本发明公开了一种基于典型变量差异度分析的交流电网隐蔽攻击检测方法,该方法包括:在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型;根据所述交流电网隐蔽攻击模型和系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量;根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流(56)对比文件Binbin Wang等.A cross-layer attackpath detection method for smart griddynamics.2022 5th InternationalConference on Advanced ElectronicMaterials, Computers and SoftwareEngineering (AEMCSE).2022,全文.张婷;曾庆鹏;高胜保;肖异瑶.基于时域背离特征分析的托攻击检测算法.南昌大学学报(工科版).2017,(01),全文.
1.一种基于典型变量差异度分析的交流电网隐蔽攻击检测方法,其特征在于,包括:在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型;
根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量;
根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测;
其中,在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型,包括:构建面向智能电网交流状态估计的稳态无损耗电力传输系统及其测量方程,所述稳态无损耗电力传输系统包含电表测量值向量、母线的电压幅值和相角作为状态变量,所述状态变量和测量值向量之间存在非线性关系;
根据所述稳态无损耗电力传输系统及其测量方程,基于交流场景下的加权最小二乘状态估计,通过最小化加权最小二乘误差,获得被估计的状态向量;
根据所述被估计的状态向量和当前k时刻的测量值向量,获取交流状态估计情形下 时刻在隐蔽攻击下的测量值残差;时刻在隐蔽攻击下的测量值残差 表示如下:;
其中字母的上标1表示这些状态变量和测量值都是正常的,字母的上标2表示这些状态变量和测量值被攻击者攻击, 表示在k时刻攻击者注入到测量值中的攻击变量;
根据所述测量值残差,获得交流电网状态估计情况下的交流电网隐蔽攻击模型;所述交流电网隐蔽攻击模型如下: ;其中字母的上标1表示这些状态变量和测量值都是正常的,字母的上标2表示这些状态变量和测量值被攻击者攻击, 表示在k时刻攻击者注入到测量值中的攻击变量; 表示增加到状态向量中的误差向量;
其中,根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量,包括:依据引入的状态转移方程,在原有的测量方程基础上,构成新的状态空间方程,新的状态空间方程如下:;
其中, 表示状态变量 之间的状态转移函数, 表示状态变量 和测量值向量 之间的非线性函数, 表示系统的过程噪声,表示系统的测量噪声,并且假设两者为不相关的零均值的高斯白噪声;
根据所述状态空间方程和电网的稳定运行状态,对状态空间方程进行线性化近似,得到线性化状态空间方程,近似的线性化模型可以表示如下:;
其中, 表示系统的状态转移矩阵,N表示状态变量的维数, 表示系统的过程噪声,表示系统的测量噪声,然而非线性状态空间方程的线性化之后,过程噪声和测量噪声不再服从高斯分布;为系统的雅克比矩阵;
根据所述线性化状态空间方程,构建并训练基于典型变量差异度分析的攻击检测模型,获得汉克矩阵奇异值分解过程中s维的左投影矩阵和右投影矩阵,s为奇异值分解过程中保留的前s个主特征值;基于典型变量分析的检测模型的训练过程包括:根据过去测量值向量 和将来测量值向量 构造汉克矩阵,其中 , , ;
对汉克矩阵 奇异值分解 ,获得过程中s维的左投影矩阵和右投影矩阵和 ,s为奇异值分解过程保留的前s个主特征值;
根据所述左投影矩阵和右投影矩阵,构建典型变量差异度分析变量 ,定义为基于过去测量值向量的预测状态和基于将来测量值向量的估计状态之间的不一致性或差异性,,其中当前k时刻的电表测量值包含在将来测量值向量 中, 为基于典型变量分析的奇异值分解过程中,保留前s个主特征值的s维对角阵;
根据所述典型变量差异度分析变量 ,构造基于典型变量差异度分析的攻击检测模型训练过程中的检测统计量D,新引入的检测统计量D在k时刻下的定义如下:;
其中, 为k时刻的检测统计量, 表示 的协方差矩阵,k为时刻;
其中,根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测,包括:根据过程噪声和测量噪声在线性化之后不再服从正态分布,使用核密度估计方法来估计检测统计量D的分布;具体是,给定置信水平 ,用 表示D统计量的检测阈值,检测阈值计算如下:;
其中 , 为随机变量 的测量值样本, 是测量值样本的个数, 被称为高斯核函数; 为最佳窗口宽度;
根据所述检测统计量D,执行在线检测过程,将计算出的k时刻的检测统计量 与检测阈值 进行比较,当 大于 时,则隐蔽攻击被有效地检测出来;若没有超出阈值,则没有隐蔽攻击发生。
2.一种基于典型变量差异度分析的交流电网隐蔽攻击检测装置,其特征在于,包括:分析建模模块,用于在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型;
构建训练模块,用于根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量;
检测模块,用于根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测;
第一构建单元,用于构建面向智能电网交流状态估计的稳态无损耗电力传输系统及其测量方程,所述稳态无损耗电力传输系统包含电表测量值向量、母线的电压幅值和相角作为状态变量,所述状态变量和测量值向量之间存在非线性关系;
第一计算单元,用于根据所述稳态无损耗电力传输系统及其测量方程,基于交流场景下的加权最小二乘状态估计,通过最小化加权最小二乘误差,获得被估计的状态向量;
第二计算单元,用于根据所述被估计的状态向量和当前k时刻的测量值向量,获取交流状态估计情形下 时刻在隐蔽攻击下的测量值残差;时刻在隐蔽攻击下的测量值残差 表示如下:;
其中字母的上标1表示这些状态变量和测量值都是正常的,字母的上标2表示这些状态变量和测量值被攻击者攻击, 表示在k时刻攻击者注入到测量值中的攻击变量;
第三计算单元,用于根据所述测量值残差,获得交流电网状态估计情况下的交流电网隐蔽攻击模型;所述交流电网隐蔽攻击模型如下: ;其中字母的上标1表示这些状态变量和测量值都是正常的,字母的上标2表示这些状态变量和测量值被攻击者攻击, 表示在k时刻攻击者注入到测量值中的攻击变量; 表示增加到状态向量中的误差向量; 为状态变量 的非线性函数, 为被估计的状态变量;
第二构建单元,用于依据引入的状态转移方程,在原有的测量方程基础上,构成新的状态空间方程,新的状态空间方程如下:;
其中, 表示状态变量 之间的状态转移函数, 表示状态变量 和测量值向量 之间的非线性函数, 表示系统的过程噪声,表示系统的测量噪声,并且假设两者为不相关的零均值的高斯白噪声;
线性化近似单元,用于根据所述状态空间方程和电网的稳定运行状态,对状态空间方程进行线性化近似,得到线性化状态空间方程,近似的线性化模型可以表示如下:;
其中, 表示系统的状态转移矩阵,N表示状态变量的维数, 表示系统的过程噪声,表示系统的测量噪声,然而非线性状态空间方程的线性化之后,过程噪声和测量噪声不再服从高斯分布;为系统的雅克比矩阵;
构建训练单元,用于根据所述线性化状态空间方程,构建并训练基于典型变量差异度分析的攻击检测模型,获得汉克矩阵奇异值分解过程中s维的左投影矩阵和右投影矩阵,s为奇异值分解过程中保留的前s个主特征值;基于典型变量分析的检测模型的训练过程包括:根据过去测量值向量 和将来测量值向量 构
;对汉克矩阵 奇异值分解 ,获得过程中s维的左投影矩阵和右投影矩阵 和 ,s为奇异值分解过程保留的前s个主特征值;
变量构建单元,用于根据所述左投影矩阵和右投影矩阵,构建典型变量差异度分析变量 , 定义为基于过去测量值向量的预测状态和基于将来测量值向量的估计状态之间的不一致性或差异性, ,其中当前k时刻的电表测量值包含在将来测量值向量 中, 为基于典型变量分析的奇异值分解过程中,保留前s个主特征值的s维对角阵;
统计量构建单元,用于根据所述典型变量差异度分析变量 ,构造基于典型变量差异度分析的攻击检测模型训练过程中的检测统计量D,新引入的检测统计量D在k时刻下的定义如下:;
其中, 为k时刻的检测统计量, 表示 的协方差矩阵,k为时刻;
估计单元,用于根据过程噪声和测量噪声在线性化之后不再服从正态分布,使用核密度估计方法来估计检测统计量D的分布;具体是,给定置信水平 ,用 表示D统计量的检测阈值,检测阈值 计算如下:;
其中 , 为随机变量 的测量值样本, 是测量值样本的个数, 被称为高斯核函数; 为最佳窗口宽度;
比较单元,用于根据所述检测统计量D,执行在线检测过程,将计算出的k时刻的检测统计量 与检测阈值 进行比较,当 大于 时,则隐蔽攻击被有效地检测出来;若没有超出阈值,则没有隐蔽攻击发生。
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1所述的方法。
4.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1所述方法的步骤。
基于典型变量差异度分析的交流电网隐蔽攻击检测方法
技术领域
[0001] 本申请涉及电网信息安全技术,具体地说是一种基于典型变量差异度分析的交流电网隐蔽攻击检测方法。
背景技术
[0002] 相比于传统的电力网络,智能电网一个明显特点就是由于其持续的双向的信息交互,生成了大量的数据。用户、电网和控制设备之间双向的信息交互给电能的供需平衡带来了极大的便利。站在电网的角度看,智能电网可以更好地管理网络中的电力设备,极大地提高电能供应的灵活性;而站在用户的角度看,消费者用电的用户体验和收费系统均可以得到有效提升。智能电网的安全需求和传统IT(Internet Technology)网络的优先级有所不同,从系统可靠性的角度来说,其优先级要求是:可用性大于完整性大于机密性。其次,智能电网的网络架构,使用的技术和服务质量的要求也有所不同。网络架构方面的不同主要表现在:智能电网采用几乎稳定的网络拓扑结构,而IT网络则常为灵活动态的网络拓扑;智能电网的一些现场设备要求和中心服务器同等的安全等级,而IT网络的中心服务器则需要更多的保护。使用的技术方面,智能电网需要专有的操作系统,使用专有的网络,并且使用的网络通信协议常基于IEC61850和DNP(Distributed Network Protocol)分布式网络通信协议。而IT网络则要求的是多样化的操作系统,采用公共网络,并且使用基于IP(Internet Protocol)的网络通信协议。在服务质量方面,智能电网对系统的重启是不可接受的,并且对传输延迟和故障有严格的限制;而IP网络则是允许重启系统的,并且也容许传输延迟和偶发的故障。
[0003] 针对电网隐蔽攻击防御方法总的来说可以分为两大类:即基于保护的隐蔽攻击防御机制和基于检测的隐蔽攻击防御机制。其中,基于保护的防御机制目的在于在隐蔽攻击发生前,提前对智能电网进行防护。而基于检测的防御机制目的在于在隐蔽攻击发生后,及时地将攻击检测和辨识出来。状态变量,例如母线电压相角,反映了电力系统的过程运行状态。通常,用智能电表直接测量电压相角是相当困难的。基于数据驱动方法的检测机制全都基于以下事实:正常测量值和受攻击的测量值在统计上是可以区分的,原因是正常电表测量值会受物理定律的约束,例如基尔霍夫定律,而这些受攻击的测量值便不再满足这些约束条件。已有文献提出基于实时主成分分析PCA的检测方法,该方法基于与收集的测量的相关性有关的提取信息。基于PCA的方法可以对隐蔽攻击提供准确而敏感的响应。但所提方法仅考虑在每个独立采样时间受基尔霍夫定律约束的离散测量的互相关性,忽略了在采样时间内的测量的自相关。但是,测量值之间确实存在互相之间的自相关性,这是因为智能电网中的天气状况和负载随系统的正常运行而变化。
[0004] 在直流状态估计中,通常基于测量噪声遵循高斯分布的假设来得出检测阈值。然而,交流状态估计中的噪声不遵循高斯分布,这使得难以检隐蔽攻击。其次,实际场景下,智能电网呈现非线性特性,如何在非线性交流状态估计场景下拥有良好的攻击检测性能更是所提检测算法关注的焦点。交流状态估计和直流状态估计主要区别如下。首先,与直流状态估计不同,交流状态估计中测量值和状态变量之间存在非线性函数关系。非线性关系使得隐蔽攻击的构建和检测都变得困难。在交流状态估计中的隐蔽攻击检测过程中,非线性关系使测量噪声和过程噪声不再遵循高斯分布,从而使隐蔽攻击的检测更加困难。
发明内容
[0005] 本申请实施例的目的是提供一种基于典型变量差异度分析的交流电网隐蔽攻击检测方法,以解决相关技术中存在的电网交流状态估计场景下对隐蔽式攻击的实时检测困难以及非线性噪声带来的检测率低、误警率高等技术问题。
[0006] 根据本申请实施例的第一方面,提供一种基于典型变量差异度分析的交流电网隐蔽攻击检测方法,包括:
[0007] 在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型;
[0008] 根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量;
[0009] 根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测。
[0010] 进一步地,在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型,包括:
[0011] 构建面向智能电网交流状态估计的稳态无损耗电力传输系统及其测量方程,所述稳态无损耗电力传输系统包含电表测量值向量、母线的电压幅值和相角作为状态变量,所述状态变量和测量值向量之间存在非线性关系;
[0012] 根据所述稳态无损耗电力传输系统及其测量方程,基于交流场景下的加权最小二乘状态估计,通过最小化加权最小二乘误差,获得被估计的状态向量;
[0013] 根据所述被估计的状态向量和当前k时刻的测量值向量,获取交流状态估计情形下 时刻在隐蔽攻击下的测量值残差;
[0014] 根据所述测量值残差,获得交流电网状态估计情况下的交流电网隐蔽攻击模型。
[0015] 进一步地,根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量,包括:
[0016] 依据引入的状态转移方程,在原有的测量方程基础上,构成新的状态空间方程;
[0017] 根据所述状态空间方程和电网的稳定运行状态,对状态空间方程进行线性化近似,得到线性化状态空间方程;
[0018] 根据所述线性化状态空间方程,构建并训练基于典型变量差异度分析的攻击检测模型,获得汉克矩阵奇异值分解过程中s维的左投影矩阵和右投影矩阵,s为奇异值分解过程中保留的前s个主特征值;
[0019] 根据所述左投影矩阵和右投影矩阵,构建典型变量差异度分析变量 ,定义为基于过去测量值向量的预测状态和基于将来测量值向量的估计状态之间的不一致性或差异性;
[0020] 根据所述典型变量差异度分析变量 ,构造基于典型变量差异度分析的攻击检测模型训练过程中的检测统计量D,新引入的检测统计量D在k时刻下的定义如下:
[0021]
[0022] 其中, 为k时刻的检测统计量, 表示 的协方差矩阵,k为时刻。
[0023] 进一步地,根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测,包括:
[0024] 根据过程噪声和测量噪声在线性化之后不再服从正态分布,使用核密度估计方法来估计检测统计量D的分布;
[0025] 根据所述检测统计量D,执行在线检测过程,将计算出的k时刻的检测统计量 与检测阈值 进行比较,当 大于 时,则隐蔽攻击被有效地检测出来;若没有超出阈值,则没有隐蔽攻击发生。
[0026] 根据本申请实施例的第二方面,提供一种基于典型变量差异度分析的交流电网隐蔽攻击检测装置,包括:
[0027] 分析建模模块,用于在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型;
[0028] 构建训练模块,用于根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量;
[0029] 检测模块,用于根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测。
[0030] 进一步地,分析建模模块,包括:
[0031] 第一构建单元,用于构建面向智能电网交流状态估计的稳态无损耗电力传输系统及其测量方程,所述稳态无损耗电力传输系统包含电表测量值向量、母线的电压幅值和相角作为状态变量,所述状态变量和测量值向量之间存在非线性关系;
[0032] 第一计算单元,用于根据所述稳态无损耗电力传输系统及其测量方程,基于交流场景下的加权最小二乘状态估计,通过最小化加权最小二乘误差,获得被估计的状态向量;
[0033] 第二计算单元,用于根据所述被估计的状态向量和当前k时刻的测量值向量,获取交流状态估计情形下 时刻在隐蔽攻击下的测量值残差;
[0034] 第三计算单元,用于根据所述测量值残差,获得交流电网状态估计情况下的交流电网隐蔽攻击模型。
[0035] 进一步地,构建训练模块,包括:
[0036] 第二构建单元,用于依据引入的状态转移方程,在原有的测量方程基础上,构成新的状态空间方程;
[0037] 线性化近似单元,用于根据所述状态空间方程和电网的稳定运行状态,对状态空间方程进行线性化近似,得到线性化状态空间方程;
[0038] 构建训练单元,用于根据所述线性化状态空间方程,构建并训练基于典型变量差异度分析的攻击检测模型,获得汉克矩阵奇异值分解过程中s维的左投影矩阵和右投影矩阵,s为奇异值分解过程中保留的前s个主特征值;
[0039] 变量构建单元,用于根据所述左投影矩阵和右投影矩阵,构建典型变量差异度分析变量 ,定义为基于过去测量值向量的预测状态和基于将来测量值向量的估计状态之间的不一致性或差异性;
[0040] 统计量构建单元,用于根据所述典型变量差异度分析变量 ,构造基于典型变量差异度分析的攻击检测模型训练过程中的检测统计量D,新引入的检测统计量D在k时刻下的定义如下:
[0041]
[0042] 其中, 为k时刻的检测统计量, 表示 的协方差矩阵,k为时刻。
[0043] 进一步地,检测模块,包括:
[0044] 估计单元,用于根据过程噪声和测量噪声在线性化之后不再服从正态分布,使用核密度估计方法来估计检测统计量D的分布;
[0045] 比较单元,用于根据所述检测统计量D,执行在线检测过程,将计算出的k时刻的检测统计量 与检测阈值 进行比较,当 大于 时,则隐蔽攻击被有效地检测出来;若没有超出阈值,则没有隐蔽攻击发生。
[0046] 根据本申请实施例的第三方面,提供一种电子设备,包括:
[0047] 一个或多个处理器;
[0048] 存储器,用于存储一个或多个程序;
[0049] 当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面所述的方法。
[0050] 根据本申请实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面所述方法的步骤。
[0051] 本申请的实施例提供的技术方案可以包括以下有益效果:
[0052] 由上述实施例可知,本申请综合考虑交流电网实际运行过程中的攻击约束和检测难点,所以实现了对电网隐蔽攻击机理的数学建模,进而挖掘出了面向交流状态估计过程的攻击检测机制所存在的漏洞。
[0053] 采用了核密度估计方法,克服了噪声在非线性交流场景下不遵循高斯分布的约束,进而达到了利用核密度估计方法来有效估计交流电网中过程噪声和测量噪声在非正态分布下的检测阈值,且并不需要获得电表的测量值遵循已知分布。
[0054] 采用基于过去测量值向量的预测状态和基于将来测量值向量的估计状态之间的差异性,引入新的检测统计量,克服了传统检测统计量存在的低效检测敏感性,进而实现所提检测算法在交流场景下对脆弱母线和非脆弱母线均有较好检测性能,响应速度快,检测率高,提高了检测性能。
[0055] 应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
[0056] 此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
[0057] 图1是根据一示例性实施例示出的一种基于典型变量差异度分析的交流电网隐蔽攻击检测方法的流程图。
[0058] 图2是根据一示例性实施例示出的IEEE‑14母线系统随时间变化负载率示意图。
[0059] 图3是根据一示例性实施例示出的训练阶段基于历史正常测量值的检测统计量示意图。
[0060] 图4是根据一示例性实施例示出的母线2电压幅值的随机攻击检测结果示意图。
[0061] 图5是根据一示例性实施例示出的母线8电压幅值隐蔽攻击检测结果示意图。
[0062] 图6是根据一示例性实施例示出的一种基于典型变量差异度分析的交流电网隐蔽攻击检测装置的框图。
具体实施方式
[0063] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0064] 在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0065] 应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0066] 图1是根据一示例性实施例示出的一种基于典型变量差异度分析的交流电网隐蔽攻击检测方法的流程图,如图1所示,该方法可以包括以下步骤:
[0067] S1:在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型;
[0068] S2:根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量;
[0069] S3:根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测。
[0070] 由上述实施例可知,本申请综合考虑交流电网实际运行过程中的攻击约束和检测难点,所以实现了对电网隐蔽攻击机理的数学建模,进而挖掘出了面向交流状态估计过程的攻击检测机制所存在的漏洞。
[0071] 采用了核密度估计方法,克服了噪声在非线性交流场景下不遵循高斯分布的约束,进而达到了利用核密度估计方法来有效估计交流电网中过程噪声和测量噪声在非正态分布下的检测阈值,且并不需要获得电表的测量值遵循已知分布。
[0072] 采用基于过去测量值向量的预测状态和基于将来测量值向量的估计状态之间的差异性,引入新的检测统计量,克服了传统检测统计量存在的低效检测敏感性,进而实现所提检测算法在交流场景下对脆弱母线和非脆弱母线均有较好检测性能,响应速度快,检测率高,提高了检测性能。
[0073] 在S1的具体实施中,在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型,包括:
[0074] S11:构建面向智能电网交流状态估计的稳态无损耗电力传输系统及其测量方程,所述稳态无损耗电力传输系统包含电表测量值向量、母线的电压幅值和相角作为状态变量,所述状态变量和测量值向量之间存在非线性关系;
[0075] 具体地,智能电网状态估计利用接收到的冗余测量值,如电压测量值、母线有功注入功率和无功注入功率,支路有功潮流和无功潮流,滤除掉接收测量值中的测量误差,实时获得准确运行状态。在智能电网交流潮流模型中,对于母线 和母线 之间的传输支路,用表示支路上有功潮流,用 表示支路上无功潮流,计算如下:
[0076]
[0077]
[0078] 其中,和 分别表示母线和母线 上的电压幅值, 表示母线和母线 支路上的导纳, 表示母线 的并联支路导纳, 表示母线 和母线 之间的相位
差。母线 上的有功潮流注入测量值 是母线 上有功发电量和有功功率需求之间的差,母线上的无功潮流注入测量值 是母线上无功发电量和无功功率需求之间的差。定义如下:
[0079]
[0080]
[0081] 其中, 表示导纳矩阵的第 个元素。 表示直接和母线相连的母线数。
[0082] 每个时刻的状态变量x包括母线的电压幅值和相角。在电网交流状态估计中,系统包含m个测量电表,状态变量x和测量值向量z之间的非线性关系记为:
[0083]
[0084] 其中,为 维的测量值向量。 为状态变量 的非线性函数, 为维的状态变量, 为 维的测量噪声向量,通常假设服从均值为零,方差为已
知的高斯分布,其对应的协方差矩阵为 ,可以被表示如下形式:
[0085]
[0086] 其中 ( )表示第 个电表的方差。
[0087] S12:根据所述稳态无损耗电力传输系统及其测量方程,基于交流场景下的加权最小二乘状态估计,通过最小化加权最小二乘误差,获得被估计的状态向量;
[0088] 具体地,交流场景下,采用加权最小二乘状态估计,通过最小化加权最小二乘误差以获得被估计的状态向量 。此处目标函数表示如下:
[0089]
[0090] 为了获得最小值,上述目标函数必须满足一阶最优条件,即:
[0091]
[0092] 其中, 被称为系统的雅克比矩阵。通过在状态向量 处利用泰勒展开式进行展开, 对应于系统的一个平稳起始点,非线性函数 可以展开为:
,其中 被称为增益矩阵,
表示迭代的索引, 表示在第 次迭代的解向量。忽略高阶项的影响,通过高斯牛顿法可以得到如下结果:
[0093]
[0094]
[0095] 其中 表示 时刻的状态增量,状态向量在初始时刻 的初始值 常被设置为零向量。当迭代过程满足如下条件:
[0096]
[0097] 状态估计过程结束,其中 为一个预定义的阈值。
[0098] S13:根据所述被估计的状态向量和当前k时刻的测量值向量,获取交流状态估计情形下 时刻在隐蔽攻击下的测量值残差;
[0099] 具体地,对于交流状态估计的情形,时刻在隐蔽攻击下的测量值残差 表示如下:
[0100]
[0101] 其中字母的上标1表示这些状态变量和测量值都是正常的,字母的上标2表示这些状态变量和测量值被攻击者攻击, 表示在k时刻攻击者注入到测量值中的攻击变量;
[0102] S14:根据所述测量值残差,获得交流电网状态估计情况下的交流电网隐蔽攻击模型。
[0103] 具体地,在交流状态估计情况下,隐蔽攻击的可隐藏条件应该满足如下条件,[0104]
[0105] 其中 表示增加到状态向量中的误差向量。从以上攻击的构建可以看出,在交流条件下攻击的构建比直流状态估计的条件下更为复杂。这是因为在交流系统中,除了知道有关传输线拓扑和导纳的先验信息外,攻击者还需要提前知道估计的状态向量。同时,攻击者还需要具有篡改仪表测量值的能力。尽管构造隐蔽在交流状态估计中更为复杂,但是成功的隐蔽攻击构建是可能的,因为攻击者可以延迟部分电力系统的SCADA测量,从而估计局部状态变量。传统的基于残差的 检测器和LNR检测器在隐蔽攻击下均会检测失效。
[0106] 在S2的具体实施中,根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量,包括以下步骤:
[0107] S21:依据引入的状态转移方程,在原有的测量方程基础上,构成新的状态空间方程;
[0108] 具体地,考虑未发生错误数据注入攻击时,电网处于稳定运行状态。当电力系统处于正常运行状态时,每个状态变量与每个连续时隙的观测测量值都存在时间相关性。此处假设被监视的电网系统具有状态空间实现。依据引入的状态转移方程,在原有的测量方程基础上,构成新的状态空间方程,
[0109]
[0110]
[0111] 其中, 表示状态变量 之间的状态转移函数, 表示状态变量 和测量值向量之间的非线性函数, 表示系统的过程噪声,表示系统的测量噪声,并且假设两者为不相关的零均值的高斯白噪声;
[0112] S22:根据所述状态空间方程和电网的稳定运行状态,对状态空间方程进行线性化近似,得到线性化状态空间方程;
[0113] 具体地,上述非线性状态空间模型在电网处于稳定运行状态可以用一个线性化的状态空间模型来近似,近似的线性化模型可以表示如下:
[0114]
[0115]
[0116] 其中, 表示系统的状态转移矩阵,N表示状态变量的维数, 表示系统的过程噪声,表示系统的测量噪声,然而非线性状态空间方程的线性化之后,过程噪声和测量噪声不再服从高斯分布;为系统的雅克比矩阵;
[0117] S23:根据所述线性化状态空间方程,构建并训练基于典型变量差异度分析的攻击检测模型,获得汉克矩阵奇异值分解过程中s维的左投影矩阵和右投影矩阵,s为奇异值分解过程中保留的前s个主特征值;
[0118] 具体地,执行基于典型变量分析的检测模型训练过程。首先根据过去测量值向量和将来测量值向量 构造汉克矩阵,其中 , , 。
对汉克矩阵 奇异值分解 ,获得过程中s维的左投影矩阵和右投影矩阵
和 ,s为奇异值分解过程保留的前s个主特征值。
[0119] S24:根据所述左投影矩阵和右投影矩阵,构建典型变量差异度分析变量 , 定义为基于过去测量值向量的预测状态和基于将来测量值向量的估计状态之间的不一致性或差异性;
[0120] 具体地,执行典型变量差异度分析,定义 为典型变量差异度分析过程中基于过去测量值向量 的预测状态和基于将来测量值向量 的估计状态之间的不一致性或差异性,表示公式如下:
[0121]
[0122] 其中当前k时刻的电表测量值包含在将来测量值向量 中, 为基于典型变量分析的奇异值分解过程中,保留前s个主特征值的s维对角阵;
[0123] S25:根据所述典型变量差异度分析变量 ,构造基于典型变量差异度分析的攻击检测模型训练过程中的检测统计量D,新引入的检测统计量D在k时刻下的定义如下:
[0124]
[0125] 其中, 为k时刻的检测统计量, 表示 的协方差矩阵,k为时刻。
[0126] 具体地,构造典型变量差异度分析模型训练过程中的检测统计量,新引入的检测统计量D在k时刻下的定义如下:
[0127]
[0128] 其中 表示 的协方差矩阵,可推导出 。
[0129] 交流场景下基于IEEE 14母线实验设置如下,电表测量配置电力系统总共包含41个SCADA测量值。这些测量包含八对有功和无功功率注入测量值,十二对有功和无功功率潮流测量值以及母线1电压幅值,该配置可使IEEE 14母线系统完全可观。详细配置如下:有功和无功功率测量分别在母线2,母线3,母线7,母线8,母线10,母线11,母线12和母线14处;有功和无功功率测量分别在分支1‑2,分支2‑3,分支4‑2,分支4‑7,分支4‑9,分支5‑2,分支5‑4,分支5‑6,分支6‑13,分支7‑9,分支11‑6和分支12‑13。假定接收到的智能电表测量值的测量误差服从正态分布,均值为零,标准偏差为0.01。
[0130] 将NYISO的真实负载数据与IEEE‑14母线系统相关联,系统中的负载率随时间变化如图2所示。将获得的系统负载率乘以每个母线的负载,可获得连续N个时隙的每个母线的负荷数据,时隙数N被设置为8338,其中前7000个数据被用来进行模型训练,后面1338组测量值数据被用来进行隐蔽攻击实时检测;图3为训练阶段基于历史正常测量值的检测统计量示意图。
[0131] 在S3的具体实施中,根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测,包括:
[0132] S31:根据过程噪声和测量噪声在线性化之后不再服从正态分布,使用核密度估计方法来估计检测统计量D的分布;
[0133] 具体地,过程噪声和测量噪声在线性化之后不再服从正态分布,在这种情形下,使用核密度估计方法来估计检测统计量D的分布。核密度估计是一种非参数概率密度函数估计方法。给定置信水平 ,用 表示D统计量的检测阈值。检测阈值 计算如下:
[0134]
[0135] 其中 , 为随机变量 的测量值样本, 是测量值样本的个数, 被称为高斯核函数,被定义为:
[0136]
[0137] 最佳窗口宽度近似为: ,其中 表示被估计的样本标准差;
[0138] S32:根据所述检测统计量D,执行在线检测过程,将计算出的k时刻的检测统计量与检测阈值 进行比较,当 大于 时,则隐蔽攻击被有效地检测出来;若没有超出阈值,则没有隐蔽攻击发生。
[0139] 具体地,在在线检测过程中,将计算出的检测统计量 与检测阈值 进行比较;当检测统计量 大于 时,则隐蔽攻击被有效地检测出来,并发出警报;若没有超出阈值,则没有隐蔽攻击发生。
[0140] IEEE‑14母线系统拓扑结构中不同母线的相邻母线数量不同,因此与它们相关的测量数量也不同。在IEEE‑14母线系统中,母线8被视为“弱”母线,只有母线7是它的相邻母线。攻击者只需要破坏4个电表测量,其中包括母线7和母线8的有功和无功功率注入测量。针对母线8的隐蔽攻击是成本最低的攻击,攻击者很容易实施。
[0141] 图4中隐蔽攻击被设置为母线2电压幅值的随机攻击,图5中隐蔽攻击被设置为斜坡信号,并且攻击强度从零逐渐增加到攻击状态变量的正常值的5%,可以观察最坏情况下的检测性能。这里最坏的情况是被攻击的测量次数最少,攻击强度逐渐增加。可以比较不同检测统计的检测性能。如果最坏情况下的检测性能良好,可以在其他情况下进一步使用所提出的检测方法。针对母线2电压幅值的随机攻击,所提的检测统计量D有很好的检测响应。
[0142] 图5中隐蔽攻击在时间k=739至1338时启动,此时攻击强度非常小,这意味着它小于过程噪声,因此不会检测到攻击。然而,当隐蔽攻击变大时,Q和D统计量可以比T2更早地检测到攻击。同时,可以发现,在电网正常状态下,Q统计量具有更多的误报。在两种攻击情形下,三个检测统计量具有良好检测结果,但Q的误报率为8.9%,大于其他统计量。当攻击强度较小时,D具有更好的攻击检测率和更低的误报率。总的来说,随着攻击强度的增加,这些检测统计值也相应地增加。将这三种检测统计量一起用于检测隐蔽攻击,并且所提检测机制可以被认为是隐蔽攻击检测的一种通用方法,具有高检测精度。
[0143] 与前述的一种基于典型变量差异度分析的交流电网隐蔽攻击检测方法的实施例相对应,本申请还提供了一种基于典型变量差异度分析的交流电网隐蔽攻击检测装置的实施例。
[0144] 图6是根据一示例性实施例示出的一种基于典型变量差异度分析的交流电网隐蔽攻击检测装置框图。参照图6,该装置包括:
[0145] 分析建模模块1,用于在智能电网交流状态估计场景下,对电网脆弱性进行分析,得到交流电网隐蔽攻击模型;
[0146] 构建训练模块2,用于根据所述交流电网隐蔽攻击模型和电网系统正常运行下的测量值数据,构建并训练基于典型变量差异度分析的攻击检测模型,同时在所述攻击检测模型中引入新的检测统计量;
[0147] 检测模块3,用于根据所述攻击检测模型和新的检测统计量及采集到的实时攻击状态下的测量值数据,再利用基于核密度估计方法对交流电网进行隐蔽攻击检测。
[0148] 所述分析建模模块1,包括:
[0149] 第一构建单元,用于构建面向智能电网交流状态估计的稳态无损耗电力传输系统及其测量方程,所述稳态无损耗电力传输系统包含电表测量值向量、母线的电压幅值和相角作为状态变量,所述状态变量和测量值向量之间存在非线性关系;
[0150] 第一计算单元,用于根据所述稳态无损耗电力传输系统及其测量方程,基于交流场景下的加权最小二乘状态估计,通过最小化加权最小二乘误差,获得被估计的状态向量;
[0151] 第二计算单元,用于根据所述被估计的状态向量和当前k时刻的测量值向量,获取交流状态估计情形下 时刻在隐蔽攻击下的测量值残差;
[0152] 第三计算单元,用于根据所述测量值残差,获得交流电网状态估计情况下的交流电网隐蔽攻击模型。
[0153] 所述构建训练模块2,包括:
[0154] 第二构建单元,用于依据引入的状态转移方程,在原有的测量方程基础上,构成新的状态空间方程;
[0155] 线性化近似单元,用于根据所述状态空间方程和电网的稳定运行状态,对状态空间方程进行线性化近似,得到线性化状态空间方程;
[0156] 构建训练单元,用于根据所述线性化状态空间方程,构建并训练基于典型变量差异度分析的攻击检测模型,获得汉克矩阵奇异值分解过程中s维的左投影矩阵和右投影矩阵,s为奇异值分解过程中保留的前s个主特征值;
[0157] 变量构建单元,用于根据所述左投影矩阵和右投影矩阵,构建典型变量差异度分析变量 ,定义为基于过去测量值向量的预测状态和基于将来测量值向量的估计状态之间的不一致性或差异性;
[0158] 统计量构建单元,用于根据所述典型变量差异度分析变量 ,构造基于典型变量差异度分析的攻击检测模型训练过程中的检测统计量D,新引入的检测统计量D在k时刻下的定义如下:
[0159]
[0160] 其中, 为k时刻的检测统计量, 表示 的协方差矩阵,k为时刻。
[0161] 所述检测模块3,包括:
[0162] 估计单元,用于根据过程噪声和测量噪声在线性化之后不再服从正态分布,使用核密度估计方法来估计检测统计量D的分布;
[0163] 比较单元,用于根据所述检测统计量D,执行在线检测过程,将计算出的k时刻的检测统计量 与检测阈值 进行比较,当 大于 时,则隐蔽攻击被有效地检测出来;若没有超出阈值,则没有隐蔽攻击发生。
[0164] 关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
[0165] 对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0166] 相应的,本申请还提供一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述的基于典型变量差异度分析的交流电网隐蔽攻击检测方法。
[0167] 相应的,本申请还提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述的基于典型变量差异度分析的交流电网隐蔽攻击检测方法。
[0168] 本领域技术人员在考虑说明书及实践这里公开的内容后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求指出。
[0169] 应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
