SDH通信傳輸網絡節(jié)點數據傳輸異常檢測方法

國網江蘇省電力有限公司信息通信分公司 顧 彬 王義成 張云翔 郭 燾

隨著互聯網技術的進一步成熟與發(fā)展，SDH通信傳輸網絡技術逐漸被廣泛應用到多個領域中，比如電力領域，目前大部分電力設備控制系統(tǒng)中引進了SDH 通信傳輸網絡，SDH通信傳輸網絡的應用，推動了電力設備控制系統(tǒng)信息化與工業(yè)化發(fā)展，擴寬了電力設備控制系統(tǒng)的發(fā)展渠道。但是由于SDH 通信傳輸網絡具有開放性特性，網絡用戶可以憑借網絡漏洞，或者缺陷進入到傳輸網絡中，對電力設備數據信息進行竊取或者破壞，帶來各個系統(tǒng)之間的數據傳輸安全問題。

為了確保SDH 通信傳輸網絡節(jié)點數據傳輸安全，目前大部分電力企業(yè)引進了數據傳輸異常檢測技術，對SDH 通信傳輸網絡中所有節(jié)點數據傳輸行為進行檢測，識別到異常數據信號，根據檢測結果作出相應的預警提示，為采取防御措施提供重要依據。目前應用的檢測方法主要是在各個節(jié)點之間增設數據異常掃描系統(tǒng)，通過編寫相關網絡傳輸協(xié)議與傳輸行為審計，判斷節(jié)點之間數據傳輸是否存在異常情況。

這種方法對于SDH 通信傳輸網絡內部來說比較安全，但是對于外部傳輸，尤其是長距離傳輸以及跨區(qū)域傳輸所帶來的安全問題，檢測效果并不理想，在實際應用中誤檢率和漏檢率均比較高，傳統(tǒng)方法已經無法滿足實際需求，為此提出了SDH 通信傳輸網絡節(jié)點數據傳輸異常的檢測方法：利用數據采集器拾取到數據驅動器中同一個ID 地址的數據樣本，采用十字轉門對節(jié)點數據傳輸流程進行數字化描述，識別到數據傳輸異常行為，利用小波分析技術計算出存在異常行為數據的傳輸偏差，提取傳輸異常特征，設定檢測閾值，判斷數據傳輸是否異常，采用分級檢測法確定數據傳輸異常等級，生成檢測報告，以此來完成SDH 通信傳輸網絡節(jié)點數據傳輸的異常檢測。

1 數據傳輸異常特征提取

節(jié)點數據在SDH 通信傳輸網絡特定通道內傳輸行為，可以看作是數據流在通道內流動過程，根據數據傳輸異常檢測需求，此次利用十字轉門模型對節(jié)點數據在通道流動過程進行數字化描述。在SDH通信傳輸網絡中安裝一個數據采集器，利用數據采集器拾取到數據驅動器中同一個ID 地址的數據樣本，對節(jié)點數據樣本進行小波分析，計算到小波系數值，提取到節(jié)點數據傳輸行為異常特征[1]。假設節(jié)點數據在SDH 通信傳輸網絡中進行傳輸的過程定義為L，利用十字轉門對L 進行數字化描述，其用公式表示為：L=｛（s,u）|i∈L｝。

式中：s表示節(jié)點數據在SDH 通信傳輸網絡信道傳輸過程中信息流元素的標識信息；u表示獲取到的節(jié)點數據樣本中自助式信息流的特征值；i表示獲取到的節(jié)點數據樣本[2]。節(jié)點數據完成傳輸后，其對應的特征量會發(fā)生變化，其用公式表示為：U[L]+[z]=u。

式中：U表示在SDH 通信傳輸網絡中完成傳輸的所有標識信息為某一元素的樣本數據統(tǒng)計量；[z]表示節(jié)點數據傳輸空間[3]。通常情況下，SDH 通信傳輸網絡中節(jié)點數據傳輸是通過數據驅動器完成的，因此節(jié)點數據與數據驅動器上的傳輸報文是相一致的，數據傳輸空間地址與數據驅動器中節(jié)點數據傳輸目標IP 地址相一致，因此傳輸的節(jié)點數據數量與節(jié)點數據樣本中自助式信息流的特征值相等，將其與特征值比對，即可識別到網絡中節(jié)點數據傳輸異常行為，其用公式表示為：e/u=1。

式中：e表示傳輸的節(jié)點數據數量。將傳輸的節(jié)點數據進行檢驗，是否滿足公式（3），如果滿足，則表示節(jié)點數據傳輸行為正常；如果不滿足則表示節(jié)點數據傳輸異常[4]。由于SDH 通信傳輸網絡存在特殊性，并不能完全依靠以上條件判別節(jié)點數據傳輸一定異常，為了保證數據傳輸異常檢測精度，對識別到行為異常的數據樣本進行小波分析，提取到異常特征[5]。對行為異常的數據樣本計算出小波系數值，其用公式表示為：gj=ε×（d/h）e/u=1。

式中：gj表示傳輸網絡中第j個節(jié)點數據小波系數值；ε表示未有明確歸屬的系數；d表示各個節(jié)點數據之間的平均間距；h表示節(jié)點數據區(qū)間長度[6]。根據小波系數值計算出節(jié)點數據傳輸偏差，其計算公式為：Y=gj-M。

式中：Y表示節(jié)點數據傳輸偏差；M表示節(jié)點數據的基準值。傳輸偏差可以反映出節(jié)點數據傳輸狀態(tài)特征，為后續(xù)異常預警檢測奠定基礎。

2 設定數據傳輸異常檢測閾值

根據實際情況設定數據傳輸檢測閾值，閾值是數據傳輸異常判斷的重要依據，根據SDH 通信傳輸網絡中傳輸節(jié)點數據總量與高斯數據標準差，計算出閾值：W=ρ（21lnN）1/2。

式中：W表示數據傳輸異常檢測閾值；ρ表示SDH 通信傳輸網絡中高斯數據的標準差；N表示SDH 通信傳輸網絡中傳輸的所有節(jié)點數據總量[7]。將上文計算到的數據傳輸偏差與閾值比較，如果數據偏差大于閾值，則表示該節(jié)點數據傳輸異常；如果數據偏差小于閾值，則表示該節(jié)點數據傳輸正常。

3 數據傳輸異常分級檢測

在上述基礎上采用分級檢測法對數據傳輸異常進行預警檢測，根據偏差超出閾值程度，確定節(jié)點數據傳輸異常等級，作出相應的檢測預警[8]。根據檢測需求此次設計低風險、中風險以及高風險三種異常等級，如果節(jié)點數據傳輸偏差未超出閾值的30%，則表示數據傳輸異常程度比較低，傳輸安全風險為低風險；如果節(jié)點數據傳輸偏差超出閾值的30%，但未超出閾值的60%，則表示數據傳輸異常程度一般，傳輸安全風險為中風險；如果節(jié)點數據傳輸偏差超出閾值的60%，則表示數據傳輸異常程度高，傳輸安全風險為高風險。按照上述規(guī)則確定節(jié)點數據傳輸異常等級，生成檢測報告，以此完成SDH 通信傳輸網絡節(jié)點數據傳輸異常檢測。

4 試驗論證

4.1 試驗準備與設計

為驗證本文設計的SDH 通信傳輸網絡節(jié)點數據傳輸異常檢測方法的時效性，以下將設計一組對比試驗，選擇目前最為常用的檢測方法作為對照對象，為了方便后續(xù)試驗陳述，以下將兩種方法分別用傳統(tǒng)方法1和方法2表述。選擇某電力企業(yè)SDH 通信傳輸網絡為試驗環(huán)境，傳輸網絡中電力設備數量共30臺，利用本文設計方法對SDH 通信傳輸網絡中電力設備數據傳輸異常檢測。試驗中，使用的電力數據集分為真實的信息流數據和注入的異常信號的信息流數據兩種，注入的異常數據流主要為SFH 蠕蟲病毒數據和IYDF 病毒數據。按照上述流程對傳輸數據信號拾取并提取異常特征，設定異常檢測標準閾值，識別檢測數據異常行為并作出預警，隨機抽選了6個數據樣本檢測結果見表1。

表1 電力設備數據傳輸異常檢測結果

設計方法基本可以完成SDH 通信傳輸網絡節(jié)點數據傳輸異常檢測任務，以下對具體檢測效果進行評定。

4.2 試驗結果與討論

為了評價數據傳輸異常檢測精度，選擇誤檢率作為評價指標，誤報率越高，則表示數據傳輸異常檢測精度越低，其計算公式為：TF=E/W。

式中：TF表示數據傳輸異常檢測誤檢率；E表示正常數據點被檢測為異常傳輸的數據樣本數量；W表示電力設備數據傳輸過程中正常數據傳輸樣本總量。電力設備單次傳輸數據量為1000Byte，試驗以傳輸數據數量為變量，利用上述公式計算出三種方法誤檢率，使用電子表格對實驗數據記錄，具體數據見表2。

表2 三種方法誤檢率對比（%）

從表2中數據可以看出，三種方法在誤檢率方面表現出明顯的差異，設計方法平均誤檢率為0.34%，數值未超過1%，說明設計方法基本不存在誤檢問題。相比之下，設計方法平均誤檢率比傳統(tǒng)方法1低8.44%，比傳統(tǒng)方法2低8.13%，證明設計方法應用下電力設備數據傳輸異常誤檢水平低于兩種傳統(tǒng)方法。單一評價指標不能全面反映出方法的適用性，故選擇漏檢率作為檢測方法第二評價指標，其計算公式為：PY=S/M。

式中：PY表示SDH 通信傳輸網絡中電力設備數據傳輸異常漏檢率；S表示未被檢測到的傳輸異常數據樣本；M表示傳輸異常數據樣本總量。試驗以SDH 通信傳輸網絡節(jié)點數量為變量，最多網絡節(jié)點數量為30個，利用上述公式計算出不同情況下數據傳輸異常漏檢率，根據試驗數據繪制試驗結果圖，如圖1所示。

圖1 三種方法漏檢率對比圖

從圖1可以看出，三種方法在漏檢率方面也表現出明顯的差異，設計方法平均漏檢率為0.35%，數值未超過1%，說明設計方法基本不存在漏檢問題。相比之下，設計方法平均漏檢率比傳統(tǒng)方法1低3.62%，比傳統(tǒng)方法2低3.02%。因此，通過以上數據與試驗結果分析可以證明，設計方法具有較高的檢測精度，無論是在誤檢率方面還是在漏檢率方面，設計方法均表現出明顯的優(yōu)勢，相比較兩種傳統(tǒng)方法更適用于SDH 通信傳輸網絡節(jié)點數據傳輸異常檢測。

5 結語

數據傳輸異常檢測是SDH 通信傳輸過程中必不可少的一個環(huán)節(jié)，為SDH 通信傳輸網絡數據安全傳輸決策、網絡攻擊預防措施制定等提供重要依據，此次結合SDH 通信傳輸網絡特點以及異常檢測需求，設計了一個新的數據傳輸異常檢測方法，有效提高了數據傳輸異常檢測精度，解決了SDH 通信傳輸異常檢測中漏檢、誤檢問題，為該方面研究提供了參考依據，同時也為數據傳輸異常檢測實踐提供了理論支撐。由于設計方法目前尚處于初步探索階段，尚未在實際中得到大量的實踐與操作，在某些方面或許存在不足，今后會在方法優(yōu)化設計方面展開深層次研究，促進SDH 通信傳輸網絡技術又好又快發(fā)展。