2025年电力信息物理系统网络安全防护：部分成果与验证平台报告-浙江大学（杨强）

U电力信息物理系统网络安全防护：—部分成果与验证平台杨强浙江大学电气工程学院、教授2英国信息服务提供商被土耳其安全部门被攻击：法国最大的全球性电视部断线；伊朗核电站遭遇震网离心机报废，核计划韩匡银行及媒体总数达48000台；…token需要被更新；美国Target公司被攻击，造成1.1亿用户信息泄露，包括失高达10亿美元；息外泄，各项直接损失高达6位于美国的1.4万余位于美国的1.4万余台木马或僵尸网络控制服务器，控制了中国境内334万余台主机；澳大利亚主要政党与国会的政府账户和员工信息泄露；巴西外交组织被攻击；阿根廷、鸟拉圭发生全国性大规模停电；系统初步入侵目标系统内立足攻击者受害者高价值目标获取持续侦查小时受攻击用户就高达10万：口高级网络威胁利用先进攻击手段对特定高价值目标进行网络化攻击，具有多样性、持续性、隐口网络空间是国家安全的“无形疆域”,关键信息基础设施安全已成为国家间科技竞争的核心领域!2015年12月乌克兰电网攻击事件采集和环境预置；以邮件发送恶意代码载程控制SCADA节点下达指令为断电手人类历史上电力信息安全的“里程碑”事件!停电区靖停电区靖层民区马重兰伊方需—秀兰料所夫支地区攻击者攻击者原径2原径2邮件邮件镖护装版祝患宣德与诊浙装置55H后门祝患宣德与诊浙装置智能格喷合并单元智能格喷合并单元33口系统特征口系统特征●能源互联网是我国推动能源革命的重要技术支撑平台●两网融合建设推动电力系统信息化、智能化、网络化●电力系统通信协议、设备、系统等逐渐由封闭、孤立能源互联网能源互联网=坚强智能电网+网络信息系统配电自动化系统变电站控制配网监测物理空间能量管理系统DG和负荷管理电网交互服务45一、研究背景●2015年12月23日乌克兰电网突发停电事件由“网络口口学术界共识力更大●电力系统信息基础设施脆弱性客观存在和不可规避的对抵御能力控制软件、协议标准化使外部威胁便于渗透到电网运行控制环境控制软件、协议标准化使外部威胁便于渗透到电网运行控制环境络带来更大范围的安全风险数据的开放、交互和共享使数据和隐私保护面临前所未有的挑战设备数字化和智能化使关键装备和控制软件面临未知网络攻击威胁数据1.“单一攻击检测”转向“异常智能检测”2.“定性风险”转向“定量安全态势评价”3.“静态分析”转向“动态检测”4.“被动防御”转向“主动防御”6根据电力系统网络流量采集方式、数据类型、通信模式、数据特征等特点，利用统计学模型刻画工业网络通信流量特征，支撑异常流量智能检测与安全分析，具体为：时序数据统计学分析模型之间的关系回归模型回归模型季节差分反向滤波特殊形式gARIMA(p,d.4)ArengeShihfd阶差分独特优势自相似性建模效果好、鲜有过拟合复杂度较高周期性建模效果好、存在过拟合复杂度中等大数据量建模效果好、鲜有过拟合复杂度高复杂度低效果较好、少过拟合复杂度低二、研究成果-1:电力通信流量建模和异常检测7PowersoureMasorsPowersoureMasorspectctorintegrledpztzchcn,nasJrrent,satenonhorngniograbod FARIMA模型基于ARMA模型，主要针对有显著自相似性的时间序列建模。若工业网络对实时性要求不严苛、数据量不大，且数据具有强自相似性，则较适合使用FARIMA模●根据实际采集的天津某110KV智能变电站通信网络(SCN)流量数据，对数据进行聚合00:0003:0006:0009:0012:0015:0018:8数据平稳性验证95%置信度SCN95%置信度SCN流量阈值区间90%置信度SCN流量阈值区间v219y,=0.9492-0.632y₋-0.251y₋2-0.881y_3-0.446y₋+0.二、研究成果-1:电力通信流量建模和异常检测模型关键技术1.算法解释互联网流量特性2.训练时间短，算法复杂度低3.算法拟合效果好，预测精度高4.算法迭代实时更新，响应延迟短5.基于监督式模型充分提取流量特征Neid-阶差分1.监控层与现场设备层网络是ICS核心2.配置交换机镜像口，采集全网流量3.搭载Python自编流量采集&分析脚本4.配合Wireshark分析流量PCAP文件嗅探攻击及各种违反正常操作的行为2.数据异常转化为各种应用领域中的重要可操作信息3.结合人工智能领域中的监督式学习LMabebd.6LrpeeA不同的恶意操作与网络攻击对通信流量的影响546n546nnsusralcammunicaoretwarktrattaB4e0hcushrulttmnntaonrewtrkbrance4wind.atristcommniesio10”4刘路(聚合尺魔)苏于黑信度生成因缩区英(验让)女比验证集并行合整Y念斯的分析N实时异常检测算法简要流程图950005000——Originaldata—Re88(D图118:00:0018:33:2019:06:4019:40图2:原始流量的模型拟合效果图3:聚合后流量的模型拟合效果图4:不进行聚合下的正常流量的阈值模型图5:为模型聚合尺度为10s的流量阈值生成与告警图2图2图4fareeasttest图4fareeasttestANhAAnAAnLMAnAnlAMnhnANhAAnAAnLMAnAnlAMnhn异常检测O口云边协同的异常流量检测方法AMzworkstafionSnitch—ICPStrafic—thgger年workstafion运行至关重要，提出了一种云边协同的流量异常检测方法：十在浙江大学工业互联网攻防试验场测试平台上，用在浙江大学工业互联网攻防试验场测试平台上，用真实网络攻击用DraughtFaCloadEdge"alteSwich-311----2例进行试验验证。数值结果表明：与其他流量异常检测模型相比，该检测方法具有更小的流量负载和更快速的检测效果。nH978-EACC%EACC%Algorithm2:TheproposedtrafficanomalydetectionapproacAlgorithm2:Theproposedtrafficanomalydetectionapproac1Obtainthewordsegmentationresult2Calculateencodedvaluesusingequations(3Calculatereconstructionerrorsusingequations(4567Caleulatetheconfidenceinter89Normal验门提出了一种基于无监督学习的异常流量检测方法，由数据预处理模型、无监督payload分词模型与自编码器组成对原始pcap包进行处理，仅考虑检测TCP/UDP协议流量，提高处理效率，提取数据包payload,转换成ASCII码利用基于LSTM的无监督分析算法对payload进行分词●采用基于BERT-CNN的自编码器，充分提取payload里的长期和短期依赖关系，实现对异常流量的准确检测利用信息/物理攻击数据集对所提出的检测方法进行评估。与现有文献检测方法相比，该方法检测精度提高了18.83%,召回率增加了22.3%。LF二、研究成果-2:基于攻防博弈的安全防御决策口针对分布式拒绝服务攻击的防御资源分配策略●提出一种DDoS攻击下的基于有限资源可用性的信息不完全非零和博弈理论模型，实现防御资源的合理配置。SS●当出现大量的干扰报文时，会导致网络带页厂●根据策略的不同，相应的成本(包括设备布置成本，维护成本，传输成本等)不同。二、研究成果-2:基于攻防博弈的安全防御决策考虑防御资源有限情况，基于博弈论方法可以提供最优的防御资源分配策略考虑防御资源有限情况，基于博弈论方法可以提供最优的防御资源分配策略，有效减少攻击下的资产损失。6incoplsteinfornaationINodeinLogiControuerCon元u01in口虚假数据注入攻击的防御资源分配策略FDI攻击流程●具有先验知识的FDI攻击者通过控制仪表、通信网络●诱导控制中心采取紧急措施，对关键母线和线路进行●对于攻击者来说，状态估计的虚假数据注入通常有两个目标，即某些系统状态变量(如总线相角、总线电压幅值)和由系统结构和至少两个系统变量决定的某些测量值。如果要同时改变多个状态，攻击者需要向系统设计●攻击者具有一定先验知识的前提下选择节点进行攻击，从而使得测量设备获取到电压/电流/●系统根据错误数据进行计算，判断该节点产生异常，进行相应的措施导致误操作，从而对整体电网产生影响，例如电压的失衡。将该电压脆弱性和连接关系，建立有限防御资源下信息不完全的博弈Node,ete)DefenN₁CommandN₂N,TransmitN₄NNsN₁口虚假数据注入攻击的防御资源分配策略提出方法与已有文献方法相比具有更佳的防御资源优化配置效果。PayofIPayofI△不同攻击场景下电压变化02纳什均衡鞍点0防御者资源对策略的影响防御者资源对策略的影响4ehtD15-100Resourceconsumptionofdefender55C”.最优防御策略和期望收益100—-Originalstatewithout—-Originalstatewithoutattackuttntir与其他防御方法的对比结果1k1二、研究成果-2:基于攻防博弈的安全防御决策aNewrekNeiwcCopeNtan二0WaerValveFuelValveSteamVaheFesere●提出了一种贝叶斯-随机混合博弈模型，在攻击者不健全信息下生成防御策略。●提出了一种统一的博弈效用函数量化框架，以保证信息物理层效用函数的一致性。●利用基于状态转移的随机博弈模型来描述攻击者针对ECPS跨域渗透攻击的演化过程，将每个状态下的攻防交互建模为不完全信息贝叶斯博弈，以刻画攻击者信息的未知性。●提出了一种多智能体贝叶斯Q-learning算法，在信息不完全的情况下学习最优防御策略。●在ECPS实验平台上进行性能评价，验证了该方法最优防御决策的可行性和有效性。Netuerk(4,D)NelwonkNerrorExploityonMH2toget1oxpi高PLCconnuinicationunavagTdd十十004→d5山0ee((A生吃对前性A体牧中引1分共正対抗性API调用序列无干扰API调用合目标检测器分类为良性样本的对抗样本百分比)检测器本文平均发击效果平均攻击成效达90%每千个对抗样本(k)APIAPI调用升顿(Peng》□AP调用开销(本文)所提方法攻击成效高于Peng且具有更开销总体上降低了0攻击成效(本文》利用可执行恶意对抗样本生成技术，将对抗恶意API调用序列还原再重新用检测器o传统传统Stacking集成学习训练直接将基学习器对于训练集的输出结果作为元学习器的输入，学习器缺陷可导致过拟合等问题。初始化阶段P1调用序列特征提取特征向量集归一化PCA数哲集P1调用序列特征提取特征向量集归一化PCA数哲集完成处理的数据集训练阶段合显分炎滕显分炎滕分类基分头服分类基分头服131练口基于恶意对抗样本的检测器改进每3千个对抗样本(3k)テ分类基分器并器①②③④若基分类器基④立⑧①7①②③①攻击成效仅约5%,与针对单分类器时的平均攻击成效75%相■最终攻击成效收敛于48%附近,平均攻击成效为37%,与单分类器作为替代模型时攻击成效收敛于98%相比，攻击成效降低了50个百分点，集成分类器将收敛速度降缓了约6倍。尽管收敛时攻击成效仍有48%,但攻击成效大幅下降、收敛速度降低。对于攻击者来说，意味着更高时间成本和访问成本、更多的计算机资源占用，总和成本将大幅提高，这将可能迫使攻击者采用其他攻击方式甚至放弃攻击。可基于互联网远程操作、远程通信、远程攻击、远程视频的可基于互联网远程操作、远程通信、远程攻击、远程视频的1500平方米国家级工业互联网网络攻防平行实验场浙江大学工业控制系统安全试验场利用信息基因技术，深度学习技术，通道异常分析技术，开展攻防测试；结合工业控制系统静态和动态漏洞分析与挖掘技术，以工业生产的工业流程数据和工业特定行为特征为先决经验，创建工业流程和行为特征知识库，采取智能学习方法来重构测试数据和测试用例，实现网络攻击的延伸，提升攻击效果，以强力支撑拟合实境、实网、实战以及实赛的攻防演训。二、研究成果-4:浙江大学工控安全攻防试验场0层：学生实训接入网。采用实物方式配置配置了110层：学生实训接入网。采用实物方式配置配置了11台交换机。最多可以同时承担40名学生的实训学习。1层：企业办公网，用于模拟企业办公所需的各类应用与服务。配置了1台办公服务器，可以安装20台虚拟2层：企业生产管理网，用于模拟企业生产管理所需的各类应用与服务。配置了1台生产管理服务器，可以安装30台虚拟机，作为网络攻击渗透通道。3层：企业生产控制网，用于模拟企业生产过程与工业控制系统的各类应用与服务。配置了3台生产模拟服务器、20台工控操作员站、2套流程工业微缩生产装置记录、自动打分；数据流量监测、异常报警；网络中21Huhs1层企业办公网风24口堂理交换肺火墙生广管3层企业生产控制网始ad2换指站9技明以20电力系统缩微生产装置天然气长输管线缩微生产装置硬件：高隐服务器1台，1↓奶火作1套，南机核性30我件1套，课程管理二、研究成果-4:浙江大学工控安全攻防试验场CT圆队量堆需域汽ManTPo名称设备数场景烟膜创谴人00ae⁵1胁094a⁶8Te⁴3?ato(452科64728de⁶2真买I⁷嘲5交模照25履保冒脚由福1影由福1建utose³da-438463626惠忆也著1