杨航 刘益松 刘贵恒 周飞艳

（云南电网有限责任公司德宏供电局 云南省德宏傣族景颇族自治州 678400）

电网建设是现代化建设的重点内容，尤其是当前社会用电量逐年增长，给企业发展带来了新的挑战和机遇。由于设备类型较多，在运行中容易受到多种因素的影响而出现故障，影响供电安全性与可靠性，给企业和用户造成损失。电网工控系统的运用，则能够实现对各类设备的智能化控制，降低电力系统运行的风险。网络具有开放性的特点，也会由于受到恶意攻击而出现大规模断电等问题。因此，应该加强安全监测技术的运用，实现对电网工控系统的有效防护，实现对潜在威胁的及时排查与处理，保障良好的供电质量。传统安全监测预警平台的应用效果不佳，无法深度分析内部流量和主站流量。而网络流量异常检测技术的运用，则能够大大增强监测效果，保障系统运行安全性和稳定性。

1 网络流量异常检测和电网工控系统概述

1.1 网络流量异常检测

针对系统网络中的病毒攻击和不合法访问等，通过网络流量异常检测能够实现有效控制，相较于传统防火墙而言，对于病毒和内部攻击的防护效果较好。信息采集、信息分析和信息处理，是异常检测的基本流程，包含了以网络为核心和以主机为核心的检测方式。运用网络流量异常检测技术时，能够确保检测工作的持续性，增强了系统的主动防御效果。在检测中，正常检测模型和异常检测模型的构建十分关键，从而正确区分不同的网络流量[1]。在当前实践当中，机械学习和统计分析是两种常用的网络流量异常检测技术，而机器学习的效果则更加优越，能够借助于分类分析、聚类分析和关联分析等提高检测的精确性和高效性。

1.2 电网工控系统

电网工控系统是智能设备和业务系统的融合，能够实现对电力生产配供的有效监控，从而确保良好的运行状况。同时，电网工控系统也包括了数据网络和电力通信网络等，能够满足设备和系统的运行需求。分布式控制系统、数据采集和监控系统、可编程逻辑控制器，是电网工控系统的基本构成，不同构件之间的协同配合，使系统在电力生产中发挥关键作用。与传统IT 网络流量数据相比，在电网工控系统当中存在较大的不同，包括了数据长度、周期性特点、响应时间、数据流向和时序性等等。

2 电网工控系统的安全风险

在信息化时代背景下，电网建设正在朝着自动化、数字化和智能化方向发展，然而由于工控攻击的存在，也会使电网工控系统的运行存在较大的风险，限制了信息通信技术作用的发挥，也会威胁电力系统的供电可靠性与安全性。尤其是针对配用电系统和智能变电站而言，其遭受的威胁类型也在增多，如果在网络和终端等存在漏洞，将会导致信息安全和系统运行受到影响。网络病毒往往会由于移动介质在接入时缺乏安全防护而传播，进而对整个系统造成损坏。无线通信是RTU/PLC 和监控网的基本功能，如果此过程缺乏安全控制，也会导致网络攻击的出现。随着科学技术水平的不断提升，攻击技术也逐渐更新换代，需要工业控制网络不断强化，防止出现破解攻击的问题[2]。在操作系统和控制协议当中出现漏洞后，也会引起电网工控系统的信息安全风险。由于该系统存在一定的特殊性，因此采用传统防护技术无法满足实际需求，必须通过异常检测的方式加以追踪溯源。

3 电网工控系统安全监测预警平台的架构特点

以生产工作的特点和要求为依据构建工业控制系统，作为一个控制监测局域网络，系统内部的关联性十分密切，只有确保各个环节的高效运转，才能使系统保持良好的运行状态。管理网络和控制网络是电网工控系统的基本组成，前者主要是调度监控管理网，后者实现对变电站的全面控制，由站控层、间隔层和过程层组成。安全监测预警平台的架构，需要以安全防护技术为核心，通过全流量数据采集与分析的应用，对间隔层和过程层加以优化，保障变电站的安全性和稳定性。感知设备日志和网络流量异常状况的分析，则能够及时发现系统运行中的安全隐患，满足异常行为检测和工控操作行为审计的要求。多种平台应用于主站层当中，包括了协议监测平台、流量监测平台和行为监测平台等，运用大数据分析技术和大数据存储技术等优化调度监控管理网，通过可视化展示达到监测预警的目的。在电网工控系统的监测预警中，需要对网络行为进行综合分析，包括了系统运行情况、网络流量情况和安全设备日志信息等，实现对风险问题的及时预防和处理[3]。管理网则包括了监控层、分析层和数据层，满足半监督学习聚类分析、关联分析、可视化展示和大数据存储等要求。

4 基于网络流量异常检测的电网工控系统安全监测技术

4.1 数据采集特点

相较于传统网络系统而言，电网工控系统的运行需要对宕机问题加以严格控制。在采集频率系数的匹配中，需要以设备区域的安全等级为依据，这是数据采集的基本特点。采集频率系数也会由于其用途和功能的差异而有所不同，采集频率在调整时也应该深入分析链路的拥塞状况。为了使系统处于良好的运行状态当中，应该对设备负荷状况加以实施监测，从而确保设备采集频率的合理性，使其满足系统运行需求。相较于传统网络流量数据而言，通过电网工控系统对网络流量数据进行采集时，其具有较短的数据长度，其中大多数为周期性信息数据。此外，能够保障较好的时序性，大大缩短了系统的响应时间，数据流向不会发生改变。

4.2 数据预处理

从电网工控系统的网络数据流量特点可以看出，异常流量和正常流量在分布特征和属性都存在明显的不同。在量化处理数据流量的特征属性时，可以采用信息熵量化的方法，因此电网工控系统中的流量异常问题，则能够通过特征属性的熵值监测与分析来获取，增强安全监测的可靠性。对于信息总量的描述通常借助于信息熵的概念，当存在较小的信息熵时，那么信息总量就更具有序性，在分布特点上也更加有规律；当存在较大的信息熵时，则其呈现出无序性的特点。因此，攻击事件IP 地址的分布，则可以运用地址熵加以全面分析，当存在较高的地址熵时，那么就会出现混乱的IP 地址，同时在分布上也呈现出分散性特征。对于IP 地址分布状况的获取，能够及时响应大规模的信息安全事件，从而达到及时预警和处理的目的。对单位流量特征属性发生的次数以时间顺序进行记录，实现对数据包的预处理，从而得到攻击事件的IP 地址、目的端口、工控协议和源端口的属性熵值。借助于信息熵，也能够快速量化处理网络流量的属性特征，以聚类分析的方式明确特征属性的熵值，可以满足电网工控系统的异常检测需求。

4.3 检测规则制定

4.3.1 传统K-means 聚类分析算法

较强的周期性、时序性和稳定性，是电网工控系统网络流量数据的基本特征，通过有标记和无标记数据样本对正常流量数据和异常流量数据加以划分，从而增强数据处理的便捷性。初始化处理有标记数据后，采用聚类分析的方式将两者加以对比，完善分析模型，确保检测规则的合理性与高效性。无监督学习、监督学习和半监督学习，是机器学习的基本形式。有标记样本是开展监督学习的关键，无标记样本是开展无监督学习的关键，采用半监督学习时则需要利用有标记和无标记样本。该学习方式借助于概率分布理论，能够获得更高的学习效率。在半监督学习当中，聚类分析算法的应用较为广泛，在划分无标记数据时能够以相似性为依据，同时能够使类别不同的数据加以明确划分。在分类处理特征属性的熵值时，可以运用K-means 聚类分析算法，这是实现算法优化的有效措施，检测速度也会加快。通常情况下，采用K-means 聚类分析算法时，能够确保网络流量异常检测的高效性和便捷性，在此过程中需要明确K 值，从而在样本当中获得初始中心，测量聚类中心和剩余数据的距离，通过反复的均值计算获得方差最小值。

4.3.2 改进K-means 聚类分析算法

运用传统K-means 聚类分析算法时可以取得良好的检测效果，但是也具有局限性。聚类结果往往会受到K 值初始值的影响，当其发生变化时则会对聚类分析效果造成影响。同时，平均值的变化较大，往往会受到孤立数据点和偏离数据区的影响，无法满足整体数据特征，因此聚类分析的精确性下降。可以在选择聚类中心初始值时加以全面优化，同时确定合理的K 值，从而对K-means 聚类分析算法加以创新和改进，增强分析精确性和整体效果。如前所述，正常网络流量流向不会发生较大的改变，这是电网工控系统的基本特点，以此为依据可以通过有标记正常流量包数据确定K 值，实现对K-means 聚类分析算法的优化。此外，参照点的选择不能应用聚类中心平均值，以中心点代替后则能够消除孤立数据点的干扰。该算法的基本步骤为：通过正常流量包个数的计算来确定K 值，而聚类初始中心则通过样本数据的随机选取来确定，中心点对象则从K个数据中加以选择，在分配剩余非中心点对象时则以两者间距为依据，聚类中心获得大量的非中心点对象。对非中心点对象和中心点对象距离加以计算，通过迭代处理后获得实际中心点对象。计算方差最小值，获得数据元素的绝对误差和，建立的聚类中心则能够消除孤立点数据的干扰。

4.4 实时检测

运用KDD99 数据集对K-means 聚类分析算法改进后的实施效果加以验证，在入侵检测中的应用较为广泛。在电网工控系统当中存在大量的周期性数据，同时缩短了响应时间，因此在确定样本数据时应该根据系统的数据特征对数据集进行筛选，找到其中的相似特征，为仿真实验的开展提供保障。数据流向、数据特点和响应时间等可以通过上述方法加以仿真处理，获得K-means 聚类分析算法的误检率。其中，针对DoS 攻击类型、U2R 攻击类型和R2L攻击类型，传统K-means 聚类分析算法的检测率分别为84.10%、84.73%和83.81%，误检率分别为4.52%、7.13%和6.01%；而改进后的K-means 聚类分析算法检测率分别为89.51%、90.67%和88.24%，误检率分别为3.25%、2.94%和2.17%.通过上述数据的分析可以看出，在K-means 聚类分析算法改进后，能够大大提升检测率，同时控制误检率，在电网工控系统安全监测中的应用效果更好。在熵值量化处理的基础上，通过改进K-means 聚类分析算法构建模型，获得异常流量和正常流量的聚类中心，实现对数据的标记，进而满足电网工控系统的安全监测和预警功能需求。

5 结语

电网工控系统安全监测预警平台以站控层、间隔层和过程层为主要组成部分，可以针对网络安全问题加以及时预警，确保系统运行的安全性与高效性。而网络流量异常检测的运用，则能够根据其周期性数据和流向固定等特点，保障安全监测和预警的可靠性，在实践中得到广泛应用。在信息熵量化的基础上，对K-means 聚类分析算法加以优化，使得数据割裂问题得到及时处理，保障监测和预警的实时化，消除网络环境中的安全隐患。