楊航 劉益松 劉貴恒 周飛艷

（云南電網(wǎng)有限責(zé)任公司德宏供電局 云南省德宏傣族景頗族自治州 678400）

電網(wǎng)建設(shè)是現(xiàn)代化建設(shè)的重點(diǎn)內(nèi)容，尤其是當(dāng)前社會用電量逐年增長，給企業(yè)發(fā)展帶來了新的挑戰(zhàn)和機(jī)遇。由于設(shè)備類型較多，在運(yùn)行中容易受到多種因素的影響而出現(xiàn)故障，影響供電安全性與可靠性，給企業(yè)和用戶造成損失。電網(wǎng)工控系統(tǒng)的運(yùn)用，則能夠?qū)崿F(xiàn)對各類設(shè)備的智能化控制，降低電力系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)。網(wǎng)絡(luò)具有開放性的特點(diǎn)，也會由于受到惡意攻擊而出現(xiàn)大規(guī)模斷電等問題。因此，應(yīng)該加強(qiáng)安全監(jiān)測技術(shù)的運(yùn)用，實(shí)現(xiàn)對電網(wǎng)工控系統(tǒng)的有效防護(hù)，實(shí)現(xiàn)對潛在威脅的及時(shí)排查與處理，保障良好的供電質(zhì)量。傳統(tǒng)安全監(jiān)測預(yù)警平臺的應(yīng)用效果不佳，無法深度分析內(nèi)部流量和主站流量。而網(wǎng)絡(luò)流量異常檢測技術(shù)的運(yùn)用，則能夠大大增強(qiáng)監(jiān)測效果，保障系統(tǒng)運(yùn)行安全性和穩(wěn)定性。

1 網(wǎng)絡(luò)流量異常檢測和電網(wǎng)工控系統(tǒng)概述

1.1 網(wǎng)絡(luò)流量異常檢測

針對系統(tǒng)網(wǎng)絡(luò)中的病毒攻擊和不合法訪問等，通過網(wǎng)絡(luò)流量異常檢測能夠?qū)崿F(xiàn)有效控制，相較于傳統(tǒng)防火墻而言，對于病毒和內(nèi)部攻擊的防護(hù)效果較好。信息采集、信息分析和信息處理，是異常檢測的基本流程，包含了以網(wǎng)絡(luò)為核心和以主機(jī)為核心的檢測方式。運(yùn)用網(wǎng)絡(luò)流量異常檢測技術(shù)時(shí)，能夠確保檢測工作的持續(xù)性，增強(qiáng)了系統(tǒng)的主動防御效果。在檢測中，正常檢測模型和異常檢測模型的構(gòu)建十分關(guān)鍵，從而正確區(qū)分不同的網(wǎng)絡(luò)流量[1]。在當(dāng)前實(shí)踐當(dāng)中，機(jī)械學(xué)習(xí)和統(tǒng)計(jì)分析是兩種常用的網(wǎng)絡(luò)流量異常檢測技術(shù)，而機(jī)器學(xué)習(xí)的效果則更加優(yōu)越，能夠借助于分類分析、聚類分析和關(guān)聯(lián)分析等提高檢測的精確性和高效性。

1.2 電網(wǎng)工控系統(tǒng)

電網(wǎng)工控系統(tǒng)是智能設(shè)備和業(yè)務(wù)系統(tǒng)的融合，能夠?qū)崿F(xiàn)對電力生產(chǎn)配供的有效監(jiān)控，從而確保良好的運(yùn)行狀況。同時(shí)，電網(wǎng)工控系統(tǒng)也包括了數(shù)據(jù)網(wǎng)絡(luò)和電力通信網(wǎng)絡(luò)等，能夠滿足設(shè)備和系統(tǒng)的運(yùn)行需求。分布式控制系統(tǒng)、數(shù)據(jù)采集和監(jiān)控系統(tǒng)、可編程邏輯控制器，是電網(wǎng)工控系統(tǒng)的基本構(gòu)成，不同構(gòu)件之間的協(xié)同配合，使系統(tǒng)在電力生產(chǎn)中發(fā)揮關(guān)鍵作用。與傳統(tǒng)IT 網(wǎng)絡(luò)流量數(shù)據(jù)相比，在電網(wǎng)工控系統(tǒng)當(dāng)中存在較大的不同，包括了數(shù)據(jù)長度、周期性特點(diǎn)、響應(yīng)時(shí)間、數(shù)據(jù)流向和時(shí)序性等等。

2 電網(wǎng)工控系統(tǒng)的安全風(fēng)險(xiǎn)

在信息化時(shí)代背景下，電網(wǎng)建設(shè)正在朝著自動化、數(shù)字化和智能化方向發(fā)展，然而由于工控攻擊的存在，也會使電網(wǎng)工控系統(tǒng)的運(yùn)行存在較大的風(fēng)險(xiǎn)，限制了信息通信技術(shù)作用的發(fā)揮，也會威脅電力系統(tǒng)的供電可靠性與安全性。尤其是針對配用電系統(tǒng)和智能變電站而言，其遭受的威脅類型也在增多，如果在網(wǎng)絡(luò)和終端等存在漏洞，將會導(dǎo)致信息安全和系統(tǒng)運(yùn)行受到影響。網(wǎng)絡(luò)病毒往往會由于移動介質(zhì)在接入時(shí)缺乏安全防護(hù)而傳播，進(jìn)而對整個(gè)系統(tǒng)造成損壞。無線通信是RTU/PLC 和監(jiān)控網(wǎng)的基本功能，如果此過程缺乏安全控制，也會導(dǎo)致網(wǎng)絡(luò)攻擊的出現(xiàn)。隨著科學(xué)技術(shù)水平的不斷提升，攻擊技術(shù)也逐漸更新?lián)Q代，需要工業(yè)控制網(wǎng)絡(luò)不斷強(qiáng)化，防止出現(xiàn)破解攻擊的問題[2]。在操作系統(tǒng)和控制協(xié)議當(dāng)中出現(xiàn)漏洞后，也會引起電網(wǎng)工控系統(tǒng)的信息安全風(fēng)險(xiǎn)。由于該系統(tǒng)存在一定的特殊性，因此采用傳統(tǒng)防護(hù)技術(shù)無法滿足實(shí)際需求，必須通過異常檢測的方式加以追蹤溯源。

3 電網(wǎng)工控系統(tǒng)安全監(jiān)測預(yù)警平臺的架構(gòu)特點(diǎn)

以生產(chǎn)工作的特點(diǎn)和要求為依據(jù)構(gòu)建工業(yè)控制系統(tǒng)，作為一個(gè)控制監(jiān)測局域網(wǎng)絡(luò)，系統(tǒng)內(nèi)部的關(guān)聯(lián)性十分密切，只有確保各個(gè)環(huán)節(jié)的高效運(yùn)轉(zhuǎn)，才能使系統(tǒng)保持良好的運(yùn)行狀態(tài)。管理網(wǎng)絡(luò)和控制網(wǎng)絡(luò)是電網(wǎng)工控系統(tǒng)的基本組成，前者主要是調(diào)度監(jiān)控管理網(wǎng)，后者實(shí)現(xiàn)對變電站的全面控制，由站控層、間隔層和過程層組成。安全監(jiān)測預(yù)警平臺的架構(gòu)，需要以安全防護(hù)技術(shù)為核心，通過全流量數(shù)據(jù)采集與分析的應(yīng)用，對間隔層和過程層加以優(yōu)化，保障變電站的安全性和穩(wěn)定性。感知設(shè)備日志和網(wǎng)絡(luò)流量異常狀況的分析，則能夠及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中的安全隱患，滿足異常行為檢測和工控操作行為審計(jì)的要求。多種平臺應(yīng)用于主站層當(dāng)中，包括了協(xié)議監(jiān)測平臺、流量監(jiān)測平臺和行為監(jiān)測平臺等，運(yùn)用大數(shù)據(jù)分析技術(shù)和大數(shù)據(jù)存儲技術(shù)等優(yōu)化調(diào)度監(jiān)控管理網(wǎng)，通過可視化展示達(dá)到監(jiān)測預(yù)警的目的。在電網(wǎng)工控系統(tǒng)的監(jiān)測預(yù)警中，需要對網(wǎng)絡(luò)行為進(jìn)行綜合分析，包括了系統(tǒng)運(yùn)行情況、網(wǎng)絡(luò)流量情況和安全設(shè)備日志信息等，實(shí)現(xiàn)對風(fēng)險(xiǎn)問題的及時(shí)預(yù)防和處理[3]。管理網(wǎng)則包括了監(jiān)控層、分析層和數(shù)據(jù)層，滿足半監(jiān)督學(xué)習(xí)聚類分析、關(guān)聯(lián)分析、可視化展示和大數(shù)據(jù)存儲等要求。

4 基于網(wǎng)絡(luò)流量異常檢測的電網(wǎng)工控系統(tǒng)安全監(jiān)測技術(shù)

4.1 數(shù)據(jù)采集特點(diǎn)

相較于傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)而言，電網(wǎng)工控系統(tǒng)的運(yùn)行需要對宕機(jī)問題加以嚴(yán)格控制。在采集頻率系數(shù)的匹配中，需要以設(shè)備區(qū)域的安全等級為依據(jù)，這是數(shù)據(jù)采集的基本特點(diǎn)。采集頻率系數(shù)也會由于其用途和功能的差異而有所不同，采集頻率在調(diào)整時(shí)也應(yīng)該深入分析鏈路的擁塞狀況。為了使系統(tǒng)處于良好的運(yùn)行狀態(tài)當(dāng)中，應(yīng)該對設(shè)備負(fù)荷狀況加以實(shí)施監(jiān)測，從而確保設(shè)備采集頻率的合理性，使其滿足系統(tǒng)運(yùn)行需求。相較于傳統(tǒng)網(wǎng)絡(luò)流量數(shù)據(jù)而言，通過電網(wǎng)工控系統(tǒng)對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行采集時(shí)，其具有較短的數(shù)據(jù)長度，其中大多數(shù)為周期性信息數(shù)據(jù)。此外，能夠保障較好的時(shí)序性，大大縮短了系統(tǒng)的響應(yīng)時(shí)間，數(shù)據(jù)流向不會發(fā)生改變。

4.2 數(shù)據(jù)預(yù)處理

從電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)流量特點(diǎn)可以看出，異常流量和正常流量在分布特征和屬性都存在明顯的不同。在量化處理數(shù)據(jù)流量的特征屬性時(shí)，可以采用信息熵量化的方法，因此電網(wǎng)工控系統(tǒng)中的流量異常問題，則能夠通過特征屬性的熵值監(jiān)測與分析來獲取，增強(qiáng)安全監(jiān)測的可靠性。對于信息總量的描述通常借助于信息熵的概念，當(dāng)存在較小的信息熵時(shí)，那么信息總量就更具有序性，在分布特點(diǎn)上也更加有規(guī)律；當(dāng)存在較大的信息熵時(shí)，則其呈現(xiàn)出無序性的特點(diǎn)。因此，攻擊事件IP 地址的分布，則可以運(yùn)用地址熵加以全面分析，當(dāng)存在較高的地址熵時(shí)，那么就會出現(xiàn)混亂的IP 地址，同時(shí)在分布上也呈現(xiàn)出分散性特征。對于IP 地址分布狀況的獲取，能夠及時(shí)響應(yīng)大規(guī)模的信息安全事件，從而達(dá)到及時(shí)預(yù)警和處理的目的。對單位流量特征屬性發(fā)生的次數(shù)以時(shí)間順序進(jìn)行記錄，實(shí)現(xiàn)對數(shù)據(jù)包的預(yù)處理，從而得到攻擊事件的IP 地址、目的端口、工控協(xié)議和源端口的屬性熵值。借助于信息熵，也能夠快速量化處理網(wǎng)絡(luò)流量的屬性特征，以聚類分析的方式明確特征屬性的熵值，可以滿足電網(wǎng)工控系統(tǒng)的異常檢測需求。

4.3 檢測規(guī)則制定

4.3.1 傳統(tǒng)K-means 聚類分析算法

較強(qiáng)的周期性、時(shí)序性和穩(wěn)定性，是電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)流量數(shù)據(jù)的基本特征，通過有標(biāo)記和無標(biāo)記數(shù)據(jù)樣本對正常流量數(shù)據(jù)和異常流量數(shù)據(jù)加以劃分，從而增強(qiáng)數(shù)據(jù)處理的便捷性。初始化處理有標(biāo)記數(shù)據(jù)后，采用聚類分析的方式將兩者加以對比，完善分析模型，確保檢測規(guī)則的合理性與高效性。無監(jiān)督學(xué)習(xí)、監(jiān)督學(xué)習(xí)和半監(jiān)督學(xué)習(xí)，是機(jī)器學(xué)習(xí)的基本形式。有標(biāo)記樣本是開展監(jiān)督學(xué)習(xí)的關(guān)鍵，無標(biāo)記樣本是開展無監(jiān)督學(xué)習(xí)的關(guān)鍵，采用半監(jiān)督學(xué)習(xí)時(shí)則需要利用有標(biāo)記和無標(biāo)記樣本。該學(xué)習(xí)方式借助于概率分布理論，能夠獲得更高的學(xué)習(xí)效率。在半監(jiān)督學(xué)習(xí)當(dāng)中，聚類分析算法的應(yīng)用較為廣泛，在劃分無標(biāo)記數(shù)據(jù)時(shí)能夠以相似性為依據(jù)，同時(shí)能夠使類別不同的數(shù)據(jù)加以明確劃分。在分類處理特征屬性的熵值時(shí)，可以運(yùn)用K-means 聚類分析算法，這是實(shí)現(xiàn)算法優(yōu)化的有效措施，檢測速度也會加快。通常情況下，采用K-means 聚類分析算法時(shí)，能夠確保網(wǎng)絡(luò)流量異常檢測的高效性和便捷性，在此過程中需要明確K 值，從而在樣本當(dāng)中獲得初始中心，測量聚類中心和剩余數(shù)據(jù)的距離，通過反復(fù)的均值計(jì)算獲得方差最小值。

4.3.2 改進(jìn)K-means 聚類分析算法

運(yùn)用傳統(tǒng)K-means 聚類分析算法時(shí)可以取得良好的檢測效果，但是也具有局限性。聚類結(jié)果往往會受到K 值初始值的影響，當(dāng)其發(fā)生變化時(shí)則會對聚類分析效果造成影響。同時(shí)，平均值的變化較大，往往會受到孤立數(shù)據(jù)點(diǎn)和偏離數(shù)據(jù)區(qū)的影響，無法滿足整體數(shù)據(jù)特征，因此聚類分析的精確性下降?？梢栽谶x擇聚類中心初始值時(shí)加以全面優(yōu)化，同時(shí)確定合理的K 值，從而對K-means 聚類分析算法加以創(chuàng)新和改進(jìn)，增強(qiáng)分析精確性和整體效果。如前所述，正常網(wǎng)絡(luò)流量流向不會發(fā)生較大的改變，這是電網(wǎng)工控系統(tǒng)的基本特點(diǎn)，以此為依據(jù)可以通過有標(biāo)記正常流量包數(shù)據(jù)確定K 值，實(shí)現(xiàn)對K-means 聚類分析算法的優(yōu)化。此外，參照點(diǎn)的選擇不能應(yīng)用聚類中心平均值，以中心點(diǎn)代替后則能夠消除孤立數(shù)據(jù)點(diǎn)的干擾。該算法的基本步驟為：通過正常流量包個(gè)數(shù)的計(jì)算來確定K 值，而聚類初始中心則通過樣本數(shù)據(jù)的隨機(jī)選取來確定，中心點(diǎn)對象則從K個(gè)數(shù)據(jù)中加以選擇，在分配剩余非中心點(diǎn)對象時(shí)則以兩者間距為依據(jù)，聚類中心獲得大量的非中心點(diǎn)對象。對非中心點(diǎn)對象和中心點(diǎn)對象距離加以計(jì)算，通過迭代處理后獲得實(shí)際中心點(diǎn)對象。計(jì)算方差最小值，獲得數(shù)據(jù)元素的絕對誤差和，建立的聚類中心則能夠消除孤立點(diǎn)數(shù)據(jù)的干擾。

4.4 實(shí)時(shí)檢測

運(yùn)用KDD99 數(shù)據(jù)集對K-means 聚類分析算法改進(jìn)后的實(shí)施效果加以驗(yàn)證，在入侵檢測中的應(yīng)用較為廣泛。在電網(wǎng)工控系統(tǒng)當(dāng)中存在大量的周期性數(shù)據(jù)，同時(shí)縮短了響應(yīng)時(shí)間，因此在確定樣本數(shù)據(jù)時(shí)應(yīng)該根據(jù)系統(tǒng)的數(shù)據(jù)特征對數(shù)據(jù)集進(jìn)行篩選，找到其中的相似特征，為仿真實(shí)驗(yàn)的開展提供保障。數(shù)據(jù)流向、數(shù)據(jù)特點(diǎn)和響應(yīng)時(shí)間等可以通過上述方法加以仿真處理，獲得K-means 聚類分析算法的誤檢率。其中，針對DoS 攻擊類型、U2R 攻擊類型和R2L攻擊類型，傳統(tǒng)K-means 聚類分析算法的檢測率分別為84.10%、84.73%和83.81%，誤檢率分別為4.52%、7.13%和6.01%；而改進(jìn)后的K-means 聚類分析算法檢測率分別為89.51%、90.67%和88.24%，誤檢率分別為3.25%、2.94%和2.17%.通過上述數(shù)據(jù)的分析可以看出，在K-means 聚類分析算法改進(jìn)后，能夠大大提升檢測率，同時(shí)控制誤檢率，在電網(wǎng)工控系統(tǒng)安全監(jiān)測中的應(yīng)用效果更好。在熵值量化處理的基礎(chǔ)上，通過改進(jìn)K-means 聚類分析算法構(gòu)建模型，獲得異常流量和正常流量的聚類中心，實(shí)現(xiàn)對數(shù)據(jù)的標(biāo)記，進(jìn)而滿足電網(wǎng)工控系統(tǒng)的安全監(jiān)測和預(yù)警功能需求。

5 結(jié)語

電網(wǎng)工控系統(tǒng)安全監(jiān)測預(yù)警平臺以站控層、間隔層和過程層為主要組成部分，可以針對網(wǎng)絡(luò)安全問題加以及時(shí)預(yù)警，確保系統(tǒng)運(yùn)行的安全性與高效性。而網(wǎng)絡(luò)流量異常檢測的運(yùn)用，則能夠根據(jù)其周期性數(shù)據(jù)和流向固定等特點(diǎn)，保障安全監(jiān)測和預(yù)警的可靠性，在實(shí)踐中得到廣泛應(yīng)用。在信息熵量化的基礎(chǔ)上，對K-means 聚類分析算法加以優(yōu)化，使得數(shù)據(jù)割裂問題得到及時(shí)處理，保障監(jiān)測和預(yù)警的實(shí)時(shí)化，消除網(wǎng)絡(luò)環(huán)境中的安全隱患。