基于關聯分析的電力系統隱蔽性數據攻擊檢測方法研究

王福賀，文志剛，烏日恒，鄒大云，袁飛飛

（1.內蒙古電力（集團）有限責任公司電力調度控制分公司，內蒙古 呼和浩特 010000；2.南京南瑞繼保電氣有限公司，江蘇 南京 210000）

0 引 言

目前，針對隱蔽性數據防御主要以物理保護和檢測保護為主，通過測量傳感器來抵御隱蔽性數據攻擊的危害。這一方法檢測資金投入較高，且更多依靠設備提供數據支持，一定程度上降低了檢測冗余度[1]。另外，隱蔽性數據一旦攻擊成功，狀態估計將無法提供二次檢測，且遇到大范圍隱蔽性攻擊時，造成兩側冗余急劇下降而影響評估結構[2]。因此，提出基于關聯分析的電力系統隱蔽性數據攻擊檢測方法，針對檢測方法對樣本數量和樣本無規律的適用性，在低計算量下進行關聯分析，避免人為處理數據帶來的信息改變[3]。關聯分析電力系統各因素在發展中隨時間變化的情況，可有效檢測電力系統隱蔽性的數據攻擊。

1 基于關聯分析的電力系統隱蔽性數據攻擊檢測方法

1.1 數據頻率相似度關聯

電力系統運行數據頻率相似度關聯將系統穩態運行狀況作為初值，求解系統在受到干擾后的數據值，逐步得到系統運行狀態量與代數量的變化情況，用以判別系統在擾動狀態下能否保證同步運行。假設電力系統受到擾動后實測相應變量為X0，不同參數在相同擾動下動態仿真響應變量為Xi，i=1,2,…,m[4]。

電力系統數據頻率響應間的誤差以響應變量和實測變量的誤差為準。根據準確評估要求，數據頻率變量檢測需滿足參數指導需求，并利用關聯分析誤差評估電力系統的動態數據。原始數據變換為：

其中，i=0,1,2,…,m。

其中，i=0,1,2,…,n。

根據式（1）和式（2）計算結果，求得兩級最大差與最小差為：

根據式（3）和式（4）計算數據關聯系數：

其中，i=1,2,…,m，k=0,1,2,…,n。

根據式（4），計算數據關聯度：

利用灰度關聯計算，比較計算結果和關聯度計算的門檻值。如果得到數值大于預定目標，則證明滿足正常運行數值標準；反之，則證明數據存在誤差，需要對數據進行進一步檢測，修正其參數以提高關聯度和準確度。

1.2 隱蔽性數據攻擊增量

根據電力系統運行特點，電壓相角主要受到系統有功功率影響，電壓幅值主要受到系統無功功率影響。若攻擊節點電壓相角，則需攻擊與該節點相角強相關的有功功率增量；若攻擊電壓幅值，則需攻擊與該節點幅值強相關的無功功率增量。因此，在攻擊增量下，與節點i相角強相關傳輸有功增量Xij與注入有功增量Xi為：

其中：Vi為節點i電壓，Vj為節點j電壓，Gij為節點i與節點j支路的電導，Bij為節點i與節點j支路的電納，θij為節點i與節點j之間相差角。

節點i電壓幅值增強相關傳輸無功增量θij與注入無功增量為Qi為：

使用不等系數構建檢測數據與實測數據的標準，作為衡量兩類輸出功率一致性與動態關聯性指標。指標建立過程中，放寬對數據的要求，不要求數據的正態性和獨立性，驗證輸出與實際輸出的動態關聯性為：

其中，N為動態響應變量采集總點數；vi為實測動態響應變量的第i個點的采集值；為檢測動態響應變量的第i個點的采集值。

通過計算驗證兩個離散時間序列的一致性，當實測序列與檢測序列接近時，計算結果接近0。當計算結果等于0時，表示實測序列與檢測序列完全一致。計算結果指標數值越大，表示檢測的誤差越大。通過判斷計算結果數值，得到電力系統運行狀態下隱蔽性數據攻擊增加。

1.3 頻率關聯相似度

系統動態響應實測得到各自振蕩模式中的能量、頻率以及阻尼。分析頻率分量，按照二維歐氏距離最小原則尋找數據相似元：

其中：fmn為實測動態響應頻率分量；λmi為實測動態響應第i個頻率分量對應能量；fk為仿真動態響應第k個頻率分量；λk為實測動態響應第k個頻率分量對應能量；為頻率差與能量差的比值，其數值取整數。α的加入主要是為了使頻率和能量能在同一數量級上進行比較。

根據計算結果，當x(k)最小時，表示fmn與fk為一對頻率相似元。

經過處理后，實測動態響應變量f與仿真動態響應變量λ中可能存在不一致條件，對其頻率相似度定義為：

其中：k為實測動態響應f中的要素數量；l為實測動態響應λ中的要素數量；n為實測動態響應變量f與仿真動態響應變量λ中相似要素數量；為相似要素個數n的數量對系統相似度的影響；為每對相似要素的相似程度對其權重和整體相似度的影響。結果判斷指標取值如表1所示。

關聯度數值接近9，證明其頻率相似度較高；關聯度數值接近1，證明其相似度較低。根據電力運行系統數據相似度，判斷運行數據中與其他數據相似度較低的隱藏攻擊數據。

2 對比實驗

2.1 實驗準備

利用仿真實驗平臺，驗證基于關聯分析的電力系統隱蔽性數據攻擊檢測方法的有效性。以某區電力系統運行數據作為實驗數據，仿真實驗在無隱蔽性數據注入供給下電力系統未受攻擊，測量變化組數為288。隨機抽取1組作為參考母序列，將其余數據作為子序列得到其數據關聯度。當電力系統數據中遭遇到隱蔽性數據攻擊時，數據關聯度發生變化。模擬電力系統單節數據遭遇攻擊，通過關聯分析反映隱蔽性數據注入，獲取攻擊后測量數據組變化作為參考母序列，而攻擊后數據組歷史量變化作為子序列。為更好地通過歷史量評估變化量在某時刻是否有隱蔽性數據輸入，根據測量變化量關聯度設置關聯度閾值。測試結果中，如果數據關聯度低于設定閾值，則判定為受到攻擊；相反，則判定為未受到攻擊。閾值作為驗證算法對變量的容許程度，其選取會直接影響檢測結果的準確性。若閾值設置過高，會出現誤檢情況；若閾值設置過低，則無法辨別攻擊情況。因此，選取具有一定置信水平的最小關聯度，實驗置信水平為99%。為更好地測試所研究檢測方法的有效性，采用原始值為90%、95%、100%、105%以及110%的5種攻擊狀態，攻擊每個數據節點狀態變量，分析不同攻擊狀態下基于關聯分析的電力系統隱蔽性數據攻擊檢測方法的實驗結果。

表1 關聯度判斷指標

2.2 實驗結果分析

實驗中90%代表攻擊后狀態變量為原始值的90%，100%則為狀態變量未受到攻擊狀態，實驗結果如表2所示。

原始數值為90%時，狀態變量越大，研究檢測方法越能較好地檢測虛擬數據攻擊；原始數據為95%時，狀態變量較小，關聯度在閾值以上被檢測樣本的個數有所增加，其狀態變量更接近原始值。

3 結 論

基于關聯分析的電力系統隱蔽性數據攻擊檢測方法不同于以往的主觀權重法，減少了因決策者偏好對檢測結果的影響，也不同于客觀權重法，簡化了計算過程，能更加迅速、合理地計算電力系統可靠性指標關聯度。通過縱向比較各項指標關聯度，判斷各項指標對電力系統的影響程度，有利于客觀有效地找出電力系統運行中的隱蔽性數據攻擊，為電力系統存在的數據安全漏洞提供一種新的防御參考。

表2 隱蔽性數據注入攻擊檢測結果