左娟娟，陳宇民，朱紅杰，彭文英，黃桂雪

（云南電網(wǎng)有限責(zé)任公司保山供電局，云南保山 678000）

在特高壓直流輸電線路發(fā)展中，隨著輸電能力的日益增加，一旦發(fā)生故障，將會危及接收系統(tǒng)的頻譜穩(wěn)定性。同時，受到新能源大量開發(fā)影響，電力系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)變得十分復(fù)雜。伴隨電力系統(tǒng)的快速發(fā)展，其運行情況也越來越復(fù)雜，各種設(shè)備的數(shù)量也越來越多。因此，提高入侵檢測效率具有十分重要的意義。對電力系統(tǒng)網(wǎng)絡(luò)入侵檢測能夠使網(wǎng)絡(luò)被攻擊之前，對內(nèi)部、外部和錯誤操作進行實時防御，并對其進行有效地攔截和防御。當前，采用了一種基于深度學(xué)習(xí)的方法，由于該方法的網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，能夠在原數(shù)據(jù)集上進行多次轉(zhuǎn)換，全部高維特征都能被提取出來，由此形成分層的特征。這種結(jié)構(gòu)由多個受限玻爾茲曼堆疊組成，在某些條件下，受限玻爾茲曼機器能夠通過隱蔽節(jié)點來擬合數(shù)據(jù)分布，使其滿足節(jié)點隨意分布的要求。然而，隨著需要隱蔽節(jié)點數(shù)量的持續(xù)增加，在進行深度學(xué)習(xí)時容易產(chǎn)生過度擬合[1]；使用基于隨機森林的網(wǎng)絡(luò)入侵檢測方法，可以有效降低各個特征區(qū)域的噪聲，同時也可以消除相關(guān)性，使得攻擊更加快速和簡單[2]。然而，這種方法在隨機選擇參數(shù)時，會使訓(xùn)練效果不佳，從而導(dǎo)致訓(xùn)練的結(jié)果不理想。為此，在基于深度置信網(wǎng)絡(luò)技術(shù)支持下，對電力系統(tǒng)網(wǎng)絡(luò)入侵情況進行檢測。

1 入侵檢測模型構(gòu)建

電力系統(tǒng)與網(wǎng)絡(luò)連接，導(dǎo)致電網(wǎng)設(shè)備噪聲惡意訪問、篡改私密信息的情況大量增加。面對這一現(xiàn)象，結(jié)合深度置信網(wǎng)絡(luò)提出了入侵檢測方法[3]。然后，采用深度置信網(wǎng)絡(luò)分析了電力系統(tǒng)的頻譜，將其看成是一個輸入-輸出的數(shù)學(xué)模型。

可以將輸入采樣數(shù)據(jù)組描述為：

式中，i表示選取特征值的類別總數(shù)；j表示輸入樣本的數(shù)量[4]。輸出采樣集對應(yīng)于每個行為一個輸出采樣的輸入采樣，可以描述如下：

式中，y表示輸出樣本對應(yīng)的元素數(shù)量。

根據(jù)輸入和輸出的數(shù)據(jù)，構(gòu)建入侵檢測模型，如圖1 所示。

圖1 電力系統(tǒng)網(wǎng)絡(luò)入侵檢測模型

由圖1 可知，該模型是由數(shù)據(jù)信息采集模塊、入侵分析引擎和用戶界面與預(yù)警模塊組成的[5]。其中數(shù)據(jù)信息采集模塊是利用網(wǎng)絡(luò)抓包技術(shù)對電力系統(tǒng)中的IP 包進行采集，然后按協(xié)議層次對IP 包進行分析，從而獲得整個電網(wǎng)的IP 數(shù)據(jù)[6]；入侵分析引擎是由電網(wǎng)數(shù)據(jù)分析引擎、調(diào)用分析引擎和用戶行為分析引擎組成的，其中電網(wǎng)數(shù)據(jù)分析引擎主要目的是監(jiān)測電網(wǎng)是否受到了攻擊。調(diào)用分析引擎負責(zé)監(jiān)測電網(wǎng)中調(diào)用序列是否發(fā)生異常，及時判斷可疑入侵行為[7]；用戶行為分析引擎負責(zé)檢測來自外部的攻擊行為。

2 基于深度置信網(wǎng)絡(luò)的入侵檢測

2.1 基于深度置信網(wǎng)絡(luò)的模型訓(xùn)練

深度置信網(wǎng)絡(luò)處理模塊主要是對預(yù)處理模塊中的數(shù)據(jù)進行無監(jiān)督學(xué)習(xí)，以及對高維數(shù)據(jù)的處理和提取[8]。在訓(xùn)練模式中，深度置信網(wǎng)絡(luò)主要包括兩個步驟：

第一步：在每個層次上，對每個層次的深度置信度進行訓(xùn)練，保證了在將特征矢量映射到各個特征空間的同時，盡可能地保留全部特征信息[9]。

第二步：利用深度置信度網(wǎng)絡(luò)的特征矢量作為輸入矢量，對有監(jiān)督的實體分類進行訓(xùn)練。由于每個層次的特征向量都需要進行一次訓(xùn)練，所以應(yīng)確保其權(quán)值與層次的特征矢量相匹配，達到全局最優(yōu)的目的。

深度置信網(wǎng)絡(luò)求解示意圖如圖2 所示。

圖2 深度置信網(wǎng)絡(luò)求解示意圖

由圖2 可知，利用深度置信網(wǎng)絡(luò)求解就是為了保證自身權(quán)值對特征向量映射為最優(yōu)，即訓(xùn)練結(jié)果為最優(yōu)[10-12]。

設(shè)在模型中存在l個隱層結(jié)構(gòu)，xi個入侵檢測樣本，k個隱層單元，深度置信網(wǎng)絡(luò)訓(xùn)練步驟如下所示：

步驟1：初始化數(shù)據(jù)；

步驟2：訓(xùn)練第一層結(jié)構(gòu)，獲取數(shù)據(jù)訓(xùn)練結(jié)果、權(quán)值和偏置值[13]；

步驟3：利用步驟2 中獲取的數(shù)據(jù)作為第二層結(jié)構(gòu)的輸入值，訓(xùn)練第二層的結(jié)構(gòu)；

步驟4：訓(xùn)練1～l層深度置信網(wǎng)絡(luò)[14]；

步驟5：使用反向傳播法調(diào)整各個層次的權(quán)值和偏置值；

步驟6：將第l層的全部特征及第l-1 層的部分特征整合，并將整合后的結(jié)果傳輸?shù)较乱徊剑?/p>

步驟7：整合特征數(shù)據(jù)成為深度置信網(wǎng)絡(luò)的訓(xùn)練數(shù)據(jù)，從而完成模型訓(xùn)練。

2.2 電力系統(tǒng)網(wǎng)絡(luò)入侵檢測

深度置信網(wǎng)絡(luò)求解模式支持下，設(shè)計入侵檢測過程，如下所示。

步驟1：為構(gòu)造受限玻爾茲曼機，必須將稀疏正項引入受限玻爾茲曼機似然函數(shù)。受限玻爾茲曼機本質(zhì)上是一種隨機神經(jīng)網(wǎng)絡(luò)，其神經(jīng)元和可見層中神經(jīng)元之間沒有關(guān)聯(lián)，但在隱藏層中卻有神經(jīng)元節(jié)點[15]。當可見層神經(jīng)元的節(jié)點已被確定時，所有的隱藏節(jié)點都是有條件的。在已知隱藏節(jié)點情況下，保證每層的節(jié)點都具有相對獨立性。

受限玻爾茲曼機結(jié)構(gòu)示意圖如圖3 所示。

圖3 受限玻爾茲曼機結(jié)構(gòu)示意圖

圖3 中所示的受限玻爾茲曼機由四個可視層和兩個隱藏層組成。

步驟2：利用深度置信度網(wǎng)絡(luò)對玻爾茲曼機進行訓(xùn)練，得到了稀疏約束下的數(shù)據(jù)集稀疏分布結(jié)果[16]；

步驟3：判斷受限玻爾茲曼機的訓(xùn)練次數(shù)是否達到訓(xùn)練閾值，如果達到，則進入下一步，否則，轉(zhuǎn)到步驟1；

步驟4：將經(jīng)過訓(xùn)練的連續(xù)受限玻爾茲曼機疊加，并在其上加入一種逆向傳輸神經(jīng)網(wǎng)絡(luò)，從而形成一個經(jīng)過優(yōu)化的連續(xù)受限玻爾茲曼機器，用于分類；

步驟5：利用反向傳播算法對受限玻爾茲曼機的連續(xù)有限元模型進行了反向微調(diào)，得到了一個經(jīng)過訓(xùn)練的受限玻爾茲曼機模型。

假設(shè)該模型由n個可見神經(jīng)元節(jié)點和m個隱藏神經(jīng)元節(jié)點組成，可視層和隱藏層通過聯(lián)合協(xié)作實現(xiàn)功能，相應(yīng)公式為：

式中，αi、λi分別表示可視層的狀態(tài)值和節(jié)點偏置；βj、δj表示分別表示隱藏層的狀態(tài)值、節(jié)點偏置；wij表示層的連接權(quán)值。

每個層的神經(jīng)元節(jié)點之間存在能量，當確定各個參數(shù)后，通過上述公式能夠推導(dǎo)出兩層的聯(lián)合概率分布，公式為：

式中，C為歸一化因子。

基于此，構(gòu)建能量模型，如下所示：

結(jié)合式（5）快速學(xué)習(xí)測試集，能夠獲取每個測試集下的全部測試數(shù)據(jù)，即可獲取全部入侵種類。

電力系統(tǒng)網(wǎng)絡(luò)的自動化設(shè)備或斷路器有可能被黑客入侵，一旦入侵，網(wǎng)絡(luò)就會處于十分危險的狀況?；谠撉闆r，構(gòu)建入侵檢測目標函數(shù)，如下所示：

式中，D(t)、G(t)、P′(t)分別表示網(wǎng)絡(luò)設(shè)備在電力系統(tǒng)中重要比例、網(wǎng)絡(luò)設(shè)備使用年限對網(wǎng)絡(luò)危險影響程度、網(wǎng)絡(luò)設(shè)備平均故障率。

上述公式就是電力系統(tǒng)網(wǎng)絡(luò)入侵的判斷目標函數(shù)，結(jié)合深度置信網(wǎng)絡(luò)的最優(yōu)求解步驟實現(xiàn)電力系統(tǒng)網(wǎng)絡(luò)入侵檢測。

3 實驗分析

3.1 實驗數(shù)據(jù)集

電力系統(tǒng)網(wǎng)絡(luò)入侵頻率反映了電力系統(tǒng)網(wǎng)絡(luò)設(shè)備輸出功率與負荷之間關(guān)系，在網(wǎng)絡(luò)受到攻擊時，如果系統(tǒng)不及時采取保護措施，就會導(dǎo)致系統(tǒng)工作不穩(wěn)定。在該實驗情況下，實驗數(shù)據(jù)的特征集如表1所示。

表1 實驗數(shù)據(jù)特征集

訓(xùn)練表1 中的數(shù)據(jù)特征集，分析電力系統(tǒng)受到入侵后對輸出頻率的影響，結(jié)果如圖4 所示。

圖4 電力系統(tǒng)受到入侵后輸出頻率分析

由圖4 可知，電力系統(tǒng)在4～6 s 時間內(nèi)受到入侵影響，輸出頻率下降，隨后驟然上升，容易出現(xiàn)電力系統(tǒng)網(wǎng)絡(luò)設(shè)備負載不均衡現(xiàn)象。

3.2 實驗標準

以上述的八個實驗數(shù)據(jù)集為研究對象，計算入侵數(shù)據(jù)正確識別率，公式為：

式中，Nt表示正確識別入侵檢測數(shù)據(jù)量；Ms表示輸入的入侵數(shù)據(jù)測試總量。該公式計算結(jié)果越大，說明檢測精準度越高。

3.3 實驗結(jié)果與分析

當電力系統(tǒng)網(wǎng)絡(luò)受到黑客入侵后，分別使用基于深度學(xué)習(xí)方法、基于隨機森林方法和基于深度置信網(wǎng)絡(luò)的檢測方法，對比分析系統(tǒng)輸出頻率，對比結(jié)果如圖5 所示。

圖5 不同方法輸出頻率對比分析

由圖5 可知，使用基于深度學(xué)習(xí)的入侵檢測方法、基于隨機森林的網(wǎng)絡(luò)入侵檢測方法輸出頻率波動情況與圖4 所示波形不一致，且出現(xiàn)很多峰值；使用基于深度置信網(wǎng)絡(luò)的入侵檢測方法輸出頻率波動情況與圖4 所示波形一致，且波形平滑。

為了進一步驗證用基于深度置信網(wǎng)絡(luò)的入侵檢測方法研究合理性，需再次將這三種方法的入侵數(shù)據(jù)正確識別率進行對比分析，對比結(jié)果如表2 所示。

表2 三種方法入侵數(shù)據(jù)識別結(jié)果對比分析

由表2 可知，使用基于深度學(xué)習(xí)的入侵檢測方法、基于隨機森林的網(wǎng)絡(luò)入侵檢測方法分別與實際數(shù)據(jù)存在最大為275 類、490 類的誤差；使用基于深度置信網(wǎng)絡(luò)的入侵檢測方法與實際數(shù)據(jù)存在最大為10 類的誤差。

通過上述分析結(jié)果可知，使用所研究方法能夠獲取精準檢測結(jié)果。

4 結(jié)束語

結(jié)合深度置信網(wǎng)絡(luò)，文中提出了一種入侵檢測方法，該方法面對電力系統(tǒng)在各個領(lǐng)域不斷得到廣泛應(yīng)用的情況下，構(gòu)建電力系統(tǒng)網(wǎng)絡(luò)入侵檢測模型，在深度置信網(wǎng)絡(luò)下經(jīng)過快速學(xué)習(xí)獲取每條測試數(shù)據(jù)的入侵類別。該方法通過反復(fù)實驗，證明了這種檢測方法能夠在全局最優(yōu)的情況下，有效地檢測出入侵類別。