CN110633761A - 一种基于改进卡尔曼滤波的电力系统虚假数据检测方法 - Google Patents

Abstract

本发明公开了一种基于改进卡尔曼滤波的电力系统虚假数据检测方法，属于电力系统安全领域，该方法利用K‑means聚类方法将电力系统的不同节点，根据稳定性进行评估分为：稳定节点、次稳定节点以及脆弱节点，量测仪表采集SCADA的量测值，利用改进自适应无迹卡尔曼滤波方法对其进行动态状态估计，针对不同的节点采用不同的检测方案，可以使检测更加具有针对性，通过利用残差序列的协方差，自适应地改变渐消因子以调整测量值，有助于减小先前测量值和不准确的系统模型对预测精度的影响，在此基础上引入自适应规则动态调整过程噪声和测量噪声协方差，以提高UKF算法的滤波性能，从而使其预测性更准，检测出刻意隐蔽的虚假数据，针对脆弱节点进一步进行偏度检测，可以使检测结果更加可靠。

Description

一种基于改进卡尔曼滤波的电力系统虚假数据检测方法

技术领域

本发明属于电力系统安全领域，尤其涉及一种基于改进自适应无迹卡尔曼滤波的电力系统虚假数据的检测方法。

背景技术

随着信息通信技术在现代电力系统中的深度渗透，物理电力网潮流和信息网信息流交换日益频繁，现代电力系统在很大程度上发展成一类由物理电力网和信息网融合的电力信息物理融合系统。大规模引入的先进信息通信技术使现代电力系统变得“智能化”，提高了企业生产效率、管理水平以及消费者参与度，电力数据处理效率也不断提升。但由于信息通信系统不可避免地存在缺陷、漏洞和故障等，可以发起网络攻击的入口很多，不受天气、地理和时间等因素的影响，并且更加的隐蔽。对于一个实际的电力系统，信息采集环节、信息传输环节、智能控制环节、电网和用户互动环境等各个方面均面临网络攻击风险。信息网上的信息安全事故可能通过信息网和电力网的耦合关系穿越到电力网，破坏电力系统运行的安全稳定性。

2015年12月23日，Black Energy恶意软件攻击乌克兰电网，删改部分变电站监控系统数据文件并发出虚假跳闸命令，导致至少3个区域的大规模停电事故。这次事件被信息安全组织SANS ICS确定为一起有计划性的蓄意“网络协同攻击”问题，被认为是人类历史上信息安全影响电力系统运行的里程碑事件，引起了业界广泛关注。但乌克兰停电事件并不是第一起电力网络攻击事件。2003年1月，Slammer蠕虫病毒扰乱美国俄亥俄州的一家核电厂运行。2010年，伊朗核电站数据采集与监视控制系统遭受Stuxnet病毒攻击，伊朗核设施被摧毁。在电力市场领域，需谨防攻击者通过恶意篡改边际电价信息，影响电力交易决策结果，提升部分利益集团的自身收益。

作为一种新型的网络攻击，输电网虚假数据攻击由Yao Liu等人在2009年第一次提出。该种攻击充分利用了传统状态估计不良数据检测漏洞，攻击者可以成功地向量测值中注入虚假数据，达到修改电力系统的量测值和状态变量、控制电力系统的运行状态或者获取经济利益等不法目的。该种攻击极度隐蔽，对电力系统安全稳定运行危害极大，甚至可能引发大停电事故。当前，FDIAs已经引起了学术界的广泛重视，研究者从各个角度对其展开研究。

现代电力系统中，电力网由大量发电机、架空输电线路、变压器、断路器和负荷等组成，主体拓扑结构可以划分为发电、输电、变电、配电、用电和调度6个部分。信息网主要是指通信信息系统和监测/控制系统，包括电力调度自动化网络及其构成的能量管理系统、配电网管理系统和广域测量系统等。其中EMS和DMS依赖于由远程终端单元构成的数据采集与监控系统，WAMS依赖于相量测量单元PMU。EMS和WAMS是输电网重要的电力信息通信系统，主要包括数据采集、能量管理和网络分析等基本功能，对电力系统安全稳定运行起着重要作用。

电力系统状态估计是EMS和WAMS执行负荷预测、最优潮流计算和暂态稳定分析等相关分析控制功能的基础，主要作用包括提高量测数据的精度、推算出完整准确的电力系统的各种电气量和提高SCADA系统的可靠性等。在一个具有N条母线的电力系统中，状态变量一般取为各个母线的复电压，包括电压幅值和相角，除去参考节点外，总共有2N-1个状态变量，状态变量统一表示为x＝{x₁，x₂，…，x_n}^T，n＝2N-1。量测值一般是母线的注入有功功率和无功功率、支路有功功率和无功功率或者母线电压幅值，假设共有m个量测值，并且m>n，量测值统一表示为。则状态变量和量测值可以表示为

z＝{z₁，z₂，...，z_n}^T，z＝h(x)+e，e～N(0，∑_e) (1)式中：h(x)表示状态变量和量测值之间的非线性关系；e＝{e₁，e₂，…e_m}^T表示测量误差，并且服从均值为0、方差为对角矩阵

的正态分布。

对于一个正常运行的电力系统，其母线电压在额定电压附近，并且支路两端相角差很小，对于超高压电力网，支路电阻比电抗小得多。因此，作如下假设，所有母线的电压幅值相等并且均为1，忽略线路电阻，则量测值中不存在无功功率，状态变量只有电压相角。此时，量测值和状态变量之间满足线性关系，得到如式(1)所示的直流潮流方程。

z＝Hx+e，e～N(0，∑_e) (2)式中：z、x和e的含义与式(1)相同；H表示测量雅克比矩阵，为只与支路电抗相关的函数。采用加权最小二乘法，得到直流潮流方程下状态变量x的估计值。

由于RTU和PMU与通信系统受到较大的随机干扰或者出现偶然故障等因素，原始数据中不可避免的出现不良数据，严重影响状态估计的精度。为消除不良数据对状态估计的影响，以残差方程为基础的不良数据检测方法得到了广泛的应用，残差的表达式为：

若||r||≥τ，则表示量测数据中至少存在一个不良数据，其中τ表示判断阈值。由于

阈值τ可以根据显著性水平α来确定，m表示量测值的数量，n表示状态变量的数量，α表示显著性水平。

若用a＝{a₁，a₂，…，a_m}^T表示非法用户在量测值中注入的虚假数据向量，则实际c＝{c₁，c₂，…，c_m}^T的测量数据为z_bad＝z+a，表示由于虚假数据的注入在状态变量中引入的误差向量，估计的状态变量为

此时残差表达式为

显然，当a＝Hc时，有下式成立:

此时，采用基于残差的不良数据检测方法无法发现测量数据中的虚假数据，攻击者可以将量测值和状态变量修改为任意值，危害到电力系统的安全稳定运行。

发明内容

根据现有技术存在的问题，本发明公开了一种基于改进自适应扩展卡尔曼滤波的电力系统虚假数据检测方法，该方法包括的步骤如下：

S1：利用K-means聚类方法将电力系统的不同节点，根据稳定性进行评估分为：稳定节点、次稳定节点以及脆弱节点；

S2：量测仪表采集SCADA的量测值，利用改进无迹卡尔曼滤波方法对其进行动态状态估计；

S3：将稳定节点、次稳定节点以及脆弱节点的量测值与其改进自适应无迹卡尔曼滤波得到的量测预测值进行比较得到残差，判断残差是否超过量测残差阈值；

当稳定节点、次稳定节点以及脆弱节点的量测值残差超过阈值，则判断为电力系统遭受虚假数据攻击；

当稳定节点的量测值残差未超过阈值，则判断为电力系统未超过虚假数据攻击；

当次稳定节点以及脆弱节点的量测值残差未超过阈值，则执行步骤S4；

S4：对于次稳定节点以及脆弱节点，通过改进自适应无迹卡尔曼滤波得到的状态预测量与最小二乘法得到的状态量的残差是否超过阈值来判断是否有虚假数据注入攻击；

当次稳定节点以及脆弱节点的状态量残差超过阈值，则判断为电力系统遭受虚假数据攻击；

当次稳定节点的状态量残差未超过阈值，则判断为电力系统未遭受虚假数据攻击；

当脆弱节点的状态量残差未超过阈值，则执行步骤S5；

S5：对脆弱节点其状态量的残差进行偏度测试，当其残差偏度超出特定范围，则判断为电力系统遭受虚假数据攻击，当其残差偏度未超出正常范围，判断为电力系统未遭受虚假数据攻击。

进一步地：电力系统的节点稳定性判断公式如下：

M表示节点的稳定性指标，i表示线路始端节点，j代表线路末端节点，R代表线路电阻，U_j代表j的电压幅值，X代表支路电抗，P_j代表j的有功功率，P_i代表i的有功功率，Q_j代表j的无功功率，Q_i代表i的无功功率，δ_i代表i的电压相角，δ_j代表j的电压相角，U′_j代表攻击后的j的电压幅值，P_j′代表攻击后的j的有功功率，P_i′代表i攻击后的有功功率，Q′_j代表j攻击后的无功功率，Q′代表i攻击后的无功功率，δ′代表i攻击后的电压相角，δ′_j代表攻击后的j的电压相角。

进一步地：所述改进自适应无迹卡尔曼滤波的数学模型如下：

其中:

为量测预测值的sigma点，

为量测预测值，z_k为系统实时量测量，S_k为估计量测预测值的方差矩阵，C_k为状态量与量测量交叉协方差矩阵，K_k为卡尔曼滤波增益矩阵，λ_k为渐消因子，调节因子α_k，R_k为系统观测噪声协方差矩阵，

为权重，

为先验状态预测值。

进一步地，所述改进自适应无迹卡尔曼滤波的数学模型的误差矩阵如下：

其中：γ为遗忘因子，Q_k为过程噪声协方差矩阵，

进一步地：在检测到虚假数据的时刻之后，增大所选取的时间段T，使T＝10△t再通过卡方分布确定在T时间段内的量测量残差的阈值，当量测量残差超过阈值则判断为电力系统遭受虚假数据攻击，当量测量残差未超过阈值则判断为电力系统未遭受虚假数据攻击。

进一步地：状态量与观测状态量的方差分别为：

ω_N为时间所占权重，N为时间段个数，S_N为偏差累计，Q为累计偏差的平均值。

进一步地：对量测残差以及状态量残差进一步进行偏度检测，偏度检测采用如下公式(7)进一步检测残差分布偏离正太分布的程度。

式中，ξ为偏度，c代表残差，E为均值，D为方差。

由于采用了上述技术方案，本发明提供的一种基于改进无迹卡尔曼滤波的电力系统虚假数据的检测方法，首先利用历史数据选取出电力系统脆弱节点，次稳定节点以及稳定节点，针对不同的节点采用不同的检测方案。可以使检测更加具有针对性。虚假数据注入攻击会逃过现有的检测机制，注入隐蔽的虚假数据。传统UKF算法预测误差大、容易受不良数据影响的问题，可能使虚假数据逃过检测。本专利通过利用残差序列的协方差，自适应地改变渐消因子以调整测量值，有助于减小先前测量值和不准确的系统模型对预测精度的影响，在此基础上引入自适应规则动态调整过程噪声和测量噪声协方差，以提高UKF算法的滤波性能，从而使其预测性更准，检测出刻意隐蔽的虚假数据。针对脆弱节点进一步进行偏度检测，可以使检测结果更加可靠。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明方法流程示意图；

图2为实施例的节点分类结果；

图3为实施例的量测量残差检测结果；

图4为实施例的状态量电压幅值残差检测结果；

图5为实施例的状态量电压相角残差检测结果。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

一种基于改进无迹卡尔曼滤波的电力系统虚假数据的检测方法，图1为本发明方法流程示意图，该方法包括如下步骤：

S1：利用K-means聚类方法将电力系统的不同节点，根据稳定性进行评估分为：稳定节点、次稳定节点以及脆弱节点；

S2：量测仪表采集SCADA的量测值，利用改进自适应无迹卡尔曼滤波方法对其进行动态状态估计；

S3：将稳定节点、次稳定节点以及脆弱节点的量测值与其改进自适应无迹卡尔曼滤波得到的量测预测值进行比较得到残差，判断残差是否超过量测量残差阈值；

当稳定节点、次稳定节点以及脆弱节点的量测值残差超过阈值，则判断为电力系统遭受虚假数据攻击；

当稳定节点的量测值残差未超过阈值，则判断为电力系统未超过虚假数据攻击；

当次稳定节点以及脆弱节点的量测值残差未超过阈值，则执行步骤S4；

S4：对于次稳定节点以及脆弱节点，通过改进自适应无迹卡尔曼滤波得到的状态预测量与最小二乘法得到的状态量的残差是否超过状态量残差阈值来判断是否有虚假数据注入攻击；

当次稳定节点以及脆弱节点的状态量残差超过阈值，则判断为电力系统遭受虚假数据攻击；

当次稳定节点的状态量残差未超过阈值，则判断为电力系统未遭受虚假数据攻击；

当脆弱节点的状态量残差未超过阈值，则执行步骤S5；

S5：对脆弱节点其状态量的残差进行偏度测试，当其残差偏度超出特定范围则，判断为电力系统遭受虚假数据攻击，当其残差偏度未超出特定范围，判断为电力系统未遭受虚假数据攻击。

进一步的，在对电力系统进行状态预测之前，节点的稳定性的判断采用如下方式：

考虑电压幅值相角以及有功无功功率相角对于虚假数据攻击的稳定性指标，定义节点稳定性的公式为：

ω表示节点的稳定性指标，i表示线路始端节点，j代表线路末端节点。为了进一步清晰敏感的体现虚假数据攻击对节点稳定性的影响，定义：

M表示节点的稳定性指标，体现被虚假数据攻击之后的ω值与被攻击之前的值的比，如果节点所受虚假数据攻击的影响越大则M的值越高，利用K-means聚类法根据M的值对节点进行归类，R代表线路电阻，U_j代表j的电压幅值，X代表支路电抗，P_j代表j的有功功率，P_i代表i的有功功率，Q_j代表j的无功功率，Q_i代表i的无功功率，δ_i代表i的电压相角，δ_j代表j的电压相角，U′_j代表攻击后的j的电压幅值，P_j′代表攻击后的j的有功功率，P_i′代表i攻击后的有功功率，Q′_j代表j攻击后的无功功率，Q′代表i攻击后的无功功率，δ′代表i攻击后的电压相角，δ′_j代表攻击后的j的电压相角。

具体的聚类过程主要分为四步：首先，将聚类个数设为J，选取输入数据点集合中的任意一点作为算法的第一个质心，并对质心该数据集中每一个点的距离D(x)进行计算；其次，根据计算结果，将其中D(x)值最大的数据点作为一个新的聚类质心，并对新的质心与剩余数据点之间的距离进行计算；然后，不断重复前两步操作，直到算法选出的聚类质心达到J个；最后，将这些质心作为K-means算法的初始拒了质心，从而获取聚类结果，得到三类节点：稳定节点、次稳定节点以及脆弱节点。

卡尔曼滤波的研究对象是一个随机的动态系统，即该系统是随机的，但又是具有一定运动规律的时间函数。对于电力系统而言，系统一次回路本身动态特性由准稳态模型决定，且总是受随机干扰的影响；二次回路量测系统和状态变量之间的关系由潮流方程决定，同时也存在量测噪声，因此它们可以看成2个随机的动态系统。卡尔曼滤波的目标就是利用离散量测序列{z₁,z₂,z₃,…,z_n}去最好地估计出离散状态序列{x₁,x₂,x₃,…,x_n}。对于一个随机过程，由k时刻的状态量x_k去估计k+1时刻的状态量x_k+1有2种方法：

(1)由k+1时刻得到的量测量z_k+1，通过量测方程间接估计状态量x_k+1；

(2)用系统状态方程由x_k通过状态转移直接预测x_k+1。

但是，无论是系统的状态方程还是量测方程均含有随机噪声，所以状态量的估计值相对于实际状态真值均存在误差。卡尔曼滤波的基本思想是结合上述2种方法，最终的状态量一部分取自量测量的间接估计，另一部分取自通过状态转移预测得到的估计值，将它们进行线性迭加，从而构成系统k+1时刻的状态量估计值。

对于任意非线性系统，可以由状态空间描述法建立起状态方程和量测方程数学模型，如式(3)：

式中x_k、y_k分别为系统状态变量和量测向量，下标k表示时刻，f(x_k)和h(x_k)分别为非线性状态转移方程和量测方程，q_k为模型误差，服从均值为零、误差为Q的白噪声分布，r_k为量测误差，服从均值为零、误差为R的白噪声分布。UKF算法是基于卡尔曼滤波原理，它的核心部分是利用无迹变换使预测的均值来近似非线性变换向量的均值和协方差。无迹变换首先选取一组sigma点，再分别对这些点进行非线性变换，利用这些点可以近似状态向量的真实概率分布。由于配电网是高维的非线性系统，采用比例修正采样法，原理如下：

λ＝α²(n+k)-n (6)

式(4)、(5)和(6)中，

是k-1时刻的系统状态的估计值；P为状态预测协方差；参数λ用来降低系统误差的一个尺度因子，其中α是比例修正因子，通过对α的调整可以控制sigma点与均值x的距离，使高阶影响变小；k是一个半正定自由参数；β是一个高阶影响系数，保证了估计精度；W_i ^m为状态量的权值，W_i ^c为协方差的权值。

UKF算法的具体步骤如下：

预测步：

状态预测:

式中：为

的sigma的采样点，

为状态量预测值，

为状态量预测误差方差矩阵。

量测量预测

进一步滤波:

K_k＝λ_kC_kS_k ^-1 (14)

式中：

为量测预测值的sigma点，

为量测预测值，z_k为系统实时量测量，S_k为估计量测预测值的方差矩阵，C_k为状态量与量测量交叉协方差矩阵，K_k为卡尔曼滤波增益矩阵，λ_k为渐消因子，调节因子α_k；R_k为系统观测噪声协方差矩阵，

为权重，

为先验状态预测值。

进一步地，为使预测结果受初始值影响较小并且减小噪声，在量测预测值方差矩阵S_k中引入调节因子α_k，α_k的计算如下：

令

则构调节因子α_k，

对协方差矩阵进行调整可得：

当UKF算法初始值存在误差或系统存在异常扰动时，调节因子α_k＜1，此时模型预测信息对最终滤波解的贡献小；当预测信息异常时，

会很大，此时自适应因子接近于0，预测完全不起作用。

通常，R为系统观测噪声协方差矩阵，Q为过程噪声协方差矩阵，如果选择不适当的Q和R，可能会大大降低卡尔曼滤波的性能，甚至使滤波器发散。在以往的研究中都把Q和R根据经验值设为常数，然而，应用卡尔曼滤波的背景以及噪声的环境有很大的差别，使用固定值的Q和R会使结果有很大的偏差，因此，提出自适应的Q和R值，让其根据不同的应用环境做适当的调整，引入遗忘因子γ(0＜γ≤1)进行自适应，如果γ过大会在先前的估计上增加更多的权重，会减少R_k的波动，并导致更长的时间延迟来赶上变化，设置γ为0.3，得到R_k的调整方案为：

类似的，得到Q的自适应调整方案为：

式中

Q₀和R₀的选取为滤波环境的初始值。

进一步的，所有节点量测量的残差检测:

当没有虚假数据注入攻击的时候，量测值与通过改进的自适应无迹卡尔曼滤波估计得到的量测值

之差很小，但是当有虚假数据注入攻击时，它们的差会变大。需要对稳定节点、稍不稳定节点以及脆弱节点都进行量测量残差检测。通过卡方分布确定量测残差的阈值，没有攻击时其残差值近似服从正态分布，依据统计学中正态分布的特性，残差序列落在3倍标准差[-3σ,3σ]区域的概率大于99.7％，落在此区域之外的概率不足0.3％，符合莱依特准则。在时间△t内，有n个量测，它们残差的方差σ²为：

根据卡方分布，量测残差的阈值在3σ范围内时，认为此时没有虚假数据攻击，在3σ范围之外则有虚假数据攻击。

△t选择比较小的值，这样可以提高检测速度。然而，虚假数据一般会持续注入一段时间，在检测到虚假数据的时刻之后，因为△t的选取比较小，可能在△t时间段内残差都比较大，σ²都比较大，这样有可能此时残差虽比较大却仍然在3σ范围内，这样就会有比较高的假阴性率。所以在检测到有虚假数据注入的时刻之后，增大所选取的时间段T，使T＝10△t，再用以上方法进行检测即可以避免这种情况，直到在某一时刻及该时刻之后的一段时间内ε_k都在范围内，恢复选取的时间段为△t继续检测，这样即可快准确的检测虚假数据。应该注意的是，当发电机或者负荷发生突变的时候，在非常短期的预测中没有捕捉到发电负荷的突然变化，会在UKF和基于加权最小二乘的状态估计估计之间产生差异，但是这个残差并不意味着有虚假数据攻击。当发生这种情况的时候，所有的状态量都会发生突变，所以这种情况很容易区分。因此在进行虚假数据检测的时候，应把这种情况排除。

进一步的，对稍不稳定节点以及脆弱节点需要进行进一步状态量的残差检测。

对于稍不稳定节点以及脆弱节点，在没有虚假数据注入攻击的时候，由加权最小二乘法得到的状态量与自适应无迹卡尔曼滤波得到的状态预测的结果的差别不大，只有当有虚假数据攻击的时候其差值才会明显增大。在持续攻击时间t内，在攻击的作用下，使得

但是残差信号其中x_a(k)和r_a(k)是遭受攻击时系统的状态变量和残差，这就导致单纯对量测量进行检测无法完全检测出针对传感器的隐蔽虚假数据注入攻击。改进自适应扩展卡尔曼滤波公式为：

当有攻击发生时，首先变化的是量测输出z_k，假设它的变化量是a，则上式变为：

比较两式(22)和(23)发现，由于攻击向量a的隐蔽性，使得仅针对量测量的检测失效，但是由上式可以看出，可以通过状态来进行检测。当攻击向量a注入到传感器输出z时，观测状态会立刻发生改变，但是因为框架结构导致攻击对输入的影响存在延迟，因此系统会保持原来的状态，这就给检测攻击提供了时间。在T时间内，有n组量测量，则n组对应的系统状态量与观测状态量的方差为：

S_k为在T时间内累计的偏差量，根据卡方分布，设置相应的阈值△为3σ，则当

时，认为此时没有受到虚假数据攻击。

如果在检测的时间T内，虚假数据持续攻击系统，有可能检测出的状态量都满足卡方分布，但其实是有攻击存在。设一共监测了N个时间段，它们的累计偏差分别为S₁,S₂,…,S_N，如果某一段相应的累计偏差很大超出阈值M，则认为在相应的那段存在虚假数据攻击。实际上所监测的N个时间段每一个时间段的大小是不尽相同的，如果对应的时间段比较小，则有更大的概率在这个时间段内持续有虚假数据攻击的存在，但是卡方分布检测不出来，所以不同的时间段根据其大小设置不同的权重ω_N，

此时，L则为考虑权重之后的累计偏差的平均值，此时再利用卡方分布，超过3σ的均认为有虚假数据的攻击。

进一步的，所述步骤5还包括：

对于脆弱节点，还要进一步对其量测残差以及状态量残差进一步进行偏度检测，检测进一步检测残差分布偏离正太分布的程度，

式中ξ为偏度，c代表残差，E为均值，D为方差，理论上讲完全符合正太分布时，偏度应为0，但是实际上，存在高斯噪声，使偏度的值在0附近浮动。通过对历史数据的统计分析，得到当偏度值大于1.58时数据不可信，此时需要重新考量数据的准确性。

实施例1：以IEEE14节点系统为例对其进行虚假数据检测，

S1:在检测之前，先对其节点进行分类，计算不同节点的M值，

得到M值后，利用K-means算法对节点进行分类，将聚类个数设为3，然后选取输入数据点集合中的任意一点作为算法的第一个质心，并对质心该数据集中每一个点的距离进行计算；其次，根据计算结果，将其中值最大的数据点作为一个新的聚类质心，并对新的质心与剩余数据点之间的距离进行计算；然后，不断重复前两步操作，直到算法选出的聚类质心达到J个；最后，将这些质心作为K-means算法的初始拒了质心，从而获取聚类结果，得到稳定节点、稍不稳定以及脆弱节点三类节点，图2为本实施例的节点分类结果；2、9、14节点为脆弱节点，4、5、13节点为稍不稳定节点，1、3、4、6、7、8、10、11、12节点为稳定节点。

S2：利用改进无迹卡尔曼滤波进行状态预测:

UKF算法的具体步骤如下：

预测步：

状态预测:

式中：为的sigma的采样点，

为状态量预测值，为状态量预测误差方差矩阵。

量测量预测：

滤波步:

式中：

为量测量预测值的sigma点，

为量测量预测值，z_k为系统实时量测量，S_k为估计量测量预测值的方差矩阵，C_k为状态量与量测量交叉协方差矩阵，K_k为卡尔曼滤波增益矩阵，λ_k为渐消因子。

S2-1：为使预测结果受初始值影响较小并且减小噪声，在量测量预测值方差矩阵中引入调节因子，的计算如下：

令

则构调节因子α_k；

对协方差矩阵进行调整可得：

当UKF算法初始值存在误差或系统存在异常扰动时，调节因子α_k＜1，此时模型预测信息对最终滤波解的贡献小；当预测信息异常时，

会很大，此时自适应因子接近于0，预测完全不起作用。

S2-2：提出自适应的Q和R值，让其根据不同的应用环境做适当的调整。引入遗忘因子γ(0＜γ≤1)，如果γ过大会在先前的估计上增加更多的权重，会减少Rk的波动，并导致更长的时间延迟来赶上变化，设置γ为0.3，得到R_k的调整方案为：

类似的，得到Q的自适应调整方案为：

式中

Q₀和R₀的选取为滤波环境的初始值。

S3：对所有节点进行量测量的残差检测。

S31：对量测量值与由改进无迹卡尔曼滤波得到的量测量预测值做差，得到量测残差，通过卡方分布确定量测量残差的阈值，没有攻击时其残差值近似服从正态分布，依据统计学中正态分布的特性，残差序列落在3倍标准差[-3σ,3σ]区域的概率大于99.7％，落在此区域之外的概率不足0.3％，符合莱依特准则。在时间△t内，有n个量测，它们残差的方差σ²为：

根据卡方分布，量测量残差的阈值在3σ范围内时，认为此时没有虚假数据攻击，在3σ范围之外则有虚假数据攻击。

S32：△t选择比较小的值，这样可以提高检测速度。然而，虚假数据一般会持续注入一段时间，在检测到虚假数据的时刻之后，因为△t的选取比较小，可能在△t时间段内残差都比较大，σ²都比较大，这样有可能此时残差虽比较大却仍然在3σ范围内，这样就会有比较高的假阴性率。所以在检测到有虚假数据注入的时刻之后，增大所选取的时间段T，使T＝10△t，再用以上方法进行检测即可以避免这种情况，直到在某一时刻及该时刻之后的一段时间内ε_k都在

范围内，恢复选取的时间段为△t继续检测，这样即可快准确的检测虚假数据。应该注意的是，当发电机或者负荷发生突变的时候，在非常短期的预测中没有捕捉到发电负荷的突然变化，会在UKF和基于加权最小二乘的状态估计估计之间产生差异，但是这个残差并不意味着有虚假数据攻击。当发生这种情况的时候，所有的状态量都会发生突变，所以这种情况很容易区分。因此在进行虚假数据检测的时候，应把这种情况排除。图3为本实施例的测量残差检测结果；从图3可知6节点以及8节点有虚假数据注入攻击。

S4：对稍不稳定节点以及脆弱节点需要进行进一步对状态量进行残差检测。

S41：对于稍不稳定节点以及脆弱节点，在没有虚假数据注入攻击的时候，由加权最小二乘法得到的状态量与自适应无迹卡尔曼滤波得到的状态预测的结果的差别不大，只有当有虚假数据攻击的时候其差值才会明显增大。在持续攻击时间t内，在攻击的作用下，使得

但是残差信号

其中x_a(k)和r_a(k)是遭受攻击时系统的状态变量和残差，这就导致单纯对量测量进行检测无法完全检测出针对传感器的隐蔽虚假数据注入攻击。改进自适应扩展卡尔曼滤波公式为：

当有攻击发生时，首先变化的是量测输出z_k，假设它的变化量是a，则上式变为：

比较(44)和(45)两式发现，由于攻击向量a的隐蔽性，使得仅针对量测量的检测失效，但是由上式可以看出，可以通过状态来进行检测。当攻击向量a注入到传感器输出z时，观测状态会立刻发生改变，但是因为框架结构导致攻击对输入的影响存在延迟，因此系统会保持原来的状态，这就给检测攻击提供了时间。在T时间内，有n组量测量，则n组对应的系统状态量与观测状态量的方差为：

S_k为在T时间内累计的偏差量，根据卡方分布，设置相应的阈值△为3σ，则当

时，认为此时没有受到虚假数据攻击。

S42：如果在检测的时间T内，虚假数据持续攻击系统，有可能检测出的状态量都满足卡方分布，但其实是有攻击存在。设一共监测了N个时间段，它们的累计偏差分别为S₁,S₂,…,S_N，如果某一段相应的累计偏差很大超出阈值M，则认为在相应的那段存在虚假数据攻击。实际上所监测的N个时间段每一个时间段的大小是不尽相同的，如果对应的时间段比较小，则有更大的概率在这个时间段内持续有虚假数据攻击的存在，但是卡方分布检测不出来，所以不同的时间段根据其大小设置不同的权重ω_N，

此时，Q则为考虑权重之后的累计偏差的平均值，此时再利用卡方分布，超过3σ的均认为有虚假数据的攻击。图4为实施例的状态量电压幅值残差检测结果；图5为实施例的状态量电压相角残差检测结果，从图中可以看出5节点有虚假数据攻击，然而单独从图3中无法检测出来，验证了本发明的有效性。

S5：对于脆弱节点，还要进一步对其量测残差以及状态量残差进一步进行偏度检测，偏度检测进一步检测残差分布偏离正太分布的程度，

式中ξ为偏度，c代表残差，E为均值，D为方差，理论上讲完全符合正太分布时，偏度应为0，但是实际上，存在高斯噪声，使偏度的值在0附近浮动。通过对历史数据的统计分析，得到当偏度值大于1.58时数据不可信，此时需要重新考量数据的准确性。经过计算，得到2节点状态量的残差正态分布偏度为13.2，9节点为2.25，14节点为0.67，通过比较可知，9节点的偏度不在正常范围内，对9节点触发虚假数据注入预警。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims (7)

1.一种基于改进自适应无迹卡尔曼滤波的电力系统虚假数据的检测方法，其特征在于：该方法包括以下步骤：

S1：利用K-means聚类方法将电力系统的不同节点，根据稳定性进行评估分为：稳定节点、次稳定节点以及脆弱节点；

S2：量测仪表采集SCADA的量测值，利用改进的自适应无迹卡尔曼滤波方法对其进行动态状态估计；

S3：将稳定节点、次稳定节点以及脆弱节点的量测值与其改进自适应无迹卡尔曼滤波得到的量测预测值进行比较得到残差，判断残差是否超过阈值；

当稳定节点、次稳定节点以及脆弱节点的量测值残差超过阈值，则判断为电力系统遭受虚假数据攻击；

当稳定节点的量测值残差未超过阈值，则判断为电力系统未超过虚假数据攻击；

当次稳定节点以及脆弱节点的量测值残差未超过阈值，则执行步骤S4；

S4：对于次稳定节点以及脆弱节点，通过改进自适应无迹卡尔曼滤波得到的状态预测量与最小二乘法得到的状态量的残差是否超过状态量残差阈值来判断是否有虚假数据注入攻击；

当次稳定节点以及脆弱节点的状态量残差超过阈值，则判断为电力系统遭受虚假数据攻击；

当次稳定节点的状态量残差未超过阈值，则判断为电力系统未遭受虚假数据攻击；

当脆弱节点的状态量残差未超过阈值，则执行步骤S5；

S5：对脆弱节点其状态量的残差进行偏度测试，当其残差偏度超出特定范围则，判断为电力系统遭受虚假数据攻击，当其残差偏度未超出正常范围，判断为电力系统未遭受虚假数据攻击。

2.根据权利要求书1所述的一种基于改进自适应扩展卡尔曼滤波的电力系统虚假数据检测方法，其特征还在于：电力系统节点稳定性判断公式如下：

M表示节点的稳定性指标，i表示线路始端节点，j代表线路末端节点，R代表线路电阻，U_j代表j的电压幅值，X代表支路电抗，P_j代表j的有功功率，P_i代表i的有功功率，Q_j代表j的无功功率，Q_i代表i的无功功率，δ_i代表i的电压相角，δ_j代表j的电压相角，U′_j代表攻击后的j的电压幅值，P′_j代表攻击后的j的有功功率，P′_i代表i攻击后的有功功率，Q′_j代表j攻击后的无功功率，Q′代表i攻击后的无功功率，δ′代表i攻击后的电压相角，δ′_j代表攻击后的j的电压相角。

3.根据权利要求书1所述的一种基于改进自适应扩展卡尔曼滤波的电力系统虚假数据检测方法，其特征还在于：所述改进自适应无迹卡尔曼滤波的数学模型如下：

其中:

为量测预测值的sigma点，

为量测预测值，z_k为系统实时量测量，S_k为估计量测预测值的方差矩阵，C_k为状态量与量测量交叉协方差矩阵，K_k为卡尔曼滤波增益矩阵，λ_k为渐消因子,调节因子α_k；R_k为系统观测噪声协方差矩阵，W_i ^c为权重，

为先验状态预测值。

4.根据权利要求书1所述的一种基于改进自适应扩展卡尔曼滤波的电力系统虚假数据检测方法，其特征还在于：所述改进自适应无迹卡尔曼滤波的数学模型的误差矩阵如下：

Q_k＝γQ_k-1+(1-γ)(K_kd_kd_k ^TK_k ^T) (4)

其中：γ为遗忘因子，Q为过程噪声协方差矩阵，

5.根据权利要求书1所述的一种基于改进自适应扩展卡尔曼滤波的电力系统虚假数据检测方法，其特征还在于：在检测到虚假数据的时刻之后，增大所选取的时间段T，再通过卡方分布确定在T时间段内的量测量残差的阈值，当量测量残差超过阈值则判断为电力系统遭受虚假数据攻击，当量测量残差未超过阈值则判断为电力系统未遭受虚假数据攻击。

6.根据权利要求书1所述的一种基于改进自适应扩展卡尔曼滤波的电力系统虚假数据检测方法，其特征还在于：状态量与观测状态量的方差分别为：

其中，ω_N为时间所占权重，N为时间段个数，S_N为偏差累计，Q为累计偏差的平均值。

7.根据权利要求书1所述的一种基于改进自适应扩展卡尔曼滤波的电力系统虚假数据检测方法，其特征还在于：对量测残差以及状态量残差进一步进行偏度检测，偏度检测采用如下公式进一步检测残差分布偏离正太分布的程度；

式中，ξ为偏度，c代表残差，E为均值，D为方差。

Images