随着能源系统数字化进程加速，智能电网等网络物理系统（Cyber-Physical Power Systems, CPPS）已成为关键基础设施的核心。然而，这种深度融合也带来了前所未有的网络安全挑战——传统基于防火墙和规则库的被动防御机制难以应对日益复杂的网络攻击，尤其是能够绕过常规检测的虚假数据注入攻击（False Data Injection Attacks, FDIA）。更严峻的是，多数现有研究仅关注攻击发生后的检测，而忽视了攻击前可能存在的细微行为异常，导致防御窗口期严重滞后。

针对这一关键问题，来自国内的研究团队在《Array》发表了一项突破性研究，首次系统性地将无监督机器学习模型应用于电网预攻击阶段检测。研究团队创新性地采用隔离森林（Isolation Forest）算法分析IEEE 118-bus系统的时间序列数据，通过计算异常分数阈值成功捕捉到攻击前的微妙行为偏移。实验结果表明，该方法不仅对完整攻击实现100%检测准确率和1.0的AUC值，更能提前识别12-18个预攻击阶段，为电网安全提供了宝贵的预警时间窗口。

研究团队主要运用了三种关键技术方法：首先基于MATLAB Simulink构建了包含305个特征的IEEE 118-bus系统仿真环境，模拟正常操作和多种网络攻击场景；其次采用滑动窗口技术对时间序列数据进行分段分析，计算窗口内平均异常分数；最后通过对比不同阈值（0.10-0.97）下的检测效果，优化预攻击识别的敏感性与特异性平衡。

在系统建模分析部分，研究揭示了关键特征的行为规律：Bus Injection_110在攻击期间均值上升15%、方差翻倍，而Line Flow_163均值下降12%、方差增加50%，这些特征成为异常检测的重要指标。通过对比正常与攻击状态下的时间序列曲线，发现预攻击阶段存在明显的渐进式异常积累现象。

异常检测性能测试显示，Isolation Forest以100%准确率、100%敏感性和零误报率显著优于DBSCAN（AUC 0.79）、One-Class SVM（AUC 0.62）和K-Means（AUC 0.33）。混淆矩阵验证其完美区分191个攻击样本和11个正常样本的能力。与现有技术对比中，该模型在准确率、敏感性等指标上全面超越基于堆叠自编码器（99.3%）和CNN-LSTM（95.4%）等方法。

预攻击阶段检测成果尤为突出：设置阈值0.3时可检测12个预攻击阶段且仅7%误报率，而阈值0.97虽将误报降至1%但仅捕获2个阶段。通过分析异常分数时序曲线，发现攻击前45-50时间步已出现可辨识的渐变趋势，证明预攻击行为具有可检测性。

该研究开创性地将机器学习应用于电网攻击早期预警，其提出的阈值优化框架为平衡检测时效性与误报率提供了方法论指导。尽管存在对隐蔽攻击敏感性不足等局限，但通过集成多模型验证和时序模式分析，显著提升了关键基础设施面对APT（Advanced Persistent Threat）攻击的防御能力。这些成果不仅为智能电网安全树立了新标准，更为其他网络物理系统的主动防御策略开发提供了重要参考范式。