2023年11月2日，在“第2屆電力行業數字化轉型大會暨第4屆電力人工智能大會”上，「智創獎」第二屆電力數智化轉型技術創新應用評選頒獎典禮同期舉行。

國網山東省電力公司憑借其“基于機器學習的電力物聯網終端設備識別和異常行為發現防護建設”案例，獲得“電力網絡安全技術創新獎”。

該項目針對新型電力系統中海量物聯終端設備的特點，從終端設備的行為數據做為切入點，通過機器學習技術來識別終端設備資產信息，發現終端設備網絡異常行為，為新型電力系統的安全防護提供關鍵的技術支撐。

技術創新點

1、電力物聯網終端設備的交互仿真技術

分析電力物聯網終端設備主流認證協議、會話層協議、數據傳輸協議，結合電力IEC104系列協議規約及擴展協議開展服務端與客戶端交互仿真技術的研究。

在此基礎上構建基于各類協議規約的交互仿真技術，針對各個主流廠商的電力物聯終端設備進行仿真交互，建立電力物聯網終端設備應答識別機制，為電力物聯網終端設備的資產信息的清晰掌握提供重要的技術手段與交互特征庫。

2、電力物聯網終端設備特征挖掘技術

分析電力物聯網終端設備在數據特征、行為特征、運行特征等多維度信息上的表現，基于端設備流量、運行日志、在線交互等數據進行特征挖掘。

通過機器學習的手段構建基于時間序列、數據包大小、交互頻率、協議切換行為等維度樣本特征挖掘技術體系，在此基礎上結合廠商定制功能、設備參數等因素組建完整的電力物聯網終端設備指紋特征庫。

3、加密流量監測技術

傳統的使用證書解密的流量分析方式安全性較差，同時對業務的影響較大，所消耗性能較高。

區別于傳統解密的分析方式，加密流量監測是在不解密的情況下完成加密流量通信規律學習，實現加密流量內容篡改監測、樣本檢測等監測分析。

從加密通道獲取加密流量，再通過流量分揀、加密流量編輯、流量引擎監測等技術，從而實現讓物端的防護更貼近前端。

4、電力物聯網終端設備異常行為識別技術

融合交互仿真特征庫、終端設備指紋特征庫、智能分析監測等技術構建物聯網終端設備安全運行全景圖及安全運行監測體系，對物聯網終端設備運行狀態、風險狀態、異常網絡行為、終端設備的仿冒行為等形成全面監測。

通過分布式計算、關聯分析、機器學習和行為畫像等技術，構建終端設備網絡行為黑、白模型。對超出白模型和安全基線的網絡行為進行預警，對符合黑模型特征的網絡異常行為進行預警。

異常行為識別技術詳解

01 特征維度

一個終端的行為可以從很多維度來刻畫。終端行為的原始數據來自網絡鏡像流量。

我們從網絡流中首先提取出一個網絡行為的五元組信息，以及流量信息。這些數據做為終端行為的原始數據。在此基礎上，構造并提取終端的行為特征，例如：

連出的數據包數的均值，方差，最大值，最小值；

連出的數據流量的均值，方差，最大值，最小值；

連出端口數的均值，方差，最大值，最小值；

連出的IP數的均值，方差，最大值，最小值；

所有連出的具體IP；

連入的數據包數的均值，方差，最大值，最小值；

連入流量的均值，方差，最大值，最小值；

連入端口數的均值，方差，最大值，最小值；

連入的IP數的均值，方差，最大值，最小值；

所有連入的具體IP。

在眾多的特征中，通過智能學習算法，自動選擇出可以用于異常行為識別的行為特征。行為特征的篩選，可以過濾掉不利于異常行為識別的干擾特征，提升識別的準確度。

02 算法模型

我們選擇了高斯混合模型用于終端設備網絡異常行為識別。

由于在新型電力系統網絡中收集的訓練數據幾乎都是正常的行為數據，即使有極少數的異常行為數據，但由于無法人工打標簽，所有無法使用基于標簽數據的監督式學習算法。

而高斯混合模型能通過訓練數據能夠計算出正常行為數據的概率分布，從而判別異常行為，所以非常適合異常行為識別。

03 機器學習模型轉化為在線檢測模型

在線檢測模型通過規則配置或自動生成的方式，對實時數據流量進行監測。

算法模型在經過訓練后，系統自動生成相應的在線檢測模型，把實時數據輸入到機器學習模型進行實時預測，給出正常行為或異常行為的判斷。

04 實時預警及處置

當實時檢測模型檢測到終端設備網絡異常行為時，會及時的在系統中以預警的形式展示出來，方便運維人員及時采取處置措施。

同時系統還提供配置項，對安全預警可以自動采取處置措施，不需要運維人員的干預。