CN114386024A - 基于集成学习的电力内网终端设备异常攻击检测方法 - Google Patents

Abstract

本发明提供一种基于集成学习的电力内网终端设备异常攻击检测方法，包括以下步骤：基于PMU采集数据；确定各少数类样本待采样的样本数量，基于CIKS算法生成伪样本，加入到原始数据实现数据平衡处理；采用最大相关‑最小冗余算法对数据进行降维和去冗余处理；采用经焦点损失函数优化后的Lightgbm分类器对样本数据进行分类，得到对终端设备攻击的自动检测模型；利用自动检测模型对终端设备攻击影响下信息物理节点之间的数据交互风险进行评估。本发明以终端设备的异构数据，提升了对终端设备攻击的识别性能，提升终端设备预防攻击的能力。对故障位置进行及时预测，提升电网抗扰动能力，降低电力系统遭受的经济损失。

Description

基于集成学习的电力内网终端设备异常攻击检测方法

技术领域

本发明涉及电网数据处理技术领域，特别涉及一种基于集成学习的电力内网终端设备异常攻击检测方法。

背景技术

随着电网信息化的高速发展，电力内网终端逐渐呈现多源异构的特点，物理设备对通信系统的依赖增加了网络安全的挑战，特别是增加了电力内网系统遭受攻击的风险。继暂态因素之后，针对电力内网终端的攻击成了影响电力系统稳定运行的又一关键因素。和互联网领域的网络攻击不同，针对终端设备攻击的目的是引起大规模连锁故障，造成大范围的电力供应中断，给电力系统造成不可恢复性的危害。因此，对电力内网终端设备遭受攻击和故障做出快速、准确的检测，为制定合理的防御策略提供依据，是保障电力系统稳定运行的重要手段。

集成学习算法作为机器学习算法的重要分支，兼具检测效率和精度的优势，不需要进行复杂的时频域建模计算，且广域测量系统的部署为集成学习算法提供了大样本数据支持，因此集成学习算法对电力终端攻击检测具有一定的优势。然而在同一封闭系统的采样数据集下，攻击样本的不足为机器学习模型的训练精度带来了严重的挑战，少量的攻击样本造成了严重的数据不平衡，使检测模型对攻击和故障的识别的误报率上升。

当前电力内网终端设备异常攻击检测方法分为时间状态预测法、状态估计法以及机器学习检测法。

时间状态预测法如：基于非线性自回归神经网络的攻击检测方法，该方法在一定程度上使算法的复杂度有所降低，有效提升了攻击检测的实时性；两阶段状态预测方法预测脆弱节点的量测向量，根据预测值和真实值的阈值残差加攻击并实现对电力内网终端设备中脆弱节点的保护；短期预测方法对电力系统实时状态和测量数据一致性进行分析，解决了传统的检测器在处理决策边界问题方面的不足。时间状态预测法虽然提升了电力内网系统动态状态估计能力，然而电网因为非攻击因素发生暂态过程时，容易引起误报。

状态估计方法如：基于核密度估计的不良数据检测和校正方法，在识别攻击的基础上增加了错误数据的还原能力，提升了系统的弹性差错控制能力；基于遗传算法的特征提取方法，得到待检测数据的关键特征，结合欧几里得检测器，对状态估计数据中的异常值进行检测；采用欧式距离优化卡尔曼滤波器来检测，解决了传统的基于最小二乘法的状态估计方法无法识别攻击的弊端，并且该模型对降低噪声引起的误报率有显著效果。状态估计方法原理简单，且更加符合电力系统特性，识别速度快。但是检测阈值的设定带来一定的经验误差，精度偏低。

机器学习检测法如：改进遗传算法对状态估计数据进行特征选择，过滤掉冗余和无关特征，选取最优的低维特征组合代表数据代表原始数据空间，提升了攻击识别效率；基于极限学习机(Extreme learning machine,ELM)的One-Class-One-Networ(OCON)框架的识别攻击，该方法保证电力系统正常的状态估计；基于深度学习的交流系统攻击在线识别机制，采用小波变换提取历史数据的空间特性，构建递归神经网络实时识别潜在的安击事件。机器学习算法设计时避免了复杂的电力内网终端设备中时频域问题的求解，效率相对较高。但是传统的机器学习算法对数据质量依赖严重，样本数量不平衡对模型的训练精度影响较大。而深度学习算法严重依赖大样本的训练数据，且模型复杂度较高，训练速度偏低。

发明内容

本发明的目的是提供一种基于集成学习的电力内网终端设备异常攻击检测方法，可以解决现有技术中的深度学习算法容易引起误报，精度偏低，模型复杂度较高，效率偏低等一系列问题。

本发明的目的是通过以下技术方案实现的：

基于集成学习的电力内网终端设备异常攻击检测方法，包括以下步骤：

步骤S1、基于PMU采集数据；

步骤S2、确定各少数类样本待采样的样本数量，基于CIKS算法生成伪样本，加入到原始数据实现数据平衡处理；采用最大相关-最小冗余算法对数据进行降维和去冗余处理；

步骤S3、采用经焦点损失函数优化后的Lightgbm分类器对样本数据进行分类，得到对终端设备攻击的自动检测模型；

步骤S4、利用自动检测模型对终端设备攻击影响下信息物理节点之间的数据交互风险进行评估，基于加权平均法得出最终终端设备攻击识别模型的可靠性量化结果。

进一步的，所述步骤S2包括：

步骤S21、对少数类样本进行聚类；

步骤S22、挑选参与过采样的簇，确定参与过采样的簇后计算参与过采样的簇的采样权重，计算每个簇生成的伪样本数量；

步骤S23、针对确定的参与过采样的各个簇，依次执行过采样操作。

进一步的，所述步骤S22中确定采样权重的步骤包括：

步骤S221、对于每个簇f，计算得到少数类样本之间的欧氏距离矩阵；

步骤S222、将欧式距离矩阵的所有非对角元素相加，然后除以非对角元素的数量，计算每个簇的平均少数类样本距离；

步骤S223、将每个簇内的少数类样本数除以其平均少数类样本距离的m次幂，求取簇的密度；

步骤S224、计算稀疏因子：sparsity(f)＝1/density(f)；

步骤S225、每个簇的稀疏因子除以所有簇的稀疏因子之和得到该簇的采样权重。

进一步的，所述采样权重乘以要生成的样本总数，即为该簇中要生成的伪样本数量。

进一步的，所述步骤S23中依次执行过采样操作包括：在簇内随机选取一个样本，和该样本所在簇心执行线性插值操作，生成一个新样本，循环上述步骤，直到所有簇中的伪样本数量与步骤S22中计算的伪样本数量相同，结束过采样操作。

进一步的，所述经焦点损失函数优化后的Lightgbm分类器由若干棵决策树线性组合而成。

进一步的，所述Lightgbm分类器中的分类模型用公式表达为：

其中β_m代表第m棵决策树的线性组合系数，h(x；a_m)代表决策树模型。

进一步的，所述焦点损失函数用公式表达为：

其中p_i表示分类正确的概率，γ为超参数；y_i为数据的真实标签。

本发明的基于集成学习的电力内网终端设备异常攻击检测方法，以终端设备的异构数据，提升了对终端设备攻击的识别性能，提升终端设备预防攻击的能力。对故障位置进行及时预测，提升电网抗扰动能力，降低电力系统遭受的经济损失。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的基于集成学习的电力内网终端设备异常攻击检测方法的流程图；

图2为过采样操作示意图；

图3为利用梯度下降法来近似求解加法模型中的每一棵决策树的示意图；

图4为Lightgbm算法的关键改进策略示意图；

图5为验证本申请的物理电网拓扑图；

图6为采样前后样本统计；

图7为模型的分类报告示意图。

具体实施方式

下面结合附图对本公开实施例进行详细描述。

以下通过特定的具体实例说明本公开的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本公开的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

本发明的基于集成学习的电力内网终端设备异常攻击检测方法，包括以下步骤：

步骤S1、基于PMU采集数据。

主要包括正序电压电流、负序电压电流、零序电压电流等连续值采用平均值法填充缺失值。信息层数据包括继电器日志等离散数据，以时间为基准构建结构化的异构数据。

步骤S2、确定各少数类样本待采样的样本数量，然后基于CIKS算法生成伪样本，加入到原始数据实现数据平衡处理。采用最大相关-最小冗余算法对数据进行降维和去冗余处理。

进一步的，本申请提出中心插策略改进过采样算法对数据实现过采样处理，从而获取平衡化攻击数据。具体的，步骤S2包括：

步骤S21、对少数类样本进行聚类。

基于Kmeans聚类算法在少数类样本的空间内确定n个聚类中心，按照聚类中心位置将少数类样本聚类成n个簇。

步骤S22、挑选参与过采样的簇，挑选原则是包含少数类样本数量较多的几个簇参与过采样。确定参与过采样的簇后计算参与过采样的簇的采样权重，计算生成的伪样本数量。

采样权重决定簇内生成的伪样本数量，参与过采样的簇被赋予介于0和1之间的采样权重，少数类样本密度较低的簇分派高采样权重，并生成更多的伪样本。采样权重取决于单个簇的密度与所有选定簇的平均密度之比。

进一步的，确定采样权重的步骤如下：

步骤S221、对于每个滤波的簇f，计算得到少数类样本之间的欧氏距离矩阵。

步骤S222、将欧式距离矩阵的所有非对角元素相加，然后除以非对角元素的数量，计算每个簇的平均少数类样本距离。

步骤S223、将每个簇内的少数类样本数除以其平均少数类样本距离的m次幂，求取簇的密度，如公式(1)所示：

公式(1)中minorityCount(f)代表簇f内少数类样本数量，averageMinorityDistance()代表平均少数类样本距离求取方法。

步骤S224、计算稀疏因子sparsity(f)＝1/density(f)。

步骤S225、每个簇的稀疏因子除以所有簇的稀疏因子之和得到该簇的采样权重。

所有采样权重之和为1，根据这一特性，聚类的采样权重乘以要生成的样本总数，即为该簇中要生成的伪样本数量。

步骤S23、明确采样权重之后，针对滤波阶段确定的参与过采样的各个簇，依次执行过采样操作，过采样操作如图2所示，在簇内随机选取一个样本，和该样本所在簇心执行线性插值操作，生成一个新样本。循环上述步骤，直到所有簇中的伪样本数量与步骤S22中计算的伪样本数量相同，结束过采样操作。

步骤S3、采用经焦点损失函数优化后的Lightgbm分类器对样本数据进行分类，得到对终端设备攻击的自动检测模型。

梯度提升决策树(GBDT)是一种基于决策树的集成学习框架，GBDT利用梯度下降法来近似求解加法模型中的每一棵决策树，如图3所示。在每次迭代中,使新建的决策树都沿损失函数减少最快的方向--负梯度方向减少损失函数从而获得更高的预测精度，由每棵决策树组成的GBDT模型如公式(2)所示：

公式(2)中β_m代表第m棵决策树的线性组合系数，h(x；a_m)代表决策树模型。

随着数据量的几何增长，GDBT算法普遍存在容易过拟合，训练速度慢的缺点。Lightgbm在GBDT基础上做了改进，更有利于对终端设备攻击以及故障进行预测，关键改进策略如图4所示，Lightgbm算法的优势下所示:

(1)支持并行训练的机制，降低了训练时间。

(2)支持自定义损失函数，根据业务背景设定合理的损失函数迭代过程中不断修正误差，提升训练精度。

(3)深度生长策略控制模型复杂度，降低过拟合风险。

(4)直方图算法进行数据优化，减轻模型复杂度。

(5)自身支持基于信息增益的特征选择，必要时可进行特征选择。

为了提升算法在迭代过程中对上一次迭代过程中错分样本的关注，引入焦点损失函数对Lightgbm算法进行改进，使分类器在训练过程中调节对错分样本的关注程度，进而在下一次迭代中提升训练精度。

焦点损失(Focal Loss，FL)是交叉熵损失(Cross-Entropy Loss，CE)的改进版本，它通过为难以分类的对象，以及容易错误分类的示例分配更多的权重并对简单示例降低权重来处理类不平衡问题。焦点损失函数如公式(3)所示：

在Lightgbm迭代过程中，当一个样本被误分的时候，概率p_i的值很小，调节因子(1-p_i)接近1，损失不受影响；当一个样本被分类正确的概率p_i较大时，调节因子(1-p_i)接近于0，分类可能性大的样本的权重被降低了。y_i为数据的真实标签。超参数γ平滑地调节易分样本调低权重的比例。增大超参数γ可以增强调节因子的影响。调节因子减少了易分样本贡献，拓宽了样本受到损失的范围。由以上分析可知，焦点损失函数降低了易分样本的权重而增大了难分的易错样本的权重。因此在训练中更加关注错分样本的贡献，在数据分布不平衡引起的样本分类难度差异问题，可以进一步提高分类精度。经焦点损失函数优化后的Lightgbm算法，对攻击检测精度得到提升，模型性能更加稳定。

步骤S4、利用自动检测模型对终端设备攻击影响下信息物理节点之间的数据交互风险进行评估，基于加权平均法得出最终终端设备攻击识别模型的可靠性量化结果。

本发明结合集成学习技术设计一套电力内网终端设备攻击检测方法——CIKS-MFS-FLGB模型。快速地建立数据输入与输出间映射关系，并规避复杂时域方程求解，训练后的模型可以对电力内网系统实时的状态进行监控，及时检测潜在的攻击事件。

为了验证本发明的异常攻击检测方法的有益效果，下面结合具体试验数据加以说明：

本申请采用美国密西西比州开源数据辅助完成提出的异常攻击识别方法的性能验证。其中物理电网拓扑是一个二机三总线输电系统，具体的拓扑结构如图5所示。其中物理电网包含原件如下：P1和P2是两台三相发电机，R1-R4是4台电子设备，分别控制断路器BR1-BR4的通断。数据共包含五类场景，具体描述如下:

①电力系统正常运行或维护，不存在终端设备攻击和故障状态。

②故障：电力系统发生小电流接地故障。

③虚假数据注入攻击：攻击者篡改量数据并绕过残差检测机制的检验，使监测员失去对终端设备运行的正常控制。

④远程跳闸命令注入攻击：攻击者篡改断路器的控制信号，使断路器不能正常开通和关断。

⑤脆弱元件攻击：攻击者篡改继电器设置，使继电器不能在电力系统故障时断开。

数据共有128个特征，包括4个PMU采集的数据以及snort日志，每个PMU测量29个特征，剩余的12个特征是控制面板的日志信息。表1描述了数据特征的名称以及其物理意义，由于数据采集装置是四个PMU，每个PMU测量的指标名称相同，因此仅列出第一个PMU采集的数据特征。其中“R#-”中的“#”代表PMU代号的索引，例如“R1-PM1”代表PMU R1测量的电压幅值。

表1特征描述

特征	特征描述
		PA1:VH–PA3:VH	PhaseA–C Voltage Phase Angle
PM1:V–PM3:V	PhaseA–C Voltage Phase Magnitude
		PA4:IH–PA6:IH	PhaseA–C Current Phase Angle
PM4:I–PM6:I	PhaseA–C Current Phase Magnitude
		PA7:VH–PA9:VH	Pos.–Neg.–Zero Voltage Phase Angle
PM7:VH–PM9:VH	Pos.–Neg.–Zero Voltage Phase Magnitude
		PA10:VH–PA12:VH	Pos.–Neg.–Zero Current Phase Angle
PM10:V–PM12:V	Pos.–Neg.–Zero Current Phase Magnitude
		F	Frequency for relays
DF	Frequency Delta(df/dt)for relays
		PA:Z	Appearance Impedance for relays
PA:ZH	Appearance Impedance Angle for relays
		S	Status Flag for relays

1)过采样效果分析

假设15个数据子集依次在时间上存在连续性，即15个数据的整合满足时间序列特性的前提下，将15个子数据集纵向拼接，得到大样本数据集。经样本数量统计，大样本数据集仍然存在严重的失衡现象，经数据平衡化处理后，各类别样本数量如图6所示。

由图6分析，采样之前数据样本数量距离平均值水平线的距离更加散乱，数据平衡性较差，融入伪样本后，各类样本数量逐渐接近于平均样本数量水平线，由此可见各类样本数量逐渐接近于同一个数量级，即数据得到一定程度上平衡性得到增强。

2)攻击及故障检测性能分析

大样本条件下CIKS-MFS-FLGB方法的全局性能如表2所示，

表2整体性能对比

和传统的lightgbm分类器相比，CIKS-MFS-FLGB方法的整体Accuracy提升14.67％，整体精度提升15.67％，整体召回率提升18.46％，整体F1-Score提升16.63％。平均每个样本预测时间为3.5194毫秒，对终端设备攻击检测的响应速度十分迅速。整体来说，CIKS-MFS-FLGB模型大幅度提升了对终端设备攻击事件的检测精度，维护了电力内网终端设备侧的稳定性。为了详细展示模型的局部性能，绘制模型的分类报告如图7所示：

从图7中可以分析，CIKS-MFS-FLGB模型可以大幅度提升攻击的识别精度，具体表现在37类数据的总体准确率、总体召回率、总体精度和总体F1-Score的提升。另一方面，并没有某一类因为伪样本的加入导致精度下降。因此，CIKS算法得到的伪数据样本噪声含量很低，对预测结果的负面影响很小，生成的为样本可以更好地契合电力数据特性。

3)终端设备攻击检测性能分析

表3大样本条件下电力内网终端设备攻击检测性能

将分类报告中的数据进行进一步整理可得，在大样本条件下，CIKS-MFS-FLGB方法和经典的Lightgbm算法对终端设备攻击的识别性能对比如表3所示。其中，和传统的Lightgbm算法相比，CIKS-MFS-FLGB方法对终端设备高攻击的检测精度为93.85％，对远程跳闸命令注入攻击的识别精度为94.66％，对继电器延时设置更改攻击的检测精度为82.86％。分别提升了18.67％，19.93％，11.90％，对这三类攻击检测的F1-Score分别提升了22.92％，20.62％，11.10％。综合上述分析，CIKS-MFS-FLGB方法不仅大幅度提升了

攻击的检测精度，同时降低了误报率对模型稳定性的影响，使模型对终端设备攻击的检测性能更可靠。即在数据样本足够的条件下，CIKS-MFS-FLGB方法可以有效地检测各类攻击，提升电力系统运行的稳定性。

4)故障检测性能分析

将分类报告中的数据进行进一步整理可得，CIKS-MFS-FLGB方法对终端设备攻击影响下的故障检测结果如表4所示。CIKS-MFS-FLGB方法对故障的平均检测精度为93.92％，平均F1-Score为93.41％。CIKS-MFS-FLGB方法在区分各类故障原因的条件下，也实现了故障点的模糊定位，这更有利于操作人员在终端设备攻击发生后及时切除故障设别，避免或者减轻暂态过程带来的损失，实现电力内网终端设备的稳定，高效运行。

表4故障检测性能分析

以上仅为说明本发明的实施方式，并不用于限制本发明，对于本领域的技术人员来说，凡在本发明的精神和原则之内，不经过创造性劳动所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.基于集成学习的电力内网终端设备异常攻击检测方法，其特征在于，包括以下步骤：

步骤S1、基于PMU采集数据；

步骤S2、确定各少数类样本待采样的样本数量，基于CIKS算法生成伪样本，加入到原始数据实现数据平衡处理；采用最大相关-最小冗余算法对数据进行降维和去冗余处理；

步骤S3、采用经焦点损失函数优化后的Lightgbm分类器对样本数据进行分类，得到对终端设备攻击的自动检测模型；

步骤S4、利用自动检测模型对终端设备攻击影响下信息物理节点之间的数据交互风险进行评估，基于加权平均法得出最终终端设备攻击识别模型的可靠性量化结果。

2.根据权利要求1所述的基于集成学习的电力内网终端设备异常攻击检测方法，其特征在于，所述步骤S2包括：

步骤S21、对少数类样本进行聚类；

步骤S22、挑选参与过采样的簇，确定参与过采样的簇后计算参与过采样的簇的采样权重，计算每个簇生成的伪样本数量；

步骤S23、针对确定的参与过采样的各个簇，依次执行过采样操作。

3.根据权利要求2所述的基于集成学习的电力内网终端设备异常攻击检测方法，其特征在于，所述步骤S22中确定采样权重的步骤包括：

步骤S221、对于每个簇f，计算得到少数类样本之间的欧氏距离矩阵；

步骤S222、将欧式距离矩阵的所有非对角元素相加，然后除以非对角元素的数量，计算每个簇的平均少数类样本距离；

步骤S223、将每个簇内的少数类样本数除以其平均少数类样本距离的m次幂，求取簇的密度；

步骤S224、计算稀疏因子：sparsity(f)＝1/density(f)；

步骤S225、每个簇的稀疏因子除以所有簇的稀疏因子之和得到该簇的采样权重。

4.根据权利要求3所述的基于集成学习的电力内网终端设备异常攻击检测方法，其特征在于，所述采样权重乘以要生成的样本总数，即为该簇中要生成的伪样本数量。

5.根据权利要求2所述的基于集成学习的电力内网终端设备异常攻击检测方法，其特征在于，所述步骤S23中依次执行过采样操作包括：在簇内随机选取一个样本，和该样本所在簇心执行线性插值操作，生成一个新样本，循环上述步骤，直到所有簇中的伪样本数量与步骤S22中计算的伪样本数量相同，结束过采样操作。

6.根据权利要求1所述的基于集成学习的电力内网终端设备异常攻击检测方法，其特征在于，所述经焦点损失函数优化后的Lightgbm分类器由若干棵决策树线性组合而成。

7.根据权利要求6所述的基于集成学习的电力内网终端设备异常攻击检测方法，其特征在于，所述Lightgbm分类器中的分类模型用公式表达为：

其中β_m代表第m棵决策树的线性组合系数，h(x；a_m)代表决策树模型。

8.根据权利要求1所述的基于集成学习的电力内网终端设备异常攻击检测方法，其特征在于，所述焦点损失函数用公式表达为：

其中p_i表示分类正确的概率，γ为超参数；y_i为数据的真实标签。

Images