一种基于热负荷非侵入式检测建模的IES攻击检测方法

本发明涉及综合能源，具体涉及一种基于热负荷非侵入式检测建模的ies攻击检测方法。

背景技术：

1、综合能源系统(ies)通过电、热、气等多种能源的多能源互补和梯级利用，提高能源利用效率，减少环境污染。先进的信息通信技术(ict)对于实现工业信息系统安全、高效、清洁、灵活运行，促进工业信息系统网络系统与物理系统深度耦合起着至关重要的作用。然而，各种能源系统及其配套信息系统之间的耦合增加了系统的复杂性，引入了更多的网络漏洞点，给ies的安全高效运行带来了更多的网络安全挑战。

2、近年来，由于网络攻击导致的能源系统故障时有发生。因此，迫切需要研究网络威胁对ies运营的影响，特别是网络攻击从一个系统到另一个系统的级联效应。

3、现有的异常检测方法可按照辨识依据分为基于偏差的检测和基于特征的检测方法。其中，基于偏差的方法通常根据防御的目标系统选择一个或多个与攻击强相关的变量，当检测到运行中这些变量值偏离正常范围过大时认为出现攻击。基于特征的检测方法通过物理机理分析或人工智能方法，提取系统正常运行和受攻击时的特征,在检测中通过比对特征判断是否出现攻击。

技术实现思路

1、针对现有技术的不足，本发明提出一种基于热负荷非侵入式检测建模的ies攻击检测方法。

2、一种基于热负荷非侵入式检测建模的ies攻击检测方法，具体包括以下步骤：

3、步骤1：针对电热综合能源系统热网存在的热惯性，构建负荷重分配攻击模型；

4、所述建立负荷重分配攻击模型，具体为：

5、室内温度设定点攻击，基于室内温度设定点的攻击是一种针对室内温度实测值的hlr攻击，它通过篡改室内温度与室内设定点温度之间的不匹配，诱导供暖系统持续向热负荷提供不适当的电力：

6、

7、其中，e为常数，为室内温度，t为时间，γa为攻击时间区间，为室内温度设定值，λa1为攻击参数，a1为攻击参数，t0为攻击开始时刻；

8、步骤2：在步骤1构建负荷重分配攻击模型的基础上，采用非侵入式检测模型，在负荷侧建立散热器模型和楼宇存储散热模型双模型，检测室温状态矩阵放大攻击偏差；

9、步骤2.1：建立负荷侧散热器模型；

10、对散热器进行建模分析，热流体能量方程为：

11、

12、

13、其中，ch为热流体热容，th,i为入水口温度，th,e为出水口温度，ah为流体与散热器接触面积，hh为传热系数，th,m为热流体平均温度，tw为有效壁温，t为时间；

14、壁能方程：

15、

16、其中，uf为翅总散热系数，af,b为散热片有效面积，tf为有效翅片面积，cw为管壁热容；

17、散热片面积远大于管壁面积，只考虑散热片面积，散热片能量方程为：

18、

19、其中，hc为冷流体传热系数，ac为冷流体有效面积，tc,m为冷流体平均温度，cf为翅片热容；

20、对于热交换器内的冷热流体温度，假设为线性分布，冷流体能量方程为：

21、

22、其中，cc为冷流体热容，tc,i为冷流体初始温度；

23、步骤2.2：建立楼宇存储散热模型；

24、对建筑传热进行建模分析，屋内散失掉的热量为：

25、qwh＝s1u1(tc,i-tout)(1+x1)(1+x2)

26、qch＝s2u2(tc,i-tout)(1+x1)(1+x2)

27、qj＝c1m1(tc,i-tout)

28、其中，qwh为围护散热功率，s1为围护面积，u1为围护传热系数，tout为室外温度，x1为楼宇朝向修正系数，x2为楼层修正系数，qch为窗户散热功率，s2为窗户面积，u2为窗户传热系数，qj为室内外气体交换散热热量，c1为空气热容，m1为室内外空气单位时间交换质量；

29、墙体和室内空气存储热量为：

30、

31、qt＝c1m3tc,i

32、其中，qq墙体存储热量，c2为墙体热容，m2为墙体质量，qt空气存储热量，c1为空气热容，m3为空气质量；

33、传入屋内热量为：

34、qr＝cm4(th,i-th,e)

35、其中，qr为散热器传入室内热量，c为水的比热容，m4为水质量流量；

36、输入到室内的热量与室内散失的热量差值：

37、δq＝qr-qwh-qch-qj-δ(qq+qt)

38、每一时刻的状态矩阵数据包含输入到室内的热量与室内散失的热量差值、入水口温度、出水口温度、室外温度；

39、步骤3：通过滑动窗口进行状态矩阵相似日匹配的方法进行状态预测，将受到攻击被污染的状态矩阵用预测状态矩阵进行替换；

40、步骤3.1：在综合能源正常运行之下每时每刻都会产生状态数据并将数据存储起来作为历史数据库，通过多重匹配在历史数据库中进行最相似度矩阵的寻找；

41、通过多重状态预测方法，将构建的历史状态量按时间顺序排列，构成一个q行p列多维时间序列矩阵tq×p；其中q代表节点状态量个数，p代表状态量采集点个数；tq×p中l组连续的状态量采集点的集合作为电网的状态模型，表征电网各节点状态量随时间的变化趋势；其中l代表时间窗口长度，其中状态量x均为q行1列矩阵；多维时间序列是指观测对象的一组指标在同一时间轴上各时刻获得的一系列观测值，并按照时间序列排列而成的数字集合；

42、在历史数据库中，假设时刻k下(xv)q×l为当前状态矩阵，令与当前状态矩阵相邻的矩阵为(x1)q×l；以(x1)q×l为基准，在滑动间隔长度为w，时间窗口长度的前提l下，将(x1)q×l沿时间轴逆向滑动，得到第j个时间窗口下状态矩阵为xj＝[xk-2l-w(j-1)+1,xk-2l-w(j-1)+2,…，xk-l-w(j-1)]式中表示小于等于所能取得的最大整数；

43、通过滑动时间窗口建模，将离散的时间序列划分成多个q行l列的历史状态矩阵的集合，即一般而言，时间窗口长度l大于滑动间隔长度w；在滑动时间窗口模型下，多重匹配状态预测是指从历史状态矩阵x中寻找与当前状态矩阵相似度最高的1个状态矩阵，其跟随状态矩阵与的跟随状态矩阵具有相同的变化趋势，以作为状态预测结果；

44、步骤3.1.1：基于相似性分析对当前时刻状态量进行检测；

45、相似性分析方面，结合电网状态量实际情况，基于皮尔森相关系数思想，提出适用于热网的相似度量指标；选取历史数据库中任意两个状态矩阵a′＝[a′]q×l和b′＝[b′]q×l，相似度量指标定义如下：

46、

47、式中：a′和b′表示两个历史矩阵中q行l列状态矩阵；

48、步骤3.1.2：对于相似度分析得到的状态矩阵集，采用密度空间聚类算法dbscan获取状态矩阵的最优匹配结果；dbscan法实质上是将样本聚类为同簇间均为密度相连点，不同簇间不相连；选用马氏距离作为聚类度量指标，基于dbscan得到的结果得到k个聚类簇，各聚类簇中心点c＝{c1,c2,…,ck}满足的条件如下式所示，即保证聚类簇中心点与该类簇中其他状态矩阵的马氏距离和最小；

49、

50、式中：rk为第k类簇中状态矩阵样本数；ut为状态矩阵；m(ck)为第类簇中心点马氏距离和；

51、聚类分析的精确匹配通过比较当前时刻状态矩阵(xv)q×l与各聚类中心状态矩阵的差异度，选取差异度最小的一个状态矩阵作为匹配最终结果来实现；

52、步骤3.1.3：为衡量两个状态矩阵之间状态量的综合差别，采用差异度指标对状态矩阵进行对比衡量；差异度通过矩阵之间的特征向量与特征趋势距离结果综合进行评判；

53、对于一个状态矩阵xq×l，设特征向量f为(fx,fy)，表示热网状态矩阵中某时刻点向量与状态矩阵平均值向量的最大、最小差值；设状态矩阵某时刻点向量与状态矩阵平均值之差为c1×l，则：

54、

55、其中xi(tj)表示在时刻点tj，第i个状态量对应的数值；特征向量f表示为：

56、f＝(fx,fy)＝(max(c)1×l,min(c)1×l)

57、对于一个状态矩阵cq×l，其特征趋势距离为其二范数d，表达式为：

58、

59、对于任意一个状态矩阵，均通过特征向量与特征趋势距离构成的二元组g＝(f,d)表示；

60、对于任意2个状态矩阵xa和xb，差异度xab表示为：

61、

62、通过差异度来衡量2个状态矩阵之间的综合差别；差异度越大，状态矩阵中对应元素相似度越低，反之越高；

63、步骤3.2：根据步骤3.1所匹配到的最相似矩阵，将其与当前时刻状态矩阵进行对比，来检测当前时刻是否受到攻击；

64、当满足下式时表示检测到攻击；

65、k≤max((xv)1,end-(xj)1,end,,(xv)i,end-(xj)i,end)

66、k为检测阈值，xv为当前时刻矩阵，xj为历史最相似矩阵；

67、步骤3.3：将受到攻击被污染的状态矩阵用预测状态矩阵进行替换；

68、针对检测到的攻击矩阵，用历史数据将其进行替换并存入历史数据库中，避免调度中心进行误调度，为之后的状态预测提供数据支撑；

69、步骤4：基于milp方法对电热综合能源系统攻击后负荷快速恢复；

70、步骤4.1：总体优化目标：总体优化目标为在保持成本最低情况下实现热负荷状态的最快速恢复；

71、总体最优目标函数包括以下成本：1)燃气成本g，2)电网相关成本e，3)环境排放成本，4)用户不满意度；在目标函数中增加负荷温度差值积分惩罚项有效提高负荷恢复速度；

72、

73、其中，分别表示每小时电价，每小时气价以及与电网产生的排放相关的价格和与燃气网络产生的排放相关的价格，分别表示表示第t个时间区间从主电网购买的功率，表示第t个时间区间与热电联产机组和锅炉机组关联的功率。t1，t2表示功攻击开始和系统恢复稳定的时间，tset室内温度设定值；

74、在这个框架中，电力需求是通过从主电网购买的电力、chp机组产生的电力、wt产生的电力和es设备排放的电力来满足的；此外，还考虑了需求响应(dr)服务，以在必要的条件下提供负载缩减；在规定时间内减少部分用电需求，在其他时间间隔增加用电需求；下式表示了研制的eh的电需求：

75、

76、式中ptelectrical为第t时间间隔的电力需求；为风力发电机组在第t个时间段的发电量；和分别在第t时间间隔由需求响应程序向上和向下移动功率；和分别为储能装置在第t个时间间隔内充电和放电过程的功率；和分别为变压器的电效率、chp机组的气电效率和风力发电机组的电效率；

77、热负荷的需求：

78、

79、式中，ptthermal为第t时间区间的热需求；和分别为锅炉的气热效率和chp的气热效率；最后，是指每隔一段时间从燃气网购买的燃气，和分别在第t时间间隔由需求响应程序向上和向下移动功率；

80、步骤4.2：快速恢复约束条件；

81、在系统进行优化调度时基础设备会存在一些容量上下限；输电线路功率传输约束为：

82、

83、pl,line为输电线路实时传输功率，为输电线路传输功率下限，为输电线路传输功率上限；

84、热网侧相关参数条件，管道热散失为：

85、

86、tend为管道出水口温度，tstart为管道入水口温度，ta为环境温度，λ为管道传热系数，l为管道长度，cp为水的比热容，为质量流量；

87、

88、ml,line为管道实时质量流量，为管道质量流量上限；

89、由节点能量守恒定律得：

90、

91、分别为供水管道节点和回水管道节点的混合温度；分别为供水管道节点和回水管道节点的质量流量；分别为供水管道和回水管道温度；由节点流量守恒定律可得：

92、

93、分别为换热器和热源时刻的质量流量；

94、chp机组热-电可运行域约束及爬坡约束：

95、

96、为第i个机组t时刻输出电功率，为第i个机组t时刻与热功率相关的输出电功率下限，为第i个机组t时刻与热功率相关的输出电功率上限；

97、

98、为第i个机组t时刻输出热功率，为第i个机组t时刻与电功率相关的输出热功率下限，为第i个机组t时刻与电功率相关的输出热功率上限；

99、

100、为第i个机组t-1时刻输出电功率，第i个机组一个时间间隔内电功率改变区间。

101、本发明的有益效果是：

102、本发明设计了一套面向电热综合能源网络安全的在线防御流程。包含热负荷模型的建立、状态量挖掘与恶性数据处理两部分，其中状态量挖掘有历史状态量获取和恶性数据处理两部分，恶性数据处理包括恶性数据检测、剔除与修正。在获取状态量时考虑热负荷用户数据隐私性，采用非侵入式检测，建立热负荷模型既有效保护用户隐私性也可以进行状态量有效获取。本发明所提非侵入式检测模型所涉及热负荷模型可以有效放大攻击偏差从而提高攻击检测的灵敏性；本发明检测方法快速有效，可以实现在线检测，具有一定的理论基础和工程实际意义。