智能變電站主動安全防御體系構(gòu)建探索

吳金宇， 陶文偉， 吳昊， 江澤銘

(1.中國南方電網(wǎng)有限責(zé)任公司，廣東 廣州 510623;2.中國南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東 廣州 510555)

0 引 言

隨著國家大力推進(jìn)智能電網(wǎng)建設(shè)，越來越多的傳感器和檢測設(shè)備被投入使用，隨之產(chǎn)生的海量數(shù)據(jù)，可建立一個智能變電站的主動安全防御體系，有效地緩解智能電網(wǎng)的信息安全問題。文獻(xiàn)[1]基于報文識別和流量管控，提出一種智能變電站保護控制信息安全防護方法，雖然能夠提高智能變電站的信息安全系數(shù)，但沒有考慮到數(shù)據(jù)的隱私和保護。文獻(xiàn)[2]基于IEC 61850協(xié)議提出了一種智能變電站的數(shù)據(jù)安全隱私保護方法，雖然能夠提高智能變電站數(shù)據(jù)隱私保護能力，但是不具備主動防御能力。

本文通過數(shù)據(jù)加密和入侵檢測兩個方面構(gòu)建的智能變電站主動安全防御方案，提高了智能變電站數(shù)據(jù)網(wǎng)絡(luò)的安全系數(shù)。

1 智能變電站主動安全防御方案

智能變電站數(shù)據(jù)采集主要依靠各種傳感器，在數(shù)據(jù)的傳輸中可能會受到外界的入侵。本文采用卷積神經(jīng)網(wǎng)絡(luò)模型對整個數(shù)據(jù)傳輸網(wǎng)絡(luò)中的異常流量進(jìn)行檢測，智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)主動安全防御方案如圖1所示。

圖1 智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)主動安全防御方案

智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)主動安全防御架構(gòu)主要分為設(shè)備層、數(shù)據(jù)采集層、入侵檢測層、計算機管理層和數(shù)據(jù)存儲層。

數(shù)據(jù)采集層中的數(shù)據(jù)采集單元主要負(fù)責(zé)從工業(yè)設(shè)備上采集數(shù)據(jù)，然后將數(shù)據(jù)傳輸?shù)皆拼鎯χ行倪M(jìn)行存儲，一些不法分子通過攻擊智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)來竊取信息[3]。數(shù)據(jù)采集層處理采集設(shè)備之外，還有信息采集電路以及測試設(shè)備，信息采集電路主要為信息采集提供動力，測試設(shè)備負(fù)責(zé)對信息采集設(shè)備的采集功能進(jìn)行相應(yīng)的測試[4]。在測試中發(fā)現(xiàn)的問題可以及時改進(jìn)，避免在時間信息采集中發(fā)生問題，造成不必要的損失。

入侵檢測層采用改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)模型對網(wǎng)絡(luò)中的異常流量進(jìn)行檢測[5]，通過與正常流量進(jìn)行對比的方法來預(yù)測流量的類型。卷積神經(jīng)網(wǎng)絡(luò)對流量的特征進(jìn)行提取，經(jīng)過池化層和全連接層，根據(jù)流量的特征進(jìn)行分類。分類結(jié)果的準(zhǔn)確性會直接影響到異常流量檢測的準(zhǔn)確度，傳統(tǒng)的卷積神經(jīng)網(wǎng)絡(luò)會因為采樣過多而丟失部分主要特征，造成分類不準(zhǔn)確。本文對其進(jìn)行改造，提高分類的準(zhǔn)確性，從而提高異常流量的檢測精度。

上述架構(gòu)中采用云存儲對數(shù)據(jù)進(jìn)行存儲，云存儲技術(shù)經(jīng)過不斷的發(fā)展已經(jīng)日漸成熟，在數(shù)據(jù)存儲方面具有較大的優(yōu)勢。相比于傳統(tǒng)的硬件存儲設(shè)備，云存儲利用更小的硬件成本獲得更大的存儲空間[6]，已經(jīng)被廣泛運用到各個領(lǐng)域中。為了保證數(shù)據(jù)的安全，在對數(shù)據(jù)進(jìn)行存儲時采用全同態(tài)數(shù)據(jù)加密方法對數(shù)據(jù)進(jìn)行加密，全同態(tài)數(shù)據(jù)加密方法可以根據(jù)數(shù)據(jù)所有者的需求對數(shù)據(jù)進(jìn)行加密操作，并將數(shù)據(jù)以密文的方式儲存在云端，從而保證了數(shù)據(jù)的安全性[7-8]。

2 關(guān)鍵技術(shù)設(shè)計

2.1 基于改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)的異常流量檢測模型

傳統(tǒng)的卷積神經(jīng)網(wǎng)絡(luò)模型(CNN)的結(jié)構(gòu)主要分為三層：卷積層、池化層和全連接層。通常情況下，一個卷積層會包含多個卷積，面對數(shù)據(jù)進(jìn)行卷積操作，來提高卷積的效率。假設(shè)輸入的是圖像采集器采集的一個m×n的圖像，用矩陣x來表示這個圖像，則卷積后的結(jié)果為：

h=g(x*w+b)

(1)

式中：g為激活函數(shù);*為卷積的符號;w為卷積核;x為一個大小為m×n的矩陣;b為偏置。

在卷積神經(jīng)網(wǎng)絡(luò)中，池化一般分為兩種，平均池化和最大池化，池化過程也可叫作下采樣和過采樣。平均池化的計算公式為：

H=avgdownλ,τ(C)

(2)

式中：C為卷積面;λ,τ為對卷積面進(jìn)行的下采樣大小；H為平均池化。

經(jīng)過池化后，提取到的特征為更高級的特征，通過全連接層對其進(jìn)行分類：

O=softmax(W*X+b)

(3)

式中：W為全連接層的權(quán)重;X為經(jīng)過池化操作后得到的卷積圖的特征向量;b為全連接層的偏置;O為分類公式。

在傳統(tǒng)的卷積神經(jīng)網(wǎng)絡(luò)中，因為全連接層的數(shù)量較多，導(dǎo)致需要設(shè)置很多參數(shù)，會使得網(wǎng)絡(luò)的計算效率變慢，網(wǎng)絡(luò)臃腫更新難度大，甚至還會導(dǎo)致過擬合。

異常流量檢測模型的設(shè)計要點如下。

(1) 卷積完成后不再進(jìn)行池化操作，保留卷積后的全部特征。

(2) 卷積后的結(jié)果進(jìn)入全局池化池，通過concatenate技術(shù)將平均值和最大值結(jié)果聚合成一個新的特征向量。

(3) 采用全連接層和softmax函數(shù)得到分類結(jié)果，通過與真實值對比得到損失值，根據(jù)優(yōu)化算法來更新參數(shù)，直到模型收斂。

改進(jìn)后的卷積神經(jīng)網(wǎng)絡(luò)模型的預(yù)測步驟：

(1) 對數(shù)據(jù)進(jìn)行相應(yīng)的預(yù)處理。在提取流量的特征向量時，會出現(xiàn)不同數(shù)量級的特征向量，進(jìn)而導(dǎo)致分類結(jié)果不準(zhǔn)確，本模型將所有的特征向量映射到[0,1]之間。

(2) 進(jìn)行訓(xùn)練。將最后的預(yù)測結(jié)果同真實值進(jìn)行比較,計算損失值，不斷地更新參數(shù)直至模型收斂。

(3) 測試。通過步驟(2)得到一個檢測模型，使用測試集來對該模型的性能進(jìn)行驗證，如果性能較優(yōu)即可停止訓(xùn)練，如果性能不夠優(yōu)秀，則繼續(xù)進(jìn)行訓(xùn)練。

通過改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)模型對智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)進(jìn)行流量檢測，降低了被攻擊的概率。

2.2 基于云存儲的全同態(tài)數(shù)據(jù)加密方案

傳統(tǒng)的全同態(tài)數(shù)據(jù)加密方案只能對整數(shù)進(jìn)行加法和乘法運算，不適用于云存儲中，本文為了提高該方案的適用性，滿足智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)中的云存儲要求，將其加密范圍擴充到實數(shù)。

全同態(tài)數(shù)據(jù)加密方案由四個算法組成：密鑰生成算法、加密算法、解密算法和求值算法。本文的實數(shù)的運算法則是將非整數(shù)的小數(shù)部分轉(zhuǎn)化成整數(shù)，然后按照整數(shù)的運算方法進(jìn)行相應(yīng)的運算，提出一種實數(shù)取模運算方法來進(jìn)行轉(zhuǎn)化。

假設(shè)一個任意的正整數(shù)p和一個任意的實數(shù)n滿足：

n=kp+r

(4)

式中：k為整數(shù);r為實數(shù)，并且0≤r

實數(shù)取模的運算公式為：

(5)

通過式(5)的取模運算可以將全同態(tài)數(shù)據(jù)加密方案擴展到實數(shù)范圍，運用到智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)的數(shù)據(jù)加密中，提高數(shù)據(jù)的安全性。

3 試驗仿真與分析

對上述設(shè)計進(jìn)行仿真試驗。由于智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)的復(fù)雜性，選擇在實驗室采用Windows系統(tǒng)的計算機進(jìn)行試驗，計算機配置為i7 2.20 GHz型號CPU 4核，運行內(nèi)存為16 GB，硬盤大小1 TB。

3.1 改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)模型仿真

本次試驗的數(shù)據(jù)為智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)一周的流量統(tǒng)計，其中周一的數(shù)據(jù)流量全部正常，其余時間一共檢測到九種網(wǎng)絡(luò)攻擊：暴力破解FTP、暴力破解SSH、滲透、WEB攻擊、僵尸網(wǎng)絡(luò)、心臟出血漏洞、端口掃描攻擊、Dos和DDos。由于檢測的數(shù)據(jù)流量過多，本文試驗將周一的50%正常流量和其余時間的異常流量作為數(shù)據(jù)集。

由于不同特征的特征向量級數(shù)不同，為了減少計算時間，提高模型的性能，首先對數(shù)據(jù)進(jìn)行歸一化處理，處理公式為：

Xscale=(X-Xmean)/σ

(6)

式中：scale為sklearn中的StandardScale模塊;X為每組特征向量的每個特征值;Xmean為該組特征向量的平均值;σ為該組特征向量的標(biāo)準(zhǔn)差。

本文采用精準(zhǔn)率(precision)和召回率(recall)兩個指標(biāo)對模型的性能進(jìn)行驗證和評估。

根據(jù)混淆矩陣的原理，精準(zhǔn)率和召回率的計算公式如下：

precision=TP/(TP+FP)

(7)

recall=TP/(TP+FN)

(8)

采用改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)模型和傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)模型對上述的數(shù)據(jù)集進(jìn)行測試，對Dos類型的網(wǎng)絡(luò)攻擊進(jìn)行預(yù)測，計算兩種模型的預(yù)測精準(zhǔn)率和召回率，得到表1的兩種模型性能的數(shù)據(jù)。

表1 兩種模型對Dos網(wǎng)絡(luò)攻擊的預(yù)測數(shù)據(jù)

從表1可以看出:改進(jìn)卷積模型對Dos的預(yù)測精準(zhǔn)率和召回率都達(dá)到了94%以上，傳統(tǒng)的卷積模型都達(dá)到了87%以上。但是對一種類型網(wǎng)絡(luò)攻擊的預(yù)測能力并不能反映模型的性能好壞，因此，采用兩種模型對其余八種的網(wǎng)絡(luò)攻擊進(jìn)行預(yù)測，其精準(zhǔn)率和召回率如表2所示。

表2 兩種模型對其余八種網(wǎng)絡(luò)攻擊的精準(zhǔn)率和召回率

從表2可以看出:改進(jìn)卷積模型對其余八種網(wǎng)絡(luò)攻擊的預(yù)測精準(zhǔn)率和召回率都高于傳統(tǒng)卷積模型，即改進(jìn)卷積模型的性能優(yōu)于傳統(tǒng)卷積模型，精準(zhǔn)率提高了9.58%左右，召回率提高了5.26%左右。

3.2 數(shù)據(jù)加密方案性能驗證

上述改進(jìn)中將全同態(tài)數(shù)據(jù)加密方案的運算范圍從整數(shù)擴充到了實數(shù)，本文采用整數(shù)全同態(tài)數(shù)據(jù)加密方案(整數(shù)全同態(tài))和本文的數(shù)據(jù)加密方案(實數(shù)全同態(tài))進(jìn)行對比試驗來比較兩種方案的性能。首先對兩種方案的加密時間和機密時間進(jìn)行對比，在密鑰長度為128 bit的情況下，比較兩種方案對不同長度的數(shù)據(jù)加密時間和解密時間，如圖2和圖3所示。

圖2 兩種方案的加密時間對比

圖3 兩種方案的解密時間對比

從圖2可以看出：在相同密鑰長度的情況下，隨著明文長度的增加兩種方案的加密時間會有所增長，但是實數(shù)全同態(tài)的數(shù)據(jù)加密時間會比整數(shù)全同態(tài)的加密時間短。

從圖3可以看出：在相同密鑰長度的情況下，隨著明文長度的增加兩種方案的解密時間都會有所增長，但是實數(shù)全同態(tài)的數(shù)據(jù)解密時間會比整數(shù)全同態(tài)的數(shù)據(jù)解密時間短。

在相同明文長度下比較兩種方案在不同密鑰長度下的加法和乘法運算時間，將測試結(jié)果進(jìn)行整理，如圖4和圖5所示。

圖4 兩種方案的加法運算時間對比

圖5 兩種方案的乘法運算時間對比

從圖4可以看出：在密鑰長度小于128 bit時，兩種方案的加法時間幾乎相等，但是大于128 bit之后，實數(shù)全同態(tài)的數(shù)據(jù)加密方案的加法運算時間增長速度會低于整數(shù)全同態(tài)的。

從圖5可以看出：在密鑰長度小于128 bit時，兩種方案的乘法運算時間幾乎相等，但是大于128 bit之后，實數(shù)全同態(tài)的數(shù)據(jù)加密方案的乘法運算法時間增長速度會低于整數(shù)全同態(tài)的。綜上所述，將全同態(tài)數(shù)據(jù)加密的運算范圍擴展到實數(shù)能夠提高運算效率。

4 結(jié)束語

采用改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)和實數(shù)全同態(tài)數(shù)據(jù)加密方案構(gòu)建智能變電站主動安全防御體系，通過試驗仿真驗證了方案的可行性。試驗證明，本文的入侵檢測和數(shù)據(jù)加密方案能夠提高智能變電站數(shù)據(jù)傳輸網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全，后續(xù)的研究還可以考慮從其他方面來提高智能變電站的網(wǎng)絡(luò)安全水平。