基于未知威胁感知的电网内外网边界信息安全监测

周泽元，严彬元，刘俊荣

(贵州电网有限责任公司信息中心,贵州 贵阳 550002)

智能电网是国家稳定发展的重要基础设施，在电力系统主动化的背景下，电力数据与相关的信息就成为电网安全运行的基础。一旦智能电网受到外界入侵，导致电力数据遭到破坏，则当地的电力运行很可能受到破坏，因此需要对电力终端的信息安全进行全方位保护，以保证整个电网系统的有序运行。

文献[1]针对电力网络无法面对综合性的复合型攻击等问题，设计了一种基于大数据分析的电力安全防护策略，在局部线性加权的基础上，基于D-S理论，计算了电网安全的偏离度，并构建了针对多类型网络攻击的精准度判别模型。在该方法下，电力系统可以避免非单一型的外网攻击，但是其在监测过程中能耗较大。文献[2]基于深度学习算法，设计了一种配电网入侵监测系统，在该系统下通过门控循环单元，对神经网络进行测试，并以此判断该事件是否为入侵事件。文献[3]通过非凸矩阵分解算法，设计了一种电网欺骗性数据的攻击监测方法，在将分解问题转化为非凸优化问题以后，构建了非常量测矩阵，并利用该矩阵测算了注入性攻击的参考量。该方法有效地保证了量测数据不会受到恶意注入，保护了电力系统中数据的安全与完整。以上两种方法虽然都能够提高电网监测的准确性，但是其在面对不同类型的威胁时，灵活度不足，只适合对抗专一类型的恶意攻击。因此，基于未知威胁感知，本文设计了一种新的电网内外网边界信息安全监测方法。

1 基于未知威胁感知设计电网内外网边界信息安全监测方法

1.1 电网内外网边界信息差异损失

电网内外网边界信息安全域判断器Ddomain是模型中用于判断电网内外网边界的信息安全性的重要指标，其关键点是尽力地判断出共享标识的来源；而模型中的共享编码器Eshared则能够生成共享标识，通过加上相应的域标签[4]，得到带域标签的共享标识数据Xdomain，定义如下公式：

(1)

电网内外网边界信息安全域判别器Ddomain的参数记为θd，其主要作用是对共享标识的域判别准确率进行最大化处理。将由共享编码器Eshared得到的共享标识Xdomain作为输入值，对域标签进行预测[5]。并将判别器获取的判别损失定义为在训练域的判别损失最小化，表达式为：

(2)

其中，H(·)标识交叉熵损失；xi为由共享编码器生成电网内外网边界信息共享标识；yi为独立编码形式的域标签，yi=(1,0)为源域，yi=(0,1)为目标域；θd为共享标识判别参数，训练域判别器Ddomain的目标最小化判别损失为τDis。

h(Θ)=htask+αhrecon+βhdiff+γ/hDis

(3)

其中，hDis是共享标识符的鉴别损失，用于区分内部和外部网格之间的边界。由于生成电网内外网边界的训练目标之一是使电网内外网边界信息的判别精度最小化，即使判别损失最大化，使用倒数形式，可以在最小化生成模型的总体损失时，最大化鉴别损失。α,β,γ是损失项的重量。htask，hrecon，hdiff分别是任务损失、重建损失和差异损失。共享标识生成网格内外的网格边界信息，相关模块的优化目标是最小化损失h(Θ)。

电网内外电网边界的信息相关分类器用于建模源电网内外电网边界的相关信息识别[8]。任务相关分类器C用于从源网格的内部和外部网络边界对相关信息标识进行建模，以便共享编码器Eshared生成的共享标识包含任务相关信息，分类器使用源网格内外网格边界的共享表示，并学习相应的流量标签训练，其任务损失htask定义如下：

(4)

其中,xi是源电网内外网的边界向量，yi是电网内外网对应的边界信息标签。

重构编码器D将源电网的内部和外部电网边界以及目标电网的内部和外部电网边界的私有标识符和共享标识符叠加，并重新建模两个内部和外部电网的边界信息。重建损失hrecon的定义如下：

(5)

(6)

1.2 电网内外网数据状态估计

对于智能电网，可以根据电网总线的电压、功率、负荷等指标测量其物理条件与实际数据的相关性，这样的数据通常具备一定的偶然性，但是如果以此建立数学模型，找到其内部的关联性，就可以依据模型提高数据状态估计的精度，从而得到更准确的监测方法[9]。在目标函数的估计中，可以在状态估计值内带入一个未知量，得到函数：

(7)

式中，hT表示内外网状态估计的对角方差矩阵；R表示测量其中测量的误差。在这样的估计指标下，可以得到数据状态的残差：

(8)

式中，rt表示状态估计的残差；If表示电网电流流向[10-11]。在这样的电力平衡影响下，可以依据分布的自由度计算每一个检验假设的波动值，并以此监测其中的不良数据存在与否，此时的判定公式为：

(9)

式中，f0和f1分别表示数据中心是否存在恶意数据，f0=1表示存在恶意数据，f1=0表示不存在恶意数据；λu表示恶意数据存在的置信区间。当系统变得较大时，可以得到远超λu状态值的参数，此时可以认定F(x)服从正态分布：

(10)

式中，fn表示智能电网数据中心的恶意数据状态期望值；σ表示其标准差。此时可以计算由恶意数据导致的状态变化参量，并由相对独立的状态变换数据分布密度，得到假设性检验公式：

(11)

式中，Pg表示智能电力系统在监测信息安全时的状态值；ct表示某时间单位时的状态密度。基于以上公式，可以得到电网内外网数据的状态估计函数。

1.3 电网数据传递阈值计算

在威胁未知的情况下，电网的信息安全监测系统很难保证信息留存的有效性，而恶意数据很容易找到漏洞，对智能电网造成损害[12-14]。因此可以设置一个特殊的阀门，作为信息传递的阻断节点，此时可以得到如图1所示的阈值显示示意图。

图1 信息传递阈值节点Fig.1 Information transfer threshold node

如图1所示，分别设置足够的阈值节点，在每一层级的神经元中都重复使用，并构建激活函数，作为非线性的输出与输入网络。此时的值域区间为[0，1]，其激活函数为：

(12)

式中，D(x)表示函数值为0时，激活函数的饱和输出数据；P(x)表示函数值为1时，函数的输入数据；k表示函数的映射范围[15]。在此基础上构建权值的倒数结构，其计算公式为：

(13)

式中，θv表示单元倒数在递归操作下的反向推算值；ad表示训练过程中的损失函数[16]。当θv大于0时，电网节点可以被传递数据，当θv小于等于0时，电网数据的阈值需要被关闭。

1.4 构建内外网信息安全监测算法

在以上未知威胁感知的基础上，可以得到电网数据在信息传递过程中的阈值单位，通过此类阈值可以判定某一节点中电网信息的安全性。在此基础上设计内外网的安全监测算法，其算法结构如图2所示。

图2 信息安全监测算法Fig.2 Information security monitoring algorithm

如图2所示，首先需要计算节点阈值，在此时的智能电网中，存在大量冗余的量测值作为保证电力信息安全的估计值[17-18]，则根据量测值与状态参数的关系，可以得到公式：

(14)

式中，dx表示每一个节点阈值的保护状态参数，且其值域为(0，1)；dp和di分别表示接受单个和多个状态参数的系统灵敏度；σk表示系统的状态误判率[19-20]。据此判断攻击数据的对角矩阵，过程为：

(15)

在此基础上，可以得到攻击者输入恶意数据的临界值，以此定义模型中的约束条件，将功率量测值与负荷消耗综合在一起，形成一个整体性的信息监测机制。此时的电网信息安全监测机制可以对未知威胁进行感知与监测。

2 实验验证分析

2.1 实验设置

为测试上文设计的基于未知威胁感知技术的电网信息安全监测方法，设计如下实验，并对比验证其与大数据分析技术、深度学习算法、非凸矩阵分解算法三种电网信息安全监测方法，在不同攻击模式下的有效性，以此判断文中方法的性能分析结果。

建立一个标准的IEEE系统，将文中设计的基于未知威胁感知的电网内外网边界信息安全监测方法，与传统的几种监测方法进行比较，分析以上监测方法的有效性与优越性。使用WLS方法估计电网的状态参数，并设计如图3所示的电网系统。

图3 电网IEEE-11系统Fig.3 Power grid IEEE-11 system

如图3所示，当系统规模变大时，其受到攻击的概率和规模也会逐渐增大，此时当前电网系统的运行状态如表1所示。

表1 电网系统运行状态Tab.1 Operation status of power grid system

如图1所示，在实验中需要假设单值检验的误差率为λc，则此时的监测率ηc为：

ηc=Pf-(Ph-λc)e

(16)

式中，e表示电压幅值的测量值；Pf表示电网功率；Ph表示电网在单一总线上的负载[21-24]。当检测率越高时，电网边界面对位置威胁感知的状态就越好。在本实验中，将检测率作为算法面对攻击时监测能力的评价指标。

2.2 实验结果分析

2.2.1 电网对不同攻击下的监测效果

使用以隐藏数据为目的、以更改目标状态值为目的、以系统同分布为目的、以耗尽内存资源为目的，四种不同的攻击模式，测试四种电网信息安全监测方法的能力。在一般性方差分析中，假定对角矩阵R-1的元素变更范围为[0，0.04]，则此时的测量值和检测率服从正态分布的结果[25-28]。在这样的攻击模式下，重复同样的实验500次，得到如图4-7所示。

(1)以隐藏数据为目的

图4 以隐藏数据为目的监测效果Fig.4 Monitoring results for hidden data

由图4可知，在攻击量一定的情况下，采用大数据分析时，其以隐藏数据为目的监测率约为97.21%；采用深度学习算法时，监测率为96.34%，采用非凸矩阵分解算法时，监测率为96.86%；采用本文未知威胁感知方法时，监测率为99.54%，虽然前期出现了波动但一直处于增长趋势。

(2)以更改目标状态值为目的

图5 以更改目标状态值为目的监测效果Fig.5 Monitors the effect for the purpose of changing the target status value

由图5可知，在以更改目标状态值为目的时，随着攻击量增加，采用大数据分析时，其监测率约为96.57%；采用深度学习算法时，监测率为96.68%，采用非凸矩阵分解算法时，监测率为95.37%；采用本文未知威胁感知方法时，监测率为98.67%，且一直处于增长趋势。

(3)以系统同分布为目的

图6 以系统同分布为目的监测效果Fig.6 Monitoring effect for the purpose of system homodistribution

由图6可知，在以系统同分布为目的时，随着攻击量增加，采用大数据分析时，其监测率约为96.59%；采用深度学习算法时，监测率为95.38%，采用非凸矩阵分解算法时，监测率为95.45%；采用本文未知威胁感知方法时，监测率为98.37%，且一直处于增长趋势。

(4)以耗尽内存资源为目的

图7 以耗尽内存资源为目的监测效果Fig.7 Monitors the effect in order to exhaust memory resources

由图7可知，在以耗尽内存资源为目的时，随着攻击量增加，采用大数据分析时，其监测率约为96.76%；采用深度学习算法时，监测率为96.48%，采用非凸矩阵分解算法时，监测率为97.58%；采用本文未知威胁感知方法时，监测率为98.97%，且一直处于增长趋势。

2.2.2 最大监测率对比

在不同的攻击模式下，四种算法的最大检测率如表2所示。

表2 不同算法最大监测率Tab.2 Maximum monitoring rate of different algorithms

由表2可知，在四种不同的攻击模式下，未知威胁感知技术的最大检测率均高于其他三种算法，由此可见文中设计的电网信息安全监测方法具备更好的安全监测效果，可以更高效、更准确地得到电网内外网边界的信息监测结果。

3 结束语

本文基于未知威胁感知，设计了一种电网内外网边界信息安全监测方法，通过分析不同类型的恶意攻击模式，设计了一种综合型的信息监测算法。本文设计的信息安全监测方法可以深度融合智能电网的电力信息，并基于未知威胁获得较大规模智能电网的监测结果。在保证算法基础性能的同时，自电力系统的安全机制入手，从多方面杜绝恶意数据的入侵，从而保证电力系统的稳定与信息安全。在下一步的研究中，可以以提高电网系统的规模入手，加强大规模电力系统信息安全监测的效果。