使用可解释机器学习检测智能电网中的干扰和网络攻击

为何维持供电如今依赖于数据

电力网络已不仅仅是金属塔和旋转的涡轮机。它们已深度数字化，布满传感器和计算设备以维持电力平稳输送。这套数字神经系统同时也为黑客打开了新通道，而风暴、设备故障和人为失误仍然威胁着物理网络。本文探讨了如何用单一且可解释的机器学习框架监视电网，识别自然故障与网络攻击，并向运行人员清楚展示报警的原因。

一套神经系统，多种故障形式

现代“智能电网”将负责输送电能的运行技术与负责传输数据的信息技术融合在一起。高压线路上的传感器每秒几十次测量电压、电流和频率。控制面板记录开关操作，网络监控器标记可疑流量。在现实中，一条线路接地短路与经过精心伪造的数据攻击在这些数据流中可能表现得令人困惑地相似。传统保护系统通常将硬件故障与网络事件视为独立问题，常使用难以解释的黑箱模型。作者认为，运行人员真正需要的是一个能够实时区分正常运行、自然扰动与恶意行为并解释其判断依据的统一视图。

教会机器识别电网“故事”

该研究基于橡树岭国家实验室及其合作伙伴创建的高保真测试台的丰富公开数据集。该测试系统模拟了37种详细场景的输电网，包括线路故障、维护、正常条件，以及几类网络攻击方式，如虚假数据注入、重放继电器日志和远程跳闸命令。每个记录事件捆绑了来自不同来源的128个同步测量：快速传感器读数、继电器日志、网络入侵警报和控制动作。研究人员将每个事件视为一种随时间展开的短篇故事——当问题发生时电压、电流和日志如何共同演变。

从原始信号到明确决策

为了将这些故事转化为可靠警告，框架遵循了一个精心分阶段的流水线。首先，通过填补缺失值、抑制异常值并缩放测量值来清洗数据，以避免某个特征仅因单位而占据主导。接着，使用多种特征选择策略去除冗余，包括随机森林重要性、主成分分析、递归消除和互信息。这一步旨在保留那些真正有助于区分事件类型的测量，从而加速学习并可能提高准确性。精炼后的数据随后输入一系列机器学习模型——如随机森林、梯度提升、支持向量机和神经网络——其参数由名为Optuna的优化工具自动调优，以在速度与正确性之间取得最佳平衡。

看进黑箱内部

当决策影响国家电网时，单有高准确率还不够。运行人员必须信任并理解算法为何会判断“这是一次网络攻击”而非“这是暴风引发的故障”。为打开这个黑箱，作者采用了一种可解释人工智能技术，称为置换 SHAP。本质上，它通过打乱某个特征（例如特定电压相角或某次电流读数）并观察模型性能如何变化，来衡量该特征对最终决策的贡献。在中等级别（三类）和细粒度（37类）任务中，这种方法突出了一组一致的关键测量：若干策略性布置传感器的特定电压相角、电压幅值和零序电流。这些结果与电力系统物理规律相符，使专家能够确信模型在“关注”电网的正确部位。

实际效果如何

该框架在三种难度逐步增加的设置中进行了测试：将攻击与非攻击分离（二元）、区分攻击、自然事件与无事件时期（三类），以及精确定位37种特定场景中的哪一种（多类）。针对特定电网条件的单个数据集，最佳模型在精确率、召回率、F1 分数、准确率和特异性上通常超过96%。即使在将多种场景汇聚以模拟更为多样的现实条件时，平均性能仍保持在93%以上。推断——对新事件进行分类所需的时间——在标准硬件上每个样本低于0.1秒，足以满足典型电网控制的时间尺度。较昂贵的步骤如超参数搜索和详细的 SHAP 分析在离线完成，因此不会拖慢实时监控。

对未来电网意味着什么

对非专业人士来说，结论是这项工作提供了一个实用且透明的智能电网早期预警系统。通过融合多种传感器与日志数据，框架能够判断某次扰动是普通故障、无害的运行变更，还是伪装成自然事件的隐秘网络攻击——并展示推动该判断的测量项。作者也指出了若干未决挑战，例如应对全新的攻击类型和不断变化的运行条件，但他们的结果表明，可解释的机器学习有望成为保持未来高度数字化电力系统可靠与安全的核心工具。

引用: Farsi, M., Alwateer, M., Alsaedi, S.A. et al. Detection of disturbances and cyber-attacks in smart grids using explainable machine learning. Sci Rep 16, 9834 (2026). https://doi.org/10.1038/s41598-026-35449-x

关键词: 智能电网安全, 网络物理攻击, 入侵检测, 可解释人工智能, 电力系统监测