張國萍

（廣州華商職業(yè)學(xué)院，廣東廣州 511300）

近幾年來，外界對能源和電力的網(wǎng)絡(luò)攻擊不斷增加，而國家電網(wǎng)公司是供電的核心，電網(wǎng)安全關(guān)系到國家經(jīng)濟(jì)安全，電網(wǎng)信息化建設(shè)水平和速度在各行業(yè)中都處于前列，安全保障體系建設(shè)一直是電網(wǎng)信息化建設(shè)的重點[1-2]。

對于解決網(wǎng)絡(luò)安全威脅問題，網(wǎng)絡(luò)信息傳輸安全態(tài)勢感知算法有重要意義，安全態(tài)勢感知算法能夠很好地分析出網(wǎng)絡(luò)的健康狀態(tài)，并且利用全流量分析對數(shù)據(jù)進(jìn)行追蹤和取證，從而提出更加可靠的安全應(yīng)對措施[3]。

該文針對電力信息系統(tǒng)在大數(shù)據(jù)環(huán)境下所面臨的安全威脅和各種網(wǎng)絡(luò)攻擊，對網(wǎng)絡(luò)安全態(tài)勢感知與主動防御技術(shù)進(jìn)行了研究。將全流數(shù)據(jù)收集器部署到公司的網(wǎng)絡(luò)出口信息中，收集各類數(shù)據(jù)，例如安全日志、網(wǎng)絡(luò)流量、攻擊情況等，使用高性能處理器處理和存儲數(shù)據(jù)，并利用大數(shù)據(jù)技術(shù)對攻擊數(shù)據(jù)包進(jìn)行回溯分析，并以圖形直觀地顯示攻擊情況，從而發(fā)出攻擊預(yù)警。

1 網(wǎng)絡(luò)信息傳輸安全態(tài)勢感知架構(gòu)設(shè)計

通過對時間和空間的外部信息分析，研究信息的內(nèi)部因素和外部因素，對未來傳輸趨勢進(jìn)行預(yù)測，安全感知態(tài)勢模型如圖1 所示。

圖1 安全態(tài)勢感知模型

根據(jù)圖1 的安全態(tài)勢感知模型可知，在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢感知工作的過程中，系統(tǒng)會自動提取網(wǎng)絡(luò)安全態(tài)勢因子，并對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估，通過評估實現(xiàn)態(tài)勢預(yù)測[4-5]。

就目前發(fā)展來看，針對智能電網(wǎng)的安全態(tài)勢感知仍然存在一些問題，最主要的問題有兩點：1）很難對信息進(jìn)行融合；2）即使完成融合也難以將信息建模和電力系統(tǒng)的復(fù)雜行為結(jié)合到一起。當(dāng)前的智能電網(wǎng)網(wǎng)絡(luò)模型越來越豐富，因此攻擊范圍更大，分布式的布局方式增加了網(wǎng)絡(luò)防控的難度，而網(wǎng)絡(luò)狀況的隨機(jī)性和不確定性，使網(wǎng)絡(luò)安全態(tài)勢感知難以呈現(xiàn)線性關(guān)系，普通的計算方式無法解決上述問題[6-7]。綜上所述，該文基于大數(shù)據(jù)方法研究了一種新的網(wǎng)絡(luò)信息傳輸安全態(tài)勢感知架構(gòu)，如圖2 所示。

圖2 網(wǎng)絡(luò)信息傳輸安全態(tài)勢感知架構(gòu)

根據(jù)圖2 可知，采集器主要負(fù)責(zé)從前端安全服務(wù)器上采集IDP、IDS、TSA 等服務(wù)器的數(shù)據(jù)[8-10]。

預(yù)處理服務(wù)器對各采集服務(wù)器上報的數(shù)據(jù)進(jìn)行匯總，統(tǒng)一規(guī)范地處理各采集服務(wù)器上報的數(shù)據(jù)。所收集的數(shù)據(jù)經(jīng)整理后，儲存于不同的存儲系統(tǒng)，以滿足不同的業(yè)務(wù)需求。

在Hadoop 服務(wù)器上存儲處理過的數(shù)據(jù)，利用Hadoop的存儲和分析能力，進(jìn)行相關(guān)的數(shù)據(jù)統(tǒng)計和數(shù)據(jù)挖掘，然后導(dǎo)入檢索引擎，供Web服務(wù)器查詢[11-12]。

網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器主要負(fù)責(zé)存儲態(tài)勢感知，分析預(yù)警平臺系統(tǒng)的業(yè)務(wù)功能，網(wǎng)絡(luò)顯示服務(wù)器主要負(fù)責(zé)根據(jù)業(yè)務(wù)功能和威脅進(jìn)行數(shù)據(jù)分析和管理，利用態(tài)勢感知和基于基本數(shù)據(jù)的預(yù)警平臺系統(tǒng)來實現(xiàn)數(shù)據(jù)可視化。

該文設(shè)計的網(wǎng)絡(luò)信息傳輸安全態(tài)勢架構(gòu)具有很強(qiáng)的數(shù)據(jù)采集能力，能夠采集電氣設(shè)備數(shù)據(jù)、變電站總線數(shù)據(jù)和網(wǎng)絡(luò)設(shè)備的信息數(shù)據(jù)，在完成采集后，將所有的數(shù)據(jù)都匯集到安全態(tài)勢感知中心，利用模糊聚類方法初步分析各項采集數(shù)據(jù)，該文引入博弈理論和強(qiáng)化學(xué)習(xí)理論對網(wǎng)絡(luò)信息的傳輸安全態(tài)勢感知進(jìn)行分析[13]。

2 網(wǎng)絡(luò)信息傳輸安全態(tài)勢感知算法

在智能大數(shù)據(jù)的信息傳輸過程中，信息傳輸?shù)陌踩陨婕爸T多因素，對網(wǎng)絡(luò)信息傳輸進(jìn)行安全態(tài)勢感知需要對影響信息傳輸?shù)囊蛩剡M(jìn)行感知和分析處理。首先，可以采用模糊聚類方法對涉及信息傳輸安全態(tài)勢的因素進(jìn)行識別，根據(jù)不同因素之間的關(guān)聯(lián)關(guān)系和緊密程度進(jìn)行判斷和分類[14-15]。將采集到的信息數(shù)據(jù)整合為一個數(shù)據(jù)集，作為運算樣本集合，對集合中的數(shù)據(jù)進(jìn)行預(yù)處理，篩選數(shù)據(jù)集中存在缺漏或模糊的數(shù)據(jù)信息，標(biāo)準(zhǔn)化處理數(shù)據(jù)之間的相似性因子。然后根據(jù)處理后的數(shù)據(jù)和數(shù)據(jù)間的相關(guān)關(guān)系構(gòu)建模糊矩陣。假設(shè)樣本數(shù)據(jù)集表示為N=(n1,n2,…,nk)，其中，n表示數(shù)據(jù)集中的序列數(shù)據(jù)，構(gòu)造得到模糊矩陣Z：

其中，zij表示不同數(shù)據(jù)間的模糊關(guān)系，通過對數(shù)據(jù)模糊關(guān)系進(jìn)行分析，能夠得到數(shù)據(jù)模糊矩陣。模糊矩陣可以將數(shù)據(jù)間的相似性關(guān)系表達(dá)出來，因此可以在模糊處理的基礎(chǔ)上對樣本數(shù)據(jù)進(jìn)行分類處理，得到安全態(tài)勢感知處理所需的樣本數(shù)據(jù)集。

針對網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)入侵或攻擊等安全問題，采用博弈論和學(xué)習(xí)算法對網(wǎng)絡(luò)環(huán)境中的安全態(tài)勢問題進(jìn)行調(diào)整。安全態(tài)勢感知機(jī)制的設(shè)計原則如圖3 所示。

圖3 安全態(tài)勢感知機(jī)制的設(shè)計原則

將采集提取出的數(shù)據(jù)樣本和相似性因子按照安全態(tài)勢因素要求分類，輸入滿足要求的數(shù)據(jù)和因子參數(shù)，通過分層神經(jīng)網(wǎng)絡(luò)分析技術(shù)進(jìn)行數(shù)據(jù)樣本關(guān)系分析和關(guān)系網(wǎng)絡(luò)建立。將運算得到的數(shù)據(jù)網(wǎng)絡(luò)與數(shù)據(jù)集參數(shù)進(jìn)行對比，對存在誤差部分進(jìn)行調(diào)整，使神經(jīng)網(wǎng)絡(luò)模型能夠?qū)崿F(xiàn)存在對應(yīng)關(guān)系的數(shù)據(jù)輸入和輸出[16]。

然后，根據(jù)數(shù)據(jù)樣本的值域和屬性選擇合適的參數(shù)，基于博弈論的交互處理過程，調(diào)整數(shù)據(jù)信息的學(xué)習(xí)策略。將分層網(wǎng)絡(luò)輸出的數(shù)據(jù)作為安全態(tài)勢感知數(shù)據(jù)矩陣的輸入節(jié)點，以神經(jīng)網(wǎng)絡(luò)模型中的感知神經(jīng)元和神經(jīng)網(wǎng)絡(luò)關(guān)系作為學(xué)習(xí)模型的基礎(chǔ)。輸入的數(shù)據(jù)信息經(jīng)過博弈處理，與輸出數(shù)據(jù)形成對應(yīng)關(guān)系，運算過程如下：

其中，λ是函數(shù)的陡度參數(shù)，m是數(shù)據(jù)樣本總數(shù)，將輸入的數(shù)據(jù)經(jīng)過函數(shù)激活，得到存在異常因子的數(shù)據(jù)信息，表現(xiàn)出存在網(wǎng)絡(luò)不穩(wěn)定安全因素的信息特征。感知模型如圖4 所示。

圖4 感知模型

對這些不穩(wěn)定因素需要進(jìn)行進(jìn)一步的分析來判斷，通過加權(quán)運算對異常因素數(shù)據(jù)信息進(jìn)行學(xué)習(xí)模擬：

其中，Δrij為加權(quán)后的節(jié)點數(shù)據(jù)，根據(jù)學(xué)習(xí)策略和博弈關(guān)系判定后能夠得到網(wǎng)絡(luò)數(shù)據(jù)是否存在異常安全因素。將反饋得到的數(shù)據(jù)與原樣本數(shù)據(jù)進(jìn)行對比，根據(jù)安全態(tài)勢感知規(guī)則，調(diào)整存在錯誤的數(shù)據(jù)，然后將輸出層數(shù)據(jù)結(jié)果與網(wǎng)絡(luò)中的信息數(shù)據(jù)進(jìn)行匹配，并對時間誤差進(jìn)行處理：

其中，Q表示數(shù)據(jù)節(jié)點對應(yīng)的時間誤差參數(shù)，θk表示節(jié)點的步長參數(shù)，排除時間誤差得到的數(shù)據(jù)為更真實的網(wǎng)絡(luò)安全態(tài)勢感知數(shù)據(jù)信息。

3 實驗研究

為了驗證研究方法的實際應(yīng)用效果，以某公司的網(wǎng)絡(luò)系統(tǒng)為實驗對象進(jìn)行實驗研究。首先，采集該公司某一段時間內(nèi)的網(wǎng)絡(luò)運行數(shù)據(jù)信息作為計算樣本數(shù)據(jù)集，采集內(nèi)容主要為存在網(wǎng)絡(luò)安全問題的網(wǎng)絡(luò)訪問信息、網(wǎng)絡(luò)運行速度以及設(shè)備存儲信息等。將采集到的數(shù)據(jù)進(jìn)行預(yù)處理，得到的數(shù)據(jù)可以通過模糊關(guān)系分析得到數(shù)據(jù)的模糊矩陣。對模糊矩陣輸出的數(shù)據(jù)進(jìn)行博弈分析和學(xué)習(xí)模型構(gòu)建。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5 所示。

圖5 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

將實驗中的數(shù)據(jù)輸入到學(xué)習(xí)模型中，形成了以30 個關(guān)鍵節(jié)點為中心的數(shù)據(jù)關(guān)系集群。實驗參數(shù)如表1 所示。

表1 實驗參數(shù)

表1 的實驗數(shù)據(jù)能夠滿足高效運行的數(shù)據(jù)信息處理。通過計算機(jī)數(shù)據(jù)運算程序?qū)W(wǎng)絡(luò)安全信息數(shù)據(jù)進(jìn)行學(xué)習(xí)模型構(gòu)建，得到存在異常的數(shù)據(jù)信息，排除時間差異因素后，對數(shù)據(jù)的相似性因子進(jìn)行博弈分析，并與原數(shù)據(jù)信息及關(guān)聯(lián)性分析結(jié)果進(jìn)行對比，調(diào)整存在誤差的數(shù)據(jù)運算結(jié)果，得到最后能夠具體體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的數(shù)據(jù)信息。

累積風(fēng)險值結(jié)果如圖6 所示。

圖6 累積風(fēng)險值結(jié)果

根據(jù)圖6 可知，該文提出的方法累積風(fēng)險值誤差更小，對網(wǎng)絡(luò)正常運行的影響很小，網(wǎng)絡(luò)的運行狀態(tài)比較穩(wěn)定，且網(wǎng)絡(luò)運行速度仍然很高，采集到的數(shù)據(jù)通過預(yù)處理篩選后得到的數(shù)據(jù)具有較高的真實性和完整性，整個數(shù)據(jù)采集和處理的過程用時也比較短。對處理過程中的網(wǎng)絡(luò)運行狀態(tài)進(jìn)行風(fēng)險評定，得到評定等級為低風(fēng)險，說明了該文研究的方法在數(shù)據(jù)處理過程中有較高的工作效率和穩(wěn)定性，數(shù)據(jù)的處理對網(wǎng)絡(luò)系統(tǒng)運行的影響很小，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢感知的風(fēng)險也很低。

誤差率感知實驗結(jié)果如表2 所示。

表2 誤差率感知實驗結(jié)果

從實驗得到的安全態(tài)勢感知數(shù)據(jù)結(jié)果來看，該文方法具有較低的誤差率。該文方法在對網(wǎng)絡(luò)安全態(tài)勢感知數(shù)據(jù)運算處理過程中，基于大數(shù)據(jù)的運算機(jī)制，選用了模糊聚類算法、博弈論分析以及機(jī)器學(xué)習(xí)等方法，對數(shù)據(jù)信息和相似性因子進(jìn)行了多層次的運算和關(guān)系構(gòu)建，還對時間誤差問題進(jìn)行了還原計算處理。得到的計算結(jié)果誤差率很低，說明經(jīng)過多層次運算的數(shù)據(jù)具有較高的計算精準(zhǔn)度，能夠更加直接真實地反映網(wǎng)絡(luò)安全態(tài)勢問題。

綜上所述，該文研究的基于大數(shù)據(jù)的網(wǎng)絡(luò)信息傳輸安全態(tài)勢感知算法能夠通過多種算法的運算得到精準(zhǔn)的網(wǎng)絡(luò)安全問題信息，并且能夠保持網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定，具有較低的風(fēng)險值，有利于對大規(guī)模網(wǎng)絡(luò)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢感知，不僅具有高效率、低風(fēng)險的優(yōu)點，還有較低的數(shù)據(jù)運算誤差率。

4 結(jié)束語

該文利用綜合聚類分析算法，提取出網(wǎng)絡(luò)安全態(tài)勢感知的內(nèi)部數(shù)據(jù)，確定感知機(jī)制，對智能電網(wǎng)的內(nèi)部數(shù)據(jù)進(jìn)行深入分析，根據(jù)分析結(jié)果得到評估結(jié)論。相較于傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知算法，該文算法計算能力更強(qiáng)，能夠更好地分析出網(wǎng)絡(luò)安全風(fēng)險值，降低評估的誤差率。