基于状态估计的虚假数据攻击检测方法和系统

技术领域

本发明属于电力系统领域，尤其涉及基于状态估计的虚假数据攻击检测方法和系统。

背景技术

随着信息与通信技术的融合，电力系统逐渐转化为智能电网。由于电力系统对通信网络的依赖性增强，导致电力系统的一些应用，比如状态估计正在面临巨大挑战。其中一大挑战即智能电网易遭受网络攻击。智能电网的恶意用户可以通过攻击测量设施或破坏通信基础设施的方式进入并操纵电网系统的测量值。由此，遭到破坏的系统状态进一步干扰电网，导致电力系统无法正常运行。在众多网络攻击中，虚假数据注入攻击是对电力状态估计最大的威胁。成功的虚假数据注入攻击能够躲避传统的坏数据检测机制。当缺乏先进的检测机制时，虚假数据注入攻击能够发起多次隐匿攻击，最终威胁电网的正常运行。

目前，虽然在虚假数据注入攻击方面有了一定的研究成果，但大部分研究仅针对直流状态估计中的虚假数据注入攻击进行检测。尽管多种深度学习理论应用于虚假数据注入攻击并取得了较理想的检测效果，但这些研究均基于可大量获得攻击样本这一前提的。而作为模式多变的电网攻击信号，实际中很难获得大量带标签的攻击样本。现有研究大多只关注攻击随机信号的时域特性，忽略了攻击信号的多尺度特征。故建立电网攻击小样本背景下的交流虚假数据注入攻击检测机制是必要的。

现有技术一：2018年，James J.Q.Yu等人首次提出交流系统中的隐匿数据攻击检测网络，相比直流系统，交流状态估计在电力设施中应用更为广泛。该方法利用小波变换提取系统状态中空域和时域特性识别攻击，并利用深度神经网络构建AC FDIA检测模型。

本方案在现有深度神经网络(Deep Neural Network,DNN)单元的基础上构建基于回归神经网络(Recurrent Neural Network,RNN)的攻击检测器。该网络通过学习系统状态的时空特征来识别正常电力系统事件及FDIA。该网络包含两种神经层，分别为门控循环单元(Gated Recurrent Unit,GRU)和全连接层(fully-connected,FC)。

现有技术二：2020年，Ying Zhang等人提出一种基于半监督深度学习方法的智能电网FDIA检测框架。该方法针对分布式电力系统提出一种数据驱动的FDIA检测算法。首先利用自编码器用于测量数据集的降维和特征提取。然后，将自编码器融入生成对抗网络(Generative Adversarial Network,GAN)，通过捕获异常及安全测量值之间的不连贯性实现FDIA检测。由于采用了GAN，该方法相比文献只需要较小数量的测量数据用于训练。

现有技术一存在问题如下：

(1)文献[1]为降低系统计算复杂度，对电力系统测量量利用小波换进行了特征提取。然而，基于小波变换的特征提取性能与小波基函数相关，电力采集数据为多源异构数据，文献[1]采用固定小波基函数不能适应所有类型的测量值。

(2)虽然基于DNN的FDIA识别系统对交流系统FDIA有较好的识别性能，但是，该方案需要从连续采样信号中获取大量有标签样本，给系统带来较大计算负荷，在智能电网实时管理中难以实现。当样本数量降低时，方案的识别性能随之下降。

现有技术二存在问题如下：

(1)自编码器需要将图像的全部信息压缩到瓶颈层，这种方式会导致细节瓶颈丢失问题，即在输入与输出端之间出现大量测量量信息丢失，无法准确提取电力测量量的时频空域多尺度特征细节；

(2)随着网络层数的增加，该方法中基于GAN的FDIA检测器不可避免的出现梯度消失及特征损失问题，无法适用于工业电网大规模数据及实时应用场景。

发明内容

为解决上述技术问题，本发明提出一种基于状态估计的虚假数据攻击检测方法和系统的技术方案，以解决上述技术问题。

本发明第一方面公开了一种基于状态估计的虚假数据攻击检测方法，所述方法包括：

步骤S1、采集电力系统变量，并将变量输入状态估计器，得到状态估计值；

步骤S2、将所述状态估计值输入第一深度学习网络，得到频域及空域特征向量；

步骤S3、将所述频域及空域特征向量输入第二深度学习网络，得到时域特征向量；

步骤S4、将所述状态估计值、频域及空域特征向量和时域特征向量输入基于GAN网络的攻击检测器，得到攻击识别结果。

根据本发明第一方面的方法，在所述步骤S1中，所述电力系统变量包括：电压、潮流、有功功率和无功功率。

根据本发明第一方面的方法，在所述步骤S2中，所述第一深度学习网络为3DCNN网络。

根据本发明第一方面的方法，在所述步骤S1中，所述第二深度学习网络为GRU网络。

根据本发明第一方面的方法，在所述步骤S4中，基于GAN网络的攻击检测器的生成器采用U-net作为架构，所述生成器将U-net原有的卷积层与反卷积层之间的nception Res网络，替换为Dense net网络。

根据本发明第一方面的方法，在所述步骤S4中，对于基于GAN网络的攻击检测器的判决器，利用残差块取代原有GAN网络判决器的二维卷积。

根据本发明第一方面的方法，在所述步骤S4中，所述判决器在原有GAN网络判决器的softmax函数之前，引入注意力模块GAM。

本发明第二方面公开了一种基于状态估计的虚假数据攻击检测系统，所述系统包括：

第一处理模块，被配置为，采集电力系统变量，并将变量输入状态估计器，得到状态估计值；

第二处理模块，被配置为，将所述状态估计值输入第一深度学习网络，得到频域及空域特征向量；

第三处理模块，被配置为，将所述频域及空域特征向量输入第二深度学习网络，得到时域特征向量；

第四处理模块，被配置为，将所述状态估计值、频域及空域特征向量和时域特征向量输入基于GAN网络的攻击检测器，得到攻击识别结果。

根据本发明第二方面的系统，所述第一处理模块，被配置为，所述电力系统变量包括：电压、潮流、有功功率和无功功率。

根据本发明第二方面的系统，所述第二处理模块，被配置为，所述第一深度学习网络为3DCNN网络。

根据本发明第二方面的系统，所述第一处理模块，被配置为，所述第二深度学习网络为GRU网络。

根据本发明第二方面的系统，所述第四处理模块，被配置为，基于GAN网络的攻击检测器的生成器采用U-net作为架构，所述生成器将U-net原有的卷积层与反卷积层之间的nception Res网络，替换为Dense net网络。

根据本发明第二方面的系统，所述第四处理模块，被配置为，对于基于GAN网络的攻击检测器的判决器，利用残差块取代原有GAN网络判决器的二维卷积。

根据本发明第二方面的系统，所述第四处理模块，被配置为，所述判决器在原有GAN网络判决器的softmax函数之前，引入注意力模块GAM。

本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本公开第一方面中任一项的一种基于状态估计的虚假数据攻击检测方法中的步骤。

本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本公开第一方面中任一项的一种基于状态估计的虚假数据攻击检测方法中的步骤。

本发明提出的方案，根据提取得到的FDIA特征向量，设计小样本背景下的攻击样本数量与样本质量增强网络，从而实现高准确度的攻击识别。实现高准确度FDIA分类识别功能，实现基于生成对抗网络的攻击检测，为智能电网提供攻击检测的安全策略依据。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的一种基于状态估计的虚假数据攻击检测方法的流程图；

图2为根据本发明实施例的特征向量提取网络框图；

图3为根据本发明实施例的生成器结构框图；

图4为根据本发明实施例的判决器结构框图；

图5为根据本发明实施例的残差块结构框图；

图6为根据本发明实施例的注意力模块及特征选择结构框图；

图7为根据本发明实施例的U-net架构结构示意图；

图8为根据本发明实施例的生成器结构；

图9为根据本发明实施例的一种基于状态估计的虚假数据攻击检测系统的结构图；

图10为根据本发明实施例的一种电子设备的结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明第一方面公开了一种基于状态估计的虚假数据攻击检测方法。图1为根据本发明实施例的一种基于状态估计的虚假数据攻击检测方法的流程图，如图1所示，所述方法包括：

步骤S1、采集电力系统变量，并将变量输入状态估计器，得到状态估计值；

步骤S2、将所述状态估计值输入第一深度学习网络，得到频域及空域特征向量；

步骤S3、将所述频域及空域特征向量输入第二深度学习网络，得到时域特征向量；

步骤S4、将所述状态估计值、频域及空域特征向量和时域特征向量输入基于GAN网络的攻击检测器，得到攻击识别结果。

在步骤S1，采集电力系统变量，并将变量输入状态估计器，得到状态估计值。

在一些实施例中，在所述步骤S1中，所述电力系统变量包括：电压、潮流、有功功率和无功功率等。

具体地，采用向量测量装置PMU及传统SCADA系统进行电力系统变量采集，采集时间间隔从ms到s，时刻t的实时采集量记为z

z＝h(x)+e

x是N维状态变量，z是M维测量向量，e为高斯白噪声。

在三相不平衡分布式配电系统中，系统状态通常用所有母线上的电压相位表示，表达为：

其中

得到状态采集数据后，本发明采用传统坏数据检测BDD机制进行恶意网络攻击识别，识别规则为最大归一化残差检测(LNR检测)。(LNR检测为传统方法不在此赘述)。

具体步骤包括：

从PMU及SCADA上采集电力系统变量z

其中h表示电力系统特征函数，v表示误差。

将电力系统变量z

依据LNR检测原理将状态估计值

在步骤S2，将所述状态估计值输入第一深度学习网络，得到频域及空域特征向量。

在一些实施例中，在所述步骤S2中，所述第一深度学习网络为3DCNN网络，如图2所示，具体结构参数如表1所示。

表1

在步骤S3，将所述频域及空域特征向量输入第二深度学习网络，得到时域特征向量。

在一些实施例中，在所述步骤S3中，所述第二深度学习网络为GRU网络，如图2所示。

具体地，时域信号看起来规律性较弱，细节过多，难以提取到攻击信号的本质特征，因此本框架对状态信息进行时频空域多维度提取，以便提取到电力状态的本质特征，使基于深度学习更好的拟合。该网络架构如图2所示。得到的三维度特征及其分类存储在特征历史数据库中，用于样本增强网络的离线训练。表1为3DCNN内部架构具体参数。在3DCNN架构中，每个3D卷积运算包含2个卷积层。该网络首先测量量的功率谱密度分布，然后利用1D卷积层学习频域特性。所有卷积层和最大池化层结束后，重塑层(reshape layer)将每帧测量值转换为1D向量。

具体步骤包括：

将t时刻的状态估计值

将{F

对特征提取网络进行训练。由于特征分类结果为异常信号特征和正常信号特征两类的二元分类问题，故利用sigmoid和互信息熵损失函数对输出结果进行激活及优化，实现方式分别如下式：

其中

在步骤S4，将所述状态估计值、频域及空域特征向量和时域特征向量输入基于GAN网络的攻击检测器，得到攻击识别结果。

在一些实施例中，在所述步骤S4中，基于GAN网络的攻击检测器的生成器采用U-net作为架构，如图7所示，将U-net原有的卷积层与反卷积层之间的inception Res网络，替换为Dense net网络。

以下为生成器判决器模块之间联系说明：

生成对抗网络由生成器G和判别器组成D，采用博弈论中“零和博弈”的思想，通过对抗训练不断提高各自的能力，促使生成的数据分布笔记真是数据分布，最终达到“纳什均衡”状态，得到较为真实的生成数据，为解决小样本问题提供了一种新的思路。

生成器结构如图8所示，经过全连接映射层(Dense)和Reshape层，卷积核大小为3*3，前3层卷积层使用ReLU激活函数实现非线性表示，并在完成卷积后进行批量归一化。

判别网络：

判别器包含3层卷积层及2个全连接层，卷积核大小为5*5，全连接层输出为给定样本的真假判断及该样本属于某个类别的概率。卷积层之间激活函数为LeakyReLU函数，以防出现梯度消失。

对于基于GAN网络的攻击检测器的判决器，利用残差块取代原有GAN网络判决器的二维卷积。

对于基于GAN网络的攻击检测器的判决器，在原有GAN网络判决器的softmax函数之前，引入注意力模块GAM。

具体地，在基于GAN网络的攻击检测器中，采用在攻击检测模块中，建立基于生成对抗网络的攻击信号识别机制，该模块通过对现有时频域特征状态的学习，同时实现样本数量增强及样本图像质量的提升。

对生成器进行以下改进：为大幅度降低参数数量，利用Dense net取代文献[3]中的inception Res网络。

对判决器进行以下改进：1)利用残差块取代传统GAN中的二维卷积，设计使得每个残差块包含两个卷积层，一方面可以充分提取特征及特征融合，另一方面用以解决梯度消失难题；2)引入注意力模块GAM使得判别器提取特征后进行特征重要度权重分配，获得更准确的攻击信号识别能力。生成器和判决器结构分别如图3和图4所示。生成器内部参数如表2所示。

生成器内部结构参数如表2所示。生成器采用四层卷积层、4层反卷积层，卷积层1参数为512×512×64、卷积层2参数为256×256×128、卷积层3参数为128×128×256、卷积层4参数为64×64×512、反卷积层1参数为64×64×512、反卷积层2参数为128×128×256、反卷积层3参数为256×256×128、反卷积层4参数为512×512×64。U-Net架构良好的细节提取能力，本框架。为降低计算复杂度和计算量，利用Dense net取代U-net中的inception网络。

表2

判决器中，引入残差块2Dconv，该模块结构如图5所示，由卷积层、跳跃连接及ReLu构成。X表示输入测量值特征，F(x)表示网络残差，该模块作用为确保识别准确度不会随网络深度而下降。

注意力模块GAM的注意力机制在很多计算机视觉任务重被证明可以有效提升网络性能，该方法模仿了人类视觉所有大脑信号处理过程，快速扫描全局图像，明确需要重点关注的区域，然后对这一区域挖掘更为充分的细节信息，过滤掉冗余信息。将通道注意力机制引入判决器，旨在引导GAN有侧重的关注信号的关键特征，满足电网FDIA实时迅速检测的生产需求。我们将生成有标签数据、采集真实数据数据的特征作为输入特征集合，之后进行特征融合，再利用通道注意力机制关注重要特征，最后利用softmax实现对异常攻击行为的识别与分类。该模块结构如图6所示。

具体实施例：

为验证所提检测机制性能，实验在IEEE 118-bus和300-bus电力系统上实施。通过三种对比实验进行性能验证。试验1，测试交流FDIA检测机制的准确概率；试验2，将本发明与其他半监督深度学习识别算法进行比较；试验3，带标签数据数量对检测性能的影响。

实验1：测试集与训练集性能

本发明检测性能如表3所示。从仿真结果可以看出，本发明能获得令人满意的交流FDIA检测准确率。

表3

实验2：与其他半监督FDIA检测方法的对比实验

表4

实验3：带标签数据对检测性能的影响实验

为研究带标签数据对检测性能的影响，在网络训练期间，我们减少带标签训练样本数量。将带标签样本数量从500-1000之间变化，实验系统为118bus系统。当标签数量仅为500时，本发明可达到接近91％的准确度，如表5所示，说明了本发明网络有效性，主要原因是本发明采用了基于通道注意力模块的GAN，在提升样本数量的同时，也优化了分类识别性能。

表5

综上，本发明提出的方案能够根据提取得到的FDIA特征向量，设计小样本背景下的攻击样本数量与样本质量增强网络，从而实现高准确度的攻击识别。实现高准确度FDIA分类识别功能，实现基于生成对抗网络的攻击检测，为智能电网提供攻击检测的安全策略依据。

本发明第二方面公开了一种基于状态估计的虚假数据攻击检测系统。图9为根据本发明实施例的一种基于状态估计的虚假数据攻击检测系统的结构图；如图9所示，所述系统100包括：

第一处理模块101，被配置为，采集电力系统变量，并将变量输入状态估计器，得到状态估计值；

第二处理模块102，被配置为，将所述状态估计值输入第一深度学习网络，得到频域及空域特征向量；

第三处理模块103，被配置为，将所述频域及空域特征向量输入第二深度学习网络，得到时域特征向量；

第四处理模块104，被配置为，将所述状态估计值、频域及空域特征向量和时域特征向量输入基于GAN网络的攻击检测器，得到攻击识别结果。

根据本发明第二方面的系统，所述第一处理模块101，被配置为，所述电力系统变量包括：电压、潮流、有功功率和无功功率。

根据本发明第二方面的系统，所述第二处理模块102，被配置为，所述第一深度学习网络为3DCNN网络。

根据本发明第二方面的系统，所述第一处理模块101，被配置为，所述第二深度学习网络为GRU网络。

根据本发明第二方面的系统，所述第四处理模块104，被配置为，基于GAN网络的攻击检测器的生成器采用U-net作为架构，所述生成器将U-net原有的卷积层与反卷积层之间的nception Res网络，替换为Dense net网络。

根据本发明第二方面的系统，所述第四处理模块，被配置为，对于基于GAN网络的攻击检测器的判决器，利用残差块取代原有GAN网络判决器的二维卷积。

根据本发明第二方面的系统，所述第四处理模块104，被配置为，所述判决器在原有GAN网络判决器的softmax函数之前，引入注意力模块GAM。

本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本发明公开第一方面中任一项的一种基于状态估计的虚假数据攻击检测方法中的步骤。

图10为根据本发明实施例的一种电子设备的结构图，如图10所示，电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该电子设备的输入装置可以是显示屏上覆盖的触摸层，也可以是电子设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图10中示出的结构，仅仅是与本公开的技术方案相关的部分的结构图，并不构成对本申请方案所应用于其上的电子设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本发明公开第一方面中任一项的一种基于状态估计的虚假数据攻击检测方法中的步骤中的步骤。

请注意，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。