王 坤，蘇 盛，趙 奕，王冬青，曾祥君，曹一家

（1. 清潔能源與智能電網(wǎng)湖南省協(xié)同創(chuàng)新中心（長沙理工大學），湖南省長沙市410114；2. 許繼集團有限公司，河南省許昌市461000；3. 北京科東電力控制系統(tǒng)有限責任公司，北京市100192）

0 引言

作為現(xiàn)代社會的關(guān)鍵性基礎(chǔ)設(shè)施，電力系統(tǒng)是網(wǎng)絡(luò)攻防對抗的重要目標［1-2］。中國電力行業(yè)高度重視網(wǎng)絡(luò)安全防護，依托調(diào)度數(shù)據(jù)專網(wǎng)，構(gòu)筑了基于物理隔離的邊界安全縱深防衛(wèi)體系［3-5］。近年來，大面積建設(shè)了安全態(tài)勢感知系統(tǒng)［6-7］并開始在電力工控終端中應(yīng)用基于電力專用中央處理器（central processing unit，CPU）和實時操作系統(tǒng)的可信計算技術(shù)，可將電力系統(tǒng)安全防護推入主動防護的新階段［8］。中國電力行業(yè)在技術(shù)上和管理上具備了有效防范一般性安全威脅和具有有限資源的有組織攻擊的能力。大國博弈時代背景下，網(wǎng)絡(luò)空間戰(zhàn)略地位快速上升，國家支持的、面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)空間競爭已發(fā)展為現(xiàn)實的威脅［9-10］。如何應(yīng)對國家支持型攻擊是必須直面的挑戰(zhàn)。

國家支持型攻擊掌握豐富資源，可不計成本地針對特定對象跨領(lǐng)域組織專家量身定制惡意軟件，以達成預(yù)定的攻擊破壞任務(wù)。首開攻擊物理隔離工業(yè)控制系統(tǒng)先河的Stuxnet 就是典型的國家支持型攻擊。它利用零日漏洞并借助優(yōu)盤擺渡入侵物理隔離的工業(yè)控制系統(tǒng)，基于對目標對象的先驗知識，精準破壞大批鈾離心機，最終導(dǎo)致伊朗核計劃流產(chǎn)［11-13］。除具有基于先驗知識的高度定制化特征外，國家支持型攻擊往往還會通過多技術(shù)手段［14］或多站點的協(xié)同來最大化攻擊后果，如Stuxnet 是前者的代表［15-16］，而BlackEnergy 則混合使用2 種形式的協(xié)同［17］。

電力安防領(lǐng)域圍繞協(xié)同攻擊的建模和檢測開展了大量研究。

1）錯誤數(shù)據(jù)可能誘發(fā)錯誤的控制決策，是潛在的協(xié)同攻擊途徑。在掌握電網(wǎng)知識的條件下，可以選擇虛假數(shù)據(jù)攻擊向量，攻擊破壞系統(tǒng)的監(jiān)控功能［18-19］?；跉埐顧z測和突變量檢測等方法，可檢測虛假數(shù)據(jù)注入攻擊［20］。

2）攻擊烏克蘭電網(wǎng)的BlackEnergy 和Industroyer 都伴隨有明顯的通信異常［21-22］，可根據(jù)流量異常進行檢測識別。利用變電站通信流量在時域上和時頻域上的對應(yīng)特性，可建立流量模型，檢測異常［23-24］。

3）安全態(tài)勢感知可融合多源信息，更準確地檢測安全威脅［25］。利用多個變電站入侵檢測日志之間的關(guān)聯(lián)性［26］以及單個變電站中一、二次系統(tǒng)間運行狀態(tài)的關(guān)聯(lián)性［27］進行安全態(tài)勢感知，也可以挖掘高隱蔽性的異常，提高異常檢測的準確率。

需要指出的是，前述虛假數(shù)據(jù)注入攻擊檢測方法不能識別基于旁路控制的斷路器跳閘攻擊?；诹髁慨惓５娜肭謾z測和融合多源信息的態(tài)勢感知均要求入侵攻擊有較明顯異常，難以識別檢測經(jīng)供應(yīng)鏈渠道侵入且不表現(xiàn)出明顯異常的入侵攻擊。中國變電站自動化系統(tǒng)由單向網(wǎng)閘隔離保護，并配置有訪問控制等安防系統(tǒng)，侵入廠站生產(chǎn)控制區(qū)的惡意軟件相互通信容易提前暴露，難以通過攻擊協(xié)同實現(xiàn)最大化后果的目的。采用無通信的方式從多個變電站發(fā)起協(xié)同跳閘攻擊和觸發(fā)大停電，是國家支持型攻擊達成目標的合理選擇。

針對變電站遭斷路器協(xié)同跳閘攻擊導(dǎo)致多個變電站全停事故的問題，文獻［28］分析了不同攻擊組合下的母線停運損失，因其未考慮攻擊協(xié)同機制，難以為設(shè)計針對性的防護措施提供參考。

1 變電站自動化系統(tǒng)時間同步協(xié)同攻擊

1.1 變電站跳閘攻擊

變電站自動化系統(tǒng)直接控制電網(wǎng)運行，是電力系統(tǒng)網(wǎng)絡(luò)攻防對抗的重要場所。由于中國電力系統(tǒng)已構(gòu)建較完備的防護體系，加強變電站安防需著重考慮應(yīng)對國家支持型攻擊。

針對變電站的惡意軟件滲透入侵后可能有多種攻擊破壞模式。在不具有相關(guān)專業(yè)知識的條件下，常用攻擊的模式是拒絕服務(wù)攻擊、格式化和鎖定系統(tǒng)［29］，但此類攻擊只會使得系統(tǒng)失去保護，并不直接觸發(fā)電網(wǎng)安全事故。另一種模式是向調(diào)度系統(tǒng)注入虛假量測數(shù)據(jù)，誘導(dǎo)廣域保護誤動［30-31］。盡管美國曾經(jīng)因為錯誤數(shù)據(jù)發(fā)生過停電事故，但可能受到錯誤數(shù)據(jù)識別機制和廣域保護業(yè)務(wù)邏輯中防誤設(shè)計的 影 響，造 成 的 損 失 相 對 有 限［32］。從Stuxnet、BlackEnergy 和Industroyer 的攻擊模式來看，國家支持型攻擊更多的是在獲取控制權(quán)限后，根據(jù)先驗知識直接進行旁路控制。

變電站自動化系統(tǒng)基于可擴展標記語言（extensible markup language，XML）生成，包含變電站電壓等級和網(wǎng)絡(luò)通信拓撲結(jié)構(gòu)等參數(shù)的變電站配置文件［33］，具體如附錄A 圖A1 所示。攻擊方可借助反向工程獲得目標系統(tǒng)的先驗知識。在此基礎(chǔ)上，研制的惡意軟件經(jīng)供應(yīng)鏈渠道等方式繞過物理隔離和安全屏障滲透進入變電站生產(chǎn)控制區(qū)。獲得控制權(quán)限后，按規(guī)則解析變電站配置文件，獲取站內(nèi)斷路器控制信息。然后，檢測目標系統(tǒng)是否滿足預(yù)設(shè)邏輯條件。在不滿足預(yù)設(shè)邏輯條件時，不會主動發(fā)起攻擊，一旦滿足預(yù)設(shè)邏輯即跳開站內(nèi)全部斷路器，造成全停事故。2016 年底，具有國家支持背景的Industroyer 滲透侵入烏克蘭一座220 kV 變電站后，即根據(jù)變電站描述文件獲得站內(nèi)各斷路器控制信息［34］。在檢測到系統(tǒng)時間達到預(yù)設(shè)時間后，自動匹配變電站通信協(xié)議，發(fā)起跳開全部斷路器的跳閘攻擊，造成全停事故［35］。

實際系統(tǒng)中，基于邏輯條件啟動的惡意代碼曾多次出現(xiàn)，比較常見的邏輯條件是時間邏輯。2013 年，木馬軟件潛入韓國主要銀行和電視臺后，按預(yù)設(shè)邏輯于3 月22 日14:00 破壞硬盤數(shù)據(jù)文件和啟動引導(dǎo)區(qū)后重啟系統(tǒng)，造成3 家電視臺和2 家銀行計算機系統(tǒng)癱瘓，無法提供服務(wù)［36］。近年來，隨著電力系統(tǒng)網(wǎng)絡(luò)攻防研究的深入，也出現(xiàn)了在電網(wǎng)頻率控制中利用邏輯炸彈進行攻擊破壞的研究［37-39］。

1.2 變電站自動化系統(tǒng)無通信時間同步協(xié)同攻擊

現(xiàn)代互聯(lián)電網(wǎng)中，盡管單個變電站遭入侵攻擊而失壓全停會造成重大損失，但并不足以危及整個電網(wǎng)。對于國家支持型攻擊而言，侵入變電站發(fā)起跳閘攻擊只是達成目標的技術(shù)手段，最大化攻擊后果、造成大停電才是最終目標。從攻擊方視角來看，侵入多個變電站后同步發(fā)起協(xié)同攻擊，導(dǎo)致大量變電站全停，是觸發(fā)大停電事故的有效手段［40］。

2015 年，具有國家背景的有組織攻擊方在烏克蘭電網(wǎng)多座變電站中植入BlackEnergy 后，遠程遙控斷路器發(fā)起跳閘攻擊，造成7 座110 kV 和23 座35 kV 變電站全停的大停電［41-43］。盡管BlackEnergy的技術(shù)水平低于Industroyer，但它采用了多站點協(xié)同攻擊，造成的破壞后果明顯大于后者。中國電力系統(tǒng)采用專網(wǎng)通信，類似BlackEnergy 遠程遙控跳閘的攻擊模式難以奏效。由于變電站中有地址和端口屏蔽等入侵檢測機制，不同變電站間惡意軟件經(jīng)通信實現(xiàn)攻擊協(xié)同容易被檢測暴露。國家支持型攻擊會探明目標系統(tǒng)的防護機制，為繞過上述安全防護手段，有可能采用無通信的隱蔽方式進行攻擊協(xié)同。

現(xiàn)代電力系統(tǒng)中，為搞清電網(wǎng)故障時繼電保護動作時序，要求基于準確對時的統(tǒng)一時鐘記錄動作時間。早期的調(diào)度中心和變電站間由調(diào)度主機服務(wù)器經(jīng)遠動通道與各廠站進行廣播對時。隨著北斗和全球定位系統(tǒng)（global positioning system，GPS）的普及應(yīng)用，調(diào)度與變電站中已普遍配置基于全球同步時鐘的電力系統(tǒng)時間同步裝置，并在廠站內(nèi)部采用IEEE 1588 協(xié)議授時，可對站內(nèi)事件序列打印全球同步時間標簽［44-45］。攻擊方研制的惡意軟件可將各變電站的同步時鐘用作無通信的協(xié)同機制，侵入變電站后等待系統(tǒng)時鐘達到預(yù)設(shè)時間再對站內(nèi)全部斷路器發(fā)起跳閘攻擊，造成變電站全停。攻擊流程如圖1 所示。當侵入多個變電站的惡意軟件在同一時間發(fā)起攻擊時，將造成多個變電站全停，極易觸發(fā)大停電。

圖1 無通信同步的時間同步協(xié)同攻擊流程圖Fig.1 Flow chart of time-synchronized coordinated cyber-attack without communication synchronization

2 時間同步協(xié)同攻擊防護思路分析

具有背景知識的有組織攻擊方，可以根據(jù)電力監(jiān)控系統(tǒng)的工作機制和網(wǎng)絡(luò)安全防護措施，針對性地研制定向攻擊惡意軟件。因為可用的滲透入侵手段繁雜，定向攻擊又具有高隱蔽性的特點?，F(xiàn)有的安全威脅檢測和入侵檢測技術(shù)難以完全對其進行檢測封堵。

針對變電站的國家支持型攻擊會在最大化攻擊后果的目標驅(qū)動下，在同一時間從多個變電站同步發(fā)起無通信協(xié)同攻擊，造成多個變電站全停以觸發(fā)大停電。利用這一行為模式上的特點，可以從含時間邏輯惡意軟件的檢測和破壞時間同步邏輯、降低協(xié)同攻擊破壞后果等方面展開研究。

2.1 基于時間邏輯觸發(fā)的時間同步攻擊檢測

高隱蔽性定向攻擊檢測困難的原因是難以預(yù)判惡意軟件的入侵和攻擊方式，利用侵入變電站的時間同步協(xié)同攻擊惡意軟件會在系統(tǒng)到達預(yù)設(shè)時間發(fā)起攻擊的特點，可提出基于時間邏輯觸發(fā)的攻擊檢測方法［46］。通過持續(xù)加速調(diào)整被檢測電力監(jiān)控設(shè)備的系統(tǒng)時鐘，使其每隔一定的時間間隔加速相同時段，人為制造時間邏輯的觸發(fā)環(huán)境，以檢測電力監(jiān)控設(shè)備中潛伏的惡意軟件。從機理上看，當攻擊方采用時間邏輯進行無通信同步時，借助時間邏輯觸發(fā)來檢測是能保證有效性的，但所能達到的檢測成功率取決于攻擊方的時間邏輯設(shè)置和邏輯觸發(fā)的檢測方式。

對攻擊方而言，有2 種模式判斷是否滿足邏輯條件。一種模式是判斷是否大于特定時間，此時，只要超過預(yù)設(shè)時間點即可觸發(fā)，對時間檢測的間隔沒有要求，通過時間加速總能觸發(fā)時間邏輯。另一種模式是判斷當前時間是否等于特定時間。從Industroyer 的攻擊分析來看，它設(shè)置的判斷時間是整天（2016 年12 月17 日或20 日）。實際上，也可將觸發(fā)時間點設(shè)置為小時或分鐘（例如12 月17 日00:00）。但設(shè)置的時間越短，越需要頻繁檢測是否滿足邏輯，將會造成系統(tǒng)運行明顯異常，容易暴露。但拉開2 次檢測的間隔時間，又可能錯過比對判斷的時間點。攻擊方為保證在預(yù)定時間點可靠發(fā)起攻擊，將當前時間作為滿足邏輯是比較合理的方式。

實際系統(tǒng)中，可在變電站年度檢修時檢測可能潛藏的時間邏輯炸彈。其基本思路是讓設(shè)備處于電網(wǎng)正常運行的無擾動狀態(tài)時，檢測僅在系統(tǒng)時間發(fā)生改變的條件下是否發(fā)出非預(yù)期的控制命令。具體檢測流程如圖2 所示。

進行檢測時，啟動待檢測電力監(jiān)控設(shè)備，向被測設(shè)備輸入電網(wǎng)正常運行時的二次電壓和電流信號，并持續(xù)調(diào)整被檢測設(shè)備的系統(tǒng)時鐘，使其每隔一定的時間間隔調(diào)快相同時段，從而快速遍歷到未來特定時間點以前的每一時間段，滿足預(yù)設(shè)攻擊時間在該時間段的時間邏輯，以觸發(fā)其中可能潛藏的邏輯炸彈。同時，還同步檢測被測系統(tǒng)是否輸出非預(yù)期的控制指令（例如跳開斷路器或保護整定值修改指令等），若檢測到非預(yù)期控制指令，則可判斷被檢測設(shè)備中存在時間邏輯炸彈。

需要指出的是，實際上并不能排除攻擊方采用分鐘等更短時間判斷是否滿足時間邏輯的可能，此時采用“每1 s 加速系統(tǒng)時間1 h”的方式將難以有效檢測。可以在電力監(jiān)控設(shè)備軟、硬件系統(tǒng)入網(wǎng)測試時，按照“每1 s 加速系統(tǒng)時間1 min”等更細時間粒度的方式進行時間加速測試，以提高時間邏輯炸彈的檢出成功率。

2.2 同步時鐘的差異化管理

前述方法可在特定時間節(jié)點檢測電力監(jiān)控設(shè)備中的時間同步攻擊惡意軟件，但在2 次檢測間隔中潛入的時間同步攻擊惡意軟件仍可能造成危害。采用變電站時鐘差異化管理，則可釜底抽薪地破壞時間同步攻擊的協(xié)同機制，限制攻擊破壞后果［47］。

圖2 面向時間同步協(xié)同攻擊的時間邏輯觸發(fā)檢測方法流程圖Fig.2 Flow chart of time logic triggering detection method for time-synchronized coordinated cyber-attack

變電站自動化系統(tǒng)一般配置有2 套全球同步的主時鐘和1 個本地主控時鐘，整體結(jié)構(gòu)如圖3 所示［48］。各保護小室通過光纖接收2 套衛(wèi)星時鐘的時間信號，其中一個作為主時鐘，另一個作為備用標準時間源。主衛(wèi)星時間信號接收單元因跟蹤不到衛(wèi)星等原因異常時，自動切換到另一衛(wèi)星時鐘單元上獲取標準時間信號，保證本小室對時信號正常輸出。在主控室設(shè)一套擴展時鐘，主時鐘和時間擴展裝置間通過光纖連接，時間信號接收單元分別從2 臺主時鐘獲取時間信號，互為備用且自動切換，完成對本室設(shè)備的對時；擴展裝置接受主時鐘的時間信號，經(jīng)過擴展向其他裝置提供多路輸出接口。

圖3 變電站時間同步系統(tǒng)結(jié)構(gòu)Fig.3 Structure of time synchronization system of substation

利用時間同步協(xié)同攻擊基于時間取得同步的特點，破除變電站同步時鐘的同步性，可化解多點協(xié)同攻擊的隱患，將對多個變電站的攻擊轉(zhuǎn)化為對單個變電站的攻擊，顯著降低攻擊后果，提高系統(tǒng)韌性。為實現(xiàn)此目的，可在電力時間同步裝置中增加時間調(diào)整模塊，在輸出時間上增加設(shè)定的偏差，使得該站監(jiān)控系統(tǒng)處于不同的時間基準下。

在實際工程中，變電站自動化系統(tǒng)利用電力時間同步裝置取得時鐘源，可在時間同步裝置中增設(shè)如圖3 所示黃色標識的時間調(diào)整模塊。該模塊將衛(wèi)星時鐘信號按預(yù)設(shè)偏移量調(diào)整本地時鐘和接收的天基時鐘，然后向站內(nèi)設(shè)備發(fā)送經(jīng)過調(diào)整的時間信號。該時間調(diào)整模塊可用硬件實現(xiàn)，站內(nèi)不留存調(diào)整時間標記，潛入變電站的惡意軟件無法判斷準確時間。按站內(nèi)時間在約定時間進行跳閘攻擊，只會造成單個變電站全停，損失范圍可控。

根據(jù)攻擊烏克蘭電網(wǎng)的實際案例，從網(wǎng)絡(luò)攻擊造成的大停電中恢復(fù)正常需要較長時間。進行差異化管理變電站的時間偏移設(shè)置時，為避免攻擊破壞后果重疊，也為了方便管理，可將選出進行差異化管理變電站的時間滯后天數(shù)。

2.3 時鐘差異化對業(yè)務(wù)系統(tǒng)影響分析與化解

繼電保護、安全穩(wěn)定控制系統(tǒng)、能量管理系統(tǒng)和生產(chǎn)信息管理等電力監(jiān)控系統(tǒng)要求基于統(tǒng)一的時間基準運行，以滿足事件順序記錄（sequence of event，SOE）、故障錄波和實時數(shù)據(jù)采集時間一致性要求［49-50］。對變電站同步時鐘進行差異化調(diào)整，必須考慮對其他業(yè)務(wù)系統(tǒng)的影響。

1）繼電保護對可靠性要求高，為避免時鐘同步系統(tǒng)異常影響保護裝置正常工作，要求繼電保護采用獨立于全球同步時鐘的對時方式，修改站內(nèi)全球同步時鐘的同步時間不影響繼電保護系統(tǒng)正常工作。

2）電力監(jiān)控業(yè)務(wù)系統(tǒng)根據(jù)上報數(shù)據(jù)時標進行數(shù)據(jù)處理，時鐘錯誤將造成業(yè)務(wù)系統(tǒng)紊亂。因該類應(yīng)用多集中在調(diào)度端，可在調(diào)度端記錄經(jīng)過調(diào)整的變電站時間偏移量，在上報數(shù)據(jù)的入庫流程中增設(shè)時間反校環(huán)節(jié)。接收到廠站上報數(shù)據(jù)時，根據(jù)廠站名稱及編號查表確認對應(yīng)的時間偏移，進而將數(shù)據(jù)反?；卣_的時間，后續(xù)業(yè)務(wù)仍可按正常業(yè)務(wù)流程執(zhí)行，不受影響。

3）變電站數(shù)量龐大，大面積調(diào)整變電站同步時間會顯著增加檢修和維護復(fù)雜程度，帶來難以預(yù)料的后果。有必要結(jié)合脆弱性分析，選擇部分關(guān)鍵變電站進行時間差異化管理，以有限代價顯著提高在時間同步攻擊下的韌性。

3 協(xié)同攻擊仿真分析

3.1 變電站組合攻擊仿真分析

結(jié)合如附錄A 圖A2 所示的IEEE 39 節(jié)點系統(tǒng)進行多變電站協(xié)同攻擊的仿真分析。與復(fù)雜網(wǎng)絡(luò)研究中一般以母線為節(jié)點不同，在網(wǎng)絡(luò)攻擊中，攻擊方為擴大破壞后果，會選擇跳開站內(nèi)所有斷路器。因此，需要按變電站進行攻擊分析。IEEE 39 節(jié)點系統(tǒng)共有27 座變電站，總發(fā)電有功功率為6 192.54 MW，總負荷為6 149.1 MW，系統(tǒng)具體參數(shù)設(shè)置參見文獻［50］。

為簡化分析，在此不考慮變電站遭攻擊全停后負荷轉(zhuǎn)移造成連鎖過負荷、保護誤動和拒動造成的連鎖故障。對指定的攻擊場景，移除給定變電站后，潮流計算判斷電網(wǎng)保有的負荷，進而計算攻擊造成的負荷損失。詳細過程描述為:IEEE 39 節(jié)點系統(tǒng)可用節(jié)點和邊連接而成的圖G(V，E)標識，其中，V為節(jié)點集，E 為邊集。移除被攻擊變電站后，系統(tǒng)可能解列為多個子圖，記第i 個聯(lián)通子圖為Gi(Vi，Ei)，其中，Vi和Ei分別為第i 個聯(lián)通子圖的節(jié)點集和邊集。攻擊后取最大聯(lián)通子圖，記最大子圖為Gmax(Vmax，Emax)，其 中，Vmax和Emax分 別 為 最 大 聯(lián) 通子圖的節(jié)點集和邊集。負荷損失的計算公式為:

ΔPload=Pload，0-Pload，i

式中:ΔPload為攻擊損失負荷；Pload，0為系統(tǒng)正常時的總負荷；Pload，i為攻擊后第i 個聯(lián)通子圖中的變電站負荷，即攻擊后保留下來的負荷。

協(xié)同攻擊中，攻擊變電站的數(shù)量決定了可能的攻擊組合數(shù)。攻擊1 座變電站時，IEEE 39 節(jié)點系統(tǒng)中可能的攻擊組合為27 種。由于電網(wǎng)在建設(shè)規(guī)劃和投入運行時按N -1 原則進行安全校核，單個變電站失壓一般不會造成電網(wǎng)解列；攻擊2 座變電站時，攻擊組合有702 種；攻擊3 座變電站時，攻擊組合有8 755 種；協(xié)同攻擊4 座及以上的變電站時，組合情況會變得非常復(fù)雜。本文考慮協(xié)同攻擊最多3 個變電站的情況，已可有效反映對多點協(xié)同攻擊的防護效果。

仿真過程中，首先，枚舉各變電站全停組合；然后，判斷每一組合下電網(wǎng)是否解列，并計算解列后各子網(wǎng)潮流；最后，選擇最大子網(wǎng)負荷作為未受攻擊影響負荷，正常負荷與最大子網(wǎng)負荷的差值為損失負荷。計算得到各攻擊組合的負荷損失后，記錄損失負荷如附錄A 圖A3 所示，其中，縱軸為損失負荷，橫軸為組合序號。為方便對比，將單個變電站全停損失以紅色粗線標識，紅色線段上標識的編號為單個全停變電站編號，以藍色柱體標識該變電站對應(yīng)攻擊組合下的負荷損失。

1）隨機切除2 座變電站時，平均損失負荷為645.5 MW，損失負荷標準差為558.243 MW。切除1 號和24 號變電站時損失負荷達到最大，為2 943.1 MW。1 號和24 號變電站全停時電網(wǎng)結(jié)構(gòu)遭到破壞，解列成3 個子網(wǎng)，負荷損失最大。

2）隨機切除3 座變電站時，平均損失負荷為1 058.59 MW，標準差為734.43 MW。切除1 號、16 號和24 號變電站時損失負荷最大，為4 654.2 MW。此時，電網(wǎng)解列成4 個獨立子網(wǎng)，系統(tǒng)損失負荷較1 號和24 號變電站攻擊全停時進一步惡化。

3）協(xié)同攻擊變電站的數(shù)量在很大程度上決定了攻擊破壞后果。遭受攻擊的變電站數(shù)量增加時更容易破壞電網(wǎng)結(jié)構(gòu)造成解列，擴大攻擊的破壞后果。

4）若將所有變電站同步時間都進行差異化設(shè)置，每次攻擊只會造成單個變電站全停，負荷損失為圖中所示紅線，最大損失負荷為2 306 MW，平均損失負荷為677.76 MW，明顯低于多站組合損失，能有效降低協(xié)同攻擊的安全風險。

3.2 選擇性多變電站組合攻擊仿真分析

調(diào)整變電站同步時鐘將增加系統(tǒng)復(fù)雜度和維護工作量，可選擇部分關(guān)鍵變電站進行同步時鐘的差異化調(diào)整，降低維護工作量，提高所提方法在工程應(yīng)用上的實用性。復(fù)雜系統(tǒng)領(lǐng)域一般采用結(jié)構(gòu)脆弱性指標評價節(jié)點重要度。為分析選擇高重要度變電站進行防護的效果，根據(jù)文獻［51-52］描述的節(jié)點介數(shù)、節(jié)點度數(shù)、潮流介數(shù)和承載負荷等脆弱性指標，評價各變電站在電網(wǎng)中的重要性水平。計算各變電站脆弱性指標后，每種指標下排名前10 位的變電站如表1 所示。

表1 不同指標節(jié)點重要度排序表Table 1 Importance ranking of nodes with various indices

對比附錄A 圖A2 和表1 可知，5 號、6 號、21 號、25 號和26 號變電站均通過24 號變電站接入電網(wǎng)，24 號變電站遭攻擊全停時，將直接造成電網(wǎng)解列；而失去解列子網(wǎng)中的5 號至8 號的4 臺發(fā)電機，也將進一步放大攻擊的破壞后果。因此，24 號變電站的重要度在除承載負荷以外的所有其他指標中均排名第一，在整個系統(tǒng)中作用最為突出。此外，1 號變電站盡管在絕大多數(shù)指標中都排名靠后，但該站內(nèi)承載負荷高達1 104 MW，遭攻擊時將損失站內(nèi)全部負荷。因此，本文選擇關(guān)鍵節(jié)點24 號站點和負荷最重節(jié)點1 號站點進行時間差異化管理，使得這2 個變電站不與其他站點形成攻擊組合。此時變電站的攻擊組合數(shù)為7 502 種，按前述方法進行仿真計算，記錄相應(yīng)的損失負荷如附錄A 圖A4 所示，不同防護策略下?lián)p失的負荷如表2 所示。

表2 不同防護策略下變電站全停損失負荷對比Table2 Comparison of load loss in substation under different protection strategies

從表2 和附錄A 圖A4 可以得到如下結(jié)論。

1）1 號和24 號變電站不與其他站點形成攻擊組合，攻擊1 號和24 號變電站的負荷損失分別為1 104 MW 和329 MW。

2）1 號變電站接入負荷最大，而24 號變電站在維持電網(wǎng)整體結(jié)構(gòu)完整性上具有重要作用。將1 號和24 號變電站進行時間差異化管理，可以防止與其他站點同時全停，從而顯著降低攻擊組合下的負荷損失。剔除這2 個變電站后，組合攻擊的最大負荷損失為3 843.6 MW，平均負荷損失為781.53 MW，負荷損失標準差為548.85 MW。

3）選 擇 性 差 異 化 防 護 在11 號、15 號 和23 號 變電站遭協(xié)同攻擊時，負荷損失最大。與未進行防護時相比，最大負荷損失從4 654.2 MW 下降至3 843.6 MW。

4）選擇性防護關(guān)鍵變電站時，平均負荷損失從無防護的1 027.99 MW 下降至781.53 MW，減少了246.46 MW，與全部防護時平均損失負荷下降至677.76 MW 相比，在防止負荷損失上的效果達到了后者的70%。

4 結(jié)語

針對高隱蔽性的國家支持型攻擊可借助供應(yīng)鏈等渠道滲透侵入變電站進行網(wǎng)絡(luò)攻擊的防護難題，開展了變電站時間同步協(xié)同攻擊的檢測與防護方法研究，主要貢獻和結(jié)論如下。

1）分析指出國家支持型網(wǎng)絡(luò)攻擊可采用無通信時間同步的方式從多個變電站發(fā)起協(xié)同跳閘攻擊，以達成觸發(fā)大停電的目標。

2）利用時間同步攻擊需根據(jù)時間邏輯取得協(xié)同的特點，提出了基于系統(tǒng)時間加速觸發(fā)的時間同步協(xié)同攻擊檢測方法。該方法以加速系統(tǒng)時間、快速遍歷未來時間的方式觸發(fā)潛藏惡意軟件的時間邏輯。根據(jù)電力監(jiān)控設(shè)備是否僅在系統(tǒng)時間變化條件下發(fā)出非預(yù)期控制指令，檢測電力監(jiān)控設(shè)備中含時間邏輯的協(xié)同攻擊惡意軟件。

3）利用時間同步攻擊需根據(jù)時間邏輯取得協(xié)同的特點，提出了基于關(guān)鍵變電站時鐘差異化管理的防護方法。根據(jù)結(jié)構(gòu)脆弱性指標選擇關(guān)鍵變電站進行同步時鐘的差異化管理，從而打破時間協(xié)同的邏輯條件，降低多站點時間同步協(xié)同攻擊觸發(fā)大停電的風險。

4）所提時間同步攻擊的檢測方法和防護方法可配合使用，提高在時間同步協(xié)同攻擊下的電網(wǎng)韌性。其中，時間同步攻擊檢測方法不影響業(yè)務(wù)系統(tǒng)正常運行，可在設(shè)備入網(wǎng)和年度檢修時作為安全性檢測的一個環(huán)節(jié)，應(yīng)用于所有變電站?；谕綍r間差異化管理的防護方法需改變業(yè)務(wù)系統(tǒng)的實現(xiàn)流程，可選擇性應(yīng)用于對維系電網(wǎng)安全有突出影響的極少數(shù)特高壓變電站/換流站和樞紐變電站。

本文在撰寫過程中得到湖南省自然科學基金項目“電力系統(tǒng)高級量測體系防護方法研究（2020JJ4611）”的資助，特此感謝！

附錄見本刊網(wǎng)絡(luò)版（http：//www.aeps-info.com/aeps/ch/index.aspx），掃英文摘要后二維碼可以閱讀網(wǎng)絡(luò)全文。