CN115296830B - 基于博弈论的网络协同攻击建模和危害定量分析方法 - Google Patents

Abstract

本发明提供一种基于博弈论的网络协同攻击建模和危害定量分析方法，来解决针对数据服务的网络攻击行为的建模、量化计算及响应问题，通过使用本方法可以使得***在受到针对数据服务的网络攻击时可以采取损失最小的响应策略。首先建立有源配电网安全控制一体化模型，描绘有源配电网的信息物理空间，接着对网络攻击进行检测、分析和量化，最后通过博弈论对***存在的威胁以及***进行响应的成本进行评估，及时调整响应策略，从而达到抵御网络协同攻击的目的。该方法具备响应时间短、针对性强、攻击模型精度高等特点。

Description

基于博弈论的网络协同攻击建模和危害定量分析方法

技术领域

本发明是基于博弈论的网络协同攻击建模和危害定量分析方法，主要用于解决针对有源配电网的网络攻击建模和防御策略的问题，属于计算机安全领域。

背景技术

主动配电网是一个内部具有分布式能源，具有主动控制和运行能力的配电网。分布式能源包括各种形式的连接到配电网中的各种分布式发电、分布式储能、电动汽车充换电设施和需求响应资源，即可控负荷。主动配电网的核心是对分布式可再生能源从被动消纳到主动引导与主动利用。通过这一技术可以把配电网从传统的被动型用电网转变成可以根据电网的实际运行状态进行主动调节、参与电网运行与控制的主动配电网。主动配电网具有提高响应速度、网络可视性以及网络灵活性、较高的电能质量和供电可靠性等主要特征。随着计算机网络的不断普及和发展，针对有源配电网的攻击日益猖獗，其中网络协同攻击是较为典型的攻击方式。网络协同攻击是一种随着网络技术的发展与网络应用的广泛使用而出现的不断演化的攻击技术。特别是出现了以Botnet为典型代表的网络攻击平台，其命令与控制机制作为协同的核心基础，使得广泛分布的被感染主机可以采用一种更灵活、智能的协同方式，实施大规模恶意行动达成攻击目的。与传统的攻击事件不同，分布式协同攻击具有的高效、健壮、隐蔽等特征，给检测和防御技术带来了巨大挑战，目前已经有的防御协同攻击的传统方法如防火墙、IDS、安全漏洞探测等，但是传统的方法防御方式较为单一，难以应对协同攻击的挑战，这就使得针对网络协同攻击建模和危害定量分析方法变得十分重要。

传统的抵御方案属于被动防御技术，不能对有源配电网中的活动进行有效监控，不具备主动防御能力，缺乏对网络攻击的自适应响应能力，已不能防范日益严重的网络安全威胁。

发明内容

技术问题：本发明的目的就是提供一种基于博弈论的网络协同攻击建模和危害定量分析方法，来解决针对数据服务的网络攻击的建模、量化计算及响应问题，本机制是一种策略性方法，通过使用本方法可以使得***在受到针对数据服务的网络攻击时可以采取损失最小的响应策略。

本发明首先对协同攻击进行一体化建模，接着对模型进行量化计算，最后根据损失评估和响应成本分析调整响应策略，从而达到抵御网络协同攻击的目的。

基于博弈论的网络协同攻击建模和危害定量分析方法主要需考虑三个方面的问题：(1)如何构建融合网络攻击的有源配电网安全控制一体化模型。将揭示有源配电网***中的信息、物理空间交叉和动态变化的复杂的、动态的特性清晰描绘。(2)如何建立网络协同攻击的检测、分析和量化计算方法。(3)根据纳什均衡解***该如何进行响应使得攻击对有源配电网中数据服务的影响最小。由此可见，本发明所述的基于博弈论的网络协同攻击建模和危害定量分析方法就是***在受到攻击时，可以有效评估因攻击对有源配电网数据服务所带来的潜在影响，然后根据损失评估和响应成本来调整响应策略。

技术方案：

基于上述的考量，本发明提供了一种基于博弈论的网络协同攻击建模和危害定量分析方法，包括以下步骤：

步骤一、针对有源配电网构建融合网络攻击的混合一体化模型

针对有源配电网***，采用有限状态机的方法构建融合有网络攻击的混合一体化模型；所构建的混合一体化模型为网络协同攻击动态组合模型，能够通过采集、分析网络攻击数据来检测和鉴别网络攻击行为的影响，通过数据清洗与数据关联完成网络协同攻击行为的解耦；

步骤二、量化网络攻击行为产生的风险

根据有源配电网***运行过程中的网络协同攻击行为特征的提取来进行攻击检测，计算对应的网络攻击行为产生的影响，以综合完成网络协同攻击态势分析；

步骤三、通过构建安全攻防博弈模型来响应网络攻击行为

采用零和动态博弈方法，根据精炼贝叶斯均衡对攻防双方对弈情况来构建安全攻防博弈模型，以通过求解该安全攻防博弈模型的纳什均衡解来响应对应的网络协同攻击行为，促使该网络协同攻击行为对有源配电网***数据服务的影响能够降到最低，并根据所获得的纳什均衡解来确定是否需要报警，以对融合有网络攻击行为的异常数据进行筛选、剔除并校正；

步骤四、筛选、剔除融合有网络攻击行为的异常数据并进行校正

在步骤三所获得的纳什均衡解来确定需要报警后，采用基于密度的聚类方法来筛选、剔除融合有网络攻击行为的异常数据并进行校正。

优选地，上述的步骤一中，混合一体化模型的构建方式具体包括以下步骤：

步骤1.1：数据采样，并定义Δt_l，l∈{1,2,...,m}来表示有源配电网***中对应的不同状态l的数据采样时间间隔；进入步骤1.2；

步骤1.2：取ΔT为不同***参数和状态的采样周期的{Δt₁,Δt₂,...,Δt_n}的最大公因数，以得到异/同步双模态混杂***中有限时间段内的同步时刻进入步骤1.3；

步骤1.3：当有源配电网***中网络攻击行为发生时，以采样周期短，采样频率高的信号的快变信号为主，采用就近原则进行切换；进入步骤1.4；

步骤1.4：将网络攻击带来的影响定义为不确定变量Δ，并将此带有随机的动态变化的分量融入到“离散-连续”混杂的有源配电网***中，形成融合有网络攻击的混合一体化模型。

优选地，上述的融合有网络攻击的混合一体化模型如下：

其中x_i(t)表示***的连续时间变量i随时间t变化的连续***状态，S₁表示连续时间变量i的集合；x_j(t)表示***的离散时间变量j随时间t变化的离散***状态，j∈S₂，S₂表示离散时间变量j的集合；S表示连续时间变量i、离散时间变量j的合集；ω_i(t)和ω_j(t)分别表示连续、离散***的扰动，Δ_i(t)和Δ_j(t)分别表示连续、离散***的网络攻击行为影响分量；A_i为连续的***状态的系数矩阵，B_i为连续的***扰动的系数矩阵，D_i分别为连续的***中网络攻击行为影响分量的系数矩阵；A_j为离散的***状态的系数矩阵，B_j为离散的***扰动的系数矩阵，D_j为离散的***中网络攻击行为影响分量的系数矩阵。

优选地，上述的步骤二中，量化网络攻击行为产生的风险具体包括以下步骤：

步骤2.1：定义有源配电网***中的组成元素i被网络攻击a攻击的概率为ρ_ia、对***安全引起的影响为π_ia，计算组成元素i可能遭遇网络攻击的风险量化计算V_i为：

步骤2.2：根据步骤2.1得到的风险量化计算V_i，计算整个***可能遭遇的安全风险量化计算V：

γ_i表示有源配电网组成元素i在[1,n]中所占的权重。

优选地，上述的步骤三中，安全攻防博弈模型的构建方式以及安全攻防博弈模型对网络攻击行为的响应按照如下的方式进行：

步骤3.1：定义配电网安全攻防博弈模型G＝(P,Z,Θ,S)，其中：

P＝(P_A,P_D)表示攻防双方参与者集合，P_A为攻击方，P_D为防御方；

Z＝{z₀ z₁ ... z_N}用来表示网络安全状态的集合；

I＝0,1,2,...,N用来表示攻防双方的策略集集合，/>和/>分别用来表示***要达到安全状态z_I时，攻击方和防御方所有可能策略的集合，

I＝0,1,2,...,N用来表示博弈双方的效用函数；

步骤3.2：定义在达到安全状态z_I时，攻防双方策略集中策略对应的概率分布分别为：

其中：j＝1,2,…,M，k＝1,2,…,N，并且有/>

步骤3.3：要达到安全状态z_I，总结出攻防双方的期望收益函数；

步骤3.4：利用非线性规划的方法，得到抵御“适度风险”的最优控制策略，并且最终得到纳什均衡解

步骤3.5：根据纳什均衡解***选择是否发出警告。

优选地，上述的步骤四中，筛选、剔除融合有网络攻击行为的异常数据并进行校正的方式，具体包括如下步骤：

步骤4.1：将数据服务中采集到的数据集D初始化并且所有对象标记为未读，通过闵科夫斯基距离公式定义ε-邻域，N_ε(x_c)＝(x_c∈D|dist(x_c，x_d)≤ε)，其中N_ε(x_c)表示ε-邻域内所有点的集合，ε表示半径参数，定义ρ为最小对象参数；当对象x_c的ε-邻域中数据对象个数大于ρ时称x_c为核心对象；

步骤4.2：从数据集D中取包含任意个数据对象p的数据集D_c，其中D_C∈D,c＝1，2,3...，并将D_c标记为已读；

步骤4.2：通过ε和ρ参数对数据对象p进行判断，如果p为核心对象，找出p的所有密度可达数据对象，并标记为已读；若p不是核心对象，且没有哪个对象对p密度可达，将p标记为噪声数据；

步骤4.3：在满足的条件下，重复步骤4.2和步骤4.3，直至所有数据都标记为已读；

步骤4.4：将其中一个核心对象作为种子，将该对象的所有密度可达点都归为一类，形成一个较大范围的数据对象集合；

步骤4.5：循环步骤4.2至步骤4.4，直至所有核心对象都遍历完，剩下没有归为一类的数据便为异常数据；

步骤4.6：将正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作；

步骤4.7：循环结束。

有益效果：本发明方法提出了一种基于博弈论的网络协同攻击建模和危害定量分析方法，主要用于解决针对有源配电网遭受网络协同攻击的响应问题。通过使用本发明中提出的方法建立一体化攻击模型和用户的博弈模型求解***的纳什均衡解，根据纳什均衡解选择最优响应策略，令网络协同攻击对电网数据服务的影响降到最低。

附图说明

图1是基于博弈论的网络协同攻击建模和危害定量分析方法组成结构图。主要包括：混合模型生成器、风险量化器、博弈模型生成器、数据筛选器、数据恢复器。

图2是参考体系结构示意图。表示本发明方法包括的组件。

图3是本发明方法的流程示意图。

具体实施方式

为了方便描述，我们假设有如下应用实例：

近年来随着计算机技术高速发展，由于军事、政治等一系列因素的影响，针对互联网的网络攻击手段层出不穷，协同攻击是其中较为典型的一种攻击类型，会给有源配电网的数据服务造成巨大的影响。对于有源配电网的数据服务现假设其遭受攻击，运用博弈的方法对攻防双方的网络安全状态以及双方的成本代价进行评估，得到响应***的最优策略。首先是对有源配电网有限状态机的方法建立混杂切换***化的模型，通过数据清洗与数据关联完成协同攻击行为的解耦，建立网络协同攻击动态组合模型，然后完成协同攻击的解耦建模，根据***运行过程中攻击行为特征的提取来进行攻击检测，计算某一攻击行为产生的影响，进而利用博弈论的方法分析攻防双方的成本收益，得到最优响应策略。

针对图1其具体的实施方案为：

图1主要构建一种基于博弈论的网络协同攻击建模和危害定量分析方法结构，它主要包括五个部分:混合模型生成器、风险分析器、博弈模型生成器、数据筛选器、数据恢复器。图中混合模型生成器是描绘有源配电网***中的信息、物理空间交叉和动态变化的复杂的、动态的特性；风险分析器是从通信的角度，完成协同攻击的解耦建模，然后根据***运行过程中攻击行为特征的提取来进行攻击检测，计算某一攻击行为产生的影响；博弈模型生成器是在***检测到攻击时对双方成本和网络安全状态进行分析，得到攻防双方的博弈模型；数据筛选器是在采集到的数据中筛选出核心对象。数据恢复器是将所有的核心对象归类，筛选异常数据，正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作。下面给出具体介绍：

(1)混合模型生成器

混合模型生成器是揭示有源配电网***中的信息、物理空间交叉和动态变化的复杂的、动态的特性，为分析有源配电网***中的网络攻击的影响、安全防御策略设计和安全风险评估等提供理论基础。

本发明所述的混合模型生成器从有源配电网有限状态机的方法建立混杂切换***化的模型以及从攻击数据的采集、分析，检测和鉴别攻击行为的影响，通过数据清洗与数据关联完成协同攻击行为的解耦，建立网络协同攻击动态组合模型。揭示了有源配电网***中的信息、物理空间交叉和动态变化的复杂的、动态的特性，为下文分析有源配电网中的网络攻击的影响、安全防御策略设计和安全风险评估等提供理论基础。

(2)风险分析器

风险分析器从通信的角度完成协同攻击的解耦建模，然后根据***运行过程中攻击行为特征的提取来进行攻击检测，计算某一攻击行为产生的影响，进而综合完成协同攻击态势分析。

(3)博弈模型生成器

博弈模型生成器是采用零和动态博弈方法，根据参与者掌握的公共知识和参与者历史行为来获取参与者的概率，依此决定下一步策略，通过精炼贝叶斯均衡，假设配电网安全攻防博弈模型G＝(P,Z,Θ,S)，可以展开为和 I＝0,1,2,...,N用来表示博弈双方的效用函数，即可得到防御策略集合，/>和/>分别表示在攻击者策略下的防御策略集合、在防御策略下的攻击者的策略集合以及在攻击者相互影响下的策略集合；/>表示攻击者基于防御者策略以及其他攻击者策略做出的最终防御策略的集合。

定义在达到安全状态z_I时，攻防双方策略集中策略对应的概率分布分别为和/>进而求解攻防双方的期望收益函数，利用非线性规划的方法，最终得到纳什均衡解/>和/>实现抵御适度风险的动态综合控制策略。

(4)数据筛选器

数据筛选器主要是将初始化后的数据全部标记未读，定义ε-邻域，当对象x_c的ε-邻域中数据对象个数大于最小对象参数ρ时称x_c为核心对象，从数据集D中取包含任意个数据对象p的数据集D_c，其中D_c∈D,c＝1，2,3…，并将D_c标记为已读。通过ε和ρ参数对数据p进行判断，如果p为核心对象，找出p的所有密度可达数据对象，并标记为已读。若p不是核心对象，且没有哪个对象对p密度可达，将p标记为噪声数据，从而筛选出不同类型的数据。

(5)目标识别器

在满足的条件下，当所有数据都标记为已读时，将其中一个核心对象作为种子，将该对象的所有密度可达点都归为一类，形成一个较大范围的数据对象集合，也称为聚类簇。反复循环直至所有核心对象都遍历完，剩下没有归为一类的数据便为异常数据。将识别出来的这些异常数据剔除，用正常的不同数据类型的数据集合取算数均值来替代异常数据执行正常操作。

根据附图1至3，本发明提供的方法流程如下：

1.混合模型生成器

定义Δt_l，l∈{1,2,...,m}来表示有源配电网***中对应的不同状态的采样时间。因为设备和信息的不同，采样的周期有区别，在呈现形式上则为离散和连续***混杂的***状态可采用如下方程表示：

其中x_i(t)，i∈S₁表示快变***状态，呈现为连续***状态，x_j(t)，i∈S₂表示变化较慢的***状态，呈现为离散***状态，A_i，B_i，D_i分别为系数矩阵，ω_i(t)和ω_j(t)分别表示连续分量和离散分量中的外部扰动。

取ΔT为不同***参数和状态的采样周期的{Δt₁,Δt₂,...,Δt_n}的最大公因数，根据ΔT可以得到异/同步双模态混杂***中有限时间段内的同步时刻 当***中攻击行为发生时，以采样周期短，采样频率高的快变信号为主，为了避免较大的信号突变，采用就近原则进行切换。将网络攻击带来的影响定义为不确定变量Δ，并将此带有随机的动态变化的分量融入到“离散-连续”混杂的有源配电网***中，形成如下结构的一体化***模型。

其中x_i(t)，i∈S₁表示连续***状态，x_j(t)，j∈S₂表示离散的***状态，ω_i(t)和ω_j(t)为***扰动，Δ_i(t)和Δ_j(t)分别表示连续和离散***中的分量，是动态变化的并且有随机性。

2.风险量化器

在进行量化计算之前，需要在***中安装一些常规的工业安全防护软件和工业防火墙等，对***异常进行监测和记录。定义有源配电网***中的组成元素i被网络攻击a攻击的概率为ρ_ia以及对***的安全的影响π_ia，***元素i可能遭遇***攻击的量化计算为其中m表示***可能遭遇m种类型的网络攻击。假设***中存在n个***元素，则整个***可能遭遇的安全风险可以量化计算为/>

3.博弈模型生成器

由于存在不确定性，根据参与者掌握的公共知识和参与者历史行为来获取参与者的概率，依此决定下一步策略，通过精炼贝叶斯均衡，假设配电网安全攻防博弈模型G＝(P,Z,Θ,S)，其中：P＝(P_A,P_D)表示攻防双方参与者集合，P_A为攻击方，P_D为防御方；Z＝{z₀ z₁... z_N}用来表示网络安全状态的集合；I＝0,1,2,...,N用来表示攻防双方的策略集集合，/>和/>分别用来表示***要达到安全状态z_I时，攻击方和防御方所有可能策略的集合，可以展开为/>和/> I＝0,1,2,...,N用来表示博弈双方的效用函数，即可得到：

其中和/>分别表示在攻击者策略下的防御策略集合、在防御策略下的攻击者的策略集合以及在攻击者相互影响下的策略集合；/>表示攻击者基于防御者策略以及其他攻击者策略做出的最终防御策略的集合。

由于攻防双方无法掌握对方的全部信息的特性，单纯的策略性的纳什均衡解并不存在，所以存在策略上的随机性，定义在达到安全状态z_I时，攻防双方策略集中策略对应的概率分布分别为和其中/> j＝1,2,…,M，k＝1,2,…,N，并且有/>

此时，若要达到安全状态z_i，攻防双方的期望收益函数可以归纳为：

利用非线性规划的方法，抵御“适度风险”的最优控制策略可以表示为：

s.t.

其中c为最大***安全系数，和/>分别表示对应的单位行向量，/>和/>分别表示攻击方和防御方在纳什均衡下的期望，最终得到纳什均衡解/>和/>

4.数据筛选器

数据筛选器主要是将初始化后的数据全部标记未读，定义ε-邻域，N_ε(x_i)＝(x_i∈D|dist(x_i，x_j)≤ε)，其中N_ε(x_i)表示ε-邻域内所有点的集合，ε表示半径参数。当对象x_i的ε-邻域中数据对象个数大于ρ，即|N_ε(x_i)|＞ρ时，则x_i称为核心对象。在一个数据集中，并不是所有数据对象都是核心对象，还有边缘对象和噪声对象。边缘对象表示数据对象不是核心对象，但是存在于某个核心对象的ε-邻域中；噪声对象表示该数据对象不是核心对象，也不存在于任何核心对象的ε-邻域中。从数据集D中取包含任意个数据对象p的数据集D_i，其中D_i∈D,i＝1，2,3...，并将D_i标记为已读。通过ε和ρ参数对数据p进行判断，如果p为核心对象，找出p的所有密度可达数据对象，并标记为已读。若p不是核心对象，且没有哪个对象对p密度可达，将p标记为噪声数据，从而筛选出不同类型的数据。

5.数据恢复器

在满足的条件下，当所有数据都标记为已读时，将其中一个核心对象作为种子，将该对象的所有密度可达点都归为一类，形成一个较大范围的数据对象集合，也称为聚类簇。反复循环直至所有核心对象都遍历完，剩下没有归为一类的数据便为异常数据。将识别出来的这些异常数据剔除，用正常的不同数据类型的数据集合取算数均值来替代异常数据执行正常操作。

针对图2、图3其具体的实施方案为：

步骤1：定义Δt_l，l∈{1,2,...,m}来表示上述***中对应的不同状态的采样时间，得到离散和连续***混杂的***状态方程。

取ΔT为不同***参数和状态的采样周期的{Δt₁,Δt₂,...,Δt_n}的最大公因数，可以得到异/同步双模态混杂***中有限时间段内的同步时刻

当***中攻击行为发生时，以采样周期短，采样频率高的信号的快变信号为主，采用就近原则进行切换。

步骤2：将网络攻击带来的影响定义为不确定变量Δ，并将此带有随机的动态变化的分量融入到“离散-连续”混杂的有源配电网***中，形成一体化***模型。

步骤3：定义有源配电网***中的组成元素i被网络攻击a攻击的概率为ρ_ia以及对***的安全的影响π_ia，***元素i可能遭遇***攻击的量化计算为其中m表示***可能遭遇m种类型的网络攻击。

步骤4：假设***中存在n个***元素，得到***可能遭遇的安全风险量化计算为

步骤5：通过精炼贝叶斯均衡，假设配电网安全攻防博弈模型G＝(P,Z,Θ,S)，其中：P＝(P_A,P_D)表示攻防双方参与者集合，P_A为攻击方，P_D为防御方；Z＝{z₀ z₁ ... z_N}用来表示网络安全状态的集合，I＝0,1,2,...,N用来表示博弈双方的效用函数，即可得到在攻击者策略下的防御策略集合/>在防御策略下的攻击者的策略集合/>以及在攻击者相互影响下的策略集合/>

步骤6：定义攻防双方策略集中策略对应的概率分布分别为和/>得出攻防双方的期望收益函数，并且表示出抵御适度风险的最优控制策略，最终得到纳什均衡解/>和实现最优响应。

步骤7：将数据服务中采集到的数据集D初始化并且所有对象标记为未读，定义ρ为最小对象参数。当对象x_c的ε-邻域中数据对象个数大于ρ时称x_c为核心对象，从数据集D中取包含任意个数据对象p的数据集D_c，并将D_c标记为已读。

步骤8：通过ε和ρ参数对数据p进行判断，如果p为核心对象，找出p的所有密度可达数据对象，并标记为已读。若p不是核心对象，且没有哪个对象对p密度可达，将p标记为噪声数据，重复标记，直至所有数据都标记为已读。

步骤9：确定核心对象，将该对象的所有密度可达点都归为一类，形成一个较大范围的聚类簇，反复迭代直至所有核心对象都遍历完，筛选出异常数据，将正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作。

Claims (1)

1.一种基于博弈论的网络协同攻击建模和危害定量分析方法，其特征在于，包括以下步骤：

步骤一、针对有源配电网构建融合网络攻击的混合一体化模型

针对有源配电网***，采用有限状态机的方法构建融合有网络攻击的混合一体化模型；所构建的混合一体化模型为网络协同攻击动态组合模型，能够通过采集、分析网络攻击数据来检测和鉴别网络攻击行为的影响，通过数据清洗与数据关联完成网络协同攻击行为的解耦；

步骤二、量化网络攻击行为产生的风险

根据有源配电网***运行过程中的网络协同攻击行为特征的提取来进行攻击检测，计算对应的网络攻击行为产生的影响，以综合完成网络协同攻击态势分析；

步骤三、通过构建安全攻防博弈模型来响应网络攻击行为

采用零和动态博弈方法，根据精炼贝叶斯均衡对攻防双方对弈情况来构建安全攻防博弈模型，以通过求解该安全攻防博弈模型的纳什均衡解来响应对应的网络协同攻击行为，促使该网络协同攻击行为对有源配电网***数据服务的影响能够降到最低，并根据所获得的纳什均衡解来确定是否需要报警，以对融合有网络攻击行为的异常数据进行筛选、剔除并校正；

步骤四、筛选、剔除融合有网络攻击行为的异常数据并进行校正

在步骤三所获得的纳什均衡解来确定需要报警后，采用基于密度的聚类方法来筛选、剔除融合有网络攻击行为的异常数据并进行校正；

步骤一中，混合一体化模型的构建方式具体包括以下步骤：

步骤1.1：数据采样，并定义Δt_l，l∈{1,2,...,m}来表示有源配电网***中对应的不同状态l的数据采样时间间隔；进入步骤1.2；

步骤1.2：取ΔT为不同***参数和状态的采样周期的{Δt₁,Δt₂,...,Δt_n}的最大公因数，以得到异/同步双模态混杂***中有限时间段内的同步时刻进入步骤1.3；

步骤1.3：当有源配电网***中网络攻击行为发生时，以采样周期短，采样频率高的信号的快变信号为主，采用就近原则进行切换；进入步骤1.4；

步骤1.4：将网络攻击带来的影响定义为不确定变量Δ，并将此带有随机的动态变化的分量融入到“离散-连续”混杂的有源配电网***中，形成融合有网络攻击的混合一体化模型；

融合有网络攻击的混合一体化模型如下：

其中x_i(t)表示***的连续时间变量i随时间t变化的连续***状态，S₁表示连续时间变量i的集合；x_j(t)表示***的离散时间变量j随时间t变化的离散***状态，j∈S₂，S₂表示离散时间变量j的集合；S表示连续时间变量i、离散时间变量j的合集；ω_i(t)和ω_j(t)分别表示连续、离散***的扰动，Δ_i(t)和Δ_j(t)分别表示连续、离散***的网络攻击行为影响分量；A_i为连续的***状态的系数矩阵，B_i为连续的***扰动的系数矩阵，D_i分别为连续的***中网络攻击行为影响分量的系数矩阵；A_j为离散的***状态的系数矩阵，B_j为离散的***扰动的系数矩阵，D_j为离散的***中网络攻击行为影响分量的系数矩阵；

步骤二中，量化网络攻击行为产生的风险具体包括以下步骤：

步骤2.1：定义有源配电网***中的组成元素i被网络攻击a攻击的概率为ρ_ia、对***安全引起的影响为π_ia，计算组成元素i可能遭遇网络攻击的风险量化计算V_i为：

步骤2.2：根据步骤2.1得到的风险量化计算V_i，计算整个***可能遭遇的安全风险量化计算V：

γ_i表示有源配电网组成元素i在[1,n]中所占的权重；

步骤三中，安全攻防博弈模型的构建方式以及安全攻防博弈模型对网络攻击行为的响应按照如下的方式进行：

步骤3.1：定义配电网安全攻防博弈模型G＝(P,Z,Θ,S)，其中：

P＝(P_A,P_D)表示攻防双方参与者集合，P_A为攻击方，P_D为防御方；

Z＝{z₀ z₁...z_N}用来表示网络安全状态的集合；

用来表示攻防双方的策略集集合，/>和/>分别用来表示***要达到安全状态z_I时，攻击方和防御方所有可能策略的集合，

用来表示博弈双方的效用函数；

步骤3.2：定义在达到安全状态z_I时，攻防双方策略集中策略对应的概率分布分别为：

其中：并且有/>

步骤3.3：要达到安全状态z_I，总结出攻防双方的期望收益函数；

步骤3.4：利用非线性规划的方法，得到抵御“适度风险”的最优控制策略，并且最终得到纳什均衡解

步骤3.5：根据纳什均衡解***选择是否发出警告；

步骤四中，筛选、剔除融合有网络攻击行为的异常数据并进行校正的方式，具体包括如下步骤：

步骤4.1：将数据服务中采集到的数据集D初始化并且所有对象标记为未读，通过闵科夫斯基距离公式定义ε-邻域，N_ε(x_c)＝(x_c∈D|dist(x_c，x_d)≤ε)，其中N_ε(x_c)表示ε-邻域内所有点的集合，ε表示半径参数，定义ρ为最小对象参数；当对象x_c的ε-邻域中数据对象个数大于ρ时称x_c为核心对象；

步骤4.2：从数据集D中取包含任意个数据对象p的数据集D_c，其中D_C∈D,c＝1，2,3…，并将D_c标记为已读；

步骤4.2：通过ε和ρ参数对数据对象p进行判断，如果p为核心对象，找出p的所有密度可达数据对象，并标记为已读；若p不是核心对象，且没有哪个对象对p密度可达，将p标记为噪声数据；

步骤4.3：在满足的条件下，重复步骤4.2和步骤4.3，直至所有数据都标记为已读；

步骤4.4：将其中一个核心对象作为种子，将该对象的所有密度可达点都归为一类，形成一个较大范围的数据对象集合；

步骤4.5：循环步骤4.2至步骤4.4，直至所有核心对象都遍历完，剩下没有归为一类的数据便为异常数据；

步骤4.6：将正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作；

步骤4.7：循环结束。