高 宇

(國(guó)家電網(wǎng)公司東北分部水電管理部，遼寧 沈陽(yáng) 110180)

在應(yīng)用業(yè)務(wù)不斷增加的背景下，電網(wǎng)調(diào)度通信網(wǎng)規(guī)模日趨擴(kuò)大，結(jié)構(gòu)復(fù)雜度隨之提升，如果電網(wǎng)調(diào)度通信網(wǎng)絡(luò)存在安全問(wèn)題，很可能被一些不良分子利用，如竊取私人信息、篡改關(guān)鍵數(shù)據(jù)等[1]。

目前，惡意入侵行為是危害電網(wǎng)調(diào)度通信網(wǎng)安全最嚴(yán)重的行為，它是指利用充滿惡意的程序、腳本等破壞網(wǎng)絡(luò)的完整性，包括木馬、勒索軟件、蠕蟲(chóng)等。惡意入侵行為含有復(fù)制、抗查殺、擴(kuò)散速度快等特點(diǎn)，在網(wǎng)絡(luò)中的存在形式十分復(fù)雜、頑固，從而給電網(wǎng)調(diào)度通信網(wǎng)帶來(lái)巨大威脅[2]。電網(wǎng)調(diào)度通信網(wǎng)惡意行為檢測(cè)的傳統(tǒng)方法一般是利用電網(wǎng)監(jiān)控告警信息系統(tǒng)采集和監(jiān)視，但該系統(tǒng)針對(duì)的是全電網(wǎng)數(shù)據(jù)，很難從海量電網(wǎng)數(shù)據(jù)中挖掘出調(diào)度通信網(wǎng)惡意行為信息。隨著惡意入侵行為數(shù)量持續(xù)增加，為降低電網(wǎng)調(diào)度通信網(wǎng)的安全風(fēng)險(xiǎn)，保證電力系統(tǒng)穩(wěn)定運(yùn)行，研究有效的惡意入侵行為自動(dòng)化監(jiān)測(cè)方法具有重大意義。

該課題引起很多相關(guān)專(zhuān)家學(xué)者的關(guān)注，例如孫國(guó)強(qiáng)等[3]通過(guò)知識(shí)庫(kù)與深度學(xué)習(xí)的融合，實(shí)現(xiàn)惡意入侵行為自動(dòng)化監(jiān)測(cè)，該方法的監(jiān)測(cè)精度高達(dá)97.11%，但采集的特征存在大量冗余，計(jì)算復(fù)雜度較高，導(dǎo)致檢測(cè)時(shí)間較長(zhǎng)；吳麗佳等[4]基于壓縮感知技術(shù)對(duì)原始信號(hào)進(jìn)行降維處理,并匹配觀測(cè)向量矩陣，對(duì)電力數(shù)據(jù)進(jìn)行重構(gòu)，實(shí)現(xiàn)惡意入侵行為的自動(dòng)化監(jiān)測(cè)。該方法具有較高的監(jiān)測(cè)覆蓋率，但監(jiān)測(cè)時(shí)長(zhǎng)有待優(yōu)化。

為了解決現(xiàn)有研究方法檢測(cè)時(shí)間較長(zhǎng)的問(wèn)題，進(jìn)一步提高檢測(cè)效率，本文提出基于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)的電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)方法?；谛袨樽止?jié)序列，利用變長(zhǎng)N-gram滑動(dòng)窗口，提取惡意入侵行為特征；采用過(guò)濾類(lèi)特征選擇算法，將惡意入侵行為特征降維；訓(xùn)練機(jī)器學(xué)習(xí)算法的樸素貝葉斯分類(lèi)器，實(shí)現(xiàn)電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化分類(lèi)監(jiān)測(cè)。實(shí)驗(yàn)結(jié)果證明，本文方法能夠?qū)阂馊肭中袨檫M(jìn)行高效監(jiān)測(cè)，及時(shí)采取針對(duì)性措施，減少其對(duì)電網(wǎng)調(diào)度通信網(wǎng)的惡意破壞。

1 電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)方法

數(shù)據(jù)挖掘可以有效獲取樣本原有特征，機(jī)器學(xué)習(xí)對(duì)特征中的規(guī)律和模式具有極強(qiáng)的自動(dòng)學(xué)習(xí)能力，因此，本文將兩種技術(shù)結(jié)合，共同實(shí)現(xiàn)電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)。

1.1 電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為特征提取

使用行為字節(jié)序列表示電網(wǎng)調(diào)度通信網(wǎng)入侵的惡意入侵行為特征，通過(guò)變長(zhǎng)N-gram滑動(dòng)窗口完成特征提取。

變長(zhǎng)N-gram是一系列有價(jià)值的不間斷字節(jié)序列，可稱(chēng)為段落，需將斷點(diǎn)從字節(jié)序列內(nèi)搜索出來(lái)，兩個(gè)鄰近斷點(diǎn)間的不間斷序列即段落，引入專(zhuān)家投票算法劃分段落。

設(shè)置頻率專(zhuān)家和熵專(zhuān)家，分別測(cè)量每個(gè)子序列的次數(shù)和每個(gè)點(diǎn)的熵。如果子序列成為段落的概率很高，斷點(diǎn)的概率很小，則子序列出現(xiàn)的次數(shù)較多；如果一個(gè)元素很有可能是段落的結(jié)尾，那么這個(gè)點(diǎn)的熵更大[5-6]。每個(gè)位置都包含分?jǐn)?shù)，兩個(gè)位置的分?jǐn)?shù)相加1，位置分別滿足最大熵和最大頻率，并存在于等長(zhǎng)滑動(dòng)窗口中，可能斷點(diǎn)位置的確定可以通過(guò)在每個(gè)位置獲得的總分來(lái)完成。要提取的特征是兩個(gè)斷點(diǎn)之間的連續(xù)序列。

使用深度為4的字典樹(shù)(Trie)完成上述算法，有效計(jì)算字節(jié)序列內(nèi)各點(diǎn)的熵與頻率。深度用d表示，子序列是指采集的d-1個(gè)序列內(nèi)的字節(jié)，將獲取的各子序列放入字典樹(shù)，若其內(nèi)包含某子序列[7]，則它的頻率值加1；若不包含某子序列，則它的頻率值為1。

字典樹(shù)內(nèi)節(jié)點(diǎn)頻率的表達(dá)式為

(1)

節(jié)點(diǎn)的熵由式(2)表示

(2)

式中：x0表示葉節(jié)點(diǎn)，用x0表示初始節(jié)點(diǎn)，其父節(jié)點(diǎn)所含子樹(shù)數(shù)量用i表示。由式(2)發(fā)現(xiàn)，x0的熵等于0。

(3)

(4)

式中：f(x)和e(x)表示各節(jié)點(diǎn)頻率與熵標(biāo)準(zhǔn)化處理結(jié)果；Leveli表示字典樹(shù)的字節(jié)序列。

隨著專(zhuān)家對(duì)可能斷點(diǎn)的選擇，斷點(diǎn)位置的分?jǐn)?shù)逐漸增加，在滑動(dòng)窗口完成整個(gè)字節(jié)序列的查詢(xún)后，將通過(guò)分?jǐn)?shù)獲取的局部極大值位置作為斷點(diǎn)。

1.2 電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為特征降維

采用加權(quán)信息增益的過(guò)濾類(lèi)特征選擇算法，實(shí)現(xiàn)電網(wǎng)調(diào)度通信網(wǎng)入侵的惡意入侵行為特征降維，以減小無(wú)關(guān)特征對(duì)后續(xù)分類(lèi)性能的影響，提高學(xué)習(xí)算法的學(xué)習(xí)效率。

信息增益的表達(dá)式為

I(X;Y)=H(X)-H(X|Y)，

(5)

式中：X，Y分別為兩個(gè)變量，X的信息熵用H(X)表示；當(dāng)Y確定時(shí)，X的條件熵用H(X|Y)表示。從式(5)可知，X在Y附近的平均不確定性消除相當(dāng)于自Y內(nèi)采集X的信息增益。在電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)中，處于j位置的特征平均信息量用信息增益IG(j)表示，其表達(dá)形式為

(6)

式中：處于j位置的特征屬性值用vj表示，如果想表明不包含該特征，則vj的值等于0，如果想表明包含該特征，則vj的值等于1；類(lèi)型分為正常行為與惡意入侵行為，處于i位置的類(lèi)型用Ci表示；其內(nèi)處于j位置的特征值等于vj的占比，用P(vj,Ci)表示；訓(xùn)練樣本內(nèi)，處于j位置的特征值等于vj的占比，用P(vj)表示；該樣本內(nèi)Ci的占比用P(Ci)表示。特征的分類(lèi)作用越大，信息增益就越高。

信息增益法容易忽略特征表示次數(shù)的影響，因此，提出了加權(quán)信息增益法。

處于j位置的特征屬性值的加權(quán)信息增益表達(dá)形式為

(7)

式中：處于j位置的特征權(quán)重用λj表示。在惡意入侵行為的自動(dòng)化監(jiān)測(cè)過(guò)程中，某特征對(duì)其的有效性可使用它呈現(xiàn)于行為內(nèi)的平均次數(shù)比進(jìn)行評(píng)價(jià)[10-11]，λj的計(jì)算過(guò)程為

(8)

式中：于正常行為之內(nèi)，處于j位置的特征呈現(xiàn)次數(shù)總和用fjB表示；于惡意入侵行為之內(nèi)，處于j位置的特征呈現(xiàn)次數(shù)總和用fjM表示；正常行為包含于訓(xùn)練樣本內(nèi)的數(shù)量用NB表示；惡意入侵行為包含于訓(xùn)練樣本內(nèi)的數(shù)量用NM表示；調(diào)節(jié)參數(shù)用α表示，并且α=1。在fjB,fjM均不等于0的情況下，在兩種類(lèi)型行為內(nèi)，若λj和處于j位置的特征呈現(xiàn)平均次數(shù)比變化趨勢(shì)相同；若兩者之一等于0，λj和fjM的變化趨勢(shì)相同。

1.3 自動(dòng)化分類(lèi)監(jiān)測(cè)實(shí)現(xiàn)

完成電網(wǎng)調(diào)度通信網(wǎng)入侵的惡意入侵行為特征提取及降維后[12]，使用所得特征對(duì)樸素貝葉斯分類(lèi)器進(jìn)行訓(xùn)練，可以實(shí)現(xiàn)電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化分類(lèi)監(jiān)測(cè)。

訓(xùn)練實(shí)例集合用D={d1,d2,…,dm}表示；各實(shí)例均存在提前設(shè)定好的類(lèi)型，用Ci表示，且{Ci}=C。

未確定類(lèi)型的數(shù)據(jù)樣本用Ai表示；任意事件用B表示，在其已發(fā)生的條件下，Ai出現(xiàn)的概率用P(Ai|)表示，計(jì)算過(guò)程為

(9)

運(yùn)用該分類(lèi)器的學(xué)習(xí)過(guò)程中，可通過(guò)屬性值的合取表示各實(shí)例x，目標(biāo)函數(shù)用f(x)表示，其取值區(qū)域?yàn)槿我庥邢藜螩。和目標(biāo)函數(shù)相關(guān)的訓(xùn)練樣本與新實(shí)例用特征向量〈v1,v2,…,vn〉表示，學(xué)習(xí)器的主要任務(wù)式對(duì)新實(shí)例的目標(biāo)值進(jìn)行預(yù)測(cè)[13]。以設(shè)置的實(shí)例屬性值為基礎(chǔ)，分類(lèi)器可根據(jù)式(10)計(jì)算可能性最大的目標(biāo)值Cmaxp

(10)

通過(guò)貝葉斯公式，將式(10)更新為式(11)所表示形式

(11)

樸素貝葉斯中包含概率獨(dú)立設(shè)定，條件概率用P(Ci|d)表示，在對(duì)其進(jìn)行計(jì)算過(guò)程中，就指定的Ci而言，v1,v2,…,vn之間不存在關(guān)聯(lián)，表現(xiàn)為某特征項(xiàng)vj(j=1,2,…,n)和加權(quán)信息增益法降維后的特征屬性值IW(j)(j=1,2,…,n,j≠i)具有獨(dú)立性，此關(guān)系表示為

(12)

將每個(gè)特征項(xiàng)之間設(shè)定成相互獨(dú)立，則計(jì)算復(fù)雜度可極大降低，且精準(zhǔn)性會(huì)進(jìn)一步提升。將式(12)與式(11)相結(jié)合，所得結(jié)果為

(13)

在利用樸素貝葉斯完成分類(lèi)的過(guò)程中，類(lèi)別數(shù)、P(Ci)，P(IW(j)|Ci)均已知，在特征項(xiàng)確定的情況下，對(duì)各類(lèi)別的后驗(yàn)概率進(jìn)行計(jì)算[14-15]，獲取含有概率值最大的預(yù)測(cè)類(lèi)別。

2 實(shí)例測(cè)試與結(jié)果分析

從公開(kāi)的入侵檢測(cè)數(shù)據(jù)集CIC-IDS-2017樣本庫(kù)中，采集521個(gè)正常行為與625個(gè)惡意入侵行為及其變種行為作為實(shí)驗(yàn)對(duì)象(如圖1 所示)，在使用MATLAB仿真軟件搭建的環(huán)境中，利用本文方法完成電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)模擬，以驗(yàn)證該方法的有效性。

圖1 電網(wǎng)調(diào)度通信網(wǎng)及其惡意入侵行為程序

測(cè)試不同惡意入侵行為特征長(zhǎng)度時(shí)，使用本文方法監(jiān)測(cè)不同類(lèi)型惡意入侵行為的漏報(bào)率，結(jié)果如圖2 所示。

分析圖2 可以看出，本文方法監(jiān)測(cè)不同類(lèi)型惡意入侵行為的漏報(bào)率隨著惡意入侵行為特征長(zhǎng)度的增加而降低；該方法對(duì)病毒類(lèi)型惡意入侵行為的漏報(bào)率始終處于最低數(shù)值，且漏報(bào)率下降幅度最大；該方法對(duì)后門(mén)程序類(lèi)型惡意入侵行為的漏報(bào)率一直保持最高。

圖2 不同惡意入侵行為特征長(zhǎng)度的漏報(bào)率

惡意入侵行為特征長(zhǎng)度對(duì)電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)效果影響深刻，選擇較大的惡意入侵行為特征長(zhǎng)度監(jiān)測(cè)病毒類(lèi)型惡意入侵行為的效果最好。

分別選取5個(gè)正常行為(A)、惡意入侵行為(B)及其變種行為(C)進(jìn)行測(cè)試，P<0.01滿足P<0.05，統(tǒng)計(jì)結(jié)果顯著，具有統(tǒng)計(jì)學(xué)意義。3種行為的危險(xiǎn)等級(jí)分別為一般、中等、危險(xiǎn)，使用本文方法獲得的特征值和監(jiān)測(cè)情況如表1 所示。

分析表1 可以看出，本文方法計(jì)算的正常行為特征值介于0.1～0.3之間，最大特征值為0.26；惡意入侵行為及其變種行為的特征值均高于0.7，且變種行為的特征值始終高于其它兩種行為的特征值；對(duì)于正常行為，本文方法呈現(xiàn)出未攔截狀態(tài)，并將其劃分為一般等級(jí)；對(duì)于惡意入侵行為及其變種行為，本文方法能很好地進(jìn)行攔截，且劃分的危險(xiǎn)等級(jí)符合設(shè)定標(biāo)準(zhǔn)。由以上結(jié)果可得，危險(xiǎn)等級(jí)越高的行為，其特征值越大，本文方法能有效辨識(shí)正常行為和惡意變種行為，具有良好的電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)效果。

表1 3種行為的特征值和監(jiān)測(cè)情況

由表1 數(shù)據(jù)測(cè)試本文方法在自動(dòng)化監(jiān)測(cè)過(guò)程中，正常行為與惡意入侵行為訪問(wèn)的信任度

(14)

結(jié)果如圖3 所示。

分析圖3 可以看出，正常行為訪問(wèn)電網(wǎng)調(diào)度通信網(wǎng)的信任度在80%～100%區(qū)間內(nèi)變化，起伏程度較??；惡意入侵行為的訪問(wèn)信任度始終低于30%，且波動(dòng)較為劇烈，當(dāng)進(jìn)行60次實(shí)驗(yàn)時(shí)，所得信任度最低，約為0.9%。對(duì)比這些數(shù)據(jù)表明，本文所提方法的電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)效果較優(yōu)異。

圖3 正常行為與惡意入侵行為的訪問(wèn)信任度對(duì)比

測(cè)試本文方法使用前后監(jiān)測(cè)的不同類(lèi)型惡意入侵行為數(shù)量的變化情況，結(jié)果如圖4 所示。

圖4 本文方法使用前后的惡意入侵行為數(shù)量變化

從圖4 可以看出，在本文方法使用前，監(jiān)測(cè)的惡意入侵行為數(shù)量均高于30，特別是間諜類(lèi)型惡意入侵行為數(shù)量高達(dá)75；在本文方法使用后，監(jiān)測(cè)的不同類(lèi)型惡意入侵行為數(shù)量顯著降低，始終在20以下變化。對(duì)比以上結(jié)果可得，本文方法通過(guò)惡意入侵行為的自動(dòng)化監(jiān)測(cè)，對(duì)提升電網(wǎng)調(diào)度通信網(wǎng)安全具有重要作用。

根據(jù)某電網(wǎng)調(diào)度通信網(wǎng)的惡意入侵行為歷史記錄，上午9：00至9：50是一天中入侵行為發(fā)生的高峰時(shí)段，因此，以上午9：00為初始時(shí)間，對(duì)行為特征值在0.7～0.8之間的難以識(shí)別的10個(gè)惡意入侵行為進(jìn)行入侵自動(dòng)化監(jiān)測(cè)模擬，測(cè)試惡意行為檢測(cè)效率。為了提高實(shí)驗(yàn)的客觀性，增加文獻(xiàn)[3]方法、文獻(xiàn)[4]方法作為對(duì)比方法，測(cè)試3種方法的最早捕獲時(shí)間，結(jié)果如圖5 所示。

圖5 惡意入侵行為最早捕獲時(shí)間結(jié)果對(duì)比

分析圖5 可以看出，本文方法的不同惡意入侵行為最早捕獲時(shí)間均保持在9:10以?xún)?nèi)，且對(duì)AF，Memo和Killer行為的捕獲用時(shí)不到5 min；而其他兩種方法的最早捕獲時(shí)間都在9:10之后，尤其對(duì)AIM行為的捕獲用時(shí)高于25 min。由此表明，本文方法的電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為自動(dòng)化監(jiān)測(cè)效果極具優(yōu)勢(shì)，能較早地發(fā)現(xiàn)網(wǎng)絡(luò)威脅，有效防止惡意破壞。

3 結(jié) 論

惡意入侵行為給電網(wǎng)調(diào)度通信網(wǎng)帶來(lái)的安全威脅日益嚴(yán)重，在此背景下，本文將數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)相結(jié)合，共同實(shí)現(xiàn)電網(wǎng)調(diào)度通信網(wǎng)惡意入侵行為的自動(dòng)化監(jiān)測(cè)，為電網(wǎng)調(diào)度質(zhì)量和電力系統(tǒng)平穩(wěn)運(yùn)行提供保障，有效監(jiān)測(cè)惡意入侵行為，且對(duì)不同惡意入侵行為均具有較短的捕獲時(shí)間，可極大地減少惡意入侵行為數(shù)量，電網(wǎng)調(diào)度通信網(wǎng)安全性能顯著提高。