CN111698257A - 针对多类恶意攻击的工业信息物理系统安全检测方法 - Google Patents
针对多类恶意攻击的工业信息物理系统安全检测方法 Download PDFInfo
- Publication number
- CN111698257A CN111698257A CN202010553520.0A CN202010553520A CN111698257A CN 111698257 A CN111698257 A CN 111698257A CN 202010553520 A CN202010553520 A CN 202010553520A CN 111698257 A CN111698257 A CN 111698257A
- Authority
- CN
- China
- Prior art keywords
- icps
- attack
- security
- reference value
- malicious attacks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 97
- 238000000034 method Methods 0.000 claims abstract description 61
- 238000013178 mathematical model Methods 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims abstract description 7
- 230000008859 change Effects 0.000 claims abstract description 5
- 239000011159 matrix material Substances 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 21
- 238000005259 measurement Methods 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 15
- 238000002347 injection Methods 0.000 claims description 12
- 239000007924 injection Substances 0.000 claims description 12
- 238000005070 sampling Methods 0.000 claims description 12
- 239000000126 substance Substances 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 5
- NAWXUBYGYWOOIX-SFHVURJKSA-N (2s)-2-[[4-[2-(2,4-diaminoquinazolin-6-yl)ethyl]benzoyl]amino]-4-methylidenepentanedioic acid Chemical compound C1=CC2=NC(N)=NC(N)=C2C=C1CCC1=CC=C(C(=O)N[C@@H](CC(=C)C(O)=O)C(O)=O)C=C1 NAWXUBYGYWOOIX-SFHVURJKSA-N 0.000 claims description 2
- 230000007547 defect Effects 0.000 abstract description 3
- 238000004088 simulation Methods 0.000 description 15
- 239000000243 solution Substances 0.000 description 7
- 238000013461 design Methods 0.000 description 6
- 230000006641 stabilisation Effects 0.000 description 5
- 238000011105 stabilization Methods 0.000 description 5
- 230000000087 stabilizing effect Effects 0.000 description 4
- 238000000354 decomposition reaction Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 3
- 101000606504 Drosophila melanogaster Tyrosine-protein kinase-like otk Proteins 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 229910000831 Steel Inorganic materials 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004576 sand Substances 0.000 description 1
- 239000010959 steel Substances 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种针对多类恶意攻击的工业信息物理系统安全检测方法,建立被控物理对象的统一的攻击模型,将被控物理对象和可能遭受多类恶意攻击的通信网络视为一个由网络层和物理层构成的组合对象;根据组合对象的数学模型发生变化定义ICPS的安全模态和非安全模态;利用ICPS在所述安全模态下的运行数据,计算安全模态的指示变量的基准值;以固定检测周期在线计算当前检测时刻的指示变量,量化当前检测时刻的指示变量与所述基准值的差异得到二者差值,根据差值检测结果确定ICPS受到攻击或发出安全信号。克服现有安全检测方法只能检测单一类型网络攻击、且不能满足以跟踪控制为目的安全检测需求缺陷。
Description
技术领域
本发明涉及工业信息物理系统信息安全领域,特别涉及一种针对多类恶意攻击的工业信息物理系统安全检测方法。
背景技术
信息物理系统(Cyber-physical System,CPS),是一类由计算单元和物理对象在网络环境中实时交互、高度融合而构成的智能系统。工业信息物理系统 (Industrial CPS,ICPS)是CPS的关键组成部分,它涉及能源、钢铁、石化、现代交通以及智能制造等关乎国计民生的重要行业,受到各国政府、学术界和工业界的高度重视。然而,计算层、物理层和网络层的高度融合在极大提高ICPS 的柔性、可靠性以及生产效率的同时,也使得信息安全问题由网络层延伸到了计算层和物理层,引发了日趋严重的生产安全问题,该问题引起了信息安全领域和工业控制领域相关研究人员的广泛关注。
针对上述问题,工业控制领域相关技术人员的研究主要围绕弹性控制和安全检测两个方面展开。其中,弹性控制是指技术人员针对特定的通信网络和物理对象设计相应的控制器,使得ICPS遭受网络攻击时仍能保证一定的控制性能,以保护被控物理对象免受破坏;安全检测是一种在计算层保留或优化原有控制器,然后额外部署一个或多个安全检测器的技术手段。安全检测器在线检测ICPS的安全状态,并通过报警信号的形式提示操作人员及时应对,或者利用其它技术手段自动触发安全防护机制,从而应对网络攻击。
在现有技术中,弹性控制方案通常假设攻击者注入的攻击序列、生成的网络时延或引起的丢包概率等满足一定的约束条件,并且通常假设仅传感器通道遭受到攻击。例如,文献[Marquis V,Ho R,Rainey W,et al.Toward attack-resilient state estimationand control of autonomous cyber-physical systems[C].IEEE Systems andInformation Engineering Design Symposium(SIEDS),2018.]针对一类线性时不变系统可能遭受的欺骗或重放攻击,结合物理水印技术,研究了一种弹性控制策略。该文献中有两个需要注意的假设条件:其一,执行器通道未受到攻击;其二,仅有少于一半数量的传感器受到了攻击。受制于众多约束条件,弹性控制策略的实际应用范围是有限的。
在实践中,攻击者的行为是未知的,那么如何同时应对多类恶意攻击具有重要意义,可以认为现有的弹性控制方案在该问题上有明显不足。此外,由于需要配合一定的事后防护机制,安全检测方案通常比弹性控制方案复杂,但其优点在于不需要假设上述攻击参量满足相应的约束条件。例如,文献[Ye D,Zhang T Y.Summation detector for falsedata-injection attack in cyber-physical systems[J].IEEE transactions oncybernetics,2019.]针对一类带有噪声的线性定常系统镇定控制过程中可能遭受的虚假数据注入攻击,设计了一种SUM检测器;文献[Ma Y,Nie Z,Hu S, et al.Fault detectionfilter and controller co-design for unmanned surface vehicles under DoSattacks[J].IEEE Transactions on Intelligent Transportation Systems,2020.]针对网络化的水上无人艇系统镇定控制过程中,可能遭受的非周期性拒绝服务攻击及其它非网络攻击的外部扰动,给出了一种故障检测器和控制器的协同设计方案;文献[Mo Y,Weerakkody S,Sinopoli B.Physical authentication of control systems:Designingwatermarked control inputs to detect counterfeit sensor outputs[J].IEEEControl Systems Magazine,2015.]针对一类带有噪声的线性时不变系统镇定控制过程中可能遭受的震网(Stuxnet) 类攻击,设计了一种基于物理水印的安全检测器,其中震网类攻击是指一类传感器和执行器通道分别受到重放和虚假数据注入的攻击形式。
这些文献表明,安全检测方案在解决执行器通道受到攻击这类问题时是可行的。然而注意到,现有安全检测方案同样只能应对单一类型网络攻击,并且通常是在ICPS的控制目的为镇定控制的基础上设计的,相比之下实践中更常见的以跟踪控制为目标的ICPS安全检测问题尚未解决。综上所述,从实践角度来看,现有技术手段存在检测类型单一以及应用范围受限两方面缺陷。
发明内容
有鉴于此,本发明要解决的技术问题在于为ICPS提供一种新的安全检测方法,旨在改善两方面不足:第一,现有安全检测方法只能检测单一类型网络攻击;第二,现有方法不能满足以跟踪控制为目的的ICPS安全检测需求。
为解决上述技术问题,本发明提供如下技术方案:
一种针对多类恶意攻击的工业信息物理系统安全检测方法,其特征在于包括以下五个步骤:
S1:针对待检测ICPS可能遭受的多类恶意攻击,建立一个统一的攻击模型,然后结合被控物理对象的线性时不变状态空间模型,将所述被控物理对象和可能遭受所述多类恶意攻击的通信网络,视为一个由网络层和物理层构成的组合对象,建立组合对象的数学模型;
S2:在ICPS受到所述多类恶意攻击时,根据所述组合对象的数学模型发生变化,定义ICPS的安全模态和非安全模态,将ICPS的安全检测问题转换为对所述安全模态和非安全模态的在线划分问题;
S3:选定一个在ICPS运行过程中能够表征所述组合对象动力学特性的参量,将该参量作为划分ICPS处于所述安全模态的指示变量或非安全模态的指示变量;
S4:利用ICPS在所述安全模态下的运行数据,计算安全模态的指示变量的基准值;
S5:以固定检测周期在线计算当前检测时刻的指示变量,量化当前检测时刻的指示变量与所述基准值的差异得到二者差值,当二者差值大于预设阈值时,检测结果为ICPS处于所述非安全模态,即受到攻击,并发出报警信号;反之,发出安全信号。
上述技术方案中,所述步骤S1中,可能遭受的所述多类恶意攻击是指ICPS 的传感器通道和/或执行器通道分别遭受三种典型的攻击形式;所述三种典型的攻击形式是指虚假数据注入攻击、拒绝服务攻击和重放攻击,具体的数学表达形式分别为:
za(k)=z(k)+ba(k)a(k) (1)
za(k)=ba(k)z(k-Ta(k)) (3)
其中,k表示采样时刻,z(k)表示传感器原始测量值或控制器原始控制量,za(k)表示控制器接收到的受攻击的传感器测量值或执行器接收到的受攻击的控制量;ba(k)为布尔对角矩阵,表示攻击者可能选择任意的传感器或执行器子集作为攻击目标,a(k)表示攻击者注入的攻击数据;η(k)表示k时刻数据包丢失的概率,“z(k),w.p.(1-η(k))”表示za(k)=z(k)的概率是1-η(k);Ta(k)表示重放时间间隔。
上述技术方案中,所述步骤S1中,本发明建立的统一的攻击模型如下:
其中,和分别表示所述被控物理对象接收到的控制量和发送出的传感器原始测量值,u(k)和y(k)分别表示控制器发送出的原始控制量和接收到的传感器测量值;和为攻击矩阵,用于表征攻击者的攻击行为;将传感器和执行器通道中传输的数字量量程下限设置为正数,使得u(k)≠0和成立。
上述技术方案中,所述步骤S1中,所述被控物理对象的数学模型表示为:
上述技术方案中,所述步骤S1中,所述组合对象的数学模型为:
当ICPS未受到攻击时,Ba(k)和Ca(k)为具有相应维度的单位矩阵,并有(7) 式成立:
进一步地,所述步骤S2中,所述安全模态是指与(7)式具有相同动力学特性的所述组合对象对应的ICPS模态;所述非安全模态是指除所述安全模态之外的其他ICPS模态。优选的,所述动力学特性指幅频特性。
进一步地,所述步骤S3包括以下步骤:
S33:利用所述S32中的估计模型,得到其幅频特性数据,并构建(8)式所示的所述指示变量:
进一步地,所述步骤S4包括以下步骤:
S41:根据所述S3给出的步骤,计算ICPS在所述安全模态下的n+m个指示变量,n>>m;
S42:随机抽取S41中的n个指示变量,计算n个指示变量的数学期望,将该期望初步视为所述指示变量的基准值;
S43:利用余下的m个指示变量验证步骤S42得到的基准值的精度;如果精度达到预期目标,基准值的计算完成;反之,返回S41直至所述基准值计算完成。
进一步地,所述步骤S43中,验证基准值的方法为:将待验证的基准值分别与所述m个指示变量作差得到差值,将这些差值分别进行列向量化操作,然后分别将m个计算结果的二范数与预设指标作比较,若均小于预设指标,则认为待验证的基准值的精度达到预期目标。
进一步的,所述步骤S5中,所述固定检测周期定义为nd为正整数,满足1≤nd<<s。其中s为正整数,表示在线计算所述指示变量所需ICPS 运行数据的组数,即所需ICPS运行数据的时间窗口长度为s·Ts,Ts表示ICPS 的采样周期。记检测时刻为kd,所述ICPS对应的指示变量记为进一步,记所述S4得到的所述基准值为所述S5中的所述差值由如下(9)式表示,其中vec(·)表示列向量化操作;
所述差值、预设阈值以及报警信号的关系由如下(10)式所示:
综上所述本发明提供一种针对多类恶意攻击的工业信息物理系统安全检测方法,通过建立被控物理对象的统一的攻击模型,将被控物理对象和可能遭受多类恶意攻击的通信网络视为一个由网络层和物理层构成的组合对象;根据组合对象的数学模型发生变化定义ICPS的安全模态和非安全模态,将ICPS的安全检测问题转换为对所述安全模态和非安全模态的在线划分问题;利用ICPS 在所述安全模态下的运行数据,计算安全模态的指示变量的基准值;以固定检测周期在线计算当前检测时刻的指示变量,量化当前检测时刻的指示变量与所述基准值的差异得到二者差值,根据差值检测结果确定ICPS受到攻击或发出安全信号。
相对于现有技术,本发明的有益效果是:
本发明为ICPS提供了一种能够检测多类恶意攻击的安全检测方法。一方面,现有安全检测方法只能检测单一类型网络攻击,与此相比,本发明能够检测传感器和/或执行器通道可能分别遭受的三种典型的攻击形式,即所述多类恶意攻击,使得本发明对网络攻击的检测范围更宽,更具实践意义。另一方面,现有安全检测方法通常是在ICPS的控制目的为镇定控制的基础上设计的,而实践中跟踪控制系统的安全检测需求更加迫切。本发明在计算指示变量时选用的方法对镇定控制和跟踪控制的应用场景均有效,使得本发明提供的安全检测方法与现有方法相比具有更广的应用范围。
附图说明
图1为部署了安全检测器的ICPS整体结构图;
图2a为ICPS跟踪控制过程中受到双通道虚假数据注入攻击的运行曲线;
图2b为本发明对图2a所示双通道虚假数据注入攻击的检测效果;
图3a为ICPS跟踪控制过程中受到双通道拒绝服务攻击的运行曲线;
图3b为本发明对图3a所示双通道拒绝服务攻击的检测效果;
图4a为ICPS跟踪控制过程中受到震网类攻击的运行曲线;
图4b为本发明对图4a所示震网类攻击的检测效果;
图5a为ICPS镇定控制过程中受到震网类攻击的运行曲线;
图5b为本发明对图5a所示震网类攻击的检测效果。
具体实施方式
为使本发明的目的、技术方案和优点更加清晰,下面结合本发明实施例中的附图,对本发明的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
ICPS整体结构如图1所示,分为计算层、网络层和物理层三个部分,其中计算层也常被称为控制层。在本发明所提供检测方法的建模部分,网络层和物理层被视为一个整体,称之为组合对象。假设计算层中的控制器和估计器已按常规方法设计完成,在ICPS未受网络攻击的场景下能够实现预期的镇定控制或跟踪控制需求。在此基础上,本发明所提供的方法用于实时检测上述ICPS 是否受到网络攻击,并对多类恶意攻击均有效。基于本发明所提供方法设计的的安全检测器,既可以与控制器和估计器共享软硬件资源、按照“估计器—控制器—安全检测器”的顺序串行运行,又可以部署在独立的软硬件系统上(如工控机、PLC、嵌入式控制器等),与估计器和控制器并行运行。设“估计器—控制器—安全检测器”单次运行所需时间为T。串行运行方式仅适用于ICPS 采样周期Ts满足Ts≥T的场合,在该方式下检测周期Td等于Ts;并行运行方式对 Ts≥T或是Ts<T的场合均适用。通常,当Ts≥T时,优选串行运行方式,以节约硬件成本。
根据本发明实施针对多类恶意攻击的工业信息物理系统安全检测方法,包括以下五个步骤:
S1:针对待检测ICPS可能遭受的多类恶意攻击,建立一个统一的攻击模型,然后结合被控物理对象的线性时不变状态空间模型,将所述被控物理对象和可能遭受所述多类恶意攻击的通信网络,视为一个由网络层和物理层构成的组合对象,建立组合对象的数学模型;
S2:在ICPS受到所述多类恶意攻击时,根据所述组合对象的数学模型发生变化,定义ICPS的安全模态和非安全模态,将ICPS的安全检测问题转换为对所述安全模态和非安全模态的在线划分问题;
S3:选定一个在ICPS运行过程中能够表征所述组合对象动力学特性的参量,将该参量作为划分ICPS处于所述安全模态的指示变量或非安全模态的指示变量;
S4:利用ICPS在所述安全模态下的运行数据,计算安全模态的指示变量的基准值;
S5:以固定检测周期在线计算当前检测时刻的指示变量,量化当前检测时刻的指示变量与所述基准值的差异,当二者差值大于预设阈值时,检测结果为 ICPS处于所述非安全模态,即受到攻击,并发出报警信号;反之,发出安全信号。
上述技术方案中,所述步骤S1中,可能遭受的所述多类恶意攻击是指ICPS 的传感器通道和/或执行器通道,分别遭受三种典型的攻击形式;所述三种典型的攻击形式是指虚假数据注入攻击、拒绝服务攻击和重放攻击,具体的数学表达形式分别为:
za(k)=z(k)+ba(k)a(k) (12)
za(k)=ba(k)z(k-Ta(k)) (14)
其中,k表示采样时刻,z(k)表示传感器原始测量值或控制器原始控制量,za(k)表示控制器接收到的受攻击的传感器测量值或执行器接收到的受攻击的控制量;ba(k)为布尔对角矩阵,表示攻击者可能选择任意的传感器或执行器子集作为攻击目标,a(k)表示攻击者注入的攻击数据;η(k)表示k时刻数据包丢失的概率,“z(k),w.p.(1-η(k))”表示za(k)=z(k)的概率是1-η(k);Ta(k)表示重放时间间隔。
上述攻击形式迥异,且对于控制层而言有较多的未知参量,这是现有方法不能同时检测多类攻击的一个技术难点。针对该问题,本发明建立了一种统一的攻击模型:
其中,和分别表示所述被控物理对象接收到的控制量和发送出的传感器原始测量值,u(k)和y(k)分别表示控制器发送出的原始控制量和接收到的传感器测量值;和为攻击矩阵,用于表征攻击者的攻击行为。假设u(k)≠0和成立,则容易验证,在每一个采样时刻k,总存在矩阵Ba(k)和Ca(k),使得(15)式能够准确表示所述三种典型的攻击形式。为保证上述假设成立,优选的,将传感器和执行器通道中传输的数字量量程下限设置为正数。所述被控物理对象的数学模型表示为:
结合(15)式和(16)式,得到所述组合对象的数学模型为:
当ICPS未受到攻击时,Ba(k)和Ca(k)为具有相应维度的单位矩阵,并有(18) 式成立:
进一步地,作为本发明的优选方案:
所述步骤S2中,所述安全模态是指与(18)式具有相同动力学特性的所述组合对象对应的ICPS模态;所述非安全模态是指除所述安全模态之外的其他 ICPS模态。优选的,所述动力学特性指幅频特性。
进一步地,作为本发明的优选方案:
所述步骤S3包括以下步骤:
S33:利用所述S32中的估计模型,得到其幅频特性数据,并构建(19)式所示的所述指示变量:
进一步地,作为本发明的优选方案:
所述步骤S4包括以下步骤:
S41:根据所述S3给出的步骤,计算ICPS在所述安全模态下的n+m (n>>m)个指示变量;
S42:随机抽取S41中的n个指示变量,计算它们的数学期望,将该期望初步视为所述指示变量的基准值;
S43:利用余下的m个指示变量验证步骤S42得到的基准值的精度。如果精度达到预期目标,基准值的计算完成;反之,返回S41直至所述基准值计算完成。
优选的,所述步骤S43中,验证基准值的方法为:将待验证的基准值分别与所述m个指示变量作差,将这些差值分别进行列向量化操作,然后分别将m个计算结果的二范数与预设指标作比较,若均小于预设指标,则认为待验证的基准值的精度达到预期目标。
进一步的,所述步骤S5中,所述固定检测周期定义为nd为正整数,满足1≤nd<<s。其中s为正整数,表示在线计算所述指示变量所需ICPS 运行数据的组数,即所需ICPS运行数据的时间窗口长度为s·Ts,Ts表示ICPS 的采样周期。记检测时刻为kd,所述ICPS对应的指示变量记为进一步,记所述S4得到的所述基准值为所述S5中的所述差值由如下(20)式表示,其中vec(·)表示列向量化操作。
所述差值、预设阈值以及报警信号的关系由如下(21)式所示:
实施例1:
本实施例针对某耦联水罐对象可能遭受多类恶意攻击背景下的安全检测问题,详细说明本发明所提供方法的具体步骤,并以仿真的方式验证该方法的有效性。
已知某耦联水罐系统的数学模型如下(23)式所示:
其中:
w(k)和v(k)的协方差矩阵分别为Q=0.01·I4×4,R=0.01·I2×2;系统采样时间Ts=0.5。
接下来为本发明提供的一种针对多类恶意攻击的ICPS安全检测方法,包括S1至S5五个步骤,其中S1至S4为离线准备阶段,S5为在线检测阶段。
S1:针对待检测ICPS可能遭受的多类恶意攻击,建立一个统一的攻击模型,然后结合被控物理对象的线性时不变状态空间模型,将被控物理对象和可能遭受多类恶意攻击的通信网络,视为一个由网络层和物理层构成的组合对象,建立该组合对象的数学模型。
具体的,针对多类恶意攻击,建立如下(24)式所示统一的攻击模型:
其中变量和参数的物理含义如图1所示,Ba(k)和Ca(k)为未知参数。
进一步,根据已知被控物理对象的模型,结合攻击模型(24),建立如下(25) 式所示网络层和物理层组合对象数学模型:
S2:在ICPS受到多类恶意攻击时,组合对象的数学模型(25)会发生变化,由此定义ICPS的安全模态和非安全模态,将ICPS的安全检测问题转换为对所述安全模态和非安全模态的在线划分问题。
具体的,定义与(26)式具有相同动力学特性的组合对象对应的ICPS模态为安全模态;定义除上述安全模态之外的其他ICPS模态为非安全模态。由于对象的幅频特性具有唯一性和明确的物理意义,本实施例选用其作为动力学特性差异的度量依据。此外,实践中模型存在辨识误差,上述“相同动力学特性”也指在一定精度范围内相同,这对于本领域普通技术人员是熟知的。
S3:选定一个在ICPS运行过程中能够表征上述组合对象动力学特性的参量,将该参量作为划分ICPS处于安全模态或非安全模态的指示变量。
具体的,包括以下三个步骤:
S33:基于S32中得到的估计模型,利用MATLAB软件中的bode指令(或 freqz指令)得到其幅频特性数据,并构建如下(27)式所示指示变量:
在上述步骤S32中,本实施例选用的闭环子空间辨识方法有以下步骤:
首先,设定块Hankel矩阵的行块数i、列数p=s-2i+1,以及待辨识模型阶数nx、输入个数nu和输出个数ny,构建以下块Hankel矩阵:利用构建Rp和Rf,利用y(0),...,y(s-1)构建Yp和Yf,利用u(0),...,u(s-1)构建Up和Uf;
然后,构建辅助矩阵和利用正交三角分解计算Wf的行空间在Wpr的行空间上的正交投影Z=Wf/Wpr,并对Z 进行奇异值分解,求得其左零空间中的一个矩阵U12;将U12按前i·ny行和后i·nu行分为P1和P2两个矩阵,利用正交三角分解求得根据等式估计矩阵
S4:利用ICPS在安全模态下的运行数据,计算指示变量的基准值,其步骤为:
S41:根据S3提供的方法计算ICPS在安全模态下的n+m个指示变量;本实施例中,n=100、m=10,辅助噪声ξ(k)的协方差矩阵Λ设置为0.01·I2×2,ICPS 运行数据的组数s取1000。由于系统的幅频特性是角频率ω的偶函数,且周期为2π/Ts,本实施例中Ts=0.5,所以仅关注频率范围为0~2π的幅频特性数据即可(0~2π和2π~4π对应的幅频特性数据具有对称性)。进一步的,本实施例中,已知ICPS期望值和的角频率为0.0188和0.0126。为了包含期望值曲线角频率并表征系统完整的低频段幅频特性,本实施例选定频率范围为 0.01~1.3701rad/s,其中包含h=30组幅频特性数据;
S42:随机抽取S41中的n=100个指示变量,计算它们的数学期望,将该期望初步视为所述指示变量的基准值;
S43:利用余下的m=10个指示变量验证S42得到的基准值的精度。如果精度达到预期目标,基准值的计算完成;反之,返回S41直至基准值计算完成。
在上述步骤S42中,本实施例选用的验证基准值的方法为:将待验证的基准值分别与所述m=10个指示变量作差,将这些差值分别进行列向量化操作,然后分别将这些计算结果的二范数与预设指标作比较,若均小于预设指标,则认为待验证的基准值的精度达到预期目标。本实施例中,在ICPS跟踪控制时上述预设指标设为3,在镇定控制时上述指标设为5。
S5:以固定检测周期在线计算当前检测时刻的指示变量,量化其与上述基准值的差异,当二者差值大于预设阈值时,检测结果为ICPS处于非安全模态,即受到攻击,发出报警信号S1;反之,发出安全信号S0。在线检测器给定的辅助噪声信号、发出的报警或安全信号以及所需的运行数据,如图1计算层中的安全检测部分所示。
本实施例中,检测周期取Td=Ts,在线检测所需ICPS运行数据的组数s的取值与上述S41一致。在每一个检测时刻kd,依次计算和α(kd),并根据α(kd)和αth的数值关系,输出相应的安全信号S0或报警信号S1,如下(30) 式所示:
进一步地,本实施例分别模拟了四种典型的攻击场景(如表1所示),以验证本发明提供的安全检测方法的有效性。在四种场景的仿真实验中,总仿真步长设置为2000,本实施例部署的安全检测器在第1000步开始工作,网络攻击起始时刻设置为1500,并持续至仿真结束。场景一至场景三中,ICPS跟踪控制的期望轨迹为yr1(k)=10+8sin(0.006π·k)和yr2(k)=8+7sin(0.004π·k),其中k 为仿真时刻;场景四中,ICPS镇定控制的期望值为yr1(k)=yr2(k)=0。
表1四种攻击场景的具体情况
仿真实验一:
仿真实验一用于验证基于本发明所述步骤设计的安全检测器,在ICPS控制目的为跟踪控制、攻击类型为双通道虚假数据注入攻击这一场景(记为“场景一”,如表1所示)下的安全检测性能。
具体的,图2a显示了ICPS控制层和物理层的期望轨迹yr1(k)和yr2(k),以及输出量y1(k)和y2(k)。在1000~1500时刻,ICPS正常运行(未受到网络攻击),控制性能良好。从1500时刻开始,ICPS受到双通道虚假数据注入攻击,从控制层的曲线来看,1500~2000时段系统似乎仍正常运行,仅在1500时刻附近疑似受到短时的扰动。然而事实上,物理对象的实际输出是偏离期望轨迹的,如物理层实际曲线所示。需要注意,在实际系统中,物理层的真实曲线并不容易随时查看,这意味着本场景所模拟的网络攻击是奏效的,且具有一定的隐蔽性,防御方仅凭经验难以检测网络攻击。
基于本发明所提供方法设计的安全检测器的检测性能如图2b所示,其中虚线表示预设阈值αth=3,kd表示检测时刻。在本实施例中控制周期等于检测周期 (Ts=Td=0.5s),因此kd与k是一一对应的。α(kd)表示kd时刻(也即k时刻) 安全检测器的检测变量值。可以看出,从1507时刻开始α(kd)超出阈值αth,而网络攻击实际的起始时刻为1500,这意味着本发明所设计的安全检测器在7个采样时刻(即3.5秒)之后检测到了网络攻击,表明本发明的方法针对ICPS跟踪控制过程中的双通道虚假数据注入攻击是有效的。
仿真实验二:
仿真实验二用于验证基于本发明所述步骤设计的安全检测器,在ICPS控制目的为跟踪控制、攻击类型为双通道拒绝服务攻击这一场景(记为“场景二”,如表1所示)下的安全检测性能。
具体的,图3a显示了ICPS控制层的期望轨迹yr1(k)和yr2(k),以及输出量 y1(k)和y2(k)。在1000~1500时刻,ICPS正常运行(未受到网络攻击),控制性能良好。从1500时刻开始,ICPS受到双通道拒绝服务攻击,两个通道的数据包丢失概率为40%(如表1所示),从控制层的曲线来看,控制性能有较明显变化,但难以定量判断系统是否受到网络攻击。
基于本发明所提供方法设计的安全检测器的检测性能如图3b所示,其中虚线表示预设阈值αth=3,kd表示检测时刻。在本实施例中控制周期等于检测周期 (Ts=Td=0.5s),因此kd与k是一一对应的。α(kd)表示kd时刻(也即k时刻) 安全检测器的检测变量值。可以看出,从1528时刻开始α(kd)超出阈值αth,而网络攻击实际的起始时刻为1500,这意味着本发明所设计的安全检测器在28 个采样时刻(即14秒)之后检测到了网络攻击,表明本发明的方法针对ICPS 跟踪控制过程中的双通道拒绝服务攻击是有效的。
仿真实验三:
仿真实验三用于验证基于本发明所述步骤设计的安全检测器,在ICPS控制目的为跟踪控制、攻击类型为震网类攻击这一场景(记为“场景三”,如表1所示)下的安全检测性能。震网类攻击是指传感器通道受到重放攻击、执行器通道受到虚假数据注入攻击的一类攻击形式。
具体的,图4a显示了ICPS控制层和物理层的期望轨迹yr1(k)和yr2(k),以及输出量y1(k)和y2(k)。在1000~1500时刻,ICPS正常运行(未受到网络攻击),控制性能良好。从1500时刻开始,ICPS受到震网类攻击,从控制层的曲线来看,1500~2000时段系统无任何异常。然而事实上,物理对象的实际输出是明显偏离期望轨迹的,如物理层实际曲线所示。需要注意,在实际系统中,物理层的真实曲线并不容易随时查看,这意味着本场景所模拟的网络攻击是奏效的,且具有一定的隐蔽性,防御方仅凭经验难以检测网络攻击。
基于本发明所提供方法设计的安全检测器的检测性能如图4b所示,其中虚线表示预设阈值αth=3,kd表示检测时刻。在本实施例中控制周期等于检测周期 (Ts=Td=0.5s),因此kd与k是一一对应的。α(kd)表示kd时刻(也即k时刻) 安全检测器的检测变量值。可以看出,从1521时刻开始α(kd)超出阈值αth,而网络攻击实际的起始时刻为1500,这意味着本发明所设计的安全检测器在21 个采样时刻(即10.5秒)之后检测到了网络攻击,表明本发明的方法针对ICPS 跟踪控制过程中的震网类攻击是有效的。
仿真实验四:
仿真实验四用于验证基于本发明所述步骤设计的安全检测器,在ICPS控制目的为镇定控制、攻击类型为震网类攻击这一场景(记为“场景四”,如表1所示)下的安全检测性能。
具体的,图5a显示了ICPS控制层和物理层的期望值yr1(k)和yr2(k),以及输出量y1(k)和y2(k)。在1000~1500时刻,ICPS正常运行(未受到网络攻击),控制性能良好。从1500时刻开始,ICPS受到震网类攻击,从控制层的曲线来看,1500~2000时段系统无任何异常。然而事实上,物理对象的实际输出是明显偏离期望轨迹的,如物理层实际曲线所示。需要注意,在实际系统中,物理层的真实曲线并不容易随时查看,这意味着本场景所模拟的网络攻击是奏效的,且具有一定的隐蔽性,防御方仅凭经验难以检测网络攻击。
基于本发明所提供方法设计的安全检测器的检测性能如图5b所示,其中虚线表示预设阈值αth=5,kd表示检测时刻。在本实施例中控制周期等于检测周期 (Ts=Td=0.5s),因此kd与k是一一对应的。α(kd)表示kd时刻(也即k时刻) 安全检测器的检测变量值。可以看出,从1511时刻开始α(kd)超出阈值αth,而网络攻击实际的起始时刻为1500,这意味着本发明所设计的安全检测器在11 个采样时刻(即5.5秒)之后检测到了网络攻击,表明本发明的方法针对ICPS 镇定控制过程中的震网类攻击是有效的。
上述四个仿真实验的结果表明,本发明所提供的方法能够适用于跟踪控制和镇定控制场景,并且对多类恶意攻击均有效。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种针对多类恶意攻击的工业信息物理系统安全检测方法,其特征在于包括以下五个步骤:
S1:针对待检测ICPS可能遭受的多类恶意攻击,建立一个统一的攻击模型,然后结合被控物理对象的线性时不变状态空间模型,将所述被控物理对象和可能遭受所述多类恶意攻击的通信网络,视为一个由网络层和物理层构成的组合对象,建立组合对象的数学模型;
S2:在ICPS受到所述多类恶意攻击时,根据所述组合对象的数学模型发生变化,定义ICPS的安全模态和非安全模态,将ICPS的安全检测问题转换为对所述安全模态和非安全模态的在线划分问题;
S3:选定一个在ICPS运行过程中能够表征所述组合对象动力学特性的参量,将该参量作为划分ICPS处于所述安全模态的指示变量或非安全模态的指示变量;
S4:利用ICPS在所述安全模态下的运行数据,计算安全模态的指示变量的基准值;
S5:以固定检测周期在线计算当前检测时刻的指示变量,量化当前检测时刻的指示变量与所述基准值的差异得到二者差值,当二者差值大于预设阈值时,检测结果为ICPS处于所述非安全模态,即受到攻击,并发出报警信号;反之,发出安全信号。
2.根据权利要求1所述的针对多类恶意攻击的工业信息物理系统安全检测方法,其特征在于所述步骤S1中,可能遭受的所述多类恶意攻击是指ICPS的传感器通道和/或执行器通道分别遭受三种典型的攻击形式;所述三种典型的攻击形式是指虚假数据注入攻击、拒绝服务攻击和重放攻击,具体的数学表达形式分别为:
za(k)=z(k)+ba(k)a(k) (1)
za(k)=ba(k)z(k-Ta(k)) (3)
其中,k表示采样时刻,z(k)表示传感器原始测量值或控制器原始控制量,za(k)表示控制器接收到的受攻击的传感器测量值或执行器接收到的受攻击的控制量;ba(k)为布尔对角矩阵,表示攻击者可能选择任意的传感器或执行器子集作为攻击目标,a(k)表示攻击者注入的攻击数据;η(k)表示k时刻数据包丢失的概率,“z(k),w.p.(1-η(k))”表示za(k)=z(k)的概率是1-η(k);Ta(k)表示重放时间间隔。
6.根据权利要求1所述的针对多类恶意攻击的工业信息物理系统安全检测方法,其特征在于所述步骤S2中,所述安全模态是指与(7)式具有相同动力学特性的所述组合对象对应的ICPS模态;所述非安全模态是指除所述安全模态之外的其他ICPS模态;优选的,所述动力学特性指幅频特性。
7.根据权利要求1所述的针对多类恶意攻击的工业信息物理系统安全检测方法,其特征在于所述步骤S3包括以下步骤:
S33:利用所述S32中的估计模型,得到其幅频特性数据,并构建(8)式所示的所述指示变量:
8.根据权利要求1所述的针对多类恶意攻击的工业信息物理系统安全检测方法,其特征在于所述步骤S4包括以下步骤:
S41:根据所述S3给出的步骤,计算ICPS在所述安全模态下的n+m个指示变量,n>>m;
S42:随机抽取S41中的n个指示变量,计算n个指示变量的数学期望,将该期望初步视为所述指示变量的基准值;
S43:利用余下的m个指示变量验证步骤S42得到的基准值的精度;如果精度达到预期目标,基准值的计算完成;反之,返回S41直至所述基准值计算完成。
9.根据权利要求8所述的针对多类恶意攻击的工业信息物理系统安全检测方法,其特征在于所述步骤S43中,验证基准值的方法为:将待验证的基准值分别与所述m个指示变量作差得到差值,将这些差值分别进行列向量化操作,然后分别将m个计算结果的二范数与预设指标作比较,若均小于预设指标,则认为待验证的基准值的精度达到预期目标。
其中s为正整数,表示在线计算所述指示变量所需ICPS运行数据的组数,即所需ICPS运行数据的时间窗口长度为s·Ts,Ts表示ICPS的采样周期;
所述差值、预设阈值以及报警信号的关系由如下(10)式所示:
所述预设阈值按照如下(11)式选定:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010553520.0A CN111698257B (zh) | 2020-06-17 | 2020-06-17 | 针对多类恶意攻击的工业信息物理系统安全检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010553520.0A CN111698257B (zh) | 2020-06-17 | 2020-06-17 | 针对多类恶意攻击的工业信息物理系统安全检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111698257A true CN111698257A (zh) | 2020-09-22 |
CN111698257B CN111698257B (zh) | 2022-05-20 |
Family
ID=72481720
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010553520.0A Expired - Fee Related CN111698257B (zh) | 2020-06-17 | 2020-06-17 | 针对多类恶意攻击的工业信息物理系统安全检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111698257B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113281998A (zh) * | 2021-04-21 | 2021-08-20 | 浙江工业大学 | 基于生成对抗网络的工业信息物理系统多点fdi攻击检测方法 |
CN114563996A (zh) * | 2022-01-20 | 2022-05-31 | 大连理工大学 | 一种针对工业控制系统重放攻击的物理水印检测方法 |
CN115118510A (zh) * | 2022-06-30 | 2022-09-27 | 东北大学 | 一种基于泄露资源和破坏资源的隐蔽性欺骗攻击方法 |
CN115328142A (zh) * | 2022-08-26 | 2022-11-11 | 电子科技大学 | 一种重放攻击下网络化无人船舶的故障检测方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018048351A1 (en) * | 2016-09-07 | 2018-03-15 | Singapore University Of Technology And Design | Defense system and method against cyber-physical attacks |
CN108196448A (zh) * | 2017-12-25 | 2018-06-22 | 北京理工大学 | 基于不精确数学模型的虚假数据注入攻击方法 |
CN109814381A (zh) * | 2019-01-08 | 2019-05-28 | 华东理工大学 | 一种基于事件触发的网络控制系统控制器设计方法 |
CN110989552A (zh) * | 2019-11-25 | 2020-04-10 | 江南大学 | 一种网络攻击下连续搅拌釜式反应器系统的故障估计方法 |
-
2020
- 2020-06-17 CN CN202010553520.0A patent/CN111698257B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018048351A1 (en) * | 2016-09-07 | 2018-03-15 | Singapore University Of Technology And Design | Defense system and method against cyber-physical attacks |
CN108196448A (zh) * | 2017-12-25 | 2018-06-22 | 北京理工大学 | 基于不精确数学模型的虚假数据注入攻击方法 |
CN109814381A (zh) * | 2019-01-08 | 2019-05-28 | 华东理工大学 | 一种基于事件触发的网络控制系统控制器设计方法 |
CN110989552A (zh) * | 2019-11-25 | 2020-04-10 | 江南大学 | 一种网络攻击下连续搅拌釜式反应器系统的故障估计方法 |
Non-Patent Citations (2)
Title |
---|
ZOHAIB TAHIR等: "Attack Detection and Identification in Cyber Physical Systems: An example on Three Tank System", 《2019 15TH INTERNATIONAL CONFERENCE ON EMERGING TECHNOLOGIES (ICET)》 * |
孙子文等: "工业信息物理系统的攻击建模研究", 《控制与决策》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113281998A (zh) * | 2021-04-21 | 2021-08-20 | 浙江工业大学 | 基于生成对抗网络的工业信息物理系统多点fdi攻击检测方法 |
CN114563996A (zh) * | 2022-01-20 | 2022-05-31 | 大连理工大学 | 一种针对工业控制系统重放攻击的物理水印检测方法 |
CN114563996B (zh) * | 2022-01-20 | 2022-07-26 | 大连理工大学 | 一种针对工业控制系统重放攻击的物理水印检测方法 |
CN115118510A (zh) * | 2022-06-30 | 2022-09-27 | 东北大学 | 一种基于泄露资源和破坏资源的隐蔽性欺骗攻击方法 |
CN115328142A (zh) * | 2022-08-26 | 2022-11-11 | 电子科技大学 | 一种重放攻击下网络化无人船舶的故障检测方法 |
CN115328142B (zh) * | 2022-08-26 | 2023-09-15 | 电子科技大学 | 一种重放攻击下网络化无人船舶的故障检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111698257B (zh) | 2022-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111698257B (zh) | 针对多类恶意攻击的工业信息物理系统安全检测方法 | |
Ahmed et al. | Noise matters: Using sensor and process noise fingerprint to detect stealthy cyber attacks and authenticate sensors in cps | |
Ahmed et al. | Noiseprint: Attack detection using sensor and process noise fingerprint in cyber physical systems | |
Stan et al. | Intrusion detection system for the MIL-STD-1553 communication bus | |
CN113434866B (zh) | 仪表功能安全和信息安全策略的统一风险量化评估方法 | |
WO2020246944A1 (en) | Method and system for attack detection in a sensor network of a networked control system | |
Kordestani et al. | A control oriented cyber-secure strategy based on multiple sensor fusion | |
Moore et al. | Anomaly detection of cyber physical network data using 2D images | |
Luo et al. | Deepnoise: Learning sensor and process noise to detect data integrity attacks in CPS | |
Ghaeini et al. | Zero residual attacks on industrial control systems and stateful countermeasures | |
Guo et al. | DoS attack detection in identification of FIR systems with binary‐valued observations | |
Niu et al. | A framework for joint attack detection and control under false data injection | |
Feng et al. | Stochastic games for power grid coordinated defence against coordinated attacks | |
CN116074092A (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
Wolf et al. | False data injection attacks | |
CN111343205B (zh) | 工控网络安全检测方法、装置、电子设备以及存储介质 | |
Kuncara et al. | Observer Design for Autonomous Systems under Sensor Attacks | |
Rani et al. | Detection of man-in-the-middle attacks in model-free reinforcement learning | |
Braun et al. | Identifying attacks on nonlinear cyber-physical systems in a robust model predictive control setup | |
Eillot et al. | A predictive model for cloud computing security in banking sector using Levenberg Marquardt back propagation with cuckoo search | |
Kim et al. | A zero-stealthy attack for sampled-data control systems via input redundancy | |
Zhang et al. | The detection mechanism for false data injection attack via the ellipsoidal set‐membership approach | |
Ahmed et al. | Bank of models: Sensor attack detection and isolation in industrial control systems | |
Garrett et al. | On the efficacy of model-based attack detectors for unmanned aerial systems | |
Athalye et al. | Model-based cps attack detection techniques: Strengths and limitations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220520 |