CN111031064A

CN111031064A - 一种检测电网假数据注入攻击的方法

Info

Publication number: CN111031064A
Application number: CN201911357195.4A
Authority: CN
Inventors: 赵友国; 蒋正威; 陶涛; 张超; 王立建; 张静; 卢敏; 阙凌燕; 隋向阳; 逄春; 姜辰; 曹张洁; 杨帆; 黄铭; 郭抒然; 赵泓; 张若伊; 孙伟乐; 贾和东
Original assignee: Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd; Dongfang Electronics Co Ltd
Current assignee: Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd; Dongfang Electronics Co Ltd
Priority date: 2019-12-25
Filing date: 2019-12-25
Publication date: 2020-04-17

Abstract

本发明公开了一种检测电网假数据注入攻击的方法，步骤为：根据电网终端采集的数据计算得到***运行状态估计值；从状态估计值中使用小波变换提取各时段的时‑频特征数据；将时‑频特征数据输入到深度神经网络中进行有/无假数据注入攻击的分类，输出检测结果。本方法可直接用于电力***状态估计结果的检测，检测结果能够说明电力***状态估计是否受到假数据注入攻击的影响。

Description

一种检测电网假数据注入攻击的方法

技术领域

本发明涉及一种检测电网是否存在假数据注入攻击的方法。

背景技术

电力***运行与控制的核心环节在于状态估计，状态估计通过数据采集与监控***(SCADA)中所采集的电网状态信息来计算电网的实际运行状态。

恶意网络攻击，如假数据注入攻击(false data injection attack,FDIA)等可以篡改SCADA中的量测数据，进而影响智能电网状态估计的结果，严重威胁电网稳定运行，甚至造成大规模停电损失，如近期的乌克兰和委内瑞拉遭受的电网攻击。如何检测电网是否存在恶意攻击，是及时采取防护措施、保证电网稳定运行的必要前提。

FDIA是常规网络攻击方式中对电网状态估计威胁最大的一种，其它攻击方式有分布式拒绝服务攻击和网络拥塞攻击等，但只有FDIA可以绕过传统的基于残差的坏数据识别机制，反复实施而且能够避免被现有检测程序检测出来。

发明内容

本发明提出了一种检测电网假数据注入攻击的方法，其目的是：检测电力***状态估计中是否存在假数据注入攻击。

本发明技术方案如下：

一种检测电网假数据注入攻击的方法，步骤为：

(1)根据电网终端采集的数据计算得到***运行状态估计值；

(2)从状态估计值中提取时-频特征数据；

(3)将时-频特征数据输入到深度神经网络中进行有/无假数据注入攻击的分类，输出检测结果。

作为本方法的进一步改进：在实施步骤(2)之前，先对状态估计值进行残差检测，如果未发现坏数据则存入状态历史数据库中；

在步骤(2)中，从状态历史数据库中读取状态估计值进行时-频特征数据的提取。

作为本方法的进一步改进：步骤(2)中采用小波变换提取时-频特征数据。

作为本方法的进一步改进：步骤(2)的具体步骤为：

(2-1)取若干时段的状态估计值数据，然后对每个时段，分别取若干采样时刻的状态估计值；由各采样时刻下状态估计值所得到的节点电压幅值和相角估计值分别组成各采样时刻t所对应的信号向量x(t)，x(t)的长度为2^M；

(2-2)对于每个采样时刻的信号向量x(t)，在缩放因子a＝2^j和位置参数为b＝2^j×k的条件下进行离散小波变换，j,k均为整数，从而将信号向量x(t)分解成至多M层的小波函数：

其中φ_jk(t)＝2^-j2φ(2^-jt-k)，φ(t)为尺度函数即父小波函数，ψ_jk(t)＝2^-j/2ψ(2^- ^jt-k)，ψ(t)是母小波函数，a_jk和d_jk为相应的近似系数；得到每个时刻t所对应的a_jk和d_jk；

(2-3)对于各时段，分别求取时段内所有采样时刻的d_jk的均值与方差，作为该时段的时-频特征数据。

作为本方法的进一步改进：步骤(3)中的深度神经网络为循环神经网络，该神经网络包括依次设置的数据输入层、第一GRU结构层、第二GRU结构层、第一全连接层和第二全连接层，上一层的输出即为下一层的输入；

各时段所求得的d_jk均值与d_jk方差，按时段顺序依次输入至数据输入层；

所述GRU结构层采用门控循环单元提取输入数据的时序特征；设{f_T-ω-1,...,f_T}代表GRU结构层的输入，{g_T-ω-1,...,g_T}代表GRU结构层的输出，则输入与输出之间关系为：

，

z_T＝sigm(ω_fzf_T+ω_gzg_T-1+b_z)，

r_T＝sigm(ω_frf_T+ω_grg_T-1+b_r)；

其中，f_T表示T时段所对应的d_jk均值与d_jk方差所构成的二维向量；g_T表示f_T输入后所得到的输出；ω为人为设定的常数，时段数量越多，数值越大；sigm代表使用sigmoid函数作为激活函数；ω_fg、ω_gg、b_g、ω_fz、ω_gz、b_z、ω_fr、ω_gr和b_r均为通过训练学习而得到的待定参数；

所述全连接层的输入与输出之间的关系为：

y＝actv(ω_d×x+b_d)；

x和y分别代表全连接层的输入和输出；actv为激活函数；ω_d和b_d均为通过训练学习而得到的待定参数；

第二全连接层的输出y即为神经网络的输出，为0代表无攻击，为1代表有攻击。

相对于现有技术，本发明具有以下有益效果：(1)本方法可直接用于电力***状态估计结果的检测，检测结果能够说明电力***状态估计是否受到假数据注入攻击的影响，为及时采取措施保证电网平稳运行奠定了基础；(2)本方法用所有时刻d_jk的均值与方差作为输入信号向量的时-频特征，相对于直接采用近似系数来表征状态估计值的时-频特性，避免了数据量过于庞大的问题，显著降低了计算量，提高了检测效率；(3)神经网络中使用多层门控循环单元，GRU本身具有构造简单、训练用时少和收敛快的优点，双层GRU更可以从输入数据中提取更为抽象的特征；(4)尽管经过两层GRU之后，时间-空间特征更为抽象，但是过多的参数训练可能导致过拟合问题，本方法进一步采用全连接层，引入随机淘汰机制，随机剔除部分特征防止过拟合的发生。

附图说明

图1为本方法的实施例流程图。

图2为本方法所用神经网络的架构图。

具体实施方式

下面结合附图详细说明本发明的技术方案：

本发明提出的假数据注入攻击检测模型分为训练和检测两个环节。训练的目的是确定深度神经网络中的有关参数，用以实现假数据注入攻击的在线检测。因此这两个环节在过程上是相似的，区别在于利用训练环节先确定深度神经网络中的未知参数，在检测环节再利用训练好的深度神经网络进行在线检测，即实现有/无假数据注入攻击的二分类问题。

图1为本发明所提出的假数据注入攻击检测方法流程图。电网终端将采集到的运行状态信息上传到SCADA中的状态估计模块，计算得到***运行状态估计值，若估计值在残差检测环节未发现坏数据则存入状态历史数据库中。虚线框内为本发明核心——FDIA检测步骤：从状态历史数据库中取多个近期时段，每个时段取多个采样时刻的状态估计值，经小波变换提取时-频特征后，各时段的特征数据又存入特征历史数据库，接下来再从特征历史数据库中提取近期多个时段的特征数据输入到基于深度神经网络的攻击检测环节，进行有/无假数据注入攻击的分类并输出检测结果。

具体步骤如下：

(1)根据电网终端采集的数据计算得到***运行状态估计值。

对状态估计值进行残差检测，如果未发现坏数据则存入状态历史数据库中；

(2)从状态历史数据库中读取状态估计值，采用小波变换进行时-频特征数据的提取：

(2-1)取若干时段的状态估计值数据，然后对每个时段，分别取若干采样时刻的状态估计值；由各采样时刻下状态估计值所得到的节点电压幅值和相角估计值分别组成各采样时刻t所对应的信号向量x(t)，x(t)的长度为2^M。

(2-2)对于每个采样时刻的信号向量x(t)，在缩放因子a＝2^j和位置参数为b＝2^j×k的条件下进行离散小波变换(DWT)，j,k均为整数，从而将信号向量x(t)分解成至多M层的小波函数：

其中φ_jk(t)＝2^-j/2φ(2^-jt-k)，φ(t)为尺度函数即父小波函数，ψ_jk(t)＝2^-j/2ψ(2^-jt-k)，ψ(t)是母小波函数，a_jk和d_jk为相应的近似系数；得到每个时刻t所对应的a_jk和d_jk。

(2-3)如果直接采用近似系数来表征状态估计值的时-频特性存在数据量过于庞大的问题。本发明采用小波变换中近似系数的统计特征作为后面神经网络的输入，以减少数据量和计算量，并将特征保留到了数据中。其方式为：对于各时段，分别求取时段内所有采样时刻的d_jk的均值与方差，作为该时段的时-频特征数据。

(3)将时-频特征数据输入到深度神经网络中进行有/无假数据注入攻击的分类，输出检测结果：

如图2，所述深度神经网络为循环神经网络，该神经网络包括依次设置的数据输入层、第一GRU结构层、第二GRU结构层、第一全连接层和第二全连接层，上一层的输出即为下一层的输入。

1)数据输入层

各时段所求得的d_jk均值与d_jk方差，按时段顺序依次输入至数据输入层。

2)第一GRU结构层

所述GRU结构层采用门控循环单元(gated recurrent unit,GRU)提取输入数据的时序特征，GRU是长短时记忆网络的一种变体，构造更为简单，在训练大量数据时具有用时少，收敛快的优点。

本发明中，GRU用来提取数据输入层的时序特征。

设{f_T-ω-1,...,f_T}代表GRU结构层的输入，{g_T-ω-1,...,g_T}代表GRU结构层的输出，则输入与输出之间关系为：

z_T＝sigm(ω_fzf_T+ω_gzg_T-1+b_z)，

r_T＝sigm(ω_frf_T+ω_grg_T-1+b_r)；

其中，f_T表示T时段所对应的d_jk均值与d_jk方差所构成的二维向量；g_T表示f_T输入后所得到的输出；ω为人为设定的常数，该常数越大，代表采样时段越多；sigm代表使用sigmoid函数作为激活函数；其余参数：ω_fg、ω_gg、b_g、ω_fz、ω_gz、b_z、ω_fr、ω_gr和b_r，均为通过训练学习而得到的待定参数。

3)第二GRU结构层

该层与上一层结构、计算方式相同。本层将上一层GRU的输出作为本层GRU的输入。采用多层GRU可以从输入数据中提取更为抽象的特征。

4)第一全连接层

数据输入层的输入在经过两层GRU以后，其时间-空间特征更为抽象，但是过多的参数训练可能导致过拟合问题。本层引入随机淘汰机制，随机剔除部分特征防止过拟合的发生。

全连接层能够实现从特征到判断结果的映射，其输入-输出关系用下式表示：

y＝actv(ω_d×x+b_d)；

x和y分别代表全连接层的输入和输出；actv为激活函数，优选采用softmax；ω_d和b_d均为通过训练学习而得到的待定参数。

5)第二全连接层

该层在上一层基础上继续随机剔除部分特征以防止过拟合，并输出检测结果，其结构与上一层相同。第二全连接层的输出y即为神经网络的输出，为0代表无攻击，为1代表有攻击。

下面阐述上述方法在本实施例中的实施过程：

本实施例采用IEEE118节点***来验证本文所提的FDIA检测方法的有效性。随机产生***运行工况200000次，在100个工况下注入已知全局拓扑的FDIA，另外在400个工况下注入部分拓扑已知的FDIA，训练集与测试集按照2：1进行分配。计算条件为一台具有Intel Pentium G3260 3.3GHz CPU和4G内存的双核计算机。

如表1所示，分析结果验证了本文所提的FDIA检测方法的有效性。无论测试集还是训练集，本文的FDIA检测方法的正确率均达到90％以上，说明本文中的DNN避免了过拟合问题。表1中的正判错误率代表原本没有攻击的情况被错判为有攻击，反判错误率与之相反。从训练时间来看，DNN需要7633s的训练时间是整个过程中最耗时的部分，因此DNN的训练部分只能离线进行，而在线检测耗时极短，只需要12ms。

表1所提FDIA检测方法的检测表现：

Claims

1.一种检测电网假数据注入攻击的方法，其特征在于步骤为：

(1)根据电网终端采集的数据计算得到***运行状态估计值；

(2)从状态估计值中提取时-频特征数据；

2.如权利要求1所述的检测电网假数据注入攻击的方法，其特征在于：在实施步骤(2)之前，先对状态估计值进行残差检测，如果未发现坏数据则存入状态历史数据库中；

3.如权利要求1所述的检测电网假数据注入攻击的方法，其特征在于：步骤(2)中采用小波变换提取时-频特征数据。

4.如权利要求3所述的检测电网假数据注入攻击的方法，其特征在于步骤(2)的具体步骤为：

其中φ_jk(t)＝2^-j/2φ(2^-jt-k)，φ(t)为尺度函数即父小波函数，ψ_jk(t)＝2^-j/2ψ(2^-jt-k)，ψ(t)是母小波函数，a_jk和d_jk为相应的近似系数；得到每个时刻t所对应的a_jk和d_jk；

5.如权利要求4所述的检测电网假数据注入攻击的方法，其特征在于步骤(3)中的深度神经网络为循环神经网络，该神经网络包括依次设置的数据输入层、第一GRU结构层、第二GRU结构层、第一全连接层和第二全连接层，上一层的输出即为下一层的输入；

z_T＝sigm(ω_fzf_T+ω_gzg_T-1+b_z)，

r_T＝sigm(ω_frf_T+ω_grg_T-1+b_r)；

所述全连接层的输入与输出之间的关系为：

y＝actv(ω_d×x+b_d)；