張國(guó)萍
(廣州華商職業(yè)學(xué)院,廣東廣州 511300)
近幾年來(lái),外界對(duì)能源和電力的網(wǎng)絡(luò)攻擊不斷增加,而國(guó)家電網(wǎng)公司是供電的核心,電網(wǎng)安全關(guān)系到國(guó)家經(jīng)濟(jì)安全,電網(wǎng)信息化建設(shè)水平和速度在各行業(yè)中都處于前列,安全保障體系建設(shè)一直是電網(wǎng)信息化建設(shè)的重點(diǎn)[1-2]。
對(duì)于解決網(wǎng)絡(luò)安全威脅問(wèn)題,網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知算法有重要意義,安全態(tài)勢(shì)感知算法能夠很好地分析出網(wǎng)絡(luò)的健康狀態(tài),并且利用全流量分析對(duì)數(shù)據(jù)進(jìn)行追蹤和取證,從而提出更加可靠的安全應(yīng)對(duì)措施[3]。
該文針對(duì)電力信息系統(tǒng)在大數(shù)據(jù)環(huán)境下所面臨的安全威脅和各種網(wǎng)絡(luò)攻擊,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知與主動(dòng)防御技術(shù)進(jìn)行了研究。將全流數(shù)據(jù)收集器部署到公司的網(wǎng)絡(luò)出口信息中,收集各類數(shù)據(jù),例如安全日志、網(wǎng)絡(luò)流量、攻擊情況等,使用高性能處理器處理和存儲(chǔ)數(shù)據(jù),并利用大數(shù)據(jù)技術(shù)對(duì)攻擊數(shù)據(jù)包進(jìn)行回溯分析,并以圖形直觀地顯示攻擊情況,從而發(fā)出攻擊預(yù)警。
通過(guò)對(duì)時(shí)間和空間的外部信息分析,研究信息的內(nèi)部因素和外部因素,對(duì)未來(lái)傳輸趨勢(shì)進(jìn)行預(yù)測(cè),安全感知態(tài)勢(shì)模型如圖1 所示。
圖1 安全態(tài)勢(shì)感知模型
根據(jù)圖1 的安全態(tài)勢(shì)感知模型可知,在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知工作的過(guò)程中,系統(tǒng)會(huì)自動(dòng)提取網(wǎng)絡(luò)安全態(tài)勢(shì)因子,并對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估,通過(guò)評(píng)估實(shí)現(xiàn)態(tài)勢(shì)預(yù)測(cè)[4-5]。
就目前發(fā)展來(lái)看,針對(duì)智能電網(wǎng)的安全態(tài)勢(shì)感知仍然存在一些問(wèn)題,最主要的問(wèn)題有兩點(diǎn):1)很難對(duì)信息進(jìn)行融合;2)即使完成融合也難以將信息建模和電力系統(tǒng)的復(fù)雜行為結(jié)合到一起。當(dāng)前的智能電網(wǎng)網(wǎng)絡(luò)模型越來(lái)越豐富,因此攻擊范圍更大,分布式的布局方式增加了網(wǎng)絡(luò)防控的難度,而網(wǎng)絡(luò)狀況的隨機(jī)性和不確定性,使網(wǎng)絡(luò)安全態(tài)勢(shì)感知難以呈現(xiàn)線性關(guān)系,普通的計(jì)算方式無(wú)法解決上述問(wèn)題[6-7]。綜上所述,該文基于大數(shù)據(jù)方法研究了一種新的網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知架構(gòu),如圖2 所示。
圖2 網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知架構(gòu)
根據(jù)圖2 可知,采集器主要負(fù)責(zé)從前端安全服務(wù)器上采集IDP、IDS、TSA 等服務(wù)器的數(shù)據(jù)[8-10]。
預(yù)處理服務(wù)器對(duì)各采集服務(wù)器上報(bào)的數(shù)據(jù)進(jìn)行匯總,統(tǒng)一規(guī)范地處理各采集服務(wù)器上報(bào)的數(shù)據(jù)。所收集的數(shù)據(jù)經(jīng)整理后,儲(chǔ)存于不同的存儲(chǔ)系統(tǒng),以滿足不同的業(yè)務(wù)需求。
在Hadoop 服務(wù)器上存儲(chǔ)處理過(guò)的數(shù)據(jù),利用Hadoop的存儲(chǔ)和分析能力,進(jìn)行相關(guān)的數(shù)據(jù)統(tǒng)計(jì)和數(shù)據(jù)挖掘,然后導(dǎo)入檢索引擎,供Web服務(wù)器查詢[11-12]。
網(wǎng)絡(luò)數(shù)據(jù)庫(kù)服務(wù)器主要負(fù)責(zé)存儲(chǔ)態(tài)勢(shì)感知,分析預(yù)警平臺(tái)系統(tǒng)的業(yè)務(wù)功能,網(wǎng)絡(luò)顯示服務(wù)器主要負(fù)責(zé)根據(jù)業(yè)務(wù)功能和威脅進(jìn)行數(shù)據(jù)分析和管理,利用態(tài)勢(shì)感知和基于基本數(shù)據(jù)的預(yù)警平臺(tái)系統(tǒng)來(lái)實(shí)現(xiàn)數(shù)據(jù)可視化。
該文設(shè)計(jì)的網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)架構(gòu)具有很強(qiáng)的數(shù)據(jù)采集能力,能夠采集電氣設(shè)備數(shù)據(jù)、變電站總線數(shù)據(jù)和網(wǎng)絡(luò)設(shè)備的信息數(shù)據(jù),在完成采集后,將所有的數(shù)據(jù)都匯集到安全態(tài)勢(shì)感知中心,利用模糊聚類方法初步分析各項(xiàng)采集數(shù)據(jù),該文引入博弈理論和強(qiáng)化學(xué)習(xí)理論對(duì)網(wǎng)絡(luò)信息的傳輸安全態(tài)勢(shì)感知進(jìn)行分析[13]。
在智能大數(shù)據(jù)的信息傳輸過(guò)程中,信息傳輸?shù)陌踩陨婕爸T多因素,對(duì)網(wǎng)絡(luò)信息傳輸進(jìn)行安全態(tài)勢(shì)感知需要對(duì)影響信息傳輸?shù)囊蛩剡M(jìn)行感知和分析處理。首先,可以采用模糊聚類方法對(duì)涉及信息傳輸安全態(tài)勢(shì)的因素進(jìn)行識(shí)別,根據(jù)不同因素之間的關(guān)聯(lián)關(guān)系和緊密程度進(jìn)行判斷和分類[14-15]。將采集到的信息數(shù)據(jù)整合為一個(gè)數(shù)據(jù)集,作為運(yùn)算樣本集合,對(duì)集合中的數(shù)據(jù)進(jìn)行預(yù)處理,篩選數(shù)據(jù)集中存在缺漏或模糊的數(shù)據(jù)信息,標(biāo)準(zhǔn)化處理數(shù)據(jù)之間的相似性因子。然后根據(jù)處理后的數(shù)據(jù)和數(shù)據(jù)間的相關(guān)關(guān)系構(gòu)建模糊矩陣。假設(shè)樣本數(shù)據(jù)集表示為N=(n1,n2,…,nk),其中,n表示數(shù)據(jù)集中的序列數(shù)據(jù),構(gòu)造得到模糊矩陣Z:
其中,zij表示不同數(shù)據(jù)間的模糊關(guān)系,通過(guò)對(duì)數(shù)據(jù)模糊關(guān)系進(jìn)行分析,能夠得到數(shù)據(jù)模糊矩陣。模糊矩陣可以將數(shù)據(jù)間的相似性關(guān)系表達(dá)出來(lái),因此可以在模糊處理的基礎(chǔ)上對(duì)樣本數(shù)據(jù)進(jìn)行分類處理,得到安全態(tài)勢(shì)感知處理所需的樣本數(shù)據(jù)集。
針對(duì)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)入侵或攻擊等安全問(wèn)題,采用博弈論和學(xué)習(xí)算法對(duì)網(wǎng)絡(luò)環(huán)境中的安全態(tài)勢(shì)問(wèn)題進(jìn)行調(diào)整。安全態(tài)勢(shì)感知機(jī)制的設(shè)計(jì)原則如圖3 所示。
圖3 安全態(tài)勢(shì)感知機(jī)制的設(shè)計(jì)原則
將采集提取出的數(shù)據(jù)樣本和相似性因子按照安全態(tài)勢(shì)因素要求分類,輸入滿足要求的數(shù)據(jù)和因子參數(shù),通過(guò)分層神經(jīng)網(wǎng)絡(luò)分析技術(shù)進(jìn)行數(shù)據(jù)樣本關(guān)系分析和關(guān)系網(wǎng)絡(luò)建立。將運(yùn)算得到的數(shù)據(jù)網(wǎng)絡(luò)與數(shù)據(jù)集參數(shù)進(jìn)行對(duì)比,對(duì)存在誤差部分進(jìn)行調(diào)整,使神經(jīng)網(wǎng)絡(luò)模型能夠?qū)崿F(xiàn)存在對(duì)應(yīng)關(guān)系的數(shù)據(jù)輸入和輸出[16]。
然后,根據(jù)數(shù)據(jù)樣本的值域和屬性選擇合適的參數(shù),基于博弈論的交互處理過(guò)程,調(diào)整數(shù)據(jù)信息的學(xué)習(xí)策略。將分層網(wǎng)絡(luò)輸出的數(shù)據(jù)作為安全態(tài)勢(shì)感知數(shù)據(jù)矩陣的輸入節(jié)點(diǎn),以神經(jīng)網(wǎng)絡(luò)模型中的感知神經(jīng)元和神經(jīng)網(wǎng)絡(luò)關(guān)系作為學(xué)習(xí)模型的基礎(chǔ)。輸入的數(shù)據(jù)信息經(jīng)過(guò)博弈處理,與輸出數(shù)據(jù)形成對(duì)應(yīng)關(guān)系,運(yùn)算過(guò)程如下:
其中,λ是函數(shù)的陡度參數(shù),m是數(shù)據(jù)樣本總數(shù),將輸入的數(shù)據(jù)經(jīng)過(guò)函數(shù)激活,得到存在異常因子的數(shù)據(jù)信息,表現(xiàn)出存在網(wǎng)絡(luò)不穩(wěn)定安全因素的信息特征。感知模型如圖4 所示。
圖4 感知模型
對(duì)這些不穩(wěn)定因素需要進(jìn)行進(jìn)一步的分析來(lái)判斷,通過(guò)加權(quán)運(yùn)算對(duì)異常因素?cái)?shù)據(jù)信息進(jìn)行學(xué)習(xí)模擬:
其中,Δrij為加權(quán)后的節(jié)點(diǎn)數(shù)據(jù),根據(jù)學(xué)習(xí)策略和博弈關(guān)系判定后能夠得到網(wǎng)絡(luò)數(shù)據(jù)是否存在異常安全因素。將反饋得到的數(shù)據(jù)與原樣本數(shù)據(jù)進(jìn)行對(duì)比,根據(jù)安全態(tài)勢(shì)感知規(guī)則,調(diào)整存在錯(cuò)誤的數(shù)據(jù),然后將輸出層數(shù)據(jù)結(jié)果與網(wǎng)絡(luò)中的信息數(shù)據(jù)進(jìn)行匹配,并對(duì)時(shí)間誤差進(jìn)行處理:
其中,Q表示數(shù)據(jù)節(jié)點(diǎn)對(duì)應(yīng)的時(shí)間誤差參數(shù),θk表示節(jié)點(diǎn)的步長(zhǎng)參數(shù),排除時(shí)間誤差得到的數(shù)據(jù)為更真實(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)信息。
為了驗(yàn)證研究方法的實(shí)際應(yīng)用效果,以某公司的網(wǎng)絡(luò)系統(tǒng)為實(shí)驗(yàn)對(duì)象進(jìn)行實(shí)驗(yàn)研究。首先,采集該公司某一段時(shí)間內(nèi)的網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)信息作為計(jì)算樣本數(shù)據(jù)集,采集內(nèi)容主要為存在網(wǎng)絡(luò)安全問(wèn)題的網(wǎng)絡(luò)訪問(wèn)信息、網(wǎng)絡(luò)運(yùn)行速度以及設(shè)備存儲(chǔ)信息等。將采集到的數(shù)據(jù)進(jìn)行預(yù)處理,得到的數(shù)據(jù)可以通過(guò)模糊關(guān)系分析得到數(shù)據(jù)的模糊矩陣。對(duì)模糊矩陣輸出的數(shù)據(jù)進(jìn)行博弈分析和學(xué)習(xí)模型構(gòu)建。
網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5 所示。
圖5 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
將實(shí)驗(yàn)中的數(shù)據(jù)輸入到學(xué)習(xí)模型中,形成了以30 個(gè)關(guān)鍵節(jié)點(diǎn)為中心的數(shù)據(jù)關(guān)系集群。實(shí)驗(yàn)參數(shù)如表1 所示。
表1 實(shí)驗(yàn)參數(shù)
表1 的實(shí)驗(yàn)數(shù)據(jù)能夠滿足高效運(yùn)行的數(shù)據(jù)信息處理。通過(guò)計(jì)算機(jī)數(shù)據(jù)運(yùn)算程序?qū)W(wǎng)絡(luò)安全信息數(shù)據(jù)進(jìn)行學(xué)習(xí)模型構(gòu)建,得到存在異常的數(shù)據(jù)信息,排除時(shí)間差異因素后,對(duì)數(shù)據(jù)的相似性因子進(jìn)行博弈分析,并與原數(shù)據(jù)信息及關(guān)聯(lián)性分析結(jié)果進(jìn)行對(duì)比,調(diào)整存在誤差的數(shù)據(jù)運(yùn)算結(jié)果,得到最后能夠具體體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的數(shù)據(jù)信息。
累積風(fēng)險(xiǎn)值結(jié)果如圖6 所示。
圖6 累積風(fēng)險(xiǎn)值結(jié)果
根據(jù)圖6 可知,該文提出的方法累積風(fēng)險(xiǎn)值誤差更小,對(duì)網(wǎng)絡(luò)正常運(yùn)行的影響很小,網(wǎng)絡(luò)的運(yùn)行狀態(tài)比較穩(wěn)定,且網(wǎng)絡(luò)運(yùn)行速度仍然很高,采集到的數(shù)據(jù)通過(guò)預(yù)處理篩選后得到的數(shù)據(jù)具有較高的真實(shí)性和完整性,整個(gè)數(shù)據(jù)采集和處理的過(guò)程用時(shí)也比較短。對(duì)處理過(guò)程中的網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行風(fēng)險(xiǎn)評(píng)定,得到評(píng)定等級(jí)為低風(fēng)險(xiǎn),說(shuō)明了該文研究的方法在數(shù)據(jù)處理過(guò)程中有較高的工作效率和穩(wěn)定性,數(shù)據(jù)的處理對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的影響很小,進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知的風(fēng)險(xiǎn)也很低。
誤差率感知實(shí)驗(yàn)結(jié)果如表2 所示。
表2 誤差率感知實(shí)驗(yàn)結(jié)果
從實(shí)驗(yàn)得到的安全態(tài)勢(shì)感知數(shù)據(jù)結(jié)果來(lái)看,該文方法具有較低的誤差率。該文方法在對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)運(yùn)算處理過(guò)程中,基于大數(shù)據(jù)的運(yùn)算機(jī)制,選用了模糊聚類算法、博弈論分析以及機(jī)器學(xué)習(xí)等方法,對(duì)數(shù)據(jù)信息和相似性因子進(jìn)行了多層次的運(yùn)算和關(guān)系構(gòu)建,還對(duì)時(shí)間誤差問(wèn)題進(jìn)行了還原計(jì)算處理。得到的計(jì)算結(jié)果誤差率很低,說(shuō)明經(jīng)過(guò)多層次運(yùn)算的數(shù)據(jù)具有較高的計(jì)算精準(zhǔn)度,能夠更加直接真實(shí)地反映網(wǎng)絡(luò)安全態(tài)勢(shì)問(wèn)題。
綜上所述,該文研究的基于大數(shù)據(jù)的網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知算法能夠通過(guò)多種算法的運(yùn)算得到精準(zhǔn)的網(wǎng)絡(luò)安全問(wèn)題信息,并且能夠保持網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定,具有較低的風(fēng)險(xiǎn)值,有利于對(duì)大規(guī)模網(wǎng)絡(luò)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知,不僅具有高效率、低風(fēng)險(xiǎn)的優(yōu)點(diǎn),還有較低的數(shù)據(jù)運(yùn)算誤差率。
該文利用綜合聚類分析算法,提取出網(wǎng)絡(luò)安全態(tài)勢(shì)感知的內(nèi)部數(shù)據(jù),確定感知機(jī)制,對(duì)智能電網(wǎng)的內(nèi)部數(shù)據(jù)進(jìn)行深入分析,根據(jù)分析結(jié)果得到評(píng)估結(jié)論。相較于傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知算法,該文算法計(jì)算能力更強(qiáng),能夠更好地分析出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值,降低評(píng)估的誤差率。