基于信息熵的多源电力物联网终端设备信任评估方法
翟峰1、冯云1、程凯2、蔡少堂3、余丽英3、杨婷3
(1.中国电力科学研究院有限公司,北京 100192;2.国网河北省电力有限公司,石家庄 050021;3.天津大学电气自动化与信息工程学院,天津 300072)
摘要:电力物联网终端设备易遭受身份伪装、信息窃取、数据篡改等多重安全威胁,传统的安全方法无法抵御受损终端的网络内部攻击,信任评估体系是保护电力物联网终端免受内部攻击的有效机制。针对电力无线专网通信终端的信任问题,提出一种基于信息熵的信任评估方法。首先通过基于指数分布的信誉模型估计直接信任值;然后通过滑动窗口和遗忘因子更新直接信任值,根据熵理论度量直接信任值的不确定性;引入间接信任弥补直接信任判断的不准确性,通过对二者进行综合评价,提高判断准确率。实验仿真表明,该方法能有效抵御切换攻击和合谋攻击,同时比二项式信任管理和基于beta分布的信任评估能更好地评估恶意终端和正常终端。
引文信息
翟峰,冯云,程凯,等. 基于信息熵的多源电力物联网终端设备信任评估方法[J]. 中国电力,2022,55(5):158-165.
翟峰, 冯云, 程凯, 等. 基于信息熵的多源电力物联网终端设备信任度评估方法[J]. 电力, 2022, 55(5): 158-165.
介绍
电力物联网是通过大数据、云计算、物联网、移动通信等先进的现代通信和信息技术,实现电力系统“发、输、变、配、用、调”等各个环节的互联互通和人机交互[1],是能源互联网建设的重要驱动部分。电力物联网中存在大量的终端设备,终端具有数据采集、传输、处理、存储等功能,终端数量庞大,结构各异。随着电力物联网的不断发展,终端设备面临的安全威胁日益增加[2],在某些情况下,伪造的终端或被破坏的终端可以通过伪装身份、捕获密钥等方式侵入系统,然后冒充合法终端[3],破坏系统的可用性和完整性,对电力系统造成极大危害[4-5]。
在物联网网络安全方面,内部攻击对物联网的危害远大于外部攻击[6]。内部攻击是由网络中的恶意终端或拒绝服务终端发起的。近年来,信任管理被认为是保证网络安全的有效保护机制之一,也是抵御内部攻击的有效方法[7]。信任管理根据终端的历史行为来评估终端的信任值,从而估计终端在执行特定任务时的可信度。虽然目前已经进行了初步研究,但仍然存在一些不足,例如有研究者通过基于beta分布[8]和二项分布[9]改进信任管理,提高了信任评估的准确性,但它们均采用主观分配信任因素,导致信任评估不准确。
针对以上问题,本文针对电力无线专网通信终端设备,提出了一种基于信息熵的多源物联网终端信任评估方法[10]。采用指数分布构建终端信誉,基于历史行为计算直接信任值,并引入滑动窗口概念更新直接信任;基于信息熵理论确定直接信任的不确定性,引入间接信任值弥补直接信任判断的不准确性,通过二者综合评估提高判断准确率。最后,通过模拟电力无线专网内部攻击中的选择性转发攻击、交换机攻击、合谋攻击等攻击场景,验证了本文提出算法的实用性和先进性。
1 相关工作
电力物联网终端信誉是指邻居终端对目标终端任务执行情况的评价,是抵御内部攻击、保证网络安全的有效保护机制之一。信任是通过信誉产生的实体值[11-14]。信任管理分为信任模型和信任管理方案两大类。目前,在信任模型的研究中,一些研究者提出了一些初步模型,如模糊逻辑信任模型、DS证据信任模型、博弈论信任模型等[15-16]。参考文献[17]提出了一种基于信任的路由框架,利用贝叶斯推理计算直接信任,利用Dempster-Shafer(DS)理论结合可靠邻居的证据计算间接信任。参考文献[18]提出了域滑动窗口和跨域滑动窗口存储最新的信任值。将节点划分为域有助于减少信任存储和计算方面的信任管理开销。 文献[19]提出了一种节能信任评估(EETE)方案,采用分层信任评估模型缓解非法传感器节点的恶意影响,限制信任请求在网络内部的传播,以降低传感器簇的能耗。在信任管理方案方面,文献[20]在蒙特卡洛模拟平台上提出了一种经验声誉(ER)信任模型,用于评估任意两个移动设备用户之间的信任关系。文献[21]提出了一种基于移动边缘计算的智能信任评估方案,利用概率图模型对传感器节点的可信度进行综合评估,从数据收集和通信行为两个方面对传感器节点的可信度进行评估。
基于以上对信任模型和信任管理体系的分析可以看出,现有的信任模型大多基于β分布,针对某一特定的恶意行为进行设计;现有的信任管理方法中,很少有方案考虑多种混合攻击模式下的信任评估验证。本文设计了一种基于信息熵的多源物联网终端设备信任评估方法[22],采用指数分布表示可信度,并通过模型改进增强了评估方法的可靠性和适应性。
2 模型描述
针对如图1所示的用电信息采集无线专网远程通信系统,本文提出了一种基于信息熵原理的电力无线通信终端信任与声誉评估方法。通信终端上行与基站通信,下行与集中器通信,实现控制指令下发、数据采集、数据传输等功能。当终端需要交互时,终端会根据信任值决定是否与另一终端交互。
图1 用电信息采集系统无线专网远程通信系统架构图
图1 用电信息采集系统无线专网长距离通信系统架构图
2.1 信任与声誉模型
为了简化信任与声誉模型,本文将终端的交互行为分为交互成功与交互失败,基于指数分布与信任分布的拟合结果,假设终端间交互维持(l+m)次,则终端间的合作概率函数为
其中:l为终端间交互成功次数;m为交互失败次数;p为合作成功概率。
设终端 i 持有终端 j 的声誉为 Rij,表示为
f(p)为p的概率分布函数,因此函数的最大值代表合作成功的概率最大。此时,函数的最大值定义为终端的信任值,即
可以推导出,当p取l/(l+m)时,概率函数取最大值,即合作成功的最大概率为p。此时信任Tij用信誉分布的最大值p来表示。为了验证算法的有效性,本文证明了无论恶意终端数量如何增加,信任仍然会收敛。证明如下。
公式(4)表明信任函数是有界的,公式(5)验证了信任函数的单调性。T′ij<0,说明该函数严格单调递减。根据单调收敛定理,无论恶意终端数量如何增加,信任函数仍然会收敛。
2.2 信任与声誉评估体系模型
利用上述信誉模型,得到基于指数分布的终端信誉与信任的表达式,进而建立信任与信誉体系,实现信任评估,其流程如图2所示。
图2 信任评估流程
图2 信任评估流程
2.2.1 与熵相关的理论
熵反映系统的有序性。熵越高,有序性越低。随机变量 x[14] 的熵为
其中:p(x)表示随机变量x的概率密度函数。熵函数是定义在[0,1]上的对称函数。随机事件xi的概率用p(xi)表示。当p(xi)=0或1时,H(x)=0,表示随机事件xi的发生(或不发生)不存在不确定性;当p(xi)=0.5时,H(x)取最大值,表示随机事件在任何条件下都是完全不确定的。
2.2.2 直接信任计算
直接观察是两个实体之间通过观察获得的互动记录,不需要第三方参与。直接信任源自终端i和终端j之间的直接观察,记为Dij。指数分布表示两个相邻事件发生时间间隔的概率,因此采用指数分布作为终端间互动的先验分布。假设后者的互动方式与前者相同,则直接信任表示为
2.2.3 直接信任更新
信任值的变化是由于终端交互历史信息的实时更新,历史信息越新,对信任的影响越大。考虑到电力物联网终端设备信息交互量巨大,过多的历史信息参与更新会增加系统开销,减慢信任值更新速度。因此,采用滑动窗口N内的历史记录进行信任更新。滑动窗口记录的N条终端交互数据记录被分成n个时间段,每个时间段按顺序编号。滑动窗口内的时间段内既有恶意的,也有成功的历史交互数据。恶意数据会导致该时间段的信任受到严重影响,导致该时间段的信任丢失。因此本文引入遗忘因子ut来衡量恶意行为的影响,即
在哪里:
为第t个时隙结束时终端的直接信任度,在t个时隙中,终端i对终端j产生监听行为,在该时隙结束时成功互动次数记为
失败的交互次数记录为
新的互动次数
为了
将要
和
代入公式(9)可得新的信任值:
2.2.4 直接信任判断
当终端确定性水平上升到一定程度时,无需引入第三方评价,即直接观察即可进行信任评估。相反,当终端不确定性水平上升到一定程度时,就需要第三方评价。因此,终端的信任确定性是否满足要求是判断是否引入第三方评价的关键。好的判断方法可以节省通信资源和计算资源,提高计算速度。
熵理论是热力学、统计学和信息论等领域的概念,是随机信号或事件中不确定性或信息量的量度。因此,设H(Dij)为直接观测的熵,tthr为不确定性的阈值。阈值的设定与网络系统的安全性息息相关,熵阈值越大,系统安全性越低。若tthr≤H(Dij)≤1,说明直接信任的不确定性较大,需要更多的相关信息,则引入间接信任;若不然,则对终端j的总信任可以简单设为直接信任值,即总信任Sij≡Dij。
2.2.5 间接信任
当终端被认为“不确定”时,需要第三方推荐。评估终端i通过与j共同的邻居终端k(记为Nk)获得终端j的推荐。终端i已经拥有共同邻居终端k的先验信誉分布。终端i向邻居发送查询消息,终端i和终端j的共同邻居终端响应发送交互记录(lkj,mkj)。因此,终端i和终端j的信誉可以表示为(lj,mj)。其工作机制如图3所示,圆圈分别表示终端和终端的通信范围。注意,选定的邻居终端的通信范围为一跳。
图3:终端间接信任建立路径
图3 终端间接信任建立路径
假设共同邻居终端k提供的推荐为
给定(lkj,mkj)和(lik,mik),推荐信任值计算如下。
在哪里:
推荐互动记录;
常见邻居终端观察到的成功交互记录;
观察到常见邻居端点的交互记录失败。
根据公式(14)可知,终端i的推荐并非都是可信的,错误的反馈将导致错误的结果。评估推荐者的可信度是保证间接信任计算准确性的重要因素。只有来自可信终端的推荐才是可信的。终端i对推荐者k的信任度可表示为
设中间终端有r个,终端i的信任值记为Ti1,⋯,Ti(r−1),Tir。若Tik≥x,则采纳终端k的推荐;否则,则完全忽略,x(0≤x≤1)为自定义阈值,k=1,2⋯,r。该模型中,根据推荐者的信任程度赋予权重。计算
权重 sk 的计算方法 [11] 为
在哪里:
为了
;q的权重是收到的建议数量。
间接信任表示为
2.2.6 总体信任
当直接信任不能用于直接评价时,引入间接信任,此时终端的信任值应由直接信任和间接信任组成,因此直接信任与间接信任的权重分配是亟待解决的问题。为避免主观的直接权重分配,本文基于信息熵自适应地分配终端的信任值,利用终端提供的交互信息的效用值实现权重分配值的修正。聚合信任的计算可表示为
其中:Sij为聚合信任值;Dij为直接信任值;Iij为间接信任值;λD为直接信任权重;λI为间接信任权重。
全局间接信任的计算过程相当于综合评估多个评估指标对被评估对象影响的过程。中间节点提供的信任值和怀疑值分别用两个评估指标Iij和1-Iij表示。Iij为第三方节点对被评估节点的信任度,1-Iij为第三方节点的怀疑度。Dij为评估者与被评估者之间的参数计算。结合信息熵原理公式(6),可得
根据公式(21)[23],当x分别为Dij和Iij时,可以计算出直接信任权重λD和间接信任权重λI。
3 实验模拟与分析
本文采用典型电力无线专网实例对通信终端的信任认证进行验证。实例有100个可互操作的通信终端,包括智能电表、充电桩计量装置、杆上开关控制器等,分布在500×500 m2的供电区域内。假设各终端通信能力相同,通信半径为50 m,每个数据包大小为500 bit,其他仿真环境参数设置如表1所示。为保证网络控制的简单性,在逻辑连接中设置各终端的邻居数为2或3。本文以4种不同场景的(l,m)设置值模拟不同初始信任条件下的信任评估,并与二项式信任管理BTMS[16]和β信任管理RFSN算法进行比较。
表1 仿真环境参数设置
表1 仿真环境参数设置
场景一:将所有终端设置为可信终端,终端之间可以实现信息交互。将选择性转发攻击中节点被选中进行攻击的概率设置为[0.6,1.0]的随机数,模拟恶意行为的产生。随着采集周期的增加,恶意终端信息交互失败次数增加,信任值快速下降。为了验证本文方法可以实现终端信任评估,将本文算法与BTMS、RFSN的信任评估性能进行了对比,仿真结果如图4所示。
图4中实线表示随着采集周期的变化,可靠终端的信任值逐渐增大,虚线表示随着采集周期的变化,恶意终端的信任值逐渐减小。所提方法、RFSN、BTMS均能区分可靠终端和恶意终端,但所提方法收敛速度更快。在第50个周期,所提方法的可靠终端信任值为0.9719,BTMS的可靠终端信任值为0.9516,RFSN的可靠终端信任值为0.9276;同时,所提方法评估恶意终端的信任值为0.027,BTMS的恶意终端信任值为0.037,RFSN的可靠终端信任值为0.075。
图4:终端聚合信任评估
图4 终端聚合信任评估
场景二:当电力无线专网对手发起切换攻击时,终端数据交互能力受到破坏,终端信誉随着攻击的发起而快速下降,终端在造成危害的同时试图保持不被发现。根据切换攻击的定义,设置前20个终端交互周期表现良好,以建立良好的信誉。在第20个周期引入少量恶意终端模拟切换攻击,在第40个周期后移除攻击行为。将本文方法与RFSN、BTMS在信任评估方面进行比较,仿真结果如图5所示。
图5 交换机攻击下的终端信任评估
图5 切换攻击下的终端信任评估
如图5所示,三种方法的信任值在发生切换攻击时均显著下降,切换攻击结束后信任值缓慢上升。但本文方法的信任值下降速度远快于RFSN和BTMS,说明只需少量的不良行为就能在短时间内迅速导致信任丧失,说明本文算法能够更灵敏地检测恶意攻击。在第40个周期,本文方法终端的信任值为0.1099,BTMS终端的信任值为0.2698,RFSN终端的信任值为0.3069。
场景三:假设终端j为不可靠终端,终端i和终端j之间的邻居终端中有一个为不可靠终端,其他邻居终端为可靠终端。此时终端i和终端j之间通过一些可靠邻居终端实现相互评估。这验证了在存在不可靠邻居终端的情况下,不可靠终端的评估能力。如图6所示,为场景三中BTMS、RFSN三种方法对抗不可靠终端发起的攻击时信任值的变化情况。
图6 恶意终端信任值
图6 恶意终端信任值
如图6所示,当不可靠终端发起攻击时,3种方法的终端信任值均呈逐渐下降趋势。但本文方法的信任值下降速度快于RFSN和BTMS,说明本文方法在抵抗不可靠终端发起的攻击时具有更好的响应性能。在第50个周期时,本文方法的恶意终端信任值为0.0765,BTMS的恶意终端信任值为0.0880,RFSN的恶意终端信任值为0.1938。
场景四:在合谋攻击下,恶意终端可以充当正常终端继续工作。假设终端j不可靠,且存在不可靠的邻居终端。同时,多个恶意终端合并各自的交互时间。将本文算法与RFSN、BTMS在信任评估方面进行了比较,仿真结果如图7所示。
图7 合谋攻击下终端信任值变化
图7 合谋攻击下终端信任值变化
如图7所示,当发生合谋攻击时,所提方法的终端信任值逐渐减小,但RFSN和BTMS的终端信任值随着合谋攻击的发生而逐渐增大。这说明所提方法可以有效抵御合谋攻击,而RFSN和BTMS在抵御合谋攻击方面性能较差。在第30个周期时,所提方法的恶意终端信任值为0.2535,BTMS的恶意终端信任值为0.8484,RFSN的恶意终端信任值为0.8267。
4。结论
本文提出一种基于信息熵的信任评估方法,利用指数分布建立电力无线通信终端信任模型,并利用信息熵理论计算终端聚合信任值。该方法考虑了电力无线通信终端网络中交换机攻击、诽谤攻击、合谋攻击等多种网络内部攻击方式,在保证信任评估准确性的同时,对电力无线通信终端进行信任评估。仿真结果表明,本文方法能够合理评估终端的不确定性,抵御各种内部攻击,验证了本文方法的可行性与先进性。后续工作将继续开展轻量级信任模型研究以优化计算开销,以及组合攻击抵抗性能研究,提高电力无线通信网络安全性能。