基于关联分析的电力系统隐蔽性数据攻击检测方法研究

王福贺，文志刚，乌日恒，邹大云，袁飞飞

（1.内蒙古电力（集团）有限责任公司电力调度控制分公司，内蒙古 呼和浩特 010000；2.南京南瑞继保电气有限公司，江苏 南京 210000）

0 引 言

目前，针对隐蔽性数据防御主要以物理保护和检测保护为主，通过测量传感器来抵御隐蔽性数据攻击的危害。这一方法检测资金投入较高，且更多依靠设备提供数据支持，一定程度上降低了检测冗余度[1]。另外，隐蔽性数据一旦攻击成功，状态估计将无法提供二次检测，且遇到大范围隐蔽性攻击时，造成两侧冗余急剧下降而影响评估结构[2]。因此，提出基于关联分析的电力系统隐蔽性数据攻击检测方法，针对检测方法对样本数量和样本无规律的适用性，在低计算量下进行关联分析，避免人为处理数据带来的信息改变[3]。关联分析电力系统各因素在发展中随时间变化的情况，可有效检测电力系统隐蔽性的数据攻击。

1 基于关联分析的电力系统隐蔽性数据攻击检测方法

1.1 数据频率相似度关联

电力系统运行数据频率相似度关联将系统稳态运行状况作为初值，求解系统在受到干扰后的数据值，逐步得到系统运行状态量与代数量的变化情况，用以判别系统在扰动状态下能否保证同步运行。假设电力系统受到扰动后实测相应变量为X0，不同参数在相同扰动下动态仿真响应变量为Xi，i=1,2,…,m[4]。

电力系统数据频率响应间的误差以响应变量和实测变量的误差为准。根据准确评估要求，数据频率变量检测需满足参数指导需求，并利用关联分析误差评估电力系统的动态数据。原始数据变换为：

其中，i=0,1,2,…,m。

其中，i=0,1,2,…,n。

根据式（1）和式（2）计算结果，求得两级最大差与最小差为：

根据式（3）和式（4）计算数据关联系数：

其中，i=1,2,…,m，k=0,1,2,…,n。

根据式（4），计算数据关联度：

利用灰度关联计算，比较计算结果和关联度计算的门槛值。如果得到数值大于预定目标，则证明满足正常运行数值标准；反之，则证明数据存在误差，需要对数据进行进一步检测，修正其参数以提高关联度和准确度。

1.2 隐蔽性数据攻击增量

根据电力系统运行特点，电压相角主要受到系统有功功率影响，电压幅值主要受到系统无功功率影响。若攻击节点电压相角，则需攻击与该节点相角强相关的有功功率增量；若攻击电压幅值，则需攻击与该节点幅值强相关的无功功率增量。因此，在攻击增量下，与节点i相角强相关传输有功增量Xij与注入有功增量Xi为：

其中：Vi为节点i电压，Vj为节点j电压，Gij为节点i与节点j支路的电导，Bij为节点i与节点j支路的电纳，θij为节点i与节点j之间相差角。

节点i电压幅值增强相关传输无功增量θij与注入无功增量为Qi为：

使用不等系数构建检测数据与实测数据的标准，作为衡量两类输出功率一致性与动态关联性指标。指标建立过程中，放宽对数据的要求，不要求数据的正态性和独立性，验证输出与实际输出的动态关联性为：

其中，N为动态响应变量采集总点数；vi为实测动态响应变量的第i个点的采集值；为检测动态响应变量的第i个点的采集值。

通过计算验证两个离散时间序列的一致性，当实测序列与检测序列接近时，计算结果接近0。当计算结果等于0时，表示实测序列与检测序列完全一致。计算结果指标数值越大，表示检测的误差越大。通过判断计算结果数值，得到电力系统运行状态下隐蔽性数据攻击增加。

1.3 频率关联相似度

系统动态响应实测得到各自振荡模式中的能量、频率以及阻尼。分析频率分量，按照二维欧氏距离最小原则寻找数据相似元：

其中：fmn为实测动态响应频率分量；λmi为实测动态响应第i个频率分量对应能量；fk为仿真动态响应第k个频率分量；λk为实测动态响应第k个频率分量对应能量；为频率差与能量差的比值，其数值取整数。α的加入主要是为了使频率和能量能在同一数量级上进行比较。

根据计算结果，当x(k)最小时，表示fmn与fk为一对频率相似元。

经过处理后，实测动态响应变量f与仿真动态响应变量λ中可能存在不一致条件，对其频率相似度定义为：

其中：k为实测动态响应f中的要素数量；l为实测动态响应λ中的要素数量；n为实测动态响应变量f与仿真动态响应变量λ中相似要素数量；为相似要素个数n的数量对系统相似度的影响；为每对相似要素的相似程度对其权重和整体相似度的影响。结果判断指标取值如表1所示。

关联度数值接近9，证明其频率相似度较高；关联度数值接近1，证明其相似度较低。根据电力运行系统数据相似度，判断运行数据中与其他数据相似度较低的隐藏攻击数据。

2 对比实验

2.1 实验准备

利用仿真实验平台，验证基于关联分析的电力系统隐蔽性数据攻击检测方法的有效性。以某区电力系统运行数据作为实验数据，仿真实验在无隐蔽性数据注入供给下电力系统未受攻击，测量变化组数为288。随机抽取1组作为参考母序列，将其余数据作为子序列得到其数据关联度。当电力系统数据中遭遇到隐蔽性数据攻击时，数据关联度发生变化。模拟电力系统单节数据遭遇攻击，通过关联分析反映隐蔽性数据注入，获取攻击后测量数据组变化作为参考母序列，而攻击后数据组历史量变化作为子序列。为更好地通过历史量评估变化量在某时刻是否有隐蔽性数据输入，根据测量变化量关联度设置关联度阈值。测试结果中，如果数据关联度低于设定阈值，则判定为受到攻击；相反，则判定为未受到攻击。阈值作为验证算法对变量的容许程度，其选取会直接影响检测结果的准确性。若阈值设置过高，会出现误检情况；若阈值设置过低，则无法辨别攻击情况。因此，选取具有一定置信水平的最小关联度，实验置信水平为99%。为更好地测试所研究检测方法的有效性，采用原始值为90%、95%、100%、105%以及110%的5种攻击状态，攻击每个数据节点状态变量，分析不同攻击状态下基于关联分析的电力系统隐蔽性数据攻击检测方法的实验结果。

表1 关联度判断指标

2.2 实验结果分析

实验中90%代表攻击后状态变量为原始值的90%，100%则为状态变量未受到攻击状态，实验结果如表2所示。

原始数值为90%时，状态变量越大，研究检测方法越能较好地检测虚拟数据攻击；原始数据为95%时，状态变量较小，关联度在阈值以上被检测样本的个数有所增加，其状态变量更接近原始值。

3 结 论

基于关联分析的电力系统隐蔽性数据攻击检测方法不同于以往的主观权重法，减少了因决策者偏好对检测结果的影响，也不同于客观权重法，简化了计算过程，能更加迅速、合理地计算电力系统可靠性指标关联度。通过纵向比较各项指标关联度，判断各项指标对电力系统的影响程度，有利于客观有效地找出电力系统运行中的隐蔽性数据攻击，为电力系统存在的数据安全漏洞提供一种新的防御参考。

表2 隐蔽性数据注入攻击检测结果