网络拓扑攻击下电力信息物理系统的双层攻击模型

刘梦寒,刘永慧

(上海电机学院 电气学院,上海 201306)

随着信息通信技术的高速发展,电力系统呈现出高度自动化与智能化的特征,形成了电力信息物理系统(Cyber-physical Power System,CPPS)[1]。由于CPPS的通信网络存在开放性、脆弱性的问题,其遭受网络攻击的风险也正潜在增加[2]。

一类新型的网络攻击——网络拓扑攻击被学者们进行了广泛讨论。文献[3]提出网络拓扑结构的不合理是干扰电网安全稳定运行的关键因素,其对电网的状态估计具有重大影响[4-5]。因此,针对CPPS的网络拓扑进行攻击会造成巨大的损失。

为了实现网络拓扑攻击隐蔽性,文献[6]对如何协同篡改关键量测量进行了分析。文献[7]提出了一种针对采集量进行篡改的拓扑攻击,这种攻击会使调控系统错误地识别CPPS当前的网络拓扑信息。文献[8]提出在网络拓扑攻击中注入虚假数据掩盖系统真实的断线故障。文献[9]将网络拓扑攻击分为了3类,即移除线路攻击、附加线路攻击以及线路交换攻击。为了研究网络拓扑攻击对电力市场的影响,文献[10]提出了一种基于拓扑篡改的电力市场网络攻击方案。在考虑系统中保护与断路器配置的情况下,文献[11]提出了一种协同篡改支路量测量和保护信息的拓扑攻击方式,证明了攻击者的攻击效果严重受攻击资源限制。上述针对网络拓扑攻击的研究并未直接考虑潮流转移现象对系统成本损失的影响,也并未考虑线路攻击成本对攻击方选择攻击方案的影响。

基于上述考虑,本文通过分析网络拓扑攻击的原理,建立了一种基于交流潮流模型建模的网络拓扑攻击双层模型。首先,提出一种通过注入虚假数据,制造线路发生虚假过载的攻击模式。然后,对拓扑攻击产生的代价进行定义[12-13],计算线路攻击成本,并建立了网络拓扑攻击双层优化模型。最后,本文选择帝国竞争算法对攻击模型进行求解,验证了该攻击模型的有效性。

1 拓扑攻击模式设计

在网络拓扑攻击中,攻击方通过篡改上传到调度中心的保护信息数据,误导调度中心做出一系列错误的调度动作。当攻击方篡改线路的保护信息后,调度中心认为其拓扑发生了改变,而此时被上传至调度中心的电网拓扑信息应与被采集的量测信息相匹配。为实现攻击的隐蔽性,攻击方应协同篡改电网拓扑的保护信息和量测数据。

目前,故障线路的有功潮流转移已经成为大面积线路过载的主要原因[14]。线路过载时,电网调度人员通常采用切负荷、调整发电机出力等操作,使过载的线路上的潮流恢复至正常水平。考虑到潮流转移现象对攻击模式设计的影响,攻击方在篡改线路保护信息的同时,通过向其相邻线路的量测数据中注入虚假数据,将被“切除”的线路上的潮流“转移”到相邻线路上,具体的攻击模式如图1所示。图中,L1、L2、L3分别为线路1、2、3的潮流;a1、a2、a3分别为向线路1、2、3注入的虚假数据;Lmax为线路潮流上限。

图1 攻击模式示意图

系统遭受攻击后,调度中心会得到电网拓扑结构改变以及多处线路过载的信息。由于安全约束经济调度(Security-constrained Economic Dispatch,SCED)能够实现电网经济、安全运行,因此假设系统被攻击后,调度人员利用SCED 来消除线路过载。整个网络拓扑攻击的过程如图2所示。

2 攻击模型与模型求解

2.1 攻击成本

可将线路攻击代价分为拓扑结构攻击代价与调度资源攻击代价两部分,具体分析如下:

(1) 拓扑结构攻击代价。在复杂网络理论中,将节点度数定义为节点连接边的数目,而边度数可定义为两端节点度数之积。线路的边度数越低,在网络中的位置越边缘,布置在其两侧的防御资源越少,相应攻击代价也越低。也可用边介数衡量线路的重要程度,但因介数计算比较复杂,故本文只用度数衡量。

用边度数定义线路l的攻击代价为

式中:ki、kj分别为线路l两边节点的度数;N(·)为归一化函数。

(2) 调度资源攻击代价。以电力节点的发电机有功出力上限和负荷大小代表该节点的资源调度水平。两者数值越小的电力节点所对应信息节点的资源调度水平越低,在其周围部署的防御资源越少,则对应的攻击代价越低。用调度资源定义攻击代价为

式中:PGi,max为发电机节点出力上限;PFi为发电机节点的负荷量;Pi、Pj为两节点可调用的资源量;Vl为线路l可调用的资源量。

(3) 线路攻击代价。综合以上两种攻击代价定义线路l的攻击代价为

2.2 双层攻击模型

本攻击模型分为上、下双层模型。2.2.1 上层模型 上层模型描述攻击方的行为,即攻击方篡改线路保护信息的同时,向电网中注入虚假数据,以花费最小的攻击代价为前提,将系统的损失最大化。目标函数为

式中:G1为发电机所在的节点集合;D1为负荷所在的节点集合;I1为受拓扑攻击线路的集合;分别为节点i经过SCED调度后的机组出力与切负荷量;ci、cs,i、cl分别为发电单位成本、切负荷单位成本、线路攻击单位成本。

约束条件主要有:

(1) 躲避不良数据检测的约束。虚假数据注入后的状态估计加权残差和的计算表达式为

为实现攻击的隐蔽性,使注入的虚假数据躲过不良数据检测,其应小于一定的检验阈值。

(2) 潮流转移约束。注入虚假数据时,将I1中被篡改信息的线路的量测数值取为零,I1中线路上的潮流转移到相邻的线路上,并约束潮流转移后的线路发生过载。具体约束条件如下:

式中:I2为要注入虚假数据的线路的集合;al为注入的虚假数据向量;为I2中受拓扑攻击前线路的原量测向量分别为受拓扑攻击的线路的量测向量与被注入虚假数据的量测向量;为I2中线路的量测向量的上限。

(3) 攻击资源约束。由于攻击方的资源有限,应对其攻击资源进行约束如下:

2.2.2 下层模型 下层模型主要对调度方的行为进行描述,即设置SCED为调度手段,在满足一系列安全约束的条件下实现系统的经济安全运行。目标函数为

约束条件为SCED中的安全约束条件。

2.3 攻击模型求解

帝国竞争算法是一种模拟帝国主义国家相互竞争行为的启发式算法,其对“调度问题”的求解具有良好效果[16]。因此,本文利用帝国竞争算法对攻击模型进行求解。

求解时,首先随机生成Npop个“国家”(初始解)。其次,上层模型生成每个“国家”所对应的攻击向量,并将其传至下层模型中,下层模型调用SCED。然后,选取式(5)为“国家”的成本函数,成本值越大则“国家”势力越强大,选取势力强大的“国家”为“帝国”,其余为“殖民地”。最后,设置“只剩一个帝国”为终止条件,进行帝国竞争等操作,直到满足终止条件后,寻到最优解。

3 算例分析

本文采用IEEE 14节点系统对本文模型进行仿真,并选择MATPOWER7.1工具包中对IEEE 14计算的潮流值作为仿真参数。

3.1 不考虑线路攻击成本

对不考虑线路攻击成本的攻击模型进行求解。考虑到攻击方所拥有的攻击资源有限,将N1设置为1,N2设置为2。

当攻击方将需要篡改的保护信息的线路设置为线路1到线路20,所对应的仿真结果如图3所示。采用总发电成本与总切负荷成本之和表示攻击后果。为了将仿真结果进行有效对比,将三者的数值都进行了归一化处理。

图3 攻击后果、线路攻击代价与边度数对比

由图3可见,线路的攻击代价与攻击后果基本呈正相关。而利用IEEE 9节点系统仿真也能得到上述结论,仿真结果如图4所示。

图4 利用IEEE 9系统仿真的结果

以上结果说明,当不考虑线路攻击成本时,攻击方通常会选择攻击代价与边度数较高的线路进行攻击。因为线路的重要程度可由线路的资源调度水平、边度数值衡量,而线路的攻击代价值与二者呈正相关,所以在一般情况下,线路的攻击代价越大,线路在电网中的重要程度越高。

3.2 考虑攻击成本的攻击方案的对比分析

假设ci、cs,i与cl为100,将发电机有功出力与切负荷量进行标幺化处理,仿真结果如表1所示。

表1 线路攻击单位成本为100时部分攻击方案攻击效果

通过求解模型,得出最优攻击方案为:攻击线路15。由IEEE 14系统参数可知,遭受网络拓扑攻击前系统的发电成本为272.39,对比表1中的攻击后果,可知网络拓扑攻击会给系统带来较大的损失。

将表1中攻击方案的攻击结果与相应的线路攻击代价进行对比,如图5所示。攻击后果为系统的总发电成本与总切负荷成本相加后,再减去相应的攻击成本。由图5可知,选择攻击线路14时,即使花费的攻击成本最低,造成的攻击后果也并非最大。

图5 线路攻击单位成本设置为100时攻击后果、线路攻击代价对比

将ci、cs,i设置为100,将cl设置为50,仿真结果如表2所示。通过求解模型,得出最优攻击方案为:攻击线路4。

表2 线路攻击单位成本为50时部分攻击方案攻击效果

将表2中攻击方案的攻击结果与相应的线路攻击代价进行对比,如图6所示。选择攻击线路4会花费最高的攻击成本,但造成的攻击后果最大,所以会被攻击方优先考虑。

图6 线路攻击单位成本设置为50时攻击后果、线路攻击代价对比

综上所述,当攻击方利用本文提出的攻击模式对系统进行攻击时,经济损失较大,且当攻击方不考虑攻击成本时,会选择重要程度较高的线路进行攻击。考虑攻击成本时,攻击单位成本较高,攻击方可能会攻击重要程度中等、较低的线路;若攻击单位成本较低,则攻击方可能攻击重要程度较高的线路。

4 结论

本文基于交流潮流模型对考虑线路攻击成本的网络拓扑攻击双层模型进行建模。仿真表明,攻击方在进行线路保护信息篡改的同时,若通过注入虚假数据造成潮流转移的假象,会造成重大的损失,而且攻击方选择的攻击方案与线路攻击成本相关。