CN112260989A - 电力系统及网络恶意数据攻击检测方法、系统及存储介质 - Google Patents

Abstract

本发明公开了一种电力系统及网络恶意数据攻击检测方法、系统及存储介质，充分考虑了传统电力网络恶意数据攻击的异常行为特征以及隐性电力恶意数据攻击下“异常量测值样本”的隐秘性和无序性，提出了一种基于随机抽样的电力恶意数据检测方法。本发明的检测方法深入挖掘隐性恶意数据攻击导致量测值数据产生的异常特征，通过随机抽样的方法对疑似受到恶意数据攻击的量测值样本进行定位，克服了传统检测方法未能充分挖掘恶意数据的异常行为特征，实现了高隐蔽性恶意数据的检测，降低了电力系统遭受恶意数据攻击的风险，有利于提高电力系统运行的安全性。

Description

电力系统及网络恶意数据攻击检测方法、系统及存储介质

技术领域

本发明涉及电力系统信息物理安全技术领域，特别是一种电力系统及网络恶意数据攻击检测方法、系统及存储介质。

背景技术

电力网络的数据安全对于保障系统的稳定可靠运行至关重要。随着信息技术的深度融合、海量物联网设备的接入等，电力系统面临越来越严重的恶意数据攻击。攻击者通过恶意数据注入攻击，诱导控制中心决策失误，将导致发生线路跳闸、隔离开关误操作等严重安全事故。但是，现有的坏数据检测方法仅建立在分析数据一致性的基础之上，利用系统残差检验实现恶意数据的辨识。然而，现有研究表明，攻击者不但能够构造满足系统一致性要求的注入数据，而且能够将恶意数据隐藏于正常数据之中或者附近，使其不具备明显异常点特性。因此，传统的检测方法无法检测此类恶意数据攻击，急需发展针对高隐身恶意数据的检测方法，防范恶意数据注入攻击对系统带来的安全风险。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种电力系统及网络恶意数据攻击检测方法、系统及存储介质，充分利用局部恶意数据攻击向量的构造原则，挖掘遭受恶意数据攻击的量测值样本的异常行为特征，有效解决具有高隐秘性电力恶意数据攻击难以检测的问题。

为解决上述技术问题，本发明所采用的技术方案是：一种电力网络恶意数据攻击检测方法，包括以下步骤：

S1、输入电力系统拓扑结构中n个正常的历史量测值样本，组成正常量测值样本集Z_normal；

S2、根据输入的待检测样本z′和步骤S1中的正常量测值样本集Z_normal，建立当前运行状态下的量测值样本动态安全域Θ_m，并判断待检测样本z′是否具有明显的“异常点”特征，如果该样本具有明显的“异常点”特征，则判定该样本遭受网络攻击；如果该样本不具有明显的“异常点”特征，执行步骤S3；

S3、根据待检测样本z′，使用随机抽样方法计算动态安全域中疑似遭受攻击样本集Λ；

S4、计算步骤S3所得疑似遭受攻击样本集Λ中出现概率最高的量测值样本，记为z_attack，并计算该量测值样本与待检测样本的差值Δz；

S5、判断差值Δz所包含的数据是否满足局部电力恶意数据攻击的构造特征。

步骤S2的目的是为了剔除遭受恶意数据攻击后具有明显异常行为特征的量测值样本。若输入的待检测样本z′遭受传统的电力恶意数据攻击，此样本经过数据处理后的分布情况将会远离当前动态安全域Θ_m，则可直接判断z′为携带恶意数据的量测值样本，若z′的分布情况处于动态安全域之内，才执行后面的步骤。本发明方法的优势就在于不仅可以剔除遭受传统电力恶意数据攻击的异常样本，也可以检测遭受隐性电力恶意数据攻击后不具有明显异常特征的异常样本，从而有效解决了具有高隐秘性电力恶意数据攻击难以检测的问题。

步骤S1中，正常量测值样本集Z_normal＝[z₁，z₂，...，z_n]；其中，z_i表示第i个量测值样本；

和

分别为电力系统中N_d个节点的有功负荷和无功负荷数据组成的向量；

和

分别为电力系统中N_l条线路上的有功潮流和无功潮流数据组成的向量；

为电力系统中N_d个节点的电压幅值。

此步骤将n个历史量测值样本组成训练数据集并进行了关联分析，通过分析电力系统历史数据可以得到负荷波动大概率区间，为恶意数据攻击检测方法提供了数据基础，更加符合实际情况。

步骤S2的具体实现过程包括：

1)将待检测样本z′与正常量测值样本集Z_normal组成一个训练数据样本集Z_train；

2)将训练数据样本集Z_train中的每一个量测值样本从m维空间映射到r维空间中，得到由r维模拟数据所组成的低维样本集合Z_r＝[z′_r，Z_normal-r]；r≤m；

3)通过K均值聚类的方法，计算低维样本集合Z_normal-r中的n个样本点的聚类中心点，记为点z_o；

4)计算低维样本集合Z_normal-r中所有样本点与聚类中心点z_o之间的欧式距离；

5)计算当前状态下量测值样本动态安全域Θ_m的波动范围D_max：D_max＝max(D)；D为低维样本集合Z_normal-r的n个样本与聚类中心点z_o之间欧式距离的集合，max()代表求取一个向量中元素最大值的函数；

6)利用下式判断待检测样本是否具有明显的“异常点”特征：

其中，

为待检测样本的低维数据样本z′_r与聚类中心z_o的欧式距离；δ为判断一个样本是否具有“异常点”特征的阈值；当上式成立时，则可认为待检测样本z′具有明显的“异常点”特征。

上述步骤将高维样本数据映射到低维空间中，最终在低维度空间得到关于原数据空间的低维表示。其优势在于通过主成分分析的方法对高维量测值样本进行数据预处理，获取原数据的本质特征，去除无用噪声，将原始量测值数据映射到便于观察的低维空间中，降低了数据维度从而克服数据分析过程中所面临的维数灾难，最大限度的分离了正常数据和异常数据的特征。此外在经过降维处理后，使用低维样本建立一个动态安全域，可更直观地分析量测值样本之间的分布情况，有助于电力恶意攻击数据的检测。

步骤S3的具体实现过程包括：

A)随机抽取训练数据样本集z_train的m维数据中的任意k维数据，记为：

其中

B)将

中的k维数据映射到r维空间中，建立随机抽样后的k维量测值样本的动态安全域Θ_k，记为：

其中

C)计算

中所有样本与z′_kr之间的最小距离d_min，并求得这一最小距离值在

中对应的k维样本以及在正常训练数据样本集Z_normal中位于同一列的m维原始样本；计算所求m维原始样本在动态安全域Θ_m内与z′之间的距离d_z′，并计算d_min相对于d_z′的跳变值，若所求跳变值超过规定的阈值d_limit，则将相关疑似遭受攻击样本纳入集合Λ中，z′_kr表示从待检测样本z′的m维数据中随机抽取的k维数据；

D)重复步骤B)和步骤C)，最终形成一个具有s个疑似遭受攻击样本的样本集Λ。

传统恶意数据检测方法往往只能对遭受攻击后具有明显异常特征的样本进行辨识。上述步骤采用随机抽样一致性的方法对训练数据样本集中的m维数据进行T次随机抽样。其优势在于充分考虑了攻击者的有限攻击能力，即攻击者往往只依赖于少量局部网络参数信息来发起局部恶意数据攻击，更加符合实际攻击场景。在每次抽样过程中，通过对量测值样本在动态安全域中的跳变情况来判断是否遭受恶意数据攻击，克服了传统异常数据检测方法难以检测不具有明显异常行为特征的恶意数据的缺点。

步骤S4的具体实现过程包括：

a)设疑似遭受攻击样本集Λ中某个样本出现t次，则认为该样本疑似遭受攻击的概率为p＝t/s；计算疑似遭受攻击样本集Λ中所有样本出现概率最高的样本，记为z_attack，则认为z_attack为疑似遭受恶意数据攻击的样本；其中，s为样本集Λ中样本数量；

b)根据疑似遭受恶意数据的样本z_attack，计算差值Δz：Δz＝z_attack-z′；其中，z_attack∈Z_normal。

上述步骤对疑似遭受攻击样本集Λ中的高概率样本进行分析，其优势在于通过随机抽取少量数据实现恶意数据攻击行为特征的挖掘，认为样本集Λ中概率最高的样本即为疑似遭受攻击的样本，从而提高了计算效率以及检测的精确度，实现了对遭受恶意攻击的目标量测值样本的高精度定位，克服了高隐秘性的电力恶意数据攻击特征难以提取的难题。

步骤S5的具体实现过程包括：

I)对于Δz中的每个元素|Δzⁱ|(i＝1，2，…，m)，判断|Δzⁱ|≤β是否成立，若成立，则将此元素归类为零元素Δz_N，若不成立，则将此元素归类为非零元素Δz_A。这里认为当Δz中的一个元素小于或者等于β时，此元素为零元素；|Δzⁱ|表示Δz中第i个元素的绝对值；

II)对Δz的非零元素Δz_A进行分析，验证其是否满足电力恶意数据局部攻击的构造特征。

上述步骤充分考虑了攻击者利用局部攻击区域信息构造局部攻击向量的实际约束特性，通过对疑似遭受攻击样本与待检测样本的差值Δz中的每一个元素进行分析，实现了对恶意数据的精确验证，提高了检测的准确性。

步骤II)的具体实现过程包括：

a)计算Δz中非零元素的残差γ，验证Δz中非零元素Δz_A是否满足恶意数据的数据一致性原则；

b)验证Δz中非零元素Δz_A对应的相关节点和线路之间的相关性，即验证这些节点和线路是否能够在整个电力系统拓扑结构中构成一个闭合的局部区域A，若可以形成一个独立的局部区域A，则认为Δz_A可能为攻击者对这一局部区域A注入的恶意数据；

c)求得局部区域A中通过联络线路与非攻击区域N相连的边界节点，记为集合Ω；

d)验证集合Ω中边界节点的状态是否满足“壁垒条件”，即判断攻击区域内与非攻击区域相连接的任意两个边界节点i和j之间的相角差Δθ_ij是否等于0，边界节点i的电压幅值是否等于电压观测值

若满足所述“壁垒条件”，则认为疑似样本遭受到恶意数据攻击；

Δθ_ij＝0 i，j∈Ω

上述步骤建立在不完全信息条件的局部恶意数据攻击的模型下，对攻击者所构造的局部恶意数据攻击注入向量的有效性进行了验证。其优势在于综合利用了局部恶意数据攻击所必须满足的拓扑结构，数据一致性原理以及攻击区域边界注入数据的“壁垒条件”，从而充分挖掘了电力恶意数据攻击的异常行为特征，实现了高隐蔽性恶意数据的深度检测。。

本发明还提供了一种电力网络恶意数据攻击检测系统，包括计算机设备；所述计算机设备被配置或编程为用于执行本发明所述方法的步骤。

作为一个发明构思，本发明还提供了一种电力系统，其包括计算机设备；所述计算机设备被配置或编程为用于执行本发明所述方法的步骤。

作为一个发明构思，本发明还提供了一种计算机可读存储介质，其存储有程序；所述程序被配置为用于执行本发明所述方法的步骤。

与现有技术相比，本发明所具有的有益效果为：本发明充分考虑了传统电力网络恶意数据攻击的异常行为特征以及隐性电力恶意数据攻击下“异常量测值样本”的隐秘性和无序性，提出了一种基于随机抽样的电力恶意数据检测方法。该检测方法深入挖掘隐性恶意数据攻击导致量测值数据产生的异常特征，通过随机抽样的方法对疑似受到恶意数据攻击的量测值样本进行定位，克服了传统检测方法无法充分挖掘恶意数据的异常行为特征的不足，实现了高隐蔽性恶意数据的检测，降低了电力系统遭受恶意数据攻击的风险，有利于提高电力系统运行的安全性。

附图说明

图1是本发明实施例中的实施流程图。

图2是本发明实施例中IEEE14节点系统的攻击区域A和非攻击区域N的结构图。

图3是本发明实施例中案例线路l_2-3遭受隐性恶意数据攻击的2维样本分布图。

图4是本发明实施例中案例线路l_3-4遭受隐性恶意数据攻击的2维样本分布图。

具体实施方式

图1为本发明实施例提供的基于随机抽样的电力网络恶意数据攻击检测方法的流程图，具体的实施步骤如下：

步骤S1：输入电力系统拓扑结构和n个正常的历史量测值样本，组成正常量测值样本集，Z_normal；

步骤S2：根据输入的待检测样本z′和步骤S1中所得正常量测值样本集Z_normal，建立当前运行状态下的量测值样本动态安全域Θ_m，并对待检测样本是否具有明显的“异常点”特征进行判断；

步骤S3：根据输入的待检测样本z′，使用随机抽样方法计算动态安全域中疑似遭受攻击样本集合Λ；

步骤S4：计算步骤S3所得疑似遭受攻击样本集Λ中出现次数最多的一个量测值样本，并计算该量测值样本与待检测样本的差值Δz；

步骤S5：根据步骤S4中所求得的差值Δz，计算该差值所包含的数据是否满足局部电力恶意数据攻击的构造特征。

进一步作为优选的实施方式，步骤S1包括：

建立一个正常量测值样本集Z_normal，其中，假设Z_normal中包含当前电力系统拓扑结构中n个正常的历史量测值样本，即：

Z_normal＝[z₁，z₂，...，z_n] (1)

其中，z_i(i＝1，2，…，n)表示第i个量测值样本。假设当前运行状态下的电力系统拓扑结构包含N_d个节点和N_l条线路构成，不失一般性，任意一个正常量测值向量的元素构成如下：

其中

和

分别为电力系统中N_d个节点的有功负荷和无功负荷数据组成的向量。

和

分别为电力系统中N_l条线路上的有功潮流和无功潮流数据组成的向量。

为电力系统中N_d个节点的电压幅值。每个向量的上角标表示该向量的数据维度，假设任意一个正常量测值向量的维度为m，则有：

m＝N_d+N_d+N_l+N_l+N_d (3)

进一步作为优选的实施方式，步骤S2包括：

步骤S2-1：将待检测样本z′与正常量测值样本集Z_normal组成一个训练数据样本集Z_train；

Z_train＝[z′，Z_normal] (4)

步骤S2-2，对步骤所得训练数据样本集Z_train进行数据降维预处理，将每一个量测值样本从m维空间映射到r维空间中(r≤m)，得到由r维模拟数据所组成的样本集合Z_r，其计算公式如下：

Z_r＝U(：，1：r)^T×Z_train (5)

其中，矩阵U是满足Z_train的协方差矩阵C＝USV^T中矩阵变换的酉矩阵。

进一步的，S是一个对角元素递减的对角矩阵，在实际工况中，矩阵S中只有前几个数据是重要的，因此在选择r的最小值时，通常满足以下条件：

其中S_ii是S中第i个特征的特征值，通常认为S_ii越大，第i个特征所包含的信息量就越多。其中ε为衡量数据降维过程中所需保留的方差比例的最小值，对于电力系统的量测信息，ε的值通常可取95％。

通过公式(5)可得到Z_train的低维样本点集合，即Z_r中每个样本点的维度为r，记为：

步骤S2-3：通过K均值聚类的方法，计算低维样本集合Z_normal-r中n个样本点的聚类中心，记为点z_o。

步骤S2-4：计算低维样本集合Z_normal-r中所有样本点与聚类中心点z_o之间的欧式距离：

其中，公式(8)表示低维样本集合Z_normal-r中任意一个样本点

与聚类中心点

的欧式距离，通过公式(8)可求得所有距离的集合

步骤S2-5：计算当前状态下量测值样本动态安全域Θ_m的波动范围，记为：

D_max＝max(D) (9)

其中，max()代表求取一个向量中元素最大值的函数，D_max即为所求动态安全域的最大波动范围。

由于电力系统运行过程中的负荷扰动、新能源功率波动以及随机误差等不确定性因素的存在，电力系统的量测值样本的波动范围存在一个动态安全域。此外，对于实际电力系统，电网运行方式和拓扑结构也是频繁变化的，而运行方式和拓扑结构的变化对电力系统负荷的波动性具有很大的影响，所以不同拓扑结构下运行的电力系统的量测值样本将处于不同的动态安全域。

不失一般性，通常认为当一个待检测量测值样本z′经过降维处理后，在r维空间中的分布明显超出动态安全域的界限时，即认为该样本为“异常样本”。

步骤S2-6：计算待检测样本是否具有明显的“异常样本”特征，其判断依据如下：

其中，

为待检测样本的低维数据样本z′_r与步骤S2中所得聚类中心z_o的欧式距离。公式(10)表示若待检测样本的低维数据样本z′_r与聚类中心的距离

超过了动态安全域Θ_m的波动范围D_max，且两者的比值超过了所设定的阈值时，则可认为待检测样本z′为异常样本，并通过步骤S5进行进一步的验证。

若

则认为待检测样本不具有明显的异常行为特征，此时通过步骤S3进行对待检测样本进行进一步的检测。

上述步骤S2中，我们通过对高维量测值样本进行数据预处理，将原始量测值数据映射到便于观察的低维空间中。在经过降维处理后，保留了原始数据的绝大多数信息，最大限度的分离了正常数据和异常数据的特征。本发明使用低维样本建立一个动态安全域Θ_m，可以直观的研究所有量测值样本之间的分布情况，对具有明显异常行为特征的“异常样本”进行初步筛选，并向控制中心输出预警信号，有助于检测遭受电力恶意数据攻击的量测值样本。

进一步作为优选的实施方式，步骤S3包括：

步骤S3-1：随机抽取训练样本集矩阵Z_train中每一个样本的m维数据中的任意k维数据，记为：

其中，

这里认为z′_k与

中任意一个随机抽样样本

所包含的k维数据在原始量测值样本中对应相同位置的量测数据。

步骤S3-2：对所得k维训练样本集

按照步骤S2所述进行数据降维处理，将

中的k维数据映射到r维空间中(r≤k)，建立随机抽样后的k维量测值样本的动态安全域Θ_k，记为：

其中，

z′_kr表示根据步骤2中描述的方法将zk的k维数据映射到r维空间中所得到的r维样本，同理可得到

中每一个r维样本。

进一步的，根据不同电力量测值样本之间相同维度的数据具有的相关性可知，随机抽样后获取的k维训练样本集

在所处的动态安全域Θ_k中与原始样本集在动态安全域Θ_m中的分布情况具有一定的相似性，即认为在抽样前两个分布距离较近的样本在抽样后的分布距离也是相近的。

步骤S3-3，计算

中与z′_kr之间距离最近的一个样本点。

进一步作为优选的实施方式，步骤S3-3包括：

步骤S3-3-1，计算动态安全域Θ_k中所有样本点与z′_k之间的欧式距离，计算公式如下：

其中[x′_k-1，x′_k-2，…，x′_k-r]为抽样后所得k维样本z_′k映射在低维空间中的坐标数据，

表示降维处理后

中任意一个样本

的r维坐标数据，通过公式(13)，可以获得

中n个k维样本与z′_k在动态安全域Θ_k内的欧式距离集合，记为：

步骤S3-3-2：将所得的距离指标集合d中元素的值按从小到大进行排序，选取其中值最小的元素d_min，并记录这个元素在Z_normal中所对应的原始量测值样本。

进一步的，对步骤S3-3进行说明：由于电力系统的参数信息为受到高等级保护的敏感信息，因此攻击者难以获取整个网络的参数信息。同时，考虑到攻击者的有限攻击能力，对电力量测值进行大规模篡改是不现实的。因此，在实际情况中，可将电力系统拓扑结构划分为如图2所示的攻击区域A以及非攻击区域N，攻击者往往只依赖于少量局部网络参数信息来发起局部恶意数据攻击，修改少量的量测数据。

进一步的，假设训练样本矩阵Z_train的维度为m，其中攻击区域所包含的数据维度为v，则非攻击区域所包含的数据维度为u＝m-v。通常情况下，由于v＜＜u则可认为目标攻击样本和被攻击后的样本z′只有少量位于攻击区域范围内元素存在较大的差异，而大部分维度中元素相似度是非常高的。若随机抽取的k(k≤v)维元素全部位于非攻击区域，则此时抽样后的待检测样本z′_k与被攻击的原始样本之间的相关性非常高，当映射到r维空间时两者的距离可认为是最小的。因此步骤S3-3中所得距离指标最小的值所对应的原始样本即可认为疑似遭受到恶意数据攻击，并通过步骤S3-4对这一样本进行进一步的判断。

步骤S3-4：根据步骤S3-3所得最小距离d_min相对应的k维样本以及m维原始样本，判断k维样本在动态安全域Θ_k内与z′_k之间的距离相较于对应的m维原始样本在动态安全域Θ_m内与z′之间的距离是否存在一个明显的跳变。

进一步作为优选的实施方式，步骤S3-4包括：

步骤S3-4-1：计算低维样本集合Z_r中除去待检测样本以外的n个样本之间的欧式距离，并求出当前电力系统运行状态下量测值数据动态安全域波动范围的最大直径

设Z_r中相距最远的两个样本为

与

则

计算公式如下：

此时，记步骤S3-3中所得d_min对应的原始样本与z′之间的距离为d_z′。

步骤S3-4-2：按照步骤S3-4-1所述，同理可得当前抽样情况下动态安全域Θ_k的波动范围的最大直径

步骤S3-4-3：计算步骤S3-3中所得疑似遭受攻击样本在随机抽样前后的与待检测样本之间的距离的跳变值，计算公式如下：

由于随机抽样前后的动态安全域Θ_m和Θ_k的量级不同，因此在公式(16)中通过两个最大波动范围的比值

将疑似遭受攻击样本和待检测样本之间的距离d_z′与抽样后所求得的最小距离d_min约束到同一个量级中进行比较。

步骤S3-5：判断步骤S3-4中所得跳变值σ是否超过所规定的阈值d_limit，即若满足

σ≥d_limit (17)

则将上述所得疑似遭受攻击样本纳入集合Λ中。若不满足公式(17)，则舍弃掉当前的疑似遭受攻击样本。阈值d_limit可以根据实际使用需要设置。

进一步的，对步骤S3-5进行说明：在随机抽取的k维元素中，抽取到非攻击区域N内数据的概率要远大于抽取到攻击区域A以内的数据。假设随机抽取的k维元素全部来自于非攻击区域，则此时抽样后的待检测样本z′_k与被攻击的原始样本映射到r维空间时具有当前动态安全域Θ_k内最小的距离。此外，由于在抽样前两者在Θ_m中的距离非常大，因此被攻击的量测值样本在抽样前后的位置具有公式(17)所描述的跳变现象。

步骤S3-6：对上述步骤S3-2～步骤S3-5进行T次迭代，由于每次随机抽样结果的不确定性，可以通过多次迭代以提高检测结果的精确性，T通常取50～100次。将每次迭代中满足公式(17)的疑似遭受攻击样本纳入集合Λ，最终形成一个具有s个疑似遭受攻击样本的集合Λ。

上述步骤S3中，本发明采用随机抽样一致性方法的检测思路对训练数据样本集中的m维数据进行T次随机抽样。在每次抽样过程中，首先通过指标1计算抽样后的k维数据样本中与待检测样本距离最小的样本，其次通过指标2判断这一样本在随机抽样前和随机抽样后与待检测样本之间的距离是否存在跳变现象。若两个指标均满足，则可认为这一样本为疑似遭受到恶意数据攻击的量测值样本。相较于传统检测方法，步骤S3可以筛选出在动态安全域中不具有特殊的异常行为特征的受攻击量测值样本。

进一步作为优选的实施方式，步骤S4包括：

步骤S4-1：计算步骤S3所得疑似遭受攻击样本集合Λ中出现次数最多的量测值样本出现的概率。假设疑似遭受攻击样本集Λ中某个样本出现t次，若满足：

t/s≥ρ (18)

则认为待检测样本z′疑似为携带恶意数据的异常样本，这里的出现的满足约束(18)的样本即为受到攻击的原始量测值样本。ρ代表疑似遭受攻击样本出现概率的阈值，ρ通常可取30％，即，当疑似遭受攻击样本集Λ中某个样本出现的频率超过30％时，则可认为这一样本为疑似遭受隐性恶意数据攻击的量测值样本。

步骤S4-2：计算步骤S4-1中所求疑似遭受攻击样本(假设为z_attack∈Z_normal)与待检测样本z′的差值Δz，计算公式如下：

Δz＝z_attack-z′ (19)

进一步的，对步骤S4-2做出说明：以正常量测值样本z₁为例，若待检测样本z′为安全状态下的正常样本，则认为z₁与z′的差值Δz不具备明显的规律特征。

若z₁为遭受到恶意数据攻击的原始量测值样本，则认为z₁与z′的差值Δz为攻击者所注入的恶意攻击数据，Δz所包含的数据将会满足的一定约束条件，即攻击特征。因此，需对Δz所包含的元素进行进一步的验证来确定待检测样本是否为携带恶意数据的异常样本。

上述步骤S4中，本发明对疑似遭受攻击样本集Λ中的高概率样本进行分析，由于随机抽取的k维数据全部属于非攻击区域元素的概率很高，即可认为，样本集Λ中出现概率最高的样本即为疑似遭受攻击的样本。步骤S4克服了具有高隐秘性的电力恶意数据攻击异常行为特征难以分析的问题，可以对遭受恶意攻击的目标量测值样本进行高精度的定位。

进一步作为优选的实施方式，步骤S5包括：

步骤S5-1：将步骤5-1所求差值Δz的元素构成按照如下方式进行分类。

Δz＝[Δz_A，Δz_N] (20)

其中，Δz_A为Δz中不为零的元素的集合，Δz_N为Δz中为零或约为零的元素的集合，判断标准如下：

|Δzⁱ|≤β，i＝1，2，…，m. (21)

其中，|Δzⁱ|表示Δz中第i个元素的绝对值，这里认为当Δz中的一个元素小于或者等于β(β可取0.01)时，则此元素为零元素。即，根据公式(21)对中Δz的每个元素的类别进行判断，将Δz中不满足公式(21)的元素归为非零元素Δz_A，将满足公式(21)的元素归为零元素Δz_N。

进一步的，对Δz的元素划分进行说明：如步骤S3-3所述，实际的电力恶意数据攻击将电力系统拓扑结构划分为攻击区域A以及非攻击区域N。攻击者只需在攻击区域A中构造满足一定约束的局部恶意数据注入向量。假设待检测样本z′为携带恶意数据的异常样本，则z′与目标攻击样本之间的差值Δz中，只有位于攻击区域A的量测值数据Δz_A为非零元素，而位于非攻击区域N的量测值数据Δz_N为零元素。

进一步的，任意一个差值Δz的具体元素划分如下：

其中，

和

分别为Δz中节点有功和无功功率对应的非零元素，

和

分别为Δz中节点有功和无功功率对应的零元素。ΔV^A和ΔV^N分别代表节点电压幅值对应的非零元素和零元素。同理，

和

分别为Δz中线路有功和无功潮流对应的非零元素，

和

分别为Δz中线路有功和无功潮流对应的零元素。

步骤S5-2：对步骤S5-1中所得Δz的非零元素Δz_A进行分析，验证其是否满足高隐身电力网络恶意数据攻击的构造原则。

进一步作为优选的实施方式，步骤S5-2包括：

步骤S5-2-1：计算Δz中非零元素的残差γ，验证Δz中非零元素Δz_A是否满足恶意数据的数据一致性原则，计算公式如下：

公式(23)表示当待检测样本的残差小于或者等于所设定的阈值τ时，则认为该样本满足数据一致性原则，可以通过控制中心的坏数据检测。

进一步的，z′，

和

的构成为：

z′＝[z′_A，z_N]^T (25)

其中

为控制中心通过状态估计对当前电力系统运行状态进行的估计，

和

分别为区域A和区域N的估计状态。z′_A和z_N分别为待检测样本在区域A和区域N的元素，

为依赖于电力系统中状态向量的雅克比矩阵。e_A和e_N分别表示z′_A和z_N中所包含的量测值误差向量。

步骤S5-2-2：验证Δz中非零元素Δz_A对应的相关节点和线路之间的相关性，即验证这些节点和线路是否能够在整个电力系统拓扑结构中构成一个闭合的局部区域A。若可以形成一个独立的闭合区域A，则认为Δz_A可能为攻击者向这一局部区域注入的恶意数据，并通过步骤S5-2-3对其中包含的数据进行进一步的验证。

步骤S5-2-3：求得攻击区域A中通过某些连接线路与非攻击区域N相连的边界节点，记为集合Ω，并根据如下公式验证边界节点状态是否满足“壁垒条件”。

进一步的，对步骤S5-2进行说明：对于一个攻击者来说，若要发动只依赖于攻击区域A中的网络参数信息的局部恶意数据攻击，则需保证注入到攻击区域A的恶意数据不会导致非攻击区域N的线路潮流发生变化。而这一必要条件的满足可以通过攻击区域中边界节点的“壁垒条件”实现。如公式(27-(28)所示，即确保攻击区域中的额外注入功率将会使得攻击区域内与非攻击区域相连接的任意两个节点i和j之间的相角差Δθ_ij等于0，且任意一个边界节点的电压幅值与所得电压观测值相等。

上述步骤S5中，通过对待检测样本与步骤S4中所得疑似遭受攻击样本的差值Δz进行统计行为分析，进一步确定该疑似样本是否遭受被恶意数据篡改攻击。

实施例

进一步的，本发明给出建立在IEEE14节点上电力网络恶意数据攻击模型的检测实施例。不失一般性，本发明实施例使用基于直流最优潮流的隐性电力恶意数据攻击模型验证所提检测方法的有效性。如图2所示，本发明实施例中所采用的IEEE14节点的拓扑结构可分为攻击区域A以及非攻击区域N，其中，对于攻击区域A，以节点1，2，3作为非边界节点，节点4和节点5作为边界节点，攻击区域A包含线路有l_1-2，l_1-5，l_2-3，l_2-4，l_2-5，l_3-4以及l_4-5。本发明实施例假设z₁为攻击者发动恶意数据攻击的目标攻击样本。

进一步的，在本发明实施例中，根据IEEE14节点标准算例求得最优潮流下的基准负荷z0，并通过蒙特卡洛方法模拟n个正常量测值样本。使这n个样本在[0.9～1.1]×z₀范围内符合正态分布，即β＝0.1。现有研究证明，这n个样本基本符合不确定性参数为0.1时的真实分布情况，即此时动态安全域的波动范围为[0.9z₀～1.1z₀]。

进一步的，对本发明实施例所求恶意数据样本以及目标攻击样本，通过上述步骤S2中所述数据处理方法将所得训练样本数据映射到低维空间中。由于电力系统的量测值样本数据之间具有很高相关度，因此经过降维处理之后，保留其中两个主成分元素即可将99％的方差保留住，即r＝2。

图3和图4分别给出了导致线路l_2-3和l_3-4过载的恶意数据攻击样本在所建立的动态安全域中的分布情况(本实施例中，n＝100)。其中，空心圆圈表示n个正常样本的相对分布情况，实心三角形表示作为攻击目标的原始量测值样本z₁的2维样本点，实心菱形表示携带恶意数据的待检测样本z′的2维样本点。显然，图3和图4中z₁和z′的分布情况均保持在动态安全域的范围之内，且不具备现有基于特殊情况下隐性恶意数据攻击的异常行为特征，即z₁和z′的分布情况在动态安全域中没有任何相关性。这使得现有隐性恶意数据攻击的检测策略无法判断本发明实施例中待检测样本z′是否为携带虚假数据的“异常样本”。

进一步的，本发明实施例对导致线路l_2-3产生严重过载的恶意数据攻击案例进行检测。通过步骤S3所述的随机抽样一致性方法对包含恶意数据攻击样本(待检测样本)的训练数据样本集Z_train进行T次随机抽样检验(本发明实施例取T＝50)。表I给出了根据步骤S3-2中所述疑似遭受攻击样本检验指标对随机抽取的k维训练样本集

中的疑似目标攻击样本的检验结果(本发明实施例取k＝5)。从表I中可以看出，基于指标1下每十次随机抽样检测的结果中均有4～5次的机会能够挑出本发明实施例中所标定的目标攻击样本z₁。

为了提高疑似遭受攻击样本的检验精确度，根据指标2计算指标1中所出现的所有疑似遭受攻击样本在随机抽样前后的与待检测样本之间的距离的是否存在跳变现象，表I带有“*”标志的样本为不满足指标2的样本，即可判定这些量测值样本不是疑似遭受攻击的样本。

通过指标2对错误的检验样本进行过滤，得出本发明实施例中标定的目标攻击样本z₁在随机抽样检验结果所得疑似遭受攻击样本中出现的概率为P＝22/40＝55％。因此可认为当前输入待检测样本z′可能为携带恶意数据的“异常样本”，且认为通过本发明中随机抽样一致性检验方法求得的z₁即为攻击者的目标攻击样本。

进一步的为了确定待检测样本z′是否携带恶意数据。根据步骤S4计算待检测样本与疑似遭受攻击样本z₁的差值Δz，并通过步骤S5中局部恶意数据攻击的构造原理对Δz是否为恶意注入数据进行三方面的验证。表II给出当前疑似遭受攻击样本z₁与待检测样本的差值Δz的具体数据。

1)元素构成：检验Δz中所包含的数据构成，若Δz中的元素多数为零元素而只有少部分元素为非零元素，则认定其符合符合局部恶意数据攻击的数据构成特征，并进行下一步的验证。

进一步的，从表II中可以看出，Δz中所包含的非零元素为节点2、3、4、5相关的负荷数据，以及线路l_1-2，l_1-5，l_2-3，l_2-4，l_2-5，l_3-4，l_4-5相关的线路潮流数据。此外，线路l_1-2涉及节点1，由于节点1为非负荷节点，因此节点1相对应的数据虽然为零，节点1依然属于攻击区域的元素。

2)非零元素的拓扑结构：通过第一个验证条件所得Δz中攻击区域的元素构成满足局部恶意数据的构造原则。

进一步的，对Δz中所包含非零元素涉及的拓扑结构进行分析。将上述节点和线路代入IEEE 14节点系统的拓扑结构中发现，当前实施例中非零元素相对应的节点和相关线路能够组成一个以节点4和节点5为边界节点的闭合区域。

3)壁垒条件验证：将Δz中与所形成的局部区域相对应的数据Δz_A带入节点功率平衡方程以及线路潮流计算方程中，求得Δz_A是否满足基于不完全信息的恶意数据攻击的潮流约束以及壁垒条件。对于本发明实施例中所引入的基于直流最优潮流的隐性电力恶意数据攻击模型，具体公式如下：

B_A·Δθ_A＝-KD_A·ΔD_A (29)

ΔF_A＝-X_A·KL_A·Δθ_A (30)

Δθ_A1＝Δθ_A2＝…＝Δθ_AΩ＝α (31)

公式(29)-(30)表示恶意注入数据所需满足的功率平衡方程以及线路潮流方程。其中，X_A和B_A分别为攻击区域A中相关线路的电抗矩阵和导纳矩阵，KD_A和KL_A分别为攻击区域A中的节点-负荷以及节点-线路关联矩阵，Δθ_A为攻击区域A内各节点在恶意数据注入影响下的相位角增量。在直流模型下，电阻忽略不计，则所注入的恶意数据不会引起电压幅值变化，因此“壁垒条件”中的公式(28)可以忽略。此外，公式(27)所表达的条件可变换为θ_ij＝(θ_i+α)-(θ_j+α)＝0，即“壁垒条件”可表示为攻击区域内与非攻击区域相连接的任意一个边界节点Δθ_AΩ具有相同的相位角增量α，因此“壁垒条件”(27)-(28)可等价表示为公式(31)。

进一步的，将攻击区域的相关负荷以及线路潮流数据代入节点功率平衡方程以及线路潮流计算方程中，可得攻击区域内各节点的相位角变化。如表III所示，攻击区域内五个节点的相位角变化中，位于边界的节点4和节点5的相位角变化相同，即Δθ₄＝Δθ₅＝0.2208。因此，可认为差值Δz中包含的攻击区域的数据满足基于不完全信息的恶意数据攻击的潮流约束以及边界节点条件。

针对以上三个检验条件，所求差值Δz均可满足，因此可认为此时所输入的待检测样本z′为携带恶意数据的“异常样本”，且认为z₁即为攻击者的目标攻击样本。

综上所述，本发明实施例可以证明所提基于随机抽样一致性检验方法的隐性电力恶意数据攻击检测策略能够有效的检测出待检测样本z′是否携带恶意数据，并定位攻击者发起恶意数据攻击的目标量测值样本。

本发明实施例附表：

表I.100次迭代中疑似受攻击样本

表II.差值Δz中所包含具体数据 单位：MW

表III.攻击区域内各节点相角增量

节点	Δθ<sub>1</sub>	Δθ<sub>2</sub>	Δθ<sub>3</sub>	Δθ<sub>4</sub>	Δθ<sub>5</sub>
						相角增量(弧度)	0.0463	0	-1.7724	0.2208	0.2208

Claims (10)

1.一种电力网络恶意数据攻击检测方法，其特征在于，包括以下步骤：

S1、输入电力系统拓扑结构中n个正常的历史量测值样本，组成正常量测值样本集Z_normal；

S2、根据输入的待检测样本z′和步骤S1中的正常量测值样本集Z_normal，建立当前运行状态下的量测值样本动态安全域Θ_m，并判断待检测样本z′是否具有明显的“异常点”特征，如果该样本具有明显的“异常点”特征，则判定该样本遭受网络攻击；如果该样本不具有明显的“异常点”特征，执行步骤S3；

S3、根据待检测样本z′，使用随机抽样方法计算动态安全域中疑似遭受攻击样本集Λ；

S4、计算步骤S3所得疑似遭受攻击样本集Λ中出现次数最多的量测值样本，并计算该量测值样本与待检测样本的差值Δz；

S5、判断差值Δz所包含的数据是否满足局部电力恶意数据攻击的构造特征。

2.根据权利要求1所述的电力网络恶意数据攻击检测方法，其特征在于，步骤S1中，正常量测值样本集Z_normal＝[z₁,z₂,…,z_n]；其中，z_i表示第i个量测值样本；

和

分别为电力系统中N_d个节点的有功负荷和无功负荷数据组成的向量；

和

分别为电力系统中N_l条线路上的有功潮流和无功潮流数据组成的向量；

为电力系统中N_d个节点的电压幅值。

3.根据权利要求1所述的电力网络恶意数据攻击检测方法，其特征在于，步骤S2的具体实现过程包括：

1)将待检测样本z′与正常量测值样本集Z_normal组成一个训练数据样本集Z_train；

2)将训练数据样本集Z_train中的每一个量测值样本从m维空间映射到r维空间中，得到由r维模拟数据所组成的低维样本集合Z_r＝[z′_r,Z_normal-r]；r≤m；

3)通过K均值聚类的方法，计算低维样本集合Z_normal-r中的n个样本点的聚类中心点，记为点z_o；

4)计算低维样本集合Z_normal-r中所有样本点与聚类中心点z_o之间的欧式距离；

5)计算当前状态下量测值样本动态安全域Θ_m的波动范围D_max：D_max＝max(D)；D为低维样本集合Z_normal-r的n个样本与聚类中心点z_o之间欧式距离的集合，max()代表求取一个向量中元素最大值的函数；

6)利用下式判断待检测样本是否具有明显的“异常点”特征：

其中，

为待检测样本的低维数据样本z′_r与聚类中心z_o的欧式距离；δ为判断一个样本是否具有“异常点”特征的阈值；当上式成立时，则判断待检测样本z′具有明显的“异常点”特征。

4.根据权利要求3所述的电力网络恶意数据攻击检测方法，其特征在于，步骤S3的具体实现过程包括：

A)随机抽取训练数据样本集Z_train的m维数据中的任意k维数据，记为：

其中

B)将

中的k维数据映射到r维空间中，建立随机抽样后的k维量测值样本的动态安全域Θ_k，记为：

其中

C)计算

中所有样本与z′_kr之间的最小距离d_min，并求得这一最小距离值在

中对应的k维样本以及在正常训练数据样本集Z_normal中位于同一列的m维原始样本；计算所求m维原始样本在动态安全域Θ_m内与z′之间的距离d_z′，并计算d_min相对于d_z′的跳变值，若所求跳变值超过规定的阈值d_limit，则将相关疑似遭受攻击样本纳入集合Λ中，z′_kr表示从待检测样本z′的m维数据中随机抽取的k维数据；

D)重复步骤B)和步骤C)，最终形成一个具有s个疑似遭受攻击样本的样本集Λ。

5.根据权利要求1所述的电力网络恶意数据攻击检测方法，其特征在于，步骤S4的具体实现过程包括：

a)设疑似遭受攻击样本集Λ中某个样本出现t次，则认为该样本疑似遭受攻击的概率为p＝t/s；计算疑似遭受攻击样本集Λ中所有样本出现的概率，并挑出概率最高的样本，记为z_attack，即可认为z_attack为疑似遭受恶意数据攻击的样本；其中，s为疑似遭受攻击样本集Λ中样本数量；

b)根据疑似遭受恶意数据的样本z_attack，计算差值Δz：Δz＝z_attack-z′；其中，z_attack∈Z_normal。

6.根据权利要求1所述的电力网络恶意数据攻击检测方法，其特征在于，步骤S5的具体实现过程包括：

I)对于Δz中的每个元素|Δzⁱ|，判断|Δzⁱ|≤β是否成立，若成立，则将此元素归类为零元素Δz_N，若不成立，则将此元素归类为非零元素Δz_A；|Δzⁱ|表示Δz中第i个元素的绝对值；i＝1,2,…,m；

II)对Δz的非零元素Δz_A进行分析，验证其是否满足局部电力恶意数据攻击注入向量的构造特征。

7.根据权利要求6所述的电力网络恶意数据攻击检测方法，其特征在于，步骤II)的具体实现过程包括：

a)计算Δz中非零元素的残差γ，验证Δz中非零元素Δz_A是否满足恶意数据的数据一致性原则；

b)验证Δz中非零元素Δz_A对应的相关节点和线路之间的相关性，即验证这些节点和线路是否能够在整个电力系统拓扑结构中构成一个闭合的局部区域A，若可以形成一个独立的局部区域A，则认为Δz_A可能为攻击者向这一局部区域A注入的恶意数据；

c)求得局部区域A中通过联络线路与非攻击区域N相连的边界节点，记为集合Ω；

d)验证集合Ω中边界节点的状态是否满足“壁垒条件”，即判断攻击区域内与非攻击区域相连接的任意两个边界节点i和j之间的相角差Δθ_ij是否等于0，边界节点i的电压幅值V_i是否等于电压观测值

若满足所述“壁垒条件”，则认为疑似样本遭受到恶意数据攻击；其中，所述“壁垒条件”表达式为：

Δθ_ij＝0 i,j∈Ω；

8.一种电力网络恶意数据攻击检测系统，其特征在于，包括计算机设备；所述计算机设备被配置或编程为用于执行权利要求1～7之一所述方法的步骤。

9.一种电力系统，其特征在于，包括计算机设备；所述计算机设备被配置或编程为用于执行权利要求1～7之一所述方法的步骤。

10.一种计算机可读存储介质，其特征在于，其存储有程序；所述程序被配置为用于执行权利要求1～7之一所述方法的步骤。

Images