入侵检测

首先介绍了泛在电力物联网系统的网络安全，重点探讨了基于人工智能的工业控制系统入侵检测算法，最后总结分析工控网络安全现状，并对基于协议行为分析和人工智能的电力物联网入侵检测技术的未来进行了展望。

配网工作人员一般采用移动应用进行远程办公解决现场生产问题。针对移动应用的安全问题，本文设计了一种应用保护安全方法，首先对生产移动应用构建沙箱，配置实时安全策略，包含数据加密、防截屏、添加水印、禁止连接WIFI等；同时通过自动封装VPN SDK的方式实现传输进一步加固，保障应用级别的VPN接入；最后针对通过VPN非授权访问的未知威胁，在网关侧对流量进行分流并引导至蜜罐网络中，利用无监督聚类算法对流量进行聚类分析，设定移动终端入侵检测规则过滤威胁。本方法提高了配网生产移动应用的安全性并得到推广，两年来，有效且准确实现对移动应用未知威胁的智能防御。

网络流量的异常检测对于保护电力信息系统安全具有重要意义。目前深度学习等人工智能技术在入侵检测中表现出良好的性能,但由于电力流量数据中类别不平衡以及噪声含量高等问题,严重影响入侵检测模型的准确率。针对以上问题,文章提出了一种深度残差收缩网络(deep residual shrinkage networks,DRSN)-双向长短时记忆网络(bi-directional long short-term memory,BiLSTM)混合深度学习模型实现及时有效的多矢量攻击威胁识别与检测。首先采用条件生成对抗网络模型生成少数类数据,构造平衡数据集,然后使用DRSN-BiLSTM模型进行特征提取,DRSN中的残差项可以解决网络退化与过拟合问题,注意力机制降低了噪声对异常流量检测的影响,同时基于BiLSTM进行流量时序特征提取,最后用softmax分类器进行流量分类,实现网络入侵检测。该模型在电力信息系统数据集上进行了测试,结果显示,提出的混合深度学习模型在检测准确性、精确度、召回率和F1分数指标均优于比较算法。

2024年6月17日，国家电网公司进行了2024年数字化项目第二次设备招标采购。共包括40类物资。分别为：SDN交换机、安全操作系统、安全接入网关、安全校核、报表软件、成熟套装软件、磁盘阵列、电能量计量、电网调度控制系统、调度管理、调度计划、调控云平台、定制化服务器、恶意代码监测系统、服务器密码机、负载均衡器、光模块、机架式服务器、可信验证系统、密码卡、培训仿真、入侵检测装置、实时监控、数据库软件、台式工作站、网络安全管理应用（CSM）、网络安全监测装置、网络交换机、网络路由器、系统集成、显示器、新能源预测、信息安全网络隔离装置、运维网关、运行评估、在线分析、支撑平台、智慧物联网关、专用防火墙、自动控制。

工业控制网络安全系统解决方案具体包括工业隔离网闸、工业防火墙、工业入侵检测系统、工业终端安全卫士、USB安全防御系统等。(1)工业隔离网闸。专门针对企业管理信息网络与工业生产网络之间数据交换等高安全应用场景的隔离安全防护产品，采用“2十1”系统架构(内端机、外端机、专用物理隔离单元)，在实现网络物理隔离、协议隔离的同时，进行高效率的安全数据交换。(2)工业防火墙。一款适用于工控网络的网络安全保护产品，用于网络边界安全防护，提供访问控制功能，防范未授权的访问，通过白名单控制功能实现对工业协议的深度解析与精确控制，通过黑名单防护功能实现对信息系统漏洞的防护。(3)工业入侵检测系统。通过对工业流量、工业通讯协议深度解析检测，并基于威胁情报、工控漏洞库等安全知识库信息，进行综合智能分析，高效准确地识别检测威胁和攻击行为，形成安全事件和告警，并支持与工业防火墙联动，对入侵行为及时进行拦截处理。(4)工业终端安全卫士。一款基于网络安全等级保护2.0标准研发的安全加固和审计系统，具备外设接入控制、安全审计、基线核查修复、病毒扫描、文件完整性监测、双因子认证、可信白名单和访问控制等功能，支持的平台包括Linux、window等。(5)USB安全防御系统。采用纯硬件设计，无需在保护计算机安装任何软件，实现对接入的UB存储设备认证管理、黑白名单安全策略配置、文件数据流向控制、病毒查杀及日志审计等功能。

本文提出运用OpenFlow平台进行安全管理与防护，并提供一个综合型安全防护机制，保护用户网络安全，防范外部入侵者，同时也监控内部使用者，形成安全网络，增强网络安全性。网络安全防御系统系统实现于OpenFlow平台上，系统包括OpenFlow交换机、控制器负责依决策结果进行防御动作，并结合入侵检测系统监测网络内部情况，并建立安全事件决策系统，对可疑事件进行分析与决策，保护用户网络。

入侵检测可以防御网络的攻击，但现有方法存在需要大量训练样本、泛化能力低、效果欠佳等不足，因此文章提出一种基于元学习的入侵检测研究算法(Model-Free Meta-Learning with Memory，MFMLM)。 MFMLM算法采用带记忆池的模型无关的元学习方法处理网络入侵检测问题，利用多轮采样获得多个小样本数据集，通过在多个数据集中进行训练，得到最优参数。方法利用元学习改善模型的判别和泛化能力，有效地缩短了训练时间，提高了检测准确率。实验结果表明，所提方法可以较好地解决入侵检测问题，具有良好的性能。