以機器學習和大數(shù)據(jù)分析為特征的新一代人工智能技術(shù)，已成為電力企業(yè)數(shù)字化轉(zhuǎn)型的重要推手。本文基于國網(wǎng)湖南電力在網(wǎng)絡(luò)安全領(lǐng)域的研究成果，闡述人工智能技術(shù)如何應用于電力物聯(lián)網(wǎng)入侵檢測場景的實踐，以期為相關(guān)研究建設(shè)工作提供參考。

　　一、人工智能技術(shù)推動電網(wǎng)數(shù)字化建設(shè)

　　在“雙碳”目標的驅(qū)動下，國家電網(wǎng)有限公司以建設(shè)“具有中國特色國際領(lǐng)先的能源互聯(lián)網(wǎng)企業(yè)”為戰(zhàn)略目標，提檔增速能源電力轉(zhuǎn)型，大力推進“大云物移智鏈”技術(shù)應用，為電網(wǎng)發(fā)展注入新動能。為以人工智能為代表的現(xiàn)代信息技術(shù)在電網(wǎng)數(shù)字化建設(shè)中發(fā)揮了重要作用。

　　國網(wǎng)公司當前已圍繞電網(wǎng)智能運檢、運行控制、企業(yè)管理和用電服務等領(lǐng)域開展人工智能自主創(chuàng)新。運用自然語言處理、圖像識別、視頻行為分析、語音識別、文本分析、知識圖譜等人工智能技術(shù)，支撐無人機巡檢、智能視頻遠程監(jiān)控、知識檢索智能問答等電網(wǎng)業(yè)務應用，大幅提高了工作效率和準確性，降低了勞動強度及人力需求。

　　國網(wǎng)湖南省電力有限公司高度重視人工智能在電網(wǎng)建設(shè)及企業(yè)經(jīng)營中的應用，目前已取得了一定的成果。在人工智能平臺方面，國網(wǎng)湖南電力部署了訓練環(huán)境（PAI-Studio）和運行環(huán)境（PAI-EAS），以及人臉識別、OCR 圖像識別、語音識別、自然語言處理等人工智能通用模型。應用支撐方面，目前已初步涵蓋了智能巡檢、智能調(diào)度、電力負荷預測、網(wǎng)絡(luò)安全高級威脅分析等多個業(yè)務領(lǐng)域，基于深度學習模型支撐一臺區(qū)一指標應用進行線損率預測，支撐網(wǎng)絡(luò)安全態(tài)勢感知平臺進行高級威脅分析，基于人臉識別技術(shù)支撐平安輸電和現(xiàn)場作業(yè)安全智能管控等三個應用進行現(xiàn)場人員管控，基于 OCR 圖像識別技術(shù)支撐供服中心智能辦公應用。

　　二、人工智能在電力物聯(lián)網(wǎng)入侵檢測的技術(shù)實踐

　　從人工智能在電力行業(yè)的網(wǎng)絡(luò)安全領(lǐng)域的應用來看，重點關(guān)注設(shè)備身份認證、惡意代碼分析、自動化漏洞挖掘、惡意域名檢測、網(wǎng)絡(luò)入侵檢測、垃圾郵件檢測等六個方面。

　　本文重點關(guān)注網(wǎng)絡(luò)入侵檢測方面，當前，國內(nèi)外入侵檢測主要采用基于規(guī)則的誤用檢測方法、基于行為的異常檢測方法以及混合檢測方法三類?；谝?guī)則的誤用檢測方法在大量攻擊數(shù)據(jù)中提取出特征規(guī)則庫，將滿足匹配規(guī)則的請求判定為攻擊行為，但特征的維護成本較高，只能檢測已知攻擊，且可以通過攻擊載荷進行處理繞過規(guī)則匹配?；谛袨榈漠惓z測方法對新的攻擊類型敏感，能夠有效發(fā)現(xiàn)新的攻擊，并且能夠監(jiān)測零日漏洞，但是行為學習方式復雜，訓練成本較高，容易產(chǎn)生較高的誤報率?；旌先肭謾z測是指將誤用檢測與異常檢測相結(jié)合，用于提高已知入侵檢測率并降低未知攻擊的誤報率。目前，國家電網(wǎng)有限公司在自主研發(fā)的全場景態(tài)勢感知平臺（S6000）中已經(jīng)集成了基于機器學習的入侵檢測算法。

　　同時，國網(wǎng)湖南電力通過研究電力物聯(lián)網(wǎng)終端與平臺側(cè)特定業(yè)務典型場景，探索利用機器學習算法實現(xiàn)對終端的入侵檢測功能。

　?。ㄒ唬╇娏ξ锫?lián)網(wǎng)面臨的安全風險

　　電力物聯(lián)網(wǎng)是應用于電力領(lǐng)域的工業(yè)級物聯(lián)網(wǎng)，基于綜合狀態(tài)感知和數(shù)據(jù)融合利用，進行預測、控制、優(yōu)化等智能輔助決策，有力支持能源互聯(lián)網(wǎng)的協(xié)同運行。電力物聯(lián)網(wǎng)的典型架構(gòu)如圖所示。電力物聯(lián)網(wǎng)是傳統(tǒng)物聯(lián)網(wǎng)在垂直行業(yè)的應用，依然遵循感知控制層、通信網(wǎng)絡(luò)層、平臺應用層的物聯(lián)網(wǎng)典型架構(gòu)，其中感知控制層是電力物聯(lián)網(wǎng)最具特色、發(fā)展最快的部分。目前，電力物聯(lián)感知控制終端已覆蓋發(fā)電、輸電、變電、配電、用電全生產(chǎn)環(huán)節(jié)，電網(wǎng)省級物聯(lián)終端數(shù)量已逾 1 億臺。電力物聯(lián)網(wǎng)信息化、數(shù)字化、智能化程度越高，面對的網(wǎng)絡(luò)安全問題就越復雜。電力物聯(lián)網(wǎng)越開放，面臨的網(wǎng)絡(luò)安全挑戰(zhàn)就越艱巨。

　　圖 物聯(lián)終端典型安全接入架構(gòu)

　　在當前電力物聯(lián)網(wǎng)安全防護措施中，重點在于終端認證、鏈路流量加密等，缺乏終端仿冒、入侵檢測等手段，而電力物聯(lián)網(wǎng)終端數(shù)量大、物理部署范圍廣，一旦黑客通過技術(shù)手段仿冒合法終端接入，可在內(nèi)部網(wǎng)絡(luò)進行近乎無限制地訪問其他業(yè)務，對電力生產(chǎn)網(wǎng)絡(luò)造成極大的安全威脅。

　　針對此問題，國網(wǎng)湖南電力通過采集大量物聯(lián)網(wǎng)終端業(yè)務數(shù)據(jù)，并進行大數(shù)據(jù)分析，構(gòu)建物聯(lián)終端、物聯(lián)業(yè)務指紋基線與流量基線特征，最終通過建立異常檢測模型，實現(xiàn)對正常業(yè)務流量與異常流量的有效辨別。

　?。ǘ╇娏ξ锫?lián)終端入侵檢測實踐

　　國網(wǎng)湖南電力已將機器學習模型集成至自研的物聯(lián)終端安全實時監(jiān)測裝置中，通過對一段時間的流量學習，產(chǎn)生流量基線特征數(shù)據(jù)，并可將此數(shù)據(jù)添加至自定義特征中，作為白名單業(yè)務流量模型，發(fā)現(xiàn)不符合基線的流量則產(chǎn)生異常。該裝置已成功應用于電力輸電、配電、用電、營銷等多個專業(yè)，實現(xiàn) 4200 余個物聯(lián)終端的安全管控，實現(xiàn)電力物聯(lián)平臺業(yè)務的實時監(jiān)測與防護，累計監(jiān)測到電力物聯(lián)網(wǎng)仿冒接入、DDoS 攻擊等異常、攻擊行為 1.2 萬余起，為電力物聯(lián)網(wǎng)的安全穩(wěn)定運行提供了強有力的技術(shù)支撐。具體應用場景如下：

　　1. 電力三跨隱患監(jiān)測物聯(lián)系統(tǒng)安全準入場景

　　電力系統(tǒng)八成以上的輸電線路都屬于架空型，易受到大氣環(huán)境的侵蝕，遭受外破突發(fā)性高，維護的難度大。重點區(qū)域尤其是三跨區(qū)域（高速鐵路、高速公路及重要輸電通道的交叉跨越點）地區(qū)需要采取嚴密的監(jiān)視。三跨圖像作為系統(tǒng)的重要組成部分，在重要區(qū)域部署攝像頭采集圖像通過 4G 網(wǎng)絡(luò)實時傳送到監(jiān)控中心。由于三跨圖像終端數(shù)量眾多，存在很大的入侵風險，因此通過物聯(lián)安全實時監(jiān)控裝置終端可實現(xiàn)有效的安全防護。

　　2. 電力巡線無人機安全接入場景

　　無人機主要用于線路故障缺陷的查找和通道查勘巡視。通過物聯(lián)終端安全實時監(jiān)測裝置建立電力無人機流量指紋，實現(xiàn)視頻采集數(shù)據(jù)的實時接入。

　　3. 綜合能源終端接入場景

　　綜合能源服務有大量的終端需要通過互聯(lián)網(wǎng)接入電力企業(yè)，包括水、電、氣、熱等多類型的物聯(lián)感知終端，通過物聯(lián)安全實時監(jiān)控裝置，建立了綜合能源終端的指紋基線，實現(xiàn)了能源綜合終端的可靠有效接入。

　?。ㄈ╇娏ξ锫?lián)網(wǎng)平臺側(cè)業(yè)務入侵檢測實踐

　　電力物聯(lián)平臺側(cè)業(yè)務包括綜合能源平臺、智慧環(huán)保平臺、基建全過程管控平臺等，這些業(yè)務與典型互聯(lián)網(wǎng)業(yè)務的用戶群體、行為特征存在明顯的區(qū)別，呈現(xiàn)單個用戶訪問會話量多，用戶與其業(yè)務行為較為固定的特點。通過對物聯(lián)平臺側(cè)業(yè)務的攻擊行為進行研判分析，發(fā)現(xiàn)這些攻擊行為與正常用戶一段時間內(nèi)的訪問行為在方法、訪問內(nèi)容、訪問頻率等方面具有一定的差異特征。因此，采用基于機器學習的會話異常檢測方法，能有效區(qū)分正常業(yè)務訪問與異常攻擊，并能成功檢測出大量傳統(tǒng)安全設(shè)備未檢測出的業(yè)務邏輯類、信息泄露類等攻擊行為。該原型已部署于國網(wǎng)湖南電力互聯(lián)網(wǎng)邊界，通過采集互聯(lián)網(wǎng)出口實時流量，檢測分析異常告警并輸出至企業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺中。態(tài)勢感知平臺對告警進行匯集分析，并聯(lián)動防火墻對異常訪問行為及時進行阻斷。

　　三、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應用挑戰(zhàn)

　　（一）人工智能在網(wǎng)絡(luò)安全領(lǐng)域的局限性

　　雖然人工智能攪動了網(wǎng)絡(luò)安全領(lǐng)域的一池春水，但是應該理性看待人工智能在應對網(wǎng)絡(luò)安全方面的優(yōu)缺點，不能指望全靠人工智能來包打天下。

　　人工智能在應對網(wǎng)絡(luò)安全問題時，也有較強的局限性。這一方面受限于人工智能算法本身的能力，因為傳統(tǒng)的機器學習技術(shù)依賴特征提取，而算法的效果和性能又依賴識別和提取特征的準確性。深度學習具有在高維數(shù)據(jù)中自動提取特征的能力，同時面臨持續(xù)學習、數(shù)據(jù)饑餓、可解釋性等問題。另一方面，機器學習、特別是深度學習過分依賴數(shù)據(jù)，但在惡意代碼檢測、軟件漏洞挖掘等領(lǐng)域，目前仍然存在數(shù)據(jù)收集困難的問題，缺少較好的數(shù)據(jù)集用于訓練，影響對相關(guān)領(lǐng)域的研究。

　　人工智能嚴重依賴于耗費計算資源，復雜的深度學習網(wǎng)絡(luò)需要同時計算成百上千萬次的計算，需要強大的人工智能芯片計算力的支撐。另外，人工智能易于忽視或者拋棄人類專家在網(wǎng)絡(luò)安全領(lǐng)域的知識和經(jīng)驗積累，對網(wǎng)絡(luò)安全的復雜應用場景考慮不足，對于已知威脅的檢測效率遠低于傳統(tǒng)的精確特征識別方法。

　　雖然使用神經(jīng)網(wǎng)絡(luò)和深度學習等算法，能夠較好地識別出未知攻擊威脅風險，達到“知其然”的目的，但是這些算法通常無法揭示產(chǎn)生這種安全風險的基本機理，也就是“不知其所以然”，從而為從源頭防御這種攻擊風險帶來極大障礙。

　?。ǘ┚W(wǎng)絡(luò)安全領(lǐng)域應用人工智能的風險

　　人工智能技術(shù)的蓬勃發(fā)展，為網(wǎng)絡(luò)安全攻防帶來的不僅有機遇，也有挑戰(zhàn)。人工智能在應對網(wǎng)絡(luò)安全問題時，有時甚至會展現(xiàn)出脆弱的一面。一個真實環(huán)境中的人工智能系統(tǒng)，會面臨數(shù)據(jù)安全、模型、算法安全、實現(xiàn)安全等多方面的安全威脅。

　　在數(shù)據(jù)安全方面，在數(shù)據(jù)收集與標注時出現(xiàn)錯誤或注入惡意數(shù)據(jù)，將導致數(shù)據(jù)污染攻擊；在模型、算法安全方面，針對人工智能算法存在黑盒和白盒對抗樣本攻擊，可導致識別系統(tǒng)出現(xiàn)混亂；在實現(xiàn)安全方面，除了人工智能系統(tǒng)本身的代碼實現(xiàn)，其所基于的人工智能框架以及所依賴的第三方軟件庫中軟件實現(xiàn)中的漏洞，也都可能導致嚴重安全問題。人工智能對現(xiàn)有網(wǎng)絡(luò)安全格局的影響，離不開算法、數(shù)據(jù)和計算能力 3 個方面，其容易遭受攻擊的弱點也來自于此。

　　對于防范人工智能的脆弱性所帶來的安全風險，首先，要從體系架構(gòu)、系統(tǒng)算法容錯容侵設(shè)計、漏洞檢測和修復、安全配置等方面來增強人工智能系統(tǒng)自身的安全性；其次，要用其所長，盡量減小其暴露給外界的潛在攻擊面；最后，要構(gòu)建網(wǎng)絡(luò)空間安全綜合防御體系，從安全技術(shù)和安全管理等層面來協(xié)同防范安全攻擊，間接減緩攻擊者直接針對人工智能系統(tǒng)發(fā)起攻擊以及攻擊成功的可能性；在數(shù)據(jù)獲取過程中，要加強對數(shù)據(jù)來源的控制與過濾，在一定程度上保證數(shù)據(jù)安全可靠；在數(shù)據(jù)傳輸過程中，要使用更加安全的傳輸協(xié)議與加密算法；在人工智能系統(tǒng)的實現(xiàn)中，要保證代碼質(zhì)量并進行完善的測試，此外，還要及時更新或修補框架或依賴庫中存在的漏洞等。

　?。ㄈ┤斯ぶ悄茉陔娏W(wǎng)絡(luò)安全的應用展望

　　人工智能技術(shù)能有效利用網(wǎng)絡(luò)空間中存在大量的流量、日志等數(shù)據(jù)，在挖掘海量數(shù)據(jù)的特征和關(guān)聯(lián)關(guān)系方面有得天獨厚的優(yōu)勢，因此，可以預見，人工智能技術(shù)將在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮越來越重要的作用。后續(xù)國網(wǎng)湖南電力也將就如何將人工智能技術(shù)更好地應用于入侵檢測、惡意代碼分析、自動化攻防等領(lǐng)域持續(xù)開展研究，提升我國關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護水平。