王彩云， 李芳菲

（華東理工大學(xué)數(shù)學(xué)學(xué)院，上海 200237）

當(dāng)代網(wǎng)絡(luò)信息技術(shù)高速發(fā)展，人類已經(jīng)從互聯(lián)網(wǎng)時(shí)代進(jìn)入了大數(shù)據(jù)時(shí)代，物聯(lián)網(wǎng)進(jìn)入人們生產(chǎn)、生活的各個(gè)角落，信息物理系統(tǒng) (Cyber-Physical Systems, CPS) 得到了空前快速的發(fā)展。CPS 是一個(gè)綜合了計(jì)算、網(wǎng)絡(luò)和物理環(huán)境的復(fù)雜系統(tǒng)，它通過3C (Computation、Communication、Control) 技術(shù)的有機(jī)融合與深度協(xié)作，實(shí)現(xiàn)大型工程系統(tǒng)的實(shí)時(shí)感知、動(dòng)態(tài)控制和信息服務(wù)，將感測(cè)、通信、控制、計(jì)算和物理過程平穩(wěn)集成的系統(tǒng)[1]。CPS 主要用于一些智能系統(tǒng)上，如智能高速公路、智能家居、機(jī)器人、智能導(dǎo)航、無人駕駛等，凡是可以實(shí)現(xiàn)自動(dòng)控制的地方，未來都將會(huì)是CPS 的應(yīng)用場(chǎng)景。但是，由于CPS的各個(gè)部分之間進(jìn)行無線通信時(shí)存在著開放特性，自然會(huì)出現(xiàn)各種各樣的網(wǎng)絡(luò)安全問題，從而使來自無線傳感器的數(shù)據(jù)容易受到網(wǎng)絡(luò)攻擊的威脅。然而，隨著CPS 與基礎(chǔ)物理架構(gòu)的連接日益緊密，擁有CPS 的服務(wù)系統(tǒng)也越來越普遍，不僅是日常生活中的各種服務(wù)設(shè)備，更重要的是，各種關(guān)系到國家安全和穩(wěn)定的大型CPS 系統(tǒng)的安全都面臨著嚴(yán)峻的挑戰(zhàn)。例如智能電網(wǎng)的任何致命損壞都可能對(duì)國家安全和人身安全造成重大影響。因此，安全對(duì)于確保CPS 的平穩(wěn)運(yùn)行至關(guān)重要[2]。

為了保證CPS 系統(tǒng)的正常運(yùn)行，近幾年來，CPS的攻擊和防御問題受到了廣泛的關(guān)注。對(duì)CPS 攻擊的類型有很多，主要包括拒絕服務(wù)(DoS)攻擊和欺詐攻擊。DoS 攻擊通過影響數(shù)據(jù)通信等方式，使網(wǎng)絡(luò)無法正常工作，最終導(dǎo)致CPS 不能提供正常的服務(wù)。文獻(xiàn)[3] 研究了帶有路由器的遠(yuǎn)程狀態(tài)估計(jì)的DoS攻擊對(duì)兩跳網(wǎng)路性能的影響。欺詐攻擊則主要是攻擊者通過設(shè)計(jì)攻擊策略避過檢測(cè)器的檢測(cè)從而達(dá)到攻擊目的，使得系統(tǒng)的性能降低。針對(duì)欺詐攻擊，文獻(xiàn)[4-5]從攻擊者的角度分別討論了在 χ2檢測(cè)器和KL 散度檢測(cè)器下的最優(yōu)攻擊策略, 并分別探討了兩種攻擊策略對(duì)系統(tǒng)性能造成的影響。文獻(xiàn)[6]進(jìn)一步討論了 χ2檢測(cè)器下三種情況的最優(yōu)攻擊以及對(duì)系統(tǒng)性能的影響。文獻(xiàn)[7]分析了錯(cuò)誤數(shù)據(jù)攻擊在電力系統(tǒng)中對(duì)遠(yuǎn)程狀態(tài)估計(jì)的影響。文獻(xiàn)[8]引入了ε隱秘性的概念來描述性能下降的基本限制之間的權(quán)衡，量化攻擊者可能導(dǎo)致的最大估計(jì)誤差，并分析了最佳攻擊策略。針對(duì)不同的攻擊，學(xué)者們也研究了不同的防御機(jī)制。文獻(xiàn)[9]提出了一種抗CPS 控制層欺騙攻擊的算法，對(duì)多種類型的欺騙攻擊都有較好的檢測(cè)性能。文獻(xiàn)[10]研究了基于網(wǎng)絡(luò)連接統(tǒng)計(jì)的分布式拒絕服務(wù)攻擊檢測(cè)。文獻(xiàn)[11]針對(duì)DoS 攻擊提供了一個(gè)防御機(jī)制，能夠提高檢測(cè)器的檢測(cè)率，但是會(huì)降低系統(tǒng)的性能。文獻(xiàn)[12-13]提出了不同的水印防御策略來防御欺詐攻擊。文獻(xiàn)[2]在KL 散度下證明了控制性能下降和攻擊隱身性之間的權(quán)衡。在多傳感器遠(yuǎn)程狀態(tài)估計(jì)下，文獻(xiàn)[2,13-14]提出了防止線性欺騙攻擊的檢測(cè)。

從攻擊者的角度去了解CPS 系統(tǒng)的防御漏洞十分重要，對(duì)攻擊策略了解得越深，越能更好地研究對(duì)應(yīng)的防御機(jī)制。但是，目前的研究結(jié)果中還有很多不完善的地方。例如，文獻(xiàn)[6]僅僅討論了在KL 散度檢測(cè)器下攻擊者可以完全獲得傳輸數(shù)據(jù)的信息這一種情況的最優(yōu)攻擊策略，而諸如攻擊者無法獲得傳輸數(shù)據(jù)等情況的攻擊問題則沒有討論。所以，目前對(duì)攻擊策略的研究還不是很全面，在未來仍然需要更多的相關(guān)研究[15]。

本文在KL 散度檢測(cè)器下針對(duì)攻擊者對(duì)系統(tǒng)知識(shí)了解程度的不同，分兩種情況討論了攻擊對(duì)估計(jì)性能的影響以及攻擊者可能發(fā)動(dòng)的最優(yōu)線性欺詐攻擊策略。此外，還獲得了標(biāo)量系統(tǒng)下的攻擊策略的閉式表達(dá)式。

1 問題設(shè)置

1.1 系統(tǒng)模型

系統(tǒng)的測(cè)量數(shù)據(jù)通過無線網(wǎng)絡(luò)傳輸?shù)竭h(yuǎn)程估計(jì)器，本文在遠(yuǎn)程估計(jì)器配備卡爾曼濾波器用于估計(jì)系統(tǒng)的狀態(tài)[4]：

1.2 KL 散度檢測(cè)器

在遠(yuǎn)程端本文配備KL 散度檢測(cè)器來檢測(cè)系統(tǒng)是否遭受攻擊。

1.3 攻擊模型

在線性系統(tǒng)中，大部分的研究主要考慮的是線性欺詐攻擊。由于攻擊者對(duì)系統(tǒng)的了解程度不同，攻擊者可能采取不同的攻擊手段。文獻(xiàn)[6]中僅僅考慮了一種情況，即攻擊者可以完全獲得測(cè)量數(shù)據(jù)等信息。但是，由于攻擊者可能無法獲取到全部想要的信息，所以本文研究了如下兩種情況：第一種是攻擊者沒有能力直接獲取系統(tǒng)傳感器的傳輸數(shù)據(jù)，但是能夠使用額外的傳感器來測(cè)量系統(tǒng)狀態(tài)；第二種是攻擊者可以獲取系統(tǒng)測(cè)量數(shù)據(jù)，同時(shí)還可以使用額外的傳感器來計(jì)算出一個(gè)新的測(cè)量值。不論哪種情況，攻擊者在得到數(shù)據(jù)后，可以用其濾波器計(jì)算出新息并進(jìn)行篡改，然后重新計(jì)算得到一個(gè)測(cè)量數(shù)據(jù)并通過無線網(wǎng)絡(luò)傳到遠(yuǎn)程估計(jì)器。所以，攻擊者篡改新息也就是篡改系統(tǒng)的測(cè)量值。假設(shè)攻擊者發(fā)動(dòng)了線性欺詐攻擊：

2 兩種攻擊下的估計(jì)誤差協(xié)方差

2.1 第一種情況的估計(jì)誤差協(xié)方差

2.2 第二種情況的估計(jì)誤差協(xié)方差

3 討論基于兩種情況下的最優(yōu)攻擊策略

3.1 第一種情況的最優(yōu)攻擊策略

本文把攻擊者的最優(yōu)攻擊轉(zhuǎn)化為凸優(yōu)化問題P1，可以通過MATLAB 中的CVX 工具箱求數(shù)值解。

3.2 第二種情況的最優(yōu)攻擊策略

證明：證明過程類似于定理1。

4 標(biāo)量系統(tǒng)下最優(yōu)線性欺詐攻擊的閉式表達(dá)式

當(dāng)系統(tǒng)處于一維的情況下，我們可以通過計(jì)算得出最優(yōu)攻擊的閉式表達(dá)式，并且得到這種攻擊下的估計(jì)誤差協(xié)方差。

4.1 一維系統(tǒng)中第一種情況下最優(yōu)攻擊的閉式表達(dá)式

4.2 一維系統(tǒng)中第二種情況下最優(yōu)攻擊的閉式表達(dá)式

5 數(shù)值模擬

為了驗(yàn)證上面的理論，本節(jié)給出了一些仿真結(jié)果。本文假設(shè)系統(tǒng)是一維的情況，取系統(tǒng)參數(shù)A=0.8，C=1，Q=1，R=1。本文分別分析了同一閾值下兩種情況相應(yīng)的最優(yōu)攻擊和隨機(jī)攻擊的誤差協(xié)方差，如圖2 和圖3 所示，得出最優(yōu)攻擊對(duì)系統(tǒng)性能的影響是最大的。

圖1 具有攻擊下的系統(tǒng)框架圖Fig. 1 System framework diagram under attack

圖2 第一種情況下當(dāng)閾值 δ=0.5 時(shí)不同攻擊對(duì)遠(yuǎn)程估計(jì)誤差協(xié)方差的影響Fig. 2 Influence of different attacks on the remote estimation error covariance at δ =0.5 in the first case

圖3 第二種情況下當(dāng)閾值 δ=0.5 時(shí)不同攻擊對(duì)遠(yuǎn)程估計(jì)誤差協(xié)方差的影響Fig. 3 Influence of different attacks on the remote estimation error covariance at δ =0.5 in the second case

圖4 所示是兩種情況下最優(yōu)攻擊的估計(jì)誤差協(xié)方差比較。圖4 結(jié)果表明，攻擊者對(duì)系統(tǒng)了解得越多，對(duì)系統(tǒng)性能的影響就越大。同時(shí)分析了在KL 散度檢測(cè)器分別取不同閾值時(shí)相應(yīng)的最優(yōu)攻擊造成估計(jì)誤差協(xié)方差的不同，得出估計(jì)誤差協(xié)方差的大小與閾值的取值有關(guān)（圖5）。

圖4 兩種情況下最優(yōu)攻擊的估計(jì)誤差協(xié)方差比較（δ=0.5）Fig. 4 Comparison of estimation error covariance of optimal attack in two cases（ δ =0.5 ）

圖5 在最優(yōu)攻擊下閾值 δ 的不同對(duì)遠(yuǎn)程估計(jì)誤差協(xié)方差的影響Fig. 5 Influence of different threshold δ on the covariance of remote estimation error under optimal attack

圖6 和圖7 所示分別為第一種情況和第二種情況下系統(tǒng)有無擾動(dòng)對(duì)不同檢測(cè)器檢測(cè)率的影響。由圖6 和圖7 結(jié)果可知，本文考慮了當(dāng)系統(tǒng)中出現(xiàn)高斯擾動(dòng)fk時(shí)，系統(tǒng)狀態(tài)變?yōu)閤k+1=Axk+ ωk+fk，攻擊者仍然注入隱身攻擊，那么在 χ2檢測(cè)器下報(bào)警率會(huì)提高，而KL 散度檢測(cè)器的報(bào)警率則不變，所以對(duì)于攻擊者而言，KL 散度檢測(cè)器更容易滿足隱身攻擊。

圖6 第一種情況下系統(tǒng)有無擾動(dòng)對(duì)不同檢測(cè)器的檢測(cè)率的影響Fig. 6 In the first case, the impact of system disturbance on the detection rate of different detectors

圖7 第二種情況下系統(tǒng)有無擾動(dòng)對(duì)不同檢測(cè)器的檢測(cè)率的影響Fig. 7 In the second case, the impact of system disturbance on the detection rate of different detectors

本文分別對(duì)KL 散度檢測(cè)器閾值為0 時(shí)與文獻(xiàn)[5]中 χ2檢測(cè)器下的最優(yōu)攻擊進(jìn)行對(duì)比，如圖8 和圖9 所示。結(jié)果表明，當(dāng)KL 散度檢測(cè)器閾值取特殊值0 時(shí)的最優(yōu)攻擊即為 χ2檢測(cè)器下的最優(yōu)攻擊。通過圖10、圖11，我們分析了相應(yīng)的估計(jì)誤差協(xié)方差，更加形象地說明了我們的研究內(nèi)容為文獻(xiàn)[5]的推廣。

圖8 第一種情況下 δ =0 時(shí)的最優(yōu)攻擊與文獻(xiàn)[5] 中的最優(yōu)攻擊相同F(xiàn)ig. 8 Optimal attack is the same as the optimal attack in Reference[5] at δ =0 in the first case

圖9 第二種情況下 δ =0 時(shí)的最優(yōu)攻擊與文獻(xiàn)[5] 中的最優(yōu)攻擊相同F(xiàn)ig. 9 Optimal attack is the same as the optimal attack in Reference[5] at δ =0 in the second case

圖10 第一種情況下 δ=0 時(shí)的最優(yōu)攻擊的估計(jì)性能與文獻(xiàn)[5]中的相同F(xiàn)ig. 10 Estimation performance of the optimal attack is the same as in Reference[5] at δ= 0 in the first case

圖11 第二種情況下KL 檢測(cè)器閾值 δ =0 時(shí)的最優(yōu)攻擊的估計(jì)性能與文獻(xiàn)[5]中的相同F(xiàn)ig. 11 Estimation performance of the optimal attack when the KL detector threshold δ=0 is the same as in Reference[5] in the second case

6 結(jié) 論

與文獻(xiàn)[5]比較，本文是在KL 散度檢測(cè)器下進(jìn)行討論，是文獻(xiàn)[5]中使用 χ2檢測(cè)器的推廣；與文獻(xiàn)[16]比較，文獻(xiàn)[16]是設(shè)置隨機(jī)閾值的KL 散度檢測(cè)器，討論的是某一種情況下的最優(yōu)隱身攻擊，與本文討論的攻擊類型不一樣，同時(shí)本文還分析了不同情況下的最優(yōu)攻擊。

本文討論了一類信息物理系統(tǒng)的最優(yōu)線性欺詐攻擊問題。針對(duì)攻擊者對(duì)系統(tǒng)的掌握程度不同，分兩種情況討論了最優(yōu)線性欺詐攻擊策略，將攻擊策略轉(zhuǎn)化為凸優(yōu)化問題，并討論了攻擊對(duì)系統(tǒng)估計(jì)性能造成的影響。此外，還得出了一維情況下最優(yōu)線性欺詐攻擊策略的閉式表達(dá)式。最后，通過數(shù)值仿真驗(yàn)證了所得結(jié)論的有效性，并且通過數(shù)值仿真可以看出攻擊者對(duì)系統(tǒng)了解得越多，攻擊對(duì)系統(tǒng)性能的影響就越大。