引言

隨著電力系統智能化與網絡化進程的加速，電力網絡逐漸從物理隔離轉向開放互聯。遠程監控、分布式控制等技術的應用顯著提升了系統管理效率，但同時網絡邊界的擴展也引入了潛在的安全威脅。近年來針對電力系統的網絡攻擊事件頻發，例如2015年烏克蘭電網遭受的黑客攻擊導致大規模停電，直接經濟損失超千萬美元；2019年巴西電力調度中心因惡意軟件入侵引發區域性供電中斷，暴露出電力系統網絡防御的脆弱性。針對電力系統的網絡攻擊不僅威脅數據安全，更可能破壞電力設備、擾亂能源供應，甚至危及公共安全[1-2]。因此，構建高效、精準的網絡入侵檢測系統已成為保障電力系統穩定運行的關鍵。

目前國內外學者對網絡入侵檢測的研究主要可以分為無監督類方法、有監督類方法和半監督類方法三種。無監督類方法以K-means和DBSCAN等聚類算法為代表[3]，通過對數據進行聚類分析實現異常檢測，無需標注數據且部署便捷，但其性能受限于特征表征能力與專家經驗，在實際場景中當面對異常模式動態變化時，該類方法的誤檢率可能超過15%[4]。有監督類方法以SVM和深度神經網絡等方法為代表[5-6]，通過標注樣本訓練分類模型，在數據充足條件下入侵檢測準確率可超過90%，但是實際網絡環境絕大部分時間均處于正常狀態，異常樣本稀缺且分布高度不均衡，在這種情況下有監督類方法由于得不到足夠的異常樣本進行模型訓練會出現檢測結果偏向多數類，對新型攻擊的漏檢率顯著上升[7]。半監督類方法以OC-SVM和SVDD等方法為代表[8]，通過正常樣本訓練決策邊界，雖緩解了標注數據不足的問題，但僅能實現有無異常的判斷，無法區分具體網絡攻擊類型，難以滿足實際防護需求[9]。

根據上述已有研究，可以梳理出電力系統網絡入侵檢測面臨的挑戰在于三個方面：（1）高維性。單條網絡數據通常包含協議類型、流量統計、主機行為等數十至數百維特征，直接建模易引發“維度災難”，導致模型過擬合與計算效率低下[10]。（2）非線性。特征間存在復雜的交互關系(如時序依賴、協議狀態轉移)，傳統以PCA為代表的線性降維方法難以捕捉此類非線性模式，造成關鍵判別信息丟失[11]。（3）不均衡性。正常流量占比遠遠超過異常流量，攻擊樣本(如APT攻擊、零日漏洞利用)極端稀缺，傳統分類器傾向于將少數類誤判為正常，嚴重威脅系統安全性[12]。

針對上述問題，本文提出一種基于生成對抗網絡(Generative Adversarial Network, GAN)進行數據增強，聯合稀疏自編碼器(Sparse Auto Encoder, SAE)和Bagging集成學習的網絡入侵檢測方法。首先利用GAN合成少數類攻擊樣本，緩解數據不均衡問題；然后采用SAE通過多層非線性變換與稀疏約束，自適應挖掘高維數據中的低維判別特征從而解決非線性和高維性問題；最后設計基于Bagging的集成框架，融合K-means、層次聚類與高斯混合模型(Gaussian Mixed Model, GMM)的異構輸出，通過DBSCAN元學習器進行二階聚類分析，從而獲得最終的檢測結果。采用KDD CUP99數據集開展驗證試驗對所提方法的性能進行驗證。

本文詳細內容請下載：

http://www.jysgc.com/resource/share/2000006880

作者信息：

張軍，喬溢

（國能（惠州）熱電有限責任公司，廣東 惠州 516000）