随着智能电网与能源互联网的不断发展,电网通过大量采集终端设备与信息网络逐渐形成实时感知、动态控制、安全监测和应用服务的电力信息物理融合系统。信息系统终端设备与信息处理中心的数据交互使电网物理系统面临更多潜在攻击威胁,攻击者通过黑客手段可对信息系统进行恶性数据注入或者直接对网络进行破坏,进而导致物理系统故障甚至瘫痪,并且攻击者针对电网信息物理融合系统制造的攻击大多不是单独攻击,而是由一系列具有相关关系的攻击组成的。然而目前传统电网安全监测大多针对数据阈值采用统计方法进行数据异常检测,不能有效提取电网中恶性数据,也不能分析出恶性数据之间所具有的相关关系。因此,为解决以上问题,本课题在定义恶性数据链的基础上提出一种恶性数据链识别方法,能够帮助电网安全工作人员了解攻击者攻击过程,提升电网防御水平,为建立电网主动防御系统打下基础。本文从两个方面对电网信息物理融合系统恶性数据链的识别方法进行了研究。为提升电网大数据背景下恶意数据的提取效率,提出了基于重复神经网络与自组织神经网络模型的两阶段恶性数据提取方法,基本思路是将提取任务分为恶性数据检测与恶性数据提取两个阶段:恶性数据检测阶段采用基于重复神经网络的方法按照时间序列从电网大数据中过滤掉正常数据集,减少恶性数据提取所需数据处理量;恶性数据提取阶段采用自组织神经网络建立转移概率矩阵,对连续小概率转移恶性数据进行提取。为识别出隐藏在恶性数据集中的恶性数据链,设计了一种基于连续公共项集的恶性数据链识别算法,算法通过建立时标频繁模式树,保存具有时序特征的恶性数据集,之后采用项合并策略进行剪枝,优化搜索空间规模,提升频繁项集挖掘效率。借助连续公共项集从该频繁项集中识别出恶性数据链。本文利用电网恶性数据检测与提取方法和基于连续公共项集的恶性数据链识别算法并结合实际电网遥测与通信系统数据,进行效果验证,结果表明采用本文算法比传统方法在效率与效果方面更适合大数据环境下的数据检测与提取,并且识别出的恶性数据链能够反映攻击者的攻击偏好。