孫楊燕，周秀瑩，任 祝

(浙江理工大學(xué) 信息學(xué)院,浙江 杭州 310018)

隨著人類(lèi)社會(huì)網(wǎng)絡(luò)化、信息化、智能系統(tǒng)一體化逐步發(fā)展，信息系統(tǒng)與物理世界不斷交互。計(jì)算技術(shù)、通信技術(shù)、控制技術(shù)深度耦合的信息物理系統(tǒng)(Cyber-Physical Systems，CPS)被廣泛應(yīng)用于新型工業(yè)、智能制造、軍事等領(lǐng)域。由惡意攻擊引發(fā)的CPS感知物理層和信息傳輸層的破壞是CPS現(xiàn)在面臨的主要安全威脅來(lái)源。在系統(tǒng)受到欺騙攻擊(Spoofing Attack，SA)、拒絕服務(wù)攻擊(Denial of Service，DoS)、虛假數(shù)據(jù)注入攻擊(False Data Injection，F(xiàn)DI)時(shí)，避免狀態(tài)估計(jì)性能受到毀滅性破壞成為諸多學(xué)者的重點(diǎn)研究方向。因此，研究面向網(wǎng)絡(luò)攻擊的狀態(tài)估計(jì)問(wèn)題，設(shè)計(jì)有效的攻擊檢測(cè)方法，具有一定的現(xiàn)實(shí)意義。

目前主要的攻擊方式為DoS攻擊和FDI攻擊。其中，F(xiàn)DI攻擊是攻擊者修改不同網(wǎng)絡(luò)部分之間傳輸數(shù)據(jù)包的完整性以獲取對(duì)攻擊目標(biāo)的訪問(wèn)權(quán)或者獲取關(guān)鍵信息的攻擊手段[1-3]。作為一種特殊的FDI攻擊，偏差攻擊(Biasing Attack，BA)指攻擊者通過(guò)入侵信息網(wǎng)絡(luò)，篡改傳輸?shù)目刂浦噶詈?或者)測(cè)量傳輸。攻擊者小量連續(xù)地篡改多個(gè)數(shù)據(jù)，即在對(duì)每個(gè)時(shí)刻的數(shù)據(jù)添加一個(gè)非零常數(shù)恒定值。“恒定值”是BA 攻擊和FDI攻擊的主要區(qū)別。為了避免被檢測(cè)到，恒定值通常取值較小。需要注意的是，疊加的該恒定值通常是針對(duì)系統(tǒng)的穩(wěn)態(tài)情況設(shè)計(jì)的，其目的是擾亂系統(tǒng)工作且不被常規(guī)檢測(cè)手段發(fā)現(xiàn)。

近年來(lái)，可以騙過(guò)系統(tǒng)內(nèi)置攻擊檢測(cè)機(jī)制的攻擊策略層出不窮?？紤]到類(lèi)似網(wǎng)絡(luò)攻擊對(duì)CPS的影響，許多學(xué)者從不同角度進(jìn)行研究。文獻(xiàn)[4]考慮狀態(tài)估計(jì)器在虛假數(shù)據(jù)注入攻擊中的脆弱性，提出一種依賴(lài)于最小攻擊強(qiáng)度和檢測(cè)閾值之間平衡關(guān)系的在線異常檢測(cè)算法。文獻(xiàn)[5]定義了時(shí)間相關(guān)型檢測(cè)和空間相關(guān)型檢測(cè)的CPS綜合安全威脅模型，構(gòu)建了一種將攻擊可能發(fā)生的情況抽象為系統(tǒng)控制流程中對(duì)量測(cè)值與控制指令篡改策略求解問(wèn)題。文獻(xiàn)[6]在拒絕服務(wù)攻擊參數(shù)已知的情況下，提出了一種既能緩解通信帶寬壓力，又可同時(shí)消除拒絕服務(wù)攻擊影響的彈性事件觸發(fā)機(jī)制。文獻(xiàn)[7]提出了一種基于局部卡爾曼濾波并在局部中心之間交換必要信息的分布式狀態(tài)估計(jì)器，并提供了理論保證的假警報(bào)率檢測(cè)方案。文獻(xiàn)[8]針對(duì)無(wú)線傳感器網(wǎng)絡(luò)的分布式目標(biāo)估計(jì)問(wèn)題，提出了基于攻擊檢測(cè)策略的改進(jìn)分布式卡爾曼濾波算法。文獻(xiàn)[9]基于一種優(yōu)化的聚類(lèi)算法，提出一種實(shí)時(shí)檢測(cè)FDI攻擊的檢測(cè)方法，通過(guò)驗(yàn)證測(cè)量值與預(yù)測(cè)測(cè)量值的一致性來(lái)檢測(cè)FDI攻擊。文獻(xiàn)[10]從攻擊者的角度降低任意通信速率約束下的估計(jì)質(zhì)量，給出了攻擊方的最小均方誤差估計(jì)算法，并研究了攻擊閾值與調(diào)度閾值之間的封閉關(guān)系。文獻(xiàn)[11]中研究了FDI攻擊下的分布式濾波安全問(wèn)題，采用隨機(jī)規(guī)則對(duì)閾值檢測(cè)進(jìn)行變換來(lái)保證其高斯性。文獻(xiàn)[12]根據(jù)線性離散時(shí)不變系統(tǒng)前向通道和反饋通道的數(shù)據(jù)設(shè)計(jì)偏差攻擊，并設(shè)計(jì)檢測(cè)方法。但該研究沒(méi)有考慮網(wǎng)絡(luò)通信約束，例如網(wǎng)絡(luò)延遲、丟包，給出的攻擊序列對(duì)系統(tǒng)的模型要求較高。目前關(guān)于分布式信息物理系統(tǒng)的攻擊檢測(cè)和安全狀態(tài)估計(jì)的研究主要集中在單個(gè)線性系統(tǒng)上，對(duì)多智能體、不確定性以及測(cè)量噪聲的分布式大規(guī)模信息物理系統(tǒng)還沒(méi)有廣泛的延展性研究。

針對(duì)CPS的偏差攻擊檢測(cè)，文獻(xiàn)[13]提出一種將網(wǎng)絡(luò)電力系統(tǒng)負(fù)載頻率控制環(huán)上的偏差注入網(wǎng)絡(luò)攻擊的框架模型，將損壞的傳感器測(cè)量值傳輸?shù)揭粋€(gè)受影響控制區(qū)域的自動(dòng)生成控制單元。文獻(xiàn)[14～15]對(duì)BA攻擊附加彈性要求的分布式H∞估計(jì)問(wèn)題進(jìn)行了分析。研究者在分布式觀察者網(wǎng)絡(luò)中增加一個(gè)基于協(xié)同狀態(tài)估計(jì)算法的狀態(tài)觀測(cè)器攻擊檢測(cè)層，以檢測(cè)BA攻擊并修正其對(duì)網(wǎng)絡(luò)估計(jì)結(jié)果的影響。文獻(xiàn)[16]在攻擊對(duì)象未知的情況下，將殘差檢測(cè)與變化檢測(cè)相結(jié)合，將多個(gè)數(shù)據(jù)殘差值偏差的累積量作為判決攻擊發(fā)生的條件。但特征的選擇較為復(fù)雜，會(huì)影響攻擊檢測(cè)率。文獻(xiàn)[17]設(shè)計(jì)了一種基于融合間隔和歷史測(cè)量的傳感器攻擊檢測(cè)方法，利用傳感器之間的成對(duì)不一致關(guān)系檢測(cè)并識(shí)別攻擊。但由于根據(jù)歷史測(cè)量預(yù)測(cè)的當(dāng)前測(cè)量不夠準(zhǔn)確，導(dǎo)致誤報(bào)率增高。以上文獻(xiàn)通過(guò)抽象傳感器和系統(tǒng)建模，采用殘差值偏差累積及動(dòng)態(tài)遞推估計(jì)等方法從不同角度給出了不同的偏差攻擊檢測(cè)方法，執(zhí)行復(fù)雜度較高，檢測(cè)方案成本較高，可行性較低。

本文針對(duì)CPS中偏差攻擊檢測(cè)問(wèn)題，提出一種新型的混合時(shí)間型檢測(cè)模型。該模型以終端估計(jì)誤差協(xié)方差作為性能指標(biāo)[18]，采用最優(yōu)卡爾曼濾波狀態(tài)估計(jì)器和t檢測(cè)器相結(jié)合的檢測(cè)方案，檢驗(yàn)偏差攻擊識(shí)別閾值。

1 問(wèn)題描述

本文在CPS系統(tǒng)遭到偏差攻擊時(shí)，分析系統(tǒng)動(dòng)態(tài)目標(biāo)的狀態(tài)估計(jì)，以終端估計(jì)誤差協(xié)方差作為性能指標(biāo)，得到最優(yōu)攻擊檢測(cè)的結(jié)果。其攻擊策略為攻擊者隨機(jī)為被攻擊的傳感器節(jié)點(diǎn)添加一個(gè)偏差值。

現(xiàn)考慮CPS由一個(gè)離散線性時(shí)不變系統(tǒng)組成，其過(guò)程為

x(k+1)=Ax(k)+Bu(k)+w(k)

(1)

y(k)=(1-α(k))S(k)+α(k)S*(k)

(2)

式中，k∈{0,1,2,…,N}為時(shí)間指數(shù)；x(k)={x1(k),x2(k),x3(k),…,xn(k)}∈Rn，x(k)表示系統(tǒng)在k時(shí)刻的狀態(tài)向量；u(k)={u1(k),u2(k),u3(k),…,ul(k)}∈Rl，u(k)為控制信號(hào)；y(k)∈Rm代表系統(tǒng)輸出量測(cè)值；α(k)表示傳感器是否收到攻擊，并且服從獨(dú)立同分布。

Pr(α(k)=1)=Pα

(3)

(4)

S*(k)表示傳感器受到攻擊時(shí)的隨機(jī)偏差攻擊矢量，即傳感器節(jié)點(diǎn)提供錯(cuò)誤量測(cè)

S*(k)=S(k)+2d，0<|d|

(5)

其中，S*(k)是傳感器S在k時(shí)刻的測(cè)量值。

S(k)=Cx(k)+v

(6)

w(k)∈Rn，v∈Rm代表相互獨(dú)立的在k時(shí)刻的過(guò)程噪聲和量測(cè)噪聲。協(xié)方差分別為Q和Rv，均服從零均值多元高斯分布。A∈Rm×n及B∈Rn×l分別為系統(tǒng)狀態(tài)矩陣和控制矩陣，C∈Rm×n為量測(cè)矩陣。(A,C)是可觀的，(A,Q)是可控的。dmax表示在不受環(huán)境干擾下所有傳感器節(jié)點(diǎn)中最大的誤差精度。

2 攻擊識(shí)別檢測(cè)方案

本文研究的是偏差攻擊。偏差攻擊隸屬于虛假數(shù)據(jù)注入攻擊，系統(tǒng)受到攻擊后的主要表現(xiàn)形式為：傳感器節(jié)點(diǎn)被隨機(jī)注入了一個(gè)虛假的噪聲信息，并引入了一個(gè)傳感器誤差精度干擾的偏差信息?；诖祟?lèi)虛假數(shù)據(jù)注入的攻擊，為減少系統(tǒng)噪聲和測(cè)量噪聲對(duì)系統(tǒng)的干擾，從包含噪聲的量測(cè)中得到系統(tǒng)狀態(tài)的最優(yōu)估計(jì)量。本文采用基于卡爾曼濾波算法和估計(jì)誤差協(xié)方差最小跡原則的狀態(tài)估計(jì)器和t檢測(cè)器進(jìn)行攻擊檢測(cè)。

2.1 偏差攻擊下的狀態(tài)估計(jì)器

在攻擊狀態(tài)下，綜合式(1)和式(2)即可得到偏差攻擊時(shí)，基于改進(jìn)一致性卡爾曼濾波算法[6]的狀態(tài)估計(jì)器的去噪過(guò)程，在每個(gè)k時(shí)刻，傳感器節(jié)點(diǎn)首先基于過(guò)程量測(cè)值執(zhí)行本地估計(jì)，然后將更新值發(fā)送到遠(yuǎn)程估計(jì)器。

(7)

(8)

(9)

式中，Pk-1為上一時(shí)刻估計(jì)誤差的最小協(xié)方差。

在預(yù)測(cè)更新的基礎(chǔ)上，對(duì)卡爾曼濾波增益K(k)進(jìn)行調(diào)整

(10)

(11)

(12)

(13)

其中

(14)

式中，P1、P2、P3分別為相同、不同時(shí)刻狀態(tài)之間的協(xié)方差；P4、P5為同一時(shí)刻實(shí)際值與預(yù)測(cè)值之間的協(xié)方差。

2.2 偏差攻擊檢測(cè)判決規(guī)則

當(dāng)系統(tǒng)未遭到攻擊時(shí)，測(cè)量誤差呈正態(tài)分布?？紤]到偏差攻擊信號(hào)d和傳感器量測(cè)精度密切相關(guān)，在對(duì)系統(tǒng)進(jìn)行最優(yōu)狀態(tài)估計(jì)處理的基礎(chǔ)上，當(dāng)攻擊者少量多次進(jìn)行攻擊時(shí)，在隨機(jī)注入的偏差攻擊值遠(yuǎn)小于dmax的狀態(tài)下，可以達(dá)到攻擊隱蔽的效果，系統(tǒng)報(bào)警被限制在容忍范圍之內(nèi)。

對(duì)比下，t檢測(cè)器能夠?qū)y(cè)量殘差z(k)的微小變化進(jìn)行分析。對(duì)其具有t分布的統(tǒng)計(jì)估計(jì)值進(jìn)行假設(shè)檢驗(yàn)，得到偏差攻擊下的t檢測(cè)器接收殘差為

(15)

由式(15)進(jìn)一步計(jì)算得到攻擊狀態(tài)下量測(cè)殘差的協(xié)方差為

為了更好地檢驗(yàn)浙江省對(duì)外直接投資對(duì)出口貿(mào)易和進(jìn)口貿(mào)易的不同影響，本文建立如下出口效應(yīng)模型和進(jìn)口效應(yīng)模型:

(16)

令

(17)

式中，ρ*(k)表示非攻擊狀態(tài)下測(cè)量殘差z*(k)的協(xié)方差[19]。

在測(cè)量殘差z(k)方差不變的前提下[20-21]，定義系統(tǒng)的攻擊判斷規(guī)則為

(18)

式中，J為傳感器的檢測(cè)窗口大?。沪虨樗衵i(k)的零假設(shè)均值。由假設(shè)檢驗(yàn)與置信區(qū)間的估計(jì)的等價(jià)性可知，攻擊檢測(cè)閾值δ滿與觀測(cè)值rk滿足

Pr(rk<δ)<0.95

(19)

即遵循假設(shè)檢驗(yàn)

(20)

當(dāng)系統(tǒng)正在遭受攻擊并被成功檢測(cè)出異常，檢測(cè)器將會(huì)判決系統(tǒng)狀態(tài)為H1，并觸發(fā)警報(bào)信號(hào)，即發(fā)生報(bào)警。

2.3 仿真驗(yàn)證

為了驗(yàn)證本文所提出的偏差攻擊下攻擊識(shí)別檢測(cè)方案的有效性，根據(jù)離散系統(tǒng)狀態(tài)方程，即式(1)和式(2)構(gòu)建仿真模型，將變加速曲線運(yùn)動(dòng)的目標(biāo)作為觀測(cè)對(duì)象。本文采用MATLAB對(duì)穩(wěn)定系統(tǒng)進(jìn)行偏差攻擊檢測(cè)的仿真實(shí)驗(yàn)，并給出與其他檢測(cè)方法檢測(cè)性能的對(duì)比分析。當(dāng)前系統(tǒng)狀態(tài)矩陣、量測(cè)矩陣和噪聲協(xié)方差為

圖1 目標(biāo)運(yùn)動(dòng)軌跡Figure 1.Movement trace of target

由圖1可以看出，圖中真實(shí)狀態(tài)和預(yù)測(cè)狀態(tài)值近似重合，該機(jī)制能在系統(tǒng)正常運(yùn)行時(shí)進(jìn)行可靠的狀態(tài)估計(jì)。

本文假設(shè)在固定窗口中，攻擊者對(duì)傳感器進(jìn)行偏差攻擊?，F(xiàn)從k=1至k=60時(shí)刻，對(duì)系統(tǒng)持續(xù)注入微小偏差攻擊量，即取d=0.12，得到系統(tǒng)在未受攻擊和受攻擊情況下的正態(tài)概率圖，如圖2和圖3所示。

圖2 正常狀態(tài)下量測(cè)殘差的正態(tài)概率分布Figure 2.Normal probability distribution of residuals measured under normal conditions

圖3 受攻擊狀態(tài)下量測(cè)殘差的正態(tài)概率分布Figure 3.Normal probability distribution of residuals measured under attack state

由圖2和圖3可以看出，該偏差攻擊具有較強(qiáng)的隱蔽性，僅通過(guò)量測(cè)殘差無(wú)法觀測(cè)到系統(tǒng)是否受到攻擊。取J=20，在連續(xù)時(shí)間內(nèi)對(duì)量測(cè)殘差z(k)的變化進(jìn)行多次統(tǒng)計(jì)，如圖4所示。

圖4 量測(cè)殘差變化Figure 4.Changes in measured residuals

通過(guò)查詢(xún)t分布的累積分布函數(shù)查詢(xún)表可知，當(dāng)J=20時(shí)，δ=1.729。由此，經(jīng)多次計(jì)算，分別得到k=1至k=20，k=10至k=30，k=20至k=40時(shí)刻的z(k)的觀測(cè)值rk始終滿足minrk>δ。由攻擊判斷規(guī)則式(20)可知，系統(tǒng)狀態(tài)為H1，即μ≠ 0，系統(tǒng)受到偏差攻擊后能及時(shí)準(zhǔn)確地檢測(cè)異常。

為了進(jìn)一步評(píng)估本文提出的基于最小跡原則的卡爾曼濾波狀態(tài)估計(jì)算法和t檢測(cè)器相結(jié)合的檢測(cè)方案，本文分別收集了20次被攻擊的傳感器數(shù)據(jù)，并分析卡方檢測(cè)、Z檢測(cè)和t檢測(cè)各自的平均檢測(cè)率，如表1所示。

其中，表1給出了不同窗口和同一偏差攻擊場(chǎng)景3種攻擊檢測(cè)的檢測(cè)率。傳感器以10 Hz分別平均采樣1～5 s，因此傳感器分別有10～40個(gè)測(cè)量值。其中，卡方檢測(cè)是一種基于卡爾曼濾波器的傳感器攻擊檢測(cè)方法。從表中可以看出，對(duì)于隱蔽型偏差攻擊，t檢測(cè)方法在小窗口中都比Z檢測(cè)和卡方檢測(cè)更加魯棒，并且隨著窗口大小的增加，直至30時(shí)，t檢測(cè)方法逐漸達(dá)到穩(wěn)態(tài)檢測(cè)率。此時(shí)t檢測(cè)與Z檢測(cè)性能相近，t檢測(cè)器的平均檢測(cè)率比卡方檢測(cè)器大約高 12%，比Z方法高約 2%。當(dāng)J>30時(shí)，在大窗口中Z檢測(cè)的檢測(cè)性能較優(yōu)于t檢測(cè)方法。對(duì)于檢測(cè)偏差攻擊來(lái)說(shuō)，t檢測(cè)方法的優(yōu)勢(shì)是能在最短時(shí)間內(nèi)更快、更精確地檢測(cè)到攻擊。

表1 偏差攻擊量d不變時(shí)檢測(cè)率Table 1. Detection rates when biasing attack value d is constant /%

表2給出了在同一窗口和不同偏差攻擊場(chǎng)景下3種攻擊檢測(cè)的檢測(cè)率，取J=20。從表中可以看出，隨著偏差攻擊量d的增加，t檢測(cè)方法都比Z檢測(cè)和卡方檢測(cè)更加魯棒，并且當(dāng)d>1后，t檢測(cè)方法逐漸達(dá)到穩(wěn)態(tài)檢測(cè)率，檢測(cè)率高達(dá)99.86%。此時(shí)t檢測(cè)與Z檢測(cè)性能相近，t檢測(cè)器的平均檢測(cè)率比卡方檢測(cè)器大約高 10%，比Z方法高約 3%。

表2 窗口大小J不變時(shí)檢測(cè)率Table 2. Detection rates when window size J is constant /%

表3總結(jié)了在窗口大小中取d=0.12時(shí)3種方法的檢測(cè)速度。該實(shí)驗(yàn)結(jié)果表明，t檢測(cè)方法對(duì)隱蔽型偏差攻擊具有最高的靈敏度。

表3 檢測(cè)速度Table 3. Detection speed /s

3 結(jié)束語(yǔ)

本文研究了信息物理系統(tǒng)中狀態(tài)估計(jì)安全問(wèn)題。首先在引入離散線性時(shí)不變系統(tǒng)的基礎(chǔ)上，構(gòu)建了一種混合時(shí)間空間型攻擊檢測(cè)模型，并針對(duì)偏差攻擊檢測(cè)提出了基于卡爾曼濾波算法和最小跡原則的最優(yōu)狀態(tài)估計(jì)。此外，本文對(duì)多個(gè)時(shí)刻的殘差變化進(jìn)行分析，在t檢測(cè)結(jié)果的基礎(chǔ)上給出了攻擊檢測(cè)判決規(guī)則。MATLAB仿真實(shí)驗(yàn)結(jié)果驗(yàn)證了該檢測(cè)判決規(guī)則的有效性。

需要注意的是，當(dāng)被攻擊的傳感器添加的偏差值很小時(shí)，系統(tǒng)將很難成功地進(jìn)行攻擊識(shí)別檢測(cè)。假設(shè)傳感器節(jié)點(diǎn)的量測(cè)模型可觀可控，對(duì)于多傳感器而言，部分節(jié)點(diǎn)可能無(wú)法獲得目標(biāo)的真實(shí)量測(cè)數(shù)據(jù)，今后還有待對(duì)多節(jié)點(diǎn)信息進(jìn)行數(shù)據(jù)融合，提高攻擊檢測(cè)的準(zhǔn)確性和魯棒性。