入侵攻击下电力信息网络安全态势感知分析

张佳发 刘家豪 邓远发

（1.南方电网数字电网研究院有限公司 广东省广州市 510000 2.南方电网深圳数字电网研究院有限公司 广东省深圳市 518053)

网络安全态势感知关键技术具有多样性，将数据挖掘技术、态势评估技术以及态势预测技术有效的结合在一起，为了实现网络安全态势感知，将LDA-RBF 网络安全态势感知方法有效的应用其中，实时保证电力系统的平稳运行。

1 网络安全态势感知关键技术研究

（1）数据挖掘技术。包括数据预处理、数据挖掘以及模型评价三个层面，借助传感器实现数据的收集，以此作为试验数据；为了得到理想的数据模型，则需要注重整合参数信息，并对其进行优化，通过建立模型评价的方式为后续决策奠定基础。

（2）态势评估技术。监测网络系统运行状态，收集相关的漏洞检测以及报警信息，对安全性进行评估，以此得到网络安全态势。

（3）态势预测技术。主要包括时间序列预测法、神经网络以及马尔科夫预测模型三种形式，实现对评估结果的关联分析。

2 基于LDA-RBF的电力信息网络安全态势感知分析

2.1 基于LDA-RBF的电力网络安全态势感知

2.1.1 数据源以及预处理

在对电力信息网络数据的过程中需要借助交换机配置镜头来实现，将探针安装其中，完成对数据的采集，与某个时间点进行对应，从而判断出网络行为。为了获取感知判断模型，借助LDA-RBF 整合历史数据，以学习训练的方式进行。通过这种模型可以对态势感知效果进行展示，并对数据进行实时监测。在选取实验数据时，要保证样本分类保持不变的状态，主要采用随机抽取的方式。从训练样本集以及测试样本集角度进行分析，前者为临时判断模型，后者实现对态势感模型的测试，采用这种划分方式的优势较为显著，确保开集测试的顺利进行。

2.1.2 框架设计

框架主要包括LDA-RBF 模块、数据采集模块以及数据库模块等，关注待测网络行为信息的状态，并与LDA-RBF 模块进行连接，完成数据的传输，在对网络安全态势进行评价时，则需要借助数据中的相关历史信息来完成。找准关键测量位置，将智能测量设备安置其中。从历史行为数据库层面以及网络威胁数据库层面进行分析，前者包括原始样本数据，后者为威胁样本数据，且可以实现对网络安全态势的判断。为了得到安全态势感知模型，借助LDA-RBF 模块对历史数据进行分析，以训练的形式完成，整合训练之后的数据，以此为依据实现网络行为的态势感知。

2.2 线性判别分析基础理论

图1：RBF 神经网络图

图2：径向基神经元模型机构

密切关注最佳鉴别的矢量空间，并将高维样本进行投影，实现对分类信息的提取。结合电力信息网络特征，将新的数据融合在新的维度当中，可以借助线性判别分析的方式来实现最大的的类间距以及最小类内距。为了得到最优的投影矩阵，则需要对线性判别分析投影矩阵的算法进行分析，首先需要收集训练样本矩阵，对特征指标数目以及采集的样本数目进行设定，分别用横坐标d、n 来表示，将类间离散度矩阵以及类内离散度矩阵进行整合，降低分别设定为SB、Sw，并对其进行计算，在求解特征以及所对应的特征矢量的过程中，则需要按照公式SBW=SWA 来计算，以此作为投影矩阵的计算结果。

2.3 RBF神经网络理论研究

2.3.1 RBF 神经网络原理

RBF 神经网络优势较为显著，从输入层层面进行分析，整合特征样本，并对其进行获取；隐含层实现对参数的改变，获得输入的特征样本，开展训练，准确确定节点数；输入层主要结果的输出。RBF 神经网络的非线性学习能力相对较强，将输入层以隐含层进行连接，借助非线性转变来完成，实现问题的线性可分。在激活隐含节点的过程中，只需要保证有数据输入即可。在网络结构设置时要坚持科学性的基本原则，RBF 神经网络处理效率较高，具有较强的准确逼近的能力，如今已经被广泛的应用在图像识别以及模式识别当中[1]。如图1所示。

2.3.2 RBF 神经网络学习过程

第一，借助K-mcans 算法找出节点函数的中心向量，将数据样本进行整合，并对其进行聚类分析。首先，需要确定参数，对隐含层节点进行计算，整合学习速率以及取整函数，将其分别设定为按照公式对隐含层的节点进行计算。第二，是进行监督学习。关注隐含层以及输入层的状态，对二者的网络权重进行适度改变，首先需要确定目标函数，并求出权值。RBF 神经网络具有训练速率快的优势，在开展训练的过程中，在对权值进行计算时，不易受到外界因素的干扰，实现从非线性问题向线性问题解决。

2.3.3 算法流程

RBF 神经网络算法主要涉及三个方面，首先，在对电力信息网络运行数据进行采集的过程中，需要充分根据特征指标体系的具体情况，在实施安全类别标签的前期阶段，则以训练以及测试样本集为基础，设定训练样本矩阵，将采集特征指标数目以及采集的样本数目整合在一起，分别设定为d、n，借助来表示，为了得到最佳投影空间的样本矩阵，则需要借助LDA 来进行优化处理。其次，RBF 神经网络模型的构建，收集数据，借助LDA 进行预处理，完成模型数据的输入，在网络输出的确定上，主要以经过预处理而得到的样本矩阵为主，为了找出与网络态势值的映射关系，则需要对RBF 神经网络模型进行训练。最后是态势感知结果的得出，将测试的数据进行输出，并经过投影矩阵的处理[2]。

2.4 网络安全态势评估类别

网络安全态势评估主要有五类，安全指数分别为0-0.2、0.2-0.4、0.4-0.75、0.75-0.9、0.9-1.0，其中所对对应的安全等级分别为安全、轻度安全、一般风险、中度风险、高度风险，并结合安全等级实际情况对系统的运行情况记性定性的分析。将威胁事件设定为Normal、Proble、R2L、Dos、U2L,所对应的威胁值为0、0.2、0.4、0.6、0.85，事件分别为“无”、“端口监测、扫描”、“非法尝试登陆主机”、“进行拒绝服务攻击”、“非法获取主机或者管理员的权限”。

2.5 仿真验证

2.5.1 数据集仿真

KDD-Cup99 数据仿真中的数据样本选择，需要充分结合电力契企业运行的实际情况，所选定的攻击类别主要有Dos、Proble、U2L、R2L，第一种攻击方式包括smurf、land、pod 等；第二种攻击方式为satan、portsweep 等；第三种攻击方式为loadmodule、rootlit 等；第四种攻击方式为imap、waremaster 等。在是对实验进行描述时，主要处理过程是原始数据采集、数值化、LDA 降维、标准化归一以及RBF 训练。对实验结果进行分析，关注网络攻击类别检测以及安全态势感知结果，通过分析可知，采用LDA-RBF方法时精确度明显呈现出上升的趋势，且平均误差以及均方差的计算效果相对较好，实现了对数据样本的优化处理[3]。如图2所示。

2.5.2 电力信息网络实验数据仿真

电力信息网络实验数据仿真主要是对电力信息网络样本数据进行分析，将LDA 优化处理以及RBF 神经网络态势感知有效的整合在一起，在对电力信息网络安全态势进行感知的过程中，则需要借助LDA-RBF 模型来实现。整合实验过程中网络样本数据选取的情况，在特征值方面主要包括标识符、检验码以及紧急指针等几个方面，并对实验结果进行分析，其中样本集类型为训练集以及测试集，类型分别为“正常”、“暴力破解”“端口扫描”、“拒绝服务攻击”、“网络流异常”、“协议异常”、“业务异常”，在对LDA-RBF 的网络行为的识别准确率进行分析时，上述类型分别为94.3%、87.56%、74.19%、100%、92.86%、93.75%、100%，总体识别率为94%，由此可以得出这种方式的应用可以在识别率方面有较大的提升。

3 结论

在对入侵攻击下电力信息网络安全态势感知进行分析的过程中，借助基于LDA-RBF 的电力信息网络安全态势感知进行研究，切实做好数据源以及数据预处理工作，明确线性判断分析基础理论。掌握RBF 神经网络的学习过程以及算法流程，以此推动电力系统信息网络建设步伐。