CN108123920A - 基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法 - Google Patents

基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法 Download PDF

Info

Publication number
CN108123920A
CN108123920A CN201611077571.0A CN201611077571A CN108123920A CN 108123920 A CN108123920 A CN 108123920A CN 201611077571 A CN201611077571 A CN 201611077571A CN 108123920 A CN108123920 A CN 108123920A
Authority
CN
China
Prior art keywords
user
node
stealing
cycle
suspicion degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611077571.0A
Other languages
English (en)
Other versions
CN108123920B (zh
Inventor
梁炜
夏小芳
郑萌
肖扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenyang Institute of Automation of CAS
Original Assignee
Shenyang Institute of Automation of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenyang Institute of Automation of CAS filed Critical Shenyang Institute of Automation of CAS
Priority to CN201611077571.0A priority Critical patent/CN108123920B/zh
Publication of CN108123920A publication Critical patent/CN108123920A/zh
Application granted granted Critical
Publication of CN108123920B publication Critical patent/CN108123920B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • H02J13/0013
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于窃电嫌疑程度的智能电网邻域网络的恶意用户检测方法。包括用户嫌疑程度评估、二叉检测树建立以及恶意用户检测三个阶段。其中,在用户嫌疑程度评估阶段,分析用户窃电前科,并对用户的用电量的预测值及其上报值进行比较来分析用户的窃电可能性。基于用户的窃电嫌疑程度,建立一棵以用户为叶子节点的二叉检测树,并将其作为逻辑结构辅助查找恶意用户。在恶意用户检测阶段,采用自顶向下和深度优先搜索原则。子检测器只对该二叉检测树上的左孩子进行实际检测。本发明提出的检测器能够跳过二叉检测树上的绝大部分逻辑节点,从而快速、准确地定位智能电网邻居区域中的恶意用户。

Description

基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法
技术领域
本发明涉及智能电网技术,具体地说是一种基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法。
背景技术
智能电网,又称为“电网2.0”,它是在传统电网的基础上集成最新的信息、通信及控制技术,实现双向的电力流和信息流。在智能电网中,电网公司能够实时掌控电网运行状态,及时发现、快速诊断和消除故障隐患;在自然灾害、外力破坏和计算机攻击等不同情况下保证人身、设备和电网的安全。同时,智能电网可以通过优化资源配置,提高设备传输容量和利用率,实现整个电力系统优化运行。通过支持分布式发电方式友好接入以及可再生能源的大规模应用,智能电网能够满足电力与自然环境、社会经济和谐发展的要求。目前,美国、中国、日本等国家都在大力发展并推广智能电网技术。例如,2011年中国国家电网计划在“十二五”期间投入约1.6万亿元用于推动智能电网建设。然而,智能电网在提供安全可靠、经济高效、清洁环保的电力供应的同时,也带来了许多新的威胁。其中,用户篡改电表等窃电行为不仅给电网公司带来了巨大的经济损失,也损害了非窃电用户的利益,严重影响了电网的供电质量。
由于高级计量架构(Advanced Metering Infrastructure,AMI)使得智能电网具备双向通信功能,用户篡改电表的方式相对于传统电网中更多样化。篡改电表不仅可以通过改动短路计量装置,调接零火线等物理方法,还可以通过网络攻击篡改用电数据。其中,网络攻击在任何时间、任何地点都可能发生:(1)智能电表记录用电数据时;(2)智能电表存储用电数据时;(3)用电数据在网络中传输时。这也导致了智能电网中的窃电现象比传统电网更加严重。据统计,全世界每年由于用户窃电所造成的经济损失达250亿美元。其中,美国和印度分别达60亿和45亿美元。
本发明将实施窃电行为的用户称为“恶意用户”。近年来,面向智能电网的恶意用户检测问题受到了越来越多学者的关注。部分学者试图对现有的智能电表进行硬件加强或者结构升级,以期实现恶意用户的自动检测。但是,考虑到近几年已有数百万的智能电表投入安装并使用,这类方法成本太高。此外,该类方法也无法检测实施网络攻击造成的恶意用户。更多学者致力于设计高效的恶意用户检测算法。其中,最常见的一类算法是利用机器学习及数据挖掘方法(如支持向量机、遗传算法、超限学习机等)分析智能电表周期性上传的用电数据并对用户进行分类,用以检测与电表篡改高度相关的异常行为。但是,此类算法要求智能电表周期性地上报细粒度的用电数据,可能侵犯用户隐私。此外,计算复杂度较高和准确度相对较低的缺点也进一步制约了此类算法的应用。
发明内容
针对现有的智能电网恶意用户检测方法布设成本高、计算复杂度较大、检测精度较低及可能会侵犯用户隐私等问题,本发明提出了一种基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法。
本发明为实现上述目的所采用的技术方案是:一种基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法,包括以下步骤:
窃电嫌疑程度评估阶段:根据用户的历史数据估算用户的窃电嫌疑程度;
二叉检测树建立阶段:基于用户嫌疑程度,建立一棵以用户作为叶子节点的二叉检测树;
恶意用户检测阶段:以二叉检测树作为逻辑结构,逐步定位该邻域网络中的恶意用户。
所述历史数据包括:
窃电前科:R(i,t)=(ti1,ti2,...,t),λ为用户i∈U={1,2,…,n}周期t之前的窃电总次数,n为邻域网络中总的用户数目,tij表示用户i在第j次被检测到窃电的周期;如果用户i在周期t之前从未窃电,则R(i,t)=0;
历史用电数据:Q(i,t)=(q(i,t0),q(i,t0+1),…,q(i,t-1)),其中t0表示用户i的智能电表开始工作的周期,q(i,t)表示用户i在周期t的实际用电量。
所述根据用户的历史数据估算用户的窃电嫌疑程度包括以下步骤:
基于窃电前科评估用户嫌疑程度:根据用户的窃电前科R(i,t),评估用户在当前周期窃电的可能性;
基于用电数据评估用户嫌疑程度:根据用户的历史用电数据Q(i,t)得到正常用电数据;通过比较用户上报的用电数据和该预测数据,来分析用户在当前周期的窃电可能性;
基于历史数据评估用户嫌疑程度:综合上述两种评估估算用户的嫌疑程度。
所述基于窃电前科评估用户嫌疑程度包括以下步骤:
若R(i,t)=0,则用户i在周期t的嫌疑程度为:sr(i,t)=ε0,其中ε0为常数且ε0>0;
若R(i,t)=(ti1,ti2,...,t),则用户i在周期t的嫌疑程度为:sr(i,t)=f(i,t)·g(i,t),其中f(i,t)表示当用户i窃电的可能性;g(i,t)表示若用户i窃电,则其在周期t窃电的可能性;
其中c1,c2为常数,且c1<0,c2>0;
其中ln(x)是以自然数为底的对数函数,且ln(t-t)服从均值为ui=c3λ+c4(t-t),方差为的正态分布,c3,c4为常数,且c3<0,c4>0。
所述基于用电数据评估用户嫌疑程度包括以下步骤:
根据用户的历史用电数据Q(i,t)=(q(i,t0),q(i,t0+1),...,q(i,t-1)),利用Holt-Winters指数平滑方法得到用户在周期t的正常用电数据;
基于历史用电数据Q(i,ts),Q(i,ts+1),…,Q(i,t),得到用户i在周期t的窃电可能性为:
其中,ts为对用户正常用电量进行预测的起始周期,q′(i,t)为用户i在周期t的上报数据,q″(i,t)为用户i在周期t正常的用电数据,nt为从周期ts到周期t之间的周期数目。
所述基于历史数据评估用户嫌疑程度:s(i,t,ts)=sr(i,t)+μsc(i,t,ts),其中μ为权重因子,且μ>0。
所述二叉检测树建立阶段包括以下步骤:
(1)用n个叶子节点对集合Z进行初始化:Z={zi,i=1,2,...,n},其中zi表示用户i对应的叶子节点,每个叶子节点zi包含三个属性:嫌疑程度zi.susp、左孩子节点zi.lchild、右孩子节点zi.rchild;其中,zi.susp初始化为用户i的嫌疑程度,zi.lchild和zi.rchild初始化为空节点;
(2)对集合Z中的节点进行合并操作,具体步骤如下:
(2.1)创造新节点z;
(2.2)选取集合Z中嫌疑程度最小的两个节点z′和z″,分别作为新节点z的左、右孩子节点;新节点z的嫌疑程度更新为节点z′和z″的嫌疑程度之和;
(2.3)更新节点集合Z为:(Z-{z′,z″})∪z;
(2.4)若集合Z中存在不止一个节点,则重复步骤(2.1)到(2.3),直到集合Z中只存在一个节点为止;否则保留唯一的节点;
(3)集合Z中所剩下的唯一节点即为所建立二叉检测树的根节点;
(4)从根节点开始,自顶向下对所建立二叉检测树中含有叶子节点的层进行重排列操作,使得叶子节点位于该层最左端且嫌疑程度从左到右依次递减,内部节点位于该层最右端。
所述恶意用户检测阶段包括以下步骤:
(1)若节点z为根节点,则先后更新节点z为z.lchild和z.rchild;
(2)对于二叉检测树上的任意左孩子节点z,测量并计算数据上报周期内以节点z为根的子树下所包含的用户的窃电总量x(i,tzz),其中,tz表示节点z被检测的周期,Ωz表示以节点z为根的子树下所包含的用户,具体步骤如下:
(2.1)测量电网公司在周期tz下分到Ωz中所有用户的总电量r(i,tzz);
(2.2)接收以节点z为根的子树下所有用户在周期tz上报的用电数据q′(j,tz),j∈Ωz
(2.3)计算其中δ(j,t)为用户j在周期t内的技术性损失;
(2)对于二叉检测树上的任意右孩子节点z,计算 tz.parent表示节点z.parent被检测的周期,Ωz.parent表示以节点z.parent为根的子树下所包含的用户;
(3)若x(i,tzz)>0或者x(i,tz.parentz)>0,则子树z下含有恶意用户;若Ωz有且只有一个用户,则该用户为恶意用户,并更新该用户的窃电前科;否则,对子树z进一步检测,具体步骤如下:
(3.1)更新Ωz中用户的嫌疑程度;
(3.2)根据更新后的嫌疑程度,更新子树z的结构;
(3.3)先后更新节点z为z.lchild和z.rchild,重复步骤(1)到(3);
(4)若判断完所有用户是否窃电,则结束。
本发明的有益效果及优点如下:
(1)本发明提出基于窃电前科和历史用电数据来评估用户的窃电嫌疑程度;
(2)本发明提出建立一棵基于上述窃电嫌疑并以用户作为叶子节点的二叉检测树,并以该树作为逻辑结构辅助查找恶意用户;
(3)本发明提出以一种基于二叉检测树的恶意用户检测方法。该方法采用自顶向下和深度优先搜索原则,同时结合窃电量推理等手段,能够显著加快对恶意用户的检测速度。
(4)本发明提出的检测器能够跳过二叉检测树上的绝大部分逻辑节点,从而快速、准确地定位智能电网邻居区域中的恶意用户。
附图说明
图1为智能电网邻居区域结构示意图;
图2为本发明的方法流程图;
图3为基于窃电嫌疑程度的二叉检测树建立过程示意图;
图4为基于窃电嫌疑程度的恶意用户检测方法示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步的详细说明。
本发明方法包括用户嫌疑程度评估、二叉检测树建立以及恶意用户检测三个阶段。其中,在用户嫌疑程度评估阶段,本发明主要从犯罪学的角度分析用户窃电前科,并对用户的用电量的预测值及其上报值进行比较来分析用户的窃电可能性。基于用户的窃电嫌疑程度,建立一棵以用户为叶子节点的二叉检测树,并将其作为逻辑结构辅助查找恶意用户。在该树中,嫌疑程度越大的用户距离根节点越近,并且越靠左排列。在恶意用户检测阶段,采用自顶向下和深度优先搜索原则。子检测器只对该二叉检测树上的左孩子进行实际检测;当某节点为右孩子节点时,通过计算该子树上的用户总窃电量来判断是否需要对其进行进一步检测。
如图1~2所示,一种基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法。在智能电网邻域网络的配电室中,安装检测器盒子来监控该区域中的用户窃电情况。该检测器盒子主要由以下两个部分组成:
首检测器:负责检测该邻域网络中是否存在恶意用户,用o表示;
子检测器:负责对邻域网络中的恶意用户进行准确定位,用集合I={1,2,...,η}表示,其中η为子检测器的个数。
所述检测器盒子主要包括以下特征:根据电路编程为子检测器分配任意的用户组合;能够灵活地增加或减少子检测器;始终保持电路畅通,保证邻域网络中正常的电力供应。
在首检测器检测到该邻域网络中存在恶意用户之后,执行如下步骤:
窃电嫌疑程度评估阶段:根据用户的历史数据估算用户的窃电嫌疑程度;
二叉检测树建立阶段:基于用户嫌疑程度,建立一棵以用户作为叶子节点的二叉检测树;
恶意用户检测阶段:以二叉检测树作为逻辑结构,调用子检测器逐步定位该邻域网络中的恶意用户。
用户的历史数据主要包括以下两个部分:
窃电前科:R(i,t)=(ti1,ti2,...,t),λ为用户i∈U={1,2,...,n}(其中n为邻域网络中总的用户数目)周期t之前的窃电总次数,tij表示用户i在第j次被检测到窃电的周期;特别地,如果用户i在周期t之前从未窃电,则R(i,t)=0;
历史用电数据:Q(i,t)=(q(i,t0),q(i,t0+1),...,q(i,t-1)),其中t0表示用户i的智能电表开始工作的周期,q(i,t)表示用户i在周期t的实际用电量。
所述窃电嫌疑评估阶段包括以下步骤:
基于窃电前科评估用户嫌疑程度:根据用户的窃电前科R(i,t),从犯罪学的角度分析用户在当前周期窃电的可能性;
基于用电数据评估用户嫌疑程度:根据用户的历史用电数据Q(i,t)来预测正常用电数据;通过比较用户上报的用电数据和该预测数据,来分析用户在当前周期的窃电可能性;
基于历史数据评估用户嫌疑程度:综合考虑上述两个方面的因素,来分析用户的嫌疑程度。
所述二叉检测树建立阶段包括以下步骤:
(1)用n个叶子节点对集合Z进行初始化:Z={zi,i=1,2,...,n},其中zi表示用户i,每个叶子节点zi包含三个属性:嫌疑程度zi.susp、左孩子节点zi.lchild、右孩子节点zi.rchild。其中,zi.susp初始化为用户i的嫌疑程度,zi.lchild和zi.rchild初始化为空节点;
(2)对集合Z中的节点进行合并操作,具体步骤如下:
(2.1)创造新节点z;
(2.2)选取集合Z中嫌疑程度最小的两个节点z′和z″,分别作为新节点z的左右孩子节点;新节点z的嫌疑程度更新为节点z′和z″的嫌疑程度之和;
(2.3)更新节点集合Z为:(Z-{z′,z″})∪z;
(2.4)若集合Z中存在不止一个节点,则重复步骤(2.1)到(2.3)。
(3)集合Z中所剩下的唯一节点即为所建立二叉树的根节点;
(4)从根节点开始,自顶向下对所建立二叉树中含有叶子节点的层进行重排列操作,使得叶子节点位于该层最左端且嫌疑程度从左到右依次递减,内部节点位于该层最右端。
所述恶意用户检测阶段包括以下步骤:
(1)若节点z为根节点,则先后更新节点z为z.lchild和z.rchild;
(2)对于二叉检测树上的任意左孩子节点z,子检测器i测量并计算数据上报周期内以节点z为根的子树下所包含的用户的窃电总量x(i,tzz),其中tz表示节点z被检测的周期,Ωz表示以节点z为根的子树下所包含的用户,具体步骤如下:
(2.1)子检测器i测量电网公司在周期tz下分到Ωz中所有用户的总电量r(i,tzz);
(2.2)子检测器i接收以节点z为根的子树下所有用户在周期tz上报的用电数据q′(j,tz),j∈Ωz
(2.3)子检测器i计算其中δ(j,t)为用户j在周期t内的技术性损失。
(2)对于二叉检测树上的任意右孩子节点z,子检测器i计算
(3)若x(i,tzz)>0或者x(i,tz.parentz)>0,则子树z下含有恶意用户。若Ωz有且只有一个用户,则该用户为恶意用户,并更新该用户的窃电前科;否则,若Ωz中含有两个以上用户,则需要对子树z进一步检测,具体步骤如下:
(3.1)更新Ωz中用户的嫌疑程度;
(3.2)根据更新后的嫌疑程度,更新子树z的结构;
(3.3)先后更新节点z为z.lchild和z.rchild,重复步骤(1)到(3)。
(4)若判断完所有电表是否窃电,则程序终止。
所述基于窃电前科评估用户嫌疑程度包括以下步骤:
若R(i,t)=0,则用户i在周期t的嫌疑程度为:sr(i,t)=ε0,其中ε0为一个较小的常数,且0<ε0<1;
若R(i,t)=(ti1,ti2,…,t),则用户i在周期t的嫌疑程度为:sr(i,t)=f(i,t)·g(i,t),其中f(i,t)表示当用户i窃电的可能性;g(i,t)表示若用户i窃电,则其在周期t窃电的可能性。考虑到若窃电次数越多,上一次窃电时间距离现在越短,用户窃电的可能性更高,我们假设f(i,t)服从逻辑模型(Logit model),即其中c1,c2为常数,且c1<0,c2>0。另一方面,考虑到从上一次窃电之后(即从t之后),用户的窃电可能性随着时间先增大后减小,直到其与从未窃电的用户窃电可能性相等,我们假设g(i,t)服从对数正太分布模型(Lognormal model),即其中ln(x)是以自然数为底的对数函数,且ln(t-t)服从均值为ui=c3λ+c4(t-t),方差为的正态分布(其中c3,c4为常数,且c3<0,c4>0)。
所述基于用电数据评估用户嫌疑程度包括以下步骤:
根据用户的历史用电数据Q(i,t)=(q(i,t0),q(i,t0+1),...,q(i,t-1)),利用Holt-Winters指数平滑方法预测用户在周期t的正常用电数据;
若用户的上报用电量与预测的正常用电量相差越大,则该用户窃电可能性越大。所以,基于历史用电数据Q(i,ts),Q(i,ts+1),...,Q(i,t),得到用户i在周期t的窃电可能性为:
其中,ts为对用户正常用电量进行预测的起始周期。在实际应用中,ts通常假定为首检测器检测到读数异常的周期。q′(i,t)为用户i在周期t的上报数据,q″(i,t)为用户i在周期t正常的用电数据,nt为从周期ts到周期t之间的周期数目。
所述基于历史数据的用户嫌疑程度为:s(i,t,ts)=sr(i,t)+μsc(i,t,ts),其中μ为权重因子,且μ>0。
所述二叉检测树建立阶段,合并操作执行的次数为n-1次,且使得嫌疑程度越大的用户距离根节点越近。
重排列操作执行的次数为所建立二叉树中含有叶子节点的层数,它使得嫌疑程度越大的用户在二叉树中的位置越靠左。
所述恶意用户检测阶段,子检测器采用自顶向下和深度优先的搜索原则;且子检测器无需检测二叉检测树上的右孩子节点,而只需要通过计算来推断该右孩子节点子树上是否存在恶意用户;
所述技术性损失主要指在电力传输和分配过程中由于线损、电力转换以及泄露所造成的损失。
本发明提出在智能电网邻域网络的配电室中安装检测器盒子(如图1所示)来监控该区域中的用户窃电情况。本发明提出的一种基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法,其主要思想在于:若首检测器检测到邻域网络中存在恶意用户,首先根据历史数据来评估用户的窃电嫌疑程度,并以此建立一棵以用户节点作为叶子节点的二叉检测树作为逻辑结构,然后调用子检测器再该逻辑结构上进行进一步检测,逐步定位恶意用户。
在评估用户嫌疑程度时,本发明首先基于窃电前科,从犯罪学的角度分析用户的窃电可能性;然后基于历史用电数据,预测用户的正常用电数据并通过比较该值与用户的上报用电数据来分析用户的窃电可能性;最后通过建立合适的数学模型,从上述两个方面综合评估该用户的窃电嫌疑程度。
基于上述窃电嫌疑程度,本发明建立一棵以用户作为叶子节点的二叉检测树。建树过程主要包括两类操作:合并操作和重排列操作。其中,合并操作使得嫌疑程度越大的用户距离根节点越近;重排列操作使得嫌疑程度越大的用户在二叉检测树中越靠左排列。
在利用上述二叉检测树作为逻辑结构辅助查找恶意用户的过程中,子检测器采用自顶向下和深度优先搜索原则,嫌疑程度越大的用户能够先被查找到。当节点为二叉检测树上的左孩子节点时,子检测器才对该节点进行实际检测;否则,通过计算该子树上的用户总窃电量,子检测器判断是否需要对该子树进行进一步检测。上述方法能够使得子检测器跳过二叉检测树上的绝大部分逻辑节点,从而加快恶意用户的搜索速度,减少由于用户窃电造成的损失。
本发明方法包括用户嫌疑程度评估、二叉检测树建立以及恶意用户检测三个阶段,下面结合图3和图4进行说明。
阶段(1)用户嫌疑程度评估:假设首检测器o在周期t*检测到x(o,t*,U)>0,智能电网邻居区域网络中存在恶意用户,根据用户{1,2,...,8}的在周期t*之前的窃电前科及历史用电数据,其窃电嫌疑程度分别可以估计为0.1,0.1,0.2,0.2,0.3,0.3,0.4和0.4。
阶段(2)二叉检测树建立(如图3所示),具体包括以下步骤:
(2.1)用8个叶子节点初始化集合Z={z1,z2,...,z8},其中叶子节点z1,z2,...,z8分别代表用户1,2,...,8。每个叶子节点的左孩子节点lchild和右孩子节点rchild都初始化为空节点;嫌疑程度的初始值如下:z1.susp=0.1,z2.susp=0.1,z3.susp=0.2,z4.susp=0.2,z5.susp=0.3,z6.susp=0.3,z7.susp=0.4,z8.susp=0.4。
(2.2)合并操作:
(2.2.1)创造新节点g:
(2.2.1.1)将z1,z2分别作为节点g的右孩子节点和左孩子节点,并将节点g的嫌疑程度设为节点z1,z2的嫌疑程度之和。即:g.rchild←z1,g.lchild←z2,g.susp←z1.susp+z2.susp=0.2;
(2.2.1.2)更新集合Z:Z={z3,...,z8,g};
(2.2.2)创造新节点f:
(2.2.2.1)将z3,z4分别作为节点f的右孩子节点和左孩子节点,并将节点f的嫌疑程度设为节点z3,z4的嫌疑程度之和。即:g.rchild←z3,g.lchild←z4,g.susp←z3.susp+z4.susp=0.4;
(2.2.2.2)更新集合Z:Z={z5,...,z8,g,f};
(2.2.3)创造新节点e:
(2.2.3.1)将g,z5分别作为节点e的右孩子节点和左孩子节点,并将节点e的嫌疑程度设为节点z5,g的嫌疑程度之和。即:e.rchild←g,e.lchild←z5,e.susp←g.susp+z5.susp=0.5;
(2.2.3.2)更新集合Z:Z={z6,z7,z8,f,e};
(2.2.4)创造新节点d:
(2.2.4.1)将z6,z7分别作为节点d的右孩子节点和左孩子节点,并将节点d的嫌疑程度设为节点z6,z7的嫌疑程度之和。即:d.rchild←z6,d.lchild←z7,d.susp←z6.susp+z7.susp=0.7;
(2.2.4.2)更新集合Z:Z={z8,f,e,d};
(2.2.5)创造新节点c:
(2.2.5.1)将z8,f分别作为节点c的右孩子节点和左孩子节点,并将节点c的嫌疑程度设为节点z8,f的嫌疑程度之和。即:c.rchild←z8,c.lchild←f,c.susp←z8.susp+f.susp=0.8;
(2.2.5.2)更新集合Z:Z={e,d,c};
(2.2.6)创造新节点b:
(2.2.6.1)将e,d分别作为节点b的右孩子节点和左孩子节点,并将节点b的嫌疑程度设为节点e,d的嫌疑程度之和。即:b.rchild←e,b.lchild←d,b.susp←e.susp+d.susp=1.2;
(2.2.6.2)更新集合Z:Z={b,c};
(2.2.7)创造新节点a:
(2.2.7.1)将c,b分别作为节点a的右孩子节点和左孩子节点,并将节点a的嫌疑程度设为节点c,b的嫌疑程度之和。即:b.rchild←c,b.lchild←b,a.susp←c.susp+b.susp=2;
(2.2.7.2)更新集合Z:Z={a};节点a即为所建立二叉树的根节点;
(2.3)重排列操作:
(2.3.1)第一层和第二层不需要进行重排列操作;
(2.3.2)将z8节点从第三层的最右边移到最左边;
(2.3.3)将第四层的叶子节点z7,z6,z5,z4,z3移到最左边,并且按照嫌疑程度从大到小顺序排列;
(2.3.4)此时,第五层也不需要进行重排列操作;
阶段(3)恶意用户检测(如图3所示),具体包括以下步骤:
(3.1)子检测器i在t*+1周期检测节点b,如图4中(a)所示:
(3.1.1)子检测器i测量t*+1周期内电网公司输送给子树b下所有用户的总电量r(i,t*+1,Ωb),其中Ωb={6,7,8};
(3.1.2)子检测器i接收子树b下所有用户在t*+1周期上报的用电值q′(j,t*+1),j∈Ωb
(3.1.3)子检测器i计算子树b下所有用户在t*+1周期的窃电总量
(3.1.4)结论:用户6,7,8中含有恶意用户,需要对子树b进行进一步检测;
(3.2)假设在接收到用户在t*+1周期上报的用电量后,用户6,7,8的嫌疑程度顺序更新为:s(7,t*+1,t*)>s(8,t*+1,t*)>s(6,t*+1,t*);此时更新子树b的结构,如图4中(b)所示;
(3.3)子检测器i在t*+2周期检测节点z7,如图4中(b)所示:
(3.3.1)子检测器i测量t*+2周期内电网公司输送给用户7的总电量r(i,t*+2,7);
(3.3.2)子检测器i接收用户7在周期内上报的用电数据q′(7,t*+2);
(3.3.3)子检测器i计算x(i,t*+2,7)=r(i,t*+2,7)-[q′(7,t*+2)+δ(7,t*+2)]>0;
(3.3.4)结论:用户7为恶意用户;
(3.4)子检测器i计算x(i,t*+1,Ωd)=x(i,t*+1,Ωb)-[q(7,t*+1)-q′(7,t*+1)]>0,并得出结论需要对子树d进行进一步检测;
(3.5)假设在接收到用户在t*+2周期上报的用电量后,用户6,8的嫌疑程度顺序依旧为s(8,t*+1,t*)>s(6,t*+1,t*),则此时不需要更新子树d的结构;
(3.6)子检测器i在t*+3周期检测节点z8,如图4中(b)所示:
(3.6.1)子检测器i测量t*+3周期内电网公司输送给用户8的总电量r(i,t*+3,8);
(3.6.2)子检测器i接收用户8在t*+3周期内上报的用电数据q′(8,t*+3);
(3.6.3)子检测器i计算x(i,t*+3,8)=r(i,t*+3,8)-[q′(8,t*+3)+δ(8,t*+3)]>0;
(3.6.4)结论:用户8为恶意用户;
(3.7)子检测器i计算并得出结论用户6没有窃电;
(3.8)子检测器i计算并得出结论子树c下存在恶意用户;
(3.9)假设在接收到用户在t*+3周期上报的用电量后,用户1,2,3,4,5的嫌疑程度顺序更新为0.14,0.5,0.2,0.23,0.1。此时,更新子树c的结构,如图4中(c)所示;
(3.10)子检测器i在t*+4周期检测节点e,如图4中(c)所示:
(3.10.1)子检测器i测量t*+4周期内电网公司输送给子树e下所有用户的总电量r(i,t*+4,Ωe);
(3.10.2)子检测器i接收子树e下所有用户在t*+4周期内上报的用电数据q′(8,t*+4);
(3.10.3)子检测器i计算
(3.10.4)结论:用户1,3,4,5都没有窃电,用户2为恶意用户。

Claims (8)

1.一种基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法,其特征在于,包括以下步骤:
窃电嫌疑程度评估阶段:根据用户的历史数据估算用户的窃电嫌疑程度;
二叉检测树建立阶段:基于用户嫌疑程度,建立一棵以用户作为叶子节点的二叉检测树;
恶意用户检测阶段:以二叉检测树作为逻辑结构,逐步定位该邻域网络中的恶意用户。
2.根据权利要求1所述的一种基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法,其特征在于,所述历史数据包括:
窃电前科:R(i,t)=(ti1,ti2,...,t),λ为用户i∈U={1,2,…,n}周期t之前的窃电总次数,n为邻域网络中总的用户数目,tij表示用户i在第j次被检测到窃电的周期;如果用户i在周期t之前从未窃电,则R(i,t)=0;
历史用电数据:Q(i,t)=(q(i,t0),q(i,t0+1),…,q(i,t-1)),其中t0表示用户i的智能电表开始工作的周期,q(i,t)表示用户i在周期t的实际用电量。
3.根据权利要求1所述的基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法,其特征在于,所述根据用户的历史数据估算用户的窃电嫌疑程度包括以下步骤:
基于窃电前科评估用户嫌疑程度:根据用户的窃电前科R(i,t),评估用户在当前周期窃电的可能性;
基于用电数据评估用户嫌疑程度:根据用户的历史用电数据Q(i,t)得到正常用电数据;通过比较用户上报的用电数据和该预测数据,来分析用户在当前周期的窃电可能性;
基于历史数据评估用户嫌疑程度:综合上述两种评估估算用户的嫌疑程度。
4.根据权利要求3所述的一种基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法,其特征在于,所述基于窃电前科评估用户嫌疑程度包括以下步骤:
若R(i,t)=0,则用户i在周期t的嫌疑程度为:sr(i,t)=ε0,其中ε0为常数且ε0>0;
若R(i,t)=(ti1,ti2,…,t),则用户i在周期t的嫌疑程度为:sr(i,t)=f(i,t)·g(i,t),其中f(i,t)表示当用户i窃电的可能性;g(i,t)表示若用户i窃电,则其在周期t窃电的可能性;
其中c1,c2为常数,且c1<0,c2>0;
其中ln(x)是以自然数为底的对数函数,且ln(t-t)服从均值为ui=c3λ+c4(t-t),方差为的正态分布,c3,c4为常数,且c3<0,c4>0。
5.根据权利要求3所述的窃电嫌疑评估阶段,其特征在于,所述基于用电数据评估用户嫌疑程度包括以下步骤:
根据用户的历史用电数据Q(i,t)=(q(i,t0),q(i,t0+1),…,q(i,t-1)),利用Holt-Winters指数平滑方法得到用户在周期t的正常用电数据;
基于历史用电数据Q(i,ts),Q(i,ts+1),…,Q(i,t),得到用户i在周期t的窃电可能性为:
<mrow> <msub> <mi>s</mi> <mi>c</mi> </msub> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>t</mi> <mo>,</mo> <msub> <mi>t</mi> <mi>s</mi> </msub> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mn>1</mn> <mrow> <mn>1</mn> <mo>+</mo> <mi>exp</mi> <mrow> <mo>(</mo> <mfrac> <mn>1</mn> <msub> <mi>n</mi> <mi>t</mi> </msub> </mfrac> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>t</mi> <mo>=</mo> <msub> <mi>t</mi> <mi>s</mi> </msub> </mrow> <mi>t</mi> </munderover> <mfrac> <mrow> <msup> <mi>q</mi> <mo>&amp;prime;</mo> </msup> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>-</mo> <msup> <mi>q</mi> <mrow> <mo>&amp;prime;</mo> <mo>&amp;prime;</mo> </mrow> </msup> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>t</mi> <mo>)</mo> </mrow> </mrow> <mrow> <msup> <mi>q</mi> <mrow> <mo>&amp;prime;</mo> <mo>&amp;prime;</mo> </mrow> </msup> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>t</mi> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>,</mo> </mrow>
其中,ts为对用户正常用电量进行预测的起始周期,q′(i,t)为用户i在周期t的上报数据,q″(i,t)为用户i在周期t正常的用电数据,nt为从周期ts到周期t之间的周期数目。
6.根据权利要求3所述的窃电嫌疑评估阶段,其特征在于,所述基于历史数据评估用户嫌疑程度:s(i,t,ts)=sr(i,t)+μsc(i,t,ts),其中μ为权重因子,且μ>0。
7.根据权利要求1所述的基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法,其特征在于,所述二叉检测树建立阶段包括以下步骤:
(1)用n个叶子节点对集合Z进行初始化:Z={zi,i=1,2,...,n},其中zi表示用户i对应的叶子节点,每个叶子节点zi包含三个属性:嫌疑程度zi.susp、左孩子节点zi.lchild、右孩子节点zi.rchild;其中,zi.susp初始化为用户i的嫌疑程度,zi.lchild和zi.rchild初始化为空节点;
(2)对集合Z中的节点进行合并操作,具体步骤如下:
(2.1)创造新节点z;
(2.2)选取集合Z中嫌疑程度最小的两个节点z′和z″,分别作为新节点z的左、右孩子节点;新节点z的嫌疑程度更新为节点z′和z″的嫌疑程度之和;
(2.3)更新节点集合Z为:(Z-{z′,z″})∪z;
(2.4)若集合Z中存在不止一个节点,则重复步骤(2.1)到(2.3),直到集合Z中只存在一个节点为止;否则保留唯一的节点;
(3)集合Z中所剩下的唯一节点即为所建立二叉检测树的根节点;
(4)从根节点开始,自顶向下对所建立二叉检测树中含有叶子节点的层进行重排列操作,使得叶子节点位于该层最左端且嫌疑程度从左到右依次递减,内部节点位于该层最右端。
8.根据权利要求1所述的基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法,其特征在于,所述恶意用户检测阶段包括以下步骤:
(1)若节点z为根节点,则先后更新节点z为z.lchild和z.rchild;
(2)对于二叉检测树上的任意左孩子节点z,测量并计算数据上报周期内以节点z为根的子树下所包含的用户的窃电总量x(i,tzz),其中,tz表示节点z被检测的周期,Ωz表示以节点z为根的子树下所包含的用户,具体步骤如下:
(2.1)测量电网公司在周期tz下分到Ωz中所有用户的总电量r(i,tzz);
(2.2)接收以节点z为根的子树下所有用户在周期tz上报的用电数据q′(j,tz),j∈Ωz
(2.3)计算其中δ(j,t)为用户j在周期t内的技术性损失;
对于二叉检测树上的任意右孩子节点z,计算 tz.parent表示节点z.parent被检测的周期,Ωz.parent表示以节点z.parent为根的子树下所包含的用户;
(3)若x(i,tzz)>0或者x(i,tz.parentz)>0,则子树z下含有恶意用户;若Ωz有且只有一个用户,则该用户为恶意用户,并更新该用户的窃电前科;否则,对子树z进一步检测,具体步骤如下:
(3.1)更新Ωz中用户的嫌疑程度;
(3.2)根据更新后的嫌疑程度,更新子树z的结构;
(3.3)先后更新节点z为z.lchild和z.rchild,重复步骤(1)到(3);
(4)若判断完所有用户是否窃电,则结束。
CN201611077571.0A 2016-11-30 2016-11-30 基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法 Active CN108123920B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611077571.0A CN108123920B (zh) 2016-11-30 2016-11-30 基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611077571.0A CN108123920B (zh) 2016-11-30 2016-11-30 基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法

Publications (2)

Publication Number Publication Date
CN108123920A true CN108123920A (zh) 2018-06-05
CN108123920B CN108123920B (zh) 2020-12-29

Family

ID=62227106

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611077571.0A Active CN108123920B (zh) 2016-11-30 2016-11-30 基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法

Country Status (1)

Country Link
CN (1) CN108123920B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111062590A (zh) * 2019-12-02 2020-04-24 深圳供电局有限公司 用电异常行为检测方法、装置、计算机设备和存储介质
CN112332410A (zh) * 2020-10-23 2021-02-05 国网山东省电力公司兰陵县供电公司 一种区域用电一致性核算系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101968504A (zh) * 2010-09-16 2011-02-09 浙江永昌仪表有限公司 窃电检测比对表、可检测窃电的供电电网及窃电检测方法
CN105205531A (zh) * 2014-06-30 2015-12-30 国家电网公司 一种基于机器学习的反窃电预测方法及装置
CN105573997A (zh) * 2014-10-09 2016-05-11 普华讯光(北京)科技有限公司 一种确定窃电嫌疑用户的方法及装置
CN106355209B (zh) * 2016-09-07 2019-10-25 国网电力科学研究院武汉南瑞有限责任公司 基于决策树算法的窃电诊断系统及方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111062590A (zh) * 2019-12-02 2020-04-24 深圳供电局有限公司 用电异常行为检测方法、装置、计算机设备和存储介质
CN112332410A (zh) * 2020-10-23 2021-02-05 国网山东省电力公司兰陵县供电公司 一种区域用电一致性核算系统
CN112332410B (zh) * 2020-10-23 2021-06-22 国网山东省电力公司兰陵县供电公司 一种区域用电一致性核算系统
CN113824109A (zh) * 2020-10-23 2021-12-21 国网山东省电力公司兰陵县供电公司 区域拓扑网络用电数据一致性核算方法
CN113824109B (zh) * 2020-10-23 2023-08-18 国网山东省电力公司兰陵县供电公司 区域拓扑网络用电数据一致性核算方法

Also Published As

Publication number Publication date
CN108123920B (zh) 2020-12-29

Similar Documents

Publication Publication Date Title
Ye et al. A data-driven bottom-up approach for spatial and temporal electric load forecasting
EP2529186B1 (en) Robust automated determination of the hierarchical structure of utility monitoring systems
Della Giustina et al. Electrical distribution system state estimation: measurement issues and challenges
CN106338706B (zh) 一种电能计量装置整体误差检测的方法、装置和系统
CN106570581A (zh) 能源互联网环境下基于属性关联的负荷预测系统及其方法
CN103020459B (zh) 一种多维度用电行为的感知方法及系统
CN101493491A (zh) 变电站地网缺陷综合诊断方法及其诊断系统
CN107633050A (zh) 一种基于大数据分析用电行为判定窃电概率的方法
Gupta et al. Analysis and prediction of vulnerability in smart power transmission system: A geometrical approach
CN104239963A (zh) 基于灰色gm(1,1)模型查找异常电能表的方法
Samudrala et al. Sensor placement for outage identifiability in power distribution networks
CN113805138A (zh) 一种基于参数有向遍历的智能电表误差估计方法及装置
CN108123920A (zh) 基于窃电嫌疑程度的智能电网邻域网络恶意用户检测方法
Mazzoni et al. Automated household water end-use disaggregation through rule-based methodology
CN105139287A (zh) 一种融合安全域的综合性电能计量装置评估方法
Wiel et al. Identification of topology changes in power grids using phasor measurements
CN104898039A (zh) 基于故障传播概率模型的故障模式优选方法
CN208224474U (zh) 用电计量设备故障监控装置
Bolognani Grid topology identification via distributed statistical hypothesis testing
Abdurohman et al. Forecasting model for lighting electricity load with a limited dataset using xgboost
CN106291436B (zh) 基于二叉检测树的智能电网邻居区域恶意电表检测方法
Cook et al. Density-based clustering algorithm for associating transformers with smart meters via GPS-AMI data
Cardell-Oliver et al. Designing sensor networks for leak detection in water pipeline systems
CN105977968A (zh) 一种环状多源配电网的电能质量监测器优化配置方法
CN106066415A (zh) 用于检测供电网络中的欺诈的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant