基于局部检测信息的电力系统时间同步攻击定位方法

徐飞阳， 孔 贺， 常乃超， 顾 雷， 马 婧， 薛安成

(1.新能源电力系统国家重点实验室(华北电力大学)，北京 102206；2.国家电网有限公司国家电力调度控制中心，北京 100031；3.国家电网有限公司华北分部，北京 100053)

0 引 言

电力系统作为现代社会重要的基础设施,是恐怖分子,敌对势力攻击的重要目标之一。伴随着电力系统信息层与物理层融合的加深[1,2],除传统的针对物理实体的“硬”攻击外,电力系统面临针对的网络、数据的“软”攻击风险不断上升[3,4]。当前,对于网络攻击,电力系统普遍依托物理隔离的方式实现防范[5],如在专用通道上使用独立的网络设备实现内部数据网与外部公用数据网的物理隔离。

然而,卫星时间同步攻击,不同于一般的网络攻击,它通过伪造电力系统采用的卫星信号造成与时间同步相关的装置输出时间紊乱[6],无需直接接入电力系统物理网络。因此,以卫星信号为媒介对电力系统实施攻击及其防范措施,受到了各界的广泛关注。如2012年,北美电力可靠性公司指出卫星时间同步攻击是电力系统的面临的严重威胁之一[7]。

同步相量测量单元(Phasor Measurement Units, PMUs)是现代电力系统动态监控的核心设备之一,通过卫星信号授时实现广域范围内电压电流相量的同步量测。PMU数据在为电力系统的调度控制,安全稳定运行提供重要数据支撑的同时,面临着卫星时间同步攻击的潜在威胁。研究表明,卫星时间同步攻击将导致PMU相角量测误差[8],严重影响其高级应用,甚至可能引发系统连锁故障[9]。

为防范卫星时间同步攻击,电力系统和卫星导航领域研究人员开展了大量研究。目前,时间同步攻击防范工作按使用数据源可分为三类:第一类方法为基于卫星信号数据的攻击检测方法[10,11],如基于卫星信号功率监测,信号统计特性,可见卫星数量,信号接收方向(Direction-of-Arrival, DOA)等。该类方法多来源于导航领域,在卫星信号接收机中实施。第二类方法则将卫星信号特性与电力系统量测数据相结合进行攻击检测[12,13],如通过将卫星信号伪距方程、信号载波比特征、PMU时钟偏移量与系统状态估计或PMU相角量测结合进行攻击检测。然而,上述方法中所使用的卫星信号数据在电力系统调控中心中难以直接获取,需额外增加通信设施。这两类方法存在适用范围有限,不能大范围推广应用的问题。

第三类方法则仅利用电力系统量测数据进行攻击检测与定位,可在电力系统调控中心应用。进一步,根据方法所使用的数据范围进可分为:1)基于系统全局数据的方法和2)基于线路两端数据的方法。

对于基于系统全局数据的检测方法,其多通过系统状态估计,系统建模等方式实现攻击检测与定位。目前研究人员基于状态估计残差,目标函数已提出多种攻击检测方法[7,14,15]。如文[7,14]建立了基于PMU量测的系统线性状态估计,分别以目标函数和残差最小为目标搜索受攻击PMU。其中,文[7]假设仅1个节点受到攻击。此外,亦有基于状态估计结果分析,系统建模的方法[16,17]。如文[16]通过对比SCADA状态估计与基于负荷预测信息、发电计划和PMU数据获取的预测值之间的统计特征以检测异常,但负荷预测精度难以保证。该类方法需要对系统建模,掌握系统模型参数。而获取准确的系统模型参数中难度较大。另一方面,电力系统运行状态在不断变化,状态估计模型也需及时调整。同时也有学者指出可构建状态估计无法检测的攻击策略[18],可导致状态估计检测方法失效。

对于基于线路两端数据的检测方法,其主要基于线路物理模型约束下量测量的关系实现攻击检测。如文[19,20]提出通过监测输电线路的等效阻抗、估计参数变化来检测攻击,但存在检测指标阈值设置困难的问题。针对该问题,文[21]提出了具有自适应阈值的同步攻击检测方法,可自适应于不同线路及量测噪声水平。此外,文[22,23]利用线路两端的PMU数据构造了68维特征,使用深度自编码器等机器学习方法进行攻击检测。该类方法通过线路两端的PMU数据将线路与系统解耦,以线路为对象进行攻击检测。对于调控中心而言,系统级的攻击检测可分解为对系统中各输电线路进行检测。

但值得注意的是,以线路参数为检测指标的方法实质上是对线路两端相角差异常的检测,而非对单端相角异常的检测。因此,该类方法仅依靠单条线路报警信息无法判断线路哪端的PMU受到时间同步攻击,因而无法直接进行攻击定位。且目前研究多集中于线路两端时间不同步的判定,而对方法在系统层级应用时存在的攻击定位问题研究较少。

有鉴于此,本文结合线路两端不同步检测方法[21]提供的局部攻击检测信息(报警线路)及卫星时间同步攻击下的电力系统等效图邻接矩阵构建和同步区域搜索聚合,提出了一种电力系统卫星时间同步攻击定位方法。该方法结合同步攻击特性,将系统转化为拓扑等效图并构建了邻接矩阵,结合报警线路,利用广度优先遍历搜索由报警线路分割形成的各内部同步的区域子系统,基于正常节点多于受攻击节点的假设定位攻击。该方法是文[21]方法由线路层级向系统层级场景应用的扩展,解决了该方法在系统层级应用时存在的攻击定位问题。同时保留了该方法检测性能强的优势。IEEE 39节点系统测试表明,所提方法可准确定位攻击位置,当系统多节点受不同攻击时,可区分受不同攻击的节点;相比基于状态估计的攻击检测定位方法,本文方法在攻击幅度较小情况下,定位结果更为准确。

1 线路两端PMU时间不同步检测方法及时间同步攻击定位思想

本节首先介绍了卫星时间同攻击模型及其检测方法。进一步,介绍了基于线路检测信息的时间同步攻击定位思想。

1.1 卫星时间同步攻击模型

卫星时间同步攻击可导致受攻击的PMU产生时间同步偏差。研究表明[8],时间同步偏差τ将导致2πf0τ的相角偏差,而对幅值影响较小量测影响较小。

目前常见的攻击模型有阶跃攻击,拉偏攻击等。采用PMU相角偏差表示的拉偏攻击模型如式(1)所示。

(1)

其中,攻击开始时间为t1,偏差引入阶段持续时间为ta,攻击目标相角偏差为δa。

式(1)表明,攻击过程可分为两个阶段:1)偏差引入阶段(t1至t1+ta)和2)偏差保持阶段(t1+ta之后)。

1.2 线路两端PMU时间不同步检测方法

图1 集中参数π型等值电路Fig.1 π-type equivalent circuit using lumped parameter

(2)

基于电抗短时不变特性,而同步攻击影响估计电抗,文[21]提出一种基于历史统计值检测攻击的方法。该方法使用滑动时间窗方式,当指标dk大于检测阈值时发出异常警报(见式(3))。

(3)

调控中心收到警报后结合保护,PMU数据特征等综合研判报警原因,可实现同步攻击检测。该方法无需已知线路参数,抗噪及检测性能强[21]。

1.3 基于局部(线路)检测信息的系统攻击定位思想

当系统某节点/区域受到同步攻击,受攻击节点/区域PMU将与正常区域PMU间存在时间同步偏差,进而导致受攻击节点/区域与正常区域间所连线路均发出警报。进一步,报警线路可将系统分割为若干内部同步的连通区域子系统(Subsystem, SS)。本文根据攻击节点数量,各点攻击的一致性以及攻击后各子系统是否均相邻接(是否均两两相连)将电力系统受攻击后情形分为6种,如表1所示。不同情形的攻击定位思想如下。

表1 时间同步攻击情形分类

对于情形1,3和5(攻击后子系统均相邻接(两两相连)情形),各子系统间均存在线路报警,表明各子系统均不同步。鉴于攻击资源有限,系统中仅有少部分节点可被成功攻击,因此含有效节点数量较多子系统将被认定为正常区域,其余子系统被认定为异常区域。

对于情形2,4和6(攻击后子系统不相邻接(未两两相连)情形),需进一步判定不相邻接子系统间是否同步,合并时间同步相同的子系统后,根据区域节点数量定位攻击节点。

2 基于局部(线路)检测信息的攻击定位方法

本节首先给出了结合攻击特性的系统等效图及其邻接矩阵构建方法,其次,给出了内部同步的区域子系统搜索方法。再次,分别给出了简单情形和复杂情形下的攻击定位方法。最后,给出了攻击检测与定位方法的总体流程。

2.1 结合同步攻击特性的系统等效图构建

本小节给出了结合卫星时间同步攻击特性的系统等效图G=(V,E)(V为节点集合,E为边集合)的构建方法。

卫星时间同步攻击通过伪造卫星信号欺骗电力系统的卫星信号接收机。伪造的卫星信号的覆盖范围(即攻击范围)可达数公里[6]。电力系统拓扑可分为厂站内拓扑和电网拓扑两部分。结合卫星同步攻击范围广的特性,可简化处理厂站内拓扑。

因此,节点V确定方法如下:对所监测系统,将变电站内同电压等级的电气主接线(如双母分段接线,3/2接线等)简化为一个节点。若发电厂升压变电站存在不同型号发电机(额定电压不同)经变压器升压至同电压等级情形,各变压器低压侧虽额定电压不同,仍简化为单节点。

不同节点通过输电线路或变压器连接。节点间边E的确定方法如下:连接两个节点的输电线路(单回/双回)或双绕组变压器可简化为一条边。连接三个节点的三绕组变压器,采用“星网变换”的思想,将三绕组变压器等效为三个节点间两两通过双绕组变压器相连,即三绕组变压器等效为三节点间两两连接的三条边。

通过上述处理,调控中心所监测系统可表示为等效图G=(V,E),V表示系统中的节点集合,E表示系统中输电线路及变压器支路集合。等效图构建示意图如图2所示。图2上方为电力系统图(已简化厂站内电气主接线),下方为相应的等效图。

图2 等效图构建示意图Fig.2 Schematic diagram of equivalent graph construction

2.2 结合同步攻击特性的等效图邻接矩阵构建

本小节给出了系统等效图邻接矩阵A的构建方法,为后续的内部同步区域子系统搜索提供基础。

获取等效图G后,可用邻接矩阵A=[aij]n×n表示系统各节点的拓扑连接关系。在邻接矩阵生成中,鉴于变电站内的各时间同步设备使用同一时钟源(主时钟),攻击者对主时钟发动攻击可同时改变变电站各节点的时间基准。因此,变压器支路连接节点在正常或攻击情况下均可认为是同步的。

在邻接矩阵生成中,变压器对应边做特殊标记。邻接矩阵生成规则如式(4)所示。此外,在攻击区域判别中,一座变电站包含的所有节点需被聚合为1个有效节点(计算方法见2.4节)。

(4)

2.3 内部同步的区域子系统搜索方法

系统受到时间同步攻击后,结合系统各输电线路的局部报警信息,可将系统分割为若干内部同步的区域子系统。然而,调控中心无法直接获取攻击后区域子系统的数量及包含节点。本小节结合系统节点邻接矩阵与线路报警信息对内部同步的区域子系统进行搜索。

首先,根据报警信息修改系统邻接矩阵A。令所有报警支路i-j对应元素aij=aji= 0,获取更新后的邻接矩阵A′。邻接矩阵A′表示的拓扑中已将报警支路去除,因此图中剩余的相连节点是同步的。

其次,利用广度优先遍历算法[24](Breadth first search, BFS)搜索相连通节点获取内部同步区域子系统。当所有节点均被访问,区域子系统搜索完成。

注：广度优先遍历算法是一种按层次遍历节点的方法。首先,该算法以一个未被访问过的节点作为起始节点,先访问该节点所有的相邻节点,再依次访问每个相邻节点的相邻节点,直至所有节点被访问为止。示意图见图3,搜索顺序为v0～v9。

图3 广度优先遍历示意图Fig.3 Schematic diagram of BFS

2.4 简单情形下的攻击定位

简化图G*中,系统各子系统均相邻接(两两相连)情形为简单情形,对应表1中情形1,3和5。

在简单情形中,各区域子系统均不同步。考虑到攻击资源有限,系统中仅有少部分节点可被成功攻击。因此,可根据子系统内有效节点数量(攻击者成功攻击的变电站(时钟源)数)判定攻击节点。有效节点数量Nvalid_node计算如式(5)所示。

(5)

其中,Nnode为子系统内节点数,Naij=2为子系统内aij=2的边的数量,Naij=3为子系统内aij=3的边的数量。

因此,判定结果为:正常节点为最大有效节点数量的区域子系统内节点,受攻击节点为除正常节点外其他节点。

2.5 复杂情形下的攻击定位

简化图G*中,系统存在子系统不相邻接情形(未两两相连)为复杂情形,对应表1中情形2,4和6。该情形下需判别不相邻接子系统的时间同步关系。

本小节文[25]提出的相角差时变偏差修正方法可获取子系统间的相角差偏差(可反映时间同步偏差)。进一步,通过将各子系统映射至一维时间基准轴线,使用密度聚类合并同步的子系统后,包含有效节点最多的簇内节点为正常节点,其余节点为受攻击节点。

将简化图G**中子群映射至一维时间基准轴线(以相角偏差表示),通过基于密度的噪声应用空间聚类(Density-Based Spatial Clustering of Applications with Noise, DBSCAN)[26]聚合同步的子系统,如图4所示。结合相角差估计误差,DBSCAN算法参数设置为:半径E=0.15,MinPts=1。

图4 时间同步的子系统聚类示意图Fig.4 Schematic diagram of clustering of the same time benchmark subsystems

同步子系统聚合后,复杂情形将转化为简单情形。最终判定结果为:有效节点数最多的簇为正常簇,其余簇为异常簇;正常簇内节点为正常节点,异常簇内节点为受攻击节点,且不同异常簇节点受攻击不同。

2.6 方法流程

攻击检测与定位方案流程如图5所示。攻击定位流程可分为两部分:内部同步的区域子系统搜索和同步区域合并及攻击区域判别。首先,获取目标电力系统接线图,生成系统邻接矩阵。其次,对系统各线路执行攻击检测。考虑到系统通信延迟,算法于首次检测到攻击后的t1秒后执行攻击定位程序(本文设置t1=10)。在获取攻击定位结果后,若线路报警信息发生变化或调控中心需继续监视攻击后续情况,可每t2秒更新一次定位结果(本文设置t2=5),以应对攻击时间较长的组合攻击。

图5 攻击检测与定位方案流程图Fig.5 Flowchart of attack detection and location

3 算例分析

采用IEEE 39节点标准测试系统(如图6所示)对所提方法进行测试。通过MATPOWER生成多时刻PMU数据(上传频率50 Hz),并加入0.1%强度的幅值噪声和0.02°标准差的相角噪声以模拟实际系统情况。表2给出了邻接矩阵(对称矩阵)A上三角中的非零元素。

本节设置了三个攻击案例(分别对应表1中复杂情形2, 4, 6)对本文方法进行测试,攻击模型为拉偏攻击。最后,与文[14]方法进行了对比。

图6 IEEE 39节点测试系统Fig.6 IEEE 39-bus test system

3.1 算例1:单节点攻击

本算例中,设置第0 s对节点16实施拉偏攻击,攻击目标为1°,第5 s达到攻击目标后保持恒定。表3给出了系统中检测报警线路及其报警时间。根据算法设置,在首次检测到攻击后10 s后,即10.36 s进行攻击定位。结合报警线路信息,搜索获取区域子系统(Subsystem, SS)内部节点及以子系统为节点的简化图G*。

表2 邻接矩阵A中非零元素

表3 报警线路及时刻

图7 以子系统为节点的简化图G*Fig.7 Simplified graph G* with subsystems as nodes

(6)

表4 各子系统内部节点及子系统映射值

表5 子系统间连接线路及相角差偏差

进一步,将子系统映射至以相角偏差表示的一维时间基准轴线上,映射值见表4。利用DBSCAN聚类可得:子系统1和3聚为簇1,子系统2为簇2。簇1有效节点数量(26个)远大于簇2(1个),可判定受攻击节点为节点16,与仿真设置相符,表明了本文方法的正确性。

3.2 算例2:多节点相同攻击

本算例中,设置第0 s时对节点16, 17, 18, 24, 26, 27, 28实施相同的拉偏攻击,攻击目标为1°,第10 s达到攻击目标后保持恒定。表6给出了系统中检测报警线路及其报警时间。根据算法设置,在最早报警时间后的10 s后,即10.56 s时进行系统级攻击检测。

表6 报警线路及时刻

子系统(Subsystem, SS)内部节点及简化图G*分别见表7和图8,子系统间连接线路见表8。图G*存在子系统不相邻接情况。因此,需估计子系统间相角差偏差,结果如表8所示。

图8 以子系统为节点的简化图G*Fig.8 Simplified graph G* with subsystems as nodes

表7 各子系统内部节点及子系统映射值

表8 子系统间连接线路及相角差偏差

进一步,将子系统映射至以相角差偏差表示的一维时间基准轴线,映射值见表7。利用DBSCAN聚类可得:子系统1,3,4,5聚类为簇1,子系统2为簇2。簇1包含有效节点数量为20,簇2包含有效节点数量为7。可判定受攻击节点为16, 17, 18, 24, 26, 27, 28,与仿真设置相符,表明了本文方法的正确性。

3.3 算例3:多节点不同攻击

本算例中,设置0 s时对三个节点实施三种不同的攻击,攻击设置见表9。

表9 攻击参数设置

表10给出了系统中检测报警线路及其报警时间。根据算法设置,在最早报警时间后的10 s后,即10.50 s时进行系统级攻击检测。子系统(Subsystem, SS)内部节点及简化图G*分别见表11和图9,子系统间连接线路见表12。图G*存在子系统不相邻接情况。因此,需估计子系统间相角差偏差,结果如表12所示。

表10 报警线路及时刻

图9 以子系统为节点的简化图G*Fig.9 Simplified graph G* with subsystems as nodes

表11 各子系统内部节点及子系统映射值

表12 子系统间连接线路及相角差偏差

进一步,将子系统映射至以相角偏差表示的一维时间基准轴线,映射值见表11。利用DBSCAN聚类可得:子系统1, 5, 6聚类为簇1,子系统2, 3和4分别聚类为簇2, 3和4。簇1包含24个有效节点,簇2,3和4分别包含1个有效节点。因此,判定受攻击节点为节点16, 17, 27;且三节点属于不同簇,判定三节点受攻击大小不同。方法结果与仿真设置一致,表明了方法的有效性。

3.4 方法对比

本小节将本文方法与基于状态估计的攻击检测定位方法进行比较。文[14]针对监控系统建立了基于PMU数据静态线性状态估计器,通过对残差阈值检测是否存在攻击;当检测到攻击后,对各节点PMU的残差范数排序,校正残差最大PMU相角后,再次进行攻击检测,直至状态估计残差小于阈值(本算例中残差二范数阈值设置为0.20,量测数据采用标幺值,基准容量100 MVA)。

设置攻击1和2与3.2节和3.3节算例中的攻击设置相同。基于状态估计的攻击定位与攻击引入完成后执行定位。两方法定位结果对比如表13所示。

表13 攻击定位结果对比

表13中,本文方法可定位全部受攻击节点,文[14]方法在攻击1中节点17未能成功定位,攻击2中节点27未能成功定位。其原因为,随着搜索过程中受攻击节点相角的校正(等价于受攻击节点减少,受攻击节点相角偏移减小),状态估计残差逐步变小至阈值范围内,导致部分节点漏检。如攻击2中节点27相角偏移为0.5°,文[14]方法难以对其检测,而本文方法能够检测并定位。对比结果表明,文[14]方法难以检测并定位较小的攻击,而本文方法可正确定位,攻击检测灵敏度更高,攻击定位性能更好。

4 结 论

针对基于线路两端PMU数据的卫星时间同步攻击检测方法无法判断线路哪端节点受到攻击的问题,本文提出了一种基于线路两端PMU数据的攻击检测方法提供的局部攻击检测信息(报警线路)和同步区域搜索聚合的攻击定位方法。首先,结合攻击特性给出了的系统等效图及其邻接矩阵的构建方法。其次,结合各线路攻击检测信息,给出了内部同步的区域子系统搜索方法,可生成以子系统为节点的简化图。再次,根据各子系统是否均相邻接将攻击情形划分为简单情形和复杂情形;对于复杂情形,结合相角差偏差估计与同步子系统聚合将其转化为简单情形。最后,基于正常节点数量占优假设定位受攻击节点。所提方法是对同步攻击检测方法[21]的扩展,解决了该方法在系统层级应用时仅通过单条线路报警信息无法定位受攻击PMU的问题。同时该方法集成了文[21]方法检测能力强的优点。

IEEE 39节点系统测试表明,所提方法可在不同攻击设置下定位攻击。在多节点受到不同攻击情形下,所提方法不仅可以定位受攻击节点,且通过聚类可区分受不同攻击节点。方法对比表明,相比于基于状态估计的攻击检测定位方法,在攻击幅度较小情况下,所提方法定位结果更为准确。

所提方法需系统网架中各节点均装设了PMU,适用于我国500 kV及以上系统。此外,当系统的节点数越多,节点间联系越紧密,出现复杂情形(子系统不相邻接)的概率越小,攻击定位结果将更加可靠。