劉 皓

(沈陽航空航天大學(xué) 航空航天工程學(xué)部(院)，沈陽 110136)

顧名思義，信息物理系統(tǒng)是指信息系統(tǒng)和實(shí)際物理系統(tǒng)相融合而成的系統(tǒng)，但并不是簡(jiǎn)單的結(jié)合，而是通過計(jì)算機(jī)、通訊和控制技術(shù)的深度協(xié)作，進(jìn)而實(shí)現(xiàn)工程系統(tǒng)的實(shí)時(shí)感知、動(dòng)態(tài)控制和信息服務(wù)。目前，針對(duì)CPS有多種不同的翻譯方法，比如“信息物理系統(tǒng)”、“信息物理融合系統(tǒng)”、“賽博物理系統(tǒng)”等等，本文擬采用《中國制造2025》中的“信息物理系統(tǒng)”這一提法來進(jìn)行統(tǒng)一命名。作為當(dāng)前科技的研究前沿，CPS集成了物理過程、感知、計(jì)算、網(wǎng)絡(luò)通訊和控制理論，其整體結(jié)構(gòu)框架如圖1所示。目前研究的許多系統(tǒng)都可以歸類于CPS，比如分布式智能電網(wǎng)[1]、分布式多智能體網(wǎng)絡(luò)[2]、人體傳感器網(wǎng)絡(luò)[3]等。隨著技術(shù)的進(jìn)步和科技的發(fā)展，越來越多的國家和研究人員開始重視CPS的研究與應(yīng)用。

由于CPS各部件之間既存在連續(xù)動(dòng)態(tài)又存在離散動(dòng)態(tài)，因此，CPS模型的建立存在很多困難。到目前為止，文獻(xiàn)中存在的CPS模型主要包括：(1)混雜系統(tǒng)模型[4]；(2)基于智能體的模型[5]；(3)基于大數(shù)據(jù)的模型[6]。關(guān)于CPS模型的相關(guān)問題可以參考文獻(xiàn)[7]-[9]。

圖1 信息物理系統(tǒng)的整體結(jié)構(gòu)框架

除建模之外，現(xiàn)存文獻(xiàn)中關(guān)于CPS的研究還集中在感知、通訊、控制器以及安全性等幾個(gè)方面。Guang等[10]從反饋系統(tǒng)的角度對(duì)CPS進(jìn)行了分析與綜述，Ding等[11]對(duì)CPS的安全控制與攻擊探測(cè)進(jìn)行了深入的分析，而Wang等[12]在考慮安全與資源約束的情況下，從CPS的濾波與控制方面給出了相關(guān)綜述。本文將就以下三個(gè)方面對(duì)CPS最新的研究成果進(jìn)行分析與綜述：(1)網(wǎng)絡(luò)攻擊的類型；(2)攻擊的探測(cè)方法；(3)安全估計(jì)與控制問題。

1 CPS中的攻擊分類

通訊網(wǎng)絡(luò)的存在使得CPS很容易受到對(duì)手的攻擊。眾所周知，計(jì)算機(jī)安全主要關(guān)注數(shù)據(jù)和服務(wù)的隱秘性、完整性和有效性。而信息安全主要包括數(shù)據(jù)的保護(hù)，以及可能通過反饋影響物理過程的網(wǎng)絡(luò)攻擊問題等。Teixeira等[13]提出攻擊空間可以分為三個(gè)維度：系統(tǒng)模型知識(shí)、公開源(disclosure resources)以及中斷源(disruption resources)，如圖2所示。圖2中每個(gè)點(diǎn)描述了給定攻擊情形的定性分類，如拒絕服務(wù)(Denial-of-Service,DoS)攻擊不需要系統(tǒng)模型信息也不需要公開源信息，只需要中斷源即可，而隱蔽攻擊需要的信息最多。

如果競(jìng)爭(zhēng)對(duì)手已知系統(tǒng)的模型信息，那么就可以發(fā)動(dòng)較為復(fù)雜的網(wǎng)絡(luò)攻擊，使得被探測(cè)到的概率大為降低，從而改善攻擊的效果。公開源能夠使攻擊者在攻擊過程中獲得系統(tǒng)的敏感信息，但需要注意的是，單獨(dú)的公開源無法發(fā)動(dòng)有效的攻擊，即不能擾亂系統(tǒng)的操作，只能進(jìn)行竊聽，因此，需要配合其他信息才能進(jìn)行更加準(zhǔn)確的攻擊。最后，中斷源可以使得攻擊者對(duì)系統(tǒng)的操作施加影響，比如DoS攻擊，可以直接切斷系統(tǒng)部件之間的信息傳輸，進(jìn)而影響系統(tǒng)的相關(guān)操作。

圖2 信息物理攻擊空間

1.1 DoS攻擊

DoS攻擊又稱拒絕服務(wù)攻擊，可以阻止執(zhí)行器和傳感器數(shù)據(jù)的傳輸。盡管數(shù)據(jù)包的丟失不是隱秘的且可測(cè)的，但是DoS攻擊有時(shí)會(huì)被誤認(rèn)為是由于網(wǎng)絡(luò)環(huán)境較差引起的數(shù)據(jù)包丟失行為。到目前為止，通常采用以下幾種模型來分析DoS攻擊引起的性能下降問題：(1)伯努利模型[14]；(2)馬爾科夫模型[15]；(3)排隊(duì)模型[16]。根據(jù)攻擊的水平，Pang等[17]將DoS攻擊分為弱攻擊和強(qiáng)攻擊兩種，然后采用遞歸網(wǎng)絡(luò)預(yù)測(cè)控制方法來補(bǔ)償由于DoS攻擊引起的負(fù)面影響。王軼楠等[18]考慮了DoS 網(wǎng)絡(luò)攻擊對(duì)電力CPS的影響，然后通過求解稀疏矩陣最優(yōu)化問題，提出一種可以抵御DoS攻擊的電力網(wǎng)絡(luò)控制系統(tǒng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方法。Ding等[19]研究了傳感器數(shù)據(jù)通過多通道傳輸時(shí)受到DoS攻擊的問題，在每一時(shí)刻，傳感器僅僅選擇一個(gè)通道用于傳輸數(shù)據(jù)，從而降低被攻擊的概率，最后，采用零和博弈方法來尋找最優(yōu)策略。然而，論文中采用了納什Q學(xué)習(xí)算法來計(jì)算最大最小值問題，但是該方法需要學(xué)習(xí)的時(shí)間步數(shù)較多。

1.2 重放攻擊

重放攻擊屬于欺騙攻擊的一種，是指攻擊者將獲得某一段時(shí)間內(nèi)的數(shù)據(jù)重復(fù)注入，使得系統(tǒng)重復(fù)接收該時(shí)間段內(nèi)的數(shù)據(jù)，而無法獲取新的數(shù)據(jù)。對(duì)于無線傳感器網(wǎng)絡(luò)中存在的蟲洞攻擊，競(jìng)爭(zhēng)者可以通過在兩個(gè)終點(diǎn)之間創(chuàng)建一個(gè)網(wǎng)絡(luò)連接，重復(fù)回放在不同區(qū)域觀測(cè)到的信息[20]。Amin等[21]采用偏微分方程切換邊界控制理論，建立了重放攻擊模型，并將其應(yīng)用于水流的數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)的研究。Zhu等[22]針對(duì)網(wǎng)絡(luò)控制系統(tǒng)的重放攻擊問題進(jìn)行了深入的分析，并采用預(yù)測(cè)控制方法設(shè)計(jì)了相應(yīng)的控制器。值得注意的是，重放攻擊不需要系統(tǒng)模型的信息，但是同時(shí)需要公開源和中斷源。也就是說，攻擊者能夠通過竊聽等相關(guān)手段獲得某一時(shí)間段內(nèi)的系統(tǒng)數(shù)據(jù)，然后將該段數(shù)據(jù)通過能夠侵入的通道傳輸給系統(tǒng)，進(jìn)而達(dá)到影響系統(tǒng)性能的目的。從被攻擊者角度來講，通?？梢圆捎迷趥鬏?shù)臄?shù)據(jù)包中加入時(shí)間戳的方法來檢測(cè)系統(tǒng)是否受到重放攻擊。

1.3 假數(shù)據(jù)注入攻擊

假數(shù)據(jù)注入攻擊是指競(jìng)爭(zhēng)對(duì)手通過在某些可以侵入的通道注入假的數(shù)據(jù)，進(jìn)而引起系統(tǒng)性能下降的攻擊方式，并且該攻擊具有一定的隱秘性。根據(jù)隱秘性的不同水平，可以分為嚴(yán)格隱秘攻擊(或稱0-隱秘攻擊)和ε-隱秘攻擊，其中，ε為隱秘性水平，其值越大說明隱秘性越差，反之隱秘性越好。此外，隱秘性水平和探測(cè)水平是相關(guān)的。本文將根據(jù)系統(tǒng)特性和注入數(shù)據(jù)的不同，將假數(shù)據(jù)攻擊分為以下三類討論：零動(dòng)態(tài)攻擊、常值偏差注入攻擊和隱秘攻擊。

零動(dòng)態(tài)和常值偏差注入攻擊都不需要公開源信息，但需要系統(tǒng)信息和中斷源信息。文獻(xiàn)[23]指出，當(dāng)攻擊和系統(tǒng)的輸出解耦時(shí)，該攻擊關(guān)于任意類型的探測(cè)器是嚴(yán)格隱秘的。零動(dòng)態(tài)攻擊是嚴(yán)格隱秘的充分必要條件是攻擊系統(tǒng)的初始條件和系統(tǒng)的初始條件是相同的[24]，對(duì)于初始條件不同的情況，還需要具體的分析討論。文獻(xiàn)[25]針對(duì)常值偏差注入攻擊卡爾曼濾波器的問題，采用確定性約束二次規(guī)劃方法對(duì)最壞攻擊的影響進(jìn)行了分析，并給出了減小攻擊影響的傳感器選擇方法。然而，在實(shí)際情況中，攻擊者注入的數(shù)據(jù)可能是隨時(shí)間變化的數(shù)據(jù)(滿足一定的概率分布)，而不是給定的常值偏差，因此，針對(duì)該情況需要加以考慮并深入分析。

現(xiàn)有文獻(xiàn)中，針對(duì)隱秘攻擊的研究成果較多，但是該攻擊成功實(shí)施的要求最高。因?yàn)楣粽卟粌H需要知道系統(tǒng)模型的相關(guān)信息，還要有公開源和中斷源信息，才能在隱秘的情況下達(dá)到較好的攻擊效果。Bai等[26]采用信息熵和數(shù)理統(tǒng)計(jì)的方法給出了嚴(yán)格-隱秘和ε-隱秘攻擊的定義，提出了攻擊信號(hào)需要滿足的條件。采用相同的方法，針對(duì)單輸入單輸出系統(tǒng)，文獻(xiàn)[27]和文獻(xiàn)[28]分別研究了存在隱秘攻擊時(shí)的狀態(tài)估計(jì)和控制問題。但是以上方法僅適用于單輸入單輸出系統(tǒng)，不適用于高階系統(tǒng)。因此，Hung等[29]將上述方法擴(kuò)展到高階系統(tǒng)，通過特征值不等式方法，給出了隱秘攻擊存在性條件。但是，針對(duì)系統(tǒng)狀態(tài)個(gè)數(shù)大于系統(tǒng)輸出個(gè)數(shù)的情況，控制器的目標(biāo)可能被攻擊者竊取，對(duì)于該情況需要進(jìn)一步研究相應(yīng)的攻擊與防御控制問題。針對(duì)隨機(jī)系統(tǒng)遠(yuǎn)端狀態(tài)估計(jì)問題，Guo等[30]研究了基于新息的線性攻擊問題，給出了使得系統(tǒng)性能降低最多的攻擊策略，并且證明了線性攻擊時(shí)最壞攻擊策略滿足零均值的高斯分布。以上討論的都是線性攻擊，針對(duì)非線性攻擊的問題，需要進(jìn)一步研究。此外，文獻(xiàn)[31-34]研究了分布式電網(wǎng)和網(wǎng)絡(luò)系統(tǒng)中存在假數(shù)據(jù)注入攻擊的問題。需要注意的是，現(xiàn)有文獻(xiàn)中不同的攻擊策略對(duì)應(yīng)著不同的攻擊探測(cè)器類型。如何設(shè)計(jì)攻擊策略使得攻擊能夠適應(yīng)不同類型的攻擊探測(cè)器是未來的一個(gè)研究方向。

2 CPS中的攻擊探測(cè)

從上面的分析可以看出，攻擊者的目的是破壞系統(tǒng)的性能，從而達(dá)到攻擊的目的。因此，對(duì)于被攻擊方而言，如果能夠探測(cè)到對(duì)手的攻擊，可以通過改變數(shù)據(jù)傳輸通道或者數(shù)據(jù)加密方式將己方的損失降低到允許范圍內(nèi)?；谠撃康?，攻擊探測(cè)就顯得尤為重要。通常，攻擊的探測(cè)可以分為主動(dòng)探測(cè)和被動(dòng)探測(cè)兩種。主動(dòng)探測(cè)是指系統(tǒng)通過改變系統(tǒng)參數(shù)的方法，使得攻擊數(shù)據(jù)與系統(tǒng)傳輸數(shù)據(jù)存在較大差異，從而判斷攻擊存在的方法。而被動(dòng)探測(cè)是指探測(cè)器不通過主動(dòng)改變數(shù)據(jù)特性的方式而被動(dòng)地進(jìn)行探測(cè)的一種方法。本文主要綜述的是第二種被動(dòng)探測(cè)的研究進(jìn)展情況。目前為止，探測(cè)策略主要分為4種：(1)基于卡爾曼濾波的卡方探測(cè)；(2)基于雙邊檢驗(yàn)的貝葉斯探測(cè)；(3)加權(quán)最小二乘法探測(cè)；(4)類故障診斷與分離技術(shù)探測(cè)。

2.1 基于卡爾曼濾波的卡方探測(cè)

基于卡爾曼濾波的卡方探測(cè)基本思想是檢驗(yàn)受攻擊后新息序列的數(shù)據(jù)特性和未受攻擊的數(shù)據(jù)特性是否相同，如果相同，則探測(cè)器認(rèn)為系統(tǒng)未受攻擊，否則認(rèn)為系統(tǒng)受到攻擊。通過結(jié)合卡爾曼濾波，卡方探測(cè)器有能力檢測(cè)不良數(shù)據(jù)和假數(shù)據(jù)攻擊，比如DoS攻擊、長期或者短期的隨機(jī)攻擊等。需要注意的是，卡方探測(cè)器不能檢測(cè)出基于數(shù)據(jù)特性的假數(shù)據(jù)注入攻擊，因?yàn)閮烧呔哂邢嗤臄?shù)據(jù)特性，而探測(cè)器認(rèn)為系統(tǒng)未受攻擊。Guo等[35]針對(duì)系統(tǒng)的狀態(tài)估計(jì)，研究了存在卡方探測(cè)器的情況下，其最優(yōu)線性攻擊問題，并給出了最優(yōu)攻擊策略。同時(shí)指出，即使攻擊者不知道系統(tǒng)模型信息僅知道公開源信息也可發(fā)動(dòng)有效的攻擊。Mo等[36]針對(duì)數(shù)據(jù)采集與監(jiān)控系統(tǒng)，采用卡方探測(cè)的方法，研究了重放攻擊可行性問題，并通過最優(yōu)化探測(cè)概率給出了相應(yīng)的對(duì)抗策略。然而，傳統(tǒng)的卡方假數(shù)據(jù)探測(cè)器不能用于探測(cè)攻擊策略非高斯分布的情況。此外，文獻(xiàn)[37]-[38]研究了采用卡方探測(cè)器探測(cè)智能電網(wǎng)傳輸是否存在網(wǎng)絡(luò)攻擊的問題。

2.2 基于雙邊檢驗(yàn)的貝葉斯探測(cè)

具有兩個(gè)假設(shè)的雙邊假設(shè)檢驗(yàn)方法是最流行的探測(cè)方法之一，被廣泛應(yīng)用于檢驗(yàn)傳感器網(wǎng)絡(luò)數(shù)據(jù)融合是否受到網(wǎng)絡(luò)攻擊。文獻(xiàn)[30]和文獻(xiàn)[40]研究了系統(tǒng)存在拜占庭攻擊時(shí)的分布式貝葉斯探測(cè)問題，給出了最優(yōu)攻擊策略的閉環(huán)形式。但是，文中所得結(jié)果只適用于1字節(jié)決策情況。為了克服這種限制，文獻(xiàn)[41]采用了基于雙邊假設(shè)的似然比探測(cè)器進(jìn)行攻擊探測(cè)，并且考慮了最大化估計(jì)誤差和最小化探測(cè)概率的折中平衡問題。當(dāng)系統(tǒng)測(cè)量傳輸存在有色噪聲和傳感器數(shù)量一定時(shí)，針對(duì)傳感器位置已知和未知兩種情況，文獻(xiàn)[42]設(shè)計(jì)了改進(jìn)的最大似然比探測(cè)器來防御假數(shù)據(jù)注入的攻擊。

2.3 加權(quán)最小二乘法探測(cè)

在該方法中，加權(quán)最小二乘觀測(cè)器通常被用來構(gòu)造觀測(cè)殘差。為了判斷是否存在不良觀測(cè)數(shù)據(jù)，需要將觀測(cè)殘差與預(yù)先設(shè)定的閾值進(jìn)行比較[43]。此外，對(duì)于測(cè)量數(shù)據(jù)而言，加權(quán)最小二乘法對(duì)于防御攻擊是一種可靠有效的方法，因此被廣泛應(yīng)用于電力系統(tǒng)中。比如，文獻(xiàn)[44]通過采用稀疏最優(yōu)化方法來探測(cè)電網(wǎng)中的假數(shù)據(jù)注入攻擊。當(dāng)電網(wǎng)中存在隱含的假數(shù)據(jù)時(shí)，文獻(xiàn)[45]分析了狀態(tài)估計(jì)的脆弱性，并采用博弈論方法設(shè)計(jì)了相應(yīng)的攻擊策略，但是文中并未考慮攻擊和防御的先后順序問題。

2.4 類故障診斷與分離技術(shù)探測(cè)

眾所周知，故障診斷和分離技術(shù)在檢測(cè)系統(tǒng)以及存在故障時(shí)辨別故障類型方面是十分有效的方法，因此被廣泛應(yīng)用于網(wǎng)絡(luò)控制系統(tǒng)故障診斷，以及發(fā)動(dòng)機(jī)等機(jī)械故障診斷。受此啟發(fā)，當(dāng)信息物理系統(tǒng)存在外部攻擊時(shí)，其易受攻擊性分析受到越來越多的關(guān)注。文獻(xiàn)[46]針對(duì)信息物理系統(tǒng)、攻擊和監(jiān)測(cè)給出了一個(gè)數(shù)學(xué)框架，并從系統(tǒng)理論和圖論角度分析了監(jiān)測(cè)的限制問題，最后分別設(shè)計(jì)了集中式和分布式攻擊診斷和辨識(shí)監(jiān)測(cè)器。受故障診斷狀態(tài)重構(gòu)技術(shù)啟發(fā)，文獻(xiàn)[47]研究了傳感器存在攻擊時(shí)狀態(tài)重構(gòu)的問題，并設(shè)計(jì)了相應(yīng)的事件觸發(fā)狀態(tài)觀測(cè)器。然而，文獻(xiàn)中未考慮系統(tǒng)存在噪聲的情況，針對(duì)該情況，還需要進(jìn)一步的分析研究。

3 CPS中的安全估計(jì)與控制

前面兩節(jié)分別討論了網(wǎng)絡(luò)攻擊的類型和攻擊探測(cè)方法，本節(jié)將主要綜述存在攻擊時(shí)，如何確保安全地進(jìn)行狀態(tài)估計(jì)和控制。最后討論當(dāng)信息物理系統(tǒng)同時(shí)考慮攻擊與安全性問題時(shí)，如何做到攻防兼?zhèn)?，即攻擊方能達(dá)到較好的攻擊效果，而防守方又能將被攻擊后性能的降低減少到最少。因此，博弈論方法可以用來解決上述問題。

3.1 安全性估計(jì)

狀態(tài)估計(jì)問題在控制理論當(dāng)中占有重要的地位，能夠幫助人們更好理解系統(tǒng)的動(dòng)態(tài)特性，以及實(shí)現(xiàn)特殊的控制任務(wù)，尤其是當(dāng)系統(tǒng)狀態(tài)不可直接測(cè)量時(shí)，狀態(tài)估計(jì)就顯得尤為重要。因此，當(dāng)系統(tǒng)受到網(wǎng)絡(luò)攻擊時(shí)，如何保證狀態(tài)估計(jì)的安全性成為一個(gè)重要的研究課題。

當(dāng)系統(tǒng)采用卡方探測(cè)器并且存在假數(shù)據(jù)注入攻擊時(shí)，Hu等[48]研究了網(wǎng)絡(luò)控制系統(tǒng)的安全估計(jì)問題。通過采用系統(tǒng)矩陣的特征值分解與Jordan標(biāo)準(zhǔn)型方法，分別給出了全部通道和部分通道被攻擊時(shí)，確保安全狀態(tài)估計(jì)的充要條件。當(dāng)可以被攻擊的傳感器數(shù)量確定時(shí)，Mishra等[49]給出了可實(shí)現(xiàn)最優(yōu)估計(jì)誤差的邊界，并采用基于可滿足性模理論的技術(shù)，進(jìn)一步減少了可攻擊傳感器子集的搜索時(shí)間。當(dāng)系統(tǒng)存在DoS攻擊時(shí)，Chen等[50]采用預(yù)測(cè)補(bǔ)償策略來減少被攻擊信息的丟失，并且基于降維模型，設(shè)計(jì)了遞歸分布式卡爾曼融合估計(jì)器來解決狀態(tài)估計(jì)問題。針對(duì)三種不同的信息情形，即有限信息、充足信息和改進(jìn)信息情形，Li等[51]基于由可靠傳感器提取的信息和可靠傳感器與被攻擊傳感器之間的相互關(guān)系，分別提出了三種不同的序列數(shù)據(jù)驗(yàn)證和融合方法，解決了不同情形下的安全估計(jì)問題。針對(duì)稀疏傳感器攻擊情況，Lu等[52]分別考慮了固定和切換目標(biāo)攻擊兩種情況，并且假設(shè)切換頻率是有限的。通過設(shè)計(jì)切換勒貝格觀測(cè)器，解決了安全狀態(tài)估計(jì)的問題，并且提出了一個(gè)新的投影算子，確保攻擊估計(jì)的稀疏性。最近，文獻(xiàn)[53]提出了一個(gè)隨機(jī)模型框架，采用有限狀態(tài)隱馬爾可夫模型來描述攻擊系統(tǒng)，解決了聯(lián)合攻擊與狀態(tài)估計(jì)問題，并且將估計(jì)結(jié)果進(jìn)一步應(yīng)用于解決穩(wěn)定線性高斯系統(tǒng)的安全估計(jì)問題。需要指出的是，以上研究大多針對(duì)DoS攻擊和假數(shù)據(jù)攻擊問題進(jìn)行相關(guān)研究，而對(duì)于重放攻擊的研究結(jié)果較少，需要進(jìn)一步的深入研究。

3.2 安全性控制

對(duì)于信息物理系統(tǒng)而言，除了安全狀態(tài)估計(jì)外，還需要考慮不同的安全控制策略，以減少攻擊引起的性能下降。針對(duì)存在DoS攻擊的情況，Pang等[17]研究了網(wǎng)絡(luò)控制系統(tǒng)的安全控制問題，采用遞歸網(wǎng)絡(luò)預(yù)測(cè)控制方法，對(duì)弱DoS攻擊和網(wǎng)絡(luò)環(huán)境約束引起的負(fù)面影響進(jìn)行補(bǔ)償。對(duì)于強(qiáng)DoS攻擊問題，采用多控制器切換的方法解決了安全控制問題。Dolk等[54]針對(duì)DoS攻擊情況，設(shè)計(jì)了基于輸出的動(dòng)態(tài)事件觸發(fā)控制器，并分析了系統(tǒng)的穩(wěn)定性。文獻(xiàn)[55]研究了DoS攻擊下的輸入-狀態(tài)可穩(wěn)性控制問題，并采用切換控制理論中的平均駐留時(shí)間法來描述DoS的攻擊特性，而文獻(xiàn)[56]將該結(jié)果擴(kuò)展到了非線性系統(tǒng)。此外，Befekadu等[15]還研究了DoS攻擊下危險(xiǎn)敏感隨機(jī)控制問題，文中DoS攻擊采用隱馬爾科夫模型來描述，并且證明了最優(yōu)控制問題解的存在僅僅依賴于DoS攻擊序列的路徑估計(jì)。此外，對(duì)于重放攻擊控制問題，Mo等[57]分析了重放攻擊對(duì)控制的影響，并提出了保證探測(cè)概率的對(duì)抗策略。

以上文獻(xiàn)在討論安全控制的同時(shí)，也考慮了攻擊的相關(guān)特性，并且深入探討了攻擊的特點(diǎn)以及攻擊的策略問題。此外，還有一些文獻(xiàn)從純控制論的角度探討了存在網(wǎng)絡(luò)攻擊時(shí)的控制問題。比如，Ding等[58]研究了多智能體系統(tǒng)存在網(wǎng)絡(luò)攻擊與傳感器數(shù)據(jù)丟失情況下的事件觸發(fā)一致性控制問題，文中采用伯努利模型來描述網(wǎng)絡(luò)攻擊。Feng等[59]采用時(shí)齊馬爾科夫模型來描述網(wǎng)絡(luò)攻擊，并為設(shè)計(jì)分布式安全控制器建立了混雜隨機(jī)安全控制框架，給出了均方意義下一致性的條件。最近，Jin等[60]提出了確保信息物理系統(tǒng)安全性的自適應(yīng)控制結(jié)構(gòu)框架，從而保證了系統(tǒng)存在網(wǎng)絡(luò)攻擊時(shí)閉環(huán)系統(tǒng)的最終一致有界性。

然而，以上文獻(xiàn)中，攻擊策略模型較為簡(jiǎn)單，不能很好地描述攻擊的具體策略。因此如何建立更加接近實(shí)際的攻擊模型，以及該攻擊模型下考慮相應(yīng)的安全性控制問題成為一個(gè)重要的研究問題。

3.3 “攻與防”兼顧—博弈論

在以上的研究結(jié)果中，要么研究攻擊達(dá)到最優(yōu)效果，要么研究攻擊探測(cè)或安全估計(jì)與控制達(dá)到最優(yōu)效果。然而，如果同時(shí)考慮攻擊效果和攻擊探測(cè)效果或控制效果更加符合實(shí)際情況，因?yàn)闊o論是攻擊方還是被攻擊方，都希望“自身利益”達(dá)到最大化。基于此，可以采用博弈論的方法來同時(shí)研究信息物理系統(tǒng)中的“攻與防”問題。根據(jù)不同的實(shí)際情況，可以選擇不同的博弈理論，如完全信息動(dòng)態(tài)博弈[61]、不完全信息靜態(tài)博弈[62]、不完全信息動(dòng)態(tài)博弈[63]等。更多關(guān)于博弈論方法選擇的問題可以參考文獻(xiàn)[64]-[65]。

針對(duì)基于信噪比的DoS攻擊問題，Li等[66]采用博弈論方法解決了狀態(tài)估計(jì)問題，并且建立了馬爾科夫博弈框架來描述基于當(dāng)前狀態(tài)的決策過程和上一步信息的相互關(guān)系，最后通過改進(jìn)的納什-Q學(xué)習(xí)算法獲得最優(yōu)解。文獻(xiàn)[67]也通過博弈論方法解決了信息物理系統(tǒng)受到DoS攻擊時(shí)的狀態(tài)估計(jì)問題，并采用馬爾科夫理論進(jìn)一步減小了計(jì)算復(fù)雜度。此外，文獻(xiàn)[68]采用零和博弈的理論解決了網(wǎng)絡(luò)控制系統(tǒng)中存在DoS攻擊的問題，并且指出博弈存在鞍點(diǎn)平衡時(shí)，最優(yōu)的攻擊策略是系統(tǒng)狀態(tài)空間域的隨機(jī)變換。以上文獻(xiàn)中，考慮的都是所謂的納什均衡，并且適用于大部分攻擊類型，比如DoS攻擊，因?yàn)樵擃愋偷墓舨灰蟾?jìng)爭(zhēng)者雙方預(yù)先知道對(duì)方的行動(dòng)。針對(duì)競(jìng)爭(zhēng)雙方?jīng)Q策存在先后順序的情況，文獻(xiàn)[69]采用了Stackelberg博弈的方法，解決了網(wǎng)絡(luò)控制系統(tǒng)存在假數(shù)據(jù)注入攻擊的策略選擇問題。關(guān)于Stackelberg博弈與納什博弈的對(duì)比，可以參考文獻(xiàn)[70]。然而，在博弈論學(xué)習(xí)算法中，如何保證學(xué)習(xí)算法的收斂性和快速性是一個(gè)很重要的問題，需要深入的研究。此外，在采用博弈論的研究方法時(shí)，有些約束條件較強(qiáng)，如何弱化相應(yīng)的條件也需要進(jìn)一步的研究。

4 結(jié)論和未來發(fā)展方向

本文針對(duì)信息物理系統(tǒng)存在攻擊時(shí)，對(duì)相應(yīng)的攻擊類型、攻擊探測(cè)方法，以及安全性估計(jì)與控制最新的研究進(jìn)展進(jìn)行了綜述。下面將給出該方向未來的重點(diǎn)研究方向。

(1)到目前為止，現(xiàn)有文獻(xiàn)研究的都是信息物理系統(tǒng)受到一種攻擊時(shí)的情況，但是對(duì)于攻擊者而言，有可能同時(shí)采用幾種不同的攻擊方式，針對(duì)該情況，如何進(jìn)行相應(yīng)的性能分析與攻擊探測(cè)是一個(gè)難點(diǎn)問題。

(2)由于信息和物理系統(tǒng)的融合，對(duì)系統(tǒng)性能提出來更高的要求，比如安全性、可靠性和穩(wěn)定性等，如何同時(shí)考慮系統(tǒng)參數(shù)對(duì)這些性能的影響，以及如何選擇或設(shè)計(jì)相應(yīng)的參數(shù)也是一個(gè)重點(diǎn)問題。

(3)現(xiàn)存文獻(xiàn)中，大多假設(shè)CPS為線性系統(tǒng)。針對(duì)信息物理系統(tǒng)存在網(wǎng)絡(luò)攻擊時(shí)，其非線性安全估計(jì)與控制問題需要進(jìn)一步研究。

(4)如何將信息物理系統(tǒng)網(wǎng)絡(luò)攻擊的理論研究與實(shí)際的過程問題相結(jié)合，并將其應(yīng)用于實(shí)際的系統(tǒng)當(dāng)中，是未來的重點(diǎn)研究方向。