面向变电站网络的虚假数据注入攻击定位与溯源技术研究

叶 卫，王 文，董 科，王 臻，孙望舒，朱 好

（1.国网浙江省电力有限公司信息通信分公司，杭州 310016；2.国网浙江省电力有限公司，杭州 310007）

0 引言

随着电力CPS（信息物理系统）的发展以及感知、计算、通信和控制等先进信息技术的应用，电力系统逐步实现了信息化、网络化和智能化［1］。与相对安全的电力一次系统相比，电力CPS 的安全防护研究还处于起步阶段，存在大量未被发现的安全漏洞［2］。电力系统是时空紧密关联且需要稳定运行在安全域内的大型工控系统，一旦被攻击，将对电力安全、工业生产和人民生活造成严重影响［3-4］。

电力系统主要包括发电、输电、配电和用电等过程，其中变电站作为电能转换与信息集聚的场所，在电力系统安全、稳定和经济运行中具有重要作用。因此，其通信的安全性和实时性是变电站自动化系统中的重点防御部分。针对变电站的网络攻击行为有多种分类方法，按照攻击目的可以分为针对信息完整性、保密性和可用性的攻击；按照物理侧破坏业务主要可以分为针对测量、运维、保护和控制等功能的网络攻击。作为破坏信息完整性的典型模式，FDIA（虚假数据注入攻击）可以破坏电网态势感知的结果，从而误导控制中心决策［5-6］。电网控制中心受到攻击后，可能误判电网进入紧急状态，导致安全装置误动，从而损害电力系统的经济效益、监控能力和安全运行水平［7］。

近年来，一系列的电力网络安全事故已经引发了严重的安全损失。以数字变电站为例，原始电压、电流模拟信号经采样、计算，最终转换为多重数字量测值传送给站控层服务器及调度中心，其中任意环节遭受网络攻击都会影响业务指令的可信度［8-9］。由于变电站业务功能的集聚，导致系统更新速度匹配不上安全缺陷与漏洞的生成，攻击者能够以虚假数据、拒绝服务和重放攻击等多种方式对电网变电站业务造成破坏［10］。事实上，攻击者往往以潜伏的方式提前在多个变电站区域同时部署潜在攻击［11］。在电力系统处于运行最脆弱的状态时，这些攻击行为会同时爆发，造成协同攻击，从而对电网的安全和稳定造成严重破坏［12］。

本文总结了变电站信息网络中FDIA的综合研究理论。从攻击者的角度，分析FDIA的目标、构建方法和后果，总结了针对变电站网络的入侵过程。从防御者的角度，利用攻击图算法，分析了攻击路径选择概率，对潜在攻击方式进行定位与溯源，能够保护关键信息节点，从而最终实现了考虑变电站典型业务的攻击安全防御。

1 变电站业务网络安全

电力物理系统由发电、变电、输电、配电和供电过程组成，而电力信息系统负责对电能流动环节进行监测与控制，主要包括电力生产信息、传输信息和市场信息。以上信息可能通过测量单元、通信网络和控制设备等脆弱渠道受到FDIA的影响，最终干扰电力关键应用服务。

1.1 针对变电站的攻击流量

在传统的FDIA 中，主要选择变电站SCADA（数据采集与监控系统）作为攻击对象［13-14］。变电站中，常见的采样装置及其时间同步准确率较高，如表1所示，如其由于受到网络攻击的影响，各子系统的时间与事件将会不同步，影响电网正常业务的执行。

表1 变电站装置的时间同步准确度要求

由于智能变电站过程层中的MU（合并单元）和IED（智能终端）是整个智能变电站中仅有的与电力一次系统直接相关的接口，因此智能变电站在日常运行过程中，MU 和IED 主要有以下几种流量运行场景：

1）稳态流量场景。即变电站正常运行，没有任何事件或故障发生。

2）极端流量场景。假设变电站过程层的所有主设备都发生了电力系统异常事件，所有二级IED将以SCD配置文件预定的最小传输间隔（通常为2 ms）发送GOOSE（面向对象的通用变电站事件）消息。

3）特定故障场景。假设变电站的一个物理设备发生故障或多个主设备发生故障，与之相关的二级IED设备将出现大流量。

4）网络异常流量场景。变电站通信网络由于网络异常、通信设备故障甚至遭遇面向性能的网络攻击等场景，此时变电站过程层通信网络流量将呈现中断、延时和误码等变化。

1.2 FDIA构建条件与约束

变电站测控拓扑配置中，通常在各母线上有电压互感器，各开关与变压器绕组上有电流互感器。FDIA通过修改电力状态信息，使其能够绕过传统不良数据检测模块，进而干扰后续控制服务。

如果某一个开关上的电流采样序列被攻击者篡改，则采用该序列计算得到的所有直接量测和间接量测将同时受到影响，形成相互匹配的虚假数据，难以检测。可见，由于变电站互感器不够冗余，配置不够合理，攻击者深入变电站过程层对互感器采样序列进行攻击，将给量测系统带来范围更广、后果更严重的破坏。以电流采样信号的FDIA为例，假设变电站中正常电流采样信号为i（k），攻击后i（k）将会叠加一攻击信号yTA，其电流采样信号中基波参数将会变为：

定义ap为攻击前后电流量测的变化量，则ap可表示为yTA的函数：

式中：为攻击后的电流量测向量；zp为功击前的电流量测向量；fTA为关联函数。

由于某个测量值突变会同步引起相邻节点或线路测量值变化，当伪造一个元素（如节点或线路的测量值）时，为了绕过不良数据检测，攻击者应考虑电网潮流规律，找出测量值相应变化的最小空间。因此，需要进行协同攻击的最小空间被定义为该元素的最小相关空间，以满足攻击资源的限制。

2 变电站设备与攻击层次

2.1 变电站设备介绍

以D2-1型变电站为例进行分析，信息设备节点有12 个，如表2 所示。其中A1、A2、A3、A4属于变电站过程层节点，是攻击图的最底层L1；B1、B2、B3、B4 属于变电站间隔层节点，是攻击图的第二层L2；第三层L3是变电站业务，包括分接开关控制、无功控制、开关控制、连锁功能、序值测量、计量、距离保护、差动保护、重合闸、振荡闭锁、切负荷和解列等，这里总结为4类，分别为信息计量、保护功能、监视与控制和自动控制，分别记为C1、C2、C3、C4。最顶层节点D1为攻击后果，即电力系统物理故障。

表2 变电站信息设备类型

2.2 变电站攻击环节

在D2-1型智能变电站中，MU采样值以SAV报文的形式传播，保护控制装置数据的传输以GOOSE报文的形式进行。它们都不是一对一的传输，而是采用“发布者/巧阅者”的模式以多播方式进行传输的。由变电站多播组配置方案，根据2.1节分析的攻击路径可以建立4层攻击图模型：

1）L1 为过程层信息设备，包括合并单元、智能断路器。

2）L2 为间隔层信息设备，包括保护与控制装置、故障录波器。

3）L3 为信息业务类别，包括信息计量、保护功能、监视与控制和自动控制。

4）L4 为一次系统故障，包括各类电力物理故障。

3 基于攻击图的攻击定位溯源方法

3.1 基于攻击图的变电站攻击流程

图1显示了变电站的部分攻击树。对于断路器攻击，其前提条件是：攻击者可以通过IED、控制中心的用户界面和变电站的用户界面打开断路器。查找目标断路器主要包括4类方法：

图1 变电站攻击入侵路径

1）使用IED向断路器发送GOOSE信息。

2）使用控制中心的用户界面。

3）使用变电站的用户界面。

4）修改IED的保护设置至低值。

为了对攻击形式进行定义，本文在第2节变电站信息设备模型的基础上，采取有向攻击图理论对网络攻击进行建模被定义为该攻击图的标准形式，其中N是所有攻击目标节点集合，E是所有有向边集合，S是节点灵敏度集合。考虑到变电站信息从过程层、间隔层、站控层到物理设备的传播方向，4层攻击图模型中只有相邻层次中的部分线路能够连通。基于实际变电站GOOSE/SAV 通信路径，可以确定L1、L2、L3、L4之间的传递路径，S的计算公式为：

式中：din(i)和dout(i)分别为节点i的入度和出度；Tin(i)和Tout(i)分别为下层和上层的连接数。

每个节点的综合风险Ri可以通过式（5）计算：

式中：Vi和Si分别为节点i的脆弱性和敏感性，Si可由式（4）计算，而Vi由分布式故障威胁、影响范围和发生的复杂性决定；Wvi和Wsi分别为脆弱性和敏感性的权重，在本文中，为了分析方便，将它们设定为0.5。

3.2 攻击定位溯源方法

在变电站电力监控系统中，其系统、硬件、软件、网络、漏洞以及安全配置均有可能受到网络攻击威胁。因此，需要定期对变电站网络的操作系统、数据库、网络设备和工控系统等进行全面漏洞评估和安全基线检查，及时了解网络的薄弱环节，并有针对性地进行预防与加固。同时需要依据变电站的信息业务特征，对攻击进行精确定位与溯源。

针对FDIA中出现的攻击数据包，基于路由路径，按照距离确定受攻击影响最重的路由器。利用多路由器的诊断、调试或记录功能，可以确定流量的性质，并确定攻击到达的路径。在相关路由器上重复分析诊断程序，并继续逐条向后追踪，直到在管理控制域内找到攻击源，或者直到确定攻击进入变电站网络的入口，如图2所示。

图2 面向变电站信息网络FDIA的攻击路径

针对攻击路径，可以开发相关的入侵检测算法，攻击者和防御者都注重对信息节点的攻击或防御。通常不同的攻击路径链接不同的设备种类及个数，攻击同一设备可能存在多种攻击路径，因为选择不同的攻击方式存在不同的攻击路径，攻击者选择发动的攻击路径设备越多，所造成的电网影响或者收益并不一定是最大的。路径越长，攻击设备数量越多，虽然攻击方的经验不断地累积使得攻击能力提升，但防御方的防御时间则更长，等价防御能力更强。事实上，由于资源的有限性，双方都不可能对网格中的所有区域进行攻击或防御，因此双方都需要根据对方的可能选择来优化自己的资源配置，这就形成了一个双人动态博弈过程。

定义双人博弈策略的标准形式，其中：

A={P(a1)，P(a2)，…，P(aNA)}为攻击策略。假设攻击者可以选择攻击路径，每个攻击策略ai=(Ai1，Bi2，Ci3，Di4)都是被攻击节点的组合，这些节点相互联系（总的来说，有28种攻击策略）。

D={P(d1)，P(d2)，…，P(dND)}为防御策略。假设防御者可以分别在进程层（A1—A7）和间隔层（B1—B5）选择一个节点作为安全节点，该节点无法被入侵。每个防御策略都是被防御节点的组合（总的来说，有35种防御策略）。

U=(uij)NA×ND为玩家的奖励函数。元素是玩家在攻击行为和防御行为下的收益。攻击方的奖励函数的计算方法为：

攻击路径的综合风险被用来作为奖励函数。因为是零和博弈，所以双方的回报函数值之和为0，攻击方的回报函数设为正值，防御方的回报函数为负值，并满足Ud=-Ua。

对于一个给定的奖励矩阵，有一个攻击策略A*=(P*(a1)，P*(a2)，…，P*(aNA))、一个防御策略D*=(P*(d1)，P*(d2)，…，P*(dND))和一个常数V，满足以下条件。

对于任何攻击策略，有：

对于任何防御策略，有：

在该条件下，策略组合(A*，D*)是博弈的纳什均衡点；V是预期收益，它代表了攻击和防御行为组合内的预期路径风险。

4 算例

基于如图3所示的实际变电站网络，进行针对变电站的FDIA攻击建模、定位与溯源。

图3 变电站信息网络拓扑

在该变电站拓扑下攻击如图4所示。

图4 变电站网络攻击

对于电力信息网络，风险主要来自于网络攻击，而系统中存在的脆弱性是导致网络被攻击的内因，因此，脆弱性及其威胁评估是风险控制的重要基础。各节点综合安全风险值是关于设备脆弱度和灵敏度的乘积。其中设备灵敏度和设备本身的安全程度成正比，灵敏度与节点的入度与出度相关，代表节点被各种攻击途径利用的频度。变电站设备的脆弱度与安全风险如表3所示。

表3 变电站信息路径

由图4可知，攻击深度为4，攻击在经过过程层与间隔层之后，通过信息控制业务最终影响电力一次系统的稳定性。以路径上途径所有节点的风险值乘积作为攻击路径的综合风险，假定攻击者能够选定一条攻击路径进行攻击，而防御者能够在过程层（A1—A6）和间隔层（B1—B6）分别选择一个节点进行重点防御，使其抵御经过该节点的攻击行为。因此，攻击路径共有38 种，防御策略共有36种。

虚假数据攻击在经过2.2 节所述的L1—L3 层之后，通过篡改信息控制业务，最终将造成一次系统故障。以路径上途径所有节点的风险值乘积作为攻击路径的综合风险，以此作为攻击后果。考虑到攻防双方掌握资源有限，在38 种攻击路径中，假定攻击者只能选定一条攻击路径进行攻击，防御者能够在过程层（A1—A6）和间隔层（B1—B6）分别选择一个节点进行重点防御，使其抵御经过该节点的攻击路径。因此，攻击路径共有38 种，防御策略共有36种，经过双人零和博弈分析，攻防双方所选择的最优策略如表4、表5所示。

表4 攻击定位与溯源结果

表5 安全防御策略

由表4可知，在28种攻击路径中，只有6种会进入攻击者的选项，其中路径2（A2、B6、C3、D1）的选择性最高，为17.00%。而防守方的35种防御选项中，点A5 和B1 是选择概率最高的保护节点为20.32%。

5 结语

本文对变电站信息网络FDIA攻防过程进行了研究。首先，分析了测量设备和通信网络的安全漏洞，研究其被利用注入虚假数据的潜在概率。在此基础上，建立了考虑到攻击目标、构建方法和后果的FDIA框架。其次，分别分析了基于攻击图的攻击生成、定位与溯源方法。最后，模拟了针对变电站信息网络的FDIA案例，进行了攻击行为有效追溯。

FDIA 目前主要为了破坏变电站SCADA 和EMS（能量管理系统）的应用功能。实际上，由于源、网、荷之间的广泛互动，发电侧、电网侧和负荷侧的信息系统都有可能受到虚假数据的攻击，从而影响电力系统的监测、控制、统计分析、经济调度和安全决策。因此，未来需要针对电力CPS中各种信息系统的攻防过程进行进一步研究。