电力系统网络攻击检测方法及设备

本发明属于电力系统，尤其涉及一种电力系统网络攻击检测方法及设备。

背景技术：

1、信息化技术的大量应用提高了电能的传输效率，但信息网络的开放性和固有的安全漏洞也不可避免地引入了网络安全威胁，导致近年来世界各国电网因网络攻击而大停电事故频发。当前，网络攻击已经呈现出高隐蔽性、高定制化的发展趋势，导致现有的网络攻击检测方法难以高效检测。

2、现有的网络攻击检测方法由于缺乏对于攻击行为的深入分析，难以贴近实际攻击场景，由此导致误报率高，对于高隐身的网络攻击甚至难以检测。因此，为了保证电网的安全运行，亟需一种高效的网络攻击检测方法，及时将隐藏于正常数据中的攻击行为检测出来，为相应的防御处置手段提供依据，防范网络攻击对系统造成的危害。

技术实现思路

1、本发明的目的在于提供一种电力系统网络攻击检测方法及设备，以解决传统方法难以检测高隐身的网络攻击的问题。

2、本发明是通过如下的技术方案来解决上述技术问题的：一种电力系统网络攻击检测方法，包括以下步骤：

3、获取电力系统的n个正常历史量测样本，由n个正常历史量测样本构成正常量测样本集；

4、确定所述正常量测样本集中各样本的受保护量测值；

5、输入待检测样本，根据所述待检测样本从所述正常量测样本集中提取出关键特征样本集；

6、根据所述待检测样本，从所述关键特征样本集中提取出子集；

7、从所述子集中确定待检测样本遭受篡改攻击前的近似量测样本；

8、根据所述待检测样本以及近似量测样本判断所述待检测样本是否为正常量测数据。

9、进一步地，获取电力系统的n个正常历史量测样本，具体包括：

10、至少从电力系统现场获取一个实际量测样本；

11、对所述实际量测样本进行蒙特卡洛模拟计算，得到多个模拟量测样本，多个所述模拟量测样本服从高斯分布且多个模拟量测样本为获取的n个正常历史量测样本。

12、进一步地，根据所述待检测样本从所述正常量测样本集中提取出关键特征样本集，具体提取过程为：

13、计算出所述待检测样本与所述正常量测样本集中每个样本之间的第一欧式距离，具体公式为：

14、

15、其中，为第一欧式距离，||||2为二范数符号，tp为待检测样本t中的受保护量测值，为正常量测样本集z中第i个样本zi的受保护量测值；

16、判断所述第一欧式距离是否小于或等于第一设定阈值，若是，则将与该第一欧式距离对应的样本zi放入关键特征样本集。

17、优选地，所述第一设定阈值为所有第一欧式距离的均值。

18、进一步地，根据所述待检测样本，从所述关键特征样本集中提取出子集，具体提取过程为：

19、计算出所述待检测样本与所述关键特征样本集中每个样本之间的第二欧式距离，具体公式为：

20、

21、其中，为第二欧式距离，||||2为二范数符号，t为待检测样本，为关键特征样本集f中的第j个样本；

22、判断所述第二欧式距离是否小于或等于第二设定阈值，若是，则将与该第二欧式距离对应的放入子集。

23、进一步地，从所述子集中确定待检测样本遭受篡改攻击前的近似量测样本，具体确定过程为：

24、对于子集中的每个样本，计算出所述样本被注入的攻击数据，具体公式为：

25、

26、其中，为子集x中第k个样本被注入的攻击数据，t为待检测样本；

27、根据每个样本被注入的攻击数据计算出所述子集中各样本的最优估计状态增量，具体公式为：

28、

29、其中，为子集x中第k个样本的最优估计状态增量；h为电力系统的雅克比矩阵；δθk为子集x中第k个样本的节点相角增量，δθk是对第k个样本进行潮流计算所得到的；

30、根据各样本的最优估计状态增量，计算出对应样本的状态估计残差，并以最小的状态估计残差所对应的样本作为近似量测样本，具体公式为：

31、

32、其中，rk为子集x中第k个样本的状态估计残差。

33、进一步地，根据所述待检测样本以及近似量测样本判断所述待检测样本是否为正常量测数据，具体判断过程为：

34、若同时满足以下三个条件，则所述待检测样本为攻击者篡改后的量测数据，否则为正常量测数据：

35、条件一：rs≤εr，其中，rs为近似量测样本的状态估计残差，εr为第三设定阈值；

36、条件二：δθij≈0，其中，δθij为攻击区域边界节点i、j之间的节点相角差，i,j∈ωb，ωb为边界节点集合，边界节点集合ωb由攻击区域与非攻击区域相连的边界节点构成；

37、条件三：近似量测样本被注入的攻击数据中的最大元素远大于第四设定阈值εv。

38、进一步地，所述第四设定阈值εv的具体确定过程为：

39、获取多个正常量测样本；

40、将每个正常量测样本作为待检测样本，计算出与每个待检测样本对应的近似量测样本被注入的攻击数据中的最大元素；

41、取所有最大元素中的最大值作为第四设定阈值εv。

42、基于同一构思，本发明还提供了一种电子设备，所述设备包括：

43、存储器，用于存储计算机程序；

44、处理器，用于执行所述计算机程序时实现如上所述电力系统网络攻击检测方法的步骤。

45、有益效果

46、与现有技术相比，本发明的优点在于：

47、本发明基于大量正常的历史量测样本，利用关联分析技术提取出关键特征样本，并使用数据还原算法近似还原出待检测样本遭受篡改攻击前的量测样本(即近似量测样本)；基于数据一致性原则和壁垒条件对待检测样本和还原的量测样本进行校验，实现了隐藏于正常量测数据中的网络攻击行为的检测。

48、本发明充分考虑了网络攻击的现实约束，更加符合实际攻击场景，并提出了基于攻击特征深度匹配的检测方法，减少了网络攻击的误判，提高了网络攻击检测精度；本发明深入剖析了高隐身虚假数据注入攻击的原理，以及被攻击的量测样本所表现的异常特征，有效解决了电力系统高隐身网络攻击行为难以检测的问题；本发明方法简单高效，时间复杂度低，可以适用于大规模电网的网络攻击检测，对于电力系统网络安全防御策略的制定具有重要的意义。

技术特征：

1.一种电力系统网络攻击检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的电力系统网络攻击检测方法，其特征在于，获取电力系统的n个正常历史量测样本，具体包括：

3.根据权利要求1所述的电力系统网络攻击检测方法，其特征在于，根据所述待检测样本从所述正常量测样本集中提取出关键特征样本集，具体提取过程为：

4.根据权利要求1所述的电力系统网络攻击检测方法，其特征在于，根据所述待检测样本，从所述关键特征样本集中提取出子集，具体提取过程为：

5.根据权利要求4所述的电力系统网络攻击检测方法，其特征在于，所述第二设定阈值为所有第二欧式距离均值的0.1倍。

6.根据权利要求1所述的电力系统网络攻击检测方法，其特征在于，从所述子集中确定待检测样本遭受篡改攻击前的近似量测样本，具体确定过程为：

7.根据权利要求1～6中任一项所述的电力系统网络攻击检测方法，其特征在于，根据所述待检测样本以及近似量测样本判断所述待检测样本是否为正常量测数据，具体判断过程为：

8.根据权利要求7所述的电力系统网络攻击检测方法，其特征在于，所述第四设定阈值εv的具体确定过程为：

9.一种电子设备，其特征在于，所述设备包括：

技术总结
本发明公开了一种电力系统网络攻击检测方法及设备，该方法包括获取N个正常历史量测样本，由N个正常历史量测样本构成正常量测样本集；确定正常量测样本集中各样本的受保护量测值；根据输入的待检测样本从正常量测样本集中提取出关键特征样本集；根据待检测样本，从关键特征样本集中提取出子集；从子集中确定待检测样本遭受篡改攻击前的近似量测样本；根据待检测样本以及近似量测样本判断待检测样本是否为正常量测数据。本发明深入剖析了高隐身虚假数据注入攻击的原理，以及被攻击的量测样本所表现的异常特征，有效解决了电力系统高隐身网络攻击行为难以检测的问题。

技术研发人员：刘绚,郑豪丰,宋宇飞,张博
受保护的技术使用者：湖南大学
技术研发日：
技术公布日：2024/1/15