吳金宇， 陶文偉， 吳昊， 江澤銘

(1.中國南方電網有限責任公司，廣東 廣州 510623;2.中國南方電網數字電網研究院有限公司，廣東 廣州 510555)

0 引 言

隨著國家大力推進智能電網建設，越來越多的傳感器和檢測設備被投入使用，隨之產生的海量數據，可建立一個智能變電站的主動安全防御體系，有效地緩解智能電網的信息安全問題。文獻[1]基于報文識別和流量管控，提出一種智能變電站保護控制信息安全防護方法，雖然能夠提高智能變電站的信息安全系數，但沒有考慮到數據的隱私和保護。文獻[2]基于IEC 61850協議提出了一種智能變電站的數據安全隱私保護方法，雖然能夠提高智能變電站數據隱私保護能力，但是不具備主動防御能力。

本文通過數據加密和入侵檢測兩個方面構建的智能變電站主動安全防御方案，提高了智能變電站數據網絡的安全系數。

1 智能變電站主動安全防御方案

智能變電站數據采集主要依靠各種傳感器，在數據的傳輸中可能會受到外界的入侵。本文采用卷積神經網絡模型對整個數據傳輸網絡中的異常流量進行檢測，智能變電站數據傳輸網絡主動安全防御方案如圖1所示。

圖1 智能變電站數據傳輸網絡主動安全防御方案

智能變電站數據傳輸網絡主動安全防御架構主要分為設備層、數據采集層、入侵檢測層、計算機管理層和數據存儲層。

數據采集層中的數據采集單元主要負責從工業(yè)設備上采集數據，然后將數據傳輸到云存儲中心進行存儲，一些不法分子通過攻擊智能變電站數據傳輸網絡來竊取信息[3]。數據采集層處理采集設備之外，還有信息采集電路以及測試設備，信息采集電路主要為信息采集提供動力，測試設備負責對信息采集設備的采集功能進行相應的測試[4]。在測試中發(fā)現的問題可以及時改進，避免在時間信息采集中發(fā)生問題，造成不必要的損失。

入侵檢測層采用改進卷積神經網絡模型對網絡中的異常流量進行檢測[5]，通過與正常流量進行對比的方法來預測流量的類型。卷積神經網絡對流量的特征進行提取，經過池化層和全連接層，根據流量的特征進行分類。分類結果的準確性會直接影響到異常流量檢測的準確度，傳統的卷積神經網絡會因為采樣過多而丟失部分主要特征，造成分類不準確。本文對其進行改造，提高分類的準確性，從而提高異常流量的檢測精度。

上述架構中采用云存儲對數據進行存儲，云存儲技術經過不斷的發(fā)展已經日漸成熟，在數據存儲方面具有較大的優(yōu)勢。相比于傳統的硬件存儲設備，云存儲利用更小的硬件成本獲得更大的存儲空間[6]，已經被廣泛運用到各個領域中。為了保證數據的安全，在對數據進行存儲時采用全同態(tài)數據加密方法對數據進行加密，全同態(tài)數據加密方法可以根據數據所有者的需求對數據進行加密操作，并將數據以密文的方式儲存在云端，從而保證了數據的安全性[7-8]。

2 關鍵技術設計

2.1 基于改進卷積神經網絡的異常流量檢測模型

傳統的卷積神經網絡模型(CNN)的結構主要分為三層：卷積層、池化層和全連接層。通常情況下，一個卷積層會包含多個卷積，面對數據進行卷積操作，來提高卷積的效率。假設輸入的是圖像采集器采集的一個m×n的圖像，用矩陣x來表示這個圖像，則卷積后的結果為：

h=g(x*w+b)

(1)

式中：g為激活函數;*為卷積的符號;w為卷積核;x為一個大小為m×n的矩陣;b為偏置。

在卷積神經網絡中，池化一般分為兩種，平均池化和最大池化，池化過程也可叫作下采樣和過采樣。平均池化的計算公式為：

H=avgdownλ,τ(C)

(2)

式中：C為卷積面;λ,τ為對卷積面進行的下采樣大小；H為平均池化。

經過池化后，提取到的特征為更高級的特征，通過全連接層對其進行分類：

O=softmax(W*X+b)

(3)

式中：W為全連接層的權重;X為經過池化操作后得到的卷積圖的特征向量;b為全連接層的偏置;O為分類公式。

在傳統的卷積神經網絡中，因為全連接層的數量較多，導致需要設置很多參數，會使得網絡的計算效率變慢，網絡臃腫更新難度大，甚至還會導致過擬合。

異常流量檢測模型的設計要點如下。

(1) 卷積完成后不再進行池化操作，保留卷積后的全部特征。

(2) 卷積后的結果進入全局池化池，通過concatenate技術將平均值和最大值結果聚合成一個新的特征向量。

(3) 采用全連接層和softmax函數得到分類結果，通過與真實值對比得到損失值，根據優(yōu)化算法來更新參數，直到模型收斂。

改進后的卷積神經網絡模型的預測步驟：

(1) 對數據進行相應的預處理。在提取流量的特征向量時，會出現不同數量級的特征向量，進而導致分類結果不準確，本模型將所有的特征向量映射到[0,1]之間。

(2) 進行訓練。將最后的預測結果同真實值進行比較,計算損失值，不斷地更新參數直至模型收斂。

(3) 測試。通過步驟(2)得到一個檢測模型，使用測試集來對該模型的性能進行驗證，如果性能較優(yōu)即可停止訓練，如果性能不夠優(yōu)秀，則繼續(xù)進行訓練。

通過改進卷積神經網絡模型對智能變電站數據傳輸網絡進行流量檢測，降低了被攻擊的概率。

2.2 基于云存儲的全同態(tài)數據加密方案

傳統的全同態(tài)數據加密方案只能對整數進行加法和乘法運算，不適用于云存儲中，本文為了提高該方案的適用性，滿足智能變電站數據傳輸網絡中的云存儲要求，將其加密范圍擴充到實數。

全同態(tài)數據加密方案由四個算法組成：密鑰生成算法、加密算法、解密算法和求值算法。本文的實數的運算法則是將非整數的小數部分轉化成整數，然后按照整數的運算方法進行相應的運算，提出一種實數取模運算方法來進行轉化。

假設一個任意的正整數p和一個任意的實數n滿足：

n=kp+r

(4)

式中：k為整數;r為實數，并且0≤r

實數取模的運算公式為：

(5)

通過式(5)的取模運算可以將全同態(tài)數據加密方案擴展到實數范圍，運用到智能變電站數據傳輸網絡的數據加密中，提高數據的安全性。

3 試驗仿真與分析

對上述設計進行仿真試驗。由于智能變電站數據傳輸網絡的復雜性，選擇在實驗室采用Windows系統的計算機進行試驗，計算機配置為i7 2.20 GHz型號CPU 4核，運行內存為16 GB，硬盤大小1 TB。

3.1 改進卷積神經網絡模型仿真

本次試驗的數據為智能變電站數據傳輸網絡一周的流量統計，其中周一的數據流量全部正常，其余時間一共檢測到九種網絡攻擊：暴力破解FTP、暴力破解SSH、滲透、WEB攻擊、僵尸網絡、心臟出血漏洞、端口掃描攻擊、Dos和DDos。由于檢測的數據流量過多，本文試驗將周一的50%正常流量和其余時間的異常流量作為數據集。

由于不同特征的特征向量級數不同，為了減少計算時間，提高模型的性能，首先對數據進行歸一化處理，處理公式為：

Xscale=(X-Xmean)/σ

(6)

式中：scale為sklearn中的StandardScale模塊;X為每組特征向量的每個特征值;Xmean為該組特征向量的平均值;σ為該組特征向量的標準差。

本文采用精準率(precision)和召回率(recall)兩個指標對模型的性能進行驗證和評估。

根據混淆矩陣的原理，精準率和召回率的計算公式如下：

precision=TP/(TP+FP)

(7)

recall=TP/(TP+FN)

(8)

采用改進卷積神經網絡模型和傳統卷積神經網絡模型對上述的數據集進行測試，對Dos類型的網絡攻擊進行預測，計算兩種模型的預測精準率和召回率，得到表1的兩種模型性能的數據。

表1 兩種模型對Dos網絡攻擊的預測數據

從表1可以看出:改進卷積模型對Dos的預測精準率和召回率都達到了94%以上，傳統的卷積模型都達到了87%以上。但是對一種類型網絡攻擊的預測能力并不能反映模型的性能好壞，因此，采用兩種模型對其余八種的網絡攻擊進行預測，其精準率和召回率如表2所示。

表2 兩種模型對其余八種網絡攻擊的精準率和召回率

從表2可以看出:改進卷積模型對其余八種網絡攻擊的預測精準率和召回率都高于傳統卷積模型，即改進卷積模型的性能優(yōu)于傳統卷積模型，精準率提高了9.58%左右，召回率提高了5.26%左右。

3.2 數據加密方案性能驗證

上述改進中將全同態(tài)數據加密方案的運算范圍從整數擴充到了實數，本文采用整數全同態(tài)數據加密方案(整數全同態(tài))和本文的數據加密方案(實數全同態(tài))進行對比試驗來比較兩種方案的性能。首先對兩種方案的加密時間和機密時間進行對比，在密鑰長度為128 bit的情況下，比較兩種方案對不同長度的數據加密時間和解密時間，如圖2和圖3所示。

圖2 兩種方案的加密時間對比

圖3 兩種方案的解密時間對比

從圖2可以看出：在相同密鑰長度的情況下，隨著明文長度的增加兩種方案的加密時間會有所增長，但是實數全同態(tài)的數據加密時間會比整數全同態(tài)的加密時間短。

從圖3可以看出：在相同密鑰長度的情況下，隨著明文長度的增加兩種方案的解密時間都會有所增長，但是實數全同態(tài)的數據解密時間會比整數全同態(tài)的數據解密時間短。

在相同明文長度下比較兩種方案在不同密鑰長度下的加法和乘法運算時間，將測試結果進行整理，如圖4和圖5所示。

圖4 兩種方案的加法運算時間對比

圖5 兩種方案的乘法運算時間對比

從圖4可以看出：在密鑰長度小于128 bit時，兩種方案的加法時間幾乎相等，但是大于128 bit之后，實數全同態(tài)的數據加密方案的加法運算時間增長速度會低于整數全同態(tài)的。

從圖5可以看出：在密鑰長度小于128 bit時，兩種方案的乘法運算時間幾乎相等，但是大于128 bit之后，實數全同態(tài)的數據加密方案的乘法運算法時間增長速度會低于整數全同態(tài)的。綜上所述，將全同態(tài)數據加密的運算范圍擴展到實數能夠提高運算效率。

4 結束語

采用改進卷積神經網絡和實數全同態(tài)數據加密方案構建智能變電站主動安全防御體系，通過試驗仿真驗證了方案的可行性。試驗證明，本文的入侵檢測和數據加密方案能夠提高智能變電站數據傳輸網絡中的網絡安全，后續(xù)的研究還可以考慮從其他方面來提高智能變電站的網絡安全水平。