基于物理学的早期预警：对工业控制系统的隐蔽性攻击 控制系统

基于物理学的早期预警：对工业控制系统的隐蔽性攻击 控制系统

原文
Grounds for Suspicion: Physics-based Early Warnings for Stealthy Attacks on Industrial Control Systems
申明
版权归原文作者及出版单位所有，如有侵权请联系删除。

摘要

​ 对工业控制系统的隐性攻击可以在逃避检测的同时造成重大损失。在本文中，我们并不关注隐性攻击的检测，而是旨在为操作人员提供早期警告，以避免物理损害，并提前保存可能作为调查期间证据的数据。我们提出了一个框架来提供怀疑的理由，即反映隐身攻击成功可能性的初步指标。我们提出了两个基于物理过程行为的怀疑理由：(i) 隐形攻击的可行性，以及(ii) 靠近不安全操作区域。我们提出了一个实时衡量怀疑理由的指标，并提供了健全性原则，以确保这种指标与怀疑理由一致。我们将我们的框架应用于线性时间不变量（LTI）系统，并将怀疑度量的计算表述为一个实时可达性问题。我们在一个涉及基准Tennesse-Eastman过程的案例研究中验证了我们的框架。我们通过数值模拟表明，我们可以在潜在的隐性攻击造成破坏之前提供早期警告，同时对网络产生最小的负载。最后，我们在一个用例上应用我们的框架，说明它在支持早期证据收集方面的作用。

1 简介

​ 翼博物理系统（CPS）增强了物理系统的能力，如实时监测和动态控制[1]。工业控制系统（ICS）被认为是CPS的一个子类，其中软件控制安全关键的工业流程。对ICS的攻击会对用户和物理资产造成破坏性的后果，如2014年德国钢厂的攻击[2]和2015年乌克兰电网的攻击[3]所示。- 其中包括。基于异常的入侵检测系统（IDS）通常可以通过监测与正常系统行为的偏差（异常）来检测影响ICS中物理过程的攻击[4]。然而，熟练的攻击者可以利用系统中的噪音和异常检测器使用的阈值，在警报响起之前对ICS造成破坏[5], [6]。这种逃避检测的攻击也被称为隐蔽性攻击。早期预警系统（EWS）[7], [8]传统上监测可疑的和看似良性的网络事件的发生（通常称为弱证据）。与IDS不同的是，EWS在潜在的攻击可能造成危害之前，对不熟悉的情况产生预测和建议[8]。EWS可能不会自己发现攻击，但可以指导选择合适的攻击。探测潜在入侵的适当措施，并以此作为现有IDS的安全解决方案的补充[9]。在本文中，我们的目标不是强制检测隐性攻击，而是在有足够证据表明潜在的隐性攻击可以造成破坏时提出早期警告。

​ 我们的主要贡献是建立了一个框架，根据隐蔽性攻击的初步指标（被称为怀疑的理由）在ICS中产生早期预警。这个框架可以在一个更大的EWS中使用，该EWS考虑了其他来源的指标。隐性攻击的成功取决于ICS和异常检测器的行为所依据的物理规律。因此，我们根据系统的物理状态定义了两个怀疑的理由：(i) 隐形攻击的可行性表明ICS是否可以被带到一个不安全的操作区域，同时避免被IDS发现。(ii) 接近性表示系统与不安全操作区域的接近程度。为了监测怀疑的理由，我们提出了一个基于系统的数学模型和可及性概念的怀疑度量。我们还提供了合理性原则，以确保度量标准与测量的怀疑理由一致。

​ 为了评估我们框架的可行性，我们研究了它对线性时间不变（LTI）系统的适用性，这是一个标准的物理建模框架，通常用于过程控制。我们调整了现有的可达性分析工具[10]来计算怀疑度量。我们通过离线计算系统状态的符号可达集来减轻执行实时可达性分析的计算成本[11]。然后，鉴于对未来一定时间步数的物理状态变量的预测，我们在线实例化这些集合。我们利用椭圆型的技术[12], [13], [14]来进行高效的在线安全检查，并计算出怀疑度量。在以前的工作中[15]，我们专注于在隐蔽攻击下实时对LTI系统进行安全检查。在本工作中，我们将这些结果扩展到一个能有效地在线计算怀疑度量的算法。我们还为不同临界度的警告设计了合适的阈值，并展示了我们的算法如何满足我们框架的健全性原则。

​ 我们使用一个测试平台验证了我们的框架在LTI系统中的应用，该测试平台涉及一个网络版的基准Tennesse-Eastman过程（TEP）。我们使用数值模拟来展示我们的框架可以在隐蔽的攻击造成破坏之前产生早期警告。尽管我们使用一种特殊类型的隐性攻击–对传感器的虚假数据注入–进行了这项研究，但我们的框架可以推广到其他类型的隐性攻击。此外，我们证明了我们的框架可以随着安全约束的数量而很好地扩展，并在网络上产生很小的负载。最后，我们将我们的框架应用于一个由TEP基准启发的用例，以展示其在支持早期证据收集方面的作用，特别是来自低级控制设备的证据。然而，这些好处是与实例化框架所需的人工努力相关的成本。

​ 本文的其余部分组织如下。第2节对相关工作进行了简要概述。第3节说明了一个激励性的例子，而第4节描述了本文的主要贡献，即基于物理学的预警框架。我们在第5节中开始我们的案例研究，介绍TE基准。在第6节中，我们解释了如何将我们的框架实例化到基准上。第7节介绍了我们的评估结果，第8节是本文的结论。

2 相关工作

​ 在这一节中，我们提供了一些关于ICS中现有攻击检测技术的背景。我们还澄清了本文在CPS/ICS中早期预警系统和攻击影响评估方面的现有工作的定位。

2.1 ICS中的攻击检测

​ 在以前的工作中，已经提出了几个基于网络的入侵检测系统，用于CPS，特别是用于ICS。其中一些[16], [17]是基于知识的，寻找网络流量中与已知威胁模型一致的特征。其他[18], [19]是基于异常的，寻找表明偏离预期行为的特征。此外，基于物理学的方法[4]考虑了攻击对受控物理过程的影响，并寻找与预期物理传感器测量值的偏差，该偏差由系统的数学模型给出。

​ 只要对系统有足够的了解，犯罪者就可以发动隐蔽的攻击。这些攻击通常是通过在控制回路中引入假的传感器测量值或执行信号来进行的。通过这种方式，异常检测器将无法检测到系统偏离正常行为的情况。隐蔽性这种攻击可以通过模仿对系统有害的噪声[5]或利用一些控制理论特性[6], [20]（如零动力学）来保证。已经提出了 "主动"检测方法来检测隐蔽性攻击。这些方法涉及引入探测信号（水印）以揭示假的传感器测量或驱动信号[21], [22]。也可以为利用特定控制理论特性的攻击设计主动方法。在这种情况下，检测依赖于对系统的修改，例如，包括额外的传感器测量[20]或调制驱动信号[23]。这些修改可以消除攻击所利用的控制理论特性。

​ 主动攻击检测技术可能会带来权衡，危及其有效性。在物理水印的情况下，水印的鲁棒性和控制性能之间的权衡可能是不可接受的，特别是在安全关键的系统中。此外，修改系统的结构（例如，通过增加传感器测量）往往是困难和昂贵的。

2.2 预警系统

​ EWS将预防措施，如风险和脆弱性评估，与IDS结合起来，以提供更清晰的安全状况 “图片”，并发送有关潜在网络入侵的警告[7]。它们被认为是现有IDS/ADS的补充解决方案，它们的主要好处是在不熟悉的情况下提供潜在危害的预测，通常是零日攻击[9]。

​ 传统上，IDS/ADS是作为一种被动的安全措施而存在的，其警报通常是基于对正常情况的明显偏离或对滥用行为的有力证据。与这些系统不同的是，EWS主动地收集、积累和组合那些不一定构成已知攻击特征或明显异常的事件，以形成对安全状况的更好描述。例如，Chivers等人[24]认为诸如失败的连接、失败的登录和异常的电话等事件是恶意的内部活动的薄弱指标。此类事件本身可能不会被IDS/ADS考虑。然后，这些指标被汇总，并使用贝叶斯评分进行累积，反映出一个节点被颠覆的概率。此外，EWS超越了IDS/ADS，它包含了一种预测对系统的潜在危害的机制，例如Abbaszadeh等人[25]的工作中使用的统计模型。虽然EWS本身不一定能检测到攻击，但它们可以指导选择可能反过来揭示潜在入侵的行动。例如，Brignoli等人[26]提出的框架允许评估物联网网络中主动对抗措施的潜在影响。

​ 最近，有越来越多的工作考虑到了这一应用。在传统的IT系统中处理缓慢和隐蔽的攻击的方法[9]。Apel等人[27]提出了一种EWS，它依靠不同组织之间的情报共享，在早期阶段对抗高级协调攻击。Kalutarage等人[28], [29]提出了一种贝叶斯方法，该方法在很长一段时间内积累证据，以对抗处于侦察阶段的网络攻击。读者可以参考Ramaki等人[9]的工作，以了解对现有的EWS工作进行全面调查，并对EWS和IDS/ADS进行更详细的比较。

​ 据我们所知，只有非常有限的作品将预警系统应用于ICS。一个例外是Abbaszadeh等人最近的工作[25]，它根据学习时间序列行为所预测的潜在异常情况产生预警。在我们的工作中，我们没有依靠训练统计模型，而是采用了基于系统标准识别模型的可达性分析的思路。

​ 在ICS/CPS背景下的其他相关工作提出了基于接近预定义的不安全或关键状态的概念的在线监测技术[30], [31], [32], [33]。例如，Carcano和Coletta [31], [32]提出使用距离度量，如与一组不安全状态的欧几里得距离，该组不安全状态以状态变量的布尔表达式表示。Castellanos和Zhou[33]通过计算基于欧氏距离和物理状态变化率的近似 "时间到关键 "状态指标，进一步扩展了这个概念。与这些方法类似，我们从系统的当前状态来计算接近度，该状态是根据接收到的传感器值来估计的。然而，如果系统处于隐秘的攻击之下，这种估计的状态可能不能代表系统的状态。因此，我们的接近度概念在一定的置信度下，对系统的实际状态进行了限定。为了在隐性攻击造成破坏之前产生早期警告，我们还预测了未来一定数量的时间步骤的系统状态。这种预测类似于Etigowni等人的工作[30]，依赖于系统的近似模型和控制器状态的监测。

​ Bradford等人[34]提出了一个分层应用的想法。EWS的方法。首先，他们通过积累初步数据对系统中的代理进行剖析，然后在一些预先定义的阈值被跨越时进行更详细的调查和密集的数据收集。Chivers等人[24]对网络系统中的内部攻击实施了分层方法，而Kalutarage等人[35]则对网络冲突的归因进行了研究。与这些工作不同的是，我们专注于生成ICS中隐性攻击的早期警告。我们的方法的新颖之处在于根据ICS的物理状态来衡量怀疑的理由。

2.3 CPS/ICS中的攻击影响评估

​ 我们的工作建立在最近的研究基础上，评估隐性攻击对CPS和ICS的物理影响。特别是。我们调整了基于可达性分析的技术[10], [36], [37]，以提供拟议的怀疑理由的措施。在以前的工作中，这种技术主要用于评估系统的安全性和进行离线风险分析，而在这里，我们将它们改编为在线监测。

​ 在ICS安全方面现有的风险评估方法是基于这样的假设：当受到攻击时，系统会有稳定的状态。然而，当操作条件出现长时间的瞬时变化时，这种假设就会失效。在流程工业中就是如此，由于外部干扰和实时优化的要求，操作条件的变化很频繁[38]。

图1 反应器原理

​ 在我们对LTI系统的框架实例化中，我们的方法与Kwon等人[37]的方法类似。然而，主要区别在于Kwon的算法是专门为满足无人驾驶飞行器（UAV）的应用而设计的，其中的安全约束是随时间变化的，并且与我们所考虑的过程控制应用中的典型约束有着不同的数学表达。此外，Kwon的算法需要在每个时间步骤通过递归结构更新可达椭圆体，这可能是资源密集型的，因为不清楚它是否能很好地扩展到过程控制应用中通常发现的大量状态变量。

​ 最后，有几种方法可以评估CPS/ICS中隐性攻击策略的影响。例如，一方面，Milosevic等人[39]提出使用一定时间段后的临界状态的无穷大准则，并提出了一个给定攻击复杂性和影响措施的离线安全措施分配框架。Urbina等人[40]则认为隐蔽攻击下物理变量的变化率是影响的衡量标准。在本文中，我们不把注意力放在计算隐性攻击的影响上。相反，我们根据隐性攻击成功的可能性，实时生成预警。

3 激励性例子

​ 考虑一个配备有控制器的化学反应器，该控制器将反应器中的液体水平保持在一个理想的设定点（图1）。一个攻击者可以进入通道，将液位值传给控制器，希望造成物理上的伤害。对系统的损害。为了最大限度地提高成功的机会和避免被发现，攻击者利用他/她对系统的物理行为的了解（通过侦察活动获得）和其异常探测器。

​ 攻击者利用反应器的安全关键操作模式，修改液位传感器的值，使实际值和接收值之间的偏差随时间缓慢增长。这反过来又诱使控制器慢慢增加反应器中的液位，使其达到溢出的程度（图2的上半部分）。这可能会产生重大后果，例如火灾，特别是当反应器在高温或高压下运行时。此外，存储在低级控制设备上的数据（如可编程逻辑控制器（PLC）的配置、感测器的配置）也会影响反应器的运行。

图2 真实和接收的反应器水平值（上），以及异常检测器的剩余指标（下）。反应器在t≈67h，即攻击开始后34h溢出。

​ 在这个例子中，系统配备了一个通常用于检测由系统故障或攻击引起的脱离正常状态的奇异检测器。在每个时间步骤，异常检测器使用控制输入、历史传感器测量和系统模型来预测传感器测量。然后，这些预测与收到的测量值（图2顶部的黑线）进行比较，使用一个指标，称为残差。残差计算预期测量值和接收测量值之间的差异，并使用统计学变化检测技术（秩和）来检测异常情况，一旦越过了一个阈值。这个指标在反应堆液位越过安全极限之前，未能发出任何警报。值得注意的是，依靠统计建模的 "模型诊断 "检测器，如Aoudi等人[41]和Krotofil等人[42]提出的检测器，也可能无法检测到像本节中说明的攻击。这在Erba和Tippenhauer[43]的工作中得到了经验性的证明。也就是说，这种检测器不能可靠地学习重要的控制理论属性，而可知晓的对手可能利用这些属性来保持不被发现。在这项工作中，我们考虑基于模型的异常检测器，特别是文献中广泛研究的chi-squared异常检测器。

​ 现有的在线监测技术依靠的是一个靠近不安全状态的概念（例如[31]，[33]）可能无法检测到图示的攻击，因为它们依赖于原始传感器值来测量与不安全状态的距离指标。在本例中，攻击者强迫接收到的传感器值看起来低于其实际对应值。因此，如果用接近度量法，系统向不安全状态的演变将不明显。

​ 与以往工作不同的是，我们监测了一个 篡改控制设备的潜在隐性攻击是否可以 将系统带入一个不安全的操作区域。我们把 异常检测器所带来的攻击者的约束条件 和系统底层的物理学，来检查一个攻击是否 攻击是否能在被检测到之前破坏系统。我们的 我们的框架在以下情况下会触发预警 隐蔽攻击的实时成功可能性 超过一个给定的阈值。因此，使用我们的框架配置的EWS 我们的框架会在本节举例的隐身攻击可能造成伤害之前就发出警告。 本节中举例的隐蔽攻击可能造成伤害之前就会发出警告。

​ 早期警告可以触发数据收集活动，这可以帮助分析潜在的入侵，防止潜在证据的丢失。操作人员也可以采取安全措施来防止伤害。然而，在本文中，我们侧重于提供 "基于物理学的 "预警，并将对预警后措施的详细处理推迟到未来的工作中。

4 拟议的预警系统框架

​ 在本节中，我们介绍了本文的主要贡献，即ICS中基于物理学的EWS框架。我们的框架建立在Bradford等人[34]和Chivers等人[24]使用的EWS的分层方法上。这些方法监测初步指标，通常称为弱证据，直到它们的证据权重超过某个阈值并触发警告。本工作的主要创新之处在于它考虑了对ICS的隐性攻击，影响了物理过程。为此，我们的框架工作积累了通过监测ICS中的物理过程而收集的薄弱证据。在下文中，我们将详细介绍这种证据的性质和我们框架的结构。

4.1 框架结构

​ 图3显示了我们的框架在一个控制系统中的实例化。后者主要将一些状态估计器提供的物理状态变量的估计值以及控制器的当前状态作为输入。然后，这些估计值被用来衡量怀疑的可行性和接近性理由，这些理由通过反映成功的可能性而成为隐蔽攻击的薄弱证据。然后，这两个理由被结合起来，并通过一个怀疑指标进行测量，这反过来反映了它们的证据权重，并在越过某个阈值时触发警告。根据越过的阈值的重要性，可能会有不同的行动，如进一步收集证据或启动安全措施。这些行动的识别不在本工作的范围之内。

4.1.1 怀疑的理由

​ 希望避免被发现的攻击者会以一种方式操纵系统，使估计的预测值和实际的传感器读数之间的差异足够小。我们的框架并不试图通过比较两者来区分不正常的行为。相反，它衡量以下怀疑的理由。

​ • 隐形攻击的可行性：考虑到系统的动态性和异常点所带来的限制检测器，我们检查系统的当前状态是否可以被带到一个不安全的状态（从而造成损害），同时在这个过程中避免任何警报。

​ • 靠近不安全状态：鉴于目前的状态系统，如果攻击实际上正在发生而没有被发现，我们监测系统离不安全的操作区域还有多远。系统越接近这个区域，隐性攻击就越有可能成功，因为攻击可能需要更少的时间来实现其目标。

​ 隐性攻击的可行性和系统接近不安全状态并不一定意味着正在发生恶意活动。然而，它们可以表明隐性攻击可能成功地破坏系统。因此，我们认为它们是潜在的隐性攻击的薄弱证据，就像一个失败的登录尝试可能是可疑的，但不能作为入侵的证据一样。

图3 在一个典型的控制系统中提出的框架实例和一个样本界面。

4.1.2 怀疑的衡量标准

​ 可以触发预警的事件的证据权重通常用某种指标来衡量。例如，Chivers等人[24]对产生被认为是弱证据的事件的网络节点分配了一个贝叶斯分数。我们提出了一个类似的分数，称为怀疑度量。这个指标主要是通过结合这两个怀疑的理由，实时测量潜在的隐性攻击在被发现之前对系统造成损害的可能性。在运行时，人类操作者将得到怀疑度量随时间变化的情况（图3）。如果该指标超过了某个阈值，就会发出警告。

4.2 怀疑尺度的合理性原则

​ 由于几种类型的物理系统可以用不同的形式化来建模（例如连续状态与离散事件/混合状态），我们并不试图提出一个计算怀疑度量的公式。相反，我们提供了合理性原则，这样无论框架工作在哪个系统中被实例化，尺度都能以合理的方式反映怀疑的理由。

1) 该指标必须包括至少一个明确的阈值，如果越过这个阈值，就会发出警告。我们提出两个阈值（图3）。(i)一个是低关键性的，它可能会触发密集的数据收集以主动检查入侵；另一个是高关键性的，通常会触发防止安全事故的措施
2) 成果a）系统的真实物理状态与所提供的估计值相背离并演化到不安全的操作区域的可能性在增加（可行性）；或者b）如果系统正在向不安全状态演化，意味着潜在的攻击对攻击者来说越来越不费时间（接近性），那么该指标应该在一定的时间间隔内增加。

​ 第一个原则确保EWS可以向操作人员提供关于当前安全形势的建议。第二条原则确保该指标提供了衡量怀疑理由的证据分量，并能告知操作人员潜在的隐蔽攻击的成功可能性。

4.3 框架配置要求

​ 该框架的配置主要涉及提供可行性和接近性的措施，以根据前面提供的健全性原则构建一个怀疑度量。这可以通过重用CPS/ICS安全领域的现有技术来完成。例如，在给定的隐蔽攻击下计算可达集的技术[10]，[37]可用于测量可行性，而距离指标，如欧氏或汉明距离，可用于测量接近性，因为大多数物理状态变量的实值性质。

​ 因此，为了配置框架，我们主要需要（i）系统的数学模型，包括其控制器和不安全运行区域；（ii）所使用的异常检测方法的信息；以及（iii）物理过程层面上的攻击模型。请注意，(i)是控制工程和安全分析的标准，而威胁模型(iii)只需要显示潜在攻击对控制回路的影响。有几个著作[44], [45]提供了对这种效应进行建模的有效方法。

图4 拟将框架实例化为LTI系统。

​ 在本文中，我们着重于将该框架应用于可使用线性时间不变（LTI）建模框架的系统–我们将对其他系统的研究推迟到未来的工作中。在一定的操作范围内，一些控制系统可以通过使用成熟的技术用LTI模型进行高精确度的近似。这个建模框架特别适用于几个过程控制行业中的问题[46]。

​ 图4概述了该框架对LTI系统的拟议实例。我们把隐蔽性度量的计算表述为一个可达性问题。也就是说，考虑到系统的实时估计物理状态，可达性问题问的是隐蔽攻击是否能对系统造成损害而不被发现。为了能够实时地进行有效的可达性分析，我们的方法在离线情况下计算攻击下的可达集的轻量级符号椭圆体近似，从而将大部分计算限制在设计时间活动中。这是通过考虑隐蔽攻击下的状态估计误差的演变而不是物理状态本身来实现的。通过使用文献中的分析工具，即Murguia等人[10]开发的方法，我们得到了一个以给定状态估计为中心的椭圆体形式的误差可达集的近似值。系统的真实状态，如果它处于隐秘的攻击之下，就在这个椭圆体中。可行性和接近性的测量随后依赖于检查这个集合是否与预定的不安全状态集合相交。为了使这些空虚检查能够实时进行，我们利用了可达集近似的椭圆性质，以及在大多数情况下，安全约束可以在几何上作为半空间的联合体来进行。在这种情况下，空洞性检查简化为检查距离的符号椭圆体和构成不安全集合的半空间之间的关系。

5 系统描述

​ 本节描述了用于代表系统和控制器、异常检测器和威胁模型的建模形式。

5.1 物理系统和控制器

​ 一个标准的、经常使用的线性时间不变量（LTI）模型的物理状态的演变如下

x(k + 1) = Ax(k) + Bu(k) + w(k) y(k) = Cx(k) + v(k)

​ 期间。假设过程干扰w(k)和传感器噪声v(k)遵循零均值矩阵A、B和C是实数，时间不变量，并具有适当的尺寸。系统的状态由以下公式给出矢量x(k)∈Rn ，传感器测量值y(k)∈Rm ，控制输入值u(k)∈Rp ，其中k=t/∆t ∈N表示离散的时间时刻，∆t 是采样高斯分布，其协方差矩阵分别为Σ1 和 Σ2 。我们假设系统是可观测的，并且在控制理论意义上是可控的。此外，系统配备了一个输出反馈控制回路，即给定接收的传感器测量值y¯(k)和设定点参考值yr (k)，a控制信号u(k)=K[y¯(k)-yr (k)]，基于控制律K[。]在每个时间步长被发送到过程中。我们假设系统由该控制器稳定。

​ 状态变量的一个子集，表示为 “临界”，并分组为一个向量xc = Cc x, xc ∈ Rn , Cc ∈ Rn c×n，要求保持在一定的范围内，以确保安全操作。不安全的条件可以用状态变量的线性组合的形式来写。因此，表示安全约束的每个状态变量的线性组合可以在几何上解释为R中的一个半空间n 。让Su 表示不安全的操作区域，这又可以是解释为半空间的联合，如下所示。

​ 其中bi 表示ith 临界状态变量的安全边界（或从几何学角度看ith 半空间标量），Cc,i 表示矩阵Cc 的ith 行。虽然我们在本文中主要关注的是寻求对系统造成物理损害的隐性攻击，但我们的建模框架可以容纳隐性攻击的其他目标。例如，如果我们担心攻击者通过将系统推向一个 "昂贵 "的运行状态而造成经济损失，那么相关状态变量和约束可以添加到Su ，以表达这种一个昂贵的操作区域。我们正计划考虑在未来的工作中，这种类型的隐蔽性攻击。

5.2 异常情况检测器

​ 在一个时间k，给定以前的估计和控制行动，状态估计xˆ(k )和预期的传感器测量值yˆ(k)由卡尔曼滤波器提供。

​ xˆ(k) = Axˆ(k - 1) + Bu(k - 1) + L(y¯(k - 1) - Cxˆ(k - 1)) yˆ(k) = Cxˆ(k)

​ 其中，设计参数L是观测器增益矩阵。的存在是由系统的可观测性所保证的。估计的传感器测量值yˆ(k)与接收到的值y(k)用一个残差进行比较度量；r(k) := y(k) - yˆ(k)。在名义条件下。残差度量有一个零均值和一个协方差马trix Σ。为了检查这个假设，计算了一个秩和度量，z(k)=rT (k)Σ−1 r(k)，并与一个阈值τ进行比较，这样，超过这个阈值就意味着可能存在异常并引起警报。τ可以根据所需的误报率β来设置。关于观察者增益矩阵L、异常检测阈值τ以及名义条件下的残差协方差矩阵Σ的更多细节，读者可以参考[10]。

5.3 威胁模型

​ 在本文中，我们考虑了对传感器的虚假数据注入攻击，这包括伪造传感器值，使控制器将系统推向不安全的操作水平。这种攻击通常被建模为强加在传感器上的偏见。y(k) [45]。让{ks , . . ., kf }为攻击的时间段。控制器收到的实际传感器读数y¯（k）。然后给出的是。

​ y(k) =y(k) + δ(k)∀k∈{ks , . . ., kf }。 y(k)否则在这样的攻击下，异常检测器的卡方度量由以下公式给出。

​ z(k) = (y(k) - yˆ(k) + δ(k))Σ−1 (y(k) - yˆ(k) + δ(k) )

​ 攻击者在知道异常检测器参数（即Σ 、β 和τ ）的情况下，可以通过确保δ (k)保持名义上的隐蔽性来维持攻击。误报率；即Pr[z(k) ≤ τ ] = 1 - β。 我们使用这个隐秘攻击的特征，因为它代表了系统。在实践中，给定K个时间步骤，攻击者可能会选择在βK个步骤中发出警报；从而尽可能地模仿错误警报率。由于篇幅有限，读者可以参考[47]，以了解在这种攻击下检测器度量分布的更详细描述和分析。

6 对LTI系统的拟议框架进行实例化

​ 所提出的基于物理学的EWS组件除了控制器的状态外，还将估计状态变量的向量xˆ作为输入。我们将怀疑度量SUSP初始化为两个项的函数：可行性FEAS和接近性PROX。在这一节中，我们为第4节中描述的系统实例化了建议的框架。我们使用文献中的分析工具来构建FEAS和PROX的公式。在之前的工作中[15]，我们展示了如何进行高效的在线安全检查为隐性攻击下的LTI系统。在这一节中，我们描述了安全检查算法，并通过包括怀疑度量来扩展它。我们还设计了阈值对于不同临界点的警告，将该算法应用于拟议的框架。我们还展示了所提出的算法如何满足第4节中提出的健全性原则。

6.1 可行性措施

​ (4)中的攻击被定义为可行的，如果(i)破坏性信号在整个攻击过程中能保持标称的误报率，以及(ii)在攻击结束时系统能被驱动到不安全的操作。这可以表述为一个可达性问题。也就是说，让Rx (k)是以下的集合由于攻击（4），在时间k的可达状态。

​ Rx(k) = {x(k) ∈Rn | x(k) 是 s.t. (1)∧ δ(k) 是 s.t. Pr[z(k) ≤ τ ] = 1 - β}

​ 如果在接下来的K个时间段内，存在一个瞬间kf ∈{k, . . ., k+K}，这样Rx (kf ) ∩Su /= ∅。作为对可行性的衡量，我们提出来使用这个交集的大小的函数。然而，实时计算Rx (k)和Rx (kf ) ∩Su 的大小是难以实现的。此外，由于x(k)是部分的由具有无限支持的高斯噪声w(k)驱动，使用确定性方法计算Rx ，将产生一个无界的集合。

​ 我们通过近似一个由状态估计参数化的离线符号可达集来解决难点。我们在一个假设的情况下计算所得到的集合。更现实的是，一个希望保持隐蔽性的高级攻击者，至少在实现破坏的目标之前，要保持隐蔽。

​ 在一定的置信度下，对噪声的能量进行约束，从而防止无界的可达集。因此，计算可行性措施（以及随后的怀疑度量）涉及一个离线初始化步骤，即以及Rx (kf ) ∩Su 的在线空性检查。

6.1.1 离线初始化

​ 对 约略 a 符号的 可达的 集 符号化的可达集，并以当前状态的估计值为参数，我们考虑的是可达集Re 的估计误差e(k) := x(k) - xˆ(k)在攻击下。假设最初的错误在开始时的攻击总是几乎为零，这个集合是独立的攻击开始时的物理状态。因此，离线计算它将提供一个象征性的可达集作为所提供的状态估计的函数，然后可以在线实例化。我们使用Murguia等人[10]提出的方法来计算隐蔽攻击下估计误差的可达集的椭圆近似值。

​ 根据公式（3），攻击下的估计误差按以下方式演变。e(k + 1) = Ae(k) - L(y(k) - y¯(k) + δ(k) ) + w(k) (7)为了解决当误差部分由高斯噪声w(k)和攻击相关序列δ¯(k) = y(k) - y¯(k) + δ(k)驱动时计算Re 的问题，我们对这两个向量的能量设定了一个置信度。鉴于(4)中描述的威胁模型，对于序列δ¯(k)，我们有Pr[z(k) ≤τ ] = Pr[1Σ−1/2 δ¯(k)12 ≤ τ ] = 1 - β，其中1.1表示L2 -norm。至于噪声，由于它遵循高斯分布，因此可以为其能量1w(k)12 设定一个约束w¯，以达到所需的置信水平p = Pr[1w(k)12 ≤ w¯]， 使用伽马或卡方来计算。

​ 利用这种对δ ¯ (k)分布的截断和w(k)，我们计算出R的椭圆体近似值E 。较大的置信度会导致更大的集合，代价是对空洞性的检查过于保守。一个合理的选择是为1-β，因为假警报β被设计为小。这也简化了可及范围的计算。集，因为对于p = 1 - β，我们很容易得到Pr[1w(k)12 ≤ w¯] =在（4）中的攻击下，Pr[z(k) ≤ τ ]。给出系统模型（1），卡尔曼增益L，以及异常检测器阈值τ ，以及p-probable边界w¯的过程噪声能量，可以计算出以下形式的椭圆体近似值Ep ⊇ Rp 。Rp ⊆Ep = {e(k) | eT (k)Π−1 e(k) ≤ 1}。 (8)其中Π被称为椭圆体的形状矩阵。Π的计算包括解决一个给定上述参数的线性矩阵不等式（LMI）问题。请注意，由于我们假设系统是稳定的，所以矩阵Π存在[10]。由于篇幅所限，读者可以参考[10]和[47]，以了解该程序的更多细节以及p的选择对椭圆体逼近的影响。

​ 请注意，这一步只在离线情况下执行一次，只有矩阵Π需要存储，以便进行在线空性检查。因此，这个椭圆体approximation的计算并不影响实时性能。给定矩阵Π ，用其定义代替e(k)，我们获得实际系统状态x(k)的可达集Rp (x(k))的符号椭圆体近似值E p(xˆ(k))，由当前状态估计xˆ(k)参数化。Rp (x(k))⊆Ep(xˆ(k)) = x x(9){x(k)∈Rn | (x(k) - xˆ(k)) ΠT−1(x(k) - xˆ(k)) ≤ 1}。然后，这个椭圆体近似可以在给定当前状态估计值xˆ(k)的

6.1.2 在线检查

​ 运行时，给定当前的物理状态估计和控制器的状态，我们使用确定的模型来预测未来K步的系统状态。系统。对于每个预测的状态xˆ( k + l)，l∈{0, . . ., K}，我们实例化椭圆体近似E p (xˆ(k + l))的在潜在的隐蔽攻击下的可达集合。由于离线计算的可达椭圆体是由状态估计（等式（9））参数化的，我们可以在每个预测状态下将其实例化，而不需要进一步操作。当遇到一个E p(xˆ(k + l)) ∩Su /= ∅的状态时，就会发现预测停止，我们计算这个中间的大小。作为一种可行性措施。

​ 在每个预测状态xˆ(k + l)，我们利用E p (xˆ(k + l))的椭圆性质以及Su 可以被几何地解释为半空间的联合体这一事实来对它们的交叉点进行有效的空洞检查。对于每个限定Su 中的半空间的超平面，我们计算与椭圆体E p (xˆ(k + l))的距离。相交点如果距离值为负数，则为非空[12]。当相交点非空时，就有可能矩阵 Πi 。Boyd和Vandenbergh [14] 提供了一个方程式来有效地计算这个形状矩阵，我们省略了这一点。为简洁起见，在此不作介绍。我们用这个近似椭圆体的体积与可达到的椭圆体的比例来衡量可行性。FEAS(k) = VE,ˆl/VE其中V E,ˆl = maxi=1,…, nc[vol(Ep )]是最大跨度。情况下，在某个时间段在线实例化。

6.2 靠近不安全的国家

​ 鉴于物理状态变量的实值性质，我们可以采用基于欧氏距离的简单测量方法来计算系统与不安全状态集的接近程度。Coletta等人[32]就采用了这种方法。然而，由于系统的实际状态可能与给定的估计值不同（由于潜在的隐性攻击），这种简单的距离测量可能无法反映系统与不安全操作区域的实际接近程度。这种措施也不能反映在潜在的隐性攻击下，系统可能演变为不安全状态的速度。

​ 我们利用第6.1.2节中解释的用于计算符号可达集的程序。如果我们发现E p (xˆ(k + l))∩Su /= ∅ 对于l = ˆl， 那么我们可以得出结论在潜在的隐性攻击下，系统可能在至少l个时间瞬间后被破坏。因此，我们使用以下方法作为接近度的衡量标准。PROX(k) = 1/(1 + ˆl)(11)

6.3 算法和度量衡的健全性

​ 算法1概述了为进行在线安全检查和计算怀疑度量而采取的在线步骤。这个度量的计算包括三个主要步骤。

根据控制器的状态，我们预测未来特定时间步数的状态演变。在此注意，不需要对潜在攻击δ (k)的值进行假设，因为在预测状态下实例化的可达集将包含系统的真实状态，如果它确实受到了攻击。(2) 对于每个预测状态，隐性攻击下的近似可达集被实例化，并对其与不安全状态集的交集进行空洞检查。(3) 如果交集在k + ˆl的时间内不为空， 预测停止，怀疑度量的计算方法如下。

​ SUSP(k) = FEAS × PROX =VE,ˆlVE (1 + ˆl)

如果在指定的步骤数内预测的所有状态的交集是空的，那么SUSP(k)=0。

6.3.1 算法复杂度

​ 在算法1中，对系统状态的预测依赖于一个已确定的LTI模型。从公式（1）中可以看出，下一个状态的计算主要涉及到矢量加法和矩阵矢量乘法–这些操作随着物理状态的数量呈多项式扩展。因此，给定一个固定的物理状态数量，预计预测将与预测的最大时间步数K成线性比例。此外，检查当前可到达的el- lipsoid与不安全状态集的交集是否为空依赖于计算这两个集的距离。这个距离的公式可以在它随着状态数的增加而呈多项式扩展。对于固定数量的状态，由于这个距离是针对不安全状态集合中的每个安全条件计算的，所以空洞检查将随着安全约束的数量线性扩展。同样的推理适用于矩阵相交程序[14]及其相应的体积，它涉及矩阵加法和行列式操作。在计算椭圆体到半空间的距离、两个集合之间的交集以及可行性度量时涉及的几个常数参数可以在离线情况下进行预计算，以提高实时性。这些参数包括预先计算的可达椭圆体的体积

6.3.2 度量的合理性

​ 系统的实际状态越来越可能偏离估计值，并由于隐性攻击而进入不安全的工作区域；(ii)ˆl是递减的，表明该系统越来越接近不安全的操作区域。因此，所提出的指标可以作为一种衡量标准为了提出基于物理学的预警，我们提出了两个基于算法所返回的ˆ l值的阈值1.这个值表示潜在的攻击在被发现之前造成破坏所需的时间。让l1 是操作人员在低危警告后执行必要的预先行动所需的时间，让l2 是在高危警告后执行可能更激烈的行动所需的时间，l2 < l1 。l1 和l2 可以根据有关系统的专家知识和要采取的警告后措施来设置。因此，在本案例研究中，我们为不同的临界阈值设定了两个条件。

7 评价

​ 在本节中，我们描述了用于评估我们框架的虚拟测试平台。通过数字模拟，我们验证了我们的框架是否能够提前警告潜在的隐蔽性攻击所造成的损害。我们还评估我们框架的可扩展性和网络性能。最后，我们讨论了我们的框架在一个用例场景中支持早期证据收集的有用性。为支持评估而进行的所有活动都是在英特尔i7-9750H CPU上进行的，频率为2.6GHz，内存为16GB。

7.1 虚拟实验台

​ 为了评估我们的框架，我们依靠对Tennesse-Eastman过程（TEP）[48]的修 正 模拟。这是一个基准的化学过程，被广泛用于研究过程控制领域的问题[49]。该工艺涉及一个放热反应器和分离、净化化学产品的装置。反应器内的温度和压力是通过几个控制回路来维持的[50]。在安全方面，这一过程的复杂性使得模拟物理过程在攻击下的真实行为成为可能[51], [52], [53], [54], [55]。此外，基于模拟的TEP允许以低成本和安全的方式测试攻击对物理操作的影响。

​ 我 们 修改了 Bathelt 等 人 [56] 提 供 的 TEP 的MATLAB/Simulink模拟，增加了一些模块来模拟控制网络、传感器、执行器和控制器的实时行为。我们还实施了一个基于卡尔曼滤波的异常检测器，以估计过程测量和检测异常。我们的测试平台的图示见图5。

​ 该网络被分为四个网段，由一个 "网关 "路由器连接，以模拟现代ICS环境的分布式性质。在物理过程所在的控制室里，传感器通过第一个网段向网关发送测量数据，网关将其转发到控制器网络上的适当节点。控制器采用类似的程序，将控制信号发送到适当的执行器节点。网关将传感器的测量结果和控制器的状态转发到监督控制室，异常检测器和拟议的实例化框架（在图5中表示为EWS）就在那里。然后，该网关模拟远程终端设备（RTU），该设备用于在控制室的控制设备和服务器之间提供接口。

​ 为了模拟传感器、监控器、异常检测器和网络的实时行为，我们使用基于MATLAB/Simulink的TrueTime库[57]。这个库已经被用于研究网络控制系统的性能[58], [59], 以及ICS的安全问题[60]。TrueTime库提供了Simulink块来模拟不同工业网络模型的介质访问和数据包传输，如CAN、Round-Robin、PROFINET等。它还提供了 “内核块”，可以实现定制的MATLAB或C++代码，以模拟具有指定调度策略的不同节点（如执行器、传感器、控制器等）。TrueTime库模拟了介质访问和数据包级别的网络协议，这些协议足以研究拟议框架所产生的开销。

​ 我们将Bathelt等人[56]实现的物理过程编译成MATLAB的"mex S-函数"，以纳入基于Simulink的仿真中。我们将传感器、执行器和控制器的代码作为TrueTime代码来实现。内核，代表具有固定优先级调度策略的控制设备的实时行为。该网络采用载波感应多路存取与消息优先级仲裁（CSMA/AMP）模型，该模型被广泛用于工业控制器区域网络（CAN）总线应用[61]。TrueTime库假定高层网络协议将消息处理成数据包。

图5 联网的TEP测试平台图。

7.2 数值模拟

7.2.1 危害发生前的警告

​ 由于我们框架的目标不是检测攻击，而是在伤害发生之前产生潜在的隐性攻击警告，我们不认为以前的攻击检测工作（如Giraldo等人[4]调查的工作）是一个合适的基线来比较我们的工作。此外，传统上攻击检测文献中定义的真/假阳性指标，并不适合评估我们的框架，因为它不是为了取代现有的异常检测器。相反，我们框架的主要效用在于指导选择可能在损害发生之前揭示潜在入侵的行动。因此，我们的评估展示了我们的算法如何在潜在的损害发生之前发出警告，并根据我们在第6节设计的不同阈值指导选择警告后的行动。我们使用两个符合威胁模型的攻击场景进行评估。

​ 在第5节中描述。这种方法与以前关于EWS的工作[7]、[25]、[27]、[29]、[35]、[62]一致。对于每个场景，我们将算法1提出的警告与攻击的能力进行比较，以造成损害而不被发现。

​ 为了实例化框架，我们首先使用MATLAB中的标准系统识别技术（linmod）对系统的LTI模型（1）进行近似。表1显示了本案例研究中所考虑的安全约束，基于Downs和Vogel[48]所提供的过程描述。我们使用MATLAB内置的卡尔曼函数推导出一个合适的卡尔曼滤波器，并根据理想的误报率β =5%设定了一个异常检测阈值。此外，我们还计算了方程（9）中的矩阵Π 的 值，其置信度为p = 1 - β = 0.95。在我们以前的工作中[15]，我们进行了一个详细的对算法1的安全检查部分的准确性进行了评估。特别是，我们展示了如何调整预测水平线的长度K，以最大限度地提高预测的准确性。我们表明，对于TEP，AK=500，相当于≈15分钟后的未来，保证在预测和安全检查方面具有很高的准确性。最后，我们将第6节中描述的警告设定为：如果算法1返回的结果是在250步或更短的时间内可能发生损坏，则发出低临界值警告，即SUSP≥0.004。如果在SUSP≥0.5的情况下，两步或更短的时间内可能发生损坏，则发出高危警告。攻击情况下得到的结果显示在图6.对于每种情况，我们绘制了反应堆水平或压力、残余物、怀疑度量和警告水平随时间变化的值。我们的结果可以解释如下。

1) 在第一种情况下（图6-a），我们重新使用第3节中描述的相同的操作条件和攻击。对反应堆的攻击从t = 30h开始，液体水平增加，直到大约37小时后发生破坏。然而，在t = 48h左右，即损害发生前19小时，发出了一个高危警告。如果我们只依靠基于接近度的怀疑指标，我们将无法检测到反应堆正在向不安全状态发展。在攻击开始之前，大部分时间都保持低危警告水平。在攻击开始后，但在任何损害发生之前（20小时），就会发出高危警告。虽然低度临界警告会在很长一段时间内不断被提出，但这并不意味着每次提出警告时都要采取纠正措施。事实上，操作人员最初可以从系统的相关区域收集更多的数据，以确认或反驳存在入侵的假设。这些数据可以包括来自系统相关区域的网络流量、工程工作站的日志、PLC配置--等等。如果假设被反驳，但仍保持低关键性的警告水平，那么数据收集可以停止或定期进行，以确保没有入侵存在。这项任务可以用现有的专用工具来完成[63]。此外，我们希望我们的框架产生的警告与EWS产生的其他警报（如网络情报、内部活动）相关联。这将提供一个更准确的安全状况的图片。例如，这些警告可以反馈到类似于[28]、[29]中提出的贝叶斯评分，以监测潜在的网络入侵。
1) 在第二种情况下，我们测试算法1在电厂在瞬态运行条件下受到攻击时提供警告的能力。我们考虑一个场景（图6-b），反应堆的压力在很长一段时间内被稳定地降到较低水平。对反应堆压力的攻击从t = 70h开始，过高的压力开始在反应堆中积累，直到大约18小时后发生损坏。然而，在t = 75h左右，即损害发生前13小时，一个高危警告被发布。即使反应堆的压力在整个运行过程中一直在降低，算法1仍然确定了一个可以通过隐蔽攻击进入不安全运行区域的状态。如果我们依靠一个纯粹的基于接近的怀疑度量，反应堆的压力似乎已经从一个不安全的状态演化开来。

​ 上述情况表明，我们的算法可以提前警告潜在的危害，并可以指导选择警告后的行动。我们考虑了对两个传感器的攻击–反应堆液位和压力–它们测量与TEP最重要的阶段–其反应堆有关的安全关键过程变量。虽然情景1说明了典型的稳态操作中的攻击，场景2考虑了瞬态操作条件。情景2强调了我们的框架与现有的基于接近的技术相比的有效性，后者会在工厂似乎远离不安全的压力水平时未能发出警告。

7.2.2 可扩展性和网络开销

​ 可扩展性。我们评估了算法1的可扩展性，涉及（i）安全约束的数量，以及（ii）操作者设定的预测范围K的长度。对于这两种情况，我们对网络化TEP的100小时模拟的执行时间进行了平均，相当于考虑到采样时间 ∆ t = 5 × 10−4 小时 ≈ 1.8 秒，该算法的执行次数为 2 × 105 。此外。为了进行性能测试，我们修改了算法1，以模拟最坏情况下的执行情况，即在每个预测状态下都进行空洞检查。为了测试安全约束数量的可扩展性，我们生成了代表潜在安全约束的随机半空间。我们还将预测范围的长度固定为K=500，相当于未来的15分钟左右。对于预测水平线长度的可扩展性，我们使用了表1中的安全约束。结果显示在图7和图8中。

图6 与第7.2.1节中描述的攻击场景相对应的数值模拟。

​ 该算法的最坏情况下的执行时间与安全约束的数量和预测范围的长度成线性关系。这些结果证明了所提出的算法在安全关键场景中的扩展能力，在这种情况下，需要施加更多的安全约束。此外，在K=1000个时间步长时，相当于提前30分钟进行预测，最坏情况下的执行时间≈ 1.3秒，小于采样周期。1.8秒，这保证了令人满意的实时响应。需要注意的是，只有在估计的物理环境和环境条件下才进行检查，可以进一步提高实时响应。系统的控制器状态（即算法1的主要实时输入）正在发生重大变化，即在瞬态运行期间。最后，该算法的最坏情况下的执行时间可以通过考虑用编译语言，如C语言，而不是像MATLAB这样的解释语言来大大改善。网络开销。为了评估所提出的算法对网络性能的影响，我们测量了网络中两个关键位置的端到端时间延迟：（i）每个传感器和其相应的控制器之间；（ii）每个控制器和其相应的交流器之间。对于每个位置，我们在100小时的模拟中对这些测量进行了平均。表2中的数值显示图8.算法1的平均执行时间与预测水平线长度K的关系。考虑到网络上所有的传感器、控制器和行为者，平均、标准偏差、最大和最小时间延迟。建议的算法在网络上产生的额外延迟很少。这个结果是意料之中的，因为建议方案的安装只需要将传感器值和控制器状态上传到监督控制室区域（图5）。这些值已经被上传，以便在没有提议的框架下执行异常检测。值得注意的是，这些值通常也被上传到过程历史学家，用于各种过程控制和诊断相关的记录活动。因此，建议的框架预计会在网络上产生很少的开销。

7.3 用例情景

图9 系统的布局显示了不同的攻击步骤（ya (t) =虚假的偏见）。潜在证据的来源以蓝色突出显示。

7.3.1 综合监控

​ 系统的布局在这个方案中，我们将重点限制在TEP的反应堆阶段。也就是说，我们假设反应器被安置在一个远程控制站中，其布局受到Sand[64]所做的实验室实验的启发，如图9所示。反应器的温度控制器被安装在一个可编程逻辑控制器（PLC）上，一个远程终端单元（RTU）被用来使用安装在工程工作站上的专用软件与PLC连接。RTU将控制数据传递给中央监督控制和数据采集（SCADA）站，其中包括过程诊断和由于可能的异常而产生的警报。

7.3.2 攻击场景

​ 考虑到一个心怀不满的雇员希望对流程造成物理损害的情况。我们采用Sand[64]提出的攻击方案，包括图9所示的步骤。该员工使用他的访问证书进入反应堆室并登录到工程工作站。利用他对物理过程的了解，该员工改变了PLC的配置，从而使虚假数据按照第3节中描述的隐蔽攻击方式慢慢注入温度传感器中。最后，他在损害发生之前离开反应堆室。

​ 案例1：低临界值警告。在发出低危警告后，相关数据可以上传到主SCADA服务器，以帮助剖析所谓的攻击。图9显示了低级设备中潜在的数据来源。1) 访问控制装置。门禁记录会显示，在发出警告时，该员工在远程站内。2) 操作员工作站/人机界面：操作员工作站的人机界面存储记录登录事件的日志和发出的命令，可以揭示雇员执行的行动序列。供应商的特定软件[63]可以提取并随后上传此类日志。3) RTU/PLC：当前的控制程序正在执行中。PLC触发的事件可以构成雇员所实施的攻击的证据。从PLC中提取此类信息而不需要关闭电源是可能的，例如，通过使用PLCLogger[63]等专有软件记录内存变量值。通过执行这种实时取证活动，操作员可以检测到员工正在发起隐蔽的攻击。然后，他们可以强制恢复PLC配置，存储的证据可用于起诉有关雇员

​ 案例2：高危警告。一个高危警告–除了前面提到的数据收集活动外，如图6-c所示，通常会采取防止潜在事故的措施。在目前的情况下，这些措施可以包括使用受信任的备用PLC来处理反应堆的控制，而不是使用具有潜在恶意配置的PLC；或者暂时禁用RTO模块。

7.4 讨论

​ 在结束本文之前，我们对该框架的有用性和潜在的实际部署问题做一些最后的评论。

7.4.1 支持ICS取证

​ 最近，越来越多的工作考虑了ICS中的预见性问题[63], [65], [66], [67]。在这些系统中，低级设备（如传感器和执行器）的低处理能力限制了事件记录工具的部署。此外，该过程的安全关键性限制了取证工具对系统的干扰程度。通常也不可能关闭ICS来进行事后取证，这迫使操作人员主要依靠现场取证方法[67]。

​ 建议的框架可以支持实时取证，只在对设备的潜在损害提出警告时触发数据收集活动。这种选择性的数据收集活动，如前面的用例场景所示，减少了网络和低处理设备的开销。此外，测量理由为实时的怀疑减少了失去关于隐性攻击的证据的风险，以防这种攻击对ICS传感器和/或执行器造成损害。

​ 此外，请注意，在前面描述的情景中，攻击者不需要闯入网络或利用软件漏洞。仅仅依靠基于网络事件的指标的EWS可能无法提前警告这种攻击。我们的框架可以补充监测内部人活动的EWS（例如[24]），当这种活动针对物理组件并可能造成损害时发出警告。

7.4.2 潜在的局限性

​ 首先，我们框架的配置可能需要一些人工努力。然而，我们注意到，系统的近似数学模型、其异常检测器和不安全操作是控制工程的标准。第二，为了减轻可达性分析所产生的计算成本，我们离线计算了近似的符号可达集，并在运行时将其实例化–这种方法受到单数控制结构[11]的启发。不过我们意识到，我们在本案例研究中使用的可达性工具是专门针对LTI系统的。为了提高我们结果的通用性，在未来的工作中，我们将探索采用一套不同的工具来将我们的框架实例化到不同类型的系统中。最后，为了减少潜在对手颠覆EWS的风险，一个可能的解决方案是在Graveto等人[68]提出的影子安全单元（SSU）上实现它。这类设备是专门设计的计算机，以保持对潜在犯罪者的隐蔽性。加密机制也可以作为额外的安全层加入，以支持更安全的通信，但代价是可能会降低性能

8 总结

​ 在本文中，我们考虑了对安全关键型ICS的隐性攻击问题。我们提出了一个框架，可以作为EWS的一部分，根据代表隐性攻击的 "基于物理学的 "预设指标的怀疑理由提出早期警告。我们根据系统的物理动态定义了两个怀疑理由：(i) 隐形攻击的可行性和(ii) 系统接近不安全的操作区域。为了实时监测怀疑的理由，我们提出了一个基于系统数学模型的怀疑度量。我们还提供了合理性原则，以确保该度量标准与测量的理由一致。为了说明我们的框架，我们考虑了一个对安全至关重要的化学反应堆系统的案例，该系统面临着对其传感器的隐蔽攻击。我们采用了文献中的可达性工具，即椭圆计算，来实时有效地评估怀疑度量。我们还通过一个用例说明了我们的框架可以支持现场取证活动，通过触发早期证据收集和保存关于隐蔽攻击的潜在证据。

架，可以作为EWS的一部分，根据代表隐性攻击的 "基于物理学的 "预设指标的怀疑理由提出早期警告。我们根据系统的物理动态定义了两个怀疑理由：(i) 隐形攻击的可行性和(ii) 系统接近不安全的操作区域。为了实时监测怀疑的理由，我们提出了一个基于系统数学模型的怀疑度量。我们还提供了合理性原则，以确保该度量标准与测量的理由一致。为了说明我们的框架，我们考虑了一个对安全至关重要的化学反应堆系统的案例，该系统面临着对其传感器的隐蔽攻击。我们采用了文献中的可达性工具，即椭圆计算，来实时有效地评估怀疑度量。我们还通过一个用例说明了我们的框架可以支持现场取证活动，通过触发早期证据收集和保存关于隐蔽攻击的潜在证据。

​ 展望未来，我们的目标是将我们的框架应用于不同的领域。ferent系统和攻击。我们将考虑其他现有的威胁模型和物理过程的建模框架。我们还将实施一个原型工具来减少我们将研究如何将我们的框架实例化到一个特定的系统中去，这需要人力。此外，我们将更详细地调查不同的攻击场景的能力，以涵盖在评估拟议框架的不同实例的背景下所考虑的攻击模型的空间。最后，我们将进一步研究我们的工作对ICS取证的适用性。