電力CPS多階段低代價(jià)虛假數(shù)據(jù)注入攻擊方法

伊 娜，徐建軍，陳 月，潘飛宇

（1. 東北石油大學(xué) 電氣信息工程學(xué)院，黑龍江 大慶 163318；2. 黑龍江八一農(nóng)墾大學(xué) 工程學(xué)院，黑龍江 大慶 163319）

0 引言

隨著通信與網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，傳統(tǒng)的電力系統(tǒng)已發(fā)展為一個(gè)集計(jì)算、通信、控制于一體的多維復(fù)雜系統(tǒng)——CPS（信息物理系統(tǒng)）［1-3］。一方面，促進(jìn)了電力資源狀態(tài)感知的能力；另一方面，網(wǎng)絡(luò)系統(tǒng)中的許多漏洞可能被惡意實(shí)體入侵，帶來潛在的網(wǎng)絡(luò)安全威脅［4-5］。近年來，國(guó)內(nèi)外發(fā)生了一系列電力網(wǎng)絡(luò)安全事件，例如2010 年震網(wǎng)病毒侵入伊朗核電站事件［6］、2015年Black Energy病毒侵入烏克蘭電網(wǎng)事件［7］、2019 年委內(nèi)瑞拉水電站遭受網(wǎng)絡(luò)攻擊事件、2022 年德國(guó)風(fēng)電整機(jī)制造商巨頭受到網(wǎng)絡(luò)攻擊等。由于網(wǎng)絡(luò)攻擊造成的巨大威脅，電力CPS網(wǎng)絡(luò)安全問題不容忽視。

根據(jù)攻擊目的不同，電力CPS 網(wǎng)絡(luò)攻擊行為可以分為破壞信息可用性、完整性和保密性的攻擊。FDIA（虛假數(shù)據(jù)注入攻擊）是完整性攻擊的一種常見方式，攻擊者可以繞過不良數(shù)據(jù)檢測(cè)機(jī)制，通過入侵儀表或傳感器注入虛假的測(cè)量數(shù)據(jù)，任意操縱系統(tǒng)的狀態(tài)估計(jì)，從而干擾電力系統(tǒng)的正常運(yùn)行［8］。除了攻擊靜態(tài)狀態(tài)估計(jì)，F(xiàn)DIA也可用于攻擊智能電網(wǎng)其他重要模塊，如電價(jià)、分布式能源狀態(tài)、微電網(wǎng)動(dòng)態(tài)分區(qū)等［9］。從攻擊者的角度來看，一次精心設(shè)計(jì)的錯(cuò)誤數(shù)據(jù)可以躲避不良數(shù)據(jù)檢測(cè)機(jī)制，對(duì)電網(wǎng)的整體安全造成嚴(yán)重的威脅。因此，F(xiàn)DIA是一種具備足夠攻擊能力的有效攻擊方式。

近年來，很多學(xué)者已圍繞電力CPS 網(wǎng)絡(luò)攻擊方面展開研究，針對(duì)FDIA 行為，涉及電力市場(chǎng)、電力系統(tǒng)運(yùn)行、分布式能量路由等問題［10-12］。在經(jīng)濟(jì)攻擊中，電力市場(chǎng)的狀態(tài)估計(jì)易受到FDIA，從而導(dǎo)致財(cái)務(wù)的不當(dāng)行為，文獻(xiàn)［10］給出了一個(gè)描述攻擊有效性和相關(guān)經(jīng)濟(jì)影響的最優(yōu)隨機(jī)保障框架。在電網(wǎng)運(yùn)行中，文獻(xiàn)［11］研究了一種信息物理協(xié)同攻擊雙層規(guī)劃模型，通過將虛假數(shù)據(jù)注入到量測(cè)單元中使母線負(fù)荷重分配，會(huì)嚴(yán)重地破壞電力系統(tǒng)的穩(wěn)定性。在能量欺騙攻擊中，文獻(xiàn)［12］研究了針對(duì)能量路由的FDIA，攻擊者能夠?qū)卧斓哪芰啃畔⒒蜴溌窢顟B(tài)信息注入節(jié)點(diǎn)間的能量請(qǐng)求和響應(yīng)消息中，從而造成電力供需失衡，擾亂能源的分配。上述方法將網(wǎng)絡(luò)攻防設(shè)為靜態(tài)過程，忽略了攻防雙方之間的交互作用。

考慮攻擊者與防御者策略之間的相互影響，有學(xué)者在博弈論領(lǐng)域展開了研究，大多集中在單階段博弈和多階段博弈方法，目的往往是要造成電力系統(tǒng)穩(wěn)定性降低或電力市場(chǎng)經(jīng)濟(jì)損失［13-15］。在單階段博弈中：文獻(xiàn)［13］提出了一種隨機(jī)零和博弈方法，利用資源分配隨機(jī)模擬針對(duì)線路的攻擊，采用最優(yōu)減載算法量化攻擊后果，得到納什均衡點(diǎn)下的防御最優(yōu)決策；文獻(xiàn)［14］基于電力市場(chǎng)的FDIA行為，在市場(chǎng)背景下提出了一個(gè)攻防博弈模型，攻擊方試圖攻擊對(duì)狀態(tài)估計(jì)器影響最大的量測(cè)點(diǎn)以獲取經(jīng)濟(jì)利潤(rùn)。在多階段博弈中，文獻(xiàn)［15］基于多階段博弈模型提出一種FDIA防御方法，重點(diǎn)考慮攻防雙方的策略調(diào)整。以上研究大多專注于博弈雙方資源的分配，未考慮數(shù)據(jù)篡改、攻擊代價(jià)及多階段攻擊等問題，降低了模型的有效性。

針對(duì)以上問題，本文提出一種多階段低代價(jià)虛假數(shù)據(jù)注入攻擊方法。首先，分析FDIA模型以及攻擊空間；其次，引入雙人零和博弈理論，基于攻擊者的攻擊動(dòng)作與后果建立單階段攻防博弈模型；然后，基于單階段攻防博弈結(jié)果，考慮輸電線路攻擊代價(jià)因素，建立多階段攻擊代價(jià)模型；最后，通過IEEE 30 節(jié)點(diǎn)系統(tǒng)的仿真，驗(yàn)證所提模型的合理性。

1 FDIA

1.1 FDIA分類

在智能電網(wǎng)中，一個(gè)集成、高速、雙向的通信網(wǎng)絡(luò)可以實(shí)現(xiàn)信息系統(tǒng)和電力系統(tǒng)之間的實(shí)時(shí)交互，如圖1所示。在智能電網(wǎng)中，從RTU（遠(yuǎn)程終端單元）和PMU（相量測(cè)量單元）收集到的儀表量測(cè)數(shù)據(jù)通過網(wǎng)絡(luò)傳輸?shù)絊CADA（數(shù)據(jù)采集與監(jiān)視控制）系統(tǒng)，SCADA 系統(tǒng)再將數(shù)據(jù)傳到控制中心的EMS（能量管理系統(tǒng)）進(jìn)行狀態(tài)估計(jì)與不良數(shù)據(jù)辨識(shí)［16］?？刂浦行睦脿顟B(tài)估計(jì)結(jié)果進(jìn)行最優(yōu)潮流、故障分析等操作，然后根據(jù)系統(tǒng)的狀態(tài)采取相應(yīng)的決策，最后由SCADA 系統(tǒng)反饋給RTU和PMU。

圖1 電力CPS中的虛假數(shù)據(jù)注入攻擊示意圖Fig.1 Schematic diagram of FDIA in power CPS

狀態(tài)估計(jì)的攻擊方法共涉及3種攻擊方式，分別為：篡改量測(cè)數(shù)據(jù)、入侵SCADA 系統(tǒng)、入侵RTU 與SCADA 系統(tǒng)間的網(wǎng)絡(luò)。任何一種方法均能繞過不良數(shù)據(jù)檢測(cè)系統(tǒng)，使EMS 做出錯(cuò)誤的決策。

1.2 狀態(tài)估計(jì)和不良數(shù)據(jù)辨識(shí)理論

電力系統(tǒng)的DC（直流）狀態(tài)估計(jì)模型可表示為：

式中：z為量測(cè)向量，包括節(jié)點(diǎn)注入功率和支路潮流；x為待估計(jì)的狀態(tài)向量，表示節(jié)點(diǎn)電壓相角；e為量測(cè)誤差向量；H為雅可比矩陣。

本文以最小二乘法獲得狀態(tài)變量的估計(jì)值x?：

式中：W為加權(quán)矩陣，通常有W=R-1，其中R為量測(cè)誤差e的協(xié)方差矩陣，即R=cov（e）。

由于不可避免的量測(cè)噪聲，會(huì)存在少部分壞數(shù)據(jù)或惡意數(shù)據(jù)，實(shí)際中還會(huì)增加不良數(shù)據(jù)辨識(shí)的環(huán)節(jié)［17］。LNR（最大標(biāo)準(zhǔn)化殘差）檢測(cè)是辨識(shí)不良數(shù)據(jù)的典型方式，殘差表達(dá)式為：

式中：r為真實(shí)測(cè)量值與DC 模型狀態(tài)估計(jì)計(jì)算得到的測(cè)量值之間的差值。

若||r||>τ（τ為檢測(cè)閾值）成立，則系統(tǒng)存在壞數(shù)據(jù)，需要重新對(duì)系統(tǒng)進(jìn)行狀態(tài)估計(jì)。

1.3 FDIA原理

如果攻擊者對(duì)電網(wǎng)的拓?fù)浣Y(jié)構(gòu)完全了解，注入攻擊向量a構(gòu)成虛假的量測(cè)向量，實(shí)際的量測(cè)數(shù)據(jù)為zbad=z+a，估計(jì)的狀態(tài)變量為xbad=x+c（c為攻擊后的誤差向量）。攻擊后的殘差可以表示為：

當(dāng)a=Hc時(shí)，有：

因此，系統(tǒng)在受到FDIA和沒有受到攻擊時(shí)具有相同的殘差，這是一個(gè)隱形的攻擊。攻擊者可以成功地繞過不良數(shù)據(jù)檢測(cè)系統(tǒng)，危害電力系統(tǒng)的穩(wěn)定運(yùn)行。

2 攻擊空間描述

2.1 最優(yōu)攻擊范圍的選取

PMU 具有測(cè)量節(jié)點(diǎn)電壓幅值和相角的能力，能得到準(zhǔn)確的狀態(tài)估計(jì)結(jié)果，因此在本文中定義攻擊方式為向布置PMU節(jié)點(diǎn)的量測(cè)單元注入虛假數(shù)據(jù)，導(dǎo)致下發(fā)錯(cuò)誤的指令。單獨(dú)改變攻擊線路的潮流值會(huì)違背系統(tǒng)潮流規(guī)律，很容易被檢測(cè)出來，為了使攻擊者能夠成功地通過不良數(shù)據(jù)檢測(cè)環(huán)節(jié)，需要同時(shí)改變與被攻擊線路直接相連的所有量測(cè)量。

如圖2所示，以攻擊線路2-3為例，攻擊者有兩種攻擊方式，即選擇攻擊節(jié)點(diǎn)2（篡改與節(jié)點(diǎn)2相連線路的潮流值）或攻擊節(jié)點(diǎn)3（篡改與節(jié)點(diǎn)3相連線路的潮流值）。顯然選擇攻擊節(jié)點(diǎn)3 的攻擊范圍更小，耗用的攻擊資源更少，因此第二種方式為最優(yōu)選擇。

圖2 最優(yōu)攻擊范圍Fig.2 Optimal attack range

2.2 PMU的最優(yōu)配置

電力系統(tǒng)全網(wǎng)可觀測(cè)表示網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)電壓相量都能被PMU直接觀測(cè)或根據(jù)基爾霍夫定律和歐姆定律間接觀測(cè)。本文采用PMU作為量測(cè)單元，由于在每個(gè)節(jié)點(diǎn)都安裝PMU 的成本很高，采用0-1 整數(shù)規(guī)劃模型對(duì)量測(cè)點(diǎn)進(jìn)行配置，在達(dá)到全網(wǎng)可觀測(cè)的同時(shí)確定最少的配置數(shù)量。配置模型為：

式中：f1為系統(tǒng)配置PMU 的總數(shù)；p為電力系統(tǒng)中的節(jié)點(diǎn)總數(shù)；xj為0-1 變量，表征在節(jié)點(diǎn)j是否配置PMU 裝置，xj=1 表示在節(jié)點(diǎn)j配置PMU 裝置，xj=0表示在節(jié)點(diǎn)j未配置PMU裝置。

可觀測(cè)約束條件為：

式中：F（j）≥1 表示節(jié)點(diǎn)j可被直接或間接觀測(cè)；aij為鄰接矩陣A中的元素，鄰接矩陣A表征每個(gè)節(jié)點(diǎn)間的鄰接關(guān)系。

當(dāng)節(jié)點(diǎn)i和節(jié)點(diǎn)j直接相連時(shí)，aij=1；當(dāng)節(jié)點(diǎn)i和節(jié)點(diǎn)j不相連時(shí)，aij=0。即：

基于0-1 整數(shù)規(guī)劃算法能夠優(yōu)化PMU 的配置，該方法簡(jiǎn)化了約束條件，提高了收斂速度。

2.3 最優(yōu)負(fù)荷減載模型

由于各負(fù)荷節(jié)點(diǎn)的負(fù)荷類型不同，切除后對(duì)電力系統(tǒng)的影響也不同［18］。本文通過最優(yōu)負(fù)荷減載算法衡量攻擊造成的后果，以切負(fù)荷總量最小為準(zhǔn)則，即：

式中：f2為系統(tǒng)負(fù)荷減載值之和；Li為系統(tǒng)中第i個(gè)負(fù)荷節(jié)點(diǎn)需要切除的負(fù)荷量；M為需要進(jìn)行負(fù)荷切除的節(jié)點(diǎn)總數(shù)。

線路潮流約束如下：

式中：Fl為線路l上的潮流；Sl為0-1 變量，表征線路l的運(yùn)行狀況，Sl=0 為故障狀態(tài)，Sl=1 為正常狀態(tài)；xl為線路l的電抗；Hi為第i個(gè)負(fù)荷節(jié)點(diǎn)的關(guān)聯(lián)矩陣；δi為第i個(gè)負(fù)荷節(jié)點(diǎn)的相角矩陣；L為線路集合。

系統(tǒng)節(jié)點(diǎn)功率和節(jié)點(diǎn)負(fù)荷約束如下：

式中：O為發(fā)電機(jī)集合；So為0-1變量，表征發(fā)電機(jī)o的運(yùn)行狀況，So=0為故障狀態(tài)，So=1為正常狀態(tài)；Go為發(fā)電機(jī)o的輸出功率；Qi為第i個(gè)負(fù)荷節(jié)點(diǎn)上的負(fù)載；W為需要進(jìn)行負(fù)荷切除的節(jié)點(diǎn)集合。

線路輸送功率約束如下：

式中：Fmaxl為線路l的熱穩(wěn)定極限。

發(fā)電機(jī)出力約束如下：

式中：Gmino和Gmaxo分別為發(fā)電機(jī)o的最小、最大出力。

每個(gè)負(fù)荷節(jié)點(diǎn)所切負(fù)荷量不能超過原有值：

3 雙人零和博弈模型

3.1 攻防博弈模型

本文以PMU為目標(biāo)開展攻防博弈的研究，在這個(gè)過程中，攻擊者可以入侵并篡改PMU裝置的量測(cè)值，防御者通過部署冗余的PMU裝置來檢測(cè)攻擊行為，二者的動(dòng)作組合構(gòu)成了博弈空間。對(duì)于攻擊者與防御者來說，一方的回報(bào)等價(jià)于另一方的虧損，攻擊者與防御者的回報(bào)和虧損值求和恒為零，因此構(gòu)成了雙人零和博弈。

網(wǎng)絡(luò)攻防博弈模型是一個(gè)非合作完全信息的靜態(tài)博弈模型，由四元組（N，S，P，U）組成。

1）N=｛NA，ND｝是局中人空間。NA為攻擊方局中人，ND為防御方局中人。

2）S=｛SA，SD｝是策略空間。SA為攻擊方策略集合，如以篡改線路潮流為攻擊手段，則SA=｛At|t=1，2，…，m｝，其中At為目標(biāo)線路，m為攻擊方式總數(shù)；SD為防御方策略集合，如以部署冗余的PMU裝置為防御手段，SD=｛De|e=1，2，…，q｝，其中De為目標(biāo)節(jié)點(diǎn)，q為防御方式總數(shù)。

3）P=｛PA，PD｝是策略選取概率空間，與策略空間相對(duì)應(yīng)。PA為攻擊方策略選取概率，PA=｛PAt|t=1，2，···，m｝，其中PAt為采用第t種攻擊方式的概率；PD為防御方策略選取概率，則PD=｛PDe|e=1，2，···，q｝，其中PDe為采用第e種防御方式的概率。

4）U=［UAUD］=（ute）m×n是收益矩陣。UA為攻擊方收益，UD為防御方收益，ute為在第t種攻擊動(dòng)作與第e種防御動(dòng)作下局中人的得失。收益矩陣中的元素為每種動(dòng)作組合對(duì)應(yīng)的最優(yōu)負(fù)荷減載值。由于是零和博弈，UA=-UD。

3.2 博弈模型求解

博弈模型中攻防雙方的最優(yōu)策略通過求解納什均衡點(diǎn)可以得到，具體求解過程如下：

在零和博弈中，對(duì)于給定的收益矩陣U，如果局中人在均衡中得到的期望收益Z> 0，則博弈的納什均衡為以下對(duì)偶線性規(guī)劃問題的解：

納什均衡支付為：

納什均衡策略為：

4 多階段攻擊模型

在電網(wǎng)規(guī)劃中，需要對(duì)所做的規(guī)劃進(jìn)行“N－1”校驗(yàn)，查看線路是否滿足“N－1”原則。單一元件故障后，如果重合閘正常，對(duì)穩(wěn)定及連續(xù)供電可能不會(huì)造成影響。考慮到攻防對(duì)抗具有多階段、連續(xù)性的特征，具備足夠資源的攻擊者傾向于短時(shí)間內(nèi)發(fā)動(dòng)多次攻擊，而不是在單階段中同時(shí)攻擊多個(gè)目標(biāo)，因此有必要基于單階段攻防博弈的結(jié)果分析多階段低代價(jià)攻擊對(duì)系統(tǒng)造成的危害。

4.1 電力網(wǎng)絡(luò)拓?fù)涔舸鷥r(jià)

在通過復(fù)雜網(wǎng)絡(luò)研究電網(wǎng)特性時(shí)，通常將發(fā)電機(jī)、變壓器和母線等看作拓?fù)浣Y(jié)構(gòu)中的節(jié)點(diǎn)，將輸電線路和變壓器支路視為連接節(jié)點(diǎn)的邊?；趶?fù)雜網(wǎng)絡(luò)理論描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，將線路度數(shù)、線路緊密度和線路介數(shù)等作為電力網(wǎng)絡(luò)拓?fù)涔舸鷥r(jià)的評(píng)估指標(biāo)。

線路度數(shù)、線路緊密度和線路介數(shù)指標(biāo)反映了節(jié)點(diǎn)與線路在電力網(wǎng)絡(luò)中的分布情況。高度數(shù)、高緊密度和高介數(shù)的線路越居于電力網(wǎng)絡(luò)的中心，在電力網(wǎng)絡(luò)中越重要，其對(duì)應(yīng)攻擊難度以及代價(jià)也會(huì)越高；反之，低度數(shù)、低緊密度和低介數(shù)的線路處于電力網(wǎng)絡(luò)線路稀疏的邊沿部分［19］，這部分線路不易受到系統(tǒng)保護(hù)，脆弱性較高，因此對(duì)應(yīng)的攻擊難度以及代價(jià)也會(huì)較低。基于以上分析，綜合3個(gè)評(píng)估指標(biāo)定義電力網(wǎng)絡(luò)中線路l（連接節(jié)點(diǎn)i和節(jié)點(diǎn)j，下同）的拓?fù)涔舸鷥r(jià)Wl：

式中：di和dj為連接線路l兩端節(jié)點(diǎn)的度數(shù)；ci和cj為連接線路l兩端節(jié)點(diǎn)的緊密度；bij為線路l的介數(shù)；Y（?）為歸一化函數(shù)；α、β、γ分別為線路度數(shù)、線路緊密度、線路介數(shù)的權(quán)重，本文假設(shè)3個(gè)指標(biāo)對(duì)線路攻擊代價(jià)具有相同的影響度［19］。

4.2 電力資源攻擊代價(jià)

在電力CPS中，電力節(jié)點(diǎn)的資源量通常通過該節(jié)點(diǎn)的發(fā)電機(jī)功率上限和負(fù)荷量進(jìn)行衡量。一旦電網(wǎng)出現(xiàn)故障，信息網(wǎng)會(huì)及時(shí)調(diào)節(jié)發(fā)電機(jī)功率和負(fù)荷量，使有功功率重新達(dá)到均衡［19］，保證電網(wǎng)安全運(yùn)行，有效抑制故障及故障衍生。小資源量的電力節(jié)點(diǎn)在電網(wǎng)中分配的功率較小，這部分節(jié)點(diǎn)不易受到系統(tǒng)保護(hù)，為系統(tǒng)的薄弱點(diǎn)，其部署的防御措施相對(duì)較少，因此對(duì)應(yīng)的攻擊難度以及代價(jià)也會(huì)較低。定義輸電線路電力資源攻擊代價(jià)：

式中：PGi，max為節(jié)點(diǎn)i的發(fā)電機(jī)有功功率上限值；PLi為節(jié)點(diǎn)i的負(fù)荷值；Pi為節(jié)點(diǎn)i的資源量；Dl為線路l的電力資源攻擊代價(jià)。

4.3 攻擊資源轉(zhuǎn)移代價(jià)

攻擊者在不同階段實(shí)施攻擊時(shí)，涉及攻擊資源轉(zhuǎn)移代價(jià)問題。攻擊或防御資源用可以攻擊或防御的線路數(shù)衡量，采用最短路徑Floyd算法量化資源轉(zhuǎn)移代價(jià)，目標(biāo)為探索兩個(gè)節(jié)點(diǎn)間的最短路徑［20］。Floyd算法的基本原理如下：

設(shè)賦權(quán)無向圖由頂點(diǎn)集V｛v1，v2，…，vn｝和邊集E構(gòu)成，記作G（V，E），如圖3 所示，E=（eij）n×n為G的鄰接矩陣，eij為邊vi-vj的權(quán)重。

圖3 G（V，E）賦權(quán)無向圖Fig.3 Weighted undirected graph G（V，E）

1）基于頂點(diǎn)集V和邊集E，構(gòu)建鄰接矩陣為節(jié)點(diǎn)vi到vj之間的距離。若i=j，若vi與vj不直接相連，∞。即：

2）對(duì)于節(jié)點(diǎn)vi與節(jié)點(diǎn)vj之間的距離，其最短路徑可能不是兩個(gè)節(jié)點(diǎn)直接相連的距離，即節(jié)點(diǎn)i經(jīng)過某節(jié)點(diǎn)k到節(jié)點(diǎn)j的距離比節(jié)點(diǎn)i直接到節(jié)點(diǎn)j的路徑短，即此時(shí)的最短路徑為定義式（26）并進(jìn)行類推，得到引入若干個(gè)節(jié)點(diǎn)的最短距離。

3）令k=1，利用式（26）遍歷矩陣的行列號(hào)i和j， 通過計(jì)算， 再遍歷k（k≤n）后計(jì)算。

基于最短路徑Floyd算法，求出每種多階段攻擊的最短路徑，定義最短路徑中涉及任意線路的資源轉(zhuǎn)移代價(jià)均為1，即可構(gòu)成攻擊資源轉(zhuǎn)移代價(jià)矩陣。例如，某多階段攻擊方式所對(duì)應(yīng)部署PMU的節(jié)點(diǎn)為a-b-c，分別求出a-b及b-c之間的最短路徑所對(duì)應(yīng)的資源轉(zhuǎn)移代價(jià)Tab和Tbc，未涉及到代價(jià)轉(zhuǎn)移的兩個(gè)節(jié)點(diǎn)之間的代價(jià)為0，定義攻擊資源轉(zhuǎn)移代價(jià)矩陣C為：

式中：對(duì)角線元素的值為0。

由于每種多階段攻擊方式所對(duì)應(yīng)的攻擊資源轉(zhuǎn)移代價(jià)矩陣的階數(shù)不同，引入Frobenius 范數(shù)衡量每種多階段攻擊方式的資源轉(zhuǎn)移代價(jià)，即：

式中：||C||F為攻擊資源轉(zhuǎn)移代價(jià)；Tij為資源轉(zhuǎn)移代價(jià)矩陣中的元素。

4.4 輸電線路攻擊代價(jià)

基于電力網(wǎng)絡(luò)拓?fù)涔舸鷥r(jià)、資源攻擊代價(jià)和攻擊資源轉(zhuǎn)移代價(jià)，定義輸電線路l的攻擊代價(jià)為：

式中：Al為輸電線路的攻擊代價(jià)，代表電力線路安全防護(hù)水平。

5 數(shù)值仿真與結(jié)果分析

5.1 系統(tǒng)參數(shù)設(shè)置

本文以IEEE 30 節(jié)點(diǎn)系統(tǒng)為例，對(duì)攻防博弈過程進(jìn)行仿真，IEEE 30節(jié)點(diǎn)系統(tǒng)拓?fù)鋱D如圖4所示。根據(jù)所提0-1整數(shù)規(guī)劃模型對(duì)PMU量測(cè)點(diǎn)進(jìn)行優(yōu)化配置，通過在MATLAB 中求解可得在節(jié)點(diǎn)3、5、8、10、11、12、19、23、26、30上總計(jì)部署10 個(gè)PMU（圖4 中縮寫為“P”）為最優(yōu)配置方案。此配置方式可以保證全網(wǎng)可觀測(cè)且所需PMU的數(shù)量最少。

圖4 IEEE 30節(jié)點(diǎn)系統(tǒng)拓?fù)鋱DFig.4 Topology of IEEE 30 node system

5.2 單階段攻防博弈

對(duì)于攻擊者來說，攻擊空間設(shè)置為一個(gè)PMU的觀測(cè)區(qū)域，它通過入侵并篡改PMU裝置的量測(cè)值使線路中斷并造成負(fù)荷減載；對(duì)于防御者來說，需要一個(gè)冗余的PMU裝置作為防御手段。在本文中，采用Matpower 對(duì)FDIA 的博弈過程仿真。經(jīng)過狀態(tài)估計(jì)與不良數(shù)據(jù)的辨識(shí)，共確定10 種有效的攻擊方式，如表1所示。

表1 單一PMU攻擊后果Table 1 Consequences of attacking a single PMU

以10 種有效攻擊方式的負(fù)荷減載值作為攻擊后果，得到雙人零和博弈的收益函數(shù)，計(jì)算博弈模型的納什均衡點(diǎn)，如圖5和圖6所示。

圖6 單階段博弈最優(yōu)防御策略Fig.6 The optimal defense strategy in single-stage game

對(duì)于攻擊者來說，只有攻擊方式4和8會(huì)被選擇，分別占0.410 6和0.589 4的概率，其中攻擊者通過在節(jié)點(diǎn)12 部署PMU，攻擊線路2-4、4-12、12-13、12-15、14-15、16-17的概率最高，該攻擊方式會(huì)造成20.9 MW 的負(fù)荷減載，成功率可達(dá)0.589 4。對(duì)于防御者來說，可以選擇的保護(hù)節(jié)點(diǎn)有2、4、6、15、27，其中節(jié)點(diǎn)6和27可以防御攻擊方式4，節(jié)點(diǎn)2、4、15能夠防御攻擊方式8。這是由于在以攻擊方式和防御節(jié)點(diǎn)構(gòu)成的收益矩陣中，5個(gè)可以選擇的保護(hù)節(jié)點(diǎn)與上述攻擊方式對(duì)應(yīng)收益矩陣中的元素?cái)?shù)值均為0，也就是說將冗余的PMU 裝置安裝在上述5 個(gè)節(jié)點(diǎn)時(shí)，防御者完全可以防御住相應(yīng)的攻擊方式。防御者采用節(jié)點(diǎn)6作為保護(hù)節(jié)點(diǎn)的概率最高（0.334 3）。在該最優(yōu)攻防策略組合下，系統(tǒng)期望負(fù)荷減載值為12.318 3 MW。

5.3 多階段攻擊

基于多階段攻擊代價(jià)模型，具備足夠資源的攻擊者傾向于短時(shí)間內(nèi)發(fā)動(dòng)多次攻擊，而不是在單階段中同時(shí)攻擊多個(gè)目標(biāo)?；诠シ啦┺牡玫降?0 種攻擊方式，計(jì)算每種攻擊方式的負(fù)荷損失率和攻擊代價(jià)，如圖7所示。

由圖7 可以看出，在10 種單階段有效的攻擊方式中，除了攻擊方式2和9之外，攻擊代價(jià)和負(fù)荷損失率的趨勢(shì)大體上與理論相符，花費(fèi)的攻擊代價(jià)越高，其負(fù)荷損失率越大，對(duì)電網(wǎng)造成的危害越嚴(yán)重。對(duì)于攻擊方式2，盡管花費(fèi)了最高的攻擊代價(jià)（0.206 1），但其負(fù)荷損失率卻偏低，僅為12.05%，這是因?yàn)楣舴绞? 中涉及的線路多居于電力網(wǎng)絡(luò)中心，部署的防御手段及措施相對(duì)齊全，因此其攻擊難度及攻擊代價(jià)較高。對(duì)比攻擊方式9 和10，攻擊方式9 花費(fèi)極低的攻擊代價(jià)（0.017 8），卻造成了與攻擊方式10 相近的負(fù)荷損失率，這是因?yàn)楣舴绞?中所涉及的線路多處于電力網(wǎng)絡(luò)線路稀疏的邊沿位置，這些線路不易受到系統(tǒng)保護(hù)，通常為電網(wǎng)中最易忽略的薄弱環(huán)節(jié)，因此攻擊難度及攻擊代價(jià)較低。綜上所述，對(duì)于攻擊者來說，針對(duì)某一攻擊策略，攻擊代價(jià)越低，產(chǎn)生的負(fù)荷損失越大，則被認(rèn)為是最理性且最有效的攻擊方式。

為了進(jìn)一步研究多階段攻擊對(duì)系統(tǒng)安全穩(wěn)定運(yùn)行造成的影響，基于攻擊代價(jià)模型，以3階段攻擊為例，仿真FDIA多階段攻擊過程。根據(jù)單階段的攻擊方式，分別將排序前50%的低攻擊代價(jià)（攻擊場(chǎng)景1）、排序后50%的高攻擊代價(jià)（攻擊場(chǎng)景2）和所有攻擊方式（攻擊場(chǎng)景3）的線路進(jìn)行排列組合，得到三階段攻擊策略。采用蒙特卡洛算法對(duì)3種攻擊場(chǎng)景分別模擬2 000次網(wǎng)絡(luò)攻擊行為，仿真結(jié)果如圖8所示。

圖8 不同攻擊場(chǎng)景多階段攻擊代價(jià)Fig.8 Multi-stage attack cost under different attack scenarios

由圖8可以看出，不同攻擊場(chǎng)景下的攻擊后果明顯不同。高攻擊代價(jià)的線路在電力網(wǎng)絡(luò)中較重要，對(duì)電網(wǎng)安全穩(wěn)定運(yùn)行的影響較大，一旦發(fā)起攻擊后對(duì)電網(wǎng)的破壞性也較為嚴(yán)重，因此在多階段的攻擊中，其平均攻擊代價(jià)和平均負(fù)荷損失率較高。低攻擊代價(jià)的線路安全防護(hù)水平略低，并且多為稀疏線路，因此在多階段的攻擊中，其平均攻擊代價(jià)和平均負(fù)荷損失率偏低。對(duì)比攻擊場(chǎng)景1 和攻擊場(chǎng)景2 可知，攻擊場(chǎng)景2 的平均攻擊代價(jià)約比攻擊場(chǎng)景1高出1倍，但其造成的平均負(fù)荷損失率僅比攻擊場(chǎng)景1 高出約0.5 倍。攻擊場(chǎng)景3的攻擊對(duì)象為系統(tǒng)所有線路，在遭受多階段攻擊后造成的平均負(fù)荷損失率與攻擊場(chǎng)景1 相差不大，但其花費(fèi)的平均攻擊代價(jià)遠(yuǎn)高于攻擊場(chǎng)景1。綜上所述，基于攻擊代價(jià)可以對(duì)不同的輸電線路進(jìn)行清晰劃分，揭露不同線路之間的差異性。低攻擊代價(jià)的線路為系統(tǒng)中易受到攻擊的對(duì)象，其脆弱性較大；高攻擊代價(jià)的線路為系統(tǒng)中較難攻擊的對(duì)象，其防御性較高。在多階段攻擊中，高攻擊代價(jià)的線路對(duì)電力系統(tǒng)的破壞程度與危害性遠(yuǎn)大于低攻擊代價(jià)的線路；同時(shí)，在對(duì)電力系統(tǒng)的破壞程度與危害性相差不大的情況下，低攻擊代價(jià)的線路花費(fèi)的攻擊代價(jià)明顯偏低，進(jìn)一步驗(yàn)證了所提攻擊代價(jià)模型的有效性與適用性。

6 結(jié)語(yǔ)

本文在CPS 的背景下，提出了多階段低代價(jià)虛假數(shù)據(jù)注入攻擊方法，該方法以PMU作為攻防目標(biāo)，基于單階段攻防博弈結(jié)果，在多階段攻擊中考慮數(shù)據(jù)篡改、多路徑攻擊及攻擊代價(jià)等問題。在不同的攻擊場(chǎng)景中，在對(duì)電網(wǎng)破壞性相差不大的情況下，低攻擊代價(jià)的線路花費(fèi)的攻擊代價(jià)明顯偏低，驗(yàn)證了所提模型的有效性。下一步的工作將研究基于博弈論的信息-物理協(xié)同攻擊策略，分析攻擊動(dòng)作和特點(diǎn)，并提出有效的防御方案。