基于物理-信息模糊推理的智能電網攻擊檢測方法

基于物理-信息模糊推理的智能電網攻擊檢測方法
【專利摘要】本發明提出了一種基于物理-信息模糊推理的智能電網攻擊檢測方法；該方法利用智能電網物理系統和信息系統緊密耦合的特性，通過分析智能電網電力量測數據與網絡通信流量，利用物理-信息模糊推理的方法來判定攻擊行為，能顯著降低檢測的誤報率，改善智能電網攻擊檢測的效果。
【專利說明】基于物理-信息模糊推理的智能電網攻擊檢測方法

【技術領域】：
[0001] 本發明屬于智能電網攻擊檢測【技術領域】，特別涉及一種基于物理-信息模糊推理 的智能電網攻擊檢測方法。

【背景技術】：
[0002] 智能電網將先進的傳感量測技術、信息通信技術、自動控制技術、新能源技術與電 網基礎設施高度集成，支持能量和數據在電網中的雙向流動。先進的信息網絡顯著提升了 電力網絡的可觀性、可控性、實時性和自愈性；但與此同時，信息網絡中的各種漏洞和攻擊 威脅使得攻擊者有更多的途徑滲透和入侵到電力系統。典型的網絡攻擊方式如拒絕服務攻 擊、數據竊聽、中間人攻擊、流量重放攻擊等，在智能電網等物理信息系統中同樣有效且危 害更大。傳統電力網絡中，攻擊者主要通過破壞電網的物理基礎設施實現對電網的破壞和 干擾；在智能電網中，攻擊者可以通過信息網絡入侵并攻擊智能電網中的設備，通過篡改電 網的數據，導致電網的狀態監控和決策出現失誤。這種攻擊方式通過信息網絡滲透到物理 網絡，具有同時與物理系統和信息系統有關聯的特點。
[0003] 傳統電網安全檢測技術基于電力系統的物理規律，利用狀態估計和RN檢測等方 法對不同節點的量測數據進行交叉驗證，檢測和辨識不良數據。但是由于這些方法基于電 力系統的物理規律，需要對實際系統的各類量測誤差、傳輸錯誤等有一定容忍能力，因此對 局部的小規模偽造數據很難實現精確檢測。在智能電網中，攻擊者通過精心設計攻擊場景， 構造出滿足物理規律約束或在系統量測誤差容忍程度范圍內的錯誤數據來逃避系統的異 常檢測，導致傳統電網安全監控技術在檢測精度、檢測可信度、計算復雜度等方面都面臨巨 大挑戰。
[0004] 針對智能電網中信息安全技術引入后帶來的安全問題，人們提出利用信息安全檢 測方法來保護智能電網。然而，信息網絡安全技術不考慮物理系統自身的價值，難以評估威 脅的嚴重程度；同時檢測方法大多誤報率很高，從海量的異常報警中發現實際的攻擊事件 一直是網絡安全領域的難點問題之一。
[0005] 考慮到智能電網中物理系統和信息系統的強關聯性，單純從物理系統或信息系統 角度考慮進行攻擊檢測的效果都具有明顯的局限性。


【發明內容】
：
[0006] 為了克服上述現有技術的缺點，本發明的目的在于提供一種基于物理-信息模糊 推理的智能電網攻擊檢測方法，以克服上述單獨從物理系統或信息系統進行智能電網攻擊 檢測的局限性，能夠同時考慮到攻擊對智能電網中的物理系統和信息系統造成的影響，利 用物理系統和信息系統的檢測信息互補結合，交叉驗證，通過盡量低的運算代價得到比單 純從物理系統或信息系統進行檢測更好的檢測精度。
[0007] 為了實現上述目的，本發明采用的技術方案是：
[0008] -種基于物理-信息模糊推理的智能電網攻擊檢測方法，包括如下步驟：
[0009] 步驟SI :利用部署在智能電網中的電力量測設備和流量監控系統得到智能電網 的電力量測數據和設備通信流量；對得到的電力量測數據和設備通信流量分別進行異常事 件檢測，得到物理系統異常度和信息系統異常度；
[0010] 步驟S2 :基于電力量測設備和智能通信設備在傳輸線上的分布，將物理系統和信 息系統的異常度進行關聯融合，得到電力傳輸線路上的物理-信息異常度<C，P> ;
[0011] 步驟S3 :利用知識庫，將物理-信息異常度<C，P>由精確量轉化為模糊化量，并用 相應的模糊集合來表示；
[0012] 步驟S4 :結合知識庫中的規則庫，利用模糊邏輯中的蘊含關系及推理規則進行物 理-信息模糊推理得出用相應模糊集合表示的電力傳輸線路上的異常度模糊化輸出；
[0013] 步驟S5 :結合知識庫將異常度模糊化輸出反模糊化成精確量，得到用精確數值表 示的線路上的物理-信息綜合異常度F ;
[0014] 步驟S6 :設定攻擊檢測閾值；若線路i的物理-信息綜合異常度超過給定檢測閾 值，則判定線路i受到了攻擊，否則判定線路i沒有受到攻擊。
[0015] 本發明進一步的改進在于，步驟S1包括兩個并行的部分：物理系統異常度分析和 信息系統異常度分析。
[0016] 本發明進一步的改進在于，所述步驟S2中，物理系統和信息系統的異常度進行關 聯融合的方法為：利用智能電網中每條被量測線路上部署有一個或多個通信設備，而每個 設備在信息網絡中對應有一個獨立且唯一的IP地址的特點，通過〈設備IP地址，設備所在 線路編號〉映射表將物理系統和信息系統的異常度進行關聯。
[0017] 本發明進一步的改進在于，所述知識庫根據經驗手動設定，包括數據庫和模糊控 制規則庫兩部分，數據庫主要包括輸入語言變量的隸屬函數，以及模糊空間的分級數；規則 庫包括用模糊語言變量表示的一系列推理規則，規則反映了經驗和知識。
[0018] 本發明進一步的改進在于，所述步驟S3中，物理-信息系統異常度模糊化的方 法為：基于知識庫中的輸入語言變量的隸屬函數，以及模糊空間的分級數，將精確量輸入 <C，P>進行模糊化處理變成模糊化量輸入，并用相應的模糊集合來表示。
[0019] 本發明進一步的改進在于，所述步驟S4中，物理信息模糊推理的方法為：將模糊 化后的物理-信息異常度作為輸入，結合知識庫中的物理-信息模糊推理規則庫，利用模糊 邏輯中的蘊含關系及推理規則進行推理，得出用相應模糊集合表示的傳輸線路綜合異常度 輸出。
[0020] 本發明進一步的改進在于，所述步驟S5中，推理結果去模糊化的方法為：基于知 識庫中的輸入語言變量的隸屬函數，以及模糊空間的分級數，將用模糊集合表示的綜合異 常度輸出結果反模糊化成精確量，即物理-信息綜合異常度F =[匕；F2 . . ;Fn]。
[0021] 本發明進一步的改進在于，所述步驟S6中，攻擊事件判定的方法為：設定檢測閾 值為￡，取值范圍為0.2-0.8之間，若？ 1>8，則判定線路1受到了攻擊，若匕<8，則判 定線路i沒有受到攻擊。
[0022] 與現有技術相比，本發明的有益效果是：
[0023] (1)本發明充分利用智能電網中物理系統（電力網絡）和信息系統（通信網絡） 之間的強耦合性和密不可分性，通過將傳統的電力系統檢測方法和信息系統檢測方法結合 起來，利用兩者的信息進行交叉驗證，能夠有效地提高檢測精度，降低誤報率。
[0024] (2)本發明利用模糊推理系統進行最終的融合推理決策。與傳統的推理方法相比， 模糊推理的輸入和輸出關系高度靈活，可以很好地將自然語言表征的專家經驗應用于推理 決策。
[0025] (3)本發明的檢測方法是對原有的物理系統和信息系統的檢測方法的改進和提 升，在原有檢測方法的檢測結果基礎上進行分析，可以在原有系統的基礎上通過軟件升級 的方式進行部署，不需要額外的硬件開銷。
[0026] (4)本發明中物理系統檢測和信息系統檢測同時進行，由數據處理和模糊推理帶 來的運算量開銷增量很低，整體運算開銷和原來的檢測方法基本相同。通過很小的運算開 銷可以實現檢測性能的顯著提升。

【專利附圖】

【附圖說明】
[0027] 圖1為IEEE-14節點標準電力系統測試案例的結構圖。
[0028] 圖2為本發明基于物理-信息模糊推理的智能電網攻擊檢測方法整體流程圖。
[0029] 圖3為智能電網物理系統異常度分析過程流程圖。
[0030] 圖4為智能電網信息系統異常度分析過程流程圖。
[0031] 圖5為IEEE-14節點標準電力系統中物理系統異常度模糊變量的隸屬度函數圖。
[0032] 圖6為IEEE-14節點標準電力系統中信息系統異常度模糊變量的隸屬度函數圖。
[0033] 圖7為IEEE-14節點標準電力系統中模糊推理系統模糊輸出異常度的隸屬度函數 圖。
[0034] 圖8為IEEE-14節點標準電力系統中在特定輸入下進行物理-信息模糊推理得到 的模糊輸出量隸屬度函數圖。

【具體實施方式】
[0035] 下面結合附圖和實施例詳細說明本發明的實施方式。
[0036] 以IEEE-14節點標準電力系統測試案例為例說明智能電網攻擊檢測方法的仿真 實驗設定：
[0037] 圖1為IEEE-14節點標準電力系統測試案例的系統結構圖，系統包含14個節點和 20個支路，其中節點1、2、3、6、8是發電節點，節點4、5、7、9、10、11、12、13、14是負荷節點，節 點之間通過20條傳輸線路連接。利用matpower工具箱對該測試系統的電力系統進行仿真， 仿真過程中通過修改電力系統中的線路量測數據實現對線路的不良數據注入攻擊，攻擊的 注入率η定義為被攻擊線路有功功率的增加或減少量為原系統所有線路有功功率均值的η 倍。
[0038] 通過建立IDS中報警數量和威脅度的生成模型對智能電網的通信系統檢測進行 仿真。IDS中報警數量和威脅度的生成模型可表述為：
[0039] 1)正常情況下：智能電網的物理量測數據只受到量測誤差的影響，一個采樣區間 內線路上的報警數量服從均值為2的泊松分布，威脅度用均值為0. 8的負指數分布來近似， 得到的威脅度超過5 (威脅程度的取值上限）的取為5,小于5的向上取整；
[0040] 2)發生不良數據注入攻擊的情況下：信息系統中的IDS會模擬由于檢測到攻擊帶 來的異常流量，導致被攻擊線路上的報警數量增加5個，且增加的報警的威脅程度取4或5 的概率都為0. 5。
[0041] 對IEEE-14節點系統進行不良數據注入攻擊，并采用三種不同的方法進行攻擊檢 測，以對比分析檢測的效果。三種攻擊檢測方法分別為：
[0042] 1)單純基于物理系統的攻擊檢測方法：采用傳統的rN檢測方法，當標準殘差 |1^|超過閾值2.25，則認為線路1在（卜^，幻時間段內受到了攻擊。
[0043] 2)單純基于信息系統的攻擊檢測方法：采用IDS進行攻擊檢測，攻擊行為和報警 事件由實驗仿真生成。IDS檢測的效果由仿真模型參數和系統的規模所決定，不會受到攻擊 注入率的影響。
[0044] 3)基于物理-信息模糊推理的智能電網攻擊檢測方法：采用本發明提出的方法， 將物理網絡和信息網絡的檢測數據進行關聯融合，并通過模糊推理得到的系統整體異常度 Fit)將和設定閾值ε進行比較，如超過給定閾值則認為在線路i處遭到了攻擊，反之亦然。
[0045] 以下結合附圖2、3、4詳細說明本發明基于物理和信息數據融合的智能電網攻擊 檢測方法的實施方式。
[0046] 圖2是基于物理-信息模糊推理的智能電網攻擊檢測方法整體流程圖，顯示了基 于物理-信息模糊推理的智能電網攻擊檢測方法的基本框架，其具體步驟包括：
[0047] 步驟S1 :利用部署在智能電網中的電力量測設備和流量監控系統得到智能電網 的電力量測數據和設備通信流量；對得到的電力量測數據和設備通信流量分別進行異常事 件檢測，得到物理系統異常度和信息系統異常度。步驟S1包括兩個并行的部分：物理系統 異常度分析和信息系統異常度分析，兩者的計算過程是并行且相互獨立的。
[0048] 結合圖3,具體而言，步驟S1中智能電網物理系統異常度分析過程具體包括如下 步驟：
[0049] 步驟S101 :通過電力量測設備得到電力系統的量測量z，利用加權最小二乘估 計的方法對量測量z進行狀態估計，計算出電網系統狀態量的估計值? ;假定電力系統 中具有m個量測量，η個狀態量，令X = (Xp x2,. . .，χη)τ表征電力系統的狀態量，包括節 點的電壓幅值和電壓相角，ζ = (21，22，...，2"/表征系統的量測量，包括傳輸線路上的 有功功率和無功功率，e = (ep e2, . . .，em)T表征系統的量測誤差，滿足z = h(x)+e，h是 導納矩陣，由系統的結構和線路阻抗參數決定，表征由X計算z的換算函數，R為量測 誤差方差陣（對角線元素為各節點量測誤差的方差，其余元素為零）的計算公式為：

【權利要求】
1. 一種基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征在于，包括如下步 驟： 步驟S1 :利用部署在智能電網中的電力量測設備和流量監控系統得到智能電網的電 力量測數據和設備通信流量；對得到的電力量測數據和設備通信流量分別進行異常事件檢 測，得到物理系統異常度和信息系統異常度； 步驟S2 :基于電力量測設備和智能通信設備在傳輸線上的分布，將物理系統和信息系 統的異常度進行關聯融合，得到電力傳輸線路上的物理-信息異常度<C，P> ; 步驟S3 :利用知識庫，將物理-信息異常度<C，P>由精確量轉化為模糊化量，并用相應 的模糊集合來表示； 步驟S4:結合知識庫中的規則庫，利用模糊邏輯中的蘊含關系及推理規則進行物 理-信息模糊推理得出用相應模糊集合表示的電力傳輸線路上的異常度模糊化輸出； 步驟S5 :結合知識庫將異常度模糊化輸出反模糊化成精確量，得到用精確數值表示的 線路上的物理-信息綜合異常度； 步驟S6 :設定攻擊檢測閾值；若線路i的物理-信息綜合異常度超過給定檢測閾值，則 判定線路i受到了攻擊，否則判定線路i沒有受到攻擊。
2. 根據權利要求1所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征在 于，步驟S1包括兩個并行的部分：物理系統異常度分析和信息系統異常度分析。
3. 根據權利要求2所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征在 于， 所述物理系統異常度分析過程如下： 步驟S101 :通過電力量測設備得到電力系統的量測量Z，利用加權最小二乘估計的 方法對量測量z進行狀態估計，計算出電網系統狀態量的估計值i ;假定電力系統中具 有m個量測量，η個狀態量，令X = (Xp x2,. . .，χη)τ表征電力系統的狀態量，包括節點的 電壓幅值和電壓相角，ζ = (21，22，...，2"/表征系統的量測量，包括傳輸線路上的有功 功率和無功功率，e = (ep e2, . . .，em)T表征系統的量測誤差，滿足z = h(x)+e，h(x)是 導納矩陣，由系統的結構和線路阻抗參數決定，表征由X計算z的換算函數，R為量測 誤差方差陣，其中對角線元素為各節點量測誤差的方差，其余元素為零；?計算公式為：
步驟S102 :由?計算系統的量測量估計i =/!(&); 步驟S103 :計算殘，即量測量與量測量估計之差； 步驟S104:計算標準化殘差
其中D = diag[E(rrT)]為協方差矩陣的對角 陣，E(rrT)為殘差r的協方差矩陣； 步驟S105 :對rN樣本值進行z-score標準化，得到均值為0、標準差為1的石，計算公 式為》V ;其中，μ N為rN的均值，σ N為rN的標準差
表征了物 理系統的異常度，i表征電力拓撲中線路i的異常度； 所述信息系統異常度分析過程如下： 步驟S101':監控智能電網中的通信流量，對流量進行過濾分析產生報警事件，并存入 入侵檢測數據庫；報警事件的特征包括報警時間、源IP地址、目的IP地址以及威脅度，威脅 度表征事件嚴重程度的優先級屬性，取值從1到5 ; 步驟S102':假設采樣檢測周期為T，采樣時刻為t ;從入侵檢測數據庫中提取出時間 段S = (t-aT，t]內的報警事件及其相關特征，其中α是可調正整數， α越大，取樣分析 的時間段越長，一般取3到5之間；記智能電網中所有設備的IP地址數量總和為1，設備IP 地址集合表示為IP= {IPpI^，…，IPJ ;記在時間段S內產生了 k條報警事件，為目的 地址來自設備IPi的報警事件數量；記au為來自設備IPi的第j個報警事件，所有報警事 件的集合為 j =丨1^1.1，βι.2，…，，…，，氣2，…，·> 步驟S103':計算W,.y = (K /S /，1勺〇，其中qi; j為報警事件ai; j的威脅度；對wi; j 進行最大值歸一化處理得到報警事件的異常度5；:
步驟S104':將上次采樣計算得到的異常度W/通過加權滑動平均的方式引入 到本次采樣計算的結果中，加權滑動平均的遺忘因子為λ ;考慮到報警事件在后續時間上 產生的影響，假定報警事件威脅度隨著時間增長的衰減因子為β u ;計算得到本次采 樣中IPi對應設備的異常度Wi:
W = (Wi，Wi，. . .，WD表征了信息系統的異常度。
4. 根據權利要求1所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征在 于，所述步驟S2中，物理系統和信息系統的異常度進行關聯融合的方法為：利用智能電網 中每條被量測線路上部署有一個或多個通信設備，而每個設備在信息網絡中對應有一個獨 立且唯一的IP地址的特點，通過〈設備IP地址，設備所在線路編號〉映射表將物理系統和 信息系統的異常度進行關聯。
5. 根據權利要求1或4所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特 征在于，所述物理-信息異常度<C，P> = [Cp Pi ;C2, P2 . . ;Cn，Pn]，為一個矩陣，表征整個 系統通過物理信息系統數據關聯后得到的所有線路的物理-信息異常度，假設線路i處有 s臺設備，IP地址分別為見，IP2,. . .，IPS，則線路i處的信息異常度為=1>:，其中I為 /=1 來IPi對應設備的異常度；線路i處的物理異常度為6 =&；，&表征電力拓撲中線路i的 異常度；矢量〈Ci，Pi>表征線路i處的物理-信息異常度。
6. 根據權利要求1所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征在 于，所述知識庫根據經驗手動設定，包括數據庫和模糊控制規則庫兩部分，數據庫主要包括 輸入語言變量的隸屬函數，以及模糊空間的分級數；規則庫包括用模糊語言變量表示的一 系列推理規則，規則反映了經驗和知識。
7. 根據權利要求1所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征在 于，所述步驟S3中，物理-信息系統異常度模糊化的方法為：基于知識庫中的輸入語言變量 的隸屬函數，以及模糊空間的分級數，將精確量輸入<C，P>進行模糊化處理變成模糊化量 輸入，并用相應的模糊集合來表示。
8. 根據權利要求1所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征在 于，所述步驟S4中，物理信息模糊推理的方法為：將模糊化后的物理-信息異常度作為輸 入，結合知識庫中的物理-信息模糊推理規則庫，利用模糊邏輯中的蘊含關系及推理規則 進行推理，得出用相應模糊集合表示的傳輸線路綜合異常度輸出。
9. 根據權利要求1所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征在 于，所述步驟S5中，推理結果去模糊化的方法為：基于知識庫中的輸入語言變量的隸屬函 數，以及模糊空間的分級數，將用模糊集合表示的綜合異常度輸出結果反模糊化成精確量， 即物理-信息綜合異常度F =鞏；F2 ;· · · ;Fn]。
10. 根據權利要求1所述基于物理-信息模糊推理的智能電網攻擊檢測方法，其特征 在于，所述步驟S6中，攻擊事件判定的方法為：設定檢測閾值為ε，取值范圍為0.2-0. 8之 間，若Fi > ε，則判定線路i受到了攻擊，若Fi < ε，則判定線路i沒有受到攻擊。
【文檔編號】H04L12/26GK104125112SQ201410366443
【公開日】2014年10月29日 申請日期:2014年7月29日 優先權日:2014年7月29日
【發明者】管曉宏, 劉楊, 孫鴻, 劉烴, 桂宇虹, 蘇曼 申請人:西安交通大學