信息物理融合系统综合安全威胁与防御研究

刘烃 田决 王稼舟 吴宏宇 孙利民 周亚东 沈超 管晓宏

近年来,随着信息科学与技术的快速发展和信息计算与数据处理能力的不断提升,工程系统和信息计算高度融合的趋势十分明显.信息物理融合系统(Cyber-physical system,CPS)是计算单元和物理对象在网络环境中高度集成交互而成的智能系统[1],如图1所示.CPS包括物联网、信息物理融合能源系统或能源互联网、智能电网、智能交通系统、智能制造系统、智能物流系统等,已成为支撑和引领新一轮产业变革的核心技术.

互联网是信息社会的关键基础设施,其问世目的主要是为了信息共享,因而被设计成匿名开放系统,较少考虑安全的因素.互联网的发展和应用完全超出了任何人预料,网络信息安全已成为互联网发展和应用的关键问题之一.互联网面临的安全威胁包括网络攻击(如拒绝服务攻击、缓存区溢出、SQL注入等)、恶意代码(如病毒、木马、蠕虫等)、数据欺诈(如身份伪造、数据篡改等)、网络窃听、在线社交网络攻击等.物理系统特别是工程系统由于自身的封闭性和预设的安全保障机制,被认为可以有效抵御各类攻击,进而保证CPS的安全.然而近年来,Stuxnet安全事件表明,信息系统安全与物理系统工程安全相互影响,使得网络攻击能够直接影响CPS安全,对国家安全和人民生活造成严重威胁.

图1 CPS概念模型[1]Fig.1 CPS conceptual model[1]

首先,传统物理系统(如工业控制系统、驾驶系统、医疗设备等)由于其相对隔离的运行环境,且多采用专用信道进行通信,使得攻击者相对难接入、渗透和实施攻击.由于信息化和智能化的需要,传统物理系统向CPS演化过程中,系统的运行环境由封闭和隔离变得开放和互联[2].这在提高运行效率的同时,同样为攻击者提供了新的攻击渠道,使得CPS更有可能面临来自内部或外部的攻击.如Stuxnet攻击通过U盘摆渡侵入核设施控制系统、WindShark则直接通过物理接入无人值守的风电场控制系统.攻击者一旦突破CPS网络边界进入内部网络,攻击成功率可能比互联网攻击更高,威胁可能更大.

其次,大多物理系统从工程安全的角度,设计了故障诊断和安全应急措施,如电力系统采用状态估计来检测和消除错误数据,采用继电保护检测、隔离、切除系统故障等.然而,这些安全保护机制主要针对自然发生的工程故障.当攻击者通过多点协同攻击时,可以躲避相关检测.如Stuxnet攻击不断伪造上报的系统量测数据,使得控制中心无法检测到系统异常;BlackEnergy3通过破坏系统通信模块并采用拒绝服务攻击干扰电网电话服务系统,使得系统预设的应急响应和防御策略无法有效实施.这些攻击的共性特点体现在:针对特定物理系统的业务流程和安全预案,制定相应的攻击策略,利用网络攻击技术对多个目标实施协同攻击,绕过物理安全防护体系,破坏系统的正常运行,甚至损毁物理设备.

综上所述,在CPS中信息系统的信息安全(Security)与物理系统的工程安全(Safety)深度关联,信息系统安全或物理系统安全都不能完整地定义CPS安全特性.本文提到的信息安全包括数据安全、网络安全、软件和硬件安全、通信安全等与信息系统相关的安全威胁,工程安全包括物理设备安全、系统运行安全、产品质量等与物理系统相关的安全问题.美国国家标准与技术研究院在《CPS架构白皮书》中指出“安全已经成为CPS的主要关注点,与网络安全只关注减轻网络攻击的影响不同,CPS安全需要考虑到物理和网络脆弱性的协同作用”,“CPS的本质特点不仅放大了漏洞的危害性,还将引入新型的安全漏洞”[1].作者曾指出CPS安全正在从工程故障为主的物理安全问题,变成同时考虑物理系统安全和信息系统安全的综合安全问题;CPS的安全控制正从面向物理系统的安全防护走向涉及自然和社会因素的综合灾变防御[3].

基于以上分析,本文将CPS综合安全的攻击定义为:攻击者利用信息系统与物理系统之间的紧密耦合关系,采用网络攻击或者物理攻击技术,造成CPS系统故障或诱导故障在系统中传播,破坏CPS完整性、可用性或保密性的行为.

1 CPS定义与安全案例

CPS的概念最早在2006年由美国国家科学院和国家科学基金会提出:CPS是计算与物理过程的集成.2007年,美国总统科学技术顾问委员会报告《挑战下的领先—竞争世界中的信息技术》,将CPS列为未来8项网络与信息技术之首[4].2016年,美国国家标准技术研究院CPS工作组对CPS给出更具体的定义:CPS是计算单元和物理对象在网络环境中高度集成交互而成的智能系统.

欧盟在2007年至2013年的“嵌入智能与系统的先进研究与技术”(ARTMEIS)以及2014年起的“地平线2020”(Horizon 2020)等研究计划中投入数十亿欧元,发展包括CPS在内的多项先进科技研究[5].德国在2013年4月的汉诺威工业博览会上推出的“工业4.0”项目中,将CPS列为首位[6].德国科学工程院强调了CPS在制造业中的作用,认为CPS由智能机器、存储系统和生产设备组成,能够自主地交换信息、触发动作并相互独立控制.

中国从2009年起开始关注CPS,“国家自然科学基金”、“863计划”和“973计划”等均设立课题对其进行支持,党的十八大和十九大相继提出了“信息化和工业化深度融合”、“互联网+”、“中国制造2025”等国家战略,将CPS列为支撑新一轮产业变革的核心技术[7].2017年,工信部和国家标准化管理委员会发布的《信息物理系统白皮书》给出定义:CPS通过集成先进的感知、计算、通信、控制等信息技术和自动控制技术,构建了物理空间与信息空间中人、机、物、环境、信息等要素相互映射、适时交互、高效协同的复杂系统,实现系统内资源配置和运行的按需响应、快速迭代、动态优化[8].

国内外对CPS的定义都强调CPS的核心在于信息系统与物理系统的融合,而融合引入的CPS综合安全问题也一直受到世界各国的重视.2006年,美国美国国家科学基金会(National Science Foundation)将CPS安全列为科学研究重要领域,国土安全部制订了“国家基础设施保护计划”.2010年英国发布国家安全策略,开展“国家网控安全项”,支持工业控制系统安全的相关研究.2013年,欧洲网络与信息安全局发布《工业控制系统网络安全白皮书》.在中国,2011年4月工信部等五部委联合发布《关于加快推进信息化与工业化深度融合的若干意见》,指出“发展完善面向工业行业的安全可靠的信息化服务平台”;2012年6月国务院要求“保障工业控制系统的安全,加强重要领域工业控制系统,以及物联网应用、数字城市建设中的安全防护和管理”;2016年和2018年,国家重点研发计划先后设立两项CPS安全的项目《内生安全的主动防御工控系统防护技术研究》和《工业控制系统安全保护技术应用示范项目》.

为了分析CPS综合安全的特征,本文回顾近年来全球影响广泛的4起CPS安全事件:2010年针对伊朗核设施的Stuxnet攻击、2014年针对欧洲工业制造系统的Havex攻击,2015年针对乌克兰电网的BlackEnergy3攻击以及2017年美国风电场安全实验,并对其攻击过程进行分析.

2010年伊朗政府承认,伊朗位于纳坦兹的铀浓缩工厂遭受Stuxnet蠕虫攻击.据报导,这次攻击导致伊朗近千台离心机损毁,Bushehr核电站也遭Stuxnet病毒感染,最终Bushehr核电站被迫关闭、铀浓缩计划停滞和伊朗核计划推迟[9].Stuxnet蠕虫是首次出现以核电站和核设施为目标的网络攻击.Stuxnet蠕虫利用了4个Zero-day漏洞入侵核电站信息系统,躲过入侵检测系统等信息网络安全监控,随后采用Rootkit技术入侵PLC控制器,控制离心机异常运行,同时伪造离心机的运行数据,欺骗数据采集与监控系统(Supervisory control and data acquisition,SCADA)的故障诊断功能,直到离心机损坏[10-11].

2014年,欧洲大量工业制造系统遭受Havex木马袭击,其专门针对SCADA和工控系统(Industrial control system,ICS)中的工业控制软件,进行远程控制,可造成水电坝失控、核电站过载、电网断路等后果[12].

2015年12月23日,乌克兰电力部门遭受BlackEnergy3攻击,造成了7座110KV和23座35KV变电站断电长达3个小时,使得3个不同区域大约22万人失去电力供应.BlackEnergy3是全球首个导致电力系统瘫痪的网络攻击.BlackEnergy3利用Office的漏洞入侵电力部门办公系统,再通过VPN和ICS的远程管理功能入侵电网控制系统,下达断路器断开指令,导致输电网断路.为阻断电网保护和恢复机制,攻击者篡改日志文件、破坏数据存储系统、关闭监控系统,甚至对客服电话系统发动电话拒绝服务攻击[13].

2017年7月,美国塔尔萨大学Staggs博士团队公布了3个针对风电场的攻击.Windshark向联网的涡轮机发送命令,禁用或者反复制动急停,以造成磨损和破坏.Windworm利用Telnet和FTP在可编程自动化控制器间扩散,感染整个风电场的计算机.Windpoison利用ARP缓存病毒,发现和定位控制系统的网络组件漏洞,并伪造涡轮机发回的信号,隐瞒机组遭攻击破坏的事实.研究团队在美国中部的风电场撬开风力发电设备的服务器机柜,将通信设备接入风电控制系统,实现远程控制风力发电机[14].

从上述真实案例可以看出,CPS攻击过程一般由两部分组成.1)利用网络攻击技术对系统信息网络进行探测、入侵、提权和控制,探知目标系统拓扑结构、运行模式等,获得目标系统量测或控制数据的修改权限,为后续攻击提供基础;2)利用CPS设计和业务流程实施攻击,包括篡改控制指令造成系统异常运行,阻断或篡改系统量测数据以阻止控制系统的安全响应.

第一部分与现有网络攻击技术相似,第二部分体现出CPS攻击的特殊性,因为物理系统的状态变化有一定限制(如电力系统中发电机出力的提升有爬升约束限制),且物理系统都有安全应急机制和保护措施.因此攻击者往往结合物理系统的业务逻辑和保护机制,设计攻击策略,一方面通过持续的攻击使得系统达到特定状态;另一方面隐藏自身的攻击行为,躲避系统的异常检测和保护机制.上述CPS安全事件都有信息物理耦合与攻击隐蔽两个特点.

1)信息物理耦合

由于信息与物理系统耦合,为使得攻击效果最大化,针对CPS的攻击必须考虑系统业务流程和物理约束.攻击的构建会受到物理系统本身相应条件的约束,而攻击的达成及其巨大的破坏力又依赖于这些条件.

2)攻击隐蔽

攻击者往往长期潜伏,以获得足够的物理系统知识特别是安全约束信息和控制权限,在安全监控系统未察觉的情况下进行攻击.从开始接入探测到完成攻击目标,一般需要数日至数周的潜伏期,在这一阶段保持隐蔽.

这两个特点在已知的CPS攻击中普遍存在,也是区别于互联网攻击最为明显的差异.本文基于信息系统与物理系统的耦合特征,构建CPS安全威胁模型,并针对CPS攻击的隐蔽性,对CPS安全威胁和防御方法进行分类和总结.

2 CPS综合安全威胁模型

抵御信息网络攻击的能力是衡量CPS性能的一项重要指标.近年来的安全事件显示,CPS面临的攻击手段在不断更新,其多样性和隐蔽性极大地增加了防御代价与成本.成功的系统防御通常建立在充分了解系统结构及攻击的基础上.因此,需要充分了解CPS攻击特点和现有异常检测机制,制订针对性防御策略,以增强系统安全防护能力.

信息系统与物理系统的耦合性是建立CPS综合安全威胁模型的难点,不仅要分析不同系统自身的拓扑结构、安全监控机制等,还要考虑两类系统间的信息交换模式、安全漏洞等.本文首先总结现有CPS系统模型和安全监控机制,结合现有威胁模型,重点针对控制信号和量测信号篡改攻击的隐蔽性,提出一种CPS综合安全威胁模型.

2.1 CPS系统模型

典型的CPS由控制中心、物理设备、执行器与传感器构成,如图2所示.当系统状态在一定范围内变化时,CPS可近似为线性系统.由于线性系统理论和方法较为成熟,本文以离散时间的线性时不变(Linear time invariant,LTI)系统为例,阐述建模思想与方法.具体来说,LTI模型可描述如下:

图2 CPS控制模型Fig.2 CPS control model

工业控制系统对于传感器的量测数据需要经过预处理,主要包括状态估计器与异常检测器,其检测原理可分为两类:一类是利用系统过去时间的状态预测未来的状态,并根据预测结果与量测结果进行异常数据检测,本文将其命名为时间相关型检测;另一类是通过系统不同传感器间的关联关系,进行交叉验证,以实现检测目的,本文将其命名为空间相关型检测.

2.2 时间相关型检测

2.2.1 基本模型

时间相关型检测机制中,系统当前状态估计值应与之前的估计值、量测值以及控制信号相关.具体来讲,用表示系统状态估计值.在第k+1时刻,状态估计器可计算系统状态估计值如下:

为保证CPS的安全稳定运行,控制算法模块计算系统的控制信号,以使得系统状态维持在期望目标状态x0附近.考虑通用控制算法如下:

其中,L3(·)为抽象函数.

2.2.2 基于卡尔曼滤波的状态估计器与异常检测器

本节以文献研究与真实系统中广泛采用的基于卡尔曼滤波的状态估计器和卡方异常检测器[15-18]为实例,分析CPS的时间相关型检测理论方法.

基于卡尔曼滤波的状态估计器将式(3)实例化为

其中,F∈Rn×m为卡尔曼增益矩阵.式(4)转化为

卡方检测器计算标量残差如下:

其中,G∈Rm×m为∈[k]的协方差矩阵.当系统采用卡尔曼估计器,则有

且r[k]服从分布.若,卡方检测器结果呈阳性,式中,表示卡方分布在自由度为m、概率值P为1-α的卡方值.

基于卡尔曼滤波的状态估计器和卡方异常检测器为时间相关型检测提供了理论和方法支持,已经广泛应用于电力系统、生产制造等系统.但与现有大部分时间相关型检测方法类似,该类方法对于运行状态不稳定的系统,难以进行有效监控.

2.3 空间相关型检测

2.3.1 基本模型

空间相关型检测的基本原理是根据系统在某个时间断面上,不同节点量测值之间的耦合关系对系统当前状态进行估计,此时要求系统的量测信号维数m大于等于系统状态维数n,同时量测矩阵C通常列满秩,即rank(C)=n.具体来讲,用表示系统状态估计值.在第k时段,状态估计器可计算系统状态估计值如下:

其中,L4(·)为抽象函数.基于状态估计值与式(2),可得传感器量测估计值:

其中,L5(·)为抽象函数.

2.3.2 电力系统异常数据检测

现有文献中,空间相关型状态估计器与异常检测器通常特指电力系统下状态估计与错误数据检验,本文从电力系统的角度详细描述其模型.在电力系统中,潮流计算用于研究稳态情况下电力系统的运行情况,其任务为根据电力系统运行条件与网络结构参数计算电力系统的运行情况,如母线节点电压(包括幅值与相角)、网络潮流分布等.

电力系统潮流模型通常分为交流潮流模型与直流潮流模型.在交流潮流模型中,电表量测值包含母线节点注入有功功率与无功功率、各传输线始端与末端有功功率与无功功率以及各节点电压幅值;系统状态包含节点电压幅值与相角.假设电力系统具有m个量测值以及n个状态量,通常情况下m≥n,则电表量测值y与系统状态x关系如下式:

式中,c(·)为非线性函数,由系统拓扑结构、线路阻抗、线路对地电纳与变压器变比等参数决定;表示系统噪声.通常假设w服从零均值的高斯分布,其协方差矩阵为R∈Rm×m.

对于大规模电力系统,由于交流潮流模型的非线性会导致计算复杂度极度增加,甚至求解过程无法收敛.在一些情况下,电力系统会采用线性化的直流潮流模型以近似交流模型.相比于交流模型,直流模型计算精度较低,但具有更强的鲁棒性.直流模型通常用于电力系统实时运算,如计算节点边际电价等.直流模型对交流模型主要进行了如下简化:1)假设各节点电压相同;2)假设各线路无损,即线路电阻为0;3)假设各线路始末两端相角差很小,因此可用θ近似代替sin(θ),式中,θ≈0.在上述假设下,全电网无功功率为0,各传输线始端与末端有功功率相同.因此电表量测值包含母线节点注入有功功率、各传输线始端或末端有功功率,系统状态为各节点电压相角.假设电力系统量测值y维数为m、状态量x维数为n,且m≥n.系统状态x由节点注入功率与节点电纳矩阵决定,具体模型如下:

式中,p为节点注入功率向量,且p∈Rn;B为节点电纳矩阵,包含了系统拓扑与线路电纳,且B∈Rn×n.对于连通的电力系统,矩阵B是非奇异的.因而,.此外,直流模型下电表量测值y与系统状态x关系如下式:

式中,C∈Rm×n表示系统量测矩阵,通常情况下,

该矩阵列满秩,即rank(C)=n.用(i,j)表示连接节点i与j的线路,yij表示线路(i,j)的电力潮流量测值,wij表示yij中所含量测噪声,xi表示x中与节点i相关的元素,则有yij=-bij(xi-xj)+wij,式中,bij表示线路电纳.因而,量测矩阵C中与线路(i,j)对应的行向量(记为Cij)为[19]

为提高电力系统数据质量,在硬件层面上可增加高量测精度、高量测速度以及高可靠性量测设备;在软件层面上,可采用状态估计等技术对数据进行实时处理.状态估计的实质为对系统量测值进行滤波,利用量测系统的冗余度来提高系统的量测精度、降低随机噪声对系统的干扰,以估计或预测系统的运行状态.电力系统周期性地进行状态估计,在离线状态下,电力系统只通过SCADA进行估计,其周期与SCADA周期一致,为20秒至几分钟;而处于在线估计时,需要使用尽量准确实时的数据分析系统当前的情景,周期为10分钟至数小时.本文将此周期称为状态估计周期.

在交流模型下,基于加权最小二乘(Weighted least-squares,WLS)的状态估计为寻找具有最小WLS误差的状态估计值:

由于交流模型的非线性,通常采用高斯牛顿 (Gausson-Newton)迭代法或牛顿—拉夫逊(Newton-Raphson)法进行求解.然而,当系统维数较大时,迭代法的时间开销很大,同时迭代法可能无法获得全局最优解甚至无法收敛.在直流模型下,若量测噪声是独立同分布的高斯噪声,则具有最小均方误差(Mean squared error,MSE)的系统状态估计值:

其中,C+:=(CTR-1C)-1CTR-1表示矩阵C的广义逆矩阵.在电网系统中,状态估计残差(用r表示)定义为量测量真实值与估计值之间的偏差.特别的,若R为对角矩阵(即系统噪声独立),则有:

其中,为量测量估计值;为对矩阵R-1对角线上所有元素进行开方所得的对角矩阵.交流模型下,;直流模型下,.错误数据检验将该残差与阈值η比较,以判断系统中是否存在错误数据.若r＞η,则检验结果呈阳性,即系统中存在错误数据.若系统噪声服从正态分布,由于r2服从卡方分布,则阈值η可设定为

电力系统状态估计与错误数据检验可以有效检测系统中的量测误差和错误,在实际电网中已有广泛应用.然而类似空间相关型检测方法都面临两大挑战:1)计算复杂度问题.状态估计的计算复杂度不低于O(N2),大规模系统的状态估计本身就是挑战性难题;2)系统结构的动态变化.大规模系统的拓扑结构可能经常变化,系统参数随着环境、运行状态发生发生改变,上述变化将导致系统矩阵和量测矩阵的改变,严重影响状态估计和异常检测的精度.

2.4 CPS综合安全威胁模型分析

本节分析攻击场景下的CPS综合安全威胁模型,为了保证分析的普适性,考虑了控制信号与量测值同时被篡改的攻击场景,如图3所示.沿用第2.1节定义的符号表示正常状态下的物理量,并定义系统遭受的攻击量如下(为方便本节定义中省略时间索引):

图3 CPS综合安全威胁模型Fig.3 Integrated security model of CPS

从被控制的物理系统来看,物理系统接收到的控制指令已被攻击者篡改,物理系统基于该指令做出错误的决策,同时,对当前状态的量测值也会被攻击者篡改.在k时刻,其接受的控制指令、系统状态方程和量测结果可表示为

本文分析具体以时间相关型攻击下的威胁模型为例,此外,由于空间相关型数据完整性攻击下的威胁模型与时间相关型攻击下的威胁模型类似,在此不再进行赘述.

本文设计的CPS综合安全威胁模型的核心思想在于从系统管理者的角度,将CPS攻击可能发生的情况,抽象为系统控制流程中,对量测值与控制指令的篡改;将CPS攻击策略构建的策略,描述为在安全防御约束下的策略求解问题.为研究人员和管理人员理解CPS综合安全威胁,提供了一种可行的理论方法.

3 CPS综合安全攻击研究现状

3.1 攻击分类

通过调研现有文献和报导,已知的CPS攻击有十余种,如数据重放攻击、数据放大攻击、零动态攻击、零状态诱导攻击以及系统模拟攻击等,大部分属于数据完整性攻击,即通过篡改系统的量测量或者控制量,躲避CPS安全监控和实现攻击目的.因此,本章结合前文总结的空间相关性和时间相关性检测机制,从空间隐蔽和时间隐蔽的角度将已知的CPS攻击分为4类,如图4所示.

空间隐蔽型攻击典型代表为最早由Liu等[20-21]在2009年提出的电力系统错误数据注入攻击.该类攻击主要针对基于多维数据间的数学耦合关系的错误数据检测机制,构造错误控制指令和量测数据并实施攻击,使得系统对当前的运行状态或者拓扑结构产生错误的估计;但该类攻击不能躲避时间相关型检测方法.这类攻击对系统的完备度以及获取的数据维数有一定要求,目前主要以电力系统为目标,相关研究包括原始错误数据注入攻击、拓扑攻击、盲错误数据注入攻击、负载重分配攻击、拓扑泄漏攻击以及安全索引等.

图4 CPS攻击分类Fig.4 Taxonomy of CPS attack

时间隐蔽型攻击包括零动态攻击和零状态诱导攻击,该类攻击主要针对利用系统状态在连续时间上的动态规律,来预测和检测错误量测的安全机制,构造错误控制指令和量测数据并实施攻击,使得系统对当前的运行状态或者拓扑结构产生错误的估计;但该类攻击不能躲避空间相关型检测方法.

空间—时间隐蔽型攻击在已知CPS攻击中,已引发多起重大安全事件,如Stuxnet攻击等.这类攻击既考虑了各个量测数据之间耦合关系,也考虑了量测数据本身在时间上的变化规律与约束,成功躲避了时间相关型和空间相关型的异常检测方法.

部分CPS攻击未考虑时间和空间相关型的异常检测方法.虽然这类攻击容易被系统检测到,难以造成严重的后果,但其思想和技术可能被攻击者利用,值得考虑和借鉴,本章最后对其进行统一分析.

3.2 空间隐蔽型攻击

本节首先分析空间隐蔽型攻击,已有研究中该类攻击主要针对电力系统状态估计与错误数据检验.由于空间隐蔽型攻击仅和当前系统结构知识有关,本文将空间隐蔽型攻击分为两类场景:攻击者拥有完备系统信息与信息受限.

3.2.1 信息完备条件下空间隐蔽型攻击

2009年,Liu等[20]首次提出了直流模型下隐蔽错误数据注入攻击(False data injection,FDI).该攻击假设攻击者能获取当前电力系统拓扑结构与配置信息,并具有篡改电表量测值的能力.攻击者通过精心构造虚假电力量测数据,绕过电力系统的错误数据检验,并诱导电力系统状态估计对系统状态值产生错误估计[20-21].FDI针对电力系统直流模型设计,其攻击量满足:

式中,为任意向量,且.则有:

因此,可得rm=r,式中,rm表示攻击后的系统残差.这意味着攻击前后,系统残差不发生变化,即攻击是隐蔽的.这是因为,当攻击发生后,系统状态估计值变为

这意味着攻击量额外注入量a完全模拟了系统状态为时的系统量测量.

Hug等将直流模型下的隐蔽攻击推广至交流模型[22],其中攻击量可设定为

进而可以计算攻击实施时,系统残差为

即rm≤r.这意味着攻击后的系统残差不大于攻击前的系统残差,即攻击是隐蔽的.值得注意的是,交流模型下的隐蔽攻击需要攻击者获得系统状态的估计量.

2011年,Yuan等根据电力系统的特点,将Liu等提出的攻击增加了如下约束限制以使得攻击在真实情况下更为合理,该攻击被称为负载重分配攻击[23].约束包括:发电机量测值不可修改;电网中零注入节点的功率不可被修改(零注入节点不与任意负载或发电机相连);负载量测值可被修改;传输线潮流量测值可被修改.

2013年,Kim等将错误数据注入攻击的目标由电力系统对状态的错误估计延伸至对系统当前拓扑结构的错误估计,称为拓扑攻击[24].与FDI相比,拓扑攻击中攻击量a不仅与系统量测矩阵相关,同时与系统当前状态(或量测值)相关.因此,将a重新表示为a(y).Kim等主要研究了拓扑攻击下的状态保持攻击,即攻击前后系统的估计状态不变,估计拓扑发生变化.在直流模型下,攻击量为

C为攻击前系统真实量测矩阵,为攻击者的目标量测矩阵,x为系统的真实状态.当系统无量测噪声时,有;当系统存在量测噪声时,需要用系统的状态估计值来代替真实状态值.与直流模型类似,可得交流模型时拓扑攻击为

式中,c(·)为系统真实潮流函数;为攻击者的目标潮流函数.

2010年,Sandberg等研究了错误数据注入攻击下安全索引的概念,即以最小的攻击代价执行隐蔽攻击[25-26].直流条件下,当攻击者篡改节点数最小时,安全索引可表示为

ai表示a的第i个元素;Ci为C的第i行;为攻击向量a中非零元的个数,即αi代表了执行隐蔽攻击时最少的攻击节点数.通常情况下,0-范数的求解比较困难,同时0-范数最优问题与1-范数最优问题等价,因此问题通常会转化为更容易求解的1-范数问题:

Teixeira等进一步将安全索引由0-范数、1-范数推广至p-范数问题[27,28],即

3.2.2 信息受限条件下空间隐蔽型攻击

由于电力系统的拓扑结构、线路参数、实时状态难以获得,因此如何在信息受限情况下构建FDI成为众多研究者关注的热点[29-31].Liu等研究了攻击者拥有全部拓扑信息以及部分线路参数时,直流模型下FDI构建方法[30].如图5所示,电力系统被分为攻击区域Q1与非攻击区域Q2,攻击者知道攻击区域Q1以及区域连接线的线路参数,但不知道非攻击区域Q2的线路参数.攻击者可以仅修改区域连接线的潮流量测值使得攻击保持隐蔽.用ΩQ1、ΩQ2分别表示Q1、Q2中节点集合,用ΩT12表示Q1与Q2连接线集合(方向为从Q1至Q2),则攻击向量为

ΔR为任意常数.可以证明上式等价于

bij为线路(i,j)(即连接节点i与节点j的传输线)的电纳,aij为a中对线路(i,j)量测值的攻击量.从上式可以看出,攻击者可以在仅了解区域连接线电纳的情况下进行隐蔽的错误数据注入攻击.类似的,攻击者可以仅影响攻击区域Q1的系统状态而不影响非攻击区域Q2的系统状态,其攻击向量为

攻击者可以在不知道区域Q2传输线参数的情况下进行隐蔽攻击.

图5 攻击区域与非攻击区域Fig.5 Attack area and non-attack area

Liu等将信息受限时的隐蔽攻击拓展至交流模型[31].在交流模型下,系统状态为电压幅值与电压相角.将系统状态重表示为〈v,θ〉,潮流模型表示为C(v,θ).交流模型下的攻击场景与直流模型类似,场景如图5所示,攻击者知道攻击区域Q1以及区域连接线的线路参数,而不知道非攻击区域Q2的线路参数.首先,攻击者可以仅修改区域连接线的潮流量测值使得攻击保持隐蔽,其攻击向量为

其次,攻击者可以仅影响攻击区域Q1的系统状态而不影响非攻击区域Q2的系统状态,其攻击向量为

Δv为攻击者对电压幅值的修改量;ΔΔv的第i个元素.

Kim等分析了攻击者信息受限时拓扑攻击方法,该方法适用于直流与交流模型[24,32].以交流模型为例进行说明,如图6所示,左图显示了攻击前系统状况,右图显示了攻击者的目标,即希望控制中心误认为线路(i,j)已经断开.图中,pij与qij分别代表了线路(i,j)在节点i的有功功率与无功功率量测值,pi与qi代表了节点i的注入功率.攻击方法为

图6 信息受限下的拓扑攻击Fig.6 Topology attacks with limited information

2015年,Yu等分析了攻击者在完全不知道系统拓扑与线路参数信息时隐蔽错误数据注入攻击的构建方法,该方法被称为盲错误数据注入攻击[33].盲错误数据注入攻击要求攻击者具有足够时间段内电力系统全部量测值,其核心思想为根据历史量测数据构建出与系统真实量测矩阵等价(即矩阵列向量张成的子空间相同)的估计量测矩阵,他们采用的方法为主成分分析法(PCA).在直流模型下,攻击者首先收集一定量的历史量测数据,记为y,并对y进行PCA提取:

CPCA∈Rm×n为y的主成分矩阵;且.PCA的具体过程可参见文献[34].若系统无噪声,则.可证明,式中,Px=C+CPCA.因此,CPCA=CPx.攻击者可根据CPCA构造隐蔽攻击,即

此外,当系统有噪声时,可证明攻击是几乎隐蔽的.

2017年,Markwood等分析了当攻击者拥有历史节点注入有功功率与节点电压相角时,对系统矩阵的估计方法,该方法被称为拓扑泄露攻击[34].用Y∈Rm×n表示历史节点注入有功功率,用X∈Rn×n表示历史节点电压相角,则

式中,W∈Rm×n为历史量测噪声.因此,可得

3.3 时间隐蔽型错误数据注入攻击

现有时间隐蔽型攻击包括零动态攻击、局部零动态攻击和零状态诱导攻击,本节对其攻击原理和相应权限逐一进行分析.

3.3.1 零动态攻击

2016年,Chen等研究了零动态攻击,攻击者可以通过仅修改控制量保持隐蔽,同时攻击量的构造与系统的在线知识(如系统控制量、系统量测量或控制算法)无关,即攻击可以完全离线构造,因此被命名为零动态攻击[35].零动态攻击模型如下:

3.3.2 局部零动态攻击

Teixeira等研究了局部零动态攻击,该场景下攻击者仅拥有部分系统的信息[36].具体来说,系统动态方程可表示为

3.3.3 零状态诱导攻击

Chen等提出了零状态诱导攻击的概念,并分析了该攻击与零动态攻击的区别.相比于零动态攻击,零状态诱导攻击中攻击者不诱导控制中心对系统初始状态产生错误认知[35].为了保证攻击隐蔽,需要保证攻击导致的系统实际状态偏移无法被传感器观测.本文中,将零状态诱导攻击建模如下:

式中,e[k]= x[k]-xa[k]表示攻击导致的系统实际状态偏移;e[0]=0表示针对系统初始状态进行攻击.由于C e[k]=0,若攻击者要发起可影响系统的攻击(即),则有C的核空间非零,即rank(C)＜n.

从攻击者先验知识、读写权限与攻击隐蔽性对三类时间隐蔽型攻击进行总结对比,如表1所示.

3.4 空间–时间隐蔽型攻击

3.4.1 Stuxnet型重放攻击

Stuxnet通过篡改控制指令破坏物理系统,同时监听和重放系统正常状态下的量测数据,使得控制中心无法感知物理系统的异常状态[11-12].本文将该类攻击命名为Stuxnet型重放攻击.Stuxnet型重放攻击对被攻击系统和攻击手段有限定要求:被攻击系统存在确定的稳定状态且已发生攻击时工作在稳点状态,攻击者需要重放全部的量测信号.

为了简化分析,假设系统从t时刻系统状态已经稳定,系统中无噪声,重点讨论Stuxnet型重放攻击的隐蔽性.由于从t时刻系统状态已经稳定,则有:1)x[s]=x[t],∀s≥t;2)u[s]= u[t],∀s ≥ t;3) y[s]=y[t],∀s≥t.注意到若控制中心接收到的量测信号不发生变化,则会认为系统无攻击.因此攻击者可以注入任意的控制信号,并重放事先收集的无攻击时的历史量测信号来保持隐蔽,具体来说:

3.4.2 量测量无关隐蔽攻击

2015年,Vu和Weerakkody等[37-38]提出了一种隐蔽攻击,该攻击的构建可以不需要具体系统状态知识.该攻击的实现原理为系统的线性性质,攻击者模拟了任意无噪声的系统动态过程.将该系统与原系统进行叠加,并移除模拟系统的量测量,则攻击后控制中心收到的量测量依然符合系统动态,即攻击是隐蔽的[37-38].攻击模型如下:

该攻击的实现原理为系统的线性性质,攻击者模拟了任意无噪声的系统动态过程.将该系统与原系统进行叠加,并移除模拟系统的量测量,则攻击后控制中心收到的量测量依然符合系统动态,即攻击是隐蔽的.注意由于叠加的为无噪声系统,攻击前后系统噪声将不发生变化.由于系统噪声为异常检测器残差的主要决定因素,噪声不变时系统攻击前后检测器残差也不变,本文中将其命名为量测量无关隐蔽攻击.

3.4.3 系统模拟攻击

2014年,Weerakkody等提出攻击者可根据系统的动态模型以及控制中心决策的控制信号,来模拟无攻击下系统的演变过程,以此伪造符合系统动态的量测数据,进而实施攻击[17,39],本文将其命名为系统模拟攻击.该攻击可分为两种场景:

表1 时间隐蔽型攻击对比Table 1 Time concealment attack contrast

攻击场景1.该场景下,攻击者拥有所有控制指令的读权限.攻击者可根据获取的控制指令进行系统模拟,具体攻击模型如下

攻击场景2.该场景下,攻击者仅有部分或没有任何控制指令的读权限.注意到攻击者若知晓控制决策函数,则可以通过所获取的量测量来估计系统的控制指令.具体来说,用表示攻击者对控制指令的估计量,其中,为攻击者可直接获取的控制指令部分(即攻击者拥有此部分控制指令的读权限);为攻击者估计的控制指令部分.对这三种攻击从攻击者所需要的先验知识、读写权限、隐蔽性等方面总结如表2.

3.5 非隐蔽型攻击

除了上述的攻击,部分学者提出利用各种网络攻击技术对CPS进行攻击,这类研究较少考虑CPS系统中对于系统状态的分析和异常检测,因此无法躲避时间相关型和空间相关型的异常检测.

3.5.1 拒绝服务攻击

在拒绝服务攻击中,攻击者通过向目标主机或终端中发送大量无用的数据包,使得服务器的可用网络资源耗尽,从而停止服务.在CPS中,拒绝服务攻击的目标为使得控制中心与执行器/传感器间通信无法正常进行.因此,当拒绝服务攻击发动成功时,问题可等效为,攻击者将控制中心发送的控制信号或将控制中心接收的量测信号修改为0.

由于拒绝服务攻击的实现方式通常为阻塞通信信道,因此不需要与系统的先验知识,也不需要控制信号或量测信号的读写权限.攻击者实施拒绝服务攻击时将造成量测数据缺失,防御者可以快速感知到系统异常;但由于控制中心即无法获得系统的量测信息,也无法下达控制指令给受控系统,因此在发生拒绝服务攻击时防御者没有更好的办法来保证系统的安全.在2015年乌克兰电网攻击事件中,攻击者在篡改控制指令的同时,就利用拒绝服务攻击方式使得电网管理者不能及时感知电网状态并采取防御策略.

3.5.2 通用重放攻击

通用重放攻击是指攻击者收集一定时间的历史控制信号或量测信号,并将其重放或延迟发送.具体来说,假设攻击者从k0时刻开始进行重放攻击,其通用攻击模型可表示为

B为布尔对角矩阵,Su[k]∈Bl×l且Sy[k]∈Bm×m.Su,ii[k]表示攻击者是否对第i个控制量发起重放攻击;Sy[k]表示攻击者是否对第i个量测量发起重放攻击;τ(k)∈N为重放攻击的时间延迟.

与第3.4.1节中Stuxnet型重放攻击相比,通用重放攻击仅需要部分控制信号或部分量测信号的读写权限,而且对被攻击对象的运行状态没有要求.因此,通用重放攻击的实施要求相对较低,但不能保证攻击的隐蔽性,比如控制中心预期系统的运行状态与攻击者重放的状态不相符,则该攻击将被检测.

3.5.3 放大攻击

Sridhar等提出了放大攻击,攻击者将控制信号或量测信号按照正常信号的λk倍进行篡改[40].具体来说.

表2 空间–时间隐蔽型攻击对比Table 2 Space–time stealth attack contrast

式中,λk∈R 为放大系数;Su[k]∈Bl×l与Sy[k]∈Bm×m为布尔对角矩阵,分别表示攻击者是否对控制量或量测量发起放大攻击.注意若λk=-1,则其攻击效果与拒绝服务攻击类似.放大攻击是重放攻击的一种特例,只需要部分控制信号或部分量测信号的读写权限.此外,由于其相当于只对信号进行放大,因此不需要关于系统的先验知识.这种攻击思路在针对电力系统的攻击中能快速地找到攻击的可行解,但由于攻击过程和攻击思路较为简单,攻击过程不能保证隐蔽,当放大倍数较大或异常数据检测装置容错率较小时,将被检测.

4 CPS综合安全防御方法

在CPS安全防御方面,网络安全专家将网络安全技术应用于各类物理系统,以防御各类CPS攻击,如通过信息加密以及相关的密钥分配与管理等技术,对系统信息和隐私数据进行加密,以抵御窃听和数据篡改等攻击;物理系统工程安全专家通过改进物理系统工程安全防护机制提升CPS的安全防御能力,如通过部署测量单元(Phasor measurement unit,PMU)等新型量测设备,提升对FDI攻击的检测能力;近年来,越来越多研究机构和学者开始关注通过结合网络安全技术与物理系统工程安全理论方法,实现CPS综合安全防御.本文对现阶段的防御方法列举分类如图7所示.

图7 CPS防御分类Fig.7 Taxonomy of CPS defense

4.1 信息系统网络安全防御方法

针对CPS面临的安全威胁,研究者将网络安全技术应用于CPS安全防御.一类方法是采用防篡改的通信系统、先进的认证协议、加密和非对称加密机制、访问控制等方法,以阻断攻击者进入系统.Wang等提出了智能电网中时间有效的一次性签名(Time valid one-time signature,TV-OTS)模式,以改善传统一次性签名机制的效率[41].基于TV-OTS模式,文中设计了多播认证方案TV-HORS,可实现数据的快速签名与认证,并具有较高的丢包容错率以及攻击抵抗能力.Cao等设计了一种基于哈希链技术的分层加密机制以保护系统中的敏感数据,该机制同时提供了轻量级的密钥管理[42].Saxena等设计了CPS下的签名方案以保证通信网络中仅可传输合法指令,该方案通过哈希方法对控制指令进行签名,可抵御恶意指令攻击、重放攻击、伪装攻击等[43].Kumar等提供了智能家居环境中的匿名安全框架(Anonymous secure framework,ASF),该框架可提供有效的认证与密钥协商,可保证家庭各设备的匿名性与不可链接性[44].

另一类方法是采用流量分析、入侵检测等方法,以实现攻击的实时检测以及恶意行为的判断.Zhang等在智能电网环境中设计了分布式入侵检测系统,在智能电网家庭局域网(HAN)、邻域网(NAN)以及广域网(WAN)环境中部署大量的分析模块,并采用支持向量机(Support vector machine,SVM)以及人工免疫系统(Artificial immune system,AIS)以检测网络中的恶意数据以及各类攻击[45].Baig提供了基于异常流量的轻量级模式匹配方法,可检测系统异常设备行为,并具有较小的通信与存储开销[46].Palcios等提供了信息物理融合系统环境中两类入侵检测系统:第一类入侵检测系统基于自组织映射网络(Self-organizing map,SOM),第二类基于K-Means算法.这两类入侵检测系统可改善高度异构网络中的攻击检测速率、精度以及适应性,并可方便地部署于CPS环境中[47].

然而,上述方法应用于CPS的安全防御时遇到了诸多困难:1)CPS对信息的实时性有极高的要求,而受限于CPS通信节点的计算与存储能力,先进、复杂的加密认证机制等方法将会影响CPS的运行效率,增加网络延时;2)流量分析与入侵检测可以发现网络中的异常行为,而无法校验传输的控制指令以及量测信号的合法性与完整性;3)CPS对可用性与安全性的高标准,现有技术很难同时达到异常检测时低漏报率与误报率需求.

4.2 物理系统工程安全防御方法

物理系统工程安全根据物理系统运行机制、量测数据在时间和空间上的关联等特性,实现CPS的异常检测,但如第3节中介绍,攻击者可以通过设计特定攻击策略,躲避现有工程安全机制.对此,研究者提出一系列改进的物理系统工程安全防御方法,提升CPS的安全防御能力.

一类方法是防御者有策略地选择部分控制指令或量测信号进行保护,使得攻击者无法构建完全隐蔽的攻击策略,进而保证全部数据的完整性.近年来,此类方法主要集中在对于电力系统空间相关型FDI攻击的检测中.Bobba等提出了两类方法以检测FDI攻击:一类方法是通过有策略性地选择一组受保护的传感器量测值使得Liu等[20]提到的隐蔽FDI攻击不存在可行解;另一类方法是验证一定数量的独立状态变量的完整性[48].在电力系统中,随着相量测量单元的逐步应用,通过PMU数据以辅助检测FDI攻击受到了广泛关注.Giani等分析了在系统恰当地方部署p+1个相量测量单元,可使得p个不可约FDI攻击无效化[49].Nuqui和Qi等研究了PMU的优化部署问题,设计使用最少的PMU实现攻击者无法构造有效的FDI攻击策略[50-51].由于不同变电站PMU同步需要借助GPS信号,而GPS信号可能被篡改,使得PMU的量测信号也可能受到攻击[52-54].对此,Jafarnia-Jahromi等提出了电力系统中针对GPS欺骗攻击的相应策略[55-56].Dn等提出了贪婪算法以对FDI攻击提供完全的或部分的防御,其中完全防御意味着FDI攻击不存在可行解[57].

对于大型系统,防御者通常需要确保足够多数据(控制指令、量测信号或辅助数据)的可信性,才可为系统提供完全的保护,这需要防御者投入大量成本.此外,对于电力系统之外的其他信息物理融合系统,如何将此类思想应用于FDI攻击检测仍然是一个开放性的研究问题.

另一类方法是研究更好的攻击检测算法,以实现异常数据或攻击的快速精准识别,减少系统噪声或其他干扰对检测性能的影响,降低检测的漏报率和误报率.Huang等使用自适应累积和CUSUM的方法,在实现FDI攻击快速检测的同时,可保持高检测精度与低误报率[58-59].Vu等将基于耗散理论的故障检测器应用于FDI攻击检测,从理论上分析了故障检测器最少部署方案以完全检测控制信号或量测信号篡改攻击[37].Liu等将错误数据检验转化为矩阵分离问题,并设计了基于正常与异常电力系统状态分离的新型检测器,检测器的核心算法包括核范数最小化和低阶矩阵分解两类方法,可以显著得提升检测器对FDI攻击的检测性能[60].Liu等使用有色排水网描述智能电表信息流以检测高级电表架构(Advanced metering infrastructures,AMI)下的FDI攻击[61].此外,部分学者将不同时段、不同设备的数据结合起来,提升FDI攻击的检测能力.Gu等使用历史数据追踪量测值变化的动态,利用KL散度(Kullback-Leibler distance,KLD)来度量历史数据概率分布与可疑量测值数据概率分布的差异,以判断FDI攻击的存在[62].Ashok等提出了在线异常检测算法,通过电力系统负载预测值、发电机调度情况以及同步发电机相角等数据对电力系统实际情况进行预测,通过预测值与实际量测值的比较来检测FDI攻击[63].

上述方法大都是利用现有FDI攻击中未考虑的因素,设计针对性的数据一致性检测方法,本质上是假设攻击者不能获取特定资源或检测方法.近年来,研究人员提出一系列CPS攻击方法,通过设定针对性的攻击构造条件,以躲避新提出的检测技术.因此,防御方法对特定资源的依赖程度越低,对攻防双方能力的假定越均衡,就越能使用实际CPS安全防御的需求.

4.3 基于信息物理融合的CPS综合安全防御

从前两节的分析可以看出,从信息系统网络安全或者物理系统工程安全单一角度,都难以全面描述、检测和防御CPS攻击.安全研究者希望结合信息系统网络安全和物理系统工程安全方法,设计面型CPS的新型攻击检测架构.已有的工作可分为两类:基于信息与物理数据融合的检测和基于信息与物理模型融合的检测.

4.3.1 基于数据融合的CPS综合安全防御

信息层面的融合方法为将信息系统数据(例如网络异常流量)与物理系统数据进行关联以检测CPS异常事件和攻击行为.Zonouz等提出了安全导向的信息物理关联状态估计(Security-oriented cyber-physical state estimation,SCPSE)以识别信息网络中恶意主机以及物理网络中可疑传感器集合,SCPSE根据信息网络异常数据构建攻击图,通过在状态估计中移除可疑节点的量测值,以检测系统中存在的不良数据,并提供对系统真实状态的可靠估计[64].Zonouz等还提出了一种信息物理安全评估技术(Security-oriented cyber-physical contingency analysis,SOCCA)以分析电力系统意外事故,SOCCA提供了信息物理融合系统中信息元素与物理元素统一的形式化描述方法,根据信息物理意外事故的威胁程度来评估意外事件可能产生的影响[65].Wang等建立了信息物理融合系统SCADA信息流的状态转移图,提出了基于关系流程图的入侵检测思想以检测错误数据注入攻击[66].

除了直接关联分析信息系统和物理系统的数据,研究者还利用信息系统的异常检测结果引导物理系统异常检测,提升CPS安全防御能力.Liu等提出了一种电力系统异常数据检测结果和信息网络异常通信检测结果相融合的方法,报警数据融合是基于物理系统拓扑与信息网络的关联性,将信息系统报警与物理系统的标准化残差检测的结果进行综合评估.通过数据融合将实际系统安全进行融合,得到系统层面的分析结果,从而消除了单纯物理层检测方法或单纯信息层检测方法的偏差,可以有效降低信息系统与物理系统检测方法的漏报率与误报率[67].Liu等提出了一种基于状态估计的智能电网动态加密和认证方法,对智能电网中的控制中心和远程终端装置之间的的通信进行保护.该方法对两种信号都生成加密密钥,随着电力系统的变化,每个远程终端都会定期更新其密钥,而控制中心也会动态同步地估计所有远程终端的新密钥[68].

然而,网络安全技术主要针对程序行为、身份权限、网络流量等信息系统对象的异常检测,工程安全技术主要针对物理系统运行状态的异常检测,两者在判别规则、报警格式、报警内容等方面都存在显著差异.基于信息和物理系统数据融合的检测思路在实际应用中存在诸多挑战,包括信息和物理异构数据的同构化问题、多源数据的关联分析问题、不同安全需求的关联建模问题.因此,基于信息和物理系统数据融合的检测方法仍处于探索研究中.

4.3.2 基于系统模型融合的CPS综合安全防御

模型层面的融合的含义是将一些网络安全防御的思想和技术应用于物理系统的安全监控,构建出新的CPS综合安全防御方法.本文重点介绍两类代表性方法:协调变参防御(Coordinate parameter variation defense,CPVD)和物理系统水印.

协调变参防御源自网络安全技术中的移动目标防御(Moving target defense,MTD).2010年美国在“网络与信息技术研发计划”(Networking and information technology research and development)中提出了MTD,通过“改变游戏规则”的革命性技术手段以积极主动地实施网络防御[69].移动目标防御的核心思想是,通过可管理的方式持续不断地改变系统,以减少系统攻击面,增加系统的不确定性,从而降低攻击者的攻击成功率,增加攻击者探测系统漏洞或实施攻击的代价[69].

移动目标防御最初用于网络安全防御,可分为软件变换机制[70]、动态平台技术[71]、网络地址更换[72]等.国内学者进一步提出了网络空间拟态安全防御[73].近年来,学者们将移动目标防御或拟态安全防御这些网络空间防御的思想应用于信息物理融合系统安全防御与攻击检测中.值得注意的是,网络空间防御中的移动目标防御或拟态安全防御更强调信息层面或逻辑层面上的变换;而CPS中的“移动目标防御”则要求系统的物理环节(包括控制环节、量测环节甚至是物理设备本身)可受调节或变换.因此,本文中将CPS中的MTD命名为协调变参防御.

Morrow等提出了主动改变电力系统配置参数的方法,以检测空间相关型错误数据注入攻击[74-76].近20年里,通过调整电力系统配置以保持电力系统潮流稳定运行已经受到广泛研究[77-80].新兴的分布式柔性交流输电(Distributed flexible ac transmission system,D-FACTS)设备可以改变电力系统线路阻抗值,由于其较低的部署成本可更广泛部署于电力系统中,以此提高系统操作者对电力系统配置的调节能力.由于这项新增的调节能力,该方法可用在智能电网阻碍攻击者实施隐蔽FDI攻击.具体来说,Morrow等提出了事后型CPVD方法以检测正在进行中的FDI攻击[74-75].防御者主动改变线路阻抗并观测系统潮流改变量,若攻击存在,则对系统配置采用已知改变时,观测的潮流改变量将与期望改变量不同.然而,该方法对于攻击的检测与防御相对滞后,无法及时有效地发现并阻止攻击的进行.

Rahman等提出了事前型协调变参防御方法,防御者通过随机选取一组传输线并随机改变传输线阻抗,以及随机选取用于状态估计的传输线集合,可使得攻击者无法获取最新的系统信息,从而阻碍FDI攻击的执行[76].本文将此类CPVD方法称为任意型协调变参防御方法.Teixeira等将协调变参防御概念应用于零动态攻击的检测,并分别给出了当仅改变物理系统、控制环节与量测环节时所有零动态攻击可被检测的充分必要条件[81-82].Gyugyi等提出了通过可切换的混合控制器,防御者可在多个子控制环节中相互切换以防御各种类型的攻击[77].Hoehn等在系统控制环节之前加入可控调制环节以改变系统控制过程的规律,以此来检测零动态攻击与隐蔽攻击[78].Weerakkody等提出在系统原始结构不变的情况下额外增加动态物理设备,可在实现协调变参防御的同时使得原始系统正常操作保持不变[83],并进一步将该方法应用于CPS中攻击的鉴别问题,并给出了相应的系统参数配置策略以鉴别可疑传感器量测值[84].然而这两种方法方法可能增加系统的操作与运行开销,并可能会给系统带来新的风险(例如不稳定性).

Tian等提出了攻击者可以通过窃听到的电网系统量测值,来检测系统是否采用CPVD,并将这种威胁被命名为参数确定优先的错误数据注入(PCFFDI)[85].在这种情况下现有的CPVD策略被此方法轻易检测到,而攻击者发现系统采用CPVD可放弃原先的攻击计划,等待获取最新的电网参数配置信息后再发起攻击.为了改善CPVD的隐蔽性,Tian等提出了隐蔽型CPVD策略,该策略不会被PCF-FDI攻击检测[86].具体来讲,当隐蔽型CPVD策略激活时,攻击者基于原始系统结构的错误数据检验不会产生报警.同时,攻击者基于原始系统结构构造的错误数据注入攻击,将以大概率被CPVD策略下的错误数据检验检测到,从而被防御者丢弃或重定向至蜜罐等监控系统,为进一步分析攻击行为和攻击取证提供支持.由此可见,隐蔽型CPVD能引导攻击者进行无效攻击并增加其暴露的可能性.在隐蔽性防御的实现问题上,Tian等定义了潮流不变型CPVD,并证明了隐蔽型CPVD和潮流不变型CPVD的等价性,将抽象的隐蔽性转化为可以明确达到的控制潮流的现实目标,为隐蔽型CPVD策略的计算提供了理论依据.

物理系统水印来自电子产品的知识产权保护.水印的概念最初被应用于数字图像、音频、视频等媒体产品以实现产权保护并校验信息完整性,具有鲁棒性、不可见性、安全性、可证明性等特征[87].近年来,研究者将水印法应用于CPS攻击检测中[15,39,88-92].具体来说,防御者在控制信号中主动添加可控和保密的激励信号,该信号随着物理系统的执行,将影响系统的状态和量测值.若攻击者无法获取水印信号,则攻击者将难以在伪造的量测数据中包含由水印信号造成的系统状态和量测值变化.Mo等首次提出了CPS中水印的概念,并将其应用于重放攻击的检验中[89].Mo和Weerakkody等将物理系统水印应用于检测更一般性的信息攻击[89-92].Satchidanandan等将物理系统水印拓展为动态水印,在假设控制信号不被篡改的前提下,通过L组关联检测器(L为系统控制信号数,每组包含两个检测器)可保证仅有零均值异变能量的攻击可绕过该检测器[39].然而,由于物理系统水印需要在系统控制量中添加扰动信号,扰动信号的引入会影响系统的性能;而且,物理系统水印的检测精度与水印信号的强度相关.这意味着防御者需要以牺牲系统性能为代价,提高攻击的检测性能.

5 结论与展望

随着CPS近年来的不断发展,研制具有高实时性、自动化和智能化的CPS逐渐成为了各个行业的共性需求.各类CPS应用传感、嵌入式处理、数字通信、人工智能等信息网络技术,在提升现有系统性能和效率的同时,信息网络中的各种漏洞和脆弱性已经严重影响到CPS的安全运行,并造成了巨大的损失.近年来的攻击事件显示,攻击者正在针对物理系统的业务流程和安全防护机制,设计出隐蔽性更好和破坏力更强的CPS攻击策略,并结合网络攻击技术对智能电网、智能交通、智慧医疗等国家基础设施,以及可穿戴设备、自动驾驶、智能家居等个人安全系统进行攻击,严重威胁国防、政治、经济和人民日常生活.

本文主要从信息安全与工程安全融合的角度对CPS面临的综合安全威胁进行了探讨.随着人—机—物的深度融合,CPS综合安全除了信息安全与物理系统工程安全的结合,还包括信息安全与人类社会安全问题的结合,如网络舆情安全、身份安全等.人的不确定因素将进一步提高CPS综合安全的复杂性,值得研究人员更深入的探讨.

有效提升CPS综合防御能力已成为了当务之急.本文通过分析国内外防御方法研究发现,仅仅依靠物理系统的工程安全防护机制和网络系统的信息安全技术,都难以达到CPS综合安全的要求.而两类方法由于数据来源、建模方法、技术思路存在较大差异,如何有效结合已经成为CPS综合防御的难题.本文分析探讨了现有的CPS综合防御技术,并从数据融合、系统模型融合和防御思想相互借鉴等角度进行分类总结,为未来CPS综合安全防御方法的研究提供了参考.