Presentation is loading. Please wait.

Presentation is loading. Please wait.

信息物理融合的控制系统安全技术研究 张云贵 教授 冶金自动化研究设计院

Similar presentations


Presentation on theme: "信息物理融合的控制系统安全技术研究 张云贵 教授 冶金自动化研究设计院"— Presentation transcript:

1 信息物理融合的控制系统安全技术研究 张云贵 教授 yunguizhang@263.net 冶金自动化研究设计院
张云贵 教授 冶金自动化研究设计院 混合流程控制系统与装备国家重点实验室

2 目录 1 控制系统安全问题与研究方向 2 NCS 安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

3 1. 信息物理融合(CPS)系统 www Cloud Big Data IoT 发电站 电网 交通 车间 社区 App, App,App,…
1. 信息物理融合(CPS)系统 www Cloud Big Data IoT 2010年伊朗布什尔核电站遭到的Stuxnet攻击受到广泛关注。 由于ICS与物理世界紧密相连,ICS的安全问题直接反映的就是重大基础设施的安全问题,如电网、化工厂、大型交通系统等,这些基础设施涉及国计民生,如果遭到破坏,将对国民信心、国家安全造成直接打击,因此包括ICS信息安全在内的网络安全已经成为世界范围内的国家战略安全问题 App, App,App,… 发电站 电网 交通 车间 社区

4 1. 信息物理融合(CPS)系统的本质 定义: 综合计算、网络和物理环境的多维复杂系统,通过3C(Computation、Communication、Control)技术的有机融合与深度协作,实现大型工程系统的实时感知、动态控制和信息服务 物理系统的信息化 RFID、WSN、现场总线 嵌入式智能 互联网 网络系统的物理化 具有协同能力的智能体(Agent) 扁平化、泛在互联 基于语义的互操作

5 网络控制系统(NCS):I4.0下的最常见ICS类型
(1) 通过接入物理通信信道,对通信报文发动攻击 (2) 侵入传感器、执行器节点 (3) 侵入控制器节点 从时间轴上可以分为两个阶段,其分水岭是网络访问权的获得。黑客获得网络控制权之前的攻击目标是突破Integrity 和 Availability 的限制,攻击的对象是网络的协议报文。获得网络控制权之后, 黑客的攻击目标是嵌入智能节点,执行恶意程序。从安全防御的角度看,前一阶段的防御是主动防御,目的是隔离攻击者与被攻击目标,后一阶段是被动防御,目的是对攻击行为预警与保护。 图中 A1:对传感器攻击,导致传感器传输错误的结果; A1’:对执行器攻击,导致执行器的执行结果异常,通过传感器可以监测这种异常(如用流量计监测阀门的开度); A2、A4:对网络攻击,使通信不正常; A3:对控制器攻击,输出错误命令; A5:对生产过程攻击(不通过网络攻击),导致生产目标偏离。 图1-2 信息物理融合的工业控制系统

6 工业网络控制系统安全理论研究方向上存在的问题
(1) 工业控制系统网络安全缺少最基本的理论指导 焦点放在工业控制网络边界防御上,没有考虑黑客突破防御边界后的安全问题场景。缺乏对黑客攻击策略、手段和目标的数学描述。 缺乏对安全问题发生后信息、物理系统相互作用的研究。 缺乏恶意环境下信任管理的基本理论与技术,缺乏全系统的信誉评估以及基于信誉的资源管控技术。 (2) 入侵检测技术需要从网络向控制组件、算法、被控制对象延伸 构成NCS的要件:网络、组件、算法。目前研究强调基于网络特性的检测,而没有基于另外两个要素的入侵检测技术。 从哲学的角度思考,没有攻不破的防线,如果攻击者在非法获得网络控制系统组件的访问能力(注意:不是网络访问能力)后,可能采取的什么样的攻击策略? 如果不回答这个问题,就无法对这类安全问题发生后系统的走向(状态及变化趋势)进行预测与评估。物理系统安全的基本条件是状态可观测与可控制,上述问题意味着物理系统的高度风险 与ICS相联系的物理系统其变化趋势一旦启动,往往具有某种“惯性”,过程中无论是传感器信号还是控制信号的扰动、停顿、中止都会给物理系统带来影响,有些影响是灾难性的,因此ICS要求有一定的安全弹性,在受到攻击时,系统能保证某种可接受程度的“降阶”运行。何时做、怎么做、做到什么程度,涉及一系列的理论和技术问题,都需要从信息系统、物理系统两个角度开展研究才能实现。 (3)沿用 IT系统安全刚性原则可能对控制系统带来灾难性 的后果 源于IT安全技术研究的是完整性、可用性、保密性,所谓的CIA三原则,追求的是网络安全的一些刚性目标。 控制系统安全需要兼顾鲁棒性、自适应性、生存性、容错性,追求的是控制安全的一些弹性目标。

7 NCS各层级安全研究的难点 通信信道安全技术 加密操作与实时性的矛盾 现场总线系统可能安装在安全脆弱的环境中
现场总线的多样性,决定了很难有统一的安全解决方案 对某个现场总线协议的安全功能扩展可能导致与标准的、已经安装的设备和系统的不兼容 网络安全目标和网络管理目标的相互背离 智能控制器、传感器、执行器的入侵检测技术 黑客侵入并潜伏在控制器、传感器、执行器中,在满足一定的触发条件时开始执行恶意程序 理性黑客在获得智能控制器、传感器、执行器的控制权后,会采用何种攻击策略,缺乏系统的理论描述 即使可以预计黑客的可能攻击策略,也无法获得黑客采用这些策略的概率、发起攻击的强度等关键参数

8 NCS各层级安全研究的难点(续) 系统级信息融合与信任管理 信道、控制器、执行器、传感器的安全状态信息如何整合
参与控制的各种智能体(控制器、传感器、执行器、网络部件)哪些些是可信的,如何进行信任评估与管理 恶意环境下,基于分布式控制架构的系统如何进行安全任务 在一个NCS系统中容易受到恶意攻击的传感器、执行器以及不安全的控制器都有可能存在,到底哪一个是可信的,这就涉及到信任管理的问题。在黑客成功入侵NCS后, 需要有一种办法判断NCS 每个智能体(如传感器等)的可信赖度,因为黑客可能对任何一个智能体(Agent) 植入恶意代码执行恶意功能。每个Agent的信任度评判需要与NCS中所有要素结合起来作相关性分析。在有容错能力的NCS中(同时也意味着存在冗余资源,比如备份的传感器、执行器等),在检测到系统异常(攻击或者干扰问题),需要选择可信赖的资源进行替换。因此,需要建立一套理论体系和方法,实现对NCS要素的信任评估和管理,当系统中的某项资源(传感器、网络部件、控制器等)的可信度偏离严重时,可以限制或者取消该智能体在NCS里的作用。

9 NCS研究面临的四大挑战 (1)NCS安全控制算法的设计:
需要研究理性黑客的入侵模型和攻击的策略,必须基于恶意环境下(存在恶意的传感器、执行器或者控制器)的信任管理,保障控制算法的安全性(Security)、可靠性(Safety)和弹性(Resilience) (2)新型的NCS物理信道主动防御的架构和算法: 可以有效地防御可能的黑客入侵,且能提供可量化的性能指标,满足控制系统对实时性和弹性的要求 (3)信息物理融合的新型入侵检测系统(CPS based IDS) 设计: 新型的IDS不仅要检测控制网络(信道)的入侵,还要检测黑客对NCS的部件(传感器、执行器、控制器)的入侵和对物理系统的直接攻击。还需要建立基于物理系统的受网络攻击后的异常特征,结合网络攻击特征,建立可信、高效率的入侵检测的理论框架和算法 黑客在试图进入NCS系统,成功获得网络访问权后侵入并潜伏到NCS的组件中,在一定的触发条件下对NCS的传感器信息、状态估计与控制算法、执行器执行几个层级的攻击模型目前还没有系统的研究。 (4)弹性NCS的体系结构、实现技术、系统安全弹性的量化评估技术

10 目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

11 如何从控制系统(P)的角度描述信息(C)安全
从信息安全的角度理解控制系统,出现全新的观点: 单纯传感器测量误差并不可怕(式中n(k+1) ,只受当前测量值的影响),而系统的偏离(攻击或者扰动所致)会传递。结论:状态估计的偏差具有累加效应和传递效应,状态估计相当于对控制过程的一个全生命周期的认证计算(Authentication) 从信息物理融合的角度考虑, x(t)不仅包含控制过程的物理状态,还应该包括NCS的信道状态,传感器、执行器和控制器等网络状态 w(t) 和n(t) 可能是物理扰动,也可能是网络攻击,因此不再满足“高斯随机序列,协方差为Q0,均值为0”的假设 因此对于一个NCS系统,保持控制对象各状态正确传递和同步对于控制系统的整体可靠性、安全性至关重要 不同于信息系统安全问题,控制系统安全与时序密切相关。脱离时序谈安全状态毫无意义。

12 NCS 黑客攻击模型 黑客的攻击对象可以是u(t), 也可以是y(t), 分别对应控制变量和传感器变量,数学本质是状态方程的重构,即引入攻击因子 从黑客对NCS的可用性、完整性的攻击手段上来分,NCS受到的攻击大致可以分为欺骗攻击和拒绝服务攻击(DoS)。欺骗攻击用来破坏系统信息的完整性,一般会通过注入(Injection)、修改(Modification)、重播(Replay)等方式,通过对通信信道或者部分传感器、执行器、控制器的攻击,发送虚假信息, 即 或 ,实现对控制系统的攻击。虚假信息包括:虚假或错误时间信息、传感器测量值、设定值、控制命令、源/目的/ID等。而网络的DoS 攻击一般是通过阻塞或阻断通信信道、封锁报文等方式,如Drop攻击、路由协议攻击、泛洪(Flood)攻击等,目的就是使NCS的参与各方无法有效地获得信息 攻击的分类: 从效果上分:DoS 攻击 / 欺骗攻击 从手段上分:内容攻击 / 时序攻击

13 NCS 基本的攻击类型--DoS 攻击 对控制命令的DoS攻击本质是使控制失效,相当于对控制信号u(t) 的一个子集u叠加一个完全相反的值:
对传感器信号的DoS攻击,相当于传感器的值强制归零,对一个子集y发动DoS攻击,可以表示如下: 在满足攻击触发条件时,给系统叠加与子集u对应的控制信号u(t)相反信号,从而抵消控制命令 在满足攻击触发条件 时,给系统叠加与传感器采集信号 相反信号,从而抵抵消对状态的监测

14 NCS 基本的攻击类型—欺骗 攻击 对控制信号 的一个子集u发动的欺骗攻击,可以理解为对控制命令的替换:
对传感器信号 的一个子集y发动的欺骗攻击,也可以理解为对传感器检测值的替换: 黑客对控制信号 的一个子集u发动的欺骗攻击,可以表示为:在满足攻击触发条件 时,对系统子集u对应的控制信号 的替换。 黑客对传感器信号 的一个子集y发动的欺骗攻击,可以表示为: 在满足攻击触发条件 时,对传感器采集信号 的替换

15 通信报文的攻击模型 定理1:黑客攻击攻击函数H可以抽象为“异或”攻击。这种攻击具有时序特点,其攻击结构如图 2- 5所示,图中黑客的攻击双箭头表示黑客给出攻击报文的同时,可以记录网络报文,包括发送者和接收者的报文 根据定理1,可以将黑客的攻击分为两种:(1)报文时序攻击;(2)报文内容攻击。

16 NCS安全目标几个概念 定义1 A(p,q) 攻击:
黑客对一个NCS系统中的p个信息通道(传感器和控制器之间或者传感器和执行器之间),发起q次连续攻击,称为一次 A(p,q)攻击。 定义2 物理安全状态集S: 当NCS遭受黑客攻击时,大多数情况下,物理系统的参数如果能约束在某种边界条件内,系统就是安全的。这个安全约束集合就是物理安全状态集S 图2-1 一个典型的液位控制NCS结构图 图2-1中,所谓物理系统的安全状态集S,指的是在遭受黑客攻击时,反应釜的液位还能满足一定的边界条件,比如: Lmin < 液位<Lmax)

17 NCS安全目标数学描述 一个可以用状态方程 来表示系统特性的物理信息融合系统,其安全目标为:
对于给定的安全状态集S和系统失效概率ε,对任何攻击序列 A(p,q) ,都存在一个控制序列U(k),使得: k0,..,q Pr[ X(k)  S ]  1- 上述定义的理论价值在于: (1)对于来自信息系统的攻击 ,可以采用控制系统的办法,也就是寻找合适的控制序列Uk,来实现安全目标 (2)安全状态集体现了安全弹性的概念 (3)安全防御技术,本质上就是控制序列Uk的设计 (4)失效概率可以用系统对NCS的安全弹性进行评估 (1)对于来自信息系统的攻击 ,可以采用控制系统的办法,也就是寻找合适的控制序列Uk,来实现安全目标。这是一种信息物理系统融合的基本思路。本文所提出的所有理论和方法都是基于这一基本思路。 (2)安全状态集体现了安全弹性的概念。安全状态集是在受到攻击时保证物理安全的底线,所以如何设计这个安全状态集,与具体的工艺知识严格相关。 (3)安全防御技术,本质上就是控制序列Uk的设计。不同的Uk序列体现了不同的防御理论、技术或者软硬件产品的差异,其防御效果可以用系统失效概率来比较。

18 目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3 基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

19 基于工业控制模型的非参数CUSUM入侵检测
入侵检测技术面对的挑战(如何检出STUXNET): 所有信道防御技术失效,黑客可以通过修改报文来篡改运行参数 或 控制命令 成功潜入传感器、执行器、控制器节点,当某种触发条件成立时,可执行恶意程序 了解NCS的控制算法,可以避开NCS的一般性安全检测 科学问题: 信息物理融合的视角建立黑客攻击模型(与IT IDS本质差别) 在“行进中发现问题” 关键参数选择方法与检测结果优化 最优停止问题 选择CUSUM算法 黑客攻击传感器信号示意图

20 问题的描述 恶意环境下测量信号的一般模型: ak(i) 是受攻击时的测量信号 为时间序列 检测目标:
对连续的观测序列z(1), z(2),…, z(N) ,在尽可能在最短的时间内判断出序列是否存在异常 图4-2 黑客攻击传感器信号示意图

21 CUSUM(Cumulative sum)算法
在给定的误报率下,对于检测序列z(i), 假设在检测点z(k)发生攻击(H1)服从概率分布为p1,不发生攻击(H0)的概率分布为p0. 变化的检测的初始状态值S(0)=0 缺点: 黑客的攻击概率分布不可能获得 对数概率比的计算较为复杂 缺乏对准确率、误警率等性能参数的定量相关分析 其中 判决函数: (1)由剑桥大学的E. S. Page于1954年首先提出,CUSUM适合对具有特定物理含义、连续采集的数据样本序列围绕统计均值的变化做出判断,从而实现变化检测。 (2)CUSUM算法的目标是使测试停止时间N最小,也就是在N时刻,判决函数确认检测序列Z的变化成立 改进1:替代概率密度 改进2:合理选择参数 β 本质:最优停止 对发生 攻击的概率进行历史跟踪,观测曲线下降到0后,截止 ;观测曲线上升到阈值 ,报警

22 热风炉拱顶温度控制系统CUSUM入侵检测
图4- 7控制系统物理模型仿真结构图 热风炉拱顶温度是热风炉生产中的重要参数,拱顶温度较低时,在送风期将不能保证规定的热风温度,而拱顶温度过高将会对拱顶造成损伤 操作规程规定最高拱顶温度即拱顶目标温度为 1350 ℃ ,拱顶的上限温度为 1400 ℃ ,拱顶控制温度为 1300 ℃。 拱顶温度控制需设定以下参数:煤气流量、拱顶目标温度和废气管理温度。将拱顶温度保持在拱顶目标温度附近,一旦拱顶温度达到拱顶目标温度后,燃烧至废气温度达到废气管理温度,燃烧停止。拱顶温度为控制目标,废气管理温度作为限制条件,控制参量为煤气流量 在仿真热风炉控制系统时,将热风炉的数学模型近似用带延迟的一阶系统来表示。煤气最大流量的取值范围为 0 ~ m3/ h,即最大流量约为 11 m3/ s。若以最大流量送煤气,由于拱顶最高温度不能超过1350 ℃,所以K =1350/11≈122,惯性时间常数T =200s,滞后时间 τ =20 S 控制目标温度设置为1300 图4- 8 拱顶温度控制系统阶跃响应

23 热风炉拱顶温度控制系统CUSUM入侵检测--取值
假设高炉热风炉煤气流量传感器 拱顶温度传器为 在一段时间间隔内 各传感器输出 i代表系统的各传感器编号,则 温度传感器和流量传感器值选取2.5~3.5比较合适,在系统没有受到攻击时,产生误报的概率大大降低,基本上可以消除系统固有偏差。 值与产生误报的概率成反比,即值越大,产生误报的概率越小,但是检测攻击的时间变长;需要折衷考虑,进行选择。由上图可以看出,选择还应该考虑系统采样时间和频率,可以通过实验测定 图4- 9 系统稳态时检测值与预测值误差分布

24 黑客攻击下的入侵检测仿真分析-温度偏差攻击
加入常量偏差 之后,温度传感器值为: 判决函数为: 攻击从k=0时间 开始,攻击隐蔽不被发现需要满足: 首先构建欺骗攻击,攻击对象为流量传感器和温度传感器,黑客的攻击形式表现为(1)篡改传感器数据;(2)攻击煤气调节阀,通过控制网络劫持发送给控制煤气调节阀的控制命令,发送欺骗控制命令,最终达到控制煤气调节阀的目的。 假设高级黑客对该控制系统进行攻击,已经预先知道:控制系统的控制策略、控制模型及控制命令信号。黑客希望达到攻击效果又不让检测系统发现攻击,需要采用隐蔽方法,即攻击过程中使传感器或执行器的检测值始终处于“正常范围”,否则很容易被检测出来。

25 蓄热期拱顶温度正负偏差攻击仿真及检测效果
可以看到,对象是一个惯性环节,煤气流量调节阀,是一个具有饱和机制的对象,随着负值增大,拱顶温度蓄热值也随之增大,但到达一定温度,约 左右,拱顶温度不再增加,说明该控制系统设计具有弹性,通过注入负值的攻击,也不能达到极限温度1400℃,系统不会处于危险状态。图4- 11的偏差曲线表明,蓄热期的负攻击效果与攻击|c2|成正比,1100秒处发起的攻击,在1500后可以成功的检测出来。这期间的400秒,由于控制系统的调节作用,攻击没有给系统带来有意义的危害。 可以看到,随着正值增大,拱顶温度蓄热值也随之减小,拱顶温度与注入正值成线性反比关系。攻击结束之后,系统重新回到目标平衡状态,但是拱顶温度越低,重新回到目标平衡状态的时间就越长。从攻击效果分析,虽然攻击也没有使系统处于危险状态,但温度值降低,浪费能源,对高炉炼铁的质量有很大的影响。 图4- 19蓄热期拱顶温度偏差攻击(负值攻击)效果 图4- 10 蓄热期拱顶温度偏差攻击(正值攻击)效果 蓄热期的负攻击效果与攻击|c2|成正比,攻击没有给系统带来有意义的危害,控制系统对负偏差攻击具有安全弹性。 算法在1500后可以成功的检测出攻击,滞后40秒。 蓄热期的拱顶温度与正偏差攻击值成线性反比关系。 攻击的效果是使工况劣化(温度偏低),能耗增大,铁水质量变差。 检出时间与攻击时间基本同步,由阈值决定

26 目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

27 NCS的信任管理目标及信任评估模型 目标: 科学问题: 恶意环境下,对NCS 的各参与单元的可信任度进行计算,从而甄别出系统的安全风险点
恶意环境信誉表达? 安全任务分配策略? 有效性? 信任管理是来自社会系统中的概念,基于各参与方的行为特征来进行评估。需要有一种模型能够描述NCS中参与控制的各种要素的活动,以及彼此的影响。分簇系统模型恰好能胜任之一工作。 关键是分簇系统模型可以利用较为成熟的MAS技术来进行描述,而且MAS还有比较好仿真工具和软件基础开发平台。

28 Agent的定义 1、来源:分布式人工智能 2、学科交叉:人工智能、分布式计算、数据库、心理学。 3、一般性定义:
4、“强定义”和“弱定义” 弱定义:自主性、社会性、反应性、能动性。 (计算机进程、程序、windows) 强定义:“弱定义”+BDI+目标、可靠、学习、移动、诚实。 BDI:Belief+Desire+Intention 信念 意愿 意图

29 I4.0 下控制系统表达的最有效概念: Agent
个人理解: 处于特定环境中,通过感知环境,并能自主完成目标的计算实体。 基本结构:

30 Agent的分类 协同agent 静止agent 特性属性 移动属性 界面agent 学习agent 移动agent 智能agent
控制属性 基于支持向量机的agent 综合属性 基于神经网络的agent 反应型agent 基于模糊逻辑的agent 混合型agent

31 多Agent系统 MAS定义 Agent通信方式 MAS特性 集中式
多Agent系统作为多个Agent的集合,Agent之间的通信是所有的Agent的交流协作的基础。 Agent通信方式 直接通信、间接通信、广播通信、混合模式。 MAS特性 主动+自治 模块+分层 交互+协作 实时+异步 分布式 公司级大数据平台软件AriCloud、实时数据库级软件AriPlat (AriPAPlat的升级版)、中小企业嵌入式级软件AriNode(AriPlat的简化版)。其中,AriCloud用于全公司数据集成或在线服务后台,通过集群方式支持大规模访问,其下层为AriPlat或AriNode;AriPlat在原有AriPAPlat2.2.1之上,增强了压缩、解压缩能力,增加了标签数据的再组织,标准化了对外接口,适用于为一个业务系统服务(二级/EMS);AriNode适用于中小企业数据的采集、缓存和远传,对硬件要求底。 混合式

32 分布式网络控制系统的Agent模型 a) 两个控制单元组成的液位控制系统 b) 系统功能逻辑结构 ???多Agent

33 多PLC组成的典型控制系统的MAS模型 a s c NCS的多Agent分簇控制结构图

34 基于簇信誉的安全任务分配方法 功能安全度

35 基于簇信誉的安全任务分配方法 网络安全度 A(x) : 类型为x的Agent集合;|A(x)|:类型为x的agent 的总数
:类型为x的Agent I 的网络风险值 网络风险值计算: 例:用S3M的状态参数对(认证失败次数,再同步次数),即(Hfail ,Hresync)来计算

36 簇信誉与传感器、执行器单元信誉 单元的信誉 1)传感器、执行器单元满足功能的能力值,f ;
2)传感器、执行器单元与控制器协商时网络安全的值,c 。 计算信誉值的基准起始时间为t0,到时刻t, 簇内第i个单元节点的信誉: 簇信誉 控制器的信誉由其内部的各个传感器、执行器单元的信誉值,以及其他簇与该簇协商中获得可靠资源的历史情况综合决定。假设簇的控制器为P,时间t的信誉值为: 两个函数分别表示从时刻t0到t的单元k 的累积功能安全度与网络安全度。 α与β为两个参数,表示两部分的相对重要性, 。为了简便,可以把信誉值的基准起始时间忽略,取 和 的实时值替代累计值,直接将传感器或者执行器节点i当前的信誉值记为 。

37 安全任务分配模型 1. 定义: 2. 任务分配给簇控制器的判决函数 判决函数设计原则: 与资源的不匹配度成反比 与信誉度成正比
:任务t需要的能力资源集合 :控制器P拥有的能力资源集合 :P的信誉值 :单元 i 拥有的能力资源集合 :单元i 的信誉值 2. 任务分配给簇控制器的判决函数 判决函数设计原则: 与资源的不匹配度成反比 与信誉度成正比 权重系数反应工艺与系统差异 任务分配给簇控制器的过程: 1)任务到达系统;2)操作管理人员通过人机交互Agent向各个控制器下达该任务的能力要求情况;3)每个控制器通过人机交互Agent将本簇的能力资源情况报告给管理工作站(人员);4)管理人员根据每个控制器的能力资源情况和信誉值进行决策选择,决策机制为: 假设任务t需要的能力资源集合为 ,控制器P通过人机交互Agent所报告的自身簇所拥有的能力资源集合为 ,P的信誉值为 ,那么系统将会把任务t分配给如下控制器(记为Final-P控制器) 任务分配给传感器、执行器单元的过程:1)任务被分配给某个控制器;2)控制器通过其簇内通信Agent向各个传感器、执行器单元下达该任务的能力需要情况;3)每个传感器、执行器单元通过其通信Agent将自己的能力情况报告给控制器;4)控制器根据每个传感器、执行器单元所报告的能力情况和信誉值进行决策,决策机制类似于控制器的选择机制 3. 任务分配给簇传感器、执行器的判决函数

38 信誉机制效果分析 信誉机制下分配到恶意资源的概率ph: 安全资源充足时(g-hn r),任务被分配到恶意资源的概率也为0
a) Ph与恶意资源(h)关系 安全资源充足时(g-hn r),任务被分配到恶意资源的概率也为0 “凹”曲线,随着恶意资源的不断增加,系统的安全状况才逐步恶化,接近边界时才迅速恶化 当安全资源充足(g-hn r)时,任务分配到恶意资源的概率为0。当安全资源不足(g-h<n r)时,先把安全资源(g-h)分配给任务,再从疑似恶意资源(数量为h)中补齐不足部分(数量为n r-(g-h)) b)Ph与任务所需资源(n*r)关系 图5-5 有信誉机制时分配到恶意资源的概率

39 Thanks


Download ppt "信息物理融合的控制系统安全技术研究 张云贵 教授 冶金自动化研究设计院"

Similar presentations


Ads by Google