基于DoS攻擊和檢測的信息物理系統攻擊策略

徐光延，何光明，劉 皓

(沈陽航空航天大學 自動化學院，沈陽 110136)

近年來，科研人員在信息與物理要素緊密結合的信息物理系統(CPS)各個方面取得了豐碩的研究成果[1-3]。CPS在各個領域有廣闊的應用場景，比如軍事國防、智能家居、智能電網等領域[4]。由于CPS包含大量的關鍵基礎設施，一旦受到攻擊，隨之而來的各方面損失巨大[5]。近幾年，世界范圍內發生的重大安全事件也暴露了CPS安全問題的重要性。例如，2003年1月，美國俄亥俄州核電站遭受了藍寶石蠕蟲病毒的DoS攻擊，攻擊者使核電站網絡數據在數小時內傳輸量劇增，導致該核電站計算及處理速度變緩，過程控制計算機無法運行[6]。2015年，Black-Energy3攻擊了烏克蘭的電力部門，導致7座110 kV和23座35 kV變電站斷電長達3小時[7]。針對信息物理系統的典型攻擊類型為：DoS攻擊、欺騙攻擊、重放攻擊等，其中DoS攻擊通過阻塞信道破壞數據的可用性或實時性，從而使發向控制器或執行器的數據包發生丟包或延遲[8]。

DoS攻擊下的CPS安全問題研究涉及多個學科，跨越多個領域，廣大的科研人員對此展開了廣泛的研究，并已取得了不少研究成果。文獻[9]總結了網絡攻擊的特點，并利用入侵者對系統模型的先驗知識定義了攻擊空間。針對DoS攻擊引起的劇烈丟包問題，文獻[10]通過設計一種基于半正定的因果控制器，實現了帶有安全和能量約束的系統最優控制。文獻[11]研究了服從Markov過程的DoS攻擊下的最優控制問題，并通過空間變換技術給出了最優控制解。文獻[12]將拒絕服務攻擊和控制器視為博弈雙方，研究了他們之間的零和博弈問題，并從鞍點平衡的角度分析了攻擊者和防御者之間的博弈策略。

現有的大部分研究均集中于給定攻擊模式下的系統性能分析，文獻[13]指出研究攻擊者最優的攻擊策略及其后果是CPS安全的重要方面。因此，本文的目標是研究如何最大化攻擊者的攻擊收益，從而使該攻擊對CPS的影響達到最大。傳感器處理測量數據，并通過無線信道將數據發送到遠程估計器，攻擊者具有有限的攻擊能量預算，并在每個采樣時間點決定是否對信道進行阻塞攻擊以降低遠程狀態估計質量。本文的主要貢獻體現在以下幾個方面：

(1)構造了DoS最優攻擊策略，可以最大化期望平均估計誤差；

(2)給出了基于遠程狀態估計端的入侵檢測系統(IDS)的最優攻擊策略；

(3)進一步給出了傳感器和攻擊者都具有能量約束時的最優攻擊策略。

1 系統建模和問題描述

網絡攻擊示意圖如圖1所示，系統的狀態方程為

圖1 網絡攻擊示意圖

(1)

其中xk為系統的狀態量，yk為系統的傳感器測量量，wk是系統過程噪聲，vk是測量噪聲，wk和vk是互不相關的零均值高斯白噪聲，相對應的協方差分別為∑w和∑v。假設(A,C)是可觀測的，(A,∑w1/2)是可控的。

(2)

攻擊者通過干擾無線信道來降低遠程估計質量，然而攻擊者的能量預算有限，必須在每次采樣時決定是否堵塞通道。假設傳輸過程中沒有DoS攻擊，則數據包將安全到達遠程估計器。

用γk=1或者0表示攻擊者在時間點k處是否攻擊。γ作為攻擊者的策略，定義了時間點為k時的攻擊策略γk。當攻擊者發起攻擊并阻塞信道時，傳感器數據包將以概率α丟包，用θk=1或者0表示時間點k時數據包是否丟包，假設θk為伯努利隨機變量，即

E(θk)=α

(3)

(4)

(5)

‖γ‖0=n

(6)

對于一個已給定的攻擊序列γ，定義Ja(λ)為平均期望誤差協方差矩陣

(7)

本文站在攻擊者的角度，希望解決以下主要問題，其中Z={0,1}T為所有攻擊者可能的攻擊策略集合

(8)

2 最優攻擊策略分析

2.1 在DoS攻擊下的遠程狀態估計和攻擊策略

在此定義一個h(X)函數變換，此函數用來表示在DoS的不斷攻擊下系統誤差協方差的疊加

h(X)?AXA′+∑w

(9)

其中h(X)函數具有如下性質[15]

(10)

(11)

在連續攻擊區間[s+1,s+m]，誤差協方差矩陣Ps+k可以表示為

(12)

條件概率計算表示如下，該性質可由數學歸納法得到

(13)

舉例說明一下，對于這樣的一個攻擊序列

(14)

可以計算Ja(γ)

(15)

從性質(1)和(4)可以看出，對于攻擊者來說，攻擊次數越多，攻擊收益越大；從性質(2)和(3)可以看出，集中攻擊比分段攻擊的收益要大。

對于前文的主要問題，本節給出對應的收益

(16)

2.2 在給定IDS下的最優攻擊策略

上文所涉及的問題是在沒有防御措施的前提下進行討論的。實際應用中，當估計器察覺到由于環境變化或者敵人入侵等未知因素而導致數據丟包時，通常在接收端設計一個入侵檢測器(如圖2所示)，作為有效降低這些影響因素的關鍵。本文提出了接收端數據包接收率(PRR)這個概念來作為入侵檢測的標準，PRR是與傳感器發送出去的數據包相比，被成功接收到估計器的數據包接收率。本文給出PRR的計算公式

圖2 存在入侵檢測器下的網絡攻擊原理圖

(17)

其中τ表示一個給定時間窗的長度，σ表示在給定的時間范圍中接收到的數據包數量。如果PRR太小，則檢測器推斷系統中存在攻擊者，并發出警報，傳感器可以使用信道跳頻技術來保證數據包能夠被遠程估計器接收到。假設當PRR≤PRR0時，警報會觸發，PRR0是給定的警報邊界值。

由此可引出如下的一條性質

由此性質可知，任何攻擊序列如果不超過長度d的攻擊，都不會被檢測器檢測到。其中

(18)

事實上，攻擊者可以通過無線信道竊取時間窗τ和PRR0的數值，然后再采取攻擊行動。為了不被IDS檢測到，引出了這樣一個約束問題以及對應的解

(19)

(20)

如果d≥n，那么n次連續的攻擊都是最優攻擊，最優解在式(16)中給出；如果d

當z0+z1+z2+z3+(s1+s2)σ0=T-n，s1+s2=m，m為n/d的商，r為余數，收益為

(21)

2.3 能量約束下的最優攻擊策略

上述問題是在假設傳感器有足夠的能量可以在整個時間范圍內傳輸的前提下討論的，而當傳感器能量受限時，不能一直傳輸數據，這時攻擊者需要改變攻擊策略，假定傳感器和估計器都不知道攻擊者的存在。

定義Vk=1或者0表示傳感器在時間點k時是否傳輸的決策變量，用V表示傳感器的傳輸策略，它定義了時間k時的Vk。Θ來表示V的集合，所考慮的傳感器能量約束問題為

(22)

s.t.‖V‖0=N

(23)

‖γ‖0=n

(24)

從文獻[16]中得到如下性質

(25)

其中令q=[T/N]，序列中有T-qN次τi=q，(q+1)N-T次τi=q-1；

假設攻擊者在攻擊行動開始之前，可通過長時間的竊聽傳輸信道來獲得傳感器的傳輸策略。將t(i)=1,2,…,N表示傳感器數據包傳輸時間。如果n≥N，很顯然最優攻擊策略作用于整個傳輸時間t(i)=1,2,…,N；所以只需要考慮約束問題(22)～(24)中n

當n<(1/2)T時，傳感器傳輸策略V*∈Θ有如下序列結構

(26)

最優的攻擊策略由γt(k)=1,k=i+1,i+2,…,i+n和γk=0給出。對應的攻擊收益為

(27)

其中，hi(α,Δτ)=[(n-i)(αi-αi+1)+αi]hi(Δτ)

當n≥(1/2)T，α=1，傳感器策略V*是如下序列結構

(28)

最優的攻擊策略γ*由γt(k)=1,k=i+1,i+2,…,i+n和γk=0給出，對應的攻擊收益為

(29)

其中，n=δb+b0,0≤b0≤b。

3 仿真結果

表1 10種攻擊策略組合

圖3 隨著攻擊次數n增加不同攻擊策略下的Tr(Ja)(T=100,α=1)

圖4 隨著丟包率α增加不同攻擊策略下的Tr(Ja)(T=100)

圖5 不同丟包率條件下的攻擊策略Tr(Ja)

4 結論

本文考慮了針對無線信道進行遠程狀態估計的最優攻擊策略問題，得到了如下結論：連續集中的DoS攻擊會造成最大期望的平均誤差協方差，當攻擊被均勻分離后，攻擊對系統的估計質量影響最小。當估計器端存在入侵檢測器時，通過基于入侵檢測的最優攻擊策略方案，大大減少被攻擊的損失。提出當傳感器和攻擊者同時受到能量約束時的最優攻擊策略。并引入博弈論思想，證明了對方策略的交互構成了一個零和博弈的納什均衡。仿真結果證明所提出的最優攻擊策略有效。