谢 旭，施学鸿，杨 柳∗，马世龙，黄桂华，杨博文

(1.国网重庆市电力公司江津区供电分公司，重庆 400000；2.重庆邮电大学通信与信息工程学院，重庆 400065)

智能电网(Smart Grid)结合了先进的信息、通信和计算技术，以促进发电、输电和配电各个方面的弹性和智能管理[1]。为了确保可靠的电力供应，结合分布式发电和新的存储解决方案，智能电网给予用户更多的控制权，公用事业部门正在推进智能电表和电网的应用和发展。智能电网是一种典型的泛在物联网络，其安全问题受到广泛关注，主要目标是确保通信的可用性、完整性和保密性[2]。与普通的IT网络不同，智能电网支持灵活和动态的拓扑结构，其关键组成部分包括高级计量基础设施、监督控制和数据采集单元、通信设施以及通信协议和标准。智能电网的安全问题包括设备、网络、调度和管理等各个方面。

最近的研究揭示了将无线传感网(Wireless Sensor Networks)纳入智能电网的重要性。无线传感网在发电、输电和配电方面有着广泛的应用[3]。在消费者方面的应用，智能无线计量是一个重大突破，智能电网中的无线传感网可以使智能无线电表与一些基于网络的应用相结合。像动态定价这样的关键决策可以在更快的时间间隔内轻松完成，而且消除了人工支持，防止了电表被篡改。鉴于电力行业的特殊性和重要性，电力传感网中的信息安全问题变得越来越重要。因此，高效、可靠的安全技术已成为电力传感网的研究热点[4]。

电力传感网能够对配电设施进行计量与监控，并进行实时数据传输。但在一些特殊的环境里，电力传感网会因为无法及时维护，导致节点之间的链接脆弱，从而会导致数据传输能效低等问题。电力传感网除了可能会受到泛洪攻击、黑洞攻击等外部攻击的威胁，还可能遭受来自内部恶意或者妥协节点的攻击，这会导致整个网络失效。电力传感网中如果出现了恶意节点，则会导致采集的数据信息被泄露，会引起巨大的网络安全事故。而当恶意节点隐藏在网络内，间歇性发动内部攻击，破坏整个网络的平稳运行，更甚者使得整个区域的网络瘫痪。因此，如何有效地检测并防御电力传感网内部的恶意节点就显得尤为重要。传统的身份认证机制可以抵抗大多数外部攻击，而来自内部恶意节点的攻击难以检测。为了解决这一问题，可以在网络节点之间建立起一种信任关系[5]，从而有效地检测恶意节点并将其从网络中剔除。

文献[6]提出了一种基于信任模型的多层不均匀分簇无线传感网安全数据融合算法，通过该信任模型能够准确评估结点的可信性，但在网络能耗上面却需要进一步改进。文献[7]提出了一种新的基于主观逻辑的无人值守无线传感器网络信任机制，以应对信任评估的主观性和不确定性。文中定义了一组信任相似度函数来检测异常信任值，能够提高信任评价的准确性，却没有详细说明如何获取准确的信任证据。

文献[8]提出了一种基于模糊信任评价和离群点检测的安全聚类协议。文中的模糊信任评价部分是针对开放无线通信媒介中传输行为的不确定性，采用区间二型模糊控制器计算信任值。在网络运行过程中，节点利用其他节点将数据传输到基站，采用行为动态监测系统获取转发节点的传输行为数据。采用知识库中的模糊集将节点的传输行为数据映射为对应的二型模糊集合，根据模糊规则库将二型模糊集映射到包含信任值的模糊集中，得到二型信任模糊集。将二型信任模糊集降型为一型信任模糊集。最后对一型信任模糊集进行去模糊化处理，得到直接信任值。此方法有效地降低了由于通信链路的不稳定性而造成的行为数据的不确定性。

文献[9]提出了一种安全数据聚合协议，这种模式是由树状拓扑结构形式的逻辑组进行的，每个组采用双数倍数的离群算法来验证，然后，树状拓扑聚合由每个节点执行，在聚合过程中进行信任评估。然而此聚合模型较少考虑数据路由，在动态路由过程中，信任计算准确性低。

文献[10]提出了一种基于分布式共识的信任机制，该机制通过共享特定信息来建立节点的信誉以检测恶意节点，这项技术是通过认知来衡量受信任节点的评价。基站从认知矩阵中收集认知并进行信任评估以检测恶意节点。然而该信任机制很难控制整个检测过程和节点的测量来识别恶意节点。文献[11]提出了一种基于时间因素的无线传感网信任模型，该方法在直接信任度和间接信任度的计算中间引入了时间衰减因素，通过反馈机制来实时更新结点的信任度，使得整体的信任值具有时效性。但其在对交互时延要求较高的无线传感网络环境下才能够发挥更好的作用。

文献[12]针对电力传感网中开关攻击，提出了一种基于机器学习的信任模型。由于恶意节点能够交替执行恶意或正常行为。在发起恶意攻击一段时间后，可以选择正常行为，以增加其信任级别。重复这个过程，很难根据信任值的水平来检测恶意节点。作者引入通信状态、数据包异常、能量消耗异常三种信任证据。首先采用无监督学习算法将初始数据集进行标记。然后使用该数据集训练支持向量机信任预测模型。然而该方法没有很好地解决误判情况。

1 基于k-Means 的电力传感网信任决策算法

1.1 网络模型

随机布置150 个传感器节点在150 m×200 m 的矩形监测区域内，且每个传感器节点都具有相同的初始能量和通信能力。本文中采用的是多跳网络，每个节点在部署完成之后，采集所在区域的传感数据，并将其发送给距离基站更近的传感器节点。中转节点的选择由采集节点和中转节点之间的距离(dij)以及节点到基站之间的距离(diS，djS)确定。发送节点为i，中转节点为j，基站为S。中转节点选择需要满足:

在节点发送数据给中转节点后，会监听中转节点接下来的数据传输行为，并收集中转节点的通信行为作为信任评估证据。当产生孤立节点时，如果孤立节点邻域内没有合适的中转节点，则不经过中转节点，孤立节点直接将采集的数据发送给基站。

1.2 传输模型

由于电力传感网是部署在开放的无线通信环境中，会因为距离的远近产生衰落并且会遭受周围的电磁波干扰，导致信道质量时好时坏。所以这里引入信道的两种状态。S0和S1分别表示信道好的状态和信道坏的状态。a0和a1分别表示变成好信道和坏信道的概率，且a0＋a1＝1。当随机数p>a0时信道变成好信道，而且当随机数p

传感器节点在传输数据时的损耗可以是自由空间传输模型，也可以是多径衰落模型，模型取决于发送机和接收机的距离。如果d小于距离阈值d0，则应用第一个模型。否则，选择第二个模型。距离阈值d0计算方式如式(2)所示，其中参数对应为上述两种传输损耗模型的放大特征常数。

在数据传输过程中，传感器节点对于距离为d的k位数据包所消耗的能量为:

式中:Eelec是发送机或接收机电路消耗的能量。接收机能耗为:

式中:k为接收到的数据包长度。

1.3 信任模型

信任评估的第一步是选取信任因素，根据不同的网络选取合适的信任因素是设计信任模型的基础。电力传感网中内部攻击的形式是不同的，导致恶意节点的行为证据也不一致，虽然根据更多的行为证据能够计算更精确的信任值，但由于传感器节点的资源有限并且计算能力局限，即信任因素的数量和传感器节点自身资源存在制衡，过于复杂的信任模型不适用电力传感网，所以不能将太多的因素考虑进去。所以选取如下两个信任因素。

1.3.1 成功转发率(SFR)

由于节点资源能力的限制，所以本文选择的网络是多跳网络，远离基站的节点需要借助其他距离基站更近的节点转发数据包，部分恶意节点会不配合其他节点进行转发服务，导致数据丢失进而基站接收不到数据包，还会影响终端对该发送节点产生误判。因此，为了识别恶意节点对其他节点的不服务行为，定义成功转发率SFRi，j(t)为周期时间t内成功转发次数所占总交互次数的比例:

式中:Si，j(t)为周期时间t内，节点j为节点i成功转发数据包次数；Ri，j(t)为周期时间t内，节点i给节点j发送数据包总次数。

1.3.2 实时转发率(TFR)

当节点i将数据包发送给j时，节点i会在最大监测时长内监测节点j，以判断节点j是否实时转发数据包。当节点j在规定时间内转发了数据包，节点i则判定节点j实时转发了数据包；当节点j超过规定时间但是在最大监测时长内转发了数据包，节点i判定节点j没有实时转发数据包；当节点j在最大监测时长内也没有转发数据包，节点i会进行数据包二次重传，此时节点j若转发了数据包，则判定没有实时转发数据包，若仍然没有转发数据包，则判定没有成功转发数据包。恶意节点没有实时转发数据包，会导致发送节点监测至最大时长甚至二次重传，严重浪费资源匮乏的传感器节点的能量，进而会缩短网络生存期，增加布网成本。因此，为了识别恶意节点未按时服务的行为，定义实时转发率TFRi，j(t)为周期时间t内实时转发次数所占总交互次数的比例:

式中:RTi，j(t)为周期时间t内节点j为节点i实时转发数据包次数；Ri，j(t)为周期时间t内，节点i给节点j发送数据包总次数。

信任评估的第二步则是根据信任因素来收集节点通信行为证据，在整个电力传感网部署完成之后，所有节点开始训练阶段的工作。节点读取本地消息，通过所有节点的位置信息和基站的位置信息，根据距离计算公式得到合适的中转节点。节点将采集到的数据发送给中转节点，同时利用行为监测系统监测中转节点的两种通信行为证据SFR 和TFR，并将这些信任证据存储到内存里。

第三步进行训练阶段。每个节点将存储的两种行为证据提取出来。将提取出来的行为证据通过k-Means 聚类预处理，以降低由于开放通信环境导致行为证据的不确定性对评估结果的影响。将三种聚类结果分别打上标签，分别为可信节点、不可信节点和恶意节点行为证据。此时再用带有标签的数据训练决策树，并将部分行为证据当作测试集去测试决策树是否收敛。训练好的决策树计算量小且有很高的数据敏感性，能够快速辨别出行为异常的恶意节点。

最后节点将候选中转节点的实时行为证据数据作为训练后的决策系统的输入，然后得到中转节点的信任等级，进而节点可以根据信任等级判断中转节点是否可信。当发现恶意节点时，将恶意节点数据上报基站，基站根据不同节点上报的综合信息决定是否从网络中剔除恶意节点。本文所提出的信任决策算法具体流程如图1 所示。

图1 算法模型流程图

1.4 信任证据的生成和分类

为了训练信任决策模型，首先需要采集信任证据数据，并且对这些数据进行标记。在整个网络开始运行后，节点按照中转节点计算公式选取合格的中转节点，并将这些节点存入表中，每轮开始将从表中随机选择一个中转节点进行数据传输，同时使用行为监测系统监测中转节点的成功转发率和实时转发率。且设置一定比例的恶意节点，恶意节点会按照概率进行丢包和延时行为，分别为Pl和Pd，在前20 轮，将收集到的行为证据作为数据样本进行分类。本文采用k-Means 聚类算法，主要原因是与其他无监督学习算法相比，k-Means 算法更简单快速，较为适合传感网。随机抽取了20 个节点的行为证据组成数据样本集X＝{X1，X2，X3，…，Xk}，其中每个样本都具有2 个维度的属性:SFR 和TFR。开始会初始化，随机选择3 个聚类中心{C1，C2，C3}，分别代表可信节点、不可信节点和恶意节点对应的信任证据。分别计算数据样本中的X1～Xk到C1～C3欧氏距离dis(Xi，Cj)，如下式所示:

式中:Xi表示第i个对象，1≤i≤400；Cj为不同类别的中心，且1≤j≤3；Xit为第i个样本的第t维属性，1≤t≤2；Cjt为第j个聚类中心的第t维属性。

依次比较样本集的Xi到设定好的聚类中心Cj的欧氏距离，根据距离最近原则将Xi打上所属聚类的标签，将样本集的所有样本打上标签之后则会存在三个聚类。再更新第j个聚类的第t维属性Cjt:

式中:Xit为第i个样本的第t维属性；｜Sj｜为第j个聚类的成员数量。

重复以上过程，需要重新计算Xi到新定义的聚类中心Cj的欧氏距离，同时再根据距离最近原则将Xi打上所属类簇新的标签，同时去掉旧的标签。一直循环这样的步骤，直至迭代到聚类中心的变化小于设定的阈值时，结束算法的运算。最终得到三个聚类，并且每个样本Xi都带上最后所属类的标签。

1.5 信任决策模型训练及信任决策

本文在信任评价过程中采用分类算法对信任程度进行分类，而不是直接计算信任值。因此选择的是C4.5 算法，它采用了信息增益率进行特征选择，弱化了主观性地偏向子类别多的特征选择。

首先需要将标记好的行为信任证据进行模糊化，它们分别会根据转发率高低分为三个模糊信任层次{Low、Medium、High}。由于信道的不确定性和恶意节点不同程度的恶意行为，模糊层次的生成由k-Means 的聚类结果决定。所以SFR 和TFR 的模糊层次每个等级界限不同，如表1 所示。再将模糊化的信任证据进一步构成决策树用于信任等级分类，如图2 所示。节点信任等级用{T1、T2、T3}表示。

表1 行为证据模糊划分

图2 信任证据模糊化与决策树构建

其中将模糊化的行为证据用于训练信任决策树，需要以下几个步骤:

1.5.1 计算类别信息熵

类别信息熵表示的是所有样本中各种类别出现的不确定性之和。上文中训练集X中的数据类别数为m＝3，每个类别在样本中的比例为Pi，即类别信息熵为Info(X)，如下式所示:

1.5.2 计算每个属性信息熵

每个属性的信息熵相当于一种条件熵。他表示的是在某种模糊等级的条件下，各种类别出现的不确定性的总和。本文中的属性为SFR 和TFR，即属性信息熵Info(Xl)的表达式为:

1.5.3 计算信息增益

信息增益表示信息不确定减少的程度，如果一个属性的信息增益越大，就表示用这个属性进行样本划分，可减少划分后样本的不确定性。选择该属性可以更快更好地完成分类目标。信息增益(Gain)＝类别信息熵－属性信息熵。

1.5.4 计算属性分裂信息度量

用分裂信息度量来考虑某种属性进行分裂时分支的数量信息和尺寸信息，并将这些信息称为属性的内在信息。信息增益率＝信息增益/内在信息。会导致属性的重要性随着内在信息量增大而减小。Qi为此属性的每个模糊等级在数据集X中的占比。

1.5.5 计算信息增益率

信息增益率IGR 越高，越倾向选取此属性作为分裂属性。

因此选择SFR 为分裂属性，在分裂之后，在SFR 属性为Low 的情况下，若其节点类别全部为恶意节点，则将它定义为叶子节点，选择其他不全为一种等级类别的继续分裂，重复将模糊化的行为证据训练成决策树的过程，直至完成训练。

在训练完成后，得到一个完善的节点信任决策模型。随着网络的运行，节点会继续监控中转节点，将实时获取到的中转节点行为数据作为决策模型的输入，从而得到节点的信任级别。若是节点为恶意节点，便将此节点从中转节点列表里删除且上报给基站；若是不可信节点，将会减少与此节点的通信次数；若是可信节点，将会保持通信情况。且随着网络的持续运行，此期间的所有中转节点行为的证据都会被收集，在特定轮次重新训练决策树，以适应环境的变化和恶意节点攻击频次的改变。

2 实验分析

为了分析和验证本文提出的信任决策算法，使用MATLAB 软件对实验进行仿真分析。节点初始能量为1 J；丢包和延迟转发攻击概率均为0.2；其他能量及数据包参数设置参考文献[8]。

2.1 恶意节点检测率结果

恶意节点检测率结果如图3 所示，从图中可以看出，随着恶意节点的比例增加，本算法的检测率提高，因为恶意节点增多导致行为数据差异性更大，但是由于采用了初期分类训练的数据集去训练决策树，使得决策树能够更好地解决由信道质量和节点恶意行为随机性导致的行为数据不确定性问题。而LCT 算法由于划分标准云时对恶意节点容忍度过高，造成部分恶意节点误判。TEUC 检测率不高是由于前期决策树的训练不足，只将恶意节点和非恶意节点产生行为数据用于训练决策树，会导致过拟合。一些正常的节点被误认为是恶意节点。

图3 恶意节点检测率对比结果

2.2 吞吐量实验结果

网络吞吐量结果如图4 所示，从图中可以看出，随着恶意节点比例的增加，本文提出的算法的吞吐量逐渐下降。这是由于该算法对恶意节点的检测率非常高，大量的恶意节点被发现从而被网络移除，剩下的正常节点继续充当中转节点，导致网络寿命和吞吐量下降。而TEUC 由于过拟合的原因，会将很多正常节点当成是恶意节点。因此，一部分正常节点不再被充当中转节点，从而使网络寿命缩短，导致网络吞吐量下降。

图4 网络吞吐量对比结果

3 结束语

本文首先提出了一种基于信任的电力传感网安全机制，包括传输监控、行为数据聚类和信任决策。这种安全机制易于实现，而且是完全分布式的。它可以解决开放无线媒体中由于干扰而产生的传输不确定性问题。该决策模型能够自动更新，以适应动态环境和恶意节点的随机攻击。仿真结果表明，该方法能有效提高网络安全性能。未来的工作重点将放在计算基于推荐的综合信任值，以缓解开放无线媒介中传输的不确定性。此外，为了加快恶意节点检测过程的收敛速度，将进一步研究有效的轻量级数据准备机制来处理原始信任证据。