信息物理融合系統(tǒng)綜合安全威脅與防御研究

劉烴 田決 王稼舟 吳宏宇 孫利民 周亞東 沈超 管曉宏

近年來,隨著信息科學(xué)與技術(shù)的快速發(fā)展和信息計算與數(shù)據(jù)處理能力的不斷提升,工程系統(tǒng)和信息計算高度融合的趨勢十分明顯.信息物理融合系統(tǒng)(Cyber-physical system,CPS)是計算單元和物理對象在網(wǎng)絡(luò)環(huán)境中高度集成交互而成的智能系統(tǒng)[1],如圖1所示.CPS包括物聯(lián)網(wǎng)、信息物理融合能源系統(tǒng)或能源互聯(lián)網(wǎng)、智能電網(wǎng)、智能交通系統(tǒng)、智能制造系統(tǒng)、智能物流系統(tǒng)等,已成為支撐和引領(lǐng)新一輪產(chǎn)業(yè)變革的核心技術(shù).

互聯(lián)網(wǎng)是信息社會的關(guān)鍵基礎(chǔ)設(shè)施,其問世目的主要是為了信息共享,因而被設(shè)計成匿名開放系統(tǒng),較少考慮安全的因素.互聯(lián)網(wǎng)的發(fā)展和應(yīng)用完全超出了任何人預(yù)料,網(wǎng)絡(luò)信息安全已成為互聯(lián)網(wǎng)發(fā)展和應(yīng)用的關(guān)鍵問題之一.互聯(lián)網(wǎng)面臨的安全威脅包括網(wǎng)絡(luò)攻擊(如拒絕服務(wù)攻擊、緩存區(qū)溢出、SQL注入等)、惡意代碼(如病毒、木馬、蠕蟲等)、數(shù)據(jù)欺詐(如身份偽造、數(shù)據(jù)篡改等)、網(wǎng)絡(luò)竊聽、在線社交網(wǎng)絡(luò)攻擊等.物理系統(tǒng)特別是工程系統(tǒng)由于自身的封閉性和預(yù)設(shè)的安全保障機制,被認為可以有效抵御各類攻擊,進而保證CPS的安全.然而近年來,Stuxnet安全事件表明,信息系統(tǒng)安全與物理系統(tǒng)工程安全相互影響,使得網(wǎng)絡(luò)攻擊能夠直接影響CPS安全,對國家安全和人民生活造成嚴重威脅.

圖1 CPS概念模型[1]Fig.1 CPS conceptual model[1]

首先,傳統(tǒng)物理系統(tǒng)(如工業(yè)控制系統(tǒng)、駕駛系統(tǒng)、醫(yī)療設(shè)備等)由于其相對隔離的運行環(huán)境,且多采用專用信道進行通信,使得攻擊者相對難接入、滲透和實施攻擊.由于信息化和智能化的需要,傳統(tǒng)物理系統(tǒng)向CPS演化過程中,系統(tǒng)的運行環(huán)境由封閉和隔離變得開放和互聯(lián)[2].這在提高運行效率的同時,同樣為攻擊者提供了新的攻擊渠道,使得CPS更有可能面臨來自內(nèi)部或外部的攻擊.如Stuxnet攻擊通過U盤擺渡侵入核設(shè)施控制系統(tǒng)、WindShark則直接通過物理接入無人值守的風電場控制系統(tǒng).攻擊者一旦突破CPS網(wǎng)絡(luò)邊界進入內(nèi)部網(wǎng)絡(luò),攻擊成功率可能比互聯(lián)網(wǎng)攻擊更高,威脅可能更大.

其次,大多物理系統(tǒng)從工程安全的角度,設(shè)計了故障診斷和安全應(yīng)急措施,如電力系統(tǒng)采用狀態(tài)估計來檢測和消除錯誤數(shù)據(jù),采用繼電保護檢測、隔離、切除系統(tǒng)故障等.然而,這些安全保護機制主要針對自然發(fā)生的工程故障.當攻擊者通過多點協(xié)同攻擊時,可以躲避相關(guān)檢測.如Stuxnet攻擊不斷偽造上報的系統(tǒng)量測數(shù)據(jù),使得控制中心無法檢測到系統(tǒng)異常;BlackEnergy3通過破壞系統(tǒng)通信模塊并采用拒絕服務(wù)攻擊干擾電網(wǎng)電話服務(wù)系統(tǒng),使得系統(tǒng)預(yù)設(shè)的應(yīng)急響應(yīng)和防御策略無法有效實施.這些攻擊的共性特點體現(xiàn)在:針對特定物理系統(tǒng)的業(yè)務(wù)流程和安全預(yù)案,制定相應(yīng)的攻擊策略,利用網(wǎng)絡(luò)攻擊技術(shù)對多個目標實施協(xié)同攻擊,繞過物理安全防護體系,破壞系統(tǒng)的正常運行,甚至損毀物理設(shè)備.

綜上所述,在CPS中信息系統(tǒng)的信息安全(Security)與物理系統(tǒng)的工程安全(Safety)深度關(guān)聯(lián),信息系統(tǒng)安全或物理系統(tǒng)安全都不能完整地定義CPS安全特性.本文提到的信息安全包括數(shù)據(jù)安全、網(wǎng)絡(luò)安全、軟件和硬件安全、通信安全等與信息系統(tǒng)相關(guān)的安全威脅,工程安全包括物理設(shè)備安全、系統(tǒng)運行安全、產(chǎn)品質(zhì)量等與物理系統(tǒng)相關(guān)的安全問題.美國國家標準與技術(shù)研究院在《CPS架構(gòu)白皮書》中指出“安全已經(jīng)成為CPS的主要關(guān)注點,與網(wǎng)絡(luò)安全只關(guān)注減輕網(wǎng)絡(luò)攻擊的影響不同,CPS安全需要考慮到物理和網(wǎng)絡(luò)脆弱性的協(xié)同作用”,“CPS的本質(zhì)特點不僅放大了漏洞的危害性,還將引入新型的安全漏洞”[1].作者曾指出CPS安全正在從工程故障為主的物理安全問題,變成同時考慮物理系統(tǒng)安全和信息系統(tǒng)安全的綜合安全問題;CPS的安全控制正從面向物理系統(tǒng)的安全防護走向涉及自然和社會因素的綜合災(zāi)變防御[3].

基于以上分析,本文將CPS綜合安全的攻擊定義為:攻擊者利用信息系統(tǒng)與物理系統(tǒng)之間的緊密耦合關(guān)系,采用網(wǎng)絡(luò)攻擊或者物理攻擊技術(shù),造成CPS系統(tǒng)故障或誘導(dǎo)故障在系統(tǒng)中傳播,破壞CPS完整性、可用性或保密性的行為.

1 CPS定義與安全案例

CPS的概念最早在2006年由美國國家科學(xué)院和國家科學(xué)基金會提出:CPS是計算與物理過程的集成.2007年,美國總統(tǒng)科學(xué)技術(shù)顧問委員會報告《挑戰(zhàn)下的領(lǐng)先—競爭世界中的信息技術(shù)》,將CPS列為未來8項網(wǎng)絡(luò)與信息技術(shù)之首[4].2016年,美國國家標準技術(shù)研究院CPS工作組對CPS給出更具體的定義:CPS是計算單元和物理對象在網(wǎng)絡(luò)環(huán)境中高度集成交互而成的智能系統(tǒng).

歐盟在2007年至2013年的“嵌入智能與系統(tǒng)的先進研究與技術(shù)”(ARTMEIS)以及2014年起的“地平線2020”(Horizon 2020)等研究計劃中投入數(shù)十億歐元,發(fā)展包括CPS在內(nèi)的多項先進科技研究[5].德國在2013年4月的漢諾威工業(yè)博覽會上推出的“工業(yè)4.0”項目中,將CPS列為首位[6].德國科學(xué)工程院強調(diào)了CPS在制造業(yè)中的作用,認為CPS由智能機器、存儲系統(tǒng)和生產(chǎn)設(shè)備組成,能夠自主地交換信息、觸發(fā)動作并相互獨立控制.

中國從2009年起開始關(guān)注CPS,“國家自然科學(xué)基金”、“863計劃”和“973計劃”等均設(shè)立課題對其進行支持,黨的十八大和十九大相繼提出了“信息化和工業(yè)化深度融合”、“互聯(lián)網(wǎng)+”、“中國制造2025”等國家戰(zhàn)略,將CPS列為支撐新一輪產(chǎn)業(yè)變革的核心技術(shù)[7].2017年,工信部和國家標準化管理委員會發(fā)布的《信息物理系統(tǒng)白皮書》給出定義:CPS通過集成先進的感知、計算、通信、控制等信息技術(shù)和自動控制技術(shù),構(gòu)建了物理空間與信息空間中人、機、物、環(huán)境、信息等要素相互映射、適時交互、高效協(xié)同的復(fù)雜系統(tǒng),實現(xiàn)系統(tǒng)內(nèi)資源配置和運行的按需響應(yīng)、快速迭代、動態(tài)優(yōu)化[8].

國內(nèi)外對CPS的定義都強調(diào)CPS的核心在于信息系統(tǒng)與物理系統(tǒng)的融合,而融合引入的CPS綜合安全問題也一直受到世界各國的重視.2006年,美國美國國家科學(xué)基金會(National Science Foundation)將CPS安全列為科學(xué)研究重要領(lǐng)域,國土安全部制訂了“國家基礎(chǔ)設(shè)施保護計劃”.2010年英國發(fā)布國家安全策略,開展“國家網(wǎng)控安全項”,支持工業(yè)控制系統(tǒng)安全的相關(guān)研究.2013年,歐洲網(wǎng)絡(luò)與信息安全局發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全白皮書》.在中國,2011年4月工信部等五部委聯(lián)合發(fā)布《關(guān)于加快推進信息化與工業(yè)化深度融合的若干意見》,指出“發(fā)展完善面向工業(yè)行業(yè)的安全可靠的信息化服務(wù)平臺”;2012年6月國務(wù)院要求“保障工業(yè)控制系統(tǒng)的安全,加強重要領(lǐng)域工業(yè)控制系統(tǒng),以及物聯(lián)網(wǎng)應(yīng)用、數(shù)字城市建設(shè)中的安全防護和管理”;2016年和2018年,國家重點研發(fā)計劃先后設(shè)立兩項CPS安全的項目《內(nèi)生安全的主動防御工控系統(tǒng)防護技術(shù)研究》和《工業(yè)控制系統(tǒng)安全保護技術(shù)應(yīng)用示范項目》.

為了分析CPS綜合安全的特征,本文回顧近年來全球影響廣泛的4起CPS安全事件:2010年針對伊朗核設(shè)施的Stuxnet攻擊、2014年針對歐洲工業(yè)制造系統(tǒng)的Havex攻擊,2015年針對烏克蘭電網(wǎng)的BlackEnergy3攻擊以及2017年美國風電場安全實驗,并對其攻擊過程進行分析.

2010年伊朗政府承認,伊朗位于納坦茲的鈾濃縮工廠遭受Stuxnet蠕蟲攻擊.據(jù)報導(dǎo),這次攻擊導(dǎo)致伊朗近千臺離心機損毀,Bushehr核電站也遭Stuxnet病毒感染,最終Bushehr核電站被迫關(guān)閉、鈾濃縮計劃停滯和伊朗核計劃推遲[9].Stuxnet蠕蟲是首次出現(xiàn)以核電站和核設(shè)施為目標的網(wǎng)絡(luò)攻擊.Stuxnet蠕蟲利用了4個Zero-day漏洞入侵核電站信息系統(tǒng),躲過入侵檢測系統(tǒng)等信息網(wǎng)絡(luò)安全監(jiān)控,隨后采用Rootkit技術(shù)入侵PLC控制器,控制離心機異常運行,同時偽造離心機的運行數(shù)據(jù),欺騙數(shù)據(jù)采集與監(jiān)控系統(tǒng)(Supervisory control and data acquisition,SCADA)的故障診斷功能,直到離心機損壞[10-11].

2014年,歐洲大量工業(yè)制造系統(tǒng)遭受Havex木馬襲擊,其專門針對SCADA和工控系統(tǒng)(Industrial control system,ICS)中的工業(yè)控制軟件,進行遠程控制,可造成水電壩失控、核電站過載、電網(wǎng)斷路等后果[12].

2015年12月23日,烏克蘭電力部門遭受BlackEnergy3攻擊,造成了7座110KV和23座35KV變電站斷電長達3個小時,使得3個不同區(qū)域大約22萬人失去電力供應(yīng).BlackEnergy3是全球首個導(dǎo)致電力系統(tǒng)癱瘓的網(wǎng)絡(luò)攻擊.BlackEnergy3利用Office的漏洞入侵電力部門辦公系統(tǒng),再通過VPN和ICS的遠程管理功能入侵電網(wǎng)控制系統(tǒng),下達斷路器斷開指令,導(dǎo)致輸電網(wǎng)斷路.為阻斷電網(wǎng)保護和恢復(fù)機制,攻擊者篡改日志文件、破壞數(shù)據(jù)存儲系統(tǒng)、關(guān)閉監(jiān)控系統(tǒng),甚至對客服電話系統(tǒng)發(fā)動電話拒絕服務(wù)攻擊[13].

2017年7月,美國塔爾薩大學(xué)Staggs博士團隊公布了3個針對風電場的攻擊.Windshark向聯(lián)網(wǎng)的渦輪機發(fā)送命令,禁用或者反復(fù)制動急停,以造成磨損和破壞.Windworm利用Telnet和FTP在可編程自動化控制器間擴散,感染整個風電場的計算機.Windpoison利用ARP緩存病毒,發(fā)現(xiàn)和定位控制系統(tǒng)的網(wǎng)絡(luò)組件漏洞,并偽造渦輪機發(fā)回的信號,隱瞞機組遭攻擊破壞的事實.研究團隊在美國中部的風電場撬開風力發(fā)電設(shè)備的服務(wù)器機柜,將通信設(shè)備接入風電控制系統(tǒng),實現(xiàn)遠程控制風力發(fā)電機[14].

從上述真實案例可以看出,CPS攻擊過程一般由兩部分組成.1)利用網(wǎng)絡(luò)攻擊技術(shù)對系統(tǒng)信息網(wǎng)絡(luò)進行探測、入侵、提權(quán)和控制,探知目標系統(tǒng)拓撲結(jié)構(gòu)、運行模式等,獲得目標系統(tǒng)量測或控制數(shù)據(jù)的修改權(quán)限,為后續(xù)攻擊提供基礎(chǔ);2)利用CPS設(shè)計和業(yè)務(wù)流程實施攻擊,包括篡改控制指令造成系統(tǒng)異常運行,阻斷或篡改系統(tǒng)量測數(shù)據(jù)以阻止控制系統(tǒng)的安全響應(yīng).

第一部分與現(xiàn)有網(wǎng)絡(luò)攻擊技術(shù)相似,第二部分體現(xiàn)出CPS攻擊的特殊性,因為物理系統(tǒng)的狀態(tài)變化有一定限制(如電力系統(tǒng)中發(fā)電機出力的提升有爬升約束限制),且物理系統(tǒng)都有安全應(yīng)急機制和保護措施.因此攻擊者往往結(jié)合物理系統(tǒng)的業(yè)務(wù)邏輯和保護機制,設(shè)計攻擊策略,一方面通過持續(xù)的攻擊使得系統(tǒng)達到特定狀態(tài);另一方面隱藏自身的攻擊行為,躲避系統(tǒng)的異常檢測和保護機制.上述CPS安全事件都有信息物理耦合與攻擊隱蔽兩個特點.

1)信息物理耦合

由于信息與物理系統(tǒng)耦合,為使得攻擊效果最大化,針對CPS的攻擊必須考慮系統(tǒng)業(yè)務(wù)流程和物理約束.攻擊的構(gòu)建會受到物理系統(tǒng)本身相應(yīng)條件的約束,而攻擊的達成及其巨大的破壞力又依賴于這些條件.

2)攻擊隱蔽

攻擊者往往長期潛伏,以獲得足夠的物理系統(tǒng)知識特別是安全約束信息和控制權(quán)限,在安全監(jiān)控系統(tǒng)未察覺的情況下進行攻擊.從開始接入探測到完成攻擊目標,一般需要數(shù)日至數(shù)周的潛伏期,在這一階段保持隱蔽.

這兩個特點在已知的CPS攻擊中普遍存在,也是區(qū)別于互聯(lián)網(wǎng)攻擊最為明顯的差異.本文基于信息系統(tǒng)與物理系統(tǒng)的耦合特征,構(gòu)建CPS安全威脅模型,并針對CPS攻擊的隱蔽性,對CPS安全威脅和防御方法進行分類和總結(jié).

2 CPS綜合安全威脅模型

抵御信息網(wǎng)絡(luò)攻擊的能力是衡量CPS性能的一項重要指標.近年來的安全事件顯示,CPS面臨的攻擊手段在不斷更新,其多樣性和隱蔽性極大地增加了防御代價與成本.成功的系統(tǒng)防御通常建立在充分了解系統(tǒng)結(jié)構(gòu)及攻擊的基礎(chǔ)上.因此,需要充分了解CPS攻擊特點和現(xiàn)有異常檢測機制,制訂針對性防御策略,以增強系統(tǒng)安全防護能力.

信息系統(tǒng)與物理系統(tǒng)的耦合性是建立CPS綜合安全威脅模型的難點,不僅要分析不同系統(tǒng)自身的拓撲結(jié)構(gòu)、安全監(jiān)控機制等,還要考慮兩類系統(tǒng)間的信息交換模式、安全漏洞等.本文首先總結(jié)現(xiàn)有CPS系統(tǒng)模型和安全監(jiān)控機制,結(jié)合現(xiàn)有威脅模型,重點針對控制信號和量測信號篡改攻擊的隱蔽性,提出一種CPS綜合安全威脅模型.

2.1 CPS系統(tǒng)模型

典型的CPS由控制中心、物理設(shè)備、執(zhí)行器與傳感器構(gòu)成,如圖2所示.當系統(tǒng)狀態(tài)在一定范圍內(nèi)變化時,CPS可近似為線性系統(tǒng).由于線性系統(tǒng)理論和方法較為成熟,本文以離散時間的線性時不變(Linear time invariant,LTI)系統(tǒng)為例,闡述建模思想與方法.具體來說,LTI模型可描述如下:

圖2 CPS控制模型Fig.2 CPS control model

工業(yè)控制系統(tǒng)對于傳感器的量測數(shù)據(jù)需要經(jīng)過預(yù)處理,主要包括狀態(tài)估計器與異常檢測器,其檢測原理可分為兩類:一類是利用系統(tǒng)過去時間的狀態(tài)預(yù)測未來的狀態(tài),并根據(jù)預(yù)測結(jié)果與量測結(jié)果進行異常數(shù)據(jù)檢測,本文將其命名為時間相關(guān)型檢測;另一類是通過系統(tǒng)不同傳感器間的關(guān)聯(lián)關(guān)系,進行交叉驗證,以實現(xiàn)檢測目的,本文將其命名為空間相關(guān)型檢測.

2.2 時間相關(guān)型檢測

2.2.1 基本模型

時間相關(guān)型檢測機制中,系統(tǒng)當前狀態(tài)估計值應(yīng)與之前的估計值、量測值以及控制信號相關(guān).具體來講,用表示系統(tǒng)狀態(tài)估計值.在第k+1時刻,狀態(tài)估計器可計算系統(tǒng)狀態(tài)估計值如下:

為保證CPS的安全穩(wěn)定運行,控制算法模塊計算系統(tǒng)的控制信號,以使得系統(tǒng)狀態(tài)維持在期望目標狀態(tài)x0附近.考慮通用控制算法如下:

其中,L3(·)為抽象函數(shù).

2.2.2 基于卡爾曼濾波的狀態(tài)估計器與異常檢測器

本節(jié)以文獻研究與真實系統(tǒng)中廣泛采用的基于卡爾曼濾波的狀態(tài)估計器和卡方異常檢測器[15-18]為實例,分析CPS的時間相關(guān)型檢測理論方法.

基于卡爾曼濾波的狀態(tài)估計器將式(3)實例化為

其中,F∈Rn×m為卡爾曼增益矩陣.式(4)轉(zhuǎn)化為

卡方檢測器計算標量殘差如下:

其中,G∈Rm×m為∈[k]的協(xié)方差矩陣.當系統(tǒng)采用卡爾曼估計器,則有

且r[k]服從分布.若,卡方檢測器結(jié)果呈陽性,式中,表示卡方分布在自由度為m、概率值P為1-α的卡方值.

基于卡爾曼濾波的狀態(tài)估計器和卡方異常檢測器為時間相關(guān)型檢測提供了理論和方法支持,已經(jīng)廣泛應(yīng)用于電力系統(tǒng)、生產(chǎn)制造等系統(tǒng).但與現(xiàn)有大部分時間相關(guān)型檢測方法類似,該類方法對于運行狀態(tài)不穩(wěn)定的系統(tǒng),難以進行有效監(jiān)控.

2.3 空間相關(guān)型檢測

2.3.1 基本模型

空間相關(guān)型檢測的基本原理是根據(jù)系統(tǒng)在某個時間斷面上,不同節(jié)點量測值之間的耦合關(guān)系對系統(tǒng)當前狀態(tài)進行估計,此時要求系統(tǒng)的量測信號維數(shù)m大于等于系統(tǒng)狀態(tài)維數(shù)n,同時量測矩陣C通常列滿秩,即rank(C)=n.具體來講,用表示系統(tǒng)狀態(tài)估計值.在第k時段,狀態(tài)估計器可計算系統(tǒng)狀態(tài)估計值如下:

其中,L4(·)為抽象函數(shù).基于狀態(tài)估計值與式(2),可得傳感器量測估計值:

其中,L5(·)為抽象函數(shù).

2.3.2 電力系統(tǒng)異常數(shù)據(jù)檢測

現(xiàn)有文獻中,空間相關(guān)型狀態(tài)估計器與異常檢測器通常特指電力系統(tǒng)下狀態(tài)估計與錯誤數(shù)據(jù)檢驗,本文從電力系統(tǒng)的角度詳細描述其模型.在電力系統(tǒng)中,潮流計算用于研究穩(wěn)態(tài)情況下電力系統(tǒng)的運行情況,其任務(wù)為根據(jù)電力系統(tǒng)運行條件與網(wǎng)絡(luò)結(jié)構(gòu)參數(shù)計算電力系統(tǒng)的運行情況,如母線節(jié)點電壓(包括幅值與相角)、網(wǎng)絡(luò)潮流分布等.

電力系統(tǒng)潮流模型通常分為交流潮流模型與直流潮流模型.在交流潮流模型中,電表量測值包含母線節(jié)點注入有功功率與無功功率、各傳輸線始端與末端有功功率與無功功率以及各節(jié)點電壓幅值;系統(tǒng)狀態(tài)包含節(jié)點電壓幅值與相角.假設(shè)電力系統(tǒng)具有m個量測值以及n個狀態(tài)量,通常情況下m≥n,則電表量測值y與系統(tǒng)狀態(tài)x關(guān)系如下式:

式中,c(·)為非線性函數(shù),由系統(tǒng)拓撲結(jié)構(gòu)、線路阻抗、線路對地電納與變壓器變比等參數(shù)決定;表示系統(tǒng)噪聲.通常假設(shè)w服從零均值的高斯分布,其協(xié)方差矩陣為R∈Rm×m.

對于大規(guī)模電力系統(tǒng),由于交流潮流模型的非線性會導(dǎo)致計算復(fù)雜度極度增加,甚至求解過程無法收斂.在一些情況下,電力系統(tǒng)會采用線性化的直流潮流模型以近似交流模型.相比于交流模型,直流模型計算精度較低,但具有更強的魯棒性.直流模型通常用于電力系統(tǒng)實時運算,如計算節(jié)點邊際電價等.直流模型對交流模型主要進行了如下簡化:1)假設(shè)各節(jié)點電壓相同;2)假設(shè)各線路無損,即線路電阻為0;3)假設(shè)各線路始末兩端相角差很小,因此可用θ近似代替sin(θ),式中,θ≈0.在上述假設(shè)下,全電網(wǎng)無功功率為0,各傳輸線始端與末端有功功率相同.因此電表量測值包含母線節(jié)點注入有功功率、各傳輸線始端或末端有功功率,系統(tǒng)狀態(tài)為各節(jié)點電壓相角.假設(shè)電力系統(tǒng)量測值y維數(shù)為m、狀態(tài)量x維數(shù)為n,且m≥n.系統(tǒng)狀態(tài)x由節(jié)點注入功率與節(jié)點電納矩陣決定,具體模型如下:

式中,p為節(jié)點注入功率向量,且p∈Rn;B為節(jié)點電納矩陣,包含了系統(tǒng)拓撲與線路電納,且B∈Rn×n.對于連通的電力系統(tǒng),矩陣B是非奇異的.因而,.此外,直流模型下電表量測值y與系統(tǒng)狀態(tài)x關(guān)系如下式:

式中,C∈Rm×n表示系統(tǒng)量測矩陣,通常情況下,

該矩陣列滿秩,即rank(C)=n.用(i,j)表示連接節(jié)點i與j的線路,yij表示線路(i,j)的電力潮流量測值,wij表示yij中所含量測噪聲,xi表示x中與節(jié)點i相關(guān)的元素,則有yij=-bij(xi-xj)+wij,式中,bij表示線路電納.因而,量測矩陣C中與線路(i,j)對應(yīng)的行向量(記為Cij)為[19]

為提高電力系統(tǒng)數(shù)據(jù)質(zhì)量,在硬件層面上可增加高量測精度、高量測速度以及高可靠性量測設(shè)備;在軟件層面上,可采用狀態(tài)估計等技術(shù)對數(shù)據(jù)進行實時處理.狀態(tài)估計的實質(zhì)為對系統(tǒng)量測值進行濾波,利用量測系統(tǒng)的冗余度來提高系統(tǒng)的量測精度、降低隨機噪聲對系統(tǒng)的干擾,以估計或預(yù)測系統(tǒng)的運行狀態(tài).電力系統(tǒng)周期性地進行狀態(tài)估計,在離線狀態(tài)下,電力系統(tǒng)只通過SCADA進行估計,其周期與SCADA周期一致,為20秒至幾分鐘;而處于在線估計時,需要使用盡量準確實時的數(shù)據(jù)分析系統(tǒng)當前的情景,周期為10分鐘至數(shù)小時.本文將此周期稱為狀態(tài)估計周期.

在交流模型下,基于加權(quán)最小二乘(Weighted least-squares,WLS)的狀態(tài)估計為尋找具有最小WLS誤差的狀態(tài)估計值:

由于交流模型的非線性,通常采用高斯牛頓 (Gausson-Newton)迭代法或牛頓—拉夫遜(Newton-Raphson)法進行求解.然而,當系統(tǒng)維數(shù)較大時,迭代法的時間開銷很大,同時迭代法可能無法獲得全局最優(yōu)解甚至無法收斂.在直流模型下,若量測噪聲是獨立同分布的高斯噪聲,則具有最小均方誤差(Mean squared error,MSE)的系統(tǒng)狀態(tài)估計值:

其中,C+:=(CTR-1C)-1CTR-1表示矩陣C的廣義逆矩陣.在電網(wǎng)系統(tǒng)中,狀態(tài)估計殘差(用r表示)定義為量測量真實值與估計值之間的偏差.特別的,若R為對角矩陣(即系統(tǒng)噪聲獨立),則有:

其中,為量測量估計值;為對矩陣R-1對角線上所有元素進行開方所得的對角矩陣.交流模型下,;直流模型下,.錯誤數(shù)據(jù)檢驗將該殘差與閾值η比較,以判斷系統(tǒng)中是否存在錯誤數(shù)據(jù).若r＞η,則檢驗結(jié)果呈陽性,即系統(tǒng)中存在錯誤數(shù)據(jù).若系統(tǒng)噪聲服從正態(tài)分布,由于r2服從卡方分布,則閾值η可設(shè)定為

電力系統(tǒng)狀態(tài)估計與錯誤數(shù)據(jù)檢驗可以有效檢測系統(tǒng)中的量測誤差和錯誤,在實際電網(wǎng)中已有廣泛應(yīng)用.然而類似空間相關(guān)型檢測方法都面臨兩大挑戰(zhàn):1)計算復(fù)雜度問題.狀態(tài)估計的計算復(fù)雜度不低于O(N2),大規(guī)模系統(tǒng)的狀態(tài)估計本身就是挑戰(zhàn)性難題;2)系統(tǒng)結(jié)構(gòu)的動態(tài)變化.大規(guī)模系統(tǒng)的拓撲結(jié)構(gòu)可能經(jīng)常變化,系統(tǒng)參數(shù)隨著環(huán)境、運行狀態(tài)發(fā)生發(fā)生改變,上述變化將導(dǎo)致系統(tǒng)矩陣和量測矩陣的改變,嚴重影響狀態(tài)估計和異常檢測的精度.

2.4 CPS綜合安全威脅模型分析

本節(jié)分析攻擊場景下的CPS綜合安全威脅模型,為了保證分析的普適性,考慮了控制信號與量測值同時被篡改的攻擊場景,如圖3所示.沿用第2.1節(jié)定義的符號表示正常狀態(tài)下的物理量,并定義系統(tǒng)遭受的攻擊量如下(為方便本節(jié)定義中省略時間索引):

圖3 CPS綜合安全威脅模型Fig.3 Integrated security model of CPS

從被控制的物理系統(tǒng)來看,物理系統(tǒng)接收到的控制指令已被攻擊者篡改,物理系統(tǒng)基于該指令做出錯誤的決策,同時,對當前狀態(tài)的量測值也會被攻擊者篡改.在k時刻,其接受的控制指令、系統(tǒng)狀態(tài)方程和量測結(jié)果可表示為

本文分析具體以時間相關(guān)型攻擊下的威脅模型為例,此外,由于空間相關(guān)型數(shù)據(jù)完整性攻擊下的威脅模型與時間相關(guān)型攻擊下的威脅模型類似,在此不再進行贅述.

本文設(shè)計的CPS綜合安全威脅模型的核心思想在于從系統(tǒng)管理者的角度,將CPS攻擊可能發(fā)生的情況,抽象為系統(tǒng)控制流程中,對量測值與控制指令的篡改;將CPS攻擊策略構(gòu)建的策略,描述為在安全防御約束下的策略求解問題.為研究人員和管理人員理解CPS綜合安全威脅,提供了一種可行的理論方法.

3 CPS綜合安全攻擊研究現(xiàn)狀

3.1 攻擊分類

通過調(diào)研現(xiàn)有文獻和報導(dǎo),已知的CPS攻擊有十余種,如數(shù)據(jù)重放攻擊、數(shù)據(jù)放大攻擊、零動態(tài)攻擊、零狀態(tài)誘導(dǎo)攻擊以及系統(tǒng)模擬攻擊等,大部分屬于數(shù)據(jù)完整性攻擊,即通過篡改系統(tǒng)的量測量或者控制量,躲避CPS安全監(jiān)控和實現(xiàn)攻擊目的.因此,本章結(jié)合前文總結(jié)的空間相關(guān)性和時間相關(guān)性檢測機制,從空間隱蔽和時間隱蔽的角度將已知的CPS攻擊分為4類,如圖4所示.

空間隱蔽型攻擊典型代表為最早由Liu等[20-21]在2009年提出的電力系統(tǒng)錯誤數(shù)據(jù)注入攻擊.該類攻擊主要針對基于多維數(shù)據(jù)間的數(shù)學(xué)耦合關(guān)系的錯誤數(shù)據(jù)檢測機制,構(gòu)造錯誤控制指令和量測數(shù)據(jù)并實施攻擊,使得系統(tǒng)對當前的運行狀態(tài)或者拓撲結(jié)構(gòu)產(chǎn)生錯誤的估計;但該類攻擊不能躲避時間相關(guān)型檢測方法.這類攻擊對系統(tǒng)的完備度以及獲取的數(shù)據(jù)維數(shù)有一定要求,目前主要以電力系統(tǒng)為目標,相關(guān)研究包括原始錯誤數(shù)據(jù)注入攻擊、拓撲攻擊、盲錯誤數(shù)據(jù)注入攻擊、負載重分配攻擊、拓撲泄漏攻擊以及安全索引等.

圖4 CPS攻擊分類Fig.4 Taxonomy of CPS attack

時間隱蔽型攻擊包括零動態(tài)攻擊和零狀態(tài)誘導(dǎo)攻擊,該類攻擊主要針對利用系統(tǒng)狀態(tài)在連續(xù)時間上的動態(tài)規(guī)律,來預(yù)測和檢測錯誤量測的安全機制,構(gòu)造錯誤控制指令和量測數(shù)據(jù)并實施攻擊,使得系統(tǒng)對當前的運行狀態(tài)或者拓撲結(jié)構(gòu)產(chǎn)生錯誤的估計;但該類攻擊不能躲避空間相關(guān)型檢測方法.

空間—時間隱蔽型攻擊在已知CPS攻擊中,已引發(fā)多起重大安全事件,如Stuxnet攻擊等.這類攻擊既考慮了各個量測數(shù)據(jù)之間耦合關(guān)系,也考慮了量測數(shù)據(jù)本身在時間上的變化規(guī)律與約束,成功躲避了時間相關(guān)型和空間相關(guān)型的異常檢測方法.

部分CPS攻擊未考慮時間和空間相關(guān)型的異常檢測方法.雖然這類攻擊容易被系統(tǒng)檢測到,難以造成嚴重的后果,但其思想和技術(shù)可能被攻擊者利用,值得考慮和借鑒,本章最后對其進行統(tǒng)一分析.

3.2 空間隱蔽型攻擊

本節(jié)首先分析空間隱蔽型攻擊,已有研究中該類攻擊主要針對電力系統(tǒng)狀態(tài)估計與錯誤數(shù)據(jù)檢驗.由于空間隱蔽型攻擊僅和當前系統(tǒng)結(jié)構(gòu)知識有關(guān),本文將空間隱蔽型攻擊分為兩類場景:攻擊者擁有完備系統(tǒng)信息與信息受限.

3.2.1 信息完備條件下空間隱蔽型攻擊

2009年,Liu等[20]首次提出了直流模型下隱蔽錯誤數(shù)據(jù)注入攻擊(False data injection,FDI).該攻擊假設(shè)攻擊者能獲取當前電力系統(tǒng)拓撲結(jié)構(gòu)與配置信息,并具有篡改電表量測值的能力.攻擊者通過精心構(gòu)造虛假電力量測數(shù)據(jù),繞過電力系統(tǒng)的錯誤數(shù)據(jù)檢驗,并誘導(dǎo)電力系統(tǒng)狀態(tài)估計對系統(tǒng)狀態(tài)值產(chǎn)生錯誤估計[20-21].FDI針對電力系統(tǒng)直流模型設(shè)計,其攻擊量滿足:

式中,為任意向量,且.則有:

因此,可得rm=r,式中,rm表示攻擊后的系統(tǒng)殘差.這意味著攻擊前后,系統(tǒng)殘差不發(fā)生變化,即攻擊是隱蔽的.這是因為,當攻擊發(fā)生后,系統(tǒng)狀態(tài)估計值變?yōu)?/p>

這意味著攻擊量額外注入量a完全模擬了系統(tǒng)狀態(tài)為時的系統(tǒng)量測量.

Hug等將直流模型下的隱蔽攻擊推廣至交流模型[22],其中攻擊量可設(shè)定為

進而可以計算攻擊實施時,系統(tǒng)殘差為

即rm≤r.這意味著攻擊后的系統(tǒng)殘差不大于攻擊前的系統(tǒng)殘差,即攻擊是隱蔽的.值得注意的是,交流模型下的隱蔽攻擊需要攻擊者獲得系統(tǒng)狀態(tài)的估計量.

2011年,Yuan等根據(jù)電力系統(tǒng)的特點,將Liu等提出的攻擊增加了如下約束限制以使得攻擊在真實情況下更為合理,該攻擊被稱為負載重分配攻擊[23].約束包括:發(fā)電機量測值不可修改;電網(wǎng)中零注入節(jié)點的功率不可被修改(零注入節(jié)點不與任意負載或發(fā)電機相連);負載量測值可被修改;傳輸線潮流量測值可被修改.

2013年,Kim等將錯誤數(shù)據(jù)注入攻擊的目標由電力系統(tǒng)對狀態(tài)的錯誤估計延伸至對系統(tǒng)當前拓撲結(jié)構(gòu)的錯誤估計,稱為拓撲攻擊[24].與FDI相比,拓撲攻擊中攻擊量a不僅與系統(tǒng)量測矩陣相關(guān),同時與系統(tǒng)當前狀態(tài)(或量測值)相關(guān).因此,將a重新表示為a(y).Kim等主要研究了拓撲攻擊下的狀態(tài)保持攻擊,即攻擊前后系統(tǒng)的估計狀態(tài)不變,估計拓撲發(fā)生變化.在直流模型下,攻擊量為

C為攻擊前系統(tǒng)真實量測矩陣,為攻擊者的目標量測矩陣,x為系統(tǒng)的真實狀態(tài).當系統(tǒng)無量測噪聲時,有;當系統(tǒng)存在量測噪聲時,需要用系統(tǒng)的狀態(tài)估計值來代替真實狀態(tài)值.與直流模型類似,可得交流模型時拓撲攻擊為

式中,c(·)為系統(tǒng)真實潮流函數(shù);為攻擊者的目標潮流函數(shù).

2010年,Sandberg等研究了錯誤數(shù)據(jù)注入攻擊下安全索引的概念,即以最小的攻擊代價執(zhí)行隱蔽攻擊[25-26].直流條件下,當攻擊者篡改節(jié)點數(shù)最小時,安全索引可表示為

ai表示a的第i個元素;Ci為C的第i行;為攻擊向量a中非零元的個數(shù),即αi代表了執(zhí)行隱蔽攻擊時最少的攻擊節(jié)點數(shù).通常情況下,0-范數(shù)的求解比較困難,同時0-范數(shù)最優(yōu)問題與1-范數(shù)最優(yōu)問題等價,因此問題通常會轉(zhuǎn)化為更容易求解的1-范數(shù)問題:

Teixeira等進一步將安全索引由0-范數(shù)、1-范數(shù)推廣至p-范數(shù)問題[27,28],即

3.2.2 信息受限條件下空間隱蔽型攻擊

由于電力系統(tǒng)的拓撲結(jié)構(gòu)、線路參數(shù)、實時狀態(tài)難以獲得,因此如何在信息受限情況下構(gòu)建FDI成為眾多研究者關(guān)注的熱點[29-31].Liu等研究了攻擊者擁有全部拓撲信息以及部分線路參數(shù)時,直流模型下FDI構(gòu)建方法[30].如圖5所示,電力系統(tǒng)被分為攻擊區(qū)域Q1與非攻擊區(qū)域Q2,攻擊者知道攻擊區(qū)域Q1以及區(qū)域連接線的線路參數(shù),但不知道非攻擊區(qū)域Q2的線路參數(shù).攻擊者可以僅修改區(qū)域連接線的潮流量測值使得攻擊保持隱蔽.用?Q1、?Q2分別表示Q1、Q2中節(jié)點集合,用?T12表示Q1與Q2連接線集合(方向為從Q1至Q2),則攻擊向量為

ΔR為任意常數(shù).可以證明上式等價于

bij為線路(i,j)(即連接節(jié)點i與節(jié)點j的傳輸線)的電納,aij為a中對線路(i,j)量測值的攻擊量.從上式可以看出,攻擊者可以在僅了解區(qū)域連接線電納的情況下進行隱蔽的錯誤數(shù)據(jù)注入攻擊.類似的,攻擊者可以僅影響攻擊區(qū)域Q1的系統(tǒng)狀態(tài)而不影響非攻擊區(qū)域Q2的系統(tǒng)狀態(tài),其攻擊向量為

攻擊者可以在不知道區(qū)域Q2傳輸線參數(shù)的情況下進行隱蔽攻擊.

圖5 攻擊區(qū)域與非攻擊區(qū)域Fig.5 Attack area and non-attack area

Liu等將信息受限時的隱蔽攻擊拓展至交流模型[31].在交流模型下,系統(tǒng)狀態(tài)為電壓幅值與電壓相角.將系統(tǒng)狀態(tài)重表示為〈v,θ〉,潮流模型表示為C(v,θ).交流模型下的攻擊場景與直流模型類似,場景如圖5所示,攻擊者知道攻擊區(qū)域Q1以及區(qū)域連接線的線路參數(shù),而不知道非攻擊區(qū)域Q2的線路參數(shù).首先,攻擊者可以僅修改區(qū)域連接線的潮流量測值使得攻擊保持隱蔽,其攻擊向量為

其次,攻擊者可以僅影響攻擊區(qū)域Q1的系統(tǒng)狀態(tài)而不影響非攻擊區(qū)域Q2的系統(tǒng)狀態(tài),其攻擊向量為

Δv為攻擊者對電壓幅值的修改量;ΔΔv的第i個元素.

Kim等分析了攻擊者信息受限時拓撲攻擊方法,該方法適用于直流與交流模型[24,32].以交流模型為例進行說明,如圖6所示,左圖顯示了攻擊前系統(tǒng)狀況,右圖顯示了攻擊者的目標,即希望控制中心誤認為線路(i,j)已經(jīng)斷開.圖中,pij與qij分別代表了線路(i,j)在節(jié)點i的有功功率與無功功率量測值,pi與qi代表了節(jié)點i的注入功率.攻擊方法為

圖6 信息受限下的拓撲攻擊Fig.6 Topology attacks with limited information

2015年,Yu等分析了攻擊者在完全不知道系統(tǒng)拓撲與線路參數(shù)信息時隱蔽錯誤數(shù)據(jù)注入攻擊的構(gòu)建方法,該方法被稱為盲錯誤數(shù)據(jù)注入攻擊[33].盲錯誤數(shù)據(jù)注入攻擊要求攻擊者具有足夠時間段內(nèi)電力系統(tǒng)全部量測值,其核心思想為根據(jù)歷史量測數(shù)據(jù)構(gòu)建出與系統(tǒng)真實量測矩陣等價(即矩陣列向量張成的子空間相同)的估計量測矩陣,他們采用的方法為主成分分析法(PCA).在直流模型下,攻擊者首先收集一定量的歷史量測數(shù)據(jù),記為y,并對y進行PCA提取:

CPCA∈Rm×n為y的主成分矩陣;且.PCA的具體過程可參見文獻[34].若系統(tǒng)無噪聲,則.可證明,式中,Px=C+CPCA.因此,CPCA=CPx.攻擊者可根據(jù)CPCA構(gòu)造隱蔽攻擊,即

此外,當系統(tǒng)有噪聲時,可證明攻擊是幾乎隱蔽的.

2017年,Markwood等分析了當攻擊者擁有歷史節(jié)點注入有功功率與節(jié)點電壓相角時,對系統(tǒng)矩陣的估計方法,該方法被稱為拓撲泄露攻擊[34].用Y∈Rm×n表示歷史節(jié)點注入有功功率,用X∈Rn×n表示歷史節(jié)點電壓相角,則

式中,W∈Rm×n為歷史量測噪聲.因此,可得

3.3 時間隱蔽型錯誤數(shù)據(jù)注入攻擊

現(xiàn)有時間隱蔽型攻擊包括零動態(tài)攻擊、局部零動態(tài)攻擊和零狀態(tài)誘導(dǎo)攻擊,本節(jié)對其攻擊原理和相應(yīng)權(quán)限逐一進行分析.

3.3.1 零動態(tài)攻擊

2016年,Chen等研究了零動態(tài)攻擊,攻擊者可以通過僅修改控制量保持隱蔽,同時攻擊量的構(gòu)造與系統(tǒng)的在線知識(如系統(tǒng)控制量、系統(tǒng)量測量或控制算法)無關(guān),即攻擊可以完全離線構(gòu)造,因此被命名為零動態(tài)攻擊[35].零動態(tài)攻擊模型如下:

3.3.2 局部零動態(tài)攻擊

Teixeira等研究了局部零動態(tài)攻擊,該場景下攻擊者僅擁有部分系統(tǒng)的信息[36].具體來說,系統(tǒng)動態(tài)方程可表示為

3.3.3 零狀態(tài)誘導(dǎo)攻擊

Chen等提出了零狀態(tài)誘導(dǎo)攻擊的概念,并分析了該攻擊與零動態(tài)攻擊的區(qū)別.相比于零動態(tài)攻擊,零狀態(tài)誘導(dǎo)攻擊中攻擊者不誘導(dǎo)控制中心對系統(tǒng)初始狀態(tài)產(chǎn)生錯誤認知[35].為了保證攻擊隱蔽,需要保證攻擊導(dǎo)致的系統(tǒng)實際狀態(tài)偏移無法被傳感器觀測.本文中,將零狀態(tài)誘導(dǎo)攻擊建模如下:

式中,e[k]= x[k]-xa[k]表示攻擊導(dǎo)致的系統(tǒng)實際狀態(tài)偏移;e[0]=0表示針對系統(tǒng)初始狀態(tài)進行攻擊.由于C e[k]=0,若攻擊者要發(fā)起可影響系統(tǒng)的攻擊(即),則有C的核空間非零,即rank(C)＜n.

從攻擊者先驗知識、讀寫權(quán)限與攻擊隱蔽性對三類時間隱蔽型攻擊進行總結(jié)對比,如表1所示.

3.4 空間–時間隱蔽型攻擊

3.4.1 Stuxnet型重放攻擊

Stuxnet通過篡改控制指令破壞物理系統(tǒng),同時監(jiān)聽和重放系統(tǒng)正常狀態(tài)下的量測數(shù)據(jù),使得控制中心無法感知物理系統(tǒng)的異常狀態(tài)[11-12].本文將該類攻擊命名為Stuxnet型重放攻擊.Stuxnet型重放攻擊對被攻擊系統(tǒng)和攻擊手段有限定要求:被攻擊系統(tǒng)存在確定的穩(wěn)定狀態(tài)且已發(fā)生攻擊時工作在穩(wěn)點狀態(tài),攻擊者需要重放全部的量測信號.

為了簡化分析,假設(shè)系統(tǒng)從t時刻系統(tǒng)狀態(tài)已經(jīng)穩(wěn)定,系統(tǒng)中無噪聲,重點討論Stuxnet型重放攻擊的隱蔽性.由于從t時刻系統(tǒng)狀態(tài)已經(jīng)穩(wěn)定,則有:1)x[s]=x[t],?s≥t;2)u[s]= u[t],?s ≥ t;3) y[s]=y[t],?s≥t.注意到若控制中心接收到的量測信號不發(fā)生變化,則會認為系統(tǒng)無攻擊.因此攻擊者可以注入任意的控制信號,并重放事先收集的無攻擊時的歷史量測信號來保持隱蔽,具體來說:

3.4.2 量測量無關(guān)隱蔽攻擊

2015年,Vu和Weerakkody等[37-38]提出了一種隱蔽攻擊,該攻擊的構(gòu)建可以不需要具體系統(tǒng)狀態(tài)知識.該攻擊的實現(xiàn)原理為系統(tǒng)的線性性質(zhì),攻擊者模擬了任意無噪聲的系統(tǒng)動態(tài)過程.將該系統(tǒng)與原系統(tǒng)進行疊加,并移除模擬系統(tǒng)的量測量,則攻擊后控制中心收到的量測量依然符合系統(tǒng)動態(tài),即攻擊是隱蔽的[37-38].攻擊模型如下:

該攻擊的實現(xiàn)原理為系統(tǒng)的線性性質(zhì),攻擊者模擬了任意無噪聲的系統(tǒng)動態(tài)過程.將該系統(tǒng)與原系統(tǒng)進行疊加,并移除模擬系統(tǒng)的量測量,則攻擊后控制中心收到的量測量依然符合系統(tǒng)動態(tài),即攻擊是隱蔽的.注意由于疊加的為無噪聲系統(tǒng),攻擊前后系統(tǒng)噪聲將不發(fā)生變化.由于系統(tǒng)噪聲為異常檢測器殘差的主要決定因素,噪聲不變時系統(tǒng)攻擊前后檢測器殘差也不變,本文中將其命名為量測量無關(guān)隱蔽攻擊.

3.4.3 系統(tǒng)模擬攻擊

2014年,Weerakkody等提出攻擊者可根據(jù)系統(tǒng)的動態(tài)模型以及控制中心決策的控制信號,來模擬無攻擊下系統(tǒng)的演變過程,以此偽造符合系統(tǒng)動態(tài)的量測數(shù)據(jù),進而實施攻擊[17,39],本文將其命名為系統(tǒng)模擬攻擊.該攻擊可分為兩種場景:

表1 時間隱蔽型攻擊對比Table 1 Time concealment attack contrast

攻擊場景1.該場景下,攻擊者擁有所有控制指令的讀權(quán)限.攻擊者可根據(jù)獲取的控制指令進行系統(tǒng)模擬,具體攻擊模型如下

攻擊場景2.該場景下,攻擊者僅有部分或沒有任何控制指令的讀權(quán)限.注意到攻擊者若知曉控制決策函數(shù),則可以通過所獲取的量測量來估計系統(tǒng)的控制指令.具體來說,用表示攻擊者對控制指令的估計量,其中,為攻擊者可直接獲取的控制指令部分(即攻擊者擁有此部分控制指令的讀權(quán)限);為攻擊者估計的控制指令部分.對這三種攻擊從攻擊者所需要的先驗知識、讀寫權(quán)限、隱蔽性等方面總結(jié)如表2.

3.5 非隱蔽型攻擊

除了上述的攻擊,部分學(xué)者提出利用各種網(wǎng)絡(luò)攻擊技術(shù)對CPS進行攻擊,這類研究較少考慮CPS系統(tǒng)中對于系統(tǒng)狀態(tài)的分析和異常檢測,因此無法躲避時間相關(guān)型和空間相關(guān)型的異常檢測.

3.5.1 拒絕服務(wù)攻擊

在拒絕服務(wù)攻擊中,攻擊者通過向目標主機或終端中發(fā)送大量無用的數(shù)據(jù)包,使得服務(wù)器的可用網(wǎng)絡(luò)資源耗盡,從而停止服務(wù).在CPS中,拒絕服務(wù)攻擊的目標為使得控制中心與執(zhí)行器/傳感器間通信無法正常進行.因此,當拒絕服務(wù)攻擊發(fā)動成功時,問題可等效為,攻擊者將控制中心發(fā)送的控制信號或?qū)⒖刂浦行慕邮盏牧繙y信號修改為0.

由于拒絕服務(wù)攻擊的實現(xiàn)方式通常為阻塞通信信道,因此不需要與系統(tǒng)的先驗知識,也不需要控制信號或量測信號的讀寫權(quán)限.攻擊者實施拒絕服務(wù)攻擊時將造成量測數(shù)據(jù)缺失,防御者可以快速感知到系統(tǒng)異常;但由于控制中心即無法獲得系統(tǒng)的量測信息,也無法下達控制指令給受控系統(tǒng),因此在發(fā)生拒絕服務(wù)攻擊時防御者沒有更好的辦法來保證系統(tǒng)的安全.在2015年烏克蘭電網(wǎng)攻擊事件中,攻擊者在篡改控制指令的同時,就利用拒絕服務(wù)攻擊方式使得電網(wǎng)管理者不能及時感知電網(wǎng)狀態(tài)并采取防御策略.

3.5.2 通用重放攻擊

通用重放攻擊是指攻擊者收集一定時間的歷史控制信號或量測信號,并將其重放或延遲發(fā)送.具體來說,假設(shè)攻擊者從k0時刻開始進行重放攻擊,其通用攻擊模型可表示為

B為布爾對角矩陣,Su[k]∈Bl×l且Sy[k]∈Bm×m.Su,ii[k]表示攻擊者是否對第i個控制量發(fā)起重放攻擊;Sy[k]表示攻擊者是否對第i個量測量發(fā)起重放攻擊;τ(k)∈N為重放攻擊的時間延遲.

與第3.4.1節(jié)中Stuxnet型重放攻擊相比,通用重放攻擊僅需要部分控制信號或部分量測信號的讀寫權(quán)限,而且對被攻擊對象的運行狀態(tài)沒有要求.因此,通用重放攻擊的實施要求相對較低,但不能保證攻擊的隱蔽性,比如控制中心預(yù)期系統(tǒng)的運行狀態(tài)與攻擊者重放的狀態(tài)不相符,則該攻擊將被檢測.

3.5.3 放大攻擊

Sridhar等提出了放大攻擊,攻擊者將控制信號或量測信號按照正常信號的λk倍進行篡改[40].具體來說.

表2 空間–時間隱蔽型攻擊對比Table 2 Space–time stealth attack contrast

式中,λk∈R 為放大系數(shù);Su[k]∈Bl×l與Sy[k]∈Bm×m為布爾對角矩陣,分別表示攻擊者是否對控制量或量測量發(fā)起放大攻擊.注意若λk=-1,則其攻擊效果與拒絕服務(wù)攻擊類似.放大攻擊是重放攻擊的一種特例,只需要部分控制信號或部分量測信號的讀寫權(quán)限.此外,由于其相當于只對信號進行放大,因此不需要關(guān)于系統(tǒng)的先驗知識.這種攻擊思路在針對電力系統(tǒng)的攻擊中能快速地找到攻擊的可行解,但由于攻擊過程和攻擊思路較為簡單,攻擊過程不能保證隱蔽,當放大倍數(shù)較大或異常數(shù)據(jù)檢測裝置容錯率較小時,將被檢測.

4 CPS綜合安全防御方法

在CPS安全防御方面,網(wǎng)絡(luò)安全專家將網(wǎng)絡(luò)安全技術(shù)應(yīng)用于各類物理系統(tǒng),以防御各類CPS攻擊,如通過信息加密以及相關(guān)的密鑰分配與管理等技術(shù),對系統(tǒng)信息和隱私數(shù)據(jù)進行加密,以抵御竊聽和數(shù)據(jù)篡改等攻擊;物理系統(tǒng)工程安全專家通過改進物理系統(tǒng)工程安全防護機制提升CPS的安全防御能力,如通過部署測量單元(Phasor measurement unit,PMU)等新型量測設(shè)備,提升對FDI攻擊的檢測能力;近年來,越來越多研究機構(gòu)和學(xué)者開始關(guān)注通過結(jié)合網(wǎng)絡(luò)安全技術(shù)與物理系統(tǒng)工程安全理論方法,實現(xiàn)CPS綜合安全防御.本文對現(xiàn)階段的防御方法列舉分類如圖7所示.

圖7 CPS防御分類Fig.7 Taxonomy of CPS defense

4.1 信息系統(tǒng)網(wǎng)絡(luò)安全防御方法

針對CPS面臨的安全威脅,研究者將網(wǎng)絡(luò)安全技術(shù)應(yīng)用于CPS安全防御.一類方法是采用防篡改的通信系統(tǒng)、先進的認證協(xié)議、加密和非對稱加密機制、訪問控制等方法,以阻斷攻擊者進入系統(tǒng).Wang等提出了智能電網(wǎng)中時間有效的一次性簽名(Time valid one-time signature,TV-OTS)模式,以改善傳統(tǒng)一次性簽名機制的效率[41].基于TV-OTS模式,文中設(shè)計了多播認證方案TV-HORS,可實現(xiàn)數(shù)據(jù)的快速簽名與認證,并具有較高的丟包容錯率以及攻擊抵抗能力.Cao等設(shè)計了一種基于哈希鏈技術(shù)的分層加密機制以保護系統(tǒng)中的敏感數(shù)據(jù),該機制同時提供了輕量級的密鑰管理[42].Saxena等設(shè)計了CPS下的簽名方案以保證通信網(wǎng)絡(luò)中僅可傳輸合法指令,該方案通過哈希方法對控制指令進行簽名,可抵御惡意指令攻擊、重放攻擊、偽裝攻擊等[43].Kumar等提供了智能家居環(huán)境中的匿名安全框架(Anonymous secure framework,ASF),該框架可提供有效的認證與密鑰協(xié)商,可保證家庭各設(shè)備的匿名性與不可鏈接性[44].

另一類方法是采用流量分析、入侵檢測等方法,以實現(xiàn)攻擊的實時檢測以及惡意行為的判斷.Zhang等在智能電網(wǎng)環(huán)境中設(shè)計了分布式入侵檢測系統(tǒng),在智能電網(wǎng)家庭局域網(wǎng)(HAN)、鄰域網(wǎng)(NAN)以及廣域網(wǎng)(WAN)環(huán)境中部署大量的分析模塊,并采用支持向量機(Support vector machine,SVM)以及人工免疫系統(tǒng)(Artificial immune system,AIS)以檢測網(wǎng)絡(luò)中的惡意數(shù)據(jù)以及各類攻擊[45].Baig提供了基于異常流量的輕量級模式匹配方法,可檢測系統(tǒng)異常設(shè)備行為,并具有較小的通信與存儲開銷[46].Palcios等提供了信息物理融合系統(tǒng)環(huán)境中兩類入侵檢測系統(tǒng):第一類入侵檢測系統(tǒng)基于自組織映射網(wǎng)絡(luò)(Self-organizing map,SOM),第二類基于K-Means算法.這兩類入侵檢測系統(tǒng)可改善高度異構(gòu)網(wǎng)絡(luò)中的攻擊檢測速率、精度以及適應(yīng)性,并可方便地部署于CPS環(huán)境中[47].

然而,上述方法應(yīng)用于CPS的安全防御時遇到了諸多困難:1)CPS對信息的實時性有極高的要求,而受限于CPS通信節(jié)點的計算與存儲能力,先進、復(fù)雜的加密認證機制等方法將會影響CPS的運行效率,增加網(wǎng)絡(luò)延時;2)流量分析與入侵檢測可以發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為,而無法校驗傳輸?shù)目刂浦噶钜约傲繙y信號的合法性與完整性;3)CPS對可用性與安全性的高標準,現(xiàn)有技術(shù)很難同時達到異常檢測時低漏報率與誤報率需求.

4.2 物理系統(tǒng)工程安全防御方法

物理系統(tǒng)工程安全根據(jù)物理系統(tǒng)運行機制、量測數(shù)據(jù)在時間和空間上的關(guān)聯(lián)等特性,實現(xiàn)CPS的異常檢測,但如第3節(jié)中介紹,攻擊者可以通過設(shè)計特定攻擊策略,躲避現(xiàn)有工程安全機制.對此,研究者提出一系列改進的物理系統(tǒng)工程安全防御方法,提升CPS的安全防御能力.

一類方法是防御者有策略地選擇部分控制指令或量測信號進行保護,使得攻擊者無法構(gòu)建完全隱蔽的攻擊策略,進而保證全部數(shù)據(jù)的完整性.近年來,此類方法主要集中在對于電力系統(tǒng)空間相關(guān)型FDI攻擊的檢測中.Bobba等提出了兩類方法以檢測FDI攻擊:一類方法是通過有策略性地選擇一組受保護的傳感器量測值使得Liu等[20]提到的隱蔽FDI攻擊不存在可行解;另一類方法是驗證一定數(shù)量的獨立狀態(tài)變量的完整性[48].在電力系統(tǒng)中,隨著相量測量單元的逐步應(yīng)用,通過PMU數(shù)據(jù)以輔助檢測FDI攻擊受到了廣泛關(guān)注.Giani等分析了在系統(tǒng)恰當?shù)胤讲渴餻+1個相量測量單元,可使得p個不可約FDI攻擊無效化[49].Nuqui和Qi等研究了PMU的優(yōu)化部署問題,設(shè)計使用最少的PMU實現(xiàn)攻擊者無法構(gòu)造有效的FDI攻擊策略[50-51].由于不同變電站PMU同步需要借助GPS信號,而GPS信號可能被篡改,使得PMU的量測信號也可能受到攻擊[52-54].對此,Jafarnia-Jahromi等提出了電力系統(tǒng)中針對GPS欺騙攻擊的相應(yīng)策略[55-56].Dn等提出了貪婪算法以對FDI攻擊提供完全的或部分的防御,其中完全防御意味著FDI攻擊不存在可行解[57].

對于大型系統(tǒng),防御者通常需要確保足夠多數(shù)據(jù)(控制指令、量測信號或輔助數(shù)據(jù))的可信性,才可為系統(tǒng)提供完全的保護,這需要防御者投入大量成本.此外,對于電力系統(tǒng)之外的其他信息物理融合系統(tǒng),如何將此類思想應(yīng)用于FDI攻擊檢測仍然是一個開放性的研究問題.

另一類方法是研究更好的攻擊檢測算法,以實現(xiàn)異常數(shù)據(jù)或攻擊的快速精準識別,減少系統(tǒng)噪聲或其他干擾對檢測性能的影響,降低檢測的漏報率和誤報率.Huang等使用自適應(yīng)累積和CUSUM的方法,在實現(xiàn)FDI攻擊快速檢測的同時,可保持高檢測精度與低誤報率[58-59].Vu等將基于耗散理論的故障檢測器應(yīng)用于FDI攻擊檢測,從理論上分析了故障檢測器最少部署方案以完全檢測控制信號或量測信號篡改攻擊[37].Liu等將錯誤數(shù)據(jù)檢驗轉(zhuǎn)化為矩陣分離問題,并設(shè)計了基于正常與異常電力系統(tǒng)狀態(tài)分離的新型檢測器,檢測器的核心算法包括核范數(shù)最小化和低階矩陣分解兩類方法,可以顯著得提升檢測器對FDI攻擊的檢測性能[60].Liu等使用有色排水網(wǎng)描述智能電表信息流以檢測高級電表架構(gòu)(Advanced metering infrastructures,AMI)下的FDI攻擊[61].此外,部分學(xué)者將不同時段、不同設(shè)備的數(shù)據(jù)結(jié)合起來,提升FDI攻擊的檢測能力.Gu等使用歷史數(shù)據(jù)追蹤量測值變化的動態(tài),利用KL散度(Kullback-Leibler distance,KLD)來度量歷史數(shù)據(jù)概率分布與可疑量測值數(shù)據(jù)概率分布的差異,以判斷FDI攻擊的存在[62].Ashok等提出了在線異常檢測算法,通過電力系統(tǒng)負載預(yù)測值、發(fā)電機調(diào)度情況以及同步發(fā)電機相角等數(shù)據(jù)對電力系統(tǒng)實際情況進行預(yù)測,通過預(yù)測值與實際量測值的比較來檢測FDI攻擊[63].

上述方法大都是利用現(xiàn)有FDI攻擊中未考慮的因素,設(shè)計針對性的數(shù)據(jù)一致性檢測方法,本質(zhì)上是假設(shè)攻擊者不能獲取特定資源或檢測方法.近年來,研究人員提出一系列CPS攻擊方法,通過設(shè)定針對性的攻擊構(gòu)造條件,以躲避新提出的檢測技術(shù).因此,防御方法對特定資源的依賴程度越低,對攻防雙方能力的假定越均衡,就越能使用實際CPS安全防御的需求.

4.3 基于信息物理融合的CPS綜合安全防御

從前兩節(jié)的分析可以看出,從信息系統(tǒng)網(wǎng)絡(luò)安全或者物理系統(tǒng)工程安全單一角度,都難以全面描述、檢測和防御CPS攻擊.安全研究者希望結(jié)合信息系統(tǒng)網(wǎng)絡(luò)安全和物理系統(tǒng)工程安全方法,設(shè)計面型CPS的新型攻擊檢測架構(gòu).已有的工作可分為兩類:基于信息與物理數(shù)據(jù)融合的檢測和基于信息與物理模型融合的檢測.

4.3.1 基于數(shù)據(jù)融合的CPS綜合安全防御

信息層面的融合方法為將信息系統(tǒng)數(shù)據(jù)(例如網(wǎng)絡(luò)異常流量)與物理系統(tǒng)數(shù)據(jù)進行關(guān)聯(lián)以檢測CPS異常事件和攻擊行為.Zonouz等提出了安全導(dǎo)向的信息物理關(guān)聯(lián)狀態(tài)估計(Security-oriented cyber-physical state estimation,SCPSE)以識別信息網(wǎng)絡(luò)中惡意主機以及物理網(wǎng)絡(luò)中可疑傳感器集合,SCPSE根據(jù)信息網(wǎng)絡(luò)異常數(shù)據(jù)構(gòu)建攻擊圖,通過在狀態(tài)估計中移除可疑節(jié)點的量測值,以檢測系統(tǒng)中存在的不良數(shù)據(jù),并提供對系統(tǒng)真實狀態(tài)的可靠估計[64].Zonouz等還提出了一種信息物理安全評估技術(shù)(Security-oriented cyber-physical contingency analysis,SOCCA)以分析電力系統(tǒng)意外事故,SOCCA提供了信息物理融合系統(tǒng)中信息元素與物理元素統(tǒng)一的形式化描述方法,根據(jù)信息物理意外事故的威脅程度來評估意外事件可能產(chǎn)生的影響[65].Wang等建立了信息物理融合系統(tǒng)SCADA信息流的狀態(tài)轉(zhuǎn)移圖,提出了基于關(guān)系流程圖的入侵檢測思想以檢測錯誤數(shù)據(jù)注入攻擊[66].

除了直接關(guān)聯(lián)分析信息系統(tǒng)和物理系統(tǒng)的數(shù)據(jù),研究者還利用信息系統(tǒng)的異常檢測結(jié)果引導(dǎo)物理系統(tǒng)異常檢測,提升CPS安全防御能力.Liu等提出了一種電力系統(tǒng)異常數(shù)據(jù)檢測結(jié)果和信息網(wǎng)絡(luò)異常通信檢測結(jié)果相融合的方法,報警數(shù)據(jù)融合是基于物理系統(tǒng)拓撲與信息網(wǎng)絡(luò)的關(guān)聯(lián)性,將信息系統(tǒng)報警與物理系統(tǒng)的標準化殘差檢測的結(jié)果進行綜合評估.通過數(shù)據(jù)融合將實際系統(tǒng)安全進行融合,得到系統(tǒng)層面的分析結(jié)果,從而消除了單純物理層檢測方法或單純信息層檢測方法的偏差,可以有效降低信息系統(tǒng)與物理系統(tǒng)檢測方法的漏報率與誤報率[67].Liu等提出了一種基于狀態(tài)估計的智能電網(wǎng)動態(tài)加密和認證方法,對智能電網(wǎng)中的控制中心和遠程終端裝置之間的的通信進行保護.該方法對兩種信號都生成加密密鑰,隨著電力系統(tǒng)的變化,每個遠程終端都會定期更新其密鑰,而控制中心也會動態(tài)同步地估計所有遠程終端的新密鑰[68].

然而,網(wǎng)絡(luò)安全技術(shù)主要針對程序行為、身份權(quán)限、網(wǎng)絡(luò)流量等信息系統(tǒng)對象的異常檢測,工程安全技術(shù)主要針對物理系統(tǒng)運行狀態(tài)的異常檢測,兩者在判別規(guī)則、報警格式、報警內(nèi)容等方面都存在顯著差異.基于信息和物理系統(tǒng)數(shù)據(jù)融合的檢測思路在實際應(yīng)用中存在諸多挑戰(zhàn),包括信息和物理異構(gòu)數(shù)據(jù)的同構(gòu)化問題、多源數(shù)據(jù)的關(guān)聯(lián)分析問題、不同安全需求的關(guān)聯(lián)建模問題.因此,基于信息和物理系統(tǒng)數(shù)據(jù)融合的檢測方法仍處于探索研究中.

4.3.2 基于系統(tǒng)模型融合的CPS綜合安全防御

模型層面的融合的含義是將一些網(wǎng)絡(luò)安全防御的思想和技術(shù)應(yīng)用于物理系統(tǒng)的安全監(jiān)控,構(gòu)建出新的CPS綜合安全防御方法.本文重點介紹兩類代表性方法:協(xié)調(diào)變參防御(Coordinate parameter variation defense,CPVD)和物理系統(tǒng)水印.

協(xié)調(diào)變參防御源自網(wǎng)絡(luò)安全技術(shù)中的移動目標防御(Moving target defense,MTD).2010年美國在“網(wǎng)絡(luò)與信息技術(shù)研發(fā)計劃”(Networking and information technology research and development)中提出了MTD,通過“改變游戲規(guī)則”的革命性技術(shù)手段以積極主動地實施網(wǎng)絡(luò)防御[69].移動目標防御的核心思想是,通過可管理的方式持續(xù)不斷地改變系統(tǒng),以減少系統(tǒng)攻擊面,增加系統(tǒng)的不確定性,從而降低攻擊者的攻擊成功率,增加攻擊者探測系統(tǒng)漏洞或?qū)嵤┕舻拇鷥r[69].

移動目標防御最初用于網(wǎng)絡(luò)安全防御,可分為軟件變換機制[70]、動態(tài)平臺技術(shù)[71]、網(wǎng)絡(luò)地址更換[72]等.國內(nèi)學(xué)者進一步提出了網(wǎng)絡(luò)空間擬態(tài)安全防御[73].近年來,學(xué)者們將移動目標防御或擬態(tài)安全防御這些網(wǎng)絡(luò)空間防御的思想應(yīng)用于信息物理融合系統(tǒng)安全防御與攻擊檢測中.值得注意的是,網(wǎng)絡(luò)空間防御中的移動目標防御或擬態(tài)安全防御更強調(diào)信息層面或邏輯層面上的變換;而CPS中的“移動目標防御”則要求系統(tǒng)的物理環(huán)節(jié)(包括控制環(huán)節(jié)、量測環(huán)節(jié)甚至是物理設(shè)備本身)可受調(diào)節(jié)或變換.因此,本文中將CPS中的MTD命名為協(xié)調(diào)變參防御.

Morrow等提出了主動改變電力系統(tǒng)配置參數(shù)的方法,以檢測空間相關(guān)型錯誤數(shù)據(jù)注入攻擊[74-76].近20年里,通過調(diào)整電力系統(tǒng)配置以保持電力系統(tǒng)潮流穩(wěn)定運行已經(jīng)受到廣泛研究[77-80].新興的分布式柔性交流輸電(Distributed flexible ac transmission system,D-FACTS)設(shè)備可以改變電力系統(tǒng)線路阻抗值,由于其較低的部署成本可更廣泛部署于電力系統(tǒng)中,以此提高系統(tǒng)操作者對電力系統(tǒng)配置的調(diào)節(jié)能力.由于這項新增的調(diào)節(jié)能力,該方法可用在智能電網(wǎng)阻礙攻擊者實施隱蔽FDI攻擊.具體來說,Morrow等提出了事后型CPVD方法以檢測正在進行中的FDI攻擊[74-75].防御者主動改變線路阻抗并觀測系統(tǒng)潮流改變量,若攻擊存在,則對系統(tǒng)配置采用已知改變時,觀測的潮流改變量將與期望改變量不同.然而,該方法對于攻擊的檢測與防御相對滯后,無法及時有效地發(fā)現(xiàn)并阻止攻擊的進行.

Rahman等提出了事前型協(xié)調(diào)變參防御方法,防御者通過隨機選取一組傳輸線并隨機改變傳輸線阻抗,以及隨機選取用于狀態(tài)估計的傳輸線集合,可使得攻擊者無法獲取最新的系統(tǒng)信息,從而阻礙FDI攻擊的執(zhí)行[76].本文將此類CPVD方法稱為任意型協(xié)調(diào)變參防御方法.Teixeira等將協(xié)調(diào)變參防御概念應(yīng)用于零動態(tài)攻擊的檢測,并分別給出了當僅改變物理系統(tǒng)、控制環(huán)節(jié)與量測環(huán)節(jié)時所有零動態(tài)攻擊可被檢測的充分必要條件[81-82].Gyugyi等提出了通過可切換的混合控制器,防御者可在多個子控制環(huán)節(jié)中相互切換以防御各種類型的攻擊[77].Hoehn等在系統(tǒng)控制環(huán)節(jié)之前加入可控調(diào)制環(huán)節(jié)以改變系統(tǒng)控制過程的規(guī)律,以此來檢測零動態(tài)攻擊與隱蔽攻擊[78].Weerakkody等提出在系統(tǒng)原始結(jié)構(gòu)不變的情況下額外增加動態(tài)物理設(shè)備,可在實現(xiàn)協(xié)調(diào)變參防御的同時使得原始系統(tǒng)正常操作保持不變[83],并進一步將該方法應(yīng)用于CPS中攻擊的鑒別問題,并給出了相應(yīng)的系統(tǒng)參數(shù)配置策略以鑒別可疑傳感器量測值[84].然而這兩種方法方法可能增加系統(tǒng)的操作與運行開銷,并可能會給系統(tǒng)帶來新的風險(例如不穩(wěn)定性).

Tian等提出了攻擊者可以通過竊聽到的電網(wǎng)系統(tǒng)量測值,來檢測系統(tǒng)是否采用CPVD,并將這種威脅被命名為參數(shù)確定優(yōu)先的錯誤數(shù)據(jù)注入(PCFFDI)[85].在這種情況下現(xiàn)有的CPVD策略被此方法輕易檢測到,而攻擊者發(fā)現(xiàn)系統(tǒng)采用CPVD可放棄原先的攻擊計劃,等待獲取最新的電網(wǎng)參數(shù)配置信息后再發(fā)起攻擊.為了改善CPVD的隱蔽性,Tian等提出了隱蔽型CPVD策略,該策略不會被PCF-FDI攻擊檢測[86].具體來講,當隱蔽型CPVD策略激活時,攻擊者基于原始系統(tǒng)結(jié)構(gòu)的錯誤數(shù)據(jù)檢驗不會產(chǎn)生報警.同時,攻擊者基于原始系統(tǒng)結(jié)構(gòu)構(gòu)造的錯誤數(shù)據(jù)注入攻擊,將以大概率被CPVD策略下的錯誤數(shù)據(jù)檢驗檢測到,從而被防御者丟棄或重定向至蜜罐等監(jiān)控系統(tǒng),為進一步分析攻擊行為和攻擊取證提供支持.由此可見,隱蔽型CPVD能引導(dǎo)攻擊者進行無效攻擊并增加其暴露的可能性.在隱蔽性防御的實現(xiàn)問題上,Tian等定義了潮流不變型CPVD,并證明了隱蔽型CPVD和潮流不變型CPVD的等價性,將抽象的隱蔽性轉(zhuǎn)化為可以明確達到的控制潮流的現(xiàn)實目標,為隱蔽型CPVD策略的計算提供了理論依據(jù).

物理系統(tǒng)水印來自電子產(chǎn)品的知識產(chǎn)權(quán)保護.水印的概念最初被應(yīng)用于數(shù)字圖像、音頻、視頻等媒體產(chǎn)品以實現(xiàn)產(chǎn)權(quán)保護并校驗信息完整性,具有魯棒性、不可見性、安全性、可證明性等特征[87].近年來,研究者將水印法應(yīng)用于CPS攻擊檢測中[15,39,88-92].具體來說,防御者在控制信號中主動添加可控和保密的激勵信號,該信號隨著物理系統(tǒng)的執(zhí)行,將影響系統(tǒng)的狀態(tài)和量測值.若攻擊者無法獲取水印信號,則攻擊者將難以在偽造的量測數(shù)據(jù)中包含由水印信號造成的系統(tǒng)狀態(tài)和量測值變化.Mo等首次提出了CPS中水印的概念,并將其應(yīng)用于重放攻擊的檢驗中[89].Mo和Weerakkody等將物理系統(tǒng)水印應(yīng)用于檢測更一般性的信息攻擊[89-92].Satchidanandan等將物理系統(tǒng)水印拓展為動態(tài)水印,在假設(shè)控制信號不被篡改的前提下,通過L組關(guān)聯(lián)檢測器(L為系統(tǒng)控制信號數(shù),每組包含兩個檢測器)可保證僅有零均值異變能量的攻擊可繞過該檢測器[39].然而,由于物理系統(tǒng)水印需要在系統(tǒng)控制量中添加擾動信號,擾動信號的引入會影響系統(tǒng)的性能;而且,物理系統(tǒng)水印的檢測精度與水印信號的強度相關(guān).這意味著防御者需要以犧牲系統(tǒng)性能為代價,提高攻擊的檢測性能.

5 結(jié)論與展望

隨著CPS近年來的不斷發(fā)展,研制具有高實時性、自動化和智能化的CPS逐漸成為了各個行業(yè)的共性需求.各類CPS應(yīng)用傳感、嵌入式處理、數(shù)字通信、人工智能等信息網(wǎng)絡(luò)技術(shù),在提升現(xiàn)有系統(tǒng)性能和效率的同時,信息網(wǎng)絡(luò)中的各種漏洞和脆弱性已經(jīng)嚴重影響到CPS的安全運行,并造成了巨大的損失.近年來的攻擊事件顯示,攻擊者正在針對物理系統(tǒng)的業(yè)務(wù)流程和安全防護機制,設(shè)計出隱蔽性更好和破壞力更強的CPS攻擊策略,并結(jié)合網(wǎng)絡(luò)攻擊技術(shù)對智能電網(wǎng)、智能交通、智慧醫(yī)療等國家基礎(chǔ)設(shè)施,以及可穿戴設(shè)備、自動駕駛、智能家居等個人安全系統(tǒng)進行攻擊,嚴重威脅國防、政治、經(jīng)濟和人民日常生活.

本文主要從信息安全與工程安全融合的角度對CPS面臨的綜合安全威脅進行了探討.隨著人—機—物的深度融合,CPS綜合安全除了信息安全與物理系統(tǒng)工程安全的結(jié)合,還包括信息安全與人類社會安全問題的結(jié)合,如網(wǎng)絡(luò)輿情安全、身份安全等.人的不確定因素將進一步提高CPS綜合安全的復(fù)雜性,值得研究人員更深入的探討.

有效提升CPS綜合防御能力已成為了當務(wù)之急.本文通過分析國內(nèi)外防御方法研究發(fā)現(xiàn),僅僅依靠物理系統(tǒng)的工程安全防護機制和網(wǎng)絡(luò)系統(tǒng)的信息安全技術(shù),都難以達到CPS綜合安全的要求.而兩類方法由于數(shù)據(jù)來源、建模方法、技術(shù)思路存在較大差異,如何有效結(jié)合已經(jīng)成為CPS綜合防御的難題.本文分析探討了現(xiàn)有的CPS綜合防御技術(shù),并從數(shù)據(jù)融合、系統(tǒng)模型融合和防御思想相互借鑒等角度進行分類總結(jié),為未來CPS綜合安全防御方法的研究提供了參考.