技术领域
[0001] 本
发明属于工控系统安全领域,涉及到一种系统残差指纹合成方法、数据
采样方法和
水位控制实验平台。
背景技术
[0002] 传统的工业控制系统(ICS)由于没有连接到网络空间,它的通讯只限于内部设备之间。随着工业化和信息化
进程的加快,现代工业
基础设施呈现范围大、分布广的趋势,通信网络被引入到ICS中,使得物理过程可以用通信网络来远程监控,从而演变为新型的工业信息物理系统(ICPS)。外部通信网络必将带来的漏洞和后
门,这些漏洞容易被黑客利用,导致ICPS遭受恶意攻击的
风险增加。恶意攻击可能导致ICPS性能下降和物理设备损坏,甚至引起系统崩溃,造成严重的经济损失。而对于来自系统内部的攻击来说,其一般为内部人员,具有系统模型和系统动态方程的知识,并且可以直接得到
传感器数据,因此内部攻击者并不需要进入网络层,并且可以跳过网络层,发动恶意攻击,对系统造成严重危害。
[0003] ICPS涉及的基础设施和设备不仅与人们的日常生活息息相关,更关系到社会和国家的安全。因此如何提高ICPS的安全性都与如今的如今的网络安全并不只是个人的信息安全,而是影响到社会,甚至是国家的安全。因此,如何提高ICPS应对攻击的防御能
力是目前网络安全受到研究人员的高度重视。
[0004] 在工业控制系统中,系统的正常运行的数据的准确是分不开的,数据一旦遭受篡改,系统就会远离稳态甚至崩溃。对于来自系统内部的攻击来说,攻击者的目的是在尽可能对系统造成最大破坏的情况下,使攻击被检测到的可能性降到最低,而现有的ICPS攻击防御方法无法检测来自系统内部的攻击,因此,攻击者可以绕过物理隔离和
软件隔离来得到系统数据,如传感器读数,并发起各种恶意攻击,如虚假数据注入、隐蔽攻击等。就防御方而言,目前针对ICPS的攻击检测方法检测方法一般可以分为两个类别:网络域方法和物理域方法。网络域方法即通过传统的入侵检测系统(IDS)来捕获数据包,检查流量异常。物理域方法即建立系统的物理模型,通过对物理特性的分析,将网络模型的预测值与物理模型中的
感知值进行比较,找出潜在的攻击。网络域方法忽略了对于ICPS来说十分重要的物理特征信息,而物理域方法,特别是基于设备指纹的方法,虽然有助于提高ICPS对外部攻击的防御能力,但仍然无法防御来自系统内部的攻击。因此迫切需要一种针对ICPS内部攻击的防御方法。
[0005] 水位控制系统具有ICPS的基本特点,在ICPS现存安全问题的背景下,本发明在控制学
角度,引入系统残差指纹概念,以水位控制系统为实验平台,对其实施了虚假数据入侵形式的内部攻击,改变传感器量测值,欺骗
控制器,在仿真中,使用基于残差指纹的方法来检测攻击。
发明内容
[0006] 为了更加深入了解ICPS的攻击及检测方式,本发明提供了一种基于系统残差指纹攻击检测方法,通过虚假数据入侵,篡改传感器与控制器之间的通讯数据,使系统远离稳定状态;通过仿真实验,利用系统残差指纹来检测攻击的存在。
[0007] 为达到上述效果,本发明采用的技术方案如下:
[0008] 一种基于系统残差指纹的工业信息物理系统攻击检测方法,包括以下步骤:
[0009] 步骤1,为水位控制系统构造物理模型,并给出其
状态空间方程,水位控制系统作为典型的线性时变系统,其系统输入和输出存在着联系,所以在传感器读数和控制器
信号可知的情况下,构造如下线性动态状态空间模型
[0010]
[0011] 其中A,B,C,为系统矩阵, 和 分别代表过程噪声和传感器噪声且都独立服从高斯分布,在某一离散时刻 系统的状态为 其下一时刻的状态
由当前状态和当前控制量 决定, 为对应状态量的观测信号,
即传感器输出,确定了模型后,获取水位控制系统正常运行时的数据;
[0012] 步骤2,通过系统辨识方法获得状态空间方程中各系数:在已知数据的传输格式情况下,对获取的数据进行预处理,通过系统辨识方法得到公式(1)中各系数;
[0013] 步骤3,实施虚假数据入侵形式的内部攻击:对上述获取到的数据进行进一步的操作,针对目标数据,在其原基础上注入一个非零常数,得到攻击下的目标数据 形式如下:
[0014]
[0015] 其中y(k)是系统正常运行时传感器与控制器之间传输的数据,δ为在某一时刻k加入的攻击量,为非零常数,给出三种攻击量数值选择:
[0016]
[0017] 步骤4,利用卡尔曼滤波预测下一时刻的系统状态,并得到系统残差合成模型的一般形式,采用合成的残差指纹来检测恶意攻击;
[0018] 步骤5,利用所提采样方法对小数值虚假数据注入攻击下的残差指纹进行进一步采样,将残差指纹的变化放大。
[0019] 进一步,所述步骤4中,利用卡尔曼滤波得到系统残差指纹的步骤如下:
[0020] 4.1对于公式(1)给出的线性时变系统,卡尔曼滤波的预测和更新过程如下:
[0021] 4.1.1预测步骤:
[0022]
[0023] P-(k+1)=AP(k)AT+ΓQ(k)ΓT (5)
[0024] 其中, 和 分别表示k+1时刻的先验状态和k时刻的后验状态;和 表示k+1时刻和k时刻的预测误差先验协方差阵和后验协方差
阵, 表示过程噪声w(k)的协方差阵,由此,卡尔曼滤波预测的下一时刻的期望输出 为
[0025]
[0026] 4.1.2更新步骤:一旦下一时刻的系统输出y(k+1)确定之后,卡尔曼滤波的更新步骤表示为:
[0027]
[0028] 其中, 为卡尔曼增益矩阵,I为单位矩阵, 是量测噪声η(k)的协方差矩阵;
[0029] 4.2残差指纹模型的推导步骤,如下:
[0030] 4.2.1系统残差关于过程噪声和量测噪声的一般表达式:定义状态误差函数e(k):
[0031]
[0032] 进一步等到更一般地状态误差表达式
[0033]
[0034] 又有残差r(k)2 Rn定义
[0035]
[0036] 进一步得到系统残差关于过程噪声和量测噪声的函数
[0037]
[0038] 4.2.2指纹模型生成:将公式(11)作为残差指纹合成统计模型,过程噪声和量测噪声作为模型的输入集X,残差集作为输出指纹集
[0039]
[0040] 再进一步,所述步骤5中,采样方法如下:对于高水平的攻击者注入的微小数值的虚假数据,公式(10)中的残差变为:
[0041] r′(k)=Ce(k)+η(k)+δ(k) (13)
[0042] 从上式认为,对手的注入的恶意攻击是直接加在量测噪声上,即
[0043] η′(k):=η(k)+δ(k) (14)[0044] 进一步的指纹模型的输入和输出集变为:
[0045]
[0046] 令 表示残差差值序列,提出如
下采样方法:
[0047]
[0048] 本发明的有益效果主要表现在:ICPS在正常运行时,攻击者,通常为内部人员,从内部对系统进行形式为虚假数据入侵的恶意攻击,篡改数据,欺骗控制器,从而达到破坏ICPS的目的,展现了ICPS的安全性能不高的缺点。同时,提出了基于系统残差指纹的攻击检测方法,可以有效地检测出来之系统内部的恶意攻击,进一步地利用所提采样方法可以对微小数值的虚假数据注入攻击进行检测,同时能缩短检测时间,提高实时性。
附图说明
[0049] 图1是水位控制平台示意图。
[0051] 图3是针对ICPS虚假数据入侵攻击示意图。
[0052] 图4是残差指纹模型生成流程图。
[0053] 图5是系统正常运行时水位相关数据图。
[0054] 图6是大数值虚假数据入侵时的水位数据与正常水位数据对比图。
[0055] 图7是微小数值虚假数据入侵时的水位数据与正常水位数据对比图。
[0056] 图8是采样后残差指纹数据图。
具体实施方式
[0057] 为了使本发明的技术方案、设计思路能更加清晰,下面结合附图再进行详尽的描述。
[0058] 参照图1~图8,一种基于系统残差指纹的工业信息物理系统攻击检测方法,包括以下步骤:
[0059] 步骤1:为水位控制系统构造物理模型,并给出其状态空间方程。实验平台为为三级水箱水位控制系统,试验台主要由水箱、控制器、传感器、执行器和个人计算机组成。控制器与传感器和执行器相连,控制器同时接受计算机发送的指令以及传感器测量数据,经过计算之后将控制指令下发给执行器,如图1所示,选择PLC作为控制器,水位传感器作为主要传感器,电磁
阀和水
泵作为执行器,设定水箱的横截面积为1平方米,当系统正常运行时,出口泵保持工作,进水泵有三种工作模式:当水位处于0.2-0.8m时,进水泵处于半开状态,当水位降至0.2m以下时,进水泵为全开状态,当水位升至0.8米以上时,进水泵为关闭状态。1.0m处发生溢水;
[0060] 步骤2,通过系统辨识方法获得状态空间方程中各系数:在得到公式(1)的状态空间之后,需要确定各个系数,考虑水箱为规则的长方体,由
质量平衡方程可得[0061]
[0062] 其中ΔV表示单位时间内水箱中水净增加的体积,S为水箱的横截面积,L为水箱水位高度, 为单位时间内水位的变化,进一步,ΔV表示为
[0063] ΔV=Qin-Qout (18)
[0064] 其中Qin,Qout分别表示当两个水泵同时工作时水的流入量和流出量,将上述式子
整理如下:
[0065]
[0066] 上式中L(k)为当前时刻k的水位高度,相当于(1)中的x(k),L(k+1)为下一时刻k+1的水位高度,相当于(1)中的x(k+1),Qin(k)-Qout(k)为k时刻的控制输入,即u(k),作为结果,
状态方程的各个变量和系数为x(k)=L(k),x(k+1)=L(k+1),u(k)=[Qin(k),Qout(k)]T,A=C=1;
[0067] 步骤3,实施虚假数据入侵形式的内部攻击:图3给出了针对ICPS虚假数据入侵攻击的示意图,攻击者的目标是在传感器和控制器之间的通信链路上注入虚假数据值δ,篡改正常的传感器读数,欺骗控制器,δ的选择如公式(3)所示,根据攻击者水平可以发动不同数值的虚假数据入侵攻击。为了不被传统的IDS检测到,高水平攻击者设计了一种零警报攻击,考虑坏数据检测:
[0068]
[0069] 其中 为水位的预测值,α为检测器
阈值,α根据可容忍范围内的误报率来定义,显然的,攻击者目标就是保证 始终小于阈值α,因此,有如下攻击序列
[0070]
[0071] 其中ε是一个足够小的正常数,攻击者通过注入该攻击序列,保持残差为常值α-ε来对系统造成最大程度的破坏;
[0072]
[0073] 步骤4,残差指纹合成与应用:根据经验、设备特性与多次实验,得到过程噪声和系统噪声作为残差指纹统计模型(11)的输入,输出即为残差指纹;残差指纹模型生成步骤如图4所示,系统正常运行时,水位实际值、量测值、卡尔曼预测值以及残差指纹值如图5所示,可以看到水位实际值和量测值以及卡尔曼预测值之间相差不大,进一步的,残差指纹在正常运行下也没有明显的变化,只是在误差范围内
波动;
[0074] 考虑攻击者注入大数值的虚假数据δ=50,如图6所示,在采样时刻为200s时注入大数值的虚假数据,得到图6(d),(e)和(f),从图6(d)可以看出在200s时刻水位量测值和实际值有明显的突变,这是因为虚假数据的注入对控制器造成了欺骗,导致其接收到的量测值变为 如图6(e)所示。同时,图6(f)的异常残差指纹在200s时刻明显已经超过了正常的误差范围达到了检测阈值,可以直观的看出内部虚假数据欺骗攻击的存在;
[0075] 步骤5,采样方法:不失一般性,考虑高水平攻击者注入微小的虚假数据δ=5,如图7所示。比较图7(a)和(d)可以看到,在200s时刻注入的微小虚假数据使得真实水位有一个小幅的下移,这个变化在图7(e)中更加明显,但是在真实场景中真实水位值这个客观存在的值只能通过测量值间接得到,又由于误差和噪声的存在,仅仅通过测量值和真实值的变化是不能直接检测出内部攻击的存在。事实上,残擦指纹具有唯一性和
稳定性,任何的数据入侵攻击都会改变残差指纹。而然,注意到图7(f)的残差指纹,并没有明显的异常,其数值也没有达到检测阈值,因此仅凭图7(f)的残差指纹是无法说明攻击的存在的;
[0076] 为此提出公式(16)的采样方法,如图8所示分别在100s、200s、350s、450s时刻加入微小数值虚假数据。图8(a),(b),(c),(d)依次为在时刻100s,200s,350s,450s加入攻击下的残差指纹,可以明显的看到,检测到攻击的时刻比注入攻击的时刻提前很多,如图8(c)中,内部攻击是在350s时注入的,但进
过采样处理后在150时刻左右即检测到了攻击的存在。事实上,攻击注入的时刻和其被检测到的时刻有如下关系:
[0077] T=N+1-T′ (22)
[0078] 其中T为检测到内部攻击的时刻,T′为攻击注入时刻,N为原始采样时间。
[0079] 结合图5-8可以看出,无论是大数值虚假数据注入的内部攻击,还是微小数据的注入,所提的基于系统残差指纹的攻击检测方法,都能对其进行检测,充分说明了本方法对于内部攻击的有效性。同时,该采样方法也很好的提高了对于内部攻击的检测实时性。
