CN104573510A - 一种智能电网恶意数据注入攻击及检测方法 - Google Patents

Abstract

一种智能电网恶意数据注入攻击及检测方法，属于智能电网数据信息安全领域。它是针对在智能电网量测数据若被黑客恶意数据注入攻击时，现有检测技术方法之不足提出的。该方法首先通过攻击电网中少数的同步相角量测(PMU)，将交流模型恶意数据注入攻击，转化为直流模型下的恶意数据注入攻击，构造出种新的智能电网恶意数据注入攻击方式，然后针对这种新的攻击方式，又提出了两种即基于预测量测和估计量测残差的检测算子，来检测与定位判断电力系统量测信息中可能存在的恶意注入数据，并做出相应的更新数据处理，以确保智能电网运行更加稳定安全可靠。本发明对原有电网架构进行较小的技术改造升级便可实现，具有实际的经济价值和可操作性。

Description

一种智能电网恶意数据注入攻击及检测方法

技术领域

本发明属于智能电网数据信息安全领域，尤其涉及一种智能电网恶意数据注入攻击及检测方法。

背景技术

现代智能电网利用状态估计理论从含有误差的遥测数据中(有功和无功注入量测、有功和无功潮流量测、电压量测)获得电力系统当前状态的最佳估计，并剔除系统中出现的不良数据，为电力系统实现在线分析和控制提供实时准确的运行数据。因此，有效地排除遥测数据中的错误数据并防御黑客的恶意数据注入攻击是智能电网安全稳定运行的首要条件。虽然经过多年的发展，电力系统中已经建立了比较完善的不良数据检测与辨识理论体系，能够比较好的应付常见的单个或者多个不良数据，但是在高度依赖通信网络的智能电网环境中，已经建立的不良数据检测与辨识方法并不能有效的应对黑客精心设计的不良数据恶意攻击。一旦黑客能有效的获取电网的拓扑、线路参数和一些量测数据，那么它便可以发起恶意数据攻击而不被控制中心的不良数据检测器所发现，从而对电网造成较大的安全隐患和巨大的经济损失。另一方面，随着越来越多的同步相角量测(Phasor Measurement Unit，PMU)装置的投入使用，控制中心越来越依赖这些先进的量测设备所采集的实时准确信息对全网进行监测与控制。一旦这些量测信息被黑客所攻击，那么电网的安全稳定运行将受到巨大的威胁。

尽管已有一些文献针对智能电网的直流传输模型提出了一些检测算法并取得了一定的效果，但是针对更为实际的电网交流传输模型，还没有提出任何有效的检测算法。此外，通过攻击PMU来实现智能电网环境下的新恶意数据攻击注入方式，将复杂的电网交流传输模型转换为更为简单的直流传输模型，以便可以更好的发动恶意数据注入攻击，并且绕过现有的不良数据检测方法。因此，从实际智能电网安全运行要求来看，找到一种高效的恶意数据注入攻击的检测方法具有十分重要的意义。

发明内容

本发明为克服现有技术的不足，提出了一种智能电网恶意数据注入攻击及检测方法。该方法首先通过攻击电网中少数的同步相角量测(Phasor Measurement Unit，PMU)将交流模型恶意数据注入攻击转化为直流模型下的恶意数据注入攻击，构造出一种新的智能电网恶意数据注入攻击方式，然后针对这种攻击方式，本发明提出了两种即基于预测量测和估计量测残差的检测算子，来检测并定位量测中所出现的恶意注入数据。

本发明一种智能电网恶意数据注入攻击及检测方法，通过以下步骤实现：

S1、获取电网拓扑结构、线路参数：

S11、电网的拓扑结构包括线路之间的连接状态，开关开断情况；线路参数包括线路导纳、对地电纳。

S2、基于PMU的系统可观测性分析，通过最小数目PMU配置的系统可观测性优化分析方法确定系统可观测性所需要的最小PMU量测配置数目。

S21、PMU量测包括PMU配置节点处的电压幅值和与其相邻的支路电流向量；

S22、优化方法采用贪婪随机自适应搜索算法。

S3、恶意数据攻击注入，具体的攻击方法如下：

S31、根据S2所得到的最小PMU量测配置，通过网络攻击取得对这些量测的控制权。

S32、对所控制的PMU量测注入一定的恶意虚假数据，具体注入方式如下：

S33、PMU可观测电力系统状态估计模型为

z＝Hx+e

其中，z为量测向量，H为一个代表量测量与状态量x线性关系的恒定矩阵，e为量测噪声向量，服从均值为0的高斯分布。

S34、构造的恶意攻击向量为

a＝Hc

其中，c为非零列向量。此时由传统的基于残差的不良数据检测方法可得

||z+a-H(x+c)||＝||z-Hx+(a-Hc)||＝||z-Hx||≤τ

其中，||·||为2范数算子，x＝(H^TR^-1H)^-1H^TR^-1z为不含恶意注入数据时的状态估计结果，R^-1是量测权重矩阵，τ为检测门限。由此可以看出，传统的不良数据检测方法不能检测出恶意注入数据。

S4、状态估计：含有不良恶意注入数据时的估计模型为

z+a＝Hx+e

通过采用加权最小二乘法可以得到含有恶意注入数据的状态估计结果为

x_bad＝(H^TR^-1H)^-1H^TR^-1(z+a)＝x+c。

S5、状态和量测预测，具体预测方法如下：

S51、电力系统在准稳态运行情况下，利用动态状态估计的预测模型以及上一时刻的历史数据可以得到下一时刻的状态预测为

x_k+1＝F_kx_k+G_k

其中，F_k为状态转移矩阵，x_k为上一时刻的状态估计值，G_k为非零对角矩阵，k+1和k分别表示采样时刻。

状态预测的误差协方差矩阵为

$M_{k+1}=F_k{\mathrm{\Σ}}_k{F}_k^T+Q_k$

其中，∑_k为上一时刻x_k的估计误差协方差矩阵，Q_k是均值为0的高斯白噪声。

S52、根据S51得到的状态预测值并利用电力系统的网络参数可以计算出此时的预测量测为

${\tilde{z}}_{k+1}=H{x}_{k+1}.$

S6、量测残差计算，根据S51以及S4的状态估计结果，得到k+1时刻量测残差为：

$r=H{x}_{\mathrm{bad}}-{\tilde{z}}_{k+1}=z_a-{\tilde{z}}_{k+1}$

其中，z_a＝Hx_bad＝H(x+c)＝Hx+a是k+1时刻的估计结果，是利用k时刻的数据预测得到的量测；本说明书为了简化公式的复杂度，在后续的公式中略去时间标度k+1。

S7、检测与定位并判断恶意注入数据是否存在：

根据本发明新提出两种高效的检测算子L₁和L₂为

$L_1=\left\{\begin{array}{cc}1,& \mathrm{if}\left|\right|z_a-\tilde{z}\left|\right|>{\mathrm{\τ}}_1\mathrm{or}{\left|\right|(z_a-\tilde{z})/\mathrm{\σ}\left|\right|}_{\∞}>{\mathrm{\τ}}_2\\ 0,& \mathrm{otherwise}\end{array}\right.$

$L_2=\left\{\begin{array}{cc}1,& \mathrm{ifJ}\left(x\right)>{\mathrm{\τ}}_3\mathrm{or}{\left|\right|(z_a-\tilde{z})/\mathrm{\σ}\left|\right|}_{\∞}>{\mathrm{\τ}}_2\\ 0,& \mathrm{otherwise}\end{array}\right.$

其中，τ₁，τ₂和τ₃均为检测门限，且N＝R+HMH^T，||·||和||·||_∞分别为2范数和无穷范数算子，加权最小二乘残差和为

J(x)＝(z-Hx)^TR^-1(z-Hx)

判断恶意数据注入攻击是否存在，如果算子L₁和L₂中的检测门限有任何一个被超过设定(或规定值)，说明存在恶意数据注入攻击，并且由||·||_∞算子，可以确定恶意数据注入的位置。

S8、量测更新与结果输出：

根据步骤S7，所确定的这些恶意数据的位置，被步骤S5中计算的预测量测数据所更新；反之，根据步骤7，若不存在恶意数据注入攻击，输出状态估计结果。

其中，本发明量测更新后，又重新回到步骤S4，进行状态估计，并循环完成后续步骤，直至输出正确结果。

相对于现有技术，本发明的有益效果和优点是：

(1)通过攻击电网中少数的同步相角量测将交流模型恶意数据注入攻击转化为直流模型下的恶意数据注入攻击，构造出一种新的智能电网恶意数据注入攻击方式，让电网的决策者提前意识到此种攻击的存在，方便于未来电网防御策略的制定；

(2)本发明提出了两种，即基于预测量测和估计量测残差的检测算子，来检测并定位量测中出现的恶意注入数据，能够同时处理不良数据和恶意数据注入攻击的情况，并且算子的检测准确度较高；

(3)能够定位具体的恶意注入数据，并且能够很容易的利用预测量测，更新含有恶意数据注入的量测，确保状态估计结果能够再次使系统运行到准确的运行状态；

此外，本发明只需要对原有的电网架构进行很小的改造升级便可实现，具有实际的经济价值和可操作性。

附图说明

图1一种智能电网恶意数据注入攻击及检测方法的流程图。

图2是本发明方法与其它两种常用的检测方法的对比测试结果图。

具体实施方式

为使本发明的内容、效果以及要点更加清楚明白，下面结合附图对本发明进一步详细阐述。一种智能电网恶意数据注入攻击及检测方法，其技术实现方案如流程图1所示，它包括如下步骤：

步骤1：获取电网拓扑结构、线路参数；其中电网的拓扑结构包括线路之间的连接状态，开关开断情况；线路参数包括线路导纳、对地电纳。

步骤2：基于PMU的系统可观测性分析，通过最小数目PMU配置的系统可观测性分析方法确定系统可观测性所需要的最小PMU量测配置；其中，PMU量测包括PMU配置节点处的电压幅值和与其相邻的支路电流向量。

步骤3：恶意数据攻击注入，具体的攻击方法如下：

根据步骤2所得到的最小PMU量测配置，通过网络攻击取得对这些量测的控制权；进一步地对所控制的PMU量测注入一定的恶意数据，具体注入方式如下：

PMU可观测电力系统状态估计模型为

z＝Hx+e

其中，z为量测向量，H为一个代表量测量与状态量x的线性关系的恒定矩阵，e为量测噪声向量；构造的恶意攻击向量为

a＝Hc

其中，c为非零列向量，此时由传统的不良数据检测与辨识方法可得：

||z+a-H(x+c)||＝||z-Hx+(a-Hc)||＝||z-Hx||≤τ

其中，x＝(H^TR^-1H)^-1H^TR^-1z为不含恶意注入数据时的状态估计，R^-1是量测权重矩阵，τ为检测门限，由此可以看出，传统的不良数据检测方法不能检测出恶意注入数据。

步骤4：状态估计

根据步骤3可以得到含有恶意注入数据时的状态估计结果为

x_bad＝x+c。

步骤5：状态和量测预测，具体预测方法如下：

电力系统在准稳态运行情况下，利用历史数据以及动态状态估计的预测模型可以得到状态预测为

x_k+1＝F_kx_k+G_k

其中，F_k为状态转移矩阵，x_k为上一时刻的估计值，G_k为非零对角矩阵，k+1和k分别表示采样时刻；状态预测的误差协方差矩阵为

$M_{k+1}=F_k{\mathrm{\Σ}}_k{F}_k^T+Q_k$

其中，∑_k为上一时刻x_k的估计误差协方差矩阵，Q_k是均值为0的高斯白噪声；

根据得到的状态预测值可以计算出此时的预测量测为

${\tilde{z}}_{k+1}=H{x}_{k+1}.$

步骤6：量测残差计算

根据步骤5以及步骤4的状态估计结果，得到k+1时刻量测残差为

$r=H{x}_{\mathrm{bad}}-{\tilde{z}}_{k+1}=z_a-{\tilde{z}}_{k+1}$

其中，z_a＝Hx_bad＝H(x+c)＝Hx+a是k+1时刻的估计结果，是利用k时刻的数据预测得到的量测；本发明中为了简化公式的复杂度，在后续的公式中略去时间标度k+1。

步骤7：检测与定位并判断恶意注入数据是否存在

根据本发明新提出两种高效的检测算子L₁和L₂为

$L_1=\left\{\begin{array}{cc}1,& \mathrm{if}\left|\right|z_a-\tilde{z}\left|\right|>{\mathrm{\τ}}_1\mathrm{or}{\left|\right|(z_a-\tilde{z})/\mathrm{\σ}\left|\right|}_{\∞}>{\mathrm{\τ}}_2\\ 0,& \mathrm{otherwise}\end{array}\right.$

$L_2=\left\{\begin{array}{cc}1,& \mathrm{ifJ}\left(x\right)>{\mathrm{\τ}}_3\mathrm{or}{\left|\right|(z_a-\tilde{z})/\mathrm{\σ}\left|\right|}_{\∞}>{\mathrm{\τ}}_2\\ 0,& \mathrm{otherwise}\end{array}\right.$

其中，τ₁，τ₂和τ₃均为检测门限，且N＝R+HMH^T，||·||和||·||_∞分别为2范数和无穷范数算子，加权最小二乘残差和为

J(x)＝(z-Hx)^TR^-1(z-Hx)

判断恶意数据注入攻击是否存在，如果算子L₁和L₂中的检测门限有任何一个被超过设定(或规定值)，说明存在恶意数据注入攻击，并且由||·||_∞算子，可以确定恶意数据注入的位置。

步骤8：量测更新与结果输出

根据步骤7，若存在恶意数据注入攻击，所确定的这些恶意数据的位置，将会被步骤5中计算的预测量测数据所更新；反之，若不存在恶意数据注入攻击，则输出状态估计结果。

其中，本发明量测更新后，又重新回到步骤S4，进行状态估计，并循环完成后续步骤S5、S6、S7、S8，直至输出正确结果。

为了验证本发明算子的检测准确度较高、恶意注入数据定位准等优点，在IEEE14节点系统处于稳态情况下进行了测试，并与常用的J(x)检测算子L₃和LNR(largest normalized residue)算子L₄进行对比

$L_3=\left\{\begin{array}{cc}1,& \mathrm{ifJ}\left(x\right)>{\mathrm{\λ}}_1\\ 0,& \mathrm{otherwise}\end{array}\right.$

$L_4=\left\{\begin{array}{cc}1,& \mathrm{if}{\left|\right|(z-\mathrm{Hx})/\mathrm{\σ}\left|\right|}_{\∞}>{\mathrm{\λ}}_2\\ 0,& \mathrm{otherwise}\end{array}\right.$

其中，λ₁和λ₂为检测门限。

现在结合具体实例来进行说明：

当IEEE14系统处于稳定运行(没有负荷突变，发电机切换和短路等发生)时，此系统安装了4个PMU使得系统可观测，其位置为节点2、6、7和9并且PMU量测数据由时域暂态分析软件PSAT产生。此外，为了反映实际的应用情况，对PMU量测数据加入均值为0，方差为0.001的随机高斯白噪声；另外，试验中我们随机对所有PMU量测中的任意两个进行攻击，攻击幅度为原来量测的20％；检测门限τ₂＝3。本次仿真是Matlab环境下并在在配置为2.5GHz，8GB内存，处理器是Core i5的计算机上进行的。

本发明采用ROC(receive operator characteristic curve)来表征检测概率与警报概率之间的权衡关系。测试结果如附图2所示，从图2中我们可以很明显的看到，本发明的两种方法，无论是在小警报概率，还是大警报概率情况下，都比J(x)检测算子L₃和LNR(largest normalizedresidue)算子L₄的检测效果好，并且在很小的警报概率下，本发明的两种算法，都可以很大可能性的检测到恶意数据的注入攻击。

Claims (1)

1.一种智能电网恶意数据注入攻击及检测方法，其特征在于，该方法包括如下步骤：

①获取电网拓扑结构、线路参数：

电网的拓扑结构，包括线路之间的连接状态，开关的通断情况；线路参数，包括线路导纳、对地电纳；

②基于PMU的系统可观测性分析：

根据步骤①，在获取电网拓扑结构、线路参数的基础上，通过最小数目PMU配置的系统可观测性分析方法，确定系统可观测性所需要的最小PMU量测配置；而PMU量测，包括PMU配置节点处的电压幅值和与其相邻的支路电流向量；

③恶意数据攻击注入方式：

具体的攻击方法如下：根据步骤②，所得到的最小PMU量测配置，通过网络攻击取得对这些量测的控制权；进一步的对所控制的PMU量测注入一定的恶意数据，具体注入方式如下：PMU可观测电力系统状态估计模型为

z＝Hx+e

其中，z为量测向量，H为一个代表量测量与状态量x的线性关系的恒定矩阵，e为量测噪声向量；构造的恶意攻击向量为

a＝Hc

其中，c为非零列向量；此时由传统的不良数据检测与辨识方法可得

||z+a-H(x+c)||＝||z-Hx+(a-Hc)||＝||z-Hx||≤τ

其中，x＝(H^TR^-1H)^-1H^TR^-1z为不含恶意注入数据时的状态估计，R^-1是量测权重矩阵，τ为检测门限；

④状态估计：

根据步骤③，可以得到含有恶意注入数据时的状态估计结果为

x_bad＝x+c；

⑤状态和量测预测：

具体预测方法如下：电力系统在准稳态运行情况下，利用历史数据以及动态状态估计的预测模型可以得到状态预测为

x_k+1＝F_kx_k+G_k

其中，F_k为状态转移矩阵，x_k为上一时刻的估计值，G_k为非零对角矩阵，k+1和k分别表示采样时刻；状态预测的误差协方差矩阵为

$M_{k+1}=F_k{\mathrm{\Σ}}_k{F}_k^T+Q_k$

其中，∑_k为上一时刻x_k的估计误差协方差矩阵，Q_k是均值为0的高斯白噪声；根据得到的状态预测值，可以计算出此时的预测量测为

${\tilde{z}}_{k+1}=H{x}_{k+1};$

⑥量测残差计算：

根据步骤⑤、步骤④的状态估计结果，得到k+1时刻量测残差为

$r={\mathrm{Hx}}_{\mathrm{bad}}-{\tilde{z}}_{k+1}=z_a-{\tilde{z}}_{k+1}$

其中，z_a＝Hx_bad＝H(x+c)＝Hx+a是k+1时刻的估计结果，是利用k时刻的数据预测得到的量测；本发明中为了简化公式的复杂度，在后续的公式中略去时间标度k+1；

⑦检测与定位并判断恶意注入数据是否存在：

根据本发明新提出两种高效的检测算子L₁和L₂为

$L_1=\left\{\begin{array}{cc}1,& \mathrm{if}\left|\right|z_a-\tilde{z}\left|\right|>{\mathrm{\τ}}_1\mathrm{of}{\left|\right|(z_a-\tilde{z})/\mathrm{\σ}\left|\right|}_{\∞}>{\mathrm{\τ}}_2\\ 0,& \mathrm{otherwise}\end{array}\right.$

$L_2=\left\{\begin{array}{cc}1,& \mathrm{ifJ}\left(x\right)>{\mathrm{\τ}}_2\mathrm{or}{\left|\right|(z_a-\tilde{z})/\mathrm{\σ}\left|\right|}_{\∞}>{\mathrm{\τ}}_2\\ 0,& \mathrm{otherwise}\end{array}\right.$

其中，τ₁，τ₂和τ₃均为检测门限，且N＝R+HMH^T，||·||和||·||_∞分别为2范数和无穷范数算子，J(x)＝(z-Hx)^TR^-1(z-Hx)判断恶意数据注入攻击是否存在，如果算子L₁和L₂中的检测门限有任何一个被超过设定(或规定值)，说明存在恶意数据注入攻击，并且由||·||_∞算子，可以确定恶意数据注入的位置；

⑧量测更新与结果输出：

根据步骤⑦，若存在恶意数据注入攻击时，由所确定的这些恶意数据注入的位置，将被步骤⑤中所计算的预测量测数据所更新，量测更新后，又重新回到步骤④，进行状态估计并循环完成后续步骤；反之，根据步骤⑦，若不存在恶意数据注入攻击，则直接输出状态估计结果。2 -->