杜浩良，孔飄紅，金學(xué)奇，黃銀強(qiáng)

（1.國網(wǎng)浙江省電力有限公司金華供電公司，浙江 金華 321000；2.國網(wǎng)浙江省電力有限公司，杭州 310007）

0 引言

在智能電網(wǎng)數(shù)字化進(jìn)程中，通信技術(shù)得到廣泛應(yīng)用，與此同時，電網(wǎng)環(huán)境中的網(wǎng)絡(luò)攻擊也越來越多[1]。例如烏克蘭“暗黑力量”事件曾導(dǎo)致整個電網(wǎng)控制系統(tǒng)癱瘓，造成重大影響，可見電力網(wǎng)絡(luò)安全防護(hù)措施的有效性需要得到切實(shí)保障。

在工業(yè)控制系統(tǒng)中，應(yīng)用最廣泛的是電力行業(yè)，其接近一半的工業(yè)控制系統(tǒng)是變電站自動化系統(tǒng)。變電站自動化程度的提高，離不開網(wǎng)絡(luò)通信的配合，對智能變電站而言，需要遠(yuǎn)程監(jiān)視、遠(yuǎn)程調(diào)控和實(shí)現(xiàn)與相鄰變電站以及電網(wǎng)調(diào)度中心的互動，通信網(wǎng)絡(luò)與外界頻繁進(jìn)行數(shù)據(jù)交換，智能變電站網(wǎng)絡(luò)安全問題也因此受到高度重視。

智能電網(wǎng)的安全措施主要分為檢測和防御。檢測是指通過分析智能電網(wǎng)中的惡意行為并采取一系列的預(yù)警措施；防御[2]重視邊界的防護(hù)，包括控制網(wǎng)閘開關(guān)、防火墻、可信技術(shù)等手段保障數(shù)據(jù)安全。通過對網(wǎng)絡(luò)流量行為進(jìn)行分析，檢測網(wǎng)絡(luò)的安全狀態(tài)[3]，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，利用流量異常檢測技術(shù)提高電網(wǎng)安全等級[4]，確保在電力系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)上提高電力系統(tǒng)的智能化水平。

網(wǎng)絡(luò)攻擊分為面向通信網(wǎng)絡(luò)性能的攻擊和面向數(shù)據(jù)的攻擊。關(guān)鍵信息的報文數(shù)據(jù)傳輸網(wǎng)絡(luò)是智能變電站乃至電網(wǎng)控制的基礎(chǔ)，通信設(shè)備異常、通信延遲等均會影響通信網(wǎng)絡(luò)性能，尤其是以拒絕服務(wù)攻擊為代表的網(wǎng)絡(luò)攻擊，通過惡化甚至失效信息流的實(shí)時性功能，對電網(wǎng)安全穩(wěn)定構(gòu)成嚴(yán)重威脅。

傳統(tǒng)的異常檢測方法包括簽名分析方法[5]、統(tǒng)計分析方法[6]和閾值分析方法[7]。通過對已有的惡意網(wǎng)絡(luò)流量數(shù)據(jù)的分析來設(shè)定參數(shù)，這些方法主要以專家經(jīng)驗(yàn)為主，難以針對大規(guī)模數(shù)據(jù)進(jìn)行分析。

隨著機(jī)器學(xué)習(xí)的快速發(fā)展，神經(jīng)網(wǎng)絡(luò)廣泛應(yīng)用于異常檢測以識別和分類網(wǎng)絡(luò)層面的攻擊。基于機(jī)器學(xué)習(xí)的異常檢測方法分為特征的選擇和提取、分類方法2 個主要步驟。提取和選擇特征的方法主要有PCA（主成分分析）[8]、基于相關(guān)性的CFS（特征選擇）方法[9]等，傳統(tǒng)分類模型有SVM（支持向量機(jī)）[10]、KNN（K 最近鄰）[11]、樸素貝葉斯和決策樹[12]等。上述模型在KDD99 數(shù)據(jù)集中取得良好的效果，但KDD99 數(shù)據(jù)集包含的攻擊數(shù)據(jù)與現(xiàn)實(shí)復(fù)雜網(wǎng)絡(luò)環(huán)境相比較為簡單，難以模擬真實(shí)的網(wǎng)絡(luò)環(huán)境。Eesa 等人從原始流量數(shù)據(jù)中學(xué)習(xí)特征，改進(jìn)流量特征以獲得較高的檢測率和較低的虛警率[13]。

深度學(xué)習(xí)在異常檢測方面展現(xiàn)出良好的性能，RNN（遞歸神經(jīng)網(wǎng)絡(luò)）常用于分析序列信息，LSTM（長短期記憶）網(wǎng)絡(luò)是RNN 的一個分支，在自然語言處理等序列信息分析應(yīng)用中表現(xiàn)良好。文獻(xiàn)[14]比較了RNN-LSTM 網(wǎng)絡(luò)與GRNN（廣義回歸神經(jīng)網(wǎng)絡(luò)）、KNN、SVM、貝葉斯等算法在KDD99 數(shù)據(jù)集上的表現(xiàn)，在測試中表現(xiàn)出良好性能。

智能電網(wǎng)中缺少具有攻擊行為的數(shù)據(jù)集，但傳統(tǒng)網(wǎng)絡(luò)流量數(shù)據(jù)集又不具備電網(wǎng)特性，故選取相關(guān)性特征作為預(yù)處理數(shù)據(jù)，在CIC-IDS-2017數(shù)據(jù)集上實(shí)驗(yàn)。由于不同攻擊行為存在著種類以及目標(biāo)的差異，導(dǎo)致已有的攻擊行為數(shù)據(jù)量存在不均勻的現(xiàn)象。例如，DDo 攻擊由于其目標(biāo)層次比較低，攻擊成本較小，在樣本中的比例較高，導(dǎo)致模型精度普遍表現(xiàn)良好。深度學(xué)習(xí)的訓(xùn)練依賴大量數(shù)據(jù)樣本，在不平衡數(shù)據(jù)集上訓(xùn)練模型是一項具有挑戰(zhàn)性的任務(wù)。為應(yīng)對上述挑戰(zhàn)，本文針對電網(wǎng)系統(tǒng)網(wǎng)絡(luò)流量進(jìn)行分析，提取具有電網(wǎng)流量特性、對應(yīng)有多種網(wǎng)絡(luò)攻擊的數(shù)據(jù)集作為樣本集。

1 模型

1.1 LSTM 網(wǎng)絡(luò)

LSTM 網(wǎng)絡(luò)是一種循環(huán)神經(jīng)網(wǎng)絡(luò)，適用于處理時序型數(shù)據(jù)。通過門控制將短期記憶和長期記憶結(jié)合，在一定程度上解決了梯度消失的問題[15]。LSTM[16]是通過3 個門來控制，分別為遺忘門ft、輸入門It和輸出門Ot，原理如圖1 所示。其中，遺忘門判斷上一時刻需要保留的記憶信息，輸入門判斷此刻需要的記憶信息，輸出門判斷輸出的記憶信息，St表示記憶細(xì)胞。

圖1 LSTM 原理

式中：xt表示t 時刻的輸入序列；ht表示上一時刻的輸出向量；tanh 表示雙曲正切激活函數(shù)；σ表示sigmoid 激活函數(shù)；Wf，Wi，Wo，Ws表示對應(yīng)部分的權(quán)重系數(shù)矩陣；bf，bi，bo，bs表示對應(yīng)的偏移量。

1.2 CNN（卷積神經(jīng)網(wǎng)絡(luò)）

CNN 是MLP（多層感知機(jī)）的變種，通過采用局部連接和權(quán)值共享的方式減少權(quán)值的數(shù)量來優(yōu)化網(wǎng)絡(luò)，降低了模型的復(fù)雜度。CNN 主要包括卷積層、池化層和全連接層，卷積層負(fù)責(zé)提取對應(yīng)的數(shù)據(jù)特征，卷積核越多，提取的特征越抽象；池化方式分為平均池化、最大池化等方式；全連接層的作用是將經(jīng)過池化后的神經(jīng)元展開為一維向量形式，便于數(shù)據(jù)進(jìn)行處理。

1.3 CNN-LSTM 模型

智能電網(wǎng)中的安全檢測是指檢測電網(wǎng)環(huán)境中具有惡意行為的網(wǎng)絡(luò)流量。通過分析流量數(shù)據(jù)，輸出攻擊行為的概率，將安全檢測問題轉(zhuǎn)化為攻擊行為的分類問題。

流量分類器采用CNN 和LSTM 相結(jié)合的方式對智能電網(wǎng)信息流量包進(jìn)行學(xué)習(xí)和分類。分類器的整體架構(gòu)如圖2 所示，分類器由CNN 系統(tǒng)和LSTM 系統(tǒng)組成，CNN 系統(tǒng)由輸入層、卷積層、池化層和全連接層組成，LSTM 系統(tǒng)由LSTM層、全連接層、Softmax 層和輸出層組成。預(yù)處理KPL 文件經(jīng)CNN 系統(tǒng)處理，返回一個高維向量包傳送到LSTM 系統(tǒng)，LSTM 系統(tǒng)對一系列高維向量進(jìn)行包處理，并輸出屬于每一類的概率，同時Softmax 層根據(jù)概率輸出分類的最終結(jié)果。

圖2 CNN-LSTM 模型結(jié)構(gòu)

CNN 的前一個卷積層和池化層中使用小卷積核的卷積層來提取流量圖像中的局部特征，如IP 和端口，在池化層中可以獲得清晰的特征。后一個卷積層和池化層中使用大卷積核分析相距較遠(yuǎn)的特征之間的關(guān)系，經(jīng)預(yù)處理和編碼，網(wǎng)絡(luò)流量作為輸入層的輸入向量。卷積層表達(dá)式如下：

式中：f 是卷積核大??；b 為偏置；w 是權(quán)重矩陣；c 是卷積核數(shù)量；l 是層數(shù)；S 是步幅；Z（i，j）為對應(yīng)特征圖的像素；x 和y 分別表示數(shù)據(jù)包中的x字節(jié)和有效負(fù)載中的y 字節(jié)。

卷積層中包含式（7）所示的激活函數(shù)，適用于復(fù)雜特征的表達(dá)。

式中：k 為特征圖中通道數(shù)；A 表示Z 向量通過激活函數(shù)的輸出向量。2 個卷積層分別使用sigmoid 函數(shù)和ReLu 函數(shù)。

卷積層經(jīng)特征提取后，將輸出傳送到池化層進(jìn)行特征選擇和信息過濾。池化層中包含一個預(yù)設(shè)的池函數(shù)，該函數(shù)將特征映射中單個點(diǎn)的值替換為其相鄰區(qū)域的特征圖統(tǒng)計量，池化層由式（8）計算，p 是預(yù)先指定的參數(shù)。

通過反向傳播算法來調(diào)整模型參數(shù)，在權(quán)重調(diào)整式（9）中，w 為權(quán)重矩陣，δ 是損失函數(shù)的增量誤差，α 是學(xué)習(xí)率。

經(jīng)過2 次卷積和池化操作，將整個流量圖像提取成一個較小的特征塊來表示整個流量包的特征信息，并作為LSTM 層的輸入。

LSTM 系統(tǒng)主要功能由2 個LSTM 層來實(shí)現(xiàn)。LSTM 層中的第一步是將單元狀態(tài)中的部分信息選擇性丟棄，由遺忘門依據(jù)式（10）來計算丟棄程度。通過讀取ht-1和xt，在細(xì)胞狀態(tài)下向每個數(shù)字輸出0 到1 之間的值（1 表示“完全保留”，0 表示“完全丟棄”）。W 和b 分別是神經(jīng)網(wǎng)絡(luò)中的權(quán)重和偏差，xt表示t 時刻的輸入序列，ht-1表示上一時刻的輸出向量。

激活函數(shù)依據(jù)式（11）決定部分信息需要更新，tanh 函數(shù)依據(jù)式（12）生成一個向量作為更新的替代，tanh 表示雙曲正切激活函數(shù)。將兩部分合并，以更新單元狀態(tài)，見式（13）。

輸出門確定輸出，sigmoid 函數(shù)決定細(xì)胞狀態(tài)的部分被導(dǎo)出，見式（14），通過tanh 函數(shù)處理單元狀態(tài)，得到-1 到1 之間的值，依據(jù)式（15）計算確定輸出。

本文模型中，流量數(shù)據(jù)的n 個數(shù)據(jù)包的特征映射作為LSTM 部分的輸入，通過2 個LSTM 層分析n 個數(shù)據(jù)包之間的特征關(guān)系。

預(yù)處理后的數(shù)據(jù)如表1 所示，數(shù)據(jù)樣本類型是不均勻的，其中類型0 的數(shù)量最多，類型2 和類型4 的數(shù)量最少。不均勻樣本將會影響最終的學(xué)習(xí)效果，當(dāng)機(jī)器將所有流量判斷為0 型，模型的精度似乎相對較高，但并未準(zhǔn)確檢測。引入類的權(quán)重來解決不均勻樣本問題，分類中不同樣本數(shù)的類被賦予不同的權(quán)重。

表1 CIC-IDS-2017 每個類別的數(shù)據(jù)量

根據(jù)樣本數(shù)設(shè)置權(quán)重，類權(quán)重計算如式（16）所示：

式中：wi表示i 類的類權(quán)重；ni表示i 類的流量。

在訓(xùn)練模型時，加權(quán)損失函數(shù)使模型更加關(guān)注來自數(shù)量不足的類的樣本。損失函數(shù)J 的定義如下：

式中：K 是類別的數(shù)量；y 是標(biāo)簽（如果樣本類別是i，則i=1；否則i=0）；q 是神經(jīng)網(wǎng)絡(luò)的輸出。

2 實(shí)驗(yàn)分析

2.1 電力工控系統(tǒng)網(wǎng)絡(luò)流量特征工程

電力工控系統(tǒng)作為一個特殊的網(wǎng)絡(luò)，與傳統(tǒng)的網(wǎng)絡(luò)流量相比存在較大差異，具有以下獨(dú)特性：

1）電力網(wǎng)絡(luò)流量數(shù)據(jù)具有周期性，設(shè)備在固定時間內(nèi)請求或上傳數(shù)據(jù)。

2）電力網(wǎng)絡(luò)流量數(shù)據(jù)的IP 地址相對固定，向指定地址的設(shè)備請求或上傳數(shù)據(jù)。

3）電力網(wǎng)絡(luò)中報文數(shù)據(jù)的長度范圍較窄，但傳輸數(shù)據(jù)的頻率較高。

4）對實(shí)時性要求比較高。

實(shí)驗(yàn)采用變電站網(wǎng)絡(luò)流量數(shù)據(jù)，數(shù)據(jù)集內(nèi)包括從系統(tǒng)上抓取的網(wǎng)絡(luò)流量（即pcap 文件），用于構(gòu)建網(wǎng)絡(luò)流量模型。從電力工控網(wǎng)絡(luò)實(shí)際特性出發(fā)來提取合適的流量特征，有助于提升所構(gòu)建模型的精確度。

從流量中解析字段，可從網(wǎng)絡(luò)數(shù)據(jù)包的頭部提取得到IP 地址、目的IP 地址、源端口號、目的端口號、源MAC 地址等屬性，詳情如表2 所示。同時利用電力網(wǎng)絡(luò)流量的特征構(gòu)造帶有時間序列的特征。

表2 流量解析字段

網(wǎng)絡(luò)流量呈現(xiàn)出周期性特點(diǎn)，選取時間字段ts 作為流量周期性的特征信息；IP 地址是流量傳輸?shù)年P(guān)鍵信息，選取IP 地址字段的src_ip，des_ip，src_port，des_port 作為流量地址信息特征；根據(jù)報文數(shù)據(jù)的長度和類型，選取data_unit和info 作為對應(yīng)特征。

在時間窗口對窗口內(nèi)所含網(wǎng)絡(luò)流量特征向量原始數(shù)據(jù)實(shí)施統(tǒng)計分析，建立包括時間窗內(nèi)流持續(xù)時間、兩個流之間的平均時間和數(shù)據(jù)包平均大小等在內(nèi)的統(tǒng)計特征。從數(shù)據(jù)集的80 個特征中提取出14 個電網(wǎng)屬性特征，具體如表3 所示。

表3 電網(wǎng)屬性特征

2.2 CIC-IDS-2017 數(shù)據(jù)集

本文采用加拿大網(wǎng)絡(luò)安全研究所[12]公開的IDS 數(shù)據(jù)集CIC-IDS-2017 評估系統(tǒng)性能。相比于KDDCUP99 數(shù)據(jù)集，該數(shù)據(jù)集收集了真實(shí)的原始網(wǎng)絡(luò)流量數(shù)據(jù)，由280 萬個標(biāo)記流組成，包含如Port Scan，Web Attacks，Brute Force，Botnets，DoS，DDoS 等14 種不同類型的攻擊。

本文采用ACC（準(zhǔn)確性）、TPR（真陽性率）、FPR（假陽性率）和F1-score 4 個常用參數(shù)來評估模型。ηACC代表模型的整體性能，ηTPR代表當(dāng)前正樣本中真實(shí)正樣本與所有正樣本的比值，ηFPR代表錯誤分配給正樣本類型的真實(shí)負(fù)樣本與所有負(fù)樣本總數(shù)的比值，ηF1-score是分類器精度的得分，ηPrecision表示精確度，ηRecall表示召回率。

式中：ηTP是正確分類為此類型的樣本數(shù)量；ηTN是正確分類為非此類型的樣本數(shù)量；ηFP是錯誤分類為此類型的樣本數(shù)量；ηFN是錯誤分類為非此類型的樣本數(shù)量。

2.3 數(shù)據(jù)集預(yù)處理

原始數(shù)據(jù)預(yù)處理流程如圖3 所示：先將PCAP文件轉(zhuǎn)換為模型輸入數(shù)據(jù)，再通過時間劃分、流量分割、KPL 文件生產(chǎn)和one-hot 編碼生成矩陣。

圖3 數(shù)據(jù)預(yù)處理流程

2.4 實(shí)驗(yàn)分析

在數(shù)據(jù)集中，正常數(shù)據(jù)占比較大，大大影響了整個數(shù)據(jù)集準(zhǔn)確率的有效性。加權(quán)損失函數(shù)使模型更加關(guān)注來自數(shù)量不足的樣本類重量對模型性能的影響。表4 顯示了有、無類型權(quán)重的結(jié)果比較。引入類型權(quán)重可以減小數(shù)據(jù)集中各種類型數(shù)據(jù)不平衡對模型性能的影響。

表4 應(yīng)用類型權(quán)重對模型性能的影響

LSTM 模型可有效提取數(shù)據(jù)包之間的時序關(guān)系，表5 給出了本文模型添加CNN 后與單獨(dú)使用CNN 或LSTM 模型的結(jié)果對比，可以看出，添加CNN 進(jìn)一步提高了大多數(shù)攻擊流量的識別準(zhǔn)確率。為進(jìn)一步分析分類結(jié)果，從圖4 所示混淆矩陣可以看出，BENIGN，Port Scan，DDoS 和DoS Hulk 4 種主要類型有較好的表現(xiàn)。同時類型攻擊的錯誤分類主要局限在其攻擊類型內(nèi)部，例如Web Attack-XSS 的網(wǎng)絡(luò)攻擊，如果分類錯誤，很可能被歸類為Web Attack B.F 中。

表5 CNN，LSTM 和CNN-LSTM 結(jié)果對比

圖4 混淆矩陣

表6 顯示了使用本文方法與傳統(tǒng)機(jī)器學(xué)習(xí)算法的模型比較。可以看出，本文方法實(shí)現(xiàn)了它們之間的最佳性能，具有最大的ηACC和最低的ηFPR。同時在SVM，KNN，DT，RF 4 種算法中，以DT的運(yùn)行時間最短，本文方法略高于DT，但相較于其他模型有較大提升。

表6 結(jié)果分析

3 結(jié)論

電力系統(tǒng)的安全穩(wěn)定運(yùn)行與社會生活息息相關(guān)，面對越來越復(fù)雜的電力信息網(wǎng)絡(luò)環(huán)境，本文提出了一種基于深度學(xué)習(xí)的電力信息網(wǎng)絡(luò)流量異常檢測模型，利用CNN 和LSTM 的混合模型，從網(wǎng)絡(luò)數(shù)據(jù)流中提取特征來分析網(wǎng)絡(luò)流量。

結(jié)果表明，混合模型與僅CNN 模型和僅LSTM 模型相比，在所有攻擊類型的檢測準(zhǔn)確率上都有3%以上的提高。本文取得以下成果：

1）提出了一種基于CNN 和LSTM 混合網(wǎng)絡(luò)的異常檢測方法，通過CNN 和LSTM 網(wǎng)絡(luò)分別提取單個數(shù)據(jù)包的空間特征和數(shù)據(jù)流的時間特征，提高了異常檢測系統(tǒng)的性能。

2）模型在訓(xùn)練階段使用類別權(quán)值進(jìn)行優(yōu)化，減少了樣本中攻擊類型不平衡的不利影響，提高了模型的魯棒性。

本文基于數(shù)據(jù)驅(qū)動的方法提升了對不同類型電力信息網(wǎng)絡(luò)的異常檢測，在確保準(zhǔn)確率的同時保證了時效性。模型能適應(yīng)復(fù)雜狀況下的應(yīng)用場景，如在變電站通信網(wǎng)絡(luò)中增加流量數(shù)據(jù)庫種類，識別不同網(wǎng)絡(luò)異常狀態(tài)下變電站中各層級網(wǎng)絡(luò)的流量數(shù)據(jù)，確保大規(guī)模工業(yè)控制網(wǎng)絡(luò)的安全。但該模型還存在一定的缺陷，包括Heartbleed和SSH Patator attack 的檢測精度較低，主要原因是訓(xùn)練集中缺乏對應(yīng)類型的負(fù)樣本量。針對樣本不平衡與缺少攻擊樣本數(shù)量的狀況，可以采用GAN 等方法生成負(fù)樣本數(shù)據(jù)集做進(jìn)一步研究。