石祥建，劉瞳昌，程國(guó)棟，房康，陳川，文強(qiáng)

（1.南京南瑞繼保工程技術(shù)有限公司，江蘇南京 211002；2.華能瀾滄江水電股份有限公司，云南昆明 650214；3.西安熱工研究院有限公司，陜西西安 710054）

0 引言

為了給水力發(fā)電提供調(diào)度輔助工具，設(shè)計(jì)并使用了水電廠網(wǎng)絡(luò)，利用該網(wǎng)絡(luò)能夠?qū)崿F(xiàn)不同水電廠實(shí)時(shí)運(yùn)行數(shù)據(jù)的共享，從而保證水力發(fā)電工作的有序進(jìn)行。然而水電廠網(wǎng)絡(luò)在為其生產(chǎn)帶來(lái)推動(dòng)作用的同時(shí)，也為水電廠的安全運(yùn)行引入了一定的安全隱患。水電廠網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息的產(chǎn)生、存儲(chǔ)、處理、傳輸?shù)热^(guò)程均具有開(kāi)放性特征，因此會(huì)受到安全的威脅，如竊取、竄改、破壞等［1］。非法用戶可以通過(guò)水電廠網(wǎng)絡(luò)偷取或竄改水電廠的運(yùn)行數(shù)據(jù)，即對(duì)水電廠網(wǎng)絡(luò)實(shí)施入侵與攻擊操作，輕則導(dǎo)致國(guó)際電力數(shù)據(jù)泄露，嚴(yán)重時(shí)可能會(huì)導(dǎo)致水電廠運(yùn)行故障，從而帶來(lái)較大的安全事故。為了實(shí)現(xiàn)對(duì)水電廠網(wǎng)絡(luò)入侵情況的有效防御，針對(duì)水電廠網(wǎng)絡(luò)的入侵問(wèn)題，設(shè)計(jì)相應(yīng)的檢測(cè)系統(tǒng)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS的工作內(nèi)容是對(duì)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并對(duì)其進(jìn)行動(dòng)態(tài)防護(hù)，極大地增強(qiáng)了網(wǎng)絡(luò)的安全性。IDS 具有事前預(yù)警、事中防御、事后取證等特性，是一種針對(duì)日益復(fù)雜的應(yīng)用安全和混合攻擊而設(shè)計(jì)的一種旁路部署產(chǎn)品，其目的是順應(yīng)當(dāng)前攻防技術(shù)的發(fā)展趨勢(shì)，精確監(jiān)控網(wǎng)絡(luò)中的各種數(shù)據(jù)流，及時(shí)發(fā)現(xiàn)各種安全隱患，幫助用戶及時(shí)抵御來(lái)自企業(yè)網(wǎng)絡(luò)外部的安全威脅。這些產(chǎn)品能夠提供動(dòng)態(tài)、深度和主動(dòng)的安全探測(cè)。

從現(xiàn)階段的研究情況來(lái)看，關(guān)于網(wǎng)絡(luò)入侵檢測(cè)的研究成果較多，但發(fā)展成熟的系統(tǒng)較少，且由于水電廠涉及的電磁環(huán)境較為復(fù)雜，容易干擾網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的正常運(yùn)行，進(jìn)而導(dǎo)致現(xiàn)有網(wǎng)路入侵檢測(cè)方法應(yīng)用到水電廠網(wǎng)絡(luò)環(huán)境中存在檢測(cè)精度低的問(wèn)題。從當(dāng)前發(fā)展較為成熟的研究成果來(lái)看，其吞吐率和并發(fā)性能也存在缺陷，針對(duì)上述問(wèn)題，本文在傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基礎(chǔ)上，結(jié)合水電廠網(wǎng)絡(luò)特征，利用威努特網(wǎng)絡(luò)威脅感知技術(shù)，實(shí)現(xiàn)檢測(cè)系統(tǒng)的優(yōu)化設(shè)計(jì)。

威努特網(wǎng)路威脅感知技術(shù)是一種先進(jìn)的持續(xù)威脅防御裝置，它能即時(shí)地對(duì)網(wǎng)路的流量進(jìn)行分析，并將威脅情報(bào)資料與網(wǎng)路行為分析技術(shù)相結(jié)合，對(duì)一切可能的網(wǎng)路活動(dòng)進(jìn)行深層感知。該技術(shù)下網(wǎng)絡(luò)感知與文檔感知是同步的，在沙盒中執(zhí)行不同的文件，對(duì)文檔的行為進(jìn)行分析，并對(duì)未知的威脅進(jìn)行識(shí)別，從而為企業(yè)的安全管理提供了一種先進(jìn)的、可持續(xù)的安全防范機(jī)制。本研究將威努特網(wǎng)絡(luò)威脅感知技術(shù)應(yīng)用到水電廠網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)化設(shè)計(jì)工作中，以期提高系統(tǒng)的入侵檢測(cè)功能以及運(yùn)行性能。

1 水電廠網(wǎng)絡(luò)入侵檢測(cè)硬件系統(tǒng)設(shè)計(jì)

為了保證水電廠網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)化效果，本文分別從硬件、數(shù)據(jù)庫(kù)和軟件三個(gè)部分進(jìn)行具體優(yōu)化。其中硬件系統(tǒng)采用了機(jī)架式結(jié)構(gòu)，在此基礎(chǔ)上，為了優(yōu)化硬件設(shè)備運(yùn)行性能，同時(shí)為威努特網(wǎng)絡(luò)威脅感知技術(shù)提供運(yùn)行環(huán)境，對(duì)部分硬件元件進(jìn)行改裝優(yōu)化。

1.1 水電廠網(wǎng)絡(luò)流量采集器

在傳統(tǒng)水電廠網(wǎng)絡(luò)流量采集器的基礎(chǔ)上，加設(shè)一個(gè)流量數(shù)據(jù)過(guò)濾模塊和尋址模塊，數(shù)據(jù)過(guò)濾模塊可以實(shí)現(xiàn)無(wú)效網(wǎng)絡(luò)流量數(shù)據(jù)的自動(dòng)過(guò)濾，而尋址模塊可以標(biāo)注各個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)的產(chǎn)生端口。在數(shù)據(jù)過(guò)濾模塊設(shè)計(jì)時(shí)，采用了流水線的思路，使系統(tǒng)按照流水線的方式進(jìn)行排列。每個(gè)規(guī)則都會(huì)對(duì)數(shù)據(jù)包中的具體領(lǐng)域進(jìn)行檢驗(yàn)。在經(jīng)過(guò)該模塊后，可以提取出能夠用于構(gòu)建數(shù)據(jù)流的數(shù)據(jù)，并將其存儲(chǔ)在一個(gè)“先進(jìn)后出”的緩存中［2］。最后，當(dāng)符合特定的規(guī)則時(shí)，F(xiàn)IFO 中的資料將被傳送至下一單元，否則將會(huì)被拋棄。另外尋址模塊的設(shè)計(jì)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)流量采集器內(nèi)尋址模塊結(jié)構(gòu)圖Fig.1 Structure of addressing module in network traffic collector

從圖1 中可以看出，尋址模塊能夠使用最低的9 比特來(lái)表示一個(gè)流的地址，實(shí)現(xiàn)網(wǎng)絡(luò)流量數(shù)據(jù)初始地址的標(biāo)記。

1.2 網(wǎng)絡(luò)數(shù)據(jù)處理器

在水電廠網(wǎng)絡(luò)的入侵檢測(cè)過(guò)程中，需要對(duì)網(wǎng)絡(luò)流量、日志以及協(xié)議等數(shù)據(jù)進(jìn)行分析、處理，并將一些需要進(jìn)一步分析的數(shù)據(jù)用串口通訊傳輸至無(wú)線模塊，再發(fā)送至其他端口。同時(shí)，對(duì)收到的控制指令進(jìn)行處理，然后用來(lái)驅(qū)動(dòng)溫度變送器，這些數(shù)據(jù)處理和指令的傳輸調(diào)度都要在處理器的協(xié)同下進(jìn)行［3］。優(yōu)化設(shè)計(jì)系統(tǒng)選用的核心處理器部件型號(hào)為L(zhǎng)F2407A，集成了高性能的DSP 芯片和大量的外設(shè)，取代了傳統(tǒng)的處理器，保證所有指令均可以在25 ns 的單周期內(nèi)完成。LF2407A 還提供了一個(gè)擴(kuò)充的存儲(chǔ)界面，用于擴(kuò)充程序、數(shù)據(jù)、I/O 地址，每一個(gè)空間的容量都是64 K，因此，它的外存空間可以擴(kuò)展到360 K。ROM的啟動(dòng)可以采用SCI/SPI。

1.3 威努特網(wǎng)絡(luò)威脅感知器

威努特網(wǎng)絡(luò)威脅感知器設(shè)計(jì)與安裝的目的是為網(wǎng)絡(luò)威脅感知技術(shù)的運(yùn)行提供運(yùn)行環(huán)境，感知器由CC2530F64 芯片、CC2591 功率放大器、功率模塊等構(gòu)成［4］。因?yàn)镃C2591 內(nèi)置RF匹配網(wǎng)絡(luò)，因此不需要在射頻輸入/輸出端添加附加的匹配網(wǎng)絡(luò)，威努特網(wǎng)絡(luò)威脅感應(yīng)器的硬件設(shè)計(jì)中的主要部件連接結(jié)構(gòu)如圖2所示。

圖2 威努特網(wǎng)絡(luò)威脅感知器結(jié)構(gòu)圖Fig.2 Structure of winute network threat perception

從圖2中可以看出，當(dāng)CC2591進(jìn)入低功率模式時(shí)，EN 管腳和PA_EN管腳被設(shè)置為低電平，能夠減少功率消耗。

2 水電廠網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)

系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)的目的是存儲(chǔ)水電廠網(wǎng)絡(luò)入侵檢測(cè)結(jié)果，并設(shè)置網(wǎng)絡(luò)入侵檢測(cè)的規(guī)則，為入侵檢測(cè)系統(tǒng)的軟件功能提供數(shù)據(jù)支持。優(yōu)化設(shè)計(jì)數(shù)據(jù)庫(kù)的組成部分包括攻擊規(guī)則庫(kù)、應(yīng)用識(shí)別規(guī)則庫(kù)、URL 過(guò)濾庫(kù)、病毒庫(kù)四種，且各個(gè)數(shù)據(jù)庫(kù)表均單獨(dú)分開(kāi)［5］。以攻擊規(guī)則數(shù)據(jù)庫(kù)表為例，其存儲(chǔ)結(jié)構(gòu)如表1所示。

表1 攻擊規(guī)則數(shù)據(jù)庫(kù)表Tab.1 Database table of attack rule

同理可以得出數(shù)據(jù)庫(kù)中其他數(shù)據(jù)庫(kù)表的構(gòu)建結(jié)果，并根據(jù)數(shù)據(jù)之間的關(guān)系形成表與表之間的連接，方便數(shù)據(jù)的更新與交互。

3 水電廠網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)軟件功能設(shè)計(jì)

以硬件和數(shù)據(jù)庫(kù)為基礎(chǔ)，對(duì)水電廠網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)進(jìn)行了優(yōu)化，該系統(tǒng)具有深度入侵檢測(cè)、高級(jí)威脅防護(hù)、精細(xì)流量控制等功能，并具有深度入侵檢測(cè)能力。有效地保護(hù)系統(tǒng)和網(wǎng)絡(luò)體系結(jié)構(gòu)，避免操作系統(tǒng)、應(yīng)用軟件的故障［6］。而高級(jí)別的安全威脅防御，則是指通過(guò)對(duì)敏感信息的泄露、文件的識(shí)別、服務(wù)器的非法外聯(lián)等方式，來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。同時(shí)，IDS應(yīng)該根據(jù)TCP/IP協(xié)議對(duì)網(wǎng)絡(luò)協(xié)議異常攻擊進(jìn)行檢測(cè)。

3.1 設(shè)置水電廠網(wǎng)絡(luò)入侵檢測(cè)標(biāo)準(zhǔn)

常見(jiàn)的水電廠網(wǎng)絡(luò)入侵類型包括端口掃描、安全漏洞攻擊、口令入侵、木馬程序、DOS 攻擊等，通過(guò)對(duì)被掃描的電腦進(jìn)行端口掃描，可以發(fā)現(xiàn)被掃描的電腦打開(kāi)的服務(wù)和端口，從而找到它的軟肋，即硬件的實(shí)現(xiàn)和安全策略的不足，這個(gè)漏洞會(huì)讓攻擊者無(wú)法進(jìn)入或破壞系統(tǒng)，而密碼入侵則是非法獲得特定使用者的密碼后，進(jìn)入到一個(gè)特定的主機(jī)中進(jìn)行攻擊，當(dāng)使用者不知道時(shí)，就會(huì)觸發(fā)大量信息，從而導(dǎo)致系統(tǒng)過(guò)載，導(dǎo)致系統(tǒng)癱瘓，無(wú)法正常使用［7］。根據(jù)上述不同網(wǎng)絡(luò)入侵攻擊類型的作用原理，設(shè)置對(duì)應(yīng)攻擊入侵類型下網(wǎng)絡(luò)環(huán)境中流量、傳輸協(xié)議等模塊的運(yùn)行特征，并以此作為判定待測(cè)水電廠網(wǎng)絡(luò)是否存在入侵性能的標(biāo)準(zhǔn)。

3.2 捕獲水電廠網(wǎng)絡(luò)流量數(shù)據(jù)

利用硬件系統(tǒng)中的流量采集器設(shè)備，按照?qǐng)D3 表示流程實(shí)現(xiàn)實(shí)時(shí)水電廠網(wǎng)絡(luò)流量數(shù)據(jù)的捕獲。

圖3 水電廠網(wǎng)絡(luò)流量數(shù)據(jù)采集流程圖Fig.3 Flow of network flow data acquisition of hydropower plant

以初始采集的數(shù)據(jù)為基礎(chǔ)，針對(duì)流量數(shù)據(jù)中存在的缺失數(shù)據(jù)、重復(fù)數(shù)據(jù)進(jìn)行處理，并通過(guò)數(shù)據(jù)融合輸出最終的數(shù)據(jù)捕獲結(jié)果［8］。缺失流量數(shù)據(jù)的補(bǔ)充結(jié)果可以表示為：

式中：xi-1和xi+1分別為缺失數(shù)據(jù)的前后數(shù)據(jù)。

在重復(fù)數(shù)據(jù)的處理過(guò)程中，首先判定當(dāng)前流量數(shù)據(jù)采集結(jié)果中是否存在重復(fù)冗余數(shù)據(jù)，判定過(guò)程可以表示為：

將初始采集的數(shù)據(jù)逐一代入到公式（2）中，計(jì)算xi和xj之間的相似度，若公式（2）的計(jì)算結(jié)果為1.0，則任務(wù)xi和xj屬于同一數(shù)據(jù)，需要對(duì)xi或xj進(jìn)行剔除處理。最終從數(shù)據(jù)、特征、決策等多個(gè)層面，實(shí)現(xiàn)捕獲數(shù)據(jù)的融合。

3.3 提取水電廠網(wǎng)絡(luò)流量數(shù)據(jù)特征

設(shè)置水電廠網(wǎng)絡(luò)流量密度、流量偏離程度等參數(shù)作為網(wǎng)絡(luò)流量數(shù)據(jù)的特征值，利用采集的流量數(shù)據(jù)，可以預(yù)先求出抽樣平均，并根據(jù)大數(shù)定律得出，該方法的平均隨概率而趨近于整體平均。最后，期望得到的平均概率分布與抽樣平均相符合。以最大熵原理為理論支持，將網(wǎng)絡(luò)流量特征提取可以等價(jià)為如下有約束的優(yōu)化問(wèn)題：

式中：b為常數(shù)系數(shù)；ρ（x）表示的是待提取的網(wǎng)絡(luò)流量特征值。

最終提取的網(wǎng)絡(luò)流量密度特征及其增益可以表示為：

式中：nchannel為水電廠網(wǎng)絡(luò)的信道數(shù)量；ρ（xt）和ρ（xt-1）對(duì)應(yīng)的是t時(shí)刻和t-1時(shí)刻的網(wǎng)絡(luò)流量密度；Gain為網(wǎng)絡(luò)流量增益。

而網(wǎng)絡(luò)流量偏移值的提取則是將突變定義為滑動(dòng)窗口內(nèi)局部方差和全局方差的比值超過(guò)某個(gè)閾值，并將流量的超出量作為偏移值的提取結(jié)果。設(shè)置的閾值指標(biāo)可以表示為：

最終將網(wǎng)絡(luò)流量密度、流量偏離程度等特征向量的提取結(jié)果進(jìn)行整合，完成水電廠網(wǎng)絡(luò)流量數(shù)據(jù)特征的提取任務(wù)。

3.4 利用威努特網(wǎng)絡(luò)威脅感知技術(shù)識(shí)別網(wǎng)絡(luò)入侵事件

利用威努特網(wǎng)絡(luò)威脅感知技術(shù)，從服務(wù)級(jí)、主機(jī)級(jí)和系統(tǒng)級(jí)3 個(gè)方面計(jì)算當(dāng)前網(wǎng)絡(luò)的威脅指數(shù)，從而確定當(dāng)前網(wǎng)絡(luò)是否存在入侵事件。定義一個(gè)網(wǎng)絡(luò)服務(wù)級(jí)別的安全狀態(tài)值，它是指當(dāng)一個(gè)服務(wù)受到多個(gè)攻擊時(shí)所反映的安全狀態(tài)。在給定的分析時(shí)間，受到威脅的攻擊狀態(tài)下的網(wǎng)絡(luò)服務(wù)態(tài)勢(shì)值可以表示為：

式中：ntype為分析時(shí)段內(nèi)攻擊的種類數(shù)量；Cji和Dji分別為任意時(shí)刻網(wǎng)絡(luò)服務(wù)發(fā)生攻擊的次數(shù)和嚴(yán)重程度；參數(shù)Dji根據(jù)用戶手冊(cè)中的攻擊類型和優(yōu)先級(jí)來(lái)確定。

主機(jī)安全狀況值是指多個(gè)不同等級(jí)的服務(wù)在特定時(shí)刻受到攻擊時(shí)的安全狀態(tài)［9］；而系統(tǒng)級(jí)的安全態(tài)勢(shì)值是指在網(wǎng)絡(luò)系統(tǒng)受到外力襲擊時(shí)所表現(xiàn)出來(lái)的安全態(tài)勢(shì)狀況。t時(shí)刻網(wǎng)絡(luò)主機(jī)級(jí)和系統(tǒng)級(jí)的理論態(tài)勢(shì)值可以表示為：

式中：變量m為網(wǎng)絡(luò)主機(jī)開(kāi)通的服務(wù)數(shù)量；vj為服務(wù)權(quán)重，其取值根據(jù)該主機(jī)提供服務(wù)的重要性決定；ωj表示主機(jī)在系統(tǒng)網(wǎng)絡(luò)中所占重要性的權(quán)重比。

最終得出水電廠網(wǎng)絡(luò)的綜合威脅態(tài)勢(shì)感知結(jié)果如下：

式中：符號(hào)“⊕”為態(tài)勢(shì)值融合符號(hào)，將公式（6）和公式（7）的計(jì)算結(jié)果代入到公式（8）中，便可得出水電廠網(wǎng)絡(luò)威脅態(tài)勢(shì)的感知結(jié)果，綜合威脅態(tài)勢(shì)值越大，證明水電廠網(wǎng)絡(luò)的威脅程度越高，進(jìn)而識(shí)別當(dāng)前網(wǎng)絡(luò)中存在的入侵事件。

3.5 實(shí)現(xiàn)水電廠網(wǎng)絡(luò)入侵檢測(cè)功能

除了網(wǎng)絡(luò)威脅態(tài)勢(shì)外，還需要檢測(cè)當(dāng)前水電廠網(wǎng)絡(luò)協(xié)議是否正常，該系統(tǒng)可以對(duì)網(wǎng)絡(luò)報(bào)文中的協(xié)議特性進(jìn)行動(dòng)態(tài)分析，并將其提交到相應(yīng)的協(xié)議解析引擎進(jìn)行處理，不需要管理員的干預(yù)，就可以快速、準(zhǔn)確地檢測(cè)到動(dòng)態(tài)端口、智能隧道等惡意攻擊，并能準(zhǔn)確地檢測(cè)到連接到任何端口的木馬、后門(mén)，以及使用Smart Tunnel 技術(shù)的軟件，可以準(zhǔn)確地捕捉和分析當(dāng)前主流的應(yīng)用協(xié)議，并確定其是否處于異常運(yùn)行狀態(tài)［10］。綜合考慮網(wǎng)絡(luò)威脅態(tài)勢(shì)和協(xié)議，可以直接得出最終的網(wǎng)絡(luò)入侵檢測(cè)結(jié)果，輸出結(jié)果包括：存在網(wǎng)絡(luò)入侵和不存在網(wǎng)絡(luò)入侵兩種。在此基礎(chǔ)上，利用公式（9）確定當(dāng)前網(wǎng)絡(luò)入侵的類型。

式中：ψset（t）和ψextract（t）為設(shè)置和提取的網(wǎng)絡(luò)流量數(shù)據(jù)，并將δ最大值對(duì)應(yīng)特征的網(wǎng)絡(luò)入侵類型作為當(dāng)前網(wǎng)絡(luò)入侵類型的檢測(cè)結(jié)果。

最終將包含網(wǎng)絡(luò)態(tài)勢(shì)與入侵類型的監(jiān)測(cè)結(jié)果，以可視化的形式輸出，實(shí)現(xiàn)系統(tǒng)的入侵檢測(cè)功能，在必要時(shí)可以采取防火墻或加密手段，在一定程度上實(shí)現(xiàn)網(wǎng)絡(luò)入侵的防御。

4 系統(tǒng)測(cè)試

為了測(cè)試本文優(yōu)化設(shè)計(jì)的基于威努特網(wǎng)絡(luò)威脅感知的水電廠網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的兼容性和可行性，針對(duì)系統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)功能和運(yùn)行性能兩個(gè)方面進(jìn)行測(cè)試，并通過(guò)與傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（文獻(xiàn)［6］中的系統(tǒng)）的對(duì)比，體現(xiàn)出設(shè)計(jì)系統(tǒng)的功能與性能優(yōu)勢(shì)。

4.1 準(zhǔn)備水電廠網(wǎng)絡(luò)研究對(duì)象

此次實(shí)驗(yàn)選擇某水電廠作為研究背景，并在此基礎(chǔ)上搭建水電廠網(wǎng)絡(luò)。水電廠網(wǎng)絡(luò)研究對(duì)象采用網(wǎng)狀拓?fù)浣Y(jié)構(gòu)，與環(huán)形、樹(shù)形拓?fù)浣Y(jié)構(gòu)相比，網(wǎng)狀拓?fù)浣Y(jié)果的可靠性更高。水電廠網(wǎng)絡(luò)由集線器、中繼器、橋接器、路由器以及網(wǎng)關(guān)等硬件設(shè)備組成，根據(jù)路由器的虛擬分支網(wǎng)絡(luò)技術(shù)，可以將研究的水電廠網(wǎng)絡(luò)劃分為10 個(gè)網(wǎng)段，對(duì)應(yīng)的IP 地址分別為192.167.1.0/26-192.167.1.10/26。每一網(wǎng)絡(luò)都仿真不同數(shù)量的網(wǎng)絡(luò)主機(jī)，并設(shè)置一個(gè)本地感知中心，進(jìn)行網(wǎng)絡(luò)的分析、策略的實(shí)施、地址的統(tǒng)一分配，并在每個(gè)網(wǎng)絡(luò)上設(shè)置一個(gè)區(qū)域感知中心。目標(biāo)主機(jī)的地址是“192.167.1.10”，它的主要功能是類似于網(wǎng)絡(luò)服務(wù)、FTP等。試驗(yàn)中，對(duì)上述3 臺(tái)計(jì)算機(jī)進(jìn)行了攻擊。常用的X-掃描-v3.3，adonai_v01，IWD_ICMP，pantherm，DDoSping，nthunter_v20，等等。本地流量是由Smartbit 軟件生成的，網(wǎng)絡(luò)流量設(shè)置為60 M左右，實(shí)驗(yàn)研究水電廠網(wǎng)絡(luò)的帶寬僅為100M。

4.2 編寫(xiě)水電廠網(wǎng)絡(luò)威脅與入侵程序

實(shí)驗(yàn)中設(shè)置水電廠的網(wǎng)絡(luò)威脅與入侵方式包括特洛伊木馬、DDoS、Web攻擊和緩沖區(qū)溢出攻擊四種類型，并將上述網(wǎng)絡(luò)威脅與入侵方式編寫(xiě)成計(jì)算機(jī)能夠直接讀取的程序代碼，并將其打包導(dǎo)入到實(shí)驗(yàn)測(cè)試環(huán)境中。實(shí)驗(yàn)選擇DARPA1896 作為試驗(yàn)數(shù)據(jù)，首先是由于DARPA1896 的數(shù)據(jù)是tcpdump 的原始流量，其次，這些攻擊事件在DARPA1896 中所占的比重要低。從流量屬性的采集開(kāi)始，一直到特征抽取，再到入侵檢測(cè)，整個(gè)系統(tǒng)的性能都得到了充分的支持。KDDCUP86 是一種基于DARPA1896 的入侵檢測(cè)，它不再含有原始的數(shù)據(jù)包，而采用了文字形式，并且由于DARPA1896 的攻擊數(shù)據(jù)很難被發(fā)現(xiàn)，所以故意加大了攻擊次數(shù)。在水電廠網(wǎng)絡(luò)威脅與入侵程序的影響下，生成實(shí)驗(yàn)用例，部分用例設(shè)置情況如表2所示。

表2 水電廠網(wǎng)絡(luò)入侵用例Tab.2 Network intrusion case of hydropower plant

實(shí)驗(yàn)中共設(shè)置水電廠網(wǎng)絡(luò)入侵用例共300 條，每次入侵任務(wù)執(zhí)行過(guò)程中啟動(dòng)的入侵用例數(shù)量以及執(zhí)行次數(shù)均不相同。為了保證實(shí)驗(yàn)結(jié)果的可信度，將設(shè)置的網(wǎng)絡(luò)入侵用例平均分為6 個(gè)組別，將設(shè)置結(jié)果作為判斷系統(tǒng)入侵檢測(cè)是否正確的對(duì)比標(biāo)準(zhǔn)。

4.3 描述實(shí)驗(yàn)過(guò)程

設(shè)計(jì)的系統(tǒng)測(cè)試實(shí)驗(yàn)分別從系統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)功能和運(yùn)行性能兩個(gè)方面進(jìn)行測(cè)試，同時(shí)啟動(dòng)水電廠網(wǎng)絡(luò)和入侵網(wǎng)絡(luò)，在網(wǎng)絡(luò)正常運(yùn)行20 min 后，啟動(dòng)第一次網(wǎng)絡(luò)入侵程序，利用威努特網(wǎng)絡(luò)威脅感知技術(shù)得出網(wǎng)絡(luò)狀態(tài)感知結(jié)果，如圖4所示。

圖4 威努特網(wǎng)絡(luò)威脅感知結(jié)果Fig.4 Result of winute network threat perception

在此基礎(chǔ)上得出對(duì)應(yīng)攻擊方式下水電廠網(wǎng)絡(luò)的入侵檢測(cè)結(jié)果，如圖5所示。

圖5 水電廠網(wǎng)絡(luò)入侵檢測(cè)結(jié)果Fig.5 Network intrusion detection result of hydropower plant

每隔20 min 停止當(dāng)前網(wǎng)絡(luò)入侵程序，啟動(dòng)下一次入侵攻擊，得出不同入侵類型下的網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)以及最終的檢測(cè)結(jié)果。為了體現(xiàn)出優(yōu)化設(shè)計(jì)系統(tǒng)的優(yōu)勢(shì)，實(shí)驗(yàn)還設(shè)置了傳統(tǒng)的基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為實(shí)驗(yàn)的對(duì)比系統(tǒng)，將其以相同的方式配置到實(shí)驗(yàn)環(huán)境中予以運(yùn)行測(cè)試，最終得出相應(yīng)的測(cè)試結(jié)果。

4.4 設(shè)置系統(tǒng)測(cè)試指標(biāo)

設(shè)置入侵次數(shù)檢測(cè)誤差和入侵類型檢測(cè)錯(cuò)誤率作為系統(tǒng)功能的測(cè)試指標(biāo)，其中入侵次數(shù)檢測(cè)誤差的數(shù)值結(jié)果為：

式中：nset和ntesting分別為設(shè)置的入侵次數(shù)和系統(tǒng)檢測(cè)得出的入侵次數(shù)；n為實(shí)驗(yàn)組別次數(shù)。

而入侵類型檢測(cè)錯(cuò)誤率的數(shù)值結(jié)果如下：

式中：Ncorrect和Nall分別為系統(tǒng)正確檢測(cè)的網(wǎng)絡(luò)入侵類型數(shù)量和設(shè)置的網(wǎng)絡(luò)用例總數(shù)量。

測(cè)試得出的ε和σcorrect的值越大，說(shuō)明系統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)功能越差。另外，系統(tǒng)運(yùn)行性能的測(cè)試指標(biāo)為系統(tǒng)并發(fā)連接數(shù)和吞吐率，其中并發(fā)連接數(shù)可以通過(guò)采集防火墻實(shí)時(shí)數(shù)據(jù)直接得出，而吞吐率是指系統(tǒng)在單位時(shí)間內(nèi)提供的產(chǎn)量，其數(shù)值結(jié)果為：

式中：num和τ分別為系統(tǒng)并發(fā)連接數(shù)和平均響應(yīng)時(shí)間，計(jì)算得出的系統(tǒng)并發(fā)連接數(shù)和吞吐率越高，證明對(duì)應(yīng)系統(tǒng)的運(yùn)行性能越強(qiáng)。

4.5 系統(tǒng)測(cè)試結(jié)果分析

4.5.1 系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)功能測(cè)試結(jié)果

通過(guò)相關(guān)數(shù)據(jù)的提取與統(tǒng)計(jì)，得出系統(tǒng)入侵檢測(cè)功能的測(cè)試結(jié)果，如表3所示。

將表3 中的數(shù)據(jù)代入到公式（10）和公式（11）中，可以得出兩個(gè)系統(tǒng)的平均入侵次數(shù)檢測(cè)誤差分別為3.8 和1.0，兩個(gè)系統(tǒng)入侵類型檢測(cè)錯(cuò)誤率的測(cè)試平均值對(duì)應(yīng)的是3.3%和1.0%。由此可見(jiàn)，優(yōu)化設(shè)計(jì)系統(tǒng)的次數(shù)檢測(cè)誤差和類型檢測(cè)錯(cuò)誤率均低于對(duì)比系統(tǒng)，即設(shè)計(jì)系統(tǒng)的入侵檢測(cè)性能更佳。

表3 系統(tǒng)入侵檢測(cè)功能測(cè)試結(jié)果Tab.3 System intrusion detection function test result

4.5.2 系統(tǒng)運(yùn)行性能測(cè)試結(jié)果

提取系統(tǒng)后臺(tái)運(yùn)行數(shù)據(jù)代入到公式（12）中，得出反映系統(tǒng)運(yùn)行性能的測(cè)試結(jié)果，如圖6所示。

圖6 系統(tǒng)運(yùn)行性能測(cè)試結(jié)果Fig.6 Performance test result of unified operation

從圖6 中可以直觀地看出，設(shè)計(jì)系統(tǒng)的最大并發(fā)連接數(shù)能夠保持在120 萬(wàn)以上，整機(jī)吞吐率始終高于6 Gbps。與傳統(tǒng)系統(tǒng)相比，設(shè)計(jì)系統(tǒng)的最大并發(fā)連接數(shù)和吞吐率取值更高，由此證明設(shè)計(jì)系統(tǒng)的運(yùn)行性能更優(yōu)。

5 結(jié)語(yǔ)

水電廠網(wǎng)絡(luò)是水電廠調(diào)度與控制信號(hào)傳輸?shù)年P(guān)鍵，對(duì)于維持水電廠正常工作秩序具有重要意義。從系統(tǒng)測(cè)試結(jié)果中可以看出，通過(guò)威努特網(wǎng)絡(luò)威脅感知技術(shù)的應(yīng)用，水電廠網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)功能和運(yùn)行性能均得到有效提升。然而設(shè)計(jì)系統(tǒng)未對(duì)網(wǎng)絡(luò)入侵檢測(cè)的時(shí)效性進(jìn)行優(yōu)化與測(cè)試，因此可能出現(xiàn)網(wǎng)絡(luò)入侵處理不及時(shí)的情況，針對(duì)這一問(wèn)題還需要在今后的研究工作中進(jìn)一步優(yōu)化。