基于深度置信網絡的電力系統網絡入侵檢測方法

左娟娟，陳宇民，朱紅杰，彭文英，黃桂雪

（云南電網有限責任公司保山供電局，云南保山 678000）

在特高壓直流輸電線路發展中，隨著輸電能力的日益增加，一旦發生故障，將會危及接收系統的頻譜穩定性。同時，受到新能源大量開發影響，電力系統網絡結構變得十分復雜。伴隨電力系統的快速發展，其運行情況也越來越復雜，各種設備的數量也越來越多。因此，提高入侵檢測效率具有十分重要的意義。對電力系統網絡入侵檢測能夠使網絡被攻擊之前，對內部、外部和錯誤操作進行實時防御，并對其進行有效地攔截和防御。當前，采用了一種基于深度學習的方法，由于該方法的網絡結構較為復雜，能夠在原數據集上進行多次轉換，全部高維特征都能被提取出來，由此形成分層的特征。這種結構由多個受限玻爾茲曼堆疊組成，在某些條件下，受限玻爾茲曼機器能夠通過隱蔽節點來擬合數據分布，使其滿足節點隨意分布的要求。然而，隨著需要隱蔽節點數量的持續增加，在進行深度學習時容易產生過度擬合[1]；使用基于隨機森林的網絡入侵檢測方法，可以有效降低各個特征區域的噪聲，同時也可以消除相關性，使得攻擊更加快速和簡單[2]。然而，這種方法在隨機選擇參數時，會使訓練效果不佳，從而導致訓練的結果不理想。為此，在基于深度置信網絡技術支持下，對電力系統網絡入侵情況進行檢測。

1 入侵檢測模型構建

電力系統與網絡連接，導致電網設備噪聲惡意訪問、篡改私密信息的情況大量增加。面對這一現象，結合深度置信網絡提出了入侵檢測方法[3]。然后，采用深度置信網絡分析了電力系統的頻譜，將其看成是一個輸入-輸出的數學模型。

可以將輸入采樣數據組描述為：

式中，i表示選取特征值的類別總數；j表示輸入樣本的數量[4]。輸出采樣集對應于每個行為一個輸出采樣的輸入采樣，可以描述如下：

式中，y表示輸出樣本對應的元素數量。

根據輸入和輸出的數據，構建入侵檢測模型，如圖1 所示。

圖1 電力系統網絡入侵檢測模型

由圖1 可知，該模型是由數據信息采集模塊、入侵分析引擎和用戶界面與預警模塊組成的[5]。其中數據信息采集模塊是利用網絡抓包技術對電力系統中的IP 包進行采集，然后按協議層次對IP 包進行分析，從而獲得整個電網的IP 數據[6]；入侵分析引擎是由電網數據分析引擎、調用分析引擎和用戶行為分析引擎組成的，其中電網數據分析引擎主要目的是監測電網是否受到了攻擊。調用分析引擎負責監測電網中調用序列是否發生異常，及時判斷可疑入侵行為[7]；用戶行為分析引擎負責檢測來自外部的攻擊行為。

2 基于深度置信網絡的入侵檢測

2.1 基于深度置信網絡的模型訓練

深度置信網絡處理模塊主要是對預處理模塊中的數據進行無監督學習，以及對高維數據的處理和提取[8]。在訓練模式中，深度置信網絡主要包括兩個步驟：

第一步：在每個層次上，對每個層次的深度置信度進行訓練，保證了在將特征矢量映射到各個特征空間的同時，盡可能地保留全部特征信息[9]。

第二步：利用深度置信度網絡的特征矢量作為輸入矢量，對有監督的實體分類進行訓練。由于每個層次的特征向量都需要進行一次訓練，所以應確保其權值與層次的特征矢量相匹配，達到全局最優的目的。

深度置信網絡求解示意圖如圖2 所示。

圖2 深度置信網絡求解示意圖

由圖2 可知，利用深度置信網絡求解就是為了保證自身權值對特征向量映射為最優，即訓練結果為最優[10-12]。

設在模型中存在l個隱層結構，xi個入侵檢測樣本，k個隱層單元，深度置信網絡訓練步驟如下所示：

步驟1：初始化數據；

步驟2：訓練第一層結構，獲取數據訓練結果、權值和偏置值[13]；

步驟3：利用步驟2 中獲取的數據作為第二層結構的輸入值，訓練第二層的結構；

步驟4：訓練1～l層深度置信網絡[14]；

步驟5：使用反向傳播法調整各個層次的權值和偏置值；

步驟6：將第l層的全部特征及第l-1 層的部分特征整合，并將整合后的結果傳輸到下一步；

步驟7：整合特征數據成為深度置信網絡的訓練數據，從而完成模型訓練。

2.2 電力系統網絡入侵檢測

深度置信網絡求解模式支持下，設計入侵檢測過程，如下所示。

步驟1：為構造受限玻爾茲曼機，必須將稀疏正項引入受限玻爾茲曼機似然函數。受限玻爾茲曼機本質上是一種隨機神經網絡，其神經元和可見層中神經元之間沒有關聯，但在隱藏層中卻有神經元節點[15]。當可見層神經元的節點已被確定時，所有的隱藏節點都是有條件的。在已知隱藏節點情況下，保證每層的節點都具有相對獨立性。

受限玻爾茲曼機結構示意圖如圖3 所示。

圖3 受限玻爾茲曼機結構示意圖

圖3 中所示的受限玻爾茲曼機由四個可視層和兩個隱藏層組成。

步驟2：利用深度置信度網絡對玻爾茲曼機進行訓練，得到了稀疏約束下的數據集稀疏分布結果[16]；

步驟3：判斷受限玻爾茲曼機的訓練次數是否達到訓練閾值，如果達到，則進入下一步，否則，轉到步驟1；

步驟4：將經過訓練的連續受限玻爾茲曼機疊加，并在其上加入一種逆向傳輸神經網絡，從而形成一個經過優化的連續受限玻爾茲曼機器，用于分類；

步驟5：利用反向傳播算法對受限玻爾茲曼機的連續有限元模型進行了反向微調，得到了一個經過訓練的受限玻爾茲曼機模型。

假設該模型由n個可見神經元節點和m個隱藏神經元節點組成，可視層和隱藏層通過聯合協作實現功能，相應公式為：

式中，αi、λi分別表示可視層的狀態值和節點偏置；βj、δj表示分別表示隱藏層的狀態值、節點偏置；wij表示層的連接權值。

每個層的神經元節點之間存在能量，當確定各個參數后，通過上述公式能夠推導出兩層的聯合概率分布，公式為：

式中，C為歸一化因子。

基于此，構建能量模型，如下所示：

結合式（5）快速學習測試集，能夠獲取每個測試集下的全部測試數據，即可獲取全部入侵種類。

電力系統網絡的自動化設備或斷路器有可能被黑客入侵，一旦入侵，網絡就會處于十分危險的狀況。基于該情況，構建入侵檢測目標函數，如下所示：

式中，D(t)、G(t)、P′(t)分別表示網絡設備在電力系統中重要比例、網絡設備使用年限對網絡危險影響程度、網絡設備平均故障率。

上述公式就是電力系統網絡入侵的判斷目標函數，結合深度置信網絡的最優求解步驟實現電力系統網絡入侵檢測。

3 實驗分析

3.1 實驗數據集

電力系統網絡入侵頻率反映了電力系統網絡設備輸出功率與負荷之間關系，在網絡受到攻擊時，如果系統不及時采取保護措施，就會導致系統工作不穩定。在該實驗情況下，實驗數據的特征集如表1所示。

表1 實驗數據特征集

訓練表1 中的數據特征集，分析電力系統受到入侵后對輸出頻率的影響，結果如圖4 所示。

圖4 電力系統受到入侵后輸出頻率分析

由圖4 可知，電力系統在4～6 s 時間內受到入侵影響，輸出頻率下降，隨后驟然上升，容易出現電力系統網絡設備負載不均衡現象。

3.2 實驗標準

以上述的八個實驗數據集為研究對象，計算入侵數據正確識別率，公式為：

式中，Nt表示正確識別入侵檢測數據量；Ms表示輸入的入侵數據測試總量。該公式計算結果越大，說明檢測精準度越高。

3.3 實驗結果與分析

當電力系統網絡受到黑客入侵后，分別使用基于深度學習方法、基于隨機森林方法和基于深度置信網絡的檢測方法，對比分析系統輸出頻率，對比結果如圖5 所示。

圖5 不同方法輸出頻率對比分析

由圖5 可知，使用基于深度學習的入侵檢測方法、基于隨機森林的網絡入侵檢測方法輸出頻率波動情況與圖4 所示波形不一致，且出現很多峰值；使用基于深度置信網絡的入侵檢測方法輸出頻率波動情況與圖4 所示波形一致，且波形平滑。

為了進一步驗證用基于深度置信網絡的入侵檢測方法研究合理性，需再次將這三種方法的入侵數據正確識別率進行對比分析，對比結果如表2 所示。

表2 三種方法入侵數據識別結果對比分析

由表2 可知，使用基于深度學習的入侵檢測方法、基于隨機森林的網絡入侵檢測方法分別與實際數據存在最大為275 類、490 類的誤差；使用基于深度置信網絡的入侵檢測方法與實際數據存在最大為10 類的誤差。

通過上述分析結果可知，使用所研究方法能夠獲取精準檢測結果。

4 結束語

結合深度置信網絡，文中提出了一種入侵檢測方法，該方法面對電力系統在各個領域不斷得到廣泛應用的情況下，構建電力系統網絡入侵檢測模型，在深度置信網絡下經過快速學習獲取每條測試數據的入侵類別。該方法通過反復實驗，證明了這種檢測方法能夠在全局最優的情況下，有效地檢測出入侵類別。