针对虚假数据注入攻击的配电系统韧性提升

2022-12-24于光远秦昌龙刘梦琦

山东电力技术 2022年11期

刘晓，于光远，秦昌龙，王浩，刘梦琦

（国网山东省电力公司济南供电公司，山东济南 250021）

0 引言

近年来，随着人们对电能质量的要求逐渐提升，电力系统已经发展为物理层与网络层融为一体的电力信息物理融合系统（Cyber-physical System，CPS）［1］。由于电力CPS 内部的信息交互更加频繁，难免使得通信系统存在不可避免的缺陷和漏洞，使得电力系统调度与运行等环节面临着网络攻击的风险［2］。而配电网作为经济发展的重要设施，在电能输送中起着分配和调度功能，故成为网络攻击的首要攻击对象［3］。

虚假数据注入（False Data Injection，FDI）攻击作为近年来最受关注的电力网络攻击之一，在2009 年首次被Y.Liu等人提出，指出攻击者可以在电力系统拓扑结构与网络参数已知的情况下，通过精心构建的虚假数据躲过坏数据检测（Bad Data Detection，BDD），从而达到破坏系统量测值，并进一步影响调度的目的［4］。FDI攻击不是凭空的假设而是真实的存在，如2015 年12 月，一种名为“Black Energy”的木马病毒入侵乌克兰电网，通过恶意删改电力系监测数据并发出错误的指令，导致大规模的电力中断长达数小时［5］。2019 年3 月，Slammer 蠕虫病毒攻击委内瑞拉水电站，并扰乱其运行［6］。目前对该类攻击的研究主要集中在三方面［7］：攻击模型、防御检测和防御保护。文献［8］在考虑量测值攻击范围与避开状态估计的残差检测两种约束下，构造了电网FDI 攻击的非线性分析模型，该模型为量测系统配置的改进提供依据，但忽略了调度人员行为因素。文献［9］针对具有隐蔽性特征的FDI 攻击，将待检测的数据映射到2 个不同的状态空间并生成2 个不同的马尔科夫链模，建立FDI攻击检测器，该检测器在保证检测成功率的情况下降低了检测的计算量。文献［10］从防御角度出发，提出基于事故链风险评估的复杂网络关键线路识别方法，应用马尔科夫链和自组织临界理论求取事故风险，然而该方法并没有从不同的物理保护情况研究。

单从风险方面入手以提高电力系统的防御能力，对于真实的电力系统不具有足够的实用性，考虑系统潮流分布的失负荷（Loss of Load Demand，LoLD）风险的提出为判断防御FDI 攻击能力提供了新的评判标准［11］。移动储能系统（Mobile Energy Storage System，MESS）能够实现能量的时空转移，通过其空间灵活性弥补正常运行和灾难情况下后备能源供应的不足。文献［12］研究表明MESS能够避免灾害造成的预期负荷的下降，为配电系统的韧性提升提供了新的思考方向。文献［13］通过不完全信息的博弈分析了防御者和攻击者之间的战略交互，以支持防御者设计有效的安全防御系统，但是该方法只是从成功防御概率与成本出发，并未考虑真实的系统潮流，实际应用中的可行性和可靠性较低。因此，提高配电网抵御FDI 攻击和保证可靠供电的能力成为亟待解决的问题。

针对遭受FDI 攻击后的配电网失负荷情况，提出通过优化系统安全防御设备的冗余量与位置和移动储能系统的运行状态与路径，构建以配电系统韧性提升为目标的多目标优化模型。由于描述能量状态（State of Energy，SOE）的离散点不能准确描述配电系统的实际运行状况，基于Fourier-Legendre 级数展开，建立一个近似连续函数来表征每个运行周期的SOE。为快速准确求解所提模型，基于种内竞争（Intraspecific Competition，IC）的多目标进化捕食策略（Multiple Preys Based Evolutionary Predator and Prey Strategy，MPEPPS）被提出。通过在IEEE 33 节点配电系统进行仿真计算，验证本文所提模型和算法的有效性。

1 FDI攻击过程

智能电网已发展为物理层与网络层高度融合的电力信息物理融合系统（Cyber-physical System，CPS），通过相量测量单元，能量管理系统（Energy Management System，EMS）完成数据收集、数据分析和能量管理。其中，数据采集与监控（Supervisory Control and Data Acquisition，SCADA）系统是电力自动化实时数据的来源，是EMS进行分析决策的依据。电力系统FDI 攻击是指攻击者有目的恶意篡改EMS接收到的量测数据，即向SCADA 注入恶意数据，并成功躲过不良数据检测机制，使得EMS 做出错误的决策并引起系统产生LoLD，达到影响电力系统运行控制的目的。FDI 攻击具体过程如图1 所示，攻击者注入虚假数据v，并绕过不良数据检测机制，误导EMS产生错误的决策方案。随后，调度人员根据错误的调度信息做出动作，造成电力供需不平衡，进而产生电力LoLD。

图1 电力FDI攻击过程

2 移动储能系统模型

图2描述了MESS在IEEE 33节点系统的典型应用场景。MESS 是由储能系统和卡车组成，根据不同的调度要求，MESS可以在不同节点间流动。MESS既可以在固定位置上充当固定储能，又可以与其他设备互补，实现各区域的有功出力互补，与传统储能系统相比，展现了更大的优势。

图2 IEEE 33节点配电网韧性提升框架

考虑到防御设备难以实现防御能力达到100%成功，对于电力系统而言，在不同的时间节点FDI 攻击可能引起不同节点（位置）的负荷损失。而在各个节点处增加设备用电源以应对FDI 攻击，将激增电力系统运行费用。MESS 能够实现能量的时空转移，其时空灵活性可缓解不同时间不同节点处因FDI 攻击引起的电力供需不平衡，避免FDI 攻击造成较大的LoLD，为应对躲过防御设备的FDI 攻击提供了一个新的解决思路。当配电系统受到FDI 攻击时，一部分躲过防御设备的攻击导致系统LoLD，调度人员可以通过将MESS调度至LoLD节点处以减少系统的损失。针对移动储能的这些特点，文中采用基于Fourier-Legendre级数展开的方法，建立MESS模型，其充/放电的相关概念如下。

2.1 MESS的SOE模型

在一个固定的运行周期T内，起止的SOE 值应当保持一致，即

在t()0 ≤t≤T时刻，SOE 和充放电功率关系可以用式（2）来表示。

式中：Δt为时间间隔为MESS的充放电系数。

由式（2）发现，在调度中，MESS的运行是通过时间离散点来建模的。然而，离散点模型的主要缺点是在实际运行条件下不能匹配MESS的连续性。如果为了实现更精确的SOE 而增加时间间隔，则会增加系统的计算负担。

2.2 MESS 的Fourier-Legendre 级数连续SOE模型

根据式（2），移动储能的连续SOE表达式如下：

根据Fourier-Legendre 级数定理［14］，函数f(x)在［-1，1］上满足狄里克雷（Dirichlet）条件且可以展开为Legendre多项式如下［15］：

工程应用中常取x=cosθ(0 ≤θ＜π)和θ=tπ/T，即x=cos(tπ/T)∈(-1，1)。根据式（4）—式（6），式（3）所示的SOE 函数可以展开成Fourier-Legendre级数：

因此，通过优化变量am可以得到近似最优的SOE（t），并且确定最优的MESS充放电功率。本文中m设置为6。

3 失负荷模型

攻击者通过攻击配电网系统，使得系统形成孤岛而不能正常运行。因此，有必要在攻击前加装安全设备，并在攻击后调度MESS以降低系统的LoLD，保证用户的供电可靠性。

3.1 安全设备模型

安全设备的合理配置可以降低配电系统遭受FDI 攻击的损失。因此，安全设备的性能对系统能否成功防御FDI 攻击起着尤为关键的作用。因此，脆弱性是通过安全设备自身的成本性能来定义：

式中：cj和oj分别为安全设备j的购置和运行成本；Oj表示攻击者攻击第j个安全设备所付出的代价；φ为强度参数，通常被定义为1［16］。

可靠性是安全设备从出厂就具备的性能，其大小决定着防御FDI 攻击的能力，因此攻击成功的概率可以表示为

式中：si为安全防御子系统安装在节点i；qi为节点i安全子系统里面nty类安全防御设备的数量；ωij为分配在节点i处安全防御子系统的第nty类安全设备的冗余量；rj表示第nty类设备的可靠性。

3.2 LoLD模型

LoLD 指考虑FDI 攻击致使系统故障或断电而造成的电能和经济损失，综合事故发生的可能性和各负荷节点的功率，分别用FDI 攻击成功的概率和节点负荷表示，FDI 攻击成功率用上文所提可靠性与脆弱性计算得到。综上，LoLD 模型可表示为

式中：N为LoLD节点集合；PDi为负荷节点i的功率。

4 考虑LoLD的多目标优化模型

4.1 目标函数

MESS 具有清洁环保，高效灵活的特点，可以通过优化其充放电功率和规划运行路线，降低用户失负荷的风险，减少不必要的损失。从电网利益方面讲，MESS和安全设备的规划需要考虑投资与运行费用；从用户电能需求方面讲，安全可靠的电能是必不可少的。因此，本文以总成本最低和失负荷最小为多目标函数，目标函数如下：

式中：Cdefense和Coperation分别为系统防御成本和运行成本；ηMESS为MESS 运行成本系数［17］；ωij为第j种类型的安全防御设备被分配到第i个节点安全防御子系统的数量；PchrMESS为MESS第t时刻的充电功率；二进制数μMESS(t)∈{ }0，1 为MESS 在时刻t的状态，其中μMESS(t)=0 表示MESS 在时刻t时处于运输的状态，储能设备不会产生电能的充放，另外，μMESS(t)=1 为MESS在t时刻的某一节点处于充放电状态；ηFC为卡车的燃油成本系数；Di，e(t)为在t时刻卡车所处当前的节点i到下一个节点e的距离；CLC为卡车人工成本，其中包括司机和MESS 技术人员的报酬；Cfuel=为系统发电成本，其中，Ng为总的机组数量，ak，bk和ck为第k台机组燃料费用系数，Pgk为第k台机组的有功输出。

4.2 约束条件

1）安全设备约束。

安全设备的接入为系统抵御FDI 攻击、保证系统安全可靠运行提供了有力支持，为保证成本与防御效果的平衡，需要防御设备的数量在一定范围以内，如式（14）所示。

式中：ωij∈[0，χi/(cij+oij)]，χi为节点i处安全防御设备的成本。

2）MESS运输约束。

如今，以张良一、曲子营、曲汉峰为代表的第三代传承人，担负起了“盐垛斗虎”的传承任务，每年冬闲的时候都组织村内的斗虎表演队进行训练，春节期间到各村进行串演，活跃在乡村的舞台上，并积极参加市区组织的文艺汇演。

MESS 在时刻t时，由节点i到e的运输时间如式（15）所示。

式中：σ(t)为交通拥堵延时；vMESS为卡车平均行驶速度；εi，e(t)为由节点i到节点e的时间，由于存在卡车离开节点i无法到达节点e的情况，因此约束为

式中：ΔTi，e为MESS 在当前节点i到目的节点e总的调度时间。

3）MESS充放电约束。

5 算例分析

为了验证所提模型的有效性，选取IEEE 33节点配电网系统进行仿真。仿真的测试环境是MATLAB 的R2018a 版本，硬件平台为Inte（R）Core（TM）i5-5200U CPU @ 2.20GHz，内存为16 GB。

安全设备从市场购得，其成本和可靠性如表1所示。每组安全防御子系统的成本χi为3 354美元。MESS的充放电效率为90%，SOC 的上下限分别为1、0.2，MESS 充电时，充电成本系数ηMESS为221 美元/MWh，卡车司机成本CLC为25 美元/h，卡车燃油成本系数ηFC为0.4 美元/km，车速为40 km/h［18］。两个节点之间的距离假设为0.17 Ω/km［19］。

表1 安全设备的成本和可靠性

在进行仿真计算时考虑的是一个MESS 和一组安全设备组合。图3 的优化结果给出了失负荷和总成本之间的曲线，直观展示了负荷损失随总成本变化的关系。

图3 MPEPPS得到的最优Pareto前沿

由图3 可知，失负荷值与总成本之间的总体关系呈负相关，即总成本越高，失负荷值越少。分析可知，总成本包括安全设备和MESS 的成本，安全设备成本越高即安全设备投入越多，失负荷会越少，另外MESS 可以对遭受FDI 攻击后的线路继续供电，因此提高MESS 的投入也会降低失负荷量。

图3 中红色菱形方块标记的为经过多属性决策方法TOPSIS（Technique for Order Preference by Similarity to Ideal Solution）决策后的最优解。最终结果如表2 所示，在安全设备防御子系统配置为［3，1］时，其失负荷值为67.336 2 MW，总成本为2 971.6 美元，且安全设备的位置为11节点。

表2 最终优化方案

MESS 的最优运作策略如图4 所示。由于本文考虑的配电网，居民用电也是分为早晨和晚上用电较多，所以如图4（a）所示，MESS 在06：00—10：00 和20：00—24：00 这两个时间段都是放电时间，与实际相符。另外，在凌晨时由于电厂所发电能较少充电功率也会相应减少，中午时段生产的电能较为丰富，MESS会加大充电功率，以保证晚上用电高峰时期充足的用电量。另外，基于Fourier-Legendre级数展开的连续函数来模拟储能的SOC 满足SOC∈[ ]0.2，1 的约束。