智能電網(wǎng)入侵檢測(cè)綜述

蔣南允 程光

摘 要：在智能電網(wǎng)中，高級(jí)量測(cè)體系通過(guò)集成計(jì)算和網(wǎng)絡(luò)組件用來(lái)監(jiān)視并控制電力設(shè)備，使電網(wǎng)滿足現(xiàn)代化的需求。但兩者的融合使得一旦信息通信技術(shù)存在的缺陷被攻擊利用，電力設(shè)備原本因?yàn)槠浞忾]性而被未暴露的漏洞也將被發(fā)掘利用，最后導(dǎo)致災(zāi)難性后果。論文首先介紹了當(dāng)前電網(wǎng)存在的安全問(wèn)題，高級(jí)量測(cè)體系的概念和作用，然后闡述了其安全需求，并詳述近年來(lái)入侵檢測(cè)方法在高級(jí)量測(cè)體系中的應(yīng)用和發(fā)展，最后對(duì)其防護(hù)模型進(jìn)行了探討。

關(guān)鍵詞：智能電網(wǎng)；高級(jí)量測(cè)體系；流量檢測(cè)

中圖分類(lèi)號(hào)：TP393.08；TM711 文獻(xiàn)標(biāo)識(shí)碼：A

A Review of intrusion detection in smart grid

Abstract： In the smart grid， AMI （Advanced Metering Infrastructure） monitors and controls power equipment by integrated computing and network components in order to make the power grid meet modern requirements. However， the combination of the two parts above leads to a severe result that once the deficiencies of information and communication technology is attacked and applied in an improper way， the loopholes of power equipment which was not exposed due to its closure previously will be explored and utilized， which may result in disastrous consequence. The paper later expounds the AMIs demands for security and expatiates the application and development of intrusion detection techniques in AMI network. Finally， the author discusses its defense model.

Key words： smart grid； advanced metering infrastructure； intrusion detection

1 引言

發(fā)生在美國(guó)、加拿大等國(guó)的大規(guī)模停電事件表明傳統(tǒng)電網(wǎng)架構(gòu)已經(jīng)過(guò)時(shí)，其現(xiàn)有的管理和工作模式越來(lái)越不能滿足用戶在用電高峰期的需求[1-4]。因此在20世紀(jì)初，美國(guó)和歐洲各國(guó)相繼開(kāi)展智能電網(wǎng)相關(guān)研究，以便提高電網(wǎng)安全穩(wěn)定性和能源利用率[5]。對(duì)一個(gè)國(guó)家來(lái)講，智能電網(wǎng)可以增強(qiáng)電網(wǎng)安全穩(wěn)定、節(jié)能減排和控制溫室效應(yīng)；對(duì)用戶來(lái)說(shuō)，利用電網(wǎng)提供的分時(shí)電價(jià)功能，在低電價(jià)用電，在高電價(jià)、用電高峰時(shí)通過(guò)存儲(chǔ)的分布式電能（沼氣、太陽(yáng)能、風(fēng)能等）向電網(wǎng)或周?chē)脩艄╇?，?shí)現(xiàn)自身經(jīng)濟(jì)利益的同時(shí)，減少電網(wǎng)高峰負(fù)荷。從技術(shù)角度上理解，智能電網(wǎng)是將計(jì)算機(jī)和信息通信技術(shù)與電網(wǎng)基礎(chǔ)設(shè)施高度集成，從而增強(qiáng)電網(wǎng)對(duì)設(shè)備的監(jiān)視、控制和預(yù)測(cè)用電能力[6]。

電網(wǎng)用戶的用電等信息最早是利用人工抄表的方式采集的。隨后自動(dòng)抄表技術(shù)的出現(xiàn)解決了電量采集人力成本高等問(wèn)題，但其單向通信的特點(diǎn)并不適用于上述智能電網(wǎng)的使用場(chǎng)景[7]。因此智能電網(wǎng)通過(guò)具備雙向通信能力的高級(jí)量測(cè)體系（Advanced Metering Infrastructure，AMI）與用戶互動(dòng)，相比傳統(tǒng)電網(wǎng)僅上傳月用電量來(lái)進(jìn)行計(jì)費(fèi)， AMI以分鐘為單位收集用戶的用電信息，提高了電網(wǎng)對(duì)設(shè)備的監(jiān)控能力，還為用戶提供分時(shí)電價(jià)，需求管理等功能[8]。但相關(guān)研究[9]證明AMI的雙向通信能力一旦被攻擊利用，將導(dǎo)致攻擊影響擴(kuò)大等后果。

例如2009年美國(guó)某地電網(wǎng)公司智能電表被入侵導(dǎo)致竊電，造成了每年4億美元的損失[11]。2010年“震網(wǎng)”事件表明工業(yè)控制系統(tǒng)存在的漏洞會(huì)導(dǎo)致嚴(yán)重后果，2015年烏克蘭電力二次系統(tǒng)發(fā)生惡意軟件入侵和DDoS攻擊，導(dǎo)致大停電 [10]。由此可見(jiàn)，當(dāng)前的網(wǎng)絡(luò)防護(hù)技術(shù)并不適用于結(jié)構(gòu)復(fù)雜、實(shí)時(shí)性強(qiáng)的電網(wǎng)系統(tǒng)[12]。從2009年開(kāi)始，國(guó)外相繼對(duì)AMI網(wǎng)絡(luò)存在的問(wèn)題和檢測(cè)防護(hù)方法展開(kāi)相關(guān)研究，主要聚焦于當(dāng)前網(wǎng)絡(luò)攻擊能對(duì)電網(wǎng)造成巨大危害的三類(lèi)問(wèn)題：惡意代碼入侵、DDoS攻擊和電量欺騙。

2 AMI網(wǎng)絡(luò)模型和安全需求

2.1 AMI網(wǎng)絡(luò)模型

高級(jí)測(cè)量體系（Advanced Metering Infrastructure，AMI）一般由智能電表、集中器、電網(wǎng)計(jì)量管理服務(wù)器和其通信網(wǎng)絡(luò)組成；工作模式為，智能電表采集用戶用電信息和用電需求，上傳至小區(qū)的數(shù)據(jù)集中器，服務(wù)器主動(dòng)向集中器請(qǐng)求電量數(shù)據(jù)或集中器按照預(yù)設(shè)的時(shí)間間隔將數(shù)據(jù)上傳至計(jì)量服務(wù)器。同時(shí)，服務(wù)器還可以向用戶分發(fā)電價(jià)信息，電表控制命令[13]。其網(wǎng)絡(luò)結(jié)構(gòu)一般由三種不同類(lèi)型的網(wǎng)絡(luò)組成，并按層級(jí)結(jié)構(gòu)分布，分別是廣域網(wǎng)（Wide Area Network，WAN）、鄰域網(wǎng)（Neighborhood Area Network，NAN）和家域網(wǎng)（Home Area Network，HAN）[12-15]。如圖1所示。

2.2AMI體系的安全需求

AMI體系中有幾個(gè)關(guān)鍵特征使得其容易受到攻擊：（1）通信體系復(fù)雜不同于互聯(lián)網(wǎng)，部分通信鏈路帶寬有限；（2）接入了百萬(wàn)計(jì)的低計(jì)算、低存儲(chǔ)、低防護(hù)能力的設(shè)備；（3）存儲(chǔ)用戶敏感數(shù)據(jù)；（4）攻擊AMI能?chē)?yán)重影響電網(wǎng)運(yùn)行；（5）篡改電力消費(fèi)數(shù)據(jù)的經(jīng)濟(jì)價(jià)值[15]。因此，有幾種核心信息需要受到保護(hù)[12]：（1）智能計(jì)量數(shù)據(jù)；（2）控制數(shù)據(jù)；（3）電價(jià)信息。

根據(jù)以上關(guān)鍵目標(biāo)，安全需求可以分類(lèi)四類(lèi)[16]。

機(jī)密性：用電數(shù)據(jù)涉及用戶隱私，相關(guān)敏感數(shù)據(jù)應(yīng)只能被授權(quán)的實(shí)體獲取。

完整性：傳輸?shù)臄?shù)據(jù)必須是真實(shí)有效的，不能被任意非授權(quán)實(shí)體篡改，對(duì)計(jì)量數(shù)據(jù)篡改可以導(dǎo)致竊電，篡改低電價(jià)信息可以導(dǎo)致用戶端大量設(shè)備同時(shí)啟動(dòng)，影響電網(wǎng)供電，從而導(dǎo)致部分用戶停電。

有效性：利用大量電表或其它設(shè)備發(fā)起DDoS攻擊可以導(dǎo)致電網(wǎng)受攻擊設(shè)備資源耗盡不可用，因此AMI中傳輸?shù)臄?shù)據(jù)必須能被授權(quán)的實(shí)體在任意時(shí)刻獲取到。

不可否認(rèn)性：任何實(shí)體不能否認(rèn)做過(guò)或未做過(guò)的事。

3 AMI網(wǎng)絡(luò)攻擊和檢測(cè)方法

針對(duì)AMI網(wǎng)絡(luò)的攻擊按攻擊位置可分為兩類(lèi)[17]：一是基于連接的攻擊，主要攻擊三層通信網(wǎng)，攻擊類(lèi)型包括竊聽(tīng)、無(wú)線干擾、數(shù)據(jù)篡改和協(xié)議失效等；二是基于設(shè)備的攻擊，主要攻擊電表、集中器和計(jì)量管理系統(tǒng)，攻擊類(lèi)型有惡意接入點(diǎn)、中間人攻擊、DoS攻擊、重放攻擊和服務(wù)非法使用等，如圖2所示。

當(dāng)前入侵檢測(cè)有基于誤用、基于異常和基于規(guī)范三種檢測(cè)方法[18]。基于規(guī)范的檢測(cè)成本高，目前多采用基于誤用和基于異常的檢測(cè)方法。基于誤用的檢測(cè)方法依靠匹配樣本特征代碼庫(kù)進(jìn)行檢測(cè)，無(wú)法檢測(cè)未知的攻擊，而AMI是一個(gè)新興的系統(tǒng)，新類(lèi)型的攻擊方法在快速增長(zhǎng)中，所以該方法不適用于當(dāng)前環(huán)境。而基于異常的檢測(cè)方法主要刻畫(huà)用戶的正常行為模型，使用統(tǒng)計(jì)或機(jī)器學(xué)習(xí)方法對(duì)當(dāng)前的活動(dòng)行為進(jìn)行比較，不符合正常模型的即為異常行為，該方法能檢測(cè)到未知的攻擊。本文主要描述了當(dāng)前AMI網(wǎng)絡(luò)存在的主要問(wèn)題和其異常入侵檢測(cè)方法。

3.1惡意代碼入侵及檢測(cè)

由于智能電表處于用戶端，缺少物理防護(hù)，惡意用戶很容易對(duì)電表進(jìn)行長(zhǎng)時(shí)間的滲透測(cè)試，同時(shí)電表生產(chǎn)商為了快速占有市場(chǎng)會(huì)忽視電表安全問(wèn)題，部分滲透實(shí)驗(yàn)證實(shí)了智能電表可以被蠕蟲(chóng)攻擊，然后再感染附近的電表[19，20]。被感染的電表可進(jìn)一步向電網(wǎng)內(nèi)部發(fā)起攻擊，從而造成更大的危害[9]?；ヂ?lián)網(wǎng)中的惡意代碼檢測(cè)一直是一個(gè)難點(diǎn)，幸運(yùn)的是由于智能電表的業(yè)務(wù)特點(diǎn)，并不需要上傳可執(zhí)行代碼，而電表軟件和固件的更新，通常采用人工現(xiàn)場(chǎng)操作或者電表端下載可執(zhí)行代碼。因此針對(duì)惡意代碼的檢測(cè)可以擴(kuò)展到對(duì)可執(zhí)行代碼的檢測(cè)。

Park Y等人[21]根據(jù)信息熵和ARM指令的統(tǒng)計(jì)特征，檢測(cè)可執(zhí)行代碼。Choo E等人[22]采用反匯編技術(shù)得到34個(gè)ARM基本指令分布圖，隨后采用K-MEANS算法和皮爾遜系數(shù)區(qū)分可執(zhí)行代碼。由于ARM指令相當(dāng)有規(guī)律并且長(zhǎng)度定長(zhǎng)，因此兩種方法的精度非常高，可用于電表的檢測(cè)，但存在如下缺陷，即通過(guò)被感染控制的軟件置換字節(jié)可以繞過(guò)該類(lèi)型的攻擊。

電網(wǎng)計(jì)量管理系統(tǒng)多采用X86架構(gòu)的計(jì)算機(jī)系統(tǒng)，而X86架構(gòu)的指令則是不定長(zhǎng)的，因此上述方法并不能直接用于X86 可執(zhí)行代碼的檢測(cè)。Babu V等人[23]采用四種不同的方法提取了四個(gè)不相關(guān)的特征，使用SVM對(duì)數(shù)據(jù)進(jìn)行訓(xùn)練測(cè)試。在實(shí)驗(yàn)平臺(tái)上的證明該方法檢測(cè)精度最高可達(dá)99.861%，誤檢率在0.319%和0.796%之間。

3.2 DDoS攻擊

DDoS攻擊主要用來(lái)耗盡目標(biāo)的計(jì)算、內(nèi)存和網(wǎng)絡(luò)資源，一旦計(jì)量系統(tǒng)和網(wǎng)絡(luò)中的智能電表受到攻擊，會(huì)嚴(yán)重影響電網(wǎng)正常業(yè)務(wù)展開(kāi)，造成大量用戶停電[24]。DDoS攻擊可以利用電表和網(wǎng)絡(luò)協(xié)議漏洞展開(kāi)攻擊，該文[25]利用無(wú)線Mesh網(wǎng)絡(luò)DSR（Dynamic Source Routing）協(xié)議的路由維護(hù)階段的漏洞，對(duì)該網(wǎng)絡(luò)協(xié)議設(shè)計(jì)了相應(yīng)的攻擊方法，仿真實(shí)驗(yàn)證實(shí)該方法效果優(yōu)于一般的泛洪攻擊。

DDoS攻擊的防護(hù)可以分為兩個(gè)階段：一是攻擊防護(hù)，即在攻擊發(fā)起之前，防護(hù)方法包括完善系統(tǒng)和協(xié)議的安全等級(jí)、防火墻、資源分配和審計(jì)；二是攻擊檢測(cè)，包括對(duì)攻擊源的檢測(cè)和正確的響應(yīng)措施[26]。

Wang K等人[27]提出采用貝葉斯蜜罐博弈模型，解決傳統(tǒng)蜜罐技術(shù)檢測(cè)動(dòng)態(tài)攻擊能力弱的缺點(diǎn)，實(shí)驗(yàn)驗(yàn)證該模型能提高檢測(cè)效率，同時(shí)減少能源消耗。

3.3 電量數(shù)據(jù)欺騙

在傳統(tǒng)電網(wǎng)中，攻擊者可以通過(guò)在電表中加入磁鐵或電阻等物理手段減少電表計(jì)量的電量造成竊電。由于其產(chǎn)生的巨大經(jīng)濟(jì)利益，導(dǎo)致該現(xiàn)象屢禁不止，相比傳統(tǒng)電表，智能電表的引入給攻擊者增加了新的攻擊平面，攻擊者可以破解智能電表密碼，篡改存儲(chǔ)電量或者中斷網(wǎng)絡(luò)通信，使用中間人攻擊等方式修改計(jì)量報(bào)文等方法[14]。

由于電網(wǎng)用戶的用電量隨著時(shí)間（季節(jié)、假日和周末）住宅位置和用戶性質(zhì)（商用和家用）等因素變化而變化，Wang Y等人[29]根據(jù)以上因素提取特征，然后使用SVM對(duì)用戶正常數(shù)據(jù)和異常數(shù)據(jù)進(jìn)行分類(lèi)。莊池杰等人[31]和田野等人[32]使用年、季度和月份提取統(tǒng)計(jì)特征，再使用PCA降維和機(jī)器學(xué)習(xí)方法進(jìn)行竊電檢測(cè)，但兩者缺少對(duì)低電價(jià)增加用電量，高電價(jià)竊電，使得當(dāng)天或當(dāng)月總電量不變這種竊電方法的檢測(cè)能力。Jokar P等人[30]除了使用各個(gè)用戶每2小時(shí)的用電量數(shù)據(jù)，還采集了小區(qū)總用戶用電量數(shù)據(jù)來(lái)減少誤檢率，隨后模擬六類(lèi)惡意用戶的行為習(xí)慣，構(gòu)造了相應(yīng)的惡意電量數(shù)據(jù)，最后使用K-MEANS和SVM算法進(jìn)行檢測(cè)，其檢測(cè)效果明顯優(yōu)于其它算法，并能檢測(cè)到上述總電量不變的竊電行為。

由于智能電網(wǎng)提倡用戶合理利用可再生能源減少電網(wǎng)用電高峰負(fù)荷，該類(lèi)型用戶可以將多余的電量供給附近用戶，形成一個(gè)小型的微電網(wǎng)，因此可以篡改用電側(cè)用電需求，用戶供電側(cè)能提供的電量和電能鏈路狀態(tài)，引起電力系統(tǒng)震蕩，最終造成停電[28]。針對(duì)該攻擊的檢測(cè)方法有待進(jìn)一步研究。

4 入侵檢測(cè)防護(hù)架構(gòu)

當(dāng)前，針對(duì)AMI網(wǎng)絡(luò)的攻擊通常采用入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）進(jìn)行防護(hù)，IDS是在網(wǎng)絡(luò)或系統(tǒng)中監(jiān)控并收集系統(tǒng)各種狀態(tài)信息，并對(duì)收集的信息進(jìn)行分析判斷是否有異常情況的發(fā)生。

4.1 檢測(cè)利用的信息

檢測(cè)利用的信息一般可以分成三類(lèi)[33，34]。

系統(tǒng)信息：電表的狀態(tài)報(bào)告、網(wǎng)關(guān)的CPU和內(nèi)存使用率、設(shè)備的固件和軟件的完整性。

網(wǎng)絡(luò)信息：領(lǐng)域網(wǎng)網(wǎng)絡(luò)碰撞率、丟包率、節(jié)點(diǎn)響應(yīng)時(shí)間、通信速率、路由表的完整性、節(jié)點(diǎn)身份和物理位置對(duì)應(yīng)等。

策略信息：授權(quán)的協(xié)議、設(shè)備、傳輸模式、路由更新和固件升級(jí)等。

4.2 IDS架構(gòu)介紹和未來(lái)展望

AMI是一個(gè)層級(jí)的網(wǎng)絡(luò)，根據(jù)在AMI網(wǎng)絡(luò)中部署的位置可以將IDS分為中央IDS 、嵌入式傳感器IDS 和專(zhuān)用傳感器IDS[33，34]。

中央IDS：主要部署于數(shù)據(jù)收集中心，根據(jù)AMI網(wǎng)絡(luò)的層級(jí)架構(gòu)，中央IDS部署于WAN網(wǎng)絡(luò)中電網(wǎng)計(jì)量管理系統(tǒng)與AMI網(wǎng)絡(luò)設(shè)備的通信鏈路之間，這樣可以監(jiān)控到計(jì)量管理系統(tǒng)與所有智能電表的雙向網(wǎng)絡(luò)流，該方案部署相對(duì)簡(jiǎn)單，成本較低，但監(jiān)控不到NAN網(wǎng)絡(luò)中的流量，比如利用第3節(jié)提到的DDoS攻擊方法，當(dāng)存在多臺(tái)電表被控制時(shí)，利用無(wú)線網(wǎng)狀網(wǎng)的協(xié)議漏洞，可以向集中器發(fā)起DDoS攻擊，由于中央IDS檢測(cè)不到該攻擊行為，因此無(wú)法及時(shí)做出有效的應(yīng)對(duì)措施。解決方法是部署一些傳感器分布在NAN網(wǎng)絡(luò)中。

嵌入式傳感器IDS：通過(guò)在電表或集中器中嵌入傳感器監(jiān)控設(shè)備的狀態(tài)，包括固件、CPU、內(nèi)存讀寫(xiě)和通信數(shù)據(jù)，使得電表或集中器具備了入侵檢測(cè)能力[35]。但由于電表硬件資源相當(dāng)有限使得嵌入式傳感器IDS的檢測(cè)能力受到限制。

專(zhuān)用傳感器IDS：通過(guò)在目標(biāo)網(wǎng)絡(luò)中部署獨(dú)立的傳感器檢測(cè)網(wǎng)絡(luò)狀態(tài)，因此部署的數(shù)量相比嵌入式傳感器IDS大大減少，成本更低，且更強(qiáng)的計(jì)算和存儲(chǔ)能力使其可以具備更復(fù)雜的檢測(cè)能力，例如基于規(guī)范的入侵檢測(cè)方法[36]。但缺少對(duì)設(shè)備本身狀態(tài)的監(jiān)控能力。

對(duì)電網(wǎng)的AMI網(wǎng)絡(luò)來(lái)講，IDS從設(shè)計(jì)上需考慮兩點(diǎn)原則。一是檢測(cè)安全事件的高準(zhǔn)確率，電網(wǎng)一旦檢測(cè)到安全事件，往往需要人工排查，誤報(bào)率過(guò)高會(huì)增加人力成本。二是系統(tǒng)的低開(kāi)銷(xiāo)和健壯性，即不能對(duì)當(dāng)前業(yè)務(wù)系統(tǒng)正常操作產(chǎn)生影響。因此，混合型的IDS架構(gòu)更適合AMI網(wǎng)絡(luò)的檢測(cè)防護(hù)，即在網(wǎng)絡(luò)中部署中央IDS并結(jié)合嵌入式IDS或?qū)Ｓ肐DS。

5 結(jié)束語(yǔ)

本文就智能電網(wǎng)AMI的網(wǎng)絡(luò)結(jié)構(gòu)、當(dāng)前面臨的威脅、檢測(cè)和防御方法進(jìn)行了介紹，國(guó)內(nèi)關(guān)于智能電網(wǎng)網(wǎng)絡(luò)安全的研究相對(duì)國(guó)外起步較晚，隨著智能電網(wǎng)的安全建設(shè)上升到國(guó)家戰(zhàn)略層面，其面臨的威脅也會(huì)加大，因此針對(duì)AMI網(wǎng)絡(luò)安全的研究刻不容緩。本文通過(guò)介紹AMI當(dāng)前存在的威脅和安全需求，結(jié)合近年來(lái)的流量檢測(cè)方法，對(duì)其防護(hù)架構(gòu)進(jìn)行了探討。

基金項(xiàng)目：

本課題得到國(guó)家高技術(shù)研究發(fā)展計(jì)劃（863計(jì)劃）（項(xiàng)目編號(hào)：2015AA015603）；江蘇省未來(lái)網(wǎng)絡(luò)創(chuàng)新研究院未來(lái)網(wǎng)絡(luò)前瞻性研究項(xiàng)目（項(xiàng)目編號(hào)：BY2013095-5-03）；江蘇省“六大人才高峰”高層次人才項(xiàng)目（項(xiàng)目編號(hào)：2011-DZ024）；中央高校基本科研業(yè)務(wù)費(fèi)專(zhuān)項(xiàng)資金資助和江蘇省普通高校研究生科研創(chuàng)新計(jì)劃資助項(xiàng)目（項(xiàng)目編號(hào)：KYLX15_0118）資助。

參考文獻(xiàn)

[1] Task-Force U C P S O. Final Report on the August 14， 2003 Blackout in the United States and Canada： Causes and Recommendations[J]. 2004.

[2] Van der Vleuten E， Lagendijk V. Transnational infrastructure vulnerability： The historical shaping of the 2006 European “Blackout”[J]. Energy Policy， 2010， 38（4）： 2042-2052.

[3] LU J， JIANG Z L E I， Hongcai Z H， et al. Analysis of Hunan Power Grid Ice Disaster Accident in 2008 [J][J]. Automation of Electric Power Systems， 2008， 11（005）.

[4] Tang Y， Bu G， Yi J. Analysis and lessons of the blackout in Indian power grid on July 30 and 31， 2012[C]//Zhongguo Dianji Gongcheng Xuebao（Proceedings of the Chinese Society of Electrical Engineering）. Chinese Society for Electrical Engineering， 2012， 32（25）： 167-174.

[5] 張文亮，劉壯志，王明俊， 等.智能電網(wǎng)的研究進(jìn)展及發(fā)展趨勢(shì)[J]. 電網(wǎng)技術(shù)， 2009， 33（13）： 1-11.

[6] McDaniel P， McLaughlin S. Security and privacy challenges in the smart grid[J]. IEEE Security & Privacy， 2009， 7（3）.

[7] 唐志偉，孫菡婧，陳奇志.高級(jí)量測(cè)體系和需求響應(yīng)下的互動(dòng)配網(wǎng)[J].電力系統(tǒng)及其自動(dòng)化學(xué)報(bào)， 2011， 23（5）：31-34.

[8] LaPlace C， Uluski R W. Realizing the smart grid of the future through AMI technology[J]. by Elster， 2009， 1.

[9] McLaughlin S， Podkuiko D， McDaniel P. Energy theft in the advanced metering infrastructure[C]//International Workshop on Critical Information Infrastructures Security. Springer， Berlin， Heidelberg， 2009： 176-187.

[10] 湯奕，陳倩，李夢(mèng)雅，等.電力信息物理融合系統(tǒng)環(huán)境中的網(wǎng)絡(luò)攻擊研究綜述[J].電力系統(tǒng)自動(dòng)化， 2016， 40（17）： 59G69.

[11] FBI： Smart Meter Hacks Likely to Spread. Available at http：//krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.

[12] Mo Y， Kim T H J， Brancik K， et al. Cyber–physical security of a smart grid infrastructure[J]. Proceedings of the IEEE， 2012， 100（1）： 195-209.

[13] 欒文鵬.高級(jí)量測(cè)體系[J].南方電網(wǎng)技術(shù)， 2009， 3（2）： 6-10.

[14] Jiang R， Lu R， Wang Y， et al. Energy-theft detection issues for advanced metering infrastructure in smart grid[J]. Tsinghua Science and Technology， 2014， 19（2）： 105-120.

[15] Grochocki D， Huh J H， Berthier R， et al. AMI threats， intrusion detection requirements and deployment recommendations[C]//Smart Grid Communications （SmartGridComm）， 2012 IEEE Third International Conference on. IEEE， 2012： 395-400.

[16] Cleveland F M. Cyber security issues for Advanced Metering Infrasttructure （AMI）[C]// Power and Energy Society General Meeting - Conversion and Delivery of Electrical Energy in the， Century. IEEE， 2008：1-5.

[17] Bou-Harb E， Fachkha C， Pourzandi M， et al. Communication security for smart grid distribution networks[J]. IEEE Communications Magazine， 2013， 51（1）：42-49.

[18] Berthier R， Sanders W H， Khurana H. Intrusion Detection for Advanced Metering Infrastructures： Requirements and Architectural Directions[C]// First IEEE International Conference on Smart Grid Communications. IEEE， 2010：350-355.

[19] FBI： Smart Meter Hacks Likely to Spread. Available at http：// krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.

[20] IOActive's Mike Davis to Unveil Smart Grid Research at Black Hat USA， IOActive Press Release， Seattle， WA， USA， Jul. 2009.

[21] Park Y， Nicol D M， Zhu H， et al. Prevention of malware propagation in AMI[C]// IEEE International Conference on Smart Grid Communications. IEEE， 2013：474-479.

[22] Choo E， Park Y， Siyamwala H. Identifying malicious metering data in advanced metering infrastructure[C]//Service Oriented System Engineering （SOSE）， 2014 IEEE 8th International Symposium on. IEEE， 2014： 490-495.

[23] Babu V， Nicol D M. Detection of x86 malware in AMI data payloads[C]//Smart Grid Communications （SmartGridComm）， 2015 IEEE International Conference on. IEEE， 2015： 617-622.

[24] Asri S， Pranggono B. Impact of Distributed Denial-of-Service Attack on Advanced Metering Infrastructure[J]. Wireless Personal Communications， 2015， 83（3）：1-13.

[25] Yi P， Zhu T， Zhang Q， et al. A denial of service attack in advanced metering infrastructure network[C]// IEEE International Conference on Communications. IEEE， 2015：1029-1034.

[26] Guo Y， Ten C W， Hu S， et al. Modeling distributed denial of service attack in advanced metering infrastructure[C]// Innovative Smart Grid Technologies Conference. IEEE， 2015：1-5.

[27] Wang K， Du M， Maharjan S， et al. Strategic Honeypot Game Model for Distributed Denial of Service Attacks in the Smart Grid[J]. IEEE Transactions on Smart Grid， 2017， PP（99）：1-1.

[28] Lin J， Yu W， Yang X， et al. On False Data Injection Attacks against Distributed Energy Routing in Smart Grid[C]// Ieee/acm Third International Conference on Cyber-Physical Systems. IEEE， 2012：183-192.

[29] Wang Y， Tanbo T， ?byholm T， et al. Support vector machine based data classification for detection of electricity theft[C]// Power Systems Conference and Exposition. IEEE， 2011：1-8.

[30] Jokar P， Arianpoo N， Leung V C M. Electricity Theft Detection in AMI Using Customers Consumption Patterns[J]. IEEE Transactions on Smart Grid， 2015， 7（1）：216-226.

[31] 莊池杰，張斌，胡軍，等.基于無(wú)監(jiān)督學(xué)習(xí)的電力用戶異常用電模式檢測(cè)[J].中國(guó)電機(jī)工程學(xué)報(bào)， 2016， 36（2）：379-387.

[32] 田野， 張程， 毛昕儒，等.運(yùn)用PCA改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的用電異常行為檢測(cè)[J].重慶理工大學(xué)學(xué)報(bào)， 2017， 31（8）.

[33] Grochocki D， Huh J H， Berthier R， et al. AMI threats， intrusion detection requirements and deployment recommendations[C]// IEEE Third International Conference on Smart Grid Communications. IEEE， 2012：395-400.

[34] Cárdenas A A， Berthier R， Bobba R B， et al. A Framework for Evaluating Intrusion Detection Architectures in Advanced Metering Infrastructures[J]. IEEE Transactions on Smart Grid， 2014， 5（2）：906-915.

[35] Tabrizi F M， Pattabiraman K. Flexible Intrusion Detection Systems for Memory-Constrained Embedded Systems[C]// European Dependable Computing Conference. IEEE Computer Society， 2015：1-12.

[36] Berthier R， Sanders W H. Specification-Based Intrusion Detection for Advanced Metering Infrastructures[C]// IEEE， Pacific Rim International Symposium on Dependable Computing. IEEE， 2012：184-193.