基于数据还原的电力网络恶意攻击检测方法及系统

摘要

本发明公开了一种基于数据还原的电力网络恶意攻击检测方法及系统，根据历史样本数据，建立样本集动态安全域，并计算样本集动态安全域的聚类中心；计算目标检测样本相对于聚类中心的对称点，确定与对称点的最邻近量测值样本集合；计算注入恶意数据，通过恶意数据攻击特征的深度匹配实现网络攻击行为的判定。本发明实现了隐性恶意数据攻击的检测，克服了当前检测方法只能有效检测具有明显异常点特性的网络攻击行为的缺陷。

说明书

技术领域

本发明涉及电力系统信息物理安全技术领域，具体是一种基于数据还原的电力网络恶意攻击检测方法及系统。

背景技术

电力系统是国家关键基础设施，其安全运行对保障国民经济和社会稳定至关重要。为了实现电网的可靠和高效运行，大量的传感器将现场的实时工况数据通过电力通信网络传递到控制中心，调度员通过收到的实时数据实现对电力系统运行的监控。在这一过程中，攻击者可以向所采集的电力实时量测值中注入恶意数据，误导控制中心做出错误决策，导致发生线路跳闸甚至连锁故障等严重安全事故。

现有的恶意数据检测方法只能检测传统的噪声数据或者具有明显“异常点”特性的恶意数据。然而近期相关研究表明，攻击者可以将恶意数据隐藏于正常样本附近，不具有明显的“异常点”特征，从而实现更为隐蔽的恶意数据攻击。此类攻击手段可以有效逃脱现有恶意数据检测方法，因此，研究一种针对此类隐秘性恶意数据攻击的检测方法是目前亟待解决的问题。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种基于数据还原的电力网络恶意攻击检测方法及系统，深入剖析隐秘性虚假数据攻击的原理以及被攻击的量测值样本所表现的异常行为特征，有效解决了上述隐秘性恶意数据攻击难以检测的问题。

为解决上述技术问题，本发明所采用的技术方案是：一种基于数据还原的电力网络恶意攻击检测方法，包括以下步骤：

S1、输入电力系统拓扑结构以及正常历史量测值样本，组成正常量测值样本集Z

S2、根据所述正常量测值样本集Z

S3、根据步骤S2中建立的动态安全域，将待检测样本结合正常量测样本的分布情况进行关联分析；

S4、以所述聚类中心为对称中心，计算待检测样本z′在所述动态安全域中的对称点z″；

S5、计算所述对称点z″的K个最近邻样本集Z

S6、根据所述差值Δz，对恶意数据攻击行为特征进行深度匹配验证。

具有高隐身性能的恶意攻击数据隐藏于正常量测样本的动态安全域内，因此难以与正常数据相分离，从而导致现有技术难以有效检测。本发明充分挖掘了高隐身恶意数据的攻击行为特征，即遭受攻击的原始量测样本与携带恶意数据的量测样本在动态安全域内近似对称分布。鉴于此，本发明利用关联分析和数据挖掘方法近似还原遭受攻击样本的原始数据，然后对分离数据进行攻击特征的深度匹配，解决了高隐身攻击数据难以检测的难题，提升了恶意数据攻击检测的精度。

不失一般性，可以认为被攻击的量测值样本与攻击后携带恶意数据的量测值样本在动态安全域内近似对称分布。因此，作为攻击目标的原始量测值样本与携带恶意数据的量测值样本的对称点距离将非常相近。通过K最近邻算法所求得的以对称点为类别属性中心的K个最近邻样本中，将会包含原始量测值样本。此外，考虑到攻击者通常基于局部拓扑参数信息构造局部攻击数据，攻击数据Δz通常满足三个特征：攻击数据连通性、数据一致性以及攻击边界“壁垒效应”。因此在得到疑似遭受攻击的样本集与待检测样本的差值时，可通过本申请方案中的攻击数据连通性、数据一致性以及攻击边界“壁垒效应”三个特征行为进行深度验证，进一步确定遭受恶意数据攻击的样本。

步骤S2的具体实现过程包括：

1)对正常量测值样本集Z

2)计算低维样本集合Z

此步骤通过主成分分析的方法将n个历史量测值样本数据处理，将高维样本数据映射到低维空间中，对原始数据进行了特征提取和关联分析。其优势在于充分利用了正常量测样本集，并且降低了数据维度从而克服数据分析过程中所面临的维数灾难，通过分析电力系统历史数据得到一个负荷波动的动态安全域，为恶意数据的检测提供了基础。

步骤S3包括：将待检测样本z′与正常量测值样本集Z

此步骤的基本思路是通过使用所建立的动态安全域对待检测样本进行初步分析，将待检测样本数据映射到便于观察的低维空间中。其优势在于可直观的研究待检测样本与所有量测值样本之间的分布情况，最大限度的分离了正常数据和异常数据的特征。当待检测样本远离当前运行状态下的动态安全域时，即认为待检测样本是携带恶意数据的异常样本，有助于筛选出遭受恶意数据攻击的量测值样本。

步骤S4中，对称点z″的计算公式为：

步骤S5的具体实现过程包括：

I)计算类别属性中心点，即对称点z″与低维样本集Z

II)将经步骤II)计算得到的所有欧式距离按照从小到大进行排序，选取最小的K个元素，并求得这K个元素在Z

III)利用下式计算所述最近邻样本集Z

此步骤通过引入K最近邻算法，将遭受恶意数据攻击的量测样本在动态安全域内的大致分布情况进行了定位。其优势在于利用恶意数据的异常行为特征，对遭受攻击的原始量测样本的分布范围进行了精准的定位，实现了量测样本搜索空间的压缩，克服了具有高隐身性的电力恶意数据攻击行为特征难以分析的难题，提高了计算效率和检测精确度。

步骤S6的具体实现过程包括：将步骤5中所求差值集合Δz中的每一个差值Δz

对于任意一个差值向量Δz

对于任意一个差值向量Δz

A)对Δz中非零元素所涉及的相关线路以及节点进行相关性分析，验证这些节点和线路能否构成一个闭合的局部区域，若不能，则认为这些节点和线路之间的相关性低，Δz不是攻击者注入的恶意攻击向量；若可以形成相应的闭合局部区域，则认为此时待检测样本为疑似遭受恶意数据攻击的样本，Δz为恶意攻击注入向量，进入步骤B)；

B)验证Δz中非零元素是否满足恶意数据攻击的数据一致性原则，即计算Δz中攻击区域的元素是否能够使得待检测样本z′躲过状态估计的不良数据检测：即判断

C)获取攻击区域A与非攻击区域N相连接的边界节点，记为集合Ω，验证这些边界节点的相位角增量以及电压幅值变化是否满足局部电力恶意数据攻击的“壁垒条件”，若满足，则Δz

其中，Δθ

此步骤建立在基于不完全信息的局部恶意数据攻击模型下，将电力系统拓扑结构划分为攻击区域A以及未知的非攻击区域N，更符合实际攻击场景。其优势在于可以根据恶意数据的攻击特征，综合利用攻击数据的局部注入特征、数据一致性原则以及“壁垒效应”对携带恶意数据的样本与原始样本之间差值向量Δz中的每一个元素进行进行攻击特征深度匹配，提升攻击检测的精度。中的每一个样本是否遭受恶意数据攻击

本发明还提供了一种基于数据还原的电力网络恶意攻击检测系统，其包括计算机设备；所述计算机设备被配置或编程为用于执行上述方法的步骤。

与现有技术相比，本发明所具有的有益效果为：本发明充分考虑到传统电力恶意数据攻击与隐性电力恶意数据攻击将导致遭受攻击的量测值样本具有截然不同的异常行为特征，提出了一种基于数据还原法的电力系统恶意数据攻击检测方法。该检测方法一方面建立了正常电力量测值样本数据的动态安全域，精确的挑选出具有明显异常行为特征的恶意数据攻击样本。另一方面，深入挖掘了隐性恶意数据攻击模型的异常行为特征，所提出的检测方法克服了当前恶意数据攻击检测方法无法检测隐性恶意数据攻击的不足之处，对于电力网络安全防御策略的制定具有重要的意义。

附图说明

图1是本发明的实施流程图。

图2是本发明实施例中IEEE14节点系统的攻击区域A和非攻击区域N的结构图。

图3为本发明实施例中受到恶意数据攻击后的样本分布情况。

图4为本发明实施例中正常样本聚类中心以及对称点的分布情况。

图5为本发明实施例中所求5个最近邻样本集Z

具体实施方式

图1为本发明实施例提供的基于数据还原的电力网络恶意攻击检测方法的流程图，具体的实施步骤如下：

步骤S1：输入电力系统拓扑结构以及正常历史量测值样本，组成正常量测值样本集Z

步骤S2：根据步骤S1中所得的正常量测值样本集Z

步骤S3：根据步骤S2中建立的动态安全域，将待检测样本z′结合正常量测值样本的分布情况进行关联分析；

步骤S4：以步骤S2所得的聚类中心为对称中心计算z′在动态安全域中的对称点z″；

步骤S5：根据步骤S4中所得对称点z″，通过K最近邻算法计算对称点的K个最近邻样本集Z

步骤S6：根据步骤S5中所求得的每个恶意数据Δz，对这些恶意数据攻击行为特征进行深度匹配验证。

进一步作为优选的实施方式，步骤S1包括：

输入当前电力系统拓扑结构下n个正常的历史量测值样本，组成正常量测值样本集Z

Z

其中，z

z

其中p

进一步作为优选的实施方式，步骤S2包括：

步骤S2-1，对步骤S1中输入的正常量测值样本集Z

步骤S2-2，计算低维样本集合Zr中n个样本之间的欧式距离以求出当前电力系统运行状态下量测值数据动态安全域的波动范围，计算公式如下：

其中d

当前电网发展趋势中，风、光等可再生能源的规模占比逐渐增大。由于风电、光伏出力易受天气影响，使得电力系统安全运行的不确定性因素显著增加。此外，电力系统固有的量测误差以及运行方式的频繁变化，均导致电力系统量测值样本存在较大波动，即电力系统量测值样本的波动范围存在一个有界动态安全域。

步骤S2-3：通过K均值聚类的方法，计算低维样本集合Z

上述步骤S2中，本发明对复杂的高维量测值样本进行数据降维处理，对当前量测值样本进行主成分分析，提取其主要特征数据，降低了数据分析的复杂度。基于所得低维数据样本，本发明建立相应的量测值动态安全域，可直观的分析遭受恶意数据攻击的量测值样本的异常行为特征，为正常量测值样本和异常量测值样本的特征分离提供了基础。

进一步作为优选的实施方式，步骤S3包括：

步骤S3-1：将待检测样本z′与正常量测值样本集Z

Z

将训练数据样本集Z

通常认为，若被恶意数据攻击或者其他干扰方式破坏的量测值样本将会存在明显固有的异常行为特征。对于一个遭受恶意数据攻击的待检测样本z′，其异常行为特征表现在动态安全域上时，认为经过降维处理后的r维特征数据z′

步骤S3-2：根据低维样本集合Z′

其中，

上述步骤S3中，首先对z′是否为异常样本进行了初步的判断，即当z′的低维数据样本z′

进一步作为优选的实施方式，步骤S4包括：

以步骤S2所得的聚类中心o为对称中心，计算z′在经过降维处理后所得低维样本数据z′

其中x′

z′

z″＝[x″

这里对所谓的对称点z″做出相应说明，z″不代表原始训练样本的中的某一个样本，没有具体的物理意义，而仅仅是在动态安全域中计算出的一个用于搜索疑似遭受攻击样本的坐标点。

进一步作为优选的实施方式，步骤S5包括：

步骤S5-1：根据步骤S4中所得对称点z″，通过K最近邻算法找到与对称点z″最邻近的K个量测值样本。

进一步作为优选的实施方式，步骤S5-1包括：

步骤S5-1-1：确定求解K最近邻样本集合的类别属性中心点。本发明以步骤S4中所得对称点z″为类别属性中心点，求得z″在低维样本集Z

步骤S5-1-2：计算类别属性中心点z″与低维样本集Z

其中，

步骤S5-1-3：将步骤S5-1-2中所得的距离指标向量d中元素的值按照从小到大进行排序，选取最小的K个元素，并求得这K个元素在Z

这里对步骤S5-1进行进一步的说明：针对不具有明显异常点特性的电力恶意数据攻击的现有研究表明，此类攻击手段是将一个位于动态安全域边缘附近的目标量测值样本移动到动态安全域另一端位于边缘的量测值样本附近。现有研究表明，若一个携带恶意数据的异常样本与目标样本在动态安全域中的分布距离越远，则此时所注入的恶意数据所具有的危害程度越大(如发生甩负荷或者线路过载等严重后果)。因此，若攻击者想要通过恶意数据攻击对电力系统的运行造成严重的威胁，则最好的策略就是在满足一定约束条件之下使得目标量测值样本与受攻击后的样本在动态安全域的范围内具有最远的分布距离。

而从构造攻击的原理上讲，一个可行域范围内相距最远的两个点是以o为中心相对称的。不失一般性，可以认为被攻击的量测值样本与攻击后携带恶意数据的量测值样本在动态安全域内的分布情况形成以o为对称中心的近似对称关系。因此，作为攻击目标的原始量测值样本与携带恶意数据的量测值样本的对称点z″距离非常相近。通过K最近邻算法所求得的以对称点z″为类别属性中心的K个最近邻样本中，将会包含原始量测值样本。

步骤S5-2：计算步骤S5-1所求K最近邻量测值样本集Z

Δz

其中Z

ΔZ＝[Δz

进一步的，若Z

上述步骤S5中，本发明对隐性电力恶意数据攻击的异常行为特征进行充分挖掘，提出携带恶意数据的量测值样本在动态安全域内的分布规律，即携带恶意数据的待检测样本与遭受攻击的原始样本在动态安全域内的分布情况形成以o为中心的近似对称关系。建立在这一特征的基础上，本发明使用K最近邻算法有效的将遭受恶意篡改的目标量测值样本的搜索范围进行了压缩，有助于检测待检测样本是否携带恶意数据。

进一步作为优选的实施方式，步骤S6包括：

步骤S6-1：将步骤S5所求ΔZ＝[Δz

Δz

其中，Δz

其中，

进一步的，对Δz的元素划分进行说明：电力系统的参数信息为敏感信息，将受到高等级的保护。考虑到攻击者的有限资源，因此攻击者难以获取整个网络的参数信息。此外，攻击者必须付出一定的攻击代价进行量测值的修改，考虑到攻击者的有限攻击能力，大规模的篡改电力量测值也并不现实。所以在实际情况中，攻击者往往只能修改局部区域的少量量测数据，即将电力系统拓扑结构划分为攻击区域A以及非攻击区域N。因此，在实际的电力恶意数据攻击模型中，攻击者只需在攻击区域A中构造满足一定约束的局部恶意数据注入向量。假设待检测样本z′为受到恶意数据攻击的异常样本，则z′与目标攻击样本之间的差值Δz中，只有位于攻击区域A的量测值元素Δz

步骤S6-2：分析Δz中所包含的非零元素，验证其是否满足电力恶意数据攻击的构造原则。

进一步作为优选的实施方式，步骤S6-2包括：

步骤S6-2-1：将Δz中非零元素所涉及的相关线路以及节点进行相关性分析，验证这些节点和线路能否形成一个闭合的局部区域。若不能则认为这些节点和线路之间的相关性较低，Δz不是攻击者注入的恶意攻击向量；若可以形成相应的闭合局部区域，则认为此时待检测样本为疑似遭受恶意数据攻击的样本，Δz即可能为恶意攻击注入向量，并对Δz中攻击区域的元素进行进一步的验证。

步骤S6-2-2：验证Δz中非零元素是否满足恶意数据攻击的数据一致性原则，即计算Δz中攻击区域的元素是否能够使得待检测样本z′躲过状态估计的不良数据检测，其计算公式如下：

其中，z′

进一步的，γ为待检测样本的系统残差，τ为待检测样本躲过状态估计不良数据检测的残差阈值。若z′可以通过残差检验，则待检测样本z′遭受恶意数据攻击的嫌疑进一步加重，并Δz

步骤S6-2-3：根据步骤S6-2-1所得攻击区域A以及非攻击区域N，求得区域A与区域N相连接的边界节点，记为集合Ω，验证这些边界节点的相位角增量以及电压幅值变化是否满足局部电力恶意数据攻击的“壁垒条件”，其计算公式如下：

Δθ

其中，Δθ

进一步的，对步骤S6-2进行说明：由于攻击者难以获取全部的电力拓扑结构和相应的参数信息，因此，在实际情况中，攻击者往往针对某个局部区域发动电力恶意数据攻击。为了保证注入局部区域恶意数据的隐蔽性，必须满足上述“壁垒条件”，即在恶意数据注入向量Δz

上述步骤S6中，本发明通过对待检测样本与Z

实施例

进一步的，本发明给出了IEEE14节点的恶意数据攻击检测的实施例。如图2所示，本发明实施例中所采用的IEEE14节点的拓扑结构可分为攻击区域A以及非攻击区域N。其中，对于攻击区域A，以节点nd

进一步的，在本发明实施例中，根据IEEE14节点标准算例求得最优潮流下的基准负荷z

在本发明实施例中，对所设定攻击区域内包含的每条线路进行恶意数据攻击，两条线路的潮流增量超过了极限，即l

进一步的，如图4所示，本发明实施例通过步骤S4求得当前状态下动态安全域的聚类中心o以及待检测样本z′以o为对称中心的对称点z″。从图4中可以观察到，目标攻击样本z1与对称点z″的分布情况非常接近，因此通过步骤S5可求得K个最近邻样本集Z

1)元素构成：分析每个差值中所包含的数据特征，即Δz中的元素是否只有少量为非零元素，而多数为零元素。

显然，从表I中可以看出第二列的差值Δz

2)非零元素的拓扑结构：通过第一个验证条件得出疑似遭受攻击样本z

从表I中可得，将Δz

进一步的，可求得上述节点和线路行程的攻击区域A通过节点nd

3)数据一致性检验以及壁垒条件检验：

首先，根据步骤S6-2-2，验证

0-5.208+18.434-11.472-1.754＝0 (18)

因此，可以认为差值Δz

表I.Z

其次，验证将攻击区域A相关的负荷数据和线路潮流是否满足“壁垒条件”，在直流模型下，电阻忽略不计，则所注入的恶意数据不会引起电压幅值变化，因此“壁垒条件”中的电压幅值条件可以忽略。此外，相角条件可变换为θ

表II.攻击区域内各节点相角增量

根据上述三个检验标准，可认为Z