翁品迪 陳 博 俞 立

1.浙江工業(yè)大學(xué)網(wǎng)絡(luò)空間安全研究院 杭州 310023 2.浙江工業(yè)大學(xué)信息工程學(xué)院 杭州 310023

信息物理系統(tǒng)(Cyber-physical systems,CPSs)是一個綜合了計算、網(wǎng)絡(luò)和物理環(huán)境的多維智能化復(fù)雜系統(tǒng),它借助有線或無線通信網(wǎng)絡(luò)將各個關(guān)鍵設(shè)施整合在一起,使得人機和物理進(jìn)程的交互更加便捷.隨著網(wǎng)絡(luò)通信、嵌入式系統(tǒng)、計算機控制及相關(guān)硬件技術(shù)的不斷發(fā)展,信息物理系統(tǒng)已引起了工業(yè)界的廣泛關(guān)注[1-3].然而在此框架下,原有系統(tǒng)的封閉性被打破,使其面臨著來自網(wǎng)絡(luò)攻擊的安全威脅.例如:2010年,伊朗的首座核電站-布什核電站被震網(wǎng)病毒攻擊,使得伊朗的第一座核設(shè)施推遲發(fā)電,嚴(yán)重?fù)p害了伊朗的工業(yè)設(shè)施[4];2011年美國伊利諾伊州一處水利控制系統(tǒng)遭到網(wǎng)絡(luò)攻擊,險些造成大面積的供水中斷.當(dāng)信息物理系統(tǒng)遭受網(wǎng)絡(luò)攻擊時,準(zhǔn)確、及時地監(jiān)測到攻擊信號對于監(jiān)測中心采取高效的防御策略是至關(guān)重要的[5].

從控制角度來看,信息物理系統(tǒng)是傳統(tǒng)數(shù)字控制系統(tǒng)融合通信技術(shù)的下一代網(wǎng)絡(luò)化控制系統(tǒng)[6].信息物理系統(tǒng)中被控對象的量測信號和控制信號均通過網(wǎng)絡(luò)進(jìn)行傳輸,因此無論是傳感器到控制器端,還是控制器到執(zhí)行器端,均有受到惡意網(wǎng)絡(luò)攻擊的可能,從而影響系統(tǒng)的穩(wěn)定性,甚至引發(fā)系統(tǒng)崩潰,造成嚴(yán)重的生產(chǎn)事故與經(jīng)濟(jì)損失[7-8].典型的網(wǎng)絡(luò)攻擊有三種,分別是拒絕服務(wù)攻擊(Denial of service,DoS)、欺騙攻擊和重放攻擊.針對拒絕服務(wù)攻擊,文獻(xiàn)[9]將DoS 攻擊建模為一類能量約束問題,針對攻擊者與防御者設(shè)計遞歸分布式卡爾曼估計器進(jìn)行雙邊優(yōu)化;文獻(xiàn)[10]假定DoS 攻擊有界的情況下,通過構(gòu)建嵌套切換模型得到了CPS 在基于包控制方法下的穩(wěn)定性條件.針對重放攻擊,文獻(xiàn)[11]從防御者的角度提出一種帶補償策略的數(shù)學(xué)模型來描述重放攻擊和帶寬約束,并在線性最小方差意義下設(shè)計了遞歸分布式卡爾曼融合估計器.欺騙攻擊又稱為假數(shù)據(jù)注入(False data injection,FDI)攻擊,它通過向系統(tǒng)注入錯誤的控制信號或測量信號影響信號數(shù)據(jù)的準(zhǔn)確性.注意到FDI 攻擊可以通過欺騙攻擊檢測機制來影響信息物理系統(tǒng),從而造成攻擊檢測器的漏報或虛警[12].文獻(xiàn)[13]中研究了電力系統(tǒng)中針對FDI 攻擊的狀態(tài)估計問題,揭示了現(xiàn)有錯誤測量檢測算法中存在的脆弱性.該研究表明,即使攻擊者的資源受限,依舊可以改變狀態(tài)估計的結(jié)果;而在假定攻擊者可以獲取系統(tǒng)參數(shù)及所有數(shù)據(jù)流的基礎(chǔ)上,此類攻擊則可以對系統(tǒng)產(chǎn)生一定影響的同時卻不被檢測到.目前信息物理系統(tǒng)中的FDI 攻擊主要采用異常信號檢測方法進(jìn)行檢測[14],如基于二元假設(shè)的貝葉斯檢測[15-18]、基于卡爾曼濾波器的χ2檢測[19-21]和加權(quán)最小平方檢測[22-24].后兩種方法均是利用觀測值構(gòu)造新息殘差,然后通過與一個給定的閾值比較來判決是否受到攻擊.攻擊檢測的閾值對檢測精度起著重要作用,然而閾值通常在檢測前根據(jù)已有經(jīng)驗進(jìn)行選擇,這無疑會降低檢測精度.而且對于CPSs 而言,特別是電力、醫(yī)療系統(tǒng),僅僅檢測或識別到攻擊是不夠的,因為這些基礎(chǔ)設(shè)施系統(tǒng)無法快速對其關(guān)閉、重啟、恢復(fù),以對抗攻擊.為此,不同于文獻(xiàn)[15-24]中基于閾值的FDI 攻擊信號檢測方法,本文將對CPSs 中控制器與執(zhí)行器間的通信網(wǎng)絡(luò)遭受的FDI 攻擊信號進(jìn)行實時估計,不僅可以檢測攻擊信號是否存在,而且還可以掌握攻擊信號的基本特征,從而使防御方采取簡單有效的補救措施以降低系統(tǒng)性能的損失程度.

為了對FDI 攻擊信號進(jìn)行實時估計,本文將攻擊信號建模為狀態(tài)動態(tài)方程中的一個未知參數(shù),然后在每個傳感器端利用自適應(yīng)卡爾曼濾波設(shè)計FDI 攻擊信號的局部估計.由于基于遞歸最小二乘的自適應(yīng)Kalman 濾波方法適應(yīng)于被估計的參數(shù)是時不變或者變化緩慢的,而惡意的攻擊信號往往是時變的.因此,本文充分利用多傳感器融合所提供的冗余信息,通過引入補償因子和設(shè)計分布式融合準(zhǔn)則,來提高時變攻擊信號的估計精度.注意到補償因子是通過影響局部互協(xié)方差的信息來提高估計性能,而局部互協(xié)方差矩陣存在于分布式融合結(jié)構(gòu)中.最后,通過兩個仿真驗證所設(shè)計的融合算法對FDI 攻擊信號估計的有效性.特別地,當(dāng)攻擊信號是時變時,仿真結(jié)果表明所引入的補償因子可以明顯提高攻擊信號的融合估計性能.

符號說明.E 表示數(shù)學(xué)期望,diag{N1,···,Nn}表示由N1,···,Nn組成的塊對角矩陣,I表示單位矩陣,⊥表示正交.

1 問題描述與分析

2 攻擊信號的估計 - 分布式融合策略

3 仿真算例

圖1 算例1:情況1 中攻擊信號和融合估計的軌跡Fig.1 Example 1:The trajectories of attack signal and its fusion estimation under Case 1

圖2 算例1:情況1 中攻擊信號的局部估計器與融合估計器之間的性能比較Fig.2 Example 1:The performance comparison between local estimators and fusion estimators under Case 1

圖3 算例1:情況2 中攻擊信號和融合估計軌跡Fig.3 Example 1:The trajectories of attack signal and its fusion estimation under Case 2

圖4 算例1:情況2 中攻擊信號的局部估計器與融合估計器之間的性能比較

Fig.4 Example 1:The performance comparison between local estimators and fusion estimators under Case 2

圖5 算例1:情況2 中不同補償因子下攻擊信號融合估計性能的比較Fig.5 Example 1:The comparison of fusion estimation performance of attack signal under different compensation factors under Case 2

圖6 算例1:情況2 中不同補償因子下攻擊信號融合估計的軌跡Fig.6 Example 1:The trajectories of fusion estimation of attack signal under different compensation factors under Case 2

圖7 算例2:不同補償因子下攻擊信號融合估計的軌跡Fig.7 Example 2:The trajectories of fusion estimation of attack signal under different compensation factors

圖8 算例2:不同補償因子下攻擊信號融合估計性能的比較Fig.8 Example 2:The comparison of fusion estimation performance of attack signal under different compensation factors

的情況(無補償?shù)那闆r).圖9 基于Monte Carlo 實驗給出了局部估計器和融合估計器的MSE 曲線.圖9 表明融合性能明顯優(yōu)于局部估計器.仿真結(jié)果驗證了算法的有效性.

圖9 算例2:攻擊信號的局部估計器與融合估計器之間的性能比較Fig.9 Example 2:The performance comparison of attack signal between local estimators and fusion estimators

4 結(jié)束語

本文研究了信息物理系統(tǒng)中遭受的FDI 攻擊信號的分布式融合估計問題.首先,根據(jù)FDI 攻擊策略對系統(tǒng)的影響,將攻擊信號建模為系統(tǒng)狀態(tài)方程中的一個未知輸入,然后基于自適應(yīng)卡爾曼濾波,利用量測信息對系統(tǒng)狀態(tài)和攻擊參數(shù)進(jìn)行聯(lián)合估計,從而得到攻擊參數(shù)的局部變化軌跡.在此基礎(chǔ)上,在分布式融合結(jié)構(gòu)下,引入補償因子并設(shè)計了最優(yōu)融合估計方法,提高了攻擊信號估計的精度.最后,通過例子驗證了所提算法的有效性.今后的研究方向包括如下幾點:首先,選擇合適的補償因子對本文算法估計精度的提高有著顯著的影響,如何選擇補償因子將是未來研究的重要方向之一;此外,許多實際系統(tǒng)無法簡單地利用線性模型描述,因此將該算法推廣至非線性情況的攻擊信號估計具有重要的意義;最后,研究控制器與攻擊信號融合估計器及攻擊信號實時補償策略的協(xié)同設(shè)計,以降低攻擊所帶來的損失是另一個重要的研究方向.