基于Wolf的數字化變電站通信網異常流量檢測系統

何肖蒙，王穎舒，袁舒，肖小兵

（1.貴州電網有限責任公司貴陽供電局，貴州貴陽 550001；2.貴州電網有限責任公司電力科學研究院，貴州貴陽 550002）

數字化變電站自動化系統可靠性受到通信網性能的影響，網絡性能欠佳或故障會造成嚴重的后果。所以，在數字化變電站的通信網絡中，必須對其進行異常流量的檢測。文獻[1]提出了基于時頻域混合特征的檢測方法，該方法設計了分形自回歸積分滑動流量模型，利用小波包分析的方法對模型進行特征抽取，并將時域內的通信信息流特征與時域特征相結合，利用人工蜜蜂算法進行異常流量識別；文獻[2]提出了基于差分序列方差的檢測方法，該方法主要分析信息物理系統中通用對象變電站的數據行為特征。針對數字變電站的流程層信息特性，構造了一個流量異常隸屬函數。使用上述兩種方法雖然是針對流量異常進行的，但是由于所研究的網絡大多是廣域網，缺乏對流量本身的時域特性的關注，檢測結果不夠全面，且運算過程易陷入局部最優，使結果不夠準確。因此，結合Wolf 算法設計了一種通信網異常流量檢測系統。

1 系統總體結構設計

通信網異常流量檢測系統主要由可視化界面、核心層、實時監測層、設備接口組成，整個系統均采用插件式格式，方便了新功能擴充，系統總體結構如圖1 所示。

圖1 系統總體結構

系統的設計結合了智能變電站所配置的文件和網絡拓撲結構，對不同工作狀態下的各個節點傳輸流量進行仿真[3-4]。對于上述時間閾值t內傳輸的流量q(t)，使用小波包分解方式可表示為：

式中，ηm,n表示第m層的第n個節點小波包系數；φn表示小波基函數；l表示小波包系數個數[5-7]?；诖?，求取m+1 層的小波包分解低頻系數和高頻系數，可表示為：

2 系統硬件結構設計

2.1 異常流量采集模塊

在數字化變電站通信網絡中，因為一條總線與所有主機相連，所以所有的主機都能監控到總線上通吸納狀態，而且每個計算機都收到了大量數據[9-10]。因此，必須先篩選出發向自己的數據，然后再剔除冗余的數據。該方法利用MAC 地址的差異，對所接收到的目標地址和自身MAC 地址進行了對比[11]。若二者一致，則接收，否則丟棄。異常流量采集模塊結構如圖2 所示。

圖2 異常流量采集模塊結構

在現實網絡結構中，網卡的主要功能是傳輸和接收數據。實時解析傳輸數據，依據所解析的目標物理地址及預置網卡接收模式，判斷該數據幀是否應該全部接收[12-13]。一旦接收，就會生成一個中斷信號，然后向CPU 發送中斷信號，否則舍棄。在此基礎上，系統會把接收到的數據幀存入到信號堆疊中，以供其他程序使用[14]。網絡業務采集通常以網卡為基礎，通過網卡來接收全部監測數據。

2.2 檢測組件

檢測組件為系統提供了核心業務功能，并為該平臺插件架構和其他模塊訪問提供了一個插件接口。插件平臺是一個插件的開發界面，它包含了插件注冊、識別、調用、信息訪問。新的功能可以被嵌入到核心平臺中，被其他系統所調用。模擬引擎是以消息為基礎，為模擬通信網路的資訊互動提供引擎[15]。該系統采用調用和信息注入方式，調用模擬部件，模擬通信網絡信息流通情況，排查錯誤消息源頭，定位故障位置。

3 系統Wolf檢測技術研究

3.1 基于Wolf映射的多維相空間重構

由于混沌序列具有隨機性和遍歷性，所以混沌序列是由混沌一一映射生成的，將該序列轉化為數據形式存儲于群體空間[16]。Wolf 算法將隨機變量加入到常規計算過程中，得到的映射為：

式中，α表示混沌參數；di,j表示i個種群規模的j個混沌序號。通過該公式可得到混沌值，將其映射到數字化變電站通信網異常流量多維相空間，即：

式中，[xj,max,xj,min] 表示檢測位置上下限范圍。將通信網異常流量序列重構后，流量向量軌跡在多維相空間中可表示為：

式中，n表示通信網與長流量序列長度。

江蘇省城際鐵路項目兼具公益性和經營性特點，采用PPP模式可以在壟斷性強的鐵路領域中合理引入市場競爭機制，同時保證了政府和私營機構共同的風險分擔和利益分配。在運營管理方面，通過鐵路建設項目公私合作，同時發揮政府的權威性和民營企業的靈活性，有利于提高效率和降低工程造價，并在一定程度上可保證民間資本的利潤，提高民營企業投資鐵路項目的積極性。同時，江蘇省具有較強的財政實力，在財政能力可支撐范圍內選擇PPP模式有助于最大限度地實現社會效益最大化?？傮w而言，在PPP模式下，政府和私營機構創造的社會效益可在整體上實現“帕累托最優”，也更符合城際鐵路建設的宗旨，因此該模式對江蘇省城際鐵路項目適用性較強。

3.2 基于Wolf的異常流量混沌性檢測

在Wolf 優化算法中，利用收斂系數實現對異常流的檢測。收斂系數的均衡控制直接影響著算法的收斂性和檢測的準確性。Wolf 中的非線性收斂性控制機制如下：

式中，λ1表示收斂因子初始值；λ2表示收斂因子最終值；u表示迭代次數；Tmax表示最大迭代次數。在Wolf 算法初始階段，最大的數值會使Wolf 的搜索步長增加，從而避免早期尋優和快速收斂；在迭代后期，通過減少Wolf 搜索步驟，提升局部精細開發能力，加快算法收斂。

在此情況下，設計的數字化變電站通信網異常流量檢測步驟如下所示：

步驟一：在智能電網運行期間，對記錄的數據進行實時采集；

步驟二：在時間門限中，對各特征值的發生概率進行統計；

步驟三：通過對各特征值的熵進行規格化，得到熵矢量，熵值計算公式如下：

式中，?表示特征值的熵；ε表示歸一化因數；τ表示在一定時間閾值下的異常流量特征個數。

步驟四：重復步驟一、步驟二、步驟三，對當前時刻的熵矢量與先前時刻的熵矢量之間的差值進行分析，利用熵矢量差異以及流量攻擊特征來判定異常類型。

步驟五：確定熵矢量之間的差異是否符合步長熵的變化特性，當滿足任意變化特性時，將會發出報警信號，并將相應的異常流量攻擊方式顯示出來。如果熵矢量差異不能滿足熵的任何一個變化特性，則判斷為沒有出現網絡業務異常，并持續接收下一段時間的閾值記錄數據的特征值。

4 系統測試

4.1 通信對象建模

參照IEC61850 標準，按照智能主次裝置、網絡輔助裝置的設計思想，將智能變電站分為三個層次：過程層、間隔層和站控層。過程層包括模擬數據采集終端集成部分和智能部分，該部分用于切換流量的輸入和輸出；IEC6 間隔層主要包括防護設備和測量控制設備；站控層主要由監測、遠程控制和故障信息子系統組成，如圖3 所示。

圖3 數字化變電站通信網結構示意圖

由于通信網絡的非正常流量是在特定時刻傳輸的，因此，在實際的變電站運行中，采集到的數據會記錄持續更新的瞬時電流。在建模過程中，選取固定尺寸的周期分組進行模擬，設定數據包的實際采樣率，以保證模型能夠達到統一的采樣要求。

設置以DDoS 攻擊數字化變電站通信網，采集5 000 條攻擊下通信連接記錄，結合10 000 條正常狀態下通信連接記錄，組成數據集。隨機選取數據集中60%的數據作為訓練集對設計系統進行訓練，剩余40%的數據作為測試集進行測試。其中，設置混沌參數為0.5，收斂因子選取范圍為[0,1]，迭代次數為300。

4.2 流量實時監測

以一次設備數字化變電站通信網和二次設備數字化變電站通信網為例，實時監測異常流量，監測結果如表1 所示。

表1 異常流量實時監測數據

變電站站控層與間隔層之間的通信網流量容易受到人為操作影響，導致監測數據隨著人工操作而發生改變。對于一次設備，操作人員的操作將導致流量呈現無規律波動，當操作人員完成操作后，流量逐漸呈現穩定狀態；對于二次設備，操作人員開始執行操作時，流量處于穩定狀態，在操作接近尾聲時，流量突然出現小范圍波動，隨后又處于穩定狀態。

4.3 實驗結果與分析

對于一、二次設備數字化變電站通信網異常流量檢測，分別使用文獻[1]、文獻[2]和所研究方法進行對比分析，對比結果如圖4 所示。

圖4 三種方法檢測結果對比分析

由圖4（a）可知，使用所研究方法得到的結果與表1 數據基本一致，且曲線變化符合實時監測結果；使用文獻[1]曲線走向與所研究方法曲線走向一致，但數值與表1 數據不一致，存在最大為354 Mb/s的誤差；使用文獻[2]曲線走向與所研究方法曲線不一致，與表1 數據存在最大為213 Mb/s 的誤差。由圖4（b）可知，使用所研究方法與表1 數據存在最大為2 Mb/s 的誤差，且曲線變化符合實時監測結果；使用文獻[1]、文獻[2]曲線走向在14:00-14:25 時與所研究方法一致，在14:25-14:50 時與所研究方法不一致，且使用文獻[2]波動范圍更大。通過上述分析結果可知，使用所研究方法檢測結果更加精準。

5 結束語

文中設計了基于Wolf 的數字化變電站通信網異常流量檢測系統，并對其進行了模擬測試。利用Wolf 算法分析和探測異常流量，根據上述設計看出，該系統能夠對各種變電站中的異常網絡流量進行實時監測，及時發現網絡攻擊，提高電力系統通信品質，保證電力系統正常運轉。實驗結果表明，該系統的實時流量監控是科學、有效的。