CN114239725B - 一种面向数据投毒攻击的窃电检测方法 - Google Patents

Abstract

本发明公开了一种面向数据投毒攻击的窃电检测方法，通过采集用户用电数据，并对用户用电数据进行预处理，得到预处理后的用户用电数据集；构建初始窃电检测模型，并利用预处理后的用户用电数据集训练窃电检测模型，得到窃电检测模型；并利用窃电检测模型检测待测数据，得到待测数据的检测结果，完成窃电检测；本发明通过构建窃电检测模型，利用长短时记忆网络、带注意力机制的多尺度卷积神经网络以及多层感知机网络完善用户用电数据的特征表达，并利用多样性计算法构建损失函数训练窃电检测模型，使窃电检测模型中长短时记忆网络、带注意力机制的多尺度卷积神经网络提取的特征更具差异化，且相互补充，提高模型系统的鲁棒性，更具泛化能力。

Description

一种面向数据投毒攻击的窃电检测方法

技术领域

本发明涉及窃电检测领域，具体涉及一种面向数据投毒攻击的窃电检测方法。

背景技术

窃电者通过非法手段减少电表记录其用电量的行为，会造成严重的经济损失且危害电网系统的正常运行。针对窃电问题，现有的一些数据驱动型窃电检测方法往往需要较多带标签的用电数据来训练窃电检测模型，并且隐含地假设了参与模型训练的用电数据是被正确标记的。然而，实际场景中，参与窃电检测模型训练的用户用电数据可能带有错误的标签；例如，一些研究者可能从网上收集了大量用户用电数据，但有些数据的来源并不能保证完全可靠，一些有非法意图的攻击者可能将异常用电数据标签篡改为正常的。此外，电力公司未检测出有窃电行为而实际存在窃电行为的用户，其用电数据可能会被认为是正常的用电数据而用于窃电检测模型的训练。对于这种使用了带有错误标签的用电数据训练窃电检测模型的情况，在窃电检测中被称之为遭受了数据投毒攻击，在数据投毒情况下，带有错误标签的数据被窃电检测模型使用后会混淆模型的决策边界，导致模型的检测性能下降。

发明内容

针对现有技术中的上述不足，本发明提供了一种面向数据投毒攻击的窃电检测方法，在遭受训练数据标签反转的数据投毒攻击下，降低数据投毒攻击的影响程度，并提供模型鲁棒性更高的窃电检测方法。

为了达到上述发明目的，本发明采用的技术方案为：

一种面向数据投毒攻击的窃电检测方法，包括以下步骤：

S1、采集用户用电数据，并对用户用电数据进行预处理，得到预处理后的用户用电数据集；

S2、构建初始的窃电检测模型，并利用多样性计算法结合预处理后的用户用电数据集训练窃电检测模型，得到窃电检测模型；

S3、利用窃电检测模型检测待测数据，得到待测数据的检测结果。

优选地，步骤S1具体包括以下分步骤：

S11、采集用户用电数据，并划分为训练数据集与测试数据集；

S12、利用过采样算法对训练数据集进行数据均衡处理，得到均衡后的训练数据集；

S13、对均衡后的训练数据集进行数据投毒，得到预处理后的用户用电数据集。

该优选方案具有以下有益效果：

对采集的用户数据进行预处理，增加后续的窃电检测模型提取数据特征的准确性。

优选地，步骤S2具体包括以下分步骤：

S21、构建长短时记忆网络，并利用长短时记忆网络提取预处理后的用户用电数据集的全局时序特征；

S22、构建带注意力机制的多尺度卷积神经网络，并利用带注意力机制的提取预处理后的用户用电数据集的局部时序特征；

S23、对全局时序特征与局部时序特征进行特征融合，得到融合后的时序特征；

S24、构建多层感知机网络，根据融合后的时序特征得到二分类概率；

S25、构建损失函数，迭代训练窃电检测模型。

该优选方案具有以下有益效果：

利用长短时记忆网络以及带注意力机制的多尺度卷积神经网络从用户用电数据提取全局时序特征和多尺度的局部时序特征，以获取用户用电数据更为完整的特征表达，提高检测的精准性，并利用多样性计算提升窃电检测模型的鲁棒性。

优选地，步骤S21具体为：

利用不少于2个LSTM层，堆叠构建得到长短时记忆网络，并利用构建的长短时记忆网络提取预处理后的用户用电数据集，得到全局时序特征，其全局时序特征提取过程的表达式表示为：

其中，

为第l个LSTM层的提取的全局时序特征，

为第l-1个LSTM层的提取的全局时序特征，LSTM(.)为LSTM层运算。

该优选方案具有以下有益效果：

构建长短时记忆网络从用户用电数据提取全局时序特征，以获取用户用电数据更为完整的特征表达，帮助提升窃电检测模型的检测性能。

优选地，步骤S22具体包括以下分步骤：

S221、构建多尺度的一维卷积模块，提取预处理后的用户用电数据集中不同尺度的输出特征；

S222、拼接不同尺度的一维卷积模块，并根据拼接的不同尺度的输出特征，得到多尺度的初始局部时序特征；

S223、构建注意力机制网络，并利用注意力机制网络对初始局部时序特征进行权重分配。

该优选方案具有以下有益效果：

构建带有注意力机制的多尺度卷积神经网络，从用户用电数据中提取多尺度的局部特征，以从不同角度反映用户的用电特征，帮助提升模型的检测性能。

优选地，步骤S221具体包括以下分步骤：

A1、利用不少于2层的卷积层提取预处理后的用户用电数据集的输出特征，得到初始输出特征，其初始输出特征的表达式表示为：

其中，

为第i个一维卷积模块中第l个卷积层的初始输出特征，Conv1d为一维卷积运算，

为第i-1个一维卷积模块中第l-1个卷积层的初始输出特征；

A2、在各卷积层中最后一个卷积模块后添加池化层，得到一维卷积模块，并利用池化层对初始输出特征进行全局池化，得到不同尺度的输出特征，其全局池化的表达式表示为：

其中，f_p,i为第i个一维卷积模块中池化层输出特征，Pooling为全局池化运算。

该优选方案具有以下有益效果：

构建不同尺度的卷积模块，利用不同尺度的卷积模块从用户用电数据中初步提取不同尺度的局部时序特征，帮助后续获取更完整的多尺度局部时序特征。

优选地，步骤S223具体包括以下分步骤：

B1、构建池化层，并对初始局部时序特征进行全局池化，得到池化后特征；

B2、构建不少于两层全连接层，并学习池化后特征各尺度的权重，表示为：

Z_s＝σ(W₂δ(W₁Z_p))

其中，Z_s为池化后特征各尺度的权重，σ为Sigmoid函数，W₁为第一全连接层的权重，W₂为第二全连接层的权重，δ为Relu函数，Z_p为池化后特征；

B3、利用权重对多尺度的初始局部时序特征进行加权，得到加权后的局部时序特征；

B4、对加权后的局部时序特征进行展平操作，得到预处理后的用户用电数据集的局部时序特征。

该优选方案具有以下有益效果：

构建注意力模块，为初步提取的多尺度局部时序特征分配不同的权重，以突出重要的特征，抑制不重要的特征，获取更完整的特征表达。

优选地，步骤S24具体为：

通过不少于2个的全连接层构建多层感知机网络，利用全连接层对融合后的时序特征进行学习，得到用于判断输入样本为正常用电数据还是异常用电数据的二分类概率，其二分类概率计算式表示为：

y′＝Softmax(δ(W^lu^l-1+b^l))

其中，y′为输入样本的二分类概率值，δ为Relu激活函数，W^l、b^l分别为第l层全连接的权重和偏置；u^l为多层感知机网络中第l个全连接层的输出。

该优选方案具有以下有益效果：

构建多层感知机网络，对融合后的全局时序特征和局部时序特征进行进一步学习，充分学习到用户的用电模式，最终输出更准确的判定结果。

优选地，步骤S25具体为：

利用多样性计算法结合长短时记忆网络以及多尺度卷积神经网络构建的输出多样性，与窃电检测模型的主损失计算得到损失函数，对窃电检测模型进行迭代训练，其中，利用多样性计算法结合长短时记忆网络以及多尺度卷积神经网络得到输出多样性的计算式表示为：

L_r＝L_p-(βL_h+γL_e)

其中，L_r为由长短时记忆网络以及多尺度卷积神经网络构建的输出多样性的参数值，L_p为长短时记忆网络和多尺度卷积神经网络输出的带权交叉熵误差，β，γ分别为超参数，L_h为对短时记忆网络和多尺度卷积神经网络输出的香农熵计算结果，L_e为多样性度量。

该优选方案具有以下有益效果：

在窃电检测模型训练过程中加入对长短时记忆网络以及多尺度卷积神经网络的多样性计算，使得两个提取模块的特征更具差异化，使之互为补充，来帮助提升窃电检测模型的鲁棒性。

优选地，步骤S3具体为：

利用窃电检测模型检测待测数据，得到待测数据的二分类概率，选择最大二分类概率所对应的类别作为最终的待测数据样本类别。

该优选方案具有以下有益效果：

选择窃电检测模型输出的二分类概率中最大的类别作为模型判定的类别，以获取更准确的检测结果。

本发明具有以下有益效果：

通过采集用户用电数据，并对用户用电数据进行预处理，得到预处理后的用户用电数据集；构建初始窃电检测模型，并利用预处理后的用户用电数据集训练窃电检测模型，得到窃电检测模型，利用长短时记忆网络、带注意力机制的多尺度卷积神经网络以及多层感知机网络构建窃电检测模型，完善用户用电数据的特征表达；并利用多样性计算法构建损失函数训练窃电检测模型，使窃电检测模型中长短时记忆网络、带注意力机制的多尺度卷积神经网络提取的特征更具差异化，且相互补充，提高模型系统的鲁棒性，更具泛化能力；并利用窃电检测模型检测待测数据，得到待测数据的检测结果，完成窃电检测，使检测数据更加准确。

附图说明

图1为本发明提供的一种面向数据投毒攻击的窃电检测方法的步骤流程图；

图2为步骤S1的分步骤流程图；

图3为步骤S2的分步骤流程图；

图4为本发明实施例提供的一种面向数据投毒攻击的窃电检测模型的结构示意图；

图5为步骤S22的分步骤流程图；

图6为步骤S221的分步骤流程图；

图7为步骤S223的分步骤流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

如图1所示，本发明实施例提供一种面向数据投毒攻击的窃电检测方法，包括以下步骤：

S1、采集用户用电数据，并对用户用电数据进行预处理，得到预处理后的用户用电数据集；

优选地，如图2所示，步骤S1具体包括以下分步骤：

S11、采集用户用电数据，并划分为训练数据集与测试数据集；

可选的，采集用户正常用电数据，并将用户正常用电数据按天划分为正常用电样本，并根据正常用电样本生成异常用电样本，即利用多种窃电类型对用户正常用电数据进行数据篡改，合并用户正常用电样本与异常用电样本得到用户用电数据，并划分为训练数据集与测试数据集。

S12、利用过采样算法对训练数据集进行数据均衡处理，得到均衡后的训练数据集；

可选的，本发明实施中采用ADASYN算法作为过采样算法对训练数据集进行样本均衡。

S13、对均衡后的训练数据集进行数据投毒，得到预处理后的用户用电数据集。

可选的，将训练数据集中异常用电样本的标签反转为正常用电样本的标签。

S2、构建初始的窃电检测模型，并利用多样性计算法结合预处理后的用户用电数据集训练窃电检测模型，得到窃电检测模型；

优选地，如图3、图4所示，步骤S2具体包括以下分步骤：

S21、构建长短时记忆网络，并利用长短时记忆网络提取预处理后的用户用电数据集的全局时序特征；

优选地，步骤S21具体为：

利用不少于2个LSTM层，堆叠构建得到长短时记忆网络，并利用构建的长短时记忆网络提取预处理后的用户用电数据集，得到全局时序特征，其全局时序特征提取过程的表达式表示为：

其中，

为第l个LSTM层的提取的全局时序特征，

为第l-1个LSTM层的提取的全局时序特征，LSTM(.)为LSTM层运算。

可选的，各LSTM层中每一个时间步对应一个LSTM单元，而各个LSTM单元对应三个输入：当前时刻输入v_t，上一时刻的状态c_t-1，上一个单元的输出h_t-1，两个输出：当前时刻的状态c_t，当前单元的输出h_t，其具体计算公式如下：

其中，σ为Sigmoid函数，⊙为对应元素相乘，

为第l-1个LSTM层当前时刻输入，

为第l-1个LSTM层上一时刻的状态，

为第l个LSTM层的上一个单元的输出；

为第l个LSTM层的当前时刻的状态，

为第l个LSTM层的当前时刻的输出，

为第l个LSTM层中当前时刻的输出，

为第l个LSTM层当前时刻的候选向量，

为第l个LSTM层中当前时刻遗忘门的输出，

为第l个LSTM层中当前时刻输入门的输出，

和

为第l个LSTM层中当前时刻输入门的权重，

和

为第l个LSTM层中当前时刻输出门的权重。

可选的，长短时记忆网络由多个堆叠的LSTM层构成，用于完成用户用电数据的全局时序特征的提取。

S22、构建带注意力机制的多尺度卷积神经网络，并利用带注意力机制的提取预处理后的用户用电数据集的局部时序特征；

可选的，本发明实施例中多尺度卷积神经网络MCNN-A主要由并联的多个不同尺度的一维卷积模块与注意力模块构成，其中每个一维卷积模块由堆叠的三个卷积层与池化层构成，预处理后的用户用电数据集首先通过多个不同尺度的一维卷积模块的卷积层进行卷积计算，然后将卷积层提取的特征送入池化层，按照通道方向进行全局池化；池化层提取的特征进行拼接则得到初步提取的多尺度的局部时序特征。

优选地，如图5所示，步骤S22具体包括以下分步骤：

S221、构建多尺度的一维卷积模块，提取预处理后的用户用电数据集中不同尺度的输出特征；

优选地，如图6所示，骤S221具体包括以下分步骤：

A1、利用不少于2层的卷积层提取预处理后的用户用电数据集的输出特征，得到初始输出特征，其初始输出特征的表达式表示为：

其中，

为第i个一维卷积模块中第l个卷积层的初始输出特征，Conv1d为一维卷积运算，

为第i-1个一维卷积模块中第l-1个卷积层的初始输出特征；

A2、在各卷积层中最后一个卷积模块后添加池化层，得到一维卷积模块，并利用池化层对初始输出特征进行全局池化，得到不同尺度的输出特征，其全局池化的表达式表示为：

其中，f_p,i为第i个一维卷积模块中池化层输出特征，Pooling为全局池化运算。

S222、拼接不同尺度的一维卷积模块，并根据拼接的不同尺度的输出特征，得到多尺度的初始局部时序特征；

可选的，不同尺度的输出特征的拼接过程计算式，可表示为：

Z_c＝Concat(f_p,0,...,f_p,i)

其中，Z_c为初始局部时序特征。

S223、构建注意力机制网络，并利用注意力机制网络对初始局部时序特征进行权重分配。

可选的，构建注意力机制网络，对初始局部时序特征Z_c进行全局平均池化，得到池化后特征Z_p，其维度为N*1，N为并联的不同尺度的一维卷积模块数量，池化后特征表示为：Z_p＝Pooling(Z_c)。

优选地，如图7所示，步骤S223具体包括以下分步骤：

B1、构建池化层，并对初始局部时序特征进行全局池化，得到池化后特征；

B2、构建不少于两层全连接层，并学习池化后特征各尺度的权重，表示为：

Z_s＝σ(W₂δ(W₁Z_p))

其中，Z_s为池化后特征各尺度的权重，σ为Sigmoid函数，W₁为第一全连接层的权重，W₂为第二全连接层的权重，δ为Relu函数，Z_p为池化后特征；

B3、利用权重对多尺度的初始局部时序特征进行加权，得到加权后的局部时序特征；

可选的，加权后的局部时序特征Z_scale可表示为：Z_scale＝Z_sZ_c。

B4、对加权后的局部时序特征进行展平操作，得到预处理后的用户用电数据集的局部时序特征。

S23、对全局时序特征与局部时序特征进行特征融合，得到融合后的时序特征；

S24、构建多层感知机网络，根据融合后的时序特征得到二分类概率；

优选地，步骤S24具体为：

通过不少于2个的全连接层构建多层感知机网络，利用全连接层对融合后的时序特征进行学习，得到用于判断输入样本为正常用电数据还是异常用电数据的二分类概率，其二分类概率计算式表示为：

y′＝Softmax(δ(W^lu^l-1+b^l))

其中，y′为输入样本的二分类概率值，δ为Relu激活函数，W^l、b^l分别为第l层全连接的权重和偏置；u^l为多层感知机网络中第l个全连接层的输出。

S25、构建损失函数，迭代训练窃电检测模型。

优选地，步骤S25具体为：

利用多样性计算法结合长短时记忆网络以及多尺度卷积神经网络构建的输出多样性，与窃电检测模型的主损失计算得到损失函数，对窃电检测模型进行迭代训练，其中，利用多样性计算法结合长短时记忆网络以及多尺度卷积神经网络得到输出多样性的计算式表示为：

L_r＝L_p-(βL_h+γL_e)

其中，L_r为由长短时记忆网络以及多尺度卷积神经网络构建的输出多样性的参数值，L_p为长短时记忆网络和多尺度卷积神经网络输出的交叉熵误差，β，γ分别为超参数，L_h为对短时记忆网络和多尺度卷积神经网络输出的香农熵计算结果，L_e为多样性度量。

可选的，如图4所示，本发明实施例中通过窃电检测模型的主损失与由长短时记忆网络以及多尺度卷积神经网络构建的输出多样性共同构建损失函数，损失函数计算式可表示为：L＝L_m+L_r；

其中，L_m为窃电检测模型的主损失，表示为：L_m＝CE(y,y′)，y’为窃电检测模型输出概率，y为数据样本的实际标签，CE为交叉熵函数；

L_r为由长短时记忆网络以及多尺度卷积神经网络构建的输出多样性的参数值，表示为：L_r＝L_p-(βL_h+γL_e)；L_p为短时记忆网络LSTM和多尺度卷积神经网络MCNN-A输出的交叉熵误差，计算式表示为：L_p＝α[CE(y,y′₁)+CE(y,y′₂)]，y′₁为长短时记忆网络LSTM输出概率，y′₂为多尺度卷积神经网络MCNN-A输出概率，α为权重系数；β，γ分别为超参数，L_h为对短时记忆网络LSTM和多尺度卷积神经网络MCNN-A输出的香农熵计算结果，计算式表示为：

H为香农熵计算函数，L_e为多样性度量，计算式表示为：

det为行列式计算，log为对数函数，M_\y为短时记忆网络LSTM和多尺度卷积神经网络MCNN-A输出的非最大预测组合得到的向量，

为非最大预测组合得到的向量M_\y的转置。

S3、利用窃电检测模型检测待测数据，得到待测数据的检测结果。

优选地，步骤S3具体为：

利用窃电检测模型检测待测数据，得到待测数据的二分类概率，选择最大二分类概率所对应的类别作为最终的待测数据样本类别。

可选的，对于正常用户样本，其标签使用(0,1)表示，对于异常用户样本，其标签使用(1,0)表示，选择最大二分类概率所对应的类别作为最终的待测数据样本类别，例如，窃电检测模型对某条样本输出的二分类概率为(0.2,0.8)，则该样本被判别为正常类别，若输出的二分类概率为(0.6,0.4)，则该样本被判别为异常类别。

本发明实施例提供对比实验，通过多种评估指标，即：检测率(Detction Rate，DR)，误报率(False Postive Rate，FPR)，检测率和误报率的最大差值(HighestDifference，HD)，准确率(Accuracy，ACC)，进行实验数据比对，其实验结果如表1所示；

表1

如表1所示，虽然各个窃电检测方法的整体性能在数据投毒攻击情况下有所下降，具体来说，从没有数据投毒攻击到30％比例的数据投毒攻击，和性能较好的序列组合方法以及XGBoost方法相比，本发明所提供的方法中检测率DR仅下降了3.27％，误报率的最大差值HD仅下降了1.06％，准确率ACC仅下降了2.48％，而对应的序列组合方法则下降了4.9％、2.23％和3.82％，XGBoost方法则下降了14.7％，10.15％和11.95％，本发明所提供的面向数据投毒攻击的窃电检测方法的整体性能下降幅度较小，具有更高的鲁棒性。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。

Claims (8)

1.一种面向数据投毒攻击的窃电检测方法，其特征在于，包括以下步骤：

S1、采集用户用电数据，并对用户用电数据进行预处理，得到预处理后的用户用电数据集；

S2、构建初始的窃电检测模型，并利用多样性计算法结合预处理后的用户用电数据集训练窃电检测模型，得到窃电检测模型；具体包括以下分步骤：

S21、构建长短时记忆网络，并利用长短时记忆网络提取预处理后的用户用电数据集的全局时序特征；

S22、构建带注意力机制的多尺度卷积神经网络，并利用带注意力机制的多尺度卷积神经网络提取预处理后的用户用电数据集的局部时序特征；

S23、对全局时序特征与局部时序特征进行特征融合，得到融合后的时序特征；

S24、构建多层感知机网络，根据融合后的时序特征得到二分类概率；

S25、利用多样性计算法构建损失函数，迭代训练窃电检测模型；具体为：

利用多样性计算法结合长短时记忆网络以及多尺度卷积神经网络构建的输出多样性，与窃电检测模型的主损失计算得到损失函数，对窃电检测模型进行迭代训练，其中，利用多样性计算法结合长短时记忆网络以及多尺度卷积神经网络得到输出多样性的计算式表示为：

L_r＝L_p-(βL_h+γL_e)

其中，L_r为由长短时记忆网络以及多尺度卷积神经网络构建的输出多样性的参数值，L_p为长短时记忆网络和多尺度卷积神经网络输出的带权交叉熵误差，β，γ分别为超参数，L_h为对短时记忆网络和多尺度卷积神经网络输出的香农熵计算结果，L_e为多样性度量；

S3、利用窃电检测模型检测待测数据，得到待测数据的检测结果。

2.根据权利要求1所述的面向数据投毒攻击的窃电检测方法，其特征在于，步骤S1具体包括以下分步骤：

S11、采集用户用电数据，并划分为训练数据集与测试数据集；

S12、利用过采样算法对训练数据集进行数据均衡处理，得到均衡后的训练数据集；

S13、对均衡后的训练数据集进行数据投毒，得到预处理后的用户用电数据集。

3.根据权利要求1所述的面向数据投毒攻击的窃电检测方法，其特征在于，步骤S21具体为：

利用不少于2个LSTM层，堆叠构建得到长短时记忆网络，并利用构建的长短时记忆网络提取预处理后的用户用电数据集，得到全局时序特征，其全局时序特征提取过程的表达式表示为：

其中，

为第l个LSTM层的提取的全局时序特征，

为第l-1个LSTM层的提取的全局时序特征，LSTM(.)为LSTM层运算。

4.根据权利要求1所述的面向数据投毒攻击的窃电检测方法，其特征在于，步骤S22具体包括以下分步骤：

S221、构建多尺度的一维卷积模块，提取预处理后的用户用电数据集中不同尺度的输出特征；

S222、拼接不同尺度的一维卷积模块，并根据拼接的不同尺度的输出特征，得到多尺度的初始局部时序特征；

S223、构建注意力机制网络，并利用注意力机制网络对初始局部时序特征进行权重分配。

5.根据权利要求4所述的面向数据投毒攻击的窃电检测方法，其特征在于，步骤S221具体包括以下分步骤：

A1、利用不少于2层的卷积层提取预处理后的用户用电数据集的输出特征，得到初始输出特征，其初始输出特征的表达式表示为：

其中，

为第i个一维卷积模块中第l个卷积层的初始输出特征，Conv1d为一维卷积运算，

为第i个一维卷积模块中第l-1个卷积层的初始输出特征；

A2、在各卷积层中最后一个卷积模块后添加池化层，得到一维卷积模块，并利用池化层对初始输出特征进行全局池化，得到不同尺度的输出特征，其全局池化的表达式表示为：

其中，f_p,i为第i个一维卷积模块中池化层输出特征，Pooling为全局池化运算。

6.根据权利要求4所述的面向数据投毒攻击的窃电检测方法，其特征在于，步骤S223具体包括以下分步骤：

B1、构建池化层，并对初始局部时序特征进行全局池化，得到池化后特征；

B2、构建不少于两层全连接层，并学习池化后特征各尺度的权重，表示为：

Z_s＝σ(W₂δ(W₁Z_p))

其中，Z_s为池化后特征各尺度的权重，σ为Sigmoid函数，W₁为第一全连接层的权重，W₂为第二全连接层的权重，δ为Relu函数，Z_p为池化后特征；

B3、利用权重对多尺度的初始局部时序特征进行加权，得到加权后的局部时序特征；

B4、对加权后的局部时序特征进行展平操作，得到预处理后的用户用电数据集的局部时序特征。

7.根据权利要求1所述的面向数据投毒攻击的窃电检测方法，其特征在于，步骤S24具体为：

通过不少于2个的全连接层构建多层感知机网络，利用全连接层对融合后的时序特征进行学习，得到用于判断输入样本为正常用电数据还是异常用电数据的二分类概率，其二分类概率计算式表示为：

y′＝Softmax(δ(W^lu^l+b^l))

其中，y′为输入样本的二分类概率值，δ为Relu激活函数，W^l、b^l分别为第l层全连接的权重和偏置；u^l为多层感知机网络中第l个全连接层的输出。

8.根据权利要求1所述的面向数据投毒攻击的窃电检测方法，其特征在于，步骤S3具体为：

利用窃电检测模型检测待测数据，得到待测数据的二分类概率，选择最大二分类概率所对应的类别作为最终的待测数据样本类别。

Images