探討基于網(wǎng)絡(luò)流量異常檢測的電網(wǎng)工控系統(tǒng)安全監(jiān)測技術(shù)

楊丙紅

（廊坊市生產(chǎn)力促進(jìn)中心，河北 廊坊 065000）

0 引 言

網(wǎng)絡(luò)流量異常檢測主要通過對數(shù)據(jù)流發(fā)生的網(wǎng)絡(luò)異常情況予以確定，對流量異常類型進(jìn)行診斷，以維護(hù)計算機(jī)網(wǎng)絡(luò)的正常運行。目前，由于電網(wǎng)工控系統(tǒng)處于網(wǎng)絡(luò)運行環(huán)境中，這就使工控系統(tǒng)的信息安全受到嚴(yán)重威脅。為了切實解決這一難題，近年來在廣大技術(shù)人員的不懈努力下，在網(wǎng)絡(luò)流量異常檢測技術(shù)的基礎(chǔ)上，對電網(wǎng)工控系統(tǒng)的安全性能進(jìn)行有效監(jiān)測，快速查找出網(wǎng)絡(luò)運行風(fēng)險，準(zhǔn)確捕獲各類安全事件，以及時排除安全風(fēng)險隱患，確保電網(wǎng)工控系統(tǒng)能夠始終保持安全運行狀態(tài)，進(jìn)而滿足社會各領(lǐng)域?qū)﹄娏δ茉吹男枨蟆?/p>

1 電網(wǎng)工控系統(tǒng)面臨的安全風(fēng)險

1.1 黑客入侵工控系統(tǒng)操作終端

互聯(lián)網(wǎng)技術(shù)給人們的生活帶來了諸多便利，但是網(wǎng)絡(luò)病毒、木馬程序以及網(wǎng)絡(luò)黑客的出現(xiàn)使得用戶個人信息的安全性受到嚴(yán)重影響。尤其對電網(wǎng)工控系統(tǒng)來說，由于系統(tǒng)終端接入互聯(lián)網(wǎng)絡(luò)，當(dāng)系統(tǒng)進(jìn)行遠(yuǎn)程連接、斷開、配置以及升級時，網(wǎng)絡(luò)黑客也將乘機(jī)攻入工控系統(tǒng)的智能設(shè)備中，在這種情況下，電網(wǎng)工控系統(tǒng)的功能將受到嚴(yán)重影響，甚至容易出現(xiàn)系統(tǒng)癱瘓的情況。因此，對電網(wǎng)工控系統(tǒng)智能終端的安全性能提出了更高的要求。

1.2 無線虛擬網(wǎng)絡(luò)的安全漏洞

近年來，通信技術(shù)飛速發(fā)展，尤其在互聯(lián)網(wǎng)環(huán)境下，無線網(wǎng)絡(luò)技術(shù)應(yīng)運而生，這種技術(shù)在給生產(chǎn)和生活帶來諸多便利的同時，也給網(wǎng)絡(luò)黑客、病毒以及木馬程序打開了一個入侵通道。與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)信號覆蓋面廣，因此電力部門常常通過無線虛擬專網(wǎng)來傳送各種數(shù)據(jù)信息，無形中就增加了網(wǎng)絡(luò)運行風(fēng)險。雖然電力部門采取了相應(yīng)的安全防范措施，但是無線網(wǎng)絡(luò)的病毒與黑客攻擊類型呈現(xiàn)出多樣化特點，電力網(wǎng)絡(luò)的運行安全也必將時刻受到威脅[1]。

1.3 用戶側(cè)的安全威脅

電網(wǎng)工控系統(tǒng)往往借助于AMI系統(tǒng)向用戶提供電力能源等服務(wù)內(nèi)容，該系統(tǒng)主要由智能電表、通信系統(tǒng)與設(shè)備以及電表信息管理系統(tǒng)組成，如果電網(wǎng)工控系統(tǒng)與該系統(tǒng)進(jìn)行直連，那么用戶端的安全風(fēng)險系數(shù)就會增大。例如，用戶在享受電力系統(tǒng)提供的便捷服務(wù)的同時，一些家用智能化設(shè)備也與電力系統(tǒng)構(gòu)成一個整體運行網(wǎng)絡(luò)，一旦遇到非法攻擊，智能化設(shè)備就會出現(xiàn)各種類型的故障，另外受到暴雨或者雷電等惡劣氣候條件的影響，這些設(shè)備的安全性能也會大幅降低，這時與之相連的電網(wǎng)工控系統(tǒng)的電力負(fù)荷也將遭到破壞，嚴(yán)重的還會導(dǎo)致局部電網(wǎng)癱瘓。

1.4 電網(wǎng)工控系統(tǒng)安全漏洞

電網(wǎng)工控系統(tǒng)中的終端工作站在運轉(zhuǎn)過程中存在諸多安全隱患和漏洞，如應(yīng)用軟件漏洞、網(wǎng)絡(luò)協(xié)議漏洞以及安全管理漏洞等。其中，應(yīng)用軟件漏洞是一種較為常見的系統(tǒng)安全風(fēng)險類型，電網(wǎng)工控系統(tǒng)中的軟件容易和殺毒軟件出現(xiàn)沖突，在網(wǎng)絡(luò)正常運行時，病毒將從這一漏洞中侵蝕到工控網(wǎng)絡(luò)內(nèi)部，但是這種安全漏洞易于發(fā)現(xiàn)和識別，如果將工控系統(tǒng)與公共網(wǎng)絡(luò)相接，這種漏洞的安全風(fēng)險指數(shù)也將飆升。網(wǎng)絡(luò)協(xié)議漏洞主要針對TCP/IP協(xié)議以及OPC網(wǎng)絡(luò)協(xié)議而言，尤其是OPC應(yīng)用層的數(shù)據(jù)協(xié)議。由于支持該協(xié)議的交換設(shè)備往往需要從國外引進(jìn)，因此制造廠家為應(yīng)對隨時可能爆發(fā)的信息戰(zhàn)，常常將交換設(shè)備應(yīng)用參數(shù)的控制權(quán)牢牢掌握在自己手里，一旦受到外界不明攻擊源的攻擊，電網(wǎng)工控系統(tǒng)的安全風(fēng)險等級也將陡然上升。安全管理漏洞主要是針對主觀人為因素而言，在電網(wǎng)工控設(shè)備運行當(dāng)中，操作人員如果將U盤和移動硬盤與系統(tǒng)接入，那么一些路徑不明的病毒就可能會侵蝕系統(tǒng)，從而導(dǎo)致數(shù)據(jù)信息丟失[2]。電網(wǎng)工控系統(tǒng)漏洞類型如圖1所示。

圖1 電網(wǎng)工控系統(tǒng)漏洞類型

2 網(wǎng)絡(luò)流量異常情況分析

網(wǎng)絡(luò)流量異常檢測主要是基于網(wǎng)絡(luò)通道運行不暢或者流量異常的情況而實施的一種檢測手段，目前較為常見的網(wǎng)絡(luò)流量異常主要包括以下3種情況。

2.1 網(wǎng)絡(luò)操作異常

引發(fā)這種異常狀況的主要原因是由于網(wǎng)絡(luò)配置發(fā)生變化，或者支持網(wǎng)絡(luò)設(shè)備正常運轉(zhuǎn)的存儲設(shè)備本身出現(xiàn)耗損，從而導(dǎo)致存儲能力下降。即存儲介質(zhì)的存儲空間變小，或者數(shù)據(jù)信息的存儲能力與處理能力嚴(yán)重下降，這時網(wǎng)絡(luò)流量也將出現(xiàn)異常。

2.2 蠕蟲病毒的傳播

蠕蟲病毒是計算機(jī)網(wǎng)絡(luò)中一種較為常見的病毒，一旦這種病毒入侵網(wǎng)絡(luò)通道，不僅會破壞計算機(jī)的使用功能，而且也將惡意篡改應(yīng)用程序。如果流量蠕蟲病毒無法得到有效控制，不斷在網(wǎng)絡(luò)環(huán)境中進(jìn)行傳播和復(fù)制，那么一些重要流量數(shù)據(jù)將被病毒侵蝕和感染，這種情況下也會引發(fā)網(wǎng)絡(luò)流量異常[3]。

2.3 網(wǎng)絡(luò)濫用

當(dāng)出現(xiàn)這種異常狀況后，系統(tǒng)將無法準(zhǔn)確預(yù)測系統(tǒng)中的字節(jié)流量、包流量以及位流量等相關(guān)數(shù)據(jù)信息，技術(shù)人員只有根據(jù)網(wǎng)絡(luò)數(shù)據(jù)出現(xiàn)的異常特征對其進(jìn)行處理。

3 電網(wǎng)工控系統(tǒng)安全監(jiān)測預(yù)警平臺模型構(gòu)建

電網(wǎng)工控系統(tǒng)并不是一個單獨孤立的運營系統(tǒng)，從網(wǎng)絡(luò)結(jié)構(gòu)上劃分主要包括控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)，控制網(wǎng)絡(luò)布置在變電站中，由下至上分為過程層、間隔層以及站控層。過程層主要設(shè)備包括電子式互感器、智能終端、合并單元、智能單元狀態(tài)監(jiān)測裝置以及流量數(shù)據(jù)采集裝置，間隔層的主要功能是間隔保護(hù)、錄波、測控、流量數(shù)據(jù)采集、計量以及電量采集，站控層主要包括后臺、監(jiān)控主站、工程師站、信息子站、流量監(jiān)測平臺、協(xié)議監(jiān)測平臺以及行為監(jiān)測平臺。其中，間隔層與站控層的一體化平臺主要對工控系統(tǒng)的異常行為進(jìn)行監(jiān)測。而管理網(wǎng)絡(luò)主要指調(diào)度監(jiān)控管理網(wǎng)，由上至下包括監(jiān)控層、分析層以及數(shù)據(jù)層。監(jiān)控層主要功能是對電網(wǎng)工控系統(tǒng)的安全監(jiān)測和安全預(yù)警進(jìn)行可視化展示，分析層具備半監(jiān)督學(xué)習(xí)聚類分析功能與關(guān)聯(lián)分析功能，而數(shù)據(jù)層則是對各種數(shù)據(jù)信息進(jìn)行緩存，對海量數(shù)據(jù)進(jìn)行存儲和處理[4]。

這一平臺在運行過程中可以完全利用網(wǎng)絡(luò)流量、安全設(shè)備日志以及網(wǎng)絡(luò)行為，對電網(wǎng)工控系統(tǒng)的安全運行進(jìn)行監(jiān)測和數(shù)據(jù)分析，如果發(fā)現(xiàn)運行異常或者未知的安全風(fēng)險，安全監(jiān)測預(yù)警平臺將及時發(fā)出預(yù)警信號，并成功捕獲各種安全事件。由此可以看出，該平臺模型的建立為電網(wǎng)工控系統(tǒng)的安全運行創(chuàng)造了一個必要條件。

4 電網(wǎng)工控系統(tǒng)流量異常檢測安全監(jiān)測技術(shù)的應(yīng)用

目前，電網(wǎng)工控系統(tǒng)安全監(jiān)測預(yù)警平臺主要采用網(wǎng)絡(luò)流量異常檢測安全監(jiān)測技術(shù)，從該技術(shù)的流程模型中可以看出，監(jiān)測技術(shù)的應(yīng)用與實施主要包括數(shù)據(jù)采集、制定檢測規(guī)則以及實時檢測3個階段。其中，數(shù)據(jù)采集主要包括收集與預(yù)處理兩個環(huán)節(jié)，制定檢測規(guī)則主要是對未標(biāo)記的實時數(shù)據(jù)及已經(jīng)標(biāo)記的數(shù)據(jù)進(jìn)行聚類處理，然后根據(jù)檢測規(guī)則對這些數(shù)據(jù)信息進(jìn)行實時檢測，以確定網(wǎng)絡(luò)流量是否存在異常狀況。電網(wǎng)工控系統(tǒng)與普通的網(wǎng)絡(luò)系統(tǒng)存在較大差異，尤其在穩(wěn)定性方面。電網(wǎng)工控系統(tǒng)無法隨系統(tǒng)宕機(jī)，即計算機(jī)在非正常運行狀態(tài)下，電網(wǎng)工控系統(tǒng)也將無法正常運行。因此，在安全等級設(shè)計方面，每一個等級均匹配不同的采集頻率系數(shù)。從電網(wǎng)工控系統(tǒng)的流量數(shù)據(jù)來說，與普通的網(wǎng)絡(luò)流量數(shù)據(jù)也有所不同，其數(shù)據(jù)長度普遍小于一般的數(shù)據(jù)，而且數(shù)據(jù)流向處于固定流向，數(shù)據(jù)的響應(yīng)時間極短[5]。

4.1 通過信息熵量化流量特征進(jìn)行預(yù)處理

電力部門結(jié)合電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù)特點發(fā)現(xiàn)，在網(wǎng)絡(luò)流量處于正常狀態(tài)時，與異常狀態(tài)時的流量存在較大差異，因此技術(shù)人員可以根據(jù)這一特性，對網(wǎng)絡(luò)流量進(jìn)行量化處理，通過分析信息熵的方法對電網(wǎng)工控系統(tǒng)的流量情況予以監(jiān)測。信息熵屬于一個信息總量概念，當(dāng)這一總量的秩序性越高，分布越加均勻，信息熵則越低，當(dāng)信息總量秩序性較低，而且分布較為分散時信息熵越高。由此可以通過地址熵反映出的攻擊事件對IP地址的分布情況進(jìn)行分析，如果發(fā)現(xiàn)IP地址混亂分布，則地址熵就越高，如果IP地址有序分布，則地址熵越低。結(jié)合這一分析結(jié)果，能夠準(zhǔn)確判斷IP地址的分布是否存在異常現(xiàn)象。

技術(shù)人員可以根據(jù)數(shù)據(jù)包的時間順序構(gòu)建一個數(shù)學(xué)模型，這一模型可以記錄單位流量某一特征屬性所發(fā)生的具體次數(shù)，通常用X{X1、X2、…、XN}來表示，參照的屬性熵值主要來自于IP地址、工控協(xié)議、源端口以及目的端口。如果以計算單位流量源IP地址的熵值為例，則IP地址的個數(shù)記作M，出現(xiàn)的不同次數(shù)可以分別記作ni，其中的i值取1、2、3……M，那么根據(jù)這一已知條件，可以得出IP地址熵值的數(shù)學(xué)運算公式為：

4.2 檢測規(guī)則的制訂

電網(wǎng)工控系統(tǒng)安全監(jiān)測預(yù)警平臺建立以后需要制訂一個檢測規(guī)則，在制訂規(guī)則之前，首先需要考慮網(wǎng)絡(luò)流量屬性，根據(jù)事先采集的數(shù)據(jù)樣本對正常流量與異常流量進(jìn)行標(biāo)記，然后再以半監(jiān)督聚類的算法構(gòu)建一個電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)流量異常檢測模型，技術(shù)人員利用這一模型可以對流量狀況進(jìn)行實時檢測，以確定流量是否正常。其主要算法包括半監(jiān)督學(xué)習(xí)的K-means聚類分析算法以及改進(jìn)的K-means算法。

4.2.1 半監(jiān)督學(xué)習(xí)的K-means聚類分析算法

隨著人工智能技術(shù)的日漸完善，機(jī)器學(xué)習(xí)這種智能技術(shù)已經(jīng)在電網(wǎng)工控系統(tǒng)中被普遍應(yīng)用，主要包括監(jiān)督式學(xué)習(xí)、無監(jiān)督學(xué)習(xí)以及半監(jiān)督學(xué)習(xí)3種學(xué)習(xí)形態(tài)。其中，監(jiān)督式學(xué)習(xí)主要參考帶有標(biāo)記的數(shù)據(jù)樣本進(jìn)行學(xué)習(xí)，無監(jiān)督學(xué)習(xí)是參考沒有標(biāo)記的數(shù)據(jù)樣本進(jìn)行學(xué)習(xí)，而半監(jiān)督學(xué)習(xí)則集合兩種數(shù)據(jù)樣本，再根據(jù)概率分布情況進(jìn)行學(xué)習(xí)。與前兩種學(xué)習(xí)形態(tài)相比，半監(jiān)督學(xué)習(xí)的學(xué)習(xí)速度更加便捷高效。而聚類分析算法作為半監(jiān)督學(xué)習(xí)的一種重要方式，其學(xué)習(xí)原理如下。先將沒有標(biāo)記的數(shù)據(jù)進(jìn)行分類處理，分類依據(jù)主要根據(jù)數(shù)據(jù)的相似度，相似度較高的數(shù)據(jù)分為一類，相似度較低的劃歸為另一類，然后利用K-means算法對電網(wǎng)工控系統(tǒng)的流量屬性熵值進(jìn)行分類，這種方法能夠使網(wǎng)絡(luò)流量異常的檢測算法更加優(yōu)化，進(jìn)而大幅提升檢測效率[7]。

過去，技術(shù)人員采用的半監(jiān)督聚類K-means算法的運算過程較為簡捷，運算速度相對較快，尤其在檢測網(wǎng)絡(luò)流量異常情況時的實際應(yīng)用價值得到充分體現(xiàn)。例如，數(shù)據(jù)樣本采集階段，選取的樣本個數(shù)記作N，IP地址熵值數(shù)據(jù)集合記作D，D的取值分別為X1、X2、…、Xn。在運算過程中，首先需要確定K的值，再以K作為聚類的初始中心，如果K≤N，則IP地址熵數(shù)據(jù)便可以分成S=（S1、S2、…、Sn）個聚類中心，接下來根據(jù)歐式距離可以求解出聚類中心與剩余數(shù)據(jù)間的距離。如果將Si的數(shù)據(jù)作為均值，則可以重復(fù)以上運算過程，求解出Si的平均值及數(shù)據(jù)元素的平方誤差和。

4.2.2 改進(jìn)的K-means算法

半監(jiān)督學(xué)習(xí)狀態(tài)下的K-means聚類分析算法看似簡單實用，但是從K值的初始取值可以看出，如果K值的取值不同，則運算結(jié)果也存在較大差異，這將對聚類分析的準(zhǔn)確性造成不利影響。其次是這種算法會產(chǎn)生多個孤立的數(shù)據(jù)點，這些數(shù)據(jù)大多不符合數(shù)據(jù)特征，或者偏離數(shù)據(jù)區(qū)，在這種情況下計算出的平均值也會產(chǎn)生較大的運算偏差，電網(wǎng)工控系統(tǒng)的安全監(jiān)測結(jié)果也會產(chǎn)生不利影響。因此，為了有效避免上述情況的發(fā)生，技術(shù)人員對K-means算法中的K值及聚類中心的初始值進(jìn)行改進(jìn)。在傳統(tǒng)的K-means算法中，K值的取值一般選取有標(biāo)記的正常流量包，而參照點的選取也不是以聚類中心的平均值為準(zhǔn)，而是以聚類中心的中心點為基準(zhǔn)，這種傳統(tǒng)的算法將產(chǎn)生大量的孤立數(shù)據(jù)點，這就使得到監(jiān)測結(jié)果的精準(zhǔn)度難以滿足標(biāo)準(zhǔn)要求[8]。

而經(jīng)過改進(jìn)的K-means算法與傳統(tǒng)算法存在顯著差異，在確定K值時常常以帶有標(biāo)記的數(shù)據(jù)樣本為基準(zhǔn)，然后在選取的樣本中以隨機(jī)抽樣的方法來選取K值，并將其作為初始中心點，其余未被選取的數(shù)據(jù)樣本，則將其就近分配到各自所對應(yīng)的聚類中心。通過循環(huán)往復(fù)的處理與運算過程，中心點對象將被非中心點對象所代替，在這種情況下，技術(shù)人員可以對非中心點對象與中心點對象之間的距離之和進(jìn)行比較分析，進(jìn)而求得最小距離之和，并通過迭代累加的過程，求解出聚類中心的實際中心點對象。

4.3 實時檢測

實時檢測作為電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)流量異常安全監(jiān)測平臺的一個關(guān)鍵環(huán)節(jié)，是在數(shù)據(jù)采集與規(guī)則建立之后而形成的一種檢測模式。目前，在實時檢測階段，參照的數(shù)據(jù)集以KDD99數(shù)據(jù)集為主。檢測過程中參照的屬性參數(shù)的主要特征是周期性數(shù)據(jù)、數(shù)據(jù)流向固定以及響應(yīng)時間短等。下面以篩選出的41個特征屬性與18個與電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)特征相似的特征屬性數(shù)據(jù)作為樣本數(shù)據(jù)，然后基于網(wǎng)絡(luò)流量異常檢測的手段，對電網(wǎng)工控系統(tǒng)的安全性能進(jìn)行仿真監(jiān)測實驗。在該實驗開始之前，首先確定實驗樣本的個數(shù)為3 000個，其中正常數(shù)據(jù)的數(shù)量為2 900個，異常數(shù)據(jù)的數(shù)量為100個，然后通過半監(jiān)督學(xué)習(xí)的K-means聚類分析算法及改進(jìn)的K-means算法，分別驗證每一種算法的誤檢率[9]。實驗驗證結(jié)果如表1所示。

表1 兩種算法的實驗驗證結(jié)果

從表1中的實驗驗證結(jié)果可以看出，改進(jìn)的K-means算法的誤檢率均超過半監(jiān)督學(xué)習(xí)的K-means聚類分析算法5%左右，因此，可以確定利用改進(jìn)后的K-means算法能夠更加精準(zhǔn)地檢測出網(wǎng)絡(luò)流量的異常狀況。根據(jù)這一檢測流程，可以得出電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù)可以根據(jù)流量的屬性特征進(jìn)行熵值量化，然后利用改進(jìn)以后的K-means算法來構(gòu)建一個聚類分析模型，這時，正常流量與異常流量都可以體現(xiàn)在聚類中心中，如果檢測出的數(shù)據(jù)正常，則可以標(biāo)記為正常流量，如果反映出的數(shù)據(jù)存在異常狀況，則可以標(biāo)記為異常流量。這樣一來，電網(wǎng)工控系統(tǒng)的安全監(jiān)測預(yù)警功能也能夠得以實現(xiàn)，電網(wǎng)工控系統(tǒng)的安全性也將得到大幅提升[10]。

5 結(jié) 論

基于網(wǎng)絡(luò)流量異常檢測的電網(wǎng)工控系統(tǒng)的安全監(jiān)測技術(shù)，是目前電力系統(tǒng)普遍應(yīng)用的一種高效監(jiān)測技術(shù)，技術(shù)人員可以結(jié)合網(wǎng)絡(luò)流量特征屬性構(gòu)建安全監(jiān)測預(yù)警平臺。當(dāng)平臺建立以后，根據(jù)改進(jìn)后的K-means算法建立一個聚類分析模型，進(jìn)而能夠?qū)θ蛛娋W(wǎng)的流量情況進(jìn)行有效監(jiān)測，這不僅避免了孤立數(shù)據(jù)的出現(xiàn)，而且也能夠?qū)崟r監(jiān)測電網(wǎng)工控系統(tǒng)的運行狀態(tài)，為快速消除安全風(fēng)險隱患提供了強大的技術(shù)支撐，電網(wǎng)工控系統(tǒng)的安全穩(wěn)定性能也得到切實保障。