探討基于網絡流量異常檢測的電網工控系統安全監測技術

楊丙紅

（廊坊市生產力促進中心，河北 廊坊 065000）

0 引 言

網絡流量異常檢測主要通過對數據流發生的網絡異常情況予以確定，對流量異常類型進行診斷，以維護計算機網絡的正常運行。目前，由于電網工控系統處于網絡運行環境中，這就使工控系統的信息安全受到嚴重威脅。為了切實解決這一難題，近年來在廣大技術人員的不懈努力下，在網絡流量異常檢測技術的基礎上，對電網工控系統的安全性能進行有效監測，快速查找出網絡運行風險，準確捕獲各類安全事件，以及時排除安全風險隱患，確保電網工控系統能夠始終保持安全運行狀態，進而滿足社會各領域對電力能源的需求。

1 電網工控系統面臨的安全風險

1.1 黑客入侵工控系統操作終端

互聯網技術給人們的生活帶來了諸多便利，但是網絡病毒、木馬程序以及網絡黑客的出現使得用戶個人信息的安全性受到嚴重影響。尤其對電網工控系統來說，由于系統終端接入互聯網絡，當系統進行遠程連接、斷開、配置以及升級時，網絡黑客也將乘機攻入工控系統的智能設備中，在這種情況下，電網工控系統的功能將受到嚴重影響，甚至容易出現系統癱瘓的情況。因此，對電網工控系統智能終端的安全性能提出了更高的要求。

1.2 無線虛擬網絡的安全漏洞

近年來，通信技術飛速發展，尤其在互聯網環境下，無線網絡技術應運而生，這種技術在給生產和生活帶來諸多便利的同時，也給網絡黑客、病毒以及木馬程序打開了一個入侵通道。與有線網絡相比，無線網絡信號覆蓋面廣，因此電力部門常常通過無線虛擬專網來傳送各種數據信息，無形中就增加了網絡運行風險。雖然電力部門采取了相應的安全防范措施，但是無線網絡的病毒與黑客攻擊類型呈現出多樣化特點，電力網絡的運行安全也必將時刻受到威脅[1]。

1.3 用戶側的安全威脅

電網工控系統往往借助于AMI系統向用戶提供電力能源等服務內容，該系統主要由智能電表、通信系統與設備以及電表信息管理系統組成，如果電網工控系統與該系統進行直連，那么用戶端的安全風險系數就會增大。例如，用戶在享受電力系統提供的便捷服務的同時，一些家用智能化設備也與電力系統構成一個整體運行網絡，一旦遇到非法攻擊，智能化設備就會出現各種類型的故障，另外受到暴雨或者雷電等惡劣氣候條件的影響，這些設備的安全性能也會大幅降低，這時與之相連的電網工控系統的電力負荷也將遭到破壞，嚴重的還會導致局部電網癱瘓。

1.4 電網工控系統安全漏洞

電網工控系統中的終端工作站在運轉過程中存在諸多安全隱患和漏洞，如應用軟件漏洞、網絡協議漏洞以及安全管理漏洞等。其中，應用軟件漏洞是一種較為常見的系統安全風險類型，電網工控系統中的軟件容易和殺毒軟件出現沖突，在網絡正常運行時，病毒將從這一漏洞中侵蝕到工控網絡內部，但是這種安全漏洞易于發現和識別，如果將工控系統與公共網絡相接，這種漏洞的安全風險指數也將飆升。網絡協議漏洞主要針對TCP/IP協議以及OPC網絡協議而言，尤其是OPC應用層的數據協議。由于支持該協議的交換設備往往需要從國外引進，因此制造廠家為應對隨時可能爆發的信息戰，常常將交換設備應用參數的控制權牢牢掌握在自己手里，一旦受到外界不明攻擊源的攻擊，電網工控系統的安全風險等級也將陡然上升。安全管理漏洞主要是針對主觀人為因素而言，在電網工控設備運行當中，操作人員如果將U盤和移動硬盤與系統接入，那么一些路徑不明的病毒就可能會侵蝕系統，從而導致數據信息丟失[2]。電網工控系統漏洞類型如圖1所示。

圖1 電網工控系統漏洞類型

2 網絡流量異常情況分析

網絡流量異常檢測主要是基于網絡通道運行不暢或者流量異常的情況而實施的一種檢測手段，目前較為常見的網絡流量異常主要包括以下3種情況。

2.1 網絡操作異常

引發這種異常狀況的主要原因是由于網絡配置發生變化，或者支持網絡設備正常運轉的存儲設備本身出現耗損，從而導致存儲能力下降。即存儲介質的存儲空間變小，或者數據信息的存儲能力與處理能力嚴重下降，這時網絡流量也將出現異常。

2.2 蠕蟲病毒的傳播

蠕蟲病毒是計算機網絡中一種較為常見的病毒，一旦這種病毒入侵網絡通道，不僅會破壞計算機的使用功能，而且也將惡意篡改應用程序。如果流量蠕蟲病毒無法得到有效控制，不斷在網絡環境中進行傳播和復制，那么一些重要流量數據將被病毒侵蝕和感染，這種情況下也會引發網絡流量異常[3]。

2.3 網絡濫用

當出現這種異常狀況后，系統將無法準確預測系統中的字節流量、包流量以及位流量等相關數據信息，技術人員只有根據網絡數據出現的異常特征對其進行處理。

3 電網工控系統安全監測預警平臺模型構建

電網工控系統并不是一個單獨孤立的運營系統，從網絡結構上劃分主要包括控制網絡與管理網絡，控制網絡布置在變電站中，由下至上分為過程層、間隔層以及站控層。過程層主要設備包括電子式互感器、智能終端、合并單元、智能單元狀態監測裝置以及流量數據采集裝置，間隔層的主要功能是間隔保護、錄波、測控、流量數據采集、計量以及電量采集，站控層主要包括后臺、監控主站、工程師站、信息子站、流量監測平臺、協議監測平臺以及行為監測平臺。其中，間隔層與站控層的一體化平臺主要對工控系統的異常行為進行監測。而管理網絡主要指調度監控管理網，由上至下包括監控層、分析層以及數據層。監控層主要功能是對電網工控系統的安全監測和安全預警進行可視化展示，分析層具備半監督學習聚類分析功能與關聯分析功能，而數據層則是對各種數據信息進行緩存，對海量數據進行存儲和處理[4]。

這一平臺在運行過程中可以完全利用網絡流量、安全設備日志以及網絡行為，對電網工控系統的安全運行進行監測和數據分析，如果發現運行異常或者未知的安全風險，安全監測預警平臺將及時發出預警信號，并成功捕獲各種安全事件。由此可以看出，該平臺模型的建立為電網工控系統的安全運行創造了一個必要條件。

4 電網工控系統流量異常檢測安全監測技術的應用

目前，電網工控系統安全監測預警平臺主要采用網絡流量異常檢測安全監測技術，從該技術的流程模型中可以看出，監測技術的應用與實施主要包括數據采集、制定檢測規則以及實時檢測3個階段。其中，數據采集主要包括收集與預處理兩個環節，制定檢測規則主要是對未標記的實時數據及已經標記的數據進行聚類處理，然后根據檢測規則對這些數據信息進行實時檢測，以確定網絡流量是否存在異常狀況。電網工控系統與普通的網絡系統存在較大差異，尤其在穩定性方面。電網工控系統無法隨系統宕機，即計算機在非正常運行狀態下，電網工控系統也將無法正常運行。因此，在安全等級設計方面，每一個等級均匹配不同的采集頻率系數。從電網工控系統的流量數據來說，與普通的網絡流量數據也有所不同，其數據長度普遍小于一般的數據，而且數據流向處于固定流向，數據的響應時間極短[5]。

4.1 通過信息熵量化流量特征進行預處理

電力部門結合電網工控系統的網絡流量數據特點發現，在網絡流量處于正常狀態時，與異常狀態時的流量存在較大差異，因此技術人員可以根據這一特性，對網絡流量進行量化處理，通過分析信息熵的方法對電網工控系統的流量情況予以監測。信息熵屬于一個信息總量概念，當這一總量的秩序性越高，分布越加均勻，信息熵則越低，當信息總量秩序性較低，而且分布較為分散時信息熵越高。由此可以通過地址熵反映出的攻擊事件對IP地址的分布情況進行分析，如果發現IP地址混亂分布，則地址熵就越高，如果IP地址有序分布，則地址熵越低。結合這一分析結果，能夠準確判斷IP地址的分布是否存在異?，F象。

技術人員可以根據數據包的時間順序構建一個數學模型，這一模型可以記錄單位流量某一特征屬性所發生的具體次數，通常用X{X1、X2、…、XN}來表示，參照的屬性熵值主要來自于IP地址、工控協議、源端口以及目的端口。如果以計算單位流量源IP地址的熵值為例，則IP地址的個數記作M，出現的不同次數可以分別記作ni，其中的i值取1、2、3……M，那么根據這一已知條件，可以得出IP地址熵值的數學運算公式為：

4.2 檢測規則的制訂

電網工控系統安全監測預警平臺建立以后需要制訂一個檢測規則，在制訂規則之前，首先需要考慮網絡流量屬性，根據事先采集的數據樣本對正常流量與異常流量進行標記，然后再以半監督聚類的算法構建一個電網工控系統網絡流量異常檢測模型，技術人員利用這一模型可以對流量狀況進行實時檢測，以確定流量是否正常。其主要算法包括半監督學習的K-means聚類分析算法以及改進的K-means算法。

4.2.1 半監督學習的K-means聚類分析算法

隨著人工智能技術的日漸完善，機器學習這種智能技術已經在電網工控系統中被普遍應用，主要包括監督式學習、無監督學習以及半監督學習3種學習形態。其中，監督式學習主要參考帶有標記的數據樣本進行學習，無監督學習是參考沒有標記的數據樣本進行學習，而半監督學習則集合兩種數據樣本，再根據概率分布情況進行學習。與前兩種學習形態相比，半監督學習的學習速度更加便捷高效。而聚類分析算法作為半監督學習的一種重要方式，其學習原理如下。先將沒有標記的數據進行分類處理，分類依據主要根據數據的相似度，相似度較高的數據分為一類，相似度較低的劃歸為另一類，然后利用K-means算法對電網工控系統的流量屬性熵值進行分類，這種方法能夠使網絡流量異常的檢測算法更加優化，進而大幅提升檢測效率[7]。

過去，技術人員采用的半監督聚類K-means算法的運算過程較為簡捷，運算速度相對較快，尤其在檢測網絡流量異常情況時的實際應用價值得到充分體現。例如，數據樣本采集階段，選取的樣本個數記作N，IP地址熵值數據集合記作D，D的取值分別為X1、X2、…、Xn。在運算過程中，首先需要確定K的值，再以K作為聚類的初始中心，如果K≤N，則IP地址熵數據便可以分成S=（S1、S2、…、Sn）個聚類中心，接下來根據歐式距離可以求解出聚類中心與剩余數據間的距離。如果將Si的數據作為均值，則可以重復以上運算過程，求解出Si的平均值及數據元素的平方誤差和。

4.2.2 改進的K-means算法

半監督學習狀態下的K-means聚類分析算法看似簡單實用，但是從K值的初始取值可以看出，如果K值的取值不同，則運算結果也存在較大差異，這將對聚類分析的準確性造成不利影響。其次是這種算法會產生多個孤立的數據點，這些數據大多不符合數據特征，或者偏離數據區，在這種情況下計算出的平均值也會產生較大的運算偏差，電網工控系統的安全監測結果也會產生不利影響。因此，為了有效避免上述情況的發生，技術人員對K-means算法中的K值及聚類中心的初始值進行改進。在傳統的K-means算法中，K值的取值一般選取有標記的正常流量包，而參照點的選取也不是以聚類中心的平均值為準，而是以聚類中心的中心點為基準，這種傳統的算法將產生大量的孤立數據點，這就使得到監測結果的精準度難以滿足標準要求[8]。

而經過改進的K-means算法與傳統算法存在顯著差異，在確定K值時常常以帶有標記的數據樣本為基準，然后在選取的樣本中以隨機抽樣的方法來選取K值，并將其作為初始中心點，其余未被選取的數據樣本，則將其就近分配到各自所對應的聚類中心。通過循環往復的處理與運算過程，中心點對象將被非中心點對象所代替，在這種情況下，技術人員可以對非中心點對象與中心點對象之間的距離之和進行比較分析，進而求得最小距離之和，并通過迭代累加的過程，求解出聚類中心的實際中心點對象。

4.3 實時檢測

實時檢測作為電網工控系統網絡流量異常安全監測平臺的一個關鍵環節，是在數據采集與規則建立之后而形成的一種檢測模式。目前，在實時檢測階段，參照的數據集以KDD99數據集為主。檢測過程中參照的屬性參數的主要特征是周期性數據、數據流向固定以及響應時間短等。下面以篩選出的41個特征屬性與18個與電網工控系統網絡數據特征相似的特征屬性數據作為樣本數據，然后基于網絡流量異常檢測的手段，對電網工控系統的安全性能進行仿真監測實驗。在該實驗開始之前，首先確定實驗樣本的個數為3 000個，其中正常數據的數量為2 900個，異常數據的數量為100個，然后通過半監督學習的K-means聚類分析算法及改進的K-means算法，分別驗證每一種算法的誤檢率[9]。實驗驗證結果如表1所示。

表1 兩種算法的實驗驗證結果

從表1中的實驗驗證結果可以看出，改進的K-means算法的誤檢率均超過半監督學習的K-means聚類分析算法5%左右，因此，可以確定利用改進后的K-means算法能夠更加精準地檢測出網絡流量的異常狀況。根據這一檢測流程，可以得出電網工控系統的網絡流量數據可以根據流量的屬性特征進行熵值量化，然后利用改進以后的K-means算法來構建一個聚類分析模型，這時，正常流量與異常流量都可以體現在聚類中心中，如果檢測出的數據正常，則可以標記為正常流量，如果反映出的數據存在異常狀況，則可以標記為異常流量。這樣一來，電網工控系統的安全監測預警功能也能夠得以實現，電網工控系統的安全性也將得到大幅提升[10]。

5 結 論

基于網絡流量異常檢測的電網工控系統的安全監測技術，是目前電力系統普遍應用的一種高效監測技術，技術人員可以結合網絡流量特征屬性構建安全監測預警平臺。當平臺建立以后，根據改進后的K-means算法建立一個聚類分析模型，進而能夠對全局電網的流量情況進行有效監測，這不僅避免了孤立數據的出現，而且也能夠實時監測電網工控系統的運行狀態，為快速消除安全風險隱患提供了強大的技術支撐，電網工控系統的安全穩定性能也得到切實保障。