CN104125112B - 基于物理‑信息模糊推理的智能电网攻击检测方法 - Google Patents
基于物理‑信息模糊推理的智能电网攻击检测方法 Download PDFInfo
- Publication number
- CN104125112B CN104125112B CN201410366443.2A CN201410366443A CN104125112B CN 104125112 B CN104125112 B CN 104125112B CN 201410366443 A CN201410366443 A CN 201410366443A CN 104125112 B CN104125112 B CN 104125112B
- Authority
- CN
- China
- Prior art keywords
- fuzzy
- information
- physics
- abnormality degree
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Alarm Systems (AREA)
Abstract
本发明提出了一种基于物理‑信息模糊推理的智能电网攻击检测方法;该方法利用智能电网物理***和信息***紧密耦合的特性,通过分析智能电网电力量测数据与网络通信流量,利用物理‑信息模糊推理的方法来判定攻击行为,能显著降低检测的误报率,改善智能电网攻击检测的效果。
Description
技术领域:
本发明属于智能电网攻击检测技术领域,特别涉及一种基于物理-信息模糊推理的智能电网攻击检测方法。
背景技术:
智能电网将先进的传感量测技术、信息通信技术、自动控制技术、新能源技术与电网基础设施高度集成,支持能量和数据在电网中的双向流动。先进的信息网络显著提升了电力网络的可观性、可控性、实时性和自愈性;但与此同时,信息网络中的各种漏洞和攻击威胁使得攻击者有更多的途径渗透和入侵到电力***。典型的网络攻击方式如拒绝服务攻击、数据窃听、中间人攻击、流量重放攻击等,在智能电网等物理信息***中同样有效且危害更大。传统电力网络中,攻击者主要通过破坏电网的物理基础设施实现对电网的破坏和干扰;在智能电网中,攻击者可以通过信息网络入侵并攻击智能电网中的设备,通过篡改电网的数据,导致电网的状态监控和决策出现失误。这种攻击方式通过信息网络渗透到物理网络,具有同时与物理***和信息***有关联的特点。
传统电网安全检测技术基于电力***的物理规律,利用状态估计和RN检测等方法对不同节点的量测数据进行交叉验证,检测和辨识不良数据。但是由于这些方法基于电力***的物理规律,需要对实际***的各类量测误差、传输错误等有一定容忍能力,因此对局部的小规模伪造数据很难实现精确检测。在智能电网中,攻击者通过精心设计攻击场景,构造出满足物理规律约束或在***量测误差容忍程度范围内的错误数据来逃避***的异常检测,导致传统电网安全监控技术在检测精度、检测可信度、计算复杂度等方面都面临巨大挑战。
针对智能电网中信息安全技术引入后带来的安全问题,人们提出利用信息安全检测方法来保护智能电网。然而,信息网络安全技术不考虑物理***自身的价值,难以评估威胁的严重程度;同时检测方法大多误报率很高,从海量的异常报警中发现实际的攻击事件一直是网络安全领域的难点问题之一。
考虑到智能电网中物理***和信息***的强关联性,单纯从物理***或信息***角度考虑进行攻击检测的效果都具有明显的局限性。
发明内容:
为了克服上述现有技术的缺点,本发明的目的在于提供一种基于物理-信息模糊推理的智能电网攻击检测方法,以克服上述单独从物理***或信息***进行智能电网攻击检测的局限性,能够同时考虑到攻击对智能电网中的物理***和信息***造成的影响,利用物理***和信息***的检测信息互补结合,交叉验证,通过尽量低的运算代价得到比单纯从物理***或信息***进行检测更好的检测精度。
为了实现上述目的,本发明采用的技术方案是:
一种基于物理-信息模糊推理的智能电网攻击检测方法,包括如下步骤:
步骤S1:利用部署在智能电网中的电力量测设备和流量监控***得到智能电网的电力量测数据和设备通信流量;对得到的电力量测数据和设备通信流量分别进行异常事件检测,得到物理***异常度和信息***异常度;
步骤S2:基于电力量测设备和智能通信设备在传输线上的分布,将物理***和信息***的异常度进行关联融合,得到电力传输线路上的物理-信息异常度<C,P>;
步骤S3:利用知识库,将物理-信息异常度<C,P>由精确量转化为模糊化量,并用相应的模糊集合来表示;
步骤S4:结合知识库中的规则库,利用模糊逻辑中的蕴含关系及推理规则进行物理-信息模糊推理得出用相应模糊集合表示的电力传输线路上的异常度模糊化输出;
步骤S5:结合知识库将异常度模糊化输出反模糊化成精确量,得到用精确数值表示的线路上的物理-信息综合异常度F;
步骤S6:设定攻击检测阈值;若线路i的物理-信息综合异常度超过给定检测阈值,则判定线路i受到了攻击,否则判定线路i没有受到攻击。
本发明进一步的改进在于,步骤S1包括两个并行的部分:物理***异常度分析和信息***异常度分析。
本发明进一步的改进在于,所述步骤S2中,物理***和信息***的异常度进行关联融合的方法为:利用智能电网中每条被量测线路上部署有一个或多个通信设备,而每个设备在信息网络中对应有一个独立且唯一的IP地址的特点,通过<设备IP地址,设备所在线路编号>映射表将物理***和信息***的异常度进行关联。
本发明进一步的改进在于,所述知识库根据经验手动设定,包括数据库和模糊控制规则库两部分,数据库主要包括输入语言变量的隶属函数,以及模糊空间的分级数;规则库包括用模糊语言变量表示的一系列推理规则,规则反映了经验和知识。
本发明进一步的改进在于,所述步骤S3中,物理-信息***异常度模糊化的方法为:基于知识库中的输入语言变量的隶属函数,以及模糊空间的分级数,将精确量输入<C,P>进行模糊化处理变成模糊化量输入,并用相应的模糊集合来表示。
本发明进一步的改进在于,所述步骤S4中,物理信息模糊推理的方法为:将模糊化后的物理-信息异常度作为输入,结合知识库中的物理-信息模糊推理规则库,利用模糊逻辑中的蕴含关系及推理规则进行推理,得出用相应模糊集合表示的传输线路综合异常度输出。
本发明进一步的改进在于,所述步骤S5中,推理结果去模糊化的方法为:基于知识库中的输入语言变量的隶属函数,以及模糊空间的分级数,将用模糊集合表示的综合异常度输出结果反模糊化成精确量,即物理-信息综合异常度F=[F1;F2;...;Fn]。
本发明进一步的改进在于,所述步骤S6中,攻击事件判定的方法为:设定检测阈值为ε,取值范围为0.2-0.8之间,若Fi≥ε,则判定线路i受到了攻击,若Fi<ε,则判定线路i没有受到攻击。
与现有技术相比,本发明的有益效果是:
(1)本发明充分利用智能电网中物理***(电力网络)和信息***(通信网络)之间的强耦合性和密不可分性,通过将传统的电力***检测方法和信息***检测方法结合起来,利用两者的信息进行交叉验证,能够有效地提高检测精度,降低误报率。
(2)本发明利用模糊推理***进行最终的融合推理决策。与传统的推理方法相比,模糊推理的输入和输出关系高度灵活,可以很好地将自然语言表征的专家经验应用于推理决策。
(3)本发明的检测方法是对原有的物理***和信息***的检测方法的改进和提升,在原有检测方法的检测结果基础上进行分析,可以在原有***的基础上通过软件升级的方式进行部署,不需要额外的硬件开销。
(4)本发明中物理***检测和信息***检测同时进行,由数据处理和模糊推理带来的运算量开销增量很低,整体运算开销和原来的检测方法基本相同。通过很小的运算开销可以实现检测性能的显著提升。
附图说明
图1为IEEE-14节点标准电力***测试案例的结构图。
图2为本发明基于物理-信息模糊推理的智能电网攻击检测方法整体流程图。
图3为智能电网物理***异常度分析过程流程图。
图4为智能电网信息***异常度分析过程流程图。
图5为IEEE-14节点标准电力***中物理***异常度模糊变量的隶属度函数图。
图6为IEEE-14节点标准电力***中信息***异常度模糊变量的隶属度函数图。
图7为IEEE-14节点标准电力***中模糊推理***模糊输出异常度的隶属度函数图。
图8为IEEE-14节点标准电力***中在特定输入下进行物理-信息模糊推理得到的模糊输出量隶属度函数图。
具体实施方式
下面结合附图和实施例详细说明本发明的实施方式。
以IEEE-14节点标准电力***测试案例为例说明智能电网攻击检测方法的仿真实验设定:
图1为IEEE-14节点标准电力***测试案例的***结构图,***包含14个节点和20个支路,其中节点1、2、3、6、8是发电节点,节点4、5、7、9、10、11、12、13、14是负荷节点,节点之间通过20条传输线路连接。利用matpower工具箱对该测试***的电力***进行仿真,仿真过程中通过修改电力***中的线路量测数据实现对线路的不良数据注入攻击,攻击的注入率n定义为被攻击线路有功功率的增加或减少量为原***所有线路有功功率均值的n倍。
通过建立IDS中报警数量和威胁度的生成模型对智能电网的通信***检测进行仿真。IDS中报警数量和威胁度的生成模型可表述为:
1)正常情况下:智能电网的物理量测数据只受到量测误差的影响,一个采样区间内线路上的报警数量服从均值为2的泊松分布,威胁度用均值为0.8的负指数分布来近似,得到的威胁度超过5(威胁程度的取值上限)的取为5,小于5的向上取整;
2)发生不良数据注入攻击的情况下:信息***中的IDS会模拟由于检测到攻击带来的异常流量,导致被攻击线路上的报警数量增加5个,且增加的报警的威胁程度取4或5的概率都为0.5。
对IEEE-14节点***进行不良数据注入攻击,并采用三种不同的方法进行攻击检测,以对比分析检测的效果。三种攻击检测方法分别为:
1)单纯基于物理***的攻击检测方法:采用传统的rN检测方法,当标准残差|rN,i|超过阈值2.25,则认为线路i在(t-αT,t]时间段内受到了攻击。
2)单纯基于信息***的攻击检测方法:采用IDS进行攻击检测,攻击行为和报警事件由实验仿真生成。IDS检测的效果由仿真模型参数和***的规模所决定,不会受到攻击注入率的影响。
3)基于物理-信息模糊推理的智能电网攻击检测方法:采用本发明提出的方法,将物理网络和信息网络的检测数据进行关联融合,并通过模糊推理得到的***整体异常度Fi。将和设定阈值ε进行比较,如超过给定阈值则认为在线路i处遭到了攻击,反之亦然。
以下结合附图2、3、4详细说明本发明基于物理和信息数据融合的智能电网攻击检测方法的实施方式。
图2是基于物理-信息模糊推理的智能电网攻击检测方法整体流程图,显示了基于物理-信息模糊推理的智能电网攻击检测方法的基本框架,其具体步骤包括:
步骤S1:利用部署在智能电网中的电力量测设备和流量监控***得到智能电网的电力量测数据和设备通信流量;对得到的电力量测数据和设备通信流量分别进行异常事件检测,得到物理***异常度和信息***异常度。步骤S1包括两个并行的部分:物理***异常度分析和信息***异常度分析,两者的计算过程是并行且相互独立的。
结合图3,具体而言,步骤S1中智能电网物理***异常度分析过程具体包括如下步骤:
步骤S101:通过电力量测设备得到电力***的量测量z,利用加权最小二乘估计的方法对量测量z进行状态估计,计算出电网***状态量的估计值假定电力***中具有m个量测量,n个状态量,令x=(x1,x2,...,xn)T表征电力***的状态量,包括节点的电压幅值和电压相角,z=(z1,z2,...,zm)T表征***的量测量,包括传输线路上的有功功率和无功功率,e=(e1,e2,...,em)T表征***的量测误差,满足z=h(x)+e,h是导纳矩阵,由***的结构和线路阻抗参数决定,表征由x计算z的换算函数,R为量测误差方差阵(对角线元素为各节点量测误差的方差,其余元素为零);的计算公式为:
步骤S102:由计算***的量测量估计
步骤S103:计算残差即量测量与量测量估计之差;
步骤S104:计算标准化残差其中D=diag[E(rrT)]为协方差矩阵的对角阵,E(rrT)为残差r的协方差矩阵;
步骤S105:对rN样本值进行z-score标准化,得到均值为0、标准差为1的计算公式为其中,μN为rN的均值,σN为rN的标准差。表征了物理***的异常度,表征电力拓扑中线路i的异常度。
结合图4,具体而言,步骤S1中智能电网信息***异常度分析过程具体包括如下步骤:
步骤S101′:利用入侵检测***监控智能电网中的通信流量,对流量进行过滤分析产生报警事件,并存入入侵检测数据库;报警事件的特征包括报警时间、源IP地址、目的IP地址以及威胁度(表征事件严重程度的优先级属性,取值从1到5);
步骤S102′:假设采样检测周期为T,采样时刻为t;从入侵检测数据库中提取出时间段δ=(t-αT,t]内的报警事件及其相关特征,其中α是可调正整数,α越大,取样分析的时间段越长,一般取3到5之间;记智能电网中所有设备的IP地址数量总和为l,设备IP地址集合表示为IP={IP1,IP2,…,IPl};记在时间段δ内产生了k条报警事件,ki为目的地址来自设备IPi的报警事件数量;记ai,j为来自设备IPi的第j个报警事件,所有报警事件的集合为
步骤S103′:计算其中qi,j为报警事件ai,j的威胁度;对wi,j进行最大值归一化处理得到报警事件ai,j的异常度
步骤S104′:将上次采样计算得到的IPi的异常度Wi'通过加权滑动平均的方式引入到本次采样计算的结果中,加权滑动平均的遗忘因子为λ;考虑到报警事件在后续时间上产生的影响,假定报警事件ai,j威胁度随着时间增长的衰减因子为βi,j;计算得到本次采样中IPi对应设备的异常度Wi:
W=(Wi,Wi,...,Wi)表征了信息***的异常度。在实验仿真中,暂不考虑时间因素,因此令λ=0,βi,j=1。
步骤S2:利用智能电网中每条被量测线路上的一个或多个通信设备在信息网络中具有唯一的IP地址的特点,通过<设备IP地址,设备所在线路编号>映射表将物理***和信息***的异常度进行关联。表征电力拓扑中线路i的异常度,Wi表征网络拓扑中设备IPi的异常度;假设线路i处有s台设备,IP地址分别为IP1,IP2,...,IPs,取线路i处的信息异常度为线路i处的物理异常度为矢量<Ci,Pi>表征线路i处的物理-信息异常度,矩阵<C,P>=[C1,P1;C2,P2;...;Cn,Pn]表征整个***通过物理信息***数据关联后得到的所有线路的物理-信息异常度,作为下一步处理的输入。
步骤S3:基于知识库中的输入语言变量的隶属函数,以及模糊空间的分级数等,将输入的精确量<C,P>进行模糊化处理变成模糊化量,并用相应的模糊集合来表示。
根据样本分析得出受攻击线路和未受攻击线路的物理-信息异常度<Ci,Pi>分布特性,采用网格分割的方式可以确定出输入和输出空间的模糊分割、隶属度函数以及模糊规则。
对线路i,模糊推理***的输入量为线路i在物理***和信息***两方面的异常度:
1)Pi:物理***异常度,论域为[-2,5],用small,middle,fair large,large四个模糊变量进行表征,模糊变量的隶属度函数如图5所示,横坐标表示论域,纵坐标表示隶属度,表征精确量隶属于某一模糊语言变量的程度;
2)Ci:信息***异常度,论域为[0,6],用small,middle,fair large,large四个模糊变量进行表征,模糊变量的隶属度函数如图6所示。
模糊推理***的输出量是对***的整体异常度的评价,用Fi表示,论域设定为[0,1],用zero,very low,low,middle,large这五个模糊量进行表征,模糊变量的隶属度函数如图7所示。
步骤S4:将模糊化后的物理-信息异常度作为输入,结合知识库中的物理-信息模糊推理规则库,利用模糊逻辑中的蕴含关系及推理规则进行推理,得出用相应模糊集合表示的传输线路综合异常度输出。
知识库根据专家经验手动设定,包括数据库和模糊控制规则库两部分。数据库主要包括输入语言变量的隶属函数,以及模糊空间的分级数等;规则库包括用模糊语言变量表示的一系列推理规则,规则反映了专家的经验和知识物理-信息模糊推理规则库是根据在无攻击发生和有攻击发生情况下智能电网的物理***和信息***异常度的关联特性来制定。规则表定义如表1所示,关联特性表现为:在无攻击发生的情况下,智能电网中检测出来的物理***异常度和信息***异常度都很低(例如规则:如果Ci是small且Pi是small,则Fi是zero);在攻击发生的情况下,检测出来的物理***异常度和信息***异常度都偏高(例如规则:如果Ci是fair large且Pi是fair large,则Fi是large);如果检测到物理***异常度偏高而信息***异常度很低,则很可能是物理***检测方法的误报造成的(例如规则:如果Ci是small且Pi是fair large,则Fi是very low);如果检测到单独信息***异常度很高而物理***异常度很低,则很可能是信息***检测方法的误报造成的(例如规则:如果Ci是fair large且Pi是small,则Fi是low)。
表1 IEEE14节点***模糊推理规则表
步骤S5:结合知识库将模糊化推理结果反模糊化成精确量,得到用精确数值表示的线路上的物理-信息综合异常度F;推理结果去模糊化的方法为:基于知识库中的输入语言变量的隶属函数,以及模糊空间的分级数等,将用模糊集合表示的综合异常度输出结果反模糊化成精确量,即物理-信息综合异常度F=[F1;F2;...;Fn]。
以下结合表1和图5、6、7、8举例说明线路i上基于物理-信息模糊推理的攻击检测过程:
1)模糊化:假定Ci和Pi的精确量都取值为1,从图6可以看出,Ci隶属于模糊语言small和middle的程度都为0.5,隶属于fair large和large的程度为0,可表示为 同理结合体图5可得到Pi的隶属度函数为
2)物理-信息模糊逻辑推理:隶属度程度为0的在推理结果中也是0,可以不考虑。因此规则表中只有两条规则对计算结果有影响:
(1)如果Ci是small且Pi是middle,则Fi是zero;
(2)如果Ci是middle且Pi是middle,则Fi是low;
采用“max-min”合成的方式进行规则的合成运算,即对n维模糊向量x和y,合成运算“о”的计算方式为其中“∧”代表取最小运算,“∨”代表取最大运算。利用模糊逻辑运算得到输出Fi隶属于各模糊语言变量的程度如图8蓝色阴影区域所示:
3)反模糊化:采用面积重心法,即计算图8蓝色阴影部分μF'的加权均值z0。设横坐标为z,计算公式为:
如图8中竖直虚线所示,计算得到此时的z0=0.2111即为反模糊化后得到的***异常度。
步骤S6:设定攻击检测阈值ε为0.45。若线路i的物理-信息综合异常度Fi≥ε,则判定线路i受到了攻击,若Fi<ε,则判定线路i没有受到攻击。
下面结合表格讨论实验仿真的结果。其中方法2(单纯基于信息***的攻击检测方法)的检测效果不受注入率影响,报警误报率很高,平均误报率为0.8889,漏报率接近于0,后续讨论时不具体列出其报警的个数和威胁度,也不再体现在表格中。
对IEEE-14节点***进行一次注入率为4的攻击,将该节点的有功功率修改为原来的4倍,并采用三种不同的方法进行攻击检测。本发明基于物理-信息模糊推理的智能电网攻击检测方法得到的检测结果如表2所示,其中ID代表线路的编号,rN,i代表线路i上量测估计值的标准化残差,Pi代表线路i的物理***异常度,Ci代表线路i的信息***异常度,Fi代表物理-信息模糊推理后得到的线路i的异常度。
表2对线路5进行注入攻击后的检测过程
从表2中可以看出,在对第5条线路进行注入攻击后,由于线路间的耦合关系,方法1(单纯基于物理***的攻击检测)会检测到线路1到线路7都受到了攻击(标准化残差值超过给定阈值2.25);而基于信息网络的攻击检测的报警误报率很高,平均误报率为0.8889;采用本发明提出的基于物理-信息模糊逻辑推理的攻击检测方法利用物理-信息异常度,通过模糊推理,得到推理后的异常度,通过阈值判定,准确判定出只有线路5受到了攻击(超过给定阈值0.45)。
在注入率为2、4和6时,分别对IEEE-14节点标准电力***反复执行遍历攻击100次,遍历攻击的方式为:将线路的有功功率的量测量修改为原来的k倍,依次遍历。统计出各检测方法的误报率和漏报率如表3所示,其中方法1指单纯基于物理***的攻击检测方法;方法2指单纯基于信息***的检测方法,其检测效果不受注入率的影响,平均误报率为0.8889,而漏报率为0,不列在表3中;方法3指本发明中提出的基于物理-信息模糊推理的智能电网攻击检测方法。从表3可以分析得出,随着攻击强度(注入率)增大,方法1的误报率升高、漏报率降低,而方法2的误报率基本变化不大,漏报率降低。
表3 IEEE14节点***不同注入率下的检测效果
分析表2和表3的结果可知,由于本发明提出的检测方法充分利用了基于物理***的攻击检测方法和基于信息***的攻击检测方法的信息量,因此检测效果明显优于这两种检测方法。本发明提出的检测方法基本不受注入攻击强度变化的影响,且能够在保证漏报率足够低的情况下明显降低检测的误报率。
Claims (7)
1.一种基于物理-信息模糊推理的智能电网攻击检测方法,其特征在于,包括如下步骤:
步骤S1:利用部署在智能电网中的电力量测设备和流量监控***得到智能电网的电力量测数据和设备通信流量;对得到的电力量测数据和设备通信流量分别进行异常事件检测,得到物理***异常度和信息***异常度;
步骤S2:基于电力量测设备和智能通信设备在传输线上的分布,将物理***和信息***的异常度进行关联融合,得到电力传输线路上的物理-信息异常度<C,P>;所述物理-信息异常度<C,P>=[C1,P1;C2,P2;...;Cn,Pn],为一个矩阵,表征整个***通过物理信息***数据关联后得到的所有线路的物理-信息异常度,假设线路i处有s台设备,IP地址分别为IP1,IP2,...,IPs,则线路i处的信息异常度为其中Wi为来IPi对应设备的异常度;线路i处的物理异常度为 表征电力拓扑中线路i的异常度;矢量<Ci,Pi>表征线路i处的物理-信息异常度;
步骤S3:利用知识库,将物理-信息异常度<C,P>由精确量转化为模糊化量,并用相应的模糊集合来表示;
步骤S4:结合知识库中的规则库,利用模糊逻辑中的蕴含关系及推理规则进行物理-信息模糊推理得出用相应模糊集合表示的电力传输线路上的异常度模糊化输出;
步骤S5:结合知识库将异常度模糊化输出反模糊化成精确量,得到用精确数值表示的线路上的物理-信息综合异常度;
步骤S6:设定攻击检测阈值;若线路i的物理-信息综合异常度超过给定检测阈值,则判定线路i受到了攻击,否则判定线路i没有受到攻击;
其中,步骤S1包括两个并行的部分:物理***异常度分析和信息***异常度分析,所述物理***异常度分析过程如下:
步骤S101:通过电力量测设备得到电力***的量测量z,利用加权最小二乘估计的方法对量测量z进行状态估计,计算出电网***状态量的估计值假定电力***中具有m个量测量,n个状态量,令x=(x1,x2,...,xn)T表征电力***的状态量,包括节点的电压幅值和电压相角,z=(z1,z2,...,zm)T表征***的量测量,包括传输线路上的有功功率和无功功率,e=(e1,e2,...,em)T表征***的量测误差,满足z=h(x)+e,h(x)是导纳矩阵,由***的结构和线路阻抗参数决定,表征由x计算z的换算函数,R为量测误差方差阵,其中对角线元素为各节点量测误差的方差,其余元素为零;计算公式为:
步骤S102:由计算***的量测量估计
步骤S103:计算残差即量测量与量测量估计之差;
步骤S104:计算标准化残差其中D=diag[E(rrT)]为协方差矩阵的对角阵,E(rrT)为残差r的协方差矩阵;
步骤S105:对rN样本值进行z-score标准化,得到均值为0、标准差为1的计算公式为其中,μN为rN的均值,σN为rN的标准差,表征了物理***的异常度,表征电力拓扑中线路i的异常度;
所述信息***异常度分析过程如下:
步骤S101′:监控智能电网中的通信流量,对流量进行过滤分析产生报警事件,并存入入侵检测数据库;报警事件的特征包括报警时间、源IP地址、目的IP地址以及威胁度,威胁度表征事件严重程度的优先级属性,取值从1到5;
步骤S102′:假设采样检测周期为T,采样时刻为t;从入侵检测数据库中提取出时间段δ=(t-αT,t]内的报警事件及其相关特征,其中α是可调正整数,α越大,取样分析的时间段越长,一般取3到5之间;记智能电网中所有设备的IP地址数量总和为l,设备IP地址集合表示为IP={IP1,IP2,…,IPl};记在时间段δ内产生了k条报警事件,ki为目的地址来自设备IPi的报警事件数量;记ai,j为来自设备IPi的第j个报警事件,所有报警事件的集合为
步骤S103′:计算其中qi,j为报警事件ai,j的威胁度;对wi,j进行最大值归一化处理得到报警事件ai,j的异常度
步骤S104′:将上次采样计算得到的IPi的异常度Wi'通过加权滑动平均的方式引入到本次采样计算的结果中,加权滑动平均的遗忘因子为λ;考虑到报警事件在后续时间上产生的影响,假定报警事件ai,j威胁度随着时间增长的衰减因子为βi,j;计算得到本次采样中IPi对应设备的异常度Wi:
W=(Wi,Wi,...,Wi)表征了信息***的异常度。
2.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法,其特征在于,所述步骤S2中,物理***和信息***的异常度进行关联融合的方法为:利用智能电网中每条被量测线路上部署有一个或多个通信设备,而每个设备在信息网络中对应有一个独立且唯一的IP地址的特点,通过<设备IP地址,设备所在线路编号>映射表将物理***和信息***的异常度进行关联。
3.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法,其特征在于,所述知识库根据经验手动设定,包括数据库和模糊控制规则库两部分,数据库主要包括输入语言变量的隶属函数,以及模糊空间的分级数;规则库包括用模糊语言变量表示的一系列推理规则,规则反映了经验和知识。
4.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法,其特征在于,所述步骤S3中,物理-信息***异常度模糊化的方法为:基于知识库中的输入语言变量的隶属函数,以及模糊空间的分级数,将精确量输入<C,P>进行模糊化处理变成模糊化量输入,并用相应的模糊集合来表示。
5.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法,其特征在于,所述步骤S4中,物理信息模糊推理的方法为:将模糊化后的物理-信息异常度作为输入,结合知识库中的物理-信息模糊推理规则库,利用模糊逻辑中的蕴含关系及推理规则进行推理,得出用相应模糊集合表示的传输线路综合异常度输出。
6.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法,其特征在于,所述步骤S5中,推理结果去模糊化的方法为:基于知识库中的输入语言变量的隶属函数,以及模糊空间的分级数,将用模糊集合表示的综合异常度输出结果反模糊化成精确量,即物理-信息综合异常度F=[F1;F2;...;Fn]。
7.根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法,其特征在于,所述步骤S6中,攻击事件判定的方法为:设定检测阈值为ε,取值范围为0.2-0.8之间,若Fi≥ε,则判定线路i受到了攻击,若Fi<ε,则判定线路i没有受到攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410366443.2A CN104125112B (zh) | 2014-07-29 | 2014-07-29 | 基于物理‑信息模糊推理的智能电网攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410366443.2A CN104125112B (zh) | 2014-07-29 | 2014-07-29 | 基于物理‑信息模糊推理的智能电网攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104125112A CN104125112A (zh) | 2014-10-29 |
CN104125112B true CN104125112B (zh) | 2017-04-19 |
Family
ID=51770381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410366443.2A Active CN104125112B (zh) | 2014-07-29 | 2014-07-29 | 基于物理‑信息模糊推理的智能电网攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104125112B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104899513B (zh) * | 2015-06-01 | 2018-06-19 | 上海云物信息技术有限公司 | 一种工业控制***恶意数据攻击的数据图检测方法 |
CN105827611B (zh) * | 2016-04-06 | 2018-12-28 | 清华大学 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和*** |
CN106127047B (zh) * | 2016-06-24 | 2018-09-21 | 河海大学 | 一种基于延森-香农距离的电力***恶意数据检测方法 |
CN106817363B (zh) * | 2016-12-24 | 2020-06-26 | 国网江苏省电力公司信息通信分公司 | 基于神经网络的智能电表异常检测方法 |
CN106656610A (zh) * | 2016-12-27 | 2017-05-10 | 上海科梁信息工程股份有限公司 | 电力信息***安全性测试***及方法 |
CN106874766B (zh) * | 2017-04-09 | 2018-11-13 | 上海云剑信息技术有限公司 | 电力***中单点数据攻击的白盒检测方法 |
CN108645436A (zh) * | 2018-06-20 | 2018-10-12 | 首都师范大学 | 一种在存在瞬态故障时传感器的攻击检测和识别方法 |
CN110276200A (zh) * | 2019-06-27 | 2019-09-24 | 南京邮电大学 | 一种电力信息***状态转移概率的确定方法 |
CN110736890B (zh) * | 2019-10-31 | 2021-07-20 | 国网河南省电力公司信息通信公司 | 一种配电网数据安全预警*** |
CN110855650B (zh) * | 2019-11-05 | 2021-05-07 | 西安交通大学 | 一种非法文件上传检测方法 |
CN112019526B (zh) * | 2020-08-11 | 2021-08-13 | 北京航空航天大学 | 一种基于多特征融合的期望轨迹信号攻击检测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1889776A (zh) * | 2006-07-28 | 2007-01-03 | 北京航空航天大学 | 一种基于模糊逻辑的垂直切换控制***及控制方法 |
CN102004486A (zh) * | 2010-09-26 | 2011-04-06 | 中国石油化工股份有限公司 | 石化过程中基于定性sdg的故障混合诊断方法 |
CN103634296A (zh) * | 2013-11-07 | 2014-03-12 | 西安交通大学 | 基于物理***和信息网络异常数据融合的智能电网攻击检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5637190B2 (ja) * | 2012-07-27 | 2014-12-10 | トヨタ自動車株式会社 | 通信システム及び通信方法 |
-
2014
- 2014-07-29 CN CN201410366443.2A patent/CN104125112B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1889776A (zh) * | 2006-07-28 | 2007-01-03 | 北京航空航天大学 | 一种基于模糊逻辑的垂直切换控制***及控制方法 |
CN102004486A (zh) * | 2010-09-26 | 2011-04-06 | 中国石油化工股份有限公司 | 石化过程中基于定性sdg的故障混合诊断方法 |
CN103634296A (zh) * | 2013-11-07 | 2014-03-12 | 西安交通大学 | 基于物理***和信息网络异常数据融合的智能电网攻击检测方法 |
Non-Patent Citations (3)
Title |
---|
Yanan Sun等.《A Cyber-Physical Monitoring System for Attack Detection in Smart Grid》.《Computer Communications Workshops(INFOCOM WKSHPS),2013 IEEE Conference》.2013, * |
Yu-Ping Zhou等.《Intrusion Detection Model Based on Hierarchical Fuzzy Inference System》.《2009 Second International Conference on Information and Computing Science》.2009, * |
李旭峰.《基于模糊理论的网络入侵检测技术》.《硅谷》.2009, * |
Also Published As
Publication number | Publication date |
---|---|
CN104125112A (zh) | 2014-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104125112B (zh) | 基于物理‑信息模糊推理的智能电网攻击检测方法 | |
James et al. | Online false data injection attack detection with wavelet transform and deep neural networks | |
Housh et al. | Model-based approach for cyber-physical attack detection in water distribution systems | |
Gao et al. | Distributed soft fault detection for interval type-2 fuzzy-model-based stochastic systems with wireless sensor networks | |
Karimipour et al. | Intelligent anomaly detection for large-scale smart grids | |
CN107016236B (zh) | 基于非线性量测方程的电网假数据注入攻击检测方法 | |
CN102799822B (zh) | 基于网络环境软件运行安全性度量与评估方法 | |
Johansson et al. | Detection of vessel anomalies-a Bayesian network approach | |
An et al. | Data integrity attack in dynamic state estimation of smart grid: Attack model and countermeasures | |
CN103634296B (zh) | 基于物理***和信息网络异常数据融合的智能电网攻击检测方法 | |
Kosek et al. | Ensemble regression model-based anomaly detection for cyber-physical intrusion detection in smart grids | |
CN105868629B (zh) | 一种适用于电力信息物理***的安全威胁态势评估方法 | |
Haghshenas et al. | A temporal graph neural network for cyber attack detection and localization in smart grids | |
CN106850558A (zh) | 基于季节模型时间序列的智能电表状态异常检测方法 | |
CN107491694A (zh) | 用于量化评估scada***信息安全脆弱性的方法 | |
Sakhnini et al. | A generalizable deep neural network method for detecting attacks in industrial cyber-physical systems | |
Han et al. | False data injection attacks detection with modified temporal multi-graph convolutional network in smart grids | |
CN104898039B (zh) | 基于故障传播概率模型的故障模式优选方法 | |
Shitharth et al. | A new probabilistic relevancy classification (PRC) based intrusion detection system (IDS) for SCADA network | |
CN115580446A (zh) | 一种基于去中心化联邦学习的非侵入式负荷检测方法 | |
CN105228185A (zh) | 一种用于识别通信网络中模糊冗余节点身份的方法 | |
CN105516206A (zh) | 基于偏最小二乘的网络入侵检测方法及*** | |
Jadidi et al. | Multi-step attack detection in industrial control systems using causal analysis | |
CN114189047A (zh) | 面向有源配电网状态估计的虚假数据检测与修正方法 | |
Horvath et al. | Sensor fault diagnosis of inland navigation system using physical model and pattern recognition approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |