一种电力信息物理系统虚假数据注入攻击检测方法技术方案

本发明专利技术针对电力信息物理系统网络攻击中虚假数据维度高、噪声强特性，难以直接应用于模型训练和检测实验的问题，提出一种电力信息物理系统虚假数据注入攻击检测方法。首先，通过结合孤立森林(iForest)与局部线性嵌入算法(LLE)，设计了iForest

【技术实现步骤摘要】
一种电力信息物理系统虚假数据注入攻击检测方法


[0001]本专利技术涉及电力信息物理系统网络攻击防御领域，是一种电力信息物理系统虚假数据注入攻击检测方法。

技术介绍

[0002]作为具有重要战略意义的国家大型基础设施之一，电力系统是网络攻击的高价值目标。2019年初，国家电网公司将建设运营电力物联网确立在企业战略地位，电力系统的智能化程度将进一步提升，电力系统正成为典型的电力信息物理系统(CPS)，网络攻击所造成的影响可能超出正常预期。随着乌克兰停电事故、委内瑞拉停电事故的相继发生，网络攻击导致的电力系统严重破坏事件引起广泛关注，如何有效认识、检测各类恶意网络攻击是近年来电力系统安全领域的热点问题。
[0003]电网虚假数据注入攻击(false data injection at-tacks，FDIAs)是攻击者向电网量测量注入预先制定的虚假数据，经修改后的量测数据可绕过不良数据检测模块，在极为隐蔽的情况下改变电网运行状态或者非法获取经济利益，甚至导致大规模的停电事故。针对电力系统的攻击检测，已有一些学者进行了相关研究。针对电力系统的攻击检测，相关研究在实用性和准确性上都有了长足的进步。但目前的检测方法难以快速准确地检测出隐蔽性极强的虚假数据注入攻击。

技术实现思路

[0004]本专利技术的目的是，针对电力信息物理系统网络攻击中虚假数据维度高、噪声强特性，难以直接应用于模型训练和检测实验的问题，提出一种电力信息物理系统虚假数据注入攻击检测方法。首先，通过结合孤立森林(iForest)与局部线性嵌入算法(LLE)，设计了iForest-LLE电力量测数据特征提取方法；然后，利用决策树分类模型与梯度提升框架，组合设计了基于梯度提升决策树高精度攻击检测模型；最后，模拟攻击构造实验所需数据集，并进行算例分析，实验结果表明，提出的方法能有效检测虚假数据注入攻击并具备良好的检测精度。
[0005]本专利技术的目的是由以下技术方案来实现的：一种电力信息物理系统虚假数据注入攻击检测方法，其特征是，它包括以下步骤：
[0006]步骤1)提取攻击检测量测数据特征；
[0007](1.1)基于孤立森林算法对电力信息物理系统中受攻击的数据进行异常分值提取，把攻击行为量化为异常特征，采样子数据集建立二叉孤立树iTree，通过多个iTree组合构成iForest，提取每个数据样本x的iForest异常分值特征iscore(x)，每个数据样本x的iForest异常分值可表示为：
[0008][0009]式中，h(x)为x的路径长度，即从根节点到被孤立节点边的总和，ξ为欧拉常数，E[h(x)]为所有iTree上路径长度的均值，c(μ)为异常分值量化方程，当iscore(x)趋于0.5时，
正常程度越高，当其趋于1时，异常程度越高；
[0010](1.2)进一步使用非线性的局部线性嵌入(LLE)进行数据降维，在保持高维空间非线性结构的同时，寻找其低维映射，寻找高维空间样本点与临近点距离，构建局部重建权值矩阵，寻找高维空间在低维空间的映射，输出新属性的特征数据集，提取攻击检测量测数据特征P＝[ID，iscore(x)，f1，f1，
…
，f
r
]。
[0011]步骤2)设计基于梯度提升决策树的攻击检测模型；
[0012](2.1)将CART回归树作为攻击检测模型的基学习器，通过不同的损失函数，使模型完成二元分类的学习任务，定义对数损失函数L(y，F(x))：
[0013]L(y，F(x))＝log(1+exp(-2yF(x)))
[0014](2.2)得到损失函数与初始化基学习器后，进入迭代提升过程，减少上一代模型损失函数极小值方向残差，不断建立更高精度的检测模型：
[0015][0016]F
boost
(x)为最终的GBDT攻击检测模型，由不断提升的m个弱分类器组合而成，β
nm
为损失函数梯度下降方向的最优步长，I为过拟合系数。
[0017]本专利技术的一种电力信息物理系统虚假数据注入攻击检测方法与现有技术相比的有益效果是：本专利技术特征提取与攻击检测方法有更高的检测精度与运行效率，达到了高精度检测的目标，具有良好的泛化能力，所提攻击检测方法可被借鉴用于其他种类的攻击。
附图说明
[0018]图1为一种电力信息物理系统虚假数据注入攻击检测方法流程图；
[0019]图2为不同特征提取方法的模型训练时间对比图；
[0020]图3为不用特征提取方法的攻击检测精度对比图；
[0021]图4为各种分类器的ROC曲线对比图。
具体实施方式
[0022]下面结合附图对本专利技术的一种电力信息物理系统虚假数据注入攻击检测方法作详细描述。
[0023]一种电力信息物理系统虚假数据注入攻击检测方法，包括如下步骤：
[0024]1)攻击检测量测数据特征提取。
[0025](1.1)基于孤立森林的异常分值提取
[0026]精心设计的虚假数据注入攻击可成功躲避状态估计检测机制，使传统的异常检测算法失效，由于攻击向量存在随机性，受攻击的量测数据可能在通过状态估计检测机制的同时，存在数据分布或离群的差异，攻击检测的第一步是找到由于攻击随机性而产生的数据离群点。异常分值提取的目标是把攻击行为量化为异常特征。
[0027]对于包含n条数据样本x的电力量测数据D，采样子数据集建立二叉孤立树iTree，通过多个iTree组合构成iForest，iTree的建立过程如下：
[0028]1)从电力数据集D中随机选择一个属性P；
[0029]2)随机选择属性P中单个值Q；
[0030]3)根据选取的特征P，对每条记录进行二叉树分割，若属性P中的任意记录R＜Q，则将此记录放在左子节点，若R≥Q，则放在右子节点；
[0031]4)递归构造左子节点和右子节点，直到满足每条样本都被孤立或树的高度l达到了限定高度，构成iTree。
[0032]通过对量测数据集D的多次采样，得到众多子数据集，分别根据子数据集建立多个iTree，以此构成iForest。通过对检测样本x在每棵iTree遍历深度的量化，定义如下异常分值量化方程：
[0033][0034]H(t)＝ln(t)+ξ
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
[0035]每个数据样本x的iForest异常分值可表示为：
[0036][0037]式中，h(x)为x的路径长度，即从根节点到被孤立节点边的总和，ξ为欧拉常数，E[h(x)]为所有iTree上路径长度的均值。当iscore(x)趋于0.5时，正常程度越高，当其趋于1时，异常程度越高。
[0038](1.2)iForest-LLE量测数据特征提取方法
[0039]针对虚假数据注入攻击的检测，将离群特性量化后的异常分值iscore(x)作为攻击检测的一个独立特征，提取异常分值后的电力本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电力信息物理系统虚假数据注入攻击检测方法，其特征是，它包括以下步骤：步骤1)提取攻击检测量测数据特征；(1.1)基于孤立森林算法对电力信息物理系统中受攻击的数据进行异常分值提取，把攻击行为量化为异常特征，采样子数据集建立二叉孤立树iTree，通过多个iTree组合构成iForest，提取每个数据样本x的iForest异常分值特征；(1.2)进一步使用非线性的局部线性嵌入(Locally Linear Embedding，LLE)进行数据降维，在保持高维空间非线性结构的同时，寻找高维空间样本点与临近点距离，...

【专利技术属性】
技术研发人员：尹相爱，辛鹏，张帅，付君，张文宝，
申请(专利权)人：国网吉林省电力有限公司吉林供电公司，
类型：发明
国别省市：