CN111783845A

CN111783845A - 一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法

Info

Publication number: CN111783845A
Application number: CN202010533228.2A
Authority: CN
Inventors: 郭方洪; 易新伟; 张文安; 张丹
Original assignee: Zhejiang University of Technology ZJUT
Current assignee: Zhejiang University of Technology ZJUT
Priority date: 2020-06-12
Filing date: 2020-06-12
Publication date: 2020-10-16
Anticipated expiration: 2040-06-12
Also published as: CN111783845B

Abstract

一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法，先获取电网系统的测量信息，将测量信息作为训练样本，其中包括正常样本和被攻击样本，再确定近邻点个数K值大小和降维后的特征维数，通过计算样本点的重构权值矩阵，将样本点映射嵌入到低维空间，再训练极限学习机，最后将新的测量样本降维处理，作为极限学习机检测模型的输入，得到检测结果。本发明能够有效的检测隐匿虚假数据注入攻击。

Description

一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法

技术领域

本发明属于电网安全领域，具体提供了一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入(False Data Injection,FDI)攻击检测方法。由于电网系统复杂的拓扑结构，其历史数据往往是几百维甚至上千维，传统的机器学习的方法将面临“维度爆炸”的问题，导致训练结果趋于过拟合。本文提出的局部线性嵌入(Local Linear Embedding,LLE)算法可以有效提取攻击向量的深层特征，将极限学习机(Extreme Learning Machine,ELM)作为分类器对提取到的特征进行入侵检测分类，能有效提高隐匿FDI攻击检测精度，并具有较好的泛化能力和实时性。

背景技术

电网作为国家的重要基础设施，不断受到网络攻击的威胁。FDI攻击是一种针对电力系统状态估计的新型攻击方法，它能够有效地绕过系统的监测与防御，影响状态估计的结果，使得控制中心获得错误的系统运行状态从而做出错误的决策，最终达到获取经济利益或者其他目的。由于电力系统中许多其他组成部分直接或者间接依赖于系统的运行状态，该类攻击必然会影响其他子系统的运行，衍生出其他的安全问题。

电网系统是高度复杂的，使用机器学习的方法处理历史测量数据将面临“维数灾难”的问题，训练结果容易出现过拟合，从而限制了泛化能力，因此通过降维避免训练结果过拟合显得尤为重要。局部线性嵌入算法是一种用局部线性反应全局的非线性算法，相比传统的主成分分析，线性判别分析等关注样本方差的降维算法相比，它能够使降维后的数据保持原有数据的拓扑结构。ELM是一个单隐含层的前馈神经网络，隐含层权重以及偏置在训练之前随机生成，在训练过程中无需调整，只需设置隐藏神经元的个数，便可获得唯一的最优解，因此具有训练速度快、泛化性好、分类精度高等优点。

发明内容

为了克服现有技术的不足，本发明提出的基于局部线性嵌入和极限学习机的隐匿FDI攻击检测方法，可以有效的检测隐匿FDI攻击。

本发明为解决上述技术问题提供了如下技术方案：

一种基于局部线性嵌入和极限学习机的隐匿FDI攻击检测方法，包括以下步骤：

步骤1)，获取电网系统的测量信息，将测量信息作为训练样本，其中包括正常样本和被攻击样本；

步骤2)，确定近邻点个数K值大小和降维后的特征维数；

步骤3)，计算样本点的重构权值矩阵；

步骤4)，样本点映射嵌入到低维空间；

步骤5)，训练极限学习机模型；

步骤6)，将新的测量样本降维处理，作为极限学习机检测模型的输入，得到检测结果。

进一步，所述步骤2的过程如下：

寻找每个样本的K个近邻点，即需要K个近邻样本来表示某个样本，根据度量空间距离计算任意两个样本点之间的欧式距离，计算得到离样本点距离最近的K个点作为邻近点，假设总共有K个样本，样本为D维数据，D×1的列向量，对于每一个样本可以由K近邻的样本线性组合如下：

其中，W_ij是样本X_i对应于第j个近邻样本的权重系数，X_j是X_i的第j个近邻点。

再进一步，所述步骤3)的过程如下：

3.1)由每个样本的近邻点计算该样本点的重构权值矩阵，通过最小化均方差损失的目标函数式(2)，保证了局部样本的线性关系；

其中，W＝[W_ij]_1≤i,j≤N是N×N是矩阵，对于1≤j≤N,W_i ^T＝[w_i1,w_i2,…,w_iN],当样本点X_j不属于X_i的近邻点集合之中，W_ij取值为0.另外，矩阵W行和等于1；

3.2)显然，最优W是单独计算的最优列W_i的组合，W_i运用拉格朗日乘子法求解

其中λ_i是拉格朗日系数，S_i＝(X_i-N_i)^T(X_i-N_i)作为局部协方差矩阵；

3.3)J_i对W_i求导表示为

其中1_K是k维全1向量，由等式(4)解得

且由等式(2)，得

因此解得

进一步求得W_i

再进一步，所述步骤4)的过程如下：

4.1)，由样本点的局部重构权值矩阵和其近邻点计算出样本点降维后的输出值，所有样本点映射到低维空间满足以下关系：

其中R_i为X_i的输出向量，I_d是d×d矩阵，添加约束是为了保证解决方案的本质唯一性式(6)改写成式(7)的形式；

4.2)令M＝(I_i-W_i)(I_i-W_i)^T,再使用拉格朗日乘子法；

H(Y)＝YMY^T+λ(YY^T-NI_d) (8)

H(Y)对Y求导，

得：

MY^T＝-λY^T (9)

要使损失函数值尽可能的小，取Y为M最小的d个非零特征值所对应的特征向量，第一个最小特征值接近于0，将其舍弃，为了降维到d维，从小到大依次取前[2,d+1]个特征值对应的特征向量。

本发明的技术构思为：先获取电网系统的量测信息，将量测信息作为训练样本，其中包括正常样本和被攻击样本，再寻找每个样本点的K个近邻点以及确定降维后的特征维数，由每个样本点计算出该样本点的局部重建权值矩阵，再由该样本点的局部重建权值矩阵和其近邻点计算出该样本点的输出值，将样本点映射嵌入低维空间，然后训练极限学习机，最后将新的测量样本降维处理，作为极限学习机分类模型的输入，得到检测结果。

附图说明

图1是本发明基于局部线性嵌入算法降维后的二维空间样本点分布图。

图2是基于主成成分分析算法降维后的二维空间样本点分布图。

图3是LLE-ELM,LLE-ANN,PCA-ANN,ELM,SVM五种检测方法在不同隐患测量下的检测精度。

图4是LLE-ELM,LLE-ANN,PCA-ANN,ELM,SVM五种检测方法在不同隐患测量下的召回率。

图5是LLE-ELM在不同近邻点个数下的检测精度。

图6是LLE-ELM,LLE-ANN,ANN,SVM在不同噪声环境下的检测精度。

图7是LLE-ELM,LLE-ANN,ANN,SVM在不同阈值(FDI攻击引起不同状态向量变化个数)下的检测精度。

图8是基于局部线性嵌入映射学习的隐匿FDI攻击检测方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清晰，下面结合附图和实际实验对本发明的技术方案作进一步描述。

对于某一给定的电力系统模型中，状态值和量测值存在以下的关系：

z＝h(x)+e (10)

其中z∈R^m为测量值，x∈Rⁿ为状态值，h(x)为电力系统状态与测量值的非线性方程组(其形式由电力系统的结构决定)，e为测量噪声。

当系统近似为直流系统时，式(11)可以表示为：

z＝Hx+e (11)

其中

隐匿FDI攻击是指通过篡改系统的测量值实现隐藏攻击。设z_a＝z+a为被攻击后的测量值，a为攻击向量，导致原估计状态x变为x^a。当电网遭受攻击但逃过了系统的不良数据检测，此时系统的测量值可以表示为：

z^a＝Hx+a+e (12)

本发明使用IEEE 57-bus系统模型验证基于局部线性嵌入映射学习的隐匿FDI攻击检测方法的优点和有效性，系统的测量雅可比矩阵H来自于MATPOWER工具包，通过对MATPOWER中的案例进行潮流计算得到系统状态值x∈Rⁿ，并进行计算得到系统的测量值z∈R^m。通过掌握IEEE 57-bus案例中的各种电气参数和拓扑信息可构建攻击向量a，逃过系统的不良数据检测，进而制造隐匿FDI攻击。其中攻击向量a可以表示为：

a＝Hc (13)

其中c可通过下式求解

H_Lc＝0 (14)

其中H_L表示系统中受保护的测量值，也就是雅可比矩阵中受保护的行,相对的H_I表示系统中容易被攻击的测量。

参照图1～图8，比较了局部线性嵌入映射算法和主成成分分析(PCA)算法降维后的二维空间分布，可以看到使用PCA降维后，一部分攻击的样本和正常的样本杂糅在了一起，而使用LLE降维处理后，正常样本呈直线状集中分布在一起，可以很容易区分正常样本与攻击样本，机器学习容易找到两者的决策分界面。LLE算法使数据从高维空间映射到低维空间保持了局部线性关系，针对不同的攻击场景，攻击样本与攻击样本；正常样本与正常样本在较小的局部存在一定的线性关系，LLE映射后也抓取了这些信息，只要选取合适的近邻点个数K，就可以使得具有相同特性的样本点之间存在一个较大的权重，使得降维后正常样本分布在一起，而不同攻击类型的样本分成不同的簇，因此具有划分异常点的特性。

使用极限学习机训练分类器，由输入层、隐藏层、输出层组成，输入层神经元的个数等于降维后的特征维数，IEEE 57-bus系统模型中状态值维度为113，测量值维度为217，确定降维后特征维数为6，即输入层由6个神经元组成，隐藏层设置神经元个数为80，一个标准的前馈神经网络模型可表示为：

其中r_j为第j个输入层神经元，a_i为输入层神经元与第i个隐藏层神经元的连接权重，b_i为每个隐藏层的偏置，g是Sigmoid激活函数。β_i为第i个隐藏层神经元与输出层神经元的连接权重，输出层由2个神经元组成。式(14)可以以矩阵形式表示为：

Y＝Hβ (16)

训练极限学习机的过程相当于求解式(15)的最小二乘解

其中H⁺是矩阵H的广义逆矩阵。

在仿真实验中，假设攻击者可以访问系统的I个测量，即攻击者可以通过篡改这I个测量值构造隐匿FDI攻击，设置I＝130、140、150、160、170这5种攻击场景进行仿真验证。我们使用原始样本集、LLE降维后的样本集、PCA降维后的样本集分别训练神经网络。然后用另外的测试样本来检验模型分类的准确率(ACC,accuracy)和召回率(REC,recall)。ACC和REC计算方式如下：

其中，TP、FP、TN、FN分别表示正确分类的被攻击样本、错误分类的正常样本、正确分类的正常样本和错误分类的被攻击样本，ACC表示所有样本被正确分类的概率，REC表示被攻击样本中正确分类的概率。

参照图3，可以看出通过LLE降维处理，检测精度达到了95％左右，LLE-ELM、LLE-ANN攻击检测的准确率相比PCA-ANN,ELM,SVM方法提升明显。

参照图4，可以看出LLE-ELM的召回率最高，对攻击样本能很好的检测识别，降低了电网系统受到隐匿FDI攻击的风险。

参照图5，可以看出LLE算法中不同的近邻点个数会具有不同的分类效果，随着近邻点个数的提升，检测精度会逐步提升。然而检测机制的计算复杂度也在不断增加。因此，在保证检测精度的同时，需要控制系统的计算复杂度，我们实验中设置近邻点个数为48。

参照图6，可以看出随着噪声方差的增大，所提出的检测机制LLE-ELM和基于LLE-ANN的方法的精度可以达到90％以上的精度。而当噪声方差大于0.8时，ANN和SVM精度下降较快。很明显，提出的检测机制优于其他两种。

参照图7，可以看出随着阈值的增加，四种检测机制的准确率都在增加，这是因为正常数据和受损数据的模式更容易区分。当阈值被划分为4时，基于ANN和SVM的检测方法的准确率远低于LLE-ANN和提出的检测机制LLE-ELM。因此，LLE-ELM在FDI攻击检测方面优于ANN和SVM.

表1是LLE-ELM、LLE-ANN、ELM、ANN、SVM五种方法的训练时间。

表1

参照表1，可以看出基于LLE-ELM训练时间的检测机制明显低于LLE-ANN、SVM和ANN，但高于ELM。它反映了ELM作为训练速度快的分类器的优点。

以上结合附图详细说明和陈述了本发明的实施方式，但并不局限于上述方式。在本领域的技术人员所具备的知识范围内，只要以本发明的构思为基础，还可以做出多种变化和改进。

Claims

1.一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法，其特征在于，所述方法包括以下步骤：

步骤2)，确定近邻点个数K值大小和降维后的特征维数；

步骤3)，计算样本点的重构权值矩阵；

步骤4)，样本点映射嵌入到低维空间；

步骤5)，训练极限学习机模型；

2.如权利要求1所述的一种基于局部线性嵌入和极限学习机的隐匿FDI攻击检测学习方法，其特征在于，所述步骤2的过程如下：寻找每个样本的K个近邻点，即需要K个近邻样本来表示某个样本，根据度量空间距离计算任意两个样本点之间的欧式距离，计算得到离样本点距离最近的K个点作为邻近点，假设总共有K个样本，样本为D维数据，D×1的列向量，对于每一个样本由K近邻的样本线性组合如下：