王 坤，蘇 盛，趙 奕，王冬青，曾祥君，曹一家

（1. 清潔能源與智能電網(wǎng)湖南省協(xié)同創(chuàng)新中心（長沙理工大學(xué)），湖南省長沙市410114；2. 許繼集團(tuán)有限公司，河南省許昌市461000；3. 北京科東電力控制系統(tǒng)有限責(zé)任公司，北京市100192）

0 引言

作為現(xiàn)代社會(huì)的關(guān)鍵性基礎(chǔ)設(shè)施，電力系統(tǒng)是網(wǎng)絡(luò)攻防對抗的重要目標(biāo)［1-2］。中國電力行業(yè)高度重視網(wǎng)絡(luò)安全防護(hù)，依托調(diào)度數(shù)據(jù)專網(wǎng)，構(gòu)筑了基于物理隔離的邊界安全縱深防衛(wèi)體系［3-5］。近年來，大面積建設(shè)了安全態(tài)勢感知系統(tǒng)［6-7］并開始在電力工控終端中應(yīng)用基于電力專用中央處理器（central processing unit，CPU）和實(shí)時(shí)操作系統(tǒng)的可信計(jì)算技術(shù)，可將電力系統(tǒng)安全防護(hù)推入主動(dòng)防護(hù)的新階段［8］。中國電力行業(yè)在技術(shù)上和管理上具備了有效防范一般性安全威脅和具有有限資源的有組織攻擊的能力。大國博弈時(shí)代背景下，網(wǎng)絡(luò)空間戰(zhàn)略地位快速上升，國家支持的、面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)空間競爭已發(fā)展為現(xiàn)實(shí)的威脅［9-10］。如何應(yīng)對國家支持型攻擊是必須直面的挑戰(zhàn)。

國家支持型攻擊掌握豐富資源，可不計(jì)成本地針對特定對象跨領(lǐng)域組織專家量身定制惡意軟件，以達(dá)成預(yù)定的攻擊破壞任務(wù)。首開攻擊物理隔離工業(yè)控制系統(tǒng)先河的Stuxnet 就是典型的國家支持型攻擊。它利用零日漏洞并借助優(yōu)盤擺渡入侵物理隔離的工業(yè)控制系統(tǒng)，基于對目標(biāo)對象的先驗(yàn)知識，精準(zhǔn)破壞大批鈾離心機(jī)，最終導(dǎo)致伊朗核計(jì)劃流產(chǎn)［11-13］。除具有基于先驗(yàn)知識的高度定制化特征外，國家支持型攻擊往往還會(huì)通過多技術(shù)手段［14］或多站點(diǎn)的協(xié)同來最大化攻擊后果，如Stuxnet 是前者的代表［15-16］，而BlackEnergy 則混合使用2 種形式的協(xié)同［17］。

電力安防領(lǐng)域圍繞協(xié)同攻擊的建模和檢測開展了大量研究。

1）錯(cuò)誤數(shù)據(jù)可能誘發(fā)錯(cuò)誤的控制決策，是潛在的協(xié)同攻擊途徑。在掌握電網(wǎng)知識的條件下，可以選擇虛假數(shù)據(jù)攻擊向量，攻擊破壞系統(tǒng)的監(jiān)控功能［18-19］?；跉埐顧z測和突變量檢測等方法，可檢測虛假數(shù)據(jù)注入攻擊［20］。

2）攻擊烏克蘭電網(wǎng)的BlackEnergy 和Industroyer 都伴隨有明顯的通信異常［21-22］，可根據(jù)流量異常進(jìn)行檢測識別。利用變電站通信流量在時(shí)域上和時(shí)頻域上的對應(yīng)特性，可建立流量模型，檢測異常［23-24］。

3）安全態(tài)勢感知可融合多源信息，更準(zhǔn)確地檢測安全威脅［25］。利用多個(gè)變電站入侵檢測日志之間的關(guān)聯(lián)性［26］以及單個(gè)變電站中一、二次系統(tǒng)間運(yùn)行狀態(tài)的關(guān)聯(lián)性［27］進(jìn)行安全態(tài)勢感知，也可以挖掘高隱蔽性的異常，提高異常檢測的準(zhǔn)確率。

需要指出的是，前述虛假數(shù)據(jù)注入攻擊檢測方法不能識別基于旁路控制的斷路器跳閘攻擊?；诹髁慨惓５娜肭謾z測和融合多源信息的態(tài)勢感知均要求入侵攻擊有較明顯異常，難以識別檢測經(jīng)供應(yīng)鏈渠道侵入且不表現(xiàn)出明顯異常的入侵攻擊。中國變電站自動(dòng)化系統(tǒng)由單向網(wǎng)閘隔離保護(hù)，并配置有訪問控制等安防系統(tǒng)，侵入廠站生產(chǎn)控制區(qū)的惡意軟件相互通信容易提前暴露，難以通過攻擊協(xié)同實(shí)現(xiàn)最大化后果的目的。采用無通信的方式從多個(gè)變電站發(fā)起協(xié)同跳閘攻擊和觸發(fā)大停電，是國家支持型攻擊達(dá)成目標(biāo)的合理選擇。

針對變電站遭斷路器協(xié)同跳閘攻擊導(dǎo)致多個(gè)變電站全停事故的問題，文獻(xiàn)［28］分析了不同攻擊組合下的母線停運(yùn)損失，因其未考慮攻擊協(xié)同機(jī)制，難以為設(shè)計(jì)針對性的防護(hù)措施提供參考。

1 變電站自動(dòng)化系統(tǒng)時(shí)間同步協(xié)同攻擊

1.1 變電站跳閘攻擊

變電站自動(dòng)化系統(tǒng)直接控制電網(wǎng)運(yùn)行，是電力系統(tǒng)網(wǎng)絡(luò)攻防對抗的重要場所。由于中國電力系統(tǒng)已構(gòu)建較完備的防護(hù)體系，加強(qiáng)變電站安防需著重考慮應(yīng)對國家支持型攻擊。

針對變電站的惡意軟件滲透入侵后可能有多種攻擊破壞模式。在不具有相關(guān)專業(yè)知識的條件下，常用攻擊的模式是拒絕服務(wù)攻擊、格式化和鎖定系統(tǒng)［29］，但此類攻擊只會(huì)使得系統(tǒng)失去保護(hù)，并不直接觸發(fā)電網(wǎng)安全事故。另一種模式是向調(diào)度系統(tǒng)注入虛假量測數(shù)據(jù)，誘導(dǎo)廣域保護(hù)誤動(dòng)［30-31］。盡管美國曾經(jīng)因?yàn)殄e(cuò)誤數(shù)據(jù)發(fā)生過停電事故，但可能受到錯(cuò)誤數(shù)據(jù)識別機(jī)制和廣域保護(hù)業(yè)務(wù)邏輯中防誤設(shè)計(jì)的 影 響，造 成 的 損 失 相 對 有 限［32］。從Stuxnet、BlackEnergy 和Industroyer 的攻擊模式來看，國家支持型攻擊更多的是在獲取控制權(quán)限后，根據(jù)先驗(yàn)知識直接進(jìn)行旁路控制。

變電站自動(dòng)化系統(tǒng)基于可擴(kuò)展標(biāo)記語言（extensible markup language，XML）生成，包含變電站電壓等級和網(wǎng)絡(luò)通信拓?fù)浣Y(jié)構(gòu)等參數(shù)的變電站配置文件［33］，具體如附錄A 圖A1 所示。攻擊方可借助反向工程獲得目標(biāo)系統(tǒng)的先驗(yàn)知識。在此基礎(chǔ)上，研制的惡意軟件經(jīng)供應(yīng)鏈渠道等方式繞過物理隔離和安全屏障滲透進(jìn)入變電站生產(chǎn)控制區(qū)。獲得控制權(quán)限后，按規(guī)則解析變電站配置文件，獲取站內(nèi)斷路器控制信息。然后，檢測目標(biāo)系統(tǒng)是否滿足預(yù)設(shè)邏輯條件。在不滿足預(yù)設(shè)邏輯條件時(shí)，不會(huì)主動(dòng)發(fā)起攻擊，一旦滿足預(yù)設(shè)邏輯即跳開站內(nèi)全部斷路器，造成全停事故。2016 年底，具有國家支持背景的Industroyer 滲透侵入烏克蘭一座220 kV 變電站后，即根據(jù)變電站描述文件獲得站內(nèi)各斷路器控制信息［34］。在檢測到系統(tǒng)時(shí)間達(dá)到預(yù)設(shè)時(shí)間后，自動(dòng)匹配變電站通信協(xié)議，發(fā)起跳開全部斷路器的跳閘攻擊，造成全停事故［35］。

實(shí)際系統(tǒng)中，基于邏輯條件啟動(dòng)的惡意代碼曾多次出現(xiàn)，比較常見的邏輯條件是時(shí)間邏輯。2013 年，木馬軟件潛入韓國主要銀行和電視臺后，按預(yù)設(shè)邏輯于3 月22 日14:00 破壞硬盤數(shù)據(jù)文件和啟動(dòng)引導(dǎo)區(qū)后重啟系統(tǒng)，造成3 家電視臺和2 家銀行計(jì)算機(jī)系統(tǒng)癱瘓，無法提供服務(wù)［36］。近年來，隨著電力系統(tǒng)網(wǎng)絡(luò)攻防研究的深入，也出現(xiàn)了在電網(wǎng)頻率控制中利用邏輯炸彈進(jìn)行攻擊破壞的研究［37-39］。

1.2 變電站自動(dòng)化系統(tǒng)無通信時(shí)間同步協(xié)同攻擊

現(xiàn)代互聯(lián)電網(wǎng)中，盡管單個(gè)變電站遭入侵攻擊而失壓全停會(huì)造成重大損失，但并不足以危及整個(gè)電網(wǎng)。對于國家支持型攻擊而言，侵入變電站發(fā)起跳閘攻擊只是達(dá)成目標(biāo)的技術(shù)手段，最大化攻擊后果、造成大停電才是最終目標(biāo)。從攻擊方視角來看，侵入多個(gè)變電站后同步發(fā)起協(xié)同攻擊，導(dǎo)致大量變電站全停，是觸發(fā)大停電事故的有效手段［40］。

2015 年，具有國家背景的有組織攻擊方在烏克蘭電網(wǎng)多座變電站中植入BlackEnergy 后，遠(yuǎn)程遙控?cái)嗦菲靼l(fā)起跳閘攻擊，造成7 座110 kV 和23 座35 kV 變電站全停的大停電［41-43］。盡管BlackEnergy的技術(shù)水平低于Industroyer，但它采用了多站點(diǎn)協(xié)同攻擊，造成的破壞后果明顯大于后者。中國電力系統(tǒng)采用專網(wǎng)通信，類似BlackEnergy 遠(yuǎn)程遙控跳閘的攻擊模式難以奏效。由于變電站中有地址和端口屏蔽等入侵檢測機(jī)制，不同變電站間惡意軟件經(jīng)通信實(shí)現(xiàn)攻擊協(xié)同容易被檢測暴露。國家支持型攻擊會(huì)探明目標(biāo)系統(tǒng)的防護(hù)機(jī)制，為繞過上述安全防護(hù)手段，有可能采用無通信的隱蔽方式進(jìn)行攻擊協(xié)同。

現(xiàn)代電力系統(tǒng)中，為搞清電網(wǎng)故障時(shí)繼電保護(hù)動(dòng)作時(shí)序，要求基于準(zhǔn)確對時(shí)的統(tǒng)一時(shí)鐘記錄動(dòng)作時(shí)間。早期的調(diào)度中心和變電站間由調(diào)度主機(jī)服務(wù)器經(jīng)遠(yuǎn)動(dòng)通道與各廠站進(jìn)行廣播對時(shí)。隨著北斗和全球定位系統(tǒng)（global positioning system，GPS）的普及應(yīng)用，調(diào)度與變電站中已普遍配置基于全球同步時(shí)鐘的電力系統(tǒng)時(shí)間同步裝置，并在廠站內(nèi)部采用IEEE 1588 協(xié)議授時(shí)，可對站內(nèi)事件序列打印全球同步時(shí)間標(biāo)簽［44-45］。攻擊方研制的惡意軟件可將各變電站的同步時(shí)鐘用作無通信的協(xié)同機(jī)制，侵入變電站后等待系統(tǒng)時(shí)鐘達(dá)到預(yù)設(shè)時(shí)間再對站內(nèi)全部斷路器發(fā)起跳閘攻擊，造成變電站全停。攻擊流程如圖1 所示。當(dāng)侵入多個(gè)變電站的惡意軟件在同一時(shí)間發(fā)起攻擊時(shí)，將造成多個(gè)變電站全停，極易觸發(fā)大停電。

圖1 無通信同步的時(shí)間同步協(xié)同攻擊流程圖Fig.1 Flow chart of time-synchronized coordinated cyber-attack without communication synchronization

2 時(shí)間同步協(xié)同攻擊防護(hù)思路分析

具有背景知識的有組織攻擊方，可以根據(jù)電力監(jiān)控系統(tǒng)的工作機(jī)制和網(wǎng)絡(luò)安全防護(hù)措施，針對性地研制定向攻擊惡意軟件。因?yàn)榭捎玫臐B透入侵手段繁雜，定向攻擊又具有高隱蔽性的特點(diǎn)。現(xiàn)有的安全威脅檢測和入侵檢測技術(shù)難以完全對其進(jìn)行檢測封堵。

針對變電站的國家支持型攻擊會(huì)在最大化攻擊后果的目標(biāo)驅(qū)動(dòng)下，在同一時(shí)間從多個(gè)變電站同步發(fā)起無通信協(xié)同攻擊，造成多個(gè)變電站全停以觸發(fā)大停電。利用這一行為模式上的特點(diǎn)，可以從含時(shí)間邏輯惡意軟件的檢測和破壞時(shí)間同步邏輯、降低協(xié)同攻擊破壞后果等方面展開研究。

2.1 基于時(shí)間邏輯觸發(fā)的時(shí)間同步攻擊檢測

高隱蔽性定向攻擊檢測困難的原因是難以預(yù)判惡意軟件的入侵和攻擊方式，利用侵入變電站的時(shí)間同步協(xié)同攻擊惡意軟件會(huì)在系統(tǒng)到達(dá)預(yù)設(shè)時(shí)間發(fā)起攻擊的特點(diǎn)，可提出基于時(shí)間邏輯觸發(fā)的攻擊檢測方法［46］。通過持續(xù)加速調(diào)整被檢測電力監(jiān)控設(shè)備的系統(tǒng)時(shí)鐘，使其每隔一定的時(shí)間間隔加速相同時(shí)段，人為制造時(shí)間邏輯的觸發(fā)環(huán)境，以檢測電力監(jiān)控設(shè)備中潛伏的惡意軟件。從機(jī)理上看，當(dāng)攻擊方采用時(shí)間邏輯進(jìn)行無通信同步時(shí)，借助時(shí)間邏輯觸發(fā)來檢測是能保證有效性的，但所能達(dá)到的檢測成功率取決于攻擊方的時(shí)間邏輯設(shè)置和邏輯觸發(fā)的檢測方式。

對攻擊方而言，有2 種模式判斷是否滿足邏輯條件。一種模式是判斷是否大于特定時(shí)間，此時(shí)，只要超過預(yù)設(shè)時(shí)間點(diǎn)即可觸發(fā)，對時(shí)間檢測的間隔沒有要求，通過時(shí)間加速總能觸發(fā)時(shí)間邏輯。另一種模式是判斷當(dāng)前時(shí)間是否等于特定時(shí)間。從Industroyer 的攻擊分析來看，它設(shè)置的判斷時(shí)間是整天（2016 年12 月17 日或20 日）。實(shí)際上，也可將觸發(fā)時(shí)間點(diǎn)設(shè)置為小時(shí)或分鐘（例如12 月17 日00:00）。但設(shè)置的時(shí)間越短，越需要頻繁檢測是否滿足邏輯，將會(huì)造成系統(tǒng)運(yùn)行明顯異常，容易暴露。但拉開2 次檢測的間隔時(shí)間，又可能錯(cuò)過比對判斷的時(shí)間點(diǎn)。攻擊方為保證在預(yù)定時(shí)間點(diǎn)可靠發(fā)起攻擊，將當(dāng)前時(shí)間作為滿足邏輯是比較合理的方式。

實(shí)際系統(tǒng)中，可在變電站年度檢修時(shí)檢測可能潛藏的時(shí)間邏輯炸彈。其基本思路是讓設(shè)備處于電網(wǎng)正常運(yùn)行的無擾動(dòng)狀態(tài)時(shí)，檢測僅在系統(tǒng)時(shí)間發(fā)生改變的條件下是否發(fā)出非預(yù)期的控制命令。具體檢測流程如圖2 所示。

進(jìn)行檢測時(shí)，啟動(dòng)待檢測電力監(jiān)控設(shè)備，向被測設(shè)備輸入電網(wǎng)正常運(yùn)行時(shí)的二次電壓和電流信號，并持續(xù)調(diào)整被檢測設(shè)備的系統(tǒng)時(shí)鐘，使其每隔一定的時(shí)間間隔調(diào)快相同時(shí)段，從而快速遍歷到未來特定時(shí)間點(diǎn)以前的每一時(shí)間段，滿足預(yù)設(shè)攻擊時(shí)間在該時(shí)間段的時(shí)間邏輯，以觸發(fā)其中可能潛藏的邏輯炸彈。同時(shí)，還同步檢測被測系統(tǒng)是否輸出非預(yù)期的控制指令（例如跳開斷路器或保護(hù)整定值修改指令等），若檢測到非預(yù)期控制指令，則可判斷被檢測設(shè)備中存在時(shí)間邏輯炸彈。

需要指出的是，實(shí)際上并不能排除攻擊方采用分鐘等更短時(shí)間判斷是否滿足時(shí)間邏輯的可能，此時(shí)采用“每1 s 加速系統(tǒng)時(shí)間1 h”的方式將難以有效檢測。可以在電力監(jiān)控設(shè)備軟、硬件系統(tǒng)入網(wǎng)測試時(shí)，按照“每1 s 加速系統(tǒng)時(shí)間1 min”等更細(xì)時(shí)間粒度的方式進(jìn)行時(shí)間加速測試，以提高時(shí)間邏輯炸彈的檢出成功率。

2.2 同步時(shí)鐘的差異化管理

前述方法可在特定時(shí)間節(jié)點(diǎn)檢測電力監(jiān)控設(shè)備中的時(shí)間同步攻擊惡意軟件，但在2 次檢測間隔中潛入的時(shí)間同步攻擊惡意軟件仍可能造成危害。采用變電站時(shí)鐘差異化管理，則可釜底抽薪地破壞時(shí)間同步攻擊的協(xié)同機(jī)制，限制攻擊破壞后果［47］。

圖2 面向時(shí)間同步協(xié)同攻擊的時(shí)間邏輯觸發(fā)檢測方法流程圖Fig.2 Flow chart of time logic triggering detection method for time-synchronized coordinated cyber-attack

變電站自動(dòng)化系統(tǒng)一般配置有2 套全球同步的主時(shí)鐘和1 個(gè)本地主控時(shí)鐘，整體結(jié)構(gòu)如圖3 所示［48］。各保護(hù)小室通過光纖接收2 套衛(wèi)星時(shí)鐘的時(shí)間信號，其中一個(gè)作為主時(shí)鐘，另一個(gè)作為備用標(biāo)準(zhǔn)時(shí)間源。主衛(wèi)星時(shí)間信號接收單元因跟蹤不到衛(wèi)星等原因異常時(shí)，自動(dòng)切換到另一衛(wèi)星時(shí)鐘單元上獲取標(biāo)準(zhǔn)時(shí)間信號，保證本小室對時(shí)信號正常輸出。在主控室設(shè)一套擴(kuò)展時(shí)鐘，主時(shí)鐘和時(shí)間擴(kuò)展裝置間通過光纖連接，時(shí)間信號接收單元分別從2 臺主時(shí)鐘獲取時(shí)間信號，互為備用且自動(dòng)切換，完成對本室設(shè)備的對時(shí)；擴(kuò)展裝置接受主時(shí)鐘的時(shí)間信號，經(jīng)過擴(kuò)展向其他裝置提供多路輸出接口。

圖3 變電站時(shí)間同步系統(tǒng)結(jié)構(gòu)Fig.3 Structure of time synchronization system of substation

利用時(shí)間同步協(xié)同攻擊基于時(shí)間取得同步的特點(diǎn)，破除變電站同步時(shí)鐘的同步性，可化解多點(diǎn)協(xié)同攻擊的隱患，將對多個(gè)變電站的攻擊轉(zhuǎn)化為對單個(gè)變電站的攻擊，顯著降低攻擊后果，提高系統(tǒng)韌性。為實(shí)現(xiàn)此目的，可在電力時(shí)間同步裝置中增加時(shí)間調(diào)整模塊，在輸出時(shí)間上增加設(shè)定的偏差，使得該站監(jiān)控系統(tǒng)處于不同的時(shí)間基準(zhǔn)下。

在實(shí)際工程中，變電站自動(dòng)化系統(tǒng)利用電力時(shí)間同步裝置取得時(shí)鐘源，可在時(shí)間同步裝置中增設(shè)如圖3 所示黃色標(biāo)識的時(shí)間調(diào)整模塊。該模塊將衛(wèi)星時(shí)鐘信號按預(yù)設(shè)偏移量調(diào)整本地時(shí)鐘和接收的天基時(shí)鐘，然后向站內(nèi)設(shè)備發(fā)送經(jīng)過調(diào)整的時(shí)間信號。該時(shí)間調(diào)整模塊可用硬件實(shí)現(xiàn)，站內(nèi)不留存調(diào)整時(shí)間標(biāo)記，潛入變電站的惡意軟件無法判斷準(zhǔn)確時(shí)間。按站內(nèi)時(shí)間在約定時(shí)間進(jìn)行跳閘攻擊，只會(huì)造成單個(gè)變電站全停，損失范圍可控。

根據(jù)攻擊烏克蘭電網(wǎng)的實(shí)際案例，從網(wǎng)絡(luò)攻擊造成的大停電中恢復(fù)正常需要較長時(shí)間。進(jìn)行差異化管理變電站的時(shí)間偏移設(shè)置時(shí)，為避免攻擊破壞后果重疊，也為了方便管理，可將選出進(jìn)行差異化管理變電站的時(shí)間滯后天數(shù)。

2.3 時(shí)鐘差異化對業(yè)務(wù)系統(tǒng)影響分析與化解

繼電保護(hù)、安全穩(wěn)定控制系統(tǒng)、能量管理系統(tǒng)和生產(chǎn)信息管理等電力監(jiān)控系統(tǒng)要求基于統(tǒng)一的時(shí)間基準(zhǔn)運(yùn)行，以滿足事件順序記錄（sequence of event，SOE）、故障錄波和實(shí)時(shí)數(shù)據(jù)采集時(shí)間一致性要求［49-50］。對變電站同步時(shí)鐘進(jìn)行差異化調(diào)整，必須考慮對其他業(yè)務(wù)系統(tǒng)的影響。

1）繼電保護(hù)對可靠性要求高，為避免時(shí)鐘同步系統(tǒng)異常影響保護(hù)裝置正常工作，要求繼電保護(hù)采用獨(dú)立于全球同步時(shí)鐘的對時(shí)方式，修改站內(nèi)全球同步時(shí)鐘的同步時(shí)間不影響繼電保護(hù)系統(tǒng)正常工作。

2）電力監(jiān)控業(yè)務(wù)系統(tǒng)根據(jù)上報(bào)數(shù)據(jù)時(shí)標(biāo)進(jìn)行數(shù)據(jù)處理，時(shí)鐘錯(cuò)誤將造成業(yè)務(wù)系統(tǒng)紊亂。因該類應(yīng)用多集中在調(diào)度端，可在調(diào)度端記錄經(jīng)過調(diào)整的變電站時(shí)間偏移量，在上報(bào)數(shù)據(jù)的入庫流程中增設(shè)時(shí)間反校環(huán)節(jié)。接收到廠站上報(bào)數(shù)據(jù)時(shí)，根據(jù)廠站名稱及編號查表確認(rèn)對應(yīng)的時(shí)間偏移，進(jìn)而將數(shù)據(jù)反?；卣_的時(shí)間，后續(xù)業(yè)務(wù)仍可按正常業(yè)務(wù)流程執(zhí)行，不受影響。

3）變電站數(shù)量龐大，大面積調(diào)整變電站同步時(shí)間會(huì)顯著增加檢修和維護(hù)復(fù)雜程度，帶來難以預(yù)料的后果。有必要結(jié)合脆弱性分析，選擇部分關(guān)鍵變電站進(jìn)行時(shí)間差異化管理，以有限代價(jià)顯著提高在時(shí)間同步攻擊下的韌性。

3 協(xié)同攻擊仿真分析

3.1 變電站組合攻擊仿真分析

結(jié)合如附錄A 圖A2 所示的IEEE 39 節(jié)點(diǎn)系統(tǒng)進(jìn)行多變電站協(xié)同攻擊的仿真分析。與復(fù)雜網(wǎng)絡(luò)研究中一般以母線為節(jié)點(diǎn)不同，在網(wǎng)絡(luò)攻擊中，攻擊方為擴(kuò)大破壞后果，會(huì)選擇跳開站內(nèi)所有斷路器。因此，需要按變電站進(jìn)行攻擊分析。IEEE 39 節(jié)點(diǎn)系統(tǒng)共有27 座變電站，總發(fā)電有功功率為6 192.54 MW，總負(fù)荷為6 149.1 MW，系統(tǒng)具體參數(shù)設(shè)置參見文獻(xiàn)［50］。

為簡化分析，在此不考慮變電站遭攻擊全停后負(fù)荷轉(zhuǎn)移造成連鎖過負(fù)荷、保護(hù)誤動(dòng)和拒動(dòng)造成的連鎖故障。對指定的攻擊場景，移除給定變電站后，潮流計(jì)算判斷電網(wǎng)保有的負(fù)荷，進(jìn)而計(jì)算攻擊造成的負(fù)荷損失。詳細(xì)過程描述為:IEEE 39 節(jié)點(diǎn)系統(tǒng)可用節(jié)點(diǎn)和邊連接而成的圖G(V，E)標(biāo)識，其中，V為節(jié)點(diǎn)集，E 為邊集。移除被攻擊變電站后，系統(tǒng)可能解列為多個(gè)子圖，記第i 個(gè)聯(lián)通子圖為Gi(Vi，Ei)，其中，Vi和Ei分別為第i 個(gè)聯(lián)通子圖的節(jié)點(diǎn)集和邊集。攻擊后取最大聯(lián)通子圖，記最大子圖為Gmax(Vmax，Emax)，其 中，Vmax和Emax分 別 為 最 大 聯(lián) 通子圖的節(jié)點(diǎn)集和邊集。負(fù)荷損失的計(jì)算公式為:

ΔPload=Pload，0-Pload，i

式中:ΔPload為攻擊損失負(fù)荷；Pload，0為系統(tǒng)正常時(shí)的總負(fù)荷；Pload，i為攻擊后第i 個(gè)聯(lián)通子圖中的變電站負(fù)荷，即攻擊后保留下來的負(fù)荷。

協(xié)同攻擊中，攻擊變電站的數(shù)量決定了可能的攻擊組合數(shù)。攻擊1 座變電站時(shí)，IEEE 39 節(jié)點(diǎn)系統(tǒng)中可能的攻擊組合為27 種。由于電網(wǎng)在建設(shè)規(guī)劃和投入運(yùn)行時(shí)按N -1 原則進(jìn)行安全校核，單個(gè)變電站失壓一般不會(huì)造成電網(wǎng)解列；攻擊2 座變電站時(shí)，攻擊組合有702 種；攻擊3 座變電站時(shí)，攻擊組合有8 755 種；協(xié)同攻擊4 座及以上的變電站時(shí)，組合情況會(huì)變得非常復(fù)雜。本文考慮協(xié)同攻擊最多3 個(gè)變電站的情況，已可有效反映對多點(diǎn)協(xié)同攻擊的防護(hù)效果。

仿真過程中，首先，枚舉各變電站全停組合；然后，判斷每一組合下電網(wǎng)是否解列，并計(jì)算解列后各子網(wǎng)潮流；最后，選擇最大子網(wǎng)負(fù)荷作為未受攻擊影響負(fù)荷，正常負(fù)荷與最大子網(wǎng)負(fù)荷的差值為損失負(fù)荷。計(jì)算得到各攻擊組合的負(fù)荷損失后，記錄損失負(fù)荷如附錄A 圖A3 所示，其中，縱軸為損失負(fù)荷，橫軸為組合序號。為方便對比，將單個(gè)變電站全停損失以紅色粗線標(biāo)識，紅色線段上標(biāo)識的編號為單個(gè)全停變電站編號，以藍(lán)色柱體標(biāo)識該變電站對應(yīng)攻擊組合下的負(fù)荷損失。

1）隨機(jī)切除2 座變電站時(shí)，平均損失負(fù)荷為645.5 MW，損失負(fù)荷標(biāo)準(zhǔn)差為558.243 MW。切除1 號和24 號變電站時(shí)損失負(fù)荷達(dá)到最大，為2 943.1 MW。1 號和24 號變電站全停時(shí)電網(wǎng)結(jié)構(gòu)遭到破壞，解列成3 個(gè)子網(wǎng)，負(fù)荷損失最大。

2）隨機(jī)切除3 座變電站時(shí)，平均損失負(fù)荷為1 058.59 MW，標(biāo)準(zhǔn)差為734.43 MW。切除1 號、16 號和24 號變電站時(shí)損失負(fù)荷最大，為4 654.2 MW。此時(shí)，電網(wǎng)解列成4 個(gè)獨(dú)立子網(wǎng)，系統(tǒng)損失負(fù)荷較1 號和24 號變電站攻擊全停時(shí)進(jìn)一步惡化。

3）協(xié)同攻擊變電站的數(shù)量在很大程度上決定了攻擊破壞后果。遭受攻擊的變電站數(shù)量增加時(shí)更容易破壞電網(wǎng)結(jié)構(gòu)造成解列，擴(kuò)大攻擊的破壞后果。

4）若將所有變電站同步時(shí)間都進(jìn)行差異化設(shè)置，每次攻擊只會(huì)造成單個(gè)變電站全停，負(fù)荷損失為圖中所示紅線，最大損失負(fù)荷為2 306 MW，平均損失負(fù)荷為677.76 MW，明顯低于多站組合損失，能有效降低協(xié)同攻擊的安全風(fēng)險(xiǎn)。

3.2 選擇性多變電站組合攻擊仿真分析

調(diào)整變電站同步時(shí)鐘將增加系統(tǒng)復(fù)雜度和維護(hù)工作量，可選擇部分關(guān)鍵變電站進(jìn)行同步時(shí)鐘的差異化調(diào)整，降低維護(hù)工作量，提高所提方法在工程應(yīng)用上的實(shí)用性。復(fù)雜系統(tǒng)領(lǐng)域一般采用結(jié)構(gòu)脆弱性指標(biāo)評價(jià)節(jié)點(diǎn)重要度。為分析選擇高重要度變電站進(jìn)行防護(hù)的效果，根據(jù)文獻(xiàn)［51-52］描述的節(jié)點(diǎn)介數(shù)、節(jié)點(diǎn)度數(shù)、潮流介數(shù)和承載負(fù)荷等脆弱性指標(biāo)，評價(jià)各變電站在電網(wǎng)中的重要性水平。計(jì)算各變電站脆弱性指標(biāo)后，每種指標(biāo)下排名前10 位的變電站如表1 所示。

表1 不同指標(biāo)節(jié)點(diǎn)重要度排序表Table 1 Importance ranking of nodes with various indices

對比附錄A 圖A2 和表1 可知，5 號、6 號、21 號、25 號和26 號變電站均通過24 號變電站接入電網(wǎng)，24 號變電站遭攻擊全停時(shí)，將直接造成電網(wǎng)解列；而失去解列子網(wǎng)中的5 號至8 號的4 臺發(fā)電機(jī)，也將進(jìn)一步放大攻擊的破壞后果。因此，24 號變電站的重要度在除承載負(fù)荷以外的所有其他指標(biāo)中均排名第一，在整個(gè)系統(tǒng)中作用最為突出。此外，1 號變電站盡管在絕大多數(shù)指標(biāo)中都排名靠后，但該站內(nèi)承載負(fù)荷高達(dá)1 104 MW，遭攻擊時(shí)將損失站內(nèi)全部負(fù)荷。因此，本文選擇關(guān)鍵節(jié)點(diǎn)24 號站點(diǎn)和負(fù)荷最重節(jié)點(diǎn)1 號站點(diǎn)進(jìn)行時(shí)間差異化管理，使得這2 個(gè)變電站不與其他站點(diǎn)形成攻擊組合。此時(shí)變電站的攻擊組合數(shù)為7 502 種，按前述方法進(jìn)行仿真計(jì)算，記錄相應(yīng)的損失負(fù)荷如附錄A 圖A4 所示，不同防護(hù)策略下?lián)p失的負(fù)荷如表2 所示。

表2 不同防護(hù)策略下變電站全停損失負(fù)荷對比Table2 Comparison of load loss in substation under different protection strategies

從表2 和附錄A 圖A4 可以得到如下結(jié)論。

1）1 號和24 號變電站不與其他站點(diǎn)形成攻擊組合，攻擊1 號和24 號變電站的負(fù)荷損失分別為1 104 MW 和329 MW。

2）1 號變電站接入負(fù)荷最大，而24 號變電站在維持電網(wǎng)整體結(jié)構(gòu)完整性上具有重要作用。將1 號和24 號變電站進(jìn)行時(shí)間差異化管理，可以防止與其他站點(diǎn)同時(shí)全停，從而顯著降低攻擊組合下的負(fù)荷損失。剔除這2 個(gè)變電站后，組合攻擊的最大負(fù)荷損失為3 843.6 MW，平均負(fù)荷損失為781.53 MW，負(fù)荷損失標(biāo)準(zhǔn)差為548.85 MW。

3）選 擇 性 差 異 化 防 護(hù) 在11 號、15 號 和23 號 變電站遭協(xié)同攻擊時(shí)，負(fù)荷損失最大。與未進(jìn)行防護(hù)時(shí)相比，最大負(fù)荷損失從4 654.2 MW 下降至3 843.6 MW。

4）選擇性防護(hù)關(guān)鍵變電站時(shí)，平均負(fù)荷損失從無防護(hù)的1 027.99 MW 下降至781.53 MW，減少了246.46 MW，與全部防護(hù)時(shí)平均損失負(fù)荷下降至677.76 MW 相比，在防止負(fù)荷損失上的效果達(dá)到了后者的70%。

4 結(jié)語

針對高隱蔽性的國家支持型攻擊可借助供應(yīng)鏈等渠道滲透侵入變電站進(jìn)行網(wǎng)絡(luò)攻擊的防護(hù)難題，開展了變電站時(shí)間同步協(xié)同攻擊的檢測與防護(hù)方法研究，主要貢獻(xiàn)和結(jié)論如下。

1）分析指出國家支持型網(wǎng)絡(luò)攻擊可采用無通信時(shí)間同步的方式從多個(gè)變電站發(fā)起協(xié)同跳閘攻擊，以達(dá)成觸發(fā)大停電的目標(biāo)。

2）利用時(shí)間同步攻擊需根據(jù)時(shí)間邏輯取得協(xié)同的特點(diǎn)，提出了基于系統(tǒng)時(shí)間加速觸發(fā)的時(shí)間同步協(xié)同攻擊檢測方法。該方法以加速系統(tǒng)時(shí)間、快速遍歷未來時(shí)間的方式觸發(fā)潛藏惡意軟件的時(shí)間邏輯。根據(jù)電力監(jiān)控設(shè)備是否僅在系統(tǒng)時(shí)間變化條件下發(fā)出非預(yù)期控制指令，檢測電力監(jiān)控設(shè)備中含時(shí)間邏輯的協(xié)同攻擊惡意軟件。

3）利用時(shí)間同步攻擊需根據(jù)時(shí)間邏輯取得協(xié)同的特點(diǎn)，提出了基于關(guān)鍵變電站時(shí)鐘差異化管理的防護(hù)方法。根據(jù)結(jié)構(gòu)脆弱性指標(biāo)選擇關(guān)鍵變電站進(jìn)行同步時(shí)鐘的差異化管理，從而打破時(shí)間協(xié)同的邏輯條件，降低多站點(diǎn)時(shí)間同步協(xié)同攻擊觸發(fā)大停電的風(fēng)險(xiǎn)。

4）所提時(shí)間同步攻擊的檢測方法和防護(hù)方法可配合使用，提高在時(shí)間同步協(xié)同攻擊下的電網(wǎng)韌性。其中，時(shí)間同步攻擊檢測方法不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行，可在設(shè)備入網(wǎng)和年度檢修時(shí)作為安全性檢測的一個(gè)環(huán)節(jié)，應(yīng)用于所有變電站?；谕綍r(shí)間差異化管理的防護(hù)方法需改變業(yè)務(wù)系統(tǒng)的實(shí)現(xiàn)流程，可選擇性應(yīng)用于對維系電網(wǎng)安全有突出影響的極少數(shù)特高壓變電站/換流站和樞紐變電站。

本文在撰寫過程中得到湖南省自然科學(xué)基金項(xiàng)目“電力系統(tǒng)高級量測體系防護(hù)方法研究（2020JJ4611）”的資助，特此感謝！

附錄見本刊網(wǎng)絡(luò)版（http：//www.aeps-info.com/aeps/ch/index.aspx），掃英文摘要后二維碼可以閱讀網(wǎng)絡(luò)全文。