電網工控系統流量異常檢測的應用與算法改進①

劉亞麗, 孟令愚, 丁云峰

1(中國科學院大學,北京 100049)

2(中國科學院 沈陽計算技術研究所,沈陽 110168)

3(國家電網公司東北分部,沈陽 110180)

引言

隨著“兩化融合”的推進,工控網絡已從原有的控制網擴展到了管理網,這使得工控系統與互聯網的關系越來越緊密,工業控制網絡不斷智能化,全球互聯互通的大趨勢已勢不可擋. 然而工業控制網絡不斷開放的同時也給工控系統帶來了越來越多的安全威脅,電網工控系統也是如此. 著名的攻擊事例有2010年的“震網”病毒對伊朗核電站工控系統的網絡攻擊[1].

工控系統涉及很多重要國家基礎設施,比如電力,所以國家對工控系統安全很重視. 而工控系統安全與傳統網絡安全又有較多差異,相當于一個較新的領域.流量異常檢測技術雖已經廣泛地應用于互聯網信息安全防護中,但是在工業控制系統(Industrial Control System,ICS)中的研究較少[2],在電網工控系統中研究較之又少.

就電網工控系統來說,目前企業電力系統內部遭受網絡攻擊的問題仍無法得到有效的監測、預防與解決[3]. 為了確保電力系統安全運行工作,重視電力系統內防水平低于外防水平這一問題已成為共識[3]. 對于電力系統內部,現有的電力監控系統主站與廠站的安全監視主要依賴于內網監視平臺,該平臺主要是針對邊界處的安全設備和網絡設備的日志進行收集,但沒有針對電網工控系統內部網絡流量進行異常檢測[4].

通過分析網絡流量可直觀了解網絡中的行為,從而幫助我們監測網絡的安全狀態[5],及時發現網絡攻擊、異常流量、異常行為. 所以將流量異常檢測技術應用于電網工控系統的安全防護將利于防范電網安全威脅,可以在確保電力系統穩定運行的基礎上,提高電力系統自動化、智能化水平,為社會創造更多經濟效益.

本文針對電網工控系統中控制網的內防水平低且其安全監測和防護缺乏內部網絡流量異常檢測的現狀,提出將流量異常檢測技術應用于針對電網工控系統控制網的安全防護中,并提出一種基于熵的動態半監督K-means算法并輔以單類支持向量機(OCSVM)對半監督K-means算法進行改進,以提高流量異常檢測的效果,為監測分析網絡流量及時感知網絡異常發現攻擊,從而提升電力系統內防水平奠定基礎.

1 電網工控系統

在“兩化融合”的背景下,電網工控系統已廣泛應用信息網絡技術且其網絡化和智能化也越來越高,使得電力傳輸與控制可以自動可靠地進行.

1.1 電網工控系統的組成與結構

通俗來說,電網工控系統主要指： 電力行業中,用于監視和控制的,與計算機和網絡技術有關的系統和智能設備,以及通信與數據網絡. 具體來說,電網工控系統由控制網絡和管理網絡組成,管理網絡指調度監控管理網,控制網絡分為站控層、間隔層和過程層,部署在智能變電站[4,6]. 圖1所示是電網工控系統的結構.

圖1 電網工控系統結構

電網工控系統安全,總體來說涉及兩方面,分別是電網基礎設施安全和電網工控系統網絡安全[7]. 隨著網絡攻擊、安全威脅的飛速增長,針對工控系統的網絡攻擊和入侵也逐漸變多,所以目前網絡安全已成為電網工控系統安全防護的重中之重.

雖然傳統網絡安全防護中的流量異常檢測技術已相對成熟,但是由于傳統網絡與電網工控系統存在許多不同之處,不能直接照搬使用,所以需要研究適用于電網工控系統的流量異常檢測方法.

1.2 電網工控系統的安全需求和面臨的威脅

電網工控系統的安全需求不同于傳統網絡的安全需求之處[8],主要是以下的方面：

(1) 電網工控系統側重可用性,傳統網絡側重機密性,電網工控系統實時性要求高于傳統網絡.

(2) 電網工控系統風險管理要求主要是防止監管失控,而傳統網絡主要確保數據保密.

(3) 資產保護需求上,電網工控系統的首要保護目標是控制器及現場設備(如電力一次設備),而傳統網絡首要保護信息資產.

電網工控系統面臨多種威脅與攻擊. 工控協議在設計之初沒有考慮安全性,所以非常容易遭受網絡攻擊; “兩化融合”的電網工控系統既連接企業內部計算機網絡又連接互聯網、接入的現場設備多、網絡通信方式多導致入侵途徑多,如現場總線通訊接口、工業以太網通訊接口、U盤等移動介質、以及誤操作等都是可能的入侵途徑[9]. 總之“兩化融合”的電網工控系統面臨的工控攻擊的趨勢是綜合利用系統、網絡、終端及管理等多個層面的漏洞進行有針對性的攻擊,因此需要多種技術和多層次的安全防護.

2 電網工控系統兩級安全防護

當前我國的電力系統安全措施主要是使用防火墻進行訪問控制,安全防護方法單一. 根據電網工控系統中控制網的安全防護現狀,通過對電網工控系統安全需求和面臨的威脅攻擊的研究分析,提出將流量異常檢測技術引入電網工控系統控制網的安全防護中,使訪問控制與流量異常檢測對電網工控系統的控制網形成兩級安全防護,提高電網工控系統控制網的安全防護水平. 應用流量異常檢測技術后形成的兩級安全防護的邏輯結構,具體如圖2所示.

圖2 電網工控系統兩級安全防護

安全防護子站主要負責訪問控制. 具體是通過協議分析與信息提取階段對數據采集設備采集來的正常網絡數據包進行數據包解析,特征提取來自動構建白名單,記錄允許通過的源IP,目的IP,目的端口號[10]. 從而對現場智能終端等設備進行訪問控制,實現一級安全防護. 安全防護子站可部署在智能變電站的站控層(或間隔層).

安全防護主站接收來自于安全防護子站的基于時間窗統計處理獲得的流量特征屬性,然后進行流量異常檢測,實現二級安全防護. 安全防護主站可包括流量數據接收、流量監測與展示、流量異常檢測和告警等模塊. 安全防護主站可以部署在調度監控層(或智能變電站的站控層).

安全防護子站除了訪問控制,還要為安全防護主站的流量異常檢測做準備工作. 流量異常檢測技術的引入使得形成了對電網工控系統控制網絡的兩級安全防護,下面將詳細介紹安全防護中的關鍵技術流量異常檢測及其算法的改進.

3 流量異常檢測技術及其算法的改進

對于攻擊入口,最常見的方式還是通過網絡,并且各類攻擊通常會引起網絡流量異常[11],所以考慮安全防護時應著重從網絡流量入手,進行網絡流量的監測和異常檢測,即電網工控系統安全防護的關鍵技術是流量異常檢測技術.

通過采集網絡數據包,分析得到電網工控系統的網絡流量數據的特點[2]如下：

(1) 數據長度小,頻率相對較高.

(2) 網絡流量呈周期性.

(3) 響應時間相對小很多.

(4) 數據流向固定.

(5) 時序性強,如控制信息發生順序固定.

(6) 工控網絡主要以廣播多播形式通信,所以多用UDP協議; 而普通IT網絡常用點對點傳輸.

總之,電網工控系統的網絡流量與普通IT網的網絡流量差異較大,所以有必要針對電網工控系統,研究網絡流量異常檢測技術.

3.1 流量異常檢測技術的分類

根據相關研究,將流量異常檢測技術常用的方法主要分為統計分析方法和機器學習方法. 統計分析方法是通過選擇一些特征屬性的統計度量來刻畫系統或網絡行為狀態的邊界,根據測量的統計值是否偏離該邊界一定范圍來判斷是否發生異常[12]. 如基于工控網絡中流量周期性的異常檢測.

機器學習方法中包括基于數據挖掘的方法、基于生物學原理的方法等[2]. 基于數據挖掘的方法包括使用聚類分析、關聯分析、分類等算法的異常檢測方法;基于生物學原理的方法包括基于神經網絡、遺傳算法或免疫學原理等的異常檢測方法,總之這些方法都屬于機器學習方法.

統計分析方法不需要太多的先驗知識,但對事件發生的順序不敏感、漏報和誤報率較高[11],還需要大量純凈的訓練數據,而在真實的網絡環境中這樣的數據很難確保. 所以選擇基于機器學習的流量異常檢測方法更合適.

3.2 基于機器學習的流量異常檢測方法

根據訓練數據集有無類標記,將機器學習方法分為有監督學習和無監督學習; 而訓練數據集同時包含有類標記和無類標記的實例時,則稱為半監督學習[13].

有監督學習算法包括決策樹、貝葉斯、神經網絡、支持向量機等[13]; 無監督學習算法包括K-means等聚類分析算法.

有監督學習識別率高,但需要大量的標記樣本代價較大且無法識別未知類別,無監督可識別未知類別,但準確率低[14]. 半監督學習用少量的標記樣本來輔助大量的無標記樣本進行異常檢測,既減少標記工作又提高檢測的準確率.

由于工控網絡對可用性要求高,為了避免沒能檢測出異常而使工控網絡不可用,檢測方法的準確性要高. 工控網絡的攻擊因為多為新型的和被研究時間較短的網絡攻擊,規則庫覆蓋范圍較小,所以需要檢測方法的漏檢率低,對未知攻擊的檢測能力要高[11]. 由于工控網絡的實時性要求,需要檢測方法的快速與計算效率高. 所以相對于有監督學習,無監督學習和半監督學習更合適. 其中的K-means算法快速、計算量小、聚類效果好[11]. 與傳統的K-means算法相比,半監督K-means算法檢測率相對較高,但兩者對未知攻擊的檢測能力低. 為了進一步提高未知攻擊檢測能力,降低漏檢率,提高檢測率,提出了基于熵的動態半監督K-means算法并輔以單類支持向量機對半監督K-means算法進行改進.

3.3 流量異常檢測模型

流量異常檢測模型如圖3所示. 網絡流量原始數據經過預處理得到訓練數據,對訓練數據使用基于熵的動態半監督K-means并輔以單類支持向量機的改進半監督K-means算法進行訓練,得到檢測模型. 經過預處理的實時數據輸入檢測模型進行實時檢測,獲得檢測結果,若發現異常則進行異常告警.

3.3.1 預處理

數據流量上的特點,使得正常流量和異常流量的各種屬性在分布特征上有很大的差異[15],通過使用特征屬性的熵來處理電網工控系統的流量,將利于進行流量異常檢測[4]. 預處理階段主要進行基于時間窗的特征屬性熵量化. 按時間順序,每n個數據包為一個時間窗口并作為一個單位流量. 對單位流量計算其每個特征屬性的熵. 下面具體說明特征屬性熵量化. 如單位流量F(p1(T1,T2),p2(T1,T2),…,pn(T1,T2)),包含n個數據包p,每個包有2個特征屬性Ti(i=1,2). 屬性Ti有mi種可能取值,單位流量中屬性Ti取值為j的數據包數為nj,則Ti的熵為：最終獲得形如F(H(T1),H(T2))的單位流量的熵量化特征向量.

圖3 流量異常檢測模型

3.3.2 訓練檢測模型

傳統K-means聚類算法是無監督學習,是1967年由James MacQueen首次提出的,其原理是：n個對象中初始隨機選定k個對象作為簇中心,根據歐氏距離,將n個對象就近劃分到k個簇中,然后更新簇中心,即求簇中對象的均值作為新的簇中心,再重新就近劃分n個對象到k個簇. 重復更新簇中心和就近劃分n個對象的過程,直到劃分質量最高,即簇內高相似,簇間低相似.

Basu[16]等提出的半監督K-means算法的基本思想是用覆蓋所有類別的少量標記樣本來確定總的聚類簇個數k和初始簇中心. 其他流程與傳統K-means聚類算法相同.

SVM算法是一種建立在統計學習理論基礎上的機器學習算法[13]. 其基本思想是用一種非線性映射,把原訓練數據映射到較高的維上,在新的維上搜索最佳分離超平面[13]. SVM算法對線性和非線性的數據都可以進行分類. SVM算法又分為多種,其中單類支持向量機(OCSVM)只需要利用電網工控系統的正常網絡流量數據就可建立正常網絡流量的檢測模型[17]. 已知只包含正常數據的訓練集,其中yj是類別標記,且yj∈{1,-1},1表示正常,-1表示異常. 在特征空間上,構造最優分類超平面,其中分類超平面表達成：

然后對無類標的樣本xl根據判別規則判斷是正常還是異常數據：

實際環境中想要使得采集到的標記樣本覆蓋所有的異常類型難以實現,且該半監督K-means算法對未知攻擊的檢測能力低. 電網工控系統的正常網絡流量數據具有周期性和較小長度性等特性,且實際環境中較好獲取,適合使用單類支持向量機,但是若只利用OCSVM,不利用已有的異常類型信息,不利于建立高效的流量異常檢測系統. 所以根據以上情況,將單類支持向量機(OCSVM)引入半監督K-means聚類算法中以改進異常檢測效果,即提出基于熵的動態優化k值的半監督K-means輔以單類支持向量機,簡稱基于熵的動態半監督K-means+OCSVM算法,其具體內容如下：

1) 從少量已標記樣本中,根據其k種類標記,確定k的初始值,并將每類的樣本求均值作為該類的初始簇中心,即初始共確定k個簇中心.

2) 進行一次就近分配,計算聚類質量E1. 其中聚類質量用所有對象到其簇中心的誤差的平方和來評估,即：

且E越小,表示聚類質量越高.

3) 令k=k+1.

4) 從未標記樣本中選取一個點a作為新簇的簇中心,注意a要使得那些離其當前簇中心較遠的點b,劃分到以a為中心點的簇后,到中心點的距離縮小的和最大,即,使得公式(5)取值最大.

5) 再進行一次就近分配,計算聚類質量E2.

6) 若k次的聚類質量高于k-1次的聚類質量,則轉至步驟3); 否則k=k-1轉至步驟7).

7) 檢查是否有只包含新增簇中心點的孤立簇,若有則去從簇中心點集和未標記樣本集中掉該點,使k=k-1并重復步驟2)～6);

若無,則用步驟6)確定的新k值和k個初始簇中心點作為初始輸入,不斷進行重分配,求簇中對象的均值更新簇中心,直到簇中心收斂,得到總體樣本集的k個劃分.

8) 用步驟7)得到的k個最終簇中心點對少量有標記樣本集進行一次劃分,找到包含少量有標記樣本集中正常樣本的簇的簇中心點,以及不包含任何少量有標記樣本集中數據的未知攻擊的簇中心.

9) 使用OCSVM得到的判別規則,根據8)找到的簇中心點,找7)得到的k個劃分中的對應簇進行簇內劃分修正,從而區分開距離上較近的正常和異常數據.

3.3.3 實時檢測

流量異常檢測模型中實時檢測部分的具體流程為：將熵量化特征向量描述的網絡流量數據輸入動態半監督K-means算法得到檢測模型,檢測模型根據輸入點距離正常簇中心和各異常簇中心的距離來進行劃分之后再輔以OCSVM的正常數據判別規則修正對網絡流量數據的異常檢測判別,從而實現實時檢測網絡流量的異常與否.

4 測試驗證

測試檢測算法時,主要用到三個關鍵指標來評估,分別是： 檢測率、誤報率和未知攻擊檢測率. 其定義[11]為：

采用KDD99數據集,根據電網工控系統的網絡流量數據長度小、多用UDP協議等特點,選取近似的數據和41個特征屬性中的18個特征屬性,然后從篩選出的訓練集中取2044個正常樣本,其中異常樣本按各類異常的比例共取2270個,組成新的訓練集. 取新的訓練集的2.5%,共109個作為有標記樣本集. 測試樣本集包含正常樣本2619個,異常樣本402個,其中未知攻擊樣本66個,共3021個樣本. 測試半監督K-means算法和動態半監督K-means+OCSVM算法的檢測效果,結果如表1所示.

表1 兩種算法的測試結果(單位： %)

表1可見,改進后的半監督K-means算法,即動態半監督K-means+OCSVM算法,提高了檢測率、未知攻擊檢測率,且降低了誤報率,流量異常檢測能力優于半監督K-means算法.

5 總結

本文根據電網工控系統中控制網的內防水平低且其安全監測和防護缺乏內部網絡流量異常檢測的現狀,詳細分析了電網工控系統的組成與結構、網絡安全需求及其面臨的威脅攻擊. 提出了將流量異常檢測技術應用于電網工控系統控制網的安全防護中,從而與電力系統當前主要使用的訪問控制安全措施共同形成對電網工控系統控制網的兩級安全防護. 然后針對安全防護中的關鍵技術流量異常檢測,研究了流量異常檢測方法的分類,并根據不同方法的特點和電網工控系統的網絡流量數據的特點,選擇基于機器學習的流量異常檢測方法中的半監督K-means聚類算法. 針對半監督K-means算法的未知攻擊檢測率低等問題,本文提出了基于熵的動態半監督K-means+OCSVM算法,來改進半監督K-means算法的性能. 總之,將流量異常檢測技術應用于電網工控系統的安全防護中,并對流量異常檢測算法進行改進,將有利于提升電網工控系統的內防水平和防范電網安全威脅.

1鄒春明,鄭志千,劉智勇,等. 電力二次安全防護技術在工業控制系統中的應用. 電網技術,2013,37(11)： 3227-3232.

2高春梅. 基于工業控制網絡的流量異常檢測[碩士學位論文]. 北京： 北京工業大學,2014.

3趙延濤. 電力二次系統安全防護策略探究. 電子世界,2016,(2)： 152-154.

4鐘志琛. 基于網絡流量異常檢測的電網工控系統安全監測技術. 電力信息與通信技術,2017,14(1)： 98-102.

5劉松吟. 基于聚類分析的電力通信網絡流量分類算法研究[碩士學位論文]. 南京： 東南大學,2016.

6陳雪鴻,葉世超,石聰聰. 淺談工業控制系統信息安全等級保護定級工作. 自動化博覽,2015,(5)： 66-70.

7費稼軒,張濤,馬媛媛,等. 一種基于BF-DT-CUSUM算法的電網工控系統DDoS攻擊檢測方法. 電信科學,2015,(S1)： 106-112.

8劉威,李冬,孫波. 工業控制系統安全分析. 信息網絡安全,2012,(8)： 41-43.

9王孝良,崔保紅,李思其. 關于工控系統信息安全的思考與建議. 信息網絡安全,2012,(8)： 36-37.

10袁自強. 網絡環境下白名單子系統的設計與實現[碩士學位論文]. 成都： 電子科技大學,2011.

11王海鳳. 工業控制網絡的異常檢測與防御資源分配研究[碩士學位論文]. 杭州： 浙江大學,2014.

12許倩. 基于特征統計分析的異常流量檢測技術研究[碩士學位論文]. 鄭州： 解放軍信息工程大學,2012.

13Han JW,Kamber M,Pei J. 數據挖掘-概念與技術(原書第3 版). 范明,孟小峰譯. 北京： 機械工業出版社,2012.

14張潤,王永濱. 機器學習及其算法和發展研究. 中國傳媒大學學報(自然科學版),2016,23(2)： 10-18,24.

15朱佳佳,陳佳. 基于熵和SVM多分類器的異常流量檢測方法. 計算機技術與發展,2016,26(3)： 31-35.

16Basu S,Davidson I,Wagstaff K. Constrained Clustering：Advances in Algorithms,Theory,and Applications. London：Chapman & Hall/CRC,2008.

17李琳. 基于OCSVM的工業控制系統入侵檢測算法研究[碩士學位論文]. 沈陽： 沈陽理工大學,2016.