假數(shù)據(jù)注入攻擊下信息物理融合系統(tǒng)的穩(wěn)定性研究

彭大天 董建敏 蔡忠閩 張長(zhǎng)青 彭勤科

信息物理融合系統(tǒng)(Cyber-physical systems,CPS)是物理動(dòng)態(tài)過(guò)程(Physical dynamics)在網(wǎng)絡(luò)空間(Cyber)中高度集成的新型化網(wǎng)絡(luò)控制系統(tǒng)[1],利用計(jì)算、通信和控制等先進(jìn)技術(shù)分析信息,并通過(guò)反饋機(jī)制實(shí)現(xiàn)對(duì)物理過(guò)程的實(shí)時(shí)控制,是實(shí)現(xiàn)工業(yè)4.0和中國(guó)制造2025的最關(guān)鍵技術(shù)[2].典型的CPS有智能能源系統(tǒng)[3]、智聯(lián)網(wǎng)[4]、無(wú)人系統(tǒng)[5]、智能核電工業(yè)系統(tǒng)[6]等.CPS基本架構(gòu)由物理層(傳感器、執(zhí)行器和物理對(duì)象),有線和無(wú)線通信傳輸設(shè)備組成的網(wǎng)絡(luò)層和監(jiān)控層(控制器、估計(jì)器和檢測(cè)器)組成.信息傳輸網(wǎng)絡(luò)是CPS最基本的網(wǎng)絡(luò)單元,實(shí)現(xiàn)信息互聯(lián)互通.然而在CPS安全領(lǐng)域,信息傳輸網(wǎng)絡(luò)的引入可能增加了物理層動(dòng)態(tài)過(guò)程的安全風(fēng)險(xiǎn)[7],充斥于網(wǎng)絡(luò)空間的各類網(wǎng)絡(luò)攻擊易引發(fā)控制性能的下降,進(jìn)而可能造成巨大經(jīng)濟(jì)損失,甚至危及人員生命安全.

2015年IEEE專題[8]研究表明Cyber networks和Physical dynamics高度融合是CPS智能化關(guān)鍵之所在,同時(shí)強(qiáng)調(diào)人因(運(yùn)營(yíng)人員或攻擊者)決策是CPS安全風(fēng)險(xiǎn)主要問(wèn)題源之一.例如,常見(jiàn)的分布式拒絕服務(wù)(Distributed denial of service,DDoS)攻擊[9]大致分為兩個(gè)階段:1)在不同時(shí)刻和網(wǎng)絡(luò)拓?fù)涔?jié)點(diǎn)上試圖控制多個(gè)終端機(jī);2)協(xié)同地發(fā)送大量數(shù)據(jù)包形成洪流至多個(gè)目標(biāo)IP服務(wù)器,使其頻繁響應(yīng)該訪問(wèn)請(qǐng)求,用以過(guò)度消耗大量的帶寬,路由及計(jì)算資源甚至造成超負(fù)荷癱瘓,從而使合法用戶無(wú)法請(qǐng)求訪問(wèn),影響正常的網(wǎng)絡(luò)服務(wù).為了檢測(cè)和防御這類攻擊[10],綜合性策略應(yīng)該從以下幾個(gè)方面考慮:1)更新增強(qiáng)型防火墻、安全補(bǔ)丁和反病毒軟件;2)提升身份驗(yàn)證密碼保護(hù)機(jī)制和入侵檢測(cè)系統(tǒng)的性能;3)開(kāi)發(fā)有效的系統(tǒng)訪問(wèn)請(qǐng)求響應(yīng)(DNS)協(xié)議用以識(shí)別惡意非法用戶;4)提出新型的路由資源調(diào)度,將訪問(wèn)請(qǐng)求分流管理,降低惡意攻擊的風(fēng)險(xiǎn);5)構(gòu)建安全可靠的網(wǎng)絡(luò)架構(gòu)用以故障恢復(fù)和數(shù)據(jù)備份.在工業(yè)網(wǎng)絡(luò)攻擊中存在一類數(shù)據(jù)完整性攻擊:重放攻擊(Replay attacks),攻擊者通過(guò)網(wǎng)絡(luò)非法接入,偵聽(tīng)到系統(tǒng)處于穩(wěn)定運(yùn)行階段的傳感測(cè)量數(shù)據(jù),然后重復(fù)發(fā)送該數(shù)據(jù)包形成虛擬的測(cè)量輸出至控制中心,致使檢測(cè)系統(tǒng)誤認(rèn)為該測(cè)量輸出是合理滿意的,同時(shí)攻擊者可以任意注入惡意控制命令去影響受控對(duì)象的控制性能.為了檢測(cè)該類攻擊,利用Neyman Pearson檢測(cè)器和半正定規(guī)劃設(shè)計(jì)了一種物理水印檢測(cè)數(shù)據(jù)的完整性[11].從攻防博弈的角度,試圖找到控制性能和檢測(cè)能力的納什平衡,在可接受的控制性能前提下,盡可能緩解重放攻擊對(duì)系統(tǒng)的不利影響[12].2017年5月爆發(fā)了一種席卷全球的新型勒索病毒[13]:WannaCry,它利用針對(duì)Windows操作系統(tǒng)的網(wǎng)絡(luò)層協(xié)議的漏洞或垃圾郵件、惡意廣告鏈接等方式感染主機(jī),并自動(dòng)執(zhí)行RSA-2048加密程序迅速鎖定存儲(chǔ)器上的文件系統(tǒng),這類加密機(jī)制一般用戶無(wú)法(暴力)破解,必須付費(fèi)才能獲取解密口令.隨后Microsoft發(fā)布了Critical補(bǔ)丁用以修補(bǔ)易為該病毒所利用的漏洞.更新殺毒軟件、備份數(shù)據(jù)、關(guān)閉閑置的網(wǎng)絡(luò)端口和刪除垃圾郵件等常用措施能有效預(yù)防此類病毒[14].

近年來(lái),欺騙攻擊由于隱蔽性和極具破壞性特點(diǎn)成為網(wǎng)絡(luò)攻擊研究中的熱點(diǎn).例如著名網(wǎng)絡(luò)戰(zhàn)標(biāo)志性事件StuxNet[15],攻擊者利用監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)(Supervisory control and data acquisition,SCADA)的網(wǎng)絡(luò)漏洞注入蠕蟲(chóng)病毒,目的是感染核濃縮工作的離心機(jī)控制系統(tǒng),使得監(jiān)測(cè)結(jié)果顯示離心機(jī)正常工作,而實(shí)際已嚴(yán)重失控.作為欺騙攻擊的典型代表,假數(shù)據(jù)注入(False data injection,FDI)攻擊利用信息傳輸網(wǎng)絡(luò)漏洞,在傳感器或執(zhí)行器上注入攻擊者精心設(shè)計(jì)的假數(shù)據(jù),改變傳感器測(cè)量值或控制器控制指令,確保繞過(guò)檢測(cè)器的壞值檢測(cè)同時(shí)影響物理動(dòng)態(tài)過(guò)程的控制性能.因此,FDI攻擊對(duì)CPS的安全威脅幾乎難以避免[16-17].其最早由Liu等學(xué)者提出[18],在電力系統(tǒng)中通過(guò)篡改傳感數(shù)據(jù)改變狀態(tài)估計(jì),同時(shí)能避免被基于最小二乘的壞值檢測(cè)器發(fā)現(xiàn),文獻(xiàn)[18]給出FDI攻擊的定義并闡述了隱蔽性和難以檢測(cè)性等特點(diǎn).然而該工作僅考慮了傳感器端的測(cè)量數(shù)據(jù)篡改,并未考慮在執(zhí)行器端注入控制假數(shù)據(jù).本文給出的攻擊模型同時(shí)考慮了執(zhí)行器端和傳感器端的假數(shù)據(jù)注入.

在此基礎(chǔ)上,人們開(kāi)始研究FDI攻擊在網(wǎng)絡(luò)控制系統(tǒng)的應(yīng)用.Kwon等基于線性時(shí)不變(Linear time invariant,LTI)系統(tǒng)提出Deception attack model[19]并制定了三類混合攻擊策略研究對(duì)系統(tǒng)狀態(tài)估計(jì)值和測(cè)量殘差的影響.Covert misappropriation attacks[20]主要構(gòu)建基于反饋控制的Covert agent,與原系統(tǒng)控制器對(duì)抗,實(shí)現(xiàn)對(duì)控制系統(tǒng)影響并保持FDI攻擊的隱蔽性.Stealthy integrity attacks[21]利用最大擾動(dòng)狀態(tài)可達(dá)集來(lái)衡量對(duì)控制系統(tǒng)的影響程度.基于輸出跟蹤網(wǎng)絡(luò)控制系統(tǒng),Pang等[22]提出了Two-channel FDI attacks影響系統(tǒng)輸出跟蹤誤差.Coding scheme[23]用于檢測(cè)FDI攻擊,使用狀態(tài)估計(jì)誤差和殘差兩個(gè)指標(biāo)來(lái)量化FDI攻擊對(duì)系統(tǒng)性能的影響.這類研究給出了基于控制系統(tǒng)的FDI攻擊研究框架,但是往往假設(shè)受控對(duì)象為不穩(wěn)定系統(tǒng)(即系統(tǒng)矩陣至少存在一個(gè)不穩(wěn)定特征值),攻擊者利用執(zhí)行器端注入的控制假數(shù)據(jù)抵消掉原系統(tǒng)控制器的穩(wěn)定調(diào)節(jié)功能,相當(dāng)于受控對(duì)象實(shí)際上沒(méi)有收到任何有效的控制指令,致使系統(tǒng)失穩(wěn),同時(shí)在傳感器端對(duì)測(cè)量值進(jìn)行篡改達(dá)到攻擊隱蔽性的目的.當(dāng)受控對(duì)象為穩(wěn)定系統(tǒng)時(shí),這類攻擊策略將失去效力.本文將主要針對(duì)穩(wěn)定的受控對(duì)象設(shè)計(jì)FDI攻擊協(xié)同策略.文獻(xiàn)[22]盡管考慮了受控對(duì)象的穩(wěn)定性,但研究的輸出跟蹤閉環(huán)控制不具有一般性.本文以最基本控制單元為研究對(duì)象,所提出的FDI攻擊協(xié)同策略能夠拓展到其他控制系統(tǒng).

最優(yōu)攻擊策略也是許多學(xué)者專注研究的熱點(diǎn)問(wèn)題.例如Stealthy control signal attacks[24]提出了兩目標(biāo)優(yōu)化模型:降低FDI攻擊可檢測(cè)性和增大控制代價(jià).FDI攻擊通過(guò)篡改電表數(shù)據(jù),觸發(fā)安全約束經(jīng)濟(jì)性調(diào)度子系統(tǒng)的負(fù)載再分布機(jī)制,從而引起發(fā)電功率再分配[25],使攻擊者獲取非法經(jīng)濟(jì)利益[26].在此基礎(chǔ)上,我們已有的工作研究了FDI攻擊能夠操縱區(qū)域邊際價(jià)格以幫助電力生產(chǎn)方利益聯(lián)盟實(shí)現(xiàn)非法收入[27].這類研究往往利用FDI攻擊協(xié)同性特點(diǎn)增大系統(tǒng)控制成本或獲取經(jīng)濟(jì)利益,并未考慮FDI攻擊協(xié)同策略如何影響系統(tǒng)的穩(wěn)定性.本文將研究FDI攻擊操縱系統(tǒng)穩(wěn)定性的協(xié)同攻擊條件.

FDI攻擊的實(shí)現(xiàn)往往假設(shè)攻擊者完全掌握控制系統(tǒng)模型參數(shù)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(及Jacobian矩陣)、最優(yōu)控制器和檢測(cè)器檢測(cè)方法等信息.這類假設(shè)看似勉強(qiáng),但是在網(wǎng)絡(luò)攻擊領(lǐng)域具有一定的合理性,因?yàn)楣粽呖梢岳镁W(wǎng)絡(luò)漏洞偵聽(tīng)足夠的系統(tǒng)運(yùn)行數(shù)據(jù),進(jìn)行信息綜合,從而獲取與系統(tǒng)模型相關(guān)的先驗(yàn)知識(shí).Liang等回顧了FDI攻擊面向電力系統(tǒng)的研究現(xiàn)狀[28],并以2015年烏克蘭停電事件[29]為例揭示了FDI攻擊假設(shè)條件的合理性和攻擊協(xié)同性特點(diǎn).

本文著眼于最基本控制單元并給出最具一般性的FDI攻擊模型,直觀地揭示FDI攻擊如何影響系統(tǒng)內(nèi)部狀態(tài)和外部測(cè)量.提出的FDI攻擊協(xié)同策略進(jìn)一步拓展了已有工作的研究?jī)?nèi)容,適用于所有穩(wěn)定和不穩(wěn)定的受控對(duì)象,能夠有效分析其對(duì)CPS穩(wěn)定性影響.本文主要貢獻(xiàn)包括:

1)從攻擊者角度,構(gòu)建FDI攻擊效力模型來(lái)量化FDI攻擊對(duì)CPS性能的影響程度,并提出一個(gè)攻擊向量協(xié)同策略,理論上分析了控制假數(shù)據(jù)和測(cè)量假數(shù)據(jù)對(duì)系統(tǒng)狀態(tài)估計(jì)誤差偏差量和殘差偏差量的影響.

2)基于給定的攻擊向量協(xié)同策略,理論上分析控制假數(shù)據(jù)和測(cè)量假數(shù)據(jù)對(duì)系統(tǒng)測(cè)量輸出和實(shí)際輸出的影響,并給出操縱CPS穩(wěn)定性的攻擊條件.

3)通過(guò)對(duì)穩(wěn)定和不穩(wěn)定LTI系統(tǒng)的數(shù)值仿真,驗(yàn)證FDI攻擊效力模型和協(xié)同策略的有效性.

本文組織架構(gòu)如下:第1節(jié)介紹正常(無(wú)攻擊)情況下,CPS控制系統(tǒng)的基本組成單元;第2節(jié)介紹FDI攻擊效力模型;第3節(jié)提出FDI攻擊協(xié)同策略并分析了對(duì)CPS穩(wěn)定性的影響;第4節(jié)進(jìn)行數(shù)值仿真及結(jié)果分析;第5節(jié)給出本文工作的結(jié)論.

1 CPS控制系統(tǒng)

CPS控制系統(tǒng)最基本的控制單元包括受控對(duì)象、狀態(tài)估計(jì)器、壞值檢測(cè)器和控制器.考慮受控對(duì)象為隨機(jī)離散LTI系統(tǒng),其動(dòng)力學(xué)模型如下:

其中,xk∈Rn,uk∈Rp和yk∈Rq分別是系統(tǒng)狀態(tài)變量、控制輸入和測(cè)量輸出;A,B和C是系統(tǒng)矩陣、輸入矩陣和輸出矩陣;ωk和ξk分別表示過(guò)程噪聲和測(cè)量噪聲.通常假設(shè)系統(tǒng)噪聲是相互獨(dú)立且均值為零的高斯白噪聲,即ωk～N(0,?)和ξk～N(0,Ξ),?和Ξ分別是其協(xié)方差矩陣.(A,B)能控和(A,C)能觀.假設(shè)系統(tǒng)初始狀態(tài)x0=0.

卡爾曼濾波常用作CPS狀態(tài)估計(jì)器和壞值檢測(cè)器,其基本方程如下:

其中,第k時(shí)刻表示狀態(tài)估計(jì),Pk|k是估計(jì)誤差協(xié)方差矩陣,Kk是卡爾曼增益矩陣,zk是測(cè)量殘差.

當(dāng)卡爾曼濾波達(dá)到穩(wěn)態(tài)時(shí),P=limk→∞Pk|k和K=limk→∞Kk.zk服從高斯分布,其均值為0,協(xié)方差矩陣V=CPCT+Ξ,即zk～N(0,V).

正常情況下(無(wú)惡意攻擊),E{ωk}=0和E{ξk}=0,且卡爾曼濾波最優(yōu)增益K保證矩陣(AKCA)是穩(wěn)定矩陣.當(dāng)系統(tǒng)處于穩(wěn)態(tài)時(shí),狀態(tài)估計(jì)誤差的期望值趨于0,即limk→∞E{ek}=0,同時(shí),zk均能通過(guò)壞值檢測(cè)器的檢測(cè).

基于卡爾曼濾波的最優(yōu)狀態(tài)估計(jì),線性二次型調(diào)節(jié)器(Linear-quadratic regulator,LQR)常作為CPS的最優(yōu)狀態(tài)反饋控制器.在無(wú)限時(shí)域內(nèi)最小化性能指標(biāo),其中Q和R是正定加權(quán)矩陣,最優(yōu)控制序列如下:

其中,常數(shù)rc代表參考輸入,L表示控制增益.L=(R+BTSB)-1BTSA,S是離散代數(shù)Riccati方程:S=ATSA-ATSB(R+BTSB)-1BTSA+Q的唯一正定解.

綜上,在卡爾曼濾波和LQR共同作用下,無(wú)論CPS控制對(duì)象是否穩(wěn)定(矩陣A的所有特征值都處于單位圓內(nèi),則認(rèn)為控制對(duì)象穩(wěn)定,否則,認(rèn)為不穩(wěn)定),其閉環(huán)控制系統(tǒng)總能達(dá)到穩(wěn)定,即矩陣(AKCA)和(A-BL)都是穩(wěn)定矩陣.

2 FDI攻擊效力模型

假定CPS信息傳輸網(wǎng)絡(luò)存在安全漏洞,允許攻擊者偵聽(tīng)和篡改系統(tǒng)運(yùn)行數(shù)據(jù)并掌握CPS的網(wǎng)絡(luò)拓?fù)浜湍Ｐ蛥?shù).例如系統(tǒng)內(nèi)部人員在閉環(huán)系統(tǒng)的前向和反饋通道惡意注入特定的假數(shù)據(jù)到執(zhí)行器和傳感器.基于模型(1),FDI攻擊模型有如下形式:

為了有效量化FDI攻擊對(duì)CPS影響,常用系統(tǒng)狀態(tài)估計(jì)誤差偏差量和殘差偏差量來(lái)表示.因此,給定式(3)和式(7),得到如下動(dòng)力學(xué)模型:

本文稱該動(dòng)力學(xué)模型為FDI攻擊效力模型.顯然,Δek和Δzk是關(guān)于攻擊向量的函數(shù),. 通過(guò)設(shè)計(jì)不同攻擊向量,可以得到多種協(xié)同策略,對(duì)系統(tǒng)造成不同程度的破壞.

3 FDI攻擊協(xié)同策略

考慮CPS的執(zhí)行器和傳感器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),攻擊者能夠協(xié)同設(shè)計(jì)控制假數(shù)據(jù)和測(cè)量假數(shù)據(jù),注入到CPS引發(fā)系統(tǒng)內(nèi)部狀態(tài)偏離原工作點(diǎn),甚至可能驅(qū)使穩(wěn)定的閉環(huán)系統(tǒng)失穩(wěn),同時(shí)利用假數(shù)據(jù)的欺騙性和隱蔽性,避免觸發(fā)壞值檢測(cè)器報(bào)警.具體地,對(duì)于FDI攻擊效力模型(8)來(lái)說(shuō),一旦FDI攻擊協(xié)同策略成功實(shí)現(xiàn),隨著時(shí)間k遞增,Δek將達(dá)到攻擊者期望的任一工作點(diǎn)甚至無(wú)界而Δzk有界.前者考慮了FDI攻擊對(duì)系統(tǒng)狀態(tài)的穩(wěn)定性影響,后者確保注入的假數(shù)據(jù)能夠通過(guò)壞值檢測(cè)器的檢測(cè).

引理1.給定FDI攻擊模型(5),若攻擊向量的協(xié)同策略滿足

其中,ka表示處于上界或下界的時(shí)刻值,向量中任意元素都是正實(shí)數(shù),矩陣H∈Rp×p是不穩(wěn)定矩陣,即至少存在一個(gè)特征值處在單位圓之外.對(duì)于FDI攻擊效力模型(8),可得

證明.將式(10)代入式(8)中的Δzk+1,可知Δzk+1=zk.已知zk～N(0,V),則

易知式(12)成立.

將式(10)代入式(8)中的Δek+1,可得

聯(lián)立式(9),(13)和(14),寫(xiě)出如下增廣系統(tǒng):

由于矩陣H是不穩(wěn)定的,則系統(tǒng)矩陣Λ至少存在一個(gè)特征值處在單位圓之外,該增廣系統(tǒng)的內(nèi)部狀態(tài)和外部輸出都會(huì)隨時(shí)間k遞增而發(fā)散,趨于不穩(wěn)定狀態(tài);直到將收斂于其邊界值.這時(shí),隨時(shí)間k遞增,當(dāng)原受控對(duì)象(1)的系統(tǒng)矩陣A是穩(wěn)定矩陣時(shí),將趨于穩(wěn)定,分別收斂于是正實(shí)數(shù));當(dāng)A不穩(wěn)定時(shí),將繼續(xù)發(fā)散,趨于無(wú)窮大.加之,(A,B)能控和(A,C)能觀,易知式(11)成立.□

注1.上述引理,除得到式(11)和式(12)外,還可得到

注2.對(duì)于式(13),由于初始條件Δe0=0,可進(jìn)一步得到的形式如下:

注3.對(duì)于增廣系統(tǒng)(15),有如下討論:

1)系統(tǒng)矩陣A直接反映了原受控對(duì)象(1)的穩(wěn)定特性.當(dāng)A不穩(wěn)定時(shí),隨著時(shí)間k遞增,只要有界,FDI攻擊效力模型總能得到Δek無(wú)界且Δzk有界.攻擊者利用原受控對(duì)象不穩(wěn)定特性達(dá)到FDI攻擊的目的,從一定程度上,此類攻擊策略相對(duì)容易實(shí)現(xiàn).許多工作[19,21-23]已涉及類似結(jié)論.本文給出的引理不僅歸納了已有工作的特定情形(即矩陣A不穩(wěn)定),還主分析了矩陣A穩(wěn)定的情形下,攻擊者如何設(shè)計(jì)協(xié)同攻擊策略以影響CPS的穩(wěn)定性.

引理1給出的攻擊向量協(xié)同策略實(shí)際上分析了FDI攻擊對(duì)CPS內(nèi)部狀態(tài)和用于壞值檢測(cè)的殘差的影響.下面進(jìn)一步分析由于FDI攻擊引起的系統(tǒng)內(nèi)部狀態(tài)變量的變化對(duì)CPS穩(wěn)定性的影響.

定理1.給定FDI攻擊模型(5),若攻擊向量的協(xié)同策略滿足式(9)和式(10),則系統(tǒng)的測(cè)量輸出和實(shí)際輸出形式分別為

其中,M1表示正實(shí)數(shù).

證明.根據(jù)式(6),可得

定義δ表示增量計(jì)算符號(hào),如,.上式可寫(xiě)成

由于zk～N(0,V),且 limk→∞‖Δzk‖2=0,易知.對(duì)于上面的增量模型,相當(dāng)于系統(tǒng)噪聲.它的期望形式可寫(xiě)成

聯(lián)立式(20)和式(21)得到一個(gè)新的增廣系統(tǒng).由于矩陣A-BL是穩(wěn)定矩陣,該增廣系統(tǒng)是穩(wěn)定系統(tǒng),隨著時(shí)間遞增,最終必然能達(dá)到新的平衡態(tài).因此,可得

注4.FDI攻擊的隱蔽性體現(xiàn)在:隨著時(shí)間k遞增,測(cè)量輸出可達(dá)漸近穩(wěn)定,以欺騙壞值檢測(cè)器,而系統(tǒng)實(shí)際輸出是否收斂依賴于原受控對(duì)象的系統(tǒng)矩陣A的穩(wěn)定性.當(dāng)A不穩(wěn)定時(shí),將無(wú)法收斂[22];當(dāng)A穩(wěn)定時(shí),,k∈[0,ka]呈發(fā)散狀態(tài),直到收斂于攻擊者期望的任一工作點(diǎn).FDI攻擊協(xié)同策略對(duì)CPS攻擊效力的結(jié)果是影響系統(tǒng)實(shí)際輸出的收斂性而不改變系統(tǒng)測(cè)量輸出的穩(wěn)定性.

注5.FDI攻擊的協(xié)同性表現(xiàn)在:從執(zhí)行器端注入的控制假數(shù)據(jù)用來(lái)擾動(dòng)系統(tǒng)狀態(tài),進(jìn)而影響受控對(duì)象實(shí)際輸出的收斂性,而從傳感器端注入的測(cè)量假數(shù)據(jù)用來(lái)消除系統(tǒng)狀態(tài)改變所引發(fā)的不利影響,避免被壞值檢測(cè)器發(fā)現(xiàn).這大致分為三個(gè)步驟,如圖1所示.

圖1 FDI攻擊協(xié)同策略架構(gòu)Fig.1 Framework of coordination strategy under FDI attacks

步驟1.設(shè)計(jì).根據(jù)式(9),攻擊者主要設(shè)計(jì)攻擊矩陣H和時(shí)間參數(shù)ka.其中,H的維度由執(zhí)行器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)決定,H和ka的數(shù)值應(yīng)依據(jù)攻擊者的攻擊意圖而定.特別地,初始值.

步驟2.評(píng)估攻擊效力.根據(jù)FDI攻擊效力模型(8),量化系統(tǒng)狀態(tài)估計(jì)誤差偏差量和殘差偏差量,使之滿足式(11)和式(12).

步驟3.設(shè)計(jì)器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)決定,其數(shù)值滿足式(17).這體現(xiàn).根據(jù)式(10),其維度由傳感了攻擊者具有對(duì)防御者(壞值檢測(cè)器)的欺騙能力和隱藏特性,是FDI攻擊成功與否關(guān)鍵所在.

4 數(shù)值仿真及結(jié)果分析

本節(jié)通過(guò)數(shù)值仿真驗(yàn)證本文提出的FDI攻擊協(xié)同策略的有效性.考慮兩輸入兩輸出的隨機(jī)離散LTI系統(tǒng)作為CPS控制系統(tǒng)的受控對(duì)象.

4.1 穩(wěn)定矩陣 A

給定穩(wěn)定矩陣A1,參考輸入和其他系統(tǒng)參數(shù)B,C,?,Ξ

計(jì)算出系統(tǒng)信噪比約為[0.69,0.28]T,同時(shí)得到卡爾曼增益K和控制增益L

在k=0,1,···,19時(shí),閉環(huán)LTI系統(tǒng)在卡爾曼濾波和LQR共同作用下處于穩(wěn)定運(yùn)行狀態(tài);在k=20時(shí),攻擊者開(kāi)始發(fā)動(dòng)FDI攻擊.此時(shí),根據(jù)協(xié)同攻擊策略(9),設(shè)計(jì)控制假數(shù)據(jù)的初始值、攻擊矩陣和時(shí)間參數(shù)如下:

圖2是FDI攻擊對(duì)穩(wěn)定LTI系統(tǒng)的協(xié)同策略的控制假數(shù)據(jù)和測(cè)量假數(shù)據(jù)的變化情況.由于k=0,1,···,19時(shí)刻沒(méi)有發(fā)動(dòng)任何攻擊,其值均為0.隨著時(shí)間k≥20遞增,不斷增加直至ka=40時(shí),可確定的上界,收斂于.同時(shí),不斷減小直至收斂于,結(jié)果符合式(16),其中下標(biāo)1和下標(biāo)2分別表示系統(tǒng)的兩路輸入或輸出.從能量平衡角度,在執(zhí)行器端注入的控制假數(shù)使系統(tǒng)能量增加,在傳感器端注入的測(cè)量假數(shù)據(jù)抵消注入的能量,當(dāng)收斂于收斂于,最終使系統(tǒng)總能量保持一定平衡,體現(xiàn)了FDI攻擊的隱蔽性.

圖2 FDI攻擊對(duì)穩(wěn)定LTI系統(tǒng)的協(xié)同策略Fig.2 Coordination strategy under FDI attacks against stable LTI system

圖3是FDI攻擊協(xié)同策略對(duì)穩(wěn)定LTI系統(tǒng)的攻擊效力評(píng)估結(jié)果.由于k=0,1,···,19時(shí)刻沒(méi)有發(fā)動(dòng)任何攻擊,分別得到原閉環(huán)LTI系統(tǒng)的狀態(tài)估計(jì)誤差值的Euclid范數(shù)‖ek‖2和殘差值的Euclid范數(shù)‖zk‖2.隨著時(shí)間k≥20遞增,不斷增加,最終收斂于,同時(shí),仍然保持原系統(tǒng)殘差值的幅值波動(dòng)水平,低于檢測(cè)閾值0.08.可見(jiàn),FDI攻擊的真實(shí)意圖體現(xiàn)在系統(tǒng)內(nèi)部狀態(tài)收斂性完全依賴于的收斂性,而FDI攻擊隱蔽性體現(xiàn)在外部測(cè)量殘差保持著與攻擊前相同的收斂性,這與式(11)和式(12)的結(jié)論一致,驗(yàn)證了FDI攻擊效力模型(8)的有效性.

圖4是FDI攻擊對(duì)穩(wěn)定LTI系統(tǒng)測(cè)量輸出和實(shí)際輸出的影響.由于k=0,1,···,19時(shí)刻沒(méi)有發(fā)動(dòng)任何攻擊,分別得到原閉環(huán)LTI系統(tǒng)輸出yk,由于存在過(guò)程噪聲和測(cè)量噪聲,測(cè)量輸出值存在一定波動(dòng).隨著時(shí)間k≥20遞增,FDI攻擊真實(shí)意圖體現(xiàn)在系統(tǒng)實(shí)際輸出不斷增加直至達(dá)到上界,收斂于,而FDI攻擊隱蔽性體現(xiàn)在系統(tǒng)測(cè)量輸出保持攻擊前系統(tǒng)輸出yk幾乎相同波動(dòng)水平,收斂于[0.24,0.17]T,這與命題的結(jié)果式(18)和式(19)一致.這也揭示了FDI攻擊能夠操縱系統(tǒng)實(shí)際輸出的穩(wěn)定性,而保持穩(wěn)定的測(cè)量輸出能欺騙CPS運(yùn)營(yíng)中心的壞值檢測(cè)器.

圖3 FDI攻擊對(duì)穩(wěn)定LTI系統(tǒng)的攻擊效力Fig.3 FDI attack effectiveness on stable LTI system

圖4 FDI攻擊下穩(wěn)定LTI系統(tǒng)輸出Fig.4 Outputs of stable LTI system under FDI attacks

4.2 不穩(wěn)定矩陣 A

給定不穩(wěn)定矩陣A2,參考輸入和其他系統(tǒng)參數(shù)不變,如式(22)所示,計(jì)算出系統(tǒng)信噪比約為[6.92,2.75]T.針對(duì)不穩(wěn)定的LTI系統(tǒng)在卡爾曼濾波和LQR共同作用下處于穩(wěn)定運(yùn)行狀態(tài),其卡爾曼增益K(同式(23)中K)和控制增益L為

該案例中,攻擊者發(fā)動(dòng)FDI攻擊時(shí)間和協(xié)同策略與第4.1節(jié)的案例相同.圖5是FDI攻擊對(duì)不穩(wěn)定LTI系統(tǒng)的協(xié)同策略控制假數(shù)據(jù)和測(cè)量假數(shù)據(jù)的變化情況.與圖2比較,隨著時(shí)間k≥20遞增,即使控制假數(shù)據(jù)收斂于,測(cè)量假數(shù)據(jù)也無(wú)法收斂,這與注1和注2結(jié)論一致,原因在于不穩(wěn)定矩陣A影響著式(17)的計(jì)算結(jié)果.這里取對(duì)數(shù)值表示趨于無(wú)窮的.

圖5 FDI攻擊對(duì)不穩(wěn)定LTI系統(tǒng)的協(xié)同策略Fig.5 Coordination strategy under FDI attacks against unstable LTI system

圖6是FDI攻擊對(duì)不穩(wěn)定LTI系統(tǒng)的攻擊效力評(píng)估結(jié)果.與圖3比較,隨著時(shí)間k≥20遞增,即使控制假數(shù)據(jù)收斂于,FDI攻擊真實(shí)意圖體現(xiàn)在狀態(tài)估計(jì)誤差偏差量的Euclid范數(shù)不斷增加,也無(wú)法收斂,而FDI攻擊的隱蔽性體現(xiàn)在殘差偏差量的Euclid范數(shù)仍然保持攻擊前殘差值的幅值波動(dòng)水平,低于檢測(cè)閾值0.05.這與注3結(jié)論一致.這里取對(duì)數(shù)值表示趨于無(wú)窮的.

圖7是FDI攻擊對(duì)不穩(wěn)定LTI系統(tǒng)測(cè)量輸出和實(shí)際輸出的影響.與圖4比較,隨著時(shí)間k≥20遞增,即使控制假數(shù)據(jù)收斂于,FDI攻擊真實(shí)意圖體現(xiàn)在系統(tǒng)實(shí)際輸出不斷增加,也無(wú)法收斂,而FDI攻擊隱藏性體現(xiàn)在系統(tǒng)測(cè)量輸出保持攻擊前系統(tǒng)輸出yk幾乎相同波動(dòng)水平,收斂于[2.73,1.23]T,這符合式(18)和式(19)以及注4的結(jié)論.這里取對(duì)數(shù)值方便表示趨于無(wú)窮的.

圖6 FDI攻擊對(duì)不穩(wěn)定LTI系統(tǒng)的攻擊效力Fig.6 FDI attack effectiveness on unstable LTI system

圖7 FDI攻擊下不穩(wěn)定LTI系統(tǒng)輸出Fig.7 Outputs of unstable LTI system under FDI attacks

考慮不同的信噪比和穩(wěn)定性的受控對(duì)象LTI系統(tǒng),兩個(gè)仿真案例的數(shù)值結(jié)果表明文中所提出的FDI攻擊協(xié)同策略能夠操縱CPS穩(wěn)定性,關(guān)鍵在于設(shè)計(jì)的攻擊矩陣H和系統(tǒng)矩陣A的穩(wěn)定性和時(shí)間參數(shù)ka的選取時(shí)機(jī).

5 結(jié)論

本文從攻擊者的角度闡述了FDI攻擊對(duì)CPS穩(wěn)定性的影響.基于CPS的基本控制單元,給出了具有一般性FDI攻擊模型,允許攻擊者同時(shí)從傳感器和執(zhí)行器網(wǎng)絡(luò)注入假數(shù)據(jù).從系統(tǒng)狀態(tài)估計(jì)誤差和殘差的角度提出了FDI攻擊效力模型,用來(lái)量化對(duì)CPS控制性能的影響,進(jìn)而設(shè)計(jì)了FDI攻擊向量的協(xié)同策略.從理論上分析了系統(tǒng)狀態(tài)估計(jì)誤差偏差量和殘差偏差量變化情況,證明了FDI攻擊能影響系統(tǒng)實(shí)際輸出的收斂性而不改變系統(tǒng)測(cè)量輸出的穩(wěn)定性.數(shù)值仿真結(jié)果表明了FDI攻擊可任意操縱CPS的穩(wěn)定性,同時(shí)能有效躲避壞值檢測(cè)器.

本文揭示了FDI攻擊協(xié)同性特點(diǎn),能夠在網(wǎng)絡(luò)拓?fù)涞牟煌⑷朦c(diǎn)(執(zhí)行器終端和傳感器終端)實(shí)現(xiàn)欺騙攻擊.總的來(lái)說(shuō),與其他網(wǎng)絡(luò)攻擊的不同之處在于FDI攻擊不是從物理意義上摧毀壞值檢測(cè)器,而是著眼于網(wǎng)絡(luò)信息層,誤導(dǎo)壞值檢測(cè)器做出錯(cuò)誤檢測(cè)結(jié)果而不自知;同時(shí)面向不同模型參數(shù)的控制系統(tǒng),FDI攻擊通過(guò)調(diào)控攻擊矩陣H和時(shí)間參數(shù)ka,靈活設(shè)計(jì)假數(shù)據(jù)注入值,進(jìn)而操縱該控制系統(tǒng)收斂于攻擊者期望的任一工作點(diǎn).本文也揭示了CPS系統(tǒng)存在嚴(yán)重的網(wǎng)絡(luò)安全漏洞,威脅著各類控制管理調(diào)度系統(tǒng)的正常運(yùn)行.未來(lái)工作,我們將提出攻擊檢測(cè)方案和防御策略,保障CPS安全可靠運(yùn)行.