繆海飛 曹 翔 林 青 胡紹謙 湯震宇

電力監(jiān)控系統(tǒng)實時DDoS攻擊檢測方法

繆海飛 曹 翔 林 青 胡紹謙 湯震宇

（南京南瑞繼保電氣有限公司，南京 211102）

針對目前難以實時準(zhǔn)確且低能耗地識別電力監(jiān)控系統(tǒng)中分布式拒絕服務(wù)（DDoS）攻擊的問題，本文基于電力監(jiān)控系統(tǒng)專用防火墻裝置提出一種實時DDoS攻擊檢測方法。采用軟硬件結(jié)合的方式：硬件方面，防火墻采用現(xiàn)場可編程門陣列（FPGA）實時采集報文數(shù)據(jù)，在轉(zhuǎn)發(fā)報文時更新計數(shù)器，實時提供檢測所需的特征值并進行攻擊預(yù)判；軟件方面，在防火墻的用戶空間內(nèi)運行基于機器學(xué)習(xí)的在線識別器，首先在實時采集報文數(shù)據(jù)時感知網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可能異常時使用在線識別器檢測攻擊。本文實現(xiàn)了基于該方法的DDoS攻擊檢測原型系統(tǒng)，并進行了實驗。實驗表明，該方法可以實現(xiàn)資源占用低、識別準(zhǔn)確率高的實時DDoS攻擊檢測。

電力監(jiān)控系統(tǒng)；分布式拒絕服務(wù)（DDoS）攻擊；檢測；實時；機器學(xué)習(xí)

0 引言

近年來，電力信息安全事故頻發(fā)，電力作為關(guān)乎國計民生的重要基礎(chǔ)設(shè)施，一直以來都是網(wǎng)絡(luò)攻擊的重點對象，極易成為網(wǎng)絡(luò)戰(zhàn)的首要目標(biāo)。烏克蘭大停電事故也進一步印證了網(wǎng)絡(luò)攻擊已成為破壞電力等國家關(guān)鍵基礎(chǔ)設(shè)施的新型武器。

電力監(jiān)控系統(tǒng)的信息安全建設(shè)，已經(jīng)從原來的只考慮網(wǎng)絡(luò)邊界的“十六字方針”（橫向隔離、縱向認(rèn)證、安全分區(qū)、網(wǎng)絡(luò)專用）過渡到電力監(jiān)控系統(tǒng)內(nèi)部。盡管電力監(jiān)控系統(tǒng)采用專網(wǎng)專用的形式，但是監(jiān)控專用網(wǎng)絡(luò)中一旦有設(shè)備或計算機被黑客攻陷，極易在專用網(wǎng)絡(luò)環(huán)境下傳播，導(dǎo)致產(chǎn)生網(wǎng)絡(luò)安全問題。在軌道交通網(wǎng)絡(luò)信息系統(tǒng)[1]、配電網(wǎng)自動化通信系統(tǒng)[2-3]和直流控制保護系統(tǒng)[4]中均存在較復(fù)雜的網(wǎng)絡(luò)安全問題。其中，特別是分布式拒絕服務(wù)（distributed denial-of-service, DDoS）攻擊帶來的危害不可小覷，DDoS攻擊的主要目的是消耗攻擊目標(biāo)的計算資源，令網(wǎng)絡(luò)服務(wù)在一段時間內(nèi)不可被訪問，致使服務(wù)癱瘓，在電力監(jiān)控系統(tǒng)中則會導(dǎo)致重要設(shè)備如監(jiān)控后臺無法及時響應(yīng)控制命令，發(fā)生嚴(yán)重電力安全事故。DDoS攻擊流量大、范圍廣、造成的損失大，已經(jīng)嚴(yán)重威脅電力系統(tǒng)網(wǎng)絡(luò)的安全，因此，如何使用較少的資源實時準(zhǔn)確地檢測出DDoS攻擊是目前一個亟待解決的問題。

本文基于準(zhǔn)確性和實時性要求，提出一種基于防火墻裝置的軟硬件結(jié)合的實時DDoS攻擊檢測方法，硬件負(fù)責(zé)采集數(shù)據(jù)，軟件負(fù)責(zé)檢測和分析，軟硬件各司其職，大大提升了電力監(jiān)控系統(tǒng)內(nèi)DDoS攻擊檢測的準(zhǔn)確性和實時性。

1 相關(guān)研究

國內(nèi)外針對DDoS攻擊檢測的研究有很多，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境和互聯(lián)網(wǎng)環(huán)境下，也有很多方法來檢測DDoS攻擊。文獻[5]總結(jié)歸納了電力信息物理系統(tǒng)中信息側(cè)的網(wǎng)絡(luò)攻擊檢測方案，利用網(wǎng)絡(luò)流量分布規(guī)律檢測電力監(jiān)控系統(tǒng)是否遭受DDoS攻擊。文獻[6]提出一種基于時-頻域混合特征的變電站通信網(wǎng)異常流量檢測方法，采用人工蜂群優(yōu)化的支持向量機算法進行DDoS攻擊的檢測。文獻[7]從攻擊方視角分析了電力系統(tǒng)內(nèi)網(wǎng)絡(luò)攻擊的常見模式，分析了DoS攻擊帶來的危害，提出針對性的入侵檢測方法。在傳統(tǒng)領(lǐng)域，針對DDoS攻擊的檢測更是很多，文獻[8]提出一種針對物聯(lián)網(wǎng)設(shè)備的基于機器學(xué)習(xí)方法的DDoS攻擊檢測方法，通過有限數(shù)量的端點和數(shù)據(jù)包之間的固定時間間隔來進行特征選擇，最終實現(xiàn)低成本的DDoS攻擊檢測。文獻[9]提出一種通過構(gòu)建平均數(shù)據(jù)包間到達時間的模糊估計器來進行DDoS檢測的方法，首先檢測DDoS攻擊事件，然后識別有問題的IP地址。文獻[10]提出一種基于目標(biāo)IP地址的熵變化來檢測DDoS攻擊的解決方案，該方法的實時性較好，能夠在攻擊報文的前500幀報文內(nèi)完成檢測。文獻[11]提出一種基于網(wǎng)絡(luò)熵估計、協(xié)同聚類、信息增益比算法的用于在線DDoS檢測的半監(jiān)督式機器學(xué)習(xí)方法，該方法的無監(jiān)督部分允許減少與DDoS檢測無關(guān)的正常流量數(shù)據(jù)，從而降低誤報率并提高準(zhǔn)確性，而受監(jiān)督的部分允許降低無監(jiān)督部分的誤報率并準(zhǔn)確地對DDoS流量進行分類。文獻[12]提出使用廣義熵度量和信息距離度量兩個新的信息度量，通過測量合法流量和攻擊流量之間的差異來檢測低速率DDoS攻擊。

但是，上述方法較少用于電力監(jiān)控系統(tǒng)內(nèi)部。因為這些方法要么計算量太大導(dǎo)致無法做到實時性，要么可以實時檢測但是準(zhǔn)確率較低，無法滿足電力系統(tǒng)對攻擊檢測的實時性和準(zhǔn)確性要求。為解決上述問題，本文提出一種基于防火墻裝置的軟硬件結(jié)合的實時DDoS攻擊檢測方法。電力監(jiān)控系統(tǒng)中采用的防火墻裝置，一般都擁有可編程特性，本文利用電力監(jiān)控系統(tǒng)防火墻的可編程特性，新增硬件計數(shù)器，通過讀取硬件計數(shù)器對DDoS攻擊進行預(yù)判斷，在疑似發(fā)生DDoS攻擊時，將報文提取至防火墻的軟件層面，并運行機器學(xué)習(xí)模塊對報文數(shù)據(jù)進行檢測，從而實現(xiàn)資源占用低、識別準(zhǔn)確率高的實時DDoS攻擊檢測。

本文基于電力監(jiān)控系統(tǒng)專用防火墻裝置，該裝置用于電力監(jiān)控系統(tǒng)內(nèi)網(wǎng)絡(luò)報文過濾，采用多核CPU作核心處理，同時輔以現(xiàn)場可編程門陣列（field programmable gate array, FPGA），兩者互相配合，以便實現(xiàn)特定的功能。由于CPU與FPGA的結(jié)合，防火墻裝置可以同時編寫軟硬件程序，控制其對報文的處理，實現(xiàn)可編程功能。

因此，本文在防火墻裝置中編寫軟件代碼，在FPGA中運行硬件程序，軟件代碼可以通過對應(yīng)的應(yīng)用程序接口（application programming interface, API）讀取相應(yīng)的硬件計數(shù)器，可以較為方便地在該平臺上實現(xiàn)軟硬件的配合，收發(fā)并分析報文，以及配置規(guī)則等，電力監(jiān)控系統(tǒng)專用防火墻裝置提供了硬件基礎(chǔ)，可以實現(xiàn)實時DDoS攻擊檢測。

2 軟硬件結(jié)合的DDoS攻擊檢測方法

本文從降低設(shè)備資源使用率、實時性和準(zhǔn)確性出發(fā)，提出基于防火墻裝置的軟硬件結(jié)合的實時DDoS攻擊檢測方法，該方法由兩大模塊組成：基于FPGA的實時數(shù)據(jù)采集模塊和基于機器學(xué)習(xí)的攻擊識別模塊。兩大模塊均在防火墻裝置的用戶空間中運行，數(shù)據(jù)采集模塊基于FPGA進行編程，改變報文在防火墻中的流向，同時記錄重要數(shù)據(jù)并保存在寄存器中；攻擊識別模塊提取寄存器值和報文特征值進行在線識別，基于機器學(xué)習(xí)技術(shù)可以高準(zhǔn)確率地檢測出是否存在DDoS攻擊。

2.1 基于FPGA的實時數(shù)據(jù)采集模塊

在對DDoS攻擊的檢測中，實時數(shù)據(jù)采集比較影響網(wǎng)絡(luò)性能，容易造成網(wǎng)絡(luò)堵塞，影響防火墻裝置的正常轉(zhuǎn)發(fā)，因此采用硬件方式實時感知網(wǎng)絡(luò)狀態(tài)。經(jīng)過對DDoS攻擊的調(diào)研可知，攻擊過程中一般會在短時間內(nèi)有大量不同的源端訪問同一個目的機器，而目的機器無法處理大量的請求，從而導(dǎo)致拒絕服務(wù)。這樣在鏈路上可以看到接收的報文數(shù)遠(yuǎn)大于發(fā)出的報文數(shù)，會出現(xiàn)收發(fā)數(shù)量不對等和流量激增等特征，利用這樣的特征可以通過對FPGA編程，從硬件層面上獲取網(wǎng)絡(luò)鏈路狀態(tài)值，同時將數(shù)據(jù)保存在寄存器中，便于軟件程序讀取硬件計數(shù)器，以最小的資源代價提前感知網(wǎng)絡(luò)異常狀態(tài)。

實時采集模塊基于FPGA的可編程特性，將流經(jīng)防火墻的報文在經(jīng)過簡單的計算后保存在相應(yīng)的計數(shù)器中，用戶空間的軟件可以通過硬件API獲取實時采集的數(shù)據(jù)。報文在被FPGA捕獲到后，首先解析用戶定義的關(guān)鍵字信息，隨后根據(jù)關(guān)鍵字提取報文中的相應(yīng)值，然后通過查表模塊將獲取的值更新到對應(yīng)的硬件寄存器中，最后報文由自定義動作模塊轉(zhuǎn)發(fā)到目的地址，硬件原理框圖如圖1所示。

圖1 硬件原理框圖

為了減少軟件和硬件之間的交互時間，本文在收集消息特征時使用字節(jié)速率來幫助實現(xiàn)實時攻擊預(yù)測。一般來說，正常流中的字節(jié)率會比較穩(wěn)定。當(dāng)主機受到DDoS攻擊時，字節(jié)率的差異會在短時間內(nèi)急劇增加，在統(tǒng)計上呈現(xiàn)出一定的突變。

本文基于滑動窗口法進行DDoS攻擊檢測預(yù)判，通過計算相鄰時間段內(nèi)的狀態(tài)及狀態(tài)的變化量推算是否產(chǎn)生異常。采取該方法以窗口的形式計算網(wǎng)絡(luò)中的字節(jié)速率，判斷電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境是否穩(wěn)定無突變等。

由于防火墻裝置可以從硬件層面實時提供當(dāng)前時刻接收到的字節(jié)總數(shù)，用Y表示，那么式（1）可以轉(zhuǎn)換為式（2），改進后的計算量更小，且無需采集報文，對網(wǎng)絡(luò)環(huán)境幾乎沒有影響。

根據(jù)滑動窗口閾值的思想，若+1＞bf，其中閾值取0.5，則網(wǎng)絡(luò)可能發(fā)生了異常波動。

綜上所述，基于FPGA的實時數(shù)據(jù)采集模塊能夠?qū)崟r采集數(shù)據(jù)，并根據(jù)閾值進行DDoS攻擊檢測預(yù)判，一旦檢測到網(wǎng)絡(luò)異常，將通知DDoS攻擊識別模塊，在該模塊中，利用機器學(xué)習(xí)技術(shù)對DDoS攻擊進行識別。

2.2 基于機器學(xué)習(xí)的攻擊識別模塊

1）基于機器學(xué)習(xí)的DDoS攻擊識別機制

在發(fā)生DDoS攻擊時，網(wǎng)絡(luò)環(huán)境中的某些特征在統(tǒng)計上與正常流量差異較為明顯，如IP數(shù)量、端口數(shù)量、雙向報文數(shù)量等特征值。因此可以利用機器學(xué)習(xí)技術(shù)分析正常流量和異常流量數(shù)據(jù)，提取特征值并建模，以識別DDoS攻擊。

基于機器學(xué)習(xí)的DDoS攻擊識別機制首先進行訓(xùn)練和測試，訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集的處理如下文所述。訓(xùn)練和測試完成后將得到分類模型，DDoS攻擊識別器加載該分類模型后根據(jù)實時從報文中提取出的特征值進行DDoS攻擊識別。

為了達到實時性，本文選擇以2s為時間單位，在有報文流入該模塊后，分析每個周期的流量情況，提取該周期內(nèi)的特征值，形成特征向量，由訓(xùn)練好的DDoS攻擊識別程序進行分類，以進行實時DDoS攻擊檢測。

2）數(shù)據(jù)集處理

為達到最佳訓(xùn)練效果，本文選用CICIDS2017數(shù)據(jù)集[13]，該數(shù)據(jù)集由標(biāo)記的網(wǎng)絡(luò)流組成，包括完整的數(shù)據(jù)包pcap文件和進行過標(biāo)記的CSV文件等。

本文首先從數(shù)據(jù)集中提取與DDoS攻擊相關(guān)的報文和相應(yīng)的CSV文件，根據(jù)已知的DDoS攻擊的發(fā)生時間和攻擊者與受害者IP等信息，對不同的記錄進行標(biāo)記，將正常記錄標(biāo)記為0，DDoS攻擊記錄標(biāo)記為1，提取出正常記錄約9.0萬條，攻擊記錄約13.0萬條，共約22.0萬條。

隨后對數(shù)據(jù)集進行隨機劃分，按照9:1的比例將數(shù)據(jù)集劃分為訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集，數(shù)據(jù)集劃分結(jié)果見表1。

表1 數(shù)據(jù)集劃分結(jié)果

3）特征選擇與分類器

特征選擇指的是在特征向量中選擇出那些優(yōu)秀的特征，組成新的、更精簡的特征向量的過程。它在高維數(shù)據(jù)分析中十分常用，可以剔除冗余和無關(guān)的特征，提升分類器的性能。

本文在選擇特征時基于協(xié)議分析和流量模型分析等兩大類方法，泛化性較好。本文采用封裝的特征選擇方法，其核心思想是將子集的選擇視為一個搜索優(yōu)化問題，生成不同的組合，對這些組合進行評估，并與其他組合進行比較。

在特征選擇的過程中，采用的具體算法為遞歸消除特征法。首先隨機構(gòu)建模型，然后選出最差的特征，把選出來的特征剔除，在剩余的特征中重復(fù)這個過程，直至遍歷完所有的特征值。該特征選擇法使用比較簡單，可以面向分類器算法進行優(yōu)化，但由于存在龐大的搜索空間，因此可能具有不穩(wěn)定性，需要通過知識儲備預(yù)先定義啟發(fā)式策略，因此本文在選擇特征的過程中，同時考慮了Karimazad的建議[14]，最終選擇表2中的11個特征值進行DDoS攻擊識別和分類。其中，8個特征值為計數(shù)特征值，可直接從防火墻設(shè)備上的硬件計數(shù)器獲取，3個特征值為計算特征值，需要在防火墻軟件層進行簡單計算。

表2 DDoS攻擊檢測算法特征值

分類器作用是在標(biāo)記好類別的訓(xùn)練數(shù)據(jù)基礎(chǔ)上判斷一個新的觀察樣本所屬的類別。針對DDoS攻擊識別，分類器依據(jù)的學(xué)習(xí)方式為監(jiān)督學(xué)習(xí)，每個訓(xùn)練樣本包括訓(xùn)練樣本的特征和相對應(yīng)的標(biāo)簽。

本文選取支持向量機（support vector machine, SVM）分類算法，利用支持向量機建立的分類器能夠同時最小化經(jīng)驗誤差與最大化幾何邊緣區(qū)，提高查準(zhǔn)率和查全率。軟件選擇開源的支持向量機的庫LibSVM[15]。

2.3 軟硬件結(jié)合的DDoS攻擊檢測原型系統(tǒng)

為驗證所提的DDoS攻擊檢測算法能夠低能耗、高準(zhǔn)確率地檢測出DDoS攻擊，在電力監(jiān)控系統(tǒng)防火墻裝置中編寫軟硬件代碼，根據(jù)2.1節(jié)和2.2節(jié)中的算法實現(xiàn)了DDoS攻擊檢測原型系統(tǒng)，原型系統(tǒng)運行在該防火墻上。

原型系統(tǒng)由三個模塊組成：FPGA模塊、硬件感知模塊和在線識別模塊。首先根據(jù)需求對FPGA進行編程，使電力監(jiān)控系統(tǒng)防火墻設(shè)備在轉(zhuǎn)發(fā)報文的同時可以進行計數(shù)，并提供2.2節(jié)中要求的計數(shù)型特征值。

硬件感知模塊定期讀取防火墻的硬件計數(shù)器，根據(jù)閾值判斷網(wǎng)絡(luò)是否波動。在線識別模塊在硬件感知模塊識別出異常的網(wǎng)絡(luò)波動后啟動，提取報文的特征值，并使用訓(xùn)練好的分類器模型識別是否為DDoS攻擊。原型系統(tǒng)的流程如圖2所示。

3 實驗與分析

3.1 實驗環(huán)境

采用變電站網(wǎng)絡(luò)交換機作為網(wǎng)絡(luò)交換設(shè)備，電力系統(tǒng)專用防火墻中安裝DDoS攻擊檢測原型系統(tǒng)，PC作為終端，針對服務(wù)器進行DDoS攻擊檢測實驗。所有機器均直接或間接地連接在變電站網(wǎng)絡(luò)交換機上，彼此可以互相訪問，其中服務(wù)器與PC之間安裝有電力監(jiān)控系統(tǒng)防火墻。實驗拓?fù)淙鐖D3所示。

在PC1和PC2上，運行DDoS攻擊流量產(chǎn)生軟件Hyenae，用于模擬對服務(wù)器進行DDoS攻擊，PC和服務(wù)器上均運行變電站站內(nèi)通信常用程序等以模擬正常流量。PC2除了運行以上程序外，還用作電力監(jiān)控系統(tǒng)防火墻的控制器，用于配置流表、下發(fā)規(guī)則、離線訓(xùn)練分類器、下發(fā)分類器模型及控制DDoS攻擊產(chǎn)生器等。在電力監(jiān)控系統(tǒng)防火墻中，運行2.3節(jié)中實現(xiàn)的軟硬件結(jié)合的DDoS攻擊檢測原型系統(tǒng)。

圖2 原型系統(tǒng)流程

圖3 實驗拓?fù)?/p>

3.2 實驗內(nèi)容

首先通過Hyenae程序產(chǎn)生大量的正常流量和TCP、UDP、ICMP等攻擊流量，在防火墻中采集報文，每隔單位時間匯總至控制器處，本次數(shù)據(jù)采集共運行2天，每一種類型（Normal、TCP、UDP、ICMP）各24h，每隔2s采集一次數(shù)據(jù)，共采集17.28萬條數(shù)據(jù)，然后在控制器上訓(xùn)練SVM分類器，并采用Radial Basis核函數(shù)[16]進行驗證。訓(xùn)練完成后控制器將分類模型更新至電力監(jiān)控系統(tǒng)防火墻裝置的配置中。

實驗開始后，在兩臺機器之間正常通信，將某電力監(jiān)控系統(tǒng)站內(nèi)報文進行還原和重放，分類結(jié)果一直顯示為0（即沒有攻擊產(chǎn)生），在Hyenae產(chǎn)生攻擊流量（TCP SYN Flood）后，分類結(jié)果顯示為1（即有TCP SYN Flood攻擊），當(dāng)調(diào)整DDoS攻擊類型后，如進行UDP Flood攻擊時，電力監(jiān)控系統(tǒng)防火墻裝置中的分類程序顯示結(jié)果為相應(yīng)的代碼。

3.3 實驗結(jié)果分析

在發(fā)起攻擊后，本實驗監(jiān)控DDoS攻擊檢測和識別的實時性能。實驗發(fā)現(xiàn)，識別系統(tǒng)可以在1～2個周期內(nèi)，即2s內(nèi)確定DDoS攻擊類型，并通過控制臺打印攻擊類型。每種攻擊類型測試10min，計算周期2s，計算識別準(zhǔn)確率。表3為實時DDoS攻擊識別程序?qū)Σ煌愋凸舻淖R別準(zhǔn)確率。

表3 不同DDoS攻擊的識別準(zhǔn)確率

由表3可見，該方法能夠準(zhǔn)確識別TCP、UDP、ICMP三種不同類型的DDoS攻擊，其中對TCP SYN Flood攻擊的識別準(zhǔn)確率最高，達到96.3%。不同算法的對比見表4，由表4可知，與Karimazad提出的RBF神經(jīng)網(wǎng)絡(luò)算法[14]和Subbulakshmi提出的EMC-SVM算法[17]相比，本文提出的基于硬件感知器和在線SVM的DDoS攻擊檢測有更高的準(zhǔn)確率，較高的準(zhǔn)確率為后續(xù)的DDoS攻擊流量的清洗提供了前提。

表4 不同攻擊檢測算法的準(zhǔn)確率對比

同時注意到，在線識別對防火墻裝置的系統(tǒng)資源消耗較大，所以本文采用硬件感知結(jié)合機器學(xué)習(xí)在線識別的方式對DDoS攻擊進行檢測，降低了資源使用率。實驗中對防火墻裝置的資源使用率進行了監(jiān)控，其在識別期間的CPU和RAM的使用率變化曲線如圖4所示。

由圖4可見，系統(tǒng)運行時CPU只使用了30%左右，當(dāng)開始在線識別DDoS攻擊后，CPU使用率最高也只是在35%左右，而RAM則一直穩(wěn)定在42%～48%之間。由此可見，本文提出的實時DDoS攻擊檢測方法具有占用系統(tǒng)資源小的特點。

圖4 檢測期間防火墻裝置的資源使用率

4 結(jié)論

本文提出了一種基于電力監(jiān)控系統(tǒng)防火墻裝置的軟硬件結(jié)合的實時DDoS攻擊檢測方法，該方法采用軟硬件結(jié)合的方式，首先利用硬件計數(shù)器感知網(wǎng)絡(luò)狀態(tài)，占用資源較少，在檢測到可能的網(wǎng)絡(luò)異常后，使用機器學(xué)習(xí)技術(shù)在線識別DDoS攻擊。由于電力監(jiān)控系統(tǒng)防火墻裝置可以從硬件層面提供大多數(shù)特征值，因而大大減少了計算量，達到實時檢測的效果，且準(zhǔn)確率較高。實驗表明，本文所提方法可以有效地進行實時DDoS攻擊檢測。

[1] 陳超群, 陳勃, 劉布麒, 等. 軌道交通網(wǎng)絡(luò)信息安全防護系統(tǒng)研究與設(shè)計[J]. 電氣技術(shù), 2020, 21(2): 50-55.

[2] 王剛, 張向東, 陳順利, 等. 依托灰關(guān)聯(lián)投影的配網(wǎng)自動化通信網(wǎng)絡(luò)安全性評價研究[J]. 電氣技術(shù), 2019, 20(6): 66-69.

[3] 金能, 梁宇, 邢家維, 等. 提升配電網(wǎng)線路保護可靠性的遠(yuǎn)方保護及其與就地保護優(yōu)化配合方案研究[J]. 電工技術(shù)學(xué)報, 2019, 34(24): 5221-5233.

[4] 張浩然, 賈帥鋒, 趙冠華, 等. 直流控制保護系統(tǒng)網(wǎng)絡(luò)安全分析與對策[J]. 電氣技術(shù), 2020, 21(1): 110- 112.

[5] 湯奕, 李夢雅, 王琦, 等. 電力信息物理系統(tǒng)網(wǎng)絡(luò)攻擊與防御研究綜述: (二)檢測與保護[J]. 電力系統(tǒng)自動化, 2019, 43(10): 1-9.

[6] 楊挺, 侯昱丞, 趙黎媛, 等. 基于時-頻域混合特征的變電站通信網(wǎng)異常流量檢測方法[J]. 電力系統(tǒng)自動化, 2020, 44(16): 79-86.

[7] 蘇盛, 吳長江, 馬鈞, 等. 基于攻擊方視角的電力CPS網(wǎng)絡(luò)攻擊模式分析[J]. 電網(wǎng)技術(shù), 2014, 38(11): 3115-3120.

[8] DOSHI R, APTHORPE N, FEAMSTER N. Machine learning ddos detection for consumer internet of things devices[C]//2018 IEEE Security and Privacy Workshops (SPW), San Francisco, USA, 2018: 29-35.

[9] SHIAELES S N, KATOS V, KARAKOS A S, et al.

Real time DDoS detection using fuzzy estimators[J]. Computers & Security, 2012, 31(6): 782-790.

[10] MOUSAVI S M, ST-HILAIRE M. Early detection of DDoS attacks against SDN controllers[C]//2015 International Conference on Computing, Networking and Communications (ICNC), Garden Grove, USA, 2015: 77-81.

[11] IDHAMMAD M, AFDEL K, BELOUCH M. Semi- supervised machine learning approach for DDoS detection[J]. Applied Intelligence, 2018, 48(10): 3193- 3208.

[12] YANG Xiang, LI Ke, ZHOU Wanlei. Low-rate DDoS attacks detection and traceback by using new information metrics[J]. IEEE Transactions on Infor- mation Forensics and Security, 2011, 6(2): 426-437.

[13] SHARAFALDIN I, LASHKARI A H, GHORBANI A A. Toward generating a new intrusion detection dataset and intrusion traffic characterization[C]//4th Inter- national Conference on Information Systems Security and Privacy (ICISSP), Portugal, 2018: 108-116.

[14] KARIMAZAD R, FARAAHI A. An anomaly-based method for DDoS attacks detection using RBF neural net-works[C]//Proceedings of the International Con- ference on Network and Electronics Engineering, Singapore, 2011, 11: 44-48.

[15] CHANG C C, LIN C J. LIBSVM: a library for support vector machines[J]. ACM Transactions on Intelligent Systems and Technology (TIST), 2011, 2(3): 1-27.

[16] BUHMANN M D. Radial basis functions: theory and implementations[M]. UK: Cambridge University Press, 2003.

[17] SUBBULAKSHMI T, BALAKRISHNAN K, SHALINIE S M, et al. Detection of DDoS attacks using enhanced support vector machines with real time generated dataset[C]//2011 Third International Conference on Advanced Computing, India, 2011: 17-22.

Real-time DDoS attack detection method in power monitoring system

MIAO Haifei CAO Xiang LIN Qing HU Shaoqian TANG Zhenyu

(NR Electric Co., Ltd, Nanjing 211102)

Aiming at the problem that distributed denial-of-service (DDoS) attacks in power monitoring system are difficult to identify in real time with high accuracy and low energy consumption, a real-time DDoS attack detection method based on firewall is proposed. The method adopts a combination of software and hardware. On the hardware side, the firewall uses field programmable gate array (FPGA) to collect message data in real time, update counters when forwarding messages, provide real-time characteristic values required for detection and perform attack prediction. On the software side, it runs a recognizer based on machine learning. The hardware senses the network status in real time when collecting packet data. Once the network is abnormal, the online identifier is launched to detect DDoS attack. A DDoS attack detection prototype system based on this method is implemented and deployed. Experiments show that the method can detect DDoS attack in real time with low resource occupancy and high accuracy.

power monitoring system; distributed denial-of-service (DDoS) attack; detection; real time; machine learning

2021-08-23

2021-09-30

繆海飛（1994—），男，江蘇如東人，碩士，工程師，主要從事變電站網(wǎng)絡(luò)安全和變電站自動化系統(tǒng)的研究與開發(fā)工作。