1、水电厂 LCU 异常行为识别模型研究 薛静军 黄丽琴 孙杰 李成武 晏培 国网新源水电有限公司富春江水力发电厂 中京天裕科技(北京)有限公司 摘 要: 随着水电厂电力监控系统信息化和自动化的进一步融合, 生产区各种信息化设备和应用系统数量不断增加, 其安全问题也愈加突出。为了加强水电厂电力监控系统的安全维护与管理, 必须能够识别水电厂 LCU 的异常行为。基于对 LCU异常行为的研究与分析, 智能学习 LCU 正常行为, 智能识别 LCU 异常行为。LCU异常行为识别提高了水电厂 LCU 系统信息安全管理效率和水平, 从技术层面实现了安全评估自动化, 对水电厂 LCU 系统信息安全建设具有一定
2、的指导意义。关键词: 水电厂 LCU; 异常行为特征; 智能识别; 智能学习; 作者简介:薛静军 (1988-) , 男, 江苏江阴人, 助理工程师, 本科, 学士学位, 现就职于国网新源水电有限公司富春江水力发电厂, 从事水电站自动化相关工作。Study on Identification Model of Abnormal Behavior of LCU in Hydropower PlantAbstract: With the development of information technology in hydropower plant, the number of network
3、equipment and application system is increasing, and the security management is becoming more and more serious. In order to maintain the security and management of the hydropower plant information system, it is necessary to be able to identify the abnormal behavior of LCU in hydropower plant. Based o
4、n the research and analysis of abnormal behavior of LCU, intelligent learning LCU normal behavior, intelligent recognition of abnormal behavior of LCU. LCU abnormal behavior recognition improves hydropower plant LCU system information security management efficiency and level, from the technical leve
5、l to achieve the automation of safety assessment, has certain guiding significance to the construction of information security system of hydropower plant LCU.Keyword: Hydropower plant; LCU; Abnormal behavior; Intelligent recognition; Intelligent learning; 1 引言近年来, 随着工业化和信息化融合的深度和广度不断加强, 工业信息化的程度不断加大
6、, 工业设备与互联网的互联互通面积就不断增大, 互联网的恶意攻击也就随之而来。以往我们研究的异常行为主要是针对传统管理信息大区网络行为的异常情况, 针对工业设备的异常行为的识别还存在很大不足。本文在前人的基础上提出了一种基于水电厂 LCU 异常行为特征识别的模型, 该模型既可从全局把握 LCU 的行为特征, 又能识别出局部 LCU 的异常行为, 力图实现对正常行为的智能学习, 异常行为的智能识别, 在有限条件下, 尽可能减少漏报和误报的概率, 最大限度地减少人为工作量。2 异常行为识别技术2.1 异常流量行为识别流量进行识别的技术也随之经历了相应的变化过程:基于端口的、基于应用签名的、基于统计
7、特征的和基于人工智能的识别技术。由于越来越多的软件不再使用已知的固定端口进行通信和数据传输, 传统的基于端口流量识别技术的有效性也越来越低。深度报文检测 (Deep Packet Inspection, DPI) 是一种基于报文内容的业务识别技术。但 DPI 技术存在如下 2 个不足: (1) 无法识别加密的报文; (2) 检测速度慢, 无法满足高速网络下实时检测的需求。深度流行为检测 (Deep Flow Inspection, DFI) 关注网络流量特征的通用性, 它不需进行深度报文检测和使用协议还原技术, 仅需获取 P2P 流量的各项统计参数。目前这方面的研究主要基于统计或人工智能技术,
8、 根据报文的流量特征进行 P2P 流量识别, 基于流量与行为特征的流量识别模型。2.2 进程行为识别基于系统调用的检测方法最早由 S.Forrest 等人提出, 目前已取得了一些进展, 包括 S.Forrest 等人最初提出的 N-gram 模型, 在 N-gram 基础上发展的Vargram 模型, V-t path 模型等。N-gram 模型直接将训练数据截为定长片段定义正常行为, 正常行为定义规模大, 影响检测效率。Var-gram 模型主要是针对N-gram 模型中序列长度不易确定的问题而提出的, 该模型采用不同长度的序列来定义正常行为, 但 Vargram 模型不仅没有有效解决长度问
9、题, 还引入了复杂的匹配算法, 严重影响了检测效率。无监督训练算法, 该算法直接利用系统实时运行数据作为训练数据, 降低了对训练数据的要求, 引入了反向进程频率和系统调用出现频率等参数, 通过权值区分不同系统调用在定义正常行为中的不同作用。在正常行为定义生成和实时检测过程中, 序列匹配采用了基于向量空间模型的相似度计算算法, 更准确地衡量序列的匹配程度。在检测过程中, 针对正常行为定义的不完整性等原因造成的干扰, 引入滤噪函数, 提高了检测准确性。2.3 机器学习的行为识别机器学习是人工智能的一个新的分支。它通过对人类认知机理的研究, 借助机器 (计算机系统) 建立各种学习模型, 赋予机器学习
10、的能力, 在此基础上构建具有特定应用的面向任务的学习系统。一个机器学习系统主要由学习单元、知识库、执行单元组成, 其中学习单元利用外界信息源提供的信息来建立知识库并对其做出改进 (增加新知识或重新组织已有知识) , 执行单元利用知识库中的知识执行任务, 任务执行后的信息又反馈给学习单元作为进一步学习的输入。学习单元是机器学习系统实现学习功能的核心部分, 它涉及处理外界信息的方式以及获取新知识过程中所用的方法。知识库用来存储知识, 包括系统原有的领域知识 (这种知识是长期的、相对稳定的) , 以及通过学习而获得的各种新知识 (这种知识是短期的、变化的) , 选择何种知识表示对学习系统的设计起着非
11、常重要的作用。执行单元是使学习系统具有实际用途, 同时又能够评价学习方法优劣的关键部分。机器学习研究中的很大一部分工作集中在分类和问题求解这两个领域;经过三十多年的发展, 目前已有了很多学习方法, 如归纳学习、实例学习、遗传学习等, 但这些方法均有其局限性, 结合具体的应用领域探讨新的学习方法和算法是目前的研究主流。2.4 神经网络的异常行为识别人工神经网络 (Artificial Neural Networks, ANNs) , 亦称为神经网络 (Neural Networks, NNs) , 是由大量处理单元广泛互连而成的网络, 是对人脑的抽象、简化和模拟, 能够反映人脑的基本特性。它的研
12、究始于 20 世纪 40 年代, 经过三个阶段的曲折道路, 其理论方法已经取得了长足的发展。近年来更是成为研究的热点, 在时间序列分析、模式识别和控制等领域都得到了广泛的应用。目前, 已有近 40 种神经网络模型, 前向神经网络为一种典型的人工神经网络。前向网络分为单层前向网络和多层前向网络。多层前向网络是单层前向网络的推广, 但它能解决单层前向网络所不能解决的非线性可分问题。其网络结构如图 1 所示。图 1 多层向前网络 下载原图每当检测到一个新的行为模式, 就会与建立的模型进行比较, 如果超过已定义的阈值, 则引发报警, 表示一个可能的异常行为。与误用检测正好相反, 这种方法能够发现许多未
13、知的和已经攻击的变种, 它的检全率相当高。但由于先前的经验不可能预知所有的未来模式, 所以它的误检率也比较高。X 和 Y 是网络的输入、输出向量。每个神经元用一个节点表示。网络由输入层、隐含层和输出层节点组成。其中隐含层可以为一层或多层 (图 1 中是单隐层) , 前层到后层节点通过权连接, 即拓扑结构为有向无环图。输入层神经元的个数为输入信号的维数, 隐含层个数以及隐节点的个数视具体情况而定, 输出层神经元的个数为输出信号的维数。网络中每个神经元的激励函数必须处处可导, 一般情况下, 多数设计者都使用可微的 Sigmoid 函数, 如:式中是第个神经元的输入信号, 是该神经元的输出信号。3
14、水电厂 LCU 异常行为识别模型无论是以异常流量行为识别还是以进程行为或者是机器学习、神经网络的异常行为识别都是在对传统的信息异常行为的识别, 基本没有涉及工控系统异常行为, 由于工控系统的特殊性, 传统的信息异常行为识别无法适用于工业安全领域, 针对这一情况本文就水电厂 LCU 的异常行为识别进行研究。水电厂 LCU 异常行为识别首先要从网络流采集数据, 进而识别网络流中属于水电厂 LCU 的协议类别。识别水电厂 LCU 的协议, 就要能够深度解析网络流, 与协议特征库匹配识别网络流中的电力监控协议类别, 如果识别的协议有非水电厂 LCU 的异常协议就要上报报警中心进行记录;经解析的控制命令
15、数据与状态特征库匹配判断水电厂 LCU 的运行状态, 如果识别的状态是异常状态, 对状态特征信息记录的同时, 状态信息与行为特征库进行匹配, 识别操作员或工程师的行为信息, 提取行为特征判断是否是异常行为, 需要与水电厂的工作流程库进行局部匹配进一步判断动作的可疑情况, 进而减少误报和漏报率。通过网络镜像的方式获取水电厂 LCU 通信数据, 随后识别获取的报文, 如:根据LCU 协议规则, 识别协议类型, LCU 在 TCP/IP 上时, 将使用一种专用报文头MBAP 报文头 (LCU 应用协议报文头) 来识别 LCU 应用数据, 然后根据 LCU 规约定义的不同字段的数据含义结合状态特征识别
16、当前的 LCU 状态, 综合识别的所有状态并与行为特征库进行, 最终通过多重复合判断机制识别并筛选, 如功能码 01 为取得一组逻辑线圈的当前状态 (ON/OFF) , 02 为取得一组开关输入的当前状态 (ON/OFF) , 05 为强置一个逻辑线圈的通断状态等, 通过与状态特征库比对来识别当前设备的状态, 综合当前所有的状态, 并结合行为特征库识别当前的设备动作行为;统计当前的行为特征, 经过多重复合判断机制最终判定该 LCU 行为是否为异常行为, 为了预防漏报误报行为, 在判断为正常行为的数据存储为行为特征, 判断为异常行为的数据由机器智能学习判断, 经过机器智能筛选判断为异常行为的报警
17、记录, 并提交人工审核, 人工确认正常行为的提取行为特征保存到行为特征库, 否则报警, 提醒工作人员进行处理, 这样就大大减轻了人为处理异常报警的工作量, 提高了工作效率, 节约了劳动成本。图 2 水电厂 LCU 异常行为识别模型 下载原图3.1 水电厂 LCU 协议识别通常情况下, 水电厂管理信息大区网络流很大, 而计算机本地的 MTU 最大为1500 字节, 一个办公文件往往会被分片发送, 直至全部接收才能进行解析分析, 而工业的网络流相对较小, 主控向设备或者设备向主控发送的数据报文都很小, 大部分小于 1K, 因此工业的网络流能够及时的完成相应解析。当 LCU 协议网络上通信时, 此协
18、议决定了每个控制器须要知道它们的设备地址, 识别按地址发来的消息, 决定要产生何种动作。如果需要回应, 控制器将生成反馈信息并用 LCU 协议发出。在其它网络上, 包含了 LCU 协议的消息转换为在此网络上使用的帧或包结构。控制器通信使用主从技术, 即仅一设备 (主设备) 能初始化传输 (查询) 。其它设备 (从设备) 根据主设备查询提供的数据做出相应反应。典型的主设备:主机和可编程仪表。主设备可单独和从设备通信, 也能以广播方式和所有从设备通信。如果单独通信, 从设备返回一消息作为回应, 如果是以广播方式查询的, 则不作任何回应。水电厂 LCU 协议建立了主设备查询的格式:设备 (或广播)
19、地址、功能代码、所有要发送的数据和错误检测域。从设备回应消息也由 LCU 协议协议构成, 包括确认功能代码、任何要返回的数据和错误检测域。如果在消息接收过程中发生错误, 或从设备不能执行其命令, 从设备将建立错误消息并把它作为回应发送出去。(1) 协议内容匹配方法图 3 主从查询回应周期表 下载原图(2) 传输模式识别方法LCU 控制器能设置为多种传输模式 (如 ASCII、RTU 等) 中的任何一种在标准的LCU 网络通信。用户选择想要的模式, 包括串口通信参数 (波特率、校验方式等) , 在配置每个控制器的时候, 在一个 LCU 网络上的所有设备都必须选择相同的传输模式和串口参数。(3)
20、消息帧识别方法传输设备以将 LCU 协议消息转为有起点和终点的帧, 这就允许接收的设备在消息起始处开始工作, 读地址分配信息, 判断哪一个设备被选中 (广播方式则传给所有设备) , 判知何时信息已完成。部分的消息也能侦测到并且错误能设置为返回结果。使用 RTU 模式, 消息发送至少要以 3.5 个字符时间的停顿间隔开始。在网络波特率下多样的字符时间, 这是最容易实现的 (如下图的 T1-T2-T3-T4 所示) 。传输的第一个域是设备地址。可以使用的传输字符是十六进制的 0.9, A.F。网络设备不断侦测网络总线, 包括停顿间隔时间内。当第一个域 (地址域) 接收到, 每个设备都进行解码以判断
21、是否发往自己的。在最后一个传输字符之后, 一个至少 3.5 个字符时间的停顿标定了消息的结束。一个新的消息可在此停顿后开始。整个消息帧必须作为一连续的流转输。如果在帧完成之前有超过 1.5 个字符时间的停顿时间, 接收设备将刷新不完整的消息并假定下一字节是一个新消息的地址域。同样地, 如果一个新消息在小于 3.5 个字符时间内接着前一消息开始, 接收的设备将认为它是前一消息的延续。这将导致一个错误, 因为在最后的CRC 域的值不可能是正确的。(4) 地址识别方法消息帧的地址域包含两个字符 (ASCII) 或 8Bit (RTU) 。可能的从设备地址是0.247 (十进制) 。单个设备的地址范围
22、是 1.247。主设备通过将要联络的从设备的地址放入消息中的地址域来选通从设备。当从设备发送回应消息时, 它把自己的地址放入回应的地址域中, 以便主设备知道是哪一个设备做出回应。地址 0 是用作广播地址, 以使所有从设备都能识别。当 LCU 协议用于更高水准的网络, 广播可能不允许或以其它方式代替。3.2 水电厂 LCU 状态识别水电厂 LCU 的主要特征表现在 LCU 稳定性、水轮机机转速、发电机转速、进出口水位、开关量状态。水电厂 LCU 的状态可以通过采集 LCU 本身的传感器信息, 把原来的 020m A 或05V 的模拟信号转换为数字信号, 通过模块化硬件、应用软件和计算机的结合,
23、进行测量。数据采集整合了信号、传感器、激励器、信号调理, 把采集的数据与状态特征库利用基于列名和数据类型进行定点计算的模式匹配技术, 统计匹配结果, 最终识别 LCU 的当前状态。表 1 单机测点参量一览表 下载原表 3.3 水电厂 LCU 行为识别水电厂的 LCU 的状态归根结底还是人的行为, 操作员的操作动作, 就会给系统下达操作的命令, LCU 的设备就执行相应的动作。根据设备反馈的状态信号判断操作员的操作行为。操作员的主要操作行为有启动、停止、调速、调相、温度调节、水位调节。水电厂 LCU 启动的主要特征表现在 LCU 的电压、电流、水轮机机转速、发电机转速、进出口水位、开关量状态,
24、如表 2 所示。表 2 水电厂 LCU 启动状态表 下载原表 水电厂 LCU 停止的主要特征表现在 LCU 的电压、电流、水轮机机转速、发电机转速、进出口水位、开关量状态, 如表 3 所示。表 3 水电厂 LCU 停止状态表 下载原表 4 结语随着我国基础产业“两化融合”进度的不断加快, 水电厂 LCU 系统与外部网络的数据交互会更加频繁, 其安全问题也会愈加突出。通过对水电厂 LCU 异常行为识别模型研究, 能够检测出 LCU 系统网络海量数据下的异常数据, 以及时发现网络中的安全隐患, 确保水电厂 LCU 系统的安全、稳定和优质运行。参考文献1Forrest S.et al.A sense
25、 of self for unixprocess es.In:JohnM cH ugh IEEE Sym posium on Security an d Privacy Proceedings.Oak land CA:IEEE Computer Society Press, 1996, 120-128. 2林果园, 郭山清, 黄浩, 曹天杰.基于动态行为和特征模式的异常检测模型J.计算机学报, 2006, 29 (9) :1553 1560. 3邬书跃, 余杰, 樊晓平.基于流量与行为特征的 P2P 流量识别模型J.计算机工程, 2012, 38 (16) . 4蒋建春, 马恒太, 任党恩.网
26、络安全入侵检测:研究综述J.软件学报, 2000, 11 (11) :14601466. 5苏璞睿, 冯登国.基于进程行为的异常检测模型J.电子学报, 2006, 10:18091811. 6田新广, 孙春来, 段洣毅, 钱小军, 邱志明.基于机器学习的用户行为异常检测模J.计算机工程与应用, 2006, 19:101 111. 7DL/T 667-1999.中华人民共和国电力行业标准远动设备及系统第 5 部分传输规约 103 篇继电器保护设备信息接口配套标准S. 8LCU 协议参考指南 Rev J, MODICON.1996, 6.doc#PI_MBUS_300Z. 9连一峰, 戴英侠, 王航.基于模式挖掘的用户行为异常检测J.计算机学报, 2001, 25 (3) :325330. 10田新广, 高立志, 李学春.一种基于隐马尔可夫模型的 IDS 异常检测新方法J.信号处理, 2003, 19 (5) :420 424.
