數(shù)字化新型電力系統(tǒng)攻擊與防御方法研究綜述

楊 挺，許哲銘，趙英杰，2，翟 峰，2

（1.智能電網(wǎng)教育部重點實驗室（天津大學(xué)），天津市 300072；2.中國電力科學(xué)研究院有限公司，北京市 100192）

0 引言

隨著計算機技術(shù)、通信網(wǎng)絡(luò)和智能設(shè)備的發(fā)展，傳統(tǒng)以物理設(shè)備為核心的能源電力系統(tǒng)通過無處不在的傳感技術(shù)、先進的測量技術(shù)和強大的信息處理技術(shù)，逐漸演變?yōu)閿?shù)字技術(shù)轉(zhuǎn)型與用戶需求驅(qū)動變革的新型電力系統(tǒng)，推動“源網(wǎng)荷儲”的互動融合［1］。新型電力系統(tǒng)是一個集控制、計算、通信于一體的多維異構(gòu)系統(tǒng)，通過信息通信網(wǎng)絡(luò)與電力物理一次側(cè)設(shè)備的深度耦合和先進的信息技術(shù)及控制技術(shù)，有效提高了系統(tǒng)的穩(wěn)定性、魯棒性、高效性和可靠性，是實現(xiàn)“碳達峰·碳中和”目標的重要手段，也是貫徹能源安全新戰(zhàn)略的時代需要［2-3］。

在這個背景下，數(shù)字化轉(zhuǎn)型成為了電力系統(tǒng)發(fā)展的關(guān)鍵一環(huán)，主要體現(xiàn)在如下方面:

1）應(yīng)對新能源接入的挑戰(zhàn):隨著可再生能源的大量接入，電力系統(tǒng)的結(jié)構(gòu)日益復(fù)雜化。數(shù)字化技術(shù)能夠有效地協(xié)調(diào)靈活性資源，提高可再生能源的消納能力，有助于實現(xiàn)低碳能源轉(zhuǎn)型的目標。

2）提高電力系統(tǒng)的可靠性和穩(wěn)定性:數(shù)字化技術(shù)可以實時監(jiān)測電力系統(tǒng)的運行狀態(tài)，及時發(fā)現(xiàn)并處理故障，從而提高系統(tǒng)的可靠性和穩(wěn)定性。

3）優(yōu)化資源配置:數(shù)字化技術(shù)可以實現(xiàn)對電力市場的實時監(jiān)控和分析，為決策者提供有力支持，有助于實現(xiàn)資源的優(yōu)化配置。

4）促進智能電網(wǎng)的發(fā)展:數(shù)字化技術(shù)為智能電網(wǎng)提供了基礎(chǔ)設(shè)施，有助于提高電力系統(tǒng)的智能化水平，滿足未來電力需求的變化。

然而，數(shù)字化在賦予新型電力系統(tǒng)智能感知、高速通信和智能決策優(yōu)化運行的同時，也帶來了網(wǎng)絡(luò)層面與物理層面的安全問題，主要表現(xiàn)在如下方面:

1）海量數(shù)據(jù)篡改問題:隨著數(shù)字化轉(zhuǎn)型的推進，新型電力系統(tǒng)中產(chǎn)生的數(shù)據(jù)量迅速增長，包含實現(xiàn)狀態(tài)辨識和故障診斷的數(shù)據(jù)采集與監(jiān)控（supervisory control and data acquisition，SCADA）系統(tǒng)采樣數(shù)據(jù)、相量測量單元（phasor measurement unit，PMU）采集的節(jié)點相位角、電壓和電流幅值數(shù)據(jù)以及系統(tǒng)敏感運行數(shù)據(jù)等。一方面，攻擊者通過網(wǎng)絡(luò)攻擊手段，竊取、泄露這些數(shù)據(jù)來實現(xiàn)不法目的；另一方面，攻擊者通過篡改采集數(shù)據(jù)、負荷數(shù)據(jù)等，影響新型電力系統(tǒng)的調(diào)度決策和運行安全。

2）高速通信網(wǎng)絡(luò)堵塞信道、虛假同步問題:隨著5G 技術(shù)的引入和大量通信終端設(shè)備的接入，包括路由器、交換機、光纖通信設(shè)備、無線通信設(shè)備等，依托同步數(shù)字層次結(jié)構(gòu)（synchronous digital hierarchy，SDH）等高速可靠傳輸技術(shù)的新型電力系統(tǒng)各個信息終端設(shè)備高效互聯(lián)通信，實現(xiàn)數(shù)據(jù)的實時傳輸和處理。借助各通信設(shè)備對時間同步的依賴性，攻擊者通過發(fā)送虛假的同步信息來擾亂系統(tǒng)，占用帶寬阻塞信道使系統(tǒng)無法正常運行，導(dǎo)致服務(wù)通信中斷。

3）智能終端設(shè)備物理安全問題:數(shù)字化轉(zhuǎn)型使得智能終端設(shè)備在新型電力系統(tǒng)中越來越重要，物理層大量的電力一次設(shè)備通過智能電子設(shè)備（intelligent electronic device，IED）、饋線終端單元（feeder terminal unit，F(xiàn)TU）、遠程終端單元（remote terminal unit，RTU）、數(shù)據(jù)傳輸單元（data transfer unit，DTU）與信息通信系統(tǒng)相連，其中，IED 包括保護繼電器、故障錄波器、電能質(zhì)量監(jiān)測儀表等完成泛在感知數(shù)據(jù)采集、邊緣計算，RTU 負責采集電力系統(tǒng)現(xiàn)場的開關(guān)狀態(tài)、電壓、電流、有功功率、無功功率等數(shù)據(jù)。這些設(shè)備面臨物理攻擊的風險，如盜竊、損壞或篡改等，這將導(dǎo)致設(shè)備功能喪失、數(shù)據(jù)泄露或系統(tǒng)癱瘓等嚴重后果。

文獻［4］指出相互依賴的網(wǎng)絡(luò)由于現(xiàn)有的交互式鏈接，比任何單一的網(wǎng)絡(luò)更脆弱，更容易造成災(zāi)難性的一連串故障。因此，新型電力系統(tǒng)在其物理系統(tǒng)固有漏洞的保護與針對網(wǎng)絡(luò)系統(tǒng)攻擊的防御方面都面臨諸多新挑戰(zhàn)。特別是近些年頻頻發(fā)生信息側(cè)的新型電力系統(tǒng)攻擊事件，通過跨域傳播導(dǎo)致電力系統(tǒng)大規(guī)模連鎖故障。全球首個導(dǎo)致電力系統(tǒng)大規(guī)模癱瘓的信息-物理協(xié)同攻擊（coordinated cyberphysical attack，CCPA）發(fā)生在2015 年，烏克蘭電網(wǎng)信息系統(tǒng)被植入BlackEnergy 病毒，導(dǎo)致輸電線路連續(xù)跳閘，系統(tǒng)無法正常重啟，造成8 萬戶居民停電［5-6］。

近年來，全球范圍內(nèi)已發(fā)生多起針對電力系統(tǒng)的大規(guī)模攻擊事件。2013 年，美國多家工業(yè)和能源相關(guān)企業(yè)遭受來自“蜻蜓”惡意軟件的網(wǎng)絡(luò)攻擊，導(dǎo)致大量能源數(shù)據(jù)泄露［7］；2014 年，美國加利福尼亞州圣何塞附近的一個變電站遭受武裝人員槍擊，17 臺巨型變壓器被物理破壞，該變電站被迫關(guān)閉了1 個月［8］；2016 年，以色列電力局遭受未知網(wǎng)絡(luò)攻擊，導(dǎo)致監(jiān)管機構(gòu)計算機系統(tǒng)癱瘓數(shù)周［9-10］；2020 年，巴西的電力公司受到Sodinokibi 惡意軟件的網(wǎng)絡(luò)攻擊，被黑客勒索1 400 萬美元贖金，大量電力數(shù)據(jù)被鎖定［11-12］。

從上述攻擊事件可以看出，針對數(shù)字化轉(zhuǎn)型的新型電力系統(tǒng)的攻擊方式主要為網(wǎng)絡(luò)攻擊、CCPA和物理攻擊。本文第2 章針對新型電力系統(tǒng)已出現(xiàn)或可能面臨的多種攻擊類型總結(jié)分類，第3 章對新型電力系統(tǒng)安全防御的方法從攻擊前、攻擊中和攻擊后3 個階段進行歸納總結(jié)。最后，提出當前新型電力系統(tǒng)安全性研究的不足，對未來技術(shù)發(fā)展進行了展望。

1 新型電力系統(tǒng)攻擊模式及分析

新型電力系統(tǒng)是集物理設(shè)備系統(tǒng)、通信系統(tǒng)、控制系統(tǒng)、繼電保護系統(tǒng)和配電管理系統(tǒng)于一體的集成、互聯(lián)和智能系統(tǒng)，實現(xiàn)電力系統(tǒng)的實時監(jiān)測、快速響應(yīng)和自動調(diào)節(jié)，提高了電力系統(tǒng)的運行效率和穩(wěn)定性，有效處理和分析海量電力數(shù)據(jù)，實現(xiàn)對電力資源的優(yōu)化配置和能源管理，降低能源消耗和減少環(huán)境污染。

然而，依賴于計算機系統(tǒng)、控制軟件和通信技術(shù)的新型電力系統(tǒng)，涌現(xiàn)出的這些多元主體和多層次市場之間需要進行大量的信息數(shù)據(jù)交互和協(xié)調(diào)，數(shù)字技術(shù)所存在的安全隱患使得新型電力系統(tǒng)極易受到網(wǎng)絡(luò)攻擊。各單元通過互聯(lián)網(wǎng)絡(luò)相互連接，使得攻擊者可以從一個設(shè)備入侵整個系統(tǒng)，增加了系統(tǒng)的攻擊面，為攻擊者提供了入侵新型電力系統(tǒng)的便利機會。如圖1 所示，新型電力系統(tǒng)控制層主要包含電力系統(tǒng)的監(jiān)測、控制、優(yōu)化和管理，雖防御能力最強，但攻擊者通過數(shù)據(jù)竊取篡改、植入病毒、偽裝終端破壞干擾控制層的終端，對新型電力系統(tǒng)造成的危害最大。網(wǎng)絡(luò)層主要負責新型電力系統(tǒng)各個節(jié)點之間的數(shù)據(jù)傳輸和交換，攻擊者主要通過堵塞信息通路或篡改傳輸數(shù)據(jù)實現(xiàn)其攻擊目的；物理層主要涵蓋了電力系統(tǒng)的發(fā)電廠、變電站、輸電線路、配電網(wǎng)等物理設(shè)施，以及新型電力系統(tǒng)高滲透的新能源發(fā)電端與電動汽車用戶端，其物理屬性導(dǎo)致防御能力弱，常被攻擊者作為攻擊突破口。因此，本章從數(shù)據(jù)攻擊、網(wǎng)絡(luò)攻擊和物理攻擊3 個方面介紹數(shù)字化轉(zhuǎn)型下的新型電力系統(tǒng)攻擊模式及分析。

1.1 數(shù)據(jù)攻擊

新型電力系統(tǒng)控制層實現(xiàn)如負荷頻率控制、電壓控制、調(diào)度自動化等自動控制功能，對監(jiān)控中心的控制命令執(zhí)行相應(yīng)的控制策略，如調(diào)整發(fā)電機功率輸出、調(diào)節(jié)變壓器的抽頭位置等。其中，包括電網(wǎng)拓撲結(jié)構(gòu)、電力負荷數(shù)據(jù)、設(shè)備狀態(tài)信息、運行指標等海量敏感數(shù)據(jù)，一旦受到數(shù)據(jù)攻擊，將造成新型電力系統(tǒng)運行失穩(wěn)、決策誤判、市場混亂等嚴重后果。常見的數(shù)據(jù)攻擊有虛假數(shù)據(jù)注入攻擊（false data injection attack，F(xiàn)DIA）、數(shù)據(jù)重放攻擊（data replay attack，DRA）、中 間 人 攻 擊（man-in-the-middle attack，MiTMA）。

1.1.1 FDIA

FDIA 是一種新興的攻擊方式，特別是針對新型電力系統(tǒng)的信息-物理深度耦合特質(zhì)，其通過惡意篡改采樣端量測數(shù)據(jù)以及控制端狀態(tài)估計（state estimation，SE）結(jié)果，造成對物理系統(tǒng)運行狀態(tài)的誤判或控制執(zhí)行的誤操作。在新型電力系統(tǒng)數(shù)字化轉(zhuǎn)型中，由于數(shù)字技術(shù)的進步和用戶需求的變化，電力系統(tǒng)呈現(xiàn)出復(fù)雜、高度分散、具有海量設(shè)備數(shù)據(jù)的特征，存在更大的潛在FDIA 攻擊威脅。如以采集的電氣量數(shù)據(jù)作為攻擊對象，對SCADA 系統(tǒng)的采樣電壓、節(jié)點功率注入和線路潮流數(shù)據(jù)等［13］進行攻擊，影 響 電 力 系 統(tǒng) 的SE［14］、負 載 頻 率 控 制（load frequency control，LFC）等［15］，使得SCADA 系統(tǒng)和自動發(fā)電控制（automatic generation control，AGC）系統(tǒng)錯誤判定，下達錯誤指令致使系統(tǒng)失穩(wěn)［16］。

目前，F(xiàn)DIA 是嚴重危害電力系統(tǒng)的安全可靠運行的主要威脅之一。為了實現(xiàn)新型電力系統(tǒng)新能源高比例并網(wǎng)，需要加強對新能源的預(yù)測、調(diào)度和控制，這些都依賴于數(shù)據(jù)的準確性和完整性。攻擊者在電力系統(tǒng)中的某些節(jié)點之間注入虛假的新能源發(fā)電量、電力需求、電力調(diào)度指令數(shù)據(jù)，從而干擾新能源的并網(wǎng)運行。圖2 為典型的FDIA 作用在新型電力系統(tǒng)中的作用過程。

部分學(xué)者已經(jīng)開始針對FDIA 開展研究，在FDIA 實現(xiàn)的可能性方面，文獻［17］研究了FDIA 對新型電力系統(tǒng)多樣化智能終端設(shè)備攻擊的各種可能性。文獻［18］討論了如何通過修改RTU 的固件來實現(xiàn)FDIA。文獻［19］發(fā)現(xiàn)一旦攻擊者仿冒合法節(jié)點并獲得設(shè)備的物理控制權(quán)，便可以通過FDIA 注入惡意代碼扭曲其輸出，從而在整個系統(tǒng)中傳播虛假信息。為此，文獻［20］基于行為分析的防御策略監(jiān)控設(shè)備的行為模式以應(yīng)對FDIA。文獻［21］提出一種基于有限時間控制理論和Paillier 密碼系統(tǒng)的新型電力系統(tǒng)隱私保護算法，以抵抗通信鏈路密文傳輸過程中的FDIA。在討論FDIA 對控制層影響方面，文獻［22］舉例說明了FDIA 通過對新型電力系統(tǒng)注入虛假測量數(shù)據(jù)，導(dǎo)致控制監(jiān)測中心不必要的重復(fù)發(fā)電調(diào)度和系統(tǒng)減載，最終導(dǎo)致不穩(wěn)定狀態(tài)。文獻［23］則具體分析了針對AGC 系統(tǒng)的FDIA，詳細闡述了攻擊導(dǎo)致發(fā)電機頻率偏差的危險。文獻［24］研究了針對交流微電網(wǎng)的FDIA，通過測量數(shù)據(jù)造假可導(dǎo)致二次電壓控制器設(shè)定不準確的設(shè)定值。

1.1.2 DRA

在新型電力系統(tǒng)中，DRA 是數(shù)據(jù)偽造攻擊的重要方式，攻擊者通過攔截、抓包的方式，向目標主機重復(fù)發(fā)送其已經(jīng)接收過的的監(jiān)控數(shù)據(jù)，從而達到欺騙系統(tǒng)的目的，主要用于破壞身份認證的正確性［25］。例如，在無線終端接入系統(tǒng)的認證協(xié)議交互過程中，對新型電力系統(tǒng)開展重放攻擊，欺騙系統(tǒng)使其疲于響應(yīng)攻擊包，導(dǎo)致系統(tǒng)不能響應(yīng)正常的身份認證請求，造成認證失敗。這種攻擊方式僅需要網(wǎng)絡(luò)監(jiān)聽或者盜取認證憑據(jù)即可實施［26］。因此，隨著新型電力系統(tǒng)中4G、5G 等高速無線通信方式的引入，數(shù)字化轉(zhuǎn)型產(chǎn)生的海量數(shù)據(jù)更易于受到DRA。一旦攻擊者發(fā)起DRA，并順利騙過認證系統(tǒng)，攻擊者可以通過重復(fù)發(fā)送同一控制指令破壞電力物理系統(tǒng)的運行狀態(tài)，或從終端側(cè)重復(fù)發(fā)送感知的量測數(shù)據(jù)使調(diào)度和控制主站無法準確評估電力物理系統(tǒng)的正常運行狀態(tài)［27］，進而影響電力系統(tǒng)的穩(wěn)定性。因此，部分學(xué)者根據(jù)重放攻擊的特點，深入研究了其行為特征以及檢測區(qū)分方法，并提出采用增加隨機數(shù)或序列號、增加時間戳、挑戰(zhàn)-應(yīng)答等多種方式抵抗重放攻擊［28-29］。

1.1.3 MiTMA

MiTMA 是一種間接的入侵攻擊，攻擊者通過技術(shù)手段將自身隱藏在兩個或多個通信終端的網(wǎng)絡(luò)連接之間，進而攔截、竊聽甚至篡改信道中的數(shù)據(jù)，破壞數(shù)據(jù)的機密性、完整性和可用性［30］。與上述幾種網(wǎng)絡(luò)攻擊方法不同的是，MiTMA 能夠通過破解通信協(xié)議來對攻擊者的設(shè)備進行偽裝，隱蔽性更強，更加難以檢測。

在新型電力系統(tǒng)數(shù)字化轉(zhuǎn)型中，攻擊者利用MiTMA 進行身份偽造或證書偽造，冒充電力系統(tǒng)中的某個合法節(jié)點，如發(fā)電廠、變電站、調(diào)度中心等，攔截并向其他節(jié)點發(fā)送錯誤的電力需求、電力價格、電力調(diào)度指令等關(guān)鍵信息，從而干擾電力系統(tǒng)的正常運行，造成供需失衡、市場混亂或設(shè)備損壞等后果。

針對MiTMA 隱蔽性強的特點，文獻［31］研究了在隨機訪問協(xié)議調(diào)度下針對新型電力系統(tǒng)的MiTMA，攻擊者攔截并修改傳輸?shù)臄?shù)據(jù)，通過轉(zhuǎn)發(fā)以降低系統(tǒng)性能。文獻［32］設(shè)計了基于仿真的電力系統(tǒng)系統(tǒng)測試平臺，并實現(xiàn)了多階段的MiTMA入侵，證明了這種攻擊將誤導(dǎo)數(shù)字化物理采樣設(shè)施的運作，造成新型電力系統(tǒng)突發(fā)事件。此外，針對新型電力系統(tǒng)通信層5G 毫米波特點，文獻［33］提出了一種利用跨層信息的MiTMA 檢測和定位算法。

1.2 網(wǎng)絡(luò)攻擊

對于新型電力系統(tǒng)網(wǎng)絡(luò)傳輸層來說，通信設(shè)備負責傳輸大量物理設(shè)備采集數(shù)據(jù)，攻擊者通常采取堵塞、破壞通信信道和篡改通信數(shù)據(jù)的方式進行攻擊。由于新型電力系統(tǒng)的運行和控制極其依賴精準與強時效性的數(shù)據(jù)，網(wǎng)絡(luò)層一旦受到攻擊，將對新型電力系統(tǒng)以及電力系統(tǒng)產(chǎn)生極其嚴重的影響。常見的有針對新型電力系統(tǒng)網(wǎng)絡(luò)終端的時間同步攻擊（time synchronization attack，TSA），以及針對網(wǎng)絡(luò)傳輸層的拒絕服務(wù)（denial of service，DoS）攻擊。

1.2.1 TSA

由于數(shù)字化轉(zhuǎn)型帶來了電力系統(tǒng)的分布式、智能化、數(shù)據(jù)化等特征，新型電力系統(tǒng)作為一個跨地理空間的分布式分散系統(tǒng)，使得電力系統(tǒng)的運行控制，如輸配電系統(tǒng)的潮流計算依賴于全球定位系統(tǒng)（global positioning system，GPS）/北斗衛(wèi)星的時標信號來保持不同區(qū)域時間同步的精度和可靠性。

TSA 就是利用新型電力系統(tǒng)終端（如PMU）的時間同步裝置與GPS/北斗衛(wèi)星同步時采用缺乏加密認證機制的明碼進行通信的缺陷，發(fā)射偽造的衛(wèi)星導(dǎo)航報文，誘使新型電力系統(tǒng)信息終端接收并解算出錯誤的同步時間，從而標定數(shù)據(jù)造成時間偏差，進而紊亂廣域測量系統(tǒng)、電力調(diào)控系統(tǒng)做出錯誤控制決策，造成系統(tǒng)失控，達成攻擊破壞目的［34］。盡管傳統(tǒng)變電站的國家標準在時間同步防護方面提供了寶貴經(jīng)驗，新型電力系統(tǒng)與傳統(tǒng)變電站在結(jié)構(gòu)、功能和技術(shù)方面仍然存在顯著差異，使得直接將變電站國標推廣至新型電力系統(tǒng)的各個監(jiān)控系統(tǒng)變得復(fù)雜而具有挑戰(zhàn)性。文獻［35］介紹了一種基于安全碼估計和重放攻擊等方式對衛(wèi)星信號實現(xiàn)欺騙干擾的方法。文獻［36］討論了基于控制器的低成本GPS模擬定位軟件，可以通過幾個函數(shù)調(diào)用廣播偽造的GPS 信號來發(fā)起TSA。文獻［37］介紹了一種已知的基于抑制和欺騙的GPS 信號組合干擾策略，能夠使PMU 中的時間同步裝置出現(xiàn)明顯的時間抖動。

此外，同步時間數(shù)據(jù)抖動而造成的實際運行系統(tǒng)故障也有記錄和報道。2013 年1 月，由于時間同步裝置發(fā)生故障導(dǎo)致時間數(shù)據(jù)抖動，中國西部電力控制中心執(zhí)行了錯誤日期的發(fā)電計劃，導(dǎo)致水電站多臺水輪機非正常停機［38］。雖然這起事故可能不是由TSA 引起的，但確實展示了TSA 在新型電力系統(tǒng)中的攻擊潛力。正如上述分析，不同于智能變電站或中央控制主站等電力設(shè)備，目前還少有針對PMU 和時間同步裝置建立的重點安全防御機制，而時間同步又是新型電力系統(tǒng)數(shù)字化監(jiān)測和控制系統(tǒng)的數(shù)據(jù)基礎(chǔ)屬性。因此，TSA 對新型電力系統(tǒng)的發(fā)展有著很大的威脅。

1.2.2 DoS 攻擊

DoS 攻擊是一種傳統(tǒng)的針對通信網(wǎng)的攻擊方法。新型電力系統(tǒng)的數(shù)字化轉(zhuǎn)型引入了5G 和光纖通信技術(shù)，實現(xiàn)系統(tǒng)數(shù)據(jù)高速通信交互的同時，提供給攻擊者通過協(xié)議安全漏洞、網(wǎng)絡(luò)流量泛濫和通信信道堵塞等方式發(fā)起攻擊的機會［39］。例如，面向新型電力系統(tǒng)近設(shè)備端海量智能監(jiān)控終端，DoS 通過攻擊電力系統(tǒng)通信網(wǎng)絡(luò)，如FTU、DTU 或RTU 的遙測、遙信、遙控信道［40］，進而影響控制系統(tǒng)和電力系統(tǒng)動態(tài)穩(wěn)定運行。圖3 展示了一個簡單的DoS 攻擊流程。比DoS 攻擊更具有隱蔽性和攻擊強度的是分布式拒絕服務(wù)（distributed denial of service，DDoS）攻擊，其通過分散在不同地方的主機向同一服務(wù)器發(fā)送過載流量而導(dǎo)致數(shù)據(jù)通信癱瘓，失去控制能力，直至服務(wù)系統(tǒng)崩潰，失去對電力物理系統(tǒng)的調(diào)控能力。

圖3 簡單的DoS 攻擊流程Fig.3 Process of simple DoS attack

文獻［41］研究了DoS 攻擊對LFC 系統(tǒng)穩(wěn)定性的影響，提出了一種新的基于DoS 攻擊持續(xù)時間和頻率的穩(wěn)定性判據(jù)。文獻［42］分析了孤島微電網(wǎng)在DoS 攻擊下的隨機穩(wěn)定性。文獻［43］分析了具有多個數(shù)字化遠程SE 子系統(tǒng)的新型電力系統(tǒng)在DoS 攻擊下的情況，建立了多傳感器多通道遠程SE模型。近年來，更多樣的新型電力系統(tǒng)數(shù)字化終端并網(wǎng)為DoS 或DDoS 提供了更多的攻擊點。在文獻［44］中就詳細研究了直流微電網(wǎng)在DoS 攻擊下的故障穿越能力。文獻［45］則研究了接入大量電動汽車的數(shù)字化電力系統(tǒng)在DDoS 攻擊下對LFC 系統(tǒng)觀測器的影響。此外，文獻［46］構(gòu)建了仿真平臺，在其上分析了新型電力系統(tǒng)在DoS 攻擊下的脆弱性，并對分散控制策略和分布式控制策略的性能進行了比較。

1.3 物理攻擊

新型電力系統(tǒng)以物理設(shè)備為基礎(chǔ)，正常運行依賴于電力一次、二次物理設(shè)備，尤其是在數(shù)字化轉(zhuǎn)型背景下，伴隨大量IED、FTU、RTU 和DTU 接入新型電力系統(tǒng)，海量物理層監(jiān)控數(shù)據(jù)被引入。因此，除了上述借助現(xiàn)有互聯(lián)網(wǎng)攻擊技術(shù)從信息終端發(fā)起的數(shù)據(jù)攻擊外，還有一種獨特的針對新型電力系統(tǒng)物理層的攻擊，一旦成功入侵電力物理基礎(chǔ)設(shè)施或破壞物理系統(tǒng)，會直接威脅新型電力系統(tǒng)的物理安全運行［47］。最直接的便是采取暴力手段對其物理層設(shè)備進行破壞癱瘓。

在新型電力系統(tǒng)中，攻擊者通過收集電力系統(tǒng)的基礎(chǔ)設(shè)施和關(guān)鍵設(shè)備信息，確定變電站、通信設(shè)備、監(jiān)控系統(tǒng)等具體的攻擊目標，采用電磁脈沖、石墨炸彈、無人機攻擊、激光干擾以及共振攻擊（resonance attack，RA）等物理攻擊造成電力設(shè)備故障損毀。常見的電磁脈沖攻擊能夠瞬間產(chǎn)生高電壓、高電流，可能在不接觸電氣設(shè)備的情況下?lián)p壞電氣設(shè)備［48］。石墨炸彈則是釋放出大量如石墨線條的碳質(zhì)材料，在空中分散后落在變電站的絕緣設(shè)備上，因其導(dǎo)電形成短路并導(dǎo)致設(shè)備故障，甚至可能引發(fā)大規(guī)模的電力中斷［49］。因此，石墨炸彈也可作為無人機攻擊所攜帶的爆炸物［50］。激光干擾攻擊是采用高能射線激光對電力設(shè)備的光學(xué)元件或傳感器進行干擾或損傷，影響其正常工作。隨著數(shù)字化智能電表的普及，還存在欠壓型、欠流型、移相型和擴差法竊電物理攻擊，通過改變電表接線，竊取部分電量，造成電網(wǎng)非技術(shù)性經(jīng)濟損失［51］。

另外，RA 作為最為典型的新型電力系統(tǒng)物理攻擊之一，其通過共振源改變電力負載或接觸線信號，導(dǎo)致電力系統(tǒng)控制的頻率或變化率異常。由于每個系統(tǒng)都有固有的共振，RA 會篡改負載或發(fā)電機的狀態(tài)信號，而這些信號太微弱，無法通過常規(guī)檢測方法識別［52］。

文獻［53］通過兩區(qū)域LFC 的仿真證明了RA 攻擊實施的可能性，并證明了精準RA 會對電力系統(tǒng)頻率控制產(chǎn)生不可逆的影響。文獻［54］對由線性/非線性項、一階/高階項、自動電壓調(diào)節(jié)器和電力系統(tǒng)穩(wěn)定器組成的單區(qū)域和多區(qū)域LFC 系統(tǒng)遭受RA的過程進行了數(shù)字仿真。結(jié)果表明，RA 不僅能夠?qū)σ粋€區(qū)域內(nèi)LFC 造成破壞，而且可以傳播到其他互聯(lián)區(qū)域，形成更大范圍的破壞。

數(shù)字化新型電力系統(tǒng)是智能化網(wǎng)絡(luò)與物理緊耦合系統(tǒng)。因此，攻擊者采用CCPA，通過兩個平行域的交疊和風險跨域傳遞，形成比任意單一攻擊規(guī)模更大，效果更強的破壞［55］。2015 年烏克蘭的攻擊事件就屬于CCPA，此次事件不僅證明了協(xié)同網(wǎng)絡(luò)物理攻擊的可能性，也展示其巨大的攻擊威力和防御難度［56］。

圖4 展 示 了CCPA 的 流 程。通 常，CCPA 會 通過網(wǎng)絡(luò)攻擊來掩蓋物理攻擊造成的系統(tǒng)故障，這樣做的目的是延緩發(fā)現(xiàn)故障的時間，利用時間差進一步擴大或發(fā)起更大規(guī)模的物理攻擊，從而達到破壞系統(tǒng)安全穩(wěn)定運行的目的［57］。

圖4 CCPA 的流程Fig.4 Process of CCPA

文獻［58］提出新型電力系統(tǒng)可能存在重放和優(yōu)化兩種潛在的CCPA，并表明攻擊者將根據(jù)新型電力系統(tǒng)PMU 的測量結(jié)果采用FDIA 注入攻擊向量，以掩蓋物理攻擊向量的影響。文獻［59］更進一步提出若CCPA 注入的虛假數(shù)據(jù)滿足基爾霍夫電流、電壓定律，并適當?shù)靥砑庸收暇€路兩端的數(shù)據(jù)殘差，以此掩蓋虛假的輸電線路故障，那么虛假數(shù)據(jù)很難被PMU 檢測出。文獻［60］討論了DDoS 攻擊切斷新型電力系統(tǒng)SCADA 等遠程控制系統(tǒng)的通信，導(dǎo)致發(fā)電廠惡意跳閘，以誘發(fā)CCPA 造成大規(guī)模停電事故。文獻［61］考慮變電站全拓撲結(jié)構(gòu)和電力系統(tǒng)多階段響應(yīng)過程，提出非預(yù)期跳閘網(wǎng)絡(luò)攻擊、誤判跳閘的網(wǎng)絡(luò)攻擊和物理攻擊交互作用的三層CCPA 模型。此外，還有針對AGC 和LFC 系統(tǒng)的CCPA研究［62-63］。

2 新型電力系統(tǒng)防御方法及分類

由上述分析可知，隨著先進數(shù)字化技術(shù)的不斷發(fā)展與融合，針對新型電力系統(tǒng)的攻擊方式呈現(xiàn)出多維立體性和極強的隱秘性。為了抵御各種攻擊，各國學(xué)者分別從網(wǎng)絡(luò)領(lǐng)域和物理領(lǐng)域［64］、時間維度和空間維度［65］以及以數(shù)據(jù)為中心研究數(shù)據(jù)的可用性、完整性和機密性［66］對新型電力系統(tǒng)安全防御進行了深入研究。隨著針對新型電力系統(tǒng)的新型協(xié)同攻擊越來越多，上述分類和研究無法很好地總結(jié)以往的新型電力系統(tǒng)安全防御方法。本文將根據(jù)攻擊事件周期性演化的全過程，將新型電力系統(tǒng)的安全檢測和防御方法分為攻擊前、攻擊中和攻擊后3 種。圖5 展示了本章的研究結(jié)構(gòu)。

圖5 新型電力系統(tǒng)安全防御階段Fig.5 Security and defense stages of new power system

2.1 攻擊前安全防御策略

面對可能出現(xiàn)的攻擊，新型電力系統(tǒng)應(yīng)預(yù)先部署響應(yīng)的安全防御策略，首要的就是通過身份認證、安全加密實現(xiàn)對潛在攻擊的提前有效阻隔。

2.1.1 安全訪問與可信接入技術(shù)

隨著新型電力系統(tǒng)建設(shè)，電力系統(tǒng)中接入了越來越多的IED，包括了用戶側(cè)的分布式可再生能源監(jiān)控裝置、儲能單元的調(diào)控裝置以及實現(xiàn)電網(wǎng)更全面細致可觀測性的智能傳感器。這些IED 分屬于不同的主體，當需要“即插即用”接入系統(tǒng)時，就需要身份認證和可信接入技術(shù)。同時，任何數(shù)據(jù)在網(wǎng)絡(luò)中傳輸應(yīng)該通過數(shù)據(jù)加密，以防止數(shù)據(jù)先期被監(jiān)聽、截獲或篡改。

身份認證技術(shù)被定義為驗證接入對象身份是否有效的行為，接入對象可以是用戶、智能設(shè)備或連接到新型電力系統(tǒng)的任何組件［67］，其主要目標是識別和驗證接入請求對象的身份合法性和真實性，屬于新型電力系統(tǒng)安全防御的第一道防線。文獻［68］針對新型電力系統(tǒng)電動汽車接入身份不確定、接入終端不可信的問題，提出實時匿名身份認證和動態(tài)權(quán)限管理機制，實現(xiàn)數(shù)字化場景下涌現(xiàn)多元第三方新主體可信接入權(quán)限的精細化管理。文獻［69］提出了一種基于人工智能馬爾可夫模型預(yù)測的輕量級安全認證機制。文獻［70］則針對新型電力系統(tǒng)智能化設(shè)備接入時的通信授權(quán)問題，提出了一種基于低熵的共享密碼體制。此外，由于傳統(tǒng)基于口令的身份認證方式存在被破解的風險，而基于生物特征的方法準確率較低，文獻［71］提出了一種基于區(qū)塊鏈的零信任環(huán)境下，數(shù)字化網(wǎng)絡(luò)終端信任共識方法，有效防止密鑰泄露和被破解，且采用聯(lián)盟區(qū)塊鏈和貝塔分布的多重信任評估機制可以評估終端的信任度并應(yīng)對多次惡意攻擊。

2.1.2 防御策略與資源配置

除上述有效的安全防控方法部署外，防御策略的制定將能夠發(fā)現(xiàn)潛在的隱患，實現(xiàn)對可能的攻擊提前防范，資源優(yōu)化配置。

通過對攻擊者攻擊方式與系統(tǒng)演變過程的分析與仿真，防御策略可以站在攻擊者的角度發(fā)現(xiàn)當前新型電力系統(tǒng)的薄弱環(huán)節(jié)，并在建立模型和系統(tǒng)推演的基礎(chǔ)上得出攻擊后可能產(chǎn)生的效果，為后續(xù)新型電力系統(tǒng)的安全防御提供先期資源配置部署。目前，已經(jīng)構(gòu)造出多種攻擊模型以模擬攻擊者不同攻擊方式。其中，基于攻擊樹模型的參數(shù)加權(quán)時間自動機評估模型［72］系統(tǒng)地分析單一目標的威脅，相比之下，基于攻擊圖的新型電力系統(tǒng)網(wǎng)絡(luò)攻擊和跨域故障仿真和量化評估模型［73］能夠清晰展示多目標間的攻擊路徑，以及針對PMU 測量數(shù)據(jù)的事件同步攻擊和事件非同步攻擊的模型［74］等。此外，文獻［75］還研究了一種在噪聲數(shù)據(jù)攝動影響和網(wǎng)絡(luò)攻擊下的電力系統(tǒng)脆弱性評估。

當通過攻擊模擬、系統(tǒng)演化和性能評測后，就需要根據(jù)所挖掘的新型電力系統(tǒng)潛在風險進行防御資源調(diào)配，提升系統(tǒng)防御能力。文獻［76］針對新型電力系統(tǒng)智能化感知主動防護的需求，面向數(shù)字化物聯(lián)終端和新型網(wǎng)絡(luò)邊際安全的資源調(diào)配，提出建立網(wǎng)絡(luò)安全事件預(yù)判、預(yù)警及預(yù)控的防御策略。文獻［77］研究了在FDIA 下電力系統(tǒng)關(guān)鍵運行參數(shù)的變化情況，提出了一種基于博弈論的防御資源分配方法。文獻［78］提出了一個基于貝葉斯自適應(yīng)網(wǎng)絡(luò)的概率風險分析框架模型，進而在資源受限情況下幫助決策者或控制系統(tǒng)合理分配網(wǎng)絡(luò)防御資源。文獻［79］提出了一種基于協(xié)同進化的算法來獲取大規(guī)模網(wǎng)絡(luò)均衡的動態(tài)攻防過程中的動作集。文獻［80］從發(fā)電廠、輸電網(wǎng)和配電網(wǎng)3 個層次對攻擊和防御行為進行了建模，研究了在上述3 個網(wǎng)絡(luò)層級上的最佳防御策略。文獻［81］以多網(wǎng)融合、多能互補、多態(tài)互動的新型電力系統(tǒng)能源體系為背景，針對計及負荷重分配攻擊與破壞供能網(wǎng)絡(luò)相結(jié)合的CCPA，研究計及系統(tǒng)備用容量和替代負荷的最優(yōu)防御策略。

需要注意的是，無論采取何種防御手段，都不能完全保證電力工控系統(tǒng)的絕對安全，影響攻防效果與成功概率的因素主要在于攻防雙方掌握的物理攻防資源與信息了解程度。因此，還需要對自身的攻防策略進行優(yōu)化。

2.2 攻擊中安全防御策略

2.2.1 新型電力系統(tǒng)的多級安全防線防御方法

傳統(tǒng)電力系統(tǒng)通過設(shè)置“三道防線”的方法來增強系統(tǒng)在應(yīng)對故障時的安全性［82］。第一道防線依靠有效的預(yù)防性控制措施，確保電力系統(tǒng)在發(fā)生常見預(yù)想故障時，保持穩(wěn)定運行和正常供電；第二道防線是通過快速繼電保護系統(tǒng)，采用安全控制裝置及切機、切負荷等緊急控制措施，確保電力系統(tǒng)在發(fā)生概率較低的嚴重故障時能繼續(xù)保持穩(wěn)定運行；第三道防線則是在系統(tǒng)中預(yù)先設(shè)置失步解列、低壓低頻減載及電壓緊急控制裝置，當遇到多重嚴重事故破壞時，依靠這些裝置緊急控制直至解列以阻止事故擴大，防止大面積停電。與之耦合，在新型電力系統(tǒng)的發(fā)展過程中，也逐漸形成了新型電力系統(tǒng)安全防御的“三道防線”。

新型電力系統(tǒng)第一道防線是在故障未發(fā)生時，全面感知和精準分析電力系統(tǒng)，預(yù)防減少故障的發(fā)生?？刂茖硬捎蒙矸葑R別［67］、入侵檢測和加密認證技術(shù)，防止竊取篡改數(shù)據(jù)，檢測隔離惡意軟件；網(wǎng)絡(luò)層通過建立多路徑冗余通信網(wǎng)絡(luò)、動態(tài)路由［83］、時間同步［84］，提高通信網(wǎng)絡(luò)的容錯能力和抗干擾能力；物理層采用在線監(jiān)測［85］、智能診斷［86］、預(yù)防性維護，評估設(shè)備壽命，保障正常運行。第二道防線是指在故障發(fā)生時，快速響應(yīng)、自主控制電力系統(tǒng)，應(yīng)急切除故障并恢復(fù)?？刂茖硬捎霉收蠙z測技術(shù)［87］、調(diào)節(jié)系統(tǒng)運行參數(shù)，快速識別故障源，實施緊急控制策略；網(wǎng)絡(luò)層采用多播技術(shù)、備用路由切換等方式，實現(xiàn)通信網(wǎng)絡(luò)重構(gòu)與自愈保護［88］；物理層采用智能設(shè)備調(diào)節(jié)負荷，分布式能源、儲能設(shè)備補充供給，實現(xiàn)故障中負荷供給平衡［89］。第三道防線則是在故障短時無法消除且影響較大時，災(zāi)備切換、緊急干預(yù)電力系統(tǒng)，實現(xiàn)故障最小化擴散、最大化減損和最優(yōu)化重建?？刂茖硬捎梅謪^(qū)控制和分級保護［90］、低頻低壓減載和黑啟動［91］，防止故障的擴散、系統(tǒng)崩潰或再次失穩(wěn)；網(wǎng)絡(luò)層通過重啟路由、應(yīng)急通信衛(wèi)星，保證臨時應(yīng)急通信［92］；物理層通過微網(wǎng)切入或切出、分布式發(fā)電及儲能技術(shù)供電島網(wǎng)，保障重要負荷供電［93］。

文獻［94］提出了在電力通信網(wǎng)規(guī)劃時構(gòu)建主備路由的方法，則當通信鏈路傳輸性能下降時可自動跳轉(zhuǎn)到備用路徑保證正常網(wǎng)絡(luò)功能，實現(xiàn)了第一道防線防御。而新型電力系統(tǒng)骨干網(wǎng)采用SDH 環(huán)網(wǎng)結(jié)構(gòu)，巧妙地使用了SDH 對端50 ms 自動環(huán)回的優(yōu)良特性，實現(xiàn)了新型電力系統(tǒng)的第二道防線網(wǎng)絡(luò)自愈保護。對于第三道防線，傳統(tǒng)電力系統(tǒng)解列僅需考慮潮流，而對于新型電力系統(tǒng)，由于其信息-物理高度融合為本質(zhì)特征，當需要阻隔故障演進而切斷通信鏈路時，必將導(dǎo)致一定數(shù)量電力業(yè)務(wù)中斷，若此時信息割面與物理割面不統(tǒng)一，勢必擴大停電范圍，加劇故障破壞。為此，文獻［95］提出了一種基于網(wǎng)絡(luò)物理統(tǒng)一主動切割的新型電力系統(tǒng)飽和防御的新方法，能有效防止攻擊破壞的擴大，保障主安全區(qū)的穩(wěn)定運行。

2.2.2 入侵檢測辨識與防御技術(shù)

相較于多級安全防線從系統(tǒng)層面阻斷攻擊蔓延的防御方法，入侵檢測方法側(cè)重識別單點異常，能在新型電力系統(tǒng)已受到攻擊的最短時間內(nèi)，準確辨識入侵方式和攻擊點，為防御贏得最寶貴的時間，也能夠通過正確的防御手段最大程度地降低攻擊所造成的后果，因而得到廣泛深入研究。如圖6 所示，新型電力系統(tǒng)的入侵檢測與辨識技術(shù)可分為物理層與網(wǎng)絡(luò)層。

圖6 基于人工智能的入侵檢測與辨識技術(shù)Fig.6 Intrusion detection and identification technology based on artificial intelligence

物理層的檢測方法主要依靠判斷智能化數(shù)字終端量測、決策動作指令和系統(tǒng)運行狀態(tài)突變是否符合電力系統(tǒng)的物理規(guī)律［64］。其中，殘差檢測法或時空相關(guān)約束有效利用電力物理規(guī)律進行不良數(shù)據(jù)檢測辨識［96］，但由于需要建立精確的物理模型，實現(xiàn)難度較大。文獻［97］針對直流輸電線路提出的基于移動平均法的不良數(shù)據(jù)識別方法易于實現(xiàn)，不需要大量歷史數(shù)據(jù)進行訓(xùn)練，但其檢測魯棒性不如文獻［98-99］針對SCADA 系統(tǒng)及FDIA 提出的基于高斯混合模型的歸一化殘差法。

網(wǎng)絡(luò)層的檢測主要依賴于信息技術(shù)中的入侵檢測原理，通常借助入侵檢測系統(tǒng)和安全信息和事件管理系統(tǒng)等數(shù)據(jù)管理和檢測系統(tǒng)，對網(wǎng)絡(luò)通信設(shè)備的地址和網(wǎng)絡(luò)日志、傳輸流量或通信模式等網(wǎng)絡(luò)參數(shù)進行檢測，如采用一致性檢測方法或根據(jù)先驗信息鑒別。文獻［100］介紹了一種基于貝葉斯模型的異常數(shù)據(jù)流量檢測機制，以此區(qū)分無線傳感網(wǎng)絡(luò)中的DoS 攻擊和合法用戶通信傳輸?shù)母吡髁?。針對多種網(wǎng)絡(luò)攻擊，文獻［101］提出了一種遺傳算法與鯨魚優(yōu)化算法結(jié)合的入侵識別檢測模型。與電力一次設(shè)備及電力場景結(jié)合，文獻［102］以易受信息物理協(xié)同攻擊的智能電表為研究對象，提出基于攻防博弈的異常用電檢測防御模型，針對不同節(jié)點攻擊強度設(shè)置防御節(jié)點，解決以往異常入侵檢測資源分配不當問題。文獻［103］針對SCADA 系統(tǒng)，設(shè)計了一種基于高斯混合模型和卡爾曼濾波的異常檢測方法。文獻［104］針對電網(wǎng)調(diào)頻控制器可能受到的DoS 攻擊，提出了一種基于入侵檢測器設(shè)計的二次頻率控制方法。文獻［105］則考慮了多區(qū)域互聯(lián)電力系統(tǒng)，提出了一種針對FDIA 的分布式數(shù)據(jù)確定入侵檢測的方法。為解決新型電力系統(tǒng)清潔能源大規(guī)模并網(wǎng)存在的隱蔽惡意數(shù)據(jù)攻擊篡改，文獻［106］提出基于注意力-深度強化學(xué)習的檢測方法進行入侵辨識防御，通過改進圖卷積網(wǎng)絡(luò)算法定位惡意數(shù)據(jù)攻擊。文獻［107］則是面向大規(guī)模電動汽車接入新型電力系統(tǒng)的場景，提出一種基于機器學(xué)習技術(shù)的概率性跨層入侵檢測系統(tǒng)。

此外，有別于現(xiàn)有的對每幀報文的拆解辨識，文獻［108］提出了一種基于新型電力系統(tǒng)信息流時-頻域混合特征的人工蜂群優(yōu)化支持向量機（artificial bee colony of optimizing the support vector machine，ABC-SVM）異常流量譜聚類檢測方法，由于僅需檢測流傳輸行為特征而無須分解報文，極大程度地提升了檢測速度，并且具有對未知攻擊/入侵行為的準確辨識能力。近年來，隨著人工智能技術(shù)的迅速發(fā)展，基于人工智能機器學(xué)習的新型入侵檢測方法在辨識準確度上得到了顯著提升。如采用基于生成對抗網(wǎng)絡(luò)和深度遞歸神經(jīng)網(wǎng)絡(luò)模型在以太坊區(qū)塊鏈中進行網(wǎng)絡(luò)攻擊和欺詐交易檢測排查［109］，以及基于自適應(yīng)特征提升和集合學(xué)習框架，提取新型電力系統(tǒng)海量數(shù)據(jù)中代表性強的特征［110］。

新型電力系統(tǒng)防御的根本目標是保證電力系統(tǒng)的運行穩(wěn)定，包括電壓、頻率和功角穩(wěn)定。因此，新型電力系統(tǒng)防御方法多將攻擊阻隔和系統(tǒng)穩(wěn)定控制緊密結(jié)合，通過制定針對性的控制策略或設(shè)計考慮攻擊的控制器，在攻擊發(fā)生時盡可能維持新型電力系統(tǒng)穩(wěn)定運行，最大程度降低攻擊的影響。目前，針對新型電力系統(tǒng)攻擊的安全控制方法可分為兩類:彈性控制方法和主動防御控制方法。彈性控制方法基于攻擊模型分析系統(tǒng)性能與攻擊參數(shù)之間的量化關(guān)系。如通過采用李雅普諾夫法分析攻擊情況下的彈性約束條件，進而設(shè)計彈性控制觸發(fā)機制，保證系統(tǒng)的輸入狀態(tài)穩(wěn)定［111］。主動防御控制方法采用主動補償機制應(yīng)對攻擊，保證控制系統(tǒng)性能。常見的主動防御控制方法包括預(yù)測控制法［112］、多通道網(wǎng)絡(luò)化控制方法［113］等。

在諸多防御方法中，還有一項對攻擊方進行欺騙的防御技術(shù)——蜜罐技術(shù)，它是網(wǎng)絡(luò)防御中的陷阱技術(shù)［114］。通過布置一些作為誘餌的主機、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析。蜜罐技術(shù)通過了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，進而有針對性地加固系統(tǒng)。同時，還能通過蜜罐技術(shù)達到消耗攻擊資源的目的。

2.2.3 基于密鑰的數(shù)據(jù)安全防護技術(shù)

新型電力系統(tǒng)需要廣域量測和敏捷控制保證系統(tǒng)的穩(wěn)定安全高效運行，海量敏感數(shù)據(jù)在新型電力系統(tǒng)的各個層級和模塊之間進行采集、傳輸和存儲。為防止各類運行數(shù)據(jù)不被監(jiān)聽或篡改，數(shù)據(jù)加密成為電網(wǎng)必要的攻擊防御手段之一。數(shù)據(jù)加密是通過對明文數(shù)據(jù)進行加密再傳輸，防止泄露敏感數(shù)據(jù)，并確保數(shù)據(jù)的保密性和完整性。根據(jù)數(shù)據(jù)關(guān)鍵程度、運算時間限制等不同需求，基于密鑰的數(shù)據(jù)安全防護技術(shù)應(yīng)用在新型電力系統(tǒng)網(wǎng)絡(luò)主體身份鑒別、數(shù)據(jù)加密傳輸與存儲以及各種設(shè)備和場景中［115］。

密碼技術(shù)基于傳統(tǒng)密碼學(xué)，包括對稱密碼、公鑰密碼和摘要密碼技術(shù)，3 種密碼技術(shù)可以單獨或組合使用，實現(xiàn)數(shù)據(jù)安全傳輸，抵制非法讀取、DRA 等安全威脅［116］。文獻［117］研究設(shè)計了一種基于區(qū)塊鏈技術(shù)的電力系統(tǒng)通信數(shù)據(jù)點對點非對稱密鑰加密方法。文獻［118］面向新型電力系統(tǒng)的能量管理系統(tǒng)調(diào)度指令的傳輸，提出一種基于混沌加密的安全數(shù)據(jù)共享方法，保障基礎(chǔ)物理設(shè)施之間的安全數(shù)據(jù)通信。文獻［119］提出一種基于壓縮感知框架的數(shù)據(jù)壓縮同步加密算法，在保證海量電力大數(shù)據(jù)安全的同時解決了高頻廣域采集帶來的高載荷傳輸?shù)墓逃须y題。此外，針對新型電力系統(tǒng)海量多類型設(shè)備的安全接入和數(shù)據(jù)安全傳輸新需求，采用公鑰密碼算法（如SM2、非對稱加密算法）建設(shè)公鑰基礎(chǔ)設(shè)施，為終端側(cè)感知設(shè)備、邊緣側(cè)匯聚設(shè)備、中心側(cè)主站設(shè)備簽發(fā)數(shù)字證書。而當攻擊發(fā)生時，基于數(shù)字證書可實現(xiàn)高效、高可靠的訪問控制與權(quán)限管理，防止未經(jīng)授權(quán)的用戶獲取敏感信息，實施攻擊中安全審計日志記錄，也為后續(xù)防御修復(fù)提供支撐［120］。

隨著新型電力系統(tǒng)對廣域、精細化和近設(shè)備端的感知和控制需求日益的增加，海量的基于物聯(lián)網(wǎng)和嵌入式技術(shù)的邊端設(shè)備被部署在電網(wǎng)末端，其小型化、弱算力的特點則對密碼技術(shù)提出了新需求。輕量級密碼技術(shù)正是為了保障大量計算、存儲、通信能力受限的設(shè)備安全接入新型電力系統(tǒng)，解決端側(cè)網(wǎng)絡(luò)安全難題。文獻［121］在配電臺區(qū)中的設(shè)備端側(cè)集成了SM9 輕量級密碼模塊，實現(xiàn)了配電變壓器終端單元及其下接感知層終端設(shè)備的管理注冊和密鑰安全分發(fā)。文獻［122］提出采用基于身份標識的密碼算法，使得通信終端雙方可以根據(jù)彼此唯一的標識完成身份認證和傳輸密鑰協(xié)商，降低海量電力物理設(shè)備數(shù)字證書的管理復(fù)雜度。文獻［123］提出的輕量級傳輸方案將量子密碼學(xué)與“一次性密鑰”機制相結(jié)合，利用量子隨機數(shù)發(fā)生器彌補了傳統(tǒng)隨機數(shù)發(fā)生器和量子密鑰分發(fā)協(xié)議的缺陷。

近些年，隨著量子科學(xué)的興起和突破性進展，量子密碼技術(shù)成為密碼學(xué)領(lǐng)域的新興分支。與目前主流使用的密碼技術(shù)不同，量子加密技術(shù)依賴于量子的“不確定性原理”和“單量子不可克隆定理”［124］，在密鑰生成、分發(fā)環(huán)節(jié)保證密鑰的隨機性和“一次一密”安全性，使得攻擊者即便控制了通道線路，也無法精準獲取密鑰。目前，以BB84 量子密鑰分發(fā)協(xié)議為代表的量子加密技術(shù)在配電自動化、配電網(wǎng)保護等生產(chǎn)業(yè)務(wù)和分布式新能源監(jiān)測、輸電線路監(jiān)測等物聯(lián)業(yè)務(wù)場景中的應(yīng)用，仍處在初級小規(guī)模試點階段。

2.3 攻擊后校正恢復(fù)

無論是攻擊被及時發(fā)現(xiàn)并阻隔防御，還是已造成事故而通過重構(gòu)或重啟完成系統(tǒng)恢復(fù)，在攻擊發(fā)生后，都應(yīng)從攻擊事件中進行分析總結(jié)，及時更新入侵檢測系統(tǒng)簽名、防病毒數(shù)據(jù)庫和安全策略，做到事后免疫和安全防御升級，以保護新型電力系統(tǒng)免受未來類似攻擊。取證分析（forensic analysis，F(xiàn)A）作為一種針對網(wǎng)絡(luò)攻擊的事后威脅信息搜集和分析取證的主要方法［125］，包括入侵/攻擊證據(jù)收集、威脅信息分析和證據(jù)呈現(xiàn)3 個步驟。文獻［126］針對新型電力系統(tǒng)數(shù)字化轉(zhuǎn)型下面向大量的傳感和測量系統(tǒng)接入引發(fā)的FDIA，借助門控循環(huán)單元-卷積神經(jīng)網(wǎng)絡(luò)，在系統(tǒng)遭受攻擊后采用FA 判別受損量測值并予以剔除。文獻［127］通過對網(wǎng)絡(luò)流量日志中的數(shù)據(jù)進行FA 來識別FDIA 對高級計量基礎(chǔ)設(shè)備的攻擊并進行痕跡取證。針對CCPA，文獻［60］基于動態(tài)權(quán)值集成孤立森林模型，在攻擊后更新擴建離線新型電力系統(tǒng)故障事件辨識模型，以支撐攻擊中信息物理融合序列-數(shù)據(jù)聯(lián)合驅(qū)動方法在線辨識防御CCPA。因此，攻擊后的校正恢復(fù)可以通過FA 和回溯加固更新病毒庫或攻擊行為樣本庫做安全免疫，實現(xiàn)安全防御升級。

3 結(jié)語

隨著傳感技術(shù)、通信技術(shù)和云邊協(xié)同信息處理技術(shù)的高速發(fā)展，數(shù)字化轉(zhuǎn)型的新型電力系統(tǒng)逐漸呈現(xiàn)能量流和數(shù)字信息流緊密耦合的特點。這使得系統(tǒng)的復(fù)雜度不斷提高，同時其安全穩(wěn)定性對整個電力系統(tǒng)產(chǎn)生了直接影響。本文針對新型電力系統(tǒng)中的典型攻擊模式和多維度防御方法進行了分析和歸納總結(jié)。但是攻擊與防守必然是矛和盾的關(guān)系，是互相抗衡、此消彼長的動態(tài)過程。針對新型電力系統(tǒng)的新型攻擊始終沒有停止，不斷涌現(xiàn)。因此，在本文的最后，思考當前數(shù)字化轉(zhuǎn)型下的新型電力系統(tǒng)防御亟須深入研究和解決的問題，為后續(xù)的技術(shù)發(fā)展提供參考。

1）目前，針對新型電力系統(tǒng)安全問題的研究都是基于已發(fā)生的或已攔截的攻擊事件展開，但對未知攻擊辨識與防御的有效研究方法尚顯不足。隨著數(shù)字化技術(shù)的不斷滲透，針對新型電力系統(tǒng)的病毒與攻擊手段層出不窮。因此，在對未知攻擊無先驗信息的情況下進行快速辨識與主動防御，對新型電力系統(tǒng)的安全性提升有著極大的意義。

2）CCPA 由于其攻擊組合方式的多樣性和攻擊檢測的復(fù)雜性，破壞性和隱蔽性比單純的網(wǎng)絡(luò)攻擊更強。從近期發(fā)生的攻擊事件也可以看出，CCPA一旦發(fā)生，將會造成不可挽回的后果。但目前對CCPA 的研究還較少，對CCPA 的防御方法仍需進一步探索。

3）隨著以深度學(xué)習、強化學(xué)習為代表的新一代人工智能技術(shù)的發(fā)展，其在新型電力系統(tǒng)攻擊檢測和安全防御領(lǐng)域展現(xiàn)出良好的應(yīng)用效果。人工智能算法的基礎(chǔ)是樣本庫的構(gòu)建，新型電力系統(tǒng)攻擊樣本庫的建立也愈發(fā)重要，其能夠有效提升系統(tǒng)對異常行為的快速辨識與安全防御能力，并降低誤警率。因此，亟須建立完善的事件收集和檢索機制與統(tǒng)一的新型電力系統(tǒng)攻擊樣本庫，甚至是世界各國的共享庫。

4）目前，主要采用離線仿真的方式對新型電力系統(tǒng)攻擊與防御動態(tài)過程進行研究，難以真正反映新型電力系統(tǒng)中信息與物理兩個子系統(tǒng)復(fù)雜快速的動態(tài)演化過程，且新型電力系統(tǒng)是融合電力物理設(shè)備、電氣傳感量測和通信網(wǎng)絡(luò)的獨立系統(tǒng)，數(shù)字化的轉(zhuǎn)型中涌入了眾多設(shè)備與元件。因此，深入研究動態(tài)仿真技術(shù)、數(shù)字孿生技術(shù)等，構(gòu)建真實的實驗場景極其重要，這對新型電力系統(tǒng)風險分析、連鎖故障阻斷定位、資源調(diào)配和動態(tài)布防起到很大的推動作用。