在现代电力系统中，随着可再生能源、电力电子转换器以及非线性负载的广泛应用，电网中的电能质量扰动（Power Quality Disturbance, PQD）现象变得日益复杂和频繁。这些扰动可能对电力设备的正常运行造成严重影响，甚至威胁整个电力系统的安全稳定。因此，准确识别和分类PQD信号成为电力质量监测系统的一项关键任务。目前，深度学习（Deep Learning, DL）技术因其在特征提取和分类任务中的优异表现，已被广泛应用于PQD信号的识别与分类。然而，随着DL模型在实际中的广泛应用，其安全性和鲁棒性问题也逐渐受到关注。特别是，DL模型容易受到对抗样本（Adversarial Examples）的攻击，这种攻击能够通过微小的扰动误导模型，使其做出错误的分类决策，从而对电力系统的正常运行构成潜在威胁。

对抗样本攻击通常被划分为白盒攻击和黑盒攻击两种类型。在白盒攻击中，攻击者需要对目标模型的结构和参数有完全的了解，才能生成有效的对抗样本。相比之下，黑盒攻击则不需要这些信息，攻击者仅依赖于对模型输出的观察，通过替代模型（Surrogate Model）生成对抗样本。由于在实际应用中，攻击者往往难以获取目标模型的详细信息，黑盒攻击被认为是更具现实威胁的攻击方式。因此，研究针对PQD分类系统的黑盒攻击及其防御方法具有重要的现实意义。

本文的研究重点在于构建一种针对CNN-based PQD分类系统的黑盒攻击方法，并提出相应的防御策略。首先，我们使用卷积神经网络（Convolutional Neural Network, CNN）对多种PQD信号进行分类，以评估CNN在PQD识别中的表现。接着，我们引入了一种基于方差调整的动量迭代快速梯度符号方法（Variance-Tuning Momentum Iterative Fast Gradient Sign Method, VMI-FGSM）作为黑盒攻击方法。VMI-FGSM在传统的MI-FGSM基础上增加了方差调整策略，通过在迭代过程中利用先前数据点的邻域梯度信息，稳定梯度更新的方向，从而提升对抗样本的迁移性（Transferability）。实验结果表明，VMI-FGSM生成的对抗样本在保持扰动水平与MI-FGSM相近的情况下，对目标CNN模型的误导效果更为显著。

为了应对VMI-FGSM带来的安全威胁，我们提出了一种基于生成对抗网络（Generative Adversarial Network, GAN）的扰动消除防御方法（Perturbation Removal Defense with GAN, PRD-GAN）。PRD-GAN由一个生成器和一个判别器组成，其中生成器负责将对抗样本重新映射回原始信号，而判别器则协助生成器生成更接近原始信号的重构信号。该方法的核心思想是通过训练生成器，使其能够有效去除对抗样本中的扰动，从而恢复信号的原始特征，提高分类的准确性。实验表明，PRD-GAN在不同强度的黑盒攻击下均能有效重构对抗样本，相较于传统的多级去噪自编码器（Multi-Level Denoising Autoencoder, ML-DAE）方法，其防御效果更为显著。

在实验设置方面，我们基于参考文献（Igual et al., 2018）提供的数学模型，生成了16种PQD信号。这些信号包括8种单一扰动（L1-L7和L10）和8种复合扰动（L8, L9, L11-L16）。每种信号类别生成了1000个样本，总计形成16,000个样本的训练集。为了验证所提出的方法，我们设计了一系列实验，比较了VMI-FGSM与MI-FGSM在攻击效果上的差异，并评估了PRD-GAN在防御能力上的表现。实验结果表明，VMI-FGSM在保持扰动水平与MI-FGSM相近的前提下，对CNN模型的误导效果更强，表明其在黑盒攻击场景下的有效性。同时，PRD-GAN在不同强度的攻击下均表现出优于ML-DAE的防御性能，能够更有效地去除对抗样本中的扰动，从而保护PQD分类系统的安全性。

此外，本文还探讨了PQD分类系统中对抗攻击的动机与背景。对抗样本攻击的目的是通过在原始样本上添加微小的扰动，使深度学习模型产生错误的分类结果。因此，一种直观的防御策略是去除这些扰动，恢复样本的原始特征。由于对抗扰动可以被视为一种特殊的噪声，因此可以借鉴有效的去噪技术来增强模型的鲁棒性。在电力系统中，PQD信号的分类与识别具有高度的实时性和准确性要求，任何细微的扰动都可能影响分类结果，进而导致电力系统运行异常。因此，针对PQD分类系统的对抗攻击防御研究具有重要的实际价值。

为了进一步验证所提出方法的有效性，我们设计了多个实验来评估VMI-FGSM攻击与PRD-GAN防御在不同条件下的表现。实验结果显示，VMI-FGSM攻击在多种黑盒攻击强度下均能有效降低目标CNN模型的分类性能，而PRD-GAN防御则能够在相同条件下显著提升模型的分类准确性。这些结果表明，VMI-FGSM攻击方法在黑盒攻击场景下具有较高的有效性，而PRD-GAN防御方法则具备较强的鲁棒性，能够有效应对多种类型的对抗攻击。

从研究贡献来看，本文主要在三个方面进行了创新。首先，我们提出了一种新的黑盒攻击方法VMI-FGSM，该方法通过引入方差调整策略，增强了对抗样本的迁移性，使得攻击在不同模型之间更具普适性。其次，我们设计了一种基于GAN的防御策略PRD-GAN，该方法利用生成器和判别器的协同作用，有效去除对抗样本中的扰动，从而提升分类模型的鲁棒性。第三，我们通过实验验证了所提出方法的有效性，表明VMI-FGSM在攻击效果上优于传统的MI-FGSM方法，而PRD-GAN在防御能力上也优于现有的ML-DAE方法。

总体而言，本文的研究为PQD分类系统的安全性提供了新的视角和解决方案。通过引入VMI-FGSM攻击方法，我们揭示了当前CNN-based PQD分类模型在面对黑盒攻击时的脆弱性，同时提出了PRD-GAN防御策略，以增强系统的鲁棒性。这些研究成果不仅有助于提升电力系统中PQD分类的安全性，也为其他基于深度学习的电力系统应用提供了参考价值。未来的研究可以进一步探索不同类型的对抗攻击对PQD分类模型的影响，以及更高效的防御策略，以应对日益复杂的网络安全挑战。