没有合适的资源?快使用搜索试试~ 我知道了~
网络物理电力系统安全控制理论及攻击分析
0认知机器人 1 (2021) 41–570ScienceDirect提供目录0认知机器人0期刊主页:http://www.k eaipublishing.com/en/journals/cogniti ve-robotics/0基于控制理论的网络物理电力系统在统一模型框架下的多种网络攻击安全控制0赵自刚 a,叶荣波 b,周畅 b,王大海 a,石涛 c,�0a 河北省电力公司,中国石家庄 b 中国电力科学研究院,中国南京 c 南京邮电大学高级技术研究所,中国南京0文章信息0关键词:稳定性和安全控制CPS建模网络攻击主动防御方案0摘要0由于信息和互联网的整合,电力网络面临着越来越多的恶意攻击的不确定风险。针对这一问题,我们从以下四个方面进行了研究。首先,从每种操作机制分析了多种网络攻击(拒绝服务、信息泄露、重放攻击和欺骗攻击)。然后,总结出子系统是一个通用的建模框架,考虑了不同类型的网络攻击。其次,根据机制细节,提出了针对每种网络攻击的安全防御方案。第三,利用稳定性的控制理论导出了安全控制条件。最后,以IEEE-14和IEEE-39系统作为典型案例,分析了动态负载改变攻击对其中一些节点的影响。01. 引言0随着互联网连接和先进信息、传感和人工智能技术的日益普及,支持了新一代电力网络(或智能电网)的快速增长,通常称为网络物理电力系统(CPPS)。然而,通过将地理范围广泛的计算、通信和控制单元集成到一个复杂和强大的系统中,电力系统的分布式控制和监控组件面临着前所未有的安全调整,并带来了一次性的恶意攻击和威胁,例如对伊朗核计划的Stuxnet攻击[1],跨域级联电力故障,严重的停电[2]和其他类型的网络攻击[3,4]以及其中的参考文献。近年来,对网络物理系统(CPSs)的关注急剧提高,特别是在电力网络领域。为了防御网络攻击,国内外著名学者从计算机科学和控制理论的角度提出了算法和技术,参见[1,5–8]和其中的参考文献。在这些结果中,网络物理电力系统的安全问题是近年来的研究热点和日益增长的研究兴趣。一方面,从控制理论的角度出现了大量的研究成果,例如故障诊断方法[9],博弈论[10],切换方法[11,12],T-S模糊方法[13]和差分混合Petri网方法[14]。另一方面,大量的研究成果集中在控制系统的攻击上,特别是分布式电网的攻击[15,16]。幸运的是,多类型网络攻击分析和建模的综合性工作很少。相反,大量的研究工作致力于某些单一类型的攻击,例如[17]中的隐蔽欺骗攻击,[1,18]中的隐蔽攻击,重放攻击。0�通讯作者。电子邮件地址:TaoSHI_njupt@163.com(T.Shi)。0https://doi.org/10.1016/j.cogr.2021.05.001 收稿日期:2021年1月25日;修订稿收到日期:2021年4月29日;接受日期:2021年5月11日在线发表日期:2021年5月20日 2667-2413/© 2021 The Authors. Publishing Services by Elsevier B.V. on behalf of KeAi Communications Co. Ltd. 本文是根据CCBY-NC-ND许可(http://creativecommons.org/licenses/by-nc-nd/4.0/)的开放获取文章。𝑀 𝑖 ̈𝛿𝑖 ( 𝑡 ) + 𝐷 𝑖 ̇𝛿𝑖 ( 𝑡 ) = 𝑃 𝑀,𝑖 ( 𝑡 ) + 𝑃 𝑖𝑛,𝑖 ( 𝑡 ) − 𝑃 𝐺,𝑖 ( 𝑡 ) (2) ⎡ ⎢ ⎢ ⎣ 𝐼 0 0 0 𝑀 𝑖 0 0 0 0 ⎤ ⎥ ⎥ ⎦ ⎡ ⎢ ⎢ ⎣ ̇𝛿( 𝑡 ) ̇𝜔 ( 𝑡 ) ̇𝜃( 𝑡 ) ⎤ ⎥ ⎥ ⎦ = ⎡ ⎢ ⎢ ⎣ 0 − 𝐼 0 𝑇 𝑖𝑖 𝐷 𝐺,𝑖 𝑇 𝑖𝑗 𝑇 𝑗𝑖 0 𝑇 𝑗𝑗 ⎤ ⎥ ⎥ ⎦ ⎡ ⎢ ⎢ ⎣ 𝛿( 𝑡 ) 𝜔 ( 𝑡 ) 𝜃( 𝑡 ) ⎤ ⎥ ⎥ ⎦ + ⎡ ⎢ ⎢ ⎣ 0 𝑃 𝑚𝑖 ( 𝑡 ) 𝑃 𝑒𝑖 ( 𝑡 ) ⎤ ⎥ ⎥ ⎦ (3) 42 0Z.-g. Zhao, R.-b. Ye, C. Zhou等。认知机器人学1(2021)41-570在[8,19]中,[20-22]中的拒绝服务(DoS)攻击,[23]中的入侵攻击和[24]中的电网脆弱性。此外,尽管一些尝试性的研究结果[23,25],例如在[26]中,已经在资源有限的框架下对包含DoS、重放攻击、动态零攻击和数据注入攻击等多种攻击进行了建模,但是很少有研究工作考虑到在一个统一的模型中考虑不同类型的攻击。随着大数据和人工智能的发展,越来越多的智能设备和仪器被应用于电力网络的监控和数据采集(SCADA)以提高效率,例如相量测量单元(PMUs)[27]和相量数据连接器(PDCs),它们用于以高数据速率测量瞬时电压、电流和频率特性,并接收和处理几乎所有在电力传输网络中提供的数据流。总的来说,CPPS中的安全问题涉及两个方面:信息理论安全和控制理论安全。Shannon在1949年首次提出了信息理论安全,开启了信息安全研究的时代。信息安全主要采用数据加密传输和解密方式。从控制理论安全的角度来看,关键问题是网络攻击对系统动态性能指标的影响,例如鲁棒性、稳定性、快速收敛等。然而,这些结果都缺乏应用背景。到目前为止,对于在统一建模框架下考虑各种类型网络攻击的电力网络的研究非常少,特别是考虑到下一代电力网络(如智能电网)的背景。正如[29]所指出的,为了尽早检测由网络攻击引起的安全威胁,本文考虑了在一个统一框架内的多种网络攻击。这正是本文的正确动机。本文侧重于电力网络中的安全问题和积极的对策。本文的最终目标是提出对电力网络中每种网络攻击的分析和防御方案。本文的主要贡献可以总结如下:01.在以往的研究中,网络攻击的研究往往集中在单一类型上。而在本文中,分析了多种网络攻击(包括拒绝服务、信息泄露、重放攻击和欺骗攻击)。2. 针对每种特殊类型的网络攻击,制定了相应的系统模型。通过机理分析和数学公式变形,提出了在不同类型网络攻击下的通用建模框架。3.与传统的信息安全方法不同,本文使用控制理论的方法推导出确保系统安全的条件。0本文的组织如下。在第2节中,对具有N个节点和M个母线的电力网络在网络攻击下的动态模型进行了阐述。基于第2节提出的模型,从每种独特特征分析了各种网络攻击(第3节)。根据不同类型的网络攻击,相应的对策依次在第4节中设计以防御网络攻击。然后,利用控制理论在第5节中推导了CPPS的稳定性和安全性条件。最后,以IEEE-14母线系统和IEEE-39母线系统为案例研究,比较了受网络攻击影响的安全和脆弱情况。01.1. 符号0为了便于阅读,本文中将使用以下必要的符号。02. 在网络攻击下的网络物理电力系统建模0在具有�个发电机和�个负载母线的电力网络中,假设相邻节点之间的相对转子角度差足够小,非线性发电机和负载可以近似为线性动态系统。因此,我们有第�个发电机的摆动方程如下 { �� � ( � ) = � � ( � ) � � �� � ( � ) = � �,� ( � ) − � �,� � � ( � ) − � �,� ( � ) (1)0关于参数 � ( � ) , � � ( � ) , � � , � �,� , � �,� ( � ) 和 � �,� ( � ) 的符号说明已在符号说明中给出。进一步,方程(1)可以表示为0其中 � ��,� 是从属于不同区域的其他节点输入节点 � 的功率流。因此,如果我们只考虑同一区域内的节点和母线,部分 � ��,�等于零。根据[10,16],综合方程(1)和(2),网络中的网络的网络的结构如图1所示通常被表示为𝑃 𝐺,𝑖 ( 𝑡 ) = ∑𝑗∈𝐺 𝑖𝑗 (𝛿𝑖 ( 𝑡 ) − 𝛿𝑗 ( 𝑡 ) ) + ∑𝑗∈ 𝑇 𝑖𝑗 (𝛿𝑖 ( 𝑡 ) − 𝜃𝑗 ( 𝑡 ) )(4) − 𝐷 𝐿,𝑖 𝜙( 𝑡 ) − 𝑃 𝐿,𝑖 ( 𝑡 ) = 𝑇 𝑖𝑗 𝜃𝑖 ( 𝑡 ) − 𝛿𝑗 ( 𝑡 ) + 𝑇 𝑖𝑗 𝜃𝑖 ( 𝑡 ) − 𝜃𝑗 ( 𝑡 ) (5) 43 0Z.-g. Zhao, R.-b. Ye, C. Zhou 等. 认知机器人学 1 (2021) 41–570图1. 在网络攻击下的电力网络框架。0表1 符号说明表。0符号 说明0� � 发电机 � ′ � 惯性常数 � �,� 发电机 � 的阻尼常数 � �,� 发电机 � 的电功率输出 � �,� 发电机 �的机械功率输入 � �,� 从其他节点输入节点 � 的功率流 � � 节点�的邻居节点 � 发电机的数量 �负载的数量 � ( � ) 发电机母线的电压相角 � ( � ) 发电机母线的频率偏差 � ( � )负载母线的电压相角 � ����� − � ( � ) 控制数据的时间戳 � ����� − � ( � ) 传感器测量数据的时间戳 � � � ( � )通过哈希函数加密的控制数据 � � � ( � ) 通过哈希函数加密的检测数据,用于 � � � ( � ) � � � ( � )通过哈希函数加密的传感器测量数据 � � � ( � ) 通过哈希函数加密的检测数据,用于 � � � ( � ) �� � � (� ) 通过通信信道接收到的 � � � ( � ) 的数据 �� � � ( � ) 通过通信信道接收到的 � � � ( � ) 的数据 �� � � ( � )通过通信信道接收到的 � � � ( � ) 的数据 �� � � ( � ) 通过通信信道接收到的 � � � ( � ) 的数据0其中 � = [ � �� � �� � �� � ��0] 是对称导纳矩阵,其中 � �� 和 � �� 对应于发电机的�行0和 �行负载母线。然而,在上述模型中,未考虑频率敏感问题。为了更全面、真实地考虑这类问题,本文研究的系统被假定为可控和频率敏感,如[30]中所述的“(iii)”情况。因此,在负载项中需要考虑 � �,� � � ,其中 � � = − � � � 。然后,每个母线 � ∈ � 的线性功率流方程可以重写为0其中 � 和 � 分别是发电机和负载母线的集合,� ∈ � = � ∪ � 。� �,� 和 � �,� 的物理意义已在表1的符号说明部分中给出。Z.-g. Zhao, R.-b. Ye, C. Zhou et al. Cognitive Robotics 1 (2021) 41–57 𝑃 𝑀,𝑖 ( 𝑡 ) = − 𝐾 𝑝 𝜔 𝑖 ( 𝑡 ) (6) − 𝑀 𝑖 ̇𝜔 𝑖 ( 𝑡 ) = 𝐾 𝑖 + 𝐷 𝐺,𝑖 𝜔 𝑖 ( 𝑡 ) + 𝑗∈𝐺 𝑇 𝑖𝑗 𝛿𝑖 − 𝛿𝑗 ) + ∑𝑗∈𝐿 𝑇 𝑖𝑗 (𝛿𝑖 − 𝜃𝑗 ), ∀𝑖 ∈ 𝐺 (7) ⎡ ̇𝛿( 𝑡 ) ̇𝜃( 𝑡 ) ̇𝜔 ( 𝑡 ) ⎤ = ⎡ 0 𝐷 −1 𝐿 0 ⎤ 𝑃 𝐿 + ⎡ 0 0 𝐼 𝐷 −1 𝐿 𝑇 𝐿𝐺 𝐷 −1 𝐿 𝑇 𝐿𝐿 0 − 𝑀 −1 𝑇 𝐺𝐺 − 𝑀 −1 𝑇 𝐺𝐿 𝑀 −1 𝐾 𝑝 + 𝐷 𝐺 ⎤ ⎡ 𝛿( 𝑡 ) 𝜃( 𝑡 ) 𝜔 ( 𝑡 ) ⎤ (8) (9) 0 0 𝐼 𝐷 −1 𝐿 𝑇 𝐿𝐺 𝐷 −1 𝐿 𝑇 𝐿𝐿 0 −1 −1 −1 , ̃𝑃 𝐿 = 𝐷 −1 𝐿 𝑃 𝐿 . { 𝑥 𝑖 ( 𝑘 + 1) = ̃𝐴 𝑖 𝑥 𝑖 ( 𝑘 ) + ̃𝐵 𝑖 (𝑢 𝑖 ( 𝑘 ) + Δ𝑢 𝑖 ( 𝑘 ) ) + 𝜗 𝑖 ( 𝑘 ) ̂𝑦 𝑖 ( 𝑘 ) = ̃𝐶 𝑖 𝑥 𝑖 ( 𝑘 ) + Δ𝑦 𝑖 ( 𝑘 ) + 𝜈𝑖 ( 𝑘 ) (12) 𝑆 𝑒𝑞 ( 𝑘 ) = 𝑆 𝑒𝑞 ( 𝑘 − 1 ) ⋃𝑢 0 Γ𝑦 𝑢 𝑘 𝑦 ( 𝑘 ) (13) 44 0由于系统(2)是可控的,我们假设控制律是简单的比例控制器(一般来说,比例-积分(PI)控制器被广泛应用)。因此,我们有0将(5)带入(2),(2)可以重写为0综合(1)到(7),我们可以得出结论0将 � ( � ) = [ � � ( � ) � � ( � ) � � ( � ) ] � ,则线性连续时间描述符系统可以表示为0其中 �� � = � � � �0类似于[9],由(2)描述的电力网络与 � 分布式发电机可以进一步表示为 { �� � ( � ) = � � � � ( � ) + � � � � � ( � ) + � � ( � ) �� � ( � ) = � � ( � ) + � � � ( � ) + � � ( � ) (10)0其中 � � ( � ) ∈ � � , � � ( � ) = � � � � ( � ) ∈ � � , � � � ( � ) ∈ � � 和 � � � ( � ) ∈ � � 是植物状态,植物的测量输出,控制输入(带网络攻击)和从植物接收的反馈(带网络攻击),� � ( �) 和 � � ( � ) 是植物和控制器的干扰和噪声,假设它们是独立的高斯随机变量,满足分布 � � ( � ) � � (0 , � ) 和 � � ( � ) � � (0 , � ) 。选择适当的采样时间 � ,利用 � = �� , �= 0 , 1 , 2 , … ,上述连续时间系统可以表示为以下离散形式。{ � � ( � + 1 ) = � � � � � ( � ) + � � � � � � ( � ) + �� � ( � ) �� � ( � ) = � � ( � ) + �� � � ( � ) + �� � ( � ) (11)0其中 � � ( � ) , � � ( � ) = � � � � � ( � ) 和 �� � ( � ) 代表系统状态,带干扰的传感器测量和 ′ � � ( � ) ′ 的接收数据0通过网络,� � � ( � ) 表示包含攻击信号的控制输入,同时,攻击在 � � � ( � ) 中引起的影响隐藏在测量输出 �� � ( � ) 中。 �� 表示连续矩阵 �的离散形式,对应于上述矩阵 � � , � � , � � 。 � � ( � ) 和 � � ( � )是控制和反馈通道内的干扰。然而,采用不确定性来考虑安全问题是另一个角度。系统模型通常被制定为0其中 Δ � � ( � ) 和 Δ � � ( � ) 表示对执行器和传感器输出的攻击。对比(11)和(12),Δ � � ( � ) 和 Δ � � ( � ) 是 � � � ( � ) 和 � � � ( � )的一部分,分别。从(11)转换为(12)的前提是攻击可以被监视、识别和分离。为了简化分析过程,在本文的其余部分,系统模型通过离散系统进行分析。03. 模拟和机制分析网络攻击0在网络物理系统(CPS)中的网络攻击是一个非常复杂的过程。不幸的是,在大多数网络攻击CPS的情况下,网络协同攻击是攻击的主流形式。与单一类型的网络攻击相比,网络协同攻击更加复杂、更有害,更难以监控和设计防御对策。在本节的后续部分,介绍和分析了几种重要和常见的攻击。03.1. 信息披露0类似于[31],信息披露过程可以描述如下。在区间[0,�]内,信息序列� �� ( � ) = { � �� ( � 0 ) , ..., � �� ( � � ) }(其中� 0,…,� � ∈ [0,�]且� � ≤�)表示直到时间�为止在通信通道中传输的所有信号。𝑆 ( 𝑘 ) = 𝑆 ( 𝑘 − 1 ) Θ𝑢 0 𝑢 ( 𝑘 ) (14) 𝑆 𝑎𝑡𝑡. ( 𝑘 ) = 𝑆 𝑎𝑡𝑡. ( 𝑘 − 1 ) { [ 𝛼𝑖 ( 𝑘 ) Γ𝑢 0 0 𝛽𝑖 ( 𝑘 ) Γ𝑦 ] [ 𝑢 𝑖 ( 𝑘 ) 𝑦 𝑖 ( 𝑘 ) ] } (15) 45 0Z.-g. Zhao, R.-b. Ye, C. Zhou等人。认知机器人学 1 (2021) 41–570其中,Γ � ∈ � � � 和 Γ � ∈ � � � 代表非法访问或绕过信息获取的结果。{ Γ � , Γ � } ∈ { 0 , 1},“1”表示成功的数据传输,“0”表示失败的数据传输。从另一个角度来看,在时间区间[0,�]内,攻击者获得的信息序列为� ���. = { � ���. ( � 0 ) , ..., � ���. ( � � )},其中{ � 0,�,� � } ∈ [0,�],然后为了实现攻击目标� ���. ( � ) = � �� ( � )。因此,我们有0其中,� 0 ≤ � ≤ � � ,Θ � ∈ � � � 和 Θ � ∈ � � �是攻击系数,分别代表正向和反馈通道上的攻击结果。为了更接近现实,模型中经常引入概率参数。对于信息披露的情况,攻击过程可以描述如下。0其中{ � � ( � ) , � � ( � )} ∈ {0 ,1},'1'表示非法数据读取成功,'0'表示非法数据读取失败。实际上,信息披露的原因集中在两个方面:技术进步(例如绕过技术、监听技术等)和管理漏洞(例如内部员工叛变)。因此,在这种网络攻击下,系统(11)可以表示为{ � � ( � + 1 ) = � � � � � ( � ) + � � � � � ( � ) Γ � � � ( � ) + � � � ( � ) �� � ( � ) = � � ( � ) Γ � � � ( � ) + �� � ( � ) (16)0其中,� � � ( � ) = � � ( � ) Γ � � � ( � ),� � � ( � ) = � � ( � ) Γ � � � ( � )表示正向和反向通信渠道中的信息披露。03.2. 拒绝服务攻击0拒绝服务(DoS)是一种蛮力破坏性攻击。 以电力网络中的一个节点为例,离散时间下受DoS攻击的系统(11)可以表示为{ � � ( � + 1) = � � � � � ( � ) + � 1 � � � � � ( �) + � � � ( � ) � � ( � ) = � 2 � � � ( � ) + �� � ( � ) (17)0其中� 1,� 2 ∈[0,1],“0”和“1”表示引用通道中信息的安全和不安全。这类似于但显然不同于数据包丢失(PL)。因为就原因而言,这两者是不同的。PL通常是由网络的固有特性引起的,而DoS大多是由恶意攻击引起的。这里考虑的问题是是否存在一种有效的方法来检测已确定的DoS攻击,而不是PL。不幸的是,直到现在答案可能是“可能没有”。在通信通道中,攻击者既可以读取又可以替换通过控制系统的闭环传输的数据。在区间[ � 0,� � ]内,� � = { � � ( � 0 ) , ..., � � (� � ) } 用于描述传输的信号,� � ( � � ) 用于标识信号是否传输成功。可以定义DoS和无DoS的间隔为� ��� ∶= { � ��� � } � [ � ��� � , � ��� � + � � ),� ∈ [0,� ��� )和� ��� ∶= [ � ��� � + � � , � ��� � +1)。根据上述定义,我们可以得出0(1)[ � 0 , � � ] = � ��� � � ��� ;(2)� ��� � ���� = � ;0备注1. 从理论角度来看,直观地清楚地看到,如果 � ��� → ∞ ,那么间隔 � → ∞的DoS攻击可以成功地被防御。同时,系统已经转变为局部控制系统,而不是网络控制系统。此外,这对虚拟情况是不合理的,系统的框架无疑发生了改变。03.3. 重放攻击0重放攻击是一种常见的自然攻击[8]。著名的Stuxnet就是这种攻击。在攻击过程中,隐藏在可编程逻辑控制器(PLC)中的病毒记录了正常工厂操作的数据,如几个月甚至几年。在关键时刻,攻击者接管了工厂,并选择了部分记录的数据作为干预。可以通过图2来说明。一般来说,重放攻击包含三个关键步骤。第一步是劫持传感器和观察者,第二步是记录传感器和观察者的输出数据一段时间。最后一步是在准备好重放攻击的条件下,重复记录的数据而不是原始的传感器和观察者[19]。根据攻击过程,三个步骤可以分为以下三个阶段。第一阶段:信息披露。在这个过程中,攻击者通过建立绕过来获取读取权限或读取输出数据,这可以被视为一种信息披露。在这个阶段,攻击者劫持了访问数据的读取和写入权限𝑥 𝑟𝑎 (ℎ 𝑘 +1 ) = 𝑥 (ℎ 𝑘 +1 )𝑥 𝑟𝑎 (ℎ 𝑘 +1 + 𝜆) = 𝑥 (ℎ 𝑘 +1 − 𝑇 + 𝜆)𝑥 𝑟𝑎 ℎ 𝑘 +1 + 𝜆 ≠ 𝑥 ℎ 𝑘 +1 + 𝜆(18) 46 0Z.-g. Zhao, R.-b. Ye, C. Zhou等人。认知机器人学1(2021)41-570图2. 重放攻击的机制。0图3. 攻击检测的诊断方法。0,因此他可以记录他想要的数据,如等式(15)中所示,其中 � � ( � ) = � � ( � ) = 1 。这对应于图2中的时间间隔[ � � , � � +1]。第二阶段:选择适当的注入攻击时间点。在这个阶段,攻击者已经记录了系统的足够操作和输出数据,然后选择一个极其隐蔽的插入点作为重放攻击的起始点。这对应于图2中的时间点 � � +1。根据攻击过程,我们有0其中 � ∈ [ 0 , � ] ,� ( � ) 和 � �� ( � )分别表示正常系统状态和重放攻击下的状态。第三阶段:在目标时间间隔内重放记录数据。根据图3,在不同的时间间隔内,原始数据(正常数据)被攻击数据替换。因此,可以推断,在重放攻击下,所制定的系统(11)被表示为{ � � ( � + 1 ) = � � � � � ( � ) + � � � � � ( � − �� ) + � � � ( � ) �� � ( � ) = � � ( � − �� ) + � � ( � ) (19)0其中 � � � ( � ) = � � ( � − �� ) 和 � � � ( � ) = � � ( � − �� ) 。其中 � ∈ {0 , 1 , 2 , � } 是时间间隔的系数。如果 � = 0 ,表示没有重放攻击。03.4. 隐蔽/隐蔽攻击/虚假数据注入0根据攻击的影响,隐蔽攻击、隐蔽攻击和虚假数据注入攻击可以归纳为欺骗攻击的类型,尽管它们在过程和操作机制的细节上有所不同。这些攻击的共同特点是隐蔽性。攻击者有能力篡改传输和接收的数据,同时隐藏在控制和监控系统之外。(24) 47 0Z.-g. Zhao, R.-b. Ye, C. Zhou等人。认知机器人学1(2021)41-570在[1]中,采用类似于中间人(MITM)攻击的框架来说明欺骗攻击(或隐蔽攻击)的原理。正如所述,这种攻击者能够了解部分或全部的工厂和控制器知识,以及进行数据传输干预的能力。关键点在于存在一个智能的攻击者隐藏在通信通道中,称为隐蔽代理。由于其非凡的隐蔽性,这个代理是无法被发现的。对于这种攻击,攻击者隐藏在系统操作过程中,以了解和掌握系统模型。然后向原始控制数据注入外生控制输入,在一定的工作周期后,攻击可以劫持传感器的输出。由于攻击者对系统模型有充分的了解,因此他可以隐藏外生控制输入引起的输出。因此,从正常的SCADA系统中,没有证据可以证明攻击行为的存在。然而,工厂失控。从理论角度来看,正常(安全)的系统模型在安全控制下是{ � � ( � + 1 ) = � � � � � ( � ) + � � � [ � � ( � ) − �� � ( � ) ] + �� � ( � ) �� � ( � ) = � � ( � )+ � � ( � ) + � � ( � ) (20)0其中���(�)=�(�)和���(�)=−������(�),表示注入的数据和移除攻击影响的数据。这里,��(�)表示通过反馈通信通道进行的虚假数据注入,而���(�)表示秘密代理计算出的虚假注入��(�)的影响。由于攻击者对系统有充分的了解,攻击者会在发送给系统接收器之前处理植物和控制器的真实操作数据。因此,植物和控制器接收到的是欺骗性数据��(�)−���(�)和��(�)+��(�),而不是真实数据序列��(�)和��(�)。在[32]中,欺骗攻击效果被制定为控制和反馈数据序列中的不确定注入。0备注2.从上述分析可以轻易发现,系统(11)可以用于合成(16)、(17)、(19)和(20)的不同网络攻击案例。因此,我们可以将系统(11)作为研究安全控制问题的通用模型。为了便于分析,系统(11)中的反馈被表示为���(�)=�����(�)+��(�),其中���(�)=���(�)−���(�),表示控制器接收到的数据。此外,必须存在一个系数,以保证��(�)=ϝ��(�)。因此,系统(11)可以重写为:{��(�+1)=�����(�)+������(�)+���(�)���(�)=��(�)+ϝ���(�)(21)0其中ϝ是一个系数矩阵。04. 攻击防御和安全控制方案的设计04.1. 用于防御攻击的故障诊断0从概念和技术角度来看,网络攻击和系统故障的过程完全不同。然而,它们可以对物理系统产生相同的影响。根据鲁棒控制理论,故障诊断和容错是处理模型不确定性和干扰的有效方法。因此,故障诊断和容错方法可以用于防御部分网络攻击。根据这种方法,残差通常被定义为:0�(�)=�(�)−��(�)(22)0其中,�(�)是系统测量输出,而��(�)是对测量输出�(�)的估计。为了检测攻击造成的影响(或故障),需要设计一个合适的阈值,以保证系统的稳定性和安全性。本文中,阈值的形式设计如下:0���(�)0�0�0�=���(�))����01∕2�����0, �=��−��+1(23)0其中��和��分别表示评估时间间隔的初始时间和最终时间。�表示时间跨度。�(�)是系统测量输出和其估计之间的残差误差。该机制如图3所示。04.2. 针对DoS攻击的预测控制方法0DoS攻击可以分为长时间DoS和短时间间歇DoS。如果是长时间DoS攻击,唯一有效的方法是设置冗余资源(远程或本地)。如果是短时间尺度上的间歇DoS攻击,则可以使用预测控制方法完成缺失信息,并确保系统的稳定运行。由于设置冗余资源是一种更传统和简单的被动防御,因此这里不讨论。介绍了一种基于预测控制策略的间歇DoS攻击的主动防御策略。事件触发的预测控制策略可以设计如下:0��(���+1|���)=��(���)+���(���)��(���+�+1|���)=��(���+�|���)+���(���)���(����+�+��+1|���)=���(����+�+��|���)+���(����+�|���) 𝑖 ̃𝑥 (̃𝑘 𝑠 𝑖 + 𝑚 + 𝑗 𝑚 − ̃𝐵 𝑖 𝐾 𝑗 ̃𝑥 ̃𝑘 𝑠 𝑖 + 𝑚 𝑘 𝑠𝑖(25) ̃𝑥 (𝑘 𝑠 𝑖 + 1 |𝑘 𝑠 𝑖 )= 𝐴𝑥 (𝑘 𝑠 𝑖 )+ 𝐵𝐾𝑥 (𝑘 𝑠 𝑖 )̃𝑥 (𝑘 𝑠 𝑖 + ℎ + 1 |𝑘 𝑠 𝑖 )= 𝐴𝑥 (𝑘 𝑠 𝑖 + ℎ |𝑘 𝑠 𝑖 )+ 𝐵𝐾𝑥 (𝑘 𝑠 𝑖 )̃𝑘 𝑠 𝑖 +1 = inf 𝑛 𝑛 ̃𝑥 ̃𝑘 𝑠 𝑖 + 𝑛 𝑘 𝑠 𝑖 − 𝑥 𝑘 𝑠 𝑖 𝑇 𝑊 ×̃𝑥 ̃𝑘 𝑠 𝑖 + 𝑛 𝑘 𝑠 𝑖 − 𝑥 𝑘 𝑠 𝑖 𝛿 ̃𝑥 𝑇 ̃𝑘 𝑠 𝑖 + 𝑛 𝑘 𝑠 𝑖 𝑊 ̃𝑥 ̃𝑘 𝑠 𝑖 + 𝑛 𝑘 𝑠 𝑖 48 0Z.-g. Zhao, R.-b. Ye, C. Zhou等人。认知机器人学1(2021)41–570其中�∈ �1�{0,1,2,�,����+1−���−1},��∈ ���{0,1,2,�,����+�−����+�−1−2}和�∈{1,2,�,����}。0=�∑0�=10�=1 �� �0�����0)�����0其中��∈ �1Δ={1,�,���+�+1−���+�−1},�∈ �2Δ={0,1,2,�,����−1}。根据上述算法,可以分解为0分为以下6个步骤。0步骤1 控制器接收反馈�(���)或传感器发送�(���);步骤2 基于步骤1,计算预测数据��(�),0��(����+�+��+1|���)=���(����+�+��|���)+���(����+�|���)0步骤3 利用嵌入在控制器中的事件触发器,可以获得以下预测信息[�(���)��(����+1|���)���(����+����|���)]0步骤4 根据上一步的预测数据,推断出新的事件触发条件,如下所示0步骤5 将步骤3中的触发信息打包,并通过通信信道将此信息作为控制信号传输到工厂[�(���)�(����+1|���)��(����+����|���)]0步骤6利用来自控制器的实时接收数据,计算�步控制数据并将数据存储在本地内存中。当来自控制器的数据接收失败时,预测的控制数据将被用来替代不可用的控制数据。0备注3. 在这部分中,��(�)和����+�是预测状态和预测时间。04.3. 对抗重放攻击的动态滑动窗口场景设计0在之前的工作中[8,19],重放攻击的检测通常被认为是通过�2检测器和线性二次高斯(LQG)控制策略来实现的。本文首次提出了动态滑动窗口来检测重放攻击。分别为前向和后向通信通道设计了两个动态滑动窗口。前向扩展设计为0��(Δ�)=[�(��)�(��+1)��(��+�)]0��(Δ�)=[�(��)�(��+1)��(��+�)]0其中�是窗口的动态步长。而向后扩展设计为0����(Δ�)=[�(��+�)�(��+�+1)��(��+�+Δ��)]0����(Δ�)=[�(��+�)�(��+�+1)��(��+�+Δ��)]0其中Δ��表示动态窗口的长度。0备注4. 在这部分中,Δ��和�是选择的动态变量,根据监督长度进行变化。49 0Z.-g. Zhao, R.-b. Ye, C. Zhou等人。认知机器人学1(2021)41–570图4. 隐蔽攻击的主动攻击防御结构设计。04.4. 主动攻击防御结构设计0上述的防御方法都是被动的。为了增强防御效果和质量,主动防御场景也是必要的,特别是对于欺骗攻击。根据所描述的MITM攻击,我们设计了一个有效的主动防御场景,如图4所示。在这个设计中,数据将在传输之前进行处理和打包。为了保证数据的安全性,将采用哈希函数和代码隐藏技术。设计过程可以表述如下。控制器传输的数据被打包为{�����−�(�),���(�),���(�)}。���(�)是控制输入�(�)的哈希函数����(�)的输出。而���(�)用于验证控制数据�(�)是否被篡改。根据之前的工作[33],可以找到它们之间的关系。来自测量传感器的传输数据被打包为{�����−�(�),���(�),���(�)}。���(�)是输入�(�)的哈希函数的结果。而���(�)用于验证传感器输出数据�(�)是否被篡改。然后,数据序列����(�),����(�),����(�)和����(�)分别根据���(�),���(�),���(�)和���(�)进行验证。05. 稳定性和安全性分析0在信息安全领域,加密和解密方法结合检查方法是解决系统安全的主要方法。与控制理论的视角不同,严格证明的定理被用来验证系统安全条件是否满足。在提供设计方案之前,需要提出一些必要的假设。0假设1. 在(21)中,攻击者有能力非法拦截信息并在某些关键时间点向系统注入控制输入� � � ( �);攻击者有能力读取和修改所有传感器的输出数据,在本文中,攻击行为被表示为� � � ( � );0假设2. 如果描述的系统(21)正处于间歇DoS攻击(I-DoS-A)下,则攻击频率和攻击间隔受以下条件限制:0� ( � 0,� � ) ≤ � + � � − � 00� � (26)0Π( � 0,� � ) | ≤ � + � � 0� (27)0�代表单位时间内的DoS攻击平均次数和间歇DoS攻击的平均停留时间的上限。� ≥ 0,� ≥ 0,� ∈ � ≥ 0和� � ∈ � ≥ 0是给定的标量。0与信息安全不同,基于控制理论的安全控制应满足一些必要条件。根据以前的工作,以下是一些必要的定义。对于系统(21),该系统的控制器被设计为0� � � ( � ) = − � � � � � ( � ) ; � � ∈ { 1,�,�} (28) 0 (30) 𝑇 (31) Δ ( ) 𝑥 𝑖 𝑘 𝐴 𝑖 𝐵 𝑖 𝐾 𝑖 𝑃 𝑖 𝐴 𝑖 𝐵 𝑖 𝐾 𝑖 𝑃 𝑖 𝑥 𝑖 ( 𝑘 ) 𝑉 𝑥 𝑖 ( 𝑘 ) , 𝑘 2 DefineSys(32) 33) 0 50 0Z.-g. Zhao, R.-b. Ye, C. Zhou等人。认知机器人学1(2021)41–570定理1. 在攻击假设下,如果存在正定矩阵� �和标量� > 0,0 < � < 1,� 2 > � 1 > 0,� ∈{1,2,�,�},则由(21)描述的系统在零输入初始条件下被称为指数稳定(ES),如果满足以下不等式0‖‖ � � ( � ) ‖‖ < � � 2 ( � − � 0 ) ‖ ‖‖ � � ( � 0 )‖‖‖ (29)0如果存在对称正定矩阵� � = � � � > 0,使得以下不等式成立,则系统(21)被称为渐近稳定(AS)且具有H ∞ 水平� � ≥ 00� � � �� 0− � � 0 ( �� � − �� � � � � ) � � � �� � � 0 − � 2 � � � �0� � ( �� � − �� � � � � ) � − � � 0 �� � � 0 − �0� � � �� �0保持。0证明。Lyapunov函数设计为0其中� � = � � � > 0。系统(21)的动态轨迹上的� ( � � ( � ) , � ) 的差异表示为0如果 � � � ( � ) = 0,则系统(21)演变为� � ( � + 1) = � � � � ( � ),则差异函数变为0= � � � ( � + 1 ) � � � � ( � + 1 ) − � � � ( � ) � � � � ( � )0根据稳定化定义,存在� � = � � � > 0使得( �� � − �� � � � � ) � � � ( �� � − �� � � � � ) − � � < 0成立,这表明Δ � ( � � ( � ) , � ) < 0且� ( � � ( � + 1 ) , � + 1 ) ≤ � 2 � ( � � ( � ) , � ),其中� ∈(0,1)。因此,我们有0≤ � 2 [ � − ( � −2 ) ] � ( � � ( � − 2 ) , � −2 )0� ≤ � 2 ( � − � 0 ) � ( � � ( � 0 ) , � 0)0将 � 1 = � ��� { � � },� 2 = � ��� { � � },因此,我们可以推导出0� 1 ‖ ‖ � � ( � ) ‖ ‖ 2 < � ( � � ( � ) , � ) < � 2 ( � − � 0 ) � ( � � ( � 0 ) , � 0 ) < � 2 � 2 ( � − � 0 ) ‖ ‖‖� � ( � 0 )‖‖‖0然后,我们可以轻松得到0‖‖ � � ( � ) ‖‖ 20� 1 � 2 ( � − � 0 ) ‖ ‖‖ � � (� 0 )‖‖‖0� 1,那么我们可以得到0‖‖ � � ( � ) ‖‖ < � � 2 ( � − � 0 ) ‖ ‖‖� � ( � 0 )‖‖‖0如果扰动部分 � � � ( � ) ≠ 0,系统(21)的动态轨迹上 � ( � � ( � ) , � ) 的差异变为0∞0� =00[ Δ � ( � � ( � ) , � ) + � �0� ( � ) � � � ( � ) − � � �
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 5
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- C++标准程序库:权威指南
- Java解惑:奇数判断误区与改进方法
- C++编程必读:20种设计模式详解与实战
- LM3S8962微控制器数据手册
- 51单片机C语言实战教程:从入门到精通
- Spring3.0权威指南:JavaEE6实战
- Win32多线程程序设计详解
- Lucene2.9.1开发全攻略:从环境配置到索引创建
- 内存虚拟硬盘技术:提升电脑速度的秘密武器
- Java操作数据库:保存与显示图片到数据库及页面
- ISO14001:2004环境管理体系要求详解
- ShopExV4.8二次开发详解
- 企业形象与产品推广一站式网站建设技术方案揭秘
- Shopex二次开发:触发器与控制器重定向技术详解
- FPGA开发实战指南:创新设计与进阶技巧
- ShopExV4.8二次开发入门:解决升级问题与功能扩展
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功