智能变电站主动安全防御体系构建探索

2021-06-10吴金宇陶文伟吴昊江泽铭

电气自动化 2021年3期

吴金宇，陶文伟，吴昊，江泽铭

(1.中国南方电网有限责任公司，广东广州 510623;2.中国南方电网数字电网研究院有限公司，广东广州 510555)

0 引言

随着国家大力推进智能电网建设，越来越多的传感器和检测设备被投入使用，随之产生的海量数据，可建立一个智能变电站的主动安全防御体系，有效地缓解智能电网的信息安全问题。文献[1]基于报文识别和流量管控，提出一种智能变电站保护控制信息安全防护方法，虽然能够提高智能变电站的信息安全系数，但没有考虑到数据的隐私和保护。文献[2]基于IEC 61850协议提出了一种智能变电站的数据安全隐私保护方法，虽然能够提高智能变电站数据隐私保护能力，但是不具备主动防御能力。

本文通过数据加密和入侵检测两个方面构建的智能变电站主动安全防御方案，提高了智能变电站数据网络的安全系数。

1 智能变电站主动安全防御方案

智能变电站数据采集主要依靠各种传感器，在数据的传输中可能会受到外界的入侵。本文采用卷积神经网络模型对整个数据传输网络中的异常流量进行检测，智能变电站数据传输网络主动安全防御方案如图1所示。

图1 智能变电站数据传输网络主动安全防御方案

智能变电站数据传输网络主动安全防御架构主要分为设备层、数据采集层、入侵检测层、计算机管理层和数据存储层。

数据采集层中的数据采集单元主要负责从工业设备上采集数据，然后将数据传输到云存储中心进行存储，一些不法分子通过攻击智能变电站数据传输网络来窃取信息[3]。数据采集层处理采集设备之外，还有信息采集电路以及测试设备，信息采集电路主要为信息采集提供动力，测试设备负责对信息采集设备的采集功能进行相应的测试[4]。在测试中发现的问题可以及时改进，避免在时间信息采集中发生问题，造成不必要的损失。

入侵检测层采用改进卷积神经网络模型对网络中的异常流量进行检测[5]，通过与正常流量进行对比的方法来预测流量的类型。卷积神经网络对流量的特征进行提取，经过池化层和全连接层，根据流量的特征进行分类。分类结果的准确性会直接影响到异常流量检测的准确度，传统的卷积神经网络会因为采样过多而丢失部分主要特征，造成分类不准确。本文对其进行改造，提高分类的准确性，从而提高异常流量的检测精度。

上述架构中采用云存储对数据进行存储，云存储技术经过不断的发展已经日渐成熟，在数据存储方面具有较大的优势。相比于传统的硬件存储设备，云存储利用更小的硬件成本获得更大的存储空间[6]，已经被广泛运用到各个领域中。为了保证数据的安全，在对数据进行存储时采用全同态数据加密方法对数据进行加密，全同态数据加密方法可以根据数据所有者的需求对数据进行加密操作，并将数据以密文的方式储存在云端，从而保证了数据的安全性[7-8]。

2 关键技术设计

2.1 基于改进卷积神经网络的异常流量检测模型

传统的卷积神经网络模型(CNN)的结构主要分为三层：卷积层、池化层和全连接层。通常情况下，一个卷积层会包含多个卷积，面对数据进行卷积操作，来提高卷积的效率。假设输入的是图像采集器采集的一个m×n的图像，用矩阵x来表示这个图像，则卷积后的结果为：

h=g(x*w+b)

(1)

式中：g为激活函数;*为卷积的符号;w为卷积核;x为一个大小为m×n的矩阵;b为偏置。

在卷积神经网络中，池化一般分为两种，平均池化和最大池化，池化过程也可叫作下采样和过采样。平均池化的计算公式为：

H=avgdownλ,τ(C)

(2)

式中：C为卷积面;λ,τ为对卷积面进行的下采样大小；H为平均池化。

经过池化后，提取到的特征为更高级的特征，通过全连接层对其进行分类：

O=softmax(W*X+b)

(3)

式中：W为全连接层的权重;X为经过池化操作后得到的卷积图的特征向量;b为全连接层的偏置;O为分类公式。

在传统的卷积神经网络中，因为全连接层的数量较多，导致需要设置很多参数，会使得网络的计算效率变慢，网络臃肿更新难度大，甚至还会导致过拟合。

异常流量检测模型的设计要点如下。

(1) 卷积完成后不再进行池化操作，保留卷积后的全部特征。

(2) 卷积后的结果进入全局池化池，通过concatenate技术将平均值和最大值结果聚合成一个新的特征向量。

(3) 采用全连接层和softmax函数得到分类结果，通过与真实值对比得到损失值，根据优化算法来更新参数，直到模型收敛。

改进后的卷积神经网络模型的预测步骤：

(1) 对数据进行相应的预处理。在提取流量的特征向量时，会出现不同数量级的特征向量，进而导致分类结果不准确，本模型将所有的特征向量映射到[0,1]之间。

(2) 进行训练。将最后的预测结果同真实值进行比较,计算损失值，不断地更新参数直至模型收敛。

(3) 测试。通过步骤(2)得到一个检测模型，使用测试集来对该模型的性能进行验证，如果性能较优即可停止训练，如果性能不够优秀，则继续进行训练。

通过改进卷积神经网络模型对智能变电站数据传输网络进行流量检测，降低了被攻击的概率。

2.2 基于云存储的全同态数据加密方案

传统的全同态数据加密方案只能对整数进行加法和乘法运算，不适用于云存储中，本文为了提高该方案的适用性，满足智能变电站数据传输网络中的云存储要求，将其加密范围扩充到实数。

全同态数据加密方案由四个算法组成：密钥生成算法、加密算法、解密算法和求值算法。本文的实数的运算法则是将非整数的小数部分转化成整数，然后按照整数的运算方法进行相应的运算，提出一种实数取模运算方法来进行转化。

假设一个任意的正整数p和一个任意的实数n满足：

n=kp+r

(4)

式中：k为整数;r为实数，并且0≤r

实数取模的运算公式为：

(5)

通过式(5)的取模运算可以将全同态数据加密方案扩展到实数范围，运用到智能变电站数据传输网络的数据加密中，提高数据的安全性。

3 试验仿真与分析

对上述设计进行仿真试验。由于智能变电站数据传输网络的复杂性，选择在实验室采用Windows系统的计算机进行试验，计算机配置为i7 2.20 GHz型号CPU 4核，运行内存为16 GB，硬盘大小1 TB。

3.1 改进卷积神经网络模型仿真

本次试验的数据为智能变电站数据传输网络一周的流量统计，其中周一的数据流量全部正常，其余时间一共检测到九种网络攻击：暴力破解FTP、暴力破解SSH、渗透、WEB攻击、僵尸网络、心脏出血漏洞、端口扫描攻击、Dos和DDos。由于检测的数据流量过多，本文试验将周一的50%正常流量和其余时间的异常流量作为数据集。

由于不同特征的特征向量级数不同，为了减少计算时间，提高模型的性能，首先对数据进行归一化处理，处理公式为：

Xscale=(X-Xmean)/σ

(6)

式中：scale为sklearn中的StandardScale模块;X为每组特征向量的每个特征值;Xmean为该组特征向量的平均值;σ为该组特征向量的标准差。

本文采用精准率(precision)和召回率(recall)两个指标对模型的性能进行验证和评估。

根据混淆矩阵的原理，精准率和召回率的计算公式如下：

precision=TP/(TP+FP)

(7)

recall=TP/(TP+FN)

(8)

采用改进卷积神经网络模型和传统卷积神经网络模型对上述的数据集进行测试，对Dos类型的网络攻击进行预测，计算两种模型的预测精准率和召回率，得到表1的两种模型性能的数据。

表1 两种模型对Dos网络攻击的预测数据

从表1可以看出:改进卷积模型对Dos的预测精准率和召回率都达到了94%以上，传统的卷积模型都达到了87%以上。但是对一种类型网络攻击的预测能力并不能反映模型的性能好坏，因此，采用两种模型对其余八种的网络攻击进行预测，其精准率和召回率如表2所示。

表2 两种模型对其余八种网络攻击的精准率和召回率

从表2可以看出:改进卷积模型对其余八种网络攻击的预测精准率和召回率都高于传统卷积模型，即改进卷积模型的性能优于传统卷积模型，精准率提高了9.58%左右，召回率提高了5.26%左右。

3.2 数据加密方案性能验证

上述改进中将全同态数据加密方案的运算范围从整数扩充到了实数，本文采用整数全同态数据加密方案(整数全同态)和本文的数据加密方案(实数全同态)进行对比试验来比较两种方案的性能。首先对两种方案的加密时间和机密时间进行对比，在密钥长度为128 bit的情况下，比较两种方案对不同长度的数据加密时间和解密时间，如图2和图3所示。