機器學(xué)習(xí)緩解的廣域阻尼控制系統(tǒng)異常檢測

侯鵬鑫， 韓建富， 王飛飛， 薛建立， 譚沛然

(國網(wǎng)山西省電力公司營銷服務(wù)中心， 太原 030001)

廣域阻尼控制(wide area damping control,WADC)是現(xiàn)代電力廣域控制系統(tǒng)(wide area control system,WACS)中關(guān)鍵的應(yīng)用之一，主要用于抑制區(qū)域間振蕩，其應(yīng)用性能在很大程度上取決于電源和網(wǎng)絡(luò)系統(tǒng)的動態(tài)性設(shè)計，包括低延遲、數(shù)據(jù)丟包等網(wǎng)絡(luò)服務(wù)質(zhì)量因素[1-2]。除了這些系統(tǒng)動力學(xué)因素外，對電力和網(wǎng)絡(luò)系統(tǒng)的隨機性網(wǎng)絡(luò)攻擊可能嚴(yán)重影響WADC的性能，這可能危及電力系統(tǒng)運行并影響電網(wǎng)穩(wěn)定性。

隱蔽的網(wǎng)絡(luò)攻擊向量可能會繞過傳統(tǒng)的網(wǎng)絡(luò)安全措施，從而破壞WADC，因此，有必要建立一個能夠檢測攻擊并防止網(wǎng)絡(luò)攻擊異常的攻擊彈性系統(tǒng)[3]。針對上述問題，文獻(xiàn)[4]提出了一種增強基礎(chǔ)設(shè)施故障后恢復(fù)能力的主從式廣域阻尼控制模型，有效提高了故障影響下的控制性能。文獻(xiàn)[5]利用Kalman濾波反饋控制實現(xiàn)WADC中的攻擊檢測與控制。文獻(xiàn)[6]提出了全局靈敏度分析方法，量化變量輸入對WADC系統(tǒng)的影響，該方法能有效識別關(guān)鍵輸入，指導(dǎo)有限防控資源應(yīng)對網(wǎng)絡(luò)攻擊。文獻(xiàn)[7]將惡意網(wǎng)絡(luò)攻擊信號進(jìn)行一致性處理，利用WADC穩(wěn)態(tài)運行狀態(tài)下的數(shù)據(jù)，設(shè)計了基于置信度的控制協(xié)議來檢測攻擊。雖然上述方法取得了一定的效果，但是對攻擊類型的魯棒性較差，且很難適用于大規(guī)模電網(wǎng)模型。

為考慮攻擊彈性，學(xué)者們將攻擊檢測歸于異常檢測，對基于異常檢測和機器學(xué)習(xí)的離線在線調(diào)整同步相量測量進(jìn)行了廣泛的研究。文獻(xiàn)[8]提出了一種基于神經(jīng)網(wǎng)絡(luò)補償?shù)膹V域控制系統(tǒng)異常檢測控制方法，有效實現(xiàn)異常狀態(tài)下的控制。文獻(xiàn)[9]利用滑模觀測器實現(xiàn)了系統(tǒng)的異常檢測，通過自適應(yīng)閾值能夠提升異常檢測的魯棒性和準(zhǔn)確性。文獻(xiàn)[10]提出了基于人工免疫系統(tǒng)理論的廣域阻尼控制器，對區(qū)間振蕩有顯著抑制效果，且增強了系統(tǒng)的抗干擾能力以及動態(tài)穩(wěn)定性能。然而上述檢測方法主要通過監(jiān)控測量信號段上的同步相量，而電網(wǎng)的網(wǎng)絡(luò)物理控制系統(tǒng)包括測量信號和控制信號段的攻擊面。因此，需要建立攻擊彈性，從而實現(xiàn)對測量信號和控制信號段隱蔽網(wǎng)絡(luò)攻擊的應(yīng)對。

為解決上述問題，提出了一種基于機器學(xué)習(xí)緩解策略的廣域阻尼控制系統(tǒng)異常檢測方法，以期實現(xiàn)高精度的異常檢測。

1 系統(tǒng)框架

異常檢測方法如圖1所示。電源管理單元(power management unit, PMU)從電流互感器(current transformer, CT)和電壓互感器(potential transformer, PT)計算同步相量值，并將其傳輸?shù)脚渲玫谋镜睾统壪嗔繑?shù)據(jù)集中模塊(phasor data centralization, PDC)。當(dāng)本地PDC由多個PMU組成時，通常將其部署在變電站，而超級PDC在控制中心運行，主要收集來自主系統(tǒng)PMU和PDC的同步相量。使用IEEE-C37.118協(xié)議進(jìn)行同步相量數(shù)據(jù)通信，使用DNP3和IEC-61850協(xié)議在控制中心、執(zhí)行器、智能電子設(shè)備(intelligent electronic equipment, IED)和遠(yuǎn)程終端單元(remote terminal unit, RTU)之間進(jìn)行數(shù)據(jù)和控制信號通信。

WADC系統(tǒng)對區(qū)域間振蕩(inter-area oscillation, IAO)的阻尼作用在很大程度上取決于廣域輸入測量、執(zhí)行器和時延的選擇。為了在高延遲情況下確保獲得更好的性能，已有相關(guān)研究提出了各種方法來搭建魯棒性強、緩解延遲的WADC系統(tǒng)。然而，除基于惡意軟件和拒絕服務(wù)(denial of service, DoS)的典型網(wǎng)絡(luò)攻擊外，攻擊者還可以部署隱蔽的完整性數(shù)據(jù)網(wǎng)絡(luò)攻擊向量，如脈沖攻擊、斜坡攻擊和切換攻擊，或?qū)y量信號、控制信號或兩者同時進(jìn)行攻擊。這些都會嚴(yán)重影響WADC系統(tǒng)的正常運行。此外，由于負(fù)阻尼的影響，還可能導(dǎo)致系統(tǒng)不穩(wěn)定。為此，提出了抗攻擊WADC(attack-resilient WADC,AR-WADC)系統(tǒng),如圖1所示。

AR-WADC操作主要包括兩個階段：第一階段包括檢測網(wǎng)絡(luò)攻擊異常的機器學(xué)習(xí)模型的訓(xùn)練過程；第二階段包括WADC的集成以及閉環(huán)系統(tǒng)操作中的緩解技術(shù)。在閉環(huán)AR-WADC系統(tǒng)運行中，受損測量信號的異常出現(xiàn)在當(dāng)前所處的周期，而受損控制信號的異常出現(xiàn)在下一個周期內(nèi)。異常檢測緩解模塊包括經(jīng)過訓(xùn)練的機器學(xué)習(xí)模型，用于檢測活動類型，如正常、擾動、攻擊以及攻擊-擾動。如果檢測到網(wǎng)絡(luò)異常，則子模塊會修改WADC信號，并將WADC狀態(tài)模式設(shè)置為0。控制信號調(diào)度器(control signal dispatcher, CSD)向廣域執(zhí)行器發(fā)送控制和狀態(tài)數(shù)據(jù)，如果狀態(tài)模式設(shè)為1，則將除控制數(shù)據(jù)之外的狀態(tài)信號設(shè)置為設(shè)計狀態(tài)，從而將致動器的操作從廣域模式設(shè)置為本地模式或OFF模式。由于廣域執(zhí)行器的控制信號受損，因此它在防止異常問題出現(xiàn)方面起著至關(guān)重要的作用。

PSS為分組交換服務(wù)；FACTS為彈性交流傳輸系統(tǒng)；HVDC為高電壓直流傳輸；S1、S2為開關(guān)圖1 異常檢測整體框架Fig.1 Overall framework of anomaly detection

2 本文方法

機器學(xué)習(xí)是基于模式識別發(fā)展而來的，經(jīng)過訓(xùn)練的機器學(xué)習(xí)模型通過進(jìn)行數(shù)據(jù)驅(qū)動的預(yù)測、決策和分類來克服靜態(tài)程序指令。構(gòu)建訓(xùn)練模型的基本模塊包括數(shù)據(jù)集準(zhǔn)備、從數(shù)據(jù)集中提取特征和機器學(xué)習(xí)算法。在機器學(xué)習(xí)算法中，特征選擇是提高檢測精度和消除不適當(dāng)屬性的關(guān)鍵。

2.1 數(shù)據(jù)集的準(zhǔn)備

數(shù)據(jù)集包括各種電力系統(tǒng)運行條件αpsoc的同步相量測量數(shù)據(jù)，包括擾動和網(wǎng)絡(luò)系統(tǒng)攻擊事件βcsae。WACS網(wǎng)絡(luò)物理系統(tǒng)(cyber-physical system, CPS)的通用配置包括制動器、PMU以及圖1所示的位于控制中心的網(wǎng)絡(luò)設(shè)備和WACS應(yīng)用模塊。機器學(xué)習(xí)的性能表現(xiàn)依賴于豐富的數(shù)據(jù)集，其中更為重要的是觀察不存在由αpsoc和βcsae組成的實用數(shù)據(jù)集。因此，必須通過一組模擬方法來生成CPS數(shù)據(jù)集。對于本網(wǎng)絡(luò)，由αpsoc和βcsae組成的數(shù)據(jù)集定義為

D=f(αpsoc,βcsae)

(1)

式(1)中：D為數(shù)據(jù)集；f為數(shù)據(jù)集組合函數(shù)。

αpsoc={αvp,αf,αld,αgd,αlc}

(2)

βcsae={βp,βr,βrt,βfd,βct}

(3)

通過一組包含擾動的αpsoc集合，其包括在發(fā)電機中的電壓擾動αvp、故障αf、負(fù)載αld、產(chǎn)生偏差αgd和線路偶然性αlc，每種情況都可能使所選電力系統(tǒng)處于穩(wěn)定、略微穩(wěn)定或不穩(wěn)定的運行狀態(tài)，除了這些αpsoc狀態(tài)，還考慮了一組可能影響電力系統(tǒng)穩(wěn)定性的隱身網(wǎng)絡(luò)攻擊矢量βcsae的集合，其包括脈沖攻擊βp、坡道攻擊βr、中繼跳閘攻擊βrt、重復(fù)攻擊βrp、虛假數(shù)據(jù)注入攻擊βfd以及對測控信號同時或順序時序向量βct的協(xié)同攻擊，由于這些網(wǎng)絡(luò)攻擊向量本質(zhì)上是隨機的，因此假設(shè)它們存在于理想狀態(tài)和αpsoc狀態(tài)中。

βcsae可定義為

(4)

式(4)中：t為時間；λt為定義攻擊的持續(xù)時間；ta為攻擊時間；λfr為虛假輸入攻擊；λpe為脈沖周期誤差；λmd為攻擊幅度分量，當(dāng)攻擊對傳統(tǒng)的異常數(shù)據(jù)檢測模塊造成不利影響并增加其誤報率時，將其稱為隱蔽攻擊；λr、λtc分別為受攻擊的繼電器與繼電器開關(guān)狀態(tài)；λat為攻擊時間序列；λav為事件組成的攻擊向量；λs為報道信號斜率；脈沖攻擊βp取決于3個參數(shù)，即攻擊幅度λm、脈沖周期持續(xù)時間λp、脈沖寬度持續(xù)時間λw。

應(yīng)用于真實數(shù)據(jù)信號的脈沖攻擊可以是包含(加法)或排除(減法)，由于脈沖攻擊的性質(zhì)，它將頻率分量的幅度注入真實的數(shù)據(jù)信號中。通過正確選擇由λp和λw定義的振幅分量λm和頻率分量，構(gòu)造了一種隱身脈沖攻擊。

坡道攻擊βr：取決于兩個參數(shù)，即攻擊幅度λm和坡道信號斜率λs。對真實數(shù)據(jù)信號應(yīng)用的坡道攻擊可以包括(加法)或排除(減法)。通過選擇合適的振幅和斜率，可以構(gòu)造潛在坡道攻擊。具有小斜率的坡道攻擊以較慢的速率改變真實數(shù)據(jù)信號，這意味著它可以繞過傳統(tǒng)的異常數(shù)據(jù)檢測模塊。

中繼跳閘攻擊βrp：是中間人攻擊類型，主要包括兩項任務(wù)，即識別易受攻擊的繼電器λr，也稱為智能電子設(shè)備(intelligent electronic equipment, IED)，以及通過SCADA協(xié)議啟動跳閘或閉合λtc操作。

虛假數(shù)據(jù)注入攻擊βfd：攻擊者利用系統(tǒng)屬性操縱數(shù)據(jù)。

協(xié)同攻擊βct：這些攻擊更隱蔽，因為攻擊者使用任何攻擊組合來發(fā)起由不同網(wǎng)絡(luò)攻擊事件和不同攻擊時間序列λat事件組成的攻擊向量λav。

數(shù)據(jù)完整性攻擊βcsae的受損信號x*(t)可定義為

x*(t)=(I+βcsae)x(t)， ?t∈ta

(5)

式(5)中：x(t)為αpsoc中定義的操作條件的測量或控制信號；I為單位向量。

在模擬環(huán)境中準(zhǔn)備了一個電力系統(tǒng)模型和一組逗號分隔值(commaseparatedvalues,CSV)文件，其中每個文件表示一個模擬實例變量，包括模型的系統(tǒng)變量以及來自αpsoc和βcsae操作條件和攻擊事件的場景變量。

(1)數(shù)據(jù)集生成模塊(并行執(zhí)行)。通過將仿真實例變量與仿真模型隔離，從而優(yōu)化并行所有的仿真示例。這一過程對于為大規(guī)模電力系統(tǒng)提供豐富的數(shù)據(jù)集至關(guān)重要，其中包括大量的執(zhí)行器和測量裝置，在這些系統(tǒng)中，各種系統(tǒng)運行條件下可能發(fā)生的攻擊和可能的組合的數(shù)量會產(chǎn)生大規(guī)模的攻擊。在該模塊中，利用并行計算工具箱，在MATLAB環(huán)境下將仿真實例動態(tài)自動分配給集群的執(zhí)行模塊。在理想情況下，考慮所有的組合，即αpsoc×βcsae×2n′，其中n′為組合冪指數(shù)。但是wa×2n′種組合可以通過數(shù)據(jù)威脅分析來考慮，從而規(guī)定wa的取值范圍為[0,1]，其中wa為從整個2n′個組合中選擇若干組合的相關(guān)權(quán)重。電力系統(tǒng)運行條件和網(wǎng)絡(luò)攻擊事件的數(shù)量定義了通過訓(xùn)練的機器學(xué)習(xí)模型檢測異常的范圍。

(2)用于訓(xùn)練和測試的數(shù)據(jù)集預(yù)處理器主要包括兩個任務(wù)：一是分配標(biāo)簽，有監(jiān)督的機器學(xué)習(xí)算法需要標(biāo)簽數(shù)據(jù)集作為輸入，在本模塊中，根據(jù)每個仿真實例的相應(yīng)場景為生成的數(shù)據(jù)分配標(biāo)簽；二是準(zhǔn)備窗口框架：在標(biāo)簽數(shù)據(jù)集上選擇合適的窗口大小，以準(zhǔn)備數(shù)據(jù)點向量，從而保持窗口長度周期的特征。使用點偏移的移動窗口方法，這意味著每個新的窗口幀不包括舊數(shù)據(jù)點，而是包括最新的數(shù)據(jù)點，PMU數(shù)據(jù)速率為60 fps(fps表示每秒幀數(shù))。標(biāo)記數(shù)據(jù)集的這些窗口框架用于構(gòu)建特征數(shù)據(jù)集，從而訓(xùn)練機器學(xué)習(xí)算法。

2.2 異常檢測特征

原始輸入數(shù)據(jù)可以直接用作訓(xùn)練機器學(xué)習(xí)模型的特征，然而，當(dāng)存在多個電力系統(tǒng)事件和攻擊活動事件時，它會影響訓(xùn)練機器學(xué)習(xí)模型的檢測精度和性能。因此從標(biāo)記數(shù)據(jù)集的窗口幀計算繼承模式的過程，對于構(gòu)建用于異常檢測的魯棒訓(xùn)練機器學(xué)習(xí)模型至關(guān)重要，這些遵循復(fù)雜電力系統(tǒng)物理定律的特定鄰域特征加強了數(shù)據(jù)流中事件模式之間的內(nèi)聚性。

有監(jiān)督的機器學(xué)習(xí)模型的訓(xùn)練過程在這些特征和標(biāo)記數(shù)據(jù)之間建立了一個關(guān)聯(lián)權(quán)重圖，訓(xùn)練后的機器學(xué)習(xí)模型精度依賴于權(quán)值圖的精度，而權(quán)值圖的精度依賴于訓(xùn)練數(shù)據(jù)的數(shù)量和提取特征的魯棒性，本文特征的提取方法見算法1。

算法1 特征提取1:輸入:標(biāo)記數(shù)據(jù)集2:while所有特征都沒有經(jīng)過處理 then3: 定義特征向量:fv∈{ftkeo, fpca, fwasm, fprimitive},其中ftkeo、 fpca、 fwasm、 fprimitive分別為能量算子向量、主成分分析向量、廣域系統(tǒng)度量向量、原始向量4:特征提取5: while所有fv的i都未處理 then6: 定義新的特征變量i∈fv7: 計算i8: end while9: 特征選擇:排除fv中的冗余/不適當(dāng)特征變量10:end while11:輸出過濾后的特征變量,通過訓(xùn)練過的機器學(xué)習(xí)模型進(jìn)行異常檢測

2.2.1 Teager-Kaiser能量算子(TKEO)

將 Teager-Kaiser能量算子(Teager-Kaiser energy operator，TKEO)定義為離散x(n)時間信號和示例軌跡信號估計瞬時信號能量ΨTK[*]，其表達(dá)式為

(6)

ΨTK[e-αnAcos(ωn)]=e-2αnA2ω2

(7)

在瞬態(tài)變化期間，ΨTK[*]的第一個分量占主導(dǎo)地位，并對信號能量的脈沖響應(yīng)產(chǎn)生最大影響，ΨTK[*]對自然電力系統(tǒng)振蕩和振蕩模式的信號能量產(chǎn)生的影響可忽略，由于它能更好地估計暫態(tài)變化，因此，對原始輸入信號的特征提取可以作為區(qū)分自然電力系統(tǒng)事件和敵方部署的隱蔽網(wǎng)絡(luò)攻擊向量之間暫態(tài)變化的指標(biāo)，它還可以應(yīng)用于PMU數(shù)據(jù)，以預(yù)測電力系統(tǒng)振蕩的頻率和檢測。由于TKEO能夠更好地估計信號能量，因此被廣泛應(yīng)用于各種信號處理技術(shù)中，其中一個重要的應(yīng)用是跟蹤幅度調(diào)制(amplitude modulation, AM)信號的包絡(luò)。此外，通過導(dǎo)出兩個信號間的相互作用ΨCTK(xn,yn)來考慮相關(guān)的特征，其中，yn為輸出，xn-2、yn-2分別為延遲兩步的輸入和輸出，這種相關(guān)特征增強了攻擊活動檢測的準(zhǔn)確性。連續(xù)和離散時間信號的相互作用或交叉能量ΨCTK(xn,yn)及其通過基于能量的相似性度量EbSM在時間窗口上的歸一化的定義式為

(8)

(9)

2.2.2 主成分分析

在特征提取過程中，使用主成分分析(principal component analysis,PCA)對高維數(shù)據(jù)進(jìn)行降維和模式識別。PCA通過正交變換將相關(guān)變量的觀察值或測量值的窗口轉(zhuǎn)換為一組稱為主成分(PC)的線性獨立變量。一組具有m個測量值(更高維度)的x變量可以具有min(m-1,x)不同的正交PC(低維)，其中每個PC表示其對應(yīng)單位特征向量方向上的數(shù)據(jù)可變性。在機器學(xué)習(xí)算法中，是要將主要PC作為特征向量，以避免過度擬合，并且提高主動檢測的準(zhǔn)確性以及計算速度。

2.2.3 廣域系統(tǒng)度量(WASM)

在機器學(xué)習(xí)算法中使用基于WASM的特征，通過與自然電力系統(tǒng)事件不同的隱蔽網(wǎng)絡(luò)攻擊向量來識別異常。由相干性和非相干性指標(biāo)組成的WASM描述了電力系統(tǒng)事件的動態(tài)特性，當(dāng)這些指標(biāo)基于電力系統(tǒng)的系統(tǒng)動態(tài)形成一組封閉的閾值時，通過索引來提取機器學(xué)習(xí)算法中的特征，以提高對電力系統(tǒng)事件和網(wǎng)絡(luò)攻擊事件的識別的準(zhǔn)確性。文獻(xiàn)[11]對于多區(qū)域電力系統(tǒng)第i個區(qū)域中的Ng發(fā)電機，該區(qū)域的慣性中心變換、系統(tǒng)慣性中心變換(center of inertial, COI)、相對于第i個區(qū)域的發(fā)電機的相對轉(zhuǎn)子角偏差和相對于其系統(tǒng)的第i個區(qū)域可定義為

(10)

(11)

(12)

(13)

2.2.4 原始指標(biāo)值

原始同步相量輸入數(shù)據(jù)窗口上的變化率、平均值、標(biāo)準(zhǔn)偏差和均方根(root mean square,RMS)函數(shù)提供了信號之間的主要關(guān)系，這些初始指標(biāo)值作為特征來維持輸入信號的主要變化，并在穩(wěn)定的系統(tǒng)操作中提供更好的性能。

使用有監(jiān)督的機器學(xué)習(xí)算法，即支持向量機(support vector machine,SVM)、決策樹、K近鄰、樸素貝葉斯、判別分析、邏輯回歸和神經(jīng)網(wǎng)絡(luò)對數(shù)據(jù)進(jìn)行分類。SVM和K最近鄰(K-nearest neighbor, KNN)在異常分類方面表現(xiàn)出更好的性能；KNN和DT收斂更快，縮短了訓(xùn)練時間。因此，通過DT和KNN-機器學(xué)習(xí)算法進(jìn)行異常檢測。通過使用決策樹DT的3個相似算法(精細(xì)樹、中等樹和粗樹)，以及K近鄰(KNN)監(jiān)督的機器學(xué)習(xí)模型用于檢測網(wǎng)絡(luò)攻擊異常的6個變體。在MATLAB中使用機器學(xué)習(xí)工具箱來建立一個訓(xùn)練過的模型，然后與WADC模塊集成。

2.3 緩解方法

設(shè)計兩部分攻擊，即對測量信號的攻擊和對控制信號的攻擊。考慮在控制中心部署異常檢測緩解(anomaly detection and mitigation, ADM)模塊，以檢測測量和控制數(shù)據(jù)上的異常。ADM檢測攻擊異常和受損信號的相應(yīng)信道索引，因此，ADM為 AR-WADC 操作執(zhí)行適當(dāng)?shù)木徑獠僮鳎孩偃绻麥y量信號受到攻擊，則其在當(dāng)前周期通過ADM進(jìn)行處理，隨后，ADM檢測并向廣域執(zhí)行器發(fā)送調(diào)諧WADC信號；②如果控制信號受到攻擊，則它僅在下一個控制循環(huán)回路中通過ADM進(jìn)行處理，隨后，ADM檢測異常和受損通道。然而，在這種情況下，調(diào)諧的WADC信號將是不夠的，因為攻擊發(fā)生在控制信號一側(cè)，會再次影響調(diào)諧的控制信號。存在兩種緩解方法，Only-PSS模式和重新配置模式如下。

(1)Only-PSS模式。通過使用本地信號來維持系統(tǒng)的穩(wěn)定運行，直到排除攻擊。ADM模塊在檢測控制信號側(cè)的攻擊時，將WADC狀態(tài)模式0發(fā)給執(zhí)行器，使執(zhí)行器配合本地信號進(jìn)行操作，文獻(xiàn)[12]解釋了廣域控制信號和局部信號之間的切換過程。

(2)重新配置模式。當(dāng)系統(tǒng)具有冗余輸入和輸出信號的WADC時，該模式性能較好。在這種情況下，可以使用可靠的數(shù)據(jù)通道進(jìn)行WADC的重構(gòu)，從而可以避免Only-PSS操作模式。混合WADC通過對輸入和輸出通信通道的重新配置，提高了WADC閉環(huán)操作的彈性。

3 實驗分析

使用圖2所示的2區(qū)域4機電力系統(tǒng)網(wǎng)絡(luò)，用于演示AR-WADC的應(yīng)用。ADM模塊監(jiān)控所有PMU從而實現(xiàn)異常檢測，WADC模塊使用所需的PMU數(shù)據(jù)并合成控制信號，ADM和WADC模塊及其在閉環(huán)操作中的集成的詳細(xì)過程如圖3所示。所選擇的電力系統(tǒng)是在OP5600 OPA-RT實時數(shù)字模擬器上實現(xiàn)的，與愛荷華州立大學(xué)PowerCyber實驗室的硬件設(shè)置相結(jié)合。將本文模型與OPAL-RT的ARTEMiS SSN提供的虛擬PMU集成，使用SEL-3373硬件PDC收集并將同步相量從PMU傳輸?shù)絎ADC模塊。

3.1 控制性能分析

設(shè)計WADC處理器的過程如圖4所示，使用MATLAB計算所考慮電力系統(tǒng)的全階非線性模型。考慮了所有的同步發(fā)電機的詳細(xì)模型，包括調(diào)速器、勵磁機的雙軸模型和具有超前滯后相位補償塊。將線性模型轉(zhuǎn)化為狀態(tài)空間表示，它提供的系統(tǒng)動力學(xué)是一組輸入、輸出和狀態(tài)變量形成耦合的一階微分方程。對狀態(tài)空間模型進(jìn)行小信號分析，以估計IAO模式的參數(shù)，如阻尼比、頻率、相位和幅值。

進(jìn)一步研究了IAO模式的可觀測性和能控性的特征值模態(tài)分析和殘差方法。通過考慮右半平面零點方法來判斷不穩(wěn)定性，而可觀測性分析用于識別主要IAO模式的廣域反饋信號。從PMU數(shù)據(jù)集中選擇候選反饋信號，該數(shù)據(jù)集包括正序電壓和電流信號、相角、頻率和衍生信號，如線路上的有功和無功功率、轉(zhuǎn)子轉(zhuǎn)速及其偏差以及發(fā)電機狀態(tài)變量。

圖2 四機兩區(qū)電力系統(tǒng)網(wǎng)絡(luò)Fig.2 Power system network of 4 machines and 2 areas

ZoH為零階保持圖3 控制中心結(jié)構(gòu)Fig.3 Structure of control center

可控性分析用于識別處理WADC信號，從而抑制IAO模式的廣域執(zhí)行器。執(zhí)行器可與PSS、HVDC和FACTS 3種裝置集成，控制有功和無功功率，以增加電力系統(tǒng)的阻尼比。通過考慮兩個WADC執(zhí)行器，如圖4所示。這些WA-PSS處理從WADC接收的控制信號。除了基于本地信號的PSS外，WA-PSS 還進(jìn)一步補充發(fā)電機的勵磁控制，從而抑制IAO模式并提高系統(tǒng)穩(wěn)定性。PSS的放大增益可以在較弱放大信號的情況下提供相對較好的控制效率，與FACTS和HVDC相比，電力系統(tǒng)包含更多的PSS裝置，因此選擇和集成廣域執(zhí)行器與PSS的靈活性相對較高。然而，與高壓直流輸電系統(tǒng)相結(jié)合的執(zhí)行器可以對通過連接線傳輸?shù)挠泄β侍峁└臁⒏苯拥目刂疲瑥亩种艻AO模式。中國南方電網(wǎng)基于HVDC的WADC現(xiàn)場試驗表明，在IAO模式下，阻尼比從7.551%增加到20.459%。盡管FACTS設(shè)備的主要應(yīng)用是調(diào)節(jié)有功功率流以提高功率傳輸能力，但可以看出，基于FACTS的WADC即使在網(wǎng)絡(luò)延遲的影響下，也可以表現(xiàn)出較好的性能。

3.1.1 WADC的狀態(tài)空間建模和參數(shù)設(shè)置

廣域阻尼控制器的各種仿真和硬件設(shè)計參見文獻(xiàn)[13]，為了識別Ng發(fā)電機系統(tǒng)的LO和IAO模式，將狀態(tài)空間模型定義為

ε、εthreshold分別為穩(wěn)定性系數(shù)和穩(wěn)定性閾值圖4 WADC的處理過程Fig.4 Processing procedure of WADC

(14)

式(14)中：x、u、y分別為輸入向量、控制響亮和輸出向量；A、B、C分別為狀態(tài)空間矩陣、控制輸入矩陣和輸出矩陣，其中A包括2Ng個特征值，Ng-1個復(fù)共軛對表示LO和IAO模式；對于第j個生成器，Bj為輸入矩陣(列向量)；Cj為輸出矩陣(行向量)。

采用帶區(qū)域極點配置約束的混合H2/H∞輸出反饋魯棒控制(H2、H∞為魯棒性方法名稱)，定義了所使用的廣域反饋信號。使用MATLAB中的線性矩陣不等式(LMI)工具箱計算WADC處理器的參數(shù)，WADC的狀態(tài)空間模型定義為

(15)

式(15)中：Xk、Uk、Yk分別為狀態(tài)向量、控制向量和輸出向量；Ak、Bk、Ck、Dk分別為狀態(tài)空間矩陣、控制輸入矩陣、輸出矩陣以及干擾矩陣；Uk=[Δω′]，其中Δω′為角速度增量。

LMI方法的結(jié)果包括最優(yōu)增益和WADC的增量函數(shù)Hi(s)，使用LMI的PSS增益矩陣的詳細(xì)推導(dǎo)參見文獻(xiàn)[14]。

為實現(xiàn)WADC，定義如下。

(16)

HWADC(s)=KWADCHi(s)

(17)

φc=π-argRj

(18)

(19)

(20)

式中：HWADC(s)為廣域控制系統(tǒng)輸出；θ為滯后角；KWADC為WADC增益；Tw為清除常數(shù)；Tlead和Tlag為相位補償?shù)膮?shù)；nmod為超前滯后模塊數(shù)；φc為相所需補償；argRj為殘差模快Rj相位角；ωn為主振蕩模式頻率。

WADC中考慮的參數(shù)分別取值為KWADC=30,Tw=10,[TleadTlag]=[63.244e-344.516e-3]，輸出飽和限制為[-0.15 0.15]，傳感器時間常數(shù)為15e-3。

3.1.2 WADC的時域評估

為了更好地進(jìn)行非線性時域仿真，需要對所設(shè)計控制器的瞬態(tài)響應(yīng)和穩(wěn)定性進(jìn)行評估。在測試系統(tǒng)的全階模型的HIL閉環(huán)上對WADC處理器進(jìn)行評估。

從捕獲測量數(shù)據(jù)到執(zhí)行器執(zhí)行控制信號從而抑制IAO模式所涉及的時間延遲問題如圖5所示。為PMU配置60 fps速度進(jìn)行數(shù)據(jù)的傳輸，觀察到PMU每幀的平均處理時間是2.865 ms，而WADC的處理時間是1.28 ms。

本實驗在發(fā)電機1的電壓基準(zhǔn)上施加了12個周期的5%幅度的脈沖，并且針對不同的場景調(diào)整了PSS。在正常運行和電壓擾動期間，在系統(tǒng)中PSS對IAO阻尼的影響如圖6所示。可以看出，在這種情況下，兩個位置的PSS表現(xiàn)出相對較大的阻尼，但不足以抑制IAO。在系統(tǒng)的發(fā)電機3上進(jìn)行了相同的實驗，搭建了WADC驅(qū)動器WA-PSS。

正常運行時，PSS和相應(yīng)的電壓擾動以及WADC對IAO阻尼的影響如圖7所示。可以看出，在這種情況下，兩種情況都為IAO提供了足夠的阻尼，利用WADC的高性能抑制了系統(tǒng)中的IAO。

當(dāng)將PSS配置在所有發(fā)電機組位置時，在電壓擾動期間的WADC性能如圖8所示。可以看出，由于小信號干擾，波動趨于穩(wěn)定。通過特征值分析獲得了振型參數(shù)，即阻尼比-0.061 2和振動頻率-0.643 6 Hz。當(dāng)在一系統(tǒng)中配置一個或兩個PSS時，觀察到它們對局部模式的阻尼比貢獻(xiàn)大于IAO模式。然而，當(dāng)在兩個區(qū)域的4臺發(fā)電機安裝PSS時，阻尼比增加至0.313。當(dāng)用一個WADC和一個PSS測試系統(tǒng)時，阻尼比增加到0.156，而在一個WADC和兩個PSS的情況下，阻尼比增加到0.243。

t1～t5為相關(guān)時間節(jié)點圖5 時間延遲問題示意圖Fig.5 Schematic diagram of time delay problem

圖6 電壓擾動時PSS的性能Fig.6 PSS Performance during voltage perturbation

圖7 電壓擾動時的PSS和WADC性能Fig.7 PSS and WADC performance under voltage disturbance

圖8 電壓擾動時4個PSS的WADC性能Fig.8 WADC performance of four PSS under voltage disturbance

當(dāng)在系統(tǒng)中配置所有4個PSS和一個WADC時，阻尼比增加至0.378。最后，對系統(tǒng)進(jìn)行了4個PSS和兩個WADC的測試，系統(tǒng)的阻尼比提高到0.396。因此可知WADC對IAO模式的阻尼影響較為顯著。

3.2 數(shù)據(jù)集

考慮了αvp=20個情況，包括5個電壓擾動(2%～10%幅度脈沖，間隔2%)在4臺發(fā)電機的參考電壓下持續(xù)12個周期。另外考慮了αf=10種情況，其中包括3種不對稱故障，即單線路對地故障(LG)、線路對地故障(LL)和雙線對地故障(LLG)，以及兩種對稱故障，即三相短路故障(LLL)和三相對地故障(LLLG)。將這些故障應(yīng)用于兩條連接線母線，并在8個周期內(nèi)清除故障。進(jìn)一步考慮20種發(fā)電負(fù)荷調(diào)度方案(αld和αgd)，其中負(fù)荷變化范圍為70%～110%，以2%為跳躍區(qū)間。考慮αlc=2種情況，其中包括關(guān)鍵兩條連接線上的線路突發(fā)事件。因此，考慮αpsoc=52種情況，以及βp=150種情況，其中包括6個脈沖幅度變量(0.004 0、0.003 0、0.002 5、0.002 0、0.001 5、0.001 0)、5個脈幅度變量(1/0.5、1/0.9、1/1.2、1/1.4、1/1.8)和5個脈寬百分比，這些值是基于所考慮測試系統(tǒng)的經(jīng)驗分析得到的。進(jìn)一步考慮了βr=10種情況，其中包括10種不同的斜坡信號斜坡值，還考慮了βfd=10個虛假數(shù)據(jù)注入攻擊情況。因此，考慮βcsae=170種情況。

由于WADC模塊使用6個測量信號和兩個控制信號，因此將這些隱蔽網(wǎng)絡(luò)攻擊載體應(yīng)用于8個信號的組合，即28=256。令wa=0.125，因此僅動態(tài)選擇8個信號組合的12.5%。因此，新的組合集為32，完整的攻擊場景集合為5 440個。因此，一個數(shù)據(jù)集有D=282 932個不同的模擬場景。每個場景包括20 s的數(shù)據(jù)，即1 200個數(shù)據(jù)點，并參考4個活動場景中的一個進(jìn)行標(biāo)記。標(biāo)記數(shù)據(jù)是訓(xùn)練監(jiān)督模型的基礎(chǔ)。

本實驗在PowerCyber試驗臺上進(jìn)行實驗。實驗的硬件設(shè)備配置為2.3 GHz和128 GB內(nèi)存，操作系統(tǒng)為Windows 2016，編譯環(huán)境為MATLAB 2016a。每個活動輔助進(jìn)程執(zhí)行模擬實例并歸檔數(shù)據(jù)，因此，制作一個數(shù)據(jù)集，包括一個電力系統(tǒng)運行狀況和基于網(wǎng)絡(luò)攻擊事件的活動。在測試臺環(huán)境下，數(shù)據(jù)生成集的總執(zhí)行時間約為23 h。

3.3 ADM與WADC的結(jié)果與分析

基于KNN的ADM與WADC的集成如圖5所示，用于閉環(huán)仿真中的試驗和評估。使用ZoH以信號數(shù)據(jù)速率(60 fps)的時間步長作為輸入，并將值傳輸?shù)骄彌_區(qū)從而保持12：00窗口。經(jīng)過訓(xùn)練的機器學(xué)習(xí)模型使用特征作為輸入并預(yù)測活動狀態(tài)類型，緩解模塊使用活動類型和WADC信號生成具有攻擊彈性的WADC信號和狀態(tài)數(shù)據(jù)，并將這些數(shù)據(jù)反饋給部署在發(fā)電機3上的廣域執(zhí)行模塊。

在正常情況和電壓擾動情況下，針對脈沖和斜坡隱身網(wǎng)絡(luò)攻擊向量，所提出的ADM和WADC的性能如圖9、圖10所示。所使用脈沖攻擊向量持續(xù)1～10 s的坡道攻擊向量，據(jù)觀察，即使在攻擊完成約1 h后，對連接線潮流影響仍然持續(xù)1～2 s。此外還發(fā)現(xiàn)，脈沖攻擊引入了頻率分量，并在攻擊期間將功率流降低到較低的穩(wěn)態(tài)值，另外它還可以在攻擊開始時注入超調(diào)量。然而在攻擊期間，坡道攻擊將功率流提高到較高的穩(wěn)態(tài)值，而且它還在攻擊開始時注入高振幅超調(diào)量。

除穩(wěn)定性和系統(tǒng)運行對電力系統(tǒng)的影響外，為了評估攻擊向量對連接線潮流的影響軌跡特征，計算了特征參數(shù)，如峰值超調(diào)量、穩(wěn)定時間、上升時間和振蕩分量。

在電力系統(tǒng)正常運行的情況下，如圖9(a)所示，無論是對PMU-2信號還是對WADC信號進(jìn)行脈沖攻擊時，線路潮流振蕩軌跡增大。然而，當(dāng)脈沖攻擊PMU-5信號時，連接線功率流的超調(diào)量較大，振蕩軌跡相對減小。

圖9 ADM的脈沖攻擊性能Fig.9 Pulse attack performance of ADM

圖10 ADM的斜坡攻擊性能Fig.10 Ramp attack performance of ADM

在正常電力系統(tǒng)運行的情況下，如圖10(a)所示，當(dāng)WADC信號或PMU-2上發(fā)起坡道攻擊時，連接線潮流都經(jīng)歷了正的峰值超調(diào)。然而，當(dāng)對PMU-2信號發(fā)起坡道攻擊時，連接線潮流經(jīng)歷了振幅相對較小的負(fù)峰值超調(diào)。ADM將WADC狀態(tài)設(shè)置為本地信號模式，如圖9所示，其中連接線間潮流具有與系統(tǒng)在基于本地信號的執(zhí)行器上工作時相同的阻尼特性。

3.4 異常檢測分析

訓(xùn)練后以及未經(jīng)訓(xùn)練的機器學(xué)習(xí)模型的真性和假性分別如圖11(a)和圖11(b)所示，可以看出，經(jīng)過訓(xùn)練的具有特定鄰域特征的機器學(xué)習(xí)模型在所有活動中都具有更高的檢測精度，經(jīng)過訓(xùn)練的KNN-機器學(xué)習(xí)模型具有更好的性能，準(zhǔn)確率為96.5%。該模型預(yù)測存在不到1%的攻擊活動誤判為正常狀態(tài)，3%的攻擊活動被判定為擾動和攻擊活動，該模型預(yù)測擾動和攻擊均作為擾動的有1%，另外還有5%的視為攻擊。通過隱蔽網(wǎng)絡(luò)攻擊向量，擾動和攻擊的特征模式可以接近擾動特征，這給機器學(xué)習(xí)的高精度檢測性能帶來了巨大挑戰(zhàn)。TKEO和WASM等鄰域特征的加入為改善機器學(xué)習(xí)模型提供了更好的方法，以94%的準(zhǔn)確率檢測擾動和攻擊活動，另外可以通過微調(diào)機器學(xué)習(xí)模型的參數(shù)和動態(tài)窗口長度來進(jìn)一步改進(jìn)模型。

3.5 緩解技術(shù)評估

根據(jù)所定義的基于模型的緩解技術(shù)，緩解操作在正常和電壓擾動操作條件下響應(yīng)脈沖和坡道隱身網(wǎng)絡(luò)攻擊向量的有效性如圖9、圖10所示。雖然它在大多數(shù)情況下都有效，但規(guī)則限制了在擾動和攻擊場景的擾動期間切換到基于本地信號的執(zhí)行器。通過設(shè)計一種統(tǒng)計或基于模型的技術(shù)來合成近似的WADC信號，以用作緩解操作，從而解決緩解模塊的局限性。然而，只能在對受損測量信號進(jìn)行攻擊的情況下發(fā)送近似的信號。如果控制信號受到攻擊，則必須切換到本地模式，以實現(xiàn)位于控制中心的集中式ADM的無縫操作。可以通過在每個執(zhí)行器部署一個ADM來進(jìn)一步解決該限制，同時權(quán)衡分散ADM操作在管理、安全和計算復(fù)雜度方面會增大難度。

圖11 模型的檢測精度Fig.11 Detection accuracy of model

4 結(jié)論

為了建立攻擊彈性，以抵抗對測量信號和控制信號段的隱蔽網(wǎng)絡(luò)攻擊，提出了一種基于機器學(xué)習(xí)緩解策略的廣域阻尼控制系統(tǒng)異常檢測方法。在2區(qū)域4機電力系統(tǒng)的測試環(huán)境下對本文方法的性能進(jìn)行了評估，得出如下結(jié)論。

(1)所提出的經(jīng)過訓(xùn)練的具有特定鄰域特征的機器學(xué)習(xí)模型具有更高的檢測精度和檢測效率，證明經(jīng)過訓(xùn)練的KNN機器學(xué)習(xí)模型具有更好的異常檢測能力。

(2)所提出的緩解操作在正常和電壓擾動操作條件下對脈沖和坡道隱身網(wǎng)絡(luò)攻擊向量具有較好的魯棒性和抵抗能力。

(3)PSS的放大增益可以在較弱放大信號的情況下提供相對較好的控制效率，另外WADC對IAO模式的阻尼影響較為顯著。