今日頭條
官方微信
官方抖音
案例頻道★國網(wǎng)福建省電力有限公司漳州供電公司張坤三
★國網(wǎng)福建省電力有限公司信息通信分公司傅杰,倪文書
★國網(wǎng)信通億力科技有限責(zé)任公司黃泰寧
關(guān)鍵詞:單類支持向量機;OCSVM;流量異常檢測
1 目的和意義
隨著具有信息化、自動化、互動化特征的新型電網(wǎng)建設(shè)發(fā)展,以及“互聯(lián)網(wǎng)+”新型信息通信技術(shù)的應(yīng)用和能源互聯(lián)網(wǎng)深入推進,電網(wǎng)在發(fā)、輸、變、配、用和調(diào)度各環(huán)節(jié)具有數(shù)量龐大的異構(gòu)電網(wǎng)智能終端設(shè)備,目前主要分為采集類終端、保護類終端、測控類終端等。根據(jù)初步統(tǒng)計分析,共涉及電網(wǎng)穩(wěn)控裝置規(guī)模約千余臺,配電終端規(guī)模約200余萬臺、集中器規(guī)模約3000余萬臺,智能電能表規(guī)模約2億臺,實現(xiàn)了電網(wǎng)的量測、保護和信息通信等功能。異構(gòu)化、智能化、網(wǎng)絡(luò)化的電網(wǎng)智能終端廣泛分布于電力生產(chǎn)以及用戶側(cè)的現(xiàn)場,實現(xiàn)信息的雙向交互,導(dǎo)致現(xiàn)有安全防護邊界模糊化,且針對電力系統(tǒng)的網(wǎng)絡(luò)攻擊呈現(xiàn)出向智能變電站、配用電系統(tǒng)、用電信息采集系統(tǒng)現(xiàn)場等用戶側(cè)開放環(huán)境泛化演進的趨勢,電網(wǎng)智能終端已經(jīng)成為攻擊電網(wǎng)的主要入口。
目前,網(wǎng)絡(luò)攻擊已成為新型武器,敵對勢力利用網(wǎng)絡(luò)攻擊成功破壞電力等國家關(guān)鍵基礎(chǔ)設(shè)施已成為現(xiàn)實,電網(wǎng)智能終端攻擊一般針對電力特有的協(xié)議和特定的業(yè)務(wù)邏輯,具有攻擊目標(biāo)明確、操作隱蔽、潛伏時間長等特點,且一般通過集團式甚至是國家級實施攻擊。目前電網(wǎng)智能終端系統(tǒng)在攻擊檢測方面主要是借鑒傳統(tǒng)IT系統(tǒng)已較成熟技術(shù),檢測網(wǎng)絡(luò)側(cè)的安全事件,但無法檢測到如偽造控制指令等針對系統(tǒng)業(yè)務(wù)指令級的異常安全事件。針對電網(wǎng)網(wǎng)絡(luò)側(cè)流量檢測,本文提出了基于單類支持向量機[1-4]OCSVM的流量異常檢測技術(shù),通過流量異常檢測[5-11]實現(xiàn)電網(wǎng)智能終端實時交互過程中的網(wǎng)絡(luò)側(cè)流量的安全性檢測,通過業(yè)務(wù)指令級檢測實現(xiàn)電網(wǎng)智能終端實時交互過程中應(yīng)用層指令級的安全性檢測。
本文首先分析了電力物聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全風(fēng)險,引入基于單類支持向量機OCSVM的流量異常檢測技術(shù),為電力物聯(lián)網(wǎng)的流量異常檢測提供了新的思路;第二章研究了基于單類支持向量機OCSVM的流量異常檢測技術(shù);第三章對本文所提技術(shù)進行了實驗;第四章對本文進行了總結(jié),并指出了該技術(shù)的應(yīng)用前景和意義。
2 基于單類支持向量機OCSVM的流量異常檢測技術(shù)
與傳統(tǒng)TCP/IP網(wǎng)絡(luò)不同,工業(yè)控制系統(tǒng)通信網(wǎng)絡(luò)具有“狀態(tài)有限”和“行為有限”的特點。狀態(tài)有限是指工業(yè)控制系統(tǒng)通信具有規(guī)律性和穩(wěn)定性的特點,即規(guī)則的通信流;行為有限是指工業(yè)控制系統(tǒng)具有較固定的行為特征和可預(yù)測的行為模式。因此,工業(yè)控制系統(tǒng)的實時網(wǎng)絡(luò)流量異常特征識別技術(shù)本質(zhì)上是一個二分類問題,即對正常的工業(yè)數(shù)據(jù)和異常的工業(yè)數(shù)據(jù)進行二分類。
單類支持向量機OCSVM是一種基于機器學(xué)習(xí)的異常檢測算法,可以保證在先驗知識不足的情況下仍有較好的分類正確率,其基本思想就是通過機器學(xué)習(xí)的方法對數(shù)據(jù)進行二分類,因此OCSVM[12-14]可以很好地滿足工業(yè)控制系統(tǒng)實時網(wǎng)絡(luò)流量異常特征識別的基本需求。在樣本訓(xùn)練上,與傳統(tǒng)的支持向量機算法需要至少兩類樣本來訓(xùn)練入侵檢測模型不同,OCSVM只需要一類樣本就可以訓(xùn)練異常檢測模型,對噪聲樣本數(shù)據(jù)具有魯棒性,很好地滿足了工業(yè)控制系統(tǒng)數(shù)據(jù)具有較明顯的數(shù)據(jù)不平衡特點,如圖1所示,即正常數(shù)據(jù)遠大于異常數(shù)據(jù),故障或臨界狀態(tài)數(shù)據(jù)較少。
智能電力物聯(lián)終端是指主要應(yīng)用于邊端側(cè),實現(xiàn)電氣量、環(huán)境量、狀態(tài)量、視頻圖像等數(shù)據(jù)采集、邊緣計算,并通過網(wǎng)絡(luò)層傳輸數(shù)據(jù)的設(shè)備,其擔(dān)負(fù)著數(shù)據(jù)采集、處理、加密、傳輸?shù)榷喾N功能。智能電力物聯(lián)終端是實現(xiàn)電力系統(tǒng)數(shù)字化的基礎(chǔ),通過對線路數(shù)據(jù)的分析判斷達到故障檢測及迅速定位,從而實現(xiàn)故障區(qū)域的快速隔離和精準(zhǔn)搶修,最終提高供電可靠性。
圖1 基于單類支持向量機OCSVM的流量異常檢測技術(shù)
由于電力物聯(lián)終端網(wǎng)絡(luò)流量數(shù)據(jù)具有較難獲取、數(shù)據(jù)龐大復(fù)雜等特點,在進行流量異常檢測、流量分類等任務(wù)時可能會遇到處理無標(biāo)簽流量數(shù)據(jù)的問題。傳統(tǒng)的分類模型算法往往無法處理無標(biāo)簽數(shù)據(jù),并不適用于無標(biāo)簽分類任務(wù)場景。本文對電力物聯(lián)網(wǎng)設(shè)備的流量處理分為以下三個階段。
(1)數(shù)據(jù)采集階段
數(shù)據(jù)采集主要是在電網(wǎng)運行時對網(wǎng)絡(luò)數(shù)據(jù)包進行捕獲,從電網(wǎng)實時網(wǎng)絡(luò)流量中采集到的流量數(shù)據(jù)絕大部分為正常數(shù)據(jù),只有很少的一部分為異常數(shù)據(jù)。此外,現(xiàn)場采集的流量數(shù)據(jù)還可能數(shù)據(jù)量大、維度高,因此需要經(jīng)過一系列的預(yù)處理,才能用OCSVM算法進行機器學(xué)習(xí)。
(2)數(shù)據(jù)降維預(yù)處理階段
數(shù)據(jù)預(yù)處理主要指數(shù)據(jù)降維,數(shù)據(jù)降維主要是對數(shù)據(jù)維度進行降維處理,采集的數(shù)據(jù)具有較多的屬性即數(shù)據(jù)的維度高,這會降低異常識別算法的效率,需要對數(shù)據(jù)作降維處理。本研究采用主成分分析方法對系統(tǒng)數(shù)據(jù)進行特征提取、降維度,主成分分析法(Principal Component Analysis,PCA)基于統(tǒng)計特征的多維正交線性變化,是一種多源統(tǒng)計方法,成功應(yīng)用于數(shù)據(jù)的特征提取和數(shù)據(jù)降維。
對于一個數(shù)據(jù)包來說,在對特征屬性進行選擇時,屬性選擇的越多能代表的原始數(shù)據(jù)包的信息就越全面。然而,特征屬性選擇的越多計算量也會相應(yīng)越大。因此需要對電網(wǎng)網(wǎng)絡(luò)流量特征數(shù)據(jù)進行反復(fù)權(quán)衡比較,選取能夠代表電網(wǎng)流量的特征屬性代表原始數(shù)據(jù)包信息。經(jīng)過反復(fù)權(quán)衡比較,本研究選取下列13項特征屬性代表原數(shù)據(jù)包的信息,它們是源地址、目的地址、IP包總長度、IP包頭長度、TCP包頭長度、源端口號、目的端口號、流量大小、協(xié)議標(biāo)識符、長度、業(yè)務(wù)標(biāo)識符、功能碼、數(shù)據(jù)長度。
根據(jù)上述所選擇的特征,將這些特征按順序從數(shù)據(jù)包中提取出來并存儲成矩陣形式,用PCA方法進行特征提取,進行降維處理,去除噪聲數(shù)據(jù)和冗余特征項。其具體過程如下:
步驟1:設(shè)定n個特征變量,這里n=13;
步驟2:輸入提取數(shù)據(jù)幀號N,計算第N幀各特征數(shù)據(jù)地址;
步驟3:提取不同的特征變量對應(yīng)的數(shù)據(jù)值;
步驟4:判斷是否提取了n個特征變量,若是,將提取的特征變量輸出,存儲為矩陣形式,記為X0,否則繼續(xù)提取數(shù)據(jù),直到將所有數(shù)據(jù)包中的特征值都提取出來為止;
步驟5:計算標(biāo)準(zhǔn)化后的工業(yè)數(shù)據(jù)集X0的協(xié)方差矩陣P=(1/n)X0X0T,并計算協(xié)方差矩陣的特征值以及對應(yīng)的特征向量;
步驟6:按照特征值大小順序?qū)⑻卣髦祵?yīng)的特征向量排列成向量形式,根據(jù)公式計算累計方差貢獻率,選取前m(<n)個特征向量組成變換矩陣C,確定降維后工業(yè)數(shù)據(jù)集,記為X1=CX0,將原始工業(yè)數(shù)據(jù)集從n維降到m維。
(3)OCSVM算法運行階段
在經(jīng)過數(shù)據(jù)預(yù)處理后,可以得到具有相同維數(shù)的流量數(shù)據(jù)樣本,即OCSVM算法可處理的矩陣形式X=(x1,x2…xi…xl),將矩陣輸入OCSVM算法運算實現(xiàn)實時網(wǎng)絡(luò)流量異常的識別。在X矩陣中,xi=(xi1,xi2,…,xim)表示第i個現(xiàn)場數(shù)據(jù),每一維代表該數(shù)據(jù)的一項屬性。
當(dāng)樣本維數(shù)為兩維時,直線即可進行樣本劃分,當(dāng)樣本維數(shù)為三維時,截面即可進行樣本劃分,當(dāng)樣本維數(shù)高于三維時,需要在高維空間進行樣本劃分。由于流量樣本維數(shù)較高,本項目利用OCSVM算法將樣本的特征在高維空間進行映射和劃分。
在OCSVM流量異常檢測中,最關(guān)鍵、最重要的模塊就是OCSVM訓(xùn)練過程。在OCSVM訓(xùn)練中,采用OCSVM算法對電網(wǎng)流量數(shù)據(jù)進行訓(xùn)練,由于電網(wǎng)一般情況下都工作在正常的狀態(tài)下,因此采集的數(shù)據(jù)也大多為正常數(shù)據(jù),OCSVM算法只需要正常數(shù)據(jù)就可訓(xùn)練,在訓(xùn)練時假設(shè)坐標(biāo)原點為異樣樣本,在特征空間中構(gòu)建一個最優(yōu)的劃分面區(qū)分正常和異常數(shù)據(jù),得到分類決策函數(shù),OCSVM算法運行階段詳細流程如圖2所示。
圖2 電網(wǎng)異常流量檢測流程
通過上述流程訓(xùn)練得到的OCSVM分類決策函數(shù)就可以對電網(wǎng)流量進行檢測,判斷其為正常數(shù)據(jù)還是異常數(shù)據(jù)。
3 實驗驗證
為了驗證本文所提技術(shù)的測試效率,我們選取了目前較為常用的協(xié)議Fuzzing工具SPIKE、Peach與本文所提技術(shù)分別對相同的IEC104樣本報文進行測試。
表1從測試用例數(shù)、有效測試用例數(shù)、測試用例有效率、代碼覆蓋率、測試時間以及發(fā)現(xiàn)的漏洞數(shù)六個方面,對SPIKE、Peach、本文所提技術(shù)在9類IEC104協(xié)議報文測試完全時的測試結(jié)果進行了對比。
表1 IEC104協(xié)議測試效果對比
從表1的數(shù)據(jù)可以看出,雖然SPIKE與Peach生成的總測試用例數(shù)相當(dāng),但測試用例的有效率卻遠遠低于Peach。這是由于SPIKE采用平坦的塊序列結(jié)構(gòu),對于協(xié)議報文中的結(jié)構(gòu)和約束關(guān)系表達能力不足,因而生成過多的無效測試用例,并且只能發(fā)現(xiàn)21個異常流量包。對比Peach和本文所提技術(shù),本文所提技術(shù)發(fā)現(xiàn)了更多的漏洞,并且本文所提技術(shù)使用更少的測試用例實現(xiàn)了更高的代碼覆蓋率,這說明文法驅(qū)動的Fuzzing技術(shù)測試效率更高。此外還需說明的是:在定義測試腳本時,SPIKE和Peach需要對每種類型的IEC104報文格式編寫測試腳本,冗余性較大且腳本工作繁重;而本文所提技術(shù)只需定義單個文法模型就可以描述所有類型的報文格式,形式更簡潔。
4 結(jié)論
本文提出單類支持向量機實現(xiàn)電網(wǎng)終端流量的異常檢測技術(shù)實現(xiàn)應(yīng)用層指令級異常檢測,主要是通過提取出能識別協(xié)議特征的關(guān)鍵字段,與設(shè)計的語法語義規(guī)則和攻擊特征庫匹配實現(xiàn)畸形報文和攻擊報文的檢測,提取業(yè)務(wù)指令特征碼、業(yè)務(wù)指令頻次等業(yè)務(wù)特征值,通過聚類分析識別違規(guī)業(yè)務(wù)指令。
經(jīng)過上述對電網(wǎng)網(wǎng)絡(luò)流量的異常監(jiān)測以對應(yīng)用層指令監(jiān)測,可構(gòu)建電網(wǎng)智能終端業(yè)務(wù)行為模型,可實現(xiàn)基于終端業(yè)務(wù)行為模型的指令級攻擊模式在線識別,解決了電網(wǎng)智能終端中大量規(guī)約指令級新型攻擊識別的難題。
作者簡介:
張坤三(1991-),男,福建漳浦人,工程師,學(xué)士,現(xiàn)就職于國網(wǎng)福建省電力有限公司漳州供電公司,主要從事電網(wǎng)工控安全、網(wǎng)絡(luò)安全方面的研究。
傅 杰(1991-),男,福建仙游人,工程師,碩士,現(xiàn)就職于國網(wǎng)福建省電力有限公司信息通信分公司,主要從事網(wǎng)絡(luò)安全監(jiān)督方面的研究。
倪文書(1991-),男,福建永泰人,工程師,碩士,現(xiàn)就職于國網(wǎng)福建省電力有限公司信息通信分公司,主要從事電力通信與信息系統(tǒng)方面的研究。
黃泰寧(1981-),男,福建福州人,工程師,學(xué)士,現(xiàn)就職于國網(wǎng)信通億力科技有限責(zé)任公司,主要從事信息系統(tǒng)方面的研究。
參考文獻:
[1] Maglaras L A, Jiang J, Cruz T. Integrated OCSVM Mechanism for Intrusion Detection in SCADA Systems[J]. Electronics Letters,2014, 50 (25) : 1935 - 1936.
[2] 馮愛民, 薛暉, 劉學(xué)軍, 等. 增強型單類支持向量機[J]. 計算機研究與發(fā)展, 2008, 45 (11) : 7.
[3] 胡雷, 胡蔦慶, 秦國軍. 雙閾值單類支持矢量機在線故障檢測算法及應(yīng)用[J]. 機械工程學(xué)報, 2009, 45 (3) : 5.
[4] 胡蔦慶, 胡雷, 秦國軍, 等. 基于單類支持向量機的故障診斷方法: CN201010184895.0[P]. CN101907088B, 2023.
[5] 鄭黎明, 鄒鵬, 賈焰, 等. 網(wǎng)絡(luò)流量異常檢測中分類器的提取與訓(xùn)練方法研究[J]. 計算機學(xué)報, 2012, 35 (4) : 12.
[6] 鄭黎明, 鄒鵬, 賈焰. 多維多層次網(wǎng)絡(luò)流量異常檢測研究[J]. 計算機研究與發(fā)展, 2011, 48 (8) : 11.
[7] 呂軍, 李星. 一種網(wǎng)絡(luò)流量異常檢測算法[J]. 計算機應(yīng)用研究, 2006, 23 (11) : 217 - 219.
[8] 王海龍, 楊岳湘. 基于信息熵的大規(guī)模網(wǎng)絡(luò)流量異常檢測[J]. 計算機工程, 2007, 33 (18) : 4.
[9] 呂軍, 李星. 一種網(wǎng)絡(luò)流量異常檢測算法[J]. 計算機應(yīng)用研究, 2006 (11) : 223 - 225.
[10] Jun L V, Xing L I, 呂軍, et al. Network Traffic Anomaly Detection based on Adaptive Filter Theory一種網(wǎng)絡(luò)流量異常檢測算法[J]. 計算機應(yīng)用研究, 2006, 23 (11) : 217 - 219.
[11] 楊丹. 網(wǎng)絡(luò)流量異常檢測方法研究及仿真平臺研制[D]. 成都: 電子科技大學(xué), 2023.
[12] 黃南天, 張書鑫, 蔡國偉, 等. 采用EWT和OCSVM的高壓斷路器機械故障診斷[J]. 儀器儀表學(xué)報, 2015, 36 (12) : 9.
[13] 劉松, 周清雷. 基于OCSVM的DDOS攻擊實時檢測模型[J]. 計算機工程與設(shè)計, 2011.
[14] 李琳. 基于OCSVM的工業(yè)控制系統(tǒng)入侵檢測算法研究[D]. 沈陽: 沈陽理工大學(xué), 2016.
摘自《自動化博覽》2024年4月刊
北京市公安局海淀分局備案號:11010802023656號