网络性能安全控制系统争取生存.docx
《网络性能安全控制系统争取生存.docx》由会员分享,可在线阅读,更多相关《网络性能安全控制系统争取生存.docx(12页珍藏版)》请在冰豆网上搜索。
网络性能安全控制系统争取生存
网络性能安全控制系统:
争取生存
文摘
本文探讨在这个职位上的安全网络-物理系统。
我们识别和定义问题的安全控制,
(2)探讨信息安全及防御手段控制理论可以提供,以及(3)提出了一套所面对的挑战需要处理来提高其生存能力的网络性能系统。
1.介绍
在本文中,我们研究这个问题的安全控制。
我们第一次描述从一个安全性能要求的控制系统,网络性能系统(CPS)整合计算和交流能力和监测和控制的实体物质世界。
这些系统通常是由一套网络化的代理,包括:
传感器、执行器、控制加工单位和通信设备,见下图。
虽然有些形式的CPS已被使用,并广泛使用的成长的无线嵌入式传感器和执行器,是创造一些新的使用领域如医疗器械、车辆,以及智能结构,增加的作用现有的如监控和数据采集(SCADA)系统。
在这些使用中有许多安全关键:
他们的失败会造成不可弥补的损害被统治的物理系统对那些依赖于此。
SCADA系统,特别是表演。
这项研究受到部分地是由于信托(团队对干细胞研究投入无所不在的安全技术),来自国家获得支持科学基金会(NSF奖号码CCF-0424422)和证明:
AFOSR(#FA9550-06-1-0244),英国电信,思科的ES-切尔、惠普、IBM、iCAST、英特尔、微软,国立橡树岭实验所已有,倍耐力,圣迭戈,阳光,赛门铁克公司,意大利电信,和统一的技术。
在国家关键基础设施的重要功能,如电配电、石油和天然气,水和污水处理系统,以及运输系统。
那个中断这些控制系统可以产生重大的影响公共健康,安全,并导致巨大的经济损失。
虽然大部分的努力保护CPS系统(SCADA尤其是)已进行了可靠性(保护对随机故障),是一个亟待解决的问题日益受到关注的防止恶毒网络攻击。
在本文中,我们研究这个问题的安全控制。
我们第一次描述从一个安全性能要求的控制系统和可能的威胁。
然后我们分析要素,从
(1)信息安全,
(2)传感器网络安全及(3)控制理论可以用来解决我们的问题。
我们得出的结论是,当这些领域可以提供必要的安全机制,为欺诈单独的控制系统,这些机制是不够的。
特别是,计算机安全和传感器网络安全主要集中在预防机制,但不怎么称呼一种控制系统能够继续运作,在受到攻击时。
欺诈-控制系统,另一方面,有较强的鲁棒性和结果上容错算法对定义的不确定性或错误,但有极少的工作对故障引起的会计恶意的竞争对手。
因此,我们得出的结论是,本文在简述在安全的控制一定的挑战。
2.确保CPS:
目标和威胁
估计和控制算法的设计用于CPS为了满足一定的经营目标,例如,闭环稳定性,网络安全、活性,或者一个性能的优化功能。
直观的,我们的安全的目标是为了保护这些操作的目标恶意攻击我们的网络基础设施的聚会。
安全,但是,也需要应对的非经营性的目标。
例如,如果测量所采集到的传感器网络包含一些敏感的私人信息,我们必须确保分布式控制器,个人可以获得这个数据。
2.1安全目标
在这部分中,我们研究如何传统安全目标的正直的、可用性、保密可以被理解为核。
诚信正直指的数据或资源。
结果缺乏诚信的行为:
当一个授权的聚会收到错误的资料,并相信它是真的。
诚信在CPS因此可以被视为能够维持运作通过防止、检测、目标或欺骗攻击的生存信息发送和接收由传感器、控制器和该驱动器。
可用性是指一个系统的能力被访问和可用的要求。
结果缺乏有效性的服务(DOS)。
而在大多数计算机系统DoS攻击也许不是临时放弃自己的服务(一个系统可以正常运行,当这一运动变得可以上场比赛),网络性能实时约束系统的引进新的挑战。
例如,如果一个关键的物理过程是不稳定的在开环,一个DoS传感器测量数据可能渲染无法阻止不可挽回的损害控制器,以制度和实体围绕。
可用性的目标,因此,在CPS是维护正在使用中的目标,以防止或幸存的DoS攻击所收集的资料,指令的传感器网络所提供的此控制器,和体育行为所采取的具体执行机构。
在这部分中,我们研究如何传统安全目标的正直的、可用性、保密可以被理解为核。
诚信正直指的数据或资源。
结果缺乏诚信的行为:
当一个授权的聚会收到错误的资料,并相信它是真的。
诚信在CPS因此可以被视为能够维持运作机密性指能否保守信息秘密从XX的用户。
在缺乏保密的结果。
当然,情况或事件由此实体所得数据存取因为它是未被授权的。
使用CPS在商业使用有潜在的危险它违反了用户的隐私的信息:
即使显然无害-如湿度测量变形,可以揭示敏感的个人信息。
此外,CPS用于医疗系统必须的遵守联邦法规如健康保险法案和责任法案(强度),委托书保护病人的资料。
在核机密必须防止敌人从推理的方法物理系统的状态——通过偷听的交际阳离子通道之间的传感器和控制器和之间该控制器和执行机构。
而保密是一条重要性质,我们是在CPS认为这些包含了物理系统和实时自动的决策并不影响机制研究现状中执行保密。
因此在余下的文章我们仅仅聚焦于欺骗和DoS攻击。
2.2总结的攻击
一个通用的抽象的CPS中可以看到图2。
让y代表了传感器的测量,和u的控制信号发送对执行机构。
一个控制器,通常可以被分成了两个部分:
一个估计算法跟踪状态的物质身体系统给出y,和控制算法,选择了一种控制、反应机制进行了论述,并分析和设计原则。
鉴于当前命令你的估计。
攻击CPS(图3),可以概括如下:
A1和欺骗攻击,在A3代表敌人发送错误的信息,或者你y˜˜=y=你从(一个或多个)传感器或欺诈。
虚假信息包括:
不正确的测量、不正确的时候观察或进行了测量不正确的发送者的id。
这些攻击对手就可以发射获得了密钥或冒用或一些传感器(A1)控制器(A3)。
A2和A4DoS攻击,在代表敌人预防该控制器接受来自传感器的测量方法。
发射一DoS对手就可以堵住了沟通渠道、妥协设备和防止他们发送数据,攻击那个路由协议等。
一个直接的攻击A5代表该驱动器或外部的物理攻击的植物。
算法角度从一个我们不能提供解决这些攻击(除了检测方法)。
因此,必须放置在重大的努力阻止-环和防止妥协的执行机构和其他直接攻击的物理系统,例如,保障物理系统、监控摄像机等。
虽然这些攻击更有破坏性的,我们相信,规避风险的对手的意志吗由于发射电子攻击A1-A4
(1)它是更难发现并起诉罪犯,
(2)它不是身体上的伤害攻击者,和(3)攻击者也可以不受限于地理或距离到网络
3相关工作在信息安全
安全的SCADA、和CPS在总体上,是被认可的但是,有关系;提出了一种新型的研究问题吗?
毕竟,这个研究领域,计算机和传感器网络安全星航工程科出成熟的技术和设计原则,为保护系统免受电子攻击。
在这部分中,我们研究的结果这些领域并识别出各自的不足。
3.1信息安全:
有什么需要帮助吗?
信息安全已发展成熟的技术帮助我们安全的补语片语(cp)。
我们变乱他们的工具在三:
主动机制、反应机制进行了论述,并分析和设计原则。
3.1.1主动机制
一个非常重要的工具以保证分布式系统是认证。
防止人类和设备认证方案从另一个实体在系统冒充。
访问控制防止未授权的访问系统的限制:
可以防止外人获取网络,而实施适当的限制(业内称作验证校长)能做。
保持责任可以维持审计日志所采取的行动是通过有效的实体。
两人诚实实体之间的安全通信的实现在医生的帮助下得到消息认证码(或数字签名的时候他们能探测到的信息已经被伪造三分之一聚会。
也可以保证信息的使用它需要的是安全的时间戳记(方案)或者通过挑战和应对机制。
另外,可以验证工具和软件安全测试的正确性,从而系统的设计和实现限制数量的漏洞。
CPS的安全也取决于传感器网络安全。
部分的努力,为安全传感器网络的主要集中在设计一个安全的通信基础设施恶意程序的内部人士面前。
包括高效算法,主要结果为:
(1)安全协会和密钥管理是一个可信赖的基础设施建设,
(2)安全通信和(3)安全路由协。
最后,有些安全设计原则,即可为设计安全控制系统有用。
冗余,举例来说,是一种能让一个单点失败的影响。
多样性这是一种可以防止一个单一的攻击向量可以妥协所有的吗(增加冗余的复制品)。
和分离的特权原则是一个设计指南特权限制的数额个体可以被腐蚀。
3.1.2反应机制
因为我们不可能排除成功的攻击,安全工程的重要性已公认的检测和响应入侵检测系统,一般情况下,使用-进攻是独立的,是一个定义语境中的一个使用程序。
当他们是非常有用的,在许多情况下,他们并不完美:
假的警报和错过发现不能避免的,因为发现怀恶意的逻辑是一种不可判定的问题。
另一方面,而往往是反应和恢复最重要的方面,它是安全工程的一个最被忽视的。
3.1.3款规定情形
分析和设计原则在安全研究,当我们说一个系统是安全可靠的,,只要和我们为敌的模型和假设在实践中取得了令人满意的信任,我们通常意味着这个系统是安全可靠的。
一般来说,对手模型是一种限制的范围这个问题。
必须保持一种精细的平衡,可以定义的对手模型。
一方面,限制性的对手模型作为假设,一个攻击者将沿着伯努利分布当执行DoS攻击,我们将会限制的适用性分析(为什么要选择这样的分布化敌为友?
什么有动力吗?
)。
另一方面,有时这些限制性假设是有用的开始,在建模敌人的希望给我们更好的洞察的错误的本质,和如何开始取得了较好的模型。
只要敌人的假设进行解释清楚,我们相信定义一个问题的限制性的对手是一种合理的首要措施。
安全分析的重要组成部分,也是在识别实体或系统,我们的信任。
信任是通常被定义为接受依赖;也就是说,信任系统的系统中,我们依赖的。
例如,如果在图3我们不相信这些执行机构时,在非常激动人心我们很少能做,以保证系统!
一个人,设备或系统,如果我们有证据可信赖的相信,他们可以被信任。
3.2信息安全:
什么是丢了吗?
虽然安全机械我们说过可以提高安全性的CPS,许多次实践,他们往往会被推翻。
不可避免的人为错误、软件缺陷、设备,和什么东西设计缺陷产生很多安全漏洞,攻击者可以利用发射成功的攻击。
这是特别不良最CPS关键是提高安全,所以他们必须继续运作甚至在受到攻击时[16]。
占领这个概念为我们定义生存能力CPS。
生存性定义1:
核证的能力来保持graceful-degradation或提供的经营目标,在受到攻击时核。
我们现在认为,以前的研究在计算机安全不被认为是必要的工具来研究CPS生存性理论的方式。
如权利要求1:
主动机制在传感器网络安全主要集中在完整性和可用性,从一个交流网络的观点。
他们没有考虑如何欺骗和DoS攻击影响使用层服务等;也就是说,如何小心袭击影响我们的估计和控制算法和最终,他们是如何影响物质世界。
权利要求2:
入侵检测系统的检测均未考虑算法欺骗攻击,是估计和控制算法。
尤其是,以前的检测弄虚作假攻击发起协的传感器节点承担大量的冗余传感器:
他们没有考虑动态的物质系统以及该模型可用来检测妥协的节点。
此外,没有出现任何检测算法识别欺骗攻击发起做出妥协控制器。
权利要求3:
大多数入侵响应机制涉及人类安全循环。
因为CPS使用自治、实时决策算法的控制物质世界,他们引进新的挑战的设计及分析安全的系统:
一个反应,一个人可能会妥协,可以处以时滞系统的安全。
因此,我们必须要签下自治和实时检测和响应算法,用于安全关键使用。
要求4:
我们需要定义安全等方面存在着一定的一个对手模型。
以前的研究已没有学过理性的对手模型对CPS。
4.相关工作的自动控制
CPS的建筑在图1显示一个空间分布系统,在系统、传感器、致动器、控制器协调他们的手术结束,通讯网络来实现一些性能目标。
一个典型的问题是在控制理论设计一种控制政策以确保反馈,一个开环不稳定的系统是稳定的。
这类系统的性质强加的设计上几个约束控制算法。
首先,通信网络的限制等作为有限的容量,随机延迟、数据包丢失和间歇性的网络连接可以引起DoS。
在DoS驱动器的可能会失败接受一定的包从控制器,是事关稳定在开环不稳定系统。
作为一个结果,系统可能进入一个状态有可能无法稳定。
如果信息内容的测量方法和/或控制封包是妥协,它可能会导致不正确的控制实施。
这些因素强烈表明了需要加进网络在设计特点的控制算法。
这类问题研究了网络控制系统。
农业大宗商品的供给压力。
为了使预期的操作下的故障模式、我们所需要的介绍合适的冗余设计阶段。
这样的针对可重构控制技术和优美的性能退化如果失败,因此限制了负面影响,失败的原因。
在主动容错控制的研究地址这些问题。
最后,系统元件可以通常位于开放并且可能被限制在传输功率和记忆。
这激励的需要,能够进行分布式算法设计一个全球性的任务和当地的信息交换和有限的计算在节点上。
在分布式评价法,但该方法研究瀑布但从更加普遍的共识,区域问题解决问题。
通过适当的例子,我们现在讨论一些目前最先进的在每一个这些领域。
4.1具有鲁棒性的网络控制系统
首先,我们在考虑景象,从系统和远程估计在通信网络交流。
此估计的目标是产生递归状态估计基于s派出的传感器。
在完美的沟通是存在的没有数据丢失,并且封包到达了估计器的瞬间。
在完美的完整性、实测数据不受损害。
为这种理想的情况下,卡尔曼滤波算法的最优估计。
让我们回想一下基本的卡尔曼滤波理论在系统离散时间线性动态系统:
xk+1=Axk+wk,yk=Cxk+vk
什么叫做∈yk,分别表示输出Rp向量和测量噪声分别舱室。
在这里,x0是初始状态高斯随机向量和零均值和方差,周Σ0叫做是独立和零均值高斯随机向量和协方差和≥0和R>Q0分别。
众所周知,下面假设(A,C)是检出率(A,Q)是稳定的,观测误差协方差的卡尔曼滤波收敛到一个独特的稳态值从任何初始条件。
最优估计的xk、k∈N和误差协方差矩阵给出测量Yk={过去;。
y0,Yk−1}来代表k|xˆk−1=E[xk||Yk]和Pk1=Ek−−[(k|xˆxkk−−1)(xk
k|xˆk−1)]的分别。
从x0−||1=0和1=Σ0−并,更新方程就可以计算基本卡尔曼滤波器。
4.1.1量化的稳健性
从服务质量,每一个原始测量yk发送的通信网络可能不会准时到达遥远的估计。
尤其是,当信息包被丢弃,网络是拥挤。
虽然这种情况不一定是相似,其效果是一个DoS攻击。
A2(请参阅图3中)。
这激发研究者设计的卡尔曼滤波器,拿考虑到这个历史的分组损失。
两种广泛使用包损失模型:
伯努利模型和Gilbert-Elliot模型。
伯努里模型描述了数据包的过程中被独立同分布的随机变量的定义”这Gilbert-Elliot模型认为进化根据网络状态的马尔可夫链。
该模型能代表脉冲式储存器损失。
作者已经研究了卡尔曼滤波的性能伯努利损失模型下的滤波。
这封包遗失被视为一种随机过程γk∈{0、1}跑到哪里去了,γk=1意味着成功传输和γk意味着失去了包=0。
让病人r(γk=1)=λk。
给出过去的测量,the{γ0,...,γk−1}和{yl:
γk=1,∀l≤k−1}更新方程
(2)、(3)得到改良xˆk+1|k+1=xˆk|k+γk+1Fk+1(yk+1−Cxˆk+1|k)
Pk+1|k+1=(I−γk+1Fk+1C)Pk+1|k。
自从两个xˆk+k+1||1和Pkk+1+1的γk成为功能,他们都是随机变量。
对于磷素r(γkλ∈=1)=(0,1],这是显示不同性质的系统,
(1),存在一个临界λc分组的辍学生概率值以上的预期价值Pk|误差E[k]变得无界。
这个配方几个延伸,已经提出不同研究者。
然而,一个关键假设这样的估计量的标志是DoS参数为网络是众所周知的(例如,丢包概率)。
这是一个限制假设和推断的DoS参数要求。
最近,研究人员已经开始考虑国家的交流网络作为一种随机事件,它取决于它的服务品质。
这些a针对网络状态的估计了一起系统状态。
4.1.2提高稳健性
除了不确定的DOS参数,其他的重要统计数据如测量噪声的分布可能不会完全已知的。
这种情况是类似于欺骗攻击。
(参阅A1图3。
)如果这些参数的实际值的严重偏离什么是假定,在设计中估计每下一次有可能降低工程。
一种很好的途径去设计的算法鲁棒参数摄动的是极小极大方法或稳健估计方法。
极小极大方法设计估计量可以看作是一场比赛的表现此估计取决于元素的一套估计及一个不确定性包括了一些可能的值未知的领域参数可以假定。
我们现在也作了简要的分析主要思想背后的极大极小或稳健估计方法。
4.2容错控制
元件的CPS容易被随机的失败和服务恶化。
在该地区的自动控制、故障检测和诊断(FDD)方法以及故障容错欺诈-控制(FTC)设计已经发展为了增加
系统的可靠性和可维护性容易失败。
这系统的主要目的是为了稳定(FTC),确保了可接受的性能水平条件下正常工作组件故障状态下采用合适的物理和/或分析冗余。
FTC方法可广泛分为两大类:
主动和被动。
在被动FTC,数量有限的错误配置都考虑在内,而设计控制器。
一旦设计,把被动控制器不能补偿预期配置方案或者没有任何FDD的可重构控制设计。
因此在效果上,被动FTC可被看作具有稳健性的控制设计为数量有限的失败。
的表演观点、被动FTC方法是保守的。
考虑以下镇定问题的例子
x˙=Ax+Bu,y1=C1x,...,yn=Cmx
x∈Rn,u∈Rq,yi∈R,i={1,m}.
该测量表示输出的传感器可能失败。
Stoustrup和他们表明,如果(A,B)和(Ci),存在着一种容错补偿器稳定的系统,同时在紧急时最多m传感器的失败。
相反,积极向被动FTC有一个(FTC)故障检测和隔离(FDI)单位的控制系统。
一般来说,一个活跃的FTC系统有四元件(5):
FDD单位,重构机制,可重构控制器和参考州长。
FDD单位的估计系统状态故障参数基于测控数据。
当侦测错误,FDD激活的重构机制和可重构控制器(RC)设计的控制参数以保证社会的稳定和可接受的性能。
一个RC可以之间切换控制律的几个predesigned或可以合成一种控制律的实时性要求。
此外,最近的改动也会确保轨迹跟踪目标提供参考完成。
在这一事件的性能退化,可以参考被用来调整控制输入。
设计中存在的主要问题FTC系统的活性是:
(1)钢筋混凝土设计;
(2)该计划是敏感FDD断层和强劲的模型不确定性和操作条件的变化,(3)重组机制,以合适的恢复正常的操作性能。
4.3分布式估计
最近在分布式协调和控制活动的合作代理已经导致了先进的分布式估计问题方案。
这些分布估计技术明确考虑通信约束代理和参和的目标在大型网络规模可扩展性算法利用共识首先简要讨论分布式卡尔曼滤波(DKF),其中的来激励的使用算法来估计相似问题在核证。
考虑系统类似于方程
(1),在这个空间中,xk∈Rn代码表示该状态向量和yk形式化,叫做∈贼法牧输出矢量的尺寸测量得到Olfat-Saber从m传感器表明,对于一个传感器网络监测的过程和m,n维米micro-Kalman传感器过滤器,其中嵌入在每个传感器可以共同到达相同的估计通过一个一致实相的xˆ方法。
无线传感器网络节点的解决两个共识,共同计算问题的平均逆误差协方差矩阵和平均测量每次迭代DKF的。
4.4控制CPS:
什么丢了吗?
自动控制领域的更成熟的比较对信息安全;然而,尽管伟大的成就非线性和领域的混合动力系统理论、稳定、自适应,赛和容错控制,更加需要做设计的控制算法,以确保安全的能力核证的。
我们建议有一个需要深入的研究中以下区域的控制原理。
权利要求5:
我们必须设计新颖的鲁棒控制和估算算法中考虑更实际的攻击模型。
这些攻击模型该模型的欺骗和DoS攻击影响下,这种攻击,这些算法需要优化的最坏的性能。
在博奕论开发的技术,对经济学敌人也可能建模合理有用的这项任务。
权利要求6:
除了系统的状态,得到控制,国家的通信网络应由双方共同进行了估计。
方法估算指标和完整的服务品质摘要结合已有的通信网络的网络数据应该的发展。
估计网络状态的应该被用来传播政策设计传感器和执行器以及政策优化调度控制器的性能。
要求7:
应该的结合安全原则(例如、多样性和分离义务)来适应或其操作过程中攻击。
为在传感器故障实例,或当只有断断续续的感官信息是可得到的,这个系统应该能够操作使用开环控制,为有足够的时间。
要求8:
一种观念诚信应该是相互关联的以不同组成和信任管理方案的CPS应在设计时,上述人员冗余所面临的困境。
为实例中,如果信用度量一个组件的偏离明显来自于信任,常合并组件,然后该组件可以被看作是不安全的,它的运行DNCS贡献也会受到限制或丢弃。
结论
定义2:
是指任何安全控制问题的算法和架构的设计来生存的欺骗和DoS下一个定义明确攻击对手模型核和信任假设。
正如我们已经讨论的,有许多的研究方向,以达到我们的安全控制的目标。
他们中的一些人,
挑战1:
在挑战的设计分析及安全控制算法,我们需要介绍一种信任的分析架构,和现实和核模型,可以合理的敌人发射欺骗或DoS攻击CPS
挑战2:
设计新的积极挑战,具有很强的稳定性和建筑算法在给定的对手模型和可验证的性能界限(提供理解的限制弹性的算法)。
挑战3:
设计和结构为无功算法实时检测和响应对于一个给定的对手模型。
挑战4:
在这些新算法的设计,我们需要并对影响其性能研究如何攻击的估计和控制算法,最终,他们如何影响现实世界——通过结合动态模型的系统被监测并且控制。
我们希望这篇论文,这些挑战,并定义提供足够的动机和兴趣,为未来的讨论在安全控制的分析工作。
参考文献:
[1]一个抽象的理论计算机病毒。
Cryptology-Proceedings88的密码,354-374页。
美国纽约州,1990年。
斯普林格出版社新纽约c。
[2]r·安德森。
安全工程。
韦利,2001年。
Avizienis,由Laprie宋奕颖、叶超雄RandellLandwehr。
基本概念和分类的可靠和安全的计算。
中华民国可靠和安全的计算机,11-322004年,1月到3月。
[4]m.主教。
计算机安全学中,艺术和科学。
AddisonWesley,2003年。
[5],m.Kinnaertm和布兰科,j.Lunze,和m.Staroswiecki。
诊断和容错控制。
斯普林格出版社,2003年9月26。
[6]h陈,v·d·Gligor福神,Perrig,g.Muralidharan。
在分布及撤销加密密钥要么在传感器网络。
计算机出版社,2005年。
[7],a.Perrigh。
随机密钥管理所面临计划,对传感器网络。
2003年。
[8]Perrigh。
安全层次innetwork聚集在传感器网络。
。
[9]j.Eisenhauer,p.唐奈利,m.艾利斯,和m.Brien。
安全控制系统能源路线图。
由美国国务院能源和美国国土安全部门,2006年1月。
[10]Gligorl.Eschenauer》,第五卷。
分布式传感器网络一个关键主导方案。
在诉讼的第9
ACM会议上计算机和通信安全,41-47页,2002年。