探討基于網(wǎng)絡流量異常檢測的電網(wǎng)工控系統(tǒng)安全監(jiān)測技術

楊丙紅

（廊坊市生產力促進中心，河北 廊坊 065000）

0 引 言

網(wǎng)絡流量異常檢測主要通過對數(shù)據(jù)流發(fā)生的網(wǎng)絡異常情況予以確定，對流量異常類型進行診斷，以維護計算機網(wǎng)絡的正常運行。目前，由于電網(wǎng)工控系統(tǒng)處于網(wǎng)絡運行環(huán)境中，這就使工控系統(tǒng)的信息安全受到嚴重威脅。為了切實解決這一難題，近年來在廣大技術人員的不懈努力下，在網(wǎng)絡流量異常檢測技術的基礎上，對電網(wǎng)工控系統(tǒng)的安全性能進行有效監(jiān)測，快速查找出網(wǎng)絡運行風險，準確捕獲各類安全事件，以及時排除安全風險隱患，確保電網(wǎng)工控系統(tǒng)能夠始終保持安全運行狀態(tài)，進而滿足社會各領域對電力能源的需求。

1 電網(wǎng)工控系統(tǒng)面臨的安全風險

1.1 黑客入侵工控系統(tǒng)操作終端

互聯(lián)網(wǎng)技術給人們的生活帶來了諸多便利，但是網(wǎng)絡病毒、木馬程序以及網(wǎng)絡黑客的出現(xiàn)使得用戶個人信息的安全性受到嚴重影響。尤其對電網(wǎng)工控系統(tǒng)來說，由于系統(tǒng)終端接入互聯(lián)網(wǎng)絡，當系統(tǒng)進行遠程連接、斷開、配置以及升級時，網(wǎng)絡黑客也將乘機攻入工控系統(tǒng)的智能設備中，在這種情況下，電網(wǎng)工控系統(tǒng)的功能將受到嚴重影響，甚至容易出現(xiàn)系統(tǒng)癱瘓的情況。因此，對電網(wǎng)工控系統(tǒng)智能終端的安全性能提出了更高的要求。

1.2 無線虛擬網(wǎng)絡的安全漏洞

近年來，通信技術飛速發(fā)展，尤其在互聯(lián)網(wǎng)環(huán)境下，無線網(wǎng)絡技術應運而生，這種技術在給生產和生活帶來諸多便利的同時，也給網(wǎng)絡黑客、病毒以及木馬程序打開了一個入侵通道。與有線網(wǎng)絡相比，無線網(wǎng)絡信號覆蓋面廣，因此電力部門常常通過無線虛擬專網(wǎng)來傳送各種數(shù)據(jù)信息，無形中就增加了網(wǎng)絡運行風險。雖然電力部門采取了相應的安全防范措施，但是無線網(wǎng)絡的病毒與黑客攻擊類型呈現(xiàn)出多樣化特點，電力網(wǎng)絡的運行安全也必將時刻受到威脅[1]。

1.3 用戶側的安全威脅

電網(wǎng)工控系統(tǒng)往往借助于AMI系統(tǒng)向用戶提供電力能源等服務內容，該系統(tǒng)主要由智能電表、通信系統(tǒng)與設備以及電表信息管理系統(tǒng)組成，如果電網(wǎng)工控系統(tǒng)與該系統(tǒng)進行直連，那么用戶端的安全風險系數(shù)就會增大。例如，用戶在享受電力系統(tǒng)提供的便捷服務的同時，一些家用智能化設備也與電力系統(tǒng)構成一個整體運行網(wǎng)絡，一旦遇到非法攻擊，智能化設備就會出現(xiàn)各種類型的故障，另外受到暴雨或者雷電等惡劣氣候條件的影響，這些設備的安全性能也會大幅降低，這時與之相連的電網(wǎng)工控系統(tǒng)的電力負荷也將遭到破壞，嚴重的還會導致局部電網(wǎng)癱瘓。

1.4 電網(wǎng)工控系統(tǒng)安全漏洞

電網(wǎng)工控系統(tǒng)中的終端工作站在運轉過程中存在諸多安全隱患和漏洞，如應用軟件漏洞、網(wǎng)絡協(xié)議漏洞以及安全管理漏洞等。其中，應用軟件漏洞是一種較為常見的系統(tǒng)安全風險類型，電網(wǎng)工控系統(tǒng)中的軟件容易和殺毒軟件出現(xiàn)沖突，在網(wǎng)絡正常運行時，病毒將從這一漏洞中侵蝕到工控網(wǎng)絡內部，但是這種安全漏洞易于發(fā)現(xiàn)和識別，如果將工控系統(tǒng)與公共網(wǎng)絡相接，這種漏洞的安全風險指數(shù)也將飆升。網(wǎng)絡協(xié)議漏洞主要針對TCP/IP協(xié)議以及OPC網(wǎng)絡協(xié)議而言，尤其是OPC應用層的數(shù)據(jù)協(xié)議。由于支持該協(xié)議的交換設備往往需要從國外引進，因此制造廠家為應對隨時可能爆發(fā)的信息戰(zhàn)，常常將交換設備應用參數(shù)的控制權牢牢掌握在自己手里，一旦受到外界不明攻擊源的攻擊，電網(wǎng)工控系統(tǒng)的安全風險等級也將陡然上升。安全管理漏洞主要是針對主觀人為因素而言，在電網(wǎng)工控設備運行當中，操作人員如果將U盤和移動硬盤與系統(tǒng)接入，那么一些路徑不明的病毒就可能會侵蝕系統(tǒng)，從而導致數(shù)據(jù)信息丟失[2]。電網(wǎng)工控系統(tǒng)漏洞類型如圖1所示。

圖1 電網(wǎng)工控系統(tǒng)漏洞類型

2 網(wǎng)絡流量異常情況分析

網(wǎng)絡流量異常檢測主要是基于網(wǎng)絡通道運行不暢或者流量異常的情況而實施的一種檢測手段，目前較為常見的網(wǎng)絡流量異常主要包括以下3種情況。

2.1 網(wǎng)絡操作異常

引發(fā)這種異常狀況的主要原因是由于網(wǎng)絡配置發(fā)生變化，或者支持網(wǎng)絡設備正常運轉的存儲設備本身出現(xiàn)耗損，從而導致存儲能力下降。即存儲介質的存儲空間變小，或者數(shù)據(jù)信息的存儲能力與處理能力嚴重下降，這時網(wǎng)絡流量也將出現(xiàn)異常。

2.2 蠕蟲病毒的傳播

蠕蟲病毒是計算機網(wǎng)絡中一種較為常見的病毒，一旦這種病毒入侵網(wǎng)絡通道，不僅會破壞計算機的使用功能，而且也將惡意篡改應用程序。如果流量蠕蟲病毒無法得到有效控制，不斷在網(wǎng)絡環(huán)境中進行傳播和復制，那么一些重要流量數(shù)據(jù)將被病毒侵蝕和感染，這種情況下也會引發(fā)網(wǎng)絡流量異常[3]。

2.3 網(wǎng)絡濫用

當出現(xiàn)這種異常狀況后，系統(tǒng)將無法準確預測系統(tǒng)中的字節(jié)流量、包流量以及位流量等相關數(shù)據(jù)信息，技術人員只有根據(jù)網(wǎng)絡數(shù)據(jù)出現(xiàn)的異常特征對其進行處理。

3 電網(wǎng)工控系統(tǒng)安全監(jiān)測預警平臺模型構建

電網(wǎng)工控系統(tǒng)并不是一個單獨孤立的運營系統(tǒng)，從網(wǎng)絡結構上劃分主要包括控制網(wǎng)絡與管理網(wǎng)絡，控制網(wǎng)絡布置在變電站中，由下至上分為過程層、間隔層以及站控層。過程層主要設備包括電子式互感器、智能終端、合并單元、智能單元狀態(tài)監(jiān)測裝置以及流量數(shù)據(jù)采集裝置，間隔層的主要功能是間隔保護、錄波、測控、流量數(shù)據(jù)采集、計量以及電量采集，站控層主要包括后臺、監(jiān)控主站、工程師站、信息子站、流量監(jiān)測平臺、協(xié)議監(jiān)測平臺以及行為監(jiān)測平臺。其中，間隔層與站控層的一體化平臺主要對工控系統(tǒng)的異常行為進行監(jiān)測。而管理網(wǎng)絡主要指調度監(jiān)控管理網(wǎng)，由上至下包括監(jiān)控層、分析層以及數(shù)據(jù)層。監(jiān)控層主要功能是對電網(wǎng)工控系統(tǒng)的安全監(jiān)測和安全預警進行可視化展示，分析層具備半監(jiān)督學習聚類分析功能與關聯(lián)分析功能，而數(shù)據(jù)層則是對各種數(shù)據(jù)信息進行緩存，對海量數(shù)據(jù)進行存儲和處理[4]。

這一平臺在運行過程中可以完全利用網(wǎng)絡流量、安全設備日志以及網(wǎng)絡行為，對電網(wǎng)工控系統(tǒng)的安全運行進行監(jiān)測和數(shù)據(jù)分析，如果發(fā)現(xiàn)運行異常或者未知的安全風險，安全監(jiān)測預警平臺將及時發(fā)出預警信號，并成功捕獲各種安全事件。由此可以看出，該平臺模型的建立為電網(wǎng)工控系統(tǒng)的安全運行創(chuàng)造了一個必要條件。

4 電網(wǎng)工控系統(tǒng)流量異常檢測安全監(jiān)測技術的應用

目前，電網(wǎng)工控系統(tǒng)安全監(jiān)測預警平臺主要采用網(wǎng)絡流量異常檢測安全監(jiān)測技術，從該技術的流程模型中可以看出，監(jiān)測技術的應用與實施主要包括數(shù)據(jù)采集、制定檢測規(guī)則以及實時檢測3個階段。其中，數(shù)據(jù)采集主要包括收集與預處理兩個環(huán)節(jié)，制定檢測規(guī)則主要是對未標記的實時數(shù)據(jù)及已經標記的數(shù)據(jù)進行聚類處理，然后根據(jù)檢測規(guī)則對這些數(shù)據(jù)信息進行實時檢測，以確定網(wǎng)絡流量是否存在異常狀況。電網(wǎng)工控系統(tǒng)與普通的網(wǎng)絡系統(tǒng)存在較大差異，尤其在穩(wěn)定性方面。電網(wǎng)工控系統(tǒng)無法隨系統(tǒng)宕機，即計算機在非正常運行狀態(tài)下，電網(wǎng)工控系統(tǒng)也將無法正常運行。因此，在安全等級設計方面，每一個等級均匹配不同的采集頻率系數(shù)。從電網(wǎng)工控系統(tǒng)的流量數(shù)據(jù)來說，與普通的網(wǎng)絡流量數(shù)據(jù)也有所不同，其數(shù)據(jù)長度普遍小于一般的數(shù)據(jù)，而且數(shù)據(jù)流向處于固定流向，數(shù)據(jù)的響應時間極短[5]。

4.1 通過信息熵量化流量特征進行預處理

電力部門結合電網(wǎng)工控系統(tǒng)的網(wǎng)絡流量數(shù)據(jù)特點發(fā)現(xiàn)，在網(wǎng)絡流量處于正常狀態(tài)時，與異常狀態(tài)時的流量存在較大差異，因此技術人員可以根據(jù)這一特性，對網(wǎng)絡流量進行量化處理，通過分析信息熵的方法對電網(wǎng)工控系統(tǒng)的流量情況予以監(jiān)測。信息熵屬于一個信息總量概念，當這一總量的秩序性越高，分布越加均勻，信息熵則越低，當信息總量秩序性較低，而且分布較為分散時信息熵越高。由此可以通過地址熵反映出的攻擊事件對IP地址的分布情況進行分析，如果發(fā)現(xiàn)IP地址混亂分布，則地址熵就越高，如果IP地址有序分布，則地址熵越低。結合這一分析結果，能夠準確判斷IP地址的分布是否存在異常現(xiàn)象。

技術人員可以根據(jù)數(shù)據(jù)包的時間順序構建一個數(shù)學模型，這一模型可以記錄單位流量某一特征屬性所發(fā)生的具體次數(shù)，通常用X{X1、X2、…、XN}來表示，參照的屬性熵值主要來自于IP地址、工控協(xié)議、源端口以及目的端口。如果以計算單位流量源IP地址的熵值為例，則IP地址的個數(shù)記作M，出現(xiàn)的不同次數(shù)可以分別記作ni，其中的i值取1、2、3……M，那么根據(jù)這一已知條件，可以得出IP地址熵值的數(shù)學運算公式為：

4.2 檢測規(guī)則的制訂

電網(wǎng)工控系統(tǒng)安全監(jiān)測預警平臺建立以后需要制訂一個檢測規(guī)則，在制訂規(guī)則之前，首先需要考慮網(wǎng)絡流量屬性，根據(jù)事先采集的數(shù)據(jù)樣本對正常流量與異常流量進行標記，然后再以半監(jiān)督聚類的算法構建一個電網(wǎng)工控系統(tǒng)網(wǎng)絡流量異常檢測模型，技術人員利用這一模型可以對流量狀況進行實時檢測，以確定流量是否正常。其主要算法包括半監(jiān)督學習的K-means聚類分析算法以及改進的K-means算法。

4.2.1 半監(jiān)督學習的K-means聚類分析算法

隨著人工智能技術的日漸完善，機器學習這種智能技術已經在電網(wǎng)工控系統(tǒng)中被普遍應用，主要包括監(jiān)督式學習、無監(jiān)督學習以及半監(jiān)督學習3種學習形態(tài)。其中，監(jiān)督式學習主要參考帶有標記的數(shù)據(jù)樣本進行學習，無監(jiān)督學習是參考沒有標記的數(shù)據(jù)樣本進行學習，而半監(jiān)督學習則集合兩種數(shù)據(jù)樣本，再根據(jù)概率分布情況進行學習。與前兩種學習形態(tài)相比，半監(jiān)督學習的學習速度更加便捷高效。而聚類分析算法作為半監(jiān)督學習的一種重要方式，其學習原理如下。先將沒有標記的數(shù)據(jù)進行分類處理，分類依據(jù)主要根據(jù)數(shù)據(jù)的相似度，相似度較高的數(shù)據(jù)分為一類，相似度較低的劃歸為另一類，然后利用K-means算法對電網(wǎng)工控系統(tǒng)的流量屬性熵值進行分類，這種方法能夠使網(wǎng)絡流量異常的檢測算法更加優(yōu)化，進而大幅提升檢測效率[7]。

過去，技術人員采用的半監(jiān)督聚類K-means算法的運算過程較為簡捷，運算速度相對較快，尤其在檢測網(wǎng)絡流量異常情況時的實際應用價值得到充分體現(xiàn)。例如，數(shù)據(jù)樣本采集階段，選取的樣本個數(shù)記作N，IP地址熵值數(shù)據(jù)集合記作D，D的取值分別為X1、X2、…、Xn。在運算過程中，首先需要確定K的值，再以K作為聚類的初始中心，如果K≤N，則IP地址熵數(shù)據(jù)便可以分成S=（S1、S2、…、Sn）個聚類中心，接下來根據(jù)歐式距離可以求解出聚類中心與剩余數(shù)據(jù)間的距離。如果將Si的數(shù)據(jù)作為均值，則可以重復以上運算過程，求解出Si的平均值及數(shù)據(jù)元素的平方誤差和。

4.2.2 改進的K-means算法

半監(jiān)督學習狀態(tài)下的K-means聚類分析算法看似簡單實用，但是從K值的初始取值可以看出，如果K值的取值不同，則運算結果也存在較大差異，這將對聚類分析的準確性造成不利影響。其次是這種算法會產生多個孤立的數(shù)據(jù)點，這些數(shù)據(jù)大多不符合數(shù)據(jù)特征，或者偏離數(shù)據(jù)區(qū)，在這種情況下計算出的平均值也會產生較大的運算偏差，電網(wǎng)工控系統(tǒng)的安全監(jiān)測結果也會產生不利影響。因此，為了有效避免上述情況的發(fā)生，技術人員對K-means算法中的K值及聚類中心的初始值進行改進。在傳統(tǒng)的K-means算法中，K值的取值一般選取有標記的正常流量包，而參照點的選取也不是以聚類中心的平均值為準，而是以聚類中心的中心點為基準，這種傳統(tǒng)的算法將產生大量的孤立數(shù)據(jù)點，這就使得到監(jiān)測結果的精準度難以滿足標準要求[8]。

而經過改進的K-means算法與傳統(tǒng)算法存在顯著差異，在確定K值時常常以帶有標記的數(shù)據(jù)樣本為基準，然后在選取的樣本中以隨機抽樣的方法來選取K值，并將其作為初始中心點，其余未被選取的數(shù)據(jù)樣本，則將其就近分配到各自所對應的聚類中心。通過循環(huán)往復的處理與運算過程，中心點對象將被非中心點對象所代替，在這種情況下，技術人員可以對非中心點對象與中心點對象之間的距離之和進行比較分析，進而求得最小距離之和，并通過迭代累加的過程，求解出聚類中心的實際中心點對象。

4.3 實時檢測

實時檢測作為電網(wǎng)工控系統(tǒng)網(wǎng)絡流量異常安全監(jiān)測平臺的一個關鍵環(huán)節(jié)，是在數(shù)據(jù)采集與規(guī)則建立之后而形成的一種檢測模式。目前，在實時檢測階段，參照的數(shù)據(jù)集以KDD99數(shù)據(jù)集為主。檢測過程中參照的屬性參數(shù)的主要特征是周期性數(shù)據(jù)、數(shù)據(jù)流向固定以及響應時間短等。下面以篩選出的41個特征屬性與18個與電網(wǎng)工控系統(tǒng)網(wǎng)絡數(shù)據(jù)特征相似的特征屬性數(shù)據(jù)作為樣本數(shù)據(jù)，然后基于網(wǎng)絡流量異常檢測的手段，對電網(wǎng)工控系統(tǒng)的安全性能進行仿真監(jiān)測實驗。在該實驗開始之前，首先確定實驗樣本的個數(shù)為3 000個，其中正常數(shù)據(jù)的數(shù)量為2 900個，異常數(shù)據(jù)的數(shù)量為100個，然后通過半監(jiān)督學習的K-means聚類分析算法及改進的K-means算法，分別驗證每一種算法的誤檢率[9]。實驗驗證結果如表1所示。

表1 兩種算法的實驗驗證結果

從表1中的實驗驗證結果可以看出，改進的K-means算法的誤檢率均超過半監(jiān)督學習的K-means聚類分析算法5%左右，因此，可以確定利用改進后的K-means算法能夠更加精準地檢測出網(wǎng)絡流量的異常狀況。根據(jù)這一檢測流程，可以得出電網(wǎng)工控系統(tǒng)的網(wǎng)絡流量數(shù)據(jù)可以根據(jù)流量的屬性特征進行熵值量化，然后利用改進以后的K-means算法來構建一個聚類分析模型，這時，正常流量與異常流量都可以體現(xiàn)在聚類中心中，如果檢測出的數(shù)據(jù)正常，則可以標記為正常流量，如果反映出的數(shù)據(jù)存在異常狀況，則可以標記為異常流量。這樣一來，電網(wǎng)工控系統(tǒng)的安全監(jiān)測預警功能也能夠得以實現(xiàn)，電網(wǎng)工控系統(tǒng)的安全性也將得到大幅提升[10]。

5 結 論

基于網(wǎng)絡流量異常檢測的電網(wǎng)工控系統(tǒng)的安全監(jiān)測技術，是目前電力系統(tǒng)普遍應用的一種高效監(jiān)測技術，技術人員可以結合網(wǎng)絡流量特征屬性構建安全監(jiān)測預警平臺。當平臺建立以后，根據(jù)改進后的K-means算法建立一個聚類分析模型，進而能夠對全局電網(wǎng)的流量情況進行有效監(jiān)測，這不僅避免了孤立數(shù)據(jù)的出現(xiàn)，而且也能夠實時監(jiān)測電網(wǎng)工控系統(tǒng)的運行狀態(tài)，為快速消除安全風險隱患提供了強大的技術支撐，電網(wǎng)工控系統(tǒng)的安全穩(wěn)定性能也得到切實保障。