CN109921415B - 一种面向混合量测的电网恶性数据注入攻击在线防御方法 - Google Patents

Abstract

本发明提出一种面向混合量测的电网恶性数据注入攻击在线防御方法，包括：建立了SCADA和PMU混合状态估计模型；分别提出了PMU量测量和SCADA仪表量测量的恶性数据检测方法：对于PMU量测量，基于传输线路等效阻抗法，结合提出的检测指标，能够明显检测出PMU中的恶性数据；对于SCADA仪表量测量，通过状态一致性检测、异常数据检测及残差分布偏离度检测能够有效检测出SCADA仪表中的恶性数据，并能剔除量测量突变情况的干扰，此外，本发明提出了SCADA和PMU恶性数据的剔除与修正过程。通过本发明能够在线有效检测、识别和剔除SCADA和PMU仪表上的恶性数据，提高了电力信息物理系统的安全可靠性及抵御恶性数据的能力，具有良好的应用前景。

Description

一种面向混合量测的电网恶性数据注入攻击在线防御方法

技术领域

本发明属于电力系统安全技术领域，具体涉及一种面向混合量测的电网恶性数据注入攻击在线防御方法。

背景技术

计算技术、通信技术和智能控制技术的迅猛发展促成了当今电力信息物理系统架构的形成。电力信息物理系统各环节均离不开信息系统的功能支撑，为保证电力信息物理系统安全运行，需要监视控制与数据采集(SCADA)系统与相量测量单元(PMU)的数据和命令传输功能以及控制中心能量管理系统(EMS)的信息处理、分析与决策的辅助。随着系统复杂程度的增加，这种信息交换愈发频繁，加剧了信息系统外部威胁与网络攻击的风险，也使恶性数据注入攻击侵入电网提供了可能。

恶性数据注入攻击作为网络攻击中最具威胁性的攻击之一，最早由Liu于2009年提出。该攻击利用传统状态估计的漏洞，可以避开不良数据检测机制。随着研究的深入，攻击者在获取较少资源下完成恶性数据注入攻击的方法已经取得不错的进展。

现阶段恶性数据防御手段大致可分为两类：1)线下防御和2)线上防御。线下防御主要采用保护一部分关键量测量或优化配置PMU实现系统数据全部可被观测的方式遏制恶性数据的注入；线上防御通过比较当前获取的量测数据与通过其他方法预测的数据进行一致性检测，用以检测和识别恶性数据，预测方法分为多种，例如自回归模型预测、基于PMU量测量预测、机器学习预测和Kullback-Leibler距离法预测等。现有方法虽已取得实质性的进展，但仍存在些许不足：多数方法将PMU量测量视为绝对安全可靠的数据，忽视了PMU存在恶性数据注入攻击的可能。PMU数据虽然可以通过持续监视或加密的方式保证数据的安全可靠，然而对于实际大规模电网而言，这种保护方式不仅消耗的成本高，且随着信息系统的发展，PMU部署在电网的数量只增不减，导致电网没有足够的精力对所有PMU均采用同样的保护方式。此外，现有的在线防御方法忽略了量测量突变情况对预测的影响，如何防止量测量突变情况被误判为恶性数据注入攻击也是当今电力信息物理系统网络攻击防御需思考的一个问题。

发明内容

基于以上技术不足，本发明基于现有电力信息物理系统中SCADA和PMU混合量测场景，提出了一种综合考虑SCADA和PMU数据遭受恶性数据注入攻击时的在线检测方法，该方法的提出为PMU恶性数据的检测及剔除量测量突变干扰提供了一种解决思路，对于改善目前处于发展阶段且安全标准不够完善的电力信息物理系统具有一定的现实意义。

一种面向混合量测的电网恶性数据注入攻击在线防御方法，具体步骤如下：

步骤1、构建SCADA和PMU混合量测的历史状态量数据库，基于历史状态量数据库信息，采用多维状态矩阵滑动匹配预测方法预测当前时刻状态，得到当前时刻状态量预测值；

所述多维状态矩阵滑动匹配方法，具体步骤如下：

步骤1.1、构建多维状态矩阵：将历史状态量数据库中历史节点状态量按时间顺序排列，构成一个q行p列多维时间序列矩阵T_q×p，其中，q代表节点状态量个数，p代表状态量采集点个数，T_q×p中L组连续的节点状态量采集点的集合作为一个状态矩阵，其中L代表时间窗口长度；

步骤1.2、滑动时间窗口建模，得到当前状态矩阵和历史状态矩阵集合：假设k时刻下(X_v)_q×L为当前状态矩阵，其中，X_v＝[X_k-L+1,X_k-L+2,…,X_k]，令与当前状态矩阵相邻的矩阵为(X₁)_q×L，即X₁＝[X_k-2L+1,X_k-2L+2,…,X_k-L]。以(X₁)_q×L为基准，在滑动间隔长度为w，时间窗口长度L的前提下，将(X₁)_q×L沿时间轴逆向滑动，可得到第ζ个时间窗口下状态矩阵为：

X_ζ＝[x_{k-2L-w(ζ-1)+1},x_{k-2L-w(ζ-1)+2},…,x_k-L-w(ζ-1)]

通过滑动时间窗口建模，将离散的时间序列划分成多个q行L列的历史状态矩阵的集合，其中，时间窗口长度L大于滑动间隔长度w。

步骤1.3、通过状态矩阵相似度量指标，得到权重矩阵最优值和最优时间窗口长度：选取当前状态矩阵(X_v)_q×L，选取历史状态量数据库中任意两个状态矩阵A＝[a]_q×p与B＝[b]_q×p，相似度量指标定义如下：

其中，

根据相似度量指标，对于给定的相似度量阈值

时，称状态矩阵A和B互为耦合相似矩阵。选取状态矩阵A作为当前状态矩阵(X_v)_q×L，状态矩阵B作为历史状态矩阵。Λ为状态量权重矩阵，Λ_j(j＝{1,2,…,p})为q行列向量，Λ＝[Λ₁ Λ₂…Λ_p]＝[λ]_q×p，λ表示Λ中各个元素，在无量测量突变的情况下λ＝1。权重矩阵最优值

和最优时间窗口长度

的选取，满足如下条件：

步骤1.4、对于满足

的状态矩阵集，采用密度空间聚类算法遍历状态矩阵集中的所有矩阵，得到K个聚类簇。各聚类簇中心点C＝{C₁,C₂,…,C_K}满足的条件如下：

其中R_K为第K类簇中状态矩阵样本数，U_t为状态矩阵，M(C_K)为第K类簇中心点马氏距离和。

步骤1.5、比较当前状态矩阵(X_v)_q×L与各聚类中心状态矩阵的差异度，选取差异度最小的一个状态矩阵作为匹配最终结果，匹配得到的状态矩阵的跟随状态矩阵即为当前时刻状态量预测值。

所述差异度具体求解过程如下：对于一个状态矩阵(X)_q×L，设特征向量F为(f_x,f_y)，表示电网状态矩阵中某时刻点向量与状态矩阵平均值向量的最大、最小差值。设状态矩阵某时刻点向量与状态矩阵平均值之差为(C)_1×L，则：

其中，X_i(t_j)表示在时刻点t_j，第i个状态量对应数值。特征向量F表示为：

F＝(f_x,f_y)＝(Max(C)_1×L,Min(C)_1×L)

对于一个状态矩阵(X)_q×L，其特征趋势距离为其二范数D，表达式为：

对于任意一个状态矩阵，均可以通过特征向量与特征趋势距离构成的二元组G＝(F,D)表示。对于任意两个状态矩阵X_a和X_b，差异度δ_ab可表示为：

步骤2、基于PMU量测量历史数据中信息获取μ_his和σ_his，其中，μ_his和σ_his分别为

的数学期望和标准差，

为相邻两次采样时刻之间PMU量测量d_ij差值绝对值；

步骤3、对当前时刻获取的PMU量测量，采用传输线路等效阻抗法进行恶性数据注入攻击检测，并对PMU量测量中的恶性数据进行剔除与修正，得到攻击检测后的PMU量测量；

所述恶性数据注入攻击检测，具体步骤如下：

步骤3.1、设一段传输线位于节点i和j之间，且两节点均配有PMU，节点i电压幅值、相角分别表示为U_i和θ_i，节点j侧电压幅值、相角分别表示U_j和θ_j，节点i到j电流幅值和相角分别为I_ij和δ_ij，节点j到i电流幅值和相角分别为I_ji和δ_ji，基于PMU量测量获得传输线路等效阻抗

和

求解公式如下，同理可得

步骤3.2、基于

和

算出等效阻抗相量差的相角，设为d_ij，公式如下：

步骤3.3、计算当前时刻与前一采样时刻之间d_ij差值绝对值

代入PMU量测量的恶性数据攻击检测判据中；

所述PMU量测量的恶性数据攻击检测判据如下：

其中，τ₂为PMU量测量的恶性数据攻击检测判据检测阈值；

步骤3.4：如果当前采样时间点

满足恶性数据攻击检测判据，则判定具有恶性数据注入攻击，用PMU当前时刻状态量预测值替代判定已受攻击的PMU量测量，转到步骤3.3继续判断是否满足恶性数据攻击检测判据。如果还满足恶性数据攻击检测判据，则转到步骤1重新进行状态预测。直到当前采样时间点

不满足恶性数据攻击检测判据，得到攻击检测后的PMU量测量，转到步骤4；

步骤4、判断当前时刻是否采集SCADA仪表量测量，如果采集了SCADA仪表量测量，则转到步骤5，否则，基于攻击检测后的PMU量测量，采用PMU静态状态估计，得到PMU修正后的估计结果，将PMU修正后的估计结果上传到历史状态量数据库，转到步骤10；

步骤5、采集当前时刻获取的SCADA仪表量测量，并使用SCADA仪表量测量进行状态估计，得到SCADA仪表状态估计结果，基于传统不良数据检测机制剔除不良数据，保留剔除不良数据后的SCADA仪表量测量数据；

不良数据检测机制如下：

其中，τ₁为传统不良数据检测机制检测阈值；z为SCADA仪表量测量；

为SCADA仪表状态估计结果；h(·)是与SCADA仪表量测量和SCADA仪表状态估计结果有关的非线性函数；r为残差；

步骤6、将SCADA仪表状态估计结果与攻击检测后的PMU量测量进行混合状态估计，得到混合状态估计结果，对混合状态估计结果进行状态量一致性检验，如果不满足状态量一致性检验公式，则输出混合状态估计结果，将结果上传到历史状态量数据库，转到步骤10；若满足状态量一致性检验公式，则转到步骤7；

所述状态一致性检验公式如下：

其中，find(·)表示返回一个满足括号内条件的元素对应的线性索引的向量；||·||₀表示求取向量中非零元素的个数；

表示采用多维状态矩阵滑动匹配预测方法预测当前时刻状态，得到当前时刻状态量预测值，

表示当前时刻混合状态估计结果；(τ₃)_q×1是一个各元素均为阈值τ₃的q行1列矩阵；τ₃为状态一致性检验检测阈值；

步骤7、使用量测量一致性检验公式进行检验，若满足量测量一致性检验公式，则转到步骤8。若不满足量测量一致性检验公式，则输出当前时刻混合量测状态估计结果，将结果上传到历史状态量数据库，转到步骤10；

针对满足步骤6公式的节点状态量，进行量测量一致性检验，检验方式即将被锁定的状态量，即步骤6中满足状态量一致性检验的节点状态量，用其对应的当前时刻状态量预测值进行替换，组成新的状态量修正量x″，通过下式判断被锁定的节点状态量对应的量测量是否异常：

其中，τ₄为量测量一致性检验检测阈值，z为当前时刻SCADA仪表量测量，N为状态修正量测量与SCADA仪表量测量之差(h(x″)-z)的协方差矩阵，在无恶性数据攻击时，近似取作预测量测量与观测量测量之差

的协方差矩阵，即

σ_N＝diag(N)；R为量测量协方差矩阵；H为量测雅可比矩阵；

步骤8、采用残差分布偏离度检测方法剔除量测量突变情况的影响，最终检测出SCADA仪表量测量的恶性数据；若残差分布偏离度检测结果大于等于τ₅，则异常数据是由于存在SCADA仪表存在恶性数据导致的，转到步骤9；若残差分布偏离度检测结果小于τ₅，则异常数据是由于量测量突变情况导致的，则输出混合状态估计结果，将结果上传到历史状态量数据库，转到步骤10；具体过程如下：

残差分布偏离度检测检测向量

中各元素的分布与历史数据分布相比是否存在较大差异，残差分布偏离度检测公式如下式所示：

其中，τ₅为残差分布偏离度检测阈值，Γ为当前时刻异常数据检测算出的当前SCADA仪表量测量与修正量测量之间的残差向量；

为当前时刻向量Γ中元素的偏差程度；E[(x-μ_Γ)³]表示当前时刻向量Γ的三阶中心距；E[(x-μ_Γ)²]^3/2表示当前时刻向量Γ的标准差的三次方；

表示历史数据中

的均值；

表示历史数据中

的方差。

步骤9、对检测出的SCADA仪表恶性数据进行剔除和修正，将修正后的状态量上传到历史状态量数据库。为下一次预测时间点的状态预测提供数据支撑。

步骤9.1、当定位出当前时刻SCADA仪表量遭受恶性数据攻击后，对受攻击的量测量用h(x″)中对应的值进行替代，组成量测量修正量z″。

步骤9.2、将SCADA仪表量测量修正量z″重新进行状态估计，将新的状态估计结果

与原有预测值

进行状态一致性检验，若满足状态量一致性检验公式，则SCADA仪表上恶性数据已被剔除，转到步骤9.3。若仍不满足状态量一致性检验公式，说明状态预测不准确，需重新进行状态预测，之后返回步骤3；

步骤9.3、将无恶性数据的状态量修正量替代原有混合状态估计结果，上传至历史状态量数据库中，实现对恶性数据的修正，转到步骤10；

步骤10：本次状态预测结束，使用更新后的历史状态量数据库，执行下一次状态预测。

有益技术效果：

本发明提供一种面向混合量测的电网恶性数据注入攻击在线防御方法，本发明针对现有恶性数据注入攻击的研究大多忽视了PMU量测量存在恶性数据注入风险且在线防御方法缺乏剔除量测量突变情况影响的基础上，结合实际电网SCADA和PMU混合量测的方式，首先建立了SCADA和PMU混合状态估计模型，使分析结果更贴近于实际电网，且不存在SCADA和PMU量测量对时的影响；其次，分别提出了PMU量测量和SCADA仪表量测量的恶性数据检测方法：对于PMU量测量，基于传输线路等效阻抗法，结合提出的检测指标，能够明显检测出PMU中的恶性数据；对于SCADA仪表量测量，通过状态一致性检测、异常数据检测及残差分布偏离度检测能够有效检测出SCADA仪表中的恶性数据，并能剔除量测量突变情况的干扰；最后，提出了SCADA和PMU恶性数据的剔除与修正过程，以防止当恶性数据攻击的仪表过多时，剔除恶性数据造成的电力信息物理系统不可观测，同时修正的状态量可以为今后的状态预测提供可靠的数据支撑。

综上所述，本发明提出的一种面向SCADA和PMU混合量测的电力信息物理系统恶性数据注入攻击在线防御方法，能够在线有效检测SCADA和PMU仪表上的恶性数据，并能够剔除量测量突变对防御方法的干扰，提高了电力信息物理系统的安全可靠性及抵御恶性数据的能力，具有良好的应用前景。

附图说明

图1为本发明实施例的总体流程图；

图2为本发明实施例的不同采样时间点下SCADA和PMU混合状态估计流程图；

图3为本发明实施例的PMU量测量恶性数据注入攻击检测结果图，其中，图3(a)为注入量5％的PMU恶性数据检测结果，图3(b)为注入量1％的PMU恶性数据检测结果；

图4为本发明实施例的三种检测方法的ROC性能对比结果图，其中，图4(a)为IEEE-14节点系统仿真结果，图4(b)为IEEE-118节点系统仿真结果。

具体实施方式

下面结合附图和具体实施实例对发明做进一步说明，一种面向混合量测的电网恶性数据注入攻击在线防御方法，如图1所示，包括以下步骤：

步骤1、构建SCADA和PMU混合量测的历史状态量数据库，基于历史状态量数据库信息，采用多维状态矩阵滑动匹配预测方法预测当前时刻状态，得到当前时刻状态量预测值；

所述多维状态矩阵滑动匹配方法，如图2所示，f具体步骤如下：

步骤1.1、构建多维状态矩阵：将历史状态量数据库中历史节点状态量按时间顺序排列，构成一个q行p列多维时间序列矩阵T_q×p，其中，q代表节点状态量个数，p代表状态量采集点个数，T_q×p中L组连续的节点状态量采集点的集合作为一个状态矩阵，其中L代表时间窗口长度；

步骤1.2、滑动时间窗口建模，得到当前状态矩阵和历史状态矩阵集合：假设k时刻下(X_v)_q×L为当前状态矩阵，其中，X_v＝[X_k-L+1,X_k-L+2,…,X_k]，令与当前状态矩阵相邻的矩阵为(X₁)_q×L，即X₁＝[X_k-2L+1,X_k-2L+2,…,X_k-L]。以(X₁)_q×L为基准，在滑动间隔长度为w，时间窗口长度L的前提下，将(X₁)_q×L沿时间轴逆向滑动，可得到第ζ个时间窗口下状态矩阵为：

X_ζ＝[x_{k-2L-w(ζ-1)+1},x_{k-2L-w(ζ-1)+2},…,x_k-L-w(ζ-1)]

通过滑动时间窗口建模，将离散的时间序列划分成多个q行L列的历史状态矩阵的集合，其中，时间窗口长度L大于滑动间隔长度w。

步骤1.3、通过状态矩阵相似度量指标，得到权重矩阵最优值和最优时间窗口长度：选取当前状态矩阵(X_v)_q×L，选取历史状态量数据库中任意两个状态矩阵A＝[a]_q×p与B＝[b]_q×p，相似度量指标定义如下：

其中，

根据相似度量指标，对于给定的相似度量阈值

时，称状态矩阵A和B互为耦合相似矩阵。选取状态矩阵A作为当前状态矩阵(X_v)_q×L，状态矩阵B作为历史状态矩阵。Λ为状态量权重矩阵，Λ_j(j＝{1,2,…,p})为q行列向量，Λ＝[Λ₁ Λ₂…Λ_p]＝[λ]_q×p，λ表示Λ中各个元素，在无量测量突变的情况下λ＝1。权重矩阵最优值

和最优时间窗口长度

的选取，满足如下条件：

步骤1.4、对于满足

的状态矩阵集，采用密度空间聚类算法遍历状态矩阵集中的所有矩阵，得到K个聚类簇。各聚类簇中心点C＝{C₁,C₂,…,C_K}满足的条件如下：

其中R_K为第K类簇中状态矩阵样本数，U_t为状态矩阵，M(C_K)为第K类簇中心点马氏距离和。

步骤1.5、比较当前状态矩阵(X_v)_q×L与各聚类中心状态矩阵的差异度，选取差异度最小的一个状态矩阵作为匹配最终结果，匹配得到的状态矩阵的跟随状态矩阵即为当前时刻状态量预测值。

所述差异度具体求解过程如下：对于一个状态矩阵(X)_q×L，设特征向量F为(f_x,f_y)，表示电网状态矩阵中某时刻点向量与状态矩阵平均值向量的最大、最小差值。设状态矩阵某时刻点向量与状态矩阵平均值之差为(C)_1×L，则：

其中，X_i(t_j)表示在时刻点t_j，第i个状态量对应数值。特征向量F表示为：

F＝(f_x,f_y)＝(Max(C)_1×L,Min(C)_1×L)

对于一个状态矩阵(X)_q×L，其特征趋势距离为其二范数D，表达式为：

对于任意一个状态矩阵，均可以通过特征向量与特征趋势距离构成的二元组G＝(F,D)表示。对于任意两个状态矩阵X_a和X_b，差异度δ_ab可表示为：

步骤2、基于PMU量测量历史数据中信息获取μ_his和σ_his，其中，μ_his和σ_his分别为

的数学期望和标准差，

为相邻两次采样时刻之间PMU量测量d_ij差值绝对值；

步骤3、对当前时刻获取的PMU量测量，采用传输线路等效阻抗法进行恶性数据注入攻击检测，并对PMU量测量中的恶性数据进行剔除与修正，得到攻击检测后的PMU量测量；

所述恶性数据注入攻击检测，具体步骤如下：

步骤3.1、设一段传输线位于节点i和j之间，且两节点均配有PMU，节点i电压幅值、相角分别表示为U_i和θ_i，节点j侧电压幅值、相角分别表示U_j和θ_j，节点i到j电流幅值和相角分别为I_ij和δ_ij，节点j到i电流幅值和相角分别为I_ji和δ_ji，基于PMU量测量获得传输线路等效阻抗

和

求解公式如下，同理可得

步骤3.2、基于

和

算出等效阻抗相量差的相角，设为d_ij，公式如下：

步骤3.3、计算当前时刻与前一采样时刻之间d_ij差值绝对值

代入PMU量测量的恶性数据攻击检测判据中。检测阈值τ₂的选取与期望的误报率和漏报率有关。

所述PMU量测量的恶性数据攻击检测判据如下：

其中，τ₂为检测阈值；

步骤3.4：如果当前采样时间点

满足恶性数据攻击检测判据，则判定具有恶性数据注入攻击，用PMU当前时刻状态量预测值替代判定已受攻击的PMU量测量，转到步骤3.3继续判断是否满足恶性数据攻击检测判据。如果还满足恶性数据攻击检测判据，则转到步骤1重新进行状态预测。直到当前采样时间点

不满足恶性数据攻击检测判据，得到攻击检测后的PMU量测量，转到步骤4；

本发明以IEEE-14节点系统为例，在无攻击环境下进行连续3小时的状态预测，并与传统自回归模型预测方法对比。选取的负荷数据来自美国纽约电力管理局公布的电力负荷数据。本发明状态预测所需参数有：相似度量阈值

聚类分析所用核心半径r＝0.0011，聚类分析所用最小数目MinPts＝3，每次状态预测的回滑时间窗口数设为1000，滑动单位w＝1，预测时长L＝4。本实验每30s采集一组数据，3小时内共计360个采集点；对于IEEE-118节点系统，w＝1，L＝20。基于1年无攻击的历史数据获取μ_his和σ_his，得到μ_his＝2.38×10^-4rad，σ_his＝7.35×10^-4rad。选取阈值τ₂＝40000。选取节点9的PMU所测电压相角并注入恶性数据，注入量为原量测量的1％和5％。之后连续采集1小时PMU数据，获取共9000个数据样本，其中每隔1000个样本注入一次恶性数据，共计9次。

图3所示为不同注入量下攻击检测结果。从图3中可以看出，当PMU量测量中存在恶性数据时，当前时刻与前一采样时刻d_ij差值绝对值

明显高于无攻击情况，所有攻击均可通过本发明方法检测出来。且注入量越大，偏差越明显。

步骤4、判断当前时刻是否采集SCADA仪表量测量，如果采集了SCADA仪表量测量，则转到步骤5，否则，基于攻击检测后的PMU量测量，采用PMU静态状态估计，得到PMU修正后的估计结果，将PMU修正后的估计结果上传到历史状态量数据库，转到步骤10；

步骤5、采集当前时刻获取的SCADA仪表量测量，并使用SCADA仪表量测量进行状态估计，得到SCADA仪表状态估计结果，基于传统不良数据检测机制剔除不良数据，保留剔除不良数据后的SCADA仪表量测量数据；

不良数据检测机制如下：z为SCADA仪表量测量；

为SCADA仪表状态估计结果；h(·)是与SCADA仪表量测量和SCADA仪表状态估计结果有关的非线性函数；r为残差；检测阈值τ₁与卡方分布相关：

该步骤为传统不良数据检测机制，在电网中由于各节点的SCADA仪表一般采用冗余配置，剔除不良数据一般不会影响系统全观测的能力，因此检测出的不良数据直接剔除，并保留SCADA仪表正常的量测数据即可。该不良数据的产生一般归因于仪表损坏或通信线路故障等。

步骤6、将SCADA仪表状态估计结果与攻击检测后的PMU量测量进行混合状态估计，得到混合状态估计结果，对混合状态估计结果进行状态量一致性检验，如果不满足状态量一致性检验公式，则输出混合状态估计结果，将结果上传到历史状态量数据库。若满足状态量一致性检验公式，则转到步骤7；

所述状态一致性检验公式如下：

其中，find(·)表示返回一个满足括号内条件的元素对应的线性索引的向量；||·||₀表示求取向量中非零元素的个数；

表示采用多维状态矩阵滑动匹配预测方法预测当前时刻状态，得到当前时刻状态量预测值，

表示当前时刻混合状态估计结果；(τ₃)_q×1是一个各元素均为阈值τ₃的q行1列矩阵，选取的阈值τ₃应小于能够对电网运行造成破坏的节点状态量最小攻击幅值。若结果满足上式，则说明当前系统存在异常的状态量。

该步骤用于检验当前时刻状态量预测值与混合状态估计结果是否有较大差别，如果没有较大差别，说明当前系统不存在能够对系统运行造成破坏的恶性数据，输出当前时刻混合量测状态估计结果，将结果上传到历史状态量数据库。反之，则进行步骤7和步骤8，判断这种差别是否是由于恶性数据注入造成的。

步骤7、使用量测量一致性检验公式进行检验，若满足量测量一致性检验公式，则转到步骤8。若不满足量测量一致性检验公式，则输出当前时刻混合量测状态估计结果，将结果上传到历史状态量数据库。

针对满足步骤6公式的节点状态量，进行量测量一致性检验，检验方式即将被锁定的状态量，即步骤6中满足状态量一致性检验的节点状态量，用其对应的当前时刻状态量预测值进行替换，组成新的状态量修正量x″，通过下式判断被锁定的节点状态量对应的量测量是否异常：

其中，z为当前时刻SCADA仪表量测量，N为状态修正量测量与SCADA仪表量测量之差(h(x″)-z)的协方差矩阵，在无恶性数据攻击时，近似取作预测量测量与观测量测量之差

的协方差矩阵，即

σ_N＝diag(N)；R为量测量协方差矩阵；H为量测雅可比矩阵；阈值τ₄大小与期望的误报率和漏报率有关。若结果满足上式，则认为当前系统存在异常量测量，该异常量测量的产生主要由恶性数据注入攻击或量测量突变引起。

步骤8、采用残差分布偏离度检测方法剔除量测量突变情况的影响，最终检测出SCADA仪表量测量的恶性数据；若残差分布偏离度检测结果大于等于τ₅，则异常数据是由于存在SCADA仪表存在恶性数据导致的，转到步骤9；若残差分布偏离度检测结果小于τ₅，则异常数据是由于量测量突变情况导致的，则输出混合状态估计结果，将结果上传到历史状态量数据库。具体过程如下：

残差分布偏离度检测检测向量

中各元素的分布与历史数据分布相比是否存在较大差异，残差分布偏离度检测公式如下式所示：

其中，Γ为当前时刻异常数据检测算出的当前SCADA仪表量测量与修正量测量之间的残差向量；

为当前时刻向量Γ中元素的偏差程度；E[(x-μ_Γ)³]表示当前时刻向量Γ的三阶中心距；E[(x-μ_Γ)²]^3/2表示当前时刻向量Γ的标准差的三次方；

表示历史数据中

的均值；

表示历史数据中

的方差。τ₅的选取与检测误报率和漏报率有关。若结果大于τ₅，则异常数据是由于存在SCADA仪表存在恶性数据导致的；若结果小于τ₅，则异常数据是由于量测量突变情况导致的。由于量测量突变期间攻击者进行恶性数据注入攻击需要获取电网内充足的信息，并在突变情况时间内完成攻击，相比于电网正常情况要求获取的信息量多，攻击困难程度极高，因此本发明忽略该类情况。通过残差分布偏离度检测可以有效剔除量测量突变情况对恶性数据注入攻击检测的干扰。

步骤9、对检测出的SCADA仪表恶性数据进行剔除和修正，将修正后的状态量上传到历史状态量数据库。为下一次预测时间点的状态预测提供数据支撑。

步骤9.1、当定位出当前时刻SCADA仪表量遭受恶性数据攻击后，对受攻击的量测量用h(x″)中对应的值进行替代，组成量测量修正量z″。

步骤9.2、将SCADA仪表量测量修正量z″重新进行状态估计，将新的状态估计结果

与原有预测值

进行状态一致性检验，若满足状态量一致性检验公式，则SCADA仪表上恶性数据已被剔除，转到步骤9.3。若仍不满足状态量一致性检验公式，说明状态预测不准确，需重新进行状态预测，返回步骤3；

重新进行状态预测时，只是说明当前预测不准，需重新预测，每次预测结果肯定不是完全一样的，有时候会造成预测偏差大导致状态一致性检测器误报，这种情况下需重新预测并检测SCADA仪表恶性数据。

步骤9.3、将无恶性数据的状态量修正量替代原有混合状态估计结果，上传至历史状态量数据库中，实现对恶性数据的修正。

步骤10：本次状态预测结束，使用更新后的历史状态量数据库，执行下一次状态预测。

以IEEE-14和IEEE-118节点系统为例，其中IEEE-118节点系统状态预测所需参数与IEEE-14节点系统相比，仅预测时长L＝20有区别。采用本发明检测方法与传统检测方法(

法)及基于自回归模型预测的检测方法对比分析。

法：

基于自回归模型预测的检测法：

其中

为量测误差协方差矩阵；H为量测雅可比矩阵；

选取随机恶性数据注入攻击作为本发明攻击模型，该类攻击是电力信息物理系统中最常见的恶性数据攻击之一。假设攻击者能够攻击所有SCADA仪表，在IEEE-14与IEEE-118节点系统中分别模拟稀疏度为2和稀疏度为10的随机攻击，受攻击的状态量变化值在正常状态量的10％到20％内变动。本发明τ₁根据置信度阈值进行选取，给定τ₃＝0.001，τ₄＝3，采用ROC曲线表示恶性数据检测率与检测方法置信度阈值之间关系。考虑到系统规模的不同，在IEEE-14节点系统上实验500次，在IEEE-118节点系统上实验300次。图4所示为三种检测方法性能比较结果，由结果分析可知，本发明方法相比于传统检测方法具有更好的检测恶性数据的能力，且能够针对传统方法无法检测到的PMU量测量上的恶性数据进行检测。

通过以上的分析和仿真可以看出：本发明提出了一种面向SCADA和PMU混合量测的电力信息物理系统恶性数据注入攻击在线防御方法。相比于以往研究，本发明可以实现PMU恶性数据的检测及剔除量测量突变对检测恶性数据的干扰。本发明为电力信息物理系统恶性数据防御与量测量突变干扰的剔除提供了一种解决思路，对于改善目前处于发展阶段且安全标准不够完善的电力信息物理系统具有一定的现实意义。

Claims (2)

1.一种面向混合量测的电网恶性数据注入攻击在线防御方法，其特征在于，具体步骤如下：

步骤1、构建SCADA和PMU混合量测的历史状态量数据库，基于历史状态量数据库信息，采用多维状态矩阵滑动匹配预测方法预测当前时刻状态，得到当前时刻状态量预测值；

步骤2、基于PMU量测量历史数据中信息获取μ_his和σ_his，其中，μ_his和σ_his分别为

的数学期望和标准差，

为相邻两次采样时刻之间PMU量测量d_ij差值绝对值；

步骤3、对当前时刻获取的PMU量测量，采用传输线路等效阻抗法进行恶性数据注入攻击检测，并对PMU量测量中的恶性数据进行剔除与修正，得到攻击检测后的PMU量测量；

所述恶性数据注入攻击检测，具体步骤如下：

步骤3.1、设一段传输线位于节点i和j之间，且两节点均配有PMU，节点i电压幅值、相角分别表示为U_i和θ_i，节点j侧电压幅值、相角分别表示U_j和θ_j，节点i到j电流幅值和相角分别为I_ij和δ_ij，节点j到i电流幅值和相角分别为I_ji和δ_ji，基于PMU量测量获得传输线路等效阻抗

和

求解公式如下，同理可得

步骤3.2、基于

和

算出等效阻抗相量差的相角，设为d_ij，公式如下：

步骤3.3、计算当前时刻与前一采样时刻之间d_ij差值绝对值

代入PMU量测量的恶性数据攻击检测判据中；

所述PMU量测量的恶性数据攻击检测判据如下：

其中，τ₂为PMU量测量的恶性数据攻击检测判据检测阈值；

步骤3.4：如果当前采样时间点

满足恶性数据攻击检测判据，则判定具有恶性数据注入攻击，用PMU当前时刻状态量预测值替代判定已受攻击的PMU量测量，转到步骤3.3继续判断是否满足恶性数据攻击检测判据，如果还满足恶性数据攻击检测判据，则转到步骤1重新进行状态预测，直到当前采样时间点

不满足恶性数据攻击检测判据，得到攻击检测后的PMU量测量；

步骤4、判断当前时刻是否采集SCADA仪表量测量，如果采集了SCADA仪表量测量，则转到步骤5，否则，基于攻击检测后的PMU量测量，采用PMU静态状态估计，得到PMU修正后的估计结果，将PMU修正后的估计结果上传到历史状态量数据库，转到步骤10；

步骤5、采集当前时刻获取的SCADA仪表量测量，并使用SCADA仪表量测量进行状态估计，得到SCADA仪表状态估计结果，基于传统不良数据检测机制剔除不良数据，保留剔除不良数据后的SCADA仪表量测量数据；

不良数据检测机制如下：

其中，τ₁为传统不良数据检测机制检测阈值；z为SCADA仪表量测量；

为SCADA仪表状态估计结果；h(·)是与SCADA仪表量测量和SCADA仪表状态估计结果有关的非线性函数；r为残差；

步骤6、将SCADA仪表状态估计结果与攻击检测后的PMU量测量进行混合状态估计，得到混合状态估计结果，对混合状态估计结果进行状态量一致性检验，如果不满足状态量一致性检验公式，则输出混合状态估计结果，将结果上传到历史状态量数据库，转到步骤10；若满足状态量一致性检验公式，则转到步骤7；

所述状态一致性检验公式如下：

其中，find(·)表示返回一个满足括号内条件的元素对应的线性索引的向量；||·||₀表示求取向量中非零元素的个数；

表示采用多维状态矩阵滑动匹配预测方法预测当前时刻状态，得到当前时刻状态量预测值，

表示当前时刻混合状态估计结果；(τ₃)_q×1是一个各元素均为阈值τ₃的q行1列矩阵；τ₃为状态一致性检验检测阈值；

步骤7、使用量测量一致性检验公式进行检验，若满足量测量一致性检验公式，则转到步骤8；若不满足量测量一致性检验公式，则输出当前时刻混合量测状态估计结果，将结果上传到历史状态量数据库，转到步骤10；

所述量测量一致性检验具体过程如下：针对满足步骤6公式的节点状态量，进行量测量一致性检验，检验方式即将被锁定的状态量，即步骤6中满足状态量一致性检验的节点状态量，用其对应的当前时刻状态量预测值进行替换，组成新的状态量修正量x″，通过下式判断被锁定的节点状态量对应的量测量是否异常：

其中，τ₄为量测量一致性检验检测阈值，z为当前时刻SCADA仪表量测量，N为状态修正量测量与SCADA仪表量测量之差(h(x″)-z)的协方差矩阵，在无恶性数据攻击时，取作预测量测量与观测量测量之差

的协方差矩阵，即

σ_N＝diag(N)；R为量测量协方差矩阵；H为量测雅可比矩阵；

步骤8、采用残差分布偏离度检测方法剔除量测量突变情况的影响，最终检测出SCADA仪表量测量的恶性数据；若残差分布偏离度检测结果大于等于τ₅，则异常数据是由于存在SCADA仪表存在恶性数据导致的，转到步骤9；若残差分布偏离度检测结果小于τ₅，则异常数据是由于量测量突变情况导致的，则输出混合状态估计结果，将结果上传到历史状态量数据库，转到步骤10；具体过程如下：

残差分布偏离度检测检测向量

中各元素的分布与历史数据分布相比是否存在较大差异，残差分布偏离度检测公式如下式所示：

其中，τ₅为残差分布偏离度检测阈值，Γ为当前时刻异常数据检测算出的当前SCADA仪表量测量与修正量测量之间的残差向量；

为当前时刻向量Γ中元素的偏差程度；E[(x-μ_Γ)³]表示当前时刻向量Γ的三阶中心距；E[(x-μ_Γ)²]^3/2表示当前时刻向量Γ的标准差的三次方；

表示历史数据中

的均值；

表示历史数据中

的方差；

步骤9、对检测出的SCADA仪表恶性数据进行剔除和修正，将修正后的状态量上传到历史状态量数据库；

步骤9.1、当定位出当前时刻SCADA仪表量遭受恶性数据攻击后，对受攻击的量测量用h(x″)中对应的值进行替代，组成量测量修正量z″；

步骤9.2、将SCADA仪表量测量修正量z″重新进行状态估计，将新的状态估计结果

与原有预测值

进行状态一致性检验，若满足状态量一致性检验公式，则SCADA仪表上恶性数据已被剔除，转到步骤9.3，若仍不满足状态量一致性检验公式，说明状态预测不准确，需重新进行状态预测，之后返回步骤3；

步骤9.3、将无恶性数据的状态量修正量替代原有混合状态估计结果，上传至历史状态量数据库中，转到步骤10；

步骤10：本次状态预测结束，使用更新后的历史状态量数据库，执行下一次状态预测。

2.根据权利要求1所述一种面向混合量测的电网恶性数据注入攻击在线防御方法，其特征在于，步骤1中，所述多维状态矩阵滑动匹配方法，具体步骤如下：

步骤1.1、构建多维状态矩阵：将历史状态量数据库中历史节点状态量按时间顺序排列，构成一个q行p列多维时间序列矩阵T_q×p，其中，q代表节点状态量个数，p代表状态量采集点个数，T_q×p中L组连续的节点状态量采集点的集合作为一个状态矩阵，其中L代表时间窗口长度；

步骤1.2、滑动时间窗口建模，得到当前状态矩阵和历史状态矩阵集合：假设k时刻下(X_v)_q×L为当前状态矩阵，其中，X_v＝[X_k-L+1,X_k-L+2,…,X_k]，令与当前状态矩阵相邻的矩阵为(X₁)_q×L，即X₁＝[X_k-2L+1,X_k-2L+2,…,X_k-L]，以(X₁)_q×L为基准，在滑动间隔长度为w，时间窗口长度L的前提下，将(X₁)_q×L沿时间轴逆向滑动，可得到第ζ个时间窗口下状态矩阵为：

X_ζ＝[x_{k-2L-w(ζ-1)+1},x_{k-2L-w(ζ-1)+2},…,x_k-L-w(ζ-1)]

通过滑动时间窗口建模，将离散的时间序列划分成多个q行L列的历史状态矩阵的集合，其中，时间窗口长度L大于滑动间隔长度w；

步骤1.3、通过状态矩阵相似度量指标，得到权重矩阵最优值和最优时间窗口长度：选取当前状态矩阵(X_v)_q×L，选取历史状态量数据库中任意两个状态矩阵A＝[a]_q×p与B＝[b]_q×p，相似度量指标定义如下：

其中，

根据相似度量指标，对于给定的相似度量阈值

时，称状态矩阵A和B互为耦合相似矩阵，选取状态矩阵A作为当前状态矩阵(X_v)_q×L，状态矩阵B作为历史状态矩阵，Λ为状态量权重矩阵，Λ_j(j＝{1,2,…,p})为q行列向量，Λ＝[Λ₁ Λ₂ … Λ_p]＝[λ]_q×p，λ表示Λ中各个元素，权重矩阵最优值

和最优时间窗口长度

的选取，满足如下条件：

步骤1.4、对于满足

的状态矩阵集，采用密度空间聚类算法遍历状态矩阵集中的所有矩阵，得到K个聚类簇，各聚类簇中心点C＝{C₁,C₂,…,C_K}满足的条件如下：

其中R_K为第K类簇中状态矩阵样本数，U_t为状态矩阵，M(C_K)为第K类簇中心点马氏距离和；

步骤1.5、比较当前状态矩阵(X_v)_q×L与各聚类中心状态矩阵的差异度，选取差异度最小的一个状态矩阵作为匹配最终结果，匹配得到的状态矩阵的跟随状态矩阵即为当前时刻状态量预测值；

所述差异度具体求解过程如下：对于一个状态矩阵(X)_q×L，设特征向量F为(f_x,f_y)，表示电网状态矩阵中某时刻点向量与状态矩阵平均值向量的最大、最小差值，设状态矩阵某时刻点向量与状态矩阵平均值之差为(C)_1×L，则：

其中，X_i(t_j)表示在时刻点t_j，第i个状态量对应数值，特征向量F表示为：

F＝(f_x,f_y)＝(Max(C)_1×L,Min(C)_1×L)

对于一个状态矩阵(X)_q×L，其特征趋势距离为其二范数D，表达式为：

对于任意一个状态矩阵，均可以通过特征向量与特征趋势距离构成的二元组G＝(F,D)表示，对于任意两个状态矩阵X_a和X_b，差异度δ_ab可表示为：

Images