湯 奕，張順道

(東南大學(xué)電氣工程學(xué)院 南京 210096)

隨著信息通信技術(shù)的飛速發(fā)展，通信網(wǎng)絡(luò)與電力網(wǎng)絡(luò)深度融合，推動電力系統(tǒng)的高度自動化與智能化。電力系統(tǒng)逐漸演變?yōu)樾畔⑽锢砀叨锐詈系碾娏π畔⑽锢硐到y(tǒng)(cyber physical power system, CPPS)[1]。

電力信息物理融合發(fā)展一方面提高了電力系統(tǒng)的運行效率。大量通信設(shè)備在電力系統(tǒng)中被廣泛使用，使得電網(wǎng)調(diào)度中心可以通過以相量測量單元(phasor measurement unit, PMU)為代表的量測感知單元實時獲取全面的電力系統(tǒng)運行信息[2]，以支撐各類運行控制業(yè)務(wù)[3]。另一方面，在電力信息物理融合發(fā)展中，信息層、物理層以及信息物理耦合層會出現(xiàn)諸多漏洞，利用這些漏洞對目標(biāo)地區(qū)進(jìn)行網(wǎng)絡(luò)攻擊，可影響其社會生活、生產(chǎn)行為[1]。各種分布式終端和新能源設(shè)備的接入給電力系統(tǒng)引入許多不確定因素，多類型通信方式也給電網(wǎng)帶來安全風(fēng)險，為網(wǎng)絡(luò)攻擊提供了途徑[4-7]。電力系統(tǒng)發(fā)電、輸電、配電、變電和用電等各個環(huán)節(jié)均可成為攻擊對象，通過破壞CPPS 的“保密性”“完整性”和“可用性”來實現(xiàn)對電力系統(tǒng)的攻擊[8-11]。國際上已出現(xiàn)專門針對電力系統(tǒng)的網(wǎng)絡(luò)攻擊，如烏克蘭遭受惡意攻擊導(dǎo)致大停電事故，委內(nèi)瑞拉遭受網(wǎng)絡(luò)攻擊導(dǎo)致多地停電事故，伊朗納坦茲核電站遭受蓄意破壞導(dǎo)致停運事故。美國為開展電力等領(lǐng)域的網(wǎng)絡(luò)攻擊與防衛(wèi)研究，已專門組建編制6000 人的網(wǎng)絡(luò)司令部[12-14]。

雖然電網(wǎng)有較為完備的安全穩(wěn)定控制系統(tǒng)，但受到人為或自然災(zāi)害等因素的影響，有時會處于薄弱狀態(tài)，攻擊者對其進(jìn)行有效利用可獲得良好的攻擊收益。這種情景的形成主要是因為在電力系統(tǒng)正常狀態(tài)下發(fā)起網(wǎng)絡(luò)攻擊時，如果攻擊方式、類型比較單一化，則會被電力系統(tǒng)中表征穩(wěn)態(tài)性能的充裕度和表征動態(tài)性能的安全性削弱攻擊效果，偏離預(yù)期收益目標(biāo)[15]；而與之相比，對處于薄弱狀態(tài)下的電力系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊，利用電網(wǎng)的薄弱狀態(tài)消耗N?1準(zhǔn)則的裕度和部分防御資源，在此基礎(chǔ)上，網(wǎng)絡(luò)攻擊造成的分布式連鎖型故障能夠進(jìn)一步加劇電力系統(tǒng)不穩(wěn)定因素引起的動蕩，這種攻擊方式使得攻擊者可以通過相應(yīng)的策略選取，以較低的攻擊成本對電網(wǎng)造成較大的經(jīng)濟(jì)損失，并威脅電網(wǎng)的安全穩(wěn)定運行。文獻(xiàn)[16]基于電力系統(tǒng)靜態(tài)安全域分析的思想建立關(guān)鍵線路評估模型，提出電力系統(tǒng)關(guān)鍵線路的辨識方法，指出少數(shù)線路在電力系統(tǒng)大規(guī)模停電中起關(guān)鍵作用。文獻(xiàn)[17]從攻擊者視角提出一種基于攻擊損益原則的跨空間連鎖故障選擇排序方法，揭示電網(wǎng)信息物理系統(tǒng)中由信息攻擊引發(fā)跨空間連鎖故障的演化過程及爆發(fā)可能性，雖然有提及掌握部分資源情況下對攻擊目標(biāo)的破壞行為，但是沒有對資源、信息受限情況展開分析。文獻(xiàn)[18]提出針對不確定事件直接搜索的搜索算法，快速搜索出可構(gòu)成威脅的連鎖故障。針對電力系統(tǒng)的網(wǎng)絡(luò)攻擊具有明確的目的性，實施攻擊的方式呈現(xiàn)多樣性，以上研究主要側(cè)重于電力系統(tǒng)正常狀態(tài)下進(jìn)行攻擊，缺乏對電網(wǎng)的薄弱狀態(tài)進(jìn)行有效利用，很多情形下攻擊者難以獲取完全信息，這些都會影響攻擊效果。

基于上述分析，本文提出一種針對電力系統(tǒng)薄弱狀態(tài)的自動攻擊策略，根據(jù)已掌握的部分或者全部穩(wěn)控業(yè)務(wù)信息確定可攻擊范圍[19]，通過攻擊成功狀態(tài)與攻擊成功后電力系統(tǒng)中其他線路處于正?；驍嗑€狀態(tài)的排列組合構(gòu)建電力系統(tǒng)攻擊成功狀態(tài)空間，在對電力系統(tǒng)是否處于薄弱狀態(tài)做出判別后，依據(jù)已經(jīng)確定的攻擊范圍，對電力系統(tǒng)攻擊成功狀態(tài)空間進(jìn)行遍歷，模擬攻擊發(fā)起后電力系統(tǒng)變化，通過線性規(guī)劃計算出在線路由于攻擊成功而斷線時可產(chǎn)生的減載量，遵循最大化原則篩選出嚴(yán)重故障情況下可獲得的攻擊收益并確定攻擊位置等攻擊信息。

1 嚴(yán)重故障搜索

作為攻擊方預(yù)設(shè)達(dá)成的期望目標(biāo)，實現(xiàn)攻擊效果最大化是嚴(yán)重故障搜索算法的執(zhí)行方向，針對資源耗盡型DOS(denial- of-service)攻擊技術(shù)[20]，在對攻擊類型、組合、信息狀態(tài)等維度進(jìn)行考慮的基礎(chǔ)上研究電網(wǎng)嚴(yán)重故障搜索算法。

如圖1 所示，在面向電力系統(tǒng)的網(wǎng)絡(luò)攻擊手段中，拒絕服務(wù)式攻擊DOS 能對遠(yuǎn)程調(diào)度控制中心的通信網(wǎng)絡(luò)進(jìn)行破壞，使電力通信業(yè)務(wù)中斷，并發(fā)展成設(shè)備故障，這種最為直接的攻擊手段具有很強(qiáng)的破壞性。DOS 攻擊能夠?qū)δ繕?biāo)CPPS 信息側(cè)存在的網(wǎng)絡(luò)協(xié)議漏洞進(jìn)行挖掘，通過消耗其網(wǎng)絡(luò)帶寬、允許鏈接和通信進(jìn)程等網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)失去通信[20-21]；對通信節(jié)點實施DOS 攻擊還會引發(fā)CPPS分層控制結(jié)構(gòu)的調(diào)度數(shù)據(jù)網(wǎng)的區(qū)域性癱瘓，即便提升通信數(shù)據(jù)計算處理速度、提高帶寬通信能力，也無法避免DOS 攻擊造成的破壞性。具備有限的容錯能力是CPPS 本身負(fù)荷頻率控制系統(tǒng)的一個基本特點，可通過有差調(diào)節(jié)維持一定的穩(wěn)定性；但當(dāng)DOS 攻擊引起斷網(wǎng)等事故時，電力系統(tǒng)穩(wěn)定性遭到嚴(yán)重破壞，尤其是在分布式DOS 攻擊方式下，為維持部分重要電力業(yè)務(wù)，電力系統(tǒng)會采取切負(fù)荷等防御手段。

圖1 面向電力網(wǎng)絡(luò)的DOS 攻擊影響示意圖

1.1 可行性分析

由前述內(nèi)容可知，資源耗盡型網(wǎng)絡(luò)攻擊技術(shù)能夠通過削弱或破壞二次系統(tǒng)的正常功能來達(dá)到攻擊的 目 的，而 當(dāng)SCADA 系 統(tǒng)、WAMS(wide area measurement system)、 AMI(advanced metering infrastructure)等二次系統(tǒng)發(fā)生故障或遭受惡意攻擊時，CPPS 出現(xiàn)信息中斷、延遲、篡改等情況，會導(dǎo)致控制中心下達(dá)錯誤指令，使決策單元誤動或退出運行，從而對電力系統(tǒng)造成嚴(yán)重故障，使其一次系統(tǒng)的完整性遭到破壞[8]。

另一方面，電力系統(tǒng)中為確保電網(wǎng)的安全穩(wěn)定運行，普遍遵循N ?1安全準(zhǔn)則對安全穩(wěn)定設(shè)備進(jìn)行配置； 即在正常運行方式下電力系統(tǒng)中任意一元件(如線路、發(fā)電機(jī)、變壓器等)出現(xiàn)異?；蛞蚬收蠑嚅_后，電力系統(tǒng)應(yīng)能保持穩(wěn)定運行和正常供電、其他元件不過負(fù)荷、電壓和頻率均在允許范圍內(nèi)的規(guī)范要求[22]。目前電力系統(tǒng)主要采用 N ?1仿真校驗作為最為有效的電網(wǎng)安全性評價手段，在電網(wǎng)運行中，行之有效的電網(wǎng)安全管理理念與基于N?1安全準(zhǔn)則的安全穩(wěn)定預(yù)控密不可分[23]。但電力系統(tǒng)在 N ?n故障的可靠裕度方面存在成本?收益沖突的問題，即N ?n故障發(fā)生概率極小，若以此為標(biāo)準(zhǔn)來確定電力系統(tǒng)的可靠裕度會導(dǎo)致成本過高，而普遍采用N ?1準(zhǔn) 則，故在處理N ?n故障時的處置策略較為被動，缺乏靈活性。針對電力系統(tǒng)這一特點，在電力系統(tǒng)薄弱狀態(tài)下發(fā)起網(wǎng)絡(luò)攻擊，可在原有故障基礎(chǔ)上引發(fā)N ?n多重故障，達(dá)到連鎖故障的效果，此時網(wǎng)絡(luò)攻擊對已經(jīng)處于薄弱狀態(tài)下的電力系統(tǒng)造成的破壞力，遠(yuǎn)高于其對電力系統(tǒng)處于正常狀態(tài)下造成的破壞力。因此可以通過攻擊處于薄弱狀態(tài)時的電網(wǎng)，以達(dá)到攻擊者期望的較為良好的攻擊效果。

1.2 搜索模型

嚴(yán)重故障搜索模型以傳統(tǒng)電力系統(tǒng)N ?n故障為研究導(dǎo)向，以N ?1故障為研究基礎(chǔ)，以獲得最佳攻擊收益的目標(biāo)，使用減載量作為攻擊收益量化數(shù)據(jù)，采用線性規(guī)劃模型分析數(shù)據(jù)。嚴(yán)重故障搜索分為兩個階段實施。

1) 攻擊類型分為以考慮發(fā)電機(jī)為主要因素的網(wǎng)絡(luò)攻擊和以考慮支路為主要因素的網(wǎng)絡(luò)攻擊，通過對預(yù)攻擊的發(fā)電機(jī)和支路進(jìn)行設(shè)置，形成攻擊組合，根據(jù)已獲取的目標(biāo)電網(wǎng)拓?fù)湫畔?gòu)筑節(jié)點?線路關(guān)聯(lián)矩陣，如圖2 所示。對電力系統(tǒng)攻擊成功狀態(tài)空間進(jìn)行搜索，依據(jù)搜索得到的減載量篩選出嚴(yán)重故障并標(biāo)記出其對應(yīng)的攻擊目標(biāo)。

圖2 線路?節(jié)點關(guān)聯(lián)矩陣

2) 在階段1)的基礎(chǔ)上，將信息狀態(tài)納入考慮，如圖3 所示。此處信息狀態(tài)主要指：被攻擊方(防御方)受到攻擊后依據(jù)正常故障處置辦法，通過調(diào)用備用發(fā)電容量和重合閘等手段來發(fā)送負(fù)荷修復(fù)指令的信息收發(fā)狀態(tài)。對信息狀態(tài)進(jìn)行攻擊，使其喪失故障后的負(fù)荷修復(fù)能力，此時得到的減載量為最終減載量(或稱延緩減載量)。

圖3 故障搜索流程圖

1.3 收益量化

通過負(fù)荷減載量化攻擊電網(wǎng)獲得的攻擊收益，針對線路、發(fā)電機(jī)、節(jié)點的電力系統(tǒng)攻擊能夠改變電網(wǎng)拓?fù)浣Y(jié)構(gòu)并使電網(wǎng)偏離正常狀態(tài)，假設(shè)電力系統(tǒng)為減小攻擊帶來的危害，以犧牲部分負(fù)荷來維持其自身處于正常運行狀態(tài)，在各場景下最小減載量為：

式中，N為電力系統(tǒng)所包含節(jié)點；i為節(jié)點下標(biāo)；f為電網(wǎng)總的減載量；Di為序號為i的節(jié)點減載量。

為得到最小減載量，需建立直流潮流模型，節(jié)點電壓相角為線路功率的主要影響變量，線路潮流與線路阻抗和節(jié)點相角關(guān)系為：

式中，L為電網(wǎng)中的支路總集；l為支路在總集中的排列序號；Pl為支路l上流通的潮流；El代表支路l通態(tài)或斷態(tài)，即為0 或1；xl代表支路l的阻抗值；H為節(jié)點?線路關(guān)聯(lián)矩陣； δ為相角矩陣。

電力系統(tǒng)中潮流服從功率平衡條件，節(jié)點負(fù)荷和流入流出功率之間的約束為：

式中，M為電網(wǎng)中發(fā)電機(jī)總集；m為發(fā)電機(jī)在總集中的排列序號，Bm為發(fā)電機(jī)m處于停機(jī)或者運行狀態(tài)；Pm為發(fā)電機(jī)m的有功出力；Qi為節(jié)點i上的負(fù)荷量。

支路上的潮流、發(fā)電機(jī)的發(fā)電功率、節(jié)點上的切負(fù)荷量都要受到各自的上下限制約，不能超出約束范圍：

2 薄弱狀態(tài)下自動攻擊研究方法

電力系統(tǒng)薄弱狀態(tài)指電力系統(tǒng)偏離正常運行的狀態(tài)。為獲得高于在電力系統(tǒng)處于正常狀態(tài)時的攻擊收益，利用電網(wǎng)處于薄弱狀態(tài)對電力系統(tǒng)進(jìn)行攻擊。為達(dá)到這一攻擊目的，需要把目標(biāo)電力系統(tǒng)實時數(shù)據(jù)信息與正常狀態(tài)數(shù)據(jù)信息進(jìn)行比對，通過異常數(shù)據(jù)信息來辨別電力系統(tǒng)是否處于薄弱狀態(tài)，并確定電力系統(tǒng)是否已出現(xiàn)N ?1故障。攻擊者利用所掌握目標(biāo)電力系統(tǒng)部分節(jié)點配備的PMU 穩(wěn)定控制業(yè)務(wù)數(shù)據(jù)信息，形成可觀測的攻擊實施區(qū)間，對其中的單個或幾個線路進(jìn)行網(wǎng)絡(luò)攻擊，構(gòu)成 N?b故障，對電力系統(tǒng)攻擊成功狀態(tài)空間進(jìn)行遍歷，通過線性規(guī)劃計算出線路由于攻擊成功而斷線時可產(chǎn)生的減載量，遵循最大化原則篩選出嚴(yán)重故障情況下可獲得的減載量以及攻擊位置等信息，從而獲得針對電力系統(tǒng)薄弱狀態(tài)下的自動攻擊策略。

2.1 攻擊者掌握完全信息

為提高攻擊成功率，攻擊方事先應(yīng)通過各種手段來獲取目標(biāo)電力系統(tǒng)的相關(guān)信息。當(dāng)攻擊方掌握目標(biāo)電力系統(tǒng)的完全信息時，攻擊區(qū)間達(dá)到最大，同時與選定攻擊類型相對應(yīng)的攻擊組合數(shù)量也達(dá)到最大。

利用掌握目標(biāo)電力系統(tǒng)的完全信息對處于薄弱狀態(tài)下電網(wǎng)發(fā)起攻擊的策略方法分為6 個步驟，對應(yīng)的具體流程如圖4 所示。

圖4 完全信息時攻擊策略

1)在薄弱狀態(tài)基礎(chǔ)上，使目標(biāo)電力系統(tǒng)出現(xiàn)連鎖故障，并以此為目標(biāo)確定攻擊方向，開始運行程序；

2)將目標(biāo)電力系統(tǒng)實時數(shù)據(jù)信息同正常數(shù)據(jù)進(jìn)行對比，判別電網(wǎng)是否處于薄弱狀態(tài)。此處僅做數(shù)據(jù)比對，不需要做大量計算，運算速度快，所以既能以一個時間斷面靜態(tài)進(jìn)行，也可動態(tài)循環(huán)掃描；

3)當(dāng)電力系統(tǒng)被識別為薄弱狀態(tài)，標(biāo)記為N?1故障后，確立故障類型、位置，為嚴(yán)重故障搜索做準(zhǔn)備；若不處于故障狀態(tài)則返回至實時數(shù)據(jù)和正常數(shù)據(jù)對比階段；

4)在進(jìn)行嚴(yán)重故障搜索時，需要把 N ?1故障的故障類型、位置納入考慮，以此為基礎(chǔ)形成攻擊空間，并對攻擊空間進(jìn)行遍歷，以減載量作為衡量攻擊效果的量化數(shù)據(jù)，通過嚴(yán)重故障搜索算法得出此時處于薄弱狀態(tài)下的電力系統(tǒng)的最優(yōu)可攻擊目標(biāo)組合；

5)判別目標(biāo)電力系統(tǒng)的減載量或減載百分比是否符合收益判據(jù)，即攻擊收益是否符合攻擊收益預(yù)期。若不符合預(yù)期時，則自動忽略本次電網(wǎng)薄弱狀態(tài)，轉(zhuǎn)至實時數(shù)據(jù)與正常數(shù)據(jù)對比處，繼續(xù)尋找下一個電力系統(tǒng)薄弱狀態(tài)；

6)當(dāng)攻擊收益符合預(yù)期時，確立減載百分比，并標(biāo)記對應(yīng)的攻擊組合、類型，形成新的攻擊方案。

在電力系統(tǒng)處于薄弱狀態(tài)后，修改電力網(wǎng)拓?fù)湫畔ⅲ纬尚碌木W(wǎng)絡(luò)攻擊狀態(tài)空間，根據(jù)嚴(yán)重故障搜索算法，對攻擊狀態(tài)空間遍歷，得到符合攻擊收益條件的攻擊區(qū)間， 由此形成自動攻擊策略。

2.2 攻擊者掌握非完全信息

當(dāng)攻擊方未獲得目標(biāo)電力系統(tǒng)的全部PMU 穩(wěn)控信息數(shù)據(jù)時，如圖5 所示，此時處于不完全信息狀態(tài)，即為可用攻擊信息受限[20]。有限的攻擊資源表現(xiàn)為可攻擊的目標(biāo)數(shù)量有限，有限的可用攻擊信息意味著攻擊范圍有限，在有限的攻擊范圍內(nèi)，尋找使攻擊收益最大化的攻擊目標(biāo)，需要考慮線路、節(jié)點等在不同場景下的組合問題，這樣攻擊者通過嚴(yán)重故障搜索結(jié)果對攻擊資源進(jìn)行配置，在電網(wǎng)中多處發(fā)起針對線路、發(fā)電機(jī)、變壓器等元件的分布式攻擊，在單位時間內(nèi)使電力系統(tǒng)出現(xiàn)多重故障，迫使電力系統(tǒng)因無法同時承受多處攻擊造成的破壞，采取諸如切負(fù)荷等臨時穩(wěn)定控制的處置辦法。

圖5 非完全信息時攻擊策略

在這種非完全信息情況下，根據(jù)已知PMU 穩(wěn)控信息構(gòu)成的攻擊區(qū)間為完全信息時的攻擊空間的子區(qū)間；攻擊組合形成的集合為完全信息時攻擊組合形成的集合的子集；完全信息時的攻擊收益為不完全信息時的攻擊收益上限；非完全信息時自動攻擊策略的最終目的同完全信息時一致：得到符合攻擊者期望的攻擊區(qū)間。攻擊者不僅要依據(jù)完全信息時的自動攻擊策略設(shè)計攻擊流程，還需要充分考慮信息受限時的攻擊范圍；在完全信息情況下與在非完全信息情況下，雖然都是通過薄弱狀態(tài)來形成連鎖故障，但在信息受限時，由于已獲取的可用攻擊信息不同，這就會導(dǎo)致不同場景下形成的攻擊范圍不同，從而取得的攻擊效果也不同，攻擊效果呈現(xiàn)出不確定性、隨機(jī)性、分散性，這與完全信息時攻擊效果的確定性、集中性形成鮮明對比。不過單就某一確定的非完全信息時的攻擊場景而言，其攻擊效果又會相似于完全信息時的攻擊場景。

3 算例分析

以IEEE39 節(jié)點系統(tǒng)為例驗證本文所提方法?；谝勋@取的PMU 部署信息數(shù)據(jù)確定攻擊場景，IEEE39 節(jié)點系統(tǒng)如圖6 所示。

圖6 IEEE39 節(jié)點系統(tǒng)圖

3.1 考慮單重故障至雙重連鎖故障的攻擊場景

在由N ?1電 網(wǎng)薄弱狀態(tài)到N ?2故障狀態(tài)的攻擊場景中，假設(shè)因為信息受限，攻擊方只知道部分PMU 部署信息，通過監(jiān)測電力系統(tǒng)，識別出電力系統(tǒng)出現(xiàn)單重故障，確認(rèn)電力系統(tǒng)處于薄弱狀態(tài)后，根據(jù)已知PMU 數(shù)據(jù)信息形成攻擊范圍，對攻擊范圍內(nèi)所有支路通斷狀態(tài)進(jìn)行遍歷并修改部分?jǐn)?shù)據(jù)，形成 N?2故障，在此場景中，假設(shè)已識別出IEEE39 節(jié)點系統(tǒng)中37 支路發(fā)生故障。在眾多攻擊場景中選取8 個子場景進(jìn)行比對。結(jié)果如圖7 和表1 示。

圖7 事故減載前各攻擊場景下減載比重

表1 事故減載前IEEE 39 節(jié)點部分PMU 位置

在電力系統(tǒng)處于薄弱狀態(tài)(37 支路斷開)時，從已知PMU 數(shù)量不同時和已知PMU 數(shù)量相同時兩個方向分析。

如圖7 與表1 數(shù)據(jù)所示，在子場景1、2、3 中，減載百分比隨著可獲取PMU 數(shù)量的增加而增加，表明攻擊收益與已知信息量呈正相關(guān)。在子場景2、4、5、6、7、8 中，PMU 數(shù)量相等，但減載百分比卻不一樣，表明信息量相同時，不同組合得到的結(jié)果也不一樣。從圖7 中可以看出，在子場景3、4、5、8 中，減載比重明顯高于其他場景，再結(jié)合表1 中被攻擊線路一列數(shù)據(jù)進(jìn)行分析，可以得出此時支路20 為關(guān)鍵支路，該攻擊點與10 節(jié)點處設(shè)置的PMU 密切相關(guān)。

如果攻擊方處于完全信息情況下，對處于正常狀態(tài)的電力系統(tǒng)進(jìn)行全面的N ?2嚴(yán)重故障搜索，攻擊者得到的攻擊線路組合為線路20 和線路37，可等效為線路37 故障時線路20 為關(guān)鍵線路，和前述從N ?1電 網(wǎng)薄弱狀態(tài)到N ?2故障狀態(tài)的攻擊場景中獲得的結(jié)論一致，這表明，無論是通過單重故障攻擊誘使處于薄弱狀態(tài)下的電力系統(tǒng)發(fā)生雙重故障，還是直接使電力系統(tǒng)發(fā)生雙重故障，得到的攻擊效果一致。但攻擊子場景2、4、5、7、8 表明如果攻擊方掌握的信息不完全則不一定能達(dá)到該效果，這是由于掌握的信息有限，有限信息集作為完全信息集(母集)的子集，只包含有完全信息集中的部分元素，不一定包含關(guān)鍵元素，元素的不同組合構(gòu)成的子集，會對自動攻擊策略產(chǎn)生影響。另外，經(jīng)過檢查發(fā)現(xiàn)線路20 對應(yīng)IEEE39節(jié)點系統(tǒng)中10?32 支路，32 節(jié)點上只連接3 號發(fā)電機(jī)與線路20，故對線路20 發(fā)起攻擊得到的攻擊效果等同于直接攻擊3 號發(fā)電機(jī)。

3.2 考慮事故處理的攻擊場景

處于薄弱狀態(tài)時，電力系統(tǒng)穩(wěn)控業(yè)務(wù)依據(jù)事故處置辦法處理引起電網(wǎng)不穩(wěn)定的因素，在其進(jìn)行事故處理前后，攻擊的效果存在差異，事故處理過程中出現(xiàn)的減載量使這種差異具體化。在3.1 中因為未區(qū)分在事故減載前攻擊與在事故減載后攻擊的區(qū)別，只對事故減載前攻擊場景進(jìn)行算例分析。此處補(bǔ)充事故減載后攻擊場景，假設(shè)條件同前面一樣，得到的攻擊收益結(jié)果如圖8 與表2 示。

表2 事故減載前IEEE 39 節(jié)點部分PMU 位置

從圖8 可以看出，在電力系統(tǒng)對人為因素或者自然災(zāi)害引起的單重故障調(diào)用N ?1準(zhǔn)則進(jìn)行減載處理后，通過嚴(yán)重故障搜索對攻擊范圍進(jìn)行遍歷并修改部分?jǐn)?shù)據(jù)，形成N ?2嚴(yán)重故障，在各個子場景下得到的攻擊收益結(jié)果普遍小于圖7 所示的攻擊收益結(jié)果。

圖8 事故減載后各場景下減載比重

因此，在攻擊手段允許的情況下，攻擊方應(yīng)盡可能選取事故減載前攻擊的攻擊方式，這樣得到的收益效果更符合用較低的攻擊成本獲得更高的攻擊收益的目標(biāo)。

3.3 考慮節(jié)點母線故障的攻擊場景

通常PMU 設(shè)置在節(jié)點母線，攻擊方掌握部分PMU 信息就意味著可以將節(jié)點作為攻擊對象。假設(shè)已識別出IEEE39 節(jié)點系統(tǒng)中37 支路發(fā)生故障，在電力系統(tǒng)處于薄弱狀態(tài)下選擇節(jié)點作為攻擊對象的場景，結(jié)果如圖9 與表3 示。

表3 考慮節(jié)點時IEEE 39 節(jié)點部分PMU 位置

圖9 考慮節(jié)點時各攻擊場景下減載比重

可以發(fā)現(xiàn)，由場景1、2、3 知攻擊收益與已知信息量呈正相關(guān)。由場景2、4、5、7、8 知信息量相同時，不同組合得到的結(jié)果也不一樣，總體上，與收益趨勢有關(guān)的結(jié)論與前面相似。但在一些場景下，如PMU 所在位置為2，5，10 時，3.3 節(jié)得到的攻擊收益明顯高于3.1 節(jié)中對應(yīng)場景的攻擊收益。這是因為電力系統(tǒng)出于經(jīng)濟(jì)性考慮一般會在單條線路的一端設(shè)有PMU，節(jié)點母線與多個線路連接，使得一個PMU 控制多條線路，在該PMU 受到攻擊時，與之相連接的線路會受到波及，若把攻擊節(jié)點等效為攻擊支路，則相當(dāng)于同時使多條線路受損，故在子場景相同時，與3.1 節(jié)相比，3.3 節(jié)得到的攻擊收益一般較高。

4 結(jié) 束 語

針對目標(biāo)電力系統(tǒng)的網(wǎng)絡(luò)攻擊已經(jīng)對CPPS 安全穩(wěn)定造成較為嚴(yán)重的破壞，本文從攻擊者角度研究了利用電力系統(tǒng)處于薄弱狀態(tài)時開展的自動攻擊策略，基于直流潮流模型，提出在信息受限的情況下通過嚴(yán)重故障搜索尋找使目標(biāo)電網(wǎng)受損的嚴(yán)重故障。本文以IEEE39 節(jié)點系統(tǒng)為檢驗標(biāo)準(zhǔn)，對N?1故 障至N ?2故障、考慮事故處理、考慮節(jié)點母線故障等不同場景進(jìn)行仿真，并對得到的結(jié)果進(jìn)行分析比較。多個場景中的數(shù)據(jù)表明，攻擊方在不完全信息下，獲取的可利用信息量越大，攻擊產(chǎn)生的減載量越大，獲得的攻擊收益越高。

本文僅從CPPS 的電力物理側(cè)針對電力系統(tǒng)薄弱狀態(tài)下的攻擊進(jìn)行研究，對建立電力系統(tǒng)的安全防御措施提供一定的借鑒意義。未來將從物理側(cè)與信息側(cè)交互攻擊、電網(wǎng)偶發(fā)事故應(yīng)急處理后發(fā)起攻擊、縱向短路故障等角度展開進(jìn)一步的研究。