CN112804197B

CN112804197B - 基于数据还原的电力网络恶意攻击检测方法及系统

Info

Publication number: CN112804197B
Application number: CN202011590062.4A
Authority: CN
Inventors: 刘绚; 宋宇飞
Original assignee: Hunan University
Current assignee: Hunan University
Priority date: 2020-12-29
Filing date: 2020-12-29
Publication date: 2021-12-03
Anticipated expiration: 2040-12-29
Also published as: CN112804197A

Abstract

本发明公开了一种基于数据还原的电力网络恶意攻击检测方法及系统，根据历史样本数据，建立样本集动态安全域，并计算样本集动态安全域的聚类中心；计算目标检测样本相对于聚类中心的对称点，确定与对称点的最邻近量测值样本集合；计算注入恶意数据，通过恶意数据攻击特征的深度匹配实现网络攻击行为的判定。本发明实现了隐性恶意数据攻击的检测，克服了当前检测方法只能有效检测具有明显异常点特性的网络攻击行为的缺陷。

Description

基于数据还原的电力网络恶意攻击检测方法及系统

技术领域

本发明涉及电力系统信息物理安全技术领域，具体是一种基于数据还原的电力网络恶意攻击检测方法及系统。

背景技术

电力系统是国家关键基础设施，其安全运行对保障国民经济和社会稳定至关重要。为了实现电网的可靠和高效运行，大量的传感器将现场的实时工况数据通过电力通信网络传递到控制中心，调度员通过收到的实时数据实现对电力系统运行的监控。在这一过程中，攻击者可以向所采集的电力实时量测值中注入恶意数据，误导控制中心做出错误决策，导致发生线路跳闸甚至连锁故障等严重安全事故。

现有的恶意数据检测方法只能检测传统的噪声数据或者具有明显“异常点”特性的恶意数据。然而近期相关研究表明，攻击者可以将恶意数据隐藏于正常样本附近，不具有明显的“异常点”特征，从而实现更为隐蔽的恶意数据攻击。此类攻击手段可以有效逃脱现有恶意数据检测方法，因此，研究一种针对此类隐秘性恶意数据攻击的检测方法是目前亟待解决的问题。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种基于数据还原的电力网络恶意攻击检测方法及系统，深入剖析隐秘性虚假数据攻击的原理以及被攻击的量测值样本所表现的异常行为特征，有效解决了上述隐秘性恶意数据攻击难以检测的问题。

为解决上述技术问题，本发明所采用的技术方案是：一种基于数据还原的电力网络恶意攻击检测方法，包括以下步骤：

S1、输入电力系统拓扑结构以及正常历史量测值样本，组成正常量测值样本集Z_normal；

S2、根据所述正常量测值样本集Z_normal，建立当前运行状态下的量测值样本动态安全域，并计算动态安全域的聚类中心；

S3、根据步骤S2中建立的动态安全域，将待检测样本结合正常量测样本的分布情况进行关联分析；

S4、以所述聚类中心为对称中心，计算待检测样本z′在所述动态安全域中的对称点z″；

S5、计算所述对称点z″的K个最近邻样本集Z_k，并计算Z_k中所有样本与待检测样本z′的差值Δz；

S6、根据所述差值Δz，对恶意数据攻击行为特征进行深度匹配验证。

具有高隐身性能的恶意攻击数据隐藏于正常量测样本的动态安全域内，因此难以与正常数据相分离，从而导致现有技术难以有效检测。本发明充分挖掘了高隐身恶意数据的攻击行为特征，即遭受攻击的原始量测样本与携带恶意数据的量测样本在动态安全域内近似对称分布。鉴于此，本发明利用关联分析和数据挖掘方法近似还原遭受攻击样本的原始数据，然后对分离数据进行攻击特征的深度匹配，解决了高隐身攻击数据难以检测的难题，提升了恶意数据攻击检测的精度。

不失一般性，可以认为被攻击的量测值样本与攻击后携带恶意数据的量测值样本在动态安全域内近似对称分布。因此，作为攻击目标的原始量测值样本与携带恶意数据的量测值样本的对称点距离将非常相近。通过K最近邻算法所求得的以对称点为类别属性中心的K个最近邻样本中，将会包含原始量测值样本。此外，考虑到攻击者通常基于局部拓扑参数信息构造局部攻击数据，攻击数据Δz通常满足三个特征：攻击数据连通性、数据一致性以及攻击边界“壁垒效应”。因此在得到疑似遭受攻击的样本集与待检测样本的差值时，可通过本申请方案中的攻击数据连通性、数据一致性以及攻击边界“壁垒效应”三个特征行为进行深度验证，进一步确定遭受恶意数据攻击的样本。

步骤S2的具体实现过程包括：

1)对正常量测值样本集Z_normal进行数据降维处理，将每一个量测值样本从m维空间映射到r维空间中，得到Z_normal所对应的低维样本集合Z_r；其中，r≤m；m＝3ND+2NL；ND为电力系统中节点个数；NL为电力系统中线路数量；

2)计算低维样本集合Z_r中n个样本之间的欧式距离以求出当前电力系统运行状态下量测值数据动态安全域的波动范围；通过K均值聚类的方法，计算低维样本集合Z_r中n个样本点的聚类中心o。

此步骤通过主成分分析的方法将n个历史量测值样本数据处理，将高维样本数据映射到低维空间中，对原始数据进行了特征提取和关联分析。其优势在于充分利用了正常量测样本集，并且降低了数据维度从而克服数据分析过程中所面临的维数灾难，通过分析电力系统历史数据得到一个负荷波动的动态安全域，为恶意数据的检测提供了基础。

步骤S3包括：将待检测样本z′与正常量测值样本集Z_normal组成新的训练样本集Z_krain；并获得Z_train对应的低维样本集Z′_r＝[z′_r，Z_r]；根据Z′_r中待检测样本z′对应的低维样本z′_r与Z_r的相对分布情况，判断z′_r是否为当前动态安全域的离群点，判断依据如下：

其中，

为z′_r与基于Z_r所建立的动态安全域聚类中心o的欧式距离，d_o-max为Z_r的n个样本中与聚类中心o的欧式距离最大值；若一个待检测样本与聚类中心的距离

超过d_o-max，并且两者的比值超过了所设定的阈值，则认为待检测样本z′为异常样本，进入步骤S5；若

则进入步骤S3。

此步骤的基本思路是通过使用所建立的动态安全域对待检测样本进行初步分析，将待检测样本数据映射到便于观察的低维空间中。其优势在于可直观的研究待检测样本与所有量测值样本之间的分布情况，最大限度的分离了正常数据和异常数据的特征。当待检测样本远离当前运行状态下的动态安全域时，即认为待检测样本是携带恶意数据的异常样本，有助于筛选出遭受恶意数据攻击的量测值样本。

步骤S4中，对称点z″的计算公式为：

其中x′₁～x′_r分别代表待检测样本z′在经过降维处理后所得低维样本数据z′_r中的第一个特征数据至第r个特征数据；

分别为动态安全域的聚类中心o的坐标。

步骤S5的具体实现过程包括：

I)计算类别属性中心点，即对称点z″与低维样本集Z_r中所有样本点的欧氏距离；

II)将经步骤II)计算得到的所有欧式距离按照从小到大进行排序，选取最小的K个元素，并求得这K个元素在Z_normal中对应的最近邻样本集Z_k＝[Z_k-1，Z_k-2，...，Z_k-K]；

III)利用下式计算所述最近邻样本集Z_k中第i个样本与待检测样本z′的差值Δz：Δz_i＝Z_k-i-z′；Z_k-i表示最近邻样本集Z_k中的第i个样本，i＝1，2，...，K。

此步骤通过引入K最近邻算法，将遭受恶意数据攻击的量测样本在动态安全域内的大致分布情况进行了定位。其优势在于利用恶意数据的异常行为特征，对遭受攻击的原始量测样本的分布范围进行了精准的定位，实现了量测样本搜索空间的压缩，克服了具有高隐身性的电力恶意数据攻击行为特征难以分析的难题，提高了计算效率和检测精确度。

步骤S6的具体实现过程包括：将步骤5中所求差值集合Δz中的每一个差值Δz_i的元素按照如下方式进行分类：Δz_i＝[Δz_A，Δz_N]；其中，Δz_A为Δz_i中不为零的元素组成的向量，Δz_N为Δz_i中为零或约为零的元素组成的向量；分析Δz中所包含的非零元素，验证所述非零元素是否满足电力恶意数据攻击的构造原则；Δz_i为差值集合Δz＝[Δz₁，Δz₂，...，Δz_K]的第i个差值向量；i＝1，2，...，K。

对于任意一个差值向量Δz_i＝[Δz_A，Δz_N]，当

时，认为Δz_N为零元素；其中，

表示Δz_N中每个元素的绝对值；优选地，ρ＝0.01。

对于任意一个差值向量Δz_i＝[Δz_A，Δz_N]，验证所述非零元素是否满足电力恶意数据攻击的构造原则的具体实现过程包括：

A)对Δz中非零元素所涉及的相关线路以及节点进行相关性分析，验证这些节点和线路能否构成一个闭合的局部区域，若不能，则认为这些节点和线路之间的相关性低，Δz不是攻击者注入的恶意攻击向量；若可以形成相应的闭合局部区域，则认为此时待检测样本为疑似遭受恶意数据攻击的样本，Δz为恶意攻击注入向量，进入步骤B)；

B)验证Δz中非零元素是否满足恶意数据攻击的数据一致性原则，即计算Δz中攻击区域的元素是否能够使得待检测样本z′躲过状态估计的不良数据检测：即判断

是否成立，若成立，则进入步骤C)；其中，z′_A表示待检测样本在攻击区域A中相对应的元素，

表示在攻击区域A内，控制中心对当前电力系统运行状态进行状态估计的结果，

为依赖于电力系统中状态向量的雅克比矩阵；γ为待检测样本的系统残差，τ为待检测样本躲过状态估计不良数据检测的残差阈值；

C)获取攻击区域A与非攻击区域N相连接的边界节点，记为集合Ω，验证这些边界节点的相位角增量以及电压幅值变化是否满足局部电力恶意数据攻击的“壁垒条件”，若满足，则Δz_A为恶意数据注入向量；其中，所述“壁垒条件”为：

其中，Δθ_ij为任意两个节点i和j之间的相角差，V_i与

分别为任意一个边界节点i的电压幅值与相应的电压观测值。

此步骤建立在基于不完全信息的局部恶意数据攻击模型下，将电力系统拓扑结构划分为攻击区域A以及未知的非攻击区域N，更符合实际攻击场景。其优势在于可以根据恶意数据的攻击特征，综合利用攻击数据的局部注入特征、数据一致性原则以及“壁垒效应”对携带恶意数据的样本与原始样本之间差值向量Δz中的每一个元素进行进行攻击特征深度匹配，提升攻击检测的精度。中的每一个样本是否遭受恶意数据攻击

本发明还提供了一种基于数据还原的电力网络恶意攻击检测系统，其包括计算机设备；所述计算机设备被配置或编程为用于执行上述方法的步骤。

与现有技术相比，本发明所具有的有益效果为：本发明充分考虑到传统电力恶意数据攻击与隐性电力恶意数据攻击将导致遭受攻击的量测值样本具有截然不同的异常行为特征，提出了一种基于数据还原法的电力系统恶意数据攻击检测方法。该检测方法一方面建立了正常电力量测值样本数据的动态安全域，精确的挑选出具有明显异常行为特征的恶意数据攻击样本。另一方面，深入挖掘了隐性恶意数据攻击模型的异常行为特征，所提出的检测方法克服了当前恶意数据攻击检测方法无法检测隐性恶意数据攻击的不足之处，对于电力网络安全防御策略的制定具有重要的意义。

附图说明

图1是本发明的实施流程图。

图2是本发明实施例中IEEE14节点系统的攻击区域A和非攻击区域N的结构图。

图3为本发明实施例中受到恶意数据攻击后的样本分布情况。

图4为本发明实施例中正常样本聚类中心以及对称点的分布情况。

图5为本发明实施例中所求5个最近邻样本集Z_k-5的分布情况。

具体实施方式

图1为本发明实施例提供的基于数据还原的电力网络恶意攻击检测方法的流程图，具体的实施步骤如下：

步骤S1：输入电力系统拓扑结构以及正常历史量测值样本，组成正常量测值样本集Z_normal；

步骤S2：根据步骤S1中所得的正常量测值样本集Z_normal，建立当前运行状态下的量测值样本动态安全域，并计算动态安全域的聚类中心；

步骤S3：根据步骤S2中建立的动态安全域，将待检测样本z′结合正常量测值样本的分布情况进行关联分析；

步骤S4：以步骤S2所得的聚类中心为对称中心计算z′在动态安全域中的对称点z″；

步骤S5：根据步骤S4中所得对称点z″，通过K最近邻算法计算对称点的K个最近邻样本集Z_k，并计算Z_k中所有样本与待检测样本的差值Δz；

步骤S6：根据步骤S5中所求得的每个恶意数据Δz，对这些恶意数据攻击行为特征进行深度匹配验证。

进一步作为优选的实施方式，步骤S1包括：

输入当前电力系统拓扑结构下n个正常的历史量测值样本，组成正常量测值样本集Z_normal，记为：

Z_normal＝[z₁，z₂，...z_n] (1)

其中，z_i(i＝1，2，…，n)表示第i个量测值样本。通常情况下，任意一个m维正常量测值样本的组成如下：

z_i＝[p^ND×1，q^ND×1，P^NL×1，Q^NL×1，V^ND×1]^T (2)

其中p^ND×1和q^ND×1分别为电力系统中ND个节点的有功负荷和无功负荷数据组成的向量。P^NL×1和Q^NL×1分别为电力系统中NL条线路上的有功潮流和无功潮流数据组成的向量。V^ND×1为电力系统中ND个节点的电压幅值组成的向量。

进一步作为优选的实施方式，步骤S2包括：

步骤S2-1，对步骤S1中输入的正常量测值样本集Z_normal进行数据降维处理，将每一个量测值样本从m(m＝3ND+2NL)维空间映射到r维空间中，其中r≤m。

步骤S2-2，计算低维样本集合Zr中n个样本之间的欧式距离以求出当前电力系统运行状态下量测值数据动态安全域的波动范围，计算公式如下：

其中d_i-j为低维样本集合Z_r中任意两个样本

与

的欧式距离。

当前电网发展趋势中，风、光等可再生能源的规模占比逐渐增大。由于风电、光伏出力易受天气影响，使得电力系统安全运行的不确定性因素显著增加。此外，电力系统固有的量测误差以及运行方式的频繁变化，均导致电力系统量测值样本存在较大波动，即电力系统量测值样本的波动范围存在一个有界动态安全域。

步骤S2-3：通过K均值聚类的方法，计算低维样本集合Z_r中n个样本点的聚类中心o。

上述步骤S2中，本发明对复杂的高维量测值样本进行数据降维处理，对当前量测值样本进行主成分分析，提取其主要特征数据，降低了数据分析的复杂度。基于所得低维数据样本，本发明建立相应的量测值动态安全域，可直观的分析遭受恶意数据攻击的量测值样本的异常行为特征，为正常量测值样本和异常量测值样本的特征分离提供了基础。

进一步作为优选的实施方式，步骤S3包括：

步骤S3-1：将待检测样本z′与正常量测值样本集Z_normal组成新的训练样本集Z_train，其公式如下：

Z_train＝[z′，Z_normal] (4)

将训练数据样本集Z_train按照步骤S2中所述的降维方法进行数据预处理，得到包含待检测样本的新的低维样本集合Z′_r＝[Z′_r，Z_r]。

通常认为，若被恶意数据攻击或者其他干扰方式破坏的量测值样本将会存在明显固有的异常行为特征。对于一个遭受恶意数据攻击的待检测样本z′，其异常行为特征表现在动态安全域上时，认为经过降维处理后的r维特征数据z′_r的分布情况将会远离基于Z_r所建立的动态安全域，表现为一个明显的“离群点”。

步骤S3-2：根据低维样本集合Z′_r中待检测样本z′的低维样本点z′_r与正常量测值低维样本集Z_r的相对分布情况，判断z′r是否为当前动态安全域的离群点，判断依据如下：

其中，

为z′_r与步骤S2中所得动态安全域聚类中心o的欧式距离，d_o-max为Z_r的n个样本中与聚类中心o的欧式距离最大值。若一个待检测样本与聚类中心的距离

超过了d_o-max，并且当两者的比值超过了所设定的阈值时，则可认为待检测样本z′为异常样本，并通过步骤S6进行进一步的检测。若

则通过步骤S3进行对待检测样本进行进一步的检测。

上述步骤S3中，首先对z′是否为异常样本进行了初步的判断，即当z′的低维数据样本z′_r远离当前运行状态下的动态安全域时，可认为待检测样本为具有明显异常点特性的样本，则可以直接输出预警信号，使得控制中心对输入的待检测样本进行进一步的处理并采取相应防御措施。步骤S3的执行可以对具有明显异常行为特征的异常样本进行初步筛选，降低计算复杂度。而对于具有隐性异常点特征的恶意攻击样本，则需通过步骤S4～S6进行进一步的检测。

进一步作为优选的实施方式，步骤S4包括：

以步骤S2所得的聚类中心o为对称中心，计算z′在经过降维处理后所得低维样本数据z′_r在动态安全域中的对称点z′，计算公式如下：

其中x′₁～x′_r分别代表z′_r待检测样本在经过降维处理后所得中第一个特征数据至第r个特征数据，即z′_r待检测样本在动态安全域中的坐标为：

z′_r＝[x′₁，x′₂，…x′_r] (7)

分别为所求动态安全域的聚类中心o的坐标，x″₁～x″_r则代表z′_r相对于聚类中心o的对称点z″在动态安全域中的坐标，即：

z″＝[x″₁，x″₂，…x″_r] (8)

这里对所谓的对称点z″做出相应说明，z″不代表原始训练样本的中的某一个样本，没有具体的物理意义，而仅仅是在动态安全域中计算出的一个用于搜索疑似遭受攻击样本的坐标点。

进一步作为优选的实施方式，步骤S5包括：

步骤S5-1：根据步骤S4中所得对称点z″，通过K最近邻算法找到与对称点z″最邻近的K个量测值样本。

进一步作为优选的实施方式，步骤S5-1包括：

步骤S5-1-1：确定求解K最近邻样本集合的类别属性中心点。本发明以步骤S4中所得对称点z″为类别属性中心点，求得z″在低维样本集Z_r中的K个最近邻样本。

步骤S5-1-2：计算类别属性中心点z″与低维样本集Z_r中所有样本点的欧氏距离，计算公式如下：

其中，

表示任意一个量测值样本z_i在r维空间中的坐标数据，通过这一步骤，可以获得动态安全域中n个低维样本与z″的欧式距离所组成的向量：

步骤S5-1-3：将步骤S5-1-2中所得的距离指标向量d中元素的值按照从小到大进行排序，选取最小的K个元素，并求得这K个元素在Z_normal中所对应的量测值样本集Z_k。

这里对步骤S5-1进行进一步的说明：针对不具有明显异常点特性的电力恶意数据攻击的现有研究表明，此类攻击手段是将一个位于动态安全域边缘附近的目标量测值样本移动到动态安全域另一端位于边缘的量测值样本附近。现有研究表明，若一个携带恶意数据的异常样本与目标样本在动态安全域中的分布距离越远，则此时所注入的恶意数据所具有的危害程度越大(如发生甩负荷或者线路过载等严重后果)。因此，若攻击者想要通过恶意数据攻击对电力系统的运行造成严重的威胁，则最好的策略就是在满足一定约束条件之下使得目标量测值样本与受攻击后的样本在动态安全域的范围内具有最远的分布距离。

而从构造攻击的原理上讲，一个可行域范围内相距最远的两个点是以o为中心相对称的。不失一般性，可以认为被攻击的量测值样本与攻击后携带恶意数据的量测值样本在动态安全域内的分布情况形成以o为对称中心的近似对称关系。因此，作为攻击目标的原始量测值样本与携带恶意数据的量测值样本的对称点z″距离非常相近。通过K最近邻算法所求得的以对称点z″为类别属性中心的K个最近邻样本中，将会包含原始量测值样本。

步骤S5-2：计算步骤S5-1所求K最近邻量测值样本集Z_k中每个样本与待检测样本z″的差值Δz，计算公式如下

Δz_i＝Z_k-i-z″ (11)

其中Z_k-i为Z_k中任意一个量测值样本，根据上述公式可求得Z_k中所有样本与待检测样本z″的差值的组成的向量ΔZ：

ΔZ＝[Δz₁，Δz₂，…，Δz_k] (12)

进一步的，若Z_k中某个样本z_i不是遭受到恶意数据攻击的原始量测值样本，则认为z_i与z′的差值Δz不具备任何有规律的特征。若z_i为遭受到恶意数据攻击的原始量测值样本，则认为z_i与z′的差值Δz即为攻击者所注入的恶意攻击数据，Δz所包含的数据将会满足的一定约束条件。

上述步骤S5中，本发明对隐性电力恶意数据攻击的异常行为特征进行充分挖掘，提出携带恶意数据的量测值样本在动态安全域内的分布规律，即携带恶意数据的待检测样本与遭受攻击的原始样本在动态安全域内的分布情况形成以o为中心的近似对称关系。建立在这一特征的基础上，本发明使用K最近邻算法有效的将遭受恶意篡改的目标量测值样本的搜索范围进行了压缩，有助于检测待检测样本是否携带恶意数据。

进一步作为优选的实施方式，步骤S6包括：

步骤S6-1：将步骤S5所求ΔZ＝[Δz₁，Δz₂，…，Δz_k]中每个差值Δz_i的元素构成按照如下方式进行分类：

Δz_i＝[Δz_A，Δz_N] (13)

其中，Δz_A为Δz_i中不为零的元素所组成的向量，Δz_N为Δz_i中为零或约为零的元素所组成的向量，判断标准如下：

其中，

表示Δz_N中每个元素的绝对值，即认为当Δz_i中的一个元素小于等于ρ(ρ可取0.01)时，则此元素为零元素。

进一步的，对Δz的元素划分进行说明：电力系统的参数信息为敏感信息，将受到高等级的保护。考虑到攻击者的有限资源，因此攻击者难以获取整个网络的参数信息。此外，攻击者必须付出一定的攻击代价进行量测值的修改，考虑到攻击者的有限攻击能力，大规模的篡改电力量测值也并不现实。所以在实际情况中，攻击者往往只能修改局部区域的少量量测数据，即将电力系统拓扑结构划分为攻击区域A以及非攻击区域N。因此，在实际的电力恶意数据攻击模型中，攻击者只需在攻击区域A中构造满足一定约束的局部恶意数据注入向量。假设待检测样本z′为受到恶意数据攻击的异常样本，则z′与目标攻击样本之间的差值Δz中，只有位于攻击区域A的量测值元素Δz_A为非零元素，而位于非攻击区域N的量测值元素Δz_N为零元素。

步骤S6-2：分析Δz中所包含的非零元素，验证其是否满足电力恶意数据攻击的构造原则。

进一步作为优选的实施方式，步骤S6-2包括：

步骤S6-2-1：将Δz中非零元素所涉及的相关线路以及节点进行相关性分析，验证这些节点和线路能否形成一个闭合的局部区域。若不能则认为这些节点和线路之间的相关性较低，Δz不是攻击者注入的恶意攻击向量；若可以形成相应的闭合局部区域，则认为此时待检测样本为疑似遭受恶意数据攻击的样本，Δz即可能为恶意攻击注入向量，并对Δz中攻击区域的元素进行进一步的验证。

步骤S6-2-2：验证Δz中非零元素是否满足恶意数据攻击的数据一致性原则，即计算Δz中攻击区域的元素是否能够使得待检测样本z′躲过状态估计的不良数据检测，其计算公式如下：

其中，z′_A表示待检测样本在攻击区域A中相对应的元素，

为依赖于电力系统中状态向量的雅克比矩阵。

进一步的，γ为待检测样本的系统残差，τ为待检测样本躲过状态估计不良数据检测的残差阈值。若z′可以通过残差检验，则待检测样本z′遭受恶意数据攻击的嫌疑进一步加重，并Δz_A进行下一步检验。

步骤S6-2-3：根据步骤S6-2-1所得攻击区域A以及非攻击区域N，求得区域A与区域N相连接的边界节点，记为集合Ω，验证这些边界节点的相位角增量以及电压幅值变化是否满足局部电力恶意数据攻击的“壁垒条件”，其计算公式如下：

Δθ_ij＝0 i，j∈Ω (17)

其中，Δθ_ij为任意两个节点i和j之间的相角差，V_i与

分别为任意一个边界节点i的电压幅值与相应电压观测值。

进一步的，对步骤S6-2进行说明：由于攻击者难以获取全部的电力拓扑结构和相应的参数信息，因此，在实际情况中，攻击者往往针对某个局部区域发动电力恶意数据攻击。为了保证注入局部区域恶意数据的隐蔽性，必须满足上述“壁垒条件”，即在恶意数据注入向量Δz_A的作用下，攻击区域A的所有边界节点的电压幅值与估计幅值相等，且这些边界节点具有相同的相角增量。

上述步骤S6中，本发明通过对待检测样本与Z_k中每个样本的差值Δz的元素构成进行分析来检测Z_k中是否存在被恶意数据篡改的量测值样本。在检测过程中，根据电力恶意数据攻击所必须满足的数据构造原则对Δz进行验证，可以确定一个待检测样本是否为携带恶意数据的异常样本，实现了电力恶意数据攻击行为的深度匹配验证，提高了检测的准确率。

实施例

进一步的，本发明给出了IEEE14节点的恶意数据攻击检测的实施例。如图2所示，本发明实施例中所采用的IEEE14节点的拓扑结构可分为攻击区域A以及非攻击区域N。其中，对于攻击区域A，以节点nd₁，nd₂，nd₃作为非边界节点，节点nd₄和节点nd₅作为边界节点，攻击区域A包含线路有l_1-2，l_1-5，l_2-3，l_2-4，l_2-5，l_3-4以及l_4-5。本发明实施例假设z₁为攻击者发动恶意数据攻击的目标攻击样本。

进一步的，在本发明实施例中，根据IEEE14节点标准算例求得最优潮流下的基准负荷z₀，并通过蒙特卡洛方法模拟n个正常量测值样本，使这n个样本在[0.9～1.1]×z₀范围内符合正态分布，即β＝0.1。

在本发明实施例中，对所设定攻击区域内包含的每条线路进行恶意数据攻击，两条线路的潮流增量超过了极限，即l_2-3和l_3-4。其中线路l_2-3的潮流越限值更是达到了114.7％，可以认为线路l_2-3属于当前攻击策略下的高危线路。图3给出了导致线路l_2-3过载的恶意数据攻击样本在所建立的动态安全域中的分布情况(本实施例中，n＝50)。其中，空心圆圈表示n个正常样本的相对分布情况，空心方框表示作为攻击目标的原始量测值样本z₁的2维样本点，实心方框表示携带恶意数据的待检测样本z′。显然，图3中z₁和z′的分布情况均保留在动态安全域的范围之内，不具备明显的异常点特性，这使得待检测样本z′是否为携带虚假数据的“异常样本”难以判断。

进一步的，如图4所示，本发明实施例通过步骤S4求得当前状态下动态安全域的聚类中心o以及待检测样本z′以o为对称中心的对称点z″。从图4中可以观察到，目标攻击样本z1与对称点z″的分布情况非常接近，因此通过步骤S5可求得K个最近邻样本集Z_k。如图5所示，“+”所表示的样本点记为所求得的K个最近邻样本(本发明实施例中K的值取为5)。表I给出Z_k中所包含的每个量测值样本以及每个样本与待检测样本的差值Δz。进一步的，通过步骤S5～S6对所求最近邻样本集Z_k中的每个疑似受攻击样本与待检测样本的差值的进行数据还原，验证是否存在被恶意数据篡改的量测值样本。对于表I中每一个差值，通过步骤S6中局部恶意数据攻击的构造原理进行三方面的验证。

1)元素构成：分析每个差值中所包含的数据特征，即Δz中的元素是否只有少量为非零元素，而多数为零元素。

显然，从表I中可以看出第二列的差值Δz₁所包含的数据具有明显不同的数据特征，只有与z₁求得的差值中大多数元素为零元素，仅仅包含少量的非零元素，符合局部恶意数据攻击的数据构成特征。即Z_k中所包含的5个最近邻样本中，只有z₁为疑似遭受攻击的量测值样本。

2)非零元素的拓扑结构：通过第一个验证条件得出疑似遭受攻击样本z₁与z′的差值Δz₁满足恶意数据攻击注入向量的数据特征，进而对Δz₁中所包含非零元素涉及的拓扑结构进行分析。

从表I中可得，将Δz₁中所包含的非零元素分为与节点负荷以及线路潮流相关的数据，相对于的为节点为nd₂、nd₃、nd₄、nd₅，相关的线路为l_1-2，l_1-5，l_2-3，l_2-4，l_2-5，l_3-4，l_4-5。此外，线路l_1-2涉及节点1，由于节点1为非负荷节点，因此节点1相对应的数据虽然为零，节点1依然属于攻击区域的元素。线路l_4-5对应的元素虽然为零，由于前六条线路涉及节点nd₄以及nd₅，因此线路l_4-5也属于攻击区域。

进一步的，可求得上述节点和线路行程的攻击区域A通过节点nd₄以及nd₅与非攻击区域相连接。即认为Δz₁中非零元素所对应的相关节点和线路在本发明实施例的IEEE 14节点系统的拓扑结构中构成了一个以节点4和节点5为边界节点的局部区域。

3)数据一致性检验以及壁垒条件检验：

首先，根据步骤S6-2-2，验证

所形成的攻击区域内的元素是否可以躲过控制中心的不良数据检测。对于本发明实施例中所使用的基于直流潮流的负荷重分配攻击，即通过计算Δz₁中所有与节点负荷相关的数据的和是否为零来判断Δz₁是否满足恶意数据攻击注入向量的数据一致性原则。根据表I中的数据可得：

0-5.208+18.434-11.472-1.754＝0 (18)

因此，可以认为差值Δz₁为可以躲过不良数据检测的恶意数据攻击注入向量。

表I.Z_k中每个样本与待检测样本的差值单位：MW

其次，验证将攻击区域A相关的负荷数据和线路潮流是否满足“壁垒条件”，在直流模型下，电阻忽略不计，则所注入的恶意数据不会引起电压幅值变化，因此“壁垒条件”中的电压幅值条件可以忽略。此外，相角条件可变换为θ_ij＝(θ_i+α)-(θ_j+α)＝0，即“壁垒条件”可表示为攻击区域内与非攻击区域相连接的任意一个边界节点Δθ_AΩ具有相同的相位角增量α，在本发明实施例中，即使得Δθ₄＝Δθ₅＝α。表II给出将这些负荷数据以及线路潮流数据代入直流攻击模型下的功率平衡方程以及线路潮流方程所求得攻击区域内每个节点的相位角增量。从具体数据如表II可得，Δθ₄＝Δθ₅＝0.1962，因此可认为Δz₁所涉及的攻击区域元素满足局部恶意数据攻击的壁垒条件。

表II.攻击区域内各节点相角增量

节点	Δθ<sub>1</sub>	Δθ<sub>2</sub>	Δθ<sub>3</sub>	Δθ<sub>4</sub>	Δθ<sub>5</sub>
						相角增量(弧度)	0.041	0	-1.575	0.1962	0.1962

根据上述三个检验标准，可认为Z_k中第二个量测值样本z₁受到了电力恶意数据攻击，此时所输入的待检测样本z′为携带恶意数据的“异常样本”，这一样本将导致电力系统运行过程发生严重过载。本发明所提基于数据还原的电力恶意数据攻击检测方法能够有效的检测出待检测样本是否携带恶意数据以及攻击者发起恶意数据攻击目标量测值样本。

Claims

1.一种基于数据还原的电力网络恶意攻击检测方法，其特征在于，包括以下步骤：

S3、以所述聚类中心为对称中心，计算待检测样本z′在所述动态安全域中的对称点z″；

S4、计算所述对称点z″的K个最近邻样本集Z_k，并计算Z_k中所有样本与待检测样本z′的差值Δz；

S5、根据所述差值Δz，对恶意数据攻击行为特征进行深度匹配验证；步骤S5的具体实现过程包括：将Δz中的每一个差值Δz_i的元素按照如下方式进行分类：Δz_i＝[Δz_A，Δz_N]；其中，Δz_A为Δz_i中不为零的元素组成的向量，Δz_N为Δz_i中为零的元素组成的向量，对于任意一个差值向量Δz_i＝[Δz_A，Δz_N]，当

时，认为Δz_N为零元素；分析Δz中所包含的非零元素，验证所述非零元素是否满足电力恶意数据攻击的构造原则；Δz_i为差值集合Δz＝[Δz₁，Δz₂，...，Δz_K]的第i个差值向量；i＝1，2，...，K；其中，

表示Δz_N中每个元素的绝对值，ρ＝0.01；

A)对Δz中非零元素所涉及的相关线路以及节点进行相关性分析，验证这些节点和线路能否相对于整体拓扑结构形成一个闭合的局部区域，若不能，则认为这些节点和线路之间的相关性低，Δz不是攻击者注入的恶意攻击向量；若可以形成相应的闭合局部区域，则认为此时待检测样本为疑似遭受恶意数据攻击的样本，Δz可能为恶意攻击注入向量，进入步骤B)；

Δθ_ij＝0i，j∈Ω；

其中，Δθ_ij为任意两个节点i和j之间的相角差，V_i与

分别为任意一个边界节点i的电压幅值与相应的电压观测值。

2.根据权利要求1所述的基于数据还原的电力网络恶意攻击检测方法，其特征在于，步骤S2的具体实现过程包括：

2)通过K均值聚类的方法，计算低维样本集合Z_r中n个样本点的聚类中心o。

3.根据权利要求2所述的基于数据还原的电力网络恶意攻击检测方法，其特征在于，步骤S2和步骤S3之间，还包括：将待检测样本z′与正常量测值样本集Z_normal组成新的训练样本集Z_train；并获得Z_train对应的低维样本集Z_r′＝[z_r′，Z_r|；根据Z_r′中待检测样本z′对应的低维样本z′_r与Z_r的相对分布情况，判断z′_r是否为当前动态安全域的离群点，判断依据如下：

其中，

超过d_o-max，并且两者的比值超过了所设定的阈值，则认为待检测样本z′为异常样本，直接输出预警信号；若

则进入步骤S3。

4.根据权利要求1所述的基于数据还原的电力网络恶意攻击检测方法，其特征在于，步骤S3中，对称点z″的计算公式为：z″＝[x″₁，x″₂，…x″_r]；

分别为动态安全域的聚类中心o的坐标。

5.根据权利要求1所述的基于数据还原的电力网络恶意攻击检测方法，其特征在于，步骤S4的具体实现过程包括：

I)确定计算K最近邻样本集合的类别属性中心点；

II)计算类别属性中心点，即对称点z″与低维样本集Z_r中所有样本点的欧氏距离；

III)将经步骤II)计算得到的所有欧式距离按照从小到大进行排序，选取最小的K个元素，并求得这K个元素在Z_normal中对应的最近邻样本集Z_k＝[Z_k-1，Z_k-2，...，Z_k-K]；

IV)利用下式计算所述最近邻样本集Z_k中第i个样本与待检测样本z′的差值Δz：Δz_i＝Z_k-i-z′；Z_k-i表示最近邻样本集Z_k中的第i个样本，i＝1，2，...，K。

6.一种基于数据还原的电力网络恶意攻击检测系统，其特征在于，包括计算机设备；所述计算机设备被配置或编程为用于执行权利要求1～5之一所述方法的步骤。