基于區塊鏈技術的電力系統光傳輸網絡異常節點入侵檢測

解 鵬,劉雙峰,張金華,卿 松

(國網新疆電力有限公司,新疆 烏魯木齊 830018)

0 引言

隨著信息技術與日常工作、學習、生活場景的不斷深入融合發展,電力系統也逐步走向信息化、數字化,成為現階段各個企業發展所不可缺少部分。但信息化技術的發展,使網絡安全遭受到了極大的威脅。從全球網絡安全來看,入侵數據攻擊網絡節點、竊取或更改網絡信息時有發生。從國內網絡發展現狀來看,據統計,截至2018 年,我國的網民數量達到了8.29 億,在網絡入侵攻擊方面,共截獲網絡入侵病毒7 786 萬個,網絡感染病毒次數達到了11.25 億次。而電力系統作為國家維護正常工作、社會平穩運行的關鍵工具,其光傳輸網絡也面臨著海量病毒入侵的威脅。

基于上述背景,文獻[1]提出基于實用拜占庭容錯(practical byzantine fault tolerance,PBFT)的物聯網入侵檢測方法,運用支持向量機(support vector machines,SVM)進行預訓練,得到入侵檢測判定規則,并根據該規則結合PBFT 算法實現節點狀態的判斷。文獻[2]建立了一種網絡攻擊節點可信度模型,評判網絡中的異常節點,解決了虛假數據注入攻擊節點對鄰居節點狀態估計影響的問題。上述傳統方法只能檢測部分網絡層中的部分節點信息,易造成節點丟失率過高的問題。因此,本文基于區塊鏈技術的特點,研究電力系統光傳輸網絡中異常節點入侵檢測方法。區塊鏈技術具有統籌全局網絡信息的能力,通過獲取端到端所有隨機網絡層內的所有節點信息,找出異常節點的入侵位置[3-4],為光傳輸網絡的安全使用提供可靠的技術支持。

1 電力系統光傳輸網絡異常節點入侵檢測方法

1.1 獲取光傳輸網絡的時序性節點信息

區塊鏈技術通過一個完整的網絡結構,實時監聽光傳輸網絡中具有動態活動特征的節點信息,保證節點信息具有時序性和連貫性,形成一個完整的數據監測閉環。區塊鏈獲取節點流程如圖1 所示。

圖1 區塊鏈獲取節點流程圖Fig.1 Flowchart of obtaining nodes of blockchain

已知區塊鏈節點網絡為對等網絡(peer to peer,P2P),其中所有節點共同維護區塊的交易和交換。此次研究的檢測方法,利用區塊鏈的底層P2P 網絡,同時設定網絡中的節點為電力系統光傳輸網絡的所有模塊,令每一模塊在網絡中均作為一個平等的節點,并保證這些模塊的權利相同、義務一致。當一個新的節點接入網絡時,要立即了解網絡中的其他節點,并執行區塊鏈同步技術。一旦新節點試圖加入某個區塊鏈網絡時,就會向網路中的節點請求區塊的完整信息。當這種情況發生時,該網絡就會向系統中的中心節點發送報告。當該節點多次試圖進入區塊鏈時,區塊鏈就會將同一時間內具有工作關聯的所有網絡節點信息發送給監測中心,并判斷此時網絡中的區塊鏈是否缺少區塊頭部信息或完整區塊數據。如區塊鏈不完整、頭部數據量少于區塊數量時,證明此時的網絡異常,存在節點入侵的情況。對此,導出此時的節點信息,根據獲取的光傳輸網絡時序性節點信息,提取節點特征[5]。

1.2 計算節點異常分數并設置檢測閾值

根據1.1 節獲取的完整時序性節點信息,提取全部的節點特征;根據正常模型中的節點,計算節點異常分數,以此設置檢測閾值。根據區塊鏈獲得的完整網絡節點信息,對其中的所有節點進行特征提取。假設特征提取函數Φf提取節點i的統計特征為fi,則存在:

式中:fi為一個多維向量,其每一維表示節點i在光傳輸網絡W中的統計特征。

對于所有節點,其統計特征集合用F=(f1,f2,…,fi,…,fn)表示[6]。

網絡節點特征示意圖如圖2 所示。

圖2 網絡節點特征示意圖Fig.2 Schematic diagram of network node characteristics

圖2(a)表示光傳輸網絡中的原始節點信息,其中包含了4 個原始節點。假設光傳輸網絡中,大部分節點的統計特征存在一定規律或者空間分布特性,因此將具備該信息的節點視為正常節點,即i的特征fi存在一定規律或特定空間分布[7]。而圖2(b)與圖2(c)是可能出現的兩種異常節點類型。前者是順序節點的異常;后者是分支節點的異常。因此,使用異常分數yi表示兩種情況下,節點i的特征與正常節點特征之間的偏離程度。異常節點i與正常節點之間的特征的差異計算公式為:

式中:distance(*)為偏離程度計算函數;Θ為線性擬合。

已知節點異常分數yi反映節點偏離正常節點的偏移量。根據異常檢測原理,結合式(2),計算節點異常分數值為:

式中:Bi為網絡邊數;γ為冪律分布的擬合參數;Ni為節點數據;max(Bi,)為一定空間內異常節點數量的最大值;min(Bi,)為一定空間內異常節點數量的最小值;Δyi為異常節點與正常節點之間特征差異的變化范圍;分數值Y反映了此時光傳輸網絡中的異常節點的特征偏移程度。

根據計算結果設定一個閾值,設該閾值為σ。如果分數值Y超過該閾值,則證明該節點為異常節點:即Y＞σ時,認為節點i是異常節點[8-9]。

1.3 全連接循環神經網絡設計入侵檢測模式

將設置的閾值上傳到全連接循環神經網絡中,設計一個可以對全體節點進行實時動態監控的循環式入侵節點檢測模式。該檢測模式共包含以下步驟。

①將輸入的特征值數據轉換成數值,并將所有特征值縮放到[0,1]區間內。②根據前向傳播算法,對網絡中的節點進行類別標簽。③計算節點特征與閾值σ之間的差值,利用反向傳播的微調算法,調節全連接循環神經網絡中的共享檢測參數,經過數據完全迭代獲得詳細的入侵檢測模式。④將檢測得到的每一條節點數據信息,輸入全連接循環神經網絡中,逐條分析異常節點類型;根據圖2(b)和圖2(c)的形式,區分異常節點的入侵類別,實現全連接循環神經網絡控制下,對全網絡節點序列信息的循環檢測[10-11]。

前向傳播算法執行類別標簽任務的具體實現步驟如下。

①數據輸入:設節點信息為xi(i=1,2,...,N),權值為A1、A2、A3,偏移量為p,激活函數J采用sigmoid 函數,分類函數L采用SoftMax 函數。

②檢測輸出:xi對應的輸出值為si。

具體的公式為:

式中:di為d時刻i節點的信息輸入量;A1為輸入層到隱藏層的權值;A2為上一時序隱藏層到當前時序隱藏層的權值;Ci為隱藏層節點;p1為異常節點在隱藏層中的偏移量;yi為輸出時的節點偏移系數[12-13];A3為隱藏層到輸出層的權值;p為異常節點在輸出層的偏移量,p1、p2根據yi和閾值σ計算得出;si為輸出層節點。

已知全連接循環神經網絡目標函數為:

式中:T為調整函數;α為檢測目標參數。

設調整率為μ、當前迭代次數為m,已知節點偏移系數yi,則權值微調算法的實現步驟如下。

①輸入數據信息(xi,si),i=1,2,...,n。

②初始化檢測目標α。

③得到微調后的檢測目標α=[A1,A2,A3,p1,p2]。

④通過前向傳播算法計算xi的輸出值si。

⑤計算輸出值與標簽值之間的交叉熵,其計算公式如下:

⑥對于α中每個網絡參數αi,計算偏導數ki:

⑦使誤差沿網絡反向傳播,更新網絡參數αi:

最終衡量各地區基本公共服務均等化程度，需要用表示不均等程度的統計指標來反映。常用指標有基尼系數、泰爾指數、變異系數等統計指標。本文采用使用最普遍的基尼系數，來衡量各省的公共服務均等化水平。本文使用的公式為：

⑧若d=m,保存參數結束算法;若d＜m,則d=d+1,轉向步驟①。

結合前向傳播算法權值微調算法,實現全連接循環神經網絡控制下,端到端之間對異常節點入侵的循環檢測。

2 試驗測試與結果分析

為驗證基于區塊鏈技術的電力系統光傳輸網絡異常節點入侵檢測方法的有效性,設置對比試驗:將此次提出檢測方法作為試驗組,將基于實用拜占庭容錯的物聯網入侵檢測方法(對照組1)和網絡攻擊節點可信度模型構建方法(對照組2)作為對照組。模擬電力系統,并設置光傳輸網絡中存在3 條節點異常的數據序列,將其分別作為3 組試驗測試條件。已知3 組試驗測試條件,存在數量不等的異常節點,通過3 種檢測方法定位異常節點的空間位置,比較3 種檢測方法的結果差異。

2.1 試驗準備

模擬數據序列中,異常節點分布在光傳輸網絡的輸入層、隱藏層以及輸出層中。異常節點原始分布如圖3 所示。

圖3 異常節點原始分布圖Fig.3 Original distribution of abnormal nodes

根據圖3 可知,在該電力系統光傳輸網絡中共存在四種類型的異常節點,節點呈現散亂分布的特點。將其作為試驗測試條件,分別利用3 種檢測方法,獲取電力系統光傳輸網絡中,異常節點在不同網絡層中的空間位置。

2.2 試驗結果分析

將圖3 中的異常節點作為試驗測試條件,對比3種檢測方法檢測得到的異常節點在光傳輸網絡空間中的所在位置。異常節點檢測結果對比如圖4 所示。

圖4 異常節點檢測結果對比圖Fig.4 Comparison of abnormal node detection results

根據上述試驗結果可知,試驗組不僅能夠檢測出不同類型的異常節點,而且能夠對異常節點按照類型進行劃分,劃分結果較為清晰。而對照組1 的檢測結果中部分異常節點丟失,并且不能對節點進行有效分類。對照組2 檢測結果中雖然異常節點丟失的情況得到了緩解,但是不能對節點進行有效分類。

根據上述試驗結果可知,面對異常節點較多的網絡,試驗組還是可以準確定位網絡中的異常節點位置,并按照不同的類型進行節點劃分;而對照組1 和對照組2 則丟失了大量的異常節點。

對比三種檢測方法在進行異常節點定位時所丟失的異常節點數量,并計算三種方法的節點丟失率。節點丟失率統計結果如表1 所示。

表1 節點丟失率統計結果Tab.1 Statistical results of node loss rate

根據表1 的計算可知:試驗組在多次測試中,節點丟失率最高值僅為3.06%;而對照組1 在多次測試中,其節點丟失率最高值為23.25%;對照組2 在多次測試中,節點丟失率均值達到了15.23%。由此可見,傳統方法確實遺失了大量的異常節點,導致檢測結果嚴重偏離實際。那些隱藏起來并沒有被發現的異常節點,會嚴重威脅光傳輸網絡的使用安全,嚴重時可能造成泄密事件。本文研究方法可以有效檢測出網絡空間中的異常節點,對其進行有效劃分,并且節點丟失率較低。由此說明,本文方法可以確保電力系統及時修復異常節點,防止網絡被病毒入侵,維護光傳輸網絡的使用安全。

3 結論

電力系統光傳輸網絡端到端的特殊網絡模式下,傳統的異常節點入侵檢測方法不能有效檢測所有網絡層內的節點信息,導致節點丟失率過高,影響電力系統中光傳輸網絡的使用安全。本文研究的網絡異常節點入侵檢測方法,根據區塊鏈技術獲得網絡端到端之間一個完整的時序性節點信息,通過建立一套循環式的檢測模式,獲取全網絡中的所有異常節點,實現對電力系統中光傳輸網絡的全局性異常節點入侵檢測。但是受學術水平和自身能力的限制,給出的試驗測試變量較少。今后的研究與分析還需要加強自身的實際操作能力,通過設置更多組試驗條件加強對檢測方法可靠程度的說明,增強試驗結果的說服力。