CN107767014A

CN107767014A - 一种电力信息物理系统安全风险评估与防御资源分配方法

Info

Publication number: CN107767014A
Application number: CN201710766755.6A
Authority: CN
Inventors: 陈武晖; 陈文淦
Original assignee: Jiangsu University
Current assignee: Jiangsu University
Priority date: 2017-08-31
Filing date: 2017-08-31
Publication date: 2018-03-06
Anticipated expiration: 2037-08-31
Also published as: CN107767014B

Abstract

本发明提出一种电力信息物理系统安全风险评估与防御资源分配方法，给出了风险的具体计算公式，并提出一种防御资源分配方法，以此来快速合理的将防御资源分配到各个节点，从而降低系统风险值。具体步骤为：分别计算信息节点被成功入侵的概率、信息节点被成功入侵后物理节点被破坏的概率与物理节点被破坏后对物理电网的影响，将三者的乘积作为电力信息物理系统风险值。并在此基础上根据各节点风险值占系统总风险值比例将防御资源分配至各节点，若某节点分配的防御资源出现冗余则按照上述规则对冗余部分重新分配。该发明应用于定量评估电力信息物理系统风险值与防御资源快速合理分配，对电力信息物理系统的规划和保护有一定的现实意义。

Description

一种电力信息物理系统安全风险评估与防御资源分配方法

技术领域

本发明属于电力系统技术领域，涉及电力信息物理系统安全风险定量评估方法与防御资源优化分配方法。

背景技术

随着技术的发展，现代智能电网正逐步演化成为电力信息网与物理电网高度融合的电力信息物理系统。虽然物理电网的信息化提升了社会生产的效率，给予用户更加人性化体验，但是物理电网的信息化同样也给整个电力信息物理系统带来了新的风险。攻击者不再需要对物理电网直接攻击，只要在电力信息网络发起攻击，一旦攻击成功便可以对物理电网的正常工作造成巨大影响，甚至造成物理电网的停运或毁坏。如，2015年乌克兰电力公司网络系统遭到BlackEnergy攻击，至少三个地区电力部门的监控与数据采集系统被破坏，导致了大范围停电。现实案例已证明了信息攻击可能造成的严重后果。因此，针对整个电力信息物理系统的安全风险评估便显得尤为重要。

风险指标体系广泛应用于物理电网的安全风险评估。评估对象的风险值由各种预想事故出现概率与事故严重程度的乘积累加而得到。该方法综合考虑了事故发生的概率与事故后果，从而将整个物理电力系统的风险控制在可接受范围内。但若要将该方法应用于电力信息物理系统仍需要克服以下困难：

1.评估物理电网风险时，用某一函数便可描述物理电网事故发生可能性，而评估电力信息物理系统风险时，需计算信息攻击成功攻击信息节点并影响物理节点的概率，只用某单一函数无法描述这一事件的发生。

2.评估物理电网风险时，评价事故严重程度较为简单只需单一指标便可以评价事故严重程度，如过电压事故用电压值便可描述该事故发生的严重程度。而对电力信息物理系统，若某一信息攻击成功影响物理节点往往伴随多种事故的发生，如何评价某一信息攻击的影响程度同样需要考量。

同时降低系统风险值往往涉及防御资源优化分配问题，许多文献中的防御资源分配方法需迭代多次才能得到最终分配方案，较为繁琐，如文献《基于动态攻防博弈的电力信息物理融合系统脆弱性评估》中使用的分配方法迭代了1000次才得到最终分配方案，较难应用于工程实际。

发明内容

为解决上述问题，本发明提出一种电力信息物理系统安全风险定量评估方法与防御资源优化分配方法。首先分别计算信息节点被成功入侵的概率、信息攻击能够影响影响物理节点的概率与该次攻击成功后对物理电力系统的影响，并将三者的乘积作为电力信息物理系统风险值。并在此基础上根据各信息节点风险值占系统总风险值比例将防御资源分配至各节点，若某节点分配的防御资源出现冗余则按照上述规则对冗余部分重新分配，实现了防御资源的优化配置。该安全风险定量评估方法考虑了电力信息物理系统的独有特性，防御资源优化分配方法减少了迭代次数，可以实现资源的合理分配，提高了效率，具有现实意义。

为了实现上述目的，本发明的技术方案如下：

一种电力信息物理系统的安全风险定量评估与防御资源优化分配方法，包括如下步骤：

步骤1，计算信息节点被成功入侵的概率P1；

步骤2，计算信息节点被成功入侵后对应物理节点被破坏的概率P2；

步骤3，计算物理节点被破坏后对物理电网的损失值LOSS；

步骤4，计算电力信息物理系统的风险值；

步骤5，根据各节点风险占风险总值比例分配防御资源。

进一步，所述步骤1的具体过程为：

步骤1.1，明确信息节点电子安全边界的作用与局限性，确定了安全边界内控制区与物理电网间的直接联系；

步骤1.2，提出防御效果值的概念，给出了防御资源，即防御效果函数，并根据不同防御设备所拥有的不同防御效果与不同的成本将函数曲线分成几个等级；

步骤1.3，提出了攻击数的概念，用指数分布作为攻击数的概率密度函数，并分析其物理意义，给出计算攻击值大于防御效果值概率的计算公式，即信息节点被成功入侵的概率P1计算公式。

进一步，所述1.2的具体过程为：

将各节点的防御资源分配给各类电子安全边界ESP防御设备后产生的数称为防御效果值，根据节点拥有的防御资源判断可以使用m类ESP防御设备，节点i配置防御设备产生的防御效果称为y(q_i)，有

0≤y(q_i)≤1i＝1,2,...,m

式中q_i为信息节点i被分配的防御资源，当y(q_i)＝1表示该设备的防御效果为最大值1，即设备被成功攻击的概率为0；

防御资源与防御效果不是简单的线性关系，随着防御资源的增加，防御效果逐渐加强，但防御效果的增长率会逐渐下降，即随着q_i增加，有y(q_i)增加，降低，采用指数函数表征防御资源和防御效果的函数关系：

y(q)＝1-e^-λ(q-μ)

其中λ、μ为经验系数，对性能越好的防御设备λ值越高，即该设备达到最大防御效果的速度越快，μ为配置ESP防御设备所需的最小的防御资源，对性能越好的防御设备μ越高；

假设了3级防御资源-防御效果曲线，1级防御曲线只使用了防火墙，2级防御曲线使用了防火墙、入侵检测系统和入侵防御系统，3级防御曲线使用了防火墙、入侵检测系统和入侵防御系统、应用程序监控器。

进一步，步骤1.3中，信息节点被成功入侵的概率P1计算公式为：

式中f(t)为随机变量X的概率密度函数，b为攻击数取得的最大值，y为防御效果值。

进一步，所述步骤2中：

提出物理安全临界攻击强度概念，给出信息攻击的破坏强度大于物理安全临界攻击强度概率计算公式，即信息节点被成功入侵后对应物理节点被破坏的概率P2计算公式：

破坏强度Z作为随机变量，Z∈[a,b]，g(t)为随机变量Z的概率密度函数，c为目标物理节点的物理安全临界攻击强度值。a为破坏强度z取得的最大值，b为破坏强度z取得的最小值。

进一步，所述步骤3的具体过程为，提出用有功损失来代表由于信息节点故障导致对应物理节点不能正常工作对整个物理电网造成的损失值LOSS,并给出不同信息节点故障后对应有功损失统计规则：

对于电力信息网的发电厂、变电站节点，认为厂/站信息节点与物理电网的厂/站物理节点一一对应，故可直接统计发电厂、变电站节点对应的物理节点故障造成的有功负荷损失值；

由于调度中心没有对应的物理节点，认为调度中心节点故障所造成的有功损失相当于受该调度中心控制的厂/站节点故障所造成的有功负荷损失值之和。

进一步，所述步骤4的具体过程为，根据步骤1、2、3的计算结果，给出各节点风险值计算公式R＝P1×P2×Loss，与系统风险值计算公式

进一步，所述步骤5的具体过程为：

步骤5.1，提出初始状态的定义，并计算初始状态下各节点风险值与系统风险值；

步骤5.2，根据初始状态下各节点风险占总风险比例分配防御资源到各节点，再次计算各节点风险值与系统风险值；

步骤5.3，提出资源冗余的概念，并判断各节点所分配防御资源是否出现资源冗余状况，若有提出冗余资源，重复步骤5.2。

有益效果：

1.本发明改进了原本用于物理电网的风险评估公式，改进后计算公式更加适用于电力信息物理系统，能够对电力信息物理系统进行定量风险评估。

2.提出一种简便、合理的防御资源分配方法，减少迭代次数，更易于用于工程实际。

3.提出了防御资源——防御效果函数，定量描述了防御资源与防御效果二者之间的关系。

4.提出计算信息节点被成功入侵的概率的计算方法，确定了影响该概率的若干因素。

5.提出计算信息节点被成功入侵后对应物理节点被破坏的概率的计算方法，确定了影响该概率的若干因素。

6.具体化了信息攻击影响物理节点后对整个物理系统造成损失值的计量方法，将原本多方面的损失值用一个有代表性的值来计量。

附图说明

图1是电力信息物理系统与信息节点安全区域划分示意图。

图2是防御资源-防御效果函数曲线图。

图3是一实际电力系统，新英格兰系统(10机39母线系统)。G1～G10表示该系统包括10 台发电机。

图4是针对新英格兰系统搭建的电力信息网与发电厂/变电站信息节点模型。

A1～A10是10个发电厂信息节点、B1～B3是3个变电站信息节点、D0是省级调度中心节点、D1～D5是5各个地级调度中心节点。

图5是防御资源分配方法的流程图。

图6是信息节点-节点风险折线图。

具体实施方式

结合以上图进行具体说明。

根据步骤1，对信息节点被成功入侵的概率P1进行计算。

(1)明确信息节点电子安全边界的作用与局限性，确定了安全边界内控制区与物理电网间的直接联系。

本发明认为，若信息攻击穿越电子安全边界(Electronic Security Perimeter，ESP)，从信息节点外部进入内部安全区域，信息节点便被成功入侵。

ESP分隔了安全区域与非安全区域，是二者之间的分界线。电力信息网的电子安全边界及其所保护的区域是信息系统的最小安全单元，一旦攻击者潜入ESP内部，ESP内部无论采用何种网络结构，对于网络攻击都是脆弱的。

如图1，每个信息节点按功能组可以分为2个大区：生产控制大区和管理信息大区，生产控制大区与管理信息大区之间的通信通道设置“横向隔离”安全装置，生产控制大区与调度数据网之间的信息交互设置有“纵向认证”安全装置。其中生产控制大区可以划分为控制区和非控制区，管理信息大区可以划分为管理区和信息区，共4个安全区域，如图 1所示。其中控制区与物理电网之间有着直接的态势感知和动态控制的联系。由于控制区与物理电网有直接联系，所以本发明只考虑控制区作用。

(2)给出了防御资源——防御效果函数，并根据不同防御设备所拥有的不同防御效果与不同的成本将函数曲线分成3个等级

将各节点的防御资源分配给各类电子安全边界ESP防御设备后产生的数称为防御效果值。根据节点拥有的防御资源判断可以使用m类ESP防御设备，节点i配置防御设备产生的防御效果称为y(q_i)，有

0≤y(q_i)≤1i＝1,2,...,m

式中q_i为信息节点i被分配的防御资源，当y(q_i)＝1表示该设备的防御效果为最大值1，即设备被成功攻击的概率为0。

防御资源与防御效果不是简单的线性关系，随着防御资源的增加，防御效果逐渐加强，但防御效果的增长率会逐渐下降，即随着q_i增加，有y(q_i)增加，降低，本文采用指数函数表征防御资源和防御效果的函数关系：

y(q)＝1-e^-λ(q-μ) (1)

其中λ、μ为经验系数。对性能越好的防御设备λ值越高，即该设备达到最大防御效果的速度越快。μ为配置ESP防御设备所需的最小的防御资源，对性能越好的防御设备μ越高。

防火墙是最基础的防御设备。而理想状态下，应配置尽可能多的防御设备来达到对ESP 深度防御的效果。深度防御的优点在于当某一设备无法正常运行，可由其他可正常运行的设备替代其工作，从而降低ESP被穿越的概率。因此本发明假设了3级防御资源-防御效果曲线，如图2所示，1级防御曲线只使用了防火墙，2级防御曲线使用了防火墙、入侵检测系统和入侵防御系统，3级防御曲线使用了防火墙、入侵检测系统和入侵防御系统、应用程序监控器。

(3)提出攻击数的概率密度函数，给出信息节点被成功入侵的概率P1计算公式

本发明将每次信息攻击作为基本事件，每次攻击产生的代表该次攻击强度大小的值称为攻击数，将攻击数作为随机变量。本发明使用指数分布作为攻击数的概率密度函数，即攻击数值越大，该攻击数出现的概率越低。该分布的物理意义在于攻击强度越高的攻击所需的成本越高，在攻击次数足够多的情况下，高强度攻击出现次数应低于低攻击强度出现次数，所以本发明使用指数分布来描述随机变量，指数函数概率密度为f(t)＝λe^-λt，λ为经验系数。

本发明认为每次攻击信息节点有成功和失败两种状态。令X_i代表第i次攻击所产生的攻击值，Y_j代表被攻击的节点j的ESP所起到的防御效果值，当攻击值大于防御效果值时，该次攻击便成功。因此信息节点被成功入侵的概率P1，实质上便是攻击值大于防御效果值的概率。若随机变量X∈[a,b]，则信息节点被成功入侵的概率P1计算公式为：

式中f(t)为随机变量X的概率密度函数。

根据步骤2，对信息节点被成功入侵后对应物理节点被破坏的概率P2进行计算。

信息节点被成功入侵后对应物理节点被破坏的概率P2的大小与信息攻击的破坏强度及对应物理节点采用的拓扑结构和抗干扰能力有关。

由于物理系统节点的物理设备本身具有一定的抗干扰能力，如继电保护设备往往已经考虑了信息传输的延时影响等。若攻击者试图通过信息攻击影响物理系统，必须采用具有足够破坏强度的攻击否则该信息攻击不能影响物理系统的稳定性。

本发明将信息攻击不会导致电力系统安全稳定遭到破坏的最大攻击强度，称为物理安全临界攻击强度。只有大于物理安全临界攻击强度，物理节点才受到影响。由于物理系统节点的拓扑连接和抗干扰能力不一定相同，故而不同信息节点的物理安全临界攻击强度也不一定相同，可以通过系统模型仿真进行分析统计得到。

故信息节点被成功入侵后对应物理节点被破坏的概率P2实质上是等同于信息攻击的破坏强度大于物理安全临界攻击强度的概率。类似P1，信息节点被成功入侵后对应物理节点被破坏的概率P2：

破坏强度Z作为随机变量，Z∈[a,b]，g(t)为随机变量Z的概率密度函数，c为目标物理节点的物理安全临界攻击强度值。

根据所述步骤3，对信息节点故障后对物理电网的损失值Loss进行计算

信息域节点被成功攻击后对物理域的影响可能有多个方面，比如有功负荷损失、发电机组功角偏差、电压/频率偏差等等。本发明根据《电力安全事故应急处置和调查处理条例》发布的电力安全事故等级划分标准，以有功负荷损失量作为信息域节点被成功入侵后对物理域影响大小的评估标准。

为了量化分析信息节点故障导致对应物理节点不能正常工作对整个物理电网造成的损失值LOSS，本文提出以下不同信息节点故障后对应有功负荷损失的统计规则：

1)对于电力信息网的发电厂、变电站节点，认为厂/站信息节点与物理电网的厂/站物理节点一一对应，故可直接统计发电厂、变电站节点对应的物理节点故障造成的有功负荷损失值。

2)由于调度中心没有对应的物理节点，认为调度中心节点故障所造成的有功损失相当于受该调度中心控制的厂/站节点故障所造成的有功负荷损失值之和。

根据所述步骤4，对电力信息物理系统的风险值进行计算

首先计算电力信息网内各信息节点的风险值，节点i的风险值为：

R_(i)＝P1×P2×Loss (4)

式中P1为信息节点被成功入侵的概率；P2为对信息节点被成功入侵后对应物理节点被破坏的概率；Loss为物理节点被破坏后对物理电网的损失值。

再用所有节点风险值的平均值来作为电力信息物理系统的风险值：

根据所述步骤5，对防御资源进行优化分配

防御资源分配流程如图5所示

根据上文分析，由于发电厂、变电站建设完成后，物理拓扑已很难改变，所有可以认为信息节点被成功入侵后对应物理节点被破坏的概率P2、物理节点被破坏后对物理电网的损失值Loss是固定值。因此只有优化防御资源，降低信息节点被成功入侵的概率P1，才能降低总体风险。

根据图2，不同防御效果函数性能有差异，理论情况下应对配置效果最好的防御设备。但是若想配置性能较好的防御设备便需要较多的防御资源，在防御资源不足的情况下，只能选择性能稍弱的防御设备。对n个节点，设理想情况下需要防御资源的总量为实际拥有的防御资源为Q。若即实际拥有的防御资源不足以使所有节点的风险都降到理想状态，此时需要对有限的防御资源进行优化配置，目标是将整个信息系统的风险值降低到最小，产生最好的防御效果。

(1)计算初始状态下各节点风险值与系统风险值

首先设置一初始状况，认为初始防御资源为0，信息节点一定会被成功攻击，计算在初始情况各节点的风险值。

(2)按节点风险值占总风险值比例分配防御资源

根据初始状态下各节点风险占总风险比例分配防御资源到各节点，再次计算各节点风险值与系统风险值。

(3)判断各节点所分配防御资源是否出现资源冗余状况，若有，提出冗余资源，重复步骤2

根据防御资源与防御效果的函数表达式y(q)＝1-e^-λ(q-μ)及图2所示，当某ESP设备的防御资源达到一定数量后，其对应的防御效果近似于1且防御效果增长曲线呈现近似水平状态。定义单个防御设备的最大防御资源分配量为q_max，设备被分配的防御资源量达到q_max则认为设备的防御效果达到最大值，超过最大防御资源分配量的部分称为冗余资源。

对冗余防御资源的进行再分配的原则是在不导致被提取节点的风险值增加的前提下，对所有存在冗余防御资源的信息节点提取冗余防御资源，并按分配防御资源后系统各节点风险值占总风险值比例再次进行分配。

实施例：

使用PSSE软件搭建10机39母线系统，作为物理电网模型。使用OPNET软件，以D2-1变电站信息系统模型为基础搭建电力信息网模型，如图3、图4所示。

在OPNET中仿真出各节点在受到信息攻击情况下产生的延时，再通过PSSE的eventstudy程序，将其设置为故障参数导入PSS/E，从而实现电力信息物理系统中信息攻击成功攻击信息节点从而导致物理节点故障。

本实施例研究2类信息攻击，第一类信息攻击的类型为摆渡攻击，作用范围是从信息节点ESP外部进入内部安全区域，目标是突破信息节点的ESP，摆渡攻击成功概率为信息节点被成功入侵的概率P1。第二类信息攻击的类型为DDoS攻击，作用范围是ESP内部的安全区域，目标是增大通信业务传输延时从而影响物理系统安全，攻击对象是安全区域内部的信息系统，DDoS攻击的成功率为已经突破ESP的攻击者继续攻击内部信息系统造成对应物理节点被破坏的概率P2。

通过PSSE软件搭建10机39母线系统，分别切除不同节点，统计节点切除后的有功损失，作为Loss值记录。

本实施例取防御资源为50，并对比不同分配方法在在降低风险值方面的不同表现

表一：不同研究案例

表二案例结果对比

案例1、2、3各节点风险值如图6所示。通过表二、图6，对案例1、2、3结果进行对比可以发现，采用本发明的分配方法的案例1，只迭代了3次便将系统风险值降至1323，系统风险值较案例2减少了5.3％，较案例3减少了94.1％，而案例1的迭代次数较案例2 减少了99.9％，较案例3减少了50％。结果表明本发明的防御资源分配方法在降低了系统风险值的同时大大减少了迭代次数，显示了本方法在快速合理分配防御资源方面的优越性。

本发明提出了应用于电力信息物理系统的风险计算公式与防御资源分配方法。实现了风险值的定量表示与防御资源快速合理分配，有工程应用价值。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。

Claims

1.一种电力信息物理系统的安全风险定量评估与防御资源优化分配方法，其特征在于，包括如下步骤：

步骤1，计算信息节点被成功入侵的概率P1；

步骤3，计算物理节点被破坏后对物理电网的损失值LOSS；

步骤4，计算电力信息物理系统的风险值；

步骤5，根据各节点风险占风险总值比例分配防御资源。

2.根据权利要求1所述电力信息物理系统的安全风险定量评估方法，其特征在于，所述步骤1的具体过程为：

3.根据权利要求1所述电力信息物理系统的安全风险定量评估方法，其特征在于，所述1.2的具体过程为：

0≤y(q_i)≤1i＝1,2,...,m

y(q)＝1-e^-λ(q-μ)

4.根据权利要求1所述电力信息物理系统的安全风险定量评估方法，其特征在于，步骤1.3中，信息节点被成功入侵的概率P1计算公式为：

<mrow> <mi>P</mi> <mn>1</mn> <mo>=</mo> <msubsup> <mo>&Integral;</mo> <mi>y</mi> <mi>b</mi> </msubsup> <mi>f</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mi>d</mi> <mi>t</mi> </mrow>

5.根据权利要求1所述电力信息物理系统的安全风险定量评估方法，其特征在于，所述步骤2中：

<mrow> <mi>P</mi> <mn>2</mn> <mo>=</mo> <msubsup> <mo>&Integral;</mo> <mi>c</mi> <mi>b</mi> </msubsup> <mi>g</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mi>d</mi> <mi>t</mi> </mrow>

6.根据权利要求1所述电力信息物理系统的安全风险定量评估方法，其特征在于，所述步骤3的具体过程为，提出用有功损失来代表由于信息节点故障导致对应物理节点不能正常工作对整个物理电网造成的损失值LOSS,并给出不同信息节点故障后对应有功损失统计规则：

7.根据权利要求1所述电力信息物理系统的安全风险定量评估方法，其特征在于，所述步骤4的具体过程为，根据步骤1、2、3的计算结果，给出各节点风险值计算公式R＝P1×P2×Loss，与系统风险值计算公式

8.根据权利要求1所述电力信息物理系统的安全风险定量评估方法，其特征在于，所述步骤5的具体过程为：