電力信息物理系統(tǒng)防御資源分配方法研究

曲正偉,董 杰,趙建軍,李 洋,孫文婷

(1.燕山大學電氣工程學院,河北 秦皇島 066099;2.國網冀北電力有限公司智能配電網中心,河北 秦皇島 066199)

0 引言

近年來,隨著智能電網的加速發(fā)展以及建設泛在電力物聯(lián)網的提出,電力系統(tǒng)已經變得越來越智能化、信息化,而且信息側設備和電力側設備關系日益密切,相互依存程度越來越高,電力系統(tǒng)成為了一個將電力系統(tǒng)和信息系統(tǒng)深度融合為一體的電力信息物理系統(tǒng)(Cyber-physical System,CPS),即電力CPS[1]。與此同時,隨著智能化程度的加深以及信息側的融合,電力CPS面臨著更嚴峻的網絡安全問題。

針對網絡安全問題,電網管理者僅依賴網絡攻擊發(fā)生后被動地采取防御措施是遠遠不夠的,更需要從電力側和信息側兩方面在攻擊未發(fā)生前就做好防御措施的部署,建立主動防御[2],即在網絡攻擊未發(fā)生前,進行科學合理的防御資源分配,從而提高電力CPS安全穩(wěn)定運行能力。文獻[3]在假設攻擊的最終目標是調度自動化系統(tǒng)的場景下,提出一種采用主動誘騙陷阱的安全防御方法。文獻[4]通過隱馬爾科夫模型提出了一種電力CPS攻擊安全風險預測方法。同時通過細胞自動機模型預測網絡攻擊跨域風險傳播過程,得到網絡攻擊目標的安全風險預測值。文獻[5]針對系統(tǒng)存在虛假數據注入攻擊(FDIA)的情況,提出了基于攻防博弈優(yōu)化防御資源的分配,最終達到保護關鍵量測點的目的,但是文獻忽略了信息側的防御資源和措施。文獻[6]采用多目標模型的帕累托前沿,通過求解得到了帕累托非劣解集,為防御者提供了一個最優(yōu)防御策略集合,但是這種方法只考慮了一種電力CPS的攻擊場景,同時這種基于遍歷算法的思路不適用于大規(guī)模系統(tǒng)。文獻[7]考慮了電力CPS在2種運行狀態(tài)和攻擊資源不同的情況下,預測攻擊者可能采用的最優(yōu)攻擊策略,但是文獻建立的模型做了大量的簡化,降低了模型脆弱性評估的精確度。文獻[8]通過分析具體的攻防過程,構建了在有限防御資源下的最優(yōu)防御規(guī)劃模型。

綜上所述,目前電力CPS安全防護方面的研究不夠全面充分,防御手段僅考慮單獨的信息側或電力側方面,鮮有考慮電力系統(tǒng)和信息系統(tǒng)的高度耦合性,以及跨域攻擊造成的影響。就目前的電力CPS結構,電力系統(tǒng)的運行不僅與電網本身的框架結構以及設備狀態(tài)有關,同時也與信息系統(tǒng)作用在物理節(jié)點上的控制和監(jiān)視功能關系很大。為有效降低電力CPS的風險[9],本文同時從信息側和電力側安全防御的角度開展研究,建立更精細的安全防御措施,并對整個電力CPS提出具體的防御資源分配方法。

1 電力CPS網絡安全防御方法

電力CPS的電力側是一個連續(xù)時變系統(tǒng),而信息側屬于離散系統(tǒng),因此電力CPS電力側、信息側的時空特性和防御方法存在著本質區(qū)別[10]。

1.1 信息側安全防御方法

為了保證數據傳輸的安全,我國電力通信網絡物理隔離,按照各信息節(jié)點的不同業(yè)務分類,將信息網絡分為管理區(qū)、信息區(qū)、控制區(qū)、非控制區(qū)4個安全區(qū)域,在各個安全區(qū)域電子安全邊界(Electronic Security Boundaries,ESP)上配置一定的防御資源,提高電子安全邊界抵御網絡攻擊入侵的能力,從而保障邊界區(qū)域內的網絡安全[11-12]。節(jié)點的安全區(qū)域劃分和設備配置如圖1所示。

圖1 電力信息網節(jié)點安全區(qū)域劃分

攻擊方通常需要成功侵入攻擊目標的ESP才能對安全區(qū)域內的數據傳輸產生破壞。因此,為了實現電力信息網絡的安全保障,目前采取的信息側防御措施是:在電力CPS中的信息控制中心,通過采用情報收集、態(tài)勢感知和監(jiān)測、調查追溯等技術手段,構建網絡安全防御平臺,從而對信息層主機、傳輸數據、終端設備的數據流等進行全面監(jiān)測,通過采用大數據分析和預測技術,充分利用態(tài)勢感知,提高對數據的監(jiān)測和綜合分析能力,實現對信息網絡的智能監(jiān)控和全面的動態(tài)感知。

目前,關于信息網絡安全的防御平臺主要包括應用服務器、數據采集服務器、平臺探針和大數據平臺等組件。其中,應用服務器用于提供訪問商業(yè)邏輯的途徑,數據采集服務器用于收集各類系統(tǒng)的信息和數據,平臺探針通常用于監(jiān)測數據,統(tǒng)一匯總給平臺分析處理,而最終對收集到的大量數據和信息進行處理分析的是大數據平臺。

同時,可以對系統(tǒng)中關鍵網絡設備采取一系列措施,例如安全接入控制、安全弱點掃描、設備管理和安全加固,提高網絡設備處理能力、設備鏈路冗余等,提升關鍵網絡設備的防御能力。

1.2 電力側安全防御方法

根據防御方法與攻擊過程發(fā)生前后順序的不同,電力側安全防御方法主要分為保護與檢測2個環(huán)節(jié)。現階段針對網絡攻擊的檢測方法主要有三大類:基于狀態(tài)估計的檢測、基于軌跡預測的檢測和基于人工智能的檢測。

目前的網絡攻擊者,已經對現有的系統(tǒng)數據信息、保護算法和基于最小二乘法的狀態(tài)估計算法充分熟悉和掌握,以至于攻擊者可以構建出成功躲避不良數據檢測的虛假數據攻擊。因此,對傳統(tǒng)狀態(tài)估計算法進行改進和完善,可在一定程度上提高對虛假數據注入的檢測辨識能力。目前此類型的檢測方法主要有基于量測相關性、殘差檢測法和基于量測突變量的方法等[13]。

上述基于狀態(tài)估計的方法屬于靜態(tài)檢測方法,而電力系統(tǒng)的運行是一個持續(xù)的動態(tài)過程,狀態(tài)量存在著較強的時間連續(xù)性。因此,利用已知的運行狀態(tài)和參數,分析歷史數據之間的聯(lián)系,在考慮時空關系的情況下對電網當下的狀態(tài)參數和運行數據分析預測,這種檢測方法被稱為基于軌跡預測的檢測方法[14]。這種方法目前主要有基于傳感器的軌跡預測、基于廣義似然比的序貫檢測器等[15-16]。基于人工智能的檢測方法主要分為三類:基于神經網絡、基于深度學習、基于模糊聚類[17]。電力側安全防御方法分類,見圖2。

圖2 電力側安全防御方法分類

從圖2可以看出,目前針對網絡攻擊的保護方法分為兩大類,一是面向網絡攻擊的直接防御,二是面向網絡攻擊的間接防御。前者的保護手段包括物理安全隔離、傳輸通道加密以及安裝防火墻等方法,后者可以通過部署安裝大量的冗余量測裝置,提高系統(tǒng)量測冗余度,從而提升數據檢測的精確度。在部署裝置中,最關鍵的步驟是如何選取合適的量測點。一般是選擇系統(tǒng)中的脆弱和關鍵部分,從而達到對電力系統(tǒng)關鍵設備重點保護的目的。

在辨識系統(tǒng)中的關鍵區(qū)域過程中,可以通過采用最優(yōu)潮流規(guī)劃的方法,從2個角度再度分類。一是規(guī)劃方法的優(yōu)化目標不同,例如以發(fā)電成本最小為目標或以系統(tǒng)供應最穩(wěn)定為優(yōu)化目標;二是規(guī)劃方法的約束條件不同,其中有直流潮流線性模型和交流潮流非線性模型。混合整數線性規(guī)劃模型是最常用的模型,這種規(guī)劃方法往往更適合離線狀態(tài)下,對保護資源進行優(yōu)化配置[18]。

2 電力CPS防御資源分配方法

為研究不同規(guī)模電力CPS抵御網絡攻擊能力,使其在遭受網絡攻擊時,能夠盡可能地保證系統(tǒng)安全穩(wěn)定運行,需要從信息側和電力側2個角度開展進一步的研究,建立更精細更完整的安全防護措施,并針對物理層、信息層提出具體的防御資源分配策略,完善電力CPS的安全防御策略。

但是由于目前條件、資源、技術的限制,還沒有一個完整的、成體系的能夠提高電力CPS抵御攻擊風險的防御方法,同時,也很難做到為當前復雜多變的電力CPS設備提供一個統(tǒng)一專門的防御手段。因此,本文不再考慮具體的防御資源類型和防御形式,而統(tǒng)一將這些量化的防御費用投資都抽象為防御資源,最終提出一個面向網絡攻擊的基于脆弱節(jié)點和關鍵節(jié)點的防御資源分配方法。

2.1 防御資源充足下的分配方法

借鑒最小防御資源的概念,提出在安全等級不同區(qū)域上考慮裝設配置的種類以及數量上的區(qū)別。若分配的防御資源沒有達到節(jié)點所需的最小防御資源需求值時,則判定分配的防御資源對該節(jié)點的防御是無效的,該節(jié)點的防御效果為0。將分配資源后的防御效果用指數函數表示[19],則防御資源與防御效果的指數函數表示為

式中:qi為節(jié)點i上配置的防御資源值;yi為節(jié)點i在分得防御資源后的防御效果值;λi為節(jié)點i的防御投資費用與防御資源值的換算系數;μi為節(jié)點i能夠在網絡攻擊下不受侵入的最小防御資源需求值。yi∈[0,1),yi=0表示分配的防御資源沒有辦法抵御網絡攻擊,該節(jié)點的防御效果為0。yi=1為理想狀況,是在防御資源情況遠遠滿足的情況下,即無限資源下的資源分配,此時可抵御城市電網所面臨的各種故障。

實際上,不受客觀環(huán)境約束,防御方具有無限多的防御資源只是一種理想狀態(tài),現實中,防御方所擁有的防御資源總數量往往是有一定限制的。因此,本文研究在有限的資源條件下的防御資源分配策略更符合工程實際,也更具有現實意義。

2.2 防御資源有限下的分配方法

本文首先建立網絡攻防博弈模型,博弈參與者分別是網絡攻擊方和電網管理者,即防御方,網絡攻擊方的策略集合是脆弱節(jié)點、關鍵節(jié)點以及故障路徑頻繁途徑的高危節(jié)點的所有組合;防御者的防御選擇集合是系統(tǒng)中各個節(jié)點可能分配到的資源值的所有組合。設定攻擊者對于電力CPS各個節(jié)點的資源分配是不知情的,同時,防御方也不清楚攻擊方所采用的具體攻擊策略,只是對網絡攻擊者的攻擊部位進行了預測。因此,此次攻防博弈的過程屬于非完全信息博弈。式(2)為攻擊方數學模型,攻擊方的角度是以當前防御資源分配下會給城市電網帶來損失最大節(jié)點作為目標節(jié)點,對并該節(jié)點發(fā)動網絡攻擊。

式中:Li為協(xié)同攻擊節(jié)點i造成的破壞程度;Ri(Li)為攻擊目標節(jié)點i的損失,為Li的相關函數;a為攻擊方希望此次攻擊帶來的收益最小期望。

防御方通過提前對各脆弱節(jié)點分配防御資源,將系統(tǒng)損失降至最低,式(3)為防御方的數學模型。

式中:Rsys為系統(tǒng)受到攻擊后的損失;qi為節(jié)點i經過分配后得到的防御資源數量;n為節(jié)點數;Q為總防御資源。

所有需要考慮的攻擊路徑共有m×n條,所有路徑包含節(jié)點數量z個,其中共有b個攻擊路徑含有節(jié)點i,本文按照各攻擊目標失效損失占需要考慮的全部攻擊目標失效總損失之比,分配防御資源至各攻擊目標節(jié)點。節(jié)點i經過分配后得到的防御資源數量qi的計算公式表達為

式中:Qx為網絡攻擊路徑x分得的防御資源值;Ax為節(jié)點i在網絡攻擊的路徑x中的損失比例系數;Rx為網絡攻擊路徑x的帶來的損失;cx為一條網絡攻擊路徑x中包含的節(jié)點數量。

2.3 防御資源分配流程

假設初始情況下所有節(jié)點分配的防御資源值為0,防御資源分配流程見圖3,具體分布策略如下。

圖3 防御資源分配流程示意

步驟1:將總防御資源Q分為M份,每次取防御資源進行分配,進行M次迭代。

步驟2:計算各攻擊目標節(jié)點失效后的損失與全部攻擊目標n個節(jié)點失效總損失之比,并將給防御資源按此比例依次分配給n個攻擊目標節(jié)點。

步驟3:計算到達該攻擊目標節(jié)點的所有預測攻擊路徑的節(jié)點數cx,將各攻擊目標節(jié)點上的防御資源Qx平均分成cx份開始分配。

步驟4:遍歷全部攻擊路徑,對路徑所含節(jié)點i分配份資源。含有節(jié)點i的路徑有b條,則節(jié)點i迭代一次分配的資源為。

步驟5:防御資源未分配完,返回步驟2繼續(xù)迭代;如果防御資源已分配完,輸出結果,節(jié)點i最終分配的資源為。

3 算例

算例使用電力14節(jié)點、信息14節(jié)點的系統(tǒng)作為電力CPS的模型。電力CPS的拓撲結構和整體框架如圖4所示。其中,電力系統(tǒng)中節(jié)點1、2、3、6和8代表發(fā)電廠,信息系統(tǒng)中相對應的節(jié)點編號代表發(fā)電廠信息節(jié)點。

圖4 電力14節(jié)點-信息14節(jié)點系統(tǒng)模型

為驗證本文提出的防御資源分配方法的有效性以及能夠提高城市電網CPS抵抗網絡攻擊和故障的能力,將本文方法與在單個節(jié)點遭受網絡攻擊時按各節(jié)點帶來的損失大小來分配防御資源的方法進行對比。假設給定的防御資源均只有10 000個,2種分配方案的分配精度M都是100。通過計算可得到在相同總資源、相同分配精度下,2種方法系統(tǒng)各節(jié)點分得的防御資源計算數值見表1。

表1 不同分配方法下各節(jié)點防御資源值結果對比

在表1中,第1列和第4列為該電力CPS中信息節(jié)點和電力節(jié)點的編號,第2列和第5列是在本文提出的分配方法下各節(jié)點計算分得的防御資源數量,第3列和第6列是在單個節(jié)點遭受網絡攻擊時按各節(jié)點帶來的損失大小來分配的對比方案下各節(jié)點分得的防御資源數量。

通過對比表1中的第2、3列和第5、6列的各節(jié)點分配的防御資源數量可以看出,在2種不同分配方法下都分配了較多的防御資源給系統(tǒng)中發(fā)電站節(jié)點,是其他普通節(jié)點分得的幾倍。但是本文提出的分配方法與按單一節(jié)點受損大小分配的對比方法相比,分配給發(fā)電站節(jié)點的資源數量是少一些的,而把剩余的資源分配給了其他脆弱節(jié)點,相比之下,脆弱節(jié)點在本文方法下分得了較多的防御資源,例如,電力節(jié)點12、13、14等以及相對應的信息節(jié)點12、13和14。之所以會產生這種差別,是因為對比方法僅僅考慮了單個節(jié)點遭受到攻擊的情況,在這種情況下,若發(fā)電廠被成功攻擊,帶來的后果和損失與其他節(jié)點相比是非常巨大的,因此,對比方法把更多的防御資源分配給了發(fā)電廠節(jié)點。而本文提出的分配方法是考慮了多個節(jié)點遭受網絡攻擊的情況下,網絡攻擊路徑會包含多個節(jié)點。同時,脆弱節(jié)點會變成網絡攻擊成功入侵的切入節(jié)點,若脆弱節(jié)點被保護免遭攻擊破壞,則直接避免了網絡攻擊成功的可能性,因此,與對比方法相比較,本文方法對脆弱節(jié)點和網絡攻擊路徑高頻節(jié)點分配了較多的防御資源。

為了驗正本文提出的防御資源分配方法可有效提高城市電網CPS各個節(jié)點抵御攻擊的能力,提升城市電網CPS在網絡攻擊下的穩(wěn)定性能,算例模擬將防御資源按照本文方案進行分配后,系統(tǒng)在遭受網絡攻擊后的負荷損失量。本算例包含14個電力節(jié)點,系統(tǒng)中每個電力節(jié)點都分別被作為網絡攻擊的最終目標節(jié)點,那么算例1共包含14個攻擊目標。表2對實施防御策略前和實施防御策略后的損失負荷量作對比。表2中第1列為各攻擊目標即各電力節(jié)點的序號,第2列為實施防御策略前系統(tǒng)遭受到網絡攻擊后的負荷損失,第3列為在本文防御資源方案分配下系統(tǒng)的損失負荷量與第2列形成對比。從表2第2、3列數據可以看出,通過本文提出的防御資源在各個節(jié)點的分配方案,能夠有效降低系統(tǒng)的失負荷量,提升城市電網CPS在遭受網絡攻擊和故障后保持安全穩(wěn)定運行的能力。通過以上算例的結果,可以得到結論:本文所提的資源分配方法能有效保護防御薄弱的關鍵脆弱節(jié)點,并且對其優(yōu)先分配防御資源,能夠有效降低城市電網CPS風險。

表2 實施防御策略前后的損失負荷量對比

4 結論

為了解決電力CPS面臨的網絡安全威脅,使其在遭受網絡攻擊時,能夠盡可能地保證安全穩(wěn)定運行,本文通過分析總結實際電網CPS的安全防御方法,從信息側和物理側研究分析提高電力系統(tǒng)抵御攻擊能力的防御資源分配策略,為研究不同規(guī)模電力CPS系統(tǒng)抵御網絡攻擊能力,將具體投資的設備、軟件和人力等統(tǒng)一抽象為防御資源,基于系統(tǒng)的高風險脆弱節(jié)點和關鍵節(jié)點,進而合理優(yōu)化資源,將其重點分配在這些節(jié)點上,最終得到了一種可有效提高電力CPS抵御網絡攻擊能力的資源分配方法。通過算例分析驗證,本文提出的防御資源分配方案能夠有效降低系統(tǒng)的失負荷量,提高電力CPS的穩(wěn)定性和容侵性能,有效抵御網絡攻擊。