APP下载

基于网络流量异常检测的电网工控系统安全监测技术

2017-03-09◆王

网络安全技术与应用 2017年10期
关键词:网络流量工控电网

◆王 谦

(深圳供电局有限公司 广东 518000)

基于网络流量异常检测的电网工控系统安全监测技术

◆王 谦

(深圳供电局有限公司 广东 518000)

本文研究电网工控系统网络流量数据的特征,打造电网工控机系统全局性安全监测预警网络,提出满足电网工控机系统的网络流量异常检测安全监测预警平台架构,设计出数据获取的手段,把网络流量特征属性量化成熵值,有效地进行分类,能够给电网企业工控系统的安全防护提供一定的参考以及相关的借鉴。

电网工控系统;异常检测;安全检测技术

0 引言

在2016年的6月4日,乌克兰电网遭受网络黑客攻击导致大面积停电,攻击方所使用的属于一般的攻击手段,但是却导致关键公用系统失去作用,其原因是欠缺对运维过程的有效技术监管,恶意代码被植入生产控制网络,致使大面积的网络故障,造成相当大的经济损失。如今的电力监控系统主站和厂站的安全监视绝大多数凭借内网监测网络,可是,内网接收网络只是对于边界位置的安全设备以及网络设备的日志进行实时获取,不能够对于工控系统本身流量以及进入主站的流量开展深入的研究,更未根据有关的安全算法开展深度的剖析,潜在的工控系统厂站位置存在安全隐患,极有可能使厂站侧错误分开分闸操作,甚至会引起一些区域断电。本文提出通过信息熵化电力工控系统网络流量属性,使用改进的半监督学习聚类算法将量化的流量属性大小开展聚类研究,进而达到流量异常检测安全监测的效果,给电网工控系统完成全局网络流量异常检测、安全监测预警提供一定的参考。

1 电网工控系统面临的信息安全风险

由于外界信息安全形势的调整、一些新技术的使用以及能源互联网构建的逐渐深化,工控攻击在一方面表现出向着智能变电站、配电系统现场这些使用者侧向的开放环境泛化演进的态势,在另外一个方面,则表现出通过使用终端网络系统甚至管理等很多角度的不足开展工控特种攻击的态势。具体表现有:不安全的移动介质的加入,导致病毒散播;工控网络有可能存在外联的其他方合作网络,纵然部署存在一定安全保护手段,但是很容易被新型的攻击手段所破解;控制协议有着一定的不足,很容易被攻击;工作现场的环境相对的复杂,就像变电站等,网络的连接有着很大的安全风险,操作系统漏洞并未迅速的开展补丁修复,十分容易被攻击方所使用;工控新领域的不断提升,新技术手段的大量使用,致使漏洞越来越多,如今的防护框架不能已经有效地进行覆盖。

电网工控机系统和一般的信息系统在信息安全技术部分存在着很大区别:首先就是有着很强的使用特点,和物理世界具有一定的交互;其次是一般的信息安全软件的补丁以及系统软件更新频率不能够使用在工控系统上,停机更新系统的成本会很大,针对以上信息安全风险,不能把一般信息系统的安全防护手段使用到智能电网工控系统里,需要适用于电网工控机系统的异常检测手段开展安全检测,对潜在的风险或问题开展预测,而且对于攻击事件开展追踪,有效地将电网工控系统的安全防护能力进行提高。

2 电网工控系统安全监测预警平台架构

工业控制系统并不是十分简单、单独的系统,而是和生产任务有着密切联系的控制监测局域网络系统。电网工控系统有两种,分别是控制网络以及管理网络。管理网络就是调度监控管理网,控制网络部署在变电站,有过程层、间隔层还有站控层这几个层,电网工控系统安全监测预警平台在如今的安全防护技术的基础上,在变电站的过程层、间隔层提高整体流量的数据获取能力,利用网络流量的错误分析以及边界位置的感应设备日志,于站控层边界部署工控错误活动检测、工控操作活动审计,于主站位置层打造流量监测网络、协议监测网络以及行为监测网络,在调度监控管理网里加装大数据记录、大数据研究和监控展示网络,进而完成电网工控系统整体安全监测预警。

平台有效地运用网络流量、系统和安全设备的日志等,系统地开展监测,在第一时间找出安全风险,进而很好地捕获安全事件。

3 电网工控系统网络流量异常检测安全监测技术

电网工控系统安全监测预警平台所运用的属于网络流量异常检测安全监测手段,由数据获取、构建检测要求、实时检测几个模块组成。

数据获取的作用就是将原始的数据进行获取以及事先处理。

构建检测规则第一步是利用信息熵量化网络流量特性,依照属性特征把一般流量标记成有标记的数据样板,反之就是没有标记的实时数据,紧接着通过完善的半监督聚类算法构建电网公共系统网络流量异常检测模型,而且构建起实施监测的标准。

3.1 电网工控系统的数据采集特点

电网工控机系统和正常的网络系统存在着一定的区别,它不能忍受系统错误。电网工控机系统网络数据获取的措施是依照设备所在位置的安全情况,匹配不一样的获取频率系数;按照作用的区别设定不一样的采集频率系数;依照链路的拥塞状况,调整所在时间的采集频率;按照设备的负荷状况,调整设备的采集频率,进而确保工业控制系统自身的作用能够有效地发挥。

电网工控系统所获取的网络流量数据也与正常的网络流量数据存在着很大区别,一是数据长度与一般的数据相比小很多,二是周期性信息数据很多,三是数据的流向比较确定;四是有着十分明显的时序特征,响应时间不长。

3.2 利用信息熵量化流量特征属性进行预处理

对于电网工控系统网络流量数据所具有的特征,一般流量和不正常流量在分布特点上存在着很大的区别,所以能够利用信息熵对流量特点属性开展量化研究,研究流量特征属性的熵大小来测定电网工控系统的流量情况。信息熵属于信息论里用于量度信息总量的一个定义,信息总量越有序,分布就十分集中,信息熵就不大。通过地址上体现攻击事件IP地址分布的情况,IP地址如果是越混乱,分布就越分散。

3.3 构建起检测规则

按照电网工矿系数网络流量数据流向一成不变,周期时序性十分明显等特征,把一般流量数据设置成具有标记的数据样本,不正常的流量数据则不用进行标记,用于减少分析的复杂情况,把有标记的数据初始化处理,和没有标记的样本进行聚类分析对比,构建起分析的模型。

4 结语

机器的学习划分成监督学习、不用监督的学习以及半监督学习。监督学习就是通过具有标记的样本开展学习;不用监督的学习就是通过没有监督的样本来开展学习,半监督学习属于以上两者的结合体,通过有标记的样本数据以及没有标记的样本数据结合之后的概率分布开展学习,将学习的速率进行提升。聚类分析算法属于半监督学习的一类,按照数据内在的相似情况,把没有标记的数据划分成很多种,种类中的数据相似情况比较大。

本文通过完善的工控算法将电网异常流量的特征属性开展分类,进而改进公共系统流量异常检测算法,能够更好地进行检测。

[1]崔锡鑫,苏伟,刘颖.基于熵的流量分析和异常检测技术研究与实现[J].计算机技术与发展,2013.

[2]高洋,彭勇,谢丰.美国工控安全保障管理的启示[J].中国信息安全,2012.

[3]张帅.工业控制系统安全风险分析[J].信息安全与通信保密,2012.

[4]侯重远,江汉红,芮万智,刘亮.工业网络流量异常检测的概率主成分分析法[J].西安交通大学学报,2012.

[5]李建,李杰,孙燕花.基于聚类融合的入侵检测[J].计算机技术与发展,2011.

[6]张宾,杨家海,吴建平.Internet流量模型分析与评述[J].软件学报,2011.

[7]胡毅,于东,刘明烈.工业控制网络的研究现状及发展趋势[J].计算机科学,2010.

[8]冯冬芹,廖智军,金建祥,褚健.基于以太网的工业控制网络实时通信模型研究[J].仪器仪表学报,2005.

猜你喜欢

网络流量工控电网
基于多元高斯分布的网络流量异常识别方法
穿越电网
基于神经网络的P2P流量识别方法
AVB网络流量整形帧模型端到端延迟计算
工控速派 一个工控技术服务的江湖
工控速浱 一个工控技术服务的江湖
热点追踪 工控安全低调而不失重要
基于攻击图的工控系统脆弱性量化方法
电网也有春天
电网环保知多少