CPS控制层欺骗攻击检测算法的研究孔令霖林家骏周昆(华东理工大学信息科学与工程学院，上海200237)摘要：信息物理系统(Cyber_physicalSystem，CPS)通过网络将物理对象与计算单元相融合，然而CPS的网络化使攻击者可以使用传统IT的攻击手段打击工业系统。首先本文，通过Honeyd软件搭建CPS中传感器与执行器的蜜罐，记录针对CPs网络中传输的传感器测量值和系统输入的可能攻击模式和结果，根据结果归纳为四类攻击方式。其次，通过改进已有的状态估计方法，与检测算法相结合，对蜜罐系统记录的数据进行检测，判断系统是否遭到攻击或发生故障。最后利用田纳西伊斯曼过程中的反应釜压强作为物理对象，将改进算法的性能与传统检测算法进行比较，验证本算法具有较小的漏报率，并可对篡改信号进行在线校正。关键词：信息物理系统；Honeyd；攻击检测；欺骗攻击中图分类号：TPlAnalysisofTheDetectionAlgorithmAgainstDeceptionAttacksonCPSControlLayerKoNGLi”州i”LJN‘，妇mnZHoUK“行(SchoolofInformationScienceandEngineering，EastChinaUniversityofScienceandTechnology，Shanghai200237，China)从一一一一一一～一一～一一～一一一一一一～～一一一一一～一一一一～～～～一一～～一一～～一咖一“‰捌酏=蓍}霎几㈣一嚣裟蕊麟瓣一一一～一～一一～一一～一一～一～一～～～一作者简介：孔令霖(1989一)，女(汉)，上海，硕士研究生。一～一～～一一一～一一～通信作者：林家骏，教授，博士生导师，E—mail：jjlin@ecust．edu．cn470第七届信息安全漏洞分析与风险评估大会(VARA2014)论文集KeyWords：cyber—physicalsystem；Hone)，d；attackdetection；deception1引言信息物理系统(Cyber—physicalSystem，CPs)通过网络将物理对象与计算单元相融合，是计算和物理过程的结合。李钊等¨3中归纳了CPs的三条重要特性，即与环境耦合、功能和性能多样，以及网络化。传统工业系统的运行环境单纯，攻击者很难下手，但CPS将网络通信引入工控系统，使攻击者可以使用传统IT攻击手段打击工业系统，造成巨大经济损失。在过往文献中，研究人员已经提出过多种针对特定领域的攻击检测方案，如用于配水系统的水动力模型12j、用于智能电网的系统安全架构。3o等。攻击者通过对网络路由机制的攻击，如路由回路攻击H]、sinkh01e攻击∞1、虫洞攻击。。、选择性转发邸j等，诱导节点向攻击者发送数据，实现对网络传输数据的监听、篡改、丢弃等操作。为了能够了解这些攻击对系统可能造成的破坏，同时又不影响系统正常运行，本文采用了蜜罐口。模拟真实设备，采集攻击数据和攻击模式。通过Honeyd软件可模拟CPs中的传感器单元、执行器单元和控制中心，利用网络与实际物理对象传送信息。通过攻击模拟的传感和执行单元，可以采集攻击者的攻击模式和结果，归纳针对传感器测量值和系统输入值的欺骗攻击的攻击结果。本文将CPS中常用的状态估计[8‘91与入侵检测算法相结合，将状态估计算法用于检测传输数据，从而判断系统是否遭到攻击或发生故障。并在一定程度上对遭到篡改的数据进行恢复，使系统在攻击发生后仍能维持正常运行，直到排除故障。实验表明改进后的算法对多种类型的攻击方式都有较好的性能。本文安排如下，第二节简单介绍cPs系统的安全性目标、蜜罐技术和Honeyd软件；第三节中归纳了四种典型欺骗攻击结果，并据此提出了基于线性时不变的控制系统模型的改进攻击检测算法和数据恢复方法；第四节中模拟了攻击者对田纳西伊斯曼过程中反应釜压强进行攻击的过程(包括压强测量值和影响压强大小的阀门控制值)，并分别验证改进算法对不同攻击的检测效果，并与原算法进行比较；第五节总结全文。2系统安全性与蜜罐技术2．1CPS系统安全性典型的CPs控制层包括由传感器节点和sink节点构成的传感器网络、由执行器节点和控制节点构成的执行器网络、控制中心以及通信网络组成。传感器实CPS控制层欺骗攻击检测算法的研究471时采集物理对象参数，通过网络上传给控制中心，控制中心根据测量值做出决策，再通过网络传给执行器节点，执行器根据指令改变物理对象r10。，从而形成闭环控制。与传统信息安全相似，CPs的安全性目标也可以分...