引言

随着电力系统智能化与网络化进程的加速，电力网络逐渐从物理隔离转向开放互联。远程监控、分布式控制等技术的应用显著提升了系统管理效率，但同时网络边界的扩展也引入了潜在的安全威胁。近年来针对电力系统的网络攻击事件频发，例如2015年乌克兰电网遭受的黑客攻击导致大规模停电，直接经济损失超千万美元；2019年巴西电力调度中心因恶意软件入侵引发区域性供电中断，暴露出电力系统网络防御的脆弱性。针对电力系统的网络攻击不仅威胁数据安全，更可能破坏电力设备、扰乱能源供应，甚至危及公共安全[1-2]。因此，构建高效、精准的网络入侵检测系统已成为保障电力系统稳定运行的关键。

目前国内外学者对网络入侵检测的研究主要可以分为无监督类方法、有监督类方法和半监督类方法三种。无监督类方法以K-means和DBSCAN等聚类算法为代表[3]，通过对数据进行聚类分析实现异常检测，无需标注数据且部署便捷，但其性能受限于特征表征能力与专家经验，在实际场景中当面对异常模式动态变化时，该类方法的误检率可能超过15%[4]。有监督类方法以SVM和深度神经网络等方法为代表[5-6]，通过标注样本训练分类模型，在数据充足条件下入侵检测准确率可超过90%，但是实际网络环境绝大部分时间均处于正常状态，异常样本稀缺且分布高度不均衡，在这种情况下有监督类方法由于得不到足够的异常样本进行模型训练会出现检测结果偏向多数类，对新型攻击的漏检率显著上升[7]。半监督类方法以OC-SVM和SVDD等方法为代表[8]，通过正常样本训练决策边界，虽缓解了标注数据不足的问题，但仅能实现有无异常的判断，无法区分具体网络攻击类型，难以满足实际防护需求[9]。

根据上述已有研究，可以梳理出电力系统网络入侵检测面临的挑战在于三个方面：（1）高维性。单条网络数据通常包含协议类型、流量统计、主机行为等数十至数百维特征，直接建模易引发“维度灾难”，导致模型过拟合与计算效率低下[10]。（2）非线性。特征间存在复杂的交互关系(如时序依赖、协议状态转移)，传统以PCA为代表的线性降维方法难以捕捉此类非线性模式，造成关键判别信息丢失[11]。（3）不均衡性。正常流量占比远远超过异常流量，攻击样本(如APT攻击、零日漏洞利用)极端稀缺，传统分类器倾向于将少数类误判为正常，严重威胁系统安全性[12]。

针对上述问题，本文提出一种基于生成对抗网络(Generative Adversarial Network, GAN)进行数据增强，联合稀疏自编码器(Sparse Auto Encoder, SAE)和Bagging集成学习的网络入侵检测方法。首先利用GAN合成少数类攻击样本，缓解数据不均衡问题；然后采用SAE通过多层非线性变换与稀疏约束，自适应挖掘高维数据中的低维判别特征从而解决非线性和高维性问题；最后设计基于Bagging的集成框架，融合K-means、层次聚类与高斯混合模型(Gaussian Mixed Model, GMM)的异构输出，通过DBSCAN元学习器进行二阶聚类分析，从而获得最终的检测结果。采用KDD CUP99数据集开展验证试验对所提方法的性能进行验证。

本文详细内容请下载：

https://www.chinaaet.com/resource/share/2000006880

作者信息：

张军，乔溢

（国能（惠州）热电有限责任公司，广东 惠州 516000）