大家读完觉得有帮助记得关注和点赞!!!
摘要
现代电网代表了复杂的信息物理系统,需要超越传统IT安全模型的专门网络安全框架。现有的威胁情报标准,如STIX 2.1和MITRE ATT&CK,缺乏对电网特定资产、运营技术关系以及电力系统安全至关重要的信息物理依赖关系的覆盖。我们提出了Grid-STIX,这是一个针对电网网络安全应用的STIX 2.1领域特定扩展。Grid-STIX采用模块化架构,涵盖物理资产、运营技术组件、信息物理关系和安全策略,能够刻画包括分布式能源、高级计量基础设施和核能设施在内的现代电力系统。该框架通过对攻击模式、供应链风险和跨领域影响分析的系统化表征来提供威胁建模能力,同时保持与STIX 2.1的兼容性。Grid-STIX包含用于核保障和监督核查的模块,支持跨常规能源和核能领域的网络安全建模。该本体论通过策略决策点和运营上下文集成来支持零信任实施。我们的实现包括验证流程、Python代码生成和可视化工具。用例展示了其应用,包括跨电力公司的威胁情报共享、供应链风险评估以及核设施网络安全。Grid-STIX作为一个开源框架提供,以推动电力行业的协作性网络安全研究。
1 引言
现代电网是典型的信息物理系统(CPS),它将计算、通信和控制能力与发电、输电和配电的物理基础设施相结合 [humayedCyberPhysicalSystemsSecurity2017, yuSurveyCyberPhysical2023]。信息空间与物理电力基础设施之间的紧密耦合带来了独特的安全挑战,需要能够捕捉信息物理依赖关系和运营约束的威胁建模方法。
现有的网络安全标准,如结构化威胁信息表达(STIX)和MITRE针对工业控制系统(ICS)的对抗性战术、技术和常识(ATT&CK),提供了有价值的基础构件,但缺乏对电网特定的信息物理关系、运营技术(OT)依赖关系以及电力系统安全所必需的延迟约束控制路径的覆盖 [jiangMITREATTCKApplications2025]。Grid-STIX通过一个信息物理安全本体论来弥补这些差距,该本体论对电网资产、协议、保护关系和供应链风险进行建模,同时保持与STIX 2.1的兼容性。
贡献
-
一个与STIX 2.1对齐的、适用于电力系统并支持核能设施及保障应用的信息物理安全本体论。
-
一个验证框架和自动化代码生成流程,生成符合STIX标准的Python类,并附带用于交流的可视化工具。
-
为分布式能源资源网络和核设施网络安全应用中的零信任实施提供语义基础。
2 背景与相关工作
Grid-STIX是一个领域特定的STIX 2.1扩展,旨在应对分布式能源资源(DER)系统和电力基础设施中的网络安全挑战 [zografopoulosDistributedEnergyResources2023, liuEnhancingCyberResiliencyDERbased2024]。
2.1 威胁情报标准
现代威胁情报共享依赖于通用的本体论和协议,以实现信息交换和自动化处理。来自OASIS的STIX/可信自动化情报信息交换(TAXII)框架为标准化的网络威胁情报交换奠定了基础 [oasisSTIX21, STIXBestPractices2022]。STIX 2.1使用JSON通过18个域对象、18个网络可观察对象、关系对象和词汇集来标准化网络威胁情报,从而实现跨政府和行业组织的自动化威胁情报共享。配套的TAXII 2.1标准通过RESTful API实现自动化分发 [oasisTAXII21]。Grid-STIX扩展了这一框架,以应对软件化信息物理系统(CPS)的独特需求,特别是具有DER、高级计量基础设施(AMI)和软件定义控制系统的现代电网。
当前的威胁情报实践遵循既定的情报生命周期,包括从开源情报(OSINT)和专有来源进行收集、通过规范化和丰富进行处理,以及通过集成安全信息和事件管理(SIEM)及安全编排、自动化和响应(SOAR)平台的自动化数据流进行分发 [gongCyberThreatIntelligence2021, mavroeidisCyberThreatIntelligence2017]。然而,这些框架在应用于CPS和OT环境时表现出根本的局限性 [banerjeeEnsuringSafetySecurity2012, wolfSafetySecurityCyberPhysical2018]。
研究表明,虽然MITRE ATT&CK与STIX的集成适用于IT环境,但在电网应用方面存在重大差距 [jiangMITREATTCKApplications2025]。关键局限性包括物理过程表征不足、OT协议支持不充分以及缺乏对电网至关重要的安全考量。针对ICS的特定扩展(ATT&CK for ICS)有助于弥补这一点,但需要与更广泛的本体论集成才能发挥最大效用。Grid-STIX通过后续章节详述的全面信息物理安全扩展来弥补这些差距。
2.2 OT/CPS安全与标准
电网中的OT/CPS安全涉及多个标准,包括用于通信协议安全的IEC 62351和用于大电力系统网络安全的北美电力可靠性委员会(NERC)关键基础设施保护(CIP)标准 [ghiasiComprehensiveReviewCyberattacks2023, thesmartgridinteroperabilitypanel-smartgridcybersecuritycommitteeGuidelinesSmartGrid2014]。工业通信协议呈现出多样化的安全态势和实施挑战,影响了威胁建模方法,Grid-STIX通过全面的脆弱性表征来解决这些问题。
2.3 现有本体论与知识图谱
用于ICS的安全本体论包括用于IT安全的统一网络安全本体论(UCO)、FireEye的用于OT的OT-CSIO以及用于事件分类的词汇事件记录和事件共享(VERIS)社区数据库,但在电网网络安全方面仍然存在差距 [iannaconeDevelopingOntologyCyber2015, tefekSmartGridOntology2023]。现有的STIX 2.1框架侧重于传统IT安全,而非电力系统需求 [mavroeidisCyberThreatIntelligence2017]。
爱达荷国家实验室的用于ICS威胁情报图谱的STIX(STIG)[inlSTIG]为通用ICS环境提供了STIX 2.1扩展,侧重于制造和过程控制系统。虽然STIG建立了基础的ICS威胁建模模式,但它缺乏电力系统特定的构造,包括保护继电器协调、级联故障依赖关系、分布式能源资源编排以及电网网络安全所必需的核保障集成。在建模电力保护关系、电网同步依赖关系以及电力系统供应链风险表征方面仍然存在差距 [islamOntologybasedUserPrivacy2022, thesmartgridinteroperabilitypanel-smartgridcybersecuritycommitteeGuidelinesSmartGrid2014]。
IEC公共信息模型(CIM)[CommonInformationModel, cimModelingGuide, schumilinOntologybasedNetworkModel2017a]为电力系统运营和能源管理提供了标准化的数据模型,但侧重于运营数据交换而非网络安全威胁情报。虽然CIM在建模电力系统拓扑和运行状态方面表现出色,但它缺乏威胁特定的构造,包括攻击模式、脆弱性跟踪和对手战术,这些对于网络安全应用至关重要。Grid-STIX通过提供以网络安全为重点的扩展来补充CIM,这些扩展将运营电力系统数据与基于STIX的威胁情报联系起来。
Grid-STIX作为第一个为电力系统设计的网络安全本体论,解决了这些差距。它实现了标准化的威胁情报共享、自动化安全分析集成,并将在基于STIX的情报与电力运营数据之间架起桥梁。这一进步将保护系统建模、AMI标准化和供应链风险表征集成到一个统一的、符合STIX 2.1的框架中,用于零信任部署。
3 电网网络威胁模型
Grid-STIX为信息物理电力系统提供威胁建模能力,详细说明了独特的攻击向量,并演示了Grid-STIX如何通过结构化的STIX 2.1扩展来组织威胁信息。
3.1 攻击向量
电力电网呈现出超越传统IT环境的独特攻击面,需要能够考虑信息物理依赖关系、实时运营约束和级联故障可能性的威胁建模方法 [liuEnhancingCyberResiliencyDERbased2024, ghiasiComprehensiveReviewCyberattacks2023]。
以资产为中心的协同攻击进程
电网威胁行为者采用协同攻击策略,利用多个入口点并遵循特定于资产的进展模式。这些攻击活动将网络渗透与社会工程学相结合以获得初始访问权限,然后利用协议漏洞在运营技术网络中进行横向移动。攻击通常从边缘设备(智能电表、现场传感器)被攻陷开始,通过通信网络向更高价值的目标(变电站、控制中心)推进。
时间同步攻击利用运营时间窗口,例如高峰需求期、计划维护或紧急状况,此时电网运营者的态势感知能力降低且响应选项有限。DER生态系统支持分布式攻击协同,被攻陷的太阳能逆变器、电池系统和电动汽车充电基础设施可以被协调起来,在多个管理域内造成电网范围的不稳定。
协议多样性与攻击面扩展
现代电网环境采用多样化的协议生态系统,创造了跨越安全关键系统和运营系统的复杂、异构的攻击面。安全仪表和控制系统在IEC 61850框架内使用三重模件冗余(TMR)协议、PROFIsafe和GOOSE消息传递,其被攻陷可能直接影响保护系统可靠性和人员安全。非安全工业控制系统部署了Modbus、OPC UA、Ethernet/IP和DNP3等协议,这些协议具有不同的安全能力和认证机制。
协议特定的脆弱性显著扩展了电网基础设施的攻击面 [obertRecommendationsTrustEncryption2019, johnsonCybersecurityDevices]。在北美公用事业中广泛使用的DNP3缺乏内置安全机制,并且容易受到中间人攻击和重放漏洞的影响。IEC 61850的GOOSE协议在组播以太网上运行且无需认证,使其容易受到注入攻击,从而操纵关键的断路器操作。电网接口协议实现了广域协调,但引入了跨电力公司的信任依赖和跨域攻击向量。
这种协议异构性使跨运营域的安全策略执行、脆弱性管理和事件响应复杂化。攻击活动可以利用协议桥接和网关漏洞来穿越安全系统与非安全系统之间的安全边界,可能将运营中断升级为安全关键故障。
责任共担与物理互连依赖
电力电网通过责任共担模式呈现出独特的网络安全挑战,在这种模式下,处于不同所有权和控制下的互连资产必须保持严格的物理协调。与传统IT系统不同,电网资产通过基本电气属性(电压、频率和相位同步)耦合,这创造了跨越组织边界的不可避免的相互依赖关系。一个实体控制下的被攻陷资产可能通过支配电力潮流的物理定律直接影响所有互连参与者的电网稳定性。
这种责任共担延伸到实时运营依赖关系,网络安全故障通过物理机制传播。保护系统的网络攻击可能导致保护继电器误配合,从而跨电力公司边界级联,造成响应协调挑战。
级联影响建模
电力系统的相互依赖性使得网络攻击能够引发远超出初始被攻陷范围的级联故障。保护系统操纵可能导致设备误动,引发大面积停电。市场操纵攻击可能利用实时定价机制制造人为短缺或需求激增。负荷预测攻击可能操纵预测模型,导致资源分配错误。
Grid-STIX威胁建模捕捉这些级联关系,以实现影响评估和防御优先级排序。攻击模式包括时间依赖性、先决条件和放大因子,这些因素决定了局部被攻陷如何升级为系统范围的后果。
零信任攻击面分析
传统的网络边界安全在现代电网环境中失效,因为资产跨越多个管理域、通信网络和信任边界。零信任威胁建模需要对每个资产、通信路径和信任关系作为潜在攻击向量进行细粒度分析。
Grid-STIX在多个层面建模信任边界:设备认证、通信信道完整性、运营权限验证和跨域策略执行。这使得攻击面分析能够考虑信任侵蚀、权限提升和跨异构电网基础设施的横向移动。
3.2 组织网络威胁信息
Grid-STIX通过结构化的表征来解决电力系统威胁建模的复杂性,该表征在一个统一的语义框架内捕捉攻击模式、资产关系和运营上下文。
STIX 2.1 扩展与关系建模
Grid-STIX扩展了STIX 2.1的攻击模式对象,以纳入按电网领域影响(发电、输电、配电)、目标资产类型和运营后果分类的电力系统特定战术、技术和程序。该本体论包含脆弱性对象,将协议弱点与特定的电网组件联系起来,并通过关系对象捕捉攻击进程,这些关系对象对跨电网拓扑和信任域的横向移动路径、权限提升向量和级联故障依赖关系进行建模。
上下文威胁情报
Grid-STIX集成运营、环境和网络上下文,以提供态势威胁情报。攻击模式与影响攻击可行性的运营上下文(高峰需求、维护窗口、紧急状况)、环境上下文(天气事件)和网络上下文(网络拓扑、信任边界)相关联,从而能够根据当前运营状况确定威胁优先级。
4 Grid-STIX设计
Grid-STIX采用模块化的本体论框架,在保持STIX 2.1兼容性的同时,表征复杂的信息物理关系,通过系统化的关注点分离来解决电网特定的建模挑战。
4.1 模块化结构
Grid-STIX采用模块化架构,包含十一个模块,扩展了STIX 2.1域对象,同时保持语义一致性。
核心基础模块
本体论基础由三个核心模块组成,建立了主要的资产和关系层次结构。资产模块定义了扩展STIX 2.1域对象的基础资产类:physical-asset和 grid-component继承自基础设施SDO,ot-device扩展了软件SDO,从而实现了符合STIX的威胁情报集成。组件模块将这些基础类特化为全面的资产层次结构,包括发电资产(distributed-energy-resource, centralized-generation-facility)、配电基础设施(substation, transformer, transmission-line)和高级计量基础设施。
关系模块扩展了STIX关系对象,以捕捉电力系统特定的连接,包括电力潮流(feeds-power-to)、保护协调(protects-asset)和控制依赖关系(controls-relationship)。联合类支持跨异构资产类型的灵活关系域和范围规范。
领域特定扩展模块
四个领域模块为电网网络安全应用提供专门功能。攻击模式模块使用电力系统特定的战术和技术扩展了STIX攻击模式对象,包括协议操纵、保护系统攻击和级联故障利用。策略模块通过访问策略、安全策略和与运营上下文集成的策略执行机制来建模零信任策略构造。
事件和可观察对象模块定义了电网特定的网络可观察对象,包括遥测数据、报警事件和协议流量模式,扩展了STIX观察数据对象。核保障模块为核能网络安全应用提供专门建模,涵盖核电站运营、研究堆安全以及核燃料循环设施,并集成了IAEA保障措施,用于全面的核能安全建模。
上下文集成模块
四个上下文模块提供环境集成:运营上下文(电网运行状态、维护状态)、环境上下文(天气事件、自然灾害)、网络上下文(网络分段、零信任的信任边界)和物理上下文(安全边界、访问控制区)。
词汇与集成框架
词汇模块为电网协议、设备类型和运行状态提供受控词汇表和开放枚举,确保跨领域模块的术语一致性。根集成模块导入所有模块,为全面的电网网络安全建模提供单一入口点。
URI和标签约定
Grid-STIX遵循一致的命名约定,以确保机器可读性和语义清晰性。类和属性URI采用短横线命名法(kebab-case)(例如,distributed-energy-resource, feeds-power-to),而rdfs:label值使用蛇形命名法(snake_case)格式化(例如,distributed_energy_resource, feeds_power_to)。这种双重约定既支持人类可读性,又支持自动化代码生成,同时保持与STIX命名模式的兼容性。
4.2 电网关系与策略
Grid-STIX通过专门的关系对象和策略框架来建模电力系统运营关系和零信任策略构造,这些框架捕捉了物理电网依赖关系和网络安全执行机制。
电力系统关系建模
关系模块定义了电力系统特定的连接,扩展了STIX关系语义以捕捉电网运营依赖关系。电力潮流关系(feeds-power-to, generates-power-for)对发电资产、输电基础设施和配电网之间的电能传输路径进行建模。保护关系(protects-asset, protects-relationship)捕捉保护继电器协调和后备保护方案,这对级联故障分析至关重要。
控制和监控关系(controls-relationship, monitors-relationship)对监控控制依赖关系以及运营技术设备与控制中心之间的遥测数据流进行建模。电网同步关系捕捉互联电力系统之间的频率响应、电压调节和负荷平衡依赖关系。
认证与策略集成
Grid-STIX通过关系对象对多因子认证进行建模,这些关系对象捕捉跨电网基础设施的认证要求和授权关系。零信任策略与电网运营上下文集成,以实现基于实时运行状态、维护窗口和应急响应模式的威胁知情访问控制决策。该策略框架支持与电网运营程序协调的多种执行动作,以防止网络安全响应损害电网稳定性。
4.3 协议覆盖
Grid-STIX通过受控词汇表和资产绑定来表征工业控制系统协议,从而能够对跨异构电网基础设施的通信模式、协议栈和接口特征进行标准化建模。
协议建模框架
词汇模块为主要的协议族定义了开放词汇术语,包括DNP3、Modbus TCP/RTU、IEC 61850、IEC 60870-5-104、OPC-UA和IEEE通信标准。电网资产通过标准化的接口属性来指定支持的协议,这些属性捕捉协议能力和通信特性。协议特定的关系捕捉电网资产之间的通信模式,对像DNP3这样的主从协议和IEC 61850 GOOSE通信的发布-订阅模式进行建模。
运营集成
协议表征与运营上下文集成,以捕捉通信模式在不同电网运行模式下的变化方式。该框架通过系统化地识别通信依赖关系、协议转换点和跨域消息流来支持威胁分析,这些因素影响跨电网基础设施的攻击面特征。
5 工具与验证
Grid-STIX采用健壮的验证机制和自动化工具,以确保语义一致性、STIX合规性和实际可用性。
验证流程
验证框架使用ROBOT [robotTool]合并模块化本体文件,并执行结构验证,包括类连通性验证、属性一致性检查和STIX 2.1合规性验证。质量保证集成包括Python代码格式化、安全扫描和依赖项审计,以维护代码和本体论的完整性。
代码生成与可视化
Grid-STIX实现了一个四阶段的生成流程,使用Owlready2、中间表示优化和Jinja2模板将OWL本体论转换为符合STIX的Python类。该框架生成具有电网特定配色方案和过滤功能的交互式HTML可视化工具,用于交流和本体论探索。通过Makefile目标实现的开发工作流集成,支持协调的验证、生成和质量保证周期。
6 用例与预期部署
Grid-STIX通过涵盖威胁建模、供应链风险评估、核能应用和零信任执行的用例,在电力系统网络安全领域实现多样化应用。
6.1 威胁建模与供应链风险
变电站攻击进程场景
考虑一个通过被攻陷的保护继电器固件针对输电变电站的协同攻击。Grid-STIX通过互连的威胁情报对象对此场景进行建模,这些对象捕捉攻击进程和级联影响。攻击始于供应链被攻陷,恶意固件在制造过程中被嵌入保护继电器,通过连接到特定供应商实体和ot-device组件的supply-chain-risk对象进行表征。
Grid-STIX表征捕捉了攻击模式(firmware-attack-pattern)及其先决条件,包括制造过程中的物理访问和目标继电器规格。保护继电器资产(grid-component)包括供应商来源、固件版本跟踪和保护协调关系(protects-asset),这些关系支持跨变电站电气拓扑的影响评估。
当攻击激活时,Grid-STIX通过关系链对进程进行建模,这些关系链捕捉被攻陷的继电器如何操纵保护协调,可能通过affects-operation-of关系导致级联设备损坏。威胁模型包括时间依赖性、运营上下文(维护窗口、高峰需求期)以及影响信息空间和物理基础设施的跨域影响。
供应链来源分析
Grid-STIX通过全面的组件来源跟踪和脆弱性继承建模,实现系统化的供应链风险评估。供应链实体包括详细的供应商信息、原产国跟踪和组件依赖关系映射,从而支持跨复杂设备层次结构的风险聚合。
对于分布式能源资源部署,Grid-STIX对多级供应商关系进行建模,其中太阳能逆变器包含来自多个供应商的组件,每个供应商都有不同的安全态势和原产国风险状况。该本体论捕捉通信模块中的脆弱性如何通过contains和depends-on关系影响整个分布式发电系统。
风险评估场景利用Grid-STIX关系建模来识别单点故障、评估供应商集中风险,并评估供应链中断对电网运营能力的影响。这使得电力公司运营商能够优先考虑供应商多样化,对高风险组件实施强化的验证要求,并制定供应链被攻陷的应急计划。
核能安全与保障应用
Grid-STIX的核保障模块支持核能设施和燃料循环运营的网络安全建模,满足核不扩散核查和设施保护的独特需求。核电站场景利用Grid-STIX对反应堆控制系统、安全仪表和核材料衡算系统之间的关系进行建模。该框架支持核燃料循环设施的威胁建模,在这些设施中,网络攻击可能危及保障核查或材料安全,支持国家核当局与国际组织(如IAEA)之间的合作,以实现标准化的威胁情报共享,同时保护敏感的核技术信息。
跨电力公司威胁情报共享
Grid-STIX通过符合STIX 2.1的表征,促进电力公司组织之间的自动化威胁情报共享,这些表征在保护运营上下文的同时实现隐私保护的信息交换。Grid-STIX的STIX合规性使其能够与现有的威胁情报平台集成,实现自动化指标匹配以及跨电力行业的协调响应。
6.2 零信任执行
Grid-STIX通过建模电网环境中细粒度授权决策所需的必要策略构造、信任关系和运营上下文,为分布式能源资源网络中的零信任执行提供语义基础。
零信任实施
Grid-STIX通过对策略决策点、策略执行点和信任代理的建模,并结合电网特定的运营上下文,来实现零信任实施。该框架捕捉多因子认证要求,并支持威胁知情的访问控制决策,这些决策考虑电网运行状况、维护窗口和应急响应模式。具有电网感知的授权上下文包括设备认证历史、固件完整性状态和保护关系,这些关系支持包含运营知识的策略表达式,例如在高峰需求期限制高权限操作,或在检测到异常时实施自动隔离程序。
隐私保护集成
Grid-STIX通过抽象机制实现隐私保护的威胁情报共享,这些机制在保护敏感运营细节的同时支持协作性网络安全情报。Grid-STIX的STIX 2.1合规性使其能够与现有的威胁情报平台集成,同时为运营技术环境提供电网特定的扩展,支持复杂的运营场景,包括技术人员访问控制、紧急越权程序和跨电力公司协调。
7 可用性与社区采用
完整的Grid-STIX实现已在GitHub上开源发布(https://github.com/argonne-appres/grid-stix),采用GPLv3许可证。该代码库提供模块化的OWL本体文件、构建系统、验证工具和可视化组件。每个版本都包含带版本号的本体包,支持与各类平台和研究应用的稳定集成。
通过Python包生成系统可自动生成符合STIX标准的类,实现与网络安全工具链的直接集成。交互式HTML可视化界面为探索Grid-STIX概念与关系提供了便捷入口。
Grid-STIX建立了包含贡献指南和议题模板的社区协作机制,支持本体持续演进。项目采用语义化版本规范确保版本兼容性,同时允许词汇表、资产类和关系类型的扩展。代码提交流程包含自动化验证与一致性检查环节以保障质量。
贡献渠道支持多样化的社区需求,包括新兴电网技术扩展、新型攻击模式建模,以及与MITRE ATT&CK for ICS等框架的集成。标准化议题模板在保持语义一致性和STIX合规性的前提下,引导贡献者完成本体增强流程。
扫一扫
4974
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
