周 飛，吳金城，鄭東亞，董樹(shù)鋒

（1.國(guó)網(wǎng)浙江省電力有限公司寧波供電公司，浙江 寧波 315000；2.浙江大學(xué) 電氣工程學(xué)院，杭州 310027）

0 引言

隨著電網(wǎng)技術(shù)的不斷發(fā)展，電力系統(tǒng)變成一個(gè)越來(lái)越復(fù)雜的智能系統(tǒng)[1]。SCADA（數(shù)據(jù)采集與監(jiān)控）系統(tǒng)作為其中的重要一環(huán)，在電網(wǎng)中發(fā)揮的作用也越來(lái)越重要，一旦受到攻擊，會(huì)造成巨大的社會(huì)經(jīng)濟(jì)損失。2015 年烏克蘭大停電事件[2]以及2018 年美國(guó)國(guó)土安全部發(fā)出的關(guān)鍵系統(tǒng)受到網(wǎng)絡(luò)攻擊的報(bào)告[3]說(shuō)明了攻擊者現(xiàn)在已經(jīng)具有強(qiáng)力破壞電力SCADA 系統(tǒng)的技術(shù)能力。

面對(duì)日益突顯的安全威脅，很多學(xué)者對(duì)此進(jìn)行了研究。文獻(xiàn)[4]考慮攻擊的目標(biāo)和模式因目的不同而有明顯差異，將攻擊分為隨機(jī)、獲利、破壞系統(tǒng)穩(wěn)定3 類(lèi)，分別對(duì)它們進(jìn)行了討論。文獻(xiàn)[5]構(gòu)建了電力物理信息系統(tǒng)基于攻守情形的脆弱性評(píng)判框架，并提出了電網(wǎng)動(dòng)態(tài)攻守博弈的3 層規(guī)劃數(shù)學(xué)模型。文獻(xiàn)[6]提出了一個(gè)具有監(jiān)測(cè)、控制、分析功能的SCADA 系統(tǒng)安全分析模型，并進(jìn)一步對(duì)檢查端口和集成密碼進(jìn)行了攻擊建模。文獻(xiàn)[7]提出了一種能夠根據(jù)系統(tǒng)端口信息及構(gòu)架評(píng)估SCADA 系統(tǒng)安全性的思路。文獻(xiàn)[8]在解析SCADA 系統(tǒng)的結(jié)構(gòu)后，建立攻擊樹(shù)模型，并從3個(gè)設(shè)定好的特征出發(fā)對(duì)各葉子節(jié)點(diǎn)的安全性進(jìn)行定量計(jì)算，最后求解各葉子節(jié)點(diǎn)、中間節(jié)點(diǎn)和模型總體的脆弱性；該方法只能反映脆弱性最大的攻擊可能，沒(méi)有整體考慮所有攻擊可能的敏感度，而且在計(jì)算各種攻擊的敏感度時(shí)，沒(méi)有考慮攻擊者攻擊的盲目性，且利用AHP（層次分析法）求解各特征的權(quán)值有一定的缺陷。

本文通過(guò)電力SCADA 系統(tǒng)的解構(gòu)，建立攻擊樹(shù)模型，以攻擊的代價(jià)、難度和被發(fā)現(xiàn)的可能性作為評(píng)估特征，對(duì)攻擊樹(shù)各葉子節(jié)點(diǎn)的脆弱性進(jìn)行定量計(jì)算，并采用FAHP（模糊層次分析法）計(jì)算各特征的權(quán)重，求解各葉子節(jié)點(diǎn)、攻擊路徑的激活概率，最后引入盲目攻擊因子[9]來(lái)計(jì)算總體脆弱性及每個(gè)葉子節(jié)點(diǎn)的脆弱性靈敏度。

1 電力SCADA 系統(tǒng)與網(wǎng)絡(luò)攻擊

1.1 電力SCADA 系統(tǒng)結(jié)構(gòu)

電力SCADA 系統(tǒng)中，RTU（遠(yuǎn)程終端單元）與各個(gè)子站大量的傳感器設(shè)備相互連接。在一定的通信標(biāo)準(zhǔn)下，RTU 可以將傳感器發(fā)送來(lái)的信息編碼成對(duì)應(yīng)的數(shù)據(jù)包，經(jīng)由網(wǎng)絡(luò)傳遞到控制服務(wù)中心。HMI（人機(jī)界面）接收應(yīng)用服務(wù)器傳輸來(lái)的信息，便于系統(tǒng)的監(jiān)控，實(shí)際操作人員會(huì)在執(zhí)行結(jié)束后接收到RTU 傳送過(guò)來(lái)的執(zhí)行結(jié)果[10]。

電力SCADA 系統(tǒng)由多個(gè)不同網(wǎng)絡(luò)組成，各個(gè)網(wǎng)絡(luò)組件的缺陷會(huì)被攻擊者利用并采取行動(dòng)，給電力系統(tǒng)的穩(wěn)定性和經(jīng)濟(jì)性帶來(lái)巨大沖擊。

1.2 針對(duì)電力SCADA 系統(tǒng)常見(jiàn)的攻擊方式

針對(duì)電力SCADA 系統(tǒng)的攻擊是將SCADA系統(tǒng)的功能很大程度地?zé)o效化，這是一系列在沒(méi)有獲得允許的情況下利用網(wǎng)絡(luò)漏洞截取指令、破壞指令等對(duì)系統(tǒng)造成誤動(dòng)作的行為。

常見(jiàn)的攻擊方式主要有3 種特性：保密性、完整性和可用性[3]。保密性攻擊指沒(méi)有采取合法手段獲取信息的一類(lèi)攻擊，當(dāng)前國(guó)內(nèi)電力SCADA系統(tǒng)安全側(cè)重于依賴劃定安全界線，保密性一旦被突破，系統(tǒng)會(huì)變得極其脆弱；保密性攻擊的目標(biāo)主要是密碼、加密算法、通信信道等，典型攻擊形式有密碼破解、竊聽(tīng)等。完整性攻擊指對(duì)電力SCADA 系統(tǒng)的信息內(nèi)容進(jìn)行篡改的一類(lèi)攻擊，也就是通過(guò)篡改任何狀態(tài)、運(yùn)行信息的手段來(lái)破壞正常運(yùn)行的攻擊方式；常見(jiàn)的篡改目標(biāo)有時(shí)鐘同步信號(hào)、下發(fā)指令、上行數(shù)據(jù)等，信息被篡改會(huì)讓控制中心產(chǎn)生對(duì)系統(tǒng)狀態(tài)的誤判，發(fā)出錯(cuò)誤指令，造成不可挽回的損失?？捎眯怨羰侵笇⑿盘?hào)延遲或者截?cái)啵箍刂浦行臒o(wú)法在有效時(shí)間內(nèi)獲得信號(hào)，從而造成系統(tǒng)失效；可用性攻擊是相對(duì)比較容易實(shí)現(xiàn)的一種攻擊，在有必要的情況下，可以直接采用物理手段進(jìn)行攻擊。

2 電力SCADA 系統(tǒng)攻擊建模

2.1 攻擊樹(shù)模型

攻擊樹(shù)模型[11]是一種直觀地分析攻擊路徑的方法。樹(shù)的分支結(jié)構(gòu)很適合用來(lái)描述攻擊邏輯問(wèn)題，這種結(jié)構(gòu)可以從系統(tǒng)可能被破壞的立場(chǎng)去思考安全性問(wèn)題，使得分析過(guò)程更加直觀和清晰。

在該模型中，攻擊目標(biāo)用樹(shù)的根節(jié)點(diǎn)來(lái)表示，各種具體的攻擊事件用葉子節(jié)點(diǎn)來(lái)表示，其余的中間狀態(tài)用中間節(jié)點(diǎn)來(lái)表示。從葉子節(jié)點(diǎn)開(kāi)始自下而上，一直到根節(jié)點(diǎn)，依次激活每個(gè)節(jié)點(diǎn)，這個(gè)過(guò)程就是一次達(dá)成目的的攻擊過(guò)程。

除了葉子節(jié)點(diǎn)沒(méi)有分支，樹(shù)模型的其余節(jié)點(diǎn)有2 種邏輯方式，分別是與節(jié)點(diǎn)、或節(jié)點(diǎn)。與節(jié)點(diǎn)表示必須激活節(jié)點(diǎn)下所有的分支事件才能達(dá)到激活該節(jié)點(diǎn)的目的，如圖1（a）所示；或節(jié)點(diǎn)表示只要激活該節(jié)點(diǎn)下某個(gè)分支的事件可以激活該節(jié)點(diǎn)，如圖1（b）所示。

圖1 與節(jié)點(diǎn)、或節(jié)點(diǎn)的表示

2.2 電力SCADA 系統(tǒng)攻擊建模

本文建立的針對(duì)電力系統(tǒng)的攻擊樹(shù)模型如圖2 所示。

圖2 電力SCADA 系統(tǒng)攻擊樹(shù)模型

賦予每個(gè)攻擊事件3 種不同的安全等級(jí)特征，即攻擊的代價(jià)、難度以及被發(fā)現(xiàn)的可能性[10]，將以上特征轉(zhuǎn)換成其完成目的的有效值，也就是每個(gè)葉子節(jié)點(diǎn)激活的概率。計(jì)算公式為[8]：

式中：Pc為攻擊事件c 激活的概率；Cc為c 的代價(jià)；dc為c 的難度；ec為c 被發(fā)現(xiàn)的可能性；IC為代價(jià)參數(shù)的權(quán)重值；Id為難度參數(shù)的權(quán)重值；Ie為被發(fā)現(xiàn)的可能性參數(shù)的權(quán)重值；U（Cc）為代價(jià)參數(shù)的有效值；U（dc）為難度參數(shù)的有效值；U（ec）為被發(fā)現(xiàn)的可能性參數(shù)的有效值。

根據(jù)式（1），要得出每個(gè)攻擊事件所對(duì)應(yīng)節(jié)點(diǎn)的激活概率，需要知道每個(gè)攻擊事件所對(duì)應(yīng)3 個(gè)安全特征的有效值以及3 個(gè)安全特征的權(quán)重值。3個(gè)安全特征的有效值可采用等級(jí)評(píng)分的方法定量計(jì)算得出，權(quán)重系數(shù)可以利用FAHP 算出。

2.3 安全特征評(píng)級(jí)

安全特征評(píng)估對(duì)照標(biāo)準(zhǔn)見(jiàn)表1。

表1 各安全特征評(píng)估對(duì)照

每個(gè)攻擊事件都有3 種安全特征，專(zhuān)家根據(jù)技術(shù)經(jīng)驗(yàn)并結(jié)合實(shí)際情況，對(duì)每個(gè)攻擊事件不同的安全特征進(jìn)行評(píng)級(jí)，各安全特征有效值U（x）為其等級(jí)x 的倒數(shù)，即：

各領(lǐng)域?qū)＜乙詫?zhuān)業(yè)知識(shí)為基礎(chǔ)，并結(jié)合多年的技術(shù)經(jīng)驗(yàn)對(duì)各安全特征等級(jí)進(jìn)行評(píng)定。攻擊代價(jià)是發(fā)動(dòng)此攻擊所需要的經(jīng)濟(jì)成本，專(zhuān)家可根據(jù)經(jīng)驗(yàn)值進(jìn)行估計(jì)，然后對(duì)照表1 得出該攻擊事件所對(duì)應(yīng)的等級(jí)；攻擊難度是指此攻擊在技術(shù)上實(shí)現(xiàn)的難度，技術(shù)難度越大，等級(jí)越高；攻擊被發(fā)現(xiàn)的可能性是指攻擊的隱匿性，實(shí)施攻擊難免留下蛛絲馬跡，有些攻擊可以巧妙地將痕跡隱藏起來(lái)，有些卻很容易被發(fā)現(xiàn)，隱匿得越好，被發(fā)現(xiàn)的可能性越小，表1 中對(duì)應(yīng)的等級(jí)就越低。后兩種安全特征評(píng)估非常依賴專(zhuān)家的專(zhuān)業(yè)能力，專(zhuān)家專(zhuān)業(yè)能力越強(qiáng)，所得出的結(jié)論就越準(zhǔn)確。當(dāng)評(píng)完攻擊事件的安全特征等級(jí)后，根據(jù)式（2），可得出各安全特征的有效值。

2.4 權(quán)重系數(shù)的計(jì)算

特征權(quán)值的確定是各葉子節(jié)點(diǎn)激活概率計(jì)算的關(guān)鍵。不同的攻擊事件，攻擊的代價(jià)、難度和被發(fā)現(xiàn)的可能性這3 個(gè)安全特征的權(quán)值也不一樣，因此需要結(jié)合攻擊事件的實(shí)際情況對(duì)這3 個(gè)安全特征進(jìn)行賦權(quán)。

通過(guò)FAHP 求解各葉子節(jié)點(diǎn)的安全特征權(quán)重系數(shù)過(guò)程可描述如下[12-15]：使用設(shè)定好的尺度表將各要素兩兩之間進(jìn)行比較，得到模糊判斷矩陣；再通過(guò)一致性檢驗(yàn)將不符合一致性的矩陣進(jìn)行轉(zhuǎn)化，形成模糊一致判斷矩陣；最后利用矩陣求出各要素的權(quán)值。本文使用的比較尺度見(jiàn)表2。

表2 比較尺度

根據(jù)表2 可得到所需的矩陣：

式中：n 為安全特征數(shù)量。

對(duì)得到的矩陣進(jìn)行一致性檢驗(yàn)：

如果得到的矩陣沒(méi)有通過(guò)一致性檢驗(yàn)，則通過(guò)算術(shù)平均的方法將矩陣R 調(diào)整為模糊一致判斷矩陣，對(duì)有：

通過(guò)式（8）對(duì)R′進(jìn)行歸一化處理，得到每個(gè)安全特征的權(quán)重值Ii：

式中：a 為權(quán)重差異影響因子，令a=（n－1）/2。

根據(jù)上述方法即可計(jì)算出攻擊事件各安全特征的權(quán)重值。

2.5 計(jì)算系統(tǒng)脆弱性

系統(tǒng)脆弱性即根節(jié)點(diǎn)的激活概率，可以通過(guò)遍歷整個(gè)樹(shù)模型來(lái)計(jì)算，從底層開(kāi)始往上計(jì)算，一步步得出樹(shù)模型各層節(jié)點(diǎn)被激活的概率，最后可以計(jì)算出根節(jié)點(diǎn)被激活的概率。

對(duì)于具有或關(guān)系的節(jié)點(diǎn)i，其激活概率為[8]：

式中：m 為子節(jié)點(diǎn)的數(shù)量；Pi1，Pi2，Pi3，…，Pim為節(jié)點(diǎn)激活概率按照遞減順序重排后的序列。

這種計(jì)算方式就是把子節(jié)點(diǎn)的最大激活概率當(dāng)成該節(jié)點(diǎn)的激活概率，沒(méi)有考慮到實(shí)際攻擊具有一定的盲目性。在計(jì)算或節(jié)點(diǎn)激活概率時(shí)應(yīng)當(dāng)綜合考慮所有子節(jié)點(diǎn)的激活概率[9]，因此將式（9）修正為：

式中：λ 為盲目攻擊因子，表示攻擊的隨機(jī)程度，取值為0-1，λ=1 時(shí)表示攻擊者的攻擊完全是隨機(jī)的，λ=0 時(shí)表示攻擊者有針對(duì)性地進(jìn)行攻擊，即攻擊系統(tǒng)最脆弱的部分。

盲目攻擊因子的取值取決于攻擊者對(duì)攻擊對(duì)象的認(rèn)識(shí)程度，在針對(duì)電力SCADA 系統(tǒng)的攻擊情境中，盲目攻擊因子就是取決于對(duì)電力SCADA系統(tǒng)的了解程度。如果攻擊者對(duì)電力SCADA 系統(tǒng)有很深刻的了解，則會(huì)選擇子節(jié)點(diǎn)中激活概率最大的攻擊場(chǎng)景，此時(shí)盲目攻擊因子取0；而如果完全不了解的話，則會(huì)隨機(jī)進(jìn)行攻擊，此時(shí)盲目攻擊因子取1。簡(jiǎn)而言之，盲目攻擊因子是攻擊者對(duì)攻擊對(duì)象了解程度的一個(gè)度量，盲目攻擊因子越小，說(shuō)明攻擊者對(duì)攻擊對(duì)象越熟悉。因此在實(shí)際情況中，要先對(duì)攻擊者群體的專(zhuān)業(yè)素質(zhì)進(jìn)行評(píng)估，以此為依據(jù)來(lái)給盲目攻擊因子取值。

對(duì)于具有與關(guān)系的節(jié)點(diǎn)i，其節(jié)點(diǎn)激活概率為：

利用以上所述規(guī)則即可以算出根節(jié)點(diǎn)的激活概率即整個(gè)系統(tǒng)的脆弱性。

2.6 計(jì)算各葉子節(jié)點(diǎn)的脆弱性靈敏度

從底層葉子節(jié)點(diǎn)開(kāi)始，順著模型往上，根據(jù)式（10）、式（11）求出系統(tǒng)安全性（即根節(jié)點(diǎn)激活的概率）之后，再根據(jù)式（12）求出每個(gè)葉子節(jié)點(diǎn)脆弱性變化對(duì)系統(tǒng)安全性的敏感度，由此來(lái)判斷每個(gè)葉子節(jié)點(diǎn)對(duì)系統(tǒng)的相對(duì)重要程度[9]。

式中：S（Pi）為第i 個(gè)葉子節(jié)點(diǎn)的脆弱性靈敏度；Vs為整個(gè)系統(tǒng)的脆弱性。

3 算例分析

本文在分析電力SCADA 系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上建立SCADA 系統(tǒng)的攻擊樹(shù)模型，如圖2 所示。

接著給每個(gè)攻擊事件賦予3 個(gè)特征評(píng)分，也就是攻擊代價(jià)、攻擊難度、被發(fā)現(xiàn)的可能性。3 個(gè)特征的評(píng)分規(guī)則見(jiàn)表1。將攻擊樹(shù)模型中的節(jié)點(diǎn)由左至右進(jìn)行編號(hào)，1—9 為葉子節(jié)點(diǎn)編號(hào)，10—12 為中間節(jié)點(diǎn)編號(hào)，如表3 所示。

表3 節(jié)點(diǎn)編號(hào)

根據(jù)專(zhuān)家評(píng)分，各葉子節(jié)點(diǎn)等級(jí)如表4 所示。

結(jié)合系統(tǒng)與攻擊事件的實(shí)際情況，給出葉子節(jié)點(diǎn)各特征的評(píng)分。根據(jù)表2 可得到模糊判斷矩陣R。

表4 葉子節(jié)點(diǎn)各安全特征等級(jí)

經(jīng)過(guò)式（4）—（6）判定，R 未通過(guò)一致性檢驗(yàn)，于是通過(guò)式（7）將式（13）調(diào)整為模糊一致判斷矩陣，即：

由式（8）可得I1=0.5，I2=0.366 7，I3=0.133 3。接著根據(jù)式（1）計(jì)算出每個(gè)葉子節(jié)點(diǎn)被激活的概率，如表5 所示。

由于攻擊者的攻擊具有盲目性，因此在計(jì)算系統(tǒng)脆弱性的時(shí)候引入盲目攻擊因子。此例中盲目攻擊因子取0.3，根據(jù)式（10）、式（11）可求得各中間節(jié)點(diǎn)的激活概率，見(jiàn)表6。

表5 各葉子節(jié)點(diǎn)的激活概率

表6 中間節(jié)點(diǎn)的激活概率

算例中節(jié)點(diǎn)1，2 雖然激活概率一樣，但在計(jì)算父節(jié)點(diǎn)時(shí)，2 個(gè)值還是分別賦予不同的系數(shù)。

根據(jù)式（10）可以得出根節(jié)點(diǎn)的激活概率Psys=0.513 1，即在盲目攻擊因子為0.3 的情況下系統(tǒng)的安全脆弱性為0.513 1。由式（12）可得各葉子節(jié)點(diǎn)的脆弱性靈敏度，見(jiàn)表7。

表7 各葉子節(jié)點(diǎn)的脆弱性靈敏度

節(jié)點(diǎn)1，2 的激活概率值一樣，靈敏度也應(yīng)一致，在求取靈敏度值時(shí)都取較大值。

由以上數(shù)據(jù)可知，在盲目攻擊因子為0.3 的情況下，節(jié)點(diǎn)3，7 的安全脆弱性靈敏度最高，其對(duì)應(yīng)的攻擊分別為虛假數(shù)據(jù)注入和入侵?jǐn)?shù)據(jù)庫(kù)。針對(duì)虛假數(shù)據(jù)注入，可以通過(guò)數(shù)字簽名、檢測(cè)機(jī)制來(lái)降低激活概率；針對(duì)數(shù)據(jù)庫(kù)入侵，可以通過(guò)設(shè)置防火墻、受限接入來(lái)降低激活概率。對(duì)葉子節(jié)點(diǎn)3，7 加了防護(hù)措施之后，其特征等級(jí)變化及各節(jié)點(diǎn)激活概率變化如表8、表9 所示。

根據(jù)式（10）、式（11），此時(shí)系統(tǒng)的安全脆弱性降低為0.320 7。

表8 對(duì)節(jié)點(diǎn)3，7 加防護(hù)措施后節(jié)點(diǎn)特征等級(jí)變化

表9 對(duì)節(jié)點(diǎn)3，7 加防護(hù)措施后各節(jié)點(diǎn)激活概率的變化

如果是對(duì)其他葉子節(jié)點(diǎn)采取防御措施，比如對(duì)節(jié)點(diǎn)6，9 進(jìn)行防護(hù)，節(jié)點(diǎn)6，9 分別為入侵變電站用戶界面和破解密碼，可以通過(guò)物理隔離和改變密碼復(fù)雜度來(lái)降低節(jié)點(diǎn)的激活概率。加入防護(hù)措施后，節(jié)點(diǎn)6，9 的特征等級(jí)變化及各節(jié)點(diǎn)激活概率的變化如表10、表11 所示。

表10 對(duì)節(jié)點(diǎn)6，9 加防護(hù)措施后節(jié)點(diǎn)特征等級(jí)變化

表11 對(duì)節(jié)點(diǎn)6，9 加防護(hù)措施后各節(jié)點(diǎn)激活概率的變化

根據(jù)式（10）、式（11）可得出，此時(shí)系統(tǒng)脆弱性降為0.511 2。

不同防護(hù)狀況下的系統(tǒng)安全脆弱性對(duì)比如表12 所示。

表12 不同防護(hù)狀況下的系統(tǒng)安全脆弱性比較

由表12 的數(shù)據(jù)對(duì)比可以看出，根據(jù)脆弱性靈敏度進(jìn)行防護(hù)可以取得顯著的安全提升效果。

4 結(jié)語(yǔ)

本文提出了一種考慮盲目攻擊因子的電力SCADA 系統(tǒng)安全脆弱性評(píng)估方法。該方法首先分析系統(tǒng)結(jié)構(gòu)，結(jié)合攻擊樹(shù)理論建立模型；接著對(duì)每個(gè)葉子節(jié)點(diǎn)從攻擊的代價(jià)、難度和攻擊被發(fā)現(xiàn)的可能性3 個(gè)角度進(jìn)行等級(jí)劃分；然后采用FAHP 對(duì)這3 個(gè)特征進(jìn)行權(quán)重賦值，求解每個(gè)葉子節(jié)點(diǎn)激活的概率，并由下往上計(jì)算出各種攻擊途徑的激活概率；最后考慮盲目攻擊因子，解得系統(tǒng)脆弱性以及各個(gè)攻擊序列的脆弱性靈敏度。根據(jù)評(píng)估結(jié)果可以對(duì)系統(tǒng)薄弱環(huán)節(jié)進(jìn)行重點(diǎn)防護(hù)，并通過(guò)算例證明了該評(píng)估方法的有效性。

本文方法與類(lèi)似評(píng)估方法的主要區(qū)別在于：

（1）采用模糊法和AHP 相結(jié)合的FAHP 對(duì)電力SCADA 系統(tǒng)攻擊各特征進(jìn)行賦權(quán)，避免了AHP 一致性檢驗(yàn)困難的缺陷。

（2）考慮攻擊者的盲目攻擊因子，使得電力SCADA 系統(tǒng)的安全脆弱性評(píng)估更具有實(shí)際意義。

（3）根據(jù)各種攻擊的脆弱性靈敏度進(jìn)行防護(hù)可以取得顯著的安全提升效果。