CN104125112B - 基于物理‑信息模糊推理的智能电网攻击检测方法 - Google Patents

Abstract

本发明提出了一种基于物理‑信息模糊推理的智能电网攻击检测方法；该方法利用智能电网物理系统和信息系统紧密耦合的特性，通过分析智能电网电力量测数据与网络通信流量，利用物理‑信息模糊推理的方法来判定攻击行为，能显著降低检测的误报率，改善智能电网攻击检测的效果。

Description

基于物理-信息模糊推理的智能电网攻击检测方法

技术领域：

本发明属于智能电网攻击检测技术领域，特别涉及一种基于物理-信息模糊推理的智能电网攻击检测方法。

背景技术：

智能电网将先进的传感量测技术、信息通信技术、自动控制技术、新能源技术与电网基础设施高度集成，支持能量和数据在电网中的双向流动。先进的信息网络显著提升了电力网络的可观性、可控性、实时性和自愈性；但与此同时，信息网络中的各种漏洞和攻击威胁使得攻击者有更多的途径渗透和入侵到电力系统。典型的网络攻击方式如拒绝服务攻击、数据窃听、中间人攻击、流量重放攻击等，在智能电网等物理信息系统中同样有效且危害更大。传统电力网络中，攻击者主要通过破坏电网的物理基础设施实现对电网的破坏和干扰；在智能电网中，攻击者可以通过信息网络入侵并攻击智能电网中的设备，通过篡改电网的数据，导致电网的状态监控和决策出现失误。这种攻击方式通过信息网络渗透到物理网络，具有同时与物理系统和信息系统有关联的特点。

传统电网安全检测技术基于电力系统的物理规律，利用状态估计和RN检测等方法对不同节点的量测数据进行交叉验证，检测和辨识不良数据。但是由于这些方法基于电力系统的物理规律，需要对实际系统的各类量测误差、传输错误等有一定容忍能力，因此对局部的小规模伪造数据很难实现精确检测。在智能电网中，攻击者通过精心设计攻击场景，构造出满足物理规律约束或在系统量测误差容忍程度范围内的错误数据来逃避系统的异常检测，导致传统电网安全监控技术在检测精度、检测可信度、计算复杂度等方面都面临巨大挑战。

针对智能电网中信息安全技术引入后带来的安全问题，人们提出利用信息安全检测方法来保护智能电网。然而，信息网络安全技术不考虑物理系统自身的价值，难以评估威胁的严重程度；同时检测方法大多误报率很高，从海量的异常报警中发现实际的攻击事件一直是网络安全领域的难点问题之一。

考虑到智能电网中物理系统和信息系统的强关联性，单纯从物理系统或信息系统角度考虑进行攻击检测的效果都具有明显的局限性。

发明内容：

为了克服上述现有技术的缺点，本发明的目的在于提供一种基于物理-信息模糊推理的智能电网攻击检测方法，以克服上述单独从物理系统或信息系统进行智能电网攻击检测的局限性，能够同时考虑到攻击对智能电网中的物理系统和信息系统造成的影响，利用物理系统和信息系统的检测信息互补结合，交叉验证，通过尽量低的运算代价得到比单纯从物理系统或信息系统进行检测更好的检测精度。

为了实现上述目的，本发明采用的技术方案是：

一种基于物理-信息模糊推理的智能电网攻击检测方法，包括如下步骤：

步骤S1：利用部署在智能电网中的电力量测设备和流量监控系统得到智能电网的电力量测数据和设备通信流量；对得到的电力量测数据和设备通信流量分别进行异常事件检测，得到物理系统异常度和信息系统异常度；

步骤S2：基于电力量测设备和智能通信设备在传输线上的分布，将物理系统和信息系统的异常度进行关联融合，得到电力传输线路上的物理-信息异常度<C,P>；

步骤S3：利用知识库，将物理-信息异常度<C,P>由精确量转化为模糊化量，并用相应的模糊集合来表示；

步骤S4：结合知识库中的规则库，利用模糊逻辑中的蕴含关系及推理规则进行物理-信息模糊推理得出用相应模糊集合表示的电力传输线路上的异常度模糊化输出；

步骤S5：结合知识库将异常度模糊化输出反模糊化成精确量，得到用精确数值表示的线路上的物理-信息综合异常度F；

步骤S6：设定攻击检测阈值；若线路i的物理-信息综合异常度超过给定检测阈值，则判定线路i受到了攻击，否则判定线路i没有受到攻击。

本发明进一步的改进在于，步骤S1包括两个并行的部分：物理系统异常度分析和信息系统异常度分析。

本发明进一步的改进在于，所述步骤S2中，物理系统和信息系统的异常度进行关联融合的方法为：利用智能电网中每条被量测线路上部署有一个或多个通信设备，而每个设备在信息网络中对应有一个独立且唯一的IP地址的特点，通过<设备IP地址，设备所在线路编号>映射表将物理系统和信息系统的异常度进行关联。

本发明进一步的改进在于，所述知识库根据经验手动设定，包括数据库和模糊控制规则库两部分，数据库主要包括输入语言变量的隶属函数，以及模糊空间的分级数；规则库包括用模糊语言变量表示的一系列推理规则，规则反映了经验和知识。

本发明进一步的改进在于，所述步骤S3中，物理-信息系统异常度模糊化的方法为：基于知识库中的输入语言变量的隶属函数，以及模糊空间的分级数，将精确量输入<C,P>进行模糊化处理变成模糊化量输入，并用相应的模糊集合来表示。

本发明进一步的改进在于，所述步骤S4中，物理信息模糊推理的方法为：将模糊化后的物理-信息异常度作为输入，结合知识库中的物理-信息模糊推理规则库，利用模糊逻辑中的蕴含关系及推理规则进行推理，得出用相应模糊集合表示的传输线路综合异常度输出。

本发明进一步的改进在于，所述步骤S5中，推理结果去模糊化的方法为：基于知识库中的输入语言变量的隶属函数，以及模糊空间的分级数，将用模糊集合表示的综合异常度输出结果反模糊化成精确量，即物理-信息综合异常度F＝[F₁；F₂；...；F_n]。

本发明进一步的改进在于，所述步骤S6中，攻击事件判定的方法为：设定检测阈值为ε，取值范围为0.2-0.8之间，若F_i≥ε，则判定线路i受到了攻击，若F_i＜ε，则判定线路i没有受到攻击。

与现有技术相比，本发明的有益效果是：

(1)本发明充分利用智能电网中物理系统(电力网络)和信息系统(通信网络)之间的强耦合性和密不可分性，通过将传统的电力系统检测方法和信息系统检测方法结合起来，利用两者的信息进行交叉验证，能够有效地提高检测精度，降低误报率。

(2)本发明利用模糊推理系统进行最终的融合推理决策。与传统的推理方法相比，模糊推理的输入和输出关系高度灵活，可以很好地将自然语言表征的专家经验应用于推理决策。

(3)本发明的检测方法是对原有的物理系统和信息系统的检测方法的改进和提升，在原有检测方法的检测结果基础上进行分析，可以在原有系统的基础上通过软件升级的方式进行部署，不需要额外的硬件开销。

(4)本发明中物理系统检测和信息系统检测同时进行，由数据处理和模糊推理带来的运算量开销增量很低，整体运算开销和原来的检测方法基本相同。通过很小的运算开销可以实现检测性能的显著提升。

附图说明

图1为IEEE-14节点标准电力系统测试案例的结构图。

图2为本发明基于物理-信息模糊推理的智能电网攻击检测方法整体流程图。

图3为智能电网物理系统异常度分析过程流程图。

图4为智能电网信息系统异常度分析过程流程图。

图5为IEEE-14节点标准电力系统中物理系统异常度模糊变量的隶属度函数图。

图6为IEEE-14节点标准电力系统中信息系统异常度模糊变量的隶属度函数图。

图7为IEEE-14节点标准电力系统中模糊推理系统模糊输出异常度的隶属度函数图。

图8为IEEE-14节点标准电力系统中在特定输入下进行物理-信息模糊推理得到的模糊输出量隶属度函数图。

具体实施方式

下面结合附图和实施例详细说明本发明的实施方式。

以IEEE-14节点标准电力系统测试案例为例说明智能电网攻击检测方法的仿真实验设定：

图1为IEEE-14节点标准电力系统测试案例的系统结构图，系统包含14个节点和20个支路，其中节点1、2、3、6、8是发电节点，节点4、5、7、9、10、11、12、13、14是负荷节点，节点之间通过20条传输线路连接。利用matpower工具箱对该测试系统的电力系统进行仿真，仿真过程中通过修改电力系统中的线路量测数据实现对线路的不良数据注入攻击，攻击的注入率n定义为被攻击线路有功功率的增加或减少量为原系统所有线路有功功率均值的n倍。

通过建立IDS中报警数量和威胁度的生成模型对智能电网的通信系统检测进行仿真。IDS中报警数量和威胁度的生成模型可表述为：

1)正常情况下：智能电网的物理量测数据只受到量测误差的影响，一个采样区间内线路上的报警数量服从均值为2的泊松分布，威胁度用均值为0.8的负指数分布来近似，得到的威胁度超过5(威胁程度的取值上限)的取为5，小于5的向上取整；

2)发生不良数据注入攻击的情况下：信息系统中的IDS会模拟由于检测到攻击带来的异常流量，导致被攻击线路上的报警数量增加5个，且增加的报警的威胁程度取4或5的概率都为0.5。

对IEEE-14节点系统进行不良数据注入攻击，并采用三种不同的方法进行攻击检测，以对比分析检测的效果。三种攻击检测方法分别为：

1)单纯基于物理系统的攻击检测方法：采用传统的r_N检测方法，当标准残差|r_N,i|超过阈值2.25，则认为线路i在(t-αT,t]时间段内受到了攻击。

2)单纯基于信息系统的攻击检测方法：采用IDS进行攻击检测，攻击行为和报警事件由实验仿真生成。IDS检测的效果由仿真模型参数和系统的规模所决定，不会受到攻击注入率的影响。

3)基于物理-信息模糊推理的智能电网攻击检测方法：采用本发明提出的方法，将物理网络和信息网络的检测数据进行关联融合，并通过模糊推理得到的系统整体异常度F_i。将和设定阈值ε进行比较，如超过给定阈值则认为在线路i处遭到了攻击，反之亦然。

以下结合附图2、3、4详细说明本发明基于物理和信息数据融合的智能电网攻击检测方法的实施方式。

图2是基于物理-信息模糊推理的智能电网攻击检测方法整体流程图，显示了基于物理-信息模糊推理的智能电网攻击检测方法的基本框架，其具体步骤包括：

步骤S1：利用部署在智能电网中的电力量测设备和流量监控系统得到智能电网的电力量测数据和设备通信流量；对得到的电力量测数据和设备通信流量分别进行异常事件检测，得到物理系统异常度和信息系统异常度。步骤S1包括两个并行的部分：物理系统异常度分析和信息系统异常度分析，两者的计算过程是并行且相互独立的。

结合图3，具体而言，步骤S1中智能电网物理系统异常度分析过程具体包括如下步骤：

步骤S101：通过电力量测设备得到电力系统的量测量z，利用加权最小二乘估计的方法对量测量z进行状态估计，计算出电网系统状态量的估计值假定电力系统中具有m个量测量，n个状态量，令x＝(x₁,x₂,...,x_n)^T表征电力系统的状态量，包括节点的电压幅值和电压相角，z＝(z₁,z₂,...,z_m)^T表征系统的量测量，包括传输线路上的有功功率和无功功率，e＝(e₁,e₂,...,e_m)^T表征系统的量测误差，满足z＝h(x)+e，h是导纳矩阵，由系统的结构和线路阻抗参数决定，表征由x计算z的换算函数，R为量测误差方差阵(对角线元素为各节点量测误差的方差，其余元素为零)；的计算公式为：

步骤S102：由计算系统的量测量估计

步骤S103：计算残差即量测量与量测量估计之差；

步骤S104：计算标准化残差其中D＝diag[E(rr^T)]为协方差矩阵的对角阵，E(rr^T)为残差r的协方差矩阵；

步骤S105：对r_N样本值进行z-score标准化，得到均值为0、标准差为1的计算公式为其中，μ_N为r_N的均值，σ_N为r_N的标准差。表征了物理系统的异常度，表征电力拓扑中线路i的异常度。

结合图4，具体而言，步骤S1中智能电网信息系统异常度分析过程具体包括如下步骤：

步骤S101′：利用入侵检测系统监控智能电网中的通信流量，对流量进行过滤分析产生报警事件，并存入入侵检测数据库；报警事件的特征包括报警时间、源IP地址、目的IP地址以及威胁度(表征事件严重程度的优先级属性，取值从1到5)；

步骤S102′：假设采样检测周期为T，采样时刻为t；从入侵检测数据库中提取出时间段δ＝(t-αT,t]内的报警事件及其相关特征，其中α是可调正整数，α越大，取样分析的时间段越长，一般取3到5之间；记智能电网中所有设备的IP地址数量总和为l，设备IP地址集合表示为IP＝{IP₁,IP₂,…,IP_l}；记在时间段δ内产生了k条报警事件，k_i为目的地址来自设备IP_i的报警事件数量；记a_i,j为来自设备IP_i的第j个报警事件，所有报警事件的集合为

步骤S103′：计算其中q_i,j为报警事件a_i,j的威胁度；对w_i,j进行最大值归一化处理得到报警事件a_i,j的异常度

步骤S104′：将上次采样计算得到的IP_i的异常度W_i'通过加权滑动平均的方式引入到本次采样计算的结果中，加权滑动平均的遗忘因子为λ；考虑到报警事件在后续时间上产生的影响，假定报警事件a_i,j威胁度随着时间增长的衰减因子为β_i,j；计算得到本次采样中IP_i对应设备的异常度W_i：

W＝(W_i,W_i,...,W_i)表征了信息系统的异常度。在实验仿真中，暂不考虑时间因素，因此令λ＝0，β_i,j＝1。

步骤S2：利用智能电网中每条被量测线路上的一个或多个通信设备在信息网络中具有唯一的IP地址的特点，通过<设备IP地址,设备所在线路编号>映射表将物理系统和信息系统的异常度进行关联。表征电力拓扑中线路i的异常度，W_i表征网络拓扑中设备IP_i的异常度；假设线路i处有s台设备，IP地址分别为IP₁,IP₂,...,IP_s，取线路i处的信息异常度为线路i处的物理异常度为矢量<C_i,P_i>表征线路i处的物理-信息异常度，矩阵<C,P>＝[C₁,P₁；C₂,P₂；...；C_n,P_n]表征整个系统通过物理信息系统数据关联后得到的所有线路的物理-信息异常度，作为下一步处理的输入。

步骤S3：基于知识库中的输入语言变量的隶属函数，以及模糊空间的分级数等，将输入的精确量<C,P>进行模糊化处理变成模糊化量，并用相应的模糊集合来表示。

根据样本分析得出受攻击线路和未受攻击线路的物理-信息异常度<C_i,P_i>分布特性，采用网格分割的方式可以确定出输入和输出空间的模糊分割、隶属度函数以及模糊规则。

对线路i，模糊推理系统的输入量为线路i在物理系统和信息系统两方面的异常度：

1)P_i：物理系统异常度，论域为[-2,5]，用small,middle,fair large,large四个模糊变量进行表征，模糊变量的隶属度函数如图5所示，横坐标表示论域，纵坐标表示隶属度，表征精确量隶属于某一模糊语言变量的程度；

2)C_i：信息系统异常度，论域为[0,6]，用small,middle,fair large,large四个模糊变量进行表征，模糊变量的隶属度函数如图6所示。

模糊推理系统的输出量是对系统的整体异常度的评价，用F_i表示，论域设定为[0,1]，用zero,very low,low,middle,large这五个模糊量进行表征，模糊变量的隶属度函数如图7所示。

步骤S4：将模糊化后的物理-信息异常度作为输入，结合知识库中的物理-信息模糊推理规则库，利用模糊逻辑中的蕴含关系及推理规则进行推理，得出用相应模糊集合表示的传输线路综合异常度输出。

知识库根据专家经验手动设定，包括数据库和模糊控制规则库两部分。数据库主要包括输入语言变量的隶属函数，以及模糊空间的分级数等；规则库包括用模糊语言变量表示的一系列推理规则，规则反映了专家的经验和知识物理-信息模糊推理规则库是根据在无攻击发生和有攻击发生情况下智能电网的物理系统和信息系统异常度的关联特性来制定。规则表定义如表1所示，关联特性表现为：在无攻击发生的情况下，智能电网中检测出来的物理系统异常度和信息系统异常度都很低(例如规则：如果C_i是small且P_i是small，则F_i是zero)；在攻击发生的情况下，检测出来的物理系统异常度和信息系统异常度都偏高(例如规则：如果C_i是fair large且P_i是fair large，则F_i是large)；如果检测到物理系统异常度偏高而信息系统异常度很低，则很可能是物理系统检测方法的误报造成的(例如规则：如果C_i是small且P_i是fair large，则F_i是very low)；如果检测到单独信息系统异常度很高而物理系统异常度很低，则很可能是信息系统检测方法的误报造成的(例如规则：如果C_i是fair large且P_i是small，则F_i是low)。

表1 IEEE14节点系统模糊推理规则表

步骤S5：结合知识库将模糊化推理结果反模糊化成精确量，得到用精确数值表示的线路上的物理-信息综合异常度F；推理结果去模糊化的方法为：基于知识库中的输入语言变量的隶属函数，以及模糊空间的分级数等，将用模糊集合表示的综合异常度输出结果反模糊化成精确量，即物理-信息综合异常度F＝[F₁；F₂；...；F_n]。

以下结合表1和图5、6、7、8举例说明线路i上基于物理-信息模糊推理的攻击检测过程：

1)模糊化：假定C_i和P_i的精确量都取值为1，从图6可以看出，C_i隶属于模糊语言small和middle的程度都为0.5，隶属于fair large和large的程度为0，可表示为 同理结合体图5可得到P_i的隶属度函数为

2)物理-信息模糊逻辑推理：隶属度程度为0的在推理结果中也是0，可以不考虑。因此规则表中只有两条规则对计算结果有影响：

(1)如果C_i是small且P_i是middle，则F_i是zero；

(2)如果C_i是middle且P_i是middle，则F_i是low；

采用“max-min”合成的方式进行规则的合成运算，即对n维模糊向量x和y，合成运算“о”的计算方式为其中“∧”代表取最小运算，“∨”代表取最大运算。利用模糊逻辑运算得到输出F_i隶属于各模糊语言变量的程度如图8蓝色阴影区域所示：

3)反模糊化：采用面积重心法，即计算图8蓝色阴影部分μ^F'的加权均值z₀。设横坐标为z，计算公式为：

如图8中竖直虚线所示，计算得到此时的z₀＝0.2111即为反模糊化后得到的系统异常度。

步骤S6：设定攻击检测阈值ε为0.45。若线路i的物理-信息综合异常度F_i≥ε，则判定线路i受到了攻击，若F_i＜ε，则判定线路i没有受到攻击。

下面结合表格讨论实验仿真的结果。其中方法2(单纯基于信息系统的攻击检测方法)的检测效果不受注入率影响，报警误报率很高，平均误报率为0.8889，漏报率接近于0，后续讨论时不具体列出其报警的个数和威胁度，也不再体现在表格中。

对IEEE-14节点系统进行一次注入率为4的攻击，将该节点的有功功率修改为原来的4倍，并采用三种不同的方法进行攻击检测。本发明基于物理-信息模糊推理的智能电网攻击检测方法得到的检测结果如表2所示，其中ID代表线路的编号，r_N,i代表线路i上量测估计值的标准化残差，P_i代表线路i的物理系统异常度，C_i代表线路i的信息系统异常度，F_i代表物理-信息模糊推理后得到的线路i的异常度。

表2对线路5进行注入攻击后的检测过程

从表2中可以看出，在对第5条线路进行注入攻击后，由于线路间的耦合关系，方法1(单纯基于物理系统的攻击检测)会检测到线路1到线路7都受到了攻击(标准化残差值超过给定阈值2.25)；而基于信息网络的攻击检测的报警误报率很高，平均误报率为0.8889；采用本发明提出的基于物理-信息模糊逻辑推理的攻击检测方法利用物理-信息异常度，通过模糊推理，得到推理后的异常度，通过阈值判定，准确判定出只有线路5受到了攻击(超过给定阈值0.45)。

在注入率为2、4和6时，分别对IEEE-14节点标准电力系统反复执行遍历攻击100次，遍历攻击的方式为：将线路的有功功率的量测量修改为原来的k倍，依次遍历。统计出各检测方法的误报率和漏报率如表3所示，其中方法1指单纯基于物理系统的攻击检测方法；方法2指单纯基于信息系统的检测方法，其检测效果不受注入率的影响，平均误报率为0.8889，而漏报率为0，不列在表3中；方法3指本发明中提出的基于物理-信息模糊推理的智能电网攻击检测方法。从表3可以分析得出，随着攻击强度(注入率)增大，方法1的误报率升高、漏报率降低，而方法2的误报率基本变化不大，漏报率降低。

表3 IEEE14节点系统不同注入率下的检测效果

分析表2和表3的结果可知，由于本发明提出的检测方法充分利用了基于物理系统的攻击检测方法和基于信息系统的攻击检测方法的信息量，因此检测效果明显优于这两种检测方法。本发明提出的检测方法基本不受注入攻击强度变化的影响，且能够在保证漏报率足够低的情况下明显降低检测的误报率。

Claims (7)

1.一种基于物理-信息模糊推理的智能电网攻击检测方法，其特征在于，包括如下步骤：

步骤S1：利用部署在智能电网中的电力量测设备和流量监控系统得到智能电网的电力量测数据和设备通信流量；对得到的电力量测数据和设备通信流量分别进行异常事件检测，得到物理系统异常度和信息系统异常度；

步骤S2：基于电力量测设备和智能通信设备在传输线上的分布，将物理系统和信息系统的异常度进行关联融合，得到电力传输线路上的物理-信息异常度<C,P>；所述物理-信息异常度＜C,P＞＝[C₁,P₁；C₂,P₂；...；C_n,P_n]，为一个矩阵，表征整个系统通过物理信息系统数据关联后得到的所有线路的物理-信息异常度，假设线路i处有s台设备，IP地址分别为IP₁,IP₂,...,IP_s，则线路i处的信息异常度为其中W_i为来IP_i对应设备的异常度；线路i处的物理异常度为 表征电力拓扑中线路i的异常度；矢量＜C_i,P_i＞表征线路i处的物理-信息异常度；

步骤S3：利用知识库，将物理-信息异常度<C,P>由精确量转化为模糊化量，并用相应的模糊集合来表示；

步骤S4：结合知识库中的规则库，利用模糊逻辑中的蕴含关系及推理规则进行物理-信息模糊推理得出用相应模糊集合表示的电力传输线路上的异常度模糊化输出；

步骤S5：结合知识库将异常度模糊化输出反模糊化成精确量，得到用精确数值表示的线路上的物理-信息综合异常度；

步骤S6：设定攻击检测阈值；若线路i的物理-信息综合异常度超过给定检测阈值，则判定线路i受到了攻击，否则判定线路i没有受到攻击；

其中，步骤S1包括两个并行的部分：物理系统异常度分析和信息系统异常度分析，所述物理系统异常度分析过程如下：

步骤S101：通过电力量测设备得到电力系统的量测量z，利用加权最小二乘估计的方法对量测量z进行状态估计，计算出电网系统状态量的估计值假定电力系统中具有m个量测量，n个状态量，令x＝(x₁,x₂,...,x_n)^T表征电力系统的状态量，包括节点的电压幅值和电压相角，z＝(z₁,z₂,...,z_m)^T表征系统的量测量，包括传输线路上的有功功率和无功功率，e＝(e₁,e₂,...,e_m)^T表征系统的量测误差，满足z＝h(x)+e，h(x)是导纳矩阵，由系统的结构和线路阻抗参数决定，表征由x计算z的换算函数，R为量测误差方差阵，其中对角线元素为各节点量测误差的方差，其余元素为零；计算公式为：

步骤S102：由计算系统的量测量估计

步骤S103：计算残差即量测量与量测量估计之差；

步骤S104：计算标准化残差其中D＝diag[E(rr^T)]为协方差矩阵的对角阵，E(rr^T)为残差r的协方差矩阵；

步骤S105：对r_N样本值进行z-score标准化，得到均值为0、标准差为1的计算公式为其中，μ_N为r_N的均值，σ_N为r_N的标准差，表征了物理系统的异常度，表征电力拓扑中线路i的异常度；

所述信息系统异常度分析过程如下：

步骤S101′：监控智能电网中的通信流量，对流量进行过滤分析产生报警事件，并存入入侵检测数据库；报警事件的特征包括报警时间、源IP地址、目的IP地址以及威胁度，威胁度表征事件严重程度的优先级属性，取值从1到5；

步骤S102′：假设采样检测周期为T，采样时刻为t；从入侵检测数据库中提取出时间段δ＝(t-αT,t]内的报警事件及其相关特征，其中α是可调正整数，α越大，取样分析的时间段越长，一般取3到5之间；记智能电网中所有设备的IP地址数量总和为l，设备IP地址集合表示为IP＝{IP₁,IP₂,…,IP_l}；记在时间段δ内产生了k条报警事件，k_i为目的地址来自设备IP_i的报警事件数量；记a_i,j为来自设备IP_i的第j个报警事件，所有报警事件的集合为

步骤S103′：计算其中q_i,j为报警事件a_i,j的威胁度；对w_i,j进行最大值归一化处理得到报警事件a_i,j的异常度

$\stackrel{\&OverBar;}{w_{i,j}}=w_{i,j}/max\left\{w_{i,j}\right|1\&le;j\&le;n_i\}$

步骤S104′：将上次采样计算得到的IP_i的异常度W_i'通过加权滑动平均的方式引入到本次采样计算的结果中，加权滑动平均的遗忘因子为λ；考虑到报警事件在后续时间上产生的影响，假定报警事件a_i,j威胁度随着时间增长的衰减因子为β_i,j；计算得到本次采样中IP_i对应设备的异常度W_i：

${\mathrm{\&beta;}}_{i,j}=e^{t-t_{i,j}}/\underset{j=1}{\overset{n_i}{\&Sigma;}}{e}^{t-t_{i,j}},(1\&le;j\&le;n_i)$

$W_i={{\mathrm{\&lambda;W}}_i}^{\&prime;}+(1-\mathrm{\&lambda;})\underset{j=1}{\overset{n_i}{\&Sigma;}}{\mathrm{\&beta;}}_{i,j}\stackrel{\&OverBar;}{w_{i,j}}$

W＝(W_i,W_i,...,W_i)表征了信息系统的异常度。

2.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在于，所述步骤S2中，物理系统和信息系统的异常度进行关联融合的方法为：利用智能电网中每条被量测线路上部署有一个或多个通信设备，而每个设备在信息网络中对应有一个独立且唯一的IP地址的特点，通过<设备IP地址，设备所在线路编号>映射表将物理系统和信息系统的异常度进行关联。

3.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在于，所述知识库根据经验手动设定，包括数据库和模糊控制规则库两部分，数据库主要包括输入语言变量的隶属函数，以及模糊空间的分级数；规则库包括用模糊语言变量表示的一系列推理规则，规则反映了经验和知识。

4.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在于，所述步骤S3中，物理-信息系统异常度模糊化的方法为：基于知识库中的输入语言变量的隶属函数，以及模糊空间的分级数，将精确量输入＜C,P＞进行模糊化处理变成模糊化量输入，并用相应的模糊集合来表示。

5.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在于，所述步骤S4中，物理信息模糊推理的方法为：将模糊化后的物理-信息异常度作为输入，结合知识库中的物理-信息模糊推理规则库，利用模糊逻辑中的蕴含关系及推理规则进行推理，得出用相应模糊集合表示的传输线路综合异常度输出。

6.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在于，所述步骤S5中，推理结果去模糊化的方法为：基于知识库中的输入语言变量的隶属函数，以及模糊空间的分级数，将用模糊集合表示的综合异常度输出结果反模糊化成精确量，即物理-信息综合异常度F＝[F₁；F₂；...；F_n]。

7.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在于，所述步骤S6中，攻击事件判定的方法为：设定检测阈值为ε，取值范围为0.2-0.8之间，若F_i≥ε，则判定线路i受到了攻击，若F_i＜ε，则判定线路i没有受到攻击。