| 主权项 |
一种基于物理‑信息模糊推理的智能电网攻击检测方法,其特征在于,包括如下步骤:步骤S1:利用部署在智能电网中的电力量测设备和流量监控系统得到智能电网的电力量测数据和设备通信流量;对得到的电力量测数据和设备通信流量分别进行异常事件检测,得到物理系统异常度和信息系统异常度;步骤S2:基于电力量测设备和智能通信设备在传输线上的分布,将物理系统和信息系统的异常度进行关联融合,得到电力传输线路上的物理‑信息异常度<C,P>;所述物理‑信息异常度<C,P>=[C<sub>1</sub>,P<sub>1</sub>;C<sub>2</sub>,P<sub>2</sub>;...;C<sub>n</sub>,P<sub>n</sub>],为一个矩阵,表征整个系统通过物理信息系统数据关联后得到的所有线路的物理‑信息异常度,假设线路i处有s台设备,IP地址分别为IP<sub>1</sub>,IP<sub>2</sub>,...,IP<sub>s</sub>,则线路i处的信息异常度为<img file="FDA0001226192090000011.GIF" wi="206" he="111" />其中W<sub>i</sub>为来IP<sub>i</sub>对应设备的异常度;线路i处的物理异常度为<img file="FDA0001226192090000012.GIF" wi="158" he="63" /><img file="FDA0001226192090000013.GIF" wi="64" he="70" />表征电力拓扑中线路i的异常度;矢量<C<sub>i</sub>,P<sub>i</sub>>表征线路i处的物理‑信息异常度;步骤S3:利用知识库,将物理‑信息异常度<C,P>由精确量转化为模糊化量,并用相应的模糊集合来表示;步骤S4:结合知识库中的规则库,利用模糊逻辑中的蕴含关系及推理规则进行物理‑信息模糊推理得出用相应模糊集合表示的电力传输线路上的异常度模糊化输出;步骤S5:结合知识库将异常度模糊化输出反模糊化成精确量,得到用精确数值表示的线路上的物理‑信息综合异常度;步骤S6:设定攻击检测阈值;若线路i的物理‑信息综合异常度超过给定检测阈值,则判定线路i受到了攻击,否则判定线路i没有受到攻击;其中,步骤S1包括两个并行的部分:物理系统异常度分析和信息系统异常度分析,所述物理系统异常度分析过程如下:步骤S101:通过电力量测设备得到电力系统的量测量z,利用加权最小二乘估计的方法对量测量z进行状态估计,计算出电网系统状态量的估计值<img file="FDA0001226192090000014.GIF" wi="58" he="60" />假定电力系统中具有m个量测量,n个状态量,令x=(x<sub>1</sub>,x<sub>2</sub>,...,x<sub>n</sub>)<sup>T</sup>表征电力系统的状态量,包括节点的电压幅值和电压相角,z=(z<sub>1</sub>,z<sub>2</sub>,...,z<sub>m</sub>)<sup>T</sup>表征系统的量测量,包括传输线路上的有功功率和无功功率,e=(e<sub>1</sub>,e<sub>2</sub>,...,e<sub>m</sub>)<sup>T</sup>表征系统的量测误差,满足z=h(x)+e,h(x)是导纳矩阵,由系统的结构和线路阻抗参数决定,表征由x计算z的换算函数,R为量测误差方差阵,其中对角线元素为各节点量测误差的方差,其余元素为零;<img file="FDA0001226192090000021.GIF" wi="32" he="55" />计算公式为:<img file="FDA00012261920900000216.GIF" wi="790" he="79" />步骤S102:由<img file="FDA0001226192090000023.GIF" wi="35" he="55" />计算系统的量测量估计<img file="FDA0001226192090000024.GIF" wi="181" he="63" />步骤S103:计算残差<img file="FDA0001226192090000025.GIF" wi="182" he="55" />即量测量与量测量估计之差;步骤S104:计算标准化残差<img file="FDA0001226192090000026.GIF" wi="226" he="71" />其中D=diag[E(rr<sup>T</sup>)]为协方差矩阵的对角阵,E(rr<sup>T</sup>)为残差r的协方差矩阵;步骤S105:对r<sub>N</sub>样本值进行z‑score标准化,得到均值为0、标准差为1的<img file="FDA0001226192090000027.GIF" wi="73" he="63" />计算公式为<img file="FDA0001226192090000028.GIF" wi="358" he="63" />其中,μ<sub>N</sub>为r<sub>N</sub>的均值,σ<sub>N</sub>为r<sub>N</sub>的标准差,<img file="FDA0001226192090000029.GIF" wi="349" he="63" />表征了物理系统的异常度,<img file="FDA00012261920900000210.GIF" wi="62" he="63" />表征电力拓扑中线路i的异常度;所述信息系统异常度分析过程如下:步骤S101′:监控智能电网中的通信流量,对流量进行过滤分析产生报警事件,并存入入侵检测数据库;报警事件的特征包括报警时间、源IP地址、目的IP地址以及威胁度,威胁度表征事件严重程度的优先级属性,取值从1到5;步骤S102′:假设采样检测周期为T,采样时刻为t;从入侵检测数据库中提取出时间段δ=(t‑αT,t]内的报警事件及其相关特征,其中α是可调正整数,α越大,取样分析的时间段越长,一般取3到5之间;记智能电网中所有设备的IP地址数量总和为l,设备IP地址集合表示为IP={IP<sub>1</sub>,IP<sub>2</sub>,…,IP<sub>l</sub>};记在时间段δ内产生了k条报警事件,k<sub>i</sub>为目的地址来自设备IP<sub>i</sub>的报警事件数量;记a<sub>i,j</sub>为来自设备IP<sub>i</sub>的第j个报警事件,所有报警事件的集合为<img file="FDA00012261920900000211.GIF" wi="718" he="62" />步骤S103′:计算<img file="FDA00012261920900000212.GIF" wi="531" he="62" />其中q<sub>i,j</sub>为报警事件a<sub>i,j</sub>的威胁度;对w<sub>i,j</sub>进行最大值归一化处理得到报警事件a<sub>i,j</sub>的异常度<img file="FDA00012261920900000213.GIF" wi="91" he="70" /><maths num="0001"><math><![CDATA[<mrow><mover><msub><mi>w</mi><mrow><mi>i</mi><mo>,</mo><mi>j</mi></mrow></msub><mo>‾</mo></mover><mo>=</mo><msub><mi>w</mi><mrow><mi>i</mi><mo>,</mo><mi>j</mi></mrow></msub><mo>/</mo><mi>m</mi><mi>a</mi><mi>x</mi><mo>{</mo><msub><mi>w</mi><mrow><mi>i</mi><mo>,</mo><mi>j</mi></mrow></msub><mo>|</mo><mn>1</mn><mo>≤</mo><mi>j</mi><mo>≤</mo><msub><mi>n</mi><mi>i</mi></msub><mo>}</mo></mrow>]]></math><img file="FDA00012261920900000214.GIF" wi="557" he="70" /></maths>步骤S104′:将上次采样计算得到的IP<sub>i</sub>的异常度W<sub>i</sub>'通过加权滑动平均的方式引入到本次采样计算的结果中,加权滑动平均的遗忘因子为λ;考虑到报警事件在后续时间上产生的影响,假定报警事件a<sub>i,j</sub>威胁度随着时间增长的衰减因子为β<sub>i,j</sub>;计算得到本次采样中IP<sub>i</sub>对应设备的异常度W<sub>i</sub>:<maths num="0002"><math><![CDATA[<mrow><msub><mi>β</mi><mrow><mi>i</mi><mo>,</mo><mi>j</mi></mrow></msub><mo>=</mo><msup><mi>e</mi><mrow><mi>t</mi><mo>-</mo><msub><mi>t</mi><mrow><mi>i</mi><mo>,</mo><mi>j</mi></mrow></msub></mrow></msup><mo>/</mo><munderover><mo>Σ</mo><mrow><mi>j</mi><mo>=</mo><mn>1</mn></mrow><msub><mi>n</mi><mi>i</mi></msub></munderover><msup><mi>e</mi><mrow><mi>t</mi><mo>-</mo><msub><mi>t</mi><mrow><mi>i</mi><mo>,</mo><mi>j</mi></mrow></msub></mrow></msup><mo>,</mo><mrow><mo>(</mo><mn>1</mn><mo>≤</mo><mi>j</mi><mo>≤</mo><msub><mi>n</mi><mi>i</mi></msub><mo>)</mo></mrow></mrow>]]></math><img file="FDA00012261920900000215.GIF" wi="549" he="118" /></maths><maths num="0003"><math><![CDATA[<mrow><msub><mi>W</mi><mi>i</mi></msub><mo>=</mo><msup><msub><mi>λW</mi><mi>i</mi></msub><mo>′</mo></msup><mo>+</mo><mrow><mo>(</mo><mn>1</mn><mo>-</mo><mi>λ</mi><mo>)</mo></mrow><munderover><mo>Σ</mo><mrow><mi>j</mi><mo>=</mo><mn>1</mn></mrow><msub><mi>n</mi><mi>i</mi></msub></munderover><msub><mi>β</mi><mrow><mi>i</mi><mo>,</mo><mi>j</mi></mrow></msub><mover><msub><mi>w</mi><mrow><mi>i</mi><mo>,</mo><mi>j</mi></mrow></msub><mo>‾</mo></mover></mrow>]]></math><img file="FDA0001226192090000031.GIF" wi="502" he="115" /></maths>W=(W<sub>i</sub>,W<sub>i</sub>,...,W<sub>i</sub>)表征了信息系统的异常度。 |
