基于深度学习的智能电网虚假数据注入攻击的检测系统的制作方法

1.本发明涉及智能电网技术领域，尤其涉及一种基于深度学习的智能电网虚假数据注入攻击的检测系统。


背景技术：

2.智能电网是一种将信息传输通道与电力传输通道分离，从而使电网拥有更高效的电力资源配置、更强的抗干扰能力的新型电网技术，随着信息技术的深入发展，以及频繁发生恶性网络攻击暴露出智能电网的脆弱性，为加强智能电网信息安全建设敲响了警钟，智能电网的信息安全已经成为了一个重要的关注点。
3.在安全方面，虚假数据注入攻击在智能电网信息攻击研究中占有重要地位，其核心思想是通过传统检测方法的漏洞，使用构造出的攻击向量来影响电网系统的状态估计，进而破坏电力系统的安全稳定运行。传统的智能电网在受到虚假数据注入攻击时的检测存在很大的局限性，难以对异常状态和虚假数据进行准确高效的识别。
4.现有技术中仍缺少一种能够根据数据量和网络级特征对虚假数据注入攻击进行检测的系统，难以提高检测准确度和检测效率。


技术实现要素：

5.为此，本发明提供基于深度学习的智能电网虚假数据注入攻击的检测系统，用以克服现有技术中仍缺少一种能够根据数据量和网络级特征对虚假数据注入攻击进行检测系统，难以提高检测准确度和检测效率的问题。
6.为实现上述目的，本发明提供一种基于深度学习的智能电网虚假数据注入攻击的检测系统，包括，
7.静态检测器，其构建在动态检测器之外并与警报连接，用以接收第一输入源，所述第一输入源为实时检测，所述静态检测器与电力系统优化模块连接，用以实时对电力系统进行检测；
8.动态检测器，其与警报连接，用以接收第一输入源和第二输入源，所述第一输入源为实时检测，所述第二输入源为网络包，所述网络包能够被指令捕获，用以识别fdi攻击的高水平时间序列特征；
9.深度学习模型，其用以接收实时检测的数据信息并将所述深度学习模型的结果传输至所述动态检测器，通过将实时收集的测量数据支持离线训练，并在训练完成后更新预测模型。
10.进一步地，在所述系统对虚假数据注入攻击时，通过卡方检定的方式对虚假数据注入攻击进行检定，所述卡方检定包括最大归一化残差和性能指标，所述性能指标表达如下，
[0011][0012]
其中，是遵循卡方分布的，τ是预先设置的阈值，阈值从x2的分布中获取。
[0013]
进一步地，若性能指标则坏数据将会被怀疑，而对于dc模型中，传统的坏数据检测方法往往会降低到测量残差的l2-norm：
[0014][0015]
其中，z表示正确值，h表示转换系数，x表示分布的数据。
[0016]
进一步地，所述系统将测量设备的母线电压幅值、角度和状态值共同表示为马尔科夫决策过程中的状态，通过采用递归模型，状态的判定由之前的n个状态确定，递归模型中的损失函数表达如下，
[0017][0018]
其中，θ表示需要转换的参数，τ表示决定攻击是否开始的阈值，l代表损失函数，s表示时间序列t-1到t-1 n的状态，t表示时间序列。
[0019]
进一步地，所述动态检测器的动态异常检测结果通过接受时间序列表示为
…
,x
(t-1)
,x
(t)
,
…
，学习高维特征表示，再通过所述时间序列表示特征来预测下一个数据点将检验实际数据x(t)和预测数据之间的相似性预测的数据点，用来分类x(t)是否异常。
[0020]
进一步地，在当ids依赖数据度量检测fdi攻击开始失败时，若一个被捏造的注入数据来自一个合法的注入模型的情况下，数据级别探测器无法判断当前网络是受到入侵，通过采用的联合攻击检测的方法对电网虚假数据注入攻击进行检测。
[0021]
进一步地，所述联合攻击检测是通过直接连接输入向量将数据积信息和包级特征结合起来，在连接之前，每个层次特征都通过卷积神经网络进行变换，均衡数据测量和包层次特征之间的维数，并使用梯度下降学习权值。
[0022]
进一步地，所述网络包包括包头和数据有效负载，具有定义nsl-kdd数据集的独特性，所述nsl-kdd数据集有41个特征。
[0023]
进一步地，所述nsl-kdd数据集的41个特征包括三种类型，分别为基本特征、基于内容的特征和机遇流量的特征。
[0024]
进一步地，所述时间序列特征包括在线训练和在线检测。
[0025]
与现有技术相比，本发明的有益效果在于，本发明通过提供一种基于深度学习的智能电网虚假数据注入攻击的检测系统，在时间时间序列异常检测采用卷积神经网络和长短期记忆网络，在实现高效的计算系统变量时采用同时观察数据量和网络级特征来共同学习系统状态，以克服传统方法在处理现代计算机的攻击时通常是有局限性，通过提供对数据量和网络级特征对虚假数据注入攻击进行检测的系统，提高检测准确度和检测效率。
[0026]
尤其，本发明通过同时观察数据量和网络级特征来共同学习系统状态的算法能够识别传统方法识别不到的异常状态和虚假数据，并且更加高效。
[0027]
进一步地，本发明通过设置虚假数据注入攻击的动态检测系统将收集实时测量数据用以支持离线训练，并在训练完成后更新预测模型，提高离线模型的更新率，而且离线培训是基于历史度量进行的，可以通过外包给公共机器学习服务来实现，提高了所述系统对虚假数据注入攻击检测的效率。
[0028]
尤其，本发明将测量设备的母线电压幅值、角度和状态值共同表示为马尔科夫决策过程中的系统状态。通过使用递归模型，其中的决策不光取决于之前的一个状态，而且还
取决于之前的n个状态相关，以提高所述系统的检测准确率，减少出现误报的概率。
[0029]
进一步地，本发明通过将时间序列进行高纬特征学习后，用这些特征来预测下一个数据点，将检验实际数据x(t)和预测数据之间的相似性预测的数据点，用来分类x(t)是否异常，提高检测准确度和检测效率。
[0030]
尤其，本发明为了时序异常检测模型的整体性能，采用的联合攻击检测的方法，有效避免了在ids依赖数据度量检测fdi攻击失败的情况发生，提高检测准确度和检测效率。
[0031]
进一步地，本发明通过增加卷积神经网络的目的是为了均衡数据测量和包层次特征之间的维数，并使用梯度下降来学习权值。而且通过使用两台计算机模拟通信网络，其中一台计算机充当通过以太网收集数据度量的服务员，fdi攻击是由中间人攻击者从客户端-服务端通信结构产生的，两个输入源是时间同步的，以实时实现同步输入，提高检测准确度和检测效率。
附图说明
[0032]
图1为本发明所述实施例中的卷积神经网络的结构示意图；
[0033]
图2为本发明所述实施例中的双向网络的结构示意图；
[0034]
图3为本发明所述实施例中的虚假数据注入攻击检测系统的结构示意图；
[0035]
图4为本发明所述实施例中的堆叠的动态监测模型的结构示意图；
[0036]
图5为本发明所述实施例中的联合检测攻击方法流程示意图；
[0037]
图6为本发明所述实施例中的使用的eee 10generator 39bus电力系统；
[0038]
图7为本发明所述实施例中的不同数量的总线时检测fdi攻击的准确度。
具体实施方式
[0039]
为了使本发明的目的和优点更加清楚明白，下面结合实施例对本发明作进一步描述；应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。
[0040]
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是，这些实施方式仅仅用于解释本发明的技术原理，并非在限制本发明的保护范围。
[0041]
需要说明的是，在本发明的描述中，术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系，这仅仅是为了便于描述，而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
[0042]
此外，还需要说明的是，在本发明的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域技术人员而言，可根据具体情况理解上述术语在本发明中的具体含义。
[0043]
本发明先对本实施例中用到的卷积神经网络和递归神经网络进行相应的解释和陈述，请参阅图1所示，其为卷积神经网络示意图，本领域人员可以理解的是，卷积神经网络，简称为cnn，是一类在处理图像和视屏信号方面很成功的神经网络，经常被用在实时视屏中识别对象和用于图像的样式转换。cnn是神经网络中最经典的形式，cnn通过对多个节
点按层排列，使得信息只跟随输入到输出。通常使用三种主要类型的层来构建cnn：卷积层、池化层、全连接层。通过这种构建方式，cnn将原始输入的张量逐层转换为可被分类的最终输出。而且，每个卷积层和全连接层对输入的参数和激活函数进行转换，再利用梯度下降优化算法对cnn中的参数进行训练，使得cnn计算的输出与训练数据集的标签之间的损失最小化，其中输入的参量包括权重和偏置。
[0044]
请参阅图2所示，其为双向网络结构示意图，本领域人员可以理解的是递归神经网络，英文简称为rnns，是一组用以处理顺序数据的神经网络，与专门处理图像的卷积神经网络cnn相比，递归网络是专门处理时间序列值x(1)，
…
，x(t)的一种网络，rnns对于没有基于序列专门化的长序列是理想的。递归神经网络能够通过公式来定义隐藏单元的值，而且schuster等人曾经提到了一个双向深度神经网络，通过在每个时间步长t上，双向rnn保持两个隐藏单元，一个用于前向传播，另一个用于后向传播。最终结果y
t
是通过合并两个隐藏单元的得分来产生的，h表示状态，xt表示时间t时刻输出的时间序列。而最常用的rnn属于长短时间记忆神经网络，即lstm，不同于普通的单门rnn，lstm在保持长时间依赖的同时也在保持短时间记忆方面表现突出，每个lstm细胞包含三个门，分别是输入门i，输出门o，遗忘门f。
[0045]
请参阅图3所示，其为本发明实施例的虚假数据注入攻击检测系统，所述攻击检测系统的检测机制是由静态检测器和基于深度学习的检测方法组成。静态检测器，其构建在动态检测器之外并与警报连接，用以接收第一输入源，所述第一输入源为实时检测，所述静态检测器与电力系统优化模块连接，用以实时对电力系统进行检测；动态检测器，其与警报连接，用以接收第一输入源和第二输入源，所述第一输入源为实时检测，所述第二输入源为网络包，所述网络包能够被指令捕获，用以识别fdi攻击的高水平时间序列特征；深度学习模型，其用以接收实时检测的数据信息并将所述深度学习模型的结果传输至所述动态检测器，通过将实时收集的测量数据支持离线训练，并在训练完成后更新预测模型。
[0046]
具体而言，本发明实施例中，静态检测器可以是一个状态估计器或任一其他的fdi攻击检测器，它们是在动态检测器之外独立构建的。状态估计器是简称为se，虚假数据注入简称为fdi。而动态检测器是接受两个输入源的，虽然数据级特征是显式的，但网络包被tcpdump指令捕获，并且每个网络包都包括包头和数据有效负载，具有定义nsl-kdd数据集的独特性，nsl-kdd数据集有41个特征，这些特征分为三类：基本特征、基于内容的特征和机遇流量的特征。一些特征的产生是基于一个固定的窗口，它会不断地保持这个窗口，一般固定窗口的默认时长是2秒。
[0047]
具体而言，本发明实施例中，动态检测器是用于识别fdi攻击的高水平时间序列特征，本发明设置将时间序列方法包含两个基本机制：在线训练和在线检测。本发明实施例中，离线培训是基于历史度量进行的，可以通过外包给公共机器学习服务来实现。本领域人员可以理解的是，本发明所述实施例中的是假定电力系统物理状况不随时间变化的情况下，通过本实施例中的虚假数据注入攻击的动态检测系统将收集实时测量数据用以支持离线训练，并在训练完成后更新预测模型。
[0048]
具体而言，本发明实施例中，在对虚假数据注入攻击中，一种方法是卡方检定。一旦检测到坏数据，有需要纠正或消除它们，以获得正确的状态。本领域人员可以理解的是，在卡方检定时，包括最大归一化残差和性能指标的假设，最大归一化残差的简称为lnr。
[0049]
具体而言，本发明实施例中，所述性能指标表达如下，
[0050][0051]
其中，是遵循卡方分布的，τ是预先设置的阈值，阈值从x2的分布中获取。
[0052]
具体而言，本发明实施例中，如果性能指标那么，坏数据将会被怀疑，而对于dc模型中，传统的坏数据检测方法往往会降低到测量残差的l2-norm：
[0053][0054]
其中，z表示正确值，h表示转换系数，x表示分布的数据。
[0055]
具体而言，本发明还提供了一种基于深度学习的智能电网虚假数据注入攻击的检测系统，将测量设备的母线电压幅值、角度和状态值共同表示为马尔科夫决策过程中的系统状态。本实施例中使用到递归模型，其中的决策不光取决于之前的一个状态，而且还取决于之前的n个状态，损失函数表达如下：
[0056][0057]
其中，θ表示需要转换的参数，τ表示决定攻击是否开始的阈值，l代表损失函数，s表示时间序列t-1到t-1 n的状态，t表示时间序列。
[0058]
请参阅图4所示，其为本发明实施例中的堆叠的动态监测模型，堆叠的动态监测模型输入的是时间序列电力系统数据，这些特征将被传递到lstm网络去学习高维时序属性。从而将fdi攻击描述成一个二元分类问题，但在实际应用中，电力系数是高度不平衡的，因此，即使二值分类方法整体准确率高，但是也不可避免地会有召回率。然而，对于评估入侵检测系统，简称为ids，召回率往往比准确率更重要，因为任何网络攻击都可能造成灾难性的后果。
[0059]
具体而言，本发明实施例中，动态异常检测器接受时间序列能够表示为
…
,x
(t-1)
,x
(t)
,
…
，学习高维特征表示，然后使用这些特征来预测下一个数据点而且还可以通过检验实际数据x(t)和预测数据之间的相似性预测的数据点，用来分类x(t)是否异常。
[0060]
具体而言，本发明实施例中，本发明通过将fdi攻击检测器与网络入侵检测系统相结合的框架，在当ids依赖数据度量检测fdi攻击开始失败时，如果一个被捏造的注入数据来自一个合法的注入模型时，数据级别探测器可能无法判断当前网络是受到入侵，为了时序异常检测模型的整体性能，采用的联合攻击检测的方法。
[0061]
请参阅图5所示，其为本发明实施例提出的联合检测攻击方法流程示意图，本发明通过直接连接输入向量将数据积信息和包级特征结合起来。但是，由于数据测量和网络数据包特征之间的维度差异很大，直接连接可能比之前提到的时间序列的方法有最小的改进。或者，在连接之前，每个层次特征都通过卷积神经网络进行变换。增加卷积神经网络的目的是为了均衡数据测量和包层次特征之间的维数，并使用梯度下降来学习权值。梯度下降本实施例中使用的是adam算法。或者也可以使用深度学习框架。
[0062]
请参阅图6所示，其为本发明实施例使用的eee 10generator 39bus电力系统，在39号总线系统中，状态向量x∈r
39
，是由感应电压，感应电流和频率组成的个人线路。通过使用两台计算机模拟通信网络，其中一台计算机充当通过以太网收集数据度量的服务员。采
样率设置为10hz。fdi攻击是由中间人攻击者从客户端-服务端通信结构产生的，两个输入源是时间同步的，以实时实现同步输入。动态检测器配置了带有lstm单元的三层双向rnn，并使用pytorch进行训练。
[0063]
具体而言，本发明实施例中，攻击者可以住人k尺度的随机数，它符合高斯分布，攻击向量a～n(0,0.5)。通过测试攻击向量得到实际测量的情况，大多数陷先进测器都无法探测到。而在本实施例中，攻击者试图注入一个预先收集的假的行程器生成事件，定义攻击能力为其中n为总测量次数，在测试集的分类结果上评估动态fdi攻击检测框架的性能，在实施例中，通过训练一个训练周期为10的神经网络，，使损失函数equation最小。通过采用60％/20％/20％的训练/验证/测试分割，用网格搜索确定最优的τ。
[0064]
请参阅图7所示，其为本实施例中不同数量的总线时检测fdi攻击的准确度，即本发明所述系统的异常检测的结果，本发明通过检测方法机制对随机fdi攻击的检测准确率较高时可达到90％以上；而且，所述系统在跟踪功率低的，精确度较低。事实上，这可以通过合并一个se检测器来解决，它在优先攻击力的情况下表现得很好。即本实施例中通过提出的两级检测方案是能够实现不同场景的高检测精度。对于目标fdi攻击，注入的数据流要从真实事件中仔细模拟，对于大多数se坏数据检测器是不能考虑的。通过实验验证了动态特征和网络异常检测器集可以支持入侵检测系统，提高入侵检测性能。通过本实施例的试验可以在电力系统的早起阶段建立，不需要对电力系统进行全面的了解。
[0065]
至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下，本领域技术人员可以对相关技术特征做出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
[0066]
以上所述仅为本发明的优选实施例，并不用于限制本发明；对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。