CN109921415B - 一种面向混合量测的电网恶性数据注入攻击在线防御方法 - Google Patents
一种面向混合量测的电网恶性数据注入攻击在线防御方法 Download PDFInfo
- Publication number
- CN109921415B CN109921415B CN201910188447.9A CN201910188447A CN109921415B CN 109921415 B CN109921415 B CN 109921415B CN 201910188447 A CN201910188447 A CN 201910188447A CN 109921415 B CN109921415 B CN 109921415B
- Authority
- CN
- China
- Prior art keywords
- state
- measurement
- matrix
- data
- pmu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/22—Flexible AC transmission systems [FACTS] or power factor or reactive power compensating or correcting units
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出一种面向混合量测的电网恶性数据注入攻击在线防御方法,包括:建立了SCADA和PMU混合状态估计模型;分别提出了PMU量测量和SCADA仪表量测量的恶性数据检测方法:对于PMU量测量,基于传输线路等效阻抗法,结合提出的检测指标,能够明显检测出PMU中的恶性数据;对于SCADA仪表量测量,通过状态一致性检测、异常数据检测及残差分布偏离度检测能够有效检测出SCADA仪表中的恶性数据,并能剔除量测量突变情况的干扰,此外,本发明提出了SCADA和PMU恶性数据的剔除与修正过程。通过本发明能够在线有效检测、识别和剔除SCADA和PMU仪表上的恶性数据,提高了电力信息物理系统的安全可靠性及抵御恶性数据的能力,具有良好的应用前景。
Description
技术领域
本发明属于电力系统安全技术领域,具体涉及一种面向混合量测的电网恶性数据注入攻击在线防御方法。
背景技术
计算技术、通信技术和智能控制技术的迅猛发展促成了当今电力信息物理系统架构的形成。电力信息物理系统各环节均离不开信息系统的功能支撑,为保证电力信息物理系统安全运行,需要监视控制与数据采集(SCADA)系统与相量测量单元(PMU)的数据和命令传输功能以及控制中心能量管理系统(EMS)的信息处理、分析与决策的辅助。随着系统复杂程度的增加,这种信息交换愈发频繁,加剧了信息系统外部威胁与网络攻击的风险,也使恶性数据注入攻击侵入电网提供了可能。
恶性数据注入攻击作为网络攻击中最具威胁性的攻击之一,最早由Liu于2009年提出。该攻击利用传统状态估计的漏洞,可以避开不良数据检测机制。随着研究的深入,攻击者在获取较少资源下完成恶性数据注入攻击的方法已经取得不错的进展。
现阶段恶性数据防御手段大致可分为两类:1)线下防御和2)线上防御。线下防御主要采用保护一部分关键量测量或优化配置PMU实现系统数据全部可被观测的方式遏制恶性数据的注入;线上防御通过比较当前获取的量测数据与通过其他方法预测的数据进行一致性检测,用以检测和识别恶性数据,预测方法分为多种,例如自回归模型预测、基于PMU量测量预测、机器学习预测和Kullback-Leibler距离法预测等。现有方法虽已取得实质性的进展,但仍存在些许不足:多数方法将PMU量测量视为绝对安全可靠的数据,忽视了PMU存在恶性数据注入攻击的可能。PMU数据虽然可以通过持续监视或加密的方式保证数据的安全可靠,然而对于实际大规模电网而言,这种保护方式不仅消耗的成本高,且随着信息系统的发展,PMU部署在电网的数量只增不减,导致电网没有足够的精力对所有PMU均采用同样的保护方式。此外,现有的在线防御方法忽略了量测量突变情况对预测的影响,如何防止量测量突变情况被误判为恶性数据注入攻击也是当今电力信息物理系统网络攻击防御需思考的一个问题。
发明内容
基于以上技术不足,本发明基于现有电力信息物理系统中SCADA和PMU混合量测场景,提出了一种综合考虑SCADA和PMU数据遭受恶性数据注入攻击时的在线检测方法,该方法的提出为PMU恶性数据的检测及剔除量测量突变干扰提供了一种解决思路,对于改善目前处于发展阶段且安全标准不够完善的电力信息物理系统具有一定的现实意义。
一种面向混合量测的电网恶性数据注入攻击在线防御方法,具体步骤如下:
步骤1、构建SCADA和PMU混合量测的历史状态量数据库,基于历史状态量数据库信息,采用多维状态矩阵滑动匹配预测方法预测当前时刻状态,得到当前时刻状态量预测值;
所述多维状态矩阵滑动匹配方法,具体步骤如下:
步骤1.1、构建多维状态矩阵:将历史状态量数据库中历史节点状态量按时间顺序排列,构成一个q行p列多维时间序列矩阵Tq×p,其中,q代表节点状态量个数,p代表状态量采集点个数,Tq×p中L组连续的节点状态量采集点的集合作为一个状态矩阵,其中L代表时间窗口长度;
步骤1.2、滑动时间窗口建模,得到当前状态矩阵和历史状态矩阵集合:假设k时刻下(Xv)q×L为当前状态矩阵,其中,Xv=[Xk-L+1,Xk-L+2,…,Xk],令与当前状态矩阵相邻的矩阵为(X1)q×L,即X1=[Xk-2L+1,Xk-2L+2,…,Xk-L]。以(X1)q×L为基准,在滑动间隔长度为w,时间窗口长度L的前提下,将(X1)q×L沿时间轴逆向滑动,可得到第ζ个时间窗口下状态矩阵为:
Xζ=[xk-2L-w(ζ-1)+1,xk-2L-w(ζ-1)+2,…,xk-L-w(ζ-1)]
通过滑动时间窗口建模,将离散的时间序列划分成多个q行L列的历史状态矩阵的集合,其中,时间窗口长度L大于滑动间隔长度w。
步骤1.3、通过状态矩阵相似度量指标,得到权重矩阵最优值和最优时间窗口长度:选取当前状态矩阵(Xv)q×L,选取历史状态量数据库中任意两个状态矩阵A=[a]q×p与B=[b]q×p,相似度量指标定义如下:
其中,根据相似度量指标,对于给定的相似度量阈值 时,称状态矩阵A和B互为耦合相似矩阵。选取状态矩阵A作为当前状态矩阵(Xv)q×L,状态矩阵B作为历史状态矩阵。Λ为状态量权重矩阵,Λj(j={1,2,…,p})为q行列向量,Λ=[Λ1 Λ2…Λp]=[λ]q×p,λ表示Λ中各个元素,在无量测量突变的情况下λ=1。权重矩阵最优值和最优时间窗口长度的选取,满足如下条件:
其中RK为第K类簇中状态矩阵样本数,Ut为状态矩阵,M(CK)为第K类簇中心点马氏距离和。
步骤1.5、比较当前状态矩阵(Xv)q×L与各聚类中心状态矩阵的差异度,选取差异度最小的一个状态矩阵作为匹配最终结果,匹配得到的状态矩阵的跟随状态矩阵即为当前时刻状态量预测值。
所述差异度具体求解过程如下:对于一个状态矩阵(X)q×L,设特征向量F为(fx,fy),表示电网状态矩阵中某时刻点向量与状态矩阵平均值向量的最大、最小差值。设状态矩阵某时刻点向量与状态矩阵平均值之差为(C)1×L,则:
其中,Xi(tj)表示在时刻点tj,第i个状态量对应数值。特征向量F表示为:
F=(fx,fy)=(Max(C)1×L,Min(C)1×L)
对于一个状态矩阵(X)q×L,其特征趋势距离为其二范数D,表达式为:
对于任意一个状态矩阵,均可以通过特征向量与特征趋势距离构成的二元组G=(F,D)表示。对于任意两个状态矩阵Xa和Xb,差异度δab可表示为:
步骤3、对当前时刻获取的PMU量测量,采用传输线路等效阻抗法进行恶性数据注入攻击检测,并对PMU量测量中的恶性数据进行剔除与修正,得到攻击检测后的PMU量测量;
所述恶性数据注入攻击检测,具体步骤如下:
步骤3.1、设一段传输线位于节点i和j之间,且两节点均配有PMU,节点i电压幅值、相角分别表示为Ui和θi,节点j侧电压幅值、相角分别表示Uj和θj,节点i到j电流幅值和相角分别为Iij和δij,节点j到i电流幅值和相角分别为Iji和δji,基于PMU量测量获得传输线路等效阻抗和 求解公式如下,同理可得
所述PMU量测量的恶性数据攻击检测判据如下:
其中,τ2为PMU量测量的恶性数据攻击检测判据检测阈值;
步骤3.4:如果当前采样时间点满足恶性数据攻击检测判据,则判定具有恶性数据注入攻击,用PMU当前时刻状态量预测值替代判定已受攻击的PMU量测量,转到步骤3.3继续判断是否满足恶性数据攻击检测判据。如果还满足恶性数据攻击检测判据,则转到步骤1重新进行状态预测。直到当前采样时间点不满足恶性数据攻击检测判据,得到攻击检测后的PMU量测量,转到步骤4;
步骤4、判断当前时刻是否采集SCADA仪表量测量,如果采集了SCADA仪表量测量,则转到步骤5,否则,基于攻击检测后的PMU量测量,采用PMU静态状态估计,得到PMU修正后的估计结果,将PMU修正后的估计结果上传到历史状态量数据库,转到步骤10;
步骤5、采集当前时刻获取的SCADA仪表量测量,并使用SCADA仪表量测量进行状态估计,得到SCADA仪表状态估计结果,基于传统不良数据检测机制剔除不良数据,保留剔除不良数据后的SCADA仪表量测量数据;
不良数据检测机制如下:
步骤6、将SCADA仪表状态估计结果与攻击检测后的PMU量测量进行混合状态估计,得到混合状态估计结果,对混合状态估计结果进行状态量一致性检验,如果不满足状态量一致性检验公式,则输出混合状态估计结果,将结果上传到历史状态量数据库,转到步骤10;若满足状态量一致性检验公式,则转到步骤7;
所述状态一致性检验公式如下:
其中,find(·)表示返回一个满足括号内条件的元素对应的线性索引的向量;||·||0表示求取向量中非零元素的个数;表示采用多维状态矩阵滑动匹配预测方法预测当前时刻状态,得到当前时刻状态量预测值,表示当前时刻混合状态估计结果;(τ3)q×1是一个各元素均为阈值τ3的q行1列矩阵;τ3为状态一致性检验检测阈值;
步骤7、使用量测量一致性检验公式进行检验,若满足量测量一致性检验公式,则转到步骤8。若不满足量测量一致性检验公式,则输出当前时刻混合量测状态估计结果,将结果上传到历史状态量数据库,转到步骤10;
针对满足步骤6公式的节点状态量,进行量测量一致性检验,检验方式即将被锁定的状态量,即步骤6中满足状态量一致性检验的节点状态量,用其对应的当前时刻状态量预测值进行替换,组成新的状态量修正量x″,通过下式判断被锁定的节点状态量对应的量测量是否异常:
其中,τ4为量测量一致性检验检测阈值,z为当前时刻SCADA仪表量测量,N为状态修正量测量与SCADA仪表量测量之差(h(x″)-z)的协方差矩阵,在无恶性数据攻击时,近似取作预测量测量与观测量测量之差的协方差矩阵,即σN=diag(N);R为量测量协方差矩阵;H为量测雅可比矩阵;
步骤8、采用残差分布偏离度检测方法剔除量测量突变情况的影响,最终检测出SCADA仪表量测量的恶性数据;若残差分布偏离度检测结果大于等于τ5,则异常数据是由于存在SCADA仪表存在恶性数据导致的,转到步骤9;若残差分布偏离度检测结果小于τ5,则异常数据是由于量测量突变情况导致的,则输出混合状态估计结果,将结果上传到历史状态量数据库,转到步骤10;具体过程如下:
其中,τ5为残差分布偏离度检测阈值,Γ为当前时刻异常数据检测算出的当前SCADA仪表量测量与修正量测量之间的残差向量;为当前时刻向量Γ中元素的偏差程度;E[(x-μΓ)3]表示当前时刻向量Γ的三阶中心距;E[(x-μΓ)2]3/2表示当前时刻向量Γ的标准差的三次方;表示历史数据中的均值;表示历史数据中的方差。
步骤9、对检测出的SCADA仪表恶性数据进行剔除和修正,将修正后的状态量上传到历史状态量数据库。为下一次预测时间点的状态预测提供数据支撑。
步骤9.1、当定位出当前时刻SCADA仪表量遭受恶性数据攻击后,对受攻击的量测量用h(x″)中对应的值进行替代,组成量测量修正量z″。
步骤9.2、将SCADA仪表量测量修正量z″重新进行状态估计,将新的状态估计结果与原有预测值进行状态一致性检验,若满足状态量一致性检验公式,则SCADA仪表上恶性数据已被剔除,转到步骤9.3。若仍不满足状态量一致性检验公式,说明状态预测不准确,需重新进行状态预测,之后返回步骤3;
步骤9.3、将无恶性数据的状态量修正量替代原有混合状态估计结果,上传至历史状态量数据库中,实现对恶性数据的修正,转到步骤10;
步骤10:本次状态预测结束,使用更新后的历史状态量数据库,执行下一次状态预测。
有益技术效果:
本发明提供一种面向混合量测的电网恶性数据注入攻击在线防御方法,本发明针对现有恶性数据注入攻击的研究大多忽视了PMU量测量存在恶性数据注入风险且在线防御方法缺乏剔除量测量突变情况影响的基础上,结合实际电网SCADA和PMU混合量测的方式,首先建立了SCADA和PMU混合状态估计模型,使分析结果更贴近于实际电网,且不存在SCADA和PMU量测量对时的影响;其次,分别提出了PMU量测量和SCADA仪表量测量的恶性数据检测方法:对于PMU量测量,基于传输线路等效阻抗法,结合提出的检测指标,能够明显检测出PMU中的恶性数据;对于SCADA仪表量测量,通过状态一致性检测、异常数据检测及残差分布偏离度检测能够有效检测出SCADA仪表中的恶性数据,并能剔除量测量突变情况的干扰;最后,提出了SCADA和PMU恶性数据的剔除与修正过程,以防止当恶性数据攻击的仪表过多时,剔除恶性数据造成的电力信息物理系统不可观测,同时修正的状态量可以为今后的状态预测提供可靠的数据支撑。
综上所述,本发明提出的一种面向SCADA和PMU混合量测的电力信息物理系统恶性数据注入攻击在线防御方法,能够在线有效检测SCADA和PMU仪表上的恶性数据,并能够剔除量测量突变对防御方法的干扰,提高了电力信息物理系统的安全可靠性及抵御恶性数据的能力,具有良好的应用前景。
附图说明
图1为本发明实施例的总体流程图;
图2为本发明实施例的不同采样时间点下SCADA和PMU混合状态估计流程图;
图3为本发明实施例的PMU量测量恶性数据注入攻击检测结果图,其中,图3(a)为注入量5%的PMU恶性数据检测结果,图3(b)为注入量1%的PMU恶性数据检测结果;
图4为本发明实施例的三种检测方法的ROC性能对比结果图,其中,图4(a)为IEEE-14节点系统仿真结果,图4(b)为IEEE-118节点系统仿真结果。
具体实施方式
下面结合附图和具体实施实例对发明做进一步说明,一种面向混合量测的电网恶性数据注入攻击在线防御方法,如图1所示,包括以下步骤:
步骤1、构建SCADA和PMU混合量测的历史状态量数据库,基于历史状态量数据库信息,采用多维状态矩阵滑动匹配预测方法预测当前时刻状态,得到当前时刻状态量预测值;
所述多维状态矩阵滑动匹配方法,如图2所示,f具体步骤如下:
步骤1.1、构建多维状态矩阵:将历史状态量数据库中历史节点状态量按时间顺序排列,构成一个q行p列多维时间序列矩阵Tq×p,其中,q代表节点状态量个数,p代表状态量采集点个数,Tq×p中L组连续的节点状态量采集点的集合作为一个状态矩阵,其中L代表时间窗口长度;
步骤1.2、滑动时间窗口建模,得到当前状态矩阵和历史状态矩阵集合:假设k时刻下(Xv)q×L为当前状态矩阵,其中,Xv=[Xk-L+1,Xk-L+2,…,Xk],令与当前状态矩阵相邻的矩阵为(X1)q×L,即X1=[Xk-2L+1,Xk-2L+2,…,Xk-L]。以(X1)q×L为基准,在滑动间隔长度为w,时间窗口长度L的前提下,将(X1)q×L沿时间轴逆向滑动,可得到第ζ个时间窗口下状态矩阵为:
Xζ=[xk-2L-w(ζ-1)+1,xk-2L-w(ζ-1)+2,…,xk-L-w(ζ-1)]
通过滑动时间窗口建模,将离散的时间序列划分成多个q行L列的历史状态矩阵的集合,其中,时间窗口长度L大于滑动间隔长度w。
步骤1.3、通过状态矩阵相似度量指标,得到权重矩阵最优值和最优时间窗口长度:选取当前状态矩阵(Xv)q×L,选取历史状态量数据库中任意两个状态矩阵A=[a]q×p与B=[b]q×p,相似度量指标定义如下:
其中,根据相似度量指标,对于给定的相似度量阈值 时,称状态矩阵A和B互为耦合相似矩阵。选取状态矩阵A作为当前状态矩阵(Xv)q×L,状态矩阵B作为历史状态矩阵。Λ为状态量权重矩阵,Λj(j={1,2,…,p})为q行列向量,Λ=[Λ1 Λ2…Λp]=[λ]q×p,λ表示Λ中各个元素,在无量测量突变的情况下λ=1。权重矩阵最优值和最优时间窗口长度的选取,满足如下条件:
其中RK为第K类簇中状态矩阵样本数,Ut为状态矩阵,M(CK)为第K类簇中心点马氏距离和。
步骤1.5、比较当前状态矩阵(Xv)q×L与各聚类中心状态矩阵的差异度,选取差异度最小的一个状态矩阵作为匹配最终结果,匹配得到的状态矩阵的跟随状态矩阵即为当前时刻状态量预测值。
所述差异度具体求解过程如下:对于一个状态矩阵(X)q×L,设特征向量F为(fx,fy),表示电网状态矩阵中某时刻点向量与状态矩阵平均值向量的最大、最小差值。设状态矩阵某时刻点向量与状态矩阵平均值之差为(C)1×L,则:
其中,Xi(tj)表示在时刻点tj,第i个状态量对应数值。特征向量F表示为:
F=(fx,fy)=(Max(C)1×L,Min(C)1×L)
对于一个状态矩阵(X)q×L,其特征趋势距离为其二范数D,表达式为:
对于任意一个状态矩阵,均可以通过特征向量与特征趋势距离构成的二元组G=(F,D)表示。对于任意两个状态矩阵Xa和Xb,差异度δab可表示为:
步骤3、对当前时刻获取的PMU量测量,采用传输线路等效阻抗法进行恶性数据注入攻击检测,并对PMU量测量中的恶性数据进行剔除与修正,得到攻击检测后的PMU量测量;
所述恶性数据注入攻击检测,具体步骤如下:
步骤3.1、设一段传输线位于节点i和j之间,且两节点均配有PMU,节点i电压幅值、相角分别表示为Ui和θi,节点j侧电压幅值、相角分别表示Uj和θj,节点i到j电流幅值和相角分别为Iij和δij,节点j到i电流幅值和相角分别为Iji和δji,基于PMU量测量获得传输线路等效阻抗和 求解公式如下,同理可得
所述PMU量测量的恶性数据攻击检测判据如下:
其中,τ2为检测阈值;
步骤3.4:如果当前采样时间点满足恶性数据攻击检测判据,则判定具有恶性数据注入攻击,用PMU当前时刻状态量预测值替代判定已受攻击的PMU量测量,转到步骤3.3继续判断是否满足恶性数据攻击检测判据。如果还满足恶性数据攻击检测判据,则转到步骤1重新进行状态预测。直到当前采样时间点不满足恶性数据攻击检测判据,得到攻击检测后的PMU量测量,转到步骤4;
本发明以IEEE-14节点系统为例,在无攻击环境下进行连续3小时的状态预测,并与传统自回归模型预测方法对比。选取的负荷数据来自美国纽约电力管理局公布的电力负荷数据。本发明状态预测所需参数有:相似度量阈值聚类分析所用核心半径r=0.0011,聚类分析所用最小数目MinPts=3,每次状态预测的回滑时间窗口数设为1000,滑动单位w=1,预测时长L=4。本实验每30s采集一组数据,3小时内共计360个采集点;对于IEEE-118节点系统,w=1,L=20。基于1年无攻击的历史数据获取μhis和σhis,得到μhis=2.38×10-4rad,σhis=7.35×10-4rad。选取阈值τ2=40000。选取节点9的PMU所测电压相角并注入恶性数据,注入量为原量测量的1%和5%。之后连续采集1小时PMU数据,获取共9000个数据样本,其中每隔1000个样本注入一次恶性数据,共计9次。
图3所示为不同注入量下攻击检测结果。从图3中可以看出,当PMU量测量中存在恶性数据时,当前时刻与前一采样时刻dij差值绝对值明显高于无攻击情况,所有攻击均可通过本发明方法检测出来。且注入量越大,偏差越明显。
步骤4、判断当前时刻是否采集SCADA仪表量测量,如果采集了SCADA仪表量测量,则转到步骤5,否则,基于攻击检测后的PMU量测量,采用PMU静态状态估计,得到PMU修正后的估计结果,将PMU修正后的估计结果上传到历史状态量数据库,转到步骤10;
步骤5、采集当前时刻获取的SCADA仪表量测量,并使用SCADA仪表量测量进行状态估计,得到SCADA仪表状态估计结果,基于传统不良数据检测机制剔除不良数据,保留剔除不良数据后的SCADA仪表量测量数据;
该步骤为传统不良数据检测机制,在电网中由于各节点的SCADA仪表一般采用冗余配置,剔除不良数据一般不会影响系统全观测的能力,因此检测出的不良数据直接剔除,并保留SCADA仪表正常的量测数据即可。该不良数据的产生一般归因于仪表损坏或通信线路故障等。
步骤6、将SCADA仪表状态估计结果与攻击检测后的PMU量测量进行混合状态估计,得到混合状态估计结果,对混合状态估计结果进行状态量一致性检验,如果不满足状态量一致性检验公式,则输出混合状态估计结果,将结果上传到历史状态量数据库。若满足状态量一致性检验公式,则转到步骤7;
所述状态一致性检验公式如下:
其中,find(·)表示返回一个满足括号内条件的元素对应的线性索引的向量;||·||0表示求取向量中非零元素的个数;表示采用多维状态矩阵滑动匹配预测方法预测当前时刻状态,得到当前时刻状态量预测值,表示当前时刻混合状态估计结果;(τ3)q×1是一个各元素均为阈值τ3的q行1列矩阵,选取的阈值τ3应小于能够对电网运行造成破坏的节点状态量最小攻击幅值。若结果满足上式,则说明当前系统存在异常的状态量。
该步骤用于检验当前时刻状态量预测值与混合状态估计结果是否有较大差别,如果没有较大差别,说明当前系统不存在能够对系统运行造成破坏的恶性数据,输出当前时刻混合量测状态估计结果,将结果上传到历史状态量数据库。反之,则进行步骤7和步骤8,判断这种差别是否是由于恶性数据注入造成的。
步骤7、使用量测量一致性检验公式进行检验,若满足量测量一致性检验公式,则转到步骤8。若不满足量测量一致性检验公式,则输出当前时刻混合量测状态估计结果,将结果上传到历史状态量数据库。
针对满足步骤6公式的节点状态量,进行量测量一致性检验,检验方式即将被锁定的状态量,即步骤6中满足状态量一致性检验的节点状态量,用其对应的当前时刻状态量预测值进行替换,组成新的状态量修正量x″,通过下式判断被锁定的节点状态量对应的量测量是否异常:
其中,z为当前时刻SCADA仪表量测量,N为状态修正量测量与SCADA仪表量测量之差(h(x″)-z)的协方差矩阵,在无恶性数据攻击时,近似取作预测量测量与观测量测量之差的协方差矩阵,即σN=diag(N);R为量测量协方差矩阵;H为量测雅可比矩阵;阈值τ4大小与期望的误报率和漏报率有关。若结果满足上式,则认为当前系统存在异常量测量,该异常量测量的产生主要由恶性数据注入攻击或量测量突变引起。
步骤8、采用残差分布偏离度检测方法剔除量测量突变情况的影响,最终检测出SCADA仪表量测量的恶性数据;若残差分布偏离度检测结果大于等于τ5,则异常数据是由于存在SCADA仪表存在恶性数据导致的,转到步骤9;若残差分布偏离度检测结果小于τ5,则异常数据是由于量测量突变情况导致的,则输出混合状态估计结果,将结果上传到历史状态量数据库。具体过程如下:
其中,Γ为当前时刻异常数据检测算出的当前SCADA仪表量测量与修正量测量之间的残差向量;为当前时刻向量Γ中元素的偏差程度;E[(x-μΓ)3]表示当前时刻向量Γ的三阶中心距;E[(x-μΓ)2]3/2表示当前时刻向量Γ的标准差的三次方;表示历史数据中的均值;表示历史数据中的方差。τ5的选取与检测误报率和漏报率有关。若结果大于τ5,则异常数据是由于存在SCADA仪表存在恶性数据导致的;若结果小于τ5,则异常数据是由于量测量突变情况导致的。由于量测量突变期间攻击者进行恶性数据注入攻击需要获取电网内充足的信息,并在突变情况时间内完成攻击,相比于电网正常情况要求获取的信息量多,攻击困难程度极高,因此本发明忽略该类情况。通过残差分布偏离度检测可以有效剔除量测量突变情况对恶性数据注入攻击检测的干扰。
步骤9、对检测出的SCADA仪表恶性数据进行剔除和修正,将修正后的状态量上传到历史状态量数据库。为下一次预测时间点的状态预测提供数据支撑。
步骤9.1、当定位出当前时刻SCADA仪表量遭受恶性数据攻击后,对受攻击的量测量用h(x″)中对应的值进行替代,组成量测量修正量z″。
步骤9.2、将SCADA仪表量测量修正量z″重新进行状态估计,将新的状态估计结果与原有预测值进行状态一致性检验,若满足状态量一致性检验公式,则SCADA仪表上恶性数据已被剔除,转到步骤9.3。若仍不满足状态量一致性检验公式,说明状态预测不准确,需重新进行状态预测,返回步骤3;
重新进行状态预测时,只是说明当前预测不准,需重新预测,每次预测结果肯定不是完全一样的,有时候会造成预测偏差大导致状态一致性检测器误报,这种情况下需重新预测并检测SCADA仪表恶性数据。
步骤9.3、将无恶性数据的状态量修正量替代原有混合状态估计结果,上传至历史状态量数据库中,实现对恶性数据的修正。
步骤10:本次状态预测结束,使用更新后的历史状态量数据库,执行下一次状态预测。
以IEEE-14和IEEE-118节点系统为例,其中IEEE-118节点系统状态预测所需参数与IEEE-14节点系统相比,仅预测时长L=20有区别。采用本发明检测方法与传统检测方法(法)及基于自回归模型预测的检测方法对比分析。
其中为量测误差协方差矩阵;H为量测雅可比矩阵;选取随机恶性数据注入攻击作为本发明攻击模型,该类攻击是电力信息物理系统中最常见的恶性数据攻击之一。假设攻击者能够攻击所有SCADA仪表,在IEEE-14与IEEE-118节点系统中分别模拟稀疏度为2和稀疏度为10的随机攻击,受攻击的状态量变化值在正常状态量的10%到20%内变动。本发明τ1根据置信度阈值进行选取,给定τ3=0.001,τ4=3,采用ROC曲线表示恶性数据检测率与检测方法置信度阈值之间关系。考虑到系统规模的不同,在IEEE-14节点系统上实验500次,在IEEE-118节点系统上实验300次。图4所示为三种检测方法性能比较结果,由结果分析可知,本发明方法相比于传统检测方法具有更好的检测恶性数据的能力,且能够针对传统方法无法检测到的PMU量测量上的恶性数据进行检测。
通过以上的分析和仿真可以看出:本发明提出了一种面向SCADA和PMU混合量测的电力信息物理系统恶性数据注入攻击在线防御方法。相比于以往研究,本发明可以实现PMU恶性数据的检测及剔除量测量突变对检测恶性数据的干扰。本发明为电力信息物理系统恶性数据防御与量测量突变干扰的剔除提供了一种解决思路,对于改善目前处于发展阶段且安全标准不够完善的电力信息物理系统具有一定的现实意义。
Claims (2)
1.一种面向混合量测的电网恶性数据注入攻击在线防御方法,其特征在于,具体步骤如下:
步骤1、构建SCADA和PMU混合量测的历史状态量数据库,基于历史状态量数据库信息,采用多维状态矩阵滑动匹配预测方法预测当前时刻状态,得到当前时刻状态量预测值;
步骤3、对当前时刻获取的PMU量测量,采用传输线路等效阻抗法进行恶性数据注入攻击检测,并对PMU量测量中的恶性数据进行剔除与修正,得到攻击检测后的PMU量测量;
所述恶性数据注入攻击检测,具体步骤如下:
步骤3.1、设一段传输线位于节点i和j之间,且两节点均配有PMU,节点i电压幅值、相角分别表示为Ui和θi,节点j侧电压幅值、相角分别表示Uj和θj,节点i到j电流幅值和相角分别为Iij和δij,节点j到i电流幅值和相角分别为Iji和δji,基于PMU量测量获得传输线路等效阻抗和 求解公式如下,同理可得
所述PMU量测量的恶性数据攻击检测判据如下:
其中,τ2为PMU量测量的恶性数据攻击检测判据检测阈值;
步骤3.4:如果当前采样时间点满足恶性数据攻击检测判据,则判定具有恶性数据注入攻击,用PMU当前时刻状态量预测值替代判定已受攻击的PMU量测量,转到步骤3.3继续判断是否满足恶性数据攻击检测判据,如果还满足恶性数据攻击检测判据,则转到步骤1重新进行状态预测,直到当前采样时间点不满足恶性数据攻击检测判据,得到攻击检测后的PMU量测量;
步骤4、判断当前时刻是否采集SCADA仪表量测量,如果采集了SCADA仪表量测量,则转到步骤5,否则,基于攻击检测后的PMU量测量,采用PMU静态状态估计,得到PMU修正后的估计结果,将PMU修正后的估计结果上传到历史状态量数据库,转到步骤10;
步骤5、采集当前时刻获取的SCADA仪表量测量,并使用SCADA仪表量测量进行状态估计,得到SCADA仪表状态估计结果,基于传统不良数据检测机制剔除不良数据,保留剔除不良数据后的SCADA仪表量测量数据;
不良数据检测机制如下:
步骤6、将SCADA仪表状态估计结果与攻击检测后的PMU量测量进行混合状态估计,得到混合状态估计结果,对混合状态估计结果进行状态量一致性检验,如果不满足状态量一致性检验公式,则输出混合状态估计结果,将结果上传到历史状态量数据库,转到步骤10;若满足状态量一致性检验公式,则转到步骤7;
所述状态一致性检验公式如下:
其中,find(·)表示返回一个满足括号内条件的元素对应的线性索引的向量;||·||0表示求取向量中非零元素的个数;表示采用多维状态矩阵滑动匹配预测方法预测当前时刻状态,得到当前时刻状态量预测值,表示当前时刻混合状态估计结果;(τ3)q×1是一个各元素均为阈值τ3的q行1列矩阵;τ3为状态一致性检验检测阈值;
步骤7、使用量测量一致性检验公式进行检验,若满足量测量一致性检验公式,则转到步骤8;若不满足量测量一致性检验公式,则输出当前时刻混合量测状态估计结果,将结果上传到历史状态量数据库,转到步骤10;
所述量测量一致性检验具体过程如下:针对满足步骤6公式的节点状态量,进行量测量一致性检验,检验方式即将被锁定的状态量,即步骤6中满足状态量一致性检验的节点状态量,用其对应的当前时刻状态量预测值进行替换,组成新的状态量修正量x″,通过下式判断被锁定的节点状态量对应的量测量是否异常:
其中,τ4为量测量一致性检验检测阈值,z为当前时刻SCADA仪表量测量,N为状态修正量测量与SCADA仪表量测量之差(h(x″)-z)的协方差矩阵,在无恶性数据攻击时,取作预测量测量与观测量测量之差的协方差矩阵,即σN=diag(N);R为量测量协方差矩阵;H为量测雅可比矩阵;
步骤8、采用残差分布偏离度检测方法剔除量测量突变情况的影响,最终检测出SCADA仪表量测量的恶性数据;若残差分布偏离度检测结果大于等于τ5,则异常数据是由于存在SCADA仪表存在恶性数据导致的,转到步骤9;若残差分布偏离度检测结果小于τ5,则异常数据是由于量测量突变情况导致的,则输出混合状态估计结果,将结果上传到历史状态量数据库,转到步骤10;具体过程如下:
其中,τ5为残差分布偏离度检测阈值,Γ为当前时刻异常数据检测算出的当前SCADA仪表量测量与修正量测量之间的残差向量;为当前时刻向量Γ中元素的偏差程度;E[(x-μΓ)3]表示当前时刻向量Γ的三阶中心距;E[(x-μΓ)2]3/2表示当前时刻向量Γ的标准差的三次方;表示历史数据中的均值;表示历史数据中的方差;
步骤9、对检测出的SCADA仪表恶性数据进行剔除和修正,将修正后的状态量上传到历史状态量数据库;
步骤9.1、当定位出当前时刻SCADA仪表量遭受恶性数据攻击后,对受攻击的量测量用h(x″)中对应的值进行替代,组成量测量修正量z″;
步骤9.2、将SCADA仪表量测量修正量z″重新进行状态估计,将新的状态估计结果与原有预测值进行状态一致性检验,若满足状态量一致性检验公式,则SCADA仪表上恶性数据已被剔除,转到步骤9.3,若仍不满足状态量一致性检验公式,说明状态预测不准确,需重新进行状态预测,之后返回步骤3;
步骤9.3、将无恶性数据的状态量修正量替代原有混合状态估计结果,上传至历史状态量数据库中,转到步骤10;
步骤10:本次状态预测结束,使用更新后的历史状态量数据库,执行下一次状态预测。
2.根据权利要求1所述一种面向混合量测的电网恶性数据注入攻击在线防御方法,其特征在于,步骤1中,所述多维状态矩阵滑动匹配方法,具体步骤如下:
步骤1.1、构建多维状态矩阵:将历史状态量数据库中历史节点状态量按时间顺序排列,构成一个q行p列多维时间序列矩阵Tq×p,其中,q代表节点状态量个数,p代表状态量采集点个数,Tq×p中L组连续的节点状态量采集点的集合作为一个状态矩阵,其中L代表时间窗口长度;
步骤1.2、滑动时间窗口建模,得到当前状态矩阵和历史状态矩阵集合:假设k时刻下(Xv)q×L为当前状态矩阵,其中,Xv=[Xk-L+1,Xk-L+2,…,Xk],令与当前状态矩阵相邻的矩阵为(X1)q×L,即X1=[Xk-2L+1,Xk-2L+2,…,Xk-L],以(X1)q×L为基准,在滑动间隔长度为w,时间窗口长度L的前提下,将(X1)q×L沿时间轴逆向滑动,可得到第ζ个时间窗口下状态矩阵为:
Xζ=[xk-2L-w(ζ-1)+1,xk-2L-w(ζ-1)+2,…,xk-L-w(ζ-1)]
通过滑动时间窗口建模,将离散的时间序列划分成多个q行L列的历史状态矩阵的集合,其中,时间窗口长度L大于滑动间隔长度w;
步骤1.3、通过状态矩阵相似度量指标,得到权重矩阵最优值和最优时间窗口长度:选取当前状态矩阵(Xv)q×L,选取历史状态量数据库中任意两个状态矩阵A=[a]q×p与B=[b]q×p,相似度量指标定义如下:
其中,根据相似度量指标,对于给定的相似度量阈值 时,称状态矩阵A和B互为耦合相似矩阵,选取状态矩阵A作为当前状态矩阵(Xv)q×L,状态矩阵B作为历史状态矩阵,Λ为状态量权重矩阵,Λj(j={1,2,…,p})为q行列向量,Λ=[Λ1 Λ2 … Λp]=[λ]q×p,λ表示Λ中各个元素,权重矩阵最优值和最优时间窗口长度的选取,满足如下条件:
其中RK为第K类簇中状态矩阵样本数,Ut为状态矩阵,M(CK)为第K类簇中心点马氏距离和;
步骤1.5、比较当前状态矩阵(Xv)q×L与各聚类中心状态矩阵的差异度,选取差异度最小的一个状态矩阵作为匹配最终结果,匹配得到的状态矩阵的跟随状态矩阵即为当前时刻状态量预测值;
所述差异度具体求解过程如下:对于一个状态矩阵(X)q×L,设特征向量F为(fx,fy),表示电网状态矩阵中某时刻点向量与状态矩阵平均值向量的最大、最小差值,设状态矩阵某时刻点向量与状态矩阵平均值之差为(C)1×L,则:
其中,Xi(tj)表示在时刻点tj,第i个状态量对应数值,特征向量F表示为:
F=(fx,fy)=(Max(C)1×L,Min(C)1×L)
对于一个状态矩阵(X)q×L,其特征趋势距离为其二范数D,表达式为:
对于任意一个状态矩阵,均可以通过特征向量与特征趋势距离构成的二元组G=(F,D)表示,对于任意两个状态矩阵Xa和Xb,差异度δab可表示为:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910188447.9A CN109921415B (zh) | 2019-03-13 | 2019-03-13 | 一种面向混合量测的电网恶性数据注入攻击在线防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910188447.9A CN109921415B (zh) | 2019-03-13 | 2019-03-13 | 一种面向混合量测的电网恶性数据注入攻击在线防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109921415A CN109921415A (zh) | 2019-06-21 |
CN109921415B true CN109921415B (zh) | 2022-08-02 |
Family
ID=66964552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910188447.9A Active CN109921415B (zh) | 2019-03-13 | 2019-03-13 | 一种面向混合量测的电网恶性数据注入攻击在线防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109921415B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110704838A (zh) * | 2019-09-30 | 2020-01-17 | 浙江大学 | 一种基于信息物理融合的恶意数据注入攻击的检测方法 |
CN110736890B (zh) * | 2019-10-31 | 2021-07-20 | 国网河南省电力公司信息通信公司 | 一种配电网数据安全预警系统 |
CN110866652B (zh) * | 2019-11-21 | 2023-02-28 | 国网四川省电力公司电力科学研究院 | 一种基于lstm模型的在线pmu数据纠错方法及系统 |
CN112804197B (zh) * | 2020-12-29 | 2021-12-03 | 湖南大学 | 基于数据还原的电力网络恶意攻击检测方法及系统 |
CN113259380B (zh) * | 2021-06-15 | 2021-09-17 | 广东电网有限责任公司湛江供电局 | 一种山区微电网网络攻击检测方法及装置 |
CN116405333B (zh) * | 2023-06-09 | 2023-08-25 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种安全高效的电力系统异常状态检测终端 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102522743A (zh) * | 2011-11-08 | 2012-06-27 | 西安交通大学 | 一种在电力系统直流状态估计中防御假数据注入攻击的方法 |
CN105791280A (zh) * | 2016-02-29 | 2016-07-20 | 西安交通大学 | 一种抵御电力系统直流状态估计中数据完整性攻击的方法 |
CN106707061A (zh) * | 2016-12-16 | 2017-05-24 | 湖南大学 | 基于混合量测的配电网动态状态估计方法 |
CN107016236A (zh) * | 2017-03-23 | 2017-08-04 | 新疆电力建设调试所 | 基于非线性量测方程的电网假数据注入攻击检测方法 |
CN108448568A (zh) * | 2018-03-08 | 2018-08-24 | 国网山东省电力公司潍坊供电公司 | 基于多种时间周期测量数据的配电网混合状态估计方法 |
CN108649574A (zh) * | 2018-06-15 | 2018-10-12 | 华北电力大学 | 一种基于三种量测数据的配电网快速状态估计方法 |
CN109193665A (zh) * | 2018-09-13 | 2019-01-11 | 华北电力大学 | 一种基于scada量测的电网支路静态参数辨识方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101661069B (zh) * | 2009-09-25 | 2011-07-20 | 北京四方继保自动化股份有限公司 | 不依赖状态矩阵的弱可观非pmu测点动态过程实时估计方法 |
-
2019
- 2019-03-13 CN CN201910188447.9A patent/CN109921415B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102522743A (zh) * | 2011-11-08 | 2012-06-27 | 西安交通大学 | 一种在电力系统直流状态估计中防御假数据注入攻击的方法 |
CN105791280A (zh) * | 2016-02-29 | 2016-07-20 | 西安交通大学 | 一种抵御电力系统直流状态估计中数据完整性攻击的方法 |
CN106707061A (zh) * | 2016-12-16 | 2017-05-24 | 湖南大学 | 基于混合量测的配电网动态状态估计方法 |
CN107016236A (zh) * | 2017-03-23 | 2017-08-04 | 新疆电力建设调试所 | 基于非线性量测方程的电网假数据注入攻击检测方法 |
CN108448568A (zh) * | 2018-03-08 | 2018-08-24 | 国网山东省电力公司潍坊供电公司 | 基于多种时间周期测量数据的配电网混合状态估计方法 |
CN108649574A (zh) * | 2018-06-15 | 2018-10-12 | 华北电力大学 | 一种基于三种量测数据的配电网快速状态估计方法 |
CN109193665A (zh) * | 2018-09-13 | 2019-01-11 | 华北电力大学 | 一种基于scada量测的电网支路静态参数辨识方法 |
Non-Patent Citations (1)
Title |
---|
电力信息物理系统中恶性数据定义、构建与防御挑战;卫志农等;《电力系统自动化》;20160910(第17期);第70-78页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109921415A (zh) | 2019-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109921415B (zh) | 一种面向混合量测的电网恶性数据注入攻击在线防御方法 | |
CN109818349B (zh) | 一种基于多维状态矩阵滑动匹配的电网鲁棒状态预测方法 | |
CN110609200B (zh) | 一种基于模糊度量融合判据的配电网接地故障保护方法 | |
CN113156917A (zh) | 基于人工智能的电网设备故障诊断方法及系统 | |
CN113780443B (zh) | 一种面向威胁检测的网络安全态势评估方法 | |
CN113904786A (zh) | 一种基于线路拓扑分析和潮流特性的虚假数据注入攻击辨识方法 | |
CN111582542B (zh) | 一种基于异常修复的电力负荷预测方法及系统 | |
CN111222139B (zh) | 一种基于gep优化的智能电网数据异常有效识别方法 | |
CN111723367A (zh) | 一种电力监控系统业务场景处置风险评价方法及系统 | |
Shi et al. | PDL: An efficient prediction-based false data injection attack detection and location in smart grid | |
CN107942994A (zh) | 一种基于温度曲线特征的卫星温控系统故障诊断方法 | |
CN113657622B (zh) | 电力设备多维状态数据融合方法、装置、终端及存储介质 | |
Wang et al. | An accurate false data detection in smart grid based on residual recurrent neural network and adaptive threshold | |
CN114189047B (zh) | 面向有源配电网状态估计的虚假数据检测与修正方法 | |
CN110443481B (zh) | 基于混合k-近邻算法的配电自动化终端状态评价系统及方法 | |
CN109066651A (zh) | 风电-负荷场景的极限传输功率的计算方法 | |
CN109587145B (zh) | 一种电力网络中的虚假数据入侵检测方法、装置及设备 | |
Lu et al. | False data injection attacks detection on power systems with convolutional neural network | |
CN113406524A (zh) | 一种动力电池系统的不一致性故障诊断方法及系统 | |
CN116400244B (zh) | 储能电池的异常检测方法及装置 | |
CN112085043B (zh) | 一种变电站网络安全智能监控方法及系统 | |
CN115685045B (zh) | 一种电压互感器在线评估方法 | |
Lijuan et al. | A network security evaluation method based on FUZZY and RST | |
CN116151799A (zh) | 一种基于bp神经网络的配电线路多工况故障率快速评估方法 | |
Wu et al. | Identification and correction of abnormal measurement data in power system based on graph convolutional network and gated recurrent unit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |