信息物理系统(Cyber physical system, CPS)是结合传感、通信、计算和控制过程形成的复杂系统^[1-2]. CPS互联而开放的运行环境, 在极大提高运行效率的同时, 也引入了大量安全漏洞^[3]. 攻击者可以通过入侵传输通道并且修改控制信号或者测量信号等多种方式破坏系统的正常运行, 造成严重损失^[4]. 近年来, CPS的安全性问题, 特别是CPS的攻击检测问题, 已经成为学术热点问题^[5-7].

CPS遭受的网络攻击主要包括拒绝服务攻击(Denial-of-service attack, DoS)、虚假数据注入攻击(False data injection attack, FDI)和重放攻击(Replay attack)等3种类型^[8]. DoS攻击的主要目标是阻止系统控制信号或者测量信号的正常传输, 实现对系统控制性能的破坏^[9]. DoS攻击的检测可以通过网络安全领域的检测方法实现. FDI攻击和重放攻击主要由内部人员发起, 属于“合法用户取得非法权限”, 仅通过网络安全的手段难以预防.

FDI攻击的主要特征是攻击者构造一个虚假数据替换系统的真实数据, 从而引导控制器发出错误的控制指令, 最终造成控制系统的性能退化或者瘫痪^[10-11]. 重放攻击的主要特征是攻击者利用存储的系统历史时刻数据替换系统当前时刻的真实数据, 进而引导控制器发出错误的控制指令. 与FDI攻击相比, 重放攻击的攻击者无需预知控制系统的知识. 同时, 由于攻击者重放的通常是系统在稳定状态的测量数据, 本身具有隐匿性, 常用的攻击检测器难以检测^[12]. 现有文献对重放攻击检测研究相对较少, 开展重放攻击检测研究意义重大.

现有的重放攻击检测大致可分为添加水印和信号编码两类. 虽然本质上都是向控制信号或者测量信号中添加额外的随机信号, 但是信号编码方法在添加随机噪声后, 还需对测量信号进行相应解码操作. 文献[13]研究了测量信号编码的方法, 系统遭受重放攻击后, 利用编码和解码信息间的不同步检测攻击. 为了提高检测率, 测量值编码信息的方差可能会很大, 甚至远超系统测量信号, 使解码操作变得困难. 此外单纯的噪声编码信息也容易被攻击者识别, 进而实施可以避开相关检测的隐匿攻击. 文献[14]最早提出向控制信号中持续添加高斯随机噪声, 以使攻击前后的数据残差出现明显变化, 并据此检测重放攻击的方法. 但该方法改变了系统的最优控制信号, 需要以牺牲系统控制性能换取攻击检测率. 文献[15]进一步给出了所加高斯噪声方差大小与性能损失之间的线性关系, 并且基于期望检测性能和允许控制性能损失提出了相应的最优化问题. 为了减少所加噪声造成的系统性能损失, 文献[16]提出将原本持续性加入的水印信号改为周期性加入. 然而, 该方法在减少性能损失的同时也降低了攻击检测率. 文献[17]针对系统建模信息不完整造成建模有误差的情况, 提出一种最优的在线控制水印信号设计方法. 文献[18]针对系统可能存在数据丢包的情况, 提出控制信号编码检测方法. 针对不连续的重放攻击检测问题, 文献[19]设计了一种周期性的水印添加策略, 减少未发生重放攻击时的控制性能损失. 考虑攻击者的重放延迟为任意值的情况, 文献[20]提出了一种最佳周期性水印添加策略, 在给定允许系统性能损失范围内调整加入控制信号的噪声大小和周期, 以获得最高攻击检测率. 但是, 现有方法尚未明确给出检测率、性能损失和噪声方差之间的定量关系.

针对现有方法存在的问题, 本文提出一种新的基于控制信号编码的重放攻击检测方法. 为了减少加入编码信号对控制信号的累积效应, 降低其对系统控制性能的影响, 在向控制信号添加编码信号的同时, 向状态估计端添加人为构造的辅助信号进行补偿. 在卡尔曼滤波器估计状态值时仍使用未加入编码信号之前的最优控制信号. 此时所添加的编码信号不参与控制信号的迭代过程. 通过理论证明, 给出了上述方法对重放攻击的可检测性以及检测率的定量表示. 同时证明了相对于持续添加控制噪声的方法, 本文方法具有更小的系统性能损失. 最后, 本文将编码信号方差、检测率和检测函数阈值之间的关系表示成一个可解的最优化问题, 给出了求解编码信号方差的明确方法. 通过仿真实验, 验证了所提方法的有效性.

1.   问题描述

1.1   系统模型

考虑CPS的受控对象为一个线性定常系统, 采用卡尔曼滤波器得到系统状态的估计值, 同时依据线性二次高斯控制器得到最优控制信号, 实现闭环反馈控制. 系统状态模型为

式中, ${{\boldsymbol{x}}_k} \in {{\bf{R}}^n}$ 为系统状态向量, ${{\boldsymbol{y}}_k} \in {{\bf{R}}^m}$和${{\boldsymbol{u}}_k} \in {{\bf{R}}^{{n_u}}}$分别代表测量信号和控制输入信号, 矩阵${\boldsymbol{A}}$, ${\boldsymbol{B}}$和${\boldsymbol{C}}$是具有相应维度的系数矩阵, ${{\boldsymbol{w}}_k} \sim {\rm{MVN}} ( {\boldsymbol{0},{\boldsymbol{W}}} )$, ${{\boldsymbol{v}}_k} \sim {\rm{MVN}}( {\boldsymbol{0},{\boldsymbol{V}}} )$且相互独立, 分别表示过程噪声和测量噪声, 其中, MVN表示多变量正态分布, ${\boldsymbol{W}} $和${\boldsymbol{V}} $分别是过程噪声和量测噪声的协方差矩阵. 假设式(1)所示系统满足: $( {{\boldsymbol{A}},{\boldsymbol{B}}} )$完全可控, $( {{\boldsymbol{A}},{\boldsymbol{C}}} )$完全可观, $( {{\boldsymbol{A}},\sqrt {\boldsymbol{W}} } )$是能稳的, 系统初值${{\boldsymbol{x}}_0}$与过程噪声和测量噪声皆不相关, 且服从多变量正态分布${\rm MVN}( \bar{\boldsymbol {x}}_{0},\boldsymbol{\varepsilon} )$, 其中, $\bar{\boldsymbol {x}}_{0}$为均值向量, $\boldsymbol{\varepsilon} $为协方差.

考虑到过程噪声存在的情况且系统真实状态无法获得, 本文采用卡尔曼滤波算法, 利用测量信息实时更新得到最佳状态估计值${{\hat{\boldsymbol x}}_{k\left| k \right.}}$, 滤波过程概括为

其中, 残差${{\boldsymbol{z}}_k} = {{\boldsymbol{y}}_k} - {\boldsymbol{C}}{{\hat{\boldsymbol x}}_{k|k - 1}}$. 在系统假设条件下, 式(2)中的滤波增益${{\boldsymbol{G}}_k}$、状态误差协方差${{\boldsymbol{P}}_{k\left| k \right.}}$、预测状态误差协方差${{\boldsymbol{P}}_{k\left| {k - 1} \right.}}$将很快收敛到稳定值${\boldsymbol{G}}$、${\bar{\boldsymbol P}}$和${\boldsymbol{P}}$, 且满足如下黎卡提方程:

考虑系统的随机过程噪声和测量噪声, 定义系统性能指标函数为

式中, ${\boldsymbol{Q}}$, ${\boldsymbol{R}}$分别为状态变量和控制变量的系数矩阵, $\rm{E}[\cdot] $为期望运算. 在满足上述性能指标的情况下, 结合卡尔曼滤波算法得到最佳状态估计值${{\hat{\boldsymbol x}}_{k\left| k \right.}}$, 可得如下最优控制信号:

1.2   重放攻击模型

本文研究测量信号重放的情况. 因此假设攻击者能够记录测量数据${{\boldsymbol{y}}_0},{{\boldsymbol{y}}_1}, \cdots ,{{\boldsymbol{y}}_k}$, 同时可将实际传感器信号${{\boldsymbol{y}}_k}$修改为任意值${\boldsymbol{y}}_k'$. 实施重放攻击通常分为如下步骤. 首先, 攻击者记录从时间${k_m}$到${k_m} + T$的传感器测量值${{\boldsymbol{y}}_k}$, 其中, $T$为攻击者记录数据的时间长度. 一般情况下$T$足够大, 否则, 可通过将记录的数据连续重放以达到攻击目的. 其次, 从时间${k_n}$到${k_n} + T$, 攻击者将系统真实的测量信号${{\boldsymbol{y}}_k}$修改为之前时刻记录的值, 即

由于受攻击时系统往往已处于稳态, 重放信号${\boldsymbol{y}}_k'$和实际信号${{\boldsymbol{y}}_k}$分布相同, 重放攻击有一定隐匿性. 文献[15]中分析了重放攻击的隐匿性条件, 并指出若滤波增益G和控制增益K非最优并使${\boldsymbol{\Psi }} = \left( {{\boldsymbol{A}} + {\boldsymbol{BK}}} \right)\left( {{{\boldsymbol{I}}_{n}} - {\boldsymbol{GC}}} \right)$不稳定时, 重放攻击能够被${\chi ^2}$检测器检测; 若${\boldsymbol{\Psi} }$是稳定的, 则重放攻击者可以绕过${\chi ^2}$检测, 实现隐匿攻击. 因此, 本文主要考虑隐匿攻击, 即${\boldsymbol{\Psi }}$稳定的情况.

2.   攻击检测

与现有控制信号编码检测方法不同, 本文方法在添加控制编码信号的同时, 向状态估计测量值输入端添加相应的补偿信号, 从而减小编码信号对系统性能指标的影响, 并且能使重放攻击前后检测信号出现明显协方差差异. 图1给出了本文方法的完整框图.

图 1  本文所提方法的系统框图

Fig. 1  System diagram of the proposed scheme in this paper

下载: 全尺寸图片 幻灯片

2.1   控制信号编码与辅助信号构建

为了检测重放攻击, 向系统最优控制信号中加入编码信号$\Delta {{\boldsymbol{u}}_k}$, 加入$\Delta {{\boldsymbol{u}}_k}$之后系统状态记为${\boldsymbol{x}}_k^*$, 测量值记为${\boldsymbol{y}}_k^*$, 此时系统为

同时, 构造如下辅助系统, 令${\boldsymbol{x}}_k^{\rm{s}}$的初值为0, 即

在状态估计端添加相应补偿信号${{\boldsymbol{s}}_k}$. 此时, 状态估计端获得的测量值为${\boldsymbol{y}}_k^{{e}} = {\boldsymbol{y}}_k^* + {{\boldsymbol{s}}_k}$, 则

由式(9)可知, 此时估计端接收到的测量值与系统未加$\Delta {{\boldsymbol{u}}_k}$时相同.

2.2   重放攻击的可检测性

定义检测信号${{\boldsymbol{r}}_k}$为

式中, ${{\hat{\boldsymbol x}}_{k\left| {k - 1} \right.}}$是此方案下的预测状态估计值, 且

其中, ${\boldsymbol{\Gamma }}= \left( {{\boldsymbol{A}} + {\boldsymbol{BK}}} \right){\boldsymbol{G}}$. 由式(9)可知, 此时的${{\hat{\boldsymbol x}}_{k\left| {k - 1} \right.}}$亦与未加$\Delta {{\boldsymbol{u}}_k}$时相同.

引理 1. 如式(1)定义的带有卡尔曼滤波器和线性二次高斯(Linear-quadratic-Gaussian, LQG)控制器的线性定常系统, 卡尔曼滤波器的残差${{\boldsymbol{y}}_k} - {\boldsymbol{C}}{{\hat{\boldsymbol x}}_{k\left| {k - 1} \right.}}$服从均值为0、协方差为${{{\boldsymbol{\Sigma }}}_{{r}}}$的高斯分布, 其中, 协方差矩阵${{{{\boldsymbol{\Sigma}} }}_{{r}}} = {\boldsymbol{CP}}{{\boldsymbol{C}}^{\rm{T}}} + {\boldsymbol{V}}$.

结合引理1和式(10)可知, 本文方案下的检测信号${{\boldsymbol{r}}_k}$服从多变量正态分布${\rm{MVN}}\left( {\boldsymbol{0},{{{{\boldsymbol{\Sigma}} }}_{{r}}}} \right)$.

构造检测函数为

式中, $t$为滑动窗口大小. 显然, 当系统未受攻击时, $g\left( k \right)$服从自由度为$m $的${\chi ^2}$分布.

定理 1. 如式(1)所示线性定常系统, 定义检测函数如式(12)所示, 采用第2.1节所提方案对控制信号进行编码. 若加入的编码信号满足$\Delta {{\boldsymbol{u}}_{k - 1 - i}} \ne \Delta {\boldsymbol{u}}_{k - 1 - i}' ,\; {i = 0, \cdots ,k - 1} $, 则当系统遭受重放攻击后, 攻击是可检测的.

证明. 当遭受重放攻击时, 系统当前时刻的测量信息被攻击者的记录值所替代. 令攻击者重放到系统中的信息为${\boldsymbol{y}}{_k^{*'}}$, ${\boldsymbol{y}}{_k^{*'}}$对应的系统状态值为${\boldsymbol{x}}{_k^{*'}}$, 攻击者重放的数据对应时刻的编码信号为$\Delta {\boldsymbol{u}}_k'$, 按式(9)向测量值中加入补偿信号${{\boldsymbol{s}}_k}$后的检测信号为${\boldsymbol{r}}_k^{\rm{a}}$, 可得

其中

由于$\boldsymbol{\Psi }$为稳定矩阵, 因此, 随 $k \to \infty $, $( {\hat{\boldsymbol x}}_{k\left| {k - 1} \right.}' - $${{\hat{\boldsymbol x}}^{\rm{a}}}_{k\left| {k - 1} \right.})\to 0 $.

记${{\boldsymbol{\Phi }}_{k{\rm{ - }}1}} = \Delta {{\boldsymbol{u}}_{k{\rm{ - }}1}} - \Delta {\boldsymbol{u}}_{k - 1}'$, ${\boldsymbol{\delta }} = {\boldsymbol{x}}_0^{\rm{s}} - {{\boldsymbol{x}}{_0^{\rm{s}}}'}$, 可以得到

由于${\boldsymbol{x}}_k^{\rm{s}'}$是之前时刻补偿信号${{\boldsymbol{s}}_k}$递推的状态值, 其初始值与${\boldsymbol{x}}_k^{\rm{s}}$相同, 即有${\boldsymbol{x}}_0^{\rm{s}'} = {\boldsymbol{x}}_0^{\rm{s}}$, ${\boldsymbol{\delta }} = \boldsymbol{0}$. 此时, 检测函数变为

其中, ${g'}\left( k \right)$是$k $时刻系统若处于正常情况下的检测函数值.

显然, 检测重放攻击要求${g^{\rm{a}}}\left( k \right) > {g'}\left( k \right)$, 即$\| {{\boldsymbol{C}}\sum\nolimits_{i = 0}^{k - 1} {{{\boldsymbol{A}}^i}{\boldsymbol{B}}\left( {\Delta {{\boldsymbol{u}}_{k - 1 - i}} - \Delta {\boldsymbol{u}}_{k - 1 - i}'} \right)} } \|_2^2 > 0$. 所以, 当$\Delta {{\boldsymbol{u}}_{k - 1 - i}} \ne \Delta {\boldsymbol{u}}_{k - 1 - i}'{\rm{ }},\; {i = 0, \cdots ,k - 1}$时, 重放攻击是可检测的. 且对于给定窗口, 有

因为$\Delta {{\boldsymbol{u}}_k}和$$\Delta {\boldsymbol{u}}_k'$都服从$(0, {\boldsymbol{\Sigma }}_{u})$的正态分布, ${\rm{Prob}} ( {\Delta {{\boldsymbol{u}}_{k - 1 - i}} = \Delta {\boldsymbol{u}}_{k - 1 - i}'} ) = 0$, 其中, $i = 0, \cdots ,k - 1 $, 即

即对重放攻击的检测率为1. □

由于系统建模误差或者状态估计误差的存在, 使用定理1会导致误检发生. 为此, 可以给定一个检测函数的阈值$\tau ,$ 以及如下假设检验: 若$g\left( k \right) < \tau $, 则表明系统处于${{\rm{H}}_0}$(正常)状态, 反之则处于${{\rm{H}}_1}$(受攻击)状态. 此时, 本文方法对重放攻击的检测率满足定理2.

定理 2. 如式(1)所示的线性定常系统, 采用如式(12)所示检测函数和第2.1节所提方案, 则一定存在检测函数的阈值$\tau $, 使得在未发生重放攻击时, 检测函数满足$g\left( k \right) < \tau $; 而当系统遭受重放攻击后, 检测函数增大, 且满足${g^{\rm{a}}}\left( k \right) > \tau $. 此时, 重放攻击检测率最大为

其中, ${ { {\boldsymbol{\Phi}} }} \left( \cdot \right)$为标准正态分布的概率分布函数.

证明. 记${\tau '} = \left| {{{\boldsymbol{\Sigma }}_{{r}}}} \right|\left[ {\tau - g\left( k \right)} \right]$. 按照检测规则, 当$\| {{\boldsymbol{C}}\sum\nolimits_{i = 0}^{k - 1} {{{\boldsymbol{A}}^i}{\boldsymbol{B}}\left( {\Delta {{\boldsymbol{u}}_{k - 1 - i}} - \Delta {\boldsymbol{u}}_{k - 1 - i}'} \right)} } \|_2^2 > \tau '$时, 可以检测重放攻击. 且攻击检测的概率为

其中, ${\rm{Prob}}( \| {{\boldsymbol{C}}\sum\nolimits_{i = 0}^{k - 1} {{{\boldsymbol{A}}^i}{\boldsymbol{B}}( {\Delta {{\boldsymbol{u}}_{k - 1 - i}} - \Delta {\boldsymbol{u}}_{k - 1 - i}'} )} }\|_2^2 \leq \tau ' )$为漏检率.

由于

所以, 当${\left\| \boldsymbol{A} \right\|_2} \leq 1$时, 有

由于$\Delta {{\boldsymbol{u}}_k}$和$\Delta {\boldsymbol{u}}_k'$均服从$\left( {{0},{{\boldsymbol{\Sigma }}_{{u}}}} \right)$的正态分布, 所以$\Delta {{\boldsymbol{u}}_k} - \Delta {\boldsymbol{u}}_k'$服从$\left( {{0},2{{\boldsymbol{\Sigma }}_{{u}}}} \right)$的正态分布, 即

同理可得, 当${\left\| {\boldsymbol{A}} \right\|_2} > 1$时,

结合式(21), 可得

□

3.   系统性能损失与检测最优化

控制信号编码方法需要在系统的最优控制信号加入随机的控制编码信号, 从而造成了控制性能的损失.

向控制信号多次添加编码信号后, 系统在$k$时刻的控制信号和状态估计分别记为${\boldsymbol{u}}_k^2$和${\hat{\boldsymbol x}}_{k\left| k \right.}^2$. 可以得到

式(26)表明, 之前时刻向系统中添加的编码信号$ \cdots, \Delta {{\boldsymbol{u}}_{k - 2}},\Delta {{\boldsymbol{u}}_{k - 1}}$会影响下一时刻的最优控制信号${{\boldsymbol{u}}_k}$, 且编码信号的添加对控制信号有累积效应, 导致系统控制性能持续下降.

为了分析本文所述编码方法造成的性能损失, 首先给出定理3.

定理 3. 如式(1)所示的线性定常系统, 在向系统控制信号中多次添加编码信号$\Delta {{\boldsymbol{u}}_i},\;{i = 1, \cdots ,k} $时, 本文所提控制编码方法下, 系统$k$时刻的控制信号只与当前时刻加入的编码信号$\Delta {{\boldsymbol{u}}_k}$有关, 而与历史编码信号$\Delta {{\boldsymbol{u}}_i}, \; {i = 1, \cdots ,k - 1} $无关.

证明. 由第1.1节可知, 系统在$k$时刻的最优控制信号为

不失一般性, 假设从$k - 1$时刻开始向控制信号中添加噪声信号. 采用本文方法后作用到系统上的控制信号记为${\boldsymbol{u}}_k^1$. 式(9)证明此时状态估计端采用的测量值${\boldsymbol{y}}_k^{{e}}$等于未加任何噪声信号时的${{\boldsymbol{y}}_k}$. 同时在向系统添加编码信号时, 状态估计器(2)仍可直接使用最优控制信号${{\boldsymbol{u}}_{k - 1}}$, 此时的估计状态${{\hat{\boldsymbol x}}_{k\left| {k - 1} \right.}}$与系统未加控制编码信号$\Delta {{\boldsymbol{u}}_{k - 1}}$时相同. 结合式(27)可知, 采用本文所提方法后控制器产生的控制信号与未加任何噪声信号时相同. 此时, 作用到系统上的信号${\boldsymbol{u}}_k^1 = {{\boldsymbol{u}}_k} + \Delta {{\boldsymbol{u}}_k}$, 仅受当前时刻$\Delta {{\boldsymbol{u}}_k}$影响.□

3.1   性能损失分析

定理 4. 如式(1)系统, 定义性能指标如式(4), 则本文方法下, 系统的平均性能损失不大于单次控制编码信号造成性能损失的最大值, 且小于在向系统多次添加编码信号$\Delta {{\boldsymbol{u}}_i},\;{i = 1, \cdots ,k} $时系统的性能损失.

证明. 如第1.1节所述, 记${{\boldsymbol{x}}_k}$为未加$\Delta {{\boldsymbol{u}}_k}$时的正常系统真实状态, ${{\boldsymbol{e}}_k}$为未加$\Delta {{\boldsymbol{u}}_k}$时正常系统的状态估计误差, ${{\boldsymbol{\zeta }}_k}$为添加了$\Delta {{\boldsymbol{u}}_k}$前后系统的真实状态之差. 现构造如下增广状态向量${{\boldsymbol{\tilde x}}_k}$

且${{\boldsymbol{\tilde x}}_k}$的协方差满足

向系统添加$\Delta {{\boldsymbol{u}}_k}$后, 系统状态由${{\boldsymbol{x}}_k}$变为${\boldsymbol{x}}_k^*$, 此时系统性能指标如式(30)所示 (见本页下方).

由于

所以本文方法的平均性能损失不大于单次控制编码造成的性能损失最大值.

记多次向控制信号中添加噪声信号方法的性能指标为${J_1}$, 可得式(32) (见本页下方).

所以, 在给定的${{\boldsymbol{\Sigma }}_{{u}}}$相同的情况下, 本文方法的性能损失小于向系统中多次添加控制噪声的方法.□

3.2   编码信号的确定

由式(17)可以看出, 为了有效地检测出攻击, 加入系统中的$\Delta {{\boldsymbol{u}}_k}$应越大越好. 然而, 此时的系统性能损失也就越大. 为了在二者之间找到一个平衡, 提出定理5.

定理 5. 针对如上假设检验, 记攻击检测误报率(False alarm rate, FAR)为$\alpha $, 检测率(Alarm detection rate, ADR)为$\beta $, 正常情况下与受到重放攻击后检测信号的协方差分别为${{\boldsymbol{\Sigma }}_{{r}}}$和${\boldsymbol{\Sigma }}_{{r}}^{\rm{a}}$, 则编码信号的协方差${{\boldsymbol{\Sigma }}_{{u}}}$和检测阈值$\tau $满足如下最优化问题:

证明. 由第 2.2节可知, 正常情况下检测信号的协方差${{\boldsymbol{\Sigma }}_{{r}}} = {\boldsymbol{CP}}{{\boldsymbol{C}}^{\rm{T}}} + {\boldsymbol{V}}$, 系统遭受重放攻击后, 协方差${\boldsymbol{\Sigma }}_{{r}}^{\rm{a}}$为

记${\boldsymbol{H}} = \sum\nolimits_{i = 0}^\infty {{{\boldsymbol{A}}^i}{\boldsymbol{B}}{{\boldsymbol{\Sigma }}_{{u}}}{{\boldsymbol{B}}^{\rm{T}}}{{\left( {{{\boldsymbol{A}}^i}} \right)}^{\rm{T}}}}$, 则${\boldsymbol{H}}$满足如下黎卡提方程:

可以得到

根据检测要求, 误检率$R_{\rm{FAR}} $需满足

在假设${{\rm{H}}_0}$成立的情况下, ${\boldsymbol{r}}_k^{\rm{T}}{\boldsymbol{\Sigma }}_{{r}}^{ - 1}{{\boldsymbol{r}}_k}$服从标准${\chi ^2}$分布, 因此, 若$\tau \geq \chi \alpha$成立, 式(37)成立.

此外, 检测率$R_{\rm{ADR}} $需满足

结合${\boldsymbol{r}}_k^{\rm{T}}{( {{\boldsymbol{\Sigma }}_{{r}}^{\rm{a}}} )^{ - 1}}{{\boldsymbol{r}}_k} \leq ( {{{{\lambda _{\max }}( {{{\boldsymbol{\Sigma }}_{{r}}}} )} / {{\lambda _{\min }}( {{\boldsymbol{\Sigma }}_{{r}}^{\rm{a}}} )}}} ){\boldsymbol{r}}_k^{\rm{T}}{\boldsymbol{\Sigma }}_{{r}}^{ - 1}{{\boldsymbol{r}}_k}$, 有

由式(39)可以看出, 式(38)成立只需

在假设${{\rm{H}}_1}$成立的情况下, ${\boldsymbol{r}}_k^{\rm{T}}{\left( {{\boldsymbol{\Sigma }}_{{r}}^{\rm{a}}} \right)^{ - 1}}{{\boldsymbol{r}}_k}$服从标准${\chi ^2}$分布, 因此, 式(40)成立只需${{\lambda _{\max }}\left( {{{\boldsymbol{\Sigma }}_{{r}}}} \right)\tau } / {\lambda _{\min }}\left( {{\boldsymbol{\Sigma }}_{{r}}^{\rm{a}}} \right) \leq \chi \beta$. 此外, 第3.1节中, 式(30)和式(32)已经给出采用本文方法下的性能指标表达式.□

4.   仿真实验

在本节中, 使用MATLAB的网络控制系统仿真平台Truetime进行实验. 以直流电机为例进行仿真验证, 根据电路原理和刚体旋转定律, 可得到如下状态空间模型

采用文献[21]中的参数, 将上述系统按采样时间$0.1\;{\rm {s}}$进行离散化, 同时, 考虑过程噪声${{\boldsymbol{w}}_k}$和测量噪声${{\boldsymbol{v}}_k}$, 可得

其中, ${{\boldsymbol{w}}_k} \sim {\rm{MVN}}\left( {\boldsymbol{0},{\boldsymbol{W}}} \right)$, ${{\boldsymbol{v}}_k} \sim {\rm{MVN}}\left( {\boldsymbol{0},{\boldsymbol{V}}} \right)$, 且协方差矩阵${\boldsymbol{W}} = {\boldsymbol{V}} = \rm{diag}\left\{ {0.001,0.001} \right\}$.

为了确保闭环系统稳定, 基于第1.1节中的滤波原理和控制理论, 滤波器和控制器的稳态增益为${\boldsymbol{G}} = \left[ {\begin{aligned} {0.5000}\;{ - 0.0005} \\ { - 0.0005}\;\;{0.6305}\; \end{aligned}} \right]$, ${\boldsymbol{K}} = \left[ {\begin{aligned} {-0.2190}\;\;{-0.4542} \end{aligned}} \right]$. 此时, 系统参数矩阵${\boldsymbol{\Psi }} = \left[ {\begin{aligned} { - 0.0277}\;\;{ - 0.0424} \\ {0.0584}\;\;\;{0.0894} \;\end{aligned}} \right]$. 显然, ${\boldsymbol{\Psi }}$的特征值均小于1, 无法利用${\chi ^2}$检测器检测重放攻击. 利用本文方法, 令${\boldsymbol{Q}} = {\boldsymbol{I}}_2$和$R = 1$, ${{\boldsymbol{I}}_2}$为二维单位矩阵. 设置检测率$\beta = 0.75$, 误报率$\alpha = 0.05$. 根据误报率要求, 通过计算系统在未受攻击情况下检测函数的值确定$\tau = 6$. 解式(33)的最优化问题可得所需控制信号噪声的方差为${{{\boldsymbol{\Sigma}} }_{{u}}} = 0.4353$. 此时, 由式(30)可知, 系统性能损失为$J = 23.2778$. 图2给出了正常情况下的检测函数图, 可以看出, 系统未遭受重放攻击时检测函数处于给定阈值范围内.

图 2  直流电机系统正常运行时的检测函数曲线

Fig. 2  The detection function curve of the normal DC motor system

下载: 全尺寸图片 幻灯片

现假设攻击场景1为: 前60 s系统运行正常, 攻击者记录了20.1 s ~ 60 s的测量数据, 并在60.1 s开始重放记录的数据; 假设攻击场景2为: 系统从70.1 s开始重放40.1 s ~ 70 s的数据. 检测结果如图3和图4所示. 由图3和图4中可以看出, 重放攻击发生后, 系统检测函数明显增大并且很快超过了正常阈值, 由此可判定系统遭受了攻击. 并且由图中曲线可见, 针对不同重放数据长度和重放时间下的攻击, 本文方法均具有良好的检测性能, 检测率分别为83.75%和81.33%, 误报率分别为3.15%和4.3%. 对比设置检测率$\beta = 0.75$和误报率$\alpha = 0.05$可知, 本文方法的最终检测率高于设定值, 而最终误报率低于设定值. 这主要是因为在式(17)中计算受到攻击后的检测函数值时, 忽略了交叉项, 导致理论结果偏于保守. 因此, 实验所得攻击检测率略大于理论结果.

图 3  攻击场景1下的检测函数曲线

Fig. 3  The detection function curve under attack scenario 1

下载: 全尺寸图片 幻灯片

图 4  攻击场景2下的检测函数曲线

Fig. 4  The detection function curve under attack scenario 2

下载: 全尺寸图片 幻灯片

此外, 本文考虑了系统遭受非连续重放攻击的情况. 假设攻击场景3为: 攻击者在第40.1 s和第70.1 s分别进行10 s的测量值重放, 检测结果如图5所示, 检测率为82.50%, 误报率为4.75%. 可以看出, 本文所提方法对于非连续重放攻击也具有良好的检测性能.

图 5  攻击场景3下的检测函数曲线

Fig. 5  The detection function curve under attack scenario 3

下载: 全尺寸图片 幻灯片

为了进一步验证本文所提方案的有效性, 将本文方法与文献[15, 17-18]中的方案进行对比, 实验结果如图6和表1所示. 由于这些论文中并没有详细给出检测率与所加水印信号方差的具体关系, 因此以下结果是重复50次实验后得到的平均值. 从图中可以看出, 随着检测率的增加, 不同方法的性能指标损失都逐渐增大, 但在相同检测率要求下, 本文方法的性能损失远小于对比方法.

图 6  本文所提的方法与不同方法的性能损失函数曲线对比图

Fig. 6  Comparison between the performance index of schemes in this paper and other papers

下载: 全尺寸图片 幻灯片

表 1  噪声方差及性能指标比较

Table 1  Comparison of noise variance and performance index of different schemes

	$R_{\rm{ADR}} $ (%)	${ {{\boldsymbol{\Sigma}} }_{{u} } }$	$J$
本文方法	75	0.4353	23.2778
	80	0.5450	29.1433
文献[17]方法	75	0.7615	48.9837
	80	0.9964	64.0928
文献[18]方法	71.02	1.0010	64.3244
	81.20	1.5000	96.4850
文献[15]方法	75	2.7166	174.7383
	80	3.4018	218.8113

下载: 导出CSV 

| 显示表格

考虑系统可能受到非连续重放攻击的情况, 与文献[20]方法进行简单比较. 由于两种方法的前提条件不相同, 因此, 实验中仅在保证性能损失相同的情况下比较检测率结果. 采用文献[20]中所用模型, 通过采样周期${T_{{\rm{sp}}}} = 2~{\rm{s}}$, 将4倍水箱控制系统离散化而得到系统参数. 攻击者每次发动攻击的持续时间为: ${T_s} = {T_0} + X$, 其中, ${T_0}$为基本时长, $X > 0$为可控变量, 且$X$的概率密度函数为$f\left( X \right) = \xi {{\rm{e}}^{ - \xi X}}$. 现选取非连续攻击模型参数$\xi = {1 / 5},{{{T}}_0} = 10$, 比较${\gamma _1} = {\gamma _2}{\gamma _3}$时的情况. 求取100次仿真实验的平均结果, 检测率定义为攻击时间内检测器报警次数的百分比. 当采用周期水印策略为${q / p} = 0.5$时, 即有50%的时刻控制信号加入随机噪声, 此时系统性能指标值为$J = 25\;308$, 攻击检测率约为76% ~ 77%左右. 采用本文方法在保证相同性能指标的前提下, 检测率为77.50%. 采用周期水印策略为${q / p} = 0.8$时, 系统性能指标值为$J = 40\;404$, 攻击检测率约为86% ~ 87%. 采用本文方法, 检测率为87.56%. 文献[20]主要针对非连续重放攻击制定了攻击时间持续模型, 并根据此攻击模型制定最佳周期水印策略, 在给定允许牺牲系统性能范围内调整加入控制信号的噪声的周期, 以求达到最高攻击检测率的同时控制性能损失较小. 文献[20]所得结果是针对特定攻击模型下添加编码信号的最优周期, 即控制成本也为最优. 而在保证相同控制性能指标损失的前提下, 本文仅采用均匀概率向控制信号加入编码, 检测率略优于文献[20]所提方案, 由此也可证明本文方法的有效性和优越性.

5.   结束语

本文考虑了CPS中重放攻击的检测问题, 提出一种新的控制信号编码检测方法. 证明了该方法对于重放攻击的可检测性和检测率上界. 在保证较高检测效率的同时降低了对系统性能的影响, 同时, 给出了平衡检测效率和所需系统性能的最优化问题. 实验结果表明, 此方法能在牺牲较小系统性能的情况下有效地检测到重放攻击的发生. 本文方法也可以与周期水印方法、随机水印方法等相结合, 通过减少控制编码信号加入的次数, 达到进一步降低系统性能损失的目的.