時間:2019年10月28日 分類:電子論文 次數(shù):
摘要:電力系統(tǒng)的信息網(wǎng)絡是電力行業(yè)長久持續(xù)有效運行下的重要組成部分,而智能電網(wǎng)中電力網(wǎng)與信息網(wǎng)耦合下的復雜網(wǎng)絡結(jié)構(gòu)給信息通訊網(wǎng)絡安全中的流量異常檢測帶來了巨大的挑戰(zhàn)。傳統(tǒng)機器學習算法與新興的深度學習算法在解決流量異常檢測問題領域往往存在著檢測準確度低、實時性差等缺陷,而結(jié)合寬度學習與質(zhì)量管理圖的流量異常檢測流程則有著訓練速度快、準確性高、實時性強的優(yōu)勢,在一定程度上可以滿足智能電網(wǎng)服務器流量異常檢測需求,從而達到提升電網(wǎng)信息安全的目的。
關鍵詞:寬度學習;流量異常檢測;人工神經(jīng)網(wǎng)絡;正常行為模型;質(zhì)量管理圖;智能電網(wǎng)
0引言
智能電網(wǎng)是通過互聯(lián)網(wǎng)及物聯(lián)網(wǎng)技術實現(xiàn)電能在生產(chǎn)、輸送、分配和使用等各個環(huán)節(jié)的數(shù)字化與信息化,其在很大程度上將發(fā)展成一類由信息網(wǎng)和電力網(wǎng)構(gòu)成的相互依存網(wǎng)絡,成為“經(jīng)濟高效、靈活互動、友好開放、清潔環(huán)保”的新一代電力系統(tǒng)[1-4]。作為智能電網(wǎng)的核心命脈,通訊網(wǎng)絡在極大地提升了電力自動化水平、提高社會生產(chǎn)效率、改善用戶體驗的同時,也給電力系統(tǒng)的安全帶來了諸多隱患[5-6]。
電力網(wǎng)與信息網(wǎng)本身都屬于規(guī)模龐大的復雜網(wǎng)絡,其單一網(wǎng)絡本身內(nèi)部穩(wěn)定運行的安全風險已十分復雜;而對于兩者耦合在一起所形成的智能電網(wǎng)這一復合網(wǎng)絡而言,其安全風險在某些極端情況下會遠遠大于單一的復雜網(wǎng)絡[7]。由于在信息層面,節(jié)點之間在完整的通信過程中實際上是處于開放或半開放的環(huán)境中,一旦信息系統(tǒng)遭到外界的干擾或主動攻擊,在很大程度上會對電網(wǎng)系統(tǒng)的性能產(chǎn)生嚴重的影響[8]。
對網(wǎng)絡整體流量相關狀態(tài)的實時監(jiān)測是實時、準確、有效評估智能電網(wǎng)信息安全性的一種最為行之有效的手段,但由于電力網(wǎng)絡本身的復雜網(wǎng)絡特性,瞬息萬變的工作狀態(tài)使得對網(wǎng)絡流量異常情況的辨識難度驟增,進一步給智能電網(wǎng)場景下的信息安全問題提出了更為嚴峻的挑戰(zhàn)。有關學者也在近幾年對網(wǎng)絡異常檢測進行了相關研究。
文獻[9]基于無閾值等先驗知識的研究思路直接對數(shù)據(jù)流量進行聚類,通過對比聚類結(jié)果歐氏空間中的距離信息來實現(xiàn)流量信息的異常檢測,并通過結(jié)合隨機森林算法的方式來提升異常檢測結(jié)果的準確性;文獻[10]主要結(jié)合多尺度下的主成分分析(PrincipleComponentAnalysis,PCA)與小波分析(WaveletAnalysis,WA)等算法的相關優(yōu)勢,通過對網(wǎng)絡流量矩陣數(shù)據(jù)集的相關優(yōu)化與降維分析的手段實現(xiàn)分布式拒絕服務(DistributedDenialofService,DDoS)攻擊注入產(chǎn)生網(wǎng)絡流量異常的分析與檢測。
文獻[11]采用有監(jiān)督的k-近鄰(kNearestNeighbor,kNN)算法與無監(jiān)督的k-均值算法相融合的方式將離線訓練與在線應用相結(jié)合,在保證流量異常檢測結(jié)果準確性的前提下克服了有監(jiān)督學習中kNN算法的效率低下問題;文獻[12]則考慮了不同特征屬性對流量異常檢驗的影響,通過改進的樸素貝葉斯算法來提高檢測的準確性;文獻[13]采用循環(huán)神經(jīng)網(wǎng)絡(RecurrentNeuralNetwork,RNN)算法實現(xiàn)異常流量的檢測與異常類型的分類研究,并取得了十分準確的檢測效果。
對于智能電網(wǎng)復合型網(wǎng)絡結(jié)構(gòu)而言,無監(jiān)督學習由于并未考慮信息網(wǎng)絡內(nèi)部以及電力-信息耦合關系等先驗知識,無論從分析流程還是檢測結(jié)果上均具有較高的主觀性,準確性程度相比于有監(jiān)督學習而言較低;而傳統(tǒng)有監(jiān)督學習算法的迭代速度較慢,且極易陷入局部最優(yōu)收斂,難以滿足信息安全領域的實時性、最優(yōu)性等需求。
針對以上研究中存在的相關問題,本文提出一種基于寬度學習神經(jīng)網(wǎng)絡的智能電網(wǎng)數(shù)據(jù)服務器流量的異常檢測流程,該方法通過對網(wǎng)絡流量相關正常數(shù)據(jù)進行訓練的方式構(gòu)建智能電網(wǎng)數(shù)據(jù)服務器流量在正常工作情況下的正常行為模型,實現(xiàn)利用其他流量相關數(shù)據(jù)對當前服務器流量的估計,進一步通過質(zhì)量管理圖對實際測量值與估計值進行對比,從而實現(xiàn)智能電網(wǎng)數(shù)據(jù)服務器流量異常的檢測。
該異常檢測流程中的寬度學習算法相比于傳統(tǒng)無監(jiān)督學習算法而言具有更高的異常檢測準確度,相比于深度學習流量異常檢測算法具有訓練速度快、實時性高的實際應用優(yōu)勢[14-15];質(zhì)量管理圖相關技術相比于傳統(tǒng)固定閾值判定算法而言具有更強的普適性,對多種類流量異常均具有一定的檢測能力。
1基于寬度學習的智能電網(wǎng)信息網(wǎng)絡流量正常行為模型
1.1智能電網(wǎng)數(shù)據(jù)服務器網(wǎng)絡流量相關數(shù)據(jù)
就現(xiàn)在而言,我國大多數(shù)智能電網(wǎng)數(shù)據(jù)服務器仍采用TCP協(xié)議作為數(shù)據(jù)交互的主流協(xié)議。為不失一般性,本文針對的智能電網(wǎng)數(shù)據(jù)服務器網(wǎng)絡流量相關數(shù)據(jù)采用TCP的相關數(shù)據(jù)屬性來進行研究。在本文中使用的TCP數(shù)據(jù)集來源于某電網(wǎng)公司的某臺數(shù)據(jù)服務器相關日志文件。
在實際研究過程中,服務器數(shù)據(jù)的異常問題主要體現(xiàn)在流量變量上:上行流量異常主要表現(xiàn)為上行流量數(shù)據(jù)的不正常變化,具體現(xiàn)象包括遭受主動擁塞攻擊、網(wǎng)絡異常問題等;而下行流量異常主要表現(xiàn)為下行流量的激增,具體現(xiàn)象包括網(wǎng)絡拓撲結(jié)構(gòu)突變、服務器業(yè)務計劃外變更等。本文的數(shù)據(jù)集中具體包括的異常主要體現(xiàn)在人為的主動擁塞攻擊方面,因此對網(wǎng)絡流量正常行為模型構(gòu)建的目標屬性變量為上行流量,而其他的13個屬性變量則作為已知量用于估計當前上行流量使用。
1.2寬度學習系統(tǒng)相關理論基礎
1.2.1流量異常檢測問題抽象描述
在完成異常流量的識別之前,基于正常行為模型的相關研究理念,需要基于其他有效信息首先對待分析目標變量實現(xiàn)同時刻下的估計,即構(gòu)建同一時刻t下的其他變量與目標變量之間的關系模型。
2基于正常行為模型殘差與質(zhì)量管理
圖的網(wǎng)絡流量異常檢測由于訓練過程中采用服務器在正常運行情況下的相關變量及上行流量數(shù)據(jù)信息,因此在訓練得到的上行流量正常行為模型中,通過模型計算獲得的上行流量估計值與上行流量在當前時刻的實際測量值之間的偏差應僅包括隨機誤差與裝置測量過程中的偶然誤差[14]。在本文中,利用寬度學習系統(tǒng)來實現(xiàn)對上行流量正常行為模型的構(gòu)建。
采用的相關數(shù)據(jù)均為人工標定下服務器處于正常運行狀態(tài)的數(shù)據(jù)作為訓練集,因此可以通過分析真實值與估計值之間殘差的方式來判斷服務器上行流量數(shù)據(jù)是否處于異常狀態(tài),但由于對殘差數(shù)值的可能范圍無法確定,僅憑直接設計單一閾值的方式可能會導致很多誤檢測出現(xiàn),因此很難應用在復雜多變的網(wǎng)絡流量數(shù)據(jù)上。
質(zhì)量管理圖作為實現(xiàn)對監(jiān)控生產(chǎn)過程中出現(xiàn)的異常問題進行消除的主要手段,在當今各大生產(chǎn)行業(yè)的異常檢測中都得到了廣泛的應用,其概念的發(fā)展也愈發(fā)成熟,并逐漸在生產(chǎn)行業(yè)以外的領域大放異彩[16-19]。作為應對生產(chǎn)流程中待觀測參數(shù)的小漂移檢測手段的進一步改進,本文選取指數(shù)加權(quán)滑動平均(ExponentiallyWeightedMovingAverage,EWMA)質(zhì)量管理圖作為上行流量信息異常檢測的手段。
通過EWMA可以通過對歷史一段時間以內(nèi)的流量數(shù)據(jù)進行統(tǒng)計分析,進而確定當前流量處于正常范圍的上下界,即上下控制限:若當前流量的實際值超出了以估計值為中心的上下控制限,則認為當前數(shù)據(jù)表征上行流量的異常狀態(tài);反之則認為上行流量處于正常[20]。就EWMA質(zhì)量管理圖的本質(zhì)而言,該算法實際上是使用一個統(tǒng)計量來分析時間序列中當前數(shù)據(jù)情況的同時,同樣考慮歷史數(shù)據(jù)產(chǎn)生的影響[21]。
3實驗結(jié)果及分析
本文采用的數(shù)據(jù)集來自某電網(wǎng)公司某服務器的相關日志文件,數(shù)據(jù)集包括前述14個變量,數(shù)據(jù)采樣間隔為1min,數(shù)據(jù)跨度約為1個月。基于詳細的日志記載與人工分析,該服務器在前3周內(nèi)均無上行流量異常情況發(fā)生,而在第4周的第4天下午出現(xiàn)了由人為擁塞攻擊所導致的上行流量異常現(xiàn)象。
因此在訓練過程中將前21天的相關數(shù)據(jù)作為訓練集,并按照8:2的比例進行10折交叉檢驗數(shù)據(jù)集劃分,進一步采用寬度學習系統(tǒng)進行正常行為模型的訓練;將后7天的數(shù)據(jù)作為測試集,驗證本文提出的模型能否實現(xiàn)服務器上行流量的異常檢測。本文驗證使用的平臺配置為:Inteli7-7700kCPU、16GB內(nèi)存以及Windows10-64bit操作系統(tǒng),軟件環(huán)境為MatlabR2017b64-bit。
基于寬度學習系統(tǒng)對上行流量的訓練集進行正常行為模型訓練。本文通過與傳統(tǒng)的無監(jiān)督異常檢測算法PCA結(jié)合HotellingT2檢測控制圖進行對比分析的方式對寬度學習算法在流量異常檢測應用場景下的效果進行驗證[23]:記原數(shù)據(jù)為x=[XY],首先將原始訓練集數(shù)據(jù)利用PCA算法進行降維,提取其中占比95%以上貢獻度的前n個主成份,并將其對應特征向量組成重構(gòu)矩陣V。進一步利用重構(gòu)矩陣V將原數(shù)據(jù)還原重構(gòu),記重構(gòu)后的數(shù)據(jù)為x^;最終對訓練集的平方預測誤差(SquaredPredictionError,SPE)序列利用HotellingT2檢測控制圖確定控制限。
進一步計算訓練好的最優(yōu)寬度學習系統(tǒng)在訓練集以及測試集上的殘差。利用EWMA對殘差數(shù)據(jù)進行分析,其中2條黑色虛線分別為EWMA確定出上行流量殘差合理的上下控制限。對于訓練集而言,殘差序列值均落在上下控制限以內(nèi),可見EWMA判斷當前上行流量處于正常運行范圍內(nèi);而對于測試集而言,在第37651個數(shù)據(jù)前后處出現(xiàn)了殘差超出控制限的情況。
表明EWMA判斷對應時刻的上行流量存在異常,而這一結(jié)果與日志記錄中擁塞攻擊發(fā)生的時間(第37647個數(shù)據(jù)前后)相一致,因此本文提出的算法準確地實現(xiàn)了對于智能電網(wǎng)數(shù)據(jù)服務器上行流量異常狀況的檢測。可以看出算法在第34223、36128、38549和38862處分別檢測出了異常,與真實擁塞攻擊的發(fā)生時間偏差較大,且對應誤報情況較為嚴重,不能很好地實現(xiàn)對網(wǎng)絡流量異常的檢測。
4結(jié)束語
本文針對智能電網(wǎng)數(shù)據(jù)服務器流量存在異常的現(xiàn)狀以及傳統(tǒng)異常檢測算法與深度學習算法存在的弊端,提出了一種基于寬度學習的智能電網(wǎng)數(shù)據(jù)服務器流量異常檢測算法,并基于服務器的上行流量及其他相關變量正常工況下的數(shù)據(jù),通過寬度學習系統(tǒng)訓練得到對應最優(yōu)的服務器網(wǎng)絡流量正常行為模型,并進一步結(jié)合EWMA質(zhì)量管理圖對實際運行時上行流量的估計值與真實測量值之間殘差時間序列進行統(tǒng)計分析,繪制出對應的上下控制限,最終成功地實現(xiàn)了對某電網(wǎng)公司某數(shù)據(jù)服務器下的數(shù)據(jù)集中由擁塞攻擊導致的上行流量異常的準確檢測,能較好地完成對智能電網(wǎng)場景下信息的安全保障。
參考文獻:
[1]FANB,WANGC,YANGQM,etal.Performanceguaranteedcontrolofflywheelenergystoragesystemforpulsedpowerloadaccommodation[J].IEEETransactionsonPowerSystems,2018,33(4):3994-4004.
[2]YANGQM,JAGANNATHANS,SUNYX.RobustintegralofneuralnetworkanderrorsigncontrolofMIMOnonlinearsystems[J].IEEETransactionsonNeuralNetworksandLearningSystems,2015,26(12):3278-3286.
[3]郭創(chuàng)新,陸海波,俞斌,等.電力二次系統(tǒng)安全風險評估研究綜述[J].電網(wǎng)技術,2013,37(1):112-118.
智能電網(wǎng)論文投稿期刊:電網(wǎng)技術創(chuàng)刊于1957年1月,被《物理學、電技術、計算機及控制信息數(shù)據(jù)庫》收錄.經(jīng)過50年的發(fā)展目前已成為系統(tǒng)內(nèi)技術門類最廣泛的資深學術技術期刊。