控制系統安全的理論與應用研究進展

　　信息物理系統（Cyber－Physical Systems，CPS）的攻擊實例使控制系統安全問題日益受到重視。本文通過介紹實驗成功的攻擊模型，分析了現有系統存在的安全隱患，并重點介紹了對控制系統攻擊的檢測與辨識、彈性狀態估計器及控制器等方向的研究進展。在此基礎之上提出了未來的研究方向。

　　引言

　　信息物理系統（Cyber－Physical Systems，CPS）是一個綜合計算、網絡和物理環境的復雜系統，通過計算、通信和控制技術融合與協作，實現大型工程系統的實時感知、動態控制和一體化設計，使系統更加可靠、高效、實時協同，具有重要而廣泛的應用前景。信息物理系統的分布式特點為物理系統帶來了風險分散、易擴展與易維護等好處；但與此同時，又使信息、控制系統安全（Security）方面的隱患容易擴展，進而影響整個物理系統，特別是保障人們日常生活的基礎設施系統，如供電、供水、石油運輸、交通運輸等系統，以及與人們生命安全有密切聯系的系統，如自動駕駛車、智能醫療設備等。一旦這些系統受到外界的惡意攻擊，其造成的損失將不可估計。基礎設施不能正常運行會造成大量的經濟損失也會給居民的生活帶來不便，而自動駕駛車、智能醫療設備在被攻擊情況下執行的錯誤運行指令甚至會威脅使用者的生命安全。因此，從信息物理系統融合的特點出發，降低控制系統被攻擊的可能性及考慮潛在的攻擊風險的控制系統設計是信息物理系統亟待解決的問題。

　　2000年，澳大利亞昆士蘭的Maroochy的無線電通訊設備遭到攻擊，導致污水大規模泄漏［1］；2010年，伊朗布什爾核電站遭到Stuxnet（“震網”）的攻擊［2］。這些事件的發生使得控制系統的安全問題受到了廣泛關注。作為一個新興的研究領域，從理論上分析攻擊模型，到模擬針對特定系統的攻擊實驗；從理論分析系統在不同攻擊模型下的穩定性，到根據特定控制器設計進行的實驗，硬件系統、控制理論、計算機軟件等多領域的科研工作者進行了不同層面的研究與合作。本文主要列舉了控制理論與工程方向的幾個科研團隊在理論與實驗方面的工作，并提出幾個未來研究方向的設想。

　　信息物理系統（CPS）的攻擊模型

　　控制系統安全的研究離不開對攻擊模型及現實中攻擊方法的探索，根據不同攻擊方式的特點提出相應的系統性預防及解決方案。對于信息物理系統的攻擊可以針對系統的不同層面及組成部分，如從系統的硬件層上進行結構修改以達到修改硬件功能的目的，此外還有物理部件如傳感器、執行器的直接破壞，通訊層的竊聽及數據篡改，控制器代碼的修改等問題。

　　其中，直接針對物理系統的攻擊和針對通訊層面的攻擊可能產生等效的破壞結果。例如，分布式控制的傳感器網絡（如分布式控制的智能電網系統），其網絡結構復雜、節點數量大，當一些節點遭到物理性破壞或切斷了與其他部分的通訊后，由于缺少相應的測量信息，對電力系統的狀態估計誤差會增加。無論是直接對傳感器物理層面進行的攻擊還是通過通信過程對測量數據的修改，都屬于具有一定系統模型知識的攻擊，它不同于一般的系統故障或環境干擾，這類攻擊能夠巧妙利用系統的模型知識，通過錯誤檢測系統的攻擊，從而在不知不覺中使狀態估計器的誤差逐漸偏離正確值，進而使物理系統功能癱瘓［14］。這對于大規模網絡控制系統是極其危險的。

　　大規模的信息物理系統如智能電網，不便于進行攻擊模型的實驗檢測，但一些單機系統如車輛、游輪等，為科研工作者提供了實際可檢測的實驗系統。美國華盛頓大學的安全控制課題組設計了關于車輛的傳感器、控制器、執行器，作為可攻擊性實驗平臺，如圖1（a）所示。實驗表明，現有的未考慮控制系統可能受到攻擊的車輛控制系統設計并不能滿足安全性能的要求［3］。2013年，德州大學奧斯汀分校的GPS技術研究團隊通過自主設計的價值2000美元的硬件，向導航系統傳遞虛假的GPS信號，導致一輛游艇偏離預定航線［4］，這將十年前關于攻擊GPS系統的理論［5］變成了現實，并證明了不加密的民用GPS系統被攻擊的可行性。被攻擊后的游艇的控制臺如圖1（b）所示。

　　圖1進行信息物理系統攻擊模型實驗的平臺舉例

　　這些對于現有系統進行的可攻擊性實驗表明，控制系統安全問題并不僅僅存在于理論層面，在日常生活中也可能會遇到。隨著自動駕駛車、智能可穿戴設備、智能醫療器件等越來越多的信息物理系統及其互聯而成的復雜系統的發展和使用，在出現攻擊實例后才考慮控制系統的安全已遠遠不能滿足人們的需求。科研工作者已經認識到了這一問題的重要性，并從控制系統設計的初始就開始考慮整個系統今后可能面臨的各種攻擊及安全隱患，以盡早檢測攻擊及系統的運行錯誤，及時響應受到攻擊環境下的彈性控制行為，盡量確保整個系統的安全性。

　　保證控制系統安全的方法

　　設計安全的控制系統主要涉及兩個層面的挑戰。第一個層面是設計能夠針對控制系統環境的攻擊，如對傳感器、控制器、通信層攻擊的彈性控制系統結構和機制。第二個層面是保證生成控制算法的代碼過程的安全，即保證控制系統的代碼本身不被篡改，使所設計的各項功能能夠正確地被執行。第二個層面的工作主要通過正規方法、形式驗證等理論工具來實現。這篇文章主要舉例介紹基于第一個層面的近期工作。

　　3．1對控制系統攻擊的檢測和辨識

　　為保證通信內容不被截斷、竊聽、篡改所進行的加密解密方法的研究一直是信息安全領域的重要課題。然而對于大規模的傳感器網絡系統而言，對所有的通信都進行加密會增加通訊開銷，降低整個網絡的通信效率，這并不是一個高效實用的方法。因此，僅靠原有的信息安全方法已不能保證當今不斷發展、規模日益擴大的控制系統的安全。針對信息物理系統的融合性特點，設計新的錯誤辨識、彈性狀態估計器、兼顧控制器的優化性能及對攻擊的檢測率等方向的研究就成為了當今的熱點課題。

　　在沒有進行全網的通信加密、系統的傳感器和執行器網絡可能被選擇性攻擊的情況下，對于線性時不變系統這一控制系統最基本模型的錯誤檢測和被攻擊部分的辨識是建立在系統的可觀測性和可控性基礎之上［9］。設計彈性的狀態估計器，可以保證在符合特定數量的測量傳感器信息正確的情況下，狀態估計的誤差小于預期閾值；增加關鍵節點的冗余傳感器，使狀態估計器在部分節點被破壞或通信被切斷的情況下，仍然有足夠的測量信息來進行計算，并將狀態估計值提供給控制器以計算相應的控制命令［6］。

　　相對于對每條通信數據都單獨進行編碼的高開銷加密方式而言，將傳感器測量信息在進行通信傳輸前進行整體編碼，能夠檢測出原本可以成功通過統計錯誤檢測器的被修改過的傳感器測量值，而且具有能夠實時生成編碼矩陣、在智能攻擊變換對傳感器通信信道插入值的情況下隨時間而變的編碼矩陣的特點［10］。博弈論方法在系統可能面臨多種不同類型的攻擊及采用相應的安全控制措施的問題上也有著廣泛的應用［8，11］，這是由系統對外界環境（攻擊模型）的知識有限、對環境的判斷具有不確定性的特點決定的。基于不同的控制系統及可能遇到的攻擊系統模型及系統的先驗知識，系統與外界環境的競爭或合作關系等，需要應用不同的博弈論模型。

　　3．2彈性狀態估計器及控制器

　　當傳感器被攻擊時，無論是對單個傳感器測量值的修改，還是對傳感器網絡與狀態估計器、控制器之間的通信信道的攻擊，最直接的影響就是狀態估計器只能根據被修改過的測量值估計系統的狀態，而對系統狀態的錯誤估計會進一步導致控制器計算出錯誤的執行器指令。因此，設計彈性狀態估計器是降低傳感器及其通信信道被攻擊對系統造成的整體影響至關重要的一步。美國賓夕法尼亞大學的PRECISE LAB 課題組設計了在一半以上的傳感器測量值未被修改的情況下的彈性控制器，并證明了其估計誤差與測量噪聲造成的誤差相同［7］。關于魯棒及彈性狀態估計器的實驗是用圖2所示的LandShark無人車實驗平臺進行檢驗的。針對大規模傳感器網絡的高效、可辨識，而被攻擊的傳感器或通信信道的彈性狀態估計器的研究也獲得了進展［12］。

圖2賓夕法尼亞大學PRECISE LAB 進行控制系統安全研究的LandShark 無人車實驗平臺

　　3．3未來的研究方向

　　盡管目前控制系統安全是信息物理系統的熱點研究領域，但仍然有幾個相關方向的問題亟待解決。第一個問題是基于非線性系統在存在被攻擊的潛在風險情況下的彈性狀態估計器和彈性控制器。已有的理論模型主要研究了線性系統的安全控制問題，但非線性系統的安全控制基礎理論研究還不夠完善。第二個方向是基于多機器人協作系統在分布式控制的情況下，既保證系統運行的優化性能，又在協同策略中考慮到可能來自于外部甚至于一個團隊內部不可信任的個體的錯誤傳感器信息，是還未被充分研究的課題。第三個方向是針?智能城市這類大規模非同質系統在不同種類的傳感器，在不同通信頻率、不同狀態估計誤差要求、不同控制功能等系統設計要求下，特定系統組成部分受到攻擊時，系統對于攻擊的診斷辨識及彈性響應的相應措施。

　　總結展望

　　控制系統的安全問題是信息物理系統快速發展的工業4.0時代的重要研究課題之一，積極開展這方面的研究對在新的科技發展潮流中占據國際領先水平有著重要作用。以我國在控制理論研究方向的優勢，今后主要的研究應聚焦在基于非線性、大規模非同質網絡模型的理論研究，并結合自動駕駛車、智能城市等新型信息物理系統發展過程中存在的應用層面的問題，研發從系統設計層面就考慮到安全隱患的新型系統，從而在新一輪科技發展潮流中作出貢獻。