智能電網空間隱蔽型惡性數據注入攻擊檢測

吳繼巖，張懷垠，劉金崇，妥平

（國網固原供電公司，寧夏固原 756000）

近年來，電子計算機以及信息通信網絡系統飛速發展，電網體系愈發復雜。新型的通信技術手段讓電力系統工作效率更高，但也帶來了一定的安全風險。當前隱蔽性惡性數據注入攻擊成為電網中最具威脅性的攻擊之一，相對于干擾設備的直接攻擊，其突出特點在于攻擊的隱蔽性。因此如何確保電力安全平穩運行，有效檢測惡性數據注入攻擊值得深入研究。

文獻[1]提出基于智慧電網的空間隱蔽式惡性信息注入與網絡預防技術，利用歷史狀態量的提取和態勢估計完成狀態量數據挖掘，利用PMU 量檢測技術實現惡性信息分析、刪除、修復，完成防御。但該方法計算量過于龐大，運算速度緩慢。文獻[2]提出非凸矩陣分析的電網欺詐性數據注入攻擊分析技術，將欺詐性數據注入攻擊檢測問題看作稀疏低秩矩陣分析問題，將分析問題轉換為非凸優化問題，采用改良的交替方向乘子方法解決了非凸難題，將正常量計矩陣作為參考量進行電網運行狀態識別，以此完成攻擊檢測。但該方法穩定性較差，實際應用效果并不好。

為彌補上述方法中存在的缺陷，該文提出一種智能電網空間隱蔽型惡性數據注入攻擊檢測方法。

1 惡性數據注入狀態分析

攻擊者注入智能電網空間隱蔽性惡性數據的類型大致分為以下三類：直接篡改信息采集設備量測數據、深入電網系統篡改數據、侵入調控中心[3-4]。

假定攻擊者已經收集了電網中的某個子網A內所有的狀態拓撲信息，w是在A中的數據索引，對A中所有量都灌注了惡性數據，ai是攻擊矢量a的第i個因子，則注入惡性數據后系統狀態zi的計算公式如下：

惡性數據的注入能夠使當前電網系統無法監測到惡性數據[5-6]。惡性數據注入過程如圖1 所示。

圖1 惡性數據注入過程

攻擊矢量a計算過程如式（2）所示：

根據圖1 可知，檢測惡性數據注入攻擊時，需要對攻擊者當前子網內的拓撲構造情況進行預估計，分析非線性狀態量。針對一般惡性數據的進攻者，預估值與控制中樞預測結果之間存在一定的誤差，而誤差值取決于進攻者對電網設備的了解情況。當攻擊者利用網絡攻擊方式獲取當前節點狀態時，非線性狀態估計模型便可以獲得惡性數據樣本，并對惡性數據的注入狀態進行分析[7-8]。

2 隱蔽型惡性數據挖掘

該文采用混合測量方式挖掘隱蔽性惡性數據，數據挖掘流程如圖2 所示。

圖2 隱蔽型惡性數據挖掘流程

第一步：在固定時間內完成數據信息采集，利用混合測量數據挖掘技術獲取該時間的所有節點狀態量；

第二步：通過計算固定時間下節點狀態測量值，得到固定時間的靜態狀態估計周期；

第三步：獲取固定時間下靜態狀態估計結果，處理第二步得到的混合測量節點狀態量，以此估算惡性數據狀態，估算方式與混合測量狀態估算方式一致，根據估算結果得出固定時間下節點的狀態量；

第四步：求取固定時間內電網中的惡性數據注入狀態量，方法與第二步求取方法相同，獲取被攻擊節點狀態；

第五步：當所有電網設備都完成采樣后，根據各采樣時間下節點狀態量建立歷史數據庫，為后期惡性數據注入檢測提供數據支持，完成智能電網空間隱蔽型惡性數據挖掘[9-10]。

3 智能電網惡性數據注入攻擊檢測

該文設計了一種智能電網空間隱蔽型惡性數據注入攻擊檢測模型，利用鄰近測試節點采集電網系統正常運行時的多條數據來訓練模型。模型訓練過程如式（3）所示：

通過TNPE 算法提取采集到的正常歷史數據空間特征以及時間向量，根據提取的數據完成智能電網空間隱蔽型惡性數據注入攻擊檢測模型訓練[11-12]。

根據目標節點的鄰近節點將注入攻擊檢測方法分成兩類。若鄰近節點附近無攻擊檢測節點，則必須獲得當前目標與檢測節點的最小距離，并根據檢測節點電壓相量和電流相量測量出目標節點的電壓相量及電流相量，計算過程如下：

式中，U表示電壓相量；I表示電流相量；Z表示節點之間的最小距離；j表示檢測節點電流相量；θ表示電壓相位角；ξ表示電流相位角[13-14]。

在智能電網空間隱蔽型惡性數據注入攻擊檢測過程中，需確定當前時間電網設備儀器統計信息能否自動更新。若自動更新，則根據當前的電網設備儀器狀況確定電壓相量，利用當前節點及其電網設備狀態估算電流相量；若未自動更新，則通過當前電網儀器統計測量歷史狀態量，用相同方法獲得電壓相量及電流相量[15]。

如目標節點及檢測節點具有相同的電壓、電流相量，可以利用目標節點統計信息，以獲得注入攻擊值。

當θi被惡性數據攻擊而變為θ時，攻擊過程如式（7）所示：

被攻擊后的電網系統相量也將出現位移，偏移量如式（8）所示：

式中，Δd表示偏移量；d1表示位移前位置；d2表示位移后的位置。

分析采集到的實際測量數據，通過TNPE 算法檢測模型提取惡性數據新特征。根據惡性數據新特征計算在線數據的統計量分析新注入數據的惡性數據部分，完成對智能電網空間隱蔽型惡性數據注入攻擊的檢測[16-20]。

在確定智能電網存在注入攻擊后，要進行智能電網防御。根據智能電網空間隱蔽型惡性數據注入攻擊檢測結果，監測當前時刻電網系統數據，區分不良數據與正常數據，同時刪除和調整監測出的不良數據。當電網設備中檢測的隱藏性很強的惡性數據已被去除時，繼續評估惡性數據注入攻擊量的靜態狀態，重新檢測數據庫中是否還含有惡性數據，直至所有惡性數據均被去除。尤其是測量惡性數據注入攻擊后的被攻擊節點狀態，根據狀態檢測的結果分別設置了狀態測量調整量和注入量測量調整量。當狀態量以及注入量滿足條件時，當前系統惡性數據便會被刪除，智能電網防御功能會自動估算修改后的數據。將數據存入歷史數據庫中，為后續的情況分析提供數據支持。

4 實驗研究

目前智能電網惡性數據注入攻擊最常見的方式為修改電網系統調控中心的實時數據，因此該文以修改電網系統調控中心的實時數據攻擊方式為檢測對象進行了相關實驗，分析研究方法的實際應用效果。實驗使用MatPower4.0 中的IEEE-14 節點系統，電力負荷數據來自比利時電網運營商的網站發布數據，實驗分為攻擊檢測準確率分析與惡性數據修正能力分析兩部分，以驗證該文方法的應用效果。

4.1 攻擊檢測準確率分析

設定惡性數據注入IEEE-14 節點系統內部的電壓相位角，注入的惡性數據量為原始智能電網數據量的10%，注入時間間隔為1 h，注入次數為10 次。通過多次檢測得到10 000 個數據樣本。得到的惡性數據樣本數如圖3 所示。

圖3 惡性數據樣本數

同時采取該文提出的攻擊檢測方法和傳統的面向智能電網的空間隱蔽型惡性數據注入攻擊在線防御方法和基于非凸矩陣分解的電網欺騙性數據注入攻擊檢測方法進行檢測，得到檢測準確率結果如圖4所示。

圖4 檢測準確率實驗結果

根據圖4 可知，隨著檢測時間的增加，三種檢測方法的檢測精度都在不斷增加。在檢測時間為0～30 s時，三種方法的檢測精度均在不斷上升，而檢測精度上升速率相對較為緩慢。該文提出的檢測方法準確率始終穩定在98%以上，具有極高的檢測能力，滿足檢測精度要達到95%的要求；而傳統的在線防御檢測方法檢測精度低于96%，在檢測前120 s，檢測精度始終不能滿足要求，檢測效果不好；非凸矩陣分解檢測方法最高檢測準確率為93%，無法達到檢測精度要求，不能應用在實際的檢測工作中。

4.2 惡性數據修正能力分析

設定惡性數據注入IEEE-14 節點系統內部的電壓相位角，分別設定不同的攻擊幅值，為0.1%、1%、5%和10%。檢測出惡性數據后進行一次修正，再繼續進行惡性數據檢測。若檢測結果中仍存在惡性數據，則需對檢測出的新惡性數據展開二次修正。同時采用三種方法進行修正，對比分析其修正能力。修正效果實驗結果如表1 所示。

表1 修正效果實驗結果

根據表1 可知，該文提出的攻擊檢測方法對于攻擊幅值超過5%的惡性數據，一次就可以完成修正；對于攻擊幅值在0.1%～5%之間的惡性數據，兩次可以完成修正。而傳統的攻擊檢測方法對于不同幅值的惡性攻擊數據都需要進行二次修正才能完成，不具備實時修正的能力，說明這兩個方法的修正能力差，實際應用效果并不好。

5 結束語

智能電網關系到居民的用電安全，該文以解決傳統方法存在的問題作為研究目標，提出了一種智能電網空間隱蔽型惡性數據注入攻擊檢測方法，分析惡性數據注入狀態挖掘惡性數據，通過攻擊檢測訓練模型完成對注入攻擊的檢測，并根據檢測結果提出智能電網防御方案。實驗表明，該文提出的惡性數據注入攻擊檢測方法的檢測成功率高，運算量較小，適用于我國智能電網的惡性數據注入攻擊檢測。但該文研究在魯棒性方面仍有不足，后續將圍繞此方面進行深度優化。