基于集員濾波的自動(dòng)發(fā)電控制系統(tǒng)虛假數(shù)據(jù)注入攻擊檢測(cè)

吳英俊，汝英濤，劉錦濤，施展宇，顧 松，倪 明

（1. 河海大學(xué)能源與電氣學(xué)院，江蘇省南京市 211100；2. 南瑞集團(tuán)有限公司（國(guó)網(wǎng)電力科學(xué)研究院有限公司），江蘇省南京市 211106）

0 引言

隨著信息技術(shù)的融入，網(wǎng)絡(luò)攻擊逐漸成長(zhǎng)為威脅電力系統(tǒng)安全運(yùn)行的主要因素之一［1］。自動(dòng)發(fā)電控制［2］（automatic generation control，AGC）系統(tǒng)基于遠(yuǎn)程終端和信息技術(shù)獲取互聯(lián)電網(wǎng)頻率及功率信息，優(yōu)化決策出AGC 機(jī)組的調(diào)整量，實(shí)現(xiàn)對(duì)電力系統(tǒng)頻率實(shí)時(shí)監(jiān)測(cè)和閉環(huán)調(diào)整。

由于AGC 系統(tǒng)的控制決策過(guò)程依托于通信與信息技術(shù)，其必然存在受到網(wǎng)絡(luò)攻擊的潛在威脅［3］。攻擊者通過(guò)影響決策系統(tǒng)與遠(yuǎn)程終端之間的通信，破壞AGC 協(xié)調(diào)電力系統(tǒng)運(yùn)行的能力，如開(kāi)展拒絕服務(wù)攻擊［4］、時(shí)間延遲攻擊［5］、虛假數(shù)據(jù)注入（false data injection，F(xiàn)DI）攻擊［6］等。其中，F(xiàn)DI 攻擊是AGC 系統(tǒng)可能面臨的主要威脅之一。FDI 攻擊可直接攻擊AGC 決策系統(tǒng)，篡改正常區(qū)域控制偏差（area control error，ACE）值或注入惡意ACE 值，也可通過(guò)篡改通信網(wǎng)絡(luò)或遠(yuǎn)程終端中的數(shù)據(jù)，使其對(duì)頻率平衡控制失敗［7］。同時(shí)，F(xiàn)DI 攻擊也可以利用小注入量攻擊的多步累積對(duì)系統(tǒng)造成嚴(yán)重影響。因此，必須針對(duì)FDI 攻擊進(jìn)行有效檢測(cè)，以保證AGC系統(tǒng)的安全性和可靠性。

目前，研究人員提出了不同的檢測(cè)方法以保護(hù)AGC 系統(tǒng)。針對(duì)攻擊AGC 決策系統(tǒng)的主要檢測(cè)方法是基于ACE 特征分析的檢測(cè)［8-11］。該方法通過(guò)對(duì)ACE 的監(jiān)測(cè)統(tǒng)計(jì)或預(yù)測(cè)，實(shí)現(xiàn)對(duì)異常ACE 的檢測(cè)。目前已有基于ACE 動(dòng)態(tài)特性［9］、基于負(fù)荷預(yù)測(cè)［10-11］或構(gòu)建多層分類器來(lái)快速識(shí)別受損的ACE［8］。但是，直接針對(duì)系統(tǒng)內(nèi)部ACE 的攻擊往往需要較多資源，所以攻擊者更傾向于攻擊通信數(shù)據(jù)或遠(yuǎn)程終端來(lái)達(dá)到破壞AGC 系統(tǒng)的目的［12-13］。針對(duì)此類攻擊，研究人員提出了基于AGC 系統(tǒng)狀態(tài)變量檢測(cè)方法［14-16］。該方法基于AGC 系統(tǒng)狀態(tài)估計(jì)器，通過(guò)比較系統(tǒng)估計(jì)值和觀察值來(lái)檢測(cè)攻擊。文獻(xiàn)［14］設(shè)計(jì)了一種隨機(jī)未知輸入估計(jì)器對(duì)狀態(tài)變量進(jìn)行估計(jì)，通過(guò)殘差函數(shù)的變化檢測(cè)FDI 攻擊。文獻(xiàn)［15］提出一種基于估計(jì)器殘差越限檢測(cè)的攻擊識(shí)別方法。文獻(xiàn)［16］提出了一種對(duì)未知量進(jìn)行模型估計(jì)的FDI 攻擊檢測(cè)算法。上述基于狀態(tài)估計(jì)的檢測(cè)方法能夠較好反映電力系統(tǒng)特性。

此外，通過(guò)在AGC 系統(tǒng)中信號(hào)疊加不可磨滅的水印信號(hào)［17-18］，以及通過(guò)基于系統(tǒng)信號(hào)的方差一致性進(jìn)行檢測(cè)來(lái)判斷系統(tǒng)是否遭受網(wǎng)絡(luò)攻擊，對(duì)虛假數(shù)據(jù)注入攻擊也有較好的檢測(cè)能力。但是，這些方法主要適用于具有統(tǒng)計(jì)特性的確定性系統(tǒng)模型，模型中不確定性因素會(huì)影響攻擊檢測(cè)的判斷。通過(guò)實(shí)際工程分析發(fā)現(xiàn)，AGC 系統(tǒng)的噪聲分布很難用數(shù)學(xué)模型描述。目前，基于狀態(tài)估計(jì)的攻擊檢測(cè)方法都要求噪聲的分布特性已知或至少部分已知［17］。對(duì)于未知噪聲分布條件下的攻擊檢測(cè)問(wèn)題，傳統(tǒng)估計(jì)方法無(wú)法驗(yàn)證有關(guān)模型估計(jì)的假設(shè)特性是否與實(shí)際情況相符，難以滿足實(shí)際的應(yīng)用需要。

針對(duì)噪聲不確定性的問(wèn)題，本文提出了一種基于集員濾波的AGC 系統(tǒng)FDI 攻擊檢測(cè)方法。基于AGC 系統(tǒng)的實(shí)時(shí)數(shù)據(jù)，利用集員技術(shù)對(duì)系統(tǒng)進(jìn)行狀態(tài)估計(jì)，以檢測(cè)系統(tǒng)某一時(shí)間斷面內(nèi)可能存在的FDI 攻擊。集員濾波方法將系統(tǒng)噪聲假設(shè)為有界未知量，在此基礎(chǔ)上得到AGC 系統(tǒng)狀態(tài)的可行集，即與系統(tǒng)模型、狀態(tài)變量相一致的所有可能運(yùn)行狀態(tài)的橢球集［19］，可以準(zhǔn)確判斷由攻擊引起的異常狀態(tài)變化，從而實(shí)現(xiàn)攻擊檢測(cè)。

1 AGC 系統(tǒng)網(wǎng)絡(luò)安全分析

1.1 FDI 攻擊AGC 系統(tǒng)分析

先進(jìn)信息技術(shù)的應(yīng)用使得AGC 系統(tǒng)變成一種高度自動(dòng)化的系統(tǒng)，這減少了人工操作失誤的可能性，但是也給FDI 攻擊提供了更多的機(jī)會(huì)。FDI 攻擊者可以對(duì)AGC 系統(tǒng)通信網(wǎng)絡(luò)或遠(yuǎn)程終端的數(shù)據(jù)傳輸進(jìn)行篡改，破壞控制指令，從而影響測(cè)量數(shù)據(jù)的傳輸和AGC 系統(tǒng)的安全運(yùn)行，對(duì)互聯(lián)電網(wǎng)的安全造成威脅。AGC 系統(tǒng)控制流程如附錄A 圖A1 所示。若在k時(shí)段發(fā)生攻擊A1，即攻擊者通過(guò)攻擊采集終端或數(shù)據(jù)上傳信道，對(duì)包含聯(lián)絡(luò)線功率偏差ΔPtie以及區(qū)域i的頻率偏差Δfi的測(cè)量數(shù)據(jù)yk進(jìn)行攻擊，測(cè)量數(shù)據(jù)會(huì)從yk變?yōu)楸还粽吖舻臄?shù)據(jù)yˉk，決策系統(tǒng)基于錯(cuò)誤的聯(lián)絡(luò)線交換功率ΔPtie和區(qū)域頻率波動(dòng)Δfi做出錯(cuò)誤估計(jì)；若在k時(shí)段發(fā)生攻擊A2，即攻擊者攻擊控制終端或指令下達(dá)信道來(lái)攻擊控制指令uk，控制指令從uk變?yōu)楸还糁噶顄ˉk，控制終端執(zhí)行錯(cuò)誤指令，擔(dān)任二次調(diào)頻的發(fā)電機(jī)機(jī)組錯(cuò)誤動(dòng)作，造成頻率失穩(wěn)。

1.2 FDI 攻擊檢測(cè)思路

根據(jù)1.1 節(jié)可知，F(xiàn)DI 攻擊會(huì)對(duì)AGC 系統(tǒng)造成嚴(yán)重威脅，所以有必要提出一種針對(duì)互聯(lián)電網(wǎng)AGC系統(tǒng)的FDI 攻擊檢測(cè)方法。因此，本文提出了一種基于集員濾波的FDI 攻擊檢測(cè)方法。該方法的主要檢測(cè)機(jī)理是基于AGC 系統(tǒng)實(shí)時(shí)傳輸?shù)目刂浦噶顄k和測(cè)量數(shù)據(jù)yk并利用集員濾波技術(shù)，對(duì)AGC 系統(tǒng)狀態(tài)進(jìn)行預(yù)測(cè)更新和測(cè)量更新，得到與系統(tǒng)模型、干擾噪聲和測(cè)量輸出相包容的橢球集，即預(yù)測(cè)更新橢球集和測(cè)量更新橢球集由所有系統(tǒng)正常運(yùn)行下可能所處的點(diǎn)組成。當(dāng)系統(tǒng)控制指令或者測(cè)量數(shù)據(jù)遭受到FDI 攻擊時(shí)，基于更新被攻擊數(shù)據(jù)得到的橢球集中不包含系統(tǒng)正常的運(yùn)行狀態(tài)，即預(yù)測(cè)更新橢球集和測(cè)量更新橢球集之間不存在交集。因此，通過(guò)判斷預(yù)測(cè)更新橢球集與測(cè)量更新橢球集之間是否存在交集，可以檢測(cè)控制指令及測(cè)量數(shù)據(jù)中可能存在的FDI 攻擊。集員濾波針對(duì)FDI 攻擊的檢測(cè)分為預(yù)測(cè)更新和測(cè)量更新。

1）預(yù)測(cè)更新

假設(shè)AGC 系統(tǒng)在k時(shí)段處于正常運(yùn)行狀態(tài)，存在描述AGC 系統(tǒng)運(yùn)行狀態(tài)的測(cè)量更新橢球集Gk|k。利用k時(shí)段的測(cè)量更新橢球集Gk|k，并結(jié)合AGC 系統(tǒng)對(duì)互聯(lián)系統(tǒng)下發(fā)的控制指令uk，可得到預(yù)測(cè)更新橢球集Gk+1|k。若預(yù)測(cè)更新橢球集Gk+1|k與k時(shí)段的測(cè)量更新橢球集Gk|k不存在交集，則說(shuō)明在控制指令uk下，預(yù)測(cè)更新橢球不包含AGC 系統(tǒng)的正常運(yùn)行狀態(tài)，即AGC 下發(fā)的互聯(lián)系統(tǒng)控制指令遭受惡意FDI 攻擊。

2）測(cè)量更新

利用預(yù)測(cè)更新橢球集Gk+1|k，并結(jié)合k+1 時(shí)段區(qū)域互聯(lián)電網(wǎng)的測(cè)量數(shù)據(jù)yk+1，可得到測(cè)量更新橢球集Gk+1|k+1。若測(cè)量數(shù)據(jù)yk+1的上傳遭受惡意攻擊篡改，測(cè)量更新橢球集Gk+1|k+1與預(yù)測(cè)更新橢球集Gk+1|k無(wú)交集，說(shuō)明基于測(cè)量數(shù)據(jù)yk+1的測(cè)量更新橢球集不包含系統(tǒng)的正常運(yùn)行狀態(tài)，即AGC 收到的測(cè)量信息遭受惡意網(wǎng)絡(luò)攻擊。

定義1:n維橢球集G可以表示為:

式中:x為橢球集中的點(diǎn)；x′∈Rn為橢球集G的幾何中心；P為確定橢球集形狀和方向的半正定矩陣。

橢球集G的大小通常由體積或者半正定矩陣P的跡tr(P)表示。

定義2:一個(gè)n維的區(qū)間矢量可以表示為:

式中:amin和bmax分別為區(qū)間矢量上邊界和下邊界；ai，min和bi，max分別為amin和bmax的元素；si為s的元素。

將區(qū)間矢量重新定義為:

式中:σ為區(qū)間矢量的中心；r為區(qū)間邊界的大??；z為形狀參數(shù)。

2 雙區(qū)域互聯(lián)電網(wǎng)自動(dòng)發(fā)電系統(tǒng)模型

AGC 是保證電能質(zhì)量，提高經(jīng)濟(jì)效益的重要手段之一。AGC 系統(tǒng)接收來(lái)自測(cè)量單元的電力系統(tǒng)頻率偏差Δf與聯(lián)絡(luò)線的功率偏差ΔPtie，然后計(jì)算ACE 值，隨后AGC 通過(guò)分析ACE 并結(jié)合經(jīng)濟(jì)調(diào)度確定各發(fā)電廠的調(diào)節(jié)功率，并借助通信網(wǎng)絡(luò)下發(fā)至各區(qū)域發(fā)電廠。從上述分析可知，在AGC 過(guò)程中，以Δfi和ΔPtie為控制輸入量，向發(fā)電機(jī)組發(fā)出調(diào)整指令。此時(shí)，系統(tǒng)頻率和聯(lián)絡(luò)線功率再次發(fā)生變化，形成一個(gè)負(fù)反饋再次作為控制輸入，直到系統(tǒng)達(dá)到新的平衡。對(duì)于雙區(qū)域互聯(lián)電網(wǎng)AGC 系統(tǒng)，其所涉及的狀態(tài)空間方程為:

式中:xk為電力系統(tǒng)在k時(shí)段的狀態(tài)變量；fk(·)、gk(·)和hk(·)為線性映射函數(shù)；wk和vk分別為k時(shí)段的過(guò)程噪聲和測(cè)量噪聲；Bk和Dk為具有適當(dāng)維度的時(shí)變矩陣。

式（4）和式（5）中的wk和vk未知但有界，可以假定滿足的邊界條件為:

式中:wk，i和vk，i分別為過(guò)程噪聲分量和測(cè)量噪聲分量；εk，i和ηk，i為參數(shù)。

AGC 系統(tǒng)的初始狀態(tài)x0可以假定屬于估計(jì)橢球集，表達(dá)式為:

式中:x′0|0為x0的給定橢球集中心；P0|0=PT0|0＞0 為包含橢球集形狀和方向的已知正定矩陣。

假設(shè)在k-1 時(shí)段之前，指令下發(fā)以及測(cè)量上傳過(guò)程都未遭受到FDI 攻擊，即k時(shí)段測(cè)量更新橢球集Gk|k包含AGC 系統(tǒng)的正常運(yùn)行狀態(tài)。在k時(shí)段，AGC 系統(tǒng)基于測(cè)量信息yk下發(fā)對(duì)互聯(lián)系統(tǒng)的控制指令uk。此時(shí)，集員濾波基于控制終端接收到的控制信號(hào)uk，對(duì)測(cè)量更新橢球集Gk|k進(jìn)行預(yù)測(cè)更新，得到預(yù)測(cè)更新橢球集Gk+1|k。若測(cè)量更新橢球集Gk|k與預(yù)測(cè)更新橢球集Gk+1|k之間存在交集，即預(yù)測(cè)更新橢球集Gk+1|k仍包含系統(tǒng)正常運(yùn)行狀態(tài)，代表控制信號(hào)uk的下發(fā)未遭受FDI 攻擊。同理，AGC 系統(tǒng)在k+1 時(shí)段收到測(cè)量信息yk+1的上傳，基于AGC系統(tǒng)的預(yù)測(cè)更新橢球集Gk+1|k，結(jié)合yk+1對(duì)Gk+1|k進(jìn)行測(cè)量更新，得到測(cè)量更新橢球集Gk+1|k+1。若測(cè)量更新橢球集Gk+1|k+1與預(yù)測(cè)更新橢球集Gk+1|k之間存在交集，說(shuō)明測(cè)量更新橢球集Gk+1|k+1包含系統(tǒng)的正常運(yùn)行狀態(tài)，即測(cè)量數(shù)據(jù)的上傳未遭受FDI攻擊。

3 基于集員濾波的FDI 攻擊檢測(cè)模型

3.1 FDI 攻擊模型

攻擊者采用FDI 攻擊，對(duì)AGC 系統(tǒng)的測(cè)量數(shù)據(jù)或者控制指令進(jìn)行虛假的數(shù)據(jù)注入，使AGC 系統(tǒng)不能正確傳輸數(shù)據(jù)以進(jìn)行控制。

1）攻擊者對(duì)測(cè)量數(shù)據(jù)進(jìn)行FDI 攻擊時(shí)，攻擊者通過(guò)對(duì)測(cè)量數(shù)據(jù)注入偏差數(shù)據(jù)，使AGC 系統(tǒng)收到錯(cuò)誤的測(cè)量數(shù)據(jù)，被攻擊影響的測(cè)量數(shù)據(jù)為:

式中:ay，k為攻擊者在k時(shí)段對(duì)測(cè)量數(shù)據(jù)注入的數(shù)據(jù)偏差。

2）對(duì)控制指令進(jìn)行攻擊時(shí)，攻擊者通過(guò)對(duì)控制命令注入偏差，使互聯(lián)電網(wǎng)收到錯(cuò)誤的控制命令，被攻擊影響的控制指令為:

式中:au，k為攻擊者在k時(shí)段對(duì)控制指令注入的數(shù)據(jù)偏差。

3.2 AGC 系統(tǒng)FDI 攻擊檢測(cè)模型

本節(jié)將繼續(xù)建立AGC 系統(tǒng)中基于集員濾波的FDI 攻擊檢測(cè)模型。

3.2.1 預(yù)測(cè)更新模型

已知k時(shí)段測(cè)量更新橢球集Gk|k中心為x′k|k，Pk|k為包含測(cè)量更新橢球集Gk|k方向和形狀的正定矩陣，則k時(shí)段的測(cè)量更新橢球集Gk|k可以表示為:

基于k時(shí)段的AGC 控制指令uk，對(duì)k時(shí)段的測(cè)量橢球集Gk|k進(jìn)行更新。經(jīng)過(guò)更新后的k+1 時(shí)段預(yù)測(cè)更新橢球集的中心x′k+1|k為:

基于控制指令更新得到預(yù)測(cè)更新橢球集Gk+1|k可以表示為:

式中:Pk+1|k=Ek+1|k，其中Ek+1|k為預(yù)測(cè)更新橢球集形狀矩陣。

對(duì)于任何滿足式（6）和式（7）的AGC 系統(tǒng)噪聲值，在沒(méi)有FDI 攻擊的情況下，基于控制指令的預(yù)測(cè)更新橢球集Gk+1|k包含AGC 系統(tǒng)真實(shí)的運(yùn)行狀態(tài)，即與同樣包含系統(tǒng)真實(shí)狀態(tài)的測(cè)量更新橢球集Gk|k存在交集。

3.2.2 測(cè)量更新模型

基于k+1 時(shí)段AGC 系統(tǒng)收到的測(cè)量數(shù)據(jù)yk+1，測(cè)量更新橢球集Gk+1|k+1的中心可以表示為［20］:

式中:φk+1(·)為濾波函數(shù)；x′k+1|k為預(yù)測(cè)更新橢球集中心；y′k+1|k為基于狀態(tài)變量x′k+1|k的輸出量；x′k+1|k+1為測(cè)量更新橢球集中心。

基于測(cè)量數(shù)據(jù)yk+1更新的測(cè)量更新橢球集Gk+1|k+1可以表示為:

輸出約束為:

基于未遭受FDI 攻擊的測(cè)量數(shù)據(jù)對(duì)預(yù)測(cè)橢球集進(jìn)行更新，所得到的測(cè)量更新橢球集Gk+1|k也包含AGC 系統(tǒng)真實(shí)的運(yùn)行狀態(tài)，即與同樣包含系統(tǒng)真實(shí)狀態(tài)的預(yù)測(cè)更新橢球集Gk+1|k存在交集。

4 最優(yōu)集員濾波橢球集獲取方法

在第3 章中介紹了如何用集員濾波所得到的橢球集檢測(cè)AGC 系統(tǒng)數(shù)據(jù)傳輸中存在的FDI 攻擊，檢測(cè)流程如附錄A 圖A2 所示。本章將繼續(xù)詳細(xì)介紹FDI 攻擊檢測(cè)流程中，最優(yōu)預(yù)測(cè)更新橢球集以及最優(yōu)測(cè)量更新橢球集的獲取方法。

4.1 最優(yōu)預(yù)測(cè)更新橢球集獲取

由式（14）可知，k+1 時(shí)段的預(yù)測(cè)更新橢球集是由3 個(gè)集合進(jìn)行直和計(jì)算得到的。經(jīng)過(guò)函數(shù)fk(·)得到k時(shí)段測(cè)量更新橢球集Gk|k的映射集Gx，k+1|k，經(jīng)過(guò)函數(shù)gk(·)得到控制指令uk的外包定界區(qū)間矢量集Ωk(σu，ru) 以及過(guò)程噪聲的區(qū)間矢量Ωk(0，rw)［21］。其中σu和ru分別為控制指令區(qū)間矢量集的中心和邊界，rw為過(guò)程噪聲區(qū)間矢量集的邊界。

對(duì)于過(guò)程噪聲的區(qū)間矢量集Ωk(0，rw)和經(jīng)過(guò)函數(shù)gk(·)得到控制指令uk的區(qū)間矢量Ωk(σu，ru)，利用區(qū)間矢量直和計(jì)算可得:

教師通過(guò)平臺(tái)的統(tǒng)計(jì)資料，查看學(xué)生在設(shè)為任務(wù)點(diǎn)的學(xué)習(xí)相關(guān)數(shù)據(jù)，對(duì)學(xué)生學(xué)習(xí)過(guò)程記錄與作業(yè)練習(xí)進(jìn)行分析，了解學(xué)生課前學(xué)習(xí)的整體情況，并對(duì)疑難問(wèn)題進(jìn)行歸類、整理，針對(duì)典型問(wèn)題設(shè)計(jì)課堂活動(dòng)方案，并布置拓展項(xiàng)目，用于課堂準(zhǔn)備課中研討。

式中:?k為過(guò)程區(qū)間矢量集中的元素。

因此，預(yù)測(cè)更新橢球集的獲取變?yōu)榍蠼鈾E球集Gx，k+1|k和區(qū)間矢量Ωk(σu，ru+rw)的直和計(jì)算。但是橢球集Gx，k+1|k與Ωk(σu，ru+rw)之間的直和計(jì)算較難得出解集。為了方便得到計(jì)算結(jié)果，用一個(gè)外包橢球集對(duì)區(qū)間矢量進(jìn)行逼近，對(duì)于中心為σu、邊界為ru+rw的區(qū)間矢量，其外包橢球集的中心cu和形狀矩陣Pu可以選取為:

所以區(qū)間矢量Ωk(σu，ru+rw)近似為中心為σu、形狀矩陣為Pu的外包橢球集Gu，k+1|k。從而將預(yù)測(cè)更新橢球集的計(jì)算轉(zhuǎn)化為2 個(gè)橢球集的直和計(jì)算，但是所得預(yù)測(cè)更新集仍不一定是橢球集，所以構(gòu)建外包橢球集對(duì)2 個(gè)橢球集直和計(jì)算，可以近似［22］為:

式中:cx為橢球集Gx，k+1|k中心；Px為描述橢球集Gx，k+1|k形狀的正定矩陣；αk為濾波參數(shù)且αk∈[0，1)。

通過(guò)優(yōu)化αk從而得到最優(yōu)的正定矩陣Pk+1|k，使所得預(yù)測(cè)更新橢球集最小。采用最小跡優(yōu)化準(zhǔn)則進(jìn)行最優(yōu)濾波參數(shù)αk計(jì)算，表達(dá)式為:

4.2 最優(yōu)測(cè)量更新橢球集獲取

最優(yōu)測(cè)量更新橢球集是基于預(yù)測(cè)更新橢球集Gk+1|k，在測(cè)量數(shù)據(jù)yk+1下對(duì)k+1 時(shí)段AGC 系統(tǒng)狀態(tài)可行集的校正，得到測(cè)量更新橢球集Gk+1|k+1。根據(jù)測(cè)量數(shù)據(jù)yk+1的測(cè)量更新橢球集，其中，xk+1-x′k+1|k+1可以表示為:

因?yàn)樵贏GC 系統(tǒng)中，函數(shù)h(·)為常值函數(shù)，所以用線性映射矩陣Hk+1代替函數(shù)h(·)，濾波函數(shù)φ(·)用矩陣Φk+1替代，可將式（22）改寫(xiě)為:

式中:I為單位矩陣。

經(jīng)過(guò)轉(zhuǎn)化推導(dǎo)，最優(yōu)橢球集邊界的確定如式（24）所示，推導(dǎo)過(guò)程見(jiàn)附錄B。

式中:Pk+1|k+1為描述量測(cè)更新橢球集的形狀矩陣；Γ1和Ψ2，k為滿足最優(yōu)測(cè)量橢球邊界的矩陣。

通過(guò)對(duì)最優(yōu)橢球集的推導(dǎo)，可以得到以下結(jié)論。若AGC 系統(tǒng)運(yùn)行狀態(tài)xk+1屬于k+1 時(shí)段的預(yù)測(cè)更新橢球集Gk+1|k，那么當(dāng)存在Nk+1，Lk+1，ξ3，k≥0，ξ4，k≥0，Pk+1|k+1＞0 時(shí)，若式（24）成立，狀態(tài)xk+1也屬于k+1 時(shí)段的測(cè)量更新橢球集Gk+1|k+1，即2 個(gè)橢球集之間存在著交集［23-25］。其中Nk+1為滿足最優(yōu)量測(cè)橢球集邊界的矩陣，Lk+1為濾波矩陣，ξ3，k和ξ4，k為滿足最優(yōu)量測(cè)橢球集邊界的非負(fù)標(biāo)量。為了獲取最優(yōu)橢球集，本文將其轉(zhuǎn)化為半正定規(guī)劃問(wèn)題，可以利用內(nèi)點(diǎn)法求解［26］，表達(dá)式為:

5 算例分析

5.1 算例背景

為驗(yàn)證所提方法的有效性與正確性，本文采用IEEE 雙區(qū)域互聯(lián)電網(wǎng)負(fù)荷頻率控制模型作為研究對(duì)象，互聯(lián)電網(wǎng)頻率控制模型如附錄A 圖A3 所示。AGC 系統(tǒng)的數(shù)學(xué)模型如附錄A 圖A4 所示。2 個(gè)區(qū)域中各有一臺(tái)等效火力發(fā)電機(jī)組模擬發(fā)電環(huán)節(jié)，AGC 系統(tǒng)的具體參數(shù)見(jiàn)文獻(xiàn)［27］。

仿真過(guò)程中，本文將AGC 系統(tǒng)數(shù)據(jù)采樣周期設(shè)置為T(mén)=1 s。仿真場(chǎng)景為:當(dāng)互聯(lián)系統(tǒng)步入穩(wěn)態(tài)運(yùn)行后，對(duì)系統(tǒng)信號(hào)采取FDI 攻擊。在第19 次采樣前，互聯(lián)系統(tǒng)已經(jīng)處于正常運(yùn)行狀態(tài)。在第20 次采樣時(shí)，針對(duì)區(qū)域1 的AGC 系統(tǒng)的控制指令u1，k發(fā)起FDI 攻擊，使AGC 下達(dá)的發(fā)電廠出力調(diào)整指令與決策系統(tǒng)優(yōu)化結(jié)果不同。在第24 次采樣時(shí)，停止上述針對(duì)控制指令的FDI 攻擊。在第30 次采樣時(shí)，針對(duì)區(qū)域1 中AGC 系統(tǒng)的測(cè)量數(shù)據(jù)y1，k發(fā)起FDI 攻擊，使AGC 決策系統(tǒng)收到被篡改的數(shù)據(jù)。當(dāng)k=34 時(shí)，停止上述針對(duì)測(cè)量數(shù)據(jù)的FDI 攻擊。

5.2 AGC 系統(tǒng)未遭受FDI 攻擊的狀態(tài)橢球集

由AGC 系統(tǒng)的狀態(tài)方程可知，當(dāng)AGC 的控制指令遭受到攻擊者的惡意攻擊時(shí)，主要影響體現(xiàn)在汽輪機(jī)輸出增量ΔPr，i以及調(diào)速器閥門(mén)位置增量ΔXe，i。所以將測(cè)量更新橢球集Gk|k和預(yù)測(cè)更新橢球集Gk+1|k投影到ΔPr，1-ΔXe，1與ΔPr，2-ΔXe，2平面，即可通過(guò)測(cè)量更新橢球集與預(yù)測(cè)更新橢球集之間是否有交集，檢測(cè)控制指令uk中是否存在FDI 攻擊。同理，為了檢測(cè)測(cè)量數(shù)據(jù)yk+1是否遭受FDI 攻擊，將預(yù)測(cè)更新的橢球集Gk+1|k和測(cè)量更新的橢球集Gk+1|k+1投影到Δf1-ΔPtie與Δf2-ΔPtie平面，通過(guò)預(yù)測(cè)更新橢球集與測(cè)量更新橢球集之間是否存在交集，判斷測(cè)量數(shù)據(jù)yk+1是否存在FDI 攻擊。檢測(cè)結(jié)果如圖1所示。

在k=18 時(shí)，對(duì)AGC 系統(tǒng)進(jìn)行攻擊檢測(cè)。如圖1（a）和（b）所示，在AGC 系統(tǒng)正常運(yùn)行情況下，橢球集G18|18和G19|18在ΔPr，1-ΔXe，1與ΔPr，2-ΔXe，2平面的投影存在交集，代表控制指令u18未遭受網(wǎng)絡(luò)攻擊，G18|18和G19|18都包含著AGC 系統(tǒng)真實(shí)的運(yùn)行狀態(tài)。同理，橢球集G19|18和G19|19在Δf1-ΔPtie與Δf2-ΔPtie平面上的投影也存在著交集，代表測(cè)量數(shù)據(jù)y19未遭受FDI 攻擊，G19|18和G19|19包含AGC 系統(tǒng)真實(shí)的運(yùn)行狀態(tài)。

圖1 正常狀態(tài)下的檢測(cè)結(jié)果Fig.1 Detection results under normal conditions

5.3 AGC 系統(tǒng)遭受FDI 攻擊檢測(cè)

5.3.1 控制指令遭受FDI 攻擊檢測(cè)

本節(jié)考慮攻擊者針對(duì)AGC 系統(tǒng)通信網(wǎng)絡(luò)或遠(yuǎn)程終端中的控制指令采用FDI 攻擊。仿真過(guò)程中，在k=20 時(shí)，對(duì)區(qū)域1 的AGC 系統(tǒng)控制指令u1，20進(jìn)行FDI 攻擊。檢測(cè)結(jié)果如圖2 所示。預(yù)測(cè)更新橢球集在ΔPr，1-ΔXe，1與ΔPr，2-ΔXe，2平面上的投影如圖2（a）和（b）所示，基于控制指令u1，20更新的橢球集G21|20與包含正常狀態(tài)的橢球集G20|20之間的交集為空，代表控制指令u1，20中存在FDI 攻擊。當(dāng)k=24時(shí)，攻擊消失，控制指令u1，24恢復(fù)正常，測(cè)量更新橢球集G24|24仍與k=20 時(shí)包含正常狀態(tài)的橢球集G20|20相同。基于控制指令u1，24，更新測(cè)量更新橢球集G24|24，得到預(yù)測(cè)更新橢球集G25|24。集合在ΔPr，1-ΔXe，1與ΔPr，2-ΔXe，2平面上的投影如圖2（c）和（d）所示，預(yù)測(cè)更新橢球集G25|24與測(cè)量更新橢球集G24|24存在交集，代表控制指令u1，24中無(wú)惡意攻擊存在。

圖2 控制指令遭受FDI 攻擊的檢測(cè)結(jié)果Fig.2 Detection results of FDI attacks on control commands

5.3.2 測(cè)量數(shù)據(jù)遭受FDI 攻擊檢測(cè)

本小節(jié)考慮攻擊者針對(duì)AGC 系統(tǒng)通信網(wǎng)絡(luò)或遠(yuǎn)程終端中測(cè)量數(shù)據(jù)的聯(lián)絡(luò)線功率偏差采用FDI 攻擊，假設(shè)系統(tǒng)量測(cè)信號(hào)出現(xiàn)頻率偏差測(cè)量值誤差在0.005 Hz 以內(nèi)。仿真過(guò)程中，在k=31 時(shí)，對(duì)區(qū)域1測(cè)量數(shù)據(jù)y1，31的上傳發(fā)起FDI 攻擊。測(cè)量更新橢球集在Δf1-ΔPtie與Δf2-ΔPtie平面上的投影如圖3 所示，基于y1，31更新的橢球集G31|31與包含正常狀態(tài)的橢球集G31|30之間的交集為空，代表在k=31 時(shí)的測(cè)量數(shù)據(jù)y1，31存在FDI 攻擊。當(dāng)k=34 時(shí)，測(cè)量數(shù)據(jù)y1，35恢復(fù)正常，預(yù)測(cè)更新橢球集G35|34與k=30 時(shí)包含正常狀態(tài)的橢球集G31|30相同?；趉=35 時(shí)的測(cè)量數(shù)據(jù)y1，35，對(duì)預(yù)測(cè)更新橢球集G35|34進(jìn)行測(cè)量更新，得到測(cè)量更新橢球集G35|35。G35|35在Δf1-ΔPtie與Δf2-ΔPtie平面上的投影如圖3 所示，G35|35與G35|34存在交集，代表測(cè)量數(shù)據(jù)y1，35中無(wú)FDI 攻擊存在。

圖3 測(cè)量數(shù)據(jù)遭受FDI 攻擊的檢測(cè)結(jié)果Fig.3 Detection results of FDI attacks on measurements

5.4 不同數(shù)值篡改程度的FDI 攻擊檢測(cè)能力

FDI 攻擊主要危害為破壞數(shù)據(jù)數(shù)值的準(zhǔn)確性，針對(duì)不同數(shù)值篡改程度的FDI 攻擊，基于集員濾波的攻擊檢測(cè)能力也會(huì)有所變化。本節(jié)研究不同數(shù)值篡改程度下所提方法檢測(cè)能力。仿真中，F(xiàn)DI 攻擊篡改數(shù)值程度設(shè)為信號(hào)傳輸中原測(cè)量的數(shù)據(jù)偏差值的0%到100%［28］。

首先，對(duì)AGC 系統(tǒng)區(qū)域1 發(fā)電機(jī)的調(diào)整量采取不同數(shù)值篡改程度下的FDI 攻擊。利用集員濾波對(duì)AGC 系統(tǒng)進(jìn)行攻擊檢測(cè)。其次，對(duì)測(cè)量數(shù)據(jù)中的頻率偏差以及聯(lián)絡(luò)線功率偏差也采取不同相對(duì)數(shù)值注入量變化的FDI 攻擊，使區(qū)域1 頻率測(cè)量數(shù)據(jù)篡改程度逐漸增加。利用集員濾波對(duì)AGC 系統(tǒng)進(jìn)行攻擊檢測(cè)。經(jīng)過(guò)1 000 次仿真后的檢測(cè)成功率如圖4所示。

圖4 不同攻擊注入程度下的檢測(cè)精確度Fig.4 Detection accuracy with different levels of attack injection

由圖4 可知，當(dāng)AGC 系統(tǒng)的控制指令u1，k變化超過(guò)原可調(diào)整量的60%時(shí)，F(xiàn)DI 攻擊的檢測(cè)成功率能夠達(dá)到85%；當(dāng)變化量超過(guò)原可調(diào)整量的80%時(shí)，檢測(cè)成功率便可以達(dá)到90%以上。但是，在區(qū)域1 的控制指令u1，k遭受FDI 攻擊的時(shí)候，預(yù)測(cè)更新橢球集與前一時(shí)段測(cè)量更新橢球集在ΔPr，2-ΔXe，2平面的投影始終存在交集，即當(dāng)u1，k遭受FDI 攻擊時(shí)，無(wú)法依靠區(qū)域2 的控制指令u2，k判斷u1，k是否遭受攻擊，這是因?yàn)閡2，k僅僅調(diào)整區(qū)域2 發(fā)電機(jī)出力，不會(huì)對(duì)區(qū)域1 發(fā)電機(jī)出力造成影響，所以依靠區(qū)域2 的控制指令u2，k無(wú)法判斷區(qū)域1 控制指令u1，k是否遭受FDI 攻擊。

針對(duì)測(cè)量數(shù)據(jù)y1，k，當(dāng)數(shù)值篡改程度達(dá)到正常測(cè)量的40%時(shí)，投影到Δf1-ΔPtie平面的攻擊檢測(cè)成功率達(dá)到了80%以上。當(dāng)測(cè)量數(shù)據(jù)的數(shù)值篡改程度達(dá)到70%時(shí)，投影到Δf1-ΔPtie平面的檢測(cè)成功率高達(dá)90%以上。同樣，橢球集投影到Δf2-ΔPtie平面也能檢測(cè)出區(qū)域1 測(cè)量數(shù)據(jù)y1，k遭受FDI 攻擊。這是因?yàn)闇y(cè)量更新橢球集基于兩區(qū)域的測(cè)量更新，區(qū)域1 的測(cè)量數(shù)據(jù)更新影響著整個(gè)互聯(lián)電網(wǎng)的狀態(tài)，所以投影到Δf2-ΔPtie平面也能檢測(cè)出區(qū)域1 測(cè)量數(shù)據(jù)是否遭受FDI 網(wǎng)絡(luò)攻擊。

由圖4 可知，本文方法針對(duì)小注入量的FDI 攻擊檢測(cè)能力較弱，這是因?yàn)楸疚脑O(shè)置的攻擊仿真場(chǎng)景只針對(duì)區(qū)域1 可調(diào)整控制量與測(cè)量偏差量，區(qū)域2信息一切正常，攻擊者所能注入的虛假信息絕對(duì)值較小，對(duì)系統(tǒng)整體影響較低，而集員濾波是基于2 個(gè)區(qū)域的信息對(duì)狀態(tài)橢球集進(jìn)行更新，所以利用集員估計(jì)檢測(cè)單區(qū)域攻擊的精度較低。

為驗(yàn)證本文所提集員濾波能夠有效檢測(cè)指令下發(fā)與測(cè)量上傳中存在的FDI 攻擊，采用本文檢測(cè)方法與基于狀態(tài)預(yù)測(cè)的檢測(cè)方法［28］、基于智能算法的檢測(cè)方法［29］以及傳統(tǒng)的檢測(cè)方法進(jìn)行比較。對(duì)區(qū)域1 測(cè)量信息和控制指令的傳輸，進(jìn)行注入量在0%～100%波動(dòng)的FDI 攻擊，分別使用4 種檢測(cè)方法對(duì)受攻擊數(shù)據(jù)進(jìn)行檢測(cè)，經(jīng)過(guò)300 次的仿真驗(yàn)證后，對(duì)比結(jié)果如圖5 所示。

圖5 不同檢測(cè)方法成功率對(duì)比Fig.5 Comparison of success rates of different detection methods

由圖5 可知，集員濾波方法與狀態(tài)預(yù)測(cè)方法總體辨識(shí)成功率占優(yōu)。在FDI 進(jìn)行小注入量攻擊時(shí)，集員濾波與狀態(tài)預(yù)測(cè)的方法對(duì)壞數(shù)據(jù)的檢測(cè)結(jié)果都不理想。當(dāng)FDI 注入量逐漸增加，集員濾波檢測(cè)成功率明顯上升。當(dāng)FDI 攻擊對(duì)數(shù)據(jù)的注入量達(dá)到一定程度時(shí)，絕對(duì)注入量變大，對(duì)互聯(lián)系統(tǒng)的正常運(yùn)行造成一定程度的影響，基于集員濾波能準(zhǔn)確估計(jì)系統(tǒng)運(yùn)行狀態(tài)以檢測(cè)FDI 攻擊的存在。

6 結(jié)語(yǔ)

本文提出一種基于集員濾波的AGC 系統(tǒng)FDI攻擊檢測(cè)方法。通過(guò)對(duì)AGC 系統(tǒng)狀態(tài)可行集的預(yù)測(cè)更新和測(cè)量更新，檢測(cè)AGC 通信網(wǎng)絡(luò)或遠(yuǎn)程終端中存在的數(shù)據(jù)傳輸?shù)腇DI 攻擊，當(dāng)惡意FDI 攻擊數(shù)據(jù)引起AGC 系統(tǒng)狀態(tài)的異常變化時(shí)，基于集員濾波的攻擊檢測(cè)技術(shù)可以很好地檢測(cè)出其中存在的FDI攻擊。通過(guò)判斷不同時(shí)段測(cè)量更新橢球集與預(yù)測(cè)更新橢球集之間是否存在交集，檢測(cè)控制指令和測(cè)量數(shù)據(jù)中的FDI 攻擊。接著，對(duì)不同數(shù)值篡改程度下的FDI 攻擊檢測(cè)能力進(jìn)行研究，當(dāng)惡意數(shù)據(jù)注入超過(guò)原傳輸數(shù)據(jù)量的40%，便能利用集員濾波針對(duì)FDI 攻擊達(dá)到較好的檢測(cè)能力。后續(xù)可以開(kāi)展最優(yōu)橢球集獲取方法的改進(jìn)，以提高對(duì)數(shù)值篡改程度較小的FDI 攻擊的檢測(cè)能力，或聯(lián)合語(yǔ)義檢測(cè)、行為檢測(cè)等增加對(duì)小注入量數(shù)據(jù)攻擊的辨識(shí)能力，減少小注入量的FDI 攻擊的多步累積對(duì)AGC 系統(tǒng)造成危害。

附錄見(jiàn)本刊網(wǎng)絡(luò)版（http：//www.aeps-info.com/aeps/ch/index.aspx），掃英文摘要后二維碼可以閱讀網(wǎng)絡(luò)全文。