基于貝葉斯序貫博弈模型的智能電網信息物理安全分析

李軍 李韜

計算機、網絡通信和控制技術作為近30年來信息技術產業發展的核心和動力,引起了人類社會生活的巨大變革.然而,人與自然萬物,以及改造自然的機器之間,尚缺乏有效地交互協同的作用方式,需要統一的混合系統框架,通過對質量流、能量流、信息流的協調管控,推動計算機、網絡通信和控制技術的協同變革和演進融合.在這一背景下,信息物理系統(Cyber-physical systems,CPS)[1-3]應運而生.信息物理系統這一概念是由美國科學家Gill于2006年在美國國家科學基金委員會上提出的[4],被認為有望成為繼計算機、互聯網之后世界信息技術的第三次浪潮,其核心是3Cs(Computation,communication,control)的融合.智能電網作為一種信息物理系統[5],將3Cs技術融合貫穿于發電、輸電、配電和用電四大環節,用以提升電網的各項性能指標,包括穩定性、有效性、可靠性、安全性等.對于發電環節而言,由于風能、太陽能等可再生能源的接入,導致了電網系統的不確定性增大,影響了電網的穩定性.CPS可以協調多能源介質的生產、存儲和使用,確保電網穩定運行,實現安全節能優化目標.在輸電環節,CPS可以幫助構建輸電線路智能化無人機巡檢,精確導航與控制技術、長距離實時穩定通信技術和計算中心實時數據分析,確保線路巡檢診斷精確可靠.在智能配電環節,融合了3Cs技術的智能電表通過與配電側的互聯,給用戶提供實時電價,以實現負載優化調度.在用電環節,CPS及相關技術可以準確預測用戶用電消費行為及需求,實時感知、計算并響應調控用電變化,實現全系統的智能優化和精準控制,極大地提高了電力的安全生產和消費的效率[6-7].

智能電網承諾提供更高的效率和可靠性,以及更節約的配電和輸電的方法.這些提升方法依賴于新技術和電力網絡中心建立的互聯機制,同時也依賴于不同組件的合作和大量的數據分析.隨著新技術和更容易獲取的能源數據的使用,智能電網將受到多種攻擊的威脅,安全性變得尤為重要.智能電網可分為網絡基礎設施和物理基礎設施[8-9]兩個主要組件.網絡基礎設施包括服務器、數據庫、人機接口(Human machine interface,HMI)、遠程終端設備(Remote terminal unite,RTU)、可編程邏輯控制器(Programmable logic controller,PLC)以及監測控制和數據采集(Supervisory control and data acquisition,SCADA)系統等.物理基礎設施包括負責發電、輸電、配電、用電的物理設備等.對應于智能電網的這兩個主要組件,攻擊者有網絡攻擊和物理攻擊兩種類型.網絡攻擊者通過攻擊智能電網的網絡系統,獲得未經授權的特權來控制物理過程的功能.物理攻擊者通過攻擊智能電網的物理設備,導致電網在發電、輸電、配電、用電等環節中斷以及電力系統拓撲結構的改變等[10-11].當系統受到攻擊時,若系統管理員(防護者)事先不確定攻擊者的類型,則無法給出最優防護策略.針對這種問題,本文提出了一種貝葉斯序貫博弈模型,可以確定攻擊者的類型,從而選擇最優防護策略,為系統管理員及時提供決策分析,保持智能電網的安全運行.

目前對于智能電網的安全性研究大部分關注的是網絡安全方面,包括智能電網的安全需求、目標、可能存在的漏洞、攻擊和解決方案等[12-13].由于智能電網在網絡方面容易受到攻擊,導致系統運行不可靠,對消費者和公司都造成危害,所以智能電網的分布式通信、普適計算和傳感技術都需要一個安全的網絡框架.孫秋野等[14]指出,能源互聯網作為一個融合信息系統與物理能源系統的綜合復雜網絡,控制優化相對復雜,且因與互聯網的相似性,使得能源互聯網信息物理安全將成為網絡研究熱點問題之一.Luo等[15]研究了虛假數據注入攻擊下,大規模智能電網系統的網絡安全問題,提出了一種基于觀測器的算法,通過使用實時同步相量測量來檢測和隔離網絡攻擊.Yan等[16]對智能電網的通信安全進行了研究,總結了智能電網通信過程中的網絡安全需求和漏洞,并調查了當前網絡安全解決方案.Hasan等[17]研究了資源受限的智能電網中的網絡安全規劃問題,為能源SCADA系統提出了一個基于中心的信任系統配置方案,利用中心性測量提升安全保護.Mo等[18]考慮了如何結合物理系統安全和網絡安全建立一個科學的信息物理安全系統,確保智能電網安全運行.雖然單一網絡攻擊和單一物理攻擊方面的安全性研究已經取得顯著成績,但是對于同時存在網絡攻擊和物理攻擊的混合攻擊情形,現有的研究還比較缺乏.

近年來使用博弈論分析智能電網安全的研究越來越多[19].Hewett等[20]在攻擊者和安全管理者之間構建了雙人非零和的完全信息動態博弈,通過逆向歸納法求出納什均衡解.當系統遭遇攻擊時,防護者根據納什均衡解能夠及時地做出準確的決策.Maharjan等[21]提出了一種公用事業公司和終端用戶之間的斯塔克伯格博弈方法,分析了智能電網的需求響應管理,最大化事業公司的收入和每個用戶的收益.Ma等[22]利用多動態博弈策略分析電力市場中的擁塞攻擊.攻擊者通過擁塞攻擊減少攜帶測量信息的信道數量來操縱區域邊際價格,從而獲得盈利.防護者能夠保證采用有限數量的信道就可以進行信息交付.Sanjab等[23]研究了智能電網中多個數據注入攻擊者和一個電網防護者之間的博弈,利用分布式學習算法求解博弈的均衡解,最大化攻擊者的收益,最小化防護者的損失.博弈論分析智能電網的安全,實際上就是研究攻擊者和防護者之間的相互作用,通過求解博弈均衡解來預測個體的行為[24].袁勇等[25]研究了一類帶有時間偏好的單邊雙類型不完全信息輪流出價議價模型,運用單階段偏離法則分析了議價博弈的合并均衡與分離均衡,并證明了議價博弈將唯一地實現合并均衡.針對高級計量基礎設施(Advanced metering infrastructure,AMI)網絡中的分布式拒絕服務攻擊,Wang等[26]將蜜罐技術(Honeypot technology)引入AMI網絡中作為誘餌系統來檢測和收集攻擊信息,分析了攻擊者和防御者之間的相互作用,并為雙方推導出最佳策略.

以上針對智能電網安全性的研究,大都沒有考慮同時存在網絡攻擊和物理攻擊兩種類型攻擊者的情形.針對系統管理員(防護者)如何確定攻擊者的類型,從而選擇最優防護策略的安全問題,本文提出一種貝葉斯序貫博弈模型來確定攻擊者的類型,從而選擇最優防護策略,為系統管理員(防護者)及時地提供決策分析.首先,對事先不確定類型的攻擊者和防護者構建靜態貝葉斯博弈模型.通過海薩尼轉換,使得防護者知道攻擊者類型的概率分布,將不完全信息博弈轉換成完全信息博弈進行分析.防護者以μ的概率知道攻擊者類型是網絡攻擊,其中μ可以通過智能電網的網絡組件和物理組件占整個電網系統的比值計算.經過貝葉斯博弈分析,可以根據攻擊者類型為網絡攻擊的概率和貝葉斯納什均衡解,確定攻擊者的類型.其次,考慮了攻擊者和防護者之間的序貫博弈模型,能夠有效地幫助防護者進行決策分析.利用逆向歸納法分別對兩種類型的攻擊者和防護者之間的序貫博弈樹進行分析,根據均衡路徑選擇最優策略.通過貝葉斯博弈和序貫博弈樹分析,確定攻擊者的類型,并且根據均衡路徑可以得到攻擊者的相對最優攻擊策略和防護者的相對最優防護策略,為保證智能電網的安全運行提供參考.

本文結構安排如下:第1節介紹兩種類型攻擊者和防護者之間的靜態貝葉斯博弈模型,通過海薩尼轉換將不完全信息博弈轉換成完全信息博弈,通過貝葉斯博弈模型的分析,確定攻擊者的類型;第2節介紹序貫博弈的模型和求解均衡路徑的數值算法;第3節給出兩種類型攻擊者和防護者之間的數值算法分析,根據求解的均衡路徑得出攻擊者的最優攻擊策略和防護者的最優防護策略;第4節是對全文的總結和對未來研究的展望.

1 攻擊者和防護者的靜態貝葉斯博弈

用G表示一個博弈:如G有n個博弈方,每個博弈方的全部可選策略的集合稱為“策略空間”,分別用S1,···,Sn表示.sij∈Si表示博弈方i的第j個策略,其中j可以取有限個值(有限策略博弈),也可以取無限個值(無限策略博弈);博弈方i的收益用Ui表示,Ui是各博弈方策略的多元函數.n個博弈方的標準式博弈G通常記為G={S1,···,Sn;U1,···,Un}[27].

1.1 博弈模型

當系統受到攻擊時,不同類型的攻擊者獲得的收益不同,防護者對于攻擊者的收益沒有準確的認識,所以是不完全信息博弈.本文首先研究兩種類型攻擊者和防護者之間的雙人非合作靜態貝葉斯博弈.入侵檢測系統對于智能電網的安全防護有著重要作用,當系統受到攻擊時,可以有效地檢測到攻擊,從而系統防護者可以及時地選擇防護策略.為了能夠更好地防護智能電網的安全,電網的每個組件都應該配備一個入侵檢測系統,并且入侵檢測系統保持運行狀態.從系統使用的角度來看,永遠在線運行并不是一個有效的選擇,因為智能電網的網絡組件通常是資源受限的[28].靜態貝葉斯博弈模型可以幫助系統防護者進行決策分析,提升入侵檢測系統的檢測效率.

用Mi表示攻擊者,θ表示攻擊者的類型,θ=1表示網絡攻擊,θ=0表示物理攻擊,每個類型的策略包括{攻擊,不攻擊}.Mj表示系統防護者,它的策略包括{防護,不防護}.α表示入侵檢測系統的檢測率;β表示誤報率;ω表示防護者的安全值;cic＞0表示網絡攻擊的成本;cip＞0表示物理攻擊的成本;cd＞0表示防護者的成本,其中α,β∈[0,1].

假設1.防護者的安全值ω滿足

在資源受限的網絡中,防護者安全值是系統受保護的能源資產,防護成本可以根據系統采取防護策略的能量消耗來確定,攻擊成本可以根據攻擊者采取攻擊策略的能量消耗來確定.若ω不滿足假設1,那么攻擊者就沒有動機采取攻擊策略,防護者也沒有動機采取防護策略.當θ=1時,攻擊者類型為網絡攻擊,攻擊者和防護者的策略組合為(攻擊,不防護)時,攻擊者成功攻擊了系統,系統防護者的損失為ω,即攻擊者的收益為ω-cic,防護者的收益為-ω.策略組合為(攻擊,防護)時,防護者的收益是檢測到攻擊的期望收益減去防護成本,即αω-(1-α)ω-cd=(2α-1)ω-cd,其中1-α表示入侵檢測系統的漏檢率.另外,攻擊者的收益是防護者損失的收益減去攻擊成本,即(1-2α)ω-cic.策略組合為(不攻擊,防護)時,由于入侵檢測系統的誤報產生損失值-βω,所以防護者的收益為-βω-cd,攻擊者的收益為0,如表1所示.其中收益組合的前半部分表示攻擊者的收益,后半部分表示防護者的收益.當θ=0時,攻擊者類型為物理攻擊,同理可以求解出攻擊者和防護者的收益情況,如表2所示.

1.2 貝葉斯納什均衡分析

不同類型的攻擊者和防護者之間相互作用,得出的均衡解可能不同.防護者對于攻擊者類型的知識不能準確了解,屬于不完全信息博弈.在1967年之前,信息不完全的情況,博弈論是無法解決的,因為當你還不知道對手為何物時,無法選擇自己的最優策略.在1967年,海薩尼(Harsanyi)提出了海薩尼轉換的方法[27],將不完全信息博弈轉換成完全但不完美信息博弈,防護者知道攻擊者兩種類型的分布概率,從而進行分析.

表1 攻擊者類型為網絡攻擊Table 1 The type of attacker is a cyber attack

攻擊者的類型包括網絡攻擊(Cyber attack)和物理攻擊(Physical attack),每個類型的策略包括{攻擊(Attack),不攻擊(No attack)}.防護者的策略包括{防護(Defend),不防護(No defend)},N是一個決定攻擊類型的自然節點.根據表1和表2的收益矩陣可得出貝葉斯博弈的擴展式,如圖1所示.防護者有概率μ知道攻擊者的類型是網絡攻擊,并且博弈雙方是理性的,攻擊者希望獲得最大的收益,防護者希望損失最小.

圖1 貝葉斯博弈的擴展式Fig.1 The Bayesian game in an extensive form

定義1.占優策略[27].用si1和si2表示博弈方i的兩個可行策略,如果對其他博弈方可能的策略組合s-i,博弈方i選擇si1的收益大于選擇si2的收益,即Ui1(si1,s-i)≥Ui2(si2,s-i),則稱si1為相對于si2的占優策略.

定義2.貝葉斯納什均衡[27].n人不完全信息靜態博弈G={S1,···,Sn;θ1,···,θn;p1,···,pn;U1,···,Un}的純策略貝葉斯納什均衡是一個類型依存戰略組合, 其中每個參與人i在給定自己的類型θi和其他參與人類型依存戰略的情況下最大化自己的期望效用函數Ui. 若, 戰略對于所有的組合是一個純策略的貝葉斯納什均衡.若博弈方i的策略空間為{si1,···,sik},那么概率分布pi=(pi1,···,pik)稱為i的一個混合策略,其中pik=p(sik)是博弈方i選擇策略sik的概率,0≤pij≤1,j=1,···,k,并且pi1+···+pik=1.如果對于所有的i的期望效用,, 那么混合戰略組合p?=是一個混合策略的貝葉斯納什均衡.

定理1.納什均衡的存在性[29].在n個博弈方參與的標準博弈G={S1,···,Sn;U1,···,Un}中,如果n是有限的,且每個博弈方的策略集合Si也是有限的,則該博弈至少存在一個納什均衡,均衡可能包含混合策略.

用(X;Y)表示攻擊者的純策略,((X;Y),Z,μ)表示貝葉斯納什均衡,其中X表示攻擊者類型為網絡攻擊的策略,Y表示攻擊者類型為物理攻擊的策略,Z表示防護者策略,μ表示攻擊者類型為網絡攻擊的概率.

兩種類型的攻擊者的純策略包含了四種情況:(攻擊;攻擊)、(攻擊;不攻擊)、(不攻擊;攻擊)、(不攻擊;不攻擊).當攻擊者類型不確定時,我們通過貝葉斯博弈的擴展式(圖1),可以計算出攻擊者純策略組合下的防護者的期望收益,其中防護者采取防護策略的期望收益表示為E(d),采取不防護策略的期望收益表示為E(nd).攻擊者類型為網絡攻擊時,采取攻擊策略的期望收益為Ec(a),采取不攻擊的期望收益為Ec(na).攻擊者類型為物理攻擊時,采取攻擊策略的期望收益為Ep(a),采取不攻擊的期望收益為Ep(na).當E(d)=E(nd)時,可以求出混合策略中攻擊均衡策略的概率;當Ec(a)=Ec(na)和Ep(a)=Ep(na)時,可以求出混合策略中防護均衡策略的概率.對兩種類型攻擊者和防護者之間的雙人非合作靜態貝葉斯博弈,本文有如下定理.

定理2.若假設1成立,當攻擊者的純策略為(攻擊;攻擊)和(不攻擊;不攻擊)時,不存在純策略的貝葉斯納什均衡和混合策略的貝葉斯納什均衡.

證明.

1)當攻擊者的純策略為(攻擊;攻擊)時,防護者采取防護策略的期望收益為

防護者采取不防護策略的期望收益為

此時,防護者的純策略{防護,不防護}的期望收益都與μ無關.所以((攻擊;攻擊),防護)和((攻擊;攻擊),不防護)都不是純策略的貝葉斯納什均衡和混合策略的貝葉斯納什均衡.

2)當攻擊者的純策略為(不攻擊;不攻擊)時,防護者采取防護策略的期望收益為

防護者采取不防護策略的期望收益為

此時,防護者的純策略{防護,不防護}期望收益都與μ無關.并且E(d)＜E(nd),防護者采取的占優策略是不防護,然而攻擊者采取相應的最優策略是(攻擊;攻擊).所以((不攻擊;不攻擊),不防護)不是純策略的貝葉斯納什均衡和混合策略的貝葉斯納什均衡.□

定理3.若假設1成立,當μ＞(βω+cd)/((2α+β)ω)時,在cic＜(1-2α)ω＜cip的情況下,存在純策略的貝葉斯納什均衡,此時攻擊者的類型為網絡攻擊;當μ ≤(βω+cd)/((2α+β)ω)時,存在混合策略的貝葉斯納什均衡,此時攻擊者的類型為網絡攻擊.

證明.

1)當攻擊者的純策略為(攻擊;不攻擊)時,防護者采取防護策略的期望收益為

防護者采取不防護策略的期望收益為

當μ＞(βω+cd)/((2α+β)ω)時,E(d)＞E(nd),防護者采取的占優策略是防護.假設cic＜(1-2α)ω＜cip,攻擊者采取相應的最優策略是(攻擊;不攻擊).因此當μ＞(βω+cd)/((2α+β)ω)和cic＜(1-2α)ω＜cip時,((攻擊;不攻擊),防護,μ)是純策略的貝葉斯納什均衡,否則不存在.當μ≤(βω+cd)/((2α+β)ω)時,E(d)＜E(nd),防護者采取的占優策略是不防護.然而攻擊者采取相應的最優策略是(攻擊;攻擊),所以((攻擊;不攻擊),不防護,μ)不是純策略的貝葉斯納什均衡.

2)在攻擊者的純策略為(攻擊;不攻擊)的情況下,當μ ≤(βω+cd)/((2α+β)ω)時,不存在純策略的貝葉斯納什均衡,由定理1可知,博弈存在混合策略的貝葉斯納什均衡.假設攻擊者的類型為網絡攻擊時,采取攻擊策略的概率為p1,采取不攻擊策略的概率為1-p1;攻擊者的類型為物理攻擊時,采取不攻擊策略.防護者采取防護的概率q1,不防護的概率為1-q1.

防護者采取防護策略的期望收益為

防護者采取不防護策略的期望收益為

攻擊者的類型為網絡攻擊,采取攻擊的期望收益為

攻擊者的類型為網絡攻擊,采取不攻擊的期望收益為

當E(d)=E(nd)時,可以得出攻擊者類型為網絡攻擊時,采取攻擊均衡策略的概率為. 當 Ec(a)=Ec(na)時,可以得出防護者采取防護均衡策略的概率2αω.由此可知,當μ≤(βω+cd)/((2α+β)ω)時((以的概率攻擊;不攻擊),以的概率防護,μ)是混合策略的貝葉斯納什均衡.□

定理4.若假設1成立,當μ＜(2αω-cd)/((2α+β)ω)時,在cip＜(1-2α)ω＜cic的情況下,存在純策略的貝葉斯納什均衡,此時攻擊者的類型為物理攻擊;當μ≥(2αω-cd)/((2α+β)ω)時,存在混合策略的貝葉斯納什均衡,此時攻擊者的類型為物理攻擊.

證明.

1)當攻擊者的純策略為(不攻擊;攻擊)時,防護者采取防護策略的期望收益為

防護者采取不防護策略的期望收益為

當μ＜(2αω-cd)/((2α+β)ω)時,E(d)＞E(nd),防護者采取的占優策略是防護.假設cip＜(1-2α)ω＜cic,攻擊者采取相應的最優策略是(不攻擊;攻擊).因此當μ ＜(2αω-cd)/((2α+β)ω)和cip＜(1-2α)ω＜cic時((不攻擊;攻擊),防護,μ)是純策略的貝葉斯納什均衡,否則不存在.當μ≥(2αω-cd)/((2α+β)ω)時,E(d)＜E(nd),防護者采取的占優策略是不防護.然而攻擊者采取相應的最優策略是(攻擊;攻擊),所以((不攻擊;攻擊),不防護,μ)不是純策略的貝葉斯納什均衡.

2)在攻擊者的純策略為(不攻擊;攻擊)的情況下,當μ≥(2αω-cd)/((2α+β)ω)時,不存在純策略的貝葉斯納什均衡,由定理1可知,博弈存在混合策略的貝葉斯納什均衡.假設攻擊者類型為物理攻擊,采取攻擊策略的概率為p2,采取不攻擊策略的概率為1-p2;攻擊者類型為網絡攻擊時采取不攻擊策略.防護者采取防護策略的概率q2,采取不防護策略的概率為1-q2.

防護者采取防護策略的期望收益為

防護者采取不防護策略的期望收益為

攻擊者類型物理攻擊時,采取攻擊策略的期望收益為

攻擊者類型物理攻擊時,采取不攻擊策略的期望收益為

當E(d)=E(nd)時,可以得出攻擊者類型為物理攻擊時,采取攻擊均衡策略的概率為.當時,可以得出防護者采取防護均衡策略的概率.由此可知,當μ≥(2αω-cd)/((2α+β)ω)時,((不攻擊;以的概率攻擊),以的概率防護,μ)是混合策略的貝葉斯納什衡.□

靜態貝葉斯博弈模型廣泛地應用于多攻擊者類型的網絡中,例如DOS攻擊(Denial of service attacks),路由中斷攻擊(Routing disruption attacks).為了能夠更好地防護智能電網的安全,入侵檢測系統總是保持運行狀態.從系統使用的角度來看,持續運行并不是一個最有效的選擇,因為電網的網絡組件通常是資源受限的.靜態貝葉斯博弈模型可以根據貝葉斯納什均衡解幫助系統防護者進行決策分析,提升入侵檢測系統的檢測效率.由定理3和定理4可知,本文根據攻擊者類型為網絡攻擊的概率和貝葉斯納什均衡解,可以確定攻擊者的類型.對于攻擊者類型不確定的問題,可以通過智能電網的網絡組件占整個電網系統的比例來計算攻擊者類型為網絡攻擊的概率.

2 序貫博弈模型和數值算法

2.1 序貫博弈模型

關于智能電網的網絡安全和物理安全的研究,分別是網絡攻擊和防護者、物理攻擊和防護者之間的一個雙人博弈;當攻擊者的類型確定時,博弈方對另外一方的特征、戰略空間及支付函數有準確的知識,是一個完全信息的博弈;攻擊者和防護者輪流選擇策略,是一個連續的博弈;因此攻擊者和防護者之間的博弈是一個雙人完全信息下的序貫博弈[19].對于序貫博弈,通常使用博弈樹的方法進行分析.樹形圖稱為博弈的擴展式,表明所有博弈方可選擇的所有可能策略,并給出博弈的所有可能的收益結果.攻擊者和防護者之間依次輪流選擇策略,當前狀態的收益只依賴于上一個狀態的收益,這反映了收益行為是一個馬爾科夫過程(Markov process)[30].

用Uh(S,a)表示當前狀態博弈方S的收益情況,那么當前收益是上一狀態的收益Uh-1(S,a')加上行為函數收益A(S,a,d),計算公式為

其中,d表示博弈樹的深度,a表示博弈方S的行為策略,由于攻擊者和防護者是輪流采取策略,所以a'表示博弈方S的對手的策略.若行為函數收益中的a是攻擊者的策略,當博弈方S為攻擊者時,它會獲得一個線性的增益影響;當博弈方S為防護者時,它會有指數級的損失影響.若a是防護者的策略,當博弈方S為攻擊者時,它沒有收益;當博弈方S為防護者時,它會有線性的增益影響,如表3所示.

表3 行為函數收益Table 3 The payoffof the behavioral function

下面計算策略a對博弈方產生的影響函數Impact(a),它由智能電網的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)和安全性(Safety)組成,分別用C(a),I(a),A(a),SF(a)表示,并且根據重要性賦予的權值分別為ωC,ωI,ωA,ωSF.其中Impact(a)定義如下:

2.2 數值算法

為了能夠對確定類型的攻擊者和防護者之間的序貫博弈進行分析,本文提出了一種數值算法,通過逆向歸納法對序貫博弈模型的博弈樹進行分析.將博弈樹的每個決策結點看成一個子博弈的初始結點,每個決策結點和它的后續分支構成一個子博弈.在每個子博弈中求出納什均衡,這些納什均衡的戰略組合是子博弈精煉納什均衡.如果一個博弈有幾個子博弈,一個特定的納什均衡決定了原博弈樹上唯一的路徑,這條路徑稱為均衡路徑.為了求解子博弈精煉納什均衡,通過逆向歸納法從最后一個子博弈開始,依次向前求解每個子博弈的納什均衡.根據博弈樹的均衡路徑,可以得出博弈雙方的最優策略,以下是數值算法的步驟:

算法1.數值算法

步驟1.設置初值:

步驟2.構建博弈樹:

每個決策節點表示攻擊者和防護者的輪次,每條分支表示攻擊者和防護者的策略;博弈樹的高度為d.

步驟3.收益值:

根據式(18)求出策略a的Impact(a);根據式(17)和表3可以求出博弈樹每個決策節點的收益值,初始收益值都為(0,0),前者為攻擊者的收益,后者為防護者的收益.

步驟4.迭代:

3 序貫博弈模型的數值算法分析

經過靜態貝葉斯博弈模型分析后,攻擊者的類型確定,接下來分別對兩種類型的攻擊者和防護者進行序貫博弈數值算法分析,通過算法求出均衡路徑,根據均衡路徑可以得出攻擊者的最優攻擊策略和防護者的最優防護策略.

3.1 兩種類型的攻擊者

隨著新技術的應用和更容易獲取的能源數據的使用,智能電網有可能受到多種漏洞和攻擊的威脅.為了能夠清晰地了解攻擊者的策略,下面介紹三種網絡攻擊和三種物理攻擊.

1)網絡類型的攻擊者:攻擊智能電網的網絡組件.

干擾攻擊(Jamming):智能電網的通信系統較容易受到攻擊,例如拒絕服務攻擊.干擾攻擊作為拒絕服務攻擊的一種,干擾和阻塞了系統組件之間的信息交換、數據測量和控制輸入,對數據的完整性造成了損害[31].

竊聽攻擊(Eavesdropping):對手可以通過監控網絡流量來獲取敏感信息,披露智能電網控制結構以及未來的價格信息,從而導致用戶隱私泄露.這種竊聽可以用來收集更多的信息,進行更多的犯罪.例如,攻擊者可以收集和檢查網絡流量,從通信模式中推斷出信息,甚至加密的通信也容易受到流量分析的攻擊.

數據注入攻擊(Data injection):攻擊者向目標地區當前或者未來的價格中注入虛假信息,使得地區的電力需求變化而造成損失,以及將錯誤的電表信息發送給智能電網公司,造成公司的經濟損失.數據注入攻擊也會改變電力市場的狀態估計值,通過電網拓撲的知識,可以看出在當今的監控和數據采集(SCADA)系統中,錯誤的數據注入攻擊可以繞開不良數據檢測[32].

2)物理類型的攻擊者:攻擊智能電網的物理組件.

恐怖襲擊(Terrorist):第一起恐怖襲擊事件發生在2014年的也門,襲擊者發射火箭摧毀輸電塔,造成也門全國停電和2400萬人受傷[11].再如狙擊手攻擊美國加利福尼亞州輸電變電站的電力系統變壓器,改變電力系統的拓撲結構,導致了直接停電并引發連鎖故障[33].

盜竊攻擊(Steal):攻擊者盜竊銅線和金屬設備,損害了電網的完整性,造成大片區域的停電事故.例如,盜竊造成了美國西弗吉尼亞州3000人的停電事故[11].

自然災害攻擊(Natural disaster):自然災害會損害智能電網的物理設備,造成大片區域的停電,顯示了智能電網組件的物理暴露和不可靠性的影響.樹木的過度生長和倒塌也會對電網輸電線路造成攻擊,例如過度生長的樹木造成了美國俄亥俄州北部5000萬人的大面積停電[34].

3.2 網絡攻擊和防護者的序貫博弈數值分析

為了保證智能電網安全、可擴展和可靠地運行,各國提出了一些框架和指導方針[35].美國國家標準與技術研究院提出,為了智能電網的安全,應滿足三個安全需求:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability).由于智能電網組件的不同性質,以及與物理世界的直接互動,安全性(Safety)要求也是至關重要的.美國2004年2月出版的《聯邦信息和信息系統安全分類標準》(Federal information processing standard 199,FIPS 199)對每個安全需求都規定了低、中、高影響級.由于安全性的重要性,本文也規定了低、中、高影響級.對于智能電網的網絡安全,數據的完整性是最重要的,其次是數據的可用性,最后是保密性和安全性.本文假設網絡安全需求的權值分別為ωI=0.4,ωA=0.3,ωC=0.2,ωSF=0.1.網絡攻擊中的干擾攻擊(Jamming)、竊聽攻擊(Eavesdropping)、數據注入攻擊(Data injection)分別用acj,ace和acd表示,其中acno表示不攻擊策略.智能電網的防護者也會采取相應的策略,例如密鑰管理(Key management)、干擾防護 (Jamming defense),用d〈km,jd〉表示,其中dcno表示不防護策略.根據這些網絡攻擊對智能電網的影響,確定攻擊策略的影響級,其中影響級低、中、高分別用l,m,h表示(l＜m＜h).根據式(18)可計算出行為策略a的影響函數,如表4所示.網絡攻擊者和防護者之間進行序貫博弈,通過數值算法對網絡攻擊的序貫博弈樹進行分析,博弈雙方輪流采取行動,通常是攻擊者先采取行動.

假設攻擊者第一階段采取的策略為{ace,acno},第二階段采取策略{acj,acd};防護者采取的策略為{d〈km,jd〉,dcno}.博弈樹的收益結果根據式(17)和表3進行計算,表示為(攻擊者收益,防護者收益),其中根節點的初始收益為(0,0),實心圓表示攻擊者輪次,空心圓表示防護者輪次.網絡攻擊的序貫博弈樹如圖2所示.

首先從博弈樹高度為2的最左側子博弈開始,比較收益(1.6l+m+1.4h,-(0.3l+0.3m+0.4h)3-0.1l+1.1m)和(1.3l+m+1.7h,-(0.2l+0.3m+0.5h)3-0.1l+1.1m),此時是攻擊者輪次,并且1.6l+m+1.4h＜1.3l+m+1.7h,所以攻擊者的最優策略是acd,收益為(1.3l+m+1.7h,-(0.2l+0.3m+0.5h)3-0.1l+1.1m).同理可以求出博弈樹高度為2的其余三個子博弈的最優策略和收益分別為acd和(1.3l+m+1.7h,-(0.2l+0.3m+0.5h)3-0.7l-0.1m-0.2h),acd和(0.6l+0.9m+1.5h,-(0.2l+0.3m+0.5h)3+0.6l+1.2m+0.2h),acd和(0.6l+0.9m+1.5h,-(0.2l+0.3m+0.5h)3).

其次從博弈樹高度為1的左側子博弈分析,比較收益(1.3l+m+1.7h,-(0.2l+0.3m+0.5h)3-0.1l+1.1m)和(1.3l+m+1.7h,-(0.2l+0.3m+0.5h)3-0.7l-0.1m-0.2h),此時是防護者的輪次,并且-(0.2l+0.3m+0.5h)3-0.1l+1.1m＞-(0.2l+0.3m+0.5h)3-0.7l-0.1m-0.2h,所以防護者采取防護策略d〈km,jd〉,收益為(1.3l+m+1.7h,-(0.2l+0.3m+0.5h)3-0.1l+1.1m).同理可求出博弈樹高度為1的右側子博弈最優策略和收益為d〈km,jd〉和 (0.6l+0.9m+1.5h,-(0.2l+0.3m+0.5h)3+0.6l+1.2m+0.2h).

最后對博弈樹高度為0的子博弈進行分析,比較收益(1.3l+m+1.7h,-(0.2l+0.3m+0.5h)3-0.1l+1.1m)和(0.6l+0.9m+1.5h,-(0.2l+0.3m+0.5h)3+0.6l+1.2m+0.2h),此時是攻擊者輪次,并且1.3l+m+1.7h＞0.6l+0.9m+1.5h,所以攻擊者采取ace,收益為(1.3l+m+1.7h,-(0.2l+0.3m+0.5h)3-0.1l+1.1m).

經過分析,攻擊者的類型為網絡攻擊時,博弈樹的均衡路徑如圖2所示,攻擊者的最優策略是ace和acd,防護者的最優策略是d〈km,jd〉.

3.3 物理攻擊和防護者的序貫博弈數值分析

智能電網遭受物理攻擊時,也會對網絡造成影響,例如攻擊智能電表會導致用戶數據丟失,使得電網公司損失利益.所以影響函數Impact(a)也是由智能電網的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、安全性(Safety)組成.對于智能電網的物理設備的安全,完整性(Integrity)和可用性(Availability)同時重要,其次是保密性(Confidentiality)、安全性(Safety).本文根據物理安全需求的重要性來分配權值,分別為ωI=0.4,ωA=0.4,ωC=0.1,ωSF=0.1.物理攻擊中的恐怖襲擊(Terrorist)、盜竊攻擊(Steal)、自然災害攻擊(Natural disaster)分別用apt,aps和apn表示,其中apno表示不攻擊策略.智能電網的防護者也會采取相應的策略,例如意外事故分析(Contingency analysis)、監控物理訪問(Monitor physical access),用d〈ca,mp〉表示,其中dpno表示不防護策略.根據式(18)可計算出行為策略a的影響函數,如表5所示.

圖2 網絡攻擊的序貫博弈樹Fig.2 The sequential game tree for cyber attacks

假設攻擊者第一階段采取的策略為{aps,apno},第二階段采取策略{apn,apt};防護者采取的策略為{d〈ca,mp〉,dpno}.博弈樹的收益結果根據式(17)和表3進行計算,表示為(攻擊者收益,防護者收益),其中根節點的初始收益為(0,0),實心圓表示攻擊者輪次,空心圓表示防護者輪次.物理攻擊的序貫博弈樹如圖3所示.通過數值算法對物理攻擊的序貫博弈樹進行分析,求出均衡路徑.

首先從博弈樹高度為2的最左側子博弈開始,比較收益(1.1l+2.9m,-(0.1l+0.9m)3-0.6l+1.6m)和(1.1l+0.2m+2.7h,-(0.1l+0.9h)3-0.6l+1.6m),此時是攻擊者的輪次,并且1.1l+0.2m+2.7h＞1.1l+2.9m,所以攻擊者的最優策略是apt,收益為(1.1l+0.2m+2.7h,-(0.1l+0.9h)3-0.6l+1.6m).同理求出其余博弈樹高度為2的子博弈最優策略和收益分別為apt和(1.1l+0.2m+2.7h,-(0.1l+0.9h)3-0.8l-0.2m),apt和(0.3l+2.7h,-(0.1l+0.9h)3+0.2l+1.8m),apt和(0.3l+2.7h,-(0.1l+0.9h)3).

圖3 物理攻擊的序貫博弈樹Fig.3 The sequential game tree for physical attacks

表4 行為策略a的影響函數(網絡攻擊)Table 4 The payoffof the behavioral function(cyber attack)

表5 行為策略a的影響函數(物理攻擊)Table 5 The payoffof the behavioral function(physical attack)

其次對博弈樹高度為1的左側子博弈分析,比較收益(1.1l+0.2m+2.7h,-(0.1l+0.9h)3-0.6l+1.6m)和(1.1l+0.2m+2.7h,-(0.1l+0.9h)3-0.8l-0.2m),此時是防護者輪次,并且-(0.1l+0.9h)3-0.6l+1.6m＞-(0.1l+0.9h)3-0.8l-0.2m,所以防護者采取的最優策略為d〈ca,mp〉,收益為(1.1l+0.2m+2.7h,-(0.1l+0.9h)3-0.6l+1.6m).同理求出博弈樹高度為1的右側子博弈的最優策略和收益為d〈ca,mp〉和 (0.3l+2.7h,-(0.1l+0.9h)3+0.2l+1.8m).

最后對博弈樹高度為0的子博弈進行分析,比較收益(1.1l+0.2m+2.7h,-(0.1l+0.9h)3-0.6l+1.6m)和(0.3l+2.7h,-(0.1l+0.9h)3+0.2l+1.8m),此時是攻擊者輪次,并且1.1l+0.2m+2.7h＞0.3l+2.7h,所以攻擊者采取的最優策略為aps,收益為(1.1l+0.2m+2.7h,-(0.1l+0.9h)3-0.6l+1.6m).

經過分析,攻擊者的類型為物理攻擊時,博弈樹的均衡路徑如圖3所示,攻擊者的最優策略是aps和apt,防護者的最優策略是d〈ca,mp〉.

4 結束語

本文針對智能電網的防護者如何確定攻擊者類型,進而選擇最優防護策略的安全問題,提出了一種貝葉斯序貫博弈模型,為系統防護者及時提供決策分析.首先,通過靜態貝葉斯博弈模型分析,根據貝葉斯納什均衡解和攻擊者類型為網絡攻擊的概率,確定攻擊者的類型.其次,通過逆向歸納法對確定類型的攻擊者和防護者之間的序貫博弈博弈樹進行分析,根據均衡路徑選擇博弈雙方的最優策略.通過對攻擊者和防護者的靜態貝葉斯博弈和序貫博弈樹分析,解決了防護者不確定攻擊者類型的安全問題,并且根據均衡路徑得出了攻擊者的最優攻擊策略和防護者的最優防護策略,為保證智能電網的安全運行提供了參考.下一步值得進一步探討的問題包括建立和分析攻擊者和防護者之間的動態貝葉斯博弈模型,以及擴展序貫博弈模型中的行為函數收益公式等.