基于物理-信息模糊推理的智能电网攻击检测方法

基于物理-信息模糊推理的智能电网攻击检测方法
【专利摘要】本发明提出了一种基于物理-信息模糊推理的智能电网攻击检测方法；该方法利用智能电网物理系统和信息系统紧密耦合的特性，通过分析智能电网电力量测数据与网络通信流量，利用物理-信息模糊推理的方法来判定攻击行为，能显著降低检测的误报率，改善智能电网攻击检测的效果。
【专利说明】基于物理-信息模糊推理的智能电网攻击检测方法

【技术领域】：
[0001] 本发明属于智能电网攻击检测【技术领域】，特别涉及一种基于物理-信息模糊推理 的智能电网攻击检测方法。

【背景技术】：
[0002] 智能电网将先进的传感量测技术、信息通信技术、自动控制技术、新能源技术与电 网基础设施高度集成，支持能量和数据在电网中的双向流动。先进的信息网络显著提升了 电力网络的可观性、可控性、实时性和自愈性；但与此同时，信息网络中的各种漏洞和攻击 威胁使得攻击者有更多的途径渗透和入侵到电力系统。典型的网络攻击方式如拒绝服务攻 击、数据窃听、中间人攻击、流量重放攻击等，在智能电网等物理信息系统中同样有效且危 害更大。传统电力网络中，攻击者主要通过破坏电网的物理基础设施实现对电网的破坏和 干扰；在智能电网中，攻击者可以通过信息网络入侵并攻击智能电网中的设备，通过篡改电 网的数据，导致电网的状态监控和决策出现失误。这种攻击方式通过信息网络渗透到物理 网络，具有同时与物理系统和信息系统有关联的特点。
[0003] 传统电网安全检测技术基于电力系统的物理规律，利用状态估计和RN检测等方 法对不同节点的量测数据进行交叉验证，检测和辨识不良数据。但是由于这些方法基于电 力系统的物理规律，需要对实际系统的各类量测误差、传输错误等有一定容忍能力，因此对 局部的小规模伪造数据很难实现精确检测。在智能电网中，攻击者通过精心设计攻击场景， 构造出满足物理规律约束或在系统量测误差容忍程度范围内的错误数据来逃避系统的异 常检测，导致传统电网安全监控技术在检测精度、检测可信度、计算复杂度等方面都面临巨 大挑战。
[0004] 针对智能电网中信息安全技术引入后带来的安全问题，人们提出利用信息安全检 测方法来保护智能电网。然而，信息网络安全技术不考虑物理系统自身的价值，难以评估威 胁的严重程度；同时检测方法大多误报率很高，从海量的异常报警中发现实际的攻击事件 一直是网络安全领域的难点问题之一。
[0005] 考虑到智能电网中物理系统和信息系统的强关联性，单纯从物理系统或信息系统 角度考虑进行攻击检测的效果都具有明显的局限性。


【发明内容】
：
[0006] 为了克服上述现有技术的缺点，本发明的目的在于提供一种基于物理-信息模糊 推理的智能电网攻击检测方法，以克服上述单独从物理系统或信息系统进行智能电网攻击 检测的局限性，能够同时考虑到攻击对智能电网中的物理系统和信息系统造成的影响，利 用物理系统和信息系统的检测信息互补结合，交叉验证，通过尽量低的运算代价得到比单 纯从物理系统或信息系统进行检测更好的检测精度。
[0007] 为了实现上述目的，本发明采用的技术方案是：
[0008] -种基于物理-信息模糊推理的智能电网攻击检测方法，包括如下步骤：
[0009] 步骤SI :利用部署在智能电网中的电力量测设备和流量监控系统得到智能电网 的电力量测数据和设备通信流量；对得到的电力量测数据和设备通信流量分别进行异常事 件检测，得到物理系统异常度和信息系统异常度；
[0010] 步骤S2 :基于电力量测设备和智能通信设备在传输线上的分布，将物理系统和信 息系统的异常度进行关联融合，得到电力传输线路上的物理-信息异常度<C，P> ;
[0011] 步骤S3 :利用知识库，将物理-信息异常度<C，P>由精确量转化为模糊化量，并用 相应的模糊集合来表示；
[0012] 步骤S4 :结合知识库中的规则库，利用模糊逻辑中的蕴含关系及推理规则进行物 理-信息模糊推理得出用相应模糊集合表示的电力传输线路上的异常度模糊化输出；
[0013] 步骤S5 :结合知识库将异常度模糊化输出反模糊化成精确量，得到用精确数值表 示的线路上的物理-信息综合异常度F ;
[0014] 步骤S6 :设定攻击检测阈值；若线路i的物理-信息综合异常度超过给定检测阈 值，则判定线路i受到了攻击，否则判定线路i没有受到攻击。
[0015] 本发明进一步的改进在于，步骤S1包括两个并行的部分：物理系统异常度分析和 信息系统异常度分析。
[0016] 本发明进一步的改进在于，所述步骤S2中，物理系统和信息系统的异常度进行关 联融合的方法为：利用智能电网中每条被量测线路上部署有一个或多个通信设备，而每个 设备在信息网络中对应有一个独立且唯一的IP地址的特点，通过〈设备IP地址，设备所在 线路编号〉映射表将物理系统和信息系统的异常度进行关联。
[0017] 本发明进一步的改进在于，所述知识库根据经验手动设定，包括数据库和模糊控 制规则库两部分，数据库主要包括输入语言变量的隶属函数，以及模糊空间的分级数；规则 库包括用模糊语言变量表示的一系列推理规则，规则反映了经验和知识。
[0018] 本发明进一步的改进在于，所述步骤S3中，物理-信息系统异常度模糊化的方 法为：基于知识库中的输入语言变量的隶属函数，以及模糊空间的分级数，将精确量输入 <C，P>进行模糊化处理变成模糊化量输入，并用相应的模糊集合来表示。
[0019] 本发明进一步的改进在于，所述步骤S4中，物理信息模糊推理的方法为：将模糊 化后的物理-信息异常度作为输入，结合知识库中的物理-信息模糊推理规则库，利用模糊 逻辑中的蕴含关系及推理规则进行推理，得出用相应模糊集合表示的传输线路综合异常度 输出。
[0020] 本发明进一步的改进在于，所述步骤S5中，推理结果去模糊化的方法为：基于知 识库中的输入语言变量的隶属函数，以及模糊空间的分级数，将用模糊集合表示的综合异 常度输出结果反模糊化成精确量，即物理-信息综合异常度F =[匕；F2 . . ;Fn]。
[0021] 本发明进一步的改进在于，所述步骤S6中，攻击事件判定的方法为：设定检测阈 值为￡，取值范围为0.2-0.8之间，若？ 1>8，则判定线路1受到了攻击，若匕<8，则判 定线路i没有受到攻击。
[0022] 与现有技术相比，本发明的有益效果是：
[0023] (1)本发明充分利用智能电网中物理系统（电力网络）和信息系统（通信网络） 之间的强耦合性和密不可分性，通过将传统的电力系统检测方法和信息系统检测方法结合 起来，利用两者的信息进行交叉验证，能够有效地提高检测精度，降低误报率。
[0024] (2)本发明利用模糊推理系统进行最终的融合推理决策。与传统的推理方法相比， 模糊推理的输入和输出关系高度灵活，可以很好地将自然语言表征的专家经验应用于推理 决策。
[0025] (3)本发明的检测方法是对原有的物理系统和信息系统的检测方法的改进和提 升，在原有检测方法的检测结果基础上进行分析，可以在原有系统的基础上通过软件升级 的方式进行部署，不需要额外的硬件开销。
[0026] (4)本发明中物理系统检测和信息系统检测同时进行，由数据处理和模糊推理带 来的运算量开销增量很低，整体运算开销和原来的检测方法基本相同。通过很小的运算开 销可以实现检测性能的显著提升。

【专利附图】

【附图说明】
[0027] 图1为IEEE-14节点标准电力系统测试案例的结构图。
[0028] 图2为本发明基于物理-信息模糊推理的智能电网攻击检测方法整体流程图。
[0029] 图3为智能电网物理系统异常度分析过程流程图。
[0030] 图4为智能电网信息系统异常度分析过程流程图。
[0031] 图5为IEEE-14节点标准电力系统中物理系统异常度模糊变量的隶属度函数图。
[0032] 图6为IEEE-14节点标准电力系统中信息系统异常度模糊变量的隶属度函数图。
[0033] 图7为IEEE-14节点标准电力系统中模糊推理系统模糊输出异常度的隶属度函数 图。
[0034] 图8为IEEE-14节点标准电力系统中在特定输入下进行物理-信息模糊推理得到 的模糊输出量隶属度函数图。

【具体实施方式】
[0035] 下面结合附图和实施例详细说明本发明的实施方式。
[0036] 以IEEE-14节点标准电力系统测试案例为例说明智能电网攻击检测方法的仿真 实验设定：
[0037] 图1为IEEE-14节点标准电力系统测试案例的系统结构图，系统包含14个节点和 20个支路，其中节点1、2、3、6、8是发电节点，节点4、5、7、9、10、11、12、13、14是负荷节点，节 点之间通过20条传输线路连接。利用matpower工具箱对该测试系统的电力系统进行仿真， 仿真过程中通过修改电力系统中的线路量测数据实现对线路的不良数据注入攻击，攻击的 注入率η定义为被攻击线路有功功率的增加或减少量为原系统所有线路有功功率均值的η 倍。
[0038] 通过建立IDS中报警数量和威胁度的生成模型对智能电网的通信系统检测进行 仿真。IDS中报警数量和威胁度的生成模型可表述为：
[0039] 1)正常情况下：智能电网的物理量测数据只受到量测误差的影响，一个采样区间 内线路上的报警数量服从均值为2的泊松分布，威胁度用均值为0. 8的负指数分布来近似， 得到的威胁度超过5 (威胁程度的取值上限）的取为5,小于5的向上取整；
[0040] 2)发生不良数据注入攻击的情况下：信息系统中的IDS会模拟由于检测到攻击带 来的异常流量，导致被攻击线路上的报警数量增加5个，且增加的报警的威胁程度取4或5 的概率都为0. 5。
[0041] 对IEEE-14节点系统进行不良数据注入攻击，并采用三种不同的方法进行攻击检 测，以对比分析检测的效果。三种攻击检测方法分别为：
[0042] 1)单纯基于物理系统的攻击检测方法：采用传统的rN检测方法，当标准残差 |1^|超过阈值2.25，则认为线路1在（卜^，幻时间段内受到了攻击。
[0043] 2)单纯基于信息系统的攻击检测方法：采用IDS进行攻击检测，攻击行为和报警 事件由实验仿真生成。IDS检测的效果由仿真模型参数和系统的规模所决定，不会受到攻击 注入率的影响。
[0044] 3)基于物理-信息模糊推理的智能电网攻击检测方法：采用本发明提出的方法， 将物理网络和信息网络的检测数据进行关联融合，并通过模糊推理得到的系统整体异常度 Fit)将和设定阈值ε进行比较，如超过给定阈值则认为在线路i处遭到了攻击，反之亦然。
[0045] 以下结合附图2、3、4详细说明本发明基于物理和信息数据融合的智能电网攻击 检测方法的实施方式。
[0046] 图2是基于物理-信息模糊推理的智能电网攻击检测方法整体流程图，显示了基 于物理-信息模糊推理的智能电网攻击检测方法的基本框架，其具体步骤包括：
[0047] 步骤S1 :利用部署在智能电网中的电力量测设备和流量监控系统得到智能电网 的电力量测数据和设备通信流量；对得到的电力量测数据和设备通信流量分别进行异常事 件检测，得到物理系统异常度和信息系统异常度。步骤S1包括两个并行的部分：物理系统 异常度分析和信息系统异常度分析，两者的计算过程是并行且相互独立的。
[0048] 结合图3,具体而言，步骤S1中智能电网物理系统异常度分析过程具体包括如下 步骤：
[0049] 步骤S101 :通过电力量测设备得到电力系统的量测量z，利用加权最小二乘估 计的方法对量测量z进行状态估计，计算出电网系统状态量的估计值? ;假定电力系统 中具有m个量测量，η个状态量，令X = (Xp x2,. . .，χη)τ表征电力系统的状态量，包括节 点的电压幅值和电压相角，ζ = (21，22，...，2"/表征系统的量测量，包括传输线路上的 有功功率和无功功率，e = (ep e2, . . .，em)T表征系统的量测误差，满足z = h(x)+e，h是 导纳矩阵，由系统的结构和线路阻抗参数决定，表征由X计算z的换算函数，R为量测 误差方差阵（对角线元素为各节点量测误差的方差，其余元素为零）的计算公式为：

【权利要求】
1. 一种基于物理-信息模糊推理的智能电网攻击检测方法，其特征在于，包括如下步 骤： 步骤S1 :利用部署在智能电网中的电力量测设备和流量监控系统得到智能电网的电 力量测数据和设备通信流量；对得到的电力量测数据和设备通信流量分别进行异常事件检 测，得到物理系统异常度和信息系统异常度； 步骤S2 :基于电力量测设备和智能通信设备在传输线上的分布，将物理系统和信息系 统的异常度进行关联融合，得到电力传输线路上的物理-信息异常度<C，P> ; 步骤S3 :利用知识库，将物理-信息异常度<C，P>由精确量转化为模糊化量，并用相应 的模糊集合来表示； 步骤S4:结合知识库中的规则库，利用模糊逻辑中的蕴含关系及推理规则进行物 理-信息模糊推理得出用相应模糊集合表示的电力传输线路上的异常度模糊化输出； 步骤S5 :结合知识库将异常度模糊化输出反模糊化成精确量，得到用精确数值表示的 线路上的物理-信息综合异常度； 步骤S6 :设定攻击检测阈值；若线路i的物理-信息综合异常度超过给定检测阈值，则 判定线路i受到了攻击，否则判定线路i没有受到攻击。
2. 根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在 于，步骤S1包括两个并行的部分：物理系统异常度分析和信息系统异常度分析。
3. 根据权利要求2所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在 于， 所述物理系统异常度分析过程如下： 步骤S101 :通过电力量测设备得到电力系统的量测量Z，利用加权最小二乘估计的 方法对量测量z进行状态估计，计算出电网系统状态量的估计值i ;假定电力系统中具 有m个量测量，η个状态量，令X = (Xp x2,. . .，χη)τ表征电力系统的状态量，包括节点的 电压幅值和电压相角，ζ = (21，22，...，2"/表征系统的量测量，包括传输线路上的有功 功率和无功功率，e = (ep e2, . . .，em)T表征系统的量测误差，满足z = h(x)+e，h(x)是 导纳矩阵，由系统的结构和线路阻抗参数决定，表征由X计算z的换算函数，R为量测 误差方差阵，其中对角线元素为各节点量测误差的方差，其余元素为零；?计算公式为：
步骤S102 :由?计算系统的量测量估计i =/!(&); 步骤S103 :计算残，即量测量与量测量估计之差； 步骤S104:计算标准化残差
其中D = diag[E(rrT)]为协方差矩阵的对角 阵，E(rrT)为残差r的协方差矩阵； 步骤S105 :对rN样本值进行z-score标准化，得到均值为0、标准差为1的石，计算公 式为》V ;其中，μ N为rN的均值，σ N为rN的标准差
表征了物 理系统的异常度，i表征电力拓扑中线路i的异常度； 所述信息系统异常度分析过程如下： 步骤S101':监控智能电网中的通信流量，对流量进行过滤分析产生报警事件，并存入 入侵检测数据库；报警事件的特征包括报警时间、源IP地址、目的IP地址以及威胁度，威胁 度表征事件严重程度的优先级属性，取值从1到5 ; 步骤S102':假设采样检测周期为T，采样时刻为t ;从入侵检测数据库中提取出时间 段S = (t-aT，t]内的报警事件及其相关特征，其中α是可调正整数， α越大，取样分析 的时间段越长，一般取3到5之间；记智能电网中所有设备的IP地址数量总和为1，设备IP 地址集合表示为IP= {IPpI^，…，IPJ ;记在时间段S内产生了 k条报警事件，为目的 地址来自设备IPi的报警事件数量；记au为来自设备IPi的第j个报警事件，所有报警事 件的集合为 j =丨1^1.1，βι.2，…，，…，，气2，…，·> 步骤S103':计算W,.y = (K /S /，1勺〇，其中qi; j为报警事件ai; j的威胁度；对wi; j 进行最大值归一化处理得到报警事件的异常度5；:
步骤S104':将上次采样计算得到的异常度W/通过加权滑动平均的方式引入 到本次采样计算的结果中，加权滑动平均的遗忘因子为λ ;考虑到报警事件在后续时间上 产生的影响，假定报警事件威胁度随着时间增长的衰减因子为β u ;计算得到本次采 样中IPi对应设备的异常度Wi:
W = (Wi，Wi，. . .，WD表征了信息系统的异常度。
4. 根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在 于，所述步骤S2中，物理系统和信息系统的异常度进行关联融合的方法为：利用智能电网 中每条被量测线路上部署有一个或多个通信设备，而每个设备在信息网络中对应有一个独 立且唯一的IP地址的特点，通过〈设备IP地址，设备所在线路编号〉映射表将物理系统和 信息系统的异常度进行关联。
5. 根据权利要求1或4所述基于物理-信息模糊推理的智能电网攻击检测方法，其特 征在于，所述物理-信息异常度<C，P> = [Cp Pi ;C2, P2 . . ;Cn，Pn]，为一个矩阵，表征整个 系统通过物理信息系统数据关联后得到的所有线路的物理-信息异常度，假设线路i处有 s台设备，IP地址分别为见，IP2,. . .，IPS，则线路i处的信息异常度为=1>:，其中I为 /=1 来IPi对应设备的异常度；线路i处的物理异常度为6 =&；，&表征电力拓扑中线路i的 异常度；矢量〈Ci，Pi>表征线路i处的物理-信息异常度。
6. 根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在 于，所述知识库根据经验手动设定，包括数据库和模糊控制规则库两部分，数据库主要包括 输入语言变量的隶属函数，以及模糊空间的分级数；规则库包括用模糊语言变量表示的一 系列推理规则，规则反映了经验和知识。
7. 根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在 于，所述步骤S3中，物理-信息系统异常度模糊化的方法为：基于知识库中的输入语言变量 的隶属函数，以及模糊空间的分级数，将精确量输入<C，P>进行模糊化处理变成模糊化量 输入，并用相应的模糊集合来表示。
8. 根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在 于，所述步骤S4中，物理信息模糊推理的方法为：将模糊化后的物理-信息异常度作为输 入，结合知识库中的物理-信息模糊推理规则库，利用模糊逻辑中的蕴含关系及推理规则 进行推理，得出用相应模糊集合表示的传输线路综合异常度输出。
9. 根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征在 于，所述步骤S5中，推理结果去模糊化的方法为：基于知识库中的输入语言变量的隶属函 数，以及模糊空间的分级数，将用模糊集合表示的综合异常度输出结果反模糊化成精确量， 即物理-信息综合异常度F =巩；F2 ;· · · ;Fn]。
10. 根据权利要求1所述基于物理-信息模糊推理的智能电网攻击检测方法，其特征 在于，所述步骤S6中，攻击事件判定的方法为：设定检测阈值为ε，取值范围为0.2-0. 8之 间，若Fi > ε，则判定线路i受到了攻击，若Fi < ε，则判定线路i没有受到攻击。
【文档编号】H04L12/26GK104125112SQ201410366443
【公开日】2014年10月29日 申请日期:2014年7月29日 优先权日:2014年7月29日
【发明者】管晓宏, 刘杨, 孙鸿, 刘烃, 桂宇虹, 苏曼 申请人:西安交通大学