基于大數據技術的智能電網異常入侵動態檢測方法

李建澤，朱明星

（國網蚌埠供電公司，安徽蚌埠 233000）

智能電網可以在抵御外部攻擊行為的同時，為電量能源提供接入環境，使電力網絡的穩定性得到大幅提升[1]。隨著電信號傳輸環境的不斷復雜化，異常入侵信息對智能電網的攻擊能力不斷增強，若這些數據樣本過度占據電網存儲環境，會導致電信號消耗量的持續增大，電網主機無法對入侵參量實施動態檢測與處理。

為應對上述情況，基于置信規則推理(Belief Rule-Based,BRB)和長短記憶網絡模型(long short-Term Memory,LSTM)的檢測技術通過求解用電異常特征指標的方式，建立電信號樣本的訓練數據集合，再聯合置信度條件，將異常入侵參量提取出來[2]。然而該方法的應用能力有限，并不能有效解決入侵信息存儲量過大的問題。

大數據技術[3-4]可以對海量信息文本進行同步挖掘，不會造成數據樣本的缺失，避免信息參量出現過度堆積的情況。由于大數據技術的應用必須以云計算網絡為基礎，因此在實施數據樣本挖掘時，不會出現明顯的信息逆變情況。為此，文中引入大數據技術，提出一種新的智能電網異常入侵動態檢測方法。

1 智能電網入侵信息風險判定

智能電網海量信息包括入侵信息和有用信息，因此在大數據處理架構的基礎上，分析異常行為指征，計算入侵風險系數，以此實現入侵風險判定。

1.1 大數據處理框架

大數據架構負責處理智能電網中的所有傳輸信息，根據入侵信息文本、常規信息文本碼源的差異性，對其分類存儲，由MapReduce 節點、Presto 節點、Streaming 節點等多個連接元件共同組成。YARN 資源層存在于大數據架構中部，可以初步分離混合樣本中的入侵信息參量，并可以將提取出的數據文本存儲于Flume 設備中，將常規數據信息樣本存儲于Sqoop 設備中[5-6]。完整的大數據處理框架如圖1 所示。

圖1 大數據處理架構

MapReduce 節點、Presto 節點、Streaming 節點作為YARN 資源層的上級連接結構，分別負責過濾、整合、篩選外部輸入信息中具有異常入侵風險的數據樣本參量。在智能電網環境中，異常入侵信息的存儲量低于常規傳輸數據的存儲量，因此Flume 設備的存儲能力始終低于Sqoop 設備。

1.2 異常行為指征

異常行為指征指異常入侵信息的動態行為能力，若應用大數據技術對這些信息樣本檢測，智能電網主機則可以根據異常行為指征取值結果，完成對電力設備運行狀態的調試[7-8]。異常行為能力定義是求解指征參量的關鍵環節，具體計算表達式如下：

式中，α表示智能電網異常入侵信息標記系數，s表示數據樣本查詢系數。

在式（1）的基礎上，設δ表示異常傳輸行為步長值指標的初始賦值，β表示入侵行為的動態評價系數，由此可將異常行為指征求解結果表示為：

為避免異常行為指征檢測結果與真實結果出現較大偏差，要求異常行為能力表達式dα＞0 恒成立。

1.3 入侵風險系數

入侵風險系數用于評價智能電網發生異常入侵行為的可能性，其取值越大表示智能電網發生異常入侵的可能性越大。

在僅考慮智能電網受到入侵，不受其他類型攻擊的條件下，計算入侵風險系數。該結果受風險性信息偏離度、數據樣本累積量兩項物理指標的直接影響[9-10]。

風險性信息偏離度表示為γ，由于數據信息傳輸方向只能由電網輸入端指向電量消耗端，因此指標γ的取值始終大于零。數據樣本累積量表示為ΔA，在單位時間內，該指標的取值范圍是[)1,+∞ 。根據上述參數，可將入侵風險系數求解式定義為：

式中，f表示大數據度量系數，χ表示風險參考項的初始賦值，χ′表示風險參考項的最大賦值結果。

由于智能電網異常入侵行為不能脫離常規傳輸數據而獨立存在，因此入侵風險系數計算結果為零時，表示當前情況下智能電網中不存在數據傳輸行為。

2 異常入侵行為動態檢測

2.1 動態檢測目標

在常規傳輸數據與異常入侵信息同時存在的情況下，主機元件需要根據動態檢測目標定義結果，確定異常入侵信息所能到達的傳輸區域，從而實現數據文本的針對性處理[11]。

設φ表示異常入侵信息初始傳輸節點標記系數，kφ表示節點φ承載的異常入侵信息樣本總量，kmax表示異常入侵信息樣本總量最大值，lε表示當異常入侵信息樣本為ε時的檢測權限。基于上述參數設定，將智能電網主機通過大數據技術所提取到的動態檢測目標定義式為：

在智能電網環境中，若檢測主機所捕獲到的動態目標數量超過求解所得的標準定義條件，則表示該電網發生嚴重入侵現象的可能性較高；相反若動態目標捕獲數量遠低于標準定義條件，則表示該電網的防御能力較強，入侵現象發生的概率相對較低[12]。

2.2 威脅性度量值

在智能電網環境中，威脅性度量值決定異常入侵行為的表現能力，當動態檢測目標保持為定值狀態時，主機元件可以根據威脅性度量指標的取值結果，判斷異常信息在數據庫主機中的存儲占比情況[13-14]。

設μ表示待檢測信息參量的動態賦值參量；ν表示智能電網異常入侵信息統計向量的初始賦值，一般來說，ν指標的最小取值為1；表示智能電網環境中的入侵信息參量檢測特征值；?表示基于大數據技術的入侵信息參量檢測系數；H表示異常入侵信息的威脅性判別指標。在上述物理量的支持下，可將智能電網異常入侵信息的威脅性度量值求解結果表示為：

威脅性度量指標小于零表示智能電網異常入侵信息的攻擊影響能力相對較低，但是并不代表智能電網環境中不存在異常入侵行為。

2.3 損失函數

實施智能電網異常入侵動態檢測時，損失函數表達式約束檢測主機對于待測信息文本的辨識能力[15-16]。建立損失函數時，首先需要求解電網數據損失參量的定義式：

式中，ω表示入侵信息文本的檢測指征，I表示異常信息入侵行為強度，y′表示待測信息文本的辨識權限，uθ表示入侵信息θ的異常反應行為向量。

根據式（7）的計算結果得到智能電網異常入侵后的損失，損失小于零代表智能電網未受到異常入侵；反之，受到異常入侵，需要采取相關措施對其處理。

至此，實現基于大數據技術的智能電網異常入侵動態檢測方法的理論研究。

3 實驗與結果分析

3.1 實驗環境

搭建圖2 所示的智能電網回路，將電流表、電壓表示數全部歸零，閉合三相調壓交流電源的控制開關，使IN4007 處理器能夠準確記錄電信號收發器元件的電量輸出行為。

圖2 智能電網回路

由于電信號收發器、IN4007 元件只能接收直流電量信號，因此三相調壓交流電源輸出的電量信號必須經過轉換處理后，才能進行后續傳輸。

3.2 實驗流程

以異常入侵信息存儲數值、異常入侵信息存儲占比量為指標，在圖2 的智能電網中設計實驗，具體實驗流程如下：

步驟一：將圖2 所示智能電網回路與MySQL 電網數據庫相連，當電信號收發器元件中的電量輸出行為趨于穩定后，記錄信息樣本存儲數值的變化情況；

步驟二：利用基于大數據技術的智能電網異常入侵動態檢測方法控制MySQL 電網數據庫，將所得變量作為實驗組數據；

步驟三：利用基于BRB 和LSTM 網絡的檢測技術控制MySQL 電網數據庫，將所得變量作為對照組數據；

步驟四：利用Server 主機選取已存儲數據中的異常入侵信息樣本，統計入侵信息在MySQL 數據庫中的實際存儲量，并將該數值與MySQL 數據庫的存儲總量對比，分析異常入侵在電網存儲環境中的占比情況。

3.3 實驗結果

異常入侵信息在電網存儲環境中的占比情況能夠反映電網主機對入侵參量的檢測與處理能力[17-19]，在數據樣本保持動態傳輸的情況下，異常入侵信息在電網存儲環境中的占比量越小，表示電網主機對于入侵參量的檢測與處理能力越強。

設MySQL 電網數據庫的存儲總量為600 MB，圖3 記錄了實驗組、對照組檢測方法應用后的異常入侵信息的實際存儲數值。

圖3 異常入侵信息存儲數值

分析圖3 可知，隨著電量信息動態傳輸速率的加快，實驗組和對照組應用后的存儲總量存在小幅度波動。當電量信息動態傳輸速率達到4.5 MB/s時，實驗組異常入侵信息存儲量達到最大值205 MB，對照組異常入侵信息存儲量時取得最大值310 MB，與實驗組最大值相比，增大105 MB。

聯合圖3 中的記錄數值對異常入侵信息存儲占比量進行計算，詳情如表1 所示。

表1 異常入侵信息存儲占比量

分析表1 可知，在實驗組檢測方法應用后，異常入侵信息在電網存儲環境中的占比量均值為32.1%，在對照組檢測方法應用后，占比量均值為49.8%，與實驗組均值相比，增大17.7%。綜上可知，應用所提出方法后，有效解決了異常入侵信息在電網環境中存儲占比量過大的問題，這與提升智能電網主機對入侵參量動態檢測與處理能力的設計初衷相符合。

4 結束語

文中提出的智能電網異常入侵動態檢測方法在大數據技術的支持下，通過求解異常行為指征與入侵風險指標的具體數值，判斷智能電網信息風險值。根據動態檢測目標的賦值結果，確定威脅性度量值的取值范圍，從而構建完整的損失函數表達式，實現智能電網異常入侵檢測。隨著這種新型檢測方法的應用，異常入侵信息過度占據電網存儲環境的情況得到較好緩解，為實現智能電網主機對于入侵參量的動態檢測與處理提供了可能。