楊 挺,許哲銘,趙英杰,2,翟 峰,2
(1.智能電網教育部重點實驗室(天津大學),天津市 300072;2.中國電力科學研究院有限公司,北京市 100192)
隨著計算機技術、通信網絡和智能設備的發展,傳統以物理設備為核心的能源電力系統通過無處不在的傳感技術、先進的測量技術和強大的信息處理技術,逐漸演變為數字技術轉型與用戶需求驅動變革的新型電力系統,推動“源網荷儲”的互動融合[1]。新型電力系統是一個集控制、計算、通信于一體的多維異構系統,通過信息通信網絡與電力物理一次側設備的深度耦合和先進的信息技術及控制技術,有效提高了系統的穩定性、魯棒性、高效性和可靠性,是實現“碳達峰·碳中和”目標的重要手段,也是貫徹能源安全新戰略的時代需要[2-3]。
在這個背景下,數字化轉型成為了電力系統發展的關鍵一環,主要體現在如下方面:
1)應對新能源接入的挑戰:隨著可再生能源的大量接入,電力系統的結構日益復雜化。數字化技術能夠有效地協調靈活性資源,提高可再生能源的消納能力,有助于實現低碳能源轉型的目標。
2)提高電力系統的可靠性和穩定性:數字化技術可以實時監測電力系統的運行狀態,及時發現并處理故障,從而提高系統的可靠性和穩定性。
3)優化資源配置:數字化技術可以實現對電力市場的實時監控和分析,為決策者提供有力支持,有助于實現資源的優化配置。
4)促進智能電網的發展:數字化技術為智能電網提供了基礎設施,有助于提高電力系統的智能化水平,滿足未來電力需求的變化。
然而,數字化在賦予新型電力系統智能感知、高速通信和智能決策優化運行的同時,也帶來了網絡層面與物理層面的安全問題,主要表現在如下方面:
1)海量數據篡改問題:隨著數字化轉型的推進,新型電力系統中產生的數據量迅速增長,包含實現狀態辨識和故障診斷的數據采集與監控(supervisory control and data acquisition,SCADA)系統采樣數據、相量測量單元(phasor measurement unit,PMU)采集的節點相位角、電壓和電流幅值數據以及系統敏感運行數據等。一方面,攻擊者通過網絡攻擊手段,竊取、泄露這些數據來實現不法目的;另一方面,攻擊者通過篡改采集數據、負荷數據等,影響新型電力系統的調度決策和運行安全。
2)高速通信網絡堵塞信道、虛假同步問題:隨著5G 技術的引入和大量通信終端設備的接入,包括路由器、交換機、光纖通信設備、無線通信設備等,依托同步數字層次結構(synchronous digital hierarchy,SDH)等高速可靠傳輸技術的新型電力系統各個信息終端設備高效互聯通信,實現數據的實時傳輸和處理。借助各通信設備對時間同步的依賴性,攻擊者通過發送虛假的同步信息來擾亂系統,占用帶寬阻塞信道使系統無法正常運行,導致服務通信中斷。
3)智能終端設備物理安全問題:數字化轉型使得智能終端設備在新型電力系統中越來越重要,物理層大量的電力一次設備通過智能電子設備(intelligent electronic device,IED)、饋線終端單元(feeder terminal unit,FTU)、遠程終端單元(remote terminal unit,RTU)、數據傳輸單元(data transfer unit,DTU)與信息通信系統相連,其中,IED 包括保護繼電器、故障錄波器、電能質量監測儀表等完成泛在感知數據采集、邊緣計算,RTU 負責采集電力系統現場的開關狀態、電壓、電流、有功功率、無功功率等數據。這些設備面臨物理攻擊的風險,如盜竊、損壞或篡改等,這將導致設備功能喪失、數據泄露或系統癱瘓等嚴重后果。
文獻[4]指出相互依賴的網絡由于現有的交互式鏈接,比任何單一的網絡更脆弱,更容易造成災難性的一連串故障。因此,新型電力系統在其物理系統固有漏洞的保護與針對網絡系統攻擊的防御方面都面臨諸多新挑戰。特別是近些年頻頻發生信息側的新型電力系統攻擊事件,通過跨域傳播導致電力系統大規模連鎖故障。全球首個導致電力系統大規模癱瘓的信息-物理協同攻擊(coordinated cyberphysical attack,CCPA)發生在2015 年,烏克蘭電網信息系統被植入BlackEnergy 病毒,導致輸電線路連續跳閘,系統無法正常重啟,造成8 萬戶居民停電[5-6]。
近年來,全球范圍內已發生多起針對電力系統的大規模攻擊事件。2013 年,美國多家工業和能源相關企業遭受來自“蜻蜓”惡意軟件的網絡攻擊,導致大量能源數據泄露[7];2014 年,美國加利福尼亞州圣何塞附近的一個變電站遭受武裝人員槍擊,17 臺巨型變壓器被物理破壞,該變電站被迫關閉了1 個月[8];2016 年,以色列電力局遭受未知網絡攻擊,導致監管機構計算機系統癱瘓數周[9-10];2020 年,巴西的電力公司受到Sodinokibi 惡意軟件的網絡攻擊,被黑客勒索1 400 萬美元贖金,大量電力數據被鎖定[11-12]。
從上述攻擊事件可以看出,針對數字化轉型的新型電力系統的攻擊方式主要為網絡攻擊、CCPA和物理攻擊。本文第2 章針對新型電力系統已出現或可能面臨的多種攻擊類型總結分類,第3 章對新型電力系統安全防御的方法從攻擊前、攻擊中和攻擊后3 個階段進行歸納總結。最后,提出當前新型電力系統安全性研究的不足,對未來技術發展進行了展望。
新型電力系統是集物理設備系統、通信系統、控制系統、繼電保護系統和配電管理系統于一體的集成、互聯和智能系統,實現電力系統的實時監測、快速響應和自動調節,提高了電力系統的運行效率和穩定性,有效處理和分析海量電力數據,實現對電力資源的優化配置和能源管理,降低能源消耗和減少環境污染。
然而,依賴于計算機系統、控制軟件和通信技術的新型電力系統,涌現出的這些多元主體和多層次市場之間需要進行大量的信息數據交互和協調,數字技術所存在的安全隱患使得新型電力系統極易受到網絡攻擊。各單元通過互聯網絡相互連接,使得攻擊者可以從一個設備入侵整個系統,增加了系統的攻擊面,為攻擊者提供了入侵新型電力系統的便利機會。如圖1 所示,新型電力系統控制層主要包含電力系統的監測、控制、優化和管理,雖防御能力最強,但攻擊者通過數據竊取篡改、植入病毒、偽裝終端破壞干擾控制層的終端,對新型電力系統造成的危害最大。網絡層主要負責新型電力系統各個節點之間的數據傳輸和交換,攻擊者主要通過堵塞信息通路或篡改傳輸數據實現其攻擊目的;物理層主要涵蓋了電力系統的發電廠、變電站、輸電線路、配電網等物理設施,以及新型電力系統高滲透的新能源發電端與電動汽車用戶端,其物理屬性導致防御能力弱,常被攻擊者作為攻擊突破口。因此,本章從數據攻擊、網絡攻擊和物理攻擊3 個方面介紹數字化轉型下的新型電力系統攻擊模式及分析。
新型電力系統控制層實現如負荷頻率控制、電壓控制、調度自動化等自動控制功能,對監控中心的控制命令執行相應的控制策略,如調整發電機功率輸出、調節變壓器的抽頭位置等。其中,包括電網拓撲結構、電力負荷數據、設備狀態信息、運行指標等海量敏感數據,一旦受到數據攻擊,將造成新型電力系統運行失穩、決策誤判、市場混亂等嚴重后果。常見的數據攻擊有虛假數據注入攻擊(false data injection attack,FDIA)、數據重放攻擊(data replay attack,DRA)、中 間 人 攻 擊(man-in-the-middle attack,MiTMA)。
1.1.1 FDIA
FDIA 是一種新興的攻擊方式,特別是針對新型電力系統的信息-物理深度耦合特質,其通過惡意篡改采樣端量測數據以及控制端狀態估計(state estimation,SE)結果,造成對物理系統運行狀態的誤判或控制執行的誤操作。在新型電力系統數字化轉型中,由于數字技術的進步和用戶需求的變化,電力系統呈現出復雜、高度分散、具有海量設備數據的特征,存在更大的潛在FDIA 攻擊威脅。如以采集的電氣量數據作為攻擊對象,對SCADA 系統的采樣電壓、節點功率注入和線路潮流數據等[13]進行攻擊,影 響 電 力 系 統 的SE[14]、負 載 頻 率 控 制(load frequency control,LFC)等[15],使得SCADA 系統和自動發電控制(automatic generation control,AGC)系統錯誤判定,下達錯誤指令致使系統失穩[16]。
目前,FDIA 是嚴重危害電力系統的安全可靠運行的主要威脅之一。為了實現新型電力系統新能源高比例并網,需要加強對新能源的預測、調度和控制,這些都依賴于數據的準確性和完整性。攻擊者在電力系統中的某些節點之間注入虛假的新能源發電量、電力需求、電力調度指令數據,從而干擾新能源的并網運行。圖2 為典型的FDIA 作用在新型電力系統中的作用過程。
部分學者已經開始針對FDIA 開展研究,在FDIA 實現的可能性方面,文獻[17]研究了FDIA 對新型電力系統多樣化智能終端設備攻擊的各種可能性。文獻[18]討論了如何通過修改RTU 的固件來實現FDIA。文獻[19]發現一旦攻擊者仿冒合法節點并獲得設備的物理控制權,便可以通過FDIA 注入惡意代碼扭曲其輸出,從而在整個系統中傳播虛假信息。為此,文獻[20]基于行為分析的防御策略監控設備的行為模式以應對FDIA。文獻[21]提出一種基于有限時間控制理論和Paillier 密碼系統的新型電力系統隱私保護算法,以抵抗通信鏈路密文傳輸過程中的FDIA。在討論FDIA 對控制層影響方面,文獻[22]舉例說明了FDIA 通過對新型電力系統注入虛假測量數據,導致控制監測中心不必要的重復發電調度和系統減載,最終導致不穩定狀態。文獻[23]則具體分析了針對AGC 系統的FDIA,詳細闡述了攻擊導致發電機頻率偏差的危險。文獻[24]研究了針對交流微電網的FDIA,通過測量數據造假可導致二次電壓控制器設定不準確的設定值。
1.1.2 DRA
在新型電力系統中,DRA 是數據偽造攻擊的重要方式,攻擊者通過攔截、抓包的方式,向目標主機重復發送其已經接收過的的監控數據,從而達到欺騙系統的目的,主要用于破壞身份認證的正確性[25]。例如,在無線終端接入系統的認證協議交互過程中,對新型電力系統開展重放攻擊,欺騙系統使其疲于響應攻擊包,導致系統不能響應正常的身份認證請求,造成認證失敗。這種攻擊方式僅需要網絡監聽或者盜取認證憑據即可實施[26]。因此,隨著新型電力系統中4G、5G 等高速無線通信方式的引入,數字化轉型產生的海量數據更易于受到DRA。一旦攻擊者發起DRA,并順利騙過認證系統,攻擊者可以通過重復發送同一控制指令破壞電力物理系統的運行狀態,或從終端側重復發送感知的量測數據使調度和控制主站無法準確評估電力物理系統的正常運行狀態[27],進而影響電力系統的穩定性。因此,部分學者根據重放攻擊的特點,深入研究了其行為特征以及檢測區分方法,并提出采用增加隨機數或序列號、增加時間戳、挑戰-應答等多種方式抵抗重放攻擊[28-29]。
1.1.3 MiTMA
MiTMA 是一種間接的入侵攻擊,攻擊者通過技術手段將自身隱藏在兩個或多個通信終端的網絡連接之間,進而攔截、竊聽甚至篡改信道中的數據,破壞數據的機密性、完整性和可用性[30]。與上述幾種網絡攻擊方法不同的是,MiTMA 能夠通過破解通信協議來對攻擊者的設備進行偽裝,隱蔽性更強,更加難以檢測。
在新型電力系統數字化轉型中,攻擊者利用MiTMA 進行身份偽造或證書偽造,冒充電力系統中的某個合法節點,如發電廠、變電站、調度中心等,攔截并向其他節點發送錯誤的電力需求、電力價格、電力調度指令等關鍵信息,從而干擾電力系統的正常運行,造成供需失衡、市場混亂或設備損壞等后果。
針對MiTMA 隱蔽性強的特點,文獻[31]研究了在隨機訪問協議調度下針對新型電力系統的MiTMA,攻擊者攔截并修改傳輸的數據,通過轉發以降低系統性能。文獻[32]設計了基于仿真的電力系統系統測試平臺,并實現了多階段的MiTMA入侵,證明了這種攻擊將誤導數字化物理采樣設施的運作,造成新型電力系統突發事件。此外,針對新型電力系統通信層5G 毫米波特點,文獻[33]提出了一種利用跨層信息的MiTMA 檢測和定位算法。
對于新型電力系統網絡傳輸層來說,通信設備負責傳輸大量物理設備采集數據,攻擊者通常采取堵塞、破壞通信信道和篡改通信數據的方式進行攻擊。由于新型電力系統的運行和控制極其依賴精準與強時效性的數據,網絡層一旦受到攻擊,將對新型電力系統以及電力系統產生極其嚴重的影響。常見的有針對新型電力系統網絡終端的時間同步攻擊(time synchronization attack,TSA),以及針對網絡傳輸層的拒絕服務(denial of service,DoS)攻擊。
1.2.1 TSA
由于數字化轉型帶來了電力系統的分布式、智能化、數據化等特征,新型電力系統作為一個跨地理空間的分布式分散系統,使得電力系統的運行控制,如輸配電系統的潮流計算依賴于全球定位系統(global positioning system,GPS)/北斗衛星的時標信號來保持不同區域時間同步的精度和可靠性。
TSA 就是利用新型電力系統終端(如PMU)的時間同步裝置與GPS/北斗衛星同步時采用缺乏加密認證機制的明碼進行通信的缺陷,發射偽造的衛星導航報文,誘使新型電力系統信息終端接收并解算出錯誤的同步時間,從而標定數據造成時間偏差,進而紊亂廣域測量系統、電力調控系統做出錯誤控制決策,造成系統失控,達成攻擊破壞目的[34]。盡管傳統變電站的國家標準在時間同步防護方面提供了寶貴經驗,新型電力系統與傳統變電站在結構、功能和技術方面仍然存在顯著差異,使得直接將變電站國標推廣至新型電力系統的各個監控系統變得復雜而具有挑戰性。文獻[35]介紹了一種基于安全碼估計和重放攻擊等方式對衛星信號實現欺騙干擾的方法。文獻[36]討論了基于控制器的低成本GPS模擬定位軟件,可以通過幾個函數調用廣播偽造的GPS 信號來發起TSA。文獻[37]介紹了一種已知的基于抑制和欺騙的GPS 信號組合干擾策略,能夠使PMU 中的時間同步裝置出現明顯的時間抖動。
此外,同步時間數據抖動而造成的實際運行系統故障也有記錄和報道。2013 年1 月,由于時間同步裝置發生故障導致時間數據抖動,中國西部電力控制中心執行了錯誤日期的發電計劃,導致水電站多臺水輪機非正常停機[38]。雖然這起事故可能不是由TSA 引起的,但確實展示了TSA 在新型電力系統中的攻擊潛力。正如上述分析,不同于智能變電站或中央控制主站等電力設備,目前還少有針對PMU 和時間同步裝置建立的重點安全防御機制,而時間同步又是新型電力系統數字化監測和控制系統的數據基礎屬性。因此,TSA 對新型電力系統的發展有著很大的威脅。
1.2.2 DoS 攻擊
DoS 攻擊是一種傳統的針對通信網的攻擊方法。新型電力系統的數字化轉型引入了5G 和光纖通信技術,實現系統數據高速通信交互的同時,提供給攻擊者通過協議安全漏洞、網絡流量泛濫和通信信道堵塞等方式發起攻擊的機會[39]。例如,面向新型電力系統近設備端海量智能監控終端,DoS 通過攻擊電力系統通信網絡,如FTU、DTU 或RTU 的遙測、遙信、遙控信道[40],進而影響控制系統和電力系統動態穩定運行。圖3 展示了一個簡單的DoS 攻擊流程。比DoS 攻擊更具有隱蔽性和攻擊強度的是分布式拒絕服務(distributed denial of service,DDoS)攻擊,其通過分散在不同地方的主機向同一服務器發送過載流量而導致數據通信癱瘓,失去控制能力,直至服務系統崩潰,失去對電力物理系統的調控能力。
圖3 簡單的DoS 攻擊流程Fig.3 Process of simple DoS attack
文獻[41]研究了DoS 攻擊對LFC 系統穩定性的影響,提出了一種新的基于DoS 攻擊持續時間和頻率的穩定性判據。文獻[42]分析了孤島微電網在DoS 攻擊下的隨機穩定性。文獻[43]分析了具有多個數字化遠程SE 子系統的新型電力系統在DoS 攻擊下的情況,建立了多傳感器多通道遠程SE模型。近年來,更多樣的新型電力系統數字化終端并網為DoS 或DDoS 提供了更多的攻擊點。在文獻[44]中就詳細研究了直流微電網在DoS 攻擊下的故障穿越能力。文獻[45]則研究了接入大量電動汽車的數字化電力系統在DDoS 攻擊下對LFC 系統觀測器的影響。此外,文獻[46]構建了仿真平臺,在其上分析了新型電力系統在DoS 攻擊下的脆弱性,并對分散控制策略和分布式控制策略的性能進行了比較。
新型電力系統以物理設備為基礎,正常運行依賴于電力一次、二次物理設備,尤其是在數字化轉型背景下,伴隨大量IED、FTU、RTU 和DTU 接入新型電力系統,海量物理層監控數據被引入。因此,除了上述借助現有互聯網攻擊技術從信息終端發起的數據攻擊外,還有一種獨特的針對新型電力系統物理層的攻擊,一旦成功入侵電力物理基礎設施或破壞物理系統,會直接威脅新型電力系統的物理安全運行[47]。最直接的便是采取暴力手段對其物理層設備進行破壞癱瘓。
在新型電力系統中,攻擊者通過收集電力系統的基礎設施和關鍵設備信息,確定變電站、通信設備、監控系統等具體的攻擊目標,采用電磁脈沖、石墨炸彈、無人機攻擊、激光干擾以及共振攻擊(resonance attack,RA)等物理攻擊造成電力設備故障損毀。常見的電磁脈沖攻擊能夠瞬間產生高電壓、高電流,可能在不接觸電氣設備的情況下損壞電氣設備[48]。石墨炸彈則是釋放出大量如石墨線條的碳質材料,在空中分散后落在變電站的絕緣設備上,因其導電形成短路并導致設備故障,甚至可能引發大規模的電力中斷[49]。因此,石墨炸彈也可作為無人機攻擊所攜帶的爆炸物[50]。激光干擾攻擊是采用高能射線激光對電力設備的光學元件或傳感器進行干擾或損傷,影響其正常工作。隨著數字化智能電表的普及,還存在欠壓型、欠流型、移相型和擴差法竊電物理攻擊,通過改變電表接線,竊取部分電量,造成電網非技術性經濟損失[51]。
另外,RA 作為最為典型的新型電力系統物理攻擊之一,其通過共振源改變電力負載或接觸線信號,導致電力系統控制的頻率或變化率異常。由于每個系統都有固有的共振,RA 會篡改負載或發電機的狀態信號,而這些信號太微弱,無法通過常規檢測方法識別[52]。
文獻[53]通過兩區域LFC 的仿真證明了RA 攻擊實施的可能性,并證明了精準RA 會對電力系統頻率控制產生不可逆的影響。文獻[54]對由線性/非線性項、一階/高階項、自動電壓調節器和電力系統穩定器組成的單區域和多區域LFC 系統遭受RA的過程進行了數字仿真。結果表明,RA 不僅能夠對一個區域內LFC 造成破壞,而且可以傳播到其他互聯區域,形成更大范圍的破壞。
數字化新型電力系統是智能化網絡與物理緊耦合系統。因此,攻擊者采用CCPA,通過兩個平行域的交疊和風險跨域傳遞,形成比任意單一攻擊規模更大,效果更強的破壞[55]。2015 年烏克蘭的攻擊事件就屬于CCPA,此次事件不僅證明了協同網絡物理攻擊的可能性,也展示其巨大的攻擊威力和防御難度[56]。
圖4 展 示 了CCPA 的 流 程。通 常,CCPA 會 通過網絡攻擊來掩蓋物理攻擊造成的系統故障,這樣做的目的是延緩發現故障的時間,利用時間差進一步擴大或發起更大規模的物理攻擊,從而達到破壞系統安全穩定運行的目的[57]。
圖4 CCPA 的流程Fig.4 Process of CCPA
文獻[58]提出新型電力系統可能存在重放和優化兩種潛在的CCPA,并表明攻擊者將根據新型電力系統PMU 的測量結果采用FDIA 注入攻擊向量,以掩蓋物理攻擊向量的影響。文獻[59]更進一步提出若CCPA 注入的虛假數據滿足基爾霍夫電流、電壓定律,并適當地添加故障線路兩端的數據殘差,以此掩蓋虛假的輸電線路故障,那么虛假數據很難被PMU 檢測出。文獻[60]討論了DDoS 攻擊切斷新型電力系統SCADA 等遠程控制系統的通信,導致發電廠惡意跳閘,以誘發CCPA 造成大規模停電事故。文獻[61]考慮變電站全拓撲結構和電力系統多階段響應過程,提出非預期跳閘網絡攻擊、誤判跳閘的網絡攻擊和物理攻擊交互作用的三層CCPA 模型。此外,還有針對AGC 和LFC 系統的CCPA研究[62-63]。
由上述分析可知,隨著先進數字化技術的不斷發展與融合,針對新型電力系統的攻擊方式呈現出多維立體性和極強的隱秘性。為了抵御各種攻擊,各國學者分別從網絡領域和物理領域[64]、時間維度和空間維度[65]以及以數據為中心研究數據的可用性、完整性和機密性[66]對新型電力系統安全防御進行了深入研究。隨著針對新型電力系統的新型協同攻擊越來越多,上述分類和研究無法很好地總結以往的新型電力系統安全防御方法。本文將根據攻擊事件周期性演化的全過程,將新型電力系統的安全檢測和防御方法分為攻擊前、攻擊中和攻擊后3 種。圖5 展示了本章的研究結構。
圖5 新型電力系統安全防御階段Fig.5 Security and defense stages of new power system
面對可能出現的攻擊,新型電力系統應預先部署響應的安全防御策略,首要的就是通過身份認證、安全加密實現對潛在攻擊的提前有效阻隔。
2.1.1 安全訪問與可信接入技術
隨著新型電力系統建設,電力系統中接入了越來越多的IED,包括了用戶側的分布式可再生能源監控裝置、儲能單元的調控裝置以及實現電網更全面細致可觀測性的智能傳感器。這些IED 分屬于不同的主體,當需要“即插即用”接入系統時,就需要身份認證和可信接入技術。同時,任何數據在網絡中傳輸應該通過數據加密,以防止數據先期被監聽、截獲或篡改。
身份認證技術被定義為驗證接入對象身份是否有效的行為,接入對象可以是用戶、智能設備或連接到新型電力系統的任何組件[67],其主要目標是識別和驗證接入請求對象的身份合法性和真實性,屬于新型電力系統安全防御的第一道防線。文獻[68]針對新型電力系統電動汽車接入身份不確定、接入終端不可信的問題,提出實時匿名身份認證和動態權限管理機制,實現數字化場景下涌現多元第三方新主體可信接入權限的精細化管理。文獻[69]提出了一種基于人工智能馬爾可夫模型預測的輕量級安全認證機制。文獻[70]則針對新型電力系統智能化設備接入時的通信授權問題,提出了一種基于低熵的共享密碼體制。此外,由于傳統基于口令的身份認證方式存在被破解的風險,而基于生物特征的方法準確率較低,文獻[71]提出了一種基于區塊鏈的零信任環境下,數字化網絡終端信任共識方法,有效防止密鑰泄露和被破解,且采用聯盟區塊鏈和貝塔分布的多重信任評估機制可以評估終端的信任度并應對多次惡意攻擊。
2.1.2 防御策略與資源配置
除上述有效的安全防控方法部署外,防御策略的制定將能夠發現潛在的隱患,實現對可能的攻擊提前防范,資源優化配置。
通過對攻擊者攻擊方式與系統演變過程的分析與仿真,防御策略可以站在攻擊者的角度發現當前新型電力系統的薄弱環節,并在建立模型和系統推演的基礎上得出攻擊后可能產生的效果,為后續新型電力系統的安全防御提供先期資源配置部署。目前,已經構造出多種攻擊模型以模擬攻擊者不同攻擊方式。其中,基于攻擊樹模型的參數加權時間自動機評估模型[72]系統地分析單一目標的威脅,相比之下,基于攻擊圖的新型電力系統網絡攻擊和跨域故障仿真和量化評估模型[73]能夠清晰展示多目標間的攻擊路徑,以及針對PMU 測量數據的事件同步攻擊和事件非同步攻擊的模型[74]等。此外,文獻[75]還研究了一種在噪聲數據攝動影響和網絡攻擊下的電力系統脆弱性評估。
當通過攻擊模擬、系統演化和性能評測后,就需要根據所挖掘的新型電力系統潛在風險進行防御資源調配,提升系統防御能力。文獻[76]針對新型電力系統智能化感知主動防護的需求,面向數字化物聯終端和新型網絡邊際安全的資源調配,提出建立網絡安全事件預判、預警及預控的防御策略。文獻[77]研究了在FDIA 下電力系統關鍵運行參數的變化情況,提出了一種基于博弈論的防御資源分配方法。文獻[78]提出了一個基于貝葉斯自適應網絡的概率風險分析框架模型,進而在資源受限情況下幫助決策者或控制系統合理分配網絡防御資源。文獻[79]提出了一種基于協同進化的算法來獲取大規模網絡均衡的動態攻防過程中的動作集。文獻[80]從發電廠、輸電網和配電網3 個層次對攻擊和防御行為進行了建模,研究了在上述3 個網絡層級上的最佳防御策略。文獻[81]以多網融合、多能互補、多態互動的新型電力系統能源體系為背景,針對計及負荷重分配攻擊與破壞供能網絡相結合的CCPA,研究計及系統備用容量和替代負荷的最優防御策略。
需要注意的是,無論采取何種防御手段,都不能完全保證電力工控系統的絕對安全,影響攻防效果與成功概率的因素主要在于攻防雙方掌握的物理攻防資源與信息了解程度。因此,還需要對自身的攻防策略進行優化。
2.2.1 新型電力系統的多級安全防線防御方法
傳統電力系統通過設置“三道防線”的方法來增強系統在應對故障時的安全性[82]。第一道防線依靠有效的預防性控制措施,確保電力系統在發生常見預想故障時,保持穩定運行和正常供電;第二道防線是通過快速繼電保護系統,采用安全控制裝置及切機、切負荷等緊急控制措施,確保電力系統在發生概率較低的嚴重故障時能繼續保持穩定運行;第三道防線則是在系統中預先設置失步解列、低壓低頻減載及電壓緊急控制裝置,當遇到多重嚴重事故破壞時,依靠這些裝置緊急控制直至解列以阻止事故擴大,防止大面積停電。與之耦合,在新型電力系統的發展過程中,也逐漸形成了新型電力系統安全防御的“三道防線”。
新型電力系統第一道防線是在故障未發生時,全面感知和精準分析電力系統,預防減少故障的發生??刂茖硬捎蒙矸葑R別[67]、入侵檢測和加密認證技術,防止竊取篡改數據,檢測隔離惡意軟件;網絡層通過建立多路徑冗余通信網絡、動態路由[83]、時間同步[84],提高通信網絡的容錯能力和抗干擾能力;物理層采用在線監測[85]、智能診斷[86]、預防性維護,評估設備壽命,保障正常運行。第二道防線是指在故障發生時,快速響應、自主控制電力系統,應急切除故障并恢復??刂茖硬捎霉收蠙z測技術[87]、調節系統運行參數,快速識別故障源,實施緊急控制策略;網絡層采用多播技術、備用路由切換等方式,實現通信網絡重構與自愈保護[88];物理層采用智能設備調節負荷,分布式能源、儲能設備補充供給,實現故障中負荷供給平衡[89]。第三道防線則是在故障短時無法消除且影響較大時,災備切換、緊急干預電力系統,實現故障最小化擴散、最大化減損和最優化重建??刂茖硬捎梅謪^控制和分級保護[90]、低頻低壓減載和黑啟動[91],防止故障的擴散、系統崩潰或再次失穩;網絡層通過重啟路由、應急通信衛星,保證臨時應急通信[92];物理層通過微網切入或切出、分布式發電及儲能技術供電島網,保障重要負荷供電[93]。
文獻[94]提出了在電力通信網規劃時構建主備路由的方法,則當通信鏈路傳輸性能下降時可自動跳轉到備用路徑保證正常網絡功能,實現了第一道防線防御。而新型電力系統骨干網采用SDH 環網結構,巧妙地使用了SDH 對端50 ms 自動環回的優良特性,實現了新型電力系統的第二道防線網絡自愈保護。對于第三道防線,傳統電力系統解列僅需考慮潮流,而對于新型電力系統,由于其信息-物理高度融合為本質特征,當需要阻隔故障演進而切斷通信鏈路時,必將導致一定數量電力業務中斷,若此時信息割面與物理割面不統一,勢必擴大停電范圍,加劇故障破壞。為此,文獻[95]提出了一種基于網絡物理統一主動切割的新型電力系統飽和防御的新方法,能有效防止攻擊破壞的擴大,保障主安全區的穩定運行。
2.2.2 入侵檢測辨識與防御技術
相較于多級安全防線從系統層面阻斷攻擊蔓延的防御方法,入侵檢測方法側重識別單點異常,能在新型電力系統已受到攻擊的最短時間內,準確辨識入侵方式和攻擊點,為防御贏得最寶貴的時間,也能夠通過正確的防御手段最大程度地降低攻擊所造成的后果,因而得到廣泛深入研究。如圖6 所示,新型電力系統的入侵檢測與辨識技術可分為物理層與網絡層。
圖6 基于人工智能的入侵檢測與辨識技術Fig.6 Intrusion detection and identification technology based on artificial intelligence
物理層的檢測方法主要依靠判斷智能化數字終端量測、決策動作指令和系統運行狀態突變是否符合電力系統的物理規律[64]。其中,殘差檢測法或時空相關約束有效利用電力物理規律進行不良數據檢測辨識[96],但由于需要建立精確的物理模型,實現難度較大。文獻[97]針對直流輸電線路提出的基于移動平均法的不良數據識別方法易于實現,不需要大量歷史數據進行訓練,但其檢測魯棒性不如文獻[98-99]針對SCADA 系統及FDIA 提出的基于高斯混合模型的歸一化殘差法。
網絡層的檢測主要依賴于信息技術中的入侵檢測原理,通常借助入侵檢測系統和安全信息和事件管理系統等數據管理和檢測系統,對網絡通信設備的地址和網絡日志、傳輸流量或通信模式等網絡參數進行檢測,如采用一致性檢測方法或根據先驗信息鑒別。文獻[100]介紹了一種基于貝葉斯模型的異常數據流量檢測機制,以此區分無線傳感網絡中的DoS 攻擊和合法用戶通信傳輸的高流量。針對多種網絡攻擊,文獻[101]提出了一種遺傳算法與鯨魚優化算法結合的入侵識別檢測模型。與電力一次設備及電力場景結合,文獻[102]以易受信息物理協同攻擊的智能電表為研究對象,提出基于攻防博弈的異常用電檢測防御模型,針對不同節點攻擊強度設置防御節點,解決以往異常入侵檢測資源分配不當問題。文獻[103]針對SCADA 系統,設計了一種基于高斯混合模型和卡爾曼濾波的異常檢測方法。文獻[104]針對電網調頻控制器可能受到的DoS 攻擊,提出了一種基于入侵檢測器設計的二次頻率控制方法。文獻[105]則考慮了多區域互聯電力系統,提出了一種針對FDIA 的分布式數據確定入侵檢測的方法。為解決新型電力系統清潔能源大規模并網存在的隱蔽惡意數據攻擊篡改,文獻[106]提出基于注意力-深度強化學習的檢測方法進行入侵辨識防御,通過改進圖卷積網絡算法定位惡意數據攻擊。文獻[107]則是面向大規模電動汽車接入新型電力系統的場景,提出一種基于機器學習技術的概率性跨層入侵檢測系統。
此外,有別于現有的對每幀報文的拆解辨識,文獻[108]提出了一種基于新型電力系統信息流時-頻域混合特征的人工蜂群優化支持向量機(artificial bee colony of optimizing the support vector machine,ABC-SVM)異常流量譜聚類檢測方法,由于僅需檢測流傳輸行為特征而無須分解報文,極大程度地提升了檢測速度,并且具有對未知攻擊/入侵行為的準確辨識能力。近年來,隨著人工智能技術的迅速發展,基于人工智能機器學習的新型入侵檢測方法在辨識準確度上得到了顯著提升。如采用基于生成對抗網絡和深度遞歸神經網絡模型在以太坊區塊鏈中進行網絡攻擊和欺詐交易檢測排查[109],以及基于自適應特征提升和集合學習框架,提取新型電力系統海量數據中代表性強的特征[110]。
新型電力系統防御的根本目標是保證電力系統的運行穩定,包括電壓、頻率和功角穩定。因此,新型電力系統防御方法多將攻擊阻隔和系統穩定控制緊密結合,通過制定針對性的控制策略或設計考慮攻擊的控制器,在攻擊發生時盡可能維持新型電力系統穩定運行,最大程度降低攻擊的影響。目前,針對新型電力系統攻擊的安全控制方法可分為兩類:彈性控制方法和主動防御控制方法。彈性控制方法基于攻擊模型分析系統性能與攻擊參數之間的量化關系。如通過采用李雅普諾夫法分析攻擊情況下的彈性約束條件,進而設計彈性控制觸發機制,保證系統的輸入狀態穩定[111]。主動防御控制方法采用主動補償機制應對攻擊,保證控制系統性能。常見的主動防御控制方法包括預測控制法[112]、多通道網絡化控制方法[113]等。
在諸多防御方法中,還有一項對攻擊方進行欺騙的防御技術——蜜罐技術,它是網絡防御中的陷阱技術[114]。通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析。蜜罐技術通過了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,進而有針對性地加固系統。同時,還能通過蜜罐技術達到消耗攻擊資源的目的。
2.2.3 基于密鑰的數據安全防護技術
新型電力系統需要廣域量測和敏捷控制保證系統的穩定安全高效運行,海量敏感數據在新型電力系統的各個層級和模塊之間進行采集、傳輸和存儲。為防止各類運行數據不被監聽或篡改,數據加密成為電網必要的攻擊防御手段之一。數據加密是通過對明文數據進行加密再傳輸,防止泄露敏感數據,并確保數據的保密性和完整性。根據數據關鍵程度、運算時間限制等不同需求,基于密鑰的數據安全防護技術應用在新型電力系統網絡主體身份鑒別、數據加密傳輸與存儲以及各種設備和場景中[115]。
密碼技術基于傳統密碼學,包括對稱密碼、公鑰密碼和摘要密碼技術,3 種密碼技術可以單獨或組合使用,實現數據安全傳輸,抵制非法讀取、DRA 等安全威脅[116]。文獻[117]研究設計了一種基于區塊鏈技術的電力系統通信數據點對點非對稱密鑰加密方法。文獻[118]面向新型電力系統的能量管理系統調度指令的傳輸,提出一種基于混沌加密的安全數據共享方法,保障基礎物理設施之間的安全數據通信。文獻[119]提出一種基于壓縮感知框架的數據壓縮同步加密算法,在保證海量電力大數據安全的同時解決了高頻廣域采集帶來的高載荷傳輸的固有難題。此外,針對新型電力系統海量多類型設備的安全接入和數據安全傳輸新需求,采用公鑰密碼算法(如SM2、非對稱加密算法)建設公鑰基礎設施,為終端側感知設備、邊緣側匯聚設備、中心側主站設備簽發數字證書。而當攻擊發生時,基于數字證書可實現高效、高可靠的訪問控制與權限管理,防止未經授權的用戶獲取敏感信息,實施攻擊中安全審計日志記錄,也為后續防御修復提供支撐[120]。
隨著新型電力系統對廣域、精細化和近設備端的感知和控制需求日益的增加,海量的基于物聯網和嵌入式技術的邊端設備被部署在電網末端,其小型化、弱算力的特點則對密碼技術提出了新需求。輕量級密碼技術正是為了保障大量計算、存儲、通信能力受限的設備安全接入新型電力系統,解決端側網絡安全難題。文獻[121]在配電臺區中的設備端側集成了SM9 輕量級密碼模塊,實現了配電變壓器終端單元及其下接感知層終端設備的管理注冊和密鑰安全分發。文獻[122]提出采用基于身份標識的密碼算法,使得通信終端雙方可以根據彼此唯一的標識完成身份認證和傳輸密鑰協商,降低海量電力物理設備數字證書的管理復雜度。文獻[123]提出的輕量級傳輸方案將量子密碼學與“一次性密鑰”機制相結合,利用量子隨機數發生器彌補了傳統隨機數發生器和量子密鑰分發協議的缺陷。
近些年,隨著量子科學的興起和突破性進展,量子密碼技術成為密碼學領域的新興分支。與目前主流使用的密碼技術不同,量子加密技術依賴于量子的“不確定性原理”和“單量子不可克隆定理”[124],在密鑰生成、分發環節保證密鑰的隨機性和“一次一密”安全性,使得攻擊者即便控制了通道線路,也無法精準獲取密鑰。目前,以BB84 量子密鑰分發協議為代表的量子加密技術在配電自動化、配電網保護等生產業務和分布式新能源監測、輸電線路監測等物聯業務場景中的應用,仍處在初級小規模試點階段。
無論是攻擊被及時發現并阻隔防御,還是已造成事故而通過重構或重啟完成系統恢復,在攻擊發生后,都應從攻擊事件中進行分析總結,及時更新入侵檢測系統簽名、防病毒數據庫和安全策略,做到事后免疫和安全防御升級,以保護新型電力系統免受未來類似攻擊。取證分析(forensic analysis,FA)作為一種針對網絡攻擊的事后威脅信息搜集和分析取證的主要方法[125],包括入侵/攻擊證據收集、威脅信息分析和證據呈現3 個步驟。文獻[126]針對新型電力系統數字化轉型下面向大量的傳感和測量系統接入引發的FDIA,借助門控循環單元-卷積神經網絡,在系統遭受攻擊后采用FA 判別受損量測值并予以剔除。文獻[127]通過對網絡流量日志中的數據進行FA 來識別FDIA 對高級計量基礎設備的攻擊并進行痕跡取證。針對CCPA,文獻[60]基于動態權值集成孤立森林模型,在攻擊后更新擴建離線新型電力系統故障事件辨識模型,以支撐攻擊中信息物理融合序列-數據聯合驅動方法在線辨識防御CCPA。因此,攻擊后的校正恢復可以通過FA 和回溯加固更新病毒庫或攻擊行為樣本庫做安全免疫,實現安全防御升級。
隨著傳感技術、通信技術和云邊協同信息處理技術的高速發展,數字化轉型的新型電力系統逐漸呈現能量流和數字信息流緊密耦合的特點。這使得系統的復雜度不斷提高,同時其安全穩定性對整個電力系統產生了直接影響。本文針對新型電力系統中的典型攻擊模式和多維度防御方法進行了分析和歸納總結。但是攻擊與防守必然是矛和盾的關系,是互相抗衡、此消彼長的動態過程。針對新型電力系統的新型攻擊始終沒有停止,不斷涌現。因此,在本文的最后,思考當前數字化轉型下的新型電力系統防御亟須深入研究和解決的問題,為后續的技術發展提供參考。
1)目前,針對新型電力系統安全問題的研究都是基于已發生的或已攔截的攻擊事件展開,但對未知攻擊辨識與防御的有效研究方法尚顯不足。隨著數字化技術的不斷滲透,針對新型電力系統的病毒與攻擊手段層出不窮。因此,在對未知攻擊無先驗信息的情況下進行快速辨識與主動防御,對新型電力系統的安全性提升有著極大的意義。
2)CCPA 由于其攻擊組合方式的多樣性和攻擊檢測的復雜性,破壞性和隱蔽性比單純的網絡攻擊更強。從近期發生的攻擊事件也可以看出,CCPA一旦發生,將會造成不可挽回的后果。但目前對CCPA 的研究還較少,對CCPA 的防御方法仍需進一步探索。
3)隨著以深度學習、強化學習為代表的新一代人工智能技術的發展,其在新型電力系統攻擊檢測和安全防御領域展現出良好的應用效果。人工智能算法的基礎是樣本庫的構建,新型電力系統攻擊樣本庫的建立也愈發重要,其能夠有效提升系統對異常行為的快速辨識與安全防御能力,并降低誤警率。因此,亟須建立完善的事件收集和檢索機制與統一的新型電力系統攻擊樣本庫,甚至是世界各國的共享庫。
4)目前,主要采用離線仿真的方式對新型電力系統攻擊與防御動態過程進行研究,難以真正反映新型電力系統中信息與物理兩個子系統復雜快速的動態演化過程,且新型電力系統是融合電力物理設備、電氣傳感量測和通信網絡的獨立系統,數字化的轉型中涌入了眾多設備與元件。因此,深入研究動態仿真技術、數字孿生技術等,構建真實的實驗場景極其重要,這對新型電力系統風險分析、連鎖故障阻斷定位、資源調配和動態布防起到很大的推動作用。