楊奕賢，郭 力，王洪達(dá)，2，李霞林，張 濤，黃生俊，朱 想，王成山

（1. 天津大學(xué) 智能電網(wǎng)教育部重點(diǎn)實(shí)驗(yàn)室，天津300072；2. 海軍勤務(wù)學(xué)院 供應(yīng)管理系，天津300450；3. 國防科技大學(xué) 系統(tǒng)工程學(xué)院 多能源系統(tǒng)智慧互聯(lián)技術(shù)湖南省重點(diǎn)實(shí)驗(yàn)室，湖南 長沙410073；4. 中國電力科學(xué)研究院（南京），江蘇 南京210003）

0 引言

近年來，直流微電網(wǎng)因具有運(yùn)行效率高、控制系統(tǒng)相對簡單等特點(diǎn)，在電力系統(tǒng)中受到越來越多的關(guān)注［1］，其運(yùn)行控制主要包括設(shè)備級(jí)的一次控制、系統(tǒng)級(jí)的二次和三次控制，其中二次控制在電壓恢復(fù)與均流控制等方面均起著十分關(guān)鍵的作用［2］。相比于傳統(tǒng)的集中式二次控制，分布式二次控制僅需交換鄰居節(jié)點(diǎn)的信息，無中心控制器的設(shè)計(jì)降低了單點(diǎn)通信故障的影響，具有廣闊的應(yīng)用場景。

基于分布式控制的直流微電網(wǎng)是一種典型的信息物理系統(tǒng)（CPS），其通信方式復(fù)雜，鏈路較多，缺乏中央控制器對整體運(yùn)行態(tài)勢的監(jiān)控，信息安全問題較為突出［3-4］。網(wǎng)絡(luò)攻擊輕則使微電網(wǎng)偏離額定運(yùn)行點(diǎn)，重則直接造成停電事故，因此研究可快速抵御網(wǎng)絡(luò)攻擊的算法具有重要意義。

目前，針對微電網(wǎng)的網(wǎng)絡(luò)攻擊主要包括虛假數(shù)據(jù)注入攻擊FDIA（False Data Injection Attack）、拒絕服務(wù)DoS（Denial of Service）、重放攻擊（replay at?tack）等，相較于后兩者，F(xiàn)DIA 具有較強(qiáng)的隱蔽性［5］，成為學(xué)術(shù)界的研究焦點(diǎn)。FDIA 是指攻擊者對微電網(wǎng)的關(guān)鍵運(yùn)行數(shù)據(jù)進(jìn)行惡意篡改，進(jìn)而造成控制系統(tǒng)紊亂的攻擊方式。攻擊者可在微電網(wǎng)相關(guān)設(shè)備（路由器、防火墻、控制器、變流器等）的生產(chǎn)、采購、運(yùn)行期間利用某種漏洞獲得相應(yīng)設(shè)備的權(quán)限，進(jìn)而植入惡意代碼，最后尋找合適的時(shí)機(jī)發(fā)動(dòng)攻擊。文獻(xiàn)［6］展示了攻擊者利用TCP／IP 協(xié)議網(wǎng)絡(luò)層漏洞向光伏逆變器下發(fā)虛假數(shù)據(jù)的過程。同時(shí)有研究結(jié)果表明，精心設(shè)計(jì)的虛假數(shù)據(jù)不會(huì)引起控制器產(chǎn)生穩(wěn)態(tài)誤差［7］，因此FDIA 具有一定的迷惑性，不易被直接檢測并消除，防御算法需綜合考慮信息層和物理層的運(yùn)行情況。

目前，已經(jīng)提出的FDIA 檢測算法主要可以分為2 類：第一類是比較鄰居節(jié)點(diǎn)之間交互的運(yùn)行狀態(tài)，第二類是觀測本地設(shè)備的動(dòng)態(tài)特征。這2 類算法能夠檢測出異常的通信鏈路，然后通過剔除不良數(shù)據(jù)的方式實(shí)現(xiàn)虛假數(shù)據(jù)的消除。在第一類算法中，文獻(xiàn)［8］提出了一種基于信任因子的檢測算法，并通過降低壞數(shù)據(jù)通道中拉普拉斯矩陣的權(quán)重來緩解FDIA的不利影響；文獻(xiàn)［9-10］提出了基于運(yùn)行狀態(tài)觀測的檢測算法，通過事件觸發(fā)的多層緩解策略對虛假數(shù)據(jù)進(jìn)行消除。然而，正常負(fù)荷變化時(shí)各電源會(huì)出現(xiàn)短時(shí)的輸出不一致，而上述算法無法分辨擾動(dòng)的來源是負(fù)荷變化還是虛假數(shù)據(jù)，最終將導(dǎo)致微電網(wǎng)的動(dòng)態(tài)響應(yīng)變慢。這類算法雖在穩(wěn)態(tài)時(shí)對FDIA 有一定的緩解作用，但會(huì)在一定程度上放大正常負(fù)荷變化的擾動(dòng)，同時(shí)FDIA也會(huì)對微電網(wǎng)產(chǎn)生較長時(shí)間的暫態(tài)沖擊。第二類算法主要考慮本地設(shè)備的動(dòng)態(tài)特性，如文獻(xiàn)［11］以交流微電網(wǎng)為背景，針對注入量為常值的FDIA設(shè)計(jì)了一種防御算法，該算法的作用速度快，但其在直流微電網(wǎng)中的應(yīng)用還有待研究。

上述2 類算法均依賴微電網(wǎng)模型的建立，然而實(shí)際中的線路阻抗及網(wǎng)絡(luò)拓?fù)涞刃畔⑼y以獲取，導(dǎo)致模型的準(zhǔn)確性較差。同時(shí)出于安全性的考慮，其他設(shè)備的關(guān)鍵參數(shù)也不會(huì)向本地開放［12］。此外，嵌入式微控制器的快速發(fā)展也使低成本化地獲取海量數(shù)據(jù)成為可能，考慮微電網(wǎng)正常運(yùn)行期間的海量運(yùn)行數(shù)據(jù)，如何將檢測算法和本地?cái)?shù)據(jù)相結(jié)合，對FDIA和負(fù)荷變化進(jìn)行區(qū)分，并在不影響原有系統(tǒng)的前提下對FDIA做出快速響應(yīng)是本文研究的重點(diǎn)。

基于數(shù)據(jù)驅(qū)動(dòng)的方法，考慮本地設(shè)備的動(dòng)態(tài)特性，文獻(xiàn)［13］設(shè)計(jì)了一種新型的微電網(wǎng)二次控制架構(gòu)，并使用BP神經(jīng)網(wǎng)絡(luò)對本地運(yùn)行情況進(jìn)行實(shí)時(shí)檢測。文獻(xiàn)［14］考慮負(fù)荷變化和虛假數(shù)據(jù)的不同特征，利用循環(huán)神經(jīng)網(wǎng)絡(luò)RNN（Recurrent Neural Net?work）對微電網(wǎng)的運(yùn)行情況進(jìn)行估計(jì)，并基于估計(jì)誤差做出判斷。然而，上述基于深度學(xué)習(xí)的算法在訓(xùn)練過程中均需要采集全局信息，同時(shí)計(jì)算復(fù)雜度較高，不利于既有控制器的開發(fā)與集成。

為了解決上述問題，本文在定量分析FDIA 對傳統(tǒng)分布式控制直流微電網(wǎng)影響的基礎(chǔ)上，提出了一種基于數(shù)據(jù)驅(qū)動(dòng)的FDIA 快速防御策略。該策略充分考慮本地設(shè)備的動(dòng)態(tài)特性，利用線性回歸的方式對微電網(wǎng)的運(yùn)行情況進(jìn)行實(shí)時(shí)檢測，具有計(jì)算量少、不依賴于模型、抵御攻擊類型豐富等特點(diǎn)；可對微電網(wǎng)內(nèi)的正常負(fù)荷擾動(dòng)和FDIA進(jìn)行區(qū)分，并以毫秒級(jí)的響應(yīng)速度對虛假數(shù)據(jù)完成快速檢測并將其消除，最大限度地降低FDIA 的影響。理論分析和仿真結(jié)果均驗(yàn)證了所提策略的有效性。

1 直流微電網(wǎng)FDIA的建模與分析

直流微電網(wǎng)內(nèi)大多分布式儲(chǔ)能變流器通常采用下垂控制，而間歇性電源采用最大功率點(diǎn)跟蹤的方式運(yùn)行，通常不參與功率調(diào)節(jié)［1］。以一致性算法為代表的分布式二次控制可實(shí)現(xiàn)微電網(wǎng)的電壓恢復(fù)，同時(shí)可解決因線路阻抗引起的下垂單元出力不一致問題［2］。攻擊者將虛假數(shù)據(jù)注入通信鏈路后，直流微電網(wǎng)將偏離額定運(yùn)行點(diǎn)，甚至造成系統(tǒng)直接癱瘓。

1.1 直流微電網(wǎng)的分布式協(xié)調(diào)控制

由N個(gè)下垂單元組成的微電網(wǎng)拓?fù)銾可用節(jié)點(diǎn)集合V和節(jié)點(diǎn)邊集E表示，其中V={v1，v2，…，vN}由N個(gè)下垂單元節(jié)點(diǎn)構(gòu)成，而E?V×V為節(jié)點(diǎn)對集合。在E中若存在節(jié)點(diǎn)對滿足(vi，vj)∈E，即vi和vj之間可以進(jìn)行數(shù)據(jù)交換，則鄰接矩陣Α=[aij]∈RN×N中的元素aij>0（j∈Ni，Ni為可與vi進(jìn)行數(shù)據(jù)交換的節(jié)點(diǎn)編號(hào)集合），否則aij=0（j?Ni）。

圖1 直流微電網(wǎng)分布式控制架構(gòu)Fig.1 Distributed control architecture of DC microgrid

直流微電網(wǎng)分布式二次協(xié)調(diào)控制的輸出可表示為［2］：

此時(shí)微電網(wǎng)內(nèi)所有下垂單元的輸出電壓將恢復(fù)至額定值，同時(shí)各下垂單元的輸出電流標(biāo)幺值相等。

1.2 FDIA對傳統(tǒng)分布式控制的影響量化分析

考慮到存在虛假數(shù)據(jù)，分布式二次協(xié)調(diào)控制輸出矩陣的頻域形式為：

其中，R=diag(Ri)。當(dāng)某個(gè)設(shè)備遭受攻擊時(shí)，由于分布式協(xié)調(diào)控制的收斂特征，F(xiàn)DIA 將在微電網(wǎng)內(nèi)逐漸擴(kuò)散，從而影響微電網(wǎng)的正常運(yùn)行，具體可總結(jié)為定理1（具體證明過程見附錄B）。

定理1：若直流微電網(wǎng)受到網(wǎng)絡(luò)攻擊，各下垂單元的電壓將無法保證恢復(fù)至額定值，且與攻擊向量的設(shè)計(jì)、微電網(wǎng)的參數(shù)相關(guān)，可定量表示為式（9）。

圖2 FDIA對不同數(shù)據(jù)源的影響Fig.2 Impact of FDIA on different data sources

綜上所述，F(xiàn)DIA 對微電網(wǎng)的威脅較大，將導(dǎo)致直流微電網(wǎng)產(chǎn)生一定的偏差，進(jìn)而影響整個(gè)系統(tǒng)的穩(wěn)定性，因此快速地對虛假數(shù)據(jù)進(jìn)行檢測并消除其影響將十分重要，同時(shí)檢測算法還應(yīng)具有一定的全面性，可以盡可能地抵御多種類型的FDIA。因此，本文將從本地設(shè)備的動(dòng)態(tài)特征出發(fā)，開發(fā)一種可應(yīng)對上述所有攻擊方式的檢測算法。

2 基于數(shù)據(jù)驅(qū)動(dòng)的FDIA快速防御策略

2.1 基于本地量測數(shù)據(jù)訓(xùn)練的FDIA檢測算法

為了消除虛假數(shù)據(jù)的不利影響，首先需要對虛假數(shù)據(jù)進(jìn)行檢測，而考慮本地設(shè)備動(dòng)態(tài)特性的檢測方法可以大幅提升檢測速度。設(shè)某暫態(tài)過程ki可分別得到n個(gè)時(shí)段的電壓微分量ΔVki和電流微分量ΔIki，如式（11）所示。

在微電網(wǎng)正常運(yùn)行過程中可獲得k個(gè)暫態(tài)過程的數(shù)據(jù)集合{ΔV1，ΔV2，…，ΔVk}、{ΔI1，ΔI2，…，ΔIk}，然后利用同一時(shí)刻不同暫態(tài)過程的數(shù)據(jù)生成式（12）和式（13）。

進(jìn)一步在顯著性水平α下對實(shí)際運(yùn)行數(shù)據(jù)進(jìn)行檢測，如果y落在預(yù)測區(qū)間[y?-δ(x)，y?+δ(x)]（其中δ(x)為預(yù)測區(qū)間長度［16］）內(nèi)，則認(rèn)為系統(tǒng)處于正常運(yùn)行狀態(tài)；否則，增加不信任計(jì)數(shù)器ρi，若不信任計(jì)數(shù)器大于閾值ρth，則將攻擊預(yù)警標(biāo)志Φi置1。

2.2 FDIA的防御策略

在完成虛假數(shù)據(jù)的檢測后，還需進(jìn)一步降低虛假數(shù)據(jù)的權(quán)重以降低虛假數(shù)據(jù)的影響，同時(shí)避免虛假數(shù)據(jù)的擴(kuò)散，重新定義微電網(wǎng)分布式二次協(xié)調(diào)控制的輸入為式（15）。

其中，g(?)為采樣時(shí)間為二次協(xié)調(diào)控制間隔的一階保持函數(shù)；tdetect為檢測到攻擊的時(shí)刻；tk-1為上一個(gè)二次協(xié)調(diào)控制指令下達(dá)的時(shí)刻

圖3 基于數(shù)據(jù)驅(qū)動(dòng)的FDIA防御策略Fig.3 FDIA defense strategy based on data-driven

3 算例分析

基于MATLAB／Simulink 平臺(tái)構(gòu)建了圖1 所示的直流微電網(wǎng)。通信網(wǎng)絡(luò)采用雙向環(huán)網(wǎng)結(jié)構(gòu)，鄰接矩陣見附錄D 式（D1）。檢測算法參數(shù)和線路阻抗等參數(shù)見附錄D表D1。

無FDIA 時(shí)傳統(tǒng)基于一致性的直流微電網(wǎng)分布式二次控制算法的仿真結(jié)果見圖4（圖中輸出電流為標(biāo)幺值，后同）。由圖可知，使能分布式二次控制后，微電網(wǎng)的電壓恢復(fù)至額定值，同時(shí)也實(shí)現(xiàn)了輸出均流，此外負(fù)荷突增之后仍可達(dá)成控制目標(biāo)。

為不失一般性，設(shè)置如附錄D 圖D1 所示4 種場景進(jìn)行分析驗(yàn)證。

圖4 無FDIA時(shí)傳統(tǒng)分布式二次控制算法的仿真結(jié)果Fig.4 Simulative results of traditional distributed secondary control algorithm without FDIA

場景4：在場景3 的基礎(chǔ)上，4 s 時(shí)停止注入攻擊。

3.1 FDIA的建模分析與驗(yàn)證

以場景1、4（場景2、3 的分析方法類似，限于篇幅不再展開）為例，在場景1 中，攻擊向量的時(shí)域形式為K(t)=[0，-0.8u(t-3)，0，0]T（u(t)為階躍響應(yīng)函數(shù)），其頻域形式為K(s)=[0，-0.8e-3s/s，0，0]T，X中除x32=a32外，其余元素均為0。根據(jù)式（10）進(jìn)行推導(dǎo)，可得直流電壓應(yīng)下降9.1 V（0.013 p.u.）。場景1的仿真結(jié)果見圖5（a），其結(jié)果與理論分析結(jié)果相符，微電網(wǎng)的平均電壓約下降至691 V。對于場景4，W中除w41=a41外，其余元素均為0，攻擊向量為J=[(0.07e-3s-0.07e-4s)/s，0，0，0]T。根據(jù)式（10）進(jìn)行推導(dǎo)，可得直流電壓應(yīng)下降4 V（0.005 8 p.u.）。場景4 的仿真結(jié)果見圖5（b），微電網(wǎng)的平均電壓約下降至696 V，結(jié)果與理論分析結(jié)果相符。

圖5 場景1和場景4的仿真結(jié)果Fig.5 Simulative results of Scene 1 and 4

綜上所述，理論和仿真結(jié)果均表明攻擊者可以采用網(wǎng)絡(luò)攻擊的方式操縱直流微電網(wǎng)電壓，進(jìn)而威脅微電網(wǎng)的正常運(yùn)行。因此，重視網(wǎng)絡(luò)安全并研究可抵御網(wǎng)絡(luò)攻擊的策略具有重要的意義。

3.2 基于數(shù)據(jù)驅(qū)動(dòng)的FDIA快速防御策略

關(guān)于檢測算法，首先在仿真中構(gòu)造出負(fù)荷從0.2 p.u.變化為0.7 p.u.的數(shù)據(jù)集，然后對數(shù)據(jù)進(jìn)行擬合，其中下垂單元1 的負(fù)荷變化預(yù)測結(jié)果如圖6（a）所示（其余下垂單元的曲線與圖6（a）類似），當(dāng)負(fù)荷由0.4 p.u.突增至0.6 p.u.時(shí)，由于y基本處于預(yù)測區(qū)間內(nèi)，故Φi一直為0，防御策略不動(dòng)作。圖6（b）為場景2 的網(wǎng)絡(luò)攻擊預(yù)測結(jié)果，可見實(shí)際運(yùn)行結(jié)果將偏離預(yù)測區(qū)間，故Φi將被置1，檢測算法判斷出擾動(dòng)的來源是負(fù)荷變化而不是虛假數(shù)據(jù)，可見防御算法的加入不會(huì)影響原有微電網(wǎng)的動(dòng)態(tài)響應(yīng)過程。

圖6 不同擾動(dòng)源的預(yù)測結(jié)果Fig.6 Predictive results of different disturbance sources

圖7 場景1的防御策略結(jié)果Fig.7 Results of defense strategy of Scene 1

圖8 場景1中的變化趨勢Fig.8 Change trend ofu in Scene 1

圖9 場景2的防御策略結(jié)果Fig.9 Results of defense strategy of Scene 2

圖10 場景2中的變化趨勢Fig.10 Change trend of in Scene 2

場景2的防御策略結(jié)果見圖9，權(quán)重系數(shù)的變化趨勢見圖10，可見本文所提防御策略也表現(xiàn)出良好性能。圖9（a）展示了無防御策略時(shí)微電網(wǎng)的運(yùn)行結(jié)果，與場景1不同，由于場景2中攻擊的對稱性，微電網(wǎng)直流電壓無明顯的穩(wěn)態(tài)偏差，然而遭受網(wǎng)絡(luò)攻擊的2 個(gè)下垂單元的輸出電流出現(xiàn)了較大的且對稱的偏差。圖9（b）展示了采取防御策略后微電網(wǎng)的運(yùn)行結(jié)果。由圖9（b）和圖10可見，虛假數(shù)據(jù)在初始時(shí)刻即被及時(shí)剔除，且正常數(shù)據(jù)的權(quán)重隨著時(shí)間的變化逐漸恢復(fù)至1，最終微電網(wǎng)實(shí)現(xiàn)了二次控制的目標(biāo)。

場景3的防御策略結(jié)果見圖11。與無防御策略時(shí)的仿真結(jié)果（圖5（b））相比，使能防御策略后微電網(wǎng)直流電壓基本保持在700 V 附近，同時(shí)輸出電流標(biāo)幺值也實(shí)現(xiàn)了相等。上述4 種場景的分析結(jié)果進(jìn)一步驗(yàn)證了本文所提防御策略對不同攻擊類型的有效性。

圖11 場景3的防御策略結(jié)果Fig.11 Results of defense strategy of Scene 3

4 結(jié)論

采用分布式控制的直流微電網(wǎng)容易遭受網(wǎng)絡(luò)攻擊，為此，基于一致性理論，本文首先指出了攻擊者可采用的攻擊方式，即在電壓估計(jì)量和電流量測值中注入虛假數(shù)據(jù)；之后從理論上推導(dǎo)了FDIA對微電網(wǎng)電壓產(chǎn)生的不利影響，并指出針對電壓估計(jì)值的虛假數(shù)據(jù)注入可能造成系統(tǒng)不收斂；然后提出了一種基于數(shù)據(jù)驅(qū)動(dòng)的FDIA 防御策略。該算法通過離線學(xué)習(xí)以及在線判斷系統(tǒng)的暫態(tài)擾動(dòng)過程，實(shí)現(xiàn)了對FDIA的有效檢測。最后算例仿真結(jié)果表明，所提防御策略可有效防御針對電壓估計(jì)量和電流量測值的攻擊，且在平衡攻擊下也有良好的表現(xiàn)，能最大限度地降低FDIA的影響。

本文相關(guān)工作目前尚處于起步階段，未來還可將研究重點(diǎn)聚焦于更復(fù)雜、更普遍的交直流微電網(wǎng)。

附錄見本刊網(wǎng)絡(luò)版（http：//www.epae.cn）。