徐光延，何光明，劉 皓

(沈陽航空航天大學(xué) 自動(dòng)化學(xué)院，沈陽 110136)

近年來，科研人員在信息與物理要素緊密結(jié)合的信息物理系統(tǒng)(CPS)各個(gè)方面取得了豐碩的研究成果[1-3]。CPS在各個(gè)領(lǐng)域有廣闊的應(yīng)用場(chǎng)景，比如軍事國防、智能家居、智能電網(wǎng)等領(lǐng)域[4]。由于CPS包含大量的關(guān)鍵基礎(chǔ)設(shè)施，一旦受到攻擊，隨之而來的各方面損失巨大[5]。近幾年，世界范圍內(nèi)發(fā)生的重大安全事件也暴露了CPS安全問題的重要性。例如，2003年1月，美國俄亥俄州核電站遭受了藍(lán)寶石蠕蟲病毒的DoS攻擊，攻擊者使核電站網(wǎng)絡(luò)數(shù)據(jù)在數(shù)小時(shí)內(nèi)傳輸量劇增，導(dǎo)致該核電站計(jì)算及處理速度變緩，過程控制計(jì)算機(jī)無法運(yùn)行[6]。2015年，Black-Energy3攻擊了烏克蘭的電力部門，導(dǎo)致7座110 kV和23座35 kV變電站斷電長達(dá)3小時(shí)[7]。針對(duì)信息物理系統(tǒng)的典型攻擊類型為：DoS攻擊、欺騙攻擊、重放攻擊等，其中DoS攻擊通過阻塞信道破壞數(shù)據(jù)的可用性或?qū)崟r(shí)性，從而使發(fā)向控制器或執(zhí)行器的數(shù)據(jù)包發(fā)生丟包或延遲[8]。

DoS攻擊下的CPS安全問題研究涉及多個(gè)學(xué)科，跨越多個(gè)領(lǐng)域，廣大的科研人員對(duì)此展開了廣泛的研究，并已取得了不少研究成果。文獻(xiàn)[9]總結(jié)了網(wǎng)絡(luò)攻擊的特點(diǎn)，并利用入侵者對(duì)系統(tǒng)模型的先驗(yàn)知識(shí)定義了攻擊空間。針對(duì)DoS攻擊引起的劇烈丟包問題，文獻(xiàn)[10]通過設(shè)計(jì)一種基于半正定的因果控制器，實(shí)現(xiàn)了帶有安全和能量約束的系統(tǒng)最優(yōu)控制。文獻(xiàn)[11]研究了服從Markov過程的DoS攻擊下的最優(yōu)控制問題，并通過空間變換技術(shù)給出了最優(yōu)控制解。文獻(xiàn)[12]將拒絕服務(wù)攻擊和控制器視為博弈雙方，研究了他們之間的零和博弈問題，并從鞍點(diǎn)平衡的角度分析了攻擊者和防御者之間的博弈策略。

現(xiàn)有的大部分研究均集中于給定攻擊模式下的系統(tǒng)性能分析，文獻(xiàn)[13]指出研究攻擊者最優(yōu)的攻擊策略及其后果是CPS安全的重要方面。因此，本文的目標(biāo)是研究如何最大化攻擊者的攻擊收益，從而使該攻擊對(duì)CPS的影響達(dá)到最大。傳感器處理測(cè)量數(shù)據(jù)，并通過無線信道將數(shù)據(jù)發(fā)送到遠(yuǎn)程估計(jì)器，攻擊者具有有限的攻擊能量預(yù)算，并在每個(gè)采樣時(shí)間點(diǎn)決定是否對(duì)信道進(jìn)行阻塞攻擊以降低遠(yuǎn)程狀態(tài)估計(jì)質(zhì)量。本文的主要貢獻(xiàn)體現(xiàn)在以下幾個(gè)方面：

(1)構(gòu)造了DoS最優(yōu)攻擊策略，可以最大化期望平均估計(jì)誤差；

(2)給出了基于遠(yuǎn)程狀態(tài)估計(jì)端的入侵檢測(cè)系統(tǒng)(IDS)的最優(yōu)攻擊策略；

(3)進(jìn)一步給出了傳感器和攻擊者都具有能量約束時(shí)的最優(yōu)攻擊策略。

1 系統(tǒng)建模和問題描述

網(wǎng)絡(luò)攻擊示意圖如圖1所示，系統(tǒng)的狀態(tài)方程為

圖1 網(wǎng)絡(luò)攻擊示意圖

(1)

其中xk為系統(tǒng)的狀態(tài)量，yk為系統(tǒng)的傳感器測(cè)量量，wk是系統(tǒng)過程噪聲，vk是測(cè)量噪聲，wk和vk是互不相關(guān)的零均值高斯白噪聲，相對(duì)應(yīng)的協(xié)方差分別為∑w和∑v。假設(shè)(A,C)是可觀測(cè)的，(A,∑w1/2)是可控的。

(2)

攻擊者通過干擾無線信道來降低遠(yuǎn)程估計(jì)質(zhì)量，然而攻擊者的能量預(yù)算有限，必須在每次采樣時(shí)決定是否堵塞通道。假設(shè)傳輸過程中沒有DoS攻擊，則數(shù)據(jù)包將安全到達(dá)遠(yuǎn)程估計(jì)器。

用γk=1或者0表示攻擊者在時(shí)間點(diǎn)k處是否攻擊。γ作為攻擊者的策略，定義了時(shí)間點(diǎn)為k時(shí)的攻擊策略γk。當(dāng)攻擊者發(fā)起攻擊并阻塞信道時(shí)，傳感器數(shù)據(jù)包將以概率α丟包，用θk=1或者0表示時(shí)間點(diǎn)k時(shí)數(shù)據(jù)包是否丟包，假設(shè)θk為伯努利隨機(jī)變量，即

E(θk)=α

(3)

(4)

(5)

‖γ‖0=n

(6)

對(duì)于一個(gè)已給定的攻擊序列γ，定義Ja(λ)為平均期望誤差協(xié)方差矩陣

(7)

本文站在攻擊者的角度，希望解決以下主要問題，其中Z={0,1}T為所有攻擊者可能的攻擊策略集合

(8)

2 最優(yōu)攻擊策略分析

2.1 在DoS攻擊下的遠(yuǎn)程狀態(tài)估計(jì)和攻擊策略

在此定義一個(gè)h(X)函數(shù)變換，此函數(shù)用來表示在DoS的不斷攻擊下系統(tǒng)誤差協(xié)方差的疊加

h(X)?AXA′+∑w

(9)

其中h(X)函數(shù)具有如下性質(zhì)[15]

(10)

(11)

在連續(xù)攻擊區(qū)間[s+1,s+m]，誤差協(xié)方差矩陣Ps+k可以表示為

(12)

條件概率計(jì)算表示如下，該性質(zhì)可由數(shù)學(xué)歸納法得到

(13)

舉例說明一下，對(duì)于這樣的一個(gè)攻擊序列

(14)

可以計(jì)算Ja(γ)

(15)

從性質(zhì)(1)和(4)可以看出，對(duì)于攻擊者來說，攻擊次數(shù)越多，攻擊收益越大；從性質(zhì)(2)和(3)可以看出，集中攻擊比分段攻擊的收益要大。

對(duì)于前文的主要問題，本節(jié)給出對(duì)應(yīng)的收益

(16)

2.2 在給定IDS下的最優(yōu)攻擊策略

上文所涉及的問題是在沒有防御措施的前提下進(jìn)行討論的。實(shí)際應(yīng)用中，當(dāng)估計(jì)器察覺到由于環(huán)境變化或者敵人入侵等未知因素而導(dǎo)致數(shù)據(jù)丟包時(shí)，通常在接收端設(shè)計(jì)一個(gè)入侵檢測(cè)器(如圖2所示)，作為有效降低這些影響因素的關(guān)鍵。本文提出了接收端數(shù)據(jù)包接收率(PRR)這個(gè)概念來作為入侵檢測(cè)的標(biāo)準(zhǔn)，PRR是與傳感器發(fā)送出去的數(shù)據(jù)包相比，被成功接收到估計(jì)器的數(shù)據(jù)包接收率。本文給出PRR的計(jì)算公式

圖2 存在入侵檢測(cè)器下的網(wǎng)絡(luò)攻擊原理圖

(17)

其中τ表示一個(gè)給定時(shí)間窗的長度，σ表示在給定的時(shí)間范圍中接收到的數(shù)據(jù)包數(shù)量。如果PRR太小，則檢測(cè)器推斷系統(tǒng)中存在攻擊者，并發(fā)出警報(bào)，傳感器可以使用信道跳頻技術(shù)來保證數(shù)據(jù)包能夠被遠(yuǎn)程估計(jì)器接收到。假設(shè)當(dāng)PRR≤PRR0時(shí)，警報(bào)會(huì)觸發(fā)，PRR0是給定的警報(bào)邊界值。

由此可引出如下的一條性質(zhì)

由此性質(zhì)可知，任何攻擊序列如果不超過長度d的攻擊，都不會(huì)被檢測(cè)器檢測(cè)到。其中

(18)

事實(shí)上，攻擊者可以通過無線信道竊取時(shí)間窗τ和PRR0的數(shù)值，然后再采取攻擊行動(dòng)。為了不被IDS檢測(cè)到，引出了這樣一個(gè)約束問題以及對(duì)應(yīng)的解

(19)

(20)

如果d≥n，那么n次連續(xù)的攻擊都是最優(yōu)攻擊，最優(yōu)解在式(16)中給出；如果d

當(dāng)z0+z1+z2+z3+(s1+s2)σ0=T-n，s1+s2=m，m為n/d的商，r為余數(shù)，收益為

(21)

2.3 能量約束下的最優(yōu)攻擊策略

上述問題是在假設(shè)傳感器有足夠的能量可以在整個(gè)時(shí)間范圍內(nèi)傳輸?shù)那疤嵯掠懻摰?，而?dāng)傳感器能量受限時(shí)，不能一直傳輸數(shù)據(jù)，這時(shí)攻擊者需要改變攻擊策略，假定傳感器和估計(jì)器都不知道攻擊者的存在。

定義Vk=1或者0表示傳感器在時(shí)間點(diǎn)k時(shí)是否傳輸?shù)臎Q策變量，用V表示傳感器的傳輸策略，它定義了時(shí)間k時(shí)的Vk。Θ來表示V的集合，所考慮的傳感器能量約束問題為

(22)

s.t.‖V‖0=N

(23)

‖γ‖0=n

(24)

從文獻(xiàn)[16]中得到如下性質(zhì)

(25)

其中令q=[T/N]，序列中有T-qN次τi=q，(q+1)N-T次τi=q-1；

假設(shè)攻擊者在攻擊行動(dòng)開始之前，可通過長時(shí)間的竊聽傳輸信道來獲得傳感器的傳輸策略。將t(i)=1,2,…,N表示傳感器數(shù)據(jù)包傳輸時(shí)間。如果n≥N，很顯然最優(yōu)攻擊策略作用于整個(gè)傳輸時(shí)間t(i)=1,2,…,N；所以只需要考慮約束問題(22)～(24)中n

當(dāng)n<(1/2)T時(shí)，傳感器傳輸策略V*∈Θ有如下序列結(jié)構(gòu)

(26)

最優(yōu)的攻擊策略由γt(k)=1,k=i+1,i+2,…,i+n和γk=0給出。對(duì)應(yīng)的攻擊收益為

(27)

其中，hi(α,Δτ)=[(n-i)(αi-αi+1)+αi]hi(Δτ)

當(dāng)n≥(1/2)T，α=1，傳感器策略V*是如下序列結(jié)構(gòu)

(28)

最優(yōu)的攻擊策略γ*由γt(k)=1,k=i+1,i+2,…,i+n和γk=0給出，對(duì)應(yīng)的攻擊收益為

(29)

其中，n=δb+b0,0≤b0≤b。

3 仿真結(jié)果

表1 10種攻擊策略組合

圖3 隨著攻擊次數(shù)n增加不同攻擊策略下的Tr(Ja)(T=100,α=1)

圖4 隨著丟包率α增加不同攻擊策略下的Tr(Ja)(T=100)

圖5 不同丟包率條件下的攻擊策略Tr(Ja)

4 結(jié)論

本文考慮了針對(duì)無線信道進(jìn)行遠(yuǎn)程狀態(tài)估計(jì)的最優(yōu)攻擊策略問題，得到了如下結(jié)論：連續(xù)集中的DoS攻擊會(huì)造成最大期望的平均誤差協(xié)方差，當(dāng)攻擊被均勻分離后，攻擊對(duì)系統(tǒng)的估計(jì)質(zhì)量影響最小。當(dāng)估計(jì)器端存在入侵檢測(cè)器時(shí)，通過基于入侵檢測(cè)的最優(yōu)攻擊策略方案，大大減少被攻擊的損失。提出當(dāng)傳感器和攻擊者同時(shí)受到能量約束時(shí)的最優(yōu)攻擊策略。并引入博弈論思想，證明了對(duì)方策略的交互構(gòu)成了一個(gè)零和博弈的納什均衡。仿真結(jié)果證明所提出的最優(yōu)攻擊策略有效。