以机器学习和大数据分析为特征的新一代人工智能技术，已成为电力企业数字化转型的重要推手。本文基于国网湖南电力在网络安全领域的研究成果，阐述人工智能技术如何应用于电力物联网入侵检测场景的实践，以期为相关研究建设工作提供参考。

　　一、人工智能技术推动电网数字化建设

　　在“双碳”目标的驱动下，国家电网有限公司以建设“具有中国特色国际领先的能源互联网企业”为战略目标，提档增速能源电力转型，大力推进“大云物移智链”技术应用，为电网发展注入新动能。为以人工智能为代表的现代信息技术在电网数字化建设中发挥了重要作用。

　　国网公司当前已围绕电网智能运检、运行控制、企业管理和用电服务等领域开展人工智能自主创新。运用自然语言处理、图像识别、视频行为分析、语音识别、文本分析、知识图谱等人工智能技术，支撑无人机巡检、智能视频远程监控、知识检索智能问答等电网业务应用，大幅提高了工作效率和准确性，降低了劳动强度及人力需求。

　　国网湖南省电力有限公司高度重视人工智能在电网建设及企业经营中的应用，目前已取得了一定的成果。在人工智能平台方面，国网湖南电力部署了训练环境（PAI-Studio）和运行环境（PAI-EAS），以及人脸识别、OCR 图像识别、语音识别、自然语言处理等人工智能通用模型。应用支撑方面，目前已初步涵盖了智能巡检、智能调度、电力负荷预测、网络安全高级威胁分析等多个业务领域，基于深度学习模型支撑一台区一指标应用进行线损率预测，支撑网络安全态势感知平台进行高级威胁分析，基于人脸识别技术支撑平安输电和现场作业安全智能管控等三个应用进行现场人员管控，基于 OCR 图像识别技术支撑供服中心智能办公应用。

　　二、人工智能在电力物联网入侵检测的技术实践

　　从人工智能在电力行业的网络安全领域的应用来看，重点关注设备身份认证、恶意代码分析、自动化漏洞挖掘、恶意域名检测、网络入侵检测、垃圾邮件检测等六个方面。

　　本文重点关注网络入侵检测方面，当前，国内外入侵检测主要采用基于规则的误用检测方法、基于行为的异常检测方法以及混合检测方法三类。基于规则的误用检测方法在大量攻击数据中提取出特征规则库，将满足匹配规则的请求判定为攻击行为，但特征的维护成本较高，只能检测已知攻击，且可以通过攻击载荷进行处理绕过规则匹配。基于行为的异常检测方法对新的攻击类型敏感，能够有效发现新的攻击，并且能够监测零日漏洞，但是行为学习方式复杂，训练成本较高，容易产生较高的误报率。混合入侵检测是指将误用检测与异常检测相结合，用于提高已知入侵检测率并降低未知攻击的误报率。目前，国家电网有限公司在自主研发的全场景态势感知平台（S6000）中已经集成了基于机器学习的入侵检测算法。

　　同时，国网湖南电力通过研究电力物联网终端与平台侧特定业务典型场景，探索利用机器学习算法实现对终端的入侵检测功能。

　　（一）电力物联网面临的安全风险

　　电力物联网是应用于电力领域的工业级物联网，基于综合状态感知和数据融合利用，进行预测、控制、优化等智能辅助决策，有力支持能源互联网的协同运行。电力物联网的典型架构如图所示。电力物联网是传统物联网在垂直行业的应用，依然遵循感知控制层、通信网络层、平台应用层的物联网典型架构，其中感知控制层是电力物联网最具特色、发展最快的部分。目前，电力物联感知控制终端已覆盖发电、输电、变电、配电、用电全生产环节，电网省级物联终端数量已逾 1 亿台。电力物联网信息化、数字化、智能化程度越高，面对的网络安全问题就越复杂。电力物联网越开放，面临的网络安全挑战就越艰巨。

　　图 物联终端典型安全接入架构

　　在当前电力物联网安全防护措施中，重点在于终端认证、链路流量加密等，缺乏终端仿冒、入侵检测等手段，而电力物联网终端数量大、物理部署范围广，一旦黑客通过技术手段仿冒合法终端接入，可在内部网络进行近乎无限制地访问其他业务，对电力生产网络造成极大的安全威胁。

　　针对此问题，国网湖南电力通过采集大量物联网终端业务数据，并进行大数据分析，构建物联终端、物联业务指纹基线与流量基线特征，最终通过建立异常检测模型，实现对正常业务流量与异常流量的有效辨别。

　　（二）电力物联终端入侵检测实践

　　国网湖南电力已将机器学习模型集成至自研的物联终端安全实时监测装置中，通过对一段时间的流量学习，产生流量基线特征数据，并可将此数据添加至自定义特征中，作为白名单业务流量模型，发现不符合基线的流量则产生异常。该装置已成功应用于电力输电、配电、用电、营销等多个专业，实现 4200 余个物联终端的安全管控，实现电力物联平台业务的实时监测与防护，累计监测到电力物联网仿冒接入、DDoS 攻击等异常、攻击行为 1.2 万余起，为电力物联网的安全稳定运行提供了强有力的技术支撑。具体应用场景如下：

　　1. 电力三跨隐患监测物联系统安全准入场景

　　电力系统八成以上的输电线路都属于架空型，易受到大气环境的侵蚀，遭受外破突发性高，维护的难度大。重点区域尤其是三跨区域（高速铁路、高速公路及重要输电通道的交叉跨越点）地区需要采取严密的监视。三跨图像作为系统的重要组成部分，在重要区域部署摄像头采集图像通过 4G 网络实时传送到监控中心。由于三跨图像终端数量众多，存在很大的入侵风险，因此通过物联安全实时监控装置终端可实现有效的安全防护。

　　2. 电力巡线无人机安全接入场景

　　无人机主要用于线路故障缺陷的查找和通道查勘巡视。通过物联终端安全实时监测装置建立电力无人机流量指纹，实现视频采集数据的实时接入。

　　3. 综合能源终端接入场景

　　综合能源服务有大量的终端需要通过互联网接入电力企业，包括水、电、气、热等多类型的物联感知终端，通过物联安全实时监控装置，建立了综合能源终端的指纹基线，实现了能源综合终端的可靠有效接入。

　　（三）电力物联网平台侧业务入侵检测实践

　　电力物联平台侧业务包括综合能源平台、智慧环保平台、基建全过程管控平台等，这些业务与典型互联网业务的用户群体、行为特征存在明显的区别，呈现单个用户访问会话量多，用户与其业务行为较为固定的特点。通过对物联平台侧业务的攻击行为进行研判分析，发现这些攻击行为与正常用户一段时间内的访问行为在方法、访问内容、访问频率等方面具有一定的差异特征。因此，采用基于机器学习的会话异常检测方法，能有效区分正常业务访问与异常攻击，并能成功检测出大量传统安全设备未检测出的业务逻辑类、信息泄露类等攻击行为。该原型已部署于国网湖南电力互联网边界，通过采集互联网出口实时流量，检测分析异常告警并输出至企业网络安全态势感知平台中。态势感知平台对告警进行汇集分析，并联动防火墙对异常访问行为及时进行阻断。

　　三、人工智能在网络安全领域的应用挑战

　　（一）人工智能在网络安全领域的局限性

　　虽然人工智能搅动了网络安全领域的一池春水，但是应该理性看待人工智能在应对网络安全方面的优缺点，不能指望全靠人工智能来包打天下。

　　人工智能在应对网络安全问题时，也有较强的局限性。这一方面受限于人工智能算法本身的能力，因为传统的机器学习技术依赖特征提取，而算法的效果和性能又依赖识别和提取特征的准确性。深度学习具有在高维数据中自动提取特征的能力，同时面临持续学习、数据饥饿、可解释性等问题。另一方面，机器学习、特别是深度学习过分依赖数据，但在恶意代码检测、软件漏洞挖掘等领域，目前仍然存在数据收集困难的问题，缺少较好的数据集用于训练，影响对相关领域的研究。

　　人工智能严重依赖于耗费计算资源，复杂的深度学习网络需要同时计算成百上千万次的计算，需要强大的人工智能芯片计算力的支撑。另外，人工智能易于忽视或者抛弃人类专家在网络安全领域的知识和经验积累，对网络安全的复杂应用场景考虑不足，对于已知威胁的检测效率远低于传统的精确特征识别方法。

　　虽然使用神经网络和深度学习等算法，能够较好地识别出未知攻击威胁风险，达到“知其然”的目的，但是这些算法通常无法揭示产生这种安全风险的基本机理，也就是“不知其所以然”，从而为从源头防御这种攻击风险带来极大障碍。

　　（二）网络安全领域应用人工智能的风险

　　人工智能技术的蓬勃发展，为网络安全攻防带来的不仅有机遇，也有挑战。人工智能在应对网络安全问题时，有时甚至会展现出脆弱的一面。一个真实环境中的人工智能系统，会面临数据安全、模型、算法安全、实现安全等多方面的安全威胁。

　　在数据安全方面，在数据收集与标注时出现错误或注入恶意数据，将导致数据污染攻击；在模型、算法安全方面，针对人工智能算法存在黑盒和白盒对抗样本攻击，可导致识别系统出现混乱；在实现安全方面，除了人工智能系统本身的代码实现，其所基于的人工智能框架以及所依赖的第三方软件库中软件实现中的漏洞，也都可能导致严重安全问题。人工智能对现有网络安全格局的影响，离不开算法、数据和计算能力 3 个方面，其容易遭受攻击的弱点也来自于此。

　　对于防范人工智能的脆弱性所带来的安全风险，首先，要从体系架构、系统算法容错容侵设计、漏洞检测和修复、安全配置等方面来增强人工智能系统自身的安全性；其次，要用其所长，尽量减小其暴露给外界的潜在攻击面；最后，要构建网络空间安全综合防御体系，从安全技术和安全管理等层面来协同防范安全攻击，间接减缓攻击者直接针对人工智能系统发起攻击以及攻击成功的可能性；在数据获取过程中，要加强对数据来源的控制与过滤，在一定程度上保证数据安全可靠；在数据传输过程中，要使用更加安全的传输协议与加密算法；在人工智能系统的实现中，要保证代码质量并进行完善的测试，此外，还要及时更新或修补框架或依赖库中存在的漏洞等。

　　（三）人工智能在电力网络安全的应用展望

　　人工智能技术能有效利用网络空间中存在大量的流量、日志等数据，在挖掘海量数据的特征和关联关系方面有得天独厚的优势，因此，可以预见，人工智能技术将在网络安全领域发挥越来越重要的作用。后续国网湖南电力也将就如何将人工智能技术更好地应用于入侵检测、恶意代码分析、自动化攻防等领域持续开展研究，提升我国关键基础设施的网络安全防护水平。