基于物理系统和信息网络异常数据融合的智能电网攻击检测方法

摘要

本发明提出了一种基于物理系统和信息网络异常数据融合的智能电网攻击检测方法，包括：1)在物理层，基于智能电网中的电力监测数据计算出各个节点电力数据的异常度；2)在信息层，利用入侵检测系统监控通信流量，生成针对异常通信流量的报警事件，以此计算出系统各个节点网络通信的异常度；3）基于节点的编号-网络地址（ID-IP）映射表，将各节点电力数据和网络通信的异常度进行关联，判定各节点是否受到攻击。该方法针对智能电网物理层和信息层紧密联系的特性，将传统的电网异常数据检测方法和信息系统中的攻击检测方法进行有效的结合，能显著提高智能电网中攻击检测的检测精度。

说明书

技术领域：

本发明涉及智能电网攻击检测领域，特别涉及一种基于物理系统和信息网 络异常数据融合的智能电网攻击检测方法。

背景技术：

智能电网利用信息网络技术对传统电力网络中发电、输电、配电和耗电设备 进行实时监测和优化控制，实现了信息和电力的双向流动，实现节能减排、增强 稳定性等目标。然而，信息网络技术的引入在给人们带来便利的同时，也引入了 新的安全威胁。传统电力网络中，攻击者主要通过破坏电网的物理基础设施实现 对电网的破坏和干扰；在智能电网中，攻击者可以通过信息网络，攻击智能电网 中的设备，篡改数据，使电网的数据出现错误，从而导致电网的状态监控和决策 出现失误，达到攻击的目的，这种攻击方式通过信息层渗透到物理层，具有同时 和信息层和物理层有关联的特点。

因此，人们提出了智能电网攻击的检测方法。目前针对智能电网攻击的检测 方法主要分为两类：

1）传统电网采用的检测方法，即电网的状态估计和标准化残差检测（RN 检测）。

2）信息网络采用的检测方法，即通过入侵检测系统进行攻击检测，根据报 警事件进行分析。

传统的电网采用的RN检测方法，由于节点间的数据相互耦合紧密，导致计 算后的误报率很高，很可能会出现攻击了节点i，结果i以外的几个节点检测到 攻击，而i节点反而没有检测到攻击。降低RN检测的判定阈值可以降低漏报同 时提高误报率，提高RN检测的判定阈值可以降低误报率同时提高漏报率。在误 报率和漏报率之间必须有所折中，单纯通过改变RN检测的阈值并不能同时降低 误报率和漏报率。

信息网络采用的入侵检测方法，首先基于通信数据包特征进行匹配分析，产 生报警事件，然后通过报警事件的威胁度计算节点的威胁度，通过威胁度的大小 确定节点是否受到攻击。入侵检测系统在漏报率和误报率中也需要折中，实际应 用中为了尽可能降低漏报率（在实际系统中漏报的威胁比误报的威胁要大得多）， 使系统具有很高的误报率，过多的攻击报警使得对报警的处理变得很困难。

发明内容：

本发明的目的在于提供一种基于物理系统和信息网络异常数据融合的智能 电网攻击检测方法，以克服上述单独从物理层或信息层进行智能电网攻击检测的 局限性。

本发明的目的通过以下技术方案实现：

基于物理系统和信息网络异常数据融合的智能电网攻击检测方法，包括如下 步骤：

步骤S1：智能电网控制中心根据从电网各量测节点上报的电力观测数值， 进行异常数据检测，得到智能电网各节点在物理层的异常度；

步骤S2：通过部署在智能电网的入侵检测系统，生成信息层的报警事件， 计算这些报警事件的异常度，利用这些报警事件的异常度计算出智能电网各节点 在信息层的异常度；

步骤S3：将各节点在物理层和在信息层的异常度进行标准化，关联匹配， 并对匹配后的异常度向量进行判断，判定各节点是否受到攻击。

本发明进一步的改进在于：步骤S1具体包括以下步骤：

步骤S101：依据电网系统各量测节点的观测值Z，利用加权最小二乘估计 的方法对电力系统进行状态估计，计算出电网系统真实状态值的估计其估计 的目标函数为观测值z包括节点有功功率， 节点无功功率；x表示电网系统的状态，包括电压幅值、电压相角；e表示观测 误差，h表征由x计算z的换算函数，由电网系统的结构和线路阻抗参数决定， z=h(x)+e；R表示误差矩阵，对角线元素为各节点量测误差的方差，其余元 素为零；

步骤S102：由计算系统的观测状态值的估计

步骤S103：计算观测状态值的估计和实际观测值z的偏差作为物理层的 异常度，记id为节点的编号，t时刻编号为id的节点物理层异常度记为 $\mathrm{AP}(\mathrm{id},t)=z_{\mathrm{id}}-{\hat{z}}_{\mathrm{id}}.$

本发明进一步的改进在于：步骤S2具体包括以下步骤：

步骤S201：通过基于规则的入侵检测系统，对入侵检测系统中监控的数据通 信进行过滤分析，按照入侵检测系统中预设的规则产生报警事件，并存入报警日 志数据库；

步骤S202：计算报警事件的威胁度：m(ip,j,t)=k^{priority(AC(ip,t,j))}，m(ip,j,t) 表示网络地址为ip的节点在t时刻的第j号报警事件的威胁度，K为常数，取值 为3或5；priority(AC(ip,t,j))表示网络地址为ip的节点在t时刻的第j号报警事件的 威胁程度，取值为1～5的整数；

步骤S203：根据报警事件的威胁度计算各节点的威胁度：

节点在信息层异常度计算方法为：

$\mathrm{AC}(\mathrm{ip},t)=\underset{j=1}{\overset{\mathrm{NumAC}(\mathrm{ip},t)}{\Sigma }}m(\mathrm{ip},j,t)=\underset{j=1}{\overset{\mathrm{NumAC}(\mathrm{ip},t)}{\Sigma }}{k}^{\mathrm{priority}\left(\mathrm{AC}(\mathrm{ip},t,j)\right)}$

NumAC(ip,t)表示在[t,t+T)段内的目的网络地址为ip的节点的报警事件的 总数，T为采样间隔；AC(ip,t)表示网络目的地址为ip的节点在t时刻的异常 度，AC(ip,t,j)表示网络地址为ip的节点在t时刻的第j号报警事件， 1≤j≤NumAC(ip,t)。

本发明进一步的改进在于：步骤S202中从报警日志数据库中提取出待检测 时间段所产生的报警事件的数据进行分析，待分析的数据格式为：<ip_src,ip_dst, timestamp,sig_id,sig_name,sig_pripority>，其中ip_src表示数据包的网络源地 址；ip_dst表示数据包的网络目的地址；timestamp表示时间戳；sig_id表示事 件的编号；sig_name描述事件的具体特征；sig_pripority表示事件的威胁程度， 取值范围1～5。

本发明进一步的改进在于：步骤S2中一个ip对应一个物理节点。

本发明进一步的改进在于：所述步骤S3具体包括以下步骤：

步骤S301、S302：将各节点在物理层的异常度和在信息层的异常度分别进 行标准化；

步骤S303：基于节点的编号-网络地址映射表，生成关联后的异常度向量

步骤S304：通过显著性检验的方法，构造接受域和拒绝域，对异常度向量 进行攻击检测，输出各节点是否受到攻击的检测结果。

本发明进一步的改进在于：标准化的方法采用Z-score方法，即对样本X， 标准化样本其中μ为样本X的均值，σ为样本X的标准差； 节点的物理异常度和信息异常度标准化后分别为和

本发明进一步的改进在于：步骤S304中，接受域为S1或S2：

S₁={(AP_i,AC_i)|AP_i+AC_i<Ω₁}

S₂={(AP_i,AC_i)|AP_i*AC_i<Ω₂}

如果检测样本在接受域之外，系统受到了攻击，否则系统没有受到攻击；其 中，关联后的异常度向量简记为(AP_i,AC_i)。

本发明进一步的改进在于：Ω₁和Ω₂的取值均为2.25。

相对于现有技术，本发明具有以下优点：

（1）本发明将原来单独使用的物理层和信息层的攻击检测方法巧妙地结合 了起来。传统物理层的攻击检测方法误报率和漏报率都不够理想，信息层的攻击 检测方法为了减少漏报率不可避免地存在高误报，将两者进行融合能有效改善检 测的效果，提高检测精度。

（2）本发明在原有物理层和信息层检测的基础上，将物理层和信息层异常 度结合起来进行假设检验，和原有的方法相比，计算复杂度和原来分别单独使用 两种方法时基本相同。

（3）本发明是在原有物理层和信息层检测方法的基础上进行的改进，可以 复用原有方法的基础设施，不需要额外的硬件开销，具体良好的适应性。

由于单纯从物理层或信息层考虑进行攻击检测，效果都具有局限性，因此针 对以上问题，本发明提出一种更好的攻击检测方法，同时利用智能电网的物理层 和信息层的数据，根据攻击同时和信息层和物理层有关联的特点，将两者的信息 量进行有效的互补结合，算法的运算量较低，通过很小的代价，具有比单纯从物 理层或信息层检测都更好的检测精度。

附图说明

图1为本发明基于物理系统和信息网络异常数据融合的智能电网攻击检测 方法整体流程示意图；

图2为智能电网各节点物理层异常度生成过程流程图；

图3为智能电网各节点信息层异常度生成过程流程图；

图4为基于物理层和信息层数据融合的攻击检测流程图；

图5为IEEE14bus标准测试案例的结构图。

具体实施方式

以下结合附图详细说明本发明基于物理和信息数据融合的智能电网攻击检 测方法的实施方式。

图5为IEEE14bus的标准测试案例的系统结构图，包含14节点（bus）和 20个分支（branch）。在matlab上利用matpower进行测试案例的仿真，构造攻 击的方式为：对13号节点进行攻击，将该节点的有功功率修改为原来的1.5倍； 信息层的报警事件产生的规则为：在无攻击情况下产生报警的数量服从概率取值 很小的二项分布，报警的威胁程度同样服从概率很小的另一个二项分布；受到攻 击的13号节点的报警事件数量和报警威胁程度的分布的概率相应变大。

图1为基于物理网络和信息网络异常数据融合的智能电网攻击检测方法整体 流程图，显示了基于物理网络异常数据和信息网络异常数据的融合的智能电网攻 击检测方法的基本框架，其具体步骤包括：

S1：智能电网控制中心根据从电网物理网络各量测节点上报的电力观测值， 进行异常数据检测，得到智能电网各节点在物理层的异常度。

S2：通过部署在智能电网的入侵检测系统，生成信息层的报警事件，计算这 些报警事件的异常度，利用这些报警事件的异常度计算出智能电网各节点在信息 层的异常度。

S3：将各节点在物理层和在信息层的异常度进行标准化，关联匹配，并对匹 配后的异常度向量进行判断，判定各节点是否受到攻击。

结合图2，步骤S1中智能电网各节点物理层异常度生成过程具体包括如下 步骤：

步骤S101：依据电网系统各量测节点的观测值Z，利用加权最小二乘估计 （WLS）的方法对电力系统进行状态估计，计算出电网系统真实状态值的估计其估计的目标函数为观测值z包括节点有功 功率，节点无功功率；z=h(x)+e；x表示电网系统的状态，包括电压幅值、 电压相角；e表示观测误差；h表征由x计算z的换算函数，由电网系统的结构 和线路阻抗参数决定，为已知量，则它们之间满足：z=h(x)+e，为已知量； R为量测误差矩阵（对角线元素为各节点量测误差的方差，其余元素为零），R^-1为权重矩阵，节点的量测误差越大，对应分配的权重越小。

步骤S102：由计算系统的观测状态值的估计

步骤S103：计算观测状态值的估计和实际观测值z的偏差作为物理层的 异常度，记id为节点的编号，t时刻编号为id的节点物理层异常度记为 $\mathrm{AP}(\mathrm{id},t)=z_{\mathrm{id}}-{\hat{z}}_{\mathrm{id}}.$

结合图3，智能电网各节点信息层异常度生成过程具体包括如下步骤：

步骤S201：通过基于规则的入侵检测系统，对入侵检测系统中监控的数据通 信进行过滤分析，按照入侵检测系统中预设的规则产生报警事件，并存入报警日 志数据库；

步骤S202：计算报警事件的威胁度；从报警日志数据库中提取出待检测时间 段所产生的报警事件的数据进行分析，待分析的数据格式为：<ip_src,ip_dst, timestamp,sig_id,sig_name,sig_pripority>，其中ip_src表示数据包的网络源地 址；ip_dst表示数据包的网络目的地址；timestamp表示时间戳；sig_id表示事 件的编号；sig_name描述事件的具体特征；sig_pripority表示事件的威胁程度， 取值范围1～5，取值越大对应报警威胁程度越高。

令采样间隔取T，即在时刻t，从日志数据库中提取[t,t+T)段内的报警事件进 行计算；令NumAC(ip,t)表示在[t,t+T)段内的目的网络地址ip_dst为ip（一个 ip对应一个物理节点）的报警事件的总数，AC(ip,t)表示网络目的地址为ip的 节点在t时刻的异常度，AC(ip,t,j)表示网络地址为ip的节点在t时刻的第j号 报警事件，1≤j≤NumAC(ip,t)。报警事件的异常度计算方法为： m(ip,j,t)=k^{priority(AC(ip,t,j))}；K为常数，取值为3或5；priority(AC(ip,t,j))表示网络 地址为ip的节点在t时刻的第j号报警事件的威胁程度，取值为1～5的整数。

步骤S203：根据报警事件的威胁度计算各节点的威胁度。

节点在信息层异常度计算方法为：

$\mathrm{AC}(\mathrm{ip},t)=\underset{j=1}{\overset{\mathrm{NumAC}(\mathrm{ip},t)}{\Sigma }}m(\mathrm{ip},j,t)=\underset{j=1}{\overset{\mathrm{NumAC}(\mathrm{ip},t)}{\Sigma }}{k}^{\mathrm{priority}\left(\mathrm{AC}(\mathrm{ip},t,j)\right)}$

结合图4，基于物理层和信息层数据融合的攻击检测流程包括如下步骤：

步骤S301，S302：将各节点在物理层的异常度和在信息层的异常度分别进 行标准化，为融合作准备。标准化的方法采用Z-score方法，即对样本X，标准 化样本其中μ为样本X的均值，σ为样本X的标准差。节点 的物理异常度和信息异常度标准化后分别为和

步骤S303：基于节点的编号-网络地址（ID-IP）映射表，生成关联后的异常 度向量

步骤S304：通过显著性检验的方法，构造接受域和拒绝域，对异常度向量 进行攻击检测，输出各节点是否受到攻击的检测结果。

步骤S304中，用显著性检验的方法，假设系统没有受到攻击的情况下，设 定接受域S，如果检测样本在接受域之外，认为原假设不成立，作出系统受到了 攻击的结论，否则认为系统没有受到攻击。关联后的异常度向量简 记为(AP_i,AC_i)，接受域分别按照以下两种方式设定：

1）S₁={(AP_i,AC_i)|AP_i+AC_i<Ω₁}

2）S₂={(AP_i,AC_i)|AP_i*AC_i<Ω₂}

利用单独物理系统异常数据检测方法（阈值设为2.5）、单独信息网络异常检 测数据方法（阈值设为2.5），以及本发明基于物理系统和信息网络异常数据融 合的攻击检测方法（其中Ω₁和Ω₂的取值均为2.25），得到的检测结果如表1所 示，表中加粗并带下划线的数据为检测出有异常的数据。

表1IEEE14bus标准测试案例的攻击检测结果

从表1中数据可以看出，利用单独物理系统异常数据检测方法，12和19号 节点异常度超出了阈值，检测出有攻击事件（误报），13号节点没有检测出攻击 事件（漏报）；利用单独信息网络异常检测数据方法，13号节点成功检测到攻击 事件（正确报警），16号节点也检测出攻击事件（误报）；采用两种基于融合的 方法，都成功检测出13号节点的攻击事件（正确报警）。结果表明，采用基于融 合的方法，和原来单独使用物理系统异常数据和信息网络异常数据进行，能够有 效降低误报率和漏报率，提高了检测的精度。