【關(guān)鍵詞】改進(jìn)遷移學(xué)習(xí)；電力通信網(wǎng)絡(luò)；異常流量識別；源IP 地址；特征屬性矩陣；Q 值函數(shù)；損失收斂

引言

對于電力通信網(wǎng)絡(luò)而言，異常流量可能會帶來不同形式的影響，其中，最為明顯的作用方式就是造成網(wǎng)絡(luò)擁堵，由于異常流量可能來自惡意攻擊、網(wǎng)絡(luò)故障、非法接入等[1]，這些流量可能會占用大量的網(wǎng)絡(luò)資源，導(dǎo)致正常的業(yè)務(wù)流量無法得到及時(shí)處理，進(jìn)而引發(fā)網(wǎng)絡(luò)擁堵。其次，電力通信網(wǎng)絡(luò)作為電力系統(tǒng)的穩(wěn)定運(yùn)行和業(yè)務(wù)處理提供支持的重要基礎(chǔ)設(shè)施[2]，一旦網(wǎng)絡(luò)出現(xiàn)擁堵或故障，可能會直接影響電力系統(tǒng)的穩(wěn)定性和可靠性，導(dǎo)致服務(wù)質(zhì)量下降。不僅如此，異常流量可能包含惡意代碼或攻擊行為[3]，這些攻擊可能會竊取敏感數(shù)據(jù)、破壞系統(tǒng)或干擾業(yè)務(wù)運(yùn)行。這些數(shù)據(jù)安全風(fēng)險(xiǎn)不僅會對電力通信網(wǎng)絡(luò)本身帶來威脅，還可能造成更廣泛的影響，如電力系統(tǒng)的穩(wěn)定運(yùn)行、電力供應(yīng)等[4]。如果異常流量是由電力通信網(wǎng)絡(luò)存在未授權(quán)的接入點(diǎn)或非法接入行為引起的，則可能會導(dǎo)致未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)資源，增加非法接入風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可能會對電力系統(tǒng)的安全性和穩(wěn)定性帶來潛在威脅[5]。綜上所述，電力通信網(wǎng)絡(luò)異常流量對于電力通信網(wǎng)絡(luò)帶來的影響可能涉及多個(gè)方面，需要對電力通信網(wǎng)絡(luò)的異常流量進(jìn)行及時(shí)監(jiān)測和應(yīng)對，以確保電力通信網(wǎng)絡(luò)的穩(wěn)定性和安全性[6]。

為此，本文提出基于改進(jìn)遷移學(xué)習(xí)的電力通信網(wǎng)絡(luò)異常流量識別方法研究，并通過對比測試的方式，分析驗(yàn)證了設(shè)計(jì)識別方法的性能。

一、電力通信網(wǎng)絡(luò)異常流量識別方法設(shè)計(jì)

（一）電力通信網(wǎng)絡(luò)流量特征屬性構(gòu)建

對于電力通信網(wǎng)絡(luò)流量而言，當(dāng)時(shí)間窗為固定值時(shí)，參與電力通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)娜我庠碔P地址都將抽象為聚合流的形式[7]，又由于電力通信網(wǎng)絡(luò)自身結(jié)構(gòu)配置等屬性的影響，使得每個(gè)源IP地址的統(tǒng)計(jì)特征都呈現(xiàn)出多維的屬性。結(jié)合這一理論基礎(chǔ)，本文從電力通信網(wǎng)絡(luò)流量中源IP地址的特征屬性角度入手，構(gòu)建電力通信網(wǎng)絡(luò)流量特征屬性矩陣[8]。其具體可以表示為

其中，A表示電力通信網(wǎng)絡(luò)流量特征屬性矩陣，amn表示電力通信網(wǎng)絡(luò)中第m個(gè)源IP地址對應(yīng)的n維特征屬性參量。

在此基礎(chǔ)上，本文充分考慮了電力通信網(wǎng)絡(luò)流量中不同源IP地址之間的相似性[9]，以及不同電力通信網(wǎng)絡(luò)流量之間的關(guān)聯(lián)關(guān)系，構(gòu)建了鄰接矩陣，具體可以表示為

其中，B表示電力通信網(wǎng)絡(luò)流量特征屬性鄰接矩陣，當(dāng)bij為1時(shí)，則表示與amn對應(yīng)的電力通信網(wǎng)絡(luò)流量特征屬性相似；相反地，當(dāng)bij不為1時(shí)，則表示與amn對應(yīng)的電力通信網(wǎng)絡(luò)流量特征屬性不相似。

按照上述所示的方式，實(shí)現(xiàn)對電力通信網(wǎng)絡(luò)流量特征屬性的構(gòu)建，為后續(xù)的電力通信網(wǎng)絡(luò)異常流量識別提供可靠的執(zhí)行基礎(chǔ)，最大限度保障識別結(jié)果的準(zhǔn)確性。

（二）基于改進(jìn)遷移學(xué)習(xí)的異常流量識別

在具體的電力通信網(wǎng)絡(luò)異常流量識別過程中，本文在結(jié)合上一小節(jié)構(gòu)建的電力通信網(wǎng)絡(luò)流量特征屬性對遷移學(xué)習(xí)算法進(jìn)行改進(jìn)的基礎(chǔ)上，實(shí)現(xiàn)對異常流量的判斷。

首先，利用小批量隨機(jī)采樣方式從訓(xùn)練樣本中進(jìn)行采樣，并進(jìn)行訓(xùn)練，確定可能的電力通信網(wǎng)絡(luò)流量特征屬性，并與真實(shí)電力通信網(wǎng)絡(luò)流量的特征屬性標(biāo)簽對比，確定損失函數(shù)，具體可以計(jì)算方式可以表示為

其中，Le表示遷移學(xué)習(xí)算法的損失函數(shù)，re表示電力通信網(wǎng)絡(luò)流量的特征屬性提取訓(xùn)練的獎(jiǎng)勵(lì)， 表示衰減因子，Qe表示Q值函數(shù)，也是本文具體應(yīng)用的遷移學(xué)習(xí)算法，at和bt分別表示當(dāng)前時(shí)刻電力通信網(wǎng)絡(luò)流量的特征屬性與特征屬性鄰接參數(shù)，at+1和bt+1分別表示下一時(shí)刻電力通信網(wǎng)絡(luò)流量的特征屬性與特征屬性鄰接參數(shù)。

在上述基礎(chǔ)上，對電力通信網(wǎng)絡(luò)異常流量的識別過程可以表示為圖1所示的形式。

按照圖1所示的方式，利用遷移學(xué)習(xí)算法中的Q值函數(shù)對電力通信網(wǎng)絡(luò)流量樣本數(shù)據(jù)進(jìn)行迭代學(xué)習(xí)，直至電力通信網(wǎng)絡(luò)流量的特征屬性達(dá)到收斂，之后，根據(jù)同一時(shí)間窗下存在特征屬性交叉的流量參數(shù)作為初步識別結(jié)果，若此時(shí)的流量包含于電力通信網(wǎng)絡(luò)流量源IP地址中，則表示其為異常流量的最終識別結(jié)果；若此時(shí)的流量不包含于電力通信網(wǎng)絡(luò)流量源IP地址中，則不是，繼續(xù)循環(huán)進(jìn)行下一輪次的識別。

按照上述所示的方式，實(shí)現(xiàn)對電力通信網(wǎng)絡(luò)異常流量的識別，最大限度保障識別結(jié)果的準(zhǔn)確性和可靠性。

二、測試與分析

（一）測試準(zhǔn)備

在對本文設(shè)計(jì)基于改進(jìn)遷移學(xué)習(xí)的電力通信網(wǎng)絡(luò)異常流量識別方法的性能進(jìn)行分析的同時(shí)，開展了對比測試。其中，參與測試的對照組分別為文獻(xiàn)[5]提出的以數(shù)據(jù)挖掘?yàn)榛A(chǔ)的網(wǎng)絡(luò)流量異常識別方法，以及文獻(xiàn)[6]提出的以灰狼算法優(yōu)化DBN為基礎(chǔ)的網(wǎng)絡(luò)異常流量識別方法。對于具體的測試數(shù)據(jù)，本文將公開的IDS數(shù)據(jù)集CIC-IDS-2017作為具體的數(shù)據(jù)來源，其中包含的協(xié)議包括FTP、HTTP、SSH、Email 以及HTTPS，可以更加全面地對異常流量識別方法的性能進(jìn)行檢測。表1為本文對于測試數(shù)據(jù)的準(zhǔn)備情況。

結(jié)合表1所示的測試數(shù)據(jù)準(zhǔn)備情況，分別采用三種方法對不同攻擊作用下的網(wǎng)絡(luò)異常流量進(jìn)行識別。

（二）測試結(jié)果與分析

對于具體的測試結(jié)果，本文利用ACC（accuracy，準(zhǔn)確率）作為具體的評價(jià)指標(biāo)。得到的測試結(jié)果如表2所示。

結(jié)合表2所示的測試結(jié)果可以看出，在三種不同識別方法下，對于不同類型網(wǎng)絡(luò)異常流量的識別效果表現(xiàn)出了不同的特征。其中，在數(shù)據(jù)挖掘識別方法的測試結(jié)果中，對于不同類型網(wǎng)絡(luò)異常流量的識別效果表現(xiàn)出了明顯的波動，對于DDoS 、PortScan以及SSH-Patator類型異常流量識別的ACC達(dá)到了0.90以上，但是對于DoS Hulk以及DoS Slowloris類型異常流量識別的ACC僅在0.60左右。在灰狼算法優(yōu)化DBN識別方法下，雖然從整體角度分析其對于不同類型網(wǎng)絡(luò)異常流量的識別效果表現(xiàn)出了較高的穩(wěn)定性，但是對應(yīng)的ACC水平相對偏低，基本處于0.80-0.90區(qū)間范圍內(nèi)，對于實(shí)際的網(wǎng)絡(luò)安全管理而言存在進(jìn)一步提升的空間。相比之下，在本文設(shè)計(jì)網(wǎng)絡(luò)異常流量識別方法下，不僅對于不同類型網(wǎng)絡(luò)異常流量識別的ACC均達(dá)到了0.90以上，且對于DoS Hulk和DoS Slowhttptest類型異常流量識別的ACC值均為1.0，實(shí)現(xiàn)了100.0%精準(zhǔn)識別。結(jié)合上述分析結(jié)果可以得出結(jié)論，本文提出的基于改進(jìn)遷移學(xué)習(xí)的電力通信網(wǎng)絡(luò)異常流量識別方法可以實(shí)現(xiàn)對不同類型異常流量的有效識別。

結(jié)束語

異常流量在一定程度上增加了電力通信網(wǎng)絡(luò)的復(fù)雜性和管理難度。為了確保網(wǎng)絡(luò)的穩(wěn)定性和安全性，需要對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測和識別分析。為此，本文提出基于改進(jìn)遷移學(xué)習(xí)的電力通信網(wǎng)絡(luò)異常流量識別方法研究，實(shí)現(xiàn)了對異常流量的有效識別，借助本文的研究與設(shè)計(jì)，希望可以降低由于異常流量問題帶來的監(jiān)測和管理難題，降低網(wǎng)絡(luò)管理和維護(hù)的資源投入。