FalsEye：使用 IceCube 优化的集成学习主动检测智能电网中的虚假数据注入攻击

在数字世界中让灯光持续亮着

现代电网正迅速转型为依赖持续数字数据流以保持电力平稳输送的“智能”系统。但正是这种连接性带来效率的同时，也为网络犯罪分子打开了可以悄然篡改传感器读数和控制信号的大门。本文提出了 FalsEye，一种新的智能看门狗，旨在尽早识别这些隐藏的数据攻击，从而在大范围停电、设备损坏和服务中断蔓延到家庭和企业之前予以防止。

当伪造数据威胁真实电力时

智能电网依赖传感器和控制装置向运营者实时报告输电线路上的状况。虚假数据注入攻击（FDIAs）通过微妙地篡改这些测量值，使电网在事实上承受压力时看似正常，或诱骗设备采取错误的动作。乌克兰的真实事件以及美国的未遂攻击表明，这并非理论上的担忧：精心制作的恶意数据可以关闭变电站并导致大规模停电。由于实际攻击相对于正常运行非常罕见，且攻击者能够不断改变策略，传统的基于规则的警报和标准机器学习工具往往会错过最危险的情况。

为何早期防御不足以奏效

研究人员尝试了多种方法来检测 FDIA，从统计检验和信号处理技巧到先进的神经网络。许多方法在受控测试中表现良好，但在真实电网环境中往往力不从心。一个关键问题是数据不平衡：正常行为的样本远多于攻击样本，因此模型会学会非常善于识别常态，却很难捕捉稀有且有害的情况。其他方法只使用单一模型或依赖手工选择的固定参数，这在电网变化或攻击者改变策略时可能适应性差。作者回顾了数十年的先前工作，发现现有系统没有将被证明有帮助的三要素充分结合：强大的模型集成、对稀有事件的智能平衡，以及系统参数的系统化调优。

构建更聪明的看门狗

FalsEye 将这些缺失的环节整合到一个流水线中。它以一个公开可用的智能电网测试系统的测量数据为起点，包含自然事件和各种模拟攻击。利用称为特征选择的技术，该框架首先挑选数据中最有信息量的部分，例如在攻击期间容易发生变化的电压、电流和频率变化。然后应用一种自适应过采样方法 ADASYN，它在数据空间中较难学习的区域生成逼真的额外攻击样本，尤其针对那些稀有的攻击模式。这有助于系统学习攻击的样子，而不会被人工噪声淹没。

汇聚多种智能并精细调优

FalsEye 的核心是一个投票集成，汇集了多种机器学习模型，包括像 Extra Trees、LightGBM 和 CatBoost 这样快速的基于树的方法，以及更传统的分类器。系统不信任任何单一模型，而是通过“软投票”混合它们的概率估计，使某一模型的弱点可以被其他模型的强项弥补。为了从这些组件中榨取最佳性能，作者引入了一种受粒子在冰中扩散与冻结机制启发的新优化方法，称为 IceCube 优化（IO）算法。IO 探索基模型参数的不同组合，引导它们朝向能最好识别少数攻击类的配置。第二步使用标准的网格搜索对这些有前景的设置进行精细打磨，以确保它们在不同数据切片上可靠工作。

效果如何？

为测试 FalsEye，研究人员使用了橡树岭国家实验室的标注数据集，该数据集模拟了包含各种故障和攻击场景的真实输电网络。他们将 FalsEye 与多种常见机器学习模型以及近年研究中的若干最先进检测方案进行了比较。在对安全最重要的指标——尤其是召回率（反映检测到的实际攻击数量）——的衡量上，该新框架持续名列前茅。其总体准确率达到了 99%，即使在攻击极其罕见时（例如每一千次正常事件才发生一次攻击），对攻击案例的召回率仍然很高。系统在不同不平衡水平下保持稳定，表明它能够应对网络攻击虽罕见但潜在破坏性巨大的现实。

这对普通用户意味着什么

FalsEye 表明，通过周到地结合多种学习方法、平衡稀缺的攻击数据并仔细调优系统设置，可以为智能电网构建更为警觉的防护。对非专业读者而言，结论很简单：更智能的软件可以使我们日益数字化的电力基础设施更难被伪造数据欺骗。如果被采纳并集成到实时监控中，像 FalsEye 这样的方案有助于在网络威胁数量和复杂性增长的同时，提升电力的可靠性与韧性。

引用: Sheta, A.N., Osman, S.F., Eladl, A.A. et al. FalsEye: proactive detection of false data injection attacks in smart grids using IceCube-optimised ensemble learning. Sci Rep 16, 9093 (2026). https://doi.org/10.1038/s41598-026-38723-0

关键词: 智能电网安全, 虚假数据注入, 网络攻击检测, 机器学习集成, 不平衡数据