閆 安，宋運(yùn)忠

(河南理工大學(xué)電氣工程與自動(dòng)化學(xué)院，河南 焦作 454000)

0 引言

近年來(lái)，隨著反饋控制系統(tǒng)的網(wǎng)絡(luò)組件的增加，使得系統(tǒng)越來(lái)越容易受到攻擊。關(guān)于系統(tǒng)安全性的研究愈發(fā)得到重視。所以，在系統(tǒng)中嵌入防御機(jī)制，能夠減少攻擊對(duì)系統(tǒng)的影響，對(duì)確?？刂葡到y(tǒng)的穩(wěn)定性、安全性具有重要的意義[1-2]。經(jīng)典的閉環(huán)控制系統(tǒng)結(jié)構(gòu)如圖1所示，包括傳感器，監(jiān)督器,執(zhí)行器和被控對(duì)象4部分。我們采用離散事件系統(tǒng)理論來(lái)對(duì)該系統(tǒng)進(jìn)行建模。假設(shè)執(zhí)行器和傳感器的通訊線路可以被攻擊者注入錯(cuò)誤信號(hào),就可能引發(fā)安全事故。本文主要考慮啟動(dòng)執(zhí)行器的攻擊(即，AE攻擊)情況。在某些情況下，一部分事件是比較脆弱的，因而能被攻擊者更改，從而損害系統(tǒng)的安全性。而通常，該攻擊是不能被直接觀察到的。

圖1 閉環(huán)控制系統(tǒng)的結(jié)構(gòu)Fig.1 Closed-loop control system architecture

本文的工作是對(duì)網(wǎng)絡(luò)系統(tǒng)中的異常/入侵檢測(cè)工作的補(bǔ)充[3-5]。不關(guān)注攻擊者是如何滲透的，只關(guān)注檢測(cè)攻擊及其對(duì)控制系統(tǒng)的影響。

在文獻(xiàn)[6]中，作者研究了離散事件的監(jiān)控系統(tǒng)的入侵檢測(cè)和預(yù)防，并設(shè)計(jì)了在正常運(yùn)行和攻擊后都達(dá)到規(guī)范的監(jiān)控器。其重點(diǎn)是尋找語(yǔ)言條件，在這種語(yǔ)言條件下，監(jiān)督器可以在達(dá)到給定規(guī)范的同時(shí)防止出現(xiàn)攻擊時(shí)的不安全行為，被稱為禁用語(yǔ)言，它與本文提到的安全可控性條件有幾個(gè)相似之處。入侵檢測(cè)和預(yù)防的問(wèn)題與容錯(cuò)監(jiān)控問(wèn)題有關(guān)，容錯(cuò)監(jiān)控問(wèn)題在文獻(xiàn)[7-10]中研究得很好，其中魯棒監(jiān)控器被設(shè)計(jì)為即使在系統(tǒng)出現(xiàn)故障時(shí)也能保持規(guī)范。

本文的主要工作如下:首先，本文基于文獻(xiàn)[11]給出了AE攻擊下監(jiān)控系統(tǒng)的數(shù)學(xué)模型和在線檢測(cè)攻擊的防御策略。之后，引入AE安全可控性的定義，并給出了診斷器算法，以驗(yàn)證系統(tǒng)的AE安全可控性。最后，基于AE安全可控性，提出了修復(fù)系統(tǒng)的算法。

1 離散事件系統(tǒng)

通常將一個(gè)被控對(duì)象模型設(shè)為一個(gè)確定有限狀態(tài)自動(dòng)機(jī)，建模為五元組G=(X,E,f,x0,Xm)。其中，X是有限狀態(tài)集，E為事件集，f:X×E*→X表示轉(zhuǎn)移函數(shù)，x0為初始狀態(tài)，Xm為標(biāo)記狀態(tài)集。G生成的語(yǔ)言記為L(zhǎng)(G)={s∈E*:f(x0,s) is defined}，其產(chǎn)生的標(biāo)記語(yǔ)言為L(zhǎng)m(G)={s∈E*:f(x0,s)∈Xm}。當(dāng)給定事件集E′?E,狀態(tài)集x∈X時(shí)，那么關(guān)于E′?E和x∈X的可到達(dá)的狀態(tài)的集合定義為Reach(G,x,E′)={x′∈X:(?s∈E′*)[f(x,s)=x′]}。在狀態(tài)x處的G的活躍事件集定義為ΓG(x)。

1)Po(ε)=ε

2)Po(σ)=σσ∈Eo

3)Po(σ)=εσ∈Euo

4)Po(sσ)=Po(s)Po(σ)s∈E*，σ∈E

所有的映射和逆映射運(yùn)算都可以擴(kuò)展到整個(gè)語(yǔ)言上。當(dāng)s′為s的嚴(yán)格前綴時(shí)，記作s′

圖2 處于攻擊下的閉環(huán)控制系統(tǒng)結(jié)構(gòu)Fig.2 The control system architecture under attack

2 受到AE攻擊的系統(tǒng)建模

2.1 攻擊建模

處于攻擊下的模型如圖2所示。被控對(duì)象為G，由部分可觀的監(jiān)督器Sp控制。設(shè)E為G的事件集，執(zhí)行器可控事件集為Ec?E，而傳感器由可觀事件集為Eo?E。監(jiān)督器通過(guò)從集合E到集合Eo的映射來(lái)觀測(cè)被控對(duì)象的可觀事件的發(fā)生。模塊A表示攻擊者，它可以訪問(wèn)Ec的子集，用Ec,v?Ec表示脆弱的執(zhí)行器事件集合。該集合是基于系統(tǒng)設(shè)計(jì)預(yù)定義的。GD模塊是檢測(cè)攻擊的模塊，即入侵檢測(cè)模塊。

2.2 AE攻擊下的閉環(huán)系統(tǒng)

首先，構(gòu)筑一個(gè)受到AE攻擊的閉環(huán)模型，并采用兩種算子對(duì)攻擊行為進(jìn)行建模：膨脹[14]和壓縮運(yùn)算[15]。

其具體的性質(zhì)為

1)D(ε)={ε}

2)D(σ)={σ}σ∈EEc,v

3)D(σ)={σ,σa}σ∈Ec,v

4)D(sσ)=D(s)D(σ)s∈E*,σ∈E

具體性質(zhì)為

1)C(ε)=ε

2)C(σ)=σσ∈E

上述的膨脹和壓縮操作都可以應(yīng)用到整個(gè)語(yǔ)言，即

D(L)=∪s∈LD(s),C(La)=∪sa∈LaC(sa)

在算法1[11]中描述了受到AE攻擊的閉環(huán)系統(tǒng)。其中H為監(jiān)督器Sp的有限狀態(tài)機(jī)實(shí)現(xiàn)。

算法1AE攻擊的模型算法

輸入：G=(X,E,f,x0)和H=(XH,E,fH,x0,H)：被控對(duì)象和監(jiān)督器各自的標(biāo)準(zhǔn)實(shí)現(xiàn)Eo，Ec和Ec,v：可觀，可控和易受攻擊的事件集合

輸出：處于AE攻擊下的閉環(huán)系統(tǒng)GM=(XM,Ea,fM,x0,M)

1)構(gòu)造Ga=(X,Ea,fa,x0)其中fa(x,σa):=f(x,C(σa)),f(x,C(σa))!

2)構(gòu)造Ha=(XH,Ea,fHa,x0)其中

3)計(jì)算GM=Ha||Ga

其中，“！”表示已定義，“∨”表示未定義。

2.3 例1

一個(gè)被控對(duì)象如圖3a所示，其中Ec=Ec,v=，狀態(tài)D為不安全的狀態(tài)。監(jiān)督器的實(shí)現(xiàn)如圖3b所示，此處，監(jiān)督器只能在狀態(tài)B處中止事件b，防止被控對(duì)象到達(dá)不安全的狀態(tài)D。通過(guò)算法1構(gòu)建了系統(tǒng)受到AE攻擊之后的模型，ba表示攻擊事件。圖3c為受到攻擊后的被控對(duì)象模型，圖3d為受到攻擊的監(jiān)督器模型。受到攻擊后的系統(tǒng)GM如圖3e所示。系統(tǒng)最終通過(guò)不可控事件c到達(dá)了不安全狀態(tài)D。

圖3 例1Fig.3 Example 1

3 AE攻擊的檢測(cè)與系統(tǒng)修復(fù)

3.1 檢測(cè)和防御策略

在例1中，AE攻擊時(shí)，被控對(duì)象可能會(huì)偏離監(jiān)督器執(zhí)行的規(guī)范并達(dá)到不安全的狀態(tài)。對(duì)此，可以設(shè)計(jì)一個(gè)攻擊檢測(cè)模塊在攻擊行為后將系統(tǒng)切換到“安全模式”。在某些情況下，由于系統(tǒng)本身設(shè)計(jì)的缺陷，該策略可能無(wú)法保證系統(tǒng)的安全性。本文將所有不安全狀態(tài)的集合視為一個(gè)狀態(tài)。這與Sp所實(shí)現(xiàn)的原始規(guī)范K完全不同。雖然假定所有Sp/G達(dá)到的所有狀態(tài)都是安全的，但這并不是說(shuō)Sp/G不能達(dá)到的狀態(tài)是不安全的。用Xf表示不安全的狀態(tài)。Xf是X的子集，它捕獲的是對(duì)被控對(duì)象造成物理傷害的狀態(tài)。

該算法基于文獻(xiàn)[16]的“安全可控性”和“禁止語(yǔ)言”。通過(guò)利用上一節(jié)的模型GM，將攻擊檢測(cè)問(wèn)題描述為故障診斷問(wèn)題，其中故障事件是攻擊者對(duì)脆弱事件的攻擊。本文設(shè)計(jì)了一個(gè)入侵檢測(cè)模塊以監(jiān)視被控對(duì)象的輸出，并在攻擊被檢測(cè)到的時(shí)候通知監(jiān)督器，終止所有行為。

3.2 AE安全可控性

定義1AE安全可控性

圖4 AE安全可控性定義Fig.4 The definition of AE safety controllability

GM的構(gòu)造程序和AE安全可控性的定義中的條件可以得到推論1。

3.3 AE安全可控性的診斷

為了測(cè)試一個(gè)系統(tǒng)是否是AE安全可控的，本文提供了一個(gè)依賴于診斷器[17-18]自動(dòng)機(jī)的算法程序。

該診斷器驗(yàn)證的問(wèn)題是是否能在被控對(duì)象達(dá)到不安全狀態(tài)之前檢測(cè)到攻擊和監(jiān)督器能否禁用事件以阻止被控對(duì)象達(dá)到Xf。AE安全可控性是基于文獻(xiàn)[16]提出的，所以此處要引入診斷器中首次進(jìn)入某些確定狀態(tài)集的定義。

定義2首次進(jìn)入的確定狀態(tài)的集合

設(shè)Gd=(Qd,Eo,fd,q0,d)為由給定的被控對(duì)象和相應(yīng)的標(biāo)簽自動(dòng)機(jī)構(gòu)造的診斷器。

定義：QYN={q∈Qd:qis uncertain}，QN={q∈Qd:qis normal}，QY={q∈Qd:qis certain}。

則首次進(jìn)入確定狀態(tài)的集合是：

FC={q∈QY:(?q′∈QYN,?σ∈Eo)[fd(q′,σ)=q]}。

由此可以引出算法2，基于診斷器的算法，用于測(cè)試AE安全可控性。

算法2檢測(cè)AE安全可控性的診斷器算法

輸出： AE安全可控性∈{true,false}。

1)構(gòu)造Gl=GM||Al，其中Al如圖5所示;

2)計(jì)算診斷器Gd=Obs(Gl,Ea,uo),其中Ea,uo=Euo∪D(Ec,v∩Euo);

4)AE安全可控性=false;

5)else根據(jù)定義5計(jì)算FC;

7) AE安全可控性=false;

8)else;

11) AE安全可控性=false;

12)elseAE安全可控性=true。

注意，診斷器總是會(huì)檢測(cè)到σ∈Ec,v∩Eo中對(duì)脆弱事件的攻擊，因?yàn)閷?duì)應(yīng)的σa是可觀的。然而，在這種情況下，被控對(duì)象仍然可能通過(guò)不可控和受攻擊的執(zhí)行器事件達(dá)到不安全狀態(tài)，違反AE安全可控性。因此，定義1中的條件仍然需要測(cè)試，如算法2所述。

3.4 例2

例1中，在圖3e中展示AE攻擊下的閉環(huán)系統(tǒng)。此處按照算法2來(lái)測(cè)試系統(tǒng)是否為AE安全可控的，得到的Gl如圖6所示。

圖5 標(biāo)簽自動(dòng)機(jī)AlFig.5 Label Automata Al

圖6 自動(dòng)機(jī)GlFig.6 Automata Gl

3.5 系統(tǒng)AE安全可控性的修復(fù)算法

基于算法2，當(dāng)一個(gè)系統(tǒng)不能滿足AE安全可控性時(shí)，我們能夠按照一定的規(guī)則對(duì)該系統(tǒng)進(jìn)行修改，使其能夠滿足該AE安全可控性條件。由此，提出了算法3。

算法3修復(fù)系統(tǒng)AE安全可控性的算法

輸入：違反AE安全可控性的系統(tǒng)

輸出：滿足AE安全可控性的系統(tǒng)

endwhile

2)根據(jù)定義2計(jì)算FC

endwhile

4)計(jì)算Xuc

endwhile

算法3是基于算法2所建立的，通過(guò)對(duì)算法2的逐步補(bǔ)充驗(yàn)證而構(gòu)造。

3.6 例3

例1中，我們?cè)趫D3e中展示AE攻擊下的閉環(huán)系統(tǒng)。此處按照算法3來(lái)修復(fù)系統(tǒng)，如圖7所示。經(jīng)過(guò)算法3檢測(cè)，可以得知其是在第5)步中，違反了判斷條件，此處，可以通過(guò)添加一個(gè)可控且可觀的事件d使得系統(tǒng)滿足AE安全可控性。如圖7所示。

圖7中的虛線箭頭表示事件將不會(huì)發(fā)生，從而避免了系統(tǒng)進(jìn)入到不安全的狀態(tài)。

4 實(shí)例

圖7 修改后的滿足AE安全可控性的系統(tǒng)Fig.7 Modified system that meets the safety and controllability of AE

圖8 一段有檢測(cè)器和紅綠燈的鐵路Fig.8 A railway line with light and detector

可控事件集為Ec={a1,b1,a2,b2,a4,b4}，可觀事件集為Eo={a1,b1,a3,b3,a4,b4,a5,b5}?？刂颇繕?biāo)是希望兩列車在通過(guò)這一段路時(shí)，為了保證不碰撞，不允許兩列車同時(shí)出現(xiàn)在同一路段(僅指S1-S4)。

圖9 被控對(duì)象的模型和Sp的標(biāo)準(zhǔn)實(shí)現(xiàn)Fig.9 The plant mode and the standard realization of P-supervisor

圖10是受到AE攻擊的監(jiān)督器和閉環(huán)系統(tǒng)。

圖10 受到AE攻擊的監(jiān)督器和閉環(huán)系統(tǒng)Fig.10 The supervisor and closed-loop systems under AE-attack

圖11 修復(fù)后的閉環(huán)系統(tǒng)Fig.11 The repaired closed-loop systems

顯然，通過(guò)上述的舉措，使得該段軌道即使是在受到AE攻擊時(shí)，也能夠保持安全性。

5 結(jié)語(yǔ)

本文主要研究了離散事件系統(tǒng)中的入侵檢測(cè)，防御以及修復(fù)問(wèn)題。基于受到AE攻擊的系統(tǒng)模型，引入了AE安全可控性的定義，得到了一種能夠?qū)ο到y(tǒng)的AE安全可控性進(jìn)行檢測(cè)的診斷器算法。并在檢測(cè)后禁用所有可控事件，防止系統(tǒng)到達(dá)不安全狀態(tài)。最后，當(dāng)系統(tǒng)不滿足AE安全可控性時(shí)，提出了一種修復(fù)算法，使其確保了系統(tǒng)的安全可控。