基于网络流量异常检测的电网工控系统安全监测技术_钟志琛
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电 网 工 控 系 统 不 同 于 一 般 的 网 络 系 统,在 稳 定 性方面不能忍受系统宕机 [7]。因此电网工控系统网 络数据采集策略是:根据设备所在区域的安全等级, 匹配不同的采集频率系数;根据功能和用途的不同,
电力信息与通信技术 2017 年 第 15 卷 第 1 期
99
........................................ELECTRIC POWER ICT
监 督 学 习 是 二 者 的 结 合,利 用 有 标 记 的 样 本 数 据 和 无标记的样本数据联合后的概率分布进行学习 , [14]
3.2 利用信息熵量化流量特征属性进行预处理
提高学习速度。聚类分析算法为半监督学习的一种,
针对电网工控系统网络流量数据的特点,正常 根据数据内在的相似性将无标记的数据划分为多个
全
将捕获到的 N 个数据包按时间顺序划分为一个 初始中心,在 K ≤ N 的条件下,将 IP 地址熵数据分成
防 单位流量某特征属性发生的次数,记为 X{X1,X2,…… S={S1,S2,… SK} 个聚类中心,剩余的数据分别计算与 护 XN},可以按单位流量计算攻击事件的 IP 地址、工控 Si 均值的距离,运用欧式距离对剩余数据和聚类中心
图 2 电网工控系统网络流量异常检测安全监测技术模型 Fig.2 Network traffic anomaly detection security monitoring
technology model of power grid industrial control system
实时检测根据制定的检测规则对实时数据进行 实时检测,输出检测结果。 3.1 电网工控系统的数据采集特点
设定不同的采集频率系数;根据链路的拥塞情况,合 处理复杂度,将有标记的数据初始化,与无标记样本 理地改变当前的采集频率 [8];根据设备的负荷情况, 进行聚类分析比较,建立分析模型,制定检测规则。
合理地改变对当前设备的采集频率,从而保障工业 3.3.1 半监督学习的 K-means 聚类分析算法
控制系统本身功能的正常运行。
程层、间隔层增加全流量数据采集和分析,通过对不 同变电站网络流量的异常分析和边界处的感知设备
Fig.1 The architecture of power grid industrial control system security monitoring and warning platform
安 全
........................................ELECTRIC POWER ICT
中图分类号:TP392 文献标志码:B 文章编号:2095-641X(2017)01-098-05 DOI:10.16543/j.2095-641x.electric.power.ict.2017.01.020
失效的新型攻击事件,其主要原因是缺乏对运维过 推进,工控攻击一方面呈现出向智能变电站、配用电
程的有效技术管控措施,潜在的恶意代码通过不安 系统现场等用户侧开放环境泛化演进的趋势;另一
全的运维途径被植入到生产控制网络内,导致控制 方面呈现出综合利用终端、网络、系统甚至管理等多
系统大面积跳闸,产生大规模断电,造成巨大损失。 个层面的漏洞实施工控特种攻击的趋势。因此,电
目 前 机 器 学 习 分 为 监 督 学 习、无 监 督 学 习 和 半
电网工控系统采集到的网络流量数据也不同于 监督学习。监督学习是利用带有标记的样本进行学 一般的网络流量数据,一是数据长度小于普通数据; 习;无监督学习是利用无标记的样本进行学习 [13];半
二是周期性信息数据占主流;三是数据流向固定;四 是时序性强 [9],响应时间短。
基于网络流量异常检测的 电网工控系统安全监测技术
钟志琛 (黑龙江省电力科学研究院,黑龙江 哈尔滨 150030)
摘要:通过分析电网工控系统网络流量数据的特点,构建电网工控系统全局性安全监测预警平台,提 出了适合电网工控系统的网络流量异常检测安全监测预警平台架构及检测方法,设计了数据采集方 式,将网络流量特征属性量化为熵值,方便分类,优化用于网络流量异常检测的 K-means 聚类分析 算法,提高了检测准确率,从而实现全局安全监测预警,及时发现安全风险,避免安全事件发生,为电 网企业工控系统的安全防护提供科学方法及借鉴指导。 关键词:电网工控系统;异常检测;安全监测预警
日志,在站控层边界部署工控异常行为检测、工控操
防
作行为审计,在主站层构建流量监测平台、协议监测
அᬶ
护
ஜ
平 台 和 行 为 监 测 平 台,在 调 度 监 控 管 理 网 中 部 署 大
᧓ᬶ
ᮔူܪ
数据存储、大数据分析以及监控展示平台,从而实现
电网工控系统全局安全监测预警。电网工控系统安 全监测预警平台架构及部署如图 1 所示。
电网工控系统的流量异常。信息熵是信息论中用于 分类,从而优化工控系统流量异常检测算法,提高检
度量信息总量的一个概念。信息总量越有序,分布 测效率。
集 中 规 律,信 息 熵 就 低;反 之,信 息 熵 就 高。 利 用 地
传 统 的 半 监 督 聚 类 K-means 算 法 简 单、快 捷,
址熵反映攻击事件 IP 地址分布状况,IP 地址越混乱, 适 合 电 网 工 控 系 统 的 网 络 流 量 异 常 检 测。 假 设 共
对工控系统内部流量和进入主站的流量进行深度分 成攻击;工业控制网络可能存在外联的第三方合作
析,更没有基于相关的安全算法进行深度解析和处 网络,虽然部署有安全防护措施,但易被新型攻击技
理。潜在的工控系统厂站侧的安全隐患可能会导致 厂 站 侧 异 常 开 分 闸 操 作,甚 至 导 致 局 部 断 电。 本 文
放 的 平 台 和 协 议 所 取 代;孤 立 的 系 统 开 始 大 规 模 互 联,同时也加大了安全风险。2015 年 12 月 23 日,乌
1 电网工控系统面临的信息安全风险
克兰电网遭受网络黑客攻击引发大面积停电事件,
伴随着外部信息安全形势变化,以及“互联网 +”
即攻击者采用传统攻击方法诱发重要公用事业系统 新型信息通信技术的应用和能源互联网建设的深入
ႂ
ቢ ἱር
ࡎ
ႂߔय ̈ਕ٧
ఄᑞጻቪ
ՋࣲӬЊ
ఄᑞӬЊ ࿃খᄢ
ึ᧙ஜ ᧓ᬶ
监 控 管 理 网,控 制 网 络 部 署 在 变 电 站,分 为 过 程 层、
间隔层、站控层 [5]。电网工控系统安全监测预警平台
在 现 有 的 安 全 防 护 技 术 措 施 基 础 上,在 变 电 站 的 过
图 1 电网工控系统安全监测预警平台架构
ἰ
ѫ
ុ ऎ ᄢ
ౡ Ӧᄢᅕߥ˷ᐐዜѫౡ Сᐎѫౡ
Ā
ࡎ
ଌ ἱ ࢹ
ஜ
ѫ࣊यᎀߚ
ࡎ
ЮߚὈ
ܷஜߚϱ
ଌ
᧙
ζ
Ө
ᝫ
ʶͳӐࣰԻ
ՐԻ ቢ
ᄢଌ ࢹር ζো ˞ቢ ࣍ቢ ߔቢ
ึ᧙ᄢ Өᝫᄢ ᛠ˝ᄢ ࣰԻ ࣰԻ ࣰԻ
ଌ
ଌࡎ ҃
ࢹଌऩ࣡ᛠ˝
ࢹଌୱͺᛠ˝ࠅ
Ꭹ ἰᫍ
ఄ ᑞ Ԫ
ᬥ ᫍᬥγએ ेจ ࡎ
ଌ ึ᧙ஜ᧓ᬶ ᧙ ႂ᧙᧓ᬶ
流量与异常流量依据属性的不同在分布特征上存在 很大的差异 [10],因此可以通过信息熵对流量特征属
类 别,使 类 别 内 的 数 据 相 似 度 较 大 而 类 别 间 的 数 据 相 似 度 较 小 。 [15] 本 文 提 出 运 用 改 进 的 半 监 督 聚 类
性进行量化处理,分析流量特征属性的熵值来检测 K-means 算法对电网工控流量的特征属性熵值进行
平 台 充 分 利 用 网 络 流 量、系 统 及 安 全 设 备 的 日
҃߿ Ѷ
థಕஜ ᐐዜ
లಕ ࠃௐஜ
志 等 网 络 行 为 痕 迹 的 多 种 表 现 形 式,全 局 性 地 进 行 监测及有效安全分析,及时发现未知安全风险,从而
ࠃௐ
Ѷ
ࠃௐ
有效捕获安全事件的发生。
ፆ౦
3 电网工控系统网络流量异常检测安全监测技术
电网工控系统安全监测预警平台采用的是网络 流 量 异 常 检 测 安 全 监 测 技 术,其 设 计 模 型 由 数 据 采 集、制定检测规则、实时检测组成(见图 2)。
数据采集主要负责原始数据的采集和预处理 [6]。 制定检测规则首先通过信息熵量化网络流量属 性,根 据 属 性 特 征 将 正 常 流 量 标 记 为 有 标 记 的 数 据 样本,反之为未标记的实时数据,然后运用改进的半 监督聚类算法建立电网工控系统网络流量异常检测 模型,并制定实时检测规则。
分布越分散,地址熵就越高;反之 IP 地址越有序,分 有 N 个网络流量数据样本,IP 地址熵值数据集合为
布越集中,地址熵就越低。许多大规模信息安全事 D=(X1,X2,…… XN), 首 先 确 定 K 值,然 后 再 从 有 标 记
安
件均反映在 IP 地址分布的异常上 。 [11]
的网络流量数据样本中随机选取 K 个数据作为聚类
安
全
防 护
0 引言
络 流 量 属 性,应 用 改 进 的 半 监 督 学 习 聚 类 算 法 对 量 化 的 流 量 属 性 值 进 行 聚 类 分 析,从 而 达 到 流 量 异 常
随着国家电网公司提倡的全球能源互联网的发 检测安全监测的目的,为电网工控系统实现全局网
展,互联互通成为必然,专用的平台、协议逐渐被开 络流量异常检测、安全监测预警提供科学依据。
98
电力信息与通信技术 2017 年 第 15 卷 第 1 期
ELECTRIC POWER ICT ........................................
用导致露面增多,现有防护体系无法完全覆盖。 电网工控系统与普通的信息系统在信息安全技
术方面有很大的不同:一是实时性强,与物理世界存 在交互关系 [3];二是传统的信息安全软件补丁和系统 软件更新频率不适用于工控系统 [4],停机更新系统的 经 济 成 本 很 高。 针 对 上 述 信 息 安 全 风 险,不 能 将 普 通信息系统的信息安全防护体系应用到电网工控系 统 中,需 要 研 究 合 理 的 适 用 于 电 网 工 控 系 统 实 际 运 行 环 境 的 异 常 检 测 方 法 进 行 安 全 监 测,对 潜 在 的 风 险 或 隐 患 进 行 预 测 并 对 攻 击 事 件 进 行 追 踪 溯 源,有 效提升电网工控系统的安全防御能力。
现有的电力监控系统主站与厂站的安全监视主要依 网工控系统原有的安全防护体系面临严峻的挑战。
赖于内网监视平台,而内网监视平台只是针对边界 主要表现在:不安全的移动介质接入,造成病毒传播;
处的安全设备和网络设备的日志进行收集,无法针 监 控 网 与 RTU/PLC 之 间 不 安 全 的 无 线 通 信,易 造
术 破 解 攻 击;控 制 协 议 存 在 漏 洞 ,极 易 被 攻 击;作 业 现场环境复杂 [1],例如变电站等,网络的接入具有一
针对目前电力企业工控系统还没有全局性的安全监 测 预 警 现 状,提 出 利 用 信 息 熵 量 化 电 力 工 控 系 统 网
定 的 安 全 风 险;操 作 系 统 漏 洞 没 有 进 行 及 时 补 丁 修 复 [2],极易被攻击者利用;工控新业务发展、新技术应
2 电网工控系统安全监测预警平台架构
工业控制系统并非简单、孤立的系统,而是与生 产任务紧密关联的控制监测局域网络系统。电网工 控 系 统 分 为 控 制 网 络 和 管 理 网 络,管 理 网 络 指 调 度
ክห้องสมุดไป่ตู้ူ Ꭹ
ុऎᒬҮ Ӑጆፑ
ᄢ
ଌ
ࡎ
ႂᎩࢹଌጆፑ߶К ᄢԺӐࡘᇧ
ႂᎩࢹଌጆፑ߶К ᮔԺӐࡘᇧ
协议、源端口、目的端口的属性熵值 。 [12] 以计算单位 之间的距离进行度量,距离值公式为:
流量源 IP 地址的熵值为例,X 中出现的不同源 IP 个
数为 M,ni(i=1,2…… M) 为不同源 IP 出现的次数,则 IP 地址熵值计算公式:
∑ H (Y ) =
M i =1
(
ni X
)
ln(
ni X
)
(1)
其 中 Y={ni,(i=1,2…… M)} 表 示 在 测 量 数 据 中
∑ 某特征属性 i 发生了 n 次;X =
M 1
ni
表
示
某特
征属
性发生的总次数。
∑ 将 X =
M 1
ni
代
入
公
式(1),即
电力信息与通信技术 2017 年 第 15 卷 第 1 期
99
........................................ELECTRIC POWER ICT
监 督 学 习 是 二 者 的 结 合,利 用 有 标 记 的 样 本 数 据 和 无标记的样本数据联合后的概率分布进行学习 , [14]
3.2 利用信息熵量化流量特征属性进行预处理
提高学习速度。聚类分析算法为半监督学习的一种,
针对电网工控系统网络流量数据的特点,正常 根据数据内在的相似性将无标记的数据划分为多个
全
将捕获到的 N 个数据包按时间顺序划分为一个 初始中心,在 K ≤ N 的条件下,将 IP 地址熵数据分成
防 单位流量某特征属性发生的次数,记为 X{X1,X2,…… S={S1,S2,… SK} 个聚类中心,剩余的数据分别计算与 护 XN},可以按单位流量计算攻击事件的 IP 地址、工控 Si 均值的距离,运用欧式距离对剩余数据和聚类中心
图 2 电网工控系统网络流量异常检测安全监测技术模型 Fig.2 Network traffic anomaly detection security monitoring
technology model of power grid industrial control system
实时检测根据制定的检测规则对实时数据进行 实时检测,输出检测结果。 3.1 电网工控系统的数据采集特点
设定不同的采集频率系数;根据链路的拥塞情况,合 处理复杂度,将有标记的数据初始化,与无标记样本 理地改变当前的采集频率 [8];根据设备的负荷情况, 进行聚类分析比较,建立分析模型,制定检测规则。
合理地改变对当前设备的采集频率,从而保障工业 3.3.1 半监督学习的 K-means 聚类分析算法
控制系统本身功能的正常运行。
程层、间隔层增加全流量数据采集和分析,通过对不 同变电站网络流量的异常分析和边界处的感知设备
Fig.1 The architecture of power grid industrial control system security monitoring and warning platform
安 全
........................................ELECTRIC POWER ICT
中图分类号:TP392 文献标志码:B 文章编号:2095-641X(2017)01-098-05 DOI:10.16543/j.2095-641x.electric.power.ict.2017.01.020
失效的新型攻击事件,其主要原因是缺乏对运维过 推进,工控攻击一方面呈现出向智能变电站、配用电
程的有效技术管控措施,潜在的恶意代码通过不安 系统现场等用户侧开放环境泛化演进的趋势;另一
全的运维途径被植入到生产控制网络内,导致控制 方面呈现出综合利用终端、网络、系统甚至管理等多
系统大面积跳闸,产生大规模断电,造成巨大损失。 个层面的漏洞实施工控特种攻击的趋势。因此,电
目 前 机 器 学 习 分 为 监 督 学 习、无 监 督 学 习 和 半
电网工控系统采集到的网络流量数据也不同于 监督学习。监督学习是利用带有标记的样本进行学 一般的网络流量数据,一是数据长度小于普通数据; 习;无监督学习是利用无标记的样本进行学习 [13];半
二是周期性信息数据占主流;三是数据流向固定;四 是时序性强 [9],响应时间短。
基于网络流量异常检测的 电网工控系统安全监测技术
钟志琛 (黑龙江省电力科学研究院,黑龙江 哈尔滨 150030)
摘要:通过分析电网工控系统网络流量数据的特点,构建电网工控系统全局性安全监测预警平台,提 出了适合电网工控系统的网络流量异常检测安全监测预警平台架构及检测方法,设计了数据采集方 式,将网络流量特征属性量化为熵值,方便分类,优化用于网络流量异常检测的 K-means 聚类分析 算法,提高了检测准确率,从而实现全局安全监测预警,及时发现安全风险,避免安全事件发生,为电 网企业工控系统的安全防护提供科学方法及借鉴指导。 关键词:电网工控系统;异常检测;安全监测预警
日志,在站控层边界部署工控异常行为检测、工控操
防
作行为审计,在主站层构建流量监测平台、协议监测
அᬶ
护
ஜ
平 台 和 行 为 监 测 平 台,在 调 度 监 控 管 理 网 中 部 署 大
᧓ᬶ
ᮔူܪ
数据存储、大数据分析以及监控展示平台,从而实现
电网工控系统全局安全监测预警。电网工控系统安 全监测预警平台架构及部署如图 1 所示。
电网工控系统的流量异常。信息熵是信息论中用于 分类,从而优化工控系统流量异常检测算法,提高检
度量信息总量的一个概念。信息总量越有序,分布 测效率。
集 中 规 律,信 息 熵 就 低;反 之,信 息 熵 就 高。 利 用 地
传 统 的 半 监 督 聚 类 K-means 算 法 简 单、快 捷,
址熵反映攻击事件 IP 地址分布状况,IP 地址越混乱, 适 合 电 网 工 控 系 统 的 网 络 流 量 异 常 检 测。 假 设 共
对工控系统内部流量和进入主站的流量进行深度分 成攻击;工业控制网络可能存在外联的第三方合作
析,更没有基于相关的安全算法进行深度解析和处 网络,虽然部署有安全防护措施,但易被新型攻击技
理。潜在的工控系统厂站侧的安全隐患可能会导致 厂 站 侧 异 常 开 分 闸 操 作,甚 至 导 致 局 部 断 电。 本 文
放 的 平 台 和 协 议 所 取 代;孤 立 的 系 统 开 始 大 规 模 互 联,同时也加大了安全风险。2015 年 12 月 23 日,乌
1 电网工控系统面临的信息安全风险
克兰电网遭受网络黑客攻击引发大面积停电事件,
伴随着外部信息安全形势变化,以及“互联网 +”
即攻击者采用传统攻击方法诱发重要公用事业系统 新型信息通信技术的应用和能源互联网建设的深入
ႂ
ቢ ἱር
ࡎ
ႂߔय ̈ਕ٧
ఄᑞጻቪ
ՋࣲӬЊ
ఄᑞӬЊ ࿃খᄢ
ึ᧙ஜ ᧓ᬶ
监 控 管 理 网,控 制 网 络 部 署 在 变 电 站,分 为 过 程 层、
间隔层、站控层 [5]。电网工控系统安全监测预警平台
在 现 有 的 安 全 防 护 技 术 措 施 基 础 上,在 变 电 站 的 过
图 1 电网工控系统安全监测预警平台架构
ἰ
ѫ
ុ ऎ ᄢ
ౡ Ӧᄢᅕߥ˷ᐐዜѫౡ Сᐎѫౡ
Ā
ࡎ
ଌ ἱ ࢹ
ஜ
ѫ࣊यᎀߚ
ࡎ
ЮߚὈ
ܷஜߚϱ
ଌ
᧙
ζ
Ө
ᝫ
ʶͳӐࣰԻ
ՐԻ ቢ
ᄢଌ ࢹር ζো ˞ቢ ࣍ቢ ߔቢ
ึ᧙ᄢ Өᝫᄢ ᛠ˝ᄢ ࣰԻ ࣰԻ ࣰԻ
ଌ
ଌࡎ ҃
ࢹଌऩ࣡ᛠ˝
ࢹଌୱͺᛠ˝ࠅ
Ꭹ ἰᫍ
ఄ ᑞ Ԫ
ᬥ ᫍᬥγએ ेจ ࡎ
ଌ ึ᧙ஜ᧓ᬶ ᧙ ႂ᧙᧓ᬶ
流量与异常流量依据属性的不同在分布特征上存在 很大的差异 [10],因此可以通过信息熵对流量特征属
类 别,使 类 别 内 的 数 据 相 似 度 较 大 而 类 别 间 的 数 据 相 似 度 较 小 。 [15] 本 文 提 出 运 用 改 进 的 半 监 督 聚 类
性进行量化处理,分析流量特征属性的熵值来检测 K-means 算法对电网工控流量的特征属性熵值进行
平 台 充 分 利 用 网 络 流 量、系 统 及 安 全 设 备 的 日
҃߿ Ѷ
థಕஜ ᐐዜ
లಕ ࠃௐஜ
志 等 网 络 行 为 痕 迹 的 多 种 表 现 形 式,全 局 性 地 进 行 监测及有效安全分析,及时发现未知安全风险,从而
ࠃௐ
Ѷ
ࠃௐ
有效捕获安全事件的发生。
ፆ౦
3 电网工控系统网络流量异常检测安全监测技术
电网工控系统安全监测预警平台采用的是网络 流 量 异 常 检 测 安 全 监 测 技 术,其 设 计 模 型 由 数 据 采 集、制定检测规则、实时检测组成(见图 2)。
数据采集主要负责原始数据的采集和预处理 [6]。 制定检测规则首先通过信息熵量化网络流量属 性,根 据 属 性 特 征 将 正 常 流 量 标 记 为 有 标 记 的 数 据 样本,反之为未标记的实时数据,然后运用改进的半 监督聚类算法建立电网工控系统网络流量异常检测 模型,并制定实时检测规则。
分布越分散,地址熵就越高;反之 IP 地址越有序,分 有 N 个网络流量数据样本,IP 地址熵值数据集合为
布越集中,地址熵就越低。许多大规模信息安全事 D=(X1,X2,…… XN), 首 先 确 定 K 值,然 后 再 从 有 标 记
安
件均反映在 IP 地址分布的异常上 。 [11]
的网络流量数据样本中随机选取 K 个数据作为聚类
安
全
防 护
0 引言
络 流 量 属 性,应 用 改 进 的 半 监 督 学 习 聚 类 算 法 对 量 化 的 流 量 属 性 值 进 行 聚 类 分 析,从 而 达 到 流 量 异 常
随着国家电网公司提倡的全球能源互联网的发 检测安全监测的目的,为电网工控系统实现全局网
展,互联互通成为必然,专用的平台、协议逐渐被开 络流量异常检测、安全监测预警提供科学依据。
98
电力信息与通信技术 2017 年 第 15 卷 第 1 期
ELECTRIC POWER ICT ........................................
用导致露面增多,现有防护体系无法完全覆盖。 电网工控系统与普通的信息系统在信息安全技
术方面有很大的不同:一是实时性强,与物理世界存 在交互关系 [3];二是传统的信息安全软件补丁和系统 软件更新频率不适用于工控系统 [4],停机更新系统的 经 济 成 本 很 高。 针 对 上 述 信 息 安 全 风 险,不 能 将 普 通信息系统的信息安全防护体系应用到电网工控系 统 中,需 要 研 究 合 理 的 适 用 于 电 网 工 控 系 统 实 际 运 行 环 境 的 异 常 检 测 方 法 进 行 安 全 监 测,对 潜 在 的 风 险 或 隐 患 进 行 预 测 并 对 攻 击 事 件 进 行 追 踪 溯 源,有 效提升电网工控系统的安全防御能力。
现有的电力监控系统主站与厂站的安全监视主要依 网工控系统原有的安全防护体系面临严峻的挑战。
赖于内网监视平台,而内网监视平台只是针对边界 主要表现在:不安全的移动介质接入,造成病毒传播;
处的安全设备和网络设备的日志进行收集,无法针 监 控 网 与 RTU/PLC 之 间 不 安 全 的 无 线 通 信,易 造
术 破 解 攻 击;控 制 协 议 存 在 漏 洞 ,极 易 被 攻 击;作 业 现场环境复杂 [1],例如变电站等,网络的接入具有一
针对目前电力企业工控系统还没有全局性的安全监 测 预 警 现 状,提 出 利 用 信 息 熵 量 化 电 力 工 控 系 统 网
定 的 安 全 风 险;操 作 系 统 漏 洞 没 有 进 行 及 时 补 丁 修 复 [2],极易被攻击者利用;工控新业务发展、新技术应
2 电网工控系统安全监测预警平台架构
工业控制系统并非简单、孤立的系统,而是与生 产任务紧密关联的控制监测局域网络系统。电网工 控 系 统 分 为 控 制 网 络 和 管 理 网 络,管 理 网 络 指 调 度
ክห้องสมุดไป่ตู้ူ Ꭹ
ុऎᒬҮ Ӑጆፑ
ᄢ
ଌ
ࡎ
ႂᎩࢹଌጆፑ߶К ᄢԺӐࡘᇧ
ႂᎩࢹଌጆፑ߶К ᮔԺӐࡘᇧ
协议、源端口、目的端口的属性熵值 。 [12] 以计算单位 之间的距离进行度量,距离值公式为:
流量源 IP 地址的熵值为例,X 中出现的不同源 IP 个
数为 M,ni(i=1,2…… M) 为不同源 IP 出现的次数,则 IP 地址熵值计算公式:
∑ H (Y ) =
M i =1
(
ni X
)
ln(
ni X
)
(1)
其 中 Y={ni,(i=1,2…… M)} 表 示 在 测 量 数 据 中
∑ 某特征属性 i 发生了 n 次;X =
M 1
ni
表
示
某特
征属
性发生的总次数。
∑ 将 X =
M 1
ni
代
入
公
式(1),即