電力系統(tǒng)網(wǎng)絡(luò)攻擊方法研究綜述

唐云澤 蘇曉茜

電力系統(tǒng)的運(yùn)行與控制需要信息的傳輸和交互，攻擊信息系統(tǒng)會嚴(yán)重影響電力系統(tǒng)的運(yùn)行，嚴(yán)重的情況會導(dǎo)致大停電，如2015年的烏克蘭大停電和2019年的委內(nèi)瑞拉大停電。因此，需要對網(wǎng)絡(luò)攻擊方法進(jìn)行總結(jié)和分析，為網(wǎng)絡(luò)攻擊的防御提供基礎(chǔ)?；诖耍疚氖紫瓤偨Y(jié)了不同信息攻擊方法的原理，然后針對不同的電網(wǎng)設(shè)備分析了可能的信息攻擊方法，最后根據(jù)不同攻擊方法的特征，提出了網(wǎng)絡(luò)攻擊防御的思路。

一、引言

隨著先進(jìn)的計(jì)算機(jī)與通信技術(shù)在電力系統(tǒng)中得到廣泛的應(yīng)用，傳統(tǒng)的電力系統(tǒng)與信息通信系統(tǒng)高度耦合，使電力系統(tǒng)發(fā)展成為信息物理融合電力系統(tǒng)。CPPS通過傳感器網(wǎng)絡(luò)與信息通信網(wǎng)絡(luò)全面、實(shí)時地獲取電力系統(tǒng)的運(yùn)行信息。信息系統(tǒng)增強(qiáng)了現(xiàn)代電力系統(tǒng)的可觀測性與可控性，但同時也使電力系統(tǒng)遭受可能的網(wǎng)絡(luò)攻擊。

作為現(xiàn)代社會的關(guān)鍵基礎(chǔ)設(shè)施，電力系統(tǒng)是網(wǎng)絡(luò)攻擊的高價值目標(biāo)，近年來，國內(nèi)外發(fā)生多起由網(wǎng)絡(luò)攻擊引起的大停電事件。例如，2015年，烏克蘭國家電網(wǎng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致約22.5萬人遭受停電數(shù)小時的困擾，該事件也被認(rèn)為是第一起由網(wǎng)絡(luò)攻擊引起的大停電事件。2019年，委內(nèi)瑞拉古里水電站遭受網(wǎng)絡(luò)攻擊，包括首加拉加斯在內(nèi)的十八個州電力供應(yīng)中斷，導(dǎo)致地鐵無法運(yùn)行與大規(guī)模的交通擁堵，國民經(jīng)濟(jì)遭受巨大損失。

由此可知，一旦電力系統(tǒng)遭受惡意的網(wǎng)絡(luò)攻擊，會造成十分嚴(yán)重的后果。由于通信在電力系統(tǒng)發(fā)、輸、配、用電等方面均有應(yīng)用，造成了網(wǎng)絡(luò)攻擊方式的多樣化，比較典型的攻擊方式有壞數(shù)據(jù)注入攻擊（False Data Injection Attack， FDIA）、拒絕服務(wù)（Denial -of-Service， DoS攻擊、中間人（Man-in-the-Middle， MITM）攻擊和重放攻擊等。因此，總結(jié)和分析電力系統(tǒng)網(wǎng)絡(luò)攻擊方法，了解不同類型的網(wǎng)絡(luò)攻擊，對于檢測識別信息攻擊和制定有效的防御措施具有重要意義。

基于此，本文對近年來CPPS的網(wǎng)絡(luò)攻擊方法的相關(guān)研究進(jìn)行總結(jié)。首先給出網(wǎng)絡(luò)攻擊的定義和不同類型網(wǎng)絡(luò)攻擊的簡單介紹；然后，分析不同攻擊方法的適用場景；最后，總結(jié)了針對網(wǎng)絡(luò)攻擊的安全防御方法。

二、信息攻擊方法

美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）在7628號報(bào)告中提出了網(wǎng)絡(luò)安全三要素，分別為保密性、完整性、可用性，簡稱CIA。網(wǎng)絡(luò)攻擊可以理解為任何破壞CIA安全目標(biāo)的網(wǎng)絡(luò)行為。網(wǎng)絡(luò)攻擊在CPPS領(lǐng)域的定義：以破壞或降低CPPS功能為目的，在未經(jīng)許可情況下對通信系統(tǒng)和控制系統(tǒng)行為進(jìn)行追蹤，利用電力信息通信網(wǎng)絡(luò)中存在的漏洞和安全缺陷，對系統(tǒng)本身或資源進(jìn)行攻擊。

網(wǎng)絡(luò)攻擊的類型繁多，主要包括以下幾種常見的網(wǎng)絡(luò)攻擊方法。

（一）FDIA攻擊

FDIA是一種能干擾電力系統(tǒng)狀態(tài)估計(jì)過程的重要網(wǎng)絡(luò)攻擊。一次成功的FDIA可以導(dǎo)致狀態(tài)估計(jì)器向控制中心輸出錯誤的結(jié)果，從而對電力系統(tǒng)造成物理或經(jīng)濟(jì)上的影響。FDIA通過向傳感器的測量結(jié)果中注入錯誤向量來影響狀態(tài)估計(jì)的結(jié)果。

狀態(tài)估計(jì)可以根據(jù)傳感器的測量值估計(jì)電力系統(tǒng)的狀態(tài)。測量值包括母線電壓、母線的有功無功功率注入、支路的有功無功潮流等。正常的測量數(shù)據(jù)通常能得到接近實(shí)際值的狀態(tài)變量的估計(jì)，而錯誤的測量數(shù)據(jù)會使估計(jì)的結(jié)果偏離實(shí)際值。不良數(shù)據(jù)檢測旨在檢測、識別和消除整個系統(tǒng)中的測量誤差。通常使用測量殘差的二范數(shù)來檢測不良數(shù)據(jù)是否存在。FDIA通過狀態(tài)估計(jì)算法容忍的小測量誤差來避免不良數(shù)據(jù)的檢測。

（二）DoS攻擊

DoS攻擊廣義上指任何導(dǎo)致被攻擊的服務(wù)器不能正常提供服務(wù)的攻擊方式。具體而言，DoS攻擊是指攻擊網(wǎng)絡(luò)協(xié)議存在的缺陷或通過各種手段耗盡被攻擊對象的資源，以使得被攻擊的計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)，直至系統(tǒng)停止響應(yīng)或崩潰的攻擊方式。

要對服務(wù)器進(jìn)行DoS攻擊，主要有以下兩種方法：迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求；使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。

單一的DoS攻擊一般是采用一對一方式，當(dāng)攻擊目標(biāo)CPU運(yùn)行速度、內(nèi)存或網(wǎng)絡(luò)帶寬等各個性能指標(biāo)較低時，它的效果較明顯。但隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)處理能力迅速增強(qiáng)，內(nèi)存大大增加，使得DoS攻擊的難度增加，分布式拒絕服務(wù)（DDoS）攻擊應(yīng)運(yùn)而生。DDoS利用更多的“傀儡機(jī)”來進(jìn)行攻擊，以更大的規(guī)模來攻擊受害者。

（三）MITM攻擊

MITM攻擊是一種間接的入侵攻擊，這種攻擊手段利用系統(tǒng)缺乏身份認(rèn)證的缺點(diǎn)，通過各種技術(shù)手段將受入侵者控制的一臺計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計(jì)算機(jī)之間，這臺計(jì)算機(jī)就被稱為“MITM”。攻擊者可以利用MITM冒充合法參與者，攔截和操縱兩臺通信計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)包，并注入新的惡意數(shù)據(jù)包，而不被對方發(fā)現(xiàn)，從而達(dá)到數(shù)據(jù)篡改與竊取的目的。ARP欺騙與DNS欺騙是兩種常見的MITM攻擊手段。

（四）重放攻擊

重放攻擊是指攻擊者發(fā)送一個目的主機(jī)已接收過的包，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程，破壞認(rèn)證的正確性。重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進(jìn)行。攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認(rèn)證憑據(jù)，之后再把它重新發(fā)給認(rèn)證服務(wù)器。

重放攻擊的基本原理就是把以前竊聽到的數(shù)據(jù)原封不動地重新發(fā)送給接收方。當(dāng)攻擊者知道這些數(shù)據(jù)的作用時，就可以在不知道數(shù)據(jù)內(nèi)容的情況下通過再次發(fā)送這些數(shù)據(jù)以達(dá)到誤導(dǎo)接收端的目的。比如，在CPPS環(huán)境下，電力系統(tǒng)發(fā)生故障時，攻擊者可以發(fā)送正常運(yùn)行時的數(shù)據(jù)，使操作中心誤以為系統(tǒng)仍處于正常運(yùn)行狀態(tài)，從而延誤了故障處理的時間，擴(kuò)大故障影響。同理，電力系統(tǒng)在正常運(yùn)行時，攻擊者可以發(fā)送故障運(yùn)行時的數(shù)據(jù)，導(dǎo)致控制中心發(fā)出錯誤的控制命令。

重放攻擊與MITM攻擊原理類似，都是一種欺騙攻擊，不同的是，對于重放攻擊，攻擊者獲取發(fā)送端發(fā)給接收端的包后，不會做修改，而是在適當(dāng)時機(jī)原封不動發(fā)給接收端。而對于MITM攻擊，攻擊者把自己當(dāng)做發(fā)送端與接收端的中間人，發(fā)送端發(fā)送的信息會被攻擊者截取然后做一些操作再發(fā)給接收端。相對于發(fā)送端來說，攻擊者是接收端，而相對于接收端來說，攻擊者是發(fā)送端。

三、電力系統(tǒng)中不同設(shè)備可能遭受的信息攻擊

網(wǎng)絡(luò)攻擊削弱或破壞二次系統(tǒng)的正常功能來達(dá)到攻擊目的，若SCADA系統(tǒng)、WAMS、AMI等二次系統(tǒng)發(fā)生故障或遭受惡意攻擊，出現(xiàn)信息的中斷、延遲、篡改等，會導(dǎo)致控制中心下達(dá)錯誤指令，決策單元誤動或退出運(yùn)行。下面列出一些典型的網(wǎng)絡(luò)攻擊場景。

（一）SCADA System

SCADA系統(tǒng)用于監(jiān)控國家關(guān)鍵基礎(chǔ)設(shè)施，如智能電網(wǎng)、石油和天然氣、發(fā)電和輸電、制造業(yè)等。在電力系統(tǒng)中，SCADA系統(tǒng)應(yīng)用最為廣泛，作為能源管理系統(tǒng)（EMS）最主要的一個子系統(tǒng)，它可以對現(xiàn)場的運(yùn)行設(shè)備進(jìn)行監(jiān)視和控制，以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報(bào)警等各項(xiàng)功能。

SCADA系統(tǒng)可能遭受的網(wǎng)絡(luò)攻擊主要有：

1.FDIA

針對SCADA系統(tǒng)狀態(tài)估計(jì)的FDIA較為常見。如第二節(jié)所述，狀態(tài)估計(jì)的基本原理是從配置各種儀表的電網(wǎng)的現(xiàn)有測量結(jié)果中推斷電力系統(tǒng)的運(yùn)行狀態(tài)，攻擊者通過向多個傳感器注入錯誤向量達(dá)到攻擊目的。即使?fàn)顟B(tài)估計(jì)有不良數(shù)據(jù)檢測機(jī)制，但是精心構(gòu)建的FDIA可以輕易繞過這種檢測。即使攻擊者缺乏對電網(wǎng)的運(yùn)行信息，同樣可以構(gòu)建FDIA來進(jìn)行攻擊。

2.DoS

SCADA系統(tǒng)的RTU可能遭受DoS攻擊。RTU將接收到的來自傳感器的模擬信號轉(zhuǎn)化成數(shù)字信號，并通過各種分布式網(wǎng)絡(luò)協(xié)議傳輸?shù)娇刂浦行摹TU通過多種通信基礎(chǔ)設(shè)施與主終端單元（MTU）相連。當(dāng)RTU遭受DoS攻擊時，產(chǎn)生的影響是雙向的：一方面，MTU無法從RTU獲取數(shù)據(jù)；另一方面，從MTU發(fā)送的命令可能無法到達(dá)RTU。

3.錯誤順序邏輯攻擊

SCADA系統(tǒng)的控制過程可以看作是參數(shù)值、執(zhí)行時間和時序邏輯的結(jié)合，控制命令的執(zhí)行邏輯有可能遭受惡意攻擊，從而使破壞系統(tǒng)操作，影響物理過程。

4.重放攻擊

攻擊者首先記錄傳感器測量向量，再在適當(dāng)時機(jī)向控制系統(tǒng)發(fā)送記錄的數(shù)據(jù)。在此情況下，控制器無法進(jìn)行閉環(huán)控制，因此在重放攻擊下，無法保證系統(tǒng)的控制性能。

（二）WAMS

WAMS是基于同步相量測量技術(shù)和現(xiàn)代通信技術(shù)，對地域廣闊的電力系統(tǒng)運(yùn)行狀態(tài)（如線路負(fù)載、電壓穩(wěn)定裕度和功率振蕩等）進(jìn)行監(jiān)測分析，為電力系統(tǒng)實(shí)時運(yùn)行和控制服務(wù)的系統(tǒng)。測量的廣域信息具備時間上同步、空間上廣域的優(yōu)點(diǎn)，同時可以根據(jù)GPS時標(biāo)得到同步相量測量的結(jié)果，極大地改善了電力系統(tǒng)的可觀性。相比較于SCADA系統(tǒng)而言，WAMS具有更嚴(yán)格的延遲要求，能實(shí)現(xiàn)對全網(wǎng)同步相角以及電網(wǎng)主要數(shù)據(jù)的實(shí)時高速率采集。其中，PMU是WAMS應(yīng)用的基礎(chǔ)，是WAMS的基本組成單元。

WAMS可能遭受的網(wǎng)絡(luò)攻擊：

1.GSA

PMU是WAMS中基本的測量裝置，利用GPS來為電壓和電流向量附加時間標(biāo)記。然而，同步測量對GPS的依賴使得PMU容易受到GSA。如第二節(jié)對GSA的介紹所述，GSA提供給PMU虛假的時間標(biāo)記，而錯誤的時間標(biāo)記將對電力系統(tǒng)的輸電線路故障檢測、電壓穩(wěn)定性監(jiān)測和事件定位產(chǎn)生影響。

2.Delay Attack

WAMS具有嚴(yán)格的延遲要求，如端到端延遲以及不同PMU的測量值之間的延遲變化。在PMU將帶有時間標(biāo)記的測量數(shù)據(jù)提供給向量數(shù)據(jù)集中器（PDC）時，會受到延遲攻擊。PDC是通信網(wǎng)絡(luò)中的節(jié)點(diǎn)，其中來自多個PMU或PDC的同步相量數(shù)據(jù)被處理，并作為單流被饋送到較高層PDC和/或應(yīng)用。PDC將具有相同時間標(biāo)記的不同PMU的測量值分組到時間標(biāo)記的緩沖區(qū)中。每次PDC接收到帶有新時間標(biāo)記的相量測量時，都會啟動新的時間戳緩沖區(qū)。當(dāng)緩沖區(qū)滿時，PDC將該組測量轉(zhuǎn)發(fā)到其它PDC和/或同步相量應(yīng)用。當(dāng)數(shù)據(jù)傳輸過程中遭受延遲攻擊，那么這些數(shù)據(jù)可能在PDC中被丟棄，使PDC輸出的數(shù)據(jù)不完整。

3.DoS

WAMS同樣會遭受DoS攻擊。如之前所說的，端到端會有很小的延遲，而DoS可以使這種延遲急劇增大，并且部分?jǐn)?shù)據(jù)包會丟失。DoS同樣會使PMU或PDC不可用，這在電力系統(tǒng)發(fā)生故障時，故障的清除會有很大延遲，甚至不作出任何反應(yīng)，最后造成大范圍的停電等事故。

（三）AMI

高級量測體系（AMI）是一個用來測量、收集、儲存、分析和運(yùn)用用戶用電信息的完整的網(wǎng)絡(luò)和系統(tǒng)。它不是一種單一的技術(shù)，而是為消費(fèi)者和系統(tǒng)運(yùn)營商提供智能連接的許多技術(shù)的集成。AMI的智能電表可以用來記錄用戶的用電信息，并通過通信網(wǎng)絡(luò)將這些信息傳送到數(shù)據(jù)中心進(jìn)行處理和分析。數(shù)據(jù)中心也可向智能電表發(fā)送最新的價格信息、斷電警報(bào)，以及升級儀表固件等其他通信信息。

AMI可能遭受的攻擊：

1.多種攻擊協(xié)調(diào)

受利益驅(qū)使，消費(fèi)者可能篡改智能電表中的消費(fèi)數(shù)據(jù)，以降低電費(fèi)或增加發(fā)電量。攻擊者可能同時使用多種攻擊手段。例如，他們可能首先通過淹沒智能儀表的網(wǎng)絡(luò)帶寬來斷開智能儀表的連接，從而使網(wǎng)絡(luò)連接不可用；然后，物理內(nèi)存中的消費(fèi)數(shù)據(jù)會被篡改，甚至被物理攻擊或FDIA刪除。因此，當(dāng)通信網(wǎng)絡(luò)再次可用時，篡改的數(shù)據(jù)甚至沒有數(shù)據(jù)通過網(wǎng)絡(luò)接口發(fā)送。

2.DoS

DoS攻擊是AMI通信網(wǎng)絡(luò)中潛在的網(wǎng)絡(luò)攻擊。在此攻擊中，攻擊者首先選擇一個或多個普通節(jié)點(diǎn)作為傀儡。然后攻擊者發(fā)送包含特定攻擊信息的數(shù)據(jù)包到這些傀儡節(jié)點(diǎn)。當(dāng)傀儡節(jié)點(diǎn)接收這些攻擊包，它們產(chǎn)生大量的路由數(shù)據(jù)包。過多的路由數(shù)據(jù)包會消耗有效的通信帶寬，造成網(wǎng)絡(luò)阻塞，導(dǎo)致AMI的拒絕服務(wù)。

3.DDoS

AMI也有可能遭受危害更大的DDoS攻擊。攻擊者首先需要將易受攻擊的智能儀表識別為代理。由于AMI系統(tǒng)具有大量同構(gòu)設(shè)備的網(wǎng)絡(luò)，因此在單個儀表中發(fā)現(xiàn)的安全漏洞很可能存在于許多其他設(shè)備中。然后，攻擊者需要與大量已被惡意代碼感染的基于IP的智能儀表通信，操縱這些智能儀表。當(dāng)攻擊者啟動DDoS攻擊時，AMI服務(wù)的可用性被中斷，這可能導(dǎo)致公用事業(yè)公司遭受重大損失。

4.MITM

在AMI的通信網(wǎng)絡(luò)中，鄰域網(wǎng)（NAN）通常是固定的無線網(wǎng)絡(luò)，面臨許多安全挑戰(zhàn)。攻擊者可以對此發(fā)動MITM攻擊，攔截兩個合法主機(jī)之間的通信，這可以使攻擊者從智能電表和數(shù)據(jù)集中器接收數(shù)據(jù)包，并向接收器注入惡意代碼和數(shù)據(jù)。

（四）智能變電站

智能變電站是采用先進(jìn)、可靠、集成、低碳、環(huán)保的智能設(shè)備，以全站信息數(shù)字化、通信平臺網(wǎng)絡(luò)化、信息共享標(biāo)準(zhǔn)化為基本要求，自動完成信息采集、測量、控制、保護(hù)、計(jì)量和監(jiān)測等基本功能，并可根據(jù)需要支持電網(wǎng)實(shí)時自動控制、智能調(diào)節(jié)、在線分析決策、協(xié)同互動等高級功能的變電站。

智能變電站可能遭受的攻擊：

1. FDIA

針對單個變電站的FDIA可以破壞能源管理系統(tǒng)（EMS）中的自動電壓控制（AVC）模塊。這種攻擊由惡意程序進(jìn)行，惡意程序被插入到目標(biāo)變電站的監(jiān)控系統(tǒng)中。然后，通過修改測量值來試圖誤導(dǎo)AVC，觸發(fā)本地或者系統(tǒng)級的中斷。

2.延遲攻擊

現(xiàn)代電力系統(tǒng)的各種應(yīng)用都需要準(zhǔn)確可靠的時間信號，測量和事件的時間需要對齊以便進(jìn)行正確的決策與操作。精確時間協(xié)議（PTP）作為首選時間協(xié)議，能為系統(tǒng)中的傳感器、執(zhí)行器以及其他終端設(shè)備進(jìn)行亞微秒級同步。變電站的PTP會受到延遲攻擊。攻擊者通過軟件或硬件將所需的延遲引入PTP信息交換路徑中，以此來操控所連接設(shè)備的時鐘。設(shè)備時間的不匹配會對電力系統(tǒng)的運(yùn)行操作、電網(wǎng)調(diào)度、事故分析等產(chǎn)生不利影響。

3.DoS

面向通用對象的變電站事件（G O O S E）在IEC61850標(biāo)準(zhǔn)中用于在變電站網(wǎng)絡(luò)系統(tǒng)中分發(fā)事件數(shù)據(jù)，實(shí)現(xiàn)多智能電子設(shè)備（IED）之間的信息傳遞，包括傳輸跳合閘信號等。針對GOOSE的欺騙攻擊使得攻擊者可以發(fā)布發(fā)布虛假的數(shù)據(jù)包，接收方的設(shè)備錯誤地認(rèn)為它們正在接收由受信任或安全實(shí)體發(fā)送的有效數(shù)據(jù)包，這可能導(dǎo)致斷路器誤動等后果。GOOSE也會受到DoS攻擊，這種攻擊會導(dǎo)致GOOSE的丟包和延遲，從而影響IED之間的信息交換。

四、結(jié)論

網(wǎng)絡(luò)安全在CPPS中具有重要地位，已引起了政府和各學(xué)術(shù)界的廣泛關(guān)注。本文對CPPS的各種網(wǎng)絡(luò)攻擊方法進(jìn)行了綜述。本文介紹了FDIA、DoS、MITM、重放攻擊這幾種典型的網(wǎng)絡(luò)攻擊的具體實(shí)現(xiàn)原理。介紹了SCADA、WAMS、AMI及智能變電站的基本組成，對這些系統(tǒng)可能遭受的網(wǎng)絡(luò)攻擊進(jìn)行總結(jié)。

作者單位：唐云澤 陸軍參謀部機(jī)要密碼室蘇曉茜 煙臺市光明電力服務(wù)有限責(zé)任公司