劉耕銘， 劉文霞， 張藝偉， 楊玉澤， 劉宗歧

(新能源電力系統(tǒng)國(guó)家重點(diǎn)實(shí)驗(yàn)室(華北電力大學(xué))，北京 102206)

0 引 言

隨著城市化進(jìn)程的快速發(fā)展,電力系統(tǒng)呈現(xiàn)出多主體分散決策、電力電子化以及信息物理融合的特征,其穩(wěn)定運(yùn)行高度依賴于信息控制,一旦受到來(lái)自信息域或物理域的惡意打擊,不僅會(huì)造成城市功能紊亂,還會(huì)引起國(guó)際輿論的廣泛關(guān)注。在20世紀(jì)的海灣戰(zhàn)爭(zhēng)和科索沃戰(zhàn)爭(zhēng)中,美軍曾以切斷敵方電網(wǎng)供電的方式推進(jìn)戰(zhàn)爭(zhēng)進(jìn)程[1]。21世紀(jì)后,攻擊者的能力與攻擊資源大幅提升,攻擊途徑從物理域轉(zhuǎn)入信息域,各國(guó)的SCADA系統(tǒng)陸續(xù)遭到黑客攻擊,電網(wǎng)的運(yùn)行受到嚴(yán)重干擾[5,6]。2015年烏克蘭電網(wǎng)因受到信息協(xié)同攻擊而發(fā)生大停電事故后,電力系統(tǒng)的信息安全問(wèn)題引起了各國(guó)學(xué)者的關(guān)注[2-4]。

近期,各界在電力信息物理安全領(lǐng)域開(kāi)展了大量的研究。2012年,Proceedings of the IEEE的專欄就電力信息物理系統(tǒng)中存在的信息安全威脅和現(xiàn)有的安全防護(hù)體系進(jìn)行了深入討論[7,8]。常見(jiàn)的網(wǎng)絡(luò)攻擊可按攻擊目的分為保密性攻擊、可用性攻擊、完整性攻擊[9]。其中,虛假數(shù)據(jù)注入攻擊(FDIA, False Data Injection Attack)作為完整性攻擊的典型代表,也是各類協(xié)同攻擊模式中的常用信息攻擊手段,其可按攻擊期望效果分為不定后果攻擊和確定后果攻擊,后者相比前者對(duì)系統(tǒng)狀態(tài)的量測(cè)值有明確的篡改目標(biāo),所以對(duì)攻擊者的能力要求更高[10,11],其中,確定后果攻擊的FDIA被廣泛研究。文獻(xiàn)[12]首次揭示電力系統(tǒng)不良數(shù)據(jù)檢測(cè)(BDD, Bad Data Detection)算法的漏洞,并提出了通過(guò)設(shè)計(jì)攻擊向量繞過(guò)BDD的FDIA,以更隱蔽地實(shí)現(xiàn)攻擊者的目的。文獻(xiàn)[13-14]針對(duì)電力系統(tǒng),提出了一種新型FDIA,即負(fù)荷重分配攻擊,其原理是通過(guò)改變節(jié)點(diǎn)注入有功功率的量測(cè)值來(lái)干擾系統(tǒng)安全約束經(jīng)濟(jì)調(diào)度的決策,使系統(tǒng)遠(yuǎn)離最優(yōu)狀態(tài)或?qū)е鲁霈F(xiàn)過(guò)載線路。根據(jù)攻擊后果的不同,FDIA可大致分為三類：保持狀態(tài)信息不變而造成拓?fù)湫畔⒏淖兊墓鬧15],保持拓?fù)湫畔⒉蛔兌斐蔂顟B(tài)信息改變的攻擊[16],造成狀態(tài)信息和拓?fù)湫畔⑼瑫r(shí)改變的攻擊[17]。

在電力系統(tǒng)信息安全研究初期,大多是對(duì)某一信息系統(tǒng)遭受單一攻擊開(kāi)展攻防技術(shù)研究,而隨著信息物理系統(tǒng)的發(fā)展以及現(xiàn)實(shí)安全事件的推動(dòng),信息物理協(xié)同攻擊的研究逐步得到重視。文獻(xiàn)[18-19]提出了物理攻擊輸電線路或節(jié)點(diǎn)、信息攻擊通信節(jié)點(diǎn)導(dǎo)致失效的協(xié)同攻擊模式,但均未考慮如何選擇物理和信息攻擊目標(biāo)才能最大化協(xié)同攻擊效果。協(xié)同攻擊的作用機(jī)理可大致分為兩方面：一是通過(guò)FDIA掩蓋物理攻擊的后果;二是在物理攻擊后使用FDIA誤導(dǎo)信息系統(tǒng)的調(diào)控措施。在文獻(xiàn)[20]中,攻擊者可通過(guò)FDIA掩蓋物理攻擊所導(dǎo)致的電網(wǎng)結(jié)構(gòu)和狀態(tài)的改變,使系統(tǒng)狀態(tài)感知失靈,導(dǎo)致錯(cuò)誤控制指令的生成,引發(fā)不正常的潮流轉(zhuǎn)移并擴(kuò)大事故的范圍;文獻(xiàn)[21-22]提出了利用負(fù)荷重分配攻擊誤導(dǎo)物理攻擊后系統(tǒng)有功調(diào)度的協(xié)同攻擊模式,導(dǎo)致錯(cuò)誤的切負(fù)荷操作,并建立了考慮攻擊資源的攻擊優(yōu)化模型;在文獻(xiàn)[23]提出的協(xié)同攻擊方式中,攻擊者物理攻擊輸電線路后,分階段使用拓?fù)浯鄹墓艉虵DIA來(lái)掩蓋故障狀態(tài)并加劇故障后果,并建立了最小化攻擊成本、最大化故障后果的雙層攻擊模型。在實(shí)際中,FDIA能否成功實(shí)施取決于兩項(xiàng)因素：一是能否躲過(guò)狀態(tài)估計(jì)中不良數(shù)據(jù)的檢測(cè);二是注入的數(shù)據(jù)是否處于安全閾值內(nèi),文獻(xiàn)[21-22]的模型未考慮第一項(xiàng)因素,文獻(xiàn)[23]的模型未考慮第二項(xiàng)因素,文獻(xiàn)[24]則在模型的約束條件中同時(shí)考慮了兩項(xiàng)因素。

上述信息物理協(xié)同攻擊的研究中,信息攻擊的目的都是為了引起有功調(diào)度的錯(cuò)誤,導(dǎo)致線路過(guò)載而觸發(fā)切負(fù)荷,并且攻擊模型和系統(tǒng)模型均基于直流潮流建模,無(wú)法量化分析協(xié)同攻擊引發(fā)的電壓?jiǎn)栴}對(duì)電力系統(tǒng)的影響;隨著城市化進(jìn)程的發(fā)展,以及能源與負(fù)荷中心的分布差異,電壓的異常波動(dòng)已成為大面積停電的重要誘因。自動(dòng)電壓控制作為維持電網(wǎng)無(wú)功電壓穩(wěn)定的重要手段,采用分層分區(qū)控制的策略,依靠SCADA與EMS系統(tǒng)的態(tài)勢(shì)感知與狀態(tài)估計(jì)功能對(duì)全網(wǎng)無(wú)功電壓實(shí)施閉環(huán)控制,但基于實(shí)時(shí)數(shù)據(jù)的遙測(cè)也使其成為暴露在網(wǎng)絡(luò)攻擊環(huán)境下的脆弱環(huán)節(jié),而現(xiàn)有的協(xié)同攻擊研究沒(méi)有考慮針對(duì)電壓控制過(guò)程的攻擊模式。

為此,本文提出了一種物理攻擊下使用信息攻擊以誘導(dǎo)電壓錯(cuò)誤控制從而擴(kuò)大停電規(guī)模為目的的物理和信息協(xié)同攻擊方法。首先,構(gòu)建兩階段協(xié)同攻擊模式并分析攻擊機(jī)理以及針對(duì)自動(dòng)電壓控制系統(tǒng)的虛假數(shù)據(jù)注入攻擊的原理,然后以失負(fù)荷最大為目標(biāo),以物理、信息攻擊點(diǎn)及虛假數(shù)據(jù)參數(shù)為控制變量,建立協(xié)同攻擊的雙層攻防模型。最后定量分析不同場(chǎng)景下的協(xié)同攻擊效果,并提煉隨機(jī)物理打擊下最優(yōu)信息攻擊點(diǎn)的特征,為防御此類協(xié)同攻擊提供參考。

1 基于完全信息的協(xié)同攻擊模式

1.1 兩階段的協(xié)同攻擊模式

隨著3C技術(shù)的快速發(fā)展,各國(guó)電網(wǎng)的控制系統(tǒng)與信息系統(tǒng)的通信更加緊密,而伊朗核電站事故和烏克蘭停電事件等都已證明信息系統(tǒng)的漏洞能被攻擊者利用,進(jìn)而獲取電網(wǎng)信息并發(fā)動(dòng)蓄意攻擊。在完全信息下,攻擊方具有模擬電網(wǎng)防御方的系統(tǒng)調(diào)度方案的能力[18,20-23],并且能通過(guò)攻防推演獲得最優(yōu)的攻擊方案。

基于上述分析,本文提出一種兩階段的協(xié)同攻擊模式：首先,攻擊者利用復(fù)雜網(wǎng)絡(luò)理論建立目標(biāo)電網(wǎng)的拓?fù)浣Y(jié)構(gòu)模型,并結(jié)合電網(wǎng)結(jié)構(gòu)特征、潮流分布等特征,實(shí)施物理打擊;圖1所示的是分別攻擊一個(gè)超高壓和高壓變電站,會(huì)造成拓?fù)浣Y(jié)構(gòu)的改變以及部分重要節(jié)點(diǎn)電壓出現(xiàn)波動(dòng);在電網(wǎng)遭受物理打擊的情形下,防御者以期望負(fù)荷損失最小作為調(diào)控措施。其次,攻擊者選擇信息攻擊點(diǎn)并根據(jù)信息攻擊參數(shù)構(gòu)造虛假數(shù)據(jù)注入向量;圖2所示的是攻擊者對(duì)部分終端設(shè)備的量測(cè)值注入虛假數(shù)據(jù),會(huì)造成某些重要節(jié)點(diǎn)電壓的狀態(tài)估計(jì)值越過(guò)安全閾值;此時(shí)防御者根據(jù)AVC的指令進(jìn)行電壓調(diào)整。最終,由于AVC發(fā)出的指令實(shí)際被信息攻擊所誤導(dǎo),使得系統(tǒng)中重要節(jié)點(diǎn)電壓發(fā)生大幅波動(dòng),觸發(fā)過(guò)/低電壓保護(hù)而退出運(yùn)行,引發(fā)切負(fù)荷后果。

圖2 電網(wǎng)遭受信息打擊Fig. 2 Power grid suffered from cyber attack

1.2 針對(duì)電壓控制的虛假數(shù)據(jù)注入攻擊

本文中AVC系統(tǒng)的總體結(jié)構(gòu)為兩層星型結(jié)構(gòu),第一層為控制中心AVC,第二層為發(fā)電廠、變電站當(dāng)?shù)谹VC,即一個(gè)控制中心控制多個(gè)廠站,各廠站之間相互獨(dú)立。AVC的運(yùn)行機(jī)制和數(shù)據(jù)流程如圖3所示,虛假數(shù)據(jù)注入攻擊的作用機(jī)理如圖4所示。

圖3 AVC系統(tǒng)運(yùn)行機(jī)制和數(shù)據(jù)流程Fig. 3 Operation mechanism and data flows in AVC

圖4 虛假數(shù)據(jù)注入攻擊的作用機(jī)理Fig. 4 Mechanism of false data injection attack

虛假數(shù)據(jù)注入攻擊向量的構(gòu)造構(gòu)原理如下：

(1)由于AVC的輸入數(shù)據(jù)來(lái)源于狀態(tài)估計(jì)的輸出,首先分析狀態(tài)估計(jì)中輸入的量測(cè)值和輸出的狀態(tài)變量估計(jì)值的關(guān)系。本文中的狀態(tài)估計(jì)采用交流模型,對(duì)基于加權(quán)最小二乘法的目標(biāo)函數(shù)采用牛頓法求解,得到以下迭代形式：

(1)

(2)

(3)

r=[I-H(HTR-1H)-1HTR-1][z-h(x)]

(4)

(2)為避免量測(cè)誤差或錯(cuò)誤數(shù)據(jù),狀態(tài)估計(jì)中含有對(duì)不良數(shù)據(jù)的檢測(cè)(Bad Data Detection)。為此,虛假數(shù)據(jù)注入要達(dá)到預(yù)設(shè)的目的,構(gòu)造的攻擊向量需要繞過(guò)BDD,以隱蔽地改變狀態(tài)估計(jì)結(jié)果。假設(shè)攻擊向量為a,引起的狀態(tài)變量估計(jì)值的偏差向量為c,采用最大標(biāo)準(zhǔn)化殘差(LNR)檢驗(yàn)作為不良數(shù)據(jù)檢測(cè)的方法,此時(shí)的殘差計(jì)算公式可用下式表示：

(5)

式中：ra和r分別表示有無(wú)攻擊時(shí)LNR檢驗(yàn)的殘差值;τa表示攻擊引起的殘差增量。當(dāng)τa=0,有ra≤r,即可躲過(guò)BDD,由此得到虛假數(shù)據(jù)注入攻擊向量a的模型：

(6)

當(dāng)信息攻擊目標(biāo)為節(jié)點(diǎn)n且電壓幅值偏差量為c時(shí),構(gòu)造針對(duì)節(jié)點(diǎn)i的有功功率虛假數(shù)據(jù)注入攻擊向量ai1如下：

(7)

(8)

(9)

2 信息物理協(xié)同攻擊模型

2.1 信息物理協(xié)同攻擊雙層優(yōu)化模型

兩階段協(xié)同攻擊的效果是物理攻擊與信息攻擊的共同作用結(jié)果,二者之間存在耦合又各自具有一定的獨(dú)立性。具體而言,物理和信息攻擊后果一方面決定攻擊者的最大期望協(xié)同攻擊后果,另一方面系統(tǒng)在遭受物理攻擊之后的狀態(tài)會(huì)影響信息攻擊的實(shí)施,尤其是信息攻擊參數(shù)的構(gòu)建。

基于上述分析,本文采用雙層優(yōu)化模型的架構(gòu)對(duì)協(xié)同攻擊進(jìn)行建模,如圖5所示。上層模型以協(xié)同攻擊后果最大為目標(biāo)優(yōu)化物理和信息攻擊點(diǎn)的選擇;下層為模擬物理攻擊和信息攻擊下的二階段攻防模型,第1階段中攻擊者采用以切負(fù)荷最小為目標(biāo)的最優(yōu)潮流模型模擬防御者在緊急狀態(tài)的調(diào)控策略,在第2階段中,攻擊者首先基于信息攻擊點(diǎn)和物理攻擊后的系統(tǒng)狀態(tài)優(yōu)化信息攻擊參數(shù),其次模擬虛假數(shù)據(jù)注入后的系統(tǒng)電壓控制過(guò)程,然后模擬重要節(jié)點(diǎn)退出運(yùn)行后系統(tǒng)的負(fù)荷損失。最后將兩次攻擊的后果反饋回上層模型,以全面計(jì)算協(xié)同攻擊的整體攻擊后果。

圖5 雙層模型的架構(gòu)示意圖Fig. 5 Bi-level model architecture

2.2 上層模型

2.2.1 目標(biāo)函數(shù)

上層模型的目標(biāo)為最大化協(xié)同攻擊后果,優(yōu)化變量為物理攻擊點(diǎn)和信息攻擊點(diǎn)。

F1=max(C1+C2)

(10)

式中：C1、C2分別表示物理攻擊后果和信息攻擊后果,均由負(fù)荷損失量表示。

2.2.2 約束條件

受攻擊者的能力和資源等方面的限制,協(xié)同攻擊中物理攻擊點(diǎn)和信息攻擊點(diǎn)的數(shù)量是有限的,而且目標(biāo)不能沖突。

Np≤Rp

(11)

Nk≤RC

(12)

式中：Np、Nk分別表示單次協(xié)同攻擊中物理、信息攻擊點(diǎn)的數(shù)量;Rp、RC分別表示單次物理或信息攻擊下的最大攻擊目標(biāo)數(shù)量。

2.3 下層模型

2.3.1 第1階段—物理攻擊下的攻防模擬

攻擊者對(duì)物理攻擊點(diǎn)實(shí)施打擊,將造成電力網(wǎng)絡(luò)的傳輸能力下降以及潮流轉(zhuǎn)移,同時(shí)攻擊者采用以切負(fù)荷最小為目標(biāo)的最優(yōu)潮流模型模擬防御者在緊急狀態(tài)下的調(diào)度策略。

(13)

式中：LSp為物理攻擊點(diǎn)所帶的負(fù)荷;P為物理攻擊點(diǎn);LSi為節(jié)點(diǎn)i的切負(fù)荷量;NB為物理攻擊后的系統(tǒng)節(jié)點(diǎn)集合。約束條件如下：

PGi-Pi(U,δ)-PDi+LSi=0i∈NB

(14)

QGi-Qi(U,δ)-QDi=0i∈NB

(15)

(16)

(17)

式中：PGi、QGi分別表示節(jié)點(diǎn)i上發(fā)電機(jī)的注入有功功率和無(wú)功功率;PDi表示節(jié)點(diǎn)i上所帶負(fù)荷;Fl為支路潮流;Pi(U,δ)、Qi(U,δ)分別表示節(jié)點(diǎn)i的注入有功功率和無(wú)功功率;LSi表示節(jié)點(diǎn)i的切負(fù)荷量。

(18)

(19)

(20)

0≤LSi≤PDii∈NB

(21)

式中：LSi為切負(fù)荷量;PDi為節(jié)點(diǎn)所帶的有功負(fù)荷。

(22)

2.3.2 第2階段—信息攻擊下的攻防模擬

攻擊者首先基于信息攻擊點(diǎn)和物理攻擊后的系統(tǒng)狀態(tài)進(jìn)行信息攻擊參數(shù)的優(yōu)化;其次采用以電壓偏移量最小為目標(biāo)的最優(yōu)潮流模型模擬虛假數(shù)據(jù)注入后的系統(tǒng)電壓控制過(guò)程,得到當(dāng)前系統(tǒng)各節(jié)點(diǎn)的實(shí)際電壓;最后采用以切負(fù)荷最小為目標(biāo)的最優(yōu)潮流模型模擬重要節(jié)點(diǎn)退出運(yùn)行后系統(tǒng)的緊急控制過(guò)程。信息攻擊導(dǎo)致的后果可分為如下兩部分：

C2=LSc+LS2

(23)

式中：LSc電壓失穩(wěn)點(diǎn)所帶負(fù)荷,是信息攻擊誤導(dǎo)AVC發(fā)出錯(cuò)誤指令的結(jié)果;LS2為系統(tǒng)在緊急狀態(tài)下的切負(fù)荷量。

(1)信息攻擊參數(shù)模型

信息攻擊參數(shù)的選擇建立在已確定的信息攻擊點(diǎn)的基礎(chǔ)上。由于本文中狀態(tài)估計(jì)值的偏差向量c特指電壓幅值的偏差,其值增大會(huì)直接導(dǎo)致虛假數(shù)據(jù)注入攻擊向量a的增大,而過(guò)大的攻擊向量a會(huì)引起系統(tǒng)的懷疑,導(dǎo)致信息攻擊失效?；谏鲜龇治?本文以信息攻擊目標(biāo)節(jié)點(diǎn)k的電壓幅值估計(jì)值的偏移量ck之和最小為目標(biāo)函數(shù)建立信息攻擊參數(shù)優(yōu)化模型。

min ∑|ck|

(24)

(25)

(26)

NC>1

(27)

(28)

式(25)是等式約束條件,表示為了躲避狀態(tài)估計(jì)中不良數(shù)據(jù)的檢測(cè),虛假數(shù)據(jù)注入攻擊向量ak應(yīng)滿足的條件,ak是一個(gè)稀疏列向量,其維數(shù)與量測(cè)向量z相同。

式(26)是不等式約束條件,表示要想達(dá)到節(jié)點(diǎn)k電壓越限的攻擊效果,ck需要滿足的條件。

式(27)是不等式約束條件,考慮到攻擊效果,表示信息攻擊需要使超過(guò)一個(gè)節(jié)點(diǎn)的電壓發(fā)生越限(信息攻擊目標(biāo)節(jié)點(diǎn)除外),NC代表信息攻擊后發(fā)生電壓越限的節(jié)點(diǎn)數(shù)目。

式(28)是不等式約束條件,考慮到本文中攻擊者的攻擊資源和范圍是有限的,其攻擊向量ak構(gòu)成的對(duì)角矩陣diag(ak)的秩不能超過(guò)狀態(tài)估計(jì)中量測(cè)向量z構(gòu)成的對(duì)角矩陣diag(z)的秩的二分之一。

(2)虛假數(shù)據(jù)注入后的電壓控制模型

攻擊者根據(jù)信息攻擊參數(shù)向信息攻擊目標(biāo)注入虛假數(shù)據(jù)后,系統(tǒng)將出現(xiàn)部分節(jié)點(diǎn)電壓越限的“假象”,AVC便會(huì)采取調(diào)控措施。攻擊者采用以電壓偏移量最小為目標(biāo)函數(shù)的最優(yōu)潮流模型模擬AVC的調(diào)控策略。

(29)

PGi-Pi(U,δ)-PDi=0i∈NB

(30)

(31)

其余潮流約束條件同式(15)～(17);電壓約束同式(18);發(fā)電機(jī)出力約束同式(19)～(20);功率傳輸約束同式(22)。

在系統(tǒng)按照AVC的錯(cuò)誤指令進(jìn)行調(diào)整后,實(shí)際電力系統(tǒng)中會(huì)出現(xiàn)節(jié)點(diǎn)電壓大幅波動(dòng)的現(xiàn)象,導(dǎo)致部分節(jié)點(diǎn)因觸發(fā)過(guò)電壓或低電壓保護(hù)而退出運(yùn)行,該節(jié)點(diǎn)所帶的負(fù)荷則構(gòu)成信息攻擊后果的第一部分：

(32)

式中：NS為觸發(fā)低/過(guò)電壓保護(hù)而退出運(yùn)行的節(jié)點(diǎn)集合。

(3)重要節(jié)點(diǎn)退出運(yùn)行后的緊急控制模型

系統(tǒng)中重要節(jié)點(diǎn)的電壓大幅波動(dòng),觸發(fā)保護(hù)而退出運(yùn)行后,攻擊者采用以切負(fù)荷量最小為目標(biāo)函數(shù)的最優(yōu)潮流模型來(lái)模擬緊急控制策略。

(33)

NB=NB-NS

(34)

NG=NG-NS

(35)

3 模型求解

本文所建模型屬于雙層大規(guī)?；旌险麛?shù)非線性優(yōu)化問(wèn)題。對(duì)上層模型采用遺傳算法求解;下層模型中的第1階段的物理攻擊后果計(jì)算模型采用經(jīng)典內(nèi)點(diǎn)法求解;第2階段中的信息攻擊參數(shù)模型采用粒子群算法求解,虛假數(shù)據(jù)注入后的電壓控制模型和重要節(jié)點(diǎn)退出運(yùn)行后的緊急控制模型均采用內(nèi)點(diǎn)法求解;其間調(diào)用基于加權(quán)最小二乘法的狀態(tài)估計(jì)模塊,BDD采用最大標(biāo)準(zhǔn)化殘差檢驗(yàn),求解流程如圖6所示。

圖6 模型的求解流程Fig. 6 Solution process of the model

在遺傳算法中,上層模型的兩個(gè)決策變量均為整數(shù),采用二進(jìn)制形式進(jìn)行編碼,根據(jù)攻擊目標(biāo)系統(tǒng)的規(guī)模,確定基因個(gè)體長(zhǎng)度,然后將兩個(gè)變量轉(zhuǎn)化成二進(jìn)制的等長(zhǎng)編碼并組合。為了提高尋優(yōu)速度,基于攻擊目標(biāo)電網(wǎng)的結(jié)構(gòu)和運(yùn)行特征,提出以下兩項(xiàng)節(jié)點(diǎn)重要度指標(biāo),選擇綜合重要度較高的節(jié)點(diǎn)組成初始種群。

(1)計(jì)及注入有功功率的節(jié)點(diǎn)重要度

(36)

(37)

(2)計(jì)及無(wú)功支持能力的拓?fù)渲匾?/p>

(38)

(39)

(3)節(jié)點(diǎn)重要度綜合指標(biāo)

將以上兩項(xiàng)指標(biāo)分別進(jìn)行標(biāo)準(zhǔn)化：

(40)

(41)

(42)

4 算例分析

4.1 參數(shù)設(shè)置

本文在MATLAB2016b軟件中,以改進(jìn)的IEEE14節(jié)點(diǎn)系統(tǒng)為例進(jìn)行系統(tǒng)遭受協(xié)同攻擊的仿真分析,考慮到攻擊者能力和資源的限制,認(rèn)為物理攻擊和信息攻擊均只針對(duì)一個(gè)節(jié)點(diǎn)。計(jì)算過(guò)程中的變量均采用標(biāo)幺值,設(shè)定各節(jié)點(diǎn)電壓幅值下限為0.95,上限為1.05,發(fā)電機(jī)節(jié)點(diǎn)和負(fù)荷節(jié)點(diǎn)的低電壓保護(hù)觸發(fā)電壓為0.75,過(guò)電壓保護(hù)觸發(fā)電壓為1.25。系統(tǒng)節(jié)點(diǎn)、支路參數(shù)見(jiàn)附錄A。

為了便于計(jì)算,將IEEE14節(jié)點(diǎn)系統(tǒng)的節(jié)點(diǎn)進(jìn)行重新編號(hào),按節(jié)點(diǎn)類型依次對(duì)PQ節(jié)點(diǎn)、PV節(jié)點(diǎn)、平衡節(jié)點(diǎn)排序,如圖7所示,再進(jìn)行潮流計(jì)算,得到初始的系統(tǒng)節(jié)點(diǎn)電壓和有功、無(wú)功功率注入量如表1所示,系統(tǒng)發(fā)電機(jī)參數(shù)如表2所示,各節(jié)點(diǎn)的綜合重要度指標(biāo)如表3所示。

表1 系統(tǒng)初始狀態(tài)Tab.1 Initial state of system (pu)

表2 發(fā)電機(jī)參數(shù)Tab.2 Parameters of generators (pu)

表3 各節(jié)點(diǎn)的綜合重要度指標(biāo)Tab.3 Comprehensive importance index of each node

圖7 改進(jìn)IEE14節(jié)點(diǎn)系統(tǒng)示意圖Fig. 7 Diagram of modified IEE14 bus system

4.2 最優(yōu)協(xié)同攻擊方案

以改進(jìn)的IEEE14節(jié)點(diǎn)系統(tǒng)作為攻擊對(duì)象,通過(guò)求解信息物理協(xié)同攻擊雙層模型得到最優(yōu)物理攻擊點(diǎn)、信息攻擊點(diǎn)及信息攻擊參數(shù)如表4所示,并以攻擊者視角進(jìn)行協(xié)同攻擊過(guò)程分析。

表4 最優(yōu)協(xié)同攻擊方案Tab.4 Optimal coordinated attack scheme

首先,對(duì)節(jié)點(diǎn)10實(shí)施物理攻擊,通過(guò)求解物理攻擊下的緊急控制模型發(fā)現(xiàn)切負(fù)荷量為0,并得到系統(tǒng)各節(jié)點(diǎn)的電壓幅值,如表5所示。

表5 物理攻擊后各節(jié)點(diǎn)的實(shí)際電壓Tab.5 Actual voltage of each node after physical attack (pu)

然后,對(duì)節(jié)點(diǎn)11發(fā)動(dòng)虛假數(shù)據(jù)注入攻擊,并且根據(jù)攻擊參數(shù)c11計(jì)算虛假數(shù)據(jù)注入攻擊向量a,如表6所示;攻擊后系統(tǒng)各節(jié)點(diǎn)電壓幅值如表7所示。

表6 虛假數(shù)據(jù)注入攻擊向量aTab.6 Attack vector a in FDIA (pu)

表7 信息攻擊后各節(jié)點(diǎn)的實(shí)際電壓Tab.7 Actual voltage of each node after cyber attack (pu)

從表7可知,系統(tǒng)遭受信息攻擊后發(fā)電機(jī)節(jié)點(diǎn)11電壓過(guò)低,觸發(fā)低電壓保護(hù),導(dǎo)致其退出運(yùn)行;同時(shí)節(jié)點(diǎn)7、12的電壓越過(guò)上限。本次協(xié)同攻擊導(dǎo)致的失負(fù)荷量為1.18,由兩部分組成,一是物理攻擊直接導(dǎo)致的負(fù)荷損失,二是信息攻擊助推導(dǎo)致的負(fù)荷損失。在信息攻擊助推的負(fù)荷損失中分為信息攻擊導(dǎo)致節(jié)點(diǎn)退出運(yùn)行的直接負(fù)荷損失和緊急狀態(tài)下系統(tǒng)的切負(fù)荷量：

Pconsequence=0.217+0.942+0.021=1.18

(43)

式中：0.217為節(jié)點(diǎn)10所帶的負(fù)荷量;0.942為節(jié)點(diǎn)11所帶的負(fù)荷量;0.021為緊急狀態(tài)下系統(tǒng)的切負(fù)荷量。

4.3 協(xié)同攻擊效果對(duì)比分析

4.3.1 單一打擊與協(xié)同攻擊對(duì)比分析

為了分析協(xié)同攻擊的有效性,在物理攻擊點(diǎn)、信息攻擊點(diǎn)和信息攻擊參數(shù)不變的條件下,對(duì)物理打擊節(jié)點(diǎn)10、信息打擊節(jié)點(diǎn)11、物理與信息協(xié)同攻擊節(jié)點(diǎn)10和11三種情況進(jìn)行對(duì)比。結(jié)果如圖8所示。

圖8 協(xié)同攻擊效果對(duì)比分析Fig. 8 Comparative analysis of effect of coordinated attack

從電壓越限比例和失負(fù)荷比例兩個(gè)方面來(lái)分析三種攻擊方式的攻擊效果。從圖8可以看出,單一的物理打擊僅造成系統(tǒng)8.38%的負(fù)荷丟失,且未發(fā)生電壓越限現(xiàn)象。單一信息打擊后的節(jié)點(diǎn)電壓如表8所示,雖然能導(dǎo)致系統(tǒng)64.3%的節(jié)點(diǎn)電壓發(fā)生越限,但是未出現(xiàn)節(jié)點(diǎn)觸發(fā)低/過(guò)電壓保護(hù)動(dòng)作的情況,所以系統(tǒng)并未損失負(fù)荷;而且大范圍的電壓越限現(xiàn)象會(huì)引起系統(tǒng)調(diào)度員的注意,增加信息攻擊被發(fā)現(xiàn)的可能性,致使攻擊失敗,這是因?yàn)槲雌茐脑诰S持系統(tǒng)穩(wěn)定運(yùn)行中的重要節(jié)點(diǎn),系統(tǒng)的網(wǎng)架結(jié)構(gòu)完好,有功無(wú)功調(diào)整能力充足。協(xié)同攻擊恰好綜合了兩種攻擊方式的效果;與單一信息打擊相比,在只造成系統(tǒng)23.1%的節(jié)點(diǎn)電壓越限的前提下使系統(tǒng)中重要節(jié)點(diǎn)的電壓出現(xiàn)大幅波動(dòng),觸發(fā)保護(hù)動(dòng)作而退出運(yùn)行,反映出協(xié)同攻擊中信息攻擊參數(shù)優(yōu)化模型的有效性以及協(xié)同攻擊模式的隱蔽性;與單一物理打擊相比,協(xié)同攻擊最后造成系統(tǒng)45.56%的負(fù)荷丟失,其效果明顯優(yōu)于單一物理打擊,實(shí)現(xiàn)了信息攻擊在物理攻擊基礎(chǔ)上的助推作用。

表8 節(jié)點(diǎn)11被單一信息攻擊后各節(jié)點(diǎn)的實(shí)際電壓Tab.8 Actual voltage of each node after node 11 was attacked by single FDIA (pu)

4.3.2 物理打擊點(diǎn)選擇對(duì)協(xié)同攻擊的影響

為分析物理打擊點(diǎn)對(duì)協(xié)同攻擊效果的影響,本文對(duì)比四種不同物理打擊點(diǎn)下最優(yōu)協(xié)同攻擊方案的攻擊效果,即在物理攻擊點(diǎn)確定的情況下求解協(xié)同攻擊模型,結(jié)果如圖9所示。

圖9 不同協(xié)同攻擊方案下的攻擊效果Fig. 9 Attack effect of different coordinated attack schemes

從表3可知節(jié)點(diǎn)13、9、4、10的節(jié)點(diǎn)綜合重要度為遞增,而其最優(yōu)協(xié)同攻擊效果也呈現(xiàn)出遞增,說(shuō)明針對(duì)性的選擇物理打擊點(diǎn)能有效提升協(xié)同攻擊的整體效果;同時(shí)信息打擊的助推效果也受物理攻擊選點(diǎn)的影響,節(jié)點(diǎn)10具有最高的節(jié)點(diǎn)綜合重要度,相比其他方案,在物理打擊節(jié)點(diǎn)10下的最優(yōu)協(xié)同攻擊方案中信息打擊的助推作用的效果最顯著。

4.3.3 不同負(fù)荷大小場(chǎng)景下的協(xié)同攻擊效果

由于電力系統(tǒng)的負(fù)荷具有波動(dòng)性,在不同時(shí)段的負(fù)荷大小不同,遭受協(xié)同攻擊時(shí),其后果肯定會(huì)有所差異。為此本文同步增大或減小各節(jié)點(diǎn)所帶的負(fù)荷大小,計(jì)算在大負(fù)荷、小負(fù)荷場(chǎng)景下的最優(yōu)協(xié)同攻擊方案,并對(duì)比分析各攻擊方案導(dǎo)致的系統(tǒng)失負(fù)荷比例。

從圖10可見(jiàn),在原始負(fù)荷場(chǎng)景下,協(xié)同攻擊造成系統(tǒng)的失負(fù)荷比例為45.56%;在負(fù)荷分別減少25%和50%的場(chǎng)景中,其失負(fù)荷比例都降為44.74%,說(shuō)明二者在協(xié)同攻擊下的負(fù)荷損失僅由物理打擊點(diǎn)和信息打擊點(diǎn)自身的負(fù)荷組成,而系統(tǒng)在物理打擊后和信息打擊后的切負(fù)荷量均為零。這意味著此時(shí)系統(tǒng)的電源、線路容量充足,協(xié)同攻擊的效果不明顯;在負(fù)荷分別增大25%和50%后,系統(tǒng)的失負(fù)荷量分別為1.729和2.310,分別占整體負(fù)荷的53.42%和59.46%,意味著若系統(tǒng)處于高負(fù)荷運(yùn)行狀態(tài),協(xié)同攻擊能造成更大面積的停電,攻擊效果更加顯著;也說(shuō)明當(dāng)電力系統(tǒng)處于大負(fù)荷運(yùn)行時(shí)段時(shí),面對(duì)協(xié)同攻擊時(shí)更加脆弱。

圖10 不同協(xié)同攻擊方案下的攻擊效果Fig. 10 Attack effect of different coordinated attack schemes

4.4 信息打擊點(diǎn)的特征分析

為分析在本文提出的協(xié)同攻擊模式下,信息打擊點(diǎn)的特征,本文再以改進(jìn)的IEEE57節(jié)點(diǎn)系統(tǒng)為例,求解在隨機(jī)選擇物理打擊點(diǎn)下的最優(yōu)協(xié)同攻擊方案,即在物理攻擊點(diǎn)確定的情況下求解協(xié)同攻擊模型,共獲得有效的協(xié)同攻擊方案46組,詳見(jiàn)附錄B。統(tǒng)計(jì)各協(xié)同攻擊優(yōu)化方案下各信息打擊點(diǎn)的出現(xiàn)次數(shù),如圖11所示。

圖11 各協(xié)同攻擊方案下的各信息打擊點(diǎn)的出現(xiàn)次數(shù)Fig. 11 Occurrence times of each cyber attack point under each coordinated attack scheme

(1)所有的最優(yōu)信息攻擊點(diǎn)均是負(fù)荷節(jié)點(diǎn)。

通過(guò)分析發(fā)現(xiàn)發(fā)電機(jī)節(jié)點(diǎn)電壓的波動(dòng)容易造成系統(tǒng)中其他節(jié)點(diǎn)電壓發(fā)生越限,若對(duì)發(fā)電機(jī)節(jié)點(diǎn)發(fā)動(dòng)信息攻擊,大面積的節(jié)點(diǎn)電壓越限現(xiàn)象會(huì)引起系統(tǒng)調(diào)度員的懷疑,導(dǎo)致信息攻擊失敗,所以發(fā)電機(jī)節(jié)點(diǎn)難以成為最優(yōu)信息攻擊點(diǎn)。

(2)高頻次的最優(yōu)信息攻擊點(diǎn)帶有較大的負(fù)荷。

從圖11可知,節(jié)點(diǎn)40和節(jié)點(diǎn)11出現(xiàn)的次數(shù)排在前二,分別為18次、12次。這是因?yàn)樾畔⒐魧?dǎo)致節(jié)點(diǎn)40、11退出運(yùn)行的直接負(fù)荷損失較大,分別為0.297、0.272,僅次于部分發(fā)電機(jī)節(jié)點(diǎn)自身所帶的負(fù)荷量。

(3)高頻次的最優(yōu)信息攻擊點(diǎn)與相鄰節(jié)點(diǎn)的電氣距離[25]較小。

節(jié)點(diǎn)45自身的負(fù)荷很小,而從圖11可知,節(jié)點(diǎn)45共出現(xiàn)4次,這是因?yàn)楣?jié)點(diǎn)45與節(jié)點(diǎn)46之間的電氣距離很小,作為PQ節(jié)點(diǎn),它們之間的電壓密切相關(guān)且互相影響,當(dāng)信息攻擊造成節(jié)點(diǎn)45電壓大幅波動(dòng)而觸發(fā)保護(hù)動(dòng)作時(shí),節(jié)點(diǎn)46的電壓也會(huì)大幅波動(dòng)并觸發(fā)保護(hù)動(dòng)作,所以信息攻擊導(dǎo)致節(jié)點(diǎn)45和節(jié)點(diǎn)46同時(shí)退出運(yùn)行,負(fù)荷損失量達(dá)到0.249。

對(duì)于電網(wǎng)防御者,可根據(jù)上述特征識(shí)別出電力系統(tǒng)中易遭受信息攻擊的節(jié)點(diǎn),以制定針對(duì)性的防御措施,提高抵御此類攻擊的韌性。

5 結(jié) 論

本文構(gòu)建了考慮電網(wǎng)電壓控制的兩階段協(xié)同攻擊模型,以改進(jìn)的IEEE14節(jié)點(diǎn)系統(tǒng)和IEEE57節(jié)點(diǎn)系統(tǒng)為例,求解最優(yōu)協(xié)同攻擊方案并定量分析其毀傷效果;同時(shí),定性分析了隨機(jī)物理打擊下的信息攻擊點(diǎn)的特征,為防御此類協(xié)同攻擊方式提供參考。研究結(jié)果表明：

(1)物理攻擊和信息攻擊的協(xié)同配合將會(huì)造成系統(tǒng)重要節(jié)點(diǎn)因電壓大幅波動(dòng)而退出運(yùn)行,觸發(fā)緊急狀態(tài)下的切負(fù)荷,而且協(xié)同攻擊具有隱蔽性,會(huì)給電網(wǎng)造成巨大威脅。

(2)從攻擊效果上看,物理攻擊只能造成局部的負(fù)荷損失,而信息攻擊能在其基礎(chǔ)上造成全網(wǎng)多點(diǎn)的負(fù)荷損失;同時(shí)當(dāng)系統(tǒng)負(fù)荷增大時(shí),系統(tǒng)在面臨協(xié)同攻擊時(shí)更加脆弱。

(3)選擇在維持電網(wǎng)穩(wěn)定運(yùn)行中的重要節(jié)點(diǎn)作為物理攻擊點(diǎn)會(huì)提升協(xié)同攻擊的效果;同時(shí)通過(guò)算例分析發(fā)現(xiàn),隨機(jī)物理打擊下的最優(yōu)信息攻擊點(diǎn)均是負(fù)荷節(jié)點(diǎn);高頻次的最優(yōu)信息攻擊點(diǎn)通常帶有較大的負(fù)荷,或者與相鄰節(jié)點(diǎn)的電氣距離較小。

(4)針對(duì)此類協(xié)同攻擊,可以通過(guò)加強(qiáng)重要場(chǎng)站點(diǎn)的外圍防護(hù)來(lái)防御物理攻擊,還可以通過(guò)改進(jìn)重要信息節(jié)點(diǎn)的防火墻配置來(lái)防御信息攻擊。

(附錄請(qǐng)見(jiàn)網(wǎng)絡(luò)版,印刷版略)