頡新春 ,費(fèi)敏銳 ,杜大軍

(1.上海大學(xué)機(jī)電工程與自動化學(xué)院,上海 200444;2.內(nèi)蒙古科技大學(xué)信息工程學(xué)院,內(nèi)蒙古包頭 014010)

1 引言

隨著芯片制造技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)及通訊技術(shù)的發(fā)展,工業(yè)應(yīng)用中的控制設(shè)備、儀表和檢測裝置都向智能化、網(wǎng)絡(luò)化方向發(fā)展.閉環(huán)控制系統(tǒng)的控制功能由系統(tǒng)中作為唯一計(jì)算單元的控制器完成逐步發(fā)展為具有高速智能計(jì)算功能并包含某種標(biāo)準(zhǔn)通信協(xié)議的傳感器、執(zhí)行器共同完成.基于工業(yè)現(xiàn)場總線、企業(yè)局域網(wǎng)及Internet為基礎(chǔ)構(gòu)建分布式測控系統(tǒng)正逐步成為當(dāng)前控制系統(tǒng)設(shè)計(jì)的主流.應(yīng)用于工業(yè)過程控制系統(tǒng)的網(wǎng)絡(luò)及現(xiàn)場總線技術(shù)在提高企業(yè)的管理和運(yùn)行效率的同時(shí)也增加了整個控制系統(tǒng)被黑客攻擊的可能性[1–2].發(fā)生在2010 年攻擊伊朗核電站著名的“震網(wǎng)”病毒和發(fā)生在2000年的澳大利亞昆士蘭污水廠的控制系統(tǒng)攻擊事件說明控制系統(tǒng)的安全控制問題是所有生產(chǎn)企業(yè)不可回避的問題[3–4].“震網(wǎng)”病毒通過回放傳感器的歷史輸出數(shù)據(jù)達(dá)到了破壞實(shí)際對象的目的[5],后者通過攻擊windows操作系統(tǒng),有針對性的操控某種工業(yè)組態(tài)軟件和世界上廣泛使用的可編程控制器(programmable logic controller,PLC)來破壞了被控物理對象的工作參數(shù)[6].目前針對網(wǎng)絡(luò)控制系統(tǒng)的攻擊行為包括DoS攻擊、數(shù)據(jù)注入攻擊、傳感器回放攻擊等[7–8].DoS攻擊是一種占用網(wǎng)絡(luò)帶寬的一種攻擊行為,攻擊者通過向數(shù)據(jù)接收方不斷發(fā)送偽裝成合法的數(shù)據(jù)請求幀以占用接收方CPU資源,降低數(shù)據(jù)接收端接收正常合法數(shù)據(jù)的效率,從而降低了系統(tǒng)控制性能[9].數(shù)據(jù)注入攻擊是在破解收發(fā)雙方通訊協(xié)議的基礎(chǔ)上,攻擊者將獲取的合法數(shù)據(jù)疊加一個攻擊數(shù)據(jù)后發(fā)往接收端以欺騙接收方達(dá)到破壞控制系統(tǒng)的目的[10].回放攻擊是攻擊者在讀取一定時(shí)間范圍內(nèi)合法的傳感器輸出數(shù)據(jù)后作為攻擊數(shù)據(jù),在攻擊時(shí)間段將這些數(shù)據(jù)再偽裝成傳感器輸出以欺騙控制器,同時(shí)在執(zhí)行器端施加信號惡意操控被控對象從而達(dá)到毀壞控制系統(tǒng)的目的[11–13].目前針對控制系統(tǒng)的攻擊檢測主要方法有特征檢測和異常檢測兩種方法[14].特征檢測是指在控制系統(tǒng)遭受黑客攻擊后獲取攻擊行為的特征數(shù)據(jù),在此基礎(chǔ)上由專業(yè)的反病毒公司研制防御軟件來阻止該攻擊行為.異常檢測是在獲取控制系統(tǒng)正常運(yùn)行特征數(shù)據(jù)的基礎(chǔ)上,在系統(tǒng)運(yùn)行時(shí)不斷重新獲取新的特征數(shù)據(jù)并與原有正常特征數(shù)據(jù)對比,通過比對結(jié)果判斷系統(tǒng)是否遭受了異常攻擊.特征檢測法由于具有攻擊行為難于解析及防護(hù)滯后性的特點(diǎn),在實(shí)際應(yīng)用中很難達(dá)到長期維護(hù)系統(tǒng)正常運(yùn)行的目的.針對異常檢測方法的研究,文獻(xiàn)[15]通過傳感器的期望輸出與實(shí)際輸出比較差序列是否發(fā)生變化判斷是否遭受了攻擊行為,該方法采用非參數(shù)累積和(cumulative sum,CUSUM)方法判斷運(yùn)行中的傳感器數(shù)據(jù)是否偏離了期望值.文獻(xiàn)[16]提出一種消息觀測機(jī)制(message observation mechanism,MOM),有效解決了無線傳感器網(wǎng)絡(luò)中的DoS攻擊檢測問題.文獻(xiàn)[17]在假定系統(tǒng)存在狀態(tài)干擾和輸出干擾均為正態(tài)分布情況下采用χ2檢驗(yàn)法檢驗(yàn)控制系統(tǒng)是否存在數(shù)據(jù)注入攻擊行為.目前χ2檢驗(yàn)法已成為最常用的異常行為檢測方法之一.當(dāng)網(wǎng)絡(luò)控制系統(tǒng)發(fā)生回放攻擊行為時(shí),攻擊者會發(fā)送系統(tǒng)正常工作時(shí)的一段傳感器歷史數(shù)據(jù)給控制器.由于這些歷史數(shù)據(jù)的統(tǒng)計(jì)特性與正常情況下沒有區(qū)別,所以χ2檢驗(yàn)法對這種回放攻擊行為的檢測沒有效果.針對網(wǎng)絡(luò)控制系統(tǒng)回放攻擊的研究,文獻(xiàn)[11]采用向控制器輸出信號中添加服從一定分布規(guī)律的隨機(jī)序列的方法,在降低系統(tǒng)控制性能和指標(biāo)的前提下提出了一種回放攻擊檢測策略.在文獻(xiàn)[18]中作者通過添加水印濾波器和均衡濾波器,基于約定的加密數(shù)據(jù)不斷切換濾波器參數(shù)以達(dá)到檢測回放攻擊的目的.為了保持控制特性不變化,該方法需在切換濾波器參數(shù)時(shí)不斷初始化水印濾波器和均衡濾波器的狀態(tài).在有較強(qiáng)實(shí)時(shí)性要求的應(yīng)用條件下該方法很難滿足要求.本文重點(diǎn)研究網(wǎng)絡(luò)控制系統(tǒng)中針對傳感器回放攻擊行為的實(shí)時(shí)檢測問題,目的在于尋找一種不影響控制系統(tǒng)特性的實(shí)時(shí)在線檢測方法.在回放攻擊行為發(fā)生后檢測器在盡可能短的時(shí)間內(nèi)產(chǎn)生報(bào)警給控制器,以便控制器能快速切換控制策略對被控對象形成有效保護(hù).

2 網(wǎng)絡(luò)控制系統(tǒng)的結(jié)構(gòu)及傳感器回放攻擊

2.1 網(wǎng)絡(luò)控制系統(tǒng)的結(jié)構(gòu)及控制方式

網(wǎng)絡(luò)化控制系統(tǒng)通常由一個多輸入–多輸出(multiple input multiple output,MIMO)對象、控制器、從控制器到執(zhí)行機(jī)構(gòu)傳輸命令的控制網(wǎng)絡(luò)以及一個從傳感器到控制器傳輸檢測信息的檢測網(wǎng)絡(luò)構(gòu)成.考慮到系統(tǒng)的安全性,需設(shè)計(jì)異常行為檢測器.一個網(wǎng)絡(luò)化控制系統(tǒng)結(jié)構(gòu)如圖1所示.

圖1 網(wǎng)絡(luò)化控制系統(tǒng)結(jié)構(gòu)Fig.1 Structure of the networked control system

一個實(shí)際MIMO對象的離散數(shù)學(xué)模型可以表述為

這里:A為n×n常系數(shù)矩陣;B為n×p常系數(shù)輸入矩陣;C為q×n輸出矩陣;u(k)為p維輸入向量,y(k)為q維傳感器的實(shí)際輸出向量;ζ(k)和η(k)分別為n維狀態(tài)干擾向量和q維輸出干擾向量,它們都是服從正態(tài)分布的隨機(jī)過程.假定實(shí)際對象為可穩(wěn)定且狀態(tài)能觀測的,系統(tǒng)控制方式為時(shí)間驅(qū)動方式.當(dāng)傳感器數(shù)據(jù)發(fā)送器內(nèi)的定時(shí)器計(jì)時(shí)結(jié)束時(shí),一個數(shù)據(jù)幀由傳感器發(fā)送裝置向控制器發(fā)出并引發(fā)控制信息的產(chǎn)生.該計(jì)時(shí)時(shí)間即為系統(tǒng)采樣時(shí)間T.假定在該采樣時(shí)間內(nèi)傳感器到控制器的數(shù)據(jù)傳輸、狀態(tài)估計(jì)、控制算法及控制器到實(shí)際對象的數(shù)據(jù)傳輸都能夠完成.控制器采用卡爾曼濾波器獲得系統(tǒng)的狀態(tài)估計(jì),其迭代方法如下[19]:

1) 任意給定狀態(tài)初值向量和誤差協(xié)方差矩陣Pk?1,計(jì)算如下先驗(yàn)狀態(tài)估計(jì)向量:

2) 計(jì)算先驗(yàn)誤差協(xié)方差矩陣

這里Q為控制通道干擾向量的協(xié)方差矩陣.

3) 計(jì)算卡爾曼增益矩陣

這里:C為觀測矩陣,R為量測噪聲協(xié)方差矩陣.

4) 計(jì)算狀態(tài)向量估計(jì)值,獲得最小方差估計(jì)

這里yk為觀測向量.

5) 更新誤差協(xié)方差,為下一步迭代做準(zhǔn)備

選取最優(yōu)性能指標(biāo)J如下:

其中:Q1為n×n正半定常數(shù)矩陣,R1為m×m正定常數(shù)矩陣.筆者知道在給定常線性系統(tǒng)條件下,使該目標(biāo)函數(shù)取最小值的最優(yōu)控制序列為

其中P為如下黎卡提方程的對稱正定解[20]:

系統(tǒng)正常運(yùn)行時(shí)v應(yīng)設(shè)定為p維常數(shù)向量,該向量的選取應(yīng)與實(shí)際對象的被控參數(shù)yp相對應(yīng).v的設(shè)定按照以下幾步來進(jìn)行:

1) 基于理想的yp(∞)獲取一個較為理想的u(∞),二者關(guān)系為

2) 基于這個u(∞)獲取對應(yīng)的x(∞),即

3) 計(jì)算狀態(tài)反饋信號w(∞)

4) 計(jì)算反饋后的輸入信號v(∞)

2.2 傳感器回放攻擊場景

針對網(wǎng)絡(luò)控制系統(tǒng)的回放攻擊和其他網(wǎng)絡(luò)攻擊方式一樣,也是為了破壞控制系統(tǒng)的穩(wěn)定性或?qū)Ρ豢貙ο笮纬芍苯拥膿p毀.攻擊者首先讀取某段時(shí)間內(nèi)系統(tǒng)正常工作條件下的傳感器輸出數(shù)據(jù)作為攻擊數(shù)據(jù).在適當(dāng)條件下需要對系統(tǒng)展開攻擊時(shí)由攻擊節(jié)點(diǎn)模擬傳感器數(shù)據(jù)發(fā)送裝置將這些攻擊數(shù)據(jù)發(fā)送給控制器.

圖2中攻擊者從k1時(shí)刻開始讀取并記錄所有傳感器的輸出值,直到kT時(shí)刻結(jié)束.記錄周期T為采樣時(shí)間的整數(shù)倍(T=n×Ts).攻擊節(jié)點(diǎn)從k1時(shí)刻開始發(fā)動回放數(shù)據(jù),即將記錄下的k1到kT的數(shù)據(jù)周期性的發(fā)送給控制器.假定攻擊者已經(jīng)破解了檢測通道的加密方式和數(shù)據(jù)通訊格式,并可以對其中對應(yīng)的內(nèi)容作任意修改.定義矩陣

由文獻(xiàn)[11]可知,在回放攻擊情況下,若Φ不穩(wěn)定,χ2檢測器產(chǎn)生的殘差將會隨時(shí)間增加趨于無窮大.若Φ穩(wěn)定,由于攻擊者回放的是合法的歷史數(shù)據(jù),χ2檢測器將變?yōu)闊o效,不能產(chǎn)生有效的報(bào)警.此時(shí)若在控制網(wǎng)絡(luò)注入一個非法數(shù)據(jù)將有可能對實(shí)際對象產(chǎn)生破環(huán)作用.

圖2 記錄及回放攻擊時(shí)間Fig.2 Time of record and replay attack

3 檢測通道的數(shù)據(jù)傳輸模式及水印策略

在控制對象的輸出端,數(shù)據(jù)發(fā)送器將所有傳感器的輸出數(shù)據(jù)采樣后通過檢測通道將數(shù)據(jù)打包后發(fā)送給控制器.本文定義的數(shù)據(jù)幀如圖3所示.

圖3 檢測網(wǎng)絡(luò)數(shù)據(jù)傳輸格式Fig.3 Data transmission format of measurement network

該數(shù)據(jù)幀中所有字節(jié)均由ASCII碼表示,其各個標(biāo)識段的含義見表1.

表1 數(shù)據(jù)幀中各個標(biāo)識字段的含義Table 1 Meaning of different segment in data frame

本文假定攻擊者有能力完全掌握該數(shù)據(jù)通訊格式,并試圖通過攻擊節(jié)點(diǎn)偽造出一個數(shù)據(jù)幀.在采用回放數(shù)據(jù)并修改時(shí)間戳的情況下,企圖通過執(zhí)行器攻擊以達(dá)到破壞控制對象的目的.文獻(xiàn)[18]指出通過在傳輸數(shù)據(jù)中添加相應(yīng)的水印信息可以有效檢測回放攻擊行為.數(shù)字水印是利用數(shù)字作品中普遍存在的冗余數(shù)據(jù)與隨機(jī)性,向數(shù)字作品中加入不易察覺但可以判定和區(qū)分的秘密信息,從而起到保護(hù)數(shù)字作品版權(quán)或完整性的一種技術(shù)[21–22].被嵌入的水印可以是一段字符、標(biāo)識、ID序列號等.水印信息通常是不可見或不可察的,它與原始數(shù)據(jù)(如圖像、音頻、視頻數(shù)據(jù))緊密結(jié)合并隱藏其中,并成為不可分離的一個整體.數(shù)據(jù)發(fā)送端在數(shù)據(jù)幀中加入水印數(shù)據(jù)的目的在于使接收端能夠利用這些數(shù)據(jù)判斷出其他數(shù)據(jù)是否由約定節(jié)點(diǎn)發(fā)出或在傳輸過程中是否發(fā)生了篡改行為.對于攻擊者來說,即使完全得到了準(zhǔn)確的水印數(shù)據(jù),也非常難于得到蘊(yùn)含在這些數(shù)據(jù)當(dāng)中的水印信息.一般來說,水印信息用與一定數(shù)量的約定參數(shù)來表示,這些參數(shù)可將水印信息確定下來,即

這里:θi(i=1 ～n)表示水印參數(shù),?表示水印信息.對于發(fā)送端來說,在已知水印信息的情況下采用水印產(chǎn)生算法產(chǎn)生一定數(shù)量的水印數(shù)據(jù).而在接收端,水印信息提取算法基于一定數(shù)量的水印數(shù)據(jù)可回算出蘊(yùn)含在其中的水印信息.如果采用水印信息提取算法得出的水印信息與發(fā)送端不同,可認(rèn)為發(fā)生了數(shù)據(jù)攻擊或數(shù)據(jù)篡改行為.水印數(shù)據(jù)和水印信息的產(chǎn)生過程如圖4所示.

圖4 水印信息的產(chǎn)生與提取過程Fig.4 Generation and extraction procedure of watermark information

4 基于擬合優(yōu)度檢驗(yàn)的回放攻擊檢測

4.1 水印參數(shù)的設(shè)置與水印信息的生成

將時(shí)間戳標(biāo)識字段中的某個時(shí)間值用Tm來描述,用4個參數(shù)θ1,θ2,θ3和θ4將Tm表述為另外兩個函數(shù)值,即

這里f和g為加密函數(shù).筆者認(rèn)為這4個參數(shù)只有監(jiān)測網(wǎng)絡(luò)的發(fā)送端和接收端知道,而攻擊者不知道該參數(shù)的具體數(shù)值.以Ty1為均值,Ty2為標(biāo)準(zhǔn)差,隨機(jī)產(chǎn)生一個服從正態(tài)分布的數(shù)據(jù),即

當(dāng)發(fā)送數(shù)據(jù)時(shí),可將該值作為水印數(shù)據(jù)隱藏在數(shù)據(jù)幀中的某個傳感器數(shù)據(jù)字段中.如果需要產(chǎn)生n個水印數(shù)據(jù)時(shí),則需要4n個參數(shù).這里提供兩種水印數(shù)據(jù)隱藏方法.第一種方法是將水印數(shù)據(jù)虛構(gòu)成同等數(shù)量的傳感器信息,即將“sensors”字段中的數(shù)據(jù)加倍,并在后續(xù)的“data”字段中添加該水印數(shù)據(jù)作為虛構(gòu)的傳感器數(shù)據(jù).另一種方法是固定好w的整數(shù)部分和小數(shù)部分位數(shù)后,將w的有效信息隱藏到傳感器數(shù)據(jù)的相應(yīng)位置中.兩種方法的水印數(shù)據(jù)嵌入字段描述如圖5和圖6所示.

圖5 虛構(gòu)傳感器數(shù)據(jù)作為水印數(shù)據(jù)Fig.5 Watermark data based on fictitious sensors

圖6 傳感器信息嵌入水印數(shù)據(jù)Fig.6 Watermark data based on real sensors

4.2 基于水印信息的回放攻擊行為檢測

存在n組水印數(shù)據(jù)的情況下,由于每組水印數(shù)據(jù)是基于時(shí)間戳產(chǎn)生的服從正態(tài)分布的隨機(jī)數(shù)據(jù),在某段時(shí)間內(nèi)(比如1 s內(nèi))這些水印數(shù)據(jù)可視為一個正態(tài)分布的隨機(jī)過程.假定在第i個傳感器中隱藏的水印數(shù)據(jù)為

這里該變量的均值ui和標(biāo)準(zhǔn)差σi由當(dāng)前時(shí)間戳和隱藏的水印參數(shù)決定.n個水印信息的平方和統(tǒng)計(jì)量

服從自由度為n的卡方分布.即

判斷系統(tǒng)工作是否正?？梢酝ㄟ^分析該統(tǒng)計(jì)量是否服從χ2分布來決定.在一定時(shí)間范圍內(nèi),通過記錄一定數(shù)量的水印數(shù)據(jù),計(jì)算出統(tǒng)計(jì)量,即通過一定數(shù)量的Z(k)可以獲得K Pearson統(tǒng)計(jì)量[23].K.Pearson統(tǒng)計(jì)量描述為

這里將獲得一定時(shí)間內(nèi)的Z(k)劃分為r 個部分來分析.這r個部分分別用A1,A2,···,Ar來表示.在正常情況下,每部分的理論概率為已知的,即出現(xiàn)的頻數(shù)是固定不變的.假設(shè)在一段時(shí)間內(nèi)一共完成n次采樣,變量Z(k)分別落入A1,A2,···,Ar各個區(qū)域的次數(shù)用ni(i=1 ～r)表示,且滿足

當(dāng)樣本容量足夠大且系統(tǒng)正常運(yùn)行時(shí),Pearson統(tǒng)計(jì)量服從自由度為r ?1的χ2分布,即

當(dāng)攻擊節(jié)點(diǎn)對控制器數(shù)據(jù)接收端進(jìn)行回放攻擊時(shí),由于水印數(shù)據(jù)與時(shí)間戳有關(guān),故Pearson統(tǒng)計(jì)量不再服從χ2分布.通過擬合優(yōu)度檢驗(yàn)法可以檢驗(yàn)系統(tǒng)是否發(fā)生了攻擊行為.選定一個顯著性水平α,作如下假設(shè):

該假設(shè)成立表示系統(tǒng)運(yùn)行正常,否則表示存在數(shù)據(jù)注入攻擊行為.對應(yīng)的拒絕域?yàn)?/p>

判別門限c由顯著性水平α決定,即

控制器接收端的攻擊檢測算法如圖7所示.該算法實(shí)際上通過時(shí)間戳來對回放攻擊做檢測.如果攻擊者有能力篡改回放數(shù)據(jù)的時(shí)間戳,那么回放數(shù)據(jù)所攜帶的水印信息必然與當(dāng)前時(shí)間戳不符,從而引發(fā)異常報(bào)警器報(bào)警.如果攻擊者企圖篡改傳感器數(shù)據(jù)和水印數(shù)據(jù),由于不知道通訊雙方約定好的水印參數(shù)和加密函數(shù),很難偽造出滿足要求的水印數(shù)據(jù).

5 數(shù)據(jù)仿真及結(jié)果

一個線性離散系統(tǒng)的系統(tǒng)矩陣和輸入、輸出矩陣描述為

圖7 回放攻擊檢測算法Fig.7 Measurement algorithm of replay attack

從系統(tǒng)矩陣及其輸入、輸出矩陣可知,該系統(tǒng)為可穩(wěn)定且可觀測的.假定實(shí)際對象的狀態(tài)干擾向量η(k)和輸出干擾向量ξ(k)都服從均值為0的正態(tài)分布,各個干擾信號之間相互獨(dú)立.其協(xié)方差陣分別表示為

在沒有回放攻擊情況下,該系統(tǒng)在短時(shí)間內(nèi)就達(dá)到穩(wěn)定狀態(tài).系統(tǒng)的3個傳感器數(shù)據(jù)需要通過檢測網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸,這里構(gòu)建了3個虛擬傳感器用于傳輸水印數(shù)據(jù).隨機(jī)水印數(shù)據(jù)的產(chǎn)生以時(shí)間戳的分鐘信息Tmin作為標(biāo)準(zhǔn)驅(qū)動源.均值u和標(biāo)準(zhǔn)差σ的產(chǎn)生采用如下兩個加密函數(shù):

通訊雙方約定的水印參數(shù)的設(shè)置見表2.設(shè)定系統(tǒng)采樣時(shí)間為0.1 s,即每隔0.1 s由傳感器數(shù)據(jù)發(fā)送器驅(qū)動一次數(shù)據(jù)傳輸并觸發(fā)控制器完成一次控制算法.異常檢測器每獲取100個數(shù)據(jù)后對水印數(shù)據(jù)wi(i=1～3)進(jìn)行分析和檢驗(yàn).正常情況下在一定時(shí)間范圍內(nèi)統(tǒng)計(jì)量

服從自由度為3的χ2分布,即

按照卡方分布表將統(tǒng)計(jì)量Z的取值概率劃分為14(r=14)個區(qū)域.統(tǒng)計(jì)量Z在各個區(qū)域的取值概率見表3.

表2 水印參數(shù)的設(shè)置Table 2 Setting of different watermark parameter

表3 χ2分布表中區(qū)域概率取值Table 3 Probability values of chi-square distribution

如果每隔10 s進(jìn)行一次數(shù)據(jù)分析,即選取100個數(shù)據(jù)作為樣本進(jìn)行數(shù)據(jù)統(tǒng)計(jì)(n=100).采樣到n個數(shù)據(jù)后分別統(tǒng)計(jì)落入各個區(qū)域(Ai)的個數(shù)ni,然后計(jì)算統(tǒng)計(jì)量

設(shè)置置信度水平α=0.005,則拒絕域門限值為

通過拒絕域

判斷是否存在回放攻擊行為.在沒有回放攻擊情況下,檢驗(yàn)值K.Pearson統(tǒng)計(jì)量的輸出值如圖8所示.從圖8可以看出,在100次的檢測中幾乎所有的檢驗(yàn)值都小于報(bào)警門限值,Pearson統(tǒng)計(jì)量沒有超出拒絕域.攻擊者從第2～5.2 s開始記錄30組數(shù)據(jù)作為攻擊數(shù)據(jù).從20 s開始周期性地向控制器發(fā)動回放攻擊.在攻擊者篡改了回放數(shù)據(jù)時(shí)間戳情況下,K.Pearson統(tǒng)計(jì)量的輸出如圖9所示.從圖9可以看出,所有的檢驗(yàn)值都超過了報(bào)警門限值29.819,沒有發(fā)生誤報(bào)現(xiàn)象,正確率為100%.攻擊者從第2～16 s開始記錄140組數(shù)據(jù)作為攻擊數(shù)據(jù).從20 s開始周期性地向控制器發(fā)動回放攻擊.K.Pearson統(tǒng)計(jì)量的輸出如圖10所示.從圖10可以看出,所有的檢驗(yàn)值也都超過了報(bào)警門限值29.819,也沒有發(fā)生誤報(bào)現(xiàn)象,正確率始終保持為100%.

圖8 正常情況下的K.Pearson統(tǒng)計(jì)量Fig.8 Pearson statistics under normal conditions

圖9 記錄周期為3 s的K.Pearson統(tǒng)計(jì)量Fig.9 Pearson statistics when record time is 3 s

圖10 記錄周期為14 s的K.Pearson統(tǒng)計(jì)量Fig.10 Pearson statistics when record time is 14 s

6 結(jié)語

在考慮網(wǎng)絡(luò)控制系統(tǒng)中存在回放攻擊及數(shù)據(jù)篡改等網(wǎng)絡(luò)攻擊行為情況下,本文提出的通過在數(shù)據(jù)幀中添加時(shí)間戳和水印數(shù)據(jù),在接收方利用χ2擬合優(yōu)度檢驗(yàn)對非法水印數(shù)據(jù)進(jìn)行判別方法,目的在于異常檢測器能夠快速地向控制器給出報(bào)警信號以切換控制策略.通過基于加密函數(shù)及不同水印參數(shù)隨機(jī)產(chǎn)生水印數(shù)據(jù)的方法,大大增加了攻擊者的破解難度,在一定程度上起到了保護(hù)控制系統(tǒng)的作用.仿真結(jié)果表明該保護(hù)及檢測方法能夠滿足一般控制系統(tǒng)的實(shí)時(shí)性要求.對于報(bào)警實(shí)時(shí)性要求較高的網(wǎng)絡(luò)控制系統(tǒng),可采用提高時(shí)間戳精度或減少采樣樣本的策略以提高報(bào)警實(shí)時(shí)性能.考慮到網(wǎng)絡(luò)控制系統(tǒng)中數(shù)字水印數(shù)據(jù)的篡改行為,未來的研究重點(diǎn)在于水印數(shù)據(jù)的隱藏及篡改定位問題.對于一些為了達(dá)到破壞網(wǎng)絡(luò)控制系統(tǒng)的蓄意性隱秘攻擊和數(shù)據(jù)篡改行為,還需做專門研究并針對性地給出應(yīng)對方案.