基于大数据的高级计量体系入侵检测陈丹丹

基于大数据的高级计量体系入侵检测陈丹丹

陈丹丹

（佛山供电局广东省佛山528311）

摘要：高级计量体系是在电力系统用户侧应用计算机与通信技术，结合智能电表、双向通信系统和计量数据管理系统建立的电网与用电客户双向互动的计量通信体系。因一般病毒木马侵入计算机系统后会造成CPU占用率及网络通信流量增加的问题，提出了基于大数据的智能电表嵌入式入侵检测方法。

关键词：高级计量体系；信息安全；大数据

高级计量体系（AMI）是高用电安全可靠性的基础技术，它可以实现电网与用户的网络交互，并对资源能源进行合理地优化配置。智能电网的发展离不开AMI，在智能电网中，通过开放式的信息交互平台，运用AMI体系采集电网中的各类电力数据量后进行分类处理，以实现用电系统的智能化。AMI系统支持电网互联，能对各类电气量或非电量进行分时段或实时计量，如用电电压、用电电流、用电量以及对应的电价等，以实现电网的调配运行。同时也能使用户更直观具体地了解到自己的用电状况，提升设备的运行效率。

入侵检测基本策略是利用计算机和网络中的安全日志、用户操作、审计数据及网络记录等信息，剖析用户意图和访问合理性，从而判定当前计算机或网络是否存在有违反网络安全协议的入侵行为；入侵检测系统根据预设的规则判定、寻找系统或网络的违反信息安全的攻击行为。基于审计记录数据的不同来源，可分为集中式结构、嵌入式结构、专用式结构和混合式这四类。

1、集中式结构

集中式结构主要构成为在供电公司的用电数据管理中心的前端安置入侵检测设备，它可经高级计量体系访问和分析流经体系的通信、维护和升级系统。此类传感器可以分析在访问日志中存在电网系统性攻击、内部攻击及通过智能电表向管理中心发送攻击行为的痕迹。集中式架构方案与目前已有的电力调度系统基本类似，是一种将数据分为内部网络和外部网络的设计。然后在两部分的结合点设置监测装置，由此进行关键节点监控，从而达到对数据中心发起渗透入侵和攻击检测的目的。

2、嵌入式结构

嵌入式结构采用在特定网络和节点中追加特定软件以实现检测功能。内置于智能电表和数据集中器的入侵检测装置，能够准确高效检测所有电表和数据集中器的通信信息及其自身具体信息。此种架构能将检测区域扩展到台区的所有智能电表和数据集中处理单元，其覆盖半径广，但其缺陷为不能覆盖到用电管理服务器，此外计算内存较小。其突出优点在于无需额外敷设专门设备，而只需在已有的智能电表中嵌入特定程序，具有突出的成本优势。除此之外，由于可能不是所有的智能电表和数据处理单元均可安置检测功能，可选择性满足特定智能电表和数据处理器的要求。

3、专用式结构

专用式结构采用部署少量的专用入侵检测传感器来检测专变和公变台区通讯。专用传感器可包括较强的攻击行为，不但可应用于监测安全日志，另可监测网络中路径的错误信息和数量和模式及重复发送的控制程式。此架构的核心优点在于特定传感器效用明显高于嵌入式传感器，可满足提升可靠性的数据处理和存储作用。另外需要指出执行同样作业的专用传感器的数量也远不如智能电表数量。

4、混合式结构

混合型入侵检测系统的统计数据主要来自主机及互联网，这种结构可充分利用主机及互联网的数据互补特性，既可以观测互联网操作、检测系统扫描禁区，也可准确监视系统中各网络的活动状况。该种结构集集中式、嵌入式和专用式各优势于一体，但将导致整体部署费用的增加。

伴随计算机与通信技术的飞速发展，近些年来，科学研究活动和社会生产活动中产生的数据量出现了爆炸式增长状况。在大数据背景下，我国科研应用各个专业呈现了从试验型的科学挖掘、理论性的数学建模以及计算机方面的科学探索向大数据的信息研究生新的方式。尤其是近年来，由于我国坚持智能电力网络的扩张和应用，极易安装应用新型智能感应工具。特别是对于高级测试系统的广泛推广，电力公司可得到较传统信息汇总方式更多的新型海量数据，这为研究大数据新的应用方式、利用大数据的超值效用奠定了基础。

目前已被证实多种新型的具有挑战性的网络攻击途径，不但可以经传统个人电脑和信息通道，而且还可经兴起的交集网络、新媒体、云端等各种新型网络智能终端途径，避开传统网络防火墙模式、杀毒工具以及预警设备等保护设备，攻入计算机中心。正因为新的攻击模式不断演化，形式多样化，采用传统安全防卫策略很难进行有效监测及防护。

电力网络防护系统一般采用访问访问/登出、数据查询、站点访问、网络资源使用频次等指标监测异常访问行为。由于计算机技术应用的发展及大容量存储、网络带宽和计算机性能的提升，审计数据随之在时域和频域上成为海量大数据，从而为大数据的信息安全打下了基础。采用Hadoop大数据处理方法，不仅能够充分利用审计数据，提升安全系统对整体态势的实时检测精度；另可利用历史安全审计数据，从异常网络活动中锁定非法行为，可明显提高电力网络系统防攻击能力。

以往大部分研究所涉及入侵检测防护系统仅部署在高级计量体系的较高层次服务器以及数据采集器，只可产生有限的安全审计信息，这种模式只可监测对于高级计量体系较高层的侵入攻击，对于智能电表的入侵活动则无能为力。但在实际应用中，高级计量体系系统中常涵盖数量巨大的智能电表，如果采用新型的攻防策略，让它们都能探测并上传某些具备满足判定条件的安全数据，即采用以大数据的形式对高级计量体系底层智能电表的入侵检测。

受制于相关资源，当前智能电表往往只可实现某些特定功能，采用数据加密的方式来实现数据安全防护功能。为达到提升高级计量体系信息安全防护的能力，美国电力科学研究院提出了一种适用于高级计量体系体系结构的入侵检测系统。该系统由安装在电力公司主服务器接口和各子分区数据集中器的安全防卫模块组成。

利用大量智能电表上传的安全审计海量数据，管理中心可以采用大数据的方式，发现并识别其中的异常电表。利用大数据手段的智能电表安全防卫检测方法实现的逻辑如下：

1、因不同厂家、不同型号智能电表在软硬件配置上可能存在一定差异，为消除此类误差影响安全防卫判断的精度度，设定的算法应从数据库中检索出基准值作为对比；

2、在获得智能电表CPU利用率和通信流量数据后，然后计算其均值和方差等统计指标，再根据统计特性选择特定阈值，从而识别出超越阈值的表计；

3、锁定CPU负荷率或通信流量高于设定门槛值智能电表的智能电表地址，根据关联的计量点编号，经由计量人员进行实地检查；

4、若判定某些电表已被攻破，可将之取回进行分析其恶意代码，从而可有针对性提升系统的防卫策略。

论文总结

本章针对高级计量体系中具备多任务并行处理能力新型智能电表的信息安全防护难题，提出基于大数据的智能电表入侵检测方法。此方法利用已有的电力计量设施，通过嵌入式系统检测电表CPU运行率和通信数据，并对监测结果进行检测分析。利用K均值聚类算法，对同一类型多块表计日CPU负荷率进行仿真验证，结果表明，此方法能够成功识出具有异常进程的智能电表，而无需再额外安装和更新病毒检测软件，且不局限于入侵方式与途径，可在智能电表有限计算能力和通信宽带约束下满足信息防护需求。

参考文献

[1]栾文鹏，王冠，徐大青.支持多种服务和业务融合的高级量测体系架构[J].中国电机工程学报，2014，52（13）：106-113

[2]赵鸿图，周京阳，于尔铿.支撑高效需求响应的高级量测体系[J].电网技术，2010，50（15）：78-92