2022 年（第十届）电力企业信息安全研讨会 - 354 - 基于网络流量大数据的安全预警分析 云南电网有限责任公司文山供电局，马志坚 摘 要：工业系统是关乎国计民生的国家基础资源系统，是国民经济的支撑性资源。从 2010 年 7 月震网病毒在伊朗 核电站爆发以来，信息安全已经从传统意义上的信息领域逐步渗透到工控领域中，工控安全关乎到国民经济安全。但是 2004 年电监会 5 号令的电力二次防护总体方案以及 2014 年的发改委 14 号令（2015 年国能安全 36 号文）都只是规定了 在安全域边界的隔离及加密安全措施，缺乏对网络之间交互的纵深防护和异常感知的能力。所以，建设一套基于大数据 的采集、分析技术的贯穿供电局综合数据网与调度网络 II、III 区的综合安全分析预警平台，对在网络流量大数据背景 下发现发现网络内的异常情况，如发现未被授权的设备被插入网络中（如非授权接入的笔记本电脑）、使用欺诈 IP 地址 非法通信正等非授权行为有着重要意义。 关键词：网络流量；大数据；安全；预警 在操作员的日常操作和维护中，生成大量数据 信息，其包含安全信息。在分析海量数据信息的基 础上，可以准确识别风险漏洞，不断增强信息安全 是信息安全工作的重点。传统的安全防护主要采用 静态单一识别，局限性明显。它还涵盖了不同类型 的未知威胁。缺乏主动性和智能分析方法只能依靠 事后统计不会能对安全事件进行相关挖掘分析。为 此，有必要开发新方法以确保及时发现问题。 1.1 基于网络流量大数据的安全预警项目研究 内容 1、构建大数据基础架构，采集出口流量和专用 安全设备告警，并进行统一存储。 2、通过大数据进行数据挖掘。通过攻击链技术 进行关联分析。 3、研发智能态势感知预警模型，实现电网业务 系统的安全态势分析和预警模型。 1.2 基于网络流量大数据的安全预警项目研究 内容主要技术难点 1、消除误报 工控大数据分析平台在开展预警过程中，需要 通过多种数据关联，制定合理的关联算法，定义不 同级别的预警级别控制告警的数量，避免过多告警 导致运维人员麻木而错过了最关键的告警信息。而 安全态势感知平台必须能够迅速适应网络变化，对 全网态势做出准确判断，并对新攻击行为进行自适 应响应。 2、关联分析算法 工控大数据分析平台收集并关联多源异构数 据，通过关联分析算法及时发现安全事件并发布告 警。为实现此功能需要定义大量的关联规则，通过 多类不同的数据源进行多维度的威胁感知，并根据 环境的变化维护关联算法规则，是本次系统的成败 关键技术。 3、溯源与数据挖掘 在大数据应用环境下，数据监测类溯源方法的 溯源结果具有极高的全面、客观和准确性。随着大 数据存储和数据挖掘技术的飞速发展，大数据的存 储和查询性能瓶颈得以解决，使得数据监测类溯源 方法逐渐成为提升全网安全溯源能力水平的重要手 段。IP 溯源、流量溯源和行为溯源都属于数据监测 类溯源方法。