基于深度自回歸模型的電網異常流量檢測算法

李勇　韓俊飛　李秀芬　王鵬　王蓓

摘要：針對電網中行為種類復雜多樣且數量眾多的問題，提出了一種基于自回歸模型的電網異常流量檢測算法。該算法利用深度自編碼網絡自動提取網絡流量數據的特征，降低異常流量檢測的分析周期，并自動挖掘數據的層次關系。通過支持向量機對提取的特征進行分類，實現對異常流量的檢測。仿真實驗結果表明，所提算法可以分析不同攻擊向量，避免噪聲數據的干擾，進而提高電網異常流量檢測的精度，對于流量數據處理具有重要意義。

關鍵詞：自回歸模型；深度學習；異常檢測；海量數據；分析周期；支持向量機

中圖分類號：TM76 文獻標志碼：A 文章編號：1000-1646（2024）01-0024-05

隨著電網智能化技術的廣泛應用和快速發展，電網系統受到的網絡攻擊種類及數量也在大幅增加。這些攻擊行為對電網終端、數據和系統等各層級造成了安全威脅，給電網的信息安全帶來了負面影響與嚴重損失。因此，研究電網所受到的攻擊行為，并檢測出異常電網流量是保證電力防御安全的關鍵。

目前，智能電網為了應對網絡攻擊主要采用檢測和防御兩種安全措施。檢測即采用智能分析算法檢測出電網中的異常與入侵流量，并通過記錄、監控和報警等方式進行警報；防御則是對檢測到的異常流量進行抵御，包括對網絡傳輸信息與節點間調度信息的確認。由于防御措施通常是異常行為檢測報警后才執行，因此對智能電網中的異常流量進行檢測是保障電網安全的關鍵環節。

電網異常流量的檢測一般通過在已有數據庫的基礎上制定各種特征提取方案，采用靜態與動態分析相結合的方式識別出電網異常流量的類型。具體過程為：使用靜態分析方法分析數據行為流過程；調用該數據片段的安全函數并標識出數據中的缺陷片段，找出數據流的相關漏洞；使用動態檢測方法提取異常流量數據中的相關片段，并將其轉化為異常行為特征。雖然這類方法能有效地識別出各種電網異常流量，但電網中的行為種類復雜多樣且數量眾多，當使用上述方法檢測電網中異常流量時，通常需要處理大規模的數據，分析周期較長，導致系統響應時間延長。同時，現有的異常流量攻擊方法為了提高攻擊成功的幾率，通常會延長攻擊時間，導致單位時間內識別準確率降低。

針對上述問題，本文提出了一種基于自回歸模型電網異常流量檢測算法。該算法采用深度自編碼網絡自動提取網絡流量的數據特點，從而降低異常流量檢測算法的分析周期，且自動挖掘出數據的層次關系。同時，現有的網絡攻擊方法為了提高攻擊的隱蔽性，會在異常流量數據中添加正常的數據?，F有的檢測方法通常會將其識別為噪聲，使得檢測性能降低。本文提出的基于深度自編碼網絡的特征提取方法，可以在保證穩定輸出的同時得到異常流量的特征。同時，本文還采用支持向量機對深度網絡提取的特征進行分類，最終檢測出異常流量。

1 基于深度自編碼器的特征提取

傳統的智能電網攻擊檢測方法一般通過挖掘攻擊行為序列來提取約束特征，并使用相應的攻擊算法來提取攻擊特征。雖然這類方法能夠提取出各種攻擊特征，但這些特征來源于截取的攻擊行為序列，且忽略了周圍數據間的差異。因此，該方法無法保證提取出的特征有利于攻擊類型的判斷。為了解決該問題，本文根據已知攻擊行為構建約束條件來得到攻擊向量；結合靜態與動態特征分析方法，提取攻擊向量的行為特征；使用深度自編碼網絡對行為特征進行重組，提取出判別性特征。本文特征提取的具體過程如圖1所示。

1.1 攻擊向量提取

由于電網數據受到攻擊時，無論攻擊代碼的隱蔽性有多高，其攻擊目標是不變的，所以不同的攻擊方式中存在著一些無法避免的攻擊步驟。因此，本文在特征建模階段將攻擊者掌握的結構信息轉化為檢測階段的約束條件，以此減少噪聲數據的干擾。在智能電網中，攻擊優勢可以轉化為3種約束特征：

1）攻擊者能獲取到電網內節點的分布情況；

2）攻擊者能預知部分檢測機制；

3）攻擊者通過添加噪聲來最大化攻擊收益，即最大化攻擊目標函數，其表達式為

式中：a、b分別為攻擊向量和正常數據；p和q為權重，本文取p=q=1；r=a/L，其中L為狀態測量精度；D為測量數據脆弱程度矩陣。

本文充分考慮上述3種約束特征和攻擊數據間的差異性，從而反向求解式（1）得到攻擊向量。其中，3種約束條件可表示為

式中：τa為攻擊類型的閾值；c為基于正常數據集合的向量；H為智能電網節點的分布信息；M和Ⅳ為攻擊行為向量。本文為了簡化計算，將M和N表示為對角向量，則有

3 實驗與分析

本文采集包含20種攻擊類型的1000條智能電網攻擊數據和正常數據進行仿真分析。其中，800條作為訓練數據，剩下的200條作為測試數據。為了驗證所提方法的有效性，將本文算法與決策樹算法和邏輯回歸算法結果進行比較。

由于模型性能主要受負載數量、判斷閾值和噪聲的影響，本文將這3個因素作為變量分析模型來檢測性能。設置環境噪聲為高斯白噪聲，并比較不同檢測模型在不同負載數量情況下的性能變化，結果如圖3所示。從圖3中可以看出，本文所提出方法的檢測精度能夠穩定在95%以上。當負載數量為30時，所提出方法的精度最高仍優于各比較方法。由于實驗是隨機選擇負載參與精度測試的，負載的不一致導致各種方法的檢測精度不會隨著負載數量的變化發生單調增或單調減。

本文將負載數量固定為64，環境噪聲設置為方差為0.5的高斯白噪聲，比較檢測閾值在1-5時檢測精度的變化，結果如圖4所示。從圖4中可以看出，提高閾值可以提升檢測精度，但容易導致模型過擬合。同時相較于其他算法，文中算法最高的檢測精度為95.7%。

為了比較環境噪聲對檢測性能的影響，本文設置負載數量為64，閾值設置為10，比較環境噪聲方差在1-5時不同算法的檢測精度，結果如圖5所示。從圖5中可以看出，本文算法在各噪聲范圍內均具有較高的檢測精度。相比于其他算法，本文算法在噪聲方差減小至5時，檢測精度仍能維持在80%以上，而其他算法的檢測精度明顯降低。

為了比較所提出的異常行為分類模型和傳統SVM模型的性能，本文對20種異常流量數據進行了分類，結果如圖6所示。從圖6中可以看出，相較于傳統的SVM分類算法，文中所提出的方法具有更高的分類精度。這是因為傳統的SVM模型在執行異常行為分類的過程中，并未進行特征選擇操作，導致分類模型容易受到各種噪聲數據的干擾。而本文算法將SVM的優化過程與深度自編碼網絡的參數優化過程進行聯立求解，可以提取出更優魯棒參數。

4 結束語

本文基于深度自編碼網絡和支持向量機提出了電網異常流量檢測算法，在保證穩定輸出的同時能夠準確地檢測出智能電網中的異常流量數據。通過深度自編碼網絡的訓練，該算法能夠自動挖掘數據的層次關系，提取出數據的高層次特征。利用支持向量機對特征進行分類，可以將正常流量和異常流量分開，實現異常流量的檢測。仿真實驗結果表明，該算法能夠分析不同類型的攻擊向量，有效避免噪聲數據的干擾，提高智能電網異常流量的檢測精度。因此，本文算法具有較高的實用價值和應用前景。

（責任編輯：楊樹 英文審校：尹淑英）