蒲在毅，張詠梅，賈艷梅

(西華師范大學(xué)，南充 637009)

1 引 言

網(wǎng)絡(luò)控制系統(tǒng)是由執(zhí)行器、傳感器和控制器組成的空間分布系統(tǒng)，其通過通信網(wǎng)絡(luò)上的信息交換進(jìn)行協(xié)調(diào)控制.運輸系統(tǒng)、電力系統(tǒng)、化學(xué)工藝、水和天然氣分配網(wǎng)絡(luò)、制造和運輸網(wǎng)絡(luò)可被視為網(wǎng)絡(luò)物理系統(tǒng)(Cyber Physical Systems，CPSs)應(yīng)用領(lǐng)域示例.CPS是通信能力、計算資源和物理過程的集成.此類系統(tǒng)通常被視為大規(guī)模分布式物理過程，可通過使用對各種基礎(chǔ)設(shè)施中的系統(tǒng)運行至關(guān)重要的監(jiān)控和數(shù)據(jù)采集(Supervisory Control And Data Acquisition，SCADA)軟件進(jìn)行監(jiān)控.

考慮到網(wǎng)絡(luò)控制系統(tǒng)包丟失和包延遲影響的控制系統(tǒng)設(shè)計，NCS還容易受到網(wǎng)絡(luò)物理攻擊的影響.文獻(xiàn)[1]指出當(dāng)攻擊者阻止控制器接收傳感器測量或設(shè)備接收控制律時，需要高度重視網(wǎng)絡(luò)控制系統(tǒng)的拒絕服務(wù)(Denial of Service，DoS)攻擊.文獻(xiàn)[2]指出當(dāng)攻擊者發(fā)送關(guān)于傳感器或執(zhí)行器的虛假信息時，會引入欺騙攻擊.文獻(xiàn)[3]討論了當(dāng)攻擊者產(chǎn)生人工測量延遲時的重放攻擊問題.文獻(xiàn)[4]通過故障檢測和隔離(Fault Detection and Isolation，F(xiàn)DI)技術(shù)，考慮了接近傳統(tǒng)故障的直接物理攻擊問題.CPSs中的協(xié)同攻擊檢測問題似乎與傳統(tǒng)的基于模型的FDI方案中的多部件、傳感器或執(zhí)行器故障檢測問題密切相關(guān)，但也存在多個故障可能被認(rèn)為是一種隨機(jī)發(fā)生在執(zhí)行器、傳感器或通信通道上的現(xiàn)象.對此，文獻(xiàn)[5]提出一種網(wǎng)絡(luò)攻擊檢測自適應(yīng)決策模型(Concept-adpting Very Fast Decision Tree，CVFDT)，通過參數(shù)自適應(yīng)過程簡化算法設(shè)定，具有更廣泛的適應(yīng)性，但是參數(shù)自適應(yīng)過程具有一定隨機(jī)性，精度受到影響且資源占用較高；文獻(xiàn)[6]提出一種網(wǎng)絡(luò)攻擊檢測動態(tài)概率標(biāo)記模型(Dynamic Probabilistic Packet Marking，DPPM)，將網(wǎng)絡(luò)的攻擊行為簡化為一個概率模型，簡化了模型表達(dá)形式，但是計算精度不高；文獻(xiàn)[7]提出一種網(wǎng)絡(luò)攻擊檢測快速決策模型(Very Fast Decision Tre，VFDT)，提高檢測效率，但是檢測精度相對較差.

本文研究了利用幾何控制理論中的輸出置零控制不變子空間設(shè)計的一種特殊的隱蔽攻擊，即零動態(tài)攻擊.當(dāng)攻擊者和防御者都考慮同一個設(shè)備模型時，檢測攻擊的唯一機(jī)會是假設(shè)存在防御行動，迫使攻擊者在有限的時間內(nèi)執(zhí)行惡意活動，并將有限長時間零動態(tài)攻擊下的網(wǎng)絡(luò)物理系統(tǒng)表示為兩個連續(xù)脈沖作用下的線性時不變系統(tǒng)，提出事件檢測的廣義似然比(Generalized Likelihood Ratio，GLR)[8]主動測試版本.

2 網(wǎng)絡(luò)控制系統(tǒng)的零動態(tài)攻擊模型描述

2.1 控制系統(tǒng)模型

在本節(jié)中，我們提出了由物理設(shè)備和通信網(wǎng)絡(luò)、線性二次高斯(Linear-Quadratic-Gaussian，LQG)控制器和異常檢測器描述的網(wǎng)絡(luò)控制系統(tǒng)中的網(wǎng)絡(luò)/物理攻擊檢測問題[9]，如圖1所示.

圖1 受LQG控制器攻擊的網(wǎng)絡(luò)控制系統(tǒng)Fig.1 Network control system attacked by LQG controller

如圖1所示，受LQG控制器攻擊的網(wǎng)絡(luò)控制系統(tǒng)可由以下線性離散時間隨機(jī)系統(tǒng)表示.

xk+1=Axk+Buk+wk

(1)

yk=Cxk+εk

(2)

式中，xk∈Rn，uk∈Rq和yk∈Rm是狀態(tài)、輸入和測量向量，wk∈Rn和εk∈Rm是零均值不相關(guān)高斯隨機(jī)序列：

(3)

其中，W>0，V>0.假定初始狀態(tài)x0與ωk和εk不相關(guān)，是高斯隨機(jī)變量，且有

(4)

對于所有的z，狀態(tài)對(A,C)是可檢測的，狀態(tài)對(A,B)是可穩(wěn)定的，且有

(5)

(6)

由此可得，網(wǎng)絡(luò)控制系統(tǒng)的線性二次高斯控制律可定義為

(7)

其中，線性二次高斯控制器設(shè)計參數(shù)Q≥0和R>0由下式給出.

(8)

其中，

(9)

(10)

(11)

2.2 零動態(tài)攻擊模型

假設(shè)惡意代理可在入侵時間k0實現(xiàn)特定的欺騙攻擊ak，稱為對控制信號的零動態(tài)攻擊.假設(shè)為了計算適當(dāng)?shù)墓舨呗?，攻擊者可以訪問系統(tǒng)的詳細(xì)模型.在欺騙攻擊中，攻擊者試圖阻止執(zhí)行器或傳感器接收數(shù)據(jù)完整性.其目的是通過從控制器或傳感器發(fā)送錯誤信息，從實際值修改控制信號或傳感器測量值.錯誤信息可能是錯誤的發(fā)送者身份、錯誤的傳感器測量、錯誤的控制輸入或觀察到測量時的不正確時間[11-12].

(12)

(13)

(14)

(15)

(16)

基于g=∑ε，利用式(16)可得(A-B∑)ξ=λξ,Cξ=0，表明不變零參數(shù)λ成為不可觀測的成對模式(A-B∑,C).

2.3 被動攻擊檢測方案

提出一種被動攻擊檢測方案，利用卡爾曼濾波器的創(chuàng)新序列設(shè)計的異常檢測器來實現(xiàn)網(wǎng)絡(luò)攻擊防御.定義dδk,k0-1作為時刻k0-1觸發(fā)的d尺寸脈沖，其中δk,k0-1=0、?k≠k0-1、δk,k0-1=1，對于k=k0-1，攻擊模型(14)可改為

(17)

(18a)

(18b)

(19a)

(19b)

(20)

3 彈性防御策略

3.1 零動態(tài)攻擊檢測

對LQG控制器產(chǎn)生的控制信號進(jìn)行彈性防御策略注入，可以作用于NCS的狀態(tài)變量，而對應(yīng)用于卡爾曼濾波器創(chuàng)新序列的任何被動檢測器都不可檢測[13].在本節(jié)中，我們給出了一個主動攻擊檢測方案，以揭示零動態(tài)攻擊的存在，并研究了防御者可用于快速恢復(fù)NCS正常行為的彈性控制策略，見圖2.

圖2 基于彈性LQG控制器的NCS攻擊Fig.2 NCS attack based on elastic LQG controller

當(dāng)攻擊在入侵時間kf停止時，ak的后果可以描述為

(21)

(22)

(23a)

(23b)

(24a)

(24b)

可簡化為

(25)

基于|λ|>1(以dλT為上界)，υδk,kf-1的尺寸υ=dλkf-k0-1大于dδk,k0-1的尺寸d，并且脈沖υδk,kf-1現(xiàn)在有機(jī)會從異常檢測器中檢測到.當(dāng)設(shè)備模型從式(20)切換到式(25)時，基于主動模型的FDI方案可表示為

(26)

(27)

式中，f(k,kf-1)和h(k,kf-1)可遞歸計算為

(29)

假設(shè)H0表示不存在攻擊的無效假設(shè)；H1表示kf時的攻擊結(jié)束假設(shè).假設(shè)H1可以面對無效假設(shè)H0，因為：

(30)

且有E{γj}=0,kf-1>j≥0.令P(γj/H1)，P(γj/H0)是γj在H1，H0條件下的高斯概率密度函數(shù)，并將似然比定義為

(31)

(32)

(33)

式中，

(34)

(35)

式中，ε是閾值級別.對于(35)的實現(xiàn)，可在有限大小的滑動窗口上實現(xiàn)最大化.假警報、漏檢和良好的決策率取決于決策級別的選擇和滑動窗口的大小[14].

3.2 彈性LQG控制器

當(dāng)T(k)>ε時，通過使用Kalman濾波器更新策略，可以避免多次檢測同一脈沖υδk,kf-1，可表示為如下形式.

(36)

(37)

然后，根據(jù)卡爾曼濾波器(5)上應(yīng)用的更新策略(36)，可推導(dǎo)出自主彈性LQG控制器.為評估所獲得的彈性LQG控制器整體特性，需研究與攻擊信號最大持續(xù)時間τ相關(guān)性能標(biāo)準(zhǔn).

4 實驗分析

4.1 實驗設(shè)置

為了對所提網(wǎng)絡(luò)控制系統(tǒng)零動態(tài)攻擊控制過程的有效性進(jìn)行驗證，這里選取Ubuntu 14.04操作系統(tǒng)+硬件設(shè)置進(jìn)行實驗平臺搭建，系統(tǒng)為64位系統(tǒng)，CPU主頻為i5-6500K 2.4 GHz，系統(tǒng)RAM大小為ddr4-1800K 16GB.仿真平臺中，安裝有Wireshark 1.10.3，并結(jié)合ZigBee模塊對研究網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測和讀取，實現(xiàn)數(shù)據(jù)實時監(jiān)控.

系統(tǒng)中采用的是Arduino屏蔽，其通過嵌入式802.15.4模塊以及Digi XBee802.15.4 RF模塊進(jìn)行實現(xiàn)，其所具有的優(yōu)點是傳輸距離長，可達(dá)到數(shù)百米，主要用于低功耗網(wǎng)絡(luò)數(shù)據(jù)傳輸中，存在的問題容易受到攻擊干擾的影響，這也是本文選取其作為實驗對象的主要原因.

4.2 攻擊檢測精度

本實驗中選取的網(wǎng)絡(luò)攻擊檢測模型精度評價指標(biāo)是混淆矩陣，一般采用的是攻擊檢測正確數(shù)據(jù)數(shù)量占總體攻擊數(shù)據(jù)總量的比例，分為網(wǎng)絡(luò)攻擊數(shù)據(jù)的準(zhǔn)確率指標(biāo)以及網(wǎng)絡(luò)攻擊數(shù)據(jù)的假陽性率指標(biāo)，其定義形式分別如下.

(38)

(39)

式中，參數(shù)TN是網(wǎng)絡(luò)攻擊檢測的真陰性值；TP是網(wǎng)絡(luò)攻擊檢測的真陽性值；FN是網(wǎng)絡(luò)攻擊檢測的真陰性值；FP是網(wǎng)絡(luò)攻擊檢測的假陽性值.為更加充分的驗證所提算法有效性，選取以下3種算法進(jìn)行實驗對比分析：網(wǎng)絡(luò)攻擊檢測自適應(yīng)決策模型(CVFDT)、網(wǎng)絡(luò)攻擊檢測動態(tài)概率標(biāo)記模型(DPPM)、網(wǎng)絡(luò)攻擊檢測快速決策模型(VFDT).實驗對比數(shù)據(jù)見表1所示.

表1 實驗對比數(shù)據(jù)Tab.1 Experimental comparison data

通過對比表1中實驗結(jié)果可知，網(wǎng)絡(luò)攻擊檢測模型精度性能上，所提基于主動彈性防御策略的網(wǎng)絡(luò)控制系統(tǒng)零動態(tài)攻擊檢測精度保持在95.6%～98.9%結(jié)果區(qū)間內(nèi)，該精度指標(biāo)要顯著的優(yōu)于CVFDT網(wǎng)絡(luò)攻擊檢測算法模型(91.4%～96.7%取值區(qū)間)、DPPM網(wǎng)絡(luò)攻擊檢測算法模型(90.1%～93.4%取值區(qū)間)、VFDT網(wǎng)絡(luò)攻擊檢測算法模型(88.4%～92.3%).對于選取的假陽性評估指標(biāo)，本文所提算法網(wǎng)絡(luò)攻擊檢測的假陽性率指標(biāo)為1.2%～3.5%，要明顯低于CVFDT算法網(wǎng)絡(luò)攻擊檢測的假陽性率指標(biāo)(2.3%～6.2%)、DPPM算法網(wǎng)絡(luò)攻擊檢測的假陽性率指標(biāo)(4.2%～8.6%)以及VFDT算法網(wǎng)絡(luò)攻擊檢測的假陽性率指標(biāo)(5.7%～9.6%).通過實驗分析，結(jié)果表明所提網(wǎng)絡(luò)攻擊檢測模型相對于選取的對比檢測算法模型具有更高的檢測精度.

同時，根據(jù)表1實驗數(shù)據(jù)中針對攻擊信號持續(xù)時間的實驗結(jié)果可知，隨著攻擊持續(xù)時間的增加幾種算法的攻擊識別精度均不斷上升，假陽性率均逐漸下降，表現(xiàn)出相對一致的實驗結(jié)果變化趨勢.從幾種算法的橫向?qū)Ρ瓤矗疚乃惴ǖ膶嶒灲Y(jié)果要優(yōu)于選取的幾種對比算法，驗證了所提算法的有效性.

4.3 計算資源效率對比

本節(jié)實驗中計算資源效率對比選取的指標(biāo)主要有兩個：計算內(nèi)存占用比例和CPU處理時間.網(wǎng)絡(luò)攻擊數(shù)據(jù)數(shù)量區(qū)間是1 000～5 000，計算資源效率對比情況見圖3結(jié)果所示.

根據(jù)圖3所示計算資源效率實驗結(jié)果可知，對于選取的相同數(shù)量的網(wǎng)絡(luò)攻擊樣本，本文算法模型的樣本攻擊檢測所需要的CPU處理時間要顯著的少于選取的CVFDT、VFDT和DPPM三種網(wǎng)絡(luò)攻擊檢測算法模型，其中DPPM網(wǎng)絡(luò)攻擊檢測算法模型在計算資源效率指標(biāo)上要優(yōu)于CVFDT和VFDT網(wǎng)絡(luò)攻擊檢測算法模型.CVFDT因為在網(wǎng)絡(luò)攻擊檢測過程中增加了概率比較適應(yīng)過程，因此其CPU處理時間最長.

圖3 計算資源效率實驗結(jié)果Fig.3 Experimental results of computational resource efficiency

采取相似方式，對網(wǎng)絡(luò)攻擊數(shù)據(jù)數(shù)量區(qū)間是1 000～5 000內(nèi)，幾種對比網(wǎng)絡(luò)攻擊檢測算法模型的內(nèi)存占用指標(biāo)實驗結(jié)果進(jìn)行對比分析，見圖4.

圖4 內(nèi)存占用指標(biāo)實驗結(jié)果Fig.4 Experimental results of memory occupancy index

根據(jù)圖4所示內(nèi)存占用指標(biāo)實驗結(jié)果可知，對于選取的相同數(shù)量的網(wǎng)絡(luò)攻擊樣本，本文算法模型的樣本攻擊檢測所需要的內(nèi)存占用指標(biāo)要顯著的少于選取的CVFDT、VFDT和DPPM三種網(wǎng)絡(luò)攻擊檢測算法模型，其中DPPM網(wǎng)絡(luò)攻擊檢測算法模型在內(nèi)存占用指標(biāo)上要優(yōu)于CVFDT和VFDT網(wǎng)絡(luò)攻擊檢測算法模型.CVFDT同樣因為增加了概率參數(shù)的自適應(yīng)過程，而導(dǎo)致其內(nèi)存占用指標(biāo)相對VFDT模型較高.上述實驗結(jié)果驗證了所提算法在計算效率上的性能優(yōu)勢.

5 結(jié) 論

本文研究了線性離散隨機(jī)系統(tǒng)零動態(tài)攻擊的彈性控制策略.當(dāng)網(wǎng)絡(luò)物理系統(tǒng)的防御機(jī)制限制了對手的攻擊窗口時，本文的第一部分表明，傳統(tǒng)的基于模型的故障檢測和隔離方案無法檢測到零動態(tài)攻擊，通過實時數(shù)據(jù)集攻擊檢測結(jié)果顯示，所提算法明顯具有更高的攻擊檢測質(zhì)量.在第二部分中，設(shè)計了一個彈性線性二次高斯控制器，能夠快速恢復(fù)閉環(huán)系統(tǒng)行為，可利用廣義似然比檢測器給出的信息在線更新卡爾曼濾波器，得到了彈性線性二次高斯控制器，通過算法資源利用效率實驗結(jié)果顯示所提算法具有更佳的計算效率和內(nèi)存利用效率，驗證了算法的有效性.