邵志鵬，李偉偉，周 誠(chéng)

（國(guó)網(wǎng)智能電網(wǎng)研究院有限公司，南京 210003）

隨著電力網(wǎng)絡(luò)建設(shè)工作不斷深化，攻擊手段復(fù)雜多樣和靜態(tài)安全防護(hù)措施部署與策略配置之間形成尖銳的矛盾。 網(wǎng)絡(luò)威脅來(lái)自多方面，并且會(huì)隨著時(shí)間的變化而變化，其中網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)是網(wǎng)絡(luò)安全技術(shù)中非常重要的一部分[1-3]。

前人對(duì)網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)進(jìn)行了深入的研究，構(gòu)建了多種檢測(cè)工具[4-6]。 然而，在一些敏感和特殊的網(wǎng)絡(luò)中，網(wǎng)絡(luò)數(shù)據(jù)通常被加密或保護(hù)，傳統(tǒng)的網(wǎng)絡(luò)攻擊檢測(cè)方法并不理想。 基于網(wǎng)絡(luò)流量統(tǒng)計(jì)特征的網(wǎng)絡(luò)攻擊檢測(cè)方法不需要分析數(shù)據(jù)內(nèi)容和連接特征，可以更好地實(shí)現(xiàn)敏感和特殊網(wǎng)絡(luò)中的攻擊檢測(cè)[7-8]。

近年來(lái)，研究人員對(duì)人工智能技術(shù)進(jìn)行了深入研究，并在各領(lǐng)域取得了很好的效果[9-11]。 一些研究者也將其應(yīng)用到網(wǎng)絡(luò)攻擊檢測(cè)領(lǐng)域，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)攻擊指令的高效檢測(cè)。 然而，目前對(duì)于已知的網(wǎng)絡(luò)攻擊指令的檢測(cè)技術(shù)較多，而對(duì)于未知攻擊指令的檢測(cè)技術(shù)較少，檢測(cè)工具也缺乏。 這些問(wèn)題影響了網(wǎng)絡(luò)攻擊檢測(cè)的準(zhǔn)確性和可靠性。

為了解決上述問(wèn)題，提出了一種基于機(jī)器學(xué)習(xí)的電力網(wǎng)絡(luò)安全檢測(cè)技術(shù)。 采用監(jiān)督學(xué)習(xí)與非監(jiān)督學(xué)習(xí)相結(jié)合的方法，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊指令的全面安全檢測(cè)，采用隨機(jī)森林算法對(duì)網(wǎng)絡(luò)特征進(jìn)行選擇和優(yōu)化，提高網(wǎng)絡(luò)攻擊指令檢測(cè)的準(zhǔn)確性和效率。

1 系統(tǒng)方案

通常攻擊者、惡意軟件、計(jì)算機(jī)病毒會(huì)通過(guò)外部網(wǎng)絡(luò)指令實(shí)施攻擊，而內(nèi)部網(wǎng)絡(luò)也存在潛在的攻擊指令或者錯(cuò)誤操作。 為了實(shí)現(xiàn)網(wǎng)絡(luò)攻擊指令檢測(cè)，本文設(shè)計(jì)了基于指令流量統(tǒng)計(jì)分析的網(wǎng)絡(luò)攻擊檢測(cè)防護(hù)系統(tǒng)，系統(tǒng)框架如圖1 所示。

圖1 系統(tǒng)框架圖Fig.1 System frame diagram

首先，本系統(tǒng)收集并整理已披露的網(wǎng)絡(luò)指令流量數(shù)據(jù)，融入網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)漏洞數(shù)據(jù)庫(kù)（如NVD、CNVD）中的相關(guān)特征數(shù)據(jù)，并補(bǔ)充通過(guò)網(wǎng)絡(luò)數(shù)據(jù)采集與分析模塊采集到的數(shù)據(jù)包，構(gòu)建網(wǎng)絡(luò)指令流量樣本集。 運(yùn)行于高性能計(jì)算平臺(tái)中的檢測(cè)模型構(gòu)建模塊，提取樣本數(shù)據(jù)中的相關(guān)數(shù)據(jù)，分別通過(guò)SVC 算法、超球體SVM 算法和無(wú)監(jiān)督聚類算法學(xué)習(xí)構(gòu)建異常流量檢測(cè)模型、已知攻擊檢測(cè)模型和未知攻擊檢測(cè)模型。 攻擊檢測(cè)模塊和數(shù)據(jù)采集與分析模塊綜合運(yùn)行于指令檢測(cè)系統(tǒng)、網(wǎng)絡(luò)邊界、云平臺(tái)、應(yīng)用服務(wù)器、終端等網(wǎng)絡(luò)設(shè)備中，提取高性能計(jì)算平臺(tái)中檢測(cè)模型構(gòu)建模塊的構(gòu)建的預(yù)測(cè)模型，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊檢測(cè)。

2 攻擊指令檢測(cè)算法設(shè)計(jì)

為了實(shí)現(xiàn)基于對(duì)網(wǎng)絡(luò)攻擊指令的有效檢測(cè)，本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于流量統(tǒng)計(jì)分析的網(wǎng)絡(luò)攻擊指令檢測(cè)方法。 該方法主要采用基于SharpPcap的數(shù)據(jù)采集技術(shù)、基于SVC 的異常流量檢測(cè)技術(shù)、基于超球體SVM 的已知攻擊檢測(cè)技術(shù)、基于無(wú)監(jiān)督聚類的未知攻擊檢測(cè)技術(shù)和基于隨機(jī)森林的特征選擇與優(yōu)化技術(shù)5 種技術(shù)的綜合運(yùn)用。 下文對(duì)算法流程進(jìn)行詳細(xì)分析。

2.1 基于SharpPcap 的網(wǎng)絡(luò)網(wǎng)絡(luò)采集

基于SharpPcap 構(gòu)建數(shù)據(jù)采集與分析技術(shù)將網(wǎng)卡設(shè)置成為混雜模式，在此工作模式下，網(wǎng)卡不對(duì)目的地址進(jìn)行判斷，對(duì)收到的每個(gè)數(shù)據(jù)幀產(chǎn)生硬件的中斷提醒操作系統(tǒng)進(jìn)行處理。 隨后通過(guò)軟件編程實(shí)現(xiàn)相應(yīng)的捕獲以及分析，掌握數(shù)據(jù)報(bào)文每字段的含義。 基于SharpPcap 的數(shù)據(jù)采集工作在網(wǎng)絡(luò)環(huán)境的最底層，攔截網(wǎng)絡(luò)上傳送的所有數(shù)據(jù)，并且通過(guò)相應(yīng)的動(dòng)態(tài)鏈接庫(kù)進(jìn)行處理， 實(shí)時(shí)的分析數(shù)據(jù)內(nèi)容，統(tǒng)計(jì)所處網(wǎng)絡(luò)的狀態(tài)以及網(wǎng)絡(luò)數(shù)據(jù)流量。 采集流程如圖2 所示。

圖2 基于SharpPcap 指令采集流程Fig.2 Instruction acquisition process based on SharpPcap

捕獲數(shù)據(jù)包之前需要設(shè)置過(guò)濾條件，并由過(guò)濾設(shè)置模塊將其傳遞到捕獲模塊。 基于SharpPcap 流量采集技術(shù)讀取過(guò)濾的字符串，根據(jù)過(guò)濾的字符串判斷過(guò)濾的條件所屬的類型。

數(shù)據(jù)包分析使用的是SharpPcap 中數(shù)據(jù)包的處理方法。首先對(duì)數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行簡(jiǎn)略信息的解析，再將數(shù)據(jù)包按網(wǎng)絡(luò)協(xié)議層次進(jìn)行解析。對(duì)于鏈路層數(shù)據(jù)從比特流轉(zhuǎn)換成數(shù)據(jù)幀后解析。 解析出鏈路層數(shù)據(jù)包后，根據(jù)上層使用的協(xié)議調(diào)用相關(guān)方法構(gòu)建上層協(xié)議類型的數(shù)據(jù)包，以此類推一直完成數(shù)據(jù)包的指令解析。 最后將解析后的指令數(shù)據(jù)交于緩沖區(qū)，保存數(shù)據(jù)。

2.2 基于SVC 支持向量機(jī)的異常指令檢測(cè)

運(yùn)用獲取的指令數(shù)據(jù)集，劃分?jǐn)?shù)據(jù)集為訓(xùn)練集與測(cè)試集。 然后用這些數(shù)據(jù)集構(gòu)造二分類支持向量機(jī)模型，實(shí)現(xiàn)正常指令與異常指令的分類，從而實(shí)現(xiàn)檢測(cè)異常指令功能。 具體如下文所述。

首先， 將數(shù)據(jù)庫(kù)中的指令數(shù)據(jù)樣本集按照3∶1的比例劃分為訓(xùn)練集與測(cè)試集，將測(cè)試集中的正常數(shù)據(jù)樣本標(biāo)識(shí)為+1，異常的數(shù)據(jù)樣本標(biāo)識(shí)為-1。 用標(biāo)識(shí)完成的訓(xùn)練集開始模型的構(gòu)建過(guò)程，再建立一個(gè)未知的超平面，設(shè)出未知的支持向量，列出支持向量到超平面的距離公式作為決策函數(shù)，根據(jù)限制條件求最大的值，選擇核函數(shù)。 設(shè)置參數(shù)gamma 值和C 參數(shù)為定值，然后進(jìn)行對(duì)比分類試驗(yàn)，通過(guò)準(zhǔn)確率與召回率的比較，選擇最優(yōu)的核函數(shù)。 運(yùn)用已選擇好的最優(yōu)核函數(shù)， 改變gamma 值和C 參數(shù)的值，形成多組對(duì)比實(shí)驗(yàn)，從而選擇出最優(yōu)的gamma值和C 參數(shù)。

為了評(píng)估所建測(cè)試模型的泛化性能，運(yùn)用交叉驗(yàn)證的方式進(jìn)行測(cè)試，即多次的劃分?jǐn)?shù)據(jù)，并訓(xùn)練多個(gè)模型，然后取平均值，計(jì)算出模型的平均精度，最終完成異常指令檢測(cè)模型的構(gòu)建。

2.3 基于超球體SVM 算法的已知指令檢測(cè)

針對(duì)常見的攻擊指令集，分別構(gòu)建一個(gè)超球體模型， 落在超球體以內(nèi)的測(cè)試對(duì)象為該攻擊類型，而落在超球體以外的不是該攻擊的類型，實(shí)現(xiàn)了該常見的攻擊指令類型與其它攻擊類型的區(qū)分，從而實(shí)現(xiàn)對(duì)已知攻擊指令的檢測(cè)識(shí)別功能。 技術(shù)實(shí)現(xiàn)如下所述。

使用經(jīng)過(guò)異常指令模型檢測(cè)后的異常指令數(shù)據(jù)集，針對(duì)每一個(gè)已知的攻擊指令集，先依據(jù)隨機(jī)森林進(jìn)行特征的選擇，選擇出最優(yōu)的區(qū)分該攻擊的特征。 進(jìn)而構(gòu)建未知超球體，既要盡量把該攻擊所有數(shù)據(jù)都包入球體內(nèi)部，又要保證球半徑盡可能的小。 因此，根據(jù)中折關(guān)系求解超球體決策函數(shù)，并不斷調(diào)整參數(shù)選出最優(yōu)， 然后進(jìn)行閾值計(jì)算與分析，確定球心位置與半徑大小，最終完成超球體檢測(cè)模型構(gòu)建。 對(duì)所有的已知攻擊分別按照上述過(guò)程構(gòu)建一個(gè)超球體的已知攻擊檢測(cè)模型，實(shí)現(xiàn)對(duì)所有已知攻擊的檢測(cè)與識(shí)別。

2.4 基于無(wú)監(jiān)督聚類模型的未知指令檢測(cè)

對(duì)于已知攻擊以外的其他未知攻擊指令，通過(guò)構(gòu)建無(wú)監(jiān)督聚類模型實(shí)現(xiàn)對(duì)其的檢測(cè)與識(shí)別。 在已構(gòu)建的所有已知攻擊指令檢測(cè)模型的基礎(chǔ)上，將落入超球體模型以外的數(shù)據(jù)集劃分為訓(xùn)練集與測(cè)試集，用訓(xùn)練集開始未知攻擊指令模型的建立。 先隨機(jī)選取k 個(gè)數(shù)據(jù)點(diǎn)分別作為中心點(diǎn)建立k 個(gè)簇，隨著訓(xùn)練集數(shù)據(jù)點(diǎn)的不斷進(jìn)入，分別計(jì)算其到各個(gè)簇中心點(diǎn)的距離，根據(jù)所計(jì)算的距離結(jié)果，將其劃入到最近的簇中，同時(shí)取擴(kuò)充后該簇內(nèi)所有數(shù)據(jù)點(diǎn)的平均值作為新的簇中心點(diǎn)， 不斷地循環(huán)上述過(guò)程，直至所有的訓(xùn)練集用完，可形成k 個(gè)聚類。 并計(jì)算各個(gè)聚類屬性上任意兩個(gè)離散數(shù)據(jù)值a 與b 之間的距離，從而確定每一個(gè)聚類的具體范圍，每一個(gè)聚類的攻擊指令集即為一個(gè)特定的未知攻擊類型，從而實(shí)現(xiàn)未知攻擊指令的分類。

2.5 基于隨機(jī)森林的特征選擇與優(yōu)化

在上述機(jī)器學(xué)習(xí)預(yù)測(cè)模型的構(gòu)建過(guò)程中發(fā)現(xiàn)，由于網(wǎng)絡(luò)流量數(shù)據(jù)集屬于多特征、大容量的樣本數(shù)據(jù)集，即使使用高性能計(jì)算平臺(tái)，其模型構(gòu)建過(guò)程花費(fèi)時(shí)間過(guò)長(zhǎng)， 且預(yù)測(cè)模型會(huì)出現(xiàn)過(guò)擬合的情況。因此，為了高效、準(zhǔn)確地建立預(yù)測(cè)模型，必須對(duì)網(wǎng)絡(luò)流量特征進(jìn)行選擇與優(yōu)化。 通過(guò)大量研究特征選擇與優(yōu)化，本文使用隨機(jī)森林算法對(duì)樣本特征集進(jìn)行排序，并通過(guò)交叉驗(yàn)證的方法進(jìn)行不同特征子集模型間的評(píng)估比較， 實(shí)現(xiàn)網(wǎng)絡(luò)流量特征的選擇與優(yōu)化，從而提高預(yù)測(cè)模型的構(gòu)建效率和泛化能力。

將獲得的流量數(shù)據(jù)集，不斷地獨(dú)立重復(fù)地取相同數(shù)量的測(cè)試樣本，分別建立多個(gè)決策樹，把每一棵決策樹特征分割決策得到的基尼指數(shù)進(jìn)行線性累加或者加權(quán)線性累加，可以獲得特征的重要性排序，從而達(dá)到對(duì)特征的選擇與優(yōu)化目的。

3 實(shí)驗(yàn)和分析

本實(shí)驗(yàn)在一臺(tái)自行搭建的計(jì)算機(jī)上進(jìn)行，采用Intel I7-7820X 處理器，RTX2080 顯卡，11 G 顯存，16 G 雙通道內(nèi)存。 原始數(shù)據(jù)集選用IDS2017[12]及依據(jù)電力系統(tǒng)常用通信協(xié)議IEC60870-5-104 產(chǎn)生的模擬數(shù)據(jù)進(jìn)行分析。

3.1 基于指令特征選擇與優(yōu)化測(cè)試

3.1.1 SVC 模型的特征選擇與優(yōu)化

樣本子集的選取與SVC 模型調(diào)參與選擇相一致。 對(duì)5 組樣本子集做基于隨機(jī)森林的特征選擇處理和無(wú)特征處理，得到特征子集后建立SVC 二分類分類器，以準(zhǔn)確率為主進(jìn)行評(píng)估。 整合所有樣本子集上的測(cè)試數(shù)據(jù)取均值與無(wú)特征選擇處理后建立的分類器相比較，并基于隨機(jī)森林算法計(jì)算出的特征重要性評(píng)分，決定最終特征子集的大小，測(cè)試結(jié)果見表1。結(jié)果表明，該模型特征選擇與優(yōu)化能力強(qiáng)，在當(dāng)特征子集的數(shù)量為7 或8 時(shí)，SVC 二分類分類器的泛化性能最佳。

表1 SVC 模型泛化能力與特征數(shù)關(guān)系Tab.1 Relationship between generalization ability and feature number of SVC model

3.1.2 超球體SVM 模型特征選擇與優(yōu)化

樣本子集的選取與SVM 模型調(diào)參與選擇相一致， 分別構(gòu)建14 個(gè)已知攻擊基于部分特征的決策樹，并通過(guò)引入隨機(jī)數(shù)，利用隨機(jī)森林算法得出這些攻擊各自的特征重要性得分排序，代入不同特征子集的數(shù)量，建立對(duì)應(yīng)的分類器模型，并對(duì)測(cè)試集數(shù)據(jù)進(jìn)行預(yù)測(cè)，得出最終得分。 測(cè)試結(jié)果如表2 所示，分別以［10，9，8，7，6，5，4］作為特征子集的數(shù)量進(jìn)行代入，當(dāng)特征子集的數(shù)量為4 時(shí)，分類器泛化性能最佳。 按我們的特征選擇方法能夠有效的提高SVM 分類器的分類效率。

表2 測(cè)試集評(píng)估度量Tab.2 Test set evaluation metrics

3.2 攻擊指令檢測(cè)功能測(cè)試

本次測(cè)試選擇對(duì)事先采集好的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行測(cè)試，測(cè)試用的數(shù)據(jù)集為原始數(shù)據(jù)集中除去之前用于訓(xùn)練和測(cè)試之外的異常流量和正常流量樣本集。

3.2.1 異常流量檢測(cè)測(cè)試

樣本數(shù)據(jù)導(dǎo)入后，在數(shù)據(jù)信息部分會(huì)顯示樣本數(shù)據(jù)集的基本信息，包括數(shù)據(jù)集名稱，樣本數(shù)量以及特征數(shù)量。 對(duì)測(cè)試樣本集進(jìn)行同樣操作，得到正常流量數(shù)量和異常流量數(shù)量。 將10 個(gè)檢測(cè)結(jié)果與測(cè)試集中的標(biāo)識(shí)進(jìn)行比較，得到模型精度如表3 所示，模型平均精度超過(guò)99.9%，滿足設(shè)計(jì)要求。

表3 異常流量檢測(cè)精度Tab.3 Abnormal flow detection accuracy

3.2.2 已知網(wǎng)絡(luò)攻擊檢測(cè)測(cè)試

運(yùn)行已知網(wǎng)絡(luò)攻擊檢測(cè)，導(dǎo)入異常流量檢測(cè)模塊檢測(cè)到的異常流量，并運(yùn)用預(yù)測(cè)模型進(jìn)行已知網(wǎng)絡(luò)攻擊檢測(cè)并標(biāo)識(shí)，對(duì)測(cè)試樣本集進(jìn)行同樣操作，得到已知攻擊的各類和數(shù)量。 將10 個(gè)檢測(cè)結(jié)果與測(cè)試集中的標(biāo)識(shí)進(jìn)行比較，得到模型精度如表4所示。 測(cè)試結(jié)果顯示，模型平均精度超過(guò)99.9%，滿足設(shè)計(jì)要求。

表4 已知網(wǎng)絡(luò)攻擊檢測(cè)精度Tab.4 Known network attack detection accuracy

3.2.3 異常流量檢測(cè)測(cè)試

在已知網(wǎng)絡(luò)攻擊預(yù)測(cè)模型組中刪除一組已知網(wǎng)絡(luò)攻擊預(yù)測(cè)模型，隨后重復(fù)前面兩個(gè)模塊的檢測(cè)過(guò)程，得到新的包含該攻擊樣本數(shù)據(jù)異常流量的測(cè)試數(shù)據(jù)集。 運(yùn)行未知網(wǎng)絡(luò)攻擊檢測(cè)子模塊，此時(shí)系統(tǒng)將自動(dòng)導(dǎo)入包含該攻擊樣本數(shù)據(jù)異常流量的測(cè)試數(shù)據(jù)集，并運(yùn)用預(yù)測(cè)模型進(jìn)行未知網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)與聚類，檢測(cè)結(jié)果如表5 所示。 測(cè)試結(jié)果顯示，對(duì)于一種給位置攻擊的檢測(cè)精度超過(guò)90%，聚類精度超過(guò)80%，具有較好效果。

表5 未知網(wǎng)絡(luò)攻擊檢測(cè)精度Tab.5 Unknown network attack detection accuracy

4 結(jié)語(yǔ)

本文將SVC、超球體SVM、k 均值聚類、手肘法定k 值、回歸決策樹、隨機(jī)森林等算法有機(jī)結(jié)合，引入到電力網(wǎng)絡(luò)指令檢測(cè)模型構(gòu)建過(guò)程中，構(gòu)建全面合理的預(yù)測(cè)模型實(shí)現(xiàn)異常網(wǎng)絡(luò)指令、已知網(wǎng)絡(luò)攻擊指令和未知網(wǎng)絡(luò)攻擊指令的檢測(cè)。 以流量統(tǒng)計(jì)分析為基礎(chǔ)， 構(gòu)建了更為合理的網(wǎng)絡(luò)攻擊指令檢測(cè)技術(shù)，通過(guò)監(jiān)督學(xué)習(xí)算法和無(wú)監(jiān)督學(xué)習(xí)算法有機(jī)結(jié)合完成已知和未知攻擊檢測(cè)，并基于隨機(jī)森林算法進(jìn)行流量特征選擇與優(yōu)化，提高模型構(gòu)建速度、運(yùn)行效率和泛化能力所適合的流量特征，使網(wǎng)絡(luò)數(shù)據(jù)集得到擴(kuò)充，模型得到更新，攻擊檢測(cè)更為準(zhǔn)確。