CN110930265A - 一种基于移地距离的电力系统虚假数据注入攻击检测方法 - Google Patents

Abstract

本发明公开一种基于移地距离的电力系统虚假数据注入攻击检测方法，所述方法包括：根据所述正常工况下历史实际量测量的变化确定历史概率分布；根据所述FDIA工况下被攻击量测量的变化确定FDIA概率分布；根据所述历史概率分布和所述FDIA概率分布的距离确定第一直方图；根据所述第一直方图确定检测阈值；根据采样的量测量的变化确定检测概率分布；根据所述历史概率分布和所述检测概率分布的距离确定第二直方图；根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击。本发明公开的方法以实现两个不同的量测量分布的支撑集没有重叠或者重叠非常少时对电力系统虚假数据注入攻击检测，进而提高了检测的准确性。

Description

一种基于移地距离的电力系统虚假数据注入攻击检测方法

技术领域

本发明涉及电力系统运行安全维护技术领域，特别是涉及一种基于移地距离的电力系统虚假数据注入攻击检测方法。

背景技术

状态估计是电网能量管理系统(energy manage-ment system，EMS)的一个重要功能，对电网的可靠运行至关重要。为了进行状态估计，电力系统控制中心通过远程终端单元(RTUs)采集测量数据，测量数据一般包括：输电线路上的有功功率和无功功率、母线上的节点电压幅值和相角，并通过直流状态估计或交流状态估计转换成系统状态量：母线电压幅值和相角。

近年来，虚假数据注入攻击(false data injection attack，FDIA)被认为是状态估计面临的最具挑战性的威胁之一。攻击者通过对以数据采集与监控(supervisorycontrol and data acquisition，SCADA)系统和广域量测系统(wide areameasurementsystem，WAMS)为代表的信息系统进行虚假数据注入攻击，成功的FDIA可以躲过传统的基于残差的不良数据检测机制，使得估计结果严重偏离电网的实际运行情况，进而导致物理电网运行失效甚至瘫痪。

已有许多研究提出直流状态估计中的FDIA检测方法，然而，传统的直流FDIA检测方法无法有效地检测出交流FDIA。因此，有学者提出一种基于正常工况下电力系统状态概率分布Kullback-Leibler距离(Kullback-Leibler distance，KLD)的交流状态估计FDIA检测机制，还有学者提出一种基于延森-香农距离(Jensen-Shannon distance，JSD)的电力系统恶意数据检测方法。但是，当两个不同的量测量分布的支撑集没有重叠或者重叠非常少时，JSD在此情况下是常量，KLD可能无意义。因此，如何有效检测FDIA成为电力系统亟需解决的问题。

发明内容

本发明的目的是提供一种基于移地距离的电力系统虚假数据注入攻击检测方法，以提高检测的准确性。

为实现上述目的，本发明提供了一种基于移地距离的电力系统虚假数据注入攻击检测方法，所述方法包括：

确定正常工况下历史实际量测量；

获取虚假数据注入攻击FDIA工况下被攻击量测量；

根据所述正常工况下历史实际量测量的变化确定历史概率分布；

根据所述FDIA工况下被攻击量测量的变化确定FDIA概率分布；

根据所述历史概率分布和所述FDIA概率分布的距离确定第一直方图；

根据所述第一直方图确定检测阈值；

根据采样的量测量的变化确定检测概率分布；

根据所述历史概率分布和所述检测概率分布的距离确定第二直方图；

根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击。

可选的，所述确定正常工况下历史实际量测量，具体包括：

依据SCADA系统建立电力系统的交流状态估计数学模型；所述SCADA系统为数据采集与监控系统；

根据所述交流状态估计数学模型确定所述电力系统中的历史量测量真实值；

依据所述电力系统中的历史量测量真实值叠加随机噪声，确定所述电力系统在正常工况下的历史实际量测量。

可选的，所述根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击，具体包括：

判断所述第二直方图内的各推土机距离EMD值是否均小于或等于检测阈值；如果所述第二直方图内的某个推土机距离EMD值大于检测阈值，则所述电力系统受到虚假数据注入攻击；如果所述第二直方图内的各推土机距离EMD值均小于或等于检测阈值，则所述电力系统没有受到虚假数据注入攻击。

可选的，所述依据SCADA系统建立电力系统的交流状态估计数学模型，具体公式为：

z＝h(x)+e；

其中，z^T＝[z₁,z₂,…z_m]表示量测量，所述量测量包括节点电压幅值、支路功率、节点注入功率；x^T＝[x₁,x₂,...,x_n]表示状态量，为节点的电压幅值和相角；e^T＝[e₁,e₂,...,e_m]表示量测误差，且满足

h()为量测量z与系统状态量x之间的非线性函数。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明公开一种基于移地距离的电力系统虚假数据注入攻击检测方法，所述方法包括：根据所述正常工况下历史实际量测量的变化确定历史概率分布；根据所述FDIA工况下被攻击量测量的变化确定FDIA概率分布；根据所述历史概率分布和所述FDIA概率分布的距离确定第一直方图；根据所述第一直方图确定检测阈值；根据采样的量测量的变化确定检测概率分布；根据所述历史概率分布和所述检测概率分布的距离确定第二直方图；根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击。本发明公开的方法即使两个不同的量测量分布的支撑集没有重叠或者重叠非常少时对电力系统虚假数据注入攻击检测，进而提高了检测的准确性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一种基于移地距离的电力系统虚假数据注入攻击检测方法流程图；

图2为本发明实施例一种基于移地距离的电力系统虚假数据注入攻击检测方法具体流程图；

图3为本发明实施例标准IEEE-14节点系统图；

图4为本发明实施例EMD最大流量最小成本算法调用图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种基于移地距离的电力系统虚假数据注入攻击检测方法，以提高检测的准确性。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本发明提出的基于Earth-Mover距离的虚假数据检测方法，通过相邻采样时刻量测量变化的概率分布来判断当前时刻系统是否遭受虚假数据注入攻击。当电力系统遭受FDIA时，该时刻的量测量概率分布将偏离正常工况下的量测量概率分布，进而导致EMD值偏离正常值。

推土机距离(Earth-Mover's Distance，简称EMD)又称瓦瑟斯坦距离(Wasserstein Distance)，最早是由Rubner等人引入并用来测量颜色和纹理的差异。作为在测度空间中两个概率分布间的距离函数，适合判断两个直方图(如概率分布)之间的相似性，最优传输理论的推土机距离是从一个概率空间到另一个概率空间的最优传输方案，如图4所示。它比欧几里得距离等传统相似性度量方法更加鲁棒。所述EM距离模型为：

其中，Π(P₁,P₂)表示P₁和P₂分布组合起来的所有可能的联合分布的集合。对于每一个可能的联合分布γ，可以从中采样(x,y)～γ得到一个样本x和y，并计算出这对样本的距离||x-y||，所以可以计算该联合分布γ下，样本对距离的期望值E_(x,y)～γ[||x-y||]。在所有可能的联合分布中能够对这个期望值取到的下界

就是EM距离。直观上可以把E_(x,y)～γ[||x-y||]理解为在γ这个路径规划下把土堆P₁挪到土堆P₂所需要的消耗，而EMD距离就是在最优路径规划下的最小消耗。

图1为本发明实施例一种基于移地距离的电力系统虚假数据注入攻击检测方法流程图，图2为本发明实施例一种基于移地距离的电力系统虚假数据注入攻击检测方法具体流程图，如图1-2所示，本发明公开一种基于移地距离的电力系统虚假数据注入攻击检测方法，所述方法包括：

步骤S1：确定正常工况下历史实际量测量；

步骤S2：获取虚假数据注入攻击FDIA工况下被攻击量测量；

步骤S3：根据所述正常工况下历史实际量测量的变化确定历史概率分布；

步骤S4：根据所述FDIA工况下被攻击量测量的变化确定FDIA概率分布；

步骤S5：根据所述历史概率分布和所述FDIA概率分布的距离确定第一直方图；

步骤S6：根据所述第一直方图确定检测阈值；

步骤S7：根据采样的量测量的变化确定检测概率分布；

步骤S8：根据所述历史概率分布和所述检测概率分布的距离确定第二直方图；

步骤S9：根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击。

下面对各个步骤进行详细论述：

步骤S1：所述确定正常工况下历史实际量测量，具体包括：

步骤S11：依据SCADA系统建立电力系统的交流状态估计数学模型；所述SCADA系统为数据采集与监控系统；

所述交流状态估计数学模型具体公式为：

z＝h(x)+e；

其中，z^T＝[z₁,z₂,…z_m]表示量测量，所述量测量包括节点电压幅值、支路功率、节点注入功率；x^T＝[x₁,x₂,...,x_n]表示状态量，为节点的电压幅值和相角；e^T＝[e₁,e₂,...,e_m]表示量测误差，主要来源于量测设备的误差和传输过程中信号干扰造成的误差，且满足

h()为交流电网模型下量测量z与系统状态量x之间的状态估计线性函数。

实际电力系统的状态估计程序普遍采用加权最小二乘法(weigthed leastsquare，WLS)。该方法将电力系统近似成一个准稳态模型，即线性化其量测方程为：

z＝H(x)+e；

其中H为量测矩阵，即h(x)对x的一阶偏导。因此，状态变量的估计值

为：

为了减小量测系统中粗量测误差对状态估计精度的影响，一般采用基于残差的卡方检测法对量测信息进行不良数据检测，剔除误差较大的量测量。其中量测量的残差为：

其中残差r∈R^m×1，正常情况下，r服从正态分布。

FDIA利用该检测方法的缺陷，若用a＝[a₁,a₂,...,a_m]^T表示攻击者在量测量中注入的虚假数据向量，则实际的量测数据为z_bad＝z+a，此时估计的状态变量为x_bad＝x+c，虚假数据的注入在状态变量中引入的误差向量为c＝[c₁,c₂,...,c_n]^T。当a＝Hc时，残差表达式为：

此时，FDIA可以绕过传统的不良数据检测方法，攻击者可以通过这种方式，随意改变量测值，FDIA的攻击目标主要为系统状态变量和系统量测值。

1)攻击系统状态变量时，在交流状态估计中，状态变量有两种类型：节点相角θ、节点电压幅值V，如果攻击者针对某一状态变量，则所有依赖于该状态变量的测量值都会受到影响。假设攻击目标为节点i的电压相角θ_i和电压幅值V_i，与其相关的量测量有节点i的注入有功功率和无功功率、与节点i相连的支路有功功率和无功功率，测量值与状态变量的关系表示为：

节点i的有功P_i和无功Q_i注入量测函数分别为：

节点i到j的注入有功P_ij和无功潮流Q_ij量测函数分别为：

P_ij＝V_i ²(g_si+g_ij)-V_iV_j(g_ij cosθ_ij+b_ij sinθ_ij)

Q_ij＝-V_i ²(b_si+b_ij)-V_iV_j(g_ij sinθ_ij+b_ij cosθ_ij)

其中，V_i和V_j分别为节点i和节点j的电压幅值；θ_i和θ_j为节点i和节点j的电压相角，节点i和节点j之间的相角差θ_ij＝θ_i-θ_j；Ω_i为连接到节点i的节点数量；G_ij+jB_ij为节点i到节点j的支路导纳；g_ij+jb_ij为节点i到j的序导纳；g_si+jb_si为节点i的并联支路导纳。

通过上述公式可以看出节点i的注入功率(P_i、Q_i)与节点i相连的支路功率均会因节点i的状态量的改变而发生偏差，即攻击者可以改变量测值来改变状态量，也可以通过篡改状态量而影响量测值。因此，必须同时改变与节点i相关的所有量测量，才能躲过不良数据检测环节，成功篡改电压幅值V_i和电压相角θ_i。节点电压幅值和相角是状态量，通过状态估计得到，即利用量测数据(包括节点注入有功和无功功率、支路有功和无功功率、节点电压幅值)经过公式z＝h(x)+e得到。

2)攻击系统特定量测量时，攻击者不仅要更改目标量测量，还需要更改至少一个控制目标量测量的状态变量。为了躲过不良数据检测，则攻击者需要操纵所有受状态变量影响的量测量。

步骤S12：根据所述交流状态估计数学模型确定所述电力系统中的历史量测量真实值；

步骤S13：依据所述电力系统中的历史量测量真实值叠加随机噪声，确定所述电力系统在正常工况下的历史实际量测量。

步骤S6：根据所述第一直方图确定检测阈值。

选择合适的阈值影响检测的准确性，阈值表示检测算法对测量变化的容忍度。当阈值设置较高时，可能无法检测到某些攻击；当阈值设置较低时，一些真实的测量数据可能被误判为虚假数据。为了解决这一问题，本发明将第一直方图的99％置信区间的上限作为虚假数据注入攻击检测阈值ε。

步骤S7：根据采样的量测量的变化确定检测概率分布。

以图3所示的标准IEEE-14节点系统图为例，该系统中负荷变化曲线为220千伏母线的负荷数据，采样间隔为5min；该系统包括节点有功、无功注入功率，支路有功、无功功率和节点电压幅值共5个测量量，14个节点共计70个测量量，检测概率分布是利用每次采集的这70个测量量的变化量的分布情况所生成的概率分布。

步骤S9：所述根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击，具体包括：

判断所述第二直方图内的各推土机距离EMD值是否均小于或等于检测阈值；如果所述第二直方图内的某个推土机距离EMD值大于检测阈值，则所述电力系统受到虚假数据注入攻击；如果所述第二直方图内的各推土机距离EMD值均小于或等于检测阈值，则所述电力系统没有受到虚假数据注入攻击。

本发明公开一种基于移地距离的电力系统虚假数据注入攻击检测方法，所述方法包括：根据所述正常工况下历史实际量测量的变化确定历史概率分布；根据所述FDIA工况下被攻击量测量的变化确定FDIA概率分布；根据所述历史概率分布和所述FDIA概率分布的距离确定第一直方图；根据所述第一直方图确定检测阈值；根据采样的量测量的变化确定检测概率分布；根据所述历史概率分布和所述检测概率分布的距离确定第二直方图；根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击，及时探知虚假数据注入攻击，尽早将虚假信息从电力系统采集数据中剔除，基于此来保护电力系统的安全稳定运行。

本发明公开的方法及系统即使两个分布没有重叠或者重叠非常少，EMD距离仍然能反映两个分布的远近，且在量测量分布不连续时仍能进行有效检测，进一步提高虚假数据检测的成功率，且不受攻击类型的影响，具有较好的稳定性和实用性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (4)

1.一种基于移地距离的电力系统虚假数据注入攻击检测方法，其特征在于，所述方法包括：

确定正常工况下历史实际量测量；

获取虚假数据注入攻击FDIA工况下被攻击量测量；

根据所述正常工况下历史实际量测量的变化确定历史概率分布；

根据所述FDIA工况下被攻击量测量的变化确定FDIA概率分布；

根据所述历史概率分布和所述FDIA概率分布的距离确定第一直方图；

根据所述第一直方图确定检测阈值；

根据采样的量测量的变化确定检测概率分布；

根据所述历史概率分布和所述检测概率分布的距离确定第二直方图；

根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击。

2.根据权利要求1所述的基于移地距离的电力系统虚假数据注入攻击检测方法，其特征在于，所述确定正常工况下历史实际量测量，具体包括：

依据SCADA系统建立电力系统的交流状态估计数学模型；所述SCADA系统为数据采集与监控系统；

根据所述交流状态估计数学模型确定所述电力系统中的历史量测量真实值；

依据所述电力系统中的历史量测量真实值叠加随机噪声，确定所述电力系统在正常工况下的历史实际量测量。

3.根据权利要求1所述的基于移地距离的电力系统虚假数据注入攻击检测方法，其特征在于，所述根据所述检测阈值和所述第二直方图确定所述电力系统是否受到虚假数据注入攻击，具体包括：

判断所述第二直方图内的各推土机距离EMD值是否均小于或等于检测阈值；如果所述第二直方图内的某个推土机距离EMD值大于检测阈值，则所述电力系统受到虚假数据注入攻击；如果所述第二直方图内的各推土机距离EMD值均小于或等于检测阈值，则所述电力系统没有受到虚假数据注入攻击。

4.根据权利要求1所述的基于移地距离的电力系统虚假数据注入攻击检测方法，其特征在于，所述依据SCADA系统建立电力系统的交流状态估计数学模型，具体公式为：

z＝h(x)+e；

其中，z^T＝[z₁,z₂,…z_m]表示量测量，所述量测量包括节点电压幅值、支路功率、节点注入功率；x^T＝[x₁,x₂,...,x_n]表示状态量，为节点的电压幅值和相角；e^T＝[e₁,e₂,...,e_m]表示量测误差，且满足

h()为量测量z与系统状态量x之间的非线性函数。

Images