2023年11月2日，在“第2届电力行业数字化转型大会暨第4届电力人工智能大会”上，「智创奖」第二届电力数智化转型技术创新应用评选颁奖典礼同期举行。

 

国网山东省电力公司凭借其“基于机器学习的电力物联网终端设备识别和异常行为发现防护建设”案例，获得“电力网络安全技术创新奖”。

 

该项目针对新型电力系统中海量物联终端设备的特点，从终端设备的行为数据做为切入点，通过机器学习技术来识别终端设备资产信息，发现终端设备网络异常行为，为新型电力系统的安全防护提供关键的技术支撑。

 

技术创新点

 

1、电力物联网终端设备的交互仿真技术

 

分析电力物联网终端设备主流认证协议、会话层协议、数据传输协议，结合电力IEC104系列协议规约及扩展协议开展服务端与客户端交互仿真技术的研究。

 

在此基础上构建基于各类协议规约的交互仿真技术，针对各个主流厂商的电力物联终端设备进行仿真交互，建立电力物联网终端设备应答识别机制，为电力物联网终端设备的资产信息的清晰掌握提供重要的技术手段与交互特征库。

 

2、电力物联网终端设备特征挖掘技术

 

分析电力物联网终端设备在数据特征、行为特征、运行特征等多维度信息上的表现，基于端设备流量、运行日志、在线交互等数据进行特征挖掘。

 

通过机器学习的手段构建基于时间序列、数据包大小、交互频率、协议切换行为等维度样本特征挖掘技术体系，在此基础上结合厂商定制功能、设备参数等因素组建完整的电力物联网终端设备指纹特征库。

 

3、加密流量监测技术

 

传统的使用证书解密的流量分析方式安全性较差，同时对业务的影响较大，所消耗性能较高。

 

区别于传统解密的分析方式，加密流量监测是在不解密的情况下完成加密流量通信规律学习，实现加密流量内容篡改监测、样本检测等监测分析。

 

从加密通道获取加密流量，再通过流量分拣、加密流量编辑、流量引擎监测等技术，从而实现让物端的防护更贴近前端。

 

4、电力物联网终端设备异常行为识别技术

 

融合交互仿真特征库、终端设备指纹特征库、智能分析监测等技术构建物联网终端设备安全运行全景图及安全运行监测体系，对物联网终端设备运行状态、风险状态、异常网络行为、终端设备的仿冒行为等形成全面监测。

 

通过分布式计算、关联分析、机器学习和行为画像等技术，构建终端设备网络行为黑、白模型。对超出白模型和安全基线的网络行为进行预警，对符合黑模型特征的网络异常行为进行预警。

 

异常行为识别技术详解

 

01 特征维度

 

一个终端的行为可以从很多维度来刻画。终端行为的原始数据来自网络镜像流量。

 

我们从网络流中首先提取出一个网络行为的五元组信息，以及流量信息。这些数据做为终端行为的原始数据。在此基础上，构造并提取终端的行为特征，例如：

 

连出的数据包数的均值，方差，最大值，最小值；

 

连出的数据流量的均值，方差，最大值，最小值；

 

连出端口数的均值，方差，最大值，最小值；

 

连出的IP数的均值，方差，最大值，最小值；

 

所有连出的具体IP；

 

连入的数据包数的均值，方差，最大值，最小值；

 

连入流量的均值，方差，最大值，最小值；

 

连入端口数的均值，方差，最大值，最小值；

 

连入的IP数的均值，方差，最大值，最小值；

 

所有连入的具体IP。

 

在众多的特征中，通过智能学习算法，自动选择出可以用于异常行为识别的行为特征。行为特征的筛选，可以过滤掉不利于异常行为识别的干扰特征，提升识别的准确度。

 

02 算法模型

 

我们选择了高斯混合模型用于终端设备网络异常行为识别。

 

由于在新型电力系统网络中收集的训练数据几乎都是正常的行为数据，即使有极少数的异常行为数据，但由于无法人工打标签，所有无法使用基于标签数据的监督式学习算法。

 

而高斯混合模型能通过训练数据能够计算出正常行为数据的概率分布，从而判别异常行为，所以非常适合异常行为识别。

 

03 机器学习模型转化为在线检测模型

 

在线检测模型通过规则配置或自动生成的方式，对实时数据流量进行监测。

 

算法模型在经过训练后，系统自动生成相应的在线检测模型，把实时数据输入到机器学习模型进行实时预测，给出正常行为或异常行为的判断。

 

04 实时预警及处置

 

当实时检测模型检测到终端设备网络异常行为时，会及时的在系统中以预警的形式展示出来，方便运维人员及时采取处置措施。

 

同时系统还提供配置项，对安全预警可以自动采取处置措施，不需要运维人员的干预。

 

来源：CPEM全国电力设备管理网