智能電網中的網絡攻擊檢測機制的研究

◆馬曉杰 程曉榮

(華北電力大學(保定)控制與計算機工程學院 河北 071000)

由于集成了先進的信號處理、通信和控制技術，因此智能電網依賴于關鍵網絡基礎設施，這種關鍵的網絡基礎設施使智能電網容易受到惡意網絡攻擊[1]。智能電網主要基于估計的系統狀態來調節系統，因此攻擊者的主要目的是破壞/誤導狀態估計機制，從而在智能電網的能源管理系統中造成錯誤/操縱的決策。區域停電，電力市場價格被操縱等都會成為網絡攻擊后的一些潛在后果，在現實中也可以看到這種網絡攻擊。例如，2015年12月23日，烏克蘭的電力系統遭到攻擊，造成的電力中斷影響了大約200，000人幾個小時[3]。

保障電網安全可靠運行，第一步是及早發現網絡攻擊。在檢測到攻擊后，實施有效的應對方案。因此，智能電網中出現了一系列的網絡攻擊檢測機制，用于應對可能出現的各類網絡攻擊。本文將對部分網絡攻擊檢測方法進行研究，并在某些因素上對它們進行分析工作。

1 網絡攻擊檢測方法機制研究

本文分析研究了現有網絡攻擊檢測機制的實現，這些網絡攻擊檢測機制可以及時發現現有的各類網絡攻擊。這些攻擊檢測機制與估計機制緊密相連，使得檢測和狀態估計方案都能夠抵抗未知和時變的攻擊變量。

2.1 混合式和隱身網絡攻擊的實時檢測機制

通過更改前（即正常系統運行）和更改后（即發生攻擊/異常之后）的電表測量得到的概率密度函數（pdfs），便可以對事件進行足夠準確的建模。此外，累積和（CUSUM）測試是基于洛登準則的最佳在線檢測器。因此假設 pdfs可以利用一些未知參數建模，那么利用未知參數估計值的廣義CUSUM檢驗具有漸近最優性[1]。

為了及時發現和緩解攻擊，實時檢測機制應運而出。實時檢測機制將智能電網建模為線性動態系統，并使用卡爾曼濾波器進行狀態估計。機制提出了一種基于在線CUSUM對未知和時變攻擊參數具有魯棒性的攻擊檢測和估計算法[2]。該算法以封閉形式提供了攻擊參數的在線估計，并在發生網絡攻擊時提供了恢復狀態的估計。此外，為了防止檢測減少或增加檢測延遲，實時檢測機制基于CUSUM檢測器提出了隱身攻擊的防范措施。實時監測機制提出了廣義 Shewhart檢驗和滑動窗口卡方檢驗，分別作為針對非持久和持久隱身攻擊的對策。通過廣泛的仿真，證明了實時檢測機制所提出的算法可以及時可靠地檢測針對基于CUSUM的檢測器的混合 FDI /干擾攻擊和隱匿攻擊，并且可靠適用于智能電網中存在的大量潛在網絡攻擊的環境。

2.2 基于無模型強化學習（RL）框架的檢測機制

基于 CUSUM 的檢測方案需要對變更前和變更后的情況都建立完美的模型，然而在實踐中的攻擊者能力以及相應的攻擊類型和策略是完全未知的。將變更前和變更后的情形視為未知變更點的隱藏狀態，可以將最快的變更檢測問題表述為部分可觀測的馬爾可夫決策過程（POMDP）問題。由于在預變更狀態下智能電網中的在線攻擊/異常檢測問題可以利用系統模型高精度地指定預變更測量pdf。此外，更改后的度量pdf可以根據攻擊者的策略采用不同的未知形式。因此，POMDP的確切模型是未知的[1]。

強化學習（RL）算法可以有效地解決所述的POMDP問題。由于基于POMDP模型的方法需要兩步求解，這在計算上要求更高，而且通常只能學習一個近似的模型，因此在線檢測機制更傾向于使用無模型的RL方法[4]。

基于無模型RL框架的POMDP在線網絡攻擊檢測算法是通用的（即不需要攻擊模型），使得所提出的機制可以主動檢測到新的未知攻擊類型。由于基于無模型RL框架檢測機制遵循的是無模型的RL方法，因此防衛者會通過反復試驗來學習從觀察到行動（停止或繼續）的直接映射。盡管在訓練階段防衛者可以在正常操作條件下使用系統模型獲取/生成變更前案例的觀察數據，但實際上很難獲得真實的攻擊數據。出于這個原因，檢測機制采用了一種強力的檢測方法，即通過對防御者的低強度攻擊來訓練防御者。從攻擊者的角度來看，由于這種攻擊很難檢測到，防衛系統達到最壞的情況。然后，訓練有素的防衛者變得“敏感”，可以檢測到儀表測量值與正常系統操作之間的細微偏差，這種檢測方法也明顯限制了攻擊者的行動空間。換而言之，為了防止檢測，攻擊者只能利用非常低的攻擊強度，由于它們對系統的損害很小，因此實際上沒有太大意義[1]。

3 網絡攻擊檢測機制的分析

本節分析在c= 0.02（c表示虛假警報和檢測延遲事件之間的相對成本）時，智能電網網絡攻擊檢測機制在探測器在探測電網中可能遇到的各種網絡攻擊（FDI（惡意攻擊）、Jamming（干擾攻擊）、Corr.Jamming（覆蓋干擾攻擊）、Hybrid（混合干擾攻擊）、Dos（拒絕服務攻擊）、Topology（拓撲攻擊）、Stealthy（隱身攻擊））時的性能并以表格形式表示性能評估指標 Precision（精確率）、Recall（召回率）以及F-score（F值）。

3.1 網絡攻擊檢測機制仿真實驗參數設置

（1）在由N+1=14條總線和K=23個智能電表組成的IEEE-14總線電源系統上進行仿真。

（2）初始狀態變量（相角）是使用MATPOWER中案例14的DC最佳功率流算法確定的[5]。

（3）選擇系統矩陣A為單位矩陣，并基于IEEE-14電力系統確定測量矩陣H。

（5）RL檢測機制公式化表示：

當ηt的小值（接近零）可能表示系統正常運行，一段時間內的持續高值ηt可能表示攻擊/異常。yt表示t時刻系統的測量向量，yt表示測量矩陣t時刻的狀態估計[1]。

實時檢測機制公式化表示：

計算并更新決策統計信息。如果決策統計信息超過了預定測試閾值，則聲明為攻擊。否則，它將進入下一個時間間隔，并收集進一步的測量值。是無攻擊儀表的集合，是僅受到 FDI攻擊的儀表集合，是僅受到干擾的儀表集合，是受到FDI和干擾攻擊的儀表集合，u表示攻擊變量的估計值，K表示攻擊強度，yk，t，i表示系統測量向量，表示測量矩陣的狀態估計[2]。

（6）對于所提出的兩種網絡攻擊檢測機制，將量化級別的數目選擇為I=4，將量化閾值選擇為β1=0.95×10-2，β2=1.05×10-2和B3=1.15×10-2通過在正常系統運行期間監視進行的模擬仿真，得出結果。

（7）網絡攻擊將從t= 100時發動。通過10000次試驗的蒙特卡洛模擬，計算錯誤警報的概率和提議的檢測器的平均檢測延遲。

（8）使用PC端的MATLAB進行實驗仿真。

3.2 績效評估

如果在定義了檢測延遲的上限范圍內檢測到攻擊，則假設攻擊為檢測到，否則錯過。設此界限為10個時間單位，#number為實驗次數，Г為停止時間，τ為轉變點：

Precision是檢測出相關攻擊數與檢測出的攻擊總數的比率，衡量的是檢測機智的查準率：

Recall是指檢測出的相關攻擊數和實驗中所有的相關攻擊數的比率，衡量的是檢測機制的查全率：

由于Precision和Recall指標有時候會出現的矛盾的情況，因此需要綜合考慮，最常見的方法就是F-score：

表1 探測器（c = 0.2）在探測各種網絡攻擊時的Precision值

實時檢測 0.9999 0.9997 0.9997 0.9965 0.9980

表2 探測器（c = 0.2）在探測各種網絡攻擊時的Recall值

表3 探測器（c = 0.2）在探測各種網絡攻擊時的F-score值

實驗表明，基于RL的檢測方案以及實時檢測機制通過訓練過程，智能電網防衛者學會了將瞬時的高級系統噪聲與發給系統的持續攻擊區分開以降低其虛警率。另外，通過兩種檢測機制智能電網系統都可以區分高級噪聲與實際攻擊，從而使系統不易受到虛警的影響。此外，在發生DoS攻擊的情況下，由于電網系統部分儀表無法使用，系統大大偏離了其正常運行，因此所有檢測器都能夠以幾乎為零的平均檢測延遲來檢測DoS攻擊。

4 結束語

在線檢測方法廣泛應用于任何最快的變化檢測問題，實際智能電網應用中可以對正常的電網系統操作進行足夠準確的建模，以應對在線檢測通常難以建模的攻擊或異常。無論是基于RL的POMDP解決方案，還是基于在線CUSUM的攻擊檢測和估計算法都是利用了在線檢測方法，體現了它們在針對智能電網的網絡攻擊的快速可靠檢測中的優勢。目前智能電網中網絡攻擊檢測機制的主要工作方向也更多地體現在在線檢測方法的基礎上利用神經網絡或者深度學習算法來進行對檢測機制性能的改進。