[发明专利]电力系统中单点数据攻击的白盒检测方法

权利要求书

1.在电力系统中单点数据攻击的白盒检测方法，其特征在于，该方法检测单个数据遭受攻击的行为，所述方法包括如下三个步骤：1）电力系统函数定义域、值域和关系的定义；2）单点恶意数据攻击的分类；3）自动识别方法；

步骤1）电力系统函数定义域、值域和关系的定义包括：

（1）电力系统输入端子状态采集情况：

输入端子有N个，分别是x₁,x₂,x₃,…,x_n；即有输入函数f_input(x₁,x₂,x₃,…,x_n)，其定义域为D(x₁,x₂,x₃,…,x_n)；

（2）电力设备输出端子状态采集情况：

输出端子有N个，分别是y₁,y₂,y₃,…,y_n；即有输出函数f_output(y₁,y₂,y₃,…,y_n)，其定义域为R(y₁,y₂,y₃,…,y_n)；

（3）电力系统设备中逻辑关系函数表示如下：

存在M个函数，分别是f₁,f₂, …,f_m，函数f₁的定义域为D₁(x₁,x₂,x₃,…,x_t1)，值域为R₁(y₁,y₂,y₃,…,y_t1)；函数f₂的定义域为D₂(x₁,x₂,x₃,…,x_t2)，值域R₂(y₁,y₂,y₃,…,y_t2)；函数f_m的定义域为D_m(x₁,x₂,x₃,…,x_tm)，值域为R_m(y₁,y₂,y₃,…,y_tm)；

这些函数的定义域D₁,D₂,…, D_m均包含于输入函数的定义域D,值域R₁,R₂,…, R_m均包含于输出函数的值域R；

步骤2）单点恶意数据攻击的分类包括：

（1）情况1：f_p,f_q是f₁,f₂, …,f_m中任意两个关系函数，它们的定义域分别为D_p和D_q，并且D_p和D_q的交集非空集，它们的值域分别是R_p和R_q；

在遭受攻击前，

函数f_p的值域R_p与定义域D_p的取值遵循Y_p=f(X_p)的运算原则，

函数f_q的值域R_q与定义域D_q的取值遵循Y_q=f(X_q)的运算原则；

在攻击后，若它们的定义域D_p和D_q的交集发生变化，就会对值域R_p和R_q产生影响；

（2）情况2：f_p,f_q，…,f_s是f₁,f₂, …,f_m中任意多个关系函数，它们的定义域分别为D_p、D_q、…,D_s，并且D_p、D_q、…,D_s的交集非空集，它们的值域分别是R_p、R_q、…,R_s；

在遭受攻击前，

函数f_p的值域R_p与定义域D_p的取值遵循Y_p=f(X_p)的运算原则，

函数f_q的值域R_q与定义域D_q的取值遵循Y_q=f(X_q)的运算原则，…,

函数f_s的值域R_s与定义域D_s的取值遵循Y_s=f(X_s)的运算原则；

在攻击后，若它们的定义域D_p, D_q、…,D_s的交集发生变化，就会对值域R_p,R_q、…,R_s产生影响；

步骤3）自动识别方法包括：恶意攻击只攻击输入端的数据而不篡改逻辑模块的运算函数，则可以通过设定好的函数程序，判断是哪一个数据遭受到恶意攻击；

有两个函数f₁(x₁,x₂,x₃,…x_t,…,x_n)和f₂(x’₁,x’₂,x’₃,…x_t,…,x’_n)，它们的定义域分别是 D₁(x₁,x₂,x₃,…x_t,…,x_n)和D₂(x’₁,x’₂,x’₃,…x_t,…,x’_n)，它们的共同交集元素是x_t,并且定义元素x_k1,x_k2,x_k3,…x_kn和x’_k1, x’_k2, x’_k3,…x’_km,这些元素既不在f₁(x₁,x₂,x₃,…x_t,…,x_n)也不在函数f₂(x’₁,x’₂,x’₃,…x_t,…,x’_n)的定义域中；

为除交集元素X_t之外的每一个元素分别设定只含有该元素且不含这两个函数定义域内其他元素的函数程序f₁₁(x₁,x_k1), f₁₂(x₂,x_k2), f₁₃(x₃,x_k3), …f_1n(x_n,x_kn),及f₂₁(x’₁,x’_k1), f₂₂(x₂,x’_k2),

f₂₃(x’₃,x’_k3), …f_2n(x’_n,x’_kn)；

（1）恶意攻击只攻击一个数据点时：两个函数的值都发生变化时，那么可以准确地判断出恶意攻击的对象是x_t；

（2）当只有函数f₁(x₁,x₂,x₃,…x_t,…,x_n)的值发生变化时，可以缩小攻击点的范围，判断出遭到攻击的对象是函数f₁定义域的元素；依次比较f₁₁(x₁,x_k1), f₁₂(x₂,x_k2), f₁₃(x₃,x_k3), …f_1n(x_n,x_kn)值的变化，推出具体攻击位置；若只有f₁₁(x₁,x_k1)的函数值发生变化，则恶意攻击的对象是x₁, 若只有f₁₂(x₂,x_k2)的函数值发生变化，则恶意攻击的对象是x₂,以此类推到x_n；

（3）当只有函数f₂(x’₁,x’₂,x’₃,…x_t,…,x’_n)的值发生变化时，可以缩小攻击点的范围，判断出遭到攻击的对象是函数f₂定义域的元素；依次比较f₂₁(x₁, x^’_k1), f₂₂(x₂, x_k2),f₂₃(x₃, x_k3), …f_2n(x^’_n, x^’_kn)值的变化，推出具体攻击位置；

若只有f₂₁(x₁, x_k1)的函数值发生变化，则恶意对象是x₁, 若只有f₂₂(x₂,X_k2)的函数值发生变化，则恶意对象是x₂,以此类推到x_n；

通过以上三个步骤可以自动识别单点恶意攻击并且准确无误地定位到攻击所在的具体位置；通过找寻交集元素可以缩小攻击点的范围并且少定义一个函数，简化函数程序。