變電站自動(dòng)化系統(tǒng)擾動(dòng)同步協(xié)同攻擊及防護(hù)分析

　　摘要：國家支持型網(wǎng)絡(luò)攻擊可經(jīng)供應(yīng)鏈攻擊等方式滲透侵入變電站自動(dòng)化系統(tǒng)，進(jìn)而以邏輯炸彈的形式，通過多個(gè)變電站的無站間通信擾動(dòng)同步協(xié)同跳閘攻擊，達(dá)成最大化破壞后果的目的。首先分析了變電站跳閘攻擊實(shí)現(xiàn)方式;在此基礎(chǔ)上，提出基于擾動(dòng)同步的多變電站無站間通信協(xié)同機(jī)制，分析了采用節(jié)點(diǎn)低電壓表征擾動(dòng)時(shí)的攻擊協(xié)同方式;采用IEEE39節(jié)點(diǎn)系統(tǒng)進(jìn)行以節(jié)點(diǎn)低電壓為觸發(fā)機(jī)制的擾動(dòng)同步協(xié)同攻擊仿真分析。仿真結(jié)果表明，采用適當(dāng)?shù)牡碗妷洪撝底鳛楣�擊協(xié)同判據(jù)，線路跳閘等初始故障可觸發(fā)故障點(diǎn)鄰近變電站中惡意軟件的低電壓邏輯，造成變電站跳閘失壓、并可能以多個(gè)變電站主動(dòng)連鎖跳閘的方式導(dǎo)致大量變電站失壓，觸發(fā)大停電。最后結(jié)合電力監(jiān)控系統(tǒng)入網(wǎng)檢測(cè)流程，討論變電站監(jiān)控系統(tǒng)中擾動(dòng)同步協(xié)同攻擊惡意軟件的檢測(cè)方法。

　　關(guān)鍵詞：變電站自動(dòng)化;擾動(dòng)同步協(xié)同攻擊;邏輯炸彈;主動(dòng)連鎖跳閘;供應(yīng)鏈攻擊

　　0引言

　　計(jì)算機(jī)與通信技術(shù)在電力系統(tǒng)的深度融合應(yīng)用顯著放大了由網(wǎng)絡(luò)攻擊觸發(fā)電網(wǎng)安全事故的風(fēng)險(xiǎn)[12]。作為電能傳輸?shù)年P(guān)鍵樞紐，變電站是網(wǎng)絡(luò)攻防對(duì)抗的重要場(chǎng)所，已知的次造成烏克蘭停電事故的網(wǎng)絡(luò)攻擊的核心目標(biāo)都是變電站。中國電力企業(yè)高度重視網(wǎng)絡(luò)安全防護(hù)，在依托基于物理隔離的邊界安全構(gòu)建的縱深防衛(wèi)體系基礎(chǔ)上，還開始推廣應(yīng)用基于可信計(jì)算技術(shù)監(jiān)控終端[34]，使得電力系統(tǒng)在技術(shù)和管理層面具備了抵御一般性安全威脅和具有有限資源的有組織攻擊的能力。

　　電力工程師論文發(fā)表知識(shí)：變電站運(yùn)維工作論文發(fā)表期刊推薦

　　近年來，全球網(wǎng)絡(luò)空間軍事化進(jìn)程加速，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的國家支持型網(wǎng)絡(luò)攻擊已發(fā)展為現(xiàn)實(shí)威脅[5]。攻防對(duì)抗主體的變化，不僅意味著攻擊方技術(shù)水平的提升，更意味著攻擊目的從一般性破壞或勒索轉(zhuǎn)換為最大化攻擊破壞后果。網(wǎng)絡(luò)攻擊從獨(dú)立時(shí)間或空間域轉(zhuǎn)為多個(gè)相互依存的時(shí)空域，從目標(biāo)和手段單一的網(wǎng)絡(luò)攻擊轉(zhuǎn)為針對(duì)特定目標(biāo)采用融合多種攻擊手段的定向協(xié)同網(wǎng)絡(luò)攻擊[6]。如何有效應(yīng)對(duì)國家支持型網(wǎng)絡(luò)攻擊，管控攻擊破壞后果，是亟待解決的難題。

　　國家支持型網(wǎng)絡(luò)攻擊掌握有豐富資源，為達(dá)成預(yù)設(shè)攻擊任務(wù)，可不計(jì)成本地針對(duì)目標(biāo)對(duì)象量身定制惡意軟件。201年突破物理隔離的Stuxnet就是典型的國家支持型網(wǎng)絡(luò)攻擊，它基于對(duì)伊朗鈾濃縮控制系統(tǒng)的先驗(yàn)知識(shí)，在獲得控制權(quán)限后反復(fù)啟停離心機(jī)，選擇性破壞大批離心設(shè)備[7]。2021年月，伊朗重啟核計(jì)劃之后的第二天，納坦茲核電站再次遭到網(wǎng)絡(luò)攻擊并發(fā)生爆炸事故[8]。

　　除具有高度定制化、智能化的特征外，國家支持型網(wǎng)絡(luò)攻擊為最大化攻擊破壞后果，還會(huì)融合多種攻擊手段對(duì)多個(gè)目標(biāo)對(duì)象實(shí)施破壞，如2015年攻擊烏克蘭電網(wǎng)的BalckEnergy就融合釣魚郵件入侵、分布式拒絕服務(wù)攻擊、破壞監(jiān)控系統(tǒng)可用性等手段控制大量斷路器跳閘并最終導(dǎo)致大量變電站全停[910]。隨著網(wǎng)絡(luò)攻防博弈的發(fā)展，若攻擊方像BlackEnergy一樣同時(shí)對(duì)多個(gè)變電站的全部斷路器發(fā)起旁路控制跳閘攻擊，極易造成電網(wǎng)解列，觸發(fā)大停電事故。

　　網(wǎng)絡(luò)攻防博弈中，電網(wǎng)防護(hù)水平的提升會(huì)倒逼攻擊方滲透入侵模式快速演化。2020年，被認(rèn)為具有國家背景的攻擊方在SolarWinds合法產(chǎn)品升級(jí)包中植入惡意代碼，借助互聯(lián)網(wǎng)升級(jí)推送渠道入侵了其服務(wù)的覆蓋軍工、能源等涉及國家安全的近萬個(gè)行業(yè)用戶[11]。根據(jù)北美電力可靠性協(xié)會(huì)NorthAmericanElectricReliabilityCouncil，NERC的統(tǒng)計(jì)，美國約有25%的供電企業(yè)安裝了推送的帶毒升級(jí)包并可能受到潛在的影響[12]。中國電力系統(tǒng)各大區(qū)之間部署有隔離裝置和流量異常監(jiān)測(cè)，采用類似方式進(jìn)行入侵滲透難以奏效[13]。

　　但電力監(jiān)控系統(tǒng)研發(fā)與測(cè)試業(yè)務(wù)流程中，代碼審計(jì)只能保證廠家自研業(yè)務(wù)功能部分的代碼安全，缺乏對(duì)引入的插件、套件和第三方功能模塊的安全管控手段。盡管監(jiān)控系統(tǒng)多基于Linux等開源軟件進(jìn)行業(yè)務(wù)功能開發(fā)，但開源軟件的安全性依賴于開源社區(qū)人員的互相信任，并不能杜絕提交上傳惡意代碼。因此，攻擊方可能利用基礎(chǔ)性的開源軟件，在電力監(jiān)控系統(tǒng)中植入惡意代碼，進(jìn)而經(jīng)供應(yīng)鏈渠道實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的滲透。由于系統(tǒng)的復(fù)雜性，技術(shù)上難以清查供應(yīng)鏈環(huán)節(jié)發(fā)起的攻擊。

　　掌握變電站自動(dòng)化系統(tǒng)先驗(yàn)知識(shí)的國家支持型網(wǎng)絡(luò)攻擊，可借助供應(yīng)鏈渠道在變電站監(jiān)控系統(tǒng)中植入惡意代碼。由于中國電力系統(tǒng)部署了較完善的安防措施，攻擊方很難從外部與潛入變電站生產(chǎn)控制區(qū)的惡意軟件保持聯(lián)系，類似BlackEnergy的遙控跳閘攻擊難以奏效，即便取得聯(lián)系也容易提前暴露。為達(dá)成最大化攻擊后果的目的，攻擊方可能采用無通信的方式同步對(duì)多個(gè)變電站發(fā)起斷路器跳閘攻擊，使得多個(gè)變電全停觸發(fā)大停電。

　　本文研究高隱蔽性的多變電站無通信攻擊協(xié)同，首先提出變電站跳閘攻擊方式并進(jìn)行了攻擊建模;在此基礎(chǔ)上，提出基于擾動(dòng)同步的無通信協(xié)同機(jī)制，分析其攻擊行為和破壞模式;然后討論了擾動(dòng)同步指標(biāo)的選取，并選擇以故障擾動(dòng)時(shí)電壓值作為同步指標(biāo)進(jìn)行了攻擊仿真分析;最后結(jié)合業(yè)務(wù)流程、根據(jù)擾動(dòng)同步的同步邏輯討論了擾動(dòng)同步協(xié)同攻擊的防護(hù)方案設(shè)計(jì)。

　　1變電站跳閘攻擊

　　重要工業(yè)控制系統(tǒng)多采用物理隔離方式進(jìn)行安全保障，一般惡意軟件難以穿透安全屏障，即便潛入生產(chǎn)控制區(qū)，在缺乏行業(yè)知識(shí)的條件下也難以獲得目標(biāo)對(duì)象的準(zhǔn)確信息，只能進(jìn)行阻塞網(wǎng)絡(luò)、格式化系統(tǒng)等暴力破壞[14]。因?yàn)橐云茐臑槟康木W(wǎng)絡(luò)攻擊難以直接得到經(jīng)濟(jì)收益，它并非一般個(gè)體或有組織攻擊方進(jìn)行攻擊的目的[15]。國家支持型網(wǎng)絡(luò)攻擊掌握豐富資源，為達(dá)成預(yù)設(shè)攻擊任務(wù)，可跨領(lǐng)域組織熟悉電力監(jiān)控系統(tǒng)工作機(jī)制和安防體系的專家，針對(duì)目標(biāo)系統(tǒng)量身定制定向攻擊惡意軟件。中國電力系統(tǒng)已構(gòu)建較完備的防護(hù)體系，變電站安全防護(hù)主要需針對(duì)國家支持型網(wǎng)絡(luò)攻擊進(jìn)行強(qiáng)化設(shè)計(jì)。

　　1.1變電站跳閘攻擊實(shí)現(xiàn)分析

　　定向攻擊惡意軟件經(jīng)供應(yīng)鏈渠道入侵變電站后，可能有多種攻擊破壞模式。從Stuxnet、BlackEnergy和Industroyer病毒的攻擊模式來看，更多的是在獲取控制權(quán)限后，根據(jù)目標(biāo)對(duì)象的工作機(jī)制進(jìn)行旁路控制實(shí)施破壞。變電站自動(dòng)化系統(tǒng)采用變電站描述語言生成包含斷路器通信控制端口和站內(nèi)網(wǎng)絡(luò)通信拓?fù)浣Y(jié)構(gòu)等重要參數(shù)的變電站配置描述文件[14,16]。攻擊方基于先驗(yàn)知識(shí)研制的定向攻擊惡意軟件，經(jīng)供應(yīng)鏈渠道等方式滲透進(jìn)入變電站生產(chǎn)控制區(qū)、獲得控制權(quán)限后，可按規(guī)則讀取配置描述文件、解析獲取站內(nèi)斷路器通信控制信息;此后根據(jù)預(yù)設(shè)的邏輯條件判斷是否發(fā)起攻擊。

　　在系統(tǒng)運(yùn)行環(huán)境不滿足邏輯條件時(shí)，定期偵察檢測(cè)記錄運(yùn)行數(shù)據(jù)，不會(huì)主動(dòng)發(fā)起攻擊;檢測(cè)到滿足預(yù)設(shè)邏輯時(shí)，旁路控制跳開站內(nèi)全部斷路器，造成變電站全停事故。攻擊烏克蘭電網(wǎng)的Industroyer病毒即利用時(shí)間邏輯，在2016年12月17日22:00整自動(dòng)匹配變電站通信規(guī)約，發(fā)起針對(duì)全站斷路器的跳閘攻擊，造成全站失壓。與BlackEnergy相比，Industroyer具有高度智能化的特點(diǎn)，可自動(dòng)匹配101、103、104和IEC61850通信規(guī)約在設(shè)定的時(shí)刻發(fā)起攻擊[1718]�；�于邏輯條件觸發(fā)、不以傳播為目的惡意代碼也被稱為邏輯炸彈，比較常采見的是時(shí)間邏輯[19。

　　2001年，南京銀山電子離職工程師在故障錄波器中植入時(shí)間邏輯炸彈，造成全國147座變電站故障錄波器功能閉鎖[20]，是電力行業(yè)中廣為人知的時(shí)間邏輯炸彈。根據(jù)業(yè)務(wù)場(chǎng)景的不同，也可以針對(duì)性設(shè)置其他邏輯條件。如大眾汽車公司就在尾氣排放作弊事件中被爆出會(huì)進(jìn)行工況識(shí)別，選擇性地在柴油車尾氣排放測(cè)試工況和正常行駛工況下啟動(dòng)或關(guān)閉尾氣排放控制系統(tǒng)[21]。隨著電力系統(tǒng)網(wǎng)絡(luò)攻防對(duì)抗研究的深入，也有學(xué)者開展了在電網(wǎng)頻率控制中利用邏輯炸彈進(jìn)行攻擊破壞的研究[22]。

　　2變電站無通信擾動(dòng)同步協(xié)同攻擊

　　對(duì)國家支持型網(wǎng)絡(luò)攻擊而言，侵入變電站發(fā)起跳閘攻擊只是達(dá)成目標(biāo)的手段，最大化破壞后果才是最終目標(biāo)。從攻擊方視角來看，入侵后在多個(gè)變電站同步發(fā)起跳閘攻擊導(dǎo)致大量變電站全停以觸發(fā)大停電，是最大化攻擊后果的有效手段。要對(duì)多個(gè)變電站同步發(fā)起協(xié)同攻擊，需要解決個(gè)核心問題：1)繞過安全防護(hù)機(jī)制實(shí)現(xiàn)滲透入侵;2)在不被察覺的條件下實(shí)現(xiàn)多站點(diǎn)攻擊協(xié)同。

　　2.1滲透入侵模式分析

　　盡管中國電力系統(tǒng)深溝壁壘構(gòu)建了較為完善的縱深防護(hù)體系，但網(wǎng)絡(luò)安全領(lǐng)域沒有絕對(duì)的安全，技術(shù)上難以完全杜絕惡意軟件的滲透入侵。除了從供應(yīng)鏈渠道在設(shè)備廠商環(huán)節(jié)直接植入定向攻擊惡意軟件外，還可利用零日漏洞躲過安全威脅檢測(cè)經(jīng)運(yùn)維渠道滲透入侵。電力監(jiān)控設(shè)備廠商多基于Linux等開源操作系統(tǒng)進(jìn)行監(jiān)控系統(tǒng)業(yè)務(wù)功能開發(fā)，但開源系統(tǒng)的安全性依賴于社區(qū)同行的自愿而非強(qiáng)制性審查，難以阻塞對(duì)開源社區(qū)或軟件官方倉庫等軟件供應(yīng)鏈的惡意投毒行為。

　　隨著攻防博弈的發(fā)展，目前開源軟件官方倉庫中投毒的案例已有一些報(bào)道，如2020年明尼蘇達(dá)州立大學(xué)教授故意向Linux內(nèi)核提交含漏洞的補(bǔ)丁代碼來研究測(cè)試開源社區(qū)的安全性[23];近年來在電力物聯(lián)網(wǎng)終端邊緣計(jì)算Docker容器技術(shù)官方倉庫中也發(fā)現(xiàn)植入比特幣挖礦惡意軟件的鏡像程序[2425]，相關(guān)系統(tǒng)已被下載2000萬次。由于主流的變電站監(jiān)控系統(tǒng)廠商數(shù)量屈指可數(shù)，攻擊方完成對(duì)設(shè)備廠商的滲透后可以實(shí)現(xiàn)對(duì)大批量變電站的入侵。

　　2.2無通信協(xié)同跳閘

　　智能變電站采用單向網(wǎng)閘對(duì)生產(chǎn)控制大區(qū)和管理大區(qū)進(jìn)行物理隔離[26,27]。站內(nèi)配置有網(wǎng)絡(luò)準(zhǔn)入和入侵檢測(cè)系統(tǒng)，只允許經(jīng)過配置的設(shè)備接入網(wǎng)絡(luò)，根據(jù)白名單機(jī)制僅允許與設(shè)定IP的設(shè)備通信，并基于流量異常等規(guī)則檢測(cè)網(wǎng)絡(luò)行為異常[28]。盡管侵入變電站的惡意軟件可以基于先驗(yàn)知識(shí)讀取變電站配置描述文件，獲得斷路器控制信息后發(fā)起跳閘攻擊，但如果與站外通信進(jìn)行攻擊協(xié)同，則比較容易被檢測(cè)發(fā)現(xiàn)，難以達(dá)成攻擊目的。

　　為避免過早暴露行蹤，侵入的惡意軟件可采用隱蔽的無通信方式進(jìn)行攻擊協(xié)同。電網(wǎng)發(fā)生故障時(shí)，會(huì)對(duì)整個(gè)電網(wǎng)的頻率及故障點(diǎn)附近變電站母線電壓產(chǎn)生沖擊，定向攻擊惡意軟件可將故障時(shí)的電氣量擾動(dòng)用作無通信協(xié)同機(jī)制;根據(jù)監(jiān)控主機(jī)中的實(shí)時(shí)數(shù)據(jù)判定電網(wǎng)運(yùn)行狀態(tài);在檢測(cè)到變電站母線電氣量波動(dòng)達(dá)到預(yù)設(shè)邏輯條件時(shí)發(fā)起跳閘攻擊，跳開站內(nèi)全部斷路器，造成全站失壓，進(jìn)而造成相鄰變電站母線電壓大幅波動(dòng)，觸發(fā)其中的擾動(dòng)協(xié)同攻擊惡意軟件，從而實(shí)現(xiàn)多站點(diǎn)無通信擾動(dòng)協(xié)同攻擊。

　　3仿真分析

　　從短路故障時(shí)的故障表征來看，采用母線電壓或頻率均可標(biāo)識(shí)電網(wǎng)是否存在故障擾動(dòng)，實(shí)現(xiàn)多變電站攻擊協(xié)同。因全網(wǎng)頻率基本一致，如所有變電站均含有擾動(dòng)同步的邏輯炸彈，強(qiáng)擾動(dòng)下可能大量變電站同時(shí)遭攻擊全停而直接觸發(fā)大停電。電網(wǎng)電壓具有局部性，故障擾動(dòng)時(shí)更容易呈現(xiàn)出故障后的主動(dòng)連鎖特性，本文采用低電壓作為擾動(dòng)同步的邏輯條件展開仿真分析。

　　實(shí)際場(chǎng)景中，可能并非全部變電站潛入含擾動(dòng)同步邏輯的惡意軟件，但這會(huì)產(chǎn)生大量攻擊入侵組合。為簡(jiǎn)化分析，本文假設(shè)所有變電站均被植入含擾動(dòng)同步邏輯的惡意軟件，并分析采用不同低電壓作為判定系統(tǒng)處于擾動(dòng)狀態(tài)閾值的影響。首先進(jìn)行潮流計(jì)算，將潮流計(jì)算結(jié)果作為穩(wěn)定計(jì)算的輸入量。系統(tǒng)機(jī)電暫態(tài)過程仿真參數(shù)采用發(fā)電機(jī)次暫態(tài)參數(shù)模型，每臺(tái)發(fā)電機(jī)以汽輪機(jī)為原動(dòng)機(jī)，配置直流連續(xù)勵(lì)磁裝置、汽輪機(jī)調(diào)速器和低頻振蕩穩(wěn)定器;負(fù)荷模型采用恒定阻抗模型。實(shí)際系統(tǒng)中，低電壓保護(hù)裝置的動(dòng)作值多為0.6~0.7pu。為簡(jiǎn)化分析、避免觸發(fā)低電壓保護(hù)影響仿真結(jié)果，以低電壓觸發(fā)擾動(dòng)同步攻擊閾值為0.7pu為最小值，以0.05pu為步長(zhǎng)，進(jìn)行多組低電壓閾值的攻擊仿真。

　　4擾動(dòng)同步協(xié)同攻擊防護(hù)分析

　　中國電力行業(yè)高度重視電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)，在技術(shù)和管理上已能有效管控一般性網(wǎng)絡(luò)安全威脅和具有有限資源的有組織攻擊的危害，但如何防護(hù)針對(duì)電力系統(tǒng)的國家支持型網(wǎng)絡(luò)攻擊，仍是亟待研究的難題。變電站監(jiān)控系統(tǒng)的軟、硬件以及安裝調(diào)試都需要通過入網(wǎng)測(cè)試或安全威脅檢測(cè)。國家支持型網(wǎng)絡(luò)攻擊擁有豐富的資源、高超的技能和必要的知識(shí)，不但可經(jīng)供應(yīng)鏈渠道在設(shè)備廠商環(huán)節(jié)在變電站監(jiān)控系統(tǒng)植入惡意代碼，還可能利用零日漏洞進(jìn)行攻擊破壞。

　　由于這種定向攻擊惡意軟件往往只在滿足特定條件的前提下有限傳播，侵入變電站后也可在領(lǐng)域知識(shí)支撐下以不造成明顯網(wǎng)絡(luò)異常的方式進(jìn)行攻擊破壞。在沒有明顯異常又沒有特征代碼的情況下，既有的入網(wǎng)安全性測(cè)試和網(wǎng)絡(luò)安全威脅檢測(cè)技術(shù)很難識(shí)別此類高隱蔽性的惡意軟件。

　　防護(hù)國家支持型網(wǎng)絡(luò)攻擊的關(guān)鍵點(diǎn)在于異常行為的檢測(cè)識(shí)別，而檢測(cè)困難的癥結(jié)在于難以準(zhǔn)確判斷對(duì)手攻擊破壞的異常表現(xiàn)形式。由第節(jié)分析可知，可利用國家支持型網(wǎng)絡(luò)攻擊侵入變電站后會(huì)在判斷系統(tǒng)運(yùn)行環(huán)境滿足預(yù)設(shè)邏輯時(shí)發(fā)起跳閘攻擊的特點(diǎn)，通過設(shè)置滿足無通信同步協(xié)同邏輯運(yùn)行環(huán)境，來檢測(cè)被測(cè)試監(jiān)控系統(tǒng)中是否含有擾動(dòng)同步邏輯的協(xié)同攻擊惡意軟件。

　　實(shí)際上，無通信攻擊協(xié)同機(jī)制除了擾動(dòng)同步以外，還可以利用變電站的衛(wèi)星同步時(shí)間機(jī)制進(jìn)行時(shí)間同步[30]。由于變電站監(jiān)控軟、硬件系統(tǒng)進(jìn)行入網(wǎng)功能性試驗(yàn)時(shí)需要進(jìn)行擾動(dòng)條件下的測(cè)試，攻擊方可能在擾動(dòng)觸發(fā)同步邏輯基礎(chǔ)上附加時(shí)間邏輯以躲避檢測(cè)。檢測(cè)時(shí)可按以下步驟執(zhí)行：1)構(gòu)建與變電站自動(dòng)化系統(tǒng)相同的運(yùn)行環(huán)境，啟動(dòng)加載待檢測(cè)的電力監(jiān)控軟、硬件系統(tǒng)。2)輸入電網(wǎng)正常運(yùn)行時(shí)的電氣量后，調(diào)整系統(tǒng)時(shí)鐘，使系統(tǒng)時(shí)鐘每隔固定時(shí)間加速相同時(shí)間間隔，速遍歷并觸發(fā)攻擊方可能設(shè)置的時(shí)間邏輯。

　　3)每次加快系統(tǒng)時(shí)間后，首先檢測(cè)被測(cè)試軟、硬件系統(tǒng)是否輸出非預(yù)期的控制指令;若檢測(cè)到其輸出非預(yù)期控制指令，則可判斷其中被植入時(shí)間邏輯炸彈，退出檢測(cè)流程;否則，輸入電網(wǎng)故障擾動(dòng)時(shí)的電氣量來觸發(fā)擾動(dòng)同步邏輯;若檢測(cè)到有非預(yù)期控制指令輸出，則可判斷其被植入含有擾動(dòng)同步機(jī)制的協(xié)同攻擊惡意軟件，終止測(cè)試。4)延續(xù)上述流程直至?xí)r間加速到設(shè)定的截止時(shí)間，終止測(cè)試。采用上述方法，從原理上可檢測(cè)出變電站監(jiān)控軟、硬件系統(tǒng)中含有擾動(dòng)同步協(xié)同攻擊邏輯的惡意軟件。

　　作者目前正根據(jù)上述思路研制相應(yīng)無通信同步協(xié)同攻擊檢測(cè)系統(tǒng)。需要指出的是，所提方法是從底線思維出發(fā)、著眼于可導(dǎo)致大量變電站同時(shí)跳閘全停的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)管控，只能檢測(cè)采用無通信擾動(dòng)協(xié)同機(jī)制的惡意軟件，而不適用于針對(duì)單個(gè)變電站進(jìn)行攻擊破壞的惡意軟件。因針對(duì)單個(gè)變電站的攻擊破壞后果相對(duì)有限，所提方法仍可有效管控網(wǎng)絡(luò)攻擊變電站的總體風(fēng)險(xiǎn)水平。

　　5結(jié)語

　　國家支持型網(wǎng)絡(luò)攻擊可借助供應(yīng)鏈等渠道滲透侵入變電站，在不產(chǎn)生明顯異常的條件下基于先驗(yàn)知識(shí)進(jìn)行跳閘攻擊。針對(duì)此類高隱蔽性定向攻擊的防護(hù)難題開展研究，主要內(nèi)容包括：

　　1)分析指出國家支持型網(wǎng)絡(luò)攻擊可基于先驗(yàn)知識(shí)發(fā)起跳閘攻擊，精確地跳開站內(nèi)所有斷路器、造成全站失壓;為最大化攻擊破壞后果，還可能以無通信擾動(dòng)同步的方式，從多個(gè)變電站發(fā)起協(xié)同跳閘攻擊以觸發(fā)大停電事故。

　　2)基于IEEE39節(jié)點(diǎn)系統(tǒng)進(jìn)行了低電壓擾動(dòng)為判據(jù)的擾動(dòng)同步協(xié)同攻擊的仿真分析。分析結(jié)果表明電網(wǎng)發(fā)生短路故障造成電壓跌落時(shí)，故障點(diǎn)周邊變電站的惡意軟件在檢測(cè)到電壓跌落大于低電壓閾值后將跳開全站斷路器，擴(kuò)大擾動(dòng)強(qiáng)度并進(jìn)一步觸發(fā)其他變電站中潛伏的擾動(dòng)同步惡意軟件，以主動(dòng)連鎖跳閘的方式造成大停電。

　　3)低電壓閾值設(shè)置對(duì)擾動(dòng)同步協(xié)同攻擊的攻擊傳播過程有一定影響。閾值較小時(shí)，初始故障后觸發(fā)低電壓閾值進(jìn)行跳閘攻擊的變電站較少，這些變電站跳閘全停后可能以每次影響周邊少數(shù)幾個(gè)變電站的形式形成多梯次的變電站連鎖跳閘，最終造成大停電;閾值較大時(shí)，初始故障后會(huì)觸發(fā)大量變電站中的惡意軟件，并以更少的梯次、每次影響更多變電站的方式更快地觸發(fā)各變電站中潛伏的擾動(dòng)協(xié)同惡意軟件。從最終結(jié)果上看，低電壓閾值設(shè)置在一定范圍內(nèi)都能達(dá)到觸發(fā)大停電的目的。

　　參考文獻(xiàn)

　　[1]王宇，李俊娥，周亮，等.針對(duì)嵌入式終端安全威脅的電力工控系統(tǒng)自愈體系[J].電網(wǎng)技術(shù)，202044(9)：35823594WANGYu，LIJune，ZHOULiang，etal.Aselfhealingarchitectureforpowerindustrialcontrolsystemsagainstsecuritythreatstoembeddedterminals[J].PowerSystemTechnology，202044(9)：35823594(inChinese).

　　[2]秦博雅，劉東.電網(wǎng)信息物理系統(tǒng)分析與控制的研究進(jìn)展與展望[J].中國電機(jī)工程學(xué)報(bào)，2020，40(18)：58165827.QINBoya，LIUDong.Researchprogressandprospectsofanalysisandcontrolofpowergridcyberphysicalsystems[J].roc.ofCSEE，202，40(18)：58165827(inChinese).

　　[3]王棟，陳傳鵬，顏佳，等.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動(dòng)化，201640(2)：11.WANGDong，CHENChuanpeng，YANJia，etal.Ponderinganewgenerationsecurityarchitecturemodelforpowerinformationnetwork[J].AutomationofElectricPowerSystems，201640(2)：11(inChinese).

　　作者：王坤，蘇盛，左劍，李鴻鑫，劉亮，王冬青，趙奕

轉(zhuǎn)載請(qǐng)注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///dzlw/27526.html