基于未知威脅感知的電網內外網邊界信息安全監測

周澤元，嚴彬元，劉俊榮

(貴州電網有限責任公司信息中心,貴州 貴陽 550002)

智能電網是國家穩定發展的重要基礎設施，在電力系統主動化的背景下，電力數據與相關的信息就成為電網安全運行的基礎。一旦智能電網受到外界入侵，導致電力數據遭到破壞，則當地的電力運行很可能受到破壞，因此需要對電力終端的信息安全進行全方位保護，以保證整個電網系統的有序運行。

文獻[1]針對電力網絡無法面對綜合性的復合型攻擊等問題，設計了一種基于大數據分析的電力安全防護策略，在局部線性加權的基礎上，基于D-S理論，計算了電網安全的偏離度，并構建了針對多類型網絡攻擊的精準度判別模型。在該方法下，電力系統可以避免非單一型的外網攻擊，但是其在監測過程中能耗較大。文獻[2]基于深度學習算法，設計了一種配電網入侵監測系統，在該系統下通過門控循環單元，對神經網絡進行測試，并以此判斷該事件是否為入侵事件。文獻[3]通過非凸矩陣分解算法，設計了一種電網欺騙性數據的攻擊監測方法，在將分解問題轉化為非凸優化問題以后，構建了非常量測矩陣，并利用該矩陣測算了注入性攻擊的參考量。該方法有效地保證了量測數據不會受到惡意注入，保護了電力系統中數據的安全與完整。以上兩種方法雖然都能夠提高電網監測的準確性，但是其在面對不同類型的威脅時，靈活度不足，只適合對抗專一類型的惡意攻擊。因此，基于未知威脅感知，本文設計了一種新的電網內外網邊界信息安全監測方法。

1 基于未知威脅感知設計電網內外網邊界信息安全監測方法

1.1 電網內外網邊界信息差異損失

電網內外網邊界信息安全域判斷器Ddomain是模型中用于判斷電網內外網邊界的信息安全性的重要指標，其關鍵點是盡力地判斷出共享標識的來源；而模型中的共享編碼器Eshared則能夠生成共享標識，通過加上相應的域標簽[4]，得到帶域標簽的共享標識數據Xdomain，定義如下公式：

(1)

電網內外網邊界信息安全域判別器Ddomain的參數記為θd，其主要作用是對共享標識的域判別準確率進行最大化處理。將由共享編碼器Eshared得到的共享標識Xdomain作為輸入值，對域標簽進行預測[5]。并將判別器獲取的判別損失定義為在訓練域的判別損失最小化，表達式為：

(2)

其中，H(·)標識交叉熵損失；xi為由共享編碼器生成電網內外網邊界信息共享標識；yi為獨立編碼形式的域標簽，yi=(1,0)為源域，yi=(0,1)為目標域；θd為共享標識判別參數，訓練域判別器Ddomain的目標最小化判別損失為τDis。

h(Θ)=htask+αhrecon+βhdiff+γ/hDis

(3)

其中，hDis是共享標識符的鑒別損失，用于區分內部和外部網格之間的邊界。由于生成電網內外網邊界的訓練目標之一是使電網內外網邊界信息的判別精度最小化，即使判別損失最大化，使用倒數形式，可以在最小化生成模型的總體損失時，最大化鑒別損失。α,β,γ是損失項的重量。htask，hrecon，hdiff分別是任務損失、重建損失和差異損失。共享標識生成網格內外的網格邊界信息，相關模塊的優化目標是最小化損失h(Θ)。

電網內外電網邊界的信息相關分類器用于建模源電網內外電網邊界的相關信息識別[8]。任務相關分類器C用于從源網格的內部和外部網絡邊界對相關信息標識進行建模，以便共享編碼器Eshared生成的共享標識包含任務相關信息，分類器使用源網格內外網格邊界的共享表示，并學習相應的流量標簽訓練，其任務損失htask定義如下：

(4)

其中,xi是源電網內外網的邊界向量，yi是電網內外網對應的邊界信息標簽。

重構編碼器D將源電網的內部和外部電網邊界以及目標電網的內部和外部電網邊界的私有標識符和共享標識符疊加，并重新建模兩個內部和外部電網的邊界信息。重建損失hrecon的定義如下：

(5)

(6)

1.2 電網內外網數據狀態估計

對于智能電網，可以根據電網總線的電壓、功率、負荷等指標測量其物理條件與實際數據的相關性，這樣的數據通常具備一定的偶然性，但是如果以此建立數學模型，找到其內部的關聯性，就可以依據模型提高數據狀態估計的精度，從而得到更準確的監測方法[9]。在目標函數的估計中，可以在狀態估計值內帶入一個未知量，得到函數：

(7)

式中，hT表示內外網狀態估計的對角方差矩陣；R表示測量其中測量的誤差。在這樣的估計指標下，可以得到數據狀態的殘差：

(8)

式中，rt表示狀態估計的殘差；If表示電網電流流向[10-11]。在這樣的電力平衡影響下，可以依據分布的自由度計算每一個檢驗假設的波動值，并以此監測其中的不良數據存在與否，此時的判定公式為：

(9)

式中，f0和f1分別表示數據中心是否存在惡意數據，f0=1表示存在惡意數據，f1=0表示不存在惡意數據；λu表示惡意數據存在的置信區間。當系統變得較大時，可以得到遠超λu狀態值的參數，此時可以認定F(x)服從正態分布：

(10)

式中，fn表示智能電網數據中心的惡意數據狀態期望值；σ表示其標準差。此時可以計算由惡意數據導致的狀態變化參量，并由相對獨立的狀態變換數據分布密度，得到假設性檢驗公式：

(11)

式中，Pg表示智能電力系統在監測信息安全時的狀態值；ct表示某時間單位時的狀態密度?；谝陨瞎?，可以得到電網內外網數據的狀態估計函數。

1.3 電網數據傳遞閾值計算

在威脅未知的情況下，電網的信息安全監測系統很難保證信息留存的有效性，而惡意數據很容易找到漏洞，對智能電網造成損害[12-14]。因此可以設置一個特殊的閥門，作為信息傳遞的阻斷節點，此時可以得到如圖1所示的閾值顯示示意圖。

圖1 信息傳遞閾值節點Fig.1 Information transfer threshold node

如圖1所示，分別設置足夠的閾值節點，在每一層級的神經元中都重復使用，并構建激活函數，作為非線性的輸出與輸入網絡。此時的值域區間為[0，1]，其激活函數為：

(12)

式中，D(x)表示函數值為0時，激活函數的飽和輸出數據；P(x)表示函數值為1時，函數的輸入數據；k表示函數的映射范圍[15]。在此基礎上構建權值的倒數結構，其計算公式為：

(13)

式中，θv表示單元倒數在遞歸操作下的反向推算值；ad表示訓練過程中的損失函數[16]。當θv大于0時，電網節點可以被傳遞數據，當θv小于等于0時，電網數據的閾值需要被關閉。

1.4 構建內外網信息安全監測算法

在以上未知威脅感知的基礎上，可以得到電網數據在信息傳遞過程中的閾值單位，通過此類閾值可以判定某一節點中電網信息的安全性。在此基礎上設計內外網的安全監測算法，其算法結構如圖2所示。

圖2 信息安全監測算法Fig.2 Information security monitoring algorithm

如圖2所示，首先需要計算節點閾值，在此時的智能電網中，存在大量冗余的量測值作為保證電力信息安全的估計值[17-18]，則根據量測值與狀態參數的關系，可以得到公式：

(14)

式中，dx表示每一個節點閾值的保護狀態參數，且其值域為(0，1)；dp和di分別表示接受單個和多個狀態參數的系統靈敏度；σk表示系統的狀態誤判率[19-20]。據此判斷攻擊數據的對角矩陣，過程為：

(15)

在此基礎上，可以得到攻擊者輸入惡意數據的臨界值，以此定義模型中的約束條件，將功率量測值與負荷消耗綜合在一起，形成一個整體性的信息監測機制。此時的電網信息安全監測機制可以對未知威脅進行感知與監測。

2 實驗驗證分析

2.1 實驗設置

為測試上文設計的基于未知威脅感知技術的電網信息安全監測方法，設計如下實驗，并對比驗證其與大數據分析技術、深度學習算法、非凸矩陣分解算法三種電網信息安全監測方法，在不同攻擊模式下的有效性，以此判斷文中方法的性能分析結果。

建立一個標準的IEEE系統，將文中設計的基于未知威脅感知的電網內外網邊界信息安全監測方法，與傳統的幾種監測方法進行比較，分析以上監測方法的有效性與優越性。使用WLS方法估計電網的狀態參數，并設計如圖3所示的電網系統。

圖3 電網IEEE-11系統Fig.3 Power grid IEEE-11 system

如圖3所示，當系統規模變大時，其受到攻擊的概率和規模也會逐漸增大，此時當前電網系統的運行狀態如表1所示。

表1 電網系統運行狀態Tab.1 Operation status of power grid system

如圖1所示，在實驗中需要假設單值檢驗的誤差率為λc，則此時的監測率ηc為：

ηc=Pf-(Ph-λc)e

(16)

式中，e表示電壓幅值的測量值；Pf表示電網功率；Ph表示電網在單一總線上的負載[21-24]。當檢測率越高時，電網邊界面對位置威脅感知的狀態就越好。在本實驗中，將檢測率作為算法面對攻擊時監測能力的評價指標。

2.2 實驗結果分析

2.2.1 電網對不同攻擊下的監測效果

使用以隱藏數據為目的、以更改目標狀態值為目的、以系統同分布為目的、以耗盡內存資源為目的，四種不同的攻擊模式，測試四種電網信息安全監測方法的能力。在一般性方差分析中，假定對角矩陣R-1的元素變更范圍為[0，0.04]，則此時的測量值和檢測率服從正態分布的結果[25-28]。在這樣的攻擊模式下，重復同樣的實驗500次，得到如圖4-7所示。

(1)以隱藏數據為目的

圖4 以隱藏數據為目的監測效果Fig.4 Monitoring results for hidden data

由圖4可知，在攻擊量一定的情況下，采用大數據分析時，其以隱藏數據為目的監測率約為97.21%；采用深度學習算法時，監測率為96.34%，采用非凸矩陣分解算法時，監測率為96.86%；采用本文未知威脅感知方法時，監測率為99.54%，雖然前期出現了波動但一直處于增長趨勢。

(2)以更改目標狀態值為目的

圖5 以更改目標狀態值為目的監測效果Fig.5 Monitors the effect for the purpose of changing the target status value

由圖5可知，在以更改目標狀態值為目的時，隨著攻擊量增加，采用大數據分析時，其監測率約為96.57%；采用深度學習算法時，監測率為96.68%，采用非凸矩陣分解算法時，監測率為95.37%；采用本文未知威脅感知方法時，監測率為98.67%，且一直處于增長趨勢。

(3)以系統同分布為目的

圖6 以系統同分布為目的監測效果Fig.6 Monitoring effect for the purpose of system homodistribution

由圖6可知，在以系統同分布為目的時，隨著攻擊量增加，采用大數據分析時，其監測率約為96.59%；采用深度學習算法時，監測率為95.38%，采用非凸矩陣分解算法時，監測率為95.45%；采用本文未知威脅感知方法時，監測率為98.37%，且一直處于增長趨勢。

(4)以耗盡內存資源為目的

圖7 以耗盡內存資源為目的監測效果Fig.7 Monitors the effect in order to exhaust memory resources

由圖7可知，在以耗盡內存資源為目的時，隨著攻擊量增加，采用大數據分析時，其監測率約為96.76%；采用深度學習算法時，監測率為96.48%，采用非凸矩陣分解算法時，監測率為97.58%；采用本文未知威脅感知方法時，監測率為98.97%，且一直處于增長趨勢。

2.2.2 最大監測率對比

在不同的攻擊模式下，四種算法的最大檢測率如表2所示。

表2 不同算法最大監測率Tab.2 Maximum monitoring rate of different algorithms

由表2可知，在四種不同的攻擊模式下，未知威脅感知技術的最大檢測率均高于其他三種算法，由此可見文中設計的電網信息安全監測方法具備更好的安全監測效果，可以更高效、更準確地得到電網內外網邊界的信息監測結果。

3 結束語

本文基于未知威脅感知，設計了一種電網內外網邊界信息安全監測方法，通過分析不同類型的惡意攻擊模式，設計了一種綜合型的信息監測算法。本文設計的信息安全監測方法可以深度融合智能電網的電力信息，并基于未知威脅獲得較大規模智能電網的監測結果。在保證算法基礎性能的同時，自電力系統的安全機制入手，從多方面杜絕惡意數據的入侵，從而保證電力系統的穩定與信息安全。在下一步的研究中，可以以提高電網系統的規模入手，加強大規模電力系統信息安全監測的效果。