CN109767352A - 一种电力信息物理融合系统安全态势评估方法 - Google Patents

Abstract

一种电力信息物理融合系统安全态势评估方法，所述方法包括以下步骤：a.根据异常点的重要性更新异常点集：b.计算威胁传播期望值；c.电力CPS风险评估；按威胁传播树生成规则生成威胁传播树；计算威胁传播树中所有有效的热源节点所构成威胁的期望值，得到网络安全态势评估值。本发明设计了面向电力CPS中各类安全威胁的实时联合检测体系，提出了基于智能化评估算法的威胁态势评估体系，有效提升了对电力CPS中实时发生的各类高危安全威胁的辨识能力，实现了对电力CPS运行状况的宏观评判，加强了针对各类高危安全威胁防护措施的目的性，有助于从整体层面改善电力CPS的运行状况，保障其安全稳定运行。

Description

一种电力信息物理融合系统安全态势评估方法

技术领域

本发明涉及一种考虑威胁传播特性的电力信息物理融合系统安全态势评估方法，属于输配电技术领域。

背景技术

信息物理融合系统(Cyber-Physical System,CPS)是一个综合计算、网络和物理环境的多维复杂系统，通过3C(Computation、Communication、Control)技术的有机融合与深度协作，实现大型工程系统的实时感知、动态控制和信息服务。CPS系统把计算与通信深深地嵌入实物过程、使之与实物过程密切互动，从而给实物系统添加新的能力。这种CPS系统小如心脏起搏器，大如国家电网。由于计算机增强的装置无处不在，CPS系统具有巨大的经济影响力。

CPS的研究与应用将会改变人类与自然物理世界的交互方式，在健康医疗设备与辅助生活、智能交通控制与安全、先进汽车系统、能源储备、环境监控、航空电子、防御系统、基础设施建设、加工制造与工业过程控制、智能建筑等领域均有着广泛的应用前景。如交通系统能够从智能汽车提高安全性和传送效率中有效地获益。家居技术将提高老人护理并有效控制与日俱增的护理花费，减少国家能源依赖，这很难估计CPS为未来生活带来的积极地潜在的价值，但我们都知道CPS的价值是巨大的。

CPS是物理过程和计算过程的集成系统，人类通过CPS系统包含的数字世界和机械设备与物理世界进行交互，这种交互的主体既包括人类自身也包括在人的意图知道下的系统，而作用的客体包括真实世界的各方面：自然环境、建筑、机器，同时也包括人类自身等。CPS具有自适应性、自主性、高效性、功能性、可靠性、安全性等特点和要求，物理构建和软件构建必须能够在不关机或停机的状态下动态加入系统，同时保证满足系统需求和服务质量。比如一个超市安防系统，在加入传感器、摄像头、监视器等物理节点或者进行软件升级的过程中不需关掉整个系统或者停机就可以动态升级。CPS应该是一个智能的有自主行为的系统，CPS不仅能够从环境中获取数据，进行数据融合，提取有效信息，并且根据系统规则通过效应器作用于环境。

电力信息物理系统(电力CPS)有效提高了电力系统的自动化程度，但同时由于信息系统与物理系统的耦合不断加强，对系统受攻击风险的分析难度也大大增加。随着智能电表等先进信息设备的接入，电力系统的安全问题更加明显，近几年关于电力系统中由于威胁传播所引起的级联故障分析成为了研究热点之一。同时，也有一些研究成果运用复杂网络理论对电力系统进行分析。目前对电力CPS的级联故障分析，大多采用了模拟与仿真的方法，而对电力CPS的运行而言，风险评估技术是实现其系统等级保护的重要基础，在系统安全评估和决策方面将发挥重要作用。当前电力CPS的安全技术领域中仅有分别针对信息威胁的检测方法和防护手段，以及针对电力系统故障的检测方法和防护手段，但两者之间没有任何联系。现有技术采取的方式是分别在信息空间或电力系统内部进行检测、防护。信息威胁的检测以入侵检测技术为主。入侵检测是对入侵行为的检测，入侵检测系统通过收集网络及计算机系统内所有关键节点的信息，检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备(如防火墙、IDS、IPS等)的日志，这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。电力系统故障的检测技术以电力系统潮流仿真计算和电力二次设备监控为主：一方面，通过电力二次设备实时测量电力系统的运行状态参数，一旦发生异常，则保护装置动作切除故障并报警；另一方面，依据实时采集的电力系统运行参数，调度中心对电力系统未来时段的运行状况进行潮流仿真，以发现安全隐患，并提前采取相应的安全措施消除隐患。现有的电力CPS安全分析技术缺少对于由信息威胁引发的跨空间连锁故障的检测方法及防护手段，在风险传播机制方面也尚未研究出较好的方法，对于电力CPS中各类安全威胁的检测不完全，并且各种检测手段之间相互孤立，缺少内在关联，无法从宏观层面展示电力CPS的整体安全状况。因此，对计及威胁传播特性的电力CPS安全风险评估还有待于进一步进行研究。

发明内容

本发明的目的在于针对现有技术之弊端，提供一种电力信息物理融合系统安全态势评估方法，以实现对电力CPS的安全态势的量化评估。

本发明所述问题是以下述技术方案解决的：

一种电力信息物理融合系统安全态势评估方法，所述方法包括以下步骤：

a.根据异常点的重要性更新异常点集：

①采用层次分析法与模糊评价法构建网络攻击效果量化评估模型,利用评估模型量化t时刻异常点i真实存在时对系统安全造成威胁的归一化值a_i，a_i∈[0,1]；

②计算异常点的重要性m：

m＝a_i×(1÷l_i)

其中，l_i为异常点i的局部离群因子；

③根据下式判断异常点是否需要移除

得到更新的异常点集，其中，g为判断异常点保留与否的常数阈值，当r＝1时，表示该异常点可以移除；当r＝0时，继续保留该异常点；

b.计算威胁传播期望值

①计算电力物理系统节点i在整个电力CPS中所占权重ω_i：

式中，V_e表示电力物理系统节点集合；G_i、G_k为假设对节点i、k在级联故障模拟中单独对其进行移除操作后电力物理系统中出现的故障节点个数，ω_h为电力物理系统在电力CPS中的权重；

②计算电力信息通信系统节点j在电力CPS中的权重ω_j：

F_j＝(1-α)×A_j+α×D_j

式中，V_j表示电力信息通信网络节点集合；v_c表示调度中心节点；F_j、F_k分别表示节点j和节点k的节点重要性评价；α为常数，取0.8；A_j为节点j的局部聚集系数，D_j为节点j的度；C_j为与节点j逻辑连通的节点之间边的总数；

③计算节点i对节点j威胁的数学期望：

若节点i为已经被成功攻击且未被修复完成的热源节点，节点j为与节点i的邻居节点，则热源节点i选择下一步攻击选择节点j的攻击效果的数学期望E_i,j：

E_i,j＝ω_j×p_i,j×λ_j×a_i

式中，p_i,j表示热源节点i下一步选择攻击节点j的概率，λ_j和λ_k分别表示节点j和节点k的攻击难度，ω_j和ω_i分别表示节点j和节点i的权重；N_i表示与i节点在逻辑上连通的节点集合；a_i为节点受到攻击的程度；

c.电力CPS风险评估

①制定威胁传播树生成规则

将节点类型划分为3类：第一类为活动节点：即当前时刻受到威胁，有可能成为下一个热源节点的节点；第二类为死节点：是热源节点或曾是热源节点的节点，且不会再被威胁再次作用的节点；第三类为可激活节点：即网络中还未受到威胁的节点，威胁传播树的构造过程应遵循以下规则：

Ⅰ.一个节点成为热源节点后，以该热源节点进行威胁传播树的构造过程中威胁无法传播到该点；

Ⅱ.活动节点只能向相邻节点传播威胁，当威胁成功传播后，该活动节点立即变为死节点；

Ⅲ.当活动节点成为热源节点后，相邻的可激活节点成为活动节点；

Ⅳ.一个节点不允许受到多个威胁同时作用，但允许一个节点同时向其相邻的可激活节点进行威胁传播，使可激活节点成为活动节点；

Ⅴ.利用决策函数决定拥有k个节点的威胁传播树，是否进一步求取k+1节点威胁传播树集合：

式中，T_k表示一棵拥有k个节点的威胁传播树，A(s_q,i)为在T_k基础上进一步求取k+1节点威胁传播树集合决策的隶属度函数，O_max为最大计算复杂度，O_min为可忽略复杂度，C(+,-)表示应该进行下一步运算时，停止运算所付出的代价估计；同理C(-,+)表示应该停止运算，但又继续进行下一步运算所付出的代价估计，表示该威胁传播树所造成的威胁期望值，T为T_k包含的节点的集合，N_i为节点i相邻节点的集合,的取值范围为0≤d≤1，当时表示在T_k基础上进一步求取k+1节点威胁传播树集合，否则停止威胁传播树的计算；

Ⅵ.网络中没有活动节点或者时，威胁传播树构造完成；

②按威胁传播树生成规则生成威胁传播树；

③网络安全态势评估

计算威胁传播树中所有有效的热源节点所构成威胁的期望值，得到网络安全态势评估值。

上述电力信息物理融合系统安全态势评估方法，所述电力信息物理融合系统异常节点的局部离群因子采用改进LOF算法计算，具体方法如下：

定义：

①两点距离d(p,o)：综合考虑时空因素，由时间差和拓扑距离组成，采用欧氏距离表示，点p和o之间的距离d_s为点p和点o拓扑上最短路径长度，即为空间维度上距离；d_t为点p和点o的时间差，即在时间维度上的距离；

②有效距离(e-distance)：为常量值，在本专利中取e-distance＝3；

③有效距离领域N_e(p)：为与点p距离小于或等于有效距离的所有点的集合；

④可达距离(reach-distance(p,o))：任意两点o、p的可达距离定义为：

reach-distance(p,o)＝min{e-distance,d(p,o)}

⑤局部可达密度：点p的局部可达密度表示为：

则点p的局部离群因子为：

上述电力信息物理融合系统安全态势评估方法，判断异常点保留与否的常数阈值g＝0.1。

上述电力信息物理融合系统安全态势评估方法，若节点j为电力物理节点，则节点j的攻击难度λ_j等于威胁从电力信息节点i传播到电力物理节点j的衰减因子f_i,j。

上述电力信息物理融合系统安全态势评估方法，电力物理系统在电力CPS中的权重ω_h取0.8。

本发明设计了面向电力CPS中各类安全威胁的实时联合检测体系，提出了基于智能化评估算法的威胁态势评估体系，有效提升了对电力CPS中实时发生的各类高危安全威胁的辨识能力，实现了对电力CPS运行状况的宏观评判，加强了针对各类高危安全威胁防护措施的目的性，有助于从整体层面改善电力CPS的运行状况，保障其安全稳定运行。

附图说明

下面结合附图对本发明作进一步详述。

图1是改进LOF算法流程图；

图2是威胁传播树生成算法；

图3是网络安全态势评估流程。

文中所用符号：CPS为电力信息物理系统，a_i为t时刻异常点i真实存在时对系统安全造成威胁的归一化值，l_i为异常点i的局部离群因子，g为判断异常点保留与否的常数阈值，V_e表示电力物理系统节点集合；G_i、G_k为假设对节点i、k在级联故障模拟中单独对其进行移除操作后电力物理系统中出现的故障节点个数，ω_h为电力物理系统在电力CPS中的权重，ω_j为电力信息通信系统节点j在电力CPS中的权重，V_j表示电力信息通信网络节点集合；v_c表示调度中心节点；F_j、F_k分别表示节点j和节点k的节点重要性评价；α为常数，A_j为节点j的局部聚集系数，D_j为节点j的度；C_j为与节点j逻辑连通的节点之间边的总数，E_i,j为热源节点i选择下一步攻击选择节点j的攻击效果的数学期望，p_i,j表示热源节点i下一步选择攻击节点j的概率，λ_j和λ_k分别表示节点j和节点k的攻击难度，ω_j和ω_i分别表示节点j和节点i的权重；N_i表示与i节点在逻辑上连通的节点集合；a_i为节点受到攻击的程度，T_k表示一棵拥有k个节点的威胁传播树，A(s_q,i)为在T_k基础上进一步求取k+1节点威胁传播树集合决策的隶属度函数,O_max为最大计算复杂度，O_min为可忽略复杂度，C(+,-)表示应该进行下一步运算时，停止运算所付出的代价估计；同理C(-,+)表示应该停止运算，但又继续进行下一步运算所付出的代价估计，表示该威胁传播树所造成的威胁期望值，T为T_k包含的节点的集合,N_i为节点i相邻节点的集合,d(p，o)为点p和o之间的距离，(e-distance)为有效距离，N_e(p)为点p的有效距离领域，(reach-distance(p,o))为点o到点p的可达距离，lrd_e(p)为点p的局部可达密度。

具体实施方式

1异常点重要性评估

由于威胁传播遵循衰减原理和叠加原理，考虑修复功能，威胁传播事件之间存在时空关联性。因此，本发明提出利用时空关联性对威胁传播事件的报警信息准确性进行评估，再综合考虑报警信息的准确性和造成的威胁对异常点的重要性进行评估。

1.1改进LOF算法

LOF算法(Local Outlier Factor)是一种无监督的离群点检测方法，在该算法中计算每个点的离群因子。离群因子越接近1则说明该点越有可能是正常点，反之则越可能是离群点。传统的LOF算法中第k距离领域并不适用于本发明所述场景，存在不确定因素，很可能出现复杂度过高或者采样不够全面的情况。本发明对LOF算法进行改进，即是在有效距离领域和可达距离的基础上求取离群因子，以下为本发明所给的相关定义。

1)两点距离d(p,o)：综合考虑时空因素，由时间差和拓扑距离组成，采用欧氏距离表示，点p和o之间的距离d_s为点p和点o拓扑上最短路径长度，即为空间维度上距离；d_t为点p和点o的时间差，即在时间维度上的距离；

2)有效距离(e-distance)：为常量值，在本专利中取e-distance＝3；

3)有效距离领域N_e(p)：为与点p距离小于或等于有效距离的所有点的集合。

4)可达距离(reach-distance(p,o))：任意两点o、p的可达距离定义为：

reach-distance(p,o)＝min{e-distance,d(p,o)} (1)

5)局部可达密度：点p的局部可达密度表示为

式中，lrd_e(p)为N_e(p)所包含点的可达密度的倒数的平均值。lrd_e(p)越大则点p是离群点的可能性越小，反之则是离群点的可能性越大。

6)局部离群因子：点p的局部离群因子表示为

表示点p与N_e(p)所包含点的可达密度比的平均值，LOF_e(p)越接近1，则表示p点是离群点的可能性越低。LOF_e(p)＜1，表示点p的密度高于N_e(p)包含点的平均密度，LOF_e(p)＞1，则相反。

改进的LOF算法流程图如图1所示。

1.2更新异常点集

1)采用层次分析法与模糊评价法(合称Fuzzy-AHP法)构建网络攻击效果量化评估模型。利用Fuzzy-AHP量化t时刻异常点i真实存在时对系统安全造成威胁的归一化值，a_i∈[0,1]。

2)判断异常点是否需要移除

式中，m＝a_i×(1÷l_i)为该异常点的重要性；l_i为异常点i的局部离群因子。当r＝1时，表示该异常点可以移除；当r＝0时，继续保留该异常点。g作为判断保留与否的一个常数阈值(这里取g＝0.1)。

2威胁传播期望

2.1节点重要性评估

电力物理系统是电力系统的核心部分，电力信息系统即通信网络是电力系统的重要组成部分，本发明按照电力物理系统占0.8权重、电力信息系统占0.2权重设计。

1)电力系统节点重要性评估

本发明中采取系统科学分析方法分析电力节点重要性，其中，把对电力系统所造成的级联故障的故障规模等价于该节点的重要性。电力系统中的信息系统节点可以采取独立供电并能实现故障修复，因此，在本发明中不考虑电力物理系统节点故障造成的威胁传播至信息通信节点。

将电力物理系统抽象为网络，其中负载、发电机、变电站为网络节点，输电线路为有向边。每条边对应一个效率值，对应实际传输过程中的损耗。效率矩阵D＝{d_i,j}，当i＝j时，d_i,j表示发电机、负载等电力系统设备上当前的功率，发电机的d_i,j＞0表示向外输出有功功率，负载的d_i,j＜0表示消耗有功功率；当i≠j时，若d_i,j＝0表示节点i与节点j之间不存在边；若0＜d_i,j≤1，d_i,j表示节点i到节点j之间边的效率值。

对于电力物理系统的级联故障分析，本发明通过使用基于复杂网络理论的电网级联故障分析方法来更新效率矩阵D，并对电力物理系统进行级联故障仿真。电力物理系统节点的重要性权重为：

式中，ω_i表示电力物理系统节点i在整个电力CPS中所占权重；V_e表示电力物理系统节点集合；G_i、G_k为假设对节点i、j在级联故障模拟中单独对其进行移除操作后电力物理系统中出现的故障节点个数。

2)电力信息系统节点重要性评估

节点是网络的重要组成部分，节点与其连接构成网络。可通过节点的度和聚集系数进行节点重要性评估。

F_j＝(1-α)×A_j+α×D_j (7)

式中，ω_j为电力信息通信系统节点j在电力CPS中的权重；V_j表示电力信息通信网络节点集合；v_c表示调度中心节点；F_j、F_k分别表示节点j和节点k的节点重要性评价；本发明中α取0.8；A_j为节点j的局部聚集系数，D_j为节点j的度；C_j为与节点j逻辑连通的节点之间边的总数。

2.2威胁传播期望

因为在电力节点重要性评估中已考虑级联故障，所以在此不再考虑基于电力网络逻辑连通的威胁传播。

影响攻击选择的因素有多个，包括攻击者对系统的了解程度、攻击者的个人喜好、攻击成功的难度等。我们首先定义一个衰减因子f_s,e∈[0,1]，表示威胁从电力信息节点s传播到电力物理节点e的阻隔效果。f_s,e＝1表示节点s故障将导致节点e故障，f_s,e＝0则表示节点s到节点e的威胁传播将被完全阻隔，即节点s故障不会影响到节点e。若信息网络节点s是对电力物理节点e进行直接监控的控制单元节点，则f_s,e＝1。

为了方便计算，本发明假定下一步攻击节点按照攻击难度和节点的重要性权重来选择。若节点i为已经被成功攻击且未被修复完成的热源节点，节点j为与节点i的邻居节点，节点i对节点j威胁的数学期望：

E_i,j＝ω_j×p_i,j×λ_j×a_i (9)

式中，E_i,j表示热源节点i选择下一步攻击选择节点j的攻击效果的数学期望。p_i,j表示热源节点i下一步选择攻击节点j的概率。λ_j和λ_k分别表示节点j和节点k的攻击难度。若节点j为电力物理节点，则λ_j＝f_i,j；若节点j为信息节点，则λ_j参考通用安全脆弱性系统，同理求得λ_k。ω_j和ω_i分别表示节点j和节点i的权重；N_i表示与i节点在逻辑上连通的节点集合；a_i为节点受到攻击的程度。

3电力CPS风险评估

本专利提出一种基于改进威胁传播树的电力CPS态势评估算法。

3.1威胁传播树生成规则

在这里，本发明将节点类型划分为3类：①活动节点(Active Node，AN)：当前时刻受到威胁，有可能成为下一个热源节点的节点。②死节点(Inactive Node，IN)：是热源节点或曾是热源节点的节点，且不会再被威胁再次作用的节点。③可激活节点(ActivatableNode，ATN)：网络中还未受到威胁的节点。在威胁传播树的构造过程中，应遵循以下规则：

1)一个节点成为热源节点(IN)后，以该热源节点进行威胁传播树的构造过程中威胁无法传播到该点。

2)活动节点(AN)只能向相邻节点传播威胁，当威胁成功传播后，该活动节点立即变为死节点(IN)，死节点不再被威胁作用。

3)当活动节点(AN)成为热源节点(IN)后，相邻的可激活节点(ATN)成为活动节点(AN)。

4)一个节点不允许受到多个威胁同时作用，但允许一个节点同时向其相邻的可激活节点进行威胁传播，使可激活节点成为活动节点。

5)因为在威胁传播树算法中，运算的空间和时间复杂度都伴随着每一次递归的进行呈指数级增长。所以需要对进行运算与否进行一次决策，决策算法应该具备一定的合理性，并且复杂度应尽量低或者与未来的运算复杂度相对应的增长。本发明中使用代价函数C表示，“+”表示进行下一步的运算，“-”表示停止运算。C(+,-)表示应该进行下一步运算时，停止运算所付出的代价；同理C(-,+)表示应该停止运算，但又继续进行下一步运算所付出的代价。根据当前已经获得信息对若继续运算所获得信息的价值进行初步估算，在本发明中C(+,-)为当前威胁传播树的威胁期望值

式中，C(+,-)为放弃计算的代价；T_k表示一棵拥有k个节点的威胁传播树；表示该威胁传播树所造成的威胁期望值。

式中，C(-,+)为继续下一步计算的代价的估计，即计算复杂度进行归一化之后的值。

在判断是否求解i个节点威胁传播树时形成的斜率s_q,i为：

式中，s_q,i越大表示同等计算复杂度下所得到的信息价值可能越大，s_q,i过小表示计算复杂度明显增加而所得到的信息价值可能依然很小，s_q,i可以直观的为是否继续计算决策提供支持。

由于运算环境的效率参差不齐，以及操作人员对延时的容忍程度不同，所以本发明采用模糊统计方法求取隶属度函数。为进一步提高算法的时效性，通过确定最大计算复杂度O_max、可忽略复杂度O_min，从而得到决策函数：

式中，T_k表示一棵拥有k个节点的威胁传播树，A(s_q,i)为在T_k基础上进一步求取k+1节点威胁传播树集合决策隶属度函数，的取值范围为0≤d≤1，当时表示在T_k基础上进一步求取k+1节点威胁传播树集合，否则停止威胁传播树的计算；。

6)网络中没有活动节点或者时，威胁传播树构造完成。

3.2威胁传播树生成算法

威胁传播树生成算法的流程图如图2所示，输入为热源节点，输出为威胁传播树集。

3.3网络安全态势评估

所有有效的热源节点所构成威胁的期望值即为网络安全态势评估值。在本发明中在进行态势计算之前需要对威胁传播树进行编码，生成对应的编码树。通过编码树进行威胁期望计算，可以避免对同一威胁的重复计算，提高态势评估的准确性。

由热源节点导致的威胁期望计算如图3所示，输入为威胁传播树集T_S，输出为最终的态势估计结果S_A。

本发明提供的一种适用于电力信息物理系统的安全威胁态势评估方法针对电力CPS安全威胁态势评估方法实现了对电力CPS运行状况的宏观评判，填补了目前所缺少的针对由信息威胁引发的跨空间电力系统连锁故障检测方法的技术空白，并设计了面向电力CPS中各类安全威胁的实时联合检测体系，进一步提出了基于智能化评估算法的威胁态势评估体系，有效提升了对电力CPS中实时发生的各类高危安全威胁的辨识能力，加强了针对各类高危安全威胁防护措施的目的性，有助于从整体层面改善电力CPS的运行状况，保障其安全稳定运行。

Claims (5)

1.一种电力信息物理融合系统安全态势评估方法，其特征是，所述方法包括以下步骤：

a.根据异常点的重要性更新异常点集：

①采用层次分析法与模糊评价法构建网络攻击效果量化评估模型,利用评估模型量化t时刻异常点i真实存在时对系统安全造成威胁的归一化值a_i，a_i∈[0,1]；

②计算异常点的重要性m：

m＝a_i×(1÷l_i)

其中，l_i为异常点i的局部离群因子；

③根据下式判断异常点是否需要移除

得到更新的异常点集，其中，g为判断异常点保留与否的常数阈值，当r＝1时，表示该异常点可以移除；当r＝0时，继续保留该异常点；

b.计算威胁传播期望值

①计算电力物理系统节点i在整个电力CPS中所占权重ω_i：

式中，V_e表示电力物理系统节点集合；G_i、G_k为假设对节点i、k在级联故障模拟中单独对其进行移除操作后电力物理系统中出现的故障节点个数，ω_h为电力物理系统在电力CPS中的权重；

②计算电力信息通信系统节点j在电力CPS中的权重ω_j：

F_j＝(1-α)×A_j+α×D_j

式中，V_j表示电力信息通信网络节点集合；v_c表示调度中心节点；F_j、F_k分别表示节点j和节点k的节点重要性评价；α为常数，取0.8；A_j为节点j的局部聚集系数，D_j为节点j的度；C_j为与节点j逻辑连通的节点之间边的总数；

③计算节点i对节点j威胁的数学期望：

若节点i为已经被成功攻击且未被修复完成的热源节点，节点j为与节点i的邻居节点，则热源节点i选择下一步攻击选择节点j的攻击效果的数学期望E_i,j：

E_i,j＝ω_j×p_i,j×λ_j×a_i

式中，p_i,j表示热源节点i下一步选择攻击节点j的概率，λ_j和λ_k分别表示节点j和节点k的攻击难度，ω_j和ω_i分别表示节点j和节点i的权重；N_i表示与i节点在逻辑上连通的节点集合；a_i为节点受到攻击的程度；

c.电力CPS风险评估

①制定威胁传播树生成规则

将节点类型划分为3类：第一类为活动节点：即当前时刻受到威胁，有可能成为下一个热源节点的节点；第二类为死节点：是热源节点或曾是热源节点的节点，且不会再被威胁再次作用的节点；第三类为可激活节点：即网络中还未受到威胁的节点，威胁传播树的构造过程应遵循以下规则：

Ⅰ.一个节点成为热源节点后，以该热源节点进行威胁传播树的构造过程中威胁无法传播到该点；

Ⅱ.活动节点只能向相邻节点传播威胁，当威胁成功传播后，该活动节点立即变为死节点；

Ⅲ.当活动节点成为热源节点后，相邻的可激活节点成为活动节点；

Ⅳ.一个节点不允许受到多个威胁同时作用，但允许一个节点同时向其相邻的可激活节点进行威胁传播，使可激活节点成为活动节点；

Ⅴ.利用决策函数决定拥有k个节点的威胁传播树，是否进一步求取k+1节点威胁传播树集合：

式中，T_k表示一棵拥有k个节点的威胁传播树，A(s_q,i)为在T_k基础上进一步求取k+1节点威胁传播树集合决策隶属度函数,O_max为最大计算复杂度，O_min为可忽略复杂度，C(+,-)表示应该进行下一步运算时，停止运算所付出的代价估计；同理C(-,+)表示应该停止运算，但又继续进行下一步运算所付出的代价估计，表示该威胁传播树所造成的威胁期望值，T为T_k包含的节点的集合,N_i为节点i相邻节点的集合，的取值范围为0≤d≤1，当时表示在T_k基础上进一步求取k+1节点威胁传播树集合，否则停止威胁传播树的计算；

Ⅵ.网络中没有活动节点或者时，威胁传播树构造完成；

②按威胁传播树生成规则生成威胁传播树；

③网络安全态势评估

计算威胁传播树中所有有效的热源节点所构成威胁的期望值，得到网络安全态势评估值。

2.根据权利要求1所述的一种电力信息物理融合系统安全态势评估方法，其特征是，所述电力信息物理融合系统异常节点的局部离群因子采用改进LOF算法计算，具体方法如下：

定义：

①两点距离d(p,o)：综合考虑时空因素，由时间差和拓扑距离组成，采用欧氏距离表示，点p和o之间的距离d_s为点p和点o拓扑上最短路径长度，即为空间维度上距离；d_t为点p和点o的时间差，即在时间维度上的距离；

②有效距离(e-distance)：为常量值，在本专利中取e-distance＝3；

③有效距离领域N_e(p)：为与点p距离小于或等于有效距离的所有点的集合；

⑤可达距离(reach-distance(p,o))：任意两点o、p的可达距离定义为：

reach-distance(p,o)＝min{e-distance,d(p,o)}(max修改为了min)

⑤局部可达密度：点p的局部可达密度表示为：

则点p的局部离群因子为：

3.根据权利要求1或2所述的一种电力信息物理融合系统安全态势评估方法，其特征是，判断异常点保留与否的常数阈值g＝0.1。

4.根据权利要求3所述的一种电力信息物理融合系统安全态势评估方法，其特征是，若节点j为电力物理节点，则节点j的攻击难度λ_j等于威胁从电力信息节点i传播到电力物理节点j的衰减因子f_i,j。

5.根据权利要求4所述的一种电力信息物理融合系统安全态势评估方法，其特征是，电力物理系统在电力CPS中的权重ω_h取0.8。