許訓(xùn)煒，沈希澄，周霞，解相朋，戴劍豐

（1.南京南瑞繼保電氣有限公司，南京 211102；2.南京郵電大學(xué) 先進(jìn)技術(shù)研究院，南京 210023）

0 引言

在源網(wǎng)荷儲(chǔ)協(xié)同互動(dòng)背景下，新型能源系統(tǒng)建設(shè)呈現(xiàn)出新能源為主、新設(shè)備大量接入、新技術(shù)廣泛應(yīng)用的特點(diǎn)［1-3］，因此建立了源網(wǎng)荷儲(chǔ)資源協(xié)調(diào)控制系統(tǒng)，通過(guò)數(shù)據(jù)管理融合、數(shù)據(jù)統(tǒng)一服務(wù)、資源全息感知等技術(shù)實(shí)現(xiàn)源網(wǎng)荷儲(chǔ)各環(huán)節(jié)的應(yīng)用［4-7］。但海量分布的新能源場(chǎng)站高比例、碎片化接入，導(dǎo)致網(wǎng)絡(luò)安全防御關(guān)口增加，網(wǎng)絡(luò)防護(hù)邊界愈發(fā)模糊［6］。物聯(lián)終端新設(shè)備的大量接入使數(shù)字化威脅逐步滲透至電力系統(tǒng)中，攻擊暴露面和防護(hù)范圍顯著增加，給以邊界為核心的傳統(tǒng)防護(hù)構(gòu)架帶來(lái)了挑戰(zhàn)［7］。源網(wǎng)荷儲(chǔ)協(xié)同場(chǎng)景下多方數(shù)據(jù)頻繁交互，在交互過(guò)程中，若負(fù)荷側(cè)需求電量等關(guān)鍵數(shù)據(jù)被黑客篡改，將會(huì)影響發(fā)電側(cè)、負(fù)荷側(cè)調(diào)節(jié)計(jì)劃，威脅電網(wǎng)安全［8-9］。因此，構(gòu)建異常事件與網(wǎng)絡(luò)攻擊場(chǎng)景的關(guān)聯(lián)分析框架，有效識(shí)別攻擊場(chǎng)景并設(shè)置對(duì)應(yīng)策略成為電網(wǎng)安全防護(hù)的重要手段。

目前，基于數(shù)據(jù)驅(qū)動(dòng)的關(guān)聯(lián)規(guī)則分析技術(shù)已被運(yùn)用于輸電線(xiàn)路缺陷狀態(tài)預(yù)測(cè)、配電網(wǎng)薄弱點(diǎn)分析、用電異常數(shù)據(jù)挖掘等領(lǐng)域［10-12］，關(guān)聯(lián)分析方式主要有基于相似度、因果關(guān)系、數(shù)據(jù)挖掘等方法。文獻(xiàn)［13］建立了基于A(yíng)priori 算法的關(guān)聯(lián)分析模型，挖掘電網(wǎng)網(wǎng)絡(luò)攻擊場(chǎng)景下的關(guān)聯(lián)規(guī)則，并結(jié)合貝葉斯模型實(shí)現(xiàn)攻擊場(chǎng)景的快速分類(lèi)；但Apriori 算法在進(jìn)行頻繁項(xiàng)集挖掘的過(guò)程中需要多次遍歷項(xiàng)集，算法的時(shí)間復(fù)雜度較高，面對(duì)源網(wǎng)荷儲(chǔ)系統(tǒng)的海量數(shù)據(jù)時(shí)效率較低。文獻(xiàn)［14］針對(duì)網(wǎng)絡(luò)攻擊對(duì)信息側(cè)與物理側(cè)的影響，從時(shí)間維度上的事前防御和事后恢復(fù)出發(fā)，總結(jié)歸納了相關(guān)網(wǎng)絡(luò)攻擊防御手段，但并未指出如何識(shí)別相關(guān)網(wǎng)絡(luò)攻擊場(chǎng)景。文獻(xiàn)［15］將機(jī)器學(xué)習(xí)運(yùn)用于攻擊關(guān)聯(lián)分析中，通過(guò)對(duì)電力通信側(cè)異常事件歸類(lèi)，利用遺傳算法自動(dòng)生成對(duì)應(yīng)不同網(wǎng)絡(luò)攻擊場(chǎng)景的關(guān)聯(lián)規(guī)則，并基于時(shí)序邏輯實(shí)現(xiàn)關(guān)聯(lián)規(guī)則的匹配；但該方法需要對(duì)所有攻擊場(chǎng)景內(nèi)的關(guān)聯(lián)規(guī)則依次進(jìn)行匹配，異常事件匹配效率較低。

針對(duì)上述方法存在的問(wèn)題，本文提出了基于數(shù)據(jù)驅(qū)動(dòng)的源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)網(wǎng)絡(luò)攻擊異常關(guān)聯(lián)規(guī)則分析方法，利用處理后的系統(tǒng)運(yùn)行數(shù)據(jù)，應(yīng)用FP-Growth 算法提升關(guān)聯(lián)規(guī)則挖掘的效率。通過(guò)灰色關(guān)聯(lián)分析算法實(shí)現(xiàn)異常事件與關(guān)聯(lián)規(guī)則的在線(xiàn)匹配，建立系統(tǒng)網(wǎng)絡(luò)攻擊異常事件關(guān)聯(lián)分析框架，提升網(wǎng)絡(luò)攻擊場(chǎng)景的識(shí)別準(zhǔn)確率。最后，對(duì)比FP-Growth 算法與Apriori 算法在不同數(shù)據(jù)量下的關(guān)聯(lián)規(guī)則挖掘速度，驗(yàn)證所提方法的可行性。

1 源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)由應(yīng)用層、平臺(tái)層、網(wǎng)絡(luò)層、接入層組成。接入層負(fù)責(zé)各終端與控制系統(tǒng)的物聯(lián)，實(shí)現(xiàn)全場(chǎng)景數(shù)據(jù)融合。網(wǎng)絡(luò)層由生產(chǎn)控制、信息管理與互聯(lián)網(wǎng)3個(gè)大區(qū)組成，為源網(wǎng)荷儲(chǔ)之間的協(xié)調(diào)提供通信支持。平臺(tái)層對(duì)各項(xiàng)數(shù)據(jù)進(jìn)行處理，為應(yīng)用層提供統(tǒng)一服務(wù)，以實(shí)現(xiàn)源網(wǎng)荷儲(chǔ)優(yōu)化調(diào)度、泛在可控資源協(xié)調(diào)控制等功能。源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)結(jié)構(gòu)Fig.1 Network security protection structure of a coordinated source-network-load-storage control system

源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)的特點(diǎn)體現(xiàn)在多元信息采集的廣度與深度，將海量信息管理、多源數(shù)據(jù)統(tǒng)一融合等技術(shù)結(jié)合，實(shí)現(xiàn)源網(wǎng)荷儲(chǔ)協(xié)同互動(dòng)。然而源網(wǎng)荷儲(chǔ)系統(tǒng)每個(gè)設(shè)備與環(huán)節(jié)之間存在大量的數(shù)據(jù)傳輸，使整個(gè)系統(tǒng)中存在信息安全隱患。其次，由于源網(wǎng)荷儲(chǔ)協(xié)調(diào)場(chǎng)景中信息流與能量流動(dòng)態(tài)交互，系統(tǒng)中的信息安全風(fēng)險(xiǎn)可憑借這一特性在信息流與能量流中交叉擴(kuò)散，進(jìn)一步增大了原本安全風(fēng)險(xiǎn)的復(fù)雜性與嚴(yán)重性。

目前安全風(fēng)險(xiǎn)主要出現(xiàn)在新型電力系統(tǒng)的建設(shè)過(guò)程中，隨著安全防護(hù)大區(qū)外的業(yè)務(wù)不斷增多，電網(wǎng)核心區(qū)與外部系統(tǒng)的交互形式多樣，防護(hù)大區(qū)外的防護(hù)策略超出了三道防線(xiàn)的防護(hù)設(shè)計(jì)范圍，存在安全漏洞。其次，末梢開(kāi)放式的連接沖擊了隔離體系，政府、電網(wǎng)企業(yè)、聚合商、用戶(hù)、市場(chǎng)等主體在采集和使用末梢數(shù)據(jù)時(shí)，用戶(hù)側(cè)設(shè)備處于廣泛連接狀態(tài)，外部終端本體存在的漏洞會(huì)給系統(tǒng)帶來(lái)致命一擊。此外，控制系統(tǒng)匯集了大量數(shù)據(jù)，當(dāng)內(nèi)網(wǎng)數(shù)據(jù)未被加密存儲(chǔ)且通過(guò)第三方企業(yè)的數(shù)據(jù)引流直接暴露于公網(wǎng)時(shí)，黑客可以利用第三方企業(yè)的漏洞獲取控制系統(tǒng)的數(shù)據(jù)，產(chǎn)生嚴(yán)重的安全隱患。

針對(duì)控制系統(tǒng)的網(wǎng)絡(luò)攻擊主要包括場(chǎng)景信息泄露攻擊、虛假數(shù)據(jù)注入攻擊、拒絕服務(wù)攻擊與非法使用攻擊。信息泄露攻擊通過(guò)密碼破解攻擊與惡意軟件進(jìn)行報(bào)文監(jiān)聽(tīng)。虛假數(shù)據(jù)注入攻擊通過(guò)偽造控制指令或者對(duì)測(cè)量數(shù)據(jù)進(jìn)行修改造成安全威脅。拒絕服務(wù)攻擊是較為常見(jiàn)的攻擊，其通過(guò)阻礙控制中心與遠(yuǎn)程終端的通信，導(dǎo)致測(cè)控信號(hào)無(wú)法傳輸進(jìn)而影響系統(tǒng)安全。非法使用攻擊指攻擊者違法占用系統(tǒng)傳感器/執(zhí)行器的操控權(quán)限，從而對(duì)設(shè)備進(jìn)行破壞。本文分析源網(wǎng)荷儲(chǔ)控制系統(tǒng)的4種攻擊頻繁場(chǎng)景：DDoS（分布式拒絕服務(wù)）攻擊、數(shù)據(jù)篡改、偽造指令攻擊、測(cè)控設(shè)備破壞攻擊，如表1所示。

表1 針對(duì)源網(wǎng)荷儲(chǔ)系統(tǒng)的網(wǎng)絡(luò)攻擊場(chǎng)景Table 1 Cyberattack scenarios of the source-network-loadstorage system

2 基于FP-Growth算法的關(guān)聯(lián)規(guī)則分析法

關(guān)聯(lián)規(guī)則分析法用于挖掘數(shù)據(jù)集合中多個(gè)變量間的關(guān)系，發(fā)現(xiàn)集合中不同項(xiàng)之間的聯(lián)系，并利用這些聯(lián)系構(gòu)成的規(guī)則，找到相關(guān)的行為特征從而幫助決策。設(shè)S={a1，a2，…，an}為總項(xiàng)集，ai（i=1，2，…，n）為S中的項(xiàng)集。設(shè)X和Y是S的兩個(gè)非空子集，如果項(xiàng)X與Y存在關(guān)聯(lián)規(guī)則，可記為X→Y。關(guān)聯(lián)規(guī)則有支持度Support 與置信度Confidence兩個(gè)指標(biāo)衡量關(guān)聯(lián)性。支持度指在全部事物中｛X，Y｝出現(xiàn)的可能性，即項(xiàng)目集中｛X，Y｝同時(shí)出現(xiàn)的次數(shù)與事物總數(shù)N的比例：

置信度指先決事件X條件下，對(duì)應(yīng)的關(guān)聯(lián)事件Y發(fā)生的概率，即：

通過(guò)設(shè)定最小支持度minSup 與最小置信度minConf，排除出現(xiàn)概率較小的無(wú)意義規(guī)則，篩選頻繁出現(xiàn)的項(xiàng)集對(duì)應(yīng)的規(guī)則即強(qiáng)關(guān)聯(lián)規(guī)則。

最先提出的關(guān)聯(lián)規(guī)則算法為Apriori 算法，其是一種廣度優(yōu)先的挖掘方法，需要重復(fù)掃描數(shù)據(jù)庫(kù)，并產(chǎn)生大量候選集，導(dǎo)致時(shí)間、空間復(fù)雜度較高，對(duì)于擁有海量數(shù)據(jù)的源網(wǎng)荷儲(chǔ)系統(tǒng)場(chǎng)景，Apriori算法效率較低。

本文采用的FP-Growth 算法基于分治算法思想，建立一個(gè)FP-Tree 樹(shù)結(jié)構(gòu)以壓縮數(shù)據(jù)記錄。首先掃描事件S記錄數(shù)據(jù)，根據(jù)設(shè)置的minSup 和minConf確定頻繁項(xiàng)并根據(jù)支持度降序排列，候選頻繁項(xiàng)集均按次序處理，并依次創(chuàng)建分支，形成事件S序列的FP-Tree。其次遞歸調(diào)用樹(shù)結(jié)構(gòu)，剪枝不滿(mǎn)足minSup 閾值的項(xiàng)，并連接所有組合，最終形成單一路徑的樹(shù)結(jié)構(gòu)，路徑的所有組合為條件頻繁項(xiàng)集。相較于傳統(tǒng)的Apriori 算法，F(xiàn)PGrowth 算法在建立關(guān)聯(lián)規(guī)則的過(guò)程中僅需掃描兩遍數(shù)據(jù)集，提高了數(shù)據(jù)挖掘效率。本文通過(guò)分析異常事件類(lèi)型與網(wǎng)絡(luò)攻擊的關(guān)聯(lián)規(guī)則，為網(wǎng)絡(luò)攻擊的實(shí)時(shí)識(shí)別提供依據(jù)。源網(wǎng)荷儲(chǔ)控制系統(tǒng)網(wǎng)絡(luò)攻擊匹配方法架構(gòu)如圖2所示。

圖2 源網(wǎng)荷儲(chǔ)控制系統(tǒng)網(wǎng)絡(luò)攻擊匹配方法架構(gòu)Fig.2 Architecture of matching method for cyberattack of source-network-load-storage control system

2.1 構(gòu)建網(wǎng)絡(luò)攻擊異常事件特征庫(kù)

分析網(wǎng)絡(luò)攻擊異常事件需要收集有效特征數(shù)據(jù)構(gòu)成項(xiàng)集，從多個(gè)數(shù)據(jù)源中獲取抓包數(shù)據(jù)和日志文件作為網(wǎng)絡(luò)攻擊事件匹配特征庫(kù)。由于系統(tǒng)異常事件較多且存在重復(fù)，需要對(duì)數(shù)據(jù)進(jìn)行篩選，按照屬性一致性規(guī)則合并重復(fù)的異常事件以提高后續(xù)分析效率。

遭受網(wǎng)絡(luò)攻擊而導(dǎo)致的異常事件可分類(lèi)為電氣側(cè)與信息側(cè)，信息側(cè)異常事件包括業(yè)務(wù)異常、網(wǎng)絡(luò)異常和終端異常，電氣側(cè)異常包括電壓異常、電流異常、可切負(fù)荷異常、拒動(dòng)異常和誤動(dòng)異常。網(wǎng)絡(luò)攻擊對(duì)源網(wǎng)荷儲(chǔ)控制系統(tǒng)的影響如圖3所示。

圖3 網(wǎng)絡(luò)攻擊對(duì)源網(wǎng)荷儲(chǔ)控制系統(tǒng)的影響Fig.3 The impact of cyberattacks on the source-networkload-storage control system

分析網(wǎng)絡(luò)攻擊場(chǎng)景、攻擊影響與攻擊對(duì)象，提取關(guān)聯(lián)規(guī)則的必須元素，建立網(wǎng)絡(luò)攻擊異常事件關(guān)鍵要素集合：

式中：Si為攻擊場(chǎng)景；Ai為網(wǎng)絡(luò)攻擊異常表現(xiàn)形式；Oi為數(shù)據(jù)來(lái)源對(duì)象。網(wǎng)絡(luò)攻擊場(chǎng)景包括測(cè)控設(shè)備破壞攻擊、數(shù)據(jù)篡改上行/下行信道攻擊、DDoS 上行/下行信道攻擊、偽造指令攻擊共6 種攻擊場(chǎng)景，分別編號(hào)為1—6。異常事件主要有網(wǎng)絡(luò)拒絕服務(wù)、終端通信異常、終端配置變更、網(wǎng)絡(luò)流量異常、違規(guī)業(yè)務(wù)指令、電壓異常、電流異常、上報(bào)可切負(fù)荷異常等共12 類(lèi)異常事件，分別編號(hào)為A—L。

采用FP-Growth算法進(jìn)行關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘，獲得網(wǎng)絡(luò)攻擊導(dǎo)致的裝置異常的數(shù)據(jù)頻繁項(xiàng)集，將獲取的頻繁項(xiàng)集與新發(fā)生的異常事件比對(duì)以識(shí)別網(wǎng)絡(luò)攻擊?；静襟E如下：

1）對(duì)經(jīng)過(guò)整理的網(wǎng)絡(luò)攻擊導(dǎo)致的異常數(shù)據(jù)集合進(jìn)行第一遍掃描，集合中每條數(shù)據(jù)代表系統(tǒng)遭遇網(wǎng)絡(luò)攻擊的出現(xiàn)異常記錄，統(tǒng)計(jì)其中所有Si或Ai頻數(shù)1項(xiàng)集出現(xiàn)的次數(shù)，去除出現(xiàn)頻數(shù)小于設(shè)定minSup 的元素，剩余的元素即為滿(mǎn)足支持度要求的頻繁元素，將這些元素作為根節(jié)點(diǎn)，構(gòu)建FPTree表頭。

2）第二遍掃描數(shù)據(jù)集，對(duì)于數(shù)據(jù)集中的每條項(xiàng)集，剔除不在項(xiàng)表頭中的Si或Ai，并按照支持度降序排列，建立異常數(shù)據(jù)集。接著將每條項(xiàng)集中所有元素構(gòu)成由根節(jié)點(diǎn)到葉節(jié)點(diǎn)的路徑，然后遞歸建立對(duì)應(yīng)的條件模式，得到網(wǎng)絡(luò)攻擊異常事件頻繁項(xiàng)集。

基于FP-Growth 算法的頻繁項(xiàng)集挖掘流程如圖4所示。通過(guò)該方法，可以快速挖掘攻擊場(chǎng)景Si與網(wǎng)絡(luò)攻擊異常表現(xiàn)形式Ai之間的頻繁項(xiàng)集，獲得二者之間的關(guān)聯(lián)規(guī)則，寫(xiě)入網(wǎng)絡(luò)攻擊規(guī)則庫(kù)，為在線(xiàn)網(wǎng)絡(luò)攻擊場(chǎng)景匹配提供基礎(chǔ)。

圖4 基于FP-Growth算法的頻繁項(xiàng)集挖掘流程Fig.4 Flow of frequent itemset mining based on FP-Growth algorithm

2.2 基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)攻擊事件匹配

基于已經(jīng)生成關(guān)聯(lián)規(guī)則，建立系統(tǒng)內(nèi)異常事件與具體關(guān)聯(lián)規(guī)則的匹配機(jī)制，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊場(chǎng)景的快速識(shí)別。本文提出了基于灰色關(guān)聯(lián)分析的系統(tǒng)攻擊關(guān)聯(lián)匹配模塊。

對(duì)于實(shí)時(shí)異常事件，建立異常事件屬性集X={x1，x2…，x12}；設(shè)置各指標(biāo)的最優(yōu)值（或最劣值）構(gòu)成參考屬性集Y={y1，y2…，y12}。同時(shí)，為了計(jì)算屬性集中各屬性與參考屬性之間的關(guān)聯(lián)度，建立了實(shí)時(shí)比較數(shù)列xi（k）與參考數(shù)列y（k），其中k表示不同時(shí)刻，i表示屬性集中的不同屬性。

由于各因素列中數(shù)據(jù)的量綱不同，因此在評(píng)估異常事件各屬性與參考屬性之間的關(guān)聯(lián)度之前需要對(duì)數(shù)據(jù)進(jìn)行無(wú)量綱化處理，主要采用初值化與均值化處理，即：

利用無(wú)量綱化處理后的數(shù)據(jù)計(jì)算各時(shí)段下的關(guān)聯(lián)系數(shù)ξi(k)：

式中：ρ為分辨系數(shù)，取ρ=0.5。

計(jì)算比較數(shù)列與參考數(shù)列在各個(gè)時(shí)刻的關(guān)聯(lián)系數(shù)平均值，即為實(shí)時(shí)異常事件各屬性與參考屬性之間的關(guān)聯(lián)度ri：

對(duì)單個(gè)屬性設(shè)定不同的閾值β，通過(guò)對(duì)比閾值β與對(duì)應(yīng)屬性的關(guān)聯(lián)度ri，判斷該屬性對(duì)應(yīng)的異常表現(xiàn)是否發(fā)生，例如設(shè)定：

最后，得到實(shí)時(shí)異常事件對(duì)于網(wǎng)絡(luò)攻擊異常表現(xiàn)形式的元素集合，結(jié)合網(wǎng)絡(luò)攻擊規(guī)則庫(kù)中的關(guān)聯(lián)規(guī)則，實(shí)現(xiàn)對(duì)攻擊場(chǎng)景的快速識(shí)別。

3 算例分析

為驗(yàn)證所提出的源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)網(wǎng)絡(luò)攻擊關(guān)聯(lián)性分析方法的有效性與可行性，對(duì)某地區(qū)源網(wǎng)荷儲(chǔ)系統(tǒng)的抓包文件和日志文件進(jìn)行解析，獲取涉及網(wǎng)絡(luò)攻擊場(chǎng)景下異常事件的數(shù)據(jù)，對(duì)采集的數(shù)據(jù)進(jìn)行預(yù)處理，過(guò)濾無(wú)關(guān)項(xiàng)與重復(fù)項(xiàng)，生成網(wǎng)絡(luò)攻擊異常事件項(xiàng)集，利用FP-Growth 算法對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析，挖掘異常信息與網(wǎng)絡(luò)攻擊事件的關(guān)聯(lián)規(guī)則。對(duì)比FP-Growth 算法與其他算法，分析關(guān)聯(lián)訓(xùn)練算法的效率，并將新的事件按照關(guān)聯(lián)規(guī)則進(jìn)行匹配，對(duì)該事件是否存在網(wǎng)絡(luò)攻擊以及具體的攻擊類(lèi)型進(jìn)行識(shí)別。

3.1 關(guān)聯(lián)規(guī)則效果分析

某地源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)數(shù)據(jù)經(jīng)預(yù)處理后得到2 000 條有效數(shù)據(jù)，其中1 800 條作為訓(xùn)練庫(kù)構(gòu)建關(guān)聯(lián)規(guī)則，其余200條作為測(cè)試庫(kù)數(shù)據(jù)，將測(cè)試數(shù)據(jù)進(jìn)行量化編碼。首先設(shè)置minSup 為15%、minConf 為60%，并使用FP-Growth 算法進(jìn)行關(guān)聯(lián)規(guī)則挖掘，經(jīng)多次調(diào)整支持度與置信度，得出部分強(qiáng)關(guān)聯(lián)規(guī)則如表2所示。將測(cè)試庫(kù)數(shù)據(jù)的網(wǎng)絡(luò)攻擊場(chǎng)景、異常事件的具體情況與挖掘得到的關(guān)聯(lián)規(guī)則進(jìn)行對(duì)比，驗(yàn)證本文關(guān)聯(lián)規(guī)則方法的準(zhǔn)確率。

表2 關(guān)聯(lián)規(guī)則部分結(jié)果Table 2 Selected results of correlation rules

利用灰色關(guān)聯(lián)分析法，將測(cè)試庫(kù)的200條數(shù)據(jù)與關(guān)聯(lián)規(guī)則進(jìn)行匹配，判斷事件屬于自然故障還是網(wǎng)絡(luò)攻擊；若屬于網(wǎng)絡(luò)攻擊，繼續(xù)檢測(cè)識(shí)別其攻擊場(chǎng)景，通過(guò)設(shè)置不同攻擊場(chǎng)景，生成不同特征序列，利用遷移學(xué)習(xí)不斷提高事件匹配的效率和準(zhǔn)確性。測(cè)試事件中92%的數(shù)據(jù)可以準(zhǔn)確匹配出相應(yīng)的網(wǎng)絡(luò)攻擊場(chǎng)景。

在不同樣本量下比較Apriori 算法、改進(jìn)Apriori 算法與本文所提FP-Growth 算法的分析準(zhǔn)確度。選擇總樣本量為500、800、1 000、1 500的數(shù)據(jù)庫(kù)進(jìn)行關(guān)聯(lián)規(guī)則分析與匹配，結(jié)果見(jiàn)表3。

由表3可知，當(dāng)樣本量較少情況下，本文提出方法的準(zhǔn)確率明顯高于其他方法，當(dāng)樣本量逐漸增加時(shí)，不同算法的準(zhǔn)確率也逐漸趨于相同水平。本文提出的方法能有效匹配出網(wǎng)絡(luò)攻擊場(chǎng)景，在數(shù)據(jù)總量較低的情況下依然可以實(shí)現(xiàn)對(duì)異常事件的成功匹配。因此對(duì)于出現(xiàn)頻率較低的網(wǎng)絡(luò)攻擊場(chǎng)景，利用FP-Growth 算法能夠?qū)崿F(xiàn)準(zhǔn)確識(shí)別并確認(rèn)攻擊發(fā)生的環(huán)節(jié)，針對(duì)網(wǎng)絡(luò)攻擊方式實(shí)施相應(yīng)的防護(hù)策略。

表3 算法準(zhǔn)確率對(duì)比Table 3 Accuracy comparison of algorithms

3.2 關(guān)聯(lián)規(guī)則訓(xùn)練效率分析

進(jìn)一步測(cè)試本文方法在不同樣本量下的運(yùn)行速度。分別設(shè)置1 000～20 000 條數(shù)據(jù)，采用Apriori算法、改進(jìn)的Apriori 算法與本文所提FP-Growth算法進(jìn)行關(guān)聯(lián)規(guī)則訓(xùn)練。設(shè)定minSup 為10%、minConf為50%，訓(xùn)練時(shí)間對(duì)比結(jié)果如表4所示。

表4 不同算法關(guān)聯(lián)規(guī)則訓(xùn)練時(shí)間對(duì)比Table 4 Comparison of training time for correlation rules of different algorithms

由表4可以看出：

1）相較于A(yíng)priori 算法和改進(jìn)的Apriori 算法，本文所提出的方法在不同數(shù)據(jù)量下，訓(xùn)練時(shí)間大幅降低、訓(xùn)練效率提高。

2）在大數(shù)據(jù)量下，本文所提方法在訓(xùn)練時(shí)間上的優(yōu)勢(shì)更為明顯。當(dāng)存在20 000 條數(shù)據(jù)時(shí)，本文所提方法相較于A(yíng)priori算法效率提高約135倍。

3）隨著數(shù)據(jù)量的增加，本文所提方法的訓(xùn)練時(shí)間沒(méi)有大幅度增加，從1 000條數(shù)據(jù)到20 000條數(shù)據(jù)的訓(xùn)練時(shí)間僅增加不到3倍。因此，本文方法更加適用于源網(wǎng)荷儲(chǔ)系統(tǒng)海量數(shù)據(jù)的環(huán)境。

4 結(jié)語(yǔ)

隨著新型電力系統(tǒng)的不斷發(fā)展，源網(wǎng)荷儲(chǔ)協(xié)同互動(dòng)導(dǎo)致信息交互需求不斷增加，針對(duì)網(wǎng)絡(luò)防護(hù)邊界外部系統(tǒng)進(jìn)行的網(wǎng)絡(luò)攻擊手段更加多樣，攻擊影響越發(fā)嚴(yán)重。

本文面向源網(wǎng)荷儲(chǔ)協(xié)同控制系統(tǒng)，從電氣側(cè)與信息側(cè)考慮可能受網(wǎng)絡(luò)攻擊而產(chǎn)生的異常事件。基于數(shù)據(jù)驅(qū)動(dòng)，利用FP-Growth 算法建立網(wǎng)絡(luò)攻擊異常事件關(guān)聯(lián)規(guī)則，并大幅降低數(shù)據(jù)挖掘的時(shí)間復(fù)雜度。

利用灰色關(guān)聯(lián)度分析算法對(duì)異常事件與關(guān)聯(lián)規(guī)則進(jìn)行在線(xiàn)匹配，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊場(chǎng)景的實(shí)時(shí)判別。實(shí)際電網(wǎng)數(shù)據(jù)測(cè)試結(jié)果表明，本文提出的方法能有效匹配出網(wǎng)絡(luò)攻擊場(chǎng)景，有助于系統(tǒng)安全漏洞的識(shí)別與定位。