信息系统与物理系统紧密耦合与动态交互的特性，使得电力系统逐步发展成为电力信息物理系统(电力CPS)。信息侧故障可能会降低电网运行控制可靠性的问题不容忽视，甚至存在通过恶意网络攻击引起电力CPS大规模连锁故障的可能，破坏电网的安全稳定运行。

近年来陆续发生了多起由网络攻击导致的电力系统安全事故。年底的乌克兰电网停电事件是第一起由网络攻击成功导致电力系统大规模停电的实例。年3月委内瑞拉电网发生数次大停电事故，有报道认为是由网络软杀伤和军事硬摧毁协同配合的“电力战”造成的。电力系统作为关乎国计民生的基础设施，已成为恶意组织或敌对国家攻击的首要目标之一，其不仅在地理和网络空间上广泛分布从而存在防范难度，而且在知识架构上相互交叉需要信息与物理的深度融合。现实中网络攻击乃至“电力战”带来的严重后果应引起我们的重视和警惕，必须加强防范意识，并对其防御理论与方法进行深入研究。

与传统针对信息领域（如互联网）的网络攻击不同，针对电力CPS的网络攻击目的不仅限于通过窃取和操纵信息从而获取经济利益，更注重破坏电力CPS的稳定运行，造成大规模电力供应中断等严重后果。因此，针对电力CPS网络攻击和防御的研究与传统的网络空间攻击与安全防护存在不同，更应以电力物理侧的功能削弱和恢复效果为最终目标。

中国电力物理系统运行安全稳定的研究已较为成熟，并已在实际应用中形成完整体系。在电力信息安全领域则通常存在以下三点认知。

1）专网专用的信息系统组织方式使中国电力CPS的信息侧具备较周全的安全边界，常规针对互联网的网络攻击方式难以有效实施。

2）部分关键控制和保护装置采用硬件写入的本地控制，通过降低信息通信系统的远程决策和数据指令传输需求，减少了网络攻击的潜在可能。

3）中国电网现有的安全稳定三道防线理念，能够应对网络攻击造成单一元件故障从而引发的后果。

然而，在电力CPS发展过程中，出现了以下新的特点。

1）潜在网络入侵点增加：多类型负荷、储能和分布式能源的接入和管理依赖于更加广泛的信息终端；在泛在电力物联网建设背景下，更多非传统电力信息设备广泛接入，需对原有的依赖专网和专用私有协议的信息安全保护思路进行重新考量，以满足泛在物联网对即插即用性和通用性的更高要求；目前电力通信协议规范和管理方式可能存在安全漏洞。这些都给电力信息网络边界安全带来新的挑战。

2）事故后果严重程度加剧：目前中国电网仍处于坚强电网建设过渡时期，大电网耦合特性复杂，特高压交直流输电方式与弱送受端电网之间、弱惯性新能源发电与传统交流主干网络之间、以及一次网架与二次系统之间的结构性矛盾尚存。因网络攻击产生元件失效、控制误动或拒动将有可能导致事故后果加速传播和效果放大，需要从大电网角度深入探讨安全稳定运行面临的新问题。

3）攻击行为时空差异性显著：攻击者通过长期嗅探并不断累积系统知识，配合后续攻击增大成功率和破坏性，或在获取控制权限后潜伏，等待临界状态出现时采取攻击行动以扩大后果。这使得电力CPS安全保护全过程需考虑更广泛的时间和空间尺度，并尤其需要对攻击潜伏期内电力CPS的风险防控加强重视。

电力CPS安全研究需考虑信息侧业务对物理侧功能的支撑和影响，基于信息物理融合的思路，探究攻击在信息侧和物理侧传播和作用机理，从建模、评估、检测和防御等方面构建全面的电力CPS网络安全防护理论。

1

电力CPS攻击建模

针对电力CPS的网络攻击是指以破坏或降低电力CPS功能为目的，在未经许可情况下对通信系统和控制系统进行行为追踪，利用电力信息通信网络存在的漏洞和安全缺陷对系统进行的攻击。按攻击目的一般可分为完整性攻击、可用性攻击和保密性攻击。

表1电力CPS安全要素和攻击形式

1.1保密性攻击及建模方法

保密性攻击是非授权方非法获取信息的攻击类别。当前国内电力CPS安全重度依赖于安全边界，保密性被破坏将极大增加系统的脆弱性。由于保密性攻击主要针对信息侧防护措施，其攻击手段和过程可参考信息领域的相应研究。

一次完整的保密性攻击通常需要多种入侵技术的配合和多次尝试，其整体流程和各阶段可利用的攻击手段如图1所示。保密性攻击过程建模对象为攻击途径和攻击前后状态转移概率，可使用的数学模型包括攻击树、攻击图、贝叶斯网络、Petri网等，图1即为Petri网模型。各类网络结构与相应的常用建模方法如表2总结。

图1电力CPS保密性攻击手段、流程和建模示例

表2通信网络结构及相应适用建模方法

1.2完整性攻击方法及建模

完整性攻击是对电力CPS的信息内容进行篡改的一类攻击，其最终目的是造成调度员或控制中心对系统状态的错误认知，从而引起误操作。表3给出了几类典型的完整性攻击的攻击对象和攻击影响方法的公式化描述。表中，z为传统虚假数据注入攻击(FDIA)的直接篡改量测值；x为通过状态估计环节影响的系统状态量；H为电气量量测值；e为量测误差；xa为虚假测量值引起的状态量估计误差；为受攻击后的电气量测值；εθ为相角估计误差；tu为受攻击的时间；tu*为真实时间。

评价该类攻击有效性的一个重要特征是攻击行为的隐蔽性，即攻击者篡改的信息无法被监控系统辨识为错误数据。因此其成功实施依赖于攻击者对系统知识的掌握程度，即攻击者掌握的权限或资源，因而完整性攻击常以保密性攻击为前提。攻击者对信息的掌握程度可分为全局信息、局部信息和无系统信息三个知识等级。

表3典型完整性攻击模型描述方法

1.3可用性攻击方法及建模

可用性攻击的目的是使系统无法及时获得所需数据或信号，手段包括拒绝服务（denialofservice,DoS）攻击和引入控制信号延时等。其具有以下特点：①直接造成明显的信息缺失或异常，不强调攻击的隐蔽性；②无需详尽掌握系统整体信息，只需获取一定的目标权限，甚至可采取直接破坏物理设备等手段，因此攻击发动相对容易。其建模方法一般通过在控制方程中叠加攻击对目标状态量的影响，进而分析攻击对控制效果的影响。

2

电力CPS网络攻击安全性评估

在考虑网络攻击威胁下，电力CPS安全在传统电网安全稳定内涵基础上拓展了信息安全和控制安全等新内涵。电力CPS的安全评价体系中的脆弱性和风险内涵如图2所示。

图2电力CPS安全性评价内涵

2.1电力CPS网络攻击脆弱性评估

脆弱性评估的过程通常为两步：①辨明电力CPS中可能被攻击入侵的脆弱点，作为建模起点和量化分析的切入点；②通过经验权重或建模计算方法，对脆弱性进行量化评估。

2.2电力CPS网络攻击风险评估

攻击造成电力系统功能削弱有多种体现形式，主要集中在电力系统安全性、稳定性、经济性等方面。电力CPS网络攻击风险评估需针对具体场景和攻击模型来制定攻击后果的量化评价指标，指标的设计需要重点反映攻击造成的经济后果和稳定后果。在经济方面，网络攻击可能造成实时电价和区域边际电价变化，因此可利用攻击者经济收益作为评估指标。在稳定方面，攻击直接影响包括线路开断、供需不平衡等，最终体现在频率电压失稳或失负荷，据此形成频率偏差、期望供电不足、失负荷量等评价指标。两类指标侧重不同但成因相关，可根据后续攻击防御等研究需要进行指标的选择和转化。

2.3基于电力CPS仿真的安全性评估

理论建模分析和仿真实验测试是研究电力CPS攻击过程和后果的两种思路。目前针对电力CPS中信息物理复杂交互过程的理论分析方法尚未成熟，建立电力CPS仿真平台能够为理论研究提供有力支撑和拓展。作者所在研究团队在信息物理联合仿真方法和攻击仿真验证方面开展了长期研究，所建立平台能够模拟多种电力CPS网络攻击行为并实时再现攻击造成的物理侧后果。

图3网络攻击在信息物理联合仿真平台上的验证

3

电力CPS防御检测

攻击的防御检测本质上是判断系统中是否出现异常事件，可归结为对“正常”和“异常”状态进行区分的问题。现有的异常检测方法可按照辨识依据分为基于偏差的检测和基于特征的检测方法，如图4所示。

图4现有电力CPS防御检测方法

3.1基于偏差的检测方法

基于偏差的检测方法通常根据防御目标选择一个或多个与攻击强相关的变量（例如系统量测、控制信号、网络通道状态等）进行监控，当检测到运行中这些变量值偏离正常范围达到一定阈值时认为出现攻击。常用的偏差量包括以下几类。

1）统计分布偏差：根据采集信息的统计规律和物理模型的辅助，设定正常模式范围以检测异常。

2）控制效果偏差：通过控制反馈的效果偏差，可判断控制过程是否受到网络攻击。

3）预测偏差：通过对比电力CPS的预测状态和实际状态，检测攻击事件。

3.2基于特征的检测方法

基于特征的检测方法通过物理机理分析或人工智能方法，提取系统正常运行和受攻击时的特征，在检测中通过比对特征判断是否出现攻击。特征选取可分为以下两种思路。

1）基于系统物理模型，依赖于对系统运行规律从机理层面进行分析，从而确定系统正常状态的特征属性。

2）基于人工智能方法，依赖于实际采样或仿真的数据集，利用数据驱动的方法，通过机器学习提取攻击事件的特征形成攻击事件特征库，通过分类或聚类算法进行正常事件、普通故障和攻击事件的特征区分。

4

电力CPS防御保护

电力CPS的防御保护目标涵盖信息侧的信息安全和物理侧的安全稳定运行两个方面。保护的实现则通过信息侧和物理侧防御保护方法以及两侧防御方法的协作，发挥防御保护对本侧内部的安全防护能力，并通过耦合关联性质协助维护另一侧的安全。目前研究中的防御保护思路按保护方面和时间尺度总结归纳如图5所示。

图5现有电力CPS防御保护手段总结

4.1信息侧保护手段

电力CPS的信息侧保护有事前预防和事后应对两类手段。

目前常用的事前预防保护手段包括认证校验、加密、网络隔离和准入管理。在传统保护手段基础上，目前学者正在尝试将可信计算和区块链等新技术应用到信息安全保护中。

当针对电力CPS的网络攻击未能被信息侧预防手段有效阻断时，将开始对物理侧产生实际影响。信息侧事后应对方法包括隔离受损设备或调整控制策略。例如针对DoS攻击可采取追踪溯源、重构网络、重定向、过滤、限速、合法性检测和攻击资源耗尽等事后应对措施，并针对无法通过报文内容合法性检测判断出是否为DoS攻击包的情况，设计根据带宽的流量重定向方案。

4.2物理侧保护手段

物理侧的攻击防御保护主要可以分为基于资源调配和基于信息校正的方法。

基于资源调配的方法融合攻击事前和事后两个时间阶段，通过事前部署冗余资源、事中事后调配可分配资源，为电力系统提供后备，以维持攻击后系统的安稳运行。电力CPS物理侧保护资源包括：人力资源（如用户、管理员、技术人员等）、技术资源（如增强元件防御保护能力的工具软件和修复损坏元件的技术；经济资源，如对新设施和节点的投资等。具体保护方式包括利用优化方法的资源配置决策，利用博弈论的资源配置决策和基于随机化思想的移动目标防御。

基于信息校正的方法主要作用在攻击事后阶段，利用对攻击向量或对系统自身特性的知识，在攻击对物理侧的干扰结果出现后，对受损的采集数据、控制信号等进行校正，达到期望的控制效果。校正保护方法根据保护对象，可以分为：

1）校正稳态下状态估计应用和暂态下态势预测应用的系统状态感知结果，应对针对状态感知的攻击。

2）校正控制信号或调整控制方案，应对针对控制功能（发电控制、频率控制、能量管理等）的攻击。

5

总结与展望

针对电力CPS安全研究现状，总结未来研究的重点如下。

1）基于网络安全理论与方法，针对电力CPS信息侧实际组网与安全防护方式，研究电力CPS的信息侧攻击渗透过程。

2）基于信息-物理耦合影响，研究网络攻击造成电力连锁故障的机理，提出电力CPS的攻击融合建模和安全性量化评估方法。

3）基于信息侧和物理侧耦合模型进行电力CPS攻击的攻击建模和防御检测，实现攻击后续路径预测、自然故障和人为攻击的定性区分、以及安全稳定性的实时评估与在线辅助决策。

4）从“信息层-物理层-耦合层”的多空间尺度和“预防-紧急-恢复”的多时间尺度，研究电力CPS的网络攻击和防御理论与方法。

原文发表在《电力系统自动化》年第43卷第9~10期，欢迎品读！

引文信息

王琦,李梦雅,汤奕,等.电力信息物理系统网络攻击与防御研究综述：(一)建模与评估[J].电力系统自动化,,43(9):9-21.DOI:10./AEPS.

WANGQi,LIMengya,TANGYi,etal.AReviewonResearchofCyber-attacksandDefenseinCyberPhysicalPowerSystems:PartOneModellingandEvaluation[J].AutomationofElectricPowerSystems,,43(9):9-21.DOI:10./AEPS.

汤奕,李梦雅,王琦,等.电力信息物理系统网络攻击与防御研究综述：(二)检测与保护[J].电力系统自动化,,43(10):1-9.DOI:10./AEPS.

TANGYi,LIMengya,WANGQi,etal.AReviewonResearchofCyber-attacksandDefenseinCyberPhysicalPowerSystems:PartTwoDetectionandProtection[J].AutomationofElectricPowerSystems,,43(10):1-9.DOI:10./AEPS.

《电力系统自动化》年第9期目次

华北电力大学祁兵、李彬等：区块链技术参与分布式光伏交易的模式设计与思考

山东大学吴悦华，高厚磊等：有源配电网分布式故障自愈方案与实现

杭州电子科技大学杭丽君、沈凯等：应用于可再生能源系统的DAB变换器软开关调制策略

作者及团队介绍

王琦，博士，东南大学电气工程学院讲师。主要研究方向：电力信息物理系统、电力系统稳定分析与控制。

汤奕，博士，副教授，博士生导师。主要研究方向：电力系统稳定分析、电力信息物理系统。

李梦雅，东南大学电气工程学硕士研究生。主要研究方向为电力信息物理系统信息安全。

倪明，博士，南瑞集团有限公司研究员级高级工程师。主要研究方向：电力系统规划、电力系统分析与控制。

东南大学电力系统自动化研究所主要从事电力系统稳定分析与控制、电力信息物理系统、电力系统人工智能等领域的研究工作。近年来在电力信息物理系统安全领域主持国家自然科学基金项目3项，参与国家重点研发计划子课题4项，承担企业科技项目13项；发表SCI检索论文11篇，申请和授权国家发明专利22项。

近期发布内容可通过本

转载请注明:http://www.aideyishus.com/lkgx/629.html