【技术实现步骤摘要】
电力系统及网络恶意数据攻击检测方法、系统及存储介质
[0001]本专利技术涉及电力系统信息物理安全
,特别是一种电力系统及网络恶意数据攻击检测方法、系统及存储介质。
技术介绍
[0002]电力网络的数据安全对于保障系统的稳定可靠运行至关重要。随着信息技术的深度融合、海量物联网设备的接入等,电力系统面临越来越严重的恶意数据攻击。攻击者通过恶意数据注入攻击,诱导控制中心决策失误,将导致发生线路跳闸、隔离开关误操作等严重安全事故。但是,现有的坏数据检测方法仅建立在分析数据一致性的基础之上,利用系统残差检验实现恶意数据的辨识。然而,现有研究表明,攻击者不但能够构造满足系统一致性要求的注入数据,而且能够将恶意数据隐藏于正常数据之中或者附近,使其不具备明显异常点特性。因此,传统的检测方法无法检测此类恶意数据攻击,急需发展针对高隐身恶意数据的检测方法,防范恶意数据注入攻击对系统带来的安全风险。
技术实现思路
[0003]本专利技术所要解决的技术问题是,针对现有技术不足,提供一种电力系统及网络恶意数据攻击检测方法、系统及存储介质,充分利用局部恶意数据攻击向量的构造原则,挖掘遭受恶意数据攻击的量测值样本的异常行为特征,有效解决具有高隐秘性电力恶意数据攻击难以检测的问题。
[0004]为解决上述技术问题,本专利技术所采用的技术方案是:一种电力网络恶意数据攻击检测方法,包括以下步骤:
[0005]S1、输入电力系统拓扑结构中n个正常的历史量测值样本,组成正常量测值样本集Z
normal>;
[0006]S2、根据输入的待检测样本z
′
和步骤S1中的正常量测值样本集Z
normal
,建立当前运行状态下的量测值样本动态安全域Θ
m
,并判断待检测样本z
′
是否具有明显的“异常点”特征,如果该样本具有明显的“异常点”特征,则判定该样本遭受网络攻击;如果该样本不具有明显的“异常点”特征,执行步骤S3;
[0007]S3、根据待检测样本z
′
,使用随机抽样方法计算动态安全域中疑似遭受攻击样本集Λ;
[0008]S4、计算步骤S3所得疑似遭受攻击样本集Λ中出现概率最高的量测值样本,记为z
attack
,并计算该量测值样本与待检测样本的差值Δz;
[0009]S5、判断差值Δz所包含的数据是否满足局部电力恶意数据攻击的构造特征。
[0010]步骤S2的目的是为了剔除遭受恶意数据攻击后具有明显异常行为特征的量测值样本。若输入的待检测样本z
′
遭受传统的电力恶意数据攻击,此样本经过数据处理后的分布情况将会远离当前动态安全域Θ
m
,则可直接判断z
′
为携带恶意数据的量测值样本,若z
′
的分布情况处于动态安全域之内,才执行后面的步骤。本专利技术方法的优势就在于不仅可以
剔除遭受传统电力恶意数据攻击的异常样本,也可以检测遭受隐性电力恶意数据攻击后不具有明显异常特征的异常样本,从而有效解决了具有高隐秘性电力恶意数据攻击难以检测的问题。
[0011]步骤S1中,正常量测值样本集Z
normal
=[z1,z2,...,z
n
];其中,z
i
表示第i个量测值样本;样本;和分别为电力系统中N
d
个节点的有功负荷和无功负荷数据组成的向量;和分别为电力系统中N
l
条线路上的有功潮流和无功潮流数据组成的向量;为电力系统中N
d
个节点的电压幅值。
[0012]此步骤将n个历史量测值样本组成训练数据集并进行了关联分析,通过分析电力系统历史数据可以得到负荷波动大概率区间,为恶意数据攻击检测方法提供了数据基础,更加符合实际情况。
[0013]步骤S2的具体实现过程包括:
[0014]1)将待检测样本z
′
与正常量测值样本集Z
normal
组成一个训练数据样本集Z
train
;
[0015]2)将训练数据样本集Z
train
中的每一个量测值样本从m维空间映射到r维空间中,得到由r维模拟数据所组成的低维样本集合Z
r
=[z
′
r
,Z
normal-r
];r≤m;
[0016]3)通过K均值聚类的方法,计算低维样本集合Z
normal-r
中的n个样本点的聚类中心点,记为点z
o
;
[0017]4)计算低维样本集合Z
normal-r
中所有样本点与聚类中心点z
o
之间的欧式距离;
[0018]5)计算当前状态下量测值样本动态安全域Θ
m
的波动范围D
max
:D
max
=max(D);D为低维样本集合Z
normal-r
的n个样本与聚类中心点z
o
之间欧式距离的集合,max()代表求取一个向量中元素最大值的函数;
[0019]6)利用下式判断待检测样本是否具有明显的“异常点”特征:
[0020][0021]其中,为待检测样本的低维数据样本z
′
r
与聚类中心z
o
的欧式距离;δ为判断一个样本是否具有“异常点”特征的阈值;当上式成立时,则可认为待检测样本z
′
具有明显的“异常点”特征。
[0022]上述步骤将高维样本数据映射到低维空间中,最终在低维度空间得到关于原数据空间的低维表示。其优势在于通过主成分分析的方法对高维量测值样本进行数据预处理,获取原数据的本质特征,去除无用噪声,将原始量测值数据映射到便于观察的低维空间中,降低了数据维度从而克服数据分析过程中所面临的维数灾难,最大限度的分离了正常数据和异常数据的特征。此外在经过降维处理后,使用低维样本建立一个动态安全域,可更直观地分析量测值样本之间的分布情况,有助于电力恶意攻击数据的检测。
[0023]步骤S3的具体实现过程包括:
[0024]A)随机抽取训练数据样本集z
train
的m维数据中的任意k维数据,记为:其中
[0025]B)将中的k维数据映射到r维空间中,建立随机抽样后的k维量测值样本的动
态安全域Θ
k
,记为:其中
[0026]C)计算中所有样本与z
′
kr
之间的最小距离d
min
,并求得这一最小距离值在中对应的k维样本以及在正常训练数据样本集Z
normal
中位于同一列的m维原始样本;计算所求m维原始样本在动态安全域Θ
m
内与z
′
之间的距离d
z
′
,并计算本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种电力网络恶意数据攻击检测方法,其特征在于,包括以下步骤:S1、输入电力系统拓扑结构中n个正常的历史量测值样本,组成正常量测值样本集Z
normal
;S2、根据输入的待检测样本z
′
和步骤S1中的正常量测值样本集Z
normal
,建立当前运行状态下的量测值样本动态安全域Θ
m
,并判断待检测样本z
′
是否具有明显的“异常点”特征,如果该样本具有明显的“异常点”特征,则判定该样本遭受网络攻击;如果该样本不具有明显的“异常点”特征,执行步骤S3;S3、根据待检测样本z
′
,使用随机抽样方法计算动态安全域中疑似遭受攻击样本集Λ;S4、计算步骤S3所得疑似遭受攻击样本集Λ中出现次数最多的量测值样本,并计算该量测值样本与待检测样本的差值Δz;S5、判断差值Δz所包含的数据是否满足局部电力恶意数据攻击的构造特征。2.根据权利要求1所述的电力网络恶意数据攻击检测方法,其特征在于,步骤S1中,正常量测值样本集Z
normal
=[z1,z2,
…
,z
n
];其中,z
i
表示第i个量测值样本;表示第i个量测值样本;和分别为电力系统中N
d
个节点的有功负荷和无功负荷数据组成的向量;和分别为电力系统中N
l
条线路上的有功潮流和无功潮流数据组成的向量;为电力系统中N
d
个节点的电压幅值。3.根据权利要求1所述的电力网络恶意数据攻击检测方法,其特征在于,步骤S2的具体实现过程包括:1)将待检测样本z
′
与正常量测值样本集Z
normal
组成一个训练数据样本集Z
train
;2)将训练数据样本集Z
train
中的每一个量测值样本从m维空间映射到r维空间中,得到由r维模拟数据所组成的低维样本集合Z
r
=[z
′
r
,Z
normal-r
];r≤m;3)通过K均值聚类的方法,计算低维样本集合Z
normal-r
中的n个样本点的聚类中心点,记为点z
o
;4)计算低维样本集合Z
normal-r
中所有样本点与聚类中心点z
o
之间的欧式距离;5)计算当前状态下量测值样本动态安全域Θ
m
的波动范围D
max
:D
max
=max(D);D为低维样本集合Z
normal-r
的n个样本与聚类中心点z
o
之间欧式距离的集合,max()代表求取一个向量中元素最大值的函数;6)利用下式判断待检测样本是否具有明显的“异常点”特征:其中,为待检测样本的低维数据样本z
′
r
与聚类中心z
o
的欧式距离;δ为判断一个样本是否具有“异常点”特征的阈值;当上式成立时,则判断待检测样本z
′
具有明显的“异常点”特征。4.根据权利要求3所述的电力网络恶意数据攻击检测方法,其特征在于,步骤S3的具体实现过程包括:A)随机抽取训练数据样本集Z
train
的m维数据中的任意k维数据,记为:其中
B)将中的k维数据映射到r维空间中,建立随机抽样后的k维量测值样本的动态安全域Θ
k
,记为:其中C)计算中所有样本与z
′
kr
之间的最小...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。