论文总字数：41190字

摘 要

16012608 李梦雅

指导教师 汤奕

电力CPS通过3C技术（Computation, Communication, Control）将计算系统、通信网络和电力系统的物理环境融为一体，形成一个实时感知、动态控制与信息服务融合的多维异构复杂系统。通信网络和传感网络的发展大大提高了电力系统的感知控制能力，但也引入了通信网络固有的脆弱性，针对CPS通信部分的网络攻击将对物理实体网络造成更严重的影响。近年来对CPS的网络攻击造成的后果也引起了许多关注。

本文中给出电力CPS中的网络攻击定义，从覆盖范围和攻击目标对网络攻击进行了分类，并对典型网络攻击场景做了总结。然后在比较了现有网络攻击建模方法后，用广义随机Petri网（Generalized Stochastic Petri Net, GSPN）建模了变电站级网络中的攻击过程，提出了防火墙模型和密码模型来表示对攻击的防范措施，并给出了攻击转移概率评估方法，用以计算最终攻击所处状态的概率。之后用影响因子来表征某变电站被切除后对全系统稳定的影响大小，并用攻击成功概率和影响因子来得出最终的系统节点脆弱性评估结果。

脆弱性评估得出的结论有：通信网络层次结构和变电站本身在系统中承担的作用和重要性都会对脆弱性大小产生影响。通信网络模型中防火墙和密码模型的响应速度通过对转移概率的改变也会影响脆弱性评估结果。此外，要重点防范来自变电站内部的攻击，因其造成的脆弱性远高于外部攻击。本文中提出的网络攻击定义、分类与场景构建，脆弱性评估方法和结果可以为评估电力系统节点面对网络攻击的脆弱性以及提高安全性提供参考。

关键词：电力CPS；脆弱性评估；Petri网；网络攻击

Abstract

Cyber Physical Power System (CPPS) integrates computation system, communication network and the physical power system into an entity with the assistance of computation, communication and control techniques, forming a multi-dimensional heterogeneous complex system including real-time sensing, dynamic control and information service. The development of communication and sensor network has immensely improved the observability and controllability of power system, meanwhile introducing the inherent vulnerability of communication system into the power system. The cyber-attacks aiming at communication network in CPPS can have more severe impacts on the physical world. The consequences of several cyber-attacks in CPS environment have raised many concerns in recent years.

In this paper, the cyber-attacks in CPPS are defined and classified according to coverages and targets, and overview and analysis of typical attack scenarios are presented. Then with comparison of existing methods of modelling cyber-attacks, the Generalized Stochastic Petri Net (GSPN) is chosen to model the attacks in substation level cyber networks. Meanwhile, an impact factor is put forward to represent the influence of one substation on the entire power grid if it is removed from system. The evaluation result of each node’s vulnerability in the system is obtained considering the penetration probability and impact factor.

The results show that both the layers and structures of cyber networks and the importance and functions of the substations have influence on the vulnerability evaluation results. The response times of password protected computers and firewalls can change the evaluation results by changing the transference probabilities. In addition, the emphasis should be put on preventing attacks from inside the substation networks. The definition, classification and scenarios presented in this paper, as well as the methods and results of vulnerability evaluation can be referred to for determining the vulnerabilities of system nodes against cyber-attacks and improving system security.

Key words: Cyber Physical Power System; vulnerability assessment; Petri Net; cyber-attacks

第一章 绪论

课题背景与意义

电力信息物理融合系统

信息物理系统在现代工业体系中正在得到广泛的应用，当前国际上进行的工业4.0改革正在完成从嵌入式系统向信息物理系统的转化，虚拟和现实世界的交互将成为生产制造过程中一个关键的新特征^[1]。在建成工业信息物理系统的过程中，电力信息物理融合系统（Cyber Physical System, CPS）是一个重要的研究方面。通过3C技术（Computation, Communication, Control），电力CPS将计算系统、通信网络与电力物理系统融为一体，形成实时感知、动态控制与信息服务融合的多维异构复杂系统^[2]。与传统电力系统相比，电力CPS由于其嵌入式系统基础，辅以信息通信系统和物理环境的高度融合，具备了能够实时获取电网全面、详细的信息的重要特征。

电力CPS整体框架如图1‑1所示。

图1‑1 电力CPS整体网络架构

电力CPS网络主要包括多元信息网络、多源电力网络这两部分以及由其映射而成的电力CPS网络。其中：

（1）多源电力网络指含有各种电力设备（如分布式电源、电力电子装置、储能装置、传统负荷、可控负荷、智能电器等）的电力物理系统。

（2）多元信息网络借助信息设备（如传感设备、分布式计算设备、服务器等）获取系统信息。该系统信息不仅包括电力网络中量测信息（如节点电压、电流等）和状态信息（如开关闭合状态、变压器分接头位置等），还包括外部信息（如电价、天气情况等）和主观信息（如用户需求、攻击行为等）。这些信息通过多种通信网络（如Internet、光纤专用通信网络、无线通信网络等）传输至系统集中控制中心或分布式控制装置。

（3）电力CPS网络是整合上述多元信息网络与多源电力网络的一个虚拟网络概念。每一个电力CPS网络中的节点由信息网络和电力网络中的节点映射得到，节点之间同时包含电力流和信息流的交互。

针对电力系统网络攻击实例分析

近年来，利用网络攻击手段侵入电力系统并最终对系统正常运行造成影响的事件不断出现（详见表1‑1），各国也逐渐开始重视网络攻击对本国电力系统的影响，通过模拟攻击寻找自身系统漏洞，并将对攻击的自愈能力列为下一代电网的首要要求^[9]。下面通过实例来展示网络攻击的过程和结果。

表1‑1电力系统网络攻击实例与预想后果^[10]

（1）乌克兰停电事故

2015年12月23日，乌克兰电网受到网络攻击被迫停运，约23万居民受到影响，被认为是第一例网络攻击造成的大停电事件^[10]。在停电地区电力企业中，虽然网络间有防火墙隔离，但没有采用双因子验证等权限管理机制，造成了一定的安全漏洞。攻击者通过几个月时间利用BlackEnergy3恶意软件，辅以KillDisk组件和SSH后门，获取登录密码和权限，绕过防火墙，最终成功获得对SCADA系统的关键控制权，并切断了电网中7条110kV线路和23个35kV变电站^[17]。攻击者成功关闭了三个控制中心及其中两个的后备电源，还改写了智能电子设备的通信程序，使得电网运行人员无法通过远程操作重新合闸，最终不得不通过手动操作才得以恢复供电。2007年，BlackEnergy作为一种DDoS（Distributed Denial-of-Service, 分布式拒绝服务）攻击工具出现。2014年BlackEnergy的变体搭配其他组件，被用于对乌克兰和波兰的许多工业领域进行了攻击，和对乌克兰政府进行情报搜集^[20]。

本次针对电力网络的攻击属于鱼叉式网络钓鱼（spear phishing）类型，以含有恶意宏的Microsoft Office文件为载体进行攻击。攻击者向被攻击者发送包含恶意宏文件的邮件；当受攻击者运行了文件中的宏，就会被BlackEnergy感染。BlackEnergy木马为KillDisk组件提供后门，而KillDisk会损坏受侵入计算机上储存的文件，随机改写文件，并且使操作系统无法启动。调查发现本次攻击中的KillDisk组件特点：加入了控制语句，设置了延时时间，使破坏性动作经过特定时延才启动；删除了Windows事件日志，包括应用、安全、设置和系统；相比针对数据文件的攻击，这次攻击删改的文件类型较少，只涉及35种^[21]。启动后的KillDisk会终止两个非标准进程komut.exe和sec_service.exe，其中sec_service.exe可能属于工业控制系统（ICS）常用的软件平台ASEM Ubiquity，或ELTIMA连接以太网的串口。入侵后的大致执行流程如图1‑2。

图1‑2 KillDisk执行流程

调查还发现了一种新的攻击方式，即SSH后门服务器（SSH backdoor）。它表面类似一个称为Dropbear SSH的合法SSH服务器，但这个服务器会允许某个特定端口的连接。当该服务器运行时，攻击者可以随时进入系统并进行攻击行为。

乌克兰电网网络攻击可总结为如图1‑3所示的流程。

图1‑3 乌克兰电网攻击过程示意

（2）SCADA系统的潜在攻击

2014年10月，有报告指出沙虫组织利用了CVE-2014-4114漏洞对SCADA系统进行了零日攻击^[22]。

在对沙虫所用的恶意软件和涉及领域的调查中，TrendMicro公司发现沙虫很有可能将使用GE Intelligent平台下的CIMPLICITY人机交互界面（HMI）套件作为攻击目标，攻击SCADA系统。该人机交互界面可以看作是工业环境中的操作控制台，负责电力工业自动控制和安全运行。

调查发现了CIMPLICITY软件的.cim文件和.bcl文件被用作攻击载体，而.cml文件是用于管理SCADA设备的一个面向对象文件。同时，病毒程序在受害计算机上通过%CIMPATH%环境变量将下载的可执行文件存放到CIMPLICITY的安装目录下，并在执行后将它删除。

此次事件中，虽然CIMPLICITY被用作攻击载体，但由于发现及时，并未出现恶意软件对SCADA系统或数据进行实际操控的事件。

研究现状与不足

电力CPS在国内的研究刚刚起步，还未形成较完善的研究体系。国外的相关成果主要集中在三个方面：

1. 电力CPS架构：文献[23]提出CPS系统文献五层架构，用于指导CPS系统建设；[24]中提出信息物理能源系统主要研究领域为能源系统建模、能源利用效率、能源资源管理和能源控制，智能电网作为能源系统的一部分参与。各国也开展了电力CPS试验项目，如欧洲VIKING项目^[25]，美国FREEDM项目^[26]和德国Agenda CPS项目^[1]。
2. 电力CPS系统建模与分析方法：文献[27]用面向方面思想进行系统建模仿真；[28]用面向业务方式建立系统参考；[30]用多Agent集群方法完成CPS系统建模，在暂态问题和通信控制策略研究方面都更有优势。文献[29]利用4阶段Stackelberg博弈建模用户和电力企业间互动过程，实现需求侧管理功能。
3. 电力CPS安全评估：文献[31]提出了一种预想事故分析方法，将网络视为带权有向图，通过深度优先搜索记录攻击的效果，评估网络安全性。文献[32]通过建模通信网络和电力网络，分别评估电力CPS中攻击成功概率和攻击效果，得出系统面对攻击的风险。许多文献对各种攻击方式进行了分析，如错误数据注入^[33][34]、改变网络拓扑^[7]、拒绝服务攻击^[35]对系统稳定的影响，以及安全防护方法^[8][36]。

由于电力网络与信息网络复杂的交互机理，传统的电力系统研究方法已不能满足CPPS环境下的需求，未来的研究方面包含电力CPS基本理论及系统建模^[2][3][4]、仿真方法^[2][4]、通信标准^[2][5]、网络安全^[2][3]、混合控制技术^[6]、测试平台开发^[7][8]等。

本文主要工作

本文的工作主要分为以下几部分：

1. 给出电力CPS网络攻击定义，对网络攻击进行分类总结，并对电力CPS中可能出现的典型攻击场景进行归纳整理；
2. 介绍Petri网理论和建模方法，利用Petri网对电力通信系统进行建模，分析攻击在电力通信系统中的传播过程；
3. 利用电力通信系统Petri模型，分析网络攻击成功对系统造成影响的概率，结合以节点影响因子表征的电力节点重要程度，通过实际算例进行网络节点脆弱性评估。

第二章 电力CPS网络攻击定义、分类和场景

网络安全三要素

《美国标准技术研究院（NIST）7628号报告》^[32]指出网络安全三要素分别为保密性（Confidentiality）、完整性（Integrity）、可用性（Availability），即网络“CIA”安全目标。

（1）保密性

网络安全“保密性”是指信息的获取仅限有权限的用户或组织，任何通过非法渠道进行的访问都应该被检测并阻止^[35]。“保密性”一旦被破坏，将出现电网信息泄露问题，存在重要信息如用户隐私、产权信息等被非法分子利用的威胁^[5]。

（2）完整性

网络安全“完整性”是指保持并保证数据或信息的精确性和一致性，任何未经授权的组织或数据修改方式都不得对传输数据进行修改（具体操作包括改写、删除、添加、替换等）和破坏^[11][35]。“完整性”的丧失意味着网络中数据被修改或破坏，进一步导致错误的电力管理决定^[5]。

（3）可用性

网络安全“可用性”是指智能电网中任何信息在任何时刻都能100%被授权方通过合理方式访问^[35]。即使电网中存在突发事件（如电力事故、攻击行为等），用户、电力装置、控制中心等依然可以获取需要的信息^[11]。一旦“可用性”被破坏，将导致数据传输中断等问题，严重情况下将对电力传输造成巨大影响^[5]。

网络攻击概念

网络攻击广义上是指任何一种破坏网络“CIA”安全目标的恶意攻击行为。本文给出网络攻击在电力CPS领域中的定义：以破坏或降低电力CPS功能为目的，在未经许可情况下对通信系统和控制系统的行为进行追踪，利用电力信息通信网络存在的漏洞和安全缺陷对系统本身或资源进行攻击。

电力CPS网络攻击分类

本节按通信网络覆盖范围和网络攻击目的为标准，对电力CPS网络攻击进行分类。

基于通信网络覆盖范围的分类方法

电力系统通信网络按覆盖范围可以分为三类，其中：家庭网络（Home Area Network, HAN）主要覆盖单个用户和多用户企业，智能家用电器通过HAN向电网实时反馈用电需求和用电模式，电网中第三方可以通过读取用户反馈的信息提供相应供电、运行管理等服务；邻域网（Neighborhood Area Network, NAN）覆盖变电站、配电系统以及HAN，NAN同样通过网关与HAN互联，从而获取HAN中电力用户的信息；广域网（Wide Area Network, WAN）覆盖发电厂、控制设备以及NAN，它通过网关与NAN互联，获取NAN信息。按照通信网络覆盖范围（如图2‑1所示），将网络攻击分为广域网络攻击、邻域网络攻击和家庭网络攻击。

图2‑1 通信网络覆盖电力系统的范围

（1）广域网络攻击

广域网（WAN）支持实时监控和保护，有助于利用电网实时状态信息预防连锁故障。同时也为智能电网骨干网络提供通信路径，在NAN和控制中心间建立长距离通路。WAN在电力系统中的应用包括广域监视、广域控制和广域保护。上述应用要求以很高频率传输大量数据点，以保证电网的稳定控制，因此采用支持更高数据速率（10Mbps-1Gbps）和更大覆盖范围（100km）的通信技术。广泛应用的技术有光纤通信、蜂窝网络、WiMAX、卫星通信等。

典型的WAN攻击目标是发电和控制设备。SCADA遥测、EMS能量管理功能、WAMS处理PMU数据、输配变电站与控制中心之间数据交互均需要通过WAN实现^[38]。以变电站自动化为例，WAN攻击可能发生在虚拟专用网络（Virtual Private Network, VPN）、拨号网络、无线网络、远程登录程序或不确定设备的木马程序处。侵入手段包括重复拨号、扫描、通信监听、密码破解。攻击可能造成系统失去负荷、信息丢失、经济损失和设备损坏、系统过载、失去稳定，甚至可能引起连锁事故^[32]。应对这些攻击，要提高系统保护能力，在密码保护的设备上不要使用相同或默认的密码；采用攻击探查程序检查是否受到攻击；检查控制程序不受到篡改^[7]。

（2）邻域网络攻击

邻域网（NAN）支持WAN和HAN之间的信息流动，将用户端收集的数据传输到电力企业。NAN包括计量网络，帮助提供远程读表、未授权使用控制和检测、远程控制现场设备等服务。NAN通过回程网络与WAN相连，来自众多NAN的数据在此整合并完成WAN和NAN间的传输。NAN应用要求能完成大量用户端或现场设备与数据集中器或变电站之间的数据双向传输。因此要求使用能支持更高数据速率（100kbps-10Mbps）和更广覆盖范围（10km）的通信技术。可以采用的技术有ZigBee、Wi-Fi、电力线载波，以及长距离有线或无线技术如WiMAX、蜂窝、数字用户线和同轴电缆。

典型的NAN攻击目标是电力变电站和配电中心。NAN将HAN与WAN相连，攻击可以直接通过电力变电站或HAN网关完成。因此保护NAN对于保护整个智能电网来说很重要。文献[39]中提出的入侵检测框架借助使用支持向量机（SVM）和人工智能方法的入侵检测系统（IDS）在NAN层检出网络攻击。文献[40]中提出了四次握手机制，在智能电网设备开始通信前建立安全连接。注意HAN设备应只限于与一个表计里的HAN管理应用通信，以减少网络攻击危险。

（3）家庭网络攻击

家庭网络（HAN）位于网络架构的用户端，支持家用电器、电动汽车或其他用户端电力设备之间的通信。HAN为可以发出或接受信号的家用电气设备提供通信服务，与智能表计、家用显示器、家庭能源管理（HEM）系统交互。HAN与其它智能电网的参与部分通过智能表计或网关互连，因此电力企业可以在HAN运行NAN应用。HAN通信要求是低功耗、低成本、简单、安全，能提供可达100kbps的数据速率和较小的覆盖范围（100m）的通信措施基本能满足要求。广泛应用的技术有ZigBee、Wi-Fi、Z-Wave、电力线载波、蓝牙和以太网。

典型的HAN攻击目标是家用电器和智能表计。HAN使用有线或无线的连接，来提供智能电网交互界面，支持用户查看电能消耗和支持实时需求响应功能。但是，HAN对于网络攻击十分脆弱，攻击者可以采用逆向工程的方式对可轻易入侵的HAN设备（如智能表计和相关的通信硬件）中的固件进行研究，针对薄弱环节进行攻击。为避免所有可能由对HAN层的网络恶意攻击引起的破坏，已有文献提出保障HAN智能仪表与用户设备可靠安全通信的方法。文献[41]中提出的安全框架将HAN设备注册登记过程整合进单个网络获取权限验证过程，可以防止恶意使用者对HAN进行未授权的连接。文献[42]提出一种基于会话密钥交换方案的新鲜度计数器（freshness counter）来防范室内智能设备和智能表计的重放攻击，该方案有助于防止智能电网中有效数据被恶意或欺骗者延迟或重复传输。文献[43]中提出的方案是数据包采用安全标签，加强信息流动的策略以防止电网受到通过HAN进行的攻击。其它的安全机制包括无线跳频、动态安全密钥管理、高级加密方案、入侵防御系统、入侵检测系统、认证与授权。

基于攻击目的的分类方法

以破坏2.1所述的网络“CIA”安全目标为目的，将攻击行为分为以破坏可用性为目的、以破坏完整性为目的和以破坏保密性为目的的网络攻击。

（1）以破坏通信可用性为目的的网络攻击

此类网络攻击主要是通过阻碍、延迟通信来中断电力传输，导致数据/信息不可用，主要涉及到通信协议的脆弱性，存在数据/信息的中断威胁^[44]。典型的攻击方式包括拒绝服务攻击（Denial-of-Service, DoS）、无线传感器网络里的黑洞攻击^[45]、改变网络拓扑引起通信延时^[7]等。

1. DoS攻击

DoS攻击是一种资源耗尽型攻击，它利用网络协议/软件存在的缺陷或发送大量无用请求耗尽被攻击对象的资源（如网络带宽^[46]），使得服务器或通信网络无法提供正常服务^[47]。DoS攻击一般可以分为以下四类^[48]：①利用协议漏洞进行攻击（如SYN Flood攻击）；②利用软件缺陷进行攻击（如OOB攻击、Teardrop攻击、Land攻击、IGMP碎片包攻击等）；③发送大量无用请求占用资源（如ICMP Flood攻击、Connection Flood攻击等）；④阻塞缓冲区的欺骗型攻击（如IP Spoofing DoS攻击）。在电力系统中，DoS攻击可能以不同类型的攻击方式存在于不同的网络层中，具体见表2‑1。

表2‑1 智能电网中不同网络层存在的DoS攻击类型

1. 黑洞攻击

黑洞攻击，也称丢包攻击，常出现在无线传感网络之类的自组织网络（Ad Hoc Network）中。攻击时，本应继续传输数据包的路由将数据包丢弃。黑洞攻击有变形的攻击方式（如灰洞攻击），此时受攻击的路由不会将所有通过的数据包都丢弃，而是按一定规律的间隔丢包，其探查可能更困难。无线网络中的黑洞攻击可以通过认证、监控和冗余来抵抗^[45]。

1. 改变网络拓扑^[7]

目前的通信网络要求可拓展、可靠、有应变能力，做到自动搜寻最短路径和原路径失效后自动寻找新的传输路径，即重新路由（re-route）^[49]。改变网络拓扑的物理攻击，断开通信线路，其目的在于使重要通信线路失效，迫使信息经由更远的路径传输，引发关键通信的时延。这一攻击认为通信时延与传输线的长度成正比。

（2）以破坏数据完整性为目的的网络攻击

这类网络攻击主要通过非法篡改数据或者注入错误数据来阻碍电网中数据正常交换的可靠性与准确性。因此，以破坏数据完整性为攻击目的的网络攻击可能存在数据/信息篡改（如电网控制指令）和欺骗（如错误的状态估计信息）的威胁。典型的攻击方式为错误数据注入攻击（False data injection attacks）、中间人攻击（Man-in-the-middle attacks, MITM）和重放攻击（Replay attacks），其中第一种攻击方式与软件开发有关，后两种攻击方式与通信协议有关。

1. 错误数据注入攻击

错误数据注入攻击将绕过错误数据检测机制，通过错误数据操纵系统状态评估结果，引起电网误动作。此攻击中，攻击者需要破坏仪表设备，注入数据，影响基于状态估计结果的电网应用程序^[32]。错误数据注入攻击也可能针对其他重要模块如电价、分布式能源状态、微电网动态分区^[34]等。

1. MITM攻击

MITM攻击是一种“间接”攻击，攻击者通过ARP欺骗、DNS欺骗等手段入侵并控制一台虚拟计算机，在原本的通信节点间形成新的通信通道^[50]。如图2‑2所示，发生MITM攻击后，控制中心给远程终端单元（Remote Terminal Unit, RTU）发送的控制指令将先被攻击者获得，对该指令进行非法篡改后，再由RTU接收导致错误动作；同理， RTU向控制中心发送的电网状态信息也可能被攻击者修改或删除，从而导致控制中心做出错误决策，尤其当电力系统处于紧急状态时，错误信息所造成的错误决策可能导致电力系统局部或整体崩溃。中间人攻击可以同时破坏可用性、整体性、保密性中的一种或几种。

图2‑2 中间人攻击原理

1. 重放攻击

重放攻击与中间人攻击的原理类似，是指攻击者通过窃听或者其他非法途径获取目的主机已接受过的数据信息，并不断恶意重复发送这类信息，以达到欺骗系统、破坏数据完整性的目的。在电力系统中，攻击者可通过网络窃听等其他非法监听途径识别并获取传输信息，如断路器跳闸的控制指令，然后在电网正常运行时重放该指令，造成断路器误动作^[38]。

（3）以破坏信息保密性为目的的网络攻击

在这类攻击下，攻击者主要通过非法监听等行为使未授权组织非法访问网络中的保密数据，非法使用这些数据对系统或其他参与者造成伤害，并从中获取利益。在电力系统中，这类网络攻击大多发生在用户侧，通过窃听器或流量分析仪等获取单个或多个用户智能表计的数据，从而分析出用户与电网状态，便于进一步攻击破坏的实施。以破坏保密性为目的的网络攻击主要存在信息泄露的威胁，也可能造成失去对设备的控制。具体实现途径有以下几种：

1. 密码破解

在变电站等网络中设备有密码和防火墙保护，攻击需绕过防火墙并且破解密码。密码可以通过暴力破解，多次尝试直到找出正确的密码。成功侵入后可再使用IP扫描工具，侵入各个用户交互界面获取信息或发出未授权的指令，如控制断路器跳闸^[51]。

1. 恶意软件和病毒

在设备上装恶意软件，传播病毒等手段，可以窃取信息。病毒和恶意软件可以通过网络或不安全的移动存储设备传播。

1. 内部员工

安全意识薄弱的员工可能将带有病毒的USB设备插入系统，或将密码设置得容易猜测，或者打开含病毒的邮件；而心怀恶意的员工得到授权可轻易对系统进行操作并规避检查^[3]。

电力CPS网络攻击场景

NIST对电力系统中涉及网络安全的典型应用场合进行了总结，包括输电操作（Transmission Operation）、配电自动化（Distribution Automation）、高级量测体系（Advanced Metering Infrastructure, AMI）、需求响应（Demand Response, DR）、用户交互（Customer Interfaces）等^[32]。本节将结合以上应用场合，按照电力系统发、输、配、用户侧几个环节展开，对可能存在网络攻击的具体场景进行总结归纳。

发电侧攻击场景

电力系统发电侧可能受到攻击的控制环节有本地控制（包括自动励磁调节装置和调速装置）和广域控制（自动发电控制）。

（1）本地控制

a) 自动励磁装置

发电机励磁控制通过向系统注入或吸收无功功率，提高系统稳定性。控制模块通过以太网与发电厂控制中心相连，通过Modbus等协议通信。

b) 调速装置

调速控制是一次调频的部分。控制器与控制中心同样是通过以太网和Modbus协议进行通信。

（2）广域控制

自动发电控制（Automatic Generation Control, AGC）是二次调频的手段，将系统频率细调至额定值。AGC控制依赖于SCADA采集的联络线潮流和系统频率测量值。文献[52]提出了利用可达性分析研究侵入AGC控制环攻击的影响，文献[53]给出了一个攻击模板，可以修改频率和联络线潮流，使系统频率异常。文献[54]研究了改变AGC控制信号的攻击，分析了控制信号受到攻击的影响。由于SCADA网络覆盖范围相对较大，AGC控制被攻击的风险较大，这方面未来的研究内容也较多，包括：①评估DoS攻击和其他能引起AGC动作的攻击的组合产生的影响；②提出特定区域错误数据探查技术，鉴别AGC受到的破坏整体性的攻击。

输电侧攻击场景

电力系统输电侧的操作包含利用SCADA系统对输电网进行监视和控制；EMS能量管理系统评估输电系统状态；继电保护设备监视输电系统状况等。及时并准确地对操作员命令进行突发状态响应在输电侧攻击场景中十分重要，实施破坏可用性和完整性的攻击的可能性较高。

（1）基于SCADA/EMS的输电网监视、分析和控制

在该场景下攻击SCADA系统，可以对网络中交换的数据进行非法操作，如非法篡改设备开关状态、警报和测量数据；攻击EMS系统，可以非法对状态评估数据、负荷预测值、操作员指令、控制动作等进行修改。因此，该场景对网络可用性、数据完整性的要求比较高。

（2）广域同步相角量测系统（WAMS）

WAMS可以为保护、控制或监视提供同步采集和带有时间戳的全系统内的电压、电流相对于同一个参考值的测量值。此系统的一个关键是整个系统的采样时钟需要对同一个时间参考同步。常见的攻击有DoS攻击、失去同步攻击（基于时间的攻击）、错误数据注入攻击。

配电侧攻击场景

电力系统配电网主要负责将电能送至用户。在智能电网环境下，可能出现网络攻击的场景包括高级量测系统（Advanced Measurement Infrastructure, AMI）、配电自动化设备、负荷管理、分布式电源管理等。

（1）高级量测体系

AMI系统由硬件、软件和相关系统/数据管理应用组成，形成终端用户和系统控制机构以及第三方之间的通信，全系统要确保点对点的信息安全。

1. 智能表计读数服务

智能表计读数服务对于不同的用户或不同的定价标准，提供不同的表计测量服务，并以此生成用户账单。为免泄露隐私或引起潜在的法律后果，AMI系统、表计数据库和账单数据库的保密性都十分重要。

1. 智能表计远程连接与开断

AMI系统中表计的连接与开端可以通过远程操作完成。远程开关控制命令的整体性与可用性，对于避免无授权断开或危险/不安全连接非常关键。若涉及表计较多，无效的开关可能产生非常重大的影响。

（2）配电自动化

配电自动化控制对于配电网安全稳定运行、用户可靠经济供电十分重要。实施破坏控制信号可用性和完整性的网络攻击，将对配电网产生不利影响。以下列举几种典型场景：

1. 监控馈线上的设备

操作员和配网应用程序通过监控馈线设备，判断是否需要采取动作（如远程开合自动化开关、远程接入切除电容器、自动紧急状况响应等）。在该场景中实施破坏可用性与完整性的攻击产生的影响较严重。

1. 负荷管理

负荷管理包括直接负荷控制和负荷切除、需求侧管理、负荷转移规划等。切负荷方案一般通过继电保护实现的，恶意攻击控制逻辑或继保通信设施可能造成预期外的配网馈线跳闸，使负荷得不到供电。确保断电报告正确、及时，避免无授权的断电对该场景十分重要。

（3）分布式电源

分布式电源包括可以向电网供电的发电和储能装置，可作为主要或紧急备用电源，提高稳定性和电能质量。

1. 用户私有分布式电源

此场景描述分布式电源接入电力系统的过程和电网表计测量要求。其中，用户信息需要保密，电网测量数据也必须准确和实时。

1. 公共设施控制下的用户分布式电源

分布式发电和储能可以作为DR，在需要时公共设施提出要求或控制设备向系统输电。安全目标要求是：①可信并准确的；②用户数据保密；③DR信息及时接收。

用户侧攻击场景

用户侧攻击场景主要是DR，其聚焦点是让客户根据当前或未来电价信息调整需求来进行响应。

（1）实时电价

对于小型用户，实时电价信号必须通过AMI系统、Internet或其他数据通道传送。在该场景中，定价信息的整体性、可用性和可信度都非常关键。同时，保密性对于用户可能对定价信号采取的任何响应也很重要。

（2）用户访问能源相关信息

配有HAN/ 楼宇能量管理（BEM）系统的用户可以与电力公共设施或第三方电能供应商进行能源相关信息交互。在该场景中，定价信息的整体性和可信度都非常关键。同时，由于涉及到用户隐私问题，网络安全中的保密性也比较重要。

（3）接入混合动力电动车

电动汽车作为可转移负荷以及移动储能电池，可以利用电价信息确定何时充电，以及分布式能源管理程序，允许电动汽车根据系统状态向电网馈电。在上述场景中，可能会涉及到用户信息私密、账单信息准确性等，需确保用户信息私密，确保电价信息准确可信。

本章小结

本章从通信网络覆盖范围和网络攻击目的两个角度对电力CPS网络攻击方式进行分类和总结，从发、输、配、用电环节出发，分析了可能成为网络攻击目标的电力系统典型场景。国内现有的电力通信系统专网架构和隔离机制，使得我国电力系统相较于国外有较强的安全性，但随着能源互联网建设，通信信息系统不断复杂和扩大，电力CPS的进一步推行也将使电网面临更多潜在的威胁。对电力CPS安全的研究重点可以放在以下方面：1）主动配电网环境下的电力CPS网络攻击研究。智能家居、电动汽车等可中断负荷和分布式发电接入使配网有主动响应功能，其常用的ZigBee、Wi-Fi等无线通信方式和终端元件暴露于外部环境使其易于入侵。如何有效识别并抵御对包含主动配电网的电力CPS的网络攻击，是一个需要研究的问题；2）考虑网络攻击的电力CPS脆弱性评估方法。以破坏可用性为目的造成的时延、误码和中断、对数据完整性的破坏以及对物理设备的直接操纵等攻击，都有可能导致电力系统非正常运行甚至引发连锁故障。提出合理的电力CPS脆弱性评估方法，能够识别系统关键节点，分散风险，提高系统可靠性，并在攻击发生时提供合理的应对策略；3）支持网络攻击场景的电力CPS混合仿真平台。目前电力CPS混合仿真平台基本只能实现数据在电力和信息系统间的交换，没有关于场景、事件的建模方法。未来还需要建立具有场景设置和攻击事件模型的仿真平台，对攻击等电力CPS系统中的复杂行为进行仿真。

第三章 基于Petri网的网络攻击建模方法

网络攻击建模概述

电网CPS作为经济社会稳定发展的关键设施，是一个很有价值的攻击目标。传统的攻击建模多集中在对单一攻击建模，而实际上现有通信技术也可以使多个攻击者从多个地点或位置对CPS系统的漏洞同时发起协作攻击，甚至造成新的脆弱点，大大提高对系统的危害。以下介绍一些现有的网络攻击建模方法。

攻击树

攻击树是一种常用的网络攻击路径和潜在威胁分析工具。在攻击树中，根节点是最终攻击目标，分支表示到达攻击目标可能的攻击路径，叶节点包含了一些子目标或中间步骤。用攻击树建模，就可以表示出攻击经过一系列子目标后到达最终目标的层次性过程。还可以用带有and/or关系的分支^[36]或者给节点赋值来描述更复杂的攻击过程。

攻击树可以以直观的方式全面地表现出攻击的步骤，并且易于进行数学分析，因此也较常用。但是攻击树建模的是按一定次序进行的顺序攻击，而且关注于单一攻击者发出的单一目标攻击，有一定的局限性。

注入信号函数

对于数据注入类的攻击，经常采用的方法是用一个函数表示攻击信号，将其叠加在正常信号上，评估攻击信号对系统的影响^[54]。不同于直接发出控制命令控制系统跳闸的攻击，注入数据的不同对系统造成的影响大小会有所不同，因此评估此类攻击时需要考虑到注入的具体数据会产生的作用。

Petri网

Petri网由于其利于处理攻击中的并发动作，成为代替攻击树来建模攻击的一种常用方法。在基础Petri网上的许多变形，如时间Petri网^[55]、有色Petri网^[56]、广义随机Petri网^[32]、确定与随机Petri网^[57]等，被用于从不同侧重点来研究网络攻击场景。

Petri网简介

Petri网是Carl Adam Petri提出的一种网状结构信息流模型，可以对具有并发、异步、分布、并行、不确定性和/或随机性的信息处理系统建模，用以分析有关系统结构的动态行为方面的信息，并对系统进行评价和改进^[58]。Petri网模型的主要分析方法依赖于可达树、关联矩阵和状态方程、不变量和分析化简规则。目前Petri网建模方法已在分布式软件系统、分布式数据库系统、离散事件系统、神经网络、决策模型、化学系统、计算机通信系统、C³I系统等众多领域得到应用^[59]。

Petri网的构成与图示

Petri网中，状态用库所（place或site）表示，描述可能的系统局部状态（条件或状况）；状态变化用变迁（transition）表示，描述修改系统状态的事件。变迁的作用是改变状态（如离散事件系统中的事件），库所的作用是决定变迁能否发生（如离散事件系统中的状态/活动）。二者之间的依赖关系用弧（arc）表示出来就是一个Petri网。弧使用两种方法规定局部状态和事件之间的关系：引述事件能够发生的局部状态；由事件所引发的局部状态的转换。

Petri网的标准图形表示是用圆圈代表库所，用方框或竖线表示变迁，用从x到y的有向弧表示有序偶(x,y)。如果(x,y)是从x到y的有向弧，就称x是y的输入，y是x的输出。

剩余内容已隐藏，请支付后下载全文，论文总字数：41190字