在当今数字化和智能化发展浪潮下，网络安全问题新旧交织。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。包括电力系统在内的关键基础设施是网络安全防护工作的重中之重，一旦出现重大网络安全事故将有可能对经济运行和社会秩序造成很大的破坏。防御电力系统网络攻击、保障关键信息基础设施安全，意义重大、需求迫切。

电力系统是物理设备与信息系统深度融合的复杂系统，具有分布广泛、设备众多、互联性强、物理防护薄弱等特点，遭受攻击的风险极高。近年来，国际形势快速变化，电力系统成为网络攻击的“重点区域”，传播速度快、危害面广、自动化程度高、集团化运作的攻击手段不断涌现，安全态势复杂严峻。其中电力监控系统（包括但不限于实现继电保护和安全自动控制、调度监控、变电站（换流站）监控、发电厂监控、新能源发电监控、分布式电源监控、储能电站监控、虚拟电厂监控、配电自动化等）监视、调整并控制着电力系统中各生产单位设备的运行状态，保证了电力系统的安全运行和可靠供电，是电力系统中需要重点防护的综合性系统。

图1-1：电力监控系统示意图

随着新型电力系统发展，云计算、大数据、物联网、5G等新技术在电网行业中发挥越来越重要的作用。5G、IPv6技术实现新能源及电力电子设备高速、友好接入；边缘计算、物联网等技术支撑实现就地决策与增值服务；大数据、云计算、AI等技术，实现可赋能生产管理和生产决策。科技是把双刃剑，新技术赋能的电力监控系统取代了传统分布式厂站自动化设备技术，极大地提升了电网运行效率并实现新能源及系统调节资源的可观、可测、可控，但同时也使得电力监控系统的攻击面也呈现指数级增长。例如，2017年乌克兰大规模停电、委内瑞拉连续数年反复发生大规模停电、2021年2月美国加利福尼亚州和得克萨斯州大规模停电等事件，造成了数亿美元的损失。

从国家政策来看，于2017年正式施行的《中华人民共和国网络安全法》就开始强调关键信息基础设施要在网络安全等级保护制度的基础上实行重点保护；2021年正式施行的《关键信息基础设施安全保护条例》更是强调和细化了能源行业信息基础设施的网络安全保护工作相关要求。

从行业规范来看，国家能源局于2015年就下发了《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（以下简称“36号文”）。“36号文”在附件1中明确了电力监控系统安全保护等级标准，使得电力监控系统运营者在开展网络安全建设工作中有标准可依。2024年11月，为贯彻落实党的二十届三中全会精神，深化能源管理体制改革，完善电力监控系统网络安全技术防护体系，国家发展改革委审议通过了新修订的《电力监控系统安全防护规定》（国家发展改革委2024年第27号令）（以下简称《规定》）。《规定》针对近年来电力监控系统网络安全工作实践中暴露出来的电力监控系统定义模糊、安全接入区防护强度不足、专用安全产品管理流程有待优化、行政执法依据不足等问题，以及新型电力系统接入主体更多样、边端分布更广泛、交互方式更丰富等特征带来的新风险，针对性补充了技术和管理要求。并且在坚持“安全分区、网络专用、横向隔离、纵向认证”十六字原则的基础上，进一步明确电力监控系统范围，提出强化措施，优化管理体系。

目前，我国电网技术水平在全球同行业已经处于领先地位，其中智能电网和特高压输电技术两大国际标准体系的基础技术更是国际标准的主导者。另外我国在电网控制、配电用网、智能配电变压器、新能源、智能巡检机器人等多方面的技术研究都做到了国际领先，并且已经有很多落地场景。当前,全球地缘政治情势复杂多变，特别是美中关系的紧张加剧了全球地缘政治风险。在这种背景下，针对我国电网的网络攻击只会愈演愈烈，尤其是具有国家背景的黑客组织会持续进行有组织的APT攻击，以图达到窃取先进技术和敏感数据等目的。

具体来说，电力监控系统目前主要面临如下风险：一是针对新兴技术广泛应用带来的网络安全威胁缺乏有效管控措施；二是已有网络安全防护机制相对传统，对新型或复杂攻击手段的防护能力较弱。目前，木马、僵尸网络、钓鱼网站等传统网络安全威胁有增无减，勒索病毒攻击、高级持续性威胁（APT）攻击等新型网络攻击愈演愈烈。黑客攻击正在从个人向组织化、国家化方向发展，特别是针对电力监控系统等关键信息基础设施的网络攻击，攻击手段从传统的随机病毒、木马感染及网络攻击，到近来的利用社交工程、各种零日漏洞以及高级逃逸技术（AET）发起的有针对性的APT（高级持续性威胁）攻击，具有高级化、组合化、长期化等特点，并且能够轻易绕过传统的安全检测手段和防御体系。

近几年随着ChatGPT等AI工具的流行以及最近我国DeepSeek AI开源大模型赋能各个行业的数字生态系统，AI是当下最为火爆的话题之一。AI最擅长的图像识别和自然语言处理已经在各种应用场景中广泛应用。当然AI的强大和快速发展也正在迅速改变网络安全格局，给网络安全工作带来机遇和挑战。网络安全复杂性和传统网络安全治理局限性之间的矛盾日益凸显，电力监控系统的网络和数据安全也面临前所未有的挑战，通过AI赋能网络安全被视为发展新质生产力的关键一环。科技是把双刃剑，AI可以被用来进行自动化网络攻击，使得攻击更加隐蔽、快速和难以防御。AI大模型也可以基于机器学习和大数据分析等技术自动学习网络攻击行为模式，并快速响应和应对各种新型网络威胁，因此以AI防守对AI攻击、以AI平台管AI威胁成为必然趋势。

国家电网有限公司副总信息师王继业在2024全球数字经济大会数字安全高层论坛上也强调：利用AI（防守）来防护AI（攻击），也就是通过AI增强安全防护能力和效率，包括异常行为的自动化检测能力，恶意代码识别能力，轨迹趋势分析预测能力，自主决策和自动化执行能力等；另一方面，也要研究自动化漏洞的识别能力，爆破弱口令的能力等，研究通过AI增强网络安全运营效率和能力等。

威努特作为保障我国数字经济安全稳定运行的重要成员之一，为切实提高我国包括电力监控系统在内的关键信息基础设施的安全防护能力，也在积极探索使用AI技术来驱动高级威胁的检测能力。传统的基于特征的检测手段，如IDS无法及时有效地应对新产生或负责的网络攻击，而通过AI技术则具备对全新威胁的适应及预测能力。威努特自主研发的高级威胁检测系统已经可以通过机器学习和数据挖掘，从海量的网络数据中学习和发现攻击模式，实现对网络攻击的自动检测和预警。可以更加智能、精准地发现APT等未知威胁攻击。

图3-1：恶意文件/流量映射为基因图片进行AI处理

威努特高级威胁检测系统利用AI检测分析传统安全检测不到的高级威胁或APT，威努特的核心解决思路就是先把安全问题转换为AI最擅长的图像或文本，然后再交给AI引擎进行处理分析：

第一个做法是把恶意文件的二进制编码转换为灰度图片，然后用AI引擎训练出一个模型，可以用来检测恶意代码变种，或对恶意代码进行同源性分析；

第二个做法是把恶意代码产生的通讯流量转化为灰度图片，然后用AI引擎训练出一个模型，可以用来检测恶意流量；

除了文件和流量，其他的安全数据大多为文本，直接就可以用AI引擎进行自然语言处理或语义分析。

具体的应用场景主要包含以下几种：

威努特高级威胁检测系统的基因图谱检测能力通过结合图像纹理分析技术与恶意代码变种检测技术，将恶意代码映射为无压缩灰阶图片，基于纹理分割算法对图片进行分块，使用灰阶共生矩阵算法提取各个分块的纹理特征，并将这些纹理特征作为恶意代码的纹理指纹；然后，利用样本的纹理指纹，建立纹理指纹索引结构。

图3-2：恶意代码及其变种AI检测原理

在检测阶段，通过恶意代码分段纹理指纹生成策略，使用综合多分段纹理指纹相似性匹配算法检测未知恶意代码及其变种。基于图像映射的方法可以有效地避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。而且，该方法能够有效地检测使用特定封装工具打包的恶意代码。

为了确保通信安全和隐私以及应对各种窃听和中间人攻击，HTTPS逐渐全面普及，越来越多的网络流量也被加密，然而，攻击者也可以通过这种方式来隐藏自己的信息和行踪，通过给恶意流量封装上一层名为TLS/SSL的加密协议来将其伪装成正常流量进行传输，逃避传统安全设备的检测。

图3-3：恶意加密流量AI检测原理

恶意加密流量及合法加密流量有不同的流量行为模式，威努特高级威胁检测系统根据对恶意加密流量的分析，提取恶意加密流量与合法加密流量的SPL数据（数据包长度与数据包到达间隔时间顺序）、流量相关的DNS元数据、TLS元数据、HTTP元数据，构造用于识别恶意加密流量模式的向量，采用集成学习算法学习流量向量建立相应的加密流量检测模型，实现对恶意加密流量的识别，有效发现高级威胁的相关线索。

隐蔽隧道是绕过防火墙屏蔽的一种通信方式。防火墙两端的数据包，通过防火墙所允许的协议类型及端口进行封装，然后穿过防火墙，与对方进行通信，当被封装的数据包到达目的地后进行数据还原。

图3-4：隐蔽隧道AI检测原理

DNS Tunneling是相对被利用较多的一种隐蔽隧道。通过将其他协议或数据封装在DNS协议中传输建立隐蔽通信。威努特高级威胁检测系统支持DNS隐蔽隧道通信检测，可基于DNS隐蔽隧道关联分析发现受控主机。除此之外，系统还支持ICMP隐蔽隧道和HTTP隐蔽隧道通信检测。采用基于AI的检测技术，可有效提升对网络隐蔽隧道流量中恶意通信行为的检出率和准确率。

DGA (Domain Generation Algorithm)，域名生成算法，恶意代码里不写入域名字符串，而是使用一个私有的随机字符串生成算法，按照日期或者其他随机种子，每天生成一些随机字符串然后用其中的一些当作C&C域名。

图3-5：DGA域名AI检测原理

威努特高级威胁检测系统的DGA域名AI检测能力通过建立针对DGA生成域名的集成学习模型，用海量DGA生成域名和正常域名样本通过集成学习模型进行训练，使集成学习模型具备识别DGA域名能力。在捕捉到网络流量中的域名信息后，将之输入深度学习模型进行识别，集成学习模型输出该域名是否为DGA生成的域名，进而准确定位受控主机。

威努特高级威胁检测系统通过旁路部署在电网主站系统及各场站电力监控系统的汇聚交换机上，通过镜像端口对电力监控系统的交互流量进行实时分析，通过人工智能算法并联动沙箱和AV病毒检测引擎对恶意样本、恶意流量、行为异常等威胁进行重点识别，实现对网络攻击的自动检测和预警并保护电力监控系统的安全稳定运行。以电网配电主站电力监控系统为例，威努特高级威胁检测系统部署方式如下图所示：

图4-1：威努特高级威胁检测系统典型部署方式

电力监控系统是国家电力行业的关键信息基础设施，亟需针对新技术、新场景提升网络攻击检测能力。威努特高级威胁检测系统具备的多场景AI分析能力可以极大提升电力监控系统的高级威胁检测能力。威努特高级威胁检测系统结合失陷分析、威胁情报分析、入侵检测分析、异常行为分析、病毒木马分析等7种能力，以方案级的产品架构对电力监控系统的南北流量/东西流量进行全面深度威胁检测与溯源分析，系统性地解决已知威胁、未知威胁等各类网络攻击的检测难点。产品基于资产、威胁事件、网络会话、威胁情报等多源数据进行威胁感知和可疑流量分析，当电力监控系统在遭到高级威胁或复杂入侵行为时可以实时察觉并及时处置。

伴随人工智能相关技术的快速发展，AI赋能网络安全已经成为市场公认的主要应用场景之一。全球领先的IT市场研究和咨询公司IDC发布的《IDC Market Presentation：生成式AI推动下的中国网络安全硬件市场现状及技术发展趋势，2024》报告显示，威努特凭借在网络安全领域的深厚积累和过硬的安全硬件产品能力实力入选该报告并成为IDC推荐厂商。未来，威努特将继续以技术创新为引领，积极迎合产业发展趋势，把握时代潮流，向着安全能力智能化的方向持续全面发展，为数字中国建设提供更有力的安全保障。