电力系统及网络恶意数据攻击检测方法、系统及存储介质

技术领域

本发明涉及电力系统信息物理安全技术领域，特别是一种电力系统及网络恶意数据攻击检测方法、系统及存储介质。

背景技术

电力网络的数据安全对于保障系统的稳定可靠运行至关重要。随着信息技术的深度融合、海量物联网设备的接入等，电力系统面临越来越严重的恶意数据攻击。攻击者通过恶意数据注入攻击，诱导控制中心决策失误，将导致发生线路跳闸、隔离开关误操作等严重安全事故。但是，现有的坏数据检测方法仅建立在分析数据一致性的基础之上，利用系统残差检验实现恶意数据的辨识。然而，现有研究表明，攻击者不但能够构造满足系统一致性要求的注入数据，而且能够将恶意数据隐藏于正常数据之中或者附近，使其不具备明显异常点特性。因此，传统的检测方法无法检测此类恶意数据攻击，急需发展针对高隐身恶意数据的检测方法，防范恶意数据注入攻击对系统带来的安全风险。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种电力系统及网络恶意数据攻击检测方法、系统及存储介质，充分利用局部恶意数据攻击向量的构造原则，挖掘遭受恶意数据攻击的量测值样本的异常行为特征，有效解决具有高隐秘性电力恶意数据攻击难以检测的问题。

为解决上述技术问题，本发明所采用的技术方案是：一种电力网络恶意数据攻击检测方法，包括以下步骤：

S1、输入电力系统拓扑结构中n个正常的历史量测值样本，组成正常量测值样本集Z

S2、根据输入的待检测样本z′和步骤S1中的正常量测值样本集Z

S3、根据待检测样本z′，使用随机抽样方法计算动态安全域中疑似遭受攻击样本集Λ；

S4、计算步骤S3所得疑似遭受攻击样本集Λ中出现概率最高的量测值样本，记为z

S5、判断差值Δz所包含的数据是否满足局部电力恶意数据攻击的构造特征。

步骤S2的目的是为了剔除遭受恶意数据攻击后具有明显异常行为特征的量测值样本。若输入的待检测样本z′遭受传统的电力恶意数据攻击，此样本经过数据处理后的分布情况将会远离当前动态安全域Θ

步骤S1中，正常量测值样本集Z

此步骤将n个历史量测值样本组成训练数据集并进行了关联分析，通过分析电力系统历史数据可以得到负荷波动大概率区间，为恶意数据攻击检测方法提供了数据基础，更加符合实际情况。

步骤S2的具体实现过程包括：

1)将待检测样本z′与正常量测值样本集Z

2)将训练数据样本集Z

3)通过K均值聚类的方法，计算低维样本集合Z

4)计算低维样本集合Z

5)计算当前状态下量测值样本动态安全域Θ

6)利用下式判断待检测样本是否具有明显的“异常点”特征：

其中，

上述步骤将高维样本数据映射到低维空间中，最终在低维度空间得到关于原数据空间的低维表示。其优势在于通过主成分分析的方法对高维量测值样本进行数据预处理，获取原数据的本质特征，去除无用噪声，将原始量测值数据映射到便于观察的低维空间中，降低了数据维度从而克服数据分析过程中所面临的维数灾难，最大限度的分离了正常数据和异常数据的特征。此外在经过降维处理后，使用低维样本建立一个动态安全域，可更直观地分析量测值样本之间的分布情况，有助于电力恶意攻击数据的检测。

步骤S3的具体实现过程包括：

A)随机抽取训练数据样本集z

B)将

C)计算

D)重复步骤B)和步骤C)，最终形成一个具有s个疑似遭受攻击样本的样本集Λ。

传统恶意数据检测方法往往只能对遭受攻击后具有明显异常特征的样本进行辨识。上述步骤采用随机抽样一致性的方法对训练数据样本集中的m维数据进行T次随机抽样。其优势在于充分考虑了攻击者的有限攻击能力，即攻击者往往只依赖于少量局部网络参数信息来发起局部恶意数据攻击，更加符合实际攻击场景。在每次抽样过程中，通过对量测值样本在动态安全域中的跳变情况来判断是否遭受恶意数据攻击，克服了传统异常数据检测方法难以检测不具有明显异常行为特征的恶意数据的缺点。

步骤S4的具体实现过程包括：

a)设疑似遭受攻击样本集Λ中某个样本出现t次，则认为该样本疑似遭受攻击的概率为p＝t/s；计算疑似遭受攻击样本集Λ中所有样本出现概率最高的样本，记为z

b)根据疑似遭受恶意数据的样本z

上述步骤对疑似遭受攻击样本集Λ中的高概率样本进行分析，其优势在于通过随机抽取少量数据实现恶意数据攻击行为特征的挖掘，认为样本集Λ中概率最高的样本即为疑似遭受攻击的样本，从而提高了计算效率以及检测的精确度，实现了对遭受恶意攻击的目标量测值样本的高精度定位，克服了高隐秘性的电力恶意数据攻击特征难以提取的难题。

步骤S5的具体实现过程包括：

I)对于Δz中的每个元素|Δz

II)对Δz的非零元素Δz

上述步骤充分考虑了攻击者利用局部攻击区域信息构造局部攻击向量的实际约束特性，通过对疑似遭受攻击样本与待检测样本的差值Δz中的每一个元素进行分析，实现了对恶意数据的精确验证，提高了检测的准确性。

步骤II)的具体实现过程包括：

a)计算Δz中非零元素的残差γ，验证Δz中非零元素Δz

b)验证Δz中非零元素Δz

c)求得局部区域A中通过联络线路与非攻击区域N相连的边界节点，记为集合Ω；

d)验证集合Ω中边界节点的状态是否满足“壁垒条件”，即判断攻击区域内与非攻击区域相连接的任意两个边界节点i和j之间的相角差Δθ

Δθ

上述步骤建立在不完全信息条件的局部恶意数据攻击的模型下，对攻击者所构造的局部恶意数据攻击注入向量的有效性进行了验证。其优势在于综合利用了局部恶意数据攻击所必须满足的拓扑结构，数据一致性原理以及攻击区域边界注入数据的“壁垒条件”，从而充分挖掘了电力恶意数据攻击的异常行为特征，实现了高隐蔽性恶意数据的深度检测。。

本发明还提供了一种电力网络恶意数据攻击检测系统，包括计算机设备；所述计算机设备被配置或编程为用于执行本发明所述方法的步骤。

作为一个发明构思，本发明还提供了一种电力系统，其包括计算机设备；所述计算机设备被配置或编程为用于执行本发明所述方法的步骤。

作为一个发明构思，本发明还提供了一种计算机可读存储介质，其存储有程序；所述程序被配置为用于执行本发明所述方法的步骤。

与现有技术相比，本发明所具有的有益效果为：本发明充分考虑了传统电力网络恶意数据攻击的异常行为特征以及隐性电力恶意数据攻击下“异常量测值样本”的隐秘性和无序性，提出了一种基于随机抽样的电力恶意数据检测方法。该检测方法深入挖掘隐性恶意数据攻击导致量测值数据产生的异常特征，通过随机抽样的方法对疑似受到恶意数据攻击的量测值样本进行定位，克服了传统检测方法无法充分挖掘恶意数据的异常行为特征的不足，实现了高隐蔽性恶意数据的检测，降低了电力系统遭受恶意数据攻击的风险，有利于提高电力系统运行的安全性。

附图说明

图1是本发明实施例中的实施流程图。

图2是本发明实施例中IEEE14节点系统的攻击区域A和非攻击区域N的结构图。

图3是本发明实施例中案例线路l

图4是本发明实施例中案例线路l

具体实施方式

图1为本发明实施例提供的基于随机抽样的电力网络恶意数据攻击检测方法的流程图，具体的实施步骤如下：

步骤S1：输入电力系统拓扑结构和n个正常的历史量测值样本，组成正常量测值样本集，Z

步骤S2：根据输入的待检测样本z′和步骤S1中所得正常量测值样本集Z

步骤S3：根据输入的待检测样本z′，使用随机抽样方法计算动态安全域中疑似遭受攻击样本集合Λ；

步骤S4：计算步骤S3所得疑似遭受攻击样本集Λ中出现次数最多的一个量测值样本，并计算该量测值样本与待检测样本的差值Δz；

步骤S5：根据步骤S4中所求得的差值Δz，计算该差值所包含的数据是否满足局部电力恶意数据攻击的构造特征。

进一步作为优选的实施方式，步骤S1包括：

建立一个正常量测值样本集Z

Z

其中，z

其中

m＝N

进一步作为优选的实施方式，步骤S2包括：

步骤S2-1：将待检测样本z′与正常量测值样本集Z

Z

步骤S2-2，对步骤所得训练数据样本集Z

Z

其中，矩阵U是满足Z

进一步的，S是一个对角元素递减的对角矩阵，在实际工况中，矩阵S中只有前几个数据是重要的，因此在选择r的最小值时，通常满足以下条件：

其中S

通过公式(5)可得到Z

步骤S2-3：通过K均值聚类的方法，计算低维样本集合Z

步骤S2-4：计算低维样本集合Z

其中，公式(8)表示低维样本集合Z

步骤S2-5：计算当前状态下量测值样本动态安全域Θ

D

其中，max()代表求取一个向量中元素最大值的函数，D

由于电力系统运行过程中的负荷扰动、新能源功率波动以及随机误差等不确定性因素的存在，电力系统的量测值样本的波动范围存在一个动态安全域。此外，对于实际电力系统，电网运行方式和拓扑结构也是频繁变化的，而运行方式和拓扑结构的变化对电力系统负荷的波动性具有很大的影响，所以不同拓扑结构下运行的电力系统的量测值样本将处于不同的动态安全域。

不失一般性，通常认为当一个待检测量测值样本z′经过降维处理后，在r维空间中的分布明显超出动态安全域的界限时，即认为该样本为“异常样本”。

步骤S2-6：计算待检测样本是否具有明显的“异常样本”特征，其判断依据如下：

其中，

若

上述步骤S2中，我们通过对高维量测值样本进行数据预处理，将原始量测值数据映射到便于观察的低维空间中。在经过降维处理后，保留了原始数据的绝大多数信息，最大限度的分离了正常数据和异常数据的特征。本发明使用低维样本建立一个动态安全域Θ

进一步作为优选的实施方式，步骤S3包括：

步骤S3-1：随机抽取训练样本集矩阵Z

其中，

步骤S3-2：对所得k维训练样本集

其中，

进一步的，根据不同电力量测值样本之间相同维度的数据具有的相关性可知，随机抽样后获取的k维训练样本集

步骤S3-3，计算

进一步作为优选的实施方式，步骤S3-3包括：

步骤S3-3-1，计算动态安全域Θ

其中[x′

步骤S3-3-2：将所得的距离指标集合d中元素的值按从小到大进行排序，选取其中值最小的元素d

进一步的，对步骤S3-3进行说明：由于电力系统的参数信息为受到高等级保护的敏感信息，因此攻击者难以获取整个网络的参数信息。同时，考虑到攻击者的有限攻击能力，对电力量测值进行大规模篡改是不现实的。因此，在实际情况中，可将电力系统拓扑结构划分为如图2所示的攻击区域A以及非攻击区域N，攻击者往往只依赖于少量局部网络参数信息来发起局部恶意数据攻击，修改少量的量测数据。

进一步的，假设训练样本矩阵Z

步骤S3-4：根据步骤S3-3所得最小距离d

进一步作为优选的实施方式，步骤S3-4包括：

步骤S3-4-1：计算低维样本集合Z

此时，记步骤S3-3中所得d

步骤S3-4-2：按照步骤S3-4-1所述，同理可得当前抽样情况下动态安全域Θ

步骤S3-4-3：计算步骤S3-3中所得疑似遭受攻击样本在随机抽样前后的与待检测样本之间的距离的跳变值，计算公式如下：

由于随机抽样前后的动态安全域Θ

步骤S3-5：判断步骤S3-4中所得跳变值σ是否超过所规定的阈值d

σ≥d

则将上述所得疑似遭受攻击样本纳入集合Λ中。若不满足公式(17)，则舍弃掉当前的疑似遭受攻击样本。阈值d

进一步的，对步骤S3-5进行说明：在随机抽取的k维元素中，抽取到非攻击区域N内数据的概率要远大于抽取到攻击区域A以内的数据。假设随机抽取的k维元素全部来自于非攻击区域，则此时抽样后的待检测样本z′

步骤S3-6：对上述步骤S3-2～步骤S3-5进行T次迭代，由于每次随机抽样结果的不确定性，可以通过多次迭代以提高检测结果的精确性，T通常取50～100次。将每次迭代中满足公式(17)的疑似遭受攻击样本纳入集合Λ，最终形成一个具有s个疑似遭受攻击样本的集合Λ。

上述步骤S3中，本发明采用随机抽样一致性方法的检测思路对训练数据样本集中的m维数据进行T次随机抽样。在每次抽样过程中，首先通过指标1计算抽样后的k维数据样本中与待检测样本距离最小的样本，其次通过指标2判断这一样本在随机抽样前和随机抽样后与待检测样本之间的距离是否存在跳变现象。若两个指标均满足，则可认为这一样本为疑似遭受到恶意数据攻击的量测值样本。相较于传统检测方法，步骤S3可以筛选出在动态安全域中不具有特殊的异常行为特征的受攻击量测值样本。

进一步作为优选的实施方式，步骤S4包括：

步骤S4-1：计算步骤S3所得疑似遭受攻击样本集合Λ中出现次数最多的量测值样本出现的概率。假设疑似遭受攻击样本集Λ中某个样本出现t次，若满足：

t/s≥ρ (18)

则认为待检测样本z′疑似为携带恶意数据的异常样本，这里的出现的满足约束(18)的样本即为受到攻击的原始量测值样本。ρ代表疑似遭受攻击样本出现概率的阈值，ρ通常可取30％，即，当疑似遭受攻击样本集Λ中某个样本出现的频率超过30％时，则可认为这一样本为疑似遭受隐性恶意数据攻击的量测值样本。

步骤S4-2：计算步骤S4-1中所求疑似遭受攻击样本(假设为z

Δz＝z

进一步的，对步骤S4-2做出说明：以正常量测值样本z

若z

上述步骤S4中，本发明对疑似遭受攻击样本集Λ中的高概率样本进行分析，由于随机抽取的k维数据全部属于非攻击区域元素的概率很高，即可认为，样本集Λ中出现概率最高的样本即为疑似遭受攻击的样本。步骤S4克服了具有高隐秘性的电力恶意数据攻击异常行为特征难以分析的问题，可以对遭受恶意攻击的目标量测值样本进行高精度的定位。

进一步作为优选的实施方式，步骤S5包括：

步骤S5-1：将步骤5-1所求差值Δz的元素构成按照如下方式进行分类。

Δz＝[Δz

其中，Δz

|Δz

其中，|Δz

进一步的，对Δz的元素划分进行说明：如步骤S3-3所述，实际的电力恶意数据攻击将电力系统拓扑结构划分为攻击区域A以及非攻击区域N。攻击者只需在攻击区域A中构造满足一定约束的局部恶意数据注入向量。假设待检测样本z′为携带恶意数据的异常样本，则z′与目标攻击样本之间的差值Δz中，只有位于攻击区域A的量测值数据Δz

进一步的，任意一个差值Δz的具体元素划分如下：

其中，

步骤S5-2：对步骤S5-1中所得Δz的非零元素Δz

进一步作为优选的实施方式，步骤S5-2包括：

步骤S5-2-1：计算Δz中非零元素的残差γ，验证Δz中非零元素Δz

公式(23)表示当待检测样本的残差小于或者等于所设定的阈值τ时，则认为该样本满足数据一致性原则，可以通过控制中心的坏数据检测。

进一步的，z′，

z′＝[z′

其中

步骤S5-2-2：验证Δz中非零元素Δz

步骤S5-2-3：求得攻击区域A中通过某些连接线路与非攻击区域N相连的边界节点，记为集合Ω，并根据如下公式验证边界节点状态是否满足“壁垒条件”。

进一步的，对步骤S5-2进行说明：对于一个攻击者来说，若要发动只依赖于攻击区域A中的网络参数信息的局部恶意数据攻击，则需保证注入到攻击区域A的恶意数据不会导致非攻击区域N的线路潮流发生变化。而这一必要条件的满足可以通过攻击区域中边界节点的“壁垒条件”实现。如公式(27-(28)所示，即确保攻击区域中的额外注入功率将会使得攻击区域内与非攻击区域相连接的任意两个节点i和j之间的相角差Δθ

上述步骤S5中，通过对待检测样本与步骤S4中所得疑似遭受攻击样本的差值Δz进行统计行为分析，进一步确定该疑似样本是否遭受被恶意数据篡改攻击。

实施例

进一步的，本发明给出建立在IEEE14节点上电力网络恶意数据攻击模型的检测实施例。不失一般性，本发明实施例使用基于直流最优潮流的隐性电力恶意数据攻击模型验证所提检测方法的有效性。如图2所示，本发明实施例中所采用的IEEE14节点的拓扑结构可分为攻击区域A以及非攻击区域N，其中，对于攻击区域A，以节点1，2，3作为非边界节点，节点4和节点5作为边界节点，攻击区域A包含线路有l

进一步的，在本发明实施例中，根据IEEE14节点标准算例求得最优潮流下的基准负荷z0，并通过蒙特卡洛方法模拟n个正常量测值样本。使这n个样本在[0.9～1.1]×z

进一步的，对本发明实施例所求恶意数据样本以及目标攻击样本，通过上述步骤S2中所述数据处理方法将所得训练样本数据映射到低维空间中。由于电力系统的量测值样本数据之间具有很高相关度，因此经过降维处理之后，保留其中两个主成分元素即可将99％的方差保留住，即r＝2。

图3和图4分别给出了导致线路l

进一步的，本发明实施例对导致线路l

为了提高疑似遭受攻击样本的检验精确度，根据指标2计算指标1中所出现的所有疑似遭受攻击样本在随机抽样前后的与待检测样本之间的距离的是否存在跳变现象，表I带有“*”标志的样本为不满足指标2的样本，即可判定这些量测值样本不是疑似遭受攻击的样本。

通过指标2对错误的检验样本进行过滤，得出本发明实施例中标定的目标攻击样本z

进一步的为了确定待检测样本z′是否携带恶意数据。根据步骤S4计算待检测样本与疑似遭受攻击样本z

1)元素构成：检验Δz中所包含的数据构成，若Δz中的元素多数为零元素而只有少部分元素为非零元素，则认定其符合符合局部恶意数据攻击的数据构成特征，并进行下一步的验证。

进一步的，从表II中可以看出，Δz中所包含的非零元素为节点2、3、4、5相关的负荷数据，以及线路l

2)非零元素的拓扑结构：通过第一个验证条件所得Δz中攻击区域的元素构成满足局部恶意数据的构造原则。

进一步的，对Δz中所包含非零元素涉及的拓扑结构进行分析。将上述节点和线路代入IEEE 14节点系统的拓扑结构中发现，当前实施例中非零元素相对应的节点和相关线路能够组成一个以节点4和节点5为边界节点的闭合区域。

3)壁垒条件验证：将Δz中与所形成的局部区域相对应的数据Δz

B

ΔF

Δθ

公式(29)-(30)表示恶意注入数据所需满足的功率平衡方程以及线路潮流方程。其中，X

进一步的，将攻击区域的相关负荷以及线路潮流数据代入节点功率平衡方程以及线路潮流计算方程中，可得攻击区域内各节点的相位角变化。如表III所示，攻击区域内五个节点的相位角变化中，位于边界的节点4和节点5的相位角变化相同，即Δθ

针对以上三个检验条件，所求差值Δz均可满足，因此可认为此时所输入的待检测样本z′为携带恶意数据的“异常样本”，且认为z

综上所述，本发明实施例可以证明所提基于随机抽样一致性检验方法的隐性电力恶意数据攻击检测策略能够有效的检测出待检测样本z′是否携带恶意数据，并定位攻击者发起恶意数据攻击的目标量测值样本。

本发明实施例附表：

表I.100次迭代中疑似受攻击样本

表II.差值Δz中所包含具体数据 单位：MW

表III.攻击区域内各节点相角增量