基于改進遷移學習的電力通信網絡異常流量識別方法

【關鍵詞】改進遷移學習；電力通信網絡；異常流量識別；源IP 地址；特征屬性矩陣；Q 值函數；損失收斂

引言

對于電力通信網絡而言，異常流量可能會帶來不同形式的影響，其中，最為明顯的作用方式就是造成網絡擁堵，由于異常流量可能來自惡意攻擊、網絡故障、非法接入等[1]，這些流量可能會占用大量的網絡資源，導致正常的業務流量無法得到及時處理，進而引發網絡擁堵。其次，電力通信網絡作為電力系統的穩定運行和業務處理提供支持的重要基礎設施[2]，一旦網絡出現擁堵或故障，可能會直接影響電力系統的穩定性和可靠性，導致服務質量下降。不僅如此，異常流量可能包含惡意代碼或攻擊行為[3]，這些攻擊可能會竊取敏感數據、破壞系統或干擾業務運行。這些數據安全風險不僅會對電力通信網絡本身帶來威脅，還可能造成更廣泛的影響，如電力系統的穩定運行、電力供應等[4]。如果異常流量是由電力通信網絡存在未授權的接入點或非法接入行為引起的，則可能會導致未經授權的用戶訪問網絡資源，增加非法接入風險。這些風險可能會對電力系統的安全性和穩定性帶來潛在威脅[5]。綜上所述，電力通信網絡異常流量對于電力通信網絡帶來的影響可能涉及多個方面，需要對電力通信網絡的異常流量進行及時監測和應對，以確保電力通信網絡的穩定性和安全性[6]。

為此，本文提出基于改進遷移學習的電力通信網絡異常流量識別方法研究，并通過對比測試的方式，分析驗證了設計識別方法的性能。

一、電力通信網絡異常流量識別方法設計

（一）電力通信網絡流量特征屬性構建

對于電力通信網絡流量而言，當時間窗為固定值時，參與電力通信網絡數據傳輸的任意源IP地址都將抽象為聚合流的形式[7]，又由于電力通信網絡自身結構配置等屬性的影響，使得每個源IP地址的統計特征都呈現出多維的屬性。結合這一理論基礎，本文從電力通信網絡流量中源IP地址的特征屬性角度入手，構建電力通信網絡流量特征屬性矩陣[8]。其具體可以表示為

其中，A表示電力通信網絡流量特征屬性矩陣，amn表示電力通信網絡中第m個源IP地址對應的n維特征屬性參量。

在此基礎上，本文充分考慮了電力通信網絡流量中不同源IP地址之間的相似性[9]，以及不同電力通信網絡流量之間的關聯關系，構建了鄰接矩陣，具體可以表示為

其中，B表示電力通信網絡流量特征屬性鄰接矩陣，當bij為1時，則表示與amn對應的電力通信網絡流量特征屬性相似；相反地，當bij不為1時，則表示與amn對應的電力通信網絡流量特征屬性不相似。

按照上述所示的方式，實現對電力通信網絡流量特征屬性的構建，為后續的電力通信網絡異常流量識別提供可靠的執行基礎，最大限度保障識別結果的準確性。

（二）基于改進遷移學習的異常流量識別

在具體的電力通信網絡異常流量識別過程中，本文在結合上一小節構建的電力通信網絡流量特征屬性對遷移學習算法進行改進的基礎上，實現對異常流量的判斷。

首先，利用小批量隨機采樣方式從訓練樣本中進行采樣，并進行訓練，確定可能的電力通信網絡流量特征屬性，并與真實電力通信網絡流量的特征屬性標簽對比，確定損失函數，具體可以計算方式可以表示為

其中，Le表示遷移學習算法的損失函數，re表示電力通信網絡流量的特征屬性提取訓練的獎勵， 表示衰減因子，Qe表示Q值函數，也是本文具體應用的遷移學習算法，at和bt分別表示當前時刻電力通信網絡流量的特征屬性與特征屬性鄰接參數，at+1和bt+1分別表示下一時刻電力通信網絡流量的特征屬性與特征屬性鄰接參數。

在上述基礎上，對電力通信網絡異常流量的識別過程可以表示為圖1所示的形式。

按照圖1所示的方式，利用遷移學習算法中的Q值函數對電力通信網絡流量樣本數據進行迭代學習，直至電力通信網絡流量的特征屬性達到收斂，之后，根據同一時間窗下存在特征屬性交叉的流量參數作為初步識別結果，若此時的流量包含于電力通信網絡流量源IP地址中，則表示其為異常流量的最終識別結果；若此時的流量不包含于電力通信網絡流量源IP地址中，則不是，繼續循環進行下一輪次的識別。

按照上述所示的方式，實現對電力通信網絡異常流量的識別，最大限度保障識別結果的準確性和可靠性。

二、測試與分析

（一）測試準備

在對本文設計基于改進遷移學習的電力通信網絡異常流量識別方法的性能進行分析的同時，開展了對比測試。其中，參與測試的對照組分別為文獻[5]提出的以數據挖掘為基礎的網絡流量異常識別方法，以及文獻[6]提出的以灰狼算法優化DBN為基礎的網絡異常流量識別方法。對于具體的測試數據，本文將公開的IDS數據集CIC-IDS-2017作為具體的數據來源，其中包含的協議包括FTP、HTTP、SSH、Email 以及HTTPS，可以更加全面地對異常流量識別方法的性能進行檢測。表1為本文對于測試數據的準備情況。

結合表1所示的測試數據準備情況，分別采用三種方法對不同攻擊作用下的網絡異常流量進行識別。

（二）測試結果與分析

對于具體的測試結果，本文利用ACC（accuracy，準確率）作為具體的評價指標。得到的測試結果如表2所示。

結合表2所示的測試結果可以看出，在三種不同識別方法下，對于不同類型網絡異常流量的識別效果表現出了不同的特征。其中，在數據挖掘識別方法的測試結果中，對于不同類型網絡異常流量的識別效果表現出了明顯的波動，對于DDoS 、PortScan以及SSH-Patator類型異常流量識別的ACC達到了0.90以上，但是對于DoS Hulk以及DoS Slowloris類型異常流量識別的ACC僅在0.60左右。在灰狼算法優化DBN識別方法下，雖然從整體角度分析其對于不同類型網絡異常流量的識別效果表現出了較高的穩定性，但是對應的ACC水平相對偏低，基本處于0.80-0.90區間范圍內，對于實際的網絡安全管理而言存在進一步提升的空間。相比之下，在本文設計網絡異常流量識別方法下，不僅對于不同類型網絡異常流量識別的ACC均達到了0.90以上，且對于DoS Hulk和DoS Slowhttptest類型異常流量識別的ACC值均為1.0，實現了100.0%精準識別。結合上述分析結果可以得出結論，本文提出的基于改進遷移學習的電力通信網絡異常流量識別方法可以實現對不同類型異常流量的有效識別。

結束語

異常流量在一定程度上增加了電力通信網絡的復雜性和管理難度。為了確保網絡的穩定性和安全性，需要對網絡流量進行實時監測和識別分析。為此，本文提出基于改進遷移學習的電力通信網絡異常流量識別方法研究，實現了對異常流量的有效識別，借助本文的研究與設計，希望可以降低由于異常流量問題帶來的監測和管理難題，降低網絡管理和維護的資源投入。