SDH传输网络节点非法入侵告警方法

国网江苏省电力有限公司信息通信分公司 郭 焘 江苏电力信息技术有限公司 伍叶锐

SDH技术是当前世界电力通信领域在传输网络方面的发展热点，又称为同步数字体系。作为光通信发展进入新时代的标志，SDH技术的功能强大，包括复接、传输和交换等，在保证电力通信稳定的前提下同样能够提升效率。除此之外，SDH的应用领域不仅限于光纤行业，也包括微波发射和卫星通信等现代技术，这对于通信产业来说，SDH传输已经成为一种通用技术。而SDH优点还包括对网络资源的有效管理，在设备的后期维护管理工作中能够避免资源浪费，提高电力通信网络的工作效率和安全性，对电力通信网络的发展有重要意义，虽然各种更具优势的传输网络也在建设，但SDH传输网依然承载着业务在持续应用，SDH传输平面等SDH技术的主要传输渠道，其发展也越来越多样化[1]。

1 网络节点非法入侵告警方法

1.1 识别非法入侵节点

首先采集节点数据，随机选取样本构建散度矩阵。随后，通过非线性映射将特征数据映射至高维空间。最后，将传感器数据与入侵特征对比，准确识别入侵节点。

具体步骤如下所述。

不同节点受入侵下，样本的类间散度如下：

式中，d代表向量的维数，也是采集的属性数量，Xi代表多个网络属性，n代表采集的节点数量，β（e）代表采集样点的特征函数，R（v）代表样点缺失数据函数，将n1个采集节点，综合标识为X＊，将n2个属于入侵节点的样本，综合标识为X```，而（ωTSwω）表示特征函数的匹配矩阵，J（ω）代表矩阵中最大广义系数。

然后在采集和匹配的过程中，假设由m代表各类采集后样本的平均函数，φ代表高维空间的输入映射，则可以通过式（2）划分由特征函数进行的高维映射渠道空间：

式中，k（x,y）代表空间中的函数坐标，Sφb和代表F中的样本在低维空间向高维空间映射的函数特征，ωφ代表采集信息的识别系数，ωT代表F所属于的高维空间中的线性组合。

完成特征映射后，则需要对映射数据进行特征匹配，则本文设置由E（V）表示入侵节点样本的随机变量，因此通过式（3）将可将高维空间中的映射数据与原有的涂钦行为特征数据进行对比：

式中，P*h表示网络映射的入侵节点h上的每个数据i上共有P个分类特征，表示节点数据集上第s个特征的映射方位，σ（j）表示函数的判断阂值，表示入侵数据集合成的矩阵划分，x（y*）表示最优分类函数，表示不同特征分量的映射组合，ε（d）表示不同入侵特征样本间的关联度[2]。

在对数据与原有特征向量进行匹配后，本文设置Ci为入侵节点特征类型，ε（E）表示类型Ci的样本出现在映射空间的概率，则入侵节点信息识别输出为：

式中，N（R）代表最优属性集合，代表对入侵检测判别误差函数。综上所述可以利用映射原理完成对入侵节点信息的识别。

1.2 处理网络节点入侵信息

网络节点入侵信息的预处理环节主要是对入侵节点进行标准化处理，在所采集的非法入侵节点的信息中进行格式的统一。

本文通过使用模糊层次的分析法来获得入侵节点处理后的整体分析，分析过程中使用常规统一算法，因此把分析的结果的入侵节点可以作为标准样本数据。本文所采用的入侵节点等数据来源于某地区电力通信网，包含一定的背景噪声，需要预处理。历史节点入侵处理的业务流程如图1所示。

图1 历史节点入侵处理的业务流程图

本文对于历史节点入侵处理流程如下：首先，根据用户提供的参数，从庞大的历史节点库中精确提取与时间节点相符合的入侵数据。这一步至关重要，其确保了获取的数据与当前分析的需求紧密相关。随后，对这些原始的节点数据进行一系列的清理和格式化操作。在实际操作中，数据可能存在各种异常，如缺失、冗余或格式不统一。通过这一步骤，消除这些异常，使数据达到统一、标准的格式。为了进一步提高数据的可靠性，将格式化的入侵数据根据用户配置的过滤规则进行过滤。这些规则可以基于多种条件，如数据的范围、类型或频率等。通过过滤，进一步剔除那些不符合要求或质量不高的数据。最后，将这些经过预处理的标准化数据进行存储，以便后续的存档和流程使用[3]。存储的方式和介质可以根据实际需求进行选择，如数据库、文件系统或云存储等。这样，不仅确保了数据的可追溯性和完整性，也使得后续的分析和处理更为便捷和高效。

1.3 关联入侵节点与告警数据

完成对入侵节点的信息处理后，就可将推理队列中的节点信息与历史数据中的告警数据相关联。本文对于二者关联采用了相似度的关联方法，首先将告警信息进行特征泛化，以泛化后的数据与原有经过处理的入侵节点的信息进行匹配，将传输至数据库的入侵节点信息与历史模板中的告警数据进行相似关联，取超过相似度规定且数值最大者，若无法进行相似度关联，则通过构建新的关联队列，重新设置告警数据。

然后利用模糊综合评判法进行告警关联算法的设计，告警关联度计算公式为：

式中：SIM（anew,aold）表示告警之间的相似性，ki为属性的权值，rij为模糊隶属度权值[4]。

1.4 过滤告警信息中干扰数据

完成对告警信息的关联后，可能会产生一些不必要的冗余信息，因此为了确保告警数据的传输效率，就要对告警数据进行干扰的去除。为提高信息过滤的精确度和准确性，需要将重复、字段不全、噪声告警去除，之后进一步剔除冗余信息。根据告警需求在告警记录的各字段中提取出有用字段。根据关联分析法对数据的要求，告警经过过滤、字段提取后，将告警信息中的数据与历史库进行匹配，匹配过程分为两个环节，已有数据在映射空间中直接向外传输，而未记录的数据信息则需要进行特征反馈。通过匹配告警规则，将数据划分为规则符合者与不符者，符合要求的告警数据由传输通道继续发送，不符合规则的数据则是干扰数据，对其进行过滤处理[5]。

1.5 实现SDH传输网络入侵告警

本文对于SDH传输网络入侵告警的实现，首先构建网络非法入侵识别模型，将上文获取的经处理的识别网络节点特征，通过高维空间的映射，实现多入侵节点的识别。通过SDH传输网络，依据各网络节点之间的关系，实现网络学习集识别。在学习集的训练中，依据输出层和输入层，将其自身所映射的入侵节点进行模型的构建，每个节点的权值用Wij描述，其中i∈[1,k],j∈[1,m]，首先对权值Wij初始化，设置训练合集为其中l=[1,N]。然后在t时刻矢量集内选取K维矢量。

在识别模型的基础上，通过对入侵节点进行告警的关联处理，取超过相似度规定且数值最大者，关联成功后将数据与告警信息进行匹配，然后在对告警数据进行干扰信息和冗余数据的处理之后，将告警数据传输至网络非法入侵节点，完成SDH传输网络的入侵告警。

2 试验论证

2.1 试验说明

为了验证本文提出的SDH传输网络节点非法入侵告警方法的实际应用效果，设定对比试验。本试验数据以某电网中的设备为试验环境。

为了本文试验的简明性，设置SDH传输网络节点非法入侵告警方法为试验组，基于生成矩阵变换的异常数据告警方法为对照组。

2.2 试验准备

设定试验参数见表1。

表1 试验参数

对正常电力设施中服务器信息数据传输运行过程中任意节点的数据进行抓取。通过本文方法和传统的矩阵变换、遗传算法对数据多个指标进行评价。

电网中包含33000V的变电站，2台变压器，总容量为1200MVA；5条330kV线路，总长超过900km；16座11000V变电站，28台变压器，36条11000V线路，总长超过1500km。遥信量超过111000个，遥测量超过43000个。通过电力调度自动化功能，模拟试验环境，将本文设计的方法，与其他两种方法进行在告警信息上处理的结果对比。

2.3 试验结果

运用实际电网运行情况作比较的方法，来验证智能告警系统告警情况的一致性，对比结果见表2。

表2 三种方法告警运行情况对比表

根据表2可得，试验组在第一次对模拟电网进行告警跳闸的次数为192而漏告、误告和告警异常次数共为2次，在六次的试验结果中，综合测算出试验组的告警正确率为98.79%，而对照组在第一次的试验中，告警跳闸次数为164次，误告和告警异常次数共为16次，在六次的试验结果中，综合测算出对照组的告警正确率为92.66%，相对试验组来说正确率较低。所以由试验结果可知，本文设计的SDH传输网络节点非法入侵告警方法的告警正确率更高。

3 结语

本文设计了SDH传输网络节点非法入侵告警方法，在对网络非法入侵节点（进行识别后，关联经过处理的节点数据和告警层次，最后基于模型完成对入侵节点进行告警。本文于一些细节之处仍存在不足点，首先是对于告警数据中干扰信息的滤除未能详细说明，其次是试验中没有考虑告警环节除数据量外的权重分析，这些不足将在之后的研究中进一步优化。