基于通道融合的Res-CNN-LSTM電網虛假數據注入攻擊檢測

方正剛

基于通道融合的Res-CNN-LSTM電網虛假數據注入攻擊檢測

方正剛

（福州大學電氣工程與自動化學院，福州 350108）

針對電力系統的網絡攻擊事件越來越多，信息物理安全問題已經引發電力公司和學術界的高度關注。為了能夠正確檢測電網虛假數據注入攻擊，本文提出一種基于殘差神經網絡（ResNet）結構的一維卷積神經網絡（1DCNN）和長短期記憶（LSTM）網絡多通道融合網絡模型，簡稱通道融合的Res-CNN-LSTM網絡模型。該神經網絡算法利用1DCNN和LSTM對時間序列信息的高效提取能力，將不同通道上提取的信息進行融合，進一步加強了數據特征的提取效果，同時網絡模型主體采用殘差跳躍連接的結構來解決神經網絡在訓練過程中的過擬合問題；在IEEE-14和IEEE-118節點測試系統進行模型仿真實驗，并對比其他神經網絡模型，結果驗證了本文所提方法的有效性和準確性。

神經網絡；多通道數據融合；攻擊檢測；深度學習；長短期記憶（LSTM）神經網絡

0 引言

隨著現代社會對智能電網依賴性的增強，智能電網已然成為現代社會的重要組成部分。然而，智能電網極其依賴通信技術和大數據技術，因此其有較大風險遭受各種網絡攻擊[1]。其中，一種被廣泛關注的攻擊方式是虛假數據注入攻擊（false data injection attack, FDIA），它通過操縱電網數據來破壞系統的正常運行，威脅著電力供應的可靠性和安全性[2]。

虛假數據注入攻擊是一種隱蔽的攻擊方式，攻擊者通過篡改測量數據，向電網注入虛假信息，導致對系統監控和控制的誤導[3]。這些攻擊可能造成電力系統運行異常，導致設備故障、能源浪費甚至引發系統崩潰。因此，準確識別和防御虛假數據注入攻擊對于智能電網的穩定可靠運行至關重要[4-5]。

目前，國內外對電網FDIA的檢測進行了大量學術研究，基本的研究思路有：基于狀態估計的檢測方法、基于機器學習的檢測方法、基于深度學習神經網絡的檢測方法。其中，機器學習和深度學習算法均基于大量樣本進行設計；狀態估計檢測方法根據電網信息狀態構建不良數據辨識檢測算法[6]。狀態估計法屬于根據電力系統運行機制進行建模的攻擊檢測方法，基于機制建模的檢測方法存在諸多理論約束和技術瓶頸，因此此類方法并不能廣泛應用于實際。機器學習方法克服了上述難題，避免了復雜的物理建模，以數據為基礎構建虛假注入數據和攻擊之間的隱含映射關系，使機器學習模型能夠有效檢測虛假數據注入攻擊[7]。

基于機器學習的識別方法是指采用大量具有FDIA特征的歷史數據對機器學習模型進行訓練，利用數據特征來優化機器學習模型的參數，最終使模型對測試樣本中的FDIA具有識別能力[8]。文獻[9]利用邏輯回歸、K最近鄰、支持向量機等機器學習算法對具有FDIA特征的數據進行學習并測試，實驗結果表明機器學習算法具有很好的FDIA檢測能力，但因機器學習算法計算較為耗時，不能適應大型電網數據，因此利用機器學習算法在實際應用中并非很好的選擇。

基于深度學習神經網絡的檢測方法同樣是利用數據驅動揭示特征和結果之間的關聯關系。文獻[10]利用小波變換和單向門控循環單元進行系統的狀態連續估計，檢測序列狀態中的FDIA，但是單向門控循環單元不能很好地提取小波變換中的有效特征，并且有出現梯度爆炸的可能；文獻[11]采用Transformer編碼器進行FDIA檢測，Transformer編碼器由于參數量較大、模型復雜，可以實現對FDIA的有效檢測，但由于訓練耗時，推理速度較慢，會出現模型過擬合的情況；文獻[12]利用卷積神經網絡（convolutional neural network, CNN）提取和長短時記憶（long short-term memory, LSTM）網絡學習量測狀態序列的時間和空間關系特征，進而實現FDIA檢測，但是模型未考慮數據的多維度問題，同時網絡模型過深可能會導致過擬合的情況。

針對上述問題，本文分析電網FDIA行為，利用深度學習神經網絡算法，通過一維卷積神經網絡（one dimensional convolutional neural network, 1DCNN）和LSTM在不同通道上不斷進行對FDIA特征的學習[13]，對學習到的時間序列特征進行不同通道上的融合，最后利用殘差神經網絡（residual neural network, ResNet）跳轉連接的結構搭建更深層的通道融合網絡模型，從而可以有效學習到FDIA特征，避免網絡過擬合的情況。本文將上述網絡模型稱為通道融合的Res-CNN-LSTM網絡模型，利用該網絡模型對FDIA特征進行訓練并利用訓練好的模型進行測試，以證明該模型相對于單一神經網絡更加健壯，泛化能力更強，且對FDIA的識別精度更高、誤報率更低。

1 問題描述

智能電表的量測值包含總線有功功率和分支有功功率[14]。在電力系統FDIA案例中，攻擊者對電力系統中的控制設備量測單元和通信設備等注入虛假數據，通過篡改線路潮流數據、節點功率、電壓幅值等數據繞過檢測機制，以此來影響狀態估計，造成系統出現較大偏差[15]。

傳統虛假數據注入攻擊通常為

式中：a為受到注入攻擊之后的向量；為沒有進行攻擊時的原始量測值；為注入的虛假數據攻擊向量；為量測的雅可比矩陣，是用來描述量測值和狀態量之間關系的矩陣；為系統狀態量；為量測值的誤差向量。

構建不可觀察FDIA，虛假注入數據滿足

式中，為由導致的虛假狀態數據。

因此，受到攻擊后的量測值為

式中，a為受到攻擊后新的量測值。

2 算法原理

2.1 一維卷積神經網絡

一維卷積神經網絡的時間序列數據特征處理和提取能力較好[16]。一維卷積神經網絡結構如圖1所示，主要由三部分構成：卷積層、池化層和全連接層。

圖1 一維卷積神經網絡結構

卷積層對輸入數據進行卷積運算，提取出局部信息的特征來提高處理性能，同時由于卷積核是權重共享的[17]，因此可以減少參數，降低計算量。卷積計算為

池化層通常置于兩個卷積層之間，通過降低特征圖的分辨率來降低后續神經網絡層的計算量。同時，池化計算不含網絡參數，因此反向傳播無參數更新。池化計算為

2.2 LSTM神經網絡

LSTM神經網絡可緩解循環神經網絡（recurrent neural network, RNN）的梯度消失和梯度爆炸問 題[18]。LSTM基本單元結構如圖2所示，一個基本單元包含遺忘門、記憶單元、輸入門和輸出門。

LSTM基本單元的狀態更新方程為

3 殘差連接多通道融合檢測模型

3.1 模型結構

本文提出通道融合的Res-CNN-LSTM神經網絡算法對FDIA數據進行模型訓練并檢測。CNN- LSTM通道融合模塊如圖3所示。

CNN-LSTM通道融合模塊是在兩個通道上對輸入的FDIA數據進行特征學習，由于1DCNN和LSTM對時間序列數據有很好的特征提取效果，因此將1DCNN提取的特征和LSTM提取的特征進行融合，并將融合后的特征信息作為下一層的輸入來提高網絡的學習能力。對數據進行特征提取和融合的具體步驟如下：

圖3 CNN-LSTM通道融合模塊

1）第一個通道進行一維卷積神經網絡特征提取，其中包含一維卷積和一維池化操作，對輸入的特征信息不斷進行特征提取。

2）第二個通道首先對數據進行維度轉化，在對應數據維度下，LSTM神經網絡進行數據的特征提取和學習，對提取到的時間序列信息特征進行維度轉化，即可與一維卷積神經網絡提取的特征進行數據融合。

3）將1DCNN和LSTM提取的數據特征圖進行特征相加操作，實現不同通道提取特征的融合。

本文所提算法的主體網絡結構借鑒ResNet算法的殘差結構，利用殘差塊對整體模型進行設計。ResNet的殘差模塊如圖4所示。

圖4 殘差模塊

本文所提出的Res-CNN-LSTM網絡模型結構如圖5所示。該模型的主體結構采用ResNet的跳轉連接殘差結構；網絡模型的輸入數據經過CNN- LSTM通道融合模塊進行特征信息的融合，同時將輸入數據跳轉連接到CNN-LSTM通道融合模塊的輸出進行數據融合，由此形成一個具有殘差連接的多通道融合模塊；由多個殘差連接的通道融合模塊進行數據的特征提取，然后將提取的特征進行維度展平并通過全連接層進行連接；最后經過sigmoid激活函數，判斷輸出的數據是否為FDIA數據。

圖5 Res-CNN-LSTM網絡模型結構

3.2 實驗評價指標

為判定一段時間序列數據是否為虛假注入攻擊數據，以準確率、精確率、召回率、1分數作為模型的評價指標[19]。

真正（true positve），記為p；假正（false positive），記為p；真負（true negative），記為n；假負（false negative），記為n。

準確率c的計算表達式為

精確率的計算表達式為

召回率的計算表達式為

1分數的計算表達式為

4 算例分析

4.1 實驗環境配置

為了搭建網絡模型及其對比實驗模型，本文實驗配置為：計算機操作系統Windows 11，深度學習框架TensorFlow，編程語言python；顯卡為NVIDIA GeForce RTX 3060。

4.2 數據來源及實驗流程

選擇該領域主流的IEEE-14節點和IEEE-118節點測試系統作為測試系統，從Matpower中獲得的量測數據包含各總線的電壓幅值、總線相位、總線注入有功功率和無功功率、各支路注入有功功率和無功功率等，一個量測數據作為一個樣本數據維度，并將其作為網絡輸入特征。其中，IEEE-14節點系統中每個樣本具有54個量測值，即54維。IEEE-118節點系統中每個樣本包括490個量測值，即490維。利用Matpower軟件對IEEE-14和IEEE-118節點系統各仿真生成5 000個時刻的正常量測數據樣本，設置標簽為0，同時生成虛假注入攻擊數據樣本5 000個，設置標簽為1。將正常樣本和虛假注入攻擊樣本進行去均值和歸一化處理，按照6:2:2的比例隨機抽取樣本制作訓練集、驗證集和測試集。基于Res-CNN-LSTM網絡的虛假數據注入攻擊檢測實驗流程如圖6所示。

圖6 基于Res-CNN-LSTM網絡的虛假數據注入攻擊檢測實驗流程

首先，將從Matpower獲取的正樣本和負樣本數據進行數據清洗和歸一化處理。歸一化通過相應線性變換操作能夠將數據縮小到區間[0, 1]內，數據歸一化操作所用的具體公式為

式中：g為歸一化之后的值；min為特征最小值；max為特征最大值；為待歸一化的值。

其次，將歸一化后的數據劃分為訓練集、驗證集和測試集，搭建實驗網絡模型，利用訓練集進行模型訓練，訓練的同時利用驗證集進行模型驗證。

再次，利用模型前向傳播計算的誤差進行反向傳播來更新模型的參數，如果達到最大邊界條件或最大迭代次數，則訓練結束，輸出訓練完畢的模型，否則繼續進行訓練直到訓練結束。

最后，利用測試集對訓練好的模型進行測試，并返回模型的評價指標。

4.3 預測結果對比

為了驗證本文所提預測模型的精確性，選取支持向量機（support vector machine, SVM）、反向傳播（back propagation, BP）神經網絡、LSTM神經網絡、串行結構的CNN-LSTM網絡模型、通道融合的CNN- LSTM網絡模型與通道融合的Res-CNN-LSTM網絡模型進行對比。

為探究神經網絡模型之間的優劣性，設置固定的超參數：學習率為0.001、優化器為Adam、每層神經網絡（除最后一層）激活函數為ReLU函數、最大迭代次數為100、損失函數為交叉熵損失。

本文搭建的通道融合的Res-CNN-LSTM網絡模型共含4個殘差模塊，每個殘差模塊都有1DCNN與LSTM特征融合模塊，最后連接2層全連接層，利用最后一層全連接層進行虛假注入數據攻擊檢測。通道融合的Res-CNN-LSTM網絡模型參數見表1。

其中，Covn fitter為卷積操作，Max pool為最大池化操作，殘差模塊4經過全局平均池化，轉化為一個二維的向量，通道維度為64×1，因此不管是IEEE-118節點系統的輸入還是IEEE-14節點系統的輸入，經過殘差模塊4后輸出的特征向量都為64×1，保證了不同的輸入、同樣的模型輸出；最后兩層的全連接層神經元數量為64、2，最后一層神經網絡的激活函數為sigmoid函數，輸出分類檢測結果。

不同模型針對IEEE-14和IEEE-118節點系統的訓練準確率分別如圖7～圖11所示，圖中包括IEEE-14和IEEE-118節點系統對應模型訓練過程中訓練集和驗證集的準確率曲線，每個模型設定訓練輪次為100。

表1 通道融合的Res-CNN-LSTM網絡模型參數

從圖7～圖11可以看出，每個模型在100輪的訓練內都已收斂，訓練集和驗證集的準確率已基本穩定；每個模型的IEEE-14節點系統訓練集和驗證集的收斂準確率均優于IEEE-118節點系統訓練集和驗證集的收斂準確率，這是由于IEEE-118節點系統的網絡拓撲比IEEE-14節點系統的網絡拓撲更復雜；相比之下，通道融合的Res-CNN-LSTM網絡模型的準確率最高、收斂較快且波動最小。

圖7 BP神經網絡訓練準確率

圖8 LSTM神經網絡訓練準確率

圖9 串行結構的CNN-LSTM神經網絡訓練準確率

圖10 通道融合的CNN-LSTM神經網絡訓練準確率

圖11 通道融合的Res-CNN-LSTM神經網絡訓練準確率

訓練集和驗證集的準確率曲線只能得到一個直觀的結論，為了定量分析各個模型針對IEEE-14節點系統和IEEE-118節點系統的性能，利用3.2節給出的評價指標進行對比。IEEE-14節點系統6種模型的評價指標對比見表2，IEEE-118節點系統6種模型的評價指標對比見表3。

表2 IEEE-14節點系統6種模型的評價指標對比

表3 IEEE-118節點系統6種模型的評價指標對比

由表2和表3可知，本文提出的通道融合的Res- CNN-LSTM網絡模型的評價指標最優；與通道融合的CNN-LSTM網絡模型相比，本文所提模型針對IEEE-14節點系統的準確率、精確率、召回率和1分數分別提高了1.02個百分點、1個百分點、1.7個百分點和1.35個百分點，針對IEEE-118節點系統的準確率、精確率、召回率和1分數分別提高了1.31個百分點、2.14個百分點、1.72個百分點和1.94個百分點，由此可得出，利用殘差結構進行跳轉連接可有效提高網絡模型的識別能力；與串行結構的CNN-LSTM網絡模型相比，通道融合的CNN-LSTM網絡模型針對IEEE-14節點系統的準確率、精確率、召回率和1分數分別提高了1.01個百分點、0.84個百分點、1.25個百分點和1.04個百分點，針對IEEE-118節點系統的準確率、精確率、召回率和1分數分別提高了2.06個百分點、1.57個百分點、3.31個百分點和2.44個百分點，由此結果可得出，利用不同通道進行特征提取并融合可有效提升網絡模型的識別效果。

5 結論

本文提出了一種基于通道融合的Res-CNN- LSTM電網虛假數據注入攻擊檢測模型。模型主要采用1DCNN和LSTM網絡在不同通道上進行特征提取，將不同通道提取的特征進行融合，整體網絡架構采用殘差結構進行模型的訓練和測試，最后與其他模型進行了對比測試，得出如下結論：

1）1DCNN和LSTM網絡具有很好的時間序列數據特征提取能力，在不同的通道結構上將二者提取的特征進行融合，進行優勢互補，可有效提高模型的檢測準確率。

2）殘差網絡的跳轉連接結構可以有效避免網絡過擬合的情況，使網絡深度更深，從而提高網絡模型在虛假攻擊數據中的檢測效果。

3）雖然本文所提通道融合的Res-CNN-LSTM網絡模型針對虛假數據注入攻擊有很好的檢測效果，但是其依賴大量的數據集進行訓練，在數據不足的情況下很難達到高效準確的檢測效果。同時，由于模型結構較為龐大，模型推理耗費的算力資源也較高。

綜上所述，本文所提通道融合的Res-CNN- LSTM網絡模型在數據足夠的情況下，可以實現對電網虛假數據注入攻擊的有效檢測。

[1] 楊杉, 譚博, 郭靜波. 基于雙馬爾科夫鏈的新型能源互聯網虛假數據注入攻擊檢測[J]. 電力自動化設備, 2021, 41(2): 131-137.

[2] 王琦, 邰偉, 湯奕, 等. 面向電力信息物理系統的虛假數據注入攻擊研究綜述[J]. 自動化學報, 2019, 45(1): 72-83.

[3] 曹禹. 智能電網中虛假數據注入攻擊檢測與辨識研究[D]. 南京: 南京郵電大學, 2022.

[4] 陳劉東, 劉念. 面向互動需求響應的虛假數據注入攻擊及其檢測方法[J]. 電力系統自動化, 2021, 45(3): 15-23.

[5] 田猛, 王先培, 董政呈, 等. 基于拉格朗日乘子法的虛假數據攻擊策略[J]. 電力系統自動化, 2017, 41(11): 26-32.

[6] 張明月, 王新宇. 基于殘差觀測器的智能電網虛假數據攻擊檢測研究[J]. 電氣工程學報, 2023, 18(1): 111-117.

[7] 魯俊良. 基于機器學習的智能電網虛假數據攻擊檢測研究[D]. 北京: 華北電力大學, 2019.

[8] 劉鑫蕊, 常鵬, 孫秋野. 基于XGBoost和無跡卡爾曼濾波自適應混合預測的電網虛假數據注入攻擊檢測[J]. 中國電機工程學報, 2021, 41(16): 5462-5476.

[9] OZAY M, ESNAOLA I, VURAL F T Y, et al. Machine learning methods for attack detection in the smart grid[J]. IEEE Transactions on Neural Networks and Learning Systems, 2016, 27(8): 1773-1786.

[10] YU J J Q, HOU Yunhe, LI V O K. Online false data injection attack detection with wavelet transform and deep neural networks[J]. IEEE Transactions on Industrial Informatics, 2018, 14(7): 3271-3280.

[11] 陳冰, 唐永旺. 基于Transformer編碼器的智能電網虛假數據注入攻擊檢測[J]. 計算機應用與軟件, 2022, 39(7): 336-342.

[12] 黃冬梅, 何立昂, 孫錦中, 等. 基于邊緣計算的電網假數據攻擊分布式檢測方法[J]. 電力系統保護與控制, 2021, 49(13): 1-9.

[13] 涂彥昭, 高偉, 楊耿杰. 一種基于卷積神經網絡和長短期記憶網絡的光伏系統故障辨識方法[J]. 電氣技術, 2022, 23(2): 48-54.

[14] 韋先燦, 高偉, 楊耿杰. 基于改進動態線損估計的智能電表誤差估計方法[J]. 電氣技術, 2022, 23(2): 7-12.

[15] 李揚, 李智, 陳亮, 等. 發電機動態狀態估計中的一種虛假數據注入攻擊方法[J]. 電工技術學報, 2020, 35(7): 1476-1488.

[16] 王菲菲, 阮愛民, 魏剛, 等. 基于卷積神經網絡的開關柜局部放電故障識別[J]. 電氣技術, 2019, 20(4): 76-81.

[17] 李元誠, 曾婧. 基于改進卷積神經網絡的電網假數據注入攻擊檢測方法[J]. 電力系統自動化, 2019, 43(20): 97-104.

[18] 金亮, 馮裕霖, 曹佳豪, 等. 基于注意力與長短期記憶網絡的變壓器代理模型[J]. 電氣技術, 2021, 22(7): 65-71, 77.

[19] 唐清葦, 向月, 代佳琨, 等. 基于CNN-LSTM的風電場發電功率遷移預測方法[J]. 工程科學與技術, 2024, 56(2): 91-99.

Detection of false data injection attacks in power grid based on Res-CNN-LSTM with channel fusion

FANG Zhenggang

(College of Electrical Engineering and Automation, Fuzhou University, Fuzhou 350108)

The number of network attacks targeting the power system is increasing, and information physical security issues have attracted high attention from power companies and academia. In order to accurately detect false data injection attacks in the power grid, a one-dimensional convolutional neural network (1DCNN) based on residual neural network (ResNet) structure, and long short-term memory (LSTM) network based multi-channel fusion network model which called Res- CNN-LSTM is proposed. This algorithm utilizes the efficient extraction ability of 1DCNN and LSTM in time series information, and fuses the extracted information in different channels to further enhance the extraction effect of data features. At the same time, the main body of the model adopts a residual jump connection structure to solve the problem of overfitting in the training process of the neural network. Simulation is conducted based on IEEE-14 and IEEE-118 node testing systems, and the proposed method is compared with other neural network model algorithms. The results verified the effectiveness and accuracy of the proposed method in the paper.

neural network; multi channel data fusion; attack detection; deep learning; long short- term memory (LSTM) neural network

2023-11-17

2024-01-15

方正剛（1997—），男，福建省福州市人，碩士研究生，研究方向為人工智能在電氣領域中的應用。