信息物理融合的控制系统安全技术研究 张云贵 教授 冶金自动化研究设计院

Slides:



Advertisements
Similar presentations
做中国梦 走特色路 —— 宁波电大业余党校时政课 林志标 四川雅安地震 2013 年 4 月 20 日 8 时 02 分四川省雅安市芦山县(北纬 30.3, 东 经 )发生 7.0 级地震。震源深度 13 公里。震中距成都约 100 公里。成都、重庆及陕西的宝鸡、汉中、安康等地均有较.
Advertisements

海南省疾病预防控制中心. (一)基本情况  工作用房面积: ㎡,其中实验室使用面积为 6500 ㎡  中心定编 213 人,其中全额预算编制 193 人,自筹编制 20 人  现有在职职工 320 名,其中专业技术人员占 84.3% 。 人性化的办公场所实验室区域 一、海南省疾病预防控制中心概况.
環境游離輻射 ( 六 ) 輻射與核能發電. 媽!這是我上班的 地方-核電廠。 地方好寬闊喔! 聽說日本原子彈爆炸死好幾 萬人,阿榮啊!你在這裡上 班,安全嗎?
H7N9 禽流感. H7N9 流感确诊病例主要表现 1 、起病急; 2 、病程早期均有高热 (38 ℃以上 ) ,伴咳嗽等呼 吸道感染症状,起病 5-7 天出现呼吸困难; 3 、典 型的病毒性肺炎,重症肺炎并进行性加重,部分 病例可迅速发展为急性呼吸窘迫综合症并死亡。
《小狗包弟 》之 从阅读到写作 学校:和风中学 年级:高一 参赛者:彭龙英. 预习检测一 思考:同学们读完作者与包弟 的故事后,说一说作者所表达的情 感是什么?
第三节 发酵工程简介 学习目标: 1、发酵工程的概念和内容(A:知道)。 2、发酵工程在医药工业和食品工业中的 应用(A:知道)。
《设备电气控制与维修》 电气教研室 房金菁.
人感染H7N9禽流感医院感染 预防与控制技术指南
传染病预检分诊工作要求 发热门诊管理要求.
虹膜识别健康养老服务智能系统项目.
探究活动课:互联网+历史素材阅读与研讨 古代中国的选官制度 黄天庆  探究活动课:互联网+历史素材阅读与研讨 古代中国的选官制度 黄天庆 
新約研讀 彼得前書複習 讀經組
職校、五專群科簡介.
新編多元性向測驗 測驗說明 輔導室
司法体制改革与律师执业前景瞻望 黄太云
做好学校甲型H1N1流感防控工作 确保师生身体健康
H7N9禽流感相关知识
江苏省工程造价管理协会 工作报告 2015年4月21日 扬州.
甘肃4班面试专项练习4 应急应变 主讲: 凌宇 时间:6月3日.
只要大家共同努力,禽流感是可以預防的疾病。
菏泽市初中历史水平考试备考研讨与交流 菏泽市教研室 张红霞.
網路智慧新臺灣政策白皮書 構面三:智慧生活 衛福部、教育部、文化部、經濟部 經濟部彙整 104年4月28日.
知识化条件下的创新 南京五中 刘建明 南京五中 刘建明
在《命运交响曲》 音乐声中 安静我们的心 迎接挑战.
101年8月份 嘉義市道路交通安全聯席會報 酒駕行為與肇事現況分析 主講人:內政部警政署交通組科長張夢麟 1.
高校邦在线学习平台 学生学习手册 北京高校邦科技有限公司.
101年國中畢業生多元進路宣導 國中部註冊組 100年10月29日.
高中職優質化專題 教育研究博士班二年級 游宗輝.
歡迎蒞臨 三年八班大家族 導師:陳冠諠老師 16個帥氣寶貝 16個漂亮寶貝.
人力資源管理委員會 主席:魏麗香部長 執秘:董家檥督導 委員:林姿伶HN、黃士豪HN、潘秋華HN 林素琴專師組長、卓惠瑄、張維恩、王孟萱、
第五組 幼兒安全與衛生教育 組員: 譚郁馨 張喻晴 沈恩華
10.2 分子动理论的初步知识 蒙城县乐土中学 袁亮.
慢性扁桃体炎.
第六章 技术创新与经济增长 本章主要问题 ---技术创新过程 ---技术创新分类 ---技术创新动力源 ---技术创新影响因素
心血管疾病便秘的护理 康复科 李笑.
《中华人民共和国传染病防治法》部分知识 河西区卫生局.
103學年度第1階段 志願選填試探後輔導作為 成效檢討與精進建議
(接触网)精品课程 建设方案 课程负责人:赵斌 新疆铁路中等职业学校.
活动主题:佛山智造 中国骄傲 随着互联网、云计算、大数据以及移动互联网的快速发展,技术不仅仅是一种工具,正加速重构着品牌的新格局。
建議題.
《机械制造与自动化》(专升本) 《机电设备与管理》(专升本)专业介绍
作用于生殖系统药物.
四川省卫生监督移动 执法终端介绍 发言人:陈成身 四川省卫生执法监督总队.
獎補助經預計支用報告 105年.
职团客户促销活动 2018年04月.
华东理工大学 关于新校园卡功能启用的相关说明 2018年09月07日.
第二部分 免疫系统与免疫活性分子 第二章 免疫系统 第三章 免疫球蛋白 第二 部分 第五章 细胞因子 第四章 补体系统.
人(大人)(人口)(人手) 个(个人)(三个)(个子zi ) 手(小手)(双手)(手工) 大(大人)(大山)(大火)
职团客户促销活动 2018年01月.
會計資訊系統 大帳省財務庫存管理系統(Beyond) 士林高商(資料來源:啟發出版社) 簡報者:黃瑞萍老師.
K/3 Cloud V6.0产品培训 -- 业务监控 K/3 Cloud 产品部
职团客户促销活动 2018年03月.
K/3 Cloud V6.1产品培训 -- 业务监控 K/3 Cloud 产品部
藝術大師-達利.
年所得12万以上自行纳税申报 信息管理科 张沛.
组长:杨宗贤 组员:朱文清 邱颖慧 魏钰 李甜歌
行動應用App基本資安檢測實驗室 檢測服務說明
102學年度下學期 班親會 五年仁班 楊曉逸老師.
第二階段「校園徒步區建置」 執行成果報告.
第 8 章 計量與質性預測變數之迴歸模型.
認識H1N1 盧亞人醫院 感控護士 劉秀屏.
新高中通識教育科課堂的 教學規劃和應試訓練
機電科簡介 科主任 郭紀翔.
為民服務白皮書 台灣電力公司彰化區營業處  彰化區營業處 為民服務白皮書 誠信 關懷 服務 成長 1.
認識﹋禽流感*.
Website: 第1章 密码学概论 Website: 年10月27日.
实验课程学习手册.
云控APP说明书 适用于云控平台配置.
云控APP说明书 适用于云控平台配置.
Presentation transcript:

信息物理融合的控制系统安全技术研究 张云贵 教授 yunguizhang@263.net 冶金自动化研究设计院 张云贵 教授 yunguizhang@263.net 冶金自动化研究设计院 混合流程控制系统与装备国家重点实验室 http://www.arim.com

目录 1 控制系统安全问题与研究方向 2 NCS 安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

1. 信息物理融合(CPS)系统 www Cloud Big Data IoT 发电站 电网 交通 车间 社区 App, App,App,… 1. 信息物理融合(CPS)系统 www Cloud Big Data IoT 2010年伊朗布什尔核电站遭到的Stuxnet攻击受到广泛关注。 由于ICS与物理世界紧密相连,ICS的安全问题直接反映的就是重大基础设施的安全问题,如电网、化工厂、大型交通系统等,这些基础设施涉及国计民生,如果遭到破坏,将对国民信心、国家安全造成直接打击,因此包括ICS信息安全在内的网络安全已经成为世界范围内的国家战略安全问题 App, App,App,… 发电站 电网 交通 车间 社区

1. 信息物理融合(CPS)系统的本质 定义: 综合计算、网络和物理环境的多维复杂系统,通过3C(Computation、Communication、Control)技术的有机融合与深度协作,实现大型工程系统的实时感知、动态控制和信息服务 物理系统的信息化 RFID、WSN、现场总线 嵌入式智能 互联网 … 网络系统的物理化 具有协同能力的智能体(Agent) 扁平化、泛在互联 基于语义的互操作 …

网络控制系统(NCS):I4.0下的最常见ICS类型 (1) 通过接入物理通信信道,对通信报文发动攻击 (2) 侵入传感器、执行器节点 (3) 侵入控制器节点 从时间轴上可以分为两个阶段,其分水岭是网络访问权的获得。黑客获得网络控制权之前的攻击目标是突破Integrity 和 Availability 的限制,攻击的对象是网络的协议报文。获得网络控制权之后, 黑客的攻击目标是嵌入智能节点,执行恶意程序。从安全防御的角度看,前一阶段的防御是主动防御,目的是隔离攻击者与被攻击目标,后一阶段是被动防御,目的是对攻击行为预警与保护。 图中 A1:对传感器攻击,导致传感器传输错误的结果; A1’:对执行器攻击,导致执行器的执行结果异常,通过传感器可以监测这种异常(如用流量计监测阀门的开度); A2、A4:对网络攻击,使通信不正常; A3:对控制器攻击,输出错误命令; A5:对生产过程攻击(不通过网络攻击),导致生产目标偏离。 图1-2 信息物理融合的工业控制系统

工业网络控制系统安全理论研究方向上存在的问题 (1) 工业控制系统网络安全缺少最基本的理论指导 焦点放在工业控制网络边界防御上,没有考虑黑客突破防御边界后的安全问题场景。缺乏对黑客攻击策略、手段和目标的数学描述。 缺乏对安全问题发生后信息、物理系统相互作用的研究。 缺乏恶意环境下信任管理的基本理论与技术,缺乏全系统的信誉评估以及基于信誉的资源管控技术。 (2) 入侵检测技术需要从网络向控制组件、算法、被控制对象延伸 构成NCS的要件:网络、组件、算法。目前研究强调基于网络特性的检测,而没有基于另外两个要素的入侵检测技术。 从哲学的角度思考,没有攻不破的防线,如果攻击者在非法获得网络控制系统组件的访问能力(注意:不是网络访问能力)后,可能采取的什么样的攻击策略? 如果不回答这个问题,就无法对这类安全问题发生后系统的走向(状态及变化趋势)进行预测与评估。物理系统安全的基本条件是状态可观测与可控制,上述问题意味着物理系统的高度风险 与ICS相联系的物理系统其变化趋势一旦启动,往往具有某种“惯性”,过程中无论是传感器信号还是控制信号的扰动、停顿、中止都会给物理系统带来影响,有些影响是灾难性的,因此ICS要求有一定的安全弹性,在受到攻击时,系统能保证某种可接受程度的“降阶”运行。何时做、怎么做、做到什么程度,涉及一系列的理论和技术问题,都需要从信息系统、物理系统两个角度开展研究才能实现。 (3)沿用 IT系统安全刚性原则可能对控制系统带来灾难性 的后果 源于IT安全技术研究的是完整性、可用性、保密性,所谓的CIA三原则,追求的是网络安全的一些刚性目标。 控制系统安全需要兼顾鲁棒性、自适应性、生存性、容错性,追求的是控制安全的一些弹性目标。

NCS各层级安全研究的难点 通信信道安全技术 加密操作与实时性的矛盾 现场总线系统可能安装在安全脆弱的环境中 现场总线的多样性,决定了很难有统一的安全解决方案 对某个现场总线协议的安全功能扩展可能导致与标准的、已经安装的设备和系统的不兼容 网络安全目标和网络管理目标的相互背离 智能控制器、传感器、执行器的入侵检测技术 黑客侵入并潜伏在控制器、传感器、执行器中,在满足一定的触发条件时开始执行恶意程序 理性黑客在获得智能控制器、传感器、执行器的控制权后,会采用何种攻击策略,缺乏系统的理论描述 即使可以预计黑客的可能攻击策略,也无法获得黑客采用这些策略的概率、发起攻击的强度等关键参数

NCS各层级安全研究的难点(续) 系统级信息融合与信任管理 信道、控制器、执行器、传感器的安全状态信息如何整合 参与控制的各种智能体(控制器、传感器、执行器、网络部件)哪些些是可信的,如何进行信任评估与管理 恶意环境下,基于分布式控制架构的系统如何进行安全任务 在一个NCS系统中容易受到恶意攻击的传感器、执行器以及不安全的控制器都有可能存在,到底哪一个是可信的,这就涉及到信任管理的问题。在黑客成功入侵NCS后, 需要有一种办法判断NCS 每个智能体(如传感器等)的可信赖度,因为黑客可能对任何一个智能体(Agent) 植入恶意代码执行恶意功能。每个Agent的信任度评判需要与NCS中所有要素结合起来作相关性分析。在有容错能力的NCS中(同时也意味着存在冗余资源,比如备份的传感器、执行器等),在检测到系统异常(攻击或者干扰问题),需要选择可信赖的资源进行替换。因此,需要建立一套理论体系和方法,实现对NCS要素的信任评估和管理,当系统中的某项资源(传感器、网络部件、控制器等)的可信度偏离严重时,可以限制或者取消该智能体在NCS里的作用。

NCS研究面临的四大挑战 (1)NCS安全控制算法的设计: 需要研究理性黑客的入侵模型和攻击的策略,必须基于恶意环境下(存在恶意的传感器、执行器或者控制器)的信任管理,保障控制算法的安全性(Security)、可靠性(Safety)和弹性(Resilience) (2)新型的NCS物理信道主动防御的架构和算法: 可以有效地防御可能的黑客入侵,且能提供可量化的性能指标,满足控制系统对实时性和弹性的要求 (3)信息物理融合的新型入侵检测系统(CPS based IDS) 设计: 新型的IDS不仅要检测控制网络(信道)的入侵,还要检测黑客对NCS的部件(传感器、执行器、控制器)的入侵和对物理系统的直接攻击。还需要建立基于物理系统的受网络攻击后的异常特征,结合网络攻击特征,建立可信、高效率的入侵检测的理论框架和算法 黑客在试图进入NCS系统,成功获得网络访问权后侵入并潜伏到NCS的组件中,在一定的触发条件下对NCS的传感器信息、状态估计与控制算法、执行器执行几个层级的攻击模型目前还没有系统的研究。 (4)弹性NCS的体系结构、实现技术、系统安全弹性的量化评估技术

目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

如何从控制系统(P)的角度描述信息(C)安全 从信息安全的角度理解控制系统,出现全新的观点: 单纯传感器测量误差并不可怕(式中n(k+1) ,只受当前测量值的影响),而系统的偏离(攻击或者扰动所致)会传递。结论:状态估计的偏差具有累加效应和传递效应,状态估计相当于对控制过程的一个全生命周期的认证计算(Authentication) 从信息物理融合的角度考虑, x(t)不仅包含控制过程的物理状态,还应该包括NCS的信道状态,传感器、执行器和控制器等网络状态 w(t) 和n(t) 可能是物理扰动,也可能是网络攻击,因此不再满足“高斯随机序列,协方差为Q0,均值为0”的假设 因此对于一个NCS系统,保持控制对象各状态正确传递和同步对于控制系统的整体可靠性、安全性至关重要 不同于信息系统安全问题,控制系统安全与时序密切相关。脱离时序谈安全状态毫无意义。

NCS 黑客攻击模型 黑客的攻击对象可以是u(t), 也可以是y(t), 分别对应控制变量和传感器变量,数学本质是状态方程的重构,即引入攻击因子 从黑客对NCS的可用性、完整性的攻击手段上来分,NCS受到的攻击大致可以分为欺骗攻击和拒绝服务攻击(DoS)。欺骗攻击用来破坏系统信息的完整性,一般会通过注入(Injection)、修改(Modification)、重播(Replay)等方式,通过对通信信道或者部分传感器、执行器、控制器的攻击,发送虚假信息, 即 或 ,实现对控制系统的攻击。虚假信息包括:虚假或错误时间信息、传感器测量值、设定值、控制命令、源/目的/ID等。而网络的DoS 攻击一般是通过阻塞或阻断通信信道、封锁报文等方式,如Drop攻击、路由协议攻击、泛洪(Flood)攻击等,目的就是使NCS的参与各方无法有效地获得信息 攻击的分类: 从效果上分:DoS 攻击 / 欺骗攻击 从手段上分:内容攻击 / 时序攻击

NCS 基本的攻击类型--DoS 攻击 对控制命令的DoS攻击本质是使控制失效,相当于对控制信号u(t) 的一个子集u叠加一个完全相反的值: 对传感器信号的DoS攻击,相当于传感器的值强制归零,对一个子集y发动DoS攻击,可以表示如下: 在满足攻击触发条件时,给系统叠加与子集u对应的控制信号u(t)相反信号,从而抵消控制命令 在满足攻击触发条件 时,给系统叠加与传感器采集信号 相反信号,从而抵抵消对状态的监测

NCS 基本的攻击类型—欺骗 攻击 对控制信号 的一个子集u发动的欺骗攻击,可以理解为对控制命令的替换: 对传感器信号 的一个子集y发动的欺骗攻击,也可以理解为对传感器检测值的替换: 黑客对控制信号 的一个子集u发动的欺骗攻击,可以表示为:在满足攻击触发条件 时,对系统子集u对应的控制信号 的替换。 黑客对传感器信号 的一个子集y发动的欺骗攻击,可以表示为: 在满足攻击触发条件 时,对传感器采集信号 的替换

通信报文的攻击模型 定理1:黑客攻击攻击函数H可以抽象为“异或”攻击。这种攻击具有时序特点,其攻击结构如图 2- 5所示,图中黑客的攻击双箭头表示黑客给出攻击报文的同时,可以记录网络报文,包括发送者和接收者的报文 根据定理1,可以将黑客的攻击分为两种:(1)报文时序攻击;(2)报文内容攻击。

NCS安全目标几个概念 定义1 A(p,q) 攻击: 黑客对一个NCS系统中的p个信息通道(传感器和控制器之间或者传感器和执行器之间),发起q次连续攻击,称为一次 A(p,q)攻击。 定义2 物理安全状态集S: 当NCS遭受黑客攻击时,大多数情况下,物理系统的参数如果能约束在某种边界条件内,系统就是安全的。这个安全约束集合就是物理安全状态集S 图2-1 一个典型的液位控制NCS结构图 图2-1中,所谓物理系统的安全状态集S,指的是在遭受黑客攻击时,反应釜的液位还能满足一定的边界条件,比如: Lmin < 液位<Lmax)

NCS安全目标数学描述 一个可以用状态方程 来表示系统特性的物理信息融合系统,其安全目标为: 对于给定的安全状态集S和系统失效概率ε,对任何攻击序列 A(p,q) ,都存在一个控制序列U(k),使得: k0,..,q Pr[ X(k)  S ]  1- 上述定义的理论价值在于: (1)对于来自信息系统的攻击 ,可以采用控制系统的办法,也就是寻找合适的控制序列Uk,来实现安全目标 (2)安全状态集体现了安全弹性的概念 (3)安全防御技术,本质上就是控制序列Uk的设计 (4)失效概率可以用系统对NCS的安全弹性进行评估 (1)对于来自信息系统的攻击 ,可以采用控制系统的办法,也就是寻找合适的控制序列Uk,来实现安全目标。这是一种信息物理系统融合的基本思路。本文所提出的所有理论和方法都是基于这一基本思路。 (2)安全状态集体现了安全弹性的概念。安全状态集是在受到攻击时保证物理安全的底线,所以如何设计这个安全状态集,与具体的工艺知识严格相关。 (3)安全防御技术,本质上就是控制序列Uk的设计。不同的Uk序列体现了不同的防御理论、技术或者软硬件产品的差异,其防御效果可以用系统失效概率来比较。

目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3 基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

基于工业控制模型的非参数CUSUM入侵检测 入侵检测技术面对的挑战(如何检出STUXNET): 所有信道防御技术失效,黑客可以通过修改报文来篡改运行参数 或 控制命令 成功潜入传感器、执行器、控制器节点,当某种触发条件成立时,可执行恶意程序 了解NCS的控制算法,可以避开NCS的一般性安全检测 科学问题: 信息物理融合的视角建立黑客攻击模型(与IT IDS本质差别) 在“行进中发现问题” 关键参数选择方法与检测结果优化 最优停止问题 选择CUSUM算法 黑客攻击传感器信号示意图

问题的描述 恶意环境下测量信号的一般模型: ak(i) 是受攻击时的测量信号 为时间序列 检测目标: 对连续的观测序列z(1), z(2),…, z(N) ,在尽可能在最短的时间内判断出序列是否存在异常 图4-2 黑客攻击传感器信号示意图

CUSUM(Cumulative sum)算法 在给定的误报率下,对于检测序列z(i), 假设在检测点z(k)发生攻击(H1)服从概率分布为p1,不发生攻击(H0)的概率分布为p0. 变化的检测的初始状态值S(0)=0 缺点: 黑客的攻击概率分布不可能获得 对数概率比的计算较为复杂 缺乏对准确率、误警率等性能参数的定量相关分析 其中 判决函数: (1)由剑桥大学的E. S. Page于1954年首先提出,CUSUM适合对具有特定物理含义、连续采集的数据样本序列围绕统计均值的变化做出判断,从而实现变化检测。 (2)CUSUM算法的目标是使测试停止时间N最小,也就是在N时刻,判决函数确认检测序列Z的变化成立 改进1:替代概率密度 改进2:合理选择参数 β 本质:最优停止 对发生 攻击的概率进行历史跟踪,观测曲线下降到0后,截止 ;观测曲线上升到阈值 ,报警

热风炉拱顶温度控制系统CUSUM入侵检测 图4- 7控制系统物理模型仿真结构图 热风炉拱顶温度是热风炉生产中的重要参数,拱顶温度较低时,在送风期将不能保证规定的热风温度,而拱顶温度过高将会对拱顶造成损伤 操作规程规定最高拱顶温度即拱顶目标温度为 1350 ℃ ,拱顶的上限温度为 1400 ℃ ,拱顶控制温度为 1300 ℃。 拱顶温度控制需设定以下参数:煤气流量、拱顶目标温度和废气管理温度。将拱顶温度保持在拱顶目标温度附近,一旦拱顶温度达到拱顶目标温度后,燃烧至废气温度达到废气管理温度,燃烧停止。拱顶温度为控制目标,废气管理温度作为限制条件,控制参量为煤气流量 在仿真热风炉控制系统时,将热风炉的数学模型近似用带延迟的一阶系统来表示。煤气最大流量的取值范围为 0 ~40 000 m3/ h,即最大流量约为 11 m3/ s。若以最大流量送煤气,由于拱顶最高温度不能超过1350 ℃,所以K =1350/11≈122,惯性时间常数T =200s,滞后时间 τ =20 S 控制目标温度设置为1300 图4- 8 拱顶温度控制系统阶跃响应

热风炉拱顶温度控制系统CUSUM入侵检测--取值 假设高炉热风炉煤气流量传感器 拱顶温度传器为 在一段时间间隔内 各传感器输出 i代表系统的各传感器编号,则 温度传感器和流量传感器值选取2.5~3.5比较合适,在系统没有受到攻击时,产生误报的概率大大降低,基本上可以消除系统固有偏差。 值与产生误报的概率成反比,即值越大,产生误报的概率越小,但是检测攻击的时间变长;需要折衷考虑,进行选择。由上图可以看出,选择还应该考虑系统采样时间和频率,可以通过实验测定 图4- 9 系统稳态时检测值与预测值误差分布

黑客攻击下的入侵检测仿真分析-温度偏差攻击 加入常量偏差 之后,温度传感器值为: 判决函数为: 攻击从k=0时间 开始,攻击隐蔽不被发现需要满足: 首先构建欺骗攻击,攻击对象为流量传感器和温度传感器,黑客的攻击形式表现为(1)篡改传感器数据;(2)攻击煤气调节阀,通过控制网络劫持发送给控制煤气调节阀的控制命令,发送欺骗控制命令,最终达到控制煤气调节阀的目的。 假设高级黑客对该控制系统进行攻击,已经预先知道:控制系统的控制策略、控制模型及控制命令信号。黑客希望达到攻击效果又不让检测系统发现攻击,需要采用隐蔽方法,即攻击过程中使传感器或执行器的检测值始终处于“正常范围”,否则很容易被检测出来。

蓄热期拱顶温度正负偏差攻击仿真及检测效果 可以看到,对象是一个惯性环节,煤气流量调节阀,是一个具有饱和机制的对象,随着负值增大,拱顶温度蓄热值也随之增大,但到达一定温度,约 左右,拱顶温度不再增加,说明该控制系统设计具有弹性,通过注入负值的攻击,也不能达到极限温度1400℃,系统不会处于危险状态。图4- 11的偏差曲线表明,蓄热期的负攻击效果与攻击|c2|成正比,1100秒处发起的攻击,在1500后可以成功的检测出来。这期间的400秒,由于控制系统的调节作用,攻击没有给系统带来有意义的危害。 可以看到,随着正值增大,拱顶温度蓄热值也随之减小,拱顶温度与注入正值成线性反比关系。攻击结束之后,系统重新回到目标平衡状态,但是拱顶温度越低,重新回到目标平衡状态的时间就越长。从攻击效果分析,虽然攻击也没有使系统处于危险状态,但温度值降低,浪费能源,对高炉炼铁的质量有很大的影响。 图4- 19蓄热期拱顶温度偏差攻击(负值攻击)效果 图4- 10 蓄热期拱顶温度偏差攻击(正值攻击)效果 蓄热期的负攻击效果与攻击|c2|成正比,攻击没有给系统带来有意义的危害,控制系统对负偏差攻击具有安全弹性。 算法在1500后可以成功的检测出攻击,滞后40秒。 蓄热期的拱顶温度与正偏差攻击值成线性反比关系。 攻击的效果是使工况劣化(温度偏低),能耗增大,铁水质量变差。 检出时间与攻击时间基本同步,由阈值决定

目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

NCS的信任管理目标及信任评估模型 目标: 科学问题: 恶意环境下,对NCS 的各参与单元的可信任度进行计算,从而甄别出系统的安全风险点 恶意环境信誉表达? 安全任务分配策略? 有效性? 信任管理是来自社会系统中的概念,基于各参与方的行为特征来进行评估。需要有一种模型能够描述NCS中参与控制的各种要素的活动,以及彼此的影响。分簇系统模型恰好能胜任之一工作。 关键是分簇系统模型可以利用较为成熟的MAS技术来进行描述,而且MAS还有比较好仿真工具和软件基础开发平台。

Agent的定义 1、来源:分布式人工智能 2、学科交叉:人工智能、分布式计算、数据库、心理学。 3、一般性定义: 4、“强定义”和“弱定义” 弱定义:自主性、社会性、反应性、能动性。 (计算机进程、程序、windows) 强定义:“弱定义”+BDI+目标、可靠、学习、移动、诚实。 BDI:Belief+Desire+Intention 信念 意愿 意图

I4.0 下控制系统表达的最有效概念: Agent 个人理解: 处于特定环境中,通过感知环境,并能自主完成目标的计算实体。 基本结构:

Agent的分类 协同agent 静止agent 特性属性 移动属性 界面agent 学习agent 移动agent 智能agent 控制属性 基于支持向量机的agent 综合属性 基于神经网络的agent 反应型agent 基于模糊逻辑的agent 混合型agent

多Agent系统 MAS定义 Agent通信方式 MAS特性 集中式 多Agent系统作为多个Agent的集合,Agent之间的通信是所有的Agent的交流协作的基础。 Agent通信方式 直接通信、间接通信、广播通信、混合模式。 MAS特性 主动+自治 模块+分层 交互+协作 实时+异步 分布式 公司级大数据平台软件AriCloud、实时数据库级软件AriPlat (AriPAPlat的升级版)、中小企业嵌入式级软件AriNode(AriPlat的简化版)。其中,AriCloud用于全公司数据集成或在线服务后台,通过集群方式支持大规模访问,其下层为AriPlat或AriNode;AriPlat在原有AriPAPlat2.2.1之上,增强了压缩、解压缩能力,增加了标签数据的再组织,标准化了对外接口,适用于为一个业务系统服务(二级/EMS);AriNode适用于中小企业数据的采集、缓存和远传,对硬件要求底。 混合式

分布式网络控制系统的Agent模型 ? a) 两个控制单元组成的液位控制系统 b) 系统功能逻辑结构 ???多Agent

多PLC组成的典型控制系统的MAS模型 a s c NCS的多Agent分簇控制结构图

基于簇信誉的安全任务分配方法 功能安全度

基于簇信誉的安全任务分配方法 网络安全度 A(x) : 类型为x的Agent集合;|A(x)|:类型为x的agent 的总数 :类型为x的Agent I 的网络风险值 网络风险值计算: 例:用S3M的状态参数对(认证失败次数,再同步次数),即(Hfail ,Hresync)来计算

簇信誉与传感器、执行器单元信誉 单元的信誉 1)传感器、执行器单元满足功能的能力值,f ; 2)传感器、执行器单元与控制器协商时网络安全的值,c 。 计算信誉值的基准起始时间为t0,到时刻t, 簇内第i个单元节点的信誉: 簇信誉 控制器的信誉由其内部的各个传感器、执行器单元的信誉值,以及其他簇与该簇协商中获得可靠资源的历史情况综合决定。假设簇的控制器为P,时间t的信誉值为: 两个函数分别表示从时刻t0到t的单元k 的累积功能安全度与网络安全度。 α与β为两个参数,表示两部分的相对重要性, 。为了简便,可以把信誉值的基准起始时间忽略,取 和 的实时值替代累计值,直接将传感器或者执行器节点i当前的信誉值记为 。

安全任务分配模型 1. 定义: 2. 任务分配给簇控制器的判决函数 判决函数设计原则: 与资源的不匹配度成反比 与信誉度成正比 :任务t需要的能力资源集合 :控制器P拥有的能力资源集合 :P的信誉值 :单元 i 拥有的能力资源集合 :单元i 的信誉值 2. 任务分配给簇控制器的判决函数 判决函数设计原则: 与资源的不匹配度成反比 与信誉度成正比 权重系数反应工艺与系统差异 任务分配给簇控制器的过程: 1)任务到达系统;2)操作管理人员通过人机交互Agent向各个控制器下达该任务的能力要求情况;3)每个控制器通过人机交互Agent将本簇的能力资源情况报告给管理工作站(人员);4)管理人员根据每个控制器的能力资源情况和信誉值进行决策选择,决策机制为: 假设任务t需要的能力资源集合为 ,控制器P通过人机交互Agent所报告的自身簇所拥有的能力资源集合为 ,P的信誉值为 ,那么系统将会把任务t分配给如下控制器(记为Final-P控制器) 任务分配给传感器、执行器单元的过程:1)任务被分配给某个控制器;2)控制器通过其簇内通信Agent向各个传感器、执行器单元下达该任务的能力需要情况;3)每个传感器、执行器单元通过其通信Agent将自己的能力情况报告给控制器;4)控制器根据每个传感器、执行器单元所报告的能力情况和信誉值进行决策,决策机制类似于控制器的选择机制 3. 任务分配给簇传感器、执行器的判决函数

信誉机制效果分析 信誉机制下分配到恶意资源的概率ph: 安全资源充足时(g-hn r),任务被分配到恶意资源的概率也为0 a) Ph与恶意资源(h)关系 安全资源充足时(g-hn r),任务被分配到恶意资源的概率也为0 “凹”曲线,随着恶意资源的不断增加,系统的安全状况才逐步恶化,接近边界时才迅速恶化 当安全资源充足(g-hn r)时,任务分配到恶意资源的概率为0。当安全资源不足(g-h<n r)时,先把安全资源(g-h)分配给任务,再从疑似恶意资源(数量为h)中补齐不足部分(数量为n r-(g-h)) b)Ph与任务所需资源(n*r)关系 图5-5 有信誉机制时分配到恶意资源的概率

Thanks 13801284008 yunguizhang@263.net