劉遠彬 徐茹枝 崔東

（1.華北電力大學(xué)（北京）控制與計算機工程學(xué)院，北京 102206；2.內(nèi)蒙古大唐國際托克托發(fā)電有限責任公司，內(nèi)蒙古 呼和浩特 010205）

0 引言

工業(yè)控制系統(tǒng)(ICS,Industrial Control Control System)是指由計算機與工業(yè)過程控制部件等共同組成的，以工業(yè)生產(chǎn)、提供服務(wù)為主要目的的自動控制系統(tǒng)[1]，是生產(chǎn)活動的控制中心和神經(jīng)中樞，負責數(shù)據(jù)監(jiān)測和智能控制，涉及能源轉(zhuǎn)化、商品生產(chǎn)、交通運輸?shù)缺姸嗌婕爸螄野l(fā)展的重點行業(yè)。在ICS最初發(fā)展過程中，極大地忽視了網(wǎng)絡(luò)安全方面的考慮，采取隔離的方式切斷與外界的通信，同時工業(yè)控制系統(tǒng)信息化程度有限[2]，對于網(wǎng)絡(luò)安全的需求較低，隨著“兩化”融合以及工業(yè)智能化發(fā)展趨勢，工業(yè)控制系統(tǒng)對于數(shù)據(jù)通信的需求急劇增加，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全能夠?qū)I(yè)控制系統(tǒng)產(chǎn)生嚴重影響。2010年發(fā)生的“震網(wǎng)病毒”事件，證明了網(wǎng)絡(luò)攻擊能夠?qū)ΜF(xiàn)實設(shè)備產(chǎn)生實質(zhì)性損壞[3]。相關(guān)報道顯示，對于工業(yè)控制系統(tǒng)的攻擊變得越來越頻繁[4]，且隨著“等保2.0”時代的到來，工控安全問題得到了足夠重視，但是現(xiàn)實的理論研究與實際需求之間仍有較大差距，主要由于工業(yè)控制系統(tǒng)具有自身特殊原因，互聯(lián)網(wǎng)中成熟的安全方案不適合工業(yè)控制系統(tǒng)，例如很多工業(yè)控制系統(tǒng)不能輕易加裝防病毒軟件，系統(tǒng)補丁不能迅速更新、工業(yè)控制系統(tǒng)對于數(shù)據(jù)實時性和網(wǎng)絡(luò)穩(wěn)定性要求較高以及工業(yè)控制系統(tǒng)中協(xié)議眾多等[2]。在某國對電網(wǎng)的一次攻擊中，黑客被認為在能源公司的IT網(wǎng)絡(luò)中隱藏了六個月而未被發(fā)現(xiàn)，他們在采取有條不紊的步驟使電源脫機之前獲得了訪問系統(tǒng)的特權(quán)[5]。在對某工廠的攻擊中，Stuxnet蠕蟲使用零時差攻擊來感染系統(tǒng)，同時使用復(fù)雜的rootkit隱藏其更改，并使用被盜的受信任證書來驗證其驅(qū)動程序[6]。火電廠是一個復(fù)雜的工業(yè)控制系統(tǒng)，作為重點電力基礎(chǔ)設(shè)施，其安全性關(guān)乎國家和人民的用電質(zhì)量。而為了提高電力基礎(chǔ)設(shè)施網(wǎng)絡(luò)信息的安全水平，人們對于電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)進行了研究，由于電力監(jiān)控系統(tǒng)屬于工業(yè)控制系統(tǒng)的一種并且在網(wǎng)絡(luò)安全研究方面具有較大的相似度，本研究以傳統(tǒng)工業(yè)控制系統(tǒng)為對象進行建模，說明網(wǎng)絡(luò)攻擊方法和檢測技術(shù)的有效性。

近些年對于工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全研究較多，對于不同的網(wǎng)絡(luò)攻擊形式提出了針對性的檢測方法，進行數(shù)據(jù)攻擊的檢測往往采用主成分分析、小波分析和機器學(xué)習等檢測方法。王金煥等人[7]提出一種基于田納西伊斯曼過程（TE）的數(shù)據(jù)攻擊方式，并采用小波與KPCA方法進行檢測。劉大龍等人[8]提出一種基于多尺度主成分的檢測方法，用于檢測數(shù)據(jù)的欺騙性攻擊，這種檢測方法不依賴物理模型，能夠很好地檢測正弦攻擊。Li,Senyu等人[9]適用布谷鳥搜索方法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)，提高了檢測的準確性和檢測效率。Krotofil,M等人在TE系統(tǒng)的基礎(chǔ)上研發(fā)了一個DVCP攻擊框架，支持Dos攻擊和數(shù)據(jù)攻擊，并將TE仿真初始種子設(shè)為隨機數(shù)，使得每次仿真的數(shù)據(jù)是變化的，便于驗證數(shù)據(jù)攻擊的有效性。Krotofil,M等人提出一種基于相關(guān)熵的數(shù)據(jù)攻擊檢測方法，并說明工控系統(tǒng)數(shù)據(jù)之間存在一定相關(guān)性，這種相關(guān)性能夠在檢測攻擊行為時提供幫助。Aoudi等人[10]提出一種基于過程數(shù)據(jù)的數(shù)據(jù)攻擊檢測方法（Pasad），能夠適用于數(shù)據(jù)攻擊及具有欺騙性質(zhì)的數(shù)據(jù)攻擊，具有較高的魯棒性，利用系統(tǒng)過程參數(shù)的矩陣映射，通過判斷系統(tǒng)過程數(shù)據(jù)是否偏離正常值來確定是否受到網(wǎng)絡(luò)攻擊。

為了提高火電廠機組安全運行的穩(wěn)定性，本文提出一種多傳感器攻擊方法，其攻擊數(shù)據(jù)與原始正常數(shù)據(jù)盡可能相似，傳統(tǒng)的檢測方法難以檢測出攻擊行為，并提出一種基于過程穩(wěn)定性的檢測模型以檢測控制器和傳感器信號是否被惡意操縱，以便及時發(fā)現(xiàn)問題進行報警，檢測模型通過引入相關(guān)性特點，對異常數(shù)據(jù)進行放大，并對Pasad模型優(yōu)化，使其適用于全廠數(shù)據(jù)的檢測，通過weiszfeld算法求矩陣的中位中心，增強檢測的準確性和及時性，并使用田納西伊士曼模型進行驗證，證明檢測方法的有效性。

1 系統(tǒng)模型

1.1 實驗對象

本文選取的實驗對象為田納西-伊斯曼模型，是由美國伊斯曼化學(xué)公司開發(fā)的一個基于matlab的仿真平臺，模擬了一個真實的化工生產(chǎn)過程，其中包括反應(yīng)釜、冷凝器、分離器、汽提塔和壓縮機等設(shè)備，構(gòu)成了一個復(fù)雜的非線性控制過程，常被用于多變量控制、故障診斷等領(lǐng)域，Downs和Vogel[11]于1993年對該控制過程進行詳細的描述。這使得TE系統(tǒng)成為一個很好的案例，支持研究人員在此基礎(chǔ)上開展各種研究。

該生產(chǎn)過程主要為通過使用A、B、C、D、E五種反應(yīng)物生產(chǎn)G和H兩個主要產(chǎn)品，其中B為一種惰性氣體，F(xiàn)為一種副產(chǎn)品，該過程所有反應(yīng)都是放熱、不可逆過程。TE系統(tǒng)共有41個傳感器變量（19個成分測量值和22個連續(xù)數(shù)據(jù)測量值）、12個控制器變量和15個環(huán)境擾動，其中根據(jù)G/H的出產(chǎn)率不同TE系統(tǒng)有六種工作模式。

其反應(yīng)過程為：

本文采用的DVCP攻擊框架將Ricker[12]的初始模型的傳感器信號和執(zhí)行器實施數(shù)據(jù)攻擊和Dos攻擊，并且通過修改原始代碼，為每次模擬運行生成隨機數(shù)，從而在模型中允許模擬中的隨機性，保證數(shù)據(jù)運行有隨機干擾，每次仿真所產(chǎn)生的數(shù)據(jù)都有所不同。

單個模擬時間設(shè)為72小時，仿真數(shù)據(jù)的實時信號采樣為fs=2000s/h的采樣速率進行采樣，數(shù)據(jù)輸出數(shù)據(jù)的采樣為100s/h存儲在Matlab的工作空間。

傳感器的時序數(shù)據(jù)M是一個t×n的矩陣，表示n個傳感器在時間t中每個時間點數(shù)據(jù)值的大小。

1.2 Pasad模型

Pasad模型為Aoudi[12]等人提出的一種數(shù)據(jù)驅(qū)動的檢測技術(shù)，Pasad方法主要分為兩部分，第一部分為訓(xùn)練部分，其將傳感器測量的連續(xù)時間序列作為輸入，通過獲取正常時間段的穩(wěn)定狀態(tài)，將待檢測時間段的數(shù)據(jù)映射到狀態(tài)矩陣中，檢測異常行為。

假設(shè)有一個單個傳感器中連續(xù)的時序數(shù)據(jù)，設(shè)滯后參數(shù)為L，其中K=N-L+1，將其嵌入L×K的hankel矩陣中，得到如下的矩陣X成為軌跡空間：

矩陣X包含系統(tǒng)運行中產(chǎn)生的誤差信息，為了獲取數(shù)據(jù)，將穩(wěn)定時間段的數(shù)據(jù)X進行奇異值分解，獲得L個特征向量的正交集，保留r個前導(dǎo)正交特征向量(r

將時序數(shù)據(jù)進行計算時序的平均值：

通過將時序數(shù)據(jù)投影到投影矩陣中，得到此數(shù)據(jù)對應(yīng)的狀態(tài)中心，則數(shù)據(jù)狀態(tài)中心為:

1.3 相關(guān)系數(shù)

對于工業(yè)控制系統(tǒng)來說，傳感器的數(shù)據(jù)所反映的狀態(tài)變換具有相互關(guān)聯(lián)性，例如同一區(qū)域相似類型的傳感器比來自其他區(qū)域傳感器之間變化的關(guān)聯(lián)更加緊密。為了分析傳感器信號的相關(guān)性，使用皮爾遜相關(guān)系數(shù)(Pearson Correlation Coefficient)計算獨立的兩個傳感器之間的相關(guān)程度，其數(shù)值大小介于-1和1之間，具體公式如下：

相關(guān)系數(shù)的引入能夠區(qū)分不同數(shù)值之間的密切程度，通過對不同信號進行區(qū)分，將數(shù)據(jù)趨勢變化密切的信號劃分為一種信號簇，同簇的信號變化呈大致相同的趨勢，在攻擊者進行網(wǎng)絡(luò)攻擊的過程中會導(dǎo)致數(shù)據(jù)進入紊亂的狀態(tài)，導(dǎo)致信號之間的相關(guān)性減小。本文將對于同簇之間傳感器變化進行有選擇的放大，以達到放大攻擊的目的，方便檢測裝置檢測進行更好的檢測。

2 多傳感器攻擊模型

對于工業(yè)控制系統(tǒng)的攻擊往往是對單個控制器或傳感器進行攻擊，為了最終實現(xiàn)系統(tǒng)中斷生產(chǎn)過程，往往需要修改控制值或傳感器值以與正常值產(chǎn)生較大程度的偏離，且為了構(gòu)建一種更加難以被監(jiān)測到同時能產(chǎn)生較大危害的攻擊行為，本文采取將傳感器或控制器進行組合的方式來攻擊。

為了產(chǎn)生攻擊組合，本文提出一種基于相關(guān)系數(shù)來構(gòu)造多傳感器攻擊的方法，使得攻擊能夠盡可能減少被檢測到的可能性。本文在重放歷史數(shù)據(jù)的基礎(chǔ)上增加選取均值為0的白噪聲作為攻擊信號。

ω(k)為正常數(shù)據(jù)最大值與最小值差的1/5與能量為0.01的白噪聲的乘積，這樣在保證能夠干擾適中的情況下，躲避常規(guī)的檢測手段同時能夠?qū)ο到y(tǒng)產(chǎn)生影響。Δd數(shù)值為20，y1(k-Δd)表示2小時前此結(jié)點數(shù)據(jù)的參數(shù)，利用歷史數(shù)據(jù)重放能夠在確保數(shù)據(jù)最大可能的接近正常數(shù)據(jù)的同時使得數(shù)據(jù)進行欺騙，達到難以被檢測的效果。

為了確定攻擊結(jié)點，首先，對系統(tǒng)確定響應(yīng)的攻擊對象，從被攻擊對象中選取被攻擊的目標，通過執(zhí)行攻擊行為達到攻擊效果，確定攻擊結(jié)點個數(shù)；其次，根據(jù)系統(tǒng)各參數(shù)之間的相關(guān)性數(shù)據(jù)嘗試增加被攻擊結(jié)點；最后，驗證攻擊是否能夠引起系統(tǒng)失衡。

3 基于過程穩(wěn)定性的檢測模型

對于系統(tǒng)內(nèi)n結(jié)點時序數(shù)據(jù)M，表示n個結(jié)點在時間為N范圍內(nèi)的所有時序數(shù)據(jù)：

第一步：對每個結(jié)點的數(shù)據(jù)，將數(shù)據(jù)以10為步長求時序數(shù)據(jù)的滑動平均值，將數(shù)據(jù)進行平滑處理，減少系統(tǒng)噪聲和設(shè)備測量誤差帶來的影響。為了方便數(shù)據(jù)后續(xù)疊加計算，將數(shù)據(jù)進行標準化處理，將數(shù)據(jù)變成以100為均值、以10為方差的時序數(shù)據(jù)。

第二步：根據(jù)3.2中計算數(shù)據(jù)相關(guān)性公式，計算系統(tǒng)中各個數(shù)據(jù)的相關(guān)性，當相關(guān)性絕對值大于等于0.8時，說明數(shù)據(jù)之間存在較強的相關(guān)關(guān)系，對于數(shù)據(jù)的升降變化存在聯(lián)系。將相關(guān)性大于0.8的結(jié)點歸類為同簇數(shù)據(jù)，通過隨機設(shè)定一個結(jié)點作為標準結(jié)點，200減去與其相關(guān)性呈負相關(guān)所對應(yīng)結(jié)點的數(shù)據(jù)，目的使其對應(yīng)數(shù)據(jù)進行翻轉(zhuǎn)，使數(shù)據(jù)的相關(guān)性均統(tǒng)一變?yōu)檎嚓P(guān)。然后利用下式對同簇的數(shù)據(jù)進行放大，作為訓(xùn)練數(shù)據(jù)，mean(st)表示同簇數(shù)據(jù)相同時間所有結(jié)點對應(yīng)的數(shù)據(jù)的均值，stj表示同簇數(shù)據(jù)中第j個結(jié)點的數(shù)據(jù)，data為數(shù)據(jù)空間矩陣。

第三步：將每個結(jié)點對應(yīng)的放大后的數(shù)據(jù)x_j分別嵌入L為1100、K為1101的hankel矩陣中，形成如下矩陣。

第四步：將每個結(jié)點所對應(yīng)的hankel矩陣數(shù)據(jù)進行運算并疊加，得到軌跡空間。

其中，

第六步：取訓(xùn)練數(shù)據(jù)的2小時后逐漸穩(wěn)定的數(shù)據(jù)，投影到投影空間矩陣中，得到狀態(tài)矩陣c。

對于狀態(tài)矩陣c中數(shù)據(jù)x通過weiszfeld算法求狀態(tài)矩陣的中位中心，其中y(i+1)表示下一個時間點的中心，第一個y可以選取算數(shù)平均數(shù)中心，‖xj-yi‖表示第j個時間的數(shù)據(jù)與第i個中心值的歐式距離，最后通過迭代優(yōu)化的限值讓迭代停止，本文設(shè)置當?shù)鷥?yōu)化步長低于0.0001視為已獲得最優(yōu)中位中心值。本文中位中心的獲取比Aoudi等人[12]所提出方法均值獲取的數(shù)據(jù)更能準確地表達數(shù)據(jù)的穩(wěn)定狀態(tài)。

第七步：取長度為L的數(shù)據(jù)data作為訓(xùn)練數(shù)據(jù)，通過對data中同一時間所有結(jié)點數(shù)據(jù)求二范數(shù)，獲得當前系統(tǒng)狀態(tài)距離。

通過投影空間進行投影得到穩(wěn)定狀態(tài)，然后將穩(wěn)定狀態(tài)中心與獲得的新的穩(wěn)定狀態(tài)矩陣進行做差，求矩陣的歐式距離，得到穩(wěn)定狀態(tài)空間與形心之間的距離ΔD。將訓(xùn)練數(shù)據(jù)ΔD+δ的最大值作為距離上限，用來檢測測試數(shù)據(jù)是否存在異常，本文δ取值為100。

3.2 攻擊檢測

第一步：按照訓(xùn)練部分對數(shù)據(jù)進行平滑處理的運算方式對待檢測時序數(shù)據(jù)進行平滑處理，然后使用訓(xùn)練部分獲取的均值和方差對待檢測數(shù)據(jù)進行標準化處理，得到時序數(shù)據(jù)st。

第二步：如訓(xùn)練部分第二步所示，利用公式（17）～（18）得到待檢測部分的數(shù)據(jù)空間矩陣data。

第三步：如訓(xùn)練部分第七步所示，利用公式（25）～（27）得到狀態(tài)矩陣w，然后利用訓(xùn)練部分獲得的穩(wěn)定狀態(tài)中心Y和投影空間P，進行公式（28）的運算，得到穩(wěn)定狀態(tài)空間與形心之間的距離，通過檢測每個時間點的距離ΔD值的大小判斷是否存在異常行為。

基于過程穩(wěn)定性的檢測方法主要結(jié)合Pasad方法所提出的投影矩陣思想，將適用于單個結(jié)點的檢測方法改進為適用于全廠大量結(jié)點數(shù)據(jù)的對象，同時結(jié)合相關(guān)性思想，將攻擊行為進行放大，增強檢測算法對于隱藏性較強的攻擊行為的檢測能力，同時能夠減少檢測時間，增強檢測攻擊行為的實時性，能夠使得運行維護人員及時發(fā)現(xiàn)攻擊行為，對于減小損失和及時的災(zāi)后重建具有重要意義。

4 結(jié)果實驗與分析

4.1 多傳感器攻擊結(jié)果

為了說明攻擊方法的有效性，本文選取攻擊對象為TE模型中的反應(yīng)器，為了對TE生產(chǎn)過程產(chǎn)生破壞，實現(xiàn)攻擊途徑為主要對反應(yīng)器液位進行攻擊，最終導(dǎo)致系統(tǒng)生產(chǎn)過程中斷，并確定攻擊結(jié)點個數(shù)為4。本文按照第2部分多傳感器攻擊模型描述步驟，通過實驗確定對于一個多結(jié)點的系統(tǒng)，有眾多攻擊方式組合可以達到對攻擊對象產(chǎn)生嚴重影響的目的。本文列舉三種攻擊方式，攻擊方式1(xmv8、xmeas1、xmeas4、xmeas8)、攻擊方式2(xmeas1、xmeas5、xmeas7、xmeas8)、攻擊方式3(xmv8、xmeas1、xmeas4、xmeas8)和攻擊方式3(xmv1、xmeas5、xmeas7、xmeas8)均可導(dǎo)致系統(tǒng)生產(chǎn)過程中斷。其中對于攻擊方式1中xmv5中加的ω(k)（噪聲）取正值，目的是增大給進量，同時結(jié)點xmeas1、xmeas4、xmeas8噪聲均為負，使采集數(shù)據(jù)低于正常水平，這種噪聲增加方式能夠縮短攻擊引起系統(tǒng)中斷的時間；對于攻擊方式2，只有對于xmeas8采用負值的噪聲，其余均為正值的噪聲，這樣能夠激化測量值的矛盾，縮短攻擊引起系統(tǒng)中斷的時間。為展示攻擊效果本文以攻擊方式1和2為代表進行展示，結(jié)果如圖1和圖2所示。

圖1 攻擊方式1

圖2 攻擊方式2

為了說明本文提出的攻擊方式具有較強的欺騙性，本文使用Aoudi等人[12]所提出的Pasad模型對于以上攻擊方式1和攻擊方式2檢測攻擊行為，檢測結(jié)果如圖3和圖4所示。

圖3 檢測攻擊方式1

圖4 檢測攻擊方式2

根據(jù)檢測結(jié)果可知，對于多傳感器構(gòu)造的攻擊模型，適用Pasad方法均檢測不出攻擊結(jié)點遭受攻擊的情況。

為了說明基于過程穩(wěn)定性檢測模型的有效性，利用此模型對于攻擊方式1和攻擊方式2分別進行檢測，檢測結(jié)果如圖5所示。

圖5 基于過程穩(wěn)定性的檢測結(jié)果

對于攻擊方式1，在5008時間檢測到攻擊行為；對于攻擊方式2，在5008時間檢測到攻擊行為。根據(jù)TE模型仿真時間每小時有100個數(shù)據(jù)點，所以對于以上兩種攻擊方法，均在攻擊發(fā)生后的4.8分時檢測到攻擊行為，檢測時間較常規(guī)方法有較大提升。

4.2 其他攻擊數(shù)據(jù)分析

為了說明基于過程穩(wěn)定性檢測方法的性能，同時對于Aoudi等人[12]提出Pasad方法文中所列的網(wǎng)絡(luò)攻擊所有行為進行檢測，結(jié)果證實均能檢測出攻擊行為，結(jié)合文中描述的DA1攻擊數(shù)據(jù)，將基于過程穩(wěn)定性檢測模型與Pasad模型的檢測結(jié)果進行比較，檢測結(jié)果如圖6所示。

圖6 檢測結(jié)果對比

如圖6所示，攻擊在4小時的時間點發(fā)生，使用Pasad模型檢測，在4363時間點檢測到攻擊行為，使用基于過程穩(wěn)定性的檢測模型進行檢測，在4190時間點檢測到攻擊行為，檢測到的時間較之前提前1.5小時。由于基于過程穩(wěn)定性的檢測模型能夠?qū)ο到y(tǒng)所有數(shù)據(jù)進行分析，相較于之前的算法能夠極大節(jié)省算力。綜上所述，基于過程穩(wěn)定性的檢測模型在檢測準確性、及時性以及計算性能上都有顯著提升。

5 結(jié)論

本文提出一種多傳感器攻擊模型，在對控制系統(tǒng)進行攻擊時具有較高的隱藏性，并能夠?qū)е孪到y(tǒng)中止生產(chǎn)過程，為了應(yīng)對這種多傳感器攻擊方式，本文結(jié)合相關(guān)性特點改進一種Pasad檢測模型，提出一種基于過程穩(wěn)定性的檢測模型，使其適用于全廠設(shè)備同時檢測，并在TE系統(tǒng)中進行實驗論證，實驗結(jié)果表明基于過程穩(wěn)定性的檢測模型能夠提高檢測網(wǎng)絡(luò)攻擊的準確性、及時性和計算性能。