常富红 李麒 狄亚平

摘要：为提高电力通信网络中的异常流量攻击行为检测的准确性与实时性，文章提出基于边缘计算的电力通信网络异常流量攻击快速检测方法。设置电力通信网络异常流量的标准特征，采集实时电力通信网络流量数据，测度电力通信网络流量数据特征。文章利用边缘计算技术快速确定异常流量攻击位置，实现异常流量攻击的快速检测。通过实验证明，设计方法的异常流量漏检率降低了1.59%，攻击位置检测误差减小了2.4 m。

关键词：边缘计算；电力通信网络异常流量；电力通信网络攻击；攻击检测

中图分类号：TP39文献标志码：A

0 引言电力通信网络遭受异常流量的攻击，不仅会影响电力系统的正常运营秩序，还会降低电力通信网络的运行稳定性和安全性^［1］。为保证电力通信网络的正常运行状态，有相关研究人员提出了基于多尺度低秩模型的攻击检测方法^［2］、基于残差分析的攻击检测方法等^［3］，但是在实际应用中却存在误检率和漏检率高的情况。为此，本文引入边缘计算技术，对电力通信网络异常流量攻击快速检测方法进行了优化。

1 电力通信网络异常流量攻击快速检测方法设计

1.1 设置电力通信网络异常流量攻击检测标准假设电力通信网络的异常流量攻击向量为ρ，发动攻击后，则受攻击电力通信网络的实时流量满足如下特征：

τ_standard=α（Ax+ρ）（1）

公式（1）中，A为m×n的电力通信网络雅可比矩阵，x为电力通信网络的状态变量，α为攻击强度。根据电力通信网络异常流量攻击行为的作用机理，确定异常流量的波动特征，并以此作为电力通信网络是否存在流量攻击的检测标准。

1.2 采集实时电力通信网络流量数据在目标电力通信网络的各个节点上安装采集程序，通过设置连续采集时间、采集工作频率等参数，获取电力通信网络中各个节点的实时流量数据。为解决不同电力通信网络节点采集数据之间的异构属性，需要利用下式对实时流量数据进行归一化处理。

公式（2）中，w為实时采集的电力通信网络流量数据，f_min（W）和f_max（W）分别对应电力通信网络流量数据的最小值和最大值。初始采集的数据中存在电量缺失、数据重复采集的情况，因此直接采集到的原始数据并不能直接进行数据分析，需要对缺失数据进行补偿并过滤重复数据，处理过程如下：

公式（3）中，w_loss，w_loss-1和w_loss+1分别表示的是缺失的流量数据及其前后数据，w_i和w_j为采集流量数据中的任意两个数据。

1.3 测度电力通信网络流量数据特征设计者设置平均流量特征、峰值特征以及偏度特征和峭度特征作为电力通信网络流量数据的特征测度指标，其中平均流量特征可以从时间和空间两个方面进行测度，时间平均流量特征和空间平均流量特征的测度结果可以表示为：

其中，W_i和W_j分别表示的是i时刻的电力通信网络流量和第j个节点的流量值，n_c和n_node对应的是流量数据采集时长和电力通信网络节点数量^［4］。电力通信网络流量数据的峰值特征的测度结果可表示为：

τ_peak=f_max（W_i）（5）

同理，可以得出流量偏度特征和峭度特征的测度结果为：

公式（6）中，变量N表示的是电力通信网络流量数据采集量，w_i为电力通信网络流量数据，τ_avg对应的是平均流量特征。最终将利用下式对测度的所有数据特征进行融合处理。

其中，τ_i和ω^-_i分别表示数据特征测度分量及其权重值，n_τ为测度的特征数量。由此得出实时电力通信网络流量数据特征的综合测度结果。

1.4 利用边缘计算技术快速确定电力通信网络异常流量攻击位置边缘计算技术的运行体系结构包括云端、边缘层和终端设备3个层次，此技术利用端边云的协作计算为诸如物联网等应用提供数据存储和资源管理等业务。电力通信网络异常节点的边缘值计算公式如下：

公式（8）中，变量κ_edge和ω^-_edge分别表示的是边缘节点系数和边缘节点权值，Q为边缘节点的能耗值。由此可以得出异常流量攻击位置与边缘节点之间的距离可以表示为：

公式（9）中，υ_c为异常流量在电力通信网络中的传输速率，Δt为异常流量到达边缘节点的时间。在已知边缘节点坐标为（x_edge，y_edge）的情况下，电力通信网络异常流量攻击位置的确定结果为：

公式（10）中，d_x和d_y分别表示的是攻击位置与边缘节点之间距离在水平和竖直方向上的分量。按照上述过程得出电力通信网络异常流量攻击位置的快速定位结果。

1.5 实现电力通信网络异常流量攻击快速检测通过电力通信网络异常流量数据特征的测度结果与设置异常流量标准特征的匹配，确定判断当前产生的流量是否为异常流量，具体的匹配过程可以量化表示为：

将公式（1）和公式（7）的计算结果代入公式（11）中，若计算得出ψ的值高于阈值ψ₀，则证明当前电力通信网络流量与异常流量特征一致，即当前电力通信网络流量为异常流量^［5］。

2 檢测性能测试实验分析为实现对基于边缘计算的电力通信网络异常流量攻击快速检测方法的开发与性能测试，采用1个包含5台服务器的集群作为检测方法的开发运行环境，集群上安装了Spark1.6.0和Hive1.2.1等工具。在实验环境与工具的支持下，基于多尺度低秩模型的攻击检测方法和基于残差分析的攻击检测方法的性能对比，体现出优化设计方法在检测性能方面的优势。

2.1 配置电力通信网络测试环境此次实验以某地区的实际10 kV电力系统作为研究对象，该电力系统中包含30个线路节点。以 Intel（R）Core（TM）i5-2520 M 处理器作为核心部件，电力系统采用分布式连接方式，在每个电力通信网络节点上安装变压器设备，用来实现不同支路对电压的需求。在选择的电力通信网络环境中配置用电终端设备，并通过对终端设备工作系数的设置，生成电力系统通信网络的运行任务。

2.2 设置电力通信网络异常流量攻击检测指标随机设置攻击目标为04，21，23，15，17，攻击强度为4.0～8.0 dbm。分别设置异常流量漏检率和攻击位置检测误差作为实验的两个量化测试指标，其中异常流量漏检率指标的数值结果如下：

公式（12）中，W_testing和W_abnormal分别表示检测得出的电力通信网络异常流量和设置的电力通信网络异常流量，其中W_testing的具体取值可通过输出的检测结果直接得出，而W_abnormal的取值由攻击程序和用电设备工作参数决定。另外，攻击位置检测误差的测试结果为；

其中，（x_attack，y_attack）和（x_set，y_set）分别为攻击位置的检测值和设置值。最终计算得出异常流量漏检率越高、攻击位置检测误差越大的电力通信网络异常流量攻击检测方法，说明其检测性能越差。

2.3 实验过程与结果分析将配置的电力通信网络环境接入电力通信网络异常流量攻击快速检测方法的运行程序中，同时启动编写的攻击程序，通过数据采集、特征提取、攻击定位等步骤，得出异常流量攻击的快速检测结果，如图1所示。

采用并行切换的方式，将电力通信网络恢复至初始状态，调整攻击检测方法重复执行攻击程序，得出不同检测方法的异常流量漏检率，具体如表1所示。

以表1内容为基础，按照公式（12）进行计算，得出传统检测方法的平均流量漏检率分别为2.07%和1.71%，而本文设计的检测方法流量漏检率的平均值为0.30%。经过公式（13）的计算，得出检测方法攻击位置检测误差的测试对比结果如图2所示。

从图2可以看出，两种对比检测方法得出攻击位置检测误差的平均值分别为3.2 m和2.4 m，优化设计检测方法得出的平均攻击位置检测误差为0.4 m。由此证明，优化设计电力通信网络异常流量攻击快速检测方法具有更高的检测性能。

3 结语

电力系统作为国民经济的重要支柱，承担着重要的能源供应任务，同时它也是现代社会的重要基础设施之一。近年来，电力系统通信网络在国民经济和社会发展中的地位越来越重要，并且影响着社会生产和生活的各个方面。本文通过对边缘计算技术的应用，实现对电力通信网络异常流量攻击行为的快速、精准检测，对于维护电力通信网络正常运行秩序具有重要意义。

参考文献

［1］黄冬梅，何立昂，孙锦中，等.基于边缘计算的电网假数据攻击分布式检测方法［J］.电力系统保护与控制，2021（13）：1-9.

［2］周伯阳，郭志民，王延松，等.基于多尺度低秩模型的电力无线接入网异常流量检测方法［J］.电子学报，2020（8）：1552-1557.

［3］孟永伟，秦涛，赵亮，等.利用残差分析的网络异常流量检测方法［J］.西安交通大学学报，2020（1）：42-48，84.

［4］于天琪，胡剑凌，金炯，等.基于移动边缘计算的车载CAN网络入侵检测方法［J］.计算机科学，2021（1）：34-39.

［5］杨挺，侯昱丞，赵黎媛，等.基于时-频域混合特征的变电站通信网异常流量检测方法［J］.电力系统自动化，2020（16）：79-86.

（编辑 沈 强）

Rapid detection method of abnormal traffic attacks in communication networks based on edge computing

Chang  Fuhong， Li  Qi， Di  Yaping

（State Grid Henan Electric Power Company Xuchang Power Supply Company， Xuchang 461000， China）

Abstract： In order to improve the accuracy and real-time performance of detection of abnormal traffic attacks in power communication networks， this paper proposes a fast detection method of abnormal traffic attacks in power communication networks based on edge computing. Set the standard characteristics of abnormal flow of power communication network，collect real-time power communication network flow data，and measure the characteristics of power communication network flow data. Edge computing technology is used to quickly determine the location of abnormal traffic attacks and achieve rapid detection of abnormal traffic attacks. The experiment shows that the rate of abnormal traffic leak detection of the design method is reduced by 1.59%，and the attack location detection error is reduced by 2.4 m.

Key words： edge computing; power communication network abnormal traffic; power communication network attack; attack detection