以機器學習和大數據分析為特征的新一代人工智能技術,已成為電力企業數字化轉型的重要推手。本文基于國網湖南電力在網絡安全領域的研究成果,闡述人工智能技術如何應用于電力物聯網入侵檢測場景的實踐,以期為相關研究建設工作提供參考。
一、人工智能技術推動電網數字化建設
在“雙碳”目標的驅動下,國家電網有限公司以建設“具有中國特色國際領先的能源互聯網企業”為戰略目標,提檔增速能源電力轉型,大力推進“大云物移智鏈”技術應用,為電網發展注入新動能。為以人工智能為代表的現代信息技術在電網數字化建設中發揮了重要作用。
國網公司當前已圍繞電網智能運檢、運行控制、企業管理和用電服務等領域開展人工智能自主創新。運用自然語言處理、圖像識別、視頻行為分析、語音識別、文本分析、知識圖譜等人工智能技術,支撐無人機巡檢、智能視頻遠程監控、知識檢索智能問答等電網業務應用,大幅提高了工作效率和準確性,降低了勞動強度及人力需求。
國網湖南省電力有限公司高度重視人工智能在電網建設及企業經營中的應用,目前已取得了一定的成果。在人工智能平臺方面,國網湖南電力部署了訓練環境(PAI-Studio)和運行環境(PAI-EAS),以及人臉識別、OCR 圖像識別、語音識別、自然語言處理等人工智能通用模型。應用支撐方面,目前已初步涵蓋了智能巡檢、智能調度、電力負荷預測、網絡安全高級威脅分析等多個業務領域,基于深度學習模型支撐一臺區一指標應用進行線損率預測,支撐網絡安全態勢感知平臺進行高級威脅分析,基于人臉識別技術支撐平安輸電和現場作業安全智能管控等三個應用進行現場人員管控,基于 OCR 圖像識別技術支撐供服中心智能辦公應用。
二、人工智能在電力物聯網入侵檢測的技術實踐
從人工智能在電力行業的網絡安全領域的應用來看,重點關注設備身份認證、惡意代碼分析、自動化漏洞挖掘、惡意域名檢測、網絡入侵檢測、垃圾郵件檢測等六個方面。
本文重點關注網絡入侵檢測方面,當前,國內外入侵檢測主要采用基于規則的誤用檢測方法、基于行為的異常檢測方法以及混合檢測方法三類。基于規則的誤用檢測方法在大量攻擊數據中提取出特征規則庫,將滿足匹配規則的請求判定為攻擊行為,但特征的維護成本較高,只能檢測已知攻擊,且可以通過攻擊載荷進行處理繞過規則匹配。基于行為的異常檢測方法對新的攻擊類型敏感,能夠有效發現新的攻擊,并且能夠監測零日漏洞,但是行為學習方式復雜,訓練成本較高,容易產生較高的誤報率。混合入侵檢測是指將誤用檢測與異常檢測相結合,用于提高已知入侵檢測率并降低未知攻擊的誤報率。目前,國家電網有限公司在自主研發的全場景態勢感知平臺(S6000)中已經集成了基于機器學習的入侵檢測算法。
同時,國網湖南電力通過研究電力物聯網終端與平臺側特定業務典型場景,探索利用機器學習算法實現對終端的入侵檢測功能。
(一)電力物聯網面臨的安全風險
電力物聯網是應用于電力領域的工業級物聯網,基于綜合狀態感知和數據融合利用,進行預測、控制、優化等智能輔助決策,有力支持能源互聯網的協同運行。電力物聯網的典型架構如圖所示。電力物聯網是傳統物聯網在垂直行業的應用,依然遵循感知控制層、通信網絡層、平臺應用層的物聯網典型架構,其中感知控制層是電力物聯網最具特色、發展最快的部分。目前,電力物聯感知控制終端已覆蓋發電、輸電、變電、配電、用電全生產環節,電網省級物聯終端數量已逾 1 億臺。電力物聯網信息化、數字化、智能化程度越高,面對的網絡安全問題就越復雜。電力物聯網越開放,面臨的網絡安全挑戰就越艱巨。
圖 物聯終端典型安全接入架構
在當前電力物聯網安全防護措施中,重點在于終端認證、鏈路流量加密等,缺乏終端仿冒、入侵檢測等手段,而電力物聯網終端數量大、物理部署范圍廣,一旦黑客通過技術手段仿冒合法終端接入,可在內部網絡進行近乎無限制地訪問其他業務,對電力生產網絡造成極大的安全威脅。
針對此問題,國網湖南電力通過采集大量物聯網終端業務數據,并進行大數據分析,構建物聯終端、物聯業務指紋基線與流量基線特征,最終通過建立異常檢測模型,實現對正常業務流量與異常流量的有效辨別。
(二)電力物聯終端入侵檢測實踐
國網湖南電力已將機器學習模型集成至自研的物聯終端安全實時監測裝置中,通過對一段時間的流量學習,產生流量基線特征數據,并可將此數據添加至自定義特征中,作為白名單業務流量模型,發現不符合基線的流量則產生異常。該裝置已成功應用于電力輸電、配電、用電、營銷等多個專業,實現 4200 余個物聯終端的安全管控,實現電力物聯平臺業務的實時監測與防護,累計監測到電力物聯網仿冒接入、DDoS 攻擊等異常、攻擊行為 1.2 萬余起,為電力物聯網的安全穩定運行提供了強有力的技術支撐。具體應用場景如下:
1. 電力三跨隱患監測物聯系統安全準入場景
電力系統八成以上的輸電線路都屬于架空型,易受到大氣環境的侵蝕,遭受外破突發性高,維護的難度大。重點區域尤其是三跨區域(高速鐵路、高速公路及重要輸電通道的交叉跨越點)地區需要采取嚴密的監視。三跨圖像作為系統的重要組成部分,在重要區域部署攝像頭采集圖像通過 4G 網絡實時傳送到監控中心。由于三跨圖像終端數量眾多,存在很大的入侵風險,因此通過物聯安全實時監控裝置終端可實現有效的安全防護。
2. 電力巡線無人機安全接入場景
無人機主要用于線路故障缺陷的查找和通道查勘巡視。通過物聯終端安全實時監測裝置建立電力無人機流量指紋,實現視頻采集數據的實時接入。
3. 綜合能源終端接入場景
綜合能源服務有大量的終端需要通過互聯網接入電力企業,包括水、電、氣、熱等多類型的物聯感知終端,通過物聯安全實時監控裝置,建立了綜合能源終端的指紋基線,實現了能源綜合終端的可靠有效接入。
(三)電力物聯網平臺側業務入侵檢測實踐
電力物聯平臺側業務包括綜合能源平臺、智慧環保平臺、基建全過程管控平臺等,這些業務與典型互聯網業務的用戶群體、行為特征存在明顯的區別,呈現單個用戶訪問會話量多,用戶與其業務行為較為固定的特點。通過對物聯平臺側業務的攻擊行為進行研判分析,發現這些攻擊行為與正常用戶一段時間內的訪問行為在方法、訪問內容、訪問頻率等方面具有一定的差異特征。因此,采用基于機器學習的會話異常檢測方法,能有效區分正常業務訪問與異常攻擊,并能成功檢測出大量傳統安全設備未檢測出的業務邏輯類、信息泄露類等攻擊行為。該原型已部署于國網湖南電力互聯網邊界,通過采集互聯網出口實時流量,檢測分析異常告警并輸出至企業網絡安全態勢感知平臺中。態勢感知平臺對告警進行匯集分析,并聯動防火墻對異常訪問行為及時進行阻斷。
三、人工智能在網絡安全領域的應用挑戰
(一)人工智能在網絡安全領域的局限性
雖然人工智能攪動了網絡安全領域的一池春水,但是應該理性看待人工智能在應對網絡安全方面的優缺點,不能指望全靠人工智能來包打天下。
人工智能在應對網絡安全問題時,也有較強的局限性。這一方面受限于人工智能算法本身的能力,因為傳統的機器學習技術依賴特征提取,而算法的效果和性能又依賴識別和提取特征的準確性。深度學習具有在高維數據中自動提取特征的能力,同時面臨持續學習、數據饑餓、可解釋性等問題。另一方面,機器學習、特別是深度學習過分依賴數據,但在惡意代碼檢測、軟件漏洞挖掘等領域,目前仍然存在數據收集困難的問題,缺少較好的數據集用于訓練,影響對相關領域的研究。
人工智能嚴重依賴于耗費計算資源,復雜的深度學習網絡需要同時計算成百上千萬次的計算,需要強大的人工智能芯片計算力的支撐。另外,人工智能易于忽視或者拋棄人類專家在網絡安全領域的知識和經驗積累,對網絡安全的復雜應用場景考慮不足,對于已知威脅的檢測效率遠低于傳統的精確特征識別方法。
雖然使用神經網絡和深度學習等算法,能夠較好地識別出未知攻擊威脅風險,達到“知其然”的目的,但是這些算法通常無法揭示產生這種安全風險的基本機理,也就是“不知其所以然”,從而為從源頭防御這種攻擊風險帶來極大障礙。
(二)網絡安全領域應用人工智能的風險
人工智能技術的蓬勃發展,為網絡安全攻防帶來的不僅有機遇,也有挑戰。人工智能在應對網絡安全問題時,有時甚至會展現出脆弱的一面。一個真實環境中的人工智能系統,會面臨數據安全、模型、算法安全、實現安全等多方面的安全威脅。
在數據安全方面,在數據收集與標注時出現錯誤或注入惡意數據,將導致數據污染攻擊;在模型、算法安全方面,針對人工智能算法存在黑盒和白盒對抗樣本攻擊,可導致識別系統出現混亂;在實現安全方面,除了人工智能系統本身的代碼實現,其所基于的人工智能框架以及所依賴的第三方軟件庫中軟件實現中的漏洞,也都可能導致嚴重安全問題。人工智能對現有網絡安全格局的影響,離不開算法、數據和計算能力 3 個方面,其容易遭受攻擊的弱點也來自于此。
對于防范人工智能的脆弱性所帶來的安全風險,首先,要從體系架構、系統算法容錯容侵設計、漏洞檢測和修復、安全配置等方面來增強人工智能系統自身的安全性;其次,要用其所長,盡量減小其暴露給外界的潛在攻擊面;最后,要構建網絡空間安全綜合防御體系,從安全技術和安全管理等層面來協同防范安全攻擊,間接減緩攻擊者直接針對人工智能系統發起攻擊以及攻擊成功的可能性;在數據獲取過程中,要加強對數據來源的控制與過濾,在一定程度上保證數據安全可靠;在數據傳輸過程中,要使用更加安全的傳輸協議與加密算法;在人工智能系統的實現中,要保證代碼質量并進行完善的測試,此外,還要及時更新或修補框架或依賴庫中存在的漏洞等。
(三)人工智能在電力網絡安全的應用展望
人工智能技術能有效利用網絡空間中存在大量的流量、日志等數據,在挖掘海量數據的特征和關聯關系方面有得天獨厚的優勢,因此,可以預見,人工智能技術將在網絡安全領域發揮越來越重要的作用。后續國網湖南電力也將就如何將人工智能技術更好地應用于入侵檢測、惡意代碼分析、自動化攻防等領域持續開展研究,提升我國關鍵基礎設施的網絡安全防護水平。
