基于拓撲篡改的電力市場虛假數據注入攻擊方案

王勝鋒，丁 洲，吳勁松，邱愛兵

（南通大學 電氣工程學院，江蘇 南通 226019）

0 引言

隨著電力系統通信智能化的快速發展，現代電力系統已發展成為由信息網和電力網深度融合而成的典型電力信息物理融合系統（CPPS）［1-2］。2019 年10月16日，《泛在電力物聯網白皮書2019》的發布標志著我國CPPS 的建設正在加速推進［3］。與此同時，隨著《關于進一步深化電力體制改革的若干意見》的發布，我國電力體制改革穩步推進，逐步開始建設電力市場［4］。能量管理系統（EMS）、市場管理系統（MMS）是實現信息層（現場傳感器測量和通信網絡）與物理系統和市場運營深度融合的關鍵。網絡拓撲處理器（NTP）和狀態估計是EMS 的核心功能。NTP根據斷路器／開關的狀態數據構建系統拓撲，EMS使用NTP 生成的網絡拓撲結構，根據傳感器測量的節點注入功率和線路流過功率估計節點電壓幅值以及電壓相角，MMS 則使用EMS 估計所得數據進行電價計算以及運營決策等操作［5］。

電網拓撲的一致性、完整性是監控中心確保電力系統安全經濟運行的基本前提［6］。然而，在上述融合過程中，由于通信網絡具有開放性、脆弱性，會導致NTP 面臨各種類型的網絡攻擊。此外，MMS 計算的節點邊際價格（LMP）與電力系統的實際運行狀態密切相關，這使得準確的狀態估計至關重要。網絡攻擊者可通過修改量測值來改變拓撲結構及狀態估計結果，進而影響電力市場，這給電力市場帶來了隱患［7］。虛假數據注入攻擊（FDIA）是典型的針對狀態估計的網絡攻擊，此類攻擊具有隱蔽性、復雜性、破壞性大等特點［8］。由于LMP 是根據實際系統運行的狀態估計結果計算確定，攻擊者可發起FDIA來操縱節點電價并獲利。因此，建立直觀的攻擊模型并系統地分析FDIA對實時電力市場的影響，有助于電力系統監控中心、運營商采取相應的防御措施。

為此，有關電力市場FDIA 的研究受到了廣泛關注［9-17］。文獻［9］首次通過虛擬競標研究了FDIA 對電力市場運營中的狀態估計可能產生的經濟影響；文獻［10］根據市場收入評估所提的數據攻擊方案；文獻［11］研究了不同的不良數據模型對LMP 的影響；文獻［12］提出攻擊者能使用FDIA 及偽造的雙邊合同從日前市場與實時市場之間的LMP 差異中獲利；文獻［13］提出了一種攻擊者無需電網拓撲或參數信息就可通過電表測量的實時數據流發起的在線攻擊方案。值得指出的是，上述研究均假設電力系統的網絡拓撲結構未受到攻擊，而事實上攻擊者可輕易地通過篡改傳感器測量的開關狀態離散數據，在不被監控中心的拓撲誤差處理（TEP）檢測的情況下，誤導監控中心認為電力系統在與現實不同的拓撲結構下運行，這具有更強的隱蔽性、破壞性［17］。文獻［5，14-16］探索了拓撲攻擊對電力市場的影響，其中文獻［14］提出了一個分析框架，用于評估在線路阻塞情況下網絡拓撲偏差對LMP 的影響；特別地，文獻［15］提出了線路增加攻擊、線路斷開攻擊、線路交換攻擊3種拓撲攻擊框架，并根據3種攻擊方案提出一種統一的最優攻擊模型，通過直接誤導監控中心的決策過程以影響電力系統的經濟運行和安全性。

受上述研究工作的啟發，本文針對線路斷開攻擊研究了一種更為具體的針對電力市場的攻擊方案，通過在狀態估計框架下研究線路斷開隱蔽攻擊方案并分析其對電力市場的影響，以更全面地發現電力市場潛在的經濟風險。與現有FDIA 方案不同的是，本文所提FDIA方案考慮了攻擊易被忽略的拓撲結構數據，并構造了比現有FDIA方案收益更高且更隱蔽的攻擊策略。具體而言，本文從攻擊者的角度出發，提出了一種基于拓撲篡改的電力市場FDIA方案。通過篡改傳感器傳輸的離散的網絡數據以及連續的模擬量數據分析拓撲攻擊對電力市場的影響。主要內容及創新點如下：①為了保證攻擊后拓撲結構與傳感器測量的連續數據的一致性及隱蔽性，給出了躲避殘差檢測以及TEP 檢測的隱蔽攻擊的定義；②根據上述隱蔽攻擊定義及隱蔽攻擊向量的代數條件，提出一種能在發電機節點獲得最大收益的同時通過殘差檢測以及TEP 檢測的攻擊方案，并可通過求解凸規劃問題實現該方案；③算例仿真結果表明，在拓撲攻擊的基礎上，當攻擊者篡改的傳感器數量越多，所提攻擊方案獲得的收益越高。

1 電力市場模型

在以美國為代表的放松管制的電力市場中，節點電價由區域輸電組織（RTO）決定。實時LMP 是所有市場參與者的結算價格。本節介紹了包含網絡拓撲信息的量測模型、狀態估計、實時市場中的事前市場和事后市場模型，并給出了LMP的計算形式。

1.1 量測模型

現代電網通過大量遠程終端單元（RTU）或相量測量單元（PMU）等傳感和感知設備獲取電網數據，并將其傳輸至監控中心。從信號特征角度而言，這些數據可分為以下2 類：一類是各種斷路器以及開關狀態的二進制數據s∈{0，1}，這些二進制數據構成了電網的拓撲結構，可以采用有向圖g=(ν，ε)表示，其中ν為節點集合，ε為連接線路集合；另一類是由節點注入功率和線路潮流等組成的模擬量，這些模擬量與電力系統的狀態和拓撲結構g有關，可用式（1）所示交流潮流模型表示［5］。

式中：z為由節點注入功率和線路潮流傳感器測量的有功、無功功率組成的向量；x為由所有節點電壓相角、幅值組成的電力系統狀態向量；h為包含x和g的非線性函數；w為加性測量噪聲。

目前，實際工程中應用的LMP 都是基于直流潮流模型計算所得［14］。基于直流潮流模型計算LMP的優勢在于：可以利用線性規劃法進行求解，其計算速度明顯優于交流模型，適合在線應用［9］。將非線性函數h在穩定點附近進行線性化，即做如下假設：①電壓相角都很小；②忽略電網損耗；③電壓幅值都接近于額定值。則可得直流潮流模型為：

式中：由于在直流意義下不存在無功功率，z∈Rm僅由節點注入功率和線路潮流測量的有功功率組成，m為觀測量數量；x∈Rn為由所有節點電壓相角組成的狀態向量，n為狀態變量數量；H∈Rm×n為測量矩陣；w∈Rm為方差是Q的高斯噪聲。

測量矩陣H依賴于網絡拓撲g，但是H不與g顯式相關，為了便于表示，在直流潮流模型中用H表示拓撲結構。根據式（2），線路ij的潮流zij=Bij(xi-xj)，其中Bij為線路ij的電納，xi、xj分別為節點i、j的電壓相角，H中對應的行向量hi為：

如果zij為1 條斷開線路的潮流測量，則zij=0，H中對應行向量的各元素均為0。

線路潮流zf與節點注入功率zin存在如下關系：

式中：S?H為功率傳輸分布因子矩陣，表示線路潮流對節點注入功率的靈敏程度［14］。

1.2 狀態估計

監控中心進行以網絡和傳感器數據為輸入的廣義狀態估計（GSE）。基于交流潮流模型（式（1））的狀態估計示意圖見圖1。圖中，（s，z）為GSE的輸入；x?為電力系統狀態的非線性最小二乘估計，如式（5）所示，可通過迭代算法進行求解；在未受攻擊時有g?=g。

圖1 基于交流潮流模型的狀態估計示意圖Fig.1 Schematic diagram of state estimation based on AC power flow model

x?=argmin[(z-h(x，g?))T(z-h(x，g?))] （5）

進一步地，考慮簡化后的直流潮流模型式（2），最小二乘估計則退化為線性估計，如式（6）所示。

1.3 事前市場模型

1.4 事后市場模型

由于實時運行狀態與事前市場調度的最優狀態不同，RTO 將基于狀態估計數據計算LMP 進行出清結算。首先定義式（11）所示阻塞集C?。

式中：P?l為線路l的潮流估計值。

為了獲得用于結算的LMP，事后市場在實際系統狀態附近的較小范圍內求解SCED［9］，見式（12）。

式中：λf為節點f的LMP［12］；η=[η1，η2，…，ηL]T；Sf為矩陣S的第f列向量。

由上述LMP 的計算過程可以看出，節點注入功率以及線路潮流的估計結果決定了LMP 式（13），因此狀態估計在市場價格制定中至關重要。為了出清實時市場，發電機節點i獲得的收益為λi(P?g，i-P*g，i)，消費客戶在負荷節點j支付的費用為λj(L?d，j-L*d，j)，L?d，j為節點j的負荷估計值。

2 基于拓撲篡改的FDIA

2.1 攻擊模型及攻擊目標

假設惡意第三方想要通過破壞一定數量的傳感器來攻擊系統并向監控中心發送虛假測量結果而從市場中獲利。為了分析極端情況下FDIA 對電力系統的影響，通常假設攻擊者有如下能力［15-17］。

1）攻擊者知道系統的拓撲矩陣、線路參數、狀態估計方案以及數據檢測方法，即攻擊者知道系統模型并能在發起攻擊前獲取(s，z)的所有數據。

2）攻擊者可篡改傳感器數據，包括傳輸到NTP的斷路器／開關的離散數據、傳輸到狀態估計的數據。這與現有大多有關FDIA的研究中假設拓撲網絡數據不受攻擊不同。將拓撲g篡改為g′的模型為：

式中：g′為篡改相應的網絡數據s′后對應的系統拓撲；b∈{0，1}為添加到網絡數據s中的篡改值；a∈Rm為添加到傳感器數據z中的攻擊向量；Γ=diag(γ1，γ2，…，γm)為可行攻擊向量空間，當且僅當γi=1 時表示第i臺傳感器的數據被篡改，Γ完全反映了攻擊者的能力。

3）假設直流模型式（2）中的測量矩陣H為滿秩矩陣，即無論是否存在攻擊，系統都是可觀的［5］。這就要求攻擊者不能通過劇烈的系統改變來誤導監控中心，從而避免引起監控中心的過多關注。

攻擊者的目標是將拓撲g=(ν，ε)篡改為不同的目標拓撲g′=(ν，ε′)。為了改變網絡的拓撲結構，攻擊者發起了一次中間人攻擊，攻擊者攔截(s，z)并篡改部分傳感器數據，然后將篡改后的(s′，z′)發送給監控中心。攻擊后的狀態估計示意圖見圖2。

圖2 攻擊后的狀態估計示意圖Fig.2 Schematic diagram of state estimation after attack

由圖2 可看出，當發生攻擊后，GSE 接收到篡改后的數據(s′，z′)并進行狀態估計，殘差檢測基于狀態估計結果進行數據一致性檢驗，若測量數據和估計結果不一致，則GSE 會報警。當然系統允許一定的誤報率，如果攻擊被檢測的概率不大于系統所允許的誤報率，則此類攻擊無法被檢測到。為此給出如下定義。

定義1：如果攻擊被檢測的概率不大于系統的誤報率，則將g篡改為g′的攻擊a不可檢測。

在無噪聲的情況下，攻擊不可檢測問題可視為一個確定性問題。此時若對于每個測量值z都存在相應的狀態向量x′使z+Γa=h(x′，g)，則(s′，z+Γa)將拓撲從g篡改為g′是不可檢測的。

相比于非線性模型，直流模型下攻擊不可檢測條件可通過一個簡單的代數形式給出。對于直流模型式（2），當發生攻擊后，GSE 接收到攻擊后的測量數據(s′，z′)，對應的拓撲狀態信息s′的測量矩陣可表示為H′。在不考慮噪聲的情況下，TEP 檢測等同于檢測接收到的傳感器數據是否在測量矩陣的列空間中。因此，不可檢測攻擊可由下述定義表示。

定義2：如果攻擊向量a滿足式（15），則將g篡改為g′的攻擊可以躲避TEP檢測。

2.2 攻擊方案

本節首先給出一個將g篡改為g′且躲避TEP 檢測的充要條件。

引理1：在可行攻擊向量空間Γ的子空間中存在TEP 無法檢測的攻擊的充要條件為Ccol(H)?Ccol(H′，Γ)［5］，Ccol(H′，Γ)為以H′與Γ為基組成的矩陣空間。

引理1 考慮的是無噪聲情況，文獻［5］也證明了在有噪聲的情況下引理1仍成立。

在正常情況下，實時階段的估計發電量應與日前階段的最優調度相匹配，根據式（7），對于發電機節點i有：

根據2.1 節的定義1—3 和式（18），針對實時電力市場的基于拓撲篡改的FDIA 問題攻擊策略可以描述為如下凸優化問題：

由式（19）易知，目標函數、約束條件均為凸，上述優化問題是一個凸優化問題，KKT 條件是求解其最優解的充分必要條件。攻擊策略的目標函數是連續的，且a的可行域是非空的，因此優化問題存在最優解。凸性規劃問題目前有很多種求解算法，如拉格朗日乘子法、對偶內點法、遺傳算法等。本文采用MATLAB中的Global Optimization Toolbox進行求解。

從式（17）—（19）中可看出，本文所提基于拓撲篡改的FDIA方案使測量矩陣H′、Ka，i分別發生變化，這會影響發電收益；式（19）中不等式約束保證了殘差隱蔽及能躲避TEP檢測，這確保了攻擊不被檢測。

3 仿真結果

以標準IEEE 9 節點與14 節點系統為例，基于MATLAB 平臺中的MATPOWER 以及Global Optimization Toolbox 求解器進行仿真，分析基于拓撲篡改的FDIA對電力市場的影響。

IEEE 9 節點系統的拓撲結構見附錄A 圖A1，其由3臺發電機、9個節點、9條支路組成。假設在網絡中部署9 個斷路器收集所有線路的數字信息，在每條線路上部署9臺傳感器測量線路潮流，并在9個節點處部署傳感器測量節點注入功率。系統中共有18 臺傳感器。所有參數均使用MATPOWER 中標準IEEE 9節點系統的默認值，且不考慮阻塞情況。

假設攻擊者篡改線路4-5的拓撲數據使線路4-5斷開，即拓撲篡改的目標線路為4-5。這使得H′中與線路4-5、節點4、節點5 相關的元素與H不一致，其他元素都不變。當Γ中與線路4-5 相關的列元素不為0時，則滿足引理1。為了全面驗證本文所提方案，考慮不同數量的傳感器遭受FDIA。為了在保持隱蔽性的同時保證收益的最大化，根據攻擊策略式（19）求解攻擊向量如表1所示。

表1 不同數量傳感器被攻擊時的攻擊向量Table 1 Attack vectors with different numbers of sensors under attack

線路4-5 在不同時間點遭攻擊前、后線路潮流P4-5見圖3（a）。從圖中可看出，攻擊后線路4-5 無潮流通過，這表明拓撲篡改起到了攻擊效果。16 臺傳感器遭攻擊后的殘差見圖3（b），12、14 臺傳感器遭攻擊后的殘差結果與圖3（b）類似，限于篇幅不再贅述。從圖3（b）中可看出，遭攻擊后的殘差小于報警值0.6。IEEE 9 節點系統遭攻擊后的最大收益見圖4。由圖可知，遭攻擊的傳感器越多，系統收益越大。上述結果表明本文所提攻擊方案在成功實現盈利的同時保持了隱蔽性。

圖3 IEEE 9節點系統遭攻擊前、后的仿真效果Fig.3 Simulative results of IEEE 9-bus system before and after attack

圖4 IEEE 9節點系統遭攻擊后的最大收益Fig.4 Maximum benefit of IEEE 9-bus system after attack

IEEE 14 節點系統的拓撲結構見附錄A 圖A2，其包括5臺發電機、14個節點、20條支路。假設系統通過20 個斷路器測量所有線路上的數字信息，安裝34 臺傳感器測量線路潮流以及節點注入功率，且設置如下2種攻擊情景。

Case 1：攻擊者篡改線路4-5 的拓撲數據使線路4-5斷開，且考慮不同數量的傳感器遭受攻擊。

Case 2：攻擊者篡改線路3-4、4-5、6-12 的拓撲數據，使這3 條線路斷開，且考慮不同數量的傳感器遭受攻擊。

攻擊策略與IEEE 9 節點系統相同，Case 1 的幅值結果見附錄A 圖A3、A4。圖A3（a）為線路4-5 遭攻擊前、后線路潮流P4-5結果，可見基于拓撲的攻擊成功使線路斷開；圖A3（b）為遭攻擊后的殘差，可見殘差始終在閾值0.6 之內；圖A4 為攻擊不同數量傳感器時的系統最大收益，可見攻擊的傳感器越多，收益越大。上述結果表明本文所提攻擊方案可以在保持盈利的同時保證隱蔽性。

為了突出本文攻擊方案的效果，將Case 2 與文獻［13］中無拓撲篡改的針對模擬量量測的FDIA 進行對比，Case 2 的殘差以及線路潮流仿真結果均與上述算例相同，限于篇幅不再贅述。

本文攻擊方案Case 2與現有攻擊方案［13］的最大收益對比見圖5。由圖可知，本文攻擊方案的收益更大。現有攻擊方案并未考慮躲避TEP 檢測，這意味著一旦存在拓撲篡改情況，則無法滿足TEP 隱蔽條件Ccol(H)?Ccol(H′，Γ)。TEP檢測值見圖6。由圖可知，現有攻擊方案躲避不了TEP檢測，這意味著本文攻擊方案更隱蔽。綜合圖5和圖6可知，與現有無拓撲篡改的攻擊方案相比，本文所提攻擊方案更隱蔽且盈利更多。

圖5 本文攻擊方案與現有攻擊方案的最大收益對比Fig.5 Comparison of maximum benefit between proposed attack scheme and existing attack scheme

圖6 TEP檢測值Fig.6 TEP detection values

4 結論

本文提出了一種基于拓撲篡改的電力市場FDIA方案。通過篡改傳感器離散的開關量數據以及連續的模擬量數據，給出了可以躲避監控中心TEP 檢測的充分必要條件以及躲避殘差檢測的定義，基于此通過分析發電機節點的最大化收益以及隱蔽條件將攻擊策略描述為一類易于求解的凸規劃問題。研究結果表明：基于拓撲篡改的FDIA 更難防范，監控中心不僅需要防范常見的針對傳輸模擬數據傳感器的攻擊，還需重點防范針對傳輸離散量的傳感器的攻擊，可通過增加冗余傳感器以提高系統的安全性。在非線性狀態估計框架下研究不同的拓撲結構篡改方式對電力市場的影響將是未來的研究方向。

附錄見本刊網絡版（http：//www.epae.cn）。