王東風(fēng), 谷 赫, 黃 宇, 王嘉俊

(華北電力大學(xué) 自動化系, 河北保定 071003)

蒸汽發(fā)生器(SG)液位控制系統(tǒng)是基于分散控制系統(tǒng)(DCS)實現(xiàn)過程的遠程控制、信息傳輸、信息管理及信息分析,保證在核電廠運行過程中SG液位維持在預(yù)先設(shè)定的程序液位附近,從而避免由于液位偏離導(dǎo)致的設(shè)備損壞。DCS在運行過程中可能會出現(xiàn)信息泄漏的問題,使得系統(tǒng)更容易受到來自多個角度的網(wǎng)絡(luò)攻擊,從而破壞系統(tǒng)的穩(wěn)定運行,造成重大損失[1]。

攻擊者通常以破壞控制系統(tǒng)安全的4個維度為目的發(fā)起惡意攻擊,分別為機密性[2]、真實性[3]、完整性[4]及可用性[5]。拒絕服務(wù)(DoS)攻擊通過阻斷系統(tǒng)數(shù)據(jù)傳輸來破壞系統(tǒng)的完整性與可用性[6]。隱蔽攻擊在破壞系統(tǒng)機密性的基礎(chǔ)上精心設(shè)計隱蔽攻擊器,實現(xiàn)在控制與檢測系統(tǒng)中保持隱蔽的基礎(chǔ)上破壞閉環(huán)系統(tǒng)的穩(wěn)定性[7],從而破壞系統(tǒng)的真實性。重放攻擊不需要系統(tǒng)知識,通過重放系統(tǒng)穩(wěn)態(tài)數(shù)據(jù),誘導(dǎo)控制器發(fā)出錯誤指令,使系統(tǒng)開環(huán)運行,從而破壞系統(tǒng)真實性、完整性與可用性[8]。由于重放攻擊會重播穩(wěn)態(tài)數(shù)據(jù),因此在系統(tǒng)穩(wěn)定運行時攻擊方具有對檢測器保持隱蔽的能力,傳統(tǒng)的檢測機制無法及時察覺攻擊,因此需要額外設(shè)計檢測策略。

為了保證控制系統(tǒng)的安全,國內(nèi)外學(xué)者致力于應(yīng)急分析、攻擊檢測與隔離、魯棒控制及信息驗證。Liu等[9]考慮了設(shè)計物理水印信號,用以抵御重放攻擊,將最優(yōu)水印信號的設(shè)計作為最優(yōu)化問題,從而權(quán)衡檢測性能與控制性能。張正道等[10]基于輔助信息,向測量值中添加輔助信號從而補償控制性能的損失,保證了系統(tǒng)損失的控制性能只與當前水印信號有關(guān)。針對模型不確定系統(tǒng),杜大軍等[11]分析了系統(tǒng)不確定項對傳統(tǒng)水印檢測方法的影響,基于誤差方差與過程噪聲一致性原理提出了一種噪聲與未知擾動混合的信號檢測式。Porter等[12]針對一種廣義的重放攻擊,采用線性時變的動態(tài)水印技術(shù)實現(xiàn)了重放攻擊的實時檢測。動態(tài)水印技術(shù)將特殊信號輸入到系統(tǒng)之中,從而保護測量信號,該方法能有效檢測網(wǎng)絡(luò)攻擊,然而針對防范重放攻擊能力較弱且不具備有效檢測能力的核電機組控制系統(tǒng)并未有進一步研究。

筆者針對核電廠SG液位控制系統(tǒng),設(shè)計基于動態(tài)水印技術(shù)的攻擊檢測方案,實現(xiàn)SG液位控制系統(tǒng)的安全控制。從理論上分析重放攻擊破壞系統(tǒng)的原理,查找重放攻擊策略可能存在的漏洞;將重放攻擊的影響建立為一個線性時變的動態(tài)模型,并基于攻擊策略可能存在的漏洞,制定加入動態(tài)水印信號的殘差檢測機制,采用χ2檢測器量化動態(tài)水印技術(shù)對SG液位系統(tǒng)重放攻擊的檢測效益,分析水印信號對重放攻擊下系統(tǒng)狀態(tài)估計誤差與殘差的影響;對穩(wěn)定工況下的SG液位系統(tǒng)進行數(shù)值仿真,驗證動態(tài)水印技術(shù)對重放攻擊檢測的有效性與實時性。

1 問題描述

1.1 SG液位控制系統(tǒng)

核電站SG位于一回路與二回路連接處,將一回路產(chǎn)生的熱量通過SG內(nèi)的工質(zhì)傳遞到二回路,產(chǎn)生蒸汽從而推動汽輪機做功,如圖1所示。

圖1 核電站SG結(jié)構(gòu)

SG液位對核電廠的安全穩(wěn)定運行十分重要。如果液位過低,可能導(dǎo)致暴露在高溫蒸汽之中的U形管破裂;如果液位過高,則進入汽輪機的蒸汽濕度過高,易加速葉片老化,從而造成經(jīng)濟損失。同時,SG液位的頻繁波動也會對核電機組蓄熱過程造成影響,可能影響電網(wǎng)的安全穩(wěn)定[13]。SG液位控制系統(tǒng)的任務(wù)是在穩(wěn)態(tài)及瞬態(tài)工況下保證液位維持在預(yù)定范圍內(nèi),采用串級控制結(jié)構(gòu),內(nèi)回路用于抑制蒸汽擾動對系統(tǒng)的影響,外回路則根據(jù)實際液位調(diào)整控制律,以蒸汽質(zhì)量流量qm和給水質(zhì)量流量qm,Q為輸入量,調(diào)節(jié)SG液位H。傳感器信號與控制信號通過變送器向被控對象、觀測器、檢測器及控制器傳輸。SG液位控制系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2 蒸汽發(fā)生器液位控制系統(tǒng)結(jié)構(gòu)圖

假設(shè)核電站SG液位控制系統(tǒng)滿足線性時不變,噪聲信號均為滿足獨立同分布(identically distributed, i.i.d)的高斯隨機過程,則被控對象的輸入輸出關(guān)系可以表示為:

Hr=Pqqm,Qr+Pdqm,r+PwW

(1)

式中:Hr為實際液位;Pq、Pd與Pw分別為SG液位關(guān)于實際給水質(zhì)量流量qm,Qr、實際蒸汽質(zhì)量流量qm,r及過程擾動W的線性時不變函數(shù)。

由于測量噪聲的影響,各位置傳感器的測量輸出結(jié)果可以表示為:

(2)

式中:Hm為液位測量值;qm,m為蒸汽質(zhì)量流量測量值;qm,Qm為給水質(zhì)量流量測量值;Vh為液位的測量噪聲;Vd為蒸汽質(zhì)量流量的測量噪聲;Vq為給水質(zhì)量流量的測量噪聲。

外回路反饋控制器根據(jù)液位測量值計算控制律uc1,內(nèi)回路反饋控制器根據(jù)蒸汽質(zhì)量流量測量值、給水質(zhì)量流量測量值及外回路控制律計算閥門開度指令uc2。假設(shè)所設(shè)計的液位控制器具有良好的魯棒性,可以克服通信延遲對系統(tǒng)造成的影響,則控制律uc1與uc2的數(shù)學(xué)描述可以表示為:

uc1=C1mHm+C1refHref

(3)

uc2=C2uuc1+C2dqm,m-C2qqm,Qm

(4)

式中:Href為液位設(shè)定值;C1m和C1ref分別為液位控制器關(guān)于液位測量值Hm與液位設(shè)定值Href的線性時不變函數(shù);C2u、C2d和C2q分別為流量控制器對控制律uc1、蒸汽質(zhì)量流量測量值qm,m和給水質(zhì)量流量測量值qm,Qm的線性時不變函數(shù)。

聯(lián)立上述公式,當測量噪聲Vd對蒸汽質(zhì)量流量測量值影響較小時,有qm,m≈qm,r,近似得到SG液位關(guān)于調(diào)節(jié)量qm,m與qm,Qm的閉環(huán)傳遞函數(shù)。

Hr=(SPqFC2d+SPd)qm,m-SPqFC2qqm,Qm+SPqFC1refHref+YVh

(5)

式中:F為閥門的線性時不變函數(shù);S為蒸發(fā)器液位控制系統(tǒng)的閉環(huán)特征方程;Y為測量噪聲Vh對實際液位Hr的閉環(huán)傳遞函數(shù)。

液位測量值可以表示為:

Hm=(SPqFC2d+SPd)qm,m-SPqFC2qqm,Qm+SPqFC1refHref+SPwW+SVh

(6)

式中:I為適當維數(shù)的單位矩陣。

可以看出,在系統(tǒng)未遭受網(wǎng)絡(luò)攻擊時,SG液位控制系統(tǒng)穩(wěn)定工況下的Hr將受到蒸汽質(zhì)量流量測量值qm,m、給水質(zhì)量流量測量值qm,Qm、過程擾動W以及液位測量噪聲Vh的共同影響。

1.2 重放攻擊場景

針對控制系統(tǒng)的重放攻擊形式類似于計算機安全中的欺騙攻擊,通過修改傳輸信號的測量數(shù)據(jù)來實現(xiàn)破壞控制系統(tǒng)的閉環(huán)控制、影響系統(tǒng)穩(wěn)定性并損壞系統(tǒng)被控對象的目的。攻擊者在侵入系統(tǒng)后,將在一段固定時間內(nèi)保持隱蔽,同時記錄各部位傳感器數(shù)據(jù),隨后重放記錄的傳感器測量值,并給予執(zhí)行機構(gòu)一個系統(tǒng)期望的控制律,從而給控制方展現(xiàn)一個虛假閉環(huán)系統(tǒng),破壞原系統(tǒng)完整性,使得控制方無法形成對系統(tǒng)的閉環(huán)控制。解決完整性問題的方法之一是檢測信息序列的損壞數(shù)據(jù)或系統(tǒng)的惡意行為,在討論檢測方法之前有必要討論重放攻擊如何破壞傳感數(shù)據(jù)序列。

(7)

遭受重放攻擊的系統(tǒng)的虛假閉環(huán)傳遞函數(shù)可以近似表示為:

(8)

定義Wreplay=W-W′,則重放攻擊下SG液位與正常工作時的相對誤差受到Wreplay的影響。一方面,Wreplay的存在可能會導(dǎo)致系統(tǒng)狀態(tài)偏離設(shè)定值;另一方面,可以向系統(tǒng)中主動注入額外隨機信號,從而檢測重放攻擊,即為動態(tài)水印技術(shù)。

2 攻擊檢測方案設(shè)計與分析

2.1 攻擊檢測方案

圖3 基于動態(tài)水印的控制系統(tǒng)主動檢測方案

2.2 動態(tài)水印技術(shù)

考慮系統(tǒng)狀態(tài)方程為:

(9)

式中:A為系統(tǒng)矩陣,A∈Rn×n;B為輸入矩陣,B∈Rn×p;C為輸出矩陣,C∈Rm×n;w(k+1)為系統(tǒng)過程噪聲;v(k)為測量噪聲。

卡爾曼濾波器狀態(tài)方程可以表示為:

(10)

χ2檢測器常用于壞值檢測,在本檢測方案中用于處理卡爾曼濾波器的殘差r(k)。

(11)

φ(k)=CP(k)CT+R

(12)

式中:φ(k)為殘差r(k)在k時刻的期望方差。

則檢測結(jié)果描述為:

(13)

式中:g(k)為檢測函數(shù);Tw為窗口大小。

Tw=1時,g(k)收斂于常數(shù)m,則

g(k)=Twm

(14)

定義檢測策略為:

(15)

式中:η為閾值,可以經(jīng)驗選定,也可根據(jù)一定準則設(shè)定,本文根據(jù)3σ準則確定閾值。

定義重放攻擊下的虛擬系統(tǒng)來生成虛假數(shù)據(jù),值得注意的是,攻擊者仍采用記錄并重放系統(tǒng)穩(wěn)定數(shù)據(jù)的方式實現(xiàn)攻擊,所提虛擬系統(tǒng)只是為了便于分析檢測方案而提出的,不參與真實系統(tǒng)的運行。虛假系統(tǒng)表示為:

(16)

(17)

式中:r′(i)為虛擬系統(tǒng)對真實變量r(i)的模擬值。

(18)

虛擬系統(tǒng)表示為:

(19)

式中:e′(k)為虛擬系統(tǒng)對真實變量e(k)的模擬值。

則有

(20)

聯(lián)立可得:

(21)

此時,記虛擬系統(tǒng)的卡爾曼估計殘差r′(k)為:

(22)

重放攻擊下殘差記為r(k):

(23)

此時,隨著時間的遞增,估計殘差由于水印的存在會與正常情況有一定偏差,虛擬系統(tǒng)無法知曉水印信息e(k),只能根據(jù)傳感器測量值將水印信息視為過程噪聲的一部分作為估計信息e′(k)。則隨著時間增加,殘差的形式可以表示為:

(24)

加入攻擊后,隨著時間遞增,殘差中將包含控制輸入的水印信息,有助于檢測重放攻擊。同時,殘差滿足

(25)

在χ2檢測器中,卡方檢測值為:

E[rT(k)φ-1(k)r(k)]=Tw×tr{cov[r(k)]φ-1}=

(26)

卡方檢測值的期望輸出不會收斂于Twm,即在保證系統(tǒng)穩(wěn)定的情況下,檢測方案實現(xiàn)了重放攻擊的檢測。

3 實驗結(jié)果與分析

通過數(shù)值仿真,在某穩(wěn)定負荷下針對重放攻擊下的SG液位控制系統(tǒng),對所提出的動態(tài)水印技術(shù)進行仿真研究,從而檢驗動態(tài)水印技術(shù)對控制系統(tǒng)中重放攻擊檢測的有效性。

根據(jù)分段線性SG液位模型,控制系統(tǒng)傳遞函數(shù)[15]為:

(27)

式中:H(s)為SG液位;s為拉普拉斯算子;G1為容積效應(yīng)下的幅值增益;G2和τ2分別為“虛假水位”現(xiàn)象下的幅值增益和阻尼系數(shù);G3、τ1和Tm分別為水位振蕩下的幅值增益、阻尼系數(shù)和振蕩周期。

根據(jù)表1中參數(shù),以采樣周期Ts=0.1 s將系統(tǒng)離散化,轉(zhuǎn)換得到其狀態(tài)空間為:

表1 SG液位控制系統(tǒng)的過程參數(shù)

x(k+1)=

(28)

(29)

式中:vh(k)為SG液位的測量噪聲。

其中,過程噪聲方差Q=10I,測量噪聲方差為10。質(zhì)量流量測量精度滿足±10 kg/s?？梢杂嬎愠隹柭鼮V波器的穩(wěn)態(tài)增益K和誤差協(xié)方差矩陣P分別為

(30)

(31)

現(xiàn)假設(shè)重放攻擊策略為:在系統(tǒng)穩(wěn)態(tài)運行時,記錄500～1 000 s內(nèi)的給水質(zhì)量流量、蒸汽質(zhì)量流量及液位數(shù)據(jù),并從2 000.1 s開始周期性重復(fù)播放記錄的數(shù)據(jù)。

依據(jù)準則確定閾值,保證誤報率維持在0.05以內(nèi),采用移動時窗法處理檢測函數(shù)值,以窗口大小Tw=100 s進行樣本分析。需要注意的是,如果重放攻擊開始時記錄階段狀態(tài)與系統(tǒng)狀態(tài)有較大差距,檢測結(jié)果會出現(xiàn)一個極大的跳變?？紤]最壞情況,即假設(shè)攻擊方可以通過選取與記錄數(shù)據(jù)相近的時間段,并加入重放攻擊,從而抑制或消除跳變。

在系統(tǒng)穩(wěn)定的情況下,無水印方案的χ2檢測結(jié)果如圖4(a)所示。χ2檢測器無法檢測到重放攻擊,其檢測函數(shù)值均處于閾值范圍之內(nèi),檢測率等于誤報率,系統(tǒng)無法及時抵御重放攻擊。如果主動加入方差為400的水印信號e(k),檢測結(jié)果如圖4(b)所示。由圖4(a)可知,在系統(tǒng)穩(wěn)態(tài)運行且沒有攻擊時,檢測器統(tǒng)計殘差信號并進行分析與檢驗,沒有攻擊時檢測函數(shù)值維持在安全閾值以內(nèi),當重放攻擊發(fā)生時,由于水印信號偏差對殘差有影響,檢測函數(shù)值逐步收斂至較高水平并超過安全閾值范圍,實現(xiàn)了重放攻擊的檢測。

(a) 無水印時檢測效果

為比較不同時間窗口Tw下的檢測率,在保持水印信號不變的情況下改變時間窗口大小。假設(shè)攻擊策略不變,仍記錄系統(tǒng)穩(wěn)態(tài)數(shù)據(jù)并周期性重放,圖5和圖6分別為Tw=30 s和Tw=200 s時檢測率的變化。從圖5和圖6可以看出,Tw=30 s時檢測函數(shù)值快速收斂,但有一定的漏報率;而在Tw=200 s時卡方檢測函數(shù)值將逐步收斂至一個較高水平,相較于小時間窗口具有更可靠的檢測率。

圖5 Tw=30 s時的檢測結(jié)果

圖6 Tw=200 s時的檢測結(jié)果

4 結(jié) 論

(1) 核電廠SG液位控制系統(tǒng)具有強擾動、非線性、工況復(fù)雜的特點,經(jīng)典的故障檢測手段無法抵御攻擊者精心設(shè)計的重放攻擊;通過主動向執(zhí)行器中添加水印信號從而檢測重放攻擊,在SG處于穩(wěn)態(tài)工況下時,動態(tài)水印技術(shù)可以實現(xiàn)對重放攻擊的實時檢測。

(2) 考慮系統(tǒng)安全檢測實時性的要求,在水印信號強度不變的情況下,調(diào)整檢測窗口的大小可以同時兼顧檢測率與檢測實時性,通過選擇合適的檢測窗口可以在保證檢測率的同時實現(xiàn)檢測實時性。

(3) 之后的工作將進一步關(guān)注攻擊檢測與彈性控制的綜合設(shè)計,同時將更多考慮工程因素,進一步提升動態(tài)水印技術(shù)的工程可實現(xiàn)性,從而保證SG液位控制系統(tǒng)的安全運行。