梁　耀,馮冬芹

(浙江大學(xué) 智能系統(tǒng)與控制研究所 工業(yè)控制技術(shù)國家重點(diǎn)實(shí)驗(yàn)室,浙江 杭州 310027)

?

基于攻擊增益的工業(yè)控制系統(tǒng)物理層安全風(fēng)險(xiǎn)評估

梁耀,馮冬芹

(浙江大學(xué) 智能系統(tǒng)與控制研究所 工業(yè)控制技術(shù)國家重點(diǎn)實(shí)驗(yàn)室,浙江 杭州 310027)

摘要:通過借鑒多輸入多輸出(MIMO)系統(tǒng)中變量配對的思想,基于相對增益陣列(RGA)設(shè)計(jì)衡量閉環(huán)狀態(tài)下每個(gè)輸出對不同攻擊輸入的敏感程度的指標(biāo),即閉環(huán)攻擊增益矩陣.結(jié)合逼近理想解(TOPSIS)法,提出定量分析工業(yè)控制系統(tǒng)物理層安全風(fēng)險(xiǎn)的評估方法.通過精餾塔實(shí)驗(yàn)平臺的案例分析,直觀地展現(xiàn)攻擊效果,驗(yàn)證閉環(huán)攻擊增益矩陣的正確性,得出控制回流比的設(shè)備區(qū)域在該控制系統(tǒng)物理層中安全風(fēng)險(xiǎn)最大.實(shí)驗(yàn)結(jié)果表明,該評估方法能較全面地結(jié)合被控對象的客觀屬性,科學(xué)合理地量化評估工業(yè)控制系統(tǒng)物理層中潛在的安全風(fēng)險(xiǎn).

關(guān)鍵詞：安全風(fēng)險(xiǎn)評估；工業(yè)控制系統(tǒng)物理層；多輸入多輸出(MIMO)系統(tǒng)；相對增益陣列(RGA)；閉環(huán)攻擊增益矩陣；逼近理想解(TOPSIS)

工業(yè)控制系統(tǒng)(industrial control system,ICS)指的是由工業(yè)被控對象和控制單元所構(gòu)成的有機(jī)整體,ICS在很多領(lǐng)域得到了應(yīng)用,包括電力、水設(shè)施、石油和天然氣、化工、交通、造紙和離散制造等[1].然而,隨著通用的通信網(wǎng)絡(luò)和多樣化的信息技術(shù)(information technology,IT)組件在ICS中得到了應(yīng)用,使得這些領(lǐng)域的ICS更容易受到安全威脅[2].如何對工業(yè)控制系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估成了ICS安全性研究的熱點(diǎn),也是本文的研究重點(diǎn).

工業(yè)控制系統(tǒng)安全問題不僅與信息層有關(guān),也與物理層有關(guān)[3].傳統(tǒng)的IT系統(tǒng)因?yàn)楹苌倥c物理系統(tǒng)相關(guān)聯(lián),所以即使出現(xiàn)了系統(tǒng)安全事故,也不會影響物理環(huán)境.但在工業(yè)領(lǐng)域則不同,不僅信息層與物理層結(jié)合,而且因?yàn)槲锢韺又械墓I(yè)對象或過程的特點(diǎn),其本身就可能存在嚴(yán)重的安全威脅,比如高溫、高壓、腐蝕、強(qiáng)電等.那么,信息層中的某些漏洞可能被惡意操控，使物理層中的不安全因素超出人們的可控范圍,因而一旦出現(xiàn)安全問題,不僅會造成信息資源的損失,還會造成物理環(huán)境的破壞,甚至產(chǎn)生巨大的經(jīng)濟(jì)、環(huán)境、生命財(cái)產(chǎn)的損失.

關(guān)于利用信息層中的漏洞來破壞工業(yè)控制系統(tǒng)的安全事件已經(jīng)被諸多新聞媒體所報(bào)道[4-9].作為第一個(gè)被發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊武器,“震網(wǎng)”病毒[10-12]直觀地展現(xiàn)了信息層漏洞對ICS物理層造成的嚴(yán)重威脅,利用“零日漏洞”有效地避免反病毒軟件的檢測,為破壞鈾濃縮工廠中的離心機(jī)保護(hù)系統(tǒng)提供了保障[13].由于這些保護(hù)系統(tǒng)中的控制器操控了每個(gè)離心機(jī)上的閥門和壓力傳感器,即控制了物理層設(shè)備,使得“震網(wǎng)”病毒可以通過感染這些控制器來達(dá)到破壞目的.換言之,“震網(wǎng)”病毒找到了物理層中的脆弱點(diǎn).

工控系統(tǒng)安全性相關(guān)研究已經(jīng)認(rèn)識到物理層的重要性,并且開始結(jié)合具體的被控對象模型進(jìn)行研究.Mo等[14]利用線性時(shí)不變模型作為被控對象,創(chuàng)新性地分析了重放攻擊下的攻擊模型,論證了重放攻擊實(shí)現(xiàn)的條件,并給出了檢測重放攻擊的措施.Cárdenas等[15]對實(shí)際的Tennessee-Eastman PCS化工過程進(jìn)行數(shù)學(xué)建模,設(shè)計(jì)了可行的攻擊方式,并通過仿真說明了攻擊破壞反應(yīng)爐中壓力的有效性.Kwon等[16]從系統(tǒng)的角度分別分析了攻擊傳感器和執(zhí)行器對系統(tǒng)造成的影響,并就無人機(jī)的導(dǎo)航系統(tǒng)進(jìn)行建模仿真,重現(xiàn)了攻擊者劫持無人機(jī)的場景.Teixeira等[17]基于網(wǎng)絡(luò)控制的四階水箱系統(tǒng)進(jìn)行仿真驗(yàn)證,給出了攻擊的場景、影響和應(yīng)對措施.但是,上述研究在考慮攻擊行為時(shí),只是隨機(jī)地選取某個(gè)輸入量或反饋量,然后分析攻擊這些量對系統(tǒng)性能造成的影響,并沒有給出攻擊選取的依據(jù)和規(guī)則,也就是說并沒有真正分析物理層中對象的安全風(fēng)險(xiǎn)究竟在何處.

傳統(tǒng)的信息安全風(fēng)險(xiǎn)評估已經(jīng)取得了一定的成果[18-20],但是,由于IT系統(tǒng)與工業(yè)控制系統(tǒng)存在巨大的差異性,使得信息安全風(fēng)險(xiǎn)評估的結(jié)論不能直接應(yīng)用在工業(yè)控制系統(tǒng)中[21].由于應(yīng)用場合的不同,上述研究不能結(jié)合實(shí)際的物理層對象,所得出的指標(biāo)就不能全面地反映工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn).

針對上述可以改進(jìn)的地方,本文從物理層對象出發(fā),給出工業(yè)控制系統(tǒng)物理層的安全風(fēng)險(xiǎn)評估辦法.通過數(shù)學(xué)建模,將安全風(fēng)險(xiǎn)評估問題轉(zhuǎn)化為攻擊增益計(jì)算問題,并提出攻擊效果的量化指標(biāo)——閉環(huán)攻擊增益矩陣.將每個(gè)攻擊輸入對所有輸出產(chǎn)生的攻擊增益進(jìn)行權(quán)衡,把風(fēng)險(xiǎn)評估問題進(jìn)一步轉(zhuǎn)化為多屬性決策問題,采用逼近理想解(technique for order preference by similarity to ideal solution, TOPSIS)法,定量給出工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)的綜合評估值.基于精餾塔模型進(jìn)行仿真,驗(yàn)證前述閉環(huán)攻擊增益矩陣的正確性,并找出該控制系統(tǒng)中安全風(fēng)險(xiǎn)最大的區(qū)域.

1問題描述

在對系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估時(shí),比較常用的是攻防對抗模型,因?yàn)楣シ离p方都期望找到系統(tǒng)中安全風(fēng)險(xiǎn)最大的地方.另外,風(fēng)險(xiǎn)評估還可以從系統(tǒng)自身可靠性的角度出發(fā),通過分析系統(tǒng)中一個(gè)或多個(gè)組件發(fā)生故障后對系統(tǒng)安全的影響,進(jìn)而找到風(fēng)險(xiǎn)最大的地方.雖然攻擊和故障存在本質(zhì)上的區(qū)別,檢測方法也不同,但是對于系統(tǒng)的安全風(fēng)險(xiǎn)評估問題,考慮的是兩者的效果,本文選擇進(jìn)行統(tǒng)一分析.這樣就可以將安全風(fēng)險(xiǎn)評估問題轉(zhuǎn)化成攻擊效果評估問題,而評價(jià)攻擊效果的一個(gè)很重要的因素就是攻擊的穩(wěn)態(tài)增益,因此有必要對存在攻擊的控制系統(tǒng)進(jìn)行建模分析.

1.1MIMO控制系統(tǒng)模型

大型工業(yè)生產(chǎn)過程或被控對象都是多輸入多輸出的(multiple input and multiple output, MIMO),因此對工業(yè)控制系統(tǒng)的物理層對象進(jìn)行安全風(fēng)險(xiǎn)分析時(shí),以MIMO模型作為研究對象符合客觀規(guī)律.如圖1所示為MIMO控制系統(tǒng)簡化后的結(jié)構(gòu)圖,包括控制器、控制網(wǎng)絡(luò)、執(zhí)行器、被控對象、傳感器,圖中省略了執(zhí)行器和傳感器.假設(shè)圖1中的n輸入n輸出對象的數(shù)學(xué)模型可以用開環(huán)傳遞函數(shù)表示,在任意時(shí)刻k,對象的傳遞函數(shù)模型如下：

Yk(s)=Gk(s)·Uk(s),

(1)

(2)

式中：Yk(s)=L[y(k)],Uk(s)=L[u(k)],y(k)=[y1(k),y2(k),…,yn(k)]T.u(k)=[u1(k),u2(k),…,un(k)]T；u(k)∈Rn是k時(shí)刻的作用在對象上的n維輸入向量,uj(k)表示u(k)的第j個(gè)元素，即第j個(gè)輸入；y(k)∈Rn是k時(shí)刻對象的n維輸出向量,yi(k)表示y(k)的第i個(gè)元素，即第i個(gè)輸出,i,j=1,2,…，n.L是拉氏變換運(yùn)算符,Gk(s)是k時(shí)刻對象的開環(huán)傳遞函數(shù),并假設(shè)Gk(s)是非奇異的,即輸出量之間不相關(guān).第i個(gè)回路使用的控制器為Ci.

圖1　多輸入多輸出控制系統(tǒng)示意圖Fig.1　Schematic diagram of multiple input multiple output control (MIMO) control system

1.2攻擊模型

為了找到系統(tǒng)中安全風(fēng)險(xiǎn)最大的區(qū)域,從攻擊行為對系統(tǒng)的影響效果出發(fā),假設(shè)攻擊方具備下述的特點(diǎn)：

1) 攻擊方了解控制系統(tǒng)的控制結(jié)構(gòu),即各回路的組成關(guān)系；

2) 攻擊方了解被控對象的模型Gk(s),并且能從控制網(wǎng)絡(luò)中獲得對象任意時(shí)刻的輸入、輸出狀態(tài)uj(k)和yi(k)；

3) 攻擊方能任意修改在控制網(wǎng)絡(luò)中的數(shù)據(jù),但攻擊方仍然選擇直接攻擊輸入向量u，因?yàn)橹苯庸魝鞲衅鞯臏y量值向量y可能會造成異常檢測器動(dòng)作,而且攻擊y最終也會通過控制器來改變作用在對象上的輸入u；

4) 攻擊方可以記錄每個(gè)輸出量的歷史數(shù)據(jù){yi(0),yi(1),…,yi(k)},并可以對任意輸出量進(jìn)行重放.

這樣,在攻擊存在的情況下,式(1)所描述的被控對象變?yōu)?/p>

(3)

1.3主要問題

對攻擊方而言,實(shí)施攻擊步驟須進(jìn)行3步：根據(jù)攻擊目的確定關(guān)鍵輸出量、選取攻擊矩陣Γ、構(gòu)造攻擊數(shù)據(jù)ua(k).最理想的攻擊方案選擇一個(gè)最優(yōu)攻擊矩陣Γ,即選擇一個(gè)最優(yōu)攻擊點(diǎn),使單位攻擊數(shù)據(jù)ua(k)對關(guān)鍵輸出產(chǎn)生的增益最大.防御方也需要考察哪些輸入對關(guān)鍵輸出的影響程度較大,從而判斷系統(tǒng)中可能存在的安全風(fēng)險(xiǎn).這樣就將安全風(fēng)險(xiǎn)評估問題轉(zhuǎn)化為攻擊增益計(jì)算問題.

但是,工業(yè)生產(chǎn)中的MIMO對象普遍存在耦合現(xiàn)象,并且MIMO對象大多處于閉環(huán)狀態(tài),這使得攻擊增益的確定變得復(fù)雜,因而難以判斷物理層對象中存在的安全風(fēng)險(xiǎn).如何建立一種規(guī)則來計(jì)算攻擊增益,并依此建立一種安全風(fēng)險(xiǎn)評估準(zhǔn)則就是本文要解決的問題.

2閉環(huán)攻擊增益矩陣

在MIMO控制領(lǐng)域,衡量輸入輸出耦合程度最有效的度量方法是Bristol提出的相對增益陣列(relativegainarray,RGA),而且RGA已經(jīng)成功應(yīng)用在實(shí)際工業(yè)過程中,如化工精餾過程、廠級能量循環(huán)等.本文借鑒RGA中輸入輸出關(guān)聯(lián)的思想,并將這種方法應(yīng)用在工業(yè)控制系統(tǒng)物理層對象安全風(fēng)險(xiǎn)分析中.

2.1相對增益陣列

定義1對于如圖1所示的n輸入n輸出的對象,第j個(gè)輸入uj對第i個(gè)輸出yi的關(guān)聯(lián)程度即相對增益(relativegain,RG)定義為除uj外其他輸入量不變時(shí)輸出yi對輸入uj的增益與除yi外其他輸出量不變時(shí)輸出yi對輸入uj的增益的比值,相對增益的表達(dá)式為

(4)

根據(jù)式(4)的定義,可以求出每個(gè)輸入對每個(gè)輸出的關(guān)聯(lián)程度,一共n2個(gè)相對增益值,然后按照下標(biāo)排列成矩陣,即構(gòu)成對象的RGA：

根據(jù)Bristol[22]的研究,有

定理1RGA可以直接由開環(huán)穩(wěn)態(tài)增益矩陣K求出：

(5)

式中:uss和yss分別是穩(wěn)態(tài)輸入和穩(wěn)態(tài)輸出,“.×”代表矩陣點(diǎn)乘,“-T”代表矩陣轉(zhuǎn)置求逆；對于線性時(shí)不變系統(tǒng):

對定理1的證明如下.

令H=K-1,L=HT,則

(6)

顯然,

因此,如果要證明Λ=K.×K-T,只須證明式(7)：

(7)

由于開環(huán)傳遞函數(shù)可逆,

y=K·u ? u=K-1·y=H·y .

展開第j行,得

uj=hj1·y1+…+hji·yi+…+hjn·yn.

進(jìn)一步轉(zhuǎn)化為

(8)

即式(7)得證：

(9)

定理1得證.

2.2攻擊效果量化指標(biāo)

盡管RGA在分析變量關(guān)聯(lián)程度上的最大優(yōu)點(diǎn)是計(jì)算簡單有效,但是,直接使用RG指標(biāo)去分析物理層對象的安全風(fēng)險(xiǎn)存在2個(gè)問題：一是RGA只能定性分析MIMO對象變量的開環(huán)耦合程度,而實(shí)際的MIMO對象已經(jīng)處于閉環(huán)控制結(jié)構(gòu)；二是RGA只衡量了單個(gè)輸出對單個(gè)輸入在開環(huán)與閉環(huán)下增益的比值,而不是“相對”其他輸入的增益,其結(jié)果不能描述某個(gè)關(guān)鍵輸出對不同攻擊輸入對的敏感程度.因此,本節(jié)結(jié)合實(shí)際MIMO對象閉環(huán)的特點(diǎn),不使用λij作為評估指標(biāo),而使用λij的分母,即輸入對輸出的閉環(huán)增益,作為量化值,并提出閉環(huán)狀態(tài)下衡量關(guān)鍵輸出yi對不同攻擊輸入敏感程度的量化指標(biāo)——閉環(huán)攻擊增益矩陣P,然后根據(jù)矩陣P進(jìn)一步推導(dǎo)出MIMO系統(tǒng)的安全風(fēng)險(xiǎn)評估準(zhǔn)則或攻擊矩陣的選取規(guī)則.

定義2閉環(huán)攻擊增益矩陣P為

(10)

式中：

(11)

閉環(huán)攻擊增益矩陣P的第i行表示在閉環(huán)條件下,選取不同的攻擊輸入分別對輸出yi的穩(wěn)態(tài)增益.選擇該指標(biāo)的原因有：一方面,RGA中的元素λij可以由穩(wěn)態(tài)增益陣K直接求出,而且

φij為矩陣K中第i行、第j列的元素，因此該指標(biāo)計(jì)算簡單有效；另一方面,該指標(biāo)很好地滿足了實(shí)際MIMO對象的閉環(huán)特征,因而能夠量化閉環(huán)下不同的攻擊輸入對關(guān)鍵輸出的影響程度.結(jié)果表明,矩陣P的計(jì)算同樣只需要利用穩(wěn)態(tài)開環(huán)增益矩陣,而不需要了解系統(tǒng)的精確模型,簡單有效.

定理2在2種攻擊情況下,攻擊所產(chǎn)生的閉環(huán)增益為

(12)

定理2的證明如下.

(13)

根據(jù)RGA的定義,

可得

(14)

(15)

根據(jù)開環(huán)傳遞函數(shù)可得

(16)

除去矩陣K中的第m行、第j列后,可以得到n-1個(gè)線性方程組.類似于式(8),通過求解上述線性方程組,可以將yi表達(dá)成式(17)的形式：

(17)

由于攻擊是以增量的形式疊加在原運(yùn)行點(diǎn)上的,可以寫出式(17)形式的增量式：

(18)

(19)

則

(20)

中對應(yīng)下標(biāo)的值.

定理2得證.

對閉環(huán)攻擊增益矩陣的推導(dǎo)借鑒了RGA分析MIMO對象輸入輸出關(guān)聯(lián)程度的思想.實(shí)際上,RGA的實(shí)質(zhì)就是最大限度地利用開環(huán)信息對閉環(huán)性能進(jìn)行預(yù)測.因此,即使閉環(huán)回路的控制器種類發(fā)生變化,抑或是控制結(jié)構(gòu)發(fā)生變化,閉環(huán)攻擊增益矩陣的算法仍然能保持正確性.

盡管推導(dǎo)來自攻擊假設(shè),但是從攻擊和故障的效果分析,閉環(huán)攻擊增益矩陣也可以用于分析系統(tǒng)可靠性問題.

3控制系統(tǒng)物理層安全風(fēng)險(xiǎn)評估

雖然閉環(huán)攻擊增益矩陣P可以對攻擊效果進(jìn)行精確的衡量,但是矩陣P的元素只能反映某個(gè)攻擊輸入對一個(gè)目標(biāo)輸出的攻擊增益.當(dāng)控制系統(tǒng)存在多個(gè)輸出與物理安全相關(guān),就不能只考慮攻擊對單個(gè)輸出的增益，因此，有必要對攻擊增益進(jìn)行權(quán)衡,并給出一個(gè)綜合的攻擊增益評估值,然后利用這個(gè)綜合評估值來衡量控制系統(tǒng)中物理層的安全風(fēng)險(xiǎn).

3.1評估方法

安全風(fēng)險(xiǎn)評估問題又進(jìn)一步轉(zhuǎn)化成多屬性決策問題,解決多屬性決策問題的方法有很多,包括簡單加權(quán)法、層次分析法、TOPSIS方法[23]等.其中,TOPSIS方法在多屬性決策領(lǐng)域得到了廣泛的研究和應(yīng)用,其最大的優(yōu)點(diǎn)在于計(jì)算簡單,并能在統(tǒng)一的標(biāo)準(zhǔn)下定量給出決策集元素的評估值,因此本文選擇TOPSIS方法作為安全風(fēng)險(xiǎn)評估的核心方法.

此時(shí),輸出集合Θ={y1,y2,…,yn}相當(dāng)于屬性集;輸入集合Φ={u1,u2,…,un}相當(dāng)于決策評價(jià)對象集.屬性集與對象集之間的對應(yīng)關(guān)系正好是閉環(huán)攻擊增益矩陣P=(pij)n×n.

安全風(fēng)險(xiǎn)評估的步驟如下.

1) 屬性歸一化,得到標(biāo)準(zhǔn)決策矩陣

從攻擊效果的角度看,安全風(fēng)險(xiǎn)評估應(yīng)考慮增益的絕對值,因此標(biāo)準(zhǔn)決策矩陣Ω中的元素都取正值.

(2) 構(gòu)造加權(quán)歸一化矩陣T=(tij)n×n,并假設(shè)已經(jīng)對每個(gè)輸出的關(guān)鍵程度進(jìn)行了評估,權(quán)重向量為

W=[ω1,ω2,…,ωn],

3) 求出正負(fù)理想解.攻擊輸入uj對輸出yi的閉環(huán)增益絕對值越大,表征這個(gè)輸入的安全風(fēng)險(xiǎn)越高,屬于效益型指標(biāo)：

這樣就唯一地確定了n維空間中正負(fù)理想解的位置:

4) 計(jì)算每個(gè)評價(jià)對象與正負(fù)理想解的歐式距離.評價(jià)對象uj與正理想解A+、負(fù)理想解A-的距離分別為

5) 計(jì)算每個(gè)評價(jià)對象的綜合效用值:

(21)

這樣得到的綜合效用值就是期望的綜合評估值,ξj的實(shí)際意義就是攻擊輸入uj對所有輸出產(chǎn)生的攻擊增益的權(quán)衡值,也就是控制系統(tǒng)輸入uj處的安全風(fēng)險(xiǎn)評估值.最后,選取這些指標(biāo)構(gòu)成控制系統(tǒng)物理層的安全風(fēng)險(xiǎn)評估向量：

ξ=(ξ1,ξ2,ξ3,…，ξn) .

(22)

式中：風(fēng)險(xiǎn)評估值ξj的取值始終在區(qū)間[0,1.0]內(nèi),因此有一個(gè)統(tǒng)一的標(biāo)準(zhǔn),其越大說明輸入uj的安全風(fēng)險(xiǎn)越大.

3.2評估算法時(shí)間復(fù)雜度分析

為了保證實(shí)時(shí)對系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評估,需要了

解工業(yè)對象的實(shí)時(shí)工作點(diǎn),從而獲得對象的開環(huán)傳遞函數(shù),進(jìn)而估算評估算法的時(shí)間復(fù)雜度問題.算法時(shí)間復(fù)雜度主要包括2個(gè)部分：閉環(huán)增益矩陣P計(jì)算和TOPSIS方法計(jì)算,并且都集中在矩陣運(yùn)算中.

1) 閉環(huán)增益矩陣P時(shí)間復(fù)雜度分析．

一般來說,計(jì)算n階矩陣的乘法和求逆所需的時(shí)間復(fù)雜度都是o(n3),因此,當(dāng)根據(jù)開環(huán)穩(wěn)態(tài)增益矩陣K求得RGA的復(fù)雜度為

t1(n)=o(n3)+o(n3)；

另外還需要求出n2-n個(gè)n-1階新RGA矩陣,其復(fù)雜度為

t2(n)=(n2-n){o[(n-1)3]+o[(n-1)3]}.

2) TOPSIS方法時(shí)間復(fù)雜度分析.

一般來說,計(jì)算n階矩陣與向量的乘法所需的時(shí)間復(fù)雜度都是o(n2).對于TOPSIS的每一步計(jì)算所需的時(shí)間復(fù)雜度分別為t3(n)=n×o(n)、t4(n)=o(n2)、t5(n)=n×o(n)、t6(n)=o(n2)、t7(n)=o(n).從而可得整個(gè)評估算法的時(shí)間復(fù)雜度為

(23)

可以看出,整個(gè)評估算法的復(fù)雜度集中在閉環(huán)攻擊增益矩陣的計(jì)算中.

4仿真結(jié)果及分析

為了形象地觀察1.2節(jié)所述的攻擊模型對MIMO控制系統(tǒng)的影響效果,并驗(yàn)證閉環(huán)攻擊增益矩陣的正確性,考慮 Huang等[24]所使用的簡化后的精餾塔過程模型：

[ΔT,ΔP,ΔL]T=G(s)·[ΔQB,ΔD,ΔR]T.

該式是系統(tǒng)處于穩(wěn)態(tài)后的小增益模型，Δ表示增量其余變量如下：輸入控制量QB為再沸器熱載,D為塔頂餾出量,R為回流比；輸出量T為控制塔板溫度,P為控制塔內(nèi)壓強(qiáng),L為回流釜液位.該模型可以模型簡化為

[y1，y2，y3]T=G(s)·[u1，u2，u3]T.

(24)

其中,開環(huán)傳遞函數(shù)為

根據(jù)G(s)可以得到穩(wěn)態(tài)增益矩陣K、相對增益陣列Λ：

根據(jù)RGA配對規(guī)則[25],選擇QB-T、P-R、L-D,即y1-u1、y2-u3、y3-u2構(gòu)成回路進(jìn)行閉環(huán)控制,控制器都采用比例積分(proportion-integration,PI)控制器,控制系統(tǒng)的結(jié)構(gòu)如圖2所示.

圖2　精餾塔控制系統(tǒng)示意圖Fig.2　Schematic diagram of rectifying tower control system

根據(jù)定理2,可以求出閉環(huán)攻擊增益矩陣：

(25)

4.1閉環(huán)攻擊矩陣驗(yàn)證

假設(shè)系統(tǒng)初始狀態(tài)均為零,在t=0時(shí)刻給定參考輸入,幅值分別為1、2、3的階躍信號.設(shè)定在t>5 000 s之后,攻擊行為才發(fā)生,攻擊強(qiáng)度都是在t=5 000 s時(shí)刻輸入的基礎(chǔ)上附加相同的攻擊增量：

圖3　不同攻擊輸入下目標(biāo)輸出隨時(shí)間變化曲線Fig.3　History curve of target output under separated attack

根據(jù)單一變量原則,先選定一個(gè)輸出作為攻擊目標(biāo),再分別選取u1、u2、u3作為攻擊點(diǎn),繪制該輸出隨時(shí)間的變化曲線,仿真結(jié)果如圖3所示.從定性角度看,當(dāng)y1是與物理安全相關(guān)的變量時(shí),攻擊輸入u2對y1的影響最大,這與矩陣P的第一行元素反映的規(guī)律是一致的.定量分析攻擊后穩(wěn)態(tài)輸出y1,分別為-0.817 6、7.071 0、2.403 2,因此不同攻擊輸入對輸出y3的閉環(huán)增益分別為-1.817 6、6.071 0、1.403 2,與矩陣P的第三行元素相同.圖3(b)和(c)的分析結(jié)果相同,因此,仿真結(jié)果從定性和定量的角度均驗(yàn)證了閉環(huán)攻擊增益矩陣提出的正確性.g12(s)中存在大延遲和大時(shí)滯環(huán)節(jié),控制器沒有采用微分環(huán)節(jié),因此輸出y1的響應(yīng)存在超調(diào)和調(diào)節(jié)時(shí)間長的現(xiàn)象.

4.2安全風(fēng)險(xiǎn)評估

針對控制塔板溫度T、控制塔內(nèi)壓強(qiáng)P、回流釜液位L對系統(tǒng)安全的影響程度,不妨選取權(quán)重矩陣為

根據(jù)第4章中提出的安全風(fēng)險(xiǎn)評估辦法,可以得到該控制系統(tǒng)的安全風(fēng)險(xiǎn)評估向量：

(26)

可以看出,輸入u3(即回流比R處)的安全風(fēng)險(xiǎn)最高,其次是塔頂餾出量D,安全風(fēng)險(xiǎn)最低的是再沸器熱載QB.因此,控制回流比R的相關(guān)設(shè)備,如:PLC、控制電機(jī)、閥門等,需要采用安全防護(hù)等級和可靠性較高的設(shè)備,而且控制網(wǎng)絡(luò)中對應(yīng)的信息通道也需要采取一定的信息安全措施.

5結(jié)語

本文提出了一種評估工業(yè)控制系統(tǒng)物理層安全風(fēng)險(xiǎn)的有效方法.該評估方法能較全面地結(jié)合工業(yè)被控對象的客觀屬性,科學(xué)合理地量化評估工業(yè)控制系統(tǒng)物理層中潛在的安全風(fēng)險(xiǎn).但是,本文在工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評估問題上只考慮了物理層對象的安全風(fēng)險(xiǎn),并沒有考慮信息層,而且在權(quán)重向量W的選取上會出現(xiàn)“一票否決”問題.因此,如何結(jié)合信息層的風(fēng)險(xiǎn)來對工業(yè)控制系統(tǒng)進(jìn)行全面的安全風(fēng)險(xiǎn)評估是下一步研究的方向.

參考文獻(xiàn) (References)：

[1]STOUFFERK,FALCOJ,SCARFONEK.Guidetoindustrialcontrolsystems(ICS)security[J]. NIST special publication, 2011,800(82):16.

[2] ZHU Q, BASAR T. Game-theoretic methods for robustness, security, and resilience of cyberphysical control systems: games-in-games principle for optimal cross-layer resilient control systems [J]. Control Systems, IEEE, 2015, 35(1): 46-65.

[3] TEIXEIRA A, PEREZ D, SANDBERG H, et al. Attack models and scenarios for networked control systems [C] ∥ Proceedings of the 1st international conference on High Confidence Networked Systems. Beijing: ACM, 2012: 55-64.

[4] TURK R J. Cyber incidents involving control systems [R]. Idaho National Engineering and Environmental Laboratory, 2005.

[5] REED T. At the abyss: an insider’s history of the cold war [M]. New York: Presidio Press, 2007.

[6] SLAY J, MILLER M. Lessons learned from the maroochy water breach [M]. Berlin: Springer US, 2007, 253: 73-82.

[7] IGURE V M, LAUGHTER S A, WILLIAMS R D. Security issues in SCADA networks [J]. Computers and Security, 2006, 25(7): 498-506.

[8] OMAN P, SCHWEITZER E, FRINCKE D. Concerns about intrusions into remotely accessible substation controllers and SCADA systems [C]∥Proceedings of the Twenty-Seventh Annual Western Protective Relay Conference. Washington:WPRC, 2000, 160.

[9] HALPERIN D, et al. Pacemakers and implantable cardiac defibrillators: Software radio attacks and zero-power defenses [C] ∥ Security and Privacy, IEEE Symposium on. California: IEEE, 2008: 129-142.

[10] GREENGARD S. The new face of war [J]. Communications of the ACM, 2010, 53(12): 20-22.[11] CHEN T. Stuxnet, the real start of cyber warfare?[Editor’s Note] [J]. Network, IEEE, 2010, 24(6): 2-3.

[12] FIDLER D P. Was stuxnet an act of war? decoding a cyber attack [J]. IEEE Security and Privacy, 2011, 9(4): 56-59.

[13] FUBEERF. The secret of stuxnet [EB/OL]. (2015-08-04). [2015-07-01]. http:∥www.freebuf.com/articles/system/19059.html.

[14] MO Y L, SINOPOLI B. Secure control against replay attacks [C]∥ 47th Annual Allerton Conference on Communication, Control, and Computing. Allerton: IEEE, 2009: 911-918.[15] CRDENAS A A, AMIN S, LIN Z S, et al. Attacks against process control systems: risk assessment, detection, and response [C] ∥Proceedings of the 6th ACM symposium on information, computer and communications security. Hong Kong: ACM, 2011: 355-366.

[16] KWON C, LIU W, HWANG I. Security analysis for cyber-physical systems against stealthy deception attacks [C] ∥ American Control Conference (ACC), 2013. Washington: IEEE, 2013: 3344-3349.

[17] TEIXEIRA A, SHAMES I, SANDBERG H, et al. A secure control framework for resource-limited adversaries [J]. Automatica, 2015, 51: 135-148.

[18] KHAKZAD N, KHAN F, AMYOTTE P. Safety analysis in process facilities: comparison of fault tree and bayesian network approaches [J]. Reliability Engineering and System Safety, 2011, 96(8): 925-932.

[19] CUI X L, TAN X B, Z Y, et al. A Markov Game theory-based risk assessment model for network information system [C] ∥ 2008 International Conference on Computer Science and Software Engineering. Wuhan: IEEE, 2008: 1057-1061.

[20] HAWRYLAK P J, HANEY M, PAPA M, et al. Using hybrid attack graphs to model cyber-physical attacks in the smart grid [C]∥Resilient Control Systems (ISRCS) 2012 5th International Symposium on. Utah: IEEE, 2012: 161-164.

[21] ALVARO A, CRDENAS A A, SAURABH A. Research challenges for the security of control systems [C]∥Proceedings of the 3rd Conference on Hot Topics in Security, California: HOTSEC,2008:1-6.

[22] BRISTOL E. On a new measure of interaction for multivariable process control [J]. IEEE transactions on automatic control, 1966,11(1): 133-134.

[23] HWANG C L, LAI Y J, LIU T Y. A new approach for multiple objective decision making [J]. Computers and Operations Research, 1993, 20(8): 889-899.

[24] HUANG H P, OHSHIMA M, HASHIMOTO I. Dynamic interaction and multiloop control system design [J]. Journal of Process Control, 1994, 4(1): 15-27.

[25] GAGNEPAIN J P, SEBORG D E. Analysis of process interactions with applications to multiloop control system design [J]. Industrial and Engineering Chemistry Process Design and Development, 1982, 21(1): 5-11.

DOI:10.3785/j.issn.1008-973X.2016.03.025

收稿日期：2015-08-04.

基金項(xiàng)目：國家自然科學(xué)基金資助項(xiàng)目(61223004);工業(yè)控制系統(tǒng)安全脆弱性分析與建模的理論與應(yīng)用研究.

作者簡介：梁耀(1993-)，男，碩士生，從事工業(yè)控制系統(tǒng)安全分析研究，ORCID：0000-0002-5505-0633.E-mail:liangyaoxp@zju.edu.cn 通信聯(lián)系人：馮冬芹，男，教授，博導(dǎo)，ORCID:0000-0002-3034-0933.E-mail:dqfeng@iipc.zju.edu.cn

中圖分類號：TP 11

文獻(xiàn)標(biāo)志碼：A

文章編號：1008-973X(2016)03-08-0589

Security risks assessment for physical layer of industrial control system based on attack gain

LIANG Yao, FENG Dong-qin

(InstituteofCyber-SystemsandControl,StateKeyLaboratoryofIndustrialControlTechnology,ZhejiangUniversity,Hangzhou310027,China)

Abstract:Inspired by variable pairing applied in the multiple-input and multiple-output (MIMO) system, an indicator was raised to measure the sensitivity of each output to different attack inputs under close-loop conditions based on relative gain array (RGA), such as close-loop attack gain array. Combined with technique for order preference by similarity to ideal solution (TOPSIS), an assessment method was proposed to quantitatively analyze security risks in the physical layer of an industrial control system. The attack impact was presented intuitively, the correctness of close-loop attack gain array above was verified, and the area related to reflux ratio was found at most risks in the physical layer based on the case study of a rectifying tower testbed. Results show that the proposed assessment method can combine objective attributes of the controlled object more comprehensively, making a quantitative asessment of potential security risks that exist in the physical layer of an industrial control system scientifically and reasonably．

Key words:security risks assessment; physical layer of an industrial control system; multiple-input and multiple-output (MIMO) system; relative gain array (RGA); close-loop attack gain array; TOPSIS