◆王 謙

（深圳供電局有限公司 廣東 518000）

基于網(wǎng)絡(luò)流量異常檢測(cè)的電網(wǎng)工控系統(tǒng)安全監(jiān)測(cè)技術(shù)

◆王 謙

（深圳供電局有限公司 廣東 518000）

本文研究電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)流量數(shù)據(jù)的特征，打造電網(wǎng)工控機(jī)系統(tǒng)全局性安全監(jiān)測(cè)預(yù)警網(wǎng)絡(luò)，提出滿足電網(wǎng)工控機(jī)系統(tǒng)的網(wǎng)絡(luò)流量異常檢測(cè)安全監(jiān)測(cè)預(yù)警平臺(tái)架構(gòu)，設(shè)計(jì)出數(shù)據(jù)獲取的手段，把網(wǎng)絡(luò)流量特征屬性量化成熵值，有效地進(jìn)行分類，能夠給電網(wǎng)企業(yè)工控系統(tǒng)的安全防護(hù)提供一定的參考以及相關(guān)的借鑒。

電網(wǎng)工控系統(tǒng)；異常檢測(cè)；安全檢測(cè)技術(shù)

0 引言

在2016年的6月4日，烏克蘭電網(wǎng)遭受網(wǎng)絡(luò)黑客攻擊導(dǎo)致大面積停電，攻擊方所使用的屬于一般的攻擊手段，但是卻導(dǎo)致關(guān)鍵公用系統(tǒng)失去作用，其原因是欠缺對(duì)運(yùn)維過(guò)程的有效技術(shù)監(jiān)管，惡意代碼被植入生產(chǎn)控制網(wǎng)絡(luò)，致使大面積的網(wǎng)絡(luò)故障，造成相當(dāng)大的經(jīng)濟(jì)損失。如今的電力監(jiān)控系統(tǒng)主站和廠站的安全監(jiān)視絕大多數(shù)憑借內(nèi)網(wǎng)監(jiān)測(cè)網(wǎng)絡(luò)，可是，內(nèi)網(wǎng)接收網(wǎng)絡(luò)只是對(duì)于邊界位置的安全設(shè)備以及網(wǎng)絡(luò)設(shè)備的日志進(jìn)行實(shí)時(shí)獲取，不能夠?qū)τ诠た叵到y(tǒng)本身流量以及進(jìn)入主站的流量開(kāi)展深入的研究，更未根據(jù)有關(guān)的安全算法開(kāi)展深度的剖析，潛在的工控系統(tǒng)廠站位置存在安全隱患，極有可能使廠站側(cè)錯(cuò)誤分開(kāi)分閘操作，甚至?xí)鹨恍﹨^(qū)域斷電。本文提出通過(guò)信息熵化電力工控系統(tǒng)網(wǎng)絡(luò)流量屬性，使用改進(jìn)的半監(jiān)督學(xué)習(xí)聚類算法將量化的流量屬性大小開(kāi)展聚類研究，進(jìn)而達(dá)到流量異常檢測(cè)安全監(jiān)測(cè)的效果，給電網(wǎng)工控系統(tǒng)完成全局網(wǎng)絡(luò)流量異常檢測(cè)、安全監(jiān)測(cè)預(yù)警提供一定的參考。

1 電網(wǎng)工控系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)

由于外界信息安全形勢(shì)的調(diào)整、一些新技術(shù)的使用以及能源互聯(lián)網(wǎng)構(gòu)建的逐漸深化，工控攻擊在一方面表現(xiàn)出向著智能變電站、配電系統(tǒng)現(xiàn)場(chǎng)這些使用者側(cè)向的開(kāi)放環(huán)境泛化演進(jìn)的態(tài)勢(shì)，在另外一個(gè)方面，則表現(xiàn)出通過(guò)使用終端網(wǎng)絡(luò)系統(tǒng)甚至管理等很多角度的不足開(kāi)展工控特種攻擊的態(tài)勢(shì)。具體表現(xiàn)有：不安全的移動(dòng)介質(zhì)的加入，導(dǎo)致病毒散播；工控網(wǎng)絡(luò)有可能存在外聯(lián)的其他方合作網(wǎng)絡(luò)，縱然部署存在一定安全保護(hù)手段，但是很容易被新型的攻擊手段所破解；控制協(xié)議有著一定的不足，很容易被攻擊；工作現(xiàn)場(chǎng)的環(huán)境相對(duì)的復(fù)雜，就像變電站等，網(wǎng)絡(luò)的連接有著很大的安全風(fēng)險(xiǎn)，操作系統(tǒng)漏洞并未迅速的開(kāi)展補(bǔ)丁修復(fù)，十分容易被攻擊方所使用；工控新領(lǐng)域的不斷提升，新技術(shù)手段的大量使用，致使漏洞越來(lái)越多，如今的防護(hù)框架不能已經(jīng)有效地進(jìn)行覆蓋。

電網(wǎng)工控機(jī)系統(tǒng)和一般的信息系統(tǒng)在信息安全技術(shù)部分存在著很大區(qū)別：首先就是有著很強(qiáng)的使用特點(diǎn)，和物理世界具有一定的交互；其次是一般的信息安全軟件的補(bǔ)丁以及系統(tǒng)軟件更新頻率不能夠使用在工控系統(tǒng)上，停機(jī)更新系統(tǒng)的成本會(huì)很大，針對(duì)以上信息安全風(fēng)險(xiǎn)，不能把一般信息系統(tǒng)的安全防護(hù)手段使用到智能電網(wǎng)工控系統(tǒng)里，需要適用于電網(wǎng)工控機(jī)系統(tǒng)的異常檢測(cè)手段開(kāi)展安全檢測(cè)，對(duì)潛在的風(fēng)險(xiǎn)或問(wèn)題開(kāi)展預(yù)測(cè)，而且對(duì)于攻擊事件開(kāi)展追蹤，有效地將電網(wǎng)工控系統(tǒng)的安全防護(hù)能力進(jìn)行提高。

2 電網(wǎng)工控系統(tǒng)安全監(jiān)測(cè)預(yù)警平臺(tái)架構(gòu)

工業(yè)控制系統(tǒng)并不是十分簡(jiǎn)單、單獨(dú)的系統(tǒng)，而是和生產(chǎn)任務(wù)有著密切聯(lián)系的控制監(jiān)測(cè)局域網(wǎng)絡(luò)系統(tǒng)。電網(wǎng)工控系統(tǒng)有兩種，分別是控制網(wǎng)絡(luò)以及管理網(wǎng)絡(luò)。管理網(wǎng)絡(luò)就是調(diào)度監(jiān)控管理網(wǎng)，控制網(wǎng)絡(luò)部署在變電站，有過(guò)程層、間隔層還有站控層這幾個(gè)層，電網(wǎng)工控系統(tǒng)安全監(jiān)測(cè)預(yù)警平臺(tái)在如今的安全防護(hù)技術(shù)的基礎(chǔ)上，在變電站的過(guò)程層、間隔層提高整體流量的數(shù)據(jù)獲取能力，利用網(wǎng)絡(luò)流量的錯(cuò)誤分析以及邊界位置的感應(yīng)設(shè)備日志，于站控層邊界部署工控錯(cuò)誤活動(dòng)檢測(cè)、工控操作活動(dòng)審計(jì)，于主站位置層打造流量監(jiān)測(cè)網(wǎng)絡(luò)、協(xié)議監(jiān)測(cè)網(wǎng)絡(luò)以及行為監(jiān)測(cè)網(wǎng)絡(luò)，在調(diào)度監(jiān)控管理網(wǎng)里加裝大數(shù)據(jù)記錄、大數(shù)據(jù)研究和監(jiān)控展示網(wǎng)絡(luò)，進(jìn)而完成電網(wǎng)工控系統(tǒng)整體安全監(jiān)測(cè)預(yù)警。

平臺(tái)有效地運(yùn)用網(wǎng)絡(luò)流量、系統(tǒng)和安全設(shè)備的日志等，系統(tǒng)地開(kāi)展監(jiān)測(cè)，在第一時(shí)間找出安全風(fēng)險(xiǎn)，進(jìn)而很好地捕獲安全事件。

3 電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)流量異常檢測(cè)安全監(jiān)測(cè)技術(shù)

電網(wǎng)工控系統(tǒng)安全監(jiān)測(cè)預(yù)警平臺(tái)所運(yùn)用的屬于網(wǎng)絡(luò)流量異常檢測(cè)安全監(jiān)測(cè)手段，由數(shù)據(jù)獲取、構(gòu)建檢測(cè)要求、實(shí)時(shí)檢測(cè)幾個(gè)模塊組成。

數(shù)據(jù)獲取的作用就是將原始的數(shù)據(jù)進(jìn)行獲取以及事先處理。

構(gòu)建檢測(cè)規(guī)則第一步是利用信息熵量化網(wǎng)絡(luò)流量特性，依照屬性特征把一般流量標(biāo)記成有標(biāo)記的數(shù)據(jù)樣板，反之就是沒(méi)有標(biāo)記的實(shí)時(shí)數(shù)據(jù)，緊接著通過(guò)完善的半監(jiān)督聚類算法構(gòu)建電網(wǎng)公共系統(tǒng)網(wǎng)絡(luò)流量異常檢測(cè)模型，而且構(gòu)建起實(shí)施監(jiān)測(cè)的標(biāo)準(zhǔn)。

3.1 電網(wǎng)工控系統(tǒng)的數(shù)據(jù)采集特點(diǎn)

電網(wǎng)工控機(jī)系統(tǒng)和正常的網(wǎng)絡(luò)系統(tǒng)存在著一定的區(qū)別，它不能忍受系統(tǒng)錯(cuò)誤。電網(wǎng)工控機(jī)系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)獲取的措施是依照設(shè)備所在位置的安全情況，匹配不一樣的獲取頻率系數(shù)；按照作用的區(qū)別設(shè)定不一樣的采集頻率系數(shù)；依照鏈路的擁塞狀況，調(diào)整所在時(shí)間的采集頻率；按照設(shè)備的負(fù)荷狀況，調(diào)整設(shè)備的采集頻率，進(jìn)而確保工業(yè)控制系統(tǒng)自身的作用能夠有效地發(fā)揮。

電網(wǎng)工控系統(tǒng)所獲取的網(wǎng)絡(luò)流量數(shù)據(jù)也與正常的網(wǎng)絡(luò)流量數(shù)據(jù)存在著很大區(qū)別，一是數(shù)據(jù)長(zhǎng)度與一般的數(shù)據(jù)相比小很多，二是周期性信息數(shù)據(jù)很多，三是數(shù)據(jù)的流向比較確定；四是有著十分明顯的時(shí)序特征，響應(yīng)時(shí)間不長(zhǎng)。

3.2 利用信息熵量化流量特征屬性進(jìn)行預(yù)處理

對(duì)于電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)流量數(shù)據(jù)所具有的特征，一般流量和不正常流量在分布特點(diǎn)上存在著很大的區(qū)別，所以能夠利用信息熵對(duì)流量特點(diǎn)屬性開(kāi)展量化研究，研究流量特征屬性的熵大小來(lái)測(cè)定電網(wǎng)工控系統(tǒng)的流量情況。信息熵屬于信息論里用于量度信息總量的一個(gè)定義，信息總量越有序，分布就十分集中，信息熵就不大。通過(guò)地址上體現(xiàn)攻擊事件IP地址分布的情況，IP地址如果是越混亂，分布就越分散。

3.3 構(gòu)建起檢測(cè)規(guī)則

按照電網(wǎng)工礦系數(shù)網(wǎng)絡(luò)流量數(shù)據(jù)流向一成不變，周期時(shí)序性十分明顯等特征，把一般流量數(shù)據(jù)設(shè)置成具有標(biāo)記的數(shù)據(jù)樣本，不正常的流量數(shù)據(jù)則不用進(jìn)行標(biāo)記，用于減少分析的復(fù)雜情況，把有標(biāo)記的數(shù)據(jù)初始化處理，和沒(méi)有標(biāo)記的樣本進(jìn)行聚類分析對(duì)比，構(gòu)建起分析的模型。

4 結(jié)語(yǔ)

機(jī)器的學(xué)習(xí)劃分成監(jiān)督學(xué)習(xí)、不用監(jiān)督的學(xué)習(xí)以及半監(jiān)督學(xué)習(xí)。監(jiān)督學(xué)習(xí)就是通過(guò)具有標(biāo)記的樣本開(kāi)展學(xué)習(xí)；不用監(jiān)督的學(xué)習(xí)就是通過(guò)沒(méi)有監(jiān)督的樣本來(lái)開(kāi)展學(xué)習(xí)，半監(jiān)督學(xué)習(xí)屬于以上兩者的結(jié)合體，通過(guò)有標(biāo)記的樣本數(shù)據(jù)以及沒(méi)有標(biāo)記的樣本數(shù)據(jù)結(jié)合之后的概率分布開(kāi)展學(xué)習(xí)，將學(xué)習(xí)的速率進(jìn)行提升。聚類分析算法屬于半監(jiān)督學(xué)習(xí)的一類，按照數(shù)據(jù)內(nèi)在的相似情況，把沒(méi)有標(biāo)記的數(shù)據(jù)劃分成很多種，種類中的數(shù)據(jù)相似情況比較大。

本文通過(guò)完善的工控算法將電網(wǎng)異常流量的特征屬性開(kāi)展分類，進(jìn)而改進(jìn)公共系統(tǒng)流量異常檢測(cè)算法，能夠更好地進(jìn)行檢測(cè)。

[1]崔錫鑫，蘇偉，劉穎.基于熵的流量分析和異常檢測(cè)技術(shù)研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2013.

[2]高洋，彭勇，謝豐.美國(guó)工控安全保障管理的啟示[J].中國(guó)信息安全，2012.

[3]張帥.工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析[J].信息安全與通信保密，2012.

[4]侯重遠(yuǎn)，江漢紅，芮萬(wàn)智，劉亮.工業(yè)網(wǎng)絡(luò)流量異常檢測(cè)的概率主成分分析法[J].西安交通大學(xué)學(xué)報(bào)，2012.

[5]李建，李杰，孫燕花.基于聚類融合的入侵檢測(cè)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2011.

[6]張賓，楊家海，吳建平.Internet流量模型分析與評(píng)述[J].軟件學(xué)報(bào)，2011.

[7]胡毅，于東，劉明烈.工業(yè)控制網(wǎng)絡(luò)的研究現(xiàn)狀及發(fā)展趨勢(shì)[J].計(jì)算機(jī)科學(xué)，2010.

[8]馮冬芹，廖智軍，金建祥，褚健.基于以太網(wǎng)的工業(yè)控制網(wǎng)絡(luò)實(shí)時(shí)通信模型研究[J].儀器儀表學(xué)報(bào)，2005.