低成本对抗性隐蔽虚假数据注入攻击及其检测方法_黄冬梅.pdf

第 47 卷 第 4 期 电 网 技 术 Vol.47 No.4 2023 年 4 月 Power System Technology Apr.2023 文章编号：1000-3673（2023）04-1531-09 中图分类号：TM 721 文献标志码：A 学科代码：47040 低成本对抗性隐蔽虚假数据注入攻击及其检测方法黄冬梅1，丁仲辉2，胡安铎1，王晓亮3，时帅2（1上海电力大学电子与信息工程学院，上海市 浦东新区 201306；2上海电力大学电气工程学院，上海市 杨浦区 200090；3国家海洋局东海信息中心，上海市 浦东新区 200136）Low-cost Adversarial Stealthy False Data Injection Attack and Detection Method HUANG Dongmei1,DING Zhonghui2,HU Anduo1,WANG Xiaoliang3,SHI Shuai2(1.College of Electronics and Information Engineering,Shanghai University of Electric Power,Pudong New Area,Shanghai 201306,China;2.College of Electrical Engineering,Shanghai University of Electric Power,Yangpu District,Shanghai 200090,China;3.East Sea Information Center,State Oceanic Administration,Pudong New Area,Shanghai 200136,China)ABSTRACT:Power grids with deep couplings in the physical and informative aspects face the threat of false data injection attacks,while the deep learning technique becomes an important method for detecting the false data injection attacks.To address the problem that the deep neural networks are vulnerable to adversarial attacks,a low-cost adversarial target optimal concealed false data injection attack strategies and the corresponding detection methods are proposed in this paper.The optimal combination of measurements and attack value are solved by a two-stage optimization to obtain the optimal attack strategy with the lowest attack cost for the expected attack target.The optimal attack value is added with the adversarial perturbation by the white-box attack so that the deep learning model incorrectly reports it as a normal sample.From the detection perspective,all initial attack samples in the historical database are added with the adversarial perturbation and are marked as the attack samples so that they are then added to the training set to train the model and improve the detection performance.Experiments are conducted on the IEEE14-node system and the IEEE118-node system respectively to verify the effectiveness of the proposed attack and detection methods.KEY WORDS:deep learning;false data injection attack;adversarial attack;white-box attack;adversarial training 摘要：信息物理深度耦合的电网面临着虚假数据注入攻击的威胁，深度学习技术成为检测虚假数据注入攻击的重要手段。针对深度神经网络面临的对抗性攻击的问题，该文提出一种低成本对抗性隐蔽虚假数据注入攻击方案及对应的检测方法。通过两阶段优化求解最优的量表组合及攻 基金项目：上海市科委地方院校能力建设项目(20020500700)。Project Supported by Local College Capacity Building Project of Shanghai Municipal Science and Technology Commission(20020500700).击值，得到预期攻击目标的最优攻击策略，对最优攻击值通过白盒攻击添加对抗性扰动，使深度学习模型将其误报为正常样本。从检测的角度，对历史数据库中的所有初始攻击样本均添加对抗性扰动，并标记为攻击样本加入训练集，对模型进行训练，提升检测性能。分别在 IEEE14 节点系统和IEEE118 节点系统上进行实验，验证了所提攻击和检测方法的有效性。关键词：深度学习；虚假数据注入攻击；对抗攻击；白盒攻击；对抗训练 DOI：10.13335/j.1000-3673.pst.2022.0516 0 引言 双碳背景下，能源互联网利用先进的信息技术来促进能量网络中各种设备之间的信息交互，助推新能源占主导的新型电力系统建设1-3。信息系统和能量系统的紧密耦合使得电网更加智能化，也给电网带来了严重的安全隐患。针对信息系统的网络攻击会导致物理系统的异常运行，造成严重的事故4-7。虚假数据注入攻击(false data injection attack，FDIA)是一种典型的网络攻击，它利用网络通信系统的漏洞，篡改系统的量测值，从而影响电网状态估计8-9，使得调度员误判系统的运行状态，做出错误的决策10-11。基于数据驱动的机器学习是 FDIA 检测的一类重要方法12。通过学习历史数据，寻找正常数据和FDIA之间的特征差异，主要采用支持向量机(support vector machine，SVM)13、极限学习机14-15和集成学习16-17等方法。但是随着大量量测仪表的安装，海量的历史数据使得机器学习检测方法面临“维数灾难”的问题，模型的泛化性较差18-19。1532 黄冬梅等：低成本对抗性隐蔽虚假数据注入攻击及其检测方法 Vol.47 No.4 随着深度学习技术的兴起，基于深度神经网络(deep neural networks，DNN)的方法由于其良好的特征提取能力正逐渐被应用于 FDIA 检测20-22。如文献20通过离散小波变换提取系统的状态特征后，再通过循环神经网络进一步提取时空特征，学习到正常样本和 FDIA 之间特征差异。文献21通过迁移学习来解决训练数据和实际数据之间的差异问题，并利用深度信念网络实现FDIA的检测。文献22通过正常样本训练的编码器来扩大正常样本和FDIA 之间的差异，实现 FDIA 的精准检测。虽然现有基于 DNN 的 FDIA 检测方法已经表现出了很好的性能，但它们都基于一个假设：DNN模型不会遭到攻击。在图像识别和目标检测等领域的研究已经表明，攻击者掌握网络结构的情况下，可以在输入样本上添加一个人眼难以识别的噪声，即对抗性扰动，使基于 DNN 模型的检测模型误报，形成对抗性攻击23-24。如文献25-26提出针对电力系统状态估计方法的对抗性攻击，但没有考虑不良数据检测机制(bad data detection，BDD)的存在，这意味着攻击可能被 BDD 检测到。文献27提出了一种基于状态扰动的对抗性 FDIA，虽然能够躲过BDD 机制，但并没有考虑攻击量表数目和攻击幅值的约束。事实上，攻击成本对于 FDIA 及检测有重要的影响。一方面，控制大量的量表对于攻击者较为困难。另一方面，在对抗性攻击中攻击量表数目多、注入幅值大的 FDIA 也更容易被检测到。针对对抗性攻击被 BDD 机制所检测的问题，同时考虑攻击成本的限制。本文提出一种低成本对抗性隐蔽 FDIA 及对应的检测方法。以攻击节点数目为约束，求解出篡改的最优量表组合；然后，以潮流平衡和目标线路的潮流越限作为约束，求解出最优的注入攻击值，并通过对抗攻击方法对目标攻击所造成的节点状态值的偏移量添加很小的噪声，从而避免改变系统残差，并使 DNN 将其错误分类。从检测的角度，将历史数据中的 FDIA 利用对抗攻击方法增加扰动，添加入训练数据集进行训练，提高 DNN 对对抗样本的鲁棒性，以实现模型在对抗性FDIA上仍能保证和传统FDIA相当的检测性能。1 问题描述 1.1 DC 状态估计和 BDD 机制 电力系统控制中心根据数据采集与监视控制(supervisory control and data acquisition，SCADA)系统中获取的量测数据，评估系统的运行状态。对于大型的电力系统，由于 AC 模型的高度非线性，常采用 DC 模型来进行状态估计11。基于 DC 模型的状态估计如式(1)：ZHx e (1)式中：Z 为量测值，包含有支路潮流 Pij和节点注入功率 Pi；x 为状态值，表示节点电压相角 i；H 为量测雅可比矩阵；e 为均值为 0、方差为的高斯分布量测误差。通过加权最小二乘法进行状态估计可以表示为式(2)：1min()()()JxZHx RZHx (2)式中 R 为 m*m 维权重矩阵。求解式(2)可以得到状态估计值 x为 T11T1()xH R HH R Z (3)由于仪表故障或恶意攻击产生的不良量测通常与正常量测分布并不一致，电力系统中 BDD 机制通常令残差rZHx，通过比较残差的 L2 范数和阈值的关系来检测是否存在不良数据11。当|r|2时认为存在不良数据，其中阈值可以通过设置显著性水平的假设检验来确定。1.2 虚假数据注入攻击 当对量测值注入攻击向量 a 后，系统的残差表达为 aarZaHx (4)式中 ax 为攻击后的状态估计值，令acxx，则式(4)可以转化为 ()()()arZaH xcZHxaHcraHc(5)根据式(5)可知，当攻击者掌握电网的拓扑信息时，注入特定的攻击向量 a=Hc，攻击后系统的残差 ra=r，此时攻击不会改变系统残差，可以绕过BDD 机制，危害电力系统的安全运行。1.3 对抗样本攻击 基于DNN的FDIA检测方法实际是将FDIA检测问题转换为数据分类问题，将正常量测数据标记为类别 0，FDIA 标记为类别 1。通过 DNN 学习历史数据库中的两类样本特征，并利用各种非线性映射和激活函数找到两类数据的边界。对抗攻击通过添加特定的扰动来使 DNN 对输入进行误分类28。常用的对抗样本攻击有基于梯度的攻击方法和基于优化的攻击方法两种。基于梯度的攻击方法实际是在梯度方向上添加扰动，增大模型损失，使 DNN 误报。基于优化的