基于攻擊圖的物理信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

王金芳, 郭淵博

(信息工程大學(xué)密碼工程學(xué)院, 鄭州 450001)

物理信息系統(tǒng)(cyber physical system,CPS)是物理系統(tǒng)和信息系統(tǒng)強(qiáng)耦合的系統(tǒng),廣泛應(yīng)用于電網(wǎng)、通信、交通、醫(yī)療和國(guó)防等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。CPS依賴于操作技術(shù)(operational technology,OT)網(wǎng)絡(luò)來(lái)實(shí)時(shí)監(jiān)測(cè)和控制物理基礎(chǔ)設(shè)施,而OT網(wǎng)絡(luò)和信息技術(shù)(information technology,IT)網(wǎng)絡(luò)集成,使得傳統(tǒng)的分段和氣隙OT系統(tǒng)與IT系統(tǒng)相互連接,引發(fā)了許多網(wǎng)絡(luò)安全問(wèn)題[1]。以電力系統(tǒng)為例,對(duì)電力系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊會(huì)造成嚴(yán)重的破壞,導(dǎo)致電力中斷。2015年和2016年烏克蘭電網(wǎng)遭受的網(wǎng)絡(luò)攻擊揭示了惡意攻擊者是如何通過(guò)未經(jīng)授權(quán)的訪問(wèn)入侵公司IT網(wǎng)絡(luò)、進(jìn)入OT網(wǎng)絡(luò),干擾電力系統(tǒng)的運(yùn)行[2-3]。CPS容易受到網(wǎng)絡(luò)威脅,因?yàn)楝F(xiàn)有的OT系統(tǒng)的設(shè)計(jì)沒(méi)有考慮到網(wǎng)絡(luò)安全問(wèn)題,OT設(shè)備只有有限的網(wǎng)絡(luò)安全控制,網(wǎng)絡(luò)安全控制可能與OT系統(tǒng)的可用性和實(shí)時(shí)性需求發(fā)生沖突[4]。網(wǎng)絡(luò)攻擊對(duì)物理信息系統(tǒng)造成的威脅促使人們研究開(kāi)發(fā)精確的CPS模型和方法,以進(jìn)行影響分析和風(fēng)險(xiǎn)評(píng)估。許多CPS風(fēng)險(xiǎn)評(píng)估方法包括使用馬爾可夫鏈[5]和貝葉斯網(wǎng)絡(luò)[6]進(jìn)行概率分析,采用蒙特卡羅模擬方法研究最關(guān)鍵的攻擊場(chǎng)景[7],根據(jù)設(shè)備損壞、人員傷亡和環(huán)境破壞等定性因素進(jìn)行影響分析[8]。

目前,CPS在網(wǎng)絡(luò)攻擊下的風(fēng)險(xiǎn)評(píng)估研究尚處于起步階段,大多只針對(duì)OT系統(tǒng)或IT系統(tǒng)一個(gè)CPS層的影響進(jìn)行評(píng)估,且很少考慮攻擊行為過(guò)程的特點(diǎn)。吳義堯[9]提出一種基于貝葉斯攻擊圖的量化評(píng)估方法,對(duì)攻擊圖算法進(jìn)行改進(jìn),提出攻擊圖頂點(diǎn)的脆弱性因子概念,實(shí)現(xiàn)對(duì)各類跨空間連鎖故障危害的定量評(píng)估,但在定量評(píng)估過(guò)程中沒(méi)有考慮實(shí)際損失。孫子文等[10]提出了一種考慮防護(hù)系統(tǒng)作用的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法,采用期望負(fù)荷削減量(expected load curtailment,ELC)指標(biāo)來(lái)量化網(wǎng)絡(luò)攻擊造成的潛在系統(tǒng)損失。Jha等[11]僅從物理方面對(duì)風(fēng)險(xiǎn)進(jìn)行量化,提出了一種考慮運(yùn)行和電網(wǎng)風(fēng)險(xiǎn)的配電網(wǎng)風(fēng)險(xiǎn)定量評(píng)價(jià)方法。Stellios等[12]提出了一種綜合方法來(lái)分析和設(shè)計(jì)給定的CPS網(wǎng)絡(luò)安全系統(tǒng),使用網(wǎng)絡(luò)和數(shù)據(jù)流模型分析網(wǎng)絡(luò)系統(tǒng),識(shí)別物理威脅,但沒(méi)有考慮攻擊者擁有不同的知識(shí)和技能。在此基礎(chǔ)上,Wang等[13]通過(guò)關(guān)聯(lián)算法建立了潛在的攻擊路徑,綜合考慮攻擊者的能力、攻擊行為的特點(diǎn)和目標(biāo)網(wǎng)絡(luò)的特點(diǎn),分析攻擊路徑的選擇概率,從信息端和物理端建立攻擊動(dòng)作層和攻擊目標(biāo)層的影響因素,進(jìn)而定量分析整個(gè)CPS受到攻擊的發(fā)生率,但缺乏對(duì)網(wǎng)絡(luò)攻擊過(guò)程的建模。Zhang等[14]提出了一種CBTC系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法,根據(jù)節(jié)點(diǎn)的工作狀態(tài)、邊緣的連通性分析移動(dòng)權(quán)限路徑的連通性,引入攻擊圖來(lái)量化CBTC網(wǎng)絡(luò)世界中多個(gè)漏洞的潛在攻擊概率,但在對(duì)信息資產(chǎn)進(jìn)行定量分析的過(guò)程中,沒(méi)有考慮到業(yè)務(wù)需求和應(yīng)用背景造成的信息屬性權(quán)重的差異。

綜上所述,CPS的風(fēng)險(xiǎn)評(píng)估存在一些問(wèn)題,如指標(biāo)選擇和量化過(guò)程中考慮的因素不完整,網(wǎng)絡(luò)側(cè)和物理側(cè)風(fēng)險(xiǎn)的量化不準(zhǔn)確等。攻擊圖通?；诟怕誓Ｐ?通過(guò)檢查已識(shí)別的通信網(wǎng)絡(luò)漏洞之間的相互依賴性來(lái)識(shí)別可能的攻擊路徑[15-16]。然而,對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊進(jìn)行準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估需要CPS特定領(lǐng)域的攻擊圖,考慮攻擊者的行為,并通過(guò)定量標(biāo)準(zhǔn)進(jìn)行影響分析。

為了解決這一問(wèn)題,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊威脅下CPS脆弱性的定量評(píng)估,以一個(gè)典型電力系統(tǒng)為例,提出了一種基于CPS領(lǐng)域攻擊圖的物理信息系統(tǒng)定量風(fēng)險(xiǎn)評(píng)估方法。首先對(duì)物理信息系統(tǒng)進(jìn)行建模,包括網(wǎng)絡(luò)系統(tǒng)建模和電力系統(tǒng)建模;然后,考慮攻擊者的約束條件,包括攻擊者的能力、攻擊行為的特點(diǎn)、成本效益和被攻擊節(jié)點(diǎn)的數(shù)量,利用攻擊圖建立攻擊行為過(guò)程模型完成攻擊路徑的分析和攻擊成功率的計(jì)算;最后,從信息側(cè)和物理側(cè)分析網(wǎng)絡(luò)層和電力系統(tǒng)層的影響因素,進(jìn)而定量分析網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)實(shí)時(shí)運(yùn)行的影響,以提高網(wǎng)絡(luò)攻擊影響后果分析的全面性和準(zhǔn)確性,更好的維持 CPS 的穩(wěn)定運(yùn)行。

1 物理信息系統(tǒng)建模

CPS模型捕獲電力系統(tǒng)的動(dòng)態(tài)行為,用于研究網(wǎng)絡(luò)攻擊引起的級(jí)聯(lián)故障。對(duì)網(wǎng)絡(luò)系統(tǒng)和物理系統(tǒng)進(jìn)行了建模和協(xié)同模擬,建立全面的CPS模型。由此,研究物理電力系統(tǒng)與OT網(wǎng)絡(luò)的相互依賴關(guān)系。

1.1 網(wǎng)絡(luò)系統(tǒng)建模

網(wǎng)絡(luò)系統(tǒng)建模如圖1所示,顯示了從站控層到過(guò)程層以及與控制中心和發(fā)電站的連接,OT系統(tǒng)由兩種類型的網(wǎng)絡(luò)組成,分別是數(shù)字變電站的局域網(wǎng)(LAN)和用于變電站和控制中心通信的廣域網(wǎng)(WAN)。局域網(wǎng)由各種OT設(shè)備組成,如合并單元、路由器、網(wǎng)絡(luò)交換機(jī)、智能電子設(shè)備(intelligent electronic device,IED)、智能終端和工程師工作站等?；贑PS的廣域網(wǎng)去中心化概念[17],其架構(gòu)由特定的變電站組成,作為其他變電站和控制中心的樞紐,所有的測(cè)控報(bào)文在變電站和控制中心之間的通信均采用TCP/IP協(xié)議。

1.2 電力系統(tǒng)建模

在物理系統(tǒng)層,對(duì)發(fā)電機(jī)的控制方案進(jìn)行建模,以研究電力系統(tǒng)的動(dòng)態(tài)行為,即調(diào)速器和自動(dòng)電壓調(diào)節(jié)器(automatic voltage regulator,AVR)。多個(gè)協(xié)調(diào)保護(hù)方案為線路和發(fā)電機(jī)建模,可以在時(shí)域仿真中斷開(kāi)電力系統(tǒng)元素,導(dǎo)致級(jí)聯(lián)故障。發(fā)電機(jī)的接口保護(hù)方案包括過(guò)/欠電壓保護(hù)、過(guò)/欠頻率保護(hù)、頻率變化率、超通量、失步等,保護(hù)設(shè)置是根據(jù)國(guó)家電網(wǎng)規(guī)范和《交流發(fā)電機(jī)保護(hù)指南》(IEEE C37.102—1996)選擇的[18]?？紤]基于低頻率和低電壓條件的減載方案,利用時(shí)域仿真分析了電力系統(tǒng)的穩(wěn)定性和級(jí)聯(lián)效應(yīng)。

2 物理信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型

基于1節(jié)的建模方法充分考慮了影響網(wǎng)絡(luò)攻擊的因素,對(duì)網(wǎng)絡(luò)系統(tǒng)和電力系統(tǒng)進(jìn)行分析,以攻擊斷路器和自動(dòng)電壓調(diào)節(jié)器造成的負(fù)載損耗和電壓損耗作為物理后果,定量分析了CPS的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)、攻擊可能性以及對(duì)CPS的影響之間的關(guān)系如式(1)所示。

(1)

2.1 基于攻擊圖的攻擊成功率和攻擊增益計(jì)算

攻擊圖可以描述攻擊者成功完成對(duì)目標(biāo)的攻擊路徑,攻擊成功率和攻擊增益計(jì)算是從攻擊圖中判斷攻擊者可能選擇最優(yōu)攻擊路徑的重要依據(jù)。將設(shè)備作為攻擊圖的狀態(tài)節(jié)點(diǎn),設(shè)備之間的有向邊代表一個(gè)攻擊過(guò)程,有向邊利用設(shè)備的相關(guān)漏洞完成攻擊過(guò)程滲透。攻擊圖可以定義為AG=(S,E,P,B,C),其中,S為屬性狀態(tài)節(jié)點(diǎn)集;E為有向邊的集合;P為單步攻擊成功概率集;Pi為狀態(tài)節(jié)點(diǎn)Si到Si+1的轉(zhuǎn)移概率;B為單步攻擊收益,即每次攻擊對(duì)系統(tǒng)的威脅;C為單步攻擊的攻擊代價(jià)。

2.1.1 單步攻擊成功率和攻擊增益計(jì)算

網(wǎng)絡(luò)攻擊是一個(gè)攻防對(duì)抗的過(guò)程。攻擊者單步攻擊的成功與否,不僅與節(jié)點(diǎn)漏洞本身的固有屬性有關(guān),還與攻擊者掌握的能力程度密切相關(guān)。則節(jié)點(diǎn)Si上漏洞i被成功攻擊的概率可表示為

(2)

(3)

式(3)中:AVi、ACi、PRi和UIi分別為漏洞在CVSS中基本屬性組的攻擊向量、攻擊復(fù)雜度、權(quán)限要求和用戶交互,均表示該漏洞的靜態(tài)特征得分;REi和EXi分別為漏洞的補(bǔ)丁修復(fù)程度和漏洞暴露程度,表示該漏洞的動(dòng)態(tài)特征得分;ω、δ、γ、ξ、θ、λ分別為不同因素對(duì)漏洞被成功利用概率影響的權(quán)重。

在CVSS評(píng)分標(biāo)準(zhǔn)中取值如表1所示。其中攻擊向量有4種取值,由低到高依次表示攻擊者可以通過(guò)遠(yuǎn)程網(wǎng)絡(luò)/需要從位于同一物理或邏輯網(wǎng)絡(luò)中的主機(jī)上/通過(guò)本地或依靠另一個(gè)攻擊者的用戶交互/接觸或操作易受攻擊的組件利用該漏洞發(fā)起攻擊;攻擊復(fù)雜度有3種取值,由低到高依次表示攻擊復(fù)雜度的增加;權(quán)限要求有3種取值,由低到高依次表示對(duì)權(quán)限要求的增加;用戶交互包括不需要任何用戶交互和需要用戶交互才能利用該系統(tǒng)兩種取值。

表1 靜態(tài)特征取值范圍Table 1 Static feature value range

對(duì)于漏洞修復(fù)程度REi及漏洞暴露程度EXi,可以使用Weibull分布和Pareto分布進(jìn)行計(jì)算,計(jì)算公式分別為

(4)

(5)

式中:Ti為漏洞i的發(fā)布時(shí)長(zhǎng);α、β分別為Weibull分布和Pareto分布的參數(shù)。

(6)

式(6)中:k為攻擊者對(duì)知識(shí)的熟練程度,且k∈[0,1];Ni為漏洞的總數(shù);t為攻擊者對(duì)漏洞i的攻擊次數(shù)。

單步攻擊增益是攻擊者發(fā)起每一步攻擊所獲得的收益,可表示為

(7)

式(7)中:BSi和BSi+1分別為入侵系統(tǒng)節(jié)點(diǎn)Si和Si+1對(duì)網(wǎng)絡(luò)的威脅值,即節(jié)點(diǎn)Si到Si+1的單步攻擊增益;CSi為節(jié)點(diǎn)Si的可利用漏洞i的攻擊復(fù)雜度,取值范圍為[1,10],即攻擊節(jié)點(diǎn)Si的攻擊代價(jià)。

2.1.2 累積攻擊成功率和攻擊增益計(jì)算

在攻擊圖中,一個(gè)頂點(diǎn)能夠到達(dá)目標(biāo)的必要條件是其所依賴的其他頂點(diǎn)已經(jīng)到達(dá)。因此,除了路徑的起始頂點(diǎn),其他頂點(diǎn)都需要對(duì)單個(gè)概率進(jìn)行累積。頂點(diǎn)之間有兩種因果關(guān)系,即析取關(guān)系和合取關(guān)系。為了成功攻擊目標(biāo)節(jié)點(diǎn),通過(guò)遍歷攻擊圖中的每條攻擊路徑,根據(jù)攻擊圖節(jié)點(diǎn)的析取關(guān)系和合取關(guān)系分別進(jìn)行概率計(jì)算,得到成功攻擊目標(biāo)的概率為

(8)

單步累積攻擊增益是攻擊者通過(guò)多次入侵學(xué)習(xí),從節(jié)點(diǎn)Si入侵到節(jié)點(diǎn)Sn獲得的攻擊增益,如公式(9)所示。

(9)

2.2 網(wǎng)絡(luò)攻擊的后果

在評(píng)估CPS的風(fēng)險(xiǎn)時(shí),不僅需要評(píng)估網(wǎng)絡(luò)系統(tǒng)的損失,還需要評(píng)估攻擊對(duì)實(shí)際電力系統(tǒng)造成的故障損失。

2.2.1 網(wǎng)絡(luò)系統(tǒng)層的影響

網(wǎng)絡(luò)攻擊的本質(zhì)是利用安全漏洞破壞通信設(shè)備信息的保密性、完整性和可用性,從而破壞電力系統(tǒng)的正常運(yùn)行[20]。通過(guò)從控制中心發(fā)送到間隔層OT設(shè)備的數(shù)據(jù)包時(shí)延來(lái)評(píng)估網(wǎng)絡(luò)攻擊對(duì)CPS通信網(wǎng)絡(luò)的影響。影響OT網(wǎng)絡(luò)流量的特定攻擊會(huì)增加通信延遲,如DoS (denial-of-service)攻擊。網(wǎng)絡(luò)系統(tǒng)層的影響后果計(jì)算公式為

(10)

式(10)中:Ccs為網(wǎng)絡(luò)系統(tǒng)層的影響后果;Nsubstations為第n個(gè)變電站;RTTavg,i為第i個(gè)數(shù)據(jù)包的平均往返時(shí)延;Tmargin為可接受的最小延遲,通常在數(shù)百毫秒范圍以內(nèi)[21]。

2.2.2 電力系統(tǒng)層的影響

分析網(wǎng)絡(luò)攻擊前后電力系統(tǒng)的狀態(tài),計(jì)算對(duì)電力系統(tǒng)運(yùn)行的整體影響,計(jì)算公式為

Cps=ω1Cl+ω2Cv

(11)

式(11)中:ω1、ω2分別為經(jīng)驗(yàn)加權(quán)因子,范圍為[0,100];Cl、Cv分別為電力系統(tǒng)影響因素負(fù)載損耗和電壓偏差,其計(jì)算公式分別為

(12)

(13)

2.2.3 電力系統(tǒng)恢復(fù)因子

電力系統(tǒng)恢復(fù)是一個(gè)多階段、復(fù)雜的優(yōu)化問(wèn)題,其恢復(fù)時(shí)間取決于向非黑啟動(dòng)機(jī)組提供的啟動(dòng)功率。定義一個(gè)電力系統(tǒng)恢復(fù)因子,以量化在網(wǎng)絡(luò)攻擊后恢復(fù)電力系統(tǒng)所需的努力,如式(14)所示,考慮了發(fā)電機(jī)組的斷開(kāi)以及發(fā)電容量和類型。

(14)

式(14)中:Fre為電力系統(tǒng)恢復(fù)因子;Ngenerator為第n個(gè)發(fā)電機(jī);Pnominal,i為發(fā)電機(jī)i的標(biāo)稱容量;Ptotal為電力系統(tǒng)總裝機(jī)容量;ai為發(fā)電機(jī)斷路器狀態(tài),即1代表斷路器狀態(tài)為開(kāi);T初始化為0,并根據(jù)斷開(kāi)的發(fā)電機(jī)類型計(jì)算,計(jì)算公式為

(15)

式(15)中:T′i為發(fā)電機(jī)i的恢復(fù)索引。

斷開(kāi)連接的發(fā)電機(jī)組的同時(shí)恢復(fù)程序開(kāi)始,電力系統(tǒng)恢復(fù)指標(biāo)由發(fā)電機(jī)最大恢復(fù)指標(biāo)給出。具有黑啟動(dòng)能力的發(fā)電機(jī)組,如水力發(fā)電廠恢復(fù)指數(shù)為0.5,而火電廠的恢復(fù)指數(shù)為0.8。與相鄰電網(wǎng)對(duì)接的恢復(fù)指標(biāo)為1,因?yàn)橹匦峦叫枰陔娏ο到y(tǒng)恢復(fù)完成后才能啟動(dòng)。

3 仿真與結(jié)果分析

利用Mininet和DIgSILENT PowerFactory對(duì)IEEE 14節(jié)點(diǎn)信息網(wǎng)絡(luò)進(jìn)行仿真實(shí)驗(yàn),搭建的拓?fù)浣Y(jié)構(gòu)如圖2所示。對(duì)發(fā)電機(jī)的多種保護(hù)方案進(jìn)行建模,包括過(guò)/欠電壓保護(hù)、過(guò)/欠頻率保護(hù)、失步和過(guò)載保護(hù),對(duì)負(fù)載實(shí)施了低頻率和低電壓減載方案,保護(hù)設(shè)置是根據(jù)國(guó)家電網(wǎng)規(guī)范和IEEE C37.102發(fā)電機(jī)保護(hù)標(biāo)準(zhǔn)選擇的。根據(jù)時(shí)域仿真實(shí)時(shí)計(jì)算并分析由網(wǎng)絡(luò)攻擊引發(fā)的級(jí)聯(lián)故障和系統(tǒng)動(dòng)態(tài)。

PowerFactory為電力系統(tǒng)模擬軟件;Ubuntu為Ubuntu系統(tǒng);Mininet為網(wǎng)絡(luò)模擬軟件;Interface for PowerFactory為PowerFactory的接口;OPC UA Server為OPC UA服務(wù)器,用于連接電力系統(tǒng)和網(wǎng)絡(luò)系統(tǒng);Python Interface為Python接口圖2 物理信息系統(tǒng)聯(lián)合仿真圖Fig.2 Cyber physical system co-simulation diagram

物理信息系統(tǒng)聯(lián)合仿真的網(wǎng)絡(luò)用于模擬由路由器、交換機(jī)、主機(jī)以及人機(jī)界面組成的11個(gè)變電站。Mininet仿真由廣域網(wǎng)和局域網(wǎng)組成的網(wǎng)絡(luò)系統(tǒng)模型,模擬CPS網(wǎng)絡(luò)流量,使用Wireshark等開(kāi)源工具監(jiān)控和分析報(bào)文。網(wǎng)絡(luò)和物理的電力系統(tǒng)測(cè)量和控制設(shè)定值等數(shù)據(jù)使用開(kāi)放平臺(tái)OPC UA統(tǒng)一架構(gòu)進(jìn)行實(shí)時(shí)通信。智能電子設(shè)備、控制中心單元以及合并單元等使用Mininet建模,使用TCP/IP協(xié)議將電力系統(tǒng)測(cè)量數(shù)據(jù)傳輸?shù)娇刂浦行?。各?jié)點(diǎn)存在的漏洞信息如表2所示,各屬性從國(guó)家漏洞數(shù)據(jù)庫(kù)(National Vulnerability Database,NVD)中獲取。

表2 各節(jié)點(diǎn)存在漏洞信息Table 2 Vulnerability information exists on each node

以2號(hào)變電站和3號(hào)變電站為例,協(xié)同網(wǎng)絡(luò)攻擊發(fā)生在兩個(gè)變電站上。文獻(xiàn)[22]對(duì)電力系統(tǒng)多個(gè)位置上協(xié)同網(wǎng)絡(luò)攻擊產(chǎn)生的影響進(jìn)行了討論。使用多主機(jī)、多階段漏洞分析(multi-host multi-stage vulnerability analysis,MulVAL)工具對(duì)數(shù)字變電站的局域網(wǎng)和用于變電站和控制中心通信的廣域網(wǎng)進(jìn)行建模并生成攻擊圖以及達(dá)到目標(biāo)所產(chǎn)生的攻擊路徑如圖3所示,假設(shè)攻擊者的入口點(diǎn)在2號(hào)變電站的局域網(wǎng)內(nèi),攻擊者通過(guò)2號(hào)變電站的路由器訪問(wèn)其廣域網(wǎng),發(fā)現(xiàn)并破壞3號(hào)變電站的網(wǎng)關(guān)路由器,導(dǎo)致2號(hào)和3號(hào)變電站的以太網(wǎng)交換機(jī)、智能電子設(shè)備、合并單元等OT資產(chǎn)受損。網(wǎng)絡(luò)攻擊步驟如下。

Router為路由器;HubSubstation Gateway為變電站網(wǎng)關(guān);Ethernet Switch為以太網(wǎng)交換機(jī);Operator Console為操作員控制臺(tái);Controller為控制器;HMI Interface為HMI人機(jī)界面;IED為智能電子設(shè)備;AVR為自動(dòng)電壓調(diào)節(jié)器;Circuit Breaker為斷路器圖3 物理信息系統(tǒng)攻擊圖Fig.3 Cyber physical system attack graph

步驟1首先操縱2號(hào)變電站上發(fā)電機(jī)的電壓設(shè)定值。

步驟2其次打開(kāi)線路3-8的斷路器。

步驟3對(duì)3號(hào)變電站的網(wǎng)關(guān)路由器發(fā)起DoS攻擊。DoS攻擊影響控制中心與所有通過(guò)集線器連接的變電站之間的通信,對(duì)2、3、6和11號(hào)變電站的監(jiān)控產(chǎn)生影響,并增加延遲。

上述網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)的運(yùn)行產(chǎn)生重大影響,導(dǎo)致級(jí)聯(lián)故障。

根據(jù)生成的攻擊圖來(lái)計(jì)算每種攻擊場(chǎng)景的攻擊成功率以及變電站的網(wǎng)絡(luò)層和物理層風(fēng)險(xiǎn)指標(biāo)。

假設(shè)攻擊者水平等同于專家水平且管理員沒(méi)有采取任何緩解措施來(lái)減輕網(wǎng)絡(luò)攻擊的影響。計(jì)算結(jié)果如表3所示。

表3 不同目標(biāo)風(fēng)險(xiǎn)量化值Table 3 Quantified values of different target risks

由實(shí)驗(yàn)結(jié)果可知,攻擊斷路器的物理風(fēng)險(xiǎn)影響很大,但對(duì)網(wǎng)絡(luò)層的影響相對(duì)較小,因?yàn)檎麄€(gè)通信系統(tǒng)中只有有限的區(qū)域受到DoS攻擊的影響。由此可見(jiàn),綜合網(wǎng)絡(luò)層和物理層進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。

4 結(jié)論

物理信息系統(tǒng)的脆弱性及其風(fēng)險(xiǎn)評(píng)估是威脅控制的重要基礎(chǔ)。采用CPS領(lǐng)域的攻擊圖并綜合信息側(cè)和物理側(cè)對(duì)物理信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,得出如下主要結(jié)論。

(1)針對(duì)物理信息系統(tǒng)特殊的結(jié)構(gòu)和安全需求生成的CPS領(lǐng)域攻擊圖,并考慮攻擊者的能力、攻擊行為的特點(diǎn)和目標(biāo)網(wǎng)絡(luò)的特點(diǎn),實(shí)現(xiàn)攻擊場(chǎng)景的攻擊成功率和收益的高效精準(zhǔn)計(jì)算,對(duì)物理信息系統(tǒng)的評(píng)估更為準(zhǔn)確。

(2)綜合信息側(cè)和物理側(cè)的風(fēng)險(xiǎn)對(duì)物理信息系統(tǒng)進(jìn)行整體建模,分別從信息側(cè)和物理側(cè)定量分析物理信息系統(tǒng)的影響因子。相比于現(xiàn)有的風(fēng)險(xiǎn)評(píng)估模型,本文模型的風(fēng)險(xiǎn)評(píng)估結(jié)果更符合實(shí)際情況,更適合于物理信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。

(3)通過(guò)對(duì)IEEE 14節(jié)點(diǎn)信息網(wǎng)絡(luò)進(jìn)行仿真實(shí)驗(yàn),分別對(duì)攻擊斷路器和自動(dòng)電壓調(diào)節(jié)器兩種攻擊場(chǎng)景進(jìn)行分析和評(píng)估,驗(yàn)證了所提方法的有效性和準(zhǔn)確性。

(4)下一步將主要研究如何在風(fēng)險(xiǎn)評(píng)估過(guò)程中考慮緩解措施的實(shí)施以及操作員的補(bǔ)救行為,建立更加完善的物理信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估體系。