基于機(jī)器學(xué)習(xí)的分組交換電力光網(wǎng)絡(luò)流量異常檢測(cè)

原 軍，張 凱，藥 煒，張 源

(國(guó)網(wǎng)山西省電力公司太原供電公司，山西 太原 030012)

0 引言

電網(wǎng)技術(shù)的發(fā)展要求通信系統(tǒng)不斷滿足其發(fā)展要求，在通信網(wǎng)絡(luò)更加復(fù)雜的同時(shí)，通信網(wǎng)絡(luò)所面臨的危險(xiǎn)也更加嚴(yán)峻，容易遭到網(wǎng)絡(luò)攻擊。當(dāng)前的網(wǎng)絡(luò)防御是保證電網(wǎng)以及通信網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵。流量異常檢測(cè)作為網(wǎng)絡(luò)內(nèi)防的重要手段，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，并采取相應(yīng)措施，阻斷攻擊的進(jìn)程，對(duì)網(wǎng)絡(luò)的安全運(yùn)行有著十分重要的意義。

目前,針對(duì)電力系統(tǒng)通信流量異常檢測(cè)的文獻(xiàn)主要集中在檢測(cè)方法上，文獻(xiàn)[1]提出了一種基于時(shí)-頻域混合特征的變電站通信網(wǎng)異常流量檢測(cè)方法；文獻(xiàn)[2]研究了大數(shù)據(jù)背景的光纖通信流量異常辨識(shí)；文獻(xiàn)[3]提出了一種基于隨機(jī)矩陣譜偏離度的微網(wǎng)狀態(tài)感知方法；文獻(xiàn)[4]針對(duì)基于隱蔽異常流量的網(wǎng)絡(luò)通信傳輸安全檢測(cè)進(jìn)行了研究；文獻(xiàn)[5]設(shè)計(jì)了基于特征庫(kù)識(shí)別法的移動(dòng)通信網(wǎng)絡(luò)異常流量監(jiān)測(cè)系統(tǒng)；文獻(xiàn)[6]研究了配電通信網(wǎng)流量異常檢測(cè)方法。上述文獻(xiàn)提出的流量異常檢測(cè)技術(shù)大多利用了大數(shù)據(jù)等信息技術(shù)，能夠在流量異常檢測(cè)的具體方面有針對(duì)性地實(shí)現(xiàn)檢測(cè)，但是在流量特征分析方面還有待繼續(xù)深入研究。

目前,針對(duì)機(jī)器學(xué)習(xí)等方法在電力系統(tǒng)中應(yīng)用逐漸增多，有網(wǎng)損分析[7]、輸電系統(tǒng)監(jiān)控系統(tǒng)[8-9]、故障診斷[10-11]等。機(jī)器學(xué)習(xí)如果應(yīng)用于流量檢測(cè)則可以提升檢測(cè)的效果。

為此，本文提出了電力分組交換光網(wǎng)絡(luò)流量檢測(cè)方法。通過(guò)對(duì)傳統(tǒng)流量特征以及檢測(cè)方法的歸納總結(jié)，提出了基于機(jī)器學(xué)習(xí)的優(yōu)先級(jí)調(diào)度算法，能夠利用隊(duì)列優(yōu)先、數(shù)據(jù)包優(yōu)先和空間路由等信息實(shí)現(xiàn)流量異常檢測(cè)。

1 電力通信網(wǎng)絡(luò)及其流量特征

1.1 電力通信網(wǎng)絡(luò)特征

電力通信網(wǎng)絡(luò)與電力系統(tǒng)的發(fā)電、輸電、變電、配電等過(guò)程相對(duì)應(yīng)，是電力系統(tǒng)基礎(chǔ)物理設(shè)施與高層服務(wù)對(duì)象的緊密連接，能夠傳輸電力系統(tǒng)相關(guān)的數(shù)據(jù)以及各類(lèi)業(yè)務(wù)。現(xiàn)階段，在智能電網(wǎng)背景下，電力通信網(wǎng)絡(luò)的智能化水平逐漸提高，引入了同步數(shù)字序列SDH、多業(yè)務(wù)傳輸平臺(tái)MSTP、光傳輸網(wǎng)OTN和波分復(fù)用WDM等技術(shù)。

電力系統(tǒng)通信網(wǎng)絡(luò)按照功能分類(lèi)分為骨干通信網(wǎng)、配電通信網(wǎng)和用電通信網(wǎng)，3種網(wǎng)絡(luò)的組網(wǎng)通信方式略有差別，但網(wǎng)架結(jié)構(gòu)相似，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 電力通信網(wǎng)絡(luò)結(jié)構(gòu)

1.2 流量特征獲取方式

網(wǎng)絡(luò)流量特征需要進(jìn)行相應(yīng)的獲取方式，通過(guò)挖掘數(shù)據(jù)特征，對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行分析和處理，其流程如圖2所示，通過(guò)網(wǎng)絡(luò)數(shù)據(jù)流的獲取得到數(shù)據(jù)分析特征，通過(guò)特征進(jìn)一步選擇相應(yīng)的數(shù)據(jù)流，將不同的數(shù)據(jù)流進(jìn)行融合之后達(dá)到異常識(shí)別的目的。

圖2 網(wǎng)絡(luò)流異常識(shí)別流程

1.3 網(wǎng)絡(luò)流量特征

在傳統(tǒng)資源調(diào)度算法中，所有流量都無(wú)差別視為相等。但是，針對(duì)電力分組交換光網(wǎng)絡(luò)，內(nèi)部數(shù)據(jù)中心的流量包括老鼠流和大象流，大象流和老鼠流具有不同的特征。

有學(xué)者研究指出，數(shù)據(jù)包在內(nèi)部數(shù)據(jù)中心的長(zhǎng)度以及流量可能服從相應(yīng)的分布。因此，在這種情況下，需要匹配以太網(wǎng)最小或最大的網(wǎng)絡(luò)環(huán)境長(zhǎng)度進(jìn)行進(jìn)一步分析。由此可見(jiàn)，有效的調(diào)度算法能夠區(qū)分流量的差異，并且實(shí)現(xiàn)流量資源的高效配置。因此，流量異常檢測(cè)在資源配置算法中起到關(guān)鍵作用。

2 電力分組交換光網(wǎng)絡(luò)

2.1 流量檢測(cè)方法

本文提出了電力分組交換光網(wǎng)絡(luò)的架構(gòu)。電力分組交換光網(wǎng)絡(luò)架構(gòu)的核心為陣列波導(dǎo)光柵路由(AWGR)，可以實(shí)現(xiàn)波長(zhǎng)范圍內(nèi)沖突的高速光解決方案。在分組交換光網(wǎng)絡(luò)中，若干服務(wù)器與假定交換機(jī)相連接，這類(lèi)架頂(ToR)交換機(jī)之間是通過(guò)基于陣列波導(dǎo)光柵的交換網(wǎng)絡(luò)進(jìn)行連接的。每一個(gè)ToR交換機(jī)都與入口和出口模塊相連，能夠?qū)崿F(xiàn)幀操作。入口模塊包括若干虛擬輸出序列，其目標(biāo)為T(mén)oR交換機(jī)。幀操作能夠?qū)σ蕴珨?shù)據(jù)包進(jìn)行包裝，從而形成光幀。光交換機(jī)能夠利用快速波長(zhǎng)光源對(duì)來(lái)自入口模塊的光幀進(jìn)行傳輸。每個(gè)光幀進(jìn)入包塊擁有1×m維度的空間交換機(jī)，能夠與m個(gè)AWGR相連，每個(gè)AWGR能夠具有針對(duì)性地傳輸光光幀值為n/m的出口單元，其中n為光幀數(shù)目。

通過(guò)對(duì)ToR配置1×m維的路由來(lái)擴(kuò)大路由端口的數(shù)量，如圖3所示。分組光交換網(wǎng)絡(luò)能夠通過(guò)中心控制解耦結(jié)構(gòu)控制平面和數(shù)據(jù)，從而實(shí)現(xiàn)控制器專(zhuān)屬工作方式，能夠簡(jiǎn)化ToR的工作方式，實(shí)現(xiàn)其針對(duì)數(shù)據(jù)交換包的單獨(dú)執(zhí)行。另一方面，控制器可以實(shí)現(xiàn)資源的高效利用，從而更好地調(diào)度光幀路由資源。由于ToR并不需要將信號(hào)包發(fā)送至其他路由，因此，可以通過(guò)高效的調(diào)度決策減小路由延時(shí)。

圖3 電力分組光交換網(wǎng)絡(luò)

在入口側(cè)，服務(wù)器生成原始電力以太網(wǎng)IP數(shù)據(jù)包，該數(shù)據(jù)包由ToR路由器進(jìn)行收集，并發(fā)送至相應(yīng)的集成入口模塊。電力通信數(shù)據(jù)包會(huì)被放置于虛擬輸出隊(duì)列(VoQ)，能夠以出口模塊為目的地，并對(duì)數(shù)據(jù)包進(jìn)行打包。對(duì)于入口模塊，中央控制器可以決定VoQ是否需要打包為光幀。當(dāng)入口模塊從控制平面分配了傳輸任務(wù)時(shí)，將會(huì)發(fā)送此光幀至下一個(gè)時(shí)間窗口。同時(shí)，空間路由將會(huì)根據(jù)相應(yīng)的AWGR進(jìn)行配置，從而實(shí)現(xiàn)數(shù)據(jù)包的成功傳送，最終到達(dá)出口模塊。當(dāng)數(shù)據(jù)包到達(dá)出口模塊時(shí)，進(jìn)行下一步操作，使得數(shù)據(jù)包到達(dá)目標(biāo)服務(wù)器。

數(shù)據(jù)包的傳輸在服務(wù)器之間是直接進(jìn)行的，因此，需要對(duì)數(shù)據(jù)服務(wù)器集群進(jìn)行調(diào)度。其中考慮到時(shí)隙，入口模塊需要決定可以傳輸數(shù)據(jù)包的VoQ，并且出口模塊需要確定其對(duì)應(yīng)的入口模塊，從而實(shí)現(xiàn)光幀的接收。如果對(duì)這類(lèi)資源不加以調(diào)度，將會(huì)發(fā)生入口模塊和出口模塊的沖突，從而不能夠同時(shí)傳輸數(shù)據(jù)。考慮到這類(lèi)沖突，在此時(shí)隙不會(huì)有任何傳輸行為，因此，將會(huì)浪費(fèi)帶寬資源。為了解決這一問(wèn)題，需要對(duì)電力分組光交換網(wǎng)絡(luò)進(jìn)行有效的調(diào)度。

2.2 光網(wǎng)絡(luò)流量異常檢測(cè)與態(tài)勢(shì)感知

流量異常檢測(cè)能夠分析電力系統(tǒng)通信網(wǎng)絡(luò)中的數(shù)據(jù)參數(shù)、信道參數(shù)、時(shí)延參數(shù)和網(wǎng)絡(luò)吞吐量參數(shù)等。能夠有效分析通信網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，將孤立分散的靜態(tài)拓?fù)渚W(wǎng)絡(luò)，形成動(dòng)態(tài)關(guān)聯(lián)的數(shù)據(jù)網(wǎng)絡(luò)。

流量異常檢測(cè)是通信網(wǎng)絡(luò)拓?fù)鋺B(tài)勢(shì)感知中的一種手段，能夠通過(guò)相應(yīng)的數(shù)據(jù)處理技術(shù)，形成對(duì)通信網(wǎng)絡(luò)重要指征的評(píng)判和量測(cè)。通過(guò)這類(lèi)數(shù)據(jù)的演變關(guān)系，能夠提前預(yù)測(cè)通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化趨勢(shì)。由于目前通信網(wǎng)絡(luò)的安全態(tài)勢(shì)，感知發(fā)展還不成熟，通信網(wǎng)絡(luò)的安全性能、網(wǎng)絡(luò)系統(tǒng)的脆弱性和外部威脅均可以通過(guò)異常流量檢測(cè)進(jìn)行識(shí)別，能夠提升全網(wǎng)安全防御的性能，并且構(gòu)建安全防御體系。

通過(guò)網(wǎng)絡(luò)的流量數(shù)據(jù)異常檢測(cè)能夠?qū)崿F(xiàn)數(shù)據(jù)和模型的進(jìn)一步豐富，通過(guò)訓(xùn)練得到的數(shù)據(jù)可以實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。在電力系統(tǒng)態(tài)勢(shì)感知不斷發(fā)展的同時(shí)，通信網(wǎng)絡(luò)也不斷演化，感知成為了輔助電力系統(tǒng)通信的重要手段。需要結(jié)合目前不同層次、不同屬性的流量數(shù)據(jù)實(shí)現(xiàn)這一目標(biāo)。

3 電力分組交換光網(wǎng)絡(luò)流量特征

3.1 流量檢測(cè)方法

傳統(tǒng)流量檢測(cè)方法主要基于網(wǎng)絡(luò)內(nèi)監(jiān)測(cè)和采樣，這種方法是考慮到網(wǎng)絡(luò)流量行為受到端點(diǎn)應(yīng)用生成數(shù)據(jù)的影響，并且與網(wǎng)絡(luò)內(nèi)部的擁塞無(wú)關(guān)。在現(xiàn)代通信控制系統(tǒng)中，對(duì)端主機(jī)運(yùn)行系統(tǒng)針對(duì)應(yīng)用的行為具有更好的可視性。因此，在這種情況下可以替代網(wǎng)內(nèi)監(jiān)測(cè)器。目前，已有學(xué)者提出Mahout的對(duì)端服務(wù)器檢測(cè)方法[12]。這種算法具有良好的緩沖性能，但是高度依賴(lài)閾值的選擇。因此，針對(duì)流量較為豐富的數(shù)據(jù)中心則適用性不高。

本文提出利用機(jī)器學(xué)習(xí)的流量監(jiān)測(cè)方法，實(shí)現(xiàn)對(duì)分組交換光網(wǎng)絡(luò)模塊進(jìn)行流量監(jiān)測(cè)。首先，考慮到大象流在實(shí)際捕捉過(guò)程中，具有更多可觀測(cè)的特性，如大量數(shù)據(jù)包、大量字節(jié)和長(zhǎng)時(shí)限等；其次，基于機(jī)器學(xué)習(xí)的方法具有更強(qiáng)的操作性，通過(guò)相應(yīng)的結(jié)構(gòu)算法能夠應(yīng)用于數(shù)據(jù)分析中。

目前，監(jiān)督[13]和無(wú)監(jiān)督機(jī)器學(xué)習(xí)是主流的2種流量分類(lèi)方法。無(wú)監(jiān)督機(jī)器學(xué)習(xí)主要利用數(shù)據(jù)的自然特性，從而實(shí)現(xiàn)算法的內(nèi)部?jī)?yōu)化[14]。無(wú)監(jiān)督的機(jī)器學(xué)習(xí)主要有k均值法，這類(lèi)方法能夠善于發(fā)現(xiàn)輸入數(shù)據(jù)的主要特點(diǎn)。這類(lèi)方法能夠通過(guò)對(duì)某類(lèi)距離進(jìn)行相應(yīng)的特性分析，將歐幾里得空間分為若干組。無(wú)監(jiān)督的機(jī)器學(xué)習(xí)還能夠模擬數(shù)據(jù)的分布以及結(jié)構(gòu)。因此，算法在求解和發(fā)展過(guò)程中能夠發(fā)現(xiàn)數(shù)據(jù)的關(guān)鍵信息。

相比之下，監(jiān)督的機(jī)器學(xué)習(xí)能夠創(chuàng)造支持相應(yīng)預(yù)定類(lèi)的數(shù)據(jù)結(jié)構(gòu)，這樣的機(jī)器學(xué)習(xí)方法能夠有效針對(duì)收集到的樣本信息進(jìn)行分析。在實(shí)際過(guò)程中，監(jiān)督機(jī)器學(xué)習(xí)主要關(guān)注輸入和輸出關(guān)系的建模，其主要目的是發(fā)現(xiàn)輸入和輸出特性的映射關(guān)系。這2類(lèi)是機(jī)器學(xué)習(xí)重要的過(guò)程，即訓(xùn)練和測(cè)試。訓(xùn)練階段主要對(duì)已提供的數(shù)據(jù)進(jìn)行檢測(cè)，構(gòu)建分類(lèi)模型。測(cè)試階段主要利用該模型進(jìn)行分類(lèi)操作。測(cè)試過(guò)程還能夠利用數(shù)據(jù)集合進(jìn)行標(biāo)簽操作。主流的監(jiān)督學(xué)習(xí)算法包括樸素貝葉斯樹(shù)、樸素貝葉斯離散和樸素貝葉斯核密度估計(jì)等。

3.2 優(yōu)先級(jí)調(diào)度算法

提出利用優(yōu)先級(jí)調(diào)度算法，將最長(zhǎng)隊(duì)列優(yōu)先、最大數(shù)量數(shù)據(jù)包優(yōu)先、最舊數(shù)據(jù)包優(yōu)先、最小空間路由優(yōu)先這4種優(yōu)先形式指定至VoQ。

首先，入口模塊得到n個(gè)VoQ狀態(tài)信息的優(yōu)先指標(biāo)，計(jì)算式為

Wij=lijwl+pijwp+dijwd+sijws

(1)

Wij為第j個(gè)出口模塊對(duì)應(yīng)的入口模塊i的VoQ的優(yōu)先級(jí)；lij為VoQ長(zhǎng)度；pij為VoQ數(shù)據(jù)包數(shù)量；dij為VoQ最早數(shù)據(jù)包延時(shí)；wl、wp、wd、ws為權(quán)重因數(shù)；sij為布爾變量。

然后，入口模塊選擇第1個(gè)非空VoQ作為最高的優(yōu)先級(jí)，并且將相應(yīng)的需求發(fā)送至相對(duì)應(yīng)的出口模塊。之后，出口模塊將不同的入口模塊發(fā)送的數(shù)據(jù)進(jìn)行收集，選擇優(yōu)先級(jí)最高的請(qǐng)求發(fā)送至入口調(diào)度端。最終入口模塊選擇出口模塊給出請(qǐng)求的排序。如果有多個(gè)排序選擇，則最高優(yōu)先級(jí)的首先執(zhí)行。在整個(gè)調(diào)度過(guò)程中，執(zhí)行過(guò)程在中央控制器是獨(dú)立進(jìn)行的，考慮到計(jì)算的時(shí)間，執(zhí)行每一個(gè)時(shí)隙過(guò)程是不實(shí)際的。因此，需要以周期進(jìn)行操作。每個(gè)模塊僅僅將第n個(gè)VoQ的狀態(tài)、統(tǒng)計(jì)信息發(fā)送至中心服務(wù)器，并且將數(shù)據(jù)包進(jìn)行傳輸。

如前所述，本文將大象流和老鼠流處理為不同的對(duì)象。因此，應(yīng)當(dāng)根據(jù)流量的種類(lèi)進(jìn)行權(quán)重劃分。例如，在VoQ中，主要是以老鼠流為主要的情況下，權(quán)重wp將會(huì)比wl更大。因此，算法能夠周期性、動(dòng)態(tài)性地更新權(quán)重，從而反映流量的具體特征。

3.3 流量檢測(cè)仿真分析

根據(jù)本文所提的優(yōu)先級(jí)調(diào)度算法，流量異常檢測(cè)方法流程如圖4所示。

圖4 流量異常檢測(cè)流程

利用本文的優(yōu)先級(jí)調(diào)度方法，以典型通信網(wǎng)絡(luò)架構(gòu)為仿真平臺(tái)，研究不同系數(shù)下平均時(shí)延的結(jié)果，得到結(jié)果如圖5所示。圖5中PA閾值即為優(yōu)先級(jí)調(diào)度算法得到的下限值。可以看出，隨著負(fù)載的增長(zhǎng)，改變wl、wp對(duì)平均時(shí)延的影響是不一樣的，其中wl的影響更大，二者均比本文優(yōu)先級(jí)調(diào)度方法的延時(shí)大。

圖5 流量異常檢測(cè)平均時(shí)延

與Mahout方法進(jìn)行丟包率的對(duì)比分析，得到結(jié)果如圖6所示。

圖6 流量異常檢測(cè)丟包率對(duì)比

可以看出，隨著負(fù)載的增加，本文優(yōu)先級(jí)調(diào)度方法的丟包率要低于Mahout方法，并且增長(zhǎng)速率較Mahout方法更低。說(shuō)明了本文方法能夠在電力分組交換光網(wǎng)絡(luò)檢測(cè)中起到更好的效果。

4 結(jié)束語(yǔ)

流量異常檢測(cè)對(duì)于電力系統(tǒng)通信網(wǎng)絡(luò)十分關(guān)鍵。基于機(jī)器學(xué)習(xí)的通信網(wǎng)絡(luò)異常流量檢測(cè)方法能夠有效提升異常數(shù)據(jù)的檢測(cè)效率。本文針對(duì)分組交換的光網(wǎng)絡(luò)進(jìn)行了分析，所提的方法能夠有效提升電力系統(tǒng)態(tài)勢(shì)感知和異常檢測(cè)的能力。優(yōu)先級(jí)調(diào)度算法能夠根據(jù)數(shù)據(jù)包的類(lèi)型進(jìn)行優(yōu)先排序，通過(guò)不同的權(quán)重對(duì)流量進(jìn)行處理，從而實(shí)現(xiàn)異常流量的檢測(cè)。本文方法能夠在實(shí)際工程中提升流量檢測(cè)的效果。