基于通道融合的Res-CNN-LSTM电网虚假数据注入攻击检测
2024-04-10方正刚
方正刚
基于通道融合的Res-CNN-LSTM电网虚假数据注入攻击检测
方正刚
(福州大学电气工程与自动化学院,福州 350108)
针对电力系统的网络攻击事件越来越多,信息物理安全问题已经引发电力公司和学术界的高度关注。为了能够正确检测电网虚假数据注入攻击,本文提出一种基于残差神经网络(ResNet)结构的一维卷积神经网络(1DCNN)和长短期记忆(LSTM)网络多通道融合网络模型,简称通道融合的Res-CNN-LSTM网络模型。该神经网络算法利用1DCNN和LSTM对时间序列信息的高效提取能力,将不同通道上提取的信息进行融合,进一步加强了数据特征的提取效果,同时网络模型主体采用残差跳跃连接的结构来解决神经网络在训练过程中的过拟合问题;在IEEE-14和IEEE-118节点测试系统进行模型仿真实验,并对比其他神经网络模型,结果验证了本文所提方法的有效性和准确性。
神经网络;多通道数据融合;攻击检测;深度学习;长短期记忆(LSTM)神经网络
0 引言
随着现代社会对智能电网依赖性的增强,智能电网已然成为现代社会的重要组成部分。然而,智能电网极其依赖通信技术和大数据技术,因此其有较大风险遭受各种网络攻击[1]。其中,一种被广泛关注的攻击方式是虚假数据注入攻击(false data injection attack, FDIA),它通过操纵电网数据来破坏系统的正常运行,威胁着电力供应的可靠性和安全性[2]。
虚假数据注入攻击是一种隐蔽的攻击方式,攻击者通过篡改测量数据,向电网注入虚假信息,导致对系统监控和控制的误导[3]。这些攻击可能造成电力系统运行异常,导致设备故障、能源浪费甚至引发系统崩溃。因此,准确识别和防御虚假数据注入攻击对于智能电网的稳定可靠运行至关重要[4-5]。
目前,国内外对电网FDIA的检测进行了大量学术研究,基本的研究思路有:基于状态估计的检测方法、基于机器学习的检测方法、基于深度学习神经网络的检测方法。其中,机器学习和深度学习算法均基于大量样本进行设计;状态估计检测方法根据电网信息状态构建不良数据辨识检测算法[6]。状态估计法属于根据电力系统运行机制进行建模的攻击检测方法,基于机制建模的检测方法存在诸多理论约束和技术瓶颈,因此此类方法并不能广泛应用于实际。机器学习方法克服了上述难题,避免了复杂的物理建模,以数据为基础构建虚假注入数据和攻击之间的隐含映射关系,使机器学习模型能够有效检测虚假数据注入攻击[7]。
基于机器学习的识别方法是指采用大量具有FDIA特征的历史数据对机器学习模型进行训练,利用数据特征来优化机器学习模型的参数,最终使模型对测试样本中的FDIA具有识别能力[8]。文献[9]利用逻辑回归、K最近邻、支持向量机等机器学习算法对具有FDIA特征的数据进行学习并测试,实验结果表明机器学习算法具有很好的FDIA检测能力,但因机器学习算法计算较为耗时,不能适应大型电网数据,因此利用机器学习算法在实际应用中并非很好的选择。
基于深度学习神经网络的检测方法同样是利用数据驱动揭示特征和结果之间的关联关系。文献[10]利用小波变换和单向门控循环单元进行系统的状态连续估计,检测序列状态中的FDIA,但是单向门控循环单元不能很好地提取小波变换中的有效特征,并且有出现梯度爆炸的可能;文献[11]采用Transformer编码器进行FDIA检测,Transformer编码器由于参数量较大、模型复杂,可以实现对FDIA的有效检测,但由于训练耗时,推理速度较慢,会出现模型过拟合的情况;文献[12]利用卷积神经网络(convolutional neural network, CNN)提取和长短时记忆(long short-term memory, LSTM)网络学习量测状态序列的时间和空间关系特征,进而实现FDIA检测,但是模型未考虑数据的多维度问题,同时网络模型过深可能会导致过拟合的情况。
针对上述问题,本文分析电网FDIA行为,利用深度学习神经网络算法,通过一维卷积神经网络(one dimensional convolutional neural network, 1DCNN)和LSTM在不同通道上不断进行对FDIA特征的学习[13],对学习到的时间序列特征进行不同通道上的融合,最后利用残差神经网络(residual neural network, ResNet)跳转连接的结构搭建更深层的通道融合网络模型,从而可以有效学习到FDIA特征,避免网络过拟合的情况。本文将上述网络模型称为通道融合的Res-CNN-LSTM网络模型,利用该网络模型对FDIA特征进行训练并利用训练好的模型进行测试,以证明该模型相对于单一神经网络更加健壮,泛化能力更强,且对FDIA的识别精度更高、误报率更低。
1 问题描述
智能电表的量测值包含总线有功功率和分支有功功率[14]。在电力系统FDIA案例中,攻击者对电力系统中的控制设备量测单元和通信设备等注入虚假数据,通过篡改线路潮流数据、节点功率、电压幅值等数据绕过检测机制,以此来影响状态估计,造成系统出现较大偏差[15]。
传统虚假数据注入攻击通常为
式中:a为受到注入攻击之后的向量;为没有进行攻击时的原始量测值;为注入的虚假数据攻击向量;为量测的雅可比矩阵,是用来描述量测值和状态量之间关系的矩阵;为系统状态量;为量测值的误差向量。
构建不可观察FDIA,虚假注入数据满足
式中,为由导致的虚假状态数据。
因此,受到攻击后的量测值为
式中,a为受到攻击后新的量测值。
2 算法原理
2.1 一维卷积神经网络
一维卷积神经网络的时间序列数据特征处理和提取能力较好[16]。一维卷积神经网络结构如图1所示,主要由三部分构成:卷积层、池化层和全连接层。
图1 一维卷积神经网络结构
卷积层对输入数据进行卷积运算,提取出局部信息的特征来提高处理性能,同时由于卷积核是权重共享的[17],因此可以减少参数,降低计算量。卷积计算为
池化层通常置于两个卷积层之间,通过降低特征图的分辨率来降低后续神经网络层的计算量。同时,池化计算不含网络参数,因此反向传播无参数更新。池化计算为
2.2 LSTM神经网络
LSTM神经网络可缓解循环神经网络(recurrent neural network, RNN)的梯度消失和梯度爆炸问 题[18]。LSTM基本单元结构如图2所示,一个基本单元包含遗忘门、记忆单元、输入门和输出门。
LSTM基本单元的状态更新方程为
3 残差连接多通道融合检测模型
3.1 模型结构
本文提出通道融合的Res-CNN-LSTM神经网络算法对FDIA数据进行模型训练并检测。CNN- LSTM通道融合模块如图3所示。
CNN-LSTM通道融合模块是在两个通道上对输入的FDIA数据进行特征学习,由于1DCNN和LSTM对时间序列数据有很好的特征提取效果,因此将1DCNN提取的特征和LSTM提取的特征进行融合,并将融合后的特征信息作为下一层的输入来提高网络的学习能力。对数据进行特征提取和融合的具体步骤如下:
图3 CNN-LSTM通道融合模块
1)第一个通道进行一维卷积神经网络特征提取,其中包含一维卷积和一维池化操作,对输入的特征信息不断进行特征提取。
2)第二个通道首先对数据进行维度转化,在对应数据维度下,LSTM神经网络进行数据的特征提取和学习,对提取到的时间序列信息特征进行维度转化,即可与一维卷积神经网络提取的特征进行数据融合。
3)将1DCNN和LSTM提取的数据特征图进行特征相加操作,实现不同通道提取特征的融合。
本文所提算法的主体网络结构借鉴ResNet算法的残差结构,利用残差块对整体模型进行设计。ResNet的残差模块如图4所示。
图4 残差模块
本文所提出的Res-CNN-LSTM网络模型结构如图5所示。该模型的主体结构采用ResNet的跳转连接残差结构;网络模型的输入数据经过CNN- LSTM通道融合模块进行特征信息的融合,同时将输入数据跳转连接到CNN-LSTM通道融合模块的输出进行数据融合,由此形成一个具有残差连接的多通道融合模块;由多个残差连接的通道融合模块进行数据的特征提取,然后将提取的特征进行维度展平并通过全连接层进行连接;最后经过sigmoid激活函数,判断输出的数据是否为FDIA数据。
图5 Res-CNN-LSTM网络模型结构
3.2 实验评价指标
为判定一段时间序列数据是否为虚假注入攻击数据,以准确率、精确率、召回率、1分数作为模型的评价指标[19]。
真正(true positve),记为p;假正(false positive),记为p;真负(true negative),记为n;假负(false negative),记为n。
准确率c的计算表达式为
精确率的计算表达式为
召回率的计算表达式为
1分数的计算表达式为
4 算例分析
4.1 实验环境配置
为了搭建网络模型及其对比实验模型,本文实验配置为:计算机操作系统Windows 11,深度学习框架TensorFlow,编程语言python;显卡为NVIDIA GeForce RTX 3060。
4.2 数据来源及实验流程
选择该领域主流的IEEE-14节点和IEEE-118节点测试系统作为测试系统,从Matpower中获得的量测数据包含各总线的电压幅值、总线相位、总线注入有功功率和无功功率、各支路注入有功功率和无功功率等,一个量测数据作为一个样本数据维度,并将其作为网络输入特征。其中,IEEE-14节点系统中每个样本具有54个量测值,即54维。IEEE-118节点系统中每个样本包括490个量测值,即490维。利用Matpower软件对IEEE-14和IEEE-118节点系统各仿真生成5 000个时刻的正常量测数据样本,设置标签为0,同时生成虚假注入攻击数据样本5 000个,设置标签为1。将正常样本和虚假注入攻击样本进行去均值和归一化处理,按照6:2:2的比例随机抽取样本制作训练集、验证集和测试集。基于Res-CNN-LSTM网络的虚假数据注入攻击检测实验流程如图6所示。
图6 基于Res-CNN-LSTM网络的虚假数据注入攻击检测实验流程
首先,将从Matpower获取的正样本和负样本数据进行数据清洗和归一化处理。归一化通过相应线性变换操作能够将数据缩小到区间[0, 1]内,数据归一化操作所用的具体公式为
式中:g为归一化之后的值;min为特征最小值;max为特征最大值;为待归一化的值。
其次,将归一化后的数据划分为训练集、验证集和测试集,搭建实验网络模型,利用训练集进行模型训练,训练的同时利用验证集进行模型验证。
再次,利用模型前向传播计算的误差进行反向传播来更新模型的参数,如果达到最大边界条件或最大迭代次数,则训练结束,输出训练完毕的模型,否则继续进行训练直到训练结束。
最后,利用测试集对训练好的模型进行测试,并返回模型的评价指标。
4.3 预测结果对比
为了验证本文所提预测模型的精确性,选取支持向量机(support vector machine, SVM)、反向传播(back propagation, BP)神经网络、LSTM神经网络、串行结构的CNN-LSTM网络模型、通道融合的CNN- LSTM网络模型与通道融合的Res-CNN-LSTM网络模型进行对比。
为探究神经网络模型之间的优劣性,设置固定的超参数:学习率为0.001、优化器为Adam、每层神经网络(除最后一层)激活函数为ReLU函数、最大迭代次数为100、损失函数为交叉熵损失。
本文搭建的通道融合的Res-CNN-LSTM网络模型共含4个残差模块,每个残差模块都有1DCNN与LSTM特征融合模块,最后连接2层全连接层,利用最后一层全连接层进行虚假注入数据攻击检测。通道融合的Res-CNN-LSTM网络模型参数见表1。
其中,Covn fitter为卷积操作,Max pool为最大池化操作,残差模块4经过全局平均池化,转化为一个二维的向量,通道维度为64×1,因此不管是IEEE-118节点系统的输入还是IEEE-14节点系统的输入,经过残差模块4后输出的特征向量都为64×1,保证了不同的输入、同样的模型输出;最后两层的全连接层神经元数量为64、2,最后一层神经网络的激活函数为sigmoid函数,输出分类检测结果。
不同模型针对IEEE-14和IEEE-118节点系统的训练准确率分别如图7~图11所示,图中包括IEEE-14和IEEE-118节点系统对应模型训练过程中训练集和验证集的准确率曲线,每个模型设定训练轮次为100。
表1 通道融合的Res-CNN-LSTM网络模型参数
从图7~图11可以看出,每个模型在100轮的训练内都已收敛,训练集和验证集的准确率已基本稳定;每个模型的IEEE-14节点系统训练集和验证集的收敛准确率均优于IEEE-118节点系统训练集和验证集的收敛准确率,这是由于IEEE-118节点系统的网络拓扑比IEEE-14节点系统的网络拓扑更复杂;相比之下,通道融合的Res-CNN-LSTM网络模型的准确率最高、收敛较快且波动最小。
图7 BP神经网络训练准确率
图8 LSTM神经网络训练准确率
图9 串行结构的CNN-LSTM神经网络训练准确率
图10 通道融合的CNN-LSTM神经网络训练准确率
图11 通道融合的Res-CNN-LSTM神经网络训练准确率
训练集和验证集的准确率曲线只能得到一个直观的结论,为了定量分析各个模型针对IEEE-14节点系统和IEEE-118节点系统的性能,利用3.2节给出的评价指标进行对比。IEEE-14节点系统6种模型的评价指标对比见表2,IEEE-118节点系统6种模型的评价指标对比见表3。
表2 IEEE-14节点系统6种模型的评价指标对比
表3 IEEE-118节点系统6种模型的评价指标对比
由表2和表3可知,本文提出的通道融合的Res- CNN-LSTM网络模型的评价指标最优;与通道融合的CNN-LSTM网络模型相比,本文所提模型针对IEEE-14节点系统的准确率、精确率、召回率和1分数分别提高了1.02个百分点、1个百分点、1.7个百分点和1.35个百分点,针对IEEE-118节点系统的准确率、精确率、召回率和1分数分别提高了1.31个百分点、2.14个百分点、1.72个百分点和1.94个百分点,由此可得出,利用残差结构进行跳转连接可有效提高网络模型的识别能力;与串行结构的CNN-LSTM网络模型相比,通道融合的CNN-LSTM网络模型针对IEEE-14节点系统的准确率、精确率、召回率和1分数分别提高了1.01个百分点、0.84个百分点、1.25个百分点和1.04个百分点,针对IEEE-118节点系统的准确率、精确率、召回率和1分数分别提高了2.06个百分点、1.57个百分点、3.31个百分点和2.44个百分点,由此结果可得出,利用不同通道进行特征提取并融合可有效提升网络模型的识别效果。
5 结论
本文提出了一种基于通道融合的Res-CNN- LSTM电网虚假数据注入攻击检测模型。模型主要采用1DCNN和LSTM网络在不同通道上进行特征提取,将不同通道提取的特征进行融合,整体网络架构采用残差结构进行模型的训练和测试,最后与其他模型进行了对比测试,得出如下结论:
1)1DCNN和LSTM网络具有很好的时间序列数据特征提取能力,在不同的通道结构上将二者提取的特征进行融合,进行优势互补,可有效提高模型的检测准确率。
2)残差网络的跳转连接结构可以有效避免网络过拟合的情况,使网络深度更深,从而提高网络模型在虚假攻击数据中的检测效果。
3)虽然本文所提通道融合的Res-CNN-LSTM网络模型针对虚假数据注入攻击有很好的检测效果,但是其依赖大量的数据集进行训练,在数据不足的情况下很难达到高效准确的检测效果。同时,由于模型结构较为庞大,模型推理耗费的算力资源也较高。
综上所述,本文所提通道融合的Res-CNN- LSTM网络模型在数据足够的情况下,可以实现对电网虚假数据注入攻击的有效检测。
[1] 杨杉, 谭博, 郭静波. 基于双马尔科夫链的新型能源互联网虚假数据注入攻击检测[J]. 电力自动化设备, 2021, 41(2): 131-137.
[2] 王琦, 邰伟, 汤奕, 等. 面向电力信息物理系统的虚假数据注入攻击研究综述[J]. 自动化学报, 2019, 45(1): 72-83.
[3] 曹禹. 智能电网中虚假数据注入攻击检测与辨识研究[D]. 南京: 南京邮电大学, 2022.
[4] 陈刘东, 刘念. 面向互动需求响应的虚假数据注入攻击及其检测方法[J]. 电力系统自动化, 2021, 45(3): 15-23.
[5] 田猛, 王先培, 董政呈, 等. 基于拉格朗日乘子法的虚假数据攻击策略[J]. 电力系统自动化, 2017, 41(11): 26-32.
[6] 张明月, 王新宇. 基于残差观测器的智能电网虚假数据攻击检测研究[J]. 电气工程学报, 2023, 18(1): 111-117.
[7] 鲁俊良. 基于机器学习的智能电网虚假数据攻击检测研究[D]. 北京: 华北电力大学, 2019.
[8] 刘鑫蕊, 常鹏, 孙秋野. 基于XGBoost和无迹卡尔曼滤波自适应混合预测的电网虚假数据注入攻击检测[J]. 中国电机工程学报, 2021, 41(16): 5462-5476.
[9] OZAY M, ESNAOLA I, VURAL F T Y, et al. Machine learning methods for attack detection in the smart grid[J]. IEEE Transactions on Neural Networks and Learning Systems, 2016, 27(8): 1773-1786.
[10] YU J J Q, HOU Yunhe, LI V O K. Online false data injection attack detection with wavelet transform and deep neural networks[J]. IEEE Transactions on Industrial Informatics, 2018, 14(7): 3271-3280.
[11] 陈冰, 唐永旺. 基于Transformer编码器的智能电网虚假数据注入攻击检测[J]. 计算机应用与软件, 2022, 39(7): 336-342.
[12] 黄冬梅, 何立昂, 孙锦中, 等. 基于边缘计算的电网假数据攻击分布式检测方法[J]. 电力系统保护与控制, 2021, 49(13): 1-9.
[13] 涂彦昭, 高伟, 杨耿杰. 一种基于卷积神经网络和长短期记忆网络的光伏系统故障辨识方法[J]. 电气技术, 2022, 23(2): 48-54.
[14] 韦先灿, 高伟, 杨耿杰. 基于改进动态线损估计的智能电表误差估计方法[J]. 电气技术, 2022, 23(2): 7-12.
[15] 李扬, 李智, 陈亮, 等. 发电机动态状态估计中的一种虚假数据注入攻击方法[J]. 电工技术学报, 2020, 35(7): 1476-1488.
[16] 王菲菲, 阮爱民, 魏刚, 等. 基于卷积神经网络的开关柜局部放电故障识别[J]. 电气技术, 2019, 20(4): 76-81.
[17] 李元诚, 曾婧. 基于改进卷积神经网络的电网假数据注入攻击检测方法[J]. 电力系统自动化, 2019, 43(20): 97-104.
[18] 金亮, 冯裕霖, 曹佳豪, 等. 基于注意力与长短期记忆网络的变压器代理模型[J]. 电气技术, 2021, 22(7): 65-71, 77.
[19] 唐清苇, 向月, 代佳琨, 等. 基于CNN-LSTM的风电场发电功率迁移预测方法[J]. 工程科学与技术, 2024, 56(2): 91-99.
Detection of false data injection attacks in power grid based on Res-CNN-LSTM with channel fusion
FANG Zhenggang
(College of Electrical Engineering and Automation, Fuzhou University, Fuzhou 350108)
The number of network attacks targeting the power system is increasing, and information physical security issues have attracted high attention from power companies and academia. In order to accurately detect false data injection attacks in the power grid, a one-dimensional convolutional neural network (1DCNN) based on residual neural network (ResNet) structure, and long short-term memory (LSTM) network based multi-channel fusion network model which called Res- CNN-LSTM is proposed. This algorithm utilizes the efficient extraction ability of 1DCNN and LSTM in time series information, and fuses the extracted information in different channels to further enhance the extraction effect of data features. At the same time, the main body of the model adopts a residual jump connection structure to solve the problem of overfitting in the training process of the neural network. Simulation is conducted based on IEEE-14 and IEEE-118 node testing systems, and the proposed method is compared with other neural network model algorithms. The results verified the effectiveness and accuracy of the proposed method in the paper.
neural network; multi channel data fusion; attack detection; deep learning; long short- term memory (LSTM) neural network
2023-11-17
2024-01-15
方正刚(1997—),男,福建省福州市人,硕士研究生,研究方向为人工智能在电气领域中的应用。
