智能电网空间隐蔽型恶性数据注入攻击检测

吴继岩，张怀垠，刘金崇，妥平

（国网固原供电公司，宁夏固原 756000）

近年来，电子计算机以及信息通信网络系统飞速发展，电网体系愈发复杂。新型的通信技术手段让电力系统工作效率更高，但也带来了一定的安全风险。当前隐蔽性恶性数据注入攻击成为电网中最具威胁性的攻击之一，相对于干扰设备的直接攻击，其突出特点在于攻击的隐蔽性。因此如何确保电力安全平稳运行，有效检测恶性数据注入攻击值得深入研究。

文献[1]提出基于智慧电网的空间隐蔽式恶性信息注入与网络预防技术，利用历史状态量的提取和态势估计完成状态量数据挖掘，利用PMU 量检测技术实现恶性信息分析、删除、修复，完成防御。但该方法计算量过于庞大，运算速度缓慢。文献[2]提出非凸矩阵分析的电网欺诈性数据注入攻击分析技术，将欺诈性数据注入攻击检测问题看作稀疏低秩矩阵分析问题，将分析问题转换为非凸优化问题，采用改良的交替方向乘子方法解决了非凸难题，将正常量计矩阵作为参考量进行电网运行状态识别，以此完成攻击检测。但该方法稳定性较差，实际应用效果并不好。

为弥补上述方法中存在的缺陷，该文提出一种智能电网空间隐蔽型恶性数据注入攻击检测方法。

1 恶性数据注入状态分析

攻击者注入智能电网空间隐蔽性恶性数据的类型大致分为以下三类：直接篡改信息采集设备量测数据、深入电网系统篡改数据、侵入调控中心[3-4]。

假定攻击者已经收集了电网中的某个子网A内所有的状态拓扑信息，w是在A中的数据索引，对A中所有量都灌注了恶性数据，ai是攻击矢量a的第i个因子，则注入恶性数据后系统状态zi的计算公式如下：

恶性数据的注入能够使当前电网系统无法监测到恶性数据[5-6]。恶性数据注入过程如图1 所示。

图1 恶性数据注入过程

攻击矢量a计算过程如式（2）所示：

根据图1 可知，检测恶性数据注入攻击时，需要对攻击者当前子网内的拓扑构造情况进行预估计，分析非线性状态量。针对一般恶性数据的进攻者，预估值与控制中枢预测结果之间存在一定的误差，而误差值取决于进攻者对电网设备的了解情况。当攻击者利用网络攻击方式获取当前节点状态时，非线性状态估计模型便可以获得恶性数据样本，并对恶性数据的注入状态进行分析[7-8]。

2 隐蔽型恶性数据挖掘

该文采用混合测量方式挖掘隐蔽性恶性数据，数据挖掘流程如图2 所示。

图2 隐蔽型恶性数据挖掘流程

第一步：在固定时间内完成数据信息采集，利用混合测量数据挖掘技术获取该时间的所有节点状态量；

第二步：通过计算固定时间下节点状态测量值，得到固定时间的静态状态估计周期；

第三步：获取固定时间下静态状态估计结果，处理第二步得到的混合测量节点状态量，以此估算恶性数据状态，估算方式与混合测量状态估算方式一致，根据估算结果得出固定时间下节点的状态量；

第四步：求取固定时间内电网中的恶性数据注入状态量，方法与第二步求取方法相同，获取被攻击节点状态；

第五步：当所有电网设备都完成采样后，根据各采样时间下节点状态量建立历史数据库，为后期恶性数据注入检测提供数据支持，完成智能电网空间隐蔽型恶性数据挖掘[9-10]。

3 智能电网恶性数据注入攻击检测

该文设计了一种智能电网空间隐蔽型恶性数据注入攻击检测模型，利用邻近测试节点采集电网系统正常运行时的多条数据来训练模型。模型训练过程如式（3）所示：

通过TNPE 算法提取采集到的正常历史数据空间特征以及时间向量，根据提取的数据完成智能电网空间隐蔽型恶性数据注入攻击检测模型训练[11-12]。

根据目标节点的邻近节点将注入攻击检测方法分成两类。若邻近节点附近无攻击检测节点，则必须获得当前目标与检测节点的最小距离，并根据检测节点电压相量和电流相量测量出目标节点的电压相量及电流相量，计算过程如下：

式中，U表示电压相量；I表示电流相量；Z表示节点之间的最小距离；j表示检测节点电流相量；θ表示电压相位角；ξ表示电流相位角[13-14]。

在智能电网空间隐蔽型恶性数据注入攻击检测过程中，需确定当前时间电网设备仪器统计信息能否自动更新。若自动更新，则根据当前的电网设备仪器状况确定电压相量，利用当前节点及其电网设备状态估算电流相量；若未自动更新，则通过当前电网仪器统计测量历史状态量，用相同方法获得电压相量及电流相量[15]。

如目标节点及检测节点具有相同的电压、电流相量，可以利用目标节点统计信息，以获得注入攻击值。

当θi被恶性数据攻击而变为θ时，攻击过程如式（7）所示：

被攻击后的电网系统相量也将出现位移，偏移量如式（8）所示：

式中，Δd表示偏移量；d1表示位移前位置；d2表示位移后的位置。

分析采集到的实际测量数据，通过TNPE 算法检测模型提取恶性数据新特征。根据恶性数据新特征计算在线数据的统计量分析新注入数据的恶性数据部分，完成对智能电网空间隐蔽型恶性数据注入攻击的检测[16-20]。

在确定智能电网存在注入攻击后，要进行智能电网防御。根据智能电网空间隐蔽型恶性数据注入攻击检测结果，监测当前时刻电网系统数据，区分不良数据与正常数据，同时删除和调整监测出的不良数据。当电网设备中检测的隐藏性很强的恶性数据已被去除时，继续评估恶性数据注入攻击量的静态状态，重新检测数据库中是否还含有恶性数据，直至所有恶性数据均被去除。尤其是测量恶性数据注入攻击后的被攻击节点状态，根据状态检测的结果分别设置了状态测量调整量和注入量测量调整量。当状态量以及注入量满足条件时，当前系统恶性数据便会被删除，智能电网防御功能会自动估算修改后的数据。将数据存入历史数据库中，为后续的情况分析提供数据支持。

4 实验研究

目前智能电网恶性数据注入攻击最常见的方式为修改电网系统调控中心的实时数据，因此该文以修改电网系统调控中心的实时数据攻击方式为检测对象进行了相关实验，分析研究方法的实际应用效果。实验使用MatPower4.0 中的IEEE-14 节点系统，电力负荷数据来自比利时电网运营商的网站发布数据，实验分为攻击检测准确率分析与恶性数据修正能力分析两部分，以验证该文方法的应用效果。

4.1 攻击检测准确率分析

设定恶性数据注入IEEE-14 节点系统内部的电压相位角，注入的恶性数据量为原始智能电网数据量的10%，注入时间间隔为1 h，注入次数为10 次。通过多次检测得到10 000 个数据样本。得到的恶性数据样本数如图3 所示。

图3 恶性数据样本数

同时采取该文提出的攻击检测方法和传统的面向智能电网的空间隐蔽型恶性数据注入攻击在线防御方法和基于非凸矩阵分解的电网欺骗性数据注入攻击检测方法进行检测，得到检测准确率结果如图4所示。

图4 检测准确率实验结果

根据图4 可知，随着检测时间的增加，三种检测方法的检测精度都在不断增加。在检测时间为0～30 s时，三种方法的检测精度均在不断上升，而检测精度上升速率相对较为缓慢。该文提出的检测方法准确率始终稳定在98%以上，具有极高的检测能力，满足检测精度要达到95%的要求；而传统的在线防御检测方法检测精度低于96%，在检测前120 s，检测精度始终不能满足要求，检测效果不好；非凸矩阵分解检测方法最高检测准确率为93%，无法达到检测精度要求，不能应用在实际的检测工作中。

4.2 恶性数据修正能力分析

设定恶性数据注入IEEE-14 节点系统内部的电压相位角，分别设定不同的攻击幅值，为0.1%、1%、5%和10%。检测出恶性数据后进行一次修正，再继续进行恶性数据检测。若检测结果中仍存在恶性数据，则需对检测出的新恶性数据展开二次修正。同时采用三种方法进行修正，对比分析其修正能力。修正效果实验结果如表1 所示。

表1 修正效果实验结果

根据表1 可知，该文提出的攻击检测方法对于攻击幅值超过5%的恶性数据，一次就可以完成修正；对于攻击幅值在0.1%～5%之间的恶性数据，两次可以完成修正。而传统的攻击检测方法对于不同幅值的恶性攻击数据都需要进行二次修正才能完成，不具备实时修正的能力，说明这两个方法的修正能力差，实际应用效果并不好。

5 结束语

智能电网关系到居民的用电安全，该文以解决传统方法存在的问题作为研究目标，提出了一种智能电网空间隐蔽型恶性数据注入攻击检测方法，分析恶性数据注入状态挖掘恶性数据，通过攻击检测训练模型完成对注入攻击的检测，并根据检测结果提出智能电网防御方案。实验表明，该文提出的恶性数据注入攻击检测方法的检测成功率高，运算量较小，适用于我国智能电网的恶性数据注入攻击检测。但该文研究在鲁棒性方面仍有不足，后续将围绕此方面进行深度优化。