李秀雯,王 雷,任 祝

(1.浙江理工大學(xué) 信息學(xué)院,浙江 杭州 310018;2.中國人民武裝警察部隊(duì) 海警學(xué)院,浙江 寧波 315801)

隨著通信、網(wǎng)絡(luò)技術(shù)的發(fā)展與融合,信息物理系統(tǒng)(Cyber-Physical Systems,CPS)[1]作為一個(gè)集通信、計(jì)算與物理過程為一體的智能系統(tǒng)得到了迅速發(fā)展。CPS的關(guān)鍵技術(shù)被廣泛應(yīng)用于交通、通信、軍事、機(jī)器人、農(nóng)業(yè)自動(dòng)化、工業(yè)遠(yuǎn)程控制以及航空航天等領(lǐng)域[2]。

伴隨著CPS系統(tǒng)及其關(guān)鍵技術(shù)的迅速發(fā)展,其安全問題引起了較大關(guān)注[3-5]。CPS是一種開放式的網(wǎng)絡(luò)化智能信息系統(tǒng),該系統(tǒng)中的測量和控制數(shù)據(jù)通常通過網(wǎng)絡(luò)空間進(jìn)行集成與交互,具有一定的脆弱性,給CPS帶來了新的網(wǎng)絡(luò)安全威脅。隨著該系統(tǒng)對社會安全關(guān)鍵基礎(chǔ)設(shè)施的日益滲透,安全隱患也日漸加劇。因此,確保CPS的運(yùn)行安全愈發(fā)重要。

無線網(wǎng)絡(luò)的引入導(dǎo)致無線網(wǎng)絡(luò)控制系統(tǒng)產(chǎn)生了一些亟待解決的特殊問題。由于不可能在一個(gè)封閉的環(huán)境產(chǎn)生和收集數(shù)據(jù),且無法和其他事物分離,所以實(shí)際數(shù)據(jù)不可避免地受到量測噪聲、環(huán)境噪聲等因素的干擾,觀測值不能準(zhǔn)確反映系統(tǒng)的狀態(tài)信息。因此, 系統(tǒng)的狀態(tài)估計(jì)問題也得到了廣泛研究[6-9]。

在此發(fā)展背景下,經(jīng)過調(diào)查發(fā)現(xiàn)了多種網(wǎng)絡(luò)攻擊[10]。按照攻擊者發(fā)動(dòng)攻擊的位置可將網(wǎng)絡(luò)控制系統(tǒng)受到的攻擊分為3類:欺騙式攻擊[11]、拒絕服務(wù)式攻擊(DoS攻擊)[12]和物理攻擊,前兩者主要針對現(xiàn)有研究對象。針對信息物理系統(tǒng)安全控制設(shè)計(jì)問題,文獻(xiàn)[13]提出了DoS攻擊下具有任意有界丟包的事件觸發(fā)預(yù)測控制 (Event-triggered Predictive Control,ETPC)方法。該方法考慮了DoS攻擊能量的有限性及攻擊行為的任意性。文獻(xiàn)[14]以攻擊可以檢測為前提,建立了攻擊信號下的電力系統(tǒng)分布式動(dòng)態(tài)模型,通過仿真實(shí)驗(yàn)驗(yàn)證了其設(shè)計(jì)的狀態(tài)估計(jì)器對于數(shù)據(jù)攻擊檢測的有效性。

由于實(shí)際系統(tǒng)存在非線性因素,使得傳統(tǒng)的卡爾曼濾波在頻率檢測預(yù)測方面存在困難,因此研究人員陸續(xù)提出了卡爾曼濾波(Kalman Filter)[15-16]和基于改進(jìn)的無跡卡爾曼濾波(Unscented Kalman Filter)。文獻(xiàn)[17]設(shè)計(jì)一種分布式協(xié)同定位方法。文獻(xiàn)[18]基于無跡卡爾曼濾波研究了通信受限的無線傳感器網(wǎng)絡(luò)上非線性系統(tǒng)的遠(yuǎn)程狀態(tài)估計(jì)問題。文獻(xiàn)[19]給出了一種在工程實(shí)際中廣泛適用的擴(kuò)展卡爾曼濾波穩(wěn)定性判別條件。

由于在現(xiàn)實(shí)中擴(kuò)展卡爾曼濾波對于信息物理系統(tǒng)網(wǎng)絡(luò)問題的研究較少,因此本文針對注入攻擊下信息物理系統(tǒng)中的狀態(tài)估計(jì)安全問題,結(jié)合擴(kuò)展卡爾曼狀態(tài)估計(jì)器,設(shè)計(jì)了一種基于最小跡原則擴(kuò)展卡爾曼濾波狀態(tài)估計(jì)的檢測方案。本文首先對系統(tǒng)架構(gòu)及存在的問題進(jìn)行了介紹,將問題帶入高斯白噪聲的非線性系統(tǒng)上進(jìn)行安全問題分析,然后設(shè)計(jì)檢測方案分析注入攻擊對系統(tǒng)性能的影響,最后通過仿真實(shí)驗(yàn)驗(yàn)證了上述檢測的有效性,為未來最大限度降低類似丟包帶來的消極影響提供了參考。

1 問題設(shè)置

注入攻擊是一種通信攻擊,其會使傳感器獲得錯(cuò)誤量測值,從而導(dǎo)致系統(tǒng)性能變差。本文考慮了非線性信息物理系統(tǒng)在不可靠通道下進(jìn)行量測數(shù)據(jù)傳輸時(shí)可能受到的惡意攻擊情況,即系統(tǒng)在[kn,km]工作時(shí)間段內(nèi)可能受到注入攻擊。如圖1所示,系統(tǒng)配備有智能傳感器、擴(kuò)展卡爾曼濾波器和虛假數(shù)據(jù)檢測器等組件。智能傳感器對采集到的數(shù)據(jù)進(jìn)行預(yù)處理,并通過無線通道將新息序列傳輸?shù)綖V波器。由于無線通道具有開放、共享等特性,使得攻擊者可較為容易地截取并修改所發(fā)送的數(shù)據(jù)。

圖1 系統(tǒng)架構(gòu)Figure 1. System architecture

原始的信息物理系統(tǒng)一般由一個(gè)離散時(shí)不變系統(tǒng)組成,其動(dòng)態(tài)模型如式(1)所示。

(1)

在日常生活中存在不確定性,當(dāng)前的信息物理系統(tǒng)由一個(gè)非線性系統(tǒng)組成。對于非線性系統(tǒng),無法用線性的狀態(tài)空間方程來表達(dá),因此有如下計(jì)算式(帶高斯白噪聲的非線性系統(tǒng))

xk+1=f(xk)+wk

(2)

yk=h(xk)+vk

(3)

其中,xk∈Rn為時(shí)刻k的n維狀態(tài)向量;yk∈Rm是來自傳感器的m維量測向量;f(·)和h(·)分別是系統(tǒng)非線性狀態(tài)函數(shù)和量測函數(shù);wk和vk分別是系統(tǒng)的過程噪聲和測量噪聲,是互不相關(guān)的高斯白噪聲,均值為0。

遠(yuǎn)程估計(jì)器使用擴(kuò)展卡爾曼濾波器來處理接收到的數(shù)據(jù)。在每個(gè)時(shí)刻,智能傳感器對采集到的數(shù)據(jù)進(jìn)行預(yù)處理,并通過無線通道將傳輸?shù)竭h(yuǎn)程估計(jì)器。擴(kuò)展卡爾曼估計(jì)器用來計(jì)算來自智能傳感器的測量值yk的最優(yōu)估計(jì)值。對于擴(kuò)展卡爾曼濾波(Extended Kalman Filter,EKF)有以下幾種形式

(4)

(5)

(6)

(7)

(8)

以上為系統(tǒng)處于安全運(yùn)行情況下的系統(tǒng)模型及擴(kuò)展卡爾曼模型估計(jì)器。只有當(dāng)數(shù)據(jù)正常傳輸時(shí),擴(kuò)展卡爾曼濾波估計(jì)器才能安全運(yùn)行。在發(fā)生攻擊時(shí),擴(kuò)展卡爾曼估計(jì)器無法得到正確的系統(tǒng)狀態(tài)估計(jì)。

2 攻擊識別檢測方案

2.1 注入攻擊模型

現(xiàn)考慮的信息物理系統(tǒng)由一個(gè)非線性系統(tǒng)組成,其攻擊策略為攻擊者隨機(jī)為被攻擊的傳感器節(jié)點(diǎn)添加一個(gè)偏差值Δ,且Δ=2d。注入攻擊下的CPS系統(tǒng)模型為

(9)

其中,xk∈Rn為時(shí)刻k的n維狀態(tài)向量;yk∈Rm是來自傳感器的m維量測向量;f(·)是系統(tǒng)非線性狀態(tài)函數(shù);wk是系統(tǒng)的過程噪聲,均值為0;協(xié)方差為Qk;αk表示傳感器是否遭到攻擊,其元素符合均服從伯努利分布特性。

(10)

(11)

式中,yk=h(xk)+vk表示傳感器在k時(shí)刻的量測值;dmax表示在不受環(huán)境干擾下傳感器節(jié)點(diǎn)中的最大誤差精度。

2.2 檢測方案設(shè)計(jì)

在可能存在注入攻擊的信息物理系統(tǒng)模型下,現(xiàn)定義系統(tǒng)的判斷規(guī)則,并采用如下指標(biāo)對結(jié)果進(jìn)行評價(jià)

(12)

系統(tǒng)檢測器判決規(guī)則為

(13)

在正常情況下,通過訓(xùn)練設(shè)定的閾值即可判斷系統(tǒng)是否遭受攻擊。當(dāng)系統(tǒng)受到注入攻擊,檢測器成功檢測出異常,此時(shí)檢測器會將系統(tǒng)狀態(tài)判斷為H1并發(fā)送報(bào)警信號,反之不發(fā)送。

在擴(kuò)展卡爾曼濾波中,新息序列zk由具有正態(tài)分布的獨(dú)立隨機(jī)變量組成。錯(cuò)誤數(shù)據(jù)檢測器可以利用序列的統(tǒng)計(jì)特性來檢測即將到來的序列中的異常。由于序列服從具有已知均值和方差的正態(tài)分布,因此在給定移動(dòng)窗口的情況下,δ可以取為正態(tài)分布分位點(diǎn)數(shù)。通過將其與閾值進(jìn)行比較,可以確定窗口中數(shù)據(jù)是否受到攻擊。注入攻擊檢測算法描述如下所示。

算法1 注入攻擊檢測算法1初始化相關(guān)參數(shù):初始估計(jì)狀態(tài)^xk=0,均方誤差協(xié)方差矩陣P0,采樣點(diǎn)數(shù)等2 for k=1:K do3 先計(jì)算系統(tǒng)正常運(yùn)行時(shí)的相關(guān)參數(shù): 根據(jù)式(4)計(jì)算先驗(yàn)估計(jì)值; 根據(jù)式(5)計(jì)算先驗(yàn)誤差協(xié)方差; 根據(jù)式(6)計(jì)算擴(kuò)展卡爾曼濾波增益; 根據(jù)式(7)計(jì)算后驗(yàn)估計(jì)值; 根據(jù)式(8)計(jì)算后驗(yàn)誤差協(xié)方差;4 for k=i:i+J do5 加入注入攻擊,檢測gk=∑ki=k-J+1zi(k)/J6 end while7 if gk≤δ then8 CPS→D0;系統(tǒng)未受到攻擊,正常進(jìn)行濾波9 else if gk>δ then10 CPS→D1;系統(tǒng)受到攻擊,錯(cuò)誤地將當(dāng)前時(shí)刻量測值yk使用前一時(shí)刻yk-1代替,進(jìn)行濾波

通過舉例方式對上述數(shù)據(jù)補(bǔ)償進(jìn)行說明。

由表1可以看出,在系統(tǒng)工作k∈[1,6]時(shí)間段內(nèi),量測值y1、y4、y6成功傳輸,而量測值y2、y3、y5遭到攻擊,其中y2和y3連續(xù)遭到攻擊。在實(shí)際情況中,由于檢測數(shù)據(jù)端獲取到量測值錯(cuò)誤,系統(tǒng)所能得到的準(zhǔn)確信息只有最近一次的估計(jì)值和預(yù)測值,故使用最近一次的估計(jì)值和預(yù)測值進(jìn)行計(jì)算。

表1 數(shù)據(jù)傳輸Table 1. Data transfer

2.3 注入攻擊下狀態(tài)估計(jì)器的狀態(tài)估計(jì)算法

由檢測方案可知,檢測器的數(shù)據(jù)來自狀態(tài)估計(jì)器計(jì)算的殘差和后驗(yàn)誤差協(xié)方差。為了檢測本文所提出的檢測算法的檢測性能,現(xiàn)對注入攻擊下狀態(tài)估計(jì)器的狀態(tài)估計(jì)算法進(jìn)行研究分析,分析擴(kuò)展卡爾曼濾波器在攻擊下去噪聲處理后得到預(yù)測更新算法。

擴(kuò)展卡爾曼濾波算法包括預(yù)測和更新兩個(gè)過程。

(14)

(15)

(16)

(17)

由上述計(jì)算式可知,CPS在受到注入攻擊下以及狀態(tài)估計(jì)器在計(jì)算估計(jì)值時(shí),先驗(yàn)估計(jì)值和先驗(yàn)誤差協(xié)方差分別都受到上一時(shí)刻后驗(yàn)估計(jì)值和后驗(yàn)誤差協(xié)方差的影響,同時(shí)先驗(yàn)誤差協(xié)方差將用于量測更新。

(18)

其中

(19)

式中,P1表示k時(shí)刻相同狀態(tài)之間的協(xié)方差;P2為k和k-1不同時(shí)刻狀態(tài)之間的協(xié)方差;P3為k-1時(shí)刻相同狀態(tài)之間的協(xié)方差;P4為k時(shí)刻實(shí)際值和攻擊下的系統(tǒng)預(yù)測值之間的協(xié)方差;P5為k-1時(shí)刻的實(shí)際值和注入攻擊下后驗(yàn)估計(jì)值的協(xié)方差。

依據(jù)攻擊后的最優(yōu)增益更新當(dāng)前k時(shí)刻的后驗(yàn)估計(jì)值為

(20)

攻擊下的后驗(yàn)誤差為

(21)

由后驗(yàn)誤差計(jì)算得到后驗(yàn)誤差協(xié)方差為

(22)

對比式(8)和式(22)可以明顯看出在攻擊下與系統(tǒng)安全穩(wěn)定運(yùn)行情況下后驗(yàn)誤差協(xié)方差的區(qū)別。當(dāng)系統(tǒng)受到注入攻擊對狀態(tài)估計(jì)器的影響可知時(shí),擴(kuò)展卡爾曼狀態(tài)估計(jì)器可進(jìn)一步得到攻擊下的后驗(yàn)誤差協(xié)方差。

3 數(shù)值仿真

為了驗(yàn)證理論的準(zhǔn)確性,根據(jù)具有注入攻擊的離散時(shí)間的非線性系統(tǒng)狀態(tài)方程構(gòu)建仿真模型,將可能受到攻擊的估計(jì)值與未受到任何影響的真實(shí)值進(jìn)行比較。

假設(shè)在固定窗口中,攻擊者對傳感器進(jìn)行注入攻擊,模擬從k=0到k=200結(jié)束,每間隔10步長對系統(tǒng)注入微小偏差攻擊量,即取d=0.12。由圖2可以看出,隨著系統(tǒng)不斷運(yùn)行,在該算法機(jī)制下能減少注入攻擊對系統(tǒng)穩(wěn)定性的影響,估計(jì)值與真實(shí)值基本一致。由圖3可以看出,誤差狀態(tài)估計(jì)偏差多為系統(tǒng)攻擊處,有攻擊時(shí)誤差增大,當(dāng)經(jīng)過算法補(bǔ)償以后誤差又迅速回落。同時(shí),通過查詢正態(tài)分布表可知,95%置信度δ=1.65,當(dāng)gk>δ時(shí), 拒絕假設(shè)H1,即判斷出系統(tǒng)受到攻擊。由圖4中可以看出,系統(tǒng)受到注入攻擊后能及時(shí)準(zhǔn)確地檢測出異常。

圖2 目標(biāo)運(yùn)動(dòng)軌跡Figure 2. Target trajectory

圖3 后驗(yàn)誤差協(xié)方差軌跡Figure 3. Traces of a posterior error covariance

圖4 檢測函數(shù)Figure 4. Detection function

4 結(jié)束語

本文主要研究了注入攻擊下信息物理系統(tǒng)中的狀態(tài)估計(jì)安全問題。在引入非線性系統(tǒng)的基礎(chǔ)上,本文提出了一種攻擊檢測模型,并結(jié)合擴(kuò)展卡爾曼狀態(tài)估計(jì)器,設(shè)計(jì)了一種基于最小跡原則擴(kuò)展卡爾曼濾波狀態(tài)估計(jì)的檢測方案,在給定檢測判決規(guī)則實(shí)現(xiàn)檢測方案設(shè)計(jì)的同時(shí)分析了注入攻擊對系統(tǒng)性能的影響。

為了驗(yàn)證檢測方案的有效性,通過MATLAB進(jìn)行仿真驗(yàn)證。仿真結(jié)果表明,在給定的攻擊檢測判決規(guī)則下,本文所提檢測方案能夠有效檢測到注入攻擊,緩解由于傳感器獲得錯(cuò)誤量測值而造成的系統(tǒng)性能變差問題。本文提出的方法對于未來提高控制性能、檢測通信故障或網(wǎng)絡(luò)攻擊具有一定的參考意義。