一种虚假数据注入攻击检测和敏感特征定义方法及系统

1.本发明属于分布式配电网信息层保护技术领域，具体涉及一种虚假数据注入攻击检测和敏感特征定义方法及系统。


背景技术：

2.本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。
3.随着以新能源为主体的新型电力系统的崛起，高比例新能源并网、高比例电力电子装备将成为未来新型电力系统的主要趋势和突出特征，电网的结构、运行模式也变得越来越复杂，感知和应用海量物联数据资源成为必然趋势。
4.电能质量信息数据是整个智能电网运行状态监测的重要组成部分。电力系统中的电能质量参数、测量数据等信息传输到监控系统、控制中心或其他相关设备中，以便对电力系统进行实时监控、分析和控制，在故障诊断、负荷管理、优化控制等方面至关重要。
5.复杂的配网结构、较广的监测范围导致电能质量数据信息规模呈井喷式增长，极大增加了配电网系统对于信息系统的依存度，导致配电网电能质量数据容易遭受网络攻击的威胁。攻击者可以根据系统的量测雅克比矩阵实现虚假数据注入攻击(fdias)，利用能量管理系统中的坏数据检测漏洞，恶意篡改状态估计结果，严重危害电力系统安全可靠运行。因此，电能质量数据中虚假数据注入攻击的辨识与防御成为保障电力系统信息安全性以及运行稳定性的一个新挑战。
6.据发明人了解，虚假数据注入攻击检测方法主要分为模型驱动和数据驱动；模型驱动算法过于依赖明确的拓扑结构，具有局限性；数据驱动算法的性能受到数据质量的影响。网络攻击的数据通常非常复杂和高维，同时还受到噪声和不确定性的影响，因此，数据质量的不足可能会导致算法的性能下降；常见数据驱动方法包括决策树、随机森林等算法，但是对于数据特征的提取存在不足之处；由于攻击资源有限，攻击者往往会有针对性地使用单变量攻击，以期获得最高的破坏效果，然而防御资源同样有限，这提高了电能质量数据传输中敏感特征寻找和精准保护的重要性。


技术实现要素：

7.为了解决上述问题，本发明提出了一种虚假数据注入攻击检测和敏感特征定义方法及系统，为提高数据驱动算法的特征提取、攻击辨识能力，寻找出电能质量数据中的薄弱环节，依次经过数据清洗、特征降维、攻击识别、重要度指数计算及敏感特征过滤，从攻击者的角度入手定义敏感特征，找到数据传输中的薄弱环节，便于对不同类别数据实现精确保护，以保证攻击者无法修改电能质量数据的状态变量。
8.根据一些实施例，本发明的第一方案提供了一种虚假数据注入攻击检测和敏感特征定义方法，采用如下技术方案：
9.一种虚假数据注入攻击检测和敏感特征定义方法，包括：
10.获取电能质量数据；
11.对所获取的电能质量数据进行预处理，得到受攻击的电能质量数据集；
12.对所得到的受攻击的电能质量数据集进行网络攻击识别，得到不同攻击类别的电能质量数据；
13.根据所得到的不同攻击类别的电能质量数据，按照不同攻击类别的概率及其识别精度，基于每种攻击的重要度指数筛选过滤敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。
14.作为进一步的技术限定，所述预处理包括数据清洗、攻击注入和特征降维；在所述数据清洗的过程中，通过孤立森林算法过滤原始数据异常值，利用改进的随机森林算法填补缺失值并替换异常值；在所述特征降维的过程中，利用主成分分析法对数据清洗后的电能质量数据降维，保留原始数据集大部分信息。
15.进一步的，所述改进的随机森林算法填补缺失值的过程为：提取原始数据矩阵x中包含缺失数据的列，根据缺失率从小到大对列排序，创建新矩阵x
missing
，矩阵列的缺失率越小，包含的有效数据就越多，填充缺失数据最小的列，整个数据集其余部分形成新矩阵x
intact
；连接矩阵x
intact
和矩阵x
missing
的第一列，形成新矩阵x
process
；假设x
process
的最后一列和剩下的数据分别作为标签和特征，没有丢失数据的行作为训练集，其他行作为测试集，则缺失的数据通过随机森林回归预测算法来填补；填充的列与新的矩阵x
intact
连接，缺失的列被删除以形成新的x
missing
；重复操作，直到所有缺失的数据都被填满；最终所得到的矩阵x
intact
为基于改进随机森林算法填补后的完整数据集。
16.进一步的，对预处理后的电能质量数据进行网络攻击识别的过程中，采用基于卷积神经网络和支持向量机的数据驱动算法。
17.进一步的，利用基于卷积神经网络和支持向量机的数据驱动算法进行网络攻击识别，通过卷积神经网络对降维后的数据集进行自动特征提取。
18.进一步的，所述卷积神经网络采用16层的神经网络，依次经过三次卷积层、批归一化层、relu激活层和最大池化层，进入全连接层、损失函数层和分类层；提取第三次最大池化层的输出值输入支持向量机以实现分类。
19.作为进一步的技术限定，对不同攻击类别的电能质量数据，按照不同攻击概率模拟出多种虚假数据注入攻击场景，将各种攻击的识别结果视为二分类，使用f1分数(即f1-score)表征对每种攻击的识别精度；根据攻击类别的概率和对应的识别精度，定义每种电能质量数据类别的重要度指数，过滤出敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。
20.根据一些实施例，本发明的第二方案提供了一种虚假数据注入攻击检测和敏感特征定义系统，采用如下技术方案：
21.一种虚假数据注入攻击检测和敏感特征定义系统，包括：
22.获取模块，其被配置为获取电能质量数据；
23.预处理模块，其被配置为对所获取的电能质量数据进行预处理，得到受攻击的电能质量数据集；
24.识别模块，其被配置为对所得到的受攻击的电能质量数据集进行网络攻击识别，得到不同攻击类别的电能质量数据；
25.检测模块，其被配置为根据所得到的不同攻击类别的电能质量数据，按照不同攻击类别的概率及其识别精度，基于每种攻击的重要度指数筛选过滤敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。
26.根据一些实施例，本发明的第三方案提供了一种计算机可读存储介质，采用如下技术方案：
27.一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现如本发明第一方案所述的虚假数据注入攻击检测和敏感特征定义方法中的步骤。
28.根据一些实施例，本发明的第四方案提供了一种电子设备，采用如下技术方案：
29.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如本发明第一方案所述的虚假数据注入攻击检测和敏感特征定义方法中的步骤。
30.与现有技术相比，本发明的有益效果为：
31.本发明考虑到新型配电网中电能质量数据在传输过程中易受虚假数据注入攻击、原始数据质量不足以支撑高精度网络攻击识别算法、攻击资源和防御资源有限等因素，经过数据清洗、特征降维、攻击识别、重要度指数计算及敏感特征过滤四个环节，从攻击者的角度入手定义敏感特征，找到数据传输中的薄弱环节，便于对不同类别数据实现精确保护。
附图说明
32.构成本实施例的一部分的说明书附图用来提供对本实施例的进一步理解，本实施例的示意性实施例及其说明用于解释本实施例，并不构成对本实施例的不当限定。
33.图1为本发明实施例一中的虚假数据注入攻击检测和敏感特征定义方法的流程图；
34.图2为本发明实施例二中的虚假数据注入攻击检测和敏感特征定义系统的结构框图。
具体实施方式
35.下面结合附图与实施例对本发明作进一步说明。
36.应该指出，以下详细说明都是示例性的，旨在对本技术提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本技术所属技术领域的普通技术人员通常理解的相同含义。
37.需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
38.在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
39.实施例一
40.本发明实施例一介绍了一种虚假数据注入攻击检测和敏感特征定义方法。
41.如图1所示的一种虚假数据注入攻击检测和敏感特征定义方法，包括：
42.获取电能质量数据；
43.对所获取的电能质量数据进行预处理，得到受攻击的电能质量数据集；
44.对所得到的受攻击的电能质量数据集进行网络攻击识别，得到不同攻击类别的电能质量数据；
45.根据所得到的不同攻击类别的电能质量数据，按照不同攻击类别的概率及其识别精度，基于每种攻击的重要度指数筛选过滤敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。
46.本实施例从攻击者的角度入手定义敏感特征，便于对不同类别电能质量数据实现精确保护。
47.在本实施例中，预处理包括数据清洗、攻击注入和特征降维。
48.(1)数据清洗，即通过孤立森林算法过滤原始数据异常值；利用改进随机森林算法实现缺失值填补和异常值替换，提高数据质量。
49.孤立森林是一种基于树结构的异常检测算法，适用于高维数据处理。其基本思想是将正常数据点隔离在树的较深层中，而异常值则更容易被隔离在树的较浅层中。通过计算每个数据点在所有隔离树中的路径长度的平均值来得到其异常得分。路径长度越短，则该数据点越可能是异常值。根据异常得分的分布情况，设置一个合适的异常阈值，将得分高于该阈值的数据点视为异常值。
50.随机森林算法用于缺失值填补和异常值替换，其原理是利用已知特征预测缺失值。随机森林模型通过在随机样本和随机特征上建立多个决策树来进行预测。每个决策树都是由随机样本和随机特征训练得到的，通过集成多个决策树来降低过拟合的风险，同时提高模型的准确性和稳定性。
51.具体来说，改进随机森林填补算法步骤如下：
52.①
提取原始数据矩阵x中包含缺失数据的列，根据缺失率从小到大对列排序，创建新矩阵x
missing
，列的缺失率越小，其包含的有效数据就越多，意味着需要首先填充缺失数据最小的列，整个数据集其余部分形成新矩阵x
intact
。
53.②
连接x
intact
和x
missing
的第一列，形成一个矩阵x
process
。假设x
process
的最后一列和剩下的数据分别作为标签和特征，没有丢失数据的行作为训练集，其他行作为测试集。缺失的数据可以通过随机森林回归预测算法来填补。
54.③
填充的列与新的x
intact
连接，缺失的列被删除以形成新的x
missing
。重复上述步骤，直到所有缺失的数据都被填满。最终的x
intact
是基于改进随机森林算法填补后的完整数据集。
55.(2)攻击注入，即对不同类别的电能质量数据，按照不同攻击概率模拟出多种虚假数据注入攻击场景，
56.在本实施例中，选择五种具有不同特征的虚假数据注入攻击：虚假振荡攻击、斜坡攻击、规模攻击、脉冲攻击和数据丢失攻击；大部分未知攻击对系统的影响类似于规模攻击和斜坡攻击，可以将其归类为相同的主要类别，大大降低未知攻击对新型配电网的影响。
57.(3)特征降维，即利用主成分分析法对预处理后的数据集实现降维，保留原始数据集大部分信息，避免“维度灾难”。
58.主成分分析是一种用于数据分析和预处理的常用统计技术，通过对原始数据的协方差矩阵进行特征值分解，得到一组特征向量和对应的特征值，特征向量即为主成分，特征
值则表示这些主成分对应的方差。在特征向量的基础上，可以通过线性变换将原始数据映射到新的主成分空间中。因为主成分按照方差从大到小排列，所以保留前面几个主成分即可达到较好的降维效果，而省略后面的主成分则相当于对数据进行了压缩，从而实现了数据的降维。
59.若电能质量数据采集系统以每周期采样m次的频率，分别对n个电能质量指标实现采集，原始数据集为包含异常值和缺失值的m
×
n矩阵；在原始数据集中，分别将三相的同类数据(如三相电压有效值、三相电压偏差、三相功率等)按照一定比例注入五种攻击，并在数据集最后添加标签列，建立受攻击数据集，大小为m
×
(n+1)。
60.经过预处理环节，用于训练攻击辨识模型的受攻击数据集大小为m
×
(k+1)，其中k是降维后的数据特征数，满足k《n。
61.本实施例利用基于卷积神经网络和支持向量机(cnn-svm)的数据驱动算法进行网络攻击识别；通过卷积神经网络(cnn)对降维后的数据集进行自动特征提取；利用支持向量机(svm)替代传统的softmax分类器，作为虚假数据注入攻击分类的最后一层，更适用于处理小样本和高维数据，并且对于噪声和离群值有很好的鲁棒性。
62.卷积神经网络是一种特殊的前馈深度学习算法，是一种强大的特征提取方法，用于提取输入数据的特征，有效地避免了使用复杂的数学方法进行数据特征提取。cnn利用fdias获取原始数据的潜在特征，为分类器提供输入。
63.cnn主要包括输入层、卷积层、池化层、全连接层和输出层。卷积层也被称为过滤器，它可以将输入数据分割成特定的部分，并进一步提取特征，即:
[0064][0065]
其中，l为网络层的序列号。a
l
为各层输出，w
l
和b
l
表征权值和偏置。g为激活函数，本实施例采用relu作为激活函数。
[0066][0067]
池化层在卷积层之后使用，进一步压缩特征量并避免过拟合，实现卷积层输出的降维，输出如下：
[0068]al
＝ψ(a
l-1
)
[0069]
其中ψ是池化操作，本实施例采用最大池化方式。
[0070]
全连接层包含若干个隐藏层。它将前一个卷积层获得的特征转化为一维向量。这个向量被用作训练分类器的输入。为了提高检测性能，本实施例采用支持向量机作为主要的分类方法，其基本思想是找到一个超平面，将不同类别的数据分开，使得两个类别的数据点到该超平面的距离最大。svm分类器的目标是找到一个最优的决策边界，使得分类误差最小，并且具有较好的泛化性能。
[0071]
具体来说，在本实施例中，采用的cnn网络是一个16层的神经网络，将完整数据集变换成三维形式输入，先后经过三次卷积层、批归一化层、relu激活层和最大池化层，最后进入全连接层、损失函数层和分类层；将第三次最大池化层输出提取出来，输入支持向量机实现分类。
[0072]
本实施例将各种攻击的识别结果视为二分类，使用f1-score表征对每种攻击的识
别精度。根据攻击类别的概率和对应的识别精度，定义每种电能质量数据类别的重要度指数，并过滤出敏感特征，以便于实现精确保护。
[0073]
对测量设备实现物理防护是预防虚假数据注入攻击的常见对策，然而并非所有设备都值得被保护，大规模保护的经济性较低。同样，攻击者攻击资源有限，会有针对性地对某些类别数据注入攻击，以降低保护者的攻击识别精度。因此，从攻击者的角度来判断传感器或仪表是否可能受到攻击是极具意义的。
[0074]
单状态变量意味着攻击者只修改了一个状态变量，本实施例考虑单状态变量攻击有两个原因:
[0075]
(1)一般来说，攻击者要修改更多的状态变量，就需要控制更多的测量传感器，这意味着攻击的代价非常高。由于资源有限，攻击者可以通过使用单状态变量攻击来实现潜在的低成本攻击。
[0076]
(2)单状态变量攻击可以引入任意大的错误，而不是特定的错误，对电力系统造成巨大的威胁。因此，攻击者更可能考虑单状态变量攻击。
[0077]
为了实现fdias检测的性能评价，本实施例使用f1-score来衡量分类模型的准确性，即其中，p和r分别表示检测精度和召回率，精度是在检测成功的基础上评估分类器的正确性；召回被用来评估分类器对所有被检测对象的检测覆盖率，其中，tp、fp、fn分别表示真阳性、假阳性、假阴性。真阳性是指实际为正类且模型预测为正类，假阳性是指实际为负类而模型将其预测为正类，假阴性是指实际为正类而模型将其预测为负类。
[0078]
根据历史数据得到攻击者注入各种fdia的比例，本实施例以比例系数作为权重，对各类攻击的检测精度进行加权，作为每种类别数据的重要度系数，即其中，n为考虑的fdia的总类型数，f
1.i
为每种fdia的f1-score。pi表示攻击发生的概率。
[0079]
电能质量数据的重要性指数f可以用来表征攻击检测对不同状态变量的灵敏度。指数f小的变量更容易对检测结果产生负面影响，这意味着攻击者倾向于将单状态变量攻击注入到与这些变量相关的传感器中。防御者根据当前防御资源和系统的实际防护需求，选择数量有限的传感器进行物理防护。根据实际需求和资源因素，设置重要性指数阈值f
threshold
，当某电能质量数据的重要性指数低于阈值，可被视作敏感特征，容易成为攻击者注入攻击的对象，值得防御资源倾斜。
[0080]
本实施例考虑到新型配电网中电能质量数据在传输过程中易受虚假数据注入攻击、原始数据质量不足以支撑高精度网络攻击识别算法、攻击资源和防御资源有限等因素，经过数据清洗、特征降维、攻击识别、重要度指数计算及敏感特征过滤四个环节，从攻击者的角度入手定义敏感特征，找到数据传输中的薄弱环节，便于对不同类别数据实现精确保护。
[0081]
实施例二
[0082]
本发明实施例二介绍了一种虚假数据注入攻击检测和敏感特征定义系统。
[0083]
如图2所示的一种虚假数据注入攻击检测和敏感特征定义系统，包括：
[0084]
获取模块，其被配置为获取电能质量数据；
[0085]
预处理模块，其被配置为对所获取的电能质量数据进行预处理，得到受攻击的电能质量数据集；
[0086]
识别模块，其被配置为对所得到的受攻击的电能质量数据集进行网络攻击识别，得到不同攻击类别的电能质量数据；
[0087]
检测模块，其被配置为根据所得到的不同攻击类别的电能质量数据，按照不同攻击类别的概率及其识别精度，基于每种攻击的重要度指数筛选过滤敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。
[0088]
详细步骤与实施例一提供的虚假数据注入攻击检测和敏感特征定义方法相同，在此不再赘述。
[0089]
实施例三
[0090]
本发明实施例三提供了一种计算机可读存储介质。
[0091]
一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现如本发明实施例一所述的虚假数据注入攻击检测和敏感特征定义方法中的步骤。
[0092]
详细步骤与实施例一提供的虚假数据注入攻击检测和敏感特征定义方法相同，在此不再赘述。
[0093]
实施例四
[0094]
本发明实施例四提供了一种电子设备。
[0095]
一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如本发明实施例一所述的虚假数据注入攻击检测和敏感特征定义方法中的步骤。
[0096]
详细步骤与实施例一提供的虚假数据注入攻击检测和敏感特征定义方法相同，在此不再赘述。
[0097]
以上所述仅为本实施例的优选实施例而已，并不用于限制本实施例，对于本领域的技术人员来说，本实施例可以有各种更改和变化。凡在本实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本实施例的保护范围之内。

技术特征：
1.一种虚假数据注入攻击检测和敏感特征定义方法，其特征在于，包括：获取电能质量数据；对所获取的电能质量数据进行预处理，得到受攻击的电能质量数据集；对所得到的受攻击的电能质量数据集进行网络攻击识别，得到不同攻击类别的电能质量数据；根据所得到的不同攻击类别的电能质量数据，按照不同攻击类别的概率及其识别精度，基于每种攻击的重要度指数筛选过滤敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。2.如权利要求1中所述的一种虚假数据注入攻击检测和敏感特征定义方法，其特征在于，所述预处理包括数据清洗、攻击注入和特征降维；在所述数据清洗的过程中，通过孤立森林算法过滤原始数据异常值，利用改进的随机森林算法填补缺失值并替换异常值；在所述特征降维的过程中，利用主成分分析法对数据清洗后的电能质量数据降维，保留原始数据集大部分信息。3.如权利要求2中所述的一种虚假数据注入攻击检测和敏感特征定义方法，其特征在于，所述改进的随机森林算法填补缺失值的过程为：提取原始数据矩阵x中包含缺失数据的列，根据缺失率从小到大对列排序，创建新矩阵x
missing
，矩阵列的缺失率越小，包含的有效数据就越多，填充缺失数据最小的列，整个数据集其余部分形成新矩阵x
intact
；连接矩阵x
intact
和矩阵x
missing
的第一列，形成新矩阵x
process
；假设x
process
的最后一列和剩下的数据分别作为标签和特征，没有丢失数据的行作为训练集，其他行作为测试集，则缺失的数据通过随机森林回归预测算法来填补；填充的列与新的矩阵x
intact
连接，缺失的列被删除以形成新的x
missing
；重复操作，直到所有缺失的数据都被填满；最终所得到的矩阵x
intact
为基于改进随机森林算法填补后的完整数据集。4.如权利要求1中所述的一种虚假数据注入攻击检测和敏感特征定义方法，其特征在于，对预处理后的电能质量数据进行网络攻击识别的过程中，采用基于卷积神经网络和支持向量机的数据驱动算法。5.如权利要求4中所述的一种虚假数据注入攻击检测和敏感特征定义方法，其特征在于，利用基于卷积神经网络和支持向量机的数据驱动算法进行网络攻击识别，通过卷积神经网络对降维后的数据集进行自动特征提取。6.如权利要求5中所述的一种虚假数据注入攻击检测和敏感特征定义方法，其特征在于，所述卷积神经网络采用16层的神经网络，依次经过三次卷积层、批归一化层、relu激活层和最大池化层，进入全连接层、损失函数层和分类层；提取第三次最大池化层的输出值输入支持向量机以实现分类。7.如权利要求1中所述的一种虚假数据注入攻击检测和敏感特征定义方法，其特征在于，对不同攻击类别的电能质量数据，按照不同攻击概率模拟出多种虚假数据注入攻击场景，将各种攻击的识别结果视为二分类，使用f1分数表征对每种攻击的识别精度；根据攻击类别的概率和对应的识别精度，定义每种电能质量数据类别的重要度指数，过滤出敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。8.一种虚假数据注入攻击检测和敏感特征定义系统，其特征在于，包括：获取模块，其被配置为获取电能质量数据；
预处理模块，其被配置为对所获取的电能质量数据进行预处理，得到受攻击的电能质量数据集；识别模块，其被配置为对所得到的受攻击的电能质量数据集进行网络攻击识别，得到不同攻击类别的电能质量数据；检测模块，其被配置为根据所得到的不同攻击类别的电能质量数据，按照不同攻击类别的概率及其识别精度，基于每种攻击的重要度指数筛选过滤敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现了如权利要求1-7任一项所述的一种虚假数据注入攻击检测和敏感特征定义方法的步骤。10.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现了如权利要求1-7任一项所述的一种虚假数据注入攻击检测和敏感特征定义方法的步骤。

技术总结
本发明属于分布式配电网信息层保护技术领域，具体涉及一种虚假数据注入攻击检测和敏感特征定义方法及系统，包括：获取电能质量数据；对所获取的电能质量数据进行预处理，得到受攻击的电能质量数据集；对所得到的受攻击的电能质量数据集进行网络攻击识别，得到不同攻击类别的电能质量数据；根据所得到的不同攻击类别的电能质量数据，按照不同攻击类别的概率及其识别精度，基于每种攻击的重要度指数筛选过滤敏感特征，找到数据传输中的薄弱环节，防御虚假数据注入攻击。御虚假数据注入攻击。御虚假数据注入攻击。


技术研发人员：孙凯祺 高弋典 孙媛媛 李可军 李亚辉 刘洁
受保护的技术使用者：山东大学
技术研发日：2023.05.18
技术公布日：2023/8/24