表1。由表可见，真实基站信号强度具有一样变化趋势，互相间欧氏间隔多在1.0左右；伪基站信号强度有突变，与真实基站有明显差别，在状况空间中远离真实基站，与其他基站的平均欧氏间隔为7.889。受伪基站欧氏间隔拉升影响，所有基站间的平均欧氏间隔在2.0左右。可将所有基站间平均欧氏间隔2.916的1.5倍〔4.373〕设置为邻域半径，表1中各合法基站互相间欧氏间隔小于邻域半径被归为一类，而伪基站的欧氏间隔大于阈值，被单独归为一类，配用电终端回绝接入。[1];;;[1];;;[1];;;[1];;;[1];;;因信号强度始终高于正常基站，伪基站出现后将迫使配用电终端连续重选小区，后续时刻可采取前述方法，以此前设置的邻域半径为基准，逐时间点滚动地辨别伪基站。由于很难以表格形式列出每个时刻的各基站间欧氏间隔，考虑到合法基站信号波动趋势相近、互相间欧氏间隔较小而伪基站的欧氏间隔明显更大，为完好呈现真、伪基站信号强度平均欧氏间隔的时序变化特征，计算后续时刻24h时间窗各基站间欧氏间隔后，将各自平均欧氏间隔绘制强信号固定式伪基站聚类结果分析如此图7所示，并将邻域半径作为伪基站判定阈值一并绘制如此图。[1];;;[1];;;[1];;;[1];;;[1];;;由图7可见：[1];;;[1];;;[1];;;[1];;;[1];;;〔1〕因信号强度变化趋势相近，时间窗内各真实基站信号强度曲线的平均欧氏间隔始终聚合在很小的区间内。伪基站信号强度曲线的平均欧氏间隔在后续时刻始终明显高于真实基站及邻域半径对应的判定阈值。伪基站出现24h后，真、伪基站信号强度曲线欧氏间隔的差别因移出24h时间窗消失，所提方法可在时间窗内有效甄别真、伪基站。[1];;;[1];;;[1];;;[1];;;[1];;;〔2〕伪基站平均欧氏间隔曲线在8：00~9：00间有跳变，对应图6可见，该时段雨雾消散、真实基站信号强度恢复正常，并通过24h时间窗反映在真实基站的平均欧氏间隔曲线和伪基站检测经过中。[1];;;[1];;;[1];;;[1];;;[1];;;〔3〕伪基站平均欧氏间隔曲线在4：00左右有可见拐点，应为雨雾天气开始导致真实基站信号强度下降所致。[1];;;[1];;;[1];;;[1];;;[1];;;为检验伪基站出现时信号强度跳变幅度对检测效果的影响，下面设置伪基站出现时信号强度由图6的-38dBm改变为略高于1号基站的-43dBm，对应信号强度变化曲线绘制如此图8所示。伪基站出现时刻，采取前文所述方法计算得到24h时间窗内各基站间信号强度欧氏间隔见表2，其中真实基站间欧氏间隔与表1一样。受信号强度跳变影响，24h时间窗内伪基站信号强度曲线远离真实基站，计算得到的间隔所有真实基站的平均欧氏间隔为7.578。由于信号强度跳变幅度略小，对应的平均欧氏间隔也略小于表1中的7.889，根据表2将阈值设置为所有基站平均欧氏间隔2.826的1.5倍〔4.239〕，也足以区分真伪基站，在突变时刻辨别伪基站。在随后的24h内，伪基站平均欧氏间隔变化曲线和图7基本类似，根据阈值仍能有效辨别伪基站。[1];;;[1];;;[1];;;[1];;;[1];;;4.2移动伪基站的接入辨别分析[1];;;[1];;;[1];;;[1];;;[1];;;车载移动伪基站经过时，配用电物联网终端检测到的基站信号强度曲线如此图9所示。移动伪基站出现于23：15，并在0：30移动到接近配用电终端的位置，此时检测到伪基站信号强度到达顶峰，之后再随间隔增大而逐步消减。按4.1节方法计算随时间变化的真、伪基站平均欧氏间隔并将其列于表3。[1];;;[1];;;[1];;;[1];;;[1];;;在0：30时刻，合法基站与其他基站的平均欧氏间隔均在2.0左右，将所有基站间平均欧氏间隔2.872的1.5倍〔4.308〕作为当下及以后时刻重选无线基站时辨别伪基站的判据。0：30时刻，伪基站与其他基站平均欧氏间隔为7.742，大于判据，将不会接入非法无线通信链路。此后，检测到的伪基站信号强度连续下降，不会再重选接入该非法无线通信链接。[1];;;[1];;;[1];;;[1];;;[1];;;4.3正常基站检修移动伪基站的接入辨别分析[1];;;[1];;;[1];;;[1];;;[1];;;为检测引入所提方法后能否影响基站间正常切换，下面结合正常基站检修场景分析物联网终端接入经过。图10中1号基站于上午10：00点退出运行进行检修，连续到下午14：00点恢复运行，在这里期间无1号基站信号，以-180dBm标识。1号基站退出时检测到各基站信号强度24h时间窗内欧氏间隔列于表4。此时1号基站欧氏间隔提升到略高于其他基站水平，所有基站的平均欧氏间隔为1.013，取其1.5倍〔1.519〕为检测阈值。其他基站的平均欧氏间隔均明显小于设定阈值，所以物联网终端可接入此时信号最强的2号基站。14：00点1号基站恢复后，将需要等待过去24h时间窗后，物联网终端才可接入。综上可见，增设的基站安全性检测不影响真实无线通信基站之间的正常切换。[1];;;