吳英俊,汝英濤,劉錦濤,施展宇,顧 松,倪 明
(1. 河海大學(xué)能源與電氣學(xué)院,江蘇省南京市 211100;2. 南瑞集團有限公司(國網(wǎng)電力科學(xué)研究院有限公司),江蘇省南京市 211106)
隨著信息技術(shù)的融入,網(wǎng)絡(luò)攻擊逐漸成長為威脅電力系統(tǒng)安全運行的主要因素之一[1]。自動發(fā)電控制[2](automatic generation control,AGC)系統(tǒng)基于遠程終端和信息技術(shù)獲取互聯(lián)電網(wǎng)頻率及功率信息,優(yōu)化決策出AGC 機組的調(diào)整量,實現(xiàn)對電力系統(tǒng)頻率實時監(jiān)測和閉環(huán)調(diào)整。
由于AGC 系統(tǒng)的控制決策過程依托于通信與信息技術(shù),其必然存在受到網(wǎng)絡(luò)攻擊的潛在威脅[3]。攻擊者通過影響決策系統(tǒng)與遠程終端之間的通信,破壞AGC 協(xié)調(diào)電力系統(tǒng)運行的能力,如開展拒絕服務(wù)攻擊[4]、時間延遲攻擊[5]、虛假數(shù)據(jù)注入(false data injection,F(xiàn)DI)攻擊[6]等。其中,F(xiàn)DI 攻擊是AGC 系統(tǒng)可能面臨的主要威脅之一。FDI 攻擊可直接攻擊AGC 決策系統(tǒng),篡改正常區(qū)域控制偏差(area control error,ACE)值或注入惡意ACE 值,也可通過篡改通信網(wǎng)絡(luò)或遠程終端中的數(shù)據(jù),使其對頻率平衡控制失敗[7]。同時,F(xiàn)DI 攻擊也可以利用小注入量攻擊的多步累積對系統(tǒng)造成嚴(yán)重影響。因此,必須針對FDI 攻擊進行有效檢測,以保證AGC系統(tǒng)的安全性和可靠性。
目前,研究人員提出了不同的檢測方法以保護AGC 系統(tǒng)。針對攻擊AGC 決策系統(tǒng)的主要檢測方法是基于ACE 特征分析的檢測[8-11]。該方法通過對ACE 的監(jiān)測統(tǒng)計或預(yù)測,實現(xiàn)對異常ACE 的檢測。目前已有基于ACE 動態(tài)特性[9]、基于負荷預(yù)測[10-11]或構(gòu)建多層分類器來快速識別受損的ACE[8]。但是,直接針對系統(tǒng)內(nèi)部ACE 的攻擊往往需要較多資源,所以攻擊者更傾向于攻擊通信數(shù)據(jù)或遠程終端來達到破壞AGC 系統(tǒng)的目的[12-13]。針對此類攻擊,研究人員提出了基于AGC 系統(tǒng)狀態(tài)變量檢測方法[14-16]。該方法基于AGC 系統(tǒng)狀態(tài)估計器,通過比較系統(tǒng)估計值和觀察值來檢測攻擊。文獻[14]設(shè)計了一種隨機未知輸入估計器對狀態(tài)變量進行估計,通過殘差函數(shù)的變化檢測FDI 攻擊。文獻[15]提出一種基于估計器殘差越限檢測的攻擊識別方法。文獻[16]提出了一種對未知量進行模型估計的FDI 攻擊檢測算法。上述基于狀態(tài)估計的檢測方法能夠較好反映電力系統(tǒng)特性。
此外,通過在AGC 系統(tǒng)中信號疊加不可磨滅的水印信號[17-18],以及通過基于系統(tǒng)信號的方差一致性進行檢測來判斷系統(tǒng)是否遭受網(wǎng)絡(luò)攻擊,對虛假數(shù)據(jù)注入攻擊也有較好的檢測能力。但是,這些方法主要適用于具有統(tǒng)計特性的確定性系統(tǒng)模型,模型中不確定性因素會影響攻擊檢測的判斷。通過實際工程分析發(fā)現(xiàn),AGC 系統(tǒng)的噪聲分布很難用數(shù)學(xué)模型描述。目前,基于狀態(tài)估計的攻擊檢測方法都要求噪聲的分布特性已知或至少部分已知[17]。對于未知噪聲分布條件下的攻擊檢測問題,傳統(tǒng)估計方法無法驗證有關(guān)模型估計的假設(shè)特性是否與實際情況相符,難以滿足實際的應(yīng)用需要。
針對噪聲不確定性的問題,本文提出了一種基于集員濾波的AGC 系統(tǒng)FDI 攻擊檢測方法。基于AGC 系統(tǒng)的實時數(shù)據(jù),利用集員技術(shù)對系統(tǒng)進行狀態(tài)估計,以檢測系統(tǒng)某一時間斷面內(nèi)可能存在的FDI 攻擊。集員濾波方法將系統(tǒng)噪聲假設(shè)為有界未知量,在此基礎(chǔ)上得到AGC 系統(tǒng)狀態(tài)的可行集,即與系統(tǒng)模型、狀態(tài)變量相一致的所有可能運行狀態(tài)的橢球集[19],可以準(zhǔn)確判斷由攻擊引起的異常狀態(tài)變化,從而實現(xiàn)攻擊檢測。
先進信息技術(shù)的應(yīng)用使得AGC 系統(tǒng)變成一種高度自動化的系統(tǒng),這減少了人工操作失誤的可能性,但是也給FDI 攻擊提供了更多的機會。FDI 攻擊者可以對AGC 系統(tǒng)通信網(wǎng)絡(luò)或遠程終端的數(shù)據(jù)傳輸進行篡改,破壞控制指令,從而影響測量數(shù)據(jù)的傳輸和AGC 系統(tǒng)的安全運行,對互聯(lián)電網(wǎng)的安全造成威脅。AGC 系統(tǒng)控制流程如附錄A 圖A1 所示。若在k時段發(fā)生攻擊A1,即攻擊者通過攻擊采集終端或數(shù)據(jù)上傳信道,對包含聯(lián)絡(luò)線功率偏差ΔPtie以及區(qū)域i的頻率偏差Δfi的測量數(shù)據(jù)yk進行攻擊,測量數(shù)據(jù)會從yk變?yōu)楸还粽吖舻臄?shù)據(jù)yˉk,決策系統(tǒng)基于錯誤的聯(lián)絡(luò)線交換功率ΔPtie和區(qū)域頻率波動Δfi做出錯誤估計;若在k時段發(fā)生攻擊A2,即攻擊者攻擊控制終端或指令下達信道來攻擊控制指令uk,控制指令從uk變?yōu)楸还糁噶顄ˉk,控制終端執(zhí)行錯誤指令,擔(dān)任二次調(diào)頻的發(fā)電機機組錯誤動作,造成頻率失穩(wěn)。
根據(jù)1.1 節(jié)可知,F(xiàn)DI 攻擊會對AGC 系統(tǒng)造成嚴(yán)重威脅,所以有必要提出一種針對互聯(lián)電網(wǎng)AGC系統(tǒng)的FDI 攻擊檢測方法。因此,本文提出了一種基于集員濾波的FDI 攻擊檢測方法。該方法的主要檢測機理是基于AGC 系統(tǒng)實時傳輸?shù)目刂浦噶顄k和測量數(shù)據(jù)yk并利用集員濾波技術(shù),對AGC 系統(tǒng)狀態(tài)進行預(yù)測更新和測量更新,得到與系統(tǒng)模型、干擾噪聲和測量輸出相包容的橢球集,即預(yù)測更新橢球集和測量更新橢球集由所有系統(tǒng)正常運行下可能所處的點組成。當(dāng)系統(tǒng)控制指令或者測量數(shù)據(jù)遭受到FDI 攻擊時,基于更新被攻擊數(shù)據(jù)得到的橢球集中不包含系統(tǒng)正常的運行狀態(tài),即預(yù)測更新橢球集和測量更新橢球集之間不存在交集。因此,通過判斷預(yù)測更新橢球集與測量更新橢球集之間是否存在交集,可以檢測控制指令及測量數(shù)據(jù)中可能存在的FDI 攻擊。集員濾波針對FDI 攻擊的檢測分為預(yù)測更新和測量更新。
1)預(yù)測更新
假設(shè)AGC 系統(tǒng)在k時段處于正常運行狀態(tài),存在描述AGC 系統(tǒng)運行狀態(tài)的測量更新橢球集Gk|k。利用k時段的測量更新橢球集Gk|k,并結(jié)合AGC 系統(tǒng)對互聯(lián)系統(tǒng)下發(fā)的控制指令uk,可得到預(yù)測更新橢球集Gk+1|k。若預(yù)測更新橢球集Gk+1|k與k時段的測量更新橢球集Gk|k不存在交集,則說明在控制指令uk下,預(yù)測更新橢球不包含AGC 系統(tǒng)的正常運行狀態(tài),即AGC 下發(fā)的互聯(lián)系統(tǒng)控制指令遭受惡意FDI 攻擊。
2)測量更新
利用預(yù)測更新橢球集Gk+1|k,并結(jié)合k+1 時段區(qū)域互聯(lián)電網(wǎng)的測量數(shù)據(jù)yk+1,可得到測量更新橢球集Gk+1|k+1。若測量數(shù)據(jù)yk+1的上傳遭受惡意攻擊篡改,測量更新橢球集Gk+1|k+1與預(yù)測更新橢球集Gk+1|k無交集,說明基于測量數(shù)據(jù)yk+1的測量更新橢球集不包含系統(tǒng)的正常運行狀態(tài),即AGC 收到的測量信息遭受惡意網(wǎng)絡(luò)攻擊。
定義1:n維橢球集G可以表示為:
式中:x為橢球集中的點;x′∈Rn為橢球集G的幾何中心;P為確定橢球集形狀和方向的半正定矩陣。
橢球集G的大小通常由體積或者半正定矩陣P的跡tr(P)表示。
定義2:一個n維的區(qū)間矢量可以表示為:
式中:amin和bmax分別為區(qū)間矢量上邊界和下邊界;ai,min和bi,max分別為amin和bmax的元素;si為s的元素。
將區(qū)間矢量重新定義為:
式中:σ為區(qū)間矢量的中心;r為區(qū)間邊界的大?。粃為形狀參數(shù)。
AGC 是保證電能質(zhì)量,提高經(jīng)濟效益的重要手段之一。AGC 系統(tǒng)接收來自測量單元的電力系統(tǒng)頻率偏差Δf與聯(lián)絡(luò)線的功率偏差ΔPtie,然后計算ACE 值,隨后AGC 通過分析ACE 并結(jié)合經(jīng)濟調(diào)度確定各發(fā)電廠的調(diào)節(jié)功率,并借助通信網(wǎng)絡(luò)下發(fā)至各區(qū)域發(fā)電廠。從上述分析可知,在AGC 過程中,以Δfi和ΔPtie為控制輸入量,向發(fā)電機組發(fā)出調(diào)整指令。此時,系統(tǒng)頻率和聯(lián)絡(luò)線功率再次發(fā)生變化,形成一個負反饋再次作為控制輸入,直到系統(tǒng)達到新的平衡。對于雙區(qū)域互聯(lián)電網(wǎng)AGC 系統(tǒng),其所涉及的狀態(tài)空間方程為:
式中:xk為電力系統(tǒng)在k時段的狀態(tài)變量;fk(·)、gk(·)和hk(·)為線性映射函數(shù);wk和vk分別為k時段的過程噪聲和測量噪聲;Bk和Dk為具有適當(dāng)維度的時變矩陣。
式(4)和式(5)中的wk和vk未知但有界,可以假定滿足的邊界條件為:
式中:wk,i和vk,i分別為過程噪聲分量和測量噪聲分量;εk,i和ηk,i為參數(shù)。
AGC 系統(tǒng)的初始狀態(tài)x0可以假定屬于估計橢球集,表達式為:
式中:x′0|0為x0的給定橢球集中心;P0|0=PT0|0>0 為包含橢球集形狀和方向的已知正定矩陣。
假設(shè)在k-1 時段之前,指令下發(fā)以及測量上傳過程都未遭受到FDI 攻擊,即k時段測量更新橢球集Gk|k包含AGC 系統(tǒng)的正常運行狀態(tài)。在k時段,AGC 系統(tǒng)基于測量信息yk下發(fā)對互聯(lián)系統(tǒng)的控制指令uk。此時,集員濾波基于控制終端接收到的控制信號uk,對測量更新橢球集Gk|k進行預(yù)測更新,得到預(yù)測更新橢球集Gk+1|k。若測量更新橢球集Gk|k與預(yù)測更新橢球集Gk+1|k之間存在交集,即預(yù)測更新橢球集Gk+1|k仍包含系統(tǒng)正常運行狀態(tài),代表控制信號uk的下發(fā)未遭受FDI 攻擊。同理,AGC 系統(tǒng)在k+1 時段收到測量信息yk+1的上傳,基于AGC系統(tǒng)的預(yù)測更新橢球集Gk+1|k,結(jié)合yk+1對Gk+1|k進行測量更新,得到測量更新橢球集Gk+1|k+1。若測量更新橢球集Gk+1|k+1與預(yù)測更新橢球集Gk+1|k之間存在交集,說明測量更新橢球集Gk+1|k+1包含系統(tǒng)的正常運行狀態(tài),即測量數(shù)據(jù)的上傳未遭受FDI攻擊。
攻擊者采用FDI 攻擊,對AGC 系統(tǒng)的測量數(shù)據(jù)或者控制指令進行虛假的數(shù)據(jù)注入,使AGC 系統(tǒng)不能正確傳輸數(shù)據(jù)以進行控制。
1)攻擊者對測量數(shù)據(jù)進行FDI 攻擊時,攻擊者通過對測量數(shù)據(jù)注入偏差數(shù)據(jù),使AGC 系統(tǒng)收到錯誤的測量數(shù)據(jù),被攻擊影響的測量數(shù)據(jù)為:
式中:ay,k為攻擊者在k時段對測量數(shù)據(jù)注入的數(shù)據(jù)偏差。
2)對控制指令進行攻擊時,攻擊者通過對控制命令注入偏差,使互聯(lián)電網(wǎng)收到錯誤的控制命令,被攻擊影響的控制指令為:
式中:au,k為攻擊者在k時段對控制指令注入的數(shù)據(jù)偏差。
本節(jié)將繼續(xù)建立AGC 系統(tǒng)中基于集員濾波的FDI 攻擊檢測模型。
3.2.1 預(yù)測更新模型
已知k時段測量更新橢球集Gk|k中心為x′k|k,Pk|k為包含測量更新橢球集Gk|k方向和形狀的正定矩陣,則k時段的測量更新橢球集Gk|k可以表示為:
基于k時段的AGC 控制指令uk,對k時段的測量橢球集Gk|k進行更新。經(jīng)過更新后的k+1 時段預(yù)測更新橢球集的中心x′k+1|k為:
基于控制指令更新得到預(yù)測更新橢球集Gk+1|k可以表示為:
式中:Pk+1|k=Ek+1|k,其中Ek+1|k為預(yù)測更新橢球集形狀矩陣。
對于任何滿足式(6)和式(7)的AGC 系統(tǒng)噪聲值,在沒有FDI 攻擊的情況下,基于控制指令的預(yù)測更新橢球集Gk+1|k包含AGC 系統(tǒng)真實的運行狀態(tài),即與同樣包含系統(tǒng)真實狀態(tài)的測量更新橢球集Gk|k存在交集。
3.2.2 測量更新模型
基于k+1 時段AGC 系統(tǒng)收到的測量數(shù)據(jù)yk+1,測量更新橢球集Gk+1|k+1的中心可以表示為[20]:
式中:φk+1(·)為濾波函數(shù);x′k+1|k為預(yù)測更新橢球集中心;y′k+1|k為基于狀態(tài)變量x′k+1|k的輸出量;x′k+1|k+1為測量更新橢球集中心。
基于測量數(shù)據(jù)yk+1更新的測量更新橢球集Gk+1|k+1可以表示為:
輸出約束為:
基于未遭受FDI 攻擊的測量數(shù)據(jù)對預(yù)測橢球集進行更新,所得到的測量更新橢球集Gk+1|k也包含AGC 系統(tǒng)真實的運行狀態(tài),即與同樣包含系統(tǒng)真實狀態(tài)的預(yù)測更新橢球集Gk+1|k存在交集。
在第3 章中介紹了如何用集員濾波所得到的橢球集檢測AGC 系統(tǒng)數(shù)據(jù)傳輸中存在的FDI 攻擊,檢測流程如附錄A 圖A2 所示。本章將繼續(xù)詳細介紹FDI 攻擊檢測流程中,最優(yōu)預(yù)測更新橢球集以及最優(yōu)測量更新橢球集的獲取方法。
由式(14)可知,k+1 時段的預(yù)測更新橢球集是由3 個集合進行直和計算得到的。經(jīng)過函數(shù)fk(·)得到k時段測量更新橢球集Gk|k的映射集Gx,k+1|k,經(jīng)過函數(shù)gk(·)得到控制指令uk的外包定界區(qū)間矢量集Ωk(σu,ru) 以及過程噪聲的區(qū)間矢量Ωk(0,rw)[21]。其中σu和ru分別為控制指令區(qū)間矢量集的中心和邊界,rw為過程噪聲區(qū)間矢量集的邊界。
對于過程噪聲的區(qū)間矢量集Ωk(0,rw)和經(jīng)過函數(shù)gk(·)得到控制指令uk的區(qū)間矢量Ωk(σu,ru),利用區(qū)間矢量直和計算可得:
教師通過平臺的統(tǒng)計資料,查看學(xué)生在設(shè)為任務(wù)點的學(xué)習(xí)相關(guān)數(shù)據(jù),對學(xué)生學(xué)習(xí)過程記錄與作業(yè)練習(xí)進行分析,了解學(xué)生課前學(xué)習(xí)的整體情況,并對疑難問題進行歸類、整理,針對典型問題設(shè)計課堂活動方案,并布置拓展項目,用于課堂準(zhǔn)備課中研討。
式中:?k為過程區(qū)間矢量集中的元素。
因此,預(yù)測更新橢球集的獲取變?yōu)榍蠼鈾E球集Gx,k+1|k和區(qū)間矢量Ωk(σu,ru+rw)的直和計算。但是橢球集Gx,k+1|k與Ωk(σu,ru+rw)之間的直和計算較難得出解集。為了方便得到計算結(jié)果,用一個外包橢球集對區(qū)間矢量進行逼近,對于中心為σu、邊界為ru+rw的區(qū)間矢量,其外包橢球集的中心cu和形狀矩陣Pu可以選取為:
所以區(qū)間矢量Ωk(σu,ru+rw)近似為中心為σu、形狀矩陣為Pu的外包橢球集Gu,k+1|k。從而將預(yù)測更新橢球集的計算轉(zhuǎn)化為2 個橢球集的直和計算,但是所得預(yù)測更新集仍不一定是橢球集,所以構(gòu)建外包橢球集對2 個橢球集直和計算,可以近似[22]為:
式中:cx為橢球集Gx,k+1|k中心;Px為描述橢球集Gx,k+1|k形狀的正定矩陣;αk為濾波參數(shù)且αk∈[0,1)。
通過優(yōu)化αk從而得到最優(yōu)的正定矩陣Pk+1|k,使所得預(yù)測更新橢球集最小。采用最小跡優(yōu)化準(zhǔn)則進行最優(yōu)濾波參數(shù)αk計算,表達式為:
最優(yōu)測量更新橢球集是基于預(yù)測更新橢球集Gk+1|k,在測量數(shù)據(jù)yk+1下對k+1 時段AGC 系統(tǒng)狀態(tài)可行集的校正,得到測量更新橢球集Gk+1|k+1。根據(jù)測量數(shù)據(jù)yk+1的測量更新橢球集,其中,xk+1-x′k+1|k+1可以表示為:
因為在AGC 系統(tǒng)中,函數(shù)h(·)為常值函數(shù),所以用線性映射矩陣Hk+1代替函數(shù)h(·),濾波函數(shù)φ(·)用矩陣Φk+1替代,可將式(22)改寫為:
式中:I為單位矩陣。
經(jīng)過轉(zhuǎn)化推導(dǎo),最優(yōu)橢球集邊界的確定如式(24)所示,推導(dǎo)過程見附錄B。
式中:Pk+1|k+1為描述量測更新橢球集的形狀矩陣;Γ1和Ψ2,k為滿足最優(yōu)測量橢球邊界的矩陣。
通過對最優(yōu)橢球集的推導(dǎo),可以得到以下結(jié)論。若AGC 系統(tǒng)運行狀態(tài)xk+1屬于k+1 時段的預(yù)測更新橢球集Gk+1|k,那么當(dāng)存在Nk+1,Lk+1,ξ3,k≥0,ξ4,k≥0,Pk+1|k+1>0 時,若式(24)成立,狀態(tài)xk+1也屬于k+1 時段的測量更新橢球集Gk+1|k+1,即2 個橢球集之間存在著交集[23-25]。其中Nk+1為滿足最優(yōu)量測橢球集邊界的矩陣,Lk+1為濾波矩陣,ξ3,k和ξ4,k為滿足最優(yōu)量測橢球集邊界的非負標(biāo)量。為了獲取最優(yōu)橢球集,本文將其轉(zhuǎn)化為半正定規(guī)劃問題,可以利用內(nèi)點法求解[26],表達式為:
為驗證所提方法的有效性與正確性,本文采用IEEE 雙區(qū)域互聯(lián)電網(wǎng)負荷頻率控制模型作為研究對象,互聯(lián)電網(wǎng)頻率控制模型如附錄A 圖A3 所示。AGC 系統(tǒng)的數(shù)學(xué)模型如附錄A 圖A4 所示。2 個區(qū)域中各有一臺等效火力發(fā)電機組模擬發(fā)電環(huán)節(jié),AGC 系統(tǒng)的具體參數(shù)見文獻[27]。
仿真過程中,本文將AGC 系統(tǒng)數(shù)據(jù)采樣周期設(shè)置為T=1 s。仿真場景為:當(dāng)互聯(lián)系統(tǒng)步入穩(wěn)態(tài)運行后,對系統(tǒng)信號采取FDI 攻擊。在第19 次采樣前,互聯(lián)系統(tǒng)已經(jīng)處于正常運行狀態(tài)。在第20 次采樣時,針對區(qū)域1 的AGC 系統(tǒng)的控制指令u1,k發(fā)起FDI 攻擊,使AGC 下達的發(fā)電廠出力調(diào)整指令與決策系統(tǒng)優(yōu)化結(jié)果不同。在第24 次采樣時,停止上述針對控制指令的FDI 攻擊。在第30 次采樣時,針對區(qū)域1 中AGC 系統(tǒng)的測量數(shù)據(jù)y1,k發(fā)起FDI 攻擊,使AGC 決策系統(tǒng)收到被篡改的數(shù)據(jù)。當(dāng)k=34 時,停止上述針對測量數(shù)據(jù)的FDI 攻擊。
由AGC 系統(tǒng)的狀態(tài)方程可知,當(dāng)AGC 的控制指令遭受到攻擊者的惡意攻擊時,主要影響體現(xiàn)在汽輪機輸出增量ΔPr,i以及調(diào)速器閥門位置增量ΔXe,i。所以將測量更新橢球集Gk|k和預(yù)測更新橢球集Gk+1|k投影到ΔPr,1-ΔXe,1與ΔPr,2-ΔXe,2平面,即可通過測量更新橢球集與預(yù)測更新橢球集之間是否有交集,檢測控制指令uk中是否存在FDI 攻擊。同理,為了檢測測量數(shù)據(jù)yk+1是否遭受FDI 攻擊,將預(yù)測更新的橢球集Gk+1|k和測量更新的橢球集Gk+1|k+1投影到Δf1-ΔPtie與Δf2-ΔPtie平面,通過預(yù)測更新橢球集與測量更新橢球集之間是否存在交集,判斷測量數(shù)據(jù)yk+1是否存在FDI 攻擊。檢測結(jié)果如圖1所示。
在k=18 時,對AGC 系統(tǒng)進行攻擊檢測。如圖1(a)和(b)所示,在AGC 系統(tǒng)正常運行情況下,橢球集G18|18和G19|18在ΔPr,1-ΔXe,1與ΔPr,2-ΔXe,2平面的投影存在交集,代表控制指令u18未遭受網(wǎng)絡(luò)攻擊,G18|18和G19|18都包含著AGC 系統(tǒng)真實的運行狀態(tài)。同理,橢球集G19|18和G19|19在Δf1-ΔPtie與Δf2-ΔPtie平面上的投影也存在著交集,代表測量數(shù)據(jù)y19未遭受FDI 攻擊,G19|18和G19|19包含AGC 系統(tǒng)真實的運行狀態(tài)。
圖1 正常狀態(tài)下的檢測結(jié)果Fig.1 Detection results under normal conditions
5.3.1 控制指令遭受FDI 攻擊檢測
本節(jié)考慮攻擊者針對AGC 系統(tǒng)通信網(wǎng)絡(luò)或遠程終端中的控制指令采用FDI 攻擊。仿真過程中,在k=20 時,對區(qū)域1 的AGC 系統(tǒng)控制指令u1,20進行FDI 攻擊。檢測結(jié)果如圖2 所示。預(yù)測更新橢球集在ΔPr,1-ΔXe,1與ΔPr,2-ΔXe,2平面上的投影如圖2(a)和(b)所示,基于控制指令u1,20更新的橢球集G21|20與包含正常狀態(tài)的橢球集G20|20之間的交集為空,代表控制指令u1,20中存在FDI 攻擊。當(dāng)k=24時,攻擊消失,控制指令u1,24恢復(fù)正常,測量更新橢球集G24|24仍與k=20 時包含正常狀態(tài)的橢球集G20|20相同。基于控制指令u1,24,更新測量更新橢球集G24|24,得到預(yù)測更新橢球集G25|24。集合在ΔPr,1-ΔXe,1與ΔPr,2-ΔXe,2平面上的投影如圖2(c)和(d)所示,預(yù)測更新橢球集G25|24與測量更新橢球集G24|24存在交集,代表控制指令u1,24中無惡意攻擊存在。
圖2 控制指令遭受FDI 攻擊的檢測結(jié)果Fig.2 Detection results of FDI attacks on control commands
5.3.2 測量數(shù)據(jù)遭受FDI 攻擊檢測
本小節(jié)考慮攻擊者針對AGC 系統(tǒng)通信網(wǎng)絡(luò)或遠程終端中測量數(shù)據(jù)的聯(lián)絡(luò)線功率偏差采用FDI 攻擊,假設(shè)系統(tǒng)量測信號出現(xiàn)頻率偏差測量值誤差在0.005 Hz 以內(nèi)。仿真過程中,在k=31 時,對區(qū)域1測量數(shù)據(jù)y1,31的上傳發(fā)起FDI 攻擊。測量更新橢球集在Δf1-ΔPtie與Δf2-ΔPtie平面上的投影如圖3 所示,基于y1,31更新的橢球集G31|31與包含正常狀態(tài)的橢球集G31|30之間的交集為空,代表在k=31 時的測量數(shù)據(jù)y1,31存在FDI 攻擊。當(dāng)k=34 時,測量數(shù)據(jù)y1,35恢復(fù)正常,預(yù)測更新橢球集G35|34與k=30 時包含正常狀態(tài)的橢球集G31|30相同?;趉=35 時的測量數(shù)據(jù)y1,35,對預(yù)測更新橢球集G35|34進行測量更新,得到測量更新橢球集G35|35。G35|35在Δf1-ΔPtie與Δf2-ΔPtie平面上的投影如圖3 所示,G35|35與G35|34存在交集,代表測量數(shù)據(jù)y1,35中無FDI 攻擊存在。
圖3 測量數(shù)據(jù)遭受FDI 攻擊的檢測結(jié)果Fig.3 Detection results of FDI attacks on measurements
FDI 攻擊主要危害為破壞數(shù)據(jù)數(shù)值的準(zhǔn)確性,針對不同數(shù)值篡改程度的FDI 攻擊,基于集員濾波的攻擊檢測能力也會有所變化。本節(jié)研究不同數(shù)值篡改程度下所提方法檢測能力。仿真中,F(xiàn)DI 攻擊篡改數(shù)值程度設(shè)為信號傳輸中原測量的數(shù)據(jù)偏差值的0%到100%[28]。
首先,對AGC 系統(tǒng)區(qū)域1 發(fā)電機的調(diào)整量采取不同數(shù)值篡改程度下的FDI 攻擊。利用集員濾波對AGC 系統(tǒng)進行攻擊檢測。其次,對測量數(shù)據(jù)中的頻率偏差以及聯(lián)絡(luò)線功率偏差也采取不同相對數(shù)值注入量變化的FDI 攻擊,使區(qū)域1 頻率測量數(shù)據(jù)篡改程度逐漸增加。利用集員濾波對AGC 系統(tǒng)進行攻擊檢測。經(jīng)過1 000 次仿真后的檢測成功率如圖4所示。
圖4 不同攻擊注入程度下的檢測精確度Fig.4 Detection accuracy with different levels of attack injection
由圖4 可知,當(dāng)AGC 系統(tǒng)的控制指令u1,k變化超過原可調(diào)整量的60%時,F(xiàn)DI 攻擊的檢測成功率能夠達到85%;當(dāng)變化量超過原可調(diào)整量的80%時,檢測成功率便可以達到90%以上。但是,在區(qū)域1 的控制指令u1,k遭受FDI 攻擊的時候,預(yù)測更新橢球集與前一時段測量更新橢球集在ΔPr,2-ΔXe,2平面的投影始終存在交集,即當(dāng)u1,k遭受FDI 攻擊時,無法依靠區(qū)域2 的控制指令u2,k判斷u1,k是否遭受攻擊,這是因為u2,k僅僅調(diào)整區(qū)域2 發(fā)電機出力,不會對區(qū)域1 發(fā)電機出力造成影響,所以依靠區(qū)域2 的控制指令u2,k無法判斷區(qū)域1 控制指令u1,k是否遭受FDI 攻擊。
針對測量數(shù)據(jù)y1,k,當(dāng)數(shù)值篡改程度達到正常測量的40%時,投影到Δf1-ΔPtie平面的攻擊檢測成功率達到了80%以上。當(dāng)測量數(shù)據(jù)的數(shù)值篡改程度達到70%時,投影到Δf1-ΔPtie平面的檢測成功率高達90%以上。同樣,橢球集投影到Δf2-ΔPtie平面也能檢測出區(qū)域1 測量數(shù)據(jù)y1,k遭受FDI 攻擊。這是因為測量更新橢球集基于兩區(qū)域的測量更新,區(qū)域1 的測量數(shù)據(jù)更新影響著整個互聯(lián)電網(wǎng)的狀態(tài),所以投影到Δf2-ΔPtie平面也能檢測出區(qū)域1 測量數(shù)據(jù)是否遭受FDI 網(wǎng)絡(luò)攻擊。
由圖4 可知,本文方法針對小注入量的FDI 攻擊檢測能力較弱,這是因為本文設(shè)置的攻擊仿真場景只針對區(qū)域1 可調(diào)整控制量與測量偏差量,區(qū)域2信息一切正常,攻擊者所能注入的虛假信息絕對值較小,對系統(tǒng)整體影響較低,而集員濾波是基于2 個區(qū)域的信息對狀態(tài)橢球集進行更新,所以利用集員估計檢測單區(qū)域攻擊的精度較低。
為驗證本文所提集員濾波能夠有效檢測指令下發(fā)與測量上傳中存在的FDI 攻擊,采用本文檢測方法與基于狀態(tài)預(yù)測的檢測方法[28]、基于智能算法的檢測方法[29]以及傳統(tǒng)的檢測方法進行比較。對區(qū)域1 測量信息和控制指令的傳輸,進行注入量在0%~100%波動的FDI 攻擊,分別使用4 種檢測方法對受攻擊數(shù)據(jù)進行檢測,經(jīng)過300 次的仿真驗證后,對比結(jié)果如圖5 所示。
圖5 不同檢測方法成功率對比Fig.5 Comparison of success rates of different detection methods
由圖5 可知,集員濾波方法與狀態(tài)預(yù)測方法總體辨識成功率占優(yōu)。在FDI 進行小注入量攻擊時,集員濾波與狀態(tài)預(yù)測的方法對壞數(shù)據(jù)的檢測結(jié)果都不理想。當(dāng)FDI 注入量逐漸增加,集員濾波檢測成功率明顯上升。當(dāng)FDI 攻擊對數(shù)據(jù)的注入量達到一定程度時,絕對注入量變大,對互聯(lián)系統(tǒng)的正常運行造成一定程度的影響,基于集員濾波能準(zhǔn)確估計系統(tǒng)運行狀態(tài)以檢測FDI 攻擊的存在。
本文提出一種基于集員濾波的AGC 系統(tǒng)FDI攻擊檢測方法。通過對AGC 系統(tǒng)狀態(tài)可行集的預(yù)測更新和測量更新,檢測AGC 通信網(wǎng)絡(luò)或遠程終端中存在的數(shù)據(jù)傳輸?shù)腇DI 攻擊,當(dāng)惡意FDI 攻擊數(shù)據(jù)引起AGC 系統(tǒng)狀態(tài)的異常變化時,基于集員濾波的攻擊檢測技術(shù)可以很好地檢測出其中存在的FDI攻擊。通過判斷不同時段測量更新橢球集與預(yù)測更新橢球集之間是否存在交集,檢測控制指令和測量數(shù)據(jù)中的FDI 攻擊。接著,對不同數(shù)值篡改程度下的FDI 攻擊檢測能力進行研究,當(dāng)惡意數(shù)據(jù)注入超過原傳輸數(shù)據(jù)量的40%,便能利用集員濾波針對FDI 攻擊達到較好的檢測能力。后續(xù)可以開展最優(yōu)橢球集獲取方法的改進,以提高對數(shù)值篡改程度較小的FDI 攻擊的檢測能力,或聯(lián)合語義檢測、行為檢測等增加對小注入量數(shù)據(jù)攻擊的辨識能力,減少小注入量的FDI 攻擊的多步累積對AGC 系統(tǒng)造成危害。
附錄見本刊網(wǎng)絡(luò)版(http://www.aeps-info.com/aeps/ch/index.aspx),掃英文摘要后二維碼可以閱讀網(wǎng)絡(luò)全文。