周秀莹 叶方概 任 祝

(浙江理工大学信息学院 杭州 310018)

(201930604012@mails.zstu.edu.cn)

近年来，以计算机科学为代表的信息技术迅速发展，一些代表新技术发展的计算技术词汇，如互联网+、云计算、大数据、工业4.0等泉涌而出，而信息物理系统(cyber-physical system, CPS)[1]是其中最为引人关注的技术热词之一，CPS也已广泛用于实际的基础设施建设中，尤其是在能源、交通运输、航空航天等领域.CPS由能够相互通信的计算机设备组成，由于不同组件和技术之间的互联性，信息传输网络的引入增加了物理层动态过程的安全风险[2]，CPS容易受到网络攻击的威胁，从而使系统网络或物理过程受到破坏，造成损失.CPS是支撑信息化和工业化深度融合的一套综合技术体系，随着CPS中远程控制和管理需求的激增，安全性在这一类系统中扮演着至关重要的角色.

互联网是匿名开放系统，是信息化社会的关键基础设施，可以实现信息共享[3].互联网的介入，使得无线网络组存在的恶意攻击和随机丢包等因素，严重影响着CPS的安全运行.目前，网络攻击比较常见的分类有物理攻击和通信攻击，通信攻击又分为典型的拒绝服务攻击、重放攻击和虚假数据注入攻击[4].CPS安全问题本质上是攻防对抗，只有深入分析攻击行为，研究它的本质特征，然后用数学模型描述攻击行为，才能设计出合理的防御机制[5].

对于CPS安全问题，研究主要从以下2个角度进行分析：从攻击者角度研究最优攻击，从受攻击者角度研究有效防御.

从攻击者角度，文献[6-8]针对不同条件下的DoS(denial of service)攻击，提出了其最优攻击调度；文献[9]研究了离散时间线性动态系统下的基于一类拒绝服务攻击模型的最优控制问题；对于虚假数据注入攻击，文献[10]考虑将攻击向量设计转化为线性回归模型子集选择，设计了一种基于快速回归算法的攻击构造方法；文献[11-13]根据攻击前后系统性能指标的变化，提出了具有隐蔽特性的虚假数据攻击，使攻击前后残差基本不变，可以欺骗χ2检测器的线性攻击策略，并给出了攻击效果最优时的攻击形式.

从受攻击者角度，文献[14]在考虑恶意攻击者和系统能量受限的情况下，采用二者零和博弈提出了攻击者和受攻击系统有效防御的最优决策，文献[15]在文献[16]提出的DoS攻击模型基础上，研究了DoS攻击下的受攻击系统弹性控制策略设计问题；文献[17]为了提高对线性欺骗攻击的检测精度，提出了一种数据融合与验证算法；文献[18]在考虑使用多传感器的线性时不变系统，子系统可能被恶意攻击问题，提出了基于高斯混合模型(GMM)的检测机制.

在各种各样的网络攻击中，阻止网络化系统元件之间通信的DoS攻击，由于其攻击方式简单，是攻击空间中最容易实现的攻击方式[19].无线传输信道由于恶意攻击者发起DoS攻击，即在通信网络信道上发送伪造数据包，从而使传感器数据采集器与远程估计器之间的通信不可用，信息无法正常收发[20]，从而造成数据丢包，估计器无法收到量测数据.卡尔曼状态估计器通过利用过去状态的估计值和动态模型对当前时刻的状态量进行预测矫正，从而计算最优估计值.然而，这是建立在数据可靠有效的基础上，恶意攻击者对CPS发起DoS攻击时，估计器无法收到量测数据以进行正常的预测矫正，进一步威胁CPS安全运行.

本文针对DoS攻击检测问题，考虑恶意攻击者对传感器与估计器之间无线传输信道存在固有随机数据包丢失的CPS发起DoS干扰攻击，运用伯努利分布描述DoS攻击的量测数据丢失特性，在检测数据端利用最近一次收到的状态信息进行更新序列的预测设计，以补偿DoS攻击造成的数据包丢失，提出了一种新型的时间序列检测模型，以后验估计误差协方差作为性能指标，最后检测DoS攻击的识别阈值.

1 问题描述

本文考虑拒绝服务攻击下的CPS，配备有传感器、卡尔曼滤波器和故障检测器.传感器将采集到的数据通过无线信道将数据传输到滤波器.由于无线信道开放、共享、广播的特性，攻击者很容易对传输信道进行攻击.信息物理系统由一个离散时不变系统组成，其动态模型描述如下：

xk+1=Axk+ωk,

(1)

yk=Hxk+vk,

(2)

(3)

以上为系统处于安全运行情况下的系统模型及卡尔曼模型估计器.只有数据正常传输时，卡尔曼滤波估计器才能安全运行，在发生数据丢包时，卡尔曼估计器则无法正常估计预测.然而，由于网络本身的特性，网络拥堵和中继路由缓存和处理能力的限制，不可避免地会发生丢包、时滞等影响系统可靠性和稳定的问题出现.

在典型的CPS中，传感器将按照一定顺序传输的量测数据通过一个共享的无线通信频道发送信息给远程估计器.本文考虑攻击者在传感器和卡尔曼滤波器之间进行干扰，当攻击者发起DoS攻击时，将会导致数据包丢失.例如：取系统工作一个时间段[k0,km]，其中，在区间内，在时刻kn的数据成功传输，攻击者从时刻kn+1发起攻击，在接下来的时刻[kn+2,km]发生拒绝服务攻击后还有可能发生随机丢包，即在[k0,km]这个时间段内传输信道同时存在随机和DoS数据包丢失.

2 攻击识别方案

假设攻击者有能力截取无线信道中传输的信息，本文研究的DoS攻击，攻击者对系统发起攻击，使传输信道发生数据丢包，从而使传感器采集到的数据无法传输到估计器上，造成估计器无法正常工作.由于卡尔曼滤波器能减少系统噪声和测量噪声对系统的干扰，所以本文采用卡尔曼估计器和故障检测器来进行攻击检测.用S1={yk0,yk1,…,ykm}表示传输序列，yk传输成功与否，可用下列模型表示：

(4)

Pr(αk=0)=ρ,

Pr(αk=1)=1-ρ,

var(αk)=ρ(1-ρ),

以此类推，可以得到在[k0,km]运行时段中发生连续2步丢包、多步丢包的数据补偿模型.

表1 网络数据传递表

从表1可以看出，在系统工作时间段[1,7]内，量测值y1,y2,y4,y7成功传输，而量测值y3,y5,y6丢失，其中，y5,y6是连续丢包的.在实际情况中，由于检测数据端无法获取到量测值，系统所能得到的准确信息只有最近一次的估计值和预测值，如表1所示，在最后2列得到补偿.

在以上考虑的补偿策略下，现定义系统的判断规则，并采用如下指标对结果进行评价：

(5)

其中，Pk|k为残差zk的协方差矩阵，且在稳定系统中，zk服从高斯分布；J为传感器检测窗口大小，δ为攻击检测阈值，gk表示时刻k的后验误差协方差迹的平均值，检测器将|gk-μ|与确定阈值相比较，如果gk大于阈值，则会触发报警.μ为确定常量，不同系统的μ值不一样，在系统安全运行的情况下，将其定义为

系统安全运行时，检测器将系统状态置为H0；当系统遭受到DoS攻击，并成功检测出异常时，检测器将系统状态置为H1，并发送报警信号.

3 数值仿真

为了验证本文所提出的DoS攻击下故障检测方案的有效性，根据同时存在DoS干扰攻击和固有随机数据包丢失情况的离散时间的线性时不变系统状态方程(1)(2)(4)构建仿真模型，采用MATLAB对稳定系统进行DoS攻击，离散系统方程如下：

在攻击者不发动攻击时，仅存在无线信道固有的数据包丢失；在攻击者发动攻击时，使得无线信道的数据包成功传输率下降.假设系统未受到攻击时，随机丢包序列信号如图1所示.其中“0”表示数据包丢失,“1”表示数据包传输正常.

系统在某一时段受到DoS攻击信号序列如图2所示.

恶意攻击者在存在固有随机丢包系统发起拒绝服务攻击仿真结果如图3所示.

图1 随机丢包序列信号

图2 DoS攻击序列信号

图3 系统状态响应

图4 最优化估算值

4 结 论

本文研究了CPS受到DoS攻击情况下的安全性问题.针对DoS攻击下的安全状态估计与检测，本文提出了一种基于最优状态估计系统和故障检测器相结合的攻击检测模型.最后通过MATLAB仿真实验验证了检测的有效性.

随着物联网的研究与发展日趋成熟，以及传感、通信技术和控制理论的飞速发展，信息物理系统将成为未来科技发展的一个研究热点[21].随着无线网络的发展和智能系统的普及，无线通信与物理设备之间信息交互的安全性变得越来越重要，在未来的研究中，对于信息物理系统的外部干扰和攻击，将考虑含有控制输入的系统，并考虑在控制器和估计器传输数据的无线信道中同时发生数据丢包时的检测模型.