防御虛假數(shù)據(jù)注入攻擊的多目標(biāo)優(yōu)化模型

張 杰， 陳佳佳

(山東理工大學(xué)電氣與電子工程學(xué)院， 淄博 255000)

隨著網(wǎng)絡(luò)組件和信息通信技術(shù)的融合，電力基礎(chǔ)設(shè)施逐步向智能電網(wǎng)轉(zhuǎn)型[1]。電力系統(tǒng)的這些進(jìn)步也使得電力系統(tǒng)更加開放，與外部的聯(lián)系日益密切，但是這些進(jìn)步也帶來了新的電力信息物理融合系統(tǒng) (cyber physical system, CPS) 的安全危機(jī)，并且威脅到了電力系統(tǒng)的安全可靠運(yùn)行。具體而言，隨著新的接入點(diǎn)引入電力系統(tǒng)，潛在復(fù)雜的物理攻擊也隨之而來，這些攻擊可以通過誤導(dǎo)電力系統(tǒng)操作者的決策來破壞電力CPS[2]。事實(shí)上，對電網(wǎng)的網(wǎng)絡(luò)物理攻擊并不是單純的猜測，而是既定的事實(shí)，并且已經(jīng)對電力系統(tǒng)帶來了嚴(yán)重的威脅[3]。例如，2015年12月，一種名為“Black Energy”的木馬病毒破壞了烏克蘭地區(qū)的配電系統(tǒng)，導(dǎo)致電力中段，影響了約22.5萬名用戶長達(dá)數(shù)小時，2010年7月，Stuxnet蠕蟲病毒攻擊了伊朗的核設(shè)施，并影響了離心機(jī)的速度，造成了很大的危機(jī)[4-5]。

虛假數(shù)據(jù)注入 (false data injection, FDI) 攻擊是最受關(guān)注的網(wǎng)絡(luò)攻擊之一，F(xiàn)DI攻擊的概念第一次被Liu等[6]提出，如果電網(wǎng)的拓?fù)浣Y(jié)構(gòu)和參數(shù)信息已知，精心合成的惡意數(shù)據(jù)可以繞過能源管理系統(tǒng) (energy management system, EMS) 的壞數(shù)據(jù)檢測 (bad data detection, BDD)，從而對系統(tǒng)造成破壞。在網(wǎng)絡(luò)層，黑客通過注入惡意的測量數(shù)據(jù)，可以破壞系統(tǒng)數(shù)據(jù)的完整性和錯誤的誘導(dǎo)電力系統(tǒng)運(yùn)作中的調(diào)度信息。造成在物理層的電力系統(tǒng)線路過載，甚至造成設(shè)備的損壞進(jìn)而觸發(fā)級聯(lián)故障[7]。因此，F(xiàn)DI攻擊會擾亂智能電網(wǎng)的運(yùn)行，造成經(jīng)濟(jì)損失，更嚴(yán)重的是FDI攻擊會干擾測量數(shù)據(jù)，誤導(dǎo)操作者發(fā)出錯誤的調(diào)度信息。

大規(guī)模的失負(fù)荷 (loss of load demand, LoLD)會造成電力系統(tǒng)的級聯(lián)失效和停電的危害。為了處理這個問題，文獻(xiàn)[8]構(gòu)建了低頻減載的負(fù)荷模型來評估FDI攻擊對微電網(wǎng)的影響，從而降低它對系統(tǒng)造成的危害。文獻(xiàn)[9]運(yùn)用復(fù)雜網(wǎng)絡(luò)理論和熵理論，提出了一種基于元件綜合影響力的安全性風(fēng)險評估方法來預(yù)防大規(guī)模停電事故發(fā)生。另外，一些工作已經(jīng)開始研究如何部署安全防御設(shè)備來防御FDI攻擊。文獻(xiàn)[10]基于不完全信息的多目標(biāo)方法分析了攻擊者和防御者之間的策略交互。然而從可靠性和安全性的角度來看，安全防御設(shè)備的安裝遵從經(jīng)濟(jì)政策優(yōu)先原則，這可能會限制這些設(shè)備的實(shí)際應(yīng)用效果。此外，現(xiàn)有的文獻(xiàn)對電力系統(tǒng)運(yùn)行中防御FDI攻擊的防御預(yù)算和LoLD之間的關(guān)系的研究還很有限。因此，提出多目標(biāo)優(yōu)化模型來減輕FDI攻擊造成的LoLD。該模型在保護(hù)電力系統(tǒng)免受FDI攻擊的最低防御成本、降低電力系統(tǒng)網(wǎng)損和免受停電可能性的最小預(yù)算成本之間進(jìn)行權(quán)衡。

1 虛假數(shù)據(jù)攻擊過程

所謂FDI攻擊是指向調(diào)度系統(tǒng)數(shù)據(jù)采集與監(jiān)控系統(tǒng) (supervisory control and data acquisition, SCADA) 注入惡意數(shù)據(jù)[11]，產(chǎn)生錯誤的調(diào)度信息造成大規(guī)模的LoLD，從而造成安全危害和設(shè)備損壞。FDI攻擊的一個顯著特征是攻擊者可以通過發(fā)起不被檢測的數(shù)據(jù)注入來造成物理損害。如圖1所示，精心合成的虛假數(shù)據(jù) (ɑ) 可以繞過BDD誤導(dǎo)操作者并影響調(diào)度解。隨后，這個錯誤的調(diào)度信號被送到控制中心，使得操作者在錯誤的調(diào)度信息下對系統(tǒng)做出調(diào)度動作，會造成電力系統(tǒng)LoLD，從而達(dá)到攻擊者的目的。

圖1 虛假數(shù)據(jù)注入攻擊過程

2 目標(biāo)函數(shù)構(gòu)建

加裝安全防御設(shè)備可以提高系統(tǒng)防御FDI攻擊的能力，確保電力系統(tǒng)可以安全穩(wěn)定運(yùn)行，如若配置不當(dāng)，將會造成系統(tǒng)失負(fù)荷風(fēng)險提高。因此，從電網(wǎng)經(jīng)濟(jì)性和用戶滿意度角度考慮，應(yīng)當(dāng)做出優(yōu)化?，F(xiàn)以失負(fù)荷最低、網(wǎng)損最低和總成本最低為多目標(biāo)函數(shù)，建立優(yōu)化模型。

2.1 安全防御設(shè)備及電力系統(tǒng)運(yùn)行總成本模型

成本是電力系統(tǒng)運(yùn)作中應(yīng)該考慮的主要問題之一，它關(guān)系著電網(wǎng)運(yùn)行的經(jīng)濟(jì)性能?？偝杀景ò踩烙O(shè)備的購置和運(yùn)作成本，另外還包括發(fā)電機(jī)消耗燃料產(chǎn)生的成本。從防御者的角度看，他們的目的是構(gòu)建以最低的安全防御設(shè)備組合成本達(dá)到最優(yōu)的防御性能的保護(hù)組，因此安全防御成本可表達(dá)為

minFtotal=Cdefense+Cfuel

(1)

(2)

式中：Cdefense為防御成本；Cfuel為發(fā)電機(jī)運(yùn)行中消耗的燃料成本；Cj為第j類防御設(shè)備的購置成本；oj為第j類防御設(shè)備的運(yùn)行成本；Ns為安全防御保護(hù)組的數(shù)量；qi為第i個安全防御保護(hù)組里面安全防御設(shè)備的類型數(shù)量；Pgk為第k個發(fā)電機(jī)的有功輸出，可以通過潮流計算得出；ak、bk和ck分別為第k臺發(fā)電機(jī)的燃料曲線系數(shù)；Ng為系統(tǒng)中發(fā)電機(jī)的數(shù)量。

2.2 失負(fù)荷模型

本文研究中強(qiáng)調(diào)潛在的FDI攻擊與LoLD聯(lián)系的風(fēng)險，LoLD是指電力系統(tǒng)遭受到FDI攻擊后節(jié)點(diǎn)的負(fù)荷隨FDI攻擊的嚴(yán)重程度而丟失的多少。綜合分析FDI攻擊的成功率和嚴(yán)重程度后，將LoLD定義為FDI攻擊成功率與節(jié)點(diǎn)負(fù)荷的乘積。LoLD的值主要取決于FDI成功攻擊的概率，因此FDI攻擊后總的LoLD定義為

(3)

(4)

式中：pai為成功攻擊的概率，這里表示若第i個安全防御保護(hù)組里所有的安全防御設(shè)備均未防御成功才為一次成功的FDI攻擊；PDi為第i個節(jié)點(diǎn)的負(fù)荷需求；qi為被分配在第i個安全保護(hù)組(實(shí)際中安全防御設(shè)備不止一種，安全保護(hù)組為幾種類型安全防御設(shè)備組成)里面的安全防御設(shè)備的類型數(shù)量；n為失負(fù)荷節(jié)點(diǎn)的集合；xij為第j類安全防御設(shè)備被分配在第i個安全防御保護(hù)組里面的冗余量；pdj為安全防御設(shè)備成功防御的概率；Sj為脆弱性；Cj和oj分別為第j類安全防御設(shè)備的購置和運(yùn)行成本；lj為攻擊安全防御設(shè)備j所付出的攻擊成本；m為強(qiáng)度參數(shù)，通常定義為1[10]。

在FDI攻擊的環(huán)境下，如果沒有部署安全防御設(shè)備，那么一次成功的攻擊將會破壞整個系統(tǒng)。因此，安全防御設(shè)備被用來減輕FDI攻擊造成的危害，式(4)中的脆弱性Sj定義為安全防御設(shè)備不能執(zhí)行防御FDI攻擊任務(wù)的能力。這意味著如果脆弱性是0，那么期望的性能(能夠防御FDI攻擊)將會是1；如果脆弱性是1，那么期望的性能將是0。

然而，由于安全防御設(shè)備在實(shí)際中是復(fù)雜的，成功防御的概率不止與脆弱性相關(guān)聯(lián)，而且也與系統(tǒng)的可靠性(rj)有關(guān)。因此，將可靠性考慮在內(nèi)，第j個安全防御設(shè)備能夠成功防御FDI攻擊的概率將會是pdj=(1-Sj)rj。這就意味著可靠性(rj)應(yīng)該被考慮在電力系統(tǒng)運(yùn)作中的一個重要的因素。例如，如果rj是0，那么成功防御的概率已經(jīng)與安全防御設(shè)備的脆弱性毫無關(guān)系；如果rj是1，則成功防御的概率直接與脆弱性相關(guān)。但是在實(shí)際中，由于攻擊環(huán)境和強(qiáng)度的不確定性，可靠性難以達(dá)到1。

2.3 網(wǎng)損模型

由于FDI攻擊造成操作者的錯誤調(diào)度，使得電網(wǎng)的網(wǎng)損出現(xiàn)起伏，會造成網(wǎng)損的增加。因此將網(wǎng)損作為優(yōu)化目標(biāo)是提高電力系統(tǒng)可靠性的重要途徑之一。因此輸電線路的網(wǎng)損為

(5)

式(5)中：Floss為電力系統(tǒng)總的網(wǎng)損；L為總的電力系統(tǒng)支路數(shù)；ri為第i條支路的電阻；Pi、Qi和Ui分別為第i條支路的有功、無功和電壓值。

2.4 多目標(biāo)風(fēng)險規(guī)避模型

風(fēng)險規(guī)避模型(MoRA)的目標(biāo)是降低FDI攻擊后造成的LoLD和網(wǎng)損，并且同時保證電力系統(tǒng)的總成本最小。據(jù)此，MoRA模型構(gòu)建為

(6)

式(6)中：g和h分別為系統(tǒng)的等式約束和不等式約束；X為狀態(tài)變量；U和xij為決策變量；xij為第j種類型的安全防御設(shè)備被分配到第i個安全防御保護(hù)組的數(shù)量，xij屬于集合[0,wi/(Cij+oij)]；wi為第i個安全保護(hù)組的防御資源。

狀態(tài)變量X的表達(dá)式為：XT=[PG1,VL1…VLND,QG1…QGN,S1…SNE]；其中PG1為松弛節(jié)點(diǎn)的有功輸出；VL1和VLND分別為負(fù)荷節(jié)點(diǎn)1和負(fù)荷節(jié)點(diǎn)ND的電壓向量；ND為總的負(fù)荷節(jié)點(diǎn)數(shù)；QG1和QGNG分別為發(fā)電機(jī)機(jī)組1和NG的無功輸出向量，NG為總的發(fā)電機(jī)機(jī)組數(shù)；S1和SNE分別為節(jié)點(diǎn)1和節(jié)點(diǎn)NE的視在功率向量，NE為系統(tǒng)總的節(jié)點(diǎn)數(shù)。

控制變量U的表達(dá)式為UT=[PG2…PGNG,VG1…VGNG,T1…TNT,QC1…QCNC]，其中PG2和PGNG分別為發(fā)電機(jī)機(jī)組2和NG的有功輸出；VG1和VGNG分別為發(fā)電機(jī)機(jī)組1和NG的電壓向量；NG為總的發(fā)電機(jī)機(jī)組數(shù)；T1和TNT分別為變壓器分支1和NT的變壓器分抽頭；QC1和QCNC分別為無功補(bǔ)償裝置1和NC的功率輸出；NT和NC分別為總的變壓器分支和補(bǔ)償裝置。

3 算例仿真

為了驗(yàn)證所提模型的性能，仿真分析構(gòu)建在典型的IEEE 30節(jié)點(diǎn)測試系統(tǒng)中。IEEE 30 節(jié)點(diǎn)測試系統(tǒng)的拓?fù)鋱D如圖2所示。FDI攻擊的位置設(shè)為節(jié)點(diǎn)2、5、7、8和21。從市場購得3種安全防御設(shè)備，這3種安全防御設(shè)備的可靠性和各成本如表1所示[10]。假設(shè)每個安全保護(hù)組的防御資金為6 947美元。采用個人計算機(jī)的MATLAB編程優(yōu)化計算，計算機(jī)平臺為Intel酷睿i7，主頻為2.60 GHz，內(nèi)存為16 GB。

1～30為節(jié)點(diǎn)

如表1所示，如果一個防御設(shè)備的成本很高，那么它將對應(yīng)著很高的可靠性，這說明在保證高可靠性時并不能保證經(jīng)濟(jì)性，這兩個指標(biāo)是相互對立的，應(yīng)該同時考慮。因此構(gòu)建了MoRA模型來保證電力系統(tǒng)遭受FDI攻擊時的防御成本、網(wǎng)損和LoLD三者的均衡。

表1 安全防御設(shè)備的成本和可靠性

由多目標(biāo)進(jìn)化捕食策略 (multiple preys based evolutionary predator and prey strategy, MPEPPS)計算得到的Pareto前沿如圖3所示。從圖3可以很明顯地看出，大的成本對應(yīng)低的風(fēng)險，另外，隨著總成本的增加，失負(fù)荷在減少的同時網(wǎng)損在緩慢增加。這說明不能同時得到一個低成本和低網(wǎng)損而又低失負(fù)荷的解，換句話說，總成本、失負(fù)荷和網(wǎng)損三個目標(biāo)需要同時考慮。此外，從圖3可以很清楚地發(fā)現(xiàn)，最終解的分布具有很好收斂性。

圖3 MPEPPS進(jìn)行獨(dú)立仿真得到的最優(yōu)的帕累托前沿

為了進(jìn)一步分析MPEPPS得到的帕累托解集，采用多屬性決策方法 (technique for order preference by similarity ideal solution， TOPSIS) 獲得最終的調(diào)度解，決策后排名前五的解如表2所示。從表2中可知，并不是總防御成本越高失負(fù)荷越少，如排序第二和第三；也不是總的防御成本越高，網(wǎng)損越大，如排序第三和第四；而是高的防御成本得到了LoLD和網(wǎng)損之和最小，其中防御成本、LoLD和網(wǎng)損的最優(yōu)解分別為30 187美元、1.65 MW和0.18 MW，與只考慮LoLD和總成本兩個目標(biāo)的優(yōu)化(LoLD為1.6 MW和總成本為27 022 美元)相比，雖然總成本提高了3 165美元，但是網(wǎng)損降低了5.12 MW。另外，與未配置安全防御設(shè)備的系統(tǒng)相比，失負(fù)荷降低了184.55 MW，本模型展現(xiàn)了更高的可靠性。這三種安全防御設(shè)備被分配在節(jié)點(diǎn)2、5、7、8和21的數(shù)量分別為(4 2 1)、(5 3 2)、(5 3 1)、(3 1 1)、(4 2 1)。

表2 決策后的五個最優(yōu)解

為了更加直觀地比較加裝安全防御設(shè)備對系統(tǒng)的影響，電壓分布的比較圖如圖4所示。從圖4中可以明顯看到節(jié)點(diǎn)25、26、27、29和30在受到攻擊后處于欠電壓運(yùn)行的狀態(tài)。但是加上安全防御設(shè)備后，電壓全部恢復(fù)到安全運(yùn)行限制以內(nèi)，且與正常運(yùn)行情況下的電壓波動幾乎相當(dāng)?？梢?，本文模型確實(shí)有實(shí)際意義。

圖4 節(jié)點(diǎn)電壓的比較

另外，表3給出了攻擊前后和防御后的電壓均值、方差、最大和最小值進(jìn)行比較?？梢?，加裝防御設(shè)備后的電壓偏差和方差上都優(yōu)于攻擊后的電壓偏差，甚至優(yōu)于正常工作時的電壓情況。結(jié)果表明，利用MoRA模型可以顯著提高電力系統(tǒng)的穩(wěn)定性。

表3 電壓偏差、均值和變量的比較

4 結(jié)論

針對FDI攻擊造成的電力系統(tǒng)失負(fù)荷問題，提出了多目標(biāo)風(fēng)險規(guī)避模型，并通過MPEPPS算法提供帕累托解，最終引用TOPSIS決策方法得到最終的調(diào)度解，得到以下結(jié)論。

(1)通過仿真算例表明，本文提出的多目標(biāo)風(fēng)險規(guī)避模型減輕了FDI攻擊造成的電力系統(tǒng)LoLD，與不配置安全防御設(shè)備相比，失負(fù)荷降低了184.55 MW。另外，與不考慮網(wǎng)損的兩目標(biāo)優(yōu)化相比，網(wǎng)損降低了5.12 MW，該模型可以為電力系統(tǒng)防御FDI攻擊提供模型參考。

(2)模型可以有效權(quán)衡FDI攻擊下防御成本、電力系統(tǒng)網(wǎng)損和失負(fù)荷風(fēng)險，保證了電力系統(tǒng)運(yùn)行的經(jīng)濟(jì)性與供電的可靠性。因此，該模型對抵御FDI攻擊具有一定的實(shí)際意義。本模型也可應(yīng)用于新能源接入下的配電網(wǎng)或微電網(wǎng)針對FDI攻擊的防御中，可以有效地降低FDI攻擊對電力系統(tǒng)的危害。