以機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析為特征的新一代人工智能技術(shù),已成為電力企業(yè)數(shù)字化轉(zhuǎn)型的重要推手,。本文基于國網(wǎng)湖南電力在網(wǎng)絡(luò)安全領(lǐng)域的研究成果,,闡述人工智能技術(shù)如何應(yīng)用于電力物聯(lián)網(wǎng)入侵檢測場景的實(shí)踐,以期為相關(guān)研究建設(shè)工作提供參考。
一、人工智能技術(shù)推動電網(wǎng)數(shù)字化建設(shè)
在“雙碳”目標(biāo)的驅(qū)動下,國家電網(wǎng)有限公司以建設(shè)“具有中國特色國際領(lǐng)先的能源互聯(lián)網(wǎng)企業(yè)”為戰(zhàn)略目標(biāo),,提檔增速能源電力轉(zhuǎn)型,大力推進(jìn)“大云物移智鏈”技術(shù)應(yīng)用,,為電網(wǎng)發(fā)展注入新動能,。為以人工智能為代表的現(xiàn)代信息技術(shù)在電網(wǎng)數(shù)字化建設(shè)中發(fā)揮了重要作用。
國網(wǎng)公司當(dāng)前已圍繞電網(wǎng)智能運(yùn)檢,、運(yùn)行控制,、企業(yè)管理和用電服務(wù)等領(lǐng)域開展人工智能自主創(chuàng)新。運(yùn)用自然語言處理,、圖像識別,、視頻行為分析、語音識別,、文本分析,、知識圖譜等人工智能技術(shù),支撐無人機(jī)巡檢,、智能視頻遠(yuǎn)程監(jiān)控,、知識檢索智能問答等電網(wǎng)業(yè)務(wù)應(yīng)用,,大幅提高了工作效率和準(zhǔn)確性,降低了勞動強(qiáng)度及人力需求,。
國網(wǎng)湖南省電力有限公司高度重視人工智能在電網(wǎng)建設(shè)及企業(yè)經(jīng)營中的應(yīng)用,,目前已取得了一定的成果。在人工智能平臺方面,,國網(wǎng)湖南電力部署了訓(xùn)練環(huán)境(PAI-Studio)和運(yùn)行環(huán)境(PAI-EAS),,以及人臉識別、OCR 圖像識別,、語音識別,、自然語言處理等人工智能通用模型。應(yīng)用支撐方面,,目前已初步涵蓋了智能巡檢,、智能調(diào)度、電力負(fù)荷預(yù)測,、網(wǎng)絡(luò)安全高級威脅分析等多個(gè)業(yè)務(wù)領(lǐng)域,基于深度學(xué)習(xí)模型支撐一臺區(qū)一指標(biāo)應(yīng)用進(jìn)行線損率預(yù)測,,支撐網(wǎng)絡(luò)安全態(tài)勢感知平臺進(jìn)行高級威脅分析,,基于人臉識別技術(shù)支撐平安輸電和現(xiàn)場作業(yè)安全智能管控等三個(gè)應(yīng)用進(jìn)行現(xiàn)場人員管控,基于 OCR 圖像識別技術(shù)支撐供服中心智能辦公應(yīng)用,。
二,、人工智能在電力物聯(lián)網(wǎng)入侵檢測的技術(shù)實(shí)踐
從人工智能在電力行業(yè)的網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用來看,重點(diǎn)關(guān)注設(shè)備身份認(rèn)證,、惡意代碼分析,、自動化漏洞挖掘、惡意域名檢測,、網(wǎng)絡(luò)入侵檢測,、垃圾郵件檢測等六個(gè)方面。
本文重點(diǎn)關(guān)注網(wǎng)絡(luò)入侵檢測方面,,當(dāng)前,,國內(nèi)外入侵檢測主要采用基于規(guī)則的誤用檢測方法、基于行為的異常檢測方法以及混合檢測方法三類,?;谝?guī)則的誤用檢測方法在大量攻擊數(shù)據(jù)中提取出特征規(guī)則庫,將滿足匹配規(guī)則的請求判定為攻擊行為,,但特征的維護(hù)成本較高,,只能檢測已知攻擊,且可以通過攻擊載荷進(jìn)行處理繞過規(guī)則匹配,?;谛袨榈漠惓z測方法對新的攻擊類型敏感,,能夠有效發(fā)現(xiàn)新的攻擊,并且能夠監(jiān)測零日漏洞,,但是行為學(xué)習(xí)方式復(fù)雜,,訓(xùn)練成本較高,容易產(chǎn)生較高的誤報(bào)率,?;旌先肭謾z測是指將誤用檢測與異常檢測相結(jié)合,用于提高已知入侵檢測率并降低未知攻擊的誤報(bào)率,。目前,,國家電網(wǎng)有限公司在自主研發(fā)的全場景態(tài)勢感知平臺(S6000)中已經(jīng)集成了基于機(jī)器學(xué)習(xí)的入侵檢測算法。
同時(shí),,國網(wǎng)湖南電力通過研究電力物聯(lián)網(wǎng)終端與平臺側(cè)特定業(yè)務(wù)典型場景,,探索利用機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)對終端的入侵檢測功能。
?。ㄒ唬╇娏ξ锫?lián)網(wǎng)面臨的安全風(fēng)險(xiǎn)
電力物聯(lián)網(wǎng)是應(yīng)用于電力領(lǐng)域的工業(yè)級物聯(lián)網(wǎng),,基于綜合狀態(tài)感知和數(shù)據(jù)融合利用,進(jìn)行預(yù)測,、控制,、優(yōu)化等智能輔助決策,有力支持能源互聯(lián)網(wǎng)的協(xié)同運(yùn)行,。電力物聯(lián)網(wǎng)的典型架構(gòu)如圖所示,。電力物聯(lián)網(wǎng)是傳統(tǒng)物聯(lián)網(wǎng)在垂直行業(yè)的應(yīng)用,依然遵循感知控制層,、通信網(wǎng)絡(luò)層,、平臺應(yīng)用層的物聯(lián)網(wǎng)典型架構(gòu),其中感知控制層是電力物聯(lián)網(wǎng)最具特色,、發(fā)展最快的部分,。目前,電力物聯(lián)感知控制終端已覆蓋發(fā)電,、輸電,、變電、配電,、用電全生產(chǎn)環(huán)節(jié),,電網(wǎng)省級物聯(lián)終端數(shù)量已逾 1 億臺。電力物聯(lián)網(wǎng)信息化,、數(shù)字化,、智能化程度越高,面對的網(wǎng)絡(luò)安全問題就越復(fù)雜。電力物聯(lián)網(wǎng)越開放,,面臨的網(wǎng)絡(luò)安全挑戰(zhàn)就越艱巨,。
圖 物聯(lián)終端典型安全接入架構(gòu)
在當(dāng)前電力物聯(lián)網(wǎng)安全防護(hù)措施中,重點(diǎn)在于終端認(rèn)證,、鏈路流量加密等,,缺乏終端仿冒、入侵檢測等手段,,而電力物聯(lián)網(wǎng)終端數(shù)量大,、物理部署范圍廣,一旦黑客通過技術(shù)手段仿冒合法終端接入,,可在內(nèi)部網(wǎng)絡(luò)進(jìn)行近乎無限制地訪問其他業(yè)務(wù),,對電力生產(chǎn)網(wǎng)絡(luò)造成極大的安全威脅。
針對此問題,,國網(wǎng)湖南電力通過采集大量物聯(lián)網(wǎng)終端業(yè)務(wù)數(shù)據(jù),,并進(jìn)行大數(shù)據(jù)分析,構(gòu)建物聯(lián)終端,、物聯(lián)業(yè)務(wù)指紋基線與流量基線特征,,最終通過建立異常檢測模型,實(shí)現(xiàn)對正常業(yè)務(wù)流量與異常流量的有效辨別,。
?。ǘ╇娏ξ锫?lián)終端入侵檢測實(shí)踐
國網(wǎng)湖南電力已將機(jī)器學(xué)習(xí)模型集成至自研的物聯(lián)終端安全實(shí)時(shí)監(jiān)測裝置中,通過對一段時(shí)間的流量學(xué)習(xí),,產(chǎn)生流量基線特征數(shù)據(jù),并可將此數(shù)據(jù)添加至自定義特征中,,作為白名單業(yè)務(wù)流量模型,,發(fā)現(xiàn)不符合基線的流量則產(chǎn)生異常。該裝置已成功應(yīng)用于電力輸電,、配電,、用電、營銷等多個(gè)專業(yè),,實(shí)現(xiàn) 4200 余個(gè)物聯(lián)終端的安全管控,,實(shí)現(xiàn)電力物聯(lián)平臺業(yè)務(wù)的實(shí)時(shí)監(jiān)測與防護(hù),累計(jì)監(jiān)測到電力物聯(lián)網(wǎng)仿冒接入,、DDoS 攻擊等異常,、攻擊行為 1.2 萬余起,為電力物聯(lián)網(wǎng)的安全穩(wěn)定運(yùn)行提供了強(qiáng)有力的技術(shù)支撐,。具體應(yīng)用場景如下:
1. 電力三跨隱患監(jiān)測物聯(lián)系統(tǒng)安全準(zhǔn)入場景
電力系統(tǒng)八成以上的輸電線路都屬于架空型,,易受到大氣環(huán)境的侵蝕,遭受外破突發(fā)性高,維護(hù)的難度大,。重點(diǎn)區(qū)域尤其是三跨區(qū)域(高速鐵路,、高速公路及重要輸電通道的交叉跨越點(diǎn))地區(qū)需要采取嚴(yán)密的監(jiān)視。三跨圖像作為系統(tǒng)的重要組成部分,,在重要區(qū)域部署攝像頭采集圖像通過 4G 網(wǎng)絡(luò)實(shí)時(shí)傳送到監(jiān)控中心,。由于三跨圖像終端數(shù)量眾多,存在很大的入侵風(fēng)險(xiǎn),,因此通過物聯(lián)安全實(shí)時(shí)監(jiān)控裝置終端可實(shí)現(xiàn)有效的安全防護(hù),。
2. 電力巡線無人機(jī)安全接入場景
無人機(jī)主要用于線路故障缺陷的查找和通道查勘巡視。通過物聯(lián)終端安全實(shí)時(shí)監(jiān)測裝置建立電力無人機(jī)流量指紋,,實(shí)現(xiàn)視頻采集數(shù)據(jù)的實(shí)時(shí)接入,。
3. 綜合能源終端接入場景
綜合能源服務(wù)有大量的終端需要通過互聯(lián)網(wǎng)接入電力企業(yè),包括水,、電,、氣、熱等多類型的物聯(lián)感知終端,,通過物聯(lián)安全實(shí)時(shí)監(jiān)控裝置,,建立了綜合能源終端的指紋基線,實(shí)現(xiàn)了能源綜合終端的可靠有效接入,。
?。ㄈ╇娏ξ锫?lián)網(wǎng)平臺側(cè)業(yè)務(wù)入侵檢測實(shí)踐
電力物聯(lián)平臺側(cè)業(yè)務(wù)包括綜合能源平臺、智慧環(huán)保平臺,、基建全過程管控平臺等,,這些業(yè)務(wù)與典型互聯(lián)網(wǎng)業(yè)務(wù)的用戶群體、行為特征存在明顯的區(qū)別,,呈現(xiàn)單個(gè)用戶訪問會話量多,,用戶與其業(yè)務(wù)行為較為固定的特點(diǎn)。通過對物聯(lián)平臺側(cè)業(yè)務(wù)的攻擊行為進(jìn)行研判分析,,發(fā)現(xiàn)這些攻擊行為與正常用戶一段時(shí)間內(nèi)的訪問行為在方法,、訪問內(nèi)容、訪問頻率等方面具有一定的差異特征,。因此,,采用基于機(jī)器學(xué)習(xí)的會話異常檢測方法,能有效區(qū)分正常業(yè)務(wù)訪問與異常攻擊,,并能成功檢測出大量傳統(tǒng)安全設(shè)備未檢測出的業(yè)務(wù)邏輯類,、信息泄露類等攻擊行為。該原型已部署于國網(wǎng)湖南電力互聯(lián)網(wǎng)邊界,,通過采集互聯(lián)網(wǎng)出口實(shí)時(shí)流量,,檢測分析異常告警并輸出至企業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺中,。態(tài)勢感知平臺對告警進(jìn)行匯集分析,并聯(lián)動防火墻對異常訪問行為及時(shí)進(jìn)行阻斷,。
三,、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用挑戰(zhàn)
(一)人工智能在網(wǎng)絡(luò)安全領(lǐng)域的局限性
雖然人工智能攪動了網(wǎng)絡(luò)安全領(lǐng)域的一池春水,,但是應(yīng)該理性看待人工智能在應(yīng)對網(wǎng)絡(luò)安全方面的優(yōu)缺點(diǎn),,不能指望全靠人工智能來包打天下。
人工智能在應(yīng)對網(wǎng)絡(luò)安全問題時(shí),,也有較強(qiáng)的局限性,。這一方面受限于人工智能算法本身的能力,因?yàn)閭鹘y(tǒng)的機(jī)器學(xué)習(xí)技術(shù)依賴特征提取,,而算法的效果和性能又依賴識別和提取特征的準(zhǔn)確性,。深度學(xué)習(xí)具有在高維數(shù)據(jù)中自動提取特征的能力,同時(shí)面臨持續(xù)學(xué)習(xí),、數(shù)據(jù)饑餓,、可解釋性等問題。另一方面,,機(jī)器學(xué)習(xí),、特別是深度學(xué)習(xí)過分依賴數(shù)據(jù),但在惡意代碼檢測,、軟件漏洞挖掘等領(lǐng)域,,目前仍然存在數(shù)據(jù)收集困難的問題,缺少較好的數(shù)據(jù)集用于訓(xùn)練,,影響對相關(guān)領(lǐng)域的研究,。
人工智能嚴(yán)重依賴于耗費(fèi)計(jì)算資源,復(fù)雜的深度學(xué)習(xí)網(wǎng)絡(luò)需要同時(shí)計(jì)算成百上千萬次的計(jì)算,,需要強(qiáng)大的人工智能芯片計(jì)算力的支撐,。另外,人工智能易于忽視或者拋棄人類專家在網(wǎng)絡(luò)安全領(lǐng)域的知識和經(jīng)驗(yàn)積累,,對網(wǎng)絡(luò)安全的復(fù)雜應(yīng)用場景考慮不足,對于已知威脅的檢測效率遠(yuǎn)低于傳統(tǒng)的精確特征識別方法,。
雖然使用神經(jīng)網(wǎng)絡(luò)和深度學(xué)習(xí)等算法,,能夠較好地識別出未知攻擊威脅風(fēng)險(xiǎn),達(dá)到“知其然”的目的,,但是這些算法通常無法揭示產(chǎn)生這種安全風(fēng)險(xiǎn)的基本機(jī)理,,也就是“不知其所以然”,從而為從源頭防御這種攻擊風(fēng)險(xiǎn)帶來極大障礙,。
?。ǘ┚W(wǎng)絡(luò)安全領(lǐng)域應(yīng)用人工智能的風(fēng)險(xiǎn)
人工智能技術(shù)的蓬勃發(fā)展,為網(wǎng)絡(luò)安全攻防帶來的不僅有機(jī)遇,也有挑戰(zhàn),。人工智能在應(yīng)對網(wǎng)絡(luò)安全問題時(shí),,有時(shí)甚至?xí)宫F(xiàn)出脆弱的一面。一個(gè)真實(shí)環(huán)境中的人工智能系統(tǒng),,會面臨數(shù)據(jù)安全,、模型、算法安全,、實(shí)現(xiàn)安全等多方面的安全威脅,。
在數(shù)據(jù)安全方面,在數(shù)據(jù)收集與標(biāo)注時(shí)出現(xiàn)錯(cuò)誤或注入惡意數(shù)據(jù),,將導(dǎo)致數(shù)據(jù)污染攻擊,;在模型、算法安全方面,,針對人工智能算法存在黑盒和白盒對抗樣本攻擊,,可導(dǎo)致識別系統(tǒng)出現(xiàn)混亂;在實(shí)現(xiàn)安全方面,,除了人工智能系統(tǒng)本身的代碼實(shí)現(xiàn),,其所基于的人工智能框架以及所依賴的第三方軟件庫中軟件實(shí)現(xiàn)中的漏洞,也都可能導(dǎo)致嚴(yán)重安全問題,。人工智能對現(xiàn)有網(wǎng)絡(luò)安全格局的影響,,離不開算法、數(shù)據(jù)和計(jì)算能力 3 個(gè)方面,,其容易遭受攻擊的弱點(diǎn)也來自于此,。
對于防范人工智能的脆弱性所帶來的安全風(fēng)險(xiǎn),首先,,要從體系架構(gòu),、系統(tǒng)算法容錯(cuò)容侵設(shè)計(jì)、漏洞檢測和修復(fù),、安全配置等方面來增強(qiáng)人工智能系統(tǒng)自身的安全性,;其次,要用其所長,,盡量減小其暴露給外界的潛在攻擊面,;最后,要構(gòu)建網(wǎng)絡(luò)空間安全綜合防御體系,,從安全技術(shù)和安全管理等層面來協(xié)同防范安全攻擊,,間接減緩攻擊者直接針對人工智能系統(tǒng)發(fā)起攻擊以及攻擊成功的可能性;在數(shù)據(jù)獲取過程中,,要加強(qiáng)對數(shù)據(jù)來源的控制與過濾,,在一定程度上保證數(shù)據(jù)安全可靠,;在數(shù)據(jù)傳輸過程中,要使用更加安全的傳輸協(xié)議與加密算法,;在人工智能系統(tǒng)的實(shí)現(xiàn)中,,要保證代碼質(zhì)量并進(jìn)行完善的測試,此外,,還要及時(shí)更新或修補(bǔ)框架或依賴庫中存在的漏洞等,。
(三)人工智能在電力網(wǎng)絡(luò)安全的應(yīng)用展望
人工智能技術(shù)能有效利用網(wǎng)絡(luò)空間中存在大量的流量,、日志等數(shù)據(jù),,在挖掘海量數(shù)據(jù)的特征和關(guān)聯(lián)關(guān)系方面有得天獨(dú)厚的優(yōu)勢,因此,,可以預(yù)見,,人工智能技術(shù)將在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮越來越重要的作用。后續(xù)國網(wǎng)湖南電力也將就如何將人工智能技術(shù)更好地應(yīng)用于入侵檢測,、惡意代碼分析,、自動化攻防等領(lǐng)域持續(xù)開展研究,提升我國關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)水平,。