电网信息物理融合攻击检测方法、装置、设备及存储介质与流程

1.本发明涉及攻击检测技术领域，尤其涉及一种电网信息物理融合攻击检测方法、装置、设备及存储介质。


背景技术：

2.随着通信技术被应用到电网中以促进监视、通信和控制，当前电网已逐渐演变成为多为异构数字电网。随着电网遭到攻击事件的频繁发生，显现出数字电网会面临来自信息层与物理层协同下的攻击威胁。而该类攻击被成为信息物理融合攻击，例如，当攻击者通过物理手段打开多个断路器时，同时利用巧妙的网络攻击掩盖物理破坏使得监控和数据采集系统无法监视到该破坏。当下，电网数字化建设的高速发展使得电网面临这一新型攻击的威胁日益严重，因此电网信息物理融合攻击检测研究成为了一项重要课题。
3.当前，绝大部分针对电网信息物理融合攻击的检测方法可归结为基于特征的检测方法，该类检测方法通过模型提取各类型的攻击特征，利用攻击特征将攻击引起的攻击状态和电网正常运行状态区分开。该类方法的思路是：首先考虑各电网业务可能遭受网络攻击的攻击场景，然后进行各业务的数学建模与攻击建模，紧接着从中提取出攻击的独有特征，最后利用该特征判断电网是否处于攻击状态。
4.然而，这类基于特征检测方法往往可迁移性不高，依赖于模型的精确度，无法同时应对多种不同类型的攻击，若在实际应用中针对不同的攻击设计不同的检测规则既昂贵又效率低下。同时，信息物理融合攻击不同于常见的电网物理故障，攻击方式与手段取决于攻击者，这对于电网来说是未知的，因此提前提取已知攻击类型的特征将无法应对新出现的攻击方式。


技术实现要素：

5.本发明提供了一种电网信息物理融合攻击检测方法、装置、设备及存储介质，用于解决基于特征检测方法可迁移性不高，无法同时应对多种不同类型的攻击，导致检测准确率较低的技术问题。
6.本发明提供了一种电网信息物理融合攻击检测方法，所述电网具有多个节点；所述方法包括：
7.获取当前节点的电网基础数据、电网状态实际测量值和物理特征；
8.根据所述电网基础数据计算电网状态估计值；
9.根据所述电网状态估计值、所述电网状态实际测量值和预设稳态允许偏差计算稳态状态统计决策量；
10.当所述稳态状态统计决策量不小于预设告警阈值时，根据所述物理特征检测是否发生信息物理融合攻击。
11.可选地，所述根据所述电网状态估计值、所述电网状态实际测量值和预设稳态允许偏差计算稳态状态统计决策量的步骤，包括：
12.计算所述电网状态估计值和所述电网状态实际测量值之间的偏差；
13.根据所述偏差生成预测攻击向量；
14.根据所述预测攻击向量和预设稳态允许偏差计算稳态状态统计决策量。
15.可选地，所述电网基础数据包括节点电压与支路潮流数据；所述根据所述电网基础数据计算电网状态估计值的步骤，包括：
16.采用所述节点电压和所述支路潮流数据计算电网状态估计值。
17.可选地，还包括：
18.当所述稳态状态统计决策量小于所述预设告警阈值时，获取所述当前节点的节点编号和所述电网的节点总数；
19.判断所述节点编号是否等于所述节点总数；
20.若所述节点编号小于所述节点总数，则将下一个节点编号对应的节点作为当前节点，并返回获取所述当前节点的电网基础数据、电网状态实际测量值和物理特征的步骤。
21.可选地，还包括：
22.当所述节点编号等于所述节点总数时，将节点编号最小的节点作为当前节点，并返回获取当前节点的电网基础数据、电网装置实际测量值和物理特征的步骤。
23.可选地，所述当所述稳态状态统计决策量不小于预设告警阈值时，根据所述物理特征检测是否发生信息物理融合攻击的步骤，包括：
24.当所述稳态状态统计决策量不小于预设告警阈值时，根据所述物理特征判断是否发生物理攻击；
25.若是，判定所述电网发生信息物理融合攻击。
26.可选地，还包括：
27.当未发生物理攻击时，判定所述电网发生虚假数据注入攻击。
28.本发明提供了一种电网信息物理融合攻击检测装置，所述电网具有多个节点；所述装置包括：
29.获取模块，用于获取当前节点的电网基础数据、电网状态实际测量值和物理特征；
30.电网状态估计值计算模块，用于根据所述电网基础数据计算电网状态估计值；
31.稳态状态统计决策量计算模块，用于根据所述电网状态估计值、所述电网状态实际测量值和预设稳态允许偏差计算稳态状态统计决策量；
32.信息物理融合攻击判断模块，用于当所述稳态状态统计决策量不小于预设告警阈值时，根据所述物理特征检测是否发生信息物理融合攻击。
33.本发明提供了一种基于文本的实体识别设备，所述设备包括处理器以及存储器：
34.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
35.所述处理器用于根据所述程序代码中的指令执行如上任一项所述的电网信息物理融合攻击检测方法。
36.本发明提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行如上任一项所述的电网信息物理融合攻击检测方法。
37.从以上技术方案可以看出，本发明具有以下优点：本发明通过获取当前节点的电网基础数据、电网状态实际测量值和物理特征；根据电网基础数据计算电网状态估计值；根据电网状态估计值、电网状态实际测量值和预设稳态允许偏差计算稳态状态统计决策量；
当稳态状态统计决策量不小于预设告警阈值时，根据物理特征检测是否发生信息物理融合攻击。从而提高了对信息物理融合攻击的检测准确率。
附图说明
38.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。
39.图1为本发明实施例提供的一种电网信息物理融合攻击检测方法的步骤流程图；
40.图2为本发明另一实施例提供的一种电网信息物理融合攻击检测方法的步骤流程图；
41.图3为本发明实施例提供的一种电网信息物理融合攻击装置的结构框图。
具体实施方式
42.本发明实施例提供了一种电网信息物理融合攻击检测方法、装置、设备及存储介质，用于解决基于特征检测方法可迁移性不高，无法同时应对多种不同类型的攻击，导致检测准确率较低的技术问题。
43.为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
44.请参阅图1，图1为本发明实施例提供的一种电网信息物理融合攻击检测方法的步骤流程图。
45.本发明提供的一种电网信息物理融合攻击检测方法，电网具有多个节点；具体可以包括以下步骤：
46.步骤101，获取当前节点的电网基础数据、电网状态实际测量值和物理特征；
47.在本发明实施例中，电网基础数据可以包括节点电压(包括幅值和相角)与支路潮流数据。电网状态实际测量值为电网点前节点实际测量得到的状态变量,其中，状态变量可以包括实际测得的节点电压(包括幅值和相角)与支路潮流数据。物理特征指电网物理侧元件的状态特征，如被打开，被损坏等。
48.在进行信息物理融合攻击检测之前，可以预先获取当前节点的电网基础数据、电网状态实际测量值和物理特征。
49.步骤102，根据电网基础数据计算电网状态估计值；
50.步骤103，根据电网状态估计值、电网状态实际测量值和预设稳态允许偏差计算稳态状态统计决策量；
51.在获取电网基础数据后，可以根据电网基础数据计算当前节点的电网状态估计值，该电网状态估计值可表征当前电网是否处于稳定运行的稳态状态。接着，可以根据电网状态估计值、电网状态实际测量值和稳态允许偏差计算稳态状态统计决策量。其中，稳态状
态统计决策量用于反映电网当前是否处于稳态状态，即不受故障或攻击影响的稳定运行的状态。
52.步骤104，当稳态状态统计决策量不小于预设告警阈值时，根据物理特征检测是否发生信息物理融合攻击。
53.信息物理融合攻击是在利用物理攻击破坏电网物理侧元件使其对系统稳态造成偏差的同时利用网络攻击注入错误的测量数据从而掩盖这部分偏差使得电网运行者无法观测到的一类攻击。即针对电网的信息物理融合攻击是一种利用网络攻击掩盖对电网物理元件破坏后引起的扰动的一类攻击，如攻击者通过打开电网支路的同时注入虚假的节点测量数据从而引起电网状态观测器无法检测到的一类攻击。
54.在本发明实施例中，当稳态状态统计决策量不小于预设告警阈值时，可以判断电网当前节点发生了虚假注入网络攻击。此时，可以结合当前节点的物理特征，来判断当前节点是否发生了物理攻击，从而判断当前节点发生的攻击类型是否为信息物理融合攻击。
55.请参阅图2，图2为本发明另一实施例提供的一种电网信息物理融合攻击检测方法的步骤流程图，具体可以包括以下步骤：
56.步骤201，获取当前节点的电网基础数据、电网状态实际测量值和物理特征；
57.步骤201与步骤101相同，具体可以参见步骤101的描述，此处不作赘述。
58.步骤202，根据电网基础数据计算电网状态估计值；
59.在一个示例中，可以采用节点电压和支路潮流数据计算电网状态估计值。
60.步骤203，计算电网状态估计值和电网状态实际测量值之间的偏差；
61.步骤204，根据偏差生成预测攻击向量；
62.步骤205，根据预测攻击向量和预设稳态允许偏差计算稳态状态统计决策量；
63.在本发明实施例中，可以通过自适应累计和控制图来判断电网是否发送虚假数据注入攻击。
64.累计和控制图是一种序贯概率比检验，以历次观测的累积结果来判断生产过程中是否处于统计在控状态。由于对过程信息进行了累积，利用的信息量增多，所以累积和控制图能够提高过程偏移的检测灵敏度。但由于实际应用过程中偏移范围无法提前获知，因而，累计和控制图的参数设定将无法提前设定，通常只能依赖于人工经验设置。而自适应累计和控制图是在累计和控制图的基础上利用自适应技术对累计和控制图的参数设置进行自适应设置和调整，即，自适应累计和控制图会在偏移发生之前预测偏移，并在偏移发生之后根据实际偏移和预测偏移之间的大小不断调整累计和控制图的参数设置。在电网实际运行过程中，无论是破坏电网物理侧元件对系统稳态造成的偏差，还是电网信息侧遭受网络攻击而引起的系统稳态偏差，亦或者两者协同作用下的信息物理融合攻击，作为电网运行方都无法提前预知，因此使用常见的累计和控制图设计方案无法提前设置参数而将无法有效的应对攻击。而使用自适应累计和控制图的攻击检测方案将更为有效，因此其能提前根据稳态下的电网状态提取预知电网稳态的允许偏移范围，从而可以提前设置并调整累计和控制图的参数。
65.首先，设置自适应累计和控制图的初始化参数，包括用于评估电网状态的电网初始状态变量、用于预测偏差的自适应预测器初始化参数、用于自适应调节控制图参数设置的指数加权平均统计系统的初始值和用于告警的阈值，同时将统计决策量置零，并统计迭
代次数。其中，自适应的指数加权平均统计是一种任一期的指数平滑值都是本期实际观察值与前一期指数平均统计值的加权平均的时间序列分析预测法。通过利用自适应指数加权平均统计不断更新累计和控制图的参数设置，可以实现对不同攻击引起的电网状态偏移所需的控制图参数进行自适应地调整。
66.接着根据包括当前节点的节点电压与支路潮流数据的电网基础数据，利用节点电压和支路潮流数据基于直流模型估计电网的电网状态估计值。首先，根据当前电网拓扑信息生成系统测量矩阵；然后，根据最小二乘法不断迭代计算电网状态估计值；最后直到估计值小于预定设计的阈值，则最后迭代计算值为当前电网状态估计值。
67.在计算出每次迭代过程中的电网状态估计值后，可以计算电网状态估计值和电网状态实际测量值之间的偏差，根据偏差的大小来不断更新指数加权平均统计系统以确保自适应累计和控制图可以准确跟踪偏差和对电网稳态范围，计算每次迭代过程中的预测攻击向量，将预测攻击向量与稳态允许偏差进行比较后计算当前迭代的稳态状态统计决策量。该稳态状态统计决策量可以反映电网是否处于稳态状态。
68.步骤206，当稳态状态统计决策量不小于预设告警阈值时，根据物理特征检测是否发生信息物理融合攻击。
69.在一个示例中，步骤206可以包括以下子步骤：
70.s61，当稳态状态统计决策量不小于预设告警阈值时，根据物理特征判断是否发生物理攻击；
71.s62，若是，判定电网发生信息物理融合攻击；
72.s63，当未发生物理攻击时，判定电网发生虚假数据注入攻击。
73.在实际攻击过程中，攻击者是无法入侵到电网的所有节点并注入虚假数据，这意味着攻击者只能采取能躲过状态观测器检测但无法掩盖所有节点的扰动的攻击方案，因而利用自适应累计和控制图算法可对电网遭受虚假数据注入相关的网络攻击进行检测。具体地，可通过将稳态状态统计决策量与预设告警阈值进行比较，来判断电网是否存在虚假数据注入的网络攻击，若稳态状态统计决策量大于预设告警阈值，则表征电网存在虚假数据注入形式的网络攻击。需要说明的是，告警阈值可以根据实际电网结构进行设定，本发明实施例对此不作具体限制。
74.在确定电网存在虚假数据注入形式的网络攻击时，可以结合物理特征判断刚网络攻击是否伴随着物理攻击，所发生的针对电网的攻击是否为信息物理融合攻击。
75.在实际应用中，由于针对电网的信息物理融合攻击是一种利用网络攻击掩盖对电网物理元件破坏后引起的扰动的一类攻击，因此，当攻击者采取信息物理融合攻击策略时，相应的协同注入的虚假数据需要满足特定的物理特征限制，即信息物理融合攻击所注入的虚假数据需要根据其攻击的物理元件的不同以特定的幅值注入到特征特定的节点上。因此，根据发生告警的节点和相应的物理特征不断地累积变化，与此同时累积每次电网状态估计值和电网状态实际测量值之间的偏差，通过判断累积偏差是否大于阈值以此判断是否发生物理攻击，以区分所发生的针对电网的攻击是纯粹的虚假数据注入攻击还是信息物理融合攻击。
76.在本发明实施例中，步骤206之后，还可以包括：
77.当稳态状态统计决策量小于预设告警阈值时，获取当前节点的节点编号和电网的
节点总数；
78.判断节点编号是否等于节点总数；
79.若节点编号小于节点总数，则将下一个节点编号对应的节点作为当前节点，并返回获取当前节点的电网基础数据、电网状态实际测量值和物理特征的步骤；
80.当节点编号等于节点总数时，将节点编号最小的节点作为当前节点，并返回获取当前节点的电网基础数据、电网装置实际测量值和物理特征的步骤。
81.在具体实现中，当稳态状态统计决策量小于预设告警阈值时，表征当前节点并未受到网络攻击。此时可以将下一个节点编号对应的节点作为当前节点，判断该节点是否受到网络攻击，直接遍历完所有的节点。当遍历完所有节点时，可以进行下一次迭代，重新从所有节点中节点编号最小的节点开始遍历，判断是否受到攻击。
82.本发明通过获取当前节点的电网基础数据、电网状态实际测量值和物理特征；根据电网基础数据计算电网状态估计值；根据电网状态估计值、电网状态实际测量值和预设稳态允许偏差计算稳态状态统计决策量；当稳态状态统计决策量不小于预设告警阈值时，根据物理特征检测是否发生信息物理融合攻击。从而提高了对信息物理融合攻击的检测准确率。
83.请参阅图3，图3为本发明实施例提供的一种电网信息物理融合攻击装置的结构框图。
84.本发明实施例提供了一种电网信息物理融合攻击检测装置，电网具有多个节点；装置包括：
85.获取模块301，用于获取当前节点的电网基础数据、电网状态实际测量值和物理特征；
86.电网状态估计值计算模块302，用于根据电网基础数据计算电网状态估计值；
87.稳态状态统计决策量计算模块303，用于根据电网状态估计值、电网状态实际测量值和预设稳态允许偏差计算稳态状态统计决策量；
88.信息物理融合攻击判断模块304，用于当稳态状态统计决策量不小于预设告警阈值时，根据物理特征检测是否发生信息物理融合攻击。
89.在本发明实施例中，稳态状态统计决策量计算模块303，包括：
90.偏差计算子模块，用于计算电网状态估计值和电网状态实际测量值之间的偏差；
91.预测攻击向量生成子模块，用于根据偏差生成预测攻击向量；
92.稳态状态统计决策量计算子模块，用于根据预测攻击向量和预设稳态允许偏差计算稳态状态统计决策量。
93.在本发明实施例中，电网基础数据包括节点电压与支路潮流数据；电网状态估计值计算模块302，包括：
94.电网状态估计值计算子模块，用于采用节点电压和支路潮流数据计算电网状态估计值。
95.在本发明实施例中，还包括：
96.节点边和和节点总数获取模块，用于当稳态状态统计决策量小于预设告警阈值时，获取当前节点的节点编号和电网的节点总数；
97.第一判断模块，用于判断节点编号是否等于节点总数；
98.第一返回模块，用于若节点编号小于节点总数，则将下一个节点编号对应的节点作为当前节点，并返回获取当前节点的电网基础数据、电网状态实际测量值和物理特征的步骤。
99.在本发明实施例中，还包括：
100.第二返回模块，用于当节点编号等于节点总数时，将节点编号最小的节点作为当前节点，并返回获取当前节点的电网基础数据、电网装置实际测量值和物理特征的步骤。
101.在本发明实施例中，信息物理融合攻击判断模块304，包括：
102.物理攻击判断子模块，用于当稳态状态统计决策量不小于预设告警阈值时，根据物理特征判断是否发生物理攻击；
103.信息物理融合攻击判定子模块，用于若是，判定电网发生信息物理融合攻击。
104.在本发明实施例中，信息物理融合攻击判断模块304，还包括：
105.虚假数据注入攻击判定子模块，用于当未发生物理攻击时，判定电网发生虚假数据注入攻击。
106.本发明实施例还提供了一种基于文本的实体识别设备，设备包括处理器以及存储器：
107.存储器用于存储程序代码，并将程序代码传输给处理器；
108.处理器用于根据程序代码中的指令执行本发明实施例的电网信息物理融合攻击检测方法。
109.本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质用于存储程序代码，程序代码用于执行本发明实施例的电网信息物理融合攻击检测方法。
110.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
111.本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
112.本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
113.本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
114.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方
框或多个方框中指定的功能。
115.这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
116.尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
117.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
118.以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。