電力系統網絡攻擊方法研究綜述

唐云澤 蘇曉茜

電力系統的運行與控制需要信息的傳輸和交互，攻擊信息系統會嚴重影響電力系統的運行，嚴重的情況會導致大停電，如2015年的烏克蘭大停電和2019年的委內瑞拉大停電。因此，需要對網絡攻擊方法進行總結和分析，為網絡攻擊的防御提供基礎?；诖?，本文首先總結了不同信息攻擊方法的原理，然后針對不同的電網設備分析了可能的信息攻擊方法，最后根據不同攻擊方法的特征，提出了網絡攻擊防御的思路。

一、引言

隨著先進的計算機與通信技術在電力系統中得到廣泛的應用，傳統的電力系統與信息通信系統高度耦合，使電力系統發展成為信息物理融合電力系統。CPPS通過傳感器網絡與信息通信網絡全面、實時地獲取電力系統的運行信息。信息系統增強了現代電力系統的可觀測性與可控性，但同時也使電力系統遭受可能的網絡攻擊。

作為現代社會的關鍵基礎設施，電力系統是網絡攻擊的高價值目標，近年來，國內外發生多起由網絡攻擊引起的大停電事件。例如，2015年，烏克蘭國家電網遭受網絡攻擊，導致約22.5萬人遭受停電數小時的困擾，該事件也被認為是第一起由網絡攻擊引起的大停電事件。2019年，委內瑞拉古里水電站遭受網絡攻擊，包括首加拉加斯在內的十八個州電力供應中斷，導致地鐵無法運行與大規模的交通擁堵，國民經濟遭受巨大損失。

由此可知，一旦電力系統遭受惡意的網絡攻擊，會造成十分嚴重的后果。由于通信在電力系統發、輸、配、用電等方面均有應用，造成了網絡攻擊方式的多樣化，比較典型的攻擊方式有壞數據注入攻擊（False Data Injection Attack， FDIA）、拒絕服務（Denial -of-Service， DoS攻擊、中間人（Man-in-the-Middle， MITM）攻擊和重放攻擊等。因此，總結和分析電力系統網絡攻擊方法，了解不同類型的網絡攻擊，對于檢測識別信息攻擊和制定有效的防御措施具有重要意義。

基于此，本文對近年來CPPS的網絡攻擊方法的相關研究進行總結。首先給出網絡攻擊的定義和不同類型網絡攻擊的簡單介紹；然后，分析不同攻擊方法的適用場景；最后，總結了針對網絡攻擊的安全防御方法。

二、信息攻擊方法

美國國家標準和技術研究院（NIST）在7628號報告中提出了網絡安全三要素，分別為保密性、完整性、可用性，簡稱CIA。網絡攻擊可以理解為任何破壞CIA安全目標的網絡行為。網絡攻擊在CPPS領域的定義：以破壞或降低CPPS功能為目的，在未經許可情況下對通信系統和控制系統行為進行追蹤，利用電力信息通信網絡中存在的漏洞和安全缺陷，對系統本身或資源進行攻擊。

網絡攻擊的類型繁多，主要包括以下幾種常見的網絡攻擊方法。

（一）FDIA攻擊

FDIA是一種能干擾電力系統狀態估計過程的重要網絡攻擊。一次成功的FDIA可以導致狀態估計器向控制中心輸出錯誤的結果，從而對電力系統造成物理或經濟上的影響。FDIA通過向傳感器的測量結果中注入錯誤向量來影響狀態估計的結果。

狀態估計可以根據傳感器的測量值估計電力系統的狀態。測量值包括母線電壓、母線的有功無功功率注入、支路的有功無功潮流等。正常的測量數據通常能得到接近實際值的狀態變量的估計，而錯誤的測量數據會使估計的結果偏離實際值。不良數據檢測旨在檢測、識別和消除整個系統中的測量誤差。通常使用測量殘差的二范數來檢測不良數據是否存在。FDIA通過狀態估計算法容忍的小測量誤差來避免不良數據的檢測。

（二）DoS攻擊

DoS攻擊廣義上指任何導致被攻擊的服務器不能正常提供服務的攻擊方式。具體而言，DoS攻擊是指攻擊網絡協議存在的缺陷或通過各種手段耗盡被攻擊對象的資源，以使得被攻擊的計算機或網絡無法提供正常的服務，直至系統停止響應或崩潰的攻擊方式。

要對服務器進行DoS攻擊，主要有以下兩種方法：迫使服務器的緩沖區滿，不接收新的請求；使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。

單一的DoS攻擊一般是采用一對一方式，當攻擊目標CPU運行速度、內存或網絡帶寬等各個性能指標較低時，它的效果較明顯。但隨著計算機與網絡技術的發展，計算機處理能力迅速增強，內存大大增加，使得DoS攻擊的難度增加，分布式拒絕服務（DDoS）攻擊應運而生。DDoS利用更多的“傀儡機”來進行攻擊，以更大的規模來攻擊受害者。

（三）MITM攻擊

MITM攻擊是一種間接的入侵攻擊，這種攻擊手段利用系統缺乏身份認證的缺點，通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，這臺計算機就被稱為“MITM”。攻擊者可以利用MITM冒充合法參與者，攔截和操縱兩臺通信計算機之間傳輸的數據包，并注入新的惡意數據包，而不被對方發現，從而達到數據篡改與竊取的目的。ARP欺騙與DNS欺騙是兩種常見的MITM攻擊手段。

（四）重放攻擊

重放攻擊是指攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊可以由發起者，也可以由攔截并重發該數據的敵方進行。攻擊者利用網絡監聽或者其他方式盜取認證憑據，之后再把它重新發給認證服務器。

重放攻擊的基本原理就是把以前竊聽到的數據原封不動地重新發送給接收方。當攻擊者知道這些數據的作用時，就可以在不知道數據內容的情況下通過再次發送這些數據以達到誤導接收端的目的。比如，在CPPS環境下，電力系統發生故障時，攻擊者可以發送正常運行時的數據，使操作中心誤以為系統仍處于正常運行狀態，從而延誤了故障處理的時間，擴大故障影響。同理，電力系統在正常運行時，攻擊者可以發送故障運行時的數據，導致控制中心發出錯誤的控制命令。

重放攻擊與MITM攻擊原理類似，都是一種欺騙攻擊，不同的是，對于重放攻擊，攻擊者獲取發送端發給接收端的包后，不會做修改，而是在適當時機原封不動發給接收端。而對于MITM攻擊，攻擊者把自己當做發送端與接收端的中間人，發送端發送的信息會被攻擊者截取然后做一些操作再發給接收端。相對于發送端來說，攻擊者是接收端，而相對于接收端來說，攻擊者是發送端。

三、電力系統中不同設備可能遭受的信息攻擊

網絡攻擊削弱或破壞二次系統的正常功能來達到攻擊目的，若SCADA系統、WAMS、AMI等二次系統發生故障或遭受惡意攻擊，出現信息的中斷、延遲、篡改等，會導致控制中心下達錯誤指令，決策單元誤動或退出運行。下面列出一些典型的網絡攻擊場景。

（一）SCADA System

SCADA系統用于監控國家關鍵基礎設施，如智能電網、石油和天然氣、發電和輸電、制造業等。在電力系統中，SCADA系統應用最為廣泛，作為能源管理系統（EMS）最主要的一個子系統，它可以對現場的運行設備進行監視和控制，以實現數據采集、設備控制、測量、參數調節以及各類信號報警等各項功能。

SCADA系統可能遭受的網絡攻擊主要有：

1.FDIA

針對SCADA系統狀態估計的FDIA較為常見。如第二節所述，狀態估計的基本原理是從配置各種儀表的電網的現有測量結果中推斷電力系統的運行狀態，攻擊者通過向多個傳感器注入錯誤向量達到攻擊目的。即使狀態估計有不良數據檢測機制，但是精心構建的FDIA可以輕易繞過這種檢測。即使攻擊者缺乏對電網的運行信息，同樣可以構建FDIA來進行攻擊。

2.DoS

SCADA系統的RTU可能遭受DoS攻擊。RTU將接收到的來自傳感器的模擬信號轉化成數字信號，并通過各種分布式網絡協議傳輸到控制中心。RTU通過多種通信基礎設施與主終端單元（MTU）相連。當RTU遭受DoS攻擊時，產生的影響是雙向的：一方面，MTU無法從RTU獲取數據；另一方面，從MTU發送的命令可能無法到達RTU。

3.錯誤順序邏輯攻擊

SCADA系統的控制過程可以看作是參數值、執行時間和時序邏輯的結合，控制命令的執行邏輯有可能遭受惡意攻擊，從而使破壞系統操作，影響物理過程。

4.重放攻擊

攻擊者首先記錄傳感器測量向量，再在適當時機向控制系統發送記錄的數據。在此情況下，控制器無法進行閉環控制，因此在重放攻擊下，無法保證系統的控制性能。

（二）WAMS

WAMS是基于同步相量測量技術和現代通信技術，對地域廣闊的電力系統運行狀態（如線路負載、電壓穩定裕度和功率振蕩等）進行監測分析，為電力系統實時運行和控制服務的系統。測量的廣域信息具備時間上同步、空間上廣域的優點，同時可以根據GPS時標得到同步相量測量的結果，極大地改善了電力系統的可觀性。相比較于SCADA系統而言，WAMS具有更嚴格的延遲要求，能實現對全網同步相角以及電網主要數據的實時高速率采集。其中，PMU是WAMS應用的基礎，是WAMS的基本組成單元。

WAMS可能遭受的網絡攻擊：

1.GSA

PMU是WAMS中基本的測量裝置，利用GPS來為電壓和電流向量附加時間標記。然而，同步測量對GPS的依賴使得PMU容易受到GSA。如第二節對GSA的介紹所述，GSA提供給PMU虛假的時間標記，而錯誤的時間標記將對電力系統的輸電線路故障檢測、電壓穩定性監測和事件定位產生影響。

2.Delay Attack

WAMS具有嚴格的延遲要求，如端到端延遲以及不同PMU的測量值之間的延遲變化。在PMU將帶有時間標記的測量數據提供給向量數據集中器（PDC）時，會受到延遲攻擊。PDC是通信網絡中的節點，其中來自多個PMU或PDC的同步相量數據被處理，并作為單流被饋送到較高層PDC和/或應用。PDC將具有相同時間標記的不同PMU的測量值分組到時間標記的緩沖區中。每次PDC接收到帶有新時間標記的相量測量時，都會啟動新的時間戳緩沖區。當緩沖區滿時，PDC將該組測量轉發到其它PDC和/或同步相量應用。當數據傳輸過程中遭受延遲攻擊，那么這些數據可能在PDC中被丟棄，使PDC輸出的數據不完整。

3.DoS

WAMS同樣會遭受DoS攻擊。如之前所說的，端到端會有很小的延遲，而DoS可以使這種延遲急劇增大，并且部分數據包會丟失。DoS同樣會使PMU或PDC不可用，這在電力系統發生故障時，故障的清除會有很大延遲，甚至不作出任何反應，最后造成大范圍的停電等事故。

（三）AMI

高級量測體系（AMI）是一個用來測量、收集、儲存、分析和運用用戶用電信息的完整的網絡和系統。它不是一種單一的技術，而是為消費者和系統運營商提供智能連接的許多技術的集成。AMI的智能電表可以用來記錄用戶的用電信息，并通過通信網絡將這些信息傳送到數據中心進行處理和分析。數據中心也可向智能電表發送最新的價格信息、斷電警報，以及升級儀表固件等其他通信信息。

AMI可能遭受的攻擊：

1.多種攻擊協調

受利益驅使，消費者可能篡改智能電表中的消費數據，以降低電費或增加發電量。攻擊者可能同時使用多種攻擊手段。例如，他們可能首先通過淹沒智能儀表的網絡帶寬來斷開智能儀表的連接，從而使網絡連接不可用；然后，物理內存中的消費數據會被篡改，甚至被物理攻擊或FDIA刪除。因此，當通信網絡再次可用時，篡改的數據甚至沒有數據通過網絡接口發送。

2.DoS

DoS攻擊是AMI通信網絡中潛在的網絡攻擊。在此攻擊中，攻擊者首先選擇一個或多個普通節點作為傀儡。然后攻擊者發送包含特定攻擊信息的數據包到這些傀儡節點。當傀儡節點接收這些攻擊包，它們產生大量的路由數據包。過多的路由數據包會消耗有效的通信帶寬，造成網絡阻塞，導致AMI的拒絕服務。

3.DDoS

AMI也有可能遭受危害更大的DDoS攻擊。攻擊者首先需要將易受攻擊的智能儀表識別為代理。由于AMI系統具有大量同構設備的網絡，因此在單個儀表中發現的安全漏洞很可能存在于許多其他設備中。然后，攻擊者需要與大量已被惡意代碼感染的基于IP的智能儀表通信，操縱這些智能儀表。當攻擊者啟動DDoS攻擊時，AMI服務的可用性被中斷，這可能導致公用事業公司遭受重大損失。

4.MITM

在AMI的通信網絡中，鄰域網（NAN）通常是固定的無線網絡，面臨許多安全挑戰。攻擊者可以對此發動MITM攻擊，攔截兩個合法主機之間的通信，這可以使攻擊者從智能電表和數據集中器接收數據包，并向接收器注入惡意代碼和數據。

（四）智能變電站

智能變電站是采用先進、可靠、集成、低碳、環保的智能設備，以全站信息數字化、通信平臺網絡化、信息共享標準化為基本要求，自動完成信息采集、測量、控制、保護、計量和監測等基本功能，并可根據需要支持電網實時自動控制、智能調節、在線分析決策、協同互動等高級功能的變電站。

智能變電站可能遭受的攻擊：

1. FDIA

針對單個變電站的FDIA可以破壞能源管理系統（EMS）中的自動電壓控制（AVC）模塊。這種攻擊由惡意程序進行，惡意程序被插入到目標變電站的監控系統中。然后，通過修改測量值來試圖誤導AVC，觸發本地或者系統級的中斷。

2.延遲攻擊

現代電力系統的各種應用都需要準確可靠的時間信號，測量和事件的時間需要對齊以便進行正確的決策與操作。精確時間協議（PTP）作為首選時間協議，能為系統中的傳感器、執行器以及其他終端設備進行亞微秒級同步。變電站的PTP會受到延遲攻擊。攻擊者通過軟件或硬件將所需的延遲引入PTP信息交換路徑中，以此來操控所連接設備的時鐘。設備時間的不匹配會對電力系統的運行操作、電網調度、事故分析等產生不利影響。

3.DoS

面向通用對象的變電站事件（G O O S E）在IEC61850標準中用于在變電站網絡系統中分發事件數據，實現多智能電子設備（IED）之間的信息傳遞，包括傳輸跳合閘信號等。針對GOOSE的欺騙攻擊使得攻擊者可以發布發布虛假的數據包，接收方的設備錯誤地認為它們正在接收由受信任或安全實體發送的有效數據包，這可能導致斷路器誤動等后果。GOOSE也會受到DoS攻擊，這種攻擊會導致GOOSE的丟包和延遲，從而影響IED之間的信息交換。

四、結論

網絡安全在CPPS中具有重要地位，已引起了政府和各學術界的廣泛關注。本文對CPPS的各種網絡攻擊方法進行了綜述。本文介紹了FDIA、DoS、MITM、重放攻擊這幾種典型的網絡攻擊的具體實現原理。介紹了SCADA、WAMS、AMI及智能變電站的基本組成，對這些系統可能遭受的網絡攻擊進行總結。

作者單位：唐云澤 陸軍參謀部機要密碼室蘇曉茜 煙臺市光明電力服務有限責任公司