朱亞飛,楊文保，許 強

(國網(wǎng)安徽省電力有限公司合肥供電公司，安徽 合肥 230000)

0 引言

智慧電網(wǎng)是整合發(fā)電、輸電、配電用戶端和現(xiàn)代化智能電力管理網(wǎng)絡，是一種雙向溝通的現(xiàn)代通信電力網(wǎng)絡。其利用先進的電表基礎設計并結合無線網(wǎng)絡技術來傳遞電力信息和管理分配電力，可提高能源使用效率[1]。智慧電網(wǎng)所具有的雙向溝通特性，使得電力公司不再只是單向輸電給用戶。用戶端的用電信息也能通過無線電網(wǎng)，實時傳遞到電力公司，使電力公司利用監(jiān)控系統(tǒng)進行遠程監(jiān)控、了解各地的用電狀況并進行電力調(diào)配[2]。智慧電網(wǎng)也提供用戶線上查詢信息的功能，使用戶可以即時了解當前用電情況，從而提高用戶對用電的自覺與意識。

用戶端與服務器端進行溝通，需要通過電網(wǎng)傳輸大量用戶信息與分配所有電力平衡的信息。由于電網(wǎng)是一種雙向即時的通信系統(tǒng)，在電力管理、電力分配與用戶用電等問題上，可以在服務器的資料庫作查詢分析，以獲取相關的信息和數(shù)據(jù)[3]。信息安全問題常常發(fā)生在科學技術的使用過程中，數(shù)據(jù)資料非常容易遭到篡改、竊取，導致重大財產(chǎn)的損失。由于智慧電網(wǎng)的控制與調(diào)度比起傳統(tǒng)的電網(wǎng)傳輸更為復雜，智慧電網(wǎng)傳輸時可能會遭受針對信息安全的攻擊[4]。因此，電網(wǎng)系統(tǒng)信息傳輸?shù)臋C密性、完整性、可用性、隱私權以及電網(wǎng)攻擊等信息安全問題顯得尤為重要。

本文對智慧電網(wǎng)的結構和電網(wǎng)信息安全進行多層面的分析，并在此基礎之上說明了電網(wǎng)不同層面各自面臨的信息安全挑戰(zhàn)。對于全新的攻擊行為，難以通過自動化方式進行偵測。對此，通過異常偵測機制系統(tǒng)，建立攻擊行為的雙線性容侵模型，以進一步識別攻擊數(shù)據(jù)樣本，并加強異常偵測的精確率，從而對當今惡意行為快速變化的環(huán)境作出更加完善的應對和防護。

1 方法

1.1 智慧電網(wǎng)架構及電網(wǎng)信息安全分層

智慧電網(wǎng)架構如圖1所示。

圖1 智慧電網(wǎng)架構Fig.1 Smart grid architecture

近年來，不少的國家和地區(qū)都開始投資建設智慧電網(wǎng)，并大力開展相關技術研究。智慧電網(wǎng)的發(fā)展對可再生能源而言至關重要。美國國家標準技術研究院提出了智慧電網(wǎng)的模型，并定義了智慧電網(wǎng)的七大主要構成模塊，包括電力生產(chǎn)、傳輸、分配、客戶、運營、市場、服務提供商[5]。傳輸模塊在智能電網(wǎng)中的配電域之間進行配電。分配模塊與智能電網(wǎng)中的終端用戶之間進行配電。客戶模塊包括家庭區(qū)域網(wǎng)絡、建筑區(qū)域網(wǎng)絡和工業(yè)區(qū)域網(wǎng)絡。運營模塊負責管理向其他模塊的電力輸送。市場模塊負責管理所有智慧電力網(wǎng)絡的參與者。服務提供商模塊負責管理智慧電網(wǎng)中第三方合作伙伴。智慧電網(wǎng)的七大構成模塊之間，不僅有電力的輸送，更有數(shù)據(jù)交流的信息流[6]。

智慧電網(wǎng)的信息安全問題可以劃分為四個層面。最底層是傳輸電能的物理能源設施層。物理能源設施的上一層是管理整個電力能源供應鏈通信的通信基礎設施層。再上一層是作出即時決策的計算信息技術層。最頂層是電網(wǎng)應用層[7]。信息安全問題貫穿著智慧電網(wǎng)的四個層面，而每個層面都與特定的技術相關。本文對于電網(wǎng)信息安全問題的研究集中于智慧電網(wǎng)應用層。智慧電網(wǎng)信息安全分層如圖2所示。

圖2 智慧電網(wǎng)信息安全分層Fig.2 Smart grid information security layering

智慧電網(wǎng)收集并分析整個電網(wǎng)的傳輸、分布和使用數(shù)據(jù)?；谶@些數(shù)據(jù)，智慧電網(wǎng)技術提供相關的預測信息和電力管理信息。在發(fā)展智慧電網(wǎng)技術的同時，對于信息安全和隱私保護問題的研究也是非常必要的。

1.2 智慧電網(wǎng)應用層的入侵檢測技術

隨著智慧電網(wǎng)在全國范圍內(nèi)的普及，越來越多樣的網(wǎng)絡協(xié)議、網(wǎng)絡應用和服務充斥在人們的日常生活中。在大量技術服務的背后，衍生出的各種惡意入侵行為卻因為不易被察覺而被大眾所忽略。凡是未經(jīng)授權的數(shù)據(jù)資料信息存取行為、通過網(wǎng)絡程序上的弱點或漏洞來嘗試獲得服務主機的控制權，以及借由大量的數(shù)據(jù)連接造成服務癱瘓的行為，都是對電力網(wǎng)絡的惡意入侵行為。此類惡意入侵行為所造成的影響巨大，凸顯了入侵檢測和信息安全防護體系建設的重要性。通過智能電網(wǎng)通信，攻擊者可能會竊取或篡改能源使用和消耗信息。電力供應商的數(shù)據(jù)庫可能被攻擊者入侵[8-9]。智能電網(wǎng)會定期收集和存儲每個用戶的功耗信息，以提供有效的電力服務。這些用戶數(shù)據(jù)擁有重大的分析價值和戰(zhàn)略意義。同時，保護用戶的隱私信息在智能電網(wǎng)中的通信安全至關重要。目前，已經(jīng)有部分研究提出了解決智能電網(wǎng)安全性的方法，例如消息身份驗證、通信系統(tǒng)安全性和安全聚合。但這些研究主要集中在針對外部惡意攻擊行為的防護上。對于惡意攻擊行為的入侵檢測技術仍然是一大難題。入侵到內(nèi)部的攻擊者可以合法地收集和存儲用戶的功耗信息。因此，對此類行為進行入侵檢測是極其重要的一環(huán)。

入侵檢測系統(tǒng)通過數(shù)據(jù)連接的資料和信息，包括流量、封包、連線類型等特征值，對入侵行為預先進行偵測，再由系統(tǒng)作出初步的過濾，并對管理員作出警示[10]。目前的入侵檢測系統(tǒng)主要分為兩種類型，分別為特征偵測與異常偵測兩種。

特征偵測是一個復雜的過程。首先，利用過去的入侵攻擊樣本，通過系統(tǒng)分析得出攻擊行為的特征，建立攻擊行為的異常特征資料庫。然后，通過對異常特征資料庫的比對實現(xiàn)入侵攻擊的偵測辨識。若連線數(shù)據(jù)與資料庫中的特征相吻合，便會被判定為入侵攻擊行為。此方法的優(yōu)點是不容易誤判，缺點是入侵攻擊行為的特征提取和資料庫的建立需要耗費大量的人力和時間。在當今攻擊行為快速變動的環(huán)境下，特征的建立往往比不上攻擊的出現(xiàn)速度。因此，特征偵測系統(tǒng)的最大特點是無法偵測到未知的零時攻擊，對于緊急威脅沒有臨時應變的能力。

異常偵測是利用已知的攻擊樣本與一般的正常樣本混合成資料集，對個別樣本的特征，采用相關算法建構入侵行為的模型，作為辨識之用。異常偵測方法的優(yōu)點在于有能力偵測出未知的零時攻擊，在新型攻擊行為出現(xiàn)時便即時察覺。但該方法的缺點是具有較高的誤判率，即把一般正常的行為錯誤地辨識為惡意入侵行為，導致系統(tǒng)的效益下降。因此，對異常偵測方法進行優(yōu)化以降低誤判率、提高檢測識別的正確率，是當前電網(wǎng)信息安全防護體系的重點工作之一。

1.3 電網(wǎng)入侵攻擊行為的多層學習機制

多層學習機制的目的在于利用未標記的數(shù)據(jù)樣本，配合演算模型，建立對未知攻擊具有良好偵測能力的系統(tǒng)。本研究首先利用多層機制，使用多個針對個別攻擊的分類器，更好地實現(xiàn)對各類攻擊的辨識；然后，在多階段的分類器訓練中，避免其可能產(chǎn)生的最壞狀況。

本研究所指的多層學習機制，是借由重復對未標記的樣本集作識別，增加訓練集中的惡意樣本數(shù)目。首先，利用已標記的訓練樣本訓練出分類器。一次分類器對未標記的樣本進行識別且標記，并將被辨識為惡意樣本的資料加到訓練樣本中；然后，重新訓練新的分類器后，再以新的分類器對上一輪被辨識別為普通樣本的數(shù)資料加以識別。結果同樣將這些樣本中被標記為惡意樣本的資料加到訓練樣本，重復這樣的程序，直到?jīng)]有樣本被辨識惡意樣本，或是達到設定的執(zhí)行上限為止。該做法的意義在于增加原本已標記的訓練資料中較少的惡意樣本數(shù)，并借由樣本訓練的過程辨識可能為惡意的樣本，以獲得更多與惡意樣本有關的特征與行為數(shù)據(jù)。多層學習機制實現(xiàn)過程如圖3所示。

通過研究俄羅斯秋明Сг—6井下套管技術我們不難發(fā)現(xiàn)，要想取得超深井大尺寸套管一次性下套管成功，需要做到以下三點：第一，良好的井眼準備是最重要的前提條件。第二，為了應對大噸位的套管下入，應采用足夠安全的鉆井設備和套管下入工具。第三，嚴格制定下套管操作規(guī)程，采取適當?shù)墓に嚧胧?，嚴防套管遇阻及其他事故的發(fā)生。

圖3 多層學習機制實現(xiàn)過程Fig.3 Multi-layer learning mechanism implementation process

美國國際高級研究計劃局(Defense Advanted Research Progects Agency,DARPA)數(shù)據(jù)集是目前網(wǎng)絡入侵檢測領域的標準數(shù)據(jù)集。DARPA包含了Probe、DoS、R2L、U2R四大攻擊類型。而攻擊種類就是依據(jù)此分類來作分層的原則。由于數(shù)據(jù)集中R2L與U2R類型的樣本數(shù)量比較少，故將其合并為同一層，借由同一個分類器來作辨識。而根據(jù)憤怒統(tǒng)計分析，對于DOS的偵測誤判率是最低的，Probe次之，最高的則是R2L這類攻擊。于是本文利用過濾方式，從DOS的攻擊開始偵測，以達到最好的效益，建構多層入侵偵測系統(tǒng)。

1.4 電網(wǎng)分布數(shù)據(jù)轉換與平穩(wěn)性檢驗

電力網(wǎng)絡分布數(shù)據(jù)的網(wǎng)絡流量特征檢測，需要轉換為連續(xù)性的可觀測狀態(tài)。對于一個凈流量的連續(xù)性特征，必須先將其從數(shù)值的特征值轉換為離散的觀測值。本文將這些特征值分成五種觀測值。分類的依據(jù)是依照正態(tài)分布的情況，加上平均值和標準差進行處理。由于正態(tài)分布在平均值正負一個標準差內(nèi)，應占有全部的70%左右，本文使用以下四個值作為界限，將連續(xù)性的特征數(shù)值加以轉換，分別是：①平均值-標準差；②平均值-0.25×標準差；③平均值+0.25×標準差；④平均值+標準差。

但在此轉換方式下，由于平均值在標準差之后可能為負數(shù)，故需要針對此狀態(tài)進行簡單的轉換處理。

本文采用分段檢驗法對電網(wǎng)系統(tǒng)節(jié)點產(chǎn)生的聚合數(shù)據(jù)時間序列進行檢驗，以驗證其是否滿足平穩(wěn)性?，F(xiàn)對聚合節(jié)點產(chǎn)生的聚合數(shù)據(jù)時間序列{xt}進行平穩(wěn)性檢驗，將{xt}時間序列分成{x1t}、{x2t}和{xnt}。

{xjt}={xj1,xj2,...,xjm},j=1,2,...,n

(1)

(2)

(3)

(4)

|ui-uj|>2.77σ(uj)

(5)

(6)

|Ri,k-Rj,k|>2.77σ(Rj,k)

(7)

在對一個時間序列{xt}進行平穩(wěn)性數(shù)據(jù)檢驗之后，若滿足條件，則可以進行進一步的處理和分析。

1.5 入侵檢測系統(tǒng)分類器權重及門檻值設置

本文研究的重點在于對一個分類器的權重及門檻值的設置。權重的設置主要有三種。第一種是將每個分類器給予一樣的權重，依照分類器的平均情況作為辨識的結果。第二種則是隨著多層學習機制的進行，訓練出分類器。其權重越低，則原始的分類器權重越高。該做法比較重視初始的分類器，后續(xù)的分類器權重值較低，比較適用于辨識率比較差的狀況。這是因為經(jīng)過多層學習機制后，新分類器表現(xiàn)的波動性比較大，雖然可能有較高的攻擊偵測率，但其誤判率可能也比較高。第三種方法是對第二種方法的改進，借由對x系數(shù)的調(diào)整來決定初始與最終訓練出的分類器之間的權值比重，以免過度忽略后期訓練出的分類器。閾值門檻值設置的第一種方法是基本的平均方式，取所有權重取平均值作為門檻值；第二種方式則是借由調(diào)整參數(shù)k來設定門檻值的高低。通過調(diào)整k值來決定k個擁有最小權值的分類器總和，以此作為依據(jù)，使門檻值的設定更具彈性化。

1.6 入侵行為分類識別評估

表1 入侵攻擊行為識別評估情況Tab.1 Intrusion attack behavior identification assessment situation

同時，使用接受者操作特征曲線 (receiver operating characteristic curve,ROC)作為判斷識別結果方法。ROC以二維線性表示，橫軸為假陽性概率(false positive rate，F(xiàn)PR)，縱軸為真陽性概率(true positive rate，TPR)。ROC曲線下的面積(area under the curve,AUC)則是表示在繪制出的ROC曲線圖中，曲線下方的面積。該面積越大，代表檢測系統(tǒng)的TPR越高，F(xiàn)PR越低，即辨識的結果越好。ROC曲線實例如圖4所示。

圖4 ROC曲線實例圖Fig.4 Example graph of ROC curve

2 結果與討論

2.1 電網(wǎng)入侵檢測系統(tǒng)的試驗預測結果

本文使用DARPA數(shù)據(jù)集的原始鏈接數(shù)據(jù)資料所轉換的數(shù)據(jù)作為試驗評測的數(shù)據(jù)集。通過對原始數(shù)據(jù)資料進行轉換，將原始數(shù)據(jù)轉換成網(wǎng)絡流格式，再提取特征資料，作為多層學習模型的特征值。電網(wǎng)入侵檢測系統(tǒng)的試驗預測結果如圖5所示。

圖5 電網(wǎng)入侵檢測系統(tǒng)的試驗預測結果Fig.5 Experimental prediction results of power grid intrusion detection system

根據(jù)圖5所示的結果，經(jīng)過改進的電網(wǎng)入侵異常偵測方法模型的絕對平均誤差(mean absolute error,MAE)降低了16.73%。

2.2 電網(wǎng)攻擊行為多層學習機制模型的算法仿真

本文使用 MATLAB 進行試驗仿真。對經(jīng)過脈沖噪聲處理的數(shù)據(jù)，進行檢測率、誤判率、接收者操作特征曲線曲線AUC等指標的分析，對本文提出的基于分布數(shù)據(jù)的雙階段容侵算法和常用的Bo算法進行仿真試驗。

試驗仿真結果對比如圖6所示。

圖6 試驗仿真結果對比Fig.6 Comparison of experimental simulation results

圖6表示了當惡意攻擊概率p=0.2、惡意攻擊強度D=6時，在不同無線信道通信質量下，本文算法與Bo算法的性能差異。通過觀察可知，在通信質量較好時，本文算法和常用的Bo算法的AUC都更大，說明良好的無線信道通信可以有效提高容侵算法的檢測率、降低漏報率。整體來看，在各種通信質量情況下，本文算法都要優(yōu)于Bo算法。在通信質量惡劣的情況下，兩種算法對應的AUC差值拉大。這意味著在無線信道通信質量較差的情況之下，本文提出的多層學習機制模型具有更強的抗噪性能。

3 結論

本文對智慧電網(wǎng)應用層中的信息安全入侵檢測行為和模型建構進行學習和研究，使用多層學習機制的方法對電網(wǎng)中的分布數(shù)據(jù)的未知入侵攻擊行為進行有效的偵測和識別，并配合相應的數(shù)據(jù)資料集進行試驗數(shù)據(jù)預測。試驗結果顯示，本文模型的數(shù)據(jù)預測結果MAE降低了16.73%。MATLAB仿真試驗表明，本文提出的算法有效地提高了異常偵測方法的精確率、降低了誤判率。未來在電網(wǎng)信息入侵攻擊安全防護方面的研究還有不少需要深入挖掘的地方，可以進一步擴展測試數(shù)據(jù)集的多樣性，提升評估結果的價值。