蒲在毅，張詠梅，賈艷梅

(西華師范大學，南充 637009)

1 引 言

網絡控制系統(tǒng)是由執(zhí)行器、傳感器和控制器組成的空間分布系統(tǒng)，其通過通信網絡上的信息交換進行協(xié)調控制.運輸系統(tǒng)、電力系統(tǒng)、化學工藝、水和天然氣分配網絡、制造和運輸網絡可被視為網絡物理系統(tǒng)(Cyber Physical Systems，CPSs)應用領域示例.CPS是通信能力、計算資源和物理過程的集成.此類系統(tǒng)通常被視為大規(guī)模分布式物理過程，可通過使用對各種基礎設施中的系統(tǒng)運行至關重要的監(jiān)控和數(shù)據(jù)采集(Supervisory Control And Data Acquisition，SCADA)軟件進行監(jiān)控.

考慮到網絡控制系統(tǒng)包丟失和包延遲影響的控制系統(tǒng)設計，NCS還容易受到網絡物理攻擊的影響.文獻[1]指出當攻擊者阻止控制器接收傳感器測量或設備接收控制律時，需要高度重視網絡控制系統(tǒng)的拒絕服務(Denial of Service，DoS)攻擊.文獻[2]指出當攻擊者發(fā)送關于傳感器或執(zhí)行器的虛假信息時，會引入欺騙攻擊.文獻[3]討論了當攻擊者產生人工測量延遲時的重放攻擊問題.文獻[4]通過故障檢測和隔離(Fault Detection and Isolation，F(xiàn)DI)技術，考慮了接近傳統(tǒng)故障的直接物理攻擊問題.CPSs中的協(xié)同攻擊檢測問題似乎與傳統(tǒng)的基于模型的FDI方案中的多部件、傳感器或執(zhí)行器故障檢測問題密切相關，但也存在多個故障可能被認為是一種隨機發(fā)生在執(zhí)行器、傳感器或通信通道上的現(xiàn)象.對此，文獻[5]提出一種網絡攻擊檢測自適應決策模型(Concept-adpting Very Fast Decision Tree，CVFDT)，通過參數(shù)自適應過程簡化算法設定，具有更廣泛的適應性，但是參數(shù)自適應過程具有一定隨機性，精度受到影響且資源占用較高；文獻[6]提出一種網絡攻擊檢測動態(tài)概率標記模型(Dynamic Probabilistic Packet Marking，DPPM)，將網絡的攻擊行為簡化為一個概率模型，簡化了模型表達形式，但是計算精度不高；文獻[7]提出一種網絡攻擊檢測快速決策模型(Very Fast Decision Tre，VFDT)，提高檢測效率，但是檢測精度相對較差.

本文研究了利用幾何控制理論中的輸出置零控制不變子空間設計的一種特殊的隱蔽攻擊，即零動態(tài)攻擊.當攻擊者和防御者都考慮同一個設備模型時，檢測攻擊的唯一機會是假設存在防御行動，迫使攻擊者在有限的時間內執(zhí)行惡意活動，并將有限長時間零動態(tài)攻擊下的網絡物理系統(tǒng)表示為兩個連續(xù)脈沖作用下的線性時不變系統(tǒng)，提出事件檢測的廣義似然比(Generalized Likelihood Ratio，GLR)[8]主動測試版本.

2 網絡控制系統(tǒng)的零動態(tài)攻擊模型描述

2.1 控制系統(tǒng)模型

在本節(jié)中，我們提出了由物理設備和通信網絡、線性二次高斯(Linear-Quadratic-Gaussian，LQG)控制器和異常檢測器描述的網絡控制系統(tǒng)中的網絡/物理攻擊檢測問題[9]，如圖1所示.

圖1 受LQG控制器攻擊的網絡控制系統(tǒng)Fig.1 Network control system attacked by LQG controller

如圖1所示，受LQG控制器攻擊的網絡控制系統(tǒng)可由以下線性離散時間隨機系統(tǒng)表示.

xk+1=Axk+Buk+wk

(1)

yk=Cxk+εk

(2)

式中，xk∈Rn，uk∈Rq和yk∈Rm是狀態(tài)、輸入和測量向量，wk∈Rn和εk∈Rm是零均值不相關高斯隨機序列：

(3)

其中，W>0，V>0.假定初始狀態(tài)x0與ωk和εk不相關，是高斯隨機變量，且有

(4)

對于所有的z，狀態(tài)對(A,C)是可檢測的，狀態(tài)對(A,B)是可穩(wěn)定的，且有

(5)

(6)

由此可得，網絡控制系統(tǒng)的線性二次高斯控制律可定義為

(7)

其中，線性二次高斯控制器設計參數(shù)Q≥0和R>0由下式給出.

(8)

其中，

(9)

(10)

(11)

2.2 零動態(tài)攻擊模型

假設惡意代理可在入侵時間k0實現(xiàn)特定的欺騙攻擊ak，稱為對控制信號的零動態(tài)攻擊.假設為了計算適當?shù)墓舨呗?，攻擊者可以訪問系統(tǒng)的詳細模型.在欺騙攻擊中，攻擊者試圖阻止執(zhí)行器或傳感器接收數(shù)據(jù)完整性.其目的是通過從控制器或傳感器發(fā)送錯誤信息，從實際值修改控制信號或傳感器測量值.錯誤信息可能是錯誤的發(fā)送者身份、錯誤的傳感器測量、錯誤的控制輸入或觀察到測量時的不正確時間[11-12].

(12)

(13)

(14)

(15)

(16)

基于g=∑ε，利用式(16)可得(A-B∑)ξ=λξ,Cξ=0，表明不變零參數(shù)λ成為不可觀測的成對模式(A-B∑,C).

2.3 被動攻擊檢測方案

提出一種被動攻擊檢測方案，利用卡爾曼濾波器的創(chuàng)新序列設計的異常檢測器來實現(xiàn)網絡攻擊防御.定義dδk,k0-1作為時刻k0-1觸發(fā)的d尺寸脈沖，其中δk,k0-1=0、?k≠k0-1、δk,k0-1=1，對于k=k0-1，攻擊模型(14)可改為

(17)

(18a)

(18b)

(19a)

(19b)

(20)

3 彈性防御策略

3.1 零動態(tài)攻擊檢測

對LQG控制器產生的控制信號進行彈性防御策略注入，可以作用于NCS的狀態(tài)變量，而對應用于卡爾曼濾波器創(chuàng)新序列的任何被動檢測器都不可檢測[13].在本節(jié)中，我們給出了一個主動攻擊檢測方案，以揭示零動態(tài)攻擊的存在，并研究了防御者可用于快速恢復NCS正常行為的彈性控制策略，見圖2.

圖2 基于彈性LQG控制器的NCS攻擊Fig.2 NCS attack based on elastic LQG controller

當攻擊在入侵時間kf停止時，ak的后果可以描述為

(21)

(22)

(23a)

(23b)

(24a)

(24b)

可簡化為

(25)

基于|λ|>1(以dλT為上界)，υδk,kf-1的尺寸υ=dλkf-k0-1大于dδk,k0-1的尺寸d，并且脈沖υδk,kf-1現(xiàn)在有機會從異常檢測器中檢測到.當設備模型從式(20)切換到式(25)時，基于主動模型的FDI方案可表示為

(26)

(27)

式中，f(k,kf-1)和h(k,kf-1)可遞歸計算為

(29)

假設H0表示不存在攻擊的無效假設；H1表示kf時的攻擊結束假設.假設H1可以面對無效假設H0，因為：

(30)

且有E{γj}=0,kf-1>j≥0.令P(γj/H1)，P(γj/H0)是γj在H1，H0條件下的高斯概率密度函數(shù)，并將似然比定義為

(31)

(32)

(33)

式中，

(34)

(35)

式中，ε是閾值級別.對于(35)的實現(xiàn)，可在有限大小的滑動窗口上實現(xiàn)最大化.假警報、漏檢和良好的決策率取決于決策級別的選擇和滑動窗口的大小[14].

3.2 彈性LQG控制器

當T(k)>ε時，通過使用Kalman濾波器更新策略，可以避免多次檢測同一脈沖υδk,kf-1，可表示為如下形式.

(36)

(37)

然后，根據(jù)卡爾曼濾波器(5)上應用的更新策略(36)，可推導出自主彈性LQG控制器.為評估所獲得的彈性LQG控制器整體特性，需研究與攻擊信號最大持續(xù)時間τ相關性能標準.

4 實驗分析

4.1 實驗設置

為了對所提網絡控制系統(tǒng)零動態(tài)攻擊控制過程的有效性進行驗證，這里選取Ubuntu 14.04操作系統(tǒng)+硬件設置進行實驗平臺搭建，系統(tǒng)為64位系統(tǒng)，CPU主頻為i5-6500K 2.4 GHz，系統(tǒng)RAM大小為ddr4-1800K 16GB.仿真平臺中，安裝有Wireshark 1.10.3，并結合ZigBee模塊對研究網絡數(shù)據(jù)進行檢測和讀取，實現(xiàn)數(shù)據(jù)實時監(jiān)控.

系統(tǒng)中采用的是Arduino屏蔽，其通過嵌入式802.15.4模塊以及Digi XBee802.15.4 RF模塊進行實現(xiàn)，其所具有的優(yōu)點是傳輸距離長，可達到數(shù)百米，主要用于低功耗網絡數(shù)據(jù)傳輸中，存在的問題容易受到攻擊干擾的影響，這也是本文選取其作為實驗對象的主要原因.

4.2 攻擊檢測精度

本實驗中選取的網絡攻擊檢測模型精度評價指標是混淆矩陣，一般采用的是攻擊檢測正確數(shù)據(jù)數(shù)量占總體攻擊數(shù)據(jù)總量的比例，分為網絡攻擊數(shù)據(jù)的準確率指標以及網絡攻擊數(shù)據(jù)的假陽性率指標，其定義形式分別如下.

(38)

(39)

式中，參數(shù)TN是網絡攻擊檢測的真陰性值；TP是網絡攻擊檢測的真陽性值；FN是網絡攻擊檢測的真陰性值；FP是網絡攻擊檢測的假陽性值.為更加充分的驗證所提算法有效性，選取以下3種算法進行實驗對比分析：網絡攻擊檢測自適應決策模型(CVFDT)、網絡攻擊檢測動態(tài)概率標記模型(DPPM)、網絡攻擊檢測快速決策模型(VFDT).實驗對比數(shù)據(jù)見表1所示.

表1 實驗對比數(shù)據(jù)Tab.1 Experimental comparison data

通過對比表1中實驗結果可知，網絡攻擊檢測模型精度性能上，所提基于主動彈性防御策略的網絡控制系統(tǒng)零動態(tài)攻擊檢測精度保持在95.6%～98.9%結果區(qū)間內，該精度指標要顯著的優(yōu)于CVFDT網絡攻擊檢測算法模型(91.4%～96.7%取值區(qū)間)、DPPM網絡攻擊檢測算法模型(90.1%～93.4%取值區(qū)間)、VFDT網絡攻擊檢測算法模型(88.4%～92.3%).對于選取的假陽性評估指標，本文所提算法網絡攻擊檢測的假陽性率指標為1.2%～3.5%，要明顯低于CVFDT算法網絡攻擊檢測的假陽性率指標(2.3%～6.2%)、DPPM算法網絡攻擊檢測的假陽性率指標(4.2%～8.6%)以及VFDT算法網絡攻擊檢測的假陽性率指標(5.7%～9.6%).通過實驗分析，結果表明所提網絡攻擊檢測模型相對于選取的對比檢測算法模型具有更高的檢測精度.

同時，根據(jù)表1實驗數(shù)據(jù)中針對攻擊信號持續(xù)時間的實驗結果可知，隨著攻擊持續(xù)時間的增加幾種算法的攻擊識別精度均不斷上升，假陽性率均逐漸下降，表現(xiàn)出相對一致的實驗結果變化趨勢.從幾種算法的橫向對比看，本文算法的實驗結果要優(yōu)于選取的幾種對比算法，驗證了所提算法的有效性.

4.3 計算資源效率對比

本節(jié)實驗中計算資源效率對比選取的指標主要有兩個：計算內存占用比例和CPU處理時間.網絡攻擊數(shù)據(jù)數(shù)量區(qū)間是1 000～5 000，計算資源效率對比情況見圖3結果所示.

根據(jù)圖3所示計算資源效率實驗結果可知，對于選取的相同數(shù)量的網絡攻擊樣本，本文算法模型的樣本攻擊檢測所需要的CPU處理時間要顯著的少于選取的CVFDT、VFDT和DPPM三種網絡攻擊檢測算法模型，其中DPPM網絡攻擊檢測算法模型在計算資源效率指標上要優(yōu)于CVFDT和VFDT網絡攻擊檢測算法模型.CVFDT因為在網絡攻擊檢測過程中增加了概率比較適應過程，因此其CPU處理時間最長.

圖3 計算資源效率實驗結果Fig.3 Experimental results of computational resource efficiency

采取相似方式，對網絡攻擊數(shù)據(jù)數(shù)量區(qū)間是1 000～5 000內，幾種對比網絡攻擊檢測算法模型的內存占用指標實驗結果進行對比分析，見圖4.

圖4 內存占用指標實驗結果Fig.4 Experimental results of memory occupancy index

根據(jù)圖4所示內存占用指標實驗結果可知，對于選取的相同數(shù)量的網絡攻擊樣本，本文算法模型的樣本攻擊檢測所需要的內存占用指標要顯著的少于選取的CVFDT、VFDT和DPPM三種網絡攻擊檢測算法模型，其中DPPM網絡攻擊檢測算法模型在內存占用指標上要優(yōu)于CVFDT和VFDT網絡攻擊檢測算法模型.CVFDT同樣因為增加了概率參數(shù)的自適應過程，而導致其內存占用指標相對VFDT模型較高.上述實驗結果驗證了所提算法在計算效率上的性能優(yōu)勢.

5 結 論

本文研究了線性離散隨機系統(tǒng)零動態(tài)攻擊的彈性控制策略.當網絡物理系統(tǒng)的防御機制限制了對手的攻擊窗口時，本文的第一部分表明，傳統(tǒng)的基于模型的故障檢測和隔離方案無法檢測到零動態(tài)攻擊，通過實時數(shù)據(jù)集攻擊檢測結果顯示，所提算法明顯具有更高的攻擊檢測質量.在第二部分中，設計了一個彈性線性二次高斯控制器，能夠快速恢復閉環(huán)系統(tǒng)行為，可利用廣義似然比檢測器給出的信息在線更新卡爾曼濾波器，得到了彈性線性二次高斯控制器，通過算法資源利用效率實驗結果顯示所提算法具有更佳的計算效率和內存利用效率，驗證了算法的有效性.