電網(wǎng)信息物理系統(tǒng)數(shù)據(jù)安全博弈模型

◆劉武斌 彭華廈

?

電網(wǎng)信息物理系統(tǒng)數(shù)據(jù)安全博弈模型

◆劉武斌 彭華廈

（湖南工業(yè)大學(xué)電氣與信息工程學(xué)院 湖南 412007）

借助信息物理融合系統(tǒng)（Cyber-Physical System，CPS）的理論基礎(chǔ)所形成的電網(wǎng)信息物理系統(tǒng)（Grid Cyber-Physical System，GCPS）理念是實(shí)現(xiàn)電力系統(tǒng)向下一代智能電網(wǎng)發(fā)展的重要保障。GCPS在滿足信息系統(tǒng)（信息層）與物理系統(tǒng)（物理層）深度融合的同時(shí)，信息系統(tǒng)也為電網(wǎng)帶來(lái)了一系列網(wǎng)絡(luò)安全問題，深度的融合性注定了其將殃及物理系統(tǒng)。本文著重研究考慮利用博弈理論分析參與者（即電網(wǎng)破壞者與電網(wǎng)管理者）在數(shù)據(jù)安全方面的攻防對(duì)壘問題，分析壞數(shù)據(jù)注入攻擊對(duì)狀態(tài)估計(jì)的影響及繞過壞數(shù)據(jù)檢測(cè)器的一般機(jī)理，建立GCPS安全防御模型，最后通過仿真模擬模型的工作機(jī)制。

電網(wǎng)信息物理系統(tǒng)；壞數(shù)據(jù)注入攻擊；不完全信息動(dòng)態(tài)博弈；精煉貝葉斯均衡

0 引言

GCPS作為二元異構(gòu)復(fù)合網(wǎng)絡(luò)，信息網(wǎng)絡(luò)系統(tǒng)的大面積覆蓋必將原有的網(wǎng)絡(luò)安全威脅帶入電網(wǎng)中，最終危及物理實(shí)體。其安全問題包括信息系統(tǒng)中離散事件的網(wǎng)絡(luò)安全和物理系統(tǒng)中的連續(xù)時(shí)間實(shí)體的故障，以及由兩者交互耦合、相互作用而形成的融合性風(fēng)險(xiǎn)[1-4]，當(dāng)某空間的網(wǎng)絡(luò)發(fā)生安全事故時(shí)，除了造成本空間內(nèi)網(wǎng)絡(luò)部分組件被破壞，同時(shí)也會(huì)導(dǎo)致另一空間的網(wǎng)絡(luò)中與該網(wǎng)絡(luò)組件相依存的組件損壞或失效，進(jìn)而再引發(fā)本空間中與之關(guān)聯(lián)的另一組件故障，如此反復(fù)，故障在兩個(gè)網(wǎng)絡(luò)之間不斷傳遞并疊加，直至將故障連鎖傳播到整個(gè)GCPS。

文獻(xiàn)[5] 面向智能電網(wǎng)的信息物理系統(tǒng)安全給出了試驗(yàn)平臺(tái)的基本構(gòu)架、作用及評(píng)估，認(rèn)為更智能的電網(wǎng)的發(fā)展將取決于增加信息和通信技術(shù)（Information and Communication Technology，ICT）的部署，以支持新型通信和控制功能，而這種額外的依賴性也增加了來(lái)自網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，設(shè)計(jì)具有足夠網(wǎng)絡(luò)安全的系統(tǒng)，在很大程度上取決于代表性環(huán)境的可用性，例如測(cè)試平臺(tái)，其可以評(píng)估當(dāng)前的問題和未來(lái)的想法。文獻(xiàn)還提供了通信和物理系統(tǒng)組件如何識(shí)別各種測(cè)試平臺(tái)研究應(yīng)用程序、如何支持這些應(yīng)用程序，使用在愛荷華州立大學(xué)的PowerCyber測(cè)試平臺(tái)來(lái)評(píng)估了幾個(gè)攻擊場(chǎng)景，利用隔離和協(xié)調(diào)方法來(lái)演示了可用性和完整性攻擊，并基于物理系統(tǒng)的電壓和轉(zhuǎn)子角穩(wěn)定性來(lái)評(píng)估這些攻擊。Sridhar S.等[6]則強(qiáng)調(diào)了網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全與電力應(yīng)用安全相結(jié)合，以預(yù)防、減輕和容忍網(wǎng)絡(luò)攻擊的重要性。其基于物理電力應(yīng)用和支持性網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性，引入了一種分層方法來(lái)評(píng)估風(fēng)險(xiǎn)，提出分類以突出支持智能電網(wǎng)所需的網(wǎng)絡(luò)物理控制與必須的通信和計(jì)算之間的依賴性防止網(wǎng)絡(luò)攻擊，還介紹了目前旨在加強(qiáng)智能電網(wǎng)應(yīng)用和基礎(chǔ)設(shè)施安全的研究工作和確定當(dāng)前的挑戰(zhàn)。Mitchell R.等[7]開發(fā)了基于隨機(jī)Petri網(wǎng)的分析模型，以捕獲信息物理系統(tǒng)的對(duì)手行為與防御之間的動(dòng)態(tài)，其考慮了幾種類型的故障，包括可能發(fā)生在信息物理系統(tǒng)上的損耗故障、滲透失敗和過濾失敗，以現(xiàn)代化電網(wǎng)為例，文獻(xiàn)說明了參數(shù)化過程，相應(yīng)的結(jié)果揭示了最優(yōu)設(shè)計(jì)條件，包括入侵檢測(cè)間隔和冗余水平，在此基礎(chǔ)上，現(xiàn)代化電網(wǎng)的平均故障時(shí)間最大化。另外，作者還發(fā)現(xiàn)在使用冗余提高整體系統(tǒng)的可靠性的過程中，存在過濾失敗、磨損失效和滲透失效之間的設(shè)計(jì)權(quán)衡。

文章基于上述背景首先介紹了壞數(shù)據(jù)注入攻擊成功實(shí)現(xiàn)的基本原理，并分析了其對(duì)電網(wǎng)系統(tǒng)的影響；再者，根據(jù)壞數(shù)據(jù)注入攻擊成功實(shí)現(xiàn)的條件，利用博弈理論中的不完全信息動(dòng)態(tài)博弈分析了攻擊者與防御者之間的攻防博弈的一般機(jī)理，并以其對(duì)應(yīng)的精煉貝葉斯均衡求解量化作為防御者可制定的最優(yōu)防御策略；最后通過仿真模擬了博弈模型的運(yùn)行機(jī)制，得出了排除壞數(shù)據(jù)的仿真結(jié)果。

1 壞數(shù)據(jù)注入攻擊

如圖1所示，為了監(jiān)測(cè)和控制這種GCPS的行為動(dòng)作，SCADA用于向連接到變電站的遠(yuǎn)程終端單元（RTU）傳輸測(cè)量數(shù)據(jù)、狀態(tài)信息和斷路器信號(hào)。對(duì)于GCPS這樣的大規(guī)模系統(tǒng)，感知層丟失數(shù)據(jù)和傳感器失效是很常見。因此輸入的數(shù)據(jù)通常被輸送到所謂的狀態(tài)估計(jì)器中，該估計(jì)器向控制中心的能量管理系統(tǒng)（EMS）和各種操作內(nèi)容（電能調(diào)度、故障分析和最優(yōu)能源分配）提供所期望的準(zhǔn)確信息。

圖1 感知執(zhí)行層中的壞數(shù)據(jù)注入攻擊

錯(cuò)誤數(shù)據(jù)可以通過狀態(tài)估計(jì)器及其壞數(shù)據(jù)檢測(cè)（BDD）系統(tǒng)刪除掉，BDD系統(tǒng)通過檢查接收到的數(shù)據(jù)（圖1中的z）合理匹配電網(wǎng)的物理模型來(lái)工作。攻擊者通過協(xié)調(diào)攻擊測(cè)量數(shù)據(jù)z來(lái)避免觸發(fā)BDD系統(tǒng)，從而躲避了被刪除的危機(jī)。攻擊者可以通過攻擊RTU（A1），篡改異構(gòu)通信網(wǎng)絡(luò)（A2）或通過局域網(wǎng)控制中心（A3）進(jìn)入SCADA系統(tǒng)來(lái)破壞這些數(shù)據(jù)。

假設(shè)各母線電壓幅值相等并且均為1，不計(jì)線路電阻，則無(wú)功功率不存在于量測(cè)值中，狀態(tài)變量只有電壓相角，則狀態(tài)變量和量測(cè)值之間滿足線性關(guān)系，得直流潮流方程：

原始數(shù)據(jù)中不可避免地會(huì)由于通信系統(tǒng)受到干擾或偶然故障等原因而出現(xiàn)不良數(shù)據(jù)，從而影響狀態(tài)估計(jì)的精度。因此，殘差方程表達(dá)式為：

此時(shí)，測(cè)量數(shù)據(jù)中的壞數(shù)據(jù)無(wú)法在采用基于殘差的不良數(shù)據(jù)檢測(cè)方法的情況下被發(fā)現(xiàn)，攻擊者可以任意篡改量測(cè)值和狀態(tài)變量值，危害到GCPS的安全穩(wěn)定運(yùn)行。

2 不完全信息動(dòng)態(tài)博弈

圖2 博弈過程

并由貝葉斯公式，有：

3 仿真模擬

表1 博弈元素分配

由圖3可得博弈模型的博弈過程，圖4中圓圈數(shù)據(jù)點(diǎn)被有效地劃歸為壞數(shù)據(jù)注入點(diǎn)。

圖3 博弈過程

圖4 博弈效果

4 結(jié)語(yǔ)

文章研究旨在建立有效的數(shù)據(jù)安全博弈模型，為主動(dòng)預(yù)測(cè)和防御的實(shí)現(xiàn)建立基礎(chǔ)。從壞數(shù)據(jù)注入攻擊這一角度闡述了攻擊者對(duì)GCPS成功實(shí)現(xiàn)攻擊的條件，根據(jù)這一量化條件，確定博弈參與人為不完全信息動(dòng)態(tài)博弈，作為防御方的電網(wǎng)管理人員可根據(jù)精煉貝葉斯均衡解得出最佳防御策略集合，最后根據(jù)仿真結(jié)果得出該博弈模型的有效性。

[1]Khaitan S K, McCalley J D. Cyber physical system approach for design of power grids: A survey[C]//2013 IEEE Power & Energy Society General Meeting. IEEE，2013.

[2]Davis K R, Davis C M, Zonouz S A, et al. A cyber-physical modeling and assessment framework for power grid infrastructures[J]. IEEE Transactions on Smart Grid，2015.

[3]Pi Y, Zhang Y, Wang X, et al. A cyber-physical system framework for smart grid wireless communications[C]//ICT Convergence (ICTC), 2013 International Conference on. IEEE，2013.

[4]Tang Y, Li M, Wang Q. A framework of theoretical research on load control in grid cyber physical system[C]//Cyber Technology in Automation, Control, and Intelligent Systems (CYBER), 2016 IEEE International Conference on. IEEE，2016.

[5]Hahn A, Ashok A, Sridhar S, et al. Cyber-physical security testbeds: Architecture, application, and evaluation for smart grid[J]. IEEE Transactions on Smart Grid，2013.

[6]Sridhar S, Hahn A, Govindarasu M. Cyber–physical system security for the electric power grid[J]. Proceedings of the IEEE，2012.

[7]Mitchell R, Chen R. Modeling and analysis of attacks and counter defense mechanisms for cyber physical systems[J]. IEEE Transactions on Reliability，2016.

[8]Liu Y, Ning P, Reiter M K. False data injection attacks against state estimation in electric power grids[J]. ACM Transactions on Information and System Security (TISSEC)，2011.

[9]Teixeira A, Dán G, Sandberg H, et al. A cyber security study of a SCADA energy management system: Stealthy deception attacks on the state estimator[J]. IFAC Proceedings Volumes，2011.

[10]Xie L, Mo Y, Sinopoli B. False data injection attacks in electricity markets[C]//Smart Grid Communications (SmartGridComm), 2010 First IEEE International Conference on. IEEE，2010.

[11]Wang D, Guan X, Liu T, et al. Extended distributed state estimation: a detection method against tolerable false data injection attacks in smart grids[J]. Energies，2014.

[12]Chuang A S，Wu F，Varaiya P．A game-theoretic model for generation expansion planning：problem formulation and numerical comparisons[J].IEEE Transactions on Power Systems，2001.

[13]Orths A，Styczynski Z A．Game theoretical approach to power network planning[C]//2001 IEEE Porto Power Tech Proceedings，Porto，2001.

[14]Shengwei Mei，Yingying Wang，F(xiàn)eng Liu，et al．Game approaches for hybrid power system planning[J]．IEEE Transactions on Sustainable Energy，2012.

[15]Bu S, Yu F R. A game-theoretical scheme in the smart grid with demand-side management: Towards a smart cyber-physical power infrastructure[J]. IEEE Transactions on Emerging Topics in Computing，2013.

[16]Marden J R，Ruben S D，Pao L Y．A Model-free approach to wind farm control using game theoretic methods [J]．IEEE Transactions on Control Systems Technology，2013.