分析电力SCADA系统的网络攻击形式 防范虚假数据注入攻击

1、电力系统的信息物理安全问题

电力系统由物理系统与信息系统共同构成。这样，电力系统的安全问题自然就包括物理安全和信息安全两个层面。长期以来，电力系统物理安全强调系统在遇到扰动时能维持正常运行，而信息安全则针对保护与通信网络及计算机系统。信息物理融合是电力系统的长期发展趋势，目的是通过信息化提高电力系统的安全性、可靠性和运行效率。随着电力系统信息化程度的快速提高，电力系统内物理层与信息层的交互作用不断深化，两者的界限越来越模糊。在物理系统与信息系统深度融合后，信息系统故障与网络攻击不仅会破坏信息系统的功能，还可能进一步传导至物理系统，威胁物理系统的安全运行。这类新的安全问题被称为电力系统信息物理安全(cyber physical security)问题。近年来，随着针对工业系统特别是电力系统的网络攻击事件越来越多，信息物理安全问题已经引发电力公司和学术界的高度关注。

2016年1月15日，以色列电力局遭受了一次严重的网络攻击。1月16日，以色列能源和水资源部部长Yuval Steinitz在2016年度特拉维夫CyberTech大会上证实了该次攻击事件，并指出这是基础设施遭受网络攻击的一个最新例子。Dragos Security的CEO Robert Lee在SANS工控系统安全博客中指出，此次攻击是通过邮件传播勒索软件，即通过发送钓鱼邮件诱骗以色列电力局工作人员执行恶意代码。受感染的计算机相关信息被加密，需受害人付费才能解锁。以色列电力局采取切换大量计算机至离线状态来将其隔离并避免更多系统受到传染。目前尚不知道事故的确切原因和造成的经济损失。

2015年12月23日，乌克兰国家电网发生突发停电事故，导致伊万诺-弗兰科夫斯克地区近一半的家庭(约140万人口)失去供电3~6 h。经调查证实，一款名为“BlackEnergy”的恶意软件入侵了乌克兰国家电网。该恶意软件最早于2007年就被发现过。在此次攻击事件中，该恶意软件较早期的软件做了更新升级，不仅增添了名为KillDisk的清除组件，用于删除计算机磁盘驱动器内的数据并导致系统无法重启, 而且还包括了一个安全外壳协议(SSH)后门，用于方便攻击者永久访问受感染计算机。在这次攻击事件中，电力数据采集与监控(SCADA)系统受到了重创，不仅大量的存储数据被清除，而且在停电后期SCADA服务器的恢复工作也受到阻碍。

随着网络攻击导致电网停电事故的发生, 如何有效认识、检测和抵御各类恶意网络攻击是近年来电力系统网络安全领域的热门研究课题。本文讨论一种专门针对电力SCADA系统的网络攻击形式，总结并分析其原理、影响及防范措施。

2、虚假数据注入攻击的原理

电力系统控制中心通过SCADA系统对全系统的运行状态进行数据采集、监测和控制。SCADA系统将收集到的资料传送给能量管理系统(EMS)中的高级应用软件，如拓扑分析、状态估计、坏数据识别与校正、预想事故分析等，得到的结果可供调度决策参考。

随着电力系统内信息物理系统融合的不断深化，SCADA系统的脆弱性越来越受到重视。SCADA系统往往会成为网络攻击的着手环节，一般称为“SCADA Hacking”。能够用于攻击SCADA系统的网络攻击手段有很多类型, 这里着重介绍虚假数据注入攻击(false data injection attack，FDIA)。FDIA通过向分布在电网中的计量装置注入虚假数据，导致状态估计结果较非攻击状态发生偏移，并成功躲避坏数据检测机制，达到影响电力系统运行控制的目的。一般情况下，FDIA的研究基于如下假设:

1) 实施攻击行为的主体具有一定的电力系统知识，即在一定程度上了解电力系统配置信息、拓扑结构、状态估计原理和坏数据检测机制等。

2) 实施攻击行为的主体具有对全部或部分计量装置的测量值进行篡改的能力。

以直流潮流为基础的状态估计模型可简要描述为: z=Hx+e。其中，z为量测量，H为拓扑矩阵，x为待估计的状态量，e为测量误差。状态估计问题以冗余测量值为基础，可通过采用加权最小二乘法或其他方法求解目标函数J(x)=(z-Hx)TW(z-Hx)的最小值，来获得状态估计结果;W为与系统误差相关的对角矩阵。其解析解为：=(HTWH)-1HTWz。由于状态估计是以冗余测量为基础的，而测量值中可能有坏数据，这样就需要对坏数据进行检测和判断分析，以确保状态估计结果是可信的。识别坏数据的判据为：C为判断阈值。当成立时，可认为没有坏数据;否则就要剔除相应坏数据并重新进行状态估计，直至通过坏数据检测为止。

FDIA利用了该原理。可向原测量值z注入虚假数据a，导致状态估计的输入数据za=z+a较真实情况发生偏差，由此计算得到的状态量亦发生偏差，c为注入虚假数据(也称“攻击”)前后状态量的偏差。若注入的该组恶意数据满足a=Hc，不难发现其目标函数;换言之，虽然原始测量数据遭到了篡改，加入了恶意添加的坏数据，并导致状态估计结果发生偏移，但坏数据检测的目标函数值保持不变，这样就无法检测出虚假数据。基于交流潮流的状态估计模型可描述为：z=h(x)+e。由于量测量和状态量之间存在非线性关系，只能通过迭代求取x的值。此时即便注入的恶意数据不能满足使攻击前后进行坏数据检测的目标函数值保持不变，但只要其满足，即能够使其成功躲避检验阈值即可。这种情况被称为广义FDIA。

针对如何形成一次有效攻击的问题，学术界开展了三个方面的研究:

1) 考虑到实施攻击行为的主体不可能掌握电力系统的完全信息，其中最重要的信息包括用于状态估计的网络拓扑矩阵。这样，如何利用不完全的拓扑信息形成有效的攻击就是一个值得研究的重要问题。已经提出了利用市场数据(如边际价格)、历史潮流测量值等信息来判断系统拓扑结构的方法。

2) 考虑到实施攻击行为的主体不可能对任何表计都有篡改权，如何确定需要篡改表计的最小数目以及如何有效组合可篡改的表计以形成专门针对某些状态量或量测量的定向攻击行为已引起了不少学者的关注。

3) 在联合采用FDIA和拓扑攻击(topology attack)时，如何合理搭配对模拟量和数字量测量数据的共同篡改以躲避来自拓扑处理器和坏数据检测机制的双重检验。

3、虚假数据注入攻击对电力系统的影响

针对电力系统实施攻击的行为主体, 可能包括独立黑客、有组织和有预谋的黑客团体、敌对势力和国家、电力公司内部人员等。不同行为主体的攻击目的也会有所不同。常见的主要目标包括对电力系统安全造成恶意破坏和非法获取经济利益两大类。近年的研究表明，FDIA的攻击形式在由单次定向攻击向连续多次协同攻击转变, 可能造成的危害也随之增大。

就电力系统运行控制而言，实施FDIA最直接的后果就是影响在线安全性评估，即通过掩盖真实的网络状态估计信息，诱导调度员进行误操作。例如，在系统安全运行的情形下，诱骗调度员进行不必要的切负荷;或在系统处于紧急状态时，诱骗调度员不采取措施。有的FDIA并不刻意躲避坏数据检测，而是通过注入大量虚假数据，直接造成系统某一区域不可观，导致调度中心或系统控制中心无法及时了解被影响区域的具体运行状况。

就经济利益而言，FDIA可通过改变系统状态估计结果来影响系统调度计划，进而影响电力市场的出清结果(包括电价和电量)。黑客可以利用高性能计算机和复杂的软件来设计高度智能化的FDIA攻击策略。FDIA甚至可应用于实时市场，以实现低价买入和高价卖出从而套利。特别地，当联合实施FDIA和拓扑攻击时，可引起边际价格发生较大偏移，从而使实施主体获得不菲的额外收入，但同时给电网公司和消费者带来巨大经济损失。FDIA也会导致基于状态估计结果实现的安全约束经济调度(security-constrained economic dispatch，SCED)方案远离最优解，从而引起运行成本明显增加，在极端情况下甚至有可能引起调度计划不合理而发生甩负荷情况。在有些文献中, 将这种攻击形式称为负荷再分配攻击(load re-distribution attack)。

4、对虚假数据注入攻击的防御

在信息物理融合系统环境下，需要同时针对物理层和信息层进行防御，以保护物理设备和信息系统。发展高效的入侵检测方法，以快速准确地检测网络攻击, 是实现有效防御的基础。

针对FDIA的入侵，已经提出了如下防范措施：

1) 对表计采用适当的保护措施确保量测数据不被篡改，从而阻止FDIA的发生。一般可对表计采取物理保护和通信保护，或将其替换为测量更精准、带有GPS时标的PMU装置。考虑资金限制，将所有表计升级未必现实。对于具有成千上万个表计的电力系统, 需要研究最少需要保护多少个表计和怎样确定最需要保护的表计。

2) 制定入侵检测策略。期望在FDIA发生初期就能够检测到该攻击行为，以及时剔除恶意数据，使系统恢复正常操作。已经提出了采取动态改变信息结构、从历史数据中跟踪测量数据的动态偏差、基于广义似然率(generalized likelihood ratio)估计的累积和算法(cumulative sum algorithm)、随机博弈等多种方法来在线检测FDIA。

3) 构建新一代的状态估计和坏数据检测体系，以防御包括FDIA在内的多种网络攻击模式。已有文献提出建立分层分布式电力系统全状态估计的设想。

5、有待研究的问题

针对虚假数据注入攻击，现有研究主要集中于输配电系统，即以破坏SCADA系统的数据完整性与可用性为目标。针对用户侧的智能电表虚假数据注入对电力系统运行和电力市场运营的安全性的影响方面的研究还不多见。随着需求侧响应理论研究和应用技术的发展与推广，针对电力需求侧的网络攻击威胁会更加频繁和严重，很有必要开展深入研究。

有必要加强对各类网络攻击行为间协同作用的研究。从以色列和乌克兰遭受网络攻击事件可知，具有极强破坏意图的网络攻击一般联合采用多重攻击模式。此外，从这两次事件可以推测，实施网络攻击的主体对目标网络具有高度的认知。攻击者如何获得如此全面的背景知识，以及是否来源于电力公司内部尚不得而知。但从事件发生的后果可以推测，实施具有更强破坏能力的电力网络攻击是完全可能的。需要系统而深入的模拟各类网络攻击的组合效果，针对极端场景研究防御措施。

网络攻击正逐渐向高度智能化的方向发展。一方面，黑客可能在具备了攻击条件后隐匿下来，等待更好的时机，给电力系统以致命打击，极端情况下甚至可能造成系统全面崩溃;另一方面，攻击模式可能会隐匿在目标电力系统之中，随着时间累积，长期赚取不正当经济收入。所以，加强对电力系统中隐匿的网络入侵行为的“巡逻”工作至关重要，应该成为电力系统网络安全防范的日常工作。这不仅需要调度中心的计算机系统在硬件、软件、网络安全协议、系统漏洞等方面具有能有效检测木马和病毒的能力，而且要求分散在电力系统各处的远程终端单元、智能电表等智能电子设备也具有高度自检能力。

原标题：防范针对电网的虚假数据注入攻击