基于RBF 神經網絡的電力信息網絡安全態勢辨識研究

覃巖巖，郭舒揚，方雪琴

（1.海南電網有限責任公司信息通信分公司，海南 海口 570000；2.南方電網海南數字電網研究院有限公司，海南 海口 570000）

電力信息網絡數量龐大，如果受到攻擊則會對網絡造成影響，因此，研究網絡安全態勢感知技術尤為重要。電力信息網絡安全態勢辨識賦予了網絡實時監測、電力信息保密、網絡威脅決策等多個使命，實現了網絡的共享化與智能化、網絡與現實的融合。

目前，相關領域學者對其進行了研究，文獻[1]通過蜂群算法優化神經網絡，實現了電力信息網絡安全態勢辨識。文獻[2]預先構建評估指標體系，采用灰色關聯分析法對指標的權重進行了計算，實現網絡安全態勢的評估。上述方法雖然能夠有效實現電力信息系統網絡安全態勢辨識，但辨識誤差較大、時間較長。針對上述問題，研究了基于RBF 神經網絡的電力信息網絡安全態勢辨識方法。

1 RBF神經網絡模型構建

RBF 神經網絡的結構一般由一個基礎層與兩個高級層構成，三者相輔相成共同作用，才能保證神經網絡的正常運行。而其中起到主導作用的是隱藏層[3]，該層不僅可以對數據進行分析研究，還能夠對不完整數據進行優化。通過建立函數的方式，確定安全態勢的辨識研究，其函數可表示為f(x)=e-t2，其中，e表示神經網絡權重，t表示指數，而這幾個層面具體表現為：

基礎層：主要是由大量的神經節點構成，數量由R表示，而初始輸入的支持向量為C；

隱藏層：其中的節點數量是受到限制的[4]，通常為S個，在函數的約束下循環迭代計算，直到樣本達到第i個為止，而獲得的輸出數據為qi=(ci-C)bi，式中，ci代表特征節點的長度，bi代表節點的寬度；

終端層：最后的終端層中含有的神經元為K個，當移動的數據到達該節點時，就可以得到的公式為：，其中，wk代表經過函數計算過的對稱節點，dk為神經元網絡處理后得到的節點峰值。

RBF 神經網絡的辨識方式主要是建造一個多維空間，利用空間的映射性，從而獲取電力系統中未被識別的保密信息，最后輸出的結果即映射數據。

2 RBF神經網絡模型預訓練

當前網絡的運行狀態是辨識電力信息的前提，通過建立一個基礎的辨識系統來推測出神經網絡的模型，根據系統的指示來進行計算，而決定模型的主要條件就是神經節點的自身控制與聚類[5]。文中基于這一特征，提出了一種新的聚類控制方法，不但能夠準確地限制節點的經過[6]，還能實時調整節點與數據之間的平衡性，具體步驟如下：

第一步：假設輸入的數據集合為X=(x1,x2,…,xN)，與節點共同的序列集合為A(L)，存在一個存儲器B(L)，其中，L代表所有安全態勢樣本的種類，可以將節點與數據保存起來。

第二步：拋開初始的安全態勢樣本，之后的每一個輸入的樣本都可以作為聚類中心，計算得出樣本的排列順序后A就可以在其中選取最佳的樣本xi，然后在A(1)=xi與B(1)=xi的條件下，確定公式：

其中，d1代表以樣本為中心的圓形直徑，N代表數量，xi與xj代表數據樣本。

第三步：將不符合條件的采樣點[7]統一劃分到一個類別，然后根據自身到聚類中心的距離使A(1)=A(1)+xi,B(1)=B(1)+1，若r＞d2，r代表半徑，就視為分類失敗，不用理會。

第四步：將上述經過處理后的安全態勢樣本作為一個獨立的個體，循環往復地執行以上三步，直到使B(L)＜M，其中，M代表儲存器的閾值[8-9]，對剩余的樣本進行統一，為L個。

第五步：最后利用聚類中心來獲取傳輸的數據信息，則公式為：

式中，ci代表特征節點的長度，A(i)代表種類，B(i)代表容器的體積，此時，聚類已經完成。

3 隱含層節點數優化

RBF 神經網絡在對隱藏的數據進行挖掘時會產生很多其他的數據垃圾，包括不必要的節點集合，因此為了實現模型優化問題[10]，可以利用計算，避免影響操作的數據出現，步驟如下：

1）基于節點的層層遞增，多余的節點會不斷變多，可用公式表示為：

其中，h代表層數。

RBF 神經網絡的處理中心就是其中的隱藏層[11]，假設支持向量機為n，那么第i層獲得的節點集合為：

式中，gi(X,ci)是神經網絡函數，一般可以轉化為高級函數，即：

其中，σi代表隱藏層的面積。

而經過疊加計算后的聚合公式為：

其中，wij代表相鄰神經元之間的聚合加權值，j為層數。經過神經網絡的加權后[12]，模型得到的節點為：

其中，wo代表初始樣本權值，k代表排列序號，L代表數量。那么得到的時間序列公式為：

假設兩組樣本用(x1,y1)和(x2,y2)表示，二者在隱含層之間的關系為：

式中，μ代表向量，且范圍在(0,1)之間，σ1代表初始隱含層，δmax代表節點到聚類中心的最大距離。而不可避免出現的誤差[13]公式為：

其中，T(k) 代表理想節點輸出，ε代表理想參數，δi=max{γδmax,δmin},γ∈(0,1)，γ代表常數。當誤差與初始節點最小時，就可以看作已經形成了固定的隱含層模式，且可隨意設置輸出向量，則有：

而剩余沒用的節點就可以按照其重要程度進行處理，首先獲得剩余節點的隱含層位置[14]，然后找出網絡中安全態勢最大的數據中心，統一對節點進行處理，公式為：

最后，經過多次迭代計算，在閾值的范圍內使節點的數量最少，直到可以忽略不計為止。

假設經過訓練后的時間序列為x1,x2,x3,…,xN，輸入到神經網絡后得到的安全態勢聚類矩陣為：

其中，e代表序列在空間中的維度，而樣本中攜帶的誤差會根據計算的疊加處于不斷減少當中，就可以在一定程度上節省時間，那么決定誤差的參數公式為：

式中，λ代表誤差參數，利用樣本的加權值來對隱藏節點進行優化，公式為：

其中，W代表平均權值，η代表誤差出現的概率，realj代表實際輸出的樣本。

基于上述過程對RBF 神經網絡優化處理，為網絡安全態勢辨識提供基礎。

4 網絡安全態勢辨識實現

網絡安全態勢的辨識是在隱藏節點挖掘與網絡數據分類之后進行的，其數據來源都是截取一個時間段的所有態勢數據，然后輸入到RBF 神經網絡系統中，通過其中三層的過濾與處理之后，對輸出的網絡安全態勢數據進行辨識，過程如圖1 所示。

圖1 網絡安全態勢辨識流程

神經網絡模型主要與節點的數量、特征、隱藏函數與支持向量機的變化有關，而為了使聚類更迅速、計算更加準確，可以在蟻群算法的基礎上改進神經網絡模型，使其發揮出最大的效果[15-16]。假設存在兩個任意態勢樣本，二者之間的距離受聚類快慢的影響，表達式為：

其中，d代表兩個數據之間的距離。

格式化不需要的安全態勢數據，可有：

兩個樣本會成為聚類中心的概率公式為：

當概率大于零時，就表明兩個樣本可以同時成為聚類中心，反之，則不能。

經過上述處理后，將相同類別數據聚類到同一個類中，以此實現電力信息網絡安全態勢辨識。

5 實驗分析

為了驗證所提方法的有效性，進行仿真實驗，采用KDD Cup 數據集進行實驗，該數據集中包含較多的入侵數據集，并對具體的網絡行為進行了標注。在實驗過程中，模擬攻擊機對網絡發起攻擊，然后采用所提方法、文獻[1]方法和文獻[2]方法進行對比。

5.1 網絡安全態勢值辨識誤差對比

分析所提方法與其他兩種方法的辨識誤差，對比結果如圖2 所示。

圖2 不同方法的辨識誤差對比結果

分析圖2 可知，所提方法得到的辨識值與真實值基本能夠保持一致，其辨識誤差較低。而其他兩種方法與態勢值具有一定的差距，雖然在某些時間段內誤差較小，但是依據整體曲線來看誤差較大。

5.2 網絡安全態勢值辨識時間對比

分析所提方法與其他兩種方法的辨識時間，對比結果如圖3 所示。

圖3 不同方法的辨識時間對比結果

分析圖3 可知，隨著攻擊類型種類的增加，不同方法的辨識時間隨之增大。當攻擊類型為t種時，文獻[1]方法的辨識時間為16 s，文獻[2]方法的辨識時間為20 s，而所提方法的辨識時間僅為7 s。由此可知，所提方法可以在短時間內實現網絡安全態勢的辨識。針對不同攻擊類型，所提方法均低于其他兩種方法的辨識時間[17-18]。

6 結束語

該文研究主要基于RBF 神經網絡模型對電力信息網絡安全態勢數據進行辨識，該方法不僅具有較短的辨識時間，還降低了辨識誤差。但由于網絡安全的不確定性，會出現些許不足，還需要進一步完善。