1、問(wèn)題的提出和研究意義
現(xiàn)代電力系統(tǒng)已經(jīng)發(fā)展為由物理電力系統(tǒng)和信息通信系統(tǒng)構(gòu)成的復(fù)雜耦合網(wǎng)絡(luò)系統(tǒng)。已有研究表明,無(wú)論是電力系統(tǒng)本身,還是信息通信系統(tǒng)中的部件發(fā)生故障或是被攻擊,都可能導(dǎo)致整個(gè)耦合網(wǎng)絡(luò)的癱瘓。
數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)就極易受到攻擊。2007年,全球最大的黑客大會(huì)“Defcon”就提出SCADA系統(tǒng)將成為黑客攻擊的主要目標(biāo)。這里的黑客有可能是惡意的個(gè)人和組織,也有可能是恐怖分子,甚至有可能是敵對(duì)國(guó)家和地區(qū)。在電力系統(tǒng)中大量應(yīng)用的工業(yè)控制系統(tǒng),也極易成為信息攻擊的目標(biāo)。最著名的例子當(dāng)屬Stuxnet病毒。Stuxnet病毒是世界上首例被精心設(shè)計(jì)以攻擊工業(yè)自動(dòng)化控制系統(tǒng)的病毒。Stuxnet病毒巧妙地避開(kāi)不同網(wǎng)絡(luò)之間的安全認(rèn)證機(jī)制,不斷傳播,成功感染了核電廠(chǎng)控制系統(tǒng)。直到2010年7月,因?yàn)橐粋€(gè)偶然的事件,Stuxnet病毒才被首次發(fā)現(xiàn)。此時(shí),Stuxnet病毒已經(jīng)感染了超過(guò)10萬(wàn)臺(tái)計(jì)算機(jī)(伊朗境內(nèi)),1 000臺(tái)離心機(jī),大大滯后了伊朗的核進(jìn)程。其他實(shí)例還有:2000年10月13日,四川二灘水電廠(chǎng)控制系統(tǒng)收到異常信號(hào)停機(jī),7 s甩出力890 MW,川渝電網(wǎng)幾乎瓦解;2003年1月,Slammer蠕蟲(chóng)病毒擾亂美國(guó)俄亥俄州的一家核電廠(chǎng)運(yùn)行;2003年12月30日,龍泉、政平、鵝城換流站控制系統(tǒng)感染病毒。而最新的例子是2015年底發(fā)生在烏克蘭的由于具有高度破壞性的惡意軟件攻擊導(dǎo)致的至少3個(gè)區(qū)域的大規(guī)模停電事故。
本文通過(guò)2個(gè)簡(jiǎn)例分析,說(shuō)明惡意信息攻擊者如何通過(guò)對(duì)電力量測(cè)系統(tǒng)的攻擊和電力控制系統(tǒng)的攻擊,使得電力系統(tǒng)出現(xiàn)誤判或直接失去安全穩(wěn)定,進(jìn)而提出信息安全防御系統(tǒng)的設(shè)計(jì)思路。
2、電力觀(guān)測(cè)系統(tǒng)遭攻擊及其防御
電力觀(guān)測(cè)系統(tǒng)指包括SCADA系統(tǒng)、相量測(cè)量單元(PMU)、繼電保護(hù)信息在內(nèi)的測(cè)量系統(tǒng)和包括狀態(tài)估計(jì)在內(nèi)的電力系統(tǒng)狀態(tài)評(píng)估系統(tǒng)。電力觀(guān)測(cè)系統(tǒng)是電力系統(tǒng)的眼睛,為電力系統(tǒng)中的決策支持提供基本和必要的信息服務(wù)。信息攻擊者如果成功攻擊電力觀(guān)測(cè)系統(tǒng),會(huì)對(duì)整個(gè)電力系統(tǒng)造成重大危險(xiǎn)。在未來(lái)可能出現(xiàn)綜合采用多種攻擊途徑,侵入并且改變電力觀(guān)測(cè)系統(tǒng)的攻擊方式,進(jìn)而影響依賴(lài)于觀(guān)測(cè)系統(tǒng)的決策支持系統(tǒng)。例如,將量測(cè)設(shè)備的遠(yuǎn)程控制終端的密碼系統(tǒng)破解后進(jìn)行數(shù)據(jù)修改,或者通過(guò)光纖竊聽(tīng)技術(shù)截獲并修改SCADA系統(tǒng)傳送至控制中心的數(shù)據(jù)。這一類(lèi)攻擊方式稱(chēng)之為壞數(shù)據(jù)注入攻擊。
壞數(shù)據(jù)注入攻擊通過(guò)控制電力觀(guān)測(cè)系統(tǒng)中若干個(gè)測(cè)量?jī)x器的測(cè)量值,來(lái)干擾電力系統(tǒng)狀態(tài)估計(jì)的結(jié)果,同時(shí),通過(guò)精心設(shè)計(jì),保證被修改的測(cè)量值不會(huì)被傳統(tǒng)狀態(tài)估計(jì)的壞數(shù)據(jù)辨識(shí)(Bad Data Detector)模塊檢測(cè)出來(lái)。這類(lèi)進(jìn)攻方式的目標(biāo)是對(duì)電力系統(tǒng)的控制中心的決策系統(tǒng)造成影響。除了改變對(duì)電力系統(tǒng)物理狀態(tài)的估計(jì)以及運(yùn)行調(diào)度的決策,此類(lèi)進(jìn)攻方式可以進(jìn)一步影響基于電力系統(tǒng)之上的各種衍生系統(tǒng)(例如電力市場(chǎng)),造成巨大經(jīng)濟(jì)損失。
在智能電網(wǎng)背景下,分布式能源和可再生能源迅速發(fā)展,電力系統(tǒng)的測(cè)量和控制設(shè)備相應(yīng)增加,設(shè)備間的通信也迅猛增長(zhǎng)。在這種背景下,壞數(shù)據(jù)注入攻擊方式的可能性也在增大。對(duì)于惡意數(shù)據(jù)注入的識(shí)別難度遠(yuǎn)遠(yuǎn)高于傳統(tǒng)上識(shí)別隨機(jī)測(cè)量誤差的難度。壞數(shù)據(jù)注入的攻擊方式與傳統(tǒng)的物理攻擊方式的一個(gè)顯著區(qū)別在于它難以被識(shí)別,現(xiàn)有的檢測(cè)手段甚至根本無(wú)法識(shí)別出此類(lèi)進(jìn)攻的存在。
筆者研究認(rèn)為,通過(guò)精心設(shè)計(jì)的壞數(shù)據(jù)注入,可以成功地欺騙傳統(tǒng)基于殘差的壞數(shù)據(jù)辨識(shí)模塊,并且將狀態(tài)估計(jì)的結(jié)果朝有利于發(fā)起攻擊方的方向轉(zhuǎn)變。如果要對(duì)狀態(tài)估計(jì)產(chǎn)生越大的影響,則需要成功攻入越多的測(cè)量點(diǎn)。通過(guò)優(yōu)化算法,信息攻擊者可以找到盡可能少的攻擊點(diǎn),注入壞數(shù)據(jù),達(dá)到盡可能大的攻擊效果。
針對(duì)現(xiàn)有電力量測(cè)系統(tǒng)的結(jié)構(gòu)及其可能受到的信息攻擊,有必要建立如下分層分布式的電力系統(tǒng)全狀態(tài)估計(jì)。
1) 充分利用本地大量的冗余測(cè)量數(shù)據(jù)以及相連變電站的測(cè)量數(shù)據(jù),實(shí)現(xiàn)對(duì)測(cè)量結(jié)果的本地估計(jì)以及進(jìn)行可疑數(shù)據(jù)檢測(cè)。其結(jié)果傳輸至控制中心,用于進(jìn)行全系統(tǒng)的狀態(tài)估計(jì)。
2) 在控制中心,除了接收傳統(tǒng)一次設(shè)備的測(cè)量值或者估計(jì)值外,還接收多個(gè)其他有關(guān)系統(tǒng)的信息來(lái)幫助進(jìn)行全系統(tǒng)狀態(tài)估計(jì)。所接收的信息包括部分二次設(shè)備(如保護(hù)系統(tǒng))的測(cè)量值、通信系統(tǒng)和信息系統(tǒng)中的日志、電力市場(chǎng)中的經(jīng)濟(jì)數(shù)據(jù)等??刂浦行囊步邮兆冸娬緦?duì)于受到攻擊的報(bào)警信息。
3) 控制中心的狀態(tài)估計(jì)結(jié)果可以下傳給本地狀態(tài)估計(jì)模塊,進(jìn)行二次校核。如果從控制中心接收到的狀態(tài)與本地估計(jì)的狀態(tài)有巨大差別,則向控制中心發(fā)出報(bào)警。
該架構(gòu)在極端情況下仍具有很強(qiáng)的魯棒性。例如,當(dāng)控制中心判斷出某個(gè)變電站被信息攻擊者完全控制,則會(huì)通知與該變電站相連的其余變電站,從而共同對(duì)該變電站的數(shù)據(jù)進(jìn)行屏蔽,并且對(duì)除該變電站之外的其余系統(tǒng)進(jìn)行狀態(tài)估計(jì)。又如,當(dāng)本地狀態(tài)估計(jì)判斷控制中心被信息攻擊者完全控制時(shí),可以對(duì)其所在局部電力系統(tǒng)進(jìn)行狀態(tài)估計(jì),以配合對(duì)局部電力系統(tǒng)的控制。
該系統(tǒng)的結(jié)構(gòu)性示意圖見(jiàn)圖1。
該功能單元使用多層面的信息來(lái)識(shí)別壞數(shù)據(jù)注入,包括電力一次設(shè)備、二次設(shè)備、通信系統(tǒng)、電力市場(chǎng)等。比如,保護(hù)設(shè)備的測(cè)量值和保護(hù)動(dòng)作的判斷可以用來(lái)對(duì)狀態(tài)估計(jì)中的線(xiàn)路過(guò)載等結(jié)果進(jìn)行校核;通信系統(tǒng)中的日志可以發(fā)現(xiàn)可疑操作,進(jìn)而對(duì)測(cè)量值的可信度進(jìn)行設(shè)定;對(duì)于以破壞電力市場(chǎng)或者非法牟利為目的的壞數(shù)據(jù)注入攻擊,如果在電力系統(tǒng)物理層面沒(méi)有能夠識(shí)別出來(lái),則可以通過(guò)電力市場(chǎng)層面中的信息來(lái)幫助檢測(cè)此類(lèi)攻擊的存在與否。
3、惡意信息進(jìn)攻者連續(xù)攻擊及其防御
3.1連續(xù)攻擊簡(jiǎn)例分析
與隨機(jī)事故不同,惡意信息攻擊者攻擊具有高度的智能化和組織化。在侵入電力控制系統(tǒng)后,惡意信息攻擊者有可能預(yù)判系統(tǒng)操作人員對(duì)特定攻擊的應(yīng)對(duì),由此發(fā)起多波次進(jìn)攻,環(huán)環(huán)相扣,最終造成系統(tǒng)全面崩潰。這里用一個(gè)簡(jiǎn)單的例子加以說(shuō)明。
圖2是一個(gè)4節(jié)點(diǎn)系統(tǒng)。線(xiàn)路1-2,1-3,2-3,2-4,3-4的特性相同,長(zhǎng)度的比例為:3∶2∶2∶1∶1。系統(tǒng)操作人員以最小網(wǎng)損為目標(biāo)函數(shù),運(yùn)行最優(yōu)潮流(OPF)計(jì)算,由此進(jìn)行調(diào)度。系統(tǒng)潮流分布如圖3(a)所示。假設(shè)信息攻擊者侵入電力系統(tǒng),以造成系統(tǒng)崩潰為目標(biāo),進(jìn)行破壞。
這里設(shè)想有兩種場(chǎng)景:
場(chǎng)景一:信息攻擊者不了解系統(tǒng)調(diào)度算法,每次破壞就攻擊負(fù)荷最重的線(xiàn)路,使其斷開(kāi)。信息攻擊者首先斷開(kāi)線(xiàn)路2-4,仿真結(jié)果顯示系統(tǒng)保持動(dòng)態(tài)穩(wěn)定。操作人員根據(jù)OPF計(jì)算結(jié)果重新調(diào)度,潮流分布如圖3(b)所示。信息攻擊者接著斷開(kāi)線(xiàn)路3-4,負(fù)荷b失去供電,但是系統(tǒng)其他部分保持穩(wěn)定。操作人員根據(jù)OPF計(jì)算結(jié)果重新調(diào)度,潮流分布如圖3(c)所示。信息攻擊者再斷開(kāi)線(xiàn)路1-3,系統(tǒng)繼續(xù)保持動(dòng)態(tài)穩(wěn)定。操作人員根據(jù)OPF計(jì)算結(jié)果重新調(diào)度,潮流分布如圖3(d)所示。這時(shí)候信息攻擊者斷開(kāi)線(xiàn)路2-3,系統(tǒng)當(dāng)然會(huì)解列。
場(chǎng)景二:信息攻擊者知道系統(tǒng)調(diào)度算法,能夠預(yù)測(cè)在一次攻擊后的系統(tǒng)潮流分布,由此信息攻擊者制定組合攻擊方案,以最小的代價(jià)誘發(fā)電力系統(tǒng)連鎖事件,造成系統(tǒng)崩潰。信息攻擊者首先斷開(kāi)線(xiàn)路2-3,系統(tǒng)保持動(dòng)態(tài)穩(wěn)定。操作人員根據(jù)OPF計(jì)算結(jié)果重新調(diào)度,潮流分布如圖4(a)所示。這時(shí)信息攻擊者斷開(kāi)線(xiàn)路2-4,仿真結(jié)果顯示系統(tǒng)失穩(wěn)。如圖4(b)和(c)所示,線(xiàn)路1-3的負(fù)荷達(dá)到了其容量的150%(信息攻擊者在t=1 s斷開(kāi)線(xiàn)路2-4),保護(hù)系統(tǒng)因此在t=1.1 s斷開(kāi)線(xiàn)路1-3。系統(tǒng)被迫解列,負(fù)荷a和b斷電,G1和G2因?yàn)橄到y(tǒng)頻率偏移過(guò)大,被迫停機(jī)。與場(chǎng)景一相比,信息攻擊者只斷開(kāi)了2條傳輸線(xiàn),就造成了系統(tǒng)崩潰。
圖3 信息攻擊者攻擊:場(chǎng)景一
3.2信息安全防御系統(tǒng)
信息安全防御系統(tǒng)是在時(shí)空協(xié)調(diào)的大停電防御系統(tǒng)的基礎(chǔ)上,考慮信息攻擊對(duì)電力系統(tǒng)的影響。使電力系統(tǒng)在偶發(fā)事故和信息攻擊下都能保持穩(wěn)定,而且發(fā)動(dòng)有效反擊,使惡意信息攻擊者喪失繼續(xù)攻擊的能力。該系統(tǒng)將從根本上解決信息攻擊和偶發(fā)事故對(duì)電力系統(tǒng)的威脅。其結(jié)構(gòu)和功能見(jiàn)圖5。
該系統(tǒng)從電力系統(tǒng)及其信息系統(tǒng)獲得電力及信息的狀態(tài),利用節(jié)2提到的電力系統(tǒng)全狀態(tài)估計(jì)模塊,對(duì)電力系統(tǒng)和信息系統(tǒng)的狀態(tài)進(jìn)行評(píng)估。智能決策系統(tǒng)根據(jù)電力和信息的狀態(tài),及預(yù)想的電力故障和信息攻擊,模擬信息攻擊者和系統(tǒng)操作人員之間的博弈過(guò)程,定量分析得到博弈策略,并將策略?xún)?chǔ)存到?jīng)Q策表中。而系統(tǒng)的在線(xiàn)檢測(cè)功能實(shí)時(shí)監(jiān)測(cè)電力故障和信息攻擊,如若發(fā)生,則在決策表中匹配對(duì)應(yīng)策略,加以實(shí)施。類(lèi)似電網(wǎng)安全防御系統(tǒng),信息安全防御系統(tǒng)的博弈策略在初期,可以采用“離線(xiàn)預(yù)算,實(shí)時(shí)匹配”的方法。待相應(yīng)的方法成熟之后,亦可發(fā)展到“在線(xiàn)預(yù)算,實(shí)時(shí)匹配”。
因此,信息安全防御系統(tǒng)的兩大主要功能單元如下。
1) 電力系統(tǒng)全狀態(tài)估計(jì):通過(guò)對(duì)電力系統(tǒng)和信息系統(tǒng)量測(cè)的分析和估計(jì),對(duì)電力系統(tǒng)的全狀態(tài)(電力+信息)進(jìn)行評(píng)估,在線(xiàn)跟蹤系統(tǒng)實(shí)際工況及信息攻擊的狀況。
2) 智能決策系統(tǒng):尋找最優(yōu)的博弈策略以進(jìn)行防御反擊??梢圆捎盟顾柌└?詳細(xì)解釋見(jiàn)附錄A)競(jìng)爭(zhēng)和隨機(jī)博弈(詳細(xì)解釋見(jiàn)附錄B)相結(jié)合的方法作為核心技術(shù),構(gòu)建智能決策系統(tǒng)。該系統(tǒng)使用虛擬操作人員模塊模擬操作人員;使用虛擬信息攻擊者模塊模擬信息攻擊者?;陔娏ο到y(tǒng)全狀態(tài)估計(jì)的結(jié)果,智能決策系統(tǒng)建立系統(tǒng)模型。通過(guò)虛擬操作人員、虛擬信息攻擊者、系統(tǒng)模型,智能決策系統(tǒng)模擬操作人員和信息攻擊者的博弈過(guò)程。該系統(tǒng)使用斯塔爾博格競(jìng)爭(zhēng)和隨機(jī)博弈相結(jié)合的方法定量分析博弈策略,選擇最優(yōu)的博弈策略。
4、結(jié)語(yǔ)
通信信息系統(tǒng)和電力系統(tǒng)的深度融合,使得電力系統(tǒng)面臨信息安全的嚴(yán)峻挑戰(zhàn)。信息攻擊者對(duì)電力系統(tǒng)進(jìn)行攻擊的方式多種多樣,但從其最終對(duì)電力系統(tǒng)的影響看,可以分為兩類(lèi),即對(duì)系統(tǒng)可觀(guān)性的影響和對(duì)系統(tǒng)可控性的影響。因此,跳出各類(lèi)具體信息攻擊方式的束縛,從最終影響因素出發(fā)提出解決問(wèn)題的方法,將使得該方法具有廣泛的適用性,也使得對(duì)信息攻擊的防御更加主動(dòng)。本文提出的信息安全防御系統(tǒng),通過(guò)電力系統(tǒng)全狀態(tài)估計(jì)和智能決策系統(tǒng),從可觀(guān)性和可控性?xún)煞矫嫣岣吡穗娏ο到y(tǒng)抵御信息攻擊的能力。該系統(tǒng)能實(shí)現(xiàn)在電力系統(tǒng)偶發(fā)事故和信息攻擊下的監(jiān)測(cè)、防御和控制,而且能通過(guò)有效反擊,使信息攻擊者喪失繼續(xù)攻擊的能力。