劉亞麗, 孟令愚, 丁云峰

1(中國(guó)科學(xué)院大學(xué),北京 100049)

2(中國(guó)科學(xué)院 沈陽(yáng)計(jì)算技術(shù)研究所,沈陽(yáng) 110168)

3(國(guó)家電網(wǎng)公司東北分部,沈陽(yáng) 110180)

引言

隨著“兩化融合”的推進(jìn),工控網(wǎng)絡(luò)已從原有的控制網(wǎng)擴(kuò)展到了管理網(wǎng),這使得工控系統(tǒng)與互聯(lián)網(wǎng)的關(guān)系越來越緊密,工業(yè)控制網(wǎng)絡(luò)不斷智能化,全球互聯(lián)互通的大趨勢(shì)已勢(shì)不可擋. 然而工業(yè)控制網(wǎng)絡(luò)不斷開放的同時(shí)也給工控系統(tǒng)帶來了越來越多的安全威脅,電網(wǎng)工控系統(tǒng)也是如此. 著名的攻擊事例有2010年的“震網(wǎng)”病毒對(duì)伊朗核電站工控系統(tǒng)的網(wǎng)絡(luò)攻擊[1].

工控系統(tǒng)涉及很多重要國(guó)家基礎(chǔ)設(shè)施,比如電力,所以國(guó)家對(duì)工控系統(tǒng)安全很重視. 而工控系統(tǒng)安全與傳統(tǒng)網(wǎng)絡(luò)安全又有較多差異,相當(dāng)于一個(gè)較新的領(lǐng)域.流量異常檢測(cè)技術(shù)雖已經(jīng)廣泛地應(yīng)用于互聯(lián)網(wǎng)信息安全防護(hù)中,但是在工業(yè)控制系統(tǒng)(Industrial Control System,ICS)中的研究較少[2],在電網(wǎng)工控系統(tǒng)中研究較之又少.

就電網(wǎng)工控系統(tǒng)來說,目前企業(yè)電力系統(tǒng)內(nèi)部遭受網(wǎng)絡(luò)攻擊的問題仍無法得到有效的監(jiān)測(cè)、預(yù)防與解決[3]. 為了確保電力系統(tǒng)安全運(yùn)行工作,重視電力系統(tǒng)內(nèi)防水平低于外防水平這一問題已成為共識(shí)[3]. 對(duì)于電力系統(tǒng)內(nèi)部,現(xiàn)有的電力監(jiān)控系統(tǒng)主站與廠站的安全監(jiān)視主要依賴于內(nèi)網(wǎng)監(jiān)視平臺(tái),該平臺(tái)主要是針對(duì)邊界處的安全設(shè)備和網(wǎng)絡(luò)設(shè)備的日志進(jìn)行收集,但沒有針對(duì)電網(wǎng)工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)流量進(jìn)行異常檢測(cè)[4].

通過分析網(wǎng)絡(luò)流量可直觀了解網(wǎng)絡(luò)中的行為,從而幫助我們監(jiān)測(cè)網(wǎng)絡(luò)的安全狀態(tài)[5],及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、異常流量、異常行為. 所以將流量異常檢測(cè)技術(shù)應(yīng)用于電網(wǎng)工控系統(tǒng)的安全防護(hù)將利于防范電網(wǎng)安全威脅,可以在確保電力系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)上,提高電力系統(tǒng)自動(dòng)化、智能化水平,為社會(huì)創(chuàng)造更多經(jīng)濟(jì)效益.

本文針對(duì)電網(wǎng)工控系統(tǒng)中控制網(wǎng)的內(nèi)防水平低且其安全監(jiān)測(cè)和防護(hù)缺乏內(nèi)部網(wǎng)絡(luò)流量異常檢測(cè)的現(xiàn)狀,提出將流量異常檢測(cè)技術(shù)應(yīng)用于針對(duì)電網(wǎng)工控系統(tǒng)控制網(wǎng)的安全防護(hù)中,并提出一種基于熵的動(dòng)態(tài)半監(jiān)督K-means算法并輔以單類支持向量機(jī)(OCSVM)對(duì)半監(jiān)督K-means算法進(jìn)行改進(jìn),以提高流量異常檢測(cè)的效果,為監(jiān)測(cè)分析網(wǎng)絡(luò)流量及時(shí)感知網(wǎng)絡(luò)異常發(fā)現(xiàn)攻擊,從而提升電力系統(tǒng)內(nèi)防水平奠定基礎(chǔ).

1 電網(wǎng)工控系統(tǒng)

在“兩化融合”的背景下,電網(wǎng)工控系統(tǒng)已廣泛應(yīng)用信息網(wǎng)絡(luò)技術(shù)且其網(wǎng)絡(luò)化和智能化也越來越高,使得電力傳輸與控制可以自動(dòng)可靠地進(jìn)行.

1.1 電網(wǎng)工控系統(tǒng)的組成與結(jié)構(gòu)

通俗來說,電網(wǎng)工控系統(tǒng)主要指： 電力行業(yè)中,用于監(jiān)視和控制的,與計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)有關(guān)的系統(tǒng)和智能設(shè)備,以及通信與數(shù)據(jù)網(wǎng)絡(luò). 具體來說,電網(wǎng)工控系統(tǒng)由控制網(wǎng)絡(luò)和管理網(wǎng)絡(luò)組成,管理網(wǎng)絡(luò)指調(diào)度監(jiān)控管理網(wǎng),控制網(wǎng)絡(luò)分為站控層、間隔層和過程層,部署在智能變電站[4,6]. 圖1所示是電網(wǎng)工控系統(tǒng)的結(jié)構(gòu).

圖1 電網(wǎng)工控系統(tǒng)結(jié)構(gòu)

電網(wǎng)工控系統(tǒng)安全,總體來說涉及兩方面,分別是電網(wǎng)基礎(chǔ)設(shè)施安全和電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)安全[7]. 隨著網(wǎng)絡(luò)攻擊、安全威脅的飛速增長(zhǎng),針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊和入侵也逐漸變多,所以目前網(wǎng)絡(luò)安全已成為電網(wǎng)工控系統(tǒng)安全防護(hù)的重中之重.

雖然傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)中的流量異常檢測(cè)技術(shù)已相對(duì)成熟,但是由于傳統(tǒng)網(wǎng)絡(luò)與電網(wǎng)工控系統(tǒng)存在許多不同之處,不能直接照搬使用,所以需要研究適用于電網(wǎng)工控系統(tǒng)的流量異常檢測(cè)方法.

1.2 電網(wǎng)工控系統(tǒng)的安全需求和面臨的威脅

電網(wǎng)工控系統(tǒng)的安全需求不同于傳統(tǒng)網(wǎng)絡(luò)的安全需求之處[8],主要是以下的方面：

(1) 電網(wǎng)工控系統(tǒng)側(cè)重可用性,傳統(tǒng)網(wǎng)絡(luò)側(cè)重機(jī)密性,電網(wǎng)工控系統(tǒng)實(shí)時(shí)性要求高于傳統(tǒng)網(wǎng)絡(luò).

(2) 電網(wǎng)工控系統(tǒng)風(fēng)險(xiǎn)管理要求主要是防止監(jiān)管失控,而傳統(tǒng)網(wǎng)絡(luò)主要確保數(shù)據(jù)保密.

(3) 資產(chǎn)保護(hù)需求上,電網(wǎng)工控系統(tǒng)的首要保護(hù)目標(biāo)是控制器及現(xiàn)場(chǎng)設(shè)備(如電力一次設(shè)備),而傳統(tǒng)網(wǎng)絡(luò)首要保護(hù)信息資產(chǎn).

電網(wǎng)工控系統(tǒng)面臨多種威脅與攻擊. 工控協(xié)議在設(shè)計(jì)之初沒有考慮安全性,所以非常容易遭受網(wǎng)絡(luò)攻擊; “兩化融合”的電網(wǎng)工控系統(tǒng)既連接企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)又連接互聯(lián)網(wǎng)、接入的現(xiàn)場(chǎng)設(shè)備多、網(wǎng)絡(luò)通信方式多導(dǎo)致入侵途徑多,如現(xiàn)場(chǎng)總線通訊接口、工業(yè)以太網(wǎng)通訊接口、U盤等移動(dòng)介質(zhì)、以及誤操作等都是可能的入侵途徑[9]. 總之“兩化融合”的電網(wǎng)工控系統(tǒng)面臨的工控攻擊的趨勢(shì)是綜合利用系統(tǒng)、網(wǎng)絡(luò)、終端及管理等多個(gè)層面的漏洞進(jìn)行有針對(duì)性的攻擊,因此需要多種技術(shù)和多層次的安全防護(hù).

2 電網(wǎng)工控系統(tǒng)兩級(jí)安全防護(hù)

當(dāng)前我國(guó)的電力系統(tǒng)安全措施主要是使用防火墻進(jìn)行訪問控制,安全防護(hù)方法單一. 根據(jù)電網(wǎng)工控系統(tǒng)中控制網(wǎng)的安全防護(hù)現(xiàn)狀,通過對(duì)電網(wǎng)工控系統(tǒng)安全需求和面臨的威脅攻擊的研究分析,提出將流量異常檢測(cè)技術(shù)引入電網(wǎng)工控系統(tǒng)控制網(wǎng)的安全防護(hù)中,使訪問控制與流量異常檢測(cè)對(duì)電網(wǎng)工控系統(tǒng)的控制網(wǎng)形成兩級(jí)安全防護(hù),提高電網(wǎng)工控系統(tǒng)控制網(wǎng)的安全防護(hù)水平. 應(yīng)用流量異常檢測(cè)技術(shù)后形成的兩級(jí)安全防護(hù)的邏輯結(jié)構(gòu),具體如圖2所示.

圖2 電網(wǎng)工控系統(tǒng)兩級(jí)安全防護(hù)

安全防護(hù)子站主要負(fù)責(zé)訪問控制. 具體是通過協(xié)議分析與信息提取階段對(duì)數(shù)據(jù)采集設(shè)備采集來的正常網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行數(shù)據(jù)包解析,特征提取來自動(dòng)構(gòu)建白名單,記錄允許通過的源IP,目的IP,目的端口號(hào)[10]. 從而對(duì)現(xiàn)場(chǎng)智能終端等設(shè)備進(jìn)行訪問控制,實(shí)現(xiàn)一級(jí)安全防護(hù). 安全防護(hù)子站可部署在智能變電站的站控層(或間隔層).

安全防護(hù)主站接收來自于安全防護(hù)子站的基于時(shí)間窗統(tǒng)計(jì)處理獲得的流量特征屬性,然后進(jìn)行流量異常檢測(cè),實(shí)現(xiàn)二級(jí)安全防護(hù). 安全防護(hù)主站可包括流量數(shù)據(jù)接收、流量監(jiān)測(cè)與展示、流量異常檢測(cè)和告警等模塊. 安全防護(hù)主站可以部署在調(diào)度監(jiān)控層(或智能變電站的站控層).

安全防護(hù)子站除了訪問控制,還要為安全防護(hù)主站的流量異常檢測(cè)做準(zhǔn)備工作. 流量異常檢測(cè)技術(shù)的引入使得形成了對(duì)電網(wǎng)工控系統(tǒng)控制網(wǎng)絡(luò)的兩級(jí)安全防護(hù),下面將詳細(xì)介紹安全防護(hù)中的關(guān)鍵技術(shù)流量異常檢測(cè)及其算法的改進(jìn).

3 流量異常檢測(cè)技術(shù)及其算法的改進(jìn)

對(duì)于攻擊入口,最常見的方式還是通過網(wǎng)絡(luò),并且各類攻擊通常會(huì)引起網(wǎng)絡(luò)流量異常[11],所以考慮安全防護(hù)時(shí)應(yīng)著重從網(wǎng)絡(luò)流量入手,進(jìn)行網(wǎng)絡(luò)流量的監(jiān)測(cè)和異常檢測(cè),即電網(wǎng)工控系統(tǒng)安全防護(hù)的關(guān)鍵技術(shù)是流量異常檢測(cè)技術(shù).

通過采集網(wǎng)絡(luò)數(shù)據(jù)包,分析得到電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù)的特點(diǎn)[2]如下：

(1) 數(shù)據(jù)長(zhǎng)度小,頻率相對(duì)較高.

(2) 網(wǎng)絡(luò)流量呈周期性.

(3) 響應(yīng)時(shí)間相對(duì)小很多.

(4) 數(shù)據(jù)流向固定.

(5) 時(shí)序性強(qiáng),如控制信息發(fā)生順序固定.

(6) 工控網(wǎng)絡(luò)主要以廣播多播形式通信,所以多用UDP協(xié)議; 而普通IT網(wǎng)絡(luò)常用點(diǎn)對(duì)點(diǎn)傳輸.

總之,電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量與普通IT網(wǎng)的網(wǎng)絡(luò)流量差異較大,所以有必要針對(duì)電網(wǎng)工控系統(tǒng),研究網(wǎng)絡(luò)流量異常檢測(cè)技術(shù).

3.1 流量異常檢測(cè)技術(shù)的分類

根據(jù)相關(guān)研究,將流量異常檢測(cè)技術(shù)常用的方法主要分為統(tǒng)計(jì)分析方法和機(jī)器學(xué)習(xí)方法. 統(tǒng)計(jì)分析方法是通過選擇一些特征屬性的統(tǒng)計(jì)度量來刻畫系統(tǒng)或網(wǎng)絡(luò)行為狀態(tài)的邊界,根據(jù)測(cè)量的統(tǒng)計(jì)值是否偏離該邊界一定范圍來判斷是否發(fā)生異常[12]. 如基于工控網(wǎng)絡(luò)中流量周期性的異常檢測(cè).

機(jī)器學(xué)習(xí)方法中包括基于數(shù)據(jù)挖掘的方法、基于生物學(xué)原理的方法等[2]. 基于數(shù)據(jù)挖掘的方法包括使用聚類分析、關(guān)聯(lián)分析、分類等算法的異常檢測(cè)方法;基于生物學(xué)原理的方法包括基于神經(jīng)網(wǎng)絡(luò)、遺傳算法或免疫學(xué)原理等的異常檢測(cè)方法,總之這些方法都屬于機(jī)器學(xué)習(xí)方法.

統(tǒng)計(jì)分析方法不需要太多的先驗(yàn)知識(shí),但對(duì)事件發(fā)生的順序不敏感、漏報(bào)和誤報(bào)率較高[11],還需要大量純凈的訓(xùn)練數(shù)據(jù),而在真實(shí)的網(wǎng)絡(luò)環(huán)境中這樣的數(shù)據(jù)很難確保. 所以選擇基于機(jī)器學(xué)習(xí)的流量異常檢測(cè)方法更合適.

3.2 基于機(jī)器學(xué)習(xí)的流量異常檢測(cè)方法

根據(jù)訓(xùn)練數(shù)據(jù)集有無類標(biāo)記,將機(jī)器學(xué)習(xí)方法分為有監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí); 而訓(xùn)練數(shù)據(jù)集同時(shí)包含有類標(biāo)記和無類標(biāo)記的實(shí)例時(shí),則稱為半監(jiān)督學(xué)習(xí)[13].

有監(jiān)督學(xué)習(xí)算法包括決策樹、貝葉斯、神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)等[13]; 無監(jiān)督學(xué)習(xí)算法包括K-means等聚類分析算法.

有監(jiān)督學(xué)習(xí)識(shí)別率高,但需要大量的標(biāo)記樣本代價(jià)較大且無法識(shí)別未知類別,無監(jiān)督可識(shí)別未知類別,但準(zhǔn)確率低[14]. 半監(jiān)督學(xué)習(xí)用少量的標(biāo)記樣本來輔助大量的無標(biāo)記樣本進(jìn)行異常檢測(cè),既減少標(biāo)記工作又提高檢測(cè)的準(zhǔn)確率.

由于工控網(wǎng)絡(luò)對(duì)可用性要求高,為了避免沒能檢測(cè)出異常而使工控網(wǎng)絡(luò)不可用,檢測(cè)方法的準(zhǔn)確性要高. 工控網(wǎng)絡(luò)的攻擊因?yàn)槎酁樾滦偷暮捅谎芯繒r(shí)間較短的網(wǎng)絡(luò)攻擊,規(guī)則庫(kù)覆蓋范圍較小,所以需要檢測(cè)方法的漏檢率低,對(duì)未知攻擊的檢測(cè)能力要高[11]. 由于工控網(wǎng)絡(luò)的實(shí)時(shí)性要求,需要檢測(cè)方法的快速與計(jì)算效率高. 所以相對(duì)于有監(jiān)督學(xué)習(xí),無監(jiān)督學(xué)習(xí)和半監(jiān)督學(xué)習(xí)更合適. 其中的K-means算法快速、計(jì)算量小、聚類效果好[11]. 與傳統(tǒng)的K-means算法相比,半監(jiān)督K-means算法檢測(cè)率相對(duì)較高,但兩者對(duì)未知攻擊的檢測(cè)能力低. 為了進(jìn)一步提高未知攻擊檢測(cè)能力,降低漏檢率,提高檢測(cè)率,提出了基于熵的動(dòng)態(tài)半監(jiān)督K-means算法并輔以單類支持向量機(jī)對(duì)半監(jiān)督K-means算法進(jìn)行改進(jìn).

3.3 流量異常檢測(cè)模型

流量異常檢測(cè)模型如圖3所示. 網(wǎng)絡(luò)流量原始數(shù)據(jù)經(jīng)過預(yù)處理得到訓(xùn)練數(shù)據(jù),對(duì)訓(xùn)練數(shù)據(jù)使用基于熵的動(dòng)態(tài)半監(jiān)督K-means并輔以單類支持向量機(jī)的改進(jìn)半監(jiān)督K-means算法進(jìn)行訓(xùn)練,得到檢測(cè)模型. 經(jīng)過預(yù)處理的實(shí)時(shí)數(shù)據(jù)輸入檢測(cè)模型進(jìn)行實(shí)時(shí)檢測(cè),獲得檢測(cè)結(jié)果,若發(fā)現(xiàn)異常則進(jìn)行異常告警.

3.3.1 預(yù)處理

數(shù)據(jù)流量上的特點(diǎn),使得正常流量和異常流量的各種屬性在分布特征上有很大的差異[15],通過使用特征屬性的熵來處理電網(wǎng)工控系統(tǒng)的流量,將利于進(jìn)行流量異常檢測(cè)[4]. 預(yù)處理階段主要進(jìn)行基于時(shí)間窗的特征屬性熵量化. 按時(shí)間順序,每n個(gè)數(shù)據(jù)包為一個(gè)時(shí)間窗口并作為一個(gè)單位流量. 對(duì)單位流量計(jì)算其每個(gè)特征屬性的熵. 下面具體說明特征屬性熵量化. 如單位流量F(p1(T1,T2),p2(T1,T2),…,pn(T1,T2)),包含n個(gè)數(shù)據(jù)包p,每個(gè)包有2個(gè)特征屬性Ti(i=1,2). 屬性Ti有mi種可能取值,單位流量中屬性Ti取值為j的數(shù)據(jù)包數(shù)為nj,則Ti的熵為：最終獲得形如F(H(T1),H(T2))的單位流量的熵量化特征向量.

圖3 流量異常檢測(cè)模型

3.3.2 訓(xùn)練檢測(cè)模型

傳統(tǒng)K-means聚類算法是無監(jiān)督學(xué)習(xí),是1967年由James MacQueen首次提出的,其原理是：n個(gè)對(duì)象中初始隨機(jī)選定k個(gè)對(duì)象作為簇中心,根據(jù)歐氏距離,將n個(gè)對(duì)象就近劃分到k個(gè)簇中,然后更新簇中心,即求簇中對(duì)象的均值作為新的簇中心,再重新就近劃分n個(gè)對(duì)象到k個(gè)簇. 重復(fù)更新簇中心和就近劃分n個(gè)對(duì)象的過程,直到劃分質(zhì)量最高,即簇內(nèi)高相似,簇間低相似.

Basu[16]等提出的半監(jiān)督K-means算法的基本思想是用覆蓋所有類別的少量標(biāo)記樣本來確定總的聚類簇個(gè)數(shù)k和初始簇中心. 其他流程與傳統(tǒng)K-means聚類算法相同.

SVM算法是一種建立在統(tǒng)計(jì)學(xué)習(xí)理論基礎(chǔ)上的機(jī)器學(xué)習(xí)算法[13]. 其基本思想是用一種非線性映射,把原訓(xùn)練數(shù)據(jù)映射到較高的維上,在新的維上搜索最佳分離超平面[13]. SVM算法對(duì)線性和非線性的數(shù)據(jù)都可以進(jìn)行分類. SVM算法又分為多種,其中單類支持向量機(jī)(OCSVM)只需要利用電網(wǎng)工控系統(tǒng)的正常網(wǎng)絡(luò)流量數(shù)據(jù)就可建立正常網(wǎng)絡(luò)流量的檢測(cè)模型[17]. 已知只包含正常數(shù)據(jù)的訓(xùn)練集,其中yj是類別標(biāo)記,且yj∈{1,-1},1表示正常,-1表示異常. 在特征空間上,構(gòu)造最優(yōu)分類超平面,其中分類超平面表達(dá)成：

然后對(duì)無類標(biāo)的樣本xl根據(jù)判別規(guī)則判斷是正常還是異常數(shù)據(jù)：

實(shí)際環(huán)境中想要使得采集到的標(biāo)記樣本覆蓋所有的異常類型難以實(shí)現(xiàn),且該半監(jiān)督K-means算法對(duì)未知攻擊的檢測(cè)能力低. 電網(wǎng)工控系統(tǒng)的正常網(wǎng)絡(luò)流量數(shù)據(jù)具有周期性和較小長(zhǎng)度性等特性,且實(shí)際環(huán)境中較好獲取,適合使用單類支持向量機(jī),但是若只利用OCSVM,不利用已有的異常類型信息,不利于建立高效的流量異常檢測(cè)系統(tǒng). 所以根據(jù)以上情況,將單類支持向量機(jī)(OCSVM)引入半監(jiān)督K-means聚類算法中以改進(jìn)異常檢測(cè)效果,即提出基于熵的動(dòng)態(tài)優(yōu)化k值的半監(jiān)督K-means輔以單類支持向量機(jī),簡(jiǎn)稱基于熵的動(dòng)態(tài)半監(jiān)督K-means+OCSVM算法,其具體內(nèi)容如下：

1) 從少量已標(biāo)記樣本中,根據(jù)其k種類標(biāo)記,確定k的初始值,并將每類的樣本求均值作為該類的初始簇中心,即初始共確定k個(gè)簇中心.

2) 進(jìn)行一次就近分配,計(jì)算聚類質(zhì)量E1. 其中聚類質(zhì)量用所有對(duì)象到其簇中心的誤差的平方和來評(píng)估,即：

且E越小,表示聚類質(zhì)量越高.

3) 令k=k+1.

4) 從未標(biāo)記樣本中選取一個(gè)點(diǎn)a作為新簇的簇中心,注意a要使得那些離其當(dāng)前簇中心較遠(yuǎn)的點(diǎn)b,劃分到以a為中心點(diǎn)的簇后,到中心點(diǎn)的距離縮小的和最大,即,使得公式(5)取值最大.

5) 再進(jìn)行一次就近分配,計(jì)算聚類質(zhì)量E2.

6) 若k次的聚類質(zhì)量高于k-1次的聚類質(zhì)量,則轉(zhuǎn)至步驟3); 否則k=k-1轉(zhuǎn)至步驟7).

7) 檢查是否有只包含新增簇中心點(diǎn)的孤立簇,若有則去從簇中心點(diǎn)集和未標(biāo)記樣本集中掉該點(diǎn),使k=k-1并重復(fù)步驟2)～6);

若無,則用步驟6)確定的新k值和k個(gè)初始簇中心點(diǎn)作為初始輸入,不斷進(jìn)行重分配,求簇中對(duì)象的均值更新簇中心,直到簇中心收斂,得到總體樣本集的k個(gè)劃分.

8) 用步驟7)得到的k個(gè)最終簇中心點(diǎn)對(duì)少量有標(biāo)記樣本集進(jìn)行一次劃分,找到包含少量有標(biāo)記樣本集中正常樣本的簇的簇中心點(diǎn),以及不包含任何少量有標(biāo)記樣本集中數(shù)據(jù)的未知攻擊的簇中心.

9) 使用OCSVM得到的判別規(guī)則,根據(jù)8)找到的簇中心點(diǎn),找7)得到的k個(gè)劃分中的對(duì)應(yīng)簇進(jìn)行簇內(nèi)劃分修正,從而區(qū)分開距離上較近的正常和異常數(shù)據(jù).

3.3.3 實(shí)時(shí)檢測(cè)

流量異常檢測(cè)模型中實(shí)時(shí)檢測(cè)部分的具體流程為：將熵量化特征向量描述的網(wǎng)絡(luò)流量數(shù)據(jù)輸入動(dòng)態(tài)半監(jiān)督K-means算法得到檢測(cè)模型,檢測(cè)模型根據(jù)輸入點(diǎn)距離正常簇中心和各異常簇中心的距離來進(jìn)行劃分之后再輔以O(shè)CSVM的正常數(shù)據(jù)判別規(guī)則修正對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的異常檢測(cè)判別,從而實(shí)現(xiàn)實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量的異常與否.

4 測(cè)試驗(yàn)證

測(cè)試檢測(cè)算法時(shí),主要用到三個(gè)關(guān)鍵指標(biāo)來評(píng)估,分別是： 檢測(cè)率、誤報(bào)率和未知攻擊檢測(cè)率. 其定義[11]為：

采用KDD99數(shù)據(jù)集,根據(jù)電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù)長(zhǎng)度小、多用UDP協(xié)議等特點(diǎn),選取近似的數(shù)據(jù)和41個(gè)特征屬性中的18個(gè)特征屬性,然后從篩選出的訓(xùn)練集中取2044個(gè)正常樣本,其中異常樣本按各類異常的比例共取2270個(gè),組成新的訓(xùn)練集. 取新的訓(xùn)練集的2.5%,共109個(gè)作為有標(biāo)記樣本集. 測(cè)試樣本集包含正常樣本2619個(gè),異常樣本402個(gè),其中未知攻擊樣本66個(gè),共3021個(gè)樣本. 測(cè)試半監(jiān)督K-means算法和動(dòng)態(tài)半監(jiān)督K-means+OCSVM算法的檢測(cè)效果,結(jié)果如表1所示.

表1 兩種算法的測(cè)試結(jié)果(單位： %)

表1可見,改進(jìn)后的半監(jiān)督K-means算法,即動(dòng)態(tài)半監(jiān)督K-means+OCSVM算法,提高了檢測(cè)率、未知攻擊檢測(cè)率,且降低了誤報(bào)率,流量異常檢測(cè)能力優(yōu)于半監(jiān)督K-means算法.

5 總結(jié)

本文根據(jù)電網(wǎng)工控系統(tǒng)中控制網(wǎng)的內(nèi)防水平低且其安全監(jiān)測(cè)和防護(hù)缺乏內(nèi)部網(wǎng)絡(luò)流量異常檢測(cè)的現(xiàn)狀,詳細(xì)分析了電網(wǎng)工控系統(tǒng)的組成與結(jié)構(gòu)、網(wǎng)絡(luò)安全需求及其面臨的威脅攻擊. 提出了將流量異常檢測(cè)技術(shù)應(yīng)用于電網(wǎng)工控系統(tǒng)控制網(wǎng)的安全防護(hù)中,從而與電力系統(tǒng)當(dāng)前主要使用的訪問控制安全措施共同形成對(duì)電網(wǎng)工控系統(tǒng)控制網(wǎng)的兩級(jí)安全防護(hù). 然后針對(duì)安全防護(hù)中的關(guān)鍵技術(shù)流量異常檢測(cè),研究了流量異常檢測(cè)方法的分類,并根據(jù)不同方法的特點(diǎn)和電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù)的特點(diǎn),選擇基于機(jī)器學(xué)習(xí)的流量異常檢測(cè)方法中的半監(jiān)督K-means聚類算法. 針對(duì)半監(jiān)督K-means算法的未知攻擊檢測(cè)率低等問題,本文提出了基于熵的動(dòng)態(tài)半監(jiān)督K-means+OCSVM算法,來改進(jìn)半監(jiān)督K-means算法的性能. 總之,將流量異常檢測(cè)技術(shù)應(yīng)用于電網(wǎng)工控系統(tǒng)的安全防護(hù)中,并對(duì)流量異常檢測(cè)算法進(jìn)行改進(jìn),將有利于提升電網(wǎng)工控系統(tǒng)的內(nèi)防水平和防范電網(wǎng)安全威脅.

1鄒春明,鄭志千,劉智勇,等. 電力二次安全防護(hù)技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用. 電網(wǎng)技術(shù),2013,37(11)： 3227-3232.

2高春梅. 基于工業(yè)控制網(wǎng)絡(luò)的流量異常檢測(cè)[碩士學(xué)位論文]. 北京： 北京工業(yè)大學(xué),2014.

3趙延濤. 電力二次系統(tǒng)安全防護(hù)策略探究. 電子世界,2016,(2)： 152-154.

4鐘志琛. 基于網(wǎng)絡(luò)流量異常檢測(cè)的電網(wǎng)工控系統(tǒng)安全監(jiān)測(cè)技術(shù). 電力信息與通信技術(shù),2017,14(1)： 98-102.

5劉松吟. 基于聚類分析的電力通信網(wǎng)絡(luò)流量分類算法研究[碩士學(xué)位論文]. 南京： 東南大學(xué),2016.

6陳雪鴻,葉世超,石聰聰. 淺談工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)工作. 自動(dòng)化博覽,2015,(5)： 66-70.

7費(fèi)稼軒,張濤,馬媛媛,等. 一種基于BF-DT-CUSUM算法的電網(wǎng)工控系統(tǒng)DDoS攻擊檢測(cè)方法. 電信科學(xué),2015,(S1)： 106-112.

8劉威,李冬,孫波. 工業(yè)控制系統(tǒng)安全分析. 信息網(wǎng)絡(luò)安全,2012,(8)： 41-43.

9王孝良,崔保紅,李思其. 關(guān)于工控系統(tǒng)信息安全的思考與建議. 信息網(wǎng)絡(luò)安全,2012,(8)： 36-37.

10袁自強(qiáng). 網(wǎng)絡(luò)環(huán)境下白名單子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[碩士學(xué)位論文]. 成都： 電子科技大學(xué),2011.

11王海鳳. 工業(yè)控制網(wǎng)絡(luò)的異常檢測(cè)與防御資源分配研究[碩士學(xué)位論文]. 杭州： 浙江大學(xué),2014.

12許倩. 基于特征統(tǒng)計(jì)分析的異常流量檢測(cè)技術(shù)研究[碩士學(xué)位論文]. 鄭州： 解放軍信息工程大學(xué),2012.

13Han JW,Kamber M,Pei J. 數(shù)據(jù)挖掘-概念與技術(shù)(原書第3 版). 范明,孟小峰譯. 北京： 機(jī)械工業(yè)出版社,2012.

14張潤(rùn),王永濱. 機(jī)器學(xué)習(xí)及其算法和發(fā)展研究. 中國(guó)傳媒大學(xué)學(xué)報(bào)(自然科學(xué)版),2016,23(2)： 10-18,24.

15朱佳佳,陳佳. 基于熵和SVM多分類器的異常流量檢測(cè)方法. 計(jì)算機(jī)技術(shù)與發(fā)展,2016,26(3)： 31-35.

16Basu S,Davidson I,Wagstaff K. Constrained Clustering：Advances in Algorithms,Theory,and Applications. London：Chapman & Hall/CRC,2008.

17李琳. 基于OCSVM的工業(yè)控制系統(tǒng)入侵檢測(cè)算法研究[碩士學(xué)位論文]. 沈陽(yáng)： 沈陽(yáng)理工大學(xué),2016.