面向電力信息物理系統的虛假數據注入攻擊研究綜述

王琦 邰偉 湯奕 倪明

隨著智能電網建設的不斷推進,先進的感知、計算、通信與控制技術在電力系統中得到深入應用[1-2].傳統電力系統逐漸與信息控制設備和通信傳感網絡深度融合,形成電力信息物理系統(Cyber physical system,CPS)[3-5].在促進電力資源高效配置、實時分析、科學決策的同時,通信網絡和信息設備中的安全漏洞也帶來了潛在威脅[6-7].

電力通信網絡作為電力工控系統的專用網絡,具有安全分區、網絡專用、橫向隔離、縱向認證的特點,長期以來被認為具備較強的安全性和可靠性[8].因此與相對健壯的電力一次系統相比,針對電力信息通信系統的安全防護研究起步較晚.目前針對電力系統網絡攻擊實例的研究表明,由于規劃和運行管理漏洞的存在,物理隔離并不能保證電力CPS的絕對安全[9-10].作為針對基礎工控設施的新型攻擊方式,網絡攻擊已成為電力系統安全穩定運行不容忽視的威脅,其攻擊機理、防御手段及相應的系統安全態勢評估方法亟待深入研究[11-12].

針對電力CPS的網絡攻擊可按攻擊目標分為破壞信息可用性、完整性和保密性[13].其中,虛假數據注入攻擊(False data injection attack,FDIA)作為通過篡改測控數據以破壞電網信息完整性的攻擊方式,具有較強的可達性、隱蔽性與干擾性,能夠影響上層控制中心的分析決策,造成嚴重后果,是對電力系統威脅程度較高的攻擊方式之一.近年來世界范圍內發生了多起大規模電力網絡安全事故,其中不乏利用數據篡改機制進行攻擊的場景.以烏克蘭電網遭受的攻擊為例,攻擊者向控制監控與數據采集(Supervisory control and data acquisition,SCADA)系統注入虛假數據和刪改原有數據,從而使得操作員與控制設備失去對系統的可觀可控性,故障大規模擴散且難以恢復[14-16].

傳統FDIA的作用原理是利用狀態估計器中不良數據辨識方法的局限性,惡意篡改元件的量測值,使控制中心誤判電網當前狀態,繼而造成電力系統安穩控制措施誤動或拒動,從而影響電力系統安全穩定運行[17-18].隨著電力信息物理耦合程度的提升,FDIA的涵義也進一步拓展,從廣義上講,以破壞電網穩定性或獲取經濟利益為目的,通過惡意篡改電力信息設備中的測控數據而實施的攻擊,都可視為面向電力CPS的FDIA.

本文歸納和分析了針對電力CPS的虛假數據注入攻擊和防御過程中的關鍵問題與研究現狀,旨在揭示電力CPS網絡安全漏洞,分析潛在攻擊途徑,繼而構建有效防御方式.在信息與電力層面分析攻防構建方式與作用效果,并基于聯合仿真技術提出了電力CPS網絡安全攻防平臺,以實現虛假數據注入攻防交互過程的建模、仿真和分析.

1 FDIA原理與建模方法

電力信息系統主要包括發電側的發電廠監控信息系統、電網側的SCADA系統、能量管理系統(Energy management system,EMS)、電力市場運營管理系統和電能量計量系統,以及用戶側的需求側管理系統等,如圖1所示.攻擊者可能采用FDIA對上述系統中的電力生產、輸配與市場信息進行篡改,最終干擾電力應用業務[19].以圖1中針對SCADA的FDIA為例,攻擊者可以通過量測單元、通信網絡與控制設備等多途徑注入虛假數據,繼而對電力業務實施后續攻擊.

從數據流動方向追溯,電力CPS涵蓋了量測、通信、存儲、處理、執行等多過程數據對象,其一般應用入侵檢測系統和防火墻等安全監視設備以保證數據的完整性,如圖2所示.然而在實際電力緊急控制業務的數據傳輸過程中,由于快速響應需求,相應的加密與檢測環節的漏洞給FDIA提供了入侵路徑.

圖1 電力CPS結構圖Fig.1 The framework of cyber physical power systems

圖2 電力CPS安全監控架構Fig.2 The security supervisory and control architecture of CPPS

1.1 面向電力CPS的FDIA過程分析

1.1.1 針對通信傳感網絡的FDIA過程

針對通信傳感網絡進行入侵以獲得電力CPS信息側可達性是FDIA的第一步,入侵進程通常在數據采集與傳輸過程中實現.依據入侵原理,主要可以分為交互作用和植入系統等方式,其中交互作用包括偽裝、旁路控制、中間人和截聽重放等攻擊手段,植入系統包括病毒木馬、陷阱門和服務欺騙等攻擊手段.

在數據采集過程中,主要可以通過遠程終端單元(Remote terminal unit,RTU)、同步相量測量單元(Phasor measurement unit,PMU)和各類智能用戶表計進行入侵.攻擊者需要利用設備加密認證機制的固有漏洞以實現數據篡改,目前大部分攻擊研究針對傳統量測終端RTU進行入侵[20].文獻[21]將PMU作為目標攻擊量測單元,攻擊者利用PMU中的GPS漏洞進行時間同步攻擊,由于GPS信號沒有任何加密或授權機制,攻擊者可以偽造GPS信號以淹沒正確數據.文獻[22]將智能電表作為攻擊目標,基于有色petri網建立了智能電表的威脅模型,分析其中信息流的脆弱性.

為構建針對數據傳輸過程的入侵,攻擊者通過在量測單元到控制中心之間部署中間人等方式實現對通信傳輸過程的旁路控制,從而在通信網中注入錯誤數據.文獻[23]通過劫持并扭曲傳感器的輸出,從而篡改量測矩陣,破壞狀態估計器的完整性.文獻[24]分析了灰洞攻擊對量測數據的影響,通過在數據傳輸過程中丟棄PMU數據包,造成系統可觀性下降,繼而導致控制決策失誤.

攻擊者成功將錯誤數據注入到信息層后,基于對電力系統運行、控制和保護業務的充分了解,可以操縱電力物理過程[25].

1.1.2 針對電力控制系統的FDIA過程

電力系統控制中的量測數據通過傳感器傳輸給控制系統(例如EMS)中的狀態估計器,估計出系統的實時狀態.傳感器量測數據不是完全準確的,由于設備故障、傳感器的偏移、錯誤連接、通信干擾等偶然因素會引起不良數據,導致狀態估計結果受到污染.不良數據檢測辨識方法的目的即為去除此類偶然隨機不良數據,目前成熟的算法主要是通過最大標準殘差(Largest normalized residual,LNR)方法來檢測.與隨機自然誤差相比,如果攻擊者熟悉電力系統拓撲及狀態估計算法,那么精心設計的虛假數據可以滿足線路拓撲與潮流約束,避開不良數據辨識,提升成功率.

狀態估計算法可以分為靜態和動態兩種算法,靜態狀態估計主要基于低采樣頻率的RTU,對系統某個時間斷面的靜態參數進行估計[26];相對于靜態狀態估計,動態狀態估計主要基于高采樣頻率的PMU,通常采取分布式并行算法,依據濾波算法與系統歷史信息,對系統連續斷面的狀態信息與動態參數進行估計[27].對攻擊者來說,成功的關鍵在于利用已有的系統拓撲知識與攻擊資源,針對系統靜態或動態狀態估計算法,設計最優的虛假數據向量,兩種情形下攻擊者均需要綜合攻擊隱蔽性、攻擊代價與量測冗余度,確定成功實施攻擊所需破壞的最少傳感器量測值.相對于靜態狀態估計,針對動態算法的FDIA所需先驗知識更加復雜,攻擊者需要依據攻擊向量的時間相關性,建立連續控制模型,進行潛伏攻擊,提前獲取系統狀態變化特征,以逃避基于歷史數據的時間濾波檢測算法,但由于動態狀態估計本身的不精確性,給攻擊者提供了較大的向量篡改范圍.

1.2 虛假數據構建方法

由于系統量測信息需要遵循潮流規律,篡改單一量測量難以躲過不良數據辨識環節,攻擊者需同時修改相關量測量以實施成功的FDIA.因此攻擊構建目標之一就是尋找到最少需要被篡改的量測量.如圖3所示,為了篡改線路2-3的潮流,可以通過同時篡改節點3的電壓和與節點3相鄰線路節點的量測值來實現.本文定義該最少量測量集合為目標篡改量測量的最小相關空間.因此在攻擊某一電力元件時,需要對該元件最小相關空間的所有元件進行協同攻擊,保證該范圍中的狀態信息互洽,符合系統潮流規律,以滿足狀態估計約束.

圖3 FDIA最優攻擊區域選取Fig.3 The optimal attack area of the FDIA

除了上述條件,由于電力系統的運行特性,數據篡改還需要滿足以下約束條件:

1)零注入節點不能作最小相關空間邊界節點;

2)平衡節點電壓不能被攻擊;

3)系統各節點篡改后的量測值應滿足歷史數據預測特性、發電機實際特性等限制條件的要求;

4)對存在冗余量測裝置的區域,攻擊者需要篡改該區域內所有量測裝置的數據.

理想情況下,攻擊者設法取得足夠的權限,準確獲取系統完整信息,包括實時狀態量、電網拓撲及線路參數等信息,同時可操縱一定數量的量測裝置.在此場景下,攻擊者可針對攻擊策略的隱蔽性與后果進行有效評估,從而實現最優的攻擊過程[28].如果攻擊者只能夠掌握系統部分信息,為成功構建FDIA,需要對部分未知信息進行估計,盡可能縮小篡改后狀態估計的殘差.該條件下攻擊者可以通過主成分分析法或Lagrange最優乘子法等方法構建最優策略,針對部分信息完善的區域進行局部攻擊[29].

目前多數研究為簡化問題的復雜度,通常基于靜態狀態估計算法與完全信息情形.在掌握部分信息與攻擊資源的情形下,如何構造攻擊向量,對電網造成最嚴重后果,屬于多項式復雜程度的非確定性問題,需要進一步研究平衡計算資源和時間的攻擊算法優化策略.

1.3 FDIA影響后果分析

針對不同電力業務,FDIA對系統影響主要包括經濟調度與安全控制等方面[30].

1.3.1 經濟調度后果

在以經濟利益為目的的FDIA中,攻擊者的目標包括降低電網企業的經濟效益和提高自身的不正當經濟利益.

以安全約束經濟調度(Security constrained economic dispatch,SCED)為目標說明FDIA對電網經濟效益的破壞.SCED作為生產調度算法,綜合考慮了機組燃料類型、能耗、機組啟停費用、網損、污染物排放及電網安全等因素,從而實現系統能耗最優或生產成本最優[31].攻擊者通過對系統機組出力計劃或負荷預測數據進行篡改,從而導致系統對負荷平衡、機組運行和電網安全等約束條件產生誤判,最終增加系統能耗與設備損耗.

以獲取經濟利益為目標,攻擊者可以偽造線路阻塞級別,通過電力市場的電價差或竊電行為來獲利.在文獻[32]中,攻擊者利用惡意數據檢測算法的缺陷,針對IEEE14節點系統,偽造兩條線路堵塞進行虛擬競價,最終獲得了$6.0/MWh的經濟套利.文獻[33]提出了電力系統的電價模型,以IEEE14節點系統為例,仿真得出由拓撲修改與量測修改導致的節點邊際電價偏移值分別在15%和5%左右,前者通過重構價格區間,比后者篡改狀態估計對電價的影響更為嚴重.

1.3.2 安全控制后果

在電力系統安全控制方面,攻擊后果可分為對系統可觀可控性的影響和對安全穩定性的影響.

如果FDIA未能躲避不良數據檢測,那么被篡改的量測量將被作為不良數據剔除,從而造成系統某區域不可觀,導致電力系統調度控制中心無法及時掌握不可觀區域的實際運行狀態,從而引發系統后續運行風險[34-35].

當FDIA成功干擾量測估計值,控制中心基于攻擊者偽造的假象誤以為電力系統進入緊急狀態,實行切機切負荷等保護措施.電力系統拓撲結構發生變化,可能引起連鎖反應,導致電力系統中其他輸電線路真正過負荷,擴大故障范圍,甚至引起嚴重的電力系統事故[36].在文獻[37]中,攻擊者通過在正常的PMU數據中滲入大量錯誤數據,導致誤控制動作甚至停電事故.在文獻[38]中,攻擊者以重放攻擊的形式注入虛假PMU測量數據,從而屏蔽傳輸線真實故障信息,引起系統潮流失穩和連鎖故障.

對于攻擊者來說,依據注入的虛假數據類型,會對電力系統造成不同的影響.通過偽造節點電壓幅值越限,可能導致甩負荷甚至系統電壓崩潰;通過偽造線路過負荷,可能導致線路故障和電力拓撲結構的變化;如果攻擊者同時掌握電力調度算法和電力市場交易信息,則可通過發動FDIA擾亂電力市場的正常秩序,獲得不正當的經濟利益.

2 FDIA防御機理與建模方法

傳統的信息安全模型主要考慮預警、保護、檢測、響應、恢復和反擊等環節.針對電力網絡安全,需要針對電力CPS多層架構進行專門分析,在信息層從傳輸通道、邊界防護、主機和終端安全、數據安全等方面進行防御[39-40];在物理層從線路、設備、網絡結構等方面進行防御.電力CPS中包含大量電力一次設備、通信設備和信息處理控制設備,由于電力一次設備側是時變連續系統,而信息側為離散系統,信息變化由事件觸發,因此兩者時空特性和描述方法存在著本質不同.

在時間維度,以電力業務數據分析為例,由于數據的來源和業務重要度不同,因而數據的采樣頻率和延時需求不同,對不同來源和時間尺度的量測數據需要進行冗余性和合理性核查,挖掘數據之間的相互關系,進行互校核剔除錯誤數據,提升數據質量,形成多時間尺度的信息安全防御機制.

在空間維度,一方面要保證信息空間的保密性、完整性與可用性,另一方面要保證電力空間電壓、頻率、負荷供應等指標的穩定性.需要通過風險由信息到物理的跨空間傳播機制,建立兩者運行特征的關聯匹配規則,進行協同防御.

基于以上方法,在時間上建立覆蓋暫態、穩態和中長期動態全過程的防御體系,在空間上建立包含電力層、信息層與耦合層的多層防御架構,從而建立時空多維的協同防御模型.電力CPS網絡安全防護過程,是一個不斷演進的動態過程,需要通過周期性的安全管理、實施、部署與評估等循環過程.

如圖4所示,針對電力CPS的組織結構,根據數據傳輸過程,攻擊者首先在信息層獲取對節點設備或通信線路的接入甚至控制權限,繼而在電力層設計數據篡改方式,最大化物理攻擊后果.在此基礎上,可以總結針對各攻擊手段的防御方法.其中信息層防御手段的基本原理是依據信息安全知識對數據協議、邏輯的正確性進行辨識;電力層防御手段的原理是基于電力專業知識對數據內容的合理性進行辨識.兩者的交匯之處在控制應用設備,作為信息基礎設施的最高層,包含了數據庫和高層業務應用程序,涵蓋面向物理電網的量測與指令數據流.在信息層注入的虛假數據都會匯集在控制應用中,因此依據電力知識保證數據內容的正確性是阻止虛假數據破壞物理電網的最后一道防線.電力層防御是電力CPS整體防御過程的關鍵,防御手段主要包含保護與檢測環節,保護方法側重于對攻擊前的保護資源規劃,檢測方法側重于對攻擊后的攻擊行為辨識.兩類環節通常應用在攻擊初始階段,如果布置得當可將攻擊消除在萌芽階段,最小化攻擊影響,因而在整體防御過程中處于重要地位,是本文重點研究的防御環節.

圖4 電力CPS數據流中的FDIA攻防手段概括Fig.4 The attack-defense means of FDIA aimed at the data flow in CPPS

2.1 面向FDIA的檢測方法

2.1.1 基于狀態估計的檢測方法

如果攻擊者對電網信息和電力保護算法有充分的了解,可以構建出能夠逃避現有基于最小二乘狀態估計的不良數據辨識檢測算法.基于該類數據篡改的特征,目前的檢測方法針對原有狀態估計算法進行了改進,增強了對人為惡意數據的辨識能力.改進后的方法主要包括殘差檢測法、量測突變量檢測法和量測相關性檢測方法等[41-43].此外,考慮到檢測閾值受系統規模影響較大,針對大系統可以將全局系統進行分塊,按各子系統實際參數設定不同閾值檢測[44-45].

該類方法的優點是利用了成熟算法,檢測速度快,能夠較好反映電力系統特性;但檢測閾值的設定對檢測精度影響大,易出現漏檢和誤檢.

2.1.2 基于軌跡預測的檢測方法

基于狀態估計的檢測方法主要用于靜態分析,針對某個時間點的攻擊行為進行檢測.在電力系統連續動態運行過程中,多重狀態量之間存在著較強的時空關系.因此可以考慮利用歷史數據進行軌跡分析,對電網當前狀態進行預測,并與當前實際量測量對比,分析其中可能受到攻擊的區域.基于軌跡預測的檢測方法主要包括統計一致性檢驗、基于廣義似然比的序貫檢測和傳感器軌跡預測等[46-48].

該類方法依據系統狀態的運行規律和歷史數據庫,預測狀態變量的分布規律,通過運行軌跡進行匹配,可以有效檢測各種類型的虛假數據,但計算復雜度高,檢測速度慢,不適用于復雜系統.

2.1.3 基于人工智能的檢測方法

在傳統的數學建模研究方法之外,近年來提出了基于人工智能的FDIA檢測方法,主要有基于神經網絡、深度學習和模糊聚類的研究方法[49-50].

文獻[49]利用深度學習檢測算法,輔助檢測傳統狀態估計無法識別的壞數據,在IEEE118節點系統中,針對1300組測試數據進行檢測,真正類率和負正類率分別為96.43%和95.89%.由于電力系統結構的復雜性和攻擊特征的多元性,復雜多維的攻擊特征庫與系統故障集之間的關聯關系通常難以用傳統解析方法構建,而深度學習方法可以通過海量數據庫進行訓練,有效地揭示攻擊特征模式庫,對攻擊行為進行分類檢測.從模糊聚類的角度出發,以迭代自組織數據分析技術為基礎,并融合運用數據挖掘中的聚類分析方法和模糊集方法,判斷虛假數據[50].

人工智能方法的顯著優點在于強大的計算能力和清晰的框架.然而,由于電力系統運行機理的復雜性,該類方法的可解釋性通常較差.

2.2 面向FDIA的保護方法

在電網安全規劃中,分析電網中重要和脆弱的區域,對電網關鍵設備進行保護,是防止系統被入侵的重要手段.其中,直接保護方法包括物理隔離、通道加密、增加防火墻等.間接保護方法主要通過部署冗余量測裝置,增強系統的量測冗余度.該類防御方法最重要的研究點為如何定位并保護重要的量測節點.

由于電網海量的測控數據和復雜的運行方式,不同組合類型的攻擊對電力系統運行方式的影響計算量十分龐大,因此采用實時決策,實時控制的方式難以滿足對決策時間的要求.需要采用離線決策,在線匹配的思想,攻擊前在離線靜態分析階段,采用規劃的思想進行關鍵區域定位,分析攻擊—故障映射關系,從而預先確定決策表;在在線匹配決策階段,采用博弈的思想進行攻防行為預判分析,過濾出可能的攻擊方式,確定最優防御策略.

2.2.1 電網關鍵區域識別規劃方法

規劃方法是在系統潮流和其他電氣約束條件下,考慮元件故障對系統整體安全性的影響,從而識別系統中的關鍵區域進行保護.按優化目標分類,可以分為對系統整體穩定裕度、發電成本、負荷供應等目標的最優求解.按約束條件分類,規劃方法可分為直流潮流線性規劃和交流潮流非線性規劃,其中混合整數線性規劃(Mixed integer linear programming,MILP)模型是判斷電力系統關鍵區域最常用的方法.文獻[51]提出了雙層MILP模型,分析了保持系統整體穩定所需的最少保護量測量.文獻[52]為了防御針對智能電網的價格修改攻擊,提出了雙層MILP模型,并采用啟發式算法計算關鍵節點.規劃方法一般適用于對保護資源的離線優化配置.

2.2.2 電網關鍵區域攻防博弈方法

規劃方法適合從整體性的角度分析電網中的重點防御部署,該方法多數停留在靜態攻防策略求解層面,以系統中最薄弱或最重要的區域作為攻防對象,實際上由于攻防雙方資源的有限性,無法對電網所有區域進行攻防,雙方都會基于對方可能的選擇,優化自身的攻防資源部署,形成了雙人動態博弈過程.

現有的研究主要可以分為針對經濟指標和安全指標的攻防過程.從經濟指標的角度,文獻[53]以市場電價為回報函數,提出了斯塔克爾伯格博弈過程,在一個領導的防御方和多個跟隨的攻擊方中,分析雙方不同地位的影響.從安全指標的角度,文獻[54-55]應用多階段混合博弈,研究針對線路的n-k攻擊,其中前者運用狀態轉移矩陣表征攻防雙方的預判行動,后者采取考慮時間因素的馬爾科夫模型來模擬雙方互相影響的情形,以最小負荷減載量化攻擊后果,得出了各線路的重要程度和攻防概率.文獻[56]將安全指標與經濟指標結合,攻擊者針對電力控制網絡的入侵,控制變壓器,引起線路斷線,針對攻擊引起的負荷損失和發電機跳閘,將其量化為攻擊者的經濟收益,并且與攻擊成本進行權衡,而防御者通過發電機出力的再調度措施減少攻擊損失.

3 聯合仿真技術在FDIA中的應用

在電力CPS環境中,對FDIA的研究需要分析物理環境、通信環境與控制設備間的關聯特性[57].由于信息物理耦合程度高、機理復雜,面向FDIA的檢測、定位和保護措施難度較大.為了對攻擊進行全周期過程分析,可以利用電力CPS聯合仿真技術,構建攻擊場景,模擬攻擊復現、故障定位、安全分析和故障恢復等過程.

3.1 聯合仿真平臺整體研究現狀

3.1.1 聯合仿真平臺方案

近年來,國內外各研究機構提出了多種聯合仿真方案,在平臺架構、時間同步、計算精度和應用場景等方面各有不同[58-59].針對面向電力CPS的網絡攻擊而言,主要包括拒絕服務攻擊、中間人攻擊、FDIA等攻擊策略和入侵檢測、故障定位、安全評估等防御方法的仿真場景.表1列出了近年來較為成熟的電力CPS網絡安全攻防平臺.

目前將電力CPS聯合仿真技術應用于網絡攻擊的相關研究中,重點是介紹通用平臺的搭建過程及電力CPS的宏觀特征,例如多仿真器組成聯合仿真平臺時的數據交互和時間同步方法,尚缺乏對于包含FDIA在內的網絡攻擊過程的詳細建模和分析功能[66].本文提出一種面向FDIA的電力CPS實時聯合仿真平臺架構,能夠模擬FDIA的攻擊路徑及相應的檢測手段和保護策略.

表1 電力CPS網絡安全攻防平臺研究現狀Table 1 Researches of CPPS associated attack-defense platforms

3.1.2 基于硬件在環的網絡實時聯合攻防平臺

方案總體框架如圖5所示.以OPNET仿真的通信網絡作為紐帶,連接了RT-LAB仿真的電力系統網絡、ARM平臺開發的主站系統、硬件測控裝置和網絡安全測試裝置.其中硬件測控終端是執行單元,網絡安全測試平臺負責對系統整體安全性能進行評估,主站系統負責實現各模塊的同步分析與控制.A1～A3三種攻擊方式分別代表針對量測終端、通信網絡和主站系統的入侵攻擊過程.

為了使平臺能夠適應網絡攻擊仿真需求,需對電力信息設備進行完整地協議建模和漏洞分析.在傳統的電力CPS仿真中,針對通信部分的研究主要考慮數據傳輸延時對物理電網的影響,缺乏對網絡安全架構的建模.在本平臺中,對于網絡攻擊類應用,利用OPNET和硬件設備,擴展了網絡攻擊元件庫,并建立安全評估模塊分析攻防結果,從而針對攻擊的復現、傳播、溯源、防御和評估等環節進行仿真模擬.

OPNET作為通用的商業化通信仿真軟件,涵蓋了大部分常見通信元件,但對部分電力專用通信協議和設備缺乏支持.因此采用數模混合仿真的形式,對通用元件進行數字模擬,具有建模速度快,經濟性好,參數調整方便的優點;對于網絡安全測試設備,采用硬件裝置進行模擬,復現攻擊滲透、入侵檢測等真實網絡攻擊場景,通過OPNET的系統在環(System in the loop,SITL)元件進行連接,從而真實反映設備特性.綜合采用兩種方法,組成半實物協同仿真,具有直觀性、廣泛性、靈活性和整體性等優點,從而搭建電力CPS網絡攻擊專用驗證環境.

3.2 FDIA中驗證環境搭建

如圖6所示,為了在平臺中構建攻防場景,從信息層攻防角度,需要選取脆弱性高的目標進行滲透,將虛假報文注入到通信網絡中,再通過身份認證、機密性與完整性保障等措施進行防御;從物理層攻防角度,需要基于電力知識設計攻擊向量,再從保護、檢測與恢復等步驟對FDIA進行多階段防御,最小化攻擊影響;在此基礎上,構建網絡安全評估模塊,對攻防交互場景進行安全裕度評估,驗證對信息通信性能和電力系統穩定性的影響.

3.2.1 多種形式FDIA的實驗復現策略

在OPNET通信仿真環境中,可以通過滲透通信節點和網絡路由協議來構建FDIA.

針對通信節點的入侵,主要利用目標主機軟件缺陷或協議漏洞,向其發送惡意報文.比較典型的方式有旁路控制,攻擊者通過監聽客戶端節點發起的請求,然后偽造主站發送虛假數據指令給客戶端,可以誤導其執行虛假指令.

針對路由協議的入侵過程需要考慮整體網絡拓撲,以開放式最短路徑優先(Open shortest pathfirst,OSPF)協議為例,其由兩個互相關聯的主要部分組成:呼叫協議和可靠泛洪機制.呼叫協議檢測鄰居并維護鄰接關系,可靠泛洪算法可以確保統一域中的所有的OSPF路由器始終具有一致的鏈路狀態數據庫.如果攻擊者越過了加密機制,通過偽造泛洪報文,可以篡改路由表,造成指令目的地址的錯誤下發.

3.2.2 網絡安全防御系統的構建

為了抵御攻擊風險,利用OPNET中的網絡安全元件,建立相應的網絡安全防御系統,主要組成部分為風險防御模塊和安全評估模塊.

圖5 電力CPS網絡聯合攻防平臺框架Fig.5 The framework of the CPPS associated attack-defense platform

圖6 FDIA協同攻防框架Fig.6 The synergetic attack-defense framework of FDIA

在風險防御模塊中,通過認證、機密性和數據完整三重形式保護公有或私有IP網絡中的傳送數據.該模塊通過協議頭來驗證數據源身份,保證數據完整性,并防止相同報文不斷重播;通過安全加載封裝和互聯網密鑰管理協議提供對數據內容機密性保障和數據流機密性保障.

在安全評估模塊中,主要利用OPNET中的Cyber effects元件,實現感染設備檢查、流量統計、已知感染清除、控制轉發速率等功能,從而評估網絡性能、安全性和可靠性,對抗網絡威脅.該模塊通過測量故障或被攻擊環境下離散網絡組件的穩定性,針對多種業務,對端到端時延、丟包率、吞吐量、誤碼率、重傳次數、重傳時延等屬性進行評估,綜合得出網絡整體安全裕度[67].在此基礎上,可以釋放惡意應用程序導致的用戶負載,強化關鍵網絡或數據中心的穩定性,從而增強對FDIA的抵御能力.

3.2.3 物理側安全防護復現過程

在物理側,面對含虛假信息的電網測控數據,可以建立保護、檢測和恢復模塊,最小化攻擊影響.

從保護的角度,在RT-LAB中的電網模型,一方面,設置冗余量測單元,從而增強量測冗余度;另一方面適時調整網絡拓撲結構和參數,保障電網信息隱蔽性.從檢測的角度,在主站系統中建立數據合理性辨識模塊,依據狀態估計算法,建立異常檢測模型.從恢復的角度,此時物理電網已經遭受到FDIA影響,存在故障風險.在RT-LAB中建立控制恢復模塊,故障發生后快速切除故障支路.如果系統失步或母線長期低頻低壓,通過失步解列、低頻低壓減載等措施阻止故障范圍擴散,盡快恢復對被停負荷的供電.

4 結束語

本文從攻擊入侵方法、攻擊條件、攻擊影響等攻擊過程和保護、檢測等防御環節進行理論分析,介紹了面向電力CPS的FDIA攻防機理.闡述了針對FDIA的聯合攻防平臺構建過程,介紹了平臺框架、攻擊復現原理以及網絡安全防御系統.從理論探索到實驗驗證,針對FDIA進行了多角度、多目標的協同分析.

隨著源網荷廣泛互動,海量數據的交換共享,電源側、電網側和供電側的信息系統均會受到FDIA影響,從而威脅電力系統監視控制、統計分析、經濟調度和安全決策等多方面的功能.因此本文認為面向電力CPS的FDIA的后續研究方向主要包括:1)研究電力CPS的信息側漏洞分析和入侵檢測過程;2)研究電力CPS各空間狀態特征的數據檢測算法;3)考慮信息物理耦合關系,分析信息篡改與物理故障的關聯關系,研究信息物理協同防御機制.