引用本文

席磊, 何苗, 周博奇, 李彦营. 基于改进多隐层极限学习机的电网虚假数据注入攻击检测. 自动化学报, 2023, 49(4): 881−890 doi: 10.16383/j.aas.c211127

Xi Lei, He Miao, Zhou Bo-Qi, Li Yan-Ying. Research on false data injection attack detection in power system based on improved multi layer extreme learning machine. Acta Automatica Sinica, 2023, 49(4): 881−890 doi: 10.16383/j.aas.c211127

http://www.aas.net.cn/cn/article/doi/10.16383/j.aas.c211127

关键词

电力信息物理系统，虚假数据注入攻击，状态估计，灰狼优化，多隐层极限学习机 

摘要

虚假数据注入攻击(False data injection attacks, FDIA)严重威胁了电力信息物理系统(Cyber-physical system, CPS)的状态估计, 而目前大多数检测方法侧重于攻击存在性检测, 无法获取准确的受攻击位置. 故本文提出了一种基于灰狼优化(Gray wolf optimization, GWO)多隐层极限学习机(Multi layer extreme learning machine, ML-ELM)的电力信息物理系统虚假数据注入攻击检测方法. 所提方法将攻击检测看作是一个多标签二分类问题, 不仅将用于特征提取与分类训练的极限学习机由单隐层变为多隐层, 以解决极限学习机特征表达能力有限的问题, 且融入了具有强全局搜索能力的灰狼优化算法以提高多隐层极限学习机分类精度和泛化性能. 进而自动识别系统各个节点状态量的异常, 获取受攻击的精确位置. 通过在不同场景下对IEEE-14和57节点测试系统上进行大量实验, 验证了所提方法的有效性, 且分别与极限学习机、未融入灰狼优化的多隐层极限学习机以及支持向量机(Support vector machine, SVM)相比, 所提方法具有更精确的定位检测性能.

文章导读

电力系统状态估计[1]作为能量管理系统的核心组成部分, 其利用采集到的电力系统实时量测数据, 求解状态变量估计值, 从而得到电力系统当前运行状态. 然而随着电网逐渐发展成为信息系统与物理系统紧密耦合的电力信息物理系统 (Cyber-physical systems, CPS)[2-3], 其中通信网络和信息设备的安全漏洞, 使得网络攻击事件对电力CPS的状态估计造成严重威胁, 引起大停电事故频发[4].

由于电网采集到的量测量存在一定的测量误差及数据异常, 为防止不良的量测量会影响状态估计的准确性, 已开发了各种不良数据检测机制[5]运用于状态估计中. 虽具备抵御一些常见的隐蔽性不强的网络攻击, 但面对具有较强隐蔽性的虚假数据注入攻击 (False data injection attacks, FDIA)[6], 仍无有效方法确保系统的安全.

针对电力CPS中FDIA检测问题, 近年来学者们提出了许多方法. 总体上可分为三类: 图论和距离检测法、时间序列预测法、机器学习检测法. 针对第1类检测法, 文献[7]利用图论将系统分解为多个互联的子系统, 构造动态降阶观测器为攻击检测生成残差信号, 从而提出一种基于自适应检测阈值的分布式攻击检测方案. 文献[8]在状态估计结果上应用异常检测技术, 在此基础上通过图论的方法检测可能的攻击. 而第2类检测法是基于时间序列预测, 即利用历史数据预测当前的状态, 并根据预测结果与量测结果进行异常数据对比分析. 其中按照不同的状态预测方法又可分为短期状态预测[9-10]检测法和动态状态估计[11-12]检测法 (如卡尔曼滤波). 第3类机器学习检测法包括深度学习、神经网络和集成学习等. 文献[13]通过自编码器对测量数据进行降维, 并利用深度学习模型来捕获正常和异常数据之间的不一致性, 从而识别FDIA的存在. 文献[14]将门控循环单元结构加入卷积神经网络来构建CNN-GRU混合神经网络, 提取数据时空特征来进行FDIA检测. 文献[15]将监督分类器与无监督分类器作为独立检测器, 并通过集成学习策略性地聚合所有单个检测器的结果来提高性能.

虽然上述方法已经能够实现对FDIA的检测, 但其都只关注电力CPS中是否存在恶意攻击, 无法识别哪些总线或状态被污染, 而在实际中, 除了检测是否存在FDIA之外, 精确定位FDIA的位置对于快速部署有效的应对措施以及之后的状态重构至关重要. 因此, 文献[16]提出了基于机器学习的极限学习机 (Extreme learning machine, ELM) 的FDIA检测方法, 能够有效识别出攻击的位置. 然而传统ELM为单隐层神经网络, 特征表达能力有限, 无法有效处理电力CPS中量测数据维度高、数据量大等问题.

为此, 我们将FDIA定位检测看作是一个多标签二分类问题[17], 采用基于ELM自编码器的多隐层极限学习机 (Multi layer extreme learning machine, ML-ELM) 算法, 即利用每个ELM自编码器的输出权重矩阵对应的奇异值来表示输入数据的特征, 前一层自编码器的隐层输出作为后一层自编码器的输入, 进而将ELM拓展到深度神经网络以增强其特征表达能力, 从而解决ELM无法有效处理复杂数据的问题. 且与其他深度学习算法相比, ML-ELM无需微调, 避免了繁杂、耗时的人工特征选取过程[18].

然而, 由于ML-ELM的学习性能受到每层隐层神经元个数的影响, 导致分类器的检测精度在一定程度上受到影响. 而人为设置隐层神经元个数需要进行大量的数据和仿真实验来确保分类准确性, 因此我们将一种具有强全局搜索能力的灰狼优化 (Grey wolf optimizer, GWO)[19]算法引入到ML-ELM中进行超参数寻优.

故本文针对电力CPS的FDIA检测与定位问题提出了GWO-ML-ELM算法, 通过在不同场景下对IEEE总线系统进行大量实验, 验证了所提方法的有效性, 且分别与极限学习机、未融入灰狼优化的多隐层极限学习机以及支持向量机 (Support vector machine, SVM) 相比, 所提方法具有更精确的定位检测性能.

图 1  面向电力CPS的FDIA结构图

图 2  ML-ELM网络结构

图 3  GWO算法流程图

本文面向电力CPS提出了基于GWO-ML-ELM的FDIA检测方法. 所提方法将攻击检测看作是一个多标签二分类问题, 不仅将用于特征提取与分类训练的极限学习机由单隐层变为多隐层, 以解决极限学习机特征表达能力有限的问题, 且融入了具有强全局搜索能力的GWO优化算法以提高多隐层极限学习机分类精度和泛化性能.

所提算法不依赖于特定的攻击模型和系统拓扑结构, 通过采集历史测量数据, 提取样本特征从而识别异常数据, 属于基于数据的检测算法. 因此, 改变攻击模型和系统拓扑结构时, 所提检测方法仍然有效. 本文针对IEEE-14和IEEE-57节点系统进行了大量实验, 验证了所提方法的有效性, 且分别与ML-ELM、ELM和SVM算法对比分析, 验证所提方法在检测准确率上有所提升, 具有更精确的定位检测性能.

后续工作中, 为了完成对FDIA的防御, 在定位到具体的受攻击位置后, 还应减少这些受损测量值对状态估计结果的影响. 例如在保证系统可观性的前提下, 设法从系统量测量中移除它们, 或在状态估计过程中减少它们的权重, 或者根据历史数据进行预测, 采用预测值进行替换.

作者简介

席磊

三峡大学教授. 主要研究方向为电力系统运行与控制, 自动发电控制和智能控制方法. 本文通信作者. E-mail: xilei2014@163.com

何苗

三峡大学电气工程专业硕士研究生. 主要研究方向为电力系统网络攻击. E-mail: he_miao98@163.com

周博奇

三峡大学电气工程专业硕士研究生. 主要研究方向为电力系统运行与控制, 自动发电控制. E-mail: zhouforst@163.com

李彦营

三峡大学电气工程专业硕士研究生. 主要研究方向为电力系统运行与控制, 自动发电控制. E-mail: li980604@163.com