李建澤，朱明星

（國(guó)網(wǎng)蚌埠供電公司，安徽蚌埠 233000）

智能電網(wǎng)可以在抵御外部攻擊行為的同時(shí)，為電量能源提供接入環(huán)境，使電力網(wǎng)絡(luò)的穩(wěn)定性得到大幅提升[1]。隨著電信號(hào)傳輸環(huán)境的不斷復(fù)雜化，異常入侵信息對(duì)智能電網(wǎng)的攻擊能力不斷增強(qiáng)，若這些數(shù)據(jù)樣本過度占據(jù)電網(wǎng)存儲(chǔ)環(huán)境，會(huì)導(dǎo)致電信號(hào)消耗量的持續(xù)增大，電網(wǎng)主機(jī)無法對(duì)入侵參量實(shí)施動(dòng)態(tài)檢測(cè)與處理。

為應(yīng)對(duì)上述情況，基于置信規(guī)則推理(Belief Rule-Based,BRB)和長(zhǎng)短記憶網(wǎng)絡(luò)模型(long short-Term Memory,LSTM)的檢測(cè)技術(shù)通過求解用電異常特征指標(biāo)的方式，建立電信號(hào)樣本的訓(xùn)練數(shù)據(jù)集合，再聯(lián)合置信度條件，將異常入侵參量提取出來[2]。然而該方法的應(yīng)用能力有限，并不能有效解決入侵信息存儲(chǔ)量過大的問題。

大數(shù)據(jù)技術(shù)[3-4]可以對(duì)海量信息文本進(jìn)行同步挖掘，不會(huì)造成數(shù)據(jù)樣本的缺失，避免信息參量出現(xiàn)過度堆積的情況。由于大數(shù)據(jù)技術(shù)的應(yīng)用必須以云計(jì)算網(wǎng)絡(luò)為基礎(chǔ)，因此在實(shí)施數(shù)據(jù)樣本挖掘時(shí)，不會(huì)出現(xiàn)明顯的信息逆變情況。為此，文中引入大數(shù)據(jù)技術(shù)，提出一種新的智能電網(wǎng)異常入侵動(dòng)態(tài)檢測(cè)方法。

1 智能電網(wǎng)入侵信息風(fēng)險(xiǎn)判定

智能電網(wǎng)海量信息包括入侵信息和有用信息，因此在大數(shù)據(jù)處理架構(gòu)的基礎(chǔ)上，分析異常行為指征，計(jì)算入侵風(fēng)險(xiǎn)系數(shù)，以此實(shí)現(xiàn)入侵風(fēng)險(xiǎn)判定。

1.1 大數(shù)據(jù)處理框架

大數(shù)據(jù)架構(gòu)負(fù)責(zé)處理智能電網(wǎng)中的所有傳輸信息，根據(jù)入侵信息文本、常規(guī)信息文本碼源的差異性，對(duì)其分類存儲(chǔ)，由MapReduce 節(jié)點(diǎn)、Presto 節(jié)點(diǎn)、Streaming 節(jié)點(diǎn)等多個(gè)連接元件共同組成。YARN 資源層存在于大數(shù)據(jù)架構(gòu)中部，可以初步分離混合樣本中的入侵信息參量，并可以將提取出的數(shù)據(jù)文本存儲(chǔ)于Flume 設(shè)備中，將常規(guī)數(shù)據(jù)信息樣本存儲(chǔ)于Sqoop 設(shè)備中[5-6]。完整的大數(shù)據(jù)處理框架如圖1 所示。

圖1 大數(shù)據(jù)處理架構(gòu)

MapReduce 節(jié)點(diǎn)、Presto 節(jié)點(diǎn)、Streaming 節(jié)點(diǎn)作為YARN 資源層的上級(jí)連接結(jié)構(gòu)，分別負(fù)責(zé)過濾、整合、篩選外部輸入信息中具有異常入侵風(fēng)險(xiǎn)的數(shù)據(jù)樣本參量。在智能電網(wǎng)環(huán)境中，異常入侵信息的存儲(chǔ)量低于常規(guī)傳輸數(shù)據(jù)的存儲(chǔ)量，因此Flume 設(shè)備的存儲(chǔ)能力始終低于Sqoop 設(shè)備。

1.2 異常行為指征

異常行為指征指異常入侵信息的動(dòng)態(tài)行為能力，若應(yīng)用大數(shù)據(jù)技術(shù)對(duì)這些信息樣本檢測(cè)，智能電網(wǎng)主機(jī)則可以根據(jù)異常行為指征取值結(jié)果，完成對(duì)電力設(shè)備運(yùn)行狀態(tài)的調(diào)試[7-8]。異常行為能力定義是求解指征參量的關(guān)鍵環(huán)節(jié)，具體計(jì)算表達(dá)式如下：

式中，α表示智能電網(wǎng)異常入侵信息標(biāo)記系數(shù)，s表示數(shù)據(jù)樣本查詢系數(shù)。

在式（1）的基礎(chǔ)上，設(shè)δ表示異常傳輸行為步長(zhǎng)值指標(biāo)的初始賦值，β表示入侵行為的動(dòng)態(tài)評(píng)價(jià)系數(shù)，由此可將異常行為指征求解結(jié)果表示為：

為避免異常行為指征檢測(cè)結(jié)果與真實(shí)結(jié)果出現(xiàn)較大偏差，要求異常行為能力表達(dá)式dα＞0 恒成立。

1.3 入侵風(fēng)險(xiǎn)系數(shù)

入侵風(fēng)險(xiǎn)系數(shù)用于評(píng)價(jià)智能電網(wǎng)發(fā)生異常入侵行為的可能性，其取值越大表示智能電網(wǎng)發(fā)生異常入侵的可能性越大。

在僅考慮智能電網(wǎng)受到入侵，不受其他類型攻擊的條件下，計(jì)算入侵風(fēng)險(xiǎn)系數(shù)。該結(jié)果受風(fēng)險(xiǎn)性信息偏離度、數(shù)據(jù)樣本累積量?jī)身?xiàng)物理指標(biāo)的直接影響[9-10]。

風(fēng)險(xiǎn)性信息偏離度表示為γ，由于數(shù)據(jù)信息傳輸方向只能由電網(wǎng)輸入端指向電量消耗端，因此指標(biāo)γ的取值始終大于零。數(shù)據(jù)樣本累積量表示為ΔA，在單位時(shí)間內(nèi)，該指標(biāo)的取值范圍是[)1,+∞ 。根據(jù)上述參數(shù)，可將入侵風(fēng)險(xiǎn)系數(shù)求解式定義為：

式中，f表示大數(shù)據(jù)度量系數(shù)，χ表示風(fēng)險(xiǎn)參考項(xiàng)的初始賦值，χ′表示風(fēng)險(xiǎn)參考項(xiàng)的最大賦值結(jié)果。

由于智能電網(wǎng)異常入侵行為不能脫離常規(guī)傳輸數(shù)據(jù)而獨(dú)立存在，因此入侵風(fēng)險(xiǎn)系數(shù)計(jì)算結(jié)果為零時(shí)，表示當(dāng)前情況下智能電網(wǎng)中不存在數(shù)據(jù)傳輸行為。

2 異常入侵行為動(dòng)態(tài)檢測(cè)

2.1 動(dòng)態(tài)檢測(cè)目標(biāo)

在常規(guī)傳輸數(shù)據(jù)與異常入侵信息同時(shí)存在的情況下，主機(jī)元件需要根據(jù)動(dòng)態(tài)檢測(cè)目標(biāo)定義結(jié)果，確定異常入侵信息所能到達(dá)的傳輸區(qū)域，從而實(shí)現(xiàn)數(shù)據(jù)文本的針對(duì)性處理[11]。

設(shè)φ表示異常入侵信息初始傳輸節(jié)點(diǎn)標(biāo)記系數(shù)，kφ表示節(jié)點(diǎn)φ承載的異常入侵信息樣本總量，kmax表示異常入侵信息樣本總量最大值，lε表示當(dāng)異常入侵信息樣本為ε時(shí)的檢測(cè)權(quán)限?；谏鲜鰠?shù)設(shè)定，將智能電網(wǎng)主機(jī)通過大數(shù)據(jù)技術(shù)所提取到的動(dòng)態(tài)檢測(cè)目標(biāo)定義式為：

在智能電網(wǎng)環(huán)境中，若檢測(cè)主機(jī)所捕獲到的動(dòng)態(tài)目標(biāo)數(shù)量超過求解所得的標(biāo)準(zhǔn)定義條件，則表示該電網(wǎng)發(fā)生嚴(yán)重入侵現(xiàn)象的可能性較高；相反若動(dòng)態(tài)目標(biāo)捕獲數(shù)量遠(yuǎn)低于標(biāo)準(zhǔn)定義條件，則表示該電網(wǎng)的防御能力較強(qiáng)，入侵現(xiàn)象發(fā)生的概率相對(duì)較低[12]。

2.2 威脅性度量值

在智能電網(wǎng)環(huán)境中，威脅性度量值決定異常入侵行為的表現(xiàn)能力，當(dāng)動(dòng)態(tài)檢測(cè)目標(biāo)保持為定值狀態(tài)時(shí)，主機(jī)元件可以根據(jù)威脅性度量指標(biāo)的取值結(jié)果，判斷異常信息在數(shù)據(jù)庫(kù)主機(jī)中的存儲(chǔ)占比情況[13-14]。

設(shè)μ表示待檢測(cè)信息參量的動(dòng)態(tài)賦值參量；ν表示智能電網(wǎng)異常入侵信息統(tǒng)計(jì)向量的初始賦值，一般來說，ν指標(biāo)的最小取值為1；表示智能電網(wǎng)環(huán)境中的入侵信息參量檢測(cè)特征值；?表示基于大數(shù)據(jù)技術(shù)的入侵信息參量檢測(cè)系數(shù)；H表示異常入侵信息的威脅性判別指標(biāo)。在上述物理量的支持下，可將智能電網(wǎng)異常入侵信息的威脅性度量值求解結(jié)果表示為：

威脅性度量指標(biāo)小于零表示智能電網(wǎng)異常入侵信息的攻擊影響能力相對(duì)較低，但是并不代表智能電網(wǎng)環(huán)境中不存在異常入侵行為。

2.3 損失函數(shù)

實(shí)施智能電網(wǎng)異常入侵動(dòng)態(tài)檢測(cè)時(shí)，損失函數(shù)表達(dá)式約束檢測(cè)主機(jī)對(duì)于待測(cè)信息文本的辨識(shí)能力[15-16]。建立損失函數(shù)時(shí)，首先需要求解電網(wǎng)數(shù)據(jù)損失參量的定義式：

式中，ω表示入侵信息文本的檢測(cè)指征，I表示異常信息入侵行為強(qiáng)度，y′表示待測(cè)信息文本的辨識(shí)權(quán)限，uθ表示入侵信息θ的異常反應(yīng)行為向量。

根據(jù)式（7）的計(jì)算結(jié)果得到智能電網(wǎng)異常入侵后的損失，損失小于零代表智能電網(wǎng)未受到異常入侵；反之，受到異常入侵，需要采取相關(guān)措施對(duì)其處理。

至此，實(shí)現(xiàn)基于大數(shù)據(jù)技術(shù)的智能電網(wǎng)異常入侵動(dòng)態(tài)檢測(cè)方法的理論研究。

3 實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境

搭建圖2 所示的智能電網(wǎng)回路，將電流表、電壓表示數(shù)全部歸零，閉合三相調(diào)壓交流電源的控制開關(guān)，使IN4007 處理器能夠準(zhǔn)確記錄電信號(hào)收發(fā)器元件的電量輸出行為。

圖2 智能電網(wǎng)回路

由于電信號(hào)收發(fā)器、IN4007 元件只能接收直流電量信號(hào)，因此三相調(diào)壓交流電源輸出的電量信號(hào)必須經(jīng)過轉(zhuǎn)換處理后，才能進(jìn)行后續(xù)傳輸。

3.2 實(shí)驗(yàn)流程

以異常入侵信息存儲(chǔ)數(shù)值、異常入侵信息存儲(chǔ)占比量為指標(biāo)，在圖2 的智能電網(wǎng)中設(shè)計(jì)實(shí)驗(yàn)，具體實(shí)驗(yàn)流程如下：

步驟一：將圖2 所示智能電網(wǎng)回路與MySQL 電網(wǎng)數(shù)據(jù)庫(kù)相連，當(dāng)電信號(hào)收發(fā)器元件中的電量輸出行為趨于穩(wěn)定后，記錄信息樣本存儲(chǔ)數(shù)值的變化情況；

步驟二：利用基于大數(shù)據(jù)技術(shù)的智能電網(wǎng)異常入侵動(dòng)態(tài)檢測(cè)方法控制MySQL 電網(wǎng)數(shù)據(jù)庫(kù)，將所得變量作為實(shí)驗(yàn)組數(shù)據(jù)；

步驟三：利用基于BRB 和LSTM 網(wǎng)絡(luò)的檢測(cè)技術(shù)控制MySQL 電網(wǎng)數(shù)據(jù)庫(kù)，將所得變量作為對(duì)照組數(shù)據(jù)；

步驟四：利用Server 主機(jī)選取已存儲(chǔ)數(shù)據(jù)中的異常入侵信息樣本，統(tǒng)計(jì)入侵信息在MySQL 數(shù)據(jù)庫(kù)中的實(shí)際存儲(chǔ)量，并將該數(shù)值與MySQL 數(shù)據(jù)庫(kù)的存儲(chǔ)總量對(duì)比，分析異常入侵在電網(wǎng)存儲(chǔ)環(huán)境中的占比情況。

3.3 實(shí)驗(yàn)結(jié)果

異常入侵信息在電網(wǎng)存儲(chǔ)環(huán)境中的占比情況能夠反映電網(wǎng)主機(jī)對(duì)入侵參量的檢測(cè)與處理能力[17-19]，在數(shù)據(jù)樣本保持動(dòng)態(tài)傳輸?shù)那闆r下，異常入侵信息在電網(wǎng)存儲(chǔ)環(huán)境中的占比量越小，表示電網(wǎng)主機(jī)對(duì)于入侵參量的檢測(cè)與處理能力越強(qiáng)。

設(shè)MySQL 電網(wǎng)數(shù)據(jù)庫(kù)的存儲(chǔ)總量為600 MB，圖3 記錄了實(shí)驗(yàn)組、對(duì)照組檢測(cè)方法應(yīng)用后的異常入侵信息的實(shí)際存儲(chǔ)數(shù)值。

圖3 異常入侵信息存儲(chǔ)數(shù)值

分析圖3 可知，隨著電量信息動(dòng)態(tài)傳輸速率的加快，實(shí)驗(yàn)組和對(duì)照組應(yīng)用后的存儲(chǔ)總量存在小幅度波動(dòng)。當(dāng)電量信息動(dòng)態(tài)傳輸速率達(dá)到4.5 MB/s時(shí)，實(shí)驗(yàn)組異常入侵信息存儲(chǔ)量達(dá)到最大值205 MB，對(duì)照組異常入侵信息存儲(chǔ)量時(shí)取得最大值310 MB，與實(shí)驗(yàn)組最大值相比，增大105 MB。

聯(lián)合圖3 中的記錄數(shù)值對(duì)異常入侵信息存儲(chǔ)占比量進(jìn)行計(jì)算，詳情如表1 所示。

表1 異常入侵信息存儲(chǔ)占比量

分析表1 可知，在實(shí)驗(yàn)組檢測(cè)方法應(yīng)用后，異常入侵信息在電網(wǎng)存儲(chǔ)環(huán)境中的占比量均值為32.1%，在對(duì)照組檢測(cè)方法應(yīng)用后，占比量均值為49.8%，與實(shí)驗(yàn)組均值相比，增大17.7%。綜上可知，應(yīng)用所提出方法后，有效解決了異常入侵信息在電網(wǎng)環(huán)境中存儲(chǔ)占比量過大的問題，這與提升智能電網(wǎng)主機(jī)對(duì)入侵參量動(dòng)態(tài)檢測(cè)與處理能力的設(shè)計(jì)初衷相符合。

4 結(jié)束語

文中提出的智能電網(wǎng)異常入侵動(dòng)態(tài)檢測(cè)方法在大數(shù)據(jù)技術(shù)的支持下，通過求解異常行為指征與入侵風(fēng)險(xiǎn)指標(biāo)的具體數(shù)值，判斷智能電網(wǎng)信息風(fēng)險(xiǎn)值。根據(jù)動(dòng)態(tài)檢測(cè)目標(biāo)的賦值結(jié)果，確定威脅性度量值的取值范圍，從而構(gòu)建完整的損失函數(shù)表達(dá)式，實(shí)現(xiàn)智能電網(wǎng)異常入侵檢測(cè)。隨著這種新型檢測(cè)方法的應(yīng)用，異常入侵信息過度占據(jù)電網(wǎng)存儲(chǔ)環(huán)境的情況得到較好緩解，為實(shí)現(xiàn)智能電網(wǎng)主機(jī)對(duì)于入侵參量的動(dòng)態(tài)檢測(cè)與處理提供了可能。