一種針對擬態工業控制器的裁決及調度方法

楊汶佼 劉星宇 張 奕 張興明 張汝云

(之江實驗室智能網絡研究院 杭州 311100)

近年來，隨著我國制造強國戰略的全面推進，工業領域數字化、網絡化、智能化的改造加快發展，逐漸成為我國實施制造強國和網絡強國戰略的重要保障.在我國，工業控制系統的應用超過80%為涉及國計民生的關鍵基礎設施(如鐵路、城市軌道交通、供水、供電等)，其安全性關系生產安全和經濟發展，是對現實世界造成直接影響的“大問題”[1].目前我國工控安全面臨越來越嚴峻的安全形勢，雖然近幾年國產工控系統技術，尤其是在安全可靠性上有了長足的進步，但長期以來我國工控領域的嵌入式軟件、總線協議、工控軟件等核心技術仍未實現自主可控，特別是針對未知漏洞、未知后門的攻擊基本沒有安全防護能力，同時也面臨著安全威脅加速滲透、攻擊手段復雜多樣等新挑戰.目前，工業控制系統的安全防護還是基于傳統的被動式防御理念，采用的防火墻、入侵檢測、入侵防護系統等安全手段已經無法起到有效的防護作用.

文獻[2-5]提出了網絡空間擬態防御(cyberspace mimic defense, CMD)理論，將不可控的網絡空間安全威脅問題轉化為自主可控的網絡空間服務魯棒性控制問題，從內部構造機制出發將網絡空間的被動防御轉化為主動的內生安全[6].擬態防御技術以動態異構冗余(dynamic heterogeneous redundancy, DHR)為核心架構，該架構由輸入代理、異構功能等價執行體、裁決器、輸出代理等組成.裁決器作為各執行體的輸入代理，將輸入數據向各執行體進行發送，同時對各執行體的處理結果進行判決產生唯一輸出[7].另外裁決器完成對各執行體的調度，并根據裁決結果對處于異常狀態的執行體進行清洗恢復.擬態防御的核心思想是通過功能等價體的動態切換，使異構冗余架構的執行體具有動態化、隨機化的屬性，使攻擊者的攻擊難度和成本大幅提高.

1 相關研究

目前工控系統中的硬件控制器通常采用了冗余機制，但幾乎都是同構的冗余，從硬件芯片型號到執行體中的執行程序都是相同結構、相同的代碼.芯片、驅動程序、操作系統、執行程序中一旦有1個后門被利用或者漏洞被攻擊成功，則整個控制器就被攻擊成功了.針對以上問題，文獻[8]提出了一種在工業控制領域應用的擬態安全處理機架構.該架構硬件部分由3套異構冗余處理機及其外圍電路以及1個擬態調度器組成.軟件部分包括設備驅動、中間件以及異構操作系統，但該系統在執行體調度時不存在隨機性和動態性，且當某一執行體遭受攻擊進入清洗恢復狀態時，系統安全性能降級，此階段該系統被攻擊的風險大大提升.文獻[9]提出了一種4異構冗余執行體的擬態架構，與文獻[8]相比系統的隨機性和動態性有所加強，但并沒有考慮當遭受到共模攻擊時，如何提升系統的安全增益.文獻[10]提出了一種基于歷史表現的執行體選擇方法.文獻[11]提出了一種基于擬態防御的差異化反饋調度判決方法，根據判決方法的可靠度系數及多數判決方法選出可信的執行體.但上述調度策略基于系統存在大量可利用的異構執行體，而擬態工業系統由于成本和開發難度的限制，很難做到支持大量可利用的異構執行體，因此上述調度策略在這種條件限制下不能取得理想的結果.另外工業系統中執行體輸出的數據成分復雜，目前基于一致性的擇多判決方法[12]并不能準確裁決.

因此，本文首先提出了針對工業現場協議的裁決方法，然后提出了一種在有限的異構資源下的基于共模防御系數的執行體調度方法，最后通過仿真實驗將該方法與現有的隨機調度算法進行對比，分析算法在安全性、降低共模攻擊成功率以及在發生共模攻擊后減少逃逸時間方面的性能.

2 基于混合數據類型工業協議的擬態裁決方法

在不同的工業應用場景中，尤其是在一些復雜的工業現場，工業控制系統需要接入大量不同類型的輸入輸出(input and output, IO)設備，包括開關量IO設備和模擬量IO設備，其中開關量IO設備的輸入和輸出為0或1，模擬量IO設備的輸入和輸出為數據量程，因此在工業控制系統對各類IO設備進行實時控制的工業協議中會混合有不同的數據類型.目前針對混合數據類型工業協議還沒有特別高效和準確的擬態裁決方法，主要采用的是基于內容一致性的擇多裁決方法.由于不同的模擬量IO設備具有不同的數據量程，異構主控制器中使用浮點數計算模擬量信號，由于異構主控制器的浮點數據計算精度存在差異，浮點數計算結果的二進制數值會不相同，因此在使用基于內容一致性的擇多裁決方法對混合數據類型工業協議進行裁決時，對于開關量IO設備的控制數據有良好的裁決效果，但是對模擬量IO設備的控制數據無法進行準確的裁決，存在對主控制器的攻擊誤判甚至出現攻擊逃逸等問題.本文針對上述問題，提出了一種應用于異構多執行體架構的擬態工業控制系統的基于混合數據類型工業協議的擬態裁決方法.

2.1 模擬量數據歸一化

要實現對模擬量數據的裁決，首先需要對模擬量數據進行歸一化處理，在每個控制周期主控制器單元需要對不同數據類型的IO實時控制數據進行歸類，按照數字量和模擬量分別進行計算并組包，并在協議中的特定位置進行標記.每個控制周期各執行體在進行IO設備模擬量計算時，需要將不同IO設備的模擬量歸一化為與物理意義無關的純數字量，具體如式(1)所示：

(1)

其中Ri為歸一化值，ri為實際IO設備模擬量數值，Fi為該IO設備的量程值，d為精確有效數字對應的放大系數，δi為各異構主控制器的浮點數計算誤差.

計算各異構主控制器輸出的歸一化誤差如式(2)所示：

δi=|Ri-avg(R1,R2,…,Rn)|,

(2)

其中δi為主控制器i的歸一化誤差，Ri為主控制器i的歸一化值，avg(R1,R2,…,Rn)為所有主控制器單元歸一化值的平均值.

2.2 裁決過程

結合各執行體當前狀態和調度機制，從中選出3個執行體進入裁決池.將裁決池中執行體發送的IO控制數據進行解析，按照不同的數據類型，將數據分別放入不同的裁決區中進行裁決，數字量放入裁決區A，模擬量放入裁決區B，分別對裁決區A和裁決區B中的數據進行擇多裁決，數字量和模擬量采取不同的判決方式.具體判決規則如下：

進行數字量類型數據判決時，判斷3個執行體相同位號對應的數字量值是否一致，如果某1個與其他2個不同，則認為特殊的這個位號出錯，若三者都不一致，則三者都出錯.

進行模擬量類型數據判決時，先取3個執行體相同位號對應的模擬量的中值，假設{Q1,Q2,Q3}為3個執行體相同位號對應的模擬量,其中Q1≤Q2≤Q3，則中值為Q2；再計算其他2個值與中值的偏差，如果偏差大于誤差配置值則認為該執行體位號對應的值出錯，假設δ為誤差配置值(通常異構主控制器的浮點數據計算精度優于0.01%)，若Q2-δ≤Q1≤Q2，則Q1對應執行體的該位號正確，若Q1Q2+δ，則Q3對應執行體的該位號出錯.

裁決時遍歷所有裁決區數據，判斷為出錯的執行體，累加1個出錯數，所有位號輪詢后累積出錯數最多的執行體判定為異常，出錯最少的執行體判定為可信的執行體，出錯數在中間的執行體判定為中間狀態，若3個執行體出錯數一致，則都判定為出錯，取判定狀態為正常的執行體的結果作為裁決結果.裁決結束后，將裁決區A和裁決區B的裁決結果相加作為最終的裁決結果，將裁決結果錯誤數最少的執行體所對應的IO設備控制數據標記為可信數據，將裁決結果錯誤數最多的執行體標記為異常；若裁決結果錯誤數最少的主控制器有多個，則隨機選取其中的某個執行體，將其所對應的IO數據標記為可信數據.

3 基于共模防御系數的調度方法

根據擬態理論，在擬態系統中采用的異構執行體越多，獲得的安全增益越大，但同時也伴隨著系統的復雜度變大、成本變高、可維護性變差等問題[13].因此在實際的工程設計中需要對系統的復雜度和安全性進行折中.在本文的實際設計方案中，采用的是具有4個異構執行體的工控處理系統.在文獻[9]中對4異構執行體處理機系統的安全增益進行了詳細分析，經過擇多判決后，系統的錯誤率降低得非常明顯，超過2個數量級.本文在此基礎上針對4個異構執行體的工控系統提出了一種基于共模防御系數的調度方法，旨在保證系統安全增益的同時能夠減小共模攻擊的成功率并縮短逃逸時間.

3.1 前提假設

假設1.由于系統內含有多異構執行體，系統的輸入輸出設計復雜，為便于分析，在本文中假設輸入和輸出部件不會對系統的安全增益產生影響.

假設2.為便于分析，假設對執行體中任一漏洞攻擊成功則導致執行體失效，且這種失效在時間維度上可以看作是均勻的隨機事件.

假設3.為便于分析，在簡化模型中，假設對系統中不同執行體的攻擊致失效率是相同的，且2個執行體間的失效是相互獨立的.

假設4.為便于分析，任何攻擊成功則導致失效的執行體，可在對執行體進行清洗后重新恢復.

3.2 相關定義

定義1.共模攻擊.

VULi與VULj相互之間的重合部分稱為VULi與VULj的共生漏洞.對于2個執行體間的共生漏洞，將其稱為2階共生漏洞.以此類推，將k個執行體間的漏洞稱為k階共生漏洞.利用共生漏洞發起的攻擊稱為共模攻擊.

定義2.擬態逃逸.

定義3.恢復時間TH.

恢復時間TH為失效的執行體被裁決器清洗到其恢復進入工作狀態并與其他執行體實現狀態同步所需要的時間.

定義4.擬態逃逸時間TC.

從系統因受到針對共生漏洞的攻擊導致系統出現擬態逃逸，到系統恢復到正常工作狀態所需要的時間TC.

定義5.異構度σij.

在擬態防御中，執行體對象結構差異越大越能增加系統內部結構的復雜性，執行體之間存在共生漏洞的概率就越小.異構度包括許多方面，如編程語言、運行的操作系統平臺、硬件架構等[15].異構度是用于描述異構程度的一種量化參數，數值越小代表結構差異越大，且σ∈(0,1].σij表示第i個執行體與第j個執行體之間的異構度.

定義6.執行體失效概率Pi.

定義7.共模防御系數μij.

μij表示第i個執行體與第j個執行體之間的共模防御系數，數值越小表示發生共模攻擊的概率越低，系統初始化狀態時，每個執行體間的共模防御系數就是各執行體間的異構度，正常運行時，裁決器根據執行體每次的輸出情況，判斷執行體是否受到共模攻擊并更新共模防御系數.式(3)為共模防御系數的更新公式：

(3)

其中wij為第i個執行體與第j個執行體之間發生共模攻擊的次數，當裁決器判定第i個執行體與第j個執行體發生共模攻擊時，會將其加1.T為系統運行的周期數.a為常數，用來調節共模防御系數受異構度與共模攻擊概率的影響程度.

共模防御系數的可行性說明：由上述的共模防御系數定義及更新機制可知，執行體的共模防御系數表示執行體間的異構程度以及一段時間內各異構體間受到共模攻擊的頻率，共模防御系數越小表明該執行體之間發生共模攻擊的概率越低.根據式(4)可以得到當發生共模攻擊時，選擇共模防御系數較小的一組執行體比隨機選擇一組執行體發生共模攻擊逃逸的概率要小.

(4)

3.3 調度策略

3.3.1 調度方式

本文設計的擬態工業控制系統含有4個異構的執行體，在正常工作時，策略控制與調度模塊隨機選取4個異構的執行體中的3個進入裁決池，裁決器按照第2節所述的裁決方法進行裁決，對裁決結果異常的執行體進行標記，當執行體被標記的異常數達到所設定的清洗閾值后，裁決器對該執行體進行清洗操作.系統正常工作時的調度方式如圖1所示:

圖1 系統正常工作時的調度方式

在每個裁決周期，裁決模塊會監控各個執行體的運行狀態，并將各執行體的工作狀態反饋給策略控制與調度模塊.在系統的運行過程中各執行體會產生以下4種狀態：工作狀態、清洗狀態、考察狀態、掛起狀態.

工作狀態：默認執行體的狀態為“工作狀態”，處于該狀態時執行體參與系統的裁決調度.對于異常數達到清洗等級的執行體，裁決模塊下發相應的清洗命令，同時將該執行體的狀態記錄為“清洗狀態”.如果記錄的某個執行體清洗次數達到“掛起”等級，裁決模塊下發掛起命令，同時將該執行體的狀態記錄為“掛起狀態”.掛起狀態時需要告警通知維護人員干預.

清洗狀態：當某一執行體進入到“清洗狀態”后，該執行體不參與裁決調度，當裁決模塊收到“清洗狀態”的執行體發送的數據后，將該執行體的狀態記錄為“考察狀態”.

考察狀態：為了規避執行體恢復的震蕩期而設置考察狀態，標記為“考察狀態”的執行體不參與裁決調度，考察周期數根據實際配置確定，當考察周期達到后將該執行體標記為“工作狀態”.

掛起狀態：被標記為“掛起狀態”的執行體不參與裁決調度，同時該執行體也應該停止發送實時數據.如果該執行體被人工干預后重新工作，則裁決模塊應將其標記為“考察狀態”.

執行體各個狀態間的切換示意圖如圖2所示:

圖2 執行體狀態切換示意圖

當有執行體不處于“工作狀態”，系統會因缺少可調度和裁決的執行體時，系統的安全等級會進行降級，不同的安全等級下系統的調度策略如表1所示：

表1 不同安全等級下系統的調度策略

3.3.2 共模攻擊識別及處置

當裁決模塊在進行裁決時，若出現裁決結果為2∶1(即某2個執行體裁決結果一致且與另一個不一致)，則裁決模塊會將備用的執行體加入重新進行裁決，具體調度如圖3所示.

圖3 加入備用執行體裁決示意圖

若此時裁決結果為3∶1(即3個執行體裁決結果一致且與另一個不一致)，則判定不一致的執行體狀態異常，裁決模塊對其進行清洗.

若裁決結果為2∶2(即4個執行體裁決結果兩兩一致)，則裁決模塊判定系統受到共模攻擊，此時選取共模防御系數較小的一組執行體作為可信執行體，并從另一組執行體中隨機選擇1個執行體進行清洗.

待清洗的執行體恢復正常工作模式后，裁決模塊重新對4個執行體進行裁決，若裁決結果為3∶1，則認為清洗的這一組執行體發生了共模攻擊，且清洗選擇正確，裁決模塊更新這一組執行體的共模防御系數，同時將該組另一個執行體清洗.

若重新裁決后，裁決結果仍為2∶2，則判定未清洗的這一組執行體發生了共模攻擊，且裁決模塊未正確選擇清洗對象，系統發生共模攻擊逃逸，此時將發生共模攻擊的這一組執行體全部清洗并更新這一組執行體的共模防御系數.

若裁決模塊對某一執行體連續清洗次數超過一定的敏感度閾值γ后，則裁決模塊判定未清洗的這3個執行體遭受了3階共模攻擊，且發生共模攻擊逃逸，此時將發生共模攻擊的這3個執行體全部清洗.當裁決模塊判定系統受到3階共模攻擊超過敏感度閾值threshold后，系統在正常工作時會采用所有執行體都進行裁決的4余度調度策略，如圖4所示：

圖4 執行體4余度調度策略示意圖

3.3.3 算法描述

綜合上述共模攻擊的識別及處置并結合擬態隨機調度的策略，具體算法描述如下：

算法1.HPF(high pass factor)調度算法.

輸入:調度集E(E1,E2,E3,E4)、敏感度threshold；

輸出:裁決結果F.

① 初始化超閾值執行池列表，OverList=null;

② fori=1;i

③ 調度集E(E1,E2,E3,E4)，從調度集中各執行體的輸出結果隨機選擇3個結果構建結果池PoolList(x,y,m)，剩下的1個執行體的輸出結果為備份結果BackUpList(n);

④ 計算PoolList(x,y,m).δi；/*擇多判決出各執行體輸出結果*/

⑤ ifPoolList(x,y,m).δi==3∶0

returnPoolList(x,y,m)；

⑥ elsePoolList(x,y,m).δi==2∶1；

PoolList(x,y,m).add(BackUpList(n));

/*將備份結果添加到結果池中*/

end if

returnMove(PoolList[x,y,m,n].μmax,OverList)；/*將其中共模防御系數μ較大的執行體移出結果池并對其進行清洗*/

⑨PoolList[x,y,m].add(new(m))；

/*將清洗過并重新上線的執行體n的結果數據加入結果池中*/

end if

returnPoolList[x,y,m,n].remove(n);

/*將占少數數據結果的執行體n移出結果池并對其進行清洗操作*/

returnPoolList[x,y].P(σ)=PoolList[x,y].P(σ)+p2；/*執行體x,y被共模攻擊概率增加p2*/

end if

end if

/*發生共模攻擊概率超過閾值次數加1*/

end if

結合基于混合數據類型工業協議的擬態裁決方法以及基于共模防御系數的調度算法，本文設計的針對擬態工業系統的調度裁決方法如圖5所示:

圖5 針對擬態工業系統的調度裁決方法

4 仿真實驗

本文提出了一種面向擬態工業控制系統的調度方法與判決方法，為了驗證該方法的有效性，本節對HPF調度算法進行了仿真分析，并與文獻[9]提出的基于4個執行體的隨機調度算法(Stochastic調度算法)進行了性能對比.

4.1 仿真環境

本文結合工程實際設計了一個具有4個異構執行體的工業控制系統模型，在仿真驗證環節中僅保留最基本的控制節點要素，即控制器單元、仲裁器和模擬IO單元.為模擬擬態工業控制系統的異構特征，其中4個控制器單元采用不同架構的處理器.

仿真環境的硬件架構如圖6所示.其中4個主控單元(執行體)與主備裁決器之間通過高速總線進行連接，主備裁決器與模擬IO之間通過環網連接，裁決器作為主控單元的輸入輸出代理，將主控單元的IO控制命令經過裁決后通過環網下發給各IO設備，同時將各IO設備通過環網上送給裁決器，并由裁決器分發給各主控單元.裁決器由FPGA實現，完成上文介紹的調度、判決和清洗策略，4個主控單元分別采用A7、M7、H7和龍芯架構.

4.2 仿真測試方法

工控系統往往需要處理許多敏感信息，包括溫度信息、閥門開關、運行控制等，若工控系統中存在后門程序，則攻擊者可以利用這些后門程序實現快速、精確定位與攻擊.在本文仿真實驗情景中，通過白盒測試的方法向執行體中植入后門程序進行測試驗證.

我們通過簡單的代碼來模擬溫度數據觸發后門攻擊，程序實現為當輸入的溫度數據為預先設置的值時即達到觸發條件，其攻擊觸發結果為導致IO設備關機.分別在各個執行體的程序中注入可以造成共模攻擊的后門程序，若輸入的是某些特殊的溫度數據則會觸發相應的共模攻擊.

仿真時假設攻擊者攻擊成功這一事件可視為服從失效率為λ的指數分布[16]，其中λ表示攻擊致失效的難度，概率密度用f(t)=λe-λt表示，則單個執行體失效概率為

(5)

通過式(5)可以說明攻擊者在開始的一段時間內能夠迅速了解系統狀況，攻擊成功的概率迅速增加，隨著時間的增長，對于系統的了解程度逐漸變緩，攻擊的成功率慢慢趨近于1.為了量化執行體結構的差異性，本文利用文獻[17-18]中相似度度量方法，計算各執行體之間在芯片架構間的異構度M，所以4個異構執行體間異構度如表2所示.

表2 4個執行體間異構度

另外假設執行體的恢復時間TH為100個控制周期，4個執行體的攻擊致失效難度λ1=λ2=λ3=λ4=0.01.

4.3 仿真結果

首先對基于混合數據類型工業協議的擬態裁決方法(簡稱“模擬裁決方法”)與常規直接數字式擬態裁決方法(簡稱“數字式裁決方法”)的有效性進行仿真.各執行體的模擬量輸出計算方法如式(1)所示，為了簡化模型，其中各執行體計算引起的歸一化誤差δi為0或1的隨機數，仿真運行100個控制周期，并在這100個控制周期中引入10次真實攻擊輸入，觀察2種裁決方法能否正確裁決出異常結果.

圖7為模擬裁決方法與數字式裁決方法有效性仿真結果.從圖7可以看出，因各執行體浮點數據計算精度存在差異，數字式裁決方法是通過各執行體輸出兩兩比較是否一樣的比較方法，其將因精度差異導致的誤差錯誤裁決為異常結果，而模擬裁決方法能夠通過設置一定的誤差閾值過濾掉因精度差異導致的裁決錯誤結果，并能正確裁決出真正因攻擊導致的異常結果.因此基于混合數據類型工業協議的擬態裁決方法能有效解決因各執行體計算誤差引起的攻擊誤判或攻擊逃逸問題.

圖7 模擬裁決方法與數字式裁決方法有效性比較

然后對2種算法在差模攻擊下的安全性能進行仿真.根據調度算法的設計，當某一執行體被攻擊后會被清洗，因此在該執行體從清洗到恢復的過程中系統處于安全降級狀態，此時執行體集被成功攻擊概率的關系函數如式(6)所示:

(6)

其中

(7)

而HPF調度算法在差模攻擊下將異構度作為調度依據，此時執行體集被成功攻擊概率的關系函數如式(8)所示：

(8)

安全性能的仿真結果如圖8所示.在實驗中分別對2個算法進行了10萬個控制周期的仿真，從圖8可以看出HPF調度算法和Stochastic調度算法在控制周期的開始階段，系統攻擊成功的概率增加，隨著時間的增長，攻擊的成功率趨近于0.在使用HPF調度算法時系統的攻擊成功率要低于使用Stochastic調度算法時系統的攻擊成功率，說明HPF調度算法的安全性能較Stochastic調度算法有所提高.

圖8 差模攻擊下的2種算法的安全性能

當系統遭受到攻擊者發起的2階共模攻擊時，系統分別使用HPF調度算法和Stochastic調度算法的攻擊成功率如圖9所示，實驗中分別對2種算法進行了10萬個控制周期的仿真.

圖9 2階共模攻擊下2種算法的安全性能

從圖9可以看出，在使用HPF調度算法時系統的2階共模攻擊成功率要低于使用Stochastic調度算法時攻擊成功率.由于HPF調度算法在識別系統遭受到2階共模攻擊后，利用共模防御系數對執行體進行判定，選取共模防御系數小的執行體組合，相較于Stochastic調度算法的隨機選取，共模攻擊成功率較低.

在運行1萬個周期后，HPF調度算法的共模防御系數的基于共模攻擊概率統計的機制生效，此后相對于Stochastic調度算法，HPF調度算法使得系統的共模攻擊成功率進一步降低.

當系統遭受2階共模攻擊后，分別使用HPF調度算法和Stochastic調度算法的下逃逸時間如圖10所示，分別對2種算法進行了100次的2階共模攻擊模擬.其中系統逃逸時間的坐標軸1個單位代表執行體的恢復時間.

圖10 2種算法2階共模攻擊的逃逸時間

從圖10可以看出，由于HPF調度算法能夠識別2階共模攻擊，因此在2個執行體的恢復時間內可以消除系統的被攻擊狀態，而Stochastic調度算法由于不能識別2階共模攻擊，采用隨機調度的策略，系統逃逸時間存在波動且大于使用HPF調度算法的逃逸時間.

當系統使用HPF調度算法遭受3階共模攻擊后的逃逸時間如圖11所示.實驗進行了20次的3階共模攻擊模擬.其中系統逃逸時間的坐標軸1個單位時間為1個控制周期.仿真時3階共模攻擊的敏感度設為10.

從圖11可以看出HPF調度算法在3階共模攻擊的次數到達敏感度以前采用的是四取三隨機調度的策略，因此在識別3階共模攻擊時取決于隨機調度的結果，系統的逃逸時間存在波動，但當HPF調度算法檢測3階共模攻擊的次數到達敏感度以后，采用四余度裁決，此時能夠快速識別3階共模攻擊，因此之后的系統逃逸時間穩定在最小.

圖11 在敏感度設置為10的情況下HPF調度算法3階共模攻擊逃逸時間

5 結束語

擬態的核心思想是通過擬態控制層的調度判決，使得系統呈現動態化、隨機化的屬性，來進行主動防御.但是目前的調度方法和判決方法并不能很好地適應擬態防御工業系統的應用場景.本文首先設計了一種基于混合數據類型工業協議的擬態裁決方法，高效準確地解決了混合數據類型工業協議裁決問題；然后本文設計了基于共模防御系數的調度方法，能夠有效主動地防御攻擊者的入侵.仿真結果表明，該裁決調度方法在保證安全性能的同時，能夠快速識別共模攻擊，并能有效減小系統共模逃逸的時間.在后續研究中，將對該算法做相關優化，使之具有更好的實用性.