CN112565187B

CN112565187B - 基于逻辑回归的电网攻击检测方法、***、设备及介质

Info

Publication number: CN112565187B
Application number: CN202011210680.1A
Authority: CN
Inventors: 徐波丰; 张萌; 周子田; 胡少轶; 骆可; 李胜; 贺亮
Original assignee: TBEA Xinjiang Sunoasis Co Ltd
Current assignee: TBEA Xinjiang Sunoasis Co Ltd
Priority date: 2020-11-03
Filing date: 2020-11-03
Publication date: 2023-05-09
Anticipated expiration: 2040-11-03
Also published as: CN112565187A

Abstract

本发明属于智能电网信息数据安全的入侵检测领域，公开了一种基于逻辑回归的电网攻击检测方法、***、设备及介质，包括获取待检测数据，待检测数据为智能电网各节点的量测值数据；将待检测数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率；当受攻击概率大于预设的概率阈值时，当前节点受到FDI攻击；其中，攻击检测模型通过采用样本数据集训练逻辑回归模型训练得到，样本数据集包括若干样本，每个样本均包括一节点的历史量测值数据及该节点受到FDI攻击的情况。攻击检测模型以逻辑回归模型的二分类模型为基础，通过对电网内各节点的量测值数据建模实现入侵检测，可以将智能电网受到的攻击定位到具体的节点，实现简单。

Description

基于逻辑回归的电网攻击检测方法、***、设备及介质

技术领域

本发明属于智能电网信息数据安全的入侵检测领域，涉及一种基于逻辑回归的电网攻击检测方法、***、设备及介质。

背景技术

现代智能电网***是典型的信息物理***，它将物理电力传输***与网络计算和通信基础设施集成在一起。尽管网络技术在传感，通信和智能测量设备中的进步显著增强了电力***的运行和可靠性，但其对数据通信的依赖性使其容易受到网络攻击的影响。

FDI(False Data Injection，虚假数据注入)攻击以模拟***的真实行为且保持不被发现的方式操纵电力***测量，这会误导状态估计过程，并可能导致断电甚至***停电。现有的FDI攻击检测方法受到统计知识假设、复杂性和硬件成本的限制，而且，当前大多数的FDI攻击检测方法都集中于检测FDI攻击的存在，而无法获得确切攻击位置的重要信息，难以做出针对性防御。

因此，从现代智能电网的安全运行要求来看，找到一种可以有效检测FDI攻击的存在并获取其具体攻击位置的检测定位方法具有十分重要的意义。

发明内容

本发明的目的在于克服上述现有技术中FDI攻击检测方法都集中于检测FDI攻击的存在，但无法获得确切攻击位置等信息，导致难以做出针对性防御的缺点，提供一种基于逻辑回归的电网攻击检测方法、***、设备及介质。

为达到上述目的，本发明采用以下技术方案予以实现：

本发明第一方面，一种基于逻辑回归的电网攻击检测方法，包括以下步骤：

获取待检测数据，待检测数据为智能电网各节点的量测值数据；

将待检测数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率；当受攻击概率大于预设的概率阈值时，当前节点受到FDI攻击；

其中，攻击检测模型通过采用样本数据集训练逻辑回归模型训练得到，样本数据集包括若干样本，每个样本均包括一节点的历史量测值数据及该节点受到FDI攻击的情况。

本发明基于逻辑回归的电网攻击检测方法进一步的改进在于：

所述将待检测数据输入预设的攻击检测模型之前，基于预设残差阈值，将待检测数据中残差大于预设残差阈值的量测值数据过滤。

所述攻击检测模型采用如下方式建立：

获取智能电网的拓扑结构、传输线路数据及各节点的历史数据；

根据智能电网的拓扑结构、传输线路数据及各节点的历史数据，通过模拟FDI攻击构建样本数据集，并分为训练集和测试集；

通过训练集训练预设的逻辑回归模型，得到初始攻击检测模型；

通过测试集测试初始攻击检测模型，根据测试结果检测初始攻击检测模型的检测性能，当检测性能满足预设检测需求时，得到攻击检测模型。

所述历史数据包括各历史时刻电压的辐角和模，拓扑结构包括智能电网的连接状态以及线路的开断情况，传输线路数据包括线路的导纳。

所述根据测试结果检测初始攻击检测模型的检测性能的具体方法为：

根据测试结果得到初始攻击检测模型的精确率、召回率及F1值，当精确率、召回率及F1值均大于预设的对应阈值时，检测性能满足预设检测需求。

所述通过训练集训练预设的逻辑回归模型时，采用梯度下降法优化逻辑回归模型的模型参数。

本发明第二方面，一种基于逻辑回归的电网攻击检测***，包括：

数据获取模块，用于获取待检测数据，待检测数据为智能电网各节点的量测值数据；以及

检测模块，用于将待检测数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率；当受攻击概率大于预设的概率阈值时，当前节点受到FDI攻击；

本发明基于逻辑回归的电网攻击检测***进一步的改进在于：

还包括错误数据检测模块，用于基于预设残差阈值，将待检测数据中残差大于预设残差阈值的量测值数据过滤。

本发明第三方面，一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述基于逻辑回归的电网攻击检测方法的步骤。

本发明第四方面，一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述基于逻辑回归的电网攻击检测方法的步骤。

与现有技术相比，本发明具有以下有益效果：

本发明基于逻辑回归的电网攻击检测方法，通过预设攻击检测模型，通过攻击检测模型检测量测值数据，将获取的智能电网各节点的量测值数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率，进而通过预设的概率阈值确定各节点的受攻击情况。攻击检测模型以逻辑回归模型的二分类模型为基础，通过对电网内各节点的量测值数据建模实现入侵检测，可以将智能电网受到的攻击定位到具体的节点，并且，相较于现有的FDI攻击检测方法，该基于逻辑回归的电网攻击检测方法不会受到统计知识假设、复杂性和硬件成本的限制，实现简单。

进一步的，通过预设残差阈值将待检测数据中的错误数据过滤除去，防止错误数据对后续检测的影响，提升检测结果的准确性和可信度。

附图说明

图1为本发明实施例的基于逻辑回归的电网攻击检测方法流程图；

图2为本发明实施例的基于逻辑回归的电网攻击检测***结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

下面结合附图对本发明做进一步详细描述：

参见图1，本发明一个实施例中，提供了一种基于逻辑回归的电网攻击检测方法，用于克服现有FDI攻击检测技术仅能检测FDI攻击的存在，无法确定定位FDI攻击位置的不足，通过采用训练后的逻辑回归模型作为多标签分类器，用于捕获由于潜在攻击而导致的潮流测量中的不一致性，对各节点的量测值数据进行检测，将FDI攻击的位置检测问题表述为每个节点是否受到FDI攻击的二分类问题，实现准确定位FDI攻击位置的目的。具体的，该基于逻辑回归的电网攻击检测方法包括以下步骤。

S1：获取待检测数据，待检测数据为智能电网各节点的量测值数据。

通过智能电网的实时监测装置，得到电网当前时刻及历史时刻的量测值数据，本实施例中，默认的将每个节点划分至仅有一个检测仪表，这个检测仪表可以是电压检测仪表。

S2：将待检测数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率；当受攻击概率大于预设的概率阈值时，当前节点受到FDI攻击；其中，攻击检测模型通过采用样本数据集训练逻辑回归模型训练得到，样本数据集包括若干样本，每个样本均包括一节点的历史量测值数据及该节点受到FDI攻击的情况。

具体的，本实施例中，主要采用预设的攻击检测模型进行各节点的量测值数据的检测，那么首先的准备工作就是建立一个攻击检测模型，这个攻击检测模型在一次建立后就可以持续不断的进行上述的检测过程，不需要重复建立。

本实施例中，针对攻击检测模型提供了一种如下的建立方法。

S201：获取智能电网的拓扑结构、传输线路数据及各节点的历史数据。

具体的，如S1所述，这里通过智能电网的实时监测装置获取各节点的历史数据，通过能电网的控制装置或设计资料得到智能电网的拓扑结构及传输线路数据。其中，历史数据包括各历史时刻电压的辐角和模，拓扑结构包括智能电网的连接状态以及线路的开断情况，传输线路数据包括线路的导纳。

S202：根据智能电网的拓扑结构、传输线路数据及各节点的历史数据，通过模拟FDI攻击构建样本数据集，并分为训练集和测试集。

具体的，包括以下步骤。

S211：建立电力***的状态估计模型：

z＝Hx+e (1)

其中，H是通过电网拓扑结构信息获得的雅可比矩阵，代表了测量向量z和状态向量x的关系，e是测量噪声向量，其值服从期望值为0的正态分布。

S212：模拟虚假数据注入攻击，攻击向量a为：

a＝Hc (2)

其中，c是非零列向量，传统的错误数据检测模块基于残差进行判断，虚假数据注入攻击的攻击向量a满足：

||z+a-H(x+c)||＝||z-Hx+a(-Hc)||＝||z-Hx||≤τ (3)

其中，τ为错误数据检测模块的阈值，||·||代表2范数算子，当攻击向量a满足上式时虚假数据注入攻击即可通过标准错误数据检测模块。

其中，c是非零列向量，错误数据检测模块基于残差进行判断，残差指数理统计中实际观察值与估计值(拟合值)之间的差，这里是电网状态的观察值Z和估计值Hx的差，将残差的L2范数与阈值τ进行比较，以检查是否存在低质量的数据，只要满足

检测器就宣布存在攻击。

S213：在受到FDI攻击时，建立电力***的状态估计模型：

z+a＝Hx+e (4)

使用加权最小二乘法可得此时的状态估计结果为：

x_bad＝(H^TR^-1H)^-1H^TR^-1(z+a)＝x+c (5)

S214：构造FDI攻击的数据集，其中输入数据集为受到攻击时各仪表的测量值，输出数据集为各仪表的被攻击情况，受到攻击则为1，未受到攻击则为0。具体的，数据集包括输入和输出两个矩阵，输入矩阵的列表示每个节点的仪表读数(电压)，行表示有多少组这样的数据，比如10000*18，有10000组不同时刻18个仪表的读数，输出也是同纬度10000*18，表示每个节点每个时刻有没有被攻击。

S203：通过训练集训练预设的逻辑回归模型，得到初始攻击检测模型。

具体的，包括以下步骤。

S221：本实施例中，逻辑回归模型的假设函数定义为：

其中，x是数据集的输入，θ是需要求取的参数，表示分类结果的概率。

S222：使用交叉熵代价函数，定义为：

其中，m为训练样本的个数；h_θ(x⁽ⁱ⁾)为用参数θ和x预测出来的y值；y为原训练样本中的y值，也就是标准答案；上角标(i)表示第i个样本。

S223：通过梯度下降更新参数，求解使得交叉熵代价函数J(θ)最小的参数θ_j：

将参数θ_j更新S221中的θ，得到初始攻击检测模型。

S204：通过测试集测试初始攻击检测模型，根据测试结果检测初始攻击检测模型的检测性能，当检测性能满足预设检测需求时，得到攻击检测模型。

S231：根据测试集测试初始攻击检测模型的测试结果，将统计获得的正类判定为正类的总数量TP、将负类判定为正类的数量FP、将正类判定为负类的总数量FN和将负类判定为负类的总数量TN。

S232：根据公式(9)计算获得精确率precision：

根据公式(10)计算获得召回率recall：

根据公式(11)计算获得F1值F₁-Score：

S233：根据上述精确率、召回率以及F1值来评价所述检测结果，具体的，分别设置精确率、召回率以及F1值的阈值，当精确率、召回率以及F1值均大于对应的阈值时，检测性能满足预设检测需求。

经过上述的建立过程，得到了攻击检测模型，然后将智能电网各节点的量测值数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率；根据检测的要求确定受攻击概率的概率阈值的大小，当检测的要求较高时，设定受攻击概率的概率阈值较小，比如40％，认定当得到的智能电网各节点的受攻击概率大于40％时，当前节点受到FDI攻击；当检测的要求较低时，设定受攻击概率的概率阈值较大，比如60％，认定当得到的智能电网各节点的受攻击概率大于60％时，当前节点受到FDI攻击；一般这里受攻击概率的概率阈值设置为50％。

综上所述，本发明基于逻辑回归的电网攻击检测方法，通过预设攻击检测模型，通过攻击检测模型检测量测值数据，将获取的智能电网各节点的量测值数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率，进而通过预设的概率阈值确定各节点的受攻击情况。攻击检测模型以逻辑回归模型的二分类模型为基础，通过对电网内各节点的量测值数据以及特征属性建模实现入侵检测，其中，特征属性指电网内各节点的变化相关性、依赖性，即电网内单个节点量测值变化而其他节点不变是不正常的，各节点量测值的变化会符合物理约束，可以将智能电网受到的攻击定位到具体的节点，并且，相较于现有的FDI攻击检测方法，该基于逻辑回归的电网攻击检测方法不会受到统计知识假设、复杂性和硬件成本的限制，实现简单。

基于线性回归的逻辑回归模型在对数据做预测时往往具有很强的可解释性与信服力；其模型简单，训练速度快，且对于输出变量有很好的概率解释；可以适用连续型和离散型自变量；可以根据实际需求设定具体的阀值；使用时需注意其只能处理二分类问题；适用较大样本量，这是由于极大似然估计在较小样本量中表现较差；由于其是基于线性回归模型之上，因此其同样会出现多重共线性问题同时很难处理数据不均衡问题。克服了传统基于深度学习作为异常检测方法的推理性和可解释性的不足，提高了模型的可解释性、推理性以及鲁棒性，对检测流量异常、入侵检测及定位和保护工业智能电网企业的网络安全有更好的保障。

本发明再一个实施例中，提供了一种基于逻辑回归的电网攻击检测方法，相较于上一实施例中的基于逻辑回归的电网攻击检测方法，除包括上一实施例中基于逻辑回归的电网攻击检测方法的全部内容外，还至少包括如下步骤。

基于残差进行量测值数据的判断，残差指数理统计中实际观察值与估计值(拟合值)之间的差，这里是电网状态的观察值Z和估计值Hx的差，将残差的L2范数与阈值τ进行比较，以检查是否存在低质量的数据，只要满足

就过滤掉该量测值数据。

通过预设残差阈值将待检测数据中的错误数据过滤除去，防止错误数据对后续检测的影响，提升检测结果的准确性和可信度。

本发明再一个实施例中，提供了基于逻辑回归的电网攻击检测***，该基于逻辑回归的电网攻击检测***能够用于实现上述的基于逻辑回归的电网攻击检测方法，具体的，该基于逻辑回归的电网攻击检测***包括数据获取模块以及检测模块。

其中，数据获取模块用于获取待检测数据，待检测数据为智能电网各节点的量测值数据；检测模块用于将待检测数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率；当受攻击概率大于预设的概率阈值时，当前节点受到FDI攻击；其中，攻击检测模型通过采用样本数据集训练逻辑回归模型训练得到，样本数据集包括若干样本，每个样本均包括一节点的历史量测值数据及该节点受到FDI攻击的情况。

参见图2，优选的，该基于逻辑回归的电网攻击检测***还包括错误数据检测模块，用于基于预设残差阈值，将待检测数据中残差大于预设残差阈值的量测值数据过滤。标准的错误数据检测模块用于估计量测值数据的质量，并用于去除低质量的数据，以提升后续检测的准确性。

本发明再一个实施例中，提供了一种终端设备，该终端设备包括处理器以及存储器，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器用于执行所述计算机存储介质存储的程序指令。处理器可能是中央处理单元(Central ProcessingUnit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor、DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，其是终端的计算核心以及控制核心，其适于实现一条或一条以上指令，具体适于加载并执行一条或一条以上指令从而实现相应方法流程或相应功能；本发明实施例所述的处理器可以用于基于逻辑回归的电网攻击检测方法的操作，包括：获取待检测数据，待检测数据为智能电网各节点的量测值数据；将待检测数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率；当受攻击概率大于预设的概率阈值时，当前节点受到FDI攻击；其中，攻击检测模型通过采用样本数据集训练逻辑回归模型训练得到，样本数据集包括若干样本，每个样本均包括一节点的历史量测值数据及该节点受到FDI攻击的情况。

本发明再一个实施例中，本发明还提供了一种存储介质，具体为计算机可读存储介质(Memory)，所述计算机可读存储介质是终端设备中的记忆设备，用于存放程序和数据。可以理解的是，此处的计算机可读存储介质既可以包括终端设备中的内置存储介质，当然也可以包括终端设备所支持的扩展存储介质。计算机可读存储介质提供存储空间，该存储空间存储了终端的操作***。并且，在该存储空间中还存放了适于被处理器加载并执行的一条或一条以上的指令，这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是，此处的计算机可读存储介质可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。

可由处理器加载并执行计算机可读存储介质中存放的一条或一条以上指令，以实现上述实施例中有关基于逻辑回归的电网攻击检测方法的相应步骤；计算机可读存储介质中的一条或一条以上指令由处理器加载并执行如下步骤：获取待检测数据，待检测数据为智能电网各节点的量测值数据；将待检测数据输入预设的攻击检测模型，获得智能电网各节点的受攻击概率；当受攻击概率大于预设的概率阈值时，当前节点受到FDI攻击；其中，攻击检测模型通过采用样本数据集训练逻辑回归模型训练得到，样本数据集包括若干样本，每个样本均包括一节点的历史量测值数据及该节点受到FDI攻击的情况。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims

1.一种基于逻辑回归的电网攻击检测方法，其特征在于，包括以下步骤：

其中，攻击检测模型通过采用样本数据集训练逻辑回归模型训练得到，样本数据集包括若干样本，每个样本均包括节点的历史量测值数据及该节点受到FDI攻击的情况；

所述将待检测数据输入预设的攻击检测模型之前，基于预设残差阈值，将待检测数据中残差大于预设残差阈值的量测值数据过滤；

所述攻击检测模型采用如下方式建立：

通过测试集测试初始攻击检测模型，根据测试结果检测初始攻击检测模型的检测性能，当检测性能满足预设检测需求时，得到攻击检测模型；

所述历史数据包括各历史时刻电压的辐角和模，拓扑结构包括智能电网的连接状态以及线路的开断情况，传输线路数据包括线路的导纳；

根据测试结果得到初始攻击检测模型的精确率、召回率及F1值，当精确率、召回率及F1值均大于预设的对应阈值时，检测性能满足预设检测需求；

2.一种基于逻辑回归的电网攻击检测***，其特征在于，包括：

所述攻击检测模型采用如下方式建立：

还包括错误数据检测模块，用于基于预设残差阈值，将待检测数据中残差大于预设残差阈值的量测值数据过滤；

3.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1所述基于逻辑回归的电网攻击检测方法的步骤。

4.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1所述基于逻辑回归的电网攻击检测方法的步骤。