现代能源基础设施正快速演变为典型的网络物理系统:物理电力输配网络与数字通信和控制系统高度耦合。数字化显著提升了调度效率和运行灵活性,但同时也让电网暴露在更加复杂、多样的网络安全威胁之下。
为应对这些新型风险,研究人员提出了一种全新的人工智能(AI)检测方法,将电网的网络结构分析与运行数据追踪结合起来,用于识别传统安全系统往往难以发现的复杂攻击行为。相关成果已发表在《国际全球能源问题杂志》上。
能源基础设施尤其容易受到高级持续性威胁(APT)的影响。与普通的局部故障不同,APT攻击往往具有长期潜伏和隐蔽渗透的特点,攻击者可以在较长时间内悄然窃取数据或操纵控制信号。其中一个典型风险是假数据注入(FDI)攻击:通过篡改传感器测量值,向调度员或自动控制系统提供错误信息。这类伪造数据可能导致电力潮流出现严重偏差,进而引发大范围供能中断,甚至影响整个区域的物理燃料供应安全。现实中,这些漏洞既可能被勒索软件利用,也可能在国际冲突背景下被当作关键基础设施打击手段。
这类入侵之所以难以发现,一个重要原因在于攻击指令往往伪装成正常操作行为,与日常控制流量高度相似。传统检测方案多依赖“签名”机制,即基于历史已知攻击样本预先定义规则和特征。一旦出现全新的“零日”漏洞,或攻击模式与既有特征不匹配,这类基于签名的系统就很难发挥作用。
新提出的AI方法同时利用两类关键信息:
- 结构信息:包括变电站、线路、控制中心等设备的物理拓扑,以及它们之间的数字通信关系;
- 时间信息:包括控制指令、测量信号等随时间变化的序列数据。
研究团队构建了一个双层深度学习架构:
- 图神经网络(GNN) 用于刻画电力系统的空间和结构布局,帮助AI理解各设备和节点之间的物理与逻辑连接关系;
- Transformer模型 用于分析时间序列数据,捕捉指令和信号在时间维度上的演变模式。
通过这种时空融合的AI检测框架,系统不仅能“看见”电网基础设施的整体结构,还能“理解”其在运行过程中的动态变化,从而识别那些分阶段、跨多个节点协调实施的复杂攻击。这类攻击如果只从单一时间点或单一设备视角观察,往往看起来毫无异常。
在标准网络安全数据集上的测试结果显示,该AI模型的检测准确率超过 93%。更为关键的是,它能够在攻击启动后不到两秒的时间内发出可疑行为预警。这表明,利用此类时空深度学习方法,为电力基础设施构建接近实时的网络攻击防护机制在技术上是可行的。
