机器学习缓解的广域阻尼控制系统异常检测

侯鹏鑫， 韩建富， 王飞飞， 薛建立， 谭沛然

(国网山西省电力公司营销服务中心， 太原 030001)

广域阻尼控制(wide area damping control,WADC)是现代电力广域控制系统(wide area control system,WACS)中关键的应用之一，主要用于抑制区域间振荡，其应用性能在很大程度上取决于电源和网络系统的动态性设计，包括低延迟、数据丢包等网络服务质量因素[1-2]。除了这些系统动力学因素外，对电力和网络系统的随机性网络攻击可能严重影响WADC的性能，这可能危及电力系统运行并影响电网稳定性。

隐蔽的网络攻击向量可能会绕过传统的网络安全措施，从而破坏WADC，因此，有必要建立一个能够检测攻击并防止网络攻击异常的攻击弹性系统[3]。针对上述问题，文献[4]提出了一种增强基础设施故障后恢复能力的主从式广域阻尼控制模型，有效提高了故障影响下的控制性能。文献[5]利用Kalman滤波反馈控制实现WADC中的攻击检测与控制。文献[6]提出了全局灵敏度分析方法，量化变量输入对WADC系统的影响，该方法能有效识别关键输入，指导有限防控资源应对网络攻击。文献[7]将恶意网络攻击信号进行一致性处理，利用WADC稳态运行状态下的数据，设计了基于置信度的控制协议来检测攻击。虽然上述方法取得了一定的效果，但是对攻击类型的鲁棒性较差，且很难适用于大规模电网模型。

为考虑攻击弹性，学者们将攻击检测归于异常检测，对基于异常检测和机器学习的离线在线调整同步相量测量进行了广泛的研究。文献[8]提出了一种基于神经网络补偿的广域控制系统异常检测控制方法，有效实现异常状态下的控制。文献[9]利用滑模观测器实现了系统的异常检测，通过自适应阈值能够提升异常检测的鲁棒性和准确性。文献[10]提出了基于人工免疫系统理论的广域阻尼控制器，对区间振荡有显著抑制效果，且增强了系统的抗干扰能力以及动态稳定性能。然而上述检测方法主要通过监控测量信号段上的同步相量，而电网的网络物理控制系统包括测量信号和控制信号段的攻击面。因此，需要建立攻击弹性，从而实现对测量信号和控制信号段隐蔽网络攻击的应对。

为解决上述问题，提出了一种基于机器学习缓解策略的广域阻尼控制系统异常检测方法，以期实现高精度的异常检测。

1 系统框架

异常检测方法如图1所示。电源管理单元(power management unit, PMU)从电流互感器(current transformer, CT)和电压互感器(potential transformer, PT)计算同步相量值，并将其传输到配置的本地和超级相量数据集中模块(phasor data centralization, PDC)。当本地PDC由多个PMU组成时，通常将其部署在变电站，而超级PDC在控制中心运行，主要收集来自主系统PMU和PDC的同步相量。使用IEEE-C37.118协议进行同步相量数据通信，使用DNP3和IEC-61850协议在控制中心、执行器、智能电子设备(intelligent electronic equipment, IED)和远程终端单元(remote terminal unit, RTU)之间进行数据和控制信号通信。

WADC系统对区域间振荡(inter-area oscillation, IAO)的阻尼作用在很大程度上取决于广域输入测量、执行器和时延的选择。为了在高延迟情况下确保获得更好的性能，已有相关研究提出了各种方法来搭建鲁棒性强、缓解延迟的WADC系统。然而，除基于恶意软件和拒绝服务(denial of service, DoS)的典型网络攻击外，攻击者还可以部署隐蔽的完整性数据网络攻击向量，如脉冲攻击、斜坡攻击和切换攻击，或对测量信号、控制信号或两者同时进行攻击。这些都会严重影响WADC系统的正常运行。此外，由于负阻尼的影响，还可能导致系统不稳定。为此，提出了抗攻击WADC(attack-resilient WADC,AR-WADC)系统,如图1所示。

AR-WADC操作主要包括两个阶段：第一阶段包括检测网络攻击异常的机器学习模型的训练过程；第二阶段包括WADC的集成以及闭环系统操作中的缓解技术。在闭环AR-WADC系统运行中，受损测量信号的异常出现在当前所处的周期，而受损控制信号的异常出现在下一个周期内。异常检测缓解模块包括经过训练的机器学习模型，用于检测活动类型，如正常、扰动、攻击以及攻击-扰动。如果检测到网络异常，则子模块会修改WADC信号，并将WADC状态模式设置为0。控制信号调度器(control signal dispatcher, CSD)向广域执行器发送控制和状态数据，如果状态模式设为1，则将除控制数据之外的状态信号设置为设计状态，从而将致动器的操作从广域模式设置为本地模式或OFF模式。由于广域执行器的控制信号受损，因此它在防止异常问题出现方面起着至关重要的作用。

PSS为分组交换服务；FACTS为弹性交流传输系统；HVDC为高电压直流传输；S1、S2为开关图1 异常检测整体框架Fig.1 Overall framework of anomaly detection

2 本文方法

机器学习是基于模式识别发展而来的，经过训练的机器学习模型通过进行数据驱动的预测、决策和分类来克服静态程序指令。构建训练模型的基本模块包括数据集准备、从数据集中提取特征和机器学习算法。在机器学习算法中，特征选择是提高检测精度和消除不适当属性的关键。

2.1 数据集的准备

数据集包括各种电力系统运行条件αpsoc的同步相量测量数据，包括扰动和网络系统攻击事件βcsae。WACS网络物理系统(cyber-physical system, CPS)的通用配置包括制动器、PMU以及图1所示的位于控制中心的网络设备和WACS应用模块。机器学习的性能表现依赖于丰富的数据集，其中更为重要的是观察不存在由αpsoc和βcsae组成的实用数据集。因此，必须通过一组模拟方法来生成CPS数据集。对于本网络，由αpsoc和βcsae组成的数据集定义为

D=f(αpsoc,βcsae)

(1)

式(1)中：D为数据集；f为数据集组合函数。

αpsoc={αvp,αf,αld,αgd,αlc}

(2)

βcsae={βp,βr,βrt,βfd,βct}

(3)

通过一组包含扰动的αpsoc集合，其包括在发电机中的电压扰动αvp、故障αf、负载αld、产生偏差αgd和线路偶然性αlc，每种情况都可能使所选电力系统处于稳定、略微稳定或不稳定的运行状态，除了这些αpsoc状态，还考虑了一组可能影响电力系统稳定性的隐身网络攻击矢量βcsae的集合，其包括脉冲攻击βp、坡道攻击βr、中继跳闸攻击βrt、重复攻击βrp、虚假数据注入攻击βfd以及对测控信号同时或顺序时序向量βct的协同攻击，由于这些网络攻击向量本质上是随机的，因此假设它们存在于理想状态和αpsoc状态中。

βcsae可定义为

(4)

式(4)中：t为时间；λt为定义攻击的持续时间；ta为攻击时间；λfr为虚假输入攻击；λpe为脉冲周期误差；λmd为攻击幅度分量，当攻击对传统的异常数据检测模块造成不利影响并增加其误报率时，将其称为隐蔽攻击；λr、λtc分别为受攻击的继电器与继电器开关状态；λat为攻击时间序列；λav为事件组成的攻击向量；λs为报道信号斜率；脉冲攻击βp取决于3个参数，即攻击幅度λm、脉冲周期持续时间λp、脉冲宽度持续时间λw。

应用于真实数据信号的脉冲攻击可以是包含(加法)或排除(减法)，由于脉冲攻击的性质，它将频率分量的幅度注入真实的数据信号中。通过正确选择由λp和λw定义的振幅分量λm和频率分量，构造了一种隐身脉冲攻击。

坡道攻击βr：取决于两个参数，即攻击幅度λm和坡道信号斜率λs。对真实数据信号应用的坡道攻击可以包括(加法)或排除(减法)。通过选择合适的振幅和斜率，可以构造潜在坡道攻击。具有小斜率的坡道攻击以较慢的速率改变真实数据信号，这意味着它可以绕过传统的异常数据检测模块。

中继跳闸攻击βrp：是中间人攻击类型，主要包括两项任务，即识别易受攻击的继电器λr，也称为智能电子设备(intelligent electronic equipment, IED)，以及通过SCADA协议启动跳闸或闭合λtc操作。

虚假数据注入攻击βfd：攻击者利用系统属性操纵数据。

协同攻击βct：这些攻击更隐蔽，因为攻击者使用任何攻击组合来发起由不同网络攻击事件和不同攻击时间序列λat事件组成的攻击向量λav。

数据完整性攻击βcsae的受损信号x*(t)可定义为

x*(t)=(I+βcsae)x(t)， ∀t∈ta

(5)

式(5)中：x(t)为αpsoc中定义的操作条件的测量或控制信号；I为单位向量。

在模拟环境中准备了一个电力系统模型和一组逗号分隔值(commaseparatedvalues,CSV)文件，其中每个文件表示一个模拟实例变量，包括模型的系统变量以及来自αpsoc和βcsae操作条件和攻击事件的场景变量。

(1)数据集生成模块(并行执行)。通过将仿真实例变量与仿真模型隔离，从而优化并行所有的仿真示例。这一过程对于为大规模电力系统提供丰富的数据集至关重要，其中包括大量的执行器和测量装置，在这些系统中，各种系统运行条件下可能发生的攻击和可能的组合的数量会产生大规模的攻击。在该模块中，利用并行计算工具箱，在MATLAB环境下将仿真实例动态自动分配给集群的执行模块。在理想情况下，考虑所有的组合，即αpsoc×βcsae×2n′，其中n′为组合幂指数。但是wa×2n′种组合可以通过数据威胁分析来考虑，从而规定wa的取值范围为[0,1]，其中wa为从整个2n′个组合中选择若干组合的相关权重。电力系统运行条件和网络攻击事件的数量定义了通过训练的机器学习模型检测异常的范围。

(2)用于训练和测试的数据集预处理器主要包括两个任务：一是分配标签，有监督的机器学习算法需要标签数据集作为输入，在本模块中，根据每个仿真实例的相应场景为生成的数据分配标签；二是准备窗口框架：在标签数据集上选择合适的窗口大小，以准备数据点向量，从而保持窗口长度周期的特征。使用点偏移的移动窗口方法，这意味着每个新的窗口帧不包括旧数据点，而是包括最新的数据点，PMU数据速率为60 fps(fps表示每秒帧数)。标记数据集的这些窗口框架用于构建特征数据集，从而训练机器学习算法。

2.2 异常检测特征

原始输入数据可以直接用作训练机器学习模型的特征，然而，当存在多个电力系统事件和攻击活动事件时，它会影响训练机器学习模型的检测精度和性能。因此从标记数据集的窗口帧计算继承模式的过程，对于构建用于异常检测的鲁棒训练机器学习模型至关重要，这些遵循复杂电力系统物理定律的特定邻域特征加强了数据流中事件模式之间的内聚性。

有监督的机器学习模型的训练过程在这些特征和标记数据之间建立了一个关联权重图，训练后的机器学习模型精度依赖于权值图的精度，而权值图的精度依赖于训练数据的数量和提取特征的鲁棒性，本文特征的提取方法见算法1。

算法1 特征提取1:输入:标记数据集2:while所有特征都没有经过处理 then3: 定义特征向量:fv∈{ftkeo, fpca, fwasm, fprimitive},其中ftkeo、 fpca、 fwasm、 fprimitive分别为能量算子向量、主成分分析向量、广域系统度量向量、原始向量4:特征提取5: while所有fv的i都未处理 then6: 定义新的特征变量i∈fv7: 计算i8: end while9: 特征选择:排除fv中的冗余/不适当特征变量10:end while11:输出过滤后的特征变量,通过训练过的机器学习模型进行异常检测

2.2.1 Teager-Kaiser能量算子(TKEO)

将 Teager-Kaiser能量算子(Teager-Kaiser energy operator，TKEO)定义为离散x(n)时间信号和示例轨迹信号估计瞬时信号能量ΨTK[*]，其表达式为

(6)

ΨTK[e-αnAcos(ωn)]=e-2αnA2ω2

(7)

在瞬态变化期间，ΨTK[*]的第一个分量占主导地位，并对信号能量的脉冲响应产生最大影响，ΨTK[*]对自然电力系统振荡和振荡模式的信号能量产生的影响可忽略，由于它能更好地估计暂态变化，因此，对原始输入信号的特征提取可以作为区分自然电力系统事件和敌方部署的隐蔽网络攻击向量之间暂态变化的指标，它还可以应用于PMU数据，以预测电力系统振荡的频率和检测。由于TKEO能够更好地估计信号能量，因此被广泛应用于各种信号处理技术中，其中一个重要的应用是跟踪幅度调制(amplitude modulation, AM)信号的包络。此外，通过导出两个信号间的相互作用ΨCTK(xn,yn)来考虑相关的特征，其中，yn为输出，xn-2、yn-2分别为延迟两步的输入和输出，这种相关特征增强了攻击活动检测的准确性。连续和离散时间信号的相互作用或交叉能量ΨCTK(xn,yn)及其通过基于能量的相似性度量EbSM在时间窗口上的归一化的定义式为

(8)

(9)

2.2.2 主成分分析

在特征提取过程中，使用主成分分析(principal component analysis,PCA)对高维数据进行降维和模式识别。PCA通过正交变换将相关变量的观察值或测量值的窗口转换为一组称为主成分(PC)的线性独立变量。一组具有m个测量值(更高维度)的x变量可以具有min(m-1,x)不同的正交PC(低维)，其中每个PC表示其对应单位特征向量方向上的数据可变性。在机器学习算法中，是要将主要PC作为特征向量，以避免过度拟合，并且提高主动检测的准确性以及计算速度。

2.2.3 广域系统度量(WASM)

在机器学习算法中使用基于WASM的特征，通过与自然电力系统事件不同的隐蔽网络攻击向量来识别异常。由相干性和非相干性指标组成的WASM描述了电力系统事件的动态特性，当这些指标基于电力系统的系统动态形成一组封闭的阈值时，通过索引来提取机器学习算法中的特征，以提高对电力系统事件和网络攻击事件的识别的准确性。文献[11]对于多区域电力系统第i个区域中的Ng发电机，该区域的惯性中心变换、系统惯性中心变换(center of inertial, COI)、相对于第i个区域的发电机的相对转子角偏差和相对于其系统的第i个区域可定义为

(10)

(11)

(12)

(13)

2.2.4 原始指标值

原始同步相量输入数据窗口上的变化率、平均值、标准偏差和均方根(root mean square,RMS)函数提供了信号之间的主要关系，这些初始指标值作为特征来维持输入信号的主要变化，并在稳定的系统操作中提供更好的性能。

使用有监督的机器学习算法，即支持向量机(support vector machine,SVM)、决策树、K近邻、朴素贝叶斯、判别分析、逻辑回归和神经网络对数据进行分类。SVM和K最近邻(K-nearest neighbor, KNN)在异常分类方面表现出更好的性能；KNN和DT收敛更快，缩短了训练时间。因此，通过DT和KNN-机器学习算法进行异常检测。通过使用决策树DT的3个相似算法(精细树、中等树和粗树)，以及K近邻(KNN)监督的机器学习模型用于检测网络攻击异常的6个变体。在MATLAB中使用机器学习工具箱来建立一个训练过的模型，然后与WADC模块集成。

2.3 缓解方法

设计两部分攻击，即对测量信号的攻击和对控制信号的攻击。考虑在控制中心部署异常检测缓解(anomaly detection and mitigation, ADM)模块，以检测测量和控制数据上的异常。ADM检测攻击异常和受损信号的相应信道索引，因此，ADM为 AR-WADC 操作执行适当的缓解操作：①如果测量信号受到攻击，则其在当前周期通过ADM进行处理，随后，ADM检测并向广域执行器发送调谐WADC信号；②如果控制信号受到攻击，则它仅在下一个控制循环回路中通过ADM进行处理，随后，ADM检测异常和受损通道。然而，在这种情况下，调谐的WADC信号将是不够的，因为攻击发生在控制信号一侧，会再次影响调谐的控制信号。存在两种缓解方法，Only-PSS模式和重新配置模式如下。

(1)Only-PSS模式。通过使用本地信号来维持系统的稳定运行，直到排除攻击。ADM模块在检测控制信号侧的攻击时，将WADC状态模式0发给执行器，使执行器配合本地信号进行操作，文献[12]解释了广域控制信号和局部信号之间的切换过程。

(2)重新配置模式。当系统具有冗余输入和输出信号的WADC时，该模式性能较好。在这种情况下，可以使用可靠的数据通道进行WADC的重构，从而可以避免Only-PSS操作模式。混合WADC通过对输入和输出通信通道的重新配置，提高了WADC闭环操作的弹性。

3 实验分析

使用图2所示的2区域4机电力系统网络，用于演示AR-WADC的应用。ADM模块监控所有PMU从而实现异常检测，WADC模块使用所需的PMU数据并合成控制信号，ADM和WADC模块及其在闭环操作中的集成的详细过程如图3所示。所选择的电力系统是在OP5600 OPA-RT实时数字模拟器上实现的，与爱荷华州立大学PowerCyber实验室的硬件设置相结合。将本文模型与OPAL-RT的ARTEMiS SSN提供的虚拟PMU集成，使用SEL-3373硬件PDC收集并将同步相量从PMU传输到WADC模块。

3.1 控制性能分析

设计WADC处理器的过程如图4所示，使用MATLAB计算所考虑电力系统的全阶非线性模型。考虑了所有的同步发电机的详细模型，包括调速器、励磁机的双轴模型和具有超前滞后相位补偿块。将线性模型转化为状态空间表示，它提供的系统动力学是一组输入、输出和状态变量形成耦合的一阶微分方程。对状态空间模型进行小信号分析，以估计IAO模式的参数，如阻尼比、频率、相位和幅值。

进一步研究了IAO模式的可观测性和能控性的特征值模态分析和残差方法。通过考虑右半平面零点方法来判断不稳定性，而可观测性分析用于识别主要IAO模式的广域反馈信号。从PMU数据集中选择候选反馈信号，该数据集包括正序电压和电流信号、相角、频率和衍生信号，如线路上的有功和无功功率、转子转速及其偏差以及发电机状态变量。

图2 四机两区电力系统网络Fig.2 Power system network of 4 machines and 2 areas

ZoH为零阶保持图3 控制中心结构Fig.3 Structure of control center

可控性分析用于识别处理WADC信号，从而抑制IAO模式的广域执行器。执行器可与PSS、HVDC和FACTS 3种装置集成，控制有功和无功功率，以增加电力系统的阻尼比。通过考虑两个WADC执行器，如图4所示。这些WA-PSS处理从WADC接收的控制信号。除了基于本地信号的PSS外，WA-PSS 还进一步补充发电机的励磁控制，从而抑制IAO模式并提高系统稳定性。PSS的放大增益可以在较弱放大信号的情况下提供相对较好的控制效率，与FACTS和HVDC相比，电力系统包含更多的PSS装置，因此选择和集成广域执行器与PSS的灵活性相对较高。然而，与高压直流输电系统相结合的执行器可以对通过连接线传输的有功功率提供更快、更直接的控制，从而抑制IAO模式。中国南方电网基于HVDC的WADC现场试验表明，在IAO模式下，阻尼比从7.551%增加到20.459%。尽管FACTS设备的主要应用是调节有功功率流以提高功率传输能力，但可以看出，基于FACTS的WADC即使在网络延迟的影响下，也可以表现出较好的性能。

3.1.1 WADC的状态空间建模和参数设置

广域阻尼控制器的各种仿真和硬件设计参见文献[13]，为了识别Ng发电机系统的LO和IAO模式，将状态空间模型定义为

ε、εthreshold分别为稳定性系数和稳定性阈值图4 WADC的处理过程Fig.4 Processing procedure of WADC

(14)

式(14)中：x、u、y分别为输入向量、控制响亮和输出向量；A、B、C分别为状态空间矩阵、控制输入矩阵和输出矩阵，其中A包括2Ng个特征值，Ng-1个复共轭对表示LO和IAO模式；对于第j个生成器，Bj为输入矩阵(列向量)；Cj为输出矩阵(行向量)。

采用带区域极点配置约束的混合H2/H∞输出反馈鲁棒控制(H2、H∞为鲁棒性方法名称)，定义了所使用的广域反馈信号。使用MATLAB中的线性矩阵不等式(LMI)工具箱计算WADC处理器的参数，WADC的状态空间模型定义为

(15)

式(15)中：Xk、Uk、Yk分别为状态向量、控制向量和输出向量；Ak、Bk、Ck、Dk分别为状态空间矩阵、控制输入矩阵、输出矩阵以及干扰矩阵；Uk=[Δω′]，其中Δω′为角速度增量。

LMI方法的结果包括最优增益和WADC的增量函数Hi(s)，使用LMI的PSS增益矩阵的详细推导参见文献[14]。

为实现WADC，定义如下。

(16)

HWADC(s)=KWADCHi(s)

(17)

φc=π-argRj

(18)

(19)

(20)

式中：HWADC(s)为广域控制系统输出；θ为滞后角；KWADC为WADC增益；Tw为清除常数；Tlead和Tlag为相位补偿的参数；nmod为超前滞后模块数；φc为相所需补偿；argRj为残差模快Rj相位角；ωn为主振荡模式频率。

WADC中考虑的参数分别取值为KWADC=30,Tw=10,[TleadTlag]=[63.244e-344.516e-3]，输出饱和限制为[-0.15 0.15]，传感器时间常数为15e-3。

3.1.2 WADC的时域评估

为了更好地进行非线性时域仿真，需要对所设计控制器的瞬态响应和稳定性进行评估。在测试系统的全阶模型的HIL闭环上对WADC处理器进行评估。

从捕获测量数据到执行器执行控制信号从而抑制IAO模式所涉及的时间延迟问题如图5所示。为PMU配置60 fps速度进行数据的传输，观察到PMU每帧的平均处理时间是2.865 ms，而WADC的处理时间是1.28 ms。

本实验在发电机1的电压基准上施加了12个周期的5%幅度的脉冲，并且针对不同的场景调整了PSS。在正常运行和电压扰动期间，在系统中PSS对IAO阻尼的影响如图6所示。可以看出，在这种情况下，两个位置的PSS表现出相对较大的阻尼，但不足以抑制IAO。在系统的发电机3上进行了相同的实验，搭建了WADC驱动器WA-PSS。

正常运行时，PSS和相应的电压扰动以及WADC对IAO阻尼的影响如图7所示。可以看出，在这种情况下，两种情况都为IAO提供了足够的阻尼，利用WADC的高性能抑制了系统中的IAO。

当将PSS配置在所有发电机组位置时，在电压扰动期间的WADC性能如图8所示。可以看出，由于小信号干扰，波动趋于稳定。通过特征值分析获得了振型参数，即阻尼比-0.061 2和振动频率-0.643 6 Hz。当在一系统中配置一个或两个PSS时，观察到它们对局部模式的阻尼比贡献大于IAO模式。然而，当在两个区域的4台发电机安装PSS时，阻尼比增加至0.313。当用一个WADC和一个PSS测试系统时，阻尼比增加到0.156，而在一个WADC和两个PSS的情况下，阻尼比增加到0.243。

t1～t5为相关时间节点图5 时间延迟问题示意图Fig.5 Schematic diagram of time delay problem

图6 电压扰动时PSS的性能Fig.6 PSS Performance during voltage perturbation

图7 电压扰动时的PSS和WADC性能Fig.7 PSS and WADC performance under voltage disturbance

图8 电压扰动时4个PSS的WADC性能Fig.8 WADC performance of four PSS under voltage disturbance

当在系统中配置所有4个PSS和一个WADC时，阻尼比增加至0.378。最后，对系统进行了4个PSS和两个WADC的测试，系统的阻尼比提高到0.396。因此可知WADC对IAO模式的阻尼影响较为显著。

3.2 数据集

考虑了αvp=20个情况，包括5个电压扰动(2%～10%幅度脉冲，间隔2%)在4台发电机的参考电压下持续12个周期。另外考虑了αf=10种情况，其中包括3种不对称故障，即单线路对地故障(LG)、线路对地故障(LL)和双线对地故障(LLG)，以及两种对称故障，即三相短路故障(LLL)和三相对地故障(LLLG)。将这些故障应用于两条连接线母线，并在8个周期内清除故障。进一步考虑20种发电负荷调度方案(αld和αgd)，其中负荷变化范围为70%～110%，以2%为跳跃区间。考虑αlc=2种情况，其中包括关键两条连接线上的线路突发事件。因此，考虑αpsoc=52种情况，以及βp=150种情况，其中包括6个脉冲幅度变量(0.004 0、0.003 0、0.002 5、0.002 0、0.001 5、0.001 0)、5个脉幅度变量(1/0.5、1/0.9、1/1.2、1/1.4、1/1.8)和5个脉宽百分比，这些值是基于所考虑测试系统的经验分析得到的。进一步考虑了βr=10种情况，其中包括10种不同的斜坡信号斜坡值，还考虑了βfd=10个虚假数据注入攻击情况。因此，考虑βcsae=170种情况。

由于WADC模块使用6个测量信号和两个控制信号，因此将这些隐蔽网络攻击载体应用于8个信号的组合，即28=256。令wa=0.125，因此仅动态选择8个信号组合的12.5%。因此，新的组合集为32，完整的攻击场景集合为5 440个。因此，一个数据集有D=282 932个不同的模拟场景。每个场景包括20 s的数据，即1 200个数据点，并参考4个活动场景中的一个进行标记。标记数据是训练监督模型的基础。

本实验在PowerCyber试验台上进行实验。实验的硬件设备配置为2.3 GHz和128 GB内存，操作系统为Windows 2016，编译环境为MATLAB 2016a。每个活动辅助进程执行模拟实例并归档数据，因此，制作一个数据集，包括一个电力系统运行状况和基于网络攻击事件的活动。在测试台环境下，数据生成集的总执行时间约为23 h。

3.3 ADM与WADC的结果与分析

基于KNN的ADM与WADC的集成如图5所示，用于闭环仿真中的试验和评估。使用ZoH以信号数据速率(60 fps)的时间步长作为输入，并将值传输到缓冲区从而保持12：00窗口。经过训练的机器学习模型使用特征作为输入并预测活动状态类型，缓解模块使用活动类型和WADC信号生成具有攻击弹性的WADC信号和状态数据，并将这些数据反馈给部署在发电机3上的广域执行模块。

在正常情况和电压扰动情况下，针对脉冲和斜坡隐身网络攻击向量，所提出的ADM和WADC的性能如图9、图10所示。所使用脉冲攻击向量持续1～10 s的坡道攻击向量，据观察，即使在攻击完成约1 h后，对连接线潮流影响仍然持续1～2 s。此外还发现，脉冲攻击引入了频率分量，并在攻击期间将功率流降低到较低的稳态值，另外它还可以在攻击开始时注入超调量。然而在攻击期间，坡道攻击将功率流提高到较高的稳态值，而且它还在攻击开始时注入高振幅超调量。

除稳定性和系统运行对电力系统的影响外，为了评估攻击向量对连接线潮流的影响轨迹特征，计算了特征参数，如峰值超调量、稳定时间、上升时间和振荡分量。

在电力系统正常运行的情况下，如图9(a)所示，无论是对PMU-2信号还是对WADC信号进行脉冲攻击时，线路潮流振荡轨迹增大。然而，当脉冲攻击PMU-5信号时，连接线功率流的超调量较大，振荡轨迹相对减小。

图9 ADM的脉冲攻击性能Fig.9 Pulse attack performance of ADM

图10 ADM的斜坡攻击性能Fig.10 Ramp attack performance of ADM

在正常电力系统运行的情况下，如图10(a)所示，当WADC信号或PMU-2上发起坡道攻击时，连接线潮流都经历了正的峰值超调。然而，当对PMU-2信号发起坡道攻击时，连接线潮流经历了振幅相对较小的负峰值超调。ADM将WADC状态设置为本地信号模式，如图9所示，其中连接线间潮流具有与系统在基于本地信号的执行器上工作时相同的阻尼特性。

3.4 异常检测分析

训练后以及未经训练的机器学习模型的真性和假性分别如图11(a)和图11(b)所示，可以看出，经过训练的具有特定邻域特征的机器学习模型在所有活动中都具有更高的检测精度，经过训练的KNN-机器学习模型具有更好的性能，准确率为96.5%。该模型预测存在不到1%的攻击活动误判为正常状态，3%的攻击活动被判定为扰动和攻击活动，该模型预测扰动和攻击均作为扰动的有1%，另外还有5%的视为攻击。通过隐蔽网络攻击向量，扰动和攻击的特征模式可以接近扰动特征，这给机器学习的高精度检测性能带来了巨大挑战。TKEO和WASM等邻域特征的加入为改善机器学习模型提供了更好的方法，以94%的准确率检测扰动和攻击活动，另外可以通过微调机器学习模型的参数和动态窗口长度来进一步改进模型。

3.5 缓解技术评估

根据所定义的基于模型的缓解技术，缓解操作在正常和电压扰动操作条件下响应脉冲和坡道隐身网络攻击向量的有效性如图9、图10所示。虽然它在大多数情况下都有效，但规则限制了在扰动和攻击场景的扰动期间切换到基于本地信号的执行器。通过设计一种统计或基于模型的技术来合成近似的WADC信号，以用作缓解操作，从而解决缓解模块的局限性。然而，只能在对受损测量信号进行攻击的情况下发送近似的信号。如果控制信号受到攻击，则必须切换到本地模式，以实现位于控制中心的集中式ADM的无缝操作。可以通过在每个执行器部署一个ADM来进一步解决该限制，同时权衡分散ADM操作在管理、安全和计算复杂度方面会增大难度。

图11 模型的检测精度Fig.11 Detection accuracy of model

4 结论

为了建立攻击弹性，以抵抗对测量信号和控制信号段的隐蔽网络攻击，提出了一种基于机器学习缓解策略的广域阻尼控制系统异常检测方法。在2区域4机电力系统的测试环境下对本文方法的性能进行了评估，得出如下结论。

(1)所提出的经过训练的具有特定邻域特征的机器学习模型具有更高的检测精度和检测效率，证明经过训练的KNN机器学习模型具有更好的异常检测能力。

(2)所提出的缓解操作在正常和电压扰动操作条件下对脉冲和坡道隐身网络攻击向量具有较好的鲁棒性和抵抗能力。

(3)PSS的放大增益可以在较弱放大信号的情况下提供相对较好的控制效率，另外WADC对IAO模式的阻尼影响较为显著。