电网信息物理系统数据安全博弈模型

◆刘武斌 彭华厦



电网信息物理系统数据安全博弈模型

◆刘武斌 彭华厦

（湖南工业大学电气与信息工程学院 湖南 412007）

借助信息物理融合系统（Cyber-Physical System，CPS）的理论基础所形成的电网信息物理系统（Grid Cyber-Physical System，GCPS）理念是实现电力系统向下一代智能电网发展的重要保障。GCPS在满足信息系统（信息层）与物理系统（物理层）深度融合的同时，信息系统也为电网带来了一系列网络安全问题，深度的融合性注定了其将殃及物理系统。本文着重研究考虑利用博弈理论分析参与者（即电网破坏者与电网管理者）在数据安全方面的攻防对垒问题，分析坏数据注入攻击对状态估计的影响及绕过坏数据检测器的一般机理，建立GCPS安全防御模型，最后通过仿真模拟模型的工作机制。

电网信息物理系统；坏数据注入攻击；不完全信息动态博弈；精炼贝叶斯均衡

0 引言

GCPS作为二元异构复合网络，信息网络系统的大面积覆盖必将原有的网络安全威胁带入电网中，最终危及物理实体。其安全问题包括信息系统中离散事件的网络安全和物理系统中的连续时间实体的故障，以及由两者交互耦合、相互作用而形成的融合性风险[1-4]，当某空间的网络发生安全事故时，除了造成本空间内网络部分组件被破坏，同时也会导致另一空间的网络中与该网络组件相依存的组件损坏或失效，进而再引发本空间中与之关联的另一组件故障，如此反复，故障在两个网络之间不断传递并叠加，直至将故障连锁传播到整个GCPS。

文献[5] 面向智能电网的信息物理系统安全给出了试验平台的基本构架、作用及评估，认为更智能的电网的发展将取决于增加信息和通信技术（Information and Communication Technology，ICT）的部署，以支持新型通信和控制功能，而这种额外的依赖性也增加了来自网络攻击的风险，设计具有足够网络安全的系统，在很大程度上取决于代表性环境的可用性，例如测试平台，其可以评估当前的问题和未来的想法。文献还提供了通信和物理系统组件如何识别各种测试平台研究应用程序、如何支持这些应用程序，使用在爱荷华州立大学的PowerCyber测试平台来评估了几个攻击场景，利用隔离和协调方法来演示了可用性和完整性攻击，并基于物理系统的电压和转子角稳定性来评估这些攻击。Sridhar S.等[6]则强调了网络基础设施安全与电力应用安全相结合，以预防、减轻和容忍网络攻击的重要性。其基于物理电力应用和支持性网络基础设施的安全性，引入了一种分层方法来评估风险，提出分类以突出支持智能电网所需的网络物理控制与必须的通信和计算之间的依赖性防止网络攻击，还介绍了目前旨在加强智能电网应用和基础设施安全的研究工作和确定当前的挑战。Mitchell R.等[7]开发了基于随机Petri网的分析模型，以捕获信息物理系统的对手行为与防御之间的动态，其考虑了几种类型的故障，包括可能发生在信息物理系统上的损耗故障、渗透失败和过滤失败，以现代化电网为例，文献说明了参数化过程，相应的结果揭示了最优设计条件，包括入侵检测间隔和冗余水平，在此基础上，现代化电网的平均故障时间最大化。另外，作者还发现在使用冗余提高整体系统的可靠性的过程中，存在过滤失败、磨损失效和渗透失效之间的设计权衡。

文章基于上述背景首先介绍了坏数据注入攻击成功实现的基本原理，并分析了其对电网系统的影响；再者，根据坏数据注入攻击成功实现的条件，利用博弈理论中的不完全信息动态博弈分析了攻击者与防御者之间的攻防博弈的一般机理，并以其对应的精炼贝叶斯均衡求解量化作为防御者可制定的最优防御策略；最后通过仿真模拟了博弈模型的运行机制，得出了排除坏数据的仿真结果。

1 坏数据注入攻击

如图1所示，为了监测和控制这种GCPS的行为动作，SCADA用于向连接到变电站的远程终端单元（RTU）传输测量数据、状态信息和断路器信号。对于GCPS这样的大规模系统，感知层丢失数据和传感器失效是很常见。因此输入的数据通常被输送到所谓的状态估计器中，该估计器向控制中心的能量管理系统（EMS）和各种操作内容（电能调度、故障分析和最优能源分配）提供所期望的准确信息。

图1 感知执行层中的坏数据注入攻击

错误数据可以通过状态估计器及其坏数据检测（BDD）系统删除掉，BDD系统通过检查接收到的数据（图1中的z）合理匹配电网的物理模型来工作。攻击者通过协调攻击测量数据z来避免触发BDD系统，从而躲避了被删除的危机。攻击者可以通过攻击RTU（A1），篡改异构通信网络（A2）或通过局域网控制中心（A3）进入SCADA系统来破坏这些数据。

假设各母线电压幅值相等并且均为1，不计线路电阻，则无功功率不存在于量测值中，状态变量只有电压相角，则状态变量和量测值之间满足线性关系，得直流潮流方程：

原始数据中不可避免地会由于通信系统受到干扰或偶然故障等原因而出现不良数据，从而影响状态估计的精度。因此，残差方程表达式为：

此时，测量数据中的坏数据无法在采用基于残差的不良数据检测方法的情况下被发现，攻击者可以任意篡改量测值和状态变量值，危害到GCPS的安全稳定运行。

2 不完全信息动态博弈

图2 博弈过程

并由贝叶斯公式，有：

3 仿真模拟

表1 博弈元素分配

由图3可得博弈模型的博弈过程，图4中圆圈数据点被有效地划归为坏数据注入点。

图3 博弈过程

图4 博弈效果

4 结语

文章研究旨在建立有效的数据安全博弈模型，为主动预测和防御的实现建立基础。从坏数据注入攻击这一角度阐述了攻击者对GCPS成功实现攻击的条件，根据这一量化条件，确定博弈参与人为不完全信息动态博弈，作为防御方的电网管理人员可根据精炼贝叶斯均衡解得出最佳防御策略集合，最后根据仿真结果得出该博弈模型的有效性。

[1]Khaitan S K, McCalley J D. Cyber physical system approach for design of power grids: A survey[C]//2013 IEEE Power & Energy Society General Meeting. IEEE，2013.

[2]Davis K R, Davis C M, Zonouz S A, et al. A cyber-physical modeling and assessment framework for power grid infrastructures[J]. IEEE Transactions on Smart Grid，2015.

[3]Pi Y, Zhang Y, Wang X, et al. A cyber-physical system framework for smart grid wireless communications[C]//ICT Convergence (ICTC), 2013 International Conference on. IEEE，2013.

[4]Tang Y, Li M, Wang Q. A framework of theoretical research on load control in grid cyber physical system[C]//Cyber Technology in Automation, Control, and Intelligent Systems (CYBER), 2016 IEEE International Conference on. IEEE，2016.

[5]Hahn A, Ashok A, Sridhar S, et al. Cyber-physical security testbeds: Architecture, application, and evaluation for smart grid[J]. IEEE Transactions on Smart Grid，2013.

[6]Sridhar S, Hahn A, Govindarasu M. Cyber–physical system security for the electric power grid[J]. Proceedings of the IEEE，2012.

[7]Mitchell R, Chen R. Modeling and analysis of attacks and counter defense mechanisms for cyber physical systems[J]. IEEE Transactions on Reliability，2016.

[8]Liu Y, Ning P, Reiter M K. False data injection attacks against state estimation in electric power grids[J]. ACM Transactions on Information and System Security (TISSEC)，2011.

[9]Teixeira A, Dán G, Sandberg H, et al. A cyber security study of a SCADA energy management system: Stealthy deception attacks on the state estimator[J]. IFAC Proceedings Volumes，2011.

[10]Xie L, Mo Y, Sinopoli B. False data injection attacks in electricity markets[C]//Smart Grid Communications (SmartGridComm), 2010 First IEEE International Conference on. IEEE，2010.

[11]Wang D, Guan X, Liu T, et al. Extended distributed state estimation: a detection method against tolerable false data injection attacks in smart grids[J]. Energies，2014.

[12]Chuang A S，Wu F，Varaiya P．A game-theoretic model for generation expansion planning：problem formulation and numerical comparisons[J].IEEE Transactions on Power Systems，2001.

[13]Orths A，Styczynski Z A．Game theoretical approach to power network planning[C]//2001 IEEE Porto Power Tech Proceedings，Porto，2001.

[14]Shengwei Mei，Yingying Wang，Feng Liu，et al．Game approaches for hybrid power system planning[J]．IEEE Transactions on Sustainable Energy，2012.

[15]Bu S, Yu F R. A game-theoretical scheme in the smart grid with demand-side management: Towards a smart cyber-physical power infrastructure[J]. IEEE Transactions on Emerging Topics in Computing，2013.

[16]Marden J R，Ruben S D，Pao L Y．A Model-free approach to wind farm control using game theoretic methods [J]．IEEE Transactions on Control Systems Technology，2013.