智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)注入攻擊檢測

吳繼巖，張懷垠，劉金崇，妥平

（國網(wǎng)固原供電公司，寧夏固原 756000）

近年來，電子計算機以及信息通信網(wǎng)絡(luò)系統(tǒng)飛速發(fā)展，電網(wǎng)體系愈發(fā)復雜。新型的通信技術(shù)手段讓電力系統(tǒng)工作效率更高，但也帶來了一定的安全風險。當前隱蔽性惡性數(shù)據(jù)注入攻擊成為電網(wǎng)中最具威脅性的攻擊之一，相對于干擾設(shè)備的直接攻擊，其突出特點在于攻擊的隱蔽性。因此如何確保電力安全平穩(wěn)運行，有效檢測惡性數(shù)據(jù)注入攻擊值得深入研究。

文獻[1]提出基于智慧電網(wǎng)的空間隱蔽式惡性信息注入與網(wǎng)絡(luò)預防技術(shù)，利用歷史狀態(tài)量的提取和態(tài)勢估計完成狀態(tài)量數(shù)據(jù)挖掘，利用PMU 量檢測技術(shù)實現(xiàn)惡性信息分析、刪除、修復，完成防御。但該方法計算量過于龐大，運算速度緩慢。文獻[2]提出非凸矩陣分析的電網(wǎng)欺詐性數(shù)據(jù)注入攻擊分析技術(shù)，將欺詐性數(shù)據(jù)注入攻擊檢測問題看作稀疏低秩矩陣分析問題，將分析問題轉(zhuǎn)換為非凸優(yōu)化問題，采用改良的交替方向乘子方法解決了非凸難題，將正常量計矩陣作為參考量進行電網(wǎng)運行狀態(tài)識別，以此完成攻擊檢測。但該方法穩(wěn)定性較差，實際應(yīng)用效果并不好。

為彌補上述方法中存在的缺陷，該文提出一種智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)注入攻擊檢測方法。

1 惡性數(shù)據(jù)注入狀態(tài)分析

攻擊者注入智能電網(wǎng)空間隱蔽性惡性數(shù)據(jù)的類型大致分為以下三類：直接篡改信息采集設(shè)備量測數(shù)據(jù)、深入電網(wǎng)系統(tǒng)篡改數(shù)據(jù)、侵入調(diào)控中心[3-4]。

假定攻擊者已經(jīng)收集了電網(wǎng)中的某個子網(wǎng)A內(nèi)所有的狀態(tài)拓撲信息，w是在A中的數(shù)據(jù)索引，對A中所有量都灌注了惡性數(shù)據(jù)，ai是攻擊矢量a的第i個因子，則注入惡性數(shù)據(jù)后系統(tǒng)狀態(tài)zi的計算公式如下：

惡性數(shù)據(jù)的注入能夠使當前電網(wǎng)系統(tǒng)無法監(jiān)測到惡性數(shù)據(jù)[5-6]。惡性數(shù)據(jù)注入過程如圖1 所示。

圖1 惡性數(shù)據(jù)注入過程

攻擊矢量a計算過程如式（2）所示：

根據(jù)圖1 可知，檢測惡性數(shù)據(jù)注入攻擊時，需要對攻擊者當前子網(wǎng)內(nèi)的拓撲構(gòu)造情況進行預估計，分析非線性狀態(tài)量。針對一般惡性數(shù)據(jù)的進攻者，預估值與控制中樞預測結(jié)果之間存在一定的誤差，而誤差值取決于進攻者對電網(wǎng)設(shè)備的了解情況。當攻擊者利用網(wǎng)絡(luò)攻擊方式獲取當前節(jié)點狀態(tài)時，非線性狀態(tài)估計模型便可以獲得惡性數(shù)據(jù)樣本，并對惡性數(shù)據(jù)的注入狀態(tài)進行分析[7-8]。

2 隱蔽型惡性數(shù)據(jù)挖掘

該文采用混合測量方式挖掘隱蔽性惡性數(shù)據(jù)，數(shù)據(jù)挖掘流程如圖2 所示。

圖2 隱蔽型惡性數(shù)據(jù)挖掘流程

第一步：在固定時間內(nèi)完成數(shù)據(jù)信息采集，利用混合測量數(shù)據(jù)挖掘技術(shù)獲取該時間的所有節(jié)點狀態(tài)量；

第二步：通過計算固定時間下節(jié)點狀態(tài)測量值，得到固定時間的靜態(tài)狀態(tài)估計周期；

第三步：獲取固定時間下靜態(tài)狀態(tài)估計結(jié)果，處理第二步得到的混合測量節(jié)點狀態(tài)量，以此估算惡性數(shù)據(jù)狀態(tài)，估算方式與混合測量狀態(tài)估算方式一致，根據(jù)估算結(jié)果得出固定時間下節(jié)點的狀態(tài)量；

第四步：求取固定時間內(nèi)電網(wǎng)中的惡性數(shù)據(jù)注入狀態(tài)量，方法與第二步求取方法相同，獲取被攻擊節(jié)點狀態(tài)；

第五步：當所有電網(wǎng)設(shè)備都完成采樣后，根據(jù)各采樣時間下節(jié)點狀態(tài)量建立歷史數(shù)據(jù)庫，為后期惡性數(shù)據(jù)注入檢測提供數(shù)據(jù)支持，完成智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)挖掘[9-10]。

3 智能電網(wǎng)惡性數(shù)據(jù)注入攻擊檢測

該文設(shè)計了一種智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)注入攻擊檢測模型，利用鄰近測試節(jié)點采集電網(wǎng)系統(tǒng)正常運行時的多條數(shù)據(jù)來訓練模型。模型訓練過程如式（3）所示：

通過TNPE 算法提取采集到的正常歷史數(shù)據(jù)空間特征以及時間向量，根據(jù)提取的數(shù)據(jù)完成智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)注入攻擊檢測模型訓練[11-12]。

根據(jù)目標節(jié)點的鄰近節(jié)點將注入攻擊檢測方法分成兩類。若鄰近節(jié)點附近無攻擊檢測節(jié)點，則必須獲得當前目標與檢測節(jié)點的最小距離，并根據(jù)檢測節(jié)點電壓相量和電流相量測量出目標節(jié)點的電壓相量及電流相量，計算過程如下：

式中，U表示電壓相量；I表示電流相量；Z表示節(jié)點之間的最小距離；j表示檢測節(jié)點電流相量；θ表示電壓相位角；ξ表示電流相位角[13-14]。

在智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)注入攻擊檢測過程中，需確定當前時間電網(wǎng)設(shè)備儀器統(tǒng)計信息能否自動更新。若自動更新，則根據(jù)當前的電網(wǎng)設(shè)備儀器狀況確定電壓相量，利用當前節(jié)點及其電網(wǎng)設(shè)備狀態(tài)估算電流相量；若未自動更新，則通過當前電網(wǎng)儀器統(tǒng)計測量歷史狀態(tài)量，用相同方法獲得電壓相量及電流相量[15]。

如目標節(jié)點及檢測節(jié)點具有相同的電壓、電流相量，可以利用目標節(jié)點統(tǒng)計信息，以獲得注入攻擊值。

當θi被惡性數(shù)據(jù)攻擊而變?yōu)棣葧r，攻擊過程如式（7）所示：

被攻擊后的電網(wǎng)系統(tǒng)相量也將出現(xiàn)位移，偏移量如式（8）所示：

式中，Δd表示偏移量；d1表示位移前位置；d2表示位移后的位置。

分析采集到的實際測量數(shù)據(jù)，通過TNPE 算法檢測模型提取惡性數(shù)據(jù)新特征。根據(jù)惡性數(shù)據(jù)新特征計算在線數(shù)據(jù)的統(tǒng)計量分析新注入數(shù)據(jù)的惡性數(shù)據(jù)部分，完成對智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)注入攻擊的檢測[16-20]。

在確定智能電網(wǎng)存在注入攻擊后，要進行智能電網(wǎng)防御。根據(jù)智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)注入攻擊檢測結(jié)果，監(jiān)測當前時刻電網(wǎng)系統(tǒng)數(shù)據(jù)，區(qū)分不良數(shù)據(jù)與正常數(shù)據(jù)，同時刪除和調(diào)整監(jiān)測出的不良數(shù)據(jù)。當電網(wǎng)設(shè)備中檢測的隱藏性很強的惡性數(shù)據(jù)已被去除時，繼續(xù)評估惡性數(shù)據(jù)注入攻擊量的靜態(tài)狀態(tài)，重新檢測數(shù)據(jù)庫中是否還含有惡性數(shù)據(jù)，直至所有惡性數(shù)據(jù)均被去除。尤其是測量惡性數(shù)據(jù)注入攻擊后的被攻擊節(jié)點狀態(tài)，根據(jù)狀態(tài)檢測的結(jié)果分別設(shè)置了狀態(tài)測量調(diào)整量和注入量測量調(diào)整量。當狀態(tài)量以及注入量滿足條件時，當前系統(tǒng)惡性數(shù)據(jù)便會被刪除，智能電網(wǎng)防御功能會自動估算修改后的數(shù)據(jù)。將數(shù)據(jù)存入歷史數(shù)據(jù)庫中，為后續(xù)的情況分析提供數(shù)據(jù)支持。

4 實驗研究

目前智能電網(wǎng)惡性數(shù)據(jù)注入攻擊最常見的方式為修改電網(wǎng)系統(tǒng)調(diào)控中心的實時數(shù)據(jù)，因此該文以修改電網(wǎng)系統(tǒng)調(diào)控中心的實時數(shù)據(jù)攻擊方式為檢測對象進行了相關(guān)實驗，分析研究方法的實際應(yīng)用效果。實驗使用MatPower4.0 中的IEEE-14 節(jié)點系統(tǒng)，電力負荷數(shù)據(jù)來自比利時電網(wǎng)運營商的網(wǎng)站發(fā)布數(shù)據(jù)，實驗分為攻擊檢測準確率分析與惡性數(shù)據(jù)修正能力分析兩部分，以驗證該文方法的應(yīng)用效果。

4.1 攻擊檢測準確率分析

設(shè)定惡性數(shù)據(jù)注入IEEE-14 節(jié)點系統(tǒng)內(nèi)部的電壓相位角，注入的惡性數(shù)據(jù)量為原始智能電網(wǎng)數(shù)據(jù)量的10%，注入時間間隔為1 h，注入次數(shù)為10 次。通過多次檢測得到10 000 個數(shù)據(jù)樣本。得到的惡性數(shù)據(jù)樣本數(shù)如圖3 所示。

圖3 惡性數(shù)據(jù)樣本數(shù)

同時采取該文提出的攻擊檢測方法和傳統(tǒng)的面向智能電網(wǎng)的空間隱蔽型惡性數(shù)據(jù)注入攻擊在線防御方法和基于非凸矩陣分解的電網(wǎng)欺騙性數(shù)據(jù)注入攻擊檢測方法進行檢測，得到檢測準確率結(jié)果如圖4所示。

圖4 檢測準確率實驗結(jié)果

根據(jù)圖4 可知，隨著檢測時間的增加，三種檢測方法的檢測精度都在不斷增加。在檢測時間為0～30 s時，三種方法的檢測精度均在不斷上升，而檢測精度上升速率相對較為緩慢。該文提出的檢測方法準確率始終穩(wěn)定在98%以上，具有極高的檢測能力，滿足檢測精度要達到95%的要求；而傳統(tǒng)的在線防御檢測方法檢測精度低于96%，在檢測前120 s，檢測精度始終不能滿足要求，檢測效果不好；非凸矩陣分解檢測方法最高檢測準確率為93%，無法達到檢測精度要求，不能應(yīng)用在實際的檢測工作中。

4.2 惡性數(shù)據(jù)修正能力分析

設(shè)定惡性數(shù)據(jù)注入IEEE-14 節(jié)點系統(tǒng)內(nèi)部的電壓相位角，分別設(shè)定不同的攻擊幅值，為0.1%、1%、5%和10%。檢測出惡性數(shù)據(jù)后進行一次修正，再繼續(xù)進行惡性數(shù)據(jù)檢測。若檢測結(jié)果中仍存在惡性數(shù)據(jù)，則需對檢測出的新惡性數(shù)據(jù)展開二次修正。同時采用三種方法進行修正，對比分析其修正能力。修正效果實驗結(jié)果如表1 所示。

表1 修正效果實驗結(jié)果

根據(jù)表1 可知，該文提出的攻擊檢測方法對于攻擊幅值超過5%的惡性數(shù)據(jù)，一次就可以完成修正；對于攻擊幅值在0.1%～5%之間的惡性數(shù)據(jù)，兩次可以完成修正。而傳統(tǒng)的攻擊檢測方法對于不同幅值的惡性攻擊數(shù)據(jù)都需要進行二次修正才能完成，不具備實時修正的能力，說明這兩個方法的修正能力差，實際應(yīng)用效果并不好。

5 結(jié)束語

智能電網(wǎng)關(guān)系到居民的用電安全，該文以解決傳統(tǒng)方法存在的問題作為研究目標，提出了一種智能電網(wǎng)空間隱蔽型惡性數(shù)據(jù)注入攻擊檢測方法，分析惡性數(shù)據(jù)注入狀態(tài)挖掘惡性數(shù)據(jù)，通過攻擊檢測訓練模型完成對注入攻擊的檢測，并根據(jù)檢測結(jié)果提出智能電網(wǎng)防御方案。實驗表明，該文提出的惡性數(shù)據(jù)注入攻擊檢測方法的檢測成功率高，運算量較小，適用于我國智能電網(wǎng)的惡性數(shù)據(jù)注入攻擊檢測。但該文研究在魯棒性方面仍有不足，后續(xù)將圍繞此方面進行深度優(yōu)化。