智能电网攻击：电力供应中断和恶意电力生成

智能电网攻击：电力供应中断和恶意电力生成

Attacks on smart grid: power supply interruption and malicious power generation

申明
版权归原文作者及出版单位所有，如有侵权请联系删除。

摘要

电力供应是制造业、医疗保健、建筑管理、水务分配和交通系统等多个领域的重要组成部分。因此，电力中断可能会对住宅或商业生态系统的整体运行产生不良影响。电力供应中断攻击的严重影响已在近期的网络安全事件中得以认识，比如乌克兰的断电事件。最近的事件也表明，网络和漏洞处理对于对运行产生不良影响的对手来说至关重要。本文报告了一项关于电力供应中断和恶意电力生成攻击的研究，重点关注了处理和网络漏洞。研究分为两个步骤进行：首先，在一个完全运行的电力测试平台上进行了漏洞评估。接下来，利用发现的漏洞执行了不同类型的电力供应中断攻击和恶意电力生成攻击。这些攻击使用了控制代码修改和SMA，一个光伏转换器制造商，以及门户操纵来执行。本文报告的这些攻击对于研究人员和智能电网运营商设计和开发有效的保护、检测和响应机制具有实用价值。

关键词 重要基础设施 · 物联网 · 智能电网安全 · 工业控制系统 · 网络攻击 · SCADA安全 · 电力中断攻击 · 恶意电力生成

1.引言

一个物联网系统（CPS）[30]由一个计算和通信基础设施控制的物理过程组成。CPS已经在现代生活中无处不在，例如，利用软件控制汽车、飞机，甚至关键的公共基础设施，如水处理厂和铁路。CPS通常是一个复杂的工程系统，将嵌入式计算技术集成到物理现象中。例如，在能量存储系统（ESS）中，可编程逻辑控制器（PLC）/嵌入式控制器可以在能量过剩时启动ESS的充电过程。然而，当ESS达到预定的电荷状态（SOC）限制时，必须停止充电过程。ESS的SOC通常由PLC使用各种传感器，如电压、电流和温度，计算出来。CPS中的PLC/控制器可以被视为一个转换过程状态的系统。在任何时刻，PLC从传感器接收数据，计算控制动作，并将这些动作应用于特定的设备。在ESS中，执行器包括双向功率电子变换器和断路器，而传感器包括电压、电流和温度传感器。

电力系统和智能电网通常分布在不同地理位置，并需要智能控制来运行。自动化增加了系统对网络攻击的脆弱性[6,33]。许多政府机构，如国土安全部和ICS-CERT，曾报告[23]对电力系统的攻击。研究人员正在调查智能电网安全方面的当前和未来挑战[38]，并关注智能电网系统中网络安全的重要性。要实现智能电网场景的电网现代化，只有在网络安全的角度来看，整个系统的安全性得到满足[56]。世界各地正在进行利用实时数字模拟器[20]的研究工作。然而，就已开发的技术的实施/转化而言，评估物理测试平台[4,12]中的防御机制非常重要。

研究工作的需要在理论和实际的工业级系统之间的固有差异，激励我们研究基于现代工业标准开发的物理智能电网系统的安全性，并为现有工作做出贡献。这项工作试图识别因智能电网领域的标准操作程序而可能被忽视的常见漏洞。需要注意的是，在网络安全领域众所周知的漏洞在CPS环境中可能被忽视，因为升级过程通常不太频繁。因此，评估网络攻击的影响并在测试平台上进行演示非常重要。

贡献：(a) 对电力与智能控制（EPIC）测试平台中漏洞的实验性调查。 (b) 使用多种方法设计和发起攻击。（c)分析攻击对EPIC的影响。

新颖性：文献中报告的攻击主要集中在传输系统、线路损失可能对剩余线路和发电机产生不良负载、自动发电控制器（AGC）[31,39]等方面。对于比高度安全的传输系统更容易受攻击的分布系统或个别组件，很少受到关注。例如，据我们所知，通过普通家用个人电脑（PC）对常用可再生能源逆变器进行攻击的可能性在文献中没有报道。本文展示了这种被忽视的常见漏洞可以有效地用于攻击智能电网，特别是具有多个能源来源的分布系统。

此外，对于对运行产生影响的对手来说，必须具备网络和过程漏洞。如果缺乏其中任何一个，攻击对攻击者没有好处。例如，流行的Stuxnet [29]之所以成功，是因为加速导致了离心机的降级；如果加速不会导致机器降级，攻击就会变成无害的入侵。在本文中，我们调查了网络和过程漏洞，以设计攻击。需要注意的是，网络漏洞可能是已报告的CVE（通用漏洞和暴露）或从未报告过的0-day漏洞。

组织本文的其余部分如下所述：第2节讨论了预备知识和背景细节。攻击设计在第3节中描述。第4节介绍了EPIC的架构——一个工业级智能电网测试平台。第5节详细介绍了EPIC中的漏洞。第6和第7节介绍了对断路器和电力设置的攻击。第8节介绍了恶意发电攻击。第9节讨论了实验和已报告攻击的分析。相关工作和结论分别在第10和第11节中讨论。

2.预备知识与背景

本节介绍了研究问题所在的背景，智能电网环境，以及在PLC中修改控制逻辑和如何利用PLC逻辑操纵、修改SMA门户设置、修改通信通道和在工业控制系统（ICS）中发起攻击的可能性。

2.1 问题背景

电力供应对于许多领域的有效运作至关重要，如制造业、医疗保健、建筑管理和水务系统。此外，交通网络的主要部分已经电气化，例如在地铁系统中或正在电气化的过程中，例如电动汽车 [65]。因此，电力供应中断将对任何住宅、工业和商业生态系统的整体运作产生危险影响 [60]。电力供应中断攻击的影响已经在最近的网络安全事件中得以认识，比如乌克兰电力停电 [33]，影响了超过20万名平民。电力供应中断对工业部门的经济影响可以从发展中国家的定期停电过程中得出关联 [3,9]。尽管这些中断不是由于网络攻击引起的，但预计其影响会相似，如果不是更大的话。

当电力供应中断影响到医疗保健部门时，攻击可能会更加致命，因为大多数医疗设备以及药物存储通常需要不间断的电力供应 [19]。其他部门，如水务分配、交通和通信，也依赖于电力供应的可用性 [54]。鉴于中断电力供应的能力，攻击者可以进行导致重大停电的攻击，例如乌克兰电力停电 [33]，也可以针对个别组织进行攻击。例如，对金融部门提供服务的数据中心 [24]进行电力供应中断攻击可能会在金融和商业部门造成混乱 [54]。

对单个高层住宅楼的简单电力供应中断攻击可能会影响居民的用水供应（顶层水泵的运行需要电力）、通信等。这种简单的电力供应中断将导致单栋建筑的公用事业公司损失约790新元，并可能导致监管罚款。考虑到上述情景，重要的是研究普遍存在于工业、商业建筑和住宅建筑等常见系统中的ICS上的电力供应中断攻击。

恶意电力生成是一种特殊类型的攻击，可以定义为通过某一组发电机影响电力发电的正常运行，以使多个方面的平衡受到影响。例如，如果两台发电机被设计为提供相等的电力，攻击可以针对修改平衡，例如修改为75:25。通过这样做，攻击者可以：（1）增加损失（因为一个发电机中流动的电流较大），（2）增加过载发电机的老化因素，（3）增加过载发电机的磨损和因此维护计划，以及（4）最终在高峰负载条件下创建意外的断电（电力供应中断）。请注意，任何电气设备的老化与其负载水平有关，并具有非线性关系；负载越高，老化速度越快。例如，IEEE标准C57.91-1995和后续版本提供了关于变压器的负载及其与老化过程的关系的详细信息。

2.2 智能电网

尽管关于智能电网没有广泛接受的定义，但一种普遍被接受的描述是“一种利用数字通信技术来检测和应对用电变化的电力供应网络。”因此，智能电网将具有启用信息和通信技术（ICT）的组件。ICT和智能可以有效用于提高鲁棒性、效率等。例如，在传统电网中，在高峰时段，管理发电和需求平衡的唯一方法是生成所需的能量，可能导致更高的损失。在智能电网的情况下，ICT与智能结合使用可以将非关键负载转移到低峰时段，从而降低损失。智能电网的高级架构如图1所示；

图1：电力分配系统架构[15]。可以观察到分布式发电和电动车的聚合器，与配电系统运营商相连接的大容量储能以及它与大容量电力系统运营商的互动

可以看到智能电网包含多个相互作用的组件。从住宅级别的个体源/负载到大规模电力运行级别的相互作用引入了在智能电网出现之前不存在或不常见的漏洞。

智能电网中的通信结构智能电网通常包括从家庭能源管理系统（HEMS）到配电能源管理系统的分布式控制系统[55]。控制系统本身是PLC的集合，每个PLC控制特定部分的物理过程。物理过程的状态由传感器收集并发送给控制器（PLC）。基于PLC中的控制逻辑，它对执行器命令进行决策，然后将其转发给执行器。每个PLC通过本地网络使用多层网络，也被称为现场总线网络[61]，与一组传感器和执行器通信。

电力系统在电力系统研究中有各种术语；然而，对于这项研究，重要的是了解明视功率(apparent power)、实际功率和无功功率(reactive power)以及它们与电压和频率的关系。选择明视功率（$S_n$）在电气设备的设计中非常重要；明视功率可以被视为物理极限或最大容量。明视功率有两个组成部分，即实际功率（$P_n$）和无功功率（$Q_n$），表示为$S_n=P_n+j{Q}_n$。图2显示了明视、实际和无功功率之间的关系，称为功率三角形。

图2：与明视功率、有功（实际）功率和无功功率相关的功率三角形（毕达哥拉斯定理）

发电和消耗之间的功率不匹配可能会导致不稳定性。实际功率不匹配会导致与频率稳定相关的问题，而无功功率不匹配会导致与电压稳定相关的问题[59]。减少实际功率会导致频率下降，而增加实际功率会导致频率上升。吸收无功功率将导致电压下降，注入无功功率将导致电压上升。

2.3 控制逻辑修改

一个可编程逻辑控制器（PLC）包括固件和控制逻辑，其中对固件的更改受到哈希算法和数字签名的保护。然而，大多数情况下，控制逻辑的修改没有受到任何保护措施[18]。因此，攻击者可以通过物理访问或通过网络篡改PLC的控制逻辑。

获得对PLC逻辑的访问权和修改控制逻辑的能力为攻击者提供了对物理访问或网络访问的直接途径。当攻击者获得开发软件的访问权限时，攻击者可以将修改后的控制逻辑上传到PLC中，或者从PLC中下载原始版本[69]。攻击者的意图可能是发动拒绝服务攻击或者妨碍PLC逻辑中的传感器和执行器读数[18]。尽管判断攻击者是否可以进入系统可能被认为很简单，但探索其能力对于设计防御策略至关重要。因此，本文利用运行中的智能电网，探讨了攻击者入侵时的能力。

拒绝服务攻击 通过在PLC程序的梯形逻辑中添加一段代码，可以使PLC失去控制或停止。这最终会损害由特定PLC控制的进程。恶意代码有时会将PLC状态带入无限循环；在这种情况下，PLC无法控制相关的物理过程。

传感器、执行器操纵 通过更改PLC程序的梯形逻辑中的代码，可以更改从远程输入输出（RIO）单元提取的数据，并将修改后的数据发送到控制逻辑。

2.4 修改SMA设置

SMA门户[62]是一个受用户名和密码保护的基于Web的应用程序。SMA门户是定义用于太阳能光伏（PV）系统和能量存储系统（ESS）的变流器操作的关键组件。尽管没有报告称SMA的Web门户发生安全漏洞，但这并非不可能。攻击者可以使用存储在监控与数据采集（SCADA）工作站中的用户名和密码，或者尝试破解密码以进入Web应用程序。Web应用程序具有许多设置，用于控制系统中逆变器的整体操作。例如，最大功率设置确定逆变器提供的最大功率，如果在适当的时间使用，可能会导致电力不平衡。与网络相关的设置进一步受到名为“GRID GUARD CODE”的附加密码的保护。因此，攻击者必须获得这个唯一密码才能使用Modbus/TCP-IP来控制逆变器。

在上述情景中，假定攻击者可以访问SCADA工作站并能够修改SMA门户中的设置。攻击者可能具有直接物理访问权限或通过网络访问权限。在这种情况下，攻击者的目的是以一种改变设置的方式，使双向电力流影响系统的电力平衡。

2.5 修改通信通道

智能电网的通信基础设施通常连接到外部网络。这种连接使智能电网容易受到网络攻击的威胁。智能电网基础设施中存在的无线通信使其更容易受到网络攻击的威胁。此类攻击可能会危及传感器和PLC之间的通信链路，以及PLC之间的连接。一旦其中一个或多个这样的连接被攻破，攻击者可以使用多种策略向一个或多个PLC发送虚假状态数据，可能导致组件损坏。

通过直接物理访问进行攻击 拥有直接物理访问权限的内部攻击者具有一系列额外的选项。在这种情况下，攻击者可以重新布线网络电缆并操纵传感器。攻击可以是拒绝服务、中间人攻击和数据注入。

2.6 工控系统中的漏洞评估

漏洞评估遵循以下步骤：

1. 列出系统中的资产和资源，

2. 为资源分配重要性，

3. 辨别每个资产和资源中的安全漏洞，以及

4. 针对最严重的漏洞提出缓解措施。

为了了解工控系统中的漏洞，理解攻击者可能利用这些漏洞的过程/步骤也很重要。希望攻击工控系统的攻击者在发动攻击之前可能会执行以下步骤：获得对工控系统网络的访问权限，进行侦察并了解流程，获得对工控系统的控制权。

卡巴斯基[26]总结了他们在工控系统漏洞方面的研究结果如下：（1）工控系统组件中的漏洞数量不断增加，（2）漏洞是可以被利用的，（3）工控系统漏洞广泛多样化，（4）2015年发现的漏洞并非都已修复。多年来，报告的漏洞数量不断增加。具体来说，2010年报告了“19”个漏洞，而2015年报告的漏洞数量为“189”。尽管许多漏洞由产品制造商修复，但由于运营原因，工控系统管理可能会推迟升级。由ICS-CERT发布的漏洞中，至少有5%没有完全修复。有时，易受攻击的组件可能会被市场淘汰，并且供应商可能不提供对这些组件的支持。\

3.攻击设计

我们的重点是在智能电网的背景下，调查攻击者的能力，包括访问权限以及攻击者可能需要操纵以实现特定目标的参数。尽管这项工作不专注于智能电网系统的完整威胁建模，但所讨论的参数操纵可以与各种威胁模型相关联。我们描述了参数的识别以及物理过程达到脆弱状态的限制。例如，充电状态满的电池容易受到攻击损害，但充电状态为50%的电池，即电池充电的程度，仍有时间达到容易受到物理损害的状态。

这项工作的重点是两种类型的漏洞：（1）网络(network)漏洞，包括所有的网络(cyber)漏洞，如PLC和网络中的漏洞，以及（2）流程漏洞，包括流程互连以及攻击者如何损害物理过程，例如，本节后面讨论的恶意发电。这项工作中设计和描述的攻击基于特定的攻击者目标，如电力中断和恶意发电。攻击者可以利用任何现有或新颖的威胁模型来执行这些攻击，即攻击设计始终适用于系统，并且与所采用的网络威胁模型无关。

攻击者的能力 我们根据访问类型对攻击者的能力进行分类，即：（1）访问控制逻辑和通过其中一个漏洞获得的修改权利，（2）访问工厂网络中的通信通道并具有修改权利，（3）访问SCADA PC中的SMA设置并具有修改权利，（4）执行DDoS攻击的访问权。基于上述攻击者的能力，设计了两类攻击：电力中断和恶意发电。

电力中断攻击
基于一个在正常情况下运行的实验智能电网的观察，演示了两类电力供应中断攻击。这个运营模型在以下场景下进行了调查：（1）攻击者在不同阶段（发电、输电、智能家居和微电网）操纵断路器（例如，攻击者可能关闭或打开一个或多个断路器），（2）攻击者在不同阶段操纵电力设置，例如，通过修改不同电力发生源的最大功率设置。

（1）攻击者在不同阶段操纵断路器
在这里，我们将智能电网视为由四个阶段组成，包括发电、输电、微电网和智能家居。每个阶段由自己的PLC/控制器控制，并且SCADA、分布式控制系统（DCS）和能源管理系统（EMS）之间存在通信通道，以连接到每个PLC/控制器，以及在PLC/控制器之间。攻击者有可能（a）进入通信网络并操纵由PLC/控制器发出的控制标签，（b）针对任何一个PLC/控制器执行DDoS攻击，使其无法正常工作，（c）操纵PLC/控制器逻辑以执行不同类型的攻击，以及（d）进入SCADA工作站并操纵SMA门户中的设置。根据上述四种模式，攻击者可以操纵智能电网不同部分中的不同执行器，例如断路器，以执行电力供应中断攻击。

（2）攻击者操纵不同阶段的电力设置
通过更改电力设置，攻击者可以实现电力供应中断。电力设置可以通过以下方式操纵：（a）通过PLC代码更改，例如，通过添加恶意代码，将更高的速度发送给变频器（VSD），从而提高功率，从而影响功率平衡，进而触发系统。 （b）设置门户，例如，在SMA Web门户中，将双向逆变器的最大功率设置得比微电网的最大负荷需求高，这将导致系统因功率不平衡而跳闸。（c）通过通信通道，例如，从PLC向VSD发送的速度命令可以修改，使VSD以比所需更高的速度运行，这将影响功率平衡，进而导致系统跳闸。根据上述三种方法，攻击者可以操纵电力设置以实现目标。

恶意发电
在这里，攻击者的意图是操纵不同发电机生成的电力。这可以通过重载特定的发电机来实现，以导致加速老化或影响维护计划而造成损害。在这项工作中，针对恶意发电，我们考虑对实际功率生成（P）的攻击，而不是对无功功率生成（V）的攻击。可以看到，攻击设计侧重于详细查看网络漏洞之前扰乱流程。我们认为，这是为了发展智能电网组件的防御机制的重要步骤，这些组件分布在各地，可能在所有情况下都不可能保护所有组件。防御实施的选择必须基于流程漏洞的存在，而不仅仅是网络漏洞的存在。

4.EPIC体系结构

本节介绍了EPIC的结构。EPIC的图示如图3所示。

图3：图3 EPIC控制室，360度视图。这张图片展示了不同的物理组件，包括SCADA工作站、IED和断路器面板、PLC面板、历史记录服务器、高级计量基础设施（AMI）和监视屏幕。

EPIC是一个电力测试平台，以小型智能电网反映了现实世界的电力系统。它包括四个阶段，即发电、输电、微电网和智能家居，并且能够产生72 kVA的电力。

发电（G）：在这个阶段，本地发电机产生了其它阶段所需的电力。与发电机连接的电动机由EPIC所在的大学电网供电。

输电（T）：借助变压器，这个阶段将电力供应/分配到智能家居阶段。

微电网（M）：借助光伏和电池，这个阶段充当了额外的电力生成和存储源。

智能家居（S）：这个阶段有两个额定15 kVA和30 kVA的负载台。另外两个水力试验台，即SWAT和WADI，也连接在这个阶段。EPIC能够同时为这两个试验台供电。

通信布局
通信布局（图4）包括用于冗余的环形网络的高可用性无缝冗余（HSR）和媒体冗余协议（MRP）交换机。

图4：EPIC通信布局：可编程逻辑控制器（PLCs）、智能电子设备（IEDs）、接入点（APs）、交换机（SWs）。发电中的PLC表示为GPLC，同样，输电（TPLC）、智能家居（SPLC）、微电网（MPLC）中也是如此。通信布局中的所有其他组件也分别以G、T、S和M为前缀，表示发电、输电、智能家居和微电网

EPIC使用IEC 61850 [37]标准作为电力变电站和自动化系统的通信协议。通信布局（图4）包括SCADA工作站、历史记录仪、PLC、智能电器设备（IED）、接入点（AP）和交换机（SW）。

组件描述
（1）两台传统发电机，每台10 kVA，由15 kW的VSD驱动电动机驱动。
（2）34 kW的光伏系统，以及18 kW的电池系统。
（3）105 kVA的三相电压调节器。
（4）两个能够模拟45 kVA负载台的负载台。
（5）10 kW的电机发电机。
（6）成型壳式断路器。
（7）SCADA系统和历史记录仪。
（8）用于编程SCADA的PCvue [53]和用于编程PLC的CoDeSys [13]。

电气布局
EPIC的电气布局如图5所示。

图5：EPIC的电气布局。CB代表断路器，VSD代表可变速驱动器，M代表电机，IED代表智能电器设备。电气连接以红线表示，机械耦合以“MC”表示（在线彩色图中）

用于驱动主动动机（表示柴油发动机）的主要电源（称为M1和M2）是通过主断路器（主CB）从大学的电网获得的。发电机（称为G1和G2）以及光伏和电池系统的电源被连接在一个总线上，这打开了既可以进行连接到电网模式，也可以进行孤立操作模式的选项。连接到电网的模式是在主电网存在的情况下操作源和负载需求的模式，而在孤立操作模式下，只有本地发电机向负载需求供电，而电网连接被禁用。使用基于原动机的发电机，而不是电网仿真器[12]，可以研究与AGC相关的安全问题。AGC可以通过可变速驱动器VSD1和VSD2实现。

网络流
EPIC中的网络流如图6所示。

图6：EPIC中的网络流展示了测试平台中不同组件之间使用的不同通信协议

它包括从IED获取的数据，然后由PLC进行处理。基于PLC中的控制逻辑，向最终设备（如VSD、负载需求）以及用于监视和监督控制的SCADA系统发出命令。SCADA、PLC和IED之间使用客户端-服务器通信。EPIC使用不同的通信协议，包括Modbus TCP/IP、Modbus串行、IEC 61850标准和GOOSE。EPIC使用IEC 61850通信协议用于电气变电站和自动化系统。在环形网络中，GOOSE和MMS用于继电器和SCADA工作站之间的数据传输。PLC通过Modbus通道与可变速驱动器和负载台通信。

5.EPIC中的漏洞评估

漏洞评估是按照第2.6节中描述的步骤进行的。

系统中的资产和资源列表
EPIC中的资产列在表1中。

表1：资产表

请注意，漏洞评估依赖于系统中使用的组件。

EPIC中的SCADA工作站运行在一个具有EternalBlue漏洞的Windows机器上。远程攻击者可以访问系统并操纵或执行恶意命令。

在PLCs（表1：WAGO）中，主机运行的是一个过时的SSH服务器。这个dropbear有多个漏洞，处理客户端-服务器应用程序。它允许远程攻击者上传任意或恶意代码，本地攻击者访问进程内存。在PLC通过Modbus进行通信的同时，攻击者可以使用dropbear SSH（多个漏洞）进入PLC并操纵进程。

IEDs位于控制中心，使用IEC 61850协议与系统的其余部分进行通信。不同的IEDs保护系统的不同部分，如电机、发电机、变压器和负载。IEDs的固件和控制逻辑通过专用端口进行更新，并限制了授权人员的访问。就固件和控制逻辑而言，没有关于IEDs的已知漏洞报告。然而，在维护期间，攻击者可以修改固件或控制逻辑。这种修改可能会对过程的物理安全产生严重影响。

VSDs用于控制与各自的发电机“机械耦合”的电机（与实际情况中的柴油发动机类似），因此用于控制发电机的速度。VSDs具有可以从SCADA工作站更新/修改的固件和控制逻辑。拥有对工作站的访问权限的内部人员可以将恶意代码/逻辑上传到VSD中，最终影响物理过程和系统。VSDs还通过Modbus TCP/IP协议接收速度设置。Modbus协议不采用任何安全功能，因此容易受到通信通道的攻击。

Hirschmann交换机中的密码同步[42]功能允许攻击者通过嗅探网络来获取敏感信息。这使得攻击者可以截取网络中的数据包并修改它们。Hirschmann无线接入点和交换机中的漏洞[47–51]允许攻击者劫持和操纵数据包。

PV和电池逆变器
`网络控制选项只能通过“GRID GUARD CODE”启用。一旦启用，可以使用MODBUS TCP/IP进行读/写操作。通过Modbus漏洞，恶意命令可以被发送到逆变器。固件更新可以从SCADA PC（SMA的Web门户）执行。Eternal-Blue漏洞也可以被利用以获取对SCADA工作站和随后对SMA Web门户的访问。这种访问可以用于更改逆变器的最大运行功率，从而影响系统的稳定性。

漏洞ICS-CERT
[23] 已经确定了许多ICS/SCADA系统的漏洞，表2中列出了与EPIC相关的一个子集。

表2:漏洞信息

EternalBlue
EternalBlue [52]是SMB协议中的漏洞，被列入CVE-2017-0144 [14]目录中。SMB服务器对来自远程攻击者的数据包处理不当，最终允许访问系统。类似于“WannaCry”攻击的攻击在汽车领域进行了研究[72]，并被确定为对关键基础设施和ICS的新兴威胁。

具有多个漏洞的Dropbear SSH 2016.74.0
Dropbear是一个客户端-服务器应用程序。当远程主机运行过时的SSH服务器时，存在多个漏洞可以被利用。常见的漏洞如下列出。 (1) 在处理用户名时，存在格式错误[43]，并触发为字符串格式。这允许攻击者执行任意代码。 (2) 改进的OpenSSH文件允许依赖上下文的攻击者[44]执行恶意代码。 (3) dbclient中的缺陷允许远程攻击者[45]执行任意代码，而在编译期间[46]允许本地攻击者访问进程内存。

CoDeSys（CoDeSys是一种用于编程控制器的开发环境，比如WAGO PLCs）无身份验证的命令行访问
CoDeSys允许远程攻击者通过命令行界面执行命令和传输文件。此漏洞允许未经授权的攻击者获取对PLC逻辑的管理访问权限并修改控制逻辑[41]。

Web服务器上的默认管理员密码：[21,23]
通常制造商在其硬件和软件的安装和配置过程中使用一组默认密码。如果运营管理人员未更改默认密码，攻击者可以使用制造商提供的默认密码并利用相关系统。随后，它可以用于修改整个控制系统的功能。

6.攻击电路断路器

根据在EPIC中进行的评估，我们确定了第5节中描述的漏洞。上述信息被用于设计和执行通过操纵断路器及其状态来进行电源中断攻击。

6.1 攻击设计

设计了总共16种可以在EPIC上启动的攻击（表3）。

表3:断路器上的攻击矩阵

这些攻击可以在不同阶段和使用四种不同的参数操纵来进行。

实验A：这个实验的攻击是基于攻击者使用漏洞，如EternalBlue、SMB和CoDeSys来破坏网络并能够修改和上传不同PLC的代码。在攻击期间，攻击者修改代码，以便在相应的CB关闭时，代码会自动打开CB并向SCADA系统和操作员提供虚假指示。前缀G用于表示攻击是在控制发电机CB的PLC上进行的，前缀T、M和S用于传输、微电网和智能家居。

实验B：这个实验的攻击是基于CB是打开的，然后对相应的PLC启动DDoS攻击，从而不能关闭CB。也可以假设攻击是在跳闸操作之后立即启动的，以便操作员无法关闭CB。这可以通过网络实现，也可以通过上传到PLC的恶意代码实现，迫使它在跳闸操作后立即进入无限循环。假设攻击者具有与实验A相同的能力，或者已经在网络内。

实验C：这个实验的攻击是这样设计的，即从SCADA工作站发送到PLC的数据包被修改，以便将关闭操作更改为打开操作，并向SCADA系统发送一个虚假数据，指示已关闭状态。假设攻击者已经在网络内。

实验D：这个实验的攻击是基于攻击者使用漏洞，如EternalBlue、SMB和CoDeSys来进入网络并能够修改Web门户中的电源设置。还假设攻击者要么使用存储的密码，要么有能力破解它。在攻击期间，攻击者等待跳闸操作，然后执行DDoS攻击。
将实验A到D与四个阶段G-S相结合，我们得出了16种不同的攻击。例如，当在发电阶段进行实验A时，将其标记为实验GA。在实验GA中，攻击是针对GPLC进行的，以打开CB、CB1和CB2，或全部三个断路器。攻击矩阵显示在表3中。

6.2 攻击执行

利用第5节中提到的漏洞进入系统并以不同的方式操纵不同PLC的控制标签，例如在通信通道上突变数据、PLC逻辑操纵和DDoS。

实验A：使用Dropbear SSH漏洞和CoDeSys中未经身份验证的命令行访问来操纵PLC代码。这两个漏洞被用来操纵PLC代码。
实验B：通过向相关PLC发送每秒100万个UDP数据包来进行此实验，以使其不响应和/或不活跃。
实验C：在这个实验中，利用通信通道中的漏洞进入网络，并在SCADA工作站和PLC之间发起MITM攻击。
实验D：在这个实验中，利用Windows 7操作系统中的漏洞进入SCADA工作站，并进行DDoS和/或Web门户上的修改。

6.3 结果：实验A（PLC代码操纵）

本小节介绍了在基于PLC控制代码操纵的电源供应中断攻击期间观察到的结果。此攻击可以与GA、TA、MA和SA实验相关联。原始系统在正常运行期间，为了供电至关重要的负载，断路器CB1、CB4、CB8和CB12（如图5所示的断路器（CBx））应处于闭合状态。SPLC控制着CB12的开合。每当需要为关键负载供电时，从SCADA发送一个闭合命令给SPLC。SPLC具有控制代码（如图7所示的控制代码X），它会发出一个后续命令给SIED4，以关闭CB12。SIED4最终将控制断路器的闭合操作，使关键负载获得电力供应。

攻击设计 攻击者的意图是中断供电至关重要的负载。攻击者可以通过打开断路器（例如，CB12和其他情况下的相关CB）来实现这一意图，通过SCADA向操作员提供虚假指示，并禁止进一步闭合断路器。

攻击向量： 在这个实验中，使用EternalBlue漏洞进入SCADA工作站以及CoDeSys中的工作站，然后上传恶意控制代码到SPLC。如图7所示，原始的和恶意的控制代码分别为控制代码X和控制代码Y。

图7：攻击者使用一个现存的一个漏洞去修改控制代码以此中断电力供应的攻击过程

因此，在执行闭合命令后，断路器立即打开，进一步的闭合命令被禁用，并在SCADA屏幕上显示虚假的闭合状态。因此，SCADA工作站上的操作员无法控制CB12。这导致了对关键负载的电源供应中断。从图8中可以观察到这一点，箭头1显示了CB的“闭合”状态，但箭头2显示了下方仪表测得的电压（零），表明没有电力可用，即CB处于打开状态。

图8：SCADA屏幕截图显示了攻击启动后的状态，箭头1显示了CB的闭合指示，但箭头2显示了下方仪表测得的电压（零），表明没有电力供应可用，即CB处于打开状态

这个实验对攻击矩阵中显示的所有单元进行了重复。实验分为两种情景进行，即正常情景下运行（即供电至关键负载）和恶意情景下运行（即不向关键负载供电）。

6.4 结果：实验B和D（DDoS攻击）

在这种情况下，攻击者利用通信通道的漏洞进入网络并向PLC发送UDP数据包。在网络被UDP数据包淹没后，断路器被跳闸；操作员无法控制被跳闸的断路器。

图9和图10中的屏幕截图分别是正常情景下和在SPLC上执行攻击时来自SCADA工作站的。所有PLC的结果都是相同的，因此只呈现与SPLC相对应的结果。

图9

图10

7.电力设置的攻击

在本节中，我们描述了如何利用第5节中识别的网络漏洞知识来操纵不同能源的电力设置以实现电力供应中断。

7.1 攻击设计

这些攻击与表3中的攻击矩阵中的类似，并在表4中呈现。攻击的简要描述如下。

表4：电力设置攻击设计

实验A 与表3中的先前攻击矩阵不同之处在于攻击者修改PLC代码，使发送给可变速驱动器（VSD）的速度设置修改为更高的值，比如增加1%。

实验B 向VSD发送静态设置，随后由于DDoS导致PLC无法正常运行。因此，VSD/发电机不会对负载需求的变化作出响应。

实验C 在这种攻击中，攻击者修改PLC发出的命令，使其在到达VSD之前进行修改。

实验D 攻击者修改了SMA门户的电力设置以跳闸整个系统。

表4显示有一些单元格中提到了“不适用，因为没有发电机”。这是因为在这种情况下没有可供操纵的发电机。例如，传输阶段没有任何发电机，如图5所示。因此，没有组件可以用来修改速度/电力设置。基于Web门户的电力设置仅适用于光伏/电池逆变器，因此“基于Web门户”的设置在传输和智能家居等其他阶段不适用。

7.2 选择性案例的攻击执行

实验GA 在这个实验中，修改了VSD应该加速的功率设置，以实现两个发电机G1和G2之间的功率均衡。在这种情况下，控制逻辑被修改，以便G2在作为第二个发电机进行同步时无法接管电力。Windows 7操作系统的漏洞被利用以进入SCADA工作站。Dropbear SSH漏洞和CoDeSys中的未经身份验证的命令行访问允许攻击者操纵PLC代码。这两个漏洞被利用来操纵PLC代码。

实验MD 将PV/电池逆变器的SMA Web门户中的最大电力设置更改为高于关键负载的最大负载需求值。利用Windows 7操作系统的漏洞进入了SCADA工作站，这是修改SMA门户设置的授权位置。

7.3 选定实验的结果

实验GA 本小节呈现了基于发电机PLC代码电力设置的电源供应中断攻击的影响，并可以与表4中的攻击实验GA相关联。

原始系统 以正常操作为例，为了向关键负载供电，发电机G1和G2将平均共享电力。SPLC具有控制代码，发出后续命令给可变速驱动器（VSD），使其以特定速度运行（在这种情况下为1500RPM），以实现两个发电机之间的电力均衡共享。正常操作如图11所示，即明显电力在两个发电机之间均等共享。

图11：在正常运行期间，可以通过MIED1和MIED2上的L1-L3几乎相同来观察到负载在发电机1和发电机2之间均等共享

攻击发动之前的功率均衡的时域表示如图12所示，标记为正常。

图12：在发电机G1和G2之间共享负载时的视在功率。当G2无法共享电力时，G1在超载状态下跳闸的脆弱性，即在负载峰值情况下，急剧增加。攻击发动之前的电力共享的时域表示如图所示，并标记为正常。请注意，在攻击发动之前，大约在1900秒左右，不论条件如何，G1和G2共享电力，而在攻击发动后，即在2400秒到4300秒之间，G2无法共享电力

在对G1发电机发动攻击后，即当G1发电机供电功率较高，因此禁用了电力共享过程，G2的主动机速度减少了0.2RPM。可以在图12中观察到这种攻击场景，无论何时G2供电功率高于G1，G1都会接管，直到两者之间的电力均等共享。然而，当G1供电功率更高时，即使同步后，G2也无法接管。这导致了在G2作为第二个发电机同步时，G1在过载条件持续时间较长的情况下跳闸。

实验MD 本节呈现了基于SMA Web门户中电力设置的电源供应中断攻击，并可以与表4中的实验MD相关联。

原始系统 在正常操作中，为了向关键负载供电，必须关闭CB1、CB4、CB8和CB12（如图5中的CBx）。假设电力仅供应给关键负载，SMA门户中设置的逆变器的最大功率应小于或等于关键负载的耗电量。如果光伏+电池系统产生的电力大于耗电量，将导致由于电力不平衡而跳闸。在这个实验中，使用EternalBlue漏洞进入SCADA工作站，并使用默认的用户名/密码登录SMA门户。关键负载的电力设置为125%。这是有意设置的，因为来自光伏+电池系统的电力会间歇性地产生，不会立即导致系统跳闸，例如在晚上或电池未完全充电时。但是，在某些情况下，例如白天并且电池充满电时，由于太阳辐射增加导致电力生成超过负载需求，将导致频繁的跳闸。图13显示了SMA门户中的跳闸事件“由于L1相的过频而断开外部电网（505）”。

图13 放大的SMA门户，显示了退出电网事件，即来自光伏+电池系统的电力供应终止

图14显示了在出现负实际功率流时的过程时域响应。跳闸事件发生是因为电池充满电，并且PV产生的电力高于关键负载的耗电量。

图14 历史记录中的逆功率和跳闸事件，即来自发电机的电力供应终止，以零功率指示。Y轴表示实际功率

8.恶意发电攻击

在这种情况下，攻击者的意图是操纵从特定发电机产生的电力以实现不同的目标。例如，攻击侧重于使一个发电机的负载高于另一个发电机，以便维护计划被打乱，因为过载的发电机需要更频繁的维护，由于额外的磨损而积累损坏。这最终导致长期内累积的损害，因为过载的发电机由于恶意操作未在适当的时间接受维护。该攻击可以进一步分为两种类型：对实际功率生成的攻击和对无功功率生成的攻击。本文详细介绍了对实际功率的攻击，而无功功率的攻击不在本文的讨论范围之内。

8.1 主动机攻击或实际功率攻击

通过控制电机的速度，可以根据以下方程改变发电机的频率：

$n=\frac{120}{p}\ast f$，$(1)$

其中$n$ = 轴旋转速度（每分钟转数，$rpm$），$f$ = 频率，$p$ = 极数。
为确保系统的稳定性，如在第2.2节中解释的那样，发电机需要保持在固定的频率，即50赫兹或60赫兹。如果负载保持不变，而由于转子加速，输入功率增加，频率将增加，或者发电机共享的实际功率将增加。这将使负载从其他发电机转移到受攻击的发电机，从而使其过载，即相对于正常操作而言，并非实际过载。这种攻击不会立即产生任何影响，但会在长期内增加受攻击发电机的老化过程。

攻击设计 针对这种攻击，设计并发动了两种攻击，因为攻击可以以两种不同的方式进行。

实验A 攻击者修改了代码，使发电机的速度始终变异因子+δ。这将导致由受攻击的发电机产生/共享过多的实际功率。

实验B 该攻击是设计成使从PLC发送到VSD的数据包被修改为因子+δ。假定攻击者已经在网络内部。

正常操作 在这个实验中，如图5所示，发电机G1和G2都连接到负载，因此在正常操作期间应平均共享所需的实际和无功功率。正常操作如图15所示，即明显电力由两台发电机均等共享，

图15：正常操作显示平等负载共享：相对于两台发电机，MIED1和MIED2上的相等电力供应显示在L1-L3上，可以观察到它们的值大致相等

时间序列表示如图16所示。

图16：在G1和G2之间稳定的等负载共享，从大约200秒到500秒

图17显示了发电机G1和G2的功率（上升和下降）。

图17：逐渐增加功率以实现G1和G2之间的平等共享；G1在大约280秒时逐渐增加功率，而G2在大约580秒时逐渐增加功率

以下是观察到的情况：

1. 最初，当G1不可用时，发电机G2向负载提供全部电力。
2. 在201秒后，当G1可用时，两台发电机之间的电力均等共享。
3. 在401秒后，当G2不可用时，发电机G1向负载提供全部电力。
4. 600秒后，电力在两台发电机之间均等共享。

图16和17中的两种情况代表了正常情景。

攻击执行 攻击发动在发电机G1上，即当发电机G1供电功率更高时，G2的主动机速度减少了0.2RPM，从而禁用了电力共享过程。攻击场景如图18所示，

图18：攻击期间发电机G1和G2之间的负载共享。在大约250秒左右无攻击情景可观察到，而在大约2100秒左右可以观察到攻击情景

可以观察到，无论何时G2供电功率高于G1，G1都会接管电力，直到两者之间电力均等共享。然而，当G1供电功率更高时，即使同步后，G2也无法接管。这将导致在G2作为第二个发电机同步时，G1供电功率更高，而G1已经供电。还观察到在攻击发动后，同步过程所需时间明显比通常情况长。相关的SCADA截图显示在图19和20中。

图19：攻击期间的同步过程：在这里，当我们希望第二台发电机G2与G1一起供电时，G1向整个负载供电，然后G2检查同步过程，如图所示，并与G1共享负载

图20：发电机G1正在向整个负载供电：这种情况发生在一次攻击之后。然而，尽管如图所示有两台发电机在运行，但只有发电机G1正在向整个负载供电，可以从MIED1和MIED2的L1-L3值中观察到这一点

实际上，这种延迟本身也可以视为一种攻击，因为这会在需要突然/瞬时电力时禁用G2的可用性。但是，在本文中，我们不关注对同步过程的攻击。

表6总结了在本研究中分析的攻击。

表6：攻击分析

9.讨论

在本节中，我们重新审视了表3和表4中的攻击和攻击矩阵。考虑的因素包括：（i）在EPIC上发动攻击的难度，（ii）攻击对于发动的阶段和所发动的类型的影响，（iii）可以发动攻击的时间，（iv）实现攻击所需的时间，（v）发动攻击所需的攻击者能力。

发动攻击的难度：发动攻击的难度取决于各种因素，如攻击者打算在哪个阶段发动攻击，攻击的目标组件等。例如，PLC控制的受保护发电机被攻击的可能性，或者采取了用于减小脆弱性的措施的可能性，通常较高，考虑到这些子系统由专业人员管理。然而，在PLC/控制器用于控制智能家居或个别负载时，这些措施不太可能被实施，因为这些负载通常由非专业人员管理。此外，在消费者环境中，相关PLC的物理访问较少受到保护。就目标组件而言，假设攻击者已经可以访问PLC，修改控制代码以改变断路器状态所需的信息较少，这仅仅是控制代码中的一行，而修改发电机的功率设置需要在多行代码上进行修改。因此，与更改发电机功率设置的攻击相比，发动对断路器的攻击较容易。

与电力网中的阶段相关的影响：对发电阶段的攻击比对智能家庭的攻击影响大得多。这是因为对智能家庭的攻击仅影响相关负载，即关键负载（参见图5中的关键负载），而对发电机的攻击影响整个系统，即非关键负载和其他连接的系统（在进行实验的环境中的其他测试台）。对微电网的攻击也可能影响系统的稳定性（表3中的实验GD），导致由于电力不平衡而导致整个系统故障。在输电阶段也观察到了类似的影响，即影响电网的较大部分。

实施攻击的时间：无论攻击何时发动，对发电机和输电阶段的攻击都会导致完全的停电。对个别负载的攻击的影响取决于操作模式和需要电能的时间。例如，冰箱和冷冻机单元具有一个接一个地循环的开启和关闭周期。针对负载中的某个ON周期的攻击（表3中的实验SA）将增加储存在冰箱或冷冻机中的产品的脆弱性，而随机攻击可能会产生较小的影响。

实现攻击所需的时间：无论攻击何时发动，攻击的影响可以立即实现，如表3中所描述的实验GA。或者，它可能需要较长的时间，如表4中所描述的实验MD，其中影响直接与太阳能光伏的间歇性本质相关。在表3和表4中的不同类型的攻击中，要成功发动MITM攻击，攻击者应具有最高的能力。这是由于MITM攻击的高计算需求，考虑到系统的时间关键性。要发动其他类型的攻击，攻击者应具有识别用户名和密码的能力。

攻击的可行性，即实现攻击者的意图，取决于受攻击实体是否使用标准的网络安全协议。例如，在EPIC的情况下，要求供应商使用最先进的组件设计系统。在测试台部署后，脆弱性得到了评估。发现该系统满足所有操作技术相关的标准。然而，根据最近报道的脆弱性，例如EternalBlue，它无法满足基于安全性的要求。这些情况也适用于所有传统系统。因此，很有可能，攻击者可以利用这些脆弱性，结合社会工程学，发动此类攻击。

此类研究，如本文所述，对工控系统运营商重新评估与信息技术相关的标准方面的网络安全得分可能是有用的。例如，在对电力设置进行攻击的情况下，SMA门户本身遵循网络安全措施的等级，例如建议使用定制密码，用于更改控制设置的唯一代码等。然而，在密码弱的情况下或通过社会工程，攻击者可能获得对这些关键信息的访问权限并执行攻击。

即使使用了最先进的信息和通信技术进行电力系统的运营和控制，仍然有可能存在未知和未修复的脆弱性，如工控系统紧急响应协调中心（ICS-CERT）所指出。用于电力系统运营和控制的工控系统应经常根据信息和通信技术领域不断出现的脆弱性进行评估。这篇论文对于研究人员来说是有用的，可以用于探索可能的脆弱性和相关的攻击场景（如SMA电力设置中的新攻击，此前认为不存在）。它还有助于开发现有脆弱性的防御机制。

10.相关工作

这一领域的先前研究可以分为两组，如下所示：

攻击建模和分析 攻击已经被建模为传感器数据中的噪声[28]。专为CPS设计的攻击模型通常包括各种欺骗攻击，如浪涌、偏差和几何攻击[10]。此外，文献中报告的攻击模型通常是网络安全攻击模型的修改版本[64]，很少考虑CPS的物理方面。最近关于ICS隐私、安全性和安全性的调查表明[27,40]ICS安全性中的不同关注领域。

对于管理智能电网的控制系统，韧性控制是一个重要的要求。例如，在[8]中报告了适用于网络物理控制系统的韧性互联要求，其中作者描述了通过考虑控制结构容量、超级节点理论和IEC-62351标准来合并最佳的自愈服务的策略执行系统。此外，通过使用专门为此类要求设计的体系结构，也可以提高韧性。在[36]中，提出了一种用于智能电网的韧性架构。研究人员还在电力变电站网络[16]上报告了案例研究，其中作者研究了ICS的详细特性，以确定其行为，无论是从传统IT网络的角度还是从ICS运行的基本原理的角度。可以从上述引用的研究中看出，了解物理过程的限制是得出韧性和安全性之间权衡的关键步骤。因此，从物理脆弱性的角度设计攻击，如本文所述，对于提高智能电网的韧性是一种必要的方法。

在[57]中描述了为调查网络攻击而创建的两个虚拟测试台。然而，本文中提出的结果清楚地表明，研究实际的工业级系统中的攻击至关重要。在[35]中，作者描述了一个系统的设计，以响应网络不同区域完全没有防护措施的网络安全事件。研究了异常的检测、对事件的响应、准确性测试、维护以及在危机情况下状态和控制的恢复。

电力系统的攻击 数据完整性攻击在智能电网系统中得到广泛研究。[66]中的一项研究详细分析了数据完整性攻击对智能电网中实时定价（RTP）的影响。[63,67]中研究了AGC上的虚假数据注入攻击，并通过实验结果进行了验证。[67]中的作者展示了通过窃听传感器数据，可以推导出系统常数并发动对AGC的最优攻击。[70]中也进行了类似的研究，重点关注虚假数据注入攻击对状态估计的影响，以创建负载重分配（LR）。作者还对由于LR攻击导致电力系统的损害进行了量化分析。[58]中的作者提出了使用数字签名和时间戳的控制框架，用于验证发往提供无功功率支持的可再生能源逆变器的控制命令。

[68]中提供了实时监测系统的概念扩展、异常检测、攻击影响分析和缓解框架的调查。

[22]中进行了为网络物理系统执行的物理影响评估，特别是使用硬件在循环（HIL）模拟进行的锅炉系统。探讨了变电站的潜在攻击，并进行了有关利用恶意故障注入攻击和用于危害变电站级IED的硬件特洛伊木马的研究[11]。[71]中重点研究了SCADA系统的脆弱性对整体电力系统可靠性的影响。早期研究集中在电力系统上的虚假数据注入攻击[34]。[5,17,32]中提出了使用不变量来检测CPS上的攻击。

11.结论

我们对一个运行中的72-KVA电力实验台进行了脆弱性评估的实验调查。研究表明，攻击者可以威胁各种智能电网控制器，获得对电网的完全控制，从而改变其运行方式。具体而言，本研究报告了关于电力供应中断攻击和恶意电力生成攻击的调查，重点关注网络和流程的脆弱性。

正在进行的工作侧重于实施额外的网络安全措施以减轻不同的风险，进行系统性攻击以评估EPIC的韧性，并进行实验以了解关键基础设施（如水系统和电力系统）的级联效应。

致谢
这项工作得到了新加坡国家研究基金会（NRF）总理办公室资助，属于其国家网络安全研发计划（奖项编号：NRF2014NCR-NCR001-040），由国家网络安全研发局管理。Electric Power and Intelligent Control (EPIC)实验台得以建设得益于新加坡国防部、NRF和SUTD-MIT国际设计中心（IDC）的资助。

参考文献

1. Adepu, S., Kandasamy, N.K., Mathur, A.: EPIC: an electric power
testbed for research and training in cyber physical systems security.
In: Computer Security, pp. 37–52. Springer, Cham (2018)
2. Adepu, S., Mathur, A.: Generalized attacker and attack models for
cyber-physical systems. In: Proceedings of the 40th International
Computers, Software and Applications Conference, pp. 283–292.
IEEE (2016)
3. Adepu, S., Mathur, A.: Using process invariants to detect cyber
attacks on a water treatment system. In: Proceedings of the 31st
International Conference on ICT Systems Security and Privacy
Protection—IFIP SEC, pp. 91–104. Springer, New York (2016)
4. Adepu, S., Mathur, A.: Assessing the effectiveness of attack detection at a hackfest on industrial control systems. IEEE Trans.
Sustain. Comput. 1(1), 1–14 (2018)
5. Adepu, S., Mathur, A.: Distributed attack detection in a water treatment plant: method and case study. IEEE Trans. Dependable Secure
Comput. (2018)
6. Adepu, S., Prakash, J., Mathur, A.: Waterjam: an experimental
case study of jamming attacks on a water treatment system. In:
IEEE International Conference on Software Quality, Reliability
and Security Companion (QRS-C), pp. 341–347. IEEE (2017)
7. Alcaraz, C., Lopez, J.: Wasam: a dynamic wide-area situational
awareness model for critical domains in smart grids. Future Gen.
Comput. Syst. 30, 146–154 (2014)
8. Alcaraz, C., Lopez, J., Choo, K.-K.R.: Resilient interconnection in
cyber-physical control systems. Comput. Secur. 71, 2–14 (2017)
9. Amadi, H.N.: Impact of power outages on developing countries:
evidence from rural households in Niger Delta, Nigeria. J. Energy
Technol. Policy 5(3), 27–38 (2015)
10. Cárdenas, A.A., Amin, S., Lin, Z.-S., Huang, Y.-L., Huang, C.-Y.,
Sastry, S.: Attacks against process control systems: risk assessment,
detection, and response. In: Proceedings of the 6th ASIACCS, pp.
355–366 (2011)
11. Chattopadhyay, A., Ukil, A., Jap, D., Bhasin, S.: Towards threat of
implementation attacks on substation security: case study on fault
detection and isolation. IEEE Trans. Ind. Inform. 14(6), 2442–2451
(2018)
12. Cintuglu, M.H., Mohammed, O.A., Akkaya, K., Uluagac, A.S.: A
survey on smart grid cyber-physical system testbeds. IEEE Commun. Surv. Tutor. 19(1), 446–464 (2017)
13. CODESYS: CODESYS- industrial IEC 61131-3 PLC programming. https://www.codesys.com/ (2018). Accessed 1 July 2019
14. CVE-2017-0144: Windows SMB remote code execution vulnerability. https://www.cve.mitre.org/cgi-bin/cvename.cgi?
name=CVE-2017-0144 (2017). Accessed 1 July 2019
15. FitzPatrick, G.J., Wollman, D.A.: NIST interoperability framework
and action plans. In: Power and Energy Society General Meeting,
pp. 1–4. IEEE (2010)
16. Formby, D., Walid, A., Beyah, R.: A case study in power substation
network dynamics. Proc. ACM Meas. Anal. Comput. Syst. 1(1), 19
(2017)
17. Gamage, T., McMillin, B., Roth, T.: Enforcing information
flow security properties in cyber-physical systems: a generalized
framework based on compensation. In: IEEE 34th Annual Computer Software and Applications Conference Workshops (COMPSACW), pp. 158 –163, July 2010
18. Govil, N., Agrawal, A., Tippenhauer, N.O.: On ladder logic bombs
in industrial control systems. CoRR (2017)
19. Greenwald, P.W., Rutherford, A.F., Green, R.A., Giglio, J.: Emergency department visits for home medical device failure during the
2003 North America blackout. Acad. Emerg. Med. 11(7), 786–789
(2004)
20. Hernandez, M., Ramos, G.A., Lwin, M., Siratarnsophon, P.,
Santoso, S.: Embedded real-time simulation platform for power
distribution systems. IEEE Access 6, 6243–6256 (2017)
21. Homeland Security: DHS common cybersecurity vulnerabilities in
ICS. https://ics-cert.us-cert.gov/sites/default/files/recommended_
practices/DHS_Common_Cybersecurity_Vulnerabilities_ICS_
2010.pdf
22. Huang, K., Zhou, C., Tian, Y.-C., Yang, S., Qin, Y.: Assessing
the physical impact of cyber-attacks on industrial cyber-physical
systems. IEEE Trans. Ind. Electron. 65(10), 8153–8162 (2018)
23. ICS-CERT Advisories: https://ics-cert.us-cert.gov/advisories.
Accessed 1 July 2019
24. Islam, M.A., Ren, S., Wierman, A.: Exploiting a thermal side channel for power attacks in multi-tenant data centers. In: Proceedings
of the 2017 ACM SIGSAC, CCS ’17, pp. 1079–1094 (2017)
25. Kandasamy, N.K., Tseng, K.J., Boon-Hee, S.: Virtual storage
capacity using demand response management to overcome intermittency of solar PV generation. IET Renew. Power Gen. 11(14),
1741–1748 (2017)
26. Kasper Sky: Industrial control systems vulnerabilities statistics.
https://kasperskycontenthub.com/securelist/files/2016/07/KL_
REPORT_ICS_Statistic_vulnerabilities.pdf. Accessed 1 July
2019
27. Kriaa, S., Pietre-Cambacedes, L., Bouissou, M., Halgand, Y.: A
survey of approaches combining safety and security for industrial
control systems. Reliab. Eng. Syst. Saf. 139, 156–178 (2015)
28. Kwon, C., Liu, W., Hwang, I.: Security analysis for cyber-physical
systems against stealthy deception attacks. In: ACC, pp. 3344–3349
(2013)
29. Langner, R.: Stuxnet: dissecting a cyberwarfare weapon. IEEE
Secur. Priv. 9(3), 49–51 (2011)
30. Lee, E.A.: Cyber physical systems: design challenges. In: 11th
IEEE International Symposium on Object and ComponentOriented Real-Time Distributed Computing (ISORC), pp. 363–
369. IEEE (2008)
31. Lin, H., Slagell, A., Kalbarczyk, Z., Sauer, P., Iyer, R.: Runtime
semantic security analysis to detect and mitigate control-related
attacks in power grids. IEEE Trans. Smart Grid 9(1), 163–178
(2018)
32. Lin, Q., Adepu, S., Verwer, S., Mathur, A.: Tabor: a graphical
model-based approach for anomaly detection in industrial control systems. In: Proceedings of the AsiaCCS, pp. 525–536. ACM,
Korea (2018)
33. Lipovsky, R.: New wave of cyber attacks against Ukrainian power
industry. http://www.welivesecurity.com/2016/01/11 (2016).
Accessed 1 July 2019
34. Liu, Y., Ning, P., Reiter, M.: False data injection attacks against
state estimation in electric power grids. In: Proceedings of the 16th
ACM Conference on Computer and Communications Security, pp.
21–32 (2009)
35. Lopez, J., Alcaraz, C., Roman, R.: Smart control of operational
threats in control substations. Comput. Secur. 38, 14–27 (2013)
36. Lopez, J., Rubio, J.E., Alcaraz, C.: A resilient architecture for the
smart grid. IEEE Trans. Ind. Inform. 14(8), 3745–3753 (2018)
37. Mackiewicz, R.: Overview of IEC 61850 and benefits. In: Power
Systems Conference and Exposition, 2006. PSCE’06. 2006 IEEE
PES, pp. 623–630 (2006)
38. McDaniel, P., McLaughlin, S.: Security and privacy challenges in
the smart grid. IEEE Secur. Priv. 7, 75–77 (2009)
39. Meliopoulos, A.S., Cokkinides, G., Fan, R., Sun, L.: Data attack
detection and command authentication via cyber-physical comodeling. IEEE Des. Test 34(4), 34–43 (2017)
40. Mitchell, R., Chen, I.-R.: A survey of intrusion detection techniques
for cyber-physical systems. ACM Comput. Surv. (CSUR) 46(4), 55
(2014)
41. MITRE: CVE-2012-6068. https://cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2012-6068 (2012). Accessed 1 July 2019
42. MITRE: CVE-2016-2509. https://cve.circl.lu/cve/CVE-2016-
2509 (2016). Accessed 1 July 2019
43. MITRE: NVD-CVE-2016-7406. https://nvd.nist.gov/vuln/detail/
CVE-2016-7406 (2016). Accessed 1 July 2019
44. MITRE: NVD-CVE-2016-7407. https://nvd.nist.gov/vuln/detail/
CVE-2016-7407 (2016). Accessed 1 July 2019
45. MITRE: NVD-CVE-2016-7408. https://nvd.nist.gov/vuln/detail/
CVE-2016-7408 (2016). Accessed 1 July 2019
46. MITRE: NVD-CVE-2016-7409. https://nvd.nist.gov/vuln/detail/
CVE-2016-7409 (2016). Accessed 1 July 2019
47. MITRE: CVE-2018-5461. http://cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2018-5461 (2018). Accessed 1 July 2019
48. MITRE: CVE-2018-5465. http://cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2018-5465 (2018). Accessed 1 July 2019
49. MITRE: CVE-2018-5467. http://cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2018-5467 (2018). Accessed 1 July 2019
50. MITRE: CVE-2018-5469. http://cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2018-5469 (2018). Accessed 1 July 2019
51. MITRE: CVE-2018-5471. http://cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2018-5471 (2018). Accessed 1 July 2019
52. Nakashima, E., Timberg, C.: NSA officials worried about
the day its potent hacking tool would get loose. Washington
Post. https://www.washingtonpost.com/business/technology/nsaofficials-worried-about-the-day-its-potent-hacking-tool-wouldget-loosethen-it-did/2017/05/16/50670b16-3978-11e7-a058-
ddbb23c75d82_story.html (2017). Accessed 1 July 2019
53. PCvue: Versatile HMI-SCADA software. https://www.
pcvuesolutions.com/index.php/products-a-technology/pcvuehmiscada-48583 (2018). Accessed 1 July 2019
54. Poudineh, R., Jamasb, T.: Electricity supply interruptions: sectoral
interdependencies and the cost of energy not served for the scottish
economy. Energy J. 38(1), 51–76 (2017)
55. Pourbabak, H., Chen, T., Zhang, B., Su, W.: Control and
energy management system in microgrids. arXiv preprint
arXiv:1705.10196 (2017)
56. Qi, J., Hahn, A., Lu, X., Wang, J., Liu, C.-C.: Cybersecurity for
distributed energy resources and smart inverters. IET Cyber Phys.
Syst. Theory Appl. 1(1), 28–39 (2016)
57. Reaves, B., Morris, T.: An open virtual testbed for industrial control
system security research. Int. J. Inf. Secur. 11(4), 215–229 (2012)
58. Rogers, K.M., et al.: An authenticated control framework for distributed voltage support on the smart grid. IEEE Trans. Smart Grid
1, 40–47 (2010)
59. Saadat, H.: Power Systems Analysis of Mcgraw-Hill Series in Electrical and Computer Engineering. McGraw-Hill, New York (2002)
60. Schmidthaler, M., Reichl, J.: Assessing the socio-economic effects
of power outages ad hoc. Comput. Sci. Res. Dev. 31(3), 157–161
(2016)
61. Shrivastava, S., Adepu, S., Mathur, A.: Design and assessment of
an orthogonal defense mechanism for a water treatment facility.
Robot. Autonom. Syst. 101, 114–125 (2018)
62. SMA: SMA-portal (2019). https://www.sunnyportal.com/.
Accessed 1 July 2019
63. Sridhar, S., Govindarasu, M.: Model-based attack detection and
mitigation for automatic generation control. IEEE Trans. Smart
Grid 5(2), 580–591 (2014)
64. Stamp, M.: Information Security: Principles and Practice. Wiley,
New York (2011)
65. Taljegard, M.: The impact of an electrification of road transportation on the electricity system in Scandinavia. Ph.D. thesis,
Department of Space, Earth and Environment, Chalmers University of Technology (2017)
66. Tan, R., Badrinath Krishna, V., Yau, D.K., Kalbarczyk, Z.: Impact
of integrity attacks on real-time pricing in smart grids. In: Proceedings of the 2013 ACM CCS, pp. 439–450. ACM (2013)
67. Tan, R., Nguyen, H.H., Foo, E.Y., Yau, D.K., Kalbarczyk, Z., Iyer,
R.K., Gooi, H.B.: Modeling and mitigating impact of false data
injection attacks on automatic generation control. IEEE TIFS 12(7),
1609–1624 (2017)
68. Ten, C.-W., Yamashita, K., Yang, Z., Vasilakos, A., Ginter, A.:
Impact assessment of hypothesized cyberattacks on interconnected
bulk power systems. IEEE Trans. Smart Grid 9(5), 4405–4425
(2018)
69. WAGO: Wago programmable logic controllers. http://www.wago.
us/products/components-for-automation/modular-io-system-ip20-750753-series/plc/overview/ (2009). Accessed 1 July 2019
70. Yuan, Y., Li, Z., Ren, K.: Modeling load redistribution attacks in
power systems. IEEE Trans. Smart Grid 2(2), 382–390 (2011)
71. Zhang, Y., et al.: Inclusion of SCADA cyber vulnerability in power
system reliability assessment considering optimal resources allocation. IEEE Trans. Power Syst. 31(6), 4379–4394 (2016)
72. Zimba, A., Wang, Z., Chen, H.: Multi-stage crypto ransomware
attacks: a new emerging cyber threat to critical infrastructure and
industrial control systems. ICT Express 4(1), 14–18 (2018)