針對電力信息物理融合系統的網絡攻擊綜述

鐘慧欣，俞洋，張朋偉

（江西交通職業技術學院，江西南昌 330013)

0 引言

現代電力系統建立在高度集成、網絡通信的基礎上，打破了傳統電力系統的孤島壁壘，是典型的電力信息物理融合系統(Cyber-Physical System,CPS)[1]。信息技術的融入使得現代電力系統變得智能化，提高了生產運營的效率。然而，由于在通信協議、設備認證、數據網絡傳輸等方面的安全漏洞，電力系統不可避免地暴露在網絡攻擊（如數據欺騙攻擊、拒絕服務攻擊等）之下。惡意的網絡攻擊可能會破壞電力系統的安全經濟運行，甚至導致系統崩潰，這會對系統造成無可挽回的巨大損失。因此，電力系統中的網絡安全問題非常重要，得到了電力行業和學術界等的重視。

1 電力CPS概述

電力信息物理融合系統將計算機技術、通信技術及物聯網技術等應用到電力系統中，通過電力、傳感、通信及計算等設備的有機結合，使電力系統能夠實現高效且可靠的運行。如圖1 所示為電力CPS 網絡架構，主要由電力網絡、信息網絡和電力CPS 網絡三部分組成。電力網絡是指包含各種物理設備（比如電力負載、智能電表、電力生產設備、電力傳輸設備、儲能裝置等）的電力系統物理網絡，現代電力網絡更是多源協同的，除了傳統的火力水力發電外還接入了各種新能源，這對電網的調度和安全穩定運行帶來了新挑戰。信息網絡通過各種傳感設備、通信設備及計算設備獲取電力系統的狀態數據、量測數據，還會獲取電力系統之外的外部信息比如電價、天氣等，同時將這些實時和非實時的數據傳輸至控制中心，從而能夠準確、全面地掌握電力系統生產運行的實時情況。電力CPS 網絡則是綜合了電力網絡和信息網絡的一個虛擬網絡概念，電力CPS網絡中的節點可同時與電力網絡和信息網絡進行交流[2]。

圖1 電力CPS網絡架構

2 電力CPS網絡安全現狀分析

2.1 電力CPS網絡安全問題的主要來源

與傳統電力系統相比，現代電力系統中部署了大量智能儀表設備，這些智能設備采集的海量數據通過通信網絡進行快速實時的交換。目前，電力系統所面臨的安全問題主要在于電網基礎設施安全和網絡安全，《美國標準技術研究院(NIST)7628 號報告》指出網絡安全三要素分別為保密性(confidentiality)、完整性(integrity)和可用性(availability)，簡稱網絡“CIA”安全目標。

目前，電力系統中的網絡安全問題一方面來自內部原因，比如員工的網絡安全意識不足、公司內部安全管理制度不夠規范等；另一方面，日益增多的外部網絡攻擊已成為電力系統的主要威脅來源。針對電力信息物理系統的網絡安全威脅主要可以分為四個方面[3]：攻擊者針對計算機系統漏洞進行的入侵破壞、人為的惡意攻擊如黑客的攻擊和病毒的侵入、日益復雜的網絡和系統軟件中越來越多的可攻擊點和系統安全漏洞、大量Web應用系統部署導致的未加密信息的泄漏。

2.2 電力系統遭受各種網絡攻擊實際案例

近年來，電力系統遭受網絡攻擊的事件時有發生，詳見表1。惡意的網絡攻擊已經造成大范圍的停電事件，很多大停電事件發生的起因僅僅是電力系統中某一局部區域的故障，但由于電力CPS的耦合連接最終擴大了停電范圍和停電規模[4]。由于電力網和信息網的融合特性，當某一邊系統產生微小故障，經耦合連接傳播到另一側系統時，另一側系統可能會繼續將故障迭代傳播下去，從而形成級聯故障，這會對電力系統的安全穩定經濟運行產生嚴重威脅。

表1 電力行業網絡攻擊事件

2.3 對烏克蘭停電事件的回顧和分析

2015年圣誕的前兩天，烏克蘭國內多個區域的家庭突然發生停電，原因是電力系統遭到了黑客攻擊。根據烏克蘭停電事故的新聞，電力公司員工被誘導下載了一款惡意軟件，很快烏克蘭電網公司的能量管理系統被植入了病毒，使主控主機全部癱瘓并與變電站發生斷聯，從而喪失對相應物理設備的感知與控制能力。而且，病毒通過通信網絡在大范圍的電力系統進行了傳播，使烏克蘭電力公司無法與底層的發電站和變電站取得聯系，受停電影響的居民也無法聯系上電力公司，從而控制中心更加難以做出正確的決策，進而引發了大規模停電[5]。

從這次的烏克蘭大規模停電事件可以看出，現代電力系統作為典型的信息物理融合系統，其信息網和電力網相互依存且高度融合，即使電力網是正常狀態，若信息網遭遇網絡攻擊而癱瘓，電力系統同樣會受到嚴重影響。因此，電力系統的安全體系建設既要考慮物理電力網的安全，也要重視信息網的網絡安全。

3 電力CPS的三種攻擊類型

3.1 拒絕服務攻擊

拒絕服務攻擊(Denial-of-Service Attack，簡稱DoS攻擊）是一種被稱為洪水攻擊的網絡攻擊，攻擊者通常抓住各種漏洞向目標系統發送大量不合理的請求，以消耗應用系統的資源和帶寬，導致合法用戶無法訪問，服務中斷甚至系統死機。

文獻[6]定義了針對網絡控制系統的欺騙和拒絕服務攻擊。文獻[7]闡述了分布式拒絕服務攻擊模擬系統設計與實現，由于分布式拒絕服務攻擊的特點，決定了其檢測和防御的高誤報率、低準確性和低時效性；該課題在現有的實驗條件下，搭建合適的網絡環境來進行分布式拒絕服務攻擊的實驗模擬，并通過編寫流量檢測軟件，針對在發生攻擊時的網絡流量進行統計概率學分析，構建數學模型，并將該數學模型用軟件實現，編寫了一個能夠檢測分布式拒絕服務攻擊的檢測軟件。文獻[8]介紹了CCN 網絡對抗已有DoS攻擊的方法，并總結了CCN網絡中新型DoS攻擊的多種特點，盡管新提出的針對CCN網絡的DoS攻擊防御方法對目前大多數的DoS攻擊是有效的，但還是會引出新型的DoS攻擊。

3.2 重放攻擊

重放攻擊(Replay Attacks) 也稱回放攻擊或重播攻擊，其攻擊手段是截獲一個通信會話，并在稍后的時間點重放整個會話或會話的某些部分，目標主機會誤認為是正常用戶發出的請求，則會給出相應的回復，攻擊者從而獲得內部信息。

文獻[9]從4 個攻擊層面即密碼協議消息塊、塊間、步間和協議間，給出了針對不同攻擊層面的重放攻擊分類。這種分類方法不僅包含了Syverson 的分類，還將重放攻擊擴展到了協議層次，給出了各層次可行的重放攻擊實施的方式。文獻[10]介紹了ASP.net Forms 認證一般性實施方法，分析了Forms 認證的原理，給出重放攻擊的原理性實施方法，并對重放攻擊得逞的原因進行分析。在此基礎上，針對引入更加嚴密的會話解釋，給出了抵御用于會話識別的異源重放攻擊的解決方法。文獻[11]分析了重放攻擊的內因和阻止重放攻擊的對策，使用認證測試方法分析了一個更改了的安全協議，分析得出該協議是正確的；另外可以通過認證測試方法的缺陷來定位協議的重放攻擊。文獻[12]首先從協議層次和攻擊層次對密碼協議中重放攻擊進行分類，然后對重放攻擊成功時協議存在的缺陷進行分析，能夠更清楚地認識到重放攻擊的原理和本質，并給出了重放攻擊檢測一般方法和防范的策略。

3.3 虛假數據注入攻擊

虛假數據注入攻擊利用電力系統控制中心中不良數據檢測單元的漏洞，通過注入虛假數據到數據采集與監控系統(Supervisory Control And Data Acquisition，SCADA)系統中，從而實現非法目的比如電力系統測量信息和狀態信息的篡改、電力系統運行狀態的控制甚至取得經濟利益[13]。

虛假數據注入攻擊是一種針對電力系統狀態估計的數據完整性攻擊。圖2為電力系統中虛假數據注入攻擊示意圖，虛假數據注入攻擊發生的場景有三種[14]，分別為：1)攻擊者對遠程終端采集到的量測信息進行修改；其通過監聽通信網絡、獲取設備后門等安全漏洞得到智能電表、網關等設備的控制權，使得非授權用戶對目標進行訪問。2)攻擊者入侵RTUs與SCADA系統間的通信網絡；攻擊者利用智能電網通信規約中信息安全技術的不規范或通信協議漏洞，對在網絡傳輸中的量測信息進行惡意修改。3)攻擊者入侵SCADA 系統，使控制中心接收到的是精心篡改過的量測數據。虛假數據注入攻擊無論以哪種方式發生都能成功繞過傳統不良數據檢測機制，使控制中心做出錯誤決策進而達到破壞智能電網安全穩定運行的目的。

圖2 電力系統中虛假數據注入攻擊示意圖

文獻[15]重點對虛假數據注入攻擊下的攻擊模式進行討論，研究對電壓、電流互感器輸出的采樣序列成功實施不可觀測攻擊的條件以及最小攻擊代價。研究結果表明了互感器的配置冗余度及合理性在防御攻擊方面的重要性，為制定量測保護策略奠定了基礎。文獻[16]構立了最小攻擊向量的數學模型，約束條件為電力系統中特定的狀態信息和部分量測信息難以被篡改。文獻[17]在此基礎上，建立了多個狀態信息被攻擊的數學模型。文獻[18]指出由于控制中的保護措施，攻擊者往往只能得到電網的部分參數，如局部的拓撲結構和輸電線路參數。然而，攻擊者在獲取部分電網參數條件下也能實施虛假數據注入攻擊。文獻[19]提出了基于電力系統狀態估計的虛假數據注入攻擊構造方法，并指出通過該方法修改指定智能電表的測量數據，能夠導致錯誤的狀態估計結果，并躲過基于殘差的不良數據檢測單元，從而對電力系統的安全穩定運行造成影響。

4 結束語

電力CPS 通過網絡通信技術實現了整個電網能量流和信息流的頻繁交互，從而能夠提供更加經濟、可靠、可持續的電力服務。而物理電力網和信息網的深度融合得益于大量帶有網絡通信功能的智能儀表設備的部署，這些智能設備采集的海量數據通過網絡傳送到控制中心，控制中心的核心組成部分能量管理系統則根據狀態估計器得到的智能電網運行狀態實時發出指令，保證電網正常運行。然而，這些智能設備大多數暴露在一個未加密的網絡環境下，使得采集到的海量數據極易受到網絡攻擊（如拒絕服務攻擊、重放攻擊和虛假數據注入攻擊）。因此，研究電力系統中各種網絡攻擊是必要的，能為設計出針對網絡攻擊的抵御策略做鋪墊。