CN110889111A

CN110889111A - 一种基于深度置信网络的电网虚拟数据注入攻击的检测方法

Info

Publication number: CN110889111A
Application number: CN201911013005.7A
Authority: CN
Inventors: 刘明相; 孟伟; 付敏跃; 鲁仁全
Original assignee: Guangdong University of Technology
Current assignee: Guangdong University of Technology
Priority date: 2019-10-23
Filing date: 2019-10-23
Publication date: 2020-03-17

Abstract

本发明公开了一种基于深度置信网络的电网虚拟数据注入攻击的检测方法，包括：S1：构建深度置信网络检测模型，所述深度置信网络检测模型包括有：若干层RBM网络、单层BP神经网络，所述RBM网络采用全连接方式连接；S2：获取IEEE标准节点测量数据，对获取数据添加随机噪声、攻击向量生成攻击数据；S3：将攻击数据进行归一化后的数据按设定比例分为测试数据集和训练数据集；S4：利用无监督学习对RBM网络进行从上而下逐层训练，并通过BP神经网络反向传播误差进行模型参数调整，得到训练后的深度置信网络检测模型；S5：将测试数据集输入训练后的深度置信网络检测模型，输出预测结果。本发明克服了传统检测方法对检测阈值的依赖，实现对多种攻击模式检测。

Description

一种基于深度置信网络的电网虚拟数据注入攻击的检测方法

技术领域

本发明涉及智能电网领域，更具体地，涉及一种基于深度置信网络的电网虚拟数据注入攻击的检测方法。

背景技术

智能电网作为典型的信息物理***，集通信、计算、控制于一体。这种集成在极大的提高了电力***的管理水平的同时，也给***带来的更大的风险。电力***的安全事件在近几年时有发生且产生的破坏很大。

虚拟数据注入攻击(FDIA)是一种新兴的数据完整性攻击的方法，在对电力网络拓扑结构有一定的了解的基础上，攻击者篡改了传感器，能量管理***(EMS)接收到此信息，达到了改变状态估计结果的目的。在FDIA作用下，攻击者可以通过控制***中的智能设备并操纵关键信息，其中包括线路状态、电价、能源供应进而导致停电、电力设备被破坏。所以尽快检测虚拟数据注入攻击对电网的正常运行具有极大的意义。虚拟数据注入攻击不同于传统的计算机网络攻击，也不同于控制学科的坏数据检测问题。针对虚拟数据注入攻击的多样性，由于机器学习算法良好的学习和分类特征能力，所以可以将其用于检测虚拟数据注入攻击。亟需研究一种克服阈值依赖，能检测多种攻击模式的监测方法。

发明内容

本发明为克服上述现有技术中对电网攻击检测方法阈值依赖强、检测的攻击模式单一的缺陷，提供一种基于深度置信网络的电网虚拟数据注入攻击的检测方法。

本发明的首要目的是为解决上述技术问题，本发明的技术方案如下：

一种基于深度置信网络的电网虚拟数据注入攻击的检测方法，包括以下步骤：

S1：构建深度置信网络检测模型，所述深度置信网络检测模型包括有：若干层RBM网络、单层BP神经网络，所述RBM网络采用全连接方式连接，每层RBM网络的输出作为下一层RBM网络的输入，最后一层RBM网络的输出数据作为BP神经网络的输入数据；

S2：获取IEEE标准节点测量数据，对获取数据添加随机噪声、攻击向量生成攻击数据；

S3：将攻击数据进行归一化，将过归一化后的数据按设定比例分为测试数据集和训练数据集；

S4：利用无监督学习对RBM网络进行从上而下逐层训练，并通过BP神经网络反向传播误差进行模型参数调整，直至BP神经网络实际输出值和期望值之间的误差小于预设值，得到训练后的深度置信网络检测模型；

S5：将测试数据集输入训练后的深度置信网络检测模型，输出预测结果。

进一步地，所述将攻击数据归一化公式为：

f₁(x_ij)＝x_ij-min(x)/max(x)-min(x)

max(x)和min(x)分别是攻击数据x_ij所属列中的最大值和最小值。

进一步地，所述对获取数据添加随机噪声，添加的随机噪声为高斯白噪声。

进一步地，所述攻击向量表示为：

a＝Hc

其中，a表示攻击向量、c表示状态误差向量，H表示电力***的矩阵。

进一步地，所述利用无监督学习对RBM网络进行从上而下逐层训练记为正向建立过程，所述通过BP神经网络反向传播误差进行模型微调记为反向建立过程，所述正向建立过程和反向建立过程是交替进行的，直至BP神经网络实际输出值和期望值之间的误差小于预设值。

进一步地，将过一化后的数据按设定比例分为测试数据集和训练数据集，其中，测试数据集占比为20％，训练数据集占比为80％。

与现有技术相比，本发明技术方案的有益效果是：

本发明通过对RBM网络无监督学习训练，利用反向传播误差进行模型参数微调得到深度置信网络检测模型，克服了传统方法对检测阈值的依赖，深度置信网络检测模型可以对输入数据进行特征提取，实现对不同攻击模式的检测。

附图说明

图1为本发明方法流程图。

图2为DBN检测模型和SVM检测模型在节点变化时的检测性能对比图。

图3为DBN检测模型和SVM检测模型在节点变化时的检测时间对比图。

图4为118节点中样本被攻击数据比例变化时DBN检测模型和SVM检测模型检测效果对比图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

实施例1

名词及原理解释

本发明方法是基于电力***状态估计和虚拟数据注入攻击的检测方法。

电力***状态估计

设定电力***有n+1个节点，m个测量数据，其估计模型可以用以下等式表示：

z＝h(x)+e

其中，z是传感器测量向量，z＝[z₁,z₂,z₃...z_m]^T，z_i∈R(i＝1,2...,m)；x是***状态向量，x＝(x₁,x₂,...x_n+1)^T，x_j∈R(j＝1,2...,n+1)；e是测量误差向量，e＝(e₁,e₂,...e_m)^T，e_k∈R(k＝1,2...,m)。

z_i可以表示节点的电压，发电机和有功功率和无功功率，支路的有功功率和无功功率；x_j表示电压的振幅和相位；e_k服从高斯分布，均值为0，方差为σ_k，他们之间独立同分布，cov(e)＝E[e·e^T]＝R＝diag{σ₁ ²,σ₂ ²,...σ_m ²}，测量矢量数据的冗余性是电力***可观测性的前提，因此m＞n+1，h(·)代表测量矢量和状态矢量之间的非线性关系。

在给定测量向量z，利用加权最小二乘估计得到状态估计量

是最小化下式的x的值：

J(x)＝[z-h(x)]^TR^-1[z-h(x)]

虚拟数据注入攻击的原理

虚拟数据注入攻击的目的是通过入侵电力***网络，篡改***的量测，

改变***的运行状态。假设向量a＝[a₁,a₂,a₃...a_m]^T是攻击向量，将其注入电力***，***观测到的被测向量被改写为

z^a＝z+a＝Hx+e+a

当攻击者对电网发起攻击时，攻击向量为非零向量，状态误差向量为c，当向量a中的第i个元素a_i≠0，其意味着第i个量测数据收到了攻击，量测值被篡改为z_i+a_i，当攻击者设计的攻击向量a＝Hc时，该攻击便可避开传统的检测方法，原理如下：

r_a和r分别表示虚拟数据注入攻击前后的测量残差，τ_a表示攻击向量引起的残差余量，当a＝Hc时，虚拟数据不会导致测量残差增加，因此传统的不良数据检测无法检测到攻击行为。攻击者在掌握电网拓扑结构后，即知晓了H时，人为地构造攻击向量，发起虚拟数据注入攻击，从而改变状态估计，以此达到攻击目的。

图1示出了一种基于深度置信网络的电网虚拟数据注入攻击的检测方法。

S1：构建深度置信网络检测模型，所述深度置信网络检测模型包括有：若干层RBM网络、单层BP神经网络，所述RBM网络采用全连接方式连接，每层RBM网络的输出作为下一层RBM网络的输入，确保特征向量映射到不同特征空间时,都尽可能多地保留特征信息最后一层RBM网络的输出数据作为BP神经网络的输入数据；

S2：获取IEEE标准节点测量数据，对获取数据添加随机噪声(如可以添加均值为0，方差为1高斯白噪声，)、攻击向量生成攻击数据；

所述攻击向量表示为：

a＝Hc

S3：将攻击数据进行归一化，将过归一化后的数据按设定比例分为测试数据集和训练数据集；在具体的实施过程中，测试数据集占比可以设置为20％，训练数据集占比设置为80％。

所述将攻击数据归一化公式为：

f₁(x_ij)＝x_ij-min(x)/max(x)-min(x)

max(x)和min(x)分别是攻击数据x_ij所属列中的最大值和最小值。

S4：利用无监督学习对RBM网络进行从上而下逐层训练，并通过BP神经网络反向传播误差进行模型参数调整，直至BP神经网络实际输出值和期望值之间的误差小于预设值，得到训练后的深度置信网络检测模型；通过有监督的反向误差传播对DBN深度置信网络整体参数进行调优，来尽可能满足深度置信网络的参数整体最优。

所述利用无监督学习对RBM网络进行从上而下追层训练记为正向建立过程，所述通过BP神经网络反向传播误差进行模型微调记为反向建立过程，所述正向建立过程和反向建立过程是交替进行的，直至BP神经网络实际输出值和期望值之间的误差小于预设值。

实验验证及分析

本方法可在IEEE节点标准***测试***的基础上进行仿真实验，DBN(深度置信网络)是使用深度学习工具包实现的。其中80％的样本数据作为训练集训练学习模型，剩余的20％的样本数据作为测试集测试学习模型的性能。可以通过改变节点数量以及改变训练集和测试集的比例通过和支持向量机(SVM)来验证深度置信网络在智能电网攻击检测中的良好效果。

实验1在IEEE-9，14，30，118和300节点标准测试***中进行仿真实验。当节点变化时，观察本发明方法的检测效果和运行时间。

实验2当被攻击的测量数据在样本中比例变化时，深度置信网络检测模型的检测能力会变化实验。选取IEEE-14,30，和118节点进行实验。加入一定比例的均值为0，方差为1的噪声。分别在100至1000组节点数据中加入比例为10％、15％、20％、25％、30％、35％、40％、45％和50％。实验结果与SVM进行对比。

分析结果

如图2所示为DBN检测模型和SVM检测模型在节点变化时的检测性能对比图。如图3所示为DBN检测模型和SVM检测模型在节点变化时的检测时间对比图。

实验1的仿真结果表明随着IEEE标准节点数目的增多，DBN检测模型(深度置信网络检测模型)的性能指标会下降，但下降的幅度明显小于SVM检测模型(支持向量机检测模型)。在118节点的***中，指标能达到0.9，在300节点的***中，指标能达到0.814，远远高于SVM检测模型的0.591，说明了DBN检测模型具有强大的特征提取能力，当电力***复杂度增加，节点数目增多时，DBN检测模型处理复杂度大的问题更有优势。

两种算法模型的运行时间都随着***节点的增加而增加，DBN检测模型增加的时间相对比较慢，表明与SVM检测模型相比，DBN检测模型中的浅神经网络具有更好的检测性能和较少的时间消耗。

如图4所示为118节点中样本被攻击数据比例变化时DBN检测模型和SVM检测模型检测效果对比图。

实验2比较了当虚拟数据占的比例改变时DBN检测模型和SVM检测模型的检测性能。在IEEE--118标准节点***中，DBN检测模型的检测性能高于SVM检测模型的检测性能。当虚假数据样本的比例高于30％时，增加缓慢，表明算法的检测性能趋于稳定。表明DBN检测模型在处理节点复杂的***有更好的效果，虚拟数据样本增多时，算法更容易趋于稳定。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims

1.一种基于深度置信网络的电网虚拟数据注入攻击的检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于深度置信网络的电网虚拟数据注入攻击的检测方法，其特征在于，所述将攻击数据归一化公式为：

f₁(x_ij)＝x_ij-min(x)/max(x)-min(x)

max(x)和min(x)分别是攻击数据x_ij所属列中的最大值和最小值。

3.根据权利要求1所述的一种基于深度置信网络的电网虚拟数据注入攻击的检测方法，其特征在于，所述对获取数据添加随机噪声，添加的随机噪声为高斯白噪声。

4.根据权利要求1所述的一种基于深度置信网络的电网虚拟数据注入攻击的检测方法，其特征在于，所述攻击向量表示为：

a＝Hc

5.根据权利要求1所述的一种基于深度置信网络的电网虚拟数据注入攻击的检测方法，其特征在于，所述利用无监督学习对RBM网络进行从上而下逐层训练记为正向建立过程，所述通过BP神经网络反向传播误差进行模型微调记为反向建立过程，所述正向建立过程和反向建立过程是交替进行的，直至BP神经网络实际输出值和期望值之间的误差小于预设值。

6.根据权利要求1所述的一种基于深度置信网络的电网虚拟数据注入攻击的检测方法，其特征在于，将过一化后的数据按设定比例分为测试数据集和训练数据集，其中，测试数据集占比为20％，训练数据集占比为80％。