電力行業(yè)作為關(guān)乎國計民生的重要基礎行業(yè)，也是技術(shù)、資金密集型行業(yè)，在注重信息 化建設的同時(shí)，對網(wǎng)絡(luò )安全工作也歷來(lái)高度重視。放眼全球，從伊朗到烏克蘭再到委內瑞拉，“電力戰”從未消失，網(wǎng)絡(luò )攻擊的破壞程度越來(lái)越大，能源系統的安全備受關(guān)注。

構建基于大數據的安全監測系統，利用大數據分析技術(shù)多維度分析系統的健康狀態(tài)、網(wǎng)絡(luò )流量等，依靠人工智能和神經(jīng)元網(wǎng)絡(luò )科學(xué)評價(jià)網(wǎng)絡(luò )狀態(tài)，并形成狀態(tài)評價(jià)的自動(dòng)學(xué)習、持續迭代以及自我完善的深度學(xué)習模型，對系統狀態(tài)進(jìn)行判斷、預測、提示和預警，以協(xié)助維持生產(chǎn)網(wǎng)絡(luò )空間內部環(huán)境穩定、健康、可控、安全與運行平衡。

電力行業(yè)作為關(guān)系國計民生的重要基礎行業(yè)，也是技術(shù)、資金密集型行業(yè)，在注重信息化建設的同時(shí)，對網(wǎng)絡(luò )安全工作也歷來(lái)高度重視。2010年“震 網(wǎng)” (stuxnet )病毒的爆發(fā)，讓全球再一次明白，工業(yè)控制系統已成為黑客的主要目標。

隨后，“毒區” (duqu )和“火焰”(flame)病毒相繼出現，與“震 網(wǎng)”共同形成“網(wǎng)絡(luò )戰”攻擊群。2014年，功能更 為強大的Havex以不同工業(yè)領(lǐng)域為目標進(jìn)行攻擊，至2016年已發(fā)展到88個(gè)變種。2015年底發(fā)生的烏 克蘭大面積停電事件，又一次為電力監控系統網(wǎng)絡(luò )安全拉響警報。

這些事例說(shuō)明電力監控系統所面臨 的安全風(fēng)險日益增大，直接威脅到電力系統的安全 穩定運行和電力可靠供應。針對工業(yè)網(wǎng)絡(luò )的攻擊，更多體現在敵對勢力或者是一種國家意志的行為，從APT到網(wǎng)絡(luò )空間戰，組合式的攻擊方式和以破壞基礎設施為目的的攻擊方式，已經(jīng)成為工業(yè)網(wǎng)絡(luò )面臨的主要威脅。

鑒于電力行業(yè)的核心地位，國務(wù)院、 工信部以及南方電網(wǎng)等國家、行業(yè)監管部門(mén)，已經(jīng) 在不同的場(chǎng)合下多次強調了工業(yè)控制系統網(wǎng)絡(luò )安全 的重要性，并且已經(jīng)開(kāi)始對工業(yè)系統網(wǎng)絡(luò )安全進(jìn)行檢查和研究。

基于工業(yè)控制系統自身對實(shí)時(shí)性、穩定性以及 兼容性的要求，技術(shù)人員無(wú)法直接在生產(chǎn)環(huán)境進(jìn)行攻防驗證。

鑒于上述情況，搭建基于大數據的電力安全監測系統，在模擬環(huán)境中進(jìn)行工業(yè)控制系統漏洞挖掘、網(wǎng)絡(luò )協(xié)議分析、滲透測試以及威脅評估等試驗和研究，以檢驗電力工業(yè)控制系統網(wǎng)絡(luò )防護能力。

從技術(shù)上講，安全事件監視和態(tài)勢評估可以綜 合分析各個(gè)方面的安全要素，從整體上動(dòng)態(tài)反映網(wǎng) 絡(luò )的安全狀況，評估的結果具有綜合性、多角度性和多粒度性等特。

通過(guò)安全事件監視和態(tài)勢評估，可以準確了解自身的網(wǎng)絡(luò )和各種應用系統以及管理制度規范的安全現狀，從而明晰安全需求。

通過(guò)確定主要安全風(fēng)險，并選擇規避、降低、轉移以及接受等風(fēng)險處置措施，然后有依據地制定網(wǎng)絡(luò )和系統的安全策略和安全解決方案，從而指導信息系 統安全技術(shù)體系與安全管理制度的建設。

1.1建設目標

在原有自動(dòng)化防護能力基礎上，利用大數據分析技術(shù)對系統運行狀況、網(wǎng)絡(luò )流量進(jìn)行漏洞挖掘、 協(xié)議分析和威脅評估，并依靠人工智能和神經(jīng)元算法對系統現狀做出科學(xué)評價(jià)閔形成深度學(xué)習模型，動(dòng)態(tài)識別系統的風(fēng)險點(diǎn)和威脅情況，建立預測預警, 有針對性地改善安全體系，最終達到有效監測、防御新型攻擊威脅的目的。

1.2建設方案

基于大數據的電力安全監測系統采用開(kāi)放平臺架 構設計，遵循業(yè)界通行的應用接口和管理接口，實(shí)現 了模塊化裝配和靈活性部署，系統架構如圖1所示。

感知層：平臺支持多種數據源的接入，包括工控設備、物聯(lián)網(wǎng)設備(包括各類(lèi)傳感器、攝像頭等) 和第三方數據接口接入等的海量數據信息。

接入層：平臺支持各類(lèi)電力行業(yè)工業(yè)控制系統的數據接人包括變電站自動(dòng)化系統、微機保護系統、 電力調度自動(dòng)化系統和SCADA系統等數據信息。

大數據層：將采集的海量異構數據進(jìn)行實(shí)時(shí)和離線(xiàn)分析，采用數據預處理、分布式存儲、關(guān)聯(lián)分析、 機器學(xué)習、統計分析以及數據挖掘等多種大數據分 析手段實(shí)現對異常、事件、資產(chǎn)的檢測與追蹤溯源。

監測層：將大數據識別分析的數據，通過(guò)平臺搭建的大數據模型進(jìn)行綜合分析與評估，進(jìn)而實(shí)現對電力行業(yè)各系統的合規檢查監管、量化安全威脅和風(fēng)險、發(fā)現電網(wǎng)系統中潛在漏洞和隱患、攻擊溯源、預測未知攻擊及報警/預警等功能。

展現層：提供人機交互界面，向安全管理人員 呈現全方位工控及物聯(lián)網(wǎng)等安全態(tài)勢。

基于大數據的電力安全監測系統，通過(guò)漏洞挖 掘、協(xié)議分析、滲透測試以及威脅評估等技術(shù)手段, 實(shí)現對系統安全狀況的評估和風(fēng)險識別。

一是工控網(wǎng)絡(luò )漏洞挖掘。采取端口掃描、模塊 特征探測以及漏洞庫指紋匹配等手段，快速定位目 標網(wǎng)絡(luò )服務(wù)系統潛在的脆弱點(diǎn)，形成漏洞分析結果。

二是工控網(wǎng)絡(luò )協(xié)議漏洞分析。構建可擴展的網(wǎng)絡(luò )協(xié)議漏洞分析平臺，對已知協(xié)議和未知協(xié)議開(kāi)展遠程 模糊測試，挖掘網(wǎng)絡(luò )應用服務(wù)協(xié)議漏洞。

三是脆弱點(diǎn)識別。綜合利用靜態(tài)掃描、逆向還原以及模糊測試等手段對目標系統進(jìn)行深度剖析，定位系統漏洞脆弱點(diǎn)。

四是威脅評估。以資產(chǎn)為主線(xiàn)，通過(guò)流量 分析綜合漏洞挖掘、協(xié)議漏洞分析以及滲透測試結果，準確識別電力監控系統安全風(fēng)險。

五是監測結果融合展示。對檢測引擎檢測結果進(jìn)行多維度、多層次展示，并支持結果信息去重、融合與關(guān)聯(lián)分析, 以直觀(guān)生動(dòng)的方式呈現結果。

整個(gè)平臺包了5個(gè)子系統，即漏洞挖掘系統、工控協(xié)議漏洞分析系統、脆弱點(diǎn)分析系統、威脅評估系統和監測結果呈現系統。

2.1漏洞挖掘系統

漏洞挖掘檢測系統提供了最完整的工控安全漏洞庫和設備庫、最豐富全面的工控協(xié)議測試用例庫以及最先進(jìn)的模糊測試引擎（覆蓋Modbus、 IEC104, IEC101, MMS、Profinet、S7、DNP3 以及 CAN總線(xiàn)等十幾種常見(jiàn)工控協(xié)議；針對私有未知協(xié) 議模式提供多種解決方案，如定制開(kāi)發(fā)、培訓用戶(hù) 自開(kāi)發(fā)和未知協(xié)議智能測試）。

通過(guò)漏洞庫與設備 庫的關(guān)聯(lián)驗證，自定義模糊測試等多種方式發(fā)現工 控設備中存在的已知安全漏洞和挖掘未知（零日）安全漏洞。

抓包重放及專(zhuān)業(yè)分析工具精確定位漏洞產(chǎn)生根源，梳理攻擊原理，在漏洞挖掘過(guò)程中進(jìn)行數據包捕獲，使用漏洞分析工具分析捕獲的數據包。

根據數據包分析的結果，修改范圍和參數后進(jìn)行針對性 測試，直至找到產(chǎn)生漏洞的真正根源，并在此基礎 上發(fā)現潛在漏洞的利用方式和評估漏洞風(fēng)險等級。

根據漏洞根源分析的結果，本平臺提供了開(kāi)發(fā)針對該漏洞的攻擊套件工具，以測試同類(lèi)產(chǎn)品是否存在相同漏洞特征，同時(shí)也能開(kāi)發(fā)針對性的保護策略，以抵御針對此漏洞的攻擊。由漏洞挖掘工具檢測出的系統或設備漏洞，可在開(kāi)發(fā)后加入漏洞挖掘工具的漏洞庫，也能通過(guò)第三方導入的方式不斷完善漏洞庫，增加系統檢測能力。

2.2工控協(xié)議漏洞分析系統

運用模糊測試的原理，構建完整、可擴展的通信協(xié)議動(dòng)態(tài)隨機分析測試框架，建設通信協(xié)議 健壯性檢測評估系統，通過(guò)設計變異測試用例并 構造變異報文，檢查通信協(xié)議實(shí)現的缺陷。

支持對 Ethernet, ARP、IP、ICMP、IGMP、UDP 以 及 TCP等網(wǎng)絡(luò )協(xié)議的檢測評估，并研發(fā)相應的檢測評 估工具；支持 ModbusTCP/IP、DNP3.0、EtherNet/ IP-CIP, Foudation Fieldbus, IEC104、IEC61850、 MMS、PROFINET以及OPC UA等常用工業(yè)控制協(xié)議的檢測評估，并研發(fā)相應的檢測評估工具；

支持多目標（如文件、網(wǎng)絡(luò )協(xié)議等）、多種協(xié)議（如 Modbus TCP、DNP3等不同類(lèi)型的協(xié)議）以及多線(xiàn) 程（加速測試進(jìn)度）;研發(fā)對未知協(xié)議的靈活開(kāi)放 的測評接口，支持私有協(xié)議的檢測評估。

2.3脆弱點(diǎn)分析系統

綜合利用靜態(tài)掃描、逆向還原以及模糊測試等 手段（包括OWASP、CVE在內的信息化漏洞、工業(yè)控制漏洞類(lèi)型，對被測系統進(jìn)行靜態(tài)掃描，將匹配后的結果呈現報告。

通過(guò)逆向還原發(fā)現被測系統 組建、架構以及業(yè)務(wù)邏輯的脆弱點(diǎn)；

通過(guò)Fuzz技術(shù)遍歷所有可能的數據對程序進(jìn)行測試，在測試過(guò)程中記錄程序執行的狀態(tài)，篩選出可能出bug的數據并記錄，供人繼續分析）對應用服務(wù)程序文件進(jìn)行深度剖析，定位應用服務(wù)漏洞脆弱點(diǎn)，即在已經(jīng)獲取應用程序全部或部分程序模塊的基礎上，對應用程序進(jìn)行脆弱性分析。

2.4威脅評估系統

威脅評估平臺擁有威脅分析、資產(chǎn)分析和流量 分析3大功能模塊，可以從管理規范和技術(shù)要求等方面滿(mǎn)足所有工控環(huán)境下的風(fēng)險評估要求。

平臺支持近70種工控和IT協(xié)議，能夠安全準確地識別工 控網(wǎng)絡(luò )中的各類(lèi)工業(yè)控制系統、設備、軟件以及其 他運行中的IT服務(wù)器、數據庫和網(wǎng)絡(luò )設備，智能生成網(wǎng)絡(luò )拓撲，結合專(zhuān)業(yè)的工控漏洞庫、設備庫、 病毒特征庫和全網(wǎng)威脅評分系統，清晰定義各類(lèi)設備和整體網(wǎng)絡(luò )的安全風(fēng)險，并在評估報告中進(jìn)行詳細的漏洞分析，提供可操作的威脅整改建議，從可視化和專(zhuān)業(yè)化的角度幫助用戶(hù)認識當前工控網(wǎng)絡(luò )所符合的安全等級和需要整改的部分。

主要功能如下。

項目向導：通過(guò)項目為向導，可以合理清晰地幫助用戶(hù)構建一個(gè)完整的工業(yè)現場(chǎng)風(fēng)險評估項目。

威脅分析：威脅評估平臺基于國際和國家標準, 同時(shí)結合行業(yè)標準，形成了多套具備嚴格理論依據 的評估標準，如調度系統、智能變電站系統、配網(wǎng)系統以及電廠(chǎng)系統等評估標準和流程?；跇藴试u 估問(wèn)卷的結果，采用威脅評分算法進(jìn)行智能評分， 最終得出威脅分析的整體評估結果。

資產(chǎn)分析：資產(chǎn)分析中資產(chǎn)信息可通過(guò)自動(dòng)設 備識別和手動(dòng)資產(chǎn)錄入協(xié)同完成，平臺將對資產(chǎn)信息進(jìn)行安全性分析，得出詳細的漏洞信息、評分以 及相應的安全解決方案。

流量分析：針對工業(yè)控制網(wǎng)絡(luò )日新月異的攻擊 手段和入侵方式，建立完善的特征匹配庫，涵蓋專(zhuān)門(mén)針對工業(yè)控制系統的木馬、蠕蟲(chóng)、病毒、滲透攻 擊以及拒絕服務(wù)等全面信息，通過(guò)在線(xiàn)監測和離線(xiàn) 分析的多重手段，對工業(yè)控制系統實(shí)施流量分析， 得出網(wǎng)絡(luò )中潛在的安全隱患。

工業(yè)漏洞庫：威脅評估平臺中包含行業(yè)領(lǐng)先的 工業(yè)控制設備漏洞庫，涵蓋了各大主流工控設備生產(chǎn)廠(chǎng)商的設備和協(xié)議，囊括了已經(jīng)公布的漏洞和由網(wǎng)絡(luò )測試產(chǎn)品所挖掘到的設備和協(xié)議未知漏洞。

威脅評分：威脅評分系統將引入強大的智能威脅分析引擎，支持全方位的智能評分，包括管理制 度、業(yè)務(wù)流程、網(wǎng)絡(luò )結構、資產(chǎn)信息和通信數據等。

報告系統：威脅評估平臺基于風(fēng)險評估的流程 進(jìn)行設計，自動(dòng)生成報告模板。

2.5威脅信息呈現系統

以資產(chǎn)為主線(xiàn)利用大數據分析技術(shù)，對漏洞信 息和威脅信息進(jìn)行數據處理和關(guān)聯(lián)分析，對安全威 脅進(jìn)行綜合分析呈現、告警和威脅態(tài)勢，展示截圖如圖2、圖3所示。

平臺通過(guò)采用分布式網(wǎng)絡(luò )空間設備探測技術(shù)、 多維度的工控協(xié)議識別等，實(shí)現自動(dòng)釆集、識別工 業(yè)控制系統的漏洞與潛在威脅的能力。

平臺通過(guò)大數據建模分析與核心知識庫進(jìn)行風(fēng)險評估、態(tài)勢感知，預防設備潛在風(fēng)險的發(fā)生。

平臺能夠隨數據以及應用壓力增長(cháng)自動(dòng)實(shí)現彈 性伸縮，同時(shí)可以滿(mǎn)足未來(lái)跨數據中心進(jìn)行數據存儲與分析計算。

平臺能夠感知工控聯(lián)網(wǎng)設備的安全態(tài)勢，精確定位全網(wǎng)脆弱節點(diǎn)并進(jìn)行威脅評估。

本文研究的核心技術(shù)包括大數據技術(shù)、數據融合技術(shù)、威脅數據融合技術(shù)和流量包威脅檢測技術(shù)。

3.1大數據技術(shù)

大數據技術(shù)是支撐系統高效運行的前提，是關(guān)聯(lián)分析、挖掘脆弱點(diǎn)以及發(fā)現識別隱藏漏洞的關(guān)鍵。大數據技術(shù)是使用一系列非傳統工具對海量結構化和非結構化數據進(jìn)行處理，從而獲得分析和預測結 果的數據處理和分析技術(shù)。

從數據分析流程的角度，可以把大數據技術(shù)分為以下幾個(gè)層面。

數據采集與預處理：利用ETL工具將分布的異構數據中的數據，如關(guān)系數據、平面數據文件等抽取到臨時(shí)中間層后進(jìn)行清洗、轉換和集成，最后加載到數據倉庫或者數據集市中，成為聯(lián)機分析處理 和數據挖掘的基礎；可以利用日志采集工具把實(shí)時(shí) 釆集的數據作為流計算系統的輸入，進(jìn)行實(shí)時(shí)處理 分析。

數據存儲與管理：利用分布式文件系統、數據 倉庫、關(guān)系數據庫和NoSQL數據庫等，實(shí)現對結 構化數據和非結構化數據的處理和分析。

數據處理與分析：利用分布式并行編程模型和 計算框架，結合機器學(xué)習和數據挖掘算法，實(shí)現對海量數據的處理和分析。

數據可視化呈現：采用可視化工具，對數據分 析結果進(jìn)行可視化呈現，幫助用戶(hù)更好地理解數據和分析數據。

3.2數據融合

數據融合技術(shù)能有效融合所獲得的多源數據， 充分利用其冗余性和互補性，在多個(gè)數據源之間進(jìn)行取長(cháng)補短，從而為漏洞挖掘與分析系統的識別、挖掘以及驗證漏洞做保障，以便更準確地識別、挖 掘、分析和驗證漏洞信息，也是檢測結果數據提取 精確呈現的核心技術(shù)。

3.2.1數據融合的層次分類(lèi)

數據融合作為多級別、多層次的數據處理，經(jīng)過(guò)對原始數據的融合操作，使得通過(guò)數據分析而得的結論更加準確與可靠。系統采取數據融合技術(shù)貫 穿數據級融合、特征級融合和決策級融合。在整個(gè)系統架構上是貫穿數據采集層、漏洞挖掘與分析層 和結果呈現層，既減輕了存儲的壓力，又提高了檢測效果。

3.2.2數據融合關(guān)鍵算法

系統除了采用基于模型和基于概率的方法（如加權平均法、卡爾曼濾波法、貝葉斯推理、小波分析以及經(jīng)典概率等），還融入了現代方法，如邏輯推理和機器學(xué)習的人工智能方法（如聚類(lèi)分析法、粗糙集、模糊理論以及進(jìn)化法等）。

3.3海量數據內容識別與威脅檢測

3.3.1基于端口的識別方法

大部分網(wǎng)絡(luò )應用的常用傳輸層端口號是固定 的，因此根據端口號識別網(wǎng)絡(luò )應用是最簡(jiǎn)單的一類(lèi)方法。

IANA主要將端口劃分為3類(lèi)。

熟知端口號：端口號的范圍是0 ~ 1 023,該類(lèi)端口由IANA進(jìn)行統一分配。

注冊端口號：端口號的范圍是1 024 ~ 49 151,主機中的用戶(hù)級進(jìn)程可以隨意使用 這些端口號進(jìn)行數據傳輸。

動(dòng)態(tài)端口號：端口號的范圍是49 152 - 65 535, IANA沒(méi)有對這類(lèi)端口進(jìn)行分配，網(wǎng) 絡(luò )應用可以任意使用這類(lèi)端口。

由于通過(guò)端口號解析的方法識別速度快、開(kāi)銷(xiāo) 小，因而獲得了廣泛應用。但是，這種方法的識別準確率不高，因為很多應用軟件使用隨即生成的端口進(jìn)行通信，不容易進(jìn)行識別。

相關(guān)研究表明，通 過(guò)IANA分配的端口號對網(wǎng)絡(luò )流量進(jìn)行識別，有近約31%的字節流量（29%的數據包）不能被準確識別出來(lái)。

3.3.2流量統計特征識別

基于流量統計特征的識別方法利用計算機網(wǎng) 絡(luò )協(xié)議規范的差異導致的流量屬性的不同識別網(wǎng)絡(luò ) 協(xié)議。Moore等人首先對已經(jīng)打好標簽的網(wǎng)絡(luò )流量 數據集進(jìn)行學(xué)習，然后按照高斯分布的特性對網(wǎng)絡(luò ) 流量屬性進(jìn)行綜合評估。

首先根據網(wǎng)絡(luò )流量特性對數據包到達時(shí)間間隔、數據包平均長(cháng)度和數據包持續時(shí)間等進(jìn)行特征選擇。

其次使用EM算法計算每個(gè)數據包屬于某一類(lèi)的類(lèi)別概率。該種方法適合在訓練數據集不足的情況下對網(wǎng)絡(luò )流量進(jìn)行模糊聚類(lèi)。給出一個(gè)流量分類(lèi)器框架，分類(lèi)過(guò)程由基于統 計特性的機器學(xué)習完成，并在此基礎上給出一種特征選擇方法，有利于降低分類(lèi)的復雜度，提高分類(lèi)精度。

通過(guò)對多種聚類(lèi)算法進(jìn)行比較，評估各種聚類(lèi)算法在計算機網(wǎng)絡(luò )流量分類(lèi)中的性能。

3.3.3基于DPI的流量分析技術(shù)

基于DPI流量檢測技術(shù)，可以利用數據報文中 的“指紋”（如特定端口、特定的字符或特定的位 序列）信息的檢測確定所承載業(yè)務(wù)的應用狀況和實(shí)現對新協(xié)議的檢測，可以基于對攻擊者已經(jīng)實(shí)施的行為分析判斷攻擊者正在進(jìn)行的動(dòng)作或即將實(shí)施的動(dòng)作。

3.3.4基于DFI的流量分析技術(shù)

DFI是DPI在持續改善中衍生出來(lái)的檢測技術(shù), 可用于網(wǎng)絡(luò )安全數據采集和檢測。DFI主要分為3 部分：流特征選擇、流特征提取和分類(lèi)器分析。在 深度流檢測中，對會(huì )話(huà)流進(jìn)行識別，提取流特征， 然后經(jīng)由分類(lèi)器進(jìn)行分析。

如果判斷為異常數據， 則可采取相應的處理行為；如果判斷為可疑流量， 則可結合其他方法如上下行流量對稱(chēng)法、時(shí)間跨度 衡量法或行為鏈關(guān)聯(lián)法等進(jìn)行延遲監控判別。

3.4協(xié)議分析

協(xié)議分析是利用網(wǎng)絡(luò )協(xié)議的高度規則性快速探測是否存在攻擊，通過(guò)辨別數據包的協(xié)議類(lèi)型，以便使用相應的數據分析程序檢測數據包。它將所有協(xié)議構成一棵協(xié)議樹(shù)（二叉樹(shù)），如圖4所示。

某個(gè)特定協(xié)議是該樹(shù)結構中的一個(gè)節點(diǎn)，對網(wǎng)絡(luò )數據 包的分析是一條從根到某個(gè)葉節點(diǎn)的路徑。只要在程序中動(dòng)態(tài)維護和配置這個(gè)樹(shù)結構，就能實(shí)現靈活 的協(xié)議分析功能。

協(xié)議樹(shù)分析技術(shù)的主要優(yōu)勢在于采用命令解析器（在不同的協(xié)議層次上）對每個(gè)用戶(hù)命令做出詳細分析，如果出現IP碎片，可以對數據包進(jìn)行重裝還原再分析。協(xié)議分析將降低檢測中出現的誤報現象，可以確保一個(gè)特征串的實(shí)際意義被真正理解, 且基于協(xié)議分析的監測平臺在高速網(wǎng)絡(luò )環(huán)境下不會(huì )造成性能衰減。

通過(guò)研制基于大數據的電力安全監測系統， 建設公司電力監控系統自身檢測與攻擊行為監測能力，提高基于泛在電力物聯(lián)網(wǎng)應用落地、融通發(fā)展 環(huán)境下安全監測與感知能力，對未來(lái)新技術(shù)應用拓 展提供了安全保障。

一是對自身網(wǎng)絡(luò )和各種應用系 統的脆弱性進(jìn)行透析和驗證，識別安全狀況，對系統策略管理、運維管理提供技術(shù)依據，同時(shí)驗證考 核安全管理制度規范的落實(shí)情況；

二是通過(guò)威脅分析感知外部攻擊行為，對原有的防御決策提供補充；

三是通過(guò)對基于大數據的電力安全監測系統的研究，提升工控安全威脅檢測能力、漏洞識別與驗證能力，為工控網(wǎng)絡(luò )安全人員培訓提供技術(shù)環(huán)境。