CN108683642A - 智能电网线路状态错误数据注入攻击的检测器与检测方法 - Google Patents
智能电网线路状态错误数据注入攻击的检测器与检测方法 Download PDFInfo
- Publication number
- CN108683642A CN108683642A CN201810376934.3A CN201810376934A CN108683642A CN 108683642 A CN108683642 A CN 108683642A CN 201810376934 A CN201810376934 A CN 201810376934A CN 108683642 A CN108683642 A CN 108683642A
- Authority
- CN
- China
- Prior art keywords
- controller
- sub
- sample
- data
- detector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 32
- 238000002347 injection Methods 0.000 title claims abstract description 24
- 239000007924 injection Substances 0.000 title claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 24
- 238000012549 training Methods 0.000 claims abstract description 14
- 230000008569 process Effects 0.000 claims abstract description 12
- 230000005856 abnormality Effects 0.000 claims abstract description 5
- 238000012546 transfer Methods 0.000 claims abstract description 3
- 230000005540 biological transmission Effects 0.000 claims description 24
- 238000012360 testing method Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000012706 support-vector machine Methods 0.000 claims description 3
- 230000002547 anomalous effect Effects 0.000 claims description 2
- 230000008859 change Effects 0.000 claims description 2
- 238000012423 maintenance Methods 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 4
- 230000008901 benefit Effects 0.000 abstract description 2
- 230000008447 perception Effects 0.000 description 14
- 230000000875 corresponding effect Effects 0.000 description 13
- 230000005611 electricity Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000001276 controlling effect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000030214 innervation Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及智能电网线路状态错误数据注入攻击的检测器与检测方法,属于智能电网安全检测应用领域。本发明由检测器数据收集器、线路标识器、数据聚合器和分类器四部分构成,不同于传统的检测器,本发明提出的检测器可以安装在智能电网的每个子控制器上。本发明充分利用了子控制器的计算资源、存储资源和通信资源设计了分布式检测器框架。每个子控制器均有一个独立的检测器判断是否出现错误数据注入。考虑子控制器计算能力受限的特点,本发明将分类器的训练过程移交给中央控制器,每个子控制器仅仅需要对数据进行分类。同时,本发明根据线路的固有属性,即电阻保持不变的特点,选取了与其相关的六维数组生成样本点作为异常检测的输入。
Description
技术领域
本发明涉及针对智能电网线路状态的错误数据注入这类攻击的检测器与检测方法,属于智能电网安全检测应用领域。
背景技术
智能电网是电网与信息系统紧密结合的大规模复杂系统,包括控制系统、检测系统和物理系统,如图1所示。物理系统产生、传输、分配和使用电力。检测系统验证感知的物理系统数据是否完整,验证后的数据被传输到控制系统,控制系统依据感知数据发出新的控制信号,物理系统根据控制信号进一步执行。物理系统由许多电网物理组件构成,如输电线路和用电终端。检测系统由传感器、PMU(Phasor Measurement Unit,相量测量装置)、信息传输系统和状态评估器组成。控制系统由中央控制器、分布式子控制器和执行器构成。
尽管传统的电网与信息系统结合有效地提高了能源分发效率与异常处理能力。然而,新的脆弱性被暴露,例如攻击者能够利用无线网络的脆弱性来入侵控制系统,从而引起系统错误控制。一个特别值得关注的问题是错误数据注入攻击。
错误数据注入(False Data Injection,FDI)攻击是工业控制系统领域面临的新的安全问题。攻击者通过直接攻击传感器或者入侵通信系统,修改被反馈的感知数据,导致系统状态的错误评估。在智能电网中,输电传输线路状态信息是FDI攻击的目标之一。输电传输线路状态信息是指输电传输线路传感器测量的感知数据,包括线路电流、线路两个终端负载和电压及当前线路是否连接。通过修改线路状态信息,攻击者实现掩盖当前线路真实状态的目的,具体包括:(1)掩盖某些线路断连的状态;(2)将未断连的线路伪装成为断连线路。为了达到上述目的,攻击者需要修改输电传输线路上测量电流和线路两端负载的传感器数值。
面对工业控制系统的错误数据注入攻击,研究人员已经提出的检测方法,可以分为四类:(1)基于冗余的检测器,利用系统状态评估矩阵、传感器数据和系统状态之间的关系进行检测,使用被评估的传感器数据与实际感知数据之间的2范数大小判别系统是否遭遇攻击,当该值大于一个设定阈值时,检测器发出异常警告;(2)基于数据学习的检测器,主要通过挖掘多维感知数据中存在的时间维度和空间维度的关系来判断数据是否遭到修改,所述关系包括连续感知数据之间的关联、离散命令之间的关联及异构的命令和感知数据之间的关联;(3)基于语义分析的检测器,对系统的状态和命令进行解释,验证系统的每一步操作进而检测错误数据注入攻击;(4)基于机器学习分类器的检测器,利用二分类方法训练一个分类器,当新的数据作为输入时,二分类器将数据分为异常和正常。
尽管以上的方法能够有效检测注入的错误数据,仍然存在如下问题:(1)大多数现有的检测方法并未针对智能电网输电传输线路传感器的错误数据注入攻击,如果直接应用于线路状态信息的恶意修改检测,检测准确率低;(2)现有的放在中央控制器的检测机制不能满足子控制器快速操作子系统的需求,当子控制器依据感知数据做决定时,需要等待中央检测器的检测结果,引起了延迟。延迟将导致系统控制延后执行,可能造成物理系统故障,甚至级联失效。
基于以上的问题,我们拟设计一个分布式检测框架,使子控制器自身具有检测功能,不需要依赖于中央控制器的检测结果。
发明内容
本发明所要解决的技术问题是针对智能电网线路传感器的错误数据注入攻击,设计一种多层次的轻量级的检测器,该检测器能够在子控制器(Sub-controller)上运行,不需要增加额外的资源。同时,该检测器能够保障检测性能。
本发明采用的技术方案是:一种智能电网线路状态错误数据注入攻击检测器(S-Classifier),其由检测器数据收集器(S-DC)、线路标识器(Link Indicator)、数据聚合器(Aggregator)和分类器(Classifier)四部分构成,如图2所示。不同于传统的检测器,本发明提出的检测器可以安装在智能电网的每个子控制器上。
检测器数据收集器负责与相连的上下级子控制器的检测器数据收集器和底层数据收集器(DC)进行数据传输。底层数据收集器直接接收测量系统状态的传感器(Sensors)数据。当下级检测器的检测器数据收集器或者底层数据收集器要通过该检测器数据收集器传输数据到上级检测器数据收集器时,该检测器数据收集器将负责对数据进行拷贝,并将数据传输给数据聚合器。除此以外,检测器数据收集器负责将其所在检测器的异常检测结果传输给上级子控制器的检测器数据收集器,最后再传输给中央控制器。
线路标识器负责标记当前子控制器能够控制的线路状态是连接或断开。每一个线路标识器是由一个0和1构成的数据向量。一个子控制器能够管理的线路数量是这个向量的维度。当向量的第i个维度数据为1,则表示第i条线路当前处于连接状态。当第i个维度的数据为0,则表示当前线路是断连的,i=1,2,…,Q,Q为总的维度数。由于子控制器能够自动感知线路状态,所以该状态由子控制器自动设置。同时,线路标识器为数据聚合器提供查询接口。
数据聚合器负责将每个检测器数据收集器传输的数据依据线路标识器的标识处理为样本,所述样本为一个被分类器分析的高维度数据向量,并将数据传递给分类器。一个六维数组x描述了一条线路在单位时间的状态,该六维数组包括线路两端的电压角,线路两端点的负载量,线路的电流量和线路当前连接状态,记为:
x={θ1,θ2,l1,l2,f,1/0}T
其中θ1表示线路一端的电压角,θ2表示线路另一端的电压角,l1表示线路一端的负载量,l2表示线路另一端的负载量,f表示线路的电流量。1/0用来表示线路当前的连接状态,如果子控制器感知当前线路状态为连接,则该维度数据为1,如果当前线路被断连,则该维度数据选取为0。
分类器负责对样本进行二分类:异常或者正确。当样本被分为异常类,警告将被产生,子控制器将根据警告定位异常线路,并通过检测器数据收集器传输给上级相连的检测器数据收集器。
本发明还提供一种基于上述检测器的智能电网线路状态错误数据攻击的检测方法,该方法主要利用了基于支持向量机(Support Vector Machine,SVM)二分类方法实现。SVM二分类方法主要包括两部分:训练超平面和输入样本分类。不同于传统方法,本发明采用将训练超平面和输入样本分类分离的方案,超平面的训练被放置在中央控制器,输入样本分类被每个子控制器的分类器完成。每个单位时间内,检测器将检测线路拓扑是否发生变化。如果线路拓扑发生变化,控制对应线路的子控制器将要求中央控制器训练数据,获取分类器的新参数。然后,待检测样本被输入分类器进行分类,如果存在样本被标记为异常类样本的情况,则警告被流出并通知给子控制器。接收到该警告的子控制器标记对应线路状态信息被修改,错误数据注入攻击被检测。同时,该条线路状态信息异常也将被传输到与该子控制器相连的上层子控制器,直至中央控制器。下面分训练超平面和输入样本分类两个步骤具体介绍本发明的实施过程:
S1为子控制器训练超平面
每个子控制器的超平面训练均由中央控制器完成,其具体过程如下:
S1.1获取线路状态信息
基于当前子控制器的线路标识器的向量,从历史电网数据中,收集和当前子控制器线路标识器的向量相同情况下的线路状态信息。
S1.2生成训练正样本集合
正样本是指正常的线路状态信息样本。每一子控制器都控制着一部分线路,该子控制器也仅仅处理这些线路的样本。中央控制器将属于同一个子控制器控制的线路的样本合并,为第j个子控制器生成样本集合Cj,j=1,2,…,N,其中N为子控制器个数。
S1.3为正样本增加标签
对于任意样本x∈Cj,增加标签y=1;
S1.4生成错误样本
一个错误样本是指一个正常样本的部分或全部数据项被修改。对于任意样本x∈Cj,随机修改数据项,修改后的样本集构成集合Mj。同时,为每一个样本增加标签y=-1。
S1.5为子控制器的分类器生成超平面
中央控制器以每个样本集合Cj、Mj和两个集合对应的标签作为输入,为第j个子控制器计算SVM超平面:
Ajx+bj=0
超平面参数Aj和bj通过公式(1)计算:
受限于:
y(Ajx+bj)≥1
S1.6设置子控制器分类器的超平面参数
将超平面参数Aj和bj发送给第j个子控制器的分类器。
上述过程描述了中央控制器为每个子控制器的检测器训练生成分类器超平面的过程。当一个子控制器的线路标识器向量发生变化,其将向中央控制器提出重新生成超平面的请求,中央控制器将重新执行上述六步为对应子控制器设置新的超平面参数。
S2分类器对输入样本进行分类
在单位时间内,每个子控制器的聚合器将该子控制器管理的线路信息合并为有效样本输入到对应子控制器的分类器,分类器将按照如下过程将数据标记为异常或者正常:
S2.1构造样本集合
分类器在每个单位时间对聚合器输入的多个样本构造一个样本集合,确保有且只有一个样本描述该子控制器控制的一条线路的状态。
S2.2分类样本集合的样本
当输入的样本x满足
Ajx+bj≥0,
则样本x为正常类样本。否则,样本x将被标记为异常类样本。
S2.3当样本集合中存在一个异常样本,将发送警告信息给子控制器,告知异常样本对应的线路名称。
S2.4依据警告内对应的线路名称,将对应线路标记为被攻击的线路,并将该线路被攻击情况发送给与该子控制器相连的上级子控制器。
在执行完以上四步后,每个子控制器能够判断出是否当前控制的线路状态信息被修改,实现判断是否有错误数据注入的检测目的。
本发明充分利用了子控制器的计算资源、存储资源和通信资源设计了分布式检测器框架。每个子控制器均有一个独立的检测器判断是否出现错误数据注入。考虑子控制器计算能力受限的特点,本发明将分类器的训练过程移交给中央控制器,每个子控制器仅仅需要对数据进行分类。同时,本发明根据线路的固有属性,即电阻保持不变的特点,选取了与其相关的六维数组生成样本点作为异常检测的输入。采用本发明可以取得以下效果:
1)减少了边沿检测器决策的延迟:实际上,由于智能电网分布较广,许多边沿检测器通过无线网络和多次转发才能与中央控制器进行数据传输,这一过程需要很长的时间延迟。因为本发明中每个子控制器都具有对其维护的线路信息完整性的检测能力,子控制器能够直接判断出数据是否遭遇修改,不需要等待中央检测器的检测结果而依据自身的检测结果执行操作,能够在很大程度上减少子控制器的决策延迟
2)更好的错误数据注入检测效果:本发明的样本生成方法是将一条线路的信息作为一个样本点,同时一个检测器仅仅使用空间上较近线路上的信息构造对应的分类器,充分考虑了空间距离近的线路的状态相似性,因此有效地提高了恶意数据的检测能力;
3)错误数据注入的线路能被定位:因为本发明的样本是以线路作为单位的,一个样本即描述了一条线路的情况。当数据出现异常,就能确认该条线路信息有误。因此本发明提出的检测方法能够准确定位出哪条线路存在问题。
附图说明
图1是智能电网系统模型;
图2是本发明的检测器的分布式框架组成图;
图3是本发明检测器三层子控制器实例图;
图4是本发明的总流程图;
图5是为子控制器训练超平面流程图;
图6是分类器对输入样本进行分类流程图;
图7是采用本发明的检测效果。
具体实施方式
下面结合附图对本发明的实施方式作进一步说明。
图3是本发明基于子控制器的检测器实例,共包含三层子控制器。子控制器Sub-controller 1、Sub-controller 21、Sub-controller 22、Sub-controller 31、Sub-controller 32、Sub-controller 33和Sub-controller 34依次被编号为子控制器1、2、3、4、5、6和7。每一个子控制器上安装一个检测器。检测器由四个组件构成:检测器数据收集器、线路标识器、聚合器和分类器。
第三层的子控制器Sub-controller 31、Sub-controller 32、Sub-controller 33和Sub-controller 34直接接收来自底层数据收集器收集的数据。以Sub-controller 31(编号j=4)为例,单位时间的感知数据被传送到Sub-controller 31的检测器数据收集器,检测器数据收集器将依据线路标识器对线路的标识,将该子控制器管理的传输线路数据包括线路的电流,线路端负载和电压以及当前线路连接状态传输到子控制器的聚合器内,聚合器将为每一条线路生成对应的样本并发送至分类器。分类器对单位时间内的样本进行分类,如果发现存在属于异常类的样本,则相关样本对应的传输线路被标记为异常并发送给子控制器Sub-controller 31。对于该子控制器而言,错误数据注入能被直接发现。该子控制器也通过检测器数据收集器将异常信息传递给上层子控制器Sub-controller 21的检测器数据收集器,直至该信息被传输至中央控制器。
在数据从传感器传输到中央控制器过程中,每一个子控制器仅仅复制自己需要的数据,所有感知数据将经过每一层的检测器数据收集器传输至中央控制器。因此,并未增加额外的通信资源。因为增加的四个组件不需要大量计算资源,可以直接在子控制器内实现。
基于本发明检测器的智能电网线路状态错误数据注入攻击的检测方法被应用于每个子控制器的分类器。该方法负责将输入样本分为正常样本和异常样本,包括训练超平面和样本分类两个步骤。以子控制器Sub-controller 31(编号j=4)为例,在检测器构造之初或者子控制器Sub-controller 31维护的传输线路拓扑发生变化时,子控制器Sub-controller 31超平面训练被激活,中央控制器为对应子控制器训练超平面后,将相关参数A4和b4发送至子控制器检测器的分类器。分类器依据接收到的参数,对输入样本进行分类,实现错误数据注入检测。
S1为7个子控制器训练超平面
7个子控制器的超平面训练由中央控制器完成。以图3子控制器Sub-controller31为例,当该子控制器被构建或者发现线路标识器的向量发生改变,则向中央控制器提出请求,中央控制器为该子控制器训练超平面。其具体实施过程如图5所示:
S1.1从历史正常的传输线路感知数据中,获取与子控制器Sub-controller 31的线路标识器向量相同时的感知数据;
S1.2将记录子控制器Sub-controller 31控制的线路感知信息提取,并将数据构造成为样本,生成样本集合C4;
S1.3为样本集合C4中的每一个样本增加标签1;
S1.4随机修改正常样本中电流值和负载量,修改差值大于正常数据的2%,得到错误样本集合M4,并为每个样本增加标签-1。
S1.5将正常样本集合C4和错误样本集合M4及对应标签作为输入,通过求解公式(1)得到超平面参数。
S1.6参数将被中央控制器通过相连的子控制器数据收集器传递到对应子控制器检测器,其传输依次经过子控制器Sub-controller 1、子控制器Sub-controller 21和子控制器Sub-controller 31。当参数到达子控制器Sub-controller 31,其分类器的超平面参数得到更新。
S2分类器对输入样本进行分类
样本分类由每个子控制器的分类器完成,其依赖于S1训练生成的超平面参数。以图3子控制器Sub-controller 31内的分类器为例,其样本分类的具体实施如图6所示:
S2.1构造样本集合
每个单位时间子控制器内的聚合器将传输多个样本至分类器。分类器构造一个集合,确保有且只有一个样本描述该子控制器控制的一条线路状态。
S2.2分类样本集合的样本
对构造的样本集合内的样本,分类器依据超平面参数A4和b4去验证每个样本数据x,如果x满足
A4x+b4<0
则被标记为异常类,否则是正常类。
S2.3当样本集合中存在一个异常样本x,警告信息:线路L(x为线路L的状态描述)异常,会被通知子控制器Sub-controller 31。
S2.4警告信息经由该子控制器的数据收集器,依次传输给子控制器Sub-controller 21、Sub-controller 1和中央控制器。
到此,每个控制相关线路的子控制器能够判断出是否相关线路信息被修改。不同的子控制器分析不同的线路,不需要等待中央控制器结果,实现了分布式检测。
图7显示了本发明应用于IEEE-39bus系统的检测结果,共有六个子控制器:cc、sub-1、sub-2、sub-3、sub-4和sub-5。使用了三个评估参数包括准确率(Accuracy)、假阳率(FP)和假阴率(FN)去度量。准确率是指被正确分类的样本与所有检测样本的比例。假阳率指被错误分类的正确样本与所有检测样本的比例。假阴率指被错误分类的错误样本与所有检测样本的比例。从检测结果可以看出本发明能够很好的检测传输线路错误数据注入攻击。
Claims (3)
1.一种智能电网线路状态错误数据注入攻击检测器,其特征在于:所述检测器由检测器数据收集器、线路标识器、数据聚合器和分类器四部分构成;
检测器数据收集器负责与相连的上下级子控制器的检测器数据收集器和底层数据收集器进行数据传输;底层数据收集器直接接收测量系统状态的传感器数据;当下级检测器的检测器数据收集器或者底层数据收集器要通过该检测器数据收集器传输数据到上级检测器数据收集器时,该检测器数据收集器将负责对数据进行拷贝,并将数据传输给数据聚合器;除此以外,检测器数据收集器负责将其所在检测器的异常检测结果传输给上级子控制器的检测器数据收集器,最后再传输给中央控制器;
线路标识器负责标记当前子控制器能够控制的线路状态是连接或断开;每一个线路标识器是由一个0和1构成的数据向量,一个子控制器能够管理的线路数量是这个向量的维度;当向量的第i个维度数据为1,则表示第i条线路当前处于连接状态;当第i个维度的数据为0,则表示当前线路是断连的,i=1,2,…,Q,Q为总的维度数;由于子控制器能够自动感知线路状态,所以该状态由子控制器自动设置;同时,线路标识器为数据聚合器提供查询接口;
数据聚合器负责将每个检测器数据收集器传输的数据依据线路标识器的标识处理为样本,所述样本为一个被分类器分析的高维度数据向量,并将数据传递给分类器;一个六维数组x描述了一条线路在单位时间的状态,该六维数组包括线路两端的电压角,线路两端点的负载量,线路的电流量和线路当前连接状态,记为:
x={θ1,θ2,l1,l2,f,1/0}T
其中θ1表示线路一端的电压角,θ2表示线路另一端的电压角,l1表示线路一端的负载量,l2表示线路另一端的负载量,f表示线路的电流量;1/0用来表示线路当前的连接状态,如果子控制器感知当前线路状态为连接,则该维度数据为1,如果当前线路被断连,则该维度数据选取为0;
分类器负责对样本进行二分类:异常或者正确;当样本被分为异常类,警告将被产生,子控制器将根据警告定位异常线路,并通过检测器数据收集器传输给上级相连的检测器数据收集器。
2.根据权利要求1所述智能电网线路状态错误数据注入攻击检测器,其特征在于:所述检测器可以安装在智能电网的每个子控制器上。
3.一种基于权利要求1或2所述检测器的智能电网线路状态错误数据注入攻击的检测方法,其特征在于:该方法主要利用了基于支持向量机二分类方法实现,实施步骤如下:
S1 为子控制器训练超平面
每个子控制器的超平面训练均由中央控制器完成,其具体过程如下:
S1.1 获取线路状态信息
基于当前子控制器的线路标识器的向量,从历史电网数据中,收集和当前子控制器线路标识器的向量相同情况下的线路状态信息;
S1.2 生成训练正样本集合
正样本是指正常的线路状态信息样本;每一子控制器都控制着一部分线路,该子控制器也仅仅处理这些线路的样本;中央控制器将属于同一个子控制器控制的线路的样本合并,为第j个子控制器生成样本集合Cj,j=1,2,…,N,其中N为子控制器个数;
S1.3 为正样本增加标签
对于任意样本x∈Cj,增加标签y=1;
S1.4 生成错误样本
一个错误样本是指一个正常样本的部分或全部数据项被修改;对于任意样本x∈Cj,随机修改数据项,修改后的样本集构成集合Mj;同时,为每一个样本增加标签y=-1;
S1.5 为子控制器的分类器生成超平面
中央控制器以每个样本集合Cj、Mj和两个集合对应的标签作为输入,为第j个子控制器计算SVM超平面:
Ajx+bj=0
超平面参数Aj和bj通过公式(1)计算:
受限于:
y(Ajx+bj)≥1
S1.6 设置子控制器分类器的超平面参数
将超平面参数Aj和bj发送给第j个子控制器的分类器;
上述过程描述了中央控制器为每个子控制器的检测器训练生成分类器超平面的过程;当一个子控制器的线路标识器向量发生变化,其将向中央控制器提出重新生成超平面的请求,中央控制器将重新执行上述六步为对应子控制器设置新的超平面参数;
S2 分类器对输入样本进行分类
在单位时间内,每个子控制器的聚合器将该子控制器管理的线路信息合并为有效样本输入到对应子控制器的分类器,分类器将按照如下过程将数据标记为异常或者正常:
S2.1 构造样本集合
分类器在每个单位时间对聚合器输入的多个样本构造一个样本集合,确保有且只有一个样本描述该子控制器控制的一条线路的状态;
S2.2 分类样本集合的样本
当输入的样本x满足
Ajx+bj≥0,
则样本x为正常类样本;否则,样本x将被标记为异常类样本;
S2.3 当样本集合中存在一个异常样本,将发送警告信息给子控制器,告知异常样本对应的线路名称;
S2.4 依据警告内对应的线路名称,将对应线路标记为被攻击的线路,并将该线路被攻击情况发送给与该子控制器相连的上级子控制器;
在执行完以上四步后,每个子控制器能够判断出是否当前控制的线路状态信息被修改,实现判断是否有错误数据注入的检测目的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810376934.3A CN108683642B (zh) | 2018-04-25 | 2018-04-25 | 智能电网线路状态错误数据注入攻击的检测器与检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810376934.3A CN108683642B (zh) | 2018-04-25 | 2018-04-25 | 智能电网线路状态错误数据注入攻击的检测器与检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108683642A true CN108683642A (zh) | 2018-10-19 |
| CN108683642B CN108683642B (zh) | 2019-03-15 |
Family
ID=63801643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810376934.3A Active CN108683642B (zh) | 2018-04-25 | 2018-04-25 | 智能电网线路状态错误数据注入攻击的检测器与检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108683642B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110035090A (zh) * | 2019-05-10 | 2019-07-19 | 燕山大学 | 一种智能电网虚假数据注入攻击检测方法 |
| CN110059726A (zh) * | 2019-03-22 | 2019-07-26 | 中国科学院信息工程研究所 | 工业控制系统的威胁检测方法及装置 |
| CN110865616A (zh) * | 2019-11-07 | 2020-03-06 | 河南农业大学 | 随机fdi攻击下事件触发带记忆dof控制器设计方法 |
| CN114615042A (zh) * | 2022-03-08 | 2022-06-10 | 中国矿业大学 | 一种针对发电商恶意攻击电网以获利的攻击防御方法 |
| CN117687395A (zh) * | 2024-02-02 | 2024-03-12 | 苏州旗芯微半导体有限公司 | 微控制器功能模块安全机制的自检电路及自检方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
| US20130176132A1 (en) * | 2012-01-09 | 2013-07-11 | General Electric Company | Method and system for intrusion detection in networked control systems |
| CN103634296A (zh) * | 2013-11-07 | 2014-03-12 | 西安交通大学 | 基于物理系统和信息网络异常数据融合的智能电网攻击检测方法 |
| CN103746756A (zh) * | 2014-01-06 | 2014-04-23 | 重庆邮电大学 | 认知无线电网络基于模仿主用户攻击的干扰估计方法 |
| CN104638762A (zh) * | 2015-01-19 | 2015-05-20 | 浙江工商大学 | 一种检测智能电网中非法数据注入内部攻击的方法及系统 |
-
2018
- 2018-04-25 CN CN201810376934.3A patent/CN108683642B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
| US20130176132A1 (en) * | 2012-01-09 | 2013-07-11 | General Electric Company | Method and system for intrusion detection in networked control systems |
| CN103634296A (zh) * | 2013-11-07 | 2014-03-12 | 西安交通大学 | 基于物理系统和信息网络异常数据融合的智能电网攻击检测方法 |
| CN103746756A (zh) * | 2014-01-06 | 2014-04-23 | 重庆邮电大学 | 认知无线电网络基于模仿主用户攻击的干扰估计方法 |
| CN104638762A (zh) * | 2015-01-19 | 2015-05-20 | 浙江工商大学 | 一种检测智能电网中非法数据注入内部攻击的方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| YICHI ZHANG,LINGFENG WANG等: "Distributed Intrusion Detection System in a Multi一Layer Network Architecture of Smart Grids", 《IEEE TRANSACTIONS ON SMART GRID》 * |
| 孔庆杰: "网络化控制系统虚假数据注入攻击的检测方法研究", 《北方工业大学硕士研究生学位论文》 * |
| 张斌: "在智能电网中使用SVM方法检测隐形假数据注入", 《电子世界》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110059726A (zh) * | 2019-03-22 | 2019-07-26 | 中国科学院信息工程研究所 | 工业控制系统的威胁检测方法及装置 |
| CN110035090A (zh) * | 2019-05-10 | 2019-07-19 | 燕山大学 | 一种智能电网虚假数据注入攻击检测方法 |
| CN110035090B (zh) * | 2019-05-10 | 2020-09-15 | 燕山大学 | 一种智能电网虚假数据注入攻击检测方法 |
| CN110865616A (zh) * | 2019-11-07 | 2020-03-06 | 河南农业大学 | 随机fdi攻击下事件触发带记忆dof控制器设计方法 |
| CN110865616B (zh) * | 2019-11-07 | 2020-09-25 | 河南农业大学 | 随机fdi攻击下事件触发带记忆dof控制器设计方法 |
| CN114615042A (zh) * | 2022-03-08 | 2022-06-10 | 中国矿业大学 | 一种针对发电商恶意攻击电网以获利的攻击防御方法 |
| CN117687395A (zh) * | 2024-02-02 | 2024-03-12 | 苏州旗芯微半导体有限公司 | 微控制器功能模块安全机制的自检电路及自检方法 |
| CN117687395B (zh) * | 2024-02-02 | 2024-04-16 | 苏州旗芯微半导体有限公司 | 微控制器功能模块安全机制的自检电路及自检方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108683642B (zh) | 2019-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108683642B (zh) | 智能电网线路状态错误数据注入攻击的检测器与检测方法 | |
| CN108418841B (zh) | 基于ai的下一代关键信息基础设施网络安全态势感知系统 | |
| CN102340811B (zh) | 无线传感器网络故障诊断方法 | |
| CN108684038B (zh) | 基于雾计算和分层信任评价机制的隐藏数据攻击检测方法 | |
| CN102288398B (zh) | 基于支持向量机的动量轮故障检测装置及方法 | |
| CN104299115B (zh) | 基于模糊c均值聚类算法的智能变电站二次系统状态分析方法 | |
| CN108490370A (zh) | 一种故障诊断的方法和装置 | |
| CN109067773A (zh) | 一种基于神经网络的车载can网络入侵检测方法及系统 | |
| CN105868629B (zh) | 一种适用于电力信息物理系统的安全威胁态势评估方法 | |
| CN101211496A (zh) | 用于监视设备的方法和系统 | |
| CN110324323B (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN106021771A (zh) | 一种故障诊断方法及装置 | |
| Zhe et al. | DoS attack detection model of smart grid based on machine learning method | |
| CN109670584A (zh) | 一种基于大数据的故障诊断方法及系统 | |
| Patil et al. | A machine learning approach to distinguish faults and cyberattacks in smart buildings | |
| CN112396292A (zh) | 一种基于物联网及边缘计算的变电站设备风险管控系统 | |
| CN109144016A (zh) | 一种数据压缩下工业混杂传感网的感控系统与方法 | |
| CN106195247B (zh) | 一种基于大数据管理模式的变速器控制系统 | |
| CN116506309B (zh) | 一种车载atp通信信号综合监测系统及方法 | |
| CN105930957A (zh) | 一种用于电能表自动化检定线的风险预警方法 | |
| CN109270445A (zh) | 基于lmd的断路器弹簧操动机构状态异常检测方法 | |
| CN109525453B (zh) | 基于节点依赖关系的网络化cps异常检测方法及系统 | |
| CN103795595A (zh) | 一种局域网内网入侵的智能检测方法 | |
| CN105512801A (zh) | 一种输电设备状态评估方法 | |
| CN108548669A (zh) | 一种工程装备传动系统故障诊断方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211216 Address after: 410206 Room 502, building B2, Lugu science and technology innovation and entrepreneurship Park, No. 1698, Yuelu West Avenue, Changsha high tech Development Zone, Changsha City, Hunan Province Patentee after: Hunan Zhongke Zhiyun Technology Co.,Ltd. Address before: 410022 No. 98 Hongshan Road, Kaifu District, Changsha City, Hunan Province Patentee before: CHANGSHA University |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240527 Address after: Room 502, 5th Floor, Building B2, Lugu Science and Technology Innovation and Entrepreneurship Park, No. 1698 Yuelu West Avenue, Changsha High tech Development Zone, Changsha City, Hunan Province, 410206 Patentee after: Hunan Zhongke Zhiyun Technology Co.,Ltd. Country or region after: China Patentee after: National University of Defense Technology Address before: 410206 Room 502, building B2, Lugu science and technology innovation and entrepreneurship Park, No. 1698, Yuelu West Avenue, Changsha high tech Development Zone, Changsha City, Hunan Province Patentee before: Hunan Zhongke Zhiyun Technology Co.,Ltd. Country or region before: China |
|
| TR01 | Transfer of patent right |