引用本文:吴丽佳.基于压缩感知的智能电网入侵检测方法研究[J].通信技术,2020,53(03):733-737.
WU Li-jia.Research on Intrusion Detection Method of Smart Grid Based on Compressed Sensing[J].Communications Technology,2020,53(03):733-737.
通信网络的安全性是智能电网稳定运行的前提和基础。针对现有电力通信网络入侵检测方法存在的检测率、效率低、漏检误检高等不足,提出一种基于压缩感知的检测方法研究。利用压缩感知技术对原始信号进行降维处理,并匹配观测向量矩阵;鉴于原始信号的稀疏性可以得到最优的匹配结果,并通过属性约简去除过多的冗余数据,基于误差二次方对电力数据进行重构、量化与恢复,改善数据度量的质量,保留原始信号中的细节特征,准确识别出恶意数据或代码。仿真结果表明,提出方法在应对DoS和R2L等不同的攻击类型时,都能够获得更高的检测率水平,在检测耗时方面相对于传统方法也具有明显优势。
电网智能化管理是电力系统网络建设的主要发展趋势之一。随着电网规模不断扩大及用户数量的持续攀升,如何保证电网安全和电力系统的稳定运行,成为电力企业最为关注的问题点。与传统的供电网络相比,智能电网不仅包括基础的电力供给和分布网络,还包括一个智能化的通信网络。
其中,基础网络主要负责电能的传输与配送,满足用户的基本用电需求,而通信网络主要负责监控电网中各种设备的运行情况,如果电网出现异常特征,提醒电网管理者提前做出防范措施和应急预案,避免出现网络故障而引起更大的经济损失和潜在的安全风险。通信技术的引入一方面显著提高了电力系统的运行效率和可靠性,另一方面与互联网的直接连接也使电网系统面临着来自于复杂网络的威胁和恶意攻击,因此对智能电网通信系统实施全面的入侵检测十分必要。
当前基于人工智能和机器学习的算法在网络入侵检测领域得到广泛了应用。文献[7]提出基于一种BP神经网络的检测算法,具有良好的数据泛化能力,适用于样本较大网络环境下的入侵检测,但BP神经网络算法过于复杂,检测率水平有待提高;文献[8]提出一种基于优化粗糙集算法的入侵检测方案,但整体耗时较长,在全局寻优的过程中易陷入局部最优化,拥有较高的误检率和漏检率。
针对现有的智能电网入侵检测方案的不足,本文提出一种基于压缩感知理论的智能电网入侵检测方法研究,提高和改善了对电力入侵信号压缩和处理的精度,最大限度地保留了原始网络入侵信号中的特征信息,进而更好地实施对入侵点的定位和识别,确保智能电网系统的安全、稳定运行。
1 智能电网入侵检测原理
电力通信网络由于与互联网连接,系统中也存在大量未经授权的恶意访问、电力信息篡改等恶意行为。基于特定检测算法智能电网入侵检测行为,可以通过对特定故障信号的识别,确定出入侵者的IP地址和入侵行为的具体类别,提前做出预警,避免给电网系统造成更严重的损失,阻止入侵行为不利后果的扩散。
智能电力网络入侵检测以计算机软硬件系统为依托,采集电网运行中各节点信息、写入用户行为的安全日志,以此为基础检测网络中的硬件系统是否存在潜在被攻击的迹象。按照检测原理分类,智能电网入侵检测可以分为基于特征的入侵检测和基于异常的入侵检测。在基于特征的入侵检测模式下,电力通信系统基于网络日志、用户访问行为、数据包构成等信息,提取出网络访问行为具体特征,进而判断出行为是否对电网系统运行构成威胁。智能电网系统本身具有恶意行为数据库,按照提取出的访问特征与数据库比较,判断网络访问行为的安全性。
但是,基于特征的入侵检测模式对于新型的、变异的网络攻击行为抵御能力较弱,而基于网络异常的入侵检测模式主要通过用户的类别来判断被攻击的风险值。在互联网机制下,正常用户与非法用户在网络使用习惯和行为方式上具有明显差异,基于网络异常的入侵检测优势在于可以基于未知用户的行为特征,判断出当前智能电网是否存在被攻击的风险,尤其是对于新型、变异的网络病毒及攻击行为具有较强的甄别能力。
目前,人工智能和机器学习方法被广泛应用到网络入侵检测领域,能够更好地针对网络用户行为作出判断和评估,以更精确和聚类方法及特征模式匹配方案识别入侵行为。
但是,智能电网的规模日益扩大,用户端数量持续增加,电力大数据也呈现出了PB量级增长趋势,在海量电力大数据中识别出恶意用户的入侵行为难度极大。为此,本文融合了传统智能电网入侵检测中特征检测和用户异常检测的优点,基于压缩感知原理更准确地处理电网中的入侵信号。
压缩感知主要利用通信信息之间的关联性与稀疏特征,提高对入侵信息的识别效率。设定电力智能网络中含有入侵信息的通信信号X,X具有有限性和离散性特征,故可以将其视为 空间范围内的列向量,表示为 。用高维数据处理理念拉伸通信数据,通信信号的列向量也可以用 维的基向量 来表示,此时包含入侵信息的通信信号X也可以表示为:
其中, 代表第i个列向量在函数F上的投影系数。对于由基向量组成的信号来说,系数 拥有k个非零值,表明含有入侵信号的向量是稀疏的,可以压缩。当可压缩的入侵信号能够通过k个信号逼近原始信号时,在正交信号规则驱使下,投影系数会出现递减趋势。信号压缩的过程也是一个编码变换的过程。在传统入侵信号处理模式下,大都基于先采样后压缩的模式导致大量网络资源浪费和节点能耗的增加。
随着电网复杂程度的提升,这种方法很难适用。对故障信号压缩处理的目的是为信号特征提取减少阻力,而在压缩感知理论框架下基于基向量处理高维数据,在成本和网络资源消耗方面都具有一定优势。由于压缩了信号数据包的规模,还会降低电网数据传输的成本。
基于压缩感知理论处理入侵数据前合并了信号的采样过程和压缩过程,适用于海量电力大数据的处理场景。与 维的基向量 相对应的 矩阵H被称为信号的列向量 观测矩阵,利用矩阵对含有入侵信息的原始信号做线性处理和高维变换,即可得到与原始信号和基向量对应的M为观测向量Y,表示为:
由于原始信号具有一定的稀疏性,故式(2)存在一个最优解满足以下条件:
综上可以分析出,与传统的网络信号入侵检测方法相比,压缩感知入侵检测的处理步骤更少,极大地降低了入侵检测的计算复杂性,并节省了网络资源占用。这种优势不仅体现在前期的入侵信号采集和特征提取方面,也表现在后期信号重构和恢复方面。针对于电力系统双网络运行环境,面对高昂的投入费用和网络维护费用,节省网络开销和网络资源占用具有更重要的意义。智能电网系统中通信网络的作用是辅助和监督,保证电能供应分布网络的安全运行。
因此,如果能够从更少的信息样本中和用户的异常行为中识别出潜在风险因素,往往能够节省传感器的硬件投入成本,降低网络维护成本和网络的复杂度。电力通信网络节点能耗有限,通常由电池供应。集中压缩处理稀疏信号是节省网络资源的有效途径之一。对于接收入侵信号和处理入侵信号的后端而言,更高效的算法和程序也会省去后续过高的硬件成本投入。
2 基于压缩感知技术理论的智能电网入侵检测
在基于压缩感知理论的入侵检测中,利用原始信号稀疏性的特征对原始入侵信号做正交基变换,并匹配观测矩阵在压缩信号和降维处理的同时,使原始信号中的各种细节特征得以保留。
这是识别出恶意入侵的关键环节。维列矩阵H本质上与维的基向量不相关,这样在压缩感知属性约简和信号重构中全部的原始信息能够充分得以保留。基于压缩感知算法处理后的信号恢复中,重构算法的选择是核心步骤,适合的重构算法更有助于提高入侵检测率。基于压缩感知技术和原理的智能电网入侵检测流程,如图1所示。
图1 基于压缩感知的智能电网入侵检测流程
原始信号稀疏变换的关键是选择合适和稀疏变换基,这是信号降维与矩阵匹配的关键。研究入侵信号稀疏表示时,基于投影系数 的衰减速度予以判断和衡量。对大多数经过压缩的基函数而言,都能够找到一个与其匹配的稀疏向量。只有对入侵信号做稀疏变换和降维处理,才能够执行下一步的压缩感知、信号约简与信号重构。数据压缩的目的是去除过多的冗余数据。如果设压缩后的样本向量为 ,则基于压缩感知的数据约简过程如下:
在式(4)的条件下,原始信号样本的约简率t表示为:
约简率t在不同的网络负载条件下可以取不同的值,同时也会受到电力企业安全策略的影响。由于严重程度较小的网络入侵不会对网络的安全性造成影响,当信号压缩处理重构完毕后再利用非线性重构算法恢复原始数据中的细节信息。为了降低入侵信号压缩和重构中产生的数据失真,基于误差二次方对数据重构和量化质量进行度量,结果用函数 表示:
其中为第k个小组的均值分布情况。选取k个小组中的均值中心点作为这个小组的代表点,并利用约简方法使其综合失真度达到最低的水平。这样处理能够得到最优化的数据,使小组中的重构失真度始终处于一个较低的水平。在对入侵信号的恢复环节,还需要根据具体的智能通信电力网络拓扑结构和网络节点数量选择合适的分类器。
在大样本条件下可以选择PCA分类,以更好地降低数据维度;在小样本条件下,可以选择智能SVM分类器,不需要参照更多原始数据,即可以获得良好的分类性能。基于压缩感知理论采集信号时需要注意控制采样的总体次数,因为在单位时间内的采样次数越多,数据的压缩效率和压缩效果会更能够得到保证;而数据压缩的效率越高,越可以最大限度地节省网络资源,且不影响对入侵检测的识别精度。
文中设计的检测方案中针对智能电网的特点引入了一种自动化反馈与网络调节机制,增加了入侵检测样本的兼容性和柔性,在不增加硬件投入成本和软件维护成本的基础上,利用模型本身的优势,实现了对网络用户恶意入侵行为的动态监督。
3 仿真分析
在MATLAB的仿真环境下,验证提出智能电网入侵检测方法的适用性和有效性。本文选取的网络入侵类型为DoS和R2L两种类型,每种攻击类型分别进行14次仿真试验,并引入文献[7]和文献[8]的入侵检测方法参与对比。首先验证在相同的仿真条件下3种方法的检测率分布情况,如图2和图3所示。
图2 DoS攻击类型的检测率散点分布
图3 R2L攻击类型的检测率散点分布
从14次智能电网入侵检测仿真实验的结果分析,无论是针对DoS攻击还是R2L攻击,文中提出的检测方法都能够保持较高的检测率,平均值保持在95%以上,充分说明提出入侵检测方法的均衡性和适用性;而文献[7]和文献[8]在入侵检测率方面相较而言差距较为明显。
在DoS攻击中,文献[7]的入侵检测方法检测率出现了较为明显的波动,稳定性较差;文献[8]检测方法尽管在稳定性方面表现优于文献[7]的方法,但在检测率值绝对指标方面过低,依然无法应对大规模的DoS攻击。
针对R2L攻击类型,文献[7]和文献[8]检测率散点都出现交替波动情况,证明传统智能电网入侵检测方法的适用性不足,无法应对多类型的复杂网络攻击。分别统计参与对比实验各种检测方法的误检率和漏检率水平,数据统计结果如表1和表2所示。
表1 漏检率数据对比
表2 误检率数据对比
在漏检率和误检率控制方面,文中方法相对于传统方面的优势更为明显,主要是由于在海量大数据样本条件下,数据压缩分类对于误检、漏检控制具有更大的价值,保证了样本信息的完整性和可靠性。本文从检测效率的角度对比不同检测方法在应对DoS攻击和R2L攻击时的表现,实验次数仍旧设定为14次,统计结果如图4和图5所示。
图4 DoS攻击类型的检测效率分布
图5 R2L攻击类型的检测效率分布
从智能电网入侵检测中各方法的检测耗时对比实验结果发现,文中提出方法的检测耗时始终被控制在0.6 s以内,而两种传统入侵检测方法的检测耗时最高均接近了1 s。检测效率对于智能电力海量大数据入侵检测意义重大,如果检测算法的效率过低,会导致误检率和漏检率数值的升高。
4 结语
在电网规模不断扩大的背景下,双网并行成为电力系统建设与发展的主要特征之一。智能通信网络在电网故障监控和硬件维护中发挥着基础性作用,但多接口的结构设计及与互联网直接连接的方式也增加了通信系统被攻击的潜在风险。
为克服传统智能电网故障检测方法的缺点和不足,本文利用压缩感知技术原理,通过对海量用户电力大数据集的压缩处理,提高入侵检测效率,减少对网络资源的占用,同时能够获得更好的入侵检测效果,保证智能电网的通信安全。
作者简介
吴丽佳(1974—),女,学士,助理工程师,主要研究方向为电网运行。
选自《通信技术》2020年第三期 (为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。