基于未知威脅感知的電網(wǎng)內(nèi)外網(wǎng)邊界信息安全監(jiān)測(cè)

周澤元，嚴(yán)彬元，劉俊榮

(貴州電網(wǎng)有限責(zé)任公司信息中心,貴州 貴陽 550002)

智能電網(wǎng)是國家穩(wěn)定發(fā)展的重要基礎(chǔ)設(shè)施，在電力系統(tǒng)主動(dòng)化的背景下，電力數(shù)據(jù)與相關(guān)的信息就成為電網(wǎng)安全運(yùn)行的基礎(chǔ)。一旦智能電網(wǎng)受到外界入侵，導(dǎo)致電力數(shù)據(jù)遭到破壞，則當(dāng)?shù)氐碾娏\(yùn)行很可能受到破壞，因此需要對(duì)電力終端的信息安全進(jìn)行全方位保護(hù)，以保證整個(gè)電網(wǎng)系統(tǒng)的有序運(yùn)行。

文獻(xiàn)[1]針對(duì)電力網(wǎng)絡(luò)無法面對(duì)綜合性的復(fù)合型攻擊等問題，設(shè)計(jì)了一種基于大數(shù)據(jù)分析的電力安全防護(hù)策略，在局部線性加權(quán)的基礎(chǔ)上，基于D-S理論，計(jì)算了電網(wǎng)安全的偏離度，并構(gòu)建了針對(duì)多類型網(wǎng)絡(luò)攻擊的精準(zhǔn)度判別模型。在該方法下，電力系統(tǒng)可以避免非單一型的外網(wǎng)攻擊，但是其在監(jiān)測(cè)過程中能耗較大。文獻(xiàn)[2]基于深度學(xué)習(xí)算法，設(shè)計(jì)了一種配電網(wǎng)入侵監(jiān)測(cè)系統(tǒng)，在該系統(tǒng)下通過門控循環(huán)單元，對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行測(cè)試，并以此判斷該事件是否為入侵事件。文獻(xiàn)[3]通過非凸矩陣分解算法，設(shè)計(jì)了一種電網(wǎng)欺騙性數(shù)據(jù)的攻擊監(jiān)測(cè)方法，在將分解問題轉(zhuǎn)化為非凸優(yōu)化問題以后，構(gòu)建了非常量測(cè)矩陣，并利用該矩陣測(cè)算了注入性攻擊的參考量。該方法有效地保證了量測(cè)數(shù)據(jù)不會(huì)受到惡意注入，保護(hù)了電力系統(tǒng)中數(shù)據(jù)的安全與完整。以上兩種方法雖然都能夠提高電網(wǎng)監(jiān)測(cè)的準(zhǔn)確性，但是其在面對(duì)不同類型的威脅時(shí)，靈活度不足，只適合對(duì)抗專一類型的惡意攻擊。因此，基于未知威脅感知，本文設(shè)計(jì)了一種新的電網(wǎng)內(nèi)外網(wǎng)邊界信息安全監(jiān)測(cè)方法。

1 基于未知威脅感知設(shè)計(jì)電網(wǎng)內(nèi)外網(wǎng)邊界信息安全監(jiān)測(cè)方法

1.1 電網(wǎng)內(nèi)外網(wǎng)邊界信息差異損失

電網(wǎng)內(nèi)外網(wǎng)邊界信息安全域判斷器Ddomain是模型中用于判斷電網(wǎng)內(nèi)外網(wǎng)邊界的信息安全性的重要指標(biāo)，其關(guān)鍵點(diǎn)是盡力地判斷出共享標(biāo)識(shí)的來源；而模型中的共享編碼器Eshared則能夠生成共享標(biāo)識(shí)，通過加上相應(yīng)的域標(biāo)簽[4]，得到帶域標(biāo)簽的共享標(biāo)識(shí)數(shù)據(jù)Xdomain，定義如下公式：

(1)

電網(wǎng)內(nèi)外網(wǎng)邊界信息安全域判別器Ddomain的參數(shù)記為θd，其主要作用是對(duì)共享標(biāo)識(shí)的域判別準(zhǔn)確率進(jìn)行最大化處理。將由共享編碼器Eshared得到的共享標(biāo)識(shí)Xdomain作為輸入值，對(duì)域標(biāo)簽進(jìn)行預(yù)測(cè)[5]。并將判別器獲取的判別損失定義為在訓(xùn)練域的判別損失最小化，表達(dá)式為：

(2)

其中，H(·)標(biāo)識(shí)交叉熵?fù)p失；xi為由共享編碼器生成電網(wǎng)內(nèi)外網(wǎng)邊界信息共享標(biāo)識(shí)；yi為獨(dú)立編碼形式的域標(biāo)簽，yi=(1,0)為源域，yi=(0,1)為目標(biāo)域；θd為共享標(biāo)識(shí)判別參數(shù)，訓(xùn)練域判別器Ddomain的目標(biāo)最小化判別損失為τDis。

h(Θ)=htask+αhrecon+βhdiff+γ/hDis

(3)

其中，hDis是共享標(biāo)識(shí)符的鑒別損失，用于區(qū)分內(nèi)部和外部網(wǎng)格之間的邊界。由于生成電網(wǎng)內(nèi)外網(wǎng)邊界的訓(xùn)練目標(biāo)之一是使電網(wǎng)內(nèi)外網(wǎng)邊界信息的判別精度最小化，即使判別損失最大化，使用倒數(shù)形式，可以在最小化生成模型的總體損失時(shí)，最大化鑒別損失。α,β,γ是損失項(xiàng)的重量。htask，hrecon，hdiff分別是任務(wù)損失、重建損失和差異損失。共享標(biāo)識(shí)生成網(wǎng)格內(nèi)外的網(wǎng)格邊界信息，相關(guān)模塊的優(yōu)化目標(biāo)是最小化損失h(Θ)。

電網(wǎng)內(nèi)外電網(wǎng)邊界的信息相關(guān)分類器用于建模源電網(wǎng)內(nèi)外電網(wǎng)邊界的相關(guān)信息識(shí)別[8]。任務(wù)相關(guān)分類器C用于從源網(wǎng)格的內(nèi)部和外部網(wǎng)絡(luò)邊界對(duì)相關(guān)信息標(biāo)識(shí)進(jìn)行建模，以便共享編碼器Eshared生成的共享標(biāo)識(shí)包含任務(wù)相關(guān)信息，分類器使用源網(wǎng)格內(nèi)外網(wǎng)格邊界的共享表示，并學(xué)習(xí)相應(yīng)的流量標(biāo)簽訓(xùn)練，其任務(wù)損失htask定義如下：

(4)

其中,xi是源電網(wǎng)內(nèi)外網(wǎng)的邊界向量，yi是電網(wǎng)內(nèi)外網(wǎng)對(duì)應(yīng)的邊界信息標(biāo)簽。

重構(gòu)編碼器D將源電網(wǎng)的內(nèi)部和外部電網(wǎng)邊界以及目標(biāo)電網(wǎng)的內(nèi)部和外部電網(wǎng)邊界的私有標(biāo)識(shí)符和共享標(biāo)識(shí)符疊加，并重新建模兩個(gè)內(nèi)部和外部電網(wǎng)的邊界信息。重建損失hrecon的定義如下：

(5)

(6)

1.2 電網(wǎng)內(nèi)外網(wǎng)數(shù)據(jù)狀態(tài)估計(jì)

對(duì)于智能電網(wǎng)，可以根據(jù)電網(wǎng)總線的電壓、功率、負(fù)荷等指標(biāo)測(cè)量其物理?xiàng)l件與實(shí)際數(shù)據(jù)的相關(guān)性，這樣的數(shù)據(jù)通常具備一定的偶然性，但是如果以此建立數(shù)學(xué)模型，找到其內(nèi)部的關(guān)聯(lián)性，就可以依據(jù)模型提高數(shù)據(jù)狀態(tài)估計(jì)的精度，從而得到更準(zhǔn)確的監(jiān)測(cè)方法[9]。在目標(biāo)函數(shù)的估計(jì)中，可以在狀態(tài)估計(jì)值內(nèi)帶入一個(gè)未知量，得到函數(shù)：

(7)

式中，hT表示內(nèi)外網(wǎng)狀態(tài)估計(jì)的對(duì)角方差矩陣；R表示測(cè)量其中測(cè)量的誤差。在這樣的估計(jì)指標(biāo)下，可以得到數(shù)據(jù)狀態(tài)的殘差：

(8)

式中，rt表示狀態(tài)估計(jì)的殘差；If表示電網(wǎng)電流流向[10-11]。在這樣的電力平衡影響下，可以依據(jù)分布的自由度計(jì)算每一個(gè)檢驗(yàn)假設(shè)的波動(dòng)值，并以此監(jiān)測(cè)其中的不良數(shù)據(jù)存在與否，此時(shí)的判定公式為：

(9)

式中，f0和f1分別表示數(shù)據(jù)中心是否存在惡意數(shù)據(jù)，f0=1表示存在惡意數(shù)據(jù)，f1=0表示不存在惡意數(shù)據(jù)；λu表示惡意數(shù)據(jù)存在的置信區(qū)間。當(dāng)系統(tǒng)變得較大時(shí)，可以得到遠(yuǎn)超λu狀態(tài)值的參數(shù)，此時(shí)可以認(rèn)定F(x)服從正態(tài)分布：

(10)

式中，fn表示智能電網(wǎng)數(shù)據(jù)中心的惡意數(shù)據(jù)狀態(tài)期望值；σ表示其標(biāo)準(zhǔn)差。此時(shí)可以計(jì)算由惡意數(shù)據(jù)導(dǎo)致的狀態(tài)變化參量，并由相對(duì)獨(dú)立的狀態(tài)變換數(shù)據(jù)分布密度，得到假設(shè)性檢驗(yàn)公式：

(11)

式中，Pg表示智能電力系統(tǒng)在監(jiān)測(cè)信息安全時(shí)的狀態(tài)值；ct表示某時(shí)間單位時(shí)的狀態(tài)密度?；谝陨瞎?，可以得到電網(wǎng)內(nèi)外網(wǎng)數(shù)據(jù)的狀態(tài)估計(jì)函數(shù)。

1.3 電網(wǎng)數(shù)據(jù)傳遞閾值計(jì)算

在威脅未知的情況下，電網(wǎng)的信息安全監(jiān)測(cè)系統(tǒng)很難保證信息留存的有效性，而惡意數(shù)據(jù)很容易找到漏洞，對(duì)智能電網(wǎng)造成損害[12-14]。因此可以設(shè)置一個(gè)特殊的閥門，作為信息傳遞的阻斷節(jié)點(diǎn)，此時(shí)可以得到如圖1所示的閾值顯示示意圖。

圖1 信息傳遞閾值節(jié)點(diǎn)Fig.1 Information transfer threshold node

如圖1所示，分別設(shè)置足夠的閾值節(jié)點(diǎn)，在每一層級(jí)的神經(jīng)元中都重復(fù)使用，并構(gòu)建激活函數(shù)，作為非線性的輸出與輸入網(wǎng)絡(luò)。此時(shí)的值域區(qū)間為[0，1]，其激活函數(shù)為：

(12)

式中，D(x)表示函數(shù)值為0時(shí)，激活函數(shù)的飽和輸出數(shù)據(jù)；P(x)表示函數(shù)值為1時(shí)，函數(shù)的輸入數(shù)據(jù)；k表示函數(shù)的映射范圍[15]。在此基礎(chǔ)上構(gòu)建權(quán)值的倒數(shù)結(jié)構(gòu)，其計(jì)算公式為：

(13)

式中，θv表示單元倒數(shù)在遞歸操作下的反向推算值；ad表示訓(xùn)練過程中的損失函數(shù)[16]。當(dāng)θv大于0時(shí)，電網(wǎng)節(jié)點(diǎn)可以被傳遞數(shù)據(jù)，當(dāng)θv小于等于0時(shí)，電網(wǎng)數(shù)據(jù)的閾值需要被關(guān)閉。

1.4 構(gòu)建內(nèi)外網(wǎng)信息安全監(jiān)測(cè)算法

在以上未知威脅感知的基礎(chǔ)上，可以得到電網(wǎng)數(shù)據(jù)在信息傳遞過程中的閾值單位，通過此類閾值可以判定某一節(jié)點(diǎn)中電網(wǎng)信息的安全性。在此基礎(chǔ)上設(shè)計(jì)內(nèi)外網(wǎng)的安全監(jiān)測(cè)算法，其算法結(jié)構(gòu)如圖2所示。

圖2 信息安全監(jiān)測(cè)算法Fig.2 Information security monitoring algorithm

如圖2所示，首先需要計(jì)算節(jié)點(diǎn)閾值，在此時(shí)的智能電網(wǎng)中，存在大量冗余的量測(cè)值作為保證電力信息安全的估計(jì)值[17-18]，則根據(jù)量測(cè)值與狀態(tài)參數(shù)的關(guān)系，可以得到公式：

(14)

式中，dx表示每一個(gè)節(jié)點(diǎn)閾值的保護(hù)狀態(tài)參數(shù)，且其值域?yàn)?0，1)；dp和di分別表示接受單個(gè)和多個(gè)狀態(tài)參數(shù)的系統(tǒng)靈敏度；σk表示系統(tǒng)的狀態(tài)誤判率[19-20]。據(jù)此判斷攻擊數(shù)據(jù)的對(duì)角矩陣，過程為：

(15)

在此基礎(chǔ)上，可以得到攻擊者輸入惡意數(shù)據(jù)的臨界值，以此定義模型中的約束條件，將功率量測(cè)值與負(fù)荷消耗綜合在一起，形成一個(gè)整體性的信息監(jiān)測(cè)機(jī)制。此時(shí)的電網(wǎng)信息安全監(jiān)測(cè)機(jī)制可以對(duì)未知威脅進(jìn)行感知與監(jiān)測(cè)。

2 實(shí)驗(yàn)驗(yàn)證分析

2.1 實(shí)驗(yàn)設(shè)置

為測(cè)試上文設(shè)計(jì)的基于未知威脅感知技術(shù)的電網(wǎng)信息安全監(jiān)測(cè)方法，設(shè)計(jì)如下實(shí)驗(yàn)，并對(duì)比驗(yàn)證其與大數(shù)據(jù)分析技術(shù)、深度學(xué)習(xí)算法、非凸矩陣分解算法三種電網(wǎng)信息安全監(jiān)測(cè)方法，在不同攻擊模式下的有效性，以此判斷文中方法的性能分析結(jié)果。

建立一個(gè)標(biāo)準(zhǔn)的IEEE系統(tǒng)，將文中設(shè)計(jì)的基于未知威脅感知的電網(wǎng)內(nèi)外網(wǎng)邊界信息安全監(jiān)測(cè)方法，與傳統(tǒng)的幾種監(jiān)測(cè)方法進(jìn)行比較，分析以上監(jiān)測(cè)方法的有效性與優(yōu)越性。使用WLS方法估計(jì)電網(wǎng)的狀態(tài)參數(shù)，并設(shè)計(jì)如圖3所示的電網(wǎng)系統(tǒng)。

圖3 電網(wǎng)IEEE-11系統(tǒng)Fig.3 Power grid IEEE-11 system

如圖3所示，當(dāng)系統(tǒng)規(guī)模變大時(shí)，其受到攻擊的概率和規(guī)模也會(huì)逐漸增大，此時(shí)當(dāng)前電網(wǎng)系統(tǒng)的運(yùn)行狀態(tài)如表1所示。

表1 電網(wǎng)系統(tǒng)運(yùn)行狀態(tài)Tab.1 Operation status of power grid system

如圖1所示，在實(shí)驗(yàn)中需要假設(shè)單值檢驗(yàn)的誤差率為λc，則此時(shí)的監(jiān)測(cè)率ηc為：

ηc=Pf-(Ph-λc)e

(16)

式中，e表示電壓幅值的測(cè)量值；Pf表示電網(wǎng)功率；Ph表示電網(wǎng)在單一總線上的負(fù)載[21-24]。當(dāng)檢測(cè)率越高時(shí)，電網(wǎng)邊界面對(duì)位置威脅感知的狀態(tài)就越好。在本實(shí)驗(yàn)中，將檢測(cè)率作為算法面對(duì)攻擊時(shí)監(jiān)測(cè)能力的評(píng)價(jià)指標(biāo)。

2.2 實(shí)驗(yàn)結(jié)果分析

2.2.1 電網(wǎng)對(duì)不同攻擊下的監(jiān)測(cè)效果

使用以隱藏?cái)?shù)據(jù)為目的、以更改目標(biāo)狀態(tài)值為目的、以系統(tǒng)同分布為目的、以耗盡內(nèi)存資源為目的，四種不同的攻擊模式，測(cè)試四種電網(wǎng)信息安全監(jiān)測(cè)方法的能力。在一般性方差分析中，假定對(duì)角矩陣R-1的元素變更范圍為[0，0.04]，則此時(shí)的測(cè)量值和檢測(cè)率服從正態(tài)分布的結(jié)果[25-28]。在這樣的攻擊模式下，重復(fù)同樣的實(shí)驗(yàn)500次，得到如圖4-7所示。

(1)以隱藏?cái)?shù)據(jù)為目的

圖4 以隱藏?cái)?shù)據(jù)為目的監(jiān)測(cè)效果Fig.4 Monitoring results for hidden data

由圖4可知，在攻擊量一定的情況下，采用大數(shù)據(jù)分析時(shí)，其以隱藏?cái)?shù)據(jù)為目的監(jiān)測(cè)率約為97.21%；采用深度學(xué)習(xí)算法時(shí)，監(jiān)測(cè)率為96.34%，采用非凸矩陣分解算法時(shí)，監(jiān)測(cè)率為96.86%；采用本文未知威脅感知方法時(shí)，監(jiān)測(cè)率為99.54%，雖然前期出現(xiàn)了波動(dòng)但一直處于增長趨勢(shì)。

(2)以更改目標(biāo)狀態(tài)值為目的

圖5 以更改目標(biāo)狀態(tài)值為目的監(jiān)測(cè)效果Fig.5 Monitors the effect for the purpose of changing the target status value

由圖5可知，在以更改目標(biāo)狀態(tài)值為目的時(shí)，隨著攻擊量增加，采用大數(shù)據(jù)分析時(shí)，其監(jiān)測(cè)率約為96.57%；采用深度學(xué)習(xí)算法時(shí)，監(jiān)測(cè)率為96.68%，采用非凸矩陣分解算法時(shí)，監(jiān)測(cè)率為95.37%；采用本文未知威脅感知方法時(shí)，監(jiān)測(cè)率為98.67%，且一直處于增長趨勢(shì)。

(3)以系統(tǒng)同分布為目的

圖6 以系統(tǒng)同分布為目的監(jiān)測(cè)效果Fig.6 Monitoring effect for the purpose of system homodistribution

由圖6可知，在以系統(tǒng)同分布為目的時(shí)，隨著攻擊量增加，采用大數(shù)據(jù)分析時(shí)，其監(jiān)測(cè)率約為96.59%；采用深度學(xué)習(xí)算法時(shí)，監(jiān)測(cè)率為95.38%，采用非凸矩陣分解算法時(shí)，監(jiān)測(cè)率為95.45%；采用本文未知威脅感知方法時(shí)，監(jiān)測(cè)率為98.37%，且一直處于增長趨勢(shì)。

(4)以耗盡內(nèi)存資源為目的

圖7 以耗盡內(nèi)存資源為目的監(jiān)測(cè)效果Fig.7 Monitors the effect in order to exhaust memory resources

由圖7可知，在以耗盡內(nèi)存資源為目的時(shí)，隨著攻擊量增加，采用大數(shù)據(jù)分析時(shí)，其監(jiān)測(cè)率約為96.76%；采用深度學(xué)習(xí)算法時(shí)，監(jiān)測(cè)率為96.48%，采用非凸矩陣分解算法時(shí)，監(jiān)測(cè)率為97.58%；采用本文未知威脅感知方法時(shí)，監(jiān)測(cè)率為98.97%，且一直處于增長趨勢(shì)。

2.2.2 最大監(jiān)測(cè)率對(duì)比

在不同的攻擊模式下，四種算法的最大檢測(cè)率如表2所示。

表2 不同算法最大監(jiān)測(cè)率Tab.2 Maximum monitoring rate of different algorithms

由表2可知，在四種不同的攻擊模式下，未知威脅感知技術(shù)的最大檢測(cè)率均高于其他三種算法，由此可見文中設(shè)計(jì)的電網(wǎng)信息安全監(jiān)測(cè)方法具備更好的安全監(jiān)測(cè)效果，可以更高效、更準(zhǔn)確地得到電網(wǎng)內(nèi)外網(wǎng)邊界的信息監(jiān)測(cè)結(jié)果。

3 結(jié)束語

本文基于未知威脅感知，設(shè)計(jì)了一種電網(wǎng)內(nèi)外網(wǎng)邊界信息安全監(jiān)測(cè)方法，通過分析不同類型的惡意攻擊模式，設(shè)計(jì)了一種綜合型的信息監(jiān)測(cè)算法。本文設(shè)計(jì)的信息安全監(jiān)測(cè)方法可以深度融合智能電網(wǎng)的電力信息，并基于未知威脅獲得較大規(guī)模智能電網(wǎng)的監(jiān)測(cè)結(jié)果。在保證算法基礎(chǔ)性能的同時(shí)，自電力系統(tǒng)的安全機(jī)制入手，從多方面杜絕惡意數(shù)據(jù)的入侵，從而保證電力系統(tǒng)的穩(wěn)定與信息安全。在下一步的研究中，可以以提高電網(wǎng)系統(tǒng)的規(guī)模入手，加強(qiáng)大規(guī)模電力系統(tǒng)信息安全監(jiān)測(cè)的效果。