基于深度学习的智能变电站过程层网络异常流量检测方法

技术领域

本申请属于网络安全技术领域，涉及智能变电站网络安全管理，具体涉及基于深度学习的智能变电站过程层网络异常流量检测方法。

背景技术

智能变电站通信网络对变电站设备的有效管控，实现了变电站的自动化、现代化管理。变电站网络中不同设备间的通信遵循IEC 61850标准。其中过程层网络涵盖了采样测量值SMV和GOOSE报文信息，连接了过程层和间隔层智能设备，同时也作为沟通电力系统电气量与反映各装置通信量的连接纽带，是智能电网工控域实现感知和控制功能最关键的通信网络。

在正常的运行过程中，智能变电站过程层网络数据流主要是周期性数据流和少量的随机性数据流，偶尔伴随着影响数据流流量峰值的突发性数据流，总体特点上呈现出明显的周期性和不规则变动性。影响正常运行因素有两种，其一是影响过程层网络通信性能的因素，诸如通信设备异常等，影响结果会反映在过程层网络数据流的变化上。例如以DoS攻击为代表的面向网络性能攻击，会使数据流流量在短时间内明显增大，从而影响、恶化数据流的实时性功能，甚至使其失效，对电网安全稳定运行构成严重威胁。其二是以合并单元接触不良为代表的异常故障等，会使数据流流量呈现降低趋势，造成采样值、开关状态与设备状态等信息上送发生异常，也会对变电站正常监测感知和控制执行等操作带来隐患。变电站网络数据流流量的波动会随着异常或者攻击的发生而产生不同的波动，当变电站网络数据流流量异常的潜在威胁发生恶化，将导致网络异常、通信故障、乃至严重的危及供电可靠性的停电事故。

现有技术中针对智能变电站网络数据流量异常检测的研究，大多数采用基于时域统计的方法。采用统计分析的模型进行建模，分析历史流量数据，构造正常数据流量的区间阈值，从而实现数据流量的异常检测。但是基于阈值原理的方法往往具有阈值设定困难、检测出现高误判或漏检等问题，因此包括深度学习在内的人工智能技术也被引入，其优势在于能辨识数据内在特征并融入建模中，克服了上述阈值设定不合理造成的一系列问题。在处理数据量多及数据维度高的数据集上，深度学习方法具有优势。目前针对智能变电站过程层网络数据流量异常检测的相关研究较少，大多是关注变电站站控层的网络流量的检测研究，同时也未涉及使用深度学习的方法进行变电站过程层网络流量异常检测研究。

发明内容

针对现有技术的不足，本发明提出了基于深度学习的智能变电站过程层网络异常流量检测方法，针对过程层网络流量进行特征提取，并且引入深度学习的方法，可以提高异常流量的检测准确率，降低检测的误判率和漏检率。

基于深度学习的智能变电站过程层网络异常流量检测方法，具体包括以下步骤：

步骤1、收集变电站过程层网络时序流量数据，包括正常数据和异常数据，构建带标签的训练数据集。

步骤2、对训练数据集中的每一个样本分别提取时域特征和时-频域特征，进行归一化处理后，得到包括采样时刻、数据类型、时域特征和时-频域特征的特征样本数据。将LSTM神经网络与一层MLP网络级联，然后输入特征样本数据进行网络训练，得到检测模型。

步骤3、将变电站过程层网络时序流量数据输入步骤2训练后的检测模型，得到对应网络时序流量数据的类型。

作为优选，在步骤2中，通过滑动时间窗提取时域特征，通过小波包分解提取时-频域特征。

作为优选，所述时域特征包括时间窗特征以及相邻时刻的趋势特征，时-频域特征为小波包分解系数。

本发明具有以下有益效果：

引入深度学习方法可以处理数据量大、维度较高的数据样本，克服了传统机器学习方法只能处理数据量小、低维较低的数据样本的局限；引入多种特征提取方法有助于较为全面地反映时序流量的变化特性，单一特征提取方法有时难以全面地刻画时序数据变化特征具有优势；研究变电站过程层网络数据流量有助于分析网络中所连接的过程层和间隔层设备的运行状态，结合异常流量检测能够发现是否存在设备异常或遭受网络攻击的情况发生。

附图说明

图1为基于深度学习的智能变电站过程层网络异常流量检测方法流程图；

图2为T1-1型典型智能变电站网络拓扑图；

图3为LSTM神经网络结构示意图。

具体实施方式

以下结合附图对本发明作进一步的解释说明；

在本实施例中，对网络模型的训练和测试均在Python 3.7环境下进行，使用Keras2.3.1环境库搭建网络模型，采用Tensorflow 2.2.0进行计算实现。

如图1所示，基于深度学习的智能变电站过程层网络异常流量检测方法，包括以下步骤：

步骤1、使用OPNET对T1-1型变电站进行模拟仿真，收集变电站在正常情况、DoS攻击、MU接触不良三类场景下的过程层网络数据流。如图2所示，T1-1型变电站包括1条母线、1台变压器、1条进线和2条出线，网络结构可划分为3个间隔：由变压器为主构成的间隔1，以及两条出线各自组成的间隔2和间隔3。每个间隔由合并单元、断路器IED、保护和控制IED组成。各个间隔内的设备通过内部交换机与其他设备通信。

(1)正常情况：智能变电站过程层网络数据流主要是周期性数据流和少量的随机性数据流，伴随有影响数据流流量峰值的突发性数据流，总体特点上呈现出明显的周期性和不规则变动性。周期性数据流属于典型的时间驱动型数据流，可采用传递间隔、规定长度和大小的周期性报文来模拟。随机性数据流是由系统运行中随机发生的事件触发的，属于典型的外部事件驱动数据，其数学模型可以用在时间间隔t内有k个报文到达的、概率服从参数为λ的Poisson分布模拟。突发性数据流可采用Pareto重尾分布和ON/OFF模型模拟。

(2)Dos攻击：即拒绝服务(denial of service,Dos)，指具备Dos攻击的IED向过程层网络注入大量无用的数据，占据设备的可用带宽，导致网络中正常数据流无法按时传输，是一类典型的面向网络性能攻击形式，此时数据流流量呈现明显的增大且较为平稳的趋势。具备Dos攻击的IED发送的无用报文大小及发送频率可采用不同概率分布的随机数模拟。

(3)MU接触不良：作为过程层IED设备异常的一种情况，MU接触不良产生数据流的发送报文速率低于正常频率，报文长度也与正常报文长度不符，可以通过与DoS攻击模拟类似的方法，选取不同概率分布的随机数模拟报文长度和单位时间内数据包的到达数量，采用固定上下限的均匀分布模拟报文长度，采用指数分布模拟发送速率。

以过程层网络中间隔2的交换机上的数据流转发量作为流量数据来源，在通过仿真实验获取数据样本的过程中，首先对DoS攻击、MU接触不良两大类异常数据来源作详细的设定，以便获取较为可靠且全面的数据样本，如表1、表2所示，两类异常情况下分别有5种持续时间和6种异常程度，共获得60组数据。考虑单一异常发生的时刻不同以及为使获得的数据样本尽可能完备，每组数据集来源仿真获得中应调整相近的取值重复试验5次。正常情况下的数据来源，与上述异常数据流样本仿真设定时间相同，获得相等数量的数据集样本，每组的采样数据间隔均为1s。

表1

表2

步骤2、对步骤1获得的数据流流量样本采用滑动时间窗进行时域特征提取，滑动时间窗的长度L＝150s，每次移动时间窗的时间间隔△t为1秒，总共获得数据流量样本共32200个，其中正常、DoS攻击、MU接触不良三类的样本比例接近2:1:1，正常与异常数据样本的比例较为均衡。再按照8:1:1的比例划分训练、验证及测试数据集。

再通过小波包分解方法提取数据流流量F(t)的时-频域特征：

其中t表示t时刻，ψ

具体获得的特征如表3所示：

表3

再对提取到的特征x进行归一化处理，消除单位带来的影响：

其中，x

步骤3、由变电站过程层网络流量特征组成的数据集是典型的多维时序数据，需要选择合适的深度学习神经网络模型进行分类检测。常见的时序数据深度学习神经网络模型有MLP全连接神经网络、RNN递归神经网络和LSTM长短期记忆循环神经网络等。值得注意的是，随着时序数据的增加，增加MLP神经元数目或层级会使得网络参数过多，容易出现过拟合效果不佳；而RNN则存在梯度消失或梯度爆炸的问题。LSTM长短期记忆循环神经网络在这方面具有突出优势，它通过学习样本数据中与当前数据关联的先前和之后时段的信息，记忆有价值的信息，放弃冗余信息，从而降低学习难度，适合作为时序数据集的分类检测模型。

本申请使用在LSTM神经网络和一层MLP网络共同作为检测模型，模型的网络的输入层的神经元数目为输入向量的维数，输出层的神经元数目对应数据流量类型数目。

其中LSTM神经网络包括输入层、隐藏层和输出层。隐藏层中的每个神经元为一个记忆单元，每个记忆单元由遗忘门f、输入门i、输出门o和内部记忆单元c组成。LSTM内部组成结构如图3所示。具体的，输入包括t时刻的时序输入数据样本x

遗忘门f用于控制t时刻序列输入x

f

其中，f

输入门i用于控制输入x

i

其中，i

内部记忆单元c：

c'

c

其中，c'

输出门o用于控制内部记忆单元状态c

o

h

其中，o

在进行网络训练前，还需要确定以下参数：

(1)结构参数

所述结构参数包括LSTM内部神经元数目m和MLP内部神经元数目n。两者取值的不同将影响所构建的神经网络的结构，进而影响训练的准确率等，设定m＝150，n＝200。

(2)超参数

所述超参数包括批训练数目Bs、迭代次数E

批训练数目Bs为模型训练中每次取出的样本数目，训练过程中首先计算损失，然后根据优化算法，更新网络权重和偏置。如果Bs取值过小，则会使得模型训练速度变慢。如果Bs取值过大，则不能很好地更新网络的权重。因此，需要选择一个合适的值，使得训练速度和权重更新达到最优。本实例中设置Bs＝32。

迭代次数E

学习率α会影响模型训练过程的收敛情况。如果α的取值过小，会造成收敛速度缓慢。如果α的取值过大，则可能造成梯度在最小值附近来回震荡，进而无法收敛到最小值。本实例中设置α＝1。

随机失活率D

将步骤2得到的训练集输入到上述LSTM神经网络中进行网络训练，并使用验证集，验证网络的训练效果。其中第k个样本为x

步骤4、使用步骤3训练好的LSTM神经网络对测试集中的数据检测，保存检测结果，并采用准确率ACC、误报率FPR和漏报率FNR三个指标对模型性能进行评价。

TP表示异常数据被识别为异常数据样本的数量；TN表示正常数据被识别为正常数据样本的数量；FN为未正确识别出的异常数据样本的数量；FP为将正常类型流量错判为异常数据样本的数量。

准确率ACC表示被正确分类的数据样本占总数据集的比例，反应了算法的整体有效性；误报率FPR表示被错分为异常的正常样本数量占测试集正常数据集的比例。漏报率FNR表示被错分为正常的异常样本数量占被分类为正常数据集的比例。良好的检测效果应当具有高准确率、低误报率和低漏报率。

本实施例还分别通过全连接神经网络(MLP)、递归神经网络(RNN)、仅基于单一时域特征的LSTM网络和时-频域特征的LSTM网络进行检测，对比结果如表4所示：

表4

其中LSTM-Ⅰ、LSTM-Ⅱ分别表示仅基于时域特征的LSTM网络和进基于时-频域特征的LSTM网络。由表4可知，本申请的特征提取与LSTM结合的检测方法的准确率明显高于MLP和RNN，同样该检测效果高于单一特征提取下LSTM的检测效果，在低误报率和低漏报率方面也更具优势，降低了检测出假阳性率和假阴性率。

以上所述实例仅表达了本申请的实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。