王文博，刘 绚，张 博，王玉斐，黄 伟

（1. 湖南大学电气与信息工程学院，湖南省 长沙市 410082；2. 江苏省信息安全测评中心，江苏省 无锡市 214072；3. 国网江苏省电力有限公司电力科学研究院，江苏省 南京市 210013）

0 引言

近年来，随着信息通信系统与传统电力物理系统的高度融合，电力系统逐步转型为电力信息物理系统（cyber physical system，CPS）［1-2］。电力CPS 通过使用量测、通信、控制等技术，能够全面采集并分析实时电网运行数据，实现电力信息的集成、共享以及电气设备的监视、控制等功能［3］。各类智能电气设备和通信链路的激增，也给电力系统带来了一定的网络安全隐患。例如，2016 年以色列电网因执行了攻击者发送的钓鱼邮件中的恶意代码，导致大量电力基础设施被迫关闭［4］。电力工控系统作为电力CPS 的重要组成部分，以各类通信协议为载体进行流量信息的传输和交互，这使得电力工控系统面临着数据窃取及篡改等风险［5］。因此，如何有效地对电力工控流量进行异常行为检测对电力系统的安全稳定运行具有重要意义。

目前，针对电力工控流量的异常行为检测问题，国内外学者做了大量研究。文献［6］利用通用网络特征指标以及通用面向对象变电站事件（GOOSE）报文的常规行为模式进行异常检测。文献［7］针对简单阈值检测的不足提出使用差分序列方差的方法对智能变电站过程层网络流量进行异常检测。文献［8］将智能变电站流量数据的频域特征进行提取，并与时域特征融合，构建时-频域混合特征集进而识别异常流量。文献［9-11］利用机器学习的方法对电力工控异常流量数据进行检测。文献［12］针对电力工控系统数据的时序特征提出基于高斯混合聚类的异常检测方法。文献［13］基于IEC 61850 协议进行规则设计，根据所设计规则对智能变电站的数据采集与监控系统进行入侵检测。文献［14-15］基于规则对IEC 60870-5-104 协议报文进行异常检测。文献［16］提出基于业务逻辑黑白名单及其相似度匹配的方法识别攻击报文。

上述已有异常行为检测方法侧重于网络层流量特征的统计分析，存在检测准确率低、误报率高、耗费时间长的问题。虽有少部分研究基于规则设计对应用层报文进行异常检测，但只能针对单帧报文的格式进行简单畸形检验，无法对单帧报文多字段耦合逻辑异常、帧与帧之间的时序异常等进行检测。同时，也有少量文献通过业务逻辑黑白名单的相似度匹配方法实现攻击报文的识别，但只停留在理论层面，没有针对具体的电力协议及业务，而且存在准确率低的问题。

电力工控系统通信采用多种协议，例如:IEC 60870 系 列、IEC 61850 系 列、IEC 62351 系 列等［17-18］。其中，IEC 60870-5-104 报文用于主站与子站之间远动信息的传输，遥测、遥信数据的准确上送以及遥控、遥调指令的正确下发至关重要，报文的错误传输会导致严重的后果。然而现有的报文异常检测方法难以有效地针对字段特征和业务特征进行检测，无法保证远动信息的安全传输。因此，本文基于IEC 60870-5-104 协议特征提出了新的电力工控流量异常行为检测方法，主要创新点如下:

1）本文在协议脆弱性分析以及深度包解析的基础上提取了应用层报文的字段特征，并建立了融合字段特征的异常检测模型，实现了针对电力工控流量应用层报文的单字段畸形校验与多字段耦合逻辑校验。

2）本文考虑了电力工控协议中典型业务的正常行为模式，构建了融合电力业务时序逻辑以及上下文逻辑异常检测模型，实现了针对电力工控流量应用层报文的业务逻辑校验。

3）本文提出了基于协议特征的电力工控流量异常行为检测方法，实现了对电力工控流量应用层异常行为的精准识别，克服了现有方法缺乏对于业务逻辑深入考虑的不足，提升了电力工控流量异常行为检测的准确性。

1 IEC 60870-5-104 协议及其脆弱性分析

1.1 IEC 60870-5-104 协议报文格式

IEC 60870-5-104 报文是应用层报文，在各个国家的电力工控系统中广泛应用，报文传输的端口号为2404，格式如附录A 图A1 所示［19］。报文整体称为应用规约数据单元（APDU），由应用规约控制单元（APCI）和应用服务数据单元（ASDU）构成。

APCI 由启动字符、长度字段、控制域组成，根据报文控制域能够识别出报文的3 种帧类型:U 帧、I 帧、S 帧。

ASDU 由类型标识、可变结构限定词、传送原因、公共地址、信息体数据组成，用于上送各类业务信 息，3 种 帧 类 型 中 只 有I 帧 有ASDU，U 帧 和S 帧没有ASDU。

根据上述报文格式对Wireshark 所捕获到的IEC 60870-5-104 报文的分析结果如附录A 图A2所示。

1.2 IEC 60870-5-104 协议脆弱性分析

虽然IEC 60870-5-104 协议已经被广泛应用于电力工控系统中，但协议的自身设计致使其存在以下脆弱性。

1）缺乏认证机制:由于IEC 60870-5-104 协议没有认证机制，攻击者能够通过合法地址建立非法通信会话，向设备发送恶意控制指令，从而干扰并破坏正常的控制过程。

2）缺乏授权机制:IEC 60870-5-104 协议缺少针对用户的访问控制机制，对于每个用户的操作权限没有进行限制，攻击者可以冒充合法用户实施各种操作行为，进而导致攻击事件的发生。

3）缺乏加密机制:报文加密可以防止攻击者在通信过程中窃取双方信息。但是IEC 60870-5-104报文的ASDU 在传输过程中采用明文传输，攻击者在拦截报文后可以对其进行解析、篡改，然后重新注入通信链路中，达到攻击目的［20-22］。

由于IEC 60870-5-104 协议存在以上脆弱性，电力工控网络安全事件频发。例如，2015 年乌克兰电网主控计算机被攻击者注入病毒后，控制权限丢失，攻击者不断下发恶意遥控指令，造成大停电［21］。

2 基于协议特征的流量异常行为检测

2.1 异常行为检测流程

本文通过对IEC 60870-5-104 协议进行分析，建立了基于报文字段特征和业务特征的正常行为模型，并结合正常行为模型对实时流量进行异常行为检测，能够全面、及时发现异常流量。具体检测流程如图1 所示。

图1 异常行为检测流程Fig.1 Flow chart of abnormal behavior detection

步骤1:利用交换机镜像端口对电力工控系统通信过程中IEC 60870-5-104 协议的流量数据进行实时捕获。

步骤2:将每帧流量数据应用层、传输层、网络层、数据链路层、物理层等进行分离，提取出应用层报文，并根据IEC 60870-5-104 协议对报文进行解析，获取报文各字段的数值以及报文具体业务类型。

步骤3:基于报文字段特征建立正常行为模型对报文进行异常行为检测，如果不符合正常行为模型，则判定报文异常，发出告警信号。

步骤4:基于遥测、遥信、遥控等典型业务特征建立正常行为模型对报文所属业务进行异常行为检测，如果不符合正常的业务行为模型，则判定报文异常，发出告警信号。

2.2 基于协议字段特征的异常检测

2.2.1 报文长度字段模型

根据IEC 60870-5-104 报文长度字段计算出的报文长度为ASDU 长度和控制域长度的总和，再加上启动字符的长度以及长度字段自身长度，即为报文的整体理论长度LTHE，其计算公式为:

式中:LASDU为报文ASDU 的长度；LCF为报文控制域长度；LST为启动字符的长度；LLEN为长度字段自身长度。

如果报文P的实际长度与报文理论计算长度不相等，即不满足式（2），则判定报文异常。

式中:P为流量数据的应用层报文；PIEC104为IEC 60870-5-104 报文；LEN(P)为报文实际长度。

2.2.2 报文控制域字段模型

报文的控制域字段具有防止报文丢失和重传的功能，同时包含报文传输的连接、启动、停止等信息。因此，针对控制域建立正常模型并对其进行异常检测，可以有效避免报文因控制域数据错误而造成的报文传输异常。

I 帧类型的报文控制域第1 个八位位组的第1 位bit=0，如果不满足式（3），则判定报文异常。

式中:PI为IEC 60870-5-104 协议的I 帧报文；CBIT1为报文控制域第1 个八位位组的第1 位bit 值。

S 帧类型的报文控制域第1 个八位位组的第1 位bit=1，第2 位bit=0，如果不满足式（4），则判定报文异常。

式中:PS为IEC 60870-5-104 协议的S 帧报文；CBIT2为报文控制域第1 个八位位组的第2 位bit 值。

U 帧类型的报文控制域第1 个八位位组的第1 位bit=1，第2 位bit=1，如果不满足式（5），则判定报文异常。

式中:PU为IEC 60870-5-104 协议的U 帧报文。

2.2.3 报文类型标识字段模型IEC 60870-5-104 报文的类型标识字段表示信息体的数据类型，例如:“09”表示“带品质描述的测量值，每个遥测值占3 个字节”。类型标识字段阈值为［1，127］，如果实际报文的类型标识字段值超出阈值，即不满足式（6），则判定报文异常。

式中:FTYP(P)为报文的类型标识字段的十进制数值。

2.2.4 报文传送原因字段模型

IEC 60870-5-104 报文的传送原因字段表示报文上送或者下发的原因，例如:“03”表示“突发”。传送原因字段阈值为［1，41］，如果实际报文的传送原因字段值超出阈值，即不满足式（7），则判定报文异常。

式中:FCOT(P)为报文的传送原因字段的十进制数值。

2.2.5 U 帧报文功能字段模型

IEC 60870-5-104 协议的U 帧报文用于完成不计数的控制功能，包含测试、停止和开启3 种，并且在一个U 帧报文中只可能存在一种。即控制域第1 个八位位组的第3 位至第8 位只能有一位为1，如果不满足式（8），则判定报文异常。

式中:CBIT，i为报文控制域第一个八位位组的第i位数值。

2.3 基于协议业务特征的异常检测

IEC 60870-5-104 协议包含遥测、遥信、遥控、遥调等典型电力业务，这些业务的正常执行与交互是保障电力工控系统稳定运行的前提。本文根据IEC 60870-5-104 协议对业务特征进行分析，建立起典型业务正常行为模型，实现基于业务特征的异常行为检测。以遥测、遥信、遥控业务为例，分别在单帧报文层面和多帧报文层面进行检测，具体检测框架如图2 所示。

图2 基于典型业务特征的异常行为检测Fig.2 Abnormal behavior detection based on typical business features

2.3.1 遥测业务特征的异常检测

遥测业务用于将子站的各类测量值（例如电压、电流值）传输到主站，实现对子站各类电气设备的监视和控制。针对遥测业务建立的各类正常行为模型如下。

1）遥测业务与传送原因关联模型

该模型为多字段耦合逻辑校验，遥测业务的传送原因有4 种:01（周期）、02（背景扫描）、03（突发）、20（响应总召唤），如果违反式（9），则判定报文异常。

式中:PRM为IEC 60870-5-104 协议的遥测报文。

2）遥测业务信息体地址正常模型

该模型为单字段畸形校验，遥测报文的信息体地址范围在［4001H，6000H］之间，如果违反式（10），则判定报文异常。

式中:FIOA(P)为报文的信息体地址；H 表示数值为十六进制。

3）遥测业务品质参数描述词正常模型

该模型为多字段耦合逻辑校验，遥测数据的品质描述词中各标志位有固定的逻辑，如果违反式（11），则判定报文异常。

式中:FQU为遥测报文的品质描述词；OV 为品质描述词的溢出标志；IV 为有效标志；SB 为取代标志；NT 为刷新标志。

4）遥测业务类型标识与信息体关联模型

该模型为多字段耦合逻辑校验，遥测报文的类型标识决定每一个信息体数据的字节数，如果前后字节数不一致，即违反式（12），则判定报文异常。

式中:NNUM(P)为每个信息体数据字节数；NQU(P)i为每个信息体数据的长度；m为报文信息体数据的个数。

5）遥测值正常范围模型

该模型为单字段畸形校验，根据正常流量的统计结果可以分析出遥测值具有上下限，如果超出上下限，即违反式（13），则判定报文异常。

式 中:NRMV，i为 遥 测 报 文 的 第i号 遥 测 值；xn为 正 常流量数据的第n个遥测值。

6）遥测值死区正常模型

该模型为帧与帧上下文异常校验，遥测数据的死区为0.2%，即遥测值变化率在0.2%内不进行上送，如果遥测值的上送违反式（14），则判定报文异常。

式 中:NRMV1，i为 遥 测 报 文 第i号 遥 测 当 前 值；NRMV2，i为遥测报文第i号遥测前一次值。

2.3.2 遥信业务特征的异常检测

遥信业务用于将子站各类开关设备的状态（0 表示设备开关断开，1 表示设备开关闭合）传输到主站，实现主站对断路器、隔离开关等开关设备状态的监测，如果遥信报文被篡改会导致主站获取的开关设备状态错误，影响主站的调度与决策。

针对遥信业务建立的各类正常行为模型如下。

1）遥信类型与品质描述词关联模型

该模型为多字段耦合逻辑校验，如果报文为单点遥信，其品质描述词的单点遥信状态（SPI）位只存在0 和1 两种状态，如违反式（15），则判定报文异常。

式中:PDRS为IEC 60870-5-104 协议的单点遥信报文；FSPI(P)为报文品质描述词SPI 位的值。

如果报文为双点遥信，其品质描述词的双点遥信状态（DPI）位只存在0、1、2、3 四种状态，如违反式（16），则判定为异常。

式中:PSRS为IEC 60870-5-104 协议的双点遥信报文；FDPI(P)为报文品质描述词的DPI 位的值。

2）遥信变位逻辑正常模型

该模型为帧与帧时序逻辑校验，在正常通信过程中，同一信息体地址的遥信变位状态为由开（00）到合（01）或由合（01）到开（00），如果出现连续的开（00）或合（01），即违反式（17），则判定异常。

式中:SRSV1(P)、SRSV2(P)分别为同一信息体地址遥信数据本帧和上一帧的遥信状态。

3）突发遥信变位阈值正常模型

该模型为帧与帧上下文异常校验，正常情况下，电力工控系统处于稳定运行状态，突发遥信变位数量很少，如果短时间内出现大量突发遥信变位，即违反式（18），则判定异常。

式中:t为统计突发遥信变位数量的时间段；MRSV为突发遥信变位标志值，报文是突发遥信则为1，否则为0；RSMAX为根据正常流量统计出的t时间内遥信变 位 阈 值；RS，t，n为 第n个t时 间 段 内 遥 信 变 位 指 令 数量；Pi为t时 间 内 的 第i帧 报 文。

2.3.3 遥控业务特征的异常检测

遥控业务用于远程控制子站各类开关设备的合闸或跳闸、各类电气设备的投入或切除。遥控指令涉及电力工控系统的安全稳定运行，如果遥控报文被恶意拦截、篡改、注入会导致设备开断错误、投切异常，进而引起电力系统大停电事故。

针对遥控业务建立的各类正常行为模型如下:

1）遥控执行逻辑正常模型

该模型为帧与帧时序逻辑校验，正常的遥控执行逻辑为遥控选择、遥控选择确认、遥控执行、遥控执行确认，如果不为该逻辑，即违反式（19），则判定异常。

式中:PRC1为遥控选择指令；PRC2为遥控选择确认指令；PRC3为遥控执行指令；PRC4为遥控执行确认指令。

2）遥控指令阈值正常模型

该模型为帧与帧上下文异常校验，正常情况下，电力工控系统处于稳定运行状态，遥控指令数量很少，如果短时间内出现大量遥控指令，即违反式（20），则判定异常。

式中:t为统计各类指令数量的时间段；MRCV为遥控指令标志值，报文是遥控指令则为1，否则为0；MRTV为遥测报文标志值，报文是遥测业务则为1，否则为0；RCMAX为根据正常流量统计出的t时间内遥控指令 阈 值；RC，t，n为 第n个t时 间 段 内 遥 控 指 令 在 遥 测、遥信、遥控报文中的比例。

3 案例分析

为验证本文所提基于协议特征的电力工控流量异常行为检测方法的有效性，首先利用电力工控流量异常行为检测装置在实际变电站进行测试，并分析检测出的真实异常情况。然后，使用所采集的某省220 kV 变电站的实际流量以及根据报文字段特征、业务特征构造的异常流量进行实验，并将所提方法与其他文献提出的方法进行检测能力的对比。

3.1 变电站实际测试结果

将基于协议特征的电力工控流量异常行为检测程序集成至电力工控流量异常行为检测装置，并将该装置与某省变电站交换机连接进行流量数据的采集及检测。

在某省变电站检测出的异常如下:

1）遥测值死区上送

正常情况下，同一信息体地址的遥测值在死区（变化率小于0.2%）之内不进行上送，如果检测到死区上送的遥测值则视为异常。

2020-09-08T02:14:31 至2020-09-08T17:28:54检测出的遥测值死区上送的报文数量及其死区区间分布情况如图3 所示。从图3 中可以看出，在各个死区区间内均有大量遥测报文的上送，其中在40%～60%区间内的数量最多，达到10 831 帧。然而，随着电力工控系统智能化程度的不断提高，海量物联网终端需要接入变电站中，遥测报文的数量会大大增加，此时大量遥测报文的死区上送会占用过多的CPU 资源，使变电站装置发生通信中断，影响变电站的正常运行。因此，遥测值死区上送的检测能够有效避免遥测值大量上送的情况，为变电站的安全、可靠运行提供保障。遥测值死区上送检测结果示例如附录A 图A3 所示。

图3 遥测值死区区间分布Fig.3 Interval distribution of dead zone of telemetry value

2）遥信变位逻辑异常

正常情况下，同一信息体地址的遥信变位逻辑为开（00）到合（01）或合（01）到开（00），见图4（a）。

图4 遥信变位逻辑Fig.4 Telesignaling displacement logic

在实际变电站流量数据中检测到信息体地址为950200 的开关设备前一帧报文的遥信状态为合（01），后一帧报文的遥信状态理论上是开（00），但是却是合（01），如图4（b）所示。该异常告警时间为2020 年9 月8 日12 时21 分45.69 秒，报 文 来 源 端 口为2404，目的端口为37573。推理分析出现该异常的原因可能为:1）由于开关设备自然故障造成的遥信变位失败；2）攻击者恶意篡改遥信变位报文，掩饰开关设备的正常动作，从而影响设备的运行监视以及主站的决策调度

3）总召唤逻辑异常

总召唤（类型标识:64）的正常逻辑为主站发起总召唤（传送原因:06）、子站发出总召唤确认指令并上送数据（传送原因:07）、数据上送完毕后子站发出总召唤结束（传送原因:0a）指令，如图5 中蓝色虚线框所示。

图5 总召唤逻辑异常Fig.5 Abnormal of general call logic

在实际变电站流量数据中检测到了总召唤结束指令（传送原因:0a）后直接出现了总召唤确认指令（传送原因:07），中间缺失了发起总召唤指令（传送原因:06），如图5 黑色虚线框所示。该异常告警时间 为2020 年9 月9 日2 时16 分03.16 秒，报 文 来 源 端口为2404，目的端口为25360，详细报文及告警信号如附录A 图A4 所示。出现这种情况的网络攻击场景为:攻击者模拟主站IP 注入虚假的总召唤发起指令，从而使子站误认为是主站发起的总召唤，导致子站进行总召唤确认并上送数据，攻击者进而对流量数据进行拦截并窃取。因此，总召唤逻辑异常检测能够有效避免电力工控系统的流量数据被攻击者恶意窃取。

3.2 基于流量数据集的异常检测结果分析

3.2.1 流量数据集

为了验证本文所提方法的普适性，使用某省220 kV 变电站所采集的电力工控流量数据作为实验数据，数据量为82 111 帧。其中包含在电力工控实验室环境下基于所采集的正常流量数据以及IEC 60870-5-104 报文特征构造的异常流量数据，用以模拟电力工控系统遭受网络攻击的场景。同时基于所提方法在Windows 10 操作系统环境（主频为2.4 GHz 的Intel Core i5-9300H CPU）下使用Visual Studio 2019 编写C/C++异常检测程序对流量数据的异常行为进行检测。

本次实验中共有正常流量81 872 帧，异常流量239 帧，其中基于字段特征的异常流量共30 帧（占总流量数据的0.037%），基于业务特征的异常流量共209 帧（占总流量数据的0.25%），具体分类如附录A表A1 所示。

3.2.2 异常行为检测结果分析

附录A 表A2 为82 111 帧流量数据的异常行为检测结果，包含正常流量数据和异常流量数据。其中，正常流量数据检测结果正确（true positive，TP）的数目为81 858，错误（false positive，FP）的数目为14，异常流量数据检测结果正确（false negative，FN）的数目为239，错误（true negative，TN）的数目为0。由TP、FP、TN、FN这4类基本指标计算出的异常检测结果性能评估常用指标数值如附录A 表A3 所示。

从附录A 表A2 和表A3 中可以看出，所提基于协议特征的电力工控流量异常行为检测方法的漏报率为0，对于异常流量的识别率达到了100%，检测的准确率达到99.98%，误报率仅为0.017%。同时F1 值为99.98%，验证了所提方法对于各类特征进行异常检测的有效性。

其中，由于模型阈值的设定误差以及流量采集过程中的丢包现象，本文所提检测方法产生了0.017%的误报。该误报率在合理范围之内，不影响所提方法的有效性。

3.2.3 中间人非法遥控注入攻击场景与检测

为了更加直观地验证本文所提方法对恶意攻击检测的有效性，以遥控业务逻辑异常为例构建中间人非法遥控注入攻击场景。遥控指令的正常执行逻辑为遥控选择、选择确认、遥控执行、执行确认。在流量数据中，遥控指令正常执行的应用层报文序列示例如下:

式中:PRC1为遥控选择指令；PRC2为遥控选择确认指令；PRC3为遥控执行指令；PRC4为遥控执行确认指令。

通过将恶意遥控指令封装入流量数据的应用层中构造出pcap（packet capture）攻击包，进而模拟中间人非法遥控注入攻击场景，具体过程如下。

1）设置流量数据的以太网层源MAC 地址为:00:XX:29:25:XX:02，设置流量数据目的MAC 地址为:00:XX:29:6D:XX:06，协议类型为IPv4。

2）设置流量数据的网络层源IP 为:XX.16.X.40，目的IP 为:XX.16.X.42。

3）设置流量数据传输层源端口为:56500，目的端口为:2404。

4）设置流量数据的应用层报文分别为PRC1、PRC2，报文详细内容与分析如下:

其中，PRC1表示遥控选择指令，传送原因为0600（激活），信息体数据为80（遥控选择）。按照正常的遥控执行逻辑，PRC2应该为选择确认指令，传送原因为0700（激活确认），信息体数据为80（遥控选择）。在此仍将PRC2设置为遥控选择指令，传送原因为0600（激活），信息体数据为80（遥控选择），模拟中间人非法遥控注入攻击，使其不符合正常的遥控指令执行逻辑。

构造的pcap 包流量数据使用Wireshark 打开后如附录A 图A5 所示。将构造的pcap 攻击包作为输入，使用所提方法进行检测，成功识别出异常并发出告警信号:中间人非法遥控注入攻击。

3.3 异常检测性能对比分析

将所提流量异常行为检测方法与现有方法进行比较，结果如表1 所示。表1 中，“√”和“×”分别表示具备和不具备某项功能。可以看出，在检测能力方面，大部分现有方法只能在网络层进行检测，不能实现应用层的异常检测。少部分方法虽在应用层进行检测，但仅能实现报文解析、报文格式校验，而所提方法能够全面实现报文解析、报文格式校验、单字段畸形校验、多字段耦合逻辑校验、帧与帧时序逻辑校验、帧与帧上下文异常校验。同时，在检测指标方面，流量异常行为检测的准确率和误报率相比于其他方法也具有一定的优势。因此，所提方法能够更加全面、精准地实现流量异常行为的识别。

表1 不同方法的检测结果对比Table 1 Comparison of detection results of different methods

4 结语

针对目前电力工控系统流量数据传输过程中所存在的网络攻击威胁，本文提出了一种基于协议特征的电力工控流量异常行为检测方法。结合电力工控协议建立报文字段、业务特征的正常行为模型，并依据正常行为模型对实时流量进行异常行为检测。案例分析结果表明，所提方法能够实现电力工控流量应用层报文的格式校验、单字段畸形校验、多字段耦合逻辑校验、帧与帧时序逻辑校验、帧与帧上下文异常校验，典型异常行为的识别准确率较高，为99.98%，误报率较低，为0.017%，能够有效降低电力工控系统流量传输过程中报文的窃取、篡改、注入等风险，提升电力系统运行的安全性。同时，文中基于协议特征的正常行为模型参数能够随着实际应用场景的变化进行动态调整，且所提方法的应用可以扩展至电力工控系统中的多种通信协议，体现了本文方法的一般性与扩展性。

需要指出的是，目前的虚假数据注入攻击能够实现对报文的字段、逻辑在符合协议规范的情况下进行篡改，本文所提方法难以检测。同时，本文所提方法需要进一步完善，从而实现针对检测出的异常进行系统侧故障和二次侧攻击的区分，以便调度人员实施更为精准的应对措施。因此，这两方面将成为下一步的重要研究方向。

附录见本刊网络版（http：//www.aeps-info.com/aeps/ch/index.aspx），扫英文摘要后二维码可以阅读网络全文。