面向电力信息物理系统的虚假数据注入攻击研究综述

随着电力信息通信技术的发展与应用，电力流与信息流深度融合，共同实现对系统的全景状态感知与控制决策，电力系统转变成典型的信息物理系统（Cyber physical system，CPS）.开放的通信环境与复杂的信息物理耦合交互过程，使得信息安全风险成为影响电力系统安全稳定运行的重要因素.其中，虚假数据注入攻击（False data injection attack，FDIA）通过破坏网络数据完整性以干扰控制决策，是一种典型的网络攻击方式.本文针对面向电力CPS的虚假数据注入的攻击过程和防御手段进行了分析与总结.从攻击者视角分析了FDIA的攻击目标、策略及后果；从防御者视角总结了保护与检测环节中的各类方法；最后基于联合仿真技术，提出了针对虚假数据攻防过程建模和评估的电力CPS联合攻防平台.     

信息物理融合系统综合安全威胁与防御研究

信息物理融合系统（Cyber-physical system，CPS）是计算单元与物理对象在网络空间中高度集成交互形成的智能系统.信息系统与物理系统的融合在提升系统性能的同时，信息系统的信息安全威胁（Security）与物理系统的工程安全问题（Safety）相互影响，产生了新的综合安全问题，引入严重的安全隐患.本文介绍了CPS的概念与安全现状，给出了CPS综合安全的定义；在对现有安全事件进行分析的基础上，提出了CPS的综合安全威胁模型；从时间关联性和空间关联性的角度，对现有CPS攻击和防御方法进行了分类和总结，并探讨CPS综合安全的研究方向.     

假数据注入攻击下信息物理融合系统的稳定性研究

假数据注入（False data injection，FDI）攻击由于其隐蔽性特点，严重威胁着信息物理融合系统（Cyber-physical systems，CPS）的安全.从攻击者角度，本文主要研究了FDI攻击对CPS稳定性的影响.首先，给出了FDI攻击模型，从前向通道和反馈通道分别注入控制假数据和测量假数据.接着，提出了FDI攻击效力模型来量化FDI攻击对CPS状态估计值和测量残差的影响.在此基础上，设计了一个攻击向量协同策略，并从理论上分析出操纵CPS稳定性的攻击条件:攻击矩阵H和系统矩阵A的稳定性及时间参数k_a的选取时机.数值仿真结果表明FDI攻击协同策略能够有效操纵两类（含有稳定和不稳定受控对象）系统的稳定性.该研究进一步揭示了FDI攻击的协同性，对保护CPS安全和防御网络攻击提供了重要参考.     

网络攻击下的信息物理系统安全性研究综述

随着信息物理系统在现代工业和制造业中的广泛应用,其安全性逐渐成为关系社会健康发展的重要因素.由于信息物理系统内部物理设备和通信网络的深度融合,网络攻击对系统安全的威胁日益凸显.首先,从攻击者角度总结各类网络攻击的特点,揭示系统在不同攻击下的脆弱性;其次,针对不同网络攻击的特性,从防御者角度对信息物理系统的安全状态估计、攻击检测和安全控制进行介绍,并阐述各防御策略的主要应用场景和优势;最后,对信息物理系统安全性研究面临的主要挑战进行展望.     

基于动态故障树的信息物理融合系统风险分析

针对信息物理融合系统（CPS）中的网络安全攻击会导致系统失效的问题，提出一种基于动态故障树的CPS风险建模及分析方法。首先，对动态故障树和攻击树集成建模，构建攻击-动态故障树（Attack-DFTs）模型；然后，分别采用二元决策图和输入输出马尔可夫链给出攻击-动态故障树中的静态子树和动态子树的形式化模型，并在此基础上给出攻击-动态故障树的定性分析方法，即分析网络安全攻击导致系统失效的基本事件路径；最后，通过一个典型的排污系统应用实例对方法的有效性进行验证。案例分析结果表明，所提方法能够分析CPS中由于网络安全攻击导致系统失效的事件序列，有效实现了CPS的综合安全评估。     

信息物理融合系统

信息物理融合系统 (Cyber-physical system, CPS)是计算、通信和物理过程高度集成的系统,通过在物理设备中嵌入感知、通信和计算能力,实 现对外部环境的分布式感知、可靠数据传输、智能信息处理,并通过反馈机制实现对物理过程的实时控制. 分析了CPS的基本概念和特征,对CPS的体系架构、中间件系统、实时性、安全和隐私等关键技术的现有研究 成果进行综述,并提出了相应的研究思路;然后介绍了一些现有的CPS原型系统和实例,体现出CPS的优越性; 最后对CPS和传感器网络(Wireless sensor network, WSN)、物联网(The internet of things, IOT)、网络控制系统(Networked control systems, NCSs)进行了对比分析,总结了CPS现有研究中存在的问题,并展望了CPS的发展方向.     

具有多传感器的CPS系统的攻击检测

信息物理系统（cyber-physical systems，简称CPS）是基于环境感知实现计算、通信与物理元素紧密结合的下一代智能系统，广泛应用于安全攸关的系统和工业控制等领域.信息技术与物理世界的相互作用使得CPS容易受到各种恶意攻击，从而破坏其安全性.主要研究存在瞬态故障的CPS中传感器的攻击检测问题.考虑具有多个传感器测量相同物理变量的系统，其中一些传感器可能受到恶意攻击并提供错误的测量.此外，使用抽象传感器模型，每个传感器为控制器提供一个真实值的可能间隔.已有的用于检测传感器被恶意攻击的方法是保守的.当专业攻击者在一段时间内轻微地或不频繁地操纵传感器的输出时，现有方法很难捕获到攻击，如隐身攻击.为了解决这个问题，设计了一种基于融合间隔和历史测量的传感器攻击检测方法.该方法首先为不同的传感器构建不同的故障模型，使用系统动力学方程把历史测量融入到攻击检测方法中，从不同的方面分析传感器的测量.另外，利用历史测量和融合间隔解决了两个传感器的测量相交时是否存在故障的问题.该方法的核心思想是利用传感器之间的成对不一致关系检测和识别攻击.从EV3地面车辆上获得真实的测量数据来验证算法的性能.实验结果表明，所提出的方法优于现有方法，对各种攻击类型都有较好的检测和识别性能，特别是对于隐身攻击，检测率和识别率大约提高了90%以上.     

基于博弈论的信息物理融合系统安全控制

对于远程复杂的操控系统，信息物理融合系统（Cyber-physical system，CPS）主要依靠无线网络实现从传感器到控制器，从控制器到执行器间的信息传输，由于其依靠网络传输数据的特性使其控制系统极易遭到安全威胁.本文从物理系统入手，意图保护CPS系统中物理实体的正常运行不受由于恶意攻击造成网络空间入侵带来的干扰.以受到数据包时序攻击的信息物理融合系统为研究对象，将其安全性研究抽象为一个博弈过程，基于非合作博弈的两人零和博弈模型，设计了可变延迟情况下鲁棒输出反馈的极大极小控制器.并且采用参数化的软约束二次型目标函数，在控制器设计时引入干扰衰减因子γ，通过对γ的取值使得二次型目标函数取极小值，从而保证了最差情况下的稳定控制，在满足γ的约束条件下，本文通过粒子群搜索算法得出γ的值.另外，本文还对所设计的极大极小控制器，与线性二次型高斯（Linear quadratic Gaussian，LQG）控制对比分析，用双水箱系统进行了仿真验证，发现在受攻击情况下本文所设计的控制器最终能够实现稳定控制，而LQG却不能.     

离散事件系统框架下信息物理系统攻击问题综述

信息物理系统(cyber physical system, CPS)由受控对象、传感器、执行器、监控器和通信网络组成,通信网络的使用增加了信息物理系统面临外部攻击的风险.鉴于此,综述基于离散事件系统框架处理信息物理系统攻击问题的相关研究工作.首先对信息物理系统进行简要介绍;然后对信息物理系统中的攻击进行分类;最后重点阐述信息物理系统中攻击策略的设计、攻击的检测与防御以及攻击鲁棒性监控器设计的研究现状.     

基于攻击图的信息物理融合系统渗透测试方法

信息物理融合系统(Cyber-Physical System,CPS)多为安全攸关系统,是网络攻击的高价值目标,需要对其进行有效的安全评估。为此,提出一种基于攻击图的信息物理融合系统渗透测试方法。首先,对传统攻击图进行改进,考虑物理攻击、攻击持续时间以及物理系统的连续变量值,提出适用于CPS的攻击图建模技术AGC(Attack Graph for CPS),并在图中增加攻击可行性参数以表示单步攻击的成功率;其次,基于AGC提出最优攻击路径选择策略,包括最小攻击代价、最短攻击时间等,并设计面向CPS的智能渗透测试算法;最后,通过应用实例对方法的有效性进行验证。分析结果表明,该方法能够根据渗透测试目标选择最优攻击路径,并能根据实际反馈结果自动调整后续攻击步骤,有效实现CPS的安全评估。     

A Survey of Cyber Attacks on Cyber Physical Systems: Recent Advances and Challenges

A cyber physical system (CPS) is a complex system that integrates sensing, computation, control and networking into physical processes and objects over Internet. It plays a key role in modern industry since it connects physical and cyber worlds. In order to meet ever-changing industrial requirements, its structures and functions are constantly improved. Meanwhile, new security issues have arisen. A ubiquitous problem is the fact that cyber attacks can cause significant damage to industrial systems, and thus has gained increasing attention from researchers and practitioners. This paper presents a survey of state-of-the-art results of cyber attacks on cyber physical systems. First, as typical system models are employed to study these systems, time-driven and event-driven systems are reviewed. Then, recent advances on three types of attacks, i.e., those on availability, integrity, and confidentiality are discussed. In particular, the detailed studies on availability and integrity attacks are introduced from the perspective of attackers and defenders. Namely, both attack and defense strategies are discussed based on different system models. Some challenges and open issues are indicated to guide future research and inspire the further exploration of this increasingly important area.      

基于攻击图的信息物理系统信息安全风险评估方法

震网病毒等事件实证了信息攻击能对信息物理系统(CPS)带来严重的物理影响。针对这类跨域攻击问题,提出了基于攻击图的风险评估方法。首先,对信息物理系统中的信息攻击行为进行了分析,指出可编程逻辑控制器(PLC)等物理设备中存在的漏洞是信息攻击实现跨域攻击的关键,并给出了信息物理系统中漏洞的利用模式及影响后果;其次,建立风险评估模型,提出攻击成功概率和攻击后果度量指标。综合考虑漏洞固有特性和攻击者能力计算攻击成功概率,根据主机重要程度和漏洞利用模式计算攻击后果。该方法能够将信息域与物理域作为一个整体进行建模,综合考虑多个跨域攻击对系统风险的影响。数值案例表明,多个跨域攻击组合下的风险值是单一攻击下的5倍,计算得到的风险值更为准确。     

SDN网络中基于交换机等级划分的安全路由策略*

软件定义网络引入了数据平面与控制平面的分离,同时也带来了比传统网络更多的攻击方式。针对软件定义网络从检测出异常到攻击防御结束过程中新流表项下发的安全性进行了研究,为交换机引入安全等级划分机制,根据交换机所处的状态,将交换机划分为三个安全等级,并将攻击检测与路由选择相结合。实验结果表明交换机等级划分的安全路由策略能够使软件定义网络面对攻击表现出动态可伸缩的能力,从而减小攻击对网络所造成的危害。     

Integrated moving target defense and control reconfiguration for securing Cyber-Physical systems

With the increasingly connected nature of Cyber-Physical Systems (CPS), new attack vectors are emerging that were previously not considered in the design process. Specifically, autonomous vehicles are one of the most at risk CPS applications, including challenges such as a large amount of legacy software, non-trusted third party applications, and remote communication interfaces. With zero day vulnerabilities constantly being discovered, an attacker can exploit such vulnerabilities to inject malicious code or even leverage existing legitimate code to take over the cyber part of a CPS. Due to the tightly coupled nature of CPS, this can lead to altering physical behavior in an undesirable or devastating manner. Therefore, it is no longer effective to reactively harden systems, but a more proactive approach must be taken. Moving target defense (MTD) techniques such as instruction set randomization (ISR), and address space randomization (ASR) have been shown to be effective against code injection and code reuse attacks. However, these MTD techniques can result in control system crashing which is unacceptable in CPS applications since such crashing may cause catastrophic consequences. Therefore, it is crucial for MTD techniques to be complemented by control reconfiguration to maintain system availability in the event of a cyber-attack. This paper addresses the problem of maintaining system and security properties of a CPS under attack by integrating moving target defense techniques, as well as detection, and recovery mechanisms to ensure safe, reliable, and predictable system operation. Specifically, we consider the problem of detecting code injection as well as code reuse attacks, and reconfiguring fast enough to ensure the safety and stability of autonomous vehicle controllers are maintained. By using MTD such as ISR, and ASR, our approach provides the advantage of preventing attackers from obtaining the reconnaissance knowledge necessary to perform code injection and code reuse attacks, making sure attackers can’t find vulnerabilities in the first place. Our system implementation includes a combination of runtime MTD utilizing AES 256 ISR and fine grained ASR, as well as control management that utilizes attack detection, and reconfiguration capabilities. We evaluate the developed security architecture in an autonomous vehicle case study, utilizing a custom developed hardware-in-the-loop testbed.