CN106127047B

CN106127047B - 一种基于延森-香农距离的电力系统恶意数据检测方法

Info

Publication number: CN106127047B
Application number: CN201610474036.2A
Authority: CN
Inventors: 黄蔓云; 孙国强; 卫志农; 孙永辉
Original assignee: Hohai University HHU
Current assignee: Hohai University HHU
Priority date: 2016-06-24
Filing date: 2016-06-24
Publication date: 2018-09-21
Anticipated expiration: 2036-06-24
Also published as: CN106127047A

Abstract

本发明公开了一种基于延森‑香农距离的电力系统恶意数据检测方法，该方法首次将延森‑香农距离用于现代电力系统恶意数据检测中，提高了恶意数据检测方法的工程实用性。该方法通过计算实时量测变化量概率分布与历史量测变化量概率分布之间的延森‑香农距离，即历史正常工况下量测变化量的概率分布之间的延森‑香农距离，来判断当前时刻的电力系统是否遭受恶意数据注入攻击，且在量测变化量分布不连续时仍能进行有效检测。该方法可充分利用现有量测数据的分布特性，进一步提高了恶意数据检测的成功率，且不受攻击类型的影响，具有较好的稳定性和实用性。

Description

一种基于延森-香农距离的电力系统恶意数据检测方法

技术领域

发明涉及一种基于延森-香农距离的现代电力系统恶意数据检测方法，属于电力系统监测、分析和控制技术领域。

背景技术

状态估计是电网能量管理系统(energy manage-ment system，EMS)的基础应用之一，状态估计的准确性直接影响电力系统实时监控的高级应用程序。近年来，恶意数据注入攻击(false data injection attack，FDIA)严重威胁电力系统安全、稳定运行。这类新型的网络攻击能够成功躲过状态估计中的坏数据检测环节，使得估计结果严重偏离电网的实际运行情况，进而导致调度人员误判或误操作。

恶意数据注入攻击者通过对以数据采集与监控(supervisory control and dataacquisition，SCADA)和广域测量系统(wide area measurement system，WAMS)为代表的信息系统进行攻击，导致物理电网运行失效甚至瘫痪。因此，在现代电力系统中进行有效地FDIA检测迫在眉睫。有学者提出利用短期状态预测计算得到量测预测值，并将其与实时量测量进行一致性检测，但是该方法忽略了预测误差对检测结果的影响。因此，人们提出基于状态预测和不精确的FDIA模型引起的误差推导出攻击向量的上限值，一旦攻击向量超过该阈值即可被传统的坏数据检测环节辨识出来。该方法虽然在电力系统中具有较好的检测效果，但是增加了状态预测步，计算较为复杂。考虑到正常工况下电力系统不同时刻量测变化量概率分布的一致性，部分学者提出基于Kullback-Leibler距离(Kullback-Leiblerdistance，KLD)的恶意数据检测方法，该方法利用实时量测变化量与历史量测变化量分布之间的KLD来判断当前时刻的电力系统是否遭受恶意数据注入攻击。但是，当量测变化量的分布函数不连续时，所提方法无法进行恶意数据检测。因此，设计高效、稳定且具有工程实用价值的恶意数据检测方法对电力系统安全、经济运行具有重要意义。

发明内容

发明目的：针对现有技术存在的不足，本发明提供一种基于延森-香农距离的现代电力系统恶意数据检测方法。

技术方案：为解决上述技术问题，本发明所采用的技术方案如下：

一种基于延森-香农距离的现代电力系统恶意数据检测方法，其特征在于：在计算机中通过以下步骤实现：

1)获得电力系统的网络参数信息；

2)程序初始化；

3)将电力系统中一年的所有负荷数据均按照归一化后的负荷曲线变化，各发电机的发电功率也相应变化；根据负荷功率和发电功率计算系统的潮流分布，并保存各节点的电压相量；

4)根据潮流计算结果计算系统中的量测量真实值，并在此基础上叠加随机噪声来模拟该系统在正常工况下的实际量测量；同时根据恶意数据攻击者的攻击目标模拟FDIA工况下被攻击的量测量；

5)计算一年中FDIA工况量测变化量的概率分布与正常工况下量测变化量概率分布之间的延森-香农距离，并根据检测成功率确定检测阈值；

6)确定采样时刻k，根据电力系统的实时量测计算当前时刻的量测变化量；

7)根据步骤6中计算得到的量测变化量，计算该量测变化量的概率分布；

8)根据步骤7计算得到的量测变化量概率分布，计算其与历史正常工况下量测变化量概率分布之间的延森-香农距离；

9)针对步骤8得到的估计时刻k的延森-香农距离与步骤5确定检测阈值进行对比，判断电力系统在采样时刻k是否遭受FDIA攻击。

为了进一步提高精度，上述步骤1)中参数信息包括：电网的拓扑信息、各节点对地电容、各支路阻抗和对地电容。

为了更进一步提高精度，步骤2)中程序初始化包括建立电力系统网络模型和确定实时量测类型。

本发明未提及的技术均参照现有技术。

有益效果：本发明与现有技术相比：为了提高恶意数据检测方法的工程实用性，本发明提出基于Jensen-Shannon距离(Jensen-Shannon distance，延森-香农距离)的电力系统恶意数据检测方法。该方法通过计算实时量测变化量概率分布与历史量测变化量概率分布(即历史正常工况下量测变化量的概率分布)之间的延森-香农距离，来判断当前时刻的电力系统是否遭受恶意数据注入攻击，且在量测变化量分布不连续时仍能进行有效检测。该方法可充分利用现有量测数据的分布特性，进一步提高了恶意数据检测的成功率，且不受攻击类型的影响，具有较好的稳定性和实用性。

附图说明

图1为本发明方法流程图；

图2为本发明IEEE14节点系统图；

图3为2012年12月份正常工况下量测变化量柱状图；

图4为2011年1月份正常工况下量测变化量柱状图；

图5为2011年2月份正常工况下量测变化量柱状图；

图6为2011年3月份正常工况下量测变化量柱状图；

图7为2010年12月份FDIA攻击时的量测变化量柱状图；

图8为本发明不同工况下两种检测法的检测结果对比图；

图9为本发明历史正常工况量测变化量分布图；

图10为本发明k采样时刻拓扑不变的正常工况的量测变化分布图；

图11为本发明k采样时刻某条线路断开时的正常工况的量测变化分布图；

图12为本发明k采样时刻FDIA工况的量测变化分布图；。

具体实施方式

为了更好地理解本发明，下面结合实施例进一步阐明本发明的内容，但本发明的内容不仅仅局限于下面的实施例。

1、电力系统状态估计

电力系统状态估计实际上是根据量测量z确定状态变量x的过程，其中量测量z和状态变量x之间满足如下关系：

z＝h(x)+v

式中量测量z∈R^m×1包括节点电压幅值、支路功率、节点注入功率等，状态变量x∈R^n×1为各节点的电压幅值和相角，v∈R^m×1为该量测模型的误差，h(g)为x的非线性函数。

实际电力系统的状态估计程序普遍采用加权最小二乘法(weigthed leastsquare，WLS)。该方法将电力系统近似成一个准稳态模型，其量测方程为：

z＝Hx+e

式中H为量测矩阵即h(x)对x的一阶偏导，e满足e:N(0,R)，其中且为第i个量测量对应的量测噪声方差。因此，状态变量的估计值为：

为了减小量测系统中粗量测误差对状态估计精度的影响，一般采用基于残差的卡方检测法对量测信息进行坏数据检测，剔除误差较大的量测量。其中量测量的残差为：

式中残差r∈R^m×1。在正常情况下，r服从正态分布。

2、电力系统恶意数据攻击

现代电力系统逐步发展成为一个物理电网与信息系统构成的电力-信息融合系统。目前，网络攻击者对信息环节的攻击主要分为以下3种类型：1)Dos攻击，攻击者通过攻击信息系统中的设备来达到阻塞或中断通信的目的；2)随机攻击，攻击者通过注入随机攻击向量来操纵远程终端设备(remote terminal unit，RTU)或同步相量测量装置(phasormeasurement unit，PMU)的读数；3)FDIA，攻击者掌握电力系统知识，熟悉其状态估计和检测需要的模型和参数信息。上述三类攻击模式均能够直接或间接影响电力系统的可观性和可控性，其中FDIA最难被检测出来，是威胁电网安全、经济运行的重要因素。

FDIA将直接造成错误的状态估计结果，进而影响其他电力系统高级应用程序(经济调度、安全稳定控制等)。被攻击的量测量z_bad满足如下关系：

z_bad＝z+a

式中a为添加到原量测量中的恶意数据。针对基于WLS的状态估计程序，当a＝Hc时，z_bad的残差r_bad为：

式中c为系统状态的注入误差，是被攻击后状态估计程序计算得到的系统状态估计值。此时，FDIA能够成功躲过基于残差的坏数据检测。当电力系统采用其他非线性状态估计程序时，为了躲过基于残差的坏数据检测，添加到原量测量z中的恶意数据满足即可。

FDIA的攻击目标主要为系统状态和系统量测。当攻击目标为系统状态时，所有与被攻击状态相关的量测均被影响。假设节点i的电压幅值V_i和电压相角θ_i为攻击目标，与其相关的量测有节点i的注入有功和无功功率以及与节点i相连的支路功率均受影响：

P_ij＝V_i ²(g_si+g_ij)-V_iV_j(g_ij cosθ_ij+b_ij sinθ_ij)

Q_ij＝-V_i ²(b_si+b_ij)-V_iV_j(g_ijsinθ_ij-b_ijcosθ_ij)

式中θ_ij为θ_i-θ_j，G_ij+jB_ij为节点i到节点j的线路支路导纳，g_si+jb_si为节点i的并联支路导纳。因此，必须同时改变与节点i相关的所有量测量，才能躲过坏数据检测环节，成功篡改电压幅值V_i和电压相角θ_i。

当攻击目标为系统量测时，此时攻击者不仅要改变目标量测量，还必须同时改变与该量测量相关的系统状态，从而保证不被坏数据检测环节发现。

3、基于延森-香农距离的恶意数据检测

目前，不少专家和学者提出了针对恶意数据的防御方法，主要为保护法和检测法。保护法是通过重点保护关键量测装置来防止恶意数据的入侵，该方法虽然从根本上抵御了FDIA，但是不够经济且对大系统的工程实践意义较低，无法保证足够的量测冗余度。检测法是通过对已有信息进行数据分析和聚类，判断当前时刻系统是否遭受攻击。该类方法简单易行，但是需要保证一定水平的检测成功率。

本发明提出的基于延森-香农距离的恶意数据检测法，通过相邻采样时刻量测变化量的分布规律来判断当前时刻系统是否遭受恶意数据攻击。当电力系统遭受恶意数据注入攻击时，该时刻的量测变化量概率分布将偏离正常工况下的量测变化量概率分布，进而导致延森-香农距离计算值偏离正常值。设k时刻的量测变化量为Δz_k＝z_k-z_k-1，p_k为Δz_k的概率密度函数，p_ref为正常情况下历史量测变化量的概率密度函数。则k时刻的延森-香农距离为：

式中且定义因此，当且仅当p_k＝p_ref时，J(p_k,p_ref)为0。延森-香农距离满足距离定义中的两个条件：

1)非负性，即J(p_k,p_ref)≥0当且仅当p_k＝p_ref时，J(p_k,p_ref)＝0；

2)对称性，即J(p_k,p_ref)＝J(p_ref,p_k)。

由此可见，延森-香农距离不仅解决了KLD的不对称性问题；而且当KLD对不连续分布的量测变化量无法进行恶意数据检测时，延森-香农距离能够较好地处理分布函数不连续的情况，具有较强的实用性。

因此，本发明基于延森-香农距离的恶意数据检测可以表示为如下二元假设检验问题：

式中J(p_k,p_ref)为电力系统k采样时刻的延森-香农距离，H₀表示电力系统正常工况，H₁表示电力系统遭受FDIA。

为了提高恶意数据检测方法的工程实用性，本发明提出基于Jensen-Shannon距离(Jensen-Shannon distance，延森-香农距离)的电力系统恶意数据检测方法。该方法通过计算实时量测变化量概率分布与历史量测变化量概率分布(即历史正常工况下量测变化量的概率分布)之间的延森-香农距离，来判断当前时刻的电力系统是否遭受恶意数据注入攻击，且在量测变化量分布不连续时仍能进行有效检测。该方法可充分利用现有量测数据的分布特性，进一步提高了恶意数据检测的成功率，且不受攻击类型的影响，具有较好的稳定性和实用性。本发明的具体步骤如下：

1)获得电力系统的网络参数信息；

2)程序初始化；

5)计算一年中FDIA工况量测变化量的概率分布与正常工况下量测变化量概率分布之间的延森-香农距离，并根据检测成功率确定本文方法的检测阈值；

实施例

下面介绍本发明的算例：

本发明测试的算例为标准的IEEE14节点系统，如图2所示。该系统中负荷变化曲线为实际某地区220千伏母线的负荷数据，采样间隔为5min；该系统的量测量为节点电压幅值、节点注入功率以及支路功率，共70个，此时量测冗余度为2.5(实际输电网的量测冗余度在3左右)。

电力系统是一个准稳态系统，因此系统相邻时刻的状态变化缓慢，相应的量测量变化也较小。假设系统在k时刻的实时量测量为z_k，该时刻的量测变化量为Δz_k＝z_k-z_k-1。如图3至图6所示为IEEE14节电系统在2010年12月至2011年3月份量测变化量的柱状图。

由图3至图6可知，当电力系统没有遭受FDIA时，IEEE14节点系统在不同月份的量测变化量Δz_k的分布是十分相似的。此时针对2010年12月份的IEEE14节点系统，在节点7的电压相角θ₇添加10％的攻击增量，即c＝[0,...,0,0.1*θ₇,0,...0]，则量测变化量的分布如图7所示。

由图7可知，当电力系统遭受FDIA时，IEEE14节点系统中量测变化量Δz_k的分布与正常工况下的量测变化量分布明显不一致。因此，本发明采用系统实时量测变化量分布与历史正常工况下量测变化量分布(参考分布)之间的延森-香农距离来判断当前时刻系统是否遭受攻击。

为了更好的比较本发明的检测结果，定义检测成功率指标η和误检率指标κ：

式中n_sum为电力系统遭受FDIA的次数，n₁为被恶意数据检测环节成功检测出FDIA的次数，n₂为被误检(正常工况被检测为FDIA)的次数。

表1 IEEE14节点系统中不同工况下本文方法的检测结果表

如表1所示，设置如下4种FDIA工况并选取不同的检测阈值，进一步展现本发明在不同FDIA工况下的检测成功率。

Case1：攻击目标为节点2的电压相角，c＝[0,-0.1*θ₂,0,...0]，此时被攻击的量测量共18个；

Case2：攻击目标为节点10的电压幅值，c＝[0,...0,0.05*V₁₀,0,...0]，此时被攻击的量测量共11个；

Case3：攻击目标为节点4和节点5的电压相角，c＝[0,...0,0.05*θ₄,0.05*θ₅,0,...0]，此时被攻击的量测量共28个；

Case4：攻击目标为节点6和节点7的电压幅值，c＝[0,...0,-0.1*V₆,-0.1*V₇,0,...0]，此时被攻击的量测量共23个。

由表1可知，当检测阈值确定时，本发明的误检率也随之确定，这是因为正常工况下量测变化量的分布大体一致。且FDIA检测阈值越大，误检率越小，但检测成功率也相应减小，系统潜在的危险水平随之增加。因此，在选取检测阈值时，必须根据系统的具体要求权衡考虑。而且由表1可得当检测阈值为0.2时，不同FDIA工况检测成功率均在95％以上，由此可见在检测阈值τ₀为0.2时，本发明具有较好的检测效果。

为了进一步测试本文方法的有效性，现将本文方法与基于状态预测的恶意数据检测法进行对比。该方法主要依据如下原则：

式中为量测量预测值，为状态量预测值，τ为基于状态预测的恶意数据检测法的阈值。

如图8所示为不同FDIA工况下，本发明(阈值为τ₀＝0.2)与基于状态预测的恶意数据检测法(经反复测试获得较高检测成功率下的阈值τ＝20)在8928次样本试验后的结果对比图。

由图8可知，虽然基于状态预测的恶意数据检测法在case1和case3工况下的检测成功率均超过95％，与本文方法的检测效果不相上下；但是在case2和case4工况下的检测成功率均低于60％。可见，基于状态预测的恶意数据检测法的检测效果不稳定，使得电力系统遭受恶意数据攻击的潜在风险增加。而本文方法检测效果稳定，不受恶意数据攻击类型的影响；且在正常工况下无需进行状态预测，计算相对简单。

为了进一步体现本文方法的适用性，将本文方法与基于KLD的恶意数据检测方法进行对比，如图9至图12所示。图中分别为如下四种场景：历史正常工况；k采样时刻拓扑不变的正常工况；k采样时刻某条线路断开时的正常工况以及k采样时刻FDIA工况。则k采样时刻三种工况下的延森-香农距离分别为0.153(<0.2，判断电力系统正常)，0.157(<0.2，判断电力系统正常)，0.291(>0.2，判断电力系统遭受恶意数据注入攻击)。而k采样时刻的KLD计算结果均为∞，无法进行恶意数据检测。由此可见，本文方法在量测变化量不连续时以及某条线路断开时均能进行正常、有效的恶意数据检测。

本申请针对当前电力系统面临的恶意数据攻击，提出了基于延森-香农距离的电力系统恶意数据检测方法。该方法利用量测变化量的分布规律，计算当前时刻与历史正常工况下量测变化量分布之间的延森-香农距离，从而判断电力系统是否遭受恶意数据的攻击。本发明比基于状态预测的恶意数据检测方法的检测效果稳定，检测成功率较高；且在正常工况下无需进行状态预测，降低计算复杂度。同时，本发明提高了恶意数据检测方法的适用性，具有工程实践意义。

Claims

1.一种基于延森-香农距离的现代电力系统恶意数据检测方法，其特征在于：在计算机中通过以下步骤实现：

1)获得电力系统的网络参数信息；

2)程序初始化；

7)根据步骤6)中计算得到的量测变化量，计算该量测变化量的概率分布；

8)根据步骤7)计算得到的量测变化量概率分布，计算其与历史正常工况下量测变化量概率分布之间的延森-香农距离；

9)针对步骤8)得到的估计时刻k的延森-香农距离与步骤5)确定检测阈值进行对比，判断电力系统在采样时刻k是否遭受FDIA攻击。

2.根据权利要求1所述的基于延森-香农距离的现代电力系统恶意数据检测方法，其特征在于：所述步骤1)中参数信息包括：电网的拓扑信息、各节点对地电容、各支路阻抗和对地电容。

3.根据权利要求1所述的基于延森-香农距离的现代电力系统恶意数据检测方法，其特征在于：所述步骤2)中程序初始化包括建立电力系统网络模型、确定实时量测类型。