CN113992350A - 基于深度学习的智能电网虚假数据注入攻击的检测系统 - Google Patents
基于深度学习的智能电网虚假数据注入攻击的检测系统 Download PDFInfo
- Publication number
- CN113992350A CN113992350A CN202111123740.0A CN202111123740A CN113992350A CN 113992350 A CN113992350 A CN 113992350A CN 202111123740 A CN202111123740 A CN 202111123740A CN 113992350 A CN113992350 A CN 113992350A
- Authority
- CN
- China
- Prior art keywords
- data
- deep learning
- attack
- detection
- detector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 70
- 238000002347 injection Methods 0.000 title claims abstract description 42
- 239000007924 injection Substances 0.000 title claims abstract description 42
- 238000013135 deep learning Methods 0.000 title claims abstract description 20
- 238000005259 measurement Methods 0.000 claims abstract description 21
- 238000012549 training Methods 0.000 claims abstract description 21
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 19
- 230000003068 static effect Effects 0.000 claims abstract description 10
- 238000013136 deep learning model Methods 0.000 claims abstract description 7
- 238000011897 real-time detection Methods 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 239000013598 vector Substances 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000005457 optimization Methods 0.000 claims description 4
- 230000002123 temporal effect Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 101100206075 Escherichia coli (strain K12) tauA gene Proteins 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 238000013528 artificial neural network Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000000306 recurrent effect Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000005253 cladding Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012946 outsourcing Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000000546 chi-square test Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E40/00—Technologies for an efficient electrical power generation, transmission or distribution
- Y02E40/70—Smart grids as climate change mitigation technology in the energy generation sector
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于深度学习的智能电网虚假数据注入攻击的检测系统,属于智能电网领域,包括静态检测器,其构建在动态检测器之外并与警报连接,用以接收第一输入源;动态检测器,其与警报连接,用以接收实时检测和网络包传输的数据,网络包能够被指令捕获,用以识别FDI攻击的高水平时间序列特征;深度学习模型通过将实时收集的测量数据支持离线训练,并在训练完成后更新预测模型。时间序列异常检测采用卷积神经网络和长短期记忆网络,在实现高效的计算系统变量时采用同时观察数据量和网络级特征来共同学习系统状态,通过提供对数据量和网络级特征对虚假数据注入攻击进行检测的系统,提高检测准确度和检测效率。
Description
技术领域
本发明涉及智能电网技术领域,尤其涉及一种基于深度学习的智能电网虚假数据注入攻击的检测系统。
背景技术
智能电网是一种将信息传输通道与电力传输通道分离,从而使电网拥有更高效的电力资源配置、更强的抗干扰能力的新型电网技术,随着信息技术的深入发展,以及频繁发生恶性网络攻击暴露出智能电网的脆弱性,为加强智能电网信息安全建设敲响了警钟,智能电网的信息安全已经成为了一个重要的关注点。
在安全方面,虚假数据注入攻击在智能电网信息攻击研究中占有重要地位,其核心思想是通过传统检测方法的漏洞,使用构造出的攻击向量来影响电网系统的状态估计,进而破坏电力系统的安全稳定运行。传统的智能电网在受到虚假数据注入攻击时的检测存在很大的局限性,难以对异常状态和虚假数据进行准确高效的识别。
现有技术中仍缺少一种能够根据数据量和网络级特征对虚假数据注入攻击进行检测的系统,难以提高检测准确度和检测效率。
发明内容
为此,本发明提供基于深度学习的智能电网虚假数据注入攻击的检测系统,用以克服现有技术中仍缺少一种能够根据数据量和网络级特征对虚假数据注入攻击进行检测系统,难以提高检测准确度和检测效率的问题。
为实现上述目的,本发明提供一种基于深度学习的智能电网虚假数据注入攻击的检测系统,包括,
静态检测器,其构建在动态检测器之外并与警报连接,用以接收第一输入源,所述第一输入源为实时检测,所述静态检测器与电力系统优化模块连接,用以实时对电力系统进行检测;
动态检测器,其与警报连接,用以接收第一输入源和第二输入源,所述第一输入源为实时检测,所述第二输入源为网络包,所述网络包能够被指令捕获,用以识别FDI攻击的高水平时间序列特征;
深度学习模型,其用以接收实时检测的数据信息并将所述深度学习模型的结果传输至所述动态检测器,通过将实时收集的测量数据支持离线训练,并在训练完成后更新预测模型。
进一步地,在所述系统对虚假数据注入攻击时,通过卡方检定的方式对虚假数据注入攻击进行检定,所述卡方检定包括最大归一化残差和性能指标,所述性能指标表达如下,
其中,
是遵循卡方分布的,τ是预先设置的阈值,阈值从X2的分布中获取。
进一步地,若性能指标
则坏数据将会被怀疑,而对于DC模型中,
传统的坏数据检测方法往往会降低到测量残差的l2-norm:
其中,z表示正确值,H表示转换系数,x表示分布的数据。
进一步地,所述系统将测量设备的母线电压幅值、角度和状态值共同表示为马尔科夫决策过程中的状态,通过采用递归模型,状态的判定由之前的n个状态确定,递归模型中的损失函数表达如下,
其中,
θ表示需要转换的参数,τ表示决定攻击是否开始的阈值,L代表损失函数,s表示时间序列t-1到t-1+n的状态,t表示时间序列。
进一步地,所述动态检测器的动态异常检测结果通过接受时间序列表示为…,x(t -1),x(t),…,学习高维特征表示,再通过所述时间序列表示特征来预测下一个数据点
将检验实际数据X(t)和预测数据
之间的相似性预测的数据点,用来分类X(t)是否异常。
进一步地,在当IDS依赖数据度量检测FDI攻击开始失败时,若一个被捏造的注入数据来自一个合法的注入模型的情况下,数据级别探测器无法判断当前网络是受到入侵,通过采用的联合攻击检测的方法对电网虚假数据注入攻击进行检测。
进一步地,所述联合攻击检测是通过直接连接输入向量将数据积信息和包级特征结合起来,在连接之前,每个层次特征都通过卷积神经网络进行变换,均衡数据测量和包层次特征之间的维数,并使用梯度下降学习权值。
进一步地,所述网络包包括包头和数据有效负载,具有定义NSL-KDD数据集的独特性,所述NSL-KDD数据集有41个特征。
进一步地,所述NSL-KDD数据集的41个特征包括三种类型,分别为基本特征、基于内容的特征和机遇流量的特征。
进一步地,所述时间序列特征包括在线训练和在线检测。
与现有技术相比,本发明的有益效果在于,本发明通过提供一种基于深度学习的智能电网虚假数据注入攻击的检测系统,在时间时间序列异常检测采用卷积神经网络和长短期记忆网络,在实现高效的计算系统变量时采用同时观察数据量和网络级特征来共同学习系统状态,以克服传统方法在处理现代计算机的攻击时通常是有局限性,通过提供对数据量和网络级特征对虚假数据注入攻击进行检测的系统,提高检测准确度和检测效率。
尤其,本发明通过同时观察数据量和网络级特征来共同学习系统状态的算法能够识别传统方法识别不到的异常状态和虚假数据,并且更加高效。
进一步地,本发明通过设置虚假数据注入攻击的动态检测系统将收集实时测量数据用以支持离线训练,并在训练完成后更新预测模型,提高离线模型的更新率,而且离线培训是基于历史度量进行的,可以通过外包给公共机器学习服务来实现,提高了所述系统对虚假数据注入攻击检测的效率。
尤其,本发明将测量设备的母线电压幅值、角度和状态值共同表示为马尔科夫决策过程中的系统状态。通过使用递归模型,其中的决策不光取决于之前的一个状态,而且还取决于之前的n个状态相关,以提高所述系统的检测准确率,减少出现误报的概率。
进一步地,本发明通过将时间序列进行高纬特征学习后,用这些特征来预测下一个数据点,将检验实际数据X(t)和预测数据
之间的相似性预测的数据点,用来分类X(t)是否异常,提高检测准确度和检测效率。
尤其,本发明为了时序异常检测模型的整体性能,采用的联合攻击检测的方法,有效避免了在IDS依赖数据度量检测FDI攻击失败的情况发生,提高检测准确度和检测效率。
进一步地,本发明通过增加卷积神经网络的目的是为了均衡数据测量和包层次特征之间的维数,并使用梯度下降来学习权值。而且通过使用两台计算机模拟通信网络,其中一台计算机充当通过以太网收集数据度量的服务员,FDI攻击是由中间人攻击者从客户端-服务端通信结构产生的,两个输入源是时间同步的,以实时实现同步输入,提高检测准确度和检测效率。
附图说明
图1为本发明所述实施例中的卷积神经网络的结构示意图;
图2为本发明所述实施例中的双向网络的结构示意图;
图3为本发明所述实施例中的虚假数据注入攻击检测系统的结构示意图;
图4为本发明所述实施例中的堆叠的动态监测模型的结构示意图;
图5为本发明所述实施例中的联合检测攻击方法流程示意图;
图6为本发明所述实施例中的使用的EEE 10generator 39bus电力系统;
图7为本发明所述实施例中的不同数量的总线时检测FDI攻击的准确度。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
本发明先对本实施例中用到的卷积神经网络和递归神经网络进行相应的解释和陈述,请参阅图1所示,其为卷积神经网络示意图,本领域人员可以理解的是,卷积神经网络,简称为CNN,是一类在处理图像和视屏信号方面很成功的神经网络,经常被用在实时视屏中识别对象和用于图像的样式转换。CNN是神经网络中最经典的形式,CNN通过对多个节点按层排列,使得信息只跟随输入到输出。通常使用三种主要类型的层来构建CNN:卷积层、池化层、全连接层。通过这种构建方式,CNN将原始输入的张量逐层转换为可被分类的最终输出。而且,每个卷积层和全连接层对输入的参数和激活函数进行转换,再利用梯度下降优化算法对CNN中的参数进行训练,使得CNN计算的输出与训练数据集的标签之间的损失最小化,其中输入的参量包括权重和偏置。
请参阅图2所示,其为双向网络结构示意图,本领域人员可以理解的是递归神经网络,英文简称为RNNs,是一组用以处理顺序数据的神经网络,与专门处理图像的卷积神经网络CNN相比,递归网络是专门处理时间序列值x(1),…,x(t)的一种网络,RNNs对于没有基于序列专门化的长序列是理想的。递归神经网络能够通过公式来定义隐藏单元的值,而且Schuster等人曾经提到了一个双向深度神经网络,通过在每个时间步长t上,双向RNN保持两个隐藏单元,一个用于前向传播,另一个用于后向传播。最终结果yt是通过合并两个隐藏单元的得分来产生的,h表示状态,xt表示时间t时刻输出的时间序列。而最常用的RNN属于长短时间记忆神经网络,即LSTM,不同于普通的单门RNN,LSTM在保持长时间依赖的同时也在保持短时间记忆方面表现突出,每个LSTM细胞包含三个门,分别是输入门i,输出门o,遗忘门f。
请参阅图3所示,其为本发明实施例的虚假数据注入攻击检测系统,所述攻击检测系统的检测机制是由静态检测器和基于深度学习的检测方法组成。静态检测器,其构建在动态检测器之外并与警报连接,用以接收第一输入源,所述第一输入源为实时检测,所述静态检测器与电力系统优化模块连接,用以实时对电力系统进行检测;动态检测器,其与警报连接,用以接收第一输入源和第二输入源,所述第一输入源为实时检测,所述第二输入源为网络包,所述网络包能够被指令捕获,用以识别FDI攻击的高水平时间序列特征;深度学习模型,其用以接收实时检测的数据信息并将所述深度学习模型的结果传输至所述动态检测器,通过将实时收集的测量数据支持离线训练,并在训练完成后更新预测模型。
具体而言,本发明实施例中,静态检测器可以是一个状态估计器或任一其他的FDI攻击检测器,它们是在动态检测器之外独立构建的。状态估计器是简称为SE,虚假数据注入简称为FDI。而动态检测器是接受两个输入源的,虽然数据级特征是显式的,但网络包被tcpdump指令捕获,并且每个网络包都包括包头和数据有效负载,具有定义NSL-KDD数据集的独特性,NSL-KDD数据集有41个特征,这些特征分为三类:基本特征、基于内容的特征和机遇流量的特征。一些特征的产生是基于一个固定的窗口,它会不断地保持这个窗口,一般固定窗口的默认时长是2秒。
具体而言,本发明实施例中,动态检测器是用于识别FDI攻击的高水平时间序列特征,本发明设置将时间序列方法包含两个基本机制:在线训练和在线检测。本发明实施例中,离线培训是基于历史度量进行的,可以通过外包给公共机器学习服务来实现。本领域人员可以理解的是,本发明所述实施例中的是假定电力系统物理状况不随时间变化的情况下,通过本实施例中的虚假数据注入攻击的动态检测系统将收集实时测量数据用以支持离线训练,并在训练完成后更新预测模型。
具体而言,本发明实施例中,在对虚假数据注入攻击中,一种方法是卡方检定。一旦检测到坏数据,有需要纠正或消除它们,以获得正确的状态。本领域人员可以理解的是,在卡方检定时,包括最大归一化残差和性能指标的假设,最大归一化残差的简称为LNR。
具体而言,本发明实施例中,所述性能指标表达如下,
其中,
是遵循卡方分布的,τ是预先设置的阈值,阈值从X2的分布中获取。
具体而言,本发明实施例中,如果性能指标
那么,坏数据将会被怀疑,而对于DC模型中,
传统的坏数据检测方法往往会降低到测量残差的l2-norm:
其中,z表示正确值,H表示转换系数,x表示分布的数据。
具体而言,本发明还提供了一种基于深度学习的智能电网虚假数据注入攻击的检测系统,将测量设备的母线电压幅值、角度和状态值共同表示为马尔科夫决策过程中的系统状态。本实施例中使用到递归模型,其中的决策不光取决于之前的一个状态,而且还取决于之前的n个状态,损失函数表达如下:
其中,
θ表示需要转换的参数,τ表示决定攻击是否开始的阈值,L代表损失函数,s表示时间序列t-1到t-1+n的状态,t表示时间序列。
请参阅图4所示,其为本发明实施例中的堆叠的动态监测模型,堆叠的动态监测模型输入的是时间序列电力系统数据,这些特征将被传递到LSTM网络去学习高维时序属性。从而将FDI攻击描述成一个二元分类问题,但在实际应用中,电力系数是高度不平衡的,因此,即使二值分类方法整体准确率高,但是也不可避免地会有召回率。然而,对于评估入侵检测系统,简称为IDS,召回率往往比准确率更重要,因为任何网络攻击都可能造成灾难性的后果。
具体而言,本发明实施例中,动态异常检测器接受时间序列能够表示为…,x(t-1),x(t),…,学习高维特征表示,然后使用这些特征来预测下一个数据点
而且还可以通过检验实际数据X(t)和预测数据
之间的相似性预测的数据点,用来分类X(t)是否异常。
具体而言,本发明实施例中,本发明通过将FDI攻击检测器与网络入侵检测系统相结合的框架,在当IDS依赖数据度量检测FDI攻击开始失败时,如果一个被捏造的注入数据来自一个合法的注入模型时,数据级别探测器可能无法判断当前网络是受到入侵,为了时序异常检测模型的整体性能,采用的联合攻击检测的方法。
请参阅图5所示,其为本发明实施例提出的联合检测攻击方法流程示意图,本发明通过直接连接输入向量将数据积信息和包级特征结合起来。但是,由于数据测量和网络数据包特征之间的维度差异很大,直接连接可能比之前提到的时间序列的方法有最小的改进。或者,在连接之前,每个层次特征都通过卷积神经网络进行变换。增加卷积神经网络的目的是为了均衡数据测量和包层次特征之间的维数,并使用梯度下降来学习权值。梯度下降本实施例中使用的是Adam算法。或者也可以使用深度学习框架。
请参阅图6所示,其为本发明实施例使用的EEE 10generator 39bus电力系统,在39号总线系统中,状态向量x∈R39,是由感应电压,感应电流和频率组成的个人线路。通过使用两台计算机模拟通信网络,其中一台计算机充当通过以太网收集数据度量的服务员。采样率设置为10Hz。FDI攻击是由中间人攻击者从客户端-服务端通信结构产生的,两个输入源是时间同步的,以实时实现同步输入。动态检测器配置了带有LSTM单元的三层双向RNN,并使用Pytorch进行训练。
具体而言,本发明实施例中,攻击者可以住人k尺度的随机数,它符合高斯分布,攻击向量a~N(0,0.5)。通过测试攻击向量得到实际测量的情况,大多数陷先进测器都无法探测到。而在本实施例中,攻击者试图注入一个预先收集的假的行程器生成事件,定义攻击能力为
其中n为总测量次数,在测试集的分类结果上评估动态FDI攻击检测框架的性能,在实施例中,通过训练一个训练周期为10的神经网络,,使损失函数Equation最小。通过采用60%/20%/20%的训练/验证/测试分割,用网格搜索确定最优的τ。
请参阅图7所示,其为本实施例中不同数量的总线时检测FDI攻击的准确度,即本发明所述系统的异常检测的结果,本发明通过检测方法机制对随机FDI攻击的检测准确率较高时可达到90%以上;而且,所述系统在跟踪功率低的,精确度较低。事实上,这可以通过合并一个SE检测器来解决,它在优先攻击力的情况下表现得很好。即本实施例中通过提出的两级检测方案是能够实现不同场景的高检测精度。对于目标FDI攻击,注入的数据流要从真实事件中仔细模拟,对于大多数SE坏数据检测器是不能考虑的。通过实验验证了动态特征和网络异常检测器集可以支持入侵检测系统,提高入侵检测性能。通过本实施例的试验可以在电力系统的早起阶段建立,不需要对电力系统进行全面的了解。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,包括,
静态检测器,其构建在动态检测器之外并与警报连接,用以接收第一输入源,所述第一输入源为实时检测,所述静态检测器与电力系统优化模块连接,用以实时对电力系统进行检测;
动态检测器,其与警报连接,用以接收第一输入源和第二输入源,所述第一输入源为实时检测,所述第二输入源为网络包,所述网络包能够被指令捕获,用以识别FDI攻击的高水平时间序列特征;
深度学习模型,其用以接收实时检测的数据信息并将所述深度学习模型的结果传输至所述动态检测器,通过将实时收集的测量数据支持离线训练,并在训练完成后更新预测模型。
2.根据权利要求1所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,在所述系统对虚假数据注入攻击时,通过卡方检定的方式对虚假数据注入攻击进行检定,所述卡方检定包括最大归一化残差和性能指标,所述性能指标表达如下,
其中,
是遵循卡方分布的,τ是预先设置的阈值,阈值从X2的分布中获取。
3.根据权利要求2所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,若性能指标
则坏数据将会被怀疑,而对于DC模型中,
传统的坏数据检测方法往往会降低到测量残差的l2-norm:
其中,z表示正确值,H表示转换系数,x表示分布的数据。
4.根据权利要求3所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,所述系统将测量设备的母线电压幅值、角度和状态值共同表示为马尔科夫决策过程中的状态,通过采用递归模型,状态的判定由之前的n个状态确定,递归模型中的损失函数表达如下,
其中,
θ表示需要转换的参数,τ表示决定攻击是否开始的阈值,L代表损失函数,s表示时间序列t-1到t-1+n的状态,t表示时间序列。
5.根据权利要求4所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,所述动态检测器的动态异常检测结果通过接受时间序列表示为…,x(t-1),x(t),…,学习高维特征表示,再通过所述时间序列表示特征来预测下一个数据点
将检验实际数据X(t)和预测数据
之间的相似性预测的数据点,用来分类X(t)是否异常。
6.根据权利要求5所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,在当IDS依赖数据度量检测FDI攻击开始失败时,若一个被捏造的注入数据来自一个合法的注入模型的情况下,数据级别探测器无法判断当前网络是受到入侵,通过采用的联合攻击检测的方法对电网虚假数据注入攻击进行检测。
7.根据权利要求6所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,所述联合攻击检测是通过直接连接输入向量将数据积信息和包级特征结合起来,在连接之前,每个层次特征都通过卷积神经网络进行变换,均衡数据测量和包层次特征之间的维数,并使用梯度下降学习权值。
8.根据权利要求7所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,所述网络包包括包头和数据有效负载,具有定义NSL-KDD数据集的独特性,所述NSL-KDD数据集有41个特征。
9.根据权利要求8所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,所述NSL-KDD数据集的41个特征包括三种类型,分别为基本特征、基于内容的特征和机遇流量的特征。
10.根据权利要求9所述的基于深度学习的智能电网虚假数据注入攻击的检测系统,其特征在于,所述时间序列特征包括在线训练和在线检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111123740.0A CN113992350A (zh) | 2021-09-24 | 2021-09-24 | 基于深度学习的智能电网虚假数据注入攻击的检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111123740.0A CN113992350A (zh) | 2021-09-24 | 2021-09-24 | 基于深度学习的智能电网虚假数据注入攻击的检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113992350A true CN113992350A (zh) | 2022-01-28 |
Family
ID=79736581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111123740.0A Pending CN113992350A (zh) | 2021-09-24 | 2021-09-24 | 基于深度学习的智能电网虚假数据注入攻击的检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992350A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115021954A (zh) * | 2022-04-19 | 2022-09-06 | 中国电子科技网络信息安全有限公司 | 基于深度自编码器的工控业务数据虚假注入攻击检测方法 |
| CN115118477A (zh) * | 2022-06-22 | 2022-09-27 | 四川数字经济产业发展研究院 | 一种基于深度强化学习的智能电网状态恢复方法及系统 |
| CN115225380A (zh) * | 2022-07-19 | 2022-10-21 | 浙江树人学院 | 一种网络化控制系统的状态估计方法 |
| CN115643059A (zh) * | 2022-10-11 | 2023-01-24 | 国网河北省电力有限公司电力科学研究院 | 基于深度学习的电力网络恶意攻击防护系统及其控制方法 |
| CN116405333A (zh) * | 2023-06-09 | 2023-07-07 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种安全高效的电力系统异常状态检测终端 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110035090A (zh) * | 2019-05-10 | 2019-07-19 | 燕山大学 | 一种智能电网虚假数据注入攻击检测方法 |
| CN110889111A (zh) * | 2019-10-23 | 2020-03-17 | 广东工业大学 | 一种基于深度置信网络的电网虚拟数据注入攻击的检测方法 |
| WO2020209918A2 (en) * | 2019-01-23 | 2020-10-15 | University Of North Dakota | Detection of cyber attacks targeting avionics systems |
| CN112560079A (zh) * | 2020-11-03 | 2021-03-26 | 浙江工业大学 | 一种基于深度信念网络和迁移学习的隐匿虚假数据注入攻击检测方法 |
-
2021
- 2021-09-24 CN CN202111123740.0A patent/CN113992350A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020209918A2 (en) * | 2019-01-23 | 2020-10-15 | University Of North Dakota | Detection of cyber attacks targeting avionics systems |
| CN110035090A (zh) * | 2019-05-10 | 2019-07-19 | 燕山大学 | 一种智能电网虚假数据注入攻击检测方法 |
| CN110889111A (zh) * | 2019-10-23 | 2020-03-17 | 广东工业大学 | 一种基于深度置信网络的电网虚拟数据注入攻击的检测方法 |
| CN112560079A (zh) * | 2020-11-03 | 2021-03-26 | 浙江工业大学 | 一种基于深度信念网络和迁移学习的隐匿虚假数据注入攻击检测方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115021954A (zh) * | 2022-04-19 | 2022-09-06 | 中国电子科技网络信息安全有限公司 | 基于深度自编码器的工控业务数据虚假注入攻击检测方法 |
| CN115118477A (zh) * | 2022-06-22 | 2022-09-27 | 四川数字经济产业发展研究院 | 一种基于深度强化学习的智能电网状态恢复方法及系统 |
| CN115118477B (zh) * | 2022-06-22 | 2024-05-24 | 四川数字经济产业发展研究院 | 一种基于深度强化学习的智能电网状态恢复方法及系统 |
| CN115225380A (zh) * | 2022-07-19 | 2022-10-21 | 浙江树人学院 | 一种网络化控制系统的状态估计方法 |
| CN115225380B (zh) * | 2022-07-19 | 2024-02-13 | 浙江树人学院 | 一种网络化控制系统的状态估计方法 |
| CN115643059A (zh) * | 2022-10-11 | 2023-01-24 | 国网河北省电力有限公司电力科学研究院 | 基于深度学习的电力网络恶意攻击防护系统及其控制方法 |
| CN115643059B (zh) * | 2022-10-11 | 2023-05-23 | 国网河北省电力有限公司电力科学研究院 | 基于深度学习的电力网络恶意攻击防护系统及其控制方法 |
| CN116405333A (zh) * | 2023-06-09 | 2023-07-07 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种安全高效的电力系统异常状态检测终端 |
| CN116405333B (zh) * | 2023-06-09 | 2023-08-25 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种安全高效的电力系统异常状态检测终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113992350A (zh) | 基于深度学习的智能电网虚假数据注入攻击的检测系统 | |
| Niu et al. | Dynamic detection of false data injection attack in smart grid using deep learning | |
| Wang et al. | KFRNN: An effective false data injection attack detection in smart grid based on Kalman filter and recurrent neural network | |
| Cheng et al. | Multi-scale LSTM model for BGP anomaly classification | |
| Vilalta et al. | Predicting rare events in temporal domains | |
| Liu et al. | Application of neural network in fault location of optical transport network | |
| CN116760742B (zh) | 基于多阶段混合时空融合的网络流量异常检测方法及系统 | |
| CN113242259B (zh) | 网络异常流量检测方法及装置 | |
| Thomas et al. | Improvement in intrusion detection with advances in sensor fusion | |
| CN109067773A (zh) | 一种基于神经网络的车载can网络入侵检测方法及系统 | |
| CN113015167B (zh) | 加密流量数据的检测方法、系统、电子装置和存储介质 | |
| CN112769869B (zh) | 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统 | |
| CN117407770A (zh) | 基于神经网络的高压开关柜故障模式分类及预测方法 | |
| Kummerow et al. | Cyber-physical data stream assessment incorporating Digital Twins in future power systems | |
| CN117014182A (zh) | 一种基于lstm的恶意流量检测方法及装置 | |
| CN110120836B (zh) | 一种多域光网络串扰攻击检测节点确定及定位方法 | |
| Khoei et al. | Densely connected neural networks for detecting denial of service attacks on smart grid network | |
| Paul et al. | A bagging mlp-based autoencoder for detection of false data injection attack in smart grid | |
| CN112437440A (zh) | 无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法 | |
| CN115632887A (zh) | 一种区块链网络异常数据检测方法、装置及设备 | |
| Wei et al. | Detecting anomaly data for IoT sensor networks | |
| Khoei et al. | ACapsule Q-learning based reinforcement model for intrusion detection system on smart grid | |
| CN116170187A (zh) | 一种基于cnn和lstm融合网络的工业互联网入侵监测方法 | |
| Yang et al. | Lightweight Fault Prediction Method for Edge Networks | |
| CN115278683A (zh) | 面向wsn的异常节点检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20240524 |