攻击与故障共存的ICPS综合安全控制方法

　　摘 要：针对同时存在假数据注入(FDI)攻击与执行器故障的工业信息物理融合系统(ICPS)，在离散事件触发机制(DETCS)下，综合应用Lyapunov稳定性理论及更具少保守性的仿射Bessel-Legendre不等式，研究执行器故障与FDI攻击估计、综合安全控制与通讯协同设计问题. 从主动防御攻击的态势入手，综合考虑通讯资源与计算资源的高效利用与合理分配，给出DETCS下的ICPS综合安全控制架构，将鲁棒估计器与综合安全控制器的设计统一于同一非均匀数据传输机制下. 将执行器故障与FDI攻击增广为同一向量，给出系统状态、增广故障鲁棒估计器的设计方法. 基于所得估计结果并结合事件触发条件，对执行和传感双侧网络中的FDI攻击分别采用分离与补偿的防御策略，对执行器故障进行故障调节，给出综合安全控制器设计方法，实现对FDI攻击和执行器故障主动容侵和主动容错的综合安全控制与通讯协同设计. 通过数值算例和四容水箱实例，仿真验证了提出方法的有效性.

　　关键词：工业信息物理融合系统(ICPS);假数据注入攻击;执行器故障;鲁棒H∞估计;控制与通讯协同设计

　　信息物理融合系统(cyber-physical systems,CPS)是计算单元与物理对象在网络空间中高度融合而成的智能系统，已广泛应用于智能电网、智慧医疗、工业控制等领域[1-3]. CPS与工业控制融合而产生的工业信息物理融合系统(industrycyber-physical system, ICPS)由于在优化生产方式、提高生产效率、精简生产流程等方面的优势，成为工控领域的新宠[4-5]，典型代表即工业4.0. ICPS在提高生产效率和智能维护水平的同时，面临着众多亟待解决的问题，其中开放网络环境面临的网络攻击与恶劣工业环境导致的物理器件故障都成为ICPS安全运行和未来发展的掣肘[6-7].

　　此外，ICPS更强大的感知能力、更多数据传输及智能决策，与有限计算、通讯资源间的矛盾日益突出.就网络空间安全问题而言，ICPS面临的各类网络攻击是最大威胁，具有时空隐蔽性的虚假数据注入(false data injection, FDI)攻击通过协同篡改传感器量测与控制器指令数据，或使控制中心做出误导性决策，或使被控对象接收到错误控制指令，最终导致整个系统性能下降或崩溃. 因为FDI攻击的高隐蔽性特点，对系统的危害更大且更难防范. 目前应对FDI攻击的研究有2类：

　　一类是采用信息安全领域中加密、解密的方法来保护数据[8-9]，但复杂的加密、解密算法需要一定的运行时间，这对于实时性要求较高的ICPS不适宜;另一类是从控制角度出发应对FDI攻击，主要包括攻击检测[10-11]、容侵控制[12-13]，已有成果更多关注攻击检测问题，对攻击防御、系统性能及资源节约等的综合考虑不足.

　　就物理系统故障而言，由于网络化控制系统(networked control system, NCS)本质上是ICPS的具体应用形式，ICPS物理故障问题的解决可以借鉴NCS相关容错控制方法. 目前就NCS容错控制已有不少成果，根据不同通讯机制和容错控制方式的常用分类方法，可以归结为周期时间触发通讯机制与离散事件触发通讯机制(discrete eventtriggered communication scheme，DETCS)下的被动容错[14-15]、主动容错[16-17]及主-被动混合容错控制[18-19]等. 已有NCS容错研究大多假设通信网络是可靠的，忽视了网络攻击的潜在危害. 在实际ICPS中，故障与攻击的共存是无法回避的，本文研究如何确保系统在该情形下安全、可靠运行.针对故障与攻击共存的ICPS综合安全控制问题，目前已有一些初步成果.

　　基于智能广义预测控制及鲁棒控制方法，Yaseen等[20-21]研究故障主动容错、FDI攻击被动防御策略. 针对状态依赖FDI攻击与多重执行器故障共存的CPS，Ye等[22]利用自适应控制方法，研究故障主动容错、攻击主动防御的策略，但未考虑CPS有限网络资源约束.史娅红[23]在文献[21]的基础上，除对故障主动容错外，还研究了执行侧攻击主动容侵、传感侧攻击被动容侵的主-被动混合容侵策略. 在文献[21, 23]中，估计器均置于智能传感单元的事件发生器之前，因此须对系统所有采样时刻状态、故障及攻击进行实时估计，这会使一般的智能传感器件难堪重负.

　　估计器所处的位置使得估计结果在经由传感侧网络传输时，再次会被攻击者篡改，从而削弱安全防御的实效. 将估计器位置移至事件发生器之后的控制单元，通过计算资源的合理分配与高效利用，更有效地实现故障主动容错、双侧网络FDI攻击主动容侵与通讯协同设计，是本研究的主要内容. 综上所述，本研究将对同时存在双侧网络FDI攻击与执行器故障的ICPS，以主动防御FDI攻击为出发点，综合考虑通讯、计算资源的高效利用，构建DETCS下的ICPS综合安全控制架构. 在统一的非均匀传输模式下，借助时滞系统理论及仿射Bessel-Legendre不等式等少保守技术，推证出ICPS鲁棒估计器、综合安全控制与通信协同设计方法，以期实现ICPS安全运行与通讯折中平衡的目标.

　　1 问题描述

　　1.1系统架构及数据传输过程

　　在DETCS下，ICPS综合安全控制与通讯协同设计架构.该系统主要包括被控对象、智能传感单元、控制单元、执行单元以及传感侧与执行侧通信网络. 日趋开放、多样性的网络使得ICPS在遭受隐蔽性网络攻击时致使其失控或崩溃的威胁更大. ICPS长时间工作在高温、高压或具有腐蚀性的环境中，作为控制信息与受控对象物理连接的执行器更易发生故障，因此考虑FDI攻击与执行器故障共存的情形.

　　智能传感单元主要包括传感器、采样器及事件发生器. 采样器对传感器量测值进行等周期采样，将采样值送入事件发生器中，事件发生器将判断当前采样值是否满足触发条件. 若满足，则将该采样值经由传感侧网络传输至控制单元;否则，将其遗弃.

　　筛选出的数据以非均匀周期方式传输，且传输周期大于采样周期，因而可以节约网络资源.控制单元主要包括估计器、综合安全控制器.估计器基于满足事件触发条件，由传感侧网络传来的数据对系统状态、故障与攻击进行实时估计.综合安全控制器基于估计结果，根据预先设计好的控制算法计算相应的控制量，将该控制量经由执行侧网络送至执行单元.

　　可见，无论是估计值还是控制量的计算，均以非均匀周期方式进行.执行单元主要包括零阶保持器(ZOH)和执行器. ZOH对传输至此的控制量进行非均匀周期保持，将保持结果传输至执行器中，执行器将该控制量作用于被控对象.注1　与文献[21,23]不同的是，在搭建ICPS框架时，将估计器从智能传感单元的事件发生器之前移至控制单元中，这提高了对传感侧网络攻击主动防御的能力，也可以使得鲁棒估计器与综合安全控制器的设计问题统一在同一非均匀传输周期的模式下，降低了对智能传感单元的计算能力要求，更切合实际工程背景.

　　2 鲁棒估计器设计

　　根据传输至控制单元的输出量测采样值，设计鲁棒估计器，对连续时变故障、双侧网络FDI攻击及系统状态进行准确估计. 利用控制单元内置的ZOH，对量测采样输出进行零阶保持.

　　3 综合安全控制器设计

　　基于得到的系统状态及増广故障(执行器故障、执行侧和传感侧网络FDI攻击)估计结果，给出有针对性的执行器故障与双侧网络FDI攻击主动容错、主动容侵与通讯协同设计方法.

　　根据假设1可知，执行器故障与双侧网络FDI攻击具有可分离性，考虑到双侧网络中的FDI由于攻击的对象与位置不同，对系统的影响不同，因此综合安全控制器对双侧网络中的FDI攻击应采用更有针对性的防御策略，可以通过以下2种方式进行主动防御.aˆsT(tkh)

　　1)对于传感侧网络FDI攻击，可以直接在増广故障估计结果中将估计值提前分离出来，不再计入控制量的计算，这在广义层面可以视为对传感侧网络FDI攻击的主动防御，即主动容侵.

　　2)对于执行侧网络FDI攻击，借鉴故障调节的思想，采用基于估计与补偿的主动防御策略，即主动容侵.对执行器故障采用基于估计与补偿的主动调节方式，即对执行器故障主动容错.注4　与文献[21, 23]不同的是，由于估计器被移至控制单元，对传感侧网络FDI攻击可以实时地估计出来，并提前分离，使传感侧攻击不再对控制量的计算产生负面影响，这种主动应对传感侧网络FDI攻击的方式较文献[21,23]的被动应对更加有效.

　　综上可知，设计的综合安全控制器可以使得ICPS在执行器故障、FDI攻击共存时，均以较小的误差收敛于平衡位置，且对外部扰动具有较强的鲁棒性，说明利用提出的方法可以有效地应对物理系统故障、FDI攻击及扰动对系统的影响，具有较高的安全可靠性.在同样的故障、攻击作用下，给出利用文献[23]中主-被动混合容侵方法时系统的输出. 可以看出，与文献[23]相比，本文方法的收敛速度和系统运行过程的平稳性均更优.

　　相比于文献[25]中采用主-被动混合的容侵方式来防御双侧网络FDI攻击，提出的对传感器侧攻击采用分离、对执行侧攻击采用补偿的主动防御策略对ICPS中双侧FDI攻击的防御更有效.对于通讯资源，给出DETCS下，在仿真时间800 s内的数据发送时刻及发送间隔Δt情况.

　　设计的综合安全控制器能够使得ICPS在故障与FDI攻击共存时安全平稳运行，同时具有期望的性能指标，节约一定的网络通讯资源.对于计算资源，文献[21，23]中估计器置于事件发生器之前，在800 s内估计器须运算8 000次;本文将估计器置于控制单元，估计器只需根据筛选后的数据运算1 216次，因此，与文献[21，23]相比，所提的综合安全控制架构在计算资源节约与分配上更具有优势，规避了传感单元进行估计的负担.

　　自动化论文投稿刊物：自动化学报是自动化专业论文期刊，是自动化科学与技术领域的高级学术期刊。杂志是1963年创刊的，在1966年-1978年是停刊状态，1979年才复刊发行，现为大16开本，月刊，每期112页。科学出版社与Elsevier合作出版，国内外公开发行。

　　5 结　论

　　(1)从主动防御执行和传感双侧网络FDI攻击着眼，通过对计算资源与通讯资源的合理分配与有效利用，在DETCS下构建ICPS综合安全控制架构. 将估计器与综合安全控制器的设计统一于同一非均匀数据传输机制下，为利用时滞系统理论对ICPS进行分析与设计提供了便利.

　　(2)将故障与攻击増广为同一向量，设计相应的鲁棒估计器，实现了状态、执行器故障及双侧FDI攻击及时、准确的估计，具有较强的鲁棒性;基于筛选后的量测输出值作估计，节约了计算资源.

　　(3)基于估计结果，提出传感侧攻击的分离防御、执行侧攻击以及执行器故障补偿的综合安全控制策略，有效实现了攻击、故障的主动容侵、主动容错与通讯的协同优化与折中.当系统中故障与攻击共存不具有可分离性时，如何检测故障与攻击的存在、如何设计相应的综合安全控制策略来防御攻击与故障对系统的影响等将是进一步的研究方向.

　　参考文献(References):

　　GUAN X P, YANG B, CHEN C L, et al. A comprehensiveoverview of cyber-physical systems: from perspective offeedback system [J].IEEE/CAAJournalofAutomaticaSinica,2016, 3(1): 3–16.

　　[1]白昱阳, 黄彦浩, 陈思远, 等. 云边智能: 电力系统运行控制的边缘计算方法及其应用现状与展望[J].自动化学报, 2020, 46(3):397–410.BAI Yu-yang, HUANG Yan-hao, CHEN Si-yuan, et al. Cloudedge intelligence: status quo and future prospective of edgecomputing approaches and applications in power systemoperation and control [J]. ActaAutomaticaSinica, 2020, 46(3):397–410.

　　[2]KHAITAN S K, MCCALLEY J D. Design techniques andapplications of cyber physical systems: a survey [J].IEEESystemsJournal, 2015, 9(2): 350–365.

　　作者：李炜，张建军

转载请注明来自发表学术论文网：http://www.fbxslw.com/jylw/27484.html