電力CPS 中的虛假數據注入攻擊

魯 杰，楊 超，杜刃刃，伍 虹

（1 貴州大學 電氣工程學院，貴陽 550025；2 貴州電網有限責任公司貴安供電局，貴陽 550000）

0 引言

電力能源是一種關乎國計民生的重要資源，保障電力的可靠供應對國民經濟的健康穩步發展有著重大作用。然而，信息層與物理層相融合，在為電力工業帶來智能化便利的同時，其面臨的網絡安全風險也不斷增加。同時，在新時代建設堅強智能電網的背景下，電網安全問題尤為突出，網絡攻擊就是重大的安全隱患之一。由于電網與信息網絡的緊密聯系，信息網絡存在的安全風險也可能滲透到電網物理層，嚴重威脅電網安全穩定運行。多年以來，由于網絡攻擊等原因給電網運行造成了嚴重的事故，對國家的經濟發展也帶來過重大損失。作為網絡攻擊的方式之一，虛假數據注入（False Data Injection，FDI）攻擊對電力CPS 的危害不容忽視，因而研究電力CPS 中的虛假數據注入攻擊具有重要意義。

本文從電力信息物理系統的物理層面出發，歸納整理了發電、輸電、配電、用電四個環節中存在的虛假數據注入攻擊問題，以利于深入了解每個環節面臨的安全風險，從而有針對性地研究相應的保護防御措施。

1 電力信息物理系統

電力CPS 是一個多維異構系統，具有CPS 的復雜性與異構性，其體系結構如圖1 所示。整個系統利用先進的計算機技術、通信技術以及控制技術，對系統的關鍵變量和狀態進行實時監測監控，涵蓋了電力系統中發、輸、變、配及用電等重要環節，并將監測信息及時傳送至控制中心進行科學分析，最后由控制中心下達精準的操作控制指令，實現系統整體性能最優化和系統安全穩定運行，保障能源的可靠供應。

圖1 電力信息物理系統結構圖Fig.1 Structure diagram of power information physical system

除了具有一般CPS 的基本特性之外，電力CPS還具備一些獨有特性：高可靠性、高可預測性、高可持續性、高安全性和高互操作性等。這是因為電力系統外部存在很多不確定性和各種干擾，給維持系統穩定和調節電壓、頻率帶來了極大的挑戰，從而要求系統中的元件能夠實時協同工作，以保證系統安全、穩定、可靠。在電力CPS 中，系統更加地智能化，同時因其開放程度提高而面臨的安全問題也更加突出，為抵御風險，保持網絡穩定性、功能的連通性和動態依賴性比任何其他工程網絡都更為重要，必須嚴格地執行時間臨界控制并保持穩定，才能在面臨不確定性和擾動時也同樣得到不間斷的能源供應。

2 虛假數據注入攻擊原理

2009 年，Liu 等人首次提出FDI 攻擊的概念，指出攻擊者在了解電力系統配置等相關信息的情況下，可以向實際測量結果中注入惡意虛假數據，且能成功繞過現有的任何不良數據檢測技術而不被發現。這是因為現有的不良數據檢測技術都依賴于同一個假設：“當出現錯誤的量測數據時，觀測到的測量值與其對應的估計值之差的平方會出現明顯的變化”。然而，精心構造FDI 攻擊，可以篡改測量值而不違反上述假設，從而躲避檢測不被發現。

為更加透徹了解FDI 攻擊，利用電力系統直流狀態估計模型來闡述其基本原理。

假設有個量測量，，…，z，個狀態變量，，…，x，則直流狀態估計下量測量與狀態變量之間的關系式可表示為：

實驗組患者中有1例患者唾液增多,有1例患者失眠,不良反應發生率為12.5%;對照組患者中有1例患者唾液增多,有2例患者心動過速,有1例患者嗜睡,不良反應發生率為25.0%。實驗組明顯低于對照組,兩組差異對比具有統計學意義,P<0.05。

其中，為的雅克比矩陣，為維量測誤差向量。

系統殘差表示為：

其中，為檢測閾值。

在沒有FDI 攻擊的正常情況下，式（2）所表示的殘差方程成立，表明系統沒有不良數據出現。

當注入攻擊向量時，得到式（4）：

由此可見，在這種FDI 攻擊下仍有r＝r，使式（2）成立，意味著系統在受到惡意攻擊之后仍能躲避不良數據檢測技術而不被發現，從而對系統安全產生嚴重威脅。

3 電力CPS 中的虛假數據注入攻擊

本節著眼于電力CPS 中發、輸、配、用電4 個環節，歸納整理每一環節中存在的一些虛假數據注入攻擊。

3.1 發電側的攻擊

電力CPS 中，常見的攻擊形式有篡改自動發電控制（automatic generation control，AGC）系統的采集數據和破壞數據傳輸等。AGC 是一個高度自動化、只需少量人工監督和干預的閉環控制系統，包含經濟調度控制和負荷頻率控制。通過調節控制發電機出力、維持發電與負荷的實時平衡、完成區域間按計劃進行功率交換，AGC 可以維持系統功率平衡和頻率穩定，實現發電計劃追蹤、區域調節控制等。AGC要實現系統狀態監測與控制指令下發等諸多功能，離不開網絡通信設施與遙測數據，因而，網絡攻擊對其運行效果會產生直接的影響。

在針對AGC 的FDI 攻擊中，攻擊者的主要攻擊對象有3 類：功率和頻率量測、僅功率量測和區域控制偏差。Ashok 等人考慮了2 種基于數據完整性的秘密攻擊模型：縮放攻擊與斜坡攻擊。其中，縮放攻擊會立即導致系統頻率偏離正常工作頻率，其攻擊矢量涉及基于縮放攻擊參數的聯絡線功率流測量值的縮放，然后計算出相應的惡意頻率測量值。斜坡攻擊的攻擊向量包括基于斜坡攻擊參數按規律變化到聯絡線功率測量值的時變斜坡信號，并計算相應的惡意頻率測量，以引起系統頻率的緩慢偏移。Huang 等人介紹了3 種典型的攻擊模型：

（1）重放攻擊。實施此種攻擊前，在一段時間內，攻擊者記錄正常操作條件下的測量值；在實施該攻擊的過程中，攻擊者將之前記錄的測量值注入到傳感器中，用以取代當前傳感器的實際測量值，并傳送至控制中心。

（2）噪聲注入攻擊。在這種攻擊模式下，通用傳感器向實際測量值添加一個有界隨機值，再將其傳輸給控制中心。

（3）失穩攻擊。在失穩攻擊中，假定區域自動發電控制系統中有傳感器受損，該受損傳感器傳輸了一組測量序列，這個序列可看作是實際測量序列的過濾版本，如此失穩攻擊包括將這個過濾版本序列注入系統，使原始系統變得不穩定。

Sridhar 等人探討了智能攻擊對AGC 的潛在影響，并提出了一個將攻擊彈性控制應用于電力系統的通用框架，該框架采用基于異常的IDS 和緩解措施，以在攻擊期間保持系統穩定性，作為智能攻擊檢測和緩解的組成部分。Alhalali 等人設計了一種以傳感器為攻擊目標的攻擊模型，其攻擊向量對量測變量表現為附加干擾，從而得到一個具有冗余度量和攻擊的AGC 模型。Law 等人提出了一種智能電網安全的博弈論方法，使用隨機（馬爾可夫）安全博弈對攻擊者-防御者的交互進行建模，并指定了一個非正式的風險模型，將博弈和風險模型應用于自動發電控制，討論了基于這種模型下的攻擊。Wu 等人介紹了共振攻擊，這是一種簡單而強大的LFC 發電系統攻擊類型。在共振攻擊中，攻擊者巧妙地根據共振源、例如頻率變化率修改發電廠的輸入，以產生LFC 發電系統的反饋，從而使發電廠的狀態迅速變得不穩定。該攻擊具有非常低的計算成本和通信成本，很容易在類似智能電子設備這種資源有限的設備中發起此種攻擊。Tan 等人重點討論了針對AGC 所需傳感器數據的FDI 攻擊，并推導了一個攻擊影響模型，進而分析了一種最優攻擊，該最優攻擊可以通過一種有效的線性規劃算法來進行計算。這種攻擊由一系列FDI 組成，該FDI可將中斷補救措施開始之前的剩余時間減至最少，從而使電網能夠在最短的時間內進行反擊。攻擊者可以根據竊聽的傳感器數據和一些系統常數秘密學習攻擊影響模型，并利用學習的模型來計算最佳攻擊。

3.2 輸電側的攻擊

FDI 攻擊作為網絡攻擊的形式之一，攻擊者如果了解輸電側系統配置等相關信息的情況下，可以向SCADA 系統中的實際測量結果注入惡意虛假數據，且能成功繞過現有的任何不良數據檢測技術而不被發現。這種攻擊經過了攻擊者的精心策劃，具有極高的隱蔽性，是系統運行中客觀存在的潛在威脅，甚至會造成大停電事故。

Anwar 等人在任何電力系統拓撲結構和電氣參數未知的情況下，僅利用具有高斯噪聲的測量數據就成功地構造出FDI 攻擊向量，并提出了一種有利于攻擊者規避粗誤差問題和構造隱形攻擊的技術。Deka 等人設計了一種隱蔽數據攻擊模型，攻擊者通過破壞電網中測量裝置的量測值，從而使一組關鍵狀態變量產生誤差，并且這種誤差不能被檢測到。為了防止這種隱蔽攻擊，研究中假設在攻擊者受資源約束和不受資源約束兩種情況下，提出了一種貪婪保護算法。

Li 等人針對FDI 攻擊繞過壞數據檢測模塊，分析了防護策略，并討論了稀疏攻擊和安全度量的尋找方法，構建了利用狀態變量分布檢測虛假數據的檢測器。Liu 等人提出一種新的攻擊模型，這種攻擊不需要獲取全部區域的信息，只用了解到想要攻擊的局部目標區域信息即可成功發起攻擊，且不會被現有的不良數據檢測技術發現。Liu 等人提出一種有效策略來確定最優攻擊區域，并介紹了智能電網網絡安全研究的一個新前沿：通過獲取較少的網絡信息來確定可行的攻擊區域。Yu 等人提出了一種盲假數據攻擊模型，攻擊者在這種攻擊模型中沒有獲取電網拓撲相關知識，并在直流潮流模型和交流潮流模型中驗證了這種攻擊的有效性。Kim 等人提出了2 種攻擊策略。第一種策略是通過在系統子空間中隱藏攻擊向量來直接影響系統狀態；第二種策略誤導壞數據檢測機制，從而刪除未受攻擊的數據。研究提出的子空間方法從測量中學習系統運行子空間并據此發起攻擊，在完全測量模型和部分測量模型下，得到了不可見子空間攻擊存在的條件。Zhang 等人在綜合風電場SCADA/EMS 系統架構中，考慮了涉及網絡組件或網絡的網絡攻擊場景，采用2 個貝葉斯攻擊圖模型來表示網絡攻擊成功的過程，并對風電場SCADA/EMS 系統的成功網絡攻擊頻率進行了估計，通過仿真結果表明，隨著風電場SCADA/EMS 系統攻擊成功率和攻擊者技能水平的提高，系統整體可靠性降低。Zhao等人面對非線性電力系統狀態估計問題，通過引入攻擊矢量松弛誤差，并確定了松弛誤差的上界，在考慮單狀態變量攻擊和多狀態變量攻擊兩種情況下，提出了一種不完美的虛假數據注入攻擊模型及其相應的預測輔助實現方法。最后仿真結果表明該方法對非線性模型和直流模型都有很好的效果。Hug 等人針對SCADA 系統進行交流狀態估計時因壞數據檢測模塊存在漏洞而有潛在的虛假數據注入網絡攻擊問題，介紹了一種新的分析技術，該技術可以利用系統的物理特性作為保護而使電力系統免受此類攻擊。Anwar 等人定義攻擊目標能源系統效率和攻擊目標能源系統穩定性兩種不同的攻擊策略。Deng 等人提出一種基于有限輸電線電納信息的FDI 攻擊，攻擊者在知道與總線相關的每條輸電線路的電納信息時，可以發動FDI 攻擊來修改總線狀態變量。

3.3 配電側的攻擊

隨著傳統配電網向主動配電網轉變的速度越來越快，配電側面臨的信息網絡安全風險日益增加。配電側的主要功能是把優質的電能輸送至用戶端，這一過程中主要有3 個場景容易遭受到惡意攻擊：AMI 系統、配電自動化設備和分布式電源管理。

除了在上述攻擊場景中，針對配電網狀態估計的FDI 攻擊研究，Isozaki 等人考慮了多個光伏系統接入時網絡攻擊對配電系統電壓調節的影響，此外，研究了試圖降低具有過電壓保護功能的光伏系統輸出功率的攻擊。Deng 等人針對配電系統的狀態估計，提出了一個實用的FDI 攻擊模型，攻擊者可以基于潮流或注入量測來近似系統狀態，從而不需要付出很高的代價就可以獲取系統狀態。實驗表明這種攻擊即使是在近似的系統狀態下，也更有可能破壞狀態估計而不被檢測到。魏書珩等人提出一種針對三相不平衡配電網狀態估計的FDI 攻擊方法，并在2 種運行場景下進行仿真，結果表明這種攻擊方法能夠成功避開壞數據檢測模塊，達到篡改狀態估計結果的。Liu 等人針對智能量測終端注入病毒進行數據篡改，通過影響公共數據中心造成能量管理及預測系統混亂的配電側攻擊。

3.4 用電側的攻擊

在用電側，由于傳統的分時電價和階梯電價機制存在突出的缺陷，無法精確統計、充分反映短時間內電力用戶的負荷需求變化，為此引入實時電價（Real-Time Price，RTP）機制。實時電價在定價時以小時或分鐘來劃分時段，短時間內能夠精確反映電力供應商電價與電力用戶負荷需求之間的彈性關系，同時具備高節能性和能源利用率。實時電價機制的引入，在帶來優勢的同時，也存在著潛在的安全威脅，用電側本身具有用電行為多樣化等特點，是一個復雜的環境，其面臨的網絡攻擊風險更加嚴峻。

有一種針對用電側實時電價的新型FDI 攻擊：實時電價攻擊（Real-Time Price Attacks，RTPA）。該攻擊以截獲并偽造實時電價信號為手段，增加電力用戶總負荷需求為途徑，進而破壞整個電力市場的發電-用電平衡。Dayaratne 等人提出了一種新的FDI 攻擊，該攻擊針對需求響應注入虛假數據，能夠獲得更低的電力成本，并評估了攻擊者如何使用有針對性的戰略數據完整性攻擊，以達到基于實時定價方案獲得經濟利益的目的。TAN 等人采用控制理論的方法研究了縮放攻擊和延遲攻擊對實時電價系統穩定性的影響，得出結論：為了使RTP系統不穩定，攻擊者有必要在縮放攻擊中降低消費者的價格，或者在延遲攻擊中降低消費者價格的一半以上。Giraldo 等人在已有研究的基礎上考慮了一個更現實的攻擊模型。該模型中，攻擊者可以在價格信號中注入微小的變化，以此增加產生和消耗能量之間的差異，這種模型不受縮放或延遲攻擊的限制，但可以生成任意的定價信號。Jia 等人假設攻擊者可以訪問有限的量測裝置，并且有能力根據這些裝置儀器的觀測值構建數據攻擊。在此基礎上，采用基于電網狀態空間上實時LMPs 的幾何表征，引入一個幾何框架，考慮幾種不同的觀測場景，模擬攻擊者不同級別的攻擊，并得到最優數據攻擊的上界和下界。王小山等人提出一種新的電價策略，這種電價策略可以抵御時延攻擊，為電力供應商與電力用戶之間建立動態模型。鄒逢飛針對RTPA 定義了戶內能源管理系統（HEMS），并提出2 種防御策略：一是基于雙人零行列式的防御策略，該策略與HEMS 相結合可以削減電力用戶的期望負荷需求；二是基于多人零行列式的防御策略，該策略中有電力供應商參與博弈，不僅可以優化HEMS 的行為狀態選擇，而且削減電力用戶期望負荷需求的效果比第一種策略更好。陳劉東等人通過分析需求側FDI 攻擊的脆弱性，針對互動需求響應的FDI 攻擊，運用啟發式算法求解主從博弈問題，從而采用主從博弈來構建攻擊模型。Raman 等人表明攻擊者可以利用虛假通信信息來操縱用戶行為，從而對系統穩定性造成極大的影響。

4 結束語

通過歷年電網遭遇網絡攻擊的相關事件，網絡攻擊對電網的影響引起高度關注。簡要介紹了電力CPS 和虛假數據注入攻擊原理，著重從電力CPS發、輸、配、用電四個環節出發，歸納整理各個環節存在的FDI 攻擊，以便深入了解不同環節所面臨的攻擊形式，為研究有針對性的防御保護措施提供有益參考，從而加快了建設堅強智能電網的工作步伐。