Stackelberg博弈模型的電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險(xiǎn)策略

蕭展輝， 孫剛， 鄒文景

(南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司， 廣州 510663)

在過(guò)去十年中，全世界電網(wǎng)系統(tǒng)發(fā)生網(wǎng)絡(luò)攻擊的頻率越來(lái)越大，導(dǎo)致產(chǎn)生了巨大的經(jīng)濟(jì)損失[1]。因此，對(duì)于各國(guó)電力公司來(lái)說(shuō)，如何建立電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險(xiǎn)模型對(duì)于實(shí)現(xiàn)穩(wěn)定的安全防衛(wèi)以及降低經(jīng)濟(jì)損失具有十分重大的意義[2]。

網(wǎng)絡(luò)安全可以通過(guò)更復(fù)雜的防御系統(tǒng)來(lái)增強(qiáng)，其中攻擊防御廣域監(jiān)控、保護(hù)和控制系統(tǒng)從風(fēng)險(xiǎn)評(píng)估到檢測(cè)和攻擊緩解再到攻擊抵御，是一個(gè)由整個(gè)安全生命周期構(gòu)成的安全框架[3]。其中，風(fēng)險(xiǎn)評(píng)估對(duì)于建立安全保險(xiǎn)模型是十分重要的一環(huán)。文獻(xiàn)[4]提出了一種基于模糊集的模糊綜合評(píng)價(jià)混合多準(zhǔn)則決策方法，用于電網(wǎng)企業(yè)輸配電電價(jià)監(jiān)管風(fēng)險(xiǎn)評(píng)價(jià)。文獻(xiàn)[5]提出了一種基于貝葉斯最佳-最差方法的混合多準(zhǔn)則決策方法(mixed multiple criteria decision making method,MCDM)，用于中國(guó)電網(wǎng)投資風(fēng)險(xiǎn)評(píng)估。文獻(xiàn)[6]基于態(tài)勢(shì)感知提出了一種主動(dòng)配電網(wǎng)風(fēng)險(xiǎn)評(píng)估方法,運(yùn)用基于指數(shù)標(biāo)度法的層次分析法對(duì)影響安全穩(wěn)定運(yùn)行的因素進(jìn)行了分層評(píng)估。文獻(xiàn)[7]對(duì)大容量電力系統(tǒng)進(jìn)行瞬態(tài)脆弱性評(píng)估來(lái)量化網(wǎng)絡(luò)攻擊的影響。但是上述方法未考慮防御資源分配策略的影響，另外在探索網(wǎng)絡(luò)攻擊造成的長(zhǎng)期性系統(tǒng)危害評(píng)估等方面還有待提升。

除了風(fēng)險(xiǎn)評(píng)估外，如何定制合理的保險(xiǎn)策略是建立電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險(xiǎn)模型的關(guān)鍵一步。針對(duì)如何實(shí)現(xiàn)合理地保險(xiǎn)策略已經(jīng)存在一系列研究，文獻(xiàn)[8]針對(duì)現(xiàn)有可用輸電能力決策方法難以兼顧安全性與經(jīng)濟(jì)性，提出了一種基于安全性風(fēng)險(xiǎn)評(píng)估與保險(xiǎn)機(jī)制的可用輸電能力決策方法。文獻(xiàn)[9]針對(duì)現(xiàn)有安全性風(fēng)險(xiǎn)評(píng)估中嚴(yán)重度指標(biāo)的可比性、可理解性問(wèn)題，提出一種基于模糊聚類與信息熵相結(jié)合的電網(wǎng)保險(xiǎn)策略。文獻(xiàn)[10]針對(duì)現(xiàn)有安全性風(fēng)險(xiǎn)評(píng)估方法對(duì)元件差異性表征的不足，提出一種基于K近鄰與支持向量機(jī)相結(jié)合的電網(wǎng)安全保險(xiǎn)策略。雖然上述方法取得了一定效果，但是過(guò)于關(guān)注風(fēng)險(xiǎn)賠償，未權(quán)衡安全投資與保險(xiǎn)費(fèi)之間的關(guān)系。

為解決上述問(wèn)題，現(xiàn)提出一種基于Stackelberg博弈模型(Stackelberg security game,SSG)的電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險(xiǎn)策略，該方法結(jié)合概率和博弈論建模來(lái)評(píng)估網(wǎng)絡(luò)攻擊對(duì)可靠性的影響，并提出Stackelberg安全博弈模型作為在每個(gè)半馬爾可夫過(guò)程(semi Markov process,SMP)中跨目標(biāo)變電站分配防御資源的最佳隨機(jī)分配機(jī)制。驗(yàn)證實(shí)例證明了提出方法的有效性。

1 網(wǎng)絡(luò)可靠性評(píng)估模型

1.1 SMP攻擊容錯(cuò)模型

電力系統(tǒng)的信息和通信技術(shù)網(wǎng)絡(luò)(information and communication technologies,ICT)通過(guò)廣域網(wǎng)(wide area network,WAN)連接的有3個(gè)主要部分：發(fā)電運(yùn)行、控制中心和變電站，每個(gè)部分都使用局域網(wǎng)(local area network,LAN)來(lái)協(xié)調(diào)智能電子設(shè)備[11]。變電站安裝通過(guò)監(jiān)控與數(shù)據(jù)采集(supervisory control and data acquisition,SCADA)系統(tǒng)監(jiān)控可能遭受網(wǎng)絡(luò)攻擊的變電站。網(wǎng)絡(luò)攻擊的原理如下：在這些攻擊中，攻擊者的目標(biāo)是滲透防火墻或繞過(guò)VPN以訪問(wèn)變電站的SCADA服務(wù)器[12]。在獲得SCADA服務(wù)器的根權(quán)限后，攻擊者可能惡意操縱電壓和電流測(cè)量值，或發(fā)送錯(cuò)誤命令以跳閘變電站中的斷路器。因此，網(wǎng)絡(luò)攻擊可能會(huì)切斷發(fā)電機(jī)組和輸電線路與電網(wǎng)的連接，導(dǎo)致較大的經(jīng)濟(jì)損失。

ICT的廣泛應(yīng)用給電力系統(tǒng)的網(wǎng)絡(luò)安全帶來(lái)了更高的風(fēng)險(xiǎn)[13]。由于SMP模型適用于評(píng)估每個(gè)變電站SCADA系統(tǒng)的網(wǎng)絡(luò)攻擊，本文中利用SMP建立了SCADA系統(tǒng)的攻擊容錯(cuò)模型。如圖1所示，網(wǎng)絡(luò)攻擊的隨機(jī)過(guò)程由一組狀態(tài)組成Sn={G,V,H,C,A,T,R,M,F}。這些狀態(tài)可分為兩類：瞬態(tài)和吸收態(tài)。瞬態(tài)將SCADA系統(tǒng)的攻擊過(guò)程從正常工作狀態(tài)映射到故障狀態(tài)，以SSG確定的給定概率將系統(tǒng)恢復(fù)到良好狀態(tài)。吸收狀態(tài)將恢復(fù)過(guò)程從故障狀態(tài)映射到正常工作狀態(tài)(恢復(fù)狀態(tài)R除外)，滿足瞬態(tài){G,V,H,C,A,T,R}∈St和吸收態(tài){M,F}∈Sa。

p表示相應(yīng)的功率，T表示狀態(tài)，下標(biāo)DC表示微電網(wǎng)圖1 SCADA系統(tǒng)的攻擊容錯(cuò)模型Fig.1 Attack fault tolerance model of SCADA system

SMP具體步驟如下。

步驟1SMP從良好狀態(tài)G開(kāi)始，系統(tǒng)沒(méi)有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。一旦網(wǎng)絡(luò)安全策略失效，SCADA系統(tǒng)將從良好狀態(tài)G過(guò)渡到脆弱狀態(tài)V。

步驟2當(dāng)攻擊者成功獲得目標(biāo)服務(wù)器的權(quán)限時(shí)，SCADA系統(tǒng)進(jìn)入主權(quán)狀態(tài)H。

步驟3當(dāng)攻擊者從目標(biāo)服務(wù)器滲透以獲取整個(gè)網(wǎng)絡(luò)中連接服務(wù)器的權(quán)限后，網(wǎng)絡(luò)連接狀態(tài)C。

步驟4在處于狀態(tài)C時(shí)，攻擊者在服務(wù)器中嵌入后門程序，以增加SCADA系統(tǒng)的漏洞。如果成功發(fā)起主動(dòng)攻擊，系統(tǒng)將進(jìn)入攻擊狀態(tài)A。

步驟5在入侵狀態(tài)下{G,V,H,C,A}， 如果SCADA系統(tǒng)的檢測(cè)策略暴露了攻擊過(guò)程，則中斷攻擊過(guò)程，系統(tǒng)返回到良好狀態(tài)G。

步驟6如果SCADA系統(tǒng)具有冗余，以便在主動(dòng)攻擊下提供正常服務(wù)，則會(huì)出現(xiàn)屏蔽危害狀態(tài)M。

步驟7當(dāng)在網(wǎng)絡(luò)攻擊期間檢測(cè)到攻擊時(shí)，達(dá)到分類狀態(tài)T。在這種狀態(tài)下，會(huì)考慮各種防御方法來(lái)應(yīng)對(duì)攻擊。如果投入防御資源來(lái)維持攻擊，則會(huì)進(jìn)入恢復(fù)狀態(tài)R。否則，系統(tǒng)進(jìn)入故障狀態(tài)F并導(dǎo)致網(wǎng)絡(luò)損壞。以上是整個(gè)網(wǎng)絡(luò)攻擊過(guò)程。

1.2 建立網(wǎng)絡(luò)攻擊模型

SMP模型的瞬態(tài)捕獲了攻擊從良好狀態(tài)到故障狀態(tài)的動(dòng)態(tài)過(guò)程，其特征是平均妥協(xié)時(shí)間(mean time to compromise,MTTC)。實(shí)際上，MTTC是基于漏洞和脆弱性數(shù)據(jù)進(jìn)行建模的。本文中將SMP模型應(yīng)用于目標(biāo)變電站的MTTC評(píng)估。相比之下，平均修復(fù)時(shí)間(mean time to repair,MTTR)描述了SCADA系統(tǒng)從故障狀態(tài)恢復(fù)到良好狀態(tài)的平均時(shí)間。

將馬爾可夫核中的第(j,i)個(gè)轉(zhuǎn)移概率表示為pij，可通過(guò)擬合脆弱性發(fā)生數(shù)據(jù)獲得其經(jīng)驗(yàn)值；網(wǎng)絡(luò)攻擊SMP模型的馬爾可夫轉(zhuǎn)移矩陣可以表示為

(1)

(2)

由瞬態(tài)i的平均訪問(wèn)次數(shù)定義訪問(wèn)計(jì)數(shù)器Vi。結(jié)合轉(zhuǎn)移概率和平均逗留時(shí)間，MTTC可以解析計(jì)算。個(gè)人訪問(wèn)計(jì)數(shù)器的關(guān)系為

(3)

通過(guò)矩陣劃分，從Pn中獲得由瞬態(tài)St組成的子矩陣Pt表達(dá)式為

(4)

將Pt中的元素代入式(3)，可以得到一個(gè)線性系統(tǒng)，由于系統(tǒng)行列式始終為非0，因此可以保證該系統(tǒng)Vi的唯一解。因此存在關(guān)系式

(5)

(6)

另一種從數(shù)值上獲取序列{Vi}的方法是提取矩陣It-Pt逆轉(zhuǎn)置的第一列，即

s.t.V″=(It-Pt)-1=[V″1，V″2，…，V″j]T

(7)

式(7)中：It是與Pt大小一樣的單位矩陣。另一方面，網(wǎng)絡(luò)攻擊的隨機(jī)性由隨機(jī)變量估計(jì)的轉(zhuǎn)移概率和平均逗留時(shí)間進(jìn)行建模，即

(8)

(9)

(10)

(11)

(12)

網(wǎng)絡(luò)攻擊的隨機(jī)性由給定變量生成的時(shí)間序列建模，威布爾分布是失效分析中常用的一種分布函數(shù)，是本文所選的變量類型。TTCλ遵循威布爾分布的概率密度函數(shù)為

(13)

(14)

通過(guò)下式關(guān)系實(shí)現(xiàn)狀態(tài)持續(xù)時(shí)間采樣，即

(15)

1.3 損失函數(shù)建模

本研究中評(píng)估的電力系統(tǒng)可靠性性能指標(biāo)為經(jīng)濟(jì)損失，預(yù)期中斷成本(expected interruption cost,EIC)的表達(dá)式為

(16)

式(16)中:Ω為一組負(fù)載損失參數(shù)；Ci負(fù)荷削減；Di為持續(xù)時(shí)間；W(Di)為單位中斷成本。本研究假設(shè)W(Di)與Di成正比；μ為系數(shù)。

2 保險(xiǎn)策略

網(wǎng)絡(luò)保險(xiǎn)原則的設(shè)計(jì)目標(biāo)如下：①保險(xiǎn)費(fèi)應(yīng)足以覆蓋潛在損失的索賠；②變電站應(yīng)能負(fù)擔(dān)得起保險(xiǎn)費(fèi)。在本節(jié)中，所包含的損失指的是可靠性性能，即負(fù)荷中斷引起的經(jīng)濟(jì)損失。

一個(gè)基本的保險(xiǎn)原則是預(yù)期價(jià)值保險(xiǎn)費(fèi)?？紤]到潛在的損失X， 預(yù)期保險(xiǎn)費(fèi)的表達(dá)式為

π(X)=(1+ρ)E(X)

(17)

式(17)中：ρ為風(fēng)險(xiǎn)負(fù)荷系數(shù)(risk load factor,RLC)。RLC設(shè)為正值，以緩沖不確定性、管理成本，并提供一定的利潤(rùn)率。另一方面，RLC通常相對(duì)較低，以保證保險(xiǎn)產(chǎn)品的可承受性。即使RLC較低，只要保險(xiǎn)池足夠大，大數(shù)定律也能保證保險(xiǎn)人收取的總保險(xiǎn)費(fèi)足以彌補(bǔ)全部潛在損失。然而，由于網(wǎng)絡(luò)安全威脅的性質(zhì)，不同變電站的網(wǎng)絡(luò)相關(guān)損失可能會(huì)有所不同。因此，需要性能更優(yōu)的保險(xiǎn)費(fèi)原則來(lái)定價(jià)和管理這些潛在的相關(guān)風(fēng)險(xiǎn)。

(18)

式(18)中：VRα(Y)=inf{y:P(Y>y)≤α}，α∈(0,1)。表示控制總損失LT超過(guò)總保險(xiǎn)費(fèi)PT1的置信水平α，即P(LT>PT1)=α。

定義2基于風(fēng)險(xiǎn)尾部?jī)r(jià)值VtR(tail value at risk,TVaR)得到的總保險(xiǎn)費(fèi)：為確保保險(xiǎn)費(fèi)更好地彌補(bǔ)潛在損失，保險(xiǎn)公司更保守的選擇是通過(guò)風(fēng)險(xiǎn)尾部?jī)r(jià)值的總保險(xiǎn)費(fèi)，即

(19)

總損失LT超過(guò)總保險(xiǎn)費(fèi)PT2的概率會(huì)受到置信水平α的限制， 即P(LT>PT1)<α。從這個(gè)意義上講，TtR保險(xiǎn)費(fèi)原則比VR更保守。

定義3VR和VtR衍生保險(xiǎn)費(fèi)：通過(guò)VR(π1)和VtR(π2)的保險(xiǎn)費(fèi)表達(dá)式分別為

(20)

(21)

對(duì)于總保險(xiǎn)費(fèi)而言，分配的個(gè)人保險(xiǎn)費(fèi)相對(duì)于總保險(xiǎn)費(fèi)PT1和PT2為

(22)

(23)

另外一種保險(xiǎn)費(fèi)策略(π3)是根據(jù)個(gè)人對(duì)總VtR的貢獻(xiàn)，對(duì)PT2進(jìn)行分配，定義為

π3(Xi)=E[Xi|LT>VRα(LT)]

(24)

提出的保險(xiǎn)費(fèi)策略與傳統(tǒng)策略的主要區(qū)別在于考慮了風(fēng)險(xiǎn)之間的潛在相關(guān)性，傳統(tǒng)的保險(xiǎn)費(fèi)策略基于邊際特征設(shè)計(jì)價(jià)格風(fēng)險(xiǎn)，而沒(méi)有考慮依賴性。在網(wǎng)絡(luò)保險(xiǎn)的背景下，這可能會(huì)導(dǎo)致保險(xiǎn)公司出現(xiàn)嚴(yán)重的損失情況。本文中保險(xiǎn)費(fèi)設(shè)計(jì)是根據(jù)總損失確定保險(xiǎn)費(fèi)用，從而大大降低了保險(xiǎn)公司破產(chǎn)風(fēng)險(xiǎn)。

3 博弈論網(wǎng)絡(luò)保險(xiǎn)框架

應(yīng)用博弈論對(duì)電力系統(tǒng)進(jìn)行分散控制，從而降低通信基礎(chǔ)設(shè)施的故障風(fēng)險(xiǎn)。通過(guò)避免自上而下的設(shè)計(jì)，分布式多人博弈可以將電力系統(tǒng)動(dòng)力學(xué)建模為博弈中的組件參與者。Stackelberg博弈是一類層次博弈，主導(dǎo)代理先于跟隨代理執(zhí)行策略。代理可以是一名參與者或一個(gè)關(guān)系協(xié)調(diào)的團(tuán)隊(duì)。在兩人Stackelberg安全博弈中，防御者是領(lǐng)導(dǎo)者，攻擊者是追隨者。與一般算法相比，多目標(biāo)SSG的緊湊形式算法可以大大加快計(jì)算速度。

由于防御網(wǎng)絡(luò)物理系統(tǒng)(cyber-physical systems,CPS)的資源通常很少，因此有效分配防御資源的策略決定了目標(biāo)抵抗對(duì)手的能力，防御資源是指量化可用安全預(yù)算的權(quán)重分配系統(tǒng)。防御資源反映了構(gòu)建安全對(duì)策所需的相對(duì)成本和付出，包括身份驗(yàn)證、授權(quán)、加密、防火墻、防病毒軟件、入侵檢測(cè)系統(tǒng)等，以確保變電站的網(wǎng)絡(luò)安全，可以將防御資源投資于必要的防御機(jī)制中，以抵御網(wǎng)絡(luò)攻擊。

最大無(wú)差異優(yōu)化博弈(optimizing resources in games using maximal indifference,ORIGAMI)中是雙方博弈中的一種算法，本文中引入ORIGAMI的目的是識(shí)別每個(gè)目標(biāo)的漏洞。考慮SSG中每個(gè)變電站的可用安全預(yù)算，該算法可作為防御方的風(fēng)險(xiǎn)評(píng)估方法，預(yù)測(cè)系統(tǒng)中潛在的網(wǎng)絡(luò)安全威脅。每個(gè)變電站部署分布式ORIGAMI在相關(guān)變電站上分配防御資源，保護(hù)目標(biāo)免受潛在的網(wǎng)絡(luò)攻擊，本文中將ORIGAMI算法引入到網(wǎng)絡(luò)安全威脅下的電力系統(tǒng)可靠性分析中，考慮了最優(yōu)防御資源分配方案。ORIGAMI將原來(lái)的NP-hard問(wèn)題轉(zhuǎn)化為更有效的迭代形式，算法1描述了ORIGAMI的詳細(xì)過(guò)程。

算法1:考慮最優(yōu)防御資源分配的變電站保護(hù)范圍1:輸入:目標(biāo)集τ={τ1,τ2,…,τn},防御資源m2:通過(guò)一組隨機(jī)變量生成{Uuα,τi},{Ucα,τi}。3:根據(jù)未發(fā)現(xiàn)攻擊者的收益對(duì)目標(biāo)進(jìn)行排序{Uuα,τi}4:初始化left←m,next←1,C←0,{ΔpDC(τi)}←0,CvgBnd←-inf5:repeat6:for i=1 do7:計(jì)算ΔpDC(τi)←Uuα(next)-Uuα(τi)Ucα(τi)-Uuα(τi)8:if pDC(τi)+ΔpDC(τi)≥19:CvgBnd←max(CvgBnd,Ucα,τi)10:計(jì)算sum[ΔpDC(τi)]11:if CvgBnd≥-inf,或者ΔpDC(τi)≤left12:Break;13:C(τ)←C(τ)+ΔpDC(τ)14:left←left-sum[ΔpDC(τi)]15:next++16:計(jì)算ratio(i)←1/(Uuα,τi-Ucα,τi),i=1:next17:計(jì)算sum[ratio(i)]18:for i=1 do19:pDC(τi)←pDC(τi)+ratio(i)*leftsum[ratio(i)]20:if Cvg(τi)≥121:CvgBnd←max(CvgBnd,Ucα,τi)22:if CvgBnd>-inf23:pDC(τi)←CvgBnd-Uuα(τi)Ucα(τi)-Uuα(τi),i=1:nextUntilnext==n24:輸出C={pDC(τi)}

在ORIGAMI算法中，SSG模型由攻擊者α和防御者β在目標(biāo)集上τ={τ1,τ2,…,τn}的防御范圍序列C={pDC(τi)}。假設(shè)每個(gè)目標(biāo)τi從良好狀態(tài)開(kāi)始，對(duì)于攻擊者和防御者，都會(huì)考慮兩種情況：一種是防御者覆蓋目標(biāo)，或暴露目標(biāo)，收益函數(shù)的表達(dá)式為

(25)

(26)

(27)

式(27)中：a(τi)∈{0,1}。 當(dāng)防御者選擇最優(yōu)混合策略以最大化防御者的收益時(shí)，就會(huì)出現(xiàn)SSG中始終保證存在強(qiáng)Stackelberg均衡(SSE)解的情況。在典型的雙方SSG中，除非博弈是零和博弈，否則SSE不符合納什均衡。ORIGAMI通過(guò)隨機(jī)覆蓋每個(gè)目標(biāo)的初始收益函數(shù)來(lái)計(jì)算攻擊者/防御者的收益，從而加速防御資源的分配。防御者在此設(shè)置下的最佳混合策略可通過(guò)多項(xiàng)式時(shí)間函數(shù)計(jì)算，隨機(jī)分配初始收益有助于對(duì)攻擊進(jìn)行加密。ORIGAMI的特點(diǎn)是迭代搜索攻擊者的最小收益，其防御范圍大致與防御者的最大收益一致。

ORIGAMI根據(jù)負(fù)載總線的變電站所有權(quán)，基于每個(gè)目標(biāo)的攻擊/防御收益分配防御資源。在算法1中，防御資源m分配給單個(gè)目標(biāo)，或者根本不分配，生成防御覆蓋序列C={pDC(τi)}。

網(wǎng)絡(luò)安全可靠性評(píng)估：根據(jù)變電站分區(qū)信息中顯示的所有權(quán)邊界，將電力系統(tǒng)劃分為獨(dú)立的變電站，SMC模型中的經(jīng)驗(yàn)平均值可以通過(guò)擬合實(shí)際中的脆弱性數(shù)據(jù)獲得。在SMP模型中，通過(guò)算法1中得到的{pDC(τi)}進(jìn)行防御資源的分配。然后結(jié)合轉(zhuǎn)移概率和平均逗留時(shí)間的隨機(jī)性，合成MTTC統(tǒng)計(jì)量，通過(guò)采樣的TTC生成網(wǎng)絡(luò)攻擊的時(shí)間序列。如果至少存在一次變電站停運(yùn)，則進(jìn)行最優(yōu)潮流分析，以最小化負(fù)荷削減。然后記錄總負(fù)荷削減和負(fù)荷損失持續(xù)時(shí)間。重復(fù)該過(guò)程，直到達(dá)到停止條件。

網(wǎng)絡(luò)保險(xiǎn)費(fèi)估算：基于蒙特卡羅模擬(Monte Carlo simulation,MCS)中負(fù)荷損失的統(tǒng)計(jì)記錄，計(jì)算基于MCS結(jié)果的可靠性價(jià)值。然后確定變電站的網(wǎng)絡(luò)保險(xiǎn)費(fèi)。

4 數(shù)值計(jì)算與分析

4.1 基本案例的損失評(píng)估

用于本文中網(wǎng)絡(luò)保險(xiǎn)框架案例研究的IEEE可靠性測(cè)試系統(tǒng)RTS-96的單線圖如圖2所示。IEEE RTS-96由3個(gè)相同區(qū)域、6條區(qū)域間傳輸線組成，詳情見(jiàn)文獻(xiàn)[14]。假設(shè)測(cè)試系統(tǒng)由7個(gè)獨(dú)立的變電站單獨(dú)操作。每個(gè)變電站的TC1-TC7的負(fù)載母線如表1所示：TC1-TC2位于1區(qū)，TC3-TC5位于2區(qū)，TC6-TC7位于3區(qū)。

圖2 RTS-96的單線圖Fig.2 Single line diagram of RTS-96

表1 變電站總線的負(fù)荷所有權(quán)Table 1 Load ownership of substation bus

在案例研究中，連續(xù)MCS使用SMP模型來(lái)估計(jì)變電站受到的網(wǎng)絡(luò)攻擊。對(duì)于每個(gè)變電站，使用SSG在SMP模型中分配防御資源覆蓋率，系數(shù)μ設(shè)為2.225 k$/(MW·h)。

以下參數(shù)是案例研究中SMP模型的平均值：

(28)

由算法1直接確定{pDC(τi)}，除了參數(shù)外，防御資源的分配還決定了攻擊容錯(cuò)能力，從而決定了每個(gè)變電站的安全級(jí)別。在低防御覆蓋率(low defense coverage,LDC)的情況下，可用的防御資源僅足以保護(hù)每個(gè)變電站中20%的變電站。本案例組研究在防御資源預(yù)算緊張的情況下，驗(yàn)證了SSG的有效性。另一方面，還分析了當(dāng)有充足的防御資源時(shí)，跨變電站的損失分布情況。在高防御覆蓋率(high defense coverage,HDC)的案例組中，可用防御資源增加到覆蓋率為80%的變電站。根據(jù)式(28)和{pDC(τi)}中上述SMP平均值計(jì)算的標(biāo)稱MTTC如圖3所示，變電站按照各個(gè)變電站中總線號(hào)的升序排序。具有高防御覆蓋率的變電站可以提供更強(qiáng)大的網(wǎng)絡(luò)攻擊防護(hù)。例如，變電站的TC1有13條總線，防御覆蓋率高，防御資源設(shè)為mU1=13×80%≈10，分配為

圖3 變電站標(biāo)稱MTTCFig.3 Nominal MTTC of substation

{pDC(τi)}TC1={0.549 1,0.575 7,0.377 8,

0.870 4,0.517 1,0.699 6,

1.000 0,0.461 0,0.734 0,

0.894 4,0.756 2,0.889 3,

0.898 7}

(29)

防御覆蓋序列的總和受防御資源的限制。為了證明，令sum[pDC(τi)]U1≤mU1。 將式(28)和式(29)換為式(6)和式(9)，得到標(biāo)稱MTTC(天數(shù))為

{MTTC}TC1={154.91,159.95,128.79,

249.51,149.27,188.43,330.67,140.29,198.21,261.38,205.08,258.77,263.63}

(30)

同樣，可以計(jì)算其他變電站的標(biāo)稱MTTC。在這兩個(gè)案例組中，考慮了相互依存的各種優(yōu)勢(shì)：ζ=0，ζ=0.7，以及ζ=1，相互依存的強(qiáng)度是變電站高度脆弱性的一個(gè)促成因素。向目標(biāo)/變電站發(fā)起網(wǎng)絡(luò)攻擊，每個(gè)變電站的時(shí)間序列由SMP模型中的隨機(jī)變量確定。本文中假設(shè)當(dāng)進(jìn)入故障狀態(tài)的變電站受到網(wǎng)絡(luò)攻擊時(shí)，連接的發(fā)電機(jī)和輸電線路會(huì)跳閘。然后在變電站中執(zhí)行最優(yōu)潮流(optimal power flow,OPF)，從而保證在發(fā)電容量不足和網(wǎng)絡(luò)約束條件下可以最小化負(fù)荷削減。根據(jù)OPF結(jié)果計(jì)算可靠性指標(biāo)，即收益損失。最后，根據(jù)網(wǎng)絡(luò)攻擊造成的收益損失分布，運(yùn)用精算保險(xiǎn)原理估算變電站的保險(xiǎn)費(fèi)。

在低防御覆蓋率的案例組中，各種情況下的預(yù)期值(EIC)、標(biāo)準(zhǔn)偏差(SD)和變異系數(shù)(CoV)如表2所示。預(yù)期值和標(biāo)準(zhǔn)偏差隨相互依存度ζ的增加略有變化，CoV處于典型范圍[0.64,0.76]。圖4中的損失分布直方圖與表2中的值一致，對(duì)于不同程度的相互依賴強(qiáng)度，計(jì)數(shù)器且大致服從單調(diào)分布。如圖5所示的相關(guān)矩陣表明，變電站之間的相關(guān)性隨著常見(jiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)的增加而增加。除了對(duì)角線項(xiàng)(必須為1)外，相關(guān)平面的平坦度很高。當(dāng)ζ=0時(shí)，任何兩個(gè)變電站都不具有相互依賴性，這一事實(shí)表明相關(guān)性接近于0。當(dāng)ζ=0.7是，相關(guān)性范圍為[0.20,0.30]。當(dāng)ζ=1時(shí)，相關(guān)性非常高，為0.69。

圖4 損失分布直方圖Fig.4 Loss distribution histogram

圖5 低防御覆蓋率的相關(guān)矩陣Fig.5 Correlation matrix of low defense coverage

表2 LDC中變電站的預(yù)期值(k $)、標(biāo)準(zhǔn)差(k $)和經(jīng)濟(jì)損失變化系數(shù)Table 2 Expected value(k $), standard deviation (k $) and economic loss variation coefficient of substation in LDC

在采用高防御覆蓋率的案例中，圖6中的高損失消失得很明顯。在邊緣分布中，可以觀察到概率質(zhì)量轉(zhuǎn)移到低損失區(qū)域。低端損失分布的集中也導(dǎo)致CoV增加，取值范圍為[0.64,0.76]，如表3所

表3 HDC變電站的預(yù)期值(k $)、標(biāo)準(zhǔn)差(k $)和經(jīng)濟(jì)損失變化系數(shù)Table 3 Expected value(k $), standard deviation(k $) and economic loss variation coefficient of HDC substation

圖6 高防御覆蓋率分布直方圖Fig.6 High defense coverage distribution histogram

示，在變電站中可以觀察到損失的大幅減少。另外從圖7可以發(fā)現(xiàn)，相互依賴的強(qiáng)度隨著高防御覆蓋率而降低。當(dāng)ζ=0時(shí)，表示完全不相關(guān)。當(dāng)ζ=0.7時(shí)，會(huì)產(chǎn)生低相關(guān)性，其范圍為[0.15,0.25]。當(dāng)ζ=1時(shí)，相關(guān)性提高到[0.45,0.60]。從相關(guān)矩陣可以發(fā)現(xiàn)，損失相對(duì)減少和較弱的相互依賴性都是高防御覆蓋率所導(dǎo)致的，任何兩個(gè)變電站之間的相關(guān)性因變電站的互連和網(wǎng)絡(luò)攻擊安全性而異。

圖7 高防御覆蓋率的相關(guān)矩陣Fig.7 Correlation matrix of high defense coverage

給定SMP模型中參數(shù)的平均值，變電站的統(tǒng)計(jì)主要由防御資源覆蓋率和各自的負(fù)載分布決定。由于假定的網(wǎng)絡(luò)攻擊均勻地發(fā)射到每個(gè)變電站，因此負(fù)載分布更均勻的變電站將保持更高的電力安全性。例如，與變電站的TC1相比，變電站的TC6的峰值負(fù)載更高，但攻擊引起的損失更低。變電站的保險(xiǎn)費(fèi)目的是反映網(wǎng)絡(luò)攻擊造成的損失分布，變電站的SMC模型中變化的相互依賴的強(qiáng)度ζ會(huì)對(duì)保險(xiǎn)費(fèi)產(chǎn)生影響。

4.2 精確保險(xiǎn)費(fèi)計(jì)算

使用保險(xiǎn)費(fèi)原則式(20)、式(21)、式(24)，計(jì)算所有變電站的保險(xiǎn)費(fèi)，其中所有保險(xiǎn)費(fèi)的置信水平均設(shè)為α=5%。從保險(xiǎn)人的角度來(lái)看，最好將風(fēng)險(xiǎn)控制在相對(duì)較低的水平。具體而言，π1(VaR的保險(xiǎn)費(fèi))旨在確?？偙ｋU(xiǎn)費(fèi)大于總損失，概率為1-α。π2(TVaR的保險(xiǎn)費(fèi))保證總保險(xiǎn)費(fèi)超過(guò)總損失的概率大于1-α。盡管兩者在每個(gè)變電站中表現(xiàn)出相同的趨勢(shì)，但是π2比π1可以更好地彌補(bǔ)潛在損失。與π2不同，π3(通過(guò)TVaR簡(jiǎn)化保險(xiǎn)費(fèi))分配總保險(xiǎn)費(fèi)TP2基于變電站對(duì)總TVaR的貢獻(xiàn)，而不是與特征相關(guān)的比率。從而π3更好地反映單個(gè)變電站對(duì)保險(xiǎn)組合風(fēng)險(xiǎn)的責(zé)任。單個(gè)保險(xiǎn)費(fèi)估計(jì)使用π2及π3的結(jié)果很接近，根據(jù)本文保險(xiǎn)費(fèi)原則，重新引入風(fēng)險(xiǎn)負(fù)荷系數(shù)(risk load coefficient,RLC)，作為衡量保險(xiǎn)費(fèi)可承受性的指標(biāo)，它衡量的是保險(xiǎn)費(fèi)超過(guò)風(fēng)險(xiǎn)預(yù)期價(jià)值的比例,即

ρi(Xi)=π(Xi)/E(Xi)-1

(31)

由于常見(jiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，單個(gè)RLC將大大高于傳統(tǒng)保險(xiǎn)業(yè)務(wù)中的RLC(通常低于50%)。如表5所示，相對(duì)于ζ=0，相互依存強(qiáng)度的增加會(huì)導(dǎo)致高保險(xiǎn)費(fèi)。此外，在有限的采樣年份下，MCS產(chǎn)生的結(jié)果容易受到風(fēng)險(xiǎn)不確定性的影響，這反映在單個(gè)變電站的高RLC上。

保險(xiǎn)費(fèi)策略旨在通過(guò)降低單個(gè)保險(xiǎn)費(fèi)來(lái)激勵(lì)高防御覆蓋率，從表5中可以發(fā)現(xiàn)，在高防御覆蓋率的實(shí)例中，保險(xiǎn)費(fèi)的顯著減少。在表4和表5中，使用π3估計(jì)的個(gè)人保險(xiǎn)費(fèi)總和與使用π2進(jìn)行重分配的總和相等。RLC隨著防御范圍的增加而增加，表明預(yù)期損失的減少幅度大于保險(xiǎn)費(fèi)。綜合以上分析，單個(gè)保險(xiǎn)費(fèi)與防御資源覆蓋率呈負(fù)相關(guān)，與相互依存度呈正相關(guān)。

表4 變電站在較低防御范圍下的精算保險(xiǎn)費(fèi)Table 4 Actuarial premium of substation under lower defense range

表5 變電站在較高防御范圍下的精確保險(xiǎn)費(fèi)Table 5 Actuarial premium of substation under lower defense range

5 結(jié)論

為了評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)并且長(zhǎng)期規(guī)劃保險(xiǎn)費(fèi)用，提出了一種基于Stackelberg博弈模型的電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險(xiǎn)策略。通過(guò)案例結(jié)果分析可以得出如下結(jié)論。

(1)本文的保險(xiǎn)策略有效地解決了不同電力公司損失的依賴性問(wèn)題，并且能夠有效處理安全投資與保險(xiǎn)費(fèi)節(jié)約之間的關(guān)系。

(2)變電站之間的相關(guān)性隨著常見(jiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)的增加而增加。損失相對(duì)減少和較弱的相互依賴性都是高防御覆蓋率所導(dǎo)致的，任何兩個(gè)變電站之間的相關(guān)性因變電站的互連和網(wǎng)絡(luò)攻擊安全性而異。

(3)單個(gè)保險(xiǎn)費(fèi)與防御資源覆蓋率呈負(fù)相關(guān)，與相互依存度呈正相關(guān)。在高防御覆蓋率的條件下，保險(xiǎn)費(fèi)顯著減少。