李建泽，朱明星

（国网蚌埠供电公司，安徽蚌埠 233000）

智能电网可以在抵御外部攻击行为的同时，为电量能源提供接入环境，使电力网络的稳定性得到大幅提升[1]。随着电信号传输环境的不断复杂化，异常入侵信息对智能电网的攻击能力不断增强，若这些数据样本过度占据电网存储环境，会导致电信号消耗量的持续增大，电网主机无法对入侵参量实施动态检测与处理。

为应对上述情况，基于置信规则推理(Belief Rule-Based,BRB)和长短记忆网络模型(long short-Term Memory,LSTM)的检测技术通过求解用电异常特征指标的方式，建立电信号样本的训练数据集合，再联合置信度条件，将异常入侵参量提取出来[2]。然而该方法的应用能力有限，并不能有效解决入侵信息存储量过大的问题。

大数据技术[3-4]可以对海量信息文本进行同步挖掘，不会造成数据样本的缺失，避免信息参量出现过度堆积的情况。由于大数据技术的应用必须以云计算网络为基础，因此在实施数据样本挖掘时，不会出现明显的信息逆变情况。为此，文中引入大数据技术，提出一种新的智能电网异常入侵动态检测方法。

1 智能电网入侵信息风险判定

智能电网海量信息包括入侵信息和有用信息，因此在大数据处理架构的基础上，分析异常行为指征，计算入侵风险系数，以此实现入侵风险判定。

1.1 大数据处理框架

大数据架构负责处理智能电网中的所有传输信息，根据入侵信息文本、常规信息文本码源的差异性，对其分类存储，由MapReduce 节点、Presto 节点、Streaming 节点等多个连接元件共同组成。YARN 资源层存在于大数据架构中部，可以初步分离混合样本中的入侵信息参量，并可以将提取出的数据文本存储于Flume 设备中，将常规数据信息样本存储于Sqoop 设备中[5-6]。完整的大数据处理框架如图1 所示。

图1 大数据处理架构

MapReduce 节点、Presto 节点、Streaming 节点作为YARN 资源层的上级连接结构，分别负责过滤、整合、筛选外部输入信息中具有异常入侵风险的数据样本参量。在智能电网环境中，异常入侵信息的存储量低于常规传输数据的存储量，因此Flume 设备的存储能力始终低于Sqoop 设备。

1.2 异常行为指征

异常行为指征指异常入侵信息的动态行为能力，若应用大数据技术对这些信息样本检测，智能电网主机则可以根据异常行为指征取值结果，完成对电力设备运行状态的调试[7-8]。异常行为能力定义是求解指征参量的关键环节，具体计算表达式如下：

式中，α表示智能电网异常入侵信息标记系数，s表示数据样本查询系数。

在式（1）的基础上，设δ表示异常传输行为步长值指标的初始赋值，β表示入侵行为的动态评价系数，由此可将异常行为指征求解结果表示为：

为避免异常行为指征检测结果与真实结果出现较大偏差，要求异常行为能力表达式dα＞0 恒成立。

1.3 入侵风险系数

入侵风险系数用于评价智能电网发生异常入侵行为的可能性，其取值越大表示智能电网发生异常入侵的可能性越大。

在仅考虑智能电网受到入侵，不受其他类型攻击的条件下，计算入侵风险系数。该结果受风险性信息偏离度、数据样本累积量两项物理指标的直接影响[9-10]。

风险性信息偏离度表示为γ，由于数据信息传输方向只能由电网输入端指向电量消耗端，因此指标γ的取值始终大于零。数据样本累积量表示为ΔA，在单位时间内，该指标的取值范围是[)1,+∞ 。根据上述参数，可将入侵风险系数求解式定义为：

式中，f表示大数据度量系数，χ表示风险参考项的初始赋值，χ′表示风险参考项的最大赋值结果。

由于智能电网异常入侵行为不能脱离常规传输数据而独立存在，因此入侵风险系数计算结果为零时，表示当前情况下智能电网中不存在数据传输行为。

2 异常入侵行为动态检测

2.1 动态检测目标

在常规传输数据与异常入侵信息同时存在的情况下，主机元件需要根据动态检测目标定义结果，确定异常入侵信息所能到达的传输区域，从而实现数据文本的针对性处理[11]。

设φ表示异常入侵信息初始传输节点标记系数，kφ表示节点φ承载的异常入侵信息样本总量，kmax表示异常入侵信息样本总量最大值，lε表示当异常入侵信息样本为ε时的检测权限。基于上述参数设定，将智能电网主机通过大数据技术所提取到的动态检测目标定义式为：

在智能电网环境中，若检测主机所捕获到的动态目标数量超过求解所得的标准定义条件，则表示该电网发生严重入侵现象的可能性较高；相反若动态目标捕获数量远低于标准定义条件，则表示该电网的防御能力较强，入侵现象发生的概率相对较低[12]。

2.2 威胁性度量值

在智能电网环境中，威胁性度量值决定异常入侵行为的表现能力，当动态检测目标保持为定值状态时，主机元件可以根据威胁性度量指标的取值结果，判断异常信息在数据库主机中的存储占比情况[13-14]。

设μ表示待检测信息参量的动态赋值参量；ν表示智能电网异常入侵信息统计向量的初始赋值，一般来说，ν指标的最小取值为1；表示智能电网环境中的入侵信息参量检测特征值；ϕ表示基于大数据技术的入侵信息参量检测系数；H表示异常入侵信息的威胁性判别指标。在上述物理量的支持下，可将智能电网异常入侵信息的威胁性度量值求解结果表示为：

威胁性度量指标小于零表示智能电网异常入侵信息的攻击影响能力相对较低，但是并不代表智能电网环境中不存在异常入侵行为。

2.3 损失函数

实施智能电网异常入侵动态检测时，损失函数表达式约束检测主机对于待测信息文本的辨识能力[15-16]。建立损失函数时，首先需要求解电网数据损失参量的定义式：

式中，ω表示入侵信息文本的检测指征，I表示异常信息入侵行为强度，y′表示待测信息文本的辨识权限，uθ表示入侵信息θ的异常反应行为向量。

根据式（7）的计算结果得到智能电网异常入侵后的损失，损失小于零代表智能电网未受到异常入侵；反之，受到异常入侵，需要采取相关措施对其处理。

至此，实现基于大数据技术的智能电网异常入侵动态检测方法的理论研究。

3 实验与结果分析

3.1 实验环境

搭建图2 所示的智能电网回路，将电流表、电压表示数全部归零，闭合三相调压交流电源的控制开关，使IN4007 处理器能够准确记录电信号收发器元件的电量输出行为。

图2 智能电网回路

由于电信号收发器、IN4007 元件只能接收直流电量信号，因此三相调压交流电源输出的电量信号必须经过转换处理后，才能进行后续传输。

3.2 实验流程

以异常入侵信息存储数值、异常入侵信息存储占比量为指标，在图2 的智能电网中设计实验，具体实验流程如下：

步骤一：将图2 所示智能电网回路与MySQL 电网数据库相连，当电信号收发器元件中的电量输出行为趋于稳定后，记录信息样本存储数值的变化情况；

步骤二：利用基于大数据技术的智能电网异常入侵动态检测方法控制MySQL 电网数据库，将所得变量作为实验组数据；

步骤三：利用基于BRB 和LSTM 网络的检测技术控制MySQL 电网数据库，将所得变量作为对照组数据；

步骤四：利用Server 主机选取已存储数据中的异常入侵信息样本，统计入侵信息在MySQL 数据库中的实际存储量，并将该数值与MySQL 数据库的存储总量对比，分析异常入侵在电网存储环境中的占比情况。

3.3 实验结果

异常入侵信息在电网存储环境中的占比情况能够反映电网主机对入侵参量的检测与处理能力[17-19]，在数据样本保持动态传输的情况下，异常入侵信息在电网存储环境中的占比量越小，表示电网主机对于入侵参量的检测与处理能力越强。

设MySQL 电网数据库的存储总量为600 MB，图3 记录了实验组、对照组检测方法应用后的异常入侵信息的实际存储数值。

图3 异常入侵信息存储数值

分析图3 可知，随着电量信息动态传输速率的加快，实验组和对照组应用后的存储总量存在小幅度波动。当电量信息动态传输速率达到4.5 MB/s时，实验组异常入侵信息存储量达到最大值205 MB，对照组异常入侵信息存储量时取得最大值310 MB，与实验组最大值相比，增大105 MB。

联合图3 中的记录数值对异常入侵信息存储占比量进行计算，详情如表1 所示。

表1 异常入侵信息存储占比量

分析表1 可知，在实验组检测方法应用后，异常入侵信息在电网存储环境中的占比量均值为32.1%，在对照组检测方法应用后，占比量均值为49.8%，与实验组均值相比，增大17.7%。综上可知，应用所提出方法后，有效解决了异常入侵信息在电网环境中存储占比量过大的问题，这与提升智能电网主机对入侵参量动态检测与处理能力的设计初衷相符合。

4 结束语

文中提出的智能电网异常入侵动态检测方法在大数据技术的支持下，通过求解异常行为指征与入侵风险指标的具体数值，判断智能电网信息风险值。根据动态检测目标的赋值结果，确定威胁性度量值的取值范围，从而构建完整的损失函数表达式，实现智能电网异常入侵检测。随着这种新型检测方法的应用，异常入侵信息过度占据电网存储环境的情况得到较好缓解，为实现智能电网主机对于入侵参量的动态检测与处理提供了可能。