基于邊緣計算的通信網絡異常流量攻擊快速檢測方法

常富紅 李麒 狄亞平

摘要：為提高電力通信網絡中的異常流量攻擊行為檢測的準確性與實時性，文章提出基于邊緣計算的電力通信網絡異常流量攻擊快速檢測方法。設置電力通信網絡異常流量的標準特征，采集實時電力通信網絡流量數據，測度電力通信網絡流量數據特征。文章利用邊緣計算技術快速確定異常流量攻擊位置，實現異常流量攻擊的快速檢測。通過實驗證明，設計方法的異常流量漏檢率降低了1.59%，攻擊位置檢測誤差減小了2.4 m。

關鍵詞：邊緣計算；電力通信網絡異常流量；電力通信網絡攻擊；攻擊檢測

中圖分類號：TP39文獻標志碼：A

0 引言電力通信網絡遭受異常流量的攻擊，不僅會影響電力系統的正常運營秩序，還會降低電力通信網絡的運行穩定性和安全性^［1］。為保證電力通信網絡的正常運行狀態，有相關研究人員提出了基于多尺度低秩模型的攻擊檢測方法^［2］、基于殘差分析的攻擊檢測方法等^［3］，但是在實際應用中卻存在誤檢率和漏檢率高的情況。為此，本文引入邊緣計算技術，對電力通信網絡異常流量攻擊快速檢測方法進行了優化。

1 電力通信網絡異常流量攻擊快速檢測方法設計

1.1 設置電力通信網絡異常流量攻擊檢測標準假設電力通信網絡的異常流量攻擊向量為ρ，發動攻擊后，則受攻擊電力通信網絡的實時流量滿足如下特征：

τ_standard=α（Ax+ρ）（1）

公式（1）中，A為m×n的電力通信網絡雅可比矩陣，x為電力通信網絡的狀態變量，α為攻擊強度。根據電力通信網絡異常流量攻擊行為的作用機理，確定異常流量的波動特征，并以此作為電力通信網絡是否存在流量攻擊的檢測標準。

1.2 采集實時電力通信網絡流量數據在目標電力通信網絡的各個節點上安裝采集程序，通過設置連續采集時間、采集工作頻率等參數，獲取電力通信網絡中各個節點的實時流量數據。為解決不同電力通信網絡節點采集數據之間的異構屬性，需要利用下式對實時流量數據進行歸一化處理。

公式（2）中，w為實時采集的電力通信網絡流量數據，f_min（W）和f_max（W）分別對應電力通信網絡流量數據的最小值和最大值。初始采集的數據中存在電量缺失、數據重復采集的情況，因此直接采集到的原始數據并不能直接進行數據分析，需要對缺失數據進行補償并過濾重復數據，處理過程如下：

公式（3）中，w_loss，w_loss-1和w_loss+1分別表示的是缺失的流量數據及其前后數據，w_i和w_j為采集流量數據中的任意兩個數據。

1.3 測度電力通信網絡流量數據特征設計者設置平均流量特征、峰值特征以及偏度特征和峭度特征作為電力通信網絡流量數據的特征測度指標，其中平均流量特征可以從時間和空間兩個方面進行測度，時間平均流量特征和空間平均流量特征的測度結果可以表示為：

其中，W_i和W_j分別表示的是i時刻的電力通信網絡流量和第j個節點的流量值，n_c和n_node對應的是流量數據采集時長和電力通信網絡節點數量^［4］。電力通信網絡流量數據的峰值特征的測度結果可表示為：

τ_peak=f_max（W_i）（5）

同理，可以得出流量偏度特征和峭度特征的測度結果為：

公式（6）中，變量N表示的是電力通信網絡流量數據采集量，w_i為電力通信網絡流量數據，τ_avg對應的是平均流量特征。最終將利用下式對測度的所有數據特征進行融合處理。

其中，τ_i和ω^-_i分別表示數據特征測度分量及其權重值，n_τ為測度的特征數量。由此得出實時電力通信網絡流量數據特征的綜合測度結果。

1.4 利用邊緣計算技術快速確定電力通信網絡異常流量攻擊位置邊緣計算技術的運行體系結構包括云端、邊緣層和終端設備3個層次，此技術利用端邊云的協作計算為諸如物聯網等應用提供數據存儲和資源管理等業務。電力通信網絡異常節點的邊緣值計算公式如下：

公式（8）中，變量κ_edge和ω^-_edge分別表示的是邊緣節點系數和邊緣節點權值，Q為邊緣節點的能耗值。由此可以得出異常流量攻擊位置與邊緣節點之間的距離可以表示為：

公式（9）中，υ_c為異常流量在電力通信網絡中的傳輸速率，Δt為異常流量到達邊緣節點的時間。在已知邊緣節點坐標為（x_edge，y_edge）的情況下，電力通信網絡異常流量攻擊位置的確定結果為：

公式（10）中，d_x和d_y分別表示的是攻擊位置與邊緣節點之間距離在水平和豎直方向上的分量。按照上述過程得出電力通信網絡異常流量攻擊位置的快速定位結果。

1.5 實現電力通信網絡異常流量攻擊快速檢測通過電力通信網絡異常流量數據特征的測度結果與設置異常流量標準特征的匹配，確定判斷當前產生的流量是否為異常流量，具體的匹配過程可以量化表示為：

將公式（1）和公式（7）的計算結果代入公式（11）中，若計算得出ψ的值高于閾值ψ₀，則證明當前電力通信網絡流量與異常流量特征一致，即當前電力通信網絡流量為異常流量^［5］。

2 檢測性能測試實驗分析為實現對基于邊緣計算的電力通信網絡異常流量攻擊快速檢測方法的開發與性能測試，采用1個包含5臺服務器的集群作為檢測方法的開發運行環境，集群上安裝了Spark1.6.0和Hive1.2.1等工具。在實驗環境與工具的支持下，基于多尺度低秩模型的攻擊檢測方法和基于殘差分析的攻擊檢測方法的性能對比，體現出優化設計方法在檢測性能方面的優勢。

2.1 配置電力通信網絡測試環境此次實驗以某地區的實際10 kV電力系統作為研究對象，該電力系統中包含30個線路節點。以 Intel（R）Core（TM）i5-2520 M 處理器作為核心部件，電力系統采用分布式連接方式，在每個電力通信網絡節點上安裝變壓器設備，用來實現不同支路對電壓的需求。在選擇的電力通信網絡環境中配置用電終端設備，并通過對終端設備工作系數的設置，生成電力系統通信網絡的運行任務。

2.2 設置電力通信網絡異常流量攻擊檢測指標隨機設置攻擊目標為04，21，23，15，17，攻擊強度為4.0～8.0 dbm。分別設置異常流量漏檢率和攻擊位置檢測誤差作為實驗的兩個量化測試指標，其中異常流量漏檢率指標的數值結果如下：

公式（12）中，W_testing和W_abnormal分別表示檢測得出的電力通信網絡異常流量和設置的電力通信網絡異常流量，其中W_testing的具體取值可通過輸出的檢測結果直接得出，而W_abnormal的取值由攻擊程序和用電設備工作參數決定。另外，攻擊位置檢測誤差的測試結果為；

其中，（x_attack，y_attack）和（x_set，y_set）分別為攻擊位置的檢測值和設置值。最終計算得出異常流量漏檢率越高、攻擊位置檢測誤差越大的電力通信網絡異常流量攻擊檢測方法，說明其檢測性能越差。

2.3 實驗過程與結果分析將配置的電力通信網絡環境接入電力通信網絡異常流量攻擊快速檢測方法的運行程序中，同時啟動編寫的攻擊程序，通過數據采集、特征提取、攻擊定位等步驟，得出異常流量攻擊的快速檢測結果，如圖1所示。

采用并行切換的方式，將電力通信網絡恢復至初始狀態，調整攻擊檢測方法重復執行攻擊程序，得出不同檢測方法的異常流量漏檢率，具體如表1所示。

以表1內容為基礎，按照公式（12）進行計算，得出傳統檢測方法的平均流量漏檢率分別為2.07%和1.71%，而本文設計的檢測方法流量漏檢率的平均值為0.30%。經過公式（13）的計算，得出檢測方法攻擊位置檢測誤差的測試對比結果如圖2所示。

從圖2可以看出，兩種對比檢測方法得出攻擊位置檢測誤差的平均值分別為3.2 m和2.4 m，優化設計檢測方法得出的平均攻擊位置檢測誤差為0.4 m。由此證明，優化設計電力通信網絡異常流量攻擊快速檢測方法具有更高的檢測性能。

3 結語

電力系統作為國民經濟的重要支柱，承擔著重要的能源供應任務，同時它也是現代社會的重要基礎設施之一。近年來，電力系統通信網絡在國民經濟和社會發展中的地位越來越重要，并且影響著社會生產和生活的各個方面。本文通過對邊緣計算技術的應用，實現對電力通信網絡異常流量攻擊行為的快速、精準檢測，對于維護電力通信網絡正常運行秩序具有重要意義。

參考文獻

［1］黃冬梅，何立昂，孫錦中，等.基于邊緣計算的電網假數據攻擊分布式檢測方法［J］.電力系統保護與控制，2021（13）：1-9.

［2］周伯陽，郭志民，王延松，等.基于多尺度低秩模型的電力無線接入網異常流量檢測方法［J］.電子學報，2020（8）：1552-1557.

［3］孟永偉，秦濤，趙亮，等.利用殘差分析的網絡異常流量檢測方法［J］.西安交通大學學報，2020（1）：42-48，84.

［4］于天琪，胡劍凌，金炯，等.基于移動邊緣計算的車載CAN網絡入侵檢測方法［J］.計算機科學，2021（1）：34-39.

［5］楊挺，侯昱丞，趙黎媛，等.基于時-頻域混合特征的變電站通信網異常流量檢測方法［J］.電力系統自動化，2020（16）：79-86.

（編輯 沈 強）

Rapid detection method of abnormal traffic attacks in communication networks based on edge computing

Chang? Fuhong， Li? Qi， Di? Yaping

（State Grid Henan Electric Power Company Xuchang Power Supply Company， Xuchang 461000， China）

Abstract： In order to improve the accuracy and real-time performance of detection of abnormal traffic attacks in power communication networks， this paper proposes a fast detection method of abnormal traffic attacks in power communication networks based on edge computing. Set the standard characteristics of abnormal flow of power communication network，collect real-time power communication network flow data，and measure the characteristics of power communication network flow data. Edge computing technology is used to quickly determine the location of abnormal traffic attacks and achieve rapid detection of abnormal traffic attacks. The experiment shows that the rate of abnormal traffic leak detection of the design method is reduced by 1.59%，and the attack location detection error is reduced by 2.4 m.

Key words： edge computing; power communication network abnormal traffic; power communication network attack; attack detection