基于改進遷移學習的電力通信網(wǎng)絡異常流量識別方法

【關鍵詞】改進遷移學習；電力通信網(wǎng)絡；異常流量識別；源IP 地址；特征屬性矩陣；Q 值函數(shù)；損失收斂

引言

對于電力通信網(wǎng)絡而言，異常流量可能會帶來不同形式的影響，其中，最為明顯的作用方式就是造成網(wǎng)絡擁堵，由于異常流量可能來自惡意攻擊、網(wǎng)絡故障、非法接入等[1]，這些流量可能會占用大量的網(wǎng)絡資源，導致正常的業(yè)務流量無法得到及時處理，進而引發(fā)網(wǎng)絡擁堵。其次，電力通信網(wǎng)絡作為電力系統(tǒng)的穩(wěn)定運行和業(yè)務處理提供支持的重要基礎設施[2]，一旦網(wǎng)絡出現(xiàn)擁堵或故障，可能會直接影響電力系統(tǒng)的穩(wěn)定性和可靠性，導致服務質(zhì)量下降。不僅如此，異常流量可能包含惡意代碼或攻擊行為[3]，這些攻擊可能會竊取敏感數(shù)據(jù)、破壞系統(tǒng)或干擾業(yè)務運行。這些數(shù)據(jù)安全風險不僅會對電力通信網(wǎng)絡本身帶來威脅，還可能造成更廣泛的影響，如電力系統(tǒng)的穩(wěn)定運行、電力供應等[4]。如果異常流量是由電力通信網(wǎng)絡存在未授權(quán)的接入點或非法接入行為引起的，則可能會導致未經(jīng)授權(quán)的用戶訪問網(wǎng)絡資源，增加非法接入風險。這些風險可能會對電力系統(tǒng)的安全性和穩(wěn)定性帶來潛在威脅[5]。綜上所述，電力通信網(wǎng)絡異常流量對于電力通信網(wǎng)絡帶來的影響可能涉及多個方面，需要對電力通信網(wǎng)絡的異常流量進行及時監(jiān)測和應對，以確保電力通信網(wǎng)絡的穩(wěn)定性和安全性[6]。

為此，本文提出基于改進遷移學習的電力通信網(wǎng)絡異常流量識別方法研究，并通過對比測試的方式，分析驗證了設計識別方法的性能。

一、電力通信網(wǎng)絡異常流量識別方法設計

（一）電力通信網(wǎng)絡流量特征屬性構(gòu)建

對于電力通信網(wǎng)絡流量而言，當時間窗為固定值時，參與電力通信網(wǎng)絡數(shù)據(jù)傳輸?shù)娜我庠碔P地址都將抽象為聚合流的形式[7]，又由于電力通信網(wǎng)絡自身結(jié)構(gòu)配置等屬性的影響，使得每個源IP地址的統(tǒng)計特征都呈現(xiàn)出多維的屬性。結(jié)合這一理論基礎，本文從電力通信網(wǎng)絡流量中源IP地址的特征屬性角度入手，構(gòu)建電力通信網(wǎng)絡流量特征屬性矩陣[8]。其具體可以表示為

其中，A表示電力通信網(wǎng)絡流量特征屬性矩陣，amn表示電力通信網(wǎng)絡中第m個源IP地址對應的n維特征屬性參量。

在此基礎上，本文充分考慮了電力通信網(wǎng)絡流量中不同源IP地址之間的相似性[9]，以及不同電力通信網(wǎng)絡流量之間的關聯(lián)關系，構(gòu)建了鄰接矩陣，具體可以表示為

其中，B表示電力通信網(wǎng)絡流量特征屬性鄰接矩陣，當bij為1時，則表示與amn對應的電力通信網(wǎng)絡流量特征屬性相似；相反地，當bij不為1時，則表示與amn對應的電力通信網(wǎng)絡流量特征屬性不相似。

按照上述所示的方式，實現(xiàn)對電力通信網(wǎng)絡流量特征屬性的構(gòu)建，為后續(xù)的電力通信網(wǎng)絡異常流量識別提供可靠的執(zhí)行基礎，最大限度保障識別結(jié)果的準確性。

（二）基于改進遷移學習的異常流量識別

在具體的電力通信網(wǎng)絡異常流量識別過程中，本文在結(jié)合上一小節(jié)構(gòu)建的電力通信網(wǎng)絡流量特征屬性對遷移學習算法進行改進的基礎上，實現(xiàn)對異常流量的判斷。

首先，利用小批量隨機采樣方式從訓練樣本中進行采樣，并進行訓練，確定可能的電力通信網(wǎng)絡流量特征屬性，并與真實電力通信網(wǎng)絡流量的特征屬性標簽對比，確定損失函數(shù)，具體可以計算方式可以表示為

其中，Le表示遷移學習算法的損失函數(shù)，re表示電力通信網(wǎng)絡流量的特征屬性提取訓練的獎勵， 表示衰減因子，Qe表示Q值函數(shù)，也是本文具體應用的遷移學習算法，at和bt分別表示當前時刻電力通信網(wǎng)絡流量的特征屬性與特征屬性鄰接參數(shù)，at+1和bt+1分別表示下一時刻電力通信網(wǎng)絡流量的特征屬性與特征屬性鄰接參數(shù)。

在上述基礎上，對電力通信網(wǎng)絡異常流量的識別過程可以表示為圖1所示的形式。

按照圖1所示的方式，利用遷移學習算法中的Q值函數(shù)對電力通信網(wǎng)絡流量樣本數(shù)據(jù)進行迭代學習，直至電力通信網(wǎng)絡流量的特征屬性達到收斂，之后，根據(jù)同一時間窗下存在特征屬性交叉的流量參數(shù)作為初步識別結(jié)果，若此時的流量包含于電力通信網(wǎng)絡流量源IP地址中，則表示其為異常流量的最終識別結(jié)果；若此時的流量不包含于電力通信網(wǎng)絡流量源IP地址中，則不是，繼續(xù)循環(huán)進行下一輪次的識別。

按照上述所示的方式，實現(xiàn)對電力通信網(wǎng)絡異常流量的識別，最大限度保障識別結(jié)果的準確性和可靠性。

二、測試與分析

（一）測試準備

在對本文設計基于改進遷移學習的電力通信網(wǎng)絡異常流量識別方法的性能進行分析的同時，開展了對比測試。其中，參與測試的對照組分別為文獻[5]提出的以數(shù)據(jù)挖掘為基礎的網(wǎng)絡流量異常識別方法，以及文獻[6]提出的以灰狼算法優(yōu)化DBN為基礎的網(wǎng)絡異常流量識別方法。對于具體的測試數(shù)據(jù)，本文將公開的IDS數(shù)據(jù)集CIC-IDS-2017作為具體的數(shù)據(jù)來源，其中包含的協(xié)議包括FTP、HTTP、SSH、Email 以及HTTPS，可以更加全面地對異常流量識別方法的性能進行檢測。表1為本文對于測試數(shù)據(jù)的準備情況。

結(jié)合表1所示的測試數(shù)據(jù)準備情況，分別采用三種方法對不同攻擊作用下的網(wǎng)絡異常流量進行識別。

（二）測試結(jié)果與分析

對于具體的測試結(jié)果，本文利用ACC（accuracy，準確率）作為具體的評價指標。得到的測試結(jié)果如表2所示。

結(jié)合表2所示的測試結(jié)果可以看出，在三種不同識別方法下，對于不同類型網(wǎng)絡異常流量的識別效果表現(xiàn)出了不同的特征。其中，在數(shù)據(jù)挖掘識別方法的測試結(jié)果中，對于不同類型網(wǎng)絡異常流量的識別效果表現(xiàn)出了明顯的波動，對于DDoS 、PortScan以及SSH-Patator類型異常流量識別的ACC達到了0.90以上，但是對于DoS Hulk以及DoS Slowloris類型異常流量識別的ACC僅在0.60左右。在灰狼算法優(yōu)化DBN識別方法下，雖然從整體角度分析其對于不同類型網(wǎng)絡異常流量的識別效果表現(xiàn)出了較高的穩(wěn)定性，但是對應的ACC水平相對偏低，基本處于0.80-0.90區(qū)間范圍內(nèi)，對于實際的網(wǎng)絡安全管理而言存在進一步提升的空間。相比之下，在本文設計網(wǎng)絡異常流量識別方法下，不僅對于不同類型網(wǎng)絡異常流量識別的ACC均達到了0.90以上，且對于DoS Hulk和DoS Slowhttptest類型異常流量識別的ACC值均為1.0，實現(xiàn)了100.0%精準識別。結(jié)合上述分析結(jié)果可以得出結(jié)論，本文提出的基于改進遷移學習的電力通信網(wǎng)絡異常流量識別方法可以實現(xiàn)對不同類型異常流量的有效識別。

結(jié)束語

異常流量在一定程度上增加了電力通信網(wǎng)絡的復雜性和管理難度。為了確保網(wǎng)絡的穩(wěn)定性和安全性，需要對網(wǎng)絡流量進行實時監(jiān)測和識別分析。為此，本文提出基于改進遷移學習的電力通信網(wǎng)絡異常流量識別方法研究，實現(xiàn)了對異常流量的有效識別，借助本文的研究與設計，希望可以降低由于異常流量問題帶來的監(jiān)測和管理難題，降低網(wǎng)絡管理和維護的資源投入。