唐云澤 蘇曉茜

電力系統(tǒng)的運行與控制需要信息的傳輸和交互，攻擊信息系統(tǒng)會嚴重影響電力系統(tǒng)的運行，嚴重的情況會導致大停電，如2015年的烏克蘭大停電和2019年的委內(nèi)瑞拉大停電。因此，需要對網(wǎng)絡攻擊方法進行總結和分析，為網(wǎng)絡攻擊的防御提供基礎?；诖耍疚氖紫瓤偨Y了不同信息攻擊方法的原理，然后針對不同的電網(wǎng)設備分析了可能的信息攻擊方法，最后根據(jù)不同攻擊方法的特征，提出了網(wǎng)絡攻擊防御的思路。

隨著先進的計算機與通信技術在電力系統(tǒng)中得到廣泛的應用，傳統(tǒng)的電力系統(tǒng)與信息通信系統(tǒng)高度耦合，使電力系統(tǒng)發(fā)展成為信息物理融合電力系統(tǒng)。CPPS通過傳感器網(wǎng)絡與信息通信網(wǎng)絡全面、實時地獲取電力系統(tǒng)的運行信息。信息系統(tǒng)增強了現(xiàn)代電力系統(tǒng)的可觀測性與可控性，但同時也使電力系統(tǒng)遭受可能的網(wǎng)絡攻擊。

作為現(xiàn)代社會的關鍵基礎設施，電力系統(tǒng)是網(wǎng)絡攻擊的高價值目標，近年來，國內(nèi)外發(fā)生多起由網(wǎng)絡攻擊引起的大停電事件。例如，2015年，烏克蘭國家電網(wǎng)遭受網(wǎng)絡攻擊，導致約22.5萬人遭受停電數(shù)小時的困擾，該事件也被認為是第一起由網(wǎng)絡攻擊引起的大停電事件。2019年，委內(nèi)瑞拉古里水電站遭受網(wǎng)絡攻擊，包括首加拉加斯在內(nèi)的十八個州電力供應中斷，導致地鐵無法運行與大規(guī)模的交通擁堵，國民經(jīng)濟遭受巨大損失。

由此可知，一旦電力系統(tǒng)遭受惡意的網(wǎng)絡攻擊，會造成十分嚴重的后果。由于通信在電力系統(tǒng)發(fā)、輸、配、用電等方面均有應用，造成了網(wǎng)絡攻擊方式的多樣化，比較典型的攻擊方式有壞數(shù)據(jù)注入攻擊（False Data Injection Attack， FDIA）、拒絕服務（Denial -of-Service， DoS攻擊、中間人（Man-in-the-Middle， MITM）攻擊和重放攻擊等。因此，總結和分析電力系統(tǒng)網(wǎng)絡攻擊方法，了解不同類型的網(wǎng)絡攻擊，對于檢測識別信息攻擊和制定有效的防御措施具有重要意義。

基于此，本文對近年來CPPS的網(wǎng)絡攻擊方法的相關研究進行總結。首先給出網(wǎng)絡攻擊的定義和不同類型網(wǎng)絡攻擊的簡單介紹；然后，分析不同攻擊方法的適用場景；最后，總結了針對網(wǎng)絡攻擊的安全防御方法。

美國國家標準和技術研究院（NIST）在7628號報告中提出了網(wǎng)絡安全三要素，分別為保密性、完整性、可用性，簡稱CIA。網(wǎng)絡攻擊可以理解為任何破壞CIA安全目標的網(wǎng)絡行為。網(wǎng)絡攻擊在CPPS領域的定義：以破壞或降低CPPS功能為目的，在未經(jīng)許可情況下對通信系統(tǒng)和控制系統(tǒng)行為進行追蹤，利用電力信息通信網(wǎng)絡中存在的漏洞和安全缺陷，對系統(tǒng)本身或資源進行攻擊。

網(wǎng)絡攻擊的類型繁多，主要包括以下幾種常見的網(wǎng)絡攻擊方法。

（一）FDIA攻擊

FDIA是一種能干擾電力系統(tǒng)狀態(tài)估計過程的重要網(wǎng)絡攻擊。一次成功的FDIA可以導致狀態(tài)估計器向控制中心輸出錯誤的結果，從而對電力系統(tǒng)造成物理或經(jīng)濟上的影響。FDIA通過向傳感器的測量結果中注入錯誤向量來影響狀態(tài)估計的結果。

狀態(tài)估計可以根據(jù)傳感器的測量值估計電力系統(tǒng)的狀態(tài)。測量值包括母線電壓、母線的有功無功功率注入、支路的有功無功潮流等。正常的測量數(shù)據(jù)通常能得到接近實際值的狀態(tài)變量的估計，而錯誤的測量數(shù)據(jù)會使估計的結果偏離實際值。不良數(shù)據(jù)檢測旨在檢測、識別和消除整個系統(tǒng)中的測量誤差。通常使用測量殘差的二范數(shù)來檢測不良數(shù)據(jù)是否存在。FDIA通過狀態(tài)估計算法容忍的小測量誤差來避免不良數(shù)據(jù)的檢測。

（二）DoS攻擊

DoS攻擊廣義上指任何導致被攻擊的服務器不能正常提供服務的攻擊方式。具體而言，DoS攻擊是指攻擊網(wǎng)絡協(xié)議存在的缺陷或通過各種手段耗盡被攻擊對象的資源，以使得被攻擊的計算機或網(wǎng)絡無法提供正常的服務，直至系統(tǒng)停止響應或崩潰的攻擊方式。

要對服務器進行DoS攻擊，主要有以下兩種方法：迫使服務器的緩沖區(qū)滿，不接收新的請求；使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。

單一的DoS攻擊一般是采用一對一方式，當攻擊目標CPU運行速度、內(nèi)存或網(wǎng)絡帶寬等各個性能指標較低時，它的效果較明顯。但隨著計算機與網(wǎng)絡技術的發(fā)展，計算機處理能力迅速增強，內(nèi)存大大增加，使得DoS攻擊的難度增加，分布式拒絕服務（DDoS）攻擊應運而生。DDoS利用更多的“傀儡機”來進行攻擊，以更大的規(guī)模來攻擊受害者。

（三）MITM攻擊

MITM攻擊是一種間接的入侵攻擊，這種攻擊手段利用系統(tǒng)缺乏身份認證的缺點，通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，這臺計算機就被稱為“MITM”。攻擊者可以利用MITM冒充合法參與者，攔截和操縱兩臺通信計算機之間傳輸?shù)臄?shù)據(jù)包，并注入新的惡意數(shù)據(jù)包，而不被對方發(fā)現(xiàn)，從而達到數(shù)據(jù)篡改與竊取的目的。ARP欺騙與DNS欺騙是兩種常見的MITM攻擊手段。

（四）重放攻擊

重放攻擊是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進行。攻擊者利用網(wǎng)絡監(jiān)聽或者其他方式盜取認證憑據(jù)，之后再把它重新發(fā)給認證服務器。

重放攻擊的基本原理就是把以前竊聽到的數(shù)據(jù)原封不動地重新發(fā)送給接收方。當攻擊者知道這些數(shù)據(jù)的作用時，就可以在不知道數(shù)據(jù)內(nèi)容的情況下通過再次發(fā)送這些數(shù)據(jù)以達到誤導接收端的目的。比如，在CPPS環(huán)境下，電力系統(tǒng)發(fā)生故障時，攻擊者可以發(fā)送正常運行時的數(shù)據(jù)，使操作中心誤以為系統(tǒng)仍處于正常運行狀態(tài)，從而延誤了故障處理的時間，擴大故障影響。同理，電力系統(tǒng)在正常運行時，攻擊者可以發(fā)送故障運行時的數(shù)據(jù)，導致控制中心發(fā)出錯誤的控制命令。

重放攻擊與MITM攻擊原理類似，都是一種欺騙攻擊，不同的是，對于重放攻擊，攻擊者獲取發(fā)送端發(fā)給接收端的包后，不會做修改，而是在適當時機原封不動發(fā)給接收端。而對于MITM攻擊，攻擊者把自己當做發(fā)送端與接收端的中間人，發(fā)送端發(fā)送的信息會被攻擊者截取然后做一些操作再發(fā)給接收端。相對于發(fā)送端來說，攻擊者是接收端，而相對于接收端來說，攻擊者是發(fā)送端。

網(wǎng)絡攻擊削弱或破壞二次系統(tǒng)的正常功能來達到攻擊目的，若SCADA系統(tǒng)、WAMS、AMI等二次系統(tǒng)發(fā)生故障或遭受惡意攻擊，出現(xiàn)信息的中斷、延遲、篡改等，會導致控制中心下達錯誤指令，決策單元誤動或退出運行。下面列出一些典型的網(wǎng)絡攻擊場景。

（一）SCADA System

SCADA系統(tǒng)用于監(jiān)控國家關鍵基礎設施，如智能電網(wǎng)、石油和天然氣、發(fā)電和輸電、制造業(yè)等。在電力系統(tǒng)中，SCADA系統(tǒng)應用最為廣泛，作為能源管理系統(tǒng)（EMS）最主要的一個子系統(tǒng)，它可以對現(xiàn)場的運行設備進行監(jiān)視和控制，以實現(xiàn)數(shù)據(jù)采集、設備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報警等各項功能。

SCADA系統(tǒng)可能遭受的網(wǎng)絡攻擊主要有：

1.FDIA

針對SCADA系統(tǒng)狀態(tài)估計的FDIA較為常見。如第二節(jié)所述，狀態(tài)估計的基本原理是從配置各種儀表的電網(wǎng)的現(xiàn)有測量結果中推斷電力系統(tǒng)的運行狀態(tài)，攻擊者通過向多個傳感器注入錯誤向量達到攻擊目的。即使狀態(tài)估計有不良數(shù)據(jù)檢測機制，但是精心構建的FDIA可以輕易繞過這種檢測。即使攻擊者缺乏對電網(wǎng)的運行信息，同樣可以構建FDIA來進行攻擊。

2.DoS

SCADA系統(tǒng)的RTU可能遭受DoS攻擊。RTU將接收到的來自傳感器的模擬信號轉(zhuǎn)化成數(shù)字信號，并通過各種分布式網(wǎng)絡協(xié)議傳輸?shù)娇刂浦行摹TU通過多種通信基礎設施與主終端單元（MTU）相連。當RTU遭受DoS攻擊時，產(chǎn)生的影響是雙向的：一方面，MTU無法從RTU獲取數(shù)據(jù)；另一方面，從MTU發(fā)送的命令可能無法到達RTU。

3.錯誤順序邏輯攻擊

SCADA系統(tǒng)的控制過程可以看作是參數(shù)值、執(zhí)行時間和時序邏輯的結合，控制命令的執(zhí)行邏輯有可能遭受惡意攻擊，從而使破壞系統(tǒng)操作，影響物理過程。

4.重放攻擊

攻擊者首先記錄傳感器測量向量，再在適當時機向控制系統(tǒng)發(fā)送記錄的數(shù)據(jù)。在此情況下，控制器無法進行閉環(huán)控制，因此在重放攻擊下，無法保證系統(tǒng)的控制性能。

（二）WAMS

WAMS是基于同步相量測量技術和現(xiàn)代通信技術，對地域廣闊的電力系統(tǒng)運行狀態(tài)（如線路負載、電壓穩(wěn)定裕度和功率振蕩等）進行監(jiān)測分析，為電力系統(tǒng)實時運行和控制服務的系統(tǒng)。測量的廣域信息具備時間上同步、空間上廣域的優(yōu)點，同時可以根據(jù)GPS時標得到同步相量測量的結果，極大地改善了電力系統(tǒng)的可觀性。相比較于SCADA系統(tǒng)而言，WAMS具有更嚴格的延遲要求，能實現(xiàn)對全網(wǎng)同步相角以及電網(wǎng)主要數(shù)據(jù)的實時高速率采集。其中，PMU是WAMS應用的基礎，是WAMS的基本組成單元。

WAMS可能遭受的網(wǎng)絡攻擊：

1.GSA

PMU是WAMS中基本的測量裝置，利用GPS來為電壓和電流向量附加時間標記。然而，同步測量對GPS的依賴使得PMU容易受到GSA。如第二節(jié)對GSA的介紹所述，GSA提供給PMU虛假的時間標記，而錯誤的時間標記將對電力系統(tǒng)的輸電線路故障檢測、電壓穩(wěn)定性監(jiān)測和事件定位產(chǎn)生影響。

2.Delay Attack

WAMS具有嚴格的延遲要求，如端到端延遲以及不同PMU的測量值之間的延遲變化。在PMU將帶有時間標記的測量數(shù)據(jù)提供給向量數(shù)據(jù)集中器（PDC）時，會受到延遲攻擊。PDC是通信網(wǎng)絡中的節(jié)點，其中來自多個PMU或PDC的同步相量數(shù)據(jù)被處理，并作為單流被饋送到較高層PDC和/或應用。PDC將具有相同時間標記的不同PMU的測量值分組到時間標記的緩沖區(qū)中。每次PDC接收到帶有新時間標記的相量測量時，都會啟動新的時間戳緩沖區(qū)。當緩沖區(qū)滿時，PDC將該組測量轉(zhuǎn)發(fā)到其它PDC和/或同步相量應用。當數(shù)據(jù)傳輸過程中遭受延遲攻擊，那么這些數(shù)據(jù)可能在PDC中被丟棄，使PDC輸出的數(shù)據(jù)不完整。

3.DoS

WAMS同樣會遭受DoS攻擊。如之前所說的，端到端會有很小的延遲，而DoS可以使這種延遲急劇增大，并且部分數(shù)據(jù)包會丟失。DoS同樣會使PMU或PDC不可用，這在電力系統(tǒng)發(fā)生故障時，故障的清除會有很大延遲，甚至不作出任何反應，最后造成大范圍的停電等事故。

（三）AMI

高級量測體系（AMI）是一個用來測量、收集、儲存、分析和運用用戶用電信息的完整的網(wǎng)絡和系統(tǒng)。它不是一種單一的技術，而是為消費者和系統(tǒng)運營商提供智能連接的許多技術的集成。AMI的智能電表可以用來記錄用戶的用電信息，并通過通信網(wǎng)絡將這些信息傳送到數(shù)據(jù)中心進行處理和分析。數(shù)據(jù)中心也可向智能電表發(fā)送最新的價格信息、斷電警報，以及升級儀表固件等其他通信信息。

AMI可能遭受的攻擊：

1.多種攻擊協(xié)調(diào)

受利益驅(qū)使，消費者可能篡改智能電表中的消費數(shù)據(jù)，以降低電費或增加發(fā)電量。攻擊者可能同時使用多種攻擊手段。例如，他們可能首先通過淹沒智能儀表的網(wǎng)絡帶寬來斷開智能儀表的連接，從而使網(wǎng)絡連接不可用；然后，物理內(nèi)存中的消費數(shù)據(jù)會被篡改，甚至被物理攻擊或FDIA刪除。因此，當通信網(wǎng)絡再次可用時，篡改的數(shù)據(jù)甚至沒有數(shù)據(jù)通過網(wǎng)絡接口發(fā)送。

2.DoS

DoS攻擊是AMI通信網(wǎng)絡中潛在的網(wǎng)絡攻擊。在此攻擊中，攻擊者首先選擇一個或多個普通節(jié)點作為傀儡。然后攻擊者發(fā)送包含特定攻擊信息的數(shù)據(jù)包到這些傀儡節(jié)點。當傀儡節(jié)點接收這些攻擊包，它們產(chǎn)生大量的路由數(shù)據(jù)包。過多的路由數(shù)據(jù)包會消耗有效的通信帶寬，造成網(wǎng)絡阻塞，導致AMI的拒絕服務。

3.DDoS

AMI也有可能遭受危害更大的DDoS攻擊。攻擊者首先需要將易受攻擊的智能儀表識別為代理。由于AMI系統(tǒng)具有大量同構設備的網(wǎng)絡，因此在單個儀表中發(fā)現(xiàn)的安全漏洞很可能存在于許多其他設備中。然后，攻擊者需要與大量已被惡意代碼感染的基于IP的智能儀表通信，操縱這些智能儀表。當攻擊者啟動DDoS攻擊時，AMI服務的可用性被中斷，這可能導致公用事業(yè)公司遭受重大損失。

4.MITM

在AMI的通信網(wǎng)絡中，鄰域網(wǎng)（NAN）通常是固定的無線網(wǎng)絡，面臨許多安全挑戰(zhàn)。攻擊者可以對此發(fā)動MITM攻擊，攔截兩個合法主機之間的通信，這可以使攻擊者從智能電表和數(shù)據(jù)集中器接收數(shù)據(jù)包，并向接收器注入惡意代碼和數(shù)據(jù)。

（四）智能變電站

智能變電站是采用先進、可靠、集成、低碳、環(huán)保的智能設備，以全站信息數(shù)字化、通信平臺網(wǎng)絡化、信息共享標準化為基本要求，自動完成信息采集、測量、控制、保護、計量和監(jiān)測等基本功能，并可根據(jù)需要支持電網(wǎng)實時自動控制、智能調(diào)節(jié)、在線分析決策、協(xié)同互動等高級功能的變電站。

智能變電站可能遭受的攻擊：

1. FDIA

針對單個變電站的FDIA可以破壞能源管理系統(tǒng)（EMS）中的自動電壓控制（AVC）模塊。這種攻擊由惡意程序進行，惡意程序被插入到目標變電站的監(jiān)控系統(tǒng)中。然后，通過修改測量值來試圖誤導AVC，觸發(fā)本地或者系統(tǒng)級的中斷。

2.延遲攻擊

現(xiàn)代電力系統(tǒng)的各種應用都需要準確可靠的時間信號，測量和事件的時間需要對齊以便進行正確的決策與操作。精確時間協(xié)議（PTP）作為首選時間協(xié)議，能為系統(tǒng)中的傳感器、執(zhí)行器以及其他終端設備進行亞微秒級同步。變電站的PTP會受到延遲攻擊。攻擊者通過軟件或硬件將所需的延遲引入PTP信息交換路徑中，以此來操控所連接設備的時鐘。設備時間的不匹配會對電力系統(tǒng)的運行操作、電網(wǎng)調(diào)度、事故分析等產(chǎn)生不利影響。

3.DoS

面向通用對象的變電站事件（G O O S E）在IEC61850標準中用于在變電站網(wǎng)絡系統(tǒng)中分發(fā)事件數(shù)據(jù)，實現(xiàn)多智能電子設備（IED）之間的信息傳遞，包括傳輸跳合閘信號等。針對GOOSE的欺騙攻擊使得攻擊者可以發(fā)布發(fā)布虛假的數(shù)據(jù)包，接收方的設備錯誤地認為它們正在接收由受信任或安全實體發(fā)送的有效數(shù)據(jù)包，這可能導致斷路器誤動等后果。GOOSE也會受到DoS攻擊，這種攻擊會導致GOOSE的丟包和延遲，從而影響IED之間的信息交換。

網(wǎng)絡安全在CPPS中具有重要地位，已引起了政府和各學術界的廣泛關注。本文對CPPS的各種網(wǎng)絡攻擊方法進行了綜述。本文介紹了FDIA、DoS、MITM、重放攻擊這幾種典型的網(wǎng)絡攻擊的具體實現(xiàn)原理。介紹了SCADA、WAMS、AMI及智能變電站的基本組成，對這些系統(tǒng)可能遭受的網(wǎng)絡攻擊進行總結。

作者單位：唐云澤 陸軍參謀部機要密碼室

蘇曉茜 煙臺市光明電力服務有限責任公司