面向變電站網絡的虛假數據注入攻擊定位與溯源技術研究

葉 衛，王 文，董 科，王 臻，孫望舒，朱 好

（1.國網浙江省電力有限公司信息通信分公司，杭州 310016；2.國網浙江省電力有限公司，杭州 310007）

0 引言

隨著電力CPS（信息物理系統）的發展以及感知、計算、通信和控制等先進信息技術的應用，電力系統逐步實現了信息化、網絡化和智能化［1］。與相對安全的電力一次系統相比，電力CPS 的安全防護研究還處于起步階段，存在大量未被發現的安全漏洞［2］。電力系統是時空緊密關聯且需要穩定運行在安全域內的大型工控系統，一旦被攻擊，將對電力安全、工業生產和人民生活造成嚴重影響［3-4］。

電力系統主要包括發電、輸電、配電和用電等過程，其中變電站作為電能轉換與信息集聚的場所，在電力系統安全、穩定和經濟運行中具有重要作用。因此，其通信的安全性和實時性是變電站自動化系統中的重點防御部分。針對變電站的網絡攻擊行為有多種分類方法，按照攻擊目的可以分為針對信息完整性、保密性和可用性的攻擊；按照物理側破壞業務主要可以分為針對測量、運維、保護和控制等功能的網絡攻擊。作為破壞信息完整性的典型模式，FDIA（虛假數據注入攻擊）可以破壞電網態勢感知的結果，從而誤導控制中心決策［5-6］。電網控制中心受到攻擊后，可能誤判電網進入緊急狀態，導致安全裝置誤動，從而損害電力系統的經濟效益、監控能力和安全運行水平［7］。

近年來，一系列的電力網絡安全事故已經引發了嚴重的安全損失。以數字變電站為例，原始電壓、電流模擬信號經采樣、計算，最終轉換為多重數字量測值傳送給站控層服務器及調度中心，其中任意環節遭受網絡攻擊都會影響業務指令的可信度［8-9］。由于變電站業務功能的集聚，導致系統更新速度匹配不上安全缺陷與漏洞的生成，攻擊者能夠以虛假數據、拒絕服務和重放攻擊等多種方式對電網變電站業務造成破壞［10］。事實上，攻擊者往往以潛伏的方式提前在多個變電站區域同時部署潛在攻擊［11］。在電力系統處于運行最脆弱的狀態時，這些攻擊行為會同時爆發，造成協同攻擊，從而對電網的安全和穩定造成嚴重破壞［12］。

本文總結了變電站信息網絡中FDIA的綜合研究理論。從攻擊者的角度，分析FDIA的目標、構建方法和后果，總結了針對變電站網絡的入侵過程。從防御者的角度，利用攻擊圖算法，分析了攻擊路徑選擇概率，對潛在攻擊方式進行定位與溯源，能夠保護關鍵信息節點，從而最終實現了考慮變電站典型業務的攻擊安全防御。

1 變電站業務網絡安全

電力物理系統由發電、變電、輸電、配電和供電過程組成，而電力信息系統負責對電能流動環節進行監測與控制，主要包括電力生產信息、傳輸信息和市場信息。以上信息可能通過測量單元、通信網絡和控制設備等脆弱渠道受到FDIA的影響，最終干擾電力關鍵應用服務。

1.1 針對變電站的攻擊流量

在傳統的FDIA 中，主要選擇變電站SCADA（數據采集與監控系統）作為攻擊對象［13-14］。變電站中，常見的采樣裝置及其時間同步準確率較高，如表1所示，如其由于受到網絡攻擊的影響，各子系統的時間與事件將會不同步，影響電網正常業務的執行。

表1 變電站裝置的時間同步準確度要求

由于智能變電站過程層中的MU（合并單元）和IED（智能終端）是整個智能變電站中僅有的與電力一次系統直接相關的接口，因此智能變電站在日常運行過程中，MU 和IED 主要有以下幾種流量運行場景：

1）穩態流量場景。即變電站正常運行，沒有任何事件或故障發生。

2）極端流量場景。假設變電站過程層的所有主設備都發生了電力系統異常事件，所有二級IED將以SCD配置文件預定的最小傳輸間隔（通常為2 ms）發送GOOSE（面向對象的通用變電站事件）消息。

3）特定故障場景。假設變電站的一個物理設備發生故障或多個主設備發生故障，與之相關的二級IED設備將出現大流量。

4）網絡異常流量場景。變電站通信網絡由于網絡異常、通信設備故障甚至遭遇面向性能的網絡攻擊等場景，此時變電站過程層通信網絡流量將呈現中斷、延時和誤碼等變化。

1.2 FDIA構建條件與約束

變電站測控拓撲配置中，通常在各母線上有電壓互感器，各開關與變壓器繞組上有電流互感器。FDIA通過修改電力狀態信息，使其能夠繞過傳統不良數據檢測模塊，進而干擾后續控制服務。

如果某一個開關上的電流采樣序列被攻擊者篡改，則采用該序列計算得到的所有直接量測和間接量測將同時受到影響，形成相互匹配的虛假數據，難以檢測。可見，由于變電站互感器不夠冗余，配置不夠合理，攻擊者深入變電站過程層對互感器采樣序列進行攻擊，將給量測系統帶來范圍更廣、后果更嚴重的破壞。以電流采樣信號的FDIA為例，假設變電站中正常電流采樣信號為i（k），攻擊后i（k）將會疊加一攻擊信號yTA，其電流采樣信號中基波參數將會變為：

定義ap為攻擊前后電流量測的變化量，則ap可表示為yTA的函數：

式中：為攻擊后的電流量測向量；zp為功擊前的電流量測向量；fTA為關聯函數。

由于某個測量值突變會同步引起相鄰節點或線路測量值變化，當偽造一個元素（如節點或線路的測量值）時，為了繞過不良數據檢測，攻擊者應考慮電網潮流規律，找出測量值相應變化的最小空間。因此，需要進行協同攻擊的最小空間被定義為該元素的最小相關空間，以滿足攻擊資源的限制。

2 變電站設備與攻擊層次

2.1 變電站設備介紹

以D2-1型變電站為例進行分析，信息設備節點有12 個，如表2 所示。其中A1、A2、A3、A4屬于變電站過程層節點，是攻擊圖的最底層L1；B1、B2、B3、B4 屬于變電站間隔層節點，是攻擊圖的第二層L2；第三層L3是變電站業務，包括分接開關控制、無功控制、開關控制、連鎖功能、序值測量、計量、距離保護、差動保護、重合閘、振蕩閉鎖、切負荷和解列等，這里總結為4類，分別為信息計量、保護功能、監視與控制和自動控制，分別記為C1、C2、C3、C4。最頂層節點D1為攻擊后果，即電力系統物理故障。

表2 變電站信息設備類型

2.2 變電站攻擊環節

在D2-1型智能變電站中，MU采樣值以SAV報文的形式傳播，保護控制裝置數據的傳輸以GOOSE報文的形式進行。它們都不是一對一的傳輸，而是采用“發布者/巧閱者”的模式以多播方式進行傳輸的。由變電站多播組配置方案，根據2.1節分析的攻擊路徑可以建立4層攻擊圖模型：

1）L1 為過程層信息設備，包括合并單元、智能斷路器。

2）L2 為間隔層信息設備，包括保護與控制裝置、故障錄波器。

3）L3 為信息業務類別，包括信息計量、保護功能、監視與控制和自動控制。

4）L4 為一次系統故障，包括各類電力物理故障。

3 基于攻擊圖的攻擊定位溯源方法

3.1 基于攻擊圖的變電站攻擊流程

圖1顯示了變電站的部分攻擊樹。對于斷路器攻擊，其前提條件是：攻擊者可以通過IED、控制中心的用戶界面和變電站的用戶界面打開斷路器。查找目標斷路器主要包括4類方法：

圖1 變電站攻擊入侵路徑

1）使用IED向斷路器發送GOOSE信息。

2）使用控制中心的用戶界面。

3）使用變電站的用戶界面。

4）修改IED的保護設置至低值。

為了對攻擊形式進行定義，本文在第2節變電站信息設備模型的基礎上，采取有向攻擊圖理論對網絡攻擊進行建模被定義為該攻擊圖的標準形式，其中N是所有攻擊目標節點集合，E是所有有向邊集合，S是節點靈敏度集合。考慮到變電站信息從過程層、間隔層、站控層到物理設備的傳播方向，4層攻擊圖模型中只有相鄰層次中的部分線路能夠連通。基于實際變電站GOOSE/SAV 通信路徑，可以確定L1、L2、L3、L4之間的傳遞路徑，S的計算公式為：

式中：din(i)和dout(i)分別為節點i的入度和出度；Tin(i)和Tout(i)分別為下層和上層的連接數。

每個節點的綜合風險Ri可以通過式（5）計算：

式中：Vi和Si分別為節點i的脆弱性和敏感性，Si可由式（4）計算，而Vi由分布式故障威脅、影響范圍和發生的復雜性決定；Wvi和Wsi分別為脆弱性和敏感性的權重，在本文中，為了分析方便，將它們設定為0.5。

3.2 攻擊定位溯源方法

在變電站電力監控系統中，其系統、硬件、軟件、網絡、漏洞以及安全配置均有可能受到網絡攻擊威脅。因此，需要定期對變電站網絡的操作系統、數據庫、網絡設備和工控系統等進行全面漏洞評估和安全基線檢查，及時了解網絡的薄弱環節，并有針對性地進行預防與加固。同時需要依據變電站的信息業務特征，對攻擊進行精確定位與溯源。

針對FDIA中出現的攻擊數據包，基于路由路徑，按照距離確定受攻擊影響最重的路由器。利用多路由器的診斷、調試或記錄功能，可以確定流量的性質，并確定攻擊到達的路徑。在相關路由器上重復分析診斷程序，并繼續逐條向后追蹤，直到在管理控制域內找到攻擊源，或者直到確定攻擊進入變電站網絡的入口，如圖2所示。

圖2 面向變電站信息網絡FDIA的攻擊路徑

針對攻擊路徑，可以開發相關的入侵檢測算法，攻擊者和防御者都注重對信息節點的攻擊或防御。通常不同的攻擊路徑鏈接不同的設備種類及個數，攻擊同一設備可能存在多種攻擊路徑，因為選擇不同的攻擊方式存在不同的攻擊路徑，攻擊者選擇發動的攻擊路徑設備越多，所造成的電網影響或者收益并不一定是最大的。路徑越長，攻擊設備數量越多，雖然攻擊方的經驗不斷地累積使得攻擊能力提升，但防御方的防御時間則更長，等價防御能力更強。事實上，由于資源的有限性，雙方都不可能對網格中的所有區域進行攻擊或防御，因此雙方都需要根據對方的可能選擇來優化自己的資源配置，這就形成了一個雙人動態博弈過程。

定義雙人博弈策略的標準形式，其中：

A={P(a1)，P(a2)，…，P(aNA)}為攻擊策略。假設攻擊者可以選擇攻擊路徑，每個攻擊策略ai=(Ai1，Bi2，Ci3，Di4)都是被攻擊節點的組合，這些節點相互聯系（總的來說，有28種攻擊策略）。

D={P(d1)，P(d2)，…，P(dND)}為防御策略。假設防御者可以分別在進程層（A1—A7）和間隔層（B1—B5）選擇一個節點作為安全節點，該節點無法被入侵。每個防御策略都是被防御節點的組合（總的來說，有35種防御策略）。

U=(uij)NA×ND為玩家的獎勵函數。元素是玩家在攻擊行為和防御行為下的收益。攻擊方的獎勵函數的計算方法為：

攻擊路徑的綜合風險被用來作為獎勵函數。因為是零和博弈，所以雙方的回報函數值之和為0，攻擊方的回報函數設為正值，防御方的回報函數為負值，并滿足Ud=-Ua。

對于一個給定的獎勵矩陣，有一個攻擊策略A*=(P*(a1)，P*(a2)，…，P*(aNA))、一個防御策略D*=(P*(d1)，P*(d2)，…，P*(dND))和一個常數V，滿足以下條件。

對于任何攻擊策略，有：

對于任何防御策略，有：

在該條件下，策略組合(A*，D*)是博弈的納什均衡點；V是預期收益，它代表了攻擊和防御行為組合內的預期路徑風險。

4 算例

基于如圖3所示的實際變電站網絡，進行針對變電站的FDIA攻擊建模、定位與溯源。

圖3 變電站信息網絡拓撲

在該變電站拓撲下攻擊如圖4所示。

圖4 變電站網絡攻擊

對于電力信息網絡，風險主要來自于網絡攻擊，而系統中存在的脆弱性是導致網絡被攻擊的內因，因此，脆弱性及其威脅評估是風險控制的重要基礎。各節點綜合安全風險值是關于設備脆弱度和靈敏度的乘積。其中設備靈敏度和設備本身的安全程度成正比，靈敏度與節點的入度與出度相關，代表節點被各種攻擊途徑利用的頻度。變電站設備的脆弱度與安全風險如表3所示。

表3 變電站信息路徑

由圖4可知，攻擊深度為4，攻擊在經過過程層與間隔層之后，通過信息控制業務最終影響電力一次系統的穩定性。以路徑上途徑所有節點的風險值乘積作為攻擊路徑的綜合風險，假定攻擊者能夠選定一條攻擊路徑進行攻擊，而防御者能夠在過程層（A1—A6）和間隔層（B1—B6）分別選擇一個節點進行重點防御，使其抵御經過該節點的攻擊行為。因此，攻擊路徑共有38 種，防御策略共有36種。

虛假數據攻擊在經過2.2 節所述的L1—L3 層之后，通過篡改信息控制業務，最終將造成一次系統故障。以路徑上途徑所有節點的風險值乘積作為攻擊路徑的綜合風險，以此作為攻擊后果。考慮到攻防雙方掌握資源有限，在38 種攻擊路徑中，假定攻擊者只能選定一條攻擊路徑進行攻擊，防御者能夠在過程層（A1—A6）和間隔層（B1—B6）分別選擇一個節點進行重點防御，使其抵御經過該節點的攻擊路徑。因此，攻擊路徑共有38 種，防御策略共有36種，經過雙人零和博弈分析，攻防雙方所選擇的最優策略如表4、表5所示。

表4 攻擊定位與溯源結果

表5 安全防御策略

由表4可知，在28種攻擊路徑中，只有6種會進入攻擊者的選項，其中路徑2（A2、B6、C3、D1）的選擇性最高，為17.00%。而防守方的35種防御選項中，點A5 和B1 是選擇概率最高的保護節點為20.32%。

5 結語

本文對變電站信息網絡FDIA攻防過程進行了研究。首先，分析了測量設備和通信網絡的安全漏洞，研究其被利用注入虛假數據的潛在概率。在此基礎上，建立了考慮到攻擊目標、構建方法和后果的FDIA框架。其次，分別分析了基于攻擊圖的攻擊生成、定位與溯源方法。最后，模擬了針對變電站信息網絡的FDIA案例，進行了攻擊行為有效追溯。

FDIA 目前主要為了破壞變電站SCADA 和EMS（能量管理系統）的應用功能。實際上，由于源、網、荷之間的廣泛互動，發電側、電網側和負荷側的信息系統都有可能受到虛假數據的攻擊，從而影響電力系統的監測、控制、統計分析、經濟調度和安全決策。因此，未來需要針對電力CPS中各種信息系統的攻防過程進行進一步研究。