SDH通信传输网络节点数据传输异常检测方法
2024-05-22国网江苏省电力有限公司信息通信分公司王义成张云翔
国网江苏省电力有限公司信息通信分公司 顾 彬 王义成 张云翔 郭 焘
随着互联网技术的进一步成熟与发展,SDH通信传输网络技术逐渐被广泛应用到多个领域中,比如电力领域,目前大部分电力设备控制系统中引进了SDH 通信传输网络,SDH通信传输网络的应用,推动了电力设备控制系统信息化与工业化发展,扩宽了电力设备控制系统的发展渠道。但是由于SDH 通信传输网络具有开放性特性,网络用户可以凭借网络漏洞,或者缺陷进入到传输网络中,对电力设备数据信息进行窃取或者破坏,带来各个系统之间的数据传输安全问题。
为了确保SDH 通信传输网络节点数据传输安全,目前大部分电力企业引进了数据传输异常检测技术,对SDH 通信传输网络中所有节点数据传输行为进行检测,识别到异常数据信号,根据检测结果作出相应的预警提示,为采取防御措施提供重要依据。目前应用的检测方法主要是在各个节点之间增设数据异常扫描系统,通过编写相关网络传输协议与传输行为审计,判断节点之间数据传输是否存在异常情况。
这种方法对于SDH 通信传输网络内部来说比较安全,但是对于外部传输,尤其是长距离传输以及跨区域传输所带来的安全问题,检测效果并不理想,在实际应用中误检率和漏检率均比较高,传统方法已经无法满足实际需求,为此提出了SDH 通信传输网络节点数据传输异常的检测方法:利用数据采集器拾取到数据驱动器中同一个ID 地址的数据样本,采用十字转门对节点数据传输流程进行数字化描述,识别到数据传输异常行为,利用小波分析技术计算出存在异常行为数据的传输偏差,提取传输异常特征,设定检测阈值,判断数据传输是否异常,采用分级检测法确定数据传输异常等级,生成检测报告,以此来完成SDH 通信传输网络节点数据传输的异常检测。
1 数据传输异常特征提取
节点数据在SDH 通信传输网络特定通道内传输行为,可以看作是数据流在通道内流动过程,根据数据传输异常检测需求,此次利用十字转门模型对节点数据在通道流动过程进行数字化描述。在SDH通信传输网络中安装一个数据采集器,利用数据采集器拾取到数据驱动器中同一个ID 地址的数据样本,对节点数据样本进行小波分析,计算到小波系数值,提取到节点数据传输行为异常特征[1]。假设节点数据在SDH 通信传输网络中进行传输的过程定义为L,利用十字转门对L 进行数字化描述,其用公式表示为:L={(s,u)|i∈L}。
式中:s表示节点数据在SDH 通信传输网络信道传输过程中信息流元素的标识信息;u表示获取到的节点数据样本中自助式信息流的特征值;i表示获取到的节点数据样本[2]。节点数据完成传输后,其对应的特征量会发生变化,其用公式表示为:U[L]+[z]=u。
式中:U表示在SDH 通信传输网络中完成传输的所有标识信息为某一元素的样本数据统计量;[z]表示节点数据传输空间[3]。通常情况下,SDH 通信传输网络中节点数据传输是通过数据驱动器完成的,因此节点数据与数据驱动器上的传输报文是相一致的,数据传输空间地址与数据驱动器中节点数据传输目标IP 地址相一致,因此传输的节点数据数量与节点数据样本中自助式信息流的特征值相等,将其与特征值比对,即可识别到网络中节点数据传输异常行为,其用公式表示为:e/u=1。
式中:e表示传输的节点数据数量。将传输的节点数据进行检验,是否满足公式(3),如果满足,则表示节点数据传输行为正常;如果不满足则表示节点数据传输异常[4]。由于SDH 通信传输网络存在特殊性,并不能完全依靠以上条件判别节点数据传输一定异常,为了保证数据传输异常检测精度,对识别到行为异常的数据样本进行小波分析,提取到异常特征[5]。对行为异常的数据样本计算出小波系数值,其用公式表示为:gj=ε×(d/h)e/u=1。
式中:gj表示传输网络中第j个节点数据小波系数值;ε表示未有明确归属的系数;d表示各个节点数据之间的平均间距;h表示节点数据区间长度[6]。根据小波系数值计算出节点数据传输偏差,其计算公式为:Y=gj-M。
式中:Y表示节点数据传输偏差;M表示节点数据的基准值。传输偏差可以反映出节点数据传输状态特征,为后续异常预警检测奠定基础。
2 设定数据传输异常检测阈值
根据实际情况设定数据传输检测阈值,阈值是数据传输异常判断的重要依据,根据SDH 通信传输网络中传输节点数据总量与高斯数据标准差,计算出阈值:W=ρ(21lnN)1/2。
式中:W表示数据传输异常检测阈值;ρ表示SDH 通信传输网络中高斯数据的标准差;N表示SDH 通信传输网络中传输的所有节点数据总量[7]。将上文计算到的数据传输偏差与阈值比较,如果数据偏差大于阈值,则表示该节点数据传输异常;如果数据偏差小于阈值,则表示该节点数据传输正常。
3 数据传输异常分级检测
在上述基础上采用分级检测法对数据传输异常进行预警检测,根据偏差超出阈值程度,确定节点数据传输异常等级,作出相应的检测预警[8]。根据检测需求此次设计低风险、中风险以及高风险三种异常等级,如果节点数据传输偏差未超出阈值的30%,则表示数据传输异常程度比较低,传输安全风险为低风险;如果节点数据传输偏差超出阈值的30%,但未超出阈值的60%,则表示数据传输异常程度一般,传输安全风险为中风险;如果节点数据传输偏差超出阈值的60%,则表示数据传输异常程度高,传输安全风险为高风险。按照上述规则确定节点数据传输异常等级,生成检测报告,以此完成SDH 通信传输网络节点数据传输异常检测。
4 试验论证
4.1 试验准备与设计
为验证本文设计的SDH 通信传输网络节点数据传输异常检测方法的时效性,以下将设计一组对比试验,选择目前最为常用的检测方法作为对照对象,为了方便后续试验陈述,以下将两种方法分别用传统方法1和方法2表述。选择某电力企业SDH 通信传输网络为试验环境,传输网络中电力设备数量共30台,利用本文设计方法对SDH 通信传输网络中电力设备数据传输异常检测。试验中,使用的电力数据集分为真实的信息流数据和注入的异常信号的信息流数据两种,注入的异常数据流主要为SFH 蠕虫病毒数据和IYDF 病毒数据。按照上述流程对传输数据信号拾取并提取异常特征,设定异常检测标准阈值,识别检测数据异常行为并作出预警,随机抽选了6个数据样本检测结果见表1。
表1 电力设备数据传输异常检测结果
设计方法基本可以完成SDH 通信传输网络节点数据传输异常检测任务,以下对具体检测效果进行评定。
4.2 试验结果与讨论
为了评价数据传输异常检测精度,选择误检率作为评价指标,误报率越高,则表示数据传输异常检测精度越低,其计算公式为:TF=E/W。
式中:TF表示数据传输异常检测误检率;E表示正常数据点被检测为异常传输的数据样本数量;W表示电力设备数据传输过程中正常数据传输样本总量。电力设备单次传输数据量为1000Byte,试验以传输数据数量为变量,利用上述公式计算出三种方法误检率,使用电子表格对实验数据记录,具体数据见表2。
表2 三种方法误检率对比(%)
从表2中数据可以看出,三种方法在误检率方面表现出明显的差异,设计方法平均误检率为0.34%,数值未超过1%,说明设计方法基本不存在误检问题。相比之下,设计方法平均误检率比传统方法1低8.44%,比传统方法2低8.13%,证明设计方法应用下电力设备数据传输异常误检水平低于两种传统方法。单一评价指标不能全面反映出方法的适用性,故选择漏检率作为检测方法第二评价指标,其计算公式为:PY=S/M。
式中:PY表示SDH 通信传输网络中电力设备数据传输异常漏检率;S表示未被检测到的传输异常数据样本;M表示传输异常数据样本总量。试验以SDH 通信传输网络节点数量为变量,最多网络节点数量为30个,利用上述公式计算出不同情况下数据传输异常漏检率,根据试验数据绘制试验结果图,如图1所示。
图1 三种方法漏检率对比图
从图1可以看出,三种方法在漏检率方面也表现出明显的差异,设计方法平均漏检率为0.35%,数值未超过1%,说明设计方法基本不存在漏检问题。相比之下,设计方法平均漏检率比传统方法1低3.62%,比传统方法2低3.02%。因此,通过以上数据与试验结果分析可以证明,设计方法具有较高的检测精度,无论是在误检率方面还是在漏检率方面,设计方法均表现出明显的优势,相比较两种传统方法更适用于SDH 通信传输网络节点数据传输异常检测。
5 结语
数据传输异常检测是SDH 通信传输过程中必不可少的一个环节,为SDH 通信传输网络数据安全传输决策、网络攻击预防措施制定等提供重要依据,此次结合SDH 通信传输网络特点以及异常检测需求,设计了一个新的数据传输异常检测方法,有效提高了数据传输异常检测精度,解决了SDH 通信传输异常检测中漏检、误检问题,为该方面研究提供了参考依据,同时也为数据传输异常检测实践提供了理论支撑。由于设计方法目前尚处于初步探索阶段,尚未在实际中得到大量的实践与操作,在某些方面或许存在不足,今后会在方法优化设计方面展开深层次研究,促进SDH 通信传输网络技术又好又快发展。