引用本文

席磊, 李宗泽, 王文卓, 白芳岩, 董璐. 基于SF-LPETB的电力信息物理系统虚假数据注入攻击定位检测. 自动化学报, 2025, 51(11): 2543−2552 doi: 10.16383/j.aas.c250275

Xi Lei, Li Zong-Ze, Wang Wen-Zhuo, Bai Fang-Yan, Dong Lu. Location detection of false data injection attacks in cyber-physical power systems based on sample filtering-label powerset extreme trees ensemble boost. Acta Automatica Sinica, 2025, 51(11): 2543−2552 doi: 10.16383/j.aas.c250275

http://www.aas.net.cn/cn/article/doi/10.16383/j.aas.c250275

关键词

虚假数据注入攻击，深度学习，集成学习，标签聚合极端树集成

摘要

虚假数据注入攻击行为严重威胁电力信息物理系统的安稳运行. 然而, 针对虚假数据注入攻击的现有检测未充分考虑海量量测数据的不平衡性和网络拓扑的关联性, 导致检测方法广泛存在定位性能差的问题, 因此提出一种基于样本过滤−标签聚合极端树集成的电力信息物理系统虚假数据注入攻击定位检测方法. 所提方法在基于深度学习的卷积神经网络中引入交叉验证思想, 用于过滤海量量测数据中代表性弱、重复率高的不平衡样本; 通过利用标签聚合将关联的网络拓扑融入极端树中, 并在与各节点状态对应的所有极端树上进行集成, 继而加权输出得到各节点状态的最终检测概率, 以实现对受攻击位置的精确定位. 在IEEE-14、IEEE-57节点系统上进行的仿真, 验证了所提方法的有效性, 且与多种已有定位检测方法进行充分对比, 验证了其在准确率、精度、召回率、F1值和AUC值上更优.

文章导读

数字化、智能化在使电力信息物理系统(Cyber-physical power system, CPPS)[1]逐渐发展成熟的同时, 也给其带来严重的网络安全隐患. 其中, 虚假数据注入攻击(False data injection attacks, FDIA)[2]因其隐蔽性强, 能够在避开现有状态估计器[3]辨识的同时, 使安稳控制设施误动或拒动, 对电力信息物理系统的安全构成严重威胁. 在此背景下, 现有技术可基本实现对CPPS中FDIA的存在性检测, 但缺乏对整个系统中各个节点位置实时状态的清晰判断, 即难以准确锁定受到攻击的具体位置或区域. 这将大大增加调度中心察觉实时状态的微小变化以及做出正确决策的难度.

因此, 将定位检测作为独立问题考量, 能够为高效缓解FDIA对CPPS的冲击提供更为切合实际的帮助, 具有重要的工程意义. 近年来, 针对FDIA的定位检测方法可分为模型驱动模式和数据驱动模式. 基于模型驱动的FDIA定位检测方法多基于CPPS中系统数据的特性值与预设阈值差异, 来构建检测模型, 可拓展性普遍较差, 且高度依赖预设阈值, 适用场景单一. 而基于数据驱动[4]的FDIA定位检测方法往往将定位检测问题视为多标签二分类问题, 因其不依赖于系统建模及人工阈值, 能够从大量输入数据的特征(如节点电压幅值、相角等)中提炼其中蕴含的信息与规律, 且适用于不断变化的攻击场景, 故而引起学者们的广泛关注. 而基于数据驱动的FDIA定位检测方法又包括了强化学习、深度学习、集成学习等方法, 其中, 由于深度学习[5]对特征的挖掘、表达能力相对较强, 故在目前基于数据驱动的定位检测方法中占据主流地位.

然而, 深度学习普遍存在超参数难以寻优、可解释性差等问题. 针对超参数问题, 文献[6−8]分别融合了混合黑猩猩、反向鲸鱼、灰狼优化等方法来寻优超参数, 但上述方法对超参数进行寻优的同时引入更多的超参数, 其迭代过程降低了训练效率. 文献[9−10]从检测器架构出发, 分别拆分检测阶段和调整网络结构来抵御超参数对检测性能的干扰, 但上述方法大大增加检测的运算开销, 普适性差, 难以适应不断变化的检测场景.

为此, 文献[11−12]分别结合电力网络拓扑信息和量测数据的空间相关性, 来更合理地构建检测流程. 在避免引入超参数的同时, 提高了检测的可解释性, 但由深度学习对超参数的强依赖性造成的学习能力受限问题, 仍难以缓解. 在此基础上, 有部分学者提出集成学习方法, 不仅有效规避了上述问题, 甚至具备不逊于深度学习方法的优势. 文献[13]提出一种贝叶斯优化的极端梯度提升算法, 文献[14]提出一种相关特征−多标签级联提升森林方法来定位检测FDIA, 均验证了集成学习方法的有效性. 然而, 目前针对集成学习的优化策略普遍难以有效结合网络拓扑间的相关性等信息, 故进一步提高对FDIA的定位检测能力仍有很大的研究空间.

综上所述, 本文旨在探索一种融合电网相关拓扑信息的低复杂度集成算法, 以便充分结合深度学习的特征处理能力与机器学习不依赖复杂调参、可解释性强的优势, 来实现对FDIA的高效定位检测. 在文献[15] 中, 提出一种基于最大信息系数−双层置信极端梯度提升树的定位检测方法, 能够较好地实现上述目标. 但在后期探索过程中发现, 该检测方法未能充分考虑到CPPS运行过程中存在受到污染的情景, 而这种情景往往极为普遍. 因此在用于集成学习的量测样本数据中, 会出现正常样本比例远高于受攻击样本比例的现象, 从而导致样本不平衡. 此外, 该方法将具有拓扑链接关系的前序标签预测信息动态传递到后续标签的特征集合上时, 利用了电网拓扑信息, 却忽略特征集合的维度往往较高, 而具有链接关系的前序预测信息较少, 一定程度上造成特征淹没, 即相关性信息未能得到充分学习. 故本文提出一种基于样本过滤−标签聚合极端树集成(Sample filtering-label powerset extreme trees ensemble boost, SF-LPETB)的电力信息物理系统虚假数据注入攻击定位检测方法, 相比于文献[15], 主要贡献如下:

1)提出一种新颖的样本过滤技术, 在各标签上对具有强特征表达能力的卷积神经网络(Convolutional neural networks, CNN)进行交叉验证, 得到每条样本的初步检测概率, 并将其与所设阈值进行对比, 从而滤除海量量测数据中易过拟合和检测难度小的样本, 最大限度地保障样本的平衡性和优质性, 得到更为准确的数据集, 用于实施进一步的检测.

2)提出一种聚合极端树集成的检测方法, 利用多标签分类的标签聚合(Label powerset, LP)策略, 结合网络拓扑链接关系优化极端树集成(Extreme trees ensemble boost, ETB), 对彼此具有物理链接关系的各节点对应标签进行高维编码, 生成新的标签集, 并在特征集合上进行分类, 完成解码得到最终检测结果. 相较于深度神经网络的全连接层, 所提方法在输出检测结果时较深入细致地考虑彼此关联性强的标签与标签之间(即由少数标签组成的集群)所隐含的有助于定位检测的信息, 而且在方法构建过程中更具体地融入标签相关性.

图1  FDIA行为示意图

图2  样本过滤示意图

图3  IEEE-14节点系统标签聚合示例图

针对因未充分考虑结合海量量测数据的不平衡性、网络拓扑的关联性, 导致现有FDIA定位检测方法定位性能差的问题, 提出基于SF-LPETB的定位检测方法. 所提方法将FDIA定位问题转化为多标签二分类问题, 通过在SF样本过滤后的样本训练集上训练模型, 来平衡样本数据并提高定位检测效率. 然后在定位检测阶段提出一种基于标签聚合策略的极端随机树集成的LPETB模型, 该模型能够与数据处理阶段形成配合, 通过提取拓扑关联信息来更充分地利用样本过滤后的训练集, 并将所提SF-LPETB方法在IEEE-14和IEEE-57节点系统上进行大量仿真, 验证了其可靠性和优越性. 此外, 仿真还表明所提方法在面对大节点系统和精心攻击场景下, 定位检测能力更显著强于目前多种定位检测方法, 具有良好的可拓展性和实用性.

在今后的FDIA定位检测研究工作中, 还应当对当前在利用标签相关性过程中存在的强数据依赖性、范围局限性等劣势寻求改良, 并根据各种具体不同目的、不同性质的FDIA, 设计更有针对性的定位检测模型, 从而减轻FDIA对电力系统安全稳定运行带来的威胁.

作者简介

席磊

三峡大学电气与新能源学院教授. 2016年获得华南理工大学电气工程专业博士学位. 主要研究方向为电力系统稳定与控制和信息物理系统安全防御研究. E-mail: xilei2014@163.com

李宗泽

三峡大学电气与新能源学院博士研究生. 主要研究方向为电力系统网络攻击与防御. 本文通信作者. E-mail: lizongze0608@163.com

王文卓

2025年获得三峡大学电气工程专业硕士学位. 主要研究方向为信息物理系统安全防御研究. E-mail: wangwz030930@163.com

白芳岩

2025年获得三峡大学电气工程专业硕士学位. 主要研究方向为信息物理系统安全防御研究. E-mail: bfyana@163.com

董璐

2025年获得三峡大学电气工程专业硕士学位. 主要研究方向为信息物理系统安全防御研究. E-mail: lu15275425765@163.com