【精彩论文】新型电力系统中跨域连锁故障的演化机理与主动防御探索

Original 中国电力中国电力 2023-12-18

新型电力系统中跨域连锁故障的演化机理与主动防御探索

刘依晗¹, 王宇飞²

（1. 中国农业大学信息与电气工程学院，北京 100083; 2. 国网智能电网研究院有限公司，北京 102209）

摘要：新型电力系统实现了新能源电源与多元负荷的广域互联以及信息流与能量流的动态交互，但亦面临愈加严峻的安全威胁。攻击者可发动网络攻击，在多个电力节点引发一系列时空协同的电力故障，形成跨越信息域与电力域的连锁故障，破坏新型电力系统稳定运行。在此背景下，对跨域连锁故障的演化机理与主动防御机制展开研究。首先，根据新型电力系统的架构与运行特性分析其面临的耦合安全风险；进而，基于事件驱动分析攻击者引发跨域连锁故障的攻击全过程并建立跨域连锁故障的数学模型；最后，分析防御者视角的跨域连锁故障主动防御过程，提出考虑新型电力系统特性的跨域连锁故障主动防御模式并建立最优主动防御方案决策模型，为跨域连锁故障主动防御提供技术方案。

引文信息

刘依晗, 王宇飞. 新型电力系统中跨域连锁故障的演化机理与主动防御探索[J]. 中国电力, 2022, 55(2): 62-72.

LIU Yihan, WANG Yufei. Exploring the evolution mechanism and active defense of cross-domain cascading failures in new type power system[J]. Electric Power, 2022, 55(2): 62-72.

引言

当前中国处于能源转型的关键时期，建设以新能源为供给主体、各类电力节点广泛互联与灵活调控的新型电力系统可为现代社会提供持续可靠的电能供给^[1-2]。但新能源电源与多元负荷广泛接入的系统架构以及信息物理融合的运行方式，亦给新型电力系统运行带来严重安全威胁^[3]。由于新型电力系统中信息流与能量流的动态交互，信息风险与电力风险可相互叠加并在信息域与电力域交叉传播^[4-5]，而新能源出力与多元负荷的随机波动特性进一步增加了系统运行脆弱性并暴露出更多薄弱节点^[6-7]。基于安全风险的跨域传播，攻击者针对多个薄弱节点发动协同网络攻击可造成一系列时空协同的电力故障，形成跨越信息域与电力域的连锁故障（cross-domain cascading failures，CDCF）^[8-10]，甚至引发大范围停电。如2009年美国国土安全部组织的极光演习模拟网络攻击导致多个发电机组退出运行、2015年乌克兰电网遭受网络攻击引起大停电^[11]、2015年出现的Windpoison恶意软件可通过地址解析协议（ARP）缓存中毒攻击控制风力涡轮机并伪造其正常工况信号^[12]、2018年中国某风电场因站内风功率预测服务器违规外联造成省级电力调度中心被网络攻击^[13]、2019年委内瑞拉电网遭受网络攻击而大停电等。研究跨域连锁故障演化机理与主动防御机制可提升新型电力系统抵御恶意攻击的能力并增强其运行韧性。目前跨域连锁故障的研究仍处于起步阶段。文献[4-5]讨论了配电信息物理系统中信息风险与电力风险的叠加机制与风险转移逻辑；文献[8, 14-15]揭示了网络攻击引发电力故障的事件驱动关系，辨识了多种潜在CDCF类型，提出了CDCF危害的评估方法；文献[10]通过适度允许CDCF演化以获得更多攻击行为观测数据，建立了容忍阶段性故障危害的CDCF预警模型；文献[16-17]建立了攻击者视角下的CDCF概率模型；文献[18-19]提出了基于信息—电力联合观测数据的CDCF检测方法；文献[20-21]提出了基于攻防博弈的CDCF最优攻击方案求解方法以及针对CDCF的防御资源部署方法。但是，在新型电力系统中防御者难以依据上述研究成果有效防御CDCF。一方面，现有成果仅分析了网络攻击与电力故障的事件驱动关系，未能结合新型电力系统运行特性对CDCF中各种攻击行为的时空协同关系展开讨论，导致CDCF的演化机理不清晰；另一方面，现有成果仅专注于攻击行为的检测与被动防御，导致CDCF的检测、预警、防御等工作相互脱节，缺乏完整的主动防御体系，无法在CDCF演化过程中进行主动防御。

为了解决上述问题，本文对CDCF的演化机理与主动防御机制展开探索性研究：（1）根据新型电力系统架构与运行特性，辨识耦合安全风险；（2）基于事件驱动分析CDCF的演化机理，将网络攻击引发单一电力故障或扰动的过程抽象为攻击事件链，进而将CDCF抽象为多个攻击事件链的集合并构建其数学模型；（3）根据CDCF的演化机理分析其主动防御的目标与关键任务，结合新型电力系统架构与运行特性分析CDCF主动防御模式，再根据CDCF演化过程中攻防双方的动态博弈建立CDCF最优主动防御方案决策模型。

1 新型电力系统面临的安全风险

1.1 新型电力系统的架构与运行特性

相较于传统电力系统，新型电力系统的架构与运行方式有了进一步优化改进，具备灵活接入、安全可控、信息物理融合等特征^[2-3]。（1）新型电力系统的架构呈现出信息物理系统形态。新型电力系统实现了新能源电源、多元负荷、储能装置、传统电力设备、通信网络、信息系统等各种节点的广泛接入与互联互通，形成了信息、电力、社会、交通等要素紧密融合的信息物理系统^[2]。基于信息物理系统理论，可准确刻画新型电力系统中信息域与电力域的融合架构^[22-23]，如图1所示。

图1 信息物理系统视角的新型电力系统架构

Fig.1 The architecture of new type power system from the perspective of cyber-physical system

（2）新型电力系统的运行过程实现了信息流与能量流的动态交互。新型电力系统中存在大量的新能源场站与低压分布式发电系统，又同时存在多种利益主体，导致新型电力系统运行过程存在新能源出力随机波动、电力系统多层级多时间尺度的稳定平衡、系统调度运行方式复杂等问题。为了解决上述问题，需要基于信息物理系统理论分析并计算信息流与能量流的动态交互过程，实现新型电力系统的状态感知、融合分析、协调控制等功能^[22-23]。在未来，数字孪生、主动配电网、虚拟发电厂等技术的逐渐成熟与广泛应用，新型电力系统的信息流与能量流动态交互特性将愈发明显。

1.2 新型电力系统的耦合安全风险

在新型电力系统中，信息风险与电力风险可借助信息流与能量流的动态交互在信息域与电力域交叉传播，并衍生出形态更复杂的耦合安全风险^{[6, 8, 19]}，其原因在于：（1）新型电力系统的架构导致风险来源多样化。相对于传统电力系统，新型电力系统的形态发生较大演进，其涵盖了新能源电源、多元可控负荷、分布式量测与控制节点、储能装置、高性能计算中心、数据中心、物联网（IoT）设备等形态与功能各异的节点。上述节点中存在大量的潜在安全漏洞与软/硬件缺陷，使得信息风险与电力风险的来源更加复杂。（2）新型电力系统的信息物理融合运行特性导致风险跨域传播更频繁。为了实现新型电力系统中源网荷储的灵活高效调节，信息节点与电力节点需通过频繁数据交互完成调控指令下达与物理设备状态信息上传，而新能源出力与多元负荷的随机波动特性使得信息流与能量流的动态交互更加频繁。频繁的信息流与能量流交互过程增加了各种节点之间的故障相关性，信息风险与电力风险跨域传播的可能性与传播路径亦显著增长。例如图1的耦合安全风险示例1，风电场、光伏电站等新能源场站面积较大且地形复杂需要借助无线通信实现对各个发电单元的状态检测与调度控制，同时新能源出力受风力、日照等自然条件影响较大，因此站域通信网络的信息风险与出力随机波动的电力风险可形成典型的耦合安全风险。由此可见，耦合安全风险的影响范围与危害远大于单独的信息风险或电力风险。耦合安全风险一旦被攻击者利用或被特定事件触发，可形成波及新型电力系统全域的大范围故障^{[8, 14-15]}。如2015年乌克兰发生的大停电事故，其事故原因为攻击者先基于电网控制系统的后门漏洞（信息风险）利用black energy恶意软件窃取电网控制系统的权限，之后下发错误指令造成部分电力节点退出运行并触发电力风险，破坏电力系统稳定运行，最终造成大范围停电^[11]。

2 基于事件驱动的跨域连锁故障演化机理

2.1 跨域连锁故障的概念

为了区分由通信网络可靠性、信息系统功能缺陷、自然灾害等偶发因素引发的电力故障（如2003年的美加8·14大停电），突出攻击者对CDCF的影响，下面给出攻击事件链与CDCF的定义。定义1：攻击事件链是指攻击者发动的下列攻击行为序列。针对某个具体电力设备（发电机、逆变器、变压器、可控负荷等），攻击者借助耦合安全风险发动网络攻击造成二次系统故障，进而引起一次系统的故障或扰动，最终形成一个跨越信息域与电力域的攻击行为序列。攻击事件链描述了网络攻击引发电力故障的事件驱动逻辑，其形成过程受到攻击者技术水平、防御资源配置情况、新型电力系统运行状态等多重因素的共同作用^{[10, 14, 16]}。图2以网络攻击引发断路器故障为例，给出了攻击事件链的示例^{[8, 10]}。在图2中，每一条从网络攻击（顶点 φ₁ 或 φ₂）指向断路器故障（顶点 y₁或 y₂）的有向路径均为一种攻击事件链，如表1所示。借助图1的耦合安全风险示例，攻击者发动针对断路器的网络攻击可逐步形成图2中各种攻击事件链。

图2 针对断路器的攻击事件链示例

Fig.2 An example of attack-event-chains for circuit breaker

表1 图2的攻击事件链

Table 1 Attack-event-chains in Fig. 2

定义2：CDCF是指以下由多个攻击事件链构成的集合。借助耦合安全风险以及新型电力系统运行特性，攻击者针对多个薄弱节点发动协同网络攻击以引发一系列逻辑相关的电力故障，形成时空协同的多个攻击事件链，造成大量电力设备失控、电力系统稳定裕度下降、电力系统运行失稳并解列，甚至大范围停电。由定义1与定义2可知，相较于单独的网络攻击或电力故障，新型电力系统中CDCF的攻击模式更为复杂，详述如下。（1）攻击对象多样化。CDCF的攻击对象涵盖了新型电力系统的各种节点。由1.1小节可知，新型电力系统实现了各种异质节点的广泛互联，而这些异质节点可能存在大量的安全漏洞与缺陷；同时，信息物理融合的运行方式使得节点之间的故障相关性显著提升，间接降低了攻击成本。因此，在新型电力系统中攻击者可选择的CDCF攻击对象远超传统电力系统，并且高比例接入的新能源电源、受社会与市场等因素影响较大的多元负荷更易成为CDCF的重点攻击对象。（2）攻击方式多元化。针对不同类型的攻击对象，攻击者可采取差异化的网络攻击，包括社会工程学攻击、虚假数据注入攻击、缓冲区溢出攻击、恶意篡改保护装置整定值等。在新型电力系统的不同业务场景中，攻击者的多元化攻击方式将愈发明显。如风电场中风机数量庞大且分布分散导致其站域控制通信网络脆弱性较高，攻击者可针对控制通信网络发动网络攻击阻断调度指令正常下发，再根据风机出力随机波动的特性通过下发错误指令或伪造指令造成低电压穿越失败。如根据新型电力系统中源网荷储的能量双向供给，攻击者可选择虚拟发电厂或可控负荷集群作为攻击对象，通过伪造用户侧需求响应数据并对调度系统发动虚假数据注入攻击，造成发电机组出力冗余，破坏新型电力系统的频率稳定。（3）攻击事件链之间存在逻辑关联。因为信息节点与电力节点之间存在结构耦合与功能交互，所以攻击者在实施CDCF时需考虑多个攻击事件链之间的协同问题。一方面，某些恶性故障与隐性故障难以由单一攻击事件链直接引发，需要依靠其他事件或关联故障的触发，如文献[10, 20]中利用多条输电线路的相继潮流越界引发电力薄弱节点的隐性故障导致电力系统解列；另一方面，由于信息物理融合的系统运行特性，针对某个电力薄弱节点的攻击可引发其他关联节点级联故障。（4）自然灾害、社会动乱、电力战等极端事件对CDCF的演化与危害扩散具有显著的助推作用。当类似于2003年美加8•14大停电、2019年委内瑞拉内乱、2021年美国德州暴风雪等极端事件爆发时，新型电力系统将暴露出更多的薄弱节点并产生大量偶发故障（如通信故障造成的一次设备失控、操作失误造成的保护装置失灵等），CDCF可借助这些薄弱节点与偶发故障进一步放大其危害，引发更大范围的级联故障。

2.2 攻击者视角的跨域连锁故障演化过程

为了达成预期攻击目标，攻击者有目的地发动协同网络攻击并使其危害从信息域向电力域传播，直至引发一系列电力故障，形成CDCF^[16-17]。故分析CDCF演化过程需充分考虑攻击者因素，并发掘CDCF在信息域的故障演化源头。下面通过图3的示例分析CDCF的演化过程。设定该示例中攻击者的预期攻击目标为通过制造多个电力故障破坏新型电力系统稳定运行。3个攻击者可及时传递信息并协同攻击，选取新能源机组A、智能变电站A与B作为攻击对象。该示例中CDCF演化过程为：时刻 t₁ ，攻击者A利用网络攻击使新能源机组A退出运行，同时攻击者B发动表1的3号攻击事件链使智能变电站B的断路器处于拒动状态，火电机组B开始增加出力以维持系统平衡，新型电力系统安全裕度降低；时刻 t₂ ，攻击者C发动表1的4号攻击事件链使智能变电站A的断路器断开造成部分线路潮流越界，导致新型电力系统失稳。

图3 针对新型电力系统的跨域连锁故障示例

Fig.3 The CDCF example against the new type power system

由图3示例可见，CDCF演化过程具有多阶段协同演化特性^[16]。攻击者将预期攻击目标分解为若干个相互关联的阶段性子目标，利用协同网络攻击形成多个时空协同的攻击事件链以逐步实现这些阶段性子目标。攻击者视角下CDCF演化过程可概述为，攻击者通过逐渐掌握实施CDCF的攻击资源，实现对新型电力系统的可观可控，并最终达成预期攻击目标的渐进式演化过程。

2.3 跨域连锁故障的数学模型

根据定义2以及图3的示例，可将CDCF描述为由多个攻击事件链构成的事件链集合，即

式中：c 为攻击者利用网络攻击引发的CDCF；为攻击事件链，其含义为在CDCF演化第1阶段的时刻 t₁于电力节点j形成第i种攻击事件链，其余攻击事件链的含义以此类推；k_max为CDCF演化阶段的上限，图3的CDCF示例中 k_max=2；i为攻击事件链的编号；j为电力节点的编号，在CDCF示例中j为新能源机组A、智能变电站A与B；O 为攻击者设定的预期攻击目标， o 为各阶段性子目标；Φ 为协同网络攻击方案。

在式（1）中，对图2的 φ 、 x 、 y 等事件型变量做进一步改进，增加上述事件型变量发生的电力节点位置、时间、事件所属的CDCF演化阶段等参数，其中：为图2中某种网络攻击， α 为网络攻击类型，在CDCF示例中 α 为1或2；为图2中某种二次故障， β 为二次故障类型，CDCF示例中 β 取值为1~6；为图2中某种一次故障， γ 为一次故障类型，CDCF示例中 γ 为1或2；p_φ_,x为网络攻击引发二次故障的概率， p_x_,y为二次故障引发一次故障的概率，这两个概率受到攻击者自身技术水平、防御资源配置情况、新型电力系统运行状态等因素的影响；f_gain为攻击收益函数^[16]，其含义为攻击者通过一次故障获得的攻击收益达到或超出阶段性子目标。

3 跨域连锁故障的主动防御机制

3.1 防御者视角的跨域连锁故障主动防御过程

3.1.1 跨域连锁故障主动防御的目标

由第2节的CDCF演化机理可知，随着CDCF在新型电力系统中逐步演化，攻击者的预期攻击目标与攻击方式亦逐渐暴露。与之对应的，防御者可根据各种防御资源的实时监测数据以及新型电力系统运行数据逐渐获知攻击行为，并推测预期攻击目标与后续攻击行为，再根据新型电力系统的运行特性采取一系列防御措施阻断CDCF继续演化。由此可见，在CDCF演化过程中攻击者与防御者围绕CDCF的实施与防御形成了信息不对称的动态博弈，其中：攻击者对新型电力系统的可观可控能力有限，不能掌握系统运行与防御资源部署的全局情况^[16-17]，仅能发动有限攻击行为；防御者虽然掌握新型电力系统运行状态，但其仅观测到部分攻击行为，仍需持续观测来推测预期攻击目标与后续攻击行为^[18-19]。基于CDCF演化的动态博弈，可将防御者视角的CDCF主动防御目标概括为定义3。定义3：CDCF主动防御的目标是指通过一系列防御行为期望可达成如下防御效果。根据CDCF演化机理，防御者利用新型电力系统运行数据以及各种防御资源的实时检测结果判断攻击者发动的CDCF及其预期攻击目标；进一步，在CDCF尚未完成演化之前，防御者结合新型电力系统中信息流与能量流的信息物理融合、源网荷储互动、多能流互补、发电侧新能源以及负荷侧大规模可控柔性负荷的灵活高效调节等运行特性，采取一系列密切协同的信息防御措施与电力防御措施以尽可能少的防御代价阻断CDCF继续演化，消除或降低CDCF造成的危害，保障新型电力系统向现代社会提供持续、可靠的电能供给。

3.1.2 跨域连锁故障主动防御的关键任务

防御者可通过以下关键任务逐步实现CDCF主动防御目标。（1）CDCF攻击模式的离线分析。根据新型电力系统的架构与运行特性、CDCF历史案例、已知的信息风险与电力风险等相关知识，防御者辨识新型电力系统蕴含的各种耦合安全风险；再推演攻击者借助耦合安全风险以及新型电力系统运行特性（如新能源出力随机波动、受市场因素影响的多元负荷波动、电源侧与负荷侧双向互动等），针对多个电力节点发动协同网络攻击引发CDCF的攻击过程，并建立包含各种已知CDCF的知识库。（2）CDCF攻击在线检测。防御者依据信息安全设备告警信息^[18]、通信流量、潮流数据、信息系统与一次设备的运行状态等实时数据构造信息—电力联合观测数据^{[10, 19]}，利用该观测数据检测当前新型电力系统中是否存在网络攻击，再推演可能引发的各种潜在CDCF并建立预想故障集合。（3）CDCF早期预警。基于攻击在线检测结果计算预想故障集合中各种潜在CDCF的危害与爆发概率^[16-17]；再依据实时更新的攻击在线检测结果对预想故障集合进行动态约减，逐步排除与攻击在线检测结果不符的潜在CDCF，直至判断出真实发生的CDCF及其后续演化趋势^[10]。（4）CDCF动态防御。根据CDCF预警结果与新型电力系统运行状态，防御者设计多个由信息防御措施与电力防御措施协同而成的CDCF主动防御备选方案，再结合新型电力系统运行特性决策针对CDCF的最优主动防御方案。由图4可知，CDCF主动防御过程是具备功能依存关系的一系列防御行为集合。

图4 防御者视角的CDCF主动防御过程

Fig.4 The process of CDCF active defense from the defenders’ perspective

（1）在CDCF主动防御的内涵层面，攻击模式离线分析、攻击在线检测、早期预警、动态防御等关键任务构成了CDCF主动防御过程的闭环工作模式，实现针对CDCF的精确感知与及时防御。（2）在CDCF主动防御的外延层面，防御者可在主动防御过程中结合已部署的各种电力故障防御系统与信息安全防御系统，设计信息—电力协同的CDCF主动防御方案，实现新型电力系统中多种防御系统的功能衔接与协同工作。（3）CDCF主动防御过程具备自学习能力。随着CDCF主动防御工作时间的逐渐积累，防御者可根据各种历史防御经验（尤其是防御失败的案例）进行回溯分析，修正CDCF知识库，使其更贴近真实的攻击模式；同时，防御技术的迭代更新可提升攻击检测与早期预警的准确性，增强防御措施目的性并降低防御代价。（4）新型电力系统的运行特性直接影响CDCF主动防御过程。基于新型电力系统运行特性，防御者可辨识各种耦合安全风险，推断攻击者的潜在攻击模式；进而，在决策CDCF的最优主动防御方案时，防御者需考虑发电侧与负荷侧双向调节、多主体参与运行以及主动响应、信息域对电力域实时分析计算与优化调控等新型电力系统的运行特性，采用一系列时空协同的信息-电力协同防御措施以较少的防御代价及时阻断CDCF继续演化。

3.2 考虑新型电力系统特性的跨域连锁故障主动防御模式

3.2.1 跨域连锁故障的主动防御体系

新型电力系统与传统电力系统存在较大差异，防御者在构建CDCF主动防御体系时应充分考虑新型电力系统的架构与运行特性。（1）新型电力系统的发电侧与负荷侧更为开放，数量庞大且类型各异的新能源电源与多元负荷广泛接入增加了潜在攻击途径；而且新型电力系统中同时存在电力运营商、电力用户、第三方售电商等多元利益主体，形成了信任域与非信任域共存的安全场景，扩大了攻击暴露面。CDCF主动防御体系应覆盖上述信任域与非信任域，并对广泛接入的各种节点进行检测。（2）新型电力系统的运行过程具备源网荷储高效协同与数字化智能调控特征，所以防御者在抵御CDCF时应充分考虑已部署的信息安全检测设备与电力故障检测的联调联控。综合上述分析，防御者需在现有的“安全分区、网络专用、横向隔离、纵向认证”电力系统安全防护框架基础上，进一步设计具备全局协同与局部自治特征的CDCF主动防御体系。本文提出一种基于边缘计算的CDCF主动防御体系，如图5所示。该体系具备以下工作特性。

图5 基于边缘计算的CDCF主动防御体系Fig.5 The architecture of CDCF active defense system based on edge calculation
（1）CDCF主动防御体系按照不同利益主体将新型电力系统划分为多个信任域与非信任域，并建立“云端-边缘-终端”协同的边缘计算架构以实现CDCF主动防御。在边缘计算架构中，云端为部署在调度中心的CDCF主动防御决策节点，边缘节点为部署在各个域内的CDCF主动防御边缘节点，终端为部署在各个域内的网络攻击检测节点、网络攻击防御节点、保护装置、量测装置等。（2）边缘计算架构的终端负责网络攻击在线检测、电力故障动态感知、实施信息防御措施等功能。（3）CDCF主动防御边缘节点负责实时检测本域内发生的攻击事件链并将检测结果上传至CDCF主动防御决策节点^[18]，同时其接收CDCF主动防御决策节点下发的信息防御指令。（4）CDCF主动防御决策节点根据各个边缘节点实时上报的攻击事件链检测结果以及从SCADA/EMS获取的新型电力系统运行数据完成CDCF早期预警并制定主动防御方案^[10]。（5）CDCF主动防御体系覆盖了电力运营商、工业用户、虚拟发电厂、负荷聚合商等多元利益主体。CDCF主动防御决策节点进行预警并决策防御方案时，需建立考虑多利益主体共存的多方协同隐私计算机制，以实现新型电力系统中信任域与非信任域之间联动防御与协同优化控制。

3.2.2 跨域连锁故障的主动防御措施

防御者需根据CDCF演化机理以及新型电力系统的运行特性制定CDCF主动防御方案，消除CDCF对新型电力系统造成的危害。（1）CDCF主动防御措施的选取原则。①防御者需考虑信息防御措施与电力防御措施的协同。由于CDCF具有多阶段演化特征并且其危害从信息域向电力域逐渐扩散，防御者需考虑信息域与电力域的协同防御，建立由信息防御措施与电力防御措施融合而成的信息-电力协同防御措施，并借助新型电力系统的信息物理融合特性实现信息域与电力域的协同防御。②防御者需考虑新型电力系统优化调控方式对CDCF主动防御的增强作用。新能源电源、多元负荷、储能装置的广泛接入提升了新型电力系统的优化调节能力，为CDCF的预防控制、紧急控制、快速自愈提供了现实基础。防御者利用新能源电源对系统运行的主动支撑能力、柔性负荷集群参与电网调控的灵活高效运行方式、多元利益主体的广泛参与及主动响应等新型电力系统运行特性，将新能源电源、储能装置、多元负荷的联调联控作为重要的CDCF主动防御措施。③防御者需考虑CDCF主动防御、电力系统三道防线、停电防御系统之间的功能协同。当仅依靠图5的CDCF主动防御体系无法阻断CDCF继续演化时，防御者可通过上述防御系统的协同工作实现CDCF的定位、阻断、隔离、恢复。（2）CDCF主动防御措施的选取方式。CDCF的多阶段演化特性，使其故障危害在新型电力系统中逐渐累积，并且各个演化阶段显露的攻击行为与危害均不相同。防御者可根据CDCF演化特性，设计针对不同演化阶段的主动防御措施方案。①若在形成攻击事件链之前完成CDCF预警，此时CDCF危害仅存在于信息域，新型电力系统运行尚未受到影响，防御者可选择多种信息防御措施构成CDCF主动防御方案，以实现攻击定位与阻断。②当预警到CDCF已形成单一攻击事件链，此时CDCF危害已影响电力域局部（如网络攻击造成的小扰动），新型电力系统处于警戒状态，其系统运行的不等式与等式约束条件均满足。防御者需设计信息防御措施与电力防御措施联合的CDCF主动防御方案，其中电力防御措施以安全调度为主，以实现故障阻断与隔离。例如，调节新能源电源出力与可控柔性负荷集群的实时用能、调用部分储能装置参与系统运行等。③当预警到CDCF已形成部分攻击事件链。此时CDCF危害已影响电力域的较大范围，在多个电力节点引发电力故障/扰动，新型电力系统处于紧急状态，其系统运行的不等式约束条件已被破坏。防御者需在针对预防控制的CDCF主动防御方案中增加安稳控制措施，防止故障进一步扩大。④当检测到CDCF已完成演化，此时新型电力系统处于崩溃状态。防御者需依靠失步解列装置消除系统振荡并重新并列各个能量孤岛。在系统恢复过程中，可依靠增加新能源电源出力支撑电网网架结构稳定、针对柔性可控负荷的灵活调节、储能装置大规模投入运行等新型电力系统运行方式尽可能保证关键负荷的电力供应。综上所述，根据CDCF所处的不同演化阶段，防御者可动态调节CDCF主动防御方案中信息防御措施与电力防御措施，实现跨越信息域-电力域的协同防御，结合根据新型电力系统运行特性保持故障条件下的新型电力系统弹性恢复力。

3.3 跨域连锁故障的最优主动防御方案决策模型

CDCF可造成负荷损失、机组出力异常、通信故障、关键数据丢失等危害。基于信息—物理耦合事件理论与信息流—能量流混成计算理论，防御者可量化评估CDCF对新型电力系统造成的危害后果^[22-23]。为了简化计算，本文依据弹性系统评价指标^[24-25]，以攻防双方动态博弈过程中CDCF造成的负荷损失总量作为评估攻防双方行为有效性的指标。

根据3.1小节讨论的攻防双方动态博弈以及3.2小节提出的CDCF主动防御措施，建立针对CDCF的最优主动防御方案决策模型为

式中：d 为防御者可实施的某种主动防御方案；t′ 为CDCF早期预警时刻；为时刻 t′ CDCF(c)的预警准确率；为CDCF主动防御的启动条件；ΔL^d为防御者采取主动防御之后恢复的负荷总量；为预警准确率的惩罚系数；ΔL^c为攻击者通过CDCF(c)造成的负荷损失总量。

最优主动防御方案决策模型的约束为

式中：C是满足预期攻击目标的m个备选CDCF方案集合；c*为C中某种备选CDCF方案；d*为D中某种主动防御方案；f_cost为CDCF的攻击代价函数^[16]；D 是n个主动防御方案集合；g_gain为主动防御方案的防御收益函数；g_cost为主动防御方案的防御代价函数。

CDCF主动防御的启动条件为

式中：η^d 为防御者预设的准确率阈值。

防御者采取主动防御方案d之后恢复的负荷总量为

式中：P 为电力节点集合；t′+1 为CDCF主动防御的启动时刻；t_max为CDCF主动防御的完成时刻；λ_j为电力节点j的权重系数；为电力节点j在时刻 t 通过防御方案d恢复的负荷量；为时刻t针对电力节点j的攻击被成功防御的概率。

预警准确率的惩罚系数为

攻击者通过CDCF(c)造成的负荷损失总量为

式中：t₀为CDCF(c)开始演化的初始时刻；为电力节点j在时刻 t 因CDCF(c)损失的负荷量；为时刻 t 电力节点j被成功攻击的概率。

由式（2）~（7）可知，最优主动防御方案决策模型具有以下特性。

（1）该决策模型的数学形态为双层动态规划模型，其物理含义为在准确预警CDCF之后通过搜索最优主动防御方案使CDCF造成的负荷损失量最小。在双层动态规划模型中：针对已预警的CDCF，将各种可抵御该CDCF的主动防御方案均作为双层动态规划模型的可行解；上层模型描述攻击者的攻击行为，其优化目标为攻击者根据已获知的新型电力系统运行数据决策CDCF最优攻击方案并使负荷损失最大化；下层模型描述防御者的防御行为，其优化目标为防御者通过一系列防御动作保障新型电力系统在遭受CDCF之后负荷损失最小化。

（2）预警准确率随着CDCF预警的观测时长增加而逐渐增长，实际决策时可用与CDCF(c)相似的其他CDCF历史预警准确率替代。启动条件的含义为CDCF(c)的预警准确率达到或超出防御者预设的最低准确率 η^d时启动主动防御。惩罚系数的含义为随着预警准确率逐渐提升，防御者可获知更为准确的攻击行为，反之若CDCF预警准确率过低，防御者难以准确感知攻击行为，增加主动防御难度。与表明，防御者在评估最优主动防御方案时需考虑预警准确率的影响：较高的预警准确率有助于防御者采取更有效的防御措施；而较低的预警准确率将限制防御者的决策行为，甚至干扰防御者的正常判断。

（3）式（5）通过计算从CDCF主动防御开始时刻 t′ + 1 至主动防御完成时刻 t_max的时间段中各类电力节点负荷恢复量的总和，体现CDCF主动防御中各类防御行为的时空协同关系。

（4）式（7）通过计算从CDCF演化初始时刻 t₀至早期预警时刻 t′ 的时间段中各类电力节点负荷损失量的总和，体现CDCF c 中各类攻击行为的时空协同关系。

防御者可依据双层动态规划模型评估最优主动防御方案，并利用3.2节提出的多个逻辑关联的信息—电力协同防御措施使新型电力系统在遭受CDCF攻击时仍能维持供电。利用遗传算法、嵌套列和约束生成算法等方法可将式（2）的双层动态规划转化为单层混合整数线性规划问题求解^{[20, 24]}。

4 结语

新型电力系统作为现代社会的关键能源基础设施，增强其抵御恶意攻击的能力，可保证其提供持续、可靠的电能供给。本文根据新型电力系统的架构与运行特性，分析了攻击者利用协同网络攻击引发CDCF的演化机理，并探讨了CDCF的主动防御机制，得到以下结论。（1）新型电力系统的信息物理融合特性导致了信息风险与电力风险的跨域传播，同时新能源电源与多元负荷的广泛接入进一步加剧了风险跨域传播的可能性。（2）从攻击者视角对CDCF演化机理展开研究，揭示了网络攻击引发CDCF的演化过程，并通过所建立的CDCF数学模型阐述了由时空协同的多个攻击事件链构成的CDCF事件链集合。（3）从防御者视角提出了CDCF主动防御机制，通过剖析CDCF主动防御的目标与关键任务建立了基于边缘计算的CDCF主动防御体系，文章所提出的CDCF最优主动防御方案决策模型揭示了在CDCF演化过程中攻防双方的动态博弈关系。在未来，发掘新型电力系统中未知的耦合安全风险，辨识各种隐蔽性更强、协作模式更复杂的CDCF，探索极端事件下CDCF主动防御体系与物理故障防御系统之间的协作模式，结合新型电力系统业务场景研发并部署CDCF主动防御系统，将是研究重点。（责任编辑　张重实）

作者介绍

刘依晗（1989—），女，博士，实验师，从事电网信息物理系统、复杂系统分析、人工智能研究，E-mail：liuyihan0508@yeah.net;

★

王宇飞（1982—），男，通信作者，高级工程师，从事电网信息物理系统、电力信息安全、电力人工智能研究，E-mail：wallyful@126.com.

往期回顾

◀《中国电力》2022年第2期目录

◀【精彩论文】基于多组件并行架构的电力CPS实时联合仿真平台

◀【精彩论文】滤波电容器心子中介质薄膜表面残余电荷对其振动影响的分析

◀【精彩论文】特高压交流线路金具常见电晕位置及串型优化

◀【精彩论文】基于随机森林算法和稳态波形的非介入式工业负荷辨识

◀【征稿启事】“新能源基地经直流送出系统稳定性分析与控制技术”专题征稿启事

◀【新能源专题征稿】“海上风电送出与并网技术”专题征稿启事