假數(shù)據(jù)注入攻擊下信息物理融合系統(tǒng)的穩(wěn)定性研究

彭大天 董建敏 蔡忠閩 張長青 彭勤科

信息物理融合系統(tǒng)(Cyber-physical systems,CPS)是物理動態(tài)過程(Physical dynamics)在網(wǎng)絡(luò)空間(Cyber)中高度集成的新型化網(wǎng)絡(luò)控制系統(tǒng)[1],利用計算、通信和控制等先進技術(shù)分析信息,并通過反饋機制實現(xiàn)對物理過程的實時控制,是實現(xiàn)工業(yè)4.0和中國制造2025的最關(guān)鍵技術(shù)[2].典型的CPS有智能能源系統(tǒng)[3]、智聯(lián)網(wǎng)[4]、無人系統(tǒng)[5]、智能核電工業(yè)系統(tǒng)[6]等.CPS基本架構(gòu)由物理層(傳感器、執(zhí)行器和物理對象),有線和無線通信傳輸設(shè)備組成的網(wǎng)絡(luò)層和監(jiān)控層(控制器、估計器和檢測器)組成.信息傳輸網(wǎng)絡(luò)是CPS最基本的網(wǎng)絡(luò)單元,實現(xiàn)信息互聯(lián)互通.然而在CPS安全領(lǐng)域,信息傳輸網(wǎng)絡(luò)的引入可能增加了物理層動態(tài)過程的安全風(fēng)險[7],充斥于網(wǎng)絡(luò)空間的各類網(wǎng)絡(luò)攻擊易引發(fā)控制性能的下降,進而可能造成巨大經(jīng)濟損失,甚至危及人員生命安全.

2015年IEEE專題[8]研究表明Cyber networks和Physical dynamics高度融合是CPS智能化關(guān)鍵之所在,同時強調(diào)人因(運營人員或攻擊者)決策是CPS安全風(fēng)險主要問題源之一.例如,常見的分布式拒絕服務(wù)(Distributed denial of service,DDoS)攻擊[9]大致分為兩個階段:1)在不同時刻和網(wǎng)絡(luò)拓撲節(jié)點上試圖控制多個終端機;2)協(xié)同地發(fā)送大量數(shù)據(jù)包形成洪流至多個目標IP服務(wù)器,使其頻繁響應(yīng)該訪問請求,用以過度消耗大量的帶寬,路由及計算資源甚至造成超負荷癱瘓,從而使合法用戶無法請求訪問,影響正常的網(wǎng)絡(luò)服務(wù).為了檢測和防御這類攻擊[10],綜合性策略應(yīng)該從以下幾個方面考慮:1)更新增強型防火墻、安全補丁和反病毒軟件;2)提升身份驗證密碼保護機制和入侵檢測系統(tǒng)的性能;3)開發(fā)有效的系統(tǒng)訪問請求響應(yīng)(DNS)協(xié)議用以識別惡意非法用戶;4)提出新型的路由資源調(diào)度,將訪問請求分流管理,降低惡意攻擊的風(fēng)險;5)構(gòu)建安全可靠的網(wǎng)絡(luò)架構(gòu)用以故障恢復(fù)和數(shù)據(jù)備份.在工業(yè)網(wǎng)絡(luò)攻擊中存在一類數(shù)據(jù)完整性攻擊:重放攻擊(Replay attacks),攻擊者通過網(wǎng)絡(luò)非法接入,偵聽到系統(tǒng)處于穩(wěn)定運行階段的傳感測量數(shù)據(jù),然后重復(fù)發(fā)送該數(shù)據(jù)包形成虛擬的測量輸出至控制中心,致使檢測系統(tǒng)誤認為該測量輸出是合理滿意的,同時攻擊者可以任意注入惡意控制命令去影響受控對象的控制性能.為了檢測該類攻擊,利用Neyman Pearson檢測器和半正定規(guī)劃設(shè)計了一種物理水印檢測數(shù)據(jù)的完整性[11].從攻防博弈的角度,試圖找到控制性能和檢測能力的納什平衡,在可接受的控制性能前提下,盡可能緩解重放攻擊對系統(tǒng)的不利影響[12].2017年5月爆發(fā)了一種席卷全球的新型勒索病毒[13]:WannaCry,它利用針對Windows操作系統(tǒng)的網(wǎng)絡(luò)層協(xié)議的漏洞或垃圾郵件、惡意廣告鏈接等方式感染主機,并自動執(zhí)行RSA-2048加密程序迅速鎖定存儲器上的文件系統(tǒng),這類加密機制一般用戶無法(暴力)破解,必須付費才能獲取解密口令.隨后Microsoft發(fā)布了Critical補丁用以修補易為該病毒所利用的漏洞.更新殺毒軟件、備份數(shù)據(jù)、關(guān)閉閑置的網(wǎng)絡(luò)端口和刪除垃圾郵件等常用措施能有效預(yù)防此類病毒[14].

近年來,欺騙攻擊由于隱蔽性和極具破壞性特點成為網(wǎng)絡(luò)攻擊研究中的熱點.例如著名網(wǎng)絡(luò)戰(zhàn)標志性事件StuxNet[15],攻擊者利用監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)(Supervisory control and data acquisition,SCADA)的網(wǎng)絡(luò)漏洞注入蠕蟲病毒,目的是感染核濃縮工作的離心機控制系統(tǒng),使得監(jiān)測結(jié)果顯示離心機正常工作,而實際已嚴重失控.作為欺騙攻擊的典型代表,假數(shù)據(jù)注入(False data injection,FDI)攻擊利用信息傳輸網(wǎng)絡(luò)漏洞,在傳感器或執(zhí)行器上注入攻擊者精心設(shè)計的假數(shù)據(jù),改變傳感器測量值或控制器控制指令,確保繞過檢測器的壞值檢測同時影響物理動態(tài)過程的控制性能.因此,FDI攻擊對CPS的安全威脅幾乎難以避免[16-17].其最早由Liu等學(xué)者提出[18],在電力系統(tǒng)中通過篡改傳感數(shù)據(jù)改變狀態(tài)估計,同時能避免被基于最小二乘的壞值檢測器發(fā)現(xiàn),文獻[18]給出FDI攻擊的定義并闡述了隱蔽性和難以檢測性等特點.然而該工作僅考慮了傳感器端的測量數(shù)據(jù)篡改,并未考慮在執(zhí)行器端注入控制假數(shù)據(jù).本文給出的攻擊模型同時考慮了執(zhí)行器端和傳感器端的假數(shù)據(jù)注入.

在此基礎(chǔ)上,人們開始研究FDI攻擊在網(wǎng)絡(luò)控制系統(tǒng)的應(yīng)用.Kwon等基于線性時不變(Linear time invariant,LTI)系統(tǒng)提出Deception attack model[19]并制定了三類混合攻擊策略研究對系統(tǒng)狀態(tài)估計值和測量殘差的影響.Covert misappropriation attacks[20]主要構(gòu)建基于反饋控制的Covert agent,與原系統(tǒng)控制器對抗,實現(xiàn)對控制系統(tǒng)影響并保持FDI攻擊的隱蔽性.Stealthy integrity attacks[21]利用最大擾動狀態(tài)可達集來衡量對控制系統(tǒng)的影響程度.基于輸出跟蹤網(wǎng)絡(luò)控制系統(tǒng),Pang等[22]提出了Two-channel FDI attacks影響系統(tǒng)輸出跟蹤誤差.Coding scheme[23]用于檢測FDI攻擊,使用狀態(tài)估計誤差和殘差兩個指標來量化FDI攻擊對系統(tǒng)性能的影響.這類研究給出了基于控制系統(tǒng)的FDI攻擊研究框架,但是往往假設(shè)受控對象為不穩(wěn)定系統(tǒng)(即系統(tǒng)矩陣至少存在一個不穩(wěn)定特征值),攻擊者利用執(zhí)行器端注入的控制假數(shù)據(jù)抵消掉原系統(tǒng)控制器的穩(wěn)定調(diào)節(jié)功能,相當(dāng)于受控對象實際上沒有收到任何有效的控制指令,致使系統(tǒng)失穩(wěn),同時在傳感器端對測量值進行篡改達到攻擊隱蔽性的目的.當(dāng)受控對象為穩(wěn)定系統(tǒng)時,這類攻擊策略將失去效力.本文將主要針對穩(wěn)定的受控對象設(shè)計FDI攻擊協(xié)同策略.文獻[22]盡管考慮了受控對象的穩(wěn)定性,但研究的輸出跟蹤閉環(huán)控制不具有一般性.本文以最基本控制單元為研究對象,所提出的FDI攻擊協(xié)同策略能夠拓展到其他控制系統(tǒng).

最優(yōu)攻擊策略也是許多學(xué)者專注研究的熱點問題.例如Stealthy control signal attacks[24]提出了兩目標優(yōu)化模型:降低FDI攻擊可檢測性和增大控制代價.FDI攻擊通過篡改電表數(shù)據(jù),觸發(fā)安全約束經(jīng)濟性調(diào)度子系統(tǒng)的負載再分布機制,從而引起發(fā)電功率再分配[25],使攻擊者獲取非法經(jīng)濟利益[26].在此基礎(chǔ)上,我們已有的工作研究了FDI攻擊能夠操縱區(qū)域邊際價格以幫助電力生產(chǎn)方利益聯(lián)盟實現(xiàn)非法收入[27].這類研究往往利用FDI攻擊協(xié)同性特點增大系統(tǒng)控制成本或獲取經(jīng)濟利益,并未考慮FDI攻擊協(xié)同策略如何影響系統(tǒng)的穩(wěn)定性.本文將研究FDI攻擊操縱系統(tǒng)穩(wěn)定性的協(xié)同攻擊條件.

FDI攻擊的實現(xiàn)往往假設(shè)攻擊者完全掌握控制系統(tǒng)模型參數(shù)、網(wǎng)絡(luò)拓撲結(jié)構(gòu)(及Jacobian矩陣)、最優(yōu)控制器和檢測器檢測方法等信息.這類假設(shè)看似勉強,但是在網(wǎng)絡(luò)攻擊領(lǐng)域具有一定的合理性,因為攻擊者可以利用網(wǎng)絡(luò)漏洞偵聽足夠的系統(tǒng)運行數(shù)據(jù),進行信息綜合,從而獲取與系統(tǒng)模型相關(guān)的先驗知識.Liang等回顧了FDI攻擊面向電力系統(tǒng)的研究現(xiàn)狀[28],并以2015年烏克蘭停電事件[29]為例揭示了FDI攻擊假設(shè)條件的合理性和攻擊協(xié)同性特點.

本文著眼于最基本控制單元并給出最具一般性的FDI攻擊模型,直觀地揭示FDI攻擊如何影響系統(tǒng)內(nèi)部狀態(tài)和外部測量.提出的FDI攻擊協(xié)同策略進一步拓展了已有工作的研究內(nèi)容,適用于所有穩(wěn)定和不穩(wěn)定的受控對象,能夠有效分析其對CPS穩(wěn)定性影響.本文主要貢獻包括:

1)從攻擊者角度,構(gòu)建FDI攻擊效力模型來量化FDI攻擊對CPS性能的影響程度,并提出一個攻擊向量協(xié)同策略,理論上分析了控制假數(shù)據(jù)和測量假數(shù)據(jù)對系統(tǒng)狀態(tài)估計誤差偏差量和殘差偏差量的影響.

2)基于給定的攻擊向量協(xié)同策略,理論上分析控制假數(shù)據(jù)和測量假數(shù)據(jù)對系統(tǒng)測量輸出和實際輸出的影響,并給出操縱CPS穩(wěn)定性的攻擊條件.

3)通過對穩(wěn)定和不穩(wěn)定LTI系統(tǒng)的數(shù)值仿真,驗證FDI攻擊效力模型和協(xié)同策略的有效性.

本文組織架構(gòu)如下:第1節(jié)介紹正常(無攻擊)情況下,CPS控制系統(tǒng)的基本組成單元;第2節(jié)介紹FDI攻擊效力模型;第3節(jié)提出FDI攻擊協(xié)同策略并分析了對CPS穩(wěn)定性的影響;第4節(jié)進行數(shù)值仿真及結(jié)果分析;第5節(jié)給出本文工作的結(jié)論.

1 CPS控制系統(tǒng)

CPS控制系統(tǒng)最基本的控制單元包括受控對象、狀態(tài)估計器、壞值檢測器和控制器.考慮受控對象為隨機離散LTI系統(tǒng),其動力學(xué)模型如下:

其中,xk∈Rn,uk∈Rp和yk∈Rq分別是系統(tǒng)狀態(tài)變量、控制輸入和測量輸出;A,B和C是系統(tǒng)矩陣、輸入矩陣和輸出矩陣;ωk和ξk分別表示過程噪聲和測量噪聲.通常假設(shè)系統(tǒng)噪聲是相互獨立且均值為零的高斯白噪聲,即ωk～N(0,?)和ξk～N(0,Ξ),?和Ξ分別是其協(xié)方差矩陣.(A,B)能控和(A,C)能觀.假設(shè)系統(tǒng)初始狀態(tài)x0=0.

卡爾曼濾波常用作CPS狀態(tài)估計器和壞值檢測器,其基本方程如下:

其中,第k時刻表示狀態(tài)估計,Pk|k是估計誤差協(xié)方差矩陣,Kk是卡爾曼增益矩陣,zk是測量殘差.

當(dāng)卡爾曼濾波達到穩(wěn)態(tài)時,P=limk→∞Pk|k和K=limk→∞Kk.zk服從高斯分布,其均值為0,協(xié)方差矩陣V=CPCT+Ξ,即zk～N(0,V).

正常情況下(無惡意攻擊),E{ωk}=0和E{ξk}=0,且卡爾曼濾波最優(yōu)增益K保證矩陣(AKCA)是穩(wěn)定矩陣.當(dāng)系統(tǒng)處于穩(wěn)態(tài)時,狀態(tài)估計誤差的期望值趨于0,即limk→∞E{ek}=0,同時,zk均能通過壞值檢測器的檢測.

基于卡爾曼濾波的最優(yōu)狀態(tài)估計,線性二次型調(diào)節(jié)器(Linear-quadratic regulator,LQR)常作為CPS的最優(yōu)狀態(tài)反饋控制器.在無限時域內(nèi)最小化性能指標,其中Q和R是正定加權(quán)矩陣,最優(yōu)控制序列如下:

其中,常數(shù)rc代表參考輸入,L表示控制增益.L=(R+BTSB)-1BTSA,S是離散代數(shù)Riccati方程:S=ATSA-ATSB(R+BTSB)-1BTSA+Q的唯一正定解.

綜上,在卡爾曼濾波和LQR共同作用下,無論CPS控制對象是否穩(wěn)定(矩陣A的所有特征值都處于單位圓內(nèi),則認為控制對象穩(wěn)定,否則,認為不穩(wěn)定),其閉環(huán)控制系統(tǒng)總能達到穩(wěn)定,即矩陣(AKCA)和(A-BL)都是穩(wěn)定矩陣.

2 FDI攻擊效力模型

假定CPS信息傳輸網(wǎng)絡(luò)存在安全漏洞,允許攻擊者偵聽和篡改系統(tǒng)運行數(shù)據(jù)并掌握CPS的網(wǎng)絡(luò)拓撲和模型參數(shù).例如系統(tǒng)內(nèi)部人員在閉環(huán)系統(tǒng)的前向和反饋通道惡意注入特定的假數(shù)據(jù)到執(zhí)行器和傳感器.基于模型(1),FDI攻擊模型有如下形式:

為了有效量化FDI攻擊對CPS影響,常用系統(tǒng)狀態(tài)估計誤差偏差量和殘差偏差量來表示.因此,給定式(3)和式(7),得到如下動力學(xué)模型:

本文稱該動力學(xué)模型為FDI攻擊效力模型.顯然,Δek和Δzk是關(guān)于攻擊向量的函數(shù),. 通過設(shè)計不同攻擊向量,可以得到多種協(xié)同策略,對系統(tǒng)造成不同程度的破壞.

3 FDI攻擊協(xié)同策略

考慮CPS的執(zhí)行器和傳感器網(wǎng)絡(luò)拓撲結(jié)構(gòu),攻擊者能夠協(xié)同設(shè)計控制假數(shù)據(jù)和測量假數(shù)據(jù),注入到CPS引發(fā)系統(tǒng)內(nèi)部狀態(tài)偏離原工作點,甚至可能驅(qū)使穩(wěn)定的閉環(huán)系統(tǒng)失穩(wěn),同時利用假數(shù)據(jù)的欺騙性和隱蔽性,避免觸發(fā)壞值檢測器報警.具體地,對于FDI攻擊效力模型(8)來說,一旦FDI攻擊協(xié)同策略成功實現(xiàn),隨著時間k遞增,Δek將達到攻擊者期望的任一工作點甚至無界而Δzk有界.前者考慮了FDI攻擊對系統(tǒng)狀態(tài)的穩(wěn)定性影響,后者確保注入的假數(shù)據(jù)能夠通過壞值檢測器的檢測.

引理1.給定FDI攻擊模型(5),若攻擊向量的協(xié)同策略滿足

其中,ka表示處于上界或下界的時刻值,向量中任意元素都是正實數(shù),矩陣H∈Rp×p是不穩(wěn)定矩陣,即至少存在一個特征值處在單位圓之外.對于FDI攻擊效力模型(8),可得

證明.將式(10)代入式(8)中的Δzk+1,可知Δzk+1=zk.已知zk～N(0,V),則

易知式(12)成立.

將式(10)代入式(8)中的Δek+1,可得

聯(lián)立式(9),(13)和(14),寫出如下增廣系統(tǒng):

由于矩陣H是不穩(wěn)定的,則系統(tǒng)矩陣Λ至少存在一個特征值處在單位圓之外,該增廣系統(tǒng)的內(nèi)部狀態(tài)和外部輸出都會隨時間k遞增而發(fā)散,趨于不穩(wěn)定狀態(tài);直到將收斂于其邊界值.這時,隨時間k遞增,當(dāng)原受控對象(1)的系統(tǒng)矩陣A是穩(wěn)定矩陣時,將趨于穩(wěn)定,分別收斂于是正實數(shù));當(dāng)A不穩(wěn)定時,將繼續(xù)發(fā)散,趨于無窮大.加之,(A,B)能控和(A,C)能觀,易知式(11)成立.□

注1.上述引理,除得到式(11)和式(12)外,還可得到

注2.對于式(13),由于初始條件Δe0=0,可進一步得到的形式如下:

注3.對于增廣系統(tǒng)(15),有如下討論:

1)系統(tǒng)矩陣A直接反映了原受控對象(1)的穩(wěn)定特性.當(dāng)A不穩(wěn)定時,隨著時間k遞增,只要有界,FDI攻擊效力模型總能得到Δek無界且Δzk有界.攻擊者利用原受控對象不穩(wěn)定特性達到FDI攻擊的目的,從一定程度上,此類攻擊策略相對容易實現(xiàn).許多工作[19,21-23]已涉及類似結(jié)論.本文給出的引理不僅歸納了已有工作的特定情形(即矩陣A不穩(wěn)定),還主分析了矩陣A穩(wěn)定的情形下,攻擊者如何設(shè)計協(xié)同攻擊策略以影響CPS的穩(wěn)定性.

引理1給出的攻擊向量協(xié)同策略實際上分析了FDI攻擊對CPS內(nèi)部狀態(tài)和用于壞值檢測的殘差的影響.下面進一步分析由于FDI攻擊引起的系統(tǒng)內(nèi)部狀態(tài)變量的變化對CPS穩(wěn)定性的影響.

定理1.給定FDI攻擊模型(5),若攻擊向量的協(xié)同策略滿足式(9)和式(10),則系統(tǒng)的測量輸出和實際輸出形式分別為

其中,M1表示正實數(shù).

證明.根據(jù)式(6),可得

定義δ表示增量計算符號,如,.上式可寫成

由于zk～N(0,V),且 limk→∞‖Δzk‖2=0,易知.對于上面的增量模型,相當(dāng)于系統(tǒng)噪聲.它的期望形式可寫成

聯(lián)立式(20)和式(21)得到一個新的增廣系統(tǒng).由于矩陣A-BL是穩(wěn)定矩陣,該增廣系統(tǒng)是穩(wěn)定系統(tǒng),隨著時間遞增,最終必然能達到新的平衡態(tài).因此,可得

注4.FDI攻擊的隱蔽性體現(xiàn)在:隨著時間k遞增,測量輸出可達漸近穩(wěn)定,以欺騙壞值檢測器,而系統(tǒng)實際輸出是否收斂依賴于原受控對象的系統(tǒng)矩陣A的穩(wěn)定性.當(dāng)A不穩(wěn)定時,將無法收斂[22];當(dāng)A穩(wěn)定時,,k∈[0,ka]呈發(fā)散狀態(tài),直到收斂于攻擊者期望的任一工作點.FDI攻擊協(xié)同策略對CPS攻擊效力的結(jié)果是影響系統(tǒng)實際輸出的收斂性而不改變系統(tǒng)測量輸出的穩(wěn)定性.

注5.FDI攻擊的協(xié)同性表現(xiàn)在:從執(zhí)行器端注入的控制假數(shù)據(jù)用來擾動系統(tǒng)狀態(tài),進而影響受控對象實際輸出的收斂性,而從傳感器端注入的測量假數(shù)據(jù)用來消除系統(tǒng)狀態(tài)改變所引發(fā)的不利影響,避免被壞值檢測器發(fā)現(xiàn).這大致分為三個步驟,如圖1所示.

圖1 FDI攻擊協(xié)同策略架構(gòu)Fig.1 Framework of coordination strategy under FDI attacks

步驟1.設(shè)計.根據(jù)式(9),攻擊者主要設(shè)計攻擊矩陣H和時間參數(shù)ka.其中,H的維度由執(zhí)行器網(wǎng)絡(luò)拓撲結(jié)構(gòu)決定,H和ka的數(shù)值應(yīng)依據(jù)攻擊者的攻擊意圖而定.特別地,初始值.

步驟2.評估攻擊效力.根據(jù)FDI攻擊效力模型(8),量化系統(tǒng)狀態(tài)估計誤差偏差量和殘差偏差量,使之滿足式(11)和式(12).

步驟3.設(shè)計器網(wǎng)絡(luò)拓撲結(jié)構(gòu)決定,其數(shù)值滿足式(17).這體現(xiàn).根據(jù)式(10),其維度由傳感了攻擊者具有對防御者(壞值檢測器)的欺騙能力和隱藏特性,是FDI攻擊成功與否關(guān)鍵所在.

4 數(shù)值仿真及結(jié)果分析

本節(jié)通過數(shù)值仿真驗證本文提出的FDI攻擊協(xié)同策略的有效性.考慮兩輸入兩輸出的隨機離散LTI系統(tǒng)作為CPS控制系統(tǒng)的受控對象.

4.1 穩(wěn)定矩陣 A

給定穩(wěn)定矩陣A1,參考輸入和其他系統(tǒng)參數(shù)B,C,?,Ξ

計算出系統(tǒng)信噪比約為[0.69,0.28]T,同時得到卡爾曼增益K和控制增益L

在k=0,1,···,19時,閉環(huán)LTI系統(tǒng)在卡爾曼濾波和LQR共同作用下處于穩(wěn)定運行狀態(tài);在k=20時,攻擊者開始發(fā)動FDI攻擊.此時,根據(jù)協(xié)同攻擊策略(9),設(shè)計控制假數(shù)據(jù)的初始值、攻擊矩陣和時間參數(shù)如下:

圖2是FDI攻擊對穩(wěn)定LTI系統(tǒng)的協(xié)同策略的控制假數(shù)據(jù)和測量假數(shù)據(jù)的變化情況.由于k=0,1,···,19時刻沒有發(fā)動任何攻擊,其值均為0.隨著時間k≥20遞增,不斷增加直至ka=40時,可確定的上界,收斂于.同時,不斷減小直至收斂于,結(jié)果符合式(16),其中下標1和下標2分別表示系統(tǒng)的兩路輸入或輸出.從能量平衡角度,在執(zhí)行器端注入的控制假數(shù)使系統(tǒng)能量增加,在傳感器端注入的測量假數(shù)據(jù)抵消注入的能量,當(dāng)收斂于收斂于,最終使系統(tǒng)總能量保持一定平衡,體現(xiàn)了FDI攻擊的隱蔽性.

圖2 FDI攻擊對穩(wěn)定LTI系統(tǒng)的協(xié)同策略Fig.2 Coordination strategy under FDI attacks against stable LTI system

圖3是FDI攻擊協(xié)同策略對穩(wěn)定LTI系統(tǒng)的攻擊效力評估結(jié)果.由于k=0,1,···,19時刻沒有發(fā)動任何攻擊,分別得到原閉環(huán)LTI系統(tǒng)的狀態(tài)估計誤差值的Euclid范數(shù)‖ek‖2和殘差值的Euclid范數(shù)‖zk‖2.隨著時間k≥20遞增,不斷增加,最終收斂于,同時,仍然保持原系統(tǒng)殘差值的幅值波動水平,低于檢測閾值0.08.可見,FDI攻擊的真實意圖體現(xiàn)在系統(tǒng)內(nèi)部狀態(tài)收斂性完全依賴于的收斂性,而FDI攻擊隱蔽性體現(xiàn)在外部測量殘差保持著與攻擊前相同的收斂性,這與式(11)和式(12)的結(jié)論一致,驗證了FDI攻擊效力模型(8)的有效性.

圖4是FDI攻擊對穩(wěn)定LTI系統(tǒng)測量輸出和實際輸出的影響.由于k=0,1,···,19時刻沒有發(fā)動任何攻擊,分別得到原閉環(huán)LTI系統(tǒng)輸出yk,由于存在過程噪聲和測量噪聲,測量輸出值存在一定波動.隨著時間k≥20遞增,FDI攻擊真實意圖體現(xiàn)在系統(tǒng)實際輸出不斷增加直至達到上界,收斂于,而FDI攻擊隱蔽性體現(xiàn)在系統(tǒng)測量輸出保持攻擊前系統(tǒng)輸出yk幾乎相同波動水平,收斂于[0.24,0.17]T,這與命題的結(jié)果式(18)和式(19)一致.這也揭示了FDI攻擊能夠操縱系統(tǒng)實際輸出的穩(wěn)定性,而保持穩(wěn)定的測量輸出能欺騙CPS運營中心的壞值檢測器.

圖3 FDI攻擊對穩(wěn)定LTI系統(tǒng)的攻擊效力Fig.3 FDI attack effectiveness on stable LTI system

圖4 FDI攻擊下穩(wěn)定LTI系統(tǒng)輸出Fig.4 Outputs of stable LTI system under FDI attacks

4.2 不穩(wěn)定矩陣 A

給定不穩(wěn)定矩陣A2,參考輸入和其他系統(tǒng)參數(shù)不變,如式(22)所示,計算出系統(tǒng)信噪比約為[6.92,2.75]T.針對不穩(wěn)定的LTI系統(tǒng)在卡爾曼濾波和LQR共同作用下處于穩(wěn)定運行狀態(tài),其卡爾曼增益K(同式(23)中K)和控制增益L為

該案例中,攻擊者發(fā)動FDI攻擊時間和協(xié)同策略與第4.1節(jié)的案例相同.圖5是FDI攻擊對不穩(wěn)定LTI系統(tǒng)的協(xié)同策略控制假數(shù)據(jù)和測量假數(shù)據(jù)的變化情況.與圖2比較,隨著時間k≥20遞增,即使控制假數(shù)據(jù)收斂于,測量假數(shù)據(jù)也無法收斂,這與注1和注2結(jié)論一致,原因在于不穩(wěn)定矩陣A影響著式(17)的計算結(jié)果.這里取對數(shù)值表示趨于無窮的.

圖5 FDI攻擊對不穩(wěn)定LTI系統(tǒng)的協(xié)同策略Fig.5 Coordination strategy under FDI attacks against unstable LTI system

圖6是FDI攻擊對不穩(wěn)定LTI系統(tǒng)的攻擊效力評估結(jié)果.與圖3比較,隨著時間k≥20遞增,即使控制假數(shù)據(jù)收斂于,FDI攻擊真實意圖體現(xiàn)在狀態(tài)估計誤差偏差量的Euclid范數(shù)不斷增加,也無法收斂,而FDI攻擊的隱蔽性體現(xiàn)在殘差偏差量的Euclid范數(shù)仍然保持攻擊前殘差值的幅值波動水平,低于檢測閾值0.05.這與注3結(jié)論一致.這里取對數(shù)值表示趨于無窮的.

圖7是FDI攻擊對不穩(wěn)定LTI系統(tǒng)測量輸出和實際輸出的影響.與圖4比較,隨著時間k≥20遞增,即使控制假數(shù)據(jù)收斂于,FDI攻擊真實意圖體現(xiàn)在系統(tǒng)實際輸出不斷增加,也無法收斂,而FDI攻擊隱藏性體現(xiàn)在系統(tǒng)測量輸出保持攻擊前系統(tǒng)輸出yk幾乎相同波動水平,收斂于[2.73,1.23]T,這符合式(18)和式(19)以及注4的結(jié)論.這里取對數(shù)值方便表示趨于無窮的.

圖6 FDI攻擊對不穩(wěn)定LTI系統(tǒng)的攻擊效力Fig.6 FDI attack effectiveness on unstable LTI system

圖7 FDI攻擊下不穩(wěn)定LTI系統(tǒng)輸出Fig.7 Outputs of unstable LTI system under FDI attacks

考慮不同的信噪比和穩(wěn)定性的受控對象LTI系統(tǒng),兩個仿真案例的數(shù)值結(jié)果表明文中所提出的FDI攻擊協(xié)同策略能夠操縱CPS穩(wěn)定性,關(guān)鍵在于設(shè)計的攻擊矩陣H和系統(tǒng)矩陣A的穩(wěn)定性和時間參數(shù)ka的選取時機.

5 結(jié)論

本文從攻擊者的角度闡述了FDI攻擊對CPS穩(wěn)定性的影響.基于CPS的基本控制單元,給出了具有一般性FDI攻擊模型,允許攻擊者同時從傳感器和執(zhí)行器網(wǎng)絡(luò)注入假數(shù)據(jù).從系統(tǒng)狀態(tài)估計誤差和殘差的角度提出了FDI攻擊效力模型,用來量化對CPS控制性能的影響,進而設(shè)計了FDI攻擊向量的協(xié)同策略.從理論上分析了系統(tǒng)狀態(tài)估計誤差偏差量和殘差偏差量變化情況,證明了FDI攻擊能影響系統(tǒng)實際輸出的收斂性而不改變系統(tǒng)測量輸出的穩(wěn)定性.數(shù)值仿真結(jié)果表明了FDI攻擊可任意操縱CPS的穩(wěn)定性,同時能有效躲避壞值檢測器.

本文揭示了FDI攻擊協(xié)同性特點,能夠在網(wǎng)絡(luò)拓撲的不同注入點(執(zhí)行器終端和傳感器終端)實現(xiàn)欺騙攻擊.總的來說,與其他網(wǎng)絡(luò)攻擊的不同之處在于FDI攻擊不是從物理意義上摧毀壞值檢測器,而是著眼于網(wǎng)絡(luò)信息層,誤導(dǎo)壞值檢測器做出錯誤檢測結(jié)果而不自知;同時面向不同模型參數(shù)的控制系統(tǒng),FDI攻擊通過調(diào)控攻擊矩陣H和時間參數(shù)ka,靈活設(shè)計假數(shù)據(jù)注入值,進而操縱該控制系統(tǒng)收斂于攻擊者期望的任一工作點.本文也揭示了CPS系統(tǒng)存在嚴重的網(wǎng)絡(luò)安全漏洞,威脅著各類控制管理調(diào)度系統(tǒng)的正常運行.未來工作,我們將提出攻擊檢測方案和防御策略,保障CPS安全可靠運行.