CN111817290A - 数据篡改攻击下电力信息物理系统电压控制策略 - Google Patents

Abstract

本发明提出的是一种数据篡改攻击下电力信息物理系统电压控制策略，包括如下步骤：1）判断系统状态：收集各节点电压数据，检测系统是否遭到攻击，利用事件触发阈值进行判断；2）设备关键值评估：进行节点电压测量与漏洞风险指标评估，通过风险指标阈值判断系统中各节点电压超过阈值，对关键区域的电压进行调节；3）调压器变比计算：根据目标函数计算调压器变比，通过有载调压器调节出现问题的节点电压。本发明根据调压模型提出基于OLTC以及事件触发机制的电压调节策略，在更宽的电压调节范围以及能够更及时触发的条件下，针对网络攻击造成的电力系统电压越限问题，给出更合理的方案，并进行算例仿真来证明所提方法的有效性。

Description

数据篡改攻击下电力信息物理系统电压控制策略

技术领域

本发明涉及的是一种数据篡改攻击下电力信息物理系统电压控制策略，属于电网调压控制技术领域。

背景技术

随着现代电力系统的智能化，电力系统安全问题已经不仅局限于电网基础设施的安全问题，更加涉及网络信息安全问题。在电力信息物理系统中，电网的调度、控制、管理都高度依赖着信息与通信系统，信息系统出现问题或者网络攻击都会威胁到电力系统的安全稳定运行。由于日益频繁的网络攻击，信息安全问题已经成为了影响电力系统正常运作的关键问题所在。目前常见的信息安全问题主要包括对物理仪表的攻击、对主机及其所控傀儡机的恶意攻击、对网络通信协议的修改、对通信信号的干扰等等，这些攻击会导致保密文档被窃取、正常通信被中断，影响正常系统的工作；在电力系统中，这些攻击不仅会损害信息网络，还会造成电网设备无法正常工作，尤其是虚假数据注入和篡改攻击，会严重威胁电网的平稳运行，导致电力系统无法为用户提供电力服务，甚至会导致严重的经济损失。

电力信息物理系统的信息安全问题严重威胁着关键基础设施以及系统的运行状态，在网络攻击的影响下，电网结构会发生很大的变化，从而引起系统的不稳定。现有技术中对于电力系统和信息系统无论是方法还是理论都是将两者割裂开来的，无法将信息系统对电力系统的影响展现出来，不能够对两者之间的关联进行系统、深入的分析。对于电力工程领域的技术人员而言，对智能电网进行研究的关键，在于思考如何能够将先进的传感、通信、计算技术与电力系统相互融合，以此建立统一的控制模型并提出攻击应对方案。

发明内容

本发明的目的在于克服现有电网控制技术在抵御信息系统攻击时缺乏有效手段的缺陷，提出一种针对电力信息物理系统遭受网络攻击的控制策略，尤其是针对篡改攻击造成的电压不稳定问题的电压控制策略，该策略有效结合现有的信息系统和电力系统理论，构建电力信息物理系统模型，并建立电力信息物理系统的信息传输模型表示物理电网与电力信息系统之间的耦合关系，并基于此模型提出新的电压调节策略。

本发明的技术解决方案：数据篡改攻击下电力信息物理系统电压控制策略，具体包括如下步骤：

1)判断系统状态：通过电力信息物理系统中的数据采集与监视控制系统，利用电源管理单元PMU收集各节点电压数据，检测系统是否遭到攻击，定义触发时间序列和事件生成器功能，利用事件触发阈值进行判断；

2)设备关键值评估：进行节点电压测量，采用通用漏洞评分系统CVSS来评估漏洞是否能够被成功利用，根据漏洞被利用成功概率来计算数据篡改恶意攻击成功的概率，遍历所有线路，计算被攻击后会对系统有影响的各PMU受到恶意攻击成功的概率以及重要度，利用计算得到的各区域风险指标的平均值得到风险指标阈值，通过风险指标阈值判断系统中各节点电压与该节点参考电压的差值是否超过设定的死区电压，若超过则对关键区域电压进行调节；

3)调压器变比计算：采用粒子群算法根据所给目标函数计算调压器变比，定义控制器接收的电压信息和电压的更改量，经过潮流计算得到满足系统正常运行且造成的损失最小的分接头值，通过求解整个配电系统的目标函数来确定每个装置的操作量，并通过有载调压器调节出现问题的节点电压。

与现有技术相比，本发明的优点在于：

本发明根据调压模型提出基于OLTC以及事件触发机制的电压调节策略，在更宽的电压调节范围以及能够更及时触发的条件下，针对网络攻击造成的电力系统电压越限问题，给出更合理的方案，并进行算例仿真来证明所提方法的有效性，从而在充分了解攻击对电力系统造成的影响的前提下，通过提出的策略对攻击进行防御，有效减小攻击对系统造成的伤害。

附图说明

附图1是测量设备的IEEE14节点位置结构图；

附图2是数据篡改攻击过程示意图；

附图3是电压调节过程原理图；

附图4是电压调整步骤流程图；

附图5是实施例场景一的OLTC设置图；

附图6是实施例场景二的OLTC设置图；

附图7是实施例场景一受到数据篡改攻击后各节点电压变化图；

附图8是实施例场景二受到数据篡改攻击后各节点电压变化图；

附图9是测试仿真IEEE33节点系统结构图；

附图10是攻击前后各节点电压变化图；

附图11是OLTC设置图；

附图12是调整后各节点电压变化图。

具体实施方式

以下结合附图进一步说明本发明的技术方案。需要说明的是，说明书附图所直接记载的内容或通过参考附图描述的内容是示例性的，旨在用于解释本发明的技术方案，而不能理解为对本发明的限制。

本发明数据篡改攻击下电力信息物理系统电压控制策略的构建基于Petri网理论的电力信息物理系统调压统一模型，选用OLTC(有载调压器)作为调压设备，提出篡改攻击下的调压策略，进而实现在篡改攻击下维护电力系统的安全与稳定。该策略具体包括如下步骤：(1)判断系统状态：检测系统是否遭到攻击，利用事件触发阈值进行判断。

当系统受到虚假数据注入的攻击时，攻击者会破坏真实数据并将错误信息发送给控制器。在一般的定期采样基础上，本发明增加了事件触发机制以更新控制输入信号。与周期采样只能在固定时间收集数据相比，事件触发可以在系统中发生事件时收集信息，并且可以及时处理事件的影响，而不会因无法感知事件而导致系统的恶化。为了表征这种机制，定义触发时间序列为μ₀,μ₁,μ₂,...,μ_j,...，事件生成器γ功能为：

Υ＝P_ei-θ_i (1)

其中，θ_i为根据设备中漏洞个数i确定的最小攻击概率，P_ei为设备e_i的被攻击成功概率。

尽管数据篡改攻击可以利用某些网络漏洞，但是由于安全保护设备和通信协议的存在，设备的成功攻击的概率符合一定的概率分布，事件触发条件为：

Υ＞0 (2)。

(2)设备关键值评估：进行节点电压测量，判断系统中节点电压与该节点参考电压的差值是否超过设定的死区电压，若超过则需要进行调节。

要评估设备关键值，首先要计算设备关联漏洞被攻击成功率。本发明采用美国通用标准与技术员提供的通用脆弱性漏洞评分系统CVSS(通用漏洞评分系统)来评估漏洞是否能够被成功利用。公共漏洞评分系统有三组特性，分别为base、temporal以及environmental，其中的base属性主要在评估漏洞被利用概率的情况下使用。Base指标的具体等级和评分见表1。

表1

评分系统使用以下公式(3)对漏洞的被利用情况进行等级评分，得到的结果P的取值范围为0～10，其中0代表漏洞无威胁，0.1～3.9代表漏洞的威胁等级较低，4～6.9代表漏洞的威胁等级为中等，7～8.9代表漏洞的威胁程度较高，9.0～10代表漏洞正处于被攻击的危机状态：

P＝20×AV×AC×AU (3)

鉴于被攻击的概率通常范围为0～1，所以可按比例将漏洞的被利用值缩小，且不会影响评估效果，所以最终的漏洞被利用成功概率为：

Pr(v_i)＝2×AV×AC×AU (4)

本发明所使用的电网信息物理融合系统采用IEEE14节点，测量设备以PMU(电源管理单元)为例，若PMU中信息直接传递到控制中心，则不存在信息网络的信息交互过程，信息节点的拓扑不会影响到设备的关键性，则可认为设备的关键性指标为风险指标。按照IEEE14节点配置规则设置的PMU如图1所示：图中n1～n16为线路各节点对应的16个PMU，将16个PMU按设备打开端口以及可利用漏洞的不同，分成A～G 7个区域，每个区域内的PMU被攻击概率相同，每个区域包含的PMU具体如下：A区域：n13,n16；B区域：n4,n12,n14,n15；C区域：n11；D区域：n6,n7,n8,n9,n10；E区域：n1,n2；F区域：n3；G区域：n5。

以攻击D区域内PMU为例，攻击过程如图2所示：系统中存在可利用端口8001(S1)和可利用端口8000(S4)，其中可利用端口8001有0.124的概率存在漏洞CVE-2001-4056(S2)，可利用端口8000有0.124的概率存在协议漏洞CVE-2016-5695(S5)；攻击者在2个可利用端口之间选择，若选择攻击可利用端口8001，则通过社会工程学方法接入获得非授权文件(A1)，然后有0.2的概率篡改合并单元中电压、电流的采样序列(S3)；若选择攻击可利用端口8000，则通过劫持未加密流量(A3)或破坏加密通讯(A4)的手段，然后分别有0.6的概率采用独立分量分解法(ICA)分离复合数据流，并注入恶意数据(S6)。上述过程中S1～S6为攻击者可利用的漏洞，A1～A4为攻击者采取的攻击方式。

定义攻击者初始选择S1的概率为0.6，初始选择S4的概率为0.8，则端口漏洞C₁被利用成功的概率

为：

式中P(v_K)为漏洞被利用概率，由CVSS评分系统求得；P(a_K)为攻击过程中的原子攻击成功概率，依据采用的攻击方式A1求得；P(S1)定义为攻击者初始攻击能力，攻击者初始攻击能力及原子攻击成功概率一般由专家知识库定义，分为3类：1)容易攻击取0.8；2)一般攻击取0.6；3)比较难攻击取0.2。端口漏洞C₂被利用成功的概率

为：

P_n9＝1-(1-P_C1)×(1-P_C2)＝0.062 (7)

式中P_n9为攻击D区域内恶意攻击成功概率。

遍历所有线路，表2展示了被攻击后会对系统有影响的各PMU受到虚假数据注入成功的概率以及电压变化率(％)，将各PMU受到虚假数据注入成功的概率乘以电压变化率作为风险指标值。

表2

利用表2中的风险指标平均值的方法定义阈值，得到风险指标阈值为1.09。

因为要保证系统可观性，有一些量测必须提供，所以PMUn1,n2,n3,n5,n6,n7,n8,n9,n10,n12,n14,n15是保证系统可观情况下的关键设备。另外，通过所提方法发现PMUn13,n16的风险值大于所设置阈值，即PMU n13,n16中的量测改变会对系统造成比较大的影响，所以在保证可观性前提下，关键PMU则为n1,n2,n3,n5,n6,n7,n8,n9,n10,n12,n13,n14,n15,n16。

(3)调压器变比计算：根据设定的目标函数，得到满足系统正常运行且造成的损失最小的分接头值。

本发明采用粒子群算法根据所给目标函数计算调压器变比。

电电力系统中每个时刻的负荷由动态负荷和静态负荷组成，定义为：

X_m(k)＝X_ms(k)+X_md(k) (8)

其中X_m(k)表示的是k时刻上传到控制中心的m节点的负载数值，等于k时刻的动态负载值加上静态负载值，错误的数据注入攻击会更改此值的大小；

定义数据篡改成功后m节点的负荷值为：

X_m(k+1)＝X_m(k)+η_m(k)(X_m(k)+δ_m(k)) (9)

其中δ_m(k)是虚假数据注入攻击篡改的负荷量，η_m(k)是一个随机变量，代表着攻击的成功与否，是取值为0或1的伯努利分布白色序列，具体取值的概率如下：

Prob{η_m(k)＝1}＝α (10)

Prob{η_m(k)＝0}＝1-α (11)

其中α是虚假数据注入攻击的成功概率，由表2得出；

定义控制器接收的电压信息，如下所示：

y_m(k+1)＝f(X_m(k+1)) (12)

其中f(X_m(k+1))是指指示负载水平为X_m(k+1)下的电压值；

定义电压的更改量为：

u_m(k+1)＝y_m(k+1)-V_ref (13)

其中V_ref是节点m的参考电压；

经过潮流计算后，k+1时刻分接头要到达的位置为：

调节后的电压满足：

y_m,tap＝y_m(k+1)·[1+n(k+1)] (15)

所提出的方法中，通过求解整个配电系统的目标函数来确定每个装置的操作量，控制器基于粒子群算法确定操作量，调整后的电压不仅要控制在上下限之间，还要在充分平衡的情况下考虑电压裕度的最大化和功率损耗的降低，所以目标函数如式16所示：

minξ₁∑|y_m,tap(k)-y_m(k)|+ξ₂P_Loss

其中，y_m,tap是调整后节点m的电压，n_tap,min和n_tap,max分别为OLTC分接头的最小值和最大值。ξ₁、ξ₂为权重，为了充分考虑到电压偏差最大化和功率损耗的平衡，通过反复试验后加权系数确定为1.0和10.0。

图3为电力信息物理系统中具体电压调节的原理：电网中各节点设置的电压互感器将电压数据上传至数据采集与监视控制系统(SCADA)，SCADA监测电力信息物理系统中的电压数据，实时判断各节点的电压变化极值是否大于给定死区电压，若节点电压与该节点参考电压的差值超过设定的死区电压，则利用粒子群算法根据所给目标函数计算调压器变比，并通过有载调压器调节出现问题的节点电压。

以下结合实施例来说明本发明的具体实施手段及技术效果。

实施例

本发明的实施例可具体实施为控制方法、控制系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式，并不代表本发明仅仅涉及算法或数学计算规则，也不代表发明的技术方案只能通过完全软件形式实现。

本发明是参照根据本实施例的方法、设备和计算机程序产品的流程图来描述的。应理解，可由计算机程序指令实现流程图中的每一流程，以及流程图中的流程的结合。提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生实现本发明技术目的的设备，或使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图中某一个流程或多个流程中指定的功能的装置，也均属于本发明的保护范围。

如图4所示为数据篡改攻击下电力信息物理系统进行电压调整的步骤流程，具体仿真步骤如下：

1)判断系统状态是否遭到电网攻击，若是，则进行节点电压测量；若否，则进行正常调压策略；

2)若节点电压与该节点参考电压的差值超过给定阈值，则根据设定的目标函数，得到满足系统正常运行且造成损失最小的分接头值；

3)计算有载调压器的调整量，并进行相应的电压调节。

本实施例大致分为考虑关键测量设备的电压控制策略和IEEE33节点系统两个方面。

(1)考虑关键测量设备的电压控制策略

若攻击者在掌握了电网拓扑与潮流信息，就可以选择最薄弱最关键的地方发起攻击，所以针对电网中风险最大的部分应该做好更有效的控制与防御措施。下面分两个场景分析说明OLTC安装位置对电压策略实施的影响。

场景一：在考虑到篡改攻击的情况下，关键性最高的PMU都集中在图1中的A区与D区，所以将有载调压器设置在这两个区域附近，选择放置12号母线和4号母线上，如图5所示。

场景二：若不考虑网络攻击下PMU的关键性，则在系统中任意选择两个位置放置OLTC，如图6所示。

从攻击的概率上看，由于PMU n13,n16最容易受到攻击，所以节点12和线路12-13上的负荷值更易被改变，造成状态估计时线路6-12上的负荷值容易超过限值，导致6-12断线。通过仿真可知，这种情况下，若不加以控制，节点12的电压值会降低且低于电压下限。分别由场景一和场景二中设置的OLTC进行控制，结果如图7和8所示，表3展示了两种场景中OLTC的分接头调整情况。

	OLTC1	OLTC2
			场景一分接头数值	1.025	1
场景一分接头数值	1.02	1.01

表3

通过调节后的曲线可知，两种调压器设置方式都可以将节点12的电压调整到正常范围内，且场景一中不仅调整了节点12的电压，也使得节点13的电压有了一定的改善，但场景二中为了调节节点12的电压，造成了其他节点出现电压的波动，这会导致网损的增加，对电力系统的稳定性有不良的影响。

(2)IEEE33节点系统

为了分析所提出的方法，使用测试系统进行了仿真，如图9所示，其中红色圆圈内是被数据篡改攻击的节点。该仿真过程考虑了IEEE 33总线系统，即虚假数据注入攻击，其目标是线路有功潮流超过限制，这会导致线路9-15断线。仿真结果证明，红色圆圈中的节点电压发生了变化，其他节点的电压没有发生实质性变化。

红色圆圈内节点攻击后的电压与的正常电压之间的比较如图10所示。从图中可以看出，节点15的电压已严重超过下限。另外，节点9、14的电压已经处于极限的边缘，如果不加以控制，则这两个节点的电压将具有超过极限的风险。

根据要控制的节点数设置两个有载分接开关，如图11所示。每个有载调压器负责接收中央调节命令并执行本地控制。中央代理根据本地收集的信息进行决策，并将控制命令发送给每个调节器。

如果根据所提出的方法调节和控制系统中的电压，则可以将电压调节到允许的变化范围。图12显示了调整后的电压波形，可以看出，节点9、14、15的电压已经调整到允许范围。由于存在OLTC，IEEE 33总线系统中的其他节点电压虽然也会发生一定变化，但不会超过阈值，因此不再赘述。

以上所述仅为本发明的实施例，并非以此限制本发明的保护范围，凡是利用本说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (7)

1.数据篡改攻击下电力信息物理系统电压控制策略，其特征是包括如下步骤：

1)判断系统状态：通过电力信息物理系统中的数据采集与监视控制系统，利用电源管理单元PMU收集各节点电压数据，检测系统是否遭到攻击，利用事件触发阈值进行判断；

2)设备关键值评估：进行节点电压测量与漏洞风险指标评估，通过风险指标阈值判断系统中各节点电压与该节点参考电压的差值是否超过设定的死区电压，若超过则对关键区域的电压进行调节；

3)调压器变比计算：根据目标函数计算调压器变比，得到满足系统正常运行且造成的损失最小的分接头值，并通过有载调压器调节出现问题的节点电压。

2.根据权利要求1所述的数据篡改攻击下电力信息物理系统电压控制策略，其特征是所述的步骤1)中利用事件触发阈值进行判断的具体步骤如下：

定义触发时间序列为μ₀,μ₁,μ₂,...,μ_j,...，事件生成器γ功能为：

Υ＝P_ei-θ_i (1)

其中，θ_i为根据设备中漏洞个数i确定的最小攻击概率，P_ei为设备e_i的被攻击成功概率；

尽管数据篡改攻击可以利用某些网络漏洞，但是由于安全保护设备和通信协议的存在，设备的成功攻击的概率符合一定的概率分布，事件触发条件为：

Υ＞0 (2)。

3.根据权利要求1所述的数据篡改攻击下电力信息物理系统电压控制策略，其特征是所述的步骤2)采用通用漏洞评分系统CVSS来评估漏洞是否能够被成功利用：通用漏洞评分系统有三组特性，分别为base、temporal以及environmental，其中的base属性在评估漏洞被利用概率的情况下使用，Base指标的具体等级和评分见下表：

该评分系统使用以下公式对漏洞的被利用情况进行等级评分：

P＝20×AV×AC×AU (3)

得到的结果P的取值范围为0～10，其中0代表漏洞无威胁，0.1～3.9代表漏洞的威胁等级较低，4～6.9代表漏洞的威胁等级为中等，7～8.9代表漏洞的威胁程度较高，9.0～10代表漏洞正处于被攻击的危机状态；

鉴于被攻击的概率通常范围为0～1，所以按比例将漏洞的被利用值缩小，且不会影响评估效果，所以最终的漏洞被利用成功概率为：

Pr(v_i)＝2×AV×AC×AU (4)。

4.根据权利要求1或3所述的数据篡改攻击下电力信息物理系统电压控制策略，其特征是所述的步骤2)根据漏洞被利用成功概率来计算数据篡改恶意攻击成功的概率：

P_C1＝P(v_K)×P(a_K)×P(S₁) (5)

P_n9＝1-(1-P_C1)(1-P_C2) (6)

式中P(v_K)为漏洞被利用成功概率，由CVSS评分系统求得；P(a_K)为攻击过程中的原子攻击成功概率，依据采用的攻击方式求得；P(S1)定义为攻击者初始攻击能力，初始者初始攻击能力及原子攻击成功概率由专家知识库定义，分为3类：容易攻击取0.8；一般攻击取0.6；比较难攻击取0.2；

遍历所有线路，计算被攻击后会对系统有影响的各PMU受到恶意攻击成功的概率以及重要度，当同一个PMU在不同算例中有不同风险指标值，则取最大的那一个；利用计算得到的各区域风险指标的平均值的方法定义阈值，得到风险指标阈值。

5.根据权利要求1所述的数据篡改攻击下电力信息物理系统电压控制策略，其特征是所述的步骤3)采用粒子群算法根据所给目标函数计算调压器变比，具体步骤如下：

电力系统中每个时刻的负荷由动态负荷和静态负荷组成，定义为：

X_m(k)＝X_ms(k)+X_md(k) (8)

其中X_m(k)表示的是k时刻上传到控制中心的m节点的负载数值，等于k时刻的动态负载值加上静态负载值，错误的数据注入攻击会更改此值的大小；

定义数据篡改成功后m节点的负荷值为：

X_m(k+1)＝X_m(k)+η_m(k)(X_m(k)+δ_m(k)) (9)

其中δ_m(k)是虚假数据注入攻击篡改的负荷量，η_m(k)是一个随机变量，代表着攻击的成功与否，是取值为0或1的伯努利分布白色序列，具体取值的概率如下：

Prob{η_m(k)＝1}＝α (10)

Prob{η_m(k)＝0}＝1-α (11)

其中α是数据篡改恶意攻击成功的概率；

定义控制器接收的电压信息，如下所示：

y_m(k+1)＝f(X_m(k+1)) (12)

其中f(X_m(k+1))是指指示负载水平为X_m(k+1)下的电压值；

定义电压的更改量为：

u_m(k+1)＝y_m(k+1)-V_ref (13)

其中V_ref是节点m的参考电压；

经过潮流计算后，k+1时刻分接头要到达的位置为：

调节后的电压满足：

y_m,tap＝y_m(k+1)·[1+n(k+1)] (15)

6.根据权利要求1或5所述的数据篡改攻击下电力信息物理系统电压控制策略，其特征是所述的步骤3)通过求解整个配电系统的目标函数来确定每个装置的操作量，控制器基于粒子群算法确定操作量，调整后的电压不仅要控制在上下限之间，还要在充分平衡的情况下考虑电压裕度的最大化和功率损耗的降低，所以目标函数如以下公式所示：

其中，y_m,tap是调整后节点m的电压，n_tap,min和n_tap,max分别为有载调压器OLTC分接头的最小值和最大值。ξ₁、ξ₂为权重，为了充分考虑到电压偏差最大化和功率损耗的平衡，通过反复试验后加权系数确定为1.0和10.0。

7.根据权利要求1-6中任意一项所述的数据篡改攻击下电力信息物理系统电压控制策略，其特征是所述的电力信息物理系统采用IEEE14节点架构，包含14组母线以及线路各节点对应的n1～n16共16个PMU，将16个PMU按设备打开端口以及可利用漏洞的不同，分成A～G7个区域，每个区域内的PMU被攻击概率相同；

每个区域包含的PMU具体如下：A区域：n13,n16；B区域：n4,n12,n14,n15；C区域：n11；D区域：n6,n7,n8,n9,n10；E区域：n1,n2；F区域：n3；G区域：n5。

Images