探讨基于网络流量异常检测的电网工控系统安全监测技术

杨丙红

（廊坊市生产力促进中心，河北 廊坊 065000）

0 引 言

网络流量异常检测主要通过对数据流发生的网络异常情况予以确定，对流量异常类型进行诊断，以维护计算机网络的正常运行。目前，由于电网工控系统处于网络运行环境中，这就使工控系统的信息安全受到严重威胁。为了切实解决这一难题，近年来在广大技术人员的不懈努力下，在网络流量异常检测技术的基础上，对电网工控系统的安全性能进行有效监测，快速查找出网络运行风险，准确捕获各类安全事件，以及时排除安全风险隐患，确保电网工控系统能够始终保持安全运行状态，进而满足社会各领域对电力能源的需求。

1 电网工控系统面临的安全风险

1.1 黑客入侵工控系统操作终端

互联网技术给人们的生活带来了诸多便利，但是网络病毒、木马程序以及网络黑客的出现使得用户个人信息的安全性受到严重影响。尤其对电网工控系统来说，由于系统终端接入互联网络，当系统进行远程连接、断开、配置以及升级时，网络黑客也将乘机攻入工控系统的智能设备中，在这种情况下，电网工控系统的功能将受到严重影响，甚至容易出现系统瘫痪的情况。因此，对电网工控系统智能终端的安全性能提出了更高的要求。

1.2 无线虚拟网络的安全漏洞

近年来，通信技术飞速发展，尤其在互联网环境下，无线网络技术应运而生，这种技术在给生产和生活带来诸多便利的同时，也给网络黑客、病毒以及木马程序打开了一个入侵通道。与有线网络相比，无线网络信号覆盖面广，因此电力部门常常通过无线虚拟专网来传送各种数据信息，无形中就增加了网络运行风险。虽然电力部门采取了相应的安全防范措施，但是无线网络的病毒与黑客攻击类型呈现出多样化特点，电力网络的运行安全也必将时刻受到威胁[1]。

1.3 用户侧的安全威胁

电网工控系统往往借助于AMI系统向用户提供电力能源等服务内容，该系统主要由智能电表、通信系统与设备以及电表信息管理系统组成，如果电网工控系统与该系统进行直连，那么用户端的安全风险系数就会增大。例如，用户在享受电力系统提供的便捷服务的同时，一些家用智能化设备也与电力系统构成一个整体运行网络，一旦遇到非法攻击，智能化设备就会出现各种类型的故障，另外受到暴雨或者雷电等恶劣气候条件的影响，这些设备的安全性能也会大幅降低，这时与之相连的电网工控系统的电力负荷也将遭到破坏，严重的还会导致局部电网瘫痪。

1.4 电网工控系统安全漏洞

电网工控系统中的终端工作站在运转过程中存在诸多安全隐患和漏洞，如应用软件漏洞、网络协议漏洞以及安全管理漏洞等。其中，应用软件漏洞是一种较为常见的系统安全风险类型，电网工控系统中的软件容易和杀毒软件出现冲突，在网络正常运行时，病毒将从这一漏洞中侵蚀到工控网络内部，但是这种安全漏洞易于发现和识别，如果将工控系统与公共网络相接，这种漏洞的安全风险指数也将飙升。网络协议漏洞主要针对TCP/IP协议以及OPC网络协议而言，尤其是OPC应用层的数据协议。由于支持该协议的交换设备往往需要从国外引进，因此制造厂家为应对随时可能爆发的信息战，常常将交换设备应用参数的控制权牢牢掌握在自己手里，一旦受到外界不明攻击源的攻击，电网工控系统的安全风险等级也将陡然上升。安全管理漏洞主要是针对主观人为因素而言，在电网工控设备运行当中，操作人员如果将U盘和移动硬盘与系统接入，那么一些路径不明的病毒就可能会侵蚀系统，从而导致数据信息丢失[2]。电网工控系统漏洞类型如图1所示。

图1 电网工控系统漏洞类型

2 网络流量异常情况分析

网络流量异常检测主要是基于网络通道运行不畅或者流量异常的情况而实施的一种检测手段，目前较为常见的网络流量异常主要包括以下3种情况。

2.1 网络操作异常

引发这种异常状况的主要原因是由于网络配置发生变化，或者支持网络设备正常运转的存储设备本身出现耗损，从而导致存储能力下降。即存储介质的存储空间变小，或者数据信息的存储能力与处理能力严重下降，这时网络流量也将出现异常。

2.2 蠕虫病毒的传播

蠕虫病毒是计算机网络中一种较为常见的病毒，一旦这种病毒入侵网络通道，不仅会破坏计算机的使用功能，而且也将恶意篡改应用程序。如果流量蠕虫病毒无法得到有效控制，不断在网络环境中进行传播和复制，那么一些重要流量数据将被病毒侵蚀和感染，这种情况下也会引发网络流量异常[3]。

2.3 网络滥用

当出现这种异常状况后，系统将无法准确预测系统中的字节流量、包流量以及位流量等相关数据信息，技术人员只有根据网络数据出现的异常特征对其进行处理。

3 电网工控系统安全监测预警平台模型构建

电网工控系统并不是一个单独孤立的运营系统，从网络结构上划分主要包括控制网络与管理网络，控制网络布置在变电站中，由下至上分为过程层、间隔层以及站控层。过程层主要设备包括电子式互感器、智能终端、合并单元、智能单元状态监测装置以及流量数据采集装置，间隔层的主要功能是间隔保护、录波、测控、流量数据采集、计量以及电量采集，站控层主要包括后台、监控主站、工程师站、信息子站、流量监测平台、协议监测平台以及行为监测平台。其中，间隔层与站控层的一体化平台主要对工控系统的异常行为进行监测。而管理网络主要指调度监控管理网，由上至下包括监控层、分析层以及数据层。监控层主要功能是对电网工控系统的安全监测和安全预警进行可视化展示，分析层具备半监督学习聚类分析功能与关联分析功能，而数据层则是对各种数据信息进行缓存，对海量数据进行存储和处理[4]。

这一平台在运行过程中可以完全利用网络流量、安全设备日志以及网络行为，对电网工控系统的安全运行进行监测和数据分析，如果发现运行异常或者未知的安全风险，安全监测预警平台将及时发出预警信号，并成功捕获各种安全事件。由此可以看出，该平台模型的建立为电网工控系统的安全运行创造了一个必要条件。

4 电网工控系统流量异常检测安全监测技术的应用

目前，电网工控系统安全监测预警平台主要采用网络流量异常检测安全监测技术，从该技术的流程模型中可以看出，监测技术的应用与实施主要包括数据采集、制定检测规则以及实时检测3个阶段。其中，数据采集主要包括收集与预处理两个环节，制定检测规则主要是对未标记的实时数据及已经标记的数据进行聚类处理，然后根据检测规则对这些数据信息进行实时检测，以确定网络流量是否存在异常状况。电网工控系统与普通的网络系统存在较大差异，尤其在稳定性方面。电网工控系统无法随系统宕机，即计算机在非正常运行状态下，电网工控系统也将无法正常运行。因此，在安全等级设计方面，每一个等级均匹配不同的采集频率系数。从电网工控系统的流量数据来说，与普通的网络流量数据也有所不同，其数据长度普遍小于一般的数据，而且数据流向处于固定流向，数据的响应时间极短[5]。

4.1 通过信息熵量化流量特征进行预处理

电力部门结合电网工控系统的网络流量数据特点发现，在网络流量处于正常状态时，与异常状态时的流量存在较大差异，因此技术人员可以根据这一特性，对网络流量进行量化处理，通过分析信息熵的方法对电网工控系统的流量情况予以监测。信息熵属于一个信息总量概念，当这一总量的秩序性越高，分布越加均匀，信息熵则越低，当信息总量秩序性较低，而且分布较为分散时信息熵越高。由此可以通过地址熵反映出的攻击事件对IP地址的分布情况进行分析，如果发现IP地址混乱分布，则地址熵就越高，如果IP地址有序分布，则地址熵越低。结合这一分析结果，能够准确判断IP地址的分布是否存在异常现象。

技术人员可以根据数据包的时间顺序构建一个数学模型，这一模型可以记录单位流量某一特征属性所发生的具体次数，通常用X{X1、X2、…、XN}来表示，参照的属性熵值主要来自于IP地址、工控协议、源端口以及目的端口。如果以计算单位流量源IP地址的熵值为例，则IP地址的个数记作M，出现的不同次数可以分别记作ni，其中的i值取1、2、3……M，那么根据这一已知条件，可以得出IP地址熵值的数学运算公式为：

4.2 检测规则的制订

电网工控系统安全监测预警平台建立以后需要制订一个检测规则，在制订规则之前，首先需要考虑网络流量属性，根据事先采集的数据样本对正常流量与异常流量进行标记，然后再以半监督聚类的算法构建一个电网工控系统网络流量异常检测模型，技术人员利用这一模型可以对流量状况进行实时检测，以确定流量是否正常。其主要算法包括半监督学习的K-means聚类分析算法以及改进的K-means算法。

4.2.1 半监督学习的K-means聚类分析算法

随着人工智能技术的日渐完善，机器学习这种智能技术已经在电网工控系统中被普遍应用，主要包括监督式学习、无监督学习以及半监督学习3种学习形态。其中，监督式学习主要参考带有标记的数据样本进行学习，无监督学习是参考没有标记的数据样本进行学习，而半监督学习则集合两种数据样本，再根据概率分布情况进行学习。与前两种学习形态相比，半监督学习的学习速度更加便捷高效。而聚类分析算法作为半监督学习的一种重要方式，其学习原理如下。先将没有标记的数据进行分类处理，分类依据主要根据数据的相似度，相似度较高的数据分为一类，相似度较低的划归为另一类，然后利用K-means算法对电网工控系统的流量属性熵值进行分类，这种方法能够使网络流量异常的检测算法更加优化，进而大幅提升检测效率[7]。

过去，技术人员采用的半监督聚类K-means算法的运算过程较为简捷，运算速度相对较快，尤其在检测网络流量异常情况时的实际应用价值得到充分体现。例如，数据样本采集阶段，选取的样本个数记作N，IP地址熵值数据集合记作D，D的取值分别为X1、X2、…、Xn。在运算过程中，首先需要确定K的值，再以K作为聚类的初始中心，如果K≤N，则IP地址熵数据便可以分成S=（S1、S2、…、Sn）个聚类中心，接下来根据欧式距离可以求解出聚类中心与剩余数据间的距离。如果将Si的数据作为均值，则可以重复以上运算过程，求解出Si的平均值及数据元素的平方误差和。

4.2.2 改进的K-means算法

半监督学习状态下的K-means聚类分析算法看似简单实用，但是从K值的初始取值可以看出，如果K值的取值不同，则运算结果也存在较大差异，这将对聚类分析的准确性造成不利影响。其次是这种算法会产生多个孤立的数据点，这些数据大多不符合数据特征，或者偏离数据区，在这种情况下计算出的平均值也会产生较大的运算偏差，电网工控系统的安全监测结果也会产生不利影响。因此，为了有效避免上述情况的发生，技术人员对K-means算法中的K值及聚类中心的初始值进行改进。在传统的K-means算法中，K值的取值一般选取有标记的正常流量包，而参照点的选取也不是以聚类中心的平均值为准，而是以聚类中心的中心点为基准，这种传统的算法将产生大量的孤立数据点，这就使得到监测结果的精准度难以满足标准要求[8]。

而经过改进的K-means算法与传统算法存在显著差异，在确定K值时常常以带有标记的数据样本为基准，然后在选取的样本中以随机抽样的方法来选取K值，并将其作为初始中心点，其余未被选取的数据样本，则将其就近分配到各自所对应的聚类中心。通过循环往复的处理与运算过程，中心点对象将被非中心点对象所代替，在这种情况下，技术人员可以对非中心点对象与中心点对象之间的距离之和进行比较分析，进而求得最小距离之和，并通过迭代累加的过程，求解出聚类中心的实际中心点对象。

4.3 实时检测

实时检测作为电网工控系统网络流量异常安全监测平台的一个关键环节，是在数据采集与规则建立之后而形成的一种检测模式。目前，在实时检测阶段，参照的数据集以KDD99数据集为主。检测过程中参照的属性参数的主要特征是周期性数据、数据流向固定以及响应时间短等。下面以筛选出的41个特征属性与18个与电网工控系统网络数据特征相似的特征属性数据作为样本数据，然后基于网络流量异常检测的手段，对电网工控系统的安全性能进行仿真监测实验。在该实验开始之前，首先确定实验样本的个数为3 000个，其中正常数据的数量为2 900个，异常数据的数量为100个，然后通过半监督学习的K-means聚类分析算法及改进的K-means算法，分别验证每一种算法的误检率[9]。实验验证结果如表1所示。

表1 两种算法的实验验证结果

从表1中的实验验证结果可以看出，改进的K-means算法的误检率均超过半监督学习的K-means聚类分析算法5%左右，因此，可以确定利用改进后的K-means算法能够更加精准地检测出网络流量的异常状况。根据这一检测流程，可以得出电网工控系统的网络流量数据可以根据流量的属性特征进行熵值量化，然后利用改进以后的K-means算法来构建一个聚类分析模型，这时，正常流量与异常流量都可以体现在聚类中心中，如果检测出的数据正常，则可以标记为正常流量，如果反映出的数据存在异常状况，则可以标记为异常流量。这样一来，电网工控系统的安全监测预警功能也能够得以实现，电网工控系统的安全性也将得到大幅提升[10]。

5 结 论

基于网络流量异常检测的电网工控系统的安全监测技术，是目前电力系统普遍应用的一种高效监测技术，技术人员可以结合网络流量特征属性构建安全监测预警平台。当平台建立以后，根据改进后的K-means算法建立一个聚类分析模型，进而能够对全局电网的流量情况进行有效监测，这不仅避免了孤立数据的出现，而且也能够实时监测电网工控系统的运行状态，为快速消除安全风险隐患提供了强大的技术支撑，电网工控系统的安全稳定性能也得到切实保障。