余少鋒，鐘建栩，朱 磊，馬一寧

(南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司信息通信分公司，廣東 廣州 510000)

0 引言

信息通信技術(shù)的發(fā)展提高了電力系統(tǒng)智能化、無人化、精細(xì)化控制能力，然而也為電力系統(tǒng)網(wǎng)絡(luò)安全帶來了嚴(yán)重威脅[1-3]。因此，利用及時、準(zhǔn)確的檢測和識別方法[4-5]，以控制和防范威脅電力系統(tǒng)網(wǎng)絡(luò)的入侵行為至關(guān)重要。

入侵檢測[6]是一種典型的主動防御技術(shù)，是計算機網(wǎng)絡(luò)安全領(lǐng)域的重要研究課題之一，已廣泛應(yīng)用于信息物理系統(tǒng)[7]、智能電網(wǎng)[8]、智能汽車[9]等。入侵檢測從本質(zhì)上可以看作是一種模式分類問題。目前，主流的入侵檢測算法主要有基于規(guī)則[10]、模式[6]、智能算法[4,8-9]和基因表達式編程(gene expression programming，GEP)[11-12]。這些算法只考慮網(wǎng)絡(luò)日志的集中處理，屬于集中入侵檢測算法的范疇。傳統(tǒng)的集中式入侵檢測算法增加了傳輸帶寬、網(wǎng)絡(luò)時延和數(shù)據(jù)包丟失概率。此外，對于高維網(wǎng)絡(luò)日志，如果直接用GEP挖掘模型，算法的時間和空間復(fù)雜度會大幅增加，網(wǎng)絡(luò)攻擊檢測的實時性和準(zhǔn)確性也會大幅降低。

隨著分布式能源的不斷接入、電力系統(tǒng)環(huán)境日益復(fù)雜，配電網(wǎng)中動態(tài)分布的海量數(shù)據(jù)給電力系統(tǒng)網(wǎng)絡(luò)的入侵檢測帶來了新的挑戰(zhàn)。此外，隨著存儲重要數(shù)據(jù)的需求與日俱增，云計算成為電力系統(tǒng)主要信息來源。云以公共、私有和混合的形式提供。云計算中的安全性通常因其計算服務(wù)的不同而不同。為此，有學(xué)者對云計算中的入侵檢測算法[12]進行研究。分布式方法效率高、網(wǎng)絡(luò)安全性強，然而系統(tǒng)計算復(fù)雜性成倍數(shù)增加。此外，系統(tǒng)面臨干擾數(shù)據(jù)對系統(tǒng)魯棒性、穩(wěn)定性的重大挑戰(zhàn)。

為有效處理電力系統(tǒng)網(wǎng)絡(luò)中海量、高維的入侵?jǐn)?shù)據(jù)，本文提出了一種基于粗糙集的含噪數(shù)據(jù)約簡算法，從而減少復(fù)雜入侵?jǐn)?shù)據(jù)的時間消耗集、提高數(shù)據(jù)處理效率。同時，本文提出了一種基于混合基因表達式編程和云計算的分布式入侵檢測方法，提高了電力系統(tǒng)網(wǎng)絡(luò)入侵檢測的準(zhǔn)確性和效率。

1 相關(guān)概念

1.1 基于粗糙集的數(shù)據(jù)約簡算法

為了便于理解基于粗糙集的屬性約簡，本文首先簡要介紹了網(wǎng)絡(luò)日志粗糙集的相關(guān)概念。

定義1 網(wǎng)絡(luò)日志決策表L描述為：

L=〈U,C∪A,V,f〉,C∪A=R

(1)

式中：U為網(wǎng)絡(luò)日志數(shù)據(jù)集；C為網(wǎng)絡(luò)日志特征集；A為攻擊類型集；V=Uvr,r為日志特征，r∈R；f:U×R→V為攻擊類型信息函數(shù)。

定義2 令網(wǎng)絡(luò)日志決策表為L=〈U,C∪A,V,f〉。如果相同的網(wǎng)絡(luò)日志特征屬性值具有相同的對應(yīng)攻擊類型屬性值，則表示網(wǎng)絡(luò)日志決策表L是一致的。

定義3 令網(wǎng)絡(luò)日志決策表為L=〈U,C∪A,V,f〉，?P?R，r∈R，R=C∪A和x,y∈U，當(dāng)且僅當(dāng)f(x,r)=f(y,r)，x和y是不可分辨的。用符號描述為U/P或IND(P)={(x,y)∈U|r∈P,f(x,r)=f(y,r)}。

定義4 令網(wǎng)絡(luò)日志決策表為L=〈U,C∪A,V,f〉,C∪A=R。對于所有X?U，X的R下近似值表示為R_(X)，有R_(X)=∪{Yi?U/IND(R):Yi?X}。

定義6 令網(wǎng)絡(luò)日志決策表L=〈U,C∪A,V,f〉保持一致。網(wǎng)絡(luò)日志特征屬性C與攻擊類型屬性A之間的依賴度用rC(A)表示。如果式(2)成立，則?c?C。

(2)

網(wǎng)絡(luò)日志特征屬性是可歸約的,card(U)為集合U的個數(shù)。

定義7 令：

Np×(q+1)=(nij)p×(q+1)

式中：nij為使用K-均值聚類算法發(fā)現(xiàn)的第i個噪聲數(shù)據(jù)的第j個屬性值；N為噪聲對數(shù)矩陣。

定義8 令：

C=(cij)p×(q+1)

如果矩陣N中的nij為噪聲數(shù)據(jù)，則cij=1；否則，cij=0。矩陣C為相關(guān)矩陣。

基于粗糙集的含噪數(shù)據(jù)屬性約簡算法如圖1所示。

圖1 基于粗糙集的含噪數(shù)據(jù)屬性約簡算法

在電力系統(tǒng)網(wǎng)絡(luò)的數(shù)據(jù)采集過程中，由于人、網(wǎng)絡(luò)或測量裝置的作用，產(chǎn)生了大量的噪聲數(shù)據(jù)。對含有噪聲的日志數(shù)據(jù)進行屬性約簡，勢必影響約簡的準(zhǔn)確性，最終影響入侵檢測模型的精度。因此，在屬性約簡過程中，有必要對噪聲數(shù)據(jù)進行查找、剔除或校正，以減少噪聲對屬性約簡的影響。為此，本文提出了一種改進的屬性約簡方法。在約簡之前，首先通過K-均值聚類算法找到噪聲數(shù)據(jù)。該算法可以在屬性層次上發(fā)現(xiàn)噪聲數(shù)據(jù)，并根據(jù)剩余的干凈數(shù)據(jù)對噪聲進行校正，而無需事先了解噪聲數(shù)據(jù)的結(jié)構(gòu)。

1.2 入侵檢測算法

為了提高基于基因表達式編程的入侵檢測的準(zhǔn)確性和效率，在考慮噪聲數(shù)據(jù)的基礎(chǔ)上，提出了一種改進的基因表達式編程入侵檢測算法。令網(wǎng)絡(luò)日志數(shù)據(jù)為L=〈U,X∪Y,V,f〉，其中X={x1,…,xn}。入侵檢測的實質(zhì)是挖掘網(wǎng)絡(luò)日志特征與攻擊類型Y=f(X)之間的入侵函數(shù)模型。在介紹該算法之前，首先給出了函數(shù)挖掘成功率的定義，用于評價挖掘的性能。

定義9 設(shè)Y=f(X)為最優(yōu)入侵函數(shù)模型、Opf為最優(yōu)適應(yīng)值、Maf為最大適應(yīng)值，則入侵檢測準(zhǔn)確率Acc定義如下。

(3)

定義10 假設(shè)算法獨立運行N次，有：

(4)

式中：FR-max[i]為第i個模型的最大適應(yīng)值。

為簡化計算，假設(shè)算法運行第i次是收斂的。因此，令算法收斂的個數(shù)為K(K≤N)，則K為算法的收斂次數(shù)。本文令δ=0.01。

基于云計算的電力系統(tǒng)算法流程如圖2所示。

圖2 基于云計算的電力系統(tǒng)算法流程

改進的基因表達式編程入侵檢測算法結(jié)合了基本的GEP算法和基于噪聲發(fā)現(xiàn)的粗糙集算法的優(yōu)點?；綠EP算法的基本原理，首先，對算法種群進行初始化，并評價種群中所有個體的適應(yīng)度。在此基礎(chǔ)上，按照一定的概率進行選擇、變異、交叉等遺傳操作，以再生新的種群、增加種群中個體的多樣性、提高算法的全局收斂性。然后，對新的種群重新評估所有個體的適應(yīng)值。最后，進行遺傳操作，直到算法達到預(yù)定的終止條件。

2 分布式入侵檢測

首先，通過構(gòu)造非線性最小二乘法，建立基于局部入侵檢測函數(shù)模型的電力系統(tǒng)網(wǎng)絡(luò)全局入侵檢測函數(shù)模型。全局入侵檢測函數(shù)模型表示如下：

(5)

式中：f(x1,x2,…,xm)為全局入侵檢測模型；X=(x1,x2,…,xm)為網(wǎng)絡(luò)日志特征屬性；fi(X)為第i個節(jié)點的本地入侵檢測模型；ai為第i個常數(shù),i∈[1,n]。

全局入侵檢測函數(shù)模型的目標(biāo)函數(shù)是計算出一組常數(shù)ai≠0,i∈[1,n]，使得G(a1,a2,…,an)的值為最小值。則有：

(6)

式中：yi為第i個網(wǎng)絡(luò)日志的攻擊類型值。

本文采用非線性最小二乘優(yōu)化模型求解G(a1,a2,…,an)的最小值。

命題1G(a1,a2,…,an)存在唯一解。

證明：算法中每個計算節(jié)點的局部入侵檢測函數(shù)模型fi(X)由4個算子(加法、減法、乘法、除法)組成。因此，全局入侵檢測模型f(X)可以轉(zhuǎn)化為1個多元線性函數(shù)模型。則有：

anfn(Xi)-yi]2

(7)

為找到常數(shù)集ai≠0,i∈[1,n]，使得式(7)的值最小，則根據(jù)最小二乘法的原理，有：

j=1,2,…,n

(8)

簡化式(8)，有：

(9)

因此，a1,a2,…,an的線性方程描述為：

(10)

式(10)中，線性方程組的系數(shù)矩陣為實對稱矩陣。根據(jù)矩陣的性質(zhì)可知，實對稱矩陣是正定矩陣，因而線性方程組中存在唯一解。綜上分析，基于混合基因表達式編程和云的分布式入侵檢測算法結(jié)構(gòu)如圖3所示。首先，將網(wǎng)絡(luò)日志劃分為一組鍵/值對，其中值包含算法的所有參數(shù)。然后，這些鍵/值對由多個映射任務(wù)并行執(zhí)行。通過對結(jié)果進行分類和輸入，進行并行處理，生成多個局部入侵檢測模型，并合并到全局入侵檢測模型。

圖3 基于混合基因表達式編程和云的分布式入侵檢測算法結(jié)構(gòu)圖

3 仿真與分析

3.1 仿真環(huán)境及數(shù)據(jù)集

為了測試所提算法的性能和有效性，在實驗室搭建了1個由12個節(jié)點組成的云計算平臺。表1所示為云計算平臺仿真環(huán)境。

表1 云計算平臺仿真環(huán)境

仿真時數(shù)據(jù)集有 KddCup99標(biāo)準(zhǔn)數(shù)據(jù)集、實測數(shù)據(jù)集和KddCup99噪聲數(shù)據(jù)集、NSL-KDD數(shù)據(jù)集這4類。云計算平臺仿真參數(shù)如表2所示。其中，實測數(shù)據(jù)主要來自國家電網(wǎng)公司外部監(jiān)控系統(tǒng)采集的網(wǎng)絡(luò)安全日志。仿真時，將虛警率(false alarm rate，F(xiàn)AR)、檢測準(zhǔn)確率(detection accuracy rate，DAR)和平均耗時(average time-consumption，ATC)作為算法評價指標(biāo)。

表2 云計算平臺仿真參數(shù)

3.2 數(shù)據(jù)分析

對4個數(shù)據(jù)集分別采用GEP、本文方法、遺傳算法(genetic algorithm,GA)和遺傳規(guī)劃(genetic programming,GP)4種算法各運行10次。不同算法的FAR對比如表3所示。

表3 不同算法FAR對比結(jié)果

由表3可知，與GEP、GA和GP相比，本文方法的FAR最低，均值僅為0.042。對于相同的復(fù)雜數(shù)據(jù)集，本文方法引入基于粗糙集的含噪數(shù)據(jù)屬性約簡算法，可以大大降低入侵?jǐn)?shù)據(jù)集的復(fù)雜度，從而提高算法的全局搜索能力。

表4所示為不同算法的DAR對比結(jié)果。

表4 不同算法DAR對比結(jié)果

對于KddCup 99、實測數(shù)據(jù)集、KddCup噪聲數(shù)據(jù)集和NSL-KDD數(shù)據(jù)集，本文方法的DAR為93.5%、91.9%、93.5%和89.9%。與GEP、GA和GP相比，本文方法的平均DAR分別提高了1.28倍、1.27倍和1.45倍。

不同算法的ATC對比如表5所示。

表5 不同算法的ATC對比結(jié)果Tab.5 Comparison results ATC of different algorithms /s

4 結(jié)論

本文以電力系統(tǒng)網(wǎng)絡(luò)入侵檢測為研究對象，構(gòu)建了基于云計算和混合基因表達式編程的入侵檢測方法，并對算法框架、運行模式和工作流程進行了設(shè)計。

未來可對小樣本數(shù)據(jù)進行研究，如采樣算法或人工注入樣本，使各類數(shù)據(jù)趨于平衡，降低算法對小樣本數(shù)據(jù)的敏感性。