智能变电站过程层网络异常流量检测

时间：2024-05-04

刘见赵震宇裴茂林杨爱超单鹏刘明

摘要：为了避免智能变电站过程层网络通信出现异常变动的现象，需要准确检测智能变电站过程层网络异常流量，为此提出新型的检测方法。设计了基于网络演算的变电站通信网络流量计算模型，将根节点全部设成信源，通过流量路由实现周围输入与输出端口的联系，获取智能变电站过程层网络中全部设备端口输入与输出流量。还应用优化支持向量模型进行异常流量检测，将网络异常流量与正常流量分类，实现智能变电站过程层网络异常流量检测。实验结表明：在检测，网络流量特征提取、异常流量检测效果均符合应用需求。

关键词：智能变电站;过程层网络;异常流量检测;网络演算;支持向量模型

Abstract：In order to avoid abnormal changes in the network communication at the process level of the smart substation， it is necessary to accurately detect the abnormal traffic at the process level network of the smart substation. To this end， a new detection method is proposed. In this study， a substation communication network flow calculation model based on network calculus is designed， all root nodes are set as sources， and the surrounding input and output ports are connected through flow routing to obtain the input and output flow of all equipment ports in the process layer network of the intelligent substation . This study also uses the optimized support vector model to detect abnormal traffic， classify network abnormal traffic from normal traffic， and implement network abnormal traffic detection at the process level of intelligent substations. The experimental results show that： in this study， the network traffic feature extraction and abnormal traffic detection effects all meet the application requirements.

Key words： intelligent substation; process layer network; abnormal flow detection; network calculus; support vector model

智能变电站过程层网络性能入侵（简称性能攻击）、智能变电站数据入侵（简称数据攻击）是智能变电站过程层出现网络异常流量的两大源头[1]。性能攻击与数据攻击联合后变成协同攻击，协同攻击对智能变电站存在“致命威胁”。智能变电站过程层中存在变压设备与智能组件合成的智能设备、合并模块以及智能終端[2]。过程层网络流量异常与否对变电站稳定运行存在绝对性作用，优化过程层网络稳定性与安全性的核心方法就是高精度检测智能变电站过程层网络异常流量，以此能够及时规避风险[3]。

智能变电站过程层网络流量存在周期性，周期性流量数据多，变动性低，运行较为稳定[4]。但是，一旦变电站异常事件出现集中爆发模式时，过程层网络会出现瞬时异常流量，在此条件下，本研究提出新的智能变电站过程层网络异常流量检测方法，以实现高精度异常流量检测为目标，并在实验中验证该方法检测精度可观，对智能变电站安全保护存在协助作用[5]。

1 网络异常流量检测方法

1.1 基于网络演算的变电站通信网络流量计算模型

则能够获取智能变电站过程层网络中全部设备端口输入Qq×e与输出流量Ge×1。

1.2 基于优化支持向量模型的异常流量检测方法

1.2.1 异常流量检测预处理

异常流量检测预处理主要是使用时间窗量化智能变电站过程层网络流量特征属性熵[11]。根据时间顺序，将m个数据包设成一个时间窗口，将此时间窗口设成智能变电站过程层的一个单位流量，运算单位流量特征属性熵[12-13]。特征属性熵量化的方法是：

实际应用时，由于智能变电站过程层网络流量存在周期性，且流量数据存在极小单位状况，上述方法在检测异常流量时，难免会存在检测误差。为此，本研究将半监督K-means聚类算法导入支持向量机模型中，以此优化支持向量模型[17]。则异常流量检测步骤如下：

（1）在存在少数标签的智能变电站过程层网络流量样本中，按照种类标签，设置h的初始值，将存在少数标签的智能变电站过程层网络流量样本设成h个簇中心[18-19]。

（2）对存在少数标签的智能变电站过程层网络流量实施近邻分配后，通过全部流量至簇中心的误差平方值判断智能变电站过程层网络流量簇的聚类质量[20]。

（3）设h=h+1。

（4）将未曾被标记的智能变电站过程层网络流量样本中一点ε设成新簇的簇中心。

（5）将未曾被标记的智能变电站过程层网络流量实施近邻分配，判断智能变电站过程层网络流量聚类质量。

（6）如果未曾被标记的智能变电站过程层网络流量h次聚类质量大于h-1次聚类质量，那么回到第（3）步，反之进入第（7）步。

（7）校对新增簇中心点是否存在孤立簇，如果存在，在簇中心点集与没有被标记样本集中去除此点，使h=h-1。如果不存在，设置新的h值与h个簇中心点，将其设成未曾被标记的智能变电站过程层网络流量的簇中心[21-22]。

（8）智能变电站过程层网络流量样本集通过上述步骤能够获取两类簇中心点：存在少数被标记样本集（已知少数攻击模式下）流量簇中心点、未被标记样本集（未知攻击模式下）流量簇中心点[23]。

（9）最后使用式（15）、式（16）描述的分辨标准对第（8）步获取的智能变电站过程层网络流量两种簇中心点进行再次分类，实现异常流量准确检测。

2 实验结果与分析

2.1 实验参数设定

实验使用的智能变电站过程层网络流量数据为辽宁省某大型电网的智能变电站过程层网络流量包。将此流量包通过winpcap程序进行解析，获取智能变电站过程层网络流量数据集，把此数据集依次是划分成训练数据集与测试数据集，数据集整体大小是4 GB，使用本研究方法对此进行智能变电站过程层网络异常流量检测。

在此数据集中，存在4种攻击类型，假设网络攻击和拒绝服务攻击被认定为正常流量攻击类型，恶意软件攻击和暴力破解为异常流量攻击类型，详情如表1所示：

实验仿真硬件平台是常规PC，此主机配备操作系统属于MAC系统，内存128 G。实验仿真软件工具是Matlab 2019。

2.2 网络流量特征提取效果分析

在表1所设定的数据集中使用本研究方法进行智能变电站过程层网络流量特征提取，表2是差异流量特征数量下，本研究方法对异常特征分类精度的测试结果：

分析表2可知，伴随智能变电站过程层网络流量特征量的增多，4种异常攻击模式下，本研究方法对智能变电站过程层中异常流量特征分类精度并未遭到负面影响，而呈现逐渐递增的趋势，且当智能变电站过程层网络流量的特征量增加至一定数量时，分类精度保持最高值，本研究方法的分类精度最大值为98%，最小值也高达95%，分类精度较高。

表3是差异特征数量下，本研究方法对智能变电站过程层网络异常流量特征的分类耗时：

由表3中测试结果显示，4种异常攻击模式下本研究方法对异常流量特征分类耗时极少，伴随特征量的增多，本研究方法分类耗时虽存在小幅度提升，但是控制于1 s之内，分类速度极快。

2.3 异常流量检测效果测试

使用本研究方法对表1中4种异常攻击模式下的异常流量进行检测，为了凸显本研究方法在同类方法中的使用优势，将对比方法依次设成基于熵值计算的异常流量检测方法、基于流量行为特征的异常流量检测方法。基于熵值计算的异常流量检测方法在SDN的基础上，利用SDN控制转发分离的思想，引入集中式安全中心，在数据平面设备上采集数据，分析网络流量，通过熵计算和分类算法判断网络中的异常流量行为。安全中心通过SDN控制器与安全处理模块的接口，通知SDN控制器上的安全处理模块，对检测到的网络异常情况进行流表策略发送，从而减轻网络异常行为。基于流量行为特征的异常流量检测方法在分析研究四川大学网络出口流量行为的基础上，构建用户行为特征集模型，采用改进的k-means++余弦聚类算法建立正常流量行为模型，通过测量流量行为与正常行为模型之间的偏离距离来识别异常流量。本研究利用 Spark大数据处理平台实现了特征提取、k-means改进算法以及异常检测的研究与开发，并通过实验验证了该方法的可行性与有效性，实验结果表明本研究提出的方法对异常流量行为检测具有很高的精确性与灵敏度。

根据表4测试结果显示，三种方法对4种异常流量、1种正常流量的检测性能存在差异，本研究方法的误报率最大值是0.067，漏查率最大值是0.027，两种对比方法的误报率与漏查率和本研究方法相比，不存在使用优势，由此得知，本研究方法对DOS、U2R、Probing、R2L四种异常攻击模式下的異常流量，以及正常流量的检测性能更符合智能变电站过程层网络流量监测需求。

上述实验都是对已知攻击模式下的智能变电站过程层网络异常流量进行检测，为了测试本研究方法使用性能不存在局限，测试三种方法对未知攻击模式下智能变电站过程层网络异常流量的检测率，结果如图1所示：

图1中，本研究方法对未知攻击模式下智能变电站过程层网络异常流量的检测率最高，且伴随异常流量数的增多，本研究方法的检测率最低值也高达95%，另外两种方法对未知攻击模式下智能变电站过程层网络异常流量的检测率较低，不存在使用优势。

3 结论

变电站是电网运行核心，智能变电站凭借自身智能化与数字化的优势逐渐取代传统变电站，智能变电站符合当下电网运行低风险的需求，全面掌控智能变电站网络通信流量状态是实现智能变电站可视化监测的前提。所提出的智能变电站过程层网络异常流量检测方法对智能变电站过程层网络安全监测存在可用价值。智能变电站过程层网络不同流量特征数量对本研究方法的检测性能不存在较大影响，对智能变电站过程层网络流量特征分类精度与分类效率不存在劣势。且对DOS、U2R、Probing、R2L四种异常攻击模式下的异常流量检测性能优于对比方法，对未知攻击模式下智能变电站过程层网络异常流量的检测率最低值也高达95%，在对比方法比较之下，本方法更适用于智能变电站过程层网络异常流量检测工作中。

参考文献

[1] 李辉，刘海峰，赵永生，等.智能变电站过程层组网改进方案[J].电力自动化设备，2017，37（3）：218-223.

[2] 凌光，王志亮，吕建龙，等.基于OPNET的智能变电站过程层网络建模方法[J].中国电力，2017，50（1）：79-84.

[3] 罗凌璐，彭奇，王德辉，等. 智能变电站过程层网络监控方法[J]. 电力系统自动化， 2018， 42（11）：151-156.

[4] 陈旭宇，黄堃，曾中梁，等. 一种用于智能变电站的过程层光网络结构[J]. 光通信技术， 2019， 43（2）：50-53.

[5] 郝唯杰，杨强，李炜. 基于FARIMA模型的智能變电站通信流量异常分析[J]. 电力系统自动化， 2019， 43（1）：215-226.

[6] 张嘉誉，章坚民，杨才明，等.基于信息物理融合的智能变电站过程层网络异常流量检测[J].电力系统自动化，2019，43（14）：173-184.

[7] 赵明君，吕航，杨贵，等. 基于流量控制的智能变电站网络传输可靠性提升方案[J]. 电力系统保护与控制， 2019， 47（10）：147-152.

[8] 孙宇嫣，蔡泽祥，郭采珊，等.基于深度学习的智能变电站通信网络故障诊断与定位方法[J].电网技术，2019，43（12）：4306-4314.

[9] 陶文伟，高红亮，杨贵，等.智能变电站过程层冗余组网模式及网络延时累加技术研究[J].电力系统保护与控制，2018，46（8）：124-129.

[10]朱小红，王利平，杨琪，等. 基于Markov的智能变电站二次系统间隔层和过程层可靠性评估[J]. 电测与仪表， 2019， 56（8）：79-86.

[11]张勇，李丹，文福拴，等. 基于IEC 61850的智能变电站过程层故障诊断[J]. 电力建设， 2018， 39（3）：42-48.