杨 挺，许哲铭，赵英杰，2，翟 峰，2

（1.智能电网教育部重点实验室（天津大学），天津市 300072；2.中国电力科学研究院有限公司，北京市 100192）

0 引言

随着计算机技术、通信网络和智能设备的发展，传统以物理设备为核心的能源电力系统通过无处不在的传感技术、先进的测量技术和强大的信息处理技术，逐渐演变为数字技术转型与用户需求驱动变革的新型电力系统，推动“源网荷储”的互动融合［1］。新型电力系统是一个集控制、计算、通信于一体的多维异构系统，通过信息通信网络与电力物理一次侧设备的深度耦合和先进的信息技术及控制技术，有效提高了系统的稳定性、鲁棒性、高效性和可靠性，是实现“碳达峰·碳中和”目标的重要手段，也是贯彻能源安全新战略的时代需要［2-3］。

在这个背景下，数字化转型成为了电力系统发展的关键一环，主要体现在如下方面:

1）应对新能源接入的挑战:随着可再生能源的大量接入，电力系统的结构日益复杂化。数字化技术能够有效地协调灵活性资源，提高可再生能源的消纳能力，有助于实现低碳能源转型的目标。

2）提高电力系统的可靠性和稳定性:数字化技术可以实时监测电力系统的运行状态，及时发现并处理故障，从而提高系统的可靠性和稳定性。

3）优化资源配置:数字化技术可以实现对电力市场的实时监控和分析，为决策者提供有力支持，有助于实现资源的优化配置。

4）促进智能电网的发展:数字化技术为智能电网提供了基础设施，有助于提高电力系统的智能化水平，满足未来电力需求的变化。

然而，数字化在赋予新型电力系统智能感知、高速通信和智能决策优化运行的同时，也带来了网络层面与物理层面的安全问题，主要表现在如下方面:

1）海量数据篡改问题:随着数字化转型的推进，新型电力系统中产生的数据量迅速增长，包含实现状态辨识和故障诊断的数据采集与监控（supervisory control and data acquisition，SCADA）系统采样数据、相量测量单元（phasor measurement unit，PMU）采集的节点相位角、电压和电流幅值数据以及系统敏感运行数据等。一方面，攻击者通过网络攻击手段，窃取、泄露这些数据来实现不法目的；另一方面，攻击者通过篡改采集数据、负荷数据等，影响新型电力系统的调度决策和运行安全。

2）高速通信网络堵塞信道、虚假同步问题:随着5G 技术的引入和大量通信终端设备的接入，包括路由器、交换机、光纤通信设备、无线通信设备等，依托同步数字层次结构（synchronous digital hierarchy，SDH）等高速可靠传输技术的新型电力系统各个信息终端设备高效互联通信，实现数据的实时传输和处理。借助各通信设备对时间同步的依赖性，攻击者通过发送虚假的同步信息来扰乱系统，占用带宽阻塞信道使系统无法正常运行，导致服务通信中断。

3）智能终端设备物理安全问题:数字化转型使得智能终端设备在新型电力系统中越来越重要，物理层大量的电力一次设备通过智能电子设备（intelligent electronic device，IED）、馈线终端单元（feeder terminal unit，FTU）、远程终端单元（remote terminal unit，RTU）、数据传输单元（data transfer unit，DTU）与信息通信系统相连，其中，IED 包括保护继电器、故障录波器、电能质量监测仪表等完成泛在感知数据采集、边缘计算，RTU 负责采集电力系统现场的开关状态、电压、电流、有功功率、无功功率等数据。这些设备面临物理攻击的风险，如盗窃、损坏或篡改等，这将导致设备功能丧失、数据泄露或系统瘫痪等严重后果。

文献［4］指出相互依赖的网络由于现有的交互式链接，比任何单一的网络更脆弱，更容易造成灾难性的一连串故障。因此，新型电力系统在其物理系统固有漏洞的保护与针对网络系统攻击的防御方面都面临诸多新挑战。特别是近些年频频发生信息侧的新型电力系统攻击事件，通过跨域传播导致电力系统大规模连锁故障。全球首个导致电力系统大规模瘫痪的信息-物理协同攻击（coordinated cyberphysical attack，CCPA）发生在2015 年，乌克兰电网信息系统被植入BlackEnergy 病毒，导致输电线路连续跳闸，系统无法正常重启，造成8 万户居民停电［5-6］。

近年来，全球范围内已发生多起针对电力系统的大规模攻击事件。2013 年，美国多家工业和能源相关企业遭受来自“蜻蜓”恶意软件的网络攻击，导致大量能源数据泄露［7］；2014 年，美国加利福尼亚州圣何塞附近的一个变电站遭受武装人员枪击，17 台巨型变压器被物理破坏，该变电站被迫关闭了1 个月［8］；2016 年，以色列电力局遭受未知网络攻击，导致监管机构计算机系统瘫痪数周［9-10］；2020 年，巴西的电力公司受到Sodinokibi 恶意软件的网络攻击，被黑客勒索1 400 万美元赎金，大量电力数据被锁定［11-12］。

从上述攻击事件可以看出，针对数字化转型的新型电力系统的攻击方式主要为网络攻击、CCPA和物理攻击。本文第2 章针对新型电力系统已出现或可能面临的多种攻击类型总结分类，第3 章对新型电力系统安全防御的方法从攻击前、攻击中和攻击后3 个阶段进行归纳总结。最后，提出当前新型电力系统安全性研究的不足，对未来技术发展进行了展望。

1 新型电力系统攻击模式及分析

新型电力系统是集物理设备系统、通信系统、控制系统、继电保护系统和配电管理系统于一体的集成、互联和智能系统，实现电力系统的实时监测、快速响应和自动调节，提高了电力系统的运行效率和稳定性，有效处理和分析海量电力数据，实现对电力资源的优化配置和能源管理，降低能源消耗和减少环境污染。

然而，依赖于计算机系统、控制软件和通信技术的新型电力系统，涌现出的这些多元主体和多层次市场之间需要进行大量的信息数据交互和协调，数字技术所存在的安全隐患使得新型电力系统极易受到网络攻击。各单元通过互联网络相互连接，使得攻击者可以从一个设备入侵整个系统，增加了系统的攻击面，为攻击者提供了入侵新型电力系统的便利机会。如图1 所示，新型电力系统控制层主要包含电力系统的监测、控制、优化和管理，虽防御能力最强，但攻击者通过数据窃取篡改、植入病毒、伪装终端破坏干扰控制层的终端，对新型电力系统造成的危害最大。网络层主要负责新型电力系统各个节点之间的数据传输和交换，攻击者主要通过堵塞信息通路或篡改传输数据实现其攻击目的；物理层主要涵盖了电力系统的发电厂、变电站、输电线路、配电网等物理设施，以及新型电力系统高渗透的新能源发电端与电动汽车用户端，其物理属性导致防御能力弱，常被攻击者作为攻击突破口。因此，本章从数据攻击、网络攻击和物理攻击3 个方面介绍数字化转型下的新型电力系统攻击模式及分析。

1.1 数据攻击

新型电力系统控制层实现如负荷频率控制、电压控制、调度自动化等自动控制功能，对监控中心的控制命令执行相应的控制策略，如调整发电机功率输出、调节变压器的抽头位置等。其中，包括电网拓扑结构、电力负荷数据、设备状态信息、运行指标等海量敏感数据，一旦受到数据攻击，将造成新型电力系统运行失稳、决策误判、市场混乱等严重后果。常见的数据攻击有虚假数据注入攻击（false data injection attack，FDIA）、数据重放攻击（data replay attack，DRA）、中 间 人 攻 击（man-in-the-middle attack，MiTMA）。

1.1.1 FDIA

FDIA 是一种新兴的攻击方式，特别是针对新型电力系统的信息-物理深度耦合特质，其通过恶意篡改采样端量测数据以及控制端状态估计（state estimation，SE）结果，造成对物理系统运行状态的误判或控制执行的误操作。在新型电力系统数字化转型中，由于数字技术的进步和用户需求的变化，电力系统呈现出复杂、高度分散、具有海量设备数据的特征，存在更大的潜在FDIA 攻击威胁。如以采集的电气量数据作为攻击对象，对SCADA 系统的采样电压、节点功率注入和线路潮流数据等［13］进行攻击，影 响 电 力 系 统 的SE［14］、负 载 频 率 控 制（load frequency control，LFC）等［15］，使得SCADA 系统和自动发电控制（automatic generation control，AGC）系统错误判定，下达错误指令致使系统失稳［16］。

目前，FDIA 是严重危害电力系统的安全可靠运行的主要威胁之一。为了实现新型电力系统新能源高比例并网，需要加强对新能源的预测、调度和控制，这些都依赖于数据的准确性和完整性。攻击者在电力系统中的某些节点之间注入虚假的新能源发电量、电力需求、电力调度指令数据，从而干扰新能源的并网运行。图2 为典型的FDIA 作用在新型电力系统中的作用过程。

部分学者已经开始针对FDIA 开展研究，在FDIA 实现的可能性方面，文献［17］研究了FDIA 对新型电力系统多样化智能终端设备攻击的各种可能性。文献［18］讨论了如何通过修改RTU 的固件来实现FDIA。文献［19］发现一旦攻击者仿冒合法节点并获得设备的物理控制权，便可以通过FDIA 注入恶意代码扭曲其输出，从而在整个系统中传播虚假信息。为此，文献［20］基于行为分析的防御策略监控设备的行为模式以应对FDIA。文献［21］提出一种基于有限时间控制理论和Paillier 密码系统的新型电力系统隐私保护算法，以抵抗通信链路密文传输过程中的FDIA。在讨论FDIA 对控制层影响方面，文献［22］举例说明了FDIA 通过对新型电力系统注入虚假测量数据，导致控制监测中心不必要的重复发电调度和系统减载，最终导致不稳定状态。文献［23］则具体分析了针对AGC 系统的FDIA，详细阐述了攻击导致发电机频率偏差的危险。文献［24］研究了针对交流微电网的FDIA，通过测量数据造假可导致二次电压控制器设定不准确的设定值。

1.1.2 DRA

在新型电力系统中，DRA 是数据伪造攻击的重要方式，攻击者通过拦截、抓包的方式，向目标主机重复发送其已经接收过的的监控数据，从而达到欺骗系统的目的，主要用于破坏身份认证的正确性［25］。例如，在无线终端接入系统的认证协议交互过程中，对新型电力系统开展重放攻击，欺骗系统使其疲于响应攻击包，导致系统不能响应正常的身份认证请求，造成认证失败。这种攻击方式仅需要网络监听或者盗取认证凭据即可实施［26］。因此，随着新型电力系统中4G、5G 等高速无线通信方式的引入，数字化转型产生的海量数据更易于受到DRA。一旦攻击者发起DRA，并顺利骗过认证系统，攻击者可以通过重复发送同一控制指令破坏电力物理系统的运行状态，或从终端侧重复发送感知的量测数据使调度和控制主站无法准确评估电力物理系统的正常运行状态［27］，进而影响电力系统的稳定性。因此，部分学者根据重放攻击的特点，深入研究了其行为特征以及检测区分方法，并提出采用增加随机数或序列号、增加时间戳、挑战-应答等多种方式抵抗重放攻击［28-29］。

1.1.3 MiTMA

MiTMA 是一种间接的入侵攻击，攻击者通过技术手段将自身隐藏在两个或多个通信终端的网络连接之间，进而拦截、窃听甚至篡改信道中的数据，破坏数据的机密性、完整性和可用性［30］。与上述几种网络攻击方法不同的是，MiTMA 能够通过破解通信协议来对攻击者的设备进行伪装，隐蔽性更强，更加难以检测。

在新型电力系统数字化转型中，攻击者利用MiTMA 进行身份伪造或证书伪造，冒充电力系统中的某个合法节点，如发电厂、变电站、调度中心等，拦截并向其他节点发送错误的电力需求、电力价格、电力调度指令等关键信息，从而干扰电力系统的正常运行，造成供需失衡、市场混乱或设备损坏等后果。

针对MiTMA 隐蔽性强的特点，文献［31］研究了在随机访问协议调度下针对新型电力系统的MiTMA，攻击者拦截并修改传输的数据，通过转发以降低系统性能。文献［32］设计了基于仿真的电力系统系统测试平台，并实现了多阶段的MiTMA入侵，证明了这种攻击将误导数字化物理采样设施的运作，造成新型电力系统突发事件。此外，针对新型电力系统通信层5G 毫米波特点，文献［33］提出了一种利用跨层信息的MiTMA 检测和定位算法。

1.2 网络攻击

对于新型电力系统网络传输层来说，通信设备负责传输大量物理设备采集数据，攻击者通常采取堵塞、破坏通信信道和篡改通信数据的方式进行攻击。由于新型电力系统的运行和控制极其依赖精准与强时效性的数据，网络层一旦受到攻击，将对新型电力系统以及电力系统产生极其严重的影响。常见的有针对新型电力系统网络终端的时间同步攻击（time synchronization attack，TSA），以及针对网络传输层的拒绝服务（denial of service，DoS）攻击。

1.2.1 TSA

由于数字化转型带来了电力系统的分布式、智能化、数据化等特征，新型电力系统作为一个跨地理空间的分布式分散系统，使得电力系统的运行控制，如输配电系统的潮流计算依赖于全球定位系统（global positioning system，GPS）/北斗卫星的时标信号来保持不同区域时间同步的精度和可靠性。

TSA 就是利用新型电力系统终端（如PMU）的时间同步装置与GPS/北斗卫星同步时采用缺乏加密认证机制的明码进行通信的缺陷，发射伪造的卫星导航报文，诱使新型电力系统信息终端接收并解算出错误的同步时间，从而标定数据造成时间偏差，进而紊乱广域测量系统、电力调控系统做出错误控制决策，造成系统失控，达成攻击破坏目的［34］。尽管传统变电站的国家标准在时间同步防护方面提供了宝贵经验，新型电力系统与传统变电站在结构、功能和技术方面仍然存在显著差异，使得直接将变电站国标推广至新型电力系统的各个监控系统变得复杂而具有挑战性。文献［35］介绍了一种基于安全码估计和重放攻击等方式对卫星信号实现欺骗干扰的方法。文献［36］讨论了基于控制器的低成本GPS模拟定位软件，可以通过几个函数调用广播伪造的GPS 信号来发起TSA。文献［37］介绍了一种已知的基于抑制和欺骗的GPS 信号组合干扰策略，能够使PMU 中的时间同步装置出现明显的时间抖动。

此外，同步时间数据抖动而造成的实际运行系统故障也有记录和报道。2013 年1 月，由于时间同步装置发生故障导致时间数据抖动，中国西部电力控制中心执行了错误日期的发电计划，导致水电站多台水轮机非正常停机［38］。虽然这起事故可能不是由TSA 引起的，但确实展示了TSA 在新型电力系统中的攻击潜力。正如上述分析，不同于智能变电站或中央控制主站等电力设备，目前还少有针对PMU 和时间同步装置建立的重点安全防御机制，而时间同步又是新型电力系统数字化监测和控制系统的数据基础属性。因此，TSA 对新型电力系统的发展有着很大的威胁。

1.2.2 DoS 攻击

DoS 攻击是一种传统的针对通信网的攻击方法。新型电力系统的数字化转型引入了5G 和光纤通信技术，实现系统数据高速通信交互的同时，提供给攻击者通过协议安全漏洞、网络流量泛滥和通信信道堵塞等方式发起攻击的机会［39］。例如，面向新型电力系统近设备端海量智能监控终端，DoS 通过攻击电力系统通信网络，如FTU、DTU 或RTU 的遥测、遥信、遥控信道［40］，进而影响控制系统和电力系统动态稳定运行。图3 展示了一个简单的DoS 攻击流程。比DoS 攻击更具有隐蔽性和攻击强度的是分布式拒绝服务（distributed denial of service，DDoS）攻击，其通过分散在不同地方的主机向同一服务器发送过载流量而导致数据通信瘫痪，失去控制能力，直至服务系统崩溃，失去对电力物理系统的调控能力。

图3 简单的DoS 攻击流程Fig.3 Process of simple DoS attack

文献［41］研究了DoS 攻击对LFC 系统稳定性的影响，提出了一种新的基于DoS 攻击持续时间和频率的稳定性判据。文献［42］分析了孤岛微电网在DoS 攻击下的随机稳定性。文献［43］分析了具有多个数字化远程SE 子系统的新型电力系统在DoS 攻击下的情况，建立了多传感器多通道远程SE模型。近年来，更多样的新型电力系统数字化终端并网为DoS 或DDoS 提供了更多的攻击点。在文献［44］中就详细研究了直流微电网在DoS 攻击下的故障穿越能力。文献［45］则研究了接入大量电动汽车的数字化电力系统在DDoS 攻击下对LFC 系统观测器的影响。此外，文献［46］构建了仿真平台，在其上分析了新型电力系统在DoS 攻击下的脆弱性，并对分散控制策略和分布式控制策略的性能进行了比较。

1.3 物理攻击

新型电力系统以物理设备为基础，正常运行依赖于电力一次、二次物理设备，尤其是在数字化转型背景下，伴随大量IED、FTU、RTU 和DTU 接入新型电力系统，海量物理层监控数据被引入。因此，除了上述借助现有互联网攻击技术从信息终端发起的数据攻击外，还有一种独特的针对新型电力系统物理层的攻击，一旦成功入侵电力物理基础设施或破坏物理系统，会直接威胁新型电力系统的物理安全运行［47］。最直接的便是采取暴力手段对其物理层设备进行破坏瘫痪。

在新型电力系统中，攻击者通过收集电力系统的基础设施和关键设备信息，确定变电站、通信设备、监控系统等具体的攻击目标，采用电磁脉冲、石墨炸弹、无人机攻击、激光干扰以及共振攻击（resonance attack，RA）等物理攻击造成电力设备故障损毁。常见的电磁脉冲攻击能够瞬间产生高电压、高电流，可能在不接触电气设备的情况下损坏电气设备［48］。石墨炸弹则是释放出大量如石墨线条的碳质材料，在空中分散后落在变电站的绝缘设备上，因其导电形成短路并导致设备故障，甚至可能引发大规模的电力中断［49］。因此，石墨炸弹也可作为无人机攻击所携带的爆炸物［50］。激光干扰攻击是采用高能射线激光对电力设备的光学元件或传感器进行干扰或损伤，影响其正常工作。随着数字化智能电表的普及，还存在欠压型、欠流型、移相型和扩差法窃电物理攻击，通过改变电表接线，窃取部分电量，造成电网非技术性经济损失［51］。

另外，RA 作为最为典型的新型电力系统物理攻击之一，其通过共振源改变电力负载或接触线信号，导致电力系统控制的频率或变化率异常。由于每个系统都有固有的共振，RA 会篡改负载或发电机的状态信号，而这些信号太微弱，无法通过常规检测方法识别［52］。

文献［53］通过两区域LFC 的仿真证明了RA 攻击实施的可能性，并证明了精准RA 会对电力系统频率控制产生不可逆的影响。文献［54］对由线性/非线性项、一阶/高阶项、自动电压调节器和电力系统稳定器组成的单区域和多区域LFC 系统遭受RA的过程进行了数字仿真。结果表明，RA 不仅能够对一个区域内LFC 造成破坏，而且可以传播到其他互联区域，形成更大范围的破坏。

数字化新型电力系统是智能化网络与物理紧耦合系统。因此，攻击者采用CCPA，通过两个平行域的交叠和风险跨域传递，形成比任意单一攻击规模更大，效果更强的破坏［55］。2015 年乌克兰的攻击事件就属于CCPA，此次事件不仅证明了协同网络物理攻击的可能性，也展示其巨大的攻击威力和防御难度［56］。

图4 展 示 了CCPA 的 流 程。通 常，CCPA 会 通过网络攻击来掩盖物理攻击造成的系统故障，这样做的目的是延缓发现故障的时间，利用时间差进一步扩大或发起更大规模的物理攻击，从而达到破坏系统安全稳定运行的目的［57］。

图4 CCPA 的流程Fig.4 Process of CCPA

文献［58］提出新型电力系统可能存在重放和优化两种潜在的CCPA，并表明攻击者将根据新型电力系统PMU 的测量结果采用FDIA 注入攻击向量，以掩盖物理攻击向量的影响。文献［59］更进一步提出若CCPA 注入的虚假数据满足基尔霍夫电流、电压定律，并适当地添加故障线路两端的数据残差，以此掩盖虚假的输电线路故障，那么虚假数据很难被PMU 检测出。文献［60］讨论了DDoS 攻击切断新型电力系统SCADA 等远程控制系统的通信，导致发电厂恶意跳闸，以诱发CCPA 造成大规模停电事故。文献［61］考虑变电站全拓扑结构和电力系统多阶段响应过程，提出非预期跳闸网络攻击、误判跳闸的网络攻击和物理攻击交互作用的三层CCPA 模型。此外，还有针对AGC 和LFC 系统的CCPA研究［62-63］。

2 新型电力系统防御方法及分类

由上述分析可知，随着先进数字化技术的不断发展与融合，针对新型电力系统的攻击方式呈现出多维立体性和极强的隐秘性。为了抵御各种攻击，各国学者分别从网络领域和物理领域［64］、时间维度和空间维度［65］以及以数据为中心研究数据的可用性、完整性和机密性［66］对新型电力系统安全防御进行了深入研究。随着针对新型电力系统的新型协同攻击越来越多，上述分类和研究无法很好地总结以往的新型电力系统安全防御方法。本文将根据攻击事件周期性演化的全过程，将新型电力系统的安全检测和防御方法分为攻击前、攻击中和攻击后3 种。图5 展示了本章的研究结构。

图5 新型电力系统安全防御阶段Fig.5 Security and defense stages of new power system

2.1 攻击前安全防御策略

面对可能出现的攻击，新型电力系统应预先部署响应的安全防御策略，首要的就是通过身份认证、安全加密实现对潜在攻击的提前有效阻隔。

2.1.1 安全访问与可信接入技术

随着新型电力系统建设，电力系统中接入了越来越多的IED，包括了用户侧的分布式可再生能源监控装置、储能单元的调控装置以及实现电网更全面细致可观测性的智能传感器。这些IED 分属于不同的主体，当需要“即插即用”接入系统时，就需要身份认证和可信接入技术。同时，任何数据在网络中传输应该通过数据加密，以防止数据先期被监听、截获或篡改。

身份认证技术被定义为验证接入对象身份是否有效的行为，接入对象可以是用户、智能设备或连接到新型电力系统的任何组件［67］，其主要目标是识别和验证接入请求对象的身份合法性和真实性，属于新型电力系统安全防御的第一道防线。文献［68］针对新型电力系统电动汽车接入身份不确定、接入终端不可信的问题，提出实时匿名身份认证和动态权限管理机制，实现数字化场景下涌现多元第三方新主体可信接入权限的精细化管理。文献［69］提出了一种基于人工智能马尔可夫模型预测的轻量级安全认证机制。文献［70］则针对新型电力系统智能化设备接入时的通信授权问题，提出了一种基于低熵的共享密码体制。此外，由于传统基于口令的身份认证方式存在被破解的风险，而基于生物特征的方法准确率较低，文献［71］提出了一种基于区块链的零信任环境下，数字化网络终端信任共识方法，有效防止密钥泄露和被破解，且采用联盟区块链和贝塔分布的多重信任评估机制可以评估终端的信任度并应对多次恶意攻击。

2.1.2 防御策略与资源配置

除上述有效的安全防控方法部署外，防御策略的制定将能够发现潜在的隐患，实现对可能的攻击提前防范，资源优化配置。

通过对攻击者攻击方式与系统演变过程的分析与仿真，防御策略可以站在攻击者的角度发现当前新型电力系统的薄弱环节，并在建立模型和系统推演的基础上得出攻击后可能产生的效果，为后续新型电力系统的安全防御提供先期资源配置部署。目前，已经构造出多种攻击模型以模拟攻击者不同攻击方式。其中，基于攻击树模型的参数加权时间自动机评估模型［72］系统地分析单一目标的威胁，相比之下，基于攻击图的新型电力系统网络攻击和跨域故障仿真和量化评估模型［73］能够清晰展示多目标间的攻击路径，以及针对PMU 测量数据的事件同步攻击和事件非同步攻击的模型［74］等。此外，文献［75］还研究了一种在噪声数据摄动影响和网络攻击下的电力系统脆弱性评估。

当通过攻击模拟、系统演化和性能评测后，就需要根据所挖掘的新型电力系统潜在风险进行防御资源调配，提升系统防御能力。文献［76］针对新型电力系统智能化感知主动防护的需求，面向数字化物联终端和新型网络边际安全的资源调配，提出建立网络安全事件预判、预警及预控的防御策略。文献［77］研究了在FDIA 下电力系统关键运行参数的变化情况，提出了一种基于博弈论的防御资源分配方法。文献［78］提出了一个基于贝叶斯自适应网络的概率风险分析框架模型，进而在资源受限情况下帮助决策者或控制系统合理分配网络防御资源。文献［79］提出了一种基于协同进化的算法来获取大规模网络均衡的动态攻防过程中的动作集。文献［80］从发电厂、输电网和配电网3 个层次对攻击和防御行为进行了建模，研究了在上述3 个网络层级上的最佳防御策略。文献［81］以多网融合、多能互补、多态互动的新型电力系统能源体系为背景，针对计及负荷重分配攻击与破坏供能网络相结合的CCPA，研究计及系统备用容量和替代负荷的最优防御策略。

需要注意的是，无论采取何种防御手段，都不能完全保证电力工控系统的绝对安全，影响攻防效果与成功概率的因素主要在于攻防双方掌握的物理攻防资源与信息了解程度。因此，还需要对自身的攻防策略进行优化。

2.2 攻击中安全防御策略

2.2.1 新型电力系统的多级安全防线防御方法

传统电力系统通过设置“三道防线”的方法来增强系统在应对故障时的安全性［82］。第一道防线依靠有效的预防性控制措施，确保电力系统在发生常见预想故障时，保持稳定运行和正常供电；第二道防线是通过快速继电保护系统，采用安全控制装置及切机、切负荷等紧急控制措施，确保电力系统在发生概率较低的严重故障时能继续保持稳定运行；第三道防线则是在系统中预先设置失步解列、低压低频减载及电压紧急控制装置，当遇到多重严重事故破坏时，依靠这些装置紧急控制直至解列以阻止事故扩大，防止大面积停电。与之耦合，在新型电力系统的发展过程中，也逐渐形成了新型电力系统安全防御的“三道防线”。

新型电力系统第一道防线是在故障未发生时，全面感知和精准分析电力系统，预防减少故障的发生。控制层采用身份识别［67］、入侵检测和加密认证技术，防止窃取篡改数据，检测隔离恶意软件；网络层通过建立多路径冗余通信网络、动态路由［83］、时间同步［84］，提高通信网络的容错能力和抗干扰能力；物理层采用在线监测［85］、智能诊断［86］、预防性维护，评估设备寿命，保障正常运行。第二道防线是指在故障发生时，快速响应、自主控制电力系统，应急切除故障并恢复。控制层采用故障检测技术［87］、调节系统运行参数，快速识别故障源，实施紧急控制策略；网络层采用多播技术、备用路由切换等方式，实现通信网络重构与自愈保护［88］；物理层采用智能设备调节负荷，分布式能源、储能设备补充供给，实现故障中负荷供给平衡［89］。第三道防线则是在故障短时无法消除且影响较大时，灾备切换、紧急干预电力系统，实现故障最小化扩散、最大化减损和最优化重建。控制层采用分区控制和分级保护［90］、低频低压减载和黑启动［91］，防止故障的扩散、系统崩溃或再次失稳；网络层通过重启路由、应急通信卫星，保证临时应急通信［92］；物理层通过微网切入或切出、分布式发电及储能技术供电岛网，保障重要负荷供电［93］。

文献［94］提出了在电力通信网规划时构建主备路由的方法，则当通信链路传输性能下降时可自动跳转到备用路径保证正常网络功能，实现了第一道防线防御。而新型电力系统骨干网采用SDH 环网结构，巧妙地使用了SDH 对端50 ms 自动环回的优良特性，实现了新型电力系统的第二道防线网络自愈保护。对于第三道防线，传统电力系统解列仅需考虑潮流，而对于新型电力系统，由于其信息-物理高度融合为本质特征，当需要阻隔故障演进而切断通信链路时，必将导致一定数量电力业务中断，若此时信息割面与物理割面不统一，势必扩大停电范围，加剧故障破坏。为此，文献［95］提出了一种基于网络物理统一主动切割的新型电力系统饱和防御的新方法，能有效防止攻击破坏的扩大，保障主安全区的稳定运行。

2.2.2 入侵检测辨识与防御技术

相较于多级安全防线从系统层面阻断攻击蔓延的防御方法，入侵检测方法侧重识别单点异常，能在新型电力系统已受到攻击的最短时间内，准确辨识入侵方式和攻击点，为防御赢得最宝贵的时间，也能够通过正确的防御手段最大程度地降低攻击所造成的后果，因而得到广泛深入研究。如图6 所示，新型电力系统的入侵检测与辨识技术可分为物理层与网络层。

图6 基于人工智能的入侵检测与辨识技术Fig.6 Intrusion detection and identification technology based on artificial intelligence

物理层的检测方法主要依靠判断智能化数字终端量测、决策动作指令和系统运行状态突变是否符合电力系统的物理规律［64］。其中，残差检测法或时空相关约束有效利用电力物理规律进行不良数据检测辨识［96］，但由于需要建立精确的物理模型，实现难度较大。文献［97］针对直流输电线路提出的基于移动平均法的不良数据识别方法易于实现，不需要大量历史数据进行训练，但其检测鲁棒性不如文献［98-99］针对SCADA 系统及FDIA 提出的基于高斯混合模型的归一化残差法。

网络层的检测主要依赖于信息技术中的入侵检测原理，通常借助入侵检测系统和安全信息和事件管理系统等数据管理和检测系统，对网络通信设备的地址和网络日志、传输流量或通信模式等网络参数进行检测，如采用一致性检测方法或根据先验信息鉴别。文献［100］介绍了一种基于贝叶斯模型的异常数据流量检测机制，以此区分无线传感网络中的DoS 攻击和合法用户通信传输的高流量。针对多种网络攻击，文献［101］提出了一种遗传算法与鲸鱼优化算法结合的入侵识别检测模型。与电力一次设备及电力场景结合，文献［102］以易受信息物理协同攻击的智能电表为研究对象，提出基于攻防博弈的异常用电检测防御模型，针对不同节点攻击强度设置防御节点，解决以往异常入侵检测资源分配不当问题。文献［103］针对SCADA 系统，设计了一种基于高斯混合模型和卡尔曼滤波的异常检测方法。文献［104］针对电网调频控制器可能受到的DoS 攻击，提出了一种基于入侵检测器设计的二次频率控制方法。文献［105］则考虑了多区域互联电力系统，提出了一种针对FDIA 的分布式数据确定入侵检测的方法。为解决新型电力系统清洁能源大规模并网存在的隐蔽恶意数据攻击篡改，文献［106］提出基于注意力-深度强化学习的检测方法进行入侵辨识防御，通过改进图卷积网络算法定位恶意数据攻击。文献［107］则是面向大规模电动汽车接入新型电力系统的场景，提出一种基于机器学习技术的概率性跨层入侵检测系统。

此外，有别于现有的对每帧报文的拆解辨识，文献［108］提出了一种基于新型电力系统信息流时-频域混合特征的人工蜂群优化支持向量机（artificial bee colony of optimizing the support vector machine，ABC-SVM）异常流量谱聚类检测方法，由于仅需检测流传输行为特征而无须分解报文，极大程度地提升了检测速度，并且具有对未知攻击/入侵行为的准确辨识能力。近年来，随着人工智能技术的迅速发展，基于人工智能机器学习的新型入侵检测方法在辨识准确度上得到了显著提升。如采用基于生成对抗网络和深度递归神经网络模型在以太坊区块链中进行网络攻击和欺诈交易检测排查［109］，以及基于自适应特征提升和集合学习框架，提取新型电力系统海量数据中代表性强的特征［110］。

新型电力系统防御的根本目标是保证电力系统的运行稳定，包括电压、频率和功角稳定。因此，新型电力系统防御方法多将攻击阻隔和系统稳定控制紧密结合，通过制定针对性的控制策略或设计考虑攻击的控制器，在攻击发生时尽可能维持新型电力系统稳定运行，最大程度降低攻击的影响。目前，针对新型电力系统攻击的安全控制方法可分为两类:弹性控制方法和主动防御控制方法。弹性控制方法基于攻击模型分析系统性能与攻击参数之间的量化关系。如通过采用李雅普诺夫法分析攻击情况下的弹性约束条件，进而设计弹性控制触发机制，保证系统的输入状态稳定［111］。主动防御控制方法采用主动补偿机制应对攻击，保证控制系统性能。常见的主动防御控制方法包括预测控制法［112］、多通道网络化控制方法［113］等。

在诸多防御方法中，还有一项对攻击方进行欺骗的防御技术——蜜罐技术，它是网络防御中的陷阱技术［114］。通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析。蜜罐技术通过了解攻击方所使用的工具与方法，推测攻击意图和动机，进而有针对性地加固系统。同时，还能通过蜜罐技术达到消耗攻击资源的目的。

2.2.3 基于密钥的数据安全防护技术

新型电力系统需要广域量测和敏捷控制保证系统的稳定安全高效运行，海量敏感数据在新型电力系统的各个层级和模块之间进行采集、传输和存储。为防止各类运行数据不被监听或篡改，数据加密成为电网必要的攻击防御手段之一。数据加密是通过对明文数据进行加密再传输，防止泄露敏感数据，并确保数据的保密性和完整性。根据数据关键程度、运算时间限制等不同需求，基于密钥的数据安全防护技术应用在新型电力系统网络主体身份鉴别、数据加密传输与存储以及各种设备和场景中［115］。

密码技术基于传统密码学，包括对称密码、公钥密码和摘要密码技术，3 种密码技术可以单独或组合使用，实现数据安全传输，抵制非法读取、DRA 等安全威胁［116］。文献［117］研究设计了一种基于区块链技术的电力系统通信数据点对点非对称密钥加密方法。文献［118］面向新型电力系统的能量管理系统调度指令的传输，提出一种基于混沌加密的安全数据共享方法，保障基础物理设施之间的安全数据通信。文献［119］提出一种基于压缩感知框架的数据压缩同步加密算法，在保证海量电力大数据安全的同时解决了高频广域采集带来的高载荷传输的固有难题。此外，针对新型电力系统海量多类型设备的安全接入和数据安全传输新需求，采用公钥密码算法（如SM2、非对称加密算法）建设公钥基础设施，为终端侧感知设备、边缘侧汇聚设备、中心侧主站设备签发数字证书。而当攻击发生时，基于数字证书可实现高效、高可靠的访问控制与权限管理，防止未经授权的用户获取敏感信息，实施攻击中安全审计日志记录，也为后续防御修复提供支撑［120］。

随着新型电力系统对广域、精细化和近设备端的感知和控制需求日益的增加，海量的基于物联网和嵌入式技术的边端设备被部署在电网末端，其小型化、弱算力的特点则对密码技术提出了新需求。轻量级密码技术正是为了保障大量计算、存储、通信能力受限的设备安全接入新型电力系统，解决端侧网络安全难题。文献［121］在配电台区中的设备端侧集成了SM9 轻量级密码模块，实现了配电变压器终端单元及其下接感知层终端设备的管理注册和密钥安全分发。文献［122］提出采用基于身份标识的密码算法，使得通信终端双方可以根据彼此唯一的标识完成身份认证和传输密钥协商，降低海量电力物理设备数字证书的管理复杂度。文献［123］提出的轻量级传输方案将量子密码学与“一次性密钥”机制相结合，利用量子随机数发生器弥补了传统随机数发生器和量子密钥分发协议的缺陷。

近些年，随着量子科学的兴起和突破性进展，量子密码技术成为密码学领域的新兴分支。与目前主流使用的密码技术不同，量子加密技术依赖于量子的“不确定性原理”和“单量子不可克隆定理”［124］，在密钥生成、分发环节保证密钥的随机性和“一次一密”安全性，使得攻击者即便控制了通道线路，也无法精准获取密钥。目前，以BB84 量子密钥分发协议为代表的量子加密技术在配电自动化、配电网保护等生产业务和分布式新能源监测、输电线路监测等物联业务场景中的应用，仍处在初级小规模试点阶段。

2.3 攻击后校正恢复

无论是攻击被及时发现并阻隔防御，还是已造成事故而通过重构或重启完成系统恢复，在攻击发生后，都应从攻击事件中进行分析总结，及时更新入侵检测系统签名、防病毒数据库和安全策略，做到事后免疫和安全防御升级，以保护新型电力系统免受未来类似攻击。取证分析（forensic analysis，FA）作为一种针对网络攻击的事后威胁信息搜集和分析取证的主要方法［125］，包括入侵/攻击证据收集、威胁信息分析和证据呈现3 个步骤。文献［126］针对新型电力系统数字化转型下面向大量的传感和测量系统接入引发的FDIA，借助门控循环单元-卷积神经网络，在系统遭受攻击后采用FA 判别受损量测值并予以剔除。文献［127］通过对网络流量日志中的数据进行FA 来识别FDIA 对高级计量基础设备的攻击并进行痕迹取证。针对CCPA，文献［60］基于动态权值集成孤立森林模型，在攻击后更新扩建离线新型电力系统故障事件辨识模型，以支撑攻击中信息物理融合序列-数据联合驱动方法在线辨识防御CCPA。因此，攻击后的校正恢复可以通过FA 和回溯加固更新病毒库或攻击行为样本库做安全免疫，实现安全防御升级。

3 结语

随着传感技术、通信技术和云边协同信息处理技术的高速发展，数字化转型的新型电力系统逐渐呈现能量流和数字信息流紧密耦合的特点。这使得系统的复杂度不断提高，同时其安全稳定性对整个电力系统产生了直接影响。本文针对新型电力系统中的典型攻击模式和多维度防御方法进行了分析和归纳总结。但是攻击与防守必然是矛和盾的关系，是互相抗衡、此消彼长的动态过程。针对新型电力系统的新型攻击始终没有停止，不断涌现。因此，在本文的最后，思考当前数字化转型下的新型电力系统防御亟须深入研究和解决的问题，为后续的技术发展提供参考。

1）目前，针对新型电力系统安全问题的研究都是基于已发生的或已拦截的攻击事件展开，但对未知攻击辨识与防御的有效研究方法尚显不足。随着数字化技术的不断渗透，针对新型电力系统的病毒与攻击手段层出不穷。因此，在对未知攻击无先验信息的情况下进行快速辨识与主动防御，对新型电力系统的安全性提升有着极大的意义。

2）CCPA 由于其攻击组合方式的多样性和攻击检测的复杂性，破坏性和隐蔽性比单纯的网络攻击更强。从近期发生的攻击事件也可以看出，CCPA一旦发生，将会造成不可挽回的后果。但目前对CCPA 的研究还较少，对CCPA 的防御方法仍需进一步探索。

3）随着以深度学习、强化学习为代表的新一代人工智能技术的发展，其在新型电力系统攻击检测和安全防御领域展现出良好的应用效果。人工智能算法的基础是样本库的构建，新型电力系统攻击样本库的建立也愈发重要，其能够有效提升系统对异常行为的快速辨识与安全防御能力，并降低误警率。因此，亟须建立完善的事件收集和检索机制与统一的新型电力系统攻击样本库，甚至是世界各国的共享库。

4）目前，主要采用离线仿真的方式对新型电力系统攻击与防御动态过程进行研究，难以真正反映新型电力系统中信息与物理两个子系统复杂快速的动态演化过程，且新型电力系统是融合电力物理设备、电气传感量测和通信网络的独立系统，数字化的转型中涌入了众多设备与元件。因此，深入研究动态仿真技术、数字孪生技术等，构建真实的实验场景极其重要，这对新型电力系统风险分析、连锁故障阻断定位、资源调配和动态布防起到很大的推动作用。