一种基于数据和模型驱动的综合能源系统FDIA检测方法技术方案

本发明专利技术提供一种基于数据和模型驱动的综合能源系统FDIA检测方法，属于综合能源系统领域。该方法为实现综合能源系统虚假数据入侵检测，在考虑机器学习中决策树算法和模型驱动的前提下，结合综合能源系统冷热网建立基于数据和模型驱动的虚假数据入侵检测流程，使得综合能源系统在虚假数据入侵检测实现漏检率低、误检率低的目的；在基于建立决策树机器学习算法来进行入侵检测时，为了解决决策树减枝问题，引入了基于模型驱动的综合能源系统入侵检测方法；最终使得综合能源系统虚假入侵检测更具多样性，运算时的检测率有明显提高。运算时的检测率有明显提高。运算时的检测率有明显提高。

【技术实现步骤摘要】
一种基于数据和模型驱动的综合能源系统FDIA检测方法


[0001]本专利技术属于综合能源系统领域，特别涉及到一种基于数据和模型驱动的综合能源系统FDIA检测方法。

技术介绍

[0002]综合能源系统(Integrated Energy System，IES)是在一个特定范围区域整合煤炭、石油、热能、电能、生物质能等多种能源，并利用先进的信息物理技术和创新思维模式以实现各种不同能源子系统之间相互协调规划、优化调度、优势互补、相互呼应的新型能源系统。
[0003]伴随着更多大型智能化、网络化的设备接入综合能源网，增强了监控与管理能源网络的能力。但庞大规模的设备连接到物联网中提高了能源网络的安全风险：智能设备数量的增加则会引起更多网络安全方面的漏洞，增加了黑客对能源系统的攻击范围。
[0004]21世纪以来，各国已经产生了多起网络攻击导致的能源供应中断、交易停摆、停电损失等事件。随着网络攻击导致的能源系统的危害，如何增强认识、检测攻击、抵御各类恶意的网络攻击就成为近些年来综合能源系统网络安全的热门领域。以破坏、勒索为目的，攻击者能借助安全漏洞发起虚假数据注入攻击(False Data Injection Attacks，FDIA)、拒绝服务(Denial of service，DoS)等网络攻击，可能造成能源服务公司在线服务关闭等问题，甚至可能造成能源供应中断等严重后果。因此，网络安全和网络攻击检测是保障综合能源系统安全稳定运行的有力手段。
[0005]网络安全中最主要的的防护技术是入侵检测。网络安全领域至关重要的角色就是入侵检测系统，如何在复杂的互联网环境中检测多种多样的网络攻击是入侵检测的关键。目前包括病毒攻击、漏洞攻击、虚假数据注入、窃听攻击、拒绝服务攻击等都是已经获知的针对电网和电力信息系统主要的入侵攻击手段，并且向着团队化组合攻击的趋势发展。
[0006]相比于其他的网络攻击方式，虚假数据攻击是无线传感器网络的一种严重威胁，会对综合能源系统的稳定造成破坏。虚假数据注入攻击模型常见的主要有：缩放攻击、斜坡攻击、脉冲攻击和随机攻击等。缩放攻击是将量测值修改为固定倍数。斜坡攻击是将量测值修改成为随着时间变化的倍数。脉冲攻击是基于缩放攻击，添加时间间隔脉冲，即间歇性的修改量测数据。
[0007]入侵检测的方法有基于模型驱动，例如状态估计技术和基于统计技术的模型的变体、提出利用卡尔曼滤波器进行测量估计，以检测针对智能电网的网络攻击。此外，也有采用数据驱动的方式进行电网的攻击检测。检测方法将观测到的系统事件和行为与正常系统行为进行对比，通过识别明显的偏差以发现网络攻击。首先，通过收集系统数据构成数据集，使用相关机器学习算法学习相关行为模式。与此同时，采集样本，通过与已获得的系统行为模式进行比较，判断该样本是否偏差巨大，最终实现以数据驱动的入侵检测。
[0008]基于数据驱动检测方法的诟病是它会产生较多的误报，但是，只要合理配置入侵检测方法，并根据系统动力学行为的改变及时更新检测模型，那么异常检测的误报率将大
大下降。传统虚假数据攻击的基于特征匹配和统计分析的检测方法存在特征选择困难、适应性差等缺陷,导致系统入侵检测识别的准确率低、误报、漏报率高。所以根据以上问题，提出一种基于数据和模型的双重综合能源系统虚假数据入侵检测机制，以克服传统方法的诸多缺点。

技术实现思路

[0009]为解决现有技术的上述问题，本专利技术提出了一种基于数据和模型驱动的综合能源系统FDIA检测方法；
[0010]针对综合能源系统中，各种测量的设备端在提供给控制端大量数据的同时，也带来了能源网络的安全问题。其中虚假数据注入攻击可能会对系统产生更加恶劣的影响。该方法首先针对虚假数据注入的攻击模型，进行基于机器学习的入侵检测，利用机器学习算法中决策树算法学习正常的行为模式并检测网络攻击。并针对机器学习算法中漏检率较高的问题，提出一种基于数据和模型驱动的综合能源系统FDIA检测方法。
[0011]为此本专利技术的一种基于数据和模型驱动的综合能源系统FDIA检测方法，所述方法步骤如下：
[0012]S1建立基于决策树的机器学习分类模型
[0013]S1.1建立虚假数据注入攻击模型；
[0014]S1.2收集综合能源系统多能量测数据，进行数据归一化，将数据分为训练集和测试集；
[0015]S1.3建立基于决策树的机器学习分类模型；
[0016]S1.4在判别结果为否的情况下，进行基于模型的入侵检测，如果判别结果为是的情况下检测流程完成。
[0017]S2建立基于模型的入侵检测模型
[0018]S2.1建立冷热网仿真建模入侵检测模型
[0019]S2.2建立电网模型状态估计的入侵检测模型
[0020]进一步的，所述虚假数据注入攻击模型包括：缩放攻击模型、斜坡攻击模型、脉冲攻击模型和随机攻击模型；
[0021]所述缩放攻击模型将量测值根据缩放攻击参数修改为实际量测值的倍数。
[0022][0023]式中，y
*
(τ)为攻击后控制中心收到的量测量，y(τ)为实际量测量；
[0024]所述斜坡攻击模型通过添加斜坡函数来逐渐修改真实测量值，斜坡函数随时间逐渐增加或减少。
[0025][0026]式中，α
r
为斜坡攻击参数；
[0027]所述脉冲攻击模型相似于缩放攻击模型，其不同点在于，缩放攻击是持续性修改
测量值量，即在攻击的时间内一直会修改，不同的是脉冲攻击是通过时间间隔脉冲来改变量测值，如下式所示。
[0028][0029]式中，α
p
为脉冲攻击参数,n为脉冲次数，σ
att
为脉冲攻击周期；
[0030]所述随机攻击模型是取一个在一定范围内随机分布的随机数添加到量测值中，以实现数据篡改。
[0031][0032]式中，random(a,b)为下界为a、上界为b的均匀分布的随机数；
[0033]进一步的，所述综合能源系统多能量测数据，包括大量未被攻击的正常量测数据，以及包括被攻击篡改过的问题数据。所有被篡改过的虚假数据均以式(1)
‑
(4)中的一个模型生成，其中X为综合能源系统量测数据集，x1，x2..x
n
表示不同样本数据：
[0034]X＝[x1，x2..x
n
]ꢀꢀꢀ
(9)
[0035]y
i
为系统任一输出，其中i＝1，2，
…
n，当y
i
为1表示没有受到攻击，y
i
为0时表示数据被篡改，受到攻击。
[0036]Y＝[y1，y2，..y
n
]，y∈{0，1}
ꢀꢀꢀ
(10)
[0037]当训练好模型后，可对待检测数据集X进行检测，对X的分类结果为Y，待检测数据集与其分类结果满足如下关系。
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于数据和模型驱动的综合能源系统FDIA检测方法，其特征在于：S1建立基于决策树的机器学习分类模型；S1.1建立虚假数据注入攻击模型；S1.2收集综合能源系统多能量测数据，进行数据归一化，将数据分为训练集和测试集；S1.3建立基于决策树的机器学习分类模型；S1.4在判别结果为否的情况下，进行基于模型的入侵检测，如果判别结果为是的情况下检测流程完成；S2建立基于模型的入侵检测模型；S2.1建立基于冷热网模型的FDIA检测模型；S2.2建立电网模型状态估计FDIA检测模型。2.根据权利要求1所述的一种基于数据和模型驱动的综合能源系统FDIA检测方法，其特征在于：所述虚假数据注入攻击模型包括：缩放攻击模型、斜坡攻击模型、脉冲攻击模型和随机攻击模型；所述缩放攻击模型将量测值根据缩放攻击参数修改为实际量测值的倍数；式中，y
*
(τ)为攻击后控制中心收到的量测量，y(τ)为实际量测量；所述斜坡攻击模型通过添加斜坡函数来逐渐修改真实测量值，斜坡函数随时间逐渐增加或减少；式中，α
r
为斜坡攻击参数；所述脉冲攻击模型相似于缩放攻击模型，其不同点在于，缩放攻击是持续性修改测量值量，即在攻击的时间内一直会修改，不同的是脉冲攻击是通过时间间隔脉冲来改变量测值，如下式所示；式中，α
p
为脉冲攻击参数,n为脉冲次数，σ
att
为脉冲攻击周期；所述随机攻击模型是取一个在一定范围内随机分布的随机数添加到量测值中，以实现数据篡改；式中，random(a,b)为下界为a、上界为b的均匀分布的随机数。3.根据权利要求1所述的一种基于数据和模型驱动的综合能源系统FDIA检测方法，其特征在于：所述综合能源系统多能量测数据，包括大量未被攻击的正常量测数据，以及包括
被攻击篡改过的问题数据；所有被篡改过的虚假数据均以式(1)
‑
(4)中的一个模型生成，其中X为综合能源系统量测数据集，x1,x2..x
n
表示不同样本数据：X＝[x1,x2..x
n
]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(9)y
i
为系统任一输出，其中i＝1,2,
…
n，当y
i
为1表示没有受到攻击，y
i
为0时表示数据被篡改，受到攻击；Y＝[y1,y2,..y
n
],y∈{0,1}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(10)当训练好模型后，可对待检测数据集X进行检测，对X的分类结果为Y，待检测数据集与其分类结果满足如下关系；Y＝f(X)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(11)式中，f为训练好的预测函数。4.根据权利要求1所述的一种基于数据和模型驱动的综合能源系统FDIA检测方法，其特征在于：所述决策树的机器学习分类模型是基于机器学习的ID3算法，对测试集进行分类判别；假设训练集D的信息熵为E(D)，P表示样本类别；k表示类别数量；样本出现的概率为|P
K
|/|D|，则信息熵如下；假设特征C有n个不同的取值，将D分为n个子集D1，D2，
…
，D
n
；特征C对训练集D的条件熵E(D|C)如下；D
ik
表示特征C的值为i的样本在P类别的样本数量；D
i
表示特征C的值为i的样本数量；E(D
i
)表示如下：最后计算信息增益Gain(D|C)如下：Gain(D|C)＝E(D)
‑
E(D|C)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(8)。5.根据权利要求4所述的一种基于数据和模型驱动的综合能源系统FDIA检测方法，其特征在于：所述ID3算法步骤为：Step 1.输入：数据集D，特征集A，阈值V，输出：决策树T；Step 2.若D中所有实例为同一类C
k
，则T为单节点树，并将类C
k
作为该节点的类标记，并返回T；Step 3.若A为空集，则T为单节点树，并将D中实例最大的类C
k
作为该节点的类标记，并返回T；Step 4.计算A中各特征对D的信息增益，选择信息增益最大的A
i
；Step 5.如果A
i
的信息增益小于阈值V，则T为单节点树并将D中实例最大的类C
k
作为该
节点的类标记，并返回T；Step 6.否则，对A
i
的每一可能值，将D分割为若干非空子集D
i
，将D
i
中实例最大的类作为该节点的类标记，构建子节点，并返回T；Step7.对第i个子节点，以D
i
为训练集，递归地调用Step1
‑
5，得到子树T
i
，返回T
i
。6.根据权利要求1所述的一种基于数据和模型驱动的综合能源系统FDIA检测方法，其特征在于：所述基于模型的入侵检测模型包括：基于冷热网模型的FDIA检测模型和基于电网模型状态估计FDIA检测模型。7.根据权利要求6所述的一种基于数据和模型驱动的综合能源系统FDIA检测方法，其特征在于：所述基于冷热网模型的FDIA检测模型，包括：量调节供热网络节点和管道模型、热网中节点间的依赖关系模型、供水侧参数的模型、供冷网络模型；所述量调节供热网络节点和管道模型，将节点和管道分别用两个矩阵来表示，如下式：V＝[v1,...,v
i
,...,v
I
]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(12)式中，V为节点矩阵，v
j
表示第i个节点，I为节点数量；E＝[e1,...,e
j
,...,e
J
]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(13)式中，E为管道矩阵，e
j
表示第j个管道，J为管道数量；由一个节点管道关联矩阵A来描述节点和管道间的连接关系，如式(14)所示；式中，a
ij
表示节点v
i

【专利技术属性】
技术研发人员：夏懿，张慧峰，马龙，林旭明，薛亮，吴彦华，
申请(专利权)人：国网甘肃省电力公司临夏供电公司，
类型：发明
国别省市：