智能电网嵌入式设备网络检测评估系统与检测评估方法

摘要

本发明公开了一种智能电网嵌入式设备网络检测评估系统，包括专用网络安全检测设备、影子机和电力系统安全监控中心；专用网络安全检测设备对各类网络数据包进行分析过滤；影子机对嵌入式系统在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电力系统安全监控中心；电力系统安全监控中心通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出安全检测结果。本发明能够利用影子机在不影响嵌入式系统正常工作的情况下，快速准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估。

说明书

技术领域

本发明涉及一种智能电网嵌入式设备安全测试领域，尤其涉及一 种智能电网嵌入式设备网络检测评估系统与检测评估方法。

背景技术

随着物联网产业的兴起，在智能电网中，各种传感器、控制设备 均为嵌入式系统，其广泛应用于发电、输电、变电、配电以及用户用 电的各主要环节。除了业务上的测量、传输功能外，嵌入式系统还起 着核心业务运行控制的功能。例如，用户层的复费率电能计量管理单 元，设备层的变压器油温等传感器、电压电流变送器、继电保护装置、 故障录波、线路保护、故障测距装置，控制室的数字录音、变电站的 图像监控、配电网的远程抄表、负荷控制及自动化保护模块等等，基 本上涵盖了电网指挥运行的各个方面。

从嵌入式系统自身来看，相对于传统的PC设备，嵌入式操作系 统及其应用程序主要考虑的是硬件的适配性、更少的资源占用等问 题，很多嵌入式系统的安全防护功能很少或者几乎没有，恶意攻击者 很容易侵入到系统中，对嵌入式系统实施干扰、监视甚至远程控制。 近年来，在国内外由于嵌入式系统造成的电力系统事故屡有发生，如 著名的伊朗Stuxnet震网病毒事件，该病毒专门针对PLC （Programmable Logic Controller，可编程逻辑控制器）设备攻击， 通过修改PLC来改变工业生产控制系统的行为，一度导致伊朗核电站 推迟发电。

从网络层面来看，随着3G、WIFI等通讯手段的普及，嵌入式系 统从有线网络向无线网络的延伸，使得网络的安全问题更加突出。嵌 入式系统由于计算资源有限，很多嵌入式网络协议均没有考虑安全问 题，其设计目标是尽可能简单地实现路由，并方便日后扩展网络，基 本上没有任何的安全机制。一旦嵌入式系统遭到网络攻击，整个智能 电网的正常业务工作便会受到影响甚至于瘫痪。

与传统PC设备相比，嵌入式系统计算资源少、能耗低、工作环 境复杂，现有的很多安全解决方案并不适用，而且嵌入式系统一般处 于开放的工作环境中，传统计算机很容易解决的物理安全问题在嵌入 式系统上也成为一个难题。这些嵌入式系统多为一体化设备，其操作 系统包括嵌入式Linux、VxWorks、WinCe等。针对来自网络层面的非 法截获、中断、篡改或伪造等攻击，由于无法直接在这些嵌入式设备 上加装额外的网络安全检测软件或系统，因此无法做到对嵌入式系统 进行实时的网络安全检测与评估。

发明内容

本发明的目的是提供一种智能电网嵌入式设备网络检测评估系 统与检测评估方法，能够利用影子机在不影响嵌入式系统正常工作的 情况下，快速准确地对已知或未知的电力系统网络攻击进行实时动态 的安全检测和评估。

本发明采用下述技术方案：

一种智能电网嵌入式设备网络检测评估系统，其特征在于：包括 专用网络安全检测设备、影子机和电力系统安全监控中心；

所述的专用网络安全检测设备的数据接收端连接智能电网网络， 专用网络安全检测设备的数据发送端分别连接影子机和实际嵌入式 设备，专用网络安全检测设备用于对各类网络数据包进行分析过滤， 并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异 常的网络数据信息发送给影子机；

所述的影子机用于对实际嵌入式设备的运行环境和计算环境进 行模拟，包括硬件环境模拟和软件环境模拟，对嵌入式系统在受到网 络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机 状态信息发送至电力系统安全监控中心；

所述的电力系统安全监控中心用于对影子机发送的网络状态及 主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用 户认证属性度量进行的多维度属性综合度量，得出最终安全检测结 果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进 行统一配置管理。

所述的专用网络安全检测设备包括网络接口模块和安全控制模 块；

所述的网络接口模块用于完成IP数据包的收发，网络接口模块 包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接 安全控制模块和智能电网网络，用于接收智能电网网络所发送的IP 数据包并传送给安全控制模块；内网网络接口模块分别连接安全控制 模块和影子机以及安全控制模块和实际嵌入式设备，用于接收安全控 制模块所发送的IP数据包并传送给影子机或实际嵌入式设备；

所述的安全控制模块用于对所接收的智能电网网络发送的IP数 据包进行解析判别；安全控制模块内存储有与相应目的地址和来源地 址对应的密钥、发送序列号及接收序列号，当安全控制模块接收到智 能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并 提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和 接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和 发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要 运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和 伪造，将此IP数据包通过内网网络接口模块发送至影子机；如果结 果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据 包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收 序列号则认为IP数据包合法，安全控制模块接收该IP数据包并将此 IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送 序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通 过内网网络接口模块发送至影子机。

所述的影子机包括硬件可信密码模块TPM（Trust Platform  Module），用于实现信息采集与组件动态可信度量；其中信息采集是 指采集异常网络事件以及主机事件并发送至电力系统安全监控中心， 异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事 件包括影子机配置信息和影子机运行信息；进行组件动态可信度量时 首先在影子机内配置XEN虚拟机，XEN虚拟机位于影子机硬件层之上 且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求 页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN 虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中 加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度 量代码中基于指定的度量方式实现组件当前内存快照的可信度量或 风险监测。

所述的电力系统安全监控中心包括服务器，用于从平台配置属 性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM 相应平台配置寄存器PCRs(Platform Configure Register)中的各个 组件完整性进行综合评价反映平台配置的可信任程度：首先基于影子 机可信硬件模块TPM，以安全可信的方式获得影子机计算平台各个组 件的完整性报告信息，包括PCR值和签名信息；然后电力系统安全监 控中心对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组 件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的 组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件 完整性与否的信息，计算平台配置信任度Ti；

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信 情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受 恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程 度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况，其中 bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系 统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否 造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\kappa \left(\frac{1}{n}\underset{=1}{\overset{n-f}{\Sigma }}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{d}_{\mathrm{Fj}}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完 整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为 调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小， 信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当 信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定 事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件 作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任 度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表示正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认 证信任级，设一个攻击者成功攻破认证方法A并可以扮演成合法用户 的事件发生的概率是P(A)，则该认证方法A的可信等级levelA= -log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因 素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻 破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那 么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性 度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平 台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平 台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机 安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可 信的可能性；u_P表示影子机安全可信的不确定程度。

一种智能电网嵌入式设备网络检测评估方法，包括以下步骤：

A：利用专用网络安全检测设备对各类网络数据包进行分析过滤， 并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异 常的网络数据信息发送给影子机；

B：利用影子机用于对实际嵌入式设备的运行环境和计算环境进 行模拟，包括硬件环境模拟和软件环境模拟，对嵌入式系统在受到网 络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机 状态信息发送至电力系统安全监控中心；

C：利用电力系统安全监控中心用于对影子机发送的网络状态及 主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用 户认证属性度量进行的多维度属性综合度量，得出最终安全检测结 果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进 行统一配置管理。

6.根据权利要求5所述的智能电网嵌入式设备网络检测评估方 法，其特征在于：所述A步骤中，专用网络安全检测设备包括网络接 口模块和安全控制模块；网络接口模块用于完成IP数据包的收发， 网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络 接口模块连接安全控制模块和智能电网网络，用于接收智能电网网络 所发送的IP数据包并传送给安全控制模块；内网网络接口模块分别 连接安全控制模块和影子机以及安全控制模块和实际嵌入式设备，用 于接收安全控制模块所发送的IP数据包并传送给影子机或实际嵌入 式设备；

安全控制模块用于对所接收的智能电网网络发送的IP数据包进 行解析判别；安全控制模块内存储有与相应目的地址和来源地址对应 的密钥、发送序列号及接收序列号，当安全控制模块接收到智能电网 网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取 IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收 序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送 序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算 结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造， 将此IP数据包通过内网网络接口模块发送至影子机；如果结果比较 一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读 取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号 则认为IP数据包合法，安全控制模块接收该IP数据包并将此IP数 据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号 小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网 网络接口模块发送至影子机。

影子机包括硬件可信密码模块TPM，用于实现信息采集与组件动 态可信度量；其中信息采集是指采集异常网络事件以及主机事件并发 送至电力系统安全监控中心，异常网络事件信息包括异常的网络数据 信息和网络流量信息，主机事件包括影子机配置信息和影子机运行信 息；进行组件动态可信度量时首先在影子机内配置XEN虚拟机，XEN 虚拟机位于影子机硬件层之上且操作系统之下；然后利用XEN虚拟机 的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针 获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调 用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代 码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件 当前内存快照的可信度量或风险监测。

所述C步骤中，电力系统安全监控中心包括服务器，用于从平台 配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评 估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM 相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平 台配置的可信任程度：首先基于影子机可信硬件模块TPM，以安全可 信的方式获得影子机计算平台各个组件的完整性报告信息，包括PCR 值和签名信息；然后电力系统安全监控中心对完整性报告进行验证， 得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件 的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功 的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配 置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信 情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受 恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程 度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况，其中 bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系 统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否 造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\kappa \left(\frac{1}{n}\underset{=1}{\overset{n-f}{\Sigma }}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{d}_{\mathrm{Fj}}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完 整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为 调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小， 信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当 信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定 事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件 作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任 度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，bH表示正常网络通信的可能性；

dH表示非法网络通信事件的可能性；

uH表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认 证信任级，设一个攻击者成功攻破认证方法A并可以扮演成合法用户 的事件发生的概率是P(A)，则该认证方法A的可信等级levelA= -log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因 素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻 破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那 么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性 度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平 台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平 台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机 安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可 信的可能性；u_P表示影子机安全可信的不确定程度。

本发明通过引入影子机，在保证实际嵌入式设备正常工作的同 时，对未知网络攻击进行实时检测和感知。专用网络安全检测设备对 各类网络数据包进行分析过滤，并根据分析结果将正常的网络数据信 息发送给实际嵌入式设备，将异常的网络数据信息发送给影子机；影 子机用于对实际嵌入式设备（如配电自动化设备、用户用电采集设备） 的运行环境和计算环境进行模拟，从硬件配置、关键系统进程、重要 组件和应用程序进行模拟配置与构建，对嵌入式系统在受到网络攻击 时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信 息发送至电力系统安全监控中心；电力系统安全监控中心对影子机发 送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运 行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最 终安全检测结果。

附图说明

图1为本发明的原理框图；

图2为本发明的结构示意图；

图3为IP数据包标识原理示意图。

具体实施方式

如图1所示，本发明所述的智能电网嵌入式设备网络检测评估系 统，包括专用网络安全检测设备、影子机和电力系统安全监控中心；

所述的专用网络安全检测设备的数据接收端连接智能电网网络， 专用网络安全检测设备的数据发送端分别连接影子机和实际嵌入式 设备，专用网络安全检测设备用于对各类网络数据包进行分析过滤， 并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异 常的网络数据信息发送给影子机；异常的网络数据信息包括两部分：

（1）网络数据内容异常：专用网络安全检测设备通过判断网络 数据包格式、协议、数据内容等信息，将异常的网络信息发送给影子 机，电力系统安全监控中心依据这些信息能够发现扫描、渗透攻击、 重放攻击、缓冲溢出、漏洞利用等多种网络攻击行为。

（2）网络流量信息：专用网络安全检测设备通过判断设备总体 流量、某个服务流量、当前会话连接数量等网络流量信息，将异常的 网络流量信息发送给影子机，电力系统安全监控中心通过这些信息能 够发现非法信息外传、拒绝服务攻击等。

所述的影子机用于对实际嵌入式设备（如配电自动化设备、用户 用电采集设备）的运行环境和计算环境进行模拟，包括硬件环境模拟 和软件环境模拟，如同实际设备的影子一样。影子机对实际嵌入式设 备的硬件配置、关键系统进程、重要组件和应用程序进行模拟配置与 构建，采用相同的硬件接口，使影子机的运行环境与计算环境与实际 嵌入式设备基本保持一致。对嵌入式系统在受到网络攻击时其网络状 态和主机状态变化进行检测，并将网络状态及主机状态信息发送至电 力系统安全监控中心；

所述的电力系统安全监控中心用于对影子机发送的网络状态及 主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用 户认证属性度量进行的多维度属性综合度量，得出最终安全检测结 果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进 行统一配置管理。

专用网络安全检测设备包括网络接口模块和安全控制模块；网络 接口模块用于完成IP数据包的收发，网络接口模块包括外网网络接 口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和 智能电网网络，用于接收智能电网网络所发送的IP数据包并传送给 安全控制模块；内网网络接口模块分别连接安全控制模块和影子机以 及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的 IP数据包并传送给影子机或实际嵌入式设备；安全控制模块用于对 所接收的智能电网网络发送的IP数据包进行解析判别；安全控制模 块具有ROM、EFLASH、RAM存储单元，安全控制模块内部存储单元内 存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序 列号，当安全控制模块接收到智能电网网络所发送的IP数据包时， 安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP 数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密 钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运 算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较 不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络 接口模块发送至影子机；如果结果比较一致则判断IP数据包没有被 篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列 号的大小，若发送序列号大于接收序列号则认为IP数据包合法，安 全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块 发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为 IP数据包非法，将此IP数据包通过内网网络接口模块发送至影子机。

本实施例中，网络接口模块采用支持IEEE802.3等以太网规范的 接口芯片，称为网卡芯片，能够支持以太网数据包的收发。为提高整 体安全性，网卡芯片选择国产芯片。安全控制模块，指具有安全功能 的控制芯片，安全功能指能够进行密码运算且自身具有较强的防多种 攻击措施，密码运算可采用摘要运算，自身具有的防攻击措施包括芯 片具有的多层特殊版图设计、电压检测、存储区加密保护、光照检测、 MPU（内存保护单元）等防范物理攻击、软件攻击的保护措施。开关 模块可采用电路开关，电路开关的开合可以向安全处理芯片发出低电 平、高电平两种不同的控制信号。串口通信模块可采用支持RS232标 准的异步串行通信接口芯片，通信时需要专用的串口电缆分别连接该 异步串行通信接口芯片与用户配置用计算机上的异步串行通信接口 芯片（一般称为COM口）。外部存储器可采用FLASH芯片，FLASH芯 片为通用的一种存储芯片，在掉电情况下保存数据，可以通过FLASH 芯片的外部接口对FLASH芯片进行读、写、擦除等操作。

本发明中对网络数据包过滤的方法是通过对合法网络通信双方 之间的IP数据包进行精确标识，标识方法基于序列号与密码学中的 摘要算法，能够明确区分来自合法通信主体的数据包（需要接受）和 来自其他通信主体（有些是恶意主体，如攻击者）的数据包。由于本 发明中专用网络安全检测设备用于接收数据包并对其进行过滤。但相 对于所接收到的IP数据包的发送对象，即智能电网网络上发送IP数 据包的其他计算机，这些计算机在发送IP数据包之前需要利用预先 配置的专用网络安全发送设备对欲发送的IP数据包进行基于序列号 与摘要算法标识。

专用网络安全发送设备同样包括网络接口模块和安全控制模块； 专用网络安全发送设备的网络接口模块用于完成IP数据包的收发， 专用网络安全发送设备的网络接口模块包括外网网络接口模块和内 网网络接口模块；外网网络接口模块连接专用网络安全发送设备的安 全控制模块和智能电网网络，用于接收专用网络安全发送设备的安全 控制模块所发送的IP数据包并通过智能电网网络进行发送；内网网 络接口模块连接专用网络安全发送设备的安全控制模块和计算机，用 于接收计算机所发送的IP数据包并传送给专用网络安全发送设备的 安全控制模块。

专用网络安全发送设备的安全控制模块具有ROM、EFLASH、RAM 存储单元，专用网络安全发送设备的安全控制模块内部存储单元内存 储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列 号，当专用网络安全发送设备的安全控制模块接收到计算机所发送的 IP数据包时，专用网络安全发送设备的安全控制模块读取该IP数据 包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送 序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和 发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并 根据当前长度调整IP首部信息中的长度指示信息，然后将此标识后 的IP数据包通过专用网络安全发送设备的外网网络接口模块发送至 外部通信网络；图3为IP数据包标识原理示意图。

影子机包括硬件可信密码模块TPM，用于实现信息采集与组件动 态可信度量；其中信息采集是指采集异常网络事件以及主机事件（如 主机进程、服务、性能等运行信息）并发送至电力系统安全监控中心， 异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事 件包括：（1）影子机配置信息，包括嵌入式系统的安全策略、网络配 置、开机启动项等，通过这些信息能够评估系统可能存在的安全配置 缺陷；（2）影子机运行信息：设备资源占用情况（如CPU、内存）、 服务运行情况等，通过这些信息能够发现非法进程的运行、拒绝服务 攻击造成的资源过载等情况。

影子机中的组件动态可信度量的作用是保护影子机自身免受异 常网络攻击所带来的不必要的威胁和破坏。影子机中的组件动态可信 度量利用虚拟机的特权控制机制分析影子机内的组件运行时的动态 内存影像，从而对运行组件进行有效的动态度量，及时发现组件运行 异常情况（受到攻击或破坏），对攻击做到主动防御，为影子机安全 稳定运行提供安全可信的计算和运行环境。

组件动态变化是通过操作系统对内存的分配和置换反映出来的。 操作系统对应用程序（组件）实施加载管理和运行管理。当组件或应 用程序被执行时，操作系统为其分配一定数量的内存，并为该进程创 建页表，以映射物理内存和地址空间。当组件或应用程序发生页面失 效时，即运行过程中，操作系统按照一定的页面置换算法，将部分所 需的页面从磁盘上置换进内存，并更新页表。

基于上述工作原理，进行组件动态可信度量时：

首先在影子机内配置XEN虚拟机，XEN虚拟机位于影子机硬件层 之上且操作系统之下；

然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存 运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权 限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进 行度量的代码，使度量代码操作首先执行；

最后利用度量代码中基于指定的度量方式实现组件当前内存快 照的可信度量或风险监测，指定的度量方式包括完整性度量、代码特 征检测、行为相似度检测。在每次发生内存分配和置换时都进行组件 动态可信度量检测，即可实现组件变化过程的动态度量。

电力系统安全监控中心包括服务器，一般位于网络中心节点。电 力系统安全监控中心对影子机采集上报的安全信息，从平台配置属 性、平台运行属性和用户认证属性进行多维度属性综合量化评估，最 终得到安全检测结果。影子机的多维属性包括计算平台配置、平台运 行和身份认证属性，这些属性均对系统安全产生影响。

（1）平台配置属性度量

平台配置属性度量实际上就是基于各个组件完整性的综合评 价，反映出平台配置的可信任程度。平台各个组件的完整性度量值已 经被扩展存储到影子机平台硬件可信密码模块TPM(Trusted  Platform Module)相应的平台配置寄存器PCRs中，平台配置属性度 量通过验证这些PCRs值，即可计算出平台配置的可信任程度。

平台配置属性度量的具体方法如下：

首先基于影子机可信硬件模块TPM，以安全可信的方式获得影子 机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；

然后电力系统安全监控中心对完整性报告进行验证，得到 PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个 数；假设得到的完整性验证失败的组件个数f，则完整性验证成功的 组件个数为n-f；

最后依据组件完整性与否的信息，计算平台配置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信 情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受 恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程 度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况（完整 性验证失败未必表示组件安全性受到威胁，例如软件版本升级等也会 导致PCR值验证失败，却是无害的），其中bF表示该组件对系统安全 性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的 可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\kappa \left(\frac{1}{n}\underset{=1}{\overset{n-f}{\Sigma }}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{d}_{\mathrm{Fj}}---\left(1\right)$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完 整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为 调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小， 信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当 信任度或不信任度没有衰减时，u_S和u_F为0；

式（1）可简化为

$b_I=\kappa \left(\frac{1}{n}\underset{=1}{\overset{n-f}{\Sigma }}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{d}_{\mathrm{Fj}}---\left(2\right)$

（2）平台运行属性度量

平台运行属性反映了影子机当前行为可观察的信任属性。平台运 行属性包括性能特性性（如CPU、内存、硬盘使用情况和网络流量信 息等）、可靠特性（如成功率、丢包率和平均无故障时间等）和安全 特性（如非法连接次数、端口扫描次数和越权尝试企图等）。

平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯 定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定 事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

基于这些特性，可计算当前影子机运行情况的信任值。计算方法 如下：

平台运行属性信任度T_H由三元组T_H={b_H,d_H,u_H}组成，其中，

$b_H=\frac{r}{r+s+1}$

$d_H=\frac{s}{r+s+1}---\left(3\right)$

$u_H=\frac{1}{r+s+1}$

其中，b_H表示正常网络通信的可能性；d_H表示非法网络通信事 件的可能性；u_H表正常网络通信的不确定程度；

基于式(3)，即可计算出平台运行属性信任度T_H。

（3）用户认证属性度量

当用户为了获得非法利益时，如访问未授权资源，可能利用系统 漏洞或其它技术手段假冒其他用户身份，这就要求能对用户提交的身 份凭证的可信性做出度量，即计算认证信任等级。在系统中，用户身 份凭证可能有多种，如数字证书、指纹、虹膜乃至简单的PIN码，为 了统一用户身份属性可信性的表达，用户认证属性度量采用认证方法 被攻破的概率来计算认证信任级。用户身份属性度量问题实际上时如 何计算多因素认证方式的破解概率问题。

用户认证属性度量具体步骤如下：

首先，设一个攻击者成功攻破认证方法A并可以扮演成合法用户 的事件发生的概率是P(A)，则该认证方法A的可信等级levelA= -log(P(A))；

然后，如果系统采取多因素认证方案，A1,A2,…Am，m为认证因 素的数量，如采用指纹、口令和证书三因素认证，那么m=3；则该多 因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1 ∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证 后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

（4）多维度属性综合度量

基于平台配置属性度量、平台运行属性度量和用户认证属性度量 进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配 置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配 置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机安全 度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H(4)

u_P=α_I u_I+α_H u_H

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可 信的可能性；u_P表示影子机安全可信的不确定程度；

基于式（4），即可计算出影子机安全状况的量化值，得出最终 安全检测结果。

例如，检测系统设定用户认证安全阈值AU=0.65，影子机安全状 况阈值{λb_P，λd_P，λu_P}={0.7,0.1,0.2}。当用上述方法计算出某 一时刻用户认证属性度量值为0.7，影子机平台度量值为{0.6，0.2， 0.2}时，虽然用户认证属性度量值0.7>用户认证安全阈值0.65，但 由于平台度量值中b_P=0.6<λb_P=0.7,所以认定该时刻影子机安全状况 没有达到规定，是存在安全风险的。

本发明所述的智能电网嵌入式设备网络检测评估系统通过引入 影子机，在保证实际嵌入式设备正常工作的同时，对未知网络攻击进 行实时检测和感知。影子机模拟实际设备，从组件、进程、硬件配置 等影响系统安全的关键因素进行动态检测和控制，对未知的网络攻击 和异常应为进行及时相应和处理，克服现有网络攻击检测技术无法直 接应用于嵌入式设备且只能做到事后防御的弊端，对嵌入式设备进行 实时动态的网络安全检测和评估。

如图2所示，本发明所述的智能电网嵌入式设备网络检测评估方 法，包括以下步骤：

A：利用专用网络安全检测设备对各类网络数据包进行分析过滤， 并根据分析结果将正常的网络数据信息发送给实际嵌入式设备，将异 常的网络数据信息发送给影子机；

B：利用影子机用于对实际嵌入式设备的运行环境和计算环境进 行模拟，包括硬件环境模拟和软件环境模拟，对嵌入式系统在受到网 络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机 状态信息发送至电力系统安全监控中心；

C：利用电力系统安全监控中心用于对影子机发送的网络状态及 主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用 户认证属性度量进行的多维度属性综合度量，得出最终安全检测结 果；电力系统安全监控中心还用于专用网络安全检测设备和影子机进 行统一配置管理。

所述A步骤中，专用网络安全检测设备包括网络接口模块和安全 控制模块；网络接口模块用于完成IP数据包的收发，网络接口模块 包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接 安全控制模块和智能电网网络，用于接收智能电网网络所发送的IP 数据包并传送给安全控制模块；内网网络接口模块分别连接安全控制 模块和影子机以及安全控制模块和实际嵌入式设备，用于接收安全控 制模块所发送的IP数据包并传送给影子机或实际嵌入式设备；

安全控制模块用于对所接收的智能电网网络发送的IP数据包进 行解析判别；安全控制模块内存储有与相应目的地址和来源地址对应 的密钥、发送序列号及接收序列号，当安全控制模块接收到智能电网 网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取 IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收 序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送 序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算 结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造， 将此IP数据包通过内网网络接口模块发送至影子机；如果结果比较 一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读 取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号 则认为IP数据包合法，安全控制模块接收该IP数据包并将此IP数 据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号 小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网 网络接口模块发送至影子机。

所述B步骤中，影子机包括硬件可信密码模块TPM，用于实现信 息采集与组件动态可信度量；其中信息采集是指采集异常网络事件以 及主机事件并发送至电力系统安全监控中心，异常网络事件信息包括 异常的网络数据信息和网络流量信息，主机事件包括影子机配置信息 和影子机运行信息；进行组件动态可信度量时首先在影子机内配置 XEN虚拟机，XEN虚拟机位于影子机硬件层之上且操作系统之下；然 后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之 前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查 后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量 的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的 度量方式实现组件当前内存快照的可信度量或风险监测。

所述C步骤中，电力系统安全监控中心包括服务器，用于从平 台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化 评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM 相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平 台配置的可信任程度：首先基于影子机可信硬件模块TPM，以安全可 信的方式获得影子机计算平台各个组件的完整性报告信息，包括PCR 值和签名信息；然后电力系统安全监控中心对完整性报告进行验证， 得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件 的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功 的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配 置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信 情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受 恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程 度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况（完整 性验证失败未必表示组件安全性受到威胁，例如软件版本升级等也会 导致PCR值验证失败，却是无害的），其中bF表示该组件对系统安全 性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的 可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

$b_I=\kappa \left(\frac{1}{n}\underset{=1}{\overset{n-f}{\Sigma }}{b}_{\mathrm{Si}}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{b}_{\mathrm{Fj}},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{d}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{d}_{\mathrm{Fj}}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\Sigma }}{u}_{\mathrm{Si}}+\frac{1}{n}\underset{j=1}{\overset{f}{\Sigma }}{u}_{\mathrm{Fj}}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完 整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为 调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小， 信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当 信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定 事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件 作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任 度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，bH表示正常网络通信的可能性；

dH表示非法网络通信事件的可能性；

uH表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认 证信任级，设一个攻击者成功攻破认证方法A并可以扮演成合法用户 的事件发生的概率是P(A)，则该认证方法A的可信等级levelA= -log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因 素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻 破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那 么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性 度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平 台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平 台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则影子机 安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示影子机安全可信的可能性；d_P表示影子机非安全可 信的可能性；u_P表示影子机安全可信的不确定程度。

由于智能电网嵌入式设备网络检测评估方法是配合智能电网嵌 入式设备网络检测评估系统实现，方法与工作原理在此不再赘述。