基于網絡流量異常檢測的電網工控系統安全監測技術

◆王 謙

（深圳供電局有限公司 廣東 518000）

基于網絡流量異常檢測的電網工控系統安全監測技術

◆王 謙

（深圳供電局有限公司 廣東 518000）

本文研究電網工控系統網絡流量數據的特征，打造電網工控機系統全局性安全監測預警網絡，提出滿足電網工控機系統的網絡流量異常檢測安全監測預警平臺架構，設計出數據獲取的手段，把網絡流量特征屬性量化成熵值，有效地進行分類，能夠給電網企業工控系統的安全防護提供一定的參考以及相關的借鑒。

電網工控系統；異常檢測；安全檢測技術

0 引言

在2016年的6月4日，烏克蘭電網遭受網絡黑客攻擊導致大面積停電，攻擊方所使用的屬于一般的攻擊手段，但是卻導致關鍵公用系統失去作用，其原因是欠缺對運維過程的有效技術監管，惡意代碼被植入生產控制網絡，致使大面積的網絡故障，造成相當大的經濟損失。如今的電力監控系統主站和廠站的安全監視絕大多數憑借內網監測網絡，可是，內網接收網絡只是對于邊界位置的安全設備以及網絡設備的日志進行實時獲取，不能夠對于工控系統本身流量以及進入主站的流量開展深入的研究，更未根據有關的安全算法開展深度的剖析，潛在的工控系統廠站位置存在安全隱患，極有可能使廠站側錯誤分開分閘操作，甚至會引起一些區域斷電。本文提出通過信息熵化電力工控系統網絡流量屬性，使用改進的半監督學習聚類算法將量化的流量屬性大小開展聚類研究，進而達到流量異常檢測安全監測的效果，給電網工控系統完成全局網絡流量異常檢測、安全監測預警提供一定的參考。

1 電網工控系統面臨的信息安全風險

由于外界信息安全形勢的調整、一些新技術的使用以及能源互聯網構建的逐漸深化，工控攻擊在一方面表現出向著智能變電站、配電系統現場這些使用者側向的開放環境泛化演進的態勢，在另外一個方面，則表現出通過使用終端網絡系統甚至管理等很多角度的不足開展工控特種攻擊的態勢。具體表現有：不安全的移動介質的加入，導致病毒散播；工控網絡有可能存在外聯的其他方合作網絡，縱然部署存在一定安全保護手段，但是很容易被新型的攻擊手段所破解；控制協議有著一定的不足，很容易被攻擊；工作現場的環境相對的復雜，就像變電站等，網絡的連接有著很大的安全風險，操作系統漏洞并未迅速的開展補丁修復，十分容易被攻擊方所使用；工控新領域的不斷提升，新技術手段的大量使用，致使漏洞越來越多，如今的防護框架不能已經有效地進行覆蓋。

電網工控機系統和一般的信息系統在信息安全技術部分存在著很大區別：首先就是有著很強的使用特點，和物理世界具有一定的交互；其次是一般的信息安全軟件的補丁以及系統軟件更新頻率不能夠使用在工控系統上，停機更新系統的成本會很大，針對以上信息安全風險，不能把一般信息系統的安全防護手段使用到智能電網工控系統里，需要適用于電網工控機系統的異常檢測手段開展安全檢測，對潛在的風險或問題開展預測，而且對于攻擊事件開展追蹤，有效地將電網工控系統的安全防護能力進行提高。

2 電網工控系統安全監測預警平臺架構

工業控制系統并不是十分簡單、單獨的系統，而是和生產任務有著密切聯系的控制監測局域網絡系統。電網工控系統有兩種，分別是控制網絡以及管理網絡。管理網絡就是調度監控管理網，控制網絡部署在變電站，有過程層、間隔層還有站控層這幾個層，電網工控系統安全監測預警平臺在如今的安全防護技術的基礎上，在變電站的過程層、間隔層提高整體流量的數據獲取能力，利用網絡流量的錯誤分析以及邊界位置的感應設備日志，于站控層邊界部署工控錯誤活動檢測、工控操作活動審計，于主站位置層打造流量監測網絡、協議監測網絡以及行為監測網絡，在調度監控管理網里加裝大數據記錄、大數據研究和監控展示網絡，進而完成電網工控系統整體安全監測預警。

平臺有效地運用網絡流量、系統和安全設備的日志等，系統地開展監測，在第一時間找出安全風險，進而很好地捕獲安全事件。

3 電網工控系統網絡流量異常檢測安全監測技術

電網工控系統安全監測預警平臺所運用的屬于網絡流量異常檢測安全監測手段，由數據獲取、構建檢測要求、實時檢測幾個模塊組成。

數據獲取的作用就是將原始的數據進行獲取以及事先處理。

構建檢測規則第一步是利用信息熵量化網絡流量特性，依照屬性特征把一般流量標記成有標記的數據樣板，反之就是沒有標記的實時數據，緊接著通過完善的半監督聚類算法構建電網公共系統網絡流量異常檢測模型，而且構建起實施監測的標準。

3.1 電網工控系統的數據采集特點

電網工控機系統和正常的網絡系統存在著一定的區別，它不能忍受系統錯誤。電網工控機系統網絡數據獲取的措施是依照設備所在位置的安全情況，匹配不一樣的獲取頻率系數；按照作用的區別設定不一樣的采集頻率系數；依照鏈路的擁塞狀況，調整所在時間的采集頻率；按照設備的負荷狀況，調整設備的采集頻率，進而確保工業控制系統自身的作用能夠有效地發揮。

電網工控系統所獲取的網絡流量數據也與正常的網絡流量數據存在著很大區別，一是數據長度與一般的數據相比小很多，二是周期性信息數據很多，三是數據的流向比較確定；四是有著十分明顯的時序特征，響應時間不長。

3.2 利用信息熵量化流量特征屬性進行預處理

對于電網工控系統網絡流量數據所具有的特征，一般流量和不正常流量在分布特點上存在著很大的區別，所以能夠利用信息熵對流量特點屬性開展量化研究，研究流量特征屬性的熵大小來測定電網工控系統的流量情況。信息熵屬于信息論里用于量度信息總量的一個定義，信息總量越有序，分布就十分集中，信息熵就不大。通過地址上體現攻擊事件IP地址分布的情況，IP地址如果是越混亂，分布就越分散。

3.3 構建起檢測規則

按照電網工礦系數網絡流量數據流向一成不變，周期時序性十分明顯等特征，把一般流量數據設置成具有標記的數據樣本，不正常的流量數據則不用進行標記，用于減少分析的復雜情況，把有標記的數據初始化處理，和沒有標記的樣本進行聚類分析對比，構建起分析的模型。

4 結語

機器的學習劃分成監督學習、不用監督的學習以及半監督學習。監督學習就是通過具有標記的樣本開展學習；不用監督的學習就是通過沒有監督的樣本來開展學習，半監督學習屬于以上兩者的結合體，通過有標記的樣本數據以及沒有標記的樣本數據結合之后的概率分布開展學習，將學習的速率進行提升。聚類分析算法屬于半監督學習的一類，按照數據內在的相似情況，把沒有標記的數據劃分成很多種，種類中的數據相似情況比較大。

本文通過完善的工控算法將電網異常流量的特征屬性開展分類，進而改進公共系統流量異常檢測算法，能夠更好地進行檢測。

[1]崔錫鑫，蘇偉，劉穎.基于熵的流量分析和異常檢測技術研究與實現[J].計算機技術與發展，2013.

[2]高洋，彭勇，謝豐.美國工控安全保障管理的啟示[J].中國信息安全，2012.

[3]張帥.工業控制系統安全風險分析[J].信息安全與通信保密，2012.

[4]侯重遠，江漢紅，芮萬智，劉亮.工業網絡流量異常檢測的概率主成分分析法[J].西安交通大學學報，2012.

[5]李建，李杰，孫燕花.基于聚類融合的入侵檢測[J].計算機技術與發展，2011.

[6]張賓，楊家海，吳建平.Internet流量模型分析與評述[J].軟件學報，2011.

[7]胡毅，于東，劉明烈.工業控制網絡的研究現狀及發展趨勢[J].計算機科學，2010.

[8]馮冬芹，廖智軍，金建祥，褚健.基于以太網的工業控制網絡實時通信模型研究[J].儀器儀表學報，2005.