解 鵬,劉雙峰,張金華,卿 松

(國網(wǎng)新疆電力有限公司,新疆 烏魯木齊 830018)

0 引言

隨著信息技術(shù)與日常工作、學(xué)習(xí)、生活場景的不斷深入融合發(fā)展,電力系統(tǒng)也逐步走向信息化、數(shù)字化,成為現(xiàn)階段各個(gè)企業(yè)發(fā)展所不可缺少部分。但信息化技術(shù)的發(fā)展,使網(wǎng)絡(luò)安全遭受到了極大的威脅。從全球網(wǎng)絡(luò)安全來看,入侵?jǐn)?shù)據(jù)攻擊網(wǎng)絡(luò)節(jié)點(diǎn)、竊取或更改網(wǎng)絡(luò)信息時(shí)有發(fā)生。從國內(nèi)網(wǎng)絡(luò)發(fā)展現(xiàn)狀來看,據(jù)統(tǒng)計(jì),截至2018 年,我國的網(wǎng)民數(shù)量達(dá)到了8.29 億,在網(wǎng)絡(luò)入侵攻擊方面,共截獲網(wǎng)絡(luò)入侵病毒7 786 萬個(gè),網(wǎng)絡(luò)感染病毒次數(shù)達(dá)到了11.25 億次。而電力系統(tǒng)作為國家維護(hù)正常工作、社會(huì)平穩(wěn)運(yùn)行的關(guān)鍵工具,其光傳輸網(wǎng)絡(luò)也面臨著海量病毒入侵的威脅。

基于上述背景,文獻(xiàn)[1]提出基于實(shí)用拜占庭容錯(cuò)(practical byzantine fault tolerance,PBFT)的物聯(lián)網(wǎng)入侵檢測方法,運(yùn)用支持向量機(jī)(support vector machines,SVM)進(jìn)行預(yù)訓(xùn)練,得到入侵檢測判定規(guī)則,并根據(jù)該規(guī)則結(jié)合PBFT 算法實(shí)現(xiàn)節(jié)點(diǎn)狀態(tài)的判斷。文獻(xiàn)[2]建立了一種網(wǎng)絡(luò)攻擊節(jié)點(diǎn)可信度模型,評(píng)判網(wǎng)絡(luò)中的異常節(jié)點(diǎn),解決了虛假數(shù)據(jù)注入攻擊節(jié)點(diǎn)對(duì)鄰居節(jié)點(diǎn)狀態(tài)估計(jì)影響的問題。上述傳統(tǒng)方法只能檢測部分網(wǎng)絡(luò)層中的部分節(jié)點(diǎn)信息,易造成節(jié)點(diǎn)丟失率過高的問題。因此,本文基于區(qū)塊鏈技術(shù)的特點(diǎn),研究電力系統(tǒng)光傳輸網(wǎng)絡(luò)中異常節(jié)點(diǎn)入侵檢測方法。區(qū)塊鏈技術(shù)具有統(tǒng)籌全局網(wǎng)絡(luò)信息的能力,通過獲取端到端所有隨機(jī)網(wǎng)絡(luò)層內(nèi)的所有節(jié)點(diǎn)信息,找出異常節(jié)點(diǎn)的入侵位置[3-4],為光傳輸網(wǎng)絡(luò)的安全使用提供可靠的技術(shù)支持。

1 電力系統(tǒng)光傳輸網(wǎng)絡(luò)異常節(jié)點(diǎn)入侵檢測方法

1.1 獲取光傳輸網(wǎng)絡(luò)的時(shí)序性節(jié)點(diǎn)信息

區(qū)塊鏈技術(shù)通過一個(gè)完整的網(wǎng)絡(luò)結(jié)構(gòu),實(shí)時(shí)監(jiān)聽光傳輸網(wǎng)絡(luò)中具有動(dòng)態(tài)活動(dòng)特征的節(jié)點(diǎn)信息,保證節(jié)點(diǎn)信息具有時(shí)序性和連貫性,形成一個(gè)完整的數(shù)據(jù)監(jiān)測閉環(huán)。區(qū)塊鏈獲取節(jié)點(diǎn)流程如圖1 所示。

圖1 區(qū)塊鏈獲取節(jié)點(diǎn)流程圖Fig.1 Flowchart of obtaining nodes of blockchain

已知區(qū)塊鏈節(jié)點(diǎn)網(wǎng)絡(luò)為對(duì)等網(wǎng)絡(luò)(peer to peer,P2P),其中所有節(jié)點(diǎn)共同維護(hù)區(qū)塊的交易和交換。此次研究的檢測方法,利用區(qū)塊鏈的底層P2P 網(wǎng)絡(luò),同時(shí)設(shè)定網(wǎng)絡(luò)中的節(jié)點(diǎn)為電力系統(tǒng)光傳輸網(wǎng)絡(luò)的所有模塊,令每一模塊在網(wǎng)絡(luò)中均作為一個(gè)平等的節(jié)點(diǎn),并保證這些模塊的權(quán)利相同、義務(wù)一致。當(dāng)一個(gè)新的節(jié)點(diǎn)接入網(wǎng)絡(luò)時(shí),要立即了解網(wǎng)絡(luò)中的其他節(jié)點(diǎn),并執(zhí)行區(qū)塊鏈同步技術(shù)。一旦新節(jié)點(diǎn)試圖加入某個(gè)區(qū)塊鏈網(wǎng)絡(luò)時(shí),就會(huì)向網(wǎng)路中的節(jié)點(diǎn)請求區(qū)塊的完整信息。當(dāng)這種情況發(fā)生時(shí),該網(wǎng)絡(luò)就會(huì)向系統(tǒng)中的中心節(jié)點(diǎn)發(fā)送報(bào)告。當(dāng)該節(jié)點(diǎn)多次試圖進(jìn)入?yún)^(qū)塊鏈時(shí),區(qū)塊鏈就會(huì)將同一時(shí)間內(nèi)具有工作關(guān)聯(lián)的所有網(wǎng)絡(luò)節(jié)點(diǎn)信息發(fā)送給監(jiān)測中心,并判斷此時(shí)網(wǎng)絡(luò)中的區(qū)塊鏈?zhǔn)欠袢鄙賲^(qū)塊頭部信息或完整區(qū)塊數(shù)據(jù)。如區(qū)塊鏈不完整、頭部數(shù)據(jù)量少于區(qū)塊數(shù)量時(shí),證明此時(shí)的網(wǎng)絡(luò)異常,存在節(jié)點(diǎn)入侵的情況。對(duì)此,導(dǎo)出此時(shí)的節(jié)點(diǎn)信息,根據(jù)獲取的光傳輸網(wǎng)絡(luò)時(shí)序性節(jié)點(diǎn)信息,提取節(jié)點(diǎn)特征[5]。

1.2 計(jì)算節(jié)點(diǎn)異常分?jǐn)?shù)并設(shè)置檢測閾值

根據(jù)1.1 節(jié)獲取的完整時(shí)序性節(jié)點(diǎn)信息,提取全部的節(jié)點(diǎn)特征;根據(jù)正常模型中的節(jié)點(diǎn),計(jì)算節(jié)點(diǎn)異常分?jǐn)?shù),以此設(shè)置檢測閾值。根據(jù)區(qū)塊鏈獲得的完整網(wǎng)絡(luò)節(jié)點(diǎn)信息,對(duì)其中的所有節(jié)點(diǎn)進(jìn)行特征提取。假設(shè)特征提取函數(shù)Φf提取節(jié)點(diǎn)i的統(tǒng)計(jì)特征為fi,則存在:

式中:fi為一個(gè)多維向量,其每一維表示節(jié)點(diǎn)i在光傳輸網(wǎng)絡(luò)W中的統(tǒng)計(jì)特征。

對(duì)于所有節(jié)點(diǎn),其統(tǒng)計(jì)特征集合用F=(f1,f2,…,fi,…,fn)表示[6]。

網(wǎng)絡(luò)節(jié)點(diǎn)特征示意圖如圖2 所示。

圖2 網(wǎng)絡(luò)節(jié)點(diǎn)特征示意圖Fig.2 Schematic diagram of network node characteristics

圖2(a)表示光傳輸網(wǎng)絡(luò)中的原始節(jié)點(diǎn)信息,其中包含了4 個(gè)原始節(jié)點(diǎn)。假設(shè)光傳輸網(wǎng)絡(luò)中,大部分節(jié)點(diǎn)的統(tǒng)計(jì)特征存在一定規(guī)律或者空間分布特性,因此將具備該信息的節(jié)點(diǎn)視為正常節(jié)點(diǎn),即i的特征fi存在一定規(guī)律或特定空間分布[7]。而圖2(b)與圖2(c)是可能出現(xiàn)的兩種異常節(jié)點(diǎn)類型。前者是順序節(jié)點(diǎn)的異常;后者是分支節(jié)點(diǎn)的異常。因此,使用異常分?jǐn)?shù)yi表示兩種情況下,節(jié)點(diǎn)i的特征與正常節(jié)點(diǎn)特征之間的偏離程度。異常節(jié)點(diǎn)i與正常節(jié)點(diǎn)之間的特征的差異計(jì)算公式為:

式中:distance(*)為偏離程度計(jì)算函數(shù);Θ為線性擬合。

已知節(jié)點(diǎn)異常分?jǐn)?shù)yi反映節(jié)點(diǎn)偏離正常節(jié)點(diǎn)的偏移量。根據(jù)異常檢測原理,結(jié)合式(2),計(jì)算節(jié)點(diǎn)異常分?jǐn)?shù)值為:

式中:Bi為網(wǎng)絡(luò)邊數(shù);γ為冪律分布的擬合參數(shù);Ni為節(jié)點(diǎn)數(shù)據(jù);max(Bi,)為一定空間內(nèi)異常節(jié)點(diǎn)數(shù)量的最大值;min(Bi,)為一定空間內(nèi)異常節(jié)點(diǎn)數(shù)量的最小值;Δyi為異常節(jié)點(diǎn)與正常節(jié)點(diǎn)之間特征差異的變化范圍;分?jǐn)?shù)值Y反映了此時(shí)光傳輸網(wǎng)絡(luò)中的異常節(jié)點(diǎn)的特征偏移程度。

根據(jù)計(jì)算結(jié)果設(shè)定一個(gè)閾值,設(shè)該閾值為σ。如果分?jǐn)?shù)值Y超過該閾值,則證明該節(jié)點(diǎn)為異常節(jié)點(diǎn):即Y＞σ時(shí),認(rèn)為節(jié)點(diǎn)i是異常節(jié)點(diǎn)[8-9]。

1.3 全連接循環(huán)神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)入侵檢測模式

將設(shè)置的閾值上傳到全連接循環(huán)神經(jīng)網(wǎng)絡(luò)中,設(shè)計(jì)一個(gè)可以對(duì)全體節(jié)點(diǎn)進(jìn)行實(shí)時(shí)動(dòng)態(tài)監(jiān)控的循環(huán)式入侵節(jié)點(diǎn)檢測模式。該檢測模式共包含以下步驟。

①將輸入的特征值數(shù)據(jù)轉(zhuǎn)換成數(shù)值,并將所有特征值縮放到[0,1]區(qū)間內(nèi)。②根據(jù)前向傳播算法,對(duì)網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行類別標(biāo)簽。③計(jì)算節(jié)點(diǎn)特征與閾值σ之間的差值,利用反向傳播的微調(diào)算法,調(diào)節(jié)全連接循環(huán)神經(jīng)網(wǎng)絡(luò)中的共享檢測參數(shù),經(jīng)過數(shù)據(jù)完全迭代獲得詳細(xì)的入侵檢測模式。④將檢測得到的每一條節(jié)點(diǎn)數(shù)據(jù)信息,輸入全連接循環(huán)神經(jīng)網(wǎng)絡(luò)中,逐條分析異常節(jié)點(diǎn)類型;根據(jù)圖2(b)和圖2(c)的形式,區(qū)分異常節(jié)點(diǎn)的入侵類別,實(shí)現(xiàn)全連接循環(huán)神經(jīng)網(wǎng)絡(luò)控制下,對(duì)全網(wǎng)絡(luò)節(jié)點(diǎn)序列信息的循環(huán)檢測[10-11]。

前向傳播算法執(zhí)行類別標(biāo)簽任務(wù)的具體實(shí)現(xiàn)步驟如下。

①數(shù)據(jù)輸入:設(shè)節(jié)點(diǎn)信息為xi(i=1,2,...,N),權(quán)值為A1、A2、A3,偏移量為p,激活函數(shù)J采用sigmoid 函數(shù),分類函數(shù)L采用SoftMax 函數(shù)。

②檢測輸出:xi對(duì)應(yīng)的輸出值為si。

具體的公式為:

式中:di為d時(shí)刻i節(jié)點(diǎn)的信息輸入量;A1為輸入層到隱藏層的權(quán)值;A2為上一時(shí)序隱藏層到當(dāng)前時(shí)序隱藏層的權(quán)值;Ci為隱藏層節(jié)點(diǎn);p1為異常節(jié)點(diǎn)在隱藏層中的偏移量;yi為輸出時(shí)的節(jié)點(diǎn)偏移系數(shù)[12-13];A3為隱藏層到輸出層的權(quán)值;p為異常節(jié)點(diǎn)在輸出層的偏移量,p1、p2根據(jù)yi和閾值σ計(jì)算得出;si為輸出層節(jié)點(diǎn)。

已知全連接循環(huán)神經(jīng)網(wǎng)絡(luò)目標(biāo)函數(shù)為:

式中:T為調(diào)整函數(shù);α為檢測目標(biāo)參數(shù)。

設(shè)調(diào)整率為μ、當(dāng)前迭代次數(shù)為m,已知節(jié)點(diǎn)偏移系數(shù)yi,則權(quán)值微調(diào)算法的實(shí)現(xiàn)步驟如下。

①輸入數(shù)據(jù)信息(xi,si),i=1,2,...,n。

②初始化檢測目標(biāo)α。

③得到微調(diào)后的檢測目標(biāo)α=[A1,A2,A3,p1,p2]。

④通過前向傳播算法計(jì)算xi的輸出值si。

⑤計(jì)算輸出值與標(biāo)簽值之間的交叉熵,其計(jì)算公式如下:

⑥對(duì)于α中每個(gè)網(wǎng)絡(luò)參數(shù)αi,計(jì)算偏導(dǎo)數(shù)ki:

⑦使誤差沿網(wǎng)絡(luò)反向傳播,更新網(wǎng)絡(luò)參數(shù)αi:

最終衡量各地區(qū)基本公共服務(wù)均等化程度，需要用表示不均等程度的統(tǒng)計(jì)指標(biāo)來反映。常用指標(biāo)有基尼系數(shù)、泰爾指數(shù)、變異系數(shù)等統(tǒng)計(jì)指標(biāo)。本文采用使用最普遍的基尼系數(shù)，來衡量各省的公共服務(wù)均等化水平。本文使用的公式為：

⑧若d=m,保存參數(shù)結(jié)束算法;若d＜m,則d=d+1,轉(zhuǎn)向步驟①。

結(jié)合前向傳播算法權(quán)值微調(diào)算法,實(shí)現(xiàn)全連接循環(huán)神經(jīng)網(wǎng)絡(luò)控制下,端到端之間對(duì)異常節(jié)點(diǎn)入侵的循環(huán)檢測。

2 試驗(yàn)測試與結(jié)果分析

為驗(yàn)證基于區(qū)塊鏈技術(shù)的電力系統(tǒng)光傳輸網(wǎng)絡(luò)異常節(jié)點(diǎn)入侵檢測方法的有效性,設(shè)置對(duì)比試驗(yàn):將此次提出檢測方法作為試驗(yàn)組,將基于實(shí)用拜占庭容錯(cuò)的物聯(lián)網(wǎng)入侵檢測方法(對(duì)照組1)和網(wǎng)絡(luò)攻擊節(jié)點(diǎn)可信度模型構(gòu)建方法(對(duì)照組2)作為對(duì)照組。模擬電力系統(tǒng),并設(shè)置光傳輸網(wǎng)絡(luò)中存在3 條節(jié)點(diǎn)異常的數(shù)據(jù)序列,將其分別作為3 組試驗(yàn)測試條件。已知3 組試驗(yàn)測試條件,存在數(shù)量不等的異常節(jié)點(diǎn),通過3 種檢測方法定位異常節(jié)點(diǎn)的空間位置,比較3 種檢測方法的結(jié)果差異。

2.1 試驗(yàn)準(zhǔn)備

模擬數(shù)據(jù)序列中,異常節(jié)點(diǎn)分布在光傳輸網(wǎng)絡(luò)的輸入層、隱藏層以及輸出層中。異常節(jié)點(diǎn)原始分布如圖3 所示。

圖3 異常節(jié)點(diǎn)原始分布圖Fig.3 Original distribution of abnormal nodes

根據(jù)圖3 可知,在該電力系統(tǒng)光傳輸網(wǎng)絡(luò)中共存在四種類型的異常節(jié)點(diǎn),節(jié)點(diǎn)呈現(xiàn)散亂分布的特點(diǎn)。將其作為試驗(yàn)測試條件,分別利用3 種檢測方法,獲取電力系統(tǒng)光傳輸網(wǎng)絡(luò)中,異常節(jié)點(diǎn)在不同網(wǎng)絡(luò)層中的空間位置。

2.2 試驗(yàn)結(jié)果分析

將圖3 中的異常節(jié)點(diǎn)作為試驗(yàn)測試條件,對(duì)比3種檢測方法檢測得到的異常節(jié)點(diǎn)在光傳輸網(wǎng)絡(luò)空間中的所在位置。異常節(jié)點(diǎn)檢測結(jié)果對(duì)比如圖4 所示。

圖4 異常節(jié)點(diǎn)檢測結(jié)果對(duì)比圖Fig.4 Comparison of abnormal node detection results

根據(jù)上述試驗(yàn)結(jié)果可知,試驗(yàn)組不僅能夠檢測出不同類型的異常節(jié)點(diǎn),而且能夠?qū)Ξ惓９?jié)點(diǎn)按照類型進(jìn)行劃分,劃分結(jié)果較為清晰。而對(duì)照組1 的檢測結(jié)果中部分異常節(jié)點(diǎn)丟失,并且不能對(duì)節(jié)點(diǎn)進(jìn)行有效分類。對(duì)照組2 檢測結(jié)果中雖然異常節(jié)點(diǎn)丟失的情況得到了緩解,但是不能對(duì)節(jié)點(diǎn)進(jìn)行有效分類。

根據(jù)上述試驗(yàn)結(jié)果可知,面對(duì)異常節(jié)點(diǎn)較多的網(wǎng)絡(luò),試驗(yàn)組還是可以準(zhǔn)確定位網(wǎng)絡(luò)中的異常節(jié)點(diǎn)位置,并按照不同的類型進(jìn)行節(jié)點(diǎn)劃分;而對(duì)照組1 和對(duì)照組2 則丟失了大量的異常節(jié)點(diǎn)。

對(duì)比三種檢測方法在進(jìn)行異常節(jié)點(diǎn)定位時(shí)所丟失的異常節(jié)點(diǎn)數(shù)量,并計(jì)算三種方法的節(jié)點(diǎn)丟失率。節(jié)點(diǎn)丟失率統(tǒng)計(jì)結(jié)果如表1 所示。

表1 節(jié)點(diǎn)丟失率統(tǒng)計(jì)結(jié)果Tab.1 Statistical results of node loss rate

根據(jù)表1 的計(jì)算可知:試驗(yàn)組在多次測試中,節(jié)點(diǎn)丟失率最高值僅為3.06%;而對(duì)照組1 在多次測試中,其節(jié)點(diǎn)丟失率最高值為23.25%;對(duì)照組2 在多次測試中,節(jié)點(diǎn)丟失率均值達(dá)到了15.23%。由此可見,傳統(tǒng)方法確實(shí)遺失了大量的異常節(jié)點(diǎn),導(dǎo)致檢測結(jié)果嚴(yán)重偏離實(shí)際。那些隱藏起來并沒有被發(fā)現(xiàn)的異常節(jié)點(diǎn),會(huì)嚴(yán)重威脅光傳輸網(wǎng)絡(luò)的使用安全,嚴(yán)重時(shí)可能造成泄密事件。本文研究方法可以有效檢測出網(wǎng)絡(luò)空間中的異常節(jié)點(diǎn),對(duì)其進(jìn)行有效劃分,并且節(jié)點(diǎn)丟失率較低。由此說明,本文方法可以確保電力系統(tǒng)及時(shí)修復(fù)異常節(jié)點(diǎn),防止網(wǎng)絡(luò)被病毒入侵,維護(hù)光傳輸網(wǎng)絡(luò)的使用安全。

3 結(jié)論

電力系統(tǒng)光傳輸網(wǎng)絡(luò)端到端的特殊網(wǎng)絡(luò)模式下,傳統(tǒng)的異常節(jié)點(diǎn)入侵檢測方法不能有效檢測所有網(wǎng)絡(luò)層內(nèi)的節(jié)點(diǎn)信息,導(dǎo)致節(jié)點(diǎn)丟失率過高,影響電力系統(tǒng)中光傳輸網(wǎng)絡(luò)的使用安全。本文研究的網(wǎng)絡(luò)異常節(jié)點(diǎn)入侵檢測方法,根據(jù)區(qū)塊鏈技術(shù)獲得網(wǎng)絡(luò)端到端之間一個(gè)完整的時(shí)序性節(jié)點(diǎn)信息,通過建立一套循環(huán)式的檢測模式,獲取全網(wǎng)絡(luò)中的所有異常節(jié)點(diǎn),實(shí)現(xiàn)對(duì)電力系統(tǒng)中光傳輸網(wǎng)絡(luò)的全局性異常節(jié)點(diǎn)入侵檢測。但是受學(xué)術(shù)水平和自身能力的限制,給出的試驗(yàn)測試變量較少。今后的研究與分析還需要加強(qiáng)自身的實(shí)際操作能力,通過設(shè)置更多組試驗(yàn)條件加強(qiáng)對(duì)檢測方法可靠程度的說明,增強(qiáng)試驗(yàn)結(jié)果的說服力。