張章學(xué)

（福建省海峽信息技術(shù)有限公司，福建 福州 350003）

0 引言

全球能源互聯(lián)網(wǎng)是以特高壓電網(wǎng)為骨干，在全球范圍大規(guī)模開發(fā)、配置、利用能源的基礎(chǔ)平臺［1］，主要包括特高壓電網(wǎng)、智能電網(wǎng)和清潔能源。全球能源互聯(lián)網(wǎng)是集能源傳輸、市場交易、信息交互、智能服務(wù)等于一體的互聯(lián)網(wǎng)，是互通開放的系統(tǒng)。隨著全球能源互聯(lián)網(wǎng)的不斷發(fā)展，孤立的電力系統(tǒng)逐漸大規(guī)?；ヂ?lián)，其網(wǎng)絡(luò)安全風(fēng)險隨之加大。如圖1 所示，2015 年烏克蘭電力系統(tǒng)遭受到包括惡意軟件、非法操作、分布式拒絕服務(wù)攻擊（DDoS）和后門攻擊在內(nèi)的網(wǎng)絡(luò)協(xié)同攻擊，導(dǎo)致數(shù)小時上萬用戶的大規(guī)模停電事故［2］。如何加強電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全管理，防范黑客及惡意代碼等攻擊與侵害，保障電力系統(tǒng)的安全穩(wěn)定運行，成為當(dāng)前電力監(jiān)控系統(tǒng)建設(shè)的重中之重。

Fig.1 Main types of cyber attacks in Ukrainian power network accident圖1 烏克蘭電力網(wǎng)絡(luò)事故主要網(wǎng)絡(luò)攻擊類型

1 電力網(wǎng)絡(luò)攻擊

1.1 電力網(wǎng)絡(luò)攻擊特征

為防范針對電力系統(tǒng)的惡意攻擊和安全事故，國家發(fā)展和改革委員會發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》［3］，規(guī)定指出國家電力監(jiān)控系統(tǒng)建設(shè)要堅持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則，通過劃分生產(chǎn)控制大區(qū)和管理信息大區(qū)、控制區(qū)和非控制區(qū)，在物理層面上實現(xiàn)電力系統(tǒng)與外部互聯(lián)網(wǎng)的安全隔離。這種物理隔離手段是解決信息安全問題的優(yōu)秀屏障，可有效應(yīng)對一般的木馬和病毒。然而，針對工業(yè)系統(tǒng)的網(wǎng)絡(luò)協(xié)同攻擊更加復(fù)雜和難以防御［4］，這些惡意軟件基于針對性的目的工業(yè)系統(tǒng)所開發(fā)，有著更強的漏洞利用機制、傳播擴散手段和滲入能力，且潛伏較深，在市面上缺少樣本，因此缺乏有效的檢測機制［5］。

根據(jù)攻擊范圍不同，針對智能電網(wǎng)的網(wǎng)絡(luò)安全攻擊可分為：①針對發(fā)電設(shè)備、變電設(shè)備和控制設(shè)備的廣域網(wǎng)絡(luò)（Wide Area Network，WAN）攻擊；②針對變電站、配電中心和遠(yuǎn)程調(diào)度中心的鄰域網(wǎng)絡(luò)（Neighborhood Area Network，NAN）攻擊；③針對家用電器和智能電表的家庭網(wǎng)絡(luò)（Home Area Network，HAN）攻擊。

根據(jù)攻擊目標(biāo)不同，針對智能電網(wǎng)的網(wǎng)絡(luò)安全攻擊可以分為：①以可用性為目標(biāo)的攻擊，如拒絕服務(wù)（DoS）攻擊、丟包攻擊和破壞通信線路等；②以完整性為目標(biāo)的攻擊，如錯誤數(shù)據(jù)注入攻擊、非法篡改數(shù)據(jù)、中間人攻擊和重放攻擊等；③以保密性為目的的攻擊，如非法監(jiān)聽網(wǎng)絡(luò)、密碼破解、傳播惡意軟件和社會工程學(xué)攻擊等［6］。

1.2 電力網(wǎng)絡(luò)監(jiān)控方法

針對類型多樣的網(wǎng)絡(luò)攻擊手段，僅依靠對外網(wǎng)進(jìn)行隔離，以及針對邊界處網(wǎng)絡(luò)設(shè)備進(jìn)行分析的防護(hù)手段遠(yuǎn)遠(yuǎn)不夠。因此，電力監(jiān)控系統(tǒng)需要建立內(nèi)網(wǎng)的安全管理平臺［7］，對其內(nèi)部流量和主站流量進(jìn)行深入分析?；诟咝У漠惓z測算法對流量進(jìn)行深度解析，實現(xiàn)全局性內(nèi)網(wǎng)異常流量檢測機制，才能防止?jié)摲膼阂廛浖_亂電力系統(tǒng)的穩(wěn)定運行，實現(xiàn)更全面的安全監(jiān)測預(yù)警，滿足保護(hù)電力信息網(wǎng)絡(luò)完整性和保密性的目標(biāo)。

傳統(tǒng)電力監(jiān)控系統(tǒng)異常檢測方法包括：①預(yù)先設(shè)定防火墻和網(wǎng)關(guān)［3］，以對流量數(shù)據(jù)進(jìn)行參數(shù)匹配；②基于特征的異常監(jiān)測，如手動或模型自動構(gòu)建惡意攻擊數(shù)據(jù)的簽名特征庫［8］，以預(yù)防再次攻擊；③通過統(tǒng)計分析方法分析惡意攻擊流量的特征［9］；④基于數(shù)據(jù)流挖掘檢測異常信息，如通過精確流計數(shù)挖掘方法［10］或近似流計數(shù)挖掘方法［11］檢測異常流量數(shù)據(jù)。

近年來，機器學(xué)習(xí)方法被廣泛用于電力監(jiān)控系統(tǒng)的異常流量檢測問題中，如基于受限玻爾茲曼機（Restricted Bolzmann Machine，RBM）網(wǎng)絡(luò)提取異常流量數(shù)據(jù)的特征［12］；基于加權(quán)K 近鄰方法識別異常流量數(shù)據(jù)［13］；基于決策樹和樸素貝葉斯方法對異常流量數(shù)據(jù)進(jìn)行分類［14］。隨著深度學(xué)習(xí)技術(shù)的發(fā)展，神經(jīng)網(wǎng)絡(luò)模型也被逐漸用于電力監(jiān)控系統(tǒng)的異常流量檢測問題中，如通過長短期記憶網(wǎng)絡(luò)（Long Short-Term Memory，LSTM）網(wǎng)絡(luò)對智能變電站網(wǎng)絡(luò)進(jìn)行異常檢測［15］；通過卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Network，CNN）對電力工控網(wǎng)絡(luò)進(jìn)行異常流量檢測［16］；組合多種深度學(xué)習(xí)模型實現(xiàn)電力信息網(wǎng)絡(luò)的異常流量檢測［17］。

然而，這些神經(jīng)網(wǎng)絡(luò)模型多參照信息網(wǎng)絡(luò)異常檢測模型構(gòu)建，并沒有真正體現(xiàn)出電力網(wǎng)絡(luò)的特征。電力網(wǎng)絡(luò)作為一種物理—信息融合的二元網(wǎng)絡(luò)系統(tǒng)，在應(yīng)用場景、攻擊類型、數(shù)據(jù)特征等方面與普通的信息網(wǎng)絡(luò)有很大差異。為此，本文考慮到電力網(wǎng)絡(luò)獨有的數(shù)據(jù)特征，提出基于高效用神經(jīng)網(wǎng)絡(luò)的電力監(jiān)控系統(tǒng)惡意流量檢測模型，以實現(xiàn)對電力網(wǎng)絡(luò)完整性和保密性的保護(hù)。

2 相關(guān)理論

2.1 電力監(jiān)控系統(tǒng)

根據(jù)業(yè)務(wù)的不同，智能電網(wǎng)被劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。根據(jù)是否具有實時監(jiān)控功能和實時子網(wǎng)業(yè)務(wù)，生產(chǎn)控制大區(qū)又可以分為控制區(qū)和非控制區(qū)，其中電網(wǎng)工控系統(tǒng)由分布式控制系統(tǒng)、數(shù)據(jù)采集監(jiān)控系統(tǒng)和可編程邏輯控制器共同構(gòu)成。智能電網(wǎng)中有多種多樣的設(shè)備互聯(lián)［18］，既有底層的電子設(shè)備和傳感器，也有局域網(wǎng)內(nèi)的前端服務(wù)器、運行人員工作站、數(shù)據(jù)服務(wù)器和應(yīng)用服務(wù)器，還有辦公局域網(wǎng)內(nèi)的計算機及服務(wù)器設(shè)備，以及與系統(tǒng)供應(yīng)商進(jìn)行通信的調(diào)制調(diào)解器。智能電網(wǎng)中設(shè)備類型、通信系統(tǒng)、傳輸媒體及網(wǎng)絡(luò)協(xié)議的復(fù)雜性大大提高了電力監(jiān)控系統(tǒng)異常流量的檢測難度。

2.2 電力網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的差異

信息網(wǎng)絡(luò)與電力網(wǎng)絡(luò)最基本的差異為傳輸內(nèi)容不同：信息網(wǎng)絡(luò)中傳輸?shù)氖切畔⒘?，電力網(wǎng)絡(luò)中傳輸?shù)氖请娏?。電力系統(tǒng)是一種信息網(wǎng)絡(luò)與物理網(wǎng)絡(luò)融合依存的超大規(guī)模二元復(fù)合網(wǎng)絡(luò)［19］，與信息網(wǎng)絡(luò)相比，其安全機制具有以下特點：①穩(wěn)定性要求高。智能電網(wǎng)的信息網(wǎng)絡(luò)與電力網(wǎng)絡(luò)相互融合，信息網(wǎng)絡(luò)故障會直接影響電力網(wǎng)絡(luò)的穩(wěn)定性，威脅用電安全。因此，與信息網(wǎng)絡(luò)對路由器等設(shè)施宕機有一定的容錯機制不同，電力網(wǎng)絡(luò)對系統(tǒng)穩(wěn)定性要求更高，不能忍受任何系統(tǒng)宕機；②實時性強。電力系統(tǒng)中的物理設(shè)備多為實時電力設(shè)備和傳感器，對網(wǎng)絡(luò)通信的實時性要求更高；③更新頻率低。與信息系統(tǒng)的定時更新機制不同，電力系統(tǒng)的停機更新成本較高，因為停機也代表著停產(chǎn)。因此，電力網(wǎng)絡(luò)的安全檢測機制更重視對潛在風(fēng)險隱患的預(yù)測、追蹤與溯源；④信息化程度低。電網(wǎng)工控攻擊所面臨的風(fēng)險限制了電力網(wǎng)絡(luò)的信息化程度。更高程度的信息化系統(tǒng)雖然會有更好的連通性，但也會帶來更多網(wǎng)絡(luò)安全風(fēng)險，威脅電力系統(tǒng)的供電可靠性與安全性，因此智能電網(wǎng)中的信息化均以滿足運行需求為目的。

2.3 電力網(wǎng)絡(luò)流量數(shù)據(jù)特征

與傳統(tǒng)信息網(wǎng)絡(luò)流量相比，智能電網(wǎng)中流量的數(shù)據(jù)長度、周期性、響應(yīng)時間、數(shù)據(jù)流向和時序性等均有較大不同，主要體現(xiàn)在以下幾個方面：①數(shù)據(jù)長度短。電力網(wǎng)絡(luò)中的數(shù)據(jù)傳輸長度短于普通網(wǎng)絡(luò)流量，多為電力設(shè)備信息和傳感器信號，因此特征少、長度短、頻率高；②數(shù)據(jù)流向固定。與信息網(wǎng)絡(luò)傳輸數(shù)據(jù)的多選址不同，電力網(wǎng)絡(luò)中的數(shù)據(jù)流向固定。電力網(wǎng)絡(luò)的信息數(shù)據(jù)均來源于物理設(shè)備，傳向數(shù)據(jù)分析設(shè)備和網(wǎng)絡(luò)監(jiān)控設(shè)備，而且數(shù)據(jù)通過物理媒介、局域網(wǎng)和內(nèi)部通信網(wǎng)絡(luò)傳輸，不與外部因特網(wǎng)接觸，因此傳輸線路固定、數(shù)據(jù)流向固定；③穩(wěn)定性高。電力工控網(wǎng)絡(luò)的流量數(shù)據(jù)來自于穩(wěn)定的物理設(shè)備及生產(chǎn)流程，不同于信息網(wǎng)絡(luò)有復(fù)雜的業(yè)務(wù)操作會引起大量動態(tài)變化。電力系統(tǒng)的運行重視穩(wěn)定性，因此其流量數(shù)據(jù)也更加平穩(wěn)；④周期性強。電力網(wǎng)絡(luò)中的流量依賴于物理設(shè)備，受物理設(shè)備的周期性影響，電力工控網(wǎng)絡(luò)中周期性數(shù)據(jù)占主流；⑤時序性強。電力網(wǎng)絡(luò)中的流量數(shù)據(jù)依托于物理設(shè)備及電力傳輸，電力傳輸?shù)臅r序性強，因此電力網(wǎng)絡(luò)流量傳輸?shù)臅r序性也很強；⑥響應(yīng)時間短。電力網(wǎng)絡(luò)的實時性強，因此流量分析的響應(yīng)時間要求也短，數(shù)據(jù)分析需要在短時間內(nèi)處理得到實時數(shù)據(jù)，并及時對異常行為進(jìn)行警告。

針對電力網(wǎng)絡(luò)流量數(shù)據(jù)的特征，電力監(jiān)控系統(tǒng)的異常流量檢測模型需滿足相應(yīng)的需求，具體如圖2所示。

Fig.2 Power network data characteristics and model requirements圖2 電力網(wǎng)絡(luò)流量數(shù)據(jù)特征及模型要求

電力流量數(shù)據(jù)長度短、頻率高，因此電網(wǎng)異常檢測模型需要處理較少輸入特征但較多輸入數(shù)量的實時數(shù)據(jù)；電力流量數(shù)據(jù)流向固定，因此模型的應(yīng)用場景有限，可針對性設(shè)計變電站局域網(wǎng)、數(shù)據(jù)分析局域網(wǎng)、辦公局域網(wǎng)等異常檢測模型；電力網(wǎng)絡(luò)的穩(wěn)定性要求高，因此模型需要重視召回率的提升；電力網(wǎng)絡(luò)中流量數(shù)據(jù)有明顯的周期性和時序性特征，因此模型可設(shè)計相應(yīng)的分析架構(gòu)，并將周期趨勢和時序趨勢作為異常檢測的特征來輸入；電力監(jiān)控系統(tǒng)對響應(yīng)時間的要求較短，因此要重視模型的運行速度，在短時間內(nèi)盡可能多地找出異常流量?；谝陨弦?，本文提出基于高效用神經(jīng)網(wǎng)絡(luò)的電力監(jiān)控系統(tǒng)惡意流量檢測模型。

3 電力流量檢測模型

本文構(gòu)建了一個基于EfficientNet 的高效用電力流量檢測模型，利用深層卷積網(wǎng)絡(luò)提取電力流量數(shù)據(jù)特征，對網(wǎng)絡(luò)流量信息進(jìn)行識別與分析。該模型主要由數(shù)據(jù)處理、模型訓(xùn)練與異常檢測兩個模塊構(gòu)成，具體結(jié)構(gòu)如圖3所示。

3.1 數(shù)據(jù)預(yù)處理

首先需對捕獲的網(wǎng)絡(luò)流量時序數(shù)據(jù)進(jìn)行特征轉(zhuǎn)換，將其等長分割后轉(zhuǎn)換為固定尺寸的圖像特征以進(jìn)行特征提取與分類。同時，為進(jìn)一步提高數(shù)據(jù)可用性，需對數(shù)據(jù)進(jìn)行進(jìn)一步處理，包括數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換與重構(gòu)以及數(shù)據(jù)增強等。

（1）數(shù)據(jù)清洗。刪除所有缺失值、格式不規(guī)范的值、無窮值、與分類無關(guān)的特征以及常數(shù)值特征，包括Destination Port、Bwd PSH Flags、Fwd URG Flags、Bwd URG Flags、FIN Flag Count、PSH Flag Count、ECE Flag Count、Fwd Avg Bytes/Bulk 等在內(nèi)的16 類屬性特征。這些特征變量與攻擊行為沒有直接關(guān)系，甚至可能對模型訓(xùn)練產(chǎn)生一定干擾。數(shù)據(jù)清洗后最終保留63 類特征，對其進(jìn)行片段分割，將正常數(shù)據(jù)與不同類型的攻擊數(shù)據(jù)進(jìn)行片段分離，并對不同攻擊類型的數(shù)據(jù)片段標(biāo)記相應(yīng)的label。

（2）數(shù)據(jù)轉(zhuǎn)換與重構(gòu)。網(wǎng)絡(luò)流量數(shù)據(jù)是以非圖像格式捕獲的，多以文本形式進(jìn)行存儲。為獲得有效的網(wǎng)絡(luò)攻擊檢測結(jié)果，需將網(wǎng)絡(luò)流量數(shù)據(jù)轉(zhuǎn)換為圖像形式。首先利用非線性轉(zhuǎn)換對每類數(shù)據(jù)的特征進(jìn)行歸一化，再將其擴大至［0，255］。即：

然后利用Opencv 將處理后的特征值依照特征值總數(shù)n構(gòu)建為n×n×3 大小的圖片格式。圖4 展示了每個類別的轉(zhuǎn)換圖像樣本。

Fig.4 Conversion image samples for each category圖4 每個類別的轉(zhuǎn)換圖像樣本

（3）數(shù)據(jù)增強。在多分類任務(wù)中，入侵檢測系統(tǒng)數(shù)據(jù)通常表現(xiàn)出一定的不平衡性。例如在CICIDS2017 數(shù)據(jù)集中，90%的樣本表現(xiàn)為良性數(shù)據(jù)，不同攻擊類型的數(shù)據(jù)樣本僅占10%。針對數(shù)據(jù)集中攻擊類別樣本過少的問題，本文采用合成少數(shù)過采樣技術(shù)［20］（Synthetic Minority Oversampling Technique，SMOTE）平衡類分布。

數(shù)據(jù)經(jīng)過上述步驟處理后劃分為訓(xùn)練集、驗證集以及測試集。將人工核驗以及標(biāo)注入侵類型的數(shù)據(jù)流存儲至數(shù)據(jù)庫中，通過不斷更新訓(xùn)練提高模型的分類性能。驗證集和測試集分別用于模型參數(shù)調(diào)整與性能測試評估。

3.2 模型構(gòu)建與優(yōu)化

將包含網(wǎng)絡(luò)流量的特征圖像輸入到CNN 中以對不同類型的網(wǎng)絡(luò)攻擊模式進(jìn)行學(xué)習(xí)，然后通過分類器對提取的數(shù)據(jù)特征進(jìn)行分類以實現(xiàn)異常流量檢測。

3.2.1 主干網(wǎng)絡(luò)優(yōu)化

在特征提取階段，根據(jù)網(wǎng)絡(luò)越深、效果越好的原則，本文采用EfficientNet 作為特征提取的主干網(wǎng)絡(luò)，并在實驗中與其他網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行比較，如VGG19、ResNet-50、XceptionNet 等，這些網(wǎng)絡(luò)結(jié)構(gòu)在圖像分類領(lǐng)域中均表現(xiàn)優(yōu)異。VGG19 包含16 層卷積層和3 層全連接層，采用 3×3 尺寸的卷積核堆疊神經(jīng)網(wǎng)絡(luò)，從而加深整個神經(jīng)網(wǎng)絡(luò)的層級；Xception 是在 Inception 網(wǎng)絡(luò)的基礎(chǔ)上擴展而來，其使用深度可分離卷積代替標(biāo)準(zhǔn)網(wǎng)絡(luò)卷積。EfficientNet 根據(jù)圖像的深度、寬度、分辨率形成有效復(fù)合系數(shù)，動態(tài)調(diào)整網(wǎng)絡(luò)的深度和寬度，形成不同工作能力的網(wǎng)絡(luò)模型。為構(gòu)建 EfficientNet 模型，必須根據(jù)用例設(shè)置縮放條件，優(yōu)化縮放倍率，利用復(fù)合縮放方法得到 EfficientNet 系列網(wǎng)絡(luò)。具體計算公式為：

式中：N表示整個網(wǎng)絡(luò)，X表示輸入特征，d表示縮放倍率，L表示網(wǎng)絡(luò)深度，w表示網(wǎng)絡(luò)寬度的縮放倍率，r表示圖像分辨率的縮放倍率。EfficientNet 網(wǎng)絡(luò)使用復(fù)合系數(shù)?優(yōu)化d、w、r，具體計算公式見式（3）。通過固定α、β、γ的值，取不同的?值可得到擴展后的EfficientNetB1 至 B7網(wǎng)絡(luò)。

由于EfficientNet-B0 網(wǎng)絡(luò)層數(shù)較少，為防止網(wǎng)絡(luò)太深出現(xiàn)梯度消失等問題，本文選擇EfficientNet-B0 作為模型的主干網(wǎng)絡(luò)，以進(jìn)一步提高檢測效率。EfficientNet-B0 網(wǎng)絡(luò)由多個移動翻轉(zhuǎn)瓶頸卷積（Mobile Inverted Bottleneck Convolution，MBConv）模塊組成，而MBConv 模塊由深度可分離卷積（Depthwise Separable Convolution）、批歸一化（Batch Normalization）、Swish 激活函數(shù)、連接失活（Drop-Connect）組成，其中還引入了壓縮與激發(fā)網(wǎng)絡(luò)（Squeeze and Excitation，SE）模塊。本文要解決的是一個多分類任務(wù)以及多種網(wǎng)絡(luò)攻擊的識別問題，因此更改了 EfficientNet最后的全連接層，采用兩層全連接層以及Softmax 激活函數(shù)對提取的流量特征進(jìn)行分類。損失函數(shù)采用交叉熵?fù)p失函數(shù)（Categorical cross entropy），具體定義為：

式中：ed表示真實的樣本分布概率，pd表示預(yù)測的樣本分布概率。本文選擇Adam 優(yōu)化器最小化損失函數(shù)進(jìn)行模型參數(shù)優(yōu)化。EfficientNet 模型建立后在預(yù)設(shè)參數(shù)上進(jìn)行訓(xùn)練，在每個 epoch 后利用驗證集評估模型性能并在精度提升后保存模型權(quán)重。

3.2.2 超參數(shù)優(yōu)化

為使模型更好地適應(yīng)所選數(shù)據(jù)集并進(jìn)一步提高性能，需要調(diào)整和優(yōu)化 CNN 的超參數(shù)。本文采用粒子群優(yōu)化（Particle Swarm Optimization，PSO）算法對CNN 的參數(shù)結(jié)構(gòu)進(jìn)行優(yōu)化，以避免人工調(diào)整參數(shù)的高成本。PSO 是一種元啟發(fā)式優(yōu)化方法，其通過群體中粒子之間的信息共享和協(xié)作確定最優(yōu)超參數(shù)值［3］。在PSO 優(yōu)化算法中，每一個粒子的初始化位置記作，速度記作，粒子通過其個體最優(yōu)p→i和全局最優(yōu)p→進(jìn)行更新。更新過程如下：

式中：w為慣性因子；c1和c2為學(xué)習(xí)因子，是用于權(quán)衡個體學(xué)習(xí)與群體學(xué)習(xí)的參數(shù)；r1、r2為0.1～0.9 之間的隨機數(shù)，在每次迭代中隨機生成。本文中w=0.729，c1=c2=1.494，微粒種群數(shù)目N=10，最大迭代次數(shù)iterations=30。PSO 的時間復(fù)雜度為O(NlogN)，與傳統(tǒng)超參數(shù)優(yōu)化策略相比能有效提高算法訓(xùn)練效率。

為提高EfficientNet 的性能，本文選取優(yōu)化器類別、權(quán)重衰減、學(xué)習(xí)率、提前終止策略參數(shù)、批次大小（Batch Size）及神經(jīng)元舍棄概率（Dropout）作為待優(yōu)化超參數(shù)，使用PSO算法進(jìn)行參數(shù)自動搜索，參數(shù)設(shè)置如表1 所示。粒子位置由上述關(guān)鍵參數(shù)決定，適應(yīng)度由模型在驗證集上的損失決定。

Table 1 Parameters settings of EfficientNet表1 EfficientNet參數(shù)設(shè)置

4 實驗方法與結(jié)果分析

4.1 實驗環(huán)境

采用Windows10 操作系統(tǒng)，處理器為Intel i7-11800H CPU 2.3GHz，顯卡為RTX 3060，實驗編譯環(huán)境為Python 3.6，主要函數(shù)庫包括tensorflow、sklearn 以及PIL 等。

4.2 數(shù)據(jù)集

采用CICIDS-2017 數(shù)據(jù)集，其包含良性正常流量和常見攻擊流量，選擇其中的Tuesday-working hours、Friday-WorkingHours-AfternoonPortScan、Friday-WorkingHours-Afternoon-DDos 和 Thursday-WorkingHoursMorning-WebAttacks 子文件，最終納入包括PortScan、Web Attack、DOS/DDoS 在內(nèi)的7種攻擊類型，具體如表2所示。

Table 2 Sample type and quantity表2 樣本類型及數(shù)量

4.3 評價指標(biāo)

采用準(zhǔn)確率（Accuracy，Acc）、查準(zhǔn)率（Precision，Pre）、召回率（Recall，Rec）以及F1 分?jǐn)?shù)（F1-Score，F(xiàn)1）評估模型性能。具體計算公式為：

式中：TP（True Positive）表示將樣本預(yù)測為正類且預(yù)測正確的樣本數(shù)；TN（True Negative）表示將樣本預(yù)測為負(fù)類且預(yù)測正確的樣本數(shù)；FP（False Positive）表示將樣本預(yù)測為正類且預(yù)測錯誤的樣本數(shù)；FN（False Negative）表示將樣本預(yù)測為負(fù)類且預(yù)測錯誤的樣本數(shù)。

4.4 性能評估實驗

為評估不同主干網(wǎng)絡(luò)結(jié)構(gòu)對模型檢測精度與效率的影響，本文針對VGG19、ResNet-50、XceptionNet、Efficient-Net 4 種網(wǎng)絡(luò)結(jié)構(gòu)的模型參數(shù)量、準(zhǔn)確率以及單次檢測平均耗時（Average Time，AT）方面進(jìn)行了比較，結(jié)果見表3?？梢钥闯觯cVGG19、ResNet-50、XceptionNet 相比，EfficientNet 的參數(shù)量最小、檢測耗時最低、異常流量檢測準(zhǔn)確率最高。

Table 3 Performance comparison of different network structures表3 不同網(wǎng)絡(luò)結(jié)構(gòu)性能比較

對不同批次模型在訓(xùn)練集與驗證集上的精度與損失情況進(jìn)行可視化，結(jié)果見圖5。可以看出，模型在訓(xùn)練集上有較高精度和較低損失。經(jīng)過多個批次的訓(xùn)練后，模型在驗證集上的分類表現(xiàn)逐漸趨向穩(wěn)定，精度與損失逐步逼近訓(xùn)練情況，表明模型擬合效果較好。

Fig.5 Accuracy and loss of different batch models on training and validation sets圖5 不同批次模型在訓(xùn)練集與驗證集上的精度與損失情況

為評估本文模型的有效性，本文構(gòu)建不同類型的網(wǎng)絡(luò)模型進(jìn)行測試，包括針對時序數(shù)據(jù)處理的BiLSTM、CNN+LSTM。其中CNN+LSTM 首先通過CNN 提取網(wǎng)絡(luò)流量數(shù)據(jù)的空間特征，再通過LSTM 提取網(wǎng)絡(luò)流量數(shù)據(jù)的時間特征。不同網(wǎng)絡(luò)結(jié)構(gòu)比較結(jié)果見表4?？梢钥闯?，本文使用的EfficientNet 模型準(zhǔn)確率、召回率以及F1分?jǐn)?shù)均為最高。

Table 4 Comparison result of different network models表4 不同網(wǎng)絡(luò)模型比較結(jié)果

從測試集中隨機挑選多個不同類型網(wǎng)絡(luò)攻擊樣本對模型檢測效果進(jìn)行測試，結(jié)果見圖6 所示?？梢钥闯?，本文模型對7 種攻擊類型均有較高的檢測準(zhǔn)確率，尤其在Web Attack、Bot 兩種攻擊類型的檢測上，其他模型均存在較大誤差，而本文模型表現(xiàn)優(yōu)異。

Fig.6 Detection results of different types of network attacks圖6 不同類型網(wǎng)絡(luò)攻擊檢測結(jié)果

5 結(jié)語

電力網(wǎng)絡(luò)安全是人們生產(chǎn)生活安全穩(wěn)定進(jìn)行的重要保障。本文在對電力網(wǎng)絡(luò)特征進(jìn)行詳細(xì)分析的基礎(chǔ)上提出一種基于EfficientNet 的電力入侵異常流量檢測方法，該方法能在保證較高分類精度和查全率的同時有效減少模型參數(shù)量、降低模型復(fù)雜度，縮短了異常檢測響應(yīng)時間，提高了異常流量入侵檢測效率。然而，基于監(jiān)督學(xué)習(xí)的異常流量入侵檢測方式依賴于已知攻擊形式的樣本訓(xùn)練，而隨著網(wǎng)絡(luò)攻擊形式的多樣化，未知攻擊類型將越來越多樣化。未來考慮結(jié)合半監(jiān)督學(xué)習(xí)方式改進(jìn)模型，在模型架構(gòu)中加入更多電力網(wǎng)絡(luò)流量數(shù)據(jù)的獨有特征，并基于發(fā)電側(cè)、輸電側(cè)、配電側(cè)等不同應(yīng)用場景設(shè)計針對性異常流量檢測模型，以使模型的適用范圍更廣。