計及網絡攻擊影響的安全穩定控制系統風險評估方法

錢勝， 王琦， 顏云松， 封科， 夏海峰

(1. 東南大學電氣工程學院，江蘇 南京 210096；2. 南瑞集團(國網電力科學研究院)有限公司，江蘇 南京 211106)

0 引言

隨著能源互聯網的不斷發展，信息系統的安全對于物理系統愈發重要[1—2]。針對信息系統的網絡攻擊具有低成本、易實施和影響范圍廣的特點，逐漸成為敵對國家、組織對電力系統進行破壞的重要手段[3—4]。安全穩定控制系統(穩控系統)作為保證電網可靠運行的重要防線，呈現出大型化、廣域化和復雜化的趨勢。由于其控制節點多、控制鏈條長，若遭遇網絡攻擊導致系統誤動、拒動，可能給電網造成巨大的運行風險[5—8]，因此研究穩控系統遭受網絡攻擊的風險評估方法具有重要意義。

根據攻擊目的的不同，電力系統的攻擊行為可劃分為破壞可用性、破壞完整性以及破壞保密性的網絡攻擊[9—11]。針對電力系統網絡攻擊的研究主要采用攻擊圖、復雜網絡理論、攻擊樹和Petri網等方法。(1) 攻擊圖模型通過分析攻擊者對存在的安全漏洞進行攻擊的行為，找到所有能達到攻擊目標的攻擊路徑。文獻[12]提出了一種改進的電力信息物理系統連鎖故障失效評估的攻擊圖模型，但缺乏對信息系統攻擊成功的可能性分析；文獻[13—15]采用攻擊圖的方法研究工業物聯網的脆弱性，但缺乏對攻擊后果的分析；文獻[16]考慮網絡攻擊對電力系統的影響，基于攻擊圖建立了網絡攻擊成功概率模型，量化評估網絡攻擊對電力系統的影響，但求取網絡攻擊成功概率時僅考慮了通信路徑上防御措施的漏洞。(2) 復雜網絡理論能從局部和整體的視角分析電網系統安全風險傳播行為。文獻[17]采用復雜網絡理論進行電力系統風險評估，從安全漏洞和防御措施2個方面建立概率模型，但是該模型以物理網絡的連通能力作為風險指標，對電力系統的物理本質考慮不足。(3) 攻擊樹模型使用樹形結構描述對系統的網絡攻擊，將攻擊總目標作為根節點，將總目標分為多個子目標，并將其作為子節點，逐步細分，從根節點到子節點的路徑表示一次完整的攻擊過程。文獻[18]基于攻擊樹的方法對工業控制系統進行風險評估，應用多屬性效應理論計算網絡攻擊成功概率，但缺乏對網絡攻擊行為的易發性建模且主觀性較強。(4) Petri網通過定義庫所、變遷、弧和令牌等元素構成攻擊過程模型，可體現出攻擊當前狀態、攻擊動作和進程，清晰表述動作和狀態的意義并量化計算，適用于對離散事件動態系統建模[19]。如何評估網絡攻擊事件的易發性及成功概率，合理量化網絡攻擊對穩控系統的影響仍有待研究。

網絡攻擊易發性評估屬于多目標決策問題，在評估過程中容易存在主觀性較強的缺點。模糊層次分析法結合層次分析法和模糊數學的特點，可以有效分析目標準則體系層次之間的非序列關系，提高多因素下針對目標事件評估的可靠性。

基于以上分析，文中首先分析了穩控系統的層次結構；然后從攻擊對象、攻擊方式和攻擊后果3個角度分析了穩控裝置本體與穩控裝置站間通信的風險點；其次，基于模糊層次分析法對網絡攻擊易發性進行量化，并結合由Petri網建立的網絡攻擊防護單元模型，建立網絡攻擊成功概率模型；最后，以標準系統和實際系統為算例驗證了所提風險評估方法的有效性。

1 穩控系統層次結構及風險點分析

穩控系統是為了保證電力系統在遇到大擾動時安全穩定運行而在重要發電廠或變電站內裝設的控制設備，是實現緊急切機組、切負荷、直流功率緊急提升或回降等功能的二次控制系統。

1.1 穩控系統的組成結構

穩控系統一般由多套穩控裝置經通信通道連接配合構成。一個系統中一般設置1個穩定控制主站，其余為控制子站和執行站，各站之間通過復用2M通道或專用光纖通道連接，穩控系統典型三層結構如圖1所示。MS為控制主站；SS1—SS4分別為4個控制子站；ES1—ES7分別為7個執行站。

圖1 穩控系統典型三層結構示意Fig.1 Schematic diagram of typical three-layerstructure of security and stability control system

不同層級的穩控裝置具有不同的功能?？刂浦髡局饕撠熆刂撇呗缘臎Q策，匯集本站和下屬站點的信息，采用離線預定或者在線決策的控制策略，向下屬站點下達控制命令；控制子站主要負責對本地信息采樣以及匯集下屬站點的采樣信息，是控制主站和執行站之間信息和命令傳遞的關鍵樞紐；執行站主要負責執行控制主站發過來的遠方控制命令，采集并上傳本地信息。

1.2 穩控業務面臨的網絡攻擊風險點分析

穩控裝置是保證穩控業務正確執行的重要設備，文中主要從裝置本體以及裝置站間通信2個方面來分析穩控業務面臨的網絡攻擊風險點。

1.2.1 裝置本體結構風險點分析

(1) 攻擊對象。針對穩控裝置本體的網絡攻擊對象主要有3種：裝置硬件層，主要包括裝置芯片、核心板卡模塊；裝置系統層，主要包括裝置嵌入式系統、數字信號處理系統和VxWorks、Linux操作系統；應用層，主要包括各種安全穩定控制決策功能模塊、通信功能模塊、出口功能模塊等應用模塊。

(2) 攻擊方式。針對裝置硬件層、裝置系統層及應用層的木馬攻擊：攻擊者將木馬故意植入電子系統中的特殊模塊以及電路，或者設計者無意留下的缺陷模塊以及電路。這種模塊或電路一般潛伏在原始電路中，但在特殊條件觸發下，能被攻擊者利用以對原始電路進行有目的性的修改，實現破壞性功能。

(3) 攻擊后果。攻擊后果主要分為2個等級：① 造成穩控系統控制功能整體失效，當控制主站或子站裝置遭受網絡攻擊后，會產生錯誤提升或回降的直流功率，大量誤切機組或負荷，破壞電網穩定；② 造成穩控系統控制功能局部失效，執行站遭受網絡攻擊后，導致預先設定的動作措施不能正常執行，僅影響電網一次系統的局部范圍，一般能保證電網穩定運行。

1.2.2 穩控裝置站間通信風險點分析

(1) 攻擊對象。針對穩控系統裝置站間通信的網絡攻擊對象主要分為裝置與通信接口裝置、通信接口裝置與同步數字體系(synchronous digital hierarchy，SDH)、SDH與SDH通信通道。

(2) 攻擊方式。針對裝置與通信接口裝置、通信接口裝置與SDH、SDH與SDH通信通道的主要攻擊方式有網絡風暴、竊聽和篡改等。一方面，攻擊者可以利用通信協議漏洞發起網絡風暴，令穩控系統中的設備癱瘓，失去服務能力；另一方面，攻擊者通過物理層接入電力通信專網，串入攻擊設備，實現對光通信系統的竊聽或接管通信網絡篡改正常的數據，進而對穩控系統發動攻擊。

(3) 攻擊后果。通過對穩控裝置站間傳輸發動攻擊，可造成量測數據或控制數據的錯誤，通過向變電站內穩控裝置發送非正?？刂浦噶?，可造成誤切機或切負荷動作，導致直流換流站的穩控裝置誤提升或回降直流，此類攻擊會給電網的安全穩定運行造成巨大威脅。

2 穩控業務遭受網絡攻擊的風險評估方法

穩控業務遭受網絡攻擊的風險評估方法包含3個步驟：首先基于模糊層次分析法建立網絡攻擊易發性模型；其次結合網絡攻擊傳播過程的Petri網模型，建立網絡攻擊成功概率模型；最后結合網絡攻擊物理后果，提出相應的風險評估方法。

2.1 針對穩控業務的網絡攻擊易發性評估模型

考慮穩控系統和網絡攻擊的特點，構建了3層評估指標體系，如圖2所示。從攻擊方水平(S1)、設備管理(S2)和設備安全(S3)3個角度，全面地對網絡攻擊事件易發性進行評估。攻擊方水平方面主要考慮攻擊方知識(I1)、攻擊成本(I2)以及攻擊被發現的可能性(I3)；設備管理方面主要考慮設備重要度(I4)、軟硬件故障(I5)以及工作員操作(I6)；設備安全方面主要考慮設備漏洞(I7)、身份認證(I8)以及加密算法(I9)。

圖2 網絡攻擊事件易發性模型Fig.2 Susceptibility model of cyber attack incident

攻擊方水平、設備管理和設備安全指標的評分標準見表1—表3。

表1 攻擊方水平評分標準Table 1 Evaluation criteria of attacker level index

表2 設備管理評分標準Table 2 Evaluation criteria of equipment management

表3 設備安全評分標準Table 3 Evaluation criteria of equipment safety

基于模糊層次分析法分配指標層以及準則層權重，具體方法可參考文獻[20]。在文中的研究中，網絡攻擊事件易發性概率模型為：

(1)

式中：Wa，Wb，Wc分別為準則層3個方面的權重系數；Wk，Wl，Wo分別為攻擊方水平、設備管理及設備安全3個準則所對應的第k，l，o個指標的權重系數；U(x)為對應指標參數的效用值，取U(x)=e-x。

2.2 基于Petri網的網絡攻擊防護單元建模

目前穩控系統針對網絡攻擊的防護研究還在起步階段，其中加密和認證是穩控系統針對網絡攻擊的主要防護手段。

2.2.1 加密模型

密碼模型主要由兩部分組成：登錄嘗試概率和響應速度。登錄嘗試概率為所有動作中入侵嘗試動作的概率，可由失敗日志記錄數得到；響應速度為中央處理器(central processing unit，CPU)時鐘運行速度。加密模型如圖3所示，其中，灰色矩形表示瞬時變遷；白色矩形表示時延變遷；λS為重復登陸間的時延；Pf為密碼模型入侵失敗的概率；PS為密碼模型成功入侵目標系統的概率，可由式(2)估計得到。

圖3 加密模型Fig.3 Password model

(2)

式中：fS為入侵成功數；NS為總記錄數。

2.2.2 認證模型

認證加密方案在具體實現中可能有不同手段，其中硬件加密具有兼容性好、速度快的特點，被廣泛使用?；谟布用艿纳矸菡J證過程如下：

(1) 初始化階段?？蛻舳撕头掌鞫斯蚕硪粋€加密硬件。

(2) 客戶端向服務器發出一個驗證請求，然后服務器端產生隨機數并通過網絡傳輸給客戶端。

(3) 客戶端將收到的隨機數與存儲在加密硬件中的密鑰進行散列運算，并將結果作為認證證據傳給服務器。

(4) 服務器端對傳遞過來的隨機數進行散列運算，得到服務器端的信息摘要，并與客服端的信息摘要比較，相同則認證成功。

依據此過程，身份認證模型如圖4所示。其中，λd為以各種手段偷取一個系統內已在使用的加密硬件所需要的時間；λe為復制一個新的加密硬件所需要的時間；λt為系統更換加密硬件的周期；λq為成功獲取到一個服務器發來的隨機數所需要的時間；λg為服務器校驗終端發回信息所需要的時間。

圖4 身份認證模型Fig.4 Identity authentication model

2.2.3 網絡攻擊成功概率模型

一次成功的網絡攻擊一般須要突破加密和認證環節，因此將密碼模型和身份認證模型進行串聯，建立網絡攻擊傳播過程的Petri網模型，如圖5所示。由于攻擊者發動重復攻擊時只須要獲得一次硬件便可以多次使用，因此圖中用瞬時變遷代替身份認證模型中的時延變遷，在模型圖里將這一環節簡化為瞬時變遷表示的概率。Pd，Pe分別為偷取加密硬件和復制加密硬件的成功概率。

圖5 網絡攻擊過程模型Fig.5 Process model of cyber attacks

結合2.1節網絡攻擊事件的易發性模型和網絡攻擊過程模型，建立網絡攻擊成功概率模型為：

Ps=PhPJ

(3)

式中：PJ為采用Petri網仿真軟件得到的網絡攻擊傳播模型的仿真結果。

2.3 考慮網絡攻擊的穩控業務風險評估方法

考慮網絡攻擊的穩控業務風險評估方法如圖6所示，具體步驟如下。

圖6 考慮網絡攻擊的穩控業務風險評估流程Fig.6 Flow chart of the risk assessment of a stable business considering cyber attacks

步驟1：通過外部循環實現對各個執行站中穩控業務遭受網絡攻擊的考慮，每次針對一個執行站中穩控業務遭受網絡攻擊的情景進行計算。

步驟2：通過內部循環實現對電力系統故障情景的考慮。

步驟3：利用穩控系統控制措施維持電網運行。針對標準系統可以采用最優減載算法[21]得到控制措施；針對實際系統可以根據已知故障場景得到控制措施后，采用電力系統分析軟件仿真得到故障后果。如果穩控業務因網絡攻擊失效，導致執行站拒動，將對當前狀態重新計算風險指標。

步驟4：結合網絡攻擊成功概率，穩控業務遭受網絡攻擊后，執行站i的風險指標Ri為：

Ri=PsPlMi

(4)

式中：Pl為電力線路故障場景發生概率；Mi為網絡攻擊和電力線路故障同時發生后執行站i的評估指標。

據悉，其主線通車已經超過13年，瀝青橋面出現裂縫、磨光、老化等病害。對瀝青橋面進行病害處治，以維持、提高橋面鋪裝服務質量、延長橋面鋪裝使用壽命，已成為當前廣惠高速養護的首要任務。

3 算例分析

采用IEEE 30標準系統以及實際系統對文中所提方法進行驗證，在IEEE 30系統每個負荷不為0的節點安裝執行站裝置。實際系統以及對應的穩控系統控制架構參見文獻[21]。

3.1 網絡攻擊成功概率計算

通過2.1節分析可知，針對穩控裝置本體實施網絡攻擊，一般應熟悉芯片、操作系統或應用軟件內部信息，難度極大且成本極高，因此文中主要考慮針對穩控裝置站間通信通道的網絡攻擊。

假設通過訪問變電站并偷取一個加密硬件，訪問周期為30 d，偷取成功概率為0.1。復制一個加密硬件所需要的時間為90 d，復制成功概率為0.1。假設加密硬件的更換周期是360 d?；趫D5所示網絡攻擊過程模型，采用YASPER Petri網仿真軟件進行10 000次仿真，仿真得到PJ為0.038。

網絡攻擊事件的具體賦值由專家在實際情況中根據特定條件和經驗打分，如表4—表8所示。

表4 準則層模糊評判矩陣Table 4 Fuzzy evaluation matrix of criterion layer

表5 攻擊方水平模糊評判矩陣Table 5 Fuzzy evaluation matrix of attacker level index

表6 設備管理模糊評判矩陣Table 6 Fuzzy evaluation matrix of equipment management

表7 設備安全模糊評判矩陣Table 7 Fuzzy evaluation matrix of equipment safety

表8 網絡攻擊事件評分等級Table 8 Evalution level of cyber attack events

結合式(1)、式(3)及表8，事件1表示網絡攻擊對象為裝置與通信接口裝置，攻擊成功概率為0.001 4；事件2表示網絡攻擊對象為通信接口裝置與SDH，攻擊成功概率為0.001 6；事件3表示網絡攻擊對象為SDH與SDH通信通道，攻擊成功概率為0.001 5。

3.2 針對標準系統的故障仿真

采用最優減載算法計算切負荷量，評估指標Mi如式(5)所示。

(5)

式中：m為執行站數量；n為電力線路數量；Li,j為第j條線路故障后執行站i的切負荷量。

計算切負荷量的結果如表9所示，其中切負荷量L為不考慮網絡攻擊時的評估指標，切負荷量K為考慮網絡攻擊時的評估指標。從表中可以看出，不考慮網絡攻擊時，除了ES1、ES2、ES3、ES6、ES7、ES8、ES9、ES16、ES17執行站在線路發生故障時并未產生切負荷量，其他執行站均有切負荷量，且最高切負荷量為24.40 MW，占全部負荷的12.91%。

表9 各執行站的切負荷量Table 9 Load shedding of each execution station

當電力系統發生N-1故障，考慮網絡攻擊導致穩控業務失效時，執行站的切除負荷量明顯增加。其中執行站ES5的切負荷量最多，高達58.78 MW。這是因為執行站ES5對應電力節點8，其負荷需求最大，當線路發生故障且執行站無法正常切除負荷時，容易導致其他線路潮流過載而斷開，此時根據電網當前狀態重新計算切負荷量時，故障后果明顯增加。例如當電力線路6—8故障時，執行站ES5應切負荷19.46 MW，但由于裝置拒動，使線路6—28以及8—28因過載而斷開，節點8上的負荷全部丟失，增加了線路故障的影響后果。

圖7為不同故障情景下執行站的切負荷量，更加清晰直觀地展現出考慮網絡攻擊時，穩控業務失效造成的故障后果。各執行站切負荷量相比穩控業務正常時切負荷量明顯增加，其中執行站ES5切負荷量增加最多，ES18切負荷量增加最少。

圖 7 不同故障情景下執行站的切負荷量Fig.7 Load shedding of execution stationsunder different failure scenarios

基于2.3節考慮網絡攻擊的穩控業務風險評估方法及式(4)，其中線路的故障概率為0.14%，計算后果經歸一化后如圖8所示。

圖8 不同網絡攻擊場景下執行站的風險值Fig.8 Risk value of execution stations under different cyber attack scenarios

從圖8可以看出，執行站ES4、ES5的風險值比其他裝置高。而當同一個執行站遭受網絡攻擊后，攻擊通信接口裝置與SDH所造成的風險最大，這是因為風險值不僅與網絡攻擊事件成功概率有關，還和攻擊所造成的影響相關。這3種網絡攻擊事件都導致穩控業務失效，造成的拒動后果相同，而針對通信接口裝置與SDH的網絡攻擊成功概率最高，因此其風險值最大。

3.3 針對實際系統的故障仿真

以某實際特高壓交直流混聯系統[21]的穩控系統作為研究對象，分析不同執行站因網絡攻擊而拒動對暫態頻率的影響。故障場景為某條直流雙極閉鎖，損失功率為3 100 MW。此時為了保持系統頻率穩定，執行站ES1—ES5分別提升直流550 MW，250 MW，100 MW，250 MW，50 MW，并且執行站ES6—ES11分別切除負荷300 MW，375 MW，275 MW，250 MW，300 MW，300 MW。若穩控業務遭受網絡攻擊失效后，頻率跌落最大量為0.552 4 Hz。針對執行站進行N-1故障遍歷，并以頻率跌落量為評估指標，即式(4)中的Mi。該指標由BPA仿真計算得到，仿真時間設置為60 s。網絡攻擊各執行站對系統頻率的影響見表10。

表10 網絡攻擊各執行站對系統頻率的影響Table 10 The impact of cyber attacks on various execution stations on system frequency

由表10可知，考慮網絡攻擊時，執行站發生N-1故障，系統頻率跌落量在0.028 98～0.043 00 Hz范圍內，系統頻率保持在安全范圍內。系統頻率跌落量不僅和執行站的執行量有關，也和執行站的位置相關。

假設電力系統中直流雙極閉鎖的故障概率為0.01%，針對各執行站的網絡攻擊風險計算后果經歸一化后如圖9所示。

圖9 考慮網絡攻擊時實際系統中各執行站的風險值Fig.9 Risk value of execution stations in the actual system considering cyber attacks

從圖9可以看出，相較其他執行站，針對ES1的網絡攻擊風險值較大。主要是因為ES1拒動時，系統頻率跌落量較大。相較其他2種方式，針對通信接口裝置與SDH的網絡攻擊風險值較大，這是因為針對通信接口裝置與SDH的網絡攻擊成功概率最高，同一穩控業務失效造成的后果一樣。

4 結語

穩控系統存在較多網絡安全隱患，攻擊者可利用信息傳輸過程中的安全漏洞，實現對穩控業務的網絡攻擊。據此，文中基于模糊層次分析法建立了網絡攻擊易發性概率模型，并結合由Petri網建立的網絡攻擊防護單元模型，提出了一種針對網絡攻擊的穩控業務風險量化評估方法，克服了已有方法只能定性分析或缺乏物理后果分析的不足，比較了不同網絡攻擊事件對穩控業務風險值的影響大小。通過開展信息安全風險評估工作，可以發現穩控系統信息網絡中存在的主要問題，幫助運維人員找出系統薄弱的環節，為穩控系統信息網絡防護措施提供參考依據。

文中研究的穩控系統是基于主站—子站—執行站的集中式控制模式，在后續工作中，可考慮靈活的分布式控制，研究不同運行方式和表決模式下的穩控系統風險評估方法，以此來適應未來大電網發展的實際需求。