SDH通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)傳輸異常檢測(cè)方法

國(guó)網(wǎng)江蘇省電力有限公司信息通信分公司 顧 彬 王義成 張?jiān)葡?郭 燾

隨著互聯(lián)網(wǎng)技術(shù)的進(jìn)一步成熟與發(fā)展，SDH通信傳輸網(wǎng)絡(luò)技術(shù)逐漸被廣泛應(yīng)用到多個(gè)領(lǐng)域中，比如電力領(lǐng)域，目前大部分電力設(shè)備控制系統(tǒng)中引進(jìn)了SDH 通信傳輸網(wǎng)絡(luò)，SDH通信傳輸網(wǎng)絡(luò)的應(yīng)用，推動(dòng)了電力設(shè)備控制系統(tǒng)信息化與工業(yè)化發(fā)展，擴(kuò)寬了電力設(shè)備控制系統(tǒng)的發(fā)展渠道。但是由于SDH 通信傳輸網(wǎng)絡(luò)具有開(kāi)放性特性，網(wǎng)絡(luò)用戶可以憑借網(wǎng)絡(luò)漏洞，或者缺陷進(jìn)入到傳輸網(wǎng)絡(luò)中，對(duì)電力設(shè)備數(shù)據(jù)信息進(jìn)行竊取或者破壞，帶來(lái)各個(gè)系統(tǒng)之間的數(shù)據(jù)傳輸安全問(wèn)題。

為了確保SDH 通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)傳輸安全，目前大部分電力企業(yè)引進(jìn)了數(shù)據(jù)傳輸異常檢測(cè)技術(shù)，對(duì)SDH 通信傳輸網(wǎng)絡(luò)中所有節(jié)點(diǎn)數(shù)據(jù)傳輸行為進(jìn)行檢測(cè)，識(shí)別到異常數(shù)據(jù)信號(hào)，根據(jù)檢測(cè)結(jié)果作出相應(yīng)的預(yù)警提示，為采取防御措施提供重要依據(jù)。目前應(yīng)用的檢測(cè)方法主要是在各個(gè)節(jié)點(diǎn)之間增設(shè)數(shù)據(jù)異常掃描系統(tǒng)，通過(guò)編寫(xiě)相關(guān)網(wǎng)絡(luò)傳輸協(xié)議與傳輸行為審計(jì)，判斷節(jié)點(diǎn)之間數(shù)據(jù)傳輸是否存在異常情況。

這種方法對(duì)于SDH 通信傳輸網(wǎng)絡(luò)內(nèi)部來(lái)說(shuō)比較安全，但是對(duì)于外部傳輸，尤其是長(zhǎng)距離傳輸以及跨區(qū)域傳輸所帶來(lái)的安全問(wèn)題，檢測(cè)效果并不理想，在實(shí)際應(yīng)用中誤檢率和漏檢率均比較高，傳統(tǒng)方法已經(jīng)無(wú)法滿足實(shí)際需求，為此提出了SDH 通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)傳輸異常的檢測(cè)方法：利用數(shù)據(jù)采集器拾取到數(shù)據(jù)驅(qū)動(dòng)器中同一個(gè)ID 地址的數(shù)據(jù)樣本，采用十字轉(zhuǎn)門(mén)對(duì)節(jié)點(diǎn)數(shù)據(jù)傳輸流程進(jìn)行數(shù)字化描述，識(shí)別到數(shù)據(jù)傳輸異常行為，利用小波分析技術(shù)計(jì)算出存在異常行為數(shù)據(jù)的傳輸偏差，提取傳輸異常特征，設(shè)定檢測(cè)閾值，判斷數(shù)據(jù)傳輸是否異常，采用分級(jí)檢測(cè)法確定數(shù)據(jù)傳輸異常等級(jí)，生成檢測(cè)報(bào)告，以此來(lái)完成SDH 通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)傳輸?shù)漠惓z測(cè)。

1 數(shù)據(jù)傳輸異常特征提取

節(jié)點(diǎn)數(shù)據(jù)在SDH 通信傳輸網(wǎng)絡(luò)特定通道內(nèi)傳輸行為，可以看作是數(shù)據(jù)流在通道內(nèi)流動(dòng)過(guò)程，根據(jù)數(shù)據(jù)傳輸異常檢測(cè)需求，此次利用十字轉(zhuǎn)門(mén)模型對(duì)節(jié)點(diǎn)數(shù)據(jù)在通道流動(dòng)過(guò)程進(jìn)行數(shù)字化描述。在SDH通信傳輸網(wǎng)絡(luò)中安裝一個(gè)數(shù)據(jù)采集器，利用數(shù)據(jù)采集器拾取到數(shù)據(jù)驅(qū)動(dòng)器中同一個(gè)ID 地址的數(shù)據(jù)樣本，對(duì)節(jié)點(diǎn)數(shù)據(jù)樣本進(jìn)行小波分析，計(jì)算到小波系數(shù)值，提取到節(jié)點(diǎn)數(shù)據(jù)傳輸行為異常特征[1]。假設(shè)節(jié)點(diǎn)數(shù)據(jù)在SDH 通信傳輸網(wǎng)絡(luò)中進(jìn)行傳輸?shù)倪^(guò)程定義為L(zhǎng)，利用十字轉(zhuǎn)門(mén)對(duì)L 進(jìn)行數(shù)字化描述，其用公式表示為：L=｛（s,u）|i∈L｝。

式中：s表示節(jié)點(diǎn)數(shù)據(jù)在SDH 通信傳輸網(wǎng)絡(luò)信道傳輸過(guò)程中信息流元素的標(biāo)識(shí)信息；u表示獲取到的節(jié)點(diǎn)數(shù)據(jù)樣本中自助式信息流的特征值；i表示獲取到的節(jié)點(diǎn)數(shù)據(jù)樣本[2]。節(jié)點(diǎn)數(shù)據(jù)完成傳輸后，其對(duì)應(yīng)的特征量會(huì)發(fā)生變化，其用公式表示為：U[L]+[z]=u。

式中：U表示在SDH 通信傳輸網(wǎng)絡(luò)中完成傳輸?shù)乃袠?biāo)識(shí)信息為某一元素的樣本數(shù)據(jù)統(tǒng)計(jì)量；[z]表示節(jié)點(diǎn)數(shù)據(jù)傳輸空間[3]。通常情況下，SDH 通信傳輸網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)據(jù)傳輸是通過(guò)數(shù)據(jù)驅(qū)動(dòng)器完成的，因此節(jié)點(diǎn)數(shù)據(jù)與數(shù)據(jù)驅(qū)動(dòng)器上的傳輸報(bào)文是相一致的，數(shù)據(jù)傳輸空間地址與數(shù)據(jù)驅(qū)動(dòng)器中節(jié)點(diǎn)數(shù)據(jù)傳輸目標(biāo)IP 地址相一致，因此傳輸?shù)墓?jié)點(diǎn)數(shù)據(jù)數(shù)量與節(jié)點(diǎn)數(shù)據(jù)樣本中自助式信息流的特征值相等，將其與特征值比對(duì)，即可識(shí)別到網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)據(jù)傳輸異常行為，其用公式表示為：e/u=1。

式中：e表示傳輸?shù)墓?jié)點(diǎn)數(shù)據(jù)數(shù)量。將傳輸?shù)墓?jié)點(diǎn)數(shù)據(jù)進(jìn)行檢驗(yàn)，是否滿足公式（3），如果滿足，則表示節(jié)點(diǎn)數(shù)據(jù)傳輸行為正常；如果不滿足則表示節(jié)點(diǎn)數(shù)據(jù)傳輸異常[4]。由于SDH 通信傳輸網(wǎng)絡(luò)存在特殊性，并不能完全依靠以上條件判別節(jié)點(diǎn)數(shù)據(jù)傳輸一定異常，為了保證數(shù)據(jù)傳輸異常檢測(cè)精度，對(duì)識(shí)別到行為異常的數(shù)據(jù)樣本進(jìn)行小波分析，提取到異常特征[5]。對(duì)行為異常的數(shù)據(jù)樣本計(jì)算出小波系數(shù)值，其用公式表示為：gj=ε×（d/h）e/u=1。

式中：gj表示傳輸網(wǎng)絡(luò)中第j個(gè)節(jié)點(diǎn)數(shù)據(jù)小波系數(shù)值；ε表示未有明確歸屬的系數(shù)；d表示各個(gè)節(jié)點(diǎn)數(shù)據(jù)之間的平均間距；h表示節(jié)點(diǎn)數(shù)據(jù)區(qū)間長(zhǎng)度[6]。根據(jù)小波系數(shù)值計(jì)算出節(jié)點(diǎn)數(shù)據(jù)傳輸偏差，其計(jì)算公式為：Y=gj-M。

式中：Y表示節(jié)點(diǎn)數(shù)據(jù)傳輸偏差；M表示節(jié)點(diǎn)數(shù)據(jù)的基準(zhǔn)值。傳輸偏差可以反映出節(jié)點(diǎn)數(shù)據(jù)傳輸狀態(tài)特征，為后續(xù)異常預(yù)警檢測(cè)奠定基礎(chǔ)。

2 設(shè)定數(shù)據(jù)傳輸異常檢測(cè)閾值

根據(jù)實(shí)際情況設(shè)定數(shù)據(jù)傳輸檢測(cè)閾值，閾值是數(shù)據(jù)傳輸異常判斷的重要依據(jù)，根據(jù)SDH 通信傳輸網(wǎng)絡(luò)中傳輸節(jié)點(diǎn)數(shù)據(jù)總量與高斯數(shù)據(jù)標(biāo)準(zhǔn)差，計(jì)算出閾值：W=ρ（21lnN）1/2。

式中：W表示數(shù)據(jù)傳輸異常檢測(cè)閾值；ρ表示SDH 通信傳輸網(wǎng)絡(luò)中高斯數(shù)據(jù)的標(biāo)準(zhǔn)差；N表示SDH 通信傳輸網(wǎng)絡(luò)中傳輸?shù)乃泄?jié)點(diǎn)數(shù)據(jù)總量[7]。將上文計(jì)算到的數(shù)據(jù)傳輸偏差與閾值比較，如果數(shù)據(jù)偏差大于閾值，則表示該節(jié)點(diǎn)數(shù)據(jù)傳輸異常；如果數(shù)據(jù)偏差小于閾值，則表示該節(jié)點(diǎn)數(shù)據(jù)傳輸正常。

3 數(shù)據(jù)傳輸異常分級(jí)檢測(cè)

在上述基礎(chǔ)上采用分級(jí)檢測(cè)法對(duì)數(shù)據(jù)傳輸異常進(jìn)行預(yù)警檢測(cè)，根據(jù)偏差超出閾值程度，確定節(jié)點(diǎn)數(shù)據(jù)傳輸異常等級(jí)，作出相應(yīng)的檢測(cè)預(yù)警[8]。根據(jù)檢測(cè)需求此次設(shè)計(jì)低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)以及高風(fēng)險(xiǎn)三種異常等級(jí)，如果節(jié)點(diǎn)數(shù)據(jù)傳輸偏差未超出閾值的30%，則表示數(shù)據(jù)傳輸異常程度比較低，傳輸安全風(fēng)險(xiǎn)為低風(fēng)險(xiǎn)；如果節(jié)點(diǎn)數(shù)據(jù)傳輸偏差超出閾值的30%，但未超出閾值的60%，則表示數(shù)據(jù)傳輸異常程度一般，傳輸安全風(fēng)險(xiǎn)為中風(fēng)險(xiǎn)；如果節(jié)點(diǎn)數(shù)據(jù)傳輸偏差超出閾值的60%，則表示數(shù)據(jù)傳輸異常程度高，傳輸安全風(fēng)險(xiǎn)為高風(fēng)險(xiǎn)。按照上述規(guī)則確定節(jié)點(diǎn)數(shù)據(jù)傳輸異常等級(jí)，生成檢測(cè)報(bào)告，以此完成SDH 通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)傳輸異常檢測(cè)。

4 試驗(yàn)論證

4.1 試驗(yàn)準(zhǔn)備與設(shè)計(jì)

為驗(yàn)證本文設(shè)計(jì)的SDH 通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)傳輸異常檢測(cè)方法的時(shí)效性，以下將設(shè)計(jì)一組對(duì)比試驗(yàn)，選擇目前最為常用的檢測(cè)方法作為對(duì)照對(duì)象，為了方便后續(xù)試驗(yàn)陳述，以下將兩種方法分別用傳統(tǒng)方法1和方法2表述。選擇某電力企業(yè)SDH 通信傳輸網(wǎng)絡(luò)為試驗(yàn)環(huán)境，傳輸網(wǎng)絡(luò)中電力設(shè)備數(shù)量共30臺(tái)，利用本文設(shè)計(jì)方法對(duì)SDH 通信傳輸網(wǎng)絡(luò)中電力設(shè)備數(shù)據(jù)傳輸異常檢測(cè)。試驗(yàn)中，使用的電力數(shù)據(jù)集分為真實(shí)的信息流數(shù)據(jù)和注入的異常信號(hào)的信息流數(shù)據(jù)兩種，注入的異常數(shù)據(jù)流主要為SFH 蠕蟲(chóng)病毒數(shù)據(jù)和IYDF 病毒數(shù)據(jù)。按照上述流程對(duì)傳輸數(shù)據(jù)信號(hào)拾取并提取異常特征，設(shè)定異常檢測(cè)標(biāo)準(zhǔn)閾值，識(shí)別檢測(cè)數(shù)據(jù)異常行為并作出預(yù)警，隨機(jī)抽選了6個(gè)數(shù)據(jù)樣本檢測(cè)結(jié)果見(jiàn)表1。

表1 電力設(shè)備數(shù)據(jù)傳輸異常檢測(cè)結(jié)果

設(shè)計(jì)方法基本可以完成SDH 通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)傳輸異常檢測(cè)任務(wù)，以下對(duì)具體檢測(cè)效果進(jìn)行評(píng)定。

4.2 試驗(yàn)結(jié)果與討論

為了評(píng)價(jià)數(shù)據(jù)傳輸異常檢測(cè)精度，選擇誤檢率作為評(píng)價(jià)指標(biāo)，誤報(bào)率越高，則表示數(shù)據(jù)傳輸異常檢測(cè)精度越低，其計(jì)算公式為：TF=E/W。

式中：TF表示數(shù)據(jù)傳輸異常檢測(cè)誤檢率；E表示正常數(shù)據(jù)點(diǎn)被檢測(cè)為異常傳輸?shù)臄?shù)據(jù)樣本數(shù)量；W表示電力設(shè)備數(shù)據(jù)傳輸過(guò)程中正常數(shù)據(jù)傳輸樣本總量。電力設(shè)備單次傳輸數(shù)據(jù)量為1000Byte，試驗(yàn)以傳輸數(shù)據(jù)數(shù)量為變量，利用上述公式計(jì)算出三種方法誤檢率，使用電子表格對(duì)實(shí)驗(yàn)數(shù)據(jù)記錄，具體數(shù)據(jù)見(jiàn)表2。

表2 三種方法誤檢率對(duì)比（%）

從表2中數(shù)據(jù)可以看出，三種方法在誤檢率方面表現(xiàn)出明顯的差異，設(shè)計(jì)方法平均誤檢率為0.34%，數(shù)值未超過(guò)1%，說(shuō)明設(shè)計(jì)方法基本不存在誤檢問(wèn)題。相比之下，設(shè)計(jì)方法平均誤檢率比傳統(tǒng)方法1低8.44%，比傳統(tǒng)方法2低8.13%，證明設(shè)計(jì)方法應(yīng)用下電力設(shè)備數(shù)據(jù)傳輸異常誤檢水平低于兩種傳統(tǒng)方法。單一評(píng)價(jià)指標(biāo)不能全面反映出方法的適用性，故選擇漏檢率作為檢測(cè)方法第二評(píng)價(jià)指標(biāo)，其計(jì)算公式為：PY=S/M。

式中：PY表示SDH 通信傳輸網(wǎng)絡(luò)中電力設(shè)備數(shù)據(jù)傳輸異常漏檢率；S表示未被檢測(cè)到的傳輸異常數(shù)據(jù)樣本；M表示傳輸異常數(shù)據(jù)樣本總量。試驗(yàn)以SDH 通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量為變量，最多網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量為30個(gè)，利用上述公式計(jì)算出不同情況下數(shù)據(jù)傳輸異常漏檢率，根據(jù)試驗(yàn)數(shù)據(jù)繪制試驗(yàn)結(jié)果圖，如圖1所示。

圖1 三種方法漏檢率對(duì)比圖

從圖1可以看出，三種方法在漏檢率方面也表現(xiàn)出明顯的差異，設(shè)計(jì)方法平均漏檢率為0.35%，數(shù)值未超過(guò)1%，說(shuō)明設(shè)計(jì)方法基本不存在漏檢問(wèn)題。相比之下，設(shè)計(jì)方法平均漏檢率比傳統(tǒng)方法1低3.62%，比傳統(tǒng)方法2低3.02%。因此，通過(guò)以上數(shù)據(jù)與試驗(yàn)結(jié)果分析可以證明，設(shè)計(jì)方法具有較高的檢測(cè)精度，無(wú)論是在誤檢率方面還是在漏檢率方面，設(shè)計(jì)方法均表現(xiàn)出明顯的優(yōu)勢(shì)，相比較兩種傳統(tǒng)方法更適用于SDH 通信傳輸網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)傳輸異常檢測(cè)。

5 結(jié)語(yǔ)

數(shù)據(jù)傳輸異常檢測(cè)是SDH 通信傳輸過(guò)程中必不可少的一個(gè)環(huán)節(jié)，為SDH 通信傳輸網(wǎng)絡(luò)數(shù)據(jù)安全傳輸決策、網(wǎng)絡(luò)攻擊預(yù)防措施制定等提供重要依據(jù)，此次結(jié)合SDH 通信傳輸網(wǎng)絡(luò)特點(diǎn)以及異常檢測(cè)需求，設(shè)計(jì)了一個(gè)新的數(shù)據(jù)傳輸異常檢測(cè)方法，有效提高了數(shù)據(jù)傳輸異常檢測(cè)精度，解決了SDH 通信傳輸異常檢測(cè)中漏檢、誤檢問(wèn)題，為該方面研究提供了參考依據(jù)，同時(shí)也為數(shù)據(jù)傳輸異常檢測(cè)實(shí)踐提供了理論支撐。由于設(shè)計(jì)方法目前尚處于初步探索階段，尚未在實(shí)際中得到大量的實(shí)踐與操作，在某些方面或許存在不足，今后會(huì)在方法優(yōu)化設(shè)計(jì)方面展開(kāi)深層次研究，促進(jìn)SDH 通信傳輸網(wǎng)絡(luò)技術(shù)又好又快發(fā)展。