信息安全攻擊的信息物理攻擊建模與影響分析

信息安全攻擊的信息物理攻擊建模與影響分析

信息物理系統(tǒng)（cps）是一個集成信息、通信、感知和控制于物理空間的全面復(fù)雜系統(tǒng)。在CPS應(yīng)用中,最關(guān)注的焦點(diǎn)是它在電力、石油石化、核能、航空、鐵路、關(guān)鍵制造等關(guān)系國計(jì)民生的國家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)中的應(yīng)用,即工業(yè)控制系統(tǒng)(ICS)。為同關(guān)鍵基礎(chǔ)設(shè)施傳統(tǒng)IT系統(tǒng)進(jìn)行區(qū)分,本文中將這些系統(tǒng)稱為關(guān)鍵基礎(chǔ)設(shè)施信息物理系統(tǒng)(CI-CPS)。震網(wǎng)等事件已經(jīng)實(shí)證了信息安全攻擊能對CI-CPS產(chǎn)生嚴(yán)重的物理影響,甚至危及國家安全。本文將這類通過信息安全攻擊手段產(chǎn)生物理影響的新型攻擊稱為信息物理攻擊,這也是當(dāng)前信息安全領(lǐng)域研究的重要方向。本文首先通過CI-CPS系統(tǒng)體系結(jié)構(gòu)和概念示意圖描述所提出的關(guān)鍵基礎(chǔ)設(shè)施信息物理系統(tǒng)和信息物理攻擊的理解,并給出信息物理運(yùn)行雙環(huán)分析模型,然后基于該模型給出信息物理攻擊的建模和形式化方法。結(jié)合CI-CPS信息安全實(shí)踐需求和實(shí)驗(yàn)研究特點(diǎn),提出告警停車時長(ASD)指標(biāo)作為信息物理攻擊影響的一個重要度量指標(biāo),基于實(shí)際化工廠所開發(fā)的物理模型———TE(Tennessee-Eastman)過程模型的仿真系統(tǒng)中進(jìn)行測試、分析和評價,以期揭示不同信息物理攻擊策略和參數(shù)的不同攻擊特征和影響。1信息攻擊視角1.1關(guān)鍵基礎(chǔ)設(shè)施信息物理系統(tǒng)基于文的討論圖1給出了CI-CPS體系結(jié)構(gòu)和相關(guān)概念示意圖。從圖1可見,電力、石油石化、核能、航空、鐵路、關(guān)鍵制造等關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)傳統(tǒng)上分為相對獨(dú)立IT系統(tǒng)和工業(yè)控制系統(tǒng)這2個部分。但隨著信息技術(shù)的發(fā)展和應(yīng)用,在關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)中,信息、通信、傳感和控制嵌入并同物理空間相融合形成信息物理系統(tǒng),這就是本文所提出的關(guān)鍵基礎(chǔ)設(shè)施信息物理系統(tǒng)(CI-CPS)。傳統(tǒng)上IT系統(tǒng)主要關(guān)注信息安全(Security)、工業(yè)控制系統(tǒng)主要關(guān)注生產(chǎn)安全(Safety)。傳統(tǒng)信息安全(Security)攻擊中攻擊主體是黑客、有組織犯罪團(tuán)體等智能主體,攻擊手段采取信息安全攻擊手段,攻擊對象在信息空間中,其影響是對信息產(chǎn)生機(jī)密性、完整性和可用性(CIA)影響;傳統(tǒng)的生產(chǎn)安全(Safety)隱患中起因是物理設(shè)備的隨機(jī)硬件故障等,影響手段是設(shè)備老化、電磁干擾等物理空間方式,影響對象在物理空間中,影響后果是對造成健康、安全或環(huán)境等物理影響。而隨著CI-CPS系統(tǒng)的形成和發(fā)展,信息安全攻擊和問題也隨之嵌入到CI-CPS系統(tǒng)中,并隨著信息空間和物理空間的融合帶來了新的影響和變化。本文所討論的信息物理攻擊是指在CI-CPS環(huán)境中,由黑客、有組織犯罪團(tuán)體等智能主體采取信息安全攻擊手段產(chǎn)生物理影響的攻擊。1.2信息域和物理運(yùn)行環(huán)從信息物理攻擊的概念和視角來看,信息物理攻擊就是要通過信息攻擊的手段來破壞物理生產(chǎn)過程從而達(dá)到產(chǎn)生物理影響的目的。因此本文基于美國NISTSP800-82工業(yè)控制系統(tǒng)安全指南中的工業(yè)控制系統(tǒng)運(yùn)行模型提出了信息物理系統(tǒng)運(yùn)行雙環(huán)分析模型,參見圖2。如圖2所示,CI-CPS是信息域和物理域的融合系統(tǒng),它包括分別位于信息域(cyber)和物理域(physical)的2個相互關(guān)聯(lián)的環(huán)組成。信息域環(huán)由運(yùn)行人員(操作員和工程師等)、上位機(jī)、網(wǎng)絡(luò)和控制器組成,是一個人在環(huán)的系統(tǒng)。信息域環(huán)中運(yùn)行人員(操作員和工程師等)使用上位機(jī)來監(jiān)測和配置控制器中的設(shè)定點(diǎn)、控制算法,調(diào)整并建立參數(shù),查看過程狀態(tài)信息和歷史數(shù)據(jù)。本文中將此環(huán)定義為信息監(jiān)控環(huán)。物理域環(huán)由控制器、網(wǎng)絡(luò)、執(zhí)行器、傳感器和物理系統(tǒng)組成,是一個物理系統(tǒng)在環(huán)的系統(tǒng)。物理域環(huán)中控制器接收傳感信號,根據(jù)所設(shè)置的控制算法進(jìn)行運(yùn)算,輸出控制變量,從而對物理系統(tǒng)生產(chǎn)過程進(jìn)行控制。本文將此控制環(huán)定義為物理運(yùn)行環(huán)。在這2個環(huán)中,關(guān)注的焦點(diǎn)是控制變量、傳感變量和控制邏輯,正是由于這3類要素在整個CI-CPS系統(tǒng)中的傳送、運(yùn)算和實(shí)施,形成了由信息監(jiān)控環(huán)和物理運(yùn)行環(huán)相互交互、相互依賴所組成的從人到物理系統(tǒng)的大環(huán),因此信息安全攻擊的對象和目的也就是破壞這個大環(huán)最終產(chǎn)生的物理破壞和影響。從信息安全視角來看,信息物理攻擊的主要目標(biāo)是通過信息攻擊手段直接或間接操縱控制變量、傳感變量和控制器傳遞函數(shù),從而對所控制的物理系統(tǒng)產(chǎn)生損害,產(chǎn)生健康、安全或環(huán)境等物理影響。也就是說主要開展信息攻擊產(chǎn)生物理影響的科學(xué)和工程研究。1.3控制變量的定義如圖2所示,本文首先對時間變量、傳感變量、控制變量、擾動變量和控制邏輯進(jìn)行基本形式化,它代表整個系統(tǒng)在未受外部攻擊情況下的期望值。操作員和分析人員用該值建立系統(tǒng)是否正常運(yùn)行的主觀感知和判斷。定義1時間變量。令t表示時間變量。其中過程運(yùn)行觀測時間為從t=0到t=tt,令TRP為過程運(yùn)行觀測時長,則TRP=[0,tt]。攻擊時間從t=ts開始并結(jié)束于t=te,ts>0,te<tt,令TAP為攻擊時長,則TAP=[ts,te]。定義2傳感變量。令Y是所有傳感變量的集合,Y=[y1(t),y2(t),…,yn(t)]T,n是傳感變量的數(shù)量,yi(t)是第i個傳感變量在時間t的變量值,1≤i≤n。定義3控制變量。令U是所有控制變量的集合,U=[u1(t),u2(t),…,um(t)]T,m是控制變量的數(shù)量,uj(t)是第j個控制變量在時間t的變量值,1≤j≤m。定義4擾動變量。令D是所有控制變量的集合,D=[d1(t),d2(t),…,do(t)]T,o為傳感變量的數(shù)量,dk(t)是第k個傳感變量在時間t的變量值,1≤k≤0。定義5控制邏輯。令GC為控制器的控制邏輯。接下來定義在上位機(jī)、控制器和被控過程所實(shí)際觀測(傳感變量)或操作(控制變量)的實(shí)際值。實(shí)際值是上位機(jī)、控制器和被控過程實(shí)體實(shí)際觀測(傳感變量)、操作的值(控制變量)和控制邏輯。定義6上位機(jī)傳感變量實(shí)際值。令yi,M(t)表示上位機(jī)傳感變量i在時間t的實(shí)際值,1≤i≤n,t∈[0,tt],n是傳感變量數(shù),tt為實(shí)驗(yàn)運(yùn)行觀測終止時間。定義7上位機(jī)控制變量實(shí)際值。令uj,M(t)是上位機(jī)控制變量j在時間t的實(shí)際值,1≤j≤m,t∈[0,tt],m是控制變量數(shù),tt為實(shí)驗(yàn)運(yùn)行觀測終止時間。同理,可分別為控制器、被控過程分別定義其傳感變量和控制變量實(shí)際值,即yi,C(t)、uj,C(t)和yi,P(t)、uj,P(t),1≤i≤n,1≤j≤m,0≤t≤tt。定義8控制器實(shí)際控制邏輯。G′C為控制器傳遞函數(shù)的實(shí)際邏輯。2ci-cps中的第4類攻擊本節(jié)將在CI-CPS運(yùn)行雙環(huán)分析的基礎(chǔ)上,增加信息物理攻擊的形式化描述,從而能在CI-CPS的環(huán)境中更全面地理解信息物理攻擊。為了簡化后續(xù)分析,建立3個假設(shè)。假設(shè)1攻擊者已經(jīng)通過信息攻擊手段具備了修改物理運(yùn)行環(huán)中傳感變量和控制變量的能力,并在此基礎(chǔ)上發(fā)起信息物理攻擊。在CI-CPS信息域中,攻擊者可以通過攻擊上位機(jī)、攻擊信息監(jiān)控環(huán)中上位機(jī)和控制器之間的網(wǎng)絡(luò)以及攻擊控制器獲得假設(shè)1中的能力。在CI-CPS物理域中,攻擊者可以通過對聯(lián)網(wǎng)控制系統(tǒng)(NCS)和無線傳感器等的攻擊獲得假設(shè)1中的能力。假設(shè)2攻擊者不具備對控制器中控制邏輯的修改能力。本文不討論攻擊者具備對控制器中控制邏輯修改能力的情況,因?yàn)樵谶@種情況下攻擊者顯然能對CI-CPS造成各種他所期望的破壞,正如震網(wǎng)事件所展示的。假設(shè)3討論攻擊效果時不考慮環(huán)境變量的擾動。本文不討論在環(huán)境擾動前提下的攻擊效果,而只探討在無干擾條件下,不同攻擊策略所能引起的攻擊效果。在給定上述假設(shè)的情況下,就可以在CI-CPS運(yùn)行雙環(huán)分析的基礎(chǔ)上引入簡化的攻擊變量,即僅在物理運(yùn)行環(huán)中只考慮控制器和被控過程的傳感變量和控制變量攻擊。定義9物理運(yùn)行環(huán)傳感變量攻擊值。令表示物理運(yùn)行環(huán)中傳感變量i在時間t的實(shí)際值,1≤i≤n,t∈[0,tt],n是傳感變量數(shù),tt為實(shí)驗(yàn)運(yùn)行觀測終止時間。定義10物理運(yùn)行環(huán)控制變量攻擊值。令表示物理運(yùn)行環(huán)控制變量j在時間t的實(shí)際值,1≤j≤m,t∈[0,tt],m是控制變量數(shù),tt為實(shí)驗(yàn)運(yùn)行觀測終止時間。信息物理攻擊建模包括物理運(yùn)行環(huán)傳感變量攻擊建模、物理運(yùn)行環(huán)控制變量攻擊值建模這2部分。1)物理運(yùn)行環(huán)傳感變量攻擊建模其中:A、B、C是攻擊者選擇的常量參數(shù);αi(t)是攻擊者選擇的時變函數(shù)。2)物理運(yùn)行環(huán)控制變量攻擊值建模其中:A、B是攻擊者選擇的常量參數(shù);αi(t)是攻擊者選擇的時變函數(shù)。同Huang等提出的控制系統(tǒng)攻擊建模相比,一方面本文沒有選擇最大攻擊值和最小攻擊值限制,因?yàn)樾钜夤粽呖梢赃x取任何值進(jìn)行攻擊且本文一個目的就是要考察傳統(tǒng)控制邏輯和容錯算法等對信息物理攻擊的韌性;另一方面Huang等僅定義了時變函數(shù)同原信號相乘或相加進(jìn)行疊加的情況,而現(xiàn)實(shí)中蓄意攻擊者可以采用任何攻擊方式破壞完整性。下面以式(1)傳感變量攻擊建模為例描述Huang等描述的完整性攻擊中最大和最小值攻擊、縮放攻擊和添加攻擊策略。1)令式(1)中A=B=C=0,D=yimin或yimax,則描述了最大或最小值攻擊,此時:2)令式(1)中A=1,B=C=D=0,αi(t)=α′i(t)yi(t),則描述了縮放攻擊,此時3)令式(1)中A=0,B=1,C=1,D=0,則描述了添加攻擊,此時3結(jié)果與分析3.1ci-cps信息物理攻擊的實(shí)驗(yàn)仿真?zhèn)鹘y(tǒng)信息安全攻擊影響的分析方法和實(shí)踐方法并不適用于CI-CPS的攻擊影響分析。一方面,在影響度量和分析方法上,傳統(tǒng)信息安全中主要考慮信息安全攻擊對信息的機(jī)密性、完整性和可用性(CIA)的影響和評估,其度量也相應(yīng)根據(jù)CIA展開,是一種對虛擬量的度量和研究分析方法,而CI-CPS信息物理攻擊關(guān)注設(shè)備損壞、人員傷亡等實(shí)際物理量的物理影響,其度量和研究方法完全不同;另一方面,在實(shí)驗(yàn)方法上,傳統(tǒng)信息安全可采用在真實(shí)環(huán)境中使用滲透測試來獲得信息安全攻擊的實(shí)證,但CI-CPS系統(tǒng)本身就是關(guān)系國計(jì)民生的生產(chǎn)運(yùn)行系統(tǒng),對這些系統(tǒng)的在線測試可能會導(dǎo)致真實(shí)的物理破壞,因此從生產(chǎn)安全的角度來看,對CI-CPS生產(chǎn)運(yùn)行系統(tǒng)的真實(shí)滲透測試是不可行的。關(guān)于對CI-CPS的建模仿真是當(dāng)前模擬仿真領(lǐng)域的熱點(diǎn),有大量研究提出了各種CI-CPS模擬仿真方案,包括以復(fù)制方式建設(shè)的測試床、以復(fù)制和模擬為主虛實(shí)結(jié)合的測試床和以仿真為主的測試床。在本文的實(shí)驗(yàn)設(shè)置中,在Matlab中建立對物理過程和控制邏輯的仿真進(jìn)行實(shí)驗(yàn)。3.2模型設(shè)計(jì)背景在本文的信息物理攻擊定義下,主要考慮信息物理攻擊的物理影響。定義11告警停車時長(ASD)。告警停車時長是在信息監(jiān)控環(huán)中從上位機(jī)操作員視角看到告警到物理運(yùn)行環(huán)中物理系統(tǒng)產(chǎn)生物理停車之間的時長。令t表示時間變量,tai為告警傳感變量yi(t)到達(dá)告警閾值邊界的時間,tpi為告警傳感變量yi(t)到達(dá)停車閾值邊界的時間,ASDi為告警傳感變量yi(t)的告警停車時長ASDi=tpi-tai。在實(shí)驗(yàn)過程中,ASDi≤TAP≤TRP。雖然在現(xiàn)實(shí)中信息物理攻擊影響是對健康、安全或環(huán)境的影響進(jìn)行度量,例如甚至對人員傷亡率作為度量指標(biāo)。但一方面仿真模型和控制算法的設(shè)計(jì)范圍限于停車,超出該臨界范圍模型是無效的(但在現(xiàn)實(shí)中,例如當(dāng)反應(yīng)器壓力到達(dá)3000kPa后反應(yīng)器將面臨爆炸的危險);另一方面,在現(xiàn)實(shí)系統(tǒng)中會為關(guān)鍵參數(shù)設(shè)置告警,為更現(xiàn)實(shí)地反映信息物理攻擊的有效性,本文選取告警停車時長(ASD)作為物理影響的度量,從而更嚴(yán)格地考察傳統(tǒng)控制邏輯對信息物理攻擊的可生存性(或韌性)。因此,本文認(rèn)為選取告警停車時長作為物理影響度量是合理的,并且它比單純是否能造成停車、停車時長等要更具現(xiàn)實(shí)性。3.3基于規(guī)律的過程控制模型為了對信息物理攻擊的物理影響進(jìn)行實(shí)驗(yàn)分析和研究,本文選取了TE(Tennessee-Eastman)過程作為被控過程對象進(jìn)行實(shí)驗(yàn)研究和分析。TE過程是1993年美國TennesseeEastman化學(xué)公司的Downs和Volgel根據(jù)該公司的一個實(shí)際化工生產(chǎn)過程所開發(fā)的模型。本文選取了Ricker的控制算法實(shí)現(xiàn)過程控制,并在Matlab/Simulink中實(shí)現(xiàn)了整個系統(tǒng)。圖3描述了TE模型的工藝流程圖。它包括41個傳感變量、12個控制變量、6種運(yùn)行模型、15種已知環(huán)境擾動。為使模型更接近現(xiàn)實(shí)情況,Downs和Volgel還對控制器增加了對過程運(yùn)行的限制,設(shè)定了5個傳感變量為告警監(jiān)測對象,參見表1。3.4te的攻擊執(zhí)行時間從攻擊視角來看,在自動控制領(lǐng)域,主要研究焦點(diǎn)是設(shè)計(jì)TE的控制邏輯在無意的物理擾動情況下盡可能防止產(chǎn)生停車甚至爆炸等嚴(yán)重物理影響。而在CI-CPS領(lǐng)域中,主要研究焦點(diǎn)是考察整個系統(tǒng)對來自具有惡意和蓄意意圖的智能主體(包括黑客、有組織犯罪、恐怖分子甚至是敵對國家等)采取以信息攻擊手段為主的手段,防止或降低由此帶來的對環(huán)境破壞、物理安全以及人身安全等嚴(yán)重物理影響。雖然從影響和后果來看兩者的關(guān)注重點(diǎn)相同,但從起因和攻擊模式上兩者存在巨大差別。在本文攻擊實(shí)驗(yàn)中,TE系統(tǒng)的仿真時間從t=0h到t=24h;若無特殊指明,則攻擊執(zhí)行時間為從t=1h到t=24h。實(shí)驗(yàn)中,選擇了TE系統(tǒng)中反應(yīng)器壓力(y1)、反應(yīng)器液位(y2)、反應(yīng)器溫度(y3)、氣液分離塔液位(y4)和汽提塔液位(y5)這5個告警傳感變量進(jìn)行監(jiān)測。監(jiān)測值分為2類,一類是從控制器上取出的變量值,反應(yīng)在信息監(jiān)控環(huán)中操作員在人機(jī)接口(HMI)中看到的告警監(jiān)測變量值yi,M=yi,C(假設(shè)信息監(jiān)控環(huán)中沒有攻擊修改傳感變量值);另一類是從TE化工廠仿真模型上取出的變量值yi,P,反應(yīng)在物理運(yùn)行環(huán)中物理系統(tǒng)實(shí)際的告警監(jiān)測變量值。由于信息物理攻擊,兩者可能不一致。3.4.1教育環(huán)境物理擾動和異常環(huán)境下的模式創(chuàng)新在本文的監(jiān)測圖中點(diǎn)線表示告警閾值,淺虛線表示停車閾值,深實(shí)線表示監(jiān)控?cái)?shù)據(jù),該數(shù)據(jù)在傳感信號未被篡改時等同于系統(tǒng)的實(shí)際物理值,而當(dāng)在信息物理攻擊下導(dǎo)致監(jiān)測對象的監(jiān)控?cái)?shù)據(jù)與實(shí)際物理值不同時,圖上將額外使用深虛線來表示系統(tǒng)的實(shí)際物理值。實(shí)際操作中,當(dāng)監(jiān)控?cái)?shù)據(jù)到達(dá)告警閾值時,代表系統(tǒng)會產(chǎn)生告警,通知監(jiān)控人員系統(tǒng)可能會發(fā)生險情。而當(dāng)實(shí)際物理值到達(dá)停車閾值時,則代表系統(tǒng)已經(jīng)遭遇停車。圖4顯示了正常情況下告警監(jiān)測變量的監(jiān)測圖。圖5以加入影響A、C、D物料進(jìn)料構(gòu)成比例的物理擾動為例(即Downs和Volgel的TE模型挑戰(zhàn)中的IDV8擾動類型),顯示了在環(huán)境物理擾動下告警變量的監(jiān)測圖。從圖5可見,傳統(tǒng)的控制算法是能夠魯棒于物理擾動的。3.4.2類攻擊方式在信息物理攻擊的單變量攻擊模式中,攻擊方選取單個傳感變量信號或單個控制變量信息進(jìn)行攻擊。本文中主要討論2類攻擊方式:添加攻擊和替換攻擊。添加攻擊是在原信號基礎(chǔ)上添加相關(guān)攻擊參數(shù)進(jìn)行攻擊,替換攻擊則是使用攻擊信號直接替換原信號進(jìn)行攻擊。在本文中,攻擊時間都從ts=1開始直到造成停車,或者到tt=24仿真結(jié)束,即仿真時間窗口為Ta=[1,24]。3.4.3高隱蔽性攻擊的影響在對傳感信號的攻擊實(shí)驗(yàn)中,這里以直接攻擊告警傳感變量:反應(yīng)器液位傳感信號(y2)為例。在攻擊模式上,首先考察常量添加攻擊,攻擊策略描述如下:對于反應(yīng)器液位傳感信號(y2),從圖4a可見該信號的正常運(yùn)行值在14m3到15m3之間,而由表1其不觸發(fā)告警的波動區(qū)間為y2∈(11.8m3,21.3m3),其停車范圍為y2≤2.0m3或y2≥24.0m3。因此,分別選取A=3.8m3,6m3,7.6m3,19m3,38m3進(jìn)行常量疊加攻擊實(shí)驗(yàn),可以得到圖6—圖10等實(shí)驗(yàn)結(jié)果。這里每次只選取被攻擊項(xiàng)、觸發(fā)告警項(xiàng)和造成停車項(xiàng)信號的數(shù)據(jù)(可能有重復(fù))來展示,其余對攻擊實(shí)驗(yàn)影響較小的數(shù)據(jù)不做贅述。在常量添加攻擊模式中,通過選取不同攻擊參數(shù)的攻擊策略,對應(yīng)的告警停車時長(ASD)數(shù)據(jù)如表2所示。分析實(shí)驗(yàn)結(jié)果,可以發(fā)現(xiàn)在不同的攻擊參數(shù)下,常量添加攻擊有如下結(jié)論:1)低強(qiáng)度常量添加攻擊。當(dāng)攻擊參數(shù)選取較低,如圖6中A=3.8m3,攻擊開始時攻擊參數(shù)和原值疊加結(jié)果在無告警區(qū)間。在實(shí)驗(yàn)中,上位機(jī)的反應(yīng)器液位傳感變量觀測值y2,M不產(chǎn)生告警,實(shí)際反應(yīng)器液位傳感變量物理過程值y2,P和其他相關(guān)物理過程值無法達(dá)到物理停車閾值;系統(tǒng)整體趨向穩(wěn)定,不會產(chǎn)生物理停車情況。因此,傳統(tǒng)的控制算法魯棒于低強(qiáng)度常量添加攻擊。2)臨近告警值常量添加攻擊。當(dāng)攻擊參數(shù)和原值疊加接近告警值時,如圖7(A=6m3),攻擊開始時疊加后的數(shù)據(jù)接近上告警閾值。在實(shí)驗(yàn)中,上位機(jī)的反應(yīng)器液位傳感變量觀測值y2,M始終在正常區(qū)間內(nèi),不產(chǎn)生告警;但由于關(guān)聯(lián)關(guān)系,分離塔液位傳感變量觀測值y4,M最先開始告警,接下來汽提塔液位(y5)物理過程值y5,P更快達(dá)到停車值,系統(tǒng)停車。因此,常量添加攻擊中被攻擊變量本身可能不會告警和停車,但也可以通過關(guān)聯(lián)關(guān)系導(dǎo)致其他變量告警和停車。3)過告警常量添加攻擊。如圖8(A=7.6m3)、圖9(A=19m3)和圖10(A=38m3),攻擊開始時疊加后的數(shù)據(jù)直接超過上告警閾值。在攻擊過程中,因?yàn)槠崴何?y5)物理過程值y5,P更快達(dá)到停車值而停車。其中當(dāng)在攻擊開始時疊加值超過但接近告警值時,即A=7.6m3時,僅有短暫時間告警然后y2,M顯示迅速回到正常值。當(dāng)在攻擊開始時疊加值遠(yuǎn)超過告警值時,即A=19m3,y2,M告警顯示將一直存在,而這2次實(shí)驗(yàn)在告警停車時長上并無明顯區(qū)別。因此,常量添加攻擊存在攻擊強(qiáng)度的有效區(qū)間,低于下限則物理系統(tǒng)和控制算法韌性于攻擊,不會產(chǎn)生停車;高于上限后攻擊強(qiáng)度的增加對告警停車時長幾乎不會產(chǎn)生有效影響。前面所描述的攻擊都是針對反應(yīng)器液位傳感變量觀測值y2的攻擊,為進(jìn)一步討論一些特殊的攻擊影響,本文選擇了一個針對氣液分離塔液位(y4)的添加攻擊,攻擊疊加量A=3.8m3,屬于臨近告警常量添加攻擊。從圖11中可見,該攻擊從上位機(jī)視角來看沒有產(chǎn)生任何告警(其余未顯示的告警變量同樣也沒有觸發(fā)告警),但在實(shí)際物理系統(tǒng)中由于氣液分離塔液位物理過程值y4,P到達(dá)停車值將造成停車。所以,通過選擇特定傳感變量和特定攻擊模式,對傳感變量的攻擊可以在不觸發(fā)告警的情況下產(chǎn)生系統(tǒng)停車。最后考慮則對反應(yīng)器液位傳感變量y2的常量替換攻擊,攻擊策略描述如下。實(shí)驗(yàn)取攻擊參數(shù)B=21.1m3,即接近告警上閾值攻擊。實(shí)驗(yàn)結(jié)果如圖12所示。在替換攻擊策略當(dāng)中,選取接近告警閾值的常量替換,這同Huang等描述的最大最小值完整性攻擊相類似,其結(jié)果雖然直接攻擊的反應(yīng)器液位傳感變量觀測值y2,M始終在正常區(qū)間內(nèi),不產(chǎn)生告警;但由于關(guān)聯(lián)關(guān)系,分離塔液位傳感變量觀測值y4,M最先開始告警并達(dá)到停車閾值,系統(tǒng)停車。在該攻擊模式下,告警停車時長僅為0.2h。臨近告警值替換攻擊的告警停車時長最短,這同Huang等結(jié)果一致。4優(yōu)化控制參數(shù)對于單控制變量信號的攻擊實(shí)驗(yàn),在攻擊模式上,選擇更為有效的常量替換攻擊。即首先考慮替換分離塔液體流量控制參數(shù)為B=100%,實(shí)驗(yàn)結(jié)果如圖13所示。在嘗試將反應(yīng)器冷凝水流量控制參數(shù)替換為B=100%,得到實(shí)驗(yàn)結(jié)果如圖14所示:這2次實(shí)驗(yàn)的告警停車時長(ASD)數(shù)據(jù)如表3所示。所以,針對控制信號的攻擊比針對傳感信號的攻擊要更為直接,雖然這種攻擊策略必然會觸發(fā)告警,但是考慮到足夠短的告警停車時長,該攻擊策略仍然十分有效。5控制變量和傳感變量組合攻擊最后本文將討論對多變量信號同時進(jìn)行組合攻擊的攻擊實(shí)驗(yàn)。1)對多傳感變量攻擊進(jìn)行攻擊實(shí)驗(yàn)。對于反應(yīng)器液位(y2),使用替換攻擊令B=21.1m3,同時對氣液分離塔液位(y4)疊加A=-16.3(t-1)m3的信號,可以得到如圖15所示結(jié)果。通過多傳感變量攻擊組合,能實(shí)現(xiàn)在不發(fā)生告警的情況下