基于Smart Grid的攻击智能捕获系统

摘要

基于Smart？Grid的攻击智能捕获系统，包括：电网潮流计算中心、SCADA子系统、Web展示子系统和审计与捕获子系统，电网潮流计算中心含有电网模型和运算程序，模拟真实电网运行，SCADA子系统模拟真实电网中的智能电表和执行器件，Web展示子系统展示模拟电网各个节点的状态和控制信息，审计与捕获子系统监视系统所用到的所有端口，本发明融合智能电网与网络安全技术，与真实电网具备相同的架构、部件和网络交互界面，可实时计算电网状态，在电网数据产生改变时做出正确响应，当攻击者入侵时，自动做出与真实电网相同的回应，以符合攻击者预期，诱骗其进行下一步攻击，暴露真正攻击目的和完整攻击手法，最终捕获攻击者的所有行为。

说明书

技术领域

本发明属于智能电网安全技术领域，特别涉及一种基于SmartGrid的攻 击智能捕获系统。

背景技术

智能电网(SmartGrid)系统是重要的工业控制系统，也是国家“两化” 战略的重点，但是智能电网存在许多安全漏洞，随时可能被攻击者入侵。

工业控制系统面临的首要威胁是来自网络的恶意代码攻击。工业控制系 统大量采用通用协议、通用硬件和通用软件，使用TCP/IP协议与互联网连接， 这给恶意代码的扩散提供了充分的便利条件，使得工业控制系统的安全问题 日益严峻。“震网”(Stuxnet)事件之所以会造成伊朗核电站的重大损失， 就是由于当前对于这类攻击的认识不足，不能及时发现恶意代码。一旦恶意 代码在系统中长时间运行，就有可能会导致整个系统被攻击者控制，必将造 成严重后果。如2009年我国西北地区某发电站就曾被攻击者入侵，管理者对 此攻击毫无察觉，以至于攻击者完全获取系统控制权，远程关闭发电机组， 造成重大经济损失。

工业控制系统还面临着违法分子的人为篡改数据攻击。现已证实，攻击 者可以对SmartMeter(智能电表)进行攻击，获取智能电表的权限，篡改其 寄存器中的数据，使得电网调度中心从智能电表获取了虚假的用电量数据， 导致调度系统对电网状态产生错误的估计，影响后续的电力调度策略，破坏 电网的正常运转。

为了应对网络攻击，提高我国智能电网系统的安全性，保护人民生命财 产安全和国家战略安全，急需一套有效的保护方案。传统的保护方法是更换 电网系统中的软硬件，减少系统中的漏洞，但是这种保护方法带有明显的弊 端，即滞后性和脆弱性，只有当电网被攻击并造成了损失后，管理者才能发 现网络攻击的存在，于是只能被动地更换设备，却不能掌握攻击者的攻击路 径、攻击手法、攻击工具和所利用的漏洞，无法对症下药，无法彻底避免攻 击者再次入侵，从而陷入到“被攻击——更换设备——被攻击”的恶性循环 中。单纯寄希望于通过更换设备来弥补系统的漏洞，从而阻止攻击者的入侵 是不现实的，更加合理有效的保护策略在于及时发现攻击者，尤其是了解攻 击者的攻击路径和攻击手法。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种基于Smart Grid的攻击智能捕获系统(ITCSSG，IntelligentTrickandCaptureSystemof SmartGrid)，融合智能电网与网络安全技术，将工业安全与信息安全结合起 来，该系统与真实智能电网相比，具备相同的架构、相同的部件和相同的网 络交互界面，可以实时计算电网状态，当发电、输电、配电、用电数据产生 改变时自动做出正确响应，当攻击者进行入侵时，ITCSSG系统会根据攻击 者所输入的攻击数据，按照电网模型，进行智能计算，自动做出与真实电网 相同的回应，以符合攻击者的预期，诱骗攻击者不断进行下一步攻击，暴露 其真正的攻击目的和完整的攻击手法，ITCSSG系统还配有审计与捕获子系 统，能够监视和捕获攻击者的所有行为。

为了实现上述目的，本发明采用的技术方案是：

基于SmartGrid的攻击智能捕获系统，包括：

电网潮流计算中心，包括电网模型和运算程序，参照或直接采用真实电 网的控制系统中所使用的物理参数，电网模型包含若干用电节点和发电节点， 用电节点以某电网某一段时间内不同时刻的用电量数据作为基础输入，模拟 真实电网的用户电量消耗；发电节点根据控制命令改变其发电量，模拟真实 电网的发电厂；

SCADA子系统，包括控制中心以及分布在每个节点上的模拟传感器 (Sensor)和模拟执行器(Actuator)，模拟传感器模拟真实电网中的智能电 表，获取节点的物理参数数据并存在寄存器中，当控制中心需要某节点的数 据时，向相应节点的模拟传感器发送命令，该模拟传感器回复相应数据；模 拟执行器模拟真实电网中的执行器件，当控制中心向模拟智能发送命令时， 该模拟智能完成指定操作；所述电网潮流计算中心和SCADA子系统构成模 拟电网；

Web展示子系统，用于展示模拟电网各个节点的状态和控制信息，与 SCADA子系统的控制中心交互，从控制中心获取当前时刻的电网状态；在 系统受到攻击时，根据电网潮流计算中心的计算结果，实时显示被攻击后的 电网状态，以符合攻击者的预期目标；

审计与捕获子系统，监视系统所用到的所有端口，捕获这些端口的所有 互联网访问数据包。

所述电网潮流计算中心参照或直接采用真实电网的控制系统中所使用的 物理参数至少包括：电压等级、相角、有功功率以及无功功率。

所述电网模型中，用电节点64个，发电节点54个，共118个节点，将 这118个节点按照IEEE标准模型生成电网结构拓扑图，作为电网模型的主 要框架。

具体地，可直接调用Matlab的开源工具箱Matpower中的方法进行潮流 计算，实时获取并更新所有节点和线路的状态，保证用电节点和发电节点之 间电量的动态平衡，确保电网稳定运行，其中：

节点包括用电节点和发电节点，用电节点的状态包括是否运行、有功输 入、无功输入、电压相角以及电压幅值；发电节点的状态包括是否运行、有 功输出、无功输出、电压相角以及电压幅值；线路状态包括支路首端的有功 输入、支路首端的无功输入、支路末端的有功输入以及支路末端的无功输入。

具体地，可使用开源工具箱Matpower中的runpf()方法进行潮流计算， 该方法的输入是一个.m文件，.m文件与Matpower中casex.m文件的格式及 包含的信息相同，为runpf()方法提供模拟电网的基本信息作为输入，casex.m 文件中的信息主要包括用电节点的需求功率、电压等级，发电节点的额定功 率、最大最小输出功率，线路的电压等级、阻抗，其中x为模拟电网的节点 数，该方法的输出结果是各个用电节点分配的功率、发电节点的输出功率与 线路上的电压。可按照自身需求改变其中的具体数据。

电网潮流计算中心周期性计算模拟电网当前状态，所述模拟电网的状态 包括用电节点的状态、发电节点的状态以及连接各个节点的线路状态。

所述电网潮流计算中心采用Matpower计算电网模型的潮流方程，电网 潮流计算中心包括如下四个模块：

节点进程模块，即为TCP/Modbus协议服务端，每个节点分配独立IP， 监听502端口，通过不断更新节点的电力数据，模拟出真实电网中用电端和 发电站的行为，节点接受到访问数据时首先判断是否为符合要求的请求 (ASK)，所有请求均采用Modbus协议，节点进程模块的参数由计算进程 模块得到；

传感器进程模块，将节点的数据上传到计算进程模块；

执行器进程模块，执行计算进程模块的命令；

计算进程模块，以节点通过传感器进程模块上传的数据为参数，用 Matpower计算电网潮流并将计算结果下发作为电网下一时刻状态。其计算方 法为：首先将各个节点的数据收集并记录成casex.m文件，然后调用Matpower 中的runpf()方法计算出电网的潮流方程，最后将结果下发给各个节点，节点 自动更新数据，从而模拟出真实电网的工作过程，计算中心每隔3秒会重新 进行计算进程操作，以达到实时更新的效果。

所述Web展示子系统中，将电网模型的节点部署在地图上，在主界面上 显示，管理者在Web界面观察模拟电网的状态，或者在Web端控制模拟电 网的运行；用户的指令通过Web端发送给SCADA子系统的控制中心，并从 控制中心获取当前时刻的电网状态，从而在Web界面显示出电网的实时状 态。

在系统受到攻击时，某些节点的参数因攻击行为而改变，在电网潮流计 算中心的计算结果上反映为节点或线路的数值发生明显突变，从而判断出此 时电网状态是否异常，并将结果发送给Web界面，Web界面实时显示被攻击 后的电网状态。

所述审计与捕获子系统记录下攻击者对系统进行的每一步操作，包括 Web端的控制命令以及远程登录Sensor，以此判断攻击者是从哪些途径寻找 系统漏洞并进行攻击。

与现有技术相比，本发明的有益效果是：

1、融合网络安全技术与工业控制系统，实现工业控制系统攻击行为的提 前预警。

本申请把网络安全技术应用于工业控制系统的安全保护中，突破了传统 工业控制系统只能被动防御的不利局面。工业控制系统受到攻击后反应较慢， 往往只能在遭受损失后，被动更新设备或者重装系统，很难彻底完全掌握攻 击者的攻击路径、攻击手法、攻击工具和所利用的漏洞，无法对症下药，无 法彻底避免攻击者再次入侵，从而陷入到“被攻击——更换设备——被攻击” 的恶性循环中。在ITCSSG系统的帮助下，管理者可以主动获取攻击者的入 侵策略，获得攻击预警，掌握攻击者攻击路径和所利用的漏洞，提前做好保 护措施，避免可能遭受到的攻击。

2、模拟和伪装智能电网，实现网络攻击者的诱骗和捕获。

ITCSSG系统把智能电网特性与互联网特性进行了深度融合，挖掘智能 电网的运行原理，采用计算机技术对智能电网进行了模拟和仿真，尤其是对 智能电网的网络特性进行了深入伪装。智能电网的一个显著特征是“使用了大 量具备网络功能传感器和执行器”，因此只要模拟出这些设备的网络交互指 令和UI界面，对于访问ITCSSG系统的人来说，就难以发现访问该系统与访 问真实的智能电网系统的差别。对于网络攻击者而言，由于ITCSSG系统与 真实的智能电网在网络形式上的表现完全一致，攻击者无法从与ITCSSG系 统的网络交互行为中识别ITCSSG系统的真伪。另外，ITCSSG系统严格按 照智能电网的运行原理运行，对攻击者的操作可以做出与真实智能电网一样 的响应，符合攻击者的预期目标，进一步诱骗攻击者实施攻击行为。在此基 础上，ITCSSG系统实时捕获攻击者进入系统中某个节点之后的所有后续操 作，实时记录注册表、文件系统的变化，通过审计攻击数据，分析攻击路径， 完成了诱骗和捕获攻击者恶意行为的最终目标。

3、发挥计算机技术的优势，实现系统的快速部署和升级扩充。

ITCSSG系统系统充分发挥了计算机技术的优势，无需实际部署大量智 能电表、发电机等电气设备，仅依靠服务器，就可以实现对一个省级地区电 网的模拟运行，诱骗攻击者发起攻击，从而捕获针对智能电网的真实攻击。 通过改变智能电表、SCADA系统的IP及部分参数，ITCSSG系统的规模可 以任意扩大，甚至可以模仿其他工业控制系统的行为，搭建成针对其他工业 控制系统的诱骗与捕获系统。因此，借助于计算机技术的优势，ITCSSG系 统可以实现快速部署和升级扩充。

附图说明

图1为本发明系统整体结构图。

图2为本发明潮流计算中心计算进程流程图。

图3为本发明潮流计算中心节点进程流程图。

图4为本发明潮流计算中心传感器进程流程图。

图5为本发明潮流计算中心执行器进程流程图。

图6为本发明数据采集与监视控制系统结构图。

图7为本发明智能电表(Sensor)功能图。

具体实施方式

下面结合附图和实施例详细说明本发明的实施方式。

如图1所示，ITCSSG系统由四个子系统组成，分别是SCADA子系统，电 网潮流计算中心，审计与捕获子系统和Web展示子系统。

首先需要模拟真实电网，主要包含两部分：电网潮流计算中心和SCADA 子系统。电网潮流计算中心包括电网模型和运算程序，参照真实电网的控制 系统中所使用的物理参数，包括电压等级、相角、有功功率、无功功率等。 电网模型包含118个节点，分为64个用电节点和54个发电节点，其中用电 节点以某电网某一段时间内不同时刻的用电量数据作为基础输入，模拟真实 电网的用户电量消耗；发电节点接受潮流计算中心的控制命令改变其发电量， 模拟真实电网的发电厂；将这118个节点按照IEEE标准模型生成电网结构拓 扑图。运算程序采用Matpower工具，计算电网模型的潮流方程。SCADA子系 统包括控制中心以及分布在每个节点上的模拟传感器(Sensor)和模拟执行 器(Actuator)，通过代码实现每个模拟设备的接收数据及发送数据功能。 SCADA子系统的控制中心主要完成数据和命令转发工作；Sensor在智能电网 中即为智能电表，作用是获取节点的物理参数数据并存在寄存器中，当控制 中心需要某节点的数据时会向相应节点的Sensor发送命令，后者回复相应数 据；Actuator是电网中的执行器件，当控制中心向Actuator发送命令时， 后者完成指定操作。

其次，Web展示子系统用于展示电网各个节点的状态和控制信息。电网 中的节点部署在地图上，在主界面上显示，管理者可以在Web界面观察电网 状态，或者在Web端控制电网运行。Web端会将用户的指令发送给SCADA控 制中心，SCADA子系统的控制中心将指令转发给Actuator或Sensor，之后 Web端从控制中心获取当前时刻的电网状态，这样Web界面显示出电网的实 时状态。如果系统被入侵，攻击者可能会改变某些节点的参数，ITCSSG系统 会及时通过计算电网的理论状态(即潮流计算的结果)判断出此时电网状态 是否异常，将结果发送给Web界面，Web界面实时显示被攻击后的电网状态， 符合攻击者的预期目标。

最后，为了记录下攻击者的攻击行为，捕获攻击者使用的恶意代码，分 析出攻击者的攻击策略，由此需要审计与捕获子系统。审计与捕获子系统监 视ITCSSG系统所用到的所有端口，捕获这些端口的所有互联网访问数据包。 审计与捕获子系统会记录下攻击者对ITCSSG系统进行的每一步操作，包括 Web端的控制命令、远程登录Sensor等，以此判断攻击者是从哪些途径寻找 系统漏洞并进行攻击。通过分析捕获到的这些数据可以得出攻击者的攻击策 略，发出预警，有计划地制定保护策略。

本发明中各个子系统的详细介绍如下：

1、电网潮流计算

主要实现电网模拟功能，该功能是本系统的基础。需要让模拟的电网具 有与真实电网相似的行为，如节点的开断，电网潮流的变化等等，以达到引 诱黑客的目的。

本发明选择Matpower来计算电网潮流，以模拟整个电网的行为。

电网潮流计算中心具体分为4个模块：

表1：电网潮流计算中心功能介绍

需要注意：潮流计算中心中的传感器进程和执行器进程与SCADA子系统 中的Sensor传感器和Actuator执行器是不同的。由于潮流计算中心中的每 个节点程序都是独立的，因此计算进程必须通过节点上的传感器进程和执行 器进程来完成数据传输工作，它们都只在系统内进行通信；而SCADA子系统 中的Sensor传感器和Actuator执行器是面向互联网的，并且具有模拟的用 户交互界面，伪装成真实的电网设备。为避免混淆，本文在描述SCADA子系 统中的传感器和执行器时使用英文的Sensor和Actuator。

Matpower是基于Matlab的电力系统潮流和最优潮流计算数据包，该数 据包可以根据电路参数计算出最优潮流。电网模型就是根据用电规律改变电 路参数，然后根据计算出的最优潮流改变发电节点参数，从而达到仿真整个 电网模型的目的。

计算进程运行流程如图2所示。计算进程首先通过TCP/Modbus协议向各 个节点的传感器进程发送请求(ASK)；收集节点数据，将各个节点的数据收 集并记录成casex.m文件；然后计算中心调用Matpower中的runpf()方法得 出电网的实时潮流；通过TCP/Modbus协议将结果下发给各个节点的执行器进 程，节点自动更新数据。该流程每隔3秒重新进行。

节点进程运行流程如图3所示，因为需要模拟智能电网系统，故所有请 求都采用工业控制系统中常用的Modbus协议，故节点进程相当于TCP/Modbus 协议服务端。节点进程可以接受SCADA子系统中Sensor的命令，上传节点数 据，或接受Actuator的命令，改变节点的数据和状态。每个节点进程分配独 立IP，监听502端口。节点接受到访问数据时首先判断是否为符合要求的请 求(ASK)。对合法请求进行响应，修改节点数据。

下面两个进程与节点进程原理相似，但只执行发送数据或执行命令其中 一种功能。

潮流计算中心的传感器进程，运行流程如图4。当计算中心将命令发送 给传感器进程时，传感器进程会按照命令将指定数据返回给计算中心。

潮流计算中心的执行器进程，运行流程如图5。当计算中心将命令发送 给执行器进程时，执行器进程会按照命令完成指定操作。

2、数据采集与监视控制

主要功能是通过及时响应攻击者进行的攻击改变电网的状态，以诱骗攻 击者继续深入攻击，获取更多攻击行为和恶意代码。通过模拟智能电表， Sensor传感器对电网设备节点数据的进行采集，Actuator执行器对电网设备 进行控制。SCADA数据采集与监视控制系统收集从Sensor采集到的数据，进 行监控，通过向Actuator执行器发送命令控制电网。

智能电表为所有仪器的控制台，仪器的基础框架，实现控制台，命令处 理，远程控制，模拟系统。本发明中智能电表需要达到的功能如图7。

执行器部分(控制物理节点)通过控制中心发送请求或者远程登录机制 实现对物理节点的控制，可进行开关机、重启和修改部分参数等操作。

传感器部分从物理节点获取数据，并向控制中心传送数据，可通过远程 登录查看数据。

SCADA子系统从Sensor获取数据,并把数据存入数据库中，把接收到的 数据push到web端，向物理节点下达控制命令以达到控制电网的作用。

3、审计与捕获

主要功能是实时审查被攻击后的电网状态，捕获攻击者的行为及恶意代 码，是ITCSSG系统的主要目的。通过开放电网设备的特定端口，达到工业设 备让外部可见的目的，引导黑客入侵攻击电网设备。当系统被入侵，该子系 统可以及时发现入侵行为，实时捕获从攻击者开始访问系统中某个节点开始 及后续进行的所有操作，实时记录注册表、文件系统的变化，确保攻击行为 和恶意代码的及时捕获。

4、Web展示

本系统为管理员提供了一个查看与控制操作的接口，在地图上实时显示 电网状态、参数及攻击行为信息。管理员可通过界面直接对电网内的节点或 线路进行通断的控制。当攻击者入侵并篡改数据时，Web界面能发出报警， 在地图上展示攻击造成的影响，让管理员直观的了解系统现状。

当有攻击者对电网进行操作时，例如通过远程登录和Web端进入SCADA 控制中心、下达关闭节点指令，SCADA控制中心会向该节点的执行器发送关 机命令，电网潮流计算中心重新计算电网当前状态，做出异常判断，将异常 节点标注出来，各节点通过传感器将新的状态数据发送给SCADA控制中心， Web端实时刷新数据，并在地图上显示当前的电网状态，使得攻击者看到所 预期的电网状态。诱骗其继续发起攻击。审计与捕获子系统对该攻击者网络 操作数据和SCADA控制中心运行数据进行实时审计，提取攻击者的入侵行为 和关闭节点行为，并上报管理员。

当攻击者通过互联网发现本系统后，他的一切行为都已经在审计与捕获 子系统的监视之下。攻击者可以直接访问Web显示界面，也可以远程登录 Sensor和Actuator(若攻击者已成功入侵)。如果攻击者通过Web界面改变 了电网中节点的数据，Web界面会向SCADA控制中心发送控制命令，SCADA 控制中心通过Actuator改变相应节点的数据，潮流计算中心实时计算出最新 电网状态，并下发到每个节点。当Web界面刷新时，会向SCADA控制中心发 送查询节点数据的请求，之后SCADA控制中心通过Sensor读取节点数据，将 其发送给Web界面，Web界面实时显示被攻击后的电网状态。此时攻击者无 论是查看Web界面还是登录Sensor，都将获取受其攻击影响而产生改变的电 网状态，让其误以为自己成功入侵了一个智能电网，诱使其进行更深入的攻 击。若攻击者直接攻击Actuator或Sensor，则跳过由SCADA控制中心向 Actuator发送控制命令的步骤，潮流计算中心依照被攻击后的数据实时计算 电网状态，Web界面刷新时即可显示最新电网状态。

ITCSSG系统不仅可以检测到针对工业控制系统的网络攻击，还能捕获攻 击者的行为和恶意代码，获取攻击者的情报。这些信息可以帮助相关部门采 取有效措施阻止可能到来的网络攻击，也可以帮助公安部门提前发现企图进 行攻击的攻击者。

综上，本发明按照“捕获攻击，诱骗响应，审计提取”的技术思路，即 以捕获针对智能电网的攻击和恶意代码为核心目标，诱骗攻击者发起攻击， 根据攻击者的攻击方式，及时响应，促使其不断进行攻击，展现其攻击目的， 实时审计攻击者的攻击数据，快速提取其攻击行为。该系统按照与智能电网 相同的结构、相同的部件和相同的网络交互界面，完成了电网状态计算，电 网数据传输和电网操作响应功能，可以模拟一个智能电网完整的运行调度过 程，使攻击者误认为这是一个真实的智能电网，以诱骗攻击者不断进行攻击。

本发明ITCSSG系统采用IEEE标准模型生成118个节点的电网结构拓 扑图，以我国某电网某一段时间内不同时刻的实际用电量数据作为基础，选 择64个节点作为用电节点模拟真实电网的用户电量消耗，选择54个节点作 为发电节点模拟真实电网的发电厂，采用Matpower工具实时计算和更新所 有节点的状态，保证用电节点和发电节点之间电量的动态平衡，确保电网稳 定运行。每个发电节点和用电节点都配有传感器和执行器，传感器的作用是 获取该节点或线路的信息(如功率、电压等)并上传给SCADA(数据采集 与监控系统)控制中心，SCADA控制中心将接收到的数据通过Web端的地 图展现给用户，同时接受用户的指令下达给执行器，执行器完成开启、关闭 节点等操作，节点状态随之发生改变。电网潮流计算中心周期性(间隔为3 秒)计算电网当前状态。由于各个节点的需求用电量和发电量取自确定的数 据文件，计算中心通过Matpower求出的电网理论状态也是确定的，因此无 论攻击者修改电网中的哪一项参数，ITCSSG系统都可以及时判断电网状态 是否异常。SCADA控制中心通过传感器获取新的电网状态数据，Web端按 一定时间间隔向SCADA控制中心发送请求，更新电网节点和线路的数据， 符合攻击者的预期目标，诱骗其继续进行深入的攻击行为。审计与捕获子系 统实时记录攻击者的所有操作行为，捕获与互联网交互的流量包并存入数据 库，对用户的攻击数据进行审计，提取其攻击行为。

本发明ITCSSG系统专门诱骗并捕获针对智能电网的攻击者，获取攻击 者的攻击行为和恶意代码，挖掘出其入侵路径，通过获取到的信息分析其利 用的系统漏洞和控制系统的方法，以此为基础实施针对性强的保护策略，在 真实系统被入侵之前发出预警，提醒相关部门做好防护措施。这种方案是主 动获取攻击者的信息，针对攻击者的特性做出保护策略，比单纯更换设备更 可靠，更易维护，更加迅速，更能彻底解决“被攻击——更换设备——被攻 击”的恶性循环问题，有效保护系统安全。