基于卷積神經(jīng)網(wǎng)絡(luò)的電力通信網(wǎng)絡(luò)攻擊源定位方法

嚴(yán)彬元，王皓然，周澤元

(貴州電網(wǎng)有限責(zé)任公司信息中心， 貴州 貴陽， 550002)

區(qū)域經(jīng)濟(jì)發(fā)展中的各個企業(yè)對于電力穩(wěn)定、可靠、經(jīng)濟(jì)等性能的要求極高，亟需電力企業(yè)將通信、計算機(jī)、電子技術(shù)、網(wǎng)絡(luò)等技術(shù)進(jìn)行有機(jī)結(jié)合，實現(xiàn)電力智能化和自動化[1]?；ヂ?lián)網(wǎng)時代，由于電力通信數(shù)據(jù)的不斷增加，且傳輸過程中受到網(wǎng)絡(luò)中多種病毒等的襲擊[2]，導(dǎo)致電力通信系統(tǒng)通信不佳，影響電力通信網(wǎng)絡(luò)可靠性、CPS的安全性[3]。

基于此，國內(nèi)外相關(guān)學(xué)者十分重視電力通信網(wǎng)絡(luò)安全，已經(jīng)研究出眾多網(wǎng)絡(luò)安全檢測、攻擊追蹤、攻擊定位、攻擊標(biāo)記、安全評估、攻擊防御等電力通信網(wǎng)絡(luò)安全保護(hù)技術(shù)[4]。這些技術(shù)雖然在一定程度上保護(hù)了電力通信網(wǎng)絡(luò)，卻難以定位網(wǎng)絡(luò)攻擊源，從源頭解決網(wǎng)絡(luò)攻擊[5]。其中，文獻(xiàn)[6]將深空探測器信標(biāo)信號作為研究對象，根據(jù)探測器信標(biāo)的信號頻率，定位探測器信標(biāo)信號源。文獻(xiàn)[7]在烏鴉搜索算法基礎(chǔ)上，將其改進(jìn)為自適應(yīng)烏鴉搜索算法，全局搜索信息源頭，實現(xiàn)信息源定位。上述網(wǎng)絡(luò)攻擊源定位方法中，定位電力通信網(wǎng)絡(luò)攻擊源時，存在攻擊源定位準(zhǔn)確性低的問題。

為此，本文提出基于卷積神經(jīng)網(wǎng)絡(luò)的電力通信網(wǎng)絡(luò)攻擊源定位方法。

1 電力通信網(wǎng)絡(luò)攻擊源分析

1.1 電力通信網(wǎng)絡(luò)信道攻擊源空間狀態(tài)分析

電力通信網(wǎng)絡(luò)在運行過程中，由于通信信道受到外界環(huán)境影響，存在一定的脆弱性。針對這一問題，本文提出了一種基于單一包標(biāo)號的方法來改進(jìn)傳統(tǒng)的隨機(jī)分組標(biāo)記(PPM)的最弱鏈路和較差收斂的問題。在單次包標(biāo)記算法中，用p表示攻擊路徑AP上的電力通信網(wǎng)絡(luò)路由器Ri(i=1,2,……,d)對每個經(jīng)過的數(shù)據(jù)包進(jìn)行標(biāo)記的概率，用αi(p)表示一個數(shù)據(jù)包被傳輸路徑上第i個路由器Ri最后標(biāo)記到達(dá)電力通信網(wǎng)絡(luò)設(shè)備的概率，則αi(p)=p(1-p)d-i(i=1,2,……,d)。

因為p是單次包標(biāo)記，那么α1(p)=p，α2(p)=p[1-α1(p)]=p(1-p)，α3(p)=p[1-α1(p)-α2(p)]=p(1-p)2，依次遞推，α1(p)=p(1-p)i-1(i=1,2,……,d)，當(dāng)p=1/25，可以得出結(jié)論α1(p)≤α2(p)≤α3(p)≤……≤αd(p)。則電力通信網(wǎng)絡(luò)設(shè)備受到攻擊的時間計算公式為：

(1)

其中：qi表示電力通信網(wǎng)絡(luò)設(shè)備收到由路由器Ri標(biāo)記的數(shù)據(jù)包的概率，q和qi分別表示初始和i時刻電網(wǎng)通信網(wǎng)絡(luò)設(shè)備接收到一個攜帶路由器R1標(biāo)記(最弱鏈)的包的概率，N和Ni分別表示初始和i時刻電力通信網(wǎng)絡(luò)設(shè)備獲得最弱鏈標(biāo)記所需的數(shù)據(jù)包質(zhì)量。

假設(shè)電力通信網(wǎng)絡(luò)中存在S個傳感器節(jié)點，任意傳感器節(jié)點(s=1,2,……,S)在tk時隙采集關(guān)于目標(biāo)攻擊信息yk(s)的感知數(shù)據(jù)，即為obk(s)。那么集合{abk(s),s=1,2,……,s}可以表示為{yk(s)}與加性噪聲ηab(s)之和的形式：

abk(s)=yk(s)+ηab(s)

(2)

根據(jù)貝葉斯空時建模方法，電力通信網(wǎng)絡(luò)目標(biāo)函數(shù){yk(s)}可以表示四個相互獨立分量之和的形式，記為：

yk(s)=μ(s)+M(s,tk)+Ωk(s)+ηy(s)

(3)

其中：μ(s)表示電力通信網(wǎng)絡(luò)攻擊源相關(guān)函數(shù)，M(s,tk)表示電力通信網(wǎng)絡(luò)攻擊源長期時變過程，Ωk(s)表示電力通信網(wǎng)絡(luò)攻擊源的短期時變過程，主要用于電力通信網(wǎng)絡(luò)攻擊鏈變化情況的體現(xiàn)。

對于μ(s)，采用一階空間回歸模型來描述電力通信網(wǎng)絡(luò)目標(biāo)設(shè)備的空間結(jié)構(gòu)特征，其模型可以表示為：

μ(s)=μ1+μ2I(s)

(4)

其中：I(s)表示攻擊源節(jié)點s的空間位置，μ1表示電力通信網(wǎng)絡(luò)目標(biāo)設(shè)備的整體均值，μ2表示空間位置對μ(s)的修正。

對于M(s,tk)，采用振動波模型來表示電力通信網(wǎng)絡(luò)攻擊源大尺度時空變化趨勢，該模型可以表示為一個直流分量和兩個諧波分量之和，記為：

M(s,t)=ht+f(s)cos(ωt)+g(s)sin(ωt)

(5)

其中：ht代表電力通信網(wǎng)絡(luò)特征隨著時間線性變化的因子，ω表示電力通信網(wǎng)絡(luò)周期性變化因子的變化頻率，f(s)和g(s)表示隨空間變化的周期性因子的振幅，記為：

f(s)=f1+f2long(s)+f3lat(s)

(6)

g(s)=g1+g2long(s)+g3lat(s)

(7)

其中：long(s)和lat(s)分別表示攻擊源節(jié)點s的經(jīng)度和緯度；系數(shù)f1,f2，f3以及g1,g2,g3均為獨立高斯隨機(jī)變量。

對于Ωk(s)，采用一階自回歸模型AR(1)描述電力通信網(wǎng)絡(luò)攻擊源短期的變化趨勢為以下形式：

Ωk(s)=φ(s)Ωk-1(s)+ηΩ(s)

(8)

1.2 電力通信網(wǎng)絡(luò)攻擊源聚合分析

基于電力通信網(wǎng)絡(luò)攻擊源時空變化情況，通過自回歸系數(shù)ψ確定電力通信網(wǎng)絡(luò)隨機(jī)變量并獨立于攻擊源節(jié)點所在位置。主要針對電力通信網(wǎng)絡(luò)能力的限制和自組織的組網(wǎng)方式，典型傳感器網(wǎng)絡(luò)部署范圍相對較小，假定電力通信網(wǎng)絡(luò)中所有攻擊源節(jié)點擁有近似相同的經(jīng)度和緯度，那么上節(jié)中第一個分量μ(s)的取值趨向獨立于位置函數(shù)l(s)，即μ2趨近于0，而μ(s)可以近似為μ1。此外，電力通信網(wǎng)絡(luò)的數(shù)據(jù)采樣間隔從幾秒至數(shù)天不等，因此上節(jié)中第二個分量M(s,tk)可以近似為：

M(s,tk)=M(,tk)≈M(,tk-1)

(9)

此外，假設(shè)電力通信網(wǎng)絡(luò)每個分簇中平均有b個攻擊源節(jié)點，令zk表示攻擊源節(jié)點關(guān)于xk的觀測值，那么聚合結(jié)果xk可以表示為：

(10)

(11)

為了簡化聚合步驟，假定在受到攻擊后，每個鏈路都具有同樣的數(shù)據(jù)丟失和發(fā)送差錯的可能性。

令μ=E[obk(s)],σ2=var[obk(s)]，分別表示攻擊源節(jié)點tk時隙采集到感知數(shù)據(jù)的均值與方差。功率通信網(wǎng)絡(luò)在此時隙中的攻擊源的聚集結(jié)果可以用以下方式來表達(dá)：

(12)

式中：j1,……,jm+r表示攻擊時電力通信網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包時，為了確保網(wǎng)絡(luò)中的所有節(jié)點 ID都能有效地傳遞失真和丟失的信息。

2 電力通信網(wǎng)絡(luò)攻擊源定位方法

電力通信網(wǎng)絡(luò)中包含大量的電力系統(tǒng)運行數(shù)據(jù)，以此保障電力系統(tǒng)運行的安全、穩(wěn)定、實時、可靠運行。因此，當(dāng)電力通信網(wǎng)絡(luò)受到攻擊時，網(wǎng)絡(luò)中的數(shù)據(jù)極易丟失，導(dǎo)致電力系統(tǒng)運行安全性和可靠性降低。基于此，采用評估電力通信網(wǎng)絡(luò)安全的方式，判斷網(wǎng)絡(luò)是否安全，若網(wǎng)絡(luò)不安全，則需要檢測網(wǎng)絡(luò)攻擊，并根據(jù)檢測結(jié)果，采用卷積神經(jīng)網(wǎng)絡(luò)定位網(wǎng)絡(luò)攻擊源。

2.1 評估電力通信網(wǎng)絡(luò)安全

此次將采用雙人攻防博弈模型，評估電力通信網(wǎng)絡(luò)安全。將網(wǎng)絡(luò)的安全防御和攻擊策略分別作為模型博弈兩方，假設(shè)攻擊策略從第i處網(wǎng)絡(luò)oi，開始攻擊電力通信網(wǎng)絡(luò)，則攻擊者攻擊網(wǎng)絡(luò)和防御者防御攻擊的效用函數(shù)分別為：

(13)

(14)

2.2 檢測電力通信網(wǎng)絡(luò)攻擊

根據(jù)(13)式計算過程，得到的電力通信網(wǎng)絡(luò)評估結(jié)果，通過電力通信網(wǎng)絡(luò)熵變率檢測網(wǎng)絡(luò)攻擊，所設(shè)計的網(wǎng)絡(luò)攻擊檢測步驟如下。

1) 在電力通信網(wǎng)絡(luò)中設(shè)置定時器，每間隔t時間采集一次網(wǎng)絡(luò)數(shù)據(jù)包，并將保存采集到的數(shù)據(jù)包。

2) 統(tǒng)計數(shù)據(jù)包中熵變率鏈路數(shù)和網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包數(shù)量，則有：

(15)

式(15)中，R表示網(wǎng)絡(luò)狀態(tài)空間；L表示數(shù)據(jù)通信鏈路；μ表示網(wǎng)絡(luò)傳輸數(shù)據(jù)包數(shù)量；k!表示2^10=1024[10]。

4) 確定網(wǎng)絡(luò)熵變率閾值：

(16)

5) 計算數(shù)據(jù)包聚集類的概率分布。聚類網(wǎng)絡(luò)中n各不相同的數(shù)據(jù)包，計算每個聚類集中樣本I出現(xiàn)的概率pI：

(17)

考慮到網(wǎng)絡(luò)數(shù)據(jù)包在時間間隔t分段內(nèi)，可以具有m個數(shù)據(jù)樣本特征。因此，依據(jù)(17)式所示的樣本出現(xiàn)概率，可以得到m×n的數(shù)據(jù)樣本概率分布矩陣P為：

(18)

式(18)中，pIJ表示第I個樣本中，第J個聚集類出現(xiàn)的概率[14-16]?；诖?，求取P每行均值，得到網(wǎng)絡(luò)數(shù)據(jù)包基線概率分布：

(19)

8) 將當(dāng)前時段網(wǎng)絡(luò)數(shù)據(jù)包分布放入P0中，并對P0的分布概率進(jìn)行更新[19-21]。

9) 檢測到電力通信網(wǎng)絡(luò)攻擊，完成網(wǎng)絡(luò)通信攻擊檢測。依據(jù)上述9步，在電力通信網(wǎng)絡(luò)中檢測到網(wǎng)絡(luò)攻擊后，需要采用卷積神經(jīng)網(wǎng)絡(luò)，對攻擊源進(jìn)行定位。

2.3 基于卷積神經(jīng)網(wǎng)絡(luò)定位電力通信網(wǎng)絡(luò)攻擊源

面對電力通信網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)攻擊，根據(jù)卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行定位網(wǎng)絡(luò)攻擊源。定位過程中，網(wǎng)絡(luò)必須解決大量的非線性問題，需要選擇能夠增強(qiáng)網(wǎng)絡(luò)非線性問題處理能力的激活函數(shù)[22]。為此，選擇如(20)式所示的ReLU函數(shù)f(x)作為卷積神經(jīng)網(wǎng)絡(luò)激活函數(shù)，則有：

f(x)=max(0,x)

(20)

式(20)中，x表示網(wǎng)絡(luò)輸入樣本；max表示取最大值[23-24]。將電力通信網(wǎng)絡(luò)轉(zhuǎn)化為通過高、深、寬表示的多維矩陣，在(20)式所示的激活函數(shù)作用下，網(wǎng)絡(luò)的卷積層會根據(jù)輸入網(wǎng)絡(luò)的多維矩陣進(jìn)行卷積運算，則有：

(21)

式(21)中，Bout表示卷積層輸出寬度；Hout表示卷積輸出高度[25]；H0表示卷積核高度；B0表示卷積核寬度；Hin表示卷積層輸入高度；Bin表示卷積層輸入寬度。

經(jīng)過式(21)卷積后的電力通信網(wǎng)絡(luò)數(shù)據(jù)會被傳入池化層，通過池化層的最大池化和平均池化作用，降低數(shù)據(jù)特征維數(shù)，并將其輸入全連接層，劃分網(wǎng)絡(luò)數(shù)據(jù)類別，完成網(wǎng)絡(luò)正向傳播[26-28]。因此，需要重復(fù)上述計算過程，劃分電力通信網(wǎng)絡(luò)數(shù)據(jù)，且每一次劃分網(wǎng)絡(luò)數(shù)據(jù)后，都需要計算一次網(wǎng)絡(luò)損失，判斷其是否達(dá)到最小值，則網(wǎng)絡(luò)損失函數(shù)S計算公式為：

(22)

式(22)中，y表示網(wǎng)絡(luò)預(yù)測輸出值；c表示網(wǎng)絡(luò)期望輸出值[29]?？紤]電力通信網(wǎng)絡(luò)攻擊源應(yīng)為一處，所以將網(wǎng)絡(luò)損失函數(shù)最小值設(shè)定為1，即Smin=1。若S=Smin，則直接輸出網(wǎng)絡(luò)定位到的攻擊源數(shù)據(jù)；若S≠Smin，則需要進(jìn)行反向傳播[30]，對網(wǎng)絡(luò)的偏差量q和連接權(quán)重ω求導(dǎo)，則有：

(23)

按照(23)式進(jìn)行反向傳播后，再次根據(jù)(22)式計算過程進(jìn)行正向傳播，判斷Smin是否等于1，若不等于1，繼續(xù)進(jìn)行迭代計算，若等于1，則停止網(wǎng)絡(luò)迭代，通過輸出電力通信網(wǎng)絡(luò)攻擊源定位結(jié)果，完成電力通信網(wǎng)絡(luò)攻擊源定位。

3 實例應(yīng)用

選擇電力通信系統(tǒng)中的IEEE RBTS bus 2部分進(jìn)行電力通信，并在通信過程中建立勒索病毒、DDoS攻擊、ATP攻擊3個攻擊者，攻擊IEEE RBTS bus 2中的通信節(jié)點，進(jìn)行驗證此次研究的基于卷積神經(jīng)網(wǎng)絡(luò)的電力通信網(wǎng)絡(luò)攻擊源定位方法。

3.1 電力通信網(wǎng)絡(luò)

電力通信網(wǎng)絡(luò)中的IEEE RBTS bus 2環(huán)形拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 IEEE RBTS bus 2通信網(wǎng)絡(luò)拓?fù)鋱DFig.1 IEEE RBTS bus 2 communication network topology

圖1中，L表示配電變壓器，1～16表示通信網(wǎng)絡(luò)節(jié)點。如圖1所示的IEEE RBTS bus 2通信網(wǎng)絡(luò)拓?fù)鋱D，通信屬于環(huán)形通信網(wǎng)絡(luò)，共包括1個控制中心服務(wù)器、4條主饋線、23個配電變壓器、10個分段開關(guān)、4個斷路開關(guān)和2個聯(lián)絡(luò)開關(guān)。面對圖1所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)攻擊源在攻擊IEEE RBTS bus 2網(wǎng)絡(luò)時，只能攻擊網(wǎng)絡(luò)漏洞，即網(wǎng)絡(luò)節(jié)點之間交換信息位置，如圖1中虛線上的節(jié)點設(shè)備所示。

圖1中虛線上的網(wǎng)絡(luò)節(jié)點，均為攻擊者攻擊節(jié)點。根據(jù)圖1所示的電力通信網(wǎng)絡(luò)，此次實驗在圖1中的電力通信網(wǎng)絡(luò)中，勒索病毒、DDoS攻擊、ATP攻擊3個攻擊者，在同一攻擊路徑長度與數(shù)量下，只能攻擊電力通信網(wǎng)絡(luò)相鄰節(jié)點中存在的漏洞。

3.2 分析結(jié)果

檢測此次研究方法，定位3個攻擊者攻擊通信網(wǎng)絡(luò)節(jié)點的攻擊源位置準(zhǔn)確性、收斂速度。

3.2.1 定位攻擊源定位準(zhǔn)確性

基于圖1所示的IEEE RBTS bus 2通信網(wǎng)絡(luò)，在6s時，采用實驗選擇的三個攻擊者，分別攻擊網(wǎng)絡(luò)節(jié)點，其中，勒索病毒攻擊者發(fā)生的攻擊在14、8、10三個節(jié)點上；DDoS攻擊者發(fā)生的攻擊在16、4兩個節(jié)點上；ATP攻擊者發(fā)生的攻擊在16、4、13、7、10五個節(jié)點上。根據(jù)上述三個攻擊者攻擊節(jié)點，研究方法定位網(wǎng)絡(luò)攻擊源得到的攻擊源定位結(jié)果如圖2所示。

(a)勒索病毒攻擊(a) blackmail virus attack

(b)DDoS攻擊(b) DDoS attacks

(c)ATP攻擊(c) ATP attack圖2 攻擊源定位結(jié)果圖Fig.2 Diagram of the result of the attack source location

從圖2中可以看出，研究方法定位信號在2s內(nèi)進(jìn)入穩(wěn)定狀態(tài)，能夠?qū)账鞑《?、DDoS攻擊、ATP攻擊3個攻擊者攻擊的節(jié)點進(jìn)行定位。當(dāng)三個攻擊者同時攻擊網(wǎng)絡(luò)時，攻擊報警僅在攻擊者攻擊的節(jié)點處顯示數(shù)值，得到的階躍響應(yīng)曲線出現(xiàn)明顯波動，定位了三個攻擊者攻擊源，而其他未被攻擊節(jié)點處曲線數(shù)值均為0。由此可見，研究方法可以得到準(zhǔn)確攻擊源位置。

3.2.2 定位攻擊源收斂速度

該方法的收斂性是本論文提出的基于該算法的攻擊路徑重建所需的最小報文數(shù)目，并且該算法所需的數(shù)據(jù)包數(shù)目也較小。

該方法定位攻擊源收斂速度越快。在本組實驗中，將3個攻擊者的攻擊路徑長度設(shè)置為1～30。在上一組實驗基礎(chǔ)上，檢測研究方法在定位3個攻擊者攻擊通信網(wǎng)絡(luò)節(jié)點的攻擊源時，方法的收斂速度。其檢測結(jié)果如圖3所示。

圖3 攻擊源定位收斂速度Fig.3 Convergence rate of attack source localization

從圖3中可以看出，雖然研究方法面對不同的攻擊者，其收斂速度存在一定的差異。但是，研究方法定位3個攻擊者的攻擊源時，所需要的收斂包數(shù)都十分少，具有較優(yōu)的收斂性能。

4 結(jié)束語

此次研究采用評估電力通信網(wǎng)絡(luò)安全的方式，來判斷網(wǎng)絡(luò)是否安全，避免定位方法重復(fù)檢測網(wǎng)絡(luò)攻擊，提進(jìn)行提高網(wǎng)絡(luò)攻擊源定位準(zhǔn)確性和收斂速度。但此次研究的網(wǎng)絡(luò)攻擊源定位方法，在定位不同類型的網(wǎng)絡(luò)攻擊時，其收斂速度以及定位時間均存在一定的差異。在今后的研究中，還需進(jìn)一步研究方法的適用范圍，讓研究方法面對不同類型的攻擊源時，都可以快速、準(zhǔn)確地定位到網(wǎng)絡(luò)攻擊源。