伊 娜，徐建軍，陳 月，潘飛宇

（1. 東北石油大學(xué) 電氣信息工程學(xué)院，黑龍江 大慶 163318；2. 黑龍江八一農(nóng)墾大學(xué) 工程學(xué)院，黑龍江 大慶 163319）

0 引言

隨著通信與網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，傳統(tǒng)的電力系統(tǒng)已發(fā)展為一個集計算、通信、控制于一體的多維復(fù)雜系統(tǒng)——CPS（信息物理系統(tǒng)）［1-3］。一方面，促進了電力資源狀態(tài)感知的能力；另一方面，網(wǎng)絡(luò)系統(tǒng)中的許多漏洞可能被惡意實體入侵，帶來潛在的網(wǎng)絡(luò)安全威脅［4-5］。近年來，國內(nèi)外發(fā)生了一系列電力網(wǎng)絡(luò)安全事件，例如2010 年震網(wǎng)病毒侵入伊朗核電站事件［6］、2015年Black Energy病毒侵入烏克蘭電網(wǎng)事件［7］、2019 年委內(nèi)瑞拉水電站遭受網(wǎng)絡(luò)攻擊事件、2022 年德國風(fēng)電整機制造商巨頭受到網(wǎng)絡(luò)攻擊等。由于網(wǎng)絡(luò)攻擊造成的巨大威脅，電力CPS網(wǎng)絡(luò)安全問題不容忽視。

根據(jù)攻擊目的不同，電力CPS 網(wǎng)絡(luò)攻擊行為可以分為破壞信息可用性、完整性和保密性的攻擊。FDIA（虛假數(shù)據(jù)注入攻擊）是完整性攻擊的一種常見方式，攻擊者可以繞過不良數(shù)據(jù)檢測機制，通過入侵儀表或傳感器注入虛假的測量數(shù)據(jù)，任意操縱系統(tǒng)的狀態(tài)估計，從而干擾電力系統(tǒng)的正常運行［8］。除了攻擊靜態(tài)狀態(tài)估計，F(xiàn)DIA也可用于攻擊智能電網(wǎng)其他重要模塊，如電價、分布式能源狀態(tài)、微電網(wǎng)動態(tài)分區(qū)等［9］。從攻擊者的角度來看，一次精心設(shè)計的錯誤數(shù)據(jù)可以躲避不良數(shù)據(jù)檢測機制，對電網(wǎng)的整體安全造成嚴重的威脅。因此，F(xiàn)DIA是一種具備足夠攻擊能力的有效攻擊方式。

近年來，很多學(xué)者已圍繞電力CPS 網(wǎng)絡(luò)攻擊方面展開研究，針對FDIA 行為，涉及電力市場、電力系統(tǒng)運行、分布式能量路由等問題［10-12］。在經(jīng)濟攻擊中，電力市場的狀態(tài)估計易受到FDIA，從而導(dǎo)致財務(wù)的不當(dāng)行為，文獻［10］給出了一個描述攻擊有效性和相關(guān)經(jīng)濟影響的最優(yōu)隨機保障框架。在電網(wǎng)運行中，文獻［11］研究了一種信息物理協(xié)同攻擊雙層規(guī)劃模型，通過將虛假數(shù)據(jù)注入到量測單元中使母線負荷重分配，會嚴重地破壞電力系統(tǒng)的穩(wěn)定性。在能量欺騙攻擊中，文獻［12］研究了針對能量路由的FDIA，攻擊者能夠?qū)卧斓哪芰啃畔⒒蜴溌窢顟B(tài)信息注入節(jié)點間的能量請求和響應(yīng)消息中，從而造成電力供需失衡，擾亂能源的分配。上述方法將網(wǎng)絡(luò)攻防設(shè)為靜態(tài)過程，忽略了攻防雙方之間的交互作用。

考慮攻擊者與防御者策略之間的相互影響，有學(xué)者在博弈論領(lǐng)域展開了研究，大多集中在單階段博弈和多階段博弈方法，目的往往是要造成電力系統(tǒng)穩(wěn)定性降低或電力市場經(jīng)濟損失［13-15］。在單階段博弈中：文獻［13］提出了一種隨機零和博弈方法，利用資源分配隨機模擬針對線路的攻擊，采用最優(yōu)減載算法量化攻擊后果，得到納什均衡點下的防御最優(yōu)決策；文獻［14］基于電力市場的FDIA行為，在市場背景下提出了一個攻防博弈模型，攻擊方試圖攻擊對狀態(tài)估計器影響最大的量測點以獲取經(jīng)濟利潤。在多階段博弈中，文獻［15］基于多階段博弈模型提出一種FDIA防御方法，重點考慮攻防雙方的策略調(diào)整。以上研究大多專注于博弈雙方資源的分配，未考慮數(shù)據(jù)篡改、攻擊代價及多階段攻擊等問題，降低了模型的有效性。

針對以上問題，本文提出一種多階段低代價虛假數(shù)據(jù)注入攻擊方法。首先，分析FDIA模型以及攻擊空間；其次，引入雙人零和博弈理論，基于攻擊者的攻擊動作與后果建立單階段攻防博弈模型；然后，基于單階段攻防博弈結(jié)果，考慮輸電線路攻擊代價因素，建立多階段攻擊代價模型；最后，通過IEEE 30 節(jié)點系統(tǒng)的仿真，驗證所提模型的合理性。

1 FDIA

1.1 FDIA分類

在智能電網(wǎng)中，一個集成、高速、雙向的通信網(wǎng)絡(luò)可以實現(xiàn)信息系統(tǒng)和電力系統(tǒng)之間的實時交互，如圖1所示。在智能電網(wǎng)中，從RTU（遠程終端單元）和PMU（相量測量單元）收集到的儀表量測數(shù)據(jù)通過網(wǎng)絡(luò)傳輸?shù)絊CADA（數(shù)據(jù)采集與監(jiān)視控制）系統(tǒng)，SCADA 系統(tǒng)再將數(shù)據(jù)傳到控制中心的EMS（能量管理系統(tǒng)）進行狀態(tài)估計與不良數(shù)據(jù)辨識［16］。控制中心利用狀態(tài)估計結(jié)果進行最優(yōu)潮流、故障分析等操作，然后根據(jù)系統(tǒng)的狀態(tài)采取相應(yīng)的決策，最后由SCADA 系統(tǒng)反饋給RTU和PMU。

圖1 電力CPS中的虛假數(shù)據(jù)注入攻擊示意圖Fig.1 Schematic diagram of FDIA in power CPS

狀態(tài)估計的攻擊方法共涉及3種攻擊方式，分別為：篡改量測數(shù)據(jù)、入侵SCADA 系統(tǒng)、入侵RTU 與SCADA 系統(tǒng)間的網(wǎng)絡(luò)。任何一種方法均能繞過不良數(shù)據(jù)檢測系統(tǒng)，使EMS 做出錯誤的決策。

1.2 狀態(tài)估計和不良數(shù)據(jù)辨識理論

電力系統(tǒng)的DC（直流）狀態(tài)估計模型可表示為：

式中：z為量測向量，包括節(jié)點注入功率和支路潮流；x為待估計的狀態(tài)向量，表示節(jié)點電壓相角；e為量測誤差向量；H為雅可比矩陣。

本文以最小二乘法獲得狀態(tài)變量的估計值x?：

式中：W為加權(quán)矩陣，通常有W=R-1，其中R為量測誤差e的協(xié)方差矩陣，即R=cov（e）。

由于不可避免的量測噪聲，會存在少部分壞數(shù)據(jù)或惡意數(shù)據(jù)，實際中還會增加不良數(shù)據(jù)辨識的環(huán)節(jié)［17］。LNR（最大標準化殘差）檢測是辨識不良數(shù)據(jù)的典型方式，殘差表達式為：

式中：r為真實測量值與DC 模型狀態(tài)估計計算得到的測量值之間的差值。

若||r||>τ（τ為檢測閾值）成立，則系統(tǒng)存在壞數(shù)據(jù)，需要重新對系統(tǒng)進行狀態(tài)估計。

1.3 FDIA原理

如果攻擊者對電網(wǎng)的拓撲結(jié)構(gòu)完全了解，注入攻擊向量a構(gòu)成虛假的量測向量，實際的量測數(shù)據(jù)為zbad=z+a，估計的狀態(tài)變量為xbad=x+c（c為攻擊后的誤差向量）。攻擊后的殘差可以表示為：

當(dāng)a=Hc時，有：

因此，系統(tǒng)在受到FDIA和沒有受到攻擊時具有相同的殘差，這是一個隱形的攻擊。攻擊者可以成功地繞過不良數(shù)據(jù)檢測系統(tǒng)，危害電力系統(tǒng)的穩(wěn)定運行。

2 攻擊空間描述

2.1 最優(yōu)攻擊范圍的選取

PMU 具有測量節(jié)點電壓幅值和相角的能力，能得到準確的狀態(tài)估計結(jié)果，因此在本文中定義攻擊方式為向布置PMU節(jié)點的量測單元注入虛假數(shù)據(jù)，導(dǎo)致下發(fā)錯誤的指令。單獨改變攻擊線路的潮流值會違背系統(tǒng)潮流規(guī)律，很容易被檢測出來，為了使攻擊者能夠成功地通過不良數(shù)據(jù)檢測環(huán)節(jié)，需要同時改變與被攻擊線路直接相連的所有量測量。

如圖2所示，以攻擊線路2-3為例，攻擊者有兩種攻擊方式，即選擇攻擊節(jié)點2（篡改與節(jié)點2相連線路的潮流值）或攻擊節(jié)點3（篡改與節(jié)點3相連線路的潮流值）。顯然選擇攻擊節(jié)點3 的攻擊范圍更小，耗用的攻擊資源更少，因此第二種方式為最優(yōu)選擇。

圖2 最優(yōu)攻擊范圍Fig.2 Optimal attack range

2.2 PMU的最優(yōu)配置

電力系統(tǒng)全網(wǎng)可觀測表示網(wǎng)絡(luò)中的每個節(jié)點電壓相量都能被PMU直接觀測或根據(jù)基爾霍夫定律和歐姆定律間接觀測。本文采用PMU作為量測單元，由于在每個節(jié)點都安裝PMU 的成本很高，采用0-1 整數(shù)規(guī)劃模型對量測點進行配置，在達到全網(wǎng)可觀測的同時確定最少的配置數(shù)量。配置模型為：

式中：f1為系統(tǒng)配置PMU 的總數(shù)；p為電力系統(tǒng)中的節(jié)點總數(shù)；xj為0-1 變量，表征在節(jié)點j是否配置PMU 裝置，xj=1 表示在節(jié)點j配置PMU 裝置，xj=0表示在節(jié)點j未配置PMU裝置。

可觀測約束條件為：

式中：F（j）≥1 表示節(jié)點j可被直接或間接觀測；aij為鄰接矩陣A中的元素，鄰接矩陣A表征每個節(jié)點間的鄰接關(guān)系。

當(dāng)節(jié)點i和節(jié)點j直接相連時，aij=1；當(dāng)節(jié)點i和節(jié)點j不相連時，aij=0。即：

基于0-1 整數(shù)規(guī)劃算法能夠優(yōu)化PMU 的配置，該方法簡化了約束條件，提高了收斂速度。

2.3 最優(yōu)負荷減載模型

由于各負荷節(jié)點的負荷類型不同，切除后對電力系統(tǒng)的影響也不同［18］。本文通過最優(yōu)負荷減載算法衡量攻擊造成的后果，以切負荷總量最小為準則，即：

式中：f2為系統(tǒng)負荷減載值之和；Li為系統(tǒng)中第i個負荷節(jié)點需要切除的負荷量；M為需要進行負荷切除的節(jié)點總數(shù)。

線路潮流約束如下：

式中：Fl為線路l上的潮流；Sl為0-1 變量，表征線路l的運行狀況，Sl=0 為故障狀態(tài)，Sl=1 為正常狀態(tài)；xl為線路l的電抗；Hi為第i個負荷節(jié)點的關(guān)聯(lián)矩陣；δi為第i個負荷節(jié)點的相角矩陣；L為線路集合。

系統(tǒng)節(jié)點功率和節(jié)點負荷約束如下：

式中：O為發(fā)電機集合；So為0-1變量，表征發(fā)電機o的運行狀況，So=0為故障狀態(tài)，So=1為正常狀態(tài)；Go為發(fā)電機o的輸出功率；Qi為第i個負荷節(jié)點上的負載；W為需要進行負荷切除的節(jié)點集合。

線路輸送功率約束如下：

式中：Fmaxl為線路l的熱穩(wěn)定極限。

發(fā)電機出力約束如下：

式中：Gmino和Gmaxo分別為發(fā)電機o的最小、最大出力。

每個負荷節(jié)點所切負荷量不能超過原有值：

3 雙人零和博弈模型

3.1 攻防博弈模型

本文以PMU為目標開展攻防博弈的研究，在這個過程中，攻擊者可以入侵并篡改PMU裝置的量測值，防御者通過部署冗余的PMU裝置來檢測攻擊行為，二者的動作組合構(gòu)成了博弈空間。對于攻擊者與防御者來說，一方的回報等價于另一方的虧損，攻擊者與防御者的回報和虧損值求和恒為零，因此構(gòu)成了雙人零和博弈。

網(wǎng)絡(luò)攻防博弈模型是一個非合作完全信息的靜態(tài)博弈模型，由四元組（N，S，P，U）組成。

1）N=｛NA，ND｝是局中人空間。NA為攻擊方局中人，ND為防御方局中人。

2）S=｛SA，SD｝是策略空間。SA為攻擊方策略集合，如以篡改線路潮流為攻擊手段，則SA=｛At|t=1，2，…，m｝，其中At為目標線路，m為攻擊方式總數(shù)；SD為防御方策略集合，如以部署冗余的PMU裝置為防御手段，SD=｛De|e=1，2，…，q｝，其中De為目標節(jié)點，q為防御方式總數(shù)。

3）P=｛PA，PD｝是策略選取概率空間，與策略空間相對應(yīng)。PA為攻擊方策略選取概率，PA=｛PAt|t=1，2，···，m｝，其中PAt為采用第t種攻擊方式的概率；PD為防御方策略選取概率，則PD=｛PDe|e=1，2，···，q｝，其中PDe為采用第e種防御方式的概率。

4）U=［UAUD］=（ute）m×n是收益矩陣。UA為攻擊方收益，UD為防御方收益，ute為在第t種攻擊動作與第e種防御動作下局中人的得失。收益矩陣中的元素為每種動作組合對應(yīng)的最優(yōu)負荷減載值。由于是零和博弈，UA=-UD。

3.2 博弈模型求解

博弈模型中攻防雙方的最優(yōu)策略通過求解納什均衡點可以得到，具體求解過程如下：

在零和博弈中，對于給定的收益矩陣U，如果局中人在均衡中得到的期望收益Z> 0，則博弈的納什均衡為以下對偶線性規(guī)劃問題的解：

納什均衡支付為：

納什均衡策略為：

4 多階段攻擊模型

在電網(wǎng)規(guī)劃中，需要對所做的規(guī)劃進行“N－1”校驗，查看線路是否滿足“N－1”原則。單一元件故障后，如果重合閘正常，對穩(wěn)定及連續(xù)供電可能不會造成影響?？紤]到攻防對抗具有多階段、連續(xù)性的特征，具備足夠資源的攻擊者傾向于短時間內(nèi)發(fā)動多次攻擊，而不是在單階段中同時攻擊多個目標，因此有必要基于單階段攻防博弈的結(jié)果分析多階段低代價攻擊對系統(tǒng)造成的危害。

4.1 電力網(wǎng)絡(luò)拓撲攻擊代價

在通過復(fù)雜網(wǎng)絡(luò)研究電網(wǎng)特性時，通常將發(fā)電機、變壓器和母線等看作拓撲結(jié)構(gòu)中的節(jié)點，將輸電線路和變壓器支路視為連接節(jié)點的邊?；趶?fù)雜網(wǎng)絡(luò)理論描述網(wǎng)絡(luò)拓撲結(jié)構(gòu)，將線路度數(shù)、線路緊密度和線路介數(shù)等作為電力網(wǎng)絡(luò)拓撲攻擊代價的評估指標。

線路度數(shù)、線路緊密度和線路介數(shù)指標反映了節(jié)點與線路在電力網(wǎng)絡(luò)中的分布情況。高度數(shù)、高緊密度和高介數(shù)的線路越居于電力網(wǎng)絡(luò)的中心，在電力網(wǎng)絡(luò)中越重要，其對應(yīng)攻擊難度以及代價也會越高；反之，低度數(shù)、低緊密度和低介數(shù)的線路處于電力網(wǎng)絡(luò)線路稀疏的邊沿部分［19］，這部分線路不易受到系統(tǒng)保護，脆弱性較高，因此對應(yīng)的攻擊難度以及代價也會較低?；谝陨戏治?，綜合3個評估指標定義電力網(wǎng)絡(luò)中線路l（連接節(jié)點i和節(jié)點j，下同）的拓撲攻擊代價Wl：

式中：di和dj為連接線路l兩端節(jié)點的度數(shù)；ci和cj為連接線路l兩端節(jié)點的緊密度；bij為線路l的介數(shù)；Y（?）為歸一化函數(shù)；α、β、γ分別為線路度數(shù)、線路緊密度、線路介數(shù)的權(quán)重，本文假設(shè)3個指標對線路攻擊代價具有相同的影響度［19］。

4.2 電力資源攻擊代價

在電力CPS中，電力節(jié)點的資源量通常通過該節(jié)點的發(fā)電機功率上限和負荷量進行衡量。一旦電網(wǎng)出現(xiàn)故障，信息網(wǎng)會及時調(diào)節(jié)發(fā)電機功率和負荷量，使有功功率重新達到均衡［19］，保證電網(wǎng)安全運行，有效抑制故障及故障衍生。小資源量的電力節(jié)點在電網(wǎng)中分配的功率較小，這部分節(jié)點不易受到系統(tǒng)保護，為系統(tǒng)的薄弱點，其部署的防御措施相對較少，因此對應(yīng)的攻擊難度以及代價也會較低。定義輸電線路電力資源攻擊代價：

式中：PGi，max為節(jié)點i的發(fā)電機有功功率上限值；PLi為節(jié)點i的負荷值；Pi為節(jié)點i的資源量；Dl為線路l的電力資源攻擊代價。

4.3 攻擊資源轉(zhuǎn)移代價

攻擊者在不同階段實施攻擊時，涉及攻擊資源轉(zhuǎn)移代價問題。攻擊或防御資源用可以攻擊或防御的線路數(shù)衡量，采用最短路徑Floyd算法量化資源轉(zhuǎn)移代價，目標為探索兩個節(jié)點間的最短路徑［20］。Floyd算法的基本原理如下：

設(shè)賦權(quán)無向圖由頂點集V｛v1，v2，…，vn｝和邊集E構(gòu)成，記作G（V，E），如圖3 所示，E=（eij）n×n為G的鄰接矩陣，eij為邊vi-vj的權(quán)重。

圖3 G（V，E）賦權(quán)無向圖Fig.3 Weighted undirected graph G（V，E）

1）基于頂點集V和邊集E，構(gòu)建鄰接矩陣為節(jié)點vi到vj之間的距離。若i=j，若vi與vj不直接相連，∞。即：

2）對于節(jié)點vi與節(jié)點vj之間的距離，其最短路徑可能不是兩個節(jié)點直接相連的距離，即節(jié)點i經(jīng)過某節(jié)點k到節(jié)點j的距離比節(jié)點i直接到節(jié)點j的路徑短，即此時的最短路徑為定義式（26）并進行類推，得到引入若干個節(jié)點的最短距離。

3）令k=1，利用式（26）遍歷矩陣的行列號i和j， 通過計算， 再遍歷k（k≤n）后計算。

基于最短路徑Floyd算法，求出每種多階段攻擊的最短路徑，定義最短路徑中涉及任意線路的資源轉(zhuǎn)移代價均為1，即可構(gòu)成攻擊資源轉(zhuǎn)移代價矩陣。例如，某多階段攻擊方式所對應(yīng)部署PMU的節(jié)點為a-b-c，分別求出a-b及b-c之間的最短路徑所對應(yīng)的資源轉(zhuǎn)移代價Tab和Tbc，未涉及到代價轉(zhuǎn)移的兩個節(jié)點之間的代價為0，定義攻擊資源轉(zhuǎn)移代價矩陣C為：

式中：對角線元素的值為0。

由于每種多階段攻擊方式所對應(yīng)的攻擊資源轉(zhuǎn)移代價矩陣的階數(shù)不同，引入Frobenius 范數(shù)衡量每種多階段攻擊方式的資源轉(zhuǎn)移代價，即：

式中：||C||F為攻擊資源轉(zhuǎn)移代價；Tij為資源轉(zhuǎn)移代價矩陣中的元素。

4.4 輸電線路攻擊代價

基于電力網(wǎng)絡(luò)拓撲攻擊代價、資源攻擊代價和攻擊資源轉(zhuǎn)移代價，定義輸電線路l的攻擊代價為：

式中：Al為輸電線路的攻擊代價，代表電力線路安全防護水平。

5 數(shù)值仿真與結(jié)果分析

5.1 系統(tǒng)參數(shù)設(shè)置

本文以IEEE 30 節(jié)點系統(tǒng)為例，對攻防博弈過程進行仿真，IEEE 30節(jié)點系統(tǒng)拓撲圖如圖4所示。根據(jù)所提0-1整數(shù)規(guī)劃模型對PMU量測點進行優(yōu)化配置，通過在MATLAB 中求解可得在節(jié)點3、5、8、10、11、12、19、23、26、30上總計部署10 個PMU（圖4 中縮寫為“P”）為最優(yōu)配置方案。此配置方式可以保證全網(wǎng)可觀測且所需PMU的數(shù)量最少。

圖4 IEEE 30節(jié)點系統(tǒng)拓撲圖Fig.4 Topology of IEEE 30 node system

5.2 單階段攻防博弈

對于攻擊者來說，攻擊空間設(shè)置為一個PMU的觀測區(qū)域，它通過入侵并篡改PMU裝置的量測值使線路中斷并造成負荷減載；對于防御者來說，需要一個冗余的PMU裝置作為防御手段。在本文中，采用Matpower 對FDIA 的博弈過程仿真。經(jīng)過狀態(tài)估計與不良數(shù)據(jù)的辨識，共確定10 種有效的攻擊方式，如表1所示。

表1 單一PMU攻擊后果Table 1 Consequences of attacking a single PMU

以10 種有效攻擊方式的負荷減載值作為攻擊后果，得到雙人零和博弈的收益函數(shù)，計算博弈模型的納什均衡點，如圖5和圖6所示。

圖6 單階段博弈最優(yōu)防御策略Fig.6 The optimal defense strategy in single-stage game

對于攻擊者來說，只有攻擊方式4和8會被選擇，分別占0.410 6和0.589 4的概率，其中攻擊者通過在節(jié)點12 部署PMU，攻擊線路2-4、4-12、12-13、12-15、14-15、16-17的概率最高，該攻擊方式會造成20.9 MW 的負荷減載，成功率可達0.589 4。對于防御者來說，可以選擇的保護節(jié)點有2、4、6、15、27，其中節(jié)點6和27可以防御攻擊方式4，節(jié)點2、4、15能夠防御攻擊方式8。這是由于在以攻擊方式和防御節(jié)點構(gòu)成的收益矩陣中，5個可以選擇的保護節(jié)點與上述攻擊方式對應(yīng)收益矩陣中的元素數(shù)值均為0，也就是說將冗余的PMU 裝置安裝在上述5 個節(jié)點時，防御者完全可以防御住相應(yīng)的攻擊方式。防御者采用節(jié)點6作為保護節(jié)點的概率最高（0.334 3）。在該最優(yōu)攻防策略組合下，系統(tǒng)期望負荷減載值為12.318 3 MW。

5.3 多階段攻擊

基于多階段攻擊代價模型，具備足夠資源的攻擊者傾向于短時間內(nèi)發(fā)動多次攻擊，而不是在單階段中同時攻擊多個目標?；诠シ啦┺牡玫降?0 種攻擊方式，計算每種攻擊方式的負荷損失率和攻擊代價，如圖7所示。

由圖7 可以看出，在10 種單階段有效的攻擊方式中，除了攻擊方式2和9之外，攻擊代價和負荷損失率的趨勢大體上與理論相符，花費的攻擊代價越高，其負荷損失率越大，對電網(wǎng)造成的危害越嚴重。對于攻擊方式2，盡管花費了最高的攻擊代價（0.206 1），但其負荷損失率卻偏低，僅為12.05%，這是因為攻擊方式2 中涉及的線路多居于電力網(wǎng)絡(luò)中心，部署的防御手段及措施相對齊全，因此其攻擊難度及攻擊代價較高。對比攻擊方式9 和10，攻擊方式9 花費極低的攻擊代價（0.017 8），卻造成了與攻擊方式10 相近的負荷損失率，這是因為攻擊方式9中所涉及的線路多處于電力網(wǎng)絡(luò)線路稀疏的邊沿位置，這些線路不易受到系統(tǒng)保護，通常為電網(wǎng)中最易忽略的薄弱環(huán)節(jié)，因此攻擊難度及攻擊代價較低。綜上所述，對于攻擊者來說，針對某一攻擊策略，攻擊代價越低，產(chǎn)生的負荷損失越大，則被認為是最理性且最有效的攻擊方式。

為了進一步研究多階段攻擊對系統(tǒng)安全穩(wěn)定運行造成的影響，基于攻擊代價模型，以3階段攻擊為例，仿真FDIA多階段攻擊過程。根據(jù)單階段的攻擊方式，分別將排序前50%的低攻擊代價（攻擊場景1）、排序后50%的高攻擊代價（攻擊場景2）和所有攻擊方式（攻擊場景3）的線路進行排列組合，得到三階段攻擊策略。采用蒙特卡洛算法對3種攻擊場景分別模擬2 000次網(wǎng)絡(luò)攻擊行為，仿真結(jié)果如圖8所示。

圖8 不同攻擊場景多階段攻擊代價Fig.8 Multi-stage attack cost under different attack scenarios

由圖8可以看出，不同攻擊場景下的攻擊后果明顯不同。高攻擊代價的線路在電力網(wǎng)絡(luò)中較重要，對電網(wǎng)安全穩(wěn)定運行的影響較大，一旦發(fā)起攻擊后對電網(wǎng)的破壞性也較為嚴重，因此在多階段的攻擊中，其平均攻擊代價和平均負荷損失率較高。低攻擊代價的線路安全防護水平略低，并且多為稀疏線路，因此在多階段的攻擊中，其平均攻擊代價和平均負荷損失率偏低。對比攻擊場景1 和攻擊場景2 可知，攻擊場景2 的平均攻擊代價約比攻擊場景1高出1倍，但其造成的平均負荷損失率僅比攻擊場景1 高出約0.5 倍。攻擊場景3的攻擊對象為系統(tǒng)所有線路，在遭受多階段攻擊后造成的平均負荷損失率與攻擊場景1 相差不大，但其花費的平均攻擊代價遠高于攻擊場景1。綜上所述，基于攻擊代價可以對不同的輸電線路進行清晰劃分，揭露不同線路之間的差異性。低攻擊代價的線路為系統(tǒng)中易受到攻擊的對象，其脆弱性較大；高攻擊代價的線路為系統(tǒng)中較難攻擊的對象，其防御性較高。在多階段攻擊中，高攻擊代價的線路對電力系統(tǒng)的破壞程度與危害性遠大于低攻擊代價的線路；同時，在對電力系統(tǒng)的破壞程度與危害性相差不大的情況下，低攻擊代價的線路花費的攻擊代價明顯偏低，進一步驗證了所提攻擊代價模型的有效性與適用性。

6 結(jié)語

本文在CPS 的背景下，提出了多階段低代價虛假數(shù)據(jù)注入攻擊方法，該方法以PMU作為攻防目標，基于單階段攻防博弈結(jié)果，在多階段攻擊中考慮數(shù)據(jù)篡改、多路徑攻擊及攻擊代價等問題。在不同的攻擊場景中，在對電網(wǎng)破壞性相差不大的情況下，低攻擊代價的線路花費的攻擊代價明顯偏低，驗證了所提模型的有效性。下一步的工作將研究基于博弈論的信息-物理協(xié)同攻擊策略，分析攻擊動作和特點，并提出有效的防御方案。