智能電網(wǎng)入侵檢測綜述

蔣南允 程光

摘 要：在智能電網(wǎng)中，高級量測體系通過集成計(jì)算和網(wǎng)絡(luò)組件用來監(jiān)視并控制電力設(shè)備，使電網(wǎng)滿足現(xiàn)代化的需求。但兩者的融合使得一旦信息通信技術(shù)存在的缺陷被攻擊利用，電力設(shè)備原本因?yàn)槠浞忾]性而被未暴露的漏洞也將被發(fā)掘利用，最后導(dǎo)致災(zāi)難性后果。論文首先介紹了當(dāng)前電網(wǎng)存在的安全問題，高級量測體系的概念和作用，然后闡述了其安全需求，并詳述近年來入侵檢測方法在高級量測體系中的應(yīng)用和發(fā)展，最后對其防護(hù)模型進(jìn)行了探討。

關(guān)鍵詞：智能電網(wǎng)；高級量測體系；流量檢測

中圖分類號：TP393.08；TM711 文獻(xiàn)標(biāo)識碼：A

A Review of intrusion detection in smart grid

Abstract： In the smart grid， AMI （Advanced Metering Infrastructure） monitors and controls power equipment by integrated computing and network components in order to make the power grid meet modern requirements. However， the combination of the two parts above leads to a severe result that once the deficiencies of information and communication technology is attacked and applied in an improper way， the loopholes of power equipment which was not exposed due to its closure previously will be explored and utilized， which may result in disastrous consequence. The paper later expounds the AMIs demands for security and expatiates the application and development of intrusion detection techniques in AMI network. Finally， the author discusses its defense model.

Key words： smart grid； advanced metering infrastructure； intrusion detection

1 引言

發(fā)生在美國、加拿大等國的大規(guī)模停電事件表明傳統(tǒng)電網(wǎng)架構(gòu)已經(jīng)過時(shí)，其現(xiàn)有的管理和工作模式越來越不能滿足用戶在用電高峰期的需求[1-4]。因此在20世紀(jì)初，美國和歐洲各國相繼開展智能電網(wǎng)相關(guān)研究，以便提高電網(wǎng)安全穩(wěn)定性和能源利用率[5]。對一個(gè)國家來講，智能電網(wǎng)可以增強(qiáng)電網(wǎng)安全穩(wěn)定、節(jié)能減排和控制溫室效應(yīng)；對用戶來說，利用電網(wǎng)提供的分時(shí)電價(jià)功能，在低電價(jià)用電，在高電價(jià)、用電高峰時(shí)通過存儲的分布式電能（沼氣、太陽能、風(fēng)能等）向電網(wǎng)或周圍用戶供電，實(shí)現(xiàn)自身經(jīng)濟(jì)利益的同時(shí)，減少電網(wǎng)高峰負(fù)荷。從技術(shù)角度上理解，智能電網(wǎng)是將計(jì)算機(jī)和信息通信技術(shù)與電網(wǎng)基礎(chǔ)設(shè)施高度集成，從而增強(qiáng)電網(wǎng)對設(shè)備的監(jiān)視、控制和預(yù)測用電能力[6]。

電網(wǎng)用戶的用電等信息最早是利用人工抄表的方式采集的。隨后自動(dòng)抄表技術(shù)的出現(xiàn)解決了電量采集人力成本高等問題，但其單向通信的特點(diǎn)并不適用于上述智能電網(wǎng)的使用場景[7]。因此智能電網(wǎng)通過具備雙向通信能力的高級量測體系（Advanced Metering Infrastructure，AMI）與用戶互動(dòng)，相比傳統(tǒng)電網(wǎng)僅上傳月用電量來進(jìn)行計(jì)費(fèi)， AMI以分鐘為單位收集用戶的用電信息，提高了電網(wǎng)對設(shè)備的監(jiān)控能力，還為用戶提供分時(shí)電價(jià)，需求管理等功能[8]。但相關(guān)研究[9]證明AMI的雙向通信能力一旦被攻擊利用，將導(dǎo)致攻擊影響擴(kuò)大等后果。

例如2009年美國某地電網(wǎng)公司智能電表被入侵導(dǎo)致竊電，造成了每年4億美元的損失[11]。2010年“震網(wǎng)”事件表明工業(yè)控制系統(tǒng)存在的漏洞會(huì)導(dǎo)致嚴(yán)重后果，2015年烏克蘭電力二次系統(tǒng)發(fā)生惡意軟件入侵和DDoS攻擊，導(dǎo)致大停電 [10]。由此可見，當(dāng)前的網(wǎng)絡(luò)防護(hù)技術(shù)并不適用于結(jié)構(gòu)復(fù)雜、實(shí)時(shí)性強(qiáng)的電網(wǎng)系統(tǒng)[12]。從2009年開始，國外相繼對AMI網(wǎng)絡(luò)存在的問題和檢測防護(hù)方法展開相關(guān)研究，主要聚焦于當(dāng)前網(wǎng)絡(luò)攻擊能對電網(wǎng)造成巨大危害的三類問題：惡意代碼入侵、DDoS攻擊和電量欺騙。

2 AMI網(wǎng)絡(luò)模型和安全需求

2.1 AMI網(wǎng)絡(luò)模型

高級測量體系（Advanced Metering Infrastructure，AMI）一般由智能電表、集中器、電網(wǎng)計(jì)量管理服務(wù)器和其通信網(wǎng)絡(luò)組成；工作模式為，智能電表采集用戶用電信息和用電需求，上傳至小區(qū)的數(shù)據(jù)集中器，服務(wù)器主動(dòng)向集中器請求電量數(shù)據(jù)或集中器按照預(yù)設(shè)的時(shí)間間隔將數(shù)據(jù)上傳至計(jì)量服務(wù)器。同時(shí)，服務(wù)器還可以向用戶分發(fā)電價(jià)信息，電表控制命令[13]。其網(wǎng)絡(luò)結(jié)構(gòu)一般由三種不同類型的網(wǎng)絡(luò)組成，并按層級結(jié)構(gòu)分布，分別是廣域網(wǎng)（Wide Area Network，WAN）、鄰域網(wǎng)（Neighborhood Area Network，NAN）和家域網(wǎng)（Home Area Network，HAN）[12-15]。如圖1所示。

2.2AMI體系的安全需求

AMI體系中有幾個(gè)關(guān)鍵特征使得其容易受到攻擊：（1）通信體系復(fù)雜不同于互聯(lián)網(wǎng)，部分通信鏈路帶寬有限；（2）接入了百萬計(jì)的低計(jì)算、低存儲、低防護(hù)能力的設(shè)備；（3）存儲用戶敏感數(shù)據(jù)；（4）攻擊AMI能嚴(yán)重影響電網(wǎng)運(yùn)行；（5）篡改電力消費(fèi)數(shù)據(jù)的經(jīng)濟(jì)價(jià)值[15]。因此，有幾種核心信息需要受到保護(hù)[12]：（1）智能計(jì)量數(shù)據(jù)；（2）控制數(shù)據(jù)；（3）電價(jià)信息。

根據(jù)以上關(guān)鍵目標(biāo)，安全需求可以分類四類[16]。

機(jī)密性：用電數(shù)據(jù)涉及用戶隱私，相關(guān)敏感數(shù)據(jù)應(yīng)只能被授權(quán)的實(shí)體獲取。

完整性：傳輸?shù)臄?shù)據(jù)必須是真實(shí)有效的，不能被任意非授權(quán)實(shí)體篡改，對計(jì)量數(shù)據(jù)篡改可以導(dǎo)致竊電，篡改低電價(jià)信息可以導(dǎo)致用戶端大量設(shè)備同時(shí)啟動(dòng)，影響電網(wǎng)供電，從而導(dǎo)致部分用戶停電。

有效性：利用大量電表或其它設(shè)備發(fā)起DDoS攻擊可以導(dǎo)致電網(wǎng)受攻擊設(shè)備資源耗盡不可用，因此AMI中傳輸?shù)臄?shù)據(jù)必須能被授權(quán)的實(shí)體在任意時(shí)刻獲取到。

不可否認(rèn)性：任何實(shí)體不能否認(rèn)做過或未做過的事。

3 AMI網(wǎng)絡(luò)攻擊和檢測方法

針對AMI網(wǎng)絡(luò)的攻擊按攻擊位置可分為兩類[17]：一是基于連接的攻擊，主要攻擊三層通信網(wǎng)，攻擊類型包括竊聽、無線干擾、數(shù)據(jù)篡改和協(xié)議失效等；二是基于設(shè)備的攻擊，主要攻擊電表、集中器和計(jì)量管理系統(tǒng)，攻擊類型有惡意接入點(diǎn)、中間人攻擊、DoS攻擊、重放攻擊和服務(wù)非法使用等，如圖2所示。

當(dāng)前入侵檢測有基于誤用、基于異常和基于規(guī)范三種檢測方法[18]?；谝?guī)范的檢測成本高，目前多采用基于誤用和基于異常的檢測方法。基于誤用的檢測方法依靠匹配樣本特征代碼庫進(jìn)行檢測，無法檢測未知的攻擊，而AMI是一個(gè)新興的系統(tǒng)，新類型的攻擊方法在快速增長中，所以該方法不適用于當(dāng)前環(huán)境。而基于異常的檢測方法主要刻畫用戶的正常行為模型，使用統(tǒng)計(jì)或機(jī)器學(xué)習(xí)方法對當(dāng)前的活動(dòng)行為進(jìn)行比較，不符合正常模型的即為異常行為，該方法能檢測到未知的攻擊。本文主要描述了當(dāng)前AMI網(wǎng)絡(luò)存在的主要問題和其異常入侵檢測方法。

3.1惡意代碼入侵及檢測

由于智能電表處于用戶端，缺少物理防護(hù)，惡意用戶很容易對電表進(jìn)行長時(shí)間的滲透測試，同時(shí)電表生產(chǎn)商為了快速占有市場會(huì)忽視電表安全問題，部分滲透實(shí)驗(yàn)證實(shí)了智能電表可以被蠕蟲攻擊，然后再感染附近的電表[19，20]。被感染的電表可進(jìn)一步向電網(wǎng)內(nèi)部發(fā)起攻擊，從而造成更大的危害[9]?；ヂ?lián)網(wǎng)中的惡意代碼檢測一直是一個(gè)難點(diǎn)，幸運(yùn)的是由于智能電表的業(yè)務(wù)特點(diǎn)，并不需要上傳可執(zhí)行代碼，而電表軟件和固件的更新，通常采用人工現(xiàn)場操作或者電表端下載可執(zhí)行代碼。因此針對惡意代碼的檢測可以擴(kuò)展到對可執(zhí)行代碼的檢測。

Park Y等人[21]根據(jù)信息熵和ARM指令的統(tǒng)計(jì)特征，檢測可執(zhí)行代碼。Choo E等人[22]采用反匯編技術(shù)得到34個(gè)ARM基本指令分布圖，隨后采用K-MEANS算法和皮爾遜系數(shù)區(qū)分可執(zhí)行代碼。由于ARM指令相當(dāng)有規(guī)律并且長度定長，因此兩種方法的精度非常高，可用于電表的檢測，但存在如下缺陷，即通過被感染控制的軟件置換字節(jié)可以繞過該類型的攻擊。

電網(wǎng)計(jì)量管理系統(tǒng)多采用X86架構(gòu)的計(jì)算機(jī)系統(tǒng)，而X86架構(gòu)的指令則是不定長的，因此上述方法并不能直接用于X86 可執(zhí)行代碼的檢測。Babu V等人[23]采用四種不同的方法提取了四個(gè)不相關(guān)的特征，使用SVM對數(shù)據(jù)進(jìn)行訓(xùn)練測試。在實(shí)驗(yàn)平臺上的證明該方法檢測精度最高可達(dá)99.861%，誤檢率在0.319%和0.796%之間。

3.2 DDoS攻擊

DDoS攻擊主要用來耗盡目標(biāo)的計(jì)算、內(nèi)存和網(wǎng)絡(luò)資源，一旦計(jì)量系統(tǒng)和網(wǎng)絡(luò)中的智能電表受到攻擊，會(huì)嚴(yán)重影響電網(wǎng)正常業(yè)務(wù)展開，造成大量用戶停電[24]。DDoS攻擊可以利用電表和網(wǎng)絡(luò)協(xié)議漏洞展開攻擊，該文[25]利用無線Mesh網(wǎng)絡(luò)DSR（Dynamic Source Routing）協(xié)議的路由維護(hù)階段的漏洞，對該網(wǎng)絡(luò)協(xié)議設(shè)計(jì)了相應(yīng)的攻擊方法，仿真實(shí)驗(yàn)證實(shí)該方法效果優(yōu)于一般的泛洪攻擊。

DDoS攻擊的防護(hù)可以分為兩個(gè)階段：一是攻擊防護(hù)，即在攻擊發(fā)起之前，防護(hù)方法包括完善系統(tǒng)和協(xié)議的安全等級、防火墻、資源分配和審計(jì)；二是攻擊檢測，包括對攻擊源的檢測和正確的響應(yīng)措施[26]。

Wang K等人[27]提出采用貝葉斯蜜罐博弈模型，解決傳統(tǒng)蜜罐技術(shù)檢測動(dòng)態(tài)攻擊能力弱的缺點(diǎn)，實(shí)驗(yàn)驗(yàn)證該模型能提高檢測效率，同時(shí)減少能源消耗。

3.3 電量數(shù)據(jù)欺騙

在傳統(tǒng)電網(wǎng)中，攻擊者可以通過在電表中加入磁鐵或電阻等物理手段減少電表計(jì)量的電量造成竊電。由于其產(chǎn)生的巨大經(jīng)濟(jì)利益，導(dǎo)致該現(xiàn)象屢禁不止，相比傳統(tǒng)電表，智能電表的引入給攻擊者增加了新的攻擊平面，攻擊者可以破解智能電表密碼，篡改存儲電量或者中斷網(wǎng)絡(luò)通信，使用中間人攻擊等方式修改計(jì)量報(bào)文等方法[14]。

由于電網(wǎng)用戶的用電量隨著時(shí)間（季節(jié)、假日和周末）住宅位置和用戶性質(zhì)（商用和家用）等因素變化而變化，Wang Y等人[29]根據(jù)以上因素提取特征，然后使用SVM對用戶正常數(shù)據(jù)和異常數(shù)據(jù)進(jìn)行分類。莊池杰等人[31]和田野等人[32]使用年、季度和月份提取統(tǒng)計(jì)特征，再使用PCA降維和機(jī)器學(xué)習(xí)方法進(jìn)行竊電檢測，但兩者缺少對低電價(jià)增加用電量，高電價(jià)竊電，使得當(dāng)天或當(dāng)月總電量不變這種竊電方法的檢測能力。Jokar P等人[30]除了使用各個(gè)用戶每2小時(shí)的用電量數(shù)據(jù)，還采集了小區(qū)總用戶用電量數(shù)據(jù)來減少誤檢率，隨后模擬六類惡意用戶的行為習(xí)慣，構(gòu)造了相應(yīng)的惡意電量數(shù)據(jù)，最后使用K-MEANS和SVM算法進(jìn)行檢測，其檢測效果明顯優(yōu)于其它算法，并能檢測到上述總電量不變的竊電行為。

由于智能電網(wǎng)提倡用戶合理利用可再生能源減少電網(wǎng)用電高峰負(fù)荷，該類型用戶可以將多余的電量供給附近用戶，形成一個(gè)小型的微電網(wǎng)，因此可以篡改用電側(cè)用電需求，用戶供電側(cè)能提供的電量和電能鏈路狀態(tài)，引起電力系統(tǒng)震蕩，最終造成停電[28]。針對該攻擊的檢測方法有待進(jìn)一步研究。

4 入侵檢測防護(hù)架構(gòu)

當(dāng)前，針對AMI網(wǎng)絡(luò)的攻擊通常采用入侵檢測系統(tǒng)（Intrusion Detection System，IDS）進(jìn)行防護(hù)，IDS是在網(wǎng)絡(luò)或系統(tǒng)中監(jiān)控并收集系統(tǒng)各種狀態(tài)信息，并對收集的信息進(jìn)行分析判斷是否有異常情況的發(fā)生。

4.1 檢測利用的信息

檢測利用的信息一般可以分成三類[33，34]。

系統(tǒng)信息：電表的狀態(tài)報(bào)告、網(wǎng)關(guān)的CPU和內(nèi)存使用率、設(shè)備的固件和軟件的完整性。

網(wǎng)絡(luò)信息：領(lǐng)域網(wǎng)網(wǎng)絡(luò)碰撞率、丟包率、節(jié)點(diǎn)響應(yīng)時(shí)間、通信速率、路由表的完整性、節(jié)點(diǎn)身份和物理位置對應(yīng)等。

策略信息：授權(quán)的協(xié)議、設(shè)備、傳輸模式、路由更新和固件升級等。

4.2 IDS架構(gòu)介紹和未來展望

AMI是一個(gè)層級的網(wǎng)絡(luò)，根據(jù)在AMI網(wǎng)絡(luò)中部署的位置可以將IDS分為中央IDS 、嵌入式傳感器IDS 和專用傳感器IDS[33，34]。

中央IDS：主要部署于數(shù)據(jù)收集中心，根據(jù)AMI網(wǎng)絡(luò)的層級架構(gòu)，中央IDS部署于WAN網(wǎng)絡(luò)中電網(wǎng)計(jì)量管理系統(tǒng)與AMI網(wǎng)絡(luò)設(shè)備的通信鏈路之間，這樣可以監(jiān)控到計(jì)量管理系統(tǒng)與所有智能電表的雙向網(wǎng)絡(luò)流，該方案部署相對簡單，成本較低，但監(jiān)控不到NAN網(wǎng)絡(luò)中的流量，比如利用第3節(jié)提到的DDoS攻擊方法，當(dāng)存在多臺電表被控制時(shí)，利用無線網(wǎng)狀網(wǎng)的協(xié)議漏洞，可以向集中器發(fā)起DDoS攻擊，由于中央IDS檢測不到該攻擊行為，因此無法及時(shí)做出有效的應(yīng)對措施。解決方法是部署一些傳感器分布在NAN網(wǎng)絡(luò)中。

嵌入式傳感器IDS：通過在電表或集中器中嵌入傳感器監(jiān)控設(shè)備的狀態(tài)，包括固件、CPU、內(nèi)存讀寫和通信數(shù)據(jù)，使得電表或集中器具備了入侵檢測能力[35]。但由于電表硬件資源相當(dāng)有限使得嵌入式傳感器IDS的檢測能力受到限制。

專用傳感器IDS：通過在目標(biāo)網(wǎng)絡(luò)中部署獨(dú)立的傳感器檢測網(wǎng)絡(luò)狀態(tài)，因此部署的數(shù)量相比嵌入式傳感器IDS大大減少，成本更低，且更強(qiáng)的計(jì)算和存儲能力使其可以具備更復(fù)雜的檢測能力，例如基于規(guī)范的入侵檢測方法[36]。但缺少對設(shè)備本身狀態(tài)的監(jiān)控能力。

對電網(wǎng)的AMI網(wǎng)絡(luò)來講，IDS從設(shè)計(jì)上需考慮兩點(diǎn)原則。一是檢測安全事件的高準(zhǔn)確率，電網(wǎng)一旦檢測到安全事件，往往需要人工排查，誤報(bào)率過高會(huì)增加人力成本。二是系統(tǒng)的低開銷和健壯性，即不能對當(dāng)前業(yè)務(wù)系統(tǒng)正常操作產(chǎn)生影響。因此，混合型的IDS架構(gòu)更適合AMI網(wǎng)絡(luò)的檢測防護(hù)，即在網(wǎng)絡(luò)中部署中央IDS并結(jié)合嵌入式IDS或?qū)Ｓ肐DS。

5 結(jié)束語

本文就智能電網(wǎng)AMI的網(wǎng)絡(luò)結(jié)構(gòu)、當(dāng)前面臨的威脅、檢測和防御方法進(jìn)行了介紹，國內(nèi)關(guān)于智能電網(wǎng)網(wǎng)絡(luò)安全的研究相對國外起步較晚，隨著智能電網(wǎng)的安全建設(shè)上升到國家戰(zhàn)略層面，其面臨的威脅也會(huì)加大，因此針對AMI網(wǎng)絡(luò)安全的研究刻不容緩。本文通過介紹AMI當(dāng)前存在的威脅和安全需求，結(jié)合近年來的流量檢測方法，對其防護(hù)架構(gòu)進(jìn)行了探討。

基金項(xiàng)目：

本課題得到國家高技術(shù)研究發(fā)展計(jì)劃（863計(jì)劃）（項(xiàng)目編號：2015AA015603）；江蘇省未來網(wǎng)絡(luò)創(chuàng)新研究院未來網(wǎng)絡(luò)前瞻性研究項(xiàng)目（項(xiàng)目編號：BY2013095-5-03）；江蘇省“六大人才高峰”高層次人才項(xiàng)目（項(xiàng)目編號：2011-DZ024）；中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金資助和江蘇省普通高校研究生科研創(chuàng)新計(jì)劃資助項(xiàng)目（項(xiàng)目編號：KYLX15_0118）資助。

參考文獻(xiàn)

[1] Task-Force U C P S O. Final Report on the August 14， 2003 Blackout in the United States and Canada： Causes and Recommendations[J]. 2004.

[2] Van der Vleuten E， Lagendijk V. Transnational infrastructure vulnerability： The historical shaping of the 2006 European “Blackout”[J]. Energy Policy， 2010， 38（4）： 2042-2052.

[3] LU J， JIANG Z L E I， Hongcai Z H， et al. Analysis of Hunan Power Grid Ice Disaster Accident in 2008 [J][J]. Automation of Electric Power Systems， 2008， 11（005）.

[4] Tang Y， Bu G， Yi J. Analysis and lessons of the blackout in Indian power grid on July 30 and 31， 2012[C]//Zhongguo Dianji Gongcheng Xuebao（Proceedings of the Chinese Society of Electrical Engineering）. Chinese Society for Electrical Engineering， 2012， 32（25）： 167-174.

[5] 張文亮，劉壯志，王明俊， 等.智能電網(wǎng)的研究進(jìn)展及發(fā)展趨勢[J]. 電網(wǎng)技術(shù)， 2009， 33（13）： 1-11.

[6] McDaniel P， McLaughlin S. Security and privacy challenges in the smart grid[J]. IEEE Security & Privacy， 2009， 7（3）.

[7] 唐志偉，孫菡婧，陳奇志.高級量測體系和需求響應(yīng)下的互動(dòng)配網(wǎng)[J].電力系統(tǒng)及其自動(dòng)化學(xué)報(bào)， 2011， 23（5）：31-34.

[8] LaPlace C， Uluski R W. Realizing the smart grid of the future through AMI technology[J]. by Elster， 2009， 1.

[9] McLaughlin S， Podkuiko D， McDaniel P. Energy theft in the advanced metering infrastructure[C]//International Workshop on Critical Information Infrastructures Security. Springer， Berlin， Heidelberg， 2009： 176-187.

[10] 湯奕，陳倩，李夢雅，等.電力信息物理融合系統(tǒng)環(huán)境中的網(wǎng)絡(luò)攻擊研究綜述[J].電力系統(tǒng)自動(dòng)化， 2016， 40（17）： 59G69.

[11] FBI： Smart Meter Hacks Likely to Spread. Available at http：//krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.

[12] Mo Y， Kim T H J， Brancik K， et al. Cyber–physical security of a smart grid infrastructure[J]. Proceedings of the IEEE， 2012， 100（1）： 195-209.

[13] 欒文鵬.高級量測體系[J].南方電網(wǎng)技術(shù)， 2009， 3（2）： 6-10.

[14] Jiang R， Lu R， Wang Y， et al. Energy-theft detection issues for advanced metering infrastructure in smart grid[J]. Tsinghua Science and Technology， 2014， 19（2）： 105-120.

[15] Grochocki D， Huh J H， Berthier R， et al. AMI threats， intrusion detection requirements and deployment recommendations[C]//Smart Grid Communications （SmartGridComm）， 2012 IEEE Third International Conference on. IEEE， 2012： 395-400.

[16] Cleveland F M. Cyber security issues for Advanced Metering Infrasttructure （AMI）[C]// Power and Energy Society General Meeting - Conversion and Delivery of Electrical Energy in the， Century. IEEE， 2008：1-5.

[17] Bou-Harb E， Fachkha C， Pourzandi M， et al. Communication security for smart grid distribution networks[J]. IEEE Communications Magazine， 2013， 51（1）：42-49.

[18] Berthier R， Sanders W H， Khurana H. Intrusion Detection for Advanced Metering Infrastructures： Requirements and Architectural Directions[C]// First IEEE International Conference on Smart Grid Communications. IEEE， 2010：350-355.

[19] FBI： Smart Meter Hacks Likely to Spread. Available at http：// krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.

[20] IOActive's Mike Davis to Unveil Smart Grid Research at Black Hat USA， IOActive Press Release， Seattle， WA， USA， Jul. 2009.

[21] Park Y， Nicol D M， Zhu H， et al. Prevention of malware propagation in AMI[C]// IEEE International Conference on Smart Grid Communications. IEEE， 2013：474-479.

[22] Choo E， Park Y， Siyamwala H. Identifying malicious metering data in advanced metering infrastructure[C]//Service Oriented System Engineering （SOSE）， 2014 IEEE 8th International Symposium on. IEEE， 2014： 490-495.

[23] Babu V， Nicol D M. Detection of x86 malware in AMI data payloads[C]//Smart Grid Communications （SmartGridComm）， 2015 IEEE International Conference on. IEEE， 2015： 617-622.

[24] Asri S， Pranggono B. Impact of Distributed Denial-of-Service Attack on Advanced Metering Infrastructure[J]. Wireless Personal Communications， 2015， 83（3）：1-13.

[25] Yi P， Zhu T， Zhang Q， et al. A denial of service attack in advanced metering infrastructure network[C]// IEEE International Conference on Communications. IEEE， 2015：1029-1034.

[26] Guo Y， Ten C W， Hu S， et al. Modeling distributed denial of service attack in advanced metering infrastructure[C]// Innovative Smart Grid Technologies Conference. IEEE， 2015：1-5.

[27] Wang K， Du M， Maharjan S， et al. Strategic Honeypot Game Model for Distributed Denial of Service Attacks in the Smart Grid[J]. IEEE Transactions on Smart Grid， 2017， PP（99）：1-1.

[28] Lin J， Yu W， Yang X， et al. On False Data Injection Attacks against Distributed Energy Routing in Smart Grid[C]// Ieee/acm Third International Conference on Cyber-Physical Systems. IEEE， 2012：183-192.

[29] Wang Y， Tanbo T， ?byholm T， et al. Support vector machine based data classification for detection of electricity theft[C]// Power Systems Conference and Exposition. IEEE， 2011：1-8.

[30] Jokar P， Arianpoo N， Leung V C M. Electricity Theft Detection in AMI Using Customers Consumption Patterns[J]. IEEE Transactions on Smart Grid， 2015， 7（1）：216-226.

[31] 莊池杰，張斌，胡軍，等.基于無監(jiān)督學(xué)習(xí)的電力用戶異常用電模式檢測[J].中國電機(jī)工程學(xué)報(bào)， 2016， 36（2）：379-387.

[32] 田野， 張程， 毛昕儒，等.運(yùn)用PCA改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的用電異常行為檢測[J].重慶理工大學(xué)學(xué)報(bào)， 2017， 31（8）.

[33] Grochocki D， Huh J H， Berthier R， et al. AMI threats， intrusion detection requirements and deployment recommendations[C]// IEEE Third International Conference on Smart Grid Communications. IEEE， 2012：395-400.

[34] Cárdenas A A， Berthier R， Bobba R B， et al. A Framework for Evaluating Intrusion Detection Architectures in Advanced Metering Infrastructures[J]. IEEE Transactions on Smart Grid， 2014， 5（2）：906-915.

[35] Tabrizi F M， Pattabiraman K. Flexible Intrusion Detection Systems for Memory-Constrained Embedded Systems[C]// European Dependable Computing Conference. IEEE Computer Society， 2015：1-12.

[36] Berthier R， Sanders W H. Specification-Based Intrusion Detection for Advanced Metering Infrastructures[C]// IEEE， Pacific Rim International Symposium on Dependable Computing. IEEE， 2012：184-193.