本文摘要:摘要:国家支持型网络攻击可经供应链攻击等方式渗透侵入变电站自动化系统,进而以逻辑炸弹的形式,通过多个变电站的无站间通信扰动同步协同跳闸攻击,达成最大化破坏后果的目的。首先分析了变电站跳闸攻击实现方式;在此基础上,提出基于扰动同步的多变电站无
摘要:国家支持型网络攻击可经供应链攻击等方式渗透侵入变电站自动化系统,进而以逻辑炸弹的形式,通过多个变电站的无站间通信扰动同步协同跳闸攻击,达成最大化破坏后果的目的。首先分析了变电站跳闸攻击实现方式;在此基础上,提出基于扰动同步的多变电站无站间通信协同机制,分析了采用节点低电压表征扰动时的攻击协同方式;采用IEEE39节点系统进行以节点低电压为触发机制的扰动同步协同攻击仿真分析。仿真结果表明,采用适当的低电压阈值作为攻击协同判据,线路跳闸等初始故障可触发故障点邻近变电站中恶意软件的低电压逻辑,造成变电站跳闸失压、并可能以多个变电站主动连锁跳闸的方式导致大量变电站失压,触发大停电。最后结合电力监控系统入网检测流程,讨论变电站监控系统中扰动同步协同攻击恶意软件的检测方法。
关键词:变电站自动化;扰动同步协同攻击;逻辑炸弹;主动连锁跳闸;供应链攻击
0引言
计算机与通信技术在电力系统的深度融合应用显著放大了由网络攻击触发电网安全事故的风险[12]。作为电能传输的关键枢纽,变电站是网络攻防对抗的重要场所,已知的次造成乌克兰停电事故的网络攻击的核心目标都是变电站。中国电力企业高度重视网络安全防护,在依托基于物理隔离的边界安全构建的纵深防卫体系基础上,还开始推广应用基于可信计算技术监控终端[34],使得电力系统在技术和管理层面具备了抵御一般性安全威胁和具有有限资源的有组织攻击的能力。
电力工程师论文发表知识:变电站运维工作论文发表期刊推荐
近年来,全球网络空间军事化进程加速,针对关键基础设施的国家支持型网络攻击已发展为现实威胁[5]。攻防对抗主体的变化,不仅意味着攻击方技术水平的提升,更意味着攻击目的从一般性破坏或勒索转换为最大化攻击破坏后果。网络攻击从独立时间或空间域转为多个相互依存的时空域,从目标和手段单一的网络攻击转为针对特定目标采用融合多种攻击手段的定向协同网络攻击[6]。如何有效应对国家支持型网络攻击,管控攻击破坏后果,是亟待解决的难题。
国家支持型网络攻击掌握有丰富资源,为达成预设攻击任务,可不计成本地针对目标对象量身定制恶意软件。201年突破物理隔离的Stuxnet就是典型的国家支持型网络攻击,它基于对伊朗铀浓缩控制系统的先验知识,在获得控制权限后反复启停离心机,选择性破坏大批离心设备[7]。2021年月,伊朗重启核计划之后的第二天,纳坦兹核电站再次遭到网络攻击并发生爆炸事故[8]。
除具有高度定制化、智能化的特征外,国家支持型网络攻击为最大化攻击破坏后果,还会融合多种攻击手段对多个目标对象实施破坏,如2015年攻击乌克兰电网的BalckEnergy就融合钓鱼邮件入侵、分布式拒绝服务攻击、破坏监控系统可用性等手段控制大量断路器跳闸并最终导致大量变电站全停[910]。随着网络攻防博弈的发展,若攻击方像BlackEnergy一样同时对多个变电站的全部断路器发起旁路控制跳闸攻击,极易造成电网解列,触发大停电事故。
网络攻防博弈中,电网防护水平的提升会倒逼攻击方渗透入侵模式快速演化。2020年,被认为具有国家背景的攻击方在SolarWinds合法产品升级包中植入恶意代码,借助互联网升级推送渠道入侵了其服务的覆盖军工、能源等涉及国家安全的近万个行业用户[11]。根据北美电力可靠性协会NorthAmericanElectricReliabilityCouncil,NERC的统计,美国约有25%的供电企业安装了推送的带毒升级包并可能受到潜在的影响[12]。中国电力系统各大区之间部署有隔离装置和流量异常监测,采用类似方式进行入侵渗透难以奏效[13]。
但电力监控系统研发与测试业务流程中,代码审计只能保证厂家自研业务功能部分的代码安全,缺乏对引入的插件、套件和第三方功能模块的安全管控手段。尽管监控系统多基于Linux等开源软件进行业务功能开发,但开源软件的安全性依赖于开源社区人员的互相信任,并不能杜绝提交上传恶意代码。因此,攻击方可能利用基础性的开源软件,在电力监控系统中植入恶意代码,进而经供应链渠道实现对目标系统的渗透。由于系统的复杂性,技术上难以清查供应链环节发起的攻击。
掌握变电站自动化系统先验知识的国家支持型网络攻击,可借助供应链渠道在变电站监控系统中植入恶意代码。由于中国电力系统部署了较完善的安防措施,攻击方很难从外部与潜入变电站生产控制区的恶意软件保持联系,类似BlackEnergy的遥控跳闸攻击难以奏效,即便取得联系也容易提前暴露。为达成最大化攻击后果的目的,攻击方可能采用无通信的方式同步对多个变电站发起断路器跳闸攻击,使得多个变电全停触发大停电。
本文研究高隐蔽性的多变电站无通信攻击协同,首先提出变电站跳闸攻击方式并进行了攻击建模;在此基础上,提出基于扰动同步的无通信协同机制,分析其攻击行为和破坏模式;然后讨论了扰动同步指标的选取,并选择以故障扰动时电压值作为同步指标进行了攻击仿真分析;最后结合业务流程、根据扰动同步的同步逻辑讨论了扰动同步协同攻击的防护方案设计。
1变电站跳闸攻击
重要工业控制系统多采用物理隔离方式进行安全保障,一般恶意软件难以穿透安全屏障,即便潜入生产控制区,在缺乏行业知识的条件下也难以获得目标对象的准确信息,只能进行阻塞网络、格式化系统等暴力破坏[14]。因为以破坏为目的网络攻击难以直接得到经济收益,它并非一般个体或有组织攻击方进行攻击的目的[15]。国家支持型网络攻击掌握丰富资源,为达成预设攻击任务,可跨领域组织熟悉电力监控系统工作机制和安防体系的专家,针对目标系统量身定制定向攻击恶意软件。中国电力系统已构建较完备的防护体系,变电站安全防护主要需针对国家支持型网络攻击进行强化设计。
1.1变电站跳闸攻击实现分析
定向攻击恶意软件经供应链渠道入侵变电站后,可能有多种攻击破坏模式。从Stuxnet、BlackEnergy和Industroyer病毒的攻击模式来看,更多的是在获取控制权限后,根据目标对象的工作机制进行旁路控制实施破坏。变电站自动化系统采用变电站描述语言生成包含断路器通信控制端口和站内网络通信拓扑结构等重要参数的变电站配置描述文件[14,16]。攻击方基于先验知识研制的定向攻击恶意软件,经供应链渠道等方式渗透进入变电站生产控制区、获得控制权限后,可按规则读取配置描述文件、解析获取站内断路器通信控制信息;此后根据预设的逻辑条件判断是否发起攻击。
在系统运行环境不满足逻辑条件时,定期侦察检测记录运行数据,不会主动发起攻击;检测到满足预设逻辑时,旁路控制跳开站内全部断路器,造成变电站全停事故。攻击乌克兰电网的Industroyer病毒即利用时间逻辑,在2016年12月17日22:00整自动匹配变电站通信规约,发起针对全站断路器的跳闸攻击,造成全站失压。与BlackEnergy相比,Industroyer具有高度智能化的特点,可自动匹配101、103、104和IEC61850通信规约在设定的时刻发起攻击[1718]。基于逻辑条件触发、不以传播为目的恶意代码也被称为逻辑炸弹,比较常采见的是时间逻辑[19。
2001年,南京银山电子离职工程师在故障录波器中植入时间逻辑炸弹,造成全国147座变电站故障录波器功能闭锁[20],是电力行业中广为人知的时间逻辑炸弹。根据业务场景的不同,也可以针对性设置其他逻辑条件。如大众汽车公司就在尾气排放作弊事件中被爆出会进行工况识别,选择性地在柴油车尾气排放测试工况和正常行驶工况下启动或关闭尾气排放控制系统[21]。随着电力系统网络攻防对抗研究的深入,也有学者开展了在电网频率控制中利用逻辑炸弹进行攻击破坏的研究[22]。
2变电站无通信扰动同步协同攻击
对国家支持型网络攻击而言,侵入变电站发起跳闸攻击只是达成目标的手段,最大化破坏后果才是最终目标。从攻击方视角来看,入侵后在多个变电站同步发起跳闸攻击导致大量变电站全停以触发大停电,是最大化攻击后果的有效手段。要对多个变电站同步发起协同攻击,需要解决个核心问题:1)绕过安全防护机制实现渗透入侵;2)在不被察觉的条件下实现多站点攻击协同。
2.1渗透入侵模式分析
尽管中国电力系统深沟壁垒构建了较为完善的纵深防护体系,但网络安全领域没有绝对的安全,技术上难以完全杜绝恶意软件的渗透入侵。除了从供应链渠道在设备厂商环节直接植入定向攻击恶意软件外,还可利用零日漏洞躲过安全威胁检测经运维渠道渗透入侵。电力监控设备厂商多基于Linux等开源操作系统进行监控系统业务功能开发,但开源系统的安全性依赖于社区同行的自愿而非强制性审查,难以阻塞对开源社区或软件官方仓库等软件供应链的恶意投毒行为。
随着攻防博弈的发展,目前开源软件官方仓库中投毒的案例已有一些报道,如2020年明尼苏达州立大学教授故意向Linux内核提交含漏洞的补丁代码来研究测试开源社区的安全性[23];近年来在电力物联网终端边缘计算Docker容器技术官方仓库中也发现植入比特币挖矿恶意软件的镜像程序[2425],相关系统已被下载2000万次。由于主流的变电站监控系统厂商数量屈指可数,攻击方完成对设备厂商的渗透后可以实现对大批量变电站的入侵。
2.2无通信协同跳闸
智能变电站采用单向网闸对生产控制大区和管理大区进行物理隔离[26,27]。站内配置有网络准入和入侵检测系统,只允许经过配置的设备接入网络,根据白名单机制仅允许与设定IP的设备通信,并基于流量异常等规则检测网络行为异常[28]。尽管侵入变电站的恶意软件可以基于先验知识读取变电站配置描述文件,获得断路器控制信息后发起跳闸攻击,但如果与站外通信进行攻击协同,则比较容易被检测发现,难以达成攻击目的。
为避免过早暴露行踪,侵入的恶意软件可采用隐蔽的无通信方式进行攻击协同。电网发生故障时,会对整个电网的频率及故障点附近变电站母线电压产生冲击,定向攻击恶意软件可将故障时的电气量扰动用作无通信协同机制;根据监控主机中的实时数据判定电网运行状态;在检测到变电站母线电气量波动达到预设逻辑条件时发起跳闸攻击,跳开站内全部断路器,造成全站失压,进而造成相邻变电站母线电压大幅波动,触发其中的扰动协同攻击恶意软件,从而实现多站点无通信扰动协同攻击。
3仿真分析
从短路故障时的故障表征来看,采用母线电压或频率均可标识电网是否存在故障扰动,实现多变电站攻击协同。因全网频率基本一致,如所有变电站均含有扰动同步的逻辑炸弹,强扰动下可能大量变电站同时遭攻击全停而直接触发大停电。电网电压具有局部性,故障扰动时更容易呈现出故障后的主动连锁特性,本文采用低电压作为扰动同步的逻辑条件展开仿真分析。
实际场景中,可能并非全部变电站潜入含扰动同步逻辑的恶意软件,但这会产生大量攻击入侵组合。为简化分析,本文假设所有变电站均被植入含扰动同步逻辑的恶意软件,并分析采用不同低电压作为判定系统处于扰动状态阈值的影响。首先进行潮流计算,将潮流计算结果作为稳定计算的输入量。系统机电暂态过程仿真参数采用发电机次暂态参数模型,每台发电机以汽轮机为原动机,配置直流连续励磁装置、汽轮机调速器和低频振荡稳定器;负荷模型采用恒定阻抗模型。实际系统中,低电压保护装置的动作值多为0.6~0.7pu。为简化分析、避免触发低电压保护影响仿真结果,以低电压触发扰动同步攻击阈值为0.7pu为最小值,以0.05pu为步长,进行多组低电压阈值的攻击仿真。
4扰动同步协同攻击防护分析
中国电力行业高度重视电力系统网络安全防护,在技术和管理上已能有效管控一般性网络安全威胁和具有有限资源的有组织攻击的危害,但如何防护针对电力系统的国家支持型网络攻击,仍是亟待研究的难题。变电站监控系统的软、硬件以及安装调试都需要通过入网测试或安全威胁检测。国家支持型网络攻击拥有丰富的资源、高超的技能和必要的知识,不但可经供应链渠道在设备厂商环节在变电站监控系统植入恶意代码,还可能利用零日漏洞进行攻击破坏。
由于这种定向攻击恶意软件往往只在满足特定条件的前提下有限传播,侵入变电站后也可在领域知识支撑下以不造成明显网络异常的方式进行攻击破坏。在没有明显异常又没有特征代码的情况下,既有的入网安全性测试和网络安全威胁检测技术很难识别此类高隐蔽性的恶意软件。
防护国家支持型网络攻击的关键点在于异常行为的检测识别,而检测困难的症结在于难以准确判断对手攻击破坏的异常表现形式。由第节分析可知,可利用国家支持型网络攻击侵入变电站后会在判断系统运行环境满足预设逻辑时发起跳闸攻击的特点,通过设置满足无通信同步协同逻辑运行环境,来检测被测试监控系统中是否含有扰动同步逻辑的协同攻击恶意软件。
实际上,无通信攻击协同机制除了扰动同步以外,还可以利用变电站的卫星同步时间机制进行时间同步[30]。由于变电站监控软、硬件系统进行入网功能性试验时需要进行扰动条件下的测试,攻击方可能在扰动触发同步逻辑基础上附加时间逻辑以躲避检测。检测时可按以下步骤执行:1)构建与变电站自动化系统相同的运行环境,启动加载待检测的电力监控软、硬件系统。2)输入电网正常运行时的电气量后,调整系统时钟,使系统时钟每隔固定时间加速相同时间间隔,速遍历并触发攻击方可能设置的时间逻辑。
3)每次加快系统时间后,首先检测被测试软、硬件系统是否输出非预期的控制指令;若检测到其输出非预期控制指令,则可判断其中被植入时间逻辑炸弹,退出检测流程;否则,输入电网故障扰动时的电气量来触发扰动同步逻辑;若检测到有非预期控制指令输出,则可判断其被植入含有扰动同步机制的协同攻击恶意软件,终止测试。4)延续上述流程直至时间加速到设定的截止时间,终止测试。采用上述方法,从原理上可检测出变电站监控软、硬件系统中含有扰动同步协同攻击逻辑的恶意软件。
作者目前正根据上述思路研制相应无通信同步协同攻击检测系统。需要指出的是,所提方法是从底线思维出发、着眼于可导致大量变电站同时跳闸全停的网络攻击风险管控,只能检测采用无通信扰动协同机制的恶意软件,而不适用于针对单个变电站进行攻击破坏的恶意软件。因针对单个变电站的攻击破坏后果相对有限,所提方法仍可有效管控网络攻击变电站的总体风险水平。
5结语
国家支持型网络攻击可借助供应链等渠道渗透侵入变电站,在不产生明显异常的条件下基于先验知识进行跳闸攻击。针对此类高隐蔽性定向攻击的防护难题开展研究,主要内容包括:
1)分析指出国家支持型网络攻击可基于先验知识发起跳闸攻击,精确地跳开站内所有断路器、造成全站失压;为最大化攻击破坏后果,还可能以无通信扰动同步的方式,从多个变电站发起协同跳闸攻击以触发大停电事故。
2)基于IEEE39节点系统进行了低电压扰动为判据的扰动同步协同攻击的仿真分析。分析结果表明电网发生短路故障造成电压跌落时,故障点周边变电站的恶意软件在检测到电压跌落大于低电压阈值后将跳开全站断路器,扩大扰动强度并进一步触发其他变电站中潜伏的扰动同步恶意软件,以主动连锁跳闸的方式造成大停电。
3)低电压阈值设置对扰动同步协同攻击的攻击传播过程有一定影响。阈值较小时,初始故障后触发低电压阈值进行跳闸攻击的变电站较少,这些变电站跳闸全停后可能以每次影响周边少数几个变电站的形式形成多梯次的变电站连锁跳闸,最终造成大停电;阈值较大时,初始故障后会触发大量变电站中的恶意软件,并以更少的梯次、每次影响更多变电站的方式更快地触发各变电站中潜伏的扰动协同恶意软件。从最终结果上看,低电压阈值设置在一定范围内都能达到触发大停电的目的。
参考文献
[1]王宇,李俊娥,周亮,等.针对嵌入式终端安全威胁的电力工控系统自愈体系[J].电网技术,202044(9):35823594WANGYu,LIJune,ZHOULiang,etal.Aselfhealingarchitectureforpowerindustrialcontrolsystemsagainstsecuritythreatstoembeddedterminals[J].PowerSystemTechnology,202044(9):35823594(inChinese).
[2]秦博雅,刘东.电网信息物理系统分析与控制的研究进展与展望[J].中国电机工程学报,2020,40(18):58165827.QINBoya,LIUDong.Researchprogressandprospectsofanalysisandcontrolofpowergridcyberphysicalsystems[J].roc.ofCSEE,202,40(18):58165827(inChinese).
[3]王栋,陈传鹏,颜佳,等.新一代电力信息网络安全架构的思考[J].电力系统自动化,201640(2):11.WANGDong,CHENChuanpeng,YANJia,etal.Ponderinganewgenerationsecurityarchitecturemodelforpowerinformationnetwork[J].AutomationofElectricPowerSystems,201640(2):11(inChinese).
作者:王坤,苏盛,左剑,李鸿鑫,刘亮,王冬青,赵奕
转载请注明来自发表学术论文网:http://www.fbxslw.com/dzlw/27526.html