電網信息物理系統數據安全博弈模型

◆劉武斌 彭華廈

?

電網信息物理系統數據安全博弈模型

◆劉武斌 彭華廈

（湖南工業大學電氣與信息工程學院 湖南 412007）

借助信息物理融合系統（Cyber-Physical System，CPS）的理論基礎所形成的電網信息物理系統（Grid Cyber-Physical System，GCPS）理念是實現電力系統向下一代智能電網發展的重要保障。GCPS在滿足信息系統（信息層）與物理系統（物理層）深度融合的同時，信息系統也為電網帶來了一系列網絡安全問題，深度的融合性注定了其將殃及物理系統。本文著重研究考慮利用博弈理論分析參與者（即電網破壞者與電網管理者）在數據安全方面的攻防對壘問題，分析壞數據注入攻擊對狀態估計的影響及繞過壞數據檢測器的一般機理，建立GCPS安全防御模型，最后通過仿真模擬模型的工作機制。

電網信息物理系統；壞數據注入攻擊；不完全信息動態博弈；精煉貝葉斯均衡

0 引言

GCPS作為二元異構復合網絡，信息網絡系統的大面積覆蓋必將原有的網絡安全威脅帶入電網中，最終危及物理實體。其安全問題包括信息系統中離散事件的網絡安全和物理系統中的連續時間實體的故障，以及由兩者交互耦合、相互作用而形成的融合性風險[1-4]，當某空間的網絡發生安全事故時，除了造成本空間內網絡部分組件被破壞，同時也會導致另一空間的網絡中與該網絡組件相依存的組件損壞或失效，進而再引發本空間中與之關聯的另一組件故障，如此反復，故障在兩個網絡之間不斷傳遞并疊加，直至將故障連鎖傳播到整個GCPS。

文獻[5] 面向智能電網的信息物理系統安全給出了試驗平臺的基本構架、作用及評估，認為更智能的電網的發展將取決于增加信息和通信技術（Information and Communication Technology，ICT）的部署，以支持新型通信和控制功能，而這種額外的依賴性也增加了來自網絡攻擊的風險，設計具有足夠網絡安全的系統，在很大程度上取決于代表性環境的可用性，例如測試平臺，其可以評估當前的問題和未來的想法。文獻還提供了通信和物理系統組件如何識別各種測試平臺研究應用程序、如何支持這些應用程序，使用在愛荷華州立大學的PowerCyber測試平臺來評估了幾個攻擊場景，利用隔離和協調方法來演示了可用性和完整性攻擊，并基于物理系統的電壓和轉子角穩定性來評估這些攻擊。Sridhar S.等[6]則強調了網絡基礎設施安全與電力應用安全相結合，以預防、減輕和容忍網絡攻擊的重要性。其基于物理電力應用和支持性網絡基礎設施的安全性，引入了一種分層方法來評估風險，提出分類以突出支持智能電網所需的網絡物理控制與必須的通信和計算之間的依賴性防止網絡攻擊，還介紹了目前旨在加強智能電網應用和基礎設施安全的研究工作和確定當前的挑戰。Mitchell R.等[7]開發了基于隨機Petri網的分析模型，以捕獲信息物理系統的對手行為與防御之間的動態，其考慮了幾種類型的故障，包括可能發生在信息物理系統上的損耗故障、滲透失敗和過濾失敗，以現代化電網為例，文獻說明了參數化過程，相應的結果揭示了最優設計條件，包括入侵檢測間隔和冗余水平，在此基礎上，現代化電網的平均故障時間最大化。另外，作者還發現在使用冗余提高整體系統的可靠性的過程中，存在過濾失敗、磨損失效和滲透失效之間的設計權衡。

文章基于上述背景首先介紹了壞數據注入攻擊成功實現的基本原理，并分析了其對電網系統的影響；再者，根據壞數據注入攻擊成功實現的條件，利用博弈理論中的不完全信息動態博弈分析了攻擊者與防御者之間的攻防博弈的一般機理，并以其對應的精煉貝葉斯均衡求解量化作為防御者可制定的最優防御策略；最后通過仿真模擬了博弈模型的運行機制，得出了排除壞數據的仿真結果。

1 壞數據注入攻擊

如圖1所示，為了監測和控制這種GCPS的行為動作，SCADA用于向連接到變電站的遠程終端單元（RTU）傳輸測量數據、狀態信息和斷路器信號。對于GCPS這樣的大規模系統，感知層丟失數據和傳感器失效是很常見。因此輸入的數據通常被輸送到所謂的狀態估計器中，該估計器向控制中心的能量管理系統（EMS）和各種操作內容（電能調度、故障分析和最優能源分配）提供所期望的準確信息。

圖1 感知執行層中的壞數據注入攻擊

錯誤數據可以通過狀態估計器及其壞數據檢測（BDD）系統刪除掉，BDD系統通過檢查接收到的數據（圖1中的z）合理匹配電網的物理模型來工作。攻擊者通過協調攻擊測量數據z來避免觸發BDD系統，從而躲避了被刪除的危機。攻擊者可以通過攻擊RTU（A1），篡改異構通信網絡（A2）或通過局域網控制中心（A3）進入SCADA系統來破壞這些數據。

假設各母線電壓幅值相等并且均為1，不計線路電阻，則無功功率不存在于量測值中，狀態變量只有電壓相角，則狀態變量和量測值之間滿足線性關系，得直流潮流方程：

原始數據中不可避免地會由于通信系統受到干擾或偶然故障等原因而出現不良數據，從而影響狀態估計的精度。因此，殘差方程表達式為：

此時，測量數據中的壞數據無法在采用基于殘差的不良數據檢測方法的情況下被發現，攻擊者可以任意篡改量測值和狀態變量值，危害到GCPS的安全穩定運行。

2 不完全信息動態博弈

圖2 博弈過程

并由貝葉斯公式，有：

3 仿真模擬

表1 博弈元素分配

由圖3可得博弈模型的博弈過程，圖4中圓圈數據點被有效地劃歸為壞數據注入點。

圖3 博弈過程

圖4 博弈效果

4 結語

文章研究旨在建立有效的數據安全博弈模型，為主動預測和防御的實現建立基礎。從壞數據注入攻擊這一角度闡述了攻擊者對GCPS成功實現攻擊的條件，根據這一量化條件，確定博弈參與人為不完全信息動態博弈，作為防御方的電網管理人員可根據精煉貝葉斯均衡解得出最佳防御策略集合，最后根據仿真結果得出該博弈模型的有效性。

[1]Khaitan S K, McCalley J D. Cyber physical system approach for design of power grids: A survey[C]//2013 IEEE Power & Energy Society General Meeting. IEEE，2013.

[2]Davis K R, Davis C M, Zonouz S A, et al. A cyber-physical modeling and assessment framework for power grid infrastructures[J]. IEEE Transactions on Smart Grid，2015.

[3]Pi Y, Zhang Y, Wang X, et al. A cyber-physical system framework for smart grid wireless communications[C]//ICT Convergence (ICTC), 2013 International Conference on. IEEE，2013.

[4]Tang Y, Li M, Wang Q. A framework of theoretical research on load control in grid cyber physical system[C]//Cyber Technology in Automation, Control, and Intelligent Systems (CYBER), 2016 IEEE International Conference on. IEEE，2016.

[5]Hahn A, Ashok A, Sridhar S, et al. Cyber-physical security testbeds: Architecture, application, and evaluation for smart grid[J]. IEEE Transactions on Smart Grid，2013.

[6]Sridhar S, Hahn A, Govindarasu M. Cyber–physical system security for the electric power grid[J]. Proceedings of the IEEE，2012.

[7]Mitchell R, Chen R. Modeling and analysis of attacks and counter defense mechanisms for cyber physical systems[J]. IEEE Transactions on Reliability，2016.

[8]Liu Y, Ning P, Reiter M K. False data injection attacks against state estimation in electric power grids[J]. ACM Transactions on Information and System Security (TISSEC)，2011.

[9]Teixeira A, Dán G, Sandberg H, et al. A cyber security study of a SCADA energy management system: Stealthy deception attacks on the state estimator[J]. IFAC Proceedings Volumes，2011.

[10]Xie L, Mo Y, Sinopoli B. False data injection attacks in electricity markets[C]//Smart Grid Communications (SmartGridComm), 2010 First IEEE International Conference on. IEEE，2010.

[11]Wang D, Guan X, Liu T, et al. Extended distributed state estimation: a detection method against tolerable false data injection attacks in smart grids[J]. Energies，2014.

[12]Chuang A S，Wu F，Varaiya P．A game-theoretic model for generation expansion planning：problem formulation and numerical comparisons[J].IEEE Transactions on Power Systems，2001.

[13]Orths A，Styczynski Z A．Game theoretical approach to power network planning[C]//2001 IEEE Porto Power Tech Proceedings，Porto，2001.

[14]Shengwei Mei，Yingying Wang，Feng Liu，et al．Game approaches for hybrid power system planning[J]．IEEE Transactions on Sustainable Energy，2012.

[15]Bu S, Yu F R. A game-theoretical scheme in the smart grid with demand-side management: Towards a smart cyber-physical power infrastructure[J]. IEEE Transactions on Emerging Topics in Computing，2013.

[16]Marden J R，Ruben S D，Pao L Y．A Model-free approach to wind farm control using game theoretic methods [J]．IEEE Transactions on Control Systems Technology，2013.