CN106713354A - 一种基于不可检测信息攻击预警技术的电力信息物理系统脆弱性节点评估方法 - Google Patents

Abstract

本发明公开了一种基于不可检测信息攻击预警的ECPS脆弱性节点评估方法，是根据电力信息物理系统中电力系统的物理拓扑图生成电力信息物理系统局部模型，分析一般性信息攻击与拓扑条件下不可检测信息攻击的预警并评估其危害，提前感知ECPS的潜在风险，得到更为准确的分析结果，使电网公司可以从全局的角度评估ECPS的运行状况，并及时加强对脆弱性环节的保护，保护ECPS的安全稳定运行。并且在分析单节点信息攻击的基础上，实现了面向多节点信息攻击的预警。此外，在真实系统中信息攻击往往具备持续性，本发明在瞬时信息攻击分析的基础上增加了对持续性信息攻击的预测，评估了节点与ECPS整体的脆弱性。因此，本发明的技术框架更为综合全面。

Description

一种基于不可检测信息攻击预警技术的电力信息物理系统脆 弱性节点评估方法

技术领域

本发明涉及电力信息物理系统(Electric Cyber-Physical Systems，ECPS)安全评估领域，尤其涉及信息攻击预警与ECPS脆弱性节点评估方法。

背景技术

当今智能电网已实现了信息通信技术、先进控制技术、现代电网之间的高度集成，发展成为信息空间与电力系统紧密融合的ECPS。但目前针对ECPS的各种信息攻击层出不穷，特别是针对广域测量系统、监控和数据采集系统(SCADA)的信息攻击将对ECPS造成严重破坏。如欺骗攻击、拒绝服务攻击、虚假数据注入攻击和重放攻击等信息攻击对ECPS的危害已在近年爆发的案例中被广泛证实。通过上述攻击可修改或破坏一个或多个传感器及相量的输出测量单元(PMU)以误导ECPS决策。但在电力系统状态估计中，现有的坏数据检测方法难以实现对上述异常情况的全面检测。当攻击者具有一定的背景知识，在一定程度上了解电力系统配置信息、拓扑结构、状态估计原理以及坏数据检测机制时，可以通过篡改部分计量装置的测量值，即可成功躲避坏数据检测，使得ECPS对电网运行状态的估计产生偏移，影响ECPS运行控制，甚至造成故障。

为了在电网系统工作过程中防止攻击和错误造成的安全问题，通常会增加检测装置。该检测装置可以检测到大部分攻击的发生，配上相应的保护设备可以减免系统的危害。但是可能存在一些攻击无法通过检测装置得出判断，这种攻击称为不可检测攻击。不同于可检测的攻击，不可检测攻击需要使用信息安全性评估方法，进行预测。通过预测不可检测范围，通过修改系统整体设计或添加额外的保护装置达到保护系统目的。这一优化设计过程比针对可检测攻击的保护设备更具有挑战性。

信息安全脆弱性评估作为一种主动防御技术，在安全事件未发生时主动分析并评估网络或系统自身存在的安全风险与隐患，从而能够未雨绸缪，防范于未然；通过对不可检测信息攻击的预警以及分析其对ECPS造成的危害，可实现ECPS脆弱性节点评估，进而根据评估结果可调整适当的风险控制策略以遏制风险。

发明内容

本发明提出一种基于不可检测信息攻击预警的ECPS脆弱性节点评估方法。该方法可以安全、高效的评估ECPS的安全性与节点脆弱性。

传统的脆弱性分析方法只针对特定攻击或拓扑，并且其防御策略仅面向可检测的信息攻击，并未涉及不可检测的信息攻击。本发明根据ECPS中电力系统的物理拓扑图生成ECPS的局部模型，并完成一般性信息攻击与拓扑条件下不可检测信息攻击的预警并评估其危害，提前感知ECPS的潜在风险，得到更为准确的分析结果，使电网公司可以从全局的角度评估ECPS的运行状况，并及时加强对脆弱性环节的保护，保护ECPS的安全稳定运行。

传统的信息攻击分析方式只包含一个目标状态，即单节点分析。本发明在分析面向单节点信息攻击的基础上，实现了适用于多节点的信息攻击状态预警。此外，在真实系统中信息攻击往往具备持续性，本发明在瞬时信息攻击分析的基础上增加了对持续性信息攻击的预测，评估了节点与ECPS整体的脆弱性。因此，本发明的技术框架更为综合全面。

一种基于不可检测信息攻击预警的ECPS脆弱性节点评估方法，本发明特征在于针对不可检测信息攻击的预警并评估其对ECPS的危害，包括以下内容：

步骤1：建立ECPS局部模型，并将其简化为等效的线性模型。ECPS局部模型包含电力系统的全部目标状态，具体步骤如下：

步骤1.1，收集电力一次设备的拓扑关系与电气参数信息；

步骤1.2，收集电力二次设备的类型与位置信息；

步骤1.3，根据收集信息建立ECPS局部模型，当该模型中的电力系统可线性化，且拓扑约束为连通图，并且对其的攻击约束范围为凸约束，则进行步骤1.4；

步骤1.4，对于包含n个发电机的ECPS局部模型，以各发电机转动频率{w₁，…，w_n}、转角{δ₁，…，δ_n}、能被攻击的相角{θ₁，…，θ_2n}，而整体系统中可能存在输入(攻击){μ₁,…,μ_p}，p≤2n、以及输出(观测器){y₁,…,y_q}，q≤2n，以及各个节点状态x为重点研究对象，将ECPS局部模型简化为线性模型。

步骤2：在单节点被信息攻击的前提下，对不可检测的信息攻击进行预警，并寻找脆弱性节点，具体步骤如下：

步骤2.1，节点分类，

(1)依照可能出现的信息攻击类型对每一节点进行分类，包括物理上不可信息攻击的节点、针对其的任何信息攻击均可被检测的节点、存在不可被检测信息攻击的节点等三类节点，其中存在不可被检测信息攻击的节点为潜在脆弱性节点；

(2)针对潜在脆弱性节点，根据该类节点的不可检测信息攻击中是否存在一种信息攻击对ECPS造成破坏来定义其节点脆弱性，若存在上述可能则该节点为脆弱性节点；

步骤2.2，分析不可检测信息攻击的性质，确定每个节点不可检测攻击的范围：

(1)设定ECPS中电力系统输出允许的误差范围，有信息攻击时输出和无信息攻击时输出之差在该误差范围内则认为该信息攻击不可检测；

(2)设置不可检测范围初始值为物理上允许范围，将该范围离散化；

(3)根据攻击范围的凸性质，设计一种两边夹逼的方法，逐渐缩小不可检测范围。该两边夹逼的方法存在四种可能性：未发现不可检测点、循环结果上下界同为可检测点、先发现下界的不可检测点、先发现上界的不可检测点。前两者以及后两者的前半段都可使用两边夹逼，后两种当单边确定后，可以使用二分提高程序运行速度。通过这种方法，最终找到潜在的脆弱性节点的不可检测的攻击范围；

步骤2.3，分析电力系统中可能出现的破坏及漏洞，视具体情况设定ECPS中电力系统安全运行中需要注意的参数的范围；

步骤2.4，潜在的脆弱性节点与其不可检测攻击范围基础上，当不可检测攻击范围内的信息攻击造成上述参数超出其安全范围，进行不可检测的信息攻击的预警，并定义该节点为脆弱性节点；

步骤2.5，针对脆弱性节点，调整对应的安全策略。

步骤3：在多节点被信息攻击的前提下，对不可检测的信息攻击进行预警，并寻找脆弱性节点集，具体步骤如下：

步骤3.1，将多节点被信息攻击的问题进行分解，将其拆分为多个单节点信息攻击问题的集合；

步骤3.2，执行单节点信息攻击寻找脆弱性节点步骤，确定不可检测的多攻击范围集合；

步骤3.3，分析各种信息攻击对ECPS中电力系统造成的破坏，对不可检测信息攻击进行预警，并确定脆弱性节点的组合。

步骤4：分析持续性攻击条件下，对不可检测的信息攻击进行预警，并评估节点及节点组合的脆弱性，具体步骤如下：

步骤4.1，设定持续性攻击时间上限K，设定每时刻对约束的等分参数N，初始状态参数；

步骤4.2，使用递归方法从前往后每个时刻累加历史信息攻击检测数据，根据k时刻以及当前状态参数判断当前是否安全，对不可检测信息攻击进行预警，最终运行到K时刻时确定脆弱性节点；

步骤4.3，对于在持续攻击条件下全部节点组合都脆弱的电力系统，根据对电力系统造成破坏的最短攻击时间确定最优先注意的脆弱性节点。

本发明的有益效果是：实现了单节点信息攻击、多节点信息攻击、以及持续性攻击条件下对不可检测信息攻击的预警，评估了信息攻击下ECPS的脆弱性。在该方法中，基于完善的ECPS局部模型，全面分析了不可检测信息攻击及其破坏性，分析了ECPS的脆弱性，为电网公司和有关部门提供安全防御的技术支持，保证ECPS中电力系统的信息安全与安全稳定运行。

附图说明

图1是一个IEEE 3机6节点系统的网络拓扑示意图；

图2是单节点下脆弱性节点发现方法流程图；

图3是节点获取不可检测攻击范围的流程图；

图4是不可检测攻击范围渐变图；

图5为多节点受到攻击时获取该节点不可检测攻击范围组合的流程图；

图6为持续性攻击时获取脆弱性节点组合的流程图。

具体实施方式

下面根据附图详细说明本发明的技术方案，本发明的目的和效果将变得更加明显。

图1为IEEE 3机6节点系统的拓扑。通过该范例，可以更好的说明本发明的目的。图1中存在三个发电机：

(1)w₁，w₂，w₃是转动频率；

(2)δ₁，δ₂，δ₃为转角；

(3)θ₁，…，θ₆为可能被攻击的相角；

(4)系统u₁，u₂用于模拟攻击；

(5)输出y₁，y₂用于观测攻击，确定潜在的不可检测节点。

如图1所示，添加输入(攻击)u₁用于判断节点θ₄是否是脆弱性节点，同理u₂用于判断节点θ₅是否是脆弱性节点。当同时存在u₁，u₂时，本发明方法是用于判断θ₄，θ₅是否是一个脆弱性节点组合。

该系统可对应的简化系统为一个6阶输入和2阶输出的线性控制系统。图1中不可检测信息攻击指存在一个信息攻击使得输出y₁，y₂与无信息攻击时输出十分接近，在系统误差允许范围内。

在寻找脆弱性节点前，可以将节点类型分为三类：

(1)物理上不可信息攻击的节点；

(2)针对其的任何信息攻击均可被检测的节点；

(3)存在不可被检测信息攻击的节点。

针对前两类节点的信息攻击可以简单的防御，并非脆弱性节点，而第三类节点是潜在的脆弱性节点。

针对第三类节点：

(1)如果在该节点的不可检测信息攻击中，存在一个信息攻击对电力系统造成的破坏超过了电力系统允许范围，则可为脆弱性节点；

(2)否则仅为潜在的脆弱性节点。

对发电机驱动系统中，一个常见的判断是否对电力系统造成的伤害的标准是转动频率，与实际频率成比例关系。

图2为单节点下脆弱性节点发现方法流程图。

图2中n为可能被攻击的节点数，这些节点的编号为1至n，该流程图循环n次。

每个节点做的工作为：

(1)获取每个节点不可检测攻击范围；

(2)寻找不可检测范围内对电力系统造成的最大破坏；

(3)对比最大破坏与允许破坏量。

首先检测全部的节点，获取每个节点不可检测攻击范围，该范围可以为空集，意味着节点不是脆弱性节点。

图2中F根据需要记录信息攻击造成电力系统在不同方面的最大伤害，所以可以是个向量或标量。每次循环过程中F初始为0，所以非脆弱性节点不会改变F的值，F为0表示参数F并未超出允许误差范围，电力系统可安全运行。

在理论分析时常用F是否为0作为判断是否造成伤害，本发明允许设定误差范围，更为贴近实际系统。

图2中核心为如何获取不可检测攻击范围，图3是节点获取不可检测攻击范围的具体流程图。

图3利用了本发明发现的攻击范围具有的凸性质：如果两个不同大小的信息攻击不可检测，则在这两个信息攻击中的所有信息攻击步骤不可检测。利用该凸性质，如果能找到攻击两个不可检测攻击则在范围内的所有攻击都是不可检测攻击，本步骤目的是找到近似的最大的不可检测范围，即找到最小的和最大的的值或估计值，通过图中方法获得该范围。初始不可检测范围设置为物理上允许范围，设定值为一个非常小的参数，通过图3算法可以获取近似的不可检测范围，设定值也是该不可检测范围的误差。

图3将攻击范围离散化，变成有限个(N)离散的攻击可能。根据攻击范围凸性质，首先通过逐渐夹逼找到单边或双边的范围，如果一直未能找到可能的不可检测范围(上下界之差低于设定值)，则可以认为该节点不是潜在的脆弱性节点；当上下界之差高于设定值，则判断上下界是否为不可检测攻击。

图3中所示为先检测下界是否为不可检测点，实际上先检测上界也可以。如图先检测下界，当第一次发现不可检测下界，则该下界为所需下界。之后判断第一次发现不可检测下界时，不可检测上界是否同时发现，如果同时发现，则该上下界为最终范围的上下界；如果未发现，则固定下界，开始使用二分法确定上界。同理，当先发现不可检测上界，则固定上界，使用二分法获取新的下界。综上，该算法执行过程中，总共存在四种可能性的范围变化。

图4说明了通过图3流程不可检测攻击范围的四种可能性渐变图。图4中微小的分段为设定值。

图4中分为四种可能性变化：

(1)未发现不可检测点

(2)循环结果上下界同为可检测点；

(3)先发现下界的不可检测点；

(4)先发现上界的不可检测点；

图4中左上表示该节点不是在潜在的脆弱性节点，最后留下的设定值大小的误差。右上表示前次循环结果上下界同为可检测点，而当前上下界同时发现不可检测点。而左下和右下分别表示先发现下界的不可检测点和先发现上界的不可检测点，前半段使用和右上相同的算法，后半段使用二分法获取期望的近似不可检测范围。后两者使用二分是为了提高程序运行速度。其中二分法存在外扩张和内收的可能性，注意其中用来二分的范围的上下边界不是当前的下(上)边界。

图5为多节点受到信息攻击时获取该节点不可检测范围组合的流程图。图中表示判断节点1-q可能受到攻击时对应的不可检测攻击范围组合的方式。整体思路类似于穷举法，其中N足够大，每小段设定值足够小。列举可能同时被攻击的节点，执行图5所示方法，可以解决多节点同时受到攻击是不可攻击范围的近似组合。

类似于单节点情况的检测过程，图5存在三个关键变量：

(1)离散化均分数量N；

(2)每个节点对应的上界；

(3)每个节点对应的下界。

通过图5所示的穷举法，先将节点1至q-1分为N，对其中每个离散值分别作为一个变量，最后对q节点进行单节点获取不可检测节点算法，如此穷举可以得到最终全部可能潜在脆弱节点与节点集合，最终获取脆弱的节点与节点集合。

图6使用了递归方法，函数参数包括k和v，k表示当前时间，v表示输入当前时刻状态，用于计算下一时刻状态。图6中N足够大，等价于在不可检测范围内采样N个点用于脆弱性判断。K表示持续时间的最大值。通过图6中算法可以获取不可检测节点信息以及对系统造成破坏的所需的最短攻击时间。

从图6中可以看出，最后一层的可能性一共存在三种，分别为：

(1)已检测出节点为脆弱性节点；

(2)持续时间已经达到设定时间；

(3)已经检测了所有离散点。

其中“持续时间已经达到设定时间”表示该节点并不脆弱；

“已经检测了所有离散点”表示该节点在持续时间为k(k<K)的时候，仍然能保持安全，仍未检测出安全性，所以需要继续检测k+1时刻的N种可能性。

“已检测出节点为脆弱性节点”表示攻击持续k时间，存在一个对节点造成伤害的不可检测攻击。

Claims (5)

1.一种基于不可检测信息攻击预警的ECPS脆弱性节点评估方法，其特征在于，包括如下步骤：

步骤1：建立ECPS局部模型，并将其简化为等效的线性模型；

步骤2：在单节点被信息攻击的前提下，对不可检测的信息攻击进行预警，并寻找脆弱性节点；

步骤3：在多节点被信息攻击的前提下，对不可检测的信息攻击进行预警，并寻找脆弱性节点集；

步骤4：分析持续性攻击条件下，对不可检测的信息攻击进行预警，并评估节点及节点组合的脆弱性。

2.根据权利要求1所述的基于不可检测信息攻击预警的ECPS脆弱性节点评估方法，其特征在于：所述的步骤1具体步骤如下：

步骤1.1，收集电力一次设备的拓扑关系与电气参数信息；

步骤1.2，收集电力二次设备的类型与位置信息；

步骤1.3，根据收集信息建立ECPS局部模型，当该模型中的电力系统可线性化，且拓扑约束为连通图，并且对其的攻击约束范围为凸约束，则进行步骤1.4；

步骤1.4，对于包含n个发电机的ECPS局部模型，以各发电机转动频率{w₁，…，w_n}、转角{δ₁，…，δ_n}、能被攻击的相角{θ₁，…，θ_2n}，而整体系统中可能存在输入(攻击){μ₁,…,μ_p}，p≤2n、以及输出(观测器){y₁,…,y_q}，q≤2n，以及各个节点状态x为重点研究对象，将ECPS局部模型简化为线性模型。

3.根据权利要求1所述的基于不可检测信息攻击预警的ECPS脆弱性节点评估方法，其特征在于：所述的步骤2具体步骤如下：

步骤2.1，节点分类，

(1)依照可能出现的信息攻击类型对每一节点进行分类，包括物理上不可信息攻击的节点、针对其的任何信息攻击均可被检测的节点、存在不可被检测信息攻击的节点等三类节点，其中存在不可被检测信息攻击的节点为潜在脆弱性节点；

(2)针对潜在脆弱性节点，根据该类节点的不可检测信息攻击中是否存在一种信息攻击对ECPS造成破坏来定义其节点脆弱性，若存在上述可能则该节点为脆弱性节点；

步骤2.2，分析不可检测信息攻击的性质，确定每个节点不可检测攻击的范围：

(1)设定ECPS中电力系统输出允许的误差范围，有信息攻击时输出和无信息攻击时输出之差在该误差范围内则认为该信息攻击不可检测；

(2)设置不可检测范围初始值为物理上允许范围，将该范围离散化；

(3)根据攻击范围的凸性质，设计一种两边夹逼的方法，逐渐缩小不可检测范围。该两边夹逼的方法存在四种可能性：未发现不可检测点、循环结果上下界同为可检测点、先发现下界的不可检测点、先发现上界的不可检测点。前两者以及后两者的前半段都可使用两边夹逼，后两种当单边确定后，可以使用二分提高程序运行速度。通过这种方法，最终找到潜在的脆弱性节点的不可检测的攻击范围；

步骤2.3，分析电力系统中可能出现的破坏及漏洞，视具体情况设定ECPS中电力系统安全运行中需要注意的参数的范围；

步骤2.4，潜在的脆弱性节点与其不可检测攻击范围基础上，当不可检测攻击范围内的信息攻击造成上述参数超出其安全范围，进行不可检测的信息攻击的预警，并定义该节点为脆弱性节点；

步骤2.5，针对脆弱性节点，调整对应的安全策略。

4.根据权利要求1所述的基于不可检测信息攻击预警的ECPS脆弱性节点评估方法，其特征在于：所述的步骤3具体步骤如下：

步骤3.1，将多节点被信息攻击的问题进行分解，将其拆分为多个单节点信息攻击问题的集合；

步骤3.2，执行单节点信息攻击寻找脆弱性节点步骤，确定不可检测的多攻击范围集合；

步骤3.3，分析各种信息攻击对ECPS中电力系统造成的破坏，对不可检测信息攻击进行预警，并确定脆弱性节点的组合。

5.根据权利要求1所述的基于不可检测信息攻击预警的ECPS脆弱性节点评估方法，其特征在于：所述的步骤4具体步骤如下：

步骤4.1，设定持续性攻击时间上限K，设定每时刻对约束的等分参数N，初始状态参数；

步骤4.2，使用递归方法从前往后每个时刻累加历史信息攻击检测数据，根据k时刻以及当前状态参数判断当前是否安全，对不可检测信息攻击进行预警，最终运行到K时刻时确定脆弱性节点；

步骤4.3，对于在持续攻击条件下全部节点组合都脆弱的电力系统，根据对电力系统造成破坏的最短攻击时间确定最优先注意的脆弱性节点。