电力系统网络攻击检测方法及设备

技术领域

本发明属于电力系统技术领域，尤其涉及一种电力系统网络攻击检测方法及设备。

背景技术

信息化技术的大量应用提高了电能的传输效率，但信息网络的开放性和固有的安全漏洞也不可避免地引入了网络安全威胁，导致近年来世界各国电网因网络攻击而大停电事故频发。当前，网络攻击已经呈现出高隐蔽性、高定制化的发展趋势，导致现有的网络攻击检测方法难以高效检测。

现有的网络攻击检测方法由于缺乏对于攻击行为的深入分析，难以贴近实际攻击场景，由此导致误报率高，对于高隐身的网络攻击甚至难以检测。因此，为了保证电网的安全运行，亟需一种高效的网络攻击检测方法，及时将隐藏于正常数据中的攻击行为检测出来，为相应的防御处置手段提供依据，防范网络攻击对系统造成的危害。

发明内容

本发明的目的在于提供一种电力系统网络攻击检测方法及设备，以解决传统方法难以检测高隐身的网络攻击的问题。

本发明是通过如下的技术方案来解决上述技术问题的：一种电力系统网络攻击检测方法，包括以下步骤：

获取电力系统的N个正常历史量测样本，由N个正常历史量测样本构成正常量测样本集；

确定所述正常量测样本集中各样本的受保护量测值；

输入待检测样本，根据所述待检测样本从所述正常量测样本集中提取出关键特征样本集；

根据所述待检测样本，从所述关键特征样本集中提取出子集；

从所述子集中确定待检测样本遭受篡改攻击前的近似量测样本；

根据所述待检测样本以及近似量测样本判断所述待检测样本是否为正常量测数据。

进一步地，获取电力系统的N个正常历史量测样本，具体包括：

至少从电力系统现场获取一个实际量测样本；

对所述实际量测样本进行蒙特卡洛模拟计算，得到多个模拟量测样本，多个所述模拟量测样本服从高斯分布且多个模拟量测样本为获取的N个正常历史量测样本。

进一步地，根据所述待检测样本从所述正常量测样本集中提取出关键特征样本集，具体提取过程为：

计算出所述待检测样本与所述正常量测样本集中每个样本之间的第一欧式距离，具体公式为：

其中，

判断所述第一欧式距离

优选地，所述第一设定阈值为所有第一欧式距离的均值。

进一步地，根据所述待检测样本，从所述关键特征样本集中提取出子集，具体提取过程为：

计算出所述待检测样本与所述关键特征样本集中每个样本之间的第二欧式距离，具体公式为：

其中，

判断所述第二欧式距离

进一步地，从所述子集中确定待检测样本遭受篡改攻击前的近似量测样本，具体确定过程为：

对于子集中的每个样本，计算出所述样本被注入的攻击数据，具体公式为：

其中，

根据每个样本

其中，

根据各样本的最优估计状态增量，计算出对应样本的状态估计残差，并以最小的状态估计残差所对应的样本作为近似量测样本，具体公式为：

其中，r

进一步地，根据所述待检测样本以及近似量测样本判断所述待检测样本是否为正常量测数据，具体判断过程为：

若同时满足以下三个条件，则所述待检测样本为攻击者篡改后的量测数据，否则为正常量测数据：

条件一：r

条件二：Δθ

条件三：近似量测样本被注入的攻击数据中的最大元素远大于第四设定阈值ε

进一步地，所述第四设定阈值ε

获取多个正常量测样本；

将每个正常量测样本作为待检测样本，计算出与每个待检测样本对应的近似量测样本被注入的攻击数据中的最大元素；

取所有最大元素中的最大值作为第四设定阈值ε

基于同一构思，本发明还提供了一种电子设备，所述设备包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上所述电力系统网络攻击检测方法的步骤。

有益效果

与现有技术相比，本发明的优点在于：

本发明基于大量正常的历史量测样本，利用关联分析技术提取出关键特征样本，并使用数据还原算法近似还原出待检测样本遭受篡改攻击前的量测样本(即近似量测样本)；基于数据一致性原则和壁垒条件对待检测样本和还原的量测样本进行校验，实现了隐藏于正常量测数据中的网络攻击行为的检测。

本发明充分考虑了网络攻击的现实约束，更加符合实际攻击场景，并提出了基于攻击特征深度匹配的检测方法，减少了网络攻击的误判，提高了网络攻击检测精度；本发明深入剖析了高隐身虚假数据注入攻击的原理，以及被攻击的量测样本所表现的异常特征，有效解决了电力系统高隐身网络攻击行为难以检测的问题；本发明方法简单高效，时间复杂度低，可以适用于大规模电网的网络攻击检测，对于电力系统网络安全防御策略的制定具有重要的意义。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一个实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中电力系统网络攻击检测方法流程图。

具体实施方式

下面结合本发明实施例中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

如图1所示，本实施例所提供的一种电力系统网络攻击检测方法，包括以下步骤：

步骤1：获取电力系统正常运行状态下的N个正常历史量测样本，由N个正常历史量测样本构成正常量测样本集；

步骤2：确定正常量测样本集中各样本的受保护量测值；

步骤3：输入待检测样本，根据待检测样本从正常量测样本集中提取出关键特征样本集；

步骤4：根据待检测样本，从关键特征样本集中提取出子集；

步骤5：从子集中确定待检测样本遭受篡改攻击前的近似量测样本；

步骤6：根据待检测样本以及近似量测样本判断待检测样本是否为正常量测数据。

步骤1中，N个正常历史量测样本有两种获取方式：一种是从电力系统现场进行量测数据采集，通过实际量测数据的采集来获取N个正常历史量测样本；另一种是通过对实际量测数据进行模拟计算来得到，具体过程为：

从电力系统现场进行量测数据采集，以获取至少一个实际量测样本；

通过最优功率潮流(OPF)计算出实际量测样本的线路潮流，然后对所述线路潮流进行蒙特卡洛模拟计算，得到多个模拟量测样本；

模拟计算得到的多个模拟量测样本服从高斯分布，则多个模拟量测样本为获取的N个正常历史量测样本。

从电力系统现场采集的量测数据存在误差，且在数据传输过程中存在干扰，这些采集的量测数据的变化服从高斯分布，因此通过对实际量测样本进行蒙特卡洛模拟计算，来构造的多个模拟量测样本可以作为正常历史量测样本，并构成正常量测样本集Z。

由N个正常历史量测样本构成正常量测样本集记为Z，则可表示为：Z＝[z

安装有PMU装置的节点，可以实时测量节点的功率、电压幅值和电压相角，这类节点由于受到高强度的保护，所以对于攻击者而言，节点的量测值难以攻击，一旦攻击也极易被发现。因此，该类节点的量测值为真实值或无法被篡改的值。

步骤2中，根据节点是否安装有PMU装置，或是否为零注节点，或是否为发电机节点，则可确定正常量测样本集Z中各样本的受保护量测值。

步骤3中，根据待检测样本t从正常量测样本集Z中提取出关键特征样本集F，具体提取过程为：

步骤3.1：计算出待检测样本t与正常量测样本集Z中每个样本z

其中，

步骤3.2：判断第一欧式距离

本实施例中，第一设定阈值ε

大量新能源的接入、负荷侧的波动、运行方式的改变使得当前电力系统的随机性显著提高，从而导致电力系统量测样本之间的差异性增大。与待检测样本差异性较大的样本将会严重干扰攻击样本的还原，因此，必须首先挑选出与待检测样本相似或差异性小的样本，作为数据还原的基础。通常，两个样本距离越近，表现出的特征也越相似。因此，本发明利用样本之间的欧式距离来实现关键特征样本的挑选。样本中的受保护量测值受到高强度保护而具有较大可信度，因此，利用样本中的受保护量测值计算欧式距离，以用于关键特征样本的选择。

步骤4中，从关键特征样本集F中提取出子集X，具体提取过程为：

步骤4.1：计算出待检测样本t与关键特征样本集F中每个样本之间的第二欧式距离，具体公式为：

其中，

步骤4.2：判断第二欧式距离

本实施例中，第二设定阈值ε

电力系统的参数信息为敏感信息，将受到高等级的保护，考虑到攻击者的有限资源，因此难以获取整个网络的参数信息。此外，攻击者必须付出一定的攻击代价来进行量测值的篡改。考虑到攻击者的有限攻击能力，大规模的篡改电力量测值也并不现实。所以，在实际情况中，攻击者往往只依赖于少量局部信息，发起局部虚假数据注入攻击，以修改局部区域的少量的量测数据，即将电力系统拓扑结构划分为攻击区域A以及非攻击区域M。电力系统中受攻击的局部区域为攻击区域，剩下的未被攻击的区域为非攻击区域。

因此，在实际的电力系统网络攻击模型中，攻击者只需在攻击区域A中构造满足一定约束的局部恶意数据注入攻击向量。因此，若待检测样本t为受到恶意数据攻击的异常样本，则在待检测样本t与目标攻击样本之间的差值Δz中，只有位于攻击区域A的量测值为非零元素，而位于非攻击区域M的量测值为零元素。步骤3筛选出的样本(即关键特征样本集F中的样本)除了包含近似量测样本(即待检测样本遭受篡改攻击前的量测样本)以外，还包括两类样本：第一类样本为近似量测样本的邻域样本，这部分样本将不会影响检测方法的有效性；第二类样本在非受保护量测值上与待检测样本t差异性较大，这部分样本将会干扰整个检测过程。因此，必须予以剔除，步骤4即用于剔除此类样本。

步骤5中，从子集中确定待检测样本遭受篡改攻击前的近似量测样本，具体确定过程为：

步骤5.1：对于子集X中的每个样本

其中，

步骤5.2：根据每个样本

其中，

步骤5.3：根据各样本

其中，r

考虑到攻击者的有限攻击资源，攻击者难以获取到全网的参数信息而对全网的量测数据发动攻击。因此，一个更为实际的攻击场景为攻击者利用局部恶意数据对某个局部区域进行网络攻击。实际中，攻击者将恶意数据注入攻击区域，为了对电力系统造成严重破坏，其攻击强度必将较大，具体表现为注入到攻击区域的数据较大，但为了逃脱检测，因此系统状态估计残差会趋近于0。因此，本发明统计各样本的状态估计残差，选择具有最小状态估计残差的样本作为近似量测样本。

在步骤5中，计算出子集X中每个样本

其中，

步骤6中，根据待检测样本t以及近似量测样本

若同时满足以下三个条件，则待检测样本t为攻击者篡改后的量测数据(即异常量测数据)，否则为正常量测数据(至少有一个条件不满足)：

条件一(数据一致性原则)：r

条件二(壁垒条件)：Δθ

条件三：近似量测样本被注入的攻击数据中的最大元素远大于第四设定阈值ε

条件一中，第三设定阈值ε

条件二中，攻击者仅攻击部分区域，由此可知，在近似量测样本

攻击者将恶意数据注入到攻击区域，为了保证不获取全网的参数信息而对整个网络发动攻击，必须保证注入到攻击区域A的数据不会影响非攻击区域的业务行为，例如潮流数据。而这一必要条件的满足，可以通过在攻击区域中边界节点设置“壁垒约束”来实现。条件二深入分析了攻击数据的攻击边界壁垒效应，更加符合实际攻击场景，从而提高了攻击检测的精度，减少了误报率。

条件三中，第四设定阈值ε

攻击者发动的恶意数据注入攻击要实现对电力系统造成严重影响，其注入的攻击数据必然较大，具体表现为

本发明实施例还提供一种电子设备，该电子设备包括：处理器和存储有计算机程序的存储器，所述处理器被配置为执行所述计算机程序时实现如上所述电力系统网络攻击检测方法的步骤。

尽管未示出，所述电子设备包括处理器，其可以根据存储在只读存储器(ROM)中的程序和/或数据或者从存储部分加载到随机访问存储器(RAM)中的程序和/或数据而执行各种适当的操作和处理。处理器可以是一个多核的处理器，也可以包含多个处理器。在一些实施例中，处理器可以包含一个通用的主处理器以及一个或多个特殊的协处理器，例如，中央处理器、图形处理器(GPU)、神经网络处理器(NPU)、数字信号处理器(DSP)等等。在RAM中，还存储有电子设备操作所需的各种程序和数据。处理器、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。

上述处理器与存储器共同用于执行存储在存储器中的程序，所述程序被计算机执行时能够实现上述各实施例描述的方法、步骤或功能。

以上所揭露的仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或变型，都应涵盖在本发明的保护范围之内。