本發(fā)明涉及電力信息物理系統(tǒng)(Electric Cyber-Physical Systems，ECPS)安全評估領(lǐng)域，尤其涉及信息攻擊預(yù)警與ECPS脆弱性節(jié)點評估方法。

背景技術(shù)：

當(dāng)今智能電網(wǎng)已實現(xiàn)了信息通信技術(shù)、先進(jìn)控制技術(shù)、現(xiàn)代電網(wǎng)之間的高度集成，發(fā)展成為信息空間與電力系統(tǒng)緊密融合的ECPS。但目前針對ECPS的各種信息攻擊層出不窮，特別是針對廣域測量系統(tǒng)、監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)的信息攻擊將對ECPS造成嚴(yán)重破壞。如欺騙攻擊、拒絕服務(wù)攻擊、虛假數(shù)據(jù)注入攻擊和重放攻擊等信息攻擊對ECPS的危害已在近年爆發(fā)的案例中被廣泛證實。通過上述攻擊可修改或破壞一個或多個傳感器及相量的輸出測量單元(PMU)以誤導(dǎo)ECPS決策。但在電力系統(tǒng)狀態(tài)估計中，現(xiàn)有的壞數(shù)據(jù)檢測方法難以實現(xiàn)對上述異常情況的全面檢測。當(dāng)攻擊者具有一定的背景知識，在一定程度上了解電力系統(tǒng)配置信息、拓?fù)浣Y(jié)構(gòu)、狀態(tài)估計原理以及壞數(shù)據(jù)檢測機制時，可以通過篡改部分計量裝置的測量值，即可成功躲避壞數(shù)據(jù)檢測，使得ECPS對電網(wǎng)運行狀態(tài)的估計產(chǎn)生偏移，影響ECPS運行控制，甚至造成故障。

為了在電網(wǎng)系統(tǒng)工作過程中防止攻擊和錯誤造成的安全問題，通常會增加檢測裝置。該檢測裝置可以檢測到大部分攻擊的發(fā)生，配上相應(yīng)的保護設(shè)備可以減免系統(tǒng)的危害。但是可能存在一些攻擊無法通過檢測裝置得出判斷，這種攻擊稱為不可檢測攻擊。不同于可檢測的攻擊，不可檢測攻擊需要使用信息安全性評估方法，進(jìn)行預(yù)測。通過預(yù)測不可檢測范圍，通過修改系統(tǒng)整體設(shè)計或添加額外的保護裝置達(dá)到保護系統(tǒng)目的。這一優(yōu)化設(shè)計過程比針對可檢測攻擊的保護設(shè)備更具有挑戰(zhàn)性。

信息安全脆弱性評估作為一種主動防御技術(shù)，在安全事件未發(fā)生時主動分析并評估網(wǎng)絡(luò)或系統(tǒng)自身存在的安全風(fēng)險與隱患，從而能夠未雨綢繆，防范于未然；通過對不可檢測信息攻擊的預(yù)警以及分析其對ECPS造成的危害，可實現(xiàn)ECPS脆弱性節(jié)點評估，進(jìn)而根據(jù)評估結(jié)果可調(diào)整適當(dāng)?shù)娘L(fēng)險控制策略以遏制風(fēng)險。

技術(shù)實現(xiàn)要素：

本發(fā)明提出一種基于不可檢測信息攻擊預(yù)警的ECPS脆弱性節(jié)點評估方法。該方法可以安全、高效的評估ECPS的安全性與節(jié)點脆弱性。

傳統(tǒng)的脆弱性分析方法只針對特定攻擊或拓?fù)?，并且其防御策略僅面向可檢測的信息攻擊，并未涉及不可檢測的信息攻擊。本發(fā)明根據(jù)ECPS中電力系統(tǒng)的物理拓?fù)鋱D生成ECPS的局部模型，并完成一般性信息攻擊與拓?fù)錀l件下不可檢測信息攻擊的預(yù)警并評估其危害，提前感知ECPS的潛在風(fēng)險，得到更為準(zhǔn)確的分析結(jié)果，使電網(wǎng)公司可以從全局的角度評估ECPS的運行狀況，并及時加強對脆弱性環(huán)節(jié)的保護，保護ECPS的安全穩(wěn)定運行。

傳統(tǒng)的信息攻擊分析方式只包含一個目標(biāo)狀態(tài)，即單節(jié)點分析。本發(fā)明在分析面向單節(jié)點信息攻擊的基礎(chǔ)上，實現(xiàn)了適用于多節(jié)點的信息攻擊狀態(tài)預(yù)警。此外，在真實系統(tǒng)中信息攻擊往往具備持續(xù)性，本發(fā)明在瞬時信息攻擊分析的基礎(chǔ)上增加了對持續(xù)性信息攻擊的預(yù)測，評估了節(jié)點與ECPS整體的脆弱性。因此，本發(fā)明的技術(shù)框架更為綜合全面。

一種基于不可檢測信息攻擊預(yù)警的ECPS脆弱性節(jié)點評估方法，本發(fā)明特征在于針對不可檢測信息攻擊的預(yù)警并評估其對ECPS的危害，包括以下內(nèi)容：

步驟1：建立ECPS局部模型，并將其簡化為等效的線性模型。ECPS局部模型包含電力系統(tǒng)的全部目標(biāo)狀態(tài)，具體步驟如下：

步驟1.1，收集電力一次設(shè)備的拓?fù)潢P(guān)系與電氣參數(shù)信息；

步驟1.2，收集電力二次設(shè)備的類型與位置信息；

步驟1.3，根據(jù)收集信息建立ECPS局部模型，當(dāng)該模型中的電力系統(tǒng)可線性化，且拓?fù)浼s束為連通圖，并且對其的攻擊約束范圍為凸約束，則進(jìn)行步驟1.4；

步驟1.4，對于包含n個發(fā)電機的ECPS局部模型，以各發(fā)電機轉(zhuǎn)動頻率{w₁，…，w_n}、轉(zhuǎn)角{δ₁，…，δ_n}、能被攻擊的相角{θ₁，…，θ_2n}，而整體系統(tǒng)中可能存在輸入(攻擊){μ₁,…,μ_p}，p≤2n、以及輸出(觀測器){y₁,…,y_q}，q≤2n，以及各個節(jié)點狀態(tài)x為重點研究對象，將ECPS局部模型簡化為線性模型。

步驟2：在單節(jié)點被信息攻擊的前提下，對不可檢測的信息攻擊進(jìn)行預(yù)警，并尋找脆弱性節(jié)點，具體步驟如下：

步驟2.1，節(jié)點分類，

(1)依照可能出現(xiàn)的信息攻擊類型對每一節(jié)點進(jìn)行分類，包括物理上不可信息攻擊的節(jié)點、針對其的任何信息攻擊均可被檢測的節(jié)點、存在不可被檢測信息攻擊的節(jié)點等三類節(jié)點，其中存在不可被檢測信息攻擊的節(jié)點為潛在脆弱性節(jié)點；

(2)針對潛在脆弱性節(jié)點，根據(jù)該類節(jié)點的不可檢測信息攻擊中是否存在一種信息攻擊對ECPS造成破壞來定義其節(jié)點脆弱性，若存在上述可能則該節(jié)點為脆弱性節(jié)點；

步驟2.2，分析不可檢測信息攻擊的性質(zhì)，確定每個節(jié)點不可檢測攻擊的范圍：

(1)設(shè)定ECPS中電力系統(tǒng)輸出允許的誤差范圍，有信息攻擊時輸出和無信息攻擊時輸出之差在該誤差范圍內(nèi)則認(rèn)為該信息攻擊不可檢測；

(2)設(shè)置不可檢測范圍初始值為物理上允許范圍，將該范圍離散化；

(3)根據(jù)攻擊范圍的凸性質(zhì)，設(shè)計一種兩邊夾逼的方法，逐漸縮小不可檢測范圍。該兩邊夾逼的方法存在四種可能性：未發(fā)現(xiàn)不可檢測點、循環(huán)結(jié)果上下界同為可檢測點、先發(fā)現(xiàn)下界的不可檢測點、先發(fā)現(xiàn)上界的不可檢測點。前兩者以及后兩者的前半段都可使用兩邊夾逼，后兩種當(dāng)單邊確定后，可以使用二分提高程序運行速度。通過這種方法，最終找到潛在的脆弱性節(jié)點的不可檢測的攻擊范圍；

步驟2.3，分析電力系統(tǒng)中可能出現(xiàn)的破壞及漏洞，視具體情況設(shè)定ECPS中電力系統(tǒng)安全運行中需要注意的參數(shù)的范圍；

步驟2.4，潛在的脆弱性節(jié)點與其不可檢測攻擊范圍基礎(chǔ)上，當(dāng)不可檢測攻擊范圍內(nèi)的信息攻擊造成上述參數(shù)超出其安全范圍，進(jìn)行不可檢測的信息攻擊的預(yù)警，并定義該節(jié)點為脆弱性節(jié)點；

步驟2.5，針對脆弱性節(jié)點，調(diào)整對應(yīng)的安全策略。

步驟3：在多節(jié)點被信息攻擊的前提下，對不可檢測的信息攻擊進(jìn)行預(yù)警，并尋找脆弱性節(jié)點集，具體步驟如下：

步驟3.1，將多節(jié)點被信息攻擊的問題進(jìn)行分解，將其拆分為多個單節(jié)點信息攻擊問題的集合；

步驟3.2，執(zhí)行單節(jié)點信息攻擊尋找脆弱性節(jié)點步驟，確定不可檢測的多攻擊范圍集合；

步驟3.3，分析各種信息攻擊對ECPS中電力系統(tǒng)造成的破壞，對不可檢測信息攻擊進(jìn)行預(yù)警，并確定脆弱性節(jié)點的組合。

步驟4：分析持續(xù)性攻擊條件下，對不可檢測的信息攻擊進(jìn)行預(yù)警，并評估節(jié)點及節(jié)點組合的脆弱性，具體步驟如下：

步驟4.1，設(shè)定持續(xù)性攻擊時間上限K，設(shè)定每時刻對約束的等分參數(shù)N，初始狀態(tài)參數(shù)；

步驟4.2，使用遞歸方法從前往后每個時刻累加歷史信息攻擊檢測數(shù)據(jù)，根據(jù)k時刻以及當(dāng)前狀態(tài)參數(shù)判斷當(dāng)前是否安全，對不可檢測信息攻擊進(jìn)行預(yù)警，最終運行到K時刻時確定脆弱性節(jié)點；

步驟4.3，對于在持續(xù)攻擊條件下全部節(jié)點組合都脆弱的電力系統(tǒng)，根據(jù)對電力系統(tǒng)造成破壞的最短攻擊時間確定最優(yōu)先注意的脆弱性節(jié)點。

本發(fā)明的有益效果是：實現(xiàn)了單節(jié)點信息攻擊、多節(jié)點信息攻擊、以及持續(xù)性攻擊條件下對不可檢測信息攻擊的預(yù)警，評估了信息攻擊下ECPS的脆弱性。在該方法中，基于完善的ECPS局部模型，全面分析了不可檢測信息攻擊及其破壞性，分析了ECPS的脆弱性，為電網(wǎng)公司和有關(guān)部門提供安全防御的技術(shù)支持，保證ECPS中電力系統(tǒng)的信息安全與安全穩(wěn)定運行。

附圖說明

圖1是一個IEEE 3機6節(jié)點系統(tǒng)的網(wǎng)絡(luò)拓?fù)涫疽鈭D；

圖2是單節(jié)點下脆弱性節(jié)點發(fā)現(xiàn)方法流程圖；

圖3是節(jié)點獲取不可檢測攻擊范圍的流程圖；

圖4是不可檢測攻擊范圍漸變圖；

圖5為多節(jié)點受到攻擊時獲取該節(jié)點不可檢測攻擊范圍組合的流程圖；

圖6為持續(xù)性攻擊時獲取脆弱性節(jié)點組合的流程圖。

具體實施方式

下面根據(jù)附圖詳細(xì)說明本發(fā)明的技術(shù)方案，本發(fā)明的目的和效果將變得更加明顯。

圖1為IEEE 3機6節(jié)點系統(tǒng)的拓?fù)?。通過該范例，可以更好的說明本發(fā)明的目的。圖1中存在三個發(fā)電機：

(1)w₁，w₂，w₃是轉(zhuǎn)動頻率；

(2)δ₁，δ₂，δ₃為轉(zhuǎn)角；

(3)θ₁，…，θ₆為可能被攻擊的相角；

(4)系統(tǒng)u₁，u₂用于模擬攻擊；

(5)輸出y₁，y₂用于觀測攻擊，確定潛在的不可檢測節(jié)點。

如圖1所示，添加輸入(攻擊)u₁用于判斷節(jié)點θ₄是否是脆弱性節(jié)點，同理u₂用于判斷節(jié)點θ₅是否是脆弱性節(jié)點。當(dāng)同時存在u₁，u₂時，本發(fā)明方法是用于判斷θ₄，θ₅是否是一個脆弱性節(jié)點組合。

該系統(tǒng)可對應(yīng)的簡化系統(tǒng)為一個6階輸入和2階輸出的線性控制系統(tǒng)。圖1中不可檢測信息攻擊指存在一個信息攻擊使得輸出y₁，y₂與無信息攻擊時輸出十分接近，在系統(tǒng)誤差允許范圍內(nèi)。

在尋找脆弱性節(jié)點前，可以將節(jié)點類型分為三類：

(1)物理上不可信息攻擊的節(jié)點；

(2)針對其的任何信息攻擊均可被檢測的節(jié)點；

(3)存在不可被檢測信息攻擊的節(jié)點。

針對前兩類節(jié)點的信息攻擊可以簡單的防御，并非脆弱性節(jié)點，而第三類節(jié)點是潛在的脆弱性節(jié)點。

針對第三類節(jié)點：

(1)如果在該節(jié)點的不可檢測信息攻擊中，存在一個信息攻擊對電力系統(tǒng)造成的破壞超過了電力系統(tǒng)允許范圍，則可為脆弱性節(jié)點；

(2)否則僅為潛在的脆弱性節(jié)點。

對發(fā)電機驅(qū)動系統(tǒng)中，一個常見的判斷是否對電力系統(tǒng)造成的傷害的標(biāo)準(zhǔn)是轉(zhuǎn)動頻率，與實際頻率成比例關(guān)系。

圖2為單節(jié)點下脆弱性節(jié)點發(fā)現(xiàn)方法流程圖。

圖2中n為可能被攻擊的節(jié)點數(shù)，這些節(jié)點的編號為1至n，該流程圖循環(huán)n次。

每個節(jié)點做的工作為：

(1)獲取每個節(jié)點不可檢測攻擊范圍；

(2)尋找不可檢測范圍內(nèi)對電力系統(tǒng)造成的最大破壞；

(3)對比最大破壞與允許破壞量。

首先檢測全部的節(jié)點，獲取每個節(jié)點不可檢測攻擊范圍，該范圍可以為空集，意味著節(jié)點不是脆弱性節(jié)點。

圖2中F根據(jù)需要記錄信息攻擊造成電力系統(tǒng)在不同方面的最大傷害，所以可以是個向量或標(biāo)量。每次循環(huán)過程中F初始為0，所以非脆弱性節(jié)點不會改變F的值，F(xiàn)為0表示參數(shù)F并未超出允許誤差范圍，電力系統(tǒng)可安全運行。

在理論分析時常用F是否為0作為判斷是否造成傷害，本發(fā)明允許設(shè)定誤差范圍，更為貼近實際系統(tǒng)。

圖2中核心為如何獲取不可檢測攻擊范圍，圖3是節(jié)點獲取不可檢測攻擊范圍的具體流程圖。

圖3利用了本發(fā)明發(fā)現(xiàn)的攻擊范圍具有的凸性質(zhì)：如果兩個不同大小的信息攻擊不可檢測，則在這兩個信息攻擊中的所有信息攻擊步驟不可檢測。利用該凸性質(zhì)，如果能找到攻擊兩個不可檢測攻擊則在范圍內(nèi)的所有攻擊都是不可檢測攻擊，本步驟目的是找到近似的最大的不可檢測范圍，即找到最小的和最大的的值或估計值，通過圖中方法獲得該范圍。初始不可檢測范圍設(shè)置為物理上允許范圍，設(shè)定值為一個非常小的參數(shù)，通過圖3算法可以獲取近似的不可檢測范圍，設(shè)定值也是該不可檢測范圍的誤差。

圖3將攻擊范圍離散化，變成有限個(N)離散的攻擊可能。根據(jù)攻擊范圍凸性質(zhì)，首先通過逐漸夾逼找到單邊或雙邊的范圍，如果一直未能找到可能的不可檢測范圍(上下界之差低于設(shè)定值)，則可以認(rèn)為該節(jié)點不是潛在的脆弱性節(jié)點；當(dāng)上下界之差高于設(shè)定值，則判斷上下界是否為不可檢測攻擊。

圖3中所示為先檢測下界是否為不可檢測點，實際上先檢測上界也可以。如圖先檢測下界，當(dāng)?shù)谝淮伟l(fā)現(xiàn)不可檢測下界，則該下界為所需下界。之后判斷第一次發(fā)現(xiàn)不可檢測下界時，不可檢測上界是否同時發(fā)現(xiàn)，如果同時發(fā)現(xiàn)，則該上下界為最終范圍的上下界；如果未發(fā)現(xiàn)，則固定下界，開始使用二分法確定上界。同理，當(dāng)先發(fā)現(xiàn)不可檢測上界，則固定上界，使用二分法獲取新的下界。綜上，該算法執(zhí)行過程中，總共存在四種可能性的范圍變化。

圖4說明了通過圖3流程不可檢測攻擊范圍的四種可能性漸變圖。圖4中微小的分段為設(shè)定值。

圖4中分為四種可能性變化：

(1)未發(fā)現(xiàn)不可檢測點

(2)循環(huán)結(jié)果上下界同為可檢測點；

(3)先發(fā)現(xiàn)下界的不可檢測點；

(4)先發(fā)現(xiàn)上界的不可檢測點；

圖4中左上表示該節(jié)點不是在潛在的脆弱性節(jié)點，最后留下的設(shè)定值大小的誤差。右上表示前次循環(huán)結(jié)果上下界同為可檢測點，而當(dāng)前上下界同時發(fā)現(xiàn)不可檢測點。而左下和右下分別表示先發(fā)現(xiàn)下界的不可檢測點和先發(fā)現(xiàn)上界的不可檢測點，前半段使用和右上相同的算法，后半段使用二分法獲取期望的近似不可檢測范圍。后兩者使用二分是為了提高程序運行速度。其中二分法存在外擴張和內(nèi)收的可能性，注意其中用來二分的范圍的上下邊界不是當(dāng)前的下(上)邊界。

圖5為多節(jié)點受到信息攻擊時獲取該節(jié)點不可檢測范圍組合的流程圖。圖中表示判斷節(jié)點1-q可能受到攻擊時對應(yīng)的不可檢測攻擊范圍組合的方式。整體思路類似于窮舉法，其中N足夠大，每小段設(shè)定值足夠小。列舉可能同時被攻擊的節(jié)點，執(zhí)行圖5所示方法，可以解決多節(jié)點同時受到攻擊是不可攻擊范圍的近似組合。

類似于單節(jié)點情況的檢測過程，圖5存在三個關(guān)鍵變量：

(1)離散化均分?jǐn)?shù)量N；

(2)每個節(jié)點對應(yīng)的上界；

(3)每個節(jié)點對應(yīng)的下界。

通過圖5所示的窮舉法，先將節(jié)點1至q-1分為N，對其中每個離散值分別作為一個變量，最后對q節(jié)點進(jìn)行單節(jié)點獲取不可檢測節(jié)點算法，如此窮舉可以得到最終全部可能潛在脆弱節(jié)點與節(jié)點集合，最終獲取脆弱的節(jié)點與節(jié)點集合。

圖6使用了遞歸方法，函數(shù)參數(shù)包括k和v，k表示當(dāng)前時間，v表示輸入當(dāng)前時刻狀態(tài)，用于計算下一時刻狀態(tài)。圖6中N足夠大，等價于在不可檢測范圍內(nèi)采樣N個點用于脆弱性判斷。K表示持續(xù)時間的最大值。通過圖6中算法可以獲取不可檢測節(jié)點信息以及對系統(tǒng)造成破壞的所需的最短攻擊時間。

從圖6中可以看出，最后一層的可能性一共存在三種，分別為：

(1)已檢測出節(jié)點為脆弱性節(jié)點；

(2)持續(xù)時間已經(jīng)達(dá)到設(shè)定時間；

(3)已經(jīng)檢測了所有離散點。

其中“持續(xù)時間已經(jīng)達(dá)到設(shè)定時間”表示該節(jié)點并不脆弱；

“已經(jīng)檢測了所有離散點”表示該節(jié)點在持續(xù)時間為k(k<K)的時候，仍然能保持安全，仍未檢測出安全性，所以需要繼續(xù)檢測k+1時刻的N種可能性。

“已檢測出節(jié)點為脆弱性節(jié)點”表示攻擊持續(xù)k時間，存在一個對節(jié)點造成傷害的不可檢測攻擊。