入侵攻擊下電力信息網(wǎng)絡(luò)安全態(tài)勢感知分析

張佳發(fā) 劉家豪 鄧遠(yuǎn)發(fā)

（1.南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司 廣東省廣州市 510000 2.南方電網(wǎng)深圳數(shù)字電網(wǎng)研究院有限公司 廣東省深圳市 518053)

網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)具有多樣性，將數(shù)據(jù)挖掘技術(shù)、態(tài)勢評估技術(shù)以及態(tài)勢預(yù)測技術(shù)有效的結(jié)合在一起，為了實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知，將LDA-RBF 網(wǎng)絡(luò)安全態(tài)勢感知方法有效的應(yīng)用其中，實(shí)時保證電力系統(tǒng)的平穩(wěn)運(yùn)行。

1 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究

（1）數(shù)據(jù)挖掘技術(shù)。包括數(shù)據(jù)預(yù)處理、數(shù)據(jù)挖掘以及模型評價三個層面，借助傳感器實(shí)現(xiàn)數(shù)據(jù)的收集，以此作為試驗(yàn)數(shù)據(jù)；為了得到理想的數(shù)據(jù)模型，則需要注重整合參數(shù)信息，并對其進(jìn)行優(yōu)化，通過建立模型評價的方式為后續(xù)決策奠定基礎(chǔ)。

（2）態(tài)勢評估技術(shù)。監(jiān)測網(wǎng)絡(luò)系統(tǒng)運(yùn)行狀態(tài)，收集相關(guān)的漏洞檢測以及報警信息，對安全性進(jìn)行評估，以此得到網(wǎng)絡(luò)安全態(tài)勢。

（3）態(tài)勢預(yù)測技術(shù)。主要包括時間序列預(yù)測法、神經(jīng)網(wǎng)絡(luò)以及馬爾科夫預(yù)測模型三種形式，實(shí)現(xiàn)對評估結(jié)果的關(guān)聯(lián)分析。

2 基于LDA-RBF的電力信息網(wǎng)絡(luò)安全態(tài)勢感知分析

2.1 基于LDA-RBF的電力網(wǎng)絡(luò)安全態(tài)勢感知

2.1.1 數(shù)據(jù)源以及預(yù)處理

在對電力信息網(wǎng)絡(luò)數(shù)據(jù)的過程中需要借助交換機(jī)配置鏡頭來實(shí)現(xiàn)，將探針安裝其中，完成對數(shù)據(jù)的采集，與某個時間點(diǎn)進(jìn)行對應(yīng)，從而判斷出網(wǎng)絡(luò)行為。為了獲取感知判斷模型，借助LDA-RBF 整合歷史數(shù)據(jù)，以學(xué)習(xí)訓(xùn)練的方式進(jìn)行。通過這種模型可以對態(tài)勢感知效果進(jìn)行展示，并對數(shù)據(jù)進(jìn)行實(shí)時監(jiān)測。在選取實(shí)驗(yàn)數(shù)據(jù)時，要保證樣本分類保持不變的狀態(tài)，主要采用隨機(jī)抽取的方式。從訓(xùn)練樣本集以及測試樣本集角度進(jìn)行分析，前者為臨時判斷模型，后者實(shí)現(xiàn)對態(tài)勢感模型的測試，采用這種劃分方式的優(yōu)勢較為顯著，確保開集測試的順利進(jìn)行。

2.1.2 框架設(shè)計

框架主要包括LDA-RBF 模塊、數(shù)據(jù)采集模塊以及數(shù)據(jù)庫模塊等，關(guān)注待測網(wǎng)絡(luò)行為信息的狀態(tài)，并與LDA-RBF 模塊進(jìn)行連接，完成數(shù)據(jù)的傳輸，在對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評價時，則需要借助數(shù)據(jù)中的相關(guān)歷史信息來完成。找準(zhǔn)關(guān)鍵測量位置，將智能測量設(shè)備安置其中。從歷史行為數(shù)據(jù)庫層面以及網(wǎng)絡(luò)威脅數(shù)據(jù)庫層面進(jìn)行分析，前者包括原始樣本數(shù)據(jù)，后者為威脅樣本數(shù)據(jù)，且可以實(shí)現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的判斷。為了得到安全態(tài)勢感知模型，借助LDA-RBF 模塊對歷史數(shù)據(jù)進(jìn)行分析，以訓(xùn)練的形式完成，整合訓(xùn)練之后的數(shù)據(jù)，以此為依據(jù)實(shí)現(xiàn)網(wǎng)絡(luò)行為的態(tài)勢感知。

2.2 線性判別分析基礎(chǔ)理論

圖1：RBF 神經(jīng)網(wǎng)絡(luò)圖

圖2：徑向基神經(jīng)元模型機(jī)構(gòu)

密切關(guān)注最佳鑒別的矢量空間，并將高維樣本進(jìn)行投影，實(shí)現(xiàn)對分類信息的提取。結(jié)合電力信息網(wǎng)絡(luò)特征，將新的數(shù)據(jù)融合在新的維度當(dāng)中，可以借助線性判別分析的方式來實(shí)現(xiàn)最大的的類間距以及最小類內(nèi)距。為了得到最優(yōu)的投影矩陣，則需要對線性判別分析投影矩陣的算法進(jìn)行分析，首先需要收集訓(xùn)練樣本矩陣，對特征指標(biāo)數(shù)目以及采集的樣本數(shù)目進(jìn)行設(shè)定，分別用橫坐標(biāo)d、n 來表示，將類間離散度矩陣以及類內(nèi)離散度矩陣進(jìn)行整合，降低分別設(shè)定為SB、Sw，并對其進(jìn)行計算，在求解特征以及所對應(yīng)的特征矢量的過程中，則需要按照公式SBW=SWA 來計算，以此作為投影矩陣的計算結(jié)果。

2.3 RBF神經(jīng)網(wǎng)絡(luò)理論研究

2.3.1 RBF 神經(jīng)網(wǎng)絡(luò)原理

RBF 神經(jīng)網(wǎng)絡(luò)優(yōu)勢較為顯著，從輸入層層面進(jìn)行分析，整合特征樣本，并對其進(jìn)行獲取；隱含層實(shí)現(xiàn)對參數(shù)的改變，獲得輸入的特征樣本，開展訓(xùn)練，準(zhǔn)確確定節(jié)點(diǎn)數(shù)；輸入層主要結(jié)果的輸出。RBF 神經(jīng)網(wǎng)絡(luò)的非線性學(xué)習(xí)能力相對較強(qiáng)，將輸入層以隱含層進(jìn)行連接，借助非線性轉(zhuǎn)變來完成，實(shí)現(xiàn)問題的線性可分。在激活隱含節(jié)點(diǎn)的過程中，只需要保證有數(shù)據(jù)輸入即可。在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置時要堅(jiān)持科學(xué)性的基本原則，RBF 神經(jīng)網(wǎng)絡(luò)處理效率較高，具有較強(qiáng)的準(zhǔn)確逼近的能力，如今已經(jīng)被廣泛的應(yīng)用在圖像識別以及模式識別當(dāng)中[1]。如圖1所示。

2.3.2 RBF 神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)過程

第一，借助K-mcans 算法找出節(jié)點(diǎn)函數(shù)的中心向量，將數(shù)據(jù)樣本進(jìn)行整合，并對其進(jìn)行聚類分析。首先，需要確定參數(shù)，對隱含層節(jié)點(diǎn)進(jìn)行計算，整合學(xué)習(xí)速率以及取整函數(shù)，將其分別設(shè)定為按照公式對隱含層的節(jié)點(diǎn)進(jìn)行計算。第二，是進(jìn)行監(jiān)督學(xué)習(xí)。關(guān)注隱含層以及輸入層的狀態(tài)，對二者的網(wǎng)絡(luò)權(quán)重進(jìn)行適度改變，首先需要確定目標(biāo)函數(shù)，并求出權(quán)值。RBF 神經(jīng)網(wǎng)絡(luò)具有訓(xùn)練速率快的優(yōu)勢，在開展訓(xùn)練的過程中，在對權(quán)值進(jìn)行計算時，不易受到外界因素的干擾，實(shí)現(xiàn)從非線性問題向線性問題解決。

2.3.3 算法流程

RBF 神經(jīng)網(wǎng)絡(luò)算法主要涉及三個方面，首先，在對電力信息網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)進(jìn)行采集的過程中，需要充分根據(jù)特征指標(biāo)體系的具體情況，在實(shí)施安全類別標(biāo)簽的前期階段，則以訓(xùn)練以及測試樣本集為基礎(chǔ)，設(shè)定訓(xùn)練樣本矩陣，將采集特征指標(biāo)數(shù)目以及采集的樣本數(shù)目整合在一起，分別設(shè)定為d、n，借助來表示，為了得到最佳投影空間的樣本矩陣，則需要借助LDA 來進(jìn)行優(yōu)化處理。其次，RBF 神經(jīng)網(wǎng)絡(luò)模型的構(gòu)建，收集數(shù)據(jù)，借助LDA 進(jìn)行預(yù)處理，完成模型數(shù)據(jù)的輸入，在網(wǎng)絡(luò)輸出的確定上，主要以經(jīng)過預(yù)處理而得到的樣本矩陣為主，為了找出與網(wǎng)絡(luò)態(tài)勢值的映射關(guān)系，則需要對RBF 神經(jīng)網(wǎng)絡(luò)模型進(jìn)行訓(xùn)練。最后是態(tài)勢感知結(jié)果的得出，將測試的數(shù)據(jù)進(jìn)行輸出，并經(jīng)過投影矩陣的處理[2]。

2.4 網(wǎng)絡(luò)安全態(tài)勢評估類別

網(wǎng)絡(luò)安全態(tài)勢評估主要有五類，安全指數(shù)分別為0-0.2、0.2-0.4、0.4-0.75、0.75-0.9、0.9-1.0，其中所對對應(yīng)的安全等級分別為安全、輕度安全、一般風(fēng)險、中度風(fēng)險、高度風(fēng)險，并結(jié)合安全等級實(shí)際情況對系統(tǒng)的運(yùn)行情況記性定性的分析。將威脅事件設(shè)定為Normal、Proble、R2L、Dos、U2L,所對應(yīng)的威脅值為0、0.2、0.4、0.6、0.85，事件分別為“無”、“端口監(jiān)測、掃描”、“非法嘗試登陸主機(jī)”、“進(jìn)行拒絕服務(wù)攻擊”、“非法獲取主機(jī)或者管理員的權(quán)限”。

2.5 仿真驗(yàn)證

2.5.1 數(shù)據(jù)集仿真

KDD-Cup99 數(shù)據(jù)仿真中的數(shù)據(jù)樣本選擇，需要充分結(jié)合電力契企業(yè)運(yùn)行的實(shí)際情況，所選定的攻擊類別主要有Dos、Proble、U2L、R2L，第一種攻擊方式包括smurf、land、pod 等；第二種攻擊方式為satan、portsweep 等；第三種攻擊方式為loadmodule、rootlit 等；第四種攻擊方式為imap、waremaster 等。在是對實(shí)驗(yàn)進(jìn)行描述時，主要處理過程是原始數(shù)據(jù)采集、數(shù)值化、LDA 降維、標(biāo)準(zhǔn)化歸一以及RBF 訓(xùn)練。對實(shí)驗(yàn)結(jié)果進(jìn)行分析，關(guān)注網(wǎng)絡(luò)攻擊類別檢測以及安全態(tài)勢感知結(jié)果，通過分析可知，采用LDA-RBF方法時精確度明顯呈現(xiàn)出上升的趨勢，且平均誤差以及均方差的計算效果相對較好，實(shí)現(xiàn)了對數(shù)據(jù)樣本的優(yōu)化處理[3]。如圖2所示。

2.5.2 電力信息網(wǎng)絡(luò)實(shí)驗(yàn)數(shù)據(jù)仿真

電力信息網(wǎng)絡(luò)實(shí)驗(yàn)數(shù)據(jù)仿真主要是對電力信息網(wǎng)絡(luò)樣本數(shù)據(jù)進(jìn)行分析，將LDA 優(yōu)化處理以及RBF 神經(jīng)網(wǎng)絡(luò)態(tài)勢感知有效的整合在一起，在對電力信息網(wǎng)絡(luò)安全態(tài)勢進(jìn)行感知的過程中，則需要借助LDA-RBF 模型來實(shí)現(xiàn)。整合實(shí)驗(yàn)過程中網(wǎng)絡(luò)樣本數(shù)據(jù)選取的情況，在特征值方面主要包括標(biāo)識符、檢驗(yàn)碼以及緊急指針等幾個方面，并對實(shí)驗(yàn)結(jié)果進(jìn)行分析，其中樣本集類型為訓(xùn)練集以及測試集，類型分別為“正?！?、“暴力破解”“端口掃描”、“拒絕服務(wù)攻擊”、“網(wǎng)絡(luò)流異?！?、“協(xié)議異?！薄ⅰ皹I(yè)務(wù)異?！?，在對LDA-RBF 的網(wǎng)絡(luò)行為的識別準(zhǔn)確率進(jìn)行分析時，上述類型分別為94.3%、87.56%、74.19%、100%、92.86%、93.75%、100%，總體識別率為94%，由此可以得出這種方式的應(yīng)用可以在識別率方面有較大的提升。

3 結(jié)論

在對入侵攻擊下電力信息網(wǎng)絡(luò)安全態(tài)勢感知進(jìn)行分析的過程中，借助基于LDA-RBF 的電力信息網(wǎng)絡(luò)安全態(tài)勢感知進(jìn)行研究，切實(shí)做好數(shù)據(jù)源以及數(shù)據(jù)預(yù)處理工作，明確線性判斷分析基礎(chǔ)理論。掌握RBF 神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)過程以及算法流程，以此推動電力系統(tǒng)信息網(wǎng)絡(luò)建設(shè)步伐。