原 軍，張 凱，藥 煒，張 源

(國網(wǎng)山西省電力公司太原供電公司，山西 太原 030012)

0 引言

電網(wǎng)技術(shù)的發(fā)展要求通信系統(tǒng)不斷滿足其發(fā)展要求，在通信網(wǎng)絡(luò)更加復(fù)雜的同時，通信網(wǎng)絡(luò)所面臨的危險也更加嚴峻，容易遭到網(wǎng)絡(luò)攻擊。當前的網(wǎng)絡(luò)防御是保證電網(wǎng)以及通信網(wǎng)絡(luò)安全運行的關(guān)鍵。流量異常檢測作為網(wǎng)絡(luò)內(nèi)防的重要手段，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，并采取相應(yīng)措施，阻斷攻擊的進程，對網(wǎng)絡(luò)的安全運行有著十分重要的意義。

目前,針對電力系統(tǒng)通信流量異常檢測的文獻主要集中在檢測方法上，文獻[1]提出了一種基于時-頻域混合特征的變電站通信網(wǎng)異常流量檢測方法；文獻[2]研究了大數(shù)據(jù)背景的光纖通信流量異常辨識；文獻[3]提出了一種基于隨機矩陣譜偏離度的微網(wǎng)狀態(tài)感知方法；文獻[4]針對基于隱蔽異常流量的網(wǎng)絡(luò)通信傳輸安全檢測進行了研究；文獻[5]設(shè)計了基于特征庫識別法的移動通信網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)；文獻[6]研究了配電通信網(wǎng)流量異常檢測方法。上述文獻提出的流量異常檢測技術(shù)大多利用了大數(shù)據(jù)等信息技術(shù)，能夠在流量異常檢測的具體方面有針對性地實現(xiàn)檢測，但是在流量特征分析方面還有待繼續(xù)深入研究。

目前,針對機器學(xué)習(xí)等方法在電力系統(tǒng)中應(yīng)用逐漸增多，有網(wǎng)損分析[7]、輸電系統(tǒng)監(jiān)控系統(tǒng)[8-9]、故障診斷[10-11]等。機器學(xué)習(xí)如果應(yīng)用于流量檢測則可以提升檢測的效果。

為此，本文提出了電力分組交換光網(wǎng)絡(luò)流量檢測方法。通過對傳統(tǒng)流量特征以及檢測方法的歸納總結(jié)，提出了基于機器學(xué)習(xí)的優(yōu)先級調(diào)度算法，能夠利用隊列優(yōu)先、數(shù)據(jù)包優(yōu)先和空間路由等信息實現(xiàn)流量異常檢測。

1 電力通信網(wǎng)絡(luò)及其流量特征

1.1 電力通信網(wǎng)絡(luò)特征

電力通信網(wǎng)絡(luò)與電力系統(tǒng)的發(fā)電、輸電、變電、配電等過程相對應(yīng)，是電力系統(tǒng)基礎(chǔ)物理設(shè)施與高層服務(wù)對象的緊密連接，能夠傳輸電力系統(tǒng)相關(guān)的數(shù)據(jù)以及各類業(yè)務(wù)。現(xiàn)階段，在智能電網(wǎng)背景下，電力通信網(wǎng)絡(luò)的智能化水平逐漸提高，引入了同步數(shù)字序列SDH、多業(yè)務(wù)傳輸平臺MSTP、光傳輸網(wǎng)OTN和波分復(fù)用WDM等技術(shù)。

電力系統(tǒng)通信網(wǎng)絡(luò)按照功能分類分為骨干通信網(wǎng)、配電通信網(wǎng)和用電通信網(wǎng)，3種網(wǎng)絡(luò)的組網(wǎng)通信方式略有差別，但網(wǎng)架結(jié)構(gòu)相似，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 電力通信網(wǎng)絡(luò)結(jié)構(gòu)

1.2 流量特征獲取方式

網(wǎng)絡(luò)流量特征需要進行相應(yīng)的獲取方式，通過挖掘數(shù)據(jù)特征，對網(wǎng)絡(luò)流數(shù)據(jù)進行分析和處理，其流程如圖2所示，通過網(wǎng)絡(luò)數(shù)據(jù)流的獲取得到數(shù)據(jù)分析特征，通過特征進一步選擇相應(yīng)的數(shù)據(jù)流，將不同的數(shù)據(jù)流進行融合之后達到異常識別的目的。

圖2 網(wǎng)絡(luò)流異常識別流程

1.3 網(wǎng)絡(luò)流量特征

在傳統(tǒng)資源調(diào)度算法中，所有流量都無差別視為相等。但是，針對電力分組交換光網(wǎng)絡(luò)，內(nèi)部數(shù)據(jù)中心的流量包括老鼠流和大象流，大象流和老鼠流具有不同的特征。

有學(xué)者研究指出，數(shù)據(jù)包在內(nèi)部數(shù)據(jù)中心的長度以及流量可能服從相應(yīng)的分布。因此，在這種情況下，需要匹配以太網(wǎng)最小或最大的網(wǎng)絡(luò)環(huán)境長度進行進一步分析。由此可見，有效的調(diào)度算法能夠區(qū)分流量的差異，并且實現(xiàn)流量資源的高效配置。因此，流量異常檢測在資源配置算法中起到關(guān)鍵作用。

2 電力分組交換光網(wǎng)絡(luò)

2.1 流量檢測方法

本文提出了電力分組交換光網(wǎng)絡(luò)的架構(gòu)。電力分組交換光網(wǎng)絡(luò)架構(gòu)的核心為陣列波導(dǎo)光柵路由(AWGR)，可以實現(xiàn)波長范圍內(nèi)沖突的高速光解決方案。在分組交換光網(wǎng)絡(luò)中，若干服務(wù)器與假定交換機相連接，這類架頂(ToR)交換機之間是通過基于陣列波導(dǎo)光柵的交換網(wǎng)絡(luò)進行連接的。每一個ToR交換機都與入口和出口模塊相連，能夠?qū)崿F(xiàn)幀操作。入口模塊包括若干虛擬輸出序列，其目標為ToR交換機。幀操作能夠?qū)σ蕴珨?shù)據(jù)包進行包裝，從而形成光幀。光交換機能夠利用快速波長光源對來自入口模塊的光幀進行傳輸。每個光幀進入包塊擁有1×m維度的空間交換機，能夠與m個AWGR相連，每個AWGR能夠具有針對性地傳輸光光幀值為n/m的出口單元，其中n為光幀數(shù)目。

通過對ToR配置1×m維的路由來擴大路由端口的數(shù)量，如圖3所示。分組光交換網(wǎng)絡(luò)能夠通過中心控制解耦結(jié)構(gòu)控制平面和數(shù)據(jù)，從而實現(xiàn)控制器專屬工作方式，能夠簡化ToR的工作方式，實現(xiàn)其針對數(shù)據(jù)交換包的單獨執(zhí)行。另一方面，控制器可以實現(xiàn)資源的高效利用，從而更好地調(diào)度光幀路由資源。由于ToR并不需要將信號包發(fā)送至其他路由，因此，可以通過高效的調(diào)度決策減小路由延時。

圖3 電力分組光交換網(wǎng)絡(luò)

在入口側(cè)，服務(wù)器生成原始電力以太網(wǎng)IP數(shù)據(jù)包，該數(shù)據(jù)包由ToR路由器進行收集，并發(fā)送至相應(yīng)的集成入口模塊。電力通信數(shù)據(jù)包會被放置于虛擬輸出隊列(VoQ)，能夠以出口模塊為目的地，并對數(shù)據(jù)包進行打包。對于入口模塊，中央控制器可以決定VoQ是否需要打包為光幀。當入口模塊從控制平面分配了傳輸任務(wù)時，將會發(fā)送此光幀至下一個時間窗口。同時，空間路由將會根據(jù)相應(yīng)的AWGR進行配置，從而實現(xiàn)數(shù)據(jù)包的成功傳送，最終到達出口模塊。當數(shù)據(jù)包到達出口模塊時，進行下一步操作，使得數(shù)據(jù)包到達目標服務(wù)器。

數(shù)據(jù)包的傳輸在服務(wù)器之間是直接進行的，因此，需要對數(shù)據(jù)服務(wù)器集群進行調(diào)度。其中考慮到時隙，入口模塊需要決定可以傳輸數(shù)據(jù)包的VoQ，并且出口模塊需要確定其對應(yīng)的入口模塊，從而實現(xiàn)光幀的接收。如果對這類資源不加以調(diào)度，將會發(fā)生入口模塊和出口模塊的沖突，從而不能夠同時傳輸數(shù)據(jù)?？紤]到這類沖突，在此時隙不會有任何傳輸行為，因此，將會浪費帶寬資源。為了解決這一問題，需要對電力分組光交換網(wǎng)絡(luò)進行有效的調(diào)度。

2.2 光網(wǎng)絡(luò)流量異常檢測與態(tài)勢感知

流量異常檢測能夠分析電力系統(tǒng)通信網(wǎng)絡(luò)中的數(shù)據(jù)參數(shù)、信道參數(shù)、時延參數(shù)和網(wǎng)絡(luò)吞吐量參數(shù)等。能夠有效分析通信網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，將孤立分散的靜態(tài)拓撲網(wǎng)絡(luò)，形成動態(tài)關(guān)聯(lián)的數(shù)據(jù)網(wǎng)絡(luò)。

流量異常檢測是通信網(wǎng)絡(luò)拓撲態(tài)勢感知中的一種手段，能夠通過相應(yīng)的數(shù)據(jù)處理技術(shù)，形成對通信網(wǎng)絡(luò)重要指征的評判和量測。通過這類數(shù)據(jù)的演變關(guān)系，能夠提前預(yù)測通信網(wǎng)絡(luò)拓撲結(jié)構(gòu)變化趨勢。由于目前通信網(wǎng)絡(luò)的安全態(tài)勢，感知發(fā)展還不成熟，通信網(wǎng)絡(luò)的安全性能、網(wǎng)絡(luò)系統(tǒng)的脆弱性和外部威脅均可以通過異常流量檢測進行識別，能夠提升全網(wǎng)安全防御的性能，并且構(gòu)建安全防御體系。

通過網(wǎng)絡(luò)的流量數(shù)據(jù)異常檢測能夠?qū)崿F(xiàn)數(shù)據(jù)和模型的進一步豐富，通過訓(xùn)練得到的數(shù)據(jù)可以實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的預(yù)測。在電力系統(tǒng)態(tài)勢感知不斷發(fā)展的同時，通信網(wǎng)絡(luò)也不斷演化，感知成為了輔助電力系統(tǒng)通信的重要手段。需要結(jié)合目前不同層次、不同屬性的流量數(shù)據(jù)實現(xiàn)這一目標。

3 電力分組交換光網(wǎng)絡(luò)流量特征

3.1 流量檢測方法

傳統(tǒng)流量檢測方法主要基于網(wǎng)絡(luò)內(nèi)監(jiān)測和采樣，這種方法是考慮到網(wǎng)絡(luò)流量行為受到端點應(yīng)用生成數(shù)據(jù)的影響，并且與網(wǎng)絡(luò)內(nèi)部的擁塞無關(guān)。在現(xiàn)代通信控制系統(tǒng)中，對端主機運行系統(tǒng)針對應(yīng)用的行為具有更好的可視性。因此，在這種情況下可以替代網(wǎng)內(nèi)監(jiān)測器。目前，已有學(xué)者提出Mahout的對端服務(wù)器檢測方法[12]。這種算法具有良好的緩沖性能，但是高度依賴閾值的選擇。因此，針對流量較為豐富的數(shù)據(jù)中心則適用性不高。

本文提出利用機器學(xué)習(xí)的流量監(jiān)測方法，實現(xiàn)對分組交換光網(wǎng)絡(luò)模塊進行流量監(jiān)測。首先，考慮到大象流在實際捕捉過程中，具有更多可觀測的特性，如大量數(shù)據(jù)包、大量字節(jié)和長時限等；其次，基于機器學(xué)習(xí)的方法具有更強的操作性，通過相應(yīng)的結(jié)構(gòu)算法能夠應(yīng)用于數(shù)據(jù)分析中。

目前，監(jiān)督[13]和無監(jiān)督機器學(xué)習(xí)是主流的2種流量分類方法。無監(jiān)督機器學(xué)習(xí)主要利用數(shù)據(jù)的自然特性，從而實現(xiàn)算法的內(nèi)部優(yōu)化[14]。無監(jiān)督的機器學(xué)習(xí)主要有k均值法，這類方法能夠善于發(fā)現(xiàn)輸入數(shù)據(jù)的主要特點。這類方法能夠通過對某類距離進行相應(yīng)的特性分析，將歐幾里得空間分為若干組。無監(jiān)督的機器學(xué)習(xí)還能夠模擬數(shù)據(jù)的分布以及結(jié)構(gòu)。因此，算法在求解和發(fā)展過程中能夠發(fā)現(xiàn)數(shù)據(jù)的關(guān)鍵信息。

相比之下，監(jiān)督的機器學(xué)習(xí)能夠創(chuàng)造支持相應(yīng)預(yù)定類的數(shù)據(jù)結(jié)構(gòu)，這樣的機器學(xué)習(xí)方法能夠有效針對收集到的樣本信息進行分析。在實際過程中，監(jiān)督機器學(xué)習(xí)主要關(guān)注輸入和輸出關(guān)系的建模，其主要目的是發(fā)現(xiàn)輸入和輸出特性的映射關(guān)系。這2類是機器學(xué)習(xí)重要的過程，即訓(xùn)練和測試。訓(xùn)練階段主要對已提供的數(shù)據(jù)進行檢測，構(gòu)建分類模型。測試階段主要利用該模型進行分類操作。測試過程還能夠利用數(shù)據(jù)集合進行標簽操作。主流的監(jiān)督學(xué)習(xí)算法包括樸素貝葉斯樹、樸素貝葉斯離散和樸素貝葉斯核密度估計等。

3.2 優(yōu)先級調(diào)度算法

提出利用優(yōu)先級調(diào)度算法，將最長隊列優(yōu)先、最大數(shù)量數(shù)據(jù)包優(yōu)先、最舊數(shù)據(jù)包優(yōu)先、最小空間路由優(yōu)先這4種優(yōu)先形式指定至VoQ。

首先，入口模塊得到n個VoQ狀態(tài)信息的優(yōu)先指標，計算式為

Wij=lijwl+pijwp+dijwd+sijws

(1)

Wij為第j個出口模塊對應(yīng)的入口模塊i的VoQ的優(yōu)先級；lij為VoQ長度；pij為VoQ數(shù)據(jù)包數(shù)量；dij為VoQ最早數(shù)據(jù)包延時；wl、wp、wd、ws為權(quán)重因數(shù)；sij為布爾變量。

然后，入口模塊選擇第1個非空VoQ作為最高的優(yōu)先級，并且將相應(yīng)的需求發(fā)送至相對應(yīng)的出口模塊。之后，出口模塊將不同的入口模塊發(fā)送的數(shù)據(jù)進行收集，選擇優(yōu)先級最高的請求發(fā)送至入口調(diào)度端。最終入口模塊選擇出口模塊給出請求的排序。如果有多個排序選擇，則最高優(yōu)先級的首先執(zhí)行。在整個調(diào)度過程中，執(zhí)行過程在中央控制器是獨立進行的，考慮到計算的時間，執(zhí)行每一個時隙過程是不實際的。因此，需要以周期進行操作。每個模塊僅僅將第n個VoQ的狀態(tài)、統(tǒng)計信息發(fā)送至中心服務(wù)器，并且將數(shù)據(jù)包進行傳輸。

如前所述，本文將大象流和老鼠流處理為不同的對象。因此，應(yīng)當根據(jù)流量的種類進行權(quán)重劃分。例如，在VoQ中，主要是以老鼠流為主要的情況下，權(quán)重wp將會比wl更大。因此，算法能夠周期性、動態(tài)性地更新權(quán)重，從而反映流量的具體特征。

3.3 流量檢測仿真分析

根據(jù)本文所提的優(yōu)先級調(diào)度算法，流量異常檢測方法流程如圖4所示。

圖4 流量異常檢測流程

利用本文的優(yōu)先級調(diào)度方法，以典型通信網(wǎng)絡(luò)架構(gòu)為仿真平臺，研究不同系數(shù)下平均時延的結(jié)果，得到結(jié)果如圖5所示。圖5中PA閾值即為優(yōu)先級調(diào)度算法得到的下限值。可以看出，隨著負載的增長，改變wl、wp對平均時延的影響是不一樣的，其中wl的影響更大，二者均比本文優(yōu)先級調(diào)度方法的延時大。

圖5 流量異常檢測平均時延

與Mahout方法進行丟包率的對比分析，得到結(jié)果如圖6所示。

圖6 流量異常檢測丟包率對比

可以看出，隨著負載的增加，本文優(yōu)先級調(diào)度方法的丟包率要低于Mahout方法，并且增長速率較Mahout方法更低。說明了本文方法能夠在電力分組交換光網(wǎng)絡(luò)檢測中起到更好的效果。

4 結(jié)束語

流量異常檢測對于電力系統(tǒng)通信網(wǎng)絡(luò)十分關(guān)鍵?；跈C器學(xué)習(xí)的通信網(wǎng)絡(luò)異常流量檢測方法能夠有效提升異常數(shù)據(jù)的檢測效率。本文針對分組交換的光網(wǎng)絡(luò)進行了分析，所提的方法能夠有效提升電力系統(tǒng)態(tài)勢感知和異常檢測的能力。優(yōu)先級調(diào)度算法能夠根據(jù)數(shù)據(jù)包的類型進行優(yōu)先排序，通過不同的權(quán)重對流量進行處理，從而實現(xiàn)異常流量的檢測。本文方法能夠在實際工程中提升流量檢測的效果。