電力觀測(cè)系統(tǒng)遭攻擊及其防御設(shè)計(jì)思路

發(fā)布時(shí)間：2024-06-09

本文通過(guò)2個(gè)簡(jiǎn)例分析，說(shuō)明惡意信息攻擊者如何通過(guò)對(duì)電力量測(cè)系統(tǒng)的攻擊和電力控制系統(tǒng)的攻擊，使得電力系統(tǒng)出現(xiàn)誤判或直接失去安全穩(wěn)定，進(jìn)而提出信息安全防御系統(tǒng)的設(shè)計(jì)思路。
1、電力觀測(cè)系統(tǒng)遭攻擊及其防御
電力觀測(cè)系統(tǒng)指包括scada系統(tǒng)、相量測(cè)量單元(pmu)、繼電保護(hù)信息在內(nèi)的測(cè)量系統(tǒng)和包括狀態(tài)估計(jì)在內(nèi)的電力系統(tǒng)狀態(tài)評(píng)估系統(tǒng)。電力觀測(cè)系統(tǒng)是電力系統(tǒng)的眼睛，為電力系統(tǒng)中的決策支持提供基本和必要的信息服務(wù)。信息攻擊者如果成功攻擊電力觀測(cè)系統(tǒng)，會(huì)對(duì)整個(gè)電力系統(tǒng)造成重大危險(xiǎn)。在未來(lái)可能出現(xiàn)綜合采用多種攻擊途徑，侵入并且改變電力觀測(cè)系統(tǒng)的攻擊方式，進(jìn)而影響依賴于觀測(cè)系統(tǒng)的決策支持系統(tǒng)。例如，將量測(cè)設(shè)備的遠(yuǎn)程控制終端的密碼系統(tǒng)破解后進(jìn)行數(shù)據(jù)修改，或者通過(guò)光纖竊聽(tīng)技術(shù)截獲并修改scada系統(tǒng)傳送至控制中心的數(shù)據(jù)。這一類攻擊方式稱之為壞數(shù)據(jù)注入攻擊。
壞數(shù)據(jù)注入攻擊通過(guò)控制電力觀測(cè)系統(tǒng)中若干個(gè)測(cè)量?jī)x器的測(cè)量值，來(lái)干擾電力系統(tǒng)狀態(tài)估計(jì)的結(jié)果，同時(shí)，通過(guò)精心設(shè)計(jì)，保證被修改的測(cè)量值不會(huì)被傳統(tǒng)狀態(tài)估計(jì)的壞數(shù)據(jù)辨識(shí)(bad data detector)模塊檢測(cè)出來(lái)。這類進(jìn)攻方式的目標(biāo)是對(duì)電力系統(tǒng)的控制中心的決策系統(tǒng)造成影響。除了改變對(duì)電力系統(tǒng)物理狀態(tài)的估計(jì)以及運(yùn)行調(diào)度的決策，此類進(jìn)攻方式可以進(jìn)一步影響基于電力系統(tǒng)之上的各種衍生系統(tǒng)(例如電力市場(chǎng))，造成巨大經(jīng)濟(jì)損失。
在智能電網(wǎng)背景下，分布式能源和可再生能源迅速發(fā)展，電力系統(tǒng)的測(cè)量和控制設(shè)備相應(yīng)增加，設(shè)備間的通信也迅猛增長(zhǎng)。在這種背景下，壞數(shù)據(jù)注入攻擊方式的可能性也在增大。對(duì)于惡意數(shù)據(jù)注入的識(shí)別難度遠(yuǎn)遠(yuǎn)高于傳統(tǒng)上識(shí)別隨機(jī)測(cè)量誤差的難度。壞數(shù)據(jù)注入的攻擊方式與傳統(tǒng)的物理攻擊方式的一個(gè)顯著區(qū)別在于它難以被識(shí)別，現(xiàn)有的檢測(cè)手段甚至根本無(wú)法識(shí)別出此類進(jìn)攻的存在。
筆者研究認(rèn)為，通過(guò)精心設(shè)計(jì)的壞數(shù)據(jù)注入，可以成功地欺騙傳統(tǒng)基于殘差的壞數(shù)據(jù)辨識(shí)模塊，并且將狀態(tài)估計(jì)的結(jié)果朝有利于發(fā)起攻擊方的方向轉(zhuǎn)變。如果要對(duì)狀態(tài)估計(jì)產(chǎn)生越大的影響，則需要成功攻入越多的測(cè)量點(diǎn)。通過(guò)優(yōu)化算法，信息攻擊者可以找到盡可能少的攻擊點(diǎn)，注入壞數(shù)據(jù)，達(dá)到盡可能大的攻擊效果。
針對(duì)現(xiàn)有電力量測(cè)系統(tǒng)的結(jié)構(gòu)及其可能受到的信息攻擊，有必要建立如下分層分布式的電力系統(tǒng)全狀態(tài)估計(jì)。
1) 充分利用本地大量的冗余測(cè)量數(shù)據(jù)以及相連變電站的測(cè)量數(shù)據(jù)，實(shí)現(xiàn)對(duì)測(cè)量結(jié)果的本地估計(jì)以及進(jìn)行可疑數(shù)據(jù)檢測(cè)。其結(jié)果傳輸至控制中心，用于進(jìn)行全系統(tǒng)的狀態(tài)估計(jì)。
2) 在控制中心，除了接收傳統(tǒng)一次設(shè)備的測(cè)量值或者估計(jì)值外，還接收多個(gè)其他有關(guān)系統(tǒng)的信息來(lái)幫助進(jìn)行全系統(tǒng)狀態(tài)估計(jì)。所接收的信息包括部分二次設(shè)備(如保護(hù)系統(tǒng))的測(cè)量值、通信系統(tǒng)和信息系統(tǒng)中的日志、電力市場(chǎng)中的經(jīng)濟(jì)數(shù)據(jù)等。控制中心也接收變電站對(duì)于受到攻擊的報(bào)警信息。
3) 控制中心的狀態(tài)估計(jì)結(jié)果可以下傳給本地狀態(tài)估計(jì)模塊，進(jìn)行二次校核。如果從控制中心接收到的狀態(tài)與本地估計(jì)的狀態(tài)有巨大差別，則向控制中心發(fā)出報(bào)警。
該架構(gòu)在極端情況下仍具有很強(qiáng)的魯棒性。例如，當(dāng)控制中心判斷出某個(gè)變電站被信息攻擊者完全控制，則會(huì)通知與該變電站相連的其余變電站，從而共同對(duì)該變電站的數(shù)據(jù)進(jìn)行屏蔽，并且對(duì)除該變電站之外的其余系統(tǒng)進(jìn)行狀態(tài)估計(jì)。又如，當(dāng)本地狀態(tài)估計(jì)判斷控制中心被信息攻擊者完全控制時(shí)，可以對(duì)其所在局部電力系統(tǒng)進(jìn)行狀態(tài)估計(jì)，以配合對(duì)局部電力系統(tǒng)的控制。
該系統(tǒng)的結(jié)構(gòu)性示意圖見(jiàn)圖1。
該功能單元使用多層面的信息來(lái)識(shí)別壞數(shù)據(jù)注入，包括電力一次設(shè)備、二次設(shè)備、通信系統(tǒng)、電力市場(chǎng)等。比如，保護(hù)設(shè)備的測(cè)量值和保護(hù)動(dòng)作的判斷可以用來(lái)對(duì)狀態(tài)估計(jì)中的線路過(guò)載等結(jié)果進(jìn)行校核；通信系統(tǒng)中的日志可以發(fā)現(xiàn)可疑操作，進(jìn)而對(duì)測(cè)量值的可信度進(jìn)行設(shè)定；對(duì)于以破壞電力市場(chǎng)或者非法牟利為目的的壞數(shù)據(jù)注入攻擊，如果在電力系統(tǒng)物理層面沒(méi)有能夠識(shí)別出來(lái)，則可以通過(guò)電力市場(chǎng)層面中的信息來(lái)幫助檢測(cè)此類攻擊的存在與否。
2、惡意信息進(jìn)攻者連續(xù)攻擊及其防御
2.1連續(xù)攻擊簡(jiǎn)例分析
與隨機(jī)事故不同，惡意信息攻擊者攻擊具有高度的智能化和組織化。在侵入電力控制系統(tǒng)后，惡意信息攻擊者有可能預(yù)判系統(tǒng)操作人員對(duì)特定攻擊的應(yīng)對(duì)，由此發(fā)起多波次進(jìn)攻，環(huán)環(huán)相扣，最終造成系統(tǒng)全面崩潰。這里用一個(gè)簡(jiǎn)單的例子加以說(shuō)明。
圖2是一個(gè)4節(jié)點(diǎn)系統(tǒng)。線路1-2，1-3，2-3，2-4，3-4的特性相同，長(zhǎng)度的比例為：3∶2∶2∶1∶1。系統(tǒng)操作人員以最小網(wǎng)損為目標(biāo)函數(shù)，運(yùn)行最優(yōu)潮流(opf)計(jì)算，由此進(jìn)行調(diào)度。系統(tǒng)潮流分布如圖3(a)所示。假設(shè)信息攻擊者侵入電力系統(tǒng)，以造成系統(tǒng)崩潰為目標(biāo)，進(jìn)行破壞。
這里設(shè)想有兩種場(chǎng)景：
場(chǎng)景一：信息攻擊者不了解系統(tǒng)調(diào)度算法，每次破壞就攻擊負(fù)荷最重的線路，使其斷開(kāi)。信息攻擊者首先斷開(kāi)線路2-4，仿真結(jié)果顯示系統(tǒng)保持動(dòng)態(tài)穩(wěn)定。操作人員根據(jù)opf計(jì)算結(jié)果重新調(diào)度，潮流分布如圖3(b)所示。信息攻擊者接著斷開(kāi)線路3-4，負(fù)荷b失去供電，但是系統(tǒng)其他部分保持穩(wěn)定。操作人員根據(jù)opf計(jì)算結(jié)果重新調(diào)度，潮流分布如圖3(c)所示。信息攻擊者再斷開(kāi)線路1-3，系統(tǒng)繼續(xù)保持動(dòng)態(tài)穩(wěn)定。操作人員根據(jù)opf計(jì)算結(jié)果重新調(diào)度，潮流分布如圖3(d)所示。這時(shí)候信息攻擊者斷開(kāi)線路2-3，系統(tǒng)當(dāng)然會(huì)解列。
場(chǎng)景二：信息攻擊者知道系統(tǒng)調(diào)度算法，能夠預(yù)測(cè)在一次攻擊后的系統(tǒng)潮流分布，由此信息攻擊者制定組合攻擊方案，以最小的代價(jià)誘發(fā)電力系統(tǒng)連鎖事件，造成系統(tǒng)崩潰。信息攻擊者首先斷開(kāi)線路2-3，系統(tǒng)保持動(dòng)態(tài)穩(wěn)定。操作人員根據(jù)opf計(jì)算結(jié)果重新調(diào)度，潮流分布如圖4(a)所示。這時(shí)信息攻擊者斷開(kāi)線路2-4，仿真結(jié)果顯示系統(tǒng)失穩(wěn)。如圖4(b)和(c)所示，線路1-3的負(fù)荷達(dá)到了其容量的150%(信息攻擊者在t=1 s斷開(kāi)線路2-4)，保護(hù)系統(tǒng)因此在t=1.1 s斷開(kāi)線路1-3。系統(tǒng)被迫解列，負(fù)荷a和b斷電，g1和g2因?yàn)橄到y(tǒng)頻率偏移過(guò)大，被迫停機(jī)。與場(chǎng)景一相比，信息攻擊者只斷開(kāi)了2條傳輸線，就造成了系統(tǒng)崩潰。
圖3 信息攻擊者攻擊：場(chǎng)景一
2.2信息安全防御系統(tǒng)
信息安全防御系統(tǒng)是在時(shí)空協(xié)調(diào)的大停電防御系統(tǒng)的基礎(chǔ)上，考慮信息攻擊對(duì)電力系統(tǒng)的影響。使電力系統(tǒng)在偶發(fā)事故和信息攻擊下都能保持穩(wěn)定，而且發(fā)動(dòng)有效反擊，使惡意信息攻擊者喪失繼續(xù)攻擊的能力。該系統(tǒng)將從根本上解決信息攻擊和偶發(fā)事故對(duì)電力系統(tǒng)的威脅。其結(jié)構(gòu)和功能見(jiàn)圖5。
該系統(tǒng)從電力系統(tǒng)及其信息系統(tǒng)獲得電力及信息的狀態(tài)，利用節(jié)2提到的電力系統(tǒng)全狀態(tài)估計(jì)模塊，對(duì)電力系統(tǒng)和信息系統(tǒng)的狀態(tài)進(jìn)行評(píng)估。智能決策系統(tǒng)根據(jù)電力和信息的狀態(tài)，及預(yù)想的電力故障和信息攻擊，模擬信息攻擊者和系統(tǒng)操作人員之間的博弈過(guò)程，定量分析得到博弈策略，并將策略儲(chǔ)存到?jīng)Q策表中。而系統(tǒng)的在線檢測(cè)功能實(shí)時(shí)監(jiān)測(cè)電力故障和信息攻擊，如若發(fā)生，則在決策表中匹配對(duì)應(yīng)策略，加以實(shí)施。類似電網(wǎng)安全防御系統(tǒng)，信息安全防御系統(tǒng)的博弈策略在初期，可以采用“離線預(yù)算，實(shí)時(shí)匹配”的方法。待相應(yīng)的方法成熟之后，亦可發(fā)展到“在線預(yù)算，實(shí)時(shí)匹配”。
因此，信息安全防御系統(tǒng)的兩大主要功能單元如下。
1) 電力系統(tǒng)全狀態(tài)估計(jì)：通過(guò)對(duì)電力系統(tǒng)和信息系統(tǒng)量測(cè)的分析和估計(jì)，對(duì)電力系統(tǒng)的全狀態(tài)(電力+信息)進(jìn)行評(píng)估，在線跟蹤系統(tǒng)實(shí)際工況及信息攻擊的狀況。
2) 智能決策系統(tǒng)：尋找最優(yōu)的博弈策略以進(jìn)行防御反擊?？梢圆捎盟顾柌└?詳細(xì)解釋見(jiàn)附錄a)競(jìng)爭(zhēng)和隨機(jī)博弈(詳細(xì)解釋見(jiàn)附錄b)相結(jié)合的方法作為核心技術(shù)，構(gòu)建智能決策系統(tǒng)。該系統(tǒng)使用虛擬操作人員模塊模擬操作人員；使用虛擬信息攻擊者模塊模擬信息攻擊者。基于電力系統(tǒng)全狀態(tài)估計(jì)的結(jié)果，智能決策系統(tǒng)建立系統(tǒng)模型。通過(guò)虛擬操作人員、虛擬信息攻擊者、系統(tǒng)模型，智能決策系統(tǒng)模擬操作人員和信息攻擊者的博弈過(guò)程。該系統(tǒng)使用斯塔爾博格競(jìng)爭(zhēng)和隨機(jī)博弈相結(jié)合的方法定量分析博弈策略，選擇最優(yōu)的博弈策略。
3、結(jié)語(yǔ)
通信信息系統(tǒng)和電力系統(tǒng)的深度融合，使得電力系統(tǒng)面臨信息安全的嚴(yán)峻挑戰(zhàn)。信息攻擊者對(duì)電力系統(tǒng)進(jìn)行攻擊的方式多種多樣，但從其最終對(duì)電力系統(tǒng)的影響看，可以分為兩類，即對(duì)系統(tǒng)可觀性的影響和對(duì)系統(tǒng)可控性的影響。因此，跳出各類具體信息攻擊方式的束縛，從最終影響因素出發(fā)提出解決問(wèn)題的方法，將使得該方法具有廣泛的適用性，也使得對(duì)信息攻擊的防御更加主動(dòng)。本文提出的信息安全防御系統(tǒng)，通過(guò)電力系統(tǒng)全狀態(tài)估計(jì)和智能決策系統(tǒng)，從可觀性和可控性兩方面提高了電力系統(tǒng)抵御信息攻擊的能力。該系統(tǒng)能實(shí)現(xiàn)在電力系統(tǒng)偶發(fā)事故和信息攻擊下的監(jiān)測(cè)、防御和控制，而且能通過(guò)有效反擊，使信息攻擊者喪失繼續(xù)攻擊的能力。