具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

本发明提出了一种评估电力监控系统网络攻击破坏力程度的方法，如图1所示，包括：

首先，基于网络攻击路径流程和行为难度，计算特定攻击代价下网络攻击事件概率。

之后，分析网络攻击事件对于电力一次设备运行控制的影响，开展网络攻击背景下的电力一次系统故障仿真计算分析，得到攻击事件导致的负荷损失量。

最后，基于攻击事件概率与电力一次系统负荷损失量，同时计及攻击影响的触发概率，对网络攻击事件的破坏力进行量化评估。

(1)求解网络攻击行为综合难度系数，如下：

结合网络攻击场景特点和分布式系统脆弱性评估方法，考虑采用层次分析法和逼近理想解排序法实现攻击行为难度量化分析，具体步骤如下：

1)构建网络攻击行为综合难度评估的层次结构模型；

网络攻击行为综合难度评估的层次结构模型由目标层、准则层、指标层和行为层共四个层级构成，如图2所示，其中，计算得到攻击行为综合难度系数是目标，单独成为目标层元素；与综合难度系统密切相关的攻击者技能以及攻击对象重要配置项，是确定难度系数的参考准则，共同形成了准则层元素；开展攻击者技能、攻击对象配置情况评估时需要获取的具体指标项，比如攻击者掌握的具体技能、攻击对象具体配置条件等，共同形成了指标层元素，为量化分析准则层元素提供依据；各项攻击行为形成了最底层的行为层元素，旨在说明每项攻击行为与指标层元素的攻击难度关系。

模型构建了网络攻击行为和与其关联的各项因素之间的整体关系，通过分层逐一分析，最终得到各项行为的综合难度系数指标。

2)构造判断矩阵；

针对准则层不同因素之间相互重要程度的比较情况，征求专家评分意见，并据此构造准则层对目标层的判断矩阵A(m+1阶)，其中A_ij表示指标i相对于指标j的重要程度。类似地，构造指标层对准则层中攻击者技能、攻击对象配置项1～配置项m的判断矩阵B0(n阶)、B1(p阶)、B2(q阶)、……、Bm(r阶)。

3)求取判断矩阵最大特征向量与一致性检验；

分别求取判断矩阵A、B0、B1、B2、……、Bm的最大特征值及其特征向量W_A、W_B0、W_B1、W_B2、……、W_Bm。由于判断矩阵是根据专家经验给出的判断，因此，不一致性在所难免，但不一致性需在一定范围内才可以被接受。一致性检验就是考察判断不一致程度的方法。一致性检验指标CI定义如下：

式中，n为判断矩阵的阶数，λ_max是最大特征值，当完全一致时，CI＝0。当不一致时，一般n越大，一致性也越差，故引入平均随机一致性指标RI和随机一致性比率CR：

平均随机一致性指标RI是通过随机构造n阶正互反矩阵来得到的，当取充分大的子样时，得到最大特征值平均值λ_ave，进而计算得到RI，每个阶数对应一个RI值。RI的引入在一定程度上克服了一致性检验指标CI随矩阵阶数增大而增大的弊端。在进行一致性判定时，如果随机一致性比率CR＜0.1，则认为不一致性可以被接受；若CR≥0.1，认为不一致性不能接受，需要修改判断矩阵。

4)计算指标层元素对于目标层元素的权重向量；

指标层元素对于目标层元素的权重向量为：

W＝[W_B0，W_B1，W_B2，……，W_Bm]×W_A (4)

5)构造行为层元素对于指标层元素的决策矩阵；

对s个行为的t个指标层元素构造决策矩阵C＝(c_ij)，其中t＝n+p+q+r，i＝1，2，……，s，j＝1，2，……，t，c_ij为第i个行为对于攻破第j项指标的难度赋值，难度越大则c_ij值越大。

对决策矩阵进行标准化，形成标准化矩阵D，其中：

6)构造加权标准化决策矩阵；

加权标准化决策矩阵Z_ij＝W_j×D_ij，其中W_j为W的第j个元素。

7)计算各行为的综合攻击难度系数；

根据逼近理想解排序法，计算正理想解Z+和负理想解Z-，其中：

各行为攻击难度系数与正、负理想解的距离为：

计算理想解贴近度，并结合决策矩阵中难度平均值，计算得到各行为的攻击综合难度系数：

其中，

8)求解攻击路径的攻击成功概率，如下：

参考可靠性计算方法，定义某次攻击行为成功概率函数为：

其中c为攻击者能够付出的等效攻击代价，C为实现攻击行为所需的等效攻击代价，P(c)越大，代表该行为成功的概率越高。

结合攻击路径图分析，当某条路径中包含的攻击行为数n≥2时，完成某次攻击路径全程的概率为：

(2)求解攻击事件导致的负荷损失量，如下：

分析网络攻击事件对于电力一次设备运行控制的影响，开展网络攻击背景下的电力一次系统故障仿真计算分析，得到攻击事件导致的负荷损失量L。

(3)求解网络攻击破坏力评价因子，如下：

考虑继电保护等相关攻击导致的一次系统故障属于隐性故障，故需计及攻击的影响触发概率。基于攻击事件概率P与电力一次系统负荷损失量L，同时计及攻击影响的触发概率，设定网络攻击破坏力评价因子计算公式如下：

A＝r×P×L (11)

其中，A代表网络攻击破坏力评价因子；r为影响触发概率(隐性故障0≤r≤1，非隐性故障r＝1)；P为二次系统攻击成功概率；L为一次系统负荷损失量。

以采用IEC 61850标准的某典型变电站监控系统为例，基于网络攻击路径分析，对特定配置条件下6条攻击路径所涉及的关键设备脆弱性威胁进行评估，梳理6条攻击路径中包含的攻击行为如表1所示：

表1

表格中标注的是设备具备的功能，对应于IEC 61850标准中的逻辑节点，设备是攻击对象，但其实攻破的是设备的功能，右边是攻击路径中包含的攻击行为编号，构建变电站监控系统网络攻击行为综合难度评估的层次结构模型如图3所示。

采用互反性1～9标度法，对比要素之间相互重要程度，构造准则层对目标层的判断矩阵A、指标层对准则层的判断矩阵B0～B4，计算最大特征值及对应的特征向量，并进行一致性检验。

构造判断矩阵时应充分对比各元素之间的重要程度，并根据衡量结果进行合理赋值，以判断矩阵A为例，通过充分征求专家意见，对攻击者技能、网络环境、目标对象等5个指标之间的重要程度对比情况进行赋值，比如A₁₁为攻击者技能指标与自身的衡量值为1(矩阵对角线元素为指标与自身衡量值均为1)，A₁₂为攻击者技能相对于网络环境的重要程度，假定认为在评估目标层元素时攻击者技能重要程度约为网络环境重要程度的3倍，则A₁₂取值为3；类似地，按照上述规则完成其余矩阵元素赋值。此外，为避免衡量过程中出现严重不一致现象，需对判断矩阵进行一致性检验。

计算结果如下所示：

λ_Amax＝5.0723

λ_B0max＝2.0

λ_B1max＝2.0

λ_B2max＝3.0092

λ_B3max＝3.0183

λ_B4max＝3.0183

针对上述矩阵进行一致性检验，根据统计计算结果，RI值如表2所示：

表2

一致性检验结果如表3所示，上述判断矩阵均通过一致性检验。

表3

计算可得指标层元素对于目标层元素的权重向量为：

W＝[0.0693 0.2079 0.0785 0.0393 0.1435 0.0790 0.2608 0.0099 0.01130.0260 0.0091 0.0238 0.0416]^T

构造行为层元素对于指标层元素的决策矩阵如下：

对决策矩阵进行标准化，形成标准化矩阵如下：

计算得到加权标准化决策矩阵如下：

正理想解Z+和负理想解Z-分别为：

Z⁺＝[0.0423 0.1085 0.0419 0.0187 0.0487 0.0276 0.1284 0.0047 0.00490.0122 0.0040 0.0103 0.0149]

Z^-＝[0.0106 0.0310 0.0105 0.0070 0.0348 0.0215 0.0482 0.0009 0.00140.0061 0.0020 0.0051 0.0085]

各行为攻击难度系数与正、负理想解的距离为：

d⁺＝[0.0871 0.0905 0.1120 0.0520 0.0976 0.0384 0.1010 0.0864 0.10880.0762 0.0606]

d^-＝[0.0405 0.0387 0.0164 0.0913 0.0278 0.0996 0.0344 0.0391 0.02070.0473 0.0686]

计算理想解贴近度，并结合决策矩阵中难度平均值，计算得到各行为的攻击综合难度系数如下：

DI＝[1.5141 1.2450 0.4215 3.0864 1.1072 4.7171 1.1132 1.4616 0.58911.6505 2.5722]

计算得到各攻击路径的攻击成功概率(假设攻击代价c＝1)，如表4所示：

表4

进一步，选取IEEE 39节点标准系统为例，电网结构如图4所示，开展网络攻击引发一次系统故障仿真分析，以我国某区域电网低频减载动作轮次配置为参考，配置如表5所示：

表5

考虑以下两类攻击场景：

(1)攻击场景一：攻击者入侵调度主站，利用远动工作站功能，对所辖变电站实施远方控制，恶意下发控制指令或修改继电保护定值，导致两个变电站同时停运。

假定37#、38#节点对应的两个变电站同时停运，由于此两站均为发电机组升压变压器，停运导致馈入系统的有功功率缺失约为1370MW。变电站停运导致系统母线频率最低降至48.4Hz，触发低频减载动作切除负荷共计1500MW，之后母线频率逐渐恢复至额定值附近，系统频率变化如图5所示。

上述攻击场景对应于变电站监控系统网络攻击路径3、4，其路径攻击成功概率分别为0.1520、0.1172，假定继电保护装置定值篡改后引发一次设备误动跳闸的触发概率是0.8，那么2条路径下网络攻击破坏力评价因子如表6所示：

表6

(2)攻击场景二：攻击者入侵变电站监控系统，恶意下发控制指令或修改继电保护定值，导致一个变电站停运。

假定38#节点对应的变电站停运，导致馈入系统的有功功率缺失约为830MW，变电站停运导致系统母线频率最低降至48.8Hz，触发低频减载动作切除负荷共计738MW，之后母线频率逐渐恢复至额定值附近，系统频率变化如图6所示。

上述攻击场景对应于变电站监控系统网络攻击路径1、2、5、6，其路径攻击成功概率分别为0.3204、0.1771、0.2363、0.1751。类似地，假定继电保护装置定值篡改后引发一次设备误动跳闸的触发概率是0.8，那么4条路径下网络攻击破坏力评价因子如表7所示：

表7

对本案例中变电站监控系统网络攻击场景的破坏力进行统计，如表8所示：

表8

由表8可知，总体对比来看，变电站监控主机入侵导致停运对应的攻击路径成功概率最高，虽然单个变电站停运造成的切负荷影响小，但综合分析可知该路径破坏力评价因子最大；调度主站远方下发指令导致两个变电站同时停运对应的攻击路径成功概率较低，造成的切负荷影响大，综合分析可知该路径破坏力评价因子次之；保护装置入侵导致单个变电站停运对应的攻击路径成功概率居中，造成的切负荷影响小，同时存在影响触发概率小于1，综合分析可知该路径破坏力评价因子最小。上述即为采用本方法实现网络攻击破坏力影响量化评估的实施案例。

本发明还提出了一种评估电力监控系统网络攻击破坏力程度的系统200，如图7所示，包括：

概率计算单元201，针对电力监控系统，确定网络攻击行为路径，根据网络攻击行为路径，确定网络攻击行为难度系数，根据网络攻击行为难度系数，确定特定攻击代价下，网络攻击的成功概率；

故障模拟单元202，确定网络攻击行为导致电力系统的负荷损失量；

评估单元203，确定网络攻击行为的影响概率，根据负荷损失量、网络攻击的成功概率及影响概率，确定电力监控系统的网络攻击破坏力程度。

其中，确定网络攻击行为难度系数，包括：

根据网络攻击路径，构建用于网络攻击行为难度评估的层次结构模型，所述层次结构模型包括：目标层、准则层、指标层和行为层；

确定准则层中不同因素之间的相互重要程度，构建准则层对目标层的判断矩阵；

确定指标层中不同因素之间的相互重要程度，构建指标层对准则层的判断矩阵；

获取判断矩阵的最大特征值及其特征向量，并对判断矩阵进行一致性校验；

若通过一致性校验，根据最大特征向量确定指标层元素对于目标层元素的权重向量；

建立行为层元素对于指标层元素的决策矩阵；

根据决策矩阵及指标层元素对于目标层元素的权重向量，建立加权标准化决策矩阵；

通过加权标准化决策矩阵确定网络攻击行为难度系数。

其中，层次结构模型，以计算网络攻击行为难度系数作为目标元素，建立目标层；以网络攻击行为的攻击者技能及攻击对象的重要配置项，作为参考准则元素，建立准则层；针对攻击者技能及攻击对象配置情况的评估指标元素，建立指标层；以网络攻击行为的各项行为作为行为元素，建立行为层。

其中，网络攻击的成功概率的确定，包括：根据可靠性计算方法及网络攻击行为难度系数，确定任意一次网络攻击行为的成功概率函数，根据成功概率函数，确定网络攻击的成功概率。

其中，负荷损失量，根据电力系统故障仿真计算获取。

本发明在特定攻击者技能与攻击代价、特定电力监控系统配置情况下，兼顾考虑了电力监控系统网络攻击事件概率与电力一次系统运行影响，实现了关联电力一次系统运行后果的网络攻击事件破坏力综合评价，为准确评估电力监控系统网络攻击破坏力程度提供技术参考。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言Java和直译式脚本语言JavaScript等。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。