一种基于休哈特-累积和联合控制图的窃电检测方法与流程

本发明属于
技术领域：
，具体涉及一种基于休哈特-累积和联合控制图的窃电检测方法。
背景技术：
：随着社会经济的高速发展，用电需求与日俱增，受可观经济利益的驱使，窃电行为屡禁不止。据不完全统计，全世界范围内每年由于窃电而造成的经济损失高达960亿美元，仅我国电力企业每年的窃电经济损失高达200亿元。此外，窃电分子的不法、违规操作可能会损坏价格高昂的供电设备，甚至出现大面积停电，引发火灾，造成人员伤亡。随着高级量测体系逐渐建立，智能电表普及率不断攀升，窃电手段也由过去常用的破坏传统电表或私拉电线等转变为借助数字存储技术和网络通信技术对智能电表进行攻击。由于窃电方式出现高科技手段且呈现出广泛性、多样性、隐蔽性和成本低等特点，智能电网环境下的窃电形势可能愈加严峻。为了解决智能电网中的窃电检测问题，国内外专家学者做了大量的工作。大体可以分为两类：(1)基于机器学习的窃电检测方法；(2)基于系统状态的窃电检测方法。其中，基于机器学习的窃电检测方法的基本思想是利用现有机器学习、数据挖掘、人工智能领域流行的算法(如支持向量机、卷积神经网络、深度学习等)分析智能电表周期性上传的海量、细粒度电量消耗等其他综合数据，试图找出窃电行为相关异常的用电模式。而基于系统状态的窃电检测方法的基本思想是在智能电网中部署窃电行为监测设备(如中心监测电表等)来监测用户的用电情况，通过分析检测设备的测量值和用户智能电表的上报值来确定电网中是否存在并最终定位窃电用户。然而，现有窃电检测方法都假设“窃电用户的用电量上报值远小于其实际消耗值”。考虑到实际应用中，窃电用户可能具有反侦察能力。为了逃避检测，窃电用户有可能故意将上报用电量篡改到略小于实际用电量的值。在这种情况下，现有窃电检测技术的性能将大大降低，以至无法对窃电用户准确定位。本发明将这种特殊形式的窃电行为称为“少量窃电”(small-amountelectricitytheft，salt)攻击。技术实现要素：本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于休哈特-累积和联合控制图的窃电检测方法，以较低的设备和计算成本，更加灵敏准确地检测出电网中的窃电行为、识别恶意用户，克服了现有方法不能处理salt攻击的缺陷。本发明也能够用于解决传统电网下考虑salt攻击的窃电行为检测问题。本发明采用以下技术方案：一种基于休哈特-累积和联合控制图的窃电检测方法，通过对诚实用户历史用电数据和中心监测仪的历史数据进行分析和处理，选取数据汇报周期t内电网公司输送总电量与所有用户上报总用电量的差值和某特定用户的日用电量分别作为两阶段样本值，分析各阶段样本数据的数值特征，并建立相应的休哈特-累积和联合控制图，监测新的时间窗内样本数据的均值偏移情况，实现检测邻域网中是否有少量或非少量窃电发生以及判断某特定用户是否为发起少量窃电或非少量窃电攻击的恶意用户，完成窃电检测和恶意用户识别。具体的，窃电检测的具体步骤如下：s101、收集周期t内电网公司输送总电量rt与周期t内所有用户的用电量上报值q′i,t，i∈g，计算输送总电量与所有用户上报总用电量的差值xt；s102、设置观测时间窗长度m0，将所有样本数据值xt划分为n1个子组，计算第k个时间窗内样本值xt的均值，得到n1个样本变量s103、计算n1个的均值估计参数根据所有时间窗内样本数据xt的范围值pi，得到所有子组范围的均值计算的无偏估计值s104、建立休哈特-累积和联合控制图来监测新时间窗口内输送总电量的测量值与所有用户报告的用电量总和的差异。进一步的，步骤s101中，周期t内输送总电量与所有用户上报总用电量的差值xt为：其中，rt为电网公司在周期t内输送给该邻域网内所有用户的总电量，q′i,t为用户i在周期t内用电量上报值，n为邻域网中用户的数量。进一步的，步骤s102中，n1个样本变量为：其中，j0为起始时刻。进一步的，步骤s103中，均值为：第k个样本数据xt子组的范围值pk，即该时间窗内子组的最大、最小值的差值为：所有子组范围值的平均值为：无偏估计值为：其中，d2(m0)为取决于子组大小m0的常数。进一步的，步骤s104具体为：s1041、在检测开始后，收集第i个检测时间窗内的rj和q′i,j值，i＞n1，其中j＝j0+(i-1)m0,...,j0+im0-1，计算相应m0个样本值xj以及平均值s1042、计算的标准化值设置hs表示休哈特控制图的阈值，若zi＞hs，认为邻域网中存在数据异常，有以下三种可能情况发生：至少有一个恶意用户实施了n-salt；有多个恶意用户同时实施了salt；有至少一名恶意用户实施了n-salt，并且还有至少一名恶意用户实施了salt；s1043、计算其中，是截止第i个周期内输送总电量和所有用户上报总用电量的标准化平均差值的累积和，设置hc表示累积和控制图的阈值，若则检测到异常，认为至少有一个恶意用户实施了salt攻击；若都没有检测到异常，更新i←i+1，返回步骤s1041。具体的，恶意用户识别的具体步骤如下：s201、测量和计算用户i在第d天的日用电总量yi,d；s202、设置观测时间窗长度为m1，将所有样本数据值yi,d划分成n3个子组，计算各时间窗内子组yi,d的均值得到n3个样本变量s203、估计参数μi和参数σi；计算n3个的均值估计参数μi；根据所有时间窗内样本数据yi,d的范围值pi,k，得到所有子组范围值的均值并计算参数σi的无偏估计值s204、建立休哈特-累积和联合控制图来监视新时间窗口内用户日用电量的均值变化情况。进一步的，步骤s202中，n3个样本变量为：其中，m1为时间窗长度，用户i在第d天的日用电总量yi,d为：其中，τ为智能电表报告的周期，q′i,t为邻域网中指定用户i的n2个诚实的历史用电量数据，进一步的，步骤s203中，为μi的无偏估计值，计算数据的均值为：用户i的第k个观测时间窗内日用电量数据yi,d的范围值pi,k，即该时间窗内子组的最大、最小值的差值为：所有子组范围值的平均值为：参数σi的无偏估计值为：其中，为所有子组范围pi,k的均值，d2(m1)为取决于子组大小m1的常数。进一步的，步骤s204具体为：s2041、在检测开始后，收集并计算第j个检测时间窗内的日用电量yi,d，j＞n3，其中d＝1,2,...,m1，计算相应的m1个日用电量的平均值s2042、休哈特控制图检测：计算标准化结果设置hs表示休哈特控制图的阈值，若zi,k≤-hs，用户i可以被视为发起n-salt攻击的恶意用户；s2043、累积和控制图检测：计算k*取值为0.5，是新周期内指定用户日用电量的标准化平均值的累积和；hc表示累积和控制图的阈值，若用户i被视为发起salt攻击的恶意用户；若都没有检测到异常，更新k←k+1，返回步骤s2041；如果某用户数据未检测出异常，则判定为诚实用户。与现有技术相比，本发明至少具有以下有益效果：本发明提出一种基于休哈特-累积和联合控制图的窃电检测方法，通过分析用户的历史用电数据和中心监测仪的历史供电测量值，选取数据汇报周期t内电网公司输送的总电量与所有用户上报总用电量的差值和某特定用户的日用电量分别作为两个阶段的样本值，研究各阶段样本数据的数值特征，建立相应的休哈特-累积和联合控制图，检测邻域网中是否有异常地用电模式存在以及识别某可疑用户是否为恶意用户，无需额外的硬件支持，相对降低了检测成本。并且该算法可以同时应用于传统电网和智能电网环境下，适用范围广。进一步的，包括窃电检测和恶意用户识别两大阶段。在窃电检测阶段，通过对用户的历史用电数据和中央观察仪的历史供电测量数据进行预处理，利用统计学及概率论相关基础知识，选取数据汇报周期内输送总电量与所有用户上报总用电量的差值作为样本值，计算样本均值、范围值估计相应的分布参数。在检测时，计算观测窗口内的样本均值并标准化，建立休哈特-累积和联合控制图，检测均值的偏移情况，从而快速精准地判断邻域网中是否有少量或非少量窃电发生。进一步的，选取数据汇报周期t内输送总电量与所有用户上报总用电量的差值作为窃电检测阶段的样本值。样本值xt遵循一定的分布f0。在一般情况下，xt由以下两个因素确定：(1)从中央观测仪到所有用户的非技术损失，可以基于一些数学模型进行估算；(2)数据采集器和智能电表的通信和测量误差，可以通过正态分布建模。因此，如果邻域网中的所有用户都是诚实用户，在不失一般性的前提下，假设f0是均值为μ0(以kwh为单位)且方差为的正态分布。进一步的，假设有n0个样本数据，即为周期t内输送总电量与所有用户上报总用电量的差值xt，起始时刻为j0，设置观测时间窗长度为m0，可得到n1＝n0/m0个子组，其中第k个时间窗内的样本值xt，t＝j0+(k-1)m0,j0+(k-1)m0+1,...,j0+km0-1，k＝1,2,...,n1。由于样本值可以被视为独立且分布均匀的随机变量，根据中心极限定理，各时间窗内样本值的和服从正态分布。因此，可以得到n1个样本变量近似地服从均值为μ0，方差为正态分布，即进一步的，样本变量近似地服从均值为μ0，方差为的正态分布，但由于μ0、σ0均未知，因此根据大数定律和中心极限定理，可以计算历史数据的均值和范围值替代相应参数，即进一步的，为了检测邻域网中是否存在窃电造成的数据异常，建立休哈特-累积和联合控制图来监视新时间窗口内输送总电量的测量值与所有用户报告的用电量总和的差异，充分利用了休哈特-累积和联合控制图对均值偏移的敏感性。进一步的，恶意用户识别阶段，是在检测到邻域网中存在窃电攻击后，为了准确识别哪些用户是恶意用户而设计的，并且同时适用于n-salt和salt情形。选取某可疑用户的日用电量作为样本值，计算样本均值、范围值估计相应的分布参数。在检测时，计算观测窗口内的样本均值并标准化，建立休哈特-累积和联合控制图，检测均值的偏移情况，从而识别某用户是否为实施窃电的恶意用户，有利于公共事业公司进行纠正和处理，及时止损。进一步的，收集邻域网中指定用户i的n2个诚实的历史用电量数据q′i,t。令τ(以小时为单位)表示智能电表报告的周期，在应用中通常将其设置为15分钟。因此用户每天都会报告24/τ次用电量数值，可以得到n2τ/24组日用电总量。一般地，用户日用电量yi,d遵循一定的正态分布。进一步的，设置观测时间窗长度为m1，可得到个子组，其中第k个时间窗内的日用电量为yi,d，d＝(k-1)m1+1,(k-1)m1+2,…,km1。由于日用电量可以被视为独立且分布均匀的随机变量，根据中心极限定理，各时间窗内日用电量的和服从正态分布。因此，可以得到n3个样本变量，即平均日用电量近似地服从均值为μ1，方差为的正态分布，即进一步的，样本变量近似地服从均值为μ1，方差为的正态分布，但由于μ1、σ1均未知，因此根据大数定律和中心极限定理，通过计算历史日用电量的均值和范围值替代相应参数，即综上所述，本发明能够在现有的电网环境下，不增加布设成本，缩短恶意用户检测时间。同时对电网中诚实用户和恶意用户的数量没有限制，能够尽可能快速的找出全部的窃电用户。下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。附图说明图1为邻域网中智能电网的简化架构；图2为输送总电量与所有用户上报总用电量的差值xt计算示意图；图3为用户i日用电量yi,d计算示意图。具体实施方式本发明提供了一种基于休哈特-累积和联合控制图的窃电检测方法，通过对诚实用户历史用电数据和和中心监测仪的历史数据进行分析和处理，选取周期t内输送总电量与所有用户上报总用电量的差值和某特定用户的日用电量分别作为两阶段样本值，分析各阶段样本数据的数值特征，并建立相应的休哈特-累积和联合控制图，检测新的检测时间窗内样本数据的均值偏移情况，从而实现检测邻域网中是否有少量或非少量窃电发生以及判断某特定用户是否为发动n-salt或salt的恶意用户。本发明提出一种基于休哈特-累积和联合控制图的窃电检测方法，使用基于邻域网的智能计量系统收集的数据。在邻域网中的每个用户房屋中，都安装具有双向通信功能的智能电表，智能电表定期测量相应用户的用电量，并通过中央观察仪将其测量值报告给公用事业公司。中央观测仪本质上是功能增强的智能仪表，具有更强的计算能力和更大的存储空间。总体而言，中央观察仪具有以下功能：(1)定期接收用户的用电量测量值；(2)定期将用户的用电量测量值转发给公用事业公司的控制中心；(3)测量从公用事业公司分配给邻域网中所有用户的总电量；(4)将周期t内总供电量的测量结果与所有用户报告的用电量测量值的总和进行比较，以检测邻域网中是否存在恶意用户。包括窃电检测和恶意用户识别两大阶段，用户窃电行为，是指在某些观测周期内，用户汇报的用电量显然小于其实际用电量，以实现更少甚至免费的计费价格。当恶意用户i汇报的周期t内的用电量q′i,t略小于其实际值qi,t，即q′i,t＝(1-a0)qi,t，其中，a0随机分布在(0,0.2)区间内，则认为发生了“少量窃电”(smallamountelectricitytheft，salt)攻击。当恶意用户i汇报的周期t内的用电量q′i,t远小于其实际值qi,t，即a0随机分布在[0.2,0.8]区间内，则认为发生了“非少量窃电”(not-small-amountelectricitytheft,n-salt)攻击。同时，假设恶意用户在被公用事业公司抓住之前不会停止窃电行为。在窃电检测阶段，旨在检测当前时间窗内邻域网中是否有少量或非少量窃电发生，该阶段包含计算样本数据、时间窗划分、参数估计和控制图检测四个步骤，具体分析如下：s101、计算样本数据，即周期t内输送总电量与所有用户上报总用电量的差值xt，具体步骤如下：s1011、收集周期t内电网公司输送给所有用户的总电量rt；s1012、收集周期t内所有用户的用电量上报值q′i,t，i∈g，其中，g为所有用户的集合，此步骤所使用的数据为诚实用户的历史用电量数据，即q′i,t＝qi,t；s1013、假设有n0组rt与q′i,t值，起始时刻为j0，则计算样本值即为输送总电量与所有用户上报总用电量的差值n为邻域网中用户的数量。样本数据xt遵循一定的分布f0。在不失一般性的前提下，假设f0是均值为μ0(以kwh为单位)且方差为的正态分布。s102、时间窗划分假设有n0个样本数据，即为周期t内输送总电量与所有用户上报总用电量的差值xt，起始时刻为j0，设置观测时间窗长度为m0，可得到个子组，其中，第k个时间窗内的样本值为xt，t＝j0+(k-1)m0,j0+(k-1)m0+1,...,j0+km0-1，k＝1,2,...,n1。由于样本值可以被视为独立且分布均匀的随机变量，根据中心极限定理，各时间窗内样本值的和服从正态分布。因此，可以得到n1个样本变量近似地服从均值为μ0，方差为的正态分布，即s103、参数估计样本变量近似地服从均值为μ0，方差为的正态分布，但由于μ0、均未知，因此根据大数定律和中心极限定理，计算历史数据的均值和范围值替代相应参数，即参数估计的具体实现步骤如下：s1031、参数估计：计算数据的均值则为的无偏估计值；s1032、参数估计：利用平均范围方法来计算的无偏估计值，具体步骤如下：①令pk表示第k个样本数据xt子组的范围值，即该时间窗内子组的最大、最小值的差值其中，k＝1,2,...,n1；②计算所有子组范围值的平均值，即③计算参数的无偏估计值其中d2(m0)表示取决于子组大小m0的常数，如表1所示，显示了子组大小最大为10的d2(m)的值。表1d2(m)的参考数值m2345678910d2(m)1.1281.6932.0592.3262.5342.7042.8472.9703.078s104、控制图检测为了检测邻域网中是否存在窃电造成的数据异常，建立休哈特-累积和联合控制图来监视新时间窗口内输送总电量的测量值与所有用户报告的用电量总和的差异。s1041、在检测开始后，收集第i个检测时间窗(i＞n1)内的rj和q′i,j值，其中j＝j0+(i-1)m0,...,j0+im0-1。计算相应m0个样本值xj以及其平均值s1042、休哈特控制图检测：计算的标准化值zi将近似服从于标准正态分布。设置hs表示休哈特控制图的阈值，若zi＞hs，可以得出认为邻域网中存在数据异常，有以下三种可能情况发生：①至少有一个恶意用户实施了n-salt；②有多个恶意用户同时实施了salt；③有至少一名恶意用户实施了n-salt，并且还有至少一名恶意用户实施了salt；s1043、累积和控制图检测：计算其中，k通常取值为0.5。设置hc表示累积和控制图的阈值，若则检测到异常，认为至少有一个恶意用户实施了salt攻击。若都没有检测到异常，更新i←i+1，返回步骤s1041。恶意用户识别阶段，是在检测到邻域网中存在窃电攻击后，为了准确识别哪些用户是恶意用户而设计的，并且同时适用于n-salt和salt情形。该阶段包含计算样本数据、时间窗划分、参数估计和控制图检测四个步骤，具体分析如下：s201、计算样本数据，即用户i在第d天的日用电总量yi,d；s2011、收集邻域网中指定用户i的n2个诚实的历史用电量数据q′i,t。令τ(以小时为单位)表示智能电表报告的周期，在应用中通常将其设置为15分钟。因此用户每天都会报告24/τ次用电量数值，可以得到n2τ/24组日用电总量；s2012、yi,d表示用户i在第d天的日用电量，因此有其中，s202、时间窗划分设置观测时间窗长度为m1，可得到个子组，其中第k个时间窗内的日用电量为yi,d，d＝(k-1)m1+1,(k-1)m1+2,...,km1。由于日用电量可以被视为独立且分布均匀的随机变量，根据中心极限定理，各时间窗内日用电量的和服从正态分布。因此，可以得到n3个样本变量，即平均日用电量近似地服从均值为μ1，方差为的正态分布，即s203、参数估计样本变量近似地服从均值为μ1，方差为的正态分布，但由于μ1、σ1均未知，因此根据大数定律和中心极限定理，可以计算历史日用电量的均值和范围值替代相应参数，即参数估计的具体实现步骤如下：s2031、参数μi估计：计算数据的均值则为μi的无偏估计值；s2032、参数σi估计：利用平均范围方法来计算σi的无偏估计值，具体步骤如下：①令pi,k表示第k个观测时间窗内日用电量数据yi,d的范围值，即该时间窗内子组的最大、最小值的差值②计算所有子组范围值的平均值，即③计算参数σi的无偏估计值其中，d2(m1)表示取决于子组大小m1的常数，如表1所示，显示了子组大小最大为10的d2(m)的值。s204、控制图检测s2041、在检测开始后，收集并计算第k个检测时间窗(k＞n3)内的日用电量yi,d，其中d＝1,2,...,m1。计算相应的m1个日用电量的平均值s2042、休哈特控制图检测：计算标准化结果设置hs表示休哈特控制图的阈值，若zi,k≤-hs，用户i可以被视为发起n-salt攻击的恶意用户；s2043、累积和控制图检测：计算其中s(i,0)-＝0，k*通常取值为0.5。设置hc表示累积和控制图的阈值，若用户i可以被视为发起salt攻击的恶意用户。若都没有检测到异常，更新k←k+1，返回步骤s2041。为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中的描述和所示的本发明实施例的组件可以通过各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。假设在某邻域网中n＝25家用户，具体为：s1、窃电检测阶段，包括计算样本数据、时间窗划分、参数估计和控制图检测，具体步骤如下：s101、计算样本数据；s1011、如图1所示，收集每15分钟内observermeter的测量值，即为电网公司输送给该邻域网内所有用户的总电量rt，单位为kwh；s1012、收集每15分钟内所有用户的用电量上报值q′i,t，单位为kwh；s1013、计算样本值，即输送总电量与所有用户上报总用电量的差值前5周期计算示例如表2所示。表2前5组输送总电量与所有用户上报总用电量的差值xt计算s102、时间窗划分s1021、如图2所示，假设有n0＝1300组样本值，起始时刻为j0＝0，设置观测时间窗长度为m0＝5，则第k个时间窗内的样本值xt，t＝5(k-1),5(k-1)+1,...,5k-1；s1022、计算各时间窗内xt的均值，得到个样本变量由表2计算可得s103、参数估计s1031、参数估计：计算数据n1＝260个的均值为的无偏估计值；s1032、参数估计：s10321、计算所有时间窗内样本数据xt的范围值pk＝max({xi})-min({xi})|i＝5(k-1),…,5k-1，由表2计算可得p1＝0.55。s10322、计算所有子组范围pk的均值，即s10323、计算参数的无偏估计值其中，d2(m0)的取值参考表1为2.326。s104、控制图检测s1041、设置阈值：依据大量实验结果，设置休哈特控制图的阈值hs＝3.5，累积和控制图的阈值hc＝5；s1042、收集第i个检测窗口(i＞n1)内的rj和q′i,j值；其中，j＝1300+5(i-1),...,1300+5i-1。计算相应的m0＝5个输送总电量与所有用户上报总用电量的差值xt以及其平均值s1043、休哈特控制图检测：计算标准化值若zi＞hs＝3.5，得出认为邻域网中存在窃电现象，如表3所示，在第389个检测窗口数据中，检测到n-salt，可以认为有以下一种情况发生：①至少有一个恶意用户实施了n-salt；②有多个恶意用户同时实施了salt；③有至少一名恶意用户实施了n-salt，并且还有至少一名恶意用户实施了salt；s1044、累积和控制图检测：计算其中，k的取值通常为0.5；若则检测到异常，认为至少有一个恶意用户实施了salt。若都没有检测到异常，更新i←i+1，返回步骤s1042。如表3所示，在第474个检测窗口数据中，算法检测到有用户实施了少量窃电，报告异常。表3控制图检测示例s2、恶意用户识别阶段，包括计算样本数据、时间窗划分、参数估计和控制图检测，具体步骤如下：s201、计算样本数据s2011、收集邻域网中用户i的n2＝136320个诚实历史用电量数据q′i,t，τ＝0.25(以小时为单位)表示智能电表报告周期，可以得到组日用电量读数；s2012、yi,d表示用户i在第d天的用电量总量，因此有其中，d＝1,2,...,1420。s202、时间窗划分s2021、如图3所示，设置观测时间窗长度为m1＝5，可得到个子组，其中第k个时间窗内的样本值为yi,d，d＝5(k-1)+1，5(k-1)+2，...，5k；s2022、计算各时间窗内yi,d的均值，得到n3＝284个样本变量s203、参数估计s2031、参数μi估计：计算数据的均值为μi的无偏估计；s2032、参数σi估计s20321、计算所有时间窗内样本数据yi,d的范围值，其中由第k个子组可得到pi,k＝max({yi,d})-min({yi,d})|d＝5(k-1)+1,5(k-1)+2,…,5k；s20322、计算所有子组范围pi,k的均值，即s20323、计算参数σi的无偏估计值其中，d2(m1)的取值参考表1为2.326。s204、控制图检测s2041、设置阈值：设置休哈特控制图的阈值hs＝3.5，累积和控制图的阈值hc＝5；s2042、收集并计算第k个检测窗口(k＞n3)内的每日用电总量yi,d值，其中，d＝1,2,...,5。计算相应的m1＝5个样本值的平均值s2043、休哈特控制图检测：计算标准化值hs表示休哈特控制图的阈值，若zi,k≤-hs，用户i被视为实施n-salt的恶意用户；s2044、累积和控制图检测：计算其中，k*的取值通常为0.5，hc表示累积和控制图的阈值，若用户i被视为实施salt的恶意用户。若都没有检测到异常，更新k←k+1，返回步骤s2042。如果某用户数据未检测出异常，则认为该用户为诚实用户，如表4所示；如果某用户对应数据有则判定为实施salt的恶意用户，如表5所示。表4诚实用户识别示意表5salt恶意用户识别示意综上所述，本发明一种基于休哈特-累积和联合控制图的窃电检测方法，充分利用了休哈特-累积和控制图对均值偏移的敏感性，通过对新检测时间窗内样本均值的检测，从而达到快速准确地检测出邻域网中是否存在窃电行为的目的，并识别某可疑用户是否为实施n-salt或salt攻击的恶意用户。既高效的解决了常规算法中所针对的非少量窃电问题，又克服了现有算法不能处理salt攻击的缺陷。以上内容仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明权利要求书的保护范围之内。当前第1页12