基于RBF神经网络的电力信息网络安全态势感知

吴嘉竣,徐文辉

（广东电网有限责任公司东莞供电局，广东 东莞 523000）

1 引言

随着电力信息网络物联网化水平的不断提高，常规的边界技术已经难以充分保障网络安全。由于电力信息网络所面临的威胁也是动态变化的，因此需要在电力信息网络中应用安全态势感知技术，利用电力信息网络原始数据来实施态势感知，进而全面监控电力信息网络[1-3]。

2 电力信息网络安全态势感知框架设计

本次研究以RBF 神经网络核心模块，并结合电力信息网络的数据库模块、人机接口与数据采集模块建立安全态势感知框架，即在RBF模块中输入待测网络行为信息，利用数据库中所存在的历史信息对网络安全态势加以判断。

智能测量设备通常位于现场监测区，将传感器装置设置于各个关键测量处，由传感器向数据库模块发送所采集到的数据。所发送的数据主要包括网络威胁数据和历史行为数据两个部分。其中历史行为数据负责存储既有的原始样本数据和待测网络数据，原始样本数据即已知的网络威胁数据，用来对网络安全态势加以判断。RBF 基于历史数据加以训练并生成安全态势感知模型，根据所获取的实时数据来对电力网络行为进行分析[4-6]。

图1 网络安全态势感知模块结构

3 RBF神经网络基本原理

RBF 神经网络包含输入、隐含、输出三个层次，是一种前馈型神经网络。其中输入层负责获取特征样本集，隐含层负责训练样本，输出层负责输出结果，基本结构如图2所示。

图2中的RBF神经网络中共包含n个输出节点、h个隐含节点和m个输入节点。ωij代表隐含层和输入层的网络权重；xi(i=0，1，…，m)代表RBF 神经网络的输入量；yi(i=0，1，…，m)代表RBF神经网络的输出量；vij代表隐含层与输出层的网络权值；θk与θj分别代表输出层阀值与隐含层阀值。另设gj为输出层激励函数，sj为隐含层激励函数。

图2 RBF神经网络结构

本次研究将高斯函数作为隐含层节点中的核函数，其表达式为：

公式(1)将归一化参数记为σ1，将基函数记为φ1。

RBF 是一种非线性学习能力较强的神经网络，输入层经过非线性激励函数sj 的处理会以线性函数的形式进入隐含层，进而实现待处理问题的线性可分。RBF 作为一种能够实现局部响应的神经网络，隐含节点可以被所输入的数据立即激活，在神经元数据充足的情况下能够对任意单值连续函数进行任何精度的逼近。即使是在神经元数据较少的情况下，RBF 神经网络对于非连续函数也可以实现较为理想的逼近效果，相对于常规BP 神经网络来说，RBF 具有更加精确的逼近能力，更快的学习速度以及更高的处理效率，对于物联网化水平较高的电力网络安全维护工作有着较强的适用性[7-10]。

4 RBF神经网络学习过程

在RBF 神经网络中，由于隐含层与输入层均为非线性激励函数，因此在建立网络结构时需要有针对性地设置基函数与隐含节点数，最终将非线性问题转换为线性问题。

设p个样本的数量样本集为X={X1，X2，…，Xp}，那么输出层训练样本Xp所对应的期望输出为Yp={Y1，Y2，…，Yn}；隐含节点基函数的中心向量为cj={cj1，cj2，…，cjm}T；输出值为yp={y1，y2，…，ym}；第j个隐含节点的基函数为φj||x-cj||。总误差函数为：

本次研究通过K-means算法对所采集的数据样本进行聚类分析，具体流程如下。

第一步：确定参数，设RBF神经网络的学习速率为β(0)、函数限定值为ε、有隐含层节点的基函数中心值为cj(0)，(j=1，2，…，k)。

第二步：计算样本数据与中心值的距离，计算方法如公式(3)所示，进而获取最近的点r(1≤r≤k)。

第三步：通过公式(5)计算聚类中心

第四步：借助公式(6)对样本中心进行更新并维持修正学习速度。

公式(6)将学习速率记为β(t)(0≤β(t)≤1)，int(t/a)为取整函数。

在完成聚类分析的基础上开始对cj进行训练，在此过程中适当改变输出层和隐含层的网络权重v。由于该层的激励函数为线性函数，因此可以通过对v的调整来实现线性优化。本次研究通过递推最小二乘法的方式来修正权值，处理流程如下[11-13]。

第一步：建立如下所示的目标函数。

公式(7)将加权因子矩阵记为∧(p)。

第二步，对权值的估计值进行计算，使J的取值最小，计算方法如下。

第三步，通过递推最小二乘法的方式求解权值，计算方法如下。

上式将输出层和隐含层的连接权值记为vjk(t)；将隐含层输出向量记为；第k个节点的输出值可表示为。

5 算法流程

基于RBF神经网络的电力信息网络安全态势感知的算法流程如图3所示。

图3 算法流程图

第一步：依照事先制定好的特征指标体系采集电力信息网络运行数据，将其划分为测试样本集与训练样本集两个部分。将采集的样本数目记为n，将采集的特征指标数目记为d，训练样本矩阵为通过LDA 优化的方式获取投影矩阵W，在此基础上计算最佳投影空间内的样本矩阵Z；

第二步：建立RBF 神经网络模型，在模型中输入数据矩阵将该样本矩阵所对应的安全指数或类别设定为网络输出，开始对网络模型进行训练，在网络误差达到一定要求的情况下完全训练，进而获取网络输出与网络态势值之间的映射关系；

第三步：输入测试数据，经过RBF神经网络处理后获取最终的态势感知结果。

6 仿真验证

电力企业信息网络风险数据往往是内部保密数据，因此本次研究通过KDD Cup99 样本数据集来对所提出的算法进行验证，该数据集在工业控制网络的入侵攻击实验中得到了十分广泛的应用，其中包含494020 条数据。在仿真验证过程中，本次研究抽取KDD Cup99 中10%的数据包，攻击类别如表1所示。

表1 攻击类别表

各攻击类别的识别准确率如表2所示。

表2 各攻击类别的识别准确率

经实验研究发现，本次研究所提出的RBF神经网络算法能够精确识别大部分网络攻击，由于本次研究所抽取的buffer_overflow攻击类型样本数量较小，因此准确率低于90%。

7 结束语

本次研究详细介绍了网络安全态势感知模块的整体结构以及RBF 神经网络的基本原理，并以线性问题的方式建立了RBF 神经网络学习方案，在此基础上提出了相应的算法流程。经仿真验证分析发现，本次研究所提出的电力信息网络安全态势感知方案对于大多数攻击类别能够达到90%以上的精确率水平，对于电力信息网络安全工作具有一定的应用价值。