物联网和网络物理系统2(2022)203对网络物理系统中的内部攻击进行深度防御宁喜荣,姜进*电子计算机工程系,西安大略大学,伦敦,安大略省,N6A 5B9,加拿大自动清洁装置保留字:网络物理系统安全跨层检测抗攻击控制A B标准在基于物联网(IoT)技术构建的网络物理系统(CPS)中,每当测量和控制信号通过网络和物理系统之间的通信网络传输时,它就可能成为对手的目标如果对手是内部人士,问题就变得特别严重在这种情况下,单层防御可能不够强大,因为很难评估内部攻击者对物理和网络系统配置、通信网络/协议及其各自漏洞的了解程度因此,至关重要的是要有一个可靠和故障安全的防御体系结构,以抵御潜在的攻击者。本文提出了一种多层纵深防御方法对于具有合法访问权限的内部攻击者来说,第一道防线(例如访问控制)可能已经受到损害。鉴于这一事实,本文件的重点是检测和缓解。数据驱动和基于模型的技术都被认为可以捕获隐形攻击并阻止它们。然后可以部署有效的缓解技术,以尽量减少不利影响。为了证明这种设计理念和验证所开发的方法的有效性,基于工业级通信网络和物理传感器的实验室规模的网络物理系统平台已被用于验证。1. 介绍在物联网(IoT)领域的网络物理系统(CPS)上的不同类型的网络攻击中,内部攻击通常是最难防御的,因为内部人员不仅拥有连接系统网络和物理部分的网络的特权知识,而且还可以通过其授予的特权合法访问网络这使他们成为最危险的攻击者之一内部攻击者可以潜入并以隐蔽的方式进行攻击,而不会触发任何警报以逃避检测,或者在损害已经发生之前延迟检测和保护系统的响应对于安全关键型CPS,通过快速检测和有效缓解来中和所构成的线程来维护物理系统的安全是至关重要的[1]。网络物理系统的安全漏洞在参考文献中讨论。[2]从跨层的角度看。参考文献[ 3 ]中也研究了入侵检测方法,以监控网络流量中可观察到的异常。然而,对于内部攻击者来说,传统的拒绝访问技术不再有效。必须采取更强大的多层安全措施来提供必要的保护[4]。一般而言,针对网络攻击的防御性保护机制可以分解为三个层:(a)预防,(b)检测和(c)缓解。攻击预防旨在通过多种方法的组合来降低攻击的可能性,例如设置安全边界、防火墙和安全限制。 这些都是作为网络配置的一部分完成的。 在系统操作期间,可以使用基于数据和基于模型的方法实时在线检测网络攻击。前者不依赖于系统模型。 通过交通数据模式分析和识别技术[5]、基于知识的方法[6]、机器学习[7]和数据融合算法[8]来检测异常。这些技术从观察到的数据中寻找与潜在攻击相关的隐藏模式。然而,通常需要信息丰富的训练数据集来针对各种攻击场景调整这些另一方面,基于模型的方法基于反映无攻击操作和不同感知攻击场景的系统模型这些模型可以通过图论方法[9]、博弈论方法[10]、物理水印[11]、基于代理的检测方法[12]、状态估计技术[13通过比较模型生成的预期(无攻击)输出和实际测量的系统响应,* 通讯作者。电子邮件地址:jjiang@eng.uwo.ca(J. Jiang)。https://doi.org/10.1016/j.iotcps.2022.12.001接收日期:2022年10月6日;接收日期:2022年11月30日;接受日期:2022年12月8日2022年12月16日网上发售2667-3452/©2022作者。由爱思唯尔公司出版我代表科爱通信公司,公司这是一个在CC BY-NC-ND许可证下的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表物联网和网络物理系统期刊主页:www.keaipublishing.com/en/journals/X. Ning,J.Jiang物联网和网络物理系统2(2022)203204●●●●●●ð Þ2所得到的残差可以用于预测攻击的可能性。然而,大的残差也可能由其他因素引起,即模型不确定性、噪声、干扰,甚至某些系统组件的随机故障。此外,富有的内部攻击者可能会利用他们对系统模型的了解来掩盖他们的行动轨迹,以保持他们的攻击隐蔽性。因此,在决策过程中应考虑这些因素,以便采取有效的检测和缓解行动。一旦检测到违反安全规定或异常情况,必须立即采取保护措施以限制损害。随后,还应立即采取缓解行动,以尽量减少对系统的不利影响。可以部署预先设计的缓解行动。这些技术可以基于博弈论策略[18]、弹性控制[19值得一提的是,文献中的大多数现有缓解技术都集中在网络安全上。 在CPS中,缓解方案的主要功能是保持系统的物理部分安全,因为对手的共同目标是通过网络手段避免物理损害。目前的工作主张这样一个事实,即网络物理系统应该在其整体控制系统中嵌入足够的攻击弹性能力,以便在受到攻击时保持物理系统的安全。简而言之,应该使用整体方法来开发有效的深度防御策略,利用所有可用资源来构建针对攻击的多层防御为了实现上述目标,在这项工作中研究了以下两个方面:(1)提出了网络层和物理层的跨层攻击检测方法;以及(2)开发了缓解方案,以通过弹性控制在存在不可预见的攻击的情况下保护物理系统本文报告的工作通过开发专门用于检测内部人员的隐形攻击的技术并设计相应的缓解策略来直接解决上述问题。研究了基于模型和基于数据的技术,以形成深度防御保护机制。此外,开发的技术已经在现实的网络物理系统环境中使用工业级通信系统和传感器进行了评估本文的其余部分组织如下。在第二节中,本研究试图解决的问题和调查的范围,并常见的内部攻击模式也进行了描述。第三节着重于数据驱动和基于模型的检测技术的细节随后,第四节解释了使用弹性控制方法的缓解策略。通过第五节中的硬件信息物理系统案例研究,第六节中的结论,证明了所开发方法的有效性。2. 问题陈述和潜在内部攻击在网络物理系统中检测网络攻击可能是一项复杂的任务,因为系统的网络和物理部分之间的潜在攻击者的接入点数量庞大此外,物理系统的动态特性可以被用作发动攻击的伪装。为了关注攻击检测和缓解的关键问题2.1. 假设由于这项工作的重点是信息物理系统的相互作用,物理系统被假定为线性时不变的一个已知的动态模型。内部攻击者可以轻松地渗透第一道防线,通常是防火墙和/或黑名单的形式。假设内部攻击者能够拦截通过连接物理传感器和基于计算机的控制器的通信网络传输的数据在通信网络受损的情况下,攻击者可以通过注入虚假数据或重放预先记录的合法数据作为潜在的攻击模式来篡改传输的数据包,即,spoof攻击。所有攻击本质上都是恶意的,并且如果没有及时采取适当的反措施,则物理系统中的一些关键安全相关变量可能被赶出安全操作区域,从而导致对物理系统的灾难性损害模型的不确定性,噪声和其他干扰的影响没有单独考虑。在决策阈值设计中考虑了它们的累积效应。这种方法的合理性在于,成功的攻击将对CPS产生比上述任何因素都大得多的破坏。2.2. 内部网络攻击的模式了解物理过程的动态行为,内部攻击者可以通过两种方式进行隐形攻击[26]。一种是通过虚假数据注入(FDI),这涉及以逃避异常检测机制和欺骗控制器的方式修改测量数据。另一种使用所谓的重放攻击,即通过通信网络重放先前记录的“合法”数据序列,以欺骗控制器执行对物理系统造成损害的命令。无论使用哪种攻击技术,攻击者的主要目标都是在整个攻击过程中尽可能长时间地躲避检测并保持隐身因此,要设计有效的防御机制,重要的是要了解网络物理系统交互的性质,并识别潜在的漏洞和情况,潜在的攻击者可以探索发动攻击。2.3. 问题陈述鉴于成功的攻击可能带来灾难性后果,必须尽快发现和查明任何攻击的来源。一旦发现,应立即启动适当的缓解程序,以保护物理系统的安全本研究的具体目标是:(1)通过使用数据驱动和基于模型的方法,研究在网络传输期间针对传感器数据的虚假数据注入(FDI)和重放攻击的攻击检测技术;(2)设计有效的缓解策略,以应对来自个人的交易安全攻击;(3)在两种内部攻击场景下,在实验性网络物理系统测试床上3. 检测内部攻击根据第二节中概述的假设,系统的物理部分可以描述如下:xk1AxkBukykCxk~ykCxkayk( 1)其中,xk2Rn是系统状态变量,uk2Rm是应用于物理过程的控制信号,yk2Rp表示实际传感器测量值,攻击向量yk2Rp表示对通过将物理传感器连接到数字控制器的网络传输的传感器数据的攻击,并且y~kRp表示通过网络接收到的传感器测量值,其可能受到损害。 A、B和C是适当维数的系统矩阵,k2 f 0; 1;···;Ng表示样本数据索引。异常检测方案使用接收到的传感器数据y~kk和X. Ning,J.Jiang物联网和网络物理系统2(2022)203205ð Þð Þ ð Þ ð Þð Þð Þ ð Þð Þð Þð ÞNðy ðj Þ-CiÞC¼ Xyj第1页在网络侧的控制信号uk,以检测潜在的不规则性。 为了欺骗检测方案并保持攻击的隐蔽性,攻击者可以逐渐发起攻击以避免触发系统变量的突然变化。 这会进一步增加检测和后续缓解的难度。由于CPS的闭环反馈性质,无论攻击是对传感器测量还是对致动器的控制信号发起的,影响最终将出现在系统输出序列中:y0;y 1;y k。因此,系统输出应该是攻击检测方案所使用的最有效的信号假定在时间k,通过网络接收的系统输出序列可以表示为:Y~k~y1k;~y2k;;~ynk(2)攻击检测方案的目标是尽可能快地确定Y~0;Y~1;Y~k中是否存在异常攻击。检测机制可以位于物理和网络零件. 跨层攻击检测方案形成了如图所示的深度防御机制。1.一、检测任务被连续地安排以最小化潜在的遗漏检测。第一层(D1)是网络入侵检测,以防止外部入侵者。就内部攻击者而言,由于他们被授予了网络访问权限,人们不得不假设这道防线已经受到了损害侦查任务落在后续各层。第二层(D2)集成来自系统的网络和物理部分的数据。可以利用信息物理网络中传输的数据流和支配该过程的固有物理规律来增强检测的有效性。这一层依赖于数据分析和模式分类。第三层(D3)包括一个基于模型的方法,利用物理过程的分析知识进行攻击检测。上述三重跨层检测方法提供了多样性和冗余性,以降低错过检测的可能性虽然D1通常是阻止外部攻击者的优秀屏障,但不幸的是,它对内部攻击无效。因此,在本工作的其余部分中,将注意力放在层D2和D3上。3.1. 数据驱动的攻击检测技术D2采用了数据驱动的基于聚类的检测方法该方案的流程图概括在图2中。它从无攻击条件下的测量数据收集开始,图二. 数据驱动攻击检测方法(D2)的流程。数据来训练聚类算法。聚类算法以簇的形式将数据划分为若干组。在一个集群中,数据共享类似的底层模式。离群值被定义为不属于预定义聚类的数据。在完成训练时,聚类算法将在操作期间实时处理测量数据,并将它们分类到与物理系统的特定操作状态相关联的适当子集中。使用这些集群,可以检测到潜在的攻击检测算法可以进一步详述如下:设N是从测量输出y k进行的观测的总数,l是聚类的数量,m是聚类中的测量的数量,C i是聚类i,并且y j是在时刻j的观测向量。攻击检测方案中不同步骤的逻辑进展可以总结在图中。 二、3.1.1. 聚类提取此步骤的目的是获得所考虑的特定系统的聚类算法的相关参数对于第i个测量信号,两个重要参数被确定为簇的质心Ci和半径Ri1我N第1页 vut1XN其中质心Ci表示数据序列i中所有测量值的平均值,Ri表示所有测量值到其质心Ci的平均距离。Fig. 1. 跨层检测,形成纵深防御。3.1.2. 聚类分类在分类过程中,测量数据被分类为l个聚类。 在每个集群中,数据共享类似的基本模式。在每个聚类中,测量值和质心之间的欧几里得距离可以计算为:(4)第一章:然后可以通过将该距离与聚类的半径Ri进行比较来识别离群值。离群值是指不属于任何预定义聚类的值。导致异常值的事件可以被标记为潜在攻击的可疑事件。Ri¼N(三)X. Ning,J.Jiang物联网和网络物理系统2(2022)203206令x_k_k_k是CPS的物理部分的状态估计,●●b¼●ðþ Þ●B~B我知道了Þþ ð ÞÞð ð-Þ þ ð ÞÞk-k.¼●3.1.3. 检测攻击检测算法评估聚类并提供两个类别的二元决策:聚类1表示正常操作条件,而聚类2被认为与可能的攻击相关联3.2. 基于模型的攻击检测技术基于模型的攻击检测技术被用于构建第三层D3,其利用系统模型的知识来检测异常。 该方案包括一个基于卡尔曼滤波器的状态预测算法和一个累积和(Cumulative SUM)残差估计过程。该层的基本思想如图所示。3.第三章。它由三个步骤组成:状态预测,残差生成和残差评估以检测异常。存在攻击。估计器的动态可以表示为如:xak1AbxakBukL~yk1-CAbxak-CBukbyk1其中τ是反映攻击检测方案的灵敏度的预定阈值如果检测变量低于阈值,则H0为真。这意味着没有发现异常否则,选择H1,这意味着潜在的攻击正在进行中。4. 攻击缓解策略一旦检测到可能的攻击,应立即采取缓解措施,以确保物理系统的安全对于不同操作条件下的不同系统,缓解行动可能不同。以下考虑可提供一些指导。应急计划应是系统设计的一个组成部分,这对于物理系统的安全关键方面尤为重要;应识别攻击源,包括通信端口和信道,并将网络的相关部分与系统网络的其余部分隔离或分开;应立即启动应急响应,以限制攻击。对系统物理方面的不利影响程度bCAxa kCBu k(五)应立即对自动防故障控制模式表示遗憾这可能包括本地备用控制方案、紧急停机或人工操作员干预;以及其中y~k1是通过网络传输的传感器测量值网络,L是卡尔曼滤波器增益。测量数据(可能受损)和估计数据(预期数据)之间的残差可计算为:最新消息:2019年12月16日-2019年12月16日(6)整体系统安全应优先于任何损失,性能在不失一般性的情况下,减缓战略的一般框架可在图1中示出。 4,其中包括一套预先设计的弹性控制器这些控制器可能无法提供~B剩余范数y~kyk作为检测序列。为了检测攻击,使用了一种顺序数据分析技术,称为累加和(Cumulative SUM)[27],因为它对检测残差中的小变化或趋势很敏感该标准通常小于预定义的阈值,除非存在对手干扰。引入正偏置项b以考虑模型不确定性、测量噪声和/或随机扰动的集体效应该偏置项的值可以通过使用已知非攻击条件下的平均残差的实验来确定。具有偏置项b的残差可以表示为:zkkyk-ykk-b(7)可以使用如等式11中所示的残差序列来计算残差UM。(八)SkSk-1z k;S00(8)其中,S k是残差的累积和,S k1z k表示0的最大值;S k1z k。随后,相应的决策规则可以表述为以下假设检验:最佳性能,但是它们在成功攻击的情况下具有弹性以保持系统的基本特性,例如安全性。不同的控制模式可以与不同的操作场景和攻击程度相关。案例研究部分将进一步讨论特定攻击场景下这些缓解程序的示例。重要的是要指出,在检测到潜在攻击后不久,在通信信道输出处接收的测量数据可能已经被更改。他们的可信度降低了因此,攻击缓解方案必须评估攻击的后果,在缓解过程中使用篡改数据之前识别和隔离篡改数据,以避免无意中扩大攻击的影响。检测H0Sk≤τH1 Sk>τ(九)图三. 基于模型的攻击检测方案(D3)中的功能步骤。图四、 使用具有多个模式的弹性控制器的缓解过程。X. Ning,J.Jiang物联网和网络物理系统2(2022)203207ð Þð Þð Þ¼5. 信息物理系统测试台的案例研究5.1. 用于案例研究的网络物理系统为了研究所开发方法的有效性,通过将通信网络与称为NPCTF(核过程控制测试设施)的物理动态过程集成,构建了物理实验室规模的网络物理测试设施[28]。该测试设备的总体配置如图所示。五、物理部分模拟核电站中的单个热回路,其不仅包含物理过程,而且还使用工业级现场设备进行模拟该过程由ABB AC700F PLC(可编程逻辑控制器)控制。 监控站和操作员工作站的功能结合在一台专用PC上运行。该系统的网络部分包含一个基于以太网的通信网络,使用TCP/IP。HMI(人机接口)和PLC位于两个不同的网络上,并通过该网络与物理过程相连接。该系统的配置类似于大多数工业物联网系统中的配置。重要的是要注意,传感器测量和控制命令都通过通信网络传输,并且内部攻击者被假定可以访问这些网络以执行恶意攻击,从而将关键热回路变量驱动到安全操作范围之外。为了进行个案研究,开发了四个单元,以便利评价进程。5.1.1. 攻击场景生成模块该模块允许内部攻击者发起不同的攻击模式,并将攻击向量注入测试系统。5.1.2. 加强安保模块该模块包含各种攻击检测方案、缓解策略以及相应的缓解控制模式,以在发生攻击时维护物理系统的安全5.1.3. 安全评估模块本单元包含不同的评估工具和标准,用于评估相关探测和缓解技术的有效性;以及。5.1.4. 平台管理模块该模块基本上是测试系统的控制中心,它还包含不同测试场景下检测和缓解技术性能评估的标准和工具这些模块通过硬连线信号接口或通过OPC服务器/客户端配置的通信网络与CPS进行交互。图6中描绘了更详细的网络物理连接。物理过程是一个7千瓦的电加热器来模拟裂变反应堆。反应堆出口温度T2是一个安全关键变量. 如果实际温度T2k超过其上限,则可能发生灾难性事故(即过热导致事故)。所谓的内部攻击者将创造一种情况,即真实温度T2k上升到一个不安全的值,而不会触发高温警报。同时,攻击检测和缓解方案的目标是防止这种情况发生。作为该试验设备的背景信息,T2k的安全限值设定为37C,最大温升速率应保持在0.05C/s以下。如果T2k的真实行为违反了上述任何一个条件,则攻击将被认为在进行的许多案例研究中,本文选择了六个独特的场景用于说明:四个案例与基于数据驱动和基于模型的方法的攻击检测相关联,用于错误数据注入和重放攻击,两个案例是关于缓解动作。5.2. 隐形网络攻击在案例研究的第一部分,在攻击场景生成模块中生成了两个攻击场景。两者都试图篡改传感器测量结果,以欺骗控制器增加加热器功率输出,最终目标是将热回路的温度驱动到超过其安全极限。这种破坏行为也是以这样一种方式执行的,而不会触发任何高温警报信号。第一次模拟攻击涉及拦截通过网络传输的数据,然后从k30 s开始对其进行修改,如等式1所述。(10)在将被篡改的信号转发到控制器之前。图五、具 有 工 业 级 的 信息物理系统评 估 平台硬件案例研究。图六、内部攻击者使用的网络物理交互和接入点。平台管理模块安全评估模块攻击情形生成模块安全增强模块信息物理环境(NPCTF)X. Ning,J.Jiang物联网和网络物理系统2(2022)203208¼bb bb2¼¼¼¼¼¼ð Þ.¼我知道了T2k-0:03k-30k>302(十)其中,T1k和T2k是入口处的水温,T2≤30结果,由控制器接收的温度测量值将是真实温度加上线性下降的假趋势-0.03(k-30)。控制器会在不知不觉中增加加热器的功率输出,以补偿这种虚假的温度下降。最终,热回路的真实温度将上升超过安全极限,可能导致超温事故。 这种攻击使用了一种“时间隐形”方法,因为攻击者隐藏在一个看似合理的偏差内,该偏差正好在高温警报阈值内。 此攻击是虚假数据注入(FDI)攻击的典型示例。本研究中考虑的第二种情况称为重放攻击。攻击者没有像前面的场景那样将负趋势添加到测量的温度中,而是在不同的操作条件下用预先记录的温度曲线替换实际测量数据。假设攻击开始于k 70 s,传输到控制器的篡改测量信号可以表示为:0加热器的出口。C2k是施加到加热器,F1k是通过加热元件的水的流速温度T2k可以实时在线估计如下:T2k1-0:8T2 k3:347C2 kLT2k-T2k2:0556T1k1:59F1kL¼P-kP-k R-1P-2014年01月04日01月05日01月04日01月01日01月02日01月Pk 1 LP- k(14)其中协方差矩阵的初始条件是P(0)1/40,Q1/44× 10- 4,R=0.25。对于这种情况,发现偏置项b为0.316° C,我知道了T2≤k≤70≤200(十一)多次实验运行。用于该标准的阈值τ为T2型双头螺旋桨k≤70其中,T20k是预先记录的温度曲线,其中温度设定点从30 C变为25C。因此,控制器将响应这种温度分布调整,并相应地增加加热器功率。结果,实际温度会升高到安全极限之外。 为了最大限度地减少由于隐形操作的数据替代而引起的潜在瞬态,重放的数据在替换时与热回路的稳态操作条件相匹配。此外,由于记录的历史数据满足所有安全条件以及控制加热器的物理定律,因此这种攻击基本上利用了“空间隐身”。 这是一个典型的重放攻击案例。5.3. 检测方案的性能评估图1中提出的跨层检测方案已在安全增强模块中的此测试台层D1是基于规则的检测技术。 它是在Snort环境中建立的,具有授权用户的白名单和对网络流量的一致监控。它能够检测各种网络入侵和网络运行中断。 由于在当前工作中考虑的攻击者是组织中的内部人员,所以层D1被认为是无效的,因为内部人员已经具有合法的网络访问以通过认证过程。然而,这些潜在攻击者的破坏行为将在两个随后的保护层D2和D3中被检测到。5.3.1. 数据驱动检测方案基于分簇的方案在N200,m30,l二、在稳态和瞬态条件下,使用正常的历史数据来训练聚类算法。对于这个热环,我们发现正常态团簇的质心是29.85 ° C,半径是0.5 ° C。判定阈值为1℃。将创建两个群集选择标准化值1.0° C。5.3.3. 检测方案5.3.3.1. 在外国直接投资攻击下的业绩数据驱动和基于模型的攻击检测方案的性能进行了评估FDI攻击的情况下。实验结果见图1A和图1B。分别为7和8。 如图 7(b),即使攻击在k 30 s处发起,它也直到k90s才被数据驱动检测方案检测到。检测延迟为60 s。然而,基于模型的方案可以在k49 s检测到攻击,这仅是攻击发起后19 s,如图所示。8.第八条。 实验表明,基于模型的检测方法在数据经过篡改后很快就能检测到攻击。因此,可以得出结论,过程模型的可用性可以提高检测速度。数据驱动聚类方法的检测时间比基于模型的方法长。这是因为这种特定的攻击在每个时间步长产生非常小的偏差,聚类方法更难以区分经过回火的数据和聚类指数1;正常状态2;异常状态(十二)5.3.2. 基于模型的检测方案在该检测方案中,以下过程模型用于通过使用卡尔曼滤波器来估计热回路的温度。T2k1 -0:8T 2 k3:347C 2k2:0556T 1 k1:59F 1k(13)图7.第一次会议。FDI攻击下的数据驱动攻击检测方案的结果。X. Ning,J.Jiang物联网和网络物理系统2(2022)203209¼¼¼¼见图9。重放攻击的数据驱动攻击检测方案的结果。图8.第八条。基于模型的攻击检测方案在FDI攻击下的结果。在短时间内恢复正常然而,由于CRASUM中残差的累积和包含历史信息,因此它比仅依赖于系统当前状态的观察的聚类方法更5.3.3.2. 重放攻击下的性能。重放攻击下的数据驱动检测方案的实验结果如图9所示。在k120 s处成功检测到攻击,检测延迟为50 s。这种延迟是由于这样的事实,即使攻击在k70 s时发起,在前20 s,重放的数据仍然在系统的正常操作范围内,就好像它仍然在正常操作下一样。请参照图9(a),只有在k 90 s后,攻击的影响才开始生效。基于模型的检测方案在类似重放攻击下的行为如图所示。10个。当残差的累积和在k94 s处超过阈值时,检测到攻击检测延迟记录为24 s。实验结果表明,该检测方案对虚假数据注入和重放攻击都是有效的。基于模型的检测方法具有较短的检测延迟。但是,如果系统的物理模型不可用,数据驱动的方法可以是一种有效的替代方法。此外,还可以集成不同的检测方法以形成多层多样的检测模块。这种方法可以利用这两种方法,并减少潜在的误报或漏检。5.4. 立即缓解-弹性控制系统如第四节所述,一旦检测到攻击见图10。 重放攻击下基于模型的检测方案的结果。是维护物理系统的安全在实践中,这可能涉及立即启动缓解行动,以防止进一步的损害。具体行动取决于对严重程度的感知水平,X. Ning,J.Jiang物联网和网络物理系统2(2022)203210ð Þð Þð Þ¼ð Þð Þ攻击和植物的性质。如果物理设备不能立即安全关闭,缓解装置可以选择以下任何控制模式。5.4.1. 弹性控制模式一旦检测到异常,直接从网络接收的测量的传感器信号T~2k需要与控制回路隔离,并立即由其更安全(但非最佳)的替代方案取代。有两种替代方案:如果使用数据驱动检测方案,在正常操作下,测量信号可以用回溯的历史信号替代 如果使用基于模型的检测方案来识别异常,则该测量信号将被冻结为与测量信号T~2k相同的值。此外,控制回路的设定点也采用相同的值。通过这样做,控制回路将保持在稳态条件,以避免情况的进一步恶化在这两种情况下,应向操作人员发出警报信号,以立即引起注意。5.4.2. 紧急控制模式如果系统被认为处于不安全状态,将立即触发紧急控制模式。 在这种情况下,加热器将被关闭,以避免温度进一步升高,紧急控制系统将执行预先设计的关闭程序,以确保物理过程保持安全并易于恢复。图11(a)和(b)中说明了所考虑的两种攻击场景的缓解过程如图如图11(a)所示,在k1/4 30秒处发起FDI攻击,并且基于模型的检测系统在k1/4 66秒处检测到该异常。通过网络T~2k接收的测量温度在转发到控制器之前被常数T~2k66 sec30.4 C替换。同时,控制回路设定点也被重置为30.4° C。因此,控制器将温度T2k保持在其当前值,这为人类操作员提供了一个机会窗口来调查情况并处理后果。见图11。 系统在缓解过程中对两种攻击的响应。缓解过程和重放攻击事件中的系统响应如图所示。 11(b). 在k1/470秒时,通过网络向控制器回放预先记录的T2Δk1的历史数据序列在k1/480 s时,真实温度开始从30 ℃降至25℃。检测系统在k93 s时识别出此攻击此时,通过以下操作启动缓解方案(1)通过将被篡改的T~2k冻结到检测时的值来隔离被篡改的T ~2k;(2)重置设定点以停止回路温度的进一步漂移由于在检测时,历史数据更接近实际的T2k,因此控制器可以将系统维持在其安全区域内。尽管目前的论文报告了两种攻击场景,两种检测机制和一种用于演示目的的实验室规模CPS缓解方案,但所开发的设计方法和攻击检测算法可以扩展到其他网络物理系统。然而,对于不同的应用,需要修改数据集、模型结构和检测阈值,以适应特定的系统配置。案例研究部分所涵盖的实施过程提供了一些有用的见解,说明如何使用已开发的技术来增强网络物理系统的安全性,防止内部攻击。6. 结论传统的网络攻击威慑技术,如防火墙和黑名单,将不再对内部攻击者有效在本文中,纵深防御的概念已经以物联网架构的形式针对网络物理系统中的内部攻击而发展。一个跨层的检测方案是专门针对隐形内部攻击。已经考虑了两种类型的攻击:虚假数据注入(FDI)攻击和重放攻击。本集团已发展基于数据驱动及基于模型技术的多元化方法,以形成稳健的检测机制。此外,相应的缓解方案,这些攻击也进行了调查。这项工作的一个重要特点是,所开发的技术已经在实验室规模的实际网络物理系统上进行了实时测试,该系统采用了工业级传感器和网络。实验结果表明,内部攻击者可以从计算机网络发起隐身攻击,通过截取并修改网络传输的数据,侵入控制系统的核心,然后将篡改的数据传输到控制器,导致物理系统的损坏 该方案可以检测到这些攻击,并启动适当的缓解程序,以维护系统的安全性。对于攻击检测,研究表明,基于模型的方法在检测速度方面优于数据驱动的方法。然而,如果没有物理系统的质量模型是不可用的,数据驱动的方法仍然可以是一个有效的替代方案。缓解行动的最重要目标是保持物理系统安全,并尽量减少灾难性后果的可能性。竞合利益作者声明,他们没有已知的竞争性经济利益或个人关系,可能会影响本文报告的工作。致谢这项工作得到了核工程大学网络(UNENE)和加拿大自然科学与工程研究委员会(NSERC)的财政支持。X. Ning,J.Jiang物联网和网络物理系统2(2022)203211引用[1] A.K. Tyagi,N. Sreenath,网络物理系统:分析,挑战和可能的解决方案,物联网。网络物理Sys. 1(2021)22- 33.[2] J. Wurm,Y. Jin,Y. Liu,S.Y. Hu,K. Heffner,F.拉赫曼,M。Tehranipoor,网络物理系统安全介绍:跨层视角,IEEETrans. 多尺度计算系统 3(3)(2016)215- 227。[3] D. Ding,Q.L.汉,Y。Xiang,X. Ge,X.M. Zhang,A survey on security controlandattack detection for industrial cyber-physical systems,Neurocomputing 275(2018)1674- 1683.[4] A. Humayed,J. Lin,F.李湾,澳-地罗,网络物理系统安全-一个调查,IEEE互联网事物J。 4(6)(2017)1802- 1831。[5] A. Parizad,C.J. Hatziadoniu,Cyber-attack detection using principalcomponentanalysis and noisy clustering algorithms:a collaborative machinelearning basedframework,IEEE Trans. 智能电网13号6)(2022)4848- 4861。[6] W.孟,W. Li,L.F.郭,智能KNN报警过滤器的设计,使用基于知识的警报验证入侵检测,安全。Commun. 网络18(2015)3883- 3895。[7] M. Mr. Mr. K.G.Seddik,M.H.埃尔德夫拉维,Y.Gadallah,M.吉德隆德,基于机器学习的工业物联网虚假数据注入攻击检测技术,IEEE Internet Things J。 7(9)(2020)8462- 8471。[8] F. Zhang,H.A.D.E. Kodituwakku,W.海因斯,J.B. Coble,基于网络、系统和过程数据的工业控制系统多层数据驱动网络攻击检测系统,IEEE Trans. 印第安纳INF.15(7)(2019)4362- 4369。[9] E. Mousavinejad,X.H.Ge,Q.L.Han,F.W.扬湖,澳-地陈文,网络攻击下的网络控制系统的跟踪控制,北京:计算机科学出版社,2001。51(4)(2021)2107- 2119。[10] F. Miao,Q.Y.Zhu,M.Pajic,G.J.Pappas,网络物理系统安全控制的混合随机博弈,Automatica 93(2018)55- 63。[11] Y. Mo、S.韦拉科迪湾控制系统的物理认证:设计带水印的控制输入以检测伪造的传感器输出,IEEE控制系统。 Magzine 35(1)(2015)93- 109.[12] V.K. Mishra,V.R. Palleti,A. Mathur,关键基础设施建模框架及其在检测配水系统网络攻击中的应用,Int J Crit Infr Prot 26(2019),100298。[13] B.利河,西-地Lu,W. Wang,K.K.R. Choo,智能电网网络物理系统中基于分布式主机的虚假数据注入攻击协同检测,J。平行分布Comput. 103(2017)32- 41.[14] Q. 扬湖,澳-地张,W。余,虚假数据注入攻击对卡尔曼滤波在电力系统动态状态估计,安全。Commun.网络9(2016)833- 849。[15] D.张庆国Wang,G.冯,Y. Shi,A.V. Vasilakos,工业网络物理系统的攻击检测,估计和控制调查,ISA(仪器。Soc. Am.)116(2021)1- 16.[16] E. Mousavinejad,F. Yang,Q.L.汉湖,澳-地Vlacic,一种新的网络控制系统中的网络攻击检测方法,IEEE Trans. Cybern。48(11)(2018)3254- 3264.[17] Q. Wang,G.Y. Zhang,F.S. Wen,智能电网中网络物理系统的政策,建模和安全性调查,能源转换和经济学(2021),https://doi.org/10.1049/enc2.12051。[18] W.颜力光Mestha,M. Abbaszadeh,用于保护网络物理系统的攻击检测,IEEEInternet Things J。 6(5)(2019)8471- 8481。[19] Y. Yuan,中国植物志F.孙,H. Liu,Resilient control of cyber-physical systemsagainstintelligent attacker:a hierarchal stackelberg game approach,Int. J. Syst.Sci. 47(9)(2016)2067- 2077。[20] G. Fran z`e,F. 特德斯科,W. Lucia,遭受重放攻击的网络物理系统的弹性控制,IEEE控制系统快报3(4)(2019)984- 989。[21] F. 斯科皮克湾Landauer,M.武岑贝格湾Vormayr,J.Milosevic,J.法比尼,W.普吕格勒岛克鲁希茨湾Widmann,K. Truckenthanner,S. Rass,M. 慢炖C. Zauner,synERGY:交叉关联操作和上下文数据,以及时检测和减轻对网络物理系统的攻击,J.Inf.Secur。54(2020),102544.[22] Y.Q.的Zhou,K.G. Vamvoudakis,W.M. Haddad,Jiang,“A secure controllearningframework for cyber-physical systems under sensor and actuatorattacks”,IEEETrans. Cybern. 51(9)(2021)4648- 4660。[23] X.K.公司他X.Q. Ren,H. Sandberg,K.H. Johansson,How to SecureDistributedFiltersUnder Sensor Attacks,IEEE Trans. 自动化 对照67(6)(2022)2843- 2856。[24] J. Wang,B.C.丁俊晖Hu,“Security control for LPV system with deceive attacksviamodel predictive control:a dynamic output feedback approach,IEEE Trans. 自动化对照66(2)(2021)760- 767。[25] A. Shlomo,M.卡莱奇河Moskovitch,“SCADA系统中基于时间模式的恶意活动检测,Comput。安全性102(2021),102153.[26] X. Ning,J. Jiang,In the mind of an inside attacker on cyber-physical systemsandhow not being fooled,IET Cyber-physical Syst Theory A 5(2)(2020)153-161.[27] H.R. Ghaeini,D.Antonioli,F.Brasser,A.R.Sadeghi,N.O.Tippenhauer,工业控制系统的状态感知异常检测,在:第33届年度ACM应用计算研讨会论文集,2018年,pp.1620- 1628年。[28] J. Jiang,J.P. Ma,A. Bari,D.J. Rankin,支持核电厂仪表和控制系统研究和开发的物理模拟器,在:Proc. 第九届国际Con
我的内容管理
展开
