CN113534199B - 一种自适应的广义累计和gps欺骗攻击检测方法 - Google Patents

Abstract

本发明涉及一种自适应的广义累计和GPS欺骗攻击检测方法，包括以下步骤：初始化；使用自适应滑动窗口来收集相量测量单元PMU量测数据z_m,t；进行改进卡尔曼滤波预测步骤；使用广义对数似然比求解比值γ_t，更新累计统计量β_t；进行改进卡尔曼滤波测量更新步骤；若累计统计量β_t等于0，则判定系统未遭受GPS欺骗攻击；若累计统计量β_t大于预设阈值Thr，则判定系统遭受GPS欺骗攻击。该GSA检测方法根据不同的情况自动调整最适合的滑动窗口的宽度，能够更快的检测到所有受到GPS欺骗攻击的PMU量测数据，从而对相应受损数据进行修复，并且能有效减少算法的运行时间，确保电力系统的正常运行。该GSA检测方法还提出了对GSA攻击类型进行检测的方法，更有利于系统做出对应的攻击防御策略。

Description

一种自适应的广义累计和GPS欺骗攻击检测方法

技术领域

本发明涉及电网检测技术领域，尤其涉及GPS欺骗攻击检测方法。

背景技术

广域检测系统(WAMS)对于捕获电网中的实时性能至关重要，而系统中最关键的实时数据就来源于电网中的数据采集装置：监控与数据采集(SCADA)系统以及相量测量单元(PMU)。与SCADA系统相比，PMU由于其精准的采集频率和精确的同步时间在智能电网中得到了广泛的应用，作为智能电网中最重要的数据来源之一，PMU被称为“电网之眼”。PMU可以测量电力系统中各个节点的电压和电流，并附上时间戳以提供精确的计时信息，为了确保PMU能精确的进行同步采样，PMU通常使用全球定位系统(GPS)来提供时间同步。PMU的GPS接收机以射频(radio frequency,RF)方式接收来自不同卫星的GPS信号。这些信号包含未加密的C/A码(主要用于民用，例如PMU接收机)，以及加密的P(Y)码(主要用于军事目的)。

由于民用GPS与其信号接收设备之间采用的是没有加密认证机制的明码进行通信。因此，熟悉GPS报文协议的攻击者能发送虚假的信号对接收设备进行欺骗。当GPS被欺骗时，其精确的时间同步也变得不可靠。GPS欺骗干扰是指通过产生虚假的GPS信号干扰信号接收机的导航和时间同步过程。欺骗者可以通过低成本或者便携式的设备发送某些干扰，导致信号接收设备失去对真实信号的追踪。当信号接收设备搜索信号时，欺骗者将发送伪造的GPS信号，由于伪造的信号和真实的信号之间的特征一致，因此信号接收设备将会被伪造信号欺骗。当信号接收设备被欺骗时，会使得PMU测量值的时间标签发生改变，从而导致由PMU提供的测量值发生变化。GPS欺骗攻击(GSA)是无限信息安全面临的最大风险之一，北美电力可靠性公司(NERC)宣布，对PMU信号接收设备的GPS信号进行欺骗会破坏PMU的正常运行。根据IEEEC37.118标准要求，若时序误差明显超过了规定标准则可能诱使发电机发生跳闸事故。并且，由于电网内部是相互连通的，一个区域发生故障很有可能导致其他区域也发生故障。因此，检测智能电网中的GSA对于保证电力系统正常运行来说至关重要。

全球定位系统(GPS)为电力系统中的PMU测量电压和电流提供精确和同步的时间参考，电力系统中的PMU会给每个信号都分配一个时间戳，用于同时间采样。如果攻击者成功攻击了PMU的信号接收端时，接收端的时间就会受到攻击者改变，从t变成了t+t_GSA，其中t_GSA为受到GSA影响而改变的时间，因为时间发生了改变，导致被PMU测量的信号的相角发生了改变：θ_atk＝θ+θ_GSA，θ_GSA＝2πft_GSA，其中θ和θ_atk分别为GSA前后被测信号的相角，t_GSA为GSA引起的时间戳改变，θ_GSA为GSA所引起的相移，f为电力系统中的频率。GSA包括两种类型，分别为突变型攻击和慢速持续型攻击。如图1所示，突变型GSA是指当PMU受到突变型攻击时，信号的相角相移会突然从0增加到某一固定值，在攻击期间，该值基本上不发生变化直到攻击结束，信号的相角相移又变回0。如图2所示，慢速持续型GSA是指当PMU受到慢速持续型攻击时，信号的相角相移会随着时间线性得增加或减少直到攻击结束，信号的相角相移又变回0。

目前对GSA检测领域的研究主要有两种方向，第一类方向是在物理设备层面上对GPS信号和接收设备的检测研究。第二类方向是在数据层面上对电力系统中的量测数据进行分析。

第一类方向主要通过分析GPS载波噪声比，可见卫星的数量以及观测到的信号统计信息来检测GSA。这类方法都需要对现有的GPS接收设备进行一定程度的改进，增加硬件成本，才能实现GSA的有效检测。

第二类方向是将GSA看作电力系统中的虚假注入攻击的一种，这一类方向可分为4种研究方法：

1、第一种方法利用传输线模型的两端电量之间的关系来检测GSA，例如一种基于密度的空间聚类方法，用于在线检测、分类和数据恢复PMU测量的操作。然而，这种类型的攻击不能自动分类。文献[2](Xue A,Xu F,Xu J,et al.Online pattern recognition anddata correction of PMU data under GPS spoofing attack[J].Journal of ModernPower Systems and Clean Energy,2020,8(6):1240-1249.)提出了一种新的GSA模式识别方法，使用滑动窗口收集PMU量测数据，并对收集的数据进行均值和方差以及线性关系分析，将GSA的攻击模式进行细分。但是，该文献使用的滑动窗口为固定式的滑动窗口，不能根据攻击情况及时调整窗口大小。

2、第二种方法利用系统中的多终端PMU数据挖掘正常PMU数据之间的相似性，从而检测GSA。

3、第三种方法在电力系统的层面上进行GSA检测。这种方法一般使用状态估计或系统建模来检测GSA。例如，将电力系统视为静态的系统，也就是忽略电力系统的动态行为来对PMU量测数据进行GSA检测，因此检测的精度不高。文献[1](S.Siamak,M.Dehghani andM.Mohammadi,"Dynamic GPS Spoofing Attack Detection,Localization,andMeasurement Correction Exploiting PMU and SCADA,"in IEEE Systems Journal,doi:10.1109/JSYST.2020.3001016)提出了一种反GSA机制，利用PMU和监控与数据采集系统测量，再使用动态滤波器估计欺骗攻击引起的相移。并且给出了该检测方法中PMU与SCADA数据融合的结果，在检测到GSA后进行数据修正。文献[3](S.Siamak,M.Dehghani andM.Mohammadi,"Counteracting GPS Spoofing Attack on PMUs by Dynamic StateEstimation,"2019Smart Grid Conference(SGC),Tehran,Iran,2019,pp.1-5,doi:10.1109/SGC49328.2019.9056583.)提出了一种对抗GSA的动态估计器。该方法在线估计了多次GPS欺骗攻击造成的相位角差，并对欺骗测量值进行修正。这类方法一般需要对电力系统的系统配置有充足的了解，并且文献[1]和[3]中使用的卡尔曼滤波器都是最基础的卡尔曼滤波器，不能达到最优的滤波性能，最大程度减少噪声的影响。并且先前提出的检测算法中，并不能及时有效的检测出慢速持续欺骗攻击。慢速持续型欺骗攻击若在一段时间内引起的相角偏移未超过阈值时，则系统无法检测到攻击的发生，只有当相角偏差超过规定阈值时，系统才能检测到。此时，攻击者已经对系统的正常运行造成了明显的影响。

4、第四种方法使用机器学习对量测数据进行处理，此类方法通过对数据进行训练，得到分类模型进行GSA检测。

总之，目前研究主要存在以下问题，一、使用的滤波器为传统的卡尔曼滤波，并不能获得更精确的估计精度，确保估计状态的准确性。二、并未考虑到检测慢速持续型GSA，这种攻击幅度较小的攻击模式往往更隐蔽，在攻击幅度未超过阈值时很难将其检测出来，并且已经对系统的正常测量造成了一定的影响。三、并未考虑到将GSA的攻击模式进行分类并识别。

发明内容

本发明要解决的技术问题是，提供一种能够在不改造现有电力系统GPS接收设备硬件的基础上，快速、准确、有效的检测GPS欺骗攻击(GSA)，并划分GPS欺骗攻击(GSA)类型的方法。

为解决上述技术问题，本发明提供了一种自适应的广义累计和GPS欺骗攻击检测方法，包括以下步骤：

S1，初始化工作：设置相量测量单元PMU的测量时刻t＝0，累积统计量β_t＝0，滑动窗口宽度w＝w₀，累积统计量判定阈值Thr＝Thr₀。

S2，使用自适应滑动窗口来收集相量测量单元PMU量测数据z_m,t。

S3，进行改进卡尔曼滤波预测步骤，预测t时刻的状态向量

和误差协方差矩阵P_t ^-；

S4，使用广义对数似然比求解当前时刻发生攻击概率与不发生攻击概率的比值γ_t，更新累计统计量β_t；

S5，进行改进卡尔曼滤波测量更新步骤，更新状态向量

误差协方差矩阵P_t ⁺、测量噪声协方差矩阵R_t以及过程噪声协方差矩阵Q_t；

S6，若累计统计量β_t等于0，则判定系统未遭受GPS欺骗攻击，为正常情况，按一定权重减小滑动窗口的宽度w并返回步骤S2，否则执行下一步；

S7，若累计统计量β_t大于预设阈值Thr，则判定系统遭受GPS欺骗攻击，按一定权重增加滑动窗口的宽度w并返回步骤S2，否则执行下一步；

S8，若所有相量测量单元PMU量测数据都被检测完则结束，否则测量时刻t增加1并返回步骤S2。

更进一步，步骤S7所述若累计统计量β_t大于预设阈值Thr，则判定系统遭受了GPS欺骗攻击，按一定权重增加滑动窗口的宽度w还包括以下步骤：

S71，若t-1时刻累计统计量β_t-1不大于0，则判定系统遭受突变型GPS欺骗攻击，按一定权重增加滑动窗口的宽度w并返回步骤S2，否则执行下一步；

S72，若t-1时刻累计统计量β_t-1大于0，则按照

计算该段滑动窗口内时间t与相角θ之间的相关系数r(t,θ)，其中cov(t,θ)为时间t与相角θ的协方差值，D(t)为时间t的方差，D(θ)为的相角θ方差；

S73，若相关系数r(t,θ)的绝对值大于预设阈值，则判定系统遭受慢速持续型GPS欺骗攻击，按一定权重增加滑动窗口的宽度w并返回步骤S2，否则执行下一步；

S74，判定系统遭受其他类型GPS欺骗攻击，按一定权重增加滑动窗口的宽度w并返回步骤S2。

更进一步，步骤S73中所述预设阈值为0.8。

更进一步，步骤S7中所述按一定权重增加滑动窗口的宽度w的步骤为：按照

将滑动窗口的宽度增加为w₁，其中K为量测数据的总数，λ₁为0至1之间的常数。

更进一步，步骤S6中所述按一定权重减小滑动窗口的宽度w的步骤为：按照

将滑动窗口的宽度减小为w₂，其中K为量测数据的总数，λ₂为0至1之间的常数。

更进一步，步骤S3中所述预测t时刻的状态向量

和误差协方差矩阵P_t ^-的步骤为：

S31，按照

预测t时刻的状态向量

其中

为正常情况下的状态向量t时刻预测值，

为受到GPS欺骗攻击情况下的状态向量t时刻预测值，

为正常情况下的状态向量t-1时刻测量更新值，

为受到GPS欺骗攻击情况下的状态向量t-1时刻测量更新值，A为状态转移矩阵；

S32，按照

预测t时刻的误差协方差矩阵P_t ^-，其中A为状态转移矩阵，A^T为状态转移矩阵A的转置，

为t-1时刻的误差协方差矩阵测量更新值，Q_t-1为t-1时刻过程噪声协方差矩阵。

更进一步，步骤S4中所述使用广义对数似然比求解当前时刻发生攻击概率与不发生攻击概率的比值γ_t，更新累计统计量β_t的步骤为：

S41，按照

计算当前时刻发生攻击概率与不发生攻击概率的比值γ_t，其中

为测量噪声的方差，z_m,t为t时刻量测数据，B为测量矩阵，

为t时刻的状态向量预测值，

为攻击者造成的攻击向量；

S42，按照β_t＝(β_t-1+γ_t)⁺计算t时刻累积统计量β_t。

更进一步，步骤S5中所述更新状态向量

误差协方差矩阵P_t ⁺、测量噪声协方差矩阵R_t以及过程噪声协方差矩阵Q_t的步骤为：

S51，按照G_t＝P_t ^-B^T(BP_t ^-B^T+R_t)^-1计算卡尔曼增益G_t，其中P_t ^-为t时刻的误差协方差矩阵预测值，B为测量矩阵，B^T为测量矩阵B的转置，R_t为t时刻的过程噪声协方差矩阵；

S52，按照

更新状态向量

其中

为正常情况下的状态向量t时刻测量更新值，

为受到GPS欺骗攻击情况下的状态向量t时刻测量更新值，

为t时刻的状态向量预测值，

为正常情况下的状态向量t时刻预测值，

为受到GPS欺骗攻击情况下的状态向量t时刻预测值，z_m,t为t时刻量测数据，B为测量矩阵，

为攻击者造成的攻击向量；

S53，按照P_t ⁺＝(I-G_tB)P_t ^-更新误差协方差矩阵P_t ⁺，其中I为单位矩阵；

S54，按照

更新测量噪声协方差矩阵R_t，其中R_t-1为t-1时刻测量噪声协方差矩阵，μ为分配估计值和上一时刻值的权重；

S55，按照

更新过程噪声协方差矩阵Q_t，其中Q_t-1为t-1时刻过程噪声协方差矩阵。

更进一步，步骤S54和步骤S55中所述分配估计值和上一时刻值的权重μ为0到1之间的常数。

本发明的有益效果在于：

在收集PMU测量数据的过程中，滑动窗口的宽度是重要的因素之一，固定不变的窗口不适用于数据复杂多变的数据流。本发明公开的方法使用自适应滑动窗口来收集PMU测量数据，当检测到PMU受到攻击时，按照一定的权重增加滑动窗口的宽度，；当检测到攻击停止时，按照一定的权重减少滑动窗口的宽度。自适应滑动窗口中可以根据不同的情况自动调整最适合的滑动窗口的宽度，能够更快的检测到所有受到GPS欺骗攻击的PMU量测数据，从而对相应受损数据进行修复，并且能有效减少算法的运行时间，确保电力系统的正常运行。

收集完PMU测量数据之后，本发明公开的方法使用改进的卡尔曼滤波器计算测量数据的状态估计值。在卡尔曼滤波器中，过程噪声w_t和测量噪声v_t的协方差矩阵Q_t和R_t对于动态状态估计的性能有重要的影响。若没有选择合适的Q_t和R_t会显著降低卡尔曼滤波器的性能，甚至导致滤波器发散。在先前研究中使用的传统的卡尔曼滤波器中一般会将Q_t和R_t值设置为常量，然后在实验过程中根据实验结果不断调整，这种方法显然占用了很多计算时间以及资源消耗，并且也不能获得最佳的滤波性能。为了解决此问题，本发明实用的一种改进卡尔曼滤波器，在进行测量更新的迭代步骤中，通过给上一时刻的Q_t-1和R_t-1以及当前时刻的Q_t和R_t估计值不同的权重，从而实现对噪声协方差矩阵的自适应动态调整，提高了动态状态估计的精度。

本发明公开的方法使用广义对数似然比求出可能遭受GSA的概率，并使用广义累计和算法(CUSUM算法)累积该概率，当累积统计量超过预定阈值时，则认为系统遭受了GSA。为了对攻击类型进行细分，判断t-1时刻累积统计量β_t-1的值，若β_t-1的值等于0，则表明t时刻之前并未发生攻击，攻击是在t时刻产生并且攻击幅度很大，GSA的攻击类型为突变型GSA。若β_t-1的值大于0，则表明t-1时刻之前也存在攻击情况，只是攻击幅度较小。由于慢速持续型GSA通常是采取线性方式增加攻击幅度。为了进一步判断攻击攻击类型是否为慢速持续型GSA，使用相关系数来进一步识别GSA类型，通过计算一个滑动窗口内时间t与相角θ之间的线性关系来判断攻击是否为慢速持续型攻击。总之，本发明还公开了对GSA攻击类型进行检测的方法，更有利于系统做出对应的攻击防御策略。

附图说明

图1是突变型GSA示意图。

图2是慢速持续型GSA示意图。

图3是本发明一实施方式流程图。

图4是本发明一实施方式仿真实验所用的IEEE-39总线系统结构图。

图5是本发明一实施方式仿真实验模拟突变型攻击场景中突变型GSA对PMU造成影响示意图。

图6是本发明一实施方式仿真实验模拟突变型攻击场景中使用本发明实施方式检测突变型GSA的仿真实验结果。

图7是本发明一实施方式仿真实验模拟突变型攻击场景中使用本发明实施方式检测突变型GSA的滑动窗口变化情况。

图8是本发明一实施方式仿真实验模拟慢速持续型攻击场景中慢速持续型GSA对PMU造成的影响示意图。

图9是本发明一实施方式仿真实验模拟慢速持续型攻击场景中使用本发明实施方式检测慢速持续型GSA的仿真实验结果。

图10是本发明一实施方式仿真实验模拟慢速持续型攻击场景中使用本发明实施方式检测慢速持续型GSA的滑动窗口变化情况。

图11是本发明一实施方式仿真实验模拟混合型攻击场景中慢速持续型GSA对PMU造成的影响示意图。

图12是本发明一实施方式仿真实验模拟混合型攻击场景中使用本发明实施方式检测混合型GSA的仿真实验结果。

图13是本发明一实施方式仿真实验模拟混合型攻击场景中使用本发明实施方式检测混合型GSA的滑动窗口变化情况。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

本实施例中，假设电力系统由M+1条总线组成，其中安装了N个PMU。电力系统中，状态估计值x_M,t表示第M条总线的相位角。用电力系统的状态向量x_t＝[x_1,t,x_2,t,…,x_M,t]^T表示在时间t处M条总线的相位角的集合。z_N,t表示第N个PMU的量测值，电力系统中所有PMU的量测值集合为z_t＝[z_1,t,z_2,t,…,z_N,t]^T。系统模型为

其中A为状态转移矩阵，B为测量矩阵，ω_t＝[ω_1,t,ω_2,t,…,ω_M,t]^T为过程噪声，v_t＝[v_1,t,v_2,t,…,v_N,t]^T为测量噪声。假设ω_t和v_t是独立的加性白色高斯随机过程，其中

I_M为M×M的单位矩阵，I_N为N×N的单位矩阵。ω_t的协方差矩阵Q_t为

v_t的协方差矩阵R_t为

其中E(*)为求数学期望值。慢速持续型攻击的测量向量

其中

为攻击者造成的攻击向量。

如图3所示，本实施例提供的一种自适应的广义累计和GPS欺骗攻击检测方法，包括以下步骤：

S1，初始化工作：设置相量测量单元PMU的测量时刻t＝0，累积统计量β_t＝0，滑动窗口宽度w＝w₀，累积统计量判定阈值Thr＝Thr₀。

S2，使用自适应滑动窗口来收集相量测量单元PMU量测数据z_m,t。

S3，进行改进卡尔曼滤波预测步骤，预测t时刻的状态向量

和误差协方差矩阵P_t ^-，包括以下步骤：

S31，按照

预测t时刻的状态向量

其中

为正常情况下的状态向量t时刻预测值，

为受到GPS欺骗攻击情况下的状态向量t时刻预测值，

为正常情况下的状态向量t-1时刻测量更新值，

为受到GPS欺骗攻击情况下的状态向量t-1时刻测量更新值，A为状态转移矩阵；

S32，按照

预测t时刻的误差协方差矩阵P_t ^-，其中A为状态转移矩阵，A^T为状态转移矩阵A的转置，

t-1时刻的误差协方差矩阵测量更新值，Q_t-1为t-1时刻过程噪声协方差矩阵。

S4，使用广义对数似然比求解当前时刻发生攻击概率与不发生攻击概率的比值γ_t，更新累计统计量β_t，包括以下步骤：

S41，按照

计算当前时刻发生攻击概率与不发生攻击概率的比值γ_t，其中

为测量噪声的方差，z_m,t为t时刻量测数据，B为测量矩阵，

为t时刻的状态向量预测值，

为攻击者造成的攻击向量；

S42，按照β_t＝(β_t-1+γ_t)⁺计算t时刻累积统计量β_t。

S5，进行改进卡尔曼滤波测量更新步骤，更新状态向量

误差协方差矩阵P_t ⁺、测量噪声协方差矩阵R_t以及过程噪声协方差矩阵Q_t，包括以下步骤：

S51，按照G_t＝P_t ^-B^T(BP_t ^-B^T+R_t)^-1计算卡尔曼增益G_t，其中P_t ^-为t时刻的误差协方差矩阵预测值，B为测量矩阵，B^T为测量矩阵B的转置，R_t为t时刻的过程噪声协方差矩阵；

S52，按照

更新状态向量

其中

为正常情况下的状态向量t时刻测量更新值，

为受到GPS欺骗攻击情况下的状态向量t时刻测量更新值，

为t时刻的状态向量预测值，

为正常情况下的状态向量t时刻预测值，

为受到GPS欺骗攻击情况下的状态向量t时刻预测值，z_m,t为t时刻量测数据，B为测量矩阵，

为攻击者造成的攻击向量；

S53，按照P_t ⁺＝(I-G_tB)P_t ^-更新误差协方差矩阵P_t ⁺，其中I为单位矩阵；

S54，按照

更新测量噪声协方差矩阵R_t，其中R_t-1为t-1时刻测量噪声协方差矩阵，μ为分配估计值和上一时刻值的权重；

S55，按照

更新过程噪声协方差矩阵Q_t，其中Q_t-1为t-1时刻过程噪声协方差矩阵。

步骤S54和步骤S55中所述分配估计值和上一时刻值的权重μ为0到1之间的常数。

S6，若累计统计量β_t等于0，则判定系统未遭受GPS欺骗攻击，为正常情况，按照

将滑动窗口的宽度减小为w₂，其中K为量测数据的总数，λ₂为0至1之间的常数，并返回步骤S2。否则执行下一步；

S7，若累计统计量β_t大于预设阈值Thr，则判定系统遭受GPS欺骗攻击，进一步判定系统遭受GPS欺骗攻击的类型，按照

将滑动窗口的宽度增加为w₁，其中K为量测数据的总数，λ₁为0至1之间的常数，并返回步骤S2，否则执行下一步。其中进一步判定系统遭受GPS欺骗攻击的类型的步骤如下：

S71，若t-1时刻累计统计量β_t-1不大于0，则判定系统遭受突变型GPS欺骗攻击，按照

将滑动窗口的宽度增加为w₁并返回步骤S2，否则执行下一步；

S72，若t-1时刻累计统计量β_t-1大于0，则按照

计算该段滑动窗口内时间t与相角θ之间的相关系数r(t,θ)，其中cov(t,θ)为时间t与相角θ的协方差值，D(t)为时间t的方差，D(θ)为的相角θ方差；

S73，若相关系数r(t,θ)的绝对值大于预设阈值，则判定系统遭受慢速持续型GPS欺骗攻击，按照

将滑动窗口的宽度增加为w₁并返回步骤S2，否则执行下一步；

S74，判定系统遭受其他类型GPS欺骗攻击，按照

将滑动窗口的宽度增加为w₁并返回步骤S2。

作为更优化的方案，步骤S73中所述预设阈值为0.8。

S8，若所有相量测量单元PMU量测数据都被检测完则结束，否则测量时刻t增加1并返回步骤S2。

为了验证本实施例公开的检测方法的性能，使用如图4所示的IEEE-39总线系统，该系统由新英格兰10机系统、10台发电机、39条总线以及46条传输线组成。基于PowerWorld仿真软件的IEEE-39系统能提供实时并精确的测量信息，从而模拟PMU收集电力系统数据的过程。然后将所得数据导入MATLABR2017a中评估本实施例公开的检测方法的性能。实验中所用到的参数设置如下，其中f表示系统频率，默认为50HZ；ω_t为过程噪声，设定为1×10^-4；v_t为测量噪声，设定为2×10^-4，t为PMU数据采样时间间隔，设定为0.02s；判定阈值Thr根据IEEE C37.118标准取得，此标准中规定同步误差限制为1％，对应的相角误差为0.5730(度)。本实施例仿真实验中判定阈值Thr取0.57302T，分配估计值和上一时刻值的权重μ为自适应常数，根据实验调试，μ为0.4时，卡尔曼滤波性能最佳，估计的相对状态误差最小。权重λ₁取0.8，权重λ₂取0.5。系统的运行算法的计算机规格如下所示：CPU：Intel(R)Core(TM)i5-9400 CPU@2.90GHZ；内存：16GB。

本实施例仿真实验通过分析单次攻击和多次攻击中各算法的时间消耗以及估计相对误差精度来评估提出的算法的性能。其中文献[1]提出了一种抗GSA机制，即利用PMU和SCADA系统测量动态滤波器估计欺骗攻击引起的相移，从而检测GSA。文献[4](Risbud P,Gatsis N,Taha A.Vulnerability analysis of smart grids to GPS spoofing[J].IEEETransactions on Smart Grid,2018,10(4):3535-3548.)提出了一种使用交替最小化算法来检测多次GSA。文献[5](X.Fan,L.Du and D.Duan,"Synchrophasor Data CorrectionUnder GPS Spoofing Attack:A State Estimation Based Approach,"2018IEEE/PESTransmission and Distribution Conference and Exposition(T&D),Denver,CO,2018,pp.1-9,doi:10.1109/TDC.2018.8440488.)提出了一种欺骗匹配算法，利用黄金分割搜索算法求出攻击角，从而检测GSA。评估的指标有两个：时间消耗、估计相对误差，其中时间消耗表示在检测100个数据样本中，检测算法运行所消耗的时间。估计相对误差被定义为

其中

表示估计的状态值，θ表示真实值。

表1以及表2展示了各检测算法在检测单次GSA以及多次GSA时的检测结果对比，其中本实施例提出的方案相比于文献[4]和文献[5]的静态状态估计方案中有明显较小的时间消耗以及较小的估计相对误差，其次，与动态状态估计检测方案[1]对比中，本实施例提出的方案于其时间消耗以及状态估计相对误差精度接近，并且能将攻击类型进行有效分类，综合算法的各项性能分析，本实施例的方案在保证时间消耗较小以及估计相对误差较小的情况下，能有效将GSA的攻击类型分类出。因此，本实施例提出的方案要优于其他检测方案。

表1单次GSA检测结果对比表

表2多次GSA检测结果对比表

本实施例仿真实验主要分析了三种GSA的攻击场景，分别是：突变型攻击场景、慢速持续型攻击场景以及混合型攻击场景，通过模拟出三种攻击模式，对PMU量测数据造成影响。并使用本实施例提出的检测方法来实时检测攻击并进行攻击模式分类，同时也展示了自适应滑动窗口在三种攻击模式下的变化过程。

A、突变型攻击场景

此场景考虑到的GSA攻击模式为攻击者突然注入信号幅度极强的攻击信号，因此干扰正常的GPS信号接收，从而使PMU采集数据的过程受到攻击，导致量测数据不准确。如图5所示，在0到4秒的时间里，攻击者对PMU进行了多次突变型攻击，导致其相角改变超过了系统规定的阈值，对系统的正常运行造成了影响。使用本实施例提出的检测方案对此攻击场景进行攻击检测，如图6所示，当发生突变型GSA时，累积统计量β_t会统计出该PMU发生GSA的概率，并且在检测出累积值超过规定的阈值时，判断前一时刻累积统计量的值，从而分析GSA的类型，图6展示了提出的攻击检测器检测突变型GSA的情况，当攻击发生的前一时刻时，发生GSA的概率为0，当发生攻击时，累积统计量β_t立马超过阈值，因此检测方案判断攻击发生的类型为突变型GSA，并且在攻击结束后，β_t的值将会重置为0。图7展示了自适应滑动窗口检测到攻击情况下窗口宽度的变化情况，图中可以明显看出攻击发生时，滑动窗口宽度发生了一定的改变，在攻击结束时，窗口宽度又恢复正常。

B、慢速持续型攻击场景

此场景考虑到的攻击模式为攻击者缓慢注入并持续增强攻击信号，直到攻击信号影响正常的GPS接收信号，此攻击模式不同于之前的突变型攻击模式，当攻击造成的影响未超过系统规定的阈值时，很难将此类攻击检测到。此时，慢速持续型攻击已经对系统造成的一定的影响。图8展示了慢速持续型GSA对PMU造成的影响，在0.22至0.62秒、1.16至1.54秒、2.14至2.52秒、3.22至3.54秒这4个时间段中，电力系统已经遭受了慢速持续型攻击，先前的研究中并不能检测出这一段时间的攻击影响，使用本实施例提出的检测方案的检测效果如图9所示，随着攻击幅度的增强，累积统计量β_t的值快速增长，在攻击发生不久，此类型攻击就能被实时检测。图10展示了当算法检测此类型攻击时，自适应滑动窗口宽度的变化情况。

C、混合型攻击场景

此场景考虑到攻击者在实际攻击中不会只采用一种模式的攻击，往往是多种攻击模式的混合攻击。为了验证本实施例检测方法在检测混合型攻击场景下的检测性能，本实施例仿真实验模拟了突变型攻击和慢速持续型攻击交替进行的攻击场景。如图11所示，在0.38秒到0.9秒这段时间里，发生了一次突变型攻击，随后又立马出现了慢速持续型攻击。在采集数据的4秒内，攻击者总共发起了4次攻击，分别用突变型攻击和慢速持续型攻击攻击PMU，影响其采集数据。在图12中，展示了本实施例提出的检测方案对混合型攻击的检测情况。如图12所示，在发生GSA后，检测方案能实时检测出攻击，并且能判断出攻击的类型从而提交给系统作进一步处理。图13展示了随着攻击的检测自适应滑动窗口的变化情况。

本发明实施例可以根据实际需要进行顺序调整、合并和删减。

实施例对本方案进行了详细的介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (9)

1.一种自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，包括以下步骤：

S1，初始化工作：设置相量测量单元PMU的测量时刻t＝0，累积统计量β_t＝0，滑动窗口宽度w＝w₀，累积统计量判定阈值Thr＝Thr₀；

S2，使用自适应滑动窗口来收集相量测量单元PMU量测数据z_m,t；

S3，进行改进卡尔曼滤波预测步骤，预测t时刻的状态向量

和误差协方差矩阵P_t ^-；

S4，使用广义对数似然比求解当前时刻发生攻击概率与不发生攻击概率的比值γ_t，更新累计统计量β_t；

S5，进行改进卡尔曼滤波测量更新步骤，更新状态向量

误差协方差矩阵P_t ⁺、测量噪声协方差矩阵R_t以及过程噪声协方差矩阵Q_t；

S6，若累计统计量β_t等于0，则判定系统未遭受GPS欺骗攻击，为正常情况，按一定权重减小滑动窗口的宽度w并返回步骤S2，否则执行下一步；

S7，若累计统计量β_t大于预设阈值Thr，则判定系统遭受GPS欺骗攻击，按一定权重增加滑动窗口的宽度w并返回步骤S2，否则执行下一步；

S8，若所有相量测量单元PMU量测数据都被检测完则结束，否则测量时刻t增加1并返回步骤S2。

2.根据权利要求1所述自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，步骤S7所述若累计统计量β_t大于预设阈值Thr，则判定系统遭受了GPS欺骗攻击，按一定权重增加滑动窗口的宽度w还包括以下步骤：

S71，若t-1时刻累计统计量β_t-1不大于0，则判定系统遭受突变型GPS欺骗攻击，按一定权重增加滑动窗口的宽度w并返回步骤S2，否则执行下一步；

S72，若t-1时刻累计统计量β_t-1大于0，则按照

计算该段滑动窗口内时间t与相角θ之间的相关系数r(t,θ)，其中cov(t,θ)为时间t与相角θ的协方差值，D(t)为时间t的方差，D(θ)为的相角θ方差；

S73，若相关系数r(t,θ)的绝对值大于预设阈值，则判定系统遭受慢速持续型GPS欺骗攻击，按一定权重增加滑动窗口的宽度w并返回步骤S2，否则执行下一步；

S74，判定系统遭受其他类型GPS欺骗攻击，按一定权重增加滑动窗口的宽度w并返回步骤S2。

3.根据权利要求2所述自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，步骤S73中所述预设阈值为0.8。

4.根据权利要求1所述自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，步骤S7中所述按一定权重增加滑动窗口的宽度w的步骤为：按照

将滑动窗口的宽度增加为w₁，其中K为量测数据的总数，λ₁为0至1之间的常数。

5.根据权利要求1所述自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，步骤S6中所述按一定权重减小滑动窗口的宽度w的步骤为：按照

将滑动窗口的宽度减小为w₂，其中K为量测数据的总数，λ₂为0至1之间的常数。

6.根据权利要求1所述自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，步骤S3中所述预测t时刻的状态向量

和误差协方差矩阵P_t ^-的步骤为：

S31，按照

预测t时刻的状态向量

其中

为正常情况下的状态向量t时刻预测值，

为受到GPS欺骗攻击情况下的状态向量t时刻预测值，

为正常情况下的状态向量t-1时刻测量更新值，

为受到GPS欺骗攻击情况下的状态向量t-1时刻测量更新值，A为状态转移矩阵；

S32，按照

预测t时刻的误差协方差矩阵P_t ^-，其中A为状态转移矩阵，A^T为状态转移矩阵A的转置，

为t-1时刻的误差协方差矩阵测量更新值，Q_t-1为t-1时刻过程噪声协方差矩阵。

7.根据权利要求1所述自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，步骤S4中所述使用广义对数似然比求解当前时刻发生攻击概率与不发生攻击概率的比值γ_t，更新累计统计量β_t的步骤为：

S41，按照

计算当前时刻发生攻击概率与不发生攻击概率的比值γ_t，其中

为测量噪声的方差，z_m,t为t时刻量测数据，B为测量矩阵，

为t时刻的状态向量预测值，

为攻击者造成的攻击向量；

S42，按照β_t＝(β_t-1+γ_t)⁺计算t时刻累积统计量β_t。

8.根据权利要求1所述自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，步骤S5中所述更新状态向量

误差协方差矩阵P_t ⁺、测量噪声协方差矩阵R_t以及过程噪声协方差矩阵Q_t的步骤为：

S51，按照G_t＝P_t ^-B^T(BP_t ^-B^T+R_t)^-1计算卡尔曼增益G_t，其中P_t ^-为t时刻的误差协方差矩阵预测值，B为测量矩阵，B^T为测量矩阵B的转置，R_t为t时刻的过程噪声协方差矩阵；

S52，按照

更新状态向量

其中

为正常情况下的状态向量t时刻测量更新值，

为受到GPS欺骗攻击情况下的状态向量t时刻测量更新值，

为t时刻的状态向量预测值，

为正常情况下的状态向量t时刻预测值，

为受到GPS欺骗攻击情况下的状态向量t时刻预测值，z_m,t为t时刻量测数据，B为测量矩阵，

为攻击者造成的攻击向量；

S53，按照P_t ⁺＝(I-G_tB)P_t ^-更新误差协方差矩阵P_t ⁺，其中I为单位矩阵；

S54，按照

更新测量噪声协方差矩阵R_t，其中R_t-1为t-1时刻测量噪声协方差矩阵，μ为分配估计值和上一时刻值的权重；

S55，按照

更新过程噪声协方差矩阵Q_t，其中Q_t-1为t-1时刻过程噪声协方差矩阵。

9.根据权利要求8所述自适应的广义累计和GPS欺骗攻击检测方法，其特征在于，步骤S54和步骤S55中所述分配估计值和上一时刻值的权重μ为0到1之间的常数。

Images