论文阅读笔记——BlackIoT: IoT Botnet of High Wattage Devices Can Disrupt the Power Grid

作者：Saleh Soltan, Prateek Mittal, and H. Vincent Poor

单位：Princeton University

会议：USENIX2018

论文：https://www.usenix.org/conference/usenixsecurity18/presentation/soltan

摘要：

高功率物联网设备的物联网（IoT）僵尸网络（如空调和加热器）为攻击者提供了独特的能力，可以对电网发动大规模协同攻击。本文揭示了一种新的潜在针对电网的攻击，称为通过物联网（MadIoT）攻击操纵需求，可以利用这种僵尸网络来操纵电网中的电力需求。我们研究了MadIoT攻击的五种变体，并通过最先进的模拟器在现实中的电网模型上评估它们的有效性。这些模拟结果表明，MadIoT攻击可能导致局部停电，在最坏的情况下会导致大规模停电。此外，我们证明，这些攻击可以用来增加电网的运营成本。这项工作揭示了物联网的脆弱性与其他网络（如电网的脆弱性）之间的相互依赖性，其安全性需要系统安全和电力工程社区的关注。

1.引言

在本文中作者提出了一种设想，即攻击者可以利用被控制的物联网设备来破坏最重要的基础设施之一——电网。电网的稳定运行基于电力需求可以每小时和每天可靠地预测。电网运营商通常认为拥护的集体行为与他们过去在类似条件下（例如，一天中的时间，季节和天气）的行为类似。近来有生产和使用带Wi-Fi功能的大功率设备的趋势，如空调，热水器，烤箱和暖气，这些设备现在可以通过互联网远程控制。甚至可以通过添加支持Wi-Fi的外设（如Tado◦和Aquanta）来远程控制旧设备。也可以使用智能恒温器或家庭助手（如Amazon Echo或Google Home）远程或自动控制这些设备中的一组。因此，一旦受到攻击，任何这些设备都可用于远程控制高瓦数设备。

在本文中，作者揭示了一类新的潜在攻击，称为通过物联网（MadIoT）攻击操纵需求，允许攻击者通过使用被控制的物联网设备操纵总功率需求来破坏电网的正常运行 。在极端情况下，这些攻击可能导致大规模停电。 MadIoT攻击的一个重要特征是，与大多数先前对电网的攻击不同，它们并不针对电网的监控和数据采集（SCADA）系统，而是针对负载改变攻击中受到更少保护的负载。人们普遍认为，操纵电力需求可能会损坏电网。

2.背景知识

电力系统由不同的部件组成（见图2）。电力在具有不同容量的不同位置处的发电机处产生，然后经由高压传输网络传输到大型工业用户或城镇或城市的低压配电网络。然后将电力传输给商业和住宅用户。

图2：电力系统的主要组件

电网的稳定运行依赖于电力供应和需求之间的持续平衡。这主要是由于缺乏实用的大规模电力存储。为了保持电力供需与需求之间的平衡，电力系统运营商使用天气数据和历史电力消耗数据来预测每日和每小时的电力需求。这允许电网管理员提前计划并且仅部署足够的发电机以满足未来几小时的需求而不会使任何电力线过载。电网运行还应符合𝑁-1安全标准。 𝑁-1标准要求电网即使在电网的单个部件发生故障后也能正常运行（例如，发电机，线路或变压器）。

在电力系统中，发电机的转速与频率相对应。当需求大于供给时，涡轮发电机转子的转速减速。相应地，这会导致系统频率下降。涡轮发电机的这种行为可以对应于牛顿的第一运动定律，并且由发电机的惯性计算。同样，供电量大于需求会导致发电机转子的加速和系统频率的上升。由于低于标称值的频率会严重损坏发电机，因此电力系统不能容忍长时间的系统频率的降低/增加。如果频率高于或低于阈值，保护继电器将完全关闭或断开发电机。

供需平衡是电网稳定运行的必要条件，但这还远远不够。为了将电力从发电机输送到负载，电力应该由输电线路传输。每条线路上传输的功率称为该线路上的功率流。与计算机网络中的路由不同，在给定有功和无功功率需求和供电值的情况下，功率流几乎完全由基尔霍夫定律决定和管理。

不可预测的供需设置可能导致某些线路上的电力过载。一旦线路过载，它可能会触发保护继电器跳闸，或者由于过热而中断。因此，系统操作员需要预先计算功率流 - 使用预测的需求值和最佳发电机组来提供需求 - 以避免是否有任何线路过载。

3.使用IoT僵尸网络攻击电网

假设对手已经获得了在城市中的许多大功率智能设备（表1中）的物联网僵尸网络。

表1：部分大功率智能设备的功耗

MadIoT攻击可以通过多种方式破坏电网的正常运行。在这里，我们提出了这些攻击可能对电网造成损害的最重要和最直接的方法（表2中总结）：

频率下降/上升

如第2节中简要描述的那样，电网的正常运行依赖于供需之间的持续平衡。因此，对手的方法可能是使用物联网僵尸网络来破坏这种平衡。攻击者可以利用高瓦数设备的物联网僵尸网络，同步打开所有受到攻击的设备。如果由此产生的需求突然增加大于阈值（取决于系统的惯性），则可能导致系统频率在主控制器作出反应之前显着下降。因此，这可能导致发电机保护继电器的激活和发电机的损失，并最终导致停电。 

中断黑启动

一旦发生停电，电网运营商需要尽快重启系统。此过程称为黑启动。由于在黑启动时需求未知，因此同时重新启动整个网格可能导致频率不稳定并再次导致系统故障。

线路故障和级联

电网中的功率流量由基尔霍夫定律决定。因此，在大多数情况下，电网运营商无法控制从发电机到负载的功率流。一旦对手导致电网周围的负载突然增加，假设频率下降不显著，则主要控制器满足额外需求。由于在此阶段电力流不受电网运营商控制，这可能导致线路过载并导致线路跳闸。在初始线路跳闸或故障之后，这些线路承载的功率流量将根据基尔霍夫定律重新分配到其他线路。因此，初始线路故障可能随后导致进一步的线路故障，或者称为级联故障。

连接线断连

ISO之间的连接线是电网中最重要的线路之一。这些连接线通常用于承载大量电力，作为两个ISO之间交换电力的一部分。其中一条线路中的故障可能导致接收ISO中的巨大功率不足（通常大于1𝐺𝑊），并且很可能由于随后的频率干扰或由于电网运营商的负载减少导致的大规模中断而导致停电。由于它们的重要性，连接线可以成为攻击者的目标。为了使该线路过载，攻击者可以打开线路导入端区域内的大功率IoT设备，并关闭出口端的设备（使用设备的IP地址） 。这会使连接线过载并导致其跳闸。

增加运营成本

当需求超过预测值时，ISO需要从备用发电机获得额外的电力。这些备用发电机的成本通常高于原有的发电机。因此，使用储备发电机可以显着增加电网运营商的发电成本，但同时对于运行备用发电机的公司而言是有利可图的。因此，对手攻击的目标可能是使电力市场中的特定公司受益，而不是损害基础设施。对手可以通过在一天的特定时间和特定位置缓慢增加需求（例如，一次接通几个设备）来实现该目标。

MadIoT攻击具有独特的属性：

首先，电网运营商很难检测和断开MadIoT攻击的来源。主要原因是安全漏洞存在于物联网设备中，但攻击发生在电网上。

其次，MadIoT攻击很容易重复。攻击者可以在不同的时间很容易的地重复攻击，以找到攻击最有效的时间。

第三，MadIoT攻击是黑盒子。攻击者不需要知道电网的底层拓扑或详细的操作属性。

最后，电网没有做好抵御MadIoT攻击的准备。

4.实验描述

实验基于计算机模拟。

使用MATPOWER和Power-World模拟器。 MATPOWER是一个开源MATLAB库，广泛用于计算电网中的功率流。

PowerWorld是一个工业级软件套件，被业界广泛用于电力系统的频率稳定性分析。

对于PowerWorld中的频率稳定性分析，据悉，没有可用于学术研究的大规模现实电网。因此，为了评估MadIoT攻击对系统频率的影响，使用了WSCC 9总线网格模型，该模型代表了西部电力系统协调委员会（WSCC）的简单近似 - 有9条总线，9条线路和315MW的电力需求。下图是WSCC9总线网络模型：

为了评估MadIoT攻击对电力流动的影响，我们使用波兰电网，这是最大和最详细的公开可用的现实世界电网之一。我们在其2004年夏季用电高峰时使用波兰电网数据 - 拥有2736条总线，3504条线路和18GW的电力需求 。而且在其2008年夏季的用电高峰期 - 拥有3120条总线，3693条线路和21GW的电力需求。两者都可以通过MATPOWER库获得。

4.1频率扰动的评估

在本小节中，我们将评估第3.2节中描述的前两个MadIoT攻击方式。我们考虑WSCC系统的两种操作设置：（a）高惯性和（b）低惯性

每200-300僵尸网络可导致突然发生跳闸

为了显示系统对需求突然增加的频率响应，我们模拟了在高惯性和低惯性情况下所有负载中（a）23𝑀𝑊和（b）30𝑀𝑊的增加。这些值大致可以分别视为负载总线增加20％和30％。我们同样研究了系统对需求突然减少的频率响应。

在这里，我们假设安全频率间隔为58.2𝐻𝑧和61.2𝐻𝑧，这在北美很常见。一旦发电机低于或高于这些值，它就会通过保护继电器与电网断开连接。

如图7（b）和8（b）所示，负载总线分别突然增加或减少30％或20％，导致系统频率低于或高于频率截止限值。因此，攻击者需要200-300个僵尸网络/𝑀𝑊。

 

 每100-200个僵尸网络可以中断电网造成重新启动

我们观察到，在新的设置下，电力需求增加达到10𝑀𝑊的结果是造成黑启动，不同于之前的情况，可以处理所有负载的需求增加20𝑀𝑊。因此，攻击者需要至少100-200个僵尸网络/𝑀𝑊

 

4.2线路故障和级联崩溃的评估

每MW仅需要10个僵尸网络就可以启动级联故障，导致86％的断电

我们假设攻击者将所有负载总线的需求增加1％。我们还假设所有发电机按比例增加其能力，以弥补需求的突然增加。这次攻击导致波兰电网2004年单线故障，但没有中断。然而，从图中可以看出，对波兰电网2008的同样攻击导致线路故障的级联持续5轮，导致263条线路故障和86％中断。 2008年波兰电网总需求增长1％大致相当于210𝑀𝑊，要求对手获得10个机器人/𝑀𝑊，在这种情况下约为21万个空调。这个数字相当于波兰家庭总数的1.5％。

每MW仅需要4个僵尸网络，就可以通过重新分配需求来启动级联故障，从而导致85％的中断

导致线路故障和可能在电网中级联线路故障的另一种方法是在不增加总需求的情况下重新分配需求。

如图所示，在负载总线上进行标准偏差为1𝑀𝑊的小变化，需求大于20𝑀𝑊，导致77条线路故障线路故障和85％的中断。此攻击中需求变化的总绝对值约为80𝑀𝑊，这意味着攻击者只需要4个僵尸网络/𝑀𝑊，或者在这种情况下需要8万个僵尸网络来执行此类攻击。虽然这些变化是随机发生的，但由于这些攻击的隐秘性，它们可以重复而不会引起任何注意，直到它们有效。

 

通过增加（减少）导入（导出）ISO的需求，只需每MW15个僵尸网络可以通过连接线断开

4.3增加运营成本

在这种攻击中，攻击者增加了需求而不一定导致停电，而是显著增加电网的运营成本。

每MW50个僵尸网络可以将运营成本提高20％

5.对策

 

电力系统的运行：电力系统的运营商应该严格分析潜在的MadIoT攻击对其系统的影响，并开发预防方法来保护他们的系统。在学术界和工业界之间建立数据共享平台可能会在未来加快这些发展。

 

物联网安全：正如MadIoT攻击和Mirai僵尸网络所显示的那样，不安全的物联网设备可能带来毁灭性后果，远远超出个人安全/隐私损失。这需要严格追求物联网设备的安全性，包括监管框架。

 

相互依赖性：我们的工作表明，基础设施网络之间的相互依赖性可能会导致隐藏的漏洞。系统设计人员和安全分析师应明确研究由相互依存的基础设施网络（如水，天然气，运输，通信，电网和其他几个网络）引入的威胁。