针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法及系统

1.本发明涉及有源配电网信息物理系统安全稳定运行保护技术领域，尤其涉及针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法及系统。


背景技术：

2.随着经济的快速发展与能源短缺、环境污染之间的矛盾问题日益突出，使得绿色、可再生能源技术得以蓬勃发展，尤其是小容量、分散化、以就地消纳为主的分布式电源(distributed generations，dg)，已成为电力系统不容小觑的组成部分。在此背景下，有源配电网信息物理系统active distribution network cyber physical system，adncps)应运而生并受到广泛关注。
3.作为adncps的重要组成部分，可控负荷和分布式储能的接入对adncps安全稳定运行带来了巨大挑战：就可控负荷而言，传统家用终端负荷通过物联网转换成家用可控负荷。但部分家用设备网络安全防护措施薄弱，当攻击者利用网络安全漏洞对大规模家用可控负荷发起网络攻击时，会引起adncps电压越限和频率振荡，严重情况下会触发线路断路器断开造成停电事故；就分布式储能而言，其接入配电网系列标准的制定仍处于起步阶段，内容尚不完善，且目前侧重点不在通信管理。以电动汽车充放电站为例，电动汽车储能设备通过充放电站实现与电网的能量交互。用户与电网之间无直接通信，adncps与充放电站之间有数据通信，同时，用户可以通过互联网与充放电站管理服务器通信。充放电站管理控制系统能够实现对现场设备的监视控制及管理，并由架设在现场的终端设备执行。其中，电力调度数据网由于安全防护需求，与其他通信网络之间的物理隔离，因此攻击成本较高。但是用户侧则不同，其信息安全防护相对薄弱，通过互联网，攻击者更易利用车位智能终端的嵌入式系统漏洞植入恶意代码和发送恶意控制命令，破坏电动汽车的有序充放电模式，引起电能质量问题，破坏配电网电能供需平衡。因此，亟需设计一种针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法及系统。


技术实现要素：

4.本发明目的在于提供一种针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法及系统，可以发现一部分由网络攻击而引发的adncps运行状态异常及告警，基于建立的信息侧和物理侧评估指标体系，协同实现adncps遭受网络攻击后对其运行态势的精确评估。
5.本发明采用的技术方案为：
6.第一方面提供了针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法，包括：
7.构建andcps运行状态迁移模型，其中，andcps为有源配电网信息物理系统，andcps运行状态迁移模型包含运行状态和adncps关键状态节点，其中，运行状态包括有网络攻击
的andcps运行状态和无网络攻击的andcps运行状态；
8.建立信息侧c与物理侧p协同态势评估指标体系，包括信息侧指标和物理侧指标；
9.对信息侧c与物理侧p协同态势评估指标体系中包含的信息侧指标和物理侧指标，设定告警阈值；
10.实时采集andcps运行数据，将andcps运行数据按照建立的同态势评估指标体系进行指标分类；
11.对分类后的指标根据设定的告警阈值进行越限告警判别，判断andcps是否处于有网络攻击的adncps运行状态；
12.当andcps处于有网络攻击的adncps运行状态时，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估。
13.在一种实施方式中，步骤s1构建的andcps运行状态迁移模型包含6个运行状态和6个adncps关键状态节点，其中，6个运行状态分别为：(1)s1：adncps正常运行状态；(2)s2：adncps脆弱运行状态；(3)s3：有网络攻击的adncps运行状态；(4)s4：无网络攻击的adncps运行状态；(5)s5：adncps恢复运行状态；(6)s6：adncps发生解列并停运状态；6个adncps关键状态节点分别为：(1)s3-1：有网络攻击下的adncps发出告警状态；(2)s3-2：提取adncps信息侧与物理侧指标值状态；(3)s3-3：andcps态势评估状态；(4)s4-1：无网络攻击下的adncps发出告警状态；(5)s4-2：提取adncps信息侧和物理侧指标值状态；(6)s4-3：提取告警值确定物理故障源并根据运维手册排故状态。
14.在一种实施方式中，步骤s2建立的信息侧c与物理侧p协同态势评估指标体系包括2个信息侧指标和8个物理侧指标，其中，信息侧指标c包括流量异常指标c1和终端异常指标c2，物理侧指标p包括供电可靠性指标p1、adncps安全性指标p2、adncps经济性指标p3以及dg出力指标p4。
15.在一种实施方式中，信息侧指标c中，流量异常指标c1包括流量大小c11，该指标表示adncps遭受网络攻击后，信息系统传输数据在一段时间内，传输数据包的数量，公式为：
[0016][0017]
式(1)中，c
11
表示在(t
i+1-ti)时间内传输q个数据包，i表示第i时刻；
[0018]
终端异常指标c2包括终端异常数c22，该指标表示发生网络攻击后，信息侧传输设备无法工作的设备的数量。
[0019]
在一种实施方式中，物理侧指标p中，
[0020]
1)供电可靠性指标p1包括供电裕度不安全度p11、主变压器负载率不均衡严重度p12和供电能力突变严重度p13
[0021]
其中，供电裕度不安全度p11的公式为：
[0022][0023]
式(2)中，δy
t
表示adncps在时刻t突增的负荷值；s表示adncps最大供电功率；
[0024]
主变压器负载率不均衡严重度p12的公式为：
[0025][0026]
式(3)中，δ表示adncps遭受网络攻击后主变压器负载率不均衡的程度；t
p
表示主变压器p的负载率；主变压器的平均负载值；n为adncps中的主变压器的总台数；
[0027]
供电能力突变严重度p13的公式为：
[0028][0029]
式(4)中，β表示为(t+1)时刻主变压器因adncps遭受网络攻击后减少的最大供电能力占上一时刻t的供电总值的百分比；z
p
表示主变压器p发生故障的可能性；s
p
(t+1)表示主变压器p在(t+1)时刻退出adncps时系统减少功率值；m表示为adncps发生网络攻击后不会因为故障而退出运行的主变压器的数目；s(t+1)表示为adncps在(t+1)时刻的总功率；
[0030]
adncps安全性指标p2包括电压越限严重度p21、负荷损失严重度p22
[0031]
其中，电压越限严重度p21表示为：
[0032][0033]
式(5)中，lv表示在t时刻adncps的电压偏移值，v
low
表示t时刻adncps电压的最小值；
[0034]
adncps在t时刻负荷损失严重度p22表示为：
[0035][0036]
式(6)中，ld表示adncps在t时刻的负荷损失大小；表示adncps遭受网络攻击后，故障母线a上负载节点j的负载值；da表示发生故障的母线a的负载节点数量；为故障母线a转移到正常母线b上节点c的负载值；dc为转移到正常母线b上的负载节点数；
[0037]
adncps经济性指标p3包括线损严重度p31，表示为：
[0038][0039]
式(7)中，pf表示第f条母线中传输的有功功率大小，δpf表示第f条线路的功率损耗；
[0040]
dg出力指标p4包括dg渗透率p41、dg出力波动严重度p42，
[0041]
其中，dg渗透率p41表示为：
[0042][0043]
式(8)中，p
dg
(t)表示dg在t时刻的总输出功率；s(t)表示adncps的总输出功率在t时刻的总输出功率；
[0044]
dg出力波动严重度p42表示为：
[0045][0046]
式(9)中，p
dg
(t+1)表示dg在(t+1)时刻的总输出功率；p
dg
(t)表示dg在t时刻的总输出功率。
[0047]
在一种实施方式中，对分类后的指标根据设定的告警阈值进行越限告警判别，判断andcps是否处于有网络攻击的adncps运行状态，包括：
[0048]
若检测到流量大小指标c11和终端异常指标c22都为异常，则判定andcps处于有网络攻击的adncps运行状态。
[0049]
在一种实施方式中，所述方法还包括：
[0050]
若检测到流量大小c11异常、终端异常数c22未见异常，则判定andcps处于adncps脆弱运行状态；
[0051]
若检测到流量大小c11和终端异常数c22都未见异常，则判定andcps处于无网络攻击的adncps运行状态。
[0052]
在一种实施方式中，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估，包括：
[0053]
将发生告警的时刻t0定义为网络攻击发起后系统告警的起始时间；
[0054]
记录t0时刻后的信息侧指标和物理侧指标的值；
[0055]
以adncps正常运行状态作为参考场景，确定参考序列；
[0056]
基于熵权法进行态势评估指标权重计算；
[0057]
根据计算出的态势评估指标权重计算关联度；
[0058]
根据关联度的大小，确定评估结果。
[0059]
基于同样的发明构思，第二方面提供了针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估系统，包括：
[0060]
运行状态迁移模型构建模块，用于构建andcps运行状态迁移模型，其中，andcps为有源配电网信息物理系统，andcps运行状态迁移模型包含运行状态和adncps关键状态节点，其中，运行状态包括有网络攻击的andcps运行状态和无网络攻击的andcps运行状态；
[0061]
指标体系建立模块，用于建立信息侧c与物理侧p协同态势评估指标体系，包括信息侧指标和物理侧指标；
[0062]
告警阈值设定模块，用于对信息侧c与物理侧p协同态势评估指标体系中包含的信息侧指标和物理侧指标，设定告警阈值；
[0063]
实时采集andcps运行数据，将andcps运行数据按照建立的同态势评估指标体系进行指标分类；
[0064]
网络攻击判别模块，用于对分类后的指标根据设定的告警阈值进行越限告警判别，判断andcps是否处于有网络攻击的adncps运行状态；
[0065]
态势评估模块，用于当andcps处于有网络攻击的adncps运行状态时，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估。
[0066]
本技术实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术效果：
[0067]
本发明提出针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法，构建了andcps运行状态迁移模型、信息侧c与物理侧p协同态势评估指标体系；并对信息侧c与物理侧p协同态势评估指标体系中包含的信息侧指标和物理侧指标设定告警阈值；实时采集andcps运行数据后，将按照建立的同态势评估指标体系进行指标分类；并进行网络攻击判别，当andcps处于有网络攻击的adncps运行状态时，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估。本发明可以精确实现adncps运行态势评估，有利于运维人员根据评估的结果调整adncps的运行状态，为adncps安全稳定运行保驾护航。
附图说明
[0068]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0069]
图1为本发明实施例中针对网络攻击的有源配电网信息物理系统信息侧与物理侧偶合图；
[0070]
图2为本发明实施例中有源配电网信息物理系统运行状态迁移图；
[0071]
图3为本发明实施例中有源配电网信息物理系统信息侧与物理侧协同态势评估指标体系示意图；
[0072]
图4为本发明实施例中针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估流程简图。
具体实施方式
[0073]
分布式能源大规模、高渗透率的接入，使得配电网发展成为有源配电网，配电网复杂性增加的同时，也增加了遭受网络攻击的可能性。为此，本发明公开了针对网络攻击的有源配电网信息物理系统(active distribution network cyber physical system，adncps)信息侧与物理侧协同态势评估方法及系统，是一种适用于针对网络攻击的adncps
态势运行评估系统，包括：adncps状态迁移模型、adncps信息侧与物理侧指标体系、网络攻击判别、使用熵权法为各指标赋权，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估；本发明可以精确实现adncps运行态势评估，有利于运维人员根据评估的结果调整adncps的运行状态，为adncps安全稳定运行保驾护航。
[0074]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0075]
实施例一
[0076]
本发明实施例提供了针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法，包括：
[0077]
构建andcps运行状态迁移模型，其中，andcps为有源配电网信息物理系统，andcps运行状态迁移模型包含运行状态和adncps关键状态节点，其中，运行状态包括有网络攻击的andcps运行状态和无网络攻击的andcps运行状态；
[0078]
建立信息侧c与物理侧p协同态势评估指标体系，包括信息侧指标和物理侧指标；
[0079]
对信息侧c与物理侧p协同态势评估指标体系中包含的信息侧指标和物理侧指标，设定告警阈值；
[0080]
实时采集andcps运行数据，将andcps运行数据按照建立的同态势评估指标体系进行指标分类；
[0081]
对分类后的指标根据设定的告警阈值进行越限告警判别，判断andcps是否处于有网络攻击的adncps运行状态；
[0082]
当andcps处于有网络攻击的adncps运行状态时，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估。
[0083]
请参见图1，为本发明实施例中针对网络攻击的有源配电网信息物理系统信息侧与物理侧偶合图。
[0084]
在一种实施方式中，步骤s1构建的andcps运行状态迁移模型包含6个运行状态和6个adncps关键状态节点，其中，6个运行状态分别为：(1)s1：adncps正常运行状态；(2)s2：adncps脆弱运行状态；(3)s3：有网络攻击的adncps运行状态；(4)s4：无网络攻击的adncps运行状态；(5)s5：adncps恢复运行状态；(6)s6：adncps发生解列并停运状态；6个adncps关键状态节点分别为：(1)s3-1：有网络攻击下的adncps发出告警状态；(2)s3-2：提取adncps信息侧与物理侧指标值状态；(3)s3-3：andcps态势评估状态；(4)s4-1：无网络攻击下的adncps发出告警状态；(5)s4-2：提取adncps信息侧和物理侧指标值状态；(6)s4-3：提取告警值确定物理故障源并根据运维手册排故状态。
[0085]
具体地，请参见图2，本发明实施例中有源配电网信息物理系统运行状态迁移图。
[0086]
在一种实施方式中，步骤s2建立的信息侧c与物理侧p协同态势评估指标体系包括2个信息侧指标和8个物理侧指标，其中，信息侧指标c包括流量异常指标c1和终端异常指标c2，物理侧指标p包括供电可靠性指标p1、adncps安全性指标p2、adncps经济性指标p3以及dg出力指标p4。
[0087]
请参见图3，为本发明实施例中有源配电网信息物理系统信息侧与物理侧协同态
势评估指标体系示意图。
[0088]
在一种实施方式中，信息侧指标c中，流量异常指标c1包括流量大小c11，该指标表示adncps遭受网络攻击后，信息系统传输数据在一段时间内，传输数据包的数量，公式为：
[0089][0090]
式(1)中，c
11
表示在(t
i+1-ti)时间内传输q个数据包，i表示第i时刻；
[0091]
终端异常指标c2包括终端异常数c22，该指标表示发生网络攻击后，信息侧传输设备无法工作的设备的数量。
[0092]
在一种实施方式中，物理侧指标p中，
[0093]
1)供电可靠性指标p1包括供电裕度不安全度p11、主变压器负载率不均衡严重度p12和供电能力突变严重度p13
[0094]
其中，供电裕度不安全度p11的公式为：
[0095][0096]
式(2)中，δy
t
表示adncps在时刻t突增的负荷值；s表示adncps最大供电功率；
[0097]
主变压器负载率不均衡严重度p12的公式为：
[0098][0099]
式(3)中，δ表示adncps遭受网络攻击后主变压器负载率不均衡的程度；t
p
表示主变压器p的负载率；主变压器的平均负载值；n为adncps中的主变压器的总台数；
[0100]
供电能力突变严重度p13的公式为：
[0101][0102]
式(4)中，β表示为(t+1)时刻主变压器因adncps遭受网络攻击后减少的最大供电能力占上一时刻t的供电总值的百分比；z
p
表示主变压器p发生故障的可能性；s
p
(t+1)表示主变压器p在(t+1)时刻退出adncps时系统减少功率值；m表示为adncps发生网络攻击后不会因为故障而退出运行的主变压器的数目；s(t+1)表示为adncps在(t+1)时刻的总功率；
[0103]
adncps安全性指标p2包括电压越限严重度p21、负荷损失严重度p22
[0104]
其中，电压越限严重度p21表示为：
[0105][0106]
式(5)中，lv表示在t时刻adncps的电压偏移值，v
low
表示t时刻adncps电压的最小值；
[0107]
adncps在t时刻负荷损失严重度p22表示为：
[0108][0109]
式(6)中，ld表示adncps在t时刻的负荷损失大小；表示adncps遭受网络攻击后，故障母线a上负载节点j的负载值；da表示发生故障的母线a的负载节点数量；为故障母线a转移到正常母线b上节点c的负载值；dc为转移到正常母线b上的负载节点数；
[0110]
adncps经济性指标p3包括线损严重度p31，表示为：
[0111][0112]
式(7)中，pf表示第f条母线中传输的有功功率大小，δpf表示第f条线路的功率损耗；
[0113]
dg出力指标p4包括dg渗透率p41、dg出力波动严重度p42，
[0114]
其中，dg渗透率p41表示为：
[0115][0116]
式(8)中，p
dg
(t)表示dg在t时刻的总输出功率；s(t)表示adncps的总输出功率在t时刻的总输出功率；
[0117]
dg出力波动严重度p42表示为：
[0118][0119]
式(9)中，p
dg
(t+1)表示dg在(t+1)时刻的总输出功率；p
dg
(t)表示dg在t时刻的总输出功率。
[0120]
具体来说，1)供电可靠性指标p1
[0121]
供电裕度不安全度p11可以反映adncps供电容量的安全裕度和运行安全稳定的特性。因此，本实施例将供电裕度不安全度p11定义为某时刻t突增的负荷与adncps最大供电
能力的比值。
[0122]
主变压器负载率不均衡严重度p12可以反映当adncps遭受网络攻击，并造成主变压器发生故障，此时会将故障下的主变压器的负载进行转移，转以后会造成某一(些)主变压器发生负载率偏高。长时间处于负载不均匀状态下的主变压器会加剧网络攻击对adncps造成的不利影响。因此，得到主变压器负载率不均衡严重度p12的表达式。
[0123]
供电能力突变严重度p13表示的是当adncps遭受网络攻击后，系统中某一(些)主变压器发生故障并退出了运行，若供电能力瞬时剧减，会严重威胁adncps安全稳定运行。因此，可以得到供电能力突变严重的表达式。
[0124]
2)adncps安全性指标p2
[0125]
电压越限严重度p21表示adncps遭受网络攻击并发生故障时，adncps出现电压越限的状况，当电力设备长时间工作在电压越限环境中，会导致设备的绝缘性大幅度降低，从而影响adncps安全稳定运行。因此，得到电压越限严重度p21的表达式。
[0126]
负荷损失严重度p22表示的是adncps遭受网络攻击后，并发生故障，会导致某一(些)主变压器或者母线退出运行，退出运行后的主变压器或者母线所承担的负荷会转移到其他主变压器或母线上。但是，当转移的负荷量超过主变压器或母线的容量时，系统就会处于“饱和”状态，无法转移的负荷只能做“退出运行”处理。若故障母线上含有dg，则可以通过调整dg出力回复部分负荷的供电。因此，得到adncps在t时刻负荷损失严重度p22的表达式。
[0127]
3)adncps经济性指标p3
[0128]
线损严重度p31表示adncps遭受网络攻击后，某条线路的功率损耗占有功功率的比值。则可以得到对应的表达式。
[0129]
4)dg出力指标p4
[0130]
dg渗透率p41表示adncps在t时刻dg在adncps的出力占整个adncps出力的比重。从而可以得到dg渗透率p41的表达式。
[0131]
dg出力波动严重度p42表示dg接入adncps后的出力波动程度。从而可以得到对应的表达式。
[0132]
在一种实施方式中，对分类后的指标根据设定的告警阈值进行越限告警判别，判断andcps是否处于有网络攻击的adncps运行状态，包括：
[0133]
若检测到流量大小指标c11和终端异常指标c22都为异常，则判定andcps处于有网络攻击的adncps运行状态。
[0134]
具体来说，考虑到adncps是一个实时连续的系统，通过现有的配电网数据采集与监视控制系统(supervisory control and data acquisition，scada)和先进量测体系(advanced metering infrastructure，ami)可以实时采集到大量的运行数据。因此，通过对实时采集到的数据建立的指标体系分类，并对分类后的指标建立告警阈值，有助于更快、更好的评估当前adncps是否遭受网络攻击、以及网络攻击对adncps造成的损失。
[0135]
基于配电网scada系统和ami，实时采集adncps运行数据，将实时采集到的数据建立的指标体系分类，同时，分类好的数据存储至本发明所提的针对网络攻击的adncps信息侧与物理侧协同态势评估系统中的历史数据库中。
[0136]
当检测到流量大小指标c11和终端异常指标c22都为异常时，则判定此时处于有网络攻击的状态。具体的依据如下：本技术发明人在某省电科院做了相关仿真测试，试验发
现，网络攻击具有有干扰通信线路正常传输数据的特性，网络攻击的目的是为了阻止电力系统运维人员及时检测到系统遭受网络攻击，做到阻止的运维人员及时检测到系统遭受网络攻击的方式就是利用终端的后门实现的。因此，判定是否存在网络攻击的依据是c11和c22两者都是异常，此外，本发明还做了对比实验发现c11异常c22正常情况下，scada中心或者ems(能量管理系统)中心是由相应的检测机制来滤除c11异常对adncps的影响的。
[0137]
具体实施过程中，dncps遭受网络攻击判别过程如下：
[0138]
造成adncps发生故障的起因由两种原因造成。分别为：(1)设备自身故障引起的系统告警。造成原因为电气设备和信息设备自身老化引起的故障和恶劣自然环境运行引发的故障。例如：输电塔上的陶瓷绝缘子老化引起输电线路短路；台风经过的区域发生输电塔发生倒塌事故造成输电线路和通信线路断路；恶劣天气设备遭受雷击设备不能正常运行等。(2)恶意攻击引起的系统告警。多起大停电事故调查表明一类新的攻击方式，即：网络-物理协同攻击事故频发。此类攻击结合网络攻击来掩盖物理攻击造成的故障状态，既可以破坏物理系统的安全运行，又可延迟运行人员发现故障的时间，发起大规模的物理攻击，达到攻击者想要破坏adncps安全稳定运行的目的。虽然，n-1机制可以有效的提升adncps的鲁棒性，但是，不同故障(即设备自身故障和恶意攻击引起的故障)类型对adncps态势评估的影响也有不同。因此，为了精准的预测网络攻击对adncps运行态势的影响，就需要对故障类型进行精准判别。网络攻击判别具体步骤如下：
[0139]
步骤1：阈值设定。对adncps物理测和信息测各个指标设定告警阈值ε，分别表示为：
[0140]
信息侧告警阈值εc＝{c11＝ρ,c21＝θ}，物理侧告警阈值如下：
[0141][0142]
步骤2：异常检测及异常判别。实时捕获adncps信息侧c＝{c11,c21}数据和adncps物理侧p＝{p11,p12,p13,p21,p22,p31,p41,p42}数据，检测到流量大小指标c11和终端异常指标c22是否超过告警阈值，如果超过，则判定此时处于有网络攻击的状态。
[0143]
在一种实施方式中，所述方法还包括：
[0144]
若检测到流量大小c11异常、终端异常数c22未见异常，则判定andcps处于adncps脆弱运行状态；
[0145]
若检测到流量大小c11和终端异常数c22都未见异常，则判定andcps处于无网络攻击的adncps运行状态。
[0146]
具体来说，当c11异常、c22未见异常时，此时adncps处于s2:adncps脆弱运行状态。理由如下，造成流量异常的原因有可能是某段时间内传输的报文数量激增，属于正常现象(例如：在用电高峰期时，电力系统业务量会激增，进而导致信息系统流量激增)。但是这种现象被攻击者掌握后，很有可能会被利用，有一定安全威胁风险。因此本发明将此时则andcps处于s2:adncps脆弱运行状态。
[0147]
此外，针对物理侧的异常，在电力系统中，将物理侧的设备称为电力一次侧设备，每个电力一次侧设备都会有一个或多个对应的信息设备(电力二次侧设备)对其运行状态的监控。以物理设备发生馈线短路为例，当发生网络攻击时，馈线潮流会发生激增，当瞬时电流超过馈线能够承载的额定电流时，馈线短路器就会发生断路，此时，检测馈线短路器的二次侧设备会将其状态信息发送至scada中心或者ems(能量管理系统)中心。就算对应的二
次设备遭受网络攻击无法上传，电力一次侧设备发生故障一般具有显性特征。电力运维班的作用就是发现一些scada和ems系统无法发现的故障。但是网络攻击与之不相同，其具有隐形特征，一般很难发现，因此本发明设定信息侧指标来判定是否遭受网络攻击(申请人通过调研现有国内外文献和授权专利文献发现，现有的成果都是基于单侧(物理侧或信息侧)数据来判断adns是否发生攻击，鲜有通过协同信息侧的相关信息来判断电力系统是否遭受网络攻击)，是一种新的思路。
[0148]
当判定有网络攻击发生时，则进行本发明后续的态势评估的相关操作，这也是本发明的重点，而当没有网络攻击发生的时，scada系统和ami的作用就是实时监测记录adncps运行状态，记录相关数据，方便日后所需。
[0149]
在一种实施方式中，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估，包括：
[0150]
将发生告警的时刻t0定义为网络攻击发起后系统告警的起始时间；
[0151]
记录t0时刻后的信息侧指标和物理侧指标的值；
[0152]
以adncps正常运行状态作为参考场景，确定参考序列；
[0153]
基于熵权法进行态势评估指标权重计算；
[0154]
根据计算出的态势评估指标权重计算关联度；
[0155]
根据关联度的大小，确定评估结果。
[0156]
请参见图4，为本发明实施例中针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估流程简图。
[0157]
包括如下步骤：
[0158]
s1：构建andcps运行状态迁移模型；
[0159]
s2：建立信息侧c与物理侧p协同态势评估指标体系；
[0160]
s3：对全体信息侧c与物理侧p指标设定告警阈值；
[0161]
s4：实时采集各个指标；
[0162]
s5：根据指标是否发生越限告警，判定是否存在网络攻击；
[0163]
s6：当存在网络攻击时，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估。
[0164]
其中，s6具体包括：s6.1～s6.6。具体来说，s6.1：定义网络攻击起始时刻t0。
[0165]
由于adncps遭受网络攻击后，整个adncps由无故障“全健康”状态转为带有故障隐患“亚健康”状态。因此，将发生告警的时刻t0定义为网络攻击发起后系统告警的起始时刻。此时，andcps处于s3-1:有网络攻击下的adncps发出告警运行状态。
[0166]
s6.2：记录并转存各项指标值。
[0167]
将配电网scada系统和ami实时采集的各项指标值进行时间标记，并将数据存储至adncps信息侧与物理侧协同态势评估系统中的历史数据库中，以便为后续态势评估提供分析数据；此时，andcps处于s3-2:有网络攻击下的提取adncps信息侧和物理侧指标值状态。
[0168]
s6.3：确定参考序列r。
[0169]
在利用灰色关联法实现对adncps信息侧与物理侧态势评估的过程中前，需要先拟定参考序列，参考序列是一个比较理想的参考标准。有10个指标分别为(c11,c12,p11,p12,p13,p21,p22,p31,p41,p42)和n个样本，则原始数据样本可记为：r0＝(r
01
,r
02
,
…
,r
010
)，选
取各指标的最优值组成参考序列：r
l
＝(r
l1
,r
l2
,
…
,r
l10
)。此时，andcps处于s3-3:adncps态势评估状态。
[0170]
s6.4：基于熵权法的态势评估指标权重计算ω
[0171]
本实施例中包含的指标有10个，具体为：
[0172]
(c11,c12,p11,p12,p13,p21,p22,p31,p41,p42)，o个样本，x
lq
(l∈[1,o]，q∈[1，10])表示第l个样本的第q个指标，则各个原始数据样本可表示为：x
l
＝(x
l1
,x
l2
,
…
,x
l10
)；原始数据评价矩阵可记为：x
o10
＝[x1,x2,
…
,xo]
t
。
[0173]
具体实施过程中，使用熵权法赋权的子步骤如下：
[0174]
step 1：指标进行标准化处理。
[0175]
指标体系中包括正向指标和逆向指标。其中正向指标具有指标值越大指标越优的性质，逆向指标具有指标值越小指标越优的性质。采用极差变换法对考虑网络攻击的adncps安全指标体系中各个指标的原始计算值进行标准化处理。对于指标k,k∈(c11,c12,p11,p12,p13,p21,p22,p31,p41,p42)为正向指标，则有：
[0176][0177]
式(10)中，x'
rk
表示指标k为正向指标；min(x
1k
,x
2k
,
…
,x
vk
)表示采集到的所有k指标值(x
1k
,x
2k
,
…
,x
vk
)的最小值；max(x
1k
,x
2k
,
…
,x
vk
)表示采集到的所有k指标值(x
1k
,x
2k
,
…
,x
vk
)的最大值。
[0178]
若指标k为逆向指标，则有：
[0179][0180]
式(11)中，φ'
rk
表示指标k为正向指标；min(x
1k
,x
2k
,
…
,x
vk
)表示采集到的所有指标k值(x
1k
,x
2k
,
…
,x
vk
)的最小值；max(x
1k
,x
2k
,
…
,x
vk
)表示采集到的所有k指标值(x
1k
,x
2k
,
…
,x
vk
)的最大值。
[0181]
step 2：计算各指标的熵es。
[0182]
若指标k为正向指标，计算公式为：若指标k为正向指标，计算公式为：式中q表示样本量。
[0183]
特别地，当
x
'
rk
＝0时，令x'
rk
lnx'
rk
＝0；同样的，当φ'
rk
＝0时，令x'
rk
lnx'
rk
＝0
[0184]
step 3：计算各指标的权重
[0185][0186]
式(12)中ωk表示指标的权重。则，andcps处于s3-3:adncps态势评估状态。
[0187]
s6.5：计算关联系数ζ，其主要子步骤和方法如下：
[0188]
step 1：选取参考序列。
[0189]
对系统做灰色关联分析时，需要事先拟定参考序列，参考序列是一个比较理想的参考标准。由于本发明有10个指标，o个样本。
[0190]
选取有源配电网未遭受攻击时正常运行状态下的数据组成参考序列：x0＝(x
01
,
x
02
,
…
,x
010
)。
[0191]
step 2：计算差序列并确定差序列的最大值和最小值。计算每个样本原始数据序列与参考序列中的每个元素的绝对差值形成差序列，即：|x0(z)-x
l
(z)|。
[0192]
step 3：取差序列的最大值和最小值计算关联系数。
[0193][0194]
式(14)中，ρ为分辨系数，取值范围为(0,1)，通常取值为0.5。
[0195]
step 4：计算关联度：
[0196]
上述步骤中，权重wz的取值直接影响关联度的大小，即adncps运行态势评估结果的好坏。本实施方式中wz取为通过熵权法得到的各指标的客观权重。此时，andcps处于s3-3:adncps态势评估状态。
[0197]
s6.6：确定评估结果r
[0198]
根据adncps的态势评估方法可知，adncps的态势安全风险程度随关联度的降低而增大。因此根据关联度的数值范围，将安全风险等级划分为六个等级，分别是0、1、2、3、4、5级，每个安全风险等级的关联度数值范围如表1所示，数值越大，安全风险越大。此时，andcps处于s3-3:adncps态势评估状态。
[0199]
表1安全风险划分等级
[0200][0201]
最后，本发明的方法还包括s7：根据评估结果确定adncps的状态s。运维人员根据评估结果对adncps的运行状态做出调整，当风险等级小于等于3级时，运维人员做出相应调整可以使andcps恢复运行，使得andcps转至s5:adncps恢复运行。当风险等级大于等于3级、小于等于5级时，运维人员做出决策，使得andcps转至s6:adncps发生解列并停运状态。当系统转至s6:adncps发生解列并停运状态时，运维人员就需要按照相关程序恢复adncps工作并修复漏洞，使得adncps转至s1:andcps正常运行状态。
[0202]
基于同样的发明构思，本发明还提供了一种与实施例一中针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法所对应的系统，具体见实施例二。
[0203]
实施例二
[0204]
本实施例提供了针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估系统，包括：
[0205]
运行状态迁移模型构建模块，用于构建andcps运行状态迁移模型，其中，andcps为有源配电网信息物理系统，andcps运行状态迁移模型包含运行状态和adncps关键状态节点，其中，运行状态包括有网络攻击的andcps运行状态和无网络攻击的andcps运行状态；
[0206]
指标体系建立模块，用于建立信息侧c与物理侧p协同态势评估指标体系，包括信息侧指标和物理侧指标；
[0207]
告警阈值设定模块，用于对信息侧c与物理侧p协同态势评估指标体系中包含的信息侧指标和物理侧指标，设定告警阈值；
[0208]
实时采集andcps运行数据，将andcps运行数据按照建立的同态势评估指标体系进行指标分类；
[0209]
网络攻击判别模块，用于对分类后的指标根据设定的告警阈值进行越限告警判别，判断andcps是否处于有网络攻击的adncps运行状态；
[0210]
态势评估模块，用于当andcps处于有网络攻击的adncps运行状态时，以adncps正常运行状态作为参考场景，通过灰色关联分析法对有源配电网运行态势进行评估。
[0211]
本实施例提供的系统还包括运行状态判定模块，用于根据评估结果确定adncps的运行状态。
[0212]
由于本发明实施例二所介绍的系统，为实施本发明实施例一中针对网络攻击的有源配电网信息物理系统信息侧与物理侧协同态势评估方法所采用的系统，故而基于本发明实施例一所介绍的方法，本领域所属技术人员能够了解该系统的具体结构，在此不再赘述。凡是本发明实施例一的方法所采用的系统都属于本发明所欲保护的范围。
[0213]
应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。