基于特征抽取的電力工控系統入侵檢測方法

莊衛金，方國權，張廷忠，陳 中

（1.中國電力科學研究院，南京 210003；2.國網江蘇省電力有限公司檢修分公司，南京 211106；3.國網山東省電力公司濰坊供電公司，山東 濰坊 261041；4.東南大學 電氣工程學院，南京 210096）

0 引言

目前電力工控系統采用“安全分區、網絡專用、橫向隔離、縱向認證”[1]的安全防護策略，在系統邊界部署正反向隔離裝置及加密認證裝置，能有效抵御來自互聯網的傳統病毒木馬的入侵[2]。但與傳統電網相比，與物聯網聯系日益緊密的電力工控系統由于在用戶側部署了大量不可控的智能網荷互動終端以及信息采集裝置，所面臨的來自外部的惡意攻擊風險大大提高，因此有必要面向電力工控系統研究適用于其的入侵檢測技術以提高抗風險能力[3]。

目前，許多機器學習算法與深度學習模型已經被應用于入侵檢測相關研究中，文獻[4]提出了一種基于DBN（深度置信網絡）和PNN（概率神經網絡）的入侵檢測方法，利用神經網絡的非線性特性優化了原始數據的重要特征；文獻[5]通過建立多分類器模型，采用改進特征工程方法對不同類型的數據進行分析，最終針對某種類型分類效果最佳的分類器分步完成入侵檢測；文獻[6]基于分布式RF（隨機森林）研究一種實時處理高速網絡流量的入侵檢測方法。這些研究均基于數據量足夠充分的公共數據集訓練入侵檢測模型因而能取得極高的檢測準確率。若直接在電力工控系統環境下訓練入侵檢測模型，現有的方法是在仿真系統中進行惡意攻擊實驗，再采集數據進行訓練。文獻[7]提出方法基于OCSVM（單類支持向量機），將網絡入侵檢測問題看成是一種二分類問題，能有效檢測出系統實時交互中的異常數據；文獻[8]模擬了電力工控系統三種潛在的惡意攻擊場景，分別采用神經網絡訓練了對應的檢測模型，且依靠關聯規則實現了對特定攻擊場景的差異化辨識。文獻[9]基于互信息選取攻擊特征再使用集成多個SVM（支持向量機）的分類器對電力信息網絡不同類型的惡意攻擊行為進行了檢測識別。由于實施惡意攻擊實驗的復雜性，往往可獲取的數據量有限，且無法覆蓋所有典型的攻擊類別，因而上述研究中檢測的準確率和泛化能力均存在較大的提升空間。

基于上述分析可知，將入侵檢測應用于實際的電力工控系統時會存在兩大難點：一是完全基于公共數據集訓練的入侵檢測模型并不完全切合電力工控系統的實際環境；二是在實際環境下可獲取的惡意攻擊數據往往是不充分、樣本量較小的，由此訓練的入侵檢測模型往往泛化能力較差且有大概率對未知類型的惡意攻擊失效。

因此，本文提出一種基于特征抽取的電力工控系統入侵檢測方法，該方法通過堆疊稀疏自編碼器抽取入侵數據的抽象特征，再基于SVM 分類器實現入侵檢測。在訓練過程中該方法采用遷移學習策略將從公共數據集中習得的特征抽取能力遷移至電力工控系統的具體環境，改善了數據量不足的問題，從而增強了面向實際環境時入侵檢測模型的泛化能力，提升了對惡意攻擊的辨識準確率。

1 背景知識

1.1 遷移學習策略

深度學習的效果依賴于數據資源的質量，而在某些實際應用場景下由于安全、隱私等因素很難獲得足夠充分的訓練數據，這將削弱模型的泛化能力。而通過遷移學習的策略，可以在此類數據資源匱乏的情況下提升模型的質量[10]。

遷移學習涉及到兩個基本的概念：源域和目標域。其中，源域是指具有大量且充分的訓練數據的領域，源域對應任務稱為源任務；而目標域則是缺少數據資源的領域，且目標任務是最終需要被實現的任務。遷移學習的過程就是將源域內有價值的知識遷移至目標域，求解目標域中目標預測函數，即建立目標域模型以完成目標任務。因此，遷移學習的優點是利用已有的數據資源，解決相關情境下的類似問題，從而實現知識的領域自適應。

預訓練與微調是經典的遷移學習方法[11]，其一般包含三步：

（1）基于源域數據集訓練源模型，以完成源任務。

（2）將源模型內的部分參數凍結并遷移至目標域模型中，對目標域模型的剩余參數隨機初始化。

（3）基于目標域數據集訓練目標域模型，在訓練過程中對遷移的參數進行微調，對隨機初始化的參數進行再訓練，最終適應目標任務。

預訓練旨在通過海量的源域數據資源訓練源模型的特征抽取能力，再通過參數遷移使目標模型獲得這種能力；而微調基于目標域內較少的數據資源對目標模型進行小范圍的調整，以針對性地適應新的目標任務。

1.2 基于稀疏自編碼器的特征抽取

預訓練-微調方法的核心是通過參數遷移使得目標域模型獲得泛化能力足夠優秀的特征抽取能力[12]。SAE（稀疏自編碼器）被看成是一類具有特征抽取能力的特殊神經網絡，可以被應用于遷移學習中[13]。稀疏自編碼器的輸出層被設計為盡可能地對輸入數據進行重構，如圖1 所示，即=xi，從而使得隱藏層較低維度的神經元能夠代替高維的輸入層神經元，實現特征的壓縮與抽取。

圖1 稀疏自編碼器

稀疏自編碼器以優化損失函數J 為目標，通過反向傳播算法尋找權重矩陣W∈RK×N，V∈RN×K以及偏置向量b1∈RK×1，b2∈RN×1的最優解：

式中：第一項為重構項，其實質上是輸入數據與輸出數據間的均方誤差；第二項是以λ 為參數的權重及偏置衰減項，其實質是權重矩陣和偏置向量L2 范數的正則化，權重及偏置衰減項能有效降低訓練中可能會出現的過擬合；最后一項是以β 為參數的稀疏懲罰因子，該項將約束條件置于隱藏層以維持其較低的平均活躍度，稀疏懲罰因子以KL 散度的形式表示[14]：

當求解獲得參數W 和b1的最優值后，即獲得了對輸入數據的特征抽取hW，b（x）。

2 基于堆疊自編碼器的電力工控系統入侵檢測模型

2.1 數據集分析

NSL-KDD 標準數據集是網絡入侵檢測領域常用的數據集，其涵蓋了四大網絡惡意攻擊類別：

（1）DOS：拒絕服務攻擊。

（2）Probe：黑客掃描漏洞以確定漏洞。

（3）U2R：遠程黑客試圖獲得本地用戶權限。

（4）R2L：黑客以普通用戶的身份運行并利用漏洞[15]。

NSL-KDD 數據集包含數據量龐大且帶標簽的網絡流量記錄，每條記錄的特征包括連接持續時間、協議類型、目標主機的網絡服務類型、交換數據字節數等；標簽分為正常情況以及四大類網絡攻擊模式下的23 種具體攻擊形式[16]。由于NSL-KDD 數據集資源充足，因此可以將其作為源域數據集。

對于目標域即電力工控系統環境而言，目前尚無針對此收集的網絡入侵數據集，相關研究所用數據一般由網絡攻擊機向電力工控仿真系統發起惡意攻擊，再通過抓取系統實時交互的數據包獲得[6-7]。考慮到電力工控系統數據交互的特點，在目標域中還可能存在分布式數據篡改與偽造控制指令兩類尚未包含在NSL-KDD 數據集中的惡意攻擊類型。所謂分布式數據篡改主要是針對用戶側分布式的網荷互動終端，通過篡改其上傳的數據，使系統發生誤判而引起一系列事故；而偽造控制指令攻擊主要是捕獲網荷互動終端的報文，對其進行解析，獲取控制指令，進而篡改指令，使終端拒動或誤動，引發事故。

目標域與源域數據數據記錄中存在數值型與字符型兩類特征屬性。因此，需要對源域與目標域異構的數據記錄進行預處理。在對源域與目標域特征屬性進篩選后，采用向高維空間映射的方法進行字符型特征的數值化處理，字符型特征協議標識符含有3 種類型：tcp，udp 和icmp，將其分別映射成[1，0，0]，[0，1，0]和[0，0，1]。其余的字符型特征包括業務標識符、功能碼等均通過此方式進行數值化，將原本的數據特征拓展至高維。接著，對于數值型特征進行歸一化處理以消除各特征之間量綱不統一造成的影響。

2.2 基于堆疊自編碼器的入侵檢測模型

SSAE（堆疊稀疏自編碼器）是稀疏自編碼器深度化的擴展模式，深度神經網絡的優勢在于其能逐層學習原始輸入數據的多種特征表達方式，且每一層都以上一層的特征表達為基礎，逐層更為抽象[17]。由1.2 節可知，單個稀疏自編碼器通過構造輸入層—隱藏層—輸出層的三層網絡（型如）并在此基礎上經訓練對輸入數據進行重構以獲得隱藏層激活值，從而抽取出輸入數據x的特征表達h，其中向量x 和的長度為m，向量h 的長度為n（n＜m）。如圖2 所示，在堆疊稀疏自編碼器的結構中多個稀疏自編碼器依次串聯，上一層抽取的特征表達將作為下一層的輸入。

圖2 堆疊自稀疏編碼器結構

堆疊稀疏自編碼器的訓練過程與普通的深度神經網絡不同，其各層神經網絡的權重與偏置參數并非通過反向傳播算法一并優化訓練完成，而是采用逐層非監督訓練的方式進行。首先訓練網絡，得到第一個稀疏自編碼器的隱藏層激活值h1，再訓練網絡h1→h2→h1，得到第二個稀疏自編碼器的隱藏層激活值h2，以此類推，最終訓練得到h1至hn并以此作為由堆疊稀疏自編碼器抽取出的特征表達。

結合堆疊稀疏自編碼器與遷移學習策略，本文構建的入侵檢測模型及其訓練過程見圖3。

由圖3 可知，模型訓練所用的數據來自于源域與目標域，其數據資源分別對應NSL-KDD 數據集和經由電力工控仿真系統采集的實驗數據。源域所需執行的任務是通過對NSL-KDD 數據集內海量數據資源的無監督訓練習得對網絡惡意攻擊的特征抽取能力。因此，在源域內構建深度為的堆疊稀疏自編碼器，并連接與輸入層同維度的神經網絡層作為輸出，通過逐層非監督預訓練的方式訓練各層參數，當模型收斂后堆疊稀疏自編碼器各隱藏層神經元激活值即為對網絡惡意攻擊數據記錄不同抽象程度的特征表達。

圖3 入侵檢測模型及其訓練過程

目標域內所需執行的任務是訓練適用于電力工控系統的入侵檢測模型。在目標域內構建檢測模型，其以兩個串聯的堆疊稀疏自編碼器作為隱藏層，并以SVM 分類器作為輸出層。在模型初始化的過程中，將源域內前層的神經網絡參數遷移至目標域堆疊稀疏自編碼器B（SSAE-B），再對堆疊稀疏自編碼器T（SSAE-T）以及SVM 分類器的參數進行隨機初始化。在訓練時，應以較低的學習率對SSAE-B 的參數進行微調以保持模型的特征抽取能力；而應將主要的計算資源用于對SSAE-T 以及SVM 分類器的參數進行訓練，從而使模型更適用于實際電力工控系統的入侵檢測任務。

3 實驗與分析

3.1 評價指標

為了評價網絡入侵檢測系統的檢測的效果，采用的評價指標包括精確率PR、召回率RE和誤報率FAR。精確率表示所有被檢測為惡意攻擊的樣本中實際發生的樣本的占比，其衡量網絡入侵檢測模型能否檢測準確的能力；召回率表示檢測為惡意攻擊的樣本數占所有實際惡意攻擊樣本總數的比例，其衡量網絡入侵檢測模型能否檢測全面的能力；誤報率表示被錯誤檢測為惡意攻擊的樣本占所有正常樣本的比例，其衡量網絡入侵檢測模型犯錯的概率。各指標的計算方法分別如式（4）—（6）所示：

式中：TP為被正確檢測出的惡意攻擊數；FP為被錯誤檢測的惡意攻擊數；FN則對應未被系統檢測出的惡意入侵，出于安全穩定的因素考慮，與FN有關的指標是入侵檢測系統更為關心的。

3.2 實驗過程與結果

本文用于訓練模型的網絡入侵數據來自源域和目標域，其中源域數據來自NSL-KDD 數據集的子數據集KDDTrain+，而目標域數據集則通過構建網絡入侵仿真試驗平臺進行采集。

用于模擬網絡攻擊的仿真試驗平臺由網絡仿真技術軟件OPNET、網絡通信仿真系統、電力工控系統OPAL-RT、路由器、網絡攻擊機、流量監測軟件組成的。網絡通信仿真系統與電力工控系統通過路由器相連，而網絡攻擊機則直接接入路由器向電力工控系統發起攻擊；由流量監測軟件snort 運行于數據包記錄模式抓取系統實時交互的數據包至硬盤，再通過與網絡攻擊機時戳對齊的方式獲取帶標簽的目標域數據集。網絡攻擊機發起的惡意入侵不僅涵蓋了NSL-KDD 數據集中的四大類攻擊類型還包括了電力工控系統環境特有的分布式數據篡改與偽造控制指令兩類攻擊類型。實驗將目標域數據集劃分為訓練集與測試集兩部分，各數據集的構成情況如表1 所示。

表1 源域與目標域數據集記錄分布 條

采用型號為Intel i5-8550 2.6GHz，16G RAM的計算機訓練適用于電力工控系統入侵檢測模型，該模型基于Tensorflow 和Keras 搭建。

首先基于源域數據集對堆疊稀疏自編碼器進行無監督訓練，使其獲得對數據樣本的特征抽取能力。接著將源域模型前3 層的神經網絡參數遷移至目標域SSAE-B，再基于目標域訓練集對SSAE-T 和SVM 分類器進行有監督訓練，在訓練過程中以較低的學習率對SSAE-B 經遷移獲得的參數進行微調，最終獲得在訓練過程中引入遷移學習策略的入侵檢測模型TL-IDS。模型參數以及訓練過程中的參數設置如表2 所示。入侵檢測模型的訓練結果如圖4 所示。

表2 入侵檢測模型中堆疊自編碼器結構的參數設置

圖4 入侵檢測模型的訓練結果

為了評估在訓練過程中引入的遷移學習策略對提升電力工控系統環境下入侵檢測系統檢測能力的整體效果，算例將在略去遷移學習策略的情況下基于目標域訓練集直接訓練與TL-IDS 模型在結構上保持一致的NTL-IDS 模型，并將兩模型基于相同的目標域測試集進行比對測試，如表3 所示。

表3 入侵檢測模型在訓練與測試集上的表現 %

由表3 可知，就訓練集而言，NTL-IDS 模型與TL-IDS 模型的表現相近，均具有較好的入侵檢測能力，這說明由堆疊稀疏自編碼器和SVM分類器構成的入侵檢測模型結構在訓練集上均能收斂。在測試集上，NTL-IDS 模型的性能較訓練集下降，而TL-IDS 模型依然能保持與訓練集相似的表現，且TL-IDS 模型在精確率與召回率上分別就NTL-IDS 模型提升了10.68%和11.23%，誤報率下降了8.11%。

對NTL-IDS 模型與TL-IDS 模型在目標域測試集上進一步精細探究，以評估對目標域特有惡意攻擊行為的檢測表現，其結果如表4 所示。

表4 模型對測試集上各類惡意攻擊的檢測表現 %

由表4 可知，在目標域測試集上，TL-IDS 模型相比于NTL-IDS 模型而言，對各類惡意攻擊的檢測能力均有提升，其中Dat 與Foc 屬于目標域獨有的惡意攻擊類型，其檢測精確率分別提升31.52%和27.73%，檢測召回率分別提升25.03%和20.69%，其幅度大于DOS，Probe，U2L 和R2L這4 類源域與目標域數據集中共有的攻擊類型。

上述結果說明TL-IDS 比NTL-IDS 模型具有更強的泛化能力，源域模型靠近輸入層的神經元在源域數據集上習得的特征抽取能力有助于提升目標域模型在實際場景下的入侵檢測效果，對目標域獨有的入侵類型提升效果更為明顯。

一般而言，從源域模型遷移的神經網絡層數是根據經驗設置的，若層數過淺有可能導致無法充分抽取數據的深層抽象特征；若層數過深則有可能削弱遷移后模型的泛化能力。為了進一步分析遷移學習策略中堆疊稀疏自編碼器特征抽取的抽象程度對提升檢測能力效果的影響，算例將在保持TL-IDS 模型整體深度的條件下，調整從源域遷移至SSAE-B 的網絡層數，并在目標域測試集上進行多次試驗，得到的結果如圖5 所示。

由圖5 可知，當僅遷移1 層神經網絡參數至目標域檢測模型時，各指標與未引入遷移學習策略時模型的表現（見表3）接近，此時從源域抽取的數據特征較為具象，對檢測結果并無顯著提高；隨著參數遷移的神經網絡層數的增加，模型的檢測性能逐步提高，當遷移3-4 層神經元參數時，模型檢測結果在三個評價指標上均有較顯著的提升，該結果表明從源域遷移更為抽象的數據特征有助于提升模型的泛化能力；但當遷移的神經網絡層數增加至5 時，各指標出現了較大程度的下降，這是因為在深度不變的條件下，此時遷移的數據特征過于抽象而可用于目標域分類的神經網絡層數過少，影響了模型在惡意攻擊分類上的訓練效果。

圖5 遷移不同層數的神經網絡時模型的檢測結果

最后，比較TL-IDS 模型與NTL-IDS 模型在模型訓練階段與測試階段所占用的時間，以評估其在兩階段的效率。圖6 表明兩模型在訓練階段基于相同的目標域測試集數據對于總計100 個訓練周期的平均訓練時間以及兩模型基于相同目標域測試集的測試時間。

圖6 模型訓練及測試所耗時間

就訓練階段而言，TL-IDS 模型的平均訓練時間為43.6 s，而NTL-IDS 模型為73.2 s。這是由于TL-IDS 模型在基于目標域訓練集進行訓練前已通過遷移學習策略進行了參數遷移，模型無需從零初始化學習樣本特征，因此即使其以更低的學習率進行訓練，其平均訓練時間也遠小于直接基于目標域訓練集進行訓練的NTL-IDS 模型。而對于測試階段，由于兩模型結構設計相同即擁有相同的參數個數，因此其測試時間接近。

4 結語

現有的基于機器學習算法、深度學習模型開發的入侵檢測模型應用于實際的電力工控環境時會存在兩大難點：一是模型對實際環境的可移植性差；二是缺少實際環境下可用于訓練數據樣本。針對此，本文提出一種特征抽取的電力工控系統入侵檢測模型并在其訓練過程中引入遷移學習策略。算例對比了引入遷移學習策略前后入侵檢測模型對于電力工控環境下測試數據的檢測效果，得到結論如下：

（1）利用堆疊稀疏自編碼器從海量公共數據集中抽取數據的抽象特征并在訓練過程中引入遷移學習策略，有助于提升實際環境數據不足情況下入侵檢測模型的表現，對于實際環境下特有的惡意入侵類型效果更為顯著。

（2）增加遷移的源域隱藏層神經網絡深度，抽取更抽象的數據特征有利于提升目標域檢測模型的泛化能力。

（3）引入遷移學習策略獲得的模型對于目標域測試集有更高的訓練效率，因此該訓練方法更適用于實際的入侵檢測環境。