蕭展輝， 孫剛， 鄒文景

(南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司， 廣州 510663)

在過去十年中，全世界電網(wǎng)系統(tǒng)發(fā)生網(wǎng)絡(luò)攻擊的頻率越來越大，導(dǎo)致產(chǎn)生了巨大的經(jīng)濟損失[1]。因此，對于各國電力公司來說，如何建立電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險模型對于實現(xiàn)穩(wěn)定的安全防衛(wèi)以及降低經(jīng)濟損失具有十分重大的意義[2]。

網(wǎng)絡(luò)安全可以通過更復(fù)雜的防御系統(tǒng)來增強，其中攻擊防御廣域監(jiān)控、保護和控制系統(tǒng)從風險評估到檢測和攻擊緩解再到攻擊抵御，是一個由整個安全生命周期構(gòu)成的安全框架[3]。其中，風險評估對于建立安全保險模型是十分重要的一環(huán)。文獻[4]提出了一種基于模糊集的模糊綜合評價混合多準則決策方法，用于電網(wǎng)企業(yè)輸配電電價監(jiān)管風險評價。文獻[5]提出了一種基于貝葉斯最佳-最差方法的混合多準則決策方法(mixed multiple criteria decision making method,MCDM)，用于中國電網(wǎng)投資風險評估。文獻[6]基于態(tài)勢感知提出了一種主動配電網(wǎng)風險評估方法,運用基于指數(shù)標度法的層次分析法對影響安全穩(wěn)定運行的因素進行了分層評估。文獻[7]對大容量電力系統(tǒng)進行瞬態(tài)脆弱性評估來量化網(wǎng)絡(luò)攻擊的影響。但是上述方法未考慮防御資源分配策略的影響，另外在探索網(wǎng)絡(luò)攻擊造成的長期性系統(tǒng)危害評估等方面還有待提升。

除了風險評估外，如何定制合理的保險策略是建立電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險模型的關(guān)鍵一步。針對如何實現(xiàn)合理地保險策略已經(jīng)存在一系列研究，文獻[8]針對現(xiàn)有可用輸電能力決策方法難以兼顧安全性與經(jīng)濟性，提出了一種基于安全性風險評估與保險機制的可用輸電能力決策方法。文獻[9]針對現(xiàn)有安全性風險評估中嚴重度指標的可比性、可理解性問題，提出一種基于模糊聚類與信息熵相結(jié)合的電網(wǎng)保險策略。文獻[10]針對現(xiàn)有安全性風險評估方法對元件差異性表征的不足，提出一種基于K近鄰與支持向量機相結(jié)合的電網(wǎng)安全保險策略。雖然上述方法取得了一定效果，但是過于關(guān)注風險賠償，未權(quán)衡安全投資與保險費之間的關(guān)系。

為解決上述問題，現(xiàn)提出一種基于Stackelberg博弈模型(Stackelberg security game,SSG)的電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險策略，該方法結(jié)合概率和博弈論建模來評估網(wǎng)絡(luò)攻擊對可靠性的影響，并提出Stackelberg安全博弈模型作為在每個半馬爾可夫過程(semi Markov process,SMP)中跨目標變電站分配防御資源的最佳隨機分配機制。驗證實例證明了提出方法的有效性。

1 網(wǎng)絡(luò)可靠性評估模型

1.1 SMP攻擊容錯模型

電力系統(tǒng)的信息和通信技術(shù)網(wǎng)絡(luò)(information and communication technologies,ICT)通過廣域網(wǎng)(wide area network,WAN)連接的有3個主要部分：發(fā)電運行、控制中心和變電站，每個部分都使用局域網(wǎng)(local area network,LAN)來協(xié)調(diào)智能電子設(shè)備[11]。變電站安裝通過監(jiān)控與數(shù)據(jù)采集(supervisory control and data acquisition,SCADA)系統(tǒng)監(jiān)控可能遭受網(wǎng)絡(luò)攻擊的變電站。網(wǎng)絡(luò)攻擊的原理如下：在這些攻擊中，攻擊者的目標是滲透防火墻或繞過VPN以訪問變電站的SCADA服務(wù)器[12]。在獲得SCADA服務(wù)器的根權(quán)限后，攻擊者可能惡意操縱電壓和電流測量值，或發(fā)送錯誤命令以跳閘變電站中的斷路器。因此，網(wǎng)絡(luò)攻擊可能會切斷發(fā)電機組和輸電線路與電網(wǎng)的連接，導(dǎo)致較大的經(jīng)濟損失。

ICT的廣泛應(yīng)用給電力系統(tǒng)的網(wǎng)絡(luò)安全帶來了更高的風險[13]。由于SMP模型適用于評估每個變電站SCADA系統(tǒng)的網(wǎng)絡(luò)攻擊，本文中利用SMP建立了SCADA系統(tǒng)的攻擊容錯模型。如圖1所示，網(wǎng)絡(luò)攻擊的隨機過程由一組狀態(tài)組成Sn={G,V,H,C,A,T,R,M,F}。這些狀態(tài)可分為兩類：瞬態(tài)和吸收態(tài)。瞬態(tài)將SCADA系統(tǒng)的攻擊過程從正常工作狀態(tài)映射到故障狀態(tài)，以SSG確定的給定概率將系統(tǒng)恢復(fù)到良好狀態(tài)。吸收狀態(tài)將恢復(fù)過程從故障狀態(tài)映射到正常工作狀態(tài)(恢復(fù)狀態(tài)R除外)，滿足瞬態(tài){G,V,H,C,A,T,R}∈St和吸收態(tài){M,F}∈Sa。

p表示相應(yīng)的功率，T表示狀態(tài)，下標DC表示微電網(wǎng)圖1 SCADA系統(tǒng)的攻擊容錯模型Fig.1 Attack fault tolerance model of SCADA system

SMP具體步驟如下。

步驟1SMP從良好狀態(tài)G開始，系統(tǒng)沒有網(wǎng)絡(luò)安全風險。一旦網(wǎng)絡(luò)安全策略失效，SCADA系統(tǒng)將從良好狀態(tài)G過渡到脆弱狀態(tài)V。

步驟2當攻擊者成功獲得目標服務(wù)器的權(quán)限時，SCADA系統(tǒng)進入主權(quán)狀態(tài)H。

步驟3當攻擊者從目標服務(wù)器滲透以獲取整個網(wǎng)絡(luò)中連接服務(wù)器的權(quán)限后，網(wǎng)絡(luò)連接狀態(tài)C。

步驟4在處于狀態(tài)C時，攻擊者在服務(wù)器中嵌入后門程序，以增加SCADA系統(tǒng)的漏洞。如果成功發(fā)起主動攻擊，系統(tǒng)將進入攻擊狀態(tài)A。

步驟5在入侵狀態(tài)下{G,V,H,C,A}， 如果SCADA系統(tǒng)的檢測策略暴露了攻擊過程，則中斷攻擊過程，系統(tǒng)返回到良好狀態(tài)G。

步驟6如果SCADA系統(tǒng)具有冗余，以便在主動攻擊下提供正常服務(wù)，則會出現(xiàn)屏蔽危害狀態(tài)M。

步驟7當在網(wǎng)絡(luò)攻擊期間檢測到攻擊時，達到分類狀態(tài)T。在這種狀態(tài)下，會考慮各種防御方法來應(yīng)對攻擊。如果投入防御資源來維持攻擊，則會進入恢復(fù)狀態(tài)R。否則，系統(tǒng)進入故障狀態(tài)F并導(dǎo)致網(wǎng)絡(luò)損壞。以上是整個網(wǎng)絡(luò)攻擊過程。

1.2 建立網(wǎng)絡(luò)攻擊模型

SMP模型的瞬態(tài)捕獲了攻擊從良好狀態(tài)到故障狀態(tài)的動態(tài)過程，其特征是平均妥協(xié)時間(mean time to compromise,MTTC)。實際上，MTTC是基于漏洞和脆弱性數(shù)據(jù)進行建模的。本文中將SMP模型應(yīng)用于目標變電站的MTTC評估。相比之下，平均修復(fù)時間(mean time to repair,MTTR)描述了SCADA系統(tǒng)從故障狀態(tài)恢復(fù)到良好狀態(tài)的平均時間。

將馬爾可夫核中的第(j,i)個轉(zhuǎn)移概率表示為pij，可通過擬合脆弱性發(fā)生數(shù)據(jù)獲得其經(jīng)驗值；網(wǎng)絡(luò)攻擊SMP模型的馬爾可夫轉(zhuǎn)移矩陣可以表示為

(1)

(2)

由瞬態(tài)i的平均訪問次數(shù)定義訪問計數(shù)器Vi。結(jié)合轉(zhuǎn)移概率和平均逗留時間，MTTC可以解析計算。個人訪問計數(shù)器的關(guān)系為

(3)

通過矩陣劃分，從Pn中獲得由瞬態(tài)St組成的子矩陣Pt表達式為

(4)

將Pt中的元素代入式(3)，可以得到一個線性系統(tǒng)，由于系統(tǒng)行列式始終為非0，因此可以保證該系統(tǒng)Vi的唯一解。因此存在關(guān)系式

(5)

(6)

另一種從數(shù)值上獲取序列{Vi}的方法是提取矩陣It-Pt逆轉(zhuǎn)置的第一列，即

s.t.V″=(It-Pt)-1=[V″1，V″2，…，V″j]T

(7)

式(7)中：It是與Pt大小一樣的單位矩陣。另一方面，網(wǎng)絡(luò)攻擊的隨機性由隨機變量估計的轉(zhuǎn)移概率和平均逗留時間進行建模，即

(8)

(9)

(10)

(11)

(12)

網(wǎng)絡(luò)攻擊的隨機性由給定變量生成的時間序列建模，威布爾分布是失效分析中常用的一種分布函數(shù)，是本文所選的變量類型。TTCλ遵循威布爾分布的概率密度函數(shù)為

(13)

(14)

通過下式關(guān)系實現(xiàn)狀態(tài)持續(xù)時間采樣，即

(15)

1.3 損失函數(shù)建模

本研究中評估的電力系統(tǒng)可靠性性能指標為經(jīng)濟損失，預(yù)期中斷成本(expected interruption cost,EIC)的表達式為

(16)

式(16)中:Ω為一組負載損失參數(shù)；Ci負荷削減；Di為持續(xù)時間；W(Di)為單位中斷成本。本研究假設(shè)W(Di)與Di成正比；μ為系數(shù)。

2 保險策略

網(wǎng)絡(luò)保險原則的設(shè)計目標如下：①保險費應(yīng)足以覆蓋潛在損失的索賠；②變電站應(yīng)能負擔得起保險費。在本節(jié)中，所包含的損失指的是可靠性性能，即負荷中斷引起的經(jīng)濟損失。

一個基本的保險原則是預(yù)期價值保險費?？紤]到潛在的損失X， 預(yù)期保險費的表達式為

π(X)=(1+ρ)E(X)

(17)

式(17)中：ρ為風險負荷系數(shù)(risk load factor,RLC)。RLC設(shè)為正值，以緩沖不確定性、管理成本，并提供一定的利潤率。另一方面，RLC通常相對較低，以保證保險產(chǎn)品的可承受性。即使RLC較低，只要保險池足夠大，大數(shù)定律也能保證保險人收取的總保險費足以彌補全部潛在損失。然而，由于網(wǎng)絡(luò)安全威脅的性質(zhì)，不同變電站的網(wǎng)絡(luò)相關(guān)損失可能會有所不同。因此，需要性能更優(yōu)的保險費原則來定價和管理這些潛在的相關(guān)風險。

(18)

式(18)中：VRα(Y)=inf{y:P(Y>y)≤α}，α∈(0,1)。表示控制總損失LT超過總保險費PT1的置信水平α，即P(LT>PT1)=α。

定義2基于風險尾部價值VtR(tail value at risk,TVaR)得到的總保險費：為確保保險費更好地彌補潛在損失，保險公司更保守的選擇是通過風險尾部價值的總保險費，即

(19)

總損失LT超過總保險費PT2的概率會受到置信水平α的限制， 即P(LT>PT1)<α。從這個意義上講，TtR保險費原則比VR更保守。

定義3VR和VtR衍生保險費：通過VR(π1)和VtR(π2)的保險費表達式分別為

(20)

(21)

對于總保險費而言，分配的個人保險費相對于總保險費PT1和PT2為

(22)

(23)

另外一種保險費策略(π3)是根據(jù)個人對總VtR的貢獻，對PT2進行分配，定義為

π3(Xi)=E[Xi|LT>VRα(LT)]

(24)

提出的保險費策略與傳統(tǒng)策略的主要區(qū)別在于考慮了風險之間的潛在相關(guān)性，傳統(tǒng)的保險費策略基于邊際特征設(shè)計價格風險，而沒有考慮依賴性。在網(wǎng)絡(luò)保險的背景下，這可能會導(dǎo)致保險公司出現(xiàn)嚴重的損失情況。本文中保險費設(shè)計是根據(jù)總損失確定保險費用，從而大大降低了保險公司破產(chǎn)風險。

3 博弈論網(wǎng)絡(luò)保險框架

應(yīng)用博弈論對電力系統(tǒng)進行分散控制，從而降低通信基礎(chǔ)設(shè)施的故障風險。通過避免自上而下的設(shè)計，分布式多人博弈可以將電力系統(tǒng)動力學(xué)建模為博弈中的組件參與者。Stackelberg博弈是一類層次博弈，主導(dǎo)代理先于跟隨代理執(zhí)行策略。代理可以是一名參與者或一個關(guān)系協(xié)調(diào)的團隊。在兩人Stackelberg安全博弈中，防御者是領(lǐng)導(dǎo)者，攻擊者是追隨者。與一般算法相比，多目標SSG的緊湊形式算法可以大大加快計算速度。

由于防御網(wǎng)絡(luò)物理系統(tǒng)(cyber-physical systems,CPS)的資源通常很少，因此有效分配防御資源的策略決定了目標抵抗對手的能力，防御資源是指量化可用安全預(yù)算的權(quán)重分配系統(tǒng)。防御資源反映了構(gòu)建安全對策所需的相對成本和付出，包括身份驗證、授權(quán)、加密、防火墻、防病毒軟件、入侵檢測系統(tǒng)等，以確保變電站的網(wǎng)絡(luò)安全，可以將防御資源投資于必要的防御機制中，以抵御網(wǎng)絡(luò)攻擊。

最大無差異優(yōu)化博弈(optimizing resources in games using maximal indifference,ORIGAMI)中是雙方博弈中的一種算法，本文中引入ORIGAMI的目的是識別每個目標的漏洞?？紤]SSG中每個變電站的可用安全預(yù)算，該算法可作為防御方的風險評估方法，預(yù)測系統(tǒng)中潛在的網(wǎng)絡(luò)安全威脅。每個變電站部署分布式ORIGAMI在相關(guān)變電站上分配防御資源，保護目標免受潛在的網(wǎng)絡(luò)攻擊，本文中將ORIGAMI算法引入到網(wǎng)絡(luò)安全威脅下的電力系統(tǒng)可靠性分析中，考慮了最優(yōu)防御資源分配方案。ORIGAMI將原來的NP-hard問題轉(zhuǎn)化為更有效的迭代形式，算法1描述了ORIGAMI的詳細過程。

算法1:考慮最優(yōu)防御資源分配的變電站保護范圍1:輸入:目標集τ={τ1,τ2,…,τn},防御資源m2:通過一組隨機變量生成{Uuα,τi},{Ucα,τi}。3:根據(jù)未發(fā)現(xiàn)攻擊者的收益對目標進行排序{Uuα,τi}4:初始化left←m,next←1,C←0,{ΔpDC(τi)}←0,CvgBnd←-inf5:repeat6:for i=1 do7:計算ΔpDC(τi)←Uuα(next)-Uuα(τi)Ucα(τi)-Uuα(τi)8:if pDC(τi)+ΔpDC(τi)≥19:CvgBnd←max(CvgBnd,Ucα,τi)10:計算sum[ΔpDC(τi)]11:if CvgBnd≥-inf,或者ΔpDC(τi)≤left12:Break;13:C(τ)←C(τ)+ΔpDC(τ)14:left←left-sum[ΔpDC(τi)]15:next++16:計算ratio(i)←1/(Uuα,τi-Ucα,τi),i=1:next17:計算sum[ratio(i)]18:for i=1 do19:pDC(τi)←pDC(τi)+ratio(i)*leftsum[ratio(i)]20:if Cvg(τi)≥121:CvgBnd←max(CvgBnd,Ucα,τi)22:if CvgBnd>-inf23:pDC(τi)←CvgBnd-Uuα(τi)Ucα(τi)-Uuα(τi),i=1:nextUntilnext==n24:輸出C={pDC(τi)}

在ORIGAMI算法中，SSG模型由攻擊者α和防御者β在目標集上τ={τ1,τ2,…,τn}的防御范圍序列C={pDC(τi)}。假設(shè)每個目標τi從良好狀態(tài)開始，對于攻擊者和防御者，都會考慮兩種情況：一種是防御者覆蓋目標，或暴露目標，收益函數(shù)的表達式為

(25)

(26)

(27)

式(27)中：a(τi)∈{0,1}。 當防御者選擇最優(yōu)混合策略以最大化防御者的收益時，就會出現(xiàn)SSG中始終保證存在強Stackelberg均衡(SSE)解的情況。在典型的雙方SSG中，除非博弈是零和博弈，否則SSE不符合納什均衡。ORIGAMI通過隨機覆蓋每個目標的初始收益函數(shù)來計算攻擊者/防御者的收益，從而加速防御資源的分配。防御者在此設(shè)置下的最佳混合策略可通過多項式時間函數(shù)計算，隨機分配初始收益有助于對攻擊進行加密。ORIGAMI的特點是迭代搜索攻擊者的最小收益，其防御范圍大致與防御者的最大收益一致。

ORIGAMI根據(jù)負載總線的變電站所有權(quán)，基于每個目標的攻擊/防御收益分配防御資源。在算法1中，防御資源m分配給單個目標，或者根本不分配，生成防御覆蓋序列C={pDC(τi)}。

網(wǎng)絡(luò)安全可靠性評估：根據(jù)變電站分區(qū)信息中顯示的所有權(quán)邊界，將電力系統(tǒng)劃分為獨立的變電站，SMC模型中的經(jīng)驗平均值可以通過擬合實際中的脆弱性數(shù)據(jù)獲得。在SMP模型中，通過算法1中得到的{pDC(τi)}進行防御資源的分配。然后結(jié)合轉(zhuǎn)移概率和平均逗留時間的隨機性，合成MTTC統(tǒng)計量，通過采樣的TTC生成網(wǎng)絡(luò)攻擊的時間序列。如果至少存在一次變電站停運，則進行最優(yōu)潮流分析，以最小化負荷削減。然后記錄總負荷削減和負荷損失持續(xù)時間。重復(fù)該過程，直到達到停止條件。

網(wǎng)絡(luò)保險費估算：基于蒙特卡羅模擬(Monte Carlo simulation,MCS)中負荷損失的統(tǒng)計記錄，計算基于MCS結(jié)果的可靠性價值。然后確定變電站的網(wǎng)絡(luò)保險費。

4 數(shù)值計算與分析

4.1 基本案例的損失評估

用于本文中網(wǎng)絡(luò)保險框架案例研究的IEEE可靠性測試系統(tǒng)RTS-96的單線圖如圖2所示。IEEE RTS-96由3個相同區(qū)域、6條區(qū)域間傳輸線組成，詳情見文獻[14]。假設(shè)測試系統(tǒng)由7個獨立的變電站單獨操作。每個變電站的TC1-TC7的負載母線如表1所示：TC1-TC2位于1區(qū)，TC3-TC5位于2區(qū)，TC6-TC7位于3區(qū)。

圖2 RTS-96的單線圖Fig.2 Single line diagram of RTS-96

表1 變電站總線的負荷所有權(quán)Table 1 Load ownership of substation bus

在案例研究中，連續(xù)MCS使用SMP模型來估計變電站受到的網(wǎng)絡(luò)攻擊。對于每個變電站，使用SSG在SMP模型中分配防御資源覆蓋率，系數(shù)μ設(shè)為2.225 k$/(MW·h)。

以下參數(shù)是案例研究中SMP模型的平均值：

(28)

由算法1直接確定{pDC(τi)}，除了參數(shù)外，防御資源的分配還決定了攻擊容錯能力，從而決定了每個變電站的安全級別。在低防御覆蓋率(low defense coverage,LDC)的情況下，可用的防御資源僅足以保護每個變電站中20%的變電站。本案例組研究在防御資源預(yù)算緊張的情況下，驗證了SSG的有效性。另一方面，還分析了當有充足的防御資源時，跨變電站的損失分布情況。在高防御覆蓋率(high defense coverage,HDC)的案例組中，可用防御資源增加到覆蓋率為80%的變電站。根據(jù)式(28)和{pDC(τi)}中上述SMP平均值計算的標稱MTTC如圖3所示，變電站按照各個變電站中總線號的升序排序。具有高防御覆蓋率的變電站可以提供更強大的網(wǎng)絡(luò)攻擊防護。例如，變電站的TC1有13條總線，防御覆蓋率高，防御資源設(shè)為mU1=13×80%≈10，分配為

圖3 變電站標稱MTTCFig.3 Nominal MTTC of substation

{pDC(τi)}TC1={0.549 1,0.575 7,0.377 8,

0.870 4,0.517 1,0.699 6,

1.000 0,0.461 0,0.734 0,

0.894 4,0.756 2,0.889 3,

0.898 7}

(29)

防御覆蓋序列的總和受防御資源的限制。為了證明，令sum[pDC(τi)]U1≤mU1。 將式(28)和式(29)換為式(6)和式(9)，得到標稱MTTC(天數(shù))為

{MTTC}TC1={154.91,159.95,128.79,

249.51,149.27,188.43,330.67,140.29,198.21,261.38,205.08,258.77,263.63}

(30)

同樣，可以計算其他變電站的標稱MTTC。在這兩個案例組中，考慮了相互依存的各種優(yōu)勢：ζ=0，ζ=0.7，以及ζ=1，相互依存的強度是變電站高度脆弱性的一個促成因素。向目標/變電站發(fā)起網(wǎng)絡(luò)攻擊，每個變電站的時間序列由SMP模型中的隨機變量確定。本文中假設(shè)當進入故障狀態(tài)的變電站受到網(wǎng)絡(luò)攻擊時，連接的發(fā)電機和輸電線路會跳閘。然后在變電站中執(zhí)行最優(yōu)潮流(optimal power flow,OPF)，從而保證在發(fā)電容量不足和網(wǎng)絡(luò)約束條件下可以最小化負荷削減。根據(jù)OPF結(jié)果計算可靠性指標，即收益損失。最后，根據(jù)網(wǎng)絡(luò)攻擊造成的收益損失分布，運用精算保險原理估算變電站的保險費。

在低防御覆蓋率的案例組中，各種情況下的預(yù)期值(EIC)、標準偏差(SD)和變異系數(shù)(CoV)如表2所示。預(yù)期值和標準偏差隨相互依存度ζ的增加略有變化，CoV處于典型范圍[0.64,0.76]。圖4中的損失分布直方圖與表2中的值一致，對于不同程度的相互依賴強度，計數(shù)器且大致服從單調(diào)分布。如圖5所示的相關(guān)矩陣表明，變電站之間的相關(guān)性隨著常見網(wǎng)絡(luò)風險的增加而增加。除了對角線項(必須為1)外，相關(guān)平面的平坦度很高。當ζ=0時，任何兩個變電站都不具有相互依賴性，這一事實表明相關(guān)性接近于0。當ζ=0.7是，相關(guān)性范圍為[0.20,0.30]。當ζ=1時，相關(guān)性非常高，為0.69。

圖4 損失分布直方圖Fig.4 Loss distribution histogram

圖5 低防御覆蓋率的相關(guān)矩陣Fig.5 Correlation matrix of low defense coverage

表2 LDC中變電站的預(yù)期值(k $)、標準差(k $)和經(jīng)濟損失變化系數(shù)Table 2 Expected value(k $), standard deviation (k $) and economic loss variation coefficient of substation in LDC

在采用高防御覆蓋率的案例中，圖6中的高損失消失得很明顯。在邊緣分布中，可以觀察到概率質(zhì)量轉(zhuǎn)移到低損失區(qū)域。低端損失分布的集中也導(dǎo)致CoV增加，取值范圍為[0.64,0.76]，如表3所

表3 HDC變電站的預(yù)期值(k $)、標準差(k $)和經(jīng)濟損失變化系數(shù)Table 3 Expected value(k $), standard deviation(k $) and economic loss variation coefficient of HDC substation

圖6 高防御覆蓋率分布直方圖Fig.6 High defense coverage distribution histogram

示，在變電站中可以觀察到損失的大幅減少。另外從圖7可以發(fā)現(xiàn)，相互依賴的強度隨著高防御覆蓋率而降低。當ζ=0時，表示完全不相關(guān)。當ζ=0.7時，會產(chǎn)生低相關(guān)性，其范圍為[0.15,0.25]。當ζ=1時，相關(guān)性提高到[0.45,0.60]。從相關(guān)矩陣可以發(fā)現(xiàn)，損失相對減少和較弱的相互依賴性都是高防御覆蓋率所導(dǎo)致的，任何兩個變電站之間的相關(guān)性因變電站的互連和網(wǎng)絡(luò)攻擊安全性而異。

圖7 高防御覆蓋率的相關(guān)矩陣Fig.7 Correlation matrix of high defense coverage

給定SMP模型中參數(shù)的平均值，變電站的統(tǒng)計主要由防御資源覆蓋率和各自的負載分布決定。由于假定的網(wǎng)絡(luò)攻擊均勻地發(fā)射到每個變電站，因此負載分布更均勻的變電站將保持更高的電力安全性。例如，與變電站的TC1相比，變電站的TC6的峰值負載更高，但攻擊引起的損失更低。變電站的保險費目的是反映網(wǎng)絡(luò)攻擊造成的損失分布，變電站的SMC模型中變化的相互依賴的強度ζ會對保險費產(chǎn)生影響。

4.2 精確保險費計算

使用保險費原則式(20)、式(21)、式(24)，計算所有變電站的保險費，其中所有保險費的置信水平均設(shè)為α=5%。從保險人的角度來看，最好將風險控制在相對較低的水平。具體而言，π1(VaR的保險費)旨在確?？偙ｋU費大于總損失，概率為1-α。π2(TVaR的保險費)保證總保險費超過總損失的概率大于1-α。盡管兩者在每個變電站中表現(xiàn)出相同的趨勢，但是π2比π1可以更好地彌補潛在損失。與π2不同，π3(通過TVaR簡化保險費)分配總保險費TP2基于變電站對總TVaR的貢獻，而不是與特征相關(guān)的比率。從而π3更好地反映單個變電站對保險組合風險的責任。單個保險費估計使用π2及π3的結(jié)果很接近，根據(jù)本文保險費原則，重新引入風險負荷系數(shù)(risk load coefficient,RLC)，作為衡量保險費可承受性的指標，它衡量的是保險費超過風險預(yù)期價值的比例,即

ρi(Xi)=π(Xi)/E(Xi)-1

(31)

由于常見的網(wǎng)絡(luò)風險，單個RLC將大大高于傳統(tǒng)保險業(yè)務(wù)中的RLC(通常低于50%)。如表5所示，相對于ζ=0，相互依存強度的增加會導(dǎo)致高保險費。此外，在有限的采樣年份下，MCS產(chǎn)生的結(jié)果容易受到風險不確定性的影響，這反映在單個變電站的高RLC上。

保險費策略旨在通過降低單個保險費來激勵高防御覆蓋率，從表5中可以發(fā)現(xiàn)，在高防御覆蓋率的實例中，保險費的顯著減少。在表4和表5中，使用π3估計的個人保險費總和與使用π2進行重分配的總和相等。RLC隨著防御范圍的增加而增加，表明預(yù)期損失的減少幅度大于保險費。綜合以上分析，單個保險費與防御資源覆蓋率呈負相關(guān)，與相互依存度呈正相關(guān)。

表4 變電站在較低防御范圍下的精算保險費Table 4 Actuarial premium of substation under lower defense range

表5 變電站在較高防御范圍下的精確保險費Table 5 Actuarial premium of substation under lower defense range

5 結(jié)論

為了評估網(wǎng)絡(luò)風險并且長期規(guī)劃保險費用，提出了一種基于Stackelberg博弈模型的電力系統(tǒng)可靠性網(wǎng)絡(luò)安全保險策略。通過案例結(jié)果分析可以得出如下結(jié)論。

(1)本文的保險策略有效地解決了不同電力公司損失的依賴性問題，并且能夠有效處理安全投資與保險費節(jié)約之間的關(guān)系。

(2)變電站之間的相關(guān)性隨著常見網(wǎng)絡(luò)風險的增加而增加。損失相對減少和較弱的相互依賴性都是高防御覆蓋率所導(dǎo)致的，任何兩個變電站之間的相關(guān)性因變電站的互連和網(wǎng)絡(luò)攻擊安全性而異。

(3)單個保險費與防御資源覆蓋率呈負相關(guān)，與相互依存度呈正相關(guān)。在高防御覆蓋率的條件下，保險費顯著減少。