网络物理系统中负载变化攻击的建模与影响评估

可在www.sciencedirect.com在线获取理论计算机科学电子笔记353（2020）39-60www.elsevier.com/locate/entcs网络物理系统中负载变化攻击的建模卢卡·阿纳博尔迪1，2，里卡多·M Czekster3，CharlesMorisset查尔斯·莫里塞特5纽卡斯尔大学计算机学院Newcastle upon Tyne联合王国Roberto Metere4纽卡斯尔大学艾伦·图灵研究所Newcastle uponTyne，London联合王国摘要网络物理系统（CPS）存在于许多环境中，解决了无数的目的。 示例是物联网（IoT）或嵌入在电器甚至专用仪表中的传感软件，测量和响应智能电网中的电力需求。由于它们的普遍性，它们通常被选为更大范围网络安全攻击的接收者。这会造成全系统的混乱，针对一个关键方面，如保密性、完整性、可用性或这些特征的组合。我们的论文重点关注一个特殊的和令人沮丧的攻击，其中协调的恶意软件感染的物联网单元被恶意地用来同步打开或关闭高瓦数的设备，这是对电网的主要控制管理的破坏我们的模型可以扩展到更大的（智能）电网，活动建筑物以及类似的基础设施。 我们的方法针对包含各种类型发电厂的理论电网，对协调负载变化攻击（CLCA）（也称为GridLock或BlackIoT）进行了建模。它采用连续时间马尔可夫链，其中元素，如发电厂和僵尸网络在正常或攻击情况下建模，以评估CLCA在电力依赖基础设施中的效果。我们展示了我们的建模方法，在电力供应商（如发电厂）的情况下，僵尸网络 我们展示了我们的建模方法如何量化僵尸网络攻击的影响，对于涉及智能电网中的电力负载管理的任何CPS系统，都可以抽象。 我们的结果显示通过优先考虑发电厂的类型，攻击的影响可能会改变：特别是，我们发现最具影响力的攻击时间，并显示不同的策略如何影响其成功。我们还根据当前的需求和攻击强度找到最佳的发电机关键词：协调负载变化攻击，智能电网，负载平衡系统，连续时间马尔可夫链。1作者按字母顺序排列。2电子邮件：l. newcastle.ac.uk3电子邮件：ricardo. newcastle.ac.uk4电子邮件：roberto. newcastle.ac.uk5电邮地址：charles. newcastle.ac.ukhttps://doi.org/10.1016/j.entcs.2020.09.0181571-0661/© 2020作者。出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。40L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）391引言在评估关键资源基础设施时，网络安全是一个主要问题。恶意攻击和意外损害每年都在显著增加，因此了解它们会产生什么影响非常重要。由于电网的供需要求很严格，因此保持电网的供需平衡至关重要.在实践中，监管实体和实际维持平衡的实体取决于国家的政治，我们并不具体指它们，而是指称为负载控制器的网络物理系统（CPS）组件。每当需要增加或降低能源水平时，它可能会引发昂贵的响应，例如打开新能源或断开电网的区域。从历史上看，发电和需求是非常分离的;然而，这种情况正在发生变化，因此其相关的安全风险和可能的攻击也在发生变化，因此当前的缓解策略可能不再适用。负载控制器目前的作用是根据需求平衡能量供应，同时在欧洲将电流频率保持在50 MHz左右（或在其他国家，如美国、巴西和日本为60MHz）。针对电力基础设施的有组织攻击被称为协调负载变化攻击（CLCA），其中使用热水器或空调机组等高瓦数机组的同步连接或断开来造成能源供应中断。CLCA在这里被认为是黑盒子，即它们不需要广泛的知识，以电网操作的特殊性，以被采用。如果发生突然的尖峰或下降，例如几个设备的同步打开或关闭，它们会导致设备短路和断裂，造成损坏并降低电源的可用性。负载控制器可以轻松应对常见的不平衡情况，相应地调整能量流量;然而，突然的使用高峰可能会导致电网崩溃。恶意用户可以从这些情况中获利，因为他们可以感染大量的高瓦数设备，以协调行动，损害能源分配[10，11]。在本文的上下文中，我们对两种类型的系统感兴趣：一方面，我们考虑CPS[17，27]，即在从传感器到智能电网组件的各种设备中采用的具有有限资源（低功率、能量、处理或其他容量相关问题）的系统。另一方面，我们正在考虑大规模的基础设施，如智能电网，活动建筑，不同类型的发电厂（例如，太阳能或核能）和其他依赖电力的计划。我们特别关注它们的相互作用，即如何电源机制的反应，由于CPS的使用，以及影响一个对另一个。通过这个模型，我们可以观察智能电网的日常能源使用情况，并计算其应对胁迫的能力。我们建模的攻击者（或对手）试图利用CPS机制来降低可用性并造成损害;我们的模型捕获了成功和容忍的理论智能电网的各种不同类型的发电厂。L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）3941在这种应用环境中，有必要定义CPS及其角色。它由两部分组成，即计算部分与物理对应部分集成，两者都与其他CPS连接和通信以实现共同目标。例如，CPS可以是连接到心跳传感器组件的嵌入式系统，以从护理单元内的患者收集有意义的健康数据，或者可以是交换关于电力系统能量传输和分配的数据的智能仪表。这些基础设施通常包含超连接环境中的大量实体，部署这些实体是为了帮助用户提高生产力、瓶颈评估等。一般目的CPS在住宅、商业和工业环境中的存在是普遍存在的，因为许多供应商提供从智能家居传感设备到闭路电视的各种解决方案。CPS实施的简单性使其容易受到软件污染：例如，在高瓦数设备（如空调或热水器）中安装恶意软件。因此，它们是旨在破坏电网基础设施的协调攻击的自然接收者，因为同步事件可能导致过度需求或将电压和频率提高到不可接受的水平。这是特别令人不安的原因有很多，因为它可能会影响客户的整体能源成本，或者在极端情况下，导致医疗机构中可预防的伤亡这项工作的目的是评估不同的发电厂配置的运行特性，如冷却和维护时间以及类型（例如核电或太阳能电池板），帮助管理人员在设计电力系统时做出更好的决策，并通过选择更好的负载控制器配置来减轻这些攻击的影响。我们的模型还将显示混合不同发电厂类型的权衡，以抵御CLCA攻击，减少它们对基础设施的危险影响本文件的组织如下：第2节将讨论网络安全问题和相关工作。在第3节，我们将讨论我们的建模，我们的问题形式化和一个简单的模型。我们在第4节中解释了应用于CPS的网络安全模型。第5节将描述我们的结果和发现，在第6节中，我们将讨论最终考虑，模型扩展和未来的工作。2安全关切和相关工作CPS通常需要配备有无线或有线通信能力的有限资源机器。它们服务于不同的目的，可以部署在不同的环境中，以实现多种目标。在这项工作中，我们只对CPS的可用性及其在用作主动攻击的接收者时对整体用户（或客户）在性能评估研究中，可用性是用来推断系统质量水平以及容量规划的重要度量。针对可用性的攻击旨在耗尽资源能力，直到耗尽，从而导致处理消息时的延迟。CPS通常在被称为机器对机器交互（M2M）的状态下无监督地操作。涉及直接M2M的场景，没有人的监督，可以有几个安全的，42L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）39安全性的影响;攻击者更容易获得对设备的未检测到的访问，对这些系统的攻击需要更长的时间才能被检测到，并且设备行为不当（由于攻击者控制或其他原因）的可能性变得更加常见。这类系统的广泛流行引发了前所未有的（和廉价的）僵尸网络访问简而言之，僵尸网络是一个受感染设备的网络随着物联网的普及，访问大量设备变得几乎微不足道。这是由于缺乏适用于物联网设备的安全措施，以及易于访问BlackEnergy 6等工具的结果。该工具特别能够创建一个僵尸网络，该僵尸网络在2015年摧毁了乌克兰的大量电网。拒绝服务（DoS）是获得僵尸网络访问权限后的常见攻击选择。这些攻击针对可用性，旨在中断关键系统的服务。传统上，拒绝服务尝试是基于网络的，并且用于使通信信道饱和，具有虚假传输，以压倒活动节点，直到它们停止服务或开始异常行为。这些类型的攻击利用可能导致极端延迟的虚假请求来攻击目标，从而降低接收者的服务水平。这种服务中断的一个关键方面是将主动攻击和攻击性攻击与实际请求区分开来（即使对于大量的消息），公平地响应传入的消息。拒绝服务可以由各种技术引起，例如Ping Flood，Smurf Attack，SYN Attack，Buberger Over Smurf Attack和其他攻击技术。然而，最近，攻击者开始利用其他系统特定的方面，这种攻击不仅仅是试图破坏系统，而是利用特定的漏洞造成更难追踪的损害。利用特定漏洞的一个例子是对乌克兰电力负荷控制器的攻击，导致全国停电。然而，这不是一个孤立的事件：就在今年，类似的网络攻击被怀疑针对俄罗斯电网8。这些攻击的共同目标是由于突然的浪涌而在发电机这类攻击被称为负载改变分布式拒绝服务或网格冲击[10]，它们可能会导致机器损坏，断电和（因此）巨大的金钱损失（这种攻击的另一个名称是Flash攻击[15]）。在CPS中，为了取代用户的干预，更合理地调节功率，负载均衡算法被使用。负载平衡出租根据预期能源使用分配资源以优化消耗，专注于更有效地输送能源。然而，如果僵尸网络触发了大量意想不到的峰值，则可能导致资源浪费，甚至导致基本功能和真实用户的电力不足负载变化攻击不仅与电网有关，6吨。Birdsong和G.戴维斯更新的blackenergy特洛伊木马变得更强大，McAfee实验室，2018年3月 ， 在 线 提 供 ： https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/updated-blackenergy-trojan-grows-more-powerful/7公里。泽特在狡猾的，前所未有的乌克兰电网黑客《连线》杂志，2017年6月，可在线访问：https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/BBC News. 美 国 和 俄 罗 斯 就 电 网 “ 黑 客 攻 击 ” 发 生 冲 突 BBC 新 闻 ， 2019 年 6 月 ， 在 线 提 供 ：https://www.bbc.co.uk/news/technology-48675203L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）3943更常见于智能基础设施，如智能建筑和智能城市。其核心思想是具有自调节电源，可根据预期的消耗和负载调整能量水平。这意味着有针对性的攻击可能针对特定的公司或位置，以关闭电源并压倒负载管理系统。这些例子[10，31]表明，这种威胁不再是一种牵强的情景，而是一种非常真实的可能性。为了应对电力相关研究中的这些挑战，我们创建了一个随机模型，智能基础设施管理人员可以使用该模型来评估该系统上的威胁，并制定应对中断的对策。我们提出的建模方法观察僵尸网络攻击下CPS网格的不同控制机制对安全性的影响。特别是，我们展示了在不同设置下成功的可能性：第5款.2.1相关工作拒绝服务攻击一直是许多计算机网络中最常见和最危险的威胁之一。因此，检测它们[9]是执行有效反应所需的第一步。这些攻击变得更加危险，因为物联网在大量的频谱和生活的一部分中传播。有关安全问题的文献强调了针对物联网系统和CPS的类似DoS攻击场景[3，18，28，8]随着互联网环境的不断变化，攻击者开始关注系统的特定漏洞以优化其攻击。 Liang et[18]，展示了对物联网场景的简单分布式拒绝服务攻击，然而，他们已经证明，如果攻击的结果传播到CPS，可能会产生巨大的影响。在他们的工作中，罗曼等人，2013 [28]提到了这些类型的系统如何设置的关键特征可能会导致安全问题。智能基础设施中存在的独特特性可能使其容易受到新的攻击途径，例如电池耗尽和新型DoS。这些新的挑战引起了安全专业人员的关注，例如他们的特定系统可能会受到哪些安全漏洞的影响，以及它可能会产生什么影响Dabrowski等人提到了负载变化攻击，2017年[10]。在他们的工作中，作者讨论了一个模拟的影响，负载变化的电源管理。他们的攻击是基于这样的事实，即当运行电网时，供应商必须持续保持供应之间的平衡（即，发电厂的生产）和需求（即，功率消耗）以维持电网的50/60 Hz的标称频率。他们的Matlab仿真表明，这种平衡很容易被僵尸网络攻击打破。通过他们的电力分析，他们还估计了破坏一个国家电网所需的设备数量。这项工作是第一个表明可以对发电厂进行潜在攻击而无需操纵控制本身，而只需通过外部设备活动。我们所提出的方法从这种外部干扰中获得灵感，但将其扩展到任何电网的表示。此外，我们的模型不使用模拟，而是使用马尔可夫求解器（PRISM工具）中的模型检查功能来评估这些攻击者对44L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）39模型系统。另一项研究僵尸网络协同攻击和电网中断的工作是由Soltan等人完成的，2018年[31]。他们的工作引入了通过物联网按需操纵（MADIoT）的概念，通过模拟，他们展示了高功率设备的外部干扰如何导致中断和停电。他们已经证明了电力供应和需求之间的相互依赖性这些类型的攻击是我们工作的核心重点，然而，Soltan和他的同事专注于攻击的模拟。相反，我们希望从潜在供应商的角度量化这些攻击的含义。通过模型检测，我们可以研究攻击是如何影响电力系统的，我们可以调整它来更好地调整，准备或响应这些攻击。连续时间马尔可夫链（CTMC）模型已成功用于模拟对各种系统的攻击[2]。Baumann等人， 2012[5]，利用CTMC在理论网络上对Flooding DoS进行建模。通过他们的模型，他们能够显示攻击对系统吞吐量的影响，并评估其效果。他们还可以对不同的DoS率和场景执行安全检查。 在Arnaboldi Morisset，2017 [2]中，这一概念向前迈出了一步，为CTMC捕获物联网系统上的DoS攻击建模。该模型能够量化DoS攻击的几种影响，包括它们如何影响系统中的其他组件，以及建议最佳系统设置。这两项工作都证明了CTMC对设备系统的建模攻击的灵活性。我们提出的建模方法使用类似的方法来建模设备系统并观察攻击的影响，但不是专注于一般的消息传输，而是关注负载平衡和电源管理的特殊问题。Norman等人在2005年[22]在该领域的先前工作中使用PRISM来观察运行时策略，以实现系统性能和功耗之间的权衡。我们的方法扩展到查看攻击者对这些平衡策略的影响针对智能电网上的协同网络攻击背景，Moya Wang，2018[20]开发了适用于识别这些中断的相关指数。Sun等人，2016[34]提出了协调网络攻击检测系统（CCADS），该系统受到IDS概念的强烈启发，并对网络安全电子商务带来好处，以减轻智能电网中此类干扰的影响2.2威胁模型我们正在假设我们设计的对手已经非法访问了大量物联网设备并形成了僵尸网络。使用这个僵尸网络，我们设想的攻击者通过过量的能源使用来瞄准智能电网基础设施，并导致损坏负载控制器的尖峰。当发电厂经历非常高的负荷时，它将采用三种缓解控制中的一种，一级、二级或三级[10，31]。L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）3945(i) 主控制将负荷分配给附近的其他发电厂(ii) 如果满足标准，二级控制(iii) 三级控制从以前的主要和次要控制中释放资源。最具破坏性的目标是主要控制，因为打开和关闭更多的工厂是昂贵和耗时的。攻击的目的是不断触发主控制，从而造成最大的损害，包括应变对涡轮机和机械造成的潜在损害进一步考虑到这一点，电力供应商不断地平衡供应的频率。突然的尖峰可能会显著改变频率，足以激活发电厂的安全机制，使其脱离电网。这可能导致停电和中断。一个聪明的入侵者可以选择何时同步打开僵尸网络。如果她控制了足够多的设备，她可能会引起一个高峰，使供应商脱离。为了获得最高的伤害，攻击者需要确保她会造成一个尖峰;但是根据当前的使用情况，这可能会发生也可能不会发生。如果攻击者控制了一小部分设备并将它们全部打开，但这些设备由于预期的日常使用而已经在运行，则尖峰可能不会发生。也许与直觉相反，根据日常使用情况，在较低的使用时间（如下午三点左右）触发尖峰可能会造成更大的破坏，从而造成最大的破坏。峰值的效率还将取决于提供能量的供应商的类型。 如果一个核供应商被下毒，为了恢复，天然气发电厂有更高的调整率，因此对这些攻击更具弹性。在我们的模型中，我们模仿水电，天然气和核电的响应行为。我们在英国建立了需求借贷实际值9的攻击者在一天中的每一个小时都被建模（当时的平均用电量），我们计算攻击的成功率和影响率3模型马尔可夫链（MC）是一种强大的建模形式主义，用于描述具有简单原语的系统的行为特性[23]，由数学家Andrey Markov在20世纪初提出然而，它们并没有出现在时间共享系统的上下文中，如果不是在1960年中期，为了可扩展性的目的[29，32]。MC背后的思想是抽象一个系统，只使用状态，转换和速率或概率来建模行为。马尔可夫系统的解决方案通常采用直接或迭代求解器，产生状态持久概率。可以对随机性表示很重要的情况进行建模;多年来，这已成功应用于不同的领域，例如92019年9月27日英国各地的需求46L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）39经济、音乐创作、信息检索和生态学。尽管它们很强大，但一个已知的问题是，基于并行MC的方法如何容易地结束一个具有数百万个状态的棘手模型。这个问题被称为状态空间爆炸，其中即使是小的系统（例如，具有两个有限容量队列的系统）也可能显示出不可管理的状态数量。缓解状态爆炸的一种方法是采用结构化的替代方案，这些替代方案仍然与底层MC一起工作，从其建模能力中获利，并与更大的模型一起运行。采用约简策略的形式主义的例子是随机网络（QN）[33]，随机Petri网（SPN）[19]以及更多的模块化网络，如性能评估过程代数（PEPA）[14]，叠加广义随机Petri网（SGSPN）[12]和随机自动机网络（SAN）[26]，仅举几例。值得一提的是，一些方法在彼此之间共享许多构造，诸如模块的概念，例如，PEPA中的进程或SAN中的自动机（从非常抽象的角度来看）。目前的工作旨在采用反应模块[1]对基于CPS的环境进行建模，反应模块[ 1 ]是PRISM工具[16]中使用的建模方法。该软件是用于验证的概率模型，建模者可以从不同类型的概率模型中进行选择，例如连续时间马尔可夫链（CTMC），离散时间马尔可夫链（DTMC），概率自动机（PA），概率时间自动机（PTA）和马尔可夫决策过程（MDP），并扩展到具有成本和回报的模型。一个图形用户界面指导建模时，建立和分析模型，有趣的功能，如路径分析，系统属性，稳态和瞬态概率的计算，以及用于模型调试的模拟器它还允许定义符号变量，并结合在间隔和步骤下操作的实验，从而简化分析。在内部，它采用诸如Power、Jacobi、Gauss-Seidel方法（以及其他方法）等用于CTMC和DTMC的求解方法欲了解更多信息，请参阅PRISM网站10. 对于前面提到的建模可能性，PRISM允许直接将模型分解为所谓的模块，其中用户采用原语，如全局变量，状态转换，具有相关联的速率的函数、分配给状态的公式（例如，观察其他模块中的局部状态或其他期望行为的函数）等等。3.1连续时间马尔可夫链CTMC是一个具有马尔可夫特性的随机过程[23]，也称为无记忆特性，通常定义为：P[X （ tk ） =sk|X （ tk−1 ） =sk−1 ， . . .， X （ t0 ） =s0]=P[X （ tk ） =sk|X（tk−1）=sk−1]，其中{X（t）|t ∈ R0}是随机变量，X（t）是时间t的观测值（例如，X（t）对应于时间t时的系统）。 无内存属性处理在一个特定的国家，访问下一个国家的决定不应该考虑到图10PRISM：概率符号模型（Probability Symbolic Model），在线https://www.prismmodelchecker.orgL. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）3947Σ考虑先前访问状态的集合，例如，到目前为止的过去是不相关的。CTMC与标签变迁系统（LTS）有相似之处，但它的变迁是用指数分布（无记忆）的延迟或速率而不是标签来装饰的。另一个区别是在LTS（也称为Kripke结构或有限自动机）中，转换上的标签允许非确定性建模，由于其高度的可扩展性和适用性，它是形式验证中使用的强大形式主义[13]。CTMC假设可预测状态，其中时间根据速率集的选定值连续演变[16]。形式上，CTMC由元组（S，s0，R，L）组成，其中• S是问题的状态空间，即，由用户建模的状态的有限集合，•s0∈S是初始状态，• R：S×S→R0确定模型的转移率矩阵，• L：S→2P是P中原子命题的标号映射状态.如果多个状态具有不同速率的正在进行的转换，即R（s，sJ）>0，则发生竞争条件，其中具有最小值的转换（根据指数分布的概率）首先被触发。中所花费的时间一个状态由指数分布givenyE（s） =s′R（s，sJ），其中E（s）是状态s的退出率和在[0，t]equalsto1−e−E（s）t内离开状态s的概率。CTMC包含称为嵌入式DTMC的离散时间对应物，其使用转换速率矩阵元素和E（s）来计算，即，将每个单元元素除以E（s）。 CTMC的所谓无穷小生成元Q是一个矩阵S×S，其非对角项与R中的相同，对角项为这样定义，Q的每一行的和等于0。jR（s，sJ）s sJQ（s，s）=-否则，则为R（s，s，J）。斯堪的纳维亚s′这涉及到CTMC的代表性及其业务意义。在解决方案方面，它对应于将初始概率向量（它可以从等概率值开始）π乘以Q，直到达到平衡，即， πQ= 0。 如果系统已经达到收敛，则表示模型的稳定状态，否则，它发散，并且应该采用诸如瞬态分析之类的其他技术来代替。稳态产生每个状态的持久概率，代表系统在长期运行后的行为，即，其静态行为。如前所述，PRISM的灵感来自于反应模块的形式主义，作为建模的分解方法。它包括为每个模块设计较小的CTMC，然后使用公式定义转换函数，以及模块之间对于解决方案，它结合了所有模块的局部状态空间PRISM配备了几种数值方法（Power，Jacobi，Gauss-Seidel和许多其他方法），模拟或，取决于48L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）39模型的易处理性（由于状态空间爆炸），通过属性的模型验证或概率模型检查。3.2问题形式化我们通过定义一个小订单CTMC来证明我们的主要思想，当我们将其扩展到发电厂，负载控制器和僵尸网络时，它将指导我们的过程。我们在这里使用一个非常小的状态空间，解释我们的初始状态，一些可能的转换以及我们实际上所说的攻击。在我们的模型的简化视图中，我们具有单个发电机（PG），其可以处于三种状态SPG：（i）可用（a），准备好向电网供应但尚未产生能量，（ii）产生（g），当前向电网提供能量，或(iii) 重启（r），脱离电网，不发电，也不供电，需要重启。SD中的状态对在平均预期水平m（对于中等）加上或减去小增量处加载电网的需求D进行建模，由两个附加状态l（对于低）和h（对于高）建模。攻击者B是一个控制大量受感染设备的僵尸网络。它在SB中的状态被简单地建模为0，当受感染的受控设备都处于关闭状态时，或者当这些设备处于打开状态时，为1。SPG={a，g，d}SD={l，m，h}SB={ 0， 1}在第二节中介绍的符号之后。3.1中，与该简化模型相关的CTMC被定义为元组（S，S0，R，L），其中S=SPG×SD×SB，并且s0=（a，m，0）.速率矩阵R是一个维数为|S|其条目除了对应于我们建模的转换的条目之外为零。因此，例如，给定wo状态si和sj，则转换速率rij是我们期望从si到sj的转换发生的平均时间单位。L中的标签将有效命题与状态相关联：我们将它们与期望的属性相关联。特别地，我们将系统中的当前需求高于当前供给的所有状态标记为正如读者可能注意到的，发电机的控制器没有出现在状态中。这不是因为存在单个PG，而是通过建模选择，需要参考具有多个PG的更复杂的系统来说明。我们模型的基础如图所示。1 .一、我们的目的是模拟僵尸网络（B），以控制发电机的设置，让它们关闭或分离。在系统的正常操作状态下，PG可用，然后生成或断开。需求在中间值m处运行，在一段时间内变为低需求或高需求。控制器规定了电网的响应，以防出现需求过剩。这是一个确定性的过渡，试图在网格中创建一个平衡。在没有攻击者的系统中，两个不同的控制器可能以相同的方式行为，但是在攻击下，L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）3949PG1Spike僵尸需求第2页低脉冲控制器1平均...或PGn控制器高2(a)控制者和攻击者之间的攻防博弈。(b) 同一电网的不同控制器策略Fig. 1. 控制器和攻击者在我们的问题形式化细粒度的过渡角色一个PG（a）和粗粒度到具有多个PG的整个系统（b）。我们注意到，攻击不是直接对发电机从发电到供电的过渡进行的，而是通过尖峰过需间接引起的。控制策略确定如何有效地重新平衡负载。我们将最优控制器策略定义为使系统处于过度供应或过度需求状态的时间最小化的策略。决定控制器的有效性的是PG的响应性，即控制器决定需要打开PG以满足需求，如果PG是非常慢的PG，这将导致大量的运行时间。通过对不同的控制器策略进行建模，可以很容易地想象，可以针对特定的攻击和特定的负载选择最佳控制器。不那么琐碎的研究问题是，是否可以找到一种最佳策略来优化特定电网或CPS的电力供应。我们调查这个问题，通过建模的电源在秒。3，并查看三种不同的控制器策略如何影响尖峰僵尸网络攻击的效率。我们可能会有一组PG（核能，天然气，电力，风能等），其中Spike僵尸网络参与攻击-防御游戏，粗略估计控制器的状态，以指导何时打开或关闭设备。3.3能源供需交易模型我们的工作重点是对能源供需平衡进行建模。为了这样做，我们创建了三个实体：i）供应商，模仿通常附接到电网的不同类型的工厂的发电机，ii）消费者，被建模为每小时能量需求的平均值，它们也经受随时间的正变化和负变化，以及iii）尖峰僵尸网络，大量受损的IoT设备，它们可能被认为是高瓦数设备，诸如可以同步打开或关闭的热水器或空调，它们产生使电网不平衡的突然的能量减轻干扰的一种方法是采用甩负荷或联络线跳闸，这些技术用于忽略传入的请求，以保持完整性并避免损坏[11]。需求供给贸易的建模方式如下：可用关生成控制器1Spike僵尸发电机50L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）39PG慢速过渡SupAttA SD一–00OS0.50050OD0.25 0–0O一–12000对S0.50120050对D0.25 0–0对PG Fast过渡SupAtt一SD一–120000OS1200–050OD6000–0O一–12001200000对S1200–12000050对D6000–0对将有一定的能源需求，供应商将需要打开，以满足需求。然而，如果僵尸网络成功地摧毁了PG，将会出现暂时的供应不足的情况。为了满足需求，需要更多的PG提供能量。它们的反应受到若干限制。首先，PG需要一些时间才能完全发挥作用，特别是如果它突然脱离电网;有些相当快，而其他人预计会慢得多，如核电站。其次，PG的数量是有限的;如果僵尸网络在无法将自己重新连接到电网的情况下摧毁了足够多的PG，那么供应商将无法满足需求。第三，无论有多少PG被取下，在峰值需求时，电网可能只有很少的备用资源，因此如果一个PG在晚餐时间的18：00被取下，影响可能是整个电网的停电我们在图2中的两个场景（场景A和场景B）的玩具示例中展示了这种平衡，其行为与预期的一样。在这个案例研究中，我们展示了两个不同因素的影响，即对需求的响应和需求的大小，每个因素都被放置在低需求场景和高需求场景中。这两种情况最初都能够满足需求，因为有大量可用的PG;然而，它们对僵尸网络攻击造成的负载做出不同的反应表1在场景A-（1/2）中，PG如何与攻击者交互。状态为：A-可用，S-正在服务，D-断开连接。Sup，是四个PG中的一个PG的供应，Att是Spike Botnet是否打开。需求固定在120个单位。这些值表示状态从一个状态转换到另一个状态的速率（如果为0，则转换在场景A中，我们对高负载下的两个系统A-1和A-2进行建模。A-1有非常敏感的PG（如天然气厂），而A-2有较不敏感的PG。我们展示了在具有更快响应速率的系统中，系统处于过度需求的时间要低得多。另一方面，由于缓慢的启动时间，在第二系统中，过度需求的时间将高得多在场景B中，我们对另外两个系统B-1和B-2进行建模，每个系统都显示了相同数量的PG，但是B-1的需求很高，而B-2的需求很低。我们表明，当系统处于高需求时期，攻击者更有可能破坏电网，而不是在低需求时期。该方案与方案A-1的值匹配，但需求在B-1和B-2之间从50更改这个案例突出了如果Spike僵尸网络以电网为目标可能发生的不同情况，在我们模拟真实世界场景的电力使用的深入实验中，我们进一步研究了各种不同类型的PG，如天然气和太阳能发电厂。L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）3951案例分析-需求过剩的可能性百分百百分之九十百分之八十百分之七十情景A-1（慢速PG）情景A-2（快速PG）场景B-1（低负载）场景B-2（高负载）图二、 在我们的案例研究场景中，电网对僵尸网络峰值的反应3.4Power–Energy在能源术语中，机组组合（UC）[24]试图找到可用发电资源的最低成本分配，以满足电力负荷。在过去，设想了不同的策略来处理UC相关问题，例如模拟退火[30]、动态规划优化[25]、粒子群[35]、遗传算法[36，21]或这些和其他技术的组合。UC是能源中的一个相关问题，因为需求/供应要求通常不确定。我们有兴趣在这里以抽象的方式与UC合作，代表CPS或智能电网的供需。有几种发电资源可供能源管理者使用，如核能、热能（使用煤炭、天然气或石油等化石燃料 在决定开启哪个发电厂时，几个决策变量起作用，例如发电水平（以兆瓦为单位，MW）和必须开启的发电机组数量。发电厂采用不同的技术来产生能量，例如，基于核能另一方面，诸如太阳能电池板的其他源具有与例如风力涡轮机的那些不同的维护特性。最后，当被破坏时，每个系统将涉及不同的资源和设备，这意味着更长的时间不产生能量，从而影响整个电网。关注的另一个来源是针对可能存在于一天中的每小时波动（在此可互换地用作浪涌或峰值）这些如果供需差异大于或低于特定阈值（由能源运营商定义），可能会对电网和/或其涡轮机（如果使用）造成严重损害，甚至有时会造成影响预计能源产量的永久性损害。我们的模型捕捉到了所谓的电网突然浪涌，在那里，受感染的高瓦数电器同步其操作以触发中断。图3示出了英国的每日能源使用量按比例缩小到大约其1%（例如格拉斯哥52L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）39于2019年缩小到大约1%以简化模型11 .第11话特定的日子我们注意到，我们缩小了数据，以允许模型中的状态空间更小图三.英国的使用数据，在2019年9月27日星期五的24小时内缩小到约1%，以兆瓦为单位图3突出显示了预期的使用趋势，在早餐和晚餐等时间的电力需求更多，而在（大多数）人睡觉时急剧下降这些都是已知的趋势，因此电源是为了迎合他们。值得注意的是，负载是以这样一种方式分布的：如果在线路上的任何一点上有合理的预期消耗增加，负载控制器将能够处理它。这个容差值是攻击者为了引起中断而必须超过的值，也许是意外的，这意味着意外的高于正常的使用比仅仅是大规模使用更具破坏通过我们的模型，我们强调了这一点，表明最具影响力的攻击时间（因不同的发电厂而异）可能不是最常用的攻击时间在我们的设置中，我们正在处理一个负载平衡系统，该系统试图保持平衡以将频率保持在50 MHz;这是通过平衡需求（由用户打开其设备（无论是哪种设备）产生）和供应（满足需求所需的发电机组）来完成的。 我们将这种平衡与控制策略相结合，我们模仿管理者的决定，在特定时间提示哪个发电机以应对需求。这些决定解决了这样一个事实，即在浪涌或尖峰情况下，如果在正确的时间采取正确的措施，就有可能提高安全级别，以防止这些类型的中断。有很多方法可以找到合理的混合形式，随时打开或关闭电源，一个常见的策略是使用贪婪算法进行选择。这些算法的核心在于，应该尽快部署快速反应，因此应该打开下一个可用的发电厂，为基础设施增加电力，以便它能够相应地处理需求11原始数据可从英国的平衡机制报告服务在线获得[6]。L. Arnaboldi et al. /Electronic Notes in Theoretical Computer Science 353（2020）39534应用于CPS的在前几节中，我们从一般的角度讨论了这个问题。在我们的实验中，我们专注于一个涉及发电机某种现实实现的场景，我们采用了英国特定一天的实际需求。对于这里讨论的模型，由于我们的网络安全问题所需的动态，我们对使用CTMC感兴趣。我们的模块如图4所示：它们由发电机PG（核能N、水电H和天然气G）、需求D组成，对支持阈值进行建模，以尝试承受中断情况下的需求。- 控制器C，其预先选择使用哪个发电机，接下来是根据设计决策，最后是一组物联网设备I（图中的Spike Botnet），象征着在对手控制下受感染的高瓦数组件。这些选择是为了突出各种模仿现代智能电网的设置。我们认为每个PG都有其独特的设计可能性，通常以不同的方式处理高能量负载。对于我们的特定案例研究我们感兴趣的是PG的不同优先级如何潜在地影响应对攻击的可用性。在图4中，我们采用了一种定制的符号来表示我们的建模选择，例如，初始状态用小的点，而速率显示为装饰某些过渡的文本描述（例如，慢、快等等）。见图4。 模型和PRISM模块，代表核电、水电和天然气发电;和预期值的变化;我们设计的攻击者控制了系统设备的百分比。所有PG在准备供电时处于可用状态，在向电网供电时处于发电状态，或在不在线时处于不在线状态。我们增加了一个模块控制器，以应对支持的变化，参数化以承受±1% W的增加或减少。最后，受感染的设备（僵尸网络