CN110062009A - 一种信息物理融合系统防御的形式化检测方法 - Google Patents

Abstract

本发明公开了一种信息物理融合系统防御的形式化检测方法，基于时间自动机的CPS虚假数据注入攻击的检测和验证，包括CPS各部分模型的构建和CPS安全属性验证，根据CPS通用的分层网络安全体系结构，首先对各个层次的组件建模，然后完成虚假数据注入攻击者和自动恢复机制的建模，最后组成完整系统，从而进行验证；本发明的有益效果是：时间自动机是包含时间约束的状态机，CPS往往有时间性要求，利用时间自动机对CPS建模及验证简单易行；对于CPS行为安全的建模、验证和分析，能够有效提高CPS的系统安全。

Description

一种信息物理融合系统防御的形式化检测方法

技术领域

本发明属于信息安全及形式化方法技术领域，具体涉及一种信息物理融合系统防御的形式化检测方法。

背景技术

信息物理系统(Cyber Physical Systems，以下简称CPS)安全是智能制造的重要技术基础之一，作为一个新型的、尚处在发展阶段的领域，CPS在安全方面的关键技术上还有很多问题亟待解决，CPS是信息系统和控制工业生产及维护关键基础设施服务的设备之间的基本联系。CPS和信息系统之间的互连会造成可利用的安全漏洞，这是由许多因素造成的，例如CPS信息安全应用的遗留问题，以及CPS开发者倾向于以牺牲系统的完整性和机密性为代价，而优先考虑可用性。因此，CPS容易受到DoS攻击，甚至受到对系统数据完整性的攻击；这些攻击的影响不仅仅是数据丢失或者无法访问信息系统的服务，更是在现实世界中造成重大损失。

在当今高度相互关联的世界中，CPS将计算机控制系统与物理设备相连接，以便与其环境进行交互，从而提供人们日常所需的各种服务，包括交通运输，建筑设备自动化，电力，水，工业生产和医疗等。CPS是“包括物理和计算组件的工程交互网络的智能系统”。CPS往往使用传感器，执行器和控制器网络，从而使得监督者可以监视和调节物理过程。

如图1所示，CPS有通用的分层网络安全体系结构：管理层、监督层、实时控制层和物理层。在管理层，系统的硬件之间通过互联网交换信息，功能包括：历史数据存储，数据管理和其他一些任务；监督层的功能是配置系统的参数和监控系统整体的稳定及安全；实时控制层的控制器与物理层设备连接，控制器直接影响物理层，物理层的反馈信息也影响控制器的决策；因此在物理层中，许多工业过程和关键基础设施是与实时控制层直接接触并通过物质流相互连接的，管理层通常不参与建模。

关于虚假数据注入攻击，其完整描述为：如果攻击者可以确定CPS的当前配置，它可以注入误导状态检测过程的恶意测量数据，而不会被任何检测技术检测到，攻击者可以利用状态估计算法可以容忍的小测量误差，从而进一步增加虚假数据注入攻击的影响而不被检测到。

综上所述，本发明申请提出一种利用时间自动机对CPS进行建模，然后基于模型对CPS虚假数据注入攻击和防御机制有效性进行检测的方法，并能够给出一些与CPS安全相关的结论。

发明内容

本发明的目的在于提供一种信息物理融合系统防御的形式化检测方法，利用形式化的时间自动机模型来对CPS系统的安全性进行检测和分析。

为实现上述目的，本发明提供如下技术方案：一种信息物理融合系统防御的形式化检测方法，基于时间自动机的CPS虚假数据注入攻击的检测和验证，包括CPS各部分模型的构建和CPS安全属性验证，根据CPS通用的分层网络安全体系结构，首先对各个层次的组件建模，然后完成虚假数据注入攻击者和自动恢复机制的建模，最后组成完整系统，从而进行验证。

作为本发明的一种优选的技术方案，时间自动机：一个时间自动机是一个六元组A＝(S,Init,Σ,C,L,T)，其中S是一个有穷状态集合；是一个初始状态集合；Σ是一个事件集合；C是一个有穷时钟集合；L:S→Φ_≤,＜(C)是一个函数，在每个状态上添加一个状态不变式；是一个带时间约束的转移关系。

图2中的模型是一个涵盖大部分常用的建模特征的时间自动机的例子，该模型实现了一个智能灯控任务，假定灯有Light和Bright两种光线强度，初始状态Off在事件Press发生后，时钟x重置为0并跳转到状态Light，如果在3个时间单位内Press发生，状态由Light跳转到Bright，否则跳转到Off状态，当处于Bright状态时，Press事件发生后，状态转移到初始状态Off。

以下对时间自动机的建模元素进行说明：

常量和变量：常量是在模型运行时不会被修改的量，而变量是会被修改的量，时间自动机中常量表示为#defineA10，即定义常量A，值为10；变量表示为varB:{0..100}＝50，即定义变量B，初始值为50，范围从0到100。

状态：事件的发生将触发建模系统的执行，根据条件，系统处于、进入或者离开某一状态，图2中，当时钟x>3时，系统离开Light状态，进入Off状态，Off为初始状态，用一个环形表示，任何时刻系统都不可能同时处于两个状态。

事件：用于触发建模系统的执行，图2智能灯控中的Press是普通事件，信道事件表示不同进程或组件间发送消息或者接受消息，假设c为信道名，c！表示发送消息，c？表示接受消息。

时钟：时钟用于约束系统状态或者转移，当时钟条件加在状态上时，表示在满足时钟条件的前提下，系统始终处于当前状态；当时钟条件加在转移上时，表示在满足时钟条件的时，转移才可以启动，图2智能灯控中的Clock:<x>3>即为转移上的时钟条件，Clockreset:{x}表示时钟重置为0，一个系统中可以有多个时钟。

状态不变式：状态不变式指的是对状态的时间约束，时间自动机中可以在状态上加时钟变量的约束，在满足条件时，系统一直处于当前状态，而不会转移到其他状态。

转移：连接两个状态，即系统从源状态向目标状态的转换，每个转移的表示为：Clock:<时钟条件>[转移条件]事件{操作}Clockreset:{时钟}，在时钟变量满足时钟条件及系统变量满足转移条件的情况下，执行事件，操作是当转移时立即执行的动作，重置时钟是在事件执行之后将{}内的时钟重置为零，图2智能灯控中包含了时钟条件，事件和时钟重置。

作为本发明的一种优选的技术方案，所述CPS各部分模型的构建包括系统建模、攻击者建模、自动恢复机制建模；其中，

系统建模：CPS系统建模是指在没有攻击者的情况下，能够正常运作的CPS系统的建模，首先将各个层次的运作组件建模为一个或者多个进程，一个进程的建模步骤大致如下：第一步，确定组件工作中所有的状态及初始状态；第二步，确定组件内部各个状态之间的转移和组件与组件之间的消息收发，即为事件；第三步，确定组件的时钟变量有几个，分别作用于哪个状态和转移；第四步，在状态上加上对其的时钟约束；第五步，为状态之间的转移加上时钟条件，转移条件等特征；通过上述步骤完成一个时间自动机进程的建模，然后运用复合算子“|||”将所有进程整合为一个完整的系统，例如，System＝A|||B|||C，其中A、B、C为CPS系统的各个组件，即时间自动机进程，每个进程中事件独立、交替运行，无论事件是否相同，通过进程间消息收发或者全局变量进行交互。

攻击者建模：针对CPS的虚假数据注入攻击，即攻击者模拟监督层向实时控制层发送错误的命令或消息，从而改变与系统安全运行相关的参数，要利用时间自动机将该类攻击建模为一个进程，消息由攻击者发出给实时控制层的组件。

CPS自动恢复机制建模：自动恢复机制建模，即系统在周期性自检过程中，检查系统关键数据是否被改变，以及受到攻击后如何防御，同样利用时间自动机，将自动恢复机制建模为一个或多个进程。

作为本发明的一种优选的技术方案，所述CPS是否满足安全属性的验证方式为，首先对安全属性进行描述，再利用时间自动机运行状态的展开方法生成状态空间，与此同时基于可达性算法进行属性验证；其中，

系统运行状态展开：时间自动机事实上是状态转移系统，在验证过程中，需要将系统的状态展开，生成有穷的状态空间；由于时间点是无穷的，状态转移系统中状态数量也是无穷的，因此需要将其转化为有穷的状态系统才能进行相关验证，采用时钟域抽象方法，得到有穷状态的转移系统，称为时钟域图，作为时间自动机的状态空间的表达，时钟域是一个时钟赋值的集合，里面的所有时钟值都满足某个时间约束；一个时钟域是由定义在时钟上的简单线性不等式或线性不等式的合取式结合组成，例如、等，其中x和y都是已定义的时钟变量。时钟域图的生成方式如下：令为一个时间自动机，其时钟域图是一个四元组，其中:表示节点集合，每个节点用表示，且代表一个状态，代表一个时间约束(时钟域)；是初始节点集合；代表一个转移关系，即对于任意一个，当且仅当，并且时，则。

图3以智能灯控为例，给出其时钟域图，每个节点都由一个状态和一个时钟域组成，(Off，x>＝0)是初始节点，图2中已知从Off状态出发有一个转移到达Light状态，根据时钟域图的生成方法，可计算出初始节点的后续状态为(Light，x>＝0)。

复合后的完整系统System＝A|||B|||C的状态空间展开方式为，假设时间自动机A、B和C分别处于状态a、b和c，即当前节点为(a|||b|||c,)，如果从a出发有一条转移到达a’状态，则生成后续节点(a’|||b|||c,)，的计算方式与上述方法一致。重复该步骤，直到穷尽搜索所有状态为止。

基于可达性算法的安全属性验证：安全属性验证采用可达性算法，其核心思想为根据前一步骤生成的状态空间，搜索状态空间中符合条件或与之矛盾的状态；安全属性验证分为两步，即断言描述和根据断言运行算法，安全属性往往用常量定义，例如#defineHighestGrade＝＝100，即用Hightest来表示分数Grade等于100；然后描述断言，例如#assertSystemreachesHighest，即验证System是否能够达到某个状态，使得Highest成立；然后使用如下状态搜索算法得出结果，算法1中working是一个只包含状态空间中初始(init)状态的集合，visited是一个空的集合，用来存储已访问过的状态；c表示要验证的属性；算法每次从working中取出一个状态，检查该状态上c是否满足，如果是，则返回true并停止搜索，否则将该状态放入visited(如果visited不包含该状态)，继续进行遍历；直到遍历完所有状态，返回false，即属性c不满足；根据搜索算法得出安全属性c是否满足的结论。

算法1：状态搜索算法：

作为本发明的一种优选的技术方案，所述CPS通用的分层网络安全体系结构包括管理层、监督层、实时控制层和物理层。

作为本发明的一种优选的技术方案，所述控制器直接影响物理层，物理层的反馈信息影响控制器的决策。

与现有技术相比，本发明的有益效果是：

(1)时间自动机是包含时间约束的有限状态机，CPS往往有时间性要求，利用时间自动机对CPS建模及验证简单易行；

(2)对于CPS行为安全的建模、验证和分析，能够有效提高CPS的系统安全。

附图说明

图1为本发明的CPS分层网络安全体系结构图；

图2为本发明的智能灯控的时间自动机描述结构示意图；

图3为本发明的智能灯控的时钟域图；

图4为本发明的网络化水位控制系统的工作结构示意图；

图5为本发明的CPS三层系统建模中控制器(CtrlWithAct)时间自动机描述结构示意图；

图6为本发明的执行器(Actuator)时间自动机描述结构示意图；

图7为本发明的储蓄池(Heater)时间自动机描述结构示意图；

图8为本发明的传感器(Sensor)时间自动机描述结构示意图；

图9为本发明的攻击者(Attacker)时间自动机描述结构示意图；

图10为本发明的自动恢复机制建模中控制器(CtrlWithCon)时间自动机描述结构示意图；

图11为本发明的组态站(Configuration)时间自动机描述结构示意图；

图12为本发明的网络化水位控制系统的工作结构示意图；

图13为本发明的水位控制系统模型结构示意图；

图14为本发明的水位控制系统攻击者模型结构示意图。

具体实施方式

一种信息物理融合系统防御的形式化检测方法，基于时间自动机的CPS虚假数据注入攻击的检测和验证，包括CPS各部分模型的构建和CPS安全属性验证，CPS各部分模型的构建主要有系统建模、攻击者建模、自动恢复机制建模；CPS通用的分层网络安全体系结构包括管理层、监督层、实时控制层和物理层；在管理层，系统的硬件之间通过互联网交换信息，功能包括：历史数据存储，数据管理和其他一些任务；监督层的功能是配置系统的参数和监控系统整体的稳定及安全；实时控制层的控制器与物理层设备连接，控制器直接影响物理层，物理层的反馈信息也影响控制器的决策，因此在物理层中，许多工业过程和关键基础设施是与实时控制层直接接触并通过物质流相互连接的；管理层通常不参与建模；根据CPS通用的分层网络安全体系结构，首先对各个层次的组件建模，然后完成虚假数据注入攻击者和自动恢复机制的建模，最后组成完整系统，从而进行验证；CPS是否满足安全属性的验证方式为，首先对安全属性进行描述，再利用时间自动机运行状态的展开方法生成状态空间，与此同时基于可达性算法进行属性验证。

以网络化水位控制系统为例，给出本发明的具体实施方法；本例中系统在日常持续运行不需要人为干涉时，也不涉及管理层和监督层，包含4个组件：执行器(Actuator)、控制器(CtrlWithAct)、储蓄池(Heater)和传感器(Sensor)；当涉及系统自动恢复机制时还包含控制器(CtrlWithCon)和组态站(Configuration)，首先，控制器判断实时水位值，确保水位在正常范围内(L＝40％<水位<H＝60％)，并发控制信息给执行器；另外，设置最高(SH＝90％)和最低(SL＝10％)的安全水位，如果超出此范围，则系统有安全问题；其中，安全水位值的百分比是以储蓄池的容量为基数的，然后执行器将从控制器接收的水泵开关消息发送给水泵，水泵在收到执行器发送开的消息时，执行操作并实时地将水位值发送给传感器；注水期间，水位每毫秒增长2％；在所有时间，池里的水不断地加热并流出，水位以每毫秒0.2％的速度降低，传感器再将水位值发送给控制器，系统的工作结构如图4所示。

CPS各部分模型的构建

常量和变量的定义：在建模过程中，将系统数据进行一定抽象，但不改变其含义。

#defineSH90；//最高水位值

#defineSL10；//最低水位值

varWL:{0..100}＝50；//储蓄池的水位值

varWL_Sen:{0..100}＝0；//传感器存储的水位值

varWL_Ctrl:{0..100}＝0；//控制器存储的水位值

varH＝60；

varL＝40；

varC＝1；//水泵开关控制变量，1表示开，0表示关；

CPS三层系统建模：控制器(CtrlWithAct)进程只负责与实时控制层的传感器和执行器交互，控制器接收到消息后，记录当前水位值，判断水位值是否在安全范围，并在一个时间单位内发送水泵开或者关的命令给执行器；该进程的时间自动机描述如图5所示。

执行器(Actuator)进程中OnToAct和OffToAct两个信道分别接收水泵开和关的消息，并给变量C赋值，其中“1”代表打开水泵阀门，“0”代表关闭水泵阀门，该进程的时间自动机描述如图6所示。

储蓄池(Heater)进程改变水位的实际值；水泵收到消息，打开或关闭阀门，水位值上升或下降；也就是说，根据变量C值的变化，在1个单位时间内，WL增加3或者减少1，同时储蓄池发送当前水位值给传感器，并且重置时钟，该进程的时间自动机描述如图7。

传感器(Sensor)进程接收传感器的消息，记录当前水位值，并且在1个时间单位内发送给控制器，该进程的时间自动机描述如图8所示。

系统各个进程独立运行，必要时进行通信，因此我们采用混合进程将上述4个进程复合成一个能够正常运作的系统，在不受攻击，而且已经有设定好的水位阈值的情况下，能够一直运行下去，该系统表示为：

System＝CtrlWithAct|||Actuator|||Heater|||Sensor。

攻击者建模：水位设定值攻击，即攻击者模拟监督层的组态站向控制器发送一条错误的消息，改变水位的设定值(假设H＝95％，L＝5％)使得H>SH和L<SL，显然已经超过水位值的安全范围，如果系统没及时察觉就会有安全问题发生；攻击者(Attacker)进程中假定每隔一段时间就会发起攻击，间隔时间至少为5个单位时间，每次攻击后重置时钟x，该进程的时间自动机描述如图9所示。

自动恢复机制建模：假定模型中控制器每隔6个单位时间检测H和L，如果发现异常，则发送请求正确H和L的消息给组态站；模型中，控制器(CtrlWithCon)进程只负责接收攻击者的消息和发消息给组态站，组态站(Configuration)进程接收到请求消息后，发送正确的水位值到控制器，从而改变错误的值为正确值；控制器(CtrlWithCon)进程时间自动机描述如图10所示，组态站(Configuration)进程时间自动机描述如图11所示。

CPS安全属性验证

验证网络化水位控制系统的安全性，首先要将系统主要部分、攻击者和恢复机制整合为一个整体系统，表示如下：

AttackSystem＝Attacker|||Configuration|||CtrlWithAct|||CtrlWithCo n|||Actuator|||Heater|||Sensor。

1)验证属性的定义

系统的验证属性有如下声明：

#defineExceedNormal(WL<40||WL>60)；//水位值超出正常范围；

#defineExceedsafety(WL<10||WL>90)；//水位值超出安全范围；

#defineExceedHighestWL>90；//系统水位值超过最高安全水位值；

#defineExceedLowestWL<10；//系统水位值低于最低安全水位值；

#defineOverflowWL>100；//储蓄池水位过满溢出；

2)断言

针对以上定义，验证属性表示如下：

a)#assert System reaches ExceedNormal；

b)#assert System reaches Exceedsafety；

c)#assert AttackSystem reaches ExceedHighest；

d)#assert AttackSystem reaches ExceedLowest；

e)#assert AttackSystem reaches Overflow；

3)检测结果与分析

模型中设定攻击者攻击间隔时间至少为5个单位时间，系统的控制器每隔6个单位时间就会检测H>SH和L<SL是否成立，如果满足此条件就会发消息并修正，通过验证可分析出以下结论：

i.断言a)在访问14个状态(15个转移)之后得出结果为真，验证属性ExceedNormal是可达的；断言b)在访问185个状态(231个转移)之后得出验证属性Exceedsafety是不可达的；由此得知，在没有攻击者的情况下，由于系统中传递消息有一定时间延迟，水位值可能略超过H和L，但不会超过最高和最低安全水位值；

ii.断言c)在访问578个状态(962个转移)之后得出结果，验证属性ExceedHighest是可达的；断言d)在访问10385个状态(21153个转移)之后得出验证属性ExceedLowest也是可达的；断言e)在访问878个状态(1463个转移)之后得出结果，验证属性Overflow也是可达的；由此得知，攻击者系统在攻击者频繁发起攻击的情况下，水位会超过最高和最低安全水位值，储蓄池的水甚至会过满溢出；

总之，系统水位值能否一直处于安全范围内(即水位值SH和SL之间)，取决于攻击者的攻击频率和控制器检测H和L值的频率，即模型中Attacker和CtrlWithCon进程的时钟x的取值范围，如果攻击频率大于检测频率，则系统会有安全问题发生。

形式化验证技术往往只对系统本身行为逻辑和过程进行建模和验证，并没有考虑攻击者持续攻击的情况，也无法验证CPS自检和恢复机制的有效性。

利用时间自动机对CPS和攻击进行建模，然后基于建立的模型对CPS虚假数据注入攻击后果进行验证，从而给出CPS相关机制在应对安全攻击时是否有效的结论。

信息物理融合系统虚假数据注入攻击后果的验证方法，首先需要对CPS系统行为进行抽象，结合时间自动机模型的建模元素(状态、时间、转移、时钟条件等)对CPS各组件进行分别建模，形成多个组件模型，再对攻击者进行建模，模拟攻击者进行虚假数据注入的行为；然后将各部分整合成完整系统，与此同时，提取CPS需要满足的安全属性并对其进行定义和描述，形成可达性验证断言语句，将完整的系统模型和断言作为验证过程的输入，最后对带有时间条件的系统运行的状态空间进行展开，并利用可达性验证方法进行安全属性验证，并给出验证结果。

以网络化水位控制系统为例，给出具体实施方法，本例中系统包含5个组件：管理站、执行器、控制器、加热器和传感器，进水期间，储水池中的水位每单位时间增长总容量的4％；在所有时间，池里的水不断地加热并流出，水位以每单位时间1％的速度降低，传感器对水位进行周期性采样，并将水位值发送给控制器，控制器根据传感器发送的采样结果判断实时水位值，确保水位在正常范围内(例如介于总水位的30％和70％之间)，并发送控制信息给执行器(例如阀门开和关)，管理站设置最高和最低的安全水位(例如90％和10％)，如果超出此范围，则系统会有安全问题，执行器根据从控制器接收的阀门开关消息控制阀门，从而控制是否进水，系统的工作结构如图12所示。

1、基于时间自动机的CPS模型建模

1)常量和变量的定义

#define WarningH 90；//最高警戒水位值

#define WarningL 10；//最低警戒水位值

var Water＝50；//储蓄池的当前水位值，初始为50％

var WaterInSen＝0；//传感器存储的当前水位值

var WaterInCtrl＝0；//控制器存储的当前水位值

var H＝70；//系统正常运行时的最高水位值

var L＝30；//系统正常运行时的最低水位值

var C＝1；//阀门，1表示开，0表示关

2)CPS系统模型

如图13所示：水位控制系统模型图所示。

加热器中的水位值随时间不断变化，进水阀门被执行器打开或关闭，水位值随之上升或下降，换句话说，根据变量C的变化，每个单位时间内，Water增加3％或者减少1％。

传感器从加热器获得当前水位值进行记录(即WaterInSen)，并且在1个时间单位内将当前值发送给控制器。

控制器与传感器、执行器和管理站都有交互，控制器接收到传感器消息后，记录当前水位值(即WaterInCtrl)，判断水位值是否在安全范围内，并在一个时间单位内发送阀门开或者关的命令给执行器，此外，控制器具有自检和恢复功能，即每隔6个单位时间检测H和L的值，如果发现异常，则发送消息给管理站请求正确的值。

管理站接收到控制器的请求消息后，根据其内部存储的配置信息发送正确的最高和最低水位值给控制器。

执行器中OnToAct和OffToAct两个信道分别接收阀门开和关的消息，并改变C的值，其中“1”代表打开阀门，“0”代表关闭阀门。

对各个组件进行整合，完整的系统表示为：

System＝Configuration|||CtrlWithAct|||CtrlWithCon|||Actuator|||Heater|||Sensor。

2、基于时间自动机的攻击者模型建模

本例中的虚假数据注入攻击，是指攻击者模拟监督层的管理站向控制器持续发送错误的消息，改变水位的设定值(例如H＝95％，L＝5％)使得H和L超过警戒值，攻击者每隔一段时间就会发起攻击，间隔时间至少为5个单位时间，攻击者模型如图14所示。

然后将系统与攻击者整合为一个整体系统，表示如下：

AttackSystem＝Attacker|||Configuration|||CtrlWithAct|||CtrlWithCon|||Actuator

|||Heater|||Sensor。

3、系统需要满足的安全属性断言描述

安全属性有如下声明：

#defineExceedNormal(Water<30||Water>70)；//水位值超出正常范围；

#defineExceedWarning(Water<10||Water>90)；//水位值超出安全范围；

#defineWaterSpillWater>100；//储蓄池水位过满溢出；

断言如下：

a)#assertSystemreachesExceedNormal；

b)#assertSystemreachesExceedWarning；

c)#assertAttackSystemreachesExceedNormal；

d)#assertAttackSystemreachesExceedWarning；

e)#assertAttackSystemreachesWaterSpill；

4、系统运行状态展开

通过系统运行状态展开，System共有316个状态，AttackSystem共有91170个状态。

5、基于可达性算法的安全属性验证

通过可达性算法验证可分析出以下结论：

1)断言a)结果为真(运行26个状态)，表明水位会超过正常范围；断言b)结果为假(运行316个状态)，表明不会超过警戒水位；因此，在没有攻击者的情况下，由于系统中传递消息有稍微的时间延迟，水位会略超过正常水位值，但不会超过警戒水位；

2)断言c)结果为真(运行67个状态)，表明水位会超过正常范围；断言d)结果为真(运行462个状态)，表明会超过警戒水位；断言e)结果为真(运行736个状态)，表明水会溢出；由此可知，在攻击者频繁发起攻击的情况下，尽管该系统有自检和恢复机制，但其安全还是无法保障的。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (6)

1.一种信息物理融合系统防御的形式化检测方法，其特征在于，基于时间自动机的CPS虚假数据注入攻击的检测和验证，包括CPS各部分模型的构建和CPS安全属性验证，根据CPS通用的分层网络安全体系结构，首先对各个层次的组件建模，然后完成虚假数据注入攻击者和自动恢复机制的建模，最后组成完整系统，从而进行验证。

2.根据权利要求1所述的一种信息物理融合系统防御的形式化检测方法，其特征在于：所述时间自动机：一个时间自动机是一个六元组A＝(S,Init,Σ,C,L,T)，其中S是一个有穷状态集合；是一个初始状态集合；Σ是一个事件集合；C是一个有穷时钟集合；L:S→Φ_≤,＜(C)是一个函数，在每个状态上添加一个状态不变式；是一个带时间约束的转移关系。

3.根据权利要求1所述的一种信息物理融合系统防御的形式化检测方法，其特征在于：所述CPS各部分模型的构建包括系统建模、攻击者建模、自动恢复机制建模。

4.根据权利要求1所述的一种信息物理融合系统防御的形式化检测方法，其特征在于：所述CPS是否满足安全属性的验证方式为，首先对安全属性进行描述，再利用时间自动机运行状态的展开方法生成状态空间，与此同时基于可达性算法进行属性验证。

5.根据权利要求1所述的一种信息物理融合系统防御的形式化检测方法，其特征在于：所述CPS通用的分层网络安全体系结构包括管理层、监督层、实时控制层和物理层。

6.根据权利要求5所述的一种信息物理融合系统防御的形式化检测方法，其特征在于：所述控制器直接影响物理层，物理层的反馈信息影响控制器的决策。