攻擊與故障共存的ICPS綜合安全控制方法

　　摘 要：針對同時(shí)存在假數(shù)據(jù)注入(FDI)攻擊與執(zhí)行器故障的工業(yè)信息物理融合系統(tǒng)(ICPS)，在離散事件觸發(fā)機(jī)制(DETCS)下，綜合應(yīng)用Lyapunov穩(wěn)定性理論及更具少保守性的仿射Bessel-Legendre不等式，研究執(zhí)行器故障與FDI攻擊估計(jì)、綜合安全控制與通訊協(xié)同設(shè)計(jì)問題. 從主動(dòng)防御攻擊的態(tài)勢入手，綜合考慮通訊資源與計(jì)算資源的高效利用與合理分配，給出DETCS下的ICPS綜合安全控制架構(gòu)，將魯棒估計(jì)器與綜合安全控制器的設(shè)計(jì)統(tǒng)一于同一非均勻數(shù)據(jù)傳輸機(jī)制下. 將執(zhí)行器故障與FDI攻擊增廣為同一向量，給出系統(tǒng)狀態(tài)、增廣故障魯棒估計(jì)器的設(shè)計(jì)方法. 基于所得估計(jì)結(jié)果并結(jié)合事件觸發(fā)條件，對執(zhí)行和傳感雙側(cè)網(wǎng)絡(luò)中的FDI攻擊分別采用分離與補(bǔ)償?shù)姆烙�策略，對�?zhí)行器故障進(jìn)行故障調(diào)節(jié)，給出綜合安全控制器設(shè)計(jì)方法，實(shí)現(xiàn)對FDI攻擊和執(zhí)行器故障主動(dòng)容侵和主動(dòng)容錯(cuò)的綜合安全控制與通訊協(xié)同設(shè)計(jì). 通過數(shù)值算例和四容水箱實(shí)例，仿真驗(yàn)證了提出方法的有效性.

　　關(guān)鍵詞：工業(yè)信息物理融合系統(tǒng)(ICPS);假數(shù)據(jù)注入攻擊;執(zhí)行器故障;魯棒H∞估計(jì);控制與通訊協(xié)同設(shè)計(jì)

　　信息物理融合系統(tǒng)(cyber-physical systems,CPS)是計(jì)算單元與物理對象在網(wǎng)絡(luò)空間中高度融合而成的智能系統(tǒng)，已廣泛應(yīng)用于智能電網(wǎng)、智慧醫(yī)療、工業(yè)控制等領(lǐng)域[1-3]. CPS與工業(yè)控制融合而產(chǎn)生的工業(yè)信息物理融合系統(tǒng)(industrycyber-physical system, ICPS)由于在優(yōu)化生產(chǎn)方式、提高生產(chǎn)效率、精簡生產(chǎn)流程等方面的優(yōu)勢，成為工控領(lǐng)域的新寵[4-5]，典型代表即工業(yè)4.0. ICPS在提高生產(chǎn)效率和智能維護(hù)水平的同時(shí)，面臨著眾多亟待解決的問題，其中開放網(wǎng)絡(luò)環(huán)境面臨的網(wǎng)絡(luò)攻擊與惡劣工業(yè)環(huán)境導(dǎo)致的物理器件故障都成為ICPS安全運(yùn)行和未來發(fā)展的掣肘[6-7].

　　此外，ICPS更強(qiáng)大的感知能力、更多數(shù)據(jù)傳輸及智能決策，與有限計(jì)算、通訊資源間的矛盾日益突出.就網(wǎng)絡(luò)空間安全問題而言，ICPS面臨的各類網(wǎng)絡(luò)攻擊是最大威脅，具有時(shí)空隱蔽性的虛假數(shù)據(jù)注入(false data injection, FDI)攻擊通過協(xié)同篡改傳感器量測與控制器指令數(shù)據(jù)，或使控制中心做出誤導(dǎo)性決策，或使被控對象接收到錯(cuò)誤控制指令，最終導(dǎo)致整個(gè)系統(tǒng)性能下降或崩潰. 因?yàn)镕DI攻擊的高隱蔽性特點(diǎn)，對系統(tǒng)的危害更大且更難防范. 目前應(yīng)對FDI攻擊的研究有2類：

　　一類是采用信息安全領(lǐng)域中加密、解密的方法來保護(hù)數(shù)據(jù)[8-9]，但復(fù)雜的加密、解密算法需要一定的運(yùn)行時(shí)間，這對于實(shí)時(shí)性要求較高的ICPS不適宜;另一類是從控制角度出發(fā)應(yīng)對FDI攻擊，主要包括攻擊檢測[10-11]、容侵控制[12-13]，已有成果更多關(guān)注攻擊檢測問題，對攻擊防御、系統(tǒng)性能及資源節(jié)約等的綜合考慮不足.

　　就物理系統(tǒng)故障而言，由于網(wǎng)絡(luò)化控制系統(tǒng)(networked control system, NCS)本質(zhì)上是ICPS的具體應(yīng)用形式，ICPS物理故障問題的解決可以借鑒NCS相關(guān)容錯(cuò)控制方法. 目前就NCS容錯(cuò)控制已有不少成果，根據(jù)不同通訊機(jī)制和容錯(cuò)控制方式的常用分類方法，可以歸結(jié)為周期時(shí)間觸發(fā)通訊機(jī)制與離散事件觸發(fā)通訊機(jī)制(discrete eventtriggered communication scheme，DETCS)下的被動(dòng)容錯(cuò)[14-15]、主動(dòng)容錯(cuò)[16-17]及主-被動(dòng)混合容錯(cuò)控制[18-19]等. 已有NCS容錯(cuò)研究大多假設(shè)通信網(wǎng)絡(luò)是可靠的，忽視了網(wǎng)絡(luò)攻擊的潛在危害. 在實(shí)際ICPS中，故障與攻擊的共存是無法回避的，本文研究如何確保系統(tǒng)在該情形下安全、可靠運(yùn)行.針對故障與攻擊共存的ICPS綜合安全控制問題，目前已有一些初步成果.

　　基于智能廣義預(yù)測控制及魯棒控制方法，Yaseen等[20-21]研究故障主動(dòng)容錯(cuò)、FDI攻擊被動(dòng)防御策略. 針對狀態(tài)依賴FDI攻擊與多重執(zhí)行器故障共存的CPS，Ye等[22]利用自適應(yīng)控制方法，研究故障主動(dòng)容錯(cuò)、攻擊主動(dòng)防御的策略，但未考慮CPS有限網(wǎng)絡(luò)資源約束.史婭紅[23]在文獻(xiàn)[21]的基礎(chǔ)上，除對故障主動(dòng)容錯(cuò)外，還研究了執(zhí)行側(cè)攻擊主動(dòng)容侵、傳感側(cè)攻擊被動(dòng)容侵的主-被動(dòng)混合容侵策略. 在文獻(xiàn)[21, 23]中，估計(jì)器均置于智能傳感單元的事件發(fā)生器之前，因此須對系統(tǒng)所有采樣時(shí)刻狀態(tài)、故障及攻擊進(jìn)行實(shí)時(shí)估計(jì)，這會(huì)使一般的智能傳感器件難堪重負(fù).

　　估計(jì)器所處的位置使得估計(jì)結(jié)果在經(jīng)由傳感側(cè)網(wǎng)絡(luò)傳輸時(shí)，再次會(huì)被攻擊者篡改，從而削弱安全防御的實(shí)效. 將估計(jì)器位置移至事件發(fā)生器之后的控制單元，通過計(jì)算資源的合理分配與高效利用，更有效地實(shí)現(xiàn)故障主動(dòng)容錯(cuò)、雙側(cè)網(wǎng)絡(luò)FDI攻擊主動(dòng)容侵與通訊協(xié)同設(shè)計(jì)，是本研究的主要內(nèi)容. 綜上所述，本研究將對同時(shí)存在雙側(cè)網(wǎng)絡(luò)FDI攻擊與執(zhí)行器故障的ICPS，以主動(dòng)防御FDI攻擊為出發(fā)點(diǎn)，綜合考慮通訊、計(jì)算資源的高效利用，構(gòu)建DETCS下的ICPS綜合安全控制架構(gòu). 在統(tǒng)一的非均勻傳輸模式下，借助時(shí)滯系統(tǒng)理論及仿射Bessel-Legendre不等式等少保守技術(shù)，推證出ICPS魯棒估計(jì)器、綜合安全控制與通信協(xié)同設(shè)計(jì)方法，以期實(shí)現(xiàn)ICPS安全運(yùn)行與通訊折中平衡的目標(biāo).

　　1 問題描述

　　1.1系統(tǒng)架構(gòu)及數(shù)據(jù)傳輸過程

　　在DETCS下，ICPS綜合安全控制與通訊協(xié)同設(shè)計(jì)架構(gòu).該系統(tǒng)主要包括被控對象、智能傳感單元、控制單元、執(zhí)行單元以及傳感側(cè)與執(zhí)行側(cè)通信網(wǎng)絡(luò). 日趨開放、多樣性的網(wǎng)絡(luò)使得ICPS在遭受隱蔽性網(wǎng)絡(luò)攻擊時(shí)致使其失控或崩潰的威脅更大. ICPS長時(shí)間工作在高溫、高壓或具有腐蝕性的環(huán)境中，作為控制信息與受控對象物理連接的執(zhí)行器更易發(fā)生故障，因此考慮FDI攻擊與執(zhí)行器故障共存的情形.

　　智能傳感單元主要包括傳感器、采樣器及事件發(fā)生器. 采樣器對傳感器量測值進(jìn)行等周期采樣，將采樣值送入事件發(fā)生器中，事件發(fā)生器將判斷當(dāng)前采樣值是否滿足觸發(fā)條件. 若滿足，則將該采樣值經(jīng)由傳感側(cè)網(wǎng)絡(luò)傳輸至控制單元;否則，將其遺棄.

　　篩選出的數(shù)據(jù)以非均勻周期方式傳輸，且傳輸周期大于采樣周期，因而可以節(jié)約網(wǎng)絡(luò)資源.控制單元主要包括估計(jì)器、綜合安全控制器.估計(jì)器基于滿足事件觸發(fā)條件，由傳感側(cè)網(wǎng)絡(luò)傳來的數(shù)據(jù)對系統(tǒng)狀態(tài)、故障與攻擊進(jìn)行實(shí)時(shí)估計(jì).綜合安全控制器基于估計(jì)結(jié)果，根據(jù)預(yù)先設(shè)計(jì)好的控制算法計(jì)算相應(yīng)的控制量，將該控制量經(jīng)由執(zhí)行側(cè)網(wǎng)絡(luò)送至執(zhí)行單元.

　　可見，無論是估計(jì)值還是控制量的計(jì)算，均以非均勻周期方式進(jìn)行.執(zhí)行單元主要包括零階保持器(ZOH)和執(zhí)行器. ZOH對傳輸至此的控制量進(jìn)行非均勻周期保持，將保持結(jié)果傳輸至執(zhí)行器中，執(zhí)行器將該控制量作用于被控對象.注1　與文獻(xiàn)[21,23]不同的是，在搭建ICPS框架時(shí)，將估計(jì)器從智能傳感單元的事件發(fā)生器之前移至控制單元中，這提高了對傳感側(cè)網(wǎng)絡(luò)攻擊主動(dòng)防御的能力，也可以使得魯棒估計(jì)器與綜合安全控制器的設(shè)計(jì)問題統(tǒng)一在同一非均勻傳輸周期的模式下，降低了對智能傳感單元的計(jì)算能力要求，更切合實(shí)際工程背景.

　　2 魯棒估計(jì)器設(shè)計(jì)

　　根據(jù)傳輸至控制單元的輸出量測采樣值，設(shè)計(jì)魯棒估計(jì)器，對連續(xù)時(shí)變故障、雙側(cè)網(wǎng)絡(luò)FDI攻擊及系統(tǒng)狀態(tài)進(jìn)行準(zhǔn)確估計(jì). 利用控制單元內(nèi)置的ZOH，對量測采樣輸出進(jìn)行零階保持.

　　3 綜合安全控制器設(shè)計(jì)

　　基于得到的系統(tǒng)狀態(tài)及増廣故障(執(zhí)行器故障、執(zhí)行側(cè)和傳感側(cè)網(wǎng)絡(luò)FDI攻擊)估計(jì)結(jié)果，給出有針對性的執(zhí)行器故障與雙側(cè)網(wǎng)絡(luò)FDI攻擊主動(dòng)容錯(cuò)、主動(dòng)容侵與通訊協(xié)同設(shè)計(jì)方法.

　　根據(jù)假設(shè)1可知，執(zhí)行器故障與雙側(cè)網(wǎng)絡(luò)FDI攻擊具有可分離性，考慮到雙側(cè)網(wǎng)絡(luò)中的FDI由于攻擊的對象與位置不同，對系統(tǒng)的影響不同，因此綜合安全控制器對雙側(cè)網(wǎng)絡(luò)中的FDI攻擊應(yīng)采用更有針對性的防御策略，可以通過以下2種方式進(jìn)行主動(dòng)防御.aˆsT(tkh)

　　1)對于傳感側(cè)網(wǎng)絡(luò)FDI攻擊，可以直接在増廣故障估計(jì)結(jié)果中將估計(jì)值提前分離出來，不再計(jì)入控制量的計(jì)算，這在廣義層面可以視為對傳感側(cè)網(wǎng)絡(luò)FDI攻擊的主動(dòng)防御，即主動(dòng)容侵.

　　2)對于執(zhí)行側(cè)網(wǎng)絡(luò)FDI攻擊，借鑒故障調(diào)節(jié)的思想，采用基于估計(jì)與補(bǔ)償?shù)闹鲃?dòng)防御策略，即主動(dòng)容侵.對執(zhí)行器故障采用基于估計(jì)與補(bǔ)償?shù)闹鲃?dòng)調(diào)節(jié)方式，即對執(zhí)行器故障主動(dòng)容錯(cuò).注4　與文獻(xiàn)[21, 23]不同的是，由于估計(jì)器被移至控制單元，對傳感側(cè)網(wǎng)絡(luò)FDI攻擊可以實(shí)時(shí)地估計(jì)出來，并提前分離，使傳感側(cè)攻擊不再對控制量的計(jì)算產(chǎn)生負(fù)面影響，這種主動(dòng)應(yīng)對傳感側(cè)網(wǎng)絡(luò)FDI攻擊的方式較文獻(xiàn)[21,23]的被動(dòng)應(yīng)對更加有效.

　　綜上可知，設(shè)計(jì)的綜合安全控制器可以使得ICPS在執(zhí)行器故障、FDI攻擊共存時(shí)，均以較小的誤差收斂于平衡位置，且對外部擾動(dòng)具有較強(qiáng)的魯棒性，說明利用提出的方法可以有效地應(yīng)對物理系統(tǒng)故障、FDI攻擊及擾動(dòng)對系統(tǒng)的影響，具有較高的安全可靠性.在同樣的故障、攻擊作用下，給出利用文獻(xiàn)[23]中主-被動(dòng)混合容侵方法時(shí)系統(tǒng)的輸出. 可以看出，與文獻(xiàn)[23]相比，本文方法的收斂速度和系統(tǒng)運(yùn)行過程的平穩(wěn)性均更優(yōu).

　　相比于文獻(xiàn)[25]中采用主-被動(dòng)混合的容侵方式來防御雙側(cè)網(wǎng)絡(luò)FDI攻擊，提出的對傳感器側(cè)攻擊采用分離、對執(zhí)行側(cè)攻擊采用補(bǔ)償?shù)闹鲃?dòng)防御策略對ICPS中雙側(cè)FDI攻擊的防御更有效.對于通訊資源，給出DETCS下，在仿真時(shí)間800 s內(nèi)的數(shù)據(jù)發(fā)送時(shí)刻及發(fā)送間隔Δt情況.

　　設(shè)計(jì)的綜合安全控制器能夠使得ICPS在故障與FDI攻擊共存時(shí)安全平穩(wěn)運(yùn)行，同時(shí)具有期望的性能指標(biāo)，節(jié)約一定的網(wǎng)絡(luò)通訊資源.對于計(jì)算資源，文獻(xiàn)[21，23]中估計(jì)器置于事件發(fā)生器之前，在800 s內(nèi)估計(jì)器須運(yùn)算8 000次;本文將估計(jì)器置于控制單元，估計(jì)器只需根據(jù)篩選后的數(shù)據(jù)運(yùn)算1 216次，因此，與文獻(xiàn)[21，23]相比，所提的綜合安全控制架構(gòu)在計(jì)算資源節(jié)約與分配上更具有優(yōu)勢，規(guī)避了傳感單元進(jìn)行估計(jì)的負(fù)擔(dān).

　　自動(dòng)化論文投稿刊物：自動(dòng)化學(xué)報(bào)是自動(dòng)化專業(yè)論文期刊，是自動(dòng)化科學(xué)與技術(shù)領(lǐng)域的高級(jí)學(xué)術(shù)期刊。雜志是1963年創(chuàng)刊的，在1966年-1978年是�？癄顟B(tài)，1979年才復(fù)刊發(fā)行，現(xiàn)為大16開本，月刊，每期112頁�？茖W(xué)出版社與Elsevier合作出版，國內(nèi)外公開發(fā)行。

　　5 結(jié)　論

　　(1)從主動(dòng)防御執(zhí)行和傳感雙側(cè)網(wǎng)絡(luò)FDI攻擊著眼，通過對計(jì)算資源與通訊資源的合理分配與有效利用，在DETCS下構(gòu)建ICPS綜合安全控制架構(gòu). 將估計(jì)器與綜合安全控制器的設(shè)計(jì)統(tǒng)一于同一非均勻數(shù)據(jù)傳輸機(jī)制下，為利用時(shí)滯系統(tǒng)理論對ICPS進(jìn)行分析與設(shè)計(jì)提供了便利.

　　(2)將故障與攻擊増廣為同一向量，設(shè)計(jì)相應(yīng)的魯棒估計(jì)器，實(shí)現(xiàn)了狀態(tài)、執(zhí)行器故障及雙側(cè)FDI攻擊及時(shí)、準(zhǔn)確的估計(jì)，具有較強(qiáng)的魯棒性;基于篩選后的量測輸出值作估計(jì)，節(jié)約了計(jì)算資源.

　　(3)基于估計(jì)結(jié)果，提出傳感側(cè)攻擊的分離防御、執(zhí)行側(cè)攻擊以及執(zhí)行器故障補(bǔ)償?shù)木C合安全控制策略，有效實(shí)現(xiàn)了攻擊、故障的主動(dòng)容侵、主動(dòng)容錯(cuò)與通訊的協(xié)同優(yōu)化與折中.當(dāng)系統(tǒng)中故障與攻擊共存不具有可分離性時(shí)，如何檢測故障與攻擊的存在、如何設(shè)計(jì)相應(yīng)的綜合安全控制策略來防御攻擊與故障對系統(tǒng)的影響等將是進(jìn)一步的研究方向.

　　參考文獻(xiàn)(References):

　　GUAN X P, YANG B, CHEN C L, et al. A comprehensiveoverview of cyber-physical systems: from perspective offeedback system [J].IEEE/CAAJournalofAutomaticaSinica,2016, 3(1): 3–16.

　　[1]白昱陽, 黃彥浩, 陳思遠(yuǎn), 等. 云邊智能: 電力系統(tǒng)運(yùn)行控制的邊緣計(jì)算方法及其應(yīng)用現(xiàn)狀與展望[J].自動(dòng)化學(xué)報(bào), 2020, 46(3):397–410.BAI Yu-yang, HUANG Yan-hao, CHEN Si-yuan, et al. Cloudedge intelligence: status quo and future prospective of edgecomputing approaches and applications in power systemoperation and control [J]. ActaAutomaticaSinica, 2020, 46(3):397–410.

　　[2]KHAITAN S K, MCCALLEY J D. Design techniques andapplications of cyber physical systems: a survey [J].IEEESystemsJournal, 2015, 9(2): 350–365.

　　作者：李煒，張建軍

轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///jylw/27484.html