运营探讨
探讨基于网络流量异常检测的电网工控系统安全监测技术 水火箭制作方法
杨丙红
(廊坊市生产力促进中心,河北廊坊
工控系统的安全性与电网是否能够正常运行有着必然联系,尤其在进入
作为向社会各领域提供电力能源的电网来说,也逐步向着规范化和智能化的发展方向过渡。但是受到网络病毒、木
智能电网的工控系统极易受到攻击,从而出现异常现象,
因此,电力部门基于网络流量异常检测技术来消除计算机网络流量的异常状况,为电网工控系统的安全稳定运行保网络流量异常检测;电网;工控系统;安全监测技术
Discuss the Safety Monitoring Technology of Power Grid Industrial Control System Based on
Abnormal Network Flow Detection
YANG Binghong
全息打印(Langfang Productivity Promotion Center, Langfang
control system is closely related
一个整体运行网络,一旦遇到非法攻击,智能化设备就会出现各种类型的故障,另外受到暴雨或者雷电等恶劣气候条件的影响,这些设备的安全性能也会大幅降低,这时与之相连的电网工控系统的电力负荷也将
电网工控系统中的终端工作站在运转过程中存在诸多安全隐患和漏洞,如应用软件漏洞、网络协议漏洞以及安全管理漏洞等。其中,应用软件漏洞是一种较为常见的系统安全风险类型,电网工控系统中的软件容易和杀毒软件出现冲突,在网络正常运行时,病毒将从这一漏洞中侵蚀到工控网络内部,但是这种安全漏洞易于发现和识别,如果将工控系统与公共网络相接,这种漏洞的安全风险指数也将飙升。网络协
图1 电网工控系统漏洞类型
2 网络流量异常情况分析
网络流量异常检测主要是基于网络通道运行不畅或者流量异常的情况而实施的一种检测手段,目前较为常见的网络流量异常主要包括以下3种情况。2.1 网络操作异常
引发这种异常状况的主要原因是由于网络配置发生变化,或者支持网络设备正常运转的存储设备本身出现耗损,从而导致存储能力下降。即存储介质的存储空间变小,或者数据信息的存储能力与处理能力严重下降,这时网络流量也将出现异常。
2.2 蠕虫病毒的传播
蠕虫病毒是计算机网络中一种较为常见的病毒,一旦这种病毒入侵网络通道,不仅会破坏计算机的使用功能,而且也将恶意篡改应用程序。如果流量蠕虫病毒无法得到有效控制,不断在网络环境中进行传播和复制,
这种情况下也会引发网络流量异常
2.3 网络滥用
当出现这种异常状况后,系统将无法准确预测系统中的字节流量、包流量以及位流量等相关数据信息,技术人员只有根据网络数据出现的异常特征对其进行处理。
3 电网工控系统安全监测预警平台模型构建电网工控系统并不是一个单独孤立的运营系统,从网络结构上划分主要包括控制网络与管理网络,控制网络布置在变电站中,由下至上分为过程层、间隔层以及站控层。过程层主要设备包括电子式互感器、智能终端、合并单元、智能单元状态监测装置以及流量数据采集装置,间隔层的主要功能是间隔保护、录
定性方面。电网工控系统无法随系统宕机,即计算机在非正常运行状态下,电网工控系统也将无法正常运行。因此,在安全等级设计方面,每一个等级均匹配不同的采集频率系数。从电网工控系统的流量数据来说,与普通的网络流量数据也有所不同,其数据长度普遍小于一般的数据,而且数据流向处于固定流向,数据的响应时间极短[5]。
4.1 通过信息熵量化流量特征进行预处理
电力部门结合电网工控系统的网络流量数据特点发现,在网络流量处于正常状态时,与异常状态时的流量存在较大差异,因此技术人员可以根据这一特性,对网络流量进行量化处理,通过分析信息熵的方法对电网工控系统的流量情况予以监测。信息熵属于一个信息总量概念,当这一总量的秩序性越高,分布越加均匀,信息熵则越低,当信息总量秩序性较低,而且分布较为分散时信息熵越高。由此可以通过地址熵反映出的攻击事件对IP 地址的分布情况进行分析,如果发现IP 地址混乱分布,则地址熵就越高,如果IP 地址有序分布,则地址熵越低。结合这一分析结果,能够准确判断IP 地址的分布是否存在异常现象。
技术人员可以根据数据包的时间顺序构建一个数学模型,这一模型可以记录单位流量某一特征属性所发生的具体次数,通常用X {X 1、X 2、…、X N }来表示,参照的属性熵值主要来自于IP 地址、工控协议、源端口以及目的端口。如果以计算单位流量源IP 地址的熵值为例,则IP 地址的个数记作M ,出现的不同次数可以分别记作n i ,其中的i 值取1、2、3……M ,那么根据这一已知条件,可以得出IP 地址熵值的数学运算公式为:
()()()1
M
i H Y n X n X ==∑i i ln
(1)
式中,Y 表示测量数据中的某特征属性
i 发生了n 次。如果将()(
11
i M i X n ===∑∑i 代入到公式中,可以计算出单位流量源IP 的熵值。通过构建这一数学模型,根据网络
流量的属性特征可以快速对流量进行量化处理,这就给监测电网工控系统的安全运行情况提供了一个参考依据[6]。
4.2 检测规则的制订
电网工控系统安全监测预警平台建立以后需要制订一个检测规则,在制订规则之前,首先需要考虑网络流量属性,根据事先采集的数据样本对正常流量与异常流量进行标记,然后再以半监督聚类的算法构建一个电网工控系统网络流量异常检测模型,技术人员利用这一模型可以对流量状况进行实时检测,以
确定流量是否正常。其主要算法包括半监督学习的K-means 聚类分析算法以及改进的K-means 算法。4.2.1 半监督学习的K-means 聚类分析算法
随着人工智能技术的日渐完善,机器学习这种智能技术已经在电网工控系统中被普遍应用,主要包括监督式学习、无监督学习以及半监督学习3种学习形态。其中,监督式学习主要参考带有标记的数据样本进行学习,无监督学习是参考没有标记的数据样本进行学习,而半监督学习则集合两种数据样本,
再根据概率分布情况进行学习。与前两种学习形态相比,半监督学习的学习速度更加便捷高效。而聚类分析算法作为半监督学习的一种重要方式,其学习原理如下。先将没有标记的数据进行分类处理,分类依据主要根据数据的相似度,相似度较高的数据分为一类,相似度较低的划归为另一类,然后利用K-means 算法对电网工控系统的流量属性熵值进行分类,这种方法能够使网络流量异常的检测算法更加优化,进而大幅提升检测效率[7]。
过去,技术人员采用的半监督聚类K-means 算法的运算过程较为简捷,运算速度相对较快,尤其在检测网络流量异常情况时的实际应用价值得到充分体现。例如,数据样本采集阶段,选取的样本个数记作N ,IP 地址熵值数据集合记作D ,D 的取值分别为X 1、X 2、…、X n 。在运算过程中,首先需要确定K 的值,再以K 作为聚类的初始中心,如果K ≤N ,则IP 地
电脑视保屏址熵数据便可以分成S =(S 1、S 2、…、S n )个聚类中心,
接下来根据欧式距离可以求解出聚类中心与剩余数据间的距离。如果将S i 的数据作为均值,则可以重复以上运算过程,求解出S i 的平均值及数据元素的平方误差和。
4.2.2 改进的K-means 算法
半监督学习状态下的K-means 聚类分析算法看似简单实用,但是从K 值的初始取值可以看出,如果K
值的取值不同,则运算结果也存在较大差异,这将对聚类分析的准确性造成不利影响。其次是这种算法会产生多个孤立的数据点,这些数据大多不符合数据特征,或者偏离数据区,在这种情况下计算出的平均值也会产生较大的运算偏差,电网工控系统的安全监测结果也会产生不利影响。因此,为了有效避免上述情况的发生,技术人员对K-means 算法中的K 值及聚类中心的初始值进行改进。在传统的K-means 算法中,K 值的取值一般选取有标记的正常流量包,而参照点的选取也不是以聚类中心的平均值为准,而是以聚类中心的中心点为基准,这种传统的算法将产生大量的孤立数据点,这就使得到监测结果的精准度
算法与传统算法存在显
值时常常以带有标记的数据样本为基准,然后在选取的样本中以随机抽样的方法来选值,并将其作为初始中心点,其余未被选取的则将其就近分配到各自所对应的聚类中心。通过循环往复的处理与运算过程,中心点对象将被非中心点对象所代替,在这种情况下,技术人员可以对非中心点对象与中心点对象之间的距离之和进行比较分析,进而求得最小距离之和,并通过迭代累加的过
实时检测作为电网工控系统网络流量异常安全监测平台的一个关键环节,是在数据采集与规则建立之后而形成的一种检测模式。
参照的数据集以
照的属性参数的主要特征是周期性数据、数据流向固定以及响应时间短等。下面以筛选出的
手套制作性与18
亿万像素属性数据作为样本数据,然后基于网络流量异常检测的手段,对电网工控系统的安全性能进行仿真监测实验。在该实验开始之前,首先确定实验样本的个数为3000个,其中正常数据的数量为
据的数量为
降香黄檀树
聚类分析算法及改进的
一种算法的误检率
1 两种算法的实验验证结果K-means算法
误检率/(%)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议