基于动态攻防博弈的电力信息物理融合系统脆弱性评估_石立宝
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
http://www.aep
s-info.com基于动态攻防博弈的电力信息物理融合系统脆弱性评估
石立宝,简 洲
(电力系统国家重点实验室深圳研究室(清华大学深圳研究生院),广东省深圳市518055
)摘要:以电力信息物理融合系统受人为因素攻击为背景,应用博弈论的相关知识对现代电网在遭
受人为主观攻击威胁下的电网脆弱性评估方法进行了研究和探讨。
根据兰德公司的风险评估模型建立了电力信息物理融合系统基于攻防场景的脆弱性评估框架,并基于博弈论中用于描述动态攻防博弈的多层数学规划模型,提出一种电力物理网络和电力信息网络同时遭受人为攻击场景下的电网攻防动态博弈三层数学规划模型。
针对所提出的模型,给出了相应的解算方法,并在求解过程
中,
应用一种最优的防御资源分配策略以有效求得电网元件上需分配的资源。
最后,通过简单算例系统验证了本文所提模型与方法的有效性。
关键词:电力信息物理融合系统;动态博弈;脆弱性评估
收稿日期:2016-05-10;修回日期:2016-07-05。
上网日期:2016-08-
04。
国家重点基础研究发展计划(973计划)资助项目
(2013CB228203-
5)。
0 引言
电力系统的安全和稳定运行关乎百姓生活、社会稳定和经济发展。
随着电网建设的不断发展,少数元件失效而导致电网发生连锁性故障的概率逐步升高,近年来世界各地发生的大停电事故屡见不
鲜[
1-
4]。
电网元件的失效是概率事件,其原因包括很多种,比如自然灾害(冰灾、火灾、台风等极端天气条
件)、运行人员误操作、元件故障(老化、拒动、误动)
等,这些因素的特点是具有较强的随机性和不可预见性。
另一种威胁现代电网安全的因素最近几年逐渐显现:即人为对电网的蓄意破坏行为,包括对电网
一次系统以及二次系统的破坏[
5-
6]。
针对电网一次系统的蓄意攻击将可能导致电网
元件被破坏从而引发电网的故障和瘫痪。
在中国,时有电缆被偷盗而导致电网发生故障的事件发生,也有纯粹针对电网的破坏事件,比如在2010年12月29日就有一男子试图破坏湖北省龙泉换流站[5]
,庆幸的是这一举动被及时发现并被制止,否则将引起严重的后果。
当战争发生时,作为一个国家最重要的基础设施之一,电网也很可能面临石墨炸弹攻击等的威胁。
针对电网二次系统的网络攻击事件正在不断引
起人们的关注。
当地时间2015年12月23日,
乌克兰至少有三个区域的电力系统遭到黑客恶意代码的
攻击,结果导致当日大约15点开始的持续了数小时
的停电事故[6]
;当地时间2016年3月25日,
黑客通过分布式拒绝服务(distributed denial of
service,DDoS
)的攻击方式,入侵了美国位于纽约的鲍曼水电站的计算机控制系统[
7]
;一家位于韩国的核电站运营商在2015年也曾遭受黑客的网络攻击[8]。
与针对电网一次系统的物理攻击相比,网络攻击具有
成本低、
隐蔽性高、涉及范围大等特点,一旦成功其导致的后果相当严重。
现代电网正逐步演化成一个将通信网络和电力
系统融为一体的电力信息物理融合系统(cyberphysical power sy
stem,CPS)。
当该系统面对蓄意的人为因素的攻击时,
如何有效、深入地评估整个系统的脆弱性具有重要的现实意义。
文献[9-16]运用双层规划模型,分析电网在完全信息动态博弈情形下遭受物理攻击的情景,得出攻防双方各自的最优策略。
文献[17]和文献[18
]将双层规划模型扩展至三层规划模型。
文献[19]和文献[20]研究一类电网遭受网络攻击的情形:攻击者向电力系统注入错误
的量测数据,影响电网的状态估计结果,从而导致电网进行错误的调度和控制,引起电网的损失。
文
献[21]从实例分析、定义和分类以及典型场景对电力CPS遭受网络攻击时进行了讨论。
文献[22]基于一种专门针对电力数据采集与监控(SCADA)系统的网络攻击形式,对其原理、所造成的影响及相应
的防范措施进行了讨论。
文献[23]通过对乌克兰停电事件的回顾与分析,对信息能源系统遭受恶意信
9
9Vol.40No.17Sep
t.10,2016DOI:10.7500/AEPS20160510002
息网络攻击下的薄弱环节评估问题进行了讨论,指出开展考虑信息能量相互作用机理的信息能源系统综合安全评估的重要性。
文献[24]对一种针对电力系统的信息、物理协同攻击的情景进行了分析,并将其建模成一个双层混合整数规划问题,提出采用一种严格的两阶段求解方法以识别因攻击所造成的最大损失。
文献[25]针对分层控制CPS系统,提出了CPS建模和信息网络故障评估的方法。
其中,信息网络采用有向图进行描述,并提出一种基于模型的方法研究信息网络故障对电力物理系统的影响。
此外,有学者专门针对电力控制系统的通信网络开展相关风险评估研究工作[26-27],包括提出了对电力控制系统中通信网络的安全性、安全程度进行安全评估的方法以及用于信息安全风险评估的资产分析方法。
在目前大多数文献研究中,针对电网的蓄意攻击,有些是针对物理系统,有些是针对信息系统。
虽然有学者对电力系统信息-物理耦合机理与故障分析进行了相关研究,但此方面的研究则刚刚起步,很多方面需要进一步探讨。
本文针对电力CPS,基于博弈论的相关知识,提出一种电力物理网络和电力信息网络同时受到攻击的电网攻防动态博弈模型。
其中,电网攻击者运用物理攻击并配合网络攻击,可以通过较低的成本造成较大的电网损失;而电网防御者则通过采用最优的防御资源分配策略对电网元件进行防御。
通过对一个简单算例系统的研究和分析,得出了一些初步的有意义的结论。
1 电力CPS脆弱性评估框架
1.1 兰德公司风险评估模型
兰德公司于2004年提出了针对恐怖袭击的风险评估模型:
RT=TVC(1)式中:T为一个目标被袭击的概率;V为如果一个目标遭受袭击,其最终被摧毁的概率;C为如果一个目标遭受袭击并最终被摧毁,其带来的损失的大小,代表后果;RT为目标最终损失的期望值,代表风险。
式(1)所示的风险评估模型由于引入了威胁性和脆弱性两个概率值,使得评估结果更贴近实际。
此外,该模型包括了“威胁性”、“脆弱性”和“后果”三个成分,这也为本文建立电网攻防脆弱性评估框架提供了依据。
1.2 电力CPS脆弱性评估框架
基于模型(1)和博弈论的相关理论,并基于一定的假设条件,论文针对电力CPS遭受攻击的具体场景,对式(1)中的“后果”C、“脆弱性”V及“威胁性”T
进行量化,以建立电力CPS脆弱性评估框架。
电网中因元件失效所引发的事故后果包括:失负荷量、停电范围、停电时长、经济损失等。
这里,本文以电力CPS遭受攻击后的负荷切除量(或失负荷量)来衡量系统损失的大小,并将其作为式(1)中的C。
考虑到电网攻击者的目的是造成电网最大的有功负荷损失量,而电网防御者的目的则刚好相反,两者之间构成零和博弈。
文中假设电网线路i遭受攻击并被摧毁后导致的电网有功负荷损失量记为Ci。
考虑到实际情况中电网攻防双方所具有的资源通常都是有限的,而且攻防双方会根据自己的策略将各自的资源分配到电网的元件上去,一个元件上攻防资源的分配将会影响该元件的脆弱性,即遭受攻击后失效的概率。
电网攻击者在一个元件上投入的资源越多,会提高该元件被攻击后失效的概率;相反电网防御者在一个元件上投入的资源越多,会降低该元件被攻击后失效的概率。
如何量化电网攻防双方的资源分配对式(1)中V的影响,需要根据不同的情形具体分析,但有一点可以明确:即无论是攻击者还是防御者,他们在单一元件上资源的投入当达到某一程度后,其边际效益将会递减。
为简化及计算方便起见,本文对V的量化主要从电网防御者的角度进行考虑。
假定电网防御者具有一定总量的防御资源,这些资源包括人力、物力、财力等,电网防御者将防御资源分配到电网各线路上,降低线路遭受袭击后被摧毁的概率,并将其作为式(1)中的V。
考虑电网中有N条线路需要防御,设向量d=(d1,d2,…,dN),表示电网防御者的资源分配策略,则有:
∑
N
i=1
di=D(2)式中:D为防御资源的总量;di为需要防御的线路i上分配到的防御资源。
线路i上分配的防御资源di越多,线路i遭受袭击后被摧毁的概率越低,考虑到边际效益递减性,同时为简明起见,本文假设该线路失效概率与所分配到防御资源有如下关系:
Vi=
1
1+di
(3)式中:Vi为线路i遭受袭击后被摧毁的概率。
以上分别讨论了如何量化“后果”C和“脆弱性”V。
对于“威胁性”T,本文将线路被攻击的概率作为式(1)中的T。
关于T的取值我们将从该线路所分配的防御资源角度进行分析。
假设电网有l条线路,将线路i被攻击的概率记为Ti,Ti将随着防御资源分配情况的不同而变化。
利用本文给出的一种
0
0
1
2016,40(17)·信息能源系统建模与安全评估·
最优资源分配策略(详见3.2节)可以得到每条线路对应的VC值,并记其中最大的为VCmax:
VCmax=max(ViCi) i=1,2,…,l(4)如果对应于VCmax值的线路有m条,即
VjCj=VCmax j∈B,B {1,2,…,l}(5)式中:B为由该m条线路编号构成的集合。
则本文定义:
Ti=1
m
i∈B0其他
烅
烄
烆
(6)2 电力CPS的动态攻防博弈模型
在研究电力系统的动态攻防博弈问题时,通常将问题建成一个多层规划模型。
本文中所考虑的电力CPS攻防场景为:第一步是防御者事先制定防御资源的分配策略;第二步是攻击者在知晓防御者的策略之后,制定攻击资源的分配策略;第三步是防御者针对电网的受损情况,通过潮流分配的方法使电网损失降到最低。
其中,本文假设攻击者在对线路进行物理攻击的同时,会选择一个变电站(节点)进行网络攻击。
此时,防御者会对电网遭受物理和网络攻击所造成的损失采取相应的补救措施。
鉴于此,本文针对电力CPS受人为蓄意攻击情况下的动态攻防博弈问题,提出并建立了如下简化的三层数学规划模型:
min
d
g(d,a*tt,f*l)(7)满足
hu(d,a*tt,f*l)≥0(8)att=arg{max
att
g(d,att,f*l)}(9)满足
hm(d,att,f*l)≥0(10)fl=arg{min
fl
g(d,att,fl)}(11)满足
hl(d,att,fl)≥0(12)式中:向量d为电网防御者的资源分配策略,是上层规划模型的决策变量;向量att为电网攻击者的攻击策略,是中层规划模型的决策变量,包括物理攻击的线路以及网络攻击的节点;向量fl为电网防御者对电网发生故障后采取的措施,是下层规划模型的决策变量,包括线路的开断操作、潮流的重新分配和负荷的切除等;函数g是一个关于d,att和fl的函数,函数g的值是电网最终损失的期望值;函数hu、函数hm和函数hl分别表示上层规划模型、中层规划模型和下层规划模型的约束条件。
电力CPS动态博弈三层模型攻防场景的具体攻防步骤如下。
步骤1:防御者制定防御资源分配策略,将一定总量的防御资源分配到电网各线路上去,从而影响线路受攻击后被摧毁的概率,如式(2)和式(3)所示。
这一步对应于三层规划模型的上层规划模型,如式(7)和式(8)所示。
步骤2:攻击者选取1条线路进行物理攻击,攻击成功的概率如式(3)所示。
同时,攻击者选取1个节点进行网络攻击,被攻击的节点切负荷拒动,此举将干扰防御者在步骤3中的动作,使得仍有可能存在线路潮流越限。
这一步对应于三层规划模型的中层规划模型,如式(9)和式(10)所示。
步骤3:如果步骤2中被攻击的线路失效,防御者计算电网潮流,如果有线路潮流越限,则对潮流越限最严重的线路实施开断操作;如果电网因为线路断开被分为多个区域,则对于没有平衡节点的区域,选取发电机容量最大的节点作为该区域新的平衡节点;在此基础上,通过切负荷使其他线路的潮流不越限。
切负荷的方式是节点负荷的有功和无功等比例切除,切负荷的原则是使电网的有功负荷损失量最小。
其中,实现方法采用粒子群优化算法(particleswarm optimization,PSO)[28]。
由于有节点在步骤2中被攻击导致切负荷拒动,防御者需要再次计算电网潮流,如果仍存在线路潮流越限,则重复上述步骤3中的断线和切负荷的动作。
这一步对应于三层规划模型的下层规划模型,如式(11)和式(12)所示。
在上层规划模型中电网防御者通过制定最优的防御资源分配策略,使电网损失的期望值尽可能小;在中层规划模型中,电网攻击者在已制定好的防御资源分配策略的基础上,制定攻击策略,使电网损失的期望值尽可能大;在下层规划模型中,电网防御者在电网攻击者采取攻击行为后,通过断开线路、重新分配潮流、切除负荷等方式使电网在不发生连锁故障的前提下,电网损失的期望值尽可能小。
从式(7)—式(12)可以看出,相邻两层规划模型的决策变量之间的关系是:下一层规划的决策变量会随着上一层规划的决策变量而变,故可以说上一层规划的决策变量决定了下一层规划的决策变量;另一方面,下一层规划的决策变量如何随上一层规划的决策变量而变,会反馈到上一层规划模型中,从而影响上一层规划的决策变量的确定。
对于上述所提出的动态攻防博弈模型纳什均衡解存在性问题,笔者认为:攻击者采取的攻击策略是有限的,而因为防御者针对一种攻击情形存在最优的调控策略,所以每种攻击策略下攻击者的收益是可以得到的。
由于攻击者和防御者构成零和博弈,所以防御者的目的是通过防御资源的分配使攻击者
1
0
1
石立宝,等 基于动态攻防博弈的电力信息物理融合系统脆弱性评估
http://www.aeps-info.com
可能得到的最大收益降到最低,根据本文中给出的
资源分配方法,最终的资源分配策略也是确定的。
因此,动态博弈在双方理性人的假设下,存在唯一的博弈情形。
3 求解策略
对于所提出的如式(7)—(12)
所示的三层数学规划模型,本文提出基于遍历方法的求解策略,具体步骤如下。
3.1 求解步骤
任选一条线路和一个节点作为攻击对象,构成一种攻击方案。
考虑所有攻击方案,计算出每种攻击方案下电网的预期损失,然后根据每个攻击方案造成的预期损失,分配防御资源到系统的线路上。
求解步骤的流程图如图1所示。
图1 求解步骤流程图
Fig.1 Flow chart of solution step
s图1中给出的方法适合于小规模的算例系统,
对于稍大规模的电网,可考虑采用基于计算智能方法,如遗传算法、粒子群算法等求解策略。
3.2 最优防御资源分配策略
在3.1节所述的求解步骤中,防御者制定防御资源的分配策略是第一个步骤,也就是第2节所述的三层规划模型的上层规划模型。
根据三层规划模型的特点,可以先求出每一条线路失效最终导致的电网有功负荷损失,然后制定出最优防御资源分配策略。
防御资源分配的目标,是使得电网可能遭受到的最大的预期损失值降到最低。
基于文献[29]中的防御资源分配策略的思想,本文给出如下具体的分配策略。
步骤1:根据精度要求,将防御资源总量D均分成K份。
步骤2:计算所有线路在当前防御资源分配(初始防御资源为0)下的VC。
步骤3:取VC最大的线路p,
将一份防御资源D/K分配到线路p上:dp=dp+D
K
(13
)步骤4:如果防御资源未分配完,返回步骤2;如果防御资源已分配完,输出结果。
4 算例研究
4.1 算例系统介绍
本文研究的算例系统基于IEEE的5机14节点系统,如图2所示。
图2 算例系统拓扑
Fig.2 Topology
of test cyber physical power system假定该算例系统配备了较为完善的信息通信网络,并且图中每个变电站的SCADA系统负责控制每条线路的开断,以及每个节点负荷的切除。
每条线路的有功潮流的最大值设为正常运行情形下的1.3倍,有功潮流超过最大值的20%则视为越限。
电网防御者持有的防御资源总量D为6,资源分配
2
012016,40(17)·信息能源系统建模与安全评估·
精度K=10 000。
首先,电网防御者将防御资源分配到各条线路上,降低线路遭受攻击后失效的概率;之后,电网攻击者选取1条线路进行物理攻击(例如图2中从节点13到节点14的线路),同时电网攻击者选取1个变电站进行网络攻击(例如图2中的节点14),被攻击的节点在接下来电网防御者的防御行为中将会发生切负荷拒动;最后,电网防御者通过使线路开路,以及节点切负荷的方式,避免连锁故障的发生。
在动态博弈中,电网攻击者的目的是使电网有功负荷的损失最大,而电网防御者的目的是使电网有功负荷的损失最小,两者之间构成一个零和博弈。
4.2 攻防博弈结果分析
根据3.1节中所述的求解步骤,首先不考虑防御资源分配策略制定;该算例系统中20条线路分别遭到人为攻击导致失效后,接下来电网攻防双方相应的动作以及最终导致的电网有功负荷的损失量如表1所示。
表1 不考虑步骤1的系统受攻击后的仿真结果
Table 1 Simulation results after system attacked
not considering step 1
攻击线路断开线路攻击节点断开线路
有功负荷
损失(标幺值)
1-2 1-5 12—0.381 3
1-5 2-5 4 2-4 1.462 2
2-3 3-4任意—0
2-4 2-5 6—0.534 6
2-5—3—0.241 7
3-4—13—0.253 1
4-5 10-11 9 13-14 0.480 3
6-11 9-10任意—0.125 0
6-12 12-13任意—0.061 0
6-13 12-13 9 10-11 0.181 9
7-8 10-11 9 13-14 0.152 3
7-9 10-11 14 13-14 0.411 5
9-10 10-11任意—0.090 0
9-14 13-14任意—0.149 0
10-11 9-10任意—0.090 0
12-13—任意—0
13-14 10-11 14 9-14 0.204 9
4-7 10-11 14 13-14 0.335 8
4-9 10-11 10 9-10 0.112 1
5-6 10-11 12 12-13 0.379 3
基于表1得到的结果,应用第3节中所述的最优防御资源分配策略,则可得到防御者的防御资源分配量,以及电网攻击者选取每条线路进行物理攻击所导致的电网有功负荷损失的期望值,即公式(1)中的VC,如表2所示。
表2 防御资源分配策略
Table 2 Defence resource allocation strategy线路防御资源分配量有功负荷损失期望值(标幺值)
1-2 0.243 9 0.306 5
1-5 3.769 9 0.306 5
2-3 0 0
2-4 0.744 0 0.306 5
2-5 0 0.241 7
3-4 0 0.253 1
4-5 0.566 9 0.306 5
6-11 0 0.125 0
6-12 0 0.061 0
6-13 0 0.181 9
7-8 0 0.152 3
7-9 0.342 4 0.306 5
9-10 0 0.090 0
9-14 0 0.149 0
10-11 0 0.090 0
12-13 0 0
13-14 0 0.204 9
4-7 0.095 5 0.306 5
4-9 0 0.112 1
5-6 0.237 4 0.306 5
4.3 线路脆弱性评估
表2中,导致有功负荷损失期望值最大的7条线路有遭受攻击的可能。
根据表2,在所研究的算例系统以及攻防情景的假设下,可能遭受攻击的线路、线路上分配的防御资源、线路遭受攻击的概率和线路遭受攻击导致电网有功负荷损失的期望值如表3所示。
其中,按分配的防御资源由多到少从上往下排列,第5列的风险值即式(1)中的RT。
表3 防御资源总量为6时受到攻击威胁的线路
Table 3 Lines under attack threat when
total defence resources equal 6
线路
防御资源
分配量
遭受攻击
概率/%
有功负荷损失
期望值(标幺值)
风险
(标幺值)1-5 3.769 9 14.29 0.306 5 0.0438 02-4 0.744 0 14.29 0.306 5 0.0438 04-5 0.566 9 14.29 0.306 5 0.0438 07-9 0.342 4 14.29 0.306 5 0.0438 01-2 0.243 9 14.29 0.306 5 0.0438 05-6 0.237 4 14.29 0.306 5 0.0438 04-7 0.095 5 14.29 0.306 5 0.0438 0如果一条线路上分配的防御资源的量越多,说明该线路对于电网防御者来说越重要且越需要防御,该线路的脆弱性就越高。
由表3可知,在防御资源总量为6的情形下,脆弱性由高到低排名前7的线路分别为:线路1-5、线路2-4、线路4-5、线路7-9、线路1-2、线路5-6、线路4-7。
其他13条线路既不需要防御,也不会遭受攻击。
此外,在防御资源总量为6的情形下,算例系统中共有7条线路受到攻击
3
0
1
石立宝,等 基于动态攻防博弈的电力信息物理融合系统脆弱性评估
http://www.aeps-info.com
的威胁,且这7条线路每条遭受攻击的概率均为14.29%(即式(1)中的T)、遭受攻击后导致电网有功负荷损失的期望值都一样,这是防御资源分配导致的结果。
如果防御资源总量发生变化,则表3中各列的数据均会发生变化。
比如当防御资源总量为3时,结果如表4所示。
表4 防御资源总量为3时受到攻击威胁的线路
Table 4 Lines under attack threat when total
defence resources equal 3
线路防御资源
分配量
遭受攻击概率
有功负荷损失
期望值(标幺值)
1-5 2.541 7 33.33%0.412 9
2-4 0.294 9 33.33%0.412 9
4-5 0.163 4 33.33%0.412 9
从表4中可以看出,当防御资源总量为3时,只有线路1-5、线路2-4和线路4-5受到攻击威胁,说明线路脆弱性评估的结果受线路所分配的防御资源总量影响。
5 结语
本文针对电力信息物理融合系统,研究了其在人为蓄意攻击威胁下的脆弱性评估方法,以及最优的防御资源分配策略。
通过算例研究,验证了所提方法的有效性,并发现物理攻击配上网络攻击,可以以较少资源对电网造成较大损失。
本文的研究工作虽然是针对电力CPS,但在模型中只考虑了物理的防御资源,对于网络攻击部分建模只是考虑了DDoS。
本文目前的工作尚属于初步探索阶段,特别是对于信息攻击的细节方面仍需要考虑很多实际的因素,例如信息攻击的成功率与效益、信息网络的拓扑、信息网络的防御策略(包括所应用的信息安全算法)等。
后续工作将进一步细化对电力CPS的信息网络的建模研究。
参考文献
[1]印永华,郭剑波,赵建军.美加“8·14”大停电事故初步分析以及应吸取的教训[J].电网技术,2003,27(10):8-11.
YIN Yonghua,GUO Jianbo,ZHAO Jianjun,et al.Preliminaryanalysis of large scale blackout in interconnected North Americapower grid on August 14and lessons to be drawn[J].PowerSystem Technology,2003,27(10):8-11.
[2]陈向宜,陈允平,李春艳.构建大电网安全防御体系———欧洲大停电事故的分析及思考[J].电力系统自动化,2007,31(1):4-8.CHEN Xiangyi,CHEN Yunping,LI Chunyan,et al.Constructing wide area security defensive system in bulk powergrid—apondering over the large scale blackout in the Europeanpower grid on November 4[J].Automation of Electric PowerSystems,2007,31(1):4-8.
[3]林伟芳,孙华东,汤涌,等.巴西”11·10”大停电事故分析及启示
[J].电力系统自动化,2010,34(7):1-5.
LIN Weifang,SUN Huadong,TANG Yong,et al.Analysis andlessons of the blackout in Brazil power grid on November 10,2009[J].Automation of Electric Power Systems,2010,34(7):1-5.
[4]薛禹胜,肖世杰.从印度大停电透视电力系统的广义阻塞[J].电力系统自动化,2012,36(16):1-8.
XUE Yusheng,XIAO Shijie.Through the India’s blackout toperceive the generalized congestions in power sytems[J].Automation of Electric Power Systems,2012,36(16):1-8.[5]张昕.湖北及时制止一起蓄意破坏电力设施事件[EB/OL].[2016-05-01].http://power.in-en.com/html/power-881669.shtml.
[6]乌克兰电力系统遭受攻击事件综合分析报告[R].北京:哈尔滨安天科技股份有限公司,2016.
[7]邹乾.伊朗黑客利用谷歌攻击了纽约附近一座水电站[EB/OL].[2016-05-01].http://www.cww.net.cn/tech/html/2016/3/29/2016329847535006.htm.
[8]杨漾.韩国核电站躲过黑客攻击,IP地址位于中朝边界[EB/OL].[2016-05-01].http://news.163.com/14/1225/19/AEB6TKEM00014SEH.html.
[9]KARABATI S,KOUVELIS P,YU G.A min-max-sumresource allocation problem and its applications[J].OperationsResearch,2001,49(6):913-922.
[10]BROWN G,CARLYLE M,SALMERON J.Defending criticalinfrastructure[J].Interfaces,2006,36(6):530-544.
[11]SALMERON J,WOOD K,BALDICK R.Analysis of electricgrid security under terrorist threat[J].IEEE Trans on PowerSystems,2004,19(2):905-912.
[12]ARROYO J M,GALIANA F D.On the solution of the bilevelprogramming formulation of the terrorist threat problem[J].IEEE Trans on Power Systems,2005,20(2):789-797.
[13]MOTTO A L,ARROYO J M,GALIANA F D.A mixed-integer LP procedure for the analysis of electric grid securityunder disruptive threat[J].IEEE Trans on Power Systems,2005,20(3):1357-1365.
[14]ARROYO J M.Bilevel programming applied to power systemvulnerability analysis under multiple contingencies[J].IETGeneration,Transmission &Distribution,2010,4(2):178-190.
[15]DELGADILLO A,ARROYO J M,ALGUACIL N.Analysisof electric grid interdiction with line switching[J].IEEE Transon Power Systems,2010,25(2):633-641.
[16]SALMERON J,WOOD K,BALDICK R.Worst-caseinterdiction analysis of large-scale electric power grids[J].IEEE Trans on power systems,2009,24(1):96-104.
[17]ROMERO N,XU Ningxiong,LINDA K,et al.Investmentplanning for electric power systems under terrorist threat[J].IEEE Trans on Power Systems,2012,27(1):108-116.
[18]YAO Yiming,EDMUNDS T,PAPAGEORGIOU D,et al.Trilevel optimization in power network defense[J].IEEETrans on Systems,Man,and Cybernetics,2007,37(4):712-718.
[19]FARRAJ A,HAMMAD E,DAOUD A A,et al.A game-theoretic analysis of cyber switching attacks and mitigation in
4
0
1
2016,40(17)·信息能源系统建模与安全评估·
http://www.aeps-info.comsmart grid systems[J].IEEE Trans on Smart Grid,2015,7(4):1846-
1855.[20]HUG G,GIAMPAPA J A.Vulnerability
assessment of ACstate estimation with respect to false data injection cyber-attacks[J].IEEE Trans on Smart Grid,2012,3(3):1362-
1370.[21
]汤奕,王琦,倪明,等.电力信息物理融合系统中的网络攻击分析[J].电力系统自动化,2016,40(6):1-4.DOI:10.7500/AEPS20160315001.
TANG Yi,WANG Qi,NI Ming,et al.Analysis of cyberattacks in cyber physical power system[J].Automation ofElectric Power Systems,2016,40(6):1-4.DOI:10.7500/AEPS20160315001.
[22
]赵俊华,梁高琪,文福拴,等.乌克兰事件的启示:防范针对电网的虚假数据注入攻击[J].电力系统自动化,2016,40(7):147-
151.DOI:10.7500/AEPS20160203101.ZHAO Junhua,LIANG Gaoqi,WEN Fushuan,et al.Lessonslearnt from the Ukrainian blackout:protecting power gridsag
ainst false data injection attacks[J].Automation of ElectricPower Systems,2016,40(7):149-151.DOI:10.7500/AEPS20160203101.
[23
]郭庆来,辛蜀骏,王剑辉,等.由乌克兰停电事件看信息能源系统综合安全评估[J].电力系统自动化,2016,40(5):145-147.DOI
:10.7500/AEPS20160113101.GUO Qinglai,XIN Shujun,WANG Jianhui,et al.Comprehensive security assessment for a cyber physical energysy
stem:a lesson from Ukraine’s blackout[J].AutomationElectric Power Systems,2016,40(5):145-147.DOI:10.7500/AEPS20160113101.
[24]LI Z,SHAHIDEHPOUR M,ALABDULWAHAB A,et
al.Bilevel model for analyzing
coordinated cyber-physical attackson power systems[J].IEEE Trans on Smart Grid,2015,10.1109/TSG.2015.2456107.
[25]LIU N,ZHANG J,ZHANG H,et al.Security
assessment forcommunication networks of power control systems using attackgrap
h and MCDM[J].IEEE Trans on Power Delivery,2010,25(3):1492-1500.[26]LIU N,ZHANG J,WU X.Asset analy
sis of risk assessmentfor IEC 61850based power control sy
stems:PartⅠmethodology[J].IEEE Trans on Power Delivery,2011,26(2):869-
875.[27]XIN S,GUO Q,SUN H,et al.Cyber-physical modeling
andcyber contingency
assessment of hierarchical control systems[J].IEEE Trans on Smart Grid,2015,6(5):2375-2385.[28]KENNEDY J,EBERHART R.Particle swarm op
timization[C]//IEEE International Conference on Neural Networks,1995:1942-
1948.[29]GUO Chen,ZHAO Yangdong,DAVID J H,et al.Exploring
reliable strategies for defending
power systems against targetedattacks[J].IEEE Trans on Power Systems,2011,26(3):1000-
1009.石立宝(1971—),男,通信作者,博士,副教授,博士生导师,主要研究方向:电力系统运行与控制、风力发电技术、计算智能。
E-mail:shilb@sz.tsing
hua.edu.cn简 洲(1989—),男,硕士研究生,主要研究方向:电力系统脆弱性评估。
E-mail:806109713@qq
.com(编辑 代长振)
Vulnerability
Assessment of Cyber Physical Power System Based on Dynamic Attack-defense Game ModelSHI
Libao,JIAN Zhou(National Key Laboratory
of Power System in Shenzhen,Graduate School at Shenzhen,Tsinghua University
,Shenzhen 518055,China)Abstract:This article aims to explore and exploit the vulnerability assessment method of modern power grid facing deliberateattack by applying relevant knowledge of the game theory in the scenario of cyber physical power system under the threat ofdeliberate attack.The vulnerability
assessment framework of cyber physical power system pertinent to the attack-defensescenario is built based on Rand Corporation’s risk assessment model,and a power system attack-defence dynamic game tri-level programming model in which cyber and physical attacks are launched simultaneously is proposed according to the multi-level programming model generally applied in the game theory.The corresponding solving
method of the tri-level programmingmodel is discussed and,in the process of solution,a kind of optimal defense resource allocation strategy is used to effectivelyobtain the resource required on the components of the power grid.The effectiveness and validity of the proposed framework andmethod are demonstrated by
application examples.This work is supported by National Basic Research Program of China(973Program)(No.2013CB228203-5).Key
words:cyber physical power system;dynamic game;vulnerability assessment5
01石立宝,等 基于动态攻防博弈的电力信息物理融合系统脆弱性评估。