葉 衛(wèi)，王 文，董 科，王 臻，孫望舒，朱 好

（1.國(guó)網(wǎng)浙江省電力有限公司信息通信分公司，杭州 310016；2.國(guó)網(wǎng)浙江省電力有限公司，杭州 310007）

0 引言

隨著電力CPS（信息物理系統(tǒng)）的發(fā)展以及感知、計(jì)算、通信和控制等先進(jìn)信息技術(shù)的應(yīng)用，電力系統(tǒng)逐步實(shí)現(xiàn)了信息化、網(wǎng)絡(luò)化和智能化［1］。與相對(duì)安全的電力一次系統(tǒng)相比，電力CPS 的安全防護(hù)研究還處于起步階段，存在大量未被發(fā)現(xiàn)的安全漏洞［2］。電力系統(tǒng)是時(shí)空緊密關(guān)聯(lián)且需要穩(wěn)定運(yùn)行在安全域內(nèi)的大型工控系統(tǒng)，一旦被攻擊，將對(duì)電力安全、工業(yè)生產(chǎn)和人民生活造成嚴(yán)重影響［3-4］。

電力系統(tǒng)主要包括發(fā)電、輸電、配電和用電等過(guò)程，其中變電站作為電能轉(zhuǎn)換與信息集聚的場(chǎng)所，在電力系統(tǒng)安全、穩(wěn)定和經(jīng)濟(jì)運(yùn)行中具有重要作用。因此，其通信的安全性和實(shí)時(shí)性是變電站自動(dòng)化系統(tǒng)中的重點(diǎn)防御部分。針對(duì)變電站的網(wǎng)絡(luò)攻擊行為有多種分類方法，按照攻擊目的可以分為針對(duì)信息完整性、保密性和可用性的攻擊；按照物理側(cè)破壞業(yè)務(wù)主要可以分為針對(duì)測(cè)量、運(yùn)維、保護(hù)和控制等功能的網(wǎng)絡(luò)攻擊。作為破壞信息完整性的典型模式，F(xiàn)DIA（虛假數(shù)據(jù)注入攻擊）可以破壞電網(wǎng)態(tài)勢(shì)感知的結(jié)果，從而誤導(dǎo)控制中心決策［5-6］。電網(wǎng)控制中心受到攻擊后，可能誤判電網(wǎng)進(jìn)入緊急狀態(tài)，導(dǎo)致安全裝置誤動(dòng)，從而損害電力系統(tǒng)的經(jīng)濟(jì)效益、監(jiān)控能力和安全運(yùn)行水平［7］。

近年來(lái)，一系列的電力網(wǎng)絡(luò)安全事故已經(jīng)引發(fā)了嚴(yán)重的安全損失。以數(shù)字變電站為例，原始電壓、電流模擬信號(hào)經(jīng)采樣、計(jì)算，最終轉(zhuǎn)換為多重?cái)?shù)字量測(cè)值傳送給站控層服務(wù)器及調(diào)度中心，其中任意環(huán)節(jié)遭受網(wǎng)絡(luò)攻擊都會(huì)影響業(yè)務(wù)指令的可信度［8-9］。由于變電站業(yè)務(wù)功能的集聚，導(dǎo)致系統(tǒng)更新速度匹配不上安全缺陷與漏洞的生成，攻擊者能夠以虛假數(shù)據(jù)、拒絕服務(wù)和重放攻擊等多種方式對(duì)電網(wǎng)變電站業(yè)務(wù)造成破壞［10］。事實(shí)上，攻擊者往往以潛伏的方式提前在多個(gè)變電站區(qū)域同時(shí)部署潛在攻擊［11］。在電力系統(tǒng)處于運(yùn)行最脆弱的狀態(tài)時(shí)，這些攻擊行為會(huì)同時(shí)爆發(fā)，造成協(xié)同攻擊，從而對(duì)電網(wǎng)的安全和穩(wěn)定造成嚴(yán)重破壞［12］。

本文總結(jié)了變電站信息網(wǎng)絡(luò)中FDIA的綜合研究理論。從攻擊者的角度，分析FDIA的目標(biāo)、構(gòu)建方法和后果，總結(jié)了針對(duì)變電站網(wǎng)絡(luò)的入侵過(guò)程。從防御者的角度，利用攻擊圖算法，分析了攻擊路徑選擇概率，對(duì)潛在攻擊方式進(jìn)行定位與溯源，能夠保護(hù)關(guān)鍵信息節(jié)點(diǎn)，從而最終實(shí)現(xiàn)了考慮變電站典型業(yè)務(wù)的攻擊安全防御。

1 變電站業(yè)務(wù)網(wǎng)絡(luò)安全

電力物理系統(tǒng)由發(fā)電、變電、輸電、配電和供電過(guò)程組成，而電力信息系統(tǒng)負(fù)責(zé)對(duì)電能流動(dòng)環(huán)節(jié)進(jìn)行監(jiān)測(cè)與控制，主要包括電力生產(chǎn)信息、傳輸信息和市場(chǎng)信息。以上信息可能通過(guò)測(cè)量單元、通信網(wǎng)絡(luò)和控制設(shè)備等脆弱渠道受到FDIA的影響，最終干擾電力關(guān)鍵應(yīng)用服務(wù)。

1.1 針對(duì)變電站的攻擊流量

在傳統(tǒng)的FDIA 中，主要選擇變電站SCADA（數(shù)據(jù)采集與監(jiān)控系統(tǒng)）作為攻擊對(duì)象［13-14］。變電站中，常見(jiàn)的采樣裝置及其時(shí)間同步準(zhǔn)確率較高，如表1所示，如其由于受到網(wǎng)絡(luò)攻擊的影響，各子系統(tǒng)的時(shí)間與事件將會(huì)不同步，影響電網(wǎng)正常業(yè)務(wù)的執(zhí)行。

表1 變電站裝置的時(shí)間同步準(zhǔn)確度要求

由于智能變電站過(guò)程層中的MU（合并單元）和IED（智能終端）是整個(gè)智能變電站中僅有的與電力一次系統(tǒng)直接相關(guān)的接口，因此智能變電站在日常運(yùn)行過(guò)程中，MU 和IED 主要有以下幾種流量運(yùn)行場(chǎng)景：

1）穩(wěn)態(tài)流量場(chǎng)景。即變電站正常運(yùn)行，沒(méi)有任何事件或故障發(fā)生。

2）極端流量場(chǎng)景。假設(shè)變電站過(guò)程層的所有主設(shè)備都發(fā)生了電力系統(tǒng)異常事件，所有二級(jí)IED將以SCD配置文件預(yù)定的最小傳輸間隔（通常為2 ms）發(fā)送GOOSE（面向?qū)ο蟮耐ㄓ米冸娬臼录┫ⅰ?/p>

3）特定故障場(chǎng)景。假設(shè)變電站的一個(gè)物理設(shè)備發(fā)生故障或多個(gè)主設(shè)備發(fā)生故障，與之相關(guān)的二級(jí)IED設(shè)備將出現(xiàn)大流量。

4）網(wǎng)絡(luò)異常流量場(chǎng)景。變電站通信網(wǎng)絡(luò)由于網(wǎng)絡(luò)異常、通信設(shè)備故障甚至遭遇面向性能的網(wǎng)絡(luò)攻擊等場(chǎng)景，此時(shí)變電站過(guò)程層通信網(wǎng)絡(luò)流量將呈現(xiàn)中斷、延時(shí)和誤碼等變化。

1.2 FDIA構(gòu)建條件與約束

變電站測(cè)控拓?fù)渑渲弥?，通常在各母線上有電壓互感器，各開(kāi)關(guān)與變壓器繞組上有電流互感器。FDIA通過(guò)修改電力狀態(tài)信息，使其能夠繞過(guò)傳統(tǒng)不良數(shù)據(jù)檢測(cè)模塊，進(jìn)而干擾后續(xù)控制服務(wù)。

如果某一個(gè)開(kāi)關(guān)上的電流采樣序列被攻擊者篡改，則采用該序列計(jì)算得到的所有直接量測(cè)和間接量測(cè)將同時(shí)受到影響，形成相互匹配的虛假數(shù)據(jù)，難以檢測(cè)。可見(jiàn)，由于變電站互感器不夠冗余，配置不夠合理，攻擊者深入變電站過(guò)程層對(duì)互感器采樣序列進(jìn)行攻擊，將給量測(cè)系統(tǒng)帶來(lái)范圍更廣、后果更嚴(yán)重的破壞。以電流采樣信號(hào)的FDIA為例，假設(shè)變電站中正常電流采樣信號(hào)為i（k），攻擊后i（k）將會(huì)疊加一攻擊信號(hào)yTA，其電流采樣信號(hào)中基波參數(shù)將會(huì)變?yōu)椋?/p>

定義ap為攻擊前后電流量測(cè)的變化量，則ap可表示為yTA的函數(shù)：

式中：為攻擊后的電流量測(cè)向量；zp為功擊前的電流量測(cè)向量；fTA為關(guān)聯(lián)函數(shù)。

由于某個(gè)測(cè)量值突變會(huì)同步引起相鄰節(jié)點(diǎn)或線路測(cè)量值變化，當(dāng)偽造一個(gè)元素（如節(jié)點(diǎn)或線路的測(cè)量值）時(shí)，為了繞過(guò)不良數(shù)據(jù)檢測(cè)，攻擊者應(yīng)考慮電網(wǎng)潮流規(guī)律，找出測(cè)量值相應(yīng)變化的最小空間。因此，需要進(jìn)行協(xié)同攻擊的最小空間被定義為該元素的最小相關(guān)空間，以滿足攻擊資源的限制。

2 變電站設(shè)備與攻擊層次

2.1 變電站設(shè)備介紹

以D2-1型變電站為例進(jìn)行分析，信息設(shè)備節(jié)點(diǎn)有12 個(gè)，如表2 所示。其中A1、A2、A3、A4屬于變電站過(guò)程層節(jié)點(diǎn)，是攻擊圖的最底層L1；B1、B2、B3、B4 屬于變電站間隔層節(jié)點(diǎn)，是攻擊圖的第二層L2；第三層L3是變電站業(yè)務(wù)，包括分接開(kāi)關(guān)控制、無(wú)功控制、開(kāi)關(guān)控制、連鎖功能、序值測(cè)量、計(jì)量、距離保護(hù)、差動(dòng)保護(hù)、重合閘、振蕩閉鎖、切負(fù)荷和解列等，這里總結(jié)為4類，分別為信息計(jì)量、保護(hù)功能、監(jiān)視與控制和自動(dòng)控制，分別記為C1、C2、C3、C4。最頂層節(jié)點(diǎn)D1為攻擊后果，即電力系統(tǒng)物理故障。

表2 變電站信息設(shè)備類型

2.2 變電站攻擊環(huán)節(jié)

在D2-1型智能變電站中，MU采樣值以SAV報(bào)文的形式傳播，保護(hù)控制裝置數(shù)據(jù)的傳輸以GOOSE報(bào)文的形式進(jìn)行。它們都不是一對(duì)一的傳輸，而是采用“發(fā)布者/巧閱者”的模式以多播方式進(jìn)行傳輸?shù)?。由變電站多播組配置方案，根據(jù)2.1節(jié)分析的攻擊路徑可以建立4層攻擊圖模型：

1）L1 為過(guò)程層信息設(shè)備，包括合并單元、智能斷路器。

2）L2 為間隔層信息設(shè)備，包括保護(hù)與控制裝置、故障錄波器。

3）L3 為信息業(yè)務(wù)類別，包括信息計(jì)量、保護(hù)功能、監(jiān)視與控制和自動(dòng)控制。

4）L4 為一次系統(tǒng)故障，包括各類電力物理故障。

3 基于攻擊圖的攻擊定位溯源方法

3.1 基于攻擊圖的變電站攻擊流程

圖1顯示了變電站的部分攻擊樹(shù)。對(duì)于斷路器攻擊，其前提條件是：攻擊者可以通過(guò)IED、控制中心的用戶界面和變電站的用戶界面打開(kāi)斷路器。查找目標(biāo)斷路器主要包括4類方法：

圖1 變電站攻擊入侵路徑

1）使用IED向斷路器發(fā)送GOOSE信息。

2）使用控制中心的用戶界面。

3）使用變電站的用戶界面。

4）修改IED的保護(hù)設(shè)置至低值。

為了對(duì)攻擊形式進(jìn)行定義，本文在第2節(jié)變電站信息設(shè)備模型的基礎(chǔ)上，采取有向攻擊圖理論對(duì)網(wǎng)絡(luò)攻擊進(jìn)行建模被定義為該攻擊圖的標(biāo)準(zhǔn)形式，其中N是所有攻擊目標(biāo)節(jié)點(diǎn)集合，E是所有有向邊集合，S是節(jié)點(diǎn)靈敏度集合。考慮到變電站信息從過(guò)程層、間隔層、站控層到物理設(shè)備的傳播方向，4層攻擊圖模型中只有相鄰層次中的部分線路能夠連通。基于實(shí)際變電站GOOSE/SAV 通信路徑，可以確定L1、L2、L3、L4之間的傳遞路徑，S的計(jì)算公式為：

式中：din(i)和dout(i)分別為節(jié)點(diǎn)i的入度和出度；Tin(i)和Tout(i)分別為下層和上層的連接數(shù)。

每個(gè)節(jié)點(diǎn)的綜合風(fēng)險(xiǎn)Ri可以通過(guò)式（5）計(jì)算：

式中：Vi和Si分別為節(jié)點(diǎn)i的脆弱性和敏感性，Si可由式（4）計(jì)算，而Vi由分布式故障威脅、影響范圍和發(fā)生的復(fù)雜性決定；Wvi和Wsi分別為脆弱性和敏感性的權(quán)重，在本文中，為了分析方便，將它們?cè)O(shè)定為0.5。

3.2 攻擊定位溯源方法

在變電站電力監(jiān)控系統(tǒng)中，其系統(tǒng)、硬件、軟件、網(wǎng)絡(luò)、漏洞以及安全配置均有可能受到網(wǎng)絡(luò)攻擊威脅。因此，需要定期對(duì)變電站網(wǎng)絡(luò)的操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備和工控系統(tǒng)等進(jìn)行全面漏洞評(píng)估和安全基線檢查，及時(shí)了解網(wǎng)絡(luò)的薄弱環(huán)節(jié)，并有針對(duì)性地進(jìn)行預(yù)防與加固。同時(shí)需要依據(jù)變電站的信息業(yè)務(wù)特征，對(duì)攻擊進(jìn)行精確定位與溯源。

針對(duì)FDIA中出現(xiàn)的攻擊數(shù)據(jù)包，基于路由路徑，按照距離確定受攻擊影響最重的路由器。利用多路由器的診斷、調(diào)試或記錄功能，可以確定流量的性質(zhì)，并確定攻擊到達(dá)的路徑。在相關(guān)路由器上重復(fù)分析診斷程序，并繼續(xù)逐條向后追蹤，直到在管理控制域內(nèi)找到攻擊源，或者直到確定攻擊進(jìn)入變電站網(wǎng)絡(luò)的入口，如圖2所示。

圖2 面向變電站信息網(wǎng)絡(luò)FDIA的攻擊路徑

針對(duì)攻擊路徑，可以開(kāi)發(fā)相關(guān)的入侵檢測(cè)算法，攻擊者和防御者都注重對(duì)信息節(jié)點(diǎn)的攻擊或防御。通常不同的攻擊路徑鏈接不同的設(shè)備種類及個(gè)數(shù)，攻擊同一設(shè)備可能存在多種攻擊路徑，因?yàn)檫x擇不同的攻擊方式存在不同的攻擊路徑，攻擊者選擇發(fā)動(dòng)的攻擊路徑設(shè)備越多，所造成的電網(wǎng)影響或者收益并不一定是最大的。路徑越長(zhǎng)，攻擊設(shè)備數(shù)量越多，雖然攻擊方的經(jīng)驗(yàn)不斷地累積使得攻擊能力提升，但防御方的防御時(shí)間則更長(zhǎng)，等價(jià)防御能力更強(qiáng)。事實(shí)上，由于資源的有限性，雙方都不可能對(duì)網(wǎng)格中的所有區(qū)域進(jìn)行攻擊或防御，因此雙方都需要根據(jù)對(duì)方的可能選擇來(lái)優(yōu)化自己的資源配置，這就形成了一個(gè)雙人動(dòng)態(tài)博弈過(guò)程。

定義雙人博弈策略的標(biāo)準(zhǔn)形式，其中：

A={P(a1)，P(a2)，…，P(aNA)}為攻擊策略。假設(shè)攻擊者可以選擇攻擊路徑，每個(gè)攻擊策略ai=(Ai1，Bi2，Ci3，Di4)都是被攻擊節(jié)點(diǎn)的組合，這些節(jié)點(diǎn)相互聯(lián)系（總的來(lái)說(shuō)，有28種攻擊策略）。

D={P(d1)，P(d2)，…，P(dND)}為防御策略。假設(shè)防御者可以分別在進(jìn)程層（A1—A7）和間隔層（B1—B5）選擇一個(gè)節(jié)點(diǎn)作為安全節(jié)點(diǎn)，該節(jié)點(diǎn)無(wú)法被入侵。每個(gè)防御策略都是被防御節(jié)點(diǎn)的組合（總的來(lái)說(shuō)，有35種防御策略）。

U=(uij)NA×ND為玩家的獎(jiǎng)勵(lì)函數(shù)。元素是玩家在攻擊行為和防御行為下的收益。攻擊方的獎(jiǎng)勵(lì)函數(shù)的計(jì)算方法為：

攻擊路徑的綜合風(fēng)險(xiǎn)被用來(lái)作為獎(jiǎng)勵(lì)函數(shù)。因?yàn)槭橇愫筒┺?，所以雙方的回報(bào)函數(shù)值之和為0，攻擊方的回報(bào)函數(shù)設(shè)為正值，防御方的回報(bào)函數(shù)為負(fù)值，并滿足Ud=-Ua。

對(duì)于一個(gè)給定的獎(jiǎng)勵(lì)矩陣，有一個(gè)攻擊策略A*=(P*(a1)，P*(a2)，…，P*(aNA))、一個(gè)防御策略D*=(P*(d1)，P*(d2)，…，P*(dND))和一個(gè)常數(shù)V，滿足以下條件。

對(duì)于任何攻擊策略，有：

對(duì)于任何防御策略，有：

在該條件下，策略組合(A*，D*)是博弈的納什均衡點(diǎn)；V是預(yù)期收益，它代表了攻擊和防御行為組合內(nèi)的預(yù)期路徑風(fēng)險(xiǎn)。

4 算例

基于如圖3所示的實(shí)際變電站網(wǎng)絡(luò)，進(jìn)行針對(duì)變電站的FDIA攻擊建模、定位與溯源。

圖3 變電站信息網(wǎng)絡(luò)拓?fù)?/p>

在該變電站拓?fù)湎鹿羧鐖D4所示。

圖4 變電站網(wǎng)絡(luò)攻擊

對(duì)于電力信息網(wǎng)絡(luò)，風(fēng)險(xiǎn)主要來(lái)自于網(wǎng)絡(luò)攻擊，而系統(tǒng)中存在的脆弱性是導(dǎo)致網(wǎng)絡(luò)被攻擊的內(nèi)因，因此，脆弱性及其威脅評(píng)估是風(fēng)險(xiǎn)控制的重要基礎(chǔ)。各節(jié)點(diǎn)綜合安全風(fēng)險(xiǎn)值是關(guān)于設(shè)備脆弱度和靈敏度的乘積。其中設(shè)備靈敏度和設(shè)備本身的安全程度成正比，靈敏度與節(jié)點(diǎn)的入度與出度相關(guān)，代表節(jié)點(diǎn)被各種攻擊途徑利用的頻度。變電站設(shè)備的脆弱度與安全風(fēng)險(xiǎn)如表3所示。

表3 變電站信息路徑

由圖4可知，攻擊深度為4，攻擊在經(jīng)過(guò)過(guò)程層與間隔層之后，通過(guò)信息控制業(yè)務(wù)最終影響電力一次系統(tǒng)的穩(wěn)定性。以路徑上途徑所有節(jié)點(diǎn)的風(fēng)險(xiǎn)值乘積作為攻擊路徑的綜合風(fēng)險(xiǎn)，假定攻擊者能夠選定一條攻擊路徑進(jìn)行攻擊，而防御者能夠在過(guò)程層（A1—A6）和間隔層（B1—B6）分別選擇一個(gè)節(jié)點(diǎn)進(jìn)行重點(diǎn)防御，使其抵御經(jīng)過(guò)該節(jié)點(diǎn)的攻擊行為。因此，攻擊路徑共有38 種，防御策略共有36種。

虛假數(shù)據(jù)攻擊在經(jīng)過(guò)2.2 節(jié)所述的L1—L3 層之后，通過(guò)篡改信息控制業(yè)務(wù)，最終將造成一次系統(tǒng)故障。以路徑上途徑所有節(jié)點(diǎn)的風(fēng)險(xiǎn)值乘積作為攻擊路徑的綜合風(fēng)險(xiǎn)，以此作為攻擊后果?？紤]到攻防雙方掌握資源有限，在38 種攻擊路徑中，假定攻擊者只能選定一條攻擊路徑進(jìn)行攻擊，防御者能夠在過(guò)程層（A1—A6）和間隔層（B1—B6）分別選擇一個(gè)節(jié)點(diǎn)進(jìn)行重點(diǎn)防御，使其抵御經(jīng)過(guò)該節(jié)點(diǎn)的攻擊路徑。因此，攻擊路徑共有38 種，防御策略共有36種，經(jīng)過(guò)雙人零和博弈分析，攻防雙方所選擇的最優(yōu)策略如表4、表5所示。

表4 攻擊定位與溯源結(jié)果

表5 安全防御策略

由表4可知，在28種攻擊路徑中，只有6種會(huì)進(jìn)入攻擊者的選項(xiàng)，其中路徑2（A2、B6、C3、D1）的選擇性最高，為17.00%。而防守方的35種防御選項(xiàng)中，點(diǎn)A5 和B1 是選擇概率最高的保護(hù)節(jié)點(diǎn)為20.32%。

5 結(jié)語(yǔ)

本文對(duì)變電站信息網(wǎng)絡(luò)FDIA攻防過(guò)程進(jìn)行了研究。首先，分析了測(cè)量設(shè)備和通信網(wǎng)絡(luò)的安全漏洞，研究其被利用注入虛假數(shù)據(jù)的潛在概率。在此基礎(chǔ)上，建立了考慮到攻擊目標(biāo)、構(gòu)建方法和后果的FDIA框架。其次，分別分析了基于攻擊圖的攻擊生成、定位與溯源方法。最后，模擬了針對(duì)變電站信息網(wǎng)絡(luò)的FDIA案例，進(jìn)行了攻擊行為有效追溯。

FDIA 目前主要為了破壞變電站SCADA 和EMS（能量管理系統(tǒng)）的應(yīng)用功能。實(shí)際上，由于源、網(wǎng)、荷之間的廣泛互動(dòng)，發(fā)電側(cè)、電網(wǎng)側(cè)和負(fù)荷側(cè)的信息系統(tǒng)都有可能受到虛假數(shù)據(jù)的攻擊，從而影響電力系統(tǒng)的監(jiān)測(cè)、控制、統(tǒng)計(jì)分析、經(jīng)濟(jì)調(diào)度和安全決策。因此，未來(lái)需要針對(duì)電力CPS中各種信息系統(tǒng)的攻防過(guò)程進(jìn)行進(jìn)一步研究。