控制系统安全的理论与应用研究进展

　　信息物理系统（Cyber－Physical Systems，CPS）的攻击实例使控制系统安全问题日益受到重视。本文通过介绍实验成功的攻击模型，分析了现有系统存在的安全隐患，并重点介绍了对控制系统攻击的检测与辨识、弹性状态估计器及控制器等方向的研究进展。在此基础之上提出了未来的研究方向。

　　引言

　　信息物理系统（Cyber－Physical Systems，CPS）是一个综合计算、网络和物理环境的复杂系统，通过计算、通信和控制技术融合与协作，实现大型工程系统的实时感知、动态控制和一体化设计，使系统更加可靠、高效、实时协同，具有重要而广泛的应用前景。信息物理系统的分布式特点为物理系统带来了风险分散、易扩展与易维护等好处；但与此同时，又使信息、控制系统安全（Security）方面的隐患容易扩展，进而影响整个物理系统，特别是保障人们日常生活的基础设施系统，如供电、供水、石油运输、交通运输等系统，以及与人们生命安全有密切联系的系统，如自动驾驶车、智能医疗设备等。一旦这些系统受到外界的恶意攻击，其造成的损失将不可估计。基础设施不能正常运行会造成大量的经济损失也会给居民的生活带来不便，而自动驾驶车、智能医疗设备在被攻击情况下执行的错误运行指令甚至会威胁使用者的生命安全。因此，从信息物理系统融合的特点出发，降低控制系统被攻击的可能性及考虑潜在的攻击风险的控制系统设计是信息物理系统亟待解决的问题。

　　2000年，澳大利亚昆士兰的Maroochy的无线电通讯设备遭到攻击，导致污水大规模泄漏［1］；2010年，伊朗布什尔核电站遭到Stuxnet（“震网”）的攻击［2］。这些事件的发生使得控制系统的安全问题受到了广泛关注。作为一个新兴的研究领域，从理论上分析攻击模型，到模拟针对特定系统的攻击实验；从理论分析系统在不同攻击模型下的稳定性，到根据特定控制器设计进行的实验，硬件系统、控制理论、计算机软件等多领域的科研工作者进行了不同层面的研究与合作。本文主要列举了控制理论与工程方向的几个科研团队在理论与实验方面的工作，并提出几个未来研究方向的设想。

　　信息物理系统（CPS）的攻击模型

　　控制系统安全的研究离不开对攻击模型及现实中攻击方法的探索，根据不同攻击方式的特点提出相应的系统性预防及解决方案。对于信息物理系统的攻击可以针对系统的不同层面及组成部分，如从系统的硬件层上进行结构修改以达到修改硬件功能的目的，此外还有物理部件如传感器、执行器的直接破坏，通讯层的窃听及数据篡改，控制器代码的修改等问题。

　　其中，直接针对物理系统的攻击和针对通讯层面的攻击可能产生等效的破坏结果。例如，分布式控制的传感器网络（如分布式控制的智能电网系统），其网络结构复杂、节点数量大，当一些节点遭到物理性破坏或切断了与其他部分的通讯后，由于缺少相应的测量信息，对电力系统的状态估计误差会增加。无论是直接对传感器物理层面进行的攻击还是通过通信过程对测量数据的修改，都属于具有一定系统模型知识的攻击，它不同于一般的系统故障或环境干扰，这类攻击能够巧妙利用系统的模型知识，通过错误检测系统的攻击，从而在不知不觉中使状态估计器的误差逐渐偏离正确值，进而使物理系统功能瘫痪［14］。这对于大规模网络控制系统是极其危险的。

　　大规模的信息物理系统如智能电网，不便于进行攻击模型的实验检测，但一些单机系统如车辆、游轮等，为科研工作者提供了实际可检测的实验系统。美国华盛顿大学的安全控制课题组设计了关于车辆的传感器、控制器、执行器，作为可攻击性实验平台，如图1（a）所示。实验表明，现有的未考虑控制系统可能受到攻击的车辆控制系统设计并不能满足安全性能的要求［3］。2013年，德州大学奥斯汀分校的GPS技术研究团队通过自主设计的价值2000美元的硬件，向导航系统传递虚假的GPS信号，导致一辆游艇偏离预定航线［4］，这将十年前关于攻击GPS系统的理论［5］变成了现实，并证明了不加密的民用GPS系统被攻击的可行性。被攻击后的游艇的控制台如图1（b）所示。

　　图1进行信息物理系统攻击模型实验的平台举例

　　这些对于现有系统进行的可攻击性实验表明，控制系统安全问题并不仅仅存在于理论层面，在日常生活中也可能会遇到。随着自动驾驶车、智能可穿戴设备、智能医疗器件等越来越多的信息物理系统及其互联而成的复杂系统的发展和使用，在出现攻击实例后才考虑控制系统的安全已远远不能满足人们的需求。科研工作者已经认识到了这一问题的重要性，并从控制系统设计的初始就开始考虑整个系统今后可能面临的各种攻击及安全隐患，以尽早检测攻击及系统的运行错误，及时响应受到攻击环境下的弹性控制行为，尽量确保整个系统的安全性。

　　保证控制系统安全的方法

　　设计安全的控制系统主要涉及两个层面的挑战。第一个层面是设计能够针对控制系统环境的攻击，如对传感器、控制器、通信层攻击的弹性控制系统结构和机制。第二个层面是保证生成控制算法的代码过程的安全，即保证控制系统的代码本身不被篡改，使所设计的各项功能能够正确地被执行。第二个层面的工作主要通过正规方法、形式验证等理论工具来实现。这篇文章主要举例介绍基于第一个层面的近期工作。

　　3．1对控制系统攻击的检测和辨识

　　为保证通信内容不被截断、窃听、篡改所进行的加密解密方法的研究一直是信息安全领域的重要课题。然而对于大规模的传感器网络系统而言，对所有的通信都进行加密会增加通讯开销，降低整个网络的通信效率，这并不是一个高效实用的方法。因此，仅靠原有的信息安全方法已不能保证当今不断发展、规模日益扩大的控制系统的安全。针对信息物理系统的融合性特点，设计新的错误辨识、弹性状态估计器、兼顾控制器的优化性能及对攻击的检测率等方向的研究就成为了当今的热点课题。

　　在没有进行全网的通信加密、系统的传感器和执行器网络可能被选择性攻击的情况下，对于线性时不变系统这一控制系统最基本模型的错误检测和被攻击部分的辨识是建立在系统的可观测性和可控性基础之上［9］。设计弹性的状态估计器，可以保证在符合特定数量的测量传感器信息正确的情况下，状态估计的误差小于预期阈值；增加关键节点的冗余传感器，使状态估计器在部分节点被破坏或通信被切断的情况下，仍然有足够的测量信息来进行计算，并将状态估计值提供给控制器以计算相应的控制命令［6］。

　　相对于对每条通信数据都单独进行编码的高开销加密方式而言，将传感器测量信息在进行通信传输前进行整体编码，能够检测出原本可以成功通过统计错误检测器的被修改过的传感器测量值，而且具有能够实时生成编码矩阵、在智能攻击变换对传感器通信信道插入值的情况下随时间而变的编码矩阵的特点［10］。博弈论方法在系统可能面临多种不同类型的攻击及采用相应的安全控制措施的问题上也有着广泛的应用［8，11］，这是由系统对外界环境（攻击模型）的知识有限、对环境的判断具有不确定性的特点决定的。基于不同的控制系统及可能遇到的攻击系统模型及系统的先验知识，系统与外界环境的竞争或合作关系等，需要应用不同的博弈论模型。

　　3．2弹性状态估计器及控制器

　　当传感器被攻击时，无论是对单个传感器测量值的修改，还是对传感器网络与状态估计器、控制器之间的通信信道的攻击，最直接的影响就是状态估计器只能根据被修改过的测量值估计系统的状态，而对系统状态的错误估计会进一步导致控制器计算出错误的执行器指令。因此，设计弹性状态估计器是降低传感器及其通信信道被攻击对系统造成的整体影响至关重要的一步。美国宾夕法尼亚大学的PRECISE LAB 课题组设计了在一半以上的传感器测量值未被修改的情况下的弹性控制器，并证明了其估计误差与测量噪声造成的误差相同［7］。关于鲁棒及弹性状态估计器的实验是用图2所示的LandShark无人车实验平台进行检验的。针对大规模传感器网络的高效、可辨识，而被攻击的传感器或通信信道的弹性状态估计器的研究也获得了进展［12］。

图2宾夕法尼亚大学PRECISE LAB 进行控制系统安全研究的LandShark 无人车实验平台

　　3．3未来的研究方向

　　尽管目前控制系统安全是信息物理系统的热点研究领域，但仍然有几个相关方向的问题亟待解决。第一个问题是基于非线性系统在存在被攻击的潜在风险情况下的弹性状态估计器和弹性控制器。已有的理论模型主要研究了线性系统的安全控制问题，但非线性系统的安全控制基础理论研究还不够完善。第二个方向是基于多机器人协作系统在分布式控制的情况下，既保证系统运行的优化性能，又在协同策略中考虑到可能来自于外部甚至于一个团队内部不可信任的个体的错误传感器信息，是还未被充分研究的课题。第三个方向是针?智能城市这类大规模非同质系统在不同种类的传感器，在不同通信频率、不同状态估计误差要求、不同控制功能等系统设计要求下，特定系统组成部分受到攻击时，系统对于攻击的诊断辨识及弹性响应的相应措施。

　　总结展望

　　控制系统的安全问题是信息物理系统快速发展的工业4.0时代的重要研究课题之一，积极开展这方面的研究对在新的科技发展潮流中占据国际领先水平有着重要作用。以我国在控制理论研究方向的优势，今后主要的研究应聚焦在基于非线性、大规模非同质网络模型的理论研究，并结合自动驾驶车、智能城市等新型信息物理系统发展过程中存在的应用层面的问题，研发从系统设计层面就考虑到安全隐患的新型系统，从而在新一轮科技发展潮流中作出贡献。