CN114997804A

CN114997804A - 复杂配电网信息物理系统运行状态协同感知方法和系统

Info

Publication number: CN114997804A
Application number: CN202110230875.0A
Authority: CN
Inventors: 张怀天; 刘科研; 盛万兴; 梁英; 孟晓丽; 叶学顺; 白牧可; 康田园
Original assignee: State Grid Corp of China SGCC; China Electric Power Research Institute Co Ltd CEPRI
Current assignee: State Grid Corp of China SGCC; China Electric Power Research Institute Co Ltd CEPRI
Priority date: 2021-03-02
Filing date: 2021-03-02
Publication date: 2022-09-02

Abstract

本发明提供了一种复杂配电网信息物理系统运行状态协同感知方法和系统，包括：步骤a.对电网的物理侧进行运行状态感知，若电网的物理侧的运行状态异常，则执行步骤b，否则重复步骤a；步骤b.判断电网的物理侧恶意攻击指标是否越限，若是，则执行步骤c，否则发出电网的物理侧运行状态异常告警；步骤c.判断电网的信息侧异常度指标是否越限，若是，则执行步骤d，否则发出电网的物理侧运行状态异常告警；步骤d.计算电网的物理异常度和信息异常度，并将所述物理异常度和信息异常度进行数据融合，根据数据融合的结果进行故障定位；本发明能够同时反映信息系统和物理系统间状态交互影响和时空映射关系；避免误报和漏报，有利于及时定位风险源头。

Description

复杂配电网信息物理系统运行状态协同感知方法和系统

技术领域

本发明属于配电网运行控制技术领域，具体涉及一种复杂配电网信息物理系统运行状态协同感知方法和系统。

背景技术

在配电网领域，通过“信息化、自动化、互动化”智能配电网建设和改造工作，进一步加强了配电网对信息控制系统的依赖性，配电网、信息通信网相互耦合、紧密联系，具备了典型信息物理系统的基本特征，成为配电网信息物理融合系统。配电网的安全运行是整个电网安全运行重要的一环，是目前提高供电系统运行水平的关键环节。

传统配电网风险评估侧重于从宏观层面建立风险评估及预警体系或是基于概率统计的方法进行配电网风险评估，虽然能反映配电网总体风险水平，但易产生误报和漏报，得到的预警结果不能为运行人员发现、找出风险原因和风险源头提供依据，对风险预防控制措施的制定具有局限性。且复杂配电网信息物理系统运行状态协同感知中，强调物理系统和信息系统的协同，而传统电网态势感知，在原始数据的获取方面，不能同时获取信息侧和物理侧的运行状态数据；在态势感知建模方面，不能考虑信息系统和物理系统间状态的交互影响和时空的映射关系；在感知结果方面，不能同时反映信息侧和物理侧的运行状态。目前的复杂配电网信息物理系统运行状态协同感知方面存在迫切需求。

发明内容

为克服上述现有技术的不足，本发明提出一种复杂配电网信息物理系统运行状态协同感知方法，包括：

步骤a.对电网的物理侧进行运行状态感知，若电网的物理侧的运行状态异常，则执行步骤b，否则重复步骤a；

步骤b.判断电网的物理侧恶意攻击指标是否越限，若是，则执行步骤c，否则发出电网的物理侧运行状态异常告警；

步骤c.判断电网的信息侧异常度指标是否越限，若是，则执行步骤d，否则发出电网的物理侧运行状态异常告警；

步骤d.计算电网的物理异常度和信息异常度，并将所述物理异常度和信息异常度进行数据融合，根据数据融合的结果进行故障定位。

优选的，所述对电网的物理侧进行运行状态感知，包括：

获取电网的各运行特性指标的值；

基于各电网的各运行特性指标的值以及预设电网的各运行特性指标的风险区间判断电网运行状态是否异常；

其中，所述电网的各运行特性指标包括：电网内主变压器重载比例、主变压器过载比例、主变压器轻载比例、配电变压器重载比例、配电变压器过载比例、配电变压器轻载比例、10kV线路重载比例、10kV线路过载比例、10kV线路轻载比例、主变10kV母线电压不合格比例、台区关口电压不合格比例、低压用户电压不合格比例、配电变压器轻微三相不平衡比例和配电变压器严重三相不平衡比例。

优选的，所述判断电网的物理侧恶意攻击指标是否越限，包括：

根据电网的物理侧恶意攻击指标的值和设定的电网的物理侧恶意攻击类指标阈值，判断电网的物理侧恶意攻击指标是否越限；

所述电网的物理侧恶意攻击指标包括：负荷突变严重度、供电能力突变严重度和控制偏差率。

优选的，所述判断电网的信息侧异常度指标是否越限，包括：

获取电网的信息侧异常度指标的值；

根据所述电网的信息侧异常度指标的值和设定的电网的信息侧异常度指标阈值，判断电网的信息侧异常度指标是否越限；

所述电网的信息侧异常度指标包括CPU重载比例、CPU过载比例、CPU轻载比例、内存使用率重载比例、内存使用率过载比例、内存使用率轻载比例、磁盘重载比例、磁盘过载比例、磁盘轻载比例、漏洞事件数量和攻击事件数量。

优选的，所述计算电网中的物理异常度和信息异常度，并将所述物理异常度和信息异常度进行数据融合，包括：

在电网的信息侧提取入侵检测得到的报警时间、源IP地址、目的IP地址和报警事件的第一威胁度，并根据报警时间、源IP地址、目的IP地址和报警事件的第一威胁度计算信息异常度；

在电网的物理侧提取状态量和量测量，并根据所述状态量和量测量计算物理异常度；

根据所述信息异常度和物理异常度计算综合异常度作为数据融合的结果；

其中，所述量测量包括：电网中各支路功率和支路上的节点注入功率；所述状态量包括：电网中各节点电压幅值和相角。

优选的，所述信息异常度，按下式计算：

式中：C_i为线路i处的信息异常度，W_y为来自地址IP_y的总报警威胁度，IP_y为线路i处的第y个网络设备的地址，s为线路i处的网络设备集合，y∈s；

其中，来自地址IPy的威胁度W_y，按下式计算：

式中：λ为加权滑动平均的遗忘因子，W’_y为上一次采样计算得到的地址IP_y的威胁度，β_y,j为报警事件a_y,j的影响随着时间变化的衰减因子，

为报警事件a_y,j的第二威胁度的数据规范化处理后的值，其中，第一次采样计算得到IP_y的威胁度的上一次为预设常数，a_y,j为来自地址IP_y的第j个报警事件，1≤j≤u_j，u_j为来自地址IP_y的报警事件数；

其中，所述报警事件a_y,j的影响随着时间变化的衰减因子β_y,j，按下式计算：

式中：t为取样时刻，t_y,j为采样时间窗内报警事件a_y,j的发生时刻；

所述报警事件a_y,j的第二威胁度的数据规范化处理后的值

按下式计算：

式中：ω_y,j为报警事件a_y,j的第二威胁度；

其中，报警事件a_y,j的第二威胁度ω_y,j，按下式计算：

式中：q_y,j为报警事件a_y,j的第一威胁度，v为采样时间窗内报警事件的源IP地址和目的IP地址数量总和。

优选的，所述物理异常度，按下式计算：

P_i＝r_N,i

式中：P_i为线路i处的物理异常度，r_N,i为线路i处量测量的标准化残差；

其中，线路i处量测量的标准化残差r_N,i，按下式计算：

式中：D_i＝diag[E(r_ir_i ^T)]为线路i处量测量的残差r_i协方差矩阵的对角阵，E(r_ir_i ^T)为线路i处量测量的残差r_i的协方差矩阵；

所述线路i处量测量的残差r_i的计算式如下：

式中：z_i＝(z_i,1,z_i,2,…,z_i,m)^T为线路i处物理侧的量测量，m为线路i处物理侧量测量数目，

为线路i处物理侧的量测量的估计值；

其中，线路i处物理侧的量测量的估计值

按下式计算：

式中：

为线路i处物理侧状态量的估计值，h(·)为电力系统的量测方程；

其中，线路i处物理侧状态量的估计值

按下式计算：

式中：x_i＝(x_i,1,x_i,2,…,x_i,n)^T为线路i处物理侧状态量，R为线路i处物理侧的量测量z_i的协方差矩阵，n为线路i处物理侧状态量数目。

优选的，所述综合异常度，按下式计算：

式中：S_i为线路i处的综合异常度，P_i为线路i处的物理异常度，C_i为线路i处的信息异常度。

优选的，所述根据数据融合的结果进行故障定位，包括：

将计算得到的各线路的综合异常度与给定的各线路的综合异常度阈值进行对比，当所述综合异常度超出预设阈值范围，则线路发生异常；

获取发生异常的线路经过入侵检测得到的源IP地址，通过IP地址与MAC地址或业务标识的对应关系，得到发生异常的线路对应的异常业务流经过的源MAC地址；

通过源MAC地址追溯异常业务流上的站控主机和其上游的控制服务器，定位攻击位置。

基于同一发明构思，本发明还提供了一种复杂配电网信息物理系统运行状态协同感知系统，包括：运行状态检测模块、恶意攻击检测模块、信息侧异常度检测模块和数据融合模块；

所述运行状态检测模块，用于对电网的物理侧进行运行状态感知，若电网的物理侧的运行状态异常，则调用恶意攻击检测模块，否则继续调用运行状态检测模块；

所述恶意攻击检测模块，用于判断电网的物理侧恶意攻击指标是否越限，若是，则调用信息侧异常度检测模块，否则发出电网的物理侧运行状态异常告警；

所述信息侧异常度检测模块，用于判断电网的信息侧异常度指标是否越限，若是，则调用数据融合模块，否则发出电网的物理侧运行状态异常告警；

所述数据融合模块，用于计算电网的物理异常度和信息异常度，并将所述物理异常度和信息异常度进行数据融合，根据数据融合的结果进行故障定位。

优选的，所述数据融合模块，包括：信息异常度单元、物理异常度单元、综合异常度单元和故障定位单元；

所述信息异常度单元，用于在电网的信息侧提取入侵检测得到的报警时间、源IP地址、目的IP地址和报警事件的第一威胁度，并根据报警时间、源IP地址、目的IP地址和报警事件的第一威胁度计算信息异常度；

所述物理异常度单元，用于在电网的物理侧提取状态量和量测量，并根据所述状态量和量测量计算物理异常度；

所述综合异常度单元，用于根据所述信息异常度和物理异常度计算综合异常度作为数据融合的结果；

所述故障定位单元，用于根据数据融合的结果进行故障定位。

与最接近的现有技术相比，本发明具有的有益效果如下：

本发明提供了一种复杂配电网信息物理系统运行状态协同感知方法和系统，包括：步骤a.对电网的物理侧进行运行状态感知，若电网的物理侧的运行状态异常，则执行步骤b，否则重复步骤a；步骤b.判断电网的物理侧恶意攻击指标是否越限，若是，则执行步骤c，否则发出电网的物理侧运行状态异常告警；步骤c.判断电网的信息侧异常度指标是否越限，若是，则执行步骤d，否则发出电网的物理侧运行状态异常告警；步骤d.计算电网的物理异常度和信息异常度，并将所述物理异常度和信息异常度进行数据融合，根据数据融合的结果进行故障定位；本发明能够同时反映信息侧和物理侧的运行状态，同时获取信息侧和物理侧运行状态数据，同时考虑信息系统和物理系统间状态的交互影响和时空的映射关系；避免误报和漏报，有利于及时判定风险性质，找到风险源头。

本发明为故障隔离阻断与紧急控制、事故分析与事故恢复、风险预警与预防控制提供更有效的决策支撑。

附图说明

图1为本发明提供的一种复杂配电网信息物理系统运行状态协同感知方法流程图；

图2为本发明提供的一个复杂配电网信息物理系统运行状态协同感知方法的实施例示意图；

图3为运行状态协同感知下的攻击检测流程图；

图4为网络攻击场景示例图；

图5为遭受攻击时节点电压变化示意图；

图6为本发明提供的一种复杂配电网信息物理系统运行状态协同感知系统基本结构示意图；

图7为本发明提供的一种复杂配电网信息物理系统运行状态协同感知系统详细结构示意图。

具体实施方式

下面结合附图对本发明的具体实施方式做进一步的详细说明。

实施例1：

本发明提供的一种复杂配电网信息物理系统运行状态协同感知方法流程图，如图1所示，包括：

针对前文提到的目前复杂配电网信息物理系统运行状态协同感知的迫切需求及发展局限，本发明提出一种复杂配电网信息物理系统运行状态协同感知方法。考虑到复杂配电网中物理信息联合攻击在物理系统和信息系统中同时存在攻击的特点，通过将入侵检测系统检测到的报警和在电力网络中通过标准化残差方法检测得到的报警进行综合分析，实现物理系统和信息系统检测的数据融合，从而达到更好的攻击检测效果。本发明包括以下关键步骤，具体如附图2所示。

步骤a具体包括：

获取电网的各运行特性指标的值；

(1)计算辖区内主变压器负载率、配电变压器负载率、10kV线路负载率、主变压器10kV母线电压合格率、台区关口电压合格率、低压用户电压合格率、配电变压器的三相不平衡度；

(2)统计主变压器、配电变压器、10kV线路的重载比例、过载比例以及轻载比例，统计主变10kV母线电压不合格比例、台区关口电压不合格比例以及低压用户电压不合格比例；

(3)量化(2)中共计14个指标(主变压器重载比例、主变压器过载比例、主变压器轻载比例、配电变压器重载比例、配电变压器过载比例、配电变压器轻载比例、10kV线路重载比例、10kV线路过载比例、10kV线路轻载比例、主变10kV母线电压不合格比例、台区关口电压不合格比例、低压用户电压不合格比例、配电变压器轻微三相不平衡比例、配电变压器严重三相不平衡比例)的区间，将每个指标按风险等级由低到高划分为“可忽略风险”区间、“低风险”区间、“中风险”区间、“高风险”区间、“极高风险”区间等共计5个区间。

对电网运行态势进行评估，判断电网运行状态是否正常。对14个指标进行风险等级排序，根据排序结果，重点关注风险等级排序在前三的指标，若某指标为高风险或极高风险，则直接关注该指标，制定风险防控措施；若排序前三的指标都为中风险或更低级别的风险指标，则只关注排序第一的风险指标，制定风险防控措施。

步骤b具体包括：

设定恶意攻击类指标，根据历史运行数据，确定指标体系中各指标的最大值作为参考，并设定相应的阈值，当指标超过设定阈值时，进行越限报警。

步骤c具体包括：

获取电网的信息侧异常度指标的值；

(1)计算辖区内每台计算机的CPU使用率、内存使用率、磁盘使用率，以及信息事件的漏洞事件和攻击事件的数量；

(2)统计CPU的重载比例、过载比例以及轻载比例，内存使用率的重载比例、过载比例以及轻载比例，以及磁盘的重载比例、过载比例以及轻载比例；

(3)量化(2)中共计11个指标(CPU重载比例、CPU过载比例、CPU轻载比例、内存使用率重载比例、内存使用率过载比例、内存使用率轻载比例、磁盘重载比例、磁盘过载比例、磁盘轻载比例、漏洞事件数量、攻击事件数量)的区间，将每个指标按风险等级由低到高划分为“可忽略风险”区间、“低风险”区间、“中风险”区间、“高风险”区间、“极高风险”区间等共计5个区间；

对11个指标进行风险等级排序，根据排序结果，重点关注风险等级排序在前三的指标，若某指标为高风险或极高风险，则直接关注该指标，制定风险防控措施；若排序前三的指标都为中风险或更低级别的风险指标，则只关注排序第一的风险指标，制定风险防控措施。

设定信息侧异常度指标，当信息侧异常度超过设定的阈值，进行异常度越限报警，此时需考虑恶意控制型攻击的可能，异常度超过阈值越多，异常是由恶意攻击引起的可能性越大。

步骤d具体包括：

通过物理侧的运行状态感知，对配电网运行态势进行评估，判断配电网运行状态是否正常。若配电网运行状态不正常，判断恶意攻击指标是否越限。若指标未越限，进行配电网故障检测，对配电网故障进行恢复。若指标越限，结合信息侧感知，确定攻击类型。例如，当大规模可控负荷因恶意控制而出现异常投退行为，在物理侧直接反映为恶意攻击指标“负荷突变严重度”越限，同时电网运行特性指标中部分指标也发出越限警报。信息侧将电力CPS主机、数据库、网络设备、安全设备等性能、日志、告警、配置等数据进行采集，分析信息侧的运行状态，结合物理侧的运行状态感知，判断配电网是否受到恶意控制类攻击。

当判断电网受到恶意控制类攻击，需要对攻击源进行定位，采用基于数据融合的智能电网攻击检测方法，具体流程如附图3所示。

物理侧状态估计和不良数据检测：

为了排除量测误差和偶然错误的影响，提高整个量测系统的数据质量与可靠性，电力系统中广泛采用状态估计的方法对量测数据进行处理。传统状态估计的算法包括加权最小二乘法(WLS)、加权最小绝对值法(WLAV)、快速分解法等，这里采用WLS方法进行状态估计。假定电力系统中具有m个量测量，n个状态量。令x＝(x₁,x₂,…,x_n)^T表征电力系统的状态量，z＝(z₁,z₂,…,z_m)^T表征系统的量测量，e＝(e₁,e₂,…,e_m)^T表征系统的量测误差。状态量、量测量和量测误差的关系用公式表示为：

z＝h(x)+e (1)

式中，h(x)＝[h₁(x₁,x₂,…,x_n),…,h_m(x₁,x₂,…,x_n)]^T由系统的拓扑结构和线路阻抗参数决定。可采用加权最小二乘估计的方法求取状态估计矢量：

式中，R是量测量的协方差矩阵。

电力系统中测量系统的标准误差

大约为正常测量范围的0.5～2％，因此误差大于±3σ的测量值就可称为不良数据，实用中通常把误差达到±(6～7)σ以上的数据称为不良数据。不良数据检测常用的方法有卡方检测法(

检测法)、加权残差检测法(r_ω检测法)和标准化残差检测法(r_N检测法)等。卡方检测法是一种总体性检测方法，仅仅表明本测量采样中是否存在不良数据，但是不能定位不良数据。r_ω检测法和r_N检测法将残差按照假设检验方法逐维进行检验，可以用来定位不良数据。这里采用r_N检测法为例说明不良数据的检测过程。

在得到电网侧的状态估计量

后，量测估计

为：

定义

为m维残差矢量，即量测矢量与量测估计矢量之差。残差r的协方差矩阵为E(rr^T)，D＝diag[E(rr^T)]为协方差矩阵的对角阵，标准化残差r_N：

电网侧异常度分析：

利用电网侧的数据分析电网侧的异常度。通过电网侧状态估计和不良数据检测得到的矢量r_N表征量测矢量与量测估计矢量的偏差程度，偏差程度越大，说明数据的异常程度越大，可以很好地表征电网侧的异常程度。

取线路i处的物理异常度：

P_i＝r_N,i (5)

将P_i与给定的阈值T_p进行对比来判定节点数据是否异常。

P_i>T_p→第i条线路上数据异常 (6)

信息侧入侵检测：

通过部署于信息网络中的Snort进行攻击检测，将异常网络流量转化为报警。将Snort安装在一个主机上后，便可以展开检测工作。Snort通过不停地监视发向这个主机的数据包并且对报文中的信息进行分析来检测可能的攻击。举例来说，对智能电表中“PASSWORD”寄存器频繁的读操作可作为检测密码暴力破解行为的特征；而对“CURRENT”寄存器的写操作则可作为检测修改电流互感比行为的特征。密码暴力破解一般用于获取电表的高级访问权限，而修改电流互感比可用于篡改电表读数，实现篡改电力系统数据的目的。一个简单的检测规则设计如下:所有的报警都会被计算机记录到数据库中，并保留攻击的特征描述和威胁度，这种记录下来的报警由IP地址和时间戳进行索引，其形式是“IP_src|IP_dst|Time|Sig_name|Sig_priority”(“源IP地址|目的IP地址|时间戳|特征名|威胁度”)。这个规则会在对一次电流寄存器的写入操作时触发。

信息侧异常度分析：

利用信息侧的数据分析信息侧的异常度。为了得到数据融合系统中可用的输入数据，需要将IDS得到的海量报警事件进行数据处理。首先从报警事件中提取出关键的特征，包括报警时间、源IP地址、目的IP地址以及威胁度(表征事件严重程度的优先级属性，取值为1～5)，再进行数据处理和分析得到信息侧的异常度。

假设系统进行采样检测的周期为T，取t时刻取样分析的时间段为：

δ＝(t-αT,t] (7)

式中，α是可调的整数，α越大，取样分析的时间段越长，α一般取3～5。

假设在采样时间窗δ内产生了u条报警事件，报警事件的源地址和目的地址数量总和为v，则报警的IP地址集合表示为：

IP＝{IP₁,IP₂,...,IP_v} (8)

若来自IP_y(包括源地址和目的地址)的报警事件数为u_k，则每个IP地址对应的报警事件数集合为：

N＝{u₁,u₂,...,u_k} (9)

定义a_y,j为来自IP_y的第j个报警，则所有报警事件的集合可表述为：

为了突出报警事件威胁度对异常检测的影响，重新定义报警事件的第二威胁度ω_y,j为：

式中，q_y,j为报警事件a_y,j的威胁度。为了保证数据适合作为模糊推理系统的输入，对新威胁度ω_y,j进行数据的规范化处理得到

为：

考虑到报警事件影响的持续性，假定报警事件a_y,j的影响随着时间的增长而衰减，衰减因子为β_y,j。将上次采样计算得到的IP_y的威胁度W’_y通过加权滑动平均的方式引入到本次采样计算的结果中，得到本次采样计算得到的IP_y的威胁度：

式中，λ是加权滑动平均的遗忘因子。

假设系统线路i处有s台网络设备，IP地址分别为IP₁,IP₂,…,IP_s，取线路i处的信息异常度为：

式中，W_y为来自IP_y的总报警威胁度。将C_i与给定的阈值T_c进行对比来判定节点数据是否异常。

C_i>T_c→第i条线路上数据异常 (16)

基于数据融合的攻击检测：

物理信息系统数据融合：

P_i和C_i分别表征电网侧和信息侧的异常度，但两者的表征对象不同。P_i表征电力拓扑中线路i的异常度，C_i表征网络拓扑中通信设备IP_i的异常度。利用智能电网中电网侧和信息侧的紧密耦合关系将这两者关联融合，在相同的对象体系下进行表征。系统中每个节点的综合异常度S_i可表示为：

根据数据融合的结果进行故障定位；

将S_i与给定的阈值T_s进行对比，便可判定此节点是否具有异常：

S_i>T_s→第i条线路上数据异常 (18)

通过在各线路处遍历执行以上步骤，辨识并定位出攻击发生的位置。确定攻击源所在节点后，通过对异常节点的系统日志与配置进行分析，检查系统操作、系统配置是否存在异常，再通过源MAC地址或业务标识追溯异常业务流上的站控主机和其上游的控制服务器，对攻击进行隔离和阻断。

结果验证：

下面结合附图对本发明的具体实施方式作进一步说明。本发明设计了一种复杂配电网信息物理系统运行状态协同感知方法。考虑到复杂配电网中物理信息联合攻击在物理系统和信息系统中同时存在攻击的特点，通过将入侵检测系统检测到的报警和在电力网络中通过标准化残差方法检测得到的报警进行综合分析，实现物理系统和信息系统检测的数据融合，从而达到更好的攻击检测效果。

通过IEEE-14节点系统上的一次攻击检测，来验证方法的可行性。IEEE-14节点系统具有14个节点，共20条电力传输线路。线路10所属的调度自动化系统如附图4所示，假设主站服务器D3采用strusts2框架且版本较低，存在远程代码执行漏洞(CNNVD-201703-152，CVE-2017-5638)，当content-type中出现“multipart/form_data”时，会被认为有文件上传，从而调用struts2默认的上传文件组件Jakarta，载入OGNL代码并执行，最终达到远程调用的目的。

设定攻击场景：假设攻击者已通过恶意邮件或携带病毒的U盘等方式向电力部门人员电脑A中植入了恶意代码，该恶意代码随后利用主站服务器D3存在的远程代码执行漏洞攻陷D3，使其发送恶意控制指令，通过业务流D3→Z2→RTU2→B2→L2控制断路器L2，造成线路10对应负荷的异常投退，导致电网负荷发生突变，对电网的安全稳定运行造成威胁。有源配电网CPS运行状态协同感知方法中，可以通过电网侧和信息侧的协同对该类网络攻击进行感知和主动防御，关键步骤如附图3所示。

(1)电网侧感知：根据电网运行态势评估结果，判断电网运行状态是否正常。针对本文提出的攻击行为，可确立负荷突变严重度，供电能力突变严重度，控制偏差率等恶意攻击类指标，反映电网运行过程中供电能力和负荷突然变化的严重程度。同时指标体系中还包含供电裕度，电压越限严重度，电压合格率，负载不均匀度等电网运行特性指标。然后根据历史运行数据，确定指标体系中各指标的最大值作为参考，并设定相应阈值，当指标超过设定阈值时，进行越限报警。

假设遭受攻击后，负荷为正常运行状态时的3倍，此时P/P_N＝3。通过仿真得到受到攻击时，节点电压变化如附图5所示，可见在工频条件下，电压有效值短时间内突然下降到额定电压的90％，然后又恢复，造成电压暂降问题，此时电能质量不达标，低压用户电压不合格比例处于“高风险区间”。

在本文攻击场景中，大规模可控负荷因恶意控制而出现异常投退行为，恶意攻击指标“负荷突变严重度”越限，同时电网运行特性指标中部分指标也发出越限警报。此时，需考虑恶意攻击引发电网故障的可能性，指标超出阈值越多，故障由恶意攻击引起的可能性越大。

(2)息侧感知：统计辖区内每台计算机的CPU的重载比例、过载比例以及轻载比例，内存使用率的重载比例、过载比例以及轻载比例，以及磁盘的重载比例、过载比例以及轻载比例。

(3)协同感知：采用本文提出的方法，将电网侧和信息侧的检测数据进行关联融合，参数T_p、T_c和T_s均设为2.5。

假定系统中的所有网络流量都将汇总于上层服务器，通过入侵检测系统Snort对网络流量进行分析并将检测到的异常操作以报警的形式存入数据库。报警的威胁度p值的范围设为1～5，值越高代表着入侵的预估威胁越大。每间隔一定的时间T将启动一次基于数据融合的攻击检测。系统将自动将这一时间段内的所有报警取出，按IP地址进行分类。利用公式(15)计算出每条线路上的信息异常度，如表1所示。从表1的第2列中可以看到线路10受到攻击后计算出来的信息异常度，信息侧虽然在此次攻击中没有产生误报，但却没有将攻击给检测出来，产生了一次漏报。

与此同时，电网侧的状态估计将自动进行，利用时间段T内所收集的某一时刻的电表量测数据进行状态估计。获取系统的估计状态后，计算残差并将其标准化后得到每条线路的物理异常度。从表1的第3列中可以看到标准化残差检测的结果，即电网侧的异常度。从结果中可以看出，电网侧检测出了第10条线路上的数据异常，但同时也检测出了第7、8、9条线路上的数据异常(均大于2.5)。因此标准化残差检测虽然可以检测到攻击，但在此次攻击中却产生了大量的误报。将所得的每条线路的物理异常度与信息异常度通过公式(17)进行数据融合，得到最终的系统综合异常度，用于评定线路是否异常。从最后一列可以看出数据融合的检测结果，其精确地检测出了此次攻击，并且没有产生任何误报。

通过数据融合确定线路10受到攻击后，通过对异常线路的系统日志与配置进行分析，检查系统操作、系统配置是否存在异常，再通过源MAC地址或业务标识追溯异常业务流上的站控主机和其上游的控制服务器，对攻击进行隔离和阻断。针对本文场景，信息侧感知通过从交换机G1、G2处获得的流量数据信息，判断在较短时间间隔内出现多个从RTU2流向L2的控制命令跳变的数据包，定位异常节点RTU2。然后通过源MAC地址或业务标识(如IEC61850的appid)追溯异常业务流上的站控主机Z2和其上游的控制服务器D3，最终确定攻击源。

表1注入攻击的异常度

本发明具有以下优点：

(1)当配电网发生故障时，物理侧和信息侧协同判定故障的性质(配电网自身故障还是信息空间风险引发的故障)；

(2)若故障由信息空间风险引起，排除信息侧的风险源，采取信息侧与物理侧协同的紧急控制措施；

(3)若故障由网络攻击引起，结合网络攻击影响传播模型和两侧故障特征，对恶意攻击的类别、对象等进行协同的检测辨识，并针对不同的攻击类型在信息侧采取相应的阻断隔离方法，同时在电网侧对被攻击设备及电网故障进行相应的物理隔离。

实施例2：

基于同一发明构思，本发明还提供了一种复杂配电网信息物理系统运行状态协同感知系统。

该系统基本结构如图6所示包括：运行状态检测模块、恶意攻击检测模块、信息侧异常度检测模块和数据融合模块；

其中，运行状态检测模块，用于对电网的物理侧进行运行状态感知，若电网的物理侧的运行状态异常，则调用恶意攻击检测模块，否则继续调用运行状态检测模块；

恶意攻击检测模块，用于判断电网的物理侧恶意攻击指标是否越限，若是，则调用信息侧异常度检测模块，否则发出电网的物理侧运行状态异常告警；

信息侧异常度检测模块，用于判断电网的信息侧异常度指标是否越限，若是，则调用数据融合模块，否则发出电网的物理侧运行状态异常告警；

数据融合模块，用于计算电网的物理异常度和信息异常度，并将所述物理异常度和信息异常度进行数据融合，根据数据融合的结果进行故障定位。

该系统详细结构如图7所示。

其中，运行状态检测模块包括：运行特性指标取值单元和运行状态判断单元；

运行特性指标取值单元，用于获取电网的各运行特性指标的值；

运行状态判断单元，用于基于各电网的各运行特性指标的值以及预设电网的各运行特性指标的风险区间判断电网运行状态是否异常；

所述电网的各运行特性指标包括：电网内主变压器重载比例、主变压器过载比例、主变压器轻载比例、配电变压器重载比例、配电变压器过载比例、配电变压器轻载比例、10kV线路重载比例、10kV线路过载比例、10kV线路轻载比例、主变10kV母线电压不合格比例、台区关口电压不合格比例、低压用户电压不合格比例、配电变压器轻微三相不平衡比例和配电变压器严重三相不平衡比例。

进一步，恶意攻击检测模块，具体用于根据电网的物理侧恶意攻击指标的值和设定的电网的物理侧恶意攻击类指标阈值，判断电网的物理侧恶意攻击指标是否越限；

信息侧异常度检测模块包括：信息侧异常度指标取值单元和信息侧异常度判断单元；

信息侧异常度指标取值单元，用于获取电网的信息侧异常度指标的值；

信息侧异常度判断单元，用于根据所述电网的信息侧异常度指标的值和设定的电网的信息侧异常度指标阈值，判断电网的信息侧异常度指标是否越限；

数据融合模块包括：信息异常度单元、物理异常度单元、综合异常度单元和故障定位单元；

信息异常度单元，用于在电网的信息侧提取入侵检测得到的报警时间、源IP地址、目的IP地址和报警事件的第一威胁度，并根据报警时间、源IP地址、目的IP地址和报警事件的第一威胁度计算信息异常度；

物理异常度单元，用于在电网的物理侧提取状态量和量测量，并根据所述状态量和量测量计算物理异常度；

综合异常度单元，用于根据所述信息异常度和物理异常度计算综合异常度作为数据融合的结果；

故障定位单元，用于根据数据融合的结果进行故障定位；

所述量测量包括：电网中各支路功率和支路上的节点注入功率；所述状态量包括：电网中各节点电压幅值和相角。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是:以上实施例仅用于说明本发明的技术方案而非对其保护范围的限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:本领域技术人员阅读本发明后依然可对发明的具体实施方式进行种种变更、修改或者等同替换，但这些变更、修改或者等同替换，均在发明待批的权利要求保护范围之内。