何肖蒙,王颖舒,袁舒,肖小兵
(1.贵州电网有限责任公司贵阳供电局,贵州贵阳 550001;2.贵州电网有限责任公司电力科学研究院,贵州贵阳 550002)
数字化变电站自动化系统可靠性受到通信网性能的影响,网络性能欠佳或故障会造成严重的后果。所以,在数字化变电站的通信网络中,必须对其进行异常流量的检测。文献[1]提出了基于时频域混合特征的检测方法,该方法设计了分形自回归积分滑动流量模型,利用小波包分析的方法对模型进行特征抽取,并将时域内的通信信息流特征与时域特征相结合,利用人工蜜蜂算法进行异常流量识别;文献[2]提出了基于差分序列方差的检测方法,该方法主要分析信息物理系统中通用对象变电站的数据行为特征。针对数字变电站的流程层信息特性,构造了一个流量异常隶属函数。使用上述两种方法虽然是针对流量异常进行的,但是由于所研究的网络大多是广域网,缺乏对流量本身的时域特性的关注,检测结果不够全面,且运算过程易陷入局部最优,使结果不够准确。因此,结合Wolf 算法设计了一种通信网异常流量检测系统。
通信网异常流量检测系统主要由可视化界面、核心层、实时监测层、设备接口组成,整个系统均采用插件式格式,方便了新功能扩充,系统总体结构如图1 所示。
图1 系统总体结构
系统的设计结合了智能变电站所配置的文件和网络拓扑结构,对不同工作状态下的各个节点传输流量进行仿真[3-4]。对于上述时间阈值t内传输的流量q(t),使用小波包分解方式可表示为:
式中,ηm,n表示第m层的第n个节点小波包系数;φn表示小波基函数;l表示小波包系数个数[5-7]。基于此,求取m+1 层的小波包分解低频系数和高频系数,可表示为:
在数字化变电站通信网络中,因为一条总线与所有主机相连,所以所有的主机都能监控到总线上通吸纳状态,而且每个计算机都收到了大量数据[9-10]。因此,必须先筛选出发向自己的数据,然后再剔除冗余的数据。该方法利用MAC 地址的差异,对所接收到的目标地址和自身MAC 地址进行了对比[11]。若二者一致,则接收,否则丢弃。异常流量采集模块结构如图2 所示。
图2 异常流量采集模块结构
在现实网络结构中,网卡的主要功能是传输和接收数据。实时解析传输数据,依据所解析的目标物理地址及预置网卡接收模式,判断该数据帧是否应该全部接收[12-13]。一旦接收,就会生成一个中断信号,然后向CPU 发送中断信号,否则舍弃。在此基础上,系统会把接收到的数据帧存入到信号堆叠中,以供其他程序使用[14]。网络业务采集通常以网卡为基础,通过网卡来接收全部监测数据。
检测组件为系统提供了核心业务功能,并为该平台插件架构和其他模块访问提供了一个插件接口。插件平台是一个插件的开发界面,它包含了插件注册、识别、调用、信息访问。新的功能可以被嵌入到核心平台中,被其他系统所调用。模拟引擎是以消息为基础,为模拟通信网路的资讯互动提供引擎[15]。该系统采用调用和信息注入方式,调用模拟部件,模拟通信网络信息流通情况,排查错误消息源头,定位故障位置。
由于混沌序列具有随机性和遍历性,所以混沌序列是由混沌一一映射生成的,将该序列转化为数据形式存储于群体空间[16]。Wolf 算法将随机变量加入到常规计算过程中,得到的映射为:
式中,α表示混沌参数;di,j表示i个种群规模的j个混沌序号。通过该公式可得到混沌值,将其映射到数字化变电站通信网异常流量多维相空间,即:
式中,[xj,max,xj,min] 表示检测位置上下限范围。将通信网异常流量序列重构后,流量向量轨迹在多维相空间中可表示为:
式中,n表示通信网与长流量序列长度。
江苏省城际铁路项目兼具公益性和经营性特点,采用PPP模式可以在垄断性强的铁路领域中合理引入市场竞争机制,同时保证了政府和私营机构共同的风险分担和利益分配。在运营管理方面,通过铁路建设项目公私合作,同时发挥政府的权威性和民营企业的灵活性,有利于提高效率和降低工程造价,并在一定程度上可保证民间资本的利润,提高民营企业投资铁路项目的积极性。同时,江苏省具有较强的财政实力,在财政能力可支撑范围内选择PPP模式有助于最大限度地实现社会效益最大化。总体而言,在PPP模式下,政府和私营机构创造的社会效益可在整体上实现“帕累托最优”,也更符合城际铁路建设的宗旨,因此该模式对江苏省城际铁路项目适用性较强。
在Wolf 优化算法中,利用收敛系数实现对异常流的检测。收敛系数的均衡控制直接影响着算法的收敛性和检测的准确性。Wolf 中的非线性收敛性控制机制如下:
式中,λ1表示收敛因子初始值;λ2表示收敛因子最终值;u表示迭代次数;Tmax表示最大迭代次数。在Wolf 算法初始阶段,最大的数值会使Wolf 的搜索步长增加,从而避免早期寻优和快速收敛;在迭代后期,通过减少Wolf 搜索步骤,提升局部精细开发能力,加快算法收敛。
在此情况下,设计的数字化变电站通信网异常流量检测步骤如下所示:
步骤一:在智能电网运行期间,对记录的数据进行实时采集;
步骤二:在时间门限中,对各特征值的发生概率进行统计;
步骤三:通过对各特征值的熵进行规格化,得到熵矢量,熵值计算公式如下:
式中,ς表示特征值的熵;ε表示归一化因数;τ表示在一定时间阈值下的异常流量特征个数。
步骤四:重复步骤一、步骤二、步骤三,对当前时刻的熵矢量与先前时刻的熵矢量之间的差值进行分析,利用熵矢量差异以及流量攻击特征来判定异常类型。
步骤五:确定熵矢量之间的差异是否符合步长熵的变化特性,当满足任意变化特性时,将会发出报警信号,并将相应的异常流量攻击方式显示出来。如果熵矢量差异不能满足熵的任何一个变化特性,则判断为没有出现网络业务异常,并持续接收下一段时间的阈值记录数据的特征值。
参照IEC61850 标准,按照智能主次装置、网络辅助装置的设计思想,将智能变电站分为三个层次:过程层、间隔层和站控层。过程层包括模拟数据采集终端集成部分和智能部分,该部分用于切换流量的输入和输出;IEC6 间隔层主要包括防护设备和测量控制设备;站控层主要由监测、远程控制和故障信息子系统组成,如图3 所示。
图3 数字化变电站通信网结构示意图
由于通信网络的非正常流量是在特定时刻传输的,因此,在实际的变电站运行中,采集到的数据会记录持续更新的瞬时电流。在建模过程中,选取固定尺寸的周期分组进行模拟,设定数据包的实际采样率,以保证模型能够达到统一的采样要求。
设置以DDoS 攻击数字化变电站通信网,采集5 000 条攻击下通信连接记录,结合10 000 条正常状态下通信连接记录,组成数据集。随机选取数据集中60%的数据作为训练集对设计系统进行训练,剩余40%的数据作为测试集进行测试。其中,设置混沌参数为0.5,收敛因子选取范围为[0,1],迭代次数为300。
以一次设备数字化变电站通信网和二次设备数字化变电站通信网为例,实时监测异常流量,监测结果如表1 所示。
表1 异常流量实时监测数据
变电站站控层与间隔层之间的通信网流量容易受到人为操作影响,导致监测数据随着人工操作而发生改变。对于一次设备,操作人员的操作将导致流量呈现无规律波动,当操作人员完成操作后,流量逐渐呈现稳定状态;对于二次设备,操作人员开始执行操作时,流量处于稳定状态,在操作接近尾声时,流量突然出现小范围波动,随后又处于稳定状态。
对于一、二次设备数字化变电站通信网异常流量检测,分别使用文献[1]、文献[2]和所研究方法进行对比分析,对比结果如图4 所示。
图4 三种方法检测结果对比分析
由图4(a)可知,使用所研究方法得到的结果与表1 数据基本一致,且曲线变化符合实时监测结果;使用文献[1]曲线走向与所研究方法曲线走向一致,但数值与表1 数据不一致,存在最大为354 Mb/s的误差;使用文献[2]曲线走向与所研究方法曲线不一致,与表1 数据存在最大为213 Mb/s 的误差。由图4(b)可知,使用所研究方法与表1 数据存在最大为2 Mb/s 的误差,且曲线变化符合实时监测结果;使用文献[1]、文献[2]曲线走向在14:00-14:25 时与所研究方法一致,在14:25-14:50 时与所研究方法不一致,且使用文献[2]波动范围更大。通过上述分析结果可知,使用所研究方法检测结果更加精准。
文中设计了基于Wolf 的数字化变电站通信网异常流量检测系统,并对其进行了模拟测试。利用Wolf 算法分析和探测异常流量,根据上述设计看出,该系统能够对各种变电站中的异常网络流量进行实时监测,及时发现网络攻击,提高电力系统通信品质,保证电力系统正常运转。实验结果表明,该系统的实时流量监控是科学、有效的。