CN110276200A

CN110276200A - 一种电力信息系统状态转移概率的确定方法

Info

Publication number: CN110276200A
Application number: CN201910565389.7A
Authority: CN
Inventors: 周睿; 付蓉
Original assignee: Nanjing Post and Telecommunication University
Current assignee: Nanjing Post and Telecommunication University; Nanjing University of Posts and Telecommunications
Priority date: 2019-06-27
Filing date: 2019-06-27
Publication date: 2019-09-24

Abstract

本发明公开了一种电力信息系统状态转移概率的确定方法，利用信息设备和电力设备的漏洞，向变电站与主站之间的通信渠道进行虚假数据注入攻击,在虚假数据注入下得到被攻击的每个设备的概率分布特征。针对虚假数据注入攻击下的攻击模式，Petri网用于细化网络系统中的重要设备，并基于观察到的实时攻击事件，贝叶斯网络公式用于动态更新攻击行为概率，结果表明，虚假数据注入下变电站设备被攻击的概率分布符合泊松分布。本发明在网络变得复杂时,比传统的方法具有更高的效率,而且在网络发生改变时,易于生成拓扑网络,极其适用于电力信息系统的在线应用。

Description

一种电力信息系统状态转移概率的确定方法

技术领域

本发明涉及一种分析电力信息系统状态转移概率的方法，属于电力系统安全评估领域。

背景技术

电力系统安全直接影响到人们的日常生活和社会稳定。近年来世界范围内大停电事故频发，导致了巨大的经济损失和社会负面影响，因此研究能够实时在线应用的电力信息系统状态转移概率的方法的研究显得格外重要。

随着物理网络和信息通信的发展。2015年12月23日，Black Energy恶意软件袭击了乌兹别克斯坦的Clan State Grid，删除了一些变电站监控系统数据文件并发布了错误的行程命令，导致至少三个地区发生大规模停电。该事件被信息安全组织SANSICS确定为有计划的故意“网络协同攻击问题。2003年1月，Slammer蠕虫破坏了美国俄亥俄州核电站的运行。2010年，伊朗核电站数据采集和监视控制系统遭到Stuxnet病毒袭击，伊朗核设施遭到破坏。

研究电力系统的网络安全非常重要。目前考虑了电力系统与信息系统之间的关系，以建立电力系统安全风险评估框架，但只是定性地描述了安全威胁的来源和对电力系统的影响。一种智能电网网络物理电力系统的安全保护方法，但未考虑系统故障对电力系统运行状态的影响。变电站中变压器采样序列的分析受到FDI攻击及其对变电站状态的估计的影响。有必要研究变电站的安全数据传输以及数据是否被篡改，以防止内部网络和外部网络上的恶意命令消息攻击。如今，人们的重新搜索方向是如何检测和防御网络攻击。有必要研究网络攻击后检测和捕获恶意攻击和消息轨迹的方法。

发明内容

发明目的：为了解决现有分析方法不能综合考虑信息-物理设备关联下系统的整体安全性，本发明提供一种一种电力信息系统状态转移概率的确定方法，本发明考虑Petri网对变电站虚假数据注入攻击后的保护过程进行建模，并利用贝叶斯公式动态更新系统行为。并且基于传输概率图的信息传递方法检测虚假数据注入攻击下的变电站异常数据和相应设备的动作状态，本发明考虑了设备相关联性以及信息的传递过程，适合于实际应用。

技术方案：为实现上述目的，本发明采用的技术方案为：

一种电力信息系统状态转移概率的确定方法，基于Petri网对变电站系统进行了建模，并对系统进行了分析。针对虚假数据注入攻击下的攻击模式，Petri网为CPS建模提供了坚实的基础。我们首先描述变电站中的典型网络攻击场景，其次，Petri网用于细化网络系统中的重要设备，并基于观察到的实时攻击事件，贝叶斯公式用于动态更新攻击行为概率，以全面评估虚假数据注入攻击的影响，包括以下步骤：

步骤1，获取电力信息系统信息，根据电力信息系统信息描述变电站与电网之间注入虚假数据的过程；

入侵过程：攻击越过防火墙后，网络攻击者在入侵后扫描Web服务器和入侵数据库技术违反防火墙规则；攻击发生在变电站中，控制中心向物理设备发送指令以作用于物理节点；

步骤2，根据系统硬件、软件和网络中的漏洞获取不同攻击的模式以及漏洞利用模式，进而得到利用各种漏洞攻击成功的概率；

攻击成功的概率与相关设备的固有漏洞及攻击者的能力有关，计算公式为：

其中，C_i表示利用漏洞i的攻击成功概率，U_i表示漏洞i被利用的难易程度，E_i表示漏洞i当前的平均暴露程度，K_i表示攻击者知识水平，PR_i表示攻击熟练度，RE_i表示漏洞i当前的修复程度，m为攻击图中的漏洞数，ω、δ、γ、θ、λ分别表示不同因素对攻击成功概率影响的权重；

步骤3，根据步骤1获得的电力信息系统信息，基于Petri网对数据入侵过程进行建模得到PN模型，Petri网的标准图形表示是描述可能的系统局部状态，以及描述修改状态的事件，P＝{P1，P2，...Pm}是一组库所，表示可能的系统局部状态，用圆圈表示，Pm表示设备m被成功攻击的概率，m表示网络通信环境中的设备数，T＝{T1，T2，...Tn}是一组变迁，由条形表示，Tn表示实施变迁的条件，也就是各种网络攻击方式，n表示n种攻击行为，N：是输入矩阵，用于指定从库所到变迁的弧，→表示由两个矩阵相乘得到的结果，O：P×T→O是输出矩阵，指定从变迁到库所的弧，m0是初始标记，是非负整数的集合，在PN模型中，库所表示可能的系统局部状态，而变迁是导致状态改变的事件或动作；在这些位置上的标记的分布对应于建模系统的状态并且称为标记向量M：其中，M(pi)表示由黑点表示的标记的数量，由标记M指定放置pi；PN模型的初始标记矢量用m0表示；标记向量的变化由从一个或多个地方到一个或多个地方的标记的移动来表示，并且是由变迁的触发引起的；当且仅当M(pi)≥N(pi，tj)对于所有pi∈P时，才启用转换tj∈T；这里，N(pi，tj)对应于输入矩阵的元素，对应于pi∈p和tj∈T；

设备分为两种类型，监控设备和控制设备有两种，当该库所中有托肯时，系统会检测到异常数据或控制设备动作，如果没有托肯，则设备处于正常状态，控制设备未运行；

每个设备都有漏洞，漏洞的大小不同；变迁用作刺激设备状态发生变化的条件；原始数据的强度根据虚假数据注入按比例改变，在系统初始化之前设置阈值；如果结果超过设定的阈值，则确定发生变迁，即攻击成功，如果未超过阈值，则攻击不成功；从而计算成功攻击的概率；

步骤4，根据步骤3建立的PN模型得到入侵传递过程，进而根据步骤2中的利用漏洞的攻击成功概率得到不同路径下的概率分布；

在变电站中，攻击传输路径包括单路径和多路径，单路径径意味着攻击路径上的设备只有一个攻击源设备，由于每个攻击对象只有一种攻击模式，Sc_y表示单个路径下的路径攻击概率：Ci表示入侵过程中的控制设备，n表示入侵过程中的控制设备数目；

多路径指的是同一设备上的多个攻击路径，如果设备i被成功攻击为事件Ai，设备m的攻击成功率：

其中，P(Am|A1,A2,...An)表示多路径下设备m的攻击成功率，也就是在A1-An被成功攻击的前提下设备m被攻破的概率。P(Am)表示设备m漏洞被利用的概率，P(A1,A2,...An|Am)表示设备m被攻破的前提下，A1-An被攻破的概率，Am表示第m个设备被攻破的事件；

P(Ai)表示设备i漏洞被利用的概率；

通过将变电站设备的动作过程与变电站网络拓扑结合起来，只需要知道petri网的初始标识量，接下来根据步骤2得到各种漏洞攻击成功的概率和步骤3中PN模型得到的攻击路径传递过程，借助EEE33节点标准配电系统；当由于虚假数据注入攻击而发生功率不平衡时，优先调整或切断中断的负载节点，从而确保系统的安全运行。

优选的：步骤1中所述电力信息系统信息包括网络组件、相应的网络设备、电力信息物理融合系统CPS，其中，网络组件包括通信和信息基础设施，相应的网络设备包括智能测量终端、中心/远动服务器和路由器；电力信息物理融合系统CPS中的智能终端控制单元充当网络直接控制以执行动作的设备。

优选的：步骤1中入侵过程中空间分布状态中有n个节点作为攻击对象，这n个节点记为S1，S2...Sn，表示变电站内部设备，包括测量终端单元、远动服务器，这些节点用于估计系统的局部状态，系统状态观测设备将用于测试系统状态并发送他们的数据到远程控制设备；然而，状态估计设备将它们的本地状态和在其通信链路中接收的测量结合起来以完成攻击下的综合系统状态评估；E1，E2，......En是负荷控制中心节点。

优选的：步骤2中在虚假数据注入攻击过程中，当攻击对象是不同的网络设备时，通常存在不同的漏洞利用模式，包括攻击对象为远动服务器，其漏洞形式未网站安装插件、数据缓冲区溢出，其攻击影响为HTTP进程崩溃；攻击对象为远动服务器，漏洞形式为网站安装插件、数据缓冲区溢出，攻击影响为HTTP进程崩溃；攻击对象为员工桌面文件，漏洞形式为员工下载带有恶意软件的邮件，攻击影响为提升黑客权限；攻击对象为计算机根密码，漏洞形式为暴力破解，攻击影响为非法访问获取更多权限；攻击对象为继电器配置文件，漏洞形式为修改继电器配置文件参数，攻击影响为控制过程执行错误。

优选的：步骤2中基于漏洞可被利用的难易程度，根据通用漏洞评分系统计算获得攻击的先验概率，而后根据贝叶斯公式动态更新攻击行为，得到目标设备被攻击的可能性。

本发明相比现有技术，具有以下有益效果：

(1)本发明通过对信息-物理设备关联性分析，解决了以往求解电力信息系统状态转移概率的不确定性问题；

(2)本发明通过petri网对变电站内入侵过程进行建模，解决了以往分析过程中无法描述并发事件如何作用于电力系统的问题，通过此方法建模能简单求取电力信息系统状态转移的概率从而针对相关设备的漏洞进行阶段性保护；

(3)本发明通过相关设备的漏洞以及脆弱性得到设备被攻破的概率，接着用贝叶斯网络公式动态更新测量终端状态转移的概率，方法通用性强，实现方法简单，便于推广应用；

(4)本发明中求解状态转移概率计算量小速度快，适合大电力系统的实时在线安全稳定分析。

附图说明

图1是典型网络攻击场景。

图2基于petri网建立的攻击传递模型。

图3是单路径攻击传递过程。

图4多路径攻击传递过程。

图5是虚假数据注入下状态信息流程图。

图6是IEEE33节点标准电力网络。

图7是IEEE33节点标准电力网络中30节点受到攻击下的概率分布图。

图8是仿真结果图。

具体实施方式

下面结合附图和具体实施例，进一步阐明本发明，应理解这些实例仅用于说明本发明而不用于限制本发明的范围，在阅读了本发明之后，本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。

本技术领域技术人员可以理解的是，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解的是，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

下面结合附图对本发明的技术方案做进一步的详细说明：

一种电力信息系统状态转移概率的确定方法，由于恶意攻击导致变电站内的物理设备无法控制，影响系统的状态估计和相关的先进分析决策功能的可靠性，本发明对基于Petri网的变电站系统进行了建模，并对系统进行了分析。在虚假数据注入下得到被攻击的每个设备的概率分布特性。针对虚假数据注入攻击下的攻击模式，Petri网为CPS建模提供了坚实的基础。我们首先描述变电站中的典型攻击场景，其次，Petri网用于细化网络系统中的重要设备，并基于观察到的实时攻击事件，攻击图用于动态更新攻击行为概率。以全面评估虚假数据注入攻击的影响，结果表明，假数据注入下变电站设备攻击的概率分布符合泊松分布。

具体实施步骤如下：

步骤1，首先描述变电站与电网之间如何注入虚假数据的过程，网络组件包括通信和信息基础设施。相应的网络设备包括智能测量终端，中心/远动服务器和路由器。CPS中的智能终端控制单元充当网络可以直接控制以执行动作的设备。在图1中，模拟是CPS中的简单攻击场景物理节点代表防火墙，Web服务器，SCADA等。入侵过程：攻击越过防火墙后，网络攻击者可以在使用高级入侵后扫描Web服务器和入侵数据库技术违反防火墙规则。空间分布状态中有N个节点作为攻击对象，S1，S2...Sn是变电站内节点的定量表示。包括(测量终端单元，远动服务器等)，这些节点用于估计系统的局部状态，不仅如此，系统状态观测设备将用于测试系统状态并发送他们的数据到远程控制设备。然而，状态估计设备将它们的本地状态和在其通信链路中接收的测量结合起来以完成攻击下的综合系统状态评估。E1，E2，......En是负荷控制中心节点的定量表示。总之，攻击发生在变电站中，控制中心向物理设备发送指令以作用于物理节点

步骤2，分析不同攻击的模式以及漏洞利用模式及影响，系统硬件，软件和网络中的漏洞允许网络攻击直接或间接地操纵各种类型的感知，监视和控制信息下发，其目的在于由于开放的通信网络环境而影响受控过程，从而实现对物理系统。我们认为，信息系统中的漏洞是网络攻击的关键。典型的网络数据攻击通常是指篡改测量终端的数据信息。在虚假数据注入攻击过程中，当攻击对象是不同的网络设备时，通常存在不同的漏洞利用模式，如表1所示。继电器配置文件参数的修改是CPS中最严重的信息安全事件，因为在这种情况下，攻击者显然会对CPS造成任意伤害，攻击效果最严重。

表1漏洞模式及攻击后果

攻击对象	漏洞形式	攻击影响
			远动服务器	网站安装插件、数据缓冲区溢出	HTTP进程崩溃
员工桌面文件	员工下载带有恶意软件的邮件	提升黑客权限
			计算机根密码	暴力破解	非法访问获取更多权限
继电器配置文件	修改继电器配置文件参数	控制过程执行错误

其中，C_i表示利用漏洞i的攻击成功概率，U_i表示漏洞i被利用的难易程度，E_i表示漏洞i当前的平均暴露程度，K_i表示攻击者知识水平，PR_i表示攻击熟练度，RE_i表示漏洞i当前的修复程度，m为攻击图中的漏洞数，ω、δ、γ、θ、λ分别表示不同因素对攻击成功概率影响的权重。综合考虑漏洞可被利用的难易程度，可根据通用漏洞评分系统(CommonVulnerability Scoring System，CVSS)计算获得攻击的先验概率，而后根据贝叶斯公式动态更新攻击行为，得到目标设备被攻击的可能性。本发明根据CVSS对网络数据攻击信息的成功传递概率进行设置，对节点间容易攻击漏洞类型的依赖关系取值为0.8，如图7中P4→T3，攻击信息流成功传递的概率依据CVSS专家经验可取为0.8。相类似的，一般攻击漏洞类型的依赖关系取值为0.6，难以攻击漏洞类型的依赖关系取值为0.2具体的潜在数据攻击方式如下：当攻击者成功篡改采集到的信息后，利用HTTP远动服务器接口安装假插件请求网站是HTTP进程崩溃，造成缓冲区溢出，接着利用恶意软件的下载，获取员工桌面文件，并用一个可执行MySQL文件实现执行功能，访问关键信息数据库文件，借助恶意软件后门壳的访问权限，采用暴力破解进而获取本地的根密码访问，最后攻击者使用合法的服务远程向信息与控制中心发送继电器设置点且不破坏它，修改配置数据库文件。因此当攻击者有目的的利用设备漏洞造成虚假数据注入类攻击信息传输故障时，攻击流会规避全网配置的防火墙及入侵检测系统，经由信息通信到达信息与控制中心，最终修改并更新继电器文件关键敏感参数，使得控制中心里的应用程序基于虚假信息进行系统仿真和结果分析，从而下发控制指令C，进而造成继电器的误动或拒动，如图6中电力节点4对应的信息采集量，经由信息通信系统传输与处理后得到控制指令，若是虚假数据攻击使得系统超载，则节点4对应的继电器会执行控制指令断开节点4所在线路。直接导致物理系统的拓扑或潮流发生变化，严重时由于断路器的误动或拒动甚至会影响电力系统安全稳定运行，最后造成大面积停电。

步骤3，如图2、5所示，基于Petri网对数据入侵过程进行建模，Petri网的标准图形表示是表示一个地方的圆圈(描述可能的系统局部状态)，以及表示转换的框或垂直线(描述修改状态的事件).P：＝{P1，P2，...Pm}是一组库所，用圆圈表示，T：＝{T1，T2，...Tn}是一组变迁，由条形表示，N：是输入矩阵，用于指定从库所到变迁的弧，O：P×是输出矩阵，指定从变迁到库所的弧，m0是初始标记。这里，是非负整数的集合。在PN模型中，库所表示系统的可能状态，而变迁是导致状态改变的事件或动作。在这些位置上的标记(黑点)的分布对应于建模系统的状态并且称为标记向量M：其中M(pi)表示由黑点表示的标记的数量，由标记M指定放置pi.PN模型的初始标记矢量用m0表示。标记向量的变化由从一个或多个地方到一个或多个地方的标记的移动来表示；并且是由变迁的触发引起的。当且仅当M(pi)≥N(pi，tj)对于所有pi∈P时，才启用转换tj∈T。这里，N(pi，tj)对应于输入矩阵的元素，对应于pi∈P和tj∈T。集合的位置，转换集和初始标记向量用P＝{P1，P2,P3，P4，P5，P6}，T＝{T1，T2，T3，T4}和m0＝[1 1 0 0 0]^T。该PN的输入和输出矩阵如下：

表2 Petri网模拟过程中库所和变迁的含义

库所	变迁
		P1主机服务器-正常	T1防火墙规则
P2前端设备-正常	T2收到用户访问请求
		P3远程控制设备-正常	T3收到用户访问请求
P4工作站-正常	T4用户请求被拒绝

设备分为两种类型。监控设备和控制设备有两种。当该库所中有托肯时，系统会检测到异常数据或控制设备动作。如果没有托肯，则设备处于正常状态，控制设备未运行。攻击过程模拟：首先，防火墙规则被越过，攻击侵入P1(主机服务器)和P2(前端设备)。然后，这两个设备检测到由攻击引起的数据异常，向远程控制终端P3和工作站P4发送命令，T2.T3接收上层请求。但P3.P4可能会在收到上层请求命令后拒绝该操作。此时，在T4变迁实施之后，将上述命令发送到负控中心P5以查看设备是否异常并且必须采取动作。如果不是，则返回到原始变迁触发条件T1。每个设备都有漏洞。漏洞的大小不同。变迁用作刺激设备状态发生变化的条件。在本发明中，原始数据的强度可以根据虚假数据注入按比例改变。在系统初始化之前设置某个阈值。如果结果超过设定的阈值，则确定发生变迁，即攻击成功。如果未超过阈值，则攻击不成功。从而计算成功攻击的概率。

步骤4，根据入侵传递过程得到不同路径下的概率分布，在变电站中，攻击传输路径包括单路径和多路径，单个路径意味着攻击路径上的设备只有一个攻击源设备，如附图3所示，C1，C2等所示，分别代表攻击设备1,2攻击成功的概率。由于每个攻击对象只有一种攻击模式，Sc_y表示单个路径下的路径攻击概率：多个攻击路径指的是同一设备上的多个攻击路径，如图4所示，此时，设备m的攻击成功率不再是Pm，而是与A1，A2等有关。根据公式，当前计算背景是变电站已知内部设备的成功率。计算当前设备的攻击成功率。表示Am发生时发生Aj的概率，可以根据相应设备的漏洞评分准则进行计算。如果设备i被成功攻击为事件Ai，则上图中设备m的攻击成功率：

由于A1，A2等发生的顺序在Am之前，当Am发生时，必须发生A1，A2等，并且因为在诸如A1和A2之类的事件之间没有连接弧，所以它们是彼此相互独立的。

P(Ai)表示设备i漏洞被利用的概率可以看出，在多路径传递过程中，设备的攻击成功率不仅与其自身的安全属性有关，还与其他设备的攻击成功率有关。根据单路径的公式计算路径的攻击成功率，但某些设备的攻击成功率不再是寻优功能计算出的值。为了评估成功攻击站内外设备的概率，有必要评估攻击期间每台设备成功使用的概率。这里，通过将变电站设备的动作过程与变电站网络拓扑结合起来，得到了一种基于Petri网的变电站异常数据检测方法。该方法只需要知道petri网的初始标识量。接下来根据步骤2和步骤4中的攻击路径传递过程，借助IEEE33节点系统。如图6中电力节点4对应的信息采集量，经由信息通信系统传输与处理后得到控制指令，若是虚假数据攻击使得系统超载，则节点4对应的继电器会执行控制指令断开节点4所在线路，在这种情况下，节点30设置为系统中的可中断负载节点。当由于虚假数据注入攻击而发生功率不平衡时，优先调整或切断中断的负载节点。从而确保系统的安全运行。针对信息通信系统中典型多级网络虚假数据攻击场景，我们对应建立了如图7所示的贝叶斯攻击信息传播概率图。根据前述分析，继电器配置文件参数被成功修改是CPS中最为严重的信息安全事件，因此，将系统中能造成继电器配置文件中参数被修改的信息设备漏洞作为目标设备漏洞。节点之间存在关联关系。每个链路可以在两个方向上通信，并且测量数据不会在同一链路节点处重复输入。基于Petri网下的信息传递过程，当发生数据篡改攻击时，在将一系列信息传输到分布式网络信息和控制中心后，攻击者可以控制和修改中继文件设置的关键参数，导致无法进行实时负载管理。当攻击点被确定为S不变但攻击证据点不同时，假设入侵检测系统在攻击下观察到的证据点是网络层的共同基础设施和关键基础设施。对于负载节点的虚假数据注入攻击，实验仿真结果表明，成功传输攻击信息和修改设备参数的概率如表3所示。攻击信息传播概率的值由选择不同节点获得。通过上述公式得到不同节点的概率，结果如下：

表3攻击信息成功传递概率随网络拓扑变化

当信息网络拓扑固定，攻击者成功利用同一漏洞且观察点是同一信息设备时，对目标漏洞节点成功攻击的概率不变，每个节点攻击成功的概率事件彼此独立。通过确定攻击点S，不同攻击路径的攻击结果不同，最后根据不同的路径。根据上表3中的结果，列出了几个典型节点被破坏的概率。仿真结果表明，30节点的概率分布如图8所示，不同节点成功攻击的概率符合泊松分布。

本发明利用信息设备和电力设备的漏洞，向变电站与主站之间的通信渠道进行虚假数据注入攻击,对基于Petri网的变电站系统进行了建模，并对系统进行了分析。在虚假数据注入下得到被攻击的每个设备的概率分布特征。针对虚假数据注入攻击下的攻击模式，Petri网用于细化网络系统中的重要设备，并基于观察到的实时攻击事件，贝叶斯网络公式用于动态更新攻击行为概率，结果表明，虚假数据注入下变电站设备被攻击的概率分布符合泊松分布。所提出的方法在网络变得复杂时,比传统的方法具有更高的效率,而且在网络发生改变时,易于生成拓扑网络,极其适用于电力信息系统的在线应用。

以上所述，仅为本发明中的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉该技术的人在本发明所揭露的技术范围内，可理解想到的变换或替换，都应涵盖在本发明的包含范围之内，因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种电力信息系统状态转移概率的确定方法，其特征在于，包括以下步骤：

步骤3，根据步骤1获得的电力信息系统信息，基于Petri网对数据入侵过程进行建模得到PN模型，Petri网的标准图形表示是描述可能的系统局部状态，以及描述修改状态的事件，P＝{P1，P2，...Pm}是一组库所，表示可能的系统局部状态，用圆圈表示，Pm表示设备m被成功攻击的概率，m表示网络通信环境中的设备数，T＝{T1，T2，...Tn}是一组变迁，由条形表示，Tn表示实施变迁的条件，也就是各种网络攻击方式，n表示n种攻击行为，N：是输入矩阵，用于指定从库所到变迁的弧，→表示由两个矩阵相乘得到的结果，O：是输出矩阵，指定从变迁到库所的弧，m0是初始标记，是非负整数的集合，在PN模型中，库所表示可能的系统局部状态，而变迁是导致状态改变的事件或动作；在这些位置上的标记的分布对应于建模系统的状态并且称为标记向量M：其中，M(pi)表示由黑点表示的标记的数量，由标记M指定放置pi；PN模型的初始标记矢量用m0表示；标记向量的变化由从一个或多个地方到一个或多个地方的标记的移动来表示，并且是由变迁的触发引起的；当且仅当M(pi)≥N(pi，tj)对于所有pi∈P时，才启用转换tj∈T；这里，N(pi，tj)对应于输入矩阵的元素，对应于pi∈P和tj∈T；

在变电站中，攻击传输路径包括单路径和多路径，单路径径意味着攻击路径上的设备只有一个攻击源设备，由于每个攻击对象只有一种攻击模式，Sc_y表示单个路径下的路径攻击概率：Ci表示入侵过程中的设备，n表示入侵过程中设备数目；

P(Ai)表示设备i漏洞被利用的概率；

2.根据权利要求1所述电力信息系统状态转移概率的确定方法，其特征在于：步骤1中所述电力信息系统信息包括网络组件、相应的网络设备、电力信息物理融合系统CPS，其中，网络组件包括通信和信息基础设施，相应的网络设备包括智能测量终端、中心/远动服务器和路由器；电力信息物理融合系统CPS中的智能终端控制单元充当网络直接控制以执行动作的设备。

3.根据权利要求2所述电力信息系统状态转移概率的确定方法，其特征在于：步骤1中入侵过程中空间分布状态中有n个节点作为攻击对象，这n个节点记为S1，S2...Sn，表示变电站内部设备，包括测量终端单元、远动服务器，这些节点用于估计系统的局部状态，系统状态观测设备将用于测试系统状态并发送他们的数据到远程控制设备；然而，状态估计设备将它们的本地状态和在其通信链路中接收的测量结合起来以完成攻击下的综合系统状态评估；E1，E2，......En是负荷控制中心节点。

4.根据权利要求3所述电力信息系统状态转移概率的确定方法，其特征在于：步骤2中在虚假数据注入攻击过程中，当攻击对象是不同的网络设备时，通常存在不同的漏洞利用模式，包括攻击对象为远动服务器，其漏洞形式未网站安装插件、数据缓冲区溢出，其攻击影响为HTTP进程崩溃；攻击对象为远动服务器，漏洞形式为网站安装插件、数据缓冲区溢出，攻击影响为HTTP进程崩溃；攻击对象为员工桌面文件，漏洞形式为员工下载带有恶意软件的邮件，攻击影响为提升黑客权限；攻击对象为计算机根密码，漏洞形式为暴力破解，攻击影响为非法访问获取更多权限；攻击对象为继电器配置文件，漏洞形式为修改继电器配置文件参数，攻击影响为控制过程执行错误。

5.根据权利要求4所述电力信息系统状态转移概率的确定方法，其特征在于：步骤2中基于漏洞可被利用的难易程度，根据通用漏洞评分系统计算获得攻击的先验概率，而后根据贝叶斯公式动态更新攻击行为，得到目标设备被攻击的可能性。