信息物理系統(tǒng)狀態(tài)估計(jì)的攻擊策略研究

李 唯，王志文

（1.蘭州理工大學(xué) 電氣工程與信息工程學(xué)院， 蘭州730050；2.甘肅省工業(yè)過(guò)程先進(jìn)控制重點(diǎn)實(shí)驗(yàn)室， 蘭州730050；3.蘭州理工大學(xué) 電氣與控制工程國(guó)家級(jí)實(shí)驗(yàn)教學(xué)示范中心，蘭州730050）

信息物理系統(tǒng)CPS 是將計(jì)算技術(shù)、通信技術(shù)和控制技術(shù)即3C（computer，communication，control）技術(shù)深度融合到物理系統(tǒng)中，依賴計(jì)算對(duì)物理環(huán)境進(jìn)行感知和控制，實(shí)現(xiàn)信息空間與物理世界的無(wú)縫結(jié)合的新一代工程系統(tǒng)[1]。CPS 與人們的生活和社會(huì)的發(fā)展有著緊密的聯(lián)系， 被廣泛應(yīng)用于諸多領(lǐng)域，如交通運(yùn)輸業(yè)[2]、環(huán)境監(jiān)測(cè)系統(tǒng)、醫(yī)療保健[3]等。然而，許多惡意攻擊者都將注意力轉(zhuǎn)移到了如何破壞CPS安全之上，使得系統(tǒng)安全成為CPS 面向?qū)嶋H應(yīng)用的關(guān)鍵性問(wèn)題，其破壞程度之大、危險(xiǎn)系數(shù)之高常常是CPS 的設(shè)計(jì)者和管理者所始料未及的。例如，在2016年以色列電力供應(yīng)系統(tǒng)遭受了重大攻擊，迫使電力供應(yīng)系統(tǒng)中大量計(jì)算機(jī)離線運(yùn)行[4]。

由于CPS 的安全對(duì)國(guó)民經(jīng)濟(jì)發(fā)展和人民生活的重要性，各國(guó)學(xué)者開(kāi)展了針對(duì)CPS 安全相關(guān)的科學(xué)理論研究和實(shí)踐，如何保障CPS 安全已經(jīng)成為業(yè)界的前沿課題。

1 信息物理系統(tǒng)的研究現(xiàn)狀

根據(jù)已有的研究工作，CPS 遭受的攻擊可以歸類(lèi)為兩大類(lèi)：拒絕服務(wù)DoS（denial of service）攻擊[5]和欺騙攻擊[6]。DoS 攻擊的典型攻擊方式是干擾系統(tǒng)元件之間的通信，進(jìn)而降低系統(tǒng)的性能。文獻(xiàn)[7]提出的事件驅(qū)動(dòng)控制策略解決了控制系統(tǒng)中存在能量受限的周期性DoS 攻擊；文獻(xiàn)[8]針對(duì)DoS 攻擊對(duì)電力信息物理系統(tǒng)的影響，利用分布式控制架構(gòu)設(shè)計(jì)傳感器的思想，提出了網(wǎng)絡(luò)控制系統(tǒng)脆弱節(jié)點(diǎn)的檢驗(yàn)方法和控制策略，保證系統(tǒng)能夠安全穩(wěn)定運(yùn)行。

欺騙攻擊主要通過(guò)在不被發(fā)現(xiàn)的情況下修改傳輸?shù)臄?shù)據(jù)包，使系統(tǒng)失去穩(wěn)定性。若數(shù)據(jù)被惡意代理修改，那么統(tǒng)計(jì)特征就會(huì)改變，因此基于殘差的虛χ2假數(shù)據(jù)檢測(cè)器被廣泛應(yīng)用于檢測(cè)這種系統(tǒng)的異常行為[9-10]。然而，攻擊者往往通過(guò)精心設(shè)計(jì)攻擊策略以避開(kāi)虛假數(shù)據(jù)檢測(cè)器。例如，文獻(xiàn)[11]提出了欺騙攻擊成功地繞過(guò)系統(tǒng)的監(jiān)測(cè)，但并沒(méi)有通過(guò)狀態(tài)估計(jì)的條件；利用所提出的條件不僅可以評(píng)估給定的CPS 的脆弱程度，而且開(kāi)發(fā)了可以抵抗欺騙攻擊的安全系統(tǒng)設(shè)計(jì)方法。文獻(xiàn)[12]分析了遭受虛假數(shù)據(jù)注入攻擊的后果以及能夠達(dá)到的估計(jì)誤差。在此基礎(chǔ)上，文獻(xiàn)[13]針對(duì)系統(tǒng)狀態(tài)估計(jì)提出一種基于數(shù)據(jù)驅(qū)動(dòng)的攻擊策略。

基于這些研究的啟發(fā)，在此所考慮的系統(tǒng)架構(gòu)如圖1所示。在每個(gè)時(shí)刻K，智能傳感器處理本地原始數(shù)據(jù)并將其本地更新值發(fā)送到網(wǎng)關(guān)，而且僅允許網(wǎng)關(guān)在特定的時(shí)間段與遠(yuǎn)程估計(jì)器通信。定義T∈N為網(wǎng)關(guān)和遠(yuǎn)程估計(jì)器之間的通信時(shí)間段。每次通信以來(lái)收集的所有數(shù)據(jù)包zτ+1到zτ+T（τ=αT，α∈N）均通過(guò)無(wú)線網(wǎng)絡(luò)發(fā)送。惡意攻擊者可以攔截并擾亂數(shù)據(jù)序列，在遠(yuǎn)程一端基于虛假數(shù)據(jù)檢測(cè)器來(lái)監(jiān)視系統(tǒng)是否有潛在的受攻擊行為。

圖1 系統(tǒng)架構(gòu)Fig.1 System architecture

文中，N 和R 為正整數(shù)和實(shí)數(shù)的集合；Rn為n維歐幾里得空間；和分別為半正定矩陣、正定矩陣，當(dāng)X∈時(shí)記X≥0（或X＞0 當(dāng)且僅當(dāng)X∈）；N（μ，Σ）為平均值μ 和協(xié)方差矩陣Σ 的高斯分布；′和tr（·）為矩陣的轉(zhuǎn)置和矩陣的跡；zi，j為set｛zi，zi+1，…，zj｝，i，j∈T。

2 問(wèn)題的描述

2.1 模型建立

考慮離散線性時(shí)不變LTI（linear time invariant）過(guò)程為

式中：k∈N 為時(shí)間指數(shù)；xk∈Rn為過(guò)程狀態(tài)向量；yk∈Rm為 傳感 器測(cè)量 矢量；wk∈Rn和vk∈Rn分 別為具有協(xié)方差Q≥0 和R＞0 的零均值高斯白噪聲。初始狀態(tài)x0是具有協(xié)方差矩陣Σ0≥0 的零均值高斯分布， 并且對(duì)于所有的k≥0 完，wk和vk全獨(dú)立。（A，C）是可觀的，（A，Q）是可控的。

在每個(gè)k 時(shí)刻，假設(shè)傳感器首先基于過(guò)程測(cè)量值執(zhí)行本地估計(jì)， 然后將更新值發(fā)送到遠(yuǎn)程估計(jì)器。分別定義和為傳感器一側(cè)狀態(tài)xk的先驗(yàn)、后驗(yàn)最小均方估計(jì)誤差；和作為相應(yīng)的誤差協(xié)方差，它們可以通過(guò)卡爾曼濾波器計(jì)算得到：

當(dāng)時(shí)間趨于無(wú)窮時(shí)，卡爾曼濾波器的增益和誤差協(xié)方差，從任何初始條件開(kāi)始以指數(shù)函數(shù)的方式快速收斂到穩(wěn)態(tài)值。

定義zk為k 時(shí)刻發(fā)送的更新值，即

它具有以下屬性：

2）對(duì)于?i≠j，zi和zj完全獨(dú)立。

傳感器發(fā)送的更新值是zk，而不是測(cè)量值yk或者本地狀態(tài)值。更新值z(mì)k的穩(wěn)態(tài)高斯分布有助于直接檢測(cè)異常數(shù)據(jù)。

2.2 數(shù)據(jù)包重新排序攻擊策略

根據(jù)TCP/IP 協(xié)議， 每個(gè)數(shù)據(jù)包的唯一序列號(hào)（SYN）使遠(yuǎn)程估計(jì)器能夠區(qū)分接收數(shù)據(jù)的順序。文中提出一種新穎的數(shù)據(jù)包重新排序攻擊策略，惡意攻擊者可以使用該策略：

1）攔截所有的傳輸數(shù)據(jù)包；

2）修改TCP 標(biāo)頭中的序列號(hào)。

假設(shè)網(wǎng)關(guān)接收的所有的數(shù)據(jù)包都在傳輸期間發(fā)送出去。因此，自上一次通信以來(lái)，T 時(shí)刻更新值在網(wǎng)關(guān)中被緩沖。惡意攻擊者通過(guò)劫持網(wǎng)關(guān)，能夠隨意改變這些T 時(shí)刻的更新值，進(jìn)而改變遠(yuǎn)程估計(jì)器使用的更新值順序，因此，估計(jì)器使用（錯(cuò)誤的）更新值z(mì)l（k）而不是zk，其中l(wèi)：N→N 為定義當(dāng)前時(shí)刻k 的重新排序的函數(shù)。分別定義和為遠(yuǎn)程估計(jì)器狀態(tài)xk的先驗(yàn)、和后驗(yàn)最小均方估計(jì)誤差；和分別為其相應(yīng)的誤差協(xié)方差。

提出的數(shù)據(jù)包重新排序攻擊策略，由于修改后創(chuàng)新值的分布仍遵循相同的高斯分布N（0，σ），所以可以繞過(guò)χ2虛假數(shù)據(jù)檢測(cè)器。

3 數(shù)據(jù)包重新排序攻擊下的性能分析

考慮到提出的數(shù)據(jù)包重新排序攻擊下的LIT 過(guò)程（1）和方程（2），在遠(yuǎn)程估計(jì)器狀態(tài)估計(jì)更新為

式中：K 為固定增益，由式（5）給出；zl（k）為遠(yuǎn)程估計(jì)器在時(shí)刻k 使用改變后的更新值函數(shù)。

定理1在數(shù)據(jù)包重新排序攻擊下， 遠(yuǎn)程估計(jì)器的誤差協(xié)方差的迭代遵循遞歸為

其中

而且

4 最佳攻擊策略

基于上述攻擊策略和估計(jì)誤差協(xié)方差的演變，使用終端估計(jì)誤差協(xié)方差作為目標(biāo)函數(shù)來(lái)衡量系統(tǒng)性能，即

提出數(shù)據(jù)包重新排序攻擊策略并分析潛在的攻擊后果。為了得到系統(tǒng)因遭受攻擊入侵而引起的潛在后果，首先給出如下引理：

引理在時(shí)間段［τ+1，τ+T］內(nèi)（其中τ=αT，α∈N），任意改變2 個(gè)更新值序列，對(duì)于k1，k2，l（k1）和l（kk）∈［1，T］，如果改變zl（k2）和zl（k1），滿足以下任意一個(gè)條件，就將會(huì)導(dǎo)致更大的終端估計(jì)誤差協(xié)方差：

1）A＞0，k2＞k1，l（k2）＞l（k1）；

2）?i，j，k+t∈［1，T］，k+t＞k，j＞i，k2＞k1，l（k2）＞l（k1）；tr［（A2T-k-j-A2T-k-t-j）（Aj-i-I）Δ］≥0

定理2在［τ+1，τ+T］（其中τ=αT，α∈N）時(shí)間間隙內(nèi)，已終端估計(jì)誤差協(xié)方差作為目標(biāo)函數(shù)，若滿足：

1）A＞0；

2）?i，j，p，q∈［1，T］，p＞q，j＞i，tr［（A2T-k-j-A2T-k-t-j）（Aj-i-I）Δ］≥0

則可以使得終端估計(jì)誤差協(xié)方差最大化，更新值序列按時(shí)間倒序就是最優(yōu)攻擊策略。

5 仿真驗(yàn)證

考慮一個(gè)穩(wěn)定的過(guò)程， 系統(tǒng)參數(shù)A=0.8，C=2，Q=1.5，R=1.2。其仿真結(jié)果如圖2所示。

圖2 穩(wěn)定過(guò)程仿真Fig.2 Stabilization process simulation

假設(shè)傳感器能夠在每隔5 個(gè)時(shí)間間隙和遠(yuǎn)程估計(jì)器進(jìn)行一次通信， 即T=5。在時(shí)間區(qū)間［0，20］內(nèi)，系統(tǒng)進(jìn)入穩(wěn)態(tài)。在k=21 時(shí)，惡意攻擊者將啟動(dòng)重新排序攻擊。最優(yōu)攻擊策略就是將更新值按時(shí)間反向順序重新排列，對(duì)應(yīng)于圖2中的“最優(yōu)攻擊下”；“隨機(jī)攻擊下”表示攻擊者隨機(jī)切換數(shù)據(jù)序列?！盁o(wú)攻擊時(shí)”則表示未用攻擊的估計(jì)誤差協(xié)方差；在這種情況下，最優(yōu)重新排序攻擊下每個(gè)通訊周期的終端估計(jì)誤差協(xié)方差最大；當(dāng)過(guò)程進(jìn)入穩(wěn)定時(shí)，誤差協(xié)方差收斂。

參數(shù)為A=1.05，C=2，Q=1，R=1 的不穩(wěn)定過(guò)程在最優(yōu)重新排序攻擊、隨機(jī)攻擊下，遠(yuǎn)程估計(jì)器的誤差協(xié)方差如圖3所示。由圖可見(jiàn)，在每個(gè)通訊周期內(nèi)，最優(yōu)攻擊策略將使得終端估計(jì)誤差協(xié)方差最大化。值得注意的是，在這種情況下，與穩(wěn)定過(guò)程不同的是，誤差協(xié)方差隨著時(shí)間趨于無(wú)窮而發(fā)散。

6 結(jié)語(yǔ)

圖3 過(guò)程不穩(wěn)定的仿真Fig.3 Simulation of process instability

CPS 被稱為下一代智能系統(tǒng)，將進(jìn)一步改變?nèi)伺c物理世界的交互方式，實(shí)現(xiàn)人、計(jì)算、物理資源的高效協(xié)調(diào)與緊密結(jié)合。針對(duì)CPS 的狀態(tài)估計(jì)場(chǎng)景，文中提出了一種新穎的數(shù)據(jù)重新排序的攻擊策略，可以成功地繞過(guò)χ2虛假數(shù)據(jù)檢測(cè)器，進(jìn)而降低系統(tǒng)的估計(jì)性能；給出了遠(yuǎn)程估計(jì)誤差協(xié)方差在攻擊下的演化過(guò)程，并分析了系統(tǒng)性能的下降。為能夠更好的體現(xiàn)所提出攻擊策略的效果，以終端估計(jì)誤差協(xié)方差作為性能指標(biāo)，證明了按時(shí)間反向順序排列創(chuàng)新序列是最佳的攻擊策略，使得終端估計(jì)誤差協(xié)方差最大化。