Research on False Data Injection Attacks in VSC-HVDC Systems
VSC-HVDC 系统的虚假数据注入攻击研究 韩通 ,陈艳波 ,马进 ( .华北电力大学电气与电子工程学院,新能源电力系统国家重点实验室,北京市 ; . School of Electric and Information Engineering , University of Sydney , NSW 2006 ,澳大利亚)
Research on False Data Injection Attacks in VSC-HVDC Systems
HAN Tong , CHEN Yan-bo , MA Jin (1. State Key Laboratory of Alternate Electrical Power System with Renewable Energy Sources, North China Electric Power University, Beijing 102206, China; 2. School of Electric and Information Engineering, University of Sydney, NSW 2006, Australia) ABSTRACT:
The false data injection (FDI) attack is a crucial form of cyber-physical security problems facing cyber-physical power systems. However, there is no research revealing the problem of FDI attacks facing voltage source converter based high voltage direct current transmission (VSC-HVDC) systems. Firstly, the general form of the model of FDI attack strategies is proposed and the essence of the problem of FDI attack strategies is further analyzed. Moreover, the model of FDI attack strategies aiming at disrupting the operation security of converter stations in VSC-HVDC systems is proposed and its solving algorithm is then presented. And finally, the modified IEEE-14 bus system is utilized to reveal the problem of FDI attacks facing VSC-HVDC systems, demonstrating that attackers are capable of disrupting the operation security of converter stations in VSC-HVDC systems by FDI attacks.
KEY WORDS : false data injection attack; VSC-HVDC; cyber-physical power system; nonlinear state estimation 摘要: 虚假数据注入( False Data Injection , FDI )攻击作为电力信息 - 物理系统面临的信息物理安全问题的一种重要形式,受到了国内外研究人员日益广泛的关注。但目前尚无研究揭示基于电压源型换流器的高压直流输电( Voltage Source Converter based High Voltage Direct Current Transmission , VSC-HVDC )系统所面临的
FDI 攻击问题。本文首先提出了电力系统
FDI 攻击策略模型的一般形式,并对
FDI 攻击策略问题的实质进行了分析。进一步提出了以破坏
VSC-HVDC 系统换流器运行安全为目标的
FDI 攻击策略模型及求解算法。最后以修改的
IEEE-14 节点系统为例展示了
VSC-HVDC 系统面临的
FDI 攻击问题,结果表明攻击者可通过实施
FDI 攻击破坏
VSC-HVDC 系统的安全运行。 关键词: 虚假数据注入攻击 ; VSC-HVDC; 电力信息 - 物理系统 ; 状态估计 引言 随着信息技术的大量渗入,现代电力系统已经发展成为由电力及其监控系统构成的复杂信息 - 物理系统( Cyber-Physical System , CPS ) [1-2] 。由于信息系统与物理系统的高度耦合,信息系统遭受的故障或网络攻击不仅会影响其自身的正常运行,更有可能传导至物理系统从而威胁电力系统的安全、稳定和经济运行。这类新的安全问题被称为电力系统信息物理安全问题 [3] 。近几年国外发生的多起针对实际电网的网络攻击事件引起了国内外对电力 CPS 安全问题的广泛关注 [4] 。 电力系统借助数据采集与监控( Supervisory Control and Data Acquisition , SCADA )系统采集电网的实时数据并传输给电网调度中心的能量管理系统(
Energy Management System , EMS ), EMS 中的状态估计(
State Estimation, SE )对含有误差和不良数据的量测生数据进行处理得到可信的系统状态变量的估计值,这一过程也称数据滤波,
EMS 中的高级应用(如故障分析、自动发电控制、最优潮流等)进一步根据 SE 的结果实现对电力系统的闭环或半闭环控制。研究表明,当攻击者在掌握一定的系统信息时,可通过攻击 SCADA 系统中的量测仪表或通信链路,有目的地篡改
SCADA 系统传输给
EMS 的量测数据,从而影响 SE 的结果,进而 基金项目 :国家自然科学基金资助项目 (51407069) ;中央高校基本科研业务费专项资金资助项目 (2016YQ02) 。 Project Supported by National Natural Science Foundation of China(NSFC)( 51407069);
Fundamental Research Funds for the Central Universities(2016YQ02). 对 EMS 中的其他高级应用产生影响,并最终影响到整个电力
CPS 的安全、稳定和经济运行。这种通过篡改量测数据进而影响 SE 结果的网络攻击一般称之为虚假数据注入( False Data Injection , FDI )攻击,它是电力
CPS 所面临的信息物理安全问题的一种重要形式 [5-6] 。 自文献 [7] 首次揭示了电力 CPS 所面临的
FDI 攻击问题以来,国内外学者对其进行了大量研究。为简化分析,早期的文献大多基于直流 SE 模型来研究 FDI 攻击策略、
FDI 攻击对电网的影响以及针对
FDI 攻击的应对策略 [7-11] 。但电力系统的非线性对于基于直流 SE 模型构建的 FDI 攻击策略具有一定的鲁棒性 [12] ,且实际电力系统中应用的 SE 模型一般为交流 SE 模型,针对直流 SE 构建的攻击策略未必有效。自文献 [13] 起,相关学者开始基于交流 SE 模型对 FDI 攻击进行研究。文献 [13] 从图论的角度研究了以攻击成本最小(最小化被攻击量测量数目)为目标的
FDI 攻击策略,但该
FDI 攻击策略只能对某一个电气量产生影响;文献 [14] 研究了在攻击者只掌握部分电网信息时,如何构建
FDI 攻击策略以对局部区域的负荷分布产生影响;文献 [15] 在文献 [14] 的基础上研究了最优攻击区域的确定方法,以使攻击者实施
FDI 攻击时所需掌握的电网信息最少;文献 [16] 研究了在攻击者无法掌握系统状态变量估计值情况下的
FDI 攻击策略。需要指出的是,已有文献均是对交流输电系统
FDI 攻击问题的研究,目前尚无研究揭示直流输电系统所面临的
FDI 攻击问题。直流输电系统的
FDI 攻击问题具有以下特点:( )直流输电系统无对应的直流 SE 模型,且其状态变量、量测方程和等式约束亦有别于交流 SE 模型,因此无法构建基于直流 SE 的 FDI 攻击模型和策略,( )基于交流 SE 的 FDI 攻击模型和策略也无法直接应用于直流输电系统。 近些年,基于电压源型换流器的高压直流输电(
Voltage Source Converter based High Voltage Direct Current Transmission , VSC-HVDC )技术在电网中得到了广泛的应用,其在提高系统稳定性、增大输电能力以及促进新能源消纳等诸多方面发挥着重要作用。如果攻击者对
VSC-HVDC 系统实施
FDI 攻击,必将会对
VSC-HVDC 系统自身甚至整个交直流系统的安全稳定运行造成极大影响。研究
VSC-HVDC 系统的
FDI 攻击问题成为当务之急。 本文对
VSC-HVDC 系统所面临的
FDI 攻击问题进行研究。首先提出了电力系统
FDI 攻击策略模型的一般形式,并对
FDI 攻击策略问题的实质进行 了分析;进一步提出以破坏
VSC-HVDC 系统换流器运行安全为目标的
FDI 攻击模型并给出了相应的求解算法;最后以修改的
IEEE-14 节点系统为例展示了
VSC-HVDC 系统面临的
FDI 攻击问题。 预备知识 含 VSC-HVDC 交直流系统的 SE 方法 含 VSC-HVDC 交直流系统大多采用加权最小二乘 (Weight Least Squares, WLS) 状态估计方法 , 其模 型 在 交 流 系 统 SE 模 型 的 基 础 上 增 加 了 与 VSC-HVDC 系统相关的状态变量、量测方程及等式约束 [17] 。以下首先对
WLS 进行简要介绍,然后给 出 含 VSC-HVDC 交直流系统的量测方程。 一般地, SE 的量测方程和约束如式 (1) 所示 : ( )( ) = + += z h x e bc x (1) 式中 , [ , , , ] T m z z z = z 和 [ , , , ] T n x x x = x 分别表示量测向量和状态向量; [ , , , ] T m e e e = e 表示量测误差向量,且满足 (0, ) i i e N ,
1, , i m = ; [ , , , ] T m b b b = b 表示不良数据向量(相对值); [ ( ), ( ), , ( )] T m h h h = h x x x , ( ) i h x 表示与 i z 对应的量 测 真 值 ; ( ) = + + z h x e b 表 示 量 测 方 程 ; ( ) = c x 为等式约束。另外,本文涉及到等式约束处均将等式约束视作高精度的虚拟量测进行求解。 WLS 通过求解下面的优化模型得到系统状态向量的估计值 ˆ x ,即 : ˆ arg min ( ) ( ) T − = − − x x z h x R z h x (2) 式中 , R 为量测向量 z 的误差方差阵。 WLS 在实际应用中须配置有不良数据检测与辨识环节,最为常见的方法为最大标准化残差检验法,该方法检验每个量测量的标准化残差 Ni r ,其计算公式如式 (3) 所示: ˆ( ) i iNi ii z hr −= x (3) 其 中 , 表 示 残 差 协 方 差 矩 阵 。 如 果 max max{ | 1, , } N Ni r r i m c = = ,则 max N r 对应的量测被视为不良数据并将其剔除,然后再用 WLS 进行求解,直至 max N r c ; c 为给定的阈值,本文中 c 取 。 图 为含 VSC-HVDC 的交直流系统示意图,
VSC 通过换流电抗器 c y ( c y )和换流变压器 t y ( t y )与交流系统相连,本文假设换流器均使用模块化多电平技术,故不考虑交流滤波器。节点 s 、 s 为 VSC-HVDC 系统与交流系统的连接节点,假定选取交流系统中节点 为参考节点,则状态向量 期 第一作者等: 本文题名 [ ] T N N c c c c dc dc
U U U U U I U = x 。 图 含 VSC-HVDC 交直流系统示意图
Fig. 1 Illustration of the AC/DC system with VSC-HVDC 在交流系统侧,量测量一般包括节点电压幅值、节点注入功率、支路功率等;在
VSC-HVDC 系统侧,量测量一般包括交流侧支路功率、直流侧电 压 幅 值 、 直 流 侧 电 流 幅 值 。 交 流 系 统 侧 和
VSC-HVDC 系统侧量测方程中 ( ) h x 的表达式分别参见文献 [19] 及附录 A 。 系统中换流器的运行限制 为保证换流器的安全运行, VSC-HVDC 系统的稳态运行点必须位于图 所示的 P-Q 运行极限图的阴影区域内(下文称之为安全运行区间),以保证流入换流器的交流侧电流幅值和交流侧电压幅值均小于一定的限值 [18] 。 图 中实线圆反映了流入换流器的交流侧电流幅值限制, 以 换流器 VSC-1 为例,假设允许流入换流器的最大交流侧电流幅值为 c I , ,则该圆的圆心位于原点,半径为 s c U I ;虚线圆弧反映了换流器交流侧电压幅值限制,假设换流器允许的最大交流侧电压幅值为 c U ,虚线圆弧所在圆的圆心为 ( , ) s tc s tc U g U b − ,半径为 | | s c tc U U y ,其中 j tc tc tc y g b = + 表示换流电抗器 c y 和换流变压器 t y 串联后的等效导纳。 图 系统换流器 P-Q 运行极限图
Fig. 2 P-Q capability chart of the converter station
2 FDI 攻击策略模型的一般形式 如图 所示,系统的状态向量、量测向量及相 关电气向量分别表示为 x 、 z 及 z ,此处的相关电气向量指电网运行人员对电网进行分析、控制及优化时所关心的电气量所构成的向量,如节点电压幅值、支路传输功率、自动发电控制中发电机的目标出力等。假设系统运行于状态 c S ,该状态下 x 、 z 及 z 的真值分别表示为 c x 、 c z 及 c z ,电网控制中心获得的量测值向量表示为 c z 。 SE 根据 c z 得到系统的状态向量估计值 ˆ c x , EMS 中的其他高级应用进一步根据 ˆ c x 计算得到相关电气量的估计值 ˆ c z 。需要指出图 中的 SE 是指包含了不良数据检测和辨识环节的 SE 。 图 攻击示意图 Fig. 3 Illustration of FDI attacks
FDI 攻击中攻击者的攻击目的一般有两种:第一种为通过将状态 c S 下的量测值向量 c z 篡改为 a z ,从而使 SE 的结果变为 ˆ a x ,但并不苛求 ˆ a x 的具体取值,只需满足 ˆ ˆ a c x x 即可,以此为目的的 FDI 攻击称之为随机
FDI 攻击;第二种为通过将状态 c S 下的量测值向量 c z 篡改为 a z ,从而使得相关电气向量的计算结果变为 ˆ a z ,且对 ˆ a z 的取值有特定的要求,以此为目的的 FDI 攻击称之为特定
FDI 攻击。此外,攻击者还可能对 ˆ a x 、 ˆ a z 甚至 a z 有更进一步的要求,例如要求 || || a c − z z 小于特定值等,从而降低攻击成本。 简言之, FDI 攻击即为通过将状态 c S 下的量测值向量 c z 篡改为 a z ,使得 SE 结果和相关电气向量计算结果分别变为 ˆ a x 和 ˆ a z ,且 a z 、 ˆ a x 及 ˆ a z 满足一定的约束条件,从而达到攻击目的。 如何构建 a z 才能使 SE 根据 a z 计算得到满足一定约束条件的 ˆ a x 呢(对 ˆ a z 的约束条件可转化为对 ˆ a x 的约束条件)?如图 所示,假设状态向量估计值 ˆ a x 对应的系统状态为 a S ,该状态下状态向量真值、量测向量真值及相关电气向量真值分别表示为 a x 、 a z 及 a z ,若要求 SE 可根据 a z 计算得到 ˆ a x ,则 a z 必为系统运行于状态 a S 时可能出现的量测数据。显然, a z 可能触发不良数据检测和辨识环节的动作,但只要剔除不良数据后可计算得到 ˆ a x 即可。 综上, FDI 攻击策略模型的一般形式可表示为以下 优化模型: ˆ ˆarg max ( , , )( )ˆ ( ) s.t. ˆˆ ( )ˆ ˆ( , , )ˆ ˆ( , , ) a SEue f f = = + + = = = = z z x z zz z e bz h xx zz h xg x z zg x z z (4) 其中, ˆ ˆ( , , ) f x z z 表示与 FDI 攻击中最大化或最小化要求相关的函数; ( ) = z h x 反映了 z 完全满足系统方程; ( ) SE f z 为表示 SE 的抽象函数, ˆ ( ) SE f = x z 表示 SE 根据量测向量 z 直接得到满意的 SE 结果(含不良数据辨识环节); ˆ( ) h x 为 EMS 其他高级应 用 中 计 算 相 关 电 气 向 量 的 函 数 或 抽 象 函 数 ; ˆ ˆ( , , ) u g x z z 和 ˆ ˆ( , , ) e = g x z z 分别表示 FDI 攻击中的不等式约束和等式约束。当
FDI 攻击中无最大化或最小化要求时,式 (4) 退化为方程组。 进一步,将式 (4) 化简可得: ( )arg max ( ( ( ) ),( ( ( ) )), ( ) )( ( ( ) ),( ( ( ) )), ( ) )s.t. ( ( ( ) ),( ( ( ) )), ( ) ) a aa SE SEu SESEe SESE f f fffff = + + = + + + + + + + + + + + + + + + + + + = x z h x e bx h x e bh h x e b h x e bg h x e bh h x e b h x e bg h x e bh h x e b h x e b (5) 从式 (5) 不难看出, FDI 攻击策略模型求解的本质是求解状态向量 a x ,即寻找满足一定约束条件的系统状态 a S 。因此, FDI 攻击策略问题的实质是系统的状态分析问题。
3 VSC-HVDC 系统 FDI 攻击策略 攻击者可能对
VSC-HVDC 系统实施随机
FDI 攻击或特定
FDI 攻击,但后者更有针对性和破坏性,因此本文仅考虑针对
VSC-HVDC 系统的特定
FDI 攻击。此外,换流器是整个
VSC-HVDC 系统中最为关键的设备,故本文假设攻击者欲通过实施
FDI 攻击破坏换流器的安全运行。为了达到此攻击目的,攻击策略设计的出发点为通过篡改某些量测量 , 影 响 SE 结 果 , 从而 使 换 流 器控 制 系 统 对 VSC-HVDC 系统的运行点或安全运行区间做出错误判断。当
VSC-HVDC 系统的真实运行点已超出真实的安全运行区间时,而换流器控制系统中的相应环节并未被触发,这将导致换流器中的换流阀长时间工作于过电流状态或过电压状态而失效,最终 使换流器发生损坏 [20] 。以下以攻击图 中换流器 VSC-1 为例对所提出的针对
VSC-HVDC 系统的
FDI 攻击策略进行阐释。 攻击策略模型 基于第 节提出的 FDI 攻击策略模型的一般形式 , 首 先 根 据 攻 击 目 的 确 定 相 关 电 气 向 量 [ ] s s
P Q = z 。 如 图 所 示 , 假 设 攻 击 前
1, 1, ˆˆˆ [ ] c s c s c
P Q = z ,且攻击前换流器 VSC-1 的运行点
1, 1, ˆˆ( , ) s c s c
P Q 位于攻击前安全运行区间以外;攻击后
1, 1, ˆˆˆ [ ] a s a s a
P Q = z ,且要求攻击后换流器 VSC-1 的运行点
1, 1, ˆˆ( , ) s a s a
P Q 位于攻击后的安全运行区间以内(在电网运行控制人员看来)。另外,考虑到攻击的难度和攻击者掌握的资源限制,攻击者一般对被攻击量测量的数量有一定要求,此处假设攻击者仅要求最小化被攻击量测量的数量(以最小化攻击成本)。从而,根据式 (4) 可得到针对
VSC-HVDC 系统的
FDI 攻击策略模型如下 : ( ) ( ) ( ) ( ) arg min s.t. ( )ˆ ( )ˆˆ ( )ˆˆ ˆ+ ˆˆ ˆ ˆ+ˆ | |ˆ a cSEs s s cs s tc s s tcs c tc fP Q rU IP U g Q U br U U y = −= + + = = = + − z z z zz z e bz h xx zz h xx x x (6) 式中, || || 表示向量的 L0 范数; r 、 r 为给定的系数,且满足 ( ) 1 r r 或 ,当 VSC-HVDC 系统运行中留有一定安全裕度时,其取值需适当减小; min x 和 max x 分别表示系统正常运行状态下状态向量的最小值向量和最大值向量。 攻击策略模型求解算法 由于式 (6) 所示的优化模型基于交流 SE 构建、包含 VSC-HVDC 系统特性且同时攻击多个相关电气量,导致已有的
FDI 攻击策略模型求解方法无能为力 [8, 13-16] 。本小节结合第 节对 FDI 攻击策略问题实质的分析,通过将式 (6) 的求解转化为对状态向量 a x 的求解,亦即寻找系统状态 a S ,从而给出式 (6) 的求解算法。另外需要说明的是,当量测数据中含不良数据时,若剔除不良数据后系统仍然可观,则 SE 仍可能得到满意的估计结果。 SE 的这一特点可被攻击者用于减小被攻击的量测量的数量,但具体的攻击策略与量测仪表的配置和系统去掉某些量 期 第一作者等: 本文题名 测量后的可观测性有关。为简化问题,本文不考虑攻击者对这一特性的利用,即令式 (6) 中 = b 。 为便于进一步分析,首先给出以下定义: ⚫ (非)相关状态变量及相关量测量:若量测量 j z (或相关电气量 j z )是状态变量 i x 的函数,则称 i x 为 j z (或 j z )的相关状态变量,称 j z 为 i x 的相关量测量,记作 ( ) i i j x z z ;否则,称 i x 为 j z (或 j z )的非相关状态变量,记作 ( ) i i j x z z 。 ⚫ 函数 及 : ({ ,..., }) { | } ... { | } i j j i z z j x z j x z = (7) ({ , ..., }) { | } ... | } i j j i z z j x z j x z = (8) ⚫ 向量 w : | | 1 [ ] i z w = w , k + , k n + 。当 i z 为虚拟量测量时, i w = ,否则 i w = 。 ⚫ 集合 ( , ) k k nF 及 ( , ) k k nV : ({ , }) 1,({ | 1 0})... 1, k s s kk nkF i i ikF F F k P Q k nz v wk n − +− − + = = = = (9) ({ , }) 1,({ | 1 0})( ... ) 1, k s s kk nkV i i ikV V V k P Q k nz v wk n − +− − + = = = =− (10) ⚫ 向 量 ( , ) k k n d : ( , ) ( , )( , ) | | 1 [ ] kk k nkV k nk n i d = d , 其 中 ( , ) Β k k ni d , k + , k n + 且 ( , ) | | k nkV k n ;对于同一 k , k n 与 ( , ) k k n d 所在向量空间 ( , ) | | 1 k nkV B 中除 ( , ) | | 1 [1] k nkV 外的所有向量一一对应。 ⚫ 向量 ( , ) k k n v : ( , )( , ) | | 1 [ ] kk k nk n i z v = v ,其中 k + , k n + 。 若 k = : 当 kV j 且 ( , ) k k nj d = , 使 得 ij H 时, ( , ) k k ni v = ,否则 ( , ) k k ni v = ;若 k :当 kV j 且 ( , ) k k nj d = , 使 得 ij H , 且 ( 1, ) { | 1 0} k k ni i i i v w − − = = 时 , ( , ) k k ni v = , 否 则 ( , ) k k ni v = 。其中, H 表示量测方程的雅可比矩阵。 ⚫ 集合 k : { } k k n = 为确定的集合,其中 k + , k n + , | | kV k n 。 对于任意系统状态 S , a S S = 的必要条件为式 (11) 成立: ( )( ) ( ) ( )
221 1 1 1 1 1 1 1 1 1 221 1 1 1 1 1 1 1 1 121 1 1,max 22 21 1 1 1 1 1 1 1 1 1 1 121 1 1 1 1 ˆ ˆˆ ˆ ˆ ( cos sin )ˆ ˆˆ ˆ ˆ+ ( sin cos )ˆ ˆ ˆˆ ˆ ˆ ˆ( cos sin )+ˆˆ ˆ ˆ ( sin s tc s c tc s c tc s cs tc s c tc s c tc s cs cs tc s c tc s c tc s c s tcs tc s c tc
U g U U g bU b U U g brU IU g U U g b U gU b U U g − + ++ −=− + ++ + ( ) ( )
221 1 1 1 1 1 122 1 1 max 1min max ˆ ˆcos )ˆ | |ˆ s c tc s c s tcs c tc b U br U U y − −= , x x x (11) 由于攻击前的运行点
1, 1, ˆˆ( , ) s c s c
P Q 位于攻击前的安全运行区间以外,故当 c S S = 时,式 (11) 必不成立;则当假设虚拟量测量可被攻击时,状态 a S 与 c S 的差异必然存在于且仅存在于 s P 和 s Q 的相关状态变量。进而, a S S = 的必要条件除式 (11) 外,还需有下式成立: | |1 21 1 1 1 1 1 1 1 11 ( ) ( ) ( ) ( ) O n O n O n O n n (12) 其中, ( )
O n 表示以下方程组: ( ) i c i Fni i c i V x x id x x i − = − = (13) 式 (12) 与式 (11) 联立即构成了 a S S = 成立的充分必要条件,考虑到联立式 (12) 与式 (11) 可能得到多种系统状态,即 a S 并不唯一,为简化问题,本文以状态变量的偏移量最小为原则确定唯一解。另外,在式 (11) 中,可近似认为 ˆ = x x ,在式 (12) 中,可近似认为 ˆ c c = x x 。则式 (12) 与式 (11) 联立后可转化为以下优化问题: ( )
2, 1,(1, ) 1,1 1 ˆarg min ˆs.t. 0 ˆ 0( ) a cn i c i Fni i c i Vz x x id x x in = − − = − = = x x x xg x (14) 式中, || || 表示向量的 L2 范数, ( ) z = g x 表示式 (11) 中状态变量的估计值用状态变量的真值替换后得到的方程组。 通过求解式 (14) 得到 a S 的前提条件是虚拟量测量可被攻击,而事实并非如此。当式 (14) 中 n 取 中的某一元素 n 时,则 当 (1, ) (1, ) (1, ) n n nT T = v w v v 时 , V i 且 (1, ) ni d = , i x 的相关量测量均非虚拟量测量,此时 (1, )0 0 || || || || nc − = z z v w ,攻击者仅需攻击 i x 的所有相关量测量,即 (1, ) (1, ) { | , 0} n nj j i iV z z x i d = 。 当 (1, ) (1, ) (1, ) n n nT T v w v v 时 , V i 且 (1, ) ni d = ,使得 i x 的相关量测量中含有虚拟量测量,由于虚拟量测量本质为系统约束而无法进行攻击,此时式 (14) 变为 : ( ) ˆarg min ˆs.t. 0 ˆ 0( )( ) { | 1 0} a ci c i Fni i c i Vz ni i i i x x id x x iz h x i i v w = − − = − = = = = = x x x xg x (15) 若式 (15) 存在可行解,则攻击者仅需攻击 i x 的所有相关量测量;若式 (15) 无可行解,则当假设除 i x ( V i 且 (1, ) ni d = )的相关量测量中含有的虚拟量测量外,其余虚拟量测量均可被攻击时,式 (14) 变为: ( )( )
2, 2,(1, ) 1,(2, ) 2, (1, )2 2 ˆarg min ˆ 0 ˆ 0ˆ 0s.t. ( )( ) { | 1 0} a cn i c i Fni i c i Vni i c i Vz ni i i i x x id x x id x x iz h x i i v wn = − − = − = − = = = = = x x x xg x (16) 同理式 (14) 可对式 (16) 进行进一步分析计算。以上求解过程实施的困难在于集合 k 中的元素未知,一个可行的做法是假设 k 中仅含有一个元素,使该元素遍历其所有可能的取值,求解后得到令 || || c − z z 最小的 k 中的元素即构成真正的集合 k 。遍历过程中已经得到 k 中各元素对应的使 ˆ|| || c − x x 最小化的系统状态,假设为 { | 1, 2,...} ta t = x ,则最终的系统状态 a x 确定为: ˆarg min || || ta ta a c = − x x x x (17) 显然穷举遍历可能无法满足实施 FDI 攻击对计算时间的要求,攻击者完全有可能利用一定的遍历规 则 减 小 求 解 时 间 , 但 本 文 的 目 的 在 于 对
VSC-HVDC 系统 FDI 攻击的存在性及其特点进行分析,并不深入讨论求解时间的问题。为使计算时间在本文的研究目的下可被接受,采用以下方法初步减小遍历时间: 以遍历 中的元素至 i n 为例,假设之前遍历过程中所得到的需要篡改的量测量数目的最小值为,显然 取元素 i n 时需要篡改的量测量数目必然大于或等于 (1, ) 0 || || i n v w ,故若 (1, ) 0 || || i n v w ,则不对 取元素 i n 的情况做进一步分析。 基于上述分析,给出模型的求解算法步骤如图 所 示 , 图 中 M 为 一 个 充 分 大 的 正 整 数 , ( , ) 01 || || j j nkt j = = w v 表示需要篡改的量测量的数量 , t Z 表 示 需 要 攻 击 的 量 测 量 集 合 , 且 ( , ) ( , ) { | , 0 1, l l l n l nt j j i i jV Z z z x i d w l = = = } l k + 。图 中式 (18)- 式 (20) 的表达式如下: 图
4 FDI 攻击策略模型求解算法流程图
Fig. 4 Flow chart of the algorithm for solving the model of FDI attack strategies ( ) ˆarg min ˆs.t. 0 ˆ 0( ) a ci c i Fni i c i Vz x x id x x i = − − = − = = x x x xg x (18) ( ) ˆarg min ˆs.t. 0 ˆ 0 ,( )( ) { | ( 1 11) 0} l k a c ki c i Fl n li i c i Vz n ni i i ik ni i x x id x x i l l kz h x i i v vv w + = − − = − = = = = = = = x x x xg x (19) ( ) ˆarg min ˆ 0 ˆ 0 ,s.t. ( )( ) { | ( 1 11) 0} l k a c ki c i Fl n li i c i Vz n ni i i ik ni i x x id x x i l l kz h x i i v vv w − + − = − − = − = = = = = = = x x x xg x (20) 期 第一作者等: 本文题名 算例分析 本节利用修改的 IEEE-14 节点系统对所提出的针对
VSC-HVDC 系统的
FDI 攻击策略的有效性进行验证。 算例参数 图 修改的 IEEE-14 节点系统单线图
Fig. 5 The diagram of the modified IEEE-14 bus system 如图 所示,在原 IEEE-14 节点系统的节点 和节点 之间增加一条 VSC-HVDC 支路,其参数参见附录 B ;系统量测配置为:所有交流节点配备 电 压幅值量测,所有非零功率注入节点配备注入功率量测,所有交流支路(包含换流变压器)配备首末端潮流量测,各换流器配备直流侧 电 压幅值量测、直流侧 电 流幅值量测。量测值通过在 FDI 攻击前量测真值的基础上叠加一定的高斯噪声获得,各量测仪表均取 − = 。 FDI 攻击前量测真值根据如附录 C 所示的 FDI 攻击前系统的运行状态计算得到。 图
6 FDI 攻击前换流器
VSC-1 的 P-Q 运行极限及运行点
Fig. 6 P-Q capability chart and the operation point of the converter station VSC-1 before FDI attacks 另外,
FDI 攻击前换流器
VSC-1 的运行点如图 中红色圆点所示。此时,换流器 VSC-1 的运行点已经大幅度超出其安全运行区间(图 中的灰色阴 影区域)。正常情况下,换流器的控制系统将会动作使运行点位于安全运行区间以内。 算例结果 为验证所提攻击策略的有效性,在当前的系统运 行 状 态 下 , 分 别 取 r r = = 、 r r = = 、 r r = = 三组不同的取值,每组取值下进行 次 独 立 试 验 , 且 每 次 试 验 均 满 足 FDI 攻 击 前 max N r c 。另外,不同组之间的 次独立试验产生的量测值彼此相同。 表
1 FDI 攻击成功率及需要篡改的量测量数目
Tab.1 Success rate of FDI attacks and the number of tampered measurements 组别 r r = = r r = = r r = = 成功率
94% 94% 97% 需要篡改的量测量数目
6 14 15 表 给出了三组不同的 r 、 r 取值下实施 FDI 攻击的成功率及需要篡改的量测数目,具体需要篡改的量测量如图 所示,攻击前后的量测值如图 所示(为清晰起见,在不同的 r 、 r 取值下仅分别给出某一次试验下的结果,且攻击前的量测值彼此相同;若某 r 、 r 取值下量测量的量测值未标出,则表示该量测量在该 r 、 r 取值下未被篡改)。需要说明,若 FDI 攻击后 max N r ,则认为本次 FDI 攻击成功,否则认为本次
FDI 攻击失败;另外,每组取值下不同的独立试验中需要篡改的量测量数目相同。从表中可以看出,三组不同的 r 、 r 取值下, FDI 攻击的成功率均大于或等于 ,且最少仅需篡改 个量测量即可成功地对换流器 VSC-1 实施 FDI 攻击。 图
7 FDI 攻击前后的量测值(仅给出被篡改的量测量)
Fig. 7 Measurement values before and after FDI attacks (only those being tampered are listed) 图 给出了三组不同的 r 、 r 取值下实施 FDI 攻击前后最大标准化残差 max N r 的对比情况。从图中可以看出, FDI 攻击均未引起 max N r 的明显增大,且在大部分试验下, FDI 攻击后的 max N r 较攻击前有不同程度的减小。一方面,由于 FDI 攻击后量测向量 a z 中经篡改的量测量是将状态向量 a x 代入 ( ) h x 中计算而得,使得量测向量 a z 的一致性较 FDI 攻击前的量测值向量 c z 更好,从而导致 FDI 攻击后的 max N r 较攻击前有所减小;而另一方面,求解 a z 过程中用 ˆ c x 近似替代 c x 会降低量测向量 a z 的一致性,从而可能出现 FDI 攻击后的 max N r 较攻击前略微增大的情况。 图
8 FDI 攻击后的最大标准化残差
Fig. 8 Values of the largest normalized residual under FDI attacks 图
9 FDI 攻击后换流器
VSC-1 的 P-Q 运行极限及运行点
Fig. 9 P-Q capability chart and the operation point of the converter station VSC-1 under FDI attacks 图 为 FDI 攻击后根据 SE 结果计算得到的换流器 VSC-1 的安全运行区间(图中灰色阴影区域)及运行点(图中红色圆点)。在同一 r 、 r 取值下,图 中仅给出某一次试验下的结果,实际上对于同一 r 、 r 取值下的不同试验, P-Q 运行极限及运行点位置的差别极小。结合图 和图 可知,换流器 VSC-1 的真实运行点已经大幅度超出其安全运行区间,但
FDI 攻击之后,根据 SE 结果计算得到的换流器 VSC-1 的运行点均位于安全运行区间内,从 而使换流器控制系统对换流器的运行状态做出错误判断。这将导致换流器中换流阀长时间遭受过电压和过电流而失效,最终使换流器发生损坏,而
VSC-HVDC 系统故障后发生的直流功率转移甚至可能进一步威胁交流系统的安全稳定运行。 量测配置对
FDI 攻击的影响 在实际电网中,量测配置一般无法满足 小节中设定的满量测配置,因此,有必要进一步分析量测配置对
FDI 攻击的影响。本小节在 组不同的量测配置下,分别重复 小节中的试验,除量测配置外,其余参数均与 小节中相同。 组量测配置中,第 组即为 小节中设定的量测配置,第 组在第 组的基础上通过去掉交流系统中的某些量测使量测冗余度降低,第 组分别在前一组的基础上通过去掉 VSC-HVDC 系统(包含与交流系统的连接节点)中的某些量测使量测冗余度依次降低,详细的量测配置参见附录 D 。 图 不同量测配置下 FDI 攻击成功率及需要篡改的量测量数目
Fig. 10 Success rates of FDI attacks and numbers of measurements being tampered 图 给出了在第 组量测配置下 FDI 攻击成功率及需要篡改的量测量数目。从图中可以看出,在不同的 r 、 r 取值下,第 组的 FDI 攻击成功率均高于第 组,而需要篡改的量测量数目均小于第 组。在第 组量测配置下,仅需要篡改 个或 个量测量即可成功对 VSC-HVDC 实施 FDI 攻击。因此,当量测配置为非满量测配置时,攻击者完全可能通过修改更少的量测量,而以更高的成功率对
VSC-HVDC 系统实施
FDI 攻击。 结论 本文提出了电力系统 FDI 攻击策略模型的一般形式,并对
FDI 攻击策略问题的实质进行了分析。进一步提出了以破坏
VSC-HVDC 系统换流器运行安全为目标的
FDI 攻击策略模型及求解方法。最后以修改的
IEEE14 节点系统为例展示了
VSC-HVDC 期 第一作者等: 本文题名 系统所面临的 FDI 攻击问题,结果表明攻击者通过篡改较少数量的量测仪表即可
VSC-HVDC 系统成功实施
FDI 攻击,从而使
VSC-HVDC 系统因遭受
FDI 攻击而长时间运行于安全运行区间以外,从而导致换流器因遭受过电压及过电流而发生损坏,并可能进一步威胁交流系统的安全稳定运行。另外,本文所提出的电力系统
FDI 攻击策略模型的一般形式和针对
VSC-HVDC 系统的
FDI 攻击策略模型的求解方法对于电力系统其他形式的
FDI 攻击问题的研究亦具有指导和借鉴意义。 参考文献 [1] 苏盛 , 吴长江 , 马钧 , 等 . 基于攻击方视角的电力 CPS 网络攻击模式分析 [J]. 电网技术 , 2014, 38(11): 3115-3120. SU Sheng. WU Changjiang, MA Jun, et al. Attacker’s Perspective Based Analysis on Cyber Attack Mode to Cyber-Physical System [J]. Power System Technology, 2014, 38(11): 3115-3120. [2] 朱杰 , 张葛祥 , 王涛 , 等 . 电力系统状态估计欺诈性数据攻击及防御综述 [J]. 电网技术 , 2016, 40(08): 2406-2415. ZHU Jie, ZHANG Gexiang, WANG Tao, et al. Overview of Fraudulent Data Attack on Power System State Estimation and Defence Mechanism [J]. Power System Technology, 2016, 40(08): 2406-2415. [3] 赵俊华 , 梁高琪 , 文福拴 , 等 . 乌克兰事件的启示 : 防范针对电网 的 FDI 攻击 [J]. 电力系统自动化 , 2016, 40(7): 149-151. ZHAO Junhua, LIANG Gaoqi, WEN Fushuan, et al. Lessons learnt from the Ukrainian blackout: protecting power grids against false data injection attacks[J]. Automation of Electric Power Systems, 2016,40(7): 149-151. [4] 叶夏明 , 文福拴 , 尚金成 , 等 . 电力系统中信息物理安全风险传播机制 [J]. 电网技术 , 2015, 39(11): 3072-3079. YE Xiaming, WEN Fushuan, SHANG Jincheng. Propagation Mechanism of Cyber Physical Security Risks in Power Systems[J]. Power System Technology, 2015, 39(11): 3072-3079. [5] 王先培 , 田猛 , 董政呈 , 等 . 输电网虚假数据攻击研究综述 [J]. 电网技术 , 2016, 40(11): 3406-3414. WANG Xianpei, TIAN Meng, Dong Zhengcheng, et al. Survey of False Data Injection Attacks in Power Transmission Systems[J]. Power System Technology, 2016, 40(11): 3406-3414. [6] 卫志农 , 陈和升 , 倪明 , 等 . 电力信息物理系统中恶性数据定义、构建与防御挑战 [J]. 电力系统自动化 , 2016, 40(17): 70-78. WEI Zhinong, CHEN Hesheng, NI Ming, et al. Definition, Construction and Defense of False Data in Cyber Physical System[J]. Automation of Electric Power Systems, 2016, 40(17): 70-78. [7] LIU Y,NING P,REITER M K . False data injection attacks against state estimation in electric power grids[C]// Pro-ceedings of the 16th ACM conference on Computer and Communications Security, November 9-13, 2009, New York, NY, USA: 21-32. [8]
KOSUT O, JIA L, THOMAS R J, et al. Malicious data attacks on the smart grid[J]. IEEE Transactions on Smart Grid, 2011, 2(4): 645-658. [9] 朱杰 , 张葛祥 . 基于历史数据库的电力系统状态估计欺诈性数据防御 [J]. 电网技术 , 2016, 40(06): 1772-1777. ZHU Jie, ZHANG Gexiang. Defense Against False Data in Power System State Estimation Based on Historical Database[J]. Power System Technology, 2016, 40(06): 1772-1777. [10] KIM J, TONG L. On topology attack of a smart grid: Un-detectable attacks and countermeasures[J]. IEEE Journal on Selected Areas in Communications, 2013, 31(7): 1294-1305. [11]
LIANG G, ZHAO J, LUO F, et al. A Review of False Data Injection Attacks Against Modern Power Systems[J]. IEEE Transactions on Smart Grid, to be published. [12]
JIA L, THOMAS R J, TONG L. On the nonlinearity effects on malicious data attack on power system[C]//2012 IEEE Power and Energy Society General Meeting. IEEE, 2012: 1-8. [13]
HUG G, GIAMPAPA J A. Vulnerability assessment of AC state estimation with respect to false data injection cyber-attacks[J]. IEEE Transactions on Smart Grid, 2012, 3(3): 1362-1370. [14]
LIU X, LI Z. Local load redistribution attacks in power systems with incomplete network information[J]. IEEE Transactions on Smart Grid, 2014, 5(4): 1665-1676. [15]
LIU X, BAO Z, LU D, et al. Modeling of local false data injection attacks with reduced network information[J]. IEEE Transactions on Smart Grid, 2015, 6(4): 1686-1696. [16]
LIU X, and LI Z. False Data Attacks Against AC State Estimation With Incomplete Network Information[J], IEEE Transactions on Smart Grid, to be published. [17]
DE L V J A, ACHA E, EXPOSITO A G. Voltage source converter modeling for power system state estimation: STATCOM and VSC-HVDC[J]. IEEE Transactions on Power Systems, 2008, 23(4): 1552-1559. [18]
BEERTEN J, COLE S, BELMANS R. Generalized steady-state VSC MTDC model for sequential AC/DC power flow algorithms[J]. IEEE Transactions on Power Systems, 2012, 27(2): 821-829. [19] 于尔铿 . 电力系统状态估计 [M]. 北京 : 中国水利电力出版社 , 1985. [20] 罗湘 , 汤广福 , 温家良 , 等 . 电压源换流器高压直流输电装置中 IGBT 的过电流失效机制 [J]. 中国电机工程学报 , 2009, 29(33): 1-7. LUO Xiang, TANG Guangfu, WEN Jialiang, et al. Over-current failure mechanism of IGBT within voltage source converter based high voltage direct current[J]. Pro-ceedings of the CSEE, 2009, 29(33): 1-7. 附录 A : VSC-HVDC 系统侧的量测方程
VSC-HVDC 系统侧量测方程中的 ( ) h x 由式 (A-1)- 式 (A-13) 给出(对于仅给出换流器 VSC-1 侧的 ( ) h x 可类比至换流器 VSC-2 侧):
21 1 1 1 1 1 1 1 1 1 1 ( cos sin ) s s tc s c tc s c tc s c
P U g U U g b = − + + (A-1)
21 1 1 1 1 1 1 1 1 1 1 ( sin cos ) s s tc s c tc s c tc s c
Q U b U U g b = + − (A-2)
21 1 1 1 1 1 1 1 1 1 1 ( cos sin ) c c tc c s tc c s tc c s
P U g U U g b = − + (A-3)
21 1 1 1 1 1 1 1 1 1 1 ( sin cos ) c c tc c s tc c s tc c s
Q U b U U g b = − − − (A-4) dc dc
U U = (A-5) dc dc I I = (A-6) dc dc dc dc U U I r = − (A-7) dc dc
I I = − (A-8) 此外,换流器还需满足如下有功功率平衡约束: + =0 loss c dc
P P P + (A-9) 其中, dc P 表示换流器 VSC-1 的直流功率,其计算公式如下: dc dc dc
P U I = (A-10) loss P 表示换流器 VSC-1 的有功损耗,其计算公式如下:
21 1 1 1 1 1 loss dc dc
P a b I c I = + + (A-11) 其中, a 、 b 、 c 为 换流器 VSC-1 的损耗系数,对换流器工作于整流状态和逆变状态两种情况, c 的取值不同; dc I 表示换流器 VSC-1 交流测的电流幅值,其计算公式如下: ( )( 2 cos ) dc tc tc c s c s c s
I g b U U U U = + + − (A-12) 在换流器
VSC-2 的有功功率平衡约束中, dc P 应按下式计算: ( ) dc dc dc dc dc P U I r I = − − (A-13) 附录 B : VSC-HVDC 系统参数 表 B1 VSC-HVDC 系统参数
Tab.B1 Parameters of the VSC-HVDC system 参数 取值 t y /(°) c y /(°) a b c ( 整流 ) c ( 逆变 ) c I / ( p.u. ) c U /( p.u. ) dc r 注:交流侧与直流侧电压基准值均为 ,功率基准值均为 下同 ) ;换流器 VSC-2 与换流器
VSC-1 参数相同。 附录 C : FDI 攻击前系统的运行状态 表 C1 VSC-HVDC 侧状态变量取值
Tab.C1 Values of state variables in the VSC-HVDC system 参数 取值 c /(°) -34.993 c /(°) 6.397 c U / ( p.u. ) c U / ( p.u. ) dc I / ( p.u. ) dc U / ( p.u. ) 表 C2 交流系统侧状态变量取值 Tab.C2 Values of state variables in the AC system 交流节点编号 电压幅值 / ( p.u. ) 电压角度 /(°)
1 1.060 0.000* 2 1.045 -5.089 3 1.010 -12.707 4 1.000 -9.727 交流节点编号 电压幅值 / ( p.u. ) 电压角度 /(°)
5 1.000 -9.479 6 1.070 -23.490 7 1.057 -15.319 8 1.090 -15.319 9 1.058 -18.158 10 1.053 -19.375 11 1.058 -21.518 12 1.054 -23.927 13 1.051 -23.568 14 1.037 -21.502 注:电压基准值为 ,功率基准值为 。 附录 D : 第 组量测配置 图 D1 第 组量测配置 Fig. D1 Measurement configurations of group 1 图 D2 第 组量测配置 Fig. D2 Measurement configurations of group 2 期 第一作者等: 本文题名 图 D3 第 组量测配置 Fig. D3 Measurement configurations of group 3 图 D4 第 组量测配置 Fig. D4 Measurement configurations of group 4 图 D5 第 组量测配置 Fig. D5 Measurement configurations of group 5 图 D6 第 组量测配置 Fig. D6 Measurement configurations of group 6 图 D7 第 组量测配置 Fig. D7 Measurement configurations of group 7 图 D8 第 组量测配置 Fig. D8 Measurement configurations of group 8 收稿日期: 。 作者简介: 韩通 (1993) ,男,硕士研究生,研究方向为电力信息物理系统的恶意数据注入攻击问题 , E-mail : [email protected] ; 陈艳波 (1982) ,男,通信作者,博士,副教授,硕导,主要研究方向为电力系统状态估计、信息安全、电力系统稳定与控制; 韩通 马进 (1975) ,男,博士,教授,博导,主要研究方向为电力系统稳定与控制。,男,博士,教授,博导,主要研究方向为电力系统稳定与控制。