以機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析為特征的新一代人工智能技術(shù)，已成為電力企業(yè)數(shù)字化轉(zhuǎn)型的重要推手。本文基于國(guó)網(wǎng)湖南電力在網(wǎng)絡(luò)安全領(lǐng)域的研究成果，闡述人工智能技術(shù)如何應(yīng)用于電力物聯(lián)網(wǎng)入侵檢測(cè)場(chǎng)景的實(shí)踐，以期為相關(guān)研究建設(shè)工作提供參考。

　　一、人工智能技術(shù)推動(dòng)電網(wǎng)數(shù)字化建設(shè)

　　在“雙碳”目標(biāo)的驅(qū)動(dòng)下，國(guó)家電網(wǎng)有限公司以建設(shè)“具有中國(guó)特色國(guó)際領(lǐng)先的能源互聯(lián)網(wǎng)企業(yè)”為戰(zhàn)略目標(biāo)，提檔增速能源電力轉(zhuǎn)型，大力推進(jìn)“大云物移智鏈”技術(shù)應(yīng)用，為電網(wǎng)發(fā)展注入新動(dòng)能。為以人工智能為代表的現(xiàn)代信息技術(shù)在電網(wǎng)數(shù)字化建設(shè)中發(fā)揮了重要作用。

　　國(guó)網(wǎng)公司當(dāng)前已圍繞電網(wǎng)智能運(yùn)檢、運(yùn)行控制、企業(yè)管理和用電服務(wù)等領(lǐng)域開展人工智能自主創(chuàng)新。運(yùn)用自然語(yǔ)言處理、圖像識(shí)別、視頻行為分析、語(yǔ)音識(shí)別、文本分析、知識(shí)圖譜等人工智能技術(shù)，支撐無(wú)人機(jī)巡檢、智能視頻遠(yuǎn)程監(jiān)控、知識(shí)檢索智能問(wèn)答等電網(wǎng)業(yè)務(wù)應(yīng)用，大幅提高了工作效率和準(zhǔn)確性，降低了勞動(dòng)強(qiáng)度及人力需求。

　　國(guó)網(wǎng)湖南省電力有限公司高度重視人工智能在電網(wǎng)建設(shè)及企業(yè)經(jīng)營(yíng)中的應(yīng)用，目前已取得了一定的成果。在人工智能平臺(tái)方面，國(guó)網(wǎng)湖南電力部署了訓(xùn)練環(huán)境（PAI-Studio）和運(yùn)行環(huán)境（PAI-EAS），以及人臉識(shí)別、OCR 圖像識(shí)別、語(yǔ)音識(shí)別、自然語(yǔ)言處理等人工智能通用模型。應(yīng)用支撐方面，目前已初步涵蓋了智能巡檢、智能調(diào)度、電力負(fù)荷預(yù)測(cè)、網(wǎng)絡(luò)安全高級(jí)威脅分析等多個(gè)業(yè)務(wù)領(lǐng)域，基于深度學(xué)習(xí)模型支撐一臺(tái)區(qū)一指標(biāo)應(yīng)用進(jìn)行線損率預(yù)測(cè)，支撐網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)進(jìn)行高級(jí)威脅分析，基于人臉識(shí)別技術(shù)支撐平安輸電和現(xiàn)場(chǎng)作業(yè)安全智能管控等三個(gè)應(yīng)用進(jìn)行現(xiàn)場(chǎng)人員管控，基于 OCR 圖像識(shí)別技術(shù)支撐供服中心智能辦公應(yīng)用。

　　二、人工智能在電力物聯(lián)網(wǎng)入侵檢測(cè)的技術(shù)實(shí)踐

　　從人工智能在電力行業(yè)的網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用來(lái)看，重點(diǎn)關(guān)注設(shè)備身份認(rèn)證、惡意代碼分析、自動(dòng)化漏洞挖掘、惡意域名檢測(cè)、網(wǎng)絡(luò)入侵檢測(cè)、垃圾郵件檢測(cè)等六個(gè)方面。

　　本文重點(diǎn)關(guān)注網(wǎng)絡(luò)入侵檢測(cè)方面，當(dāng)前，國(guó)內(nèi)外入侵檢測(cè)主要采用基于規(guī)則的誤用檢測(cè)方法、基于行為的異常檢測(cè)方法以及混合檢測(cè)方法三類?；谝?guī)則的誤用檢測(cè)方法在大量攻擊數(shù)據(jù)中提取出特征規(guī)則庫(kù)，將滿足匹配規(guī)則的請(qǐng)求判定為攻擊行為，但特征的維護(hù)成本較高，只能檢測(cè)已知攻擊，且可以通過(guò)攻擊載荷進(jìn)行處理繞過(guò)規(guī)則匹配?；谛袨榈漠惓z測(cè)方法對(duì)新的攻擊類型敏感，能夠有效發(fā)現(xiàn)新的攻擊，并且能夠監(jiān)測(cè)零日漏洞，但是行為學(xué)習(xí)方式復(fù)雜，訓(xùn)練成本較高，容易產(chǎn)生較高的誤報(bào)率?；旌先肭謾z測(cè)是指將誤用檢測(cè)與異常檢測(cè)相結(jié)合，用于提高已知入侵檢測(cè)率并降低未知攻擊的誤報(bào)率。目前，國(guó)家電網(wǎng)有限公司在自主研發(fā)的全場(chǎng)景態(tài)勢(shì)感知平臺(tái)（S6000）中已經(jīng)集成了基于機(jī)器學(xué)習(xí)的入侵檢測(cè)算法。

　　同時(shí)，國(guó)網(wǎng)湖南電力通過(guò)研究電力物聯(lián)網(wǎng)終端與平臺(tái)側(cè)特定業(yè)務(wù)典型場(chǎng)景，探索利用機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)對(duì)終端的入侵檢測(cè)功能。

　　（一）電力物聯(lián)網(wǎng)面臨的安全風(fēng)險(xiǎn)

　　電力物聯(lián)網(wǎng)是應(yīng)用于電力領(lǐng)域的工業(yè)級(jí)物聯(lián)網(wǎng)，基于綜合狀態(tài)感知和數(shù)據(jù)融合利用，進(jìn)行預(yù)測(cè)、控制、優(yōu)化等智能輔助決策，有力支持能源互聯(lián)網(wǎng)的協(xié)同運(yùn)行。電力物聯(lián)網(wǎng)的典型架構(gòu)如圖所示。電力物聯(lián)網(wǎng)是傳統(tǒng)物聯(lián)網(wǎng)在垂直行業(yè)的應(yīng)用，依然遵循感知控制層、通信網(wǎng)絡(luò)層、平臺(tái)應(yīng)用層的物聯(lián)網(wǎng)典型架構(gòu)，其中感知控制層是電力物聯(lián)網(wǎng)最具特色、發(fā)展最快的部分。目前，電力物聯(lián)感知控制終端已覆蓋發(fā)電、輸電、變電、配電、用電全生產(chǎn)環(huán)節(jié)，電網(wǎng)省級(jí)物聯(lián)終端數(shù)量已逾 1 億臺(tái)。電力物聯(lián)網(wǎng)信息化、數(shù)字化、智能化程度越高，面對(duì)的網(wǎng)絡(luò)安全問(wèn)題就越復(fù)雜。電力物聯(lián)網(wǎng)越開放，面臨的網(wǎng)絡(luò)安全挑戰(zhàn)就越艱巨。

　　圖 物聯(lián)終端典型安全接入架構(gòu)

　　在當(dāng)前電力物聯(lián)網(wǎng)安全防護(hù)措施中，重點(diǎn)在于終端認(rèn)證、鏈路流量加密等，缺乏終端仿冒、入侵檢測(cè)等手段，而電力物聯(lián)網(wǎng)終端數(shù)量大、物理部署范圍廣，一旦黑客通過(guò)技術(shù)手段仿冒合法終端接入，可在內(nèi)部網(wǎng)絡(luò)進(jìn)行近乎無(wú)限制地訪問(wèn)其他業(yè)務(wù)，對(duì)電力生產(chǎn)網(wǎng)絡(luò)造成極大的安全威脅。

　　針對(duì)此問(wèn)題，國(guó)網(wǎng)湖南電力通過(guò)采集大量物聯(lián)網(wǎng)終端業(yè)務(wù)數(shù)據(jù)，并進(jìn)行大數(shù)據(jù)分析，構(gòu)建物聯(lián)終端、物聯(lián)業(yè)務(wù)指紋基線與流量基線特征，最終通過(guò)建立異常檢測(cè)模型，實(shí)現(xiàn)對(duì)正常業(yè)務(wù)流量與異常流量的有效辨別。

　?。ǘ╇娏ξ锫?lián)終端入侵檢測(cè)實(shí)踐

　　國(guó)網(wǎng)湖南電力已將機(jī)器學(xué)習(xí)模型集成至自研的物聯(lián)終端安全實(shí)時(shí)監(jiān)測(cè)裝置中，通過(guò)對(duì)一段時(shí)間的流量學(xué)習(xí)，產(chǎn)生流量基線特征數(shù)據(jù)，并可將此數(shù)據(jù)添加至自定義特征中，作為白名單業(yè)務(wù)流量模型，發(fā)現(xiàn)不符合基線的流量則產(chǎn)生異常。該裝置已成功應(yīng)用于電力輸電、配電、用電、營(yíng)銷等多個(gè)專業(yè)，實(shí)現(xiàn) 4200 余個(gè)物聯(lián)終端的安全管控，實(shí)現(xiàn)電力物聯(lián)平臺(tái)業(yè)務(wù)的實(shí)時(shí)監(jiān)測(cè)與防護(hù)，累計(jì)監(jiān)測(cè)到電力物聯(lián)網(wǎng)仿冒接入、DDoS 攻擊等異常、攻擊行為 1.2 萬(wàn)余起，為電力物聯(lián)網(wǎng)的安全穩(wěn)定運(yùn)行提供了強(qiáng)有力的技術(shù)支撐。具體應(yīng)用場(chǎng)景如下：

　　1. 電力三跨隱患監(jiān)測(cè)物聯(lián)系統(tǒng)安全準(zhǔn)入場(chǎng)景

　　電力系統(tǒng)八成以上的輸電線路都屬于架空型，易受到大氣環(huán)境的侵蝕，遭受外破突發(fā)性高，維護(hù)的難度大。重點(diǎn)區(qū)域尤其是三跨區(qū)域（高速鐵路、高速公路及重要輸電通道的交叉跨越點(diǎn)）地區(qū)需要采取嚴(yán)密的監(jiān)視。三跨圖像作為系統(tǒng)的重要組成部分，在重要區(qū)域部署攝像頭采集圖像通過(guò) 4G 網(wǎng)絡(luò)實(shí)時(shí)傳送到監(jiān)控中心。由于三跨圖像終端數(shù)量眾多，存在很大的入侵風(fēng)險(xiǎn)，因此通過(guò)物聯(lián)安全實(shí)時(shí)監(jiān)控裝置終端可實(shí)現(xiàn)有效的安全防護(hù)。

　　2. 電力巡線無(wú)人機(jī)安全接入場(chǎng)景

　　無(wú)人機(jī)主要用于線路故障缺陷的查找和通道查勘巡視。通過(guò)物聯(lián)終端安全實(shí)時(shí)監(jiān)測(cè)裝置建立電力無(wú)人機(jī)流量指紋，實(shí)現(xiàn)視頻采集數(shù)據(jù)的實(shí)時(shí)接入。

　　3. 綜合能源終端接入場(chǎng)景

　　綜合能源服務(wù)有大量的終端需要通過(guò)互聯(lián)網(wǎng)接入電力企業(yè)，包括水、電、氣、熱等多類型的物聯(lián)感知終端，通過(guò)物聯(lián)安全實(shí)時(shí)監(jiān)控裝置，建立了綜合能源終端的指紋基線，實(shí)現(xiàn)了能源綜合終端的可靠有效接入。

　?。ㄈ╇娏ξ锫?lián)網(wǎng)平臺(tái)側(cè)業(yè)務(wù)入侵檢測(cè)實(shí)踐

　　電力物聯(lián)平臺(tái)側(cè)業(yè)務(wù)包括綜合能源平臺(tái)、智慧環(huán)保平臺(tái)、基建全過(guò)程管控平臺(tái)等，這些業(yè)務(wù)與典型互聯(lián)網(wǎng)業(yè)務(wù)的用戶群體、行為特征存在明顯的區(qū)別，呈現(xiàn)單個(gè)用戶訪問(wèn)會(huì)話量多，用戶與其業(yè)務(wù)行為較為固定的特點(diǎn)。通過(guò)對(duì)物聯(lián)平臺(tái)側(cè)業(yè)務(wù)的攻擊行為進(jìn)行研判分析，發(fā)現(xiàn)這些攻擊行為與正常用戶一段時(shí)間內(nèi)的訪問(wèn)行為在方法、訪問(wèn)內(nèi)容、訪問(wèn)頻率等方面具有一定的差異特征。因此，采用基于機(jī)器學(xué)習(xí)的會(huì)話異常檢測(cè)方法，能有效區(qū)分正常業(yè)務(wù)訪問(wèn)與異常攻擊，并能成功檢測(cè)出大量傳統(tǒng)安全設(shè)備未檢測(cè)出的業(yè)務(wù)邏輯類、信息泄露類等攻擊行為。該原型已部署于國(guó)網(wǎng)湖南電力互聯(lián)網(wǎng)邊界，通過(guò)采集互聯(lián)網(wǎng)出口實(shí)時(shí)流量，檢測(cè)分析異常告警并輸出至企業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)中。態(tài)勢(shì)感知平臺(tái)對(duì)告警進(jìn)行匯集分析，并聯(lián)動(dòng)防火墻對(duì)異常訪問(wèn)行為及時(shí)進(jìn)行阻斷。

　　三、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用挑戰(zhàn)

　?。ㄒ唬┤斯ぶ悄茉诰W(wǎng)絡(luò)安全領(lǐng)域的局限性

　　雖然人工智能攪動(dòng)了網(wǎng)絡(luò)安全領(lǐng)域的一池春水，但是應(yīng)該理性看待人工智能在應(yīng)對(duì)網(wǎng)絡(luò)安全方面的優(yōu)缺點(diǎn)，不能指望全靠人工智能來(lái)包打天下。

　　人工智能在應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題時(shí)，也有較強(qiáng)的局限性。這一方面受限于人工智能算法本身的能力，因?yàn)閭鹘y(tǒng)的機(jī)器學(xué)習(xí)技術(shù)依賴特征提取，而算法的效果和性能又依賴識(shí)別和提取特征的準(zhǔn)確性。深度學(xué)習(xí)具有在高維數(shù)據(jù)中自動(dòng)提取特征的能力，同時(shí)面臨持續(xù)學(xué)習(xí)、數(shù)據(jù)饑餓、可解釋性等問(wèn)題。另一方面，機(jī)器學(xué)習(xí)、特別是深度學(xué)習(xí)過(guò)分依賴數(shù)據(jù)，但在惡意代碼檢測(cè)、軟件漏洞挖掘等領(lǐng)域，目前仍然存在數(shù)據(jù)收集困難的問(wèn)題，缺少較好的數(shù)據(jù)集用于訓(xùn)練，影響對(duì)相關(guān)領(lǐng)域的研究。

　　人工智能嚴(yán)重依賴于耗費(fèi)計(jì)算資源，復(fù)雜的深度學(xué)習(xí)網(wǎng)絡(luò)需要同時(shí)計(jì)算成百上千萬(wàn)次的計(jì)算，需要強(qiáng)大的人工智能芯片計(jì)算力的支撐。另外，人工智能易于忽視或者拋棄人類專家在網(wǎng)絡(luò)安全領(lǐng)域的知識(shí)和經(jīng)驗(yàn)積累，對(duì)網(wǎng)絡(luò)安全的復(fù)雜應(yīng)用場(chǎng)景考慮不足，對(duì)于已知威脅的檢測(cè)效率遠(yuǎn)低于傳統(tǒng)的精確特征識(shí)別方法。

　　雖然使用神經(jīng)網(wǎng)絡(luò)和深度學(xué)習(xí)等算法，能夠較好地識(shí)別出未知攻擊威脅風(fēng)險(xiǎn)，達(dá)到“知其然”的目的，但是這些算法通常無(wú)法揭示產(chǎn)生這種安全風(fēng)險(xiǎn)的基本機(jī)理，也就是“不知其所以然”，從而為從源頭防御這種攻擊風(fēng)險(xiǎn)帶來(lái)極大障礙。

　?。ǘ┚W(wǎng)絡(luò)安全領(lǐng)域應(yīng)用人工智能的風(fēng)險(xiǎn)

　　人工智能技術(shù)的蓬勃發(fā)展，為網(wǎng)絡(luò)安全攻防帶來(lái)的不僅有機(jī)遇，也有挑戰(zhàn)。人工智能在應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題時(shí)，有時(shí)甚至?xí)宫F(xiàn)出脆弱的一面。一個(gè)真實(shí)環(huán)境中的人工智能系統(tǒng)，會(huì)面臨數(shù)據(jù)安全、模型、算法安全、實(shí)現(xiàn)安全等多方面的安全威脅。

　　在數(shù)據(jù)安全方面，在數(shù)據(jù)收集與標(biāo)注時(shí)出現(xiàn)錯(cuò)誤或注入惡意數(shù)據(jù)，將導(dǎo)致數(shù)據(jù)污染攻擊；在模型、算法安全方面，針對(duì)人工智能算法存在黑盒和白盒對(duì)抗樣本攻擊，可導(dǎo)致識(shí)別系統(tǒng)出現(xiàn)混亂；在實(shí)現(xiàn)安全方面，除了人工智能系統(tǒng)本身的代碼實(shí)現(xiàn)，其所基于的人工智能框架以及所依賴的第三方軟件庫(kù)中軟件實(shí)現(xiàn)中的漏洞，也都可能導(dǎo)致嚴(yán)重安全問(wèn)題。人工智能對(duì)現(xiàn)有網(wǎng)絡(luò)安全格局的影響，離不開算法、數(shù)據(jù)和計(jì)算能力 3 個(gè)方面，其容易遭受攻擊的弱點(diǎn)也來(lái)自于此。

　　對(duì)于防范人工智能的脆弱性所帶來(lái)的安全風(fēng)險(xiǎn)，首先，要從體系架構(gòu)、系統(tǒng)算法容錯(cuò)容侵設(shè)計(jì)、漏洞檢測(cè)和修復(fù)、安全配置等方面來(lái)增強(qiáng)人工智能系統(tǒng)自身的安全性；其次，要用其所長(zhǎng)，盡量減小其暴露給外界的潛在攻擊面；最后，要構(gòu)建網(wǎng)絡(luò)空間安全綜合防御體系，從安全技術(shù)和安全管理等層面來(lái)協(xié)同防范安全攻擊，間接減緩攻擊者直接針對(duì)人工智能系統(tǒng)發(fā)起攻擊以及攻擊成功的可能性；在數(shù)據(jù)獲取過(guò)程中，要加強(qiáng)對(duì)數(shù)據(jù)來(lái)源的控制與過(guò)濾，在一定程度上保證數(shù)據(jù)安全可靠；在數(shù)據(jù)傳輸過(guò)程中，要使用更加安全的傳輸協(xié)議與加密算法；在人工智能系統(tǒng)的實(shí)現(xiàn)中，要保證代碼質(zhì)量并進(jìn)行完善的測(cè)試，此外，還要及時(shí)更新或修補(bǔ)框架或依賴庫(kù)中存在的漏洞等。

　?。ㄈ┤斯ぶ悄茉陔娏W(wǎng)絡(luò)安全的應(yīng)用展望

　　人工智能技術(shù)能有效利用網(wǎng)絡(luò)空間中存在大量的流量、日志等數(shù)據(jù)，在挖掘海量數(shù)據(jù)的特征和關(guān)聯(lián)關(guān)系方面有得天獨(dú)厚的優(yōu)勢(shì)，因此，可以預(yù)見，人工智能技術(shù)將在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮越來(lái)越重要的作用。后續(xù)國(guó)網(wǎng)湖南電力也將就如何將人工智能技術(shù)更好地應(yīng)用于入侵檢測(cè)、惡意代碼分析、自動(dòng)化攻防等領(lǐng)域持續(xù)開展研究，提升我國(guó)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)水平。