唐云泽 苏晓茜
电力系统的运行与控制需要信息的传输和交互,攻击信息系统会严重影响电力系统的运行,严重的情况会导致大停电,如2015年的乌克兰大停电和2019年的委内瑞拉大停电。因此,需要对网络攻击方法进行总结和分析,为网络攻击的防御提供基础。基于此,本文首先总结了不同信息攻击方法的原理,然后针对不同的电网设备分析了可能的信息攻击方法,最后根据不同攻击方法的特征,提出了网络攻击防御的思路。
随着先进的计算机与通信技术在电力系统中得到广泛的应用,传统的电力系统与信息通信系统高度耦合,使电力系统发展成为信息物理融合电力系统。CPPS通过传感器网络与信息通信网络全面、实时地获取电力系统的运行信息。信息系统增强了现代电力系统的可观测性与可控性,但同时也使电力系统遭受可能的网络攻击。
作为现代社会的关键基础设施,电力系统是网络攻击的高价值目标,近年来,国内外发生多起由网络攻击引起的大停电事件。例如,2015年,乌克兰国家电网遭受网络攻击,导致约22.5万人遭受停电数小时的困扰,该事件也被认为是第一起由网络攻击引起的大停电事件。2019年,委内瑞拉古里水电站遭受网络攻击,包括首加拉加斯在内的十八个州电力供应中断,导致地铁无法运行与大规模的交通拥堵,国民经济遭受巨大损失。
由此可知,一旦电力系统遭受恶意的网络攻击,会造成十分严重的后果。由于通信在电力系统发、输、配、用电等方面均有应用,造成了网络攻击方式的多样化,比较典型的攻击方式有坏数据注入攻击(False Data Injection Attack, FDIA)、拒绝服务(Denial -of-Service, DoS攻击、中间人(Man-in-the-Middle, MITM)攻击和重放攻击等。因此,总结和分析电力系统网络攻击方法,了解不同类型的网络攻击,对于检测识别信息攻击和制定有效的防御措施具有重要意义。
基于此,本文对近年来CPPS的网络攻击方法的相关研究进行总结。首先给出网络攻击的定义和不同类型网络攻击的简单介绍;然后,分析不同攻击方法的适用场景;最后,总结了针对网络攻击的安全防御方法。
美国国家标准和技术研究院(NIST)在7628号报告中提出了网络安全三要素,分别为保密性、完整性、可用性,简称CIA。网络攻击可以理解为任何破坏CIA安全目标的网络行为。网络攻击在CPPS领域的定义:以破坏或降低CPPS功能为目的,在未经许可情况下对通信系统和控制系统行为进行追踪,利用电力信息通信网络中存在的漏洞和安全缺陷,对系统本身或资源进行攻击。
网络攻击的类型繁多,主要包括以下几种常见的网络攻击方法。
(一)FDIA攻击
FDIA是一种能干扰电力系统状态估计过程的重要网络攻击。一次成功的FDIA可以导致状态估计器向控制中心输出错误的结果,从而对电力系统造成物理或经济上的影响。FDIA通过向传感器的测量结果中注入错误向量来影响状态估计的结果。
状态估计可以根据传感器的测量值估计电力系统的状态。测量值包括母线电压、母线的有功无功功率注入、支路的有功无功潮流等。正常的测量数据通常能得到接近实际值的状态变量的估计,而错误的测量数据会使估计的结果偏离实际值。不良数据检测旨在检测、识别和消除整个系统中的测量误差。通常使用测量残差的二范数来检测不良数据是否存在。FDIA通过状态估计算法容忍的小测量误差来避免不良数据的检测。
(二)DoS攻击
DoS攻击广义上指任何导致被攻击的服务器不能正常提供服务的攻击方式。具体而言,DoS攻击是指攻击网络协议存在的缺陷或通过各种手段耗尽被攻击对象的资源,以使得被攻击的计算机或网络无法提供正常的服务,直至系统停止响应或崩溃的攻击方式。
要对服务器进行DoS攻击,主要有以下两种方法:迫使服务器的缓冲区满,不接收新的请求;使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
单一的DoS攻击一般是采用一对一方式,当攻击目标CPU运行速度、内存或网络带宽等各个性能指标较低时,它的效果较明显。但随着计算机与网络技术的发展,计算机处理能力迅速增强,内存大大增加,使得DoS攻击的难度增加,分布式拒绝服务(DDoS)攻击应运而生。DDoS利用更多的“傀儡机”来进行攻击,以更大的规模来攻击受害者。
(三)MITM攻击
MITM攻擊是一种间接的入侵攻击,这种攻击手段利用系统缺乏身份认证的缺点,通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就被称为“MITM”。攻击者可以利用MITM冒充合法参与者,拦截和操纵两台通信计算机之间传输的数据包,并注入新的恶意数据包,而不被对方发现,从而达到数据篡改与窃取的目的。ARP欺骗与DNS欺骗是两种常见的MITM攻击手段。
(四)重放攻击
重放攻击是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。
重放攻击的基本原理就是把以前窃听到的数据原封不动地重新发送给接收方。当攻击者知道这些数据的作用时,就可以在不知道数据内容的情况下通过再次发送这些数据以达到误导接收端的目的。比如,在CPPS环境下,电力系统发生故障时,攻击者可以发送正常运行时的数据,使操作中心误以为系统仍处于正常运行状态,从而延误了故障处理的时间,扩大故障影响。同理,电力系统在正常运行时,攻击者可以发送故障运行时的数据,导致控制中心发出错误的控制命令。
重放攻击与MITM攻击原理类似,都是一种欺骗攻击,不同的是,对于重放攻击,攻击者获取发送端发给接收端的包后,不会做修改,而是在适当时机原封不动发给接收端。而对于MITM攻击,攻击者把自己当做发送端与接收端的中间人,发送端发送的信息会被攻击者截取然后做一些操作再发给接收端。相对于发送端来说,攻击者是接收端,而相对于接收端来说,攻击者是发送端。
网络攻击削弱或破坏二次系统的正常功能来达到攻击目的,若SCADA系统、WAMS、AMI等二次系统发生故障或遭受恶意攻击,出现信息的中断、延迟、篡改等,会导致控制中心下达错误指令,决策单元误动或退出运行。下面列出一些典型的网络攻击场景。
(一)SCADA System
SCADA系统用于监控国家关键基础设施,如智能电网、石油和天然气、发电和输电、制造业等。在电力系统中,SCADA系统应用最为广泛,作为能源管理系统(EMS)最主要的一个子系统,它可以对现场的运行设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。
SCADA系统可能遭受的网络攻击主要有:
1.FDIA
针对SCADA系统状态估计的FDIA较为常见。如第二节所述,状态估计的基本原理是从配置各种仪表的电网的现有测量结果中推断电力系统的运行状态,攻击者通过向多个传感器注入错误向量达到攻击目的。即使状态估计有不良数据检测机制,但是精心构建的FDIA可以轻易绕过这种检测。即使攻击者缺乏对电网的运行信息,同样可以构建FDIA来进行攻击。
2.DoS
SCADA系统的RTU可能遭受DoS攻击。RTU将接收到的来自传感器的模拟信号转化成数字信号,并通过各种分布式网络协议传输到控制中心。RTU通过多种通信基础设施与主终端单元(MTU)相连。当RTU遭受DoS攻击时,产生的影响是双向的:一方面,MTU无法从RTU获取数据;另一方面,从MTU发送的命令可能无法到达RTU。
3.错误顺序逻辑攻击
SCADA系统的控制过程可以看作是参数值、执行时间和时序逻辑的结合,控制命令的执行逻辑有可能遭受恶意攻击,从而使破坏系统操作,影响物理过程。
4.重放攻击
攻击者首先记录传感器测量向量,再在适当时机向控制系统发送记录的数据。在此情况下,控制器无法进行闭环控制,因此在重放攻击下,无法保证系统的控制性能。
(二)WAMS
WAMS是基于同步相量测量技术和现代通信技术,对地域广阔的电力系统运行状态(如线路负载、电压稳定裕度和功率振荡等)进行监测分析,为电力系统实时运行和控制服务的系统。测量的广域信息具备时间上同步、空间上广域的优点,同时可以根据GPS时标得到同步相量测量的结果,极大地改善了电力系统的可观性。相比较于SCADA系统而言,WAMS具有更严格的延迟要求,能实现对全网同步相角以及电网主要數据的实时高速率采集。其中,PMU是WAMS应用的基础,是WAMS的基本组成单元。
WAMS可能遭受的网络攻击:
1.GSA
PMU是WAMS中基本的测量装置,利用GPS来为电压和电流向量附加时间标记。然而,同步测量对GPS的依赖使得PMU容易受到GSA。如第二节对GSA的介绍所述,GSA提供给PMU虚假的时间标记,而错误的时间标记将对电力系统的输电线路故障检测、电压稳定性监测和事件定位产生影响。
2.Delay Attack
WAMS具有严格的延迟要求,如端到端延迟以及不同PMU的测量值之间的延迟变化。在PMU将带有时间标记的测量数据提供给向量数据集中器(PDC)时,会受到延迟攻击。PDC是通信网络中的节点,其中来自多个PMU或PDC的同步相量数据被处理,并作为单流被馈送到较高层PDC和/或应用。PDC将具有相同时间标记的不同PMU的测量值分组到时间标记的缓冲区中。每次PDC接收到带有新时间标记的相量测量时,都会启动新的时间戳缓冲区。当缓冲区满时,PDC将该组测量转发到其它PDC和/或同步相量应用。当数据传输过程中遭受延迟攻击,那么这些数据可能在PDC中被丢弃,使PDC输出的数据不完整。
3.DoS
WAMS同样会遭受DoS攻击。如之前所说的,端到端会有很小的延迟,而DoS可以使这种延迟急剧增大,并且部分数据包会丢失。DoS同样会使PMU或PDC不可用,这在电力系统发生故障时,故障的清除会有很大延迟,甚至不作出任何反应,最后造成大范围的停电等事故。
(三)AMI
高级量测体系(AMI)是一个用来测量、收集、储存、分析和运用用户用电信息的完整的网络和系统。它不是一种单一的技术,而是为消费者和系统运营商提供智能连接的许多技术的集成。AMI的智能电表可以用来记录用户的用电信息,并通过通信网络将这些信息传送到数据中心进行处理和分析。数据中心也可向智能电表发送最新的价格信息、断电警报,以及升级仪表固件等其他通信信息。
AMI可能遭受的攻击:
1.多种攻击协调
受利益驱使,消费者可能篡改智能电表中的消费数据,以降低电费或增加发电量。攻击者可能同时使用多种攻击手段。例如,他们可能首先通过淹没智能仪表的网络带宽来断开智能仪表的连接,从而使网络连接不可用;然后,物理内存中的消费数据会被篡改,甚至被物理攻击或FDIA删除。因此,当通信网络再次可用时,篡改的数据甚至没有数据通过网络接口发送。
2.DoS
DoS攻击是AMI通信网络中潜在的网络攻击。在此攻击中,攻击者首先选择一个或多个普通节点作为傀儡。然后攻击者发送包含特定攻击信息的数据包到这些傀儡节点。当傀儡节点接收这些攻击包,它们产生大量的路由数据包。过多的路由数据包会消耗有效的通信带宽,造成网络阻塞,导致AMI的拒绝服务。
3.DDoS
AMI也有可能遭受危害更大的DDoS攻击。攻击者首先需要将易受攻击的智能仪表识别为代理。由于AMI系统具有大量同构设备的网络,因此在单个仪表中发现的安全漏洞很可能存在于许多其他设备中。然后,攻击者需要与大量已被恶意代码感染的基于IP的智能仪表通信,操纵这些智能仪表。当攻击者启动DDoS攻击时,AMI服务的可用性被中断,这可能导致公用事业公司遭受重大损失。
4.MITM
在AMI的通信网络中,邻域网(NAN)通常是固定的无线网络,面临许多安全挑战。攻击者可以对此发动MITM攻击,拦截两个合法主机之间的通信,这可以使攻击者从智能电表和数据集中器接收数据包,并向接收器注入恶意代码和数据。
(四)智能变电站
智能变电站是采用先进、可靠、集成、低碳、环保的智能设备,以全站信息数字化、通信平台网络化、信息共享标准化为基本要求,自动完成信息采集、测量、控制、保护、计量和监测等基本功能,并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协同互动等高级功能的变电站。
智能变电站可能遭受的攻击:
1. FDIA
針对单个变电站的FDIA可以破坏能源管理系统(EMS)中的自动电压控制(AVC)模块。这种攻击由恶意程序进行,恶意程序被插入到目标变电站的监控系统中。然后,通过修改测量值来试图误导AVC,触发本地或者系统级的中断。
2.延迟攻击
现代电力系统的各种应用都需要准确可靠的时间信号,测量和事件的时间需要对齐以便进行正确的决策与操作。精确时间协议(PTP)作为首选时间协议,能为系统中的传感器、执行器以及其他终端设备进行亚微秒级同步。变电站的PTP会受到延迟攻击。攻击者通过软件或硬件将所需的延迟引入PTP信息交换路径中,以此来操控所连接设备的时钟。设备时间的不匹配会对电力系统的运行操作、电网调度、事故分析等产生不利影响。
3.DoS
面向通用对象的变电站事件(G O O S E)在IEC61850标准中用于在变电站网络系统中分发事件数据,实现多智能电子设备(IED)之间的信息传递,包括传输跳合闸信号等。针对GOOSE的欺骗攻击使得攻击者可以发布发布虚假的数据包,接收方的设备错误地认为它们正在接收由受信任或安全实体发送的有效数据包,这可能导致断路器误动等后果。GOOSE也会受到DoS攻击,这种攻击会导致GOOSE的丢包和延迟,从而影响IED之间的信息交换。
网络安全在CPPS中具有重要地位,已引起了政府和各学术界的广泛关注。本文对CPPS的各种网络攻击方法进行了综述。本文介绍了FDIA、DoS、MITM、重放攻击这几种典型的网络攻击的具体实现原理。介绍了SCADA、WAMS、AMI及智能变电站的基本组成,对这些系统可能遭受的网络攻击进行总结。
作者单位:唐云泽 陆军参谋部机要密码室
苏晓茜 烟台市光明电力服务有限责任公司