劉亞麗, 孟令愚, 丁云峰

1(中國科學院大學,北京 100049)

2(中國科學院 沈陽計算技術(shù)研究所,沈陽 110168)

3(國家電網(wǎng)公司東北分部,沈陽 110180)

引言

隨著“兩化融合”的推進,工控網(wǎng)絡(luò)已從原有的控制網(wǎng)擴展到了管理網(wǎng),這使得工控系統(tǒng)與互聯(lián)網(wǎng)的關(guān)系越來越緊密,工業(yè)控制網(wǎng)絡(luò)不斷智能化,全球互聯(lián)互通的大趨勢已勢不可擋. 然而工業(yè)控制網(wǎng)絡(luò)不斷開放的同時也給工控系統(tǒng)帶來了越來越多的安全威脅,電網(wǎng)工控系統(tǒng)也是如此. 著名的攻擊事例有2010年的“震網(wǎng)”病毒對伊朗核電站工控系統(tǒng)的網(wǎng)絡(luò)攻擊[1].

工控系統(tǒng)涉及很多重要國家基礎(chǔ)設(shè)施,比如電力,所以國家對工控系統(tǒng)安全很重視. 而工控系統(tǒng)安全與傳統(tǒng)網(wǎng)絡(luò)安全又有較多差異,相當于一個較新的領(lǐng)域.流量異常檢測技術(shù)雖已經(jīng)廣泛地應用于互聯(lián)網(wǎng)信息安全防護中,但是在工業(yè)控制系統(tǒng)(Industrial Control System,ICS)中的研究較少[2],在電網(wǎng)工控系統(tǒng)中研究較之又少.

就電網(wǎng)工控系統(tǒng)來說,目前企業(yè)電力系統(tǒng)內(nèi)部遭受網(wǎng)絡(luò)攻擊的問題仍無法得到有效的監(jiān)測、預防與解決[3]. 為了確保電力系統(tǒng)安全運行工作,重視電力系統(tǒng)內(nèi)防水平低于外防水平這一問題已成為共識[3]. 對于電力系統(tǒng)內(nèi)部,現(xiàn)有的電力監(jiān)控系統(tǒng)主站與廠站的安全監(jiān)視主要依賴于內(nèi)網(wǎng)監(jiān)視平臺,該平臺主要是針對邊界處的安全設(shè)備和網(wǎng)絡(luò)設(shè)備的日志進行收集,但沒有針對電網(wǎng)工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)流量進行異常檢測[4].

通過分析網(wǎng)絡(luò)流量可直觀了解網(wǎng)絡(luò)中的行為,從而幫助我們監(jiān)測網(wǎng)絡(luò)的安全狀態(tài)[5],及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、異常流量、異常行為. 所以將流量異常檢測技術(shù)應用于電網(wǎng)工控系統(tǒng)的安全防護將利于防范電網(wǎng)安全威脅,可以在確保電力系統(tǒng)穩(wěn)定運行的基礎(chǔ)上,提高電力系統(tǒng)自動化、智能化水平,為社會創(chuàng)造更多經(jīng)濟效益.

本文針對電網(wǎng)工控系統(tǒng)中控制網(wǎng)的內(nèi)防水平低且其安全監(jiān)測和防護缺乏內(nèi)部網(wǎng)絡(luò)流量異常檢測的現(xiàn)狀,提出將流量異常檢測技術(shù)應用于針對電網(wǎng)工控系統(tǒng)控制網(wǎng)的安全防護中,并提出一種基于熵的動態(tài)半監(jiān)督K-means算法并輔以單類支持向量機(OCSVM)對半監(jiān)督K-means算法進行改進,以提高流量異常檢測的效果,為監(jiān)測分析網(wǎng)絡(luò)流量及時感知網(wǎng)絡(luò)異常發(fā)現(xiàn)攻擊,從而提升電力系統(tǒng)內(nèi)防水平奠定基礎(chǔ).

1 電網(wǎng)工控系統(tǒng)

在“兩化融合”的背景下,電網(wǎng)工控系統(tǒng)已廣泛應用信息網(wǎng)絡(luò)技術(shù)且其網(wǎng)絡(luò)化和智能化也越來越高,使得電力傳輸與控制可以自動可靠地進行.

1.1 電網(wǎng)工控系統(tǒng)的組成與結(jié)構(gòu)

通俗來說,電網(wǎng)工控系統(tǒng)主要指： 電力行業(yè)中,用于監(jiān)視和控制的,與計算機和網(wǎng)絡(luò)技術(shù)有關(guān)的系統(tǒng)和智能設(shè)備,以及通信與數(shù)據(jù)網(wǎng)絡(luò). 具體來說,電網(wǎng)工控系統(tǒng)由控制網(wǎng)絡(luò)和管理網(wǎng)絡(luò)組成,管理網(wǎng)絡(luò)指調(diào)度監(jiān)控管理網(wǎng),控制網(wǎng)絡(luò)分為站控層、間隔層和過程層,部署在智能變電站[4,6]. 圖1所示是電網(wǎng)工控系統(tǒng)的結(jié)構(gòu).

圖1 電網(wǎng)工控系統(tǒng)結(jié)構(gòu)

電網(wǎng)工控系統(tǒng)安全,總體來說涉及兩方面,分別是電網(wǎng)基礎(chǔ)設(shè)施安全和電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)安全[7]. 隨著網(wǎng)絡(luò)攻擊、安全威脅的飛速增長,針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊和入侵也逐漸變多,所以目前網(wǎng)絡(luò)安全已成為電網(wǎng)工控系統(tǒng)安全防護的重中之重.

雖然傳統(tǒng)網(wǎng)絡(luò)安全防護中的流量異常檢測技術(shù)已相對成熟,但是由于傳統(tǒng)網(wǎng)絡(luò)與電網(wǎng)工控系統(tǒng)存在許多不同之處,不能直接照搬使用,所以需要研究適用于電網(wǎng)工控系統(tǒng)的流量異常檢測方法.

1.2 電網(wǎng)工控系統(tǒng)的安全需求和面臨的威脅

電網(wǎng)工控系統(tǒng)的安全需求不同于傳統(tǒng)網(wǎng)絡(luò)的安全需求之處[8],主要是以下的方面：

(1) 電網(wǎng)工控系統(tǒng)側(cè)重可用性,傳統(tǒng)網(wǎng)絡(luò)側(cè)重機密性,電網(wǎng)工控系統(tǒng)實時性要求高于傳統(tǒng)網(wǎng)絡(luò).

(2) 電網(wǎng)工控系統(tǒng)風險管理要求主要是防止監(jiān)管失控,而傳統(tǒng)網(wǎng)絡(luò)主要確保數(shù)據(jù)保密.

(3) 資產(chǎn)保護需求上,電網(wǎng)工控系統(tǒng)的首要保護目標是控制器及現(xiàn)場設(shè)備(如電力一次設(shè)備),而傳統(tǒng)網(wǎng)絡(luò)首要保護信息資產(chǎn).

電網(wǎng)工控系統(tǒng)面臨多種威脅與攻擊. 工控協(xié)議在設(shè)計之初沒有考慮安全性,所以非常容易遭受網(wǎng)絡(luò)攻擊; “兩化融合”的電網(wǎng)工控系統(tǒng)既連接企業(yè)內(nèi)部計算機網(wǎng)絡(luò)又連接互聯(lián)網(wǎng)、接入的現(xiàn)場設(shè)備多、網(wǎng)絡(luò)通信方式多導致入侵途徑多,如現(xiàn)場總線通訊接口、工業(yè)以太網(wǎng)通訊接口、U盤等移動介質(zhì)、以及誤操作等都是可能的入侵途徑[9]. 總之“兩化融合”的電網(wǎng)工控系統(tǒng)面臨的工控攻擊的趨勢是綜合利用系統(tǒng)、網(wǎng)絡(luò)、終端及管理等多個層面的漏洞進行有針對性的攻擊,因此需要多種技術(shù)和多層次的安全防護.

2 電網(wǎng)工控系統(tǒng)兩級安全防護

當前我國的電力系統(tǒng)安全措施主要是使用防火墻進行訪問控制,安全防護方法單一. 根據(jù)電網(wǎng)工控系統(tǒng)中控制網(wǎng)的安全防護現(xiàn)狀,通過對電網(wǎng)工控系統(tǒng)安全需求和面臨的威脅攻擊的研究分析,提出將流量異常檢測技術(shù)引入電網(wǎng)工控系統(tǒng)控制網(wǎng)的安全防護中,使訪問控制與流量異常檢測對電網(wǎng)工控系統(tǒng)的控制網(wǎng)形成兩級安全防護,提高電網(wǎng)工控系統(tǒng)控制網(wǎng)的安全防護水平. 應用流量異常檢測技術(shù)后形成的兩級安全防護的邏輯結(jié)構(gòu),具體如圖2所示.

圖2 電網(wǎng)工控系統(tǒng)兩級安全防護

安全防護子站主要負責訪問控制. 具體是通過協(xié)議分析與信息提取階段對數(shù)據(jù)采集設(shè)備采集來的正常網(wǎng)絡(luò)數(shù)據(jù)包進行數(shù)據(jù)包解析,特征提取來自動構(gòu)建白名單,記錄允許通過的源IP,目的IP,目的端口號[10]. 從而對現(xiàn)場智能終端等設(shè)備進行訪問控制,實現(xiàn)一級安全防護. 安全防護子站可部署在智能變電站的站控層(或間隔層).

安全防護主站接收來自于安全防護子站的基于時間窗統(tǒng)計處理獲得的流量特征屬性,然后進行流量異常檢測,實現(xiàn)二級安全防護. 安全防護主站可包括流量數(shù)據(jù)接收、流量監(jiān)測與展示、流量異常檢測和告警等模塊. 安全防護主站可以部署在調(diào)度監(jiān)控層(或智能變電站的站控層).

安全防護子站除了訪問控制,還要為安全防護主站的流量異常檢測做準備工作. 流量異常檢測技術(shù)的引入使得形成了對電網(wǎng)工控系統(tǒng)控制網(wǎng)絡(luò)的兩級安全防護,下面將詳細介紹安全防護中的關(guān)鍵技術(shù)流量異常檢測及其算法的改進.

3 流量異常檢測技術(shù)及其算法的改進

對于攻擊入口,最常見的方式還是通過網(wǎng)絡(luò),并且各類攻擊通常會引起網(wǎng)絡(luò)流量異常[11],所以考慮安全防護時應著重從網(wǎng)絡(luò)流量入手,進行網(wǎng)絡(luò)流量的監(jiān)測和異常檢測,即電網(wǎng)工控系統(tǒng)安全防護的關(guān)鍵技術(shù)是流量異常檢測技術(shù).

通過采集網(wǎng)絡(luò)數(shù)據(jù)包,分析得到電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù)的特點[2]如下：

(1) 數(shù)據(jù)長度小,頻率相對較高.

(2) 網(wǎng)絡(luò)流量呈周期性.

(3) 響應時間相對小很多.

(4) 數(shù)據(jù)流向固定.

(5) 時序性強,如控制信息發(fā)生順序固定.

(6) 工控網(wǎng)絡(luò)主要以廣播多播形式通信,所以多用UDP協(xié)議; 而普通IT網(wǎng)絡(luò)常用點對點傳輸.

總之,電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量與普通IT網(wǎng)的網(wǎng)絡(luò)流量差異較大,所以有必要針對電網(wǎng)工控系統(tǒng),研究網(wǎng)絡(luò)流量異常檢測技術(shù).

3.1 流量異常檢測技術(shù)的分類

根據(jù)相關(guān)研究,將流量異常檢測技術(shù)常用的方法主要分為統(tǒng)計分析方法和機器學習方法. 統(tǒng)計分析方法是通過選擇一些特征屬性的統(tǒng)計度量來刻畫系統(tǒng)或網(wǎng)絡(luò)行為狀態(tài)的邊界,根據(jù)測量的統(tǒng)計值是否偏離該邊界一定范圍來判斷是否發(fā)生異常[12]. 如基于工控網(wǎng)絡(luò)中流量周期性的異常檢測.

機器學習方法中包括基于數(shù)據(jù)挖掘的方法、基于生物學原理的方法等[2]. 基于數(shù)據(jù)挖掘的方法包括使用聚類分析、關(guān)聯(lián)分析、分類等算法的異常檢測方法;基于生物學原理的方法包括基于神經(jīng)網(wǎng)絡(luò)、遺傳算法或免疫學原理等的異常檢測方法,總之這些方法都屬于機器學習方法.

統(tǒng)計分析方法不需要太多的先驗知識,但對事件發(fā)生的順序不敏感、漏報和誤報率較高[11],還需要大量純凈的訓練數(shù)據(jù),而在真實的網(wǎng)絡(luò)環(huán)境中這樣的數(shù)據(jù)很難確保. 所以選擇基于機器學習的流量異常檢測方法更合適.

3.2 基于機器學習的流量異常檢測方法

根據(jù)訓練數(shù)據(jù)集有無類標記,將機器學習方法分為有監(jiān)督學習和無監(jiān)督學習; 而訓練數(shù)據(jù)集同時包含有類標記和無類標記的實例時,則稱為半監(jiān)督學習[13].

有監(jiān)督學習算法包括決策樹、貝葉斯、神經(jīng)網(wǎng)絡(luò)、支持向量機等[13]; 無監(jiān)督學習算法包括K-means等聚類分析算法.

有監(jiān)督學習識別率高,但需要大量的標記樣本代價較大且無法識別未知類別,無監(jiān)督可識別未知類別,但準確率低[14]. 半監(jiān)督學習用少量的標記樣本來輔助大量的無標記樣本進行異常檢測,既減少標記工作又提高檢測的準確率.

由于工控網(wǎng)絡(luò)對可用性要求高,為了避免沒能檢測出異常而使工控網(wǎng)絡(luò)不可用,檢測方法的準確性要高. 工控網(wǎng)絡(luò)的攻擊因為多為新型的和被研究時間較短的網(wǎng)絡(luò)攻擊,規(guī)則庫覆蓋范圍較小,所以需要檢測方法的漏檢率低,對未知攻擊的檢測能力要高[11]. 由于工控網(wǎng)絡(luò)的實時性要求,需要檢測方法的快速與計算效率高. 所以相對于有監(jiān)督學習,無監(jiān)督學習和半監(jiān)督學習更合適. 其中的K-means算法快速、計算量小、聚類效果好[11]. 與傳統(tǒng)的K-means算法相比,半監(jiān)督K-means算法檢測率相對較高,但兩者對未知攻擊的檢測能力低. 為了進一步提高未知攻擊檢測能力,降低漏檢率,提高檢測率,提出了基于熵的動態(tài)半監(jiān)督K-means算法并輔以單類支持向量機對半監(jiān)督K-means算法進行改進.

3.3 流量異常檢測模型

流量異常檢測模型如圖3所示. 網(wǎng)絡(luò)流量原始數(shù)據(jù)經(jīng)過預處理得到訓練數(shù)據(jù),對訓練數(shù)據(jù)使用基于熵的動態(tài)半監(jiān)督K-means并輔以單類支持向量機的改進半監(jiān)督K-means算法進行訓練,得到檢測模型. 經(jīng)過預處理的實時數(shù)據(jù)輸入檢測模型進行實時檢測,獲得檢測結(jié)果,若發(fā)現(xiàn)異常則進行異常告警.

3.3.1 預處理

數(shù)據(jù)流量上的特點,使得正常流量和異常流量的各種屬性在分布特征上有很大的差異[15],通過使用特征屬性的熵來處理電網(wǎng)工控系統(tǒng)的流量,將利于進行流量異常檢測[4]. 預處理階段主要進行基于時間窗的特征屬性熵量化. 按時間順序,每n個數(shù)據(jù)包為一個時間窗口并作為一個單位流量. 對單位流量計算其每個特征屬性的熵. 下面具體說明特征屬性熵量化. 如單位流量F(p1(T1,T2),p2(T1,T2),…,pn(T1,T2)),包含n個數(shù)據(jù)包p,每個包有2個特征屬性Ti(i=1,2). 屬性Ti有mi種可能取值,單位流量中屬性Ti取值為j的數(shù)據(jù)包數(shù)為nj,則Ti的熵為：最終獲得形如F(H(T1),H(T2))的單位流量的熵量化特征向量.

圖3 流量異常檢測模型

3.3.2 訓練檢測模型

傳統(tǒng)K-means聚類算法是無監(jiān)督學習,是1967年由James MacQueen首次提出的,其原理是：n個對象中初始隨機選定k個對象作為簇中心,根據(jù)歐氏距離,將n個對象就近劃分到k個簇中,然后更新簇中心,即求簇中對象的均值作為新的簇中心,再重新就近劃分n個對象到k個簇. 重復更新簇中心和就近劃分n個對象的過程,直到劃分質(zhì)量最高,即簇內(nèi)高相似,簇間低相似.

Basu[16]等提出的半監(jiān)督K-means算法的基本思想是用覆蓋所有類別的少量標記樣本來確定總的聚類簇個數(shù)k和初始簇中心. 其他流程與傳統(tǒng)K-means聚類算法相同.

SVM算法是一種建立在統(tǒng)計學習理論基礎(chǔ)上的機器學習算法[13]. 其基本思想是用一種非線性映射,把原訓練數(shù)據(jù)映射到較高的維上,在新的維上搜索最佳分離超平面[13]. SVM算法對線性和非線性的數(shù)據(jù)都可以進行分類. SVM算法又分為多種,其中單類支持向量機(OCSVM)只需要利用電網(wǎng)工控系統(tǒng)的正常網(wǎng)絡(luò)流量數(shù)據(jù)就可建立正常網(wǎng)絡(luò)流量的檢測模型[17]. 已知只包含正常數(shù)據(jù)的訓練集,其中yj是類別標記,且yj∈{1,-1},1表示正常,-1表示異常. 在特征空間上,構(gòu)造最優(yōu)分類超平面,其中分類超平面表達成：

然后對無類標的樣本xl根據(jù)判別規(guī)則判斷是正常還是異常數(shù)據(jù)：

實際環(huán)境中想要使得采集到的標記樣本覆蓋所有的異常類型難以實現(xiàn),且該半監(jiān)督K-means算法對未知攻擊的檢測能力低. 電網(wǎng)工控系統(tǒng)的正常網(wǎng)絡(luò)流量數(shù)據(jù)具有周期性和較小長度性等特性,且實際環(huán)境中較好獲取,適合使用單類支持向量機,但是若只利用OCSVM,不利用已有的異常類型信息,不利于建立高效的流量異常檢測系統(tǒng). 所以根據(jù)以上情況,將單類支持向量機(OCSVM)引入半監(jiān)督K-means聚類算法中以改進異常檢測效果,即提出基于熵的動態(tài)優(yōu)化k值的半監(jiān)督K-means輔以單類支持向量機,簡稱基于熵的動態(tài)半監(jiān)督K-means+OCSVM算法,其具體內(nèi)容如下：

1) 從少量已標記樣本中,根據(jù)其k種類標記,確定k的初始值,并將每類的樣本求均值作為該類的初始簇中心,即初始共確定k個簇中心.

2) 進行一次就近分配,計算聚類質(zhì)量E1. 其中聚類質(zhì)量用所有對象到其簇中心的誤差的平方和來評估,即：

且E越小,表示聚類質(zhì)量越高.

3) 令k=k+1.

4) 從未標記樣本中選取一個點a作為新簇的簇中心,注意a要使得那些離其當前簇中心較遠的點b,劃分到以a為中心點的簇后,到中心點的距離縮小的和最大,即,使得公式(5)取值最大.

5) 再進行一次就近分配,計算聚類質(zhì)量E2.

6) 若k次的聚類質(zhì)量高于k-1次的聚類質(zhì)量,則轉(zhuǎn)至步驟3); 否則k=k-1轉(zhuǎn)至步驟7).

7) 檢查是否有只包含新增簇中心點的孤立簇,若有則去從簇中心點集和未標記樣本集中掉該點,使k=k-1并重復步驟2)～6);

若無,則用步驟6)確定的新k值和k個初始簇中心點作為初始輸入,不斷進行重分配,求簇中對象的均值更新簇中心,直到簇中心收斂,得到總體樣本集的k個劃分.

8) 用步驟7)得到的k個最終簇中心點對少量有標記樣本集進行一次劃分,找到包含少量有標記樣本集中正常樣本的簇的簇中心點,以及不包含任何少量有標記樣本集中數(shù)據(jù)的未知攻擊的簇中心.

9) 使用OCSVM得到的判別規(guī)則,根據(jù)8)找到的簇中心點,找7)得到的k個劃分中的對應簇進行簇內(nèi)劃分修正,從而區(qū)分開距離上較近的正常和異常數(shù)據(jù).

3.3.3 實時檢測

流量異常檢測模型中實時檢測部分的具體流程為：將熵量化特征向量描述的網(wǎng)絡(luò)流量數(shù)據(jù)輸入動態(tài)半監(jiān)督K-means算法得到檢測模型,檢測模型根據(jù)輸入點距離正常簇中心和各異常簇中心的距離來進行劃分之后再輔以O(shè)CSVM的正常數(shù)據(jù)判別規(guī)則修正對網(wǎng)絡(luò)流量數(shù)據(jù)的異常檢測判別,從而實現(xiàn)實時檢測網(wǎng)絡(luò)流量的異常與否.

4 測試驗證

測試檢測算法時,主要用到三個關(guān)鍵指標來評估,分別是： 檢測率、誤報率和未知攻擊檢測率. 其定義[11]為：

采用KDD99數(shù)據(jù)集,根據(jù)電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù)長度小、多用UDP協(xié)議等特點,選取近似的數(shù)據(jù)和41個特征屬性中的18個特征屬性,然后從篩選出的訓練集中取2044個正常樣本,其中異常樣本按各類異常的比例共取2270個,組成新的訓練集. 取新的訓練集的2.5%,共109個作為有標記樣本集. 測試樣本集包含正常樣本2619個,異常樣本402個,其中未知攻擊樣本66個,共3021個樣本. 測試半監(jiān)督K-means算法和動態(tài)半監(jiān)督K-means+OCSVM算法的檢測效果,結(jié)果如表1所示.

表1 兩種算法的測試結(jié)果(單位： %)

表1可見,改進后的半監(jiān)督K-means算法,即動態(tài)半監(jiān)督K-means+OCSVM算法,提高了檢測率、未知攻擊檢測率,且降低了誤報率,流量異常檢測能力優(yōu)于半監(jiān)督K-means算法.

5 總結(jié)

本文根據(jù)電網(wǎng)工控系統(tǒng)中控制網(wǎng)的內(nèi)防水平低且其安全監(jiān)測和防護缺乏內(nèi)部網(wǎng)絡(luò)流量異常檢測的現(xiàn)狀,詳細分析了電網(wǎng)工控系統(tǒng)的組成與結(jié)構(gòu)、網(wǎng)絡(luò)安全需求及其面臨的威脅攻擊. 提出了將流量異常檢測技術(shù)應用于電網(wǎng)工控系統(tǒng)控制網(wǎng)的安全防護中,從而與電力系統(tǒng)當前主要使用的訪問控制安全措施共同形成對電網(wǎng)工控系統(tǒng)控制網(wǎng)的兩級安全防護. 然后針對安全防護中的關(guān)鍵技術(shù)流量異常檢測,研究了流量異常檢測方法的分類,并根據(jù)不同方法的特點和電網(wǎng)工控系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù)的特點,選擇基于機器學習的流量異常檢測方法中的半監(jiān)督K-means聚類算法. 針對半監(jiān)督K-means算法的未知攻擊檢測率低等問題,本文提出了基于熵的動態(tài)半監(jiān)督K-means+OCSVM算法,來改進半監(jiān)督K-means算法的性能. 總之,將流量異常檢測技術(shù)應用于電網(wǎng)工控系統(tǒng)的安全防護中,并對流量異常檢測算法進行改進,將有利于提升電網(wǎng)工控系統(tǒng)的內(nèi)防水平和防范電網(wǎng)安全威脅.

1鄒春明,鄭志千,劉智勇,等. 電力二次安全防護技術(shù)在工業(yè)控制系統(tǒng)中的應用. 電網(wǎng)技術(shù),2013,37(11)： 3227-3232.

2高春梅. 基于工業(yè)控制網(wǎng)絡(luò)的流量異常檢測[碩士學位論文]. 北京： 北京工業(yè)大學,2014.

3趙延濤. 電力二次系統(tǒng)安全防護策略探究. 電子世界,2016,(2)： 152-154.

4鐘志琛. 基于網(wǎng)絡(luò)流量異常檢測的電網(wǎng)工控系統(tǒng)安全監(jiān)測技術(shù). 電力信息與通信技術(shù),2017,14(1)： 98-102.

5劉松吟. 基于聚類分析的電力通信網(wǎng)絡(luò)流量分類算法研究[碩士學位論文]. 南京： 東南大學,2016.

6陳雪鴻,葉世超,石聰聰. 淺談工業(yè)控制系統(tǒng)信息安全等級保護定級工作. 自動化博覽,2015,(5)： 66-70.

7費稼軒,張濤,馬媛媛,等. 一種基于BF-DT-CUSUM算法的電網(wǎng)工控系統(tǒng)DDoS攻擊檢測方法. 電信科學,2015,(S1)： 106-112.

8劉威,李冬,孫波. 工業(yè)控制系統(tǒng)安全分析. 信息網(wǎng)絡(luò)安全,2012,(8)： 41-43.

9王孝良,崔保紅,李思其. 關(guān)于工控系統(tǒng)信息安全的思考與建議. 信息網(wǎng)絡(luò)安全,2012,(8)： 36-37.

10袁自強. 網(wǎng)絡(luò)環(huán)境下白名單子系統(tǒng)的設(shè)計與實現(xiàn)[碩士學位論文]. 成都： 電子科技大學,2011.

11王海鳳. 工業(yè)控制網(wǎng)絡(luò)的異常檢測與防御資源分配研究[碩士學位論文]. 杭州： 浙江大學,2014.

12許倩. 基于特征統(tǒng)計分析的異常流量檢測技術(shù)研究[碩士學位論文]. 鄭州： 解放軍信息工程大學,2012.

13Han JW,Kamber M,Pei J. 數(shù)據(jù)挖掘-概念與技術(shù)(原書第3 版). 范明,孟小峰譯. 北京： 機械工業(yè)出版社,2012.

14張潤,王永濱. 機器學習及其算法和發(fā)展研究. 中國傳媒大學學報(自然科學版),2016,23(2)： 10-18,24.

15朱佳佳,陳佳. 基于熵和SVM多分類器的異常流量檢測方法. 計算機技術(shù)與發(fā)展,2016,26(3)： 31-35.

16Basu S,Davidson I,Wagstaff K. Constrained Clustering：Advances in Algorithms,Theory,and Applications. London：Chapman & Hall/CRC,2008.

17李琳. 基于OCSVM的工業(yè)控制系統(tǒng)入侵檢測算法研究[碩士學位論文]. 沈陽： 沈陽理工大學,2016.