變電站自動化系統(tǒng)擾動同步協(xié)同攻擊及防護分析

　　摘要：國家支持型網絡攻擊可經供應鏈攻擊等方式滲透侵入變電站自動化系統(tǒng)，進而以邏輯炸彈的形式，通過多個變電站的無站間通信擾動同步協(xié)同跳閘攻擊，達成最大化破壞后果的目的。首先分析了變電站跳閘攻擊實現方式;在此基礎上，提出基于擾動同步的多變電站無站間通信協(xié)同機制，分析了采用節(jié)點低電壓表征擾動時的攻擊協(xié)同方式;采用IEEE39節(jié)點系統(tǒng)進行以節(jié)點低電壓為觸發(fā)機制的擾動同步協(xié)同攻擊仿真分析。仿真結果表明，采用適當的低電壓閾值作為攻擊協(xié)同判據，線路跳閘等初始故障可觸發(fā)故障點鄰近變電站中惡意軟件的低電壓邏輯，造成變電站跳閘失壓、并可能以多個變電站主動連鎖跳閘的方式導致大量變電站失壓，觸發(fā)大停電。最后結合電力監(jiān)控系統(tǒng)入網檢測流程，討論變電站監(jiān)控系統(tǒng)中擾動同步協(xié)同攻擊惡意軟件的檢測方法。

　　關鍵詞：變電站自動化;擾動同步協(xié)同攻擊;邏輯炸彈;主動連鎖跳閘;供應鏈攻擊

　　0引言

　　計算機與通信技術在電力系統(tǒng)的深度融合應用顯著放大了由網絡攻擊觸發(fā)電網安全事故的風險[12]。作為電能傳輸的關鍵樞紐，變電站是網絡攻防對抗的重要場所，已知的次造成烏克蘭停電事故的網絡攻擊的核心目標都是變電站。中國電力企業(yè)高度重視網絡安全防護，在依托基于物理隔離的邊界安全構建的縱深防衛(wèi)體系基礎上，還開始推廣應用基于可信計算技術監(jiān)控終端[34]，使得電力系統(tǒng)在技術和管理層面具備了抵御一般性安全威脅和具有有限資源的有組織攻擊的能力。

　　電力工程師論文發(fā)表知識：變電站運維工作論文發(fā)表期刊推薦

　　近年來，全球網絡空間軍事化進程加速，針對關鍵基礎設施的國家支持型網絡攻擊已發(fā)展為現實威脅[5]。攻防對抗主體的變化，不僅意味著攻擊方技術水平的提升，更意味著攻擊目的從一般性破壞或勒索轉換為最大化攻擊破壞后果。網絡攻擊從獨立時間或空間域轉為多個相互依存的時空域，從目標和手段單一的網絡攻擊轉為針對特定目標采用融合多種攻擊手段的定向協(xié)同網絡攻擊[6]。如何有效應對國家支持型網絡攻擊，管控攻擊破壞后果，是亟待解決的難題。

　　國家支持型網絡攻擊掌握有豐富資源，為達成預設攻擊任務，可不計成本地針對目標對象量身定制惡意軟件。201年突破物理隔離的Stuxnet就是典型的國家支持型網絡攻擊，它基于對伊朗鈾濃縮控制系統(tǒng)的先驗知識，在獲得控制權限后反復啟停離心機，選擇性破壞大批離心設備[7]。2021年月，伊朗重啟核計劃之后的第二天，納坦茲核電站再次遭到網絡攻擊并發(fā)生爆炸事故[8]。

　　除具有高度定制化、智能化的特征外，國家支持型網絡攻擊為最大化攻擊破壞后果，還會融合多種攻擊手段對多個目標對象實施破壞，如2015年攻擊烏克蘭電網的BalckEnergy就融合釣魚郵件入侵、分布式拒絕服務攻擊、破壞監(jiān)控系統(tǒng)可用性等手段控制大量斷路器跳閘并最終導致大量變電站全停[910]。隨著網絡攻防博弈的發(fā)展，若攻擊方像BlackEnergy一樣同時對多個變電站的全部斷路器發(fā)起旁路控制跳閘攻擊，極易造成電網解列，觸發(fā)大停電事故。

　　網絡攻防博弈中，電網防護水平的提升會倒逼攻擊方滲透入侵模式快速演化。2020年，被認為具有國家背景的攻擊方在SolarWinds合法產品升級包中植入惡意代碼，借助互聯(lián)網升級推送渠道入侵了其服務的覆蓋軍工、能源等涉及國家安全的近萬個行業(yè)用戶[11]。根據北美電力可靠性協(xié)會NorthAmericanElectricReliabilityCouncil，NERC的統(tǒng)計，美國約有25%的供電企業(yè)安裝了推送的帶毒升級包并可能受到潛在的影響[12]。中國電力系統(tǒng)各大區(qū)之間部署有隔離裝置和流量異常監(jiān)測，采用類似方式進行入侵滲透難以奏效[13]。

　　但電力監(jiān)控系統(tǒng)研發(fā)與測試業(yè)務流程中，代碼審計只能保證廠家自研業(yè)務功能部分的代碼安全，缺乏對引入的插件、套件和第三方功能模塊的安全管控手段。盡管監(jiān)控系統(tǒng)多基于Linux等開源軟件進行業(yè)務功能開發(fā)，但開源軟件的安全性依賴于開源社區(qū)人員的互相信任，并不能杜絕提交上傳惡意代碼。因此，攻擊方可能利用基礎性的開源軟件，在電力監(jiān)控系統(tǒng)中植入惡意代碼，進而經供應鏈渠道實現對目標系統(tǒng)的滲透。由于系統(tǒng)的復雜性，技術上難以清查供應鏈環(huán)節(jié)發(fā)起的攻擊。

　　掌握變電站自動化系統(tǒng)先驗知識的國家支持型網絡攻擊，可借助供應鏈渠道在變電站監(jiān)控系統(tǒng)中植入惡意代碼。由于中國電力系統(tǒng)部署了較完善的安防措施，攻擊方很難從外部與潛入變電站生產控制區(qū)的惡意軟件保持聯(lián)系，類似BlackEnergy的遙控跳閘攻擊難以奏效，即便取得聯(lián)系也容易提前暴露。為達成最大化攻擊后果的目的，攻擊方可能采用無通信的方式同步對多個變電站發(fā)起斷路器跳閘攻擊，使得多個變電全停觸發(fā)大停電。

　　本文研究高隱蔽性的多變電站無通信攻擊協(xié)同，首先提出變電站跳閘攻擊方式并進行了攻擊建模;在此基礎上，提出基于擾動同步的無通信協(xié)同機制，分析其攻擊行為和破壞模式;然后討論了擾動同步指標的選取，并選擇以故障擾動時電壓值作為同步指標進行了攻擊仿真分析;最后結合業(yè)務流程、根據擾動同步的同步邏輯討論了擾動同步協(xié)同攻擊的防護方案設計。

　　1變電站跳閘攻擊

　　重要工業(yè)控制系統(tǒng)多采用物理隔離方式進行安全保障，一般惡意軟件難以穿透安全屏障，即便潛入生產控制區(qū)，在缺乏行業(yè)知識的條件下也難以獲得目標對象的準確信息，只能進行阻塞網絡、格式化系統(tǒng)等暴力破壞[14]。因為以破壞為目的網絡攻擊難以直接得到經濟收益，它并非一般個體或有組織攻擊方進行攻擊的目的[15]。國家支持型網絡攻擊掌握豐富資源，為達成預設攻擊任務，可跨領域組織熟悉電力監(jiān)控系統(tǒng)工作機制和安防體系的專家，針對目標系統(tǒng)量身定制定向攻擊惡意軟件。中國電力系統(tǒng)已構建較完備的防護體系，變電站安全防護主要需針對國家支持型網絡攻擊進行強化設計。

　　1.1變電站跳閘攻擊實現分析

　　定向攻擊惡意軟件經供應鏈渠道入侵變電站后，可能有多種攻擊破壞模式。從Stuxnet、BlackEnergy和Industroyer病毒的攻擊模式來看，更多的是在獲取控制權限后，根據目標對象的工作機制進行旁路控制實施破壞。變電站自動化系統(tǒng)采用變電站描述語言生成包含斷路器通信控制端口和站內網絡通信拓撲結構等重要參數的變電站配置描述文件[14,16]。攻擊方基于先驗知識研制的定向攻擊惡意軟件，經供應鏈渠道等方式滲透進入變電站生產控制區(qū)、獲得控制權限后，可按規(guī)則讀取配置描述文件、解析獲取站內斷路器通信控制信息;此后根據預設的邏輯條件判斷是否發(fā)起攻擊。

　　在系統(tǒng)運行環(huán)境不滿足邏輯條件時，定期偵察檢測記錄運行數據，不會主動發(fā)起攻擊;檢測到滿足預設邏輯時，旁路控制跳開站內全部斷路器，造成變電站全停事故。攻擊烏克蘭電網的Industroyer病毒即利用時間邏輯，在2016年12月17日22:00整自動匹配變電站通信規(guī)約，發(fā)起針對全站斷路器的跳閘攻擊，造成全站失壓。與BlackEnergy相比，Industroyer具有高度智能化的特點，可自動匹配101、103、104和IEC61850通信規(guī)約在設定的時刻發(fā)起攻擊[1718]。基于邏輯條件觸發(fā)、不以傳播為目的惡意代碼也被稱為邏輯炸彈，比較常采見的是時間邏輯[19。

　　2001年，南京銀山電子離職工程師在故障錄波器中植入時間邏輯炸彈，造成全國147座變電站故障錄波器功能閉鎖[20]，是電力行業(yè)中廣為人知的時間邏輯炸彈。根據業(yè)務場景的不同，也可以針對性設置其他邏輯條件。如大眾汽車公司就在尾氣排放作弊事件中被爆出會進行工況識別，選擇性地在柴油車尾氣排放測試工況和正常行駛工況下啟動或關閉尾氣排放控制系統(tǒng)[21]。隨著電力系統(tǒng)網絡攻防對抗研究的深入，也有學者開展了在電網頻率控制中利用邏輯炸彈進行攻擊破壞的研究[22]。

　　2變電站無通信擾動同步協(xié)同攻擊

　　對國家支持型網絡攻擊而言，侵入變電站發(fā)起跳閘攻擊只是達成目標的手段，最大化破壞后果才是最終目標。從攻擊方視角來看，入侵后在多個變電站同步發(fā)起跳閘攻擊導致大量變電站全停以觸發(fā)大停電，是最大化攻擊后果的有效手段。要對多個變電站同步發(fā)起協(xié)同攻擊，需要解決個核心問題：1)繞過安全防護機制實現滲透入侵;2)在不被察覺的條件下實現多站點攻擊協(xié)同。

　　2.1滲透入侵模式分析

　　盡管中國電力系統(tǒng)深溝壁壘構建了較為完善的縱深防護體系，但網絡安全領域沒有絕對的安全，技術上難以完全杜絕惡意軟件的滲透入侵。除了從供應鏈渠道在設備廠商環(huán)節(jié)直接植入定向攻擊惡意軟件外，還可利用零日漏洞躲過安全威脅檢測經運維渠道滲透入侵。電力監(jiān)控設備廠商多基于Linux等開源操作系統(tǒng)進行監(jiān)控系統(tǒng)業(yè)務功能開發(fā)，但開源系統(tǒng)的安全性依賴于社區(qū)同行的自愿而非強制性審查，難以阻塞對開源社區(qū)或軟件官方倉庫等軟件供應鏈的惡意投毒行為。

　　隨著攻防博弈的發(fā)展，目前開源軟件官方倉庫中投毒的案例已有一些報道，如2020年明尼蘇達州立大學教授故意向Linux內核提交含漏洞的補丁代碼來研究測試開源社區(qū)的安全性[23];近年來在電力物聯(lián)網終端邊緣計算Docker容器技術官方倉庫中也發(fā)現植入比特幣挖礦惡意軟件的鏡像程序[2425]，相關系統(tǒng)已被下載2000萬次。由于主流的變電站監(jiān)控系統(tǒng)廠商數量屈指可數，攻擊方完成對設備廠商的滲透后可以實現對大批量變電站的入侵。

　　2.2無通信協(xié)同跳閘

　　智能變電站采用單向網閘對生產控制大區(qū)和管理大區(qū)進行物理隔離[26,27]。站內配置有網絡準入和入侵檢測系統(tǒng)，只允許經過配置的設備接入網絡，根據白名單機制僅允許與設定IP的設備通信，并基于流量異常等規(guī)則檢測網絡行為異常[28]。盡管侵入變電站的惡意軟件可以基于先驗知識讀取變電站配置描述文件，獲得斷路器控制信息后發(fā)起跳閘攻擊，但如果與站外通信進行攻擊協(xié)同，則比較容易被檢測發(fā)現，難以達成攻擊目的。

　　為避免過早暴露行蹤，侵入的惡意軟件可采用隱蔽的無通信方式進行攻擊協(xié)同。電網發(fā)生故障時，會對整個電網的頻率及故障點附近變電站母線電壓產生沖擊，定向攻擊惡意軟件可將故障時的電氣量擾動用作無通信協(xié)同機制;根據監(jiān)控主機中的實時數據判定電網運行狀態(tài);在檢測到變電站母線電氣量波動達到預設邏輯條件時發(fā)起跳閘攻擊，跳開站內全部斷路器，造成全站失壓，進而造成相鄰變電站母線電壓大幅波動，觸發(fā)其中的擾動協(xié)同攻擊惡意軟件，從而實現多站點無通信擾動協(xié)同攻擊。

　　3仿真分析

　　從短路故障時的故障表征來看，采用母線電壓或頻率均可標識電網是否存在故障擾動，實現多變電站攻擊協(xié)同。因全網頻率基本一致，如所有變電站均含有擾動同步的邏輯炸彈，強擾動下可能大量變電站同時遭攻擊全停而直接觸發(fā)大停電。電網電壓具有局部性，故障擾動時更容易呈現出故障后的主動連鎖特性，本文采用低電壓作為擾動同步的邏輯條件展開仿真分析。

　　實際場景中，可能并非全部變電站潛入含擾動同步邏輯的惡意軟件，但這會產生大量攻擊入侵組合。為簡化分析，本文假設所有變電站均被植入含擾動同步邏輯的惡意軟件，并分析采用不同低電壓作為判定系統(tǒng)處于擾動狀態(tài)閾值的影響。首先進行潮流計算，將潮流計算結果作為穩(wěn)定計算的輸入量。系統(tǒng)機電暫態(tài)過程仿真參數采用發(fā)電機次暫態(tài)參數模型，每臺發(fā)電機以汽輪機為原動機，配置直流連續(xù)勵磁裝置、汽輪機調速器和低頻振蕩穩(wěn)定器;負荷模型采用恒定阻抗模型。實際系統(tǒng)中，低電壓保護裝置的動作值多為0.6~0.7pu。為簡化分析、避免觸發(fā)低電壓保護影響仿真結果，以低電壓觸發(fā)擾動同步攻擊閾值為0.7pu為最小值，以0.05pu為步長，進行多組低電壓閾值的攻擊仿真。

　　4擾動同步協(xié)同攻擊防護分析

　　中國電力行業(yè)高度重視電力系統(tǒng)網絡安全防護，在技術和管理上已能有效管控一般性網絡安全威脅和具有有限資源的有組織攻擊的危害，但如何防護針對電力系統(tǒng)的國家支持型網絡攻擊，仍是亟待研究的難題。變電站監(jiān)控系統(tǒng)的軟、硬件以及安裝調試都需要通過入網測試或安全威脅檢測。國家支持型網絡攻擊擁有豐富的資源、高超的技能和必要的知識，不但可經供應鏈渠道在設備廠商環(huán)節(jié)在變電站監(jiān)控系統(tǒng)植入惡意代碼，還可能利用零日漏洞進行攻擊破壞。

　　由于這種定向攻擊惡意軟件往往只在滿足特定條件的前提下有限傳播，侵入變電站后也可在領域知識支撐下以不造成明顯網絡異常的方式進行攻擊破壞。在沒有明顯異常又沒有特征代碼的情況下，既有的入網安全性測試和網絡安全威脅檢測技術很難識別此類高隱蔽性的惡意軟件。

　　防護國家支持型網絡攻擊的關鍵點在于異常行為的檢測識別，而檢測困難的癥結在于難以準確判斷對手攻擊破壞的異常表現形式。由第節(jié)分析可知，可利用國家支持型網絡攻擊侵入變電站后會在判斷系統(tǒng)運行環(huán)境滿足預設邏輯時發(fā)起跳閘攻擊的特點，通過設置滿足無通信同步協(xié)同邏輯運行環(huán)境，來檢測被測試監(jiān)控系統(tǒng)中是否含有擾動同步邏輯的協(xié)同攻擊惡意軟件。

　　實際上，無通信攻擊協(xié)同機制除了擾動同步以外，還可以利用變電站的衛(wèi)星同步時間機制進行時間同步[30]。由于變電站監(jiān)控軟、硬件系統(tǒng)進行入網功能性試驗時需要進行擾動條件下的測試，攻擊方可能在擾動觸發(fā)同步邏輯基礎上附加時間邏輯以躲避檢測。檢測時可按以下步驟執(zhí)行：1)構建與變電站自動化系統(tǒng)相同的運行環(huán)境，啟動加載待檢測的電力監(jiān)控軟、硬件系統(tǒng)。2)輸入電網正常運行時的電氣量后，調整系統(tǒng)時鐘，使系統(tǒng)時鐘每隔固定時間加速相同時間間隔，速遍歷并觸發(fā)攻擊方可能設置的時間邏輯。

　　3)每次加快系統(tǒng)時間后，首先檢測被測試軟、硬件系統(tǒng)是否輸出非預期的控制指令;若檢測到其輸出非預期控制指令，則可判斷其中被植入時間邏輯炸彈，退出檢測流程;否則，輸入電網故障擾動時的電氣量來觸發(fā)擾動同步邏輯;若檢測到有非預期控制指令輸出，則可判斷其被植入含有擾動同步機制的協(xié)同攻擊惡意軟件，終止測試。4)延續(xù)上述流程直至時間加速到設定的截止時間，終止測試。采用上述方法，從原理上可檢測出變電站監(jiān)控軟、硬件系統(tǒng)中含有擾動同步協(xié)同攻擊邏輯的惡意軟件。

　　作者目前正根據上述思路研制相應無通信同步協(xié)同攻擊檢測系統(tǒng)。需要指出的是，所提方法是從底線思維出發(fā)、著眼于可導致大量變電站同時跳閘全停的網絡攻擊風險管控，只能檢測采用無通信擾動協(xié)同機制的惡意軟件，而不適用于針對單個變電站進行攻擊破壞的惡意軟件。因針對單個變電站的攻擊破壞后果相對有限，所提方法仍可有效管控網絡攻擊變電站的總體風險水平。

　　5結語

　　國家支持型網絡攻擊可借助供應鏈等渠道滲透侵入變電站，在不產生明顯異常的條件下基于先驗知識進行跳閘攻擊。針對此類高隱蔽性定向攻擊的防護難題開展研究，主要內容包括：

　　1)分析指出國家支持型網絡攻擊可基于先驗知識發(fā)起跳閘攻擊，精確地跳開站內所有斷路器、造成全站失壓;為最大化攻擊破壞后果，還可能以無通信擾動同步的方式，從多個變電站發(fā)起協(xié)同跳閘攻擊以觸發(fā)大停電事故。

　　2)基于IEEE39節(jié)點系統(tǒng)進行了低電壓擾動為判據的擾動同步協(xié)同攻擊的仿真分析。分析結果表明電網發(fā)生短路故障造成電壓跌落時，故障點周邊變電站的惡意軟件在檢測到電壓跌落大于低電壓閾值后將跳開全站斷路器，擴大擾動強度并進一步觸發(fā)其他變電站中潛伏的擾動同步惡意軟件，以主動連鎖跳閘的方式造成大停電。

　　3)低電壓閾值設置對擾動同步協(xié)同攻擊的攻擊傳播過程有一定影響。閾值較小時，初始故障后觸發(fā)低電壓閾值進行跳閘攻擊的變電站較少，這些變電站跳閘全停后可能以每次影響周邊少數幾個變電站的形式形成多梯次的變電站連鎖跳閘，最終造成大停電;閾值較大時，初始故障后會觸發(fā)大量變電站中的惡意軟件，并以更少的梯次、每次影響更多變電站的方式更快地觸發(fā)各變電站中潛伏的擾動協(xié)同惡意軟件。從最終結果上看，低電壓閾值設置在一定范圍內都能達到觸發(fā)大停電的目的。

　　參考文獻

　　[1]王宇，李俊娥，周亮，等.針對嵌入式終端安全威脅的電力工控系統(tǒng)自愈體系[J].電網技術，202044(9)：35823594WANGYu，LIJune，ZHOULiang，etal.Aselfhealingarchitectureforpowerindustrialcontrolsystemsagainstsecuritythreatstoembeddedterminals[J].PowerSystemTechnology，202044(9)：35823594(inChinese).

　　[2]秦博雅，劉東.電網信息物理系統(tǒng)分析與控制的研究進展與展望[J].中國電機工程學報，2020，40(18)：58165827.QINBoya，LIUDong.Researchprogressandprospectsofanalysisandcontrolofpowergridcyberphysicalsystems[J].roc.ofCSEE，202，40(18)：58165827(inChinese).

　　[3]王棟，陳傳鵬，顏佳，等.新一代電力信息網絡安全架構的思考[J].電力系統(tǒng)自動化，201640(2)：11.WANGDong，CHENChuanpeng，YANJia，etal.Ponderinganewgenerationsecurityarchitecturemodelforpowerinformationnetwork[J].AutomationofElectricPowerSystems，201640(2)：11(inChinese).

　　作者：王坤，蘇盛，左劍，李鴻鑫，劉亮，王冬青，趙奕

轉載請注明來自發(fā)表學術論文網：http://www.zpfmc.com/dzlw/27526.html