10.18 研究进展
本节将就复杂网络化系统安全控制研究的最新进展展开综述,主要涉及系统的安全架构分析与建模、攻击检测与安全评估,以及安全控制等诸方面。通过综述,将对国内外相关领域的主要工作分别进行总结,并分析存在的不足。
1 . 系统架构分析与建模
围绕复杂网络化系统的构架分析与建模,国内外学者开展了一系列研究工作。一方面,主要侧重于通信网络与物理系统在统一描述框架下的时空分析、实时性与稳定性等。例如文献 [11-20] 分别考虑网络通信因素(包括数据传输时滞、丢包、数据量化、干扰、带宽受限等问题),研究建立了融合通信的网络化系统模型。在具体应用中,文献 [21]借助多智能体理论,以城市电网自愈为目标,提出了分层递阶的电网调控架构。文献 [22] 面向车联网对象间的群体协调问题,从通信、计算与控制多层融合的角度提出了车联网层次化架构。文献 [23-24]考虑微电网结构具有的分布式特征,研究了微电网系统层次化架构。文献 [25] 考虑微网系统组件的复杂性、不确定性以及多运行方式,提出了基于多智能体的分层混合模型。文献 [26] 针对拒绝服务攻击下网络化系统,考虑攻击频率和分段持续时间的影响,建立了网络化切换系统模型。文献 [27] 考虑拒绝服务、零日、注入等多种攻击形式,提出了安全集概念,将攻击描述为输入特性,进而研究了网络化系统架构。
另一方面,针对计算对系统的性能影响问题,文献 [28-30] 分别建立了分布式计算系统模型,用以实现计算任务的高效执行。虽然上述建模工作为认知复杂网络化系统提供了基础,但到目前为止,从融合通信与计算的角度进行架构分析与安全建模的研究尚属起步阶段。例如,文献 [31] 考虑计算量、计算频率以及计算与通信延时因素,借助信息物理融合系统(CPS)建模方法,通过状态增维建立了混杂 CPS 系统模型。文献 [32] 考虑通信拓扑结构和电网负荷预测算法,建立了基于 CPS 的快变能源网络化系统模型。
从上述文献可见,目前的工作主要从通信与计算各自的角度建立系统架构与模型,进而分析控制稳定性和实时性等系统性能问题。虽有少量工作(如文献[26-27])在系统模型中考虑了网络攻击的威胁,但在通信和计算环境遭受攻击时对系统综合性能影响的分析尚处于起步阶段。为了能够在复杂网络化系统环境中实现有效的安全控制,需要清晰化计算和通信环境与控制对象之间的结构关系,从而能深入分析网络攻击对系统中计算、通信和控制各部分的影响,进而建立能充分理解计算、通信与控制三个层面及其相互之间关系的复杂网络化系统安全模型。
2 . 攻击检测与安全评估
工业控制系统安全问题的研究最早可追溯到上世纪七八十年代[33-35] 。当时主要以电力控制系统为研究对象,考虑由控制系统内部故障导致的“坏数据”对系统安全的影响,通过状态估计和分析方法对“坏数据”进行检测或进行必要的容错控制设计,以此保证系统的安全运行。到本世纪初,随着信息化与工业化的不断融合,特别是近几年来随着计算与通信技术的飞速发展,工业控制系统正逐渐向融合计算与通信的复杂网络化系统过渡,其在获得强大工业处理能力的同时,内部结构也变得愈加庞杂且与外部世界的交互变得愈加频繁。这些变化导致引发安全问题的原因已不再是单一的控制故障,从计算和通信引入的恶意攻击以及攻击故障连锁反应等新问题,使当前复杂网络化系统面临严峻的安全挑战。不同于控制设备自身故障引发的“坏数据”安全问题,恶意攻击往往来自于网络空间和外部物理世界[5-7,36-37] ,并可以有针对性地构造“虚假数据”来躲避基于状态估计和分析的“坏数据”安全检测方法[10,38] ,产生的危害可通过连锁反应在系统内部迅速扩散[39-41] 。近年来,为遏制针对复杂网络化系统的恶意攻击,工业界和学术界分别在攻击检测和安全评估等方面进行了初步研究。
(1)在攻击检测方面:文献 [42] 从信息论的角度提出了面向随机控制系统攻击检测的理论模型。文献 [43] 从理论上给出了信息物理融合系统(CPS)中攻击检测和识别的数学模型,并从系统论和图论的观点分析了攻击检测方法在该类系统中的局限性。文献 [44] 针对网络化系统中某些特定注入攻击(如虚假带宽攻击等),提出了基于随机包链的安全检测方案。文献 [45] 研究了智能电网中虚假数据注入攻击的检测方法,提出了基于粒子群优化的注入点综合识别方法。文献 [46] 给出了网络化控制系统中针对网络节点和通信信道攻击的检测方法。文献 [47] 通过在系统的边界部署智能入侵检测模块,提出了面向智能电网的分布式入侵检测系统。文献 [48] 研究了面向欧洲铁路控制系统无线电干扰攻击的检测方法。文献 [49] 提出了一种基于工业系统时域信息分析的入侵检测方法,该方法能很好适应工业系统中嵌入式设备对实时性的要求。文献[50]针对工业过程控制系统中的震网病毒,借助能达矩阵和区域划分,提出攻击行为可靠性检测和防护方法。文献 [51] 针对受恶意攻击下的电网频率控制问题,提出了基于模型的攻击检测和抑制方法。
(2)在安全评估方面:文献[52]考虑初始故障、继电保护等不确定因素的影响,建立了基于贝叶斯网络的连锁反应故障概率分析模型,对故障进行筛选和识别,提出以连锁故障风险最小为目标的安全预防控制方法。文献 [53] 针对电力系统中风电与负载关联性问题,提出了一种线路过载风险评估方法。文献 [54] 提出了基于系统可拓展稳定性、可靠性、完整性和经济性四个指标的系统运行状态划分准则和面向自愈控制的评估方法。文献 [55] 借助协方差分析,在确定系统受到网络攻击情况下评估其对关键设备的影响。文献 [56] 提出了一套量化分析方法,可以有效评估“网络对网络”和“网络到物理”攻击对系统关键性能指标和安全造成的危害。文献[57]针对智能电网中的物理攻击行为,基于 Petri 网建立专家系统,以此来评估系统安全风险。文献 [58]研究了在单一通信故障情况下对系统运行状态进行安全评估的方法。文献 [59] 研究了针对 Tennessee-Eastman 过程控制系统在面对虚假数据注入攻击和拒绝服务攻击时的风险评估方法。文献 [60] 面向智能电网提出了能分析主动连锁反应的风险评估概率模型。文献 [61] 研究了极限情况下攻击故障在系统中连锁反应引起的系统可靠性问题。文献 [62] 在考虑通信与控制相互影响情况下对智能电网的连锁故障进行了分析。
从上述文献可见,在安全检测方面,现有的方法在一定程度上提高了工业控制系统的安全性,这些工作主要针对系统自身故障[42-43]进行安全检测,或针对某些特定攻击[44-45,48,50-51]在通信或控制某一单一层面[46,49]上进行攻击检测,但对复杂网络化系统自身的特点和网络攻击模型研究尚不成熟。在安全评估方面,现有的工作主要还是集中在面向系统自身故障 [52-54,60-62] ,或面向计算、通信或控制单一层面遭受攻击时的安全评估策略研究[55-59] 。
3 . 安全控制
针对复杂网络化系统安全控制的相关问题,早期的安全控制研究大都基于考虑控制对象的安全约束,进行优化建模求解安全控制策略。如文献 [63-66] 考虑物理电网中的负荷、潮流,以及风电引入的安全风险等,建立调度优化模型,研究了负荷、分布式电源等调度策略。文献 [67-68] 考虑电网安全,建立了机组组合优化模型,通过最优奔德斯(Benders) 分解方法、CPLEX 软件求解机组发电策略。文献 [69] 考虑发生故障时的电网安全,提出了两层微网的自愈控制架构和策略。在这些研究中,安全威胁往往局限在单一的控制层面,缺乏综合考虑通信与计算进行系统性的安全控制研究。随着通信与计算融合到控制系统,考虑通信攻击故障的安全控制,也开始吸引国内外学者开展探索性的研究。
文献 [70] 从安全设置角度分析拒绝服务 (Denial-of-Service, DoS)、重放、零动态和偏差注入攻击对线性时不变系统的影响,并建立了信息安全网络化控制架构。文献 [71] 考虑一致对象 - 控制器系统的通信安全风险,基于非合作博弈理论研究了系统的安全策略。文献 [72] 考虑被控对象和信息系统受到攻击,建立了融合通信和控制的组合优化模型,运用博弈论求解最优 H ∞控制器和防御策略。文献 [73] 针对飞机避撞系统,考虑 DoS、注入等不同攻击行为,通过将博弈理论和 Petri 网结合建立量化分析模型,模拟系统攻防双方行为,通过纳什均衡求出防御策略。文献 [74] 在传感驱动网络遭受攻击下,基于压缩感知技术估计传感 / 驱动故障后的系统状态,并设计了局部安全控制回路以提高系统的恢复能力。文献 [26] 研究在通信网络遭受拒绝服务攻击闭环系统的输入 - 状态稳定性,并设计了通信时间调度策略。文献 [75-76] 考虑通信网络、节点等故障对系统安全性的影响,研究工业控制中的安全控制方法。
文献 [5,77-81] 总结了近年来融合信息的控制系统安全控制方法。从上述文献分析可见,传统安全控制通常考虑被控对象进行安全控制,或者考虑通信与控制进行系统安全控制设计,但是复杂网络化系统所遭受安全攻击可能发生在计算、通信和控制等多个层面,导致计算、通信和控制等各类资源均有可能出现故障并进一步引起连锁故障反应,从而威胁系统的安全经济运行。表 1 总结了系统架构分析与建模,攻击检测和安全评估,以及安全控制三个方面现阶段研究工作的现状和不足。
