翁品迪 陈 博 俞 立

1.浙江工业大学网络空间安全研究院 杭州 310023 2.浙江工业大学信息工程学院 杭州 310023

信息物理系统(Cyber-physical systems,CPSs)是一个综合了计算、网络和物理环境的多维智能化复杂系统,它借助有线或无线通信网络将各个关键设施整合在一起,使得人机和物理进程的交互更加便捷.随着网络通信、嵌入式系统、计算机控制及相关硬件技术的不断发展,信息物理系统已引起了工业界的广泛关注[1-3].然而在此框架下,原有系统的封闭性被打破,使其面临着来自网络攻击的安全威胁.例如:2010年,伊朗的首座核电站-布什核电站被震网病毒攻击,使得伊朗的第一座核设施推迟发电,严重损害了伊朗的工业设施[4];2011年美国伊利诺伊州一处水利控制系统遭到网络攻击,险些造成大面积的供水中断.当信息物理系统遭受网络攻击时,准确、及时地监测到攻击信号对于监测中心采取高效的防御策略是至关重要的[5].

从控制角度来看,信息物理系统是传统数字控制系统融合通信技术的下一代网络化控制系统[6].信息物理系统中被控对象的量测信号和控制信号均通过网络进行传输,因此无论是传感器到控制器端,还是控制器到执行器端,均有受到恶意网络攻击的可能,从而影响系统的稳定性,甚至引发系统崩溃,造成严重的生产事故与经济损失[7-8].典型的网络攻击有三种,分别是拒绝服务攻击(Denial of service,DoS)、欺骗攻击和重放攻击.针对拒绝服务攻击,文献[9]将DoS 攻击建模为一类能量约束问题,针对攻击者与防御者设计递归分布式卡尔曼估计器进行双边优化;文献[10]假定DoS 攻击有界的情况下,通过构建嵌套切换模型得到了CPS 在基于包控制方法下的稳定性条件.针对重放攻击,文献[11]从防御者的角度提出一种带补偿策略的数学模型来描述重放攻击和带宽约束,并在线性最小方差意义下设计了递归分布式卡尔曼融合估计器.欺骗攻击又称为假数据注入(False data injection,FDI)攻击,它通过向系统注入错误的控制信号或测量信号影响信号数据的准确性.注意到FDI 攻击可以通过欺骗攻击检测机制来影响信息物理系统,从而造成攻击检测器的漏报或虚警[12].文献[13]中研究了电力系统中针对FDI 攻击的状态估计问题,揭示了现有错误测量检测算法中存在的脆弱性.该研究表明,即使攻击者的资源受限,依旧可以改变状态估计的结果;而在假定攻击者可以获取系统参数及所有数据流的基础上,此类攻击则可以对系统产生一定影响的同时却不被检测到.目前信息物理系统中的FDI 攻击主要采用异常信号检测方法进行检测[14],如基于二元假设的贝叶斯检测[15-18]、基于卡尔曼滤波器的χ2检测[19-21]和加权最小平方检测[22-24].后两种方法均是利用观测值构造新息残差,然后通过与一个给定的阈值比较来判决是否受到攻击.攻击检测的阈值对检测精度起着重要作用,然而阈值通常在检测前根据已有经验进行选择,这无疑会降低检测精度.而且对于CPSs 而言,特别是电力、医疗系统,仅仅检测或识别到攻击是不够的,因为这些基础设施系统无法快速对其关闭、重启、恢复,以对抗攻击.为此,不同于文献[15-24]中基于阈值的FDI 攻击信号检测方法,本文将对CPSs 中控制器与执行器间的通信网络遭受的FDI 攻击信号进行实时估计,不仅可以检测攻击信号是否存在,而且还可以掌握攻击信号的基本特征,从而使防御方采取简单有效的补救措施以降低系统性能的损失程度.

为了对FDI 攻击信号进行实时估计,本文将攻击信号建模为状态动态方程中的一个未知参数,然后在每个传感器端利用自适应卡尔曼滤波设计FDI 攻击信号的局部估计.由于基于递归最小二乘的自适应Kalman 滤波方法适应于被估计的参数是时不变或者变化缓慢的,而恶意的攻击信号往往是时变的.因此,本文充分利用多传感器融合所提供的冗余信息,通过引入补偿因子和设计分布式融合准则,来提高时变攻击信号的估计精度.注意到补偿因子是通过影响局部互协方差的信息来提高估计性能,而局部互协方差矩阵存在于分布式融合结构中.最后,通过两个仿真验证所设计的融合算法对FDI 攻击信号估计的有效性.特别地,当攻击信号是时变时,仿真结果表明所引入的补偿因子可以明显提高攻击信号的融合估计性能.

符号说明.E 表示数学期望,diag{N1,···,Nn}表示由N1,···,Nn组成的块对角矩阵,I表示单位矩阵,⊥表示正交.

1 问题描述与分析

2 攻击信号的估计 - 分布式融合策略

3 仿真算例

图1 算例1:情况1 中攻击信号和融合估计的轨迹Fig.1 Example 1:The trajectories of attack signal and its fusion estimation under Case 1

图2 算例1:情况1 中攻击信号的局部估计器与融合估计器之间的性能比较Fig.2 Example 1:The performance comparison between local estimators and fusion estimators under Case 1

图3 算例1:情况2 中攻击信号和融合估计轨迹Fig.3 Example 1:The trajectories of attack signal and its fusion estimation under Case 2

图4 算例1:情况2 中攻击信号的局部估计器与融合估计器之间的性能比较

Fig.4 Example 1:The performance comparison between local estimators and fusion estimators under Case 2

图5 算例1:情况2 中不同补偿因子下攻击信号融合估计性能的比较Fig.5 Example 1:The comparison of fusion estimation performance of attack signal under different compensation factors under Case 2

图6 算例1:情况2 中不同补偿因子下攻击信号融合估计的轨迹Fig.6 Example 1:The trajectories of fusion estimation of attack signal under different compensation factors under Case 2

图7 算例2:不同补偿因子下攻击信号融合估计的轨迹Fig.7 Example 2:The trajectories of fusion estimation of attack signal under different compensation factors

图8 算例2:不同补偿因子下攻击信号融合估计性能的比较Fig.8 Example 2:The comparison of fusion estimation performance of attack signal under different compensation factors

的情况(无补偿的情况).图9 基于Monte Carlo 实验给出了局部估计器和融合估计器的MSE 曲线.图9 表明融合性能明显优于局部估计器.仿真结果验证了算法的有效性.

图9 算例2:攻击信号的局部估计器与融合估计器之间的性能比较Fig.9 Example 2:The performance comparison of attack signal between local estimators and fusion estimators

4 结束语

本文研究了信息物理系统中遭受的FDI 攻击信号的分布式融合估计问题.首先,根据FDI 攻击策略对系统的影响,将攻击信号建模为系统状态方程中的一个未知输入,然后基于自适应卡尔曼滤波,利用量测信息对系统状态和攻击参数进行联合估计,从而得到攻击参数的局部变化轨迹.在此基础上,在分布式融合结构下,引入补偿因子并设计了最优融合估计方法,提高了攻击信号估计的精度.最后,通过例子验证了所提算法的有效性.今后的研究方向包括如下几点:首先,选择合适的补偿因子对本文算法估计精度的提高有着显著的影响,如何选择补偿因子将是未来研究的重要方向之一;此外,许多实际系统无法简单地利用线性模型描述,因此将该算法推广至非线性情况的攻击信号估计具有重要的意义;最后,研究控制器与攻击信号融合估计器及攻击信号实时补偿策略的协同设计,以降低攻击所带来的损失是另一个重要的研究方向.