摘 要：提出了一種基于集成學(xué)習(xí)技術(shù)的入侵?jǐn)?shù)據(jù)檢測方法，并使用焦點(diǎn)損失函數(shù)處理數(shù)據(jù)不平衡，提高數(shù)據(jù)篡改分類能力，并利用隨機(jī)森林、深度學(xué)習(xí)、支持向量機(jī)與本文所提出方法進(jìn)行性能比較。結(jié)果表明，當(dāng)?shù)螖?shù)大于80時，4種模型的收斂速度開始增加，并最終在迭代次數(shù)為140，趨于收斂。其中模型收斂的速度分別為深度學(xué)習(xí)gt;集成學(xué)習(xí)技術(shù)gt;隨機(jī)森林gt;支持向量機(jī)。集成學(xué)習(xí)技術(shù)方法實(shí)現(xiàn)了95.83%的準(zhǔn)確率，92.46%的精度，97.47%的召回率和94.90%的F1得分。相對于隨機(jī)森林模型，集成學(xué)習(xí)技術(shù)方法在F1分?jǐn)?shù)方面提高了約1.63%。集成學(xué)習(xí)技術(shù)的訓(xùn)練時間及檢測時間分別為12、26 ms，均小于其他方法。

關(guān)鍵詞：電力系統(tǒng)；數(shù)據(jù)篡改；檢測；識別技術(shù)

中圖分類號：TP274 + .4TP391 文獻(xiàn)標(biāo)識碼：A 文章編號：1001-5922（2024）11-0143-04

Identification of business system intrusion and datatampering attacks based on integrated learning technology

ZHANG Wenming

（State Grid Zhejiang Electric Power Co.，Ltd.，Pujiang County Power Supply Company，Pujiang 322299，Zhejiang China）

Abstract： In this paper，an intrusion data detection method based on ensemble learning technology was proposed，and the focus loss function was used to deal with the data imbalance，improve the data tampering classification abili?ty，and the performance of random forest，deep learning and support vector machine was compared with the pro?posed method. The experimental results showed that when the number of iterations was greater than 80，the conver?gence speed of the four models began to increase，and eventually tend to converge at an iteration number of 140.The speed of model convergence was as follows：deep learninggt;ensemble learning technologygt;random forestgt;sup?port vector machine. The integrated learning technology method achieved an accuracy of 95.83%，an accuracy of92.46%，a recall rate of 97.47%，and an F1 score of 94.90%. Compared to the random forest model，the ensemblelearning technology method improved F1 scores by approximately 1.63%. The training time and detection time of in?tegrated learning technology were 12 ms and 26 ms respectively，which were smaller than those of other methods.

Keywords： power marketing system；data tampering；detection；Identification technology

與傳統(tǒng)的檢測方法相比，集成學(xué)習(xí)技術(shù)可以有效識別電力營銷系統(tǒng)復(fù)雜的訓(xùn)練數(shù)據(jù)結(jié)構(gòu) [1] ，并且可以很好地擴(kuò)展到大型數(shù)據(jù)集，解決電力營銷系統(tǒng)難以處理入侵?jǐn)?shù)據(jù)多樣性的困難。而焦點(diǎn)損失函數(shù)可以處理高度不平衡的入侵篡改數(shù)據(jù)檢測數(shù)據(jù)集 [2] ，使模型能夠優(yōu)先處理難以分類的樣本，有助于緩解數(shù)據(jù)不平衡的問題，并提高模型準(zhǔn)確分類正樣本和負(fù)樣本的能力?；诖耍疚耐ㄟ^建立集成學(xué)習(xí)技術(shù)模型，進(jìn)一步檢測電力營銷系統(tǒng)的入侵?jǐn)?shù)據(jù)篡改攻擊。

1 入侵?jǐn)?shù)據(jù)篡改攻擊檢測模型建模

1. 1 電力營銷系統(tǒng)狀態(tài)估計

狀態(tài)估計是維持電力營銷系統(tǒng)穩(wěn)定性和效率的關(guān)鍵機(jī)制 [3] 。物理層的測量數(shù)據(jù)（如輸電預(yù)測、電力營銷和用電價格制定）由系統(tǒng)自動采集。將收集到的數(shù)據(jù)發(fā)送到電力營銷系統(tǒng)網(wǎng)絡(luò)層的控制中心 [4] ?？刂浦行母鶕?jù)接收到的數(shù)據(jù)估計電力系統(tǒng)的狀態(tài)，檢測突發(fā)入侵?jǐn)?shù)據(jù)事件的可能性，并向物理層的遠(yuǎn)程終端單元（RTU）發(fā)送相應(yīng)的控制信號，從而確保電力營銷系統(tǒng)的可靠運(yùn)行，完成物理電網(wǎng)的閉環(huán)控制。

隨著越來越多的電力營銷系統(tǒng)網(wǎng)絡(luò)層漏洞被發(fā)現(xiàn)，多種類型的數(shù)據(jù)篡改攻擊被證實(shí)具有潛在入侵電力營銷系統(tǒng)的能力 [6] 。然而，傳統(tǒng)的數(shù)據(jù)篡改攻擊檢測機(jī)制只能檢測某一類篡改攻擊，從而限制了檢測范圍。

1. 2 集成學(xué)習(xí)技術(shù)的攻擊檢測模型

隨著數(shù)據(jù)篡改攻擊研究的不斷深入，數(shù)據(jù)篡改攻擊的定義也得到了進(jìn)一步擴(kuò)展。從廣義上講入侵?jǐn)?shù)據(jù)篡改攻擊可能發(fā)生在電力營銷系統(tǒng)中的各個抽象層，攻擊者可能針對監(jiān)測、控制和保護(hù)裝置發(fā)起篡改攻擊，從而破壞電力營銷系統(tǒng)或與之相關(guān)的應(yīng)用，如發(fā)電預(yù)測、狀態(tài)估計、經(jīng)濟(jì)營銷調(diào)度和能量交易等 [7] 。

因此，在設(shè)計入侵?jǐn)?shù)據(jù)篡改攻擊檢測模型時，應(yīng)考慮對不同類型入侵?jǐn)?shù)據(jù)篡改攻擊的檢測。

本文采用集成學(xué)習(xí)技術(shù)來檢測營銷系統(tǒng)的不同類型入侵?jǐn)?shù)據(jù)篡改攻擊。當(dāng)入侵?jǐn)?shù)據(jù)篡改攻擊發(fā)生時，往往伴隨著物理層電力系統(tǒng)設(shè)備的故障在短時間內(nèi)發(fā)生 [8] 。因此，當(dāng)電力系統(tǒng)發(fā)生暫態(tài)過程時，測量數(shù)據(jù)的特征與數(shù)據(jù)篡改攻擊發(fā)生時的特征極為相似。為了準(zhǔn)確區(qū)分故障和數(shù)據(jù)篡改攻擊，在設(shè)計該模型時還特別考慮了電力營銷系統(tǒng)故障的檢測 [9] 。為了反映輸入數(shù)據(jù)與檢測結(jié)果之間的關(guān)系，數(shù)據(jù)篡改攻擊檢測模型采用多分類集合分類器。對于多分類任務(wù)，設(shè)定原始數(shù)據(jù)集為 D ，數(shù)據(jù)集中有 j 個樣本，數(shù)據(jù)集的維數(shù)為 n ，則數(shù)據(jù)集 D 可用式（6）表示：如式（7）所示，數(shù)據(jù)篡改攻擊中 type1 、 type2 和type3 分別為數(shù)據(jù)增加攻擊、數(shù)據(jù)減少攻擊和數(shù)據(jù)破壞攻擊。本文提出的集成學(xué)習(xí)技術(shù)擴(kuò)大了篡改攻擊檢測的范圍。且可以區(qū)分篡改攻擊是否有效地侵入電力營銷系統(tǒng)。當(dāng)瞬態(tài)過程發(fā)生在物理層時，可以準(zhǔn)確地檢測到特定類型的篡改攻擊 [10-11] 。

對于3種不同的篡改攻擊，由于每次攻擊概率不同，最終檢測概率和誤報概率也不同。并非所有攻擊都一定會同時發(fā)起攻擊。參考3種不同的攻擊類型，可以得到3個篡改攻擊的檢測概率和誤報概率。對于電力營銷系統(tǒng)， p Hd表示檢測概率， p Hf代表誤報概率，2個概率分別為：

1. 3 損失函數(shù)

焦點(diǎn)損失函數(shù)最初被提出用于具有高度不平衡數(shù)據(jù)集的目標(biāo)檢測任務(wù)。在本文中，可以被應(yīng)用于處理高度不平衡的入侵篡改數(shù)據(jù)檢測數(shù)據(jù)集 [12] 。焦點(diǎn)損失函數(shù)調(diào)整正樣本和負(fù)樣本的權(quán)重，使模型能夠優(yōu)先處理難以分類的樣本，有助于緩解數(shù)據(jù)不平衡的問題，并提高模型準(zhǔn)確分類正樣本和負(fù)樣本的能力。如果模型的檢測精度不能滿足電力營銷系統(tǒng)的要求，則不利于及時處理攻擊引起的故障。當(dāng)篡改攻擊發(fā)生時，物理層的營銷數(shù)據(jù)往往包含異常分布的數(shù)據(jù)，這些異常數(shù)據(jù)樣本很難通過系統(tǒng)分類器進(jìn)行分類。為了處理難分類樣本，利用焦點(diǎn)損失函數(shù)改進(jìn)電力營銷系統(tǒng)分類器，為難分類的數(shù)據(jù)樣本賦予更高的權(quán)重 [13] 。

對于傳統(tǒng)的電力營銷系統(tǒng)分類器，多分類損失函數(shù)是交叉熵?fù)p失函數(shù)。如式（12）所示，

式中： p i 表示數(shù)據(jù)樣本容易分類的概率； y i 表示數(shù)據(jù)的實(shí)際標(biāo)簽； T 表示類別數(shù)。而多分類損失函數(shù)迭代效率低，無法在數(shù)據(jù)量大的情況下檢測到入侵篡改攻擊。而本文利用焦點(diǎn)損失函數(shù)可以提高電力營銷系統(tǒng)分類器的檢測分類效率，焦點(diǎn)損失函數(shù)如式（13）所示：在焦點(diǎn)損失函數(shù)的迭代過程中，當(dāng)數(shù)據(jù)樣本被錯誤分類時， p i 的值很小，調(diào)節(jié)因子（ 1-p i ）近似等于1，并且損失不受影響。當(dāng)數(shù)據(jù)樣本易于分類時，調(diào)節(jié)因子（ 1-p i ）近似等于0，因此易于分類樣本的權(quán)重會降低。參數(shù) γ 可以調(diào)整較低權(quán)重的比例，調(diào)節(jié)因子的作用可以通過增加參數(shù)γ來增強(qiáng)?；谏鲜龇治觯裹c(diǎn)損失函數(shù)降低了容易分類樣本的權(quán)重，增加了難分類樣本的權(quán)重。因此，電力營銷系統(tǒng)分類器在訓(xùn)練分類器時更加關(guān)注難分類樣本，進(jìn)一步提高數(shù)據(jù)篡改的檢測精度。

2 結(jié)果與討論

2. 1 實(shí)驗環(huán)境和數(shù)據(jù)集

本文使用的實(shí)驗硬件環(huán)境配備了英特爾酷睿i5-10300H 64位處理器、16 GB 內(nèi)存和GTX1660Ti顯卡。實(shí)驗平臺采用TensorFlow 2.2.0和Keras 2.3.1框架，并使用Python 3.7進(jìn)行編碼實(shí)現(xiàn)。輸入到模型中的采樣時間步長設(shè)置為10。學(xué)習(xí)率設(shè)置為 0.01。且為了進(jìn)一步突出本文所提出的集成學(xué)習(xí)技術(shù)的檢測模型對篡改數(shù)據(jù)的檢測性能，與深度學(xué)習(xí)、支持向量機(jī)、隨機(jī)森林模型進(jìn)行比較。

NSL-KDD數(shù)據(jù)集是入侵?jǐn)?shù)據(jù)篡改檢測研究中常用的數(shù)據(jù)集，刪除了重復(fù)和冗余記錄。該數(shù)據(jù)集包含正常和異常數(shù)據(jù)，分為訓(xùn)練子集和測試子集。訓(xùn)練集包含125 973個樣本，測試集包含22 543個樣本。

入侵?jǐn)?shù)據(jù)篡改攻擊的評價指標(biāo)有4個，分別為準(zhǔn)確率、精度、召回率和F1分?jǐn)?shù)。其的計算公式如下所示：

式中：TP代表準(zhǔn)確識別為具有攻擊樣本的數(shù)量；FP表示為具有攻擊的正常樣本的數(shù)量；TN代表準(zhǔn)確識別為沒有攻擊的正常樣本數(shù)量；FN代表沒有攻擊的樣本數(shù)量。但是，由于精確度和召回率經(jīng)常相互沖突，因此本研究采用精度和F1分?jǐn)?shù)作為主要評價標(biāo)準(zhǔn)。準(zhǔn)確率和F1分?jǐn)?shù)的值越大，模型的性能就越好。

此外，本研究還增加了模型訓(xùn)練時間這一指標(biāo)，以評估模型訓(xùn)練的速度。

2. 2 模型損失

圖1為4種模型檢測方法的測試損耗變化。

由圖1可知，隨著迭代次數(shù)的增加，上述 4種模型的整體損失逐漸減少并最終在迭代次數(shù)（epochs）140時穩(wěn)定。當(dāng)?shù)螖?shù)小于40時，集成學(xué)習(xí)技術(shù)、隨機(jī)森林、支持向量機(jī)的模型損失差別較小，平均值為2.4%。而深度學(xué)習(xí)在迭代次數(shù)40時，已逐漸趨于收斂。當(dāng)?shù)螖?shù)大于80時，4種模型的收斂速度開始增加，并最終在迭代次數(shù)為140，趨于收斂。同時可觀察到，4種模型的最小損失分別為0.1%、0.2%、0.3%、0.35%。結(jié)果表明，集成學(xué)習(xí)技術(shù)可以更準(zhǔn)確地識別數(shù)據(jù)篡改樣本。

2. 3 檢測性能變化研究

在模型訓(xùn)練期間，訓(xùn)練迭代的次數(shù)會極大地影響模型的準(zhǔn)確性。較少的訓(xùn)練迭代可能會導(dǎo)致模型收斂不足，而更多的訓(xùn)練迭代可能會導(dǎo)致過度擬合，將模型迭代次數(shù)設(shè)定為140。表1為 比較 4種模型對電力營銷系統(tǒng)中篡改數(shù)據(jù)的檢測性能，包括準(zhǔn)確率、精度、召回率和 F 1 分?jǐn)?shù)。

由表4可知，通過比較 4種檢測模型對數(shù)據(jù)篡改的檢測性能，可以得出本文提出的集成學(xué)習(xí)技術(shù)方法在入侵篡改數(shù)據(jù)攻擊檢測方面具有最佳性能。集成學(xué)習(xí)技術(shù)方法實(shí)現(xiàn)了95.83%的準(zhǔn)確率，92.46%的精度，97.47%的召回率和94.90%的F1得分。相對于隨機(jī)森林模型，集成學(xué)習(xí)技術(shù)方法在F1分?jǐn)?shù)方面提高了約1.63%。在召回率方面提高了約2.19%。

2. 4 平均檢測時間及訓(xùn)練時間變化

為進(jìn)一步突出集成學(xué)習(xí)技術(shù)的入侵檢測性能，研究 4種模型的平均檢測時間及訓(xùn)練時間變化，實(shí)驗結(jié)果如圖2所示。

由圖2可知，集成學(xué)習(xí)技術(shù)的訓(xùn)練時間及檢測時間分別為12、26 ms。而隨機(jī)森林、深度學(xué)習(xí)、支持向量機(jī)的訓(xùn)練時間及檢測時間均大于集成學(xué)習(xí)技術(shù)，其中深度學(xué)習(xí)的訓(xùn)練時間及檢測時間最大，分別為26、42ms較集成學(xué)習(xí)技術(shù)分別增加53.84%、38.09%。集成學(xué)習(xí)技術(shù)的訓(xùn)練時間優(yōu)化效果較好，主要原因為本文提出的集成學(xué)習(xí)技術(shù)擴(kuò)大了篡改攻擊檢測的范圍。且可以區(qū)分篡改攻擊是否有效地侵入電力營銷系統(tǒng)。

3 結(jié)語

本文利用集成學(xué)習(xí)技術(shù)進(jìn)行電力營銷系統(tǒng)的入侵篡改數(shù)據(jù)攻擊檢測，并利用焦點(diǎn)損失函數(shù)處理數(shù)據(jù)不平衡，提高數(shù)據(jù)篡改分類能力。集成學(xué)習(xí)技術(shù)的訓(xùn)練時間及檢測時間分別為12、26 ms。而隨機(jī)森林、深度學(xué)習(xí)、支持向量機(jī)的訓(xùn)練時間及檢測時間均大于集成學(xué)習(xí)技術(shù)，其中深度學(xué)習(xí)的訓(xùn)練時間及檢測時間最大，分別為26、42 ms較集成學(xué)習(xí)技術(shù)分別增加53.84%、38.09%。在電力營銷系統(tǒng)中，雖然深度學(xué)習(xí)模型的收斂速度比集成學(xué)習(xí)技術(shù)模型慢，但集成學(xué)習(xí)技術(shù)最終測試損耗最低。同時可觀察到，4種模型的最小損失分別為0.1%、0.2%、0.3%、0.35%。綜上所述，集成學(xué)習(xí)技術(shù)具有較好的檢測精度與準(zhǔn)確率，且檢測時間較短，可滿足電力營銷系統(tǒng)的實(shí)際使用需求。

【參考文獻(xiàn)】

[1] 苗成林，李彤，呂軍，等. 基于Dempster-Shafer證據(jù)理論與抗頻譜感知數(shù)據(jù)篡改攻擊的協(xié)作式頻譜檢測算法[J]. 兵工學(xué)報，2017，38（12）：2406-2413.

[2] 許爽，劉智穎，李元誠，等. 針對電池儲能系統(tǒng)假數(shù)據(jù)注入攻擊的智能化檢測方法研究[J]. 中國電機(jī)工程學(xué)報，2023，43（17）：6628-6639.

[3] 陳真，乞文超，鮑泰宇，等. 面向服務(wù)質(zhì)量感知云API推薦系統(tǒng)的數(shù)據(jù)投毒攻擊檢測方法[J]. 通信學(xué)報，2023，44（8）：155-167.

[4] 楊航，樊凱，梁段.基于蟻群算法的電力數(shù)據(jù)網(wǎng)絡(luò)APT攻擊特征分析及防御技術(shù)[J].微型電腦應(yīng)用，2023，39 （7）：101-104.

[5] 顧仁龍，曾鴻孟，徐超，等.基于機(jī)器學(xué)習(xí)的云原生結(jié)構(gòu)數(shù)據(jù)攻擊檢測系統(tǒng)設(shè)計[J].電子設(shè)計工程，2023，31 （14）：62-65.

[6] 杜濤，王朝龍，朱靖，等. 基于聚類算法的變壓設(shè)備運(yùn)行數(shù)據(jù)監(jiān)測與異常檢測技術(shù)[J]. 粘接，2022，49（12）：137-140.

[7] 黃鵬程，陳麗丹，祁恬，等. 基于GAF-DenseNet的航空發(fā)動機(jī)虛假數(shù)據(jù)注入攻擊檢測[J]. 航空動力學(xué)報，2023，38（7）：1691-1702.

[8] 祝超群，朱怡蓉. 虛假數(shù)據(jù)注入攻擊下信息物理系統(tǒng)動態(tài)輸出反饋控制[J].蘭州理工大學(xué)學(xué)報，2023，49（1）：74-82.

[9] 杜濤，王朝龍，朱靖，等. 基于聚類算法的變壓設(shè)備運(yùn)行數(shù)據(jù)監(jiān)測與異常檢測技術(shù)[J]. 粘接，2022，49（12）：137-140.

[10] 劉浪，時宏偉. 基于注意力機(jī)制的CNN-LSTM的ADS-B異常數(shù)據(jù)檢測[J].計算機(jī)系統(tǒng)應(yīng)用，2023，32（4）：94-103.

[11] 劉小梅，唐鑫，楊舒婷，等. 基于Reed-Solomon編碼的抗邊信道攻擊云數(shù)據(jù)安全去重方法[J]. 信息安全學(xué)報，2022，7（6）：80-93.

[12] 席磊，何苗，周博奇，等. 基于改進(jìn)多隱層極限學(xué)習(xí)機(jī)的電網(wǎng)虛假數(shù)據(jù)注入攻擊檢測[J]. 自動化學(xué)報，2023，49（4）：881-890.

[13] 徐超，孫金莉，楊郡，等. 基于分布式支持向量機(jī)的電網(wǎng)錯誤數(shù)據(jù)注入檢測法[J]. 粘接，2023，50（2）：188-192.