何肖蒙，王穎舒，袁舒，肖小兵

（1.貴州電網(wǎng)有限責(zé)任公司貴陽(yáng)供電局，貴州貴陽(yáng) 550001；2.貴州電網(wǎng)有限責(zé)任公司電力科學(xué)研究院，貴州貴陽(yáng) 550002）

數(shù)字化變電站自動(dòng)化系統(tǒng)可靠性受到通信網(wǎng)性能的影響，網(wǎng)絡(luò)性能欠佳或故障會(huì)造成嚴(yán)重的后果。所以，在數(shù)字化變電站的通信網(wǎng)絡(luò)中，必須對(duì)其進(jìn)行異常流量的檢測(cè)。文獻(xiàn)[1]提出了基于時(shí)頻域混合特征的檢測(cè)方法，該方法設(shè)計(jì)了分形自回歸積分滑動(dòng)流量模型，利用小波包分析的方法對(duì)模型進(jìn)行特征抽取，并將時(shí)域內(nèi)的通信信息流特征與時(shí)域特征相結(jié)合，利用人工蜜蜂算法進(jìn)行異常流量識(shí)別；文獻(xiàn)[2]提出了基于差分序列方差的檢測(cè)方法，該方法主要分析信息物理系統(tǒng)中通用對(duì)象變電站的數(shù)據(jù)行為特征。針對(duì)數(shù)字變電站的流程層信息特性，構(gòu)造了一個(gè)流量異常隸屬函數(shù)。使用上述兩種方法雖然是針對(duì)流量異常進(jìn)行的，但是由于所研究的網(wǎng)絡(luò)大多是廣域網(wǎng)，缺乏對(duì)流量本身的時(shí)域特性的關(guān)注，檢測(cè)結(jié)果不夠全面，且運(yùn)算過程易陷入局部最優(yōu)，使結(jié)果不夠準(zhǔn)確。因此，結(jié)合Wolf 算法設(shè)計(jì)了一種通信網(wǎng)異常流量檢測(cè)系統(tǒng)。

1 系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)

通信網(wǎng)異常流量檢測(cè)系統(tǒng)主要由可視化界面、核心層、實(shí)時(shí)監(jiān)測(cè)層、設(shè)備接口組成，整個(gè)系統(tǒng)均采用插件式格式，方便了新功能擴(kuò)充，系統(tǒng)總體結(jié)構(gòu)如圖1 所示。

圖1 系統(tǒng)總體結(jié)構(gòu)

系統(tǒng)的設(shè)計(jì)結(jié)合了智能變電站所配置的文件和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，對(duì)不同工作狀態(tài)下的各個(gè)節(jié)點(diǎn)傳輸流量進(jìn)行仿真[3-4]。對(duì)于上述時(shí)間閾值t內(nèi)傳輸?shù)牧髁縬(t)，使用小波包分解方式可表示為：

式中，ηm,n表示第m層的第n個(gè)節(jié)點(diǎn)小波包系數(shù)；φn表示小波基函數(shù)；l表示小波包系數(shù)個(gè)數(shù)[5-7]?；诖?，求取m+1 層的小波包分解低頻系數(shù)和高頻系數(shù)，可表示為：

2 系統(tǒng)硬件結(jié)構(gòu)設(shè)計(jì)

2.1 異常流量采集模塊

在數(shù)字化變電站通信網(wǎng)絡(luò)中，因?yàn)橐粭l總線與所有主機(jī)相連，所以所有的主機(jī)都能監(jiān)控到總線上通吸納狀態(tài)，而且每個(gè)計(jì)算機(jī)都收到了大量數(shù)據(jù)[9-10]。因此，必須先篩選出發(fā)向自己的數(shù)據(jù)，然后再剔除冗余的數(shù)據(jù)。該方法利用MAC 地址的差異，對(duì)所接收到的目標(biāo)地址和自身MAC 地址進(jìn)行了對(duì)比[11]。若二者一致，則接收，否則丟棄。異常流量采集模塊結(jié)構(gòu)如圖2 所示。

圖2 異常流量采集模塊結(jié)構(gòu)

在現(xiàn)實(shí)網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)卡的主要功能是傳輸和接收數(shù)據(jù)。實(shí)時(shí)解析傳輸數(shù)據(jù)，依據(jù)所解析的目標(biāo)物理地址及預(yù)置網(wǎng)卡接收模式，判斷該數(shù)據(jù)幀是否應(yīng)該全部接收[12-13]。一旦接收，就會(huì)生成一個(gè)中斷信號(hào)，然后向CPU 發(fā)送中斷信號(hào)，否則舍棄。在此基礎(chǔ)上，系統(tǒng)會(huì)把接收到的數(shù)據(jù)幀存入到信號(hào)堆疊中，以供其他程序使用[14]。網(wǎng)絡(luò)業(yè)務(wù)采集通常以網(wǎng)卡為基礎(chǔ)，通過網(wǎng)卡來接收全部監(jiān)測(cè)數(shù)據(jù)。

2.2 檢測(cè)組件

檢測(cè)組件為系統(tǒng)提供了核心業(yè)務(wù)功能，并為該平臺(tái)插件架構(gòu)和其他模塊訪問提供了一個(gè)插件接口。插件平臺(tái)是一個(gè)插件的開發(fā)界面，它包含了插件注冊(cè)、識(shí)別、調(diào)用、信息訪問。新的功能可以被嵌入到核心平臺(tái)中，被其他系統(tǒng)所調(diào)用。模擬引擎是以消息為基礎(chǔ)，為模擬通信網(wǎng)路的資訊互動(dòng)提供引擎[15]。該系統(tǒng)采用調(diào)用和信息注入方式，調(diào)用模擬部件，模擬通信網(wǎng)絡(luò)信息流通情況，排查錯(cuò)誤消息源頭，定位故障位置。

3 系統(tǒng)Wolf檢測(cè)技術(shù)研究

3.1 基于Wolf映射的多維相空間重構(gòu)

由于混沌序列具有隨機(jī)性和遍歷性，所以混沌序列是由混沌一一映射生成的，將該序列轉(zhuǎn)化為數(shù)據(jù)形式存儲(chǔ)于群體空間[16]。Wolf 算法將隨機(jī)變量加入到常規(guī)計(jì)算過程中，得到的映射為：

式中，α表示混沌參數(shù)；di,j表示i個(gè)種群規(guī)模的j個(gè)混沌序號(hào)。通過該公式可得到混沌值，將其映射到數(shù)字化變電站通信網(wǎng)異常流量多維相空間，即：

式中，[xj,max,xj,min] 表示檢測(cè)位置上下限范圍。將通信網(wǎng)異常流量序列重構(gòu)后，流量向量軌跡在多維相空間中可表示為：

式中，n表示通信網(wǎng)與長(zhǎng)流量序列長(zhǎng)度。

江蘇省城際鐵路項(xiàng)目兼具公益性和經(jīng)營(yíng)性特點(diǎn)，采用PPP模式可以在壟斷性強(qiáng)的鐵路領(lǐng)域中合理引入市場(chǎng)競(jìng)爭(zhēng)機(jī)制，同時(shí)保證了政府和私營(yíng)機(jī)構(gòu)共同的風(fēng)險(xiǎn)分擔(dān)和利益分配。在運(yùn)營(yíng)管理方面，通過鐵路建設(shè)項(xiàng)目公私合作，同時(shí)發(fā)揮政府的權(quán)威性和民營(yíng)企業(yè)的靈活性，有利于提高效率和降低工程造價(jià)，并在一定程度上可保證民間資本的利潤(rùn)，提高民營(yíng)企業(yè)投資鐵路項(xiàng)目的積極性。同時(shí)，江蘇省具有較強(qiáng)的財(cái)政實(shí)力，在財(cái)政能力可支撐范圍內(nèi)選擇PPP模式有助于最大限度地實(shí)現(xiàn)社會(huì)效益最大化。總體而言，在PPP模式下，政府和私營(yíng)機(jī)構(gòu)創(chuàng)造的社會(huì)效益可在整體上實(shí)現(xiàn)“帕累托最優(yōu)”，也更符合城際鐵路建設(shè)的宗旨，因此該模式對(duì)江蘇省城際鐵路項(xiàng)目適用性較強(qiáng)。

3.2 基于Wolf的異常流量混沌性檢測(cè)

在Wolf 優(yōu)化算法中，利用收斂系數(shù)實(shí)現(xiàn)對(duì)異常流的檢測(cè)。收斂系數(shù)的均衡控制直接影響著算法的收斂性和檢測(cè)的準(zhǔn)確性。Wolf 中的非線性收斂性控制機(jī)制如下：

式中，λ1表示收斂因子初始值；λ2表示收斂因子最終值；u表示迭代次數(shù)；Tmax表示最大迭代次數(shù)。在Wolf 算法初始階段，最大的數(shù)值會(huì)使Wolf 的搜索步長(zhǎng)增加，從而避免早期尋優(yōu)和快速收斂；在迭代后期，通過減少Wolf 搜索步驟，提升局部精細(xì)開發(fā)能力，加快算法收斂。

在此情況下，設(shè)計(jì)的數(shù)字化變電站通信網(wǎng)異常流量檢測(cè)步驟如下所示：

步驟一：在智能電網(wǎng)運(yùn)行期間，對(duì)記錄的數(shù)據(jù)進(jìn)行實(shí)時(shí)采集；

步驟二：在時(shí)間門限中，對(duì)各特征值的發(fā)生概率進(jìn)行統(tǒng)計(jì)；

步驟三：通過對(duì)各特征值的熵進(jìn)行規(guī)格化，得到熵矢量，熵值計(jì)算公式如下：

式中，?表示特征值的熵；ε表示歸一化因數(shù)；τ表示在一定時(shí)間閾值下的異常流量特征個(gè)數(shù)。

步驟四：重復(fù)步驟一、步驟二、步驟三，對(duì)當(dāng)前時(shí)刻的熵矢量與先前時(shí)刻的熵矢量之間的差值進(jìn)行分析，利用熵矢量差異以及流量攻擊特征來判定異常類型。

步驟五：確定熵矢量之間的差異是否符合步長(zhǎng)熵的變化特性，當(dāng)滿足任意變化特性時(shí)，將會(huì)發(fā)出報(bào)警信號(hào)，并將相應(yīng)的異常流量攻擊方式顯示出來。如果熵矢量差異不能滿足熵的任何一個(gè)變化特性，則判斷為沒有出現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)異常，并持續(xù)接收下一段時(shí)間的閾值記錄數(shù)據(jù)的特征值。

4 系統(tǒng)測(cè)試

4.1 通信對(duì)象建模

參照IEC61850 標(biāo)準(zhǔn)，按照智能主次裝置、網(wǎng)絡(luò)輔助裝置的設(shè)計(jì)思想，將智能變電站分為三個(gè)層次：過程層、間隔層和站控層。過程層包括模擬數(shù)據(jù)采集終端集成部分和智能部分，該部分用于切換流量的輸入和輸出；IEC6 間隔層主要包括防護(hù)設(shè)備和測(cè)量控制設(shè)備；站控層主要由監(jiān)測(cè)、遠(yuǎn)程控制和故障信息子系統(tǒng)組成，如圖3 所示。

圖3 數(shù)字化變電站通信網(wǎng)結(jié)構(gòu)示意圖

由于通信網(wǎng)絡(luò)的非正常流量是在特定時(shí)刻傳輸?shù)?，因此，在?shí)際的變電站運(yùn)行中，采集到的數(shù)據(jù)會(huì)記錄持續(xù)更新的瞬時(shí)電流。在建模過程中，選取固定尺寸的周期分組進(jìn)行模擬，設(shè)定數(shù)據(jù)包的實(shí)際采樣率，以保證模型能夠達(dá)到統(tǒng)一的采樣要求。

設(shè)置以DDoS 攻擊數(shù)字化變電站通信網(wǎng)，采集5 000 條攻擊下通信連接記錄，結(jié)合10 000 條正常狀態(tài)下通信連接記錄，組成數(shù)據(jù)集。隨機(jī)選取數(shù)據(jù)集中60%的數(shù)據(jù)作為訓(xùn)練集對(duì)設(shè)計(jì)系統(tǒng)進(jìn)行訓(xùn)練，剩余40%的數(shù)據(jù)作為測(cè)試集進(jìn)行測(cè)試。其中，設(shè)置混沌參數(shù)為0.5，收斂因子選取范圍為[0,1]，迭代次數(shù)為300。

4.2 流量實(shí)時(shí)監(jiān)測(cè)

以一次設(shè)備數(shù)字化變電站通信網(wǎng)和二次設(shè)備數(shù)字化變電站通信網(wǎng)為例，實(shí)時(shí)監(jiān)測(cè)異常流量，監(jiān)測(cè)結(jié)果如表1 所示。

表1 異常流量實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)

變電站站控層與間隔層之間的通信網(wǎng)流量容易受到人為操作影響，導(dǎo)致監(jiān)測(cè)數(shù)據(jù)隨著人工操作而發(fā)生改變。對(duì)于一次設(shè)備，操作人員的操作將導(dǎo)致流量呈現(xiàn)無規(guī)律波動(dòng)，當(dāng)操作人員完成操作后，流量逐漸呈現(xiàn)穩(wěn)定狀態(tài)；對(duì)于二次設(shè)備，操作人員開始執(zhí)行操作時(shí)，流量處于穩(wěn)定狀態(tài)，在操作接近尾聲時(shí)，流量突然出現(xiàn)小范圍波動(dòng)，隨后又處于穩(wěn)定狀態(tài)。

4.3 實(shí)驗(yàn)結(jié)果與分析

對(duì)于一、二次設(shè)備數(shù)字化變電站通信網(wǎng)異常流量檢測(cè)，分別使用文獻(xiàn)[1]、文獻(xiàn)[2]和所研究方法進(jìn)行對(duì)比分析，對(duì)比結(jié)果如圖4 所示。

圖4 三種方法檢測(cè)結(jié)果對(duì)比分析

由圖4（a）可知，使用所研究方法得到的結(jié)果與表1 數(shù)據(jù)基本一致，且曲線變化符合實(shí)時(shí)監(jiān)測(cè)結(jié)果；使用文獻(xiàn)[1]曲線走向與所研究方法曲線走向一致，但數(shù)值與表1 數(shù)據(jù)不一致，存在最大為354 Mb/s的誤差；使用文獻(xiàn)[2]曲線走向與所研究方法曲線不一致，與表1 數(shù)據(jù)存在最大為213 Mb/s 的誤差。由圖4（b）可知，使用所研究方法與表1 數(shù)據(jù)存在最大為2 Mb/s 的誤差，且曲線變化符合實(shí)時(shí)監(jiān)測(cè)結(jié)果；使用文獻(xiàn)[1]、文獻(xiàn)[2]曲線走向在14:00-14:25 時(shí)與所研究方法一致，在14:25-14:50 時(shí)與所研究方法不一致，且使用文獻(xiàn)[2]波動(dòng)范圍更大。通過上述分析結(jié)果可知，使用所研究方法檢測(cè)結(jié)果更加精準(zhǔn)。

5 結(jié)束語(yǔ)

文中設(shè)計(jì)了基于Wolf 的數(shù)字化變電站通信網(wǎng)異常流量檢測(cè)系統(tǒng)，并對(duì)其進(jìn)行了模擬測(cè)試。利用Wolf 算法分析和探測(cè)異常流量，根據(jù)上述設(shè)計(jì)看出，該系統(tǒng)能夠?qū)Ω鞣N變電站中的異常網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，提高電力系統(tǒng)通信品質(zhì)，保證電力系統(tǒng)正常運(yùn)轉(zhuǎn)。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)的實(shí)時(shí)流量監(jiān)控是科學(xué)、有效的。