1、問題的提出和研究意義

現(xiàn)代電力系統(tǒng)已經(jīng)發(fā)展為由物理電力系統(tǒng)和信息通信系統(tǒng)構成的復雜耦合網(wǎng)絡系統(tǒng)。已有研究表明，無論是電力系統(tǒng)本身，還是信息通信系統(tǒng)中的部件發(fā)生故障或是被攻擊，都可能導致整個耦合網(wǎng)絡的癱瘓。

數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)就極易受到攻擊。2007年，全球最大的黑客大會“Defcon”就提出SCADA系統(tǒng)將成為黑客攻擊的主要目標。這里的黑客有可能是惡意的個人和組織，也有可能是恐怖分子，甚至有可能是敵對國家和地區(qū)。在電力系統(tǒng)中大量應用的工業(yè)控制系統(tǒng)，也極易成為信息攻擊的目標。最著名的例子當屬Stuxnet病毒。Stuxnet病毒是世界上首例被精心設計以攻擊工業(yè)自動化控制系統(tǒng)的病毒。Stuxnet病毒巧妙地避開不同網(wǎng)絡之間的安全認證機制，不斷傳播，成功感染了核電廠控制系統(tǒng)。直到2010年7月，因為一個偶然的事件，Stuxnet病毒才被首次發(fā)現(xiàn)。此時，Stuxnet病毒已經(jīng)感染了超過10萬臺計算機(伊朗境內(nèi))，1 000臺離心機，大大滯后了伊朗的核進程。其他實例還有：2000年10月13日，四川二灘水電廠控制系統(tǒng)收到異常信號停機，7 s甩出力890 MW，川渝電網(wǎng)幾乎瓦解；2003年1月，Slammer蠕蟲病毒擾亂美國俄亥俄州的一家核電廠運行；2003年12月30日，龍泉、政平、鵝城換流站控制系統(tǒng)感染病毒。而最新的例子是2015年底發(fā)生在烏克蘭的由于具有高度破壞性的惡意軟件攻擊導致的至少3個區(qū)域的大規(guī)模停電事故。

本文通過2個簡例分析，說明惡意信息攻擊者如何通過對電力量測系統(tǒng)的攻擊和電力控制系統(tǒng)的攻擊，使得電力系統(tǒng)出現(xiàn)誤判或直接失去安全穩(wěn)定，進而提出信息安全防御系統(tǒng)的設計思路。

2、電力觀測系統(tǒng)遭攻擊及其防御

電力觀測系統(tǒng)指包括SCADA系統(tǒng)、相量測量單元(PMU)、繼電保護信息在內(nèi)的測量系統(tǒng)和包括狀態(tài)估計在內(nèi)的電力系統(tǒng)狀態(tài)評估系統(tǒng)。電力觀測系統(tǒng)是電力系統(tǒng)的眼睛，為電力系統(tǒng)中的決策支持提供基本和必要的信息服務。信息攻擊者如果成功攻擊電力觀測系統(tǒng)，會對整個電力系統(tǒng)造成重大危險。在未來可能出現(xiàn)綜合采用多種攻擊途徑，侵入并且改變電力觀測系統(tǒng)的攻擊方式，進而影響依賴于觀測系統(tǒng)的決策支持系統(tǒng)。例如，將量測設備的遠程控制終端的密碼系統(tǒng)破解后進行數(shù)據(jù)修改，或者通過光纖竊聽技術截獲并修改SCADA系統(tǒng)傳送至控制中心的數(shù)據(jù)。這一類攻擊方式稱之為壞數(shù)據(jù)注入攻擊。

壞數(shù)據(jù)注入攻擊通過控制電力觀測系統(tǒng)中若干個測量儀器的測量值，來干擾電力系統(tǒng)狀態(tài)估計的結果，同時，通過精心設計，保證被修改的測量值不會被傳統(tǒng)狀態(tài)估計的壞數(shù)據(jù)辨識(Bad Data Detector)模塊檢測出來。這類進攻方式的目標是對電力系統(tǒng)的控制中心的決策系統(tǒng)造成影響。除了改變對電力系統(tǒng)物理狀態(tài)的估計以及運行調(diào)度的決策，此類進攻方式可以進一步影響基于電力系統(tǒng)之上的各種衍生系統(tǒng)(例如電力市場)，造成巨大經(jīng)濟損失。

在智能電網(wǎng)背景下，分布式能源和可再生能源迅速發(fā)展，電力系統(tǒng)的測量和控制設備相應增加，設備間的通信也迅猛增長。在這種背景下，壞數(shù)據(jù)注入攻擊方式的可能性也在增大。對于惡意數(shù)據(jù)注入的識別難度遠遠高于傳統(tǒng)上識別隨機測量誤差的難度。壞數(shù)據(jù)注入的攻擊方式與傳統(tǒng)的物理攻擊方式的一個顯著區(qū)別在于它難以被識別，現(xiàn)有的檢測手段甚至根本無法識別出此類進攻的存在。

筆者研究認為，通過精心設計的壞數(shù)據(jù)注入，可以成功地欺騙傳統(tǒng)基于殘差的壞數(shù)據(jù)辨識模塊，并且將狀態(tài)估計的結果朝有利于發(fā)起攻擊方的方向轉變。如果要對狀態(tài)估計產(chǎn)生越大的影響，則需要成功攻入越多的測量點。通過優(yōu)化算法，信息攻擊者可以找到盡可能少的攻擊點，注入壞數(shù)據(jù)，達到盡可能大的攻擊效果。

針對現(xiàn)有電力量測系統(tǒng)的結構及其可能受到的信息攻擊，有必要建立如下分層分布式的電力系統(tǒng)全狀態(tài)估計。

1) 充分利用本地大量的冗余測量數(shù)據(jù)以及相連變電站的測量數(shù)據(jù)，實現(xiàn)對測量結果的本地估計以及進行可疑數(shù)據(jù)檢測。其結果傳輸至控制中心，用于進行全系統(tǒng)的狀態(tài)估計。

2) 在控制中心，除了接收傳統(tǒng)一次設備的測量值或者估計值外，還接收多個其他有關系統(tǒng)的信息來幫助進行全系統(tǒng)狀態(tài)估計。所接收的信息包括部分二次設備(如保護系統(tǒng))的測量值、通信系統(tǒng)和信息系統(tǒng)中的日志、電力市場中的經(jīng)濟數(shù)據(jù)等。控制中心也接收變電站對于受到攻擊的報警信息。

3) 控制中心的狀態(tài)估計結果可以下傳給本地狀態(tài)估計模塊，進行二次校核。如果從控制中心接收到的狀態(tài)與本地估計的狀態(tài)有巨大差別，則向控制中心發(fā)出報警。

該架構在極端情況下仍具有很強的魯棒性。例如，當控制中心判斷出某個變電站被信息攻擊者完全控制，則會通知與該變電站相連的其余變電站，從而共同對該變電站的數(shù)據(jù)進行屏蔽，并且對除該變電站之外的其余系統(tǒng)進行狀態(tài)估計。又如，當本地狀態(tài)估計判斷控制中心被信息攻擊者完全控制時，可以對其所在局部電力系統(tǒng)進行狀態(tài)估計，以配合對局部電力系統(tǒng)的控制。

該系統(tǒng)的結構性示意圖見圖1。

該功能單元使用多層面的信息來識別壞數(shù)據(jù)注入，包括電力一次設備、二次設備、通信系統(tǒng)、電力市場等。比如，保護設備的測量值和保護動作的判斷可以用來對狀態(tài)估計中的線路過載等結果進行校核；通信系統(tǒng)中的日志可以發(fā)現(xiàn)可疑操作，進而對測量值的可信度進行設定；對于以破壞電力市場或者非法牟利為目的的壞數(shù)據(jù)注入攻擊，如果在電力系統(tǒng)物理層面沒有能夠識別出來，則可以通過電力市場層面中的信息來幫助檢測此類攻擊的存在與否。

3、惡意信息進攻者連續(xù)攻擊及其防御

3.1連續(xù)攻擊簡例分析

與隨機事故不同，惡意信息攻擊者攻擊具有高度的智能化和組織化。在侵入電力控制系統(tǒng)后，惡意信息攻擊者有可能預判系統(tǒng)操作人員對特定攻擊的應對，由此發(fā)起多波次進攻，環(huán)環(huán)相扣，最終造成系統(tǒng)全面崩潰。這里用一個簡單的例子加以說明。

圖2是一個4節(jié)點系統(tǒng)。線路1-2，1-3，2-3，2-4，3-4的特性相同，長度的比例為：3∶2∶2∶1∶1。系統(tǒng)操作人員以最小網(wǎng)損為目標函數(shù)，運行最優(yōu)潮流(OPF)計算，由此進行調(diào)度。系統(tǒng)潮流分布如圖3(a)所示。假設信息攻擊者侵入電力系統(tǒng)，以造成系統(tǒng)崩潰為目標，進行破壞。

這里設想有兩種場景：

場景一：信息攻擊者不了解系統(tǒng)調(diào)度算法，每次破壞就攻擊負荷最重的線路，使其斷開。信息攻擊者首先斷開線路2-4，仿真結果顯示系統(tǒng)保持動態(tài)穩(wěn)定。操作人員根據(jù)OPF計算結果重新調(diào)度，潮流分布如圖3(b)所示。信息攻擊者接著斷開線路3-4，負荷b失去供電，但是系統(tǒng)其他部分保持穩(wěn)定。操作人員根據(jù)OPF計算結果重新調(diào)度，潮流分布如圖3(c)所示。信息攻擊者再斷開線路1-3，系統(tǒng)繼續(xù)保持動態(tài)穩(wěn)定。操作人員根據(jù)OPF計算結果重新調(diào)度，潮流分布如圖3(d)所示。這時候信息攻擊者斷開線路2-3，系統(tǒng)當然會解列。

場景二：信息攻擊者知道系統(tǒng)調(diào)度算法，能夠預測在一次攻擊后的系統(tǒng)潮流分布，由此信息攻擊者制定組合攻擊方案，以最小的代價誘發(fā)電力系統(tǒng)連鎖事件，造成系統(tǒng)崩潰。信息攻擊者首先斷開線路2-3，系統(tǒng)保持動態(tài)穩(wěn)定。操作人員根據(jù)OPF計算結果重新調(diào)度，潮流分布如圖4(a)所示。這時信息攻擊者斷開線路2-4，仿真結果顯示系統(tǒng)失穩(wěn)。如圖4(b)和(c)所示，線路1-3的負荷達到了其容量的150%(信息攻擊者在t=1 s斷開線路2-4)，保護系統(tǒng)因此在t=1.1 s斷開線路1-3。系統(tǒng)被迫解列，負荷a和b斷電，G1和G2因為系統(tǒng)頻率偏移過大，被迫停機。與場景一相比，信息攻擊者只斷開了2條傳輸線，就造成了系統(tǒng)崩潰。

圖3 信息攻擊者攻擊：場景一

3.2信息安全防御系統(tǒng)

信息安全防御系統(tǒng)是在時空協(xié)調(diào)的大停電防御系統(tǒng)的基礎上，考慮信息攻擊對電力系統(tǒng)的影響。使電力系統(tǒng)在偶發(fā)事故和信息攻擊下都能保持穩(wěn)定，而且發(fā)動有效反擊，使惡意信息攻擊者喪失繼續(xù)攻擊的能力。該系統(tǒng)將從根本上解決信息攻擊和偶發(fā)事故對電力系統(tǒng)的威脅。其結構和功能見圖5。

該系統(tǒng)從電力系統(tǒng)及其信息系統(tǒng)獲得電力及信息的狀態(tài)，利用節(jié)2提到的電力系統(tǒng)全狀態(tài)估計模塊，對電力系統(tǒng)和信息系統(tǒng)的狀態(tài)進行評估。智能決策系統(tǒng)根據(jù)電力和信息的狀態(tài)，及預想的電力故障和信息攻擊，模擬信息攻擊者和系統(tǒng)操作人員之間的博弈過程，定量分析得到博弈策略，并將策略儲存到?jīng)Q策表中。而系統(tǒng)的在線檢測功能實時監(jiān)測電力故障和信息攻擊，如若發(fā)生，則在決策表中匹配對應策略，加以實施。類似電網(wǎng)安全防御系統(tǒng)，信息安全防御系統(tǒng)的博弈策略在初期，可以采用“離線預算，實時匹配”的方法。待相應的方法成熟之后，亦可發(fā)展到“在線預算，實時匹配”。

因此，信息安全防御系統(tǒng)的兩大主要功能單元如下。

1) 電力系統(tǒng)全狀態(tài)估計：通過對電力系統(tǒng)和信息系統(tǒng)量測的分析和估計，對電力系統(tǒng)的全狀態(tài)(電力+信息)進行評估，在線跟蹤系統(tǒng)實際工況及信息攻擊的狀況。

2) 智能決策系統(tǒng)：尋找最優(yōu)的博弈策略以進行防御反擊。可以采用斯塔爾博格(詳細解釋見附錄A)競爭和隨機博弈(詳細解釋見附錄B)相結合的方法作為核心技術，構建智能決策系統(tǒng)。該系統(tǒng)使用虛擬操作人員模塊模擬操作人員；使用虛擬信息攻擊者模塊模擬信息攻擊者。基于電力系統(tǒng)全狀態(tài)估計的結果，智能決策系統(tǒng)建立系統(tǒng)模型。通過虛擬操作人員、虛擬信息攻擊者、系統(tǒng)模型，智能決策系統(tǒng)模擬操作人員和信息攻擊者的博弈過程。該系統(tǒng)使用斯塔爾博格競爭和隨機博弈相結合的方法定量分析博弈策略，選擇最優(yōu)的博弈策略。

4、結語

通信信息系統(tǒng)和電力系統(tǒng)的深度融合，使得電力系統(tǒng)面臨信息安全的嚴峻挑戰(zhàn)。信息攻擊者對電力系統(tǒng)進行攻擊的方式多種多樣，但從其最終對電力系統(tǒng)的影響看，可以分為兩類，即對系統(tǒng)可觀性的影響和對系統(tǒng)可控性的影響。因此，跳出各類具體信息攻擊方式的束縛，從最終影響因素出發(fā)提出解決問題的方法，將使得該方法具有廣泛的適用性，也使得對信息攻擊的防御更加主動。本文提出的信息安全防御系統(tǒng)，通過電力系統(tǒng)全狀態(tài)估計和智能決策系統(tǒng)，從可觀性和可控性兩方面提高了電力系統(tǒng)抵御信息攻擊的能力。該系統(tǒng)能實現(xiàn)在電力系統(tǒng)偶發(fā)事故和信息攻擊下的監(jiān)測、防御和控制，而且能通過有效反擊，使信息攻擊者喪失繼續(xù)攻擊的能力。