基于DoS攻擊和檢測的信息物理系統(tǒng)攻擊策略

徐光延，何光明，劉 皓

(沈陽航空航天大學(xué) 自動化學(xué)院，沈陽 110136)

近年來，科研人員在信息與物理要素緊密結(jié)合的信息物理系統(tǒng)(CPS)各個方面取得了豐碩的研究成果[1-3]。CPS在各個領(lǐng)域有廣闊的應(yīng)用場景，比如軍事國防、智能家居、智能電網(wǎng)等領(lǐng)域[4]。由于CPS包含大量的關(guān)鍵基礎(chǔ)設(shè)施，一旦受到攻擊，隨之而來的各方面損失巨大[5]。近幾年，世界范圍內(nèi)發(fā)生的重大安全事件也暴露了CPS安全問題的重要性。例如，2003年1月，美國俄亥俄州核電站遭受了藍寶石蠕蟲病毒的DoS攻擊，攻擊者使核電站網(wǎng)絡(luò)數(shù)據(jù)在數(shù)小時內(nèi)傳輸量劇增，導(dǎo)致該核電站計算及處理速度變緩，過程控制計算機無法運行[6]。2015年，Black-Energy3攻擊了烏克蘭的電力部門，導(dǎo)致7座110 kV和23座35 kV變電站斷電長達3小時[7]。針對信息物理系統(tǒng)的典型攻擊類型為：DoS攻擊、欺騙攻擊、重放攻擊等，其中DoS攻擊通過阻塞信道破壞數(shù)據(jù)的可用性或?qū)崟r性，從而使發(fā)向控制器或執(zhí)行器的數(shù)據(jù)包發(fā)生丟包或延遲[8]。

DoS攻擊下的CPS安全問題研究涉及多個學(xué)科，跨越多個領(lǐng)域，廣大的科研人員對此展開了廣泛的研究，并已取得了不少研究成果。文獻[9]總結(jié)了網(wǎng)絡(luò)攻擊的特點，并利用入侵者對系統(tǒng)模型的先驗知識定義了攻擊空間。針對DoS攻擊引起的劇烈丟包問題，文獻[10]通過設(shè)計一種基于半正定的因果控制器，實現(xiàn)了帶有安全和能量約束的系統(tǒng)最優(yōu)控制。文獻[11]研究了服從Markov過程的DoS攻擊下的最優(yōu)控制問題，并通過空間變換技術(shù)給出了最優(yōu)控制解。文獻[12]將拒絕服務(wù)攻擊和控制器視為博弈雙方，研究了他們之間的零和博弈問題，并從鞍點平衡的角度分析了攻擊者和防御者之間的博弈策略。

現(xiàn)有的大部分研究均集中于給定攻擊模式下的系統(tǒng)性能分析，文獻[13]指出研究攻擊者最優(yōu)的攻擊策略及其后果是CPS安全的重要方面。因此，本文的目標(biāo)是研究如何最大化攻擊者的攻擊收益，從而使該攻擊對CPS的影響達到最大。傳感器處理測量數(shù)據(jù)，并通過無線信道將數(shù)據(jù)發(fā)送到遠程估計器，攻擊者具有有限的攻擊能量預(yù)算，并在每個采樣時間點決定是否對信道進行阻塞攻擊以降低遠程狀態(tài)估計質(zhì)量。本文的主要貢獻體現(xiàn)在以下幾個方面：

(1)構(gòu)造了DoS最優(yōu)攻擊策略，可以最大化期望平均估計誤差；

(2)給出了基于遠程狀態(tài)估計端的入侵檢測系統(tǒng)(IDS)的最優(yōu)攻擊策略；

(3)進一步給出了傳感器和攻擊者都具有能量約束時的最優(yōu)攻擊策略。

1 系統(tǒng)建模和問題描述

網(wǎng)絡(luò)攻擊示意圖如圖1所示，系統(tǒng)的狀態(tài)方程為

圖1 網(wǎng)絡(luò)攻擊示意圖

(1)

其中xk為系統(tǒng)的狀態(tài)量，yk為系統(tǒng)的傳感器測量量，wk是系統(tǒng)過程噪聲，vk是測量噪聲，wk和vk是互不相關(guān)的零均值高斯白噪聲，相對應(yīng)的協(xié)方差分別為∑w和∑v。假設(shè)(A,C)是可觀測的，(A,∑w1/2)是可控的。

(2)

攻擊者通過干擾無線信道來降低遠程估計質(zhì)量，然而攻擊者的能量預(yù)算有限，必須在每次采樣時決定是否堵塞通道。假設(shè)傳輸過程中沒有DoS攻擊，則數(shù)據(jù)包將安全到達遠程估計器。

用γk=1或者0表示攻擊者在時間點k處是否攻擊。γ作為攻擊者的策略，定義了時間點為k時的攻擊策略γk。當(dāng)攻擊者發(fā)起攻擊并阻塞信道時，傳感器數(shù)據(jù)包將以概率α丟包，用θk=1或者0表示時間點k時數(shù)據(jù)包是否丟包，假設(shè)θk為伯努利隨機變量，即

E(θk)=α

(3)

(4)

(5)

‖γ‖0=n

(6)

對于一個已給定的攻擊序列γ，定義Ja(λ)為平均期望誤差協(xié)方差矩陣

(7)

本文站在攻擊者的角度，希望解決以下主要問題，其中Z={0,1}T為所有攻擊者可能的攻擊策略集合

(8)

2 最優(yōu)攻擊策略分析

2.1 在DoS攻擊下的遠程狀態(tài)估計和攻擊策略

在此定義一個h(X)函數(shù)變換，此函數(shù)用來表示在DoS的不斷攻擊下系統(tǒng)誤差協(xié)方差的疊加

h(X)?AXA′+∑w

(9)

其中h(X)函數(shù)具有如下性質(zhì)[15]

(10)

(11)

在連續(xù)攻擊區(qū)間[s+1,s+m]，誤差協(xié)方差矩陣Ps+k可以表示為

(12)

條件概率計算表示如下，該性質(zhì)可由數(shù)學(xué)歸納法得到

(13)

舉例說明一下，對于這樣的一個攻擊序列

(14)

可以計算Ja(γ)

(15)

從性質(zhì)(1)和(4)可以看出，對于攻擊者來說，攻擊次數(shù)越多，攻擊收益越大；從性質(zhì)(2)和(3)可以看出，集中攻擊比分段攻擊的收益要大。

對于前文的主要問題，本節(jié)給出對應(yīng)的收益

(16)

2.2 在給定IDS下的最優(yōu)攻擊策略

上文所涉及的問題是在沒有防御措施的前提下進行討論的。實際應(yīng)用中，當(dāng)估計器察覺到由于環(huán)境變化或者敵人入侵等未知因素而導(dǎo)致數(shù)據(jù)丟包時，通常在接收端設(shè)計一個入侵檢測器(如圖2所示)，作為有效降低這些影響因素的關(guān)鍵。本文提出了接收端數(shù)據(jù)包接收率(PRR)這個概念來作為入侵檢測的標(biāo)準(zhǔn)，PRR是與傳感器發(fā)送出去的數(shù)據(jù)包相比，被成功接收到估計器的數(shù)據(jù)包接收率。本文給出PRR的計算公式

圖2 存在入侵檢測器下的網(wǎng)絡(luò)攻擊原理圖

(17)

其中τ表示一個給定時間窗的長度，σ表示在給定的時間范圍中接收到的數(shù)據(jù)包數(shù)量。如果PRR太小，則檢測器推斷系統(tǒng)中存在攻擊者，并發(fā)出警報，傳感器可以使用信道跳頻技術(shù)來保證數(shù)據(jù)包能夠被遠程估計器接收到。假設(shè)當(dāng)PRR≤PRR0時，警報會觸發(fā)，PRR0是給定的警報邊界值。

由此可引出如下的一條性質(zhì)

由此性質(zhì)可知，任何攻擊序列如果不超過長度d的攻擊，都不會被檢測器檢測到。其中

(18)

事實上，攻擊者可以通過無線信道竊取時間窗τ和PRR0的數(shù)值，然后再采取攻擊行動。為了不被IDS檢測到，引出了這樣一個約束問題以及對應(yīng)的解

(19)

(20)

如果d≥n，那么n次連續(xù)的攻擊都是最優(yōu)攻擊，最優(yōu)解在式(16)中給出；如果d

當(dāng)z0+z1+z2+z3+(s1+s2)σ0=T-n，s1+s2=m，m為n/d的商，r為余數(shù)，收益為

(21)

2.3 能量約束下的最優(yōu)攻擊策略

上述問題是在假設(shè)傳感器有足夠的能量可以在整個時間范圍內(nèi)傳輸?shù)那疤嵯掠懻摰?，而?dāng)傳感器能量受限時，不能一直傳輸數(shù)據(jù)，這時攻擊者需要改變攻擊策略，假定傳感器和估計器都不知道攻擊者的存在。

定義Vk=1或者0表示傳感器在時間點k時是否傳輸?shù)臎Q策變量，用V表示傳感器的傳輸策略，它定義了時間k時的Vk。Θ來表示V的集合，所考慮的傳感器能量約束問題為

(22)

s.t.‖V‖0=N

(23)

‖γ‖0=n

(24)

從文獻[16]中得到如下性質(zhì)

(25)

其中令q=[T/N]，序列中有T-qN次τi=q，(q+1)N-T次τi=q-1；

假設(shè)攻擊者在攻擊行動開始之前，可通過長時間的竊聽傳輸信道來獲得傳感器的傳輸策略。將t(i)=1,2,…,N表示傳感器數(shù)據(jù)包傳輸時間。如果n≥N，很顯然最優(yōu)攻擊策略作用于整個傳輸時間t(i)=1,2,…,N；所以只需要考慮約束問題(22)～(24)中n

當(dāng)n<(1/2)T時，傳感器傳輸策略V*∈Θ有如下序列結(jié)構(gòu)

(26)

最優(yōu)的攻擊策略由γt(k)=1,k=i+1,i+2,…,i+n和γk=0給出。對應(yīng)的攻擊收益為

(27)

其中，hi(α,Δτ)=[(n-i)(αi-αi+1)+αi]hi(Δτ)

當(dāng)n≥(1/2)T，α=1，傳感器策略V*是如下序列結(jié)構(gòu)

(28)

最優(yōu)的攻擊策略γ*由γt(k)=1,k=i+1,i+2,…,i+n和γk=0給出，對應(yīng)的攻擊收益為

(29)

其中，n=δb+b0,0≤b0≤b。

3 仿真結(jié)果

表1 10種攻擊策略組合

圖3 隨著攻擊次數(shù)n增加不同攻擊策略下的Tr(Ja)(T=100,α=1)

圖4 隨著丟包率α增加不同攻擊策略下的Tr(Ja)(T=100)

圖5 不同丟包率條件下的攻擊策略Tr(Ja)

4 結(jié)論

本文考慮了針對無線信道進行遠程狀態(tài)估計的最優(yōu)攻擊策略問題，得到了如下結(jié)論：連續(xù)集中的DoS攻擊會造成最大期望的平均誤差協(xié)方差，當(dāng)攻擊被均勻分離后，攻擊對系統(tǒng)的估計質(zhì)量影響最小。當(dāng)估計器端存在入侵檢測器時，通過基于入侵檢測的最優(yōu)攻擊策略方案，大大減少被攻擊的損失。提出當(dāng)傳感器和攻擊者同時受到能量約束時的最優(yōu)攻擊策略。并引入博弈論思想，證明了對方策略的交互構(gòu)成了一個零和博弈的納什均衡。仿真結(jié)果證明所提出的最優(yōu)攻擊策略有效。