美国电网运营商如何建设黑客入侵预警系统？

2013年4月，加利福尼亚硅谷附近的一座变电站遭遇步枪攻击。此次事件迫使电网运营商开发出一款新型工具，不仅能够更好地检测到物理攻击活动，同时亦可通过种种细小线索发现黑客对电网设施安全漏洞的探测。

北美电网当中成千上万座变电站成为构建整个供电体系的重要节点，其接收来自发电厂传输线路的高压电能，经过降压之后经由本地分销网络为家庭及企业用户供电。尽管分布广泛，但电网运营商担心只要其中数座关键变电站遭受攻击，就有可能引发某一地区内的全面停电，甚至导致周边的主要城市陷入瘫痪。

电网运营商担心只要其中数座关键变电站遭受攻击，就有可能引发某一地区内的全面停电，甚至导致周边的主要城市陷入瘫痪。

事实上，《华尔街日报》早在2014年就曾经报道称，联邦能源管理委员会（简称FERC）在其保密报告中公布了一项惊人的发现：全美有三十座变电站在电网运营当中发挥着巨大作用; 只要攻陷其中九座，就有可能引发级联停电，甚至导致国家电网中断。

调查人员认为，2013年针对太平洋天然气与电力公司位于加利福尼亚州科约特市梅特卡夫变电站的步枪袭击背后，隐藏的也许正是这样的大规模破坏意图。该座变电站距离硅谷所在地圣何塞不远。在这起尚未解决的案件中，攻击者将电缆切断，而后开枪射击17台变压器，总计造成1500万美元损失。为了恢复供电，电力公司被迫在受损变电站周边重新布线，直到修复工作完成。

采取步枪射击的攻击方式，意味着犯罪分子必须与变电站保持足够近的距离。然而，对于电网运营商而言，更值得担心的可能是源自全球任何位置发起的网络攻击。

2015年12月针对乌克兰电网的网络攻击导致大规模电力中停，运营商当然不希望这类利用计算机网络破坏国家关键基础设施的重大事故再度上演。在乌克兰攻击期间，黑客关闭了来自三家电力分销企业的30座变电站，并在长达6小时内导致约23万名终端用户身陷寒冷与黑暗。

9/11事件之后，美国开始进行电网强化工作，且工作重心主要集中在控制中心与发电厂身上。

针对上述背景，美国能源部劳伦斯伯克利国家实验室的研究小组于今年早些时候完成了相关项目，旨在设计并构建一款能够检测到配电网络所遭遇的网络攻击与物理攻击的工具。

他们的工具历时三年开发完成，利用微型相量测量单元（简称μPMU）收集与配电网络物理状态相关的信息。将这些数据与SCADA（监控与数据采集）信息相结合，即可实时了解系统性能并就各类干扰状况（即使极为轻微）向电网运营商发出警报。

实验室发布“联姻”成果

电网运营商一般通过频率——例如北美的输电频率为60 Hz，欧洲则为50 Hz——对系统健康状况作出评估。同步器可以帮助运营人员通过测量电流中正弦波的大小与相位角来监测频率。此外，同步控制器在处理速度上要比全球电力网络中所常用的SCADA系统快上几个量级。只要安装在变电站等设施当中，同步器即可密切关注频率变化并针对值得关注的系统异常向运营人员发出警报。

伯克利实验室计算研究部门计算机科学家Sean Peisert解释称，他们开发出的威胁检测应用程序将安全工程与计算机安全加以结合。Peisert和他的团队目前与亚利桑那州立大学、电力标准实验室的各位同步相量测量装置先驱、电力研究院、软件供应商OSISoft以及Riverside Public Utilities and Southern公司等保持着密切的合作关系。

图片：电力标准实验室

立足于加州大学伯克利分校研发、美国能源部ARPA-E计划资助的项目研究成果，电力标准实验室开发出的µPMU专门用于提高配电网络层面的情境感知能力。

OSISoft公司客户创新与学术事务主管John Matranga表示，这次“联姻”非常重要。“Sean提出了将数据作为判断电网状态的关键因素的理念。”通过将来自控制系统的硬数据同用于描述电网运作状态的基本物理指标进行比较，运营商即可确定是否发生可疑事件。

举例来说，调查人员在研究2015年乌克兰电网攻击事件时获悉，一名或多名入侵者获取了设备控制权并借此悄悄寻找安全漏洞。而他们的入侵活动，早在正式对发电站开展攻击的数个月之前就已经开始。

伯克利实验室高级科学工程副教授Ciaran Roberts表示，这种“侦察攻击”可能涉及对设备的运行方式作出微小改变——例如阈值调整。为了应对这种探测威胁，新型检测工具将利用机器学习技术以提取系统的长期运营模式，并将其与实时SCADA数据进行比较。如此一来，异常状况将立刻显现出来; 而系统运营工程师则能够快速将结果交付至IT部门以指导更进一步的应对举措。

OSISoft公司安全主管Bryan Owen指出，自2001年9月11日恐怖袭击事件发生之后，电网强化工作就已经被提上议程。相关工作最初涉及控制中心与发电厂，并由联邦能源委员会（简称FERC）以及负责整体电网运行状况监督的北美电力可靠性公司提供指导。Owen同时强调，在梅特卡夫枪击事件之后，相关保障范围进一步扩展到变电站层面。

屋顶危机

伯克利实验室的研究团队亦在将其工作扩展到变电站之外——包括以屋顶太阳能电池板为代表的分布式发电装置。成千上万块太阳能电池板及其电子设备的存在很可能吸引到黑客入侵其电力逆变器，进而破坏所在地区的电网。这类攻击方法极易实现，攻击者往往会借助设备供应商发布的软件更新完成设备接入。

目前电力行业及政府机构正努力制定太阳能逆变器与电网间进行通信时的执行标准，而这实际上增加了发生攻击行为的可能性。

伯克利实验室研究员Daniel Arnold在项目发布期间表示，“正是这种标准化举措，才带来了新的漏洞。”

伯克利实验室将主导开发相关算法，通过发送相反信号来抵消恶意软件的攻击——其原理与降噪耳机比较相似。此类算法将有效抵御针对太阳能逆变器的攻击活动。

这一为期三年且耗资250万美元的项目已经于今年3月初开始正式部署，覆盖范围包括各行业合作伙伴、美国乡村电力合作协会以及萨拉门托市公共事业区域。

本文翻译自IEEE

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。