劉見 趙震宇 裴茂林 楊愛超 單鵬 劉明

摘 要：為了避免智能變電站過程層網絡通信出現異常變動的現象，需要準確檢測智能變電站過程層網絡異常流量，為此提出新型的檢測方法。設計了基于網絡演算的變電站通信網絡流量計算模型，將根節(jié)點全部設成信源，通過流量路由實現周圍輸入與輸出端口的聯系，獲取智能變電站過程層網絡中全部設備端口輸入與輸出流量。還應用優(yōu)化支持向量模型進行異常流量檢測，將網絡異常流量與正常流量分類，實現智能變電站過程層網絡異常流量檢測。實驗結表明：在檢測，網絡流量特征提取、異常流量檢測效果均符合應用需求。

關鍵詞：智能變電站;過程層網絡;異常流量檢測;網絡演算;支持向量模型

Abstract：In order to avoid abnormal changes in the network communication at the process level of the smart substation， it is necessary to accurately detect the abnormal traffic at the process level network of the smart substation. To this end， a new detection method is proposed. In this study， a substation communication network flow calculation model based on network calculus is designed， all root nodes are set as sources， and the surrounding input and output ports are connected through flow routing to obtain the input and output flow of all equipment ports in the process layer network of the intelligent substation . This study also uses the optimized support vector model to detect abnormal traffic， classify network abnormal traffic from normal traffic， and implement network abnormal traffic detection at the process level of intelligent substations. The experimental results show that： in this study， the network traffic feature extraction and abnormal traffic detection effects all meet the application requirements.

Key words： intelligent substation; process layer network; abnormal flow detection; network calculus; support vector model

智能變電站過程層網絡性能入侵（簡稱性能攻擊）、智能變電站數據入侵（簡稱數據攻擊）是智能變電站過程層出現網絡異常流量的兩大源頭[1]。性能攻擊與數據攻擊聯合后變成協同攻擊，協同攻擊對智能變電站存在“致命威脅”。智能變電站過程層中存在變壓設備與智能組件合成的智能設備、合并模塊以及智能終端[2]。過程層網絡流量異常與否對變電站穩(wěn)定運行存在絕對性作用，優(yōu)化過程層網絡穩(wěn)定性與安全性的核心方法就是高精度檢測智能變電站過程層網絡異常流量，以此能夠及時規(guī)避風險[3]。

智能變電站過程層網絡流量存在周期性，周期性流量數據多，變動性低，運行較為穩(wěn)定[4]。但是，一旦變電站異常事件出現集中爆發(fā)模式時，過程層網絡會出現瞬時異常流量，在此條件下，本研究提出新的智能變電站過程層網絡異常流量檢測方法，以實現高精度異常流量檢測為目標，并在實驗中驗證該方法檢測精度可觀，對智能變電站安全保護存在協助作用[5]。

1 網絡異常流量檢測方法

1.1 基于網絡演算的變電站通信網絡流量計算模型

則能夠獲取智能變電站過程層網絡中全部設備端口輸入Qq×e與輸出流量Ge×1。

1.2 基于優(yōu)化支持向量模型的異常流量檢測方法

1.2.1 異常流量檢測預處理

異常流量檢測預處理主要是使用時間窗量化智能變電站過程層網絡流量特征屬性熵[11]。根據時間順序，將m個數據包設成一個時間窗口，將此時間窗口設成智能變電站過程層的一個單位流量，運算單位流量特征屬性熵[12-13]。特征屬性熵量化的方法是：

實際應用時，由于智能變電站過程層網絡流量存在周期性，且流量數據存在極小單位狀況，上述方法在檢測異常流量時，難免會存在檢測誤差。為此，本研究將半監(jiān)督K-means聚類算法導入支持向量機模型中，以此優(yōu)化支持向量模型[17]。則異常流量檢測步驟如下：

（1）在存在少數標簽的智能變電站過程層網絡流量樣本中，按照種類標簽，設置h的初始值，將存在少數標簽的智能變電站過程層網絡流量樣本設成h個簇中心[18-19]。

（2）對存在少數標簽的智能變電站過程層網絡流量實施近鄰分配后，通過全部流量至簇中心的誤差平方值判斷智能變電站過程層網絡流量簇的聚類質量[20]。

（3）設h=h+1。

（4）將未曾被標記的智能變電站過程層網絡流量樣本中一點ε設成新簇的簇中心。

（5）將未曾被標記的智能變電站過程層網絡流量實施近鄰分配，判斷智能變電站過程層網絡流量聚類質量。

（6）如果未曾被標記的智能變電站過程層網絡流量h次聚類質量大于h-1次聚類質量，那么回到第（3）步，反之進入第（7）步。

（7）校對新增簇中心點是否存在孤立簇，如果存在，在簇中心點集與沒有被標記樣本集中去除此點，使h=h-1。如果不存在，設置新的h值與h個簇中心點，將其設成未曾被標記的智能變電站過程層網絡流量的簇中心[21-22]。

（8）智能變電站過程層網絡流量樣本集通過上述步驟能夠獲取兩類簇中心點：存在少數被標記樣本集（已知少數攻擊模式下）流量簇中心點、未被標記樣本集（未知攻擊模式下）流量簇中心點[23]。

（9）最后使用式（15）、式（16）描述的分辨標準對第（8）步獲取的智能變電站過程層網絡流量兩種簇中心點進行再次分類，實現異常流量準確檢測。

2 實驗結果與分析

2.1 實驗參數設定

實驗使用的智能變電站過程層網絡流量數據為遼寧省某大型電網的智能變電站過程層網絡流量包。將此流量包通過winpcap程序進行解析，獲取智能變電站過程層網絡流量數據集，把此數據集依次是劃分成訓練數據集與測試數據集，數據集整體大小是4 GB，使用本研究方法對此進行智能變電站過程層網絡異常流量檢測。

在此數據集中，存在4種攻擊類型，假設網絡攻擊和拒絕服務攻擊被認定為正常流量攻擊類型，惡意軟件攻擊和暴力破解為異常流量攻擊類型，詳情如表1所示：

實驗仿真硬件平臺是常規(guī)PC，此主機配備操作系統屬于MAC系統，內存128 G。實驗仿真軟件工具是Matlab 2019。

2.2 網絡流量特征提取效果分析

在表1所設定的數據集中使用本研究方法進行智能變電站過程層網絡流量特征提取，表2是差異流量特征數量下，本研究方法對異常特征分類精度的測試結果：

分析表2可知，伴隨智能變電站過程層網絡流量特征量的增多，4種異常攻擊模式下，本研究方法對智能變電站過程層中異常流量特征分類精度并未遭到負面影響，而呈現逐漸遞增的趨勢，且當智能變電站過程層網絡流量的特征量增加至一定數量時，分類精度保持最高值，本研究方法的分類精度最大值為98%，最小值也高達95%，分類精度較高。

表3是差異特征數量下，本研究方法對智能變電站過程層網絡異常流量特征的分類耗時：

由表3中測試結果顯示，4種異常攻擊模式下本研究方法對異常流量特征分類耗時極少，伴隨特征量的增多，本研究方法分類耗時雖存在小幅度提升，但是控制于1 s之內，分類速度極快。

2.3 異常流量檢測效果測試

使用本研究方法對表1中4種異常攻擊模式下的異常流量進行檢測，為了凸顯本研究方法在同類方法中的使用優(yōu)勢，將對比方法依次設成基于熵值計算的異常流量檢測方法、基于流量行為特征的異常流量檢測方法。基于熵值計算的異常流量檢測方法在SDN的基礎上，利用SDN控制轉發(fā)分離的思想，引入集中式安全中心，在數據平面設備上采集數據，分析網絡流量，通過熵計算和分類算法判斷網絡中的異常流量行為。安全中心通過SDN控制器與安全處理模塊的接口，通知SDN控制器上的安全處理模塊，對檢測到的網絡異常情況進行流表策略發(fā)送，從而減輕網絡異常行為。基于流量行為特征的異常流量檢測方法在分析研究四川大學網絡出口流量行為的基礎上，構建用戶行為特征集模型，采用改進的k-means++余弦聚類算法建立正常流量行為模型，通過測量流量行為與正常行為模型之間的偏離距離來識別異常流量。本研究利用 Spark大數據處理平臺實現了特征提取、k-means改進算法以及異常檢測的研究與開發(fā)，并通過實驗驗證了該方法的可行性與有效性，實驗結果表明本研究提出的方法對異常流量行為檢測具有很高的精確性與靈敏度。

根據表4測試結果顯示，三種方法對4種異常流量、1種正常流量的檢測性能存在差異，本研究方法的誤報率最大值是0.067，漏查率最大值是0.027，兩種對比方法的誤報率與漏查率和本研究方法相比，不存在使用優(yōu)勢，由此得知，本研究方法對DOS、U2R、Probing、R2L四種異常攻擊模式下的異常流量，以及正常流量的檢測性能更符合智能變電站過程層網絡流量監(jiān)測需求。

上述實驗都是對已知攻擊模式下的智能變電站過程層網絡異常流量進行檢測，為了測試本研究方法使用性能不存在局限，測試三種方法對未知攻擊模式下智能變電站過程層網絡異常流量的檢測率，結果如圖1所示：

圖1中，本研究方法對未知攻擊模式下智能變電站過程層網絡異常流量的檢測率最高，且伴隨異常流量數的增多，本研究方法的檢測率最低值也高達95%，另外兩種方法對未知攻擊模式下智能變電站過程層網絡異常流量的檢測率較低，不存在使用優(yōu)勢。

3 結 論

變電站是電網運行核心，智能變電站憑借自身智能化與數字化的優(yōu)勢逐漸取代傳統變電站，智能變電站符合當下電網運行低風險的需求，全面掌控智能變電站網絡通信流量狀態(tài)是實現智能變電站可視化監(jiān)測的前提。所提出的智能變電站過程層網絡異常流量檢測方法對智能變電站過程層網絡安全監(jiān)測存在可用價值。智能變電站過程層網絡不同流量特征數量對本研究方法的檢測性能不存在較大影響，對智能變電站過程層網絡流量特征分類精度與分類效率不存在劣勢。且對DOS、U2R、Probing、R2L四種異常攻擊模式下的異常流量檢測性能優(yōu)于對比方法，對未知攻擊模式下智能變電站過程層網絡異常流量的檢測率最低值也高達95%，在對比方法比較之下，本方法更適用于智能變電站過程層網絡異常流量檢測工作中。

參考文獻

[1] 李輝，劉海峰，趙永生，等.智能變電站過程層組網改進方案[J].電力自動化設備，2017，37（3）：218-223.

[2] 凌光，王志亮，呂建龍，等.基于OPNET的智能變電站過程層網絡建模方法[J].中國電力，2017，50（1）：79-84.

[3] 羅凌璐， 彭奇， 王德輝，等. 智能變電站過程層網絡監(jiān)控方法[J]. 電力系統自動化， 2018， 42（11）：151-156.

[4] 陳旭宇， 黃堃， 曾中梁，等. 一種用于智能變電站的過程層光網絡結構[J]. 光通信技術， 2019， 43（2）：50-53.

[5] 郝唯杰， 楊強， 李煒. 基于FARIMA模型的智能變電站通信流量異常分析[J]. 電力系統自動化， 2019， 43（1）：215-226.

[6] 張嘉譽，章堅民，楊才明，等.基于信息物理融合的智能變電站過程層網絡異常流量檢測[J].電力系統自動化，2019，43（14）：173-184.

[7] 趙明君， 呂航， 楊貴，等. 基于流量控制的智能變電站網絡傳輸可靠性提升方案[J]. 電力系統保護與控制， 2019， 47（10）：147-152.

[8] 孫宇嫣，蔡澤祥，郭采珊，等.基于深度學習的智能變電站通信網絡故障診斷與定位方法[J].電網技術，2019，43（12）：4306-4314.

[9] 陶文偉，高紅亮，楊貴，等.智能變電站過程層冗余組網模式及網絡延時累加技術研究[J].電力系統保護與控制，2018，46（8）：124-129.

[10]朱小紅， 王利平， 楊琪，等. 基于Markov的智能變電站二次系統間隔層和過程層可靠性評估[J]. 電測與儀表， 2019， 56（8）：79-86.

[11]張勇， 李丹， 文福拴，等. 基于IEC 61850的智能變電站過程層故障診斷[J]. 電力建設， 2018， 39（3）：42-48.

[12]胡國，梅德冬.智能變電站采樣值報文安全分析與實現[J].中國電機工程學報，2017，37（8）：2215-2222.

[13]李志勇，孫發(fā)恩，瞿曉宏.智能變電站綜合測試儀的研究與實現[J].電力系統保護與控制，2018，46（15）：149-154.

[14]席禹，鄒俊雄，蔡澤祥，等.基于報文識別與流量管控的智能變電站保護控制信息安全防護方法[J].電網技術，2017，41（2）：624-629.

[15]姜學樸，吳港，孫婷，等.智能變電站網絡設備故障的快速準確定位技術[J].電測與儀表，2019，56（8）：94-98.

[16]郝建軍，王啟銀，張興忠.基于支持向量機的電網通信入侵檢測技術[J].電測與儀表，2019，56（22）：109-114.

[17]張國旗，李威，吳國文，等.一起220 kV SF6電流互感器二次電流異常故障分析[J].水電能源科學，2019，37（2）：176-178.

[18]孟格格， 高強. 基于多層卷積神經網絡的變電站異常場景識別算法[J]. 電測與儀表， 2018， 55（5）：46-50.

[19]劉琨，黃明輝，李一泉，等.基于狀態(tài)信息關聯關系的智能變電站繼電保護在線監(jiān)測方法[J].現代電力，2017， 34（6）：85-91.

[20]郭全軍，鄧華，陳曉錦，等.500 kV變電站35 kV所用變異常情況分析[J]. 變壓器，2017，54（12）：58-61.

[21]邱思語， 楊洪耕. 稀疏貝葉斯回歸及其在諧波電流異常檢測中的應用[J]. 電力系統及其自動化學報， 2017，29（5）：104-107.

[22]滕予非， 吳杰， 張真源，等. 基于離群點檢測的高壓并聯電抗器本體電流互感器測量異常故障在線診斷[J]. 電工技術學報， 2019， 34（11）：2405-2414.

[23]楊賽昭，向往，張峻榤，等.基于人工神經網絡的架空柔性直流電網故障檢測方法[J].中國電機工程學報，2019，39（15）：4416-4430.