CN106100877A - 一种电力系统应对网络攻击脆弱性评估方法 - Google Patents

Abstract

本发明公开了一种电力系统应对网络攻击脆弱性评估方法，由通信网络攻击成功概率评估、电力系统节点影响因子评估和综合脆弱性计算组成，以实现电力通信系统应对网络攻击的脆弱性评估。采用广义随机Petri网建模通信网络，可以模拟攻击在防火墙和密码等保护方式下的传播过程，计算攻击成功使变电站或控制中心失效的概率。采用影响因子，可以表征每一个变电站对系统稳定运行的重要性。该方法兼顾了通信系统特点和电力系统特点，有助于研究电力通信系统交互影响特性。

Description

一种电力系统应对网络攻击脆弱性评估方法

技术领域

本发明属于电力系统运行风险评估技术领域，具体涉及一种电力系统应对网络攻击脆弱性评估方法。

背景技术

在智能电网领域对电力信息物理融合系统(CPS)展开了多方面的研究。电力CPS通过3C技术(Computation,Communication,Control)将计算系统、通信网络和电力系统的物理环境融为一体，形成一个实时感知、动态控制与信息服务融合的多维异构复杂系统。与传统电力系统相比，电力CPS的一个重要优势在于其可以借助传感器网络和信息通信网络实时获取电网全面、详细的信息，但同时也将信息通信网络固有的脆弱性引入了电力系统。对信息系统进行网络攻击相较于直接攻击电网设备成本更低、操作更方便、手段更丰富，对信息网络的攻击也可能会引起物理设备的失效，造成电力系统故障，成为对电力系统安全稳定运行的新威胁。目前针对电力CPS中通信网络的网络攻击对电力系统安全稳定的影响评估还没有明确的方法。

因此，迫切需要建立一种能够评估针对通信信息网络的网络攻击作用于电力系统的影响的方法。2015年12月23日的乌克兰停电事故被认为是第一起由网络攻击引起的大停电事件，引发了对电力系统网络安全和脆弱性评估的重视。

发明内容

发明目的：为了克服现有技术中存在的不足，本发明提供一种电力系统应对网络攻击脆弱性评估方法，评估电力系统面对针对电力通信网络攻击的脆弱性。

技术方案：为实现上述目的，本发明采用的技术方案为：

一种电力系统应对网络攻击脆弱性评估方法，包括以下步骤：

1)网络攻击成功概率评估；

2)电力系统节点影响因子评估；

3)综合脆弱性计算。

进一步的，所述步骤1)采用广义随机Petri网模型对变电站级网络中的攻击防御措施建模，采用时延和随机变迁模拟攻击的传播过程，计算攻击成功造成变电站或控制中心失效的概率。

进一步的，所述建模有两种基本模型：防火墙模型和密码模型，分别表征防火墙和密码保护计算机两种实体设备；由这两种模型组合建立若干种通信网络模型，包括变电站通信网络模型、变电站-控制中心通信网络模型、配电网-变电站-控制中心通信网络模型、配电网-发电站-变电站-控制中心通信网络模型。

进一步的，所述步骤2)采用电力系统潮流是否收敛作为系统稳定的判断依据，通过某一节点失效后系统失去稳定时的负荷水平以及此时的失负荷量，共同确定所述节点对全系统安全稳定运行的影响因子。

进一步的，所述步骤2)电力系统节点影响因子的评估步骤为：

2-1)将待评估节点从系统断开，从系统负荷水平L为1开始，计算系统潮流是否收敛；

2-2)若潮流发散，将此时的负荷水平记为此节点对应的负荷水平；若潮流收敛，则增加L的值，即增加剩余的系统节点的负荷量，重复此步骤直至潮流发散；

2-3)根据失负荷量和负荷水平，计算电力系统节点影响因子，计算公式如下：

$\mathrm{\γ}={\left(\frac{P_{LOL}}{P_{Total}}\right)}^{L-1}$

其中P_LOL是失负荷量，P_Total是系统总负荷量。

进一步的，所述步骤3)中综合脆弱性计算有三个指标，分别是接入点脆弱性、场景脆弱性和系统脆弱性，具体方法为：

3-1)利用步骤1)、2)的结果，计算某一节点的脆弱性评估结果，节点脆弱性即为该节点对应攻击状态出现的概率和此状态下该节点对系统的影响因子的乘积；

3-2)所有状态的脆弱性之和即为此节点遭受网络攻击的脆弱性评估结果；

3-3)根据各节点脆弱性进一步得出场景脆弱性和系统脆弱性评估结果。

接入点是从通信或攻击的角度看，从一个节点的某一个漏洞开始向节点所在的系统入侵，而一个节点可能包含若干漏洞。接入点指漏洞所在的某个通信接口。

进一步的，所述综合脆弱性的各指标计算的具体方法为：在控制中心与变电站组成的电力系统及其间的信息通信系统所组成的系统中，三种脆弱性计算方法如下：

①接入点脆弱性

对信息通信系统中接入点集合S，场景脆弱性是集合S的潜在危害性的加权和，所述通过接入点i的发起攻击的接入点脆弱性V(i)定义为：

$V\left(i\right)=\underset{j\∈S}{\Σ}{\mathrm{\π}}_j\×{\mathrm{\γ}}_j$

其中π_i是通过某个特定接入点j攻击后的系统处于各稳态的概率，γ_i是电力系统节点影响因子；

②场景脆弱性

场景的全集I包含了所有接入点的攻击场景，场景脆弱性V(I)定义为：

V(I)＝{V(i₁)，V(i₂)，...，V(i_K)}

其中K是要评估的攻击场景数；

③系统脆弱性

系统脆弱性V_S取I个场景中最高的脆弱性评估值，即：

V_s＝max<V(I)>。

有益效果：本发明提供的电力系统应对网络攻击脆弱性评估方法，采用该评估方法，能够评估在电力通信系统受到针对信息通信部分的网络攻击时电力系统的受到的影响大小，找出系统中相对脆弱的节点，并提高系统网络安全。该平台兼顾了通信网络和电力网络特征，有助于研究电力通信系统交互影响特性。

附图说明

图1为防火墙和密码的Petri网模型构成变电站内信息通信网络；

图2为变电站级通信网络连接的Petri网图示意；

图3为IEEE30总线系统通信网络模型；

图4为IEEE30总线系统接线图；

图5为本发明的方法流程示意图。

具体实施方式

下面结合附图对本发明作更进一步的说明。

本发明为一种电力系统应对网络攻击脆弱性评估方法，如图5所示，由通信网络攻击成功概率评估、电力系统节点影响因子评估和综合脆弱性计算组成，以实现电力通信系统应对网络攻击的脆弱性评估。采用广义随机Petri网建模通信网络，可以模拟攻击在防火墙和密码等保护方式下的传播过程，计算攻击成功使变电站或控制中心失效的概率。采用影响因子，可以表征每一个变电站对系统稳定运行的重要性。该方法兼顾了通信系统特点和电力系统特点，有助于研究电力通信系统交互影响特性。

一种电力系统应对网络攻击脆弱性评估方法，包括以下步骤：

1)网络攻击成功概率评估；

采用广义随机Petri网(GSPN)模型对变电站级网络中的攻击防御措施建模，采用时延和随机变迁模拟攻击的传播过程，计算攻击成功造成变电站或控制中心失效的概率。本发明根据现有电力系统中的变电站、配电网和发电站的采用的保护设施，使用广义随机Petri网对电力通信系统进行建模，并模拟攻击进行的过程，得出攻击达到各稳定状态的概率。

对电力设施的通信网的所述建模有两种基本模型：防火墙模型和密码模型，分别表征防火墙和密码保护计算机两种实体设备；由这两种模型组合建立若干种通信网络模型，包括变电站通信网络模型、变电站-控制中心通信网络模型、配电网-变电站-控制中心通信网络模型、配电网-发电站-变电站-控制中心通信网络模型等描述复杂系统的通信网络模型。

2)电力系统节点影响因子评估；

采用电力系统潮流是否收敛作为系统稳定的判断依据，通过某一节点失效后系统失去稳定时的负荷水平以及此时的失负荷量，共同确定所述节点对全系统安全稳定运行的影响因子。即为本发明的电力系统节点影响因子评估方法采用潮流是否收敛为标准判断系统是否稳定，通过某一节点切除失效后，系统中潮流由收敛变为发散时，系统的负荷水平以及此时的失负荷量，并用所述负荷水平和此时的失负荷量来计算影响因子。

具体的，电力系统节点影响因子的评估步骤为：

2-1)将待评估节点从系统断开，从系统负荷水平L为1开始，计算系统潮流是否收敛；

2-2)若潮流发散，将此时的负荷水平记为此节点对应的负荷水平；若潮流收敛，则增加L的值，即增加剩余的系统节点的负荷量，重复此步骤直至潮流发散；

2-3)根据失负荷量和负荷水平，计算电力系统节点影响因子，计算公式如下：

$\mathrm{\&gamma;}={\left(\frac{P_{LOL}}{P_{Total}}\right)}^{L-1}$

其中P_LOL是失负荷量，P_Total是系统总负荷量。

3)综合脆弱性计算。

综合脆弱性计算有三个指标，分别是接入点脆弱性、场景脆弱性和系统脆弱性，其利用此前计算的针对通信网络的攻击成功概率和电力系统节点影响因子，针对电力通信系统中每个节点进行脆弱性评估，对每个评估的节点，按照其对应的通信模型计算攻击成功使本节点被切除和使控制中心被切除的概率，并计算此节点的影响因子。此节点的脆弱性由各攻击成功状态的发生概率与其影响因子的乘积和表示。具体方法为：

3-1)利用步骤1)、2)的结果，计算某一节点的脆弱性评估结果，先计算该节点处各攻击状态出现的概率和对应此状态下该节点对系统的影响因子的乘积作为各状态的脆弱性；

3-2)所有状态的脆弱性之和即为此节点遭受网络攻击的脆弱性评估结果；

3-3)根据各节点脆弱性进一步得出场景脆弱性和系统脆弱性评估结果。

在控制中心与变电站组成的电力系统及其间的信息通信系统所组成的系统中，综合脆弱性的三种脆弱性的具体计算方法如下：

①接入点脆弱性

接入点为入侵者进入信息通信系统提供了入口。对某一个场景i的脆弱性评估给出了它的潜在影响力。对信息通信系统中接入点集合S，场景脆弱性是集合S的潜在危害性的加权和，所述通过接入点i的发起攻击的接入点脆弱性V(i)定义为：

$V\left(i\right)=\underset{j\&Element;S}{\&Sigma;}{\mathrm{\&pi;}}_j\&times;{\mathrm{\&gamma;}}_j$

其中π_i是通过某个特定接入点j攻击后的系统处于各稳态的概率，γ_i是电力系统节点影响因子；

②场景脆弱性

一个攻击场景由从变电站级网络本地或外部发起的针对控制中心信息系统的攻击尝试的步骤组成。变电站级网络与发电机和负载相连，并配有变电自动化系统、发电厂控制系统或配电操作系统。场景的全集I包含了所有接入点的攻击场景，场景脆弱性V(I)定义为：

V(I)＝{V(i₁)，V(i₂)，...，V(i_K)}

其中K是要评估的攻击场景数；

③系统脆弱性

所述系统为控制中心与变电站组成的电力系统及其间的信息通信系统，假设每个通过变电站级网络进行的攻击场景相互独立，对变电站的攻击没有关联；从本地接入点无法直接连接控制中心，但可以通过变电站级网络与控制中心建立连接。

系统脆弱性V_S取I个场景中最高的脆弱性评估值，即：

V_s＝max<V(I)>。

实施例

本发明的网络攻击成功概率评估借助Petri网模型完成，通过Petri网的变迁和状态表示攻击可达的状态。图1为防火墙和密码的Petri网模型构成的变电站通信网络的示意图。图2是变电站、配电网、发电站(统一视为变电站级网络)互连系统的Petri网模型。变电站的防护措施主要考虑防火墙和密码保护，防火墙通过一系列滤过规则来阻止攻击达到下一步，密码通过拒绝输入错误密码的用户的访问来保护设备。图1中将变电站的实体设备(密码保护计算机和防火墙)用广义随机Petri网模型表示，用分配有一定概率的随机变迁来表示攻击通过滤过规则达到下一步的可能性。图2在图1的基础上增加了站间网络的互连信息通路及站间的防火墙，同时增加了通过变电站攻击控制中心的路径。由于广义随机Petri网是与一个马尔可夫链同构的，可以通过MATLAB计算进行仿真；在本发明实施例中，采用一台安装MATLAB软件的电脑仿真网络攻击达到各状态的概率。

图3为本发明的实施例IEEE30节点间通信系统模型。一个节点的通信网根据其实际包含的电网设备(变电站、配电网、发电站等)和可能的攻击接入点归纳为三个模型：

(1)模型1中节点只含变电站，攻击只可能通过变电站进入通信系统，并进一步向控制中心转移。

(2)模型2中节点含变电站和配电网，攻击可能通过变电站和配电网的脆弱点进入通信系统，并向控制中心转移。变电站和配电网之间也有双向的信息通路，并由防火墙进行隔离和滤过攻击。

(3)模型3中的节点含变电站、配电网和发电站过程控制网络，攻击可以通过变电站、配电网或发电站任一网络中的脆弱点进入系统，并进一步向控制中心转移。变电站和配电网、变电站和发电厂之间有双向的信息通路，并有防火墙进行隔离和滤过攻击。

根据图2的通信网连接，在这三个模型中，控制中心与变电站级网络间的直接连接只有控制中心和变电站之间的连接，但发电站和配电网也可以借由变电站与控制中心间接相连。

图4为本发明的实施例IEEE30节点电网结构。本例将变压器所连的几条母线看做同一变电站中的母线，作为一个节点处理，其他母线各自看做一个节点处理。因此IEEE30节点系统被看作含24个变电站的电网。本实施例中，按图3的假设将各节点通信网络用上述三种通信网络模型表示，其中采用模型1的节点5个，采用模型2的节点14个，采用模型3的节点5个。对系统中的24个变电站依次进行脆弱性评估，对一个变电站的脆弱性评估分为三个步骤：

(1)攻击成功概率评估。攻击成功包括成功通过变电站的防火墙和密码保护使变电站被切除，以及成功侵入控制中心使控制中心失效，全系统断电。通过上述Petri网模型来计算攻击的成功概率。

(2)影响因子评估。具体方法是：断开待评估影响因子的节点；用L表示系统的负荷水平，从L＝1开始，计算切除一个变电站后系统潮流是否收敛；若潮流收敛，则增加L的值，即增加系统负荷量，直至系统潮流发散，以此时的L值作为此待评估节点对应的负荷水平；按下式计算此节点的影响因子：

$\mathrm{\&gamma;}={\left(\frac{P_{LOL}}{P_{Total}}\right)}^{L-1}$

其中P_LOL是失负荷量，P_Total是系统总负荷量。

(3)节点脆弱性计算。利用(1)得出的攻击成功概率和(2)得出的影响因子，按下式计算此节点脆弱性：

$V\left({\mathrm{sub}}_i\right)=\left({\mathrm{\&Sigma;\&pi;}}_x\right)\&times;{\mathrm{\&gamma;}}_{{\mathrm{sub}}_i}+\left({\mathrm{\&Sigma;\&pi;}}_y\right)\&times;{\mathrm{\&gamma;}}_{\mathrm{ccen}}$

得出本实施例中各变电站节点的脆弱性后，可按上述的场景脆弱性和系统脆弱性计算方法得出评估结果，如表1所示。

表1 24节点接入点脆弱性评估结果

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种电力系统应对网络攻击脆弱性评估方法，其特征在于：包括以下步骤：

1)网络攻击成功概率评估；

2)电力系统节点影响因子评估；

3)综合脆弱性计算。

2.根据权利要求1所述的电力系统应对网络攻击脆弱性评估方法，其特征在于：所述步骤1)采用广义随机Petri网模型对变电站级网络中的攻击防御措施建模，采用时延和随机变迁模拟攻击的传播过程，计算攻击成功造成变电站或控制中心失效的概率。

3.根据权利要求2所述的电力系统应对网络攻击脆弱性评估方法，其特征在于：所述通信网络防御措施建模有两种基本模型：防火墙模型和密码模型，分别表征防火墙和密码保护计算机两种实体设备；由这两种模型组合建立若干种通信网络模型，包括变电站通信网络模型、变电站-控制中心通信网络模型、配电网-变电站-控制中心通信网络模型、配电网-发电站-变电站-控制中心通信网络模型。

4.根据权利要求1所述的电力系统应对网络攻击脆弱性评估方法，其特征在于：所述步骤2)采用电力系统潮流是否收敛作为系统稳定的判断依据，通过某一节点失效后系统失去稳定时的负荷水平以及此时的失负荷量，共同确定所述节点对全系统安全稳定运行的影响因子。

5.根据权利要求1或4所述的电力系统应对网络攻击脆弱性评估方法，其特征在于：所述步骤2)电力系统节点影响因子的评估步骤为：

2-1)将待评估节点从系统断开，从系统负荷水平L为1开始，计算系统潮流是否收敛；

2-2)若潮流发散，将此时的负荷水平记为此节点对应的负荷水平；若潮流收敛，则增加L的值，即增加剩余的系统节点的负荷量，重复此步骤直至潮流发散；

2-3)根据失负荷量和负荷水平，计算电力系统节点影响因子，计算公式如下：

$\mathrm{\&gamma;}={\left(\frac{P_{LOL}}{P_{Total}}\right)}^{L-1}$

其中P_LOL是失负荷量，P_Total是系统总负荷量。

6.根据权利要求1所述的电力系统应对网络攻击脆弱性评估方法，其特征在于：所述步骤3)中综合脆弱性计算有三个指标，分别是接入点脆弱性、场景脆弱性和系统脆弱性，具体方法为：

3-1)利用步骤1)、2)的结果，计算某一节点的脆弱性评估结果，节点脆弱性即为该节点对应攻击状态出现的概率和此状态下该节点对系统的影响因子的乘积；

3-2)根据各节点脆弱性进一步得出场景脆弱性和系统脆弱性评估结果；

3-3)所有状态的脆弱性之和即为此节点遭受网络攻击的脆弱性评估结果。

7.根据权利要求6所述的电力系统应对网络攻击脆弱性评估方法，其特征在于：所述综合脆弱性的各指标计算的具体方法为：在控制中心与变电站组成的电力系统及其间的信息通信系统所组成的系统中，三种脆弱性计算方法如下：

①接入点脆弱性

对信息通信系统中接入点集合S，场景脆弱性是集合S的潜在危害性的加权和，所述对接入点i的发起攻击情形下，接入点脆弱性V(i)定义为：

$V\left(i\right)=\underset{j\&Element;S}{\&Sigma;}{\mathrm{\&pi;}}_j\&times;{\mathrm{\&gamma;}}_j$

其中π_i是通过某个特定接入点j攻击后的系统处于各稳态的概率，γ_i是电力系统节点影响因子；

②场景脆弱性

场景的全集I包含了所有接入点的攻击场景，场景脆弱性V(I)定义为：

V(I)＝{V(i₁)，V(i₂)，...，V(i_K)}

其中K是要评估的攻击场景数；

③系统脆弱性

系统脆弱性V_S取I个场景中最高的脆弱性评估值，即：

V_s＝max<V(I)>。