1　引言

隨著(zhù)傳感器網(wǎng)絡(luò )和嵌入式系統技術(shù)的發(fā)展，近年來(lái)，信息物理系統（Cyber-Physical Systems, CPSs）的開(kāi)發(fā)和部署已給人們的社會(huì )生活帶來(lái)巨大變革。CPSs涉及的應用領(lǐng)域非常廣泛，包括工業(yè)控制系統、智能電網(wǎng)系統、遠程醫療系統、智能交通系統、環(huán)境監測和智能建筑等^[1~3]。計算機技術(shù)、網(wǎng)絡(luò )通信技術(shù)和控制技術(shù)的深度融合，為國家關(guān)鍵基礎設施建設提供了強大的技術(shù)支撐，為綠色、高效、智能的生產(chǎn)生活模式帶來(lái)了更廣闊的發(fā)展前景。然而，越來(lái)越依賴(lài)網(wǎng)絡(luò )化的CPSs面臨著(zhù)不斷升級的安全風(fēng)險。隨著(zhù)攻擊者的系統漏洞發(fā)現能力與攻擊手段不斷提升，攻擊者不僅可以利用信息安全漏洞突破網(wǎng)絡(luò )防御，癱瘓控制系統，甚至可以通過(guò)癱瘓一部分物理節點(diǎn)進(jìn)而造成物理世界的級聯(lián)事故，給整個(gè)CPSs造成損害^[4~6]。實(shí)際上，CPSs易受攻擊的弱點(diǎn)在最近一系列的事故中得以證實(shí)，表1列舉了近幾年電力系統遭受網(wǎng)絡(luò )攻擊的實(shí)例^[7～15]。如圖1所示，展示了2010~2015年美國國土安全部ICS-CERT統計的影響安全事件數^[16]?？梢钥闯?，當前信息物理系統安全事故頻發(fā)，預計未來(lái)的安全威脅將日益嚴重，這對保護信息物理系統免受網(wǎng)絡(luò )攻擊提出了迫切需求。

信息物理系統安全威脅來(lái)自多方面，有來(lái)自系統外部的威脅，如恐怖組織、國外情報部門(mén)、網(wǎng)絡(luò )黑客等敵對勢力，他們借助垃圾郵件、網(wǎng)絡(luò )釣魚(yú)和惡意程序等竊取合法用戶(hù)身份進(jìn)行在線(xiàn)欺騙，謀取經(jīng)濟利益并破壞公眾的正常生產(chǎn)生活；也有來(lái)自系統內部的威脅，如系統管理人員不受限制訪(fǎng)問(wèn)目標系統實(shí)施破壞，更嚴重的是運維人員對現場(chǎng)設備進(jìn)行非法操作等。當然，不同行業(yè)面臨的威脅和風(fēng)險不同，軍工行業(yè)主要強調工控網(wǎng)和涉密網(wǎng)連接時(shí)的信息保密，石化行業(yè)強調生產(chǎn)的連續和非異常，電力行業(yè)強調SCADA調度系統的不中斷等。為保障CPS工控系統的安全運行，世界各國政府已高度關(guān)注，出臺許多政策大力支持相關(guān)問(wèn)題的研究工作。國際上，美國國家標準技術(shù)研究院出臺了SP800-82《工業(yè)控制系統安全指南》，確定了工控系統面臨的典型威脅漏洞以及相關(guān)資產(chǎn)的安全防護對策，范圍包括電力、石油化工、污水處理、核電、交通等國家關(guān)鍵基礎行業(yè)的ICS系統^[17]，美國國土安全部制定了“國家基礎設施保護計劃”^[18]。

日本發(fā)起“工業(yè)控制系統網(wǎng)絡(luò )安全項目”，以保護日本重要基礎設施和工業(yè)設施安全^[19]。歐洲網(wǎng)絡(luò )與信息安全局發(fā)布《工業(yè)控制系統網(wǎng)絡(luò )安全白皮書(shū)》，要求歐盟成員國針對工業(yè)控制系統的網(wǎng)路攻擊事件做出靈活應對^[20]。我國也將網(wǎng)絡(luò )安全正式劃入“十三五”規劃重點(diǎn)建設方向^[21]，出臺了《網(wǎng)絡(luò )安全法》、《國家網(wǎng)絡(luò )空間安全戰略》、GB/T 26333《工業(yè)控制網(wǎng)絡(luò )安全風(fēng)險評估規范》等政策與規范，規定了工業(yè)控制網(wǎng)絡(luò )安全風(fēng)險評估的一般方法和準則，為防范和化解CPS信息安全風(fēng)險提出了針對性的防護對策和整改措施。在學(xué)術(shù)研究方面，信息物理系統的安全問(wèn)題主要包括攻擊建模、入侵檢測、抗攻擊控制及隱私保護等方面。其中，攻擊模型能對攻擊過(guò)程進(jìn)行結構化和形式化描述，有助于提高攻擊檢測和安全預警的效率，是保障系統安全的一個(gè)關(guān)鍵步驟。已有許多學(xué)者針對特定攻擊行為進(jìn)行建模，如文^[22]分析了拒絕服務(wù)攻擊對信息物理系統的影響，并針對攻擊者干擾能量受限的情況，設計出最優(yōu)拒絕服務(wù)攻擊序列模型。文^[23]采用基于數據驅動(dòng)的子空間方法，設計了一種針對狀態(tài)估計的錯誤數據注入攻擊。文^[24]利用博弈論，建立了人和控制系統相互作用的模型，并用它分析信息物理安全問(wèn)題。文^[25]研究了針對網(wǎng)絡(luò )控制系統的隱蔽攻擊，并建立了一種具有反饋結構的攻擊模型。還有一些學(xué)者以圖形化的方式描述攻擊路徑，提出基于攻擊樹(shù)^[26～27]或基于Petri Net攻擊圖^[28～29]的模型來(lái)表示攻擊行為和步驟之間的相互依賴(lài)關(guān)系，定性評估信息安全脆弱性以及系統的風(fēng)險程度。然而圖形化攻擊建模過(guò)程中沒(méi)有將攻擊危害與系統安全要求結合，忽略攻擊實(shí)施基本條件與制定防御策略之間的聯(lián)系。因此，本文針對攻擊實(shí)施的行為要素，對幾類(lèi)常用攻擊進(jìn)行建模研究，提出了基于安全屬性的攻擊分類(lèi)方法，總結了不同種類(lèi)攻擊對信息物理系統狀態(tài)造成的影響，從而指導防護人員分析識別攻擊，實(shí)現準確可靠的預警及防御。

表1 電力系統網(wǎng)絡(luò )攻擊實(shí)際案例

圖1 美國國土安全部2010～2015年安全事件統計圖^[16]

2　信息物理系統的安全目標

《美國標準技術(shù)研究院（NIST）7682號報告》^[30]指出信息安全三要素分別為可用性（Availability）、完整性（Integrity）和機密性（Confidentiality）。傳統IT系統中，強調的是確?；ヂ?lián)網(wǎng)業(yè)務(wù)及應用過(guò)程中數據的機密性，它的安全目標是“CIA”原則。而CPSs關(guān)注的安全需求是保證生產(chǎn)控制的可用性，可用性遭受破壞會(huì )影響物理系統正常工作，所以，CPSs的安全目標遵循的是“AIC”原則。

（1）可用性：保證所有資源及信息都處于可用狀態(tài)，網(wǎng)絡(luò )中任何信息時(shí)刻都能100%被授權方通過(guò)合理方式訪(fǎng)問(wèn)^[31]。即使存在突發(fā)事件（如電力事故、攻擊行為等），被控對象、控制中心等依然能夠獲取到需要的信息?！翱捎眯浴北黄茐淖钊菀讓?shí)現的形式是利用通信網(wǎng)絡(luò )的脆弱性，中斷數據傳輸，從而造成資源浪費，影響系統的正常運行。

（2）完整性：保證所有數據或信息完整正確，任何未經(jīng)授權的數據修改方式都不得對傳輸數據進(jìn)行修改（包括改寫(xiě)、刪除、添加、替換等操作）和破壞^[31]。

“完整性”喪失意味著(zhù)用戶(hù)會(huì )將收到的錯誤數據認為是正確的，導致系統在信息收發(fā)過(guò)程中難以利用檢測技術(shù)發(fā)現攻擊行為，進(jìn)而做出錯誤的控制決策。

（3）機密性：保證信息的獲取僅限有權限的用戶(hù)或組織，任何通過(guò)非法渠道進(jìn)行的訪(fǎng)問(wèn)都應被檢測并組織^[31]?！皺C密性” 被破壞將造成信息泄露問(wèn)題，存在重要信息（如用戶(hù)隱私、產(chǎn)權信息等）被非法分子利用的威脅。

按照信息物理系統安全目標的屬性和重要性，我們對以破壞網(wǎng)絡(luò )可用性、破壞數據完整性、破壞信息機密性為目的的攻擊行為進(jìn)行總結和分析，如表2所示。

表2 針對信息物理系統安全屬性的攻擊分類(lèi)

2.1　以破壞網(wǎng)絡(luò )可用性為目的的攻擊

“下一代網(wǎng)絡(luò )”（如互聯(lián)網(wǎng)、專(zhuān)用網(wǎng)、局域網(wǎng)等）對實(shí)時(shí)通信和信息交互提供支撐。破壞網(wǎng)絡(luò )可用性的攻擊主要是通過(guò)阻礙、延遲通信網(wǎng)絡(luò )中的信息傳輸，引發(fā)網(wǎng)絡(luò )阻塞，導致數據不可用，主要涉及數據傳輸層通信協(xié)議的脆弱性，存在數據/信息的中斷威脅。典型的攻擊方式包括拒絕服務(wù)攻擊（Denial-of-Service，DoS）^[33～35]、黑洞攻擊^[36]、改變網(wǎng)絡(luò )拓撲^[37]等。DoS攻擊對被攻擊對象的資源（如網(wǎng)絡(luò )帶寬等）進(jìn)行消耗性攻擊，其主要形式包括攻擊者迫使服務(wù)器的緩沖區溢出，使執行元件不接收新的請求；攻擊者利用網(wǎng)絡(luò )協(xié)議/軟件缺陷，通過(guò)IP欺騙影響合法用戶(hù)的連接，使系統服務(wù)被暫停甚至系統崩潰。黑洞攻擊常出現在無(wú)線(xiàn)傳感器網(wǎng)絡(luò )之類(lèi)的自組織網(wǎng)絡(luò )中，攻擊時(shí)，惡意節點(diǎn)收到源節點(diǎn)發(fā)送的路由請求包后向其注出錯誤決策，使電力系統局部或整體崩潰。黑洞攻擊常出現在無(wú)線(xiàn)傳感器網(wǎng)絡(luò )之類(lèi)的自組織網(wǎng)絡(luò )中，攻擊時(shí)，惡意節點(diǎn)收到源節點(diǎn)發(fā)送的路由請求包后向其注入虛假可用信道信息，騙取其他節點(diǎn)同其建立路由連接，然后丟掉需要轉發(fā)的數據包，造成數據包丟失。改變網(wǎng)絡(luò )拓撲的攻擊方式是指通過(guò)物理攻擊，斷開(kāi)通信線(xiàn)路，使重要網(wǎng)絡(luò )線(xiàn)路失效，迫使信息經(jīng)由更遠的路徑傳輸，引發(fā)關(guān)鍵通信的時(shí)延。

2.2　以破壞數據完整性為目的的攻擊
傳感數據的可靠采集和控制指令的有效執行為信息物理系統安全運行提供保障。破壞數據完整性的攻擊主要通過(guò)注入錯誤數據（如錯誤的狀態(tài)估計信息）或者非法篡改數據（如控制指令）來(lái)阻礙數據正常交換的可靠性和準確性。典型的攻擊形式有錯誤數據注入攻擊（False data injection attack，FDI attack）^[38～39]、重放攻擊（Replay attack）^[40～41]、中間人攻擊^[42]等。FDI攻擊常存在于電網(wǎng)中，攻擊者繞過(guò)壞數據檢測機制，通過(guò)錯誤數據操縱系統狀態(tài)估計結果，引起電網(wǎng)誤動(dòng)作。重放攻擊是指攻擊者故意記錄合法用戶(hù)的身份驗證信息等，經(jīng)過(guò)一段時(shí)間再向系統發(fā)送，獲取系統的信任；或者攻擊者通過(guò)網(wǎng)絡(luò )竊聽(tīng)等其他非法監聽(tīng)途徑識別并獲取傳輸信息，如斷路器跳閘的控制指令，后在電網(wǎng)正常運行時(shí)重放該指令，造成斷路器誤動(dòng)作。

中間人攻擊是指攻擊者介入兩臺通信設備之間，接收一臺發(fā)送的信息，獲取后修改數據再發(fā)送給另外一臺，例如遠程終端單元（RTU，Remote Terminal Unit）向控制中心發(fā)送的電網(wǎng)狀態(tài)信息可能被修改或刪除，從而導致控制中心做出錯誤決策，使電力系統局部或整體崩潰。

2.3　以破壞信息機密性為目的的攻擊
攻擊者通過(guò)非法監聽(tīng)等行為訪(fǎng)問(wèn)網(wǎng)絡(luò )中的機密數據，并利用這些數據對系統或其他參與者造成損害，從中獲利。以電網(wǎng)為例，這類(lèi)攻擊大多發(fā)生在用戶(hù)側，例如通過(guò)竊聽(tīng)器或流量分析儀獲取單個(gè)或多個(gè)用戶(hù)智能電表數據，從而分析出用戶(hù)與電網(wǎng)的狀態(tài)，便于進(jìn)一步實(shí)施破壞。

具體實(shí)現途徑有：（1）密碼破解，攻擊者通過(guò)暴力破解等手段繞過(guò)防火墻和密碼保護，成功侵入后使用IP掃描工具，侵入各個(gè)用戶(hù)交互界面獲取信息或發(fā)出未授權的指令，如控制斷路器跳閘^[43]。（2）惡意軟件和病毒，通過(guò)網(wǎng)絡(luò )或不安全的移動(dòng)存儲設備在電力控制設備上安裝惡意軟件或傳播病毒竊取信息^[43]。

（3）內部員工，安全意識薄弱的員工可能將帶有病毒的移動(dòng)設備插入系統，或設置易破解密碼。心懷惡意的員工得到授權可輕易對系統進(jìn)行操作并規避檢查。

此外，還有以破壞多個(gè)安全屬性為目標的攻擊，如女巫攻擊^[44]攻擊者偽造多種身份與CPS元件通信，影響惡意節點(diǎn)相鄰節點(diǎn)的通信網(wǎng)絡(luò )和路由路徑，實(shí)現攔截信息、篡改信息等功能，破壞網(wǎng)絡(luò )可用性和數據完整性）、蟲(chóng)洞攻擊[45]（攻擊者在兩個(gè)相距很遠的節點(diǎn)之間構建一條高質(zhì)量的私有通道，偽造非法的高效路徑，破壞路由協(xié)議，破壞數據完整性和信息機密性）等。

3　信息物理系統攻擊建模

CPS安全問(wèn)題本質(zhì)上是攻擊與防御之間的對抗，而要設計合理的防御機制，必須對攻擊的行為進(jìn)行深入剖析。攻擊模型是對攻擊過(guò)程的結構化描述，是對攻擊特征的參數化表達。它不僅有助于研究攻擊者行為，而且可以提高攻擊檢測和安全預警效率，能夠為制定更有針對性的安全防護策略奠定基礎。

3.1　信息物理系統攻擊實(shí)施要素

攻擊實(shí)施的三個(gè)行為要素為：信號竊聽(tīng)、攻擊構造、攻擊注入，如圖2所示。在實(shí)際攻擊場(chǎng)景中，攻擊者首先需要對攻擊對象和周?chē)h(huán)境進(jìn)行感知，即攻擊者需要獲取一定的模型知識，這包括部分或全部信息物理系統演化所涉及的動(dòng)態(tài)特性、系統參數、網(wǎng)絡(luò )參數以及系統檢測機制、安全標準等。攻擊者對模型知識掌握得越全面，構造的攻擊信號越容易躲過(guò)系統的防御和檢測機制。其次，攻擊者要對通訊網(wǎng)絡(luò )進(jìn)行竊聽(tīng)，在沒(méi)有被檢測且不影響系統運行的情況下，竊聽(tīng)截取傳輸中的測量信號或控制信號的披露信息，包括信號所在的位置、信號的大小、信號的編碼方式等。結合所掌握的模型知識以及竊聽(tīng)截獲的網(wǎng)絡(luò )披露信息，利用自身具備的破壞資源構造滿(mǎn)足預期攻擊效果的攻擊信號，注入到物理系統、控制中心或通信網(wǎng)絡(luò )中，危害信息物理系統的可用性、實(shí)時(shí)性、安全性等性能。當然，有些攻擊無(wú)需知道模型知識或竊聽(tīng)披露信息，利用通信協(xié)議漏洞，也可以直接生成惡意軟件程序等威脅數據包，但這種攻擊較容易被系統自身的安全檢測機制和防御措施截獲。有的攻擊者還可以根據反饋信息，調整校正攻擊策略，以達到協(xié)同的攻擊效果。由于攻擊者具備的破壞資源受限，每類(lèi)攻擊能夠感染的通道個(gè)數、持續實(shí)施的攻擊時(shí)長(cháng)都不盡相同，從而對系統造成危害的程度不同。

值得注意的是，故障也會(huì )引發(fā)信息物理系統運行失效，但無(wú)意圖的故障和有意圖的攻擊存在本質(zhì)區別，通過(guò)分析實(shí)施的行為要素以及實(shí)施過(guò)程中掌握的知識信息資源，可以幫助防御者區分故障和攻擊，以及區分不同類(lèi)型的攻擊，從而及時(shí)進(jìn)行故障隔離或實(shí)行安全控制響應。

圖2 攻擊實(shí)施圖

3.2　典型攻擊建模

攻擊的種類(lèi)繁雜，手段多變，不同領(lǐng)域攻擊所預計到達的具體攻擊目標也不盡相同。本文以電力CPS中常見(jiàn)的典型攻擊為例，給出成功實(shí)施攻擊的必備條件和攻擊過(guò)程建模。

3.2.1　DoS攻擊

DoS攻擊是最常見(jiàn)也是最容易實(shí)現的攻擊形式，其攻擊模型如圖3所示，其中P表示系統模型，F表示控制器，D表示檢測器。攻擊者只要掌握系統元件之間的通信協(xié)議，即可利用攻擊設備在測量通道 ! 8、控制通道 #$上開(kāi)展阻塞網(wǎng)絡(luò )信號傳輸等形式的攻擊，無(wú)需提前知道系統模型知識，也無(wú)需竊聽(tīng)通信網(wǎng)絡(luò )獲取披露信息。系統遭受DoS攻擊時(shí)的輸出信號和控制信號可以分別表述為：

其中ω(t)和υ(t)是噪聲信號。需要指出的是，DoS攻擊時(shí)信道有可能接收到帶有真實(shí)信號的噪聲信號ω(t)和υ(t)。當噪聲信號足夠大，即攻擊足夠強時(shí)，作為防守方，我們通常會(huì )人為丟棄這個(gè)信號，因為這個(gè)噪聲信號不能提供任何有用信息。這時(shí)候系統的輸出信號和控制信號就可以看作是w./0(t)=0;123(t)=0/。這和由通信網(wǎng)絡(luò )不穩定造成的數據包丟失在數學(xué)表達上是相同，但其造成的原因是不同。

圖3 DoS攻擊框圖

3.2.2　重放攻擊

重放攻擊可以分為兩個(gè)階段，如圖4所示。先是記錄階段，即攻擊者從某時(shí)刻開(kāi)始竊聽(tīng)并記錄通信鏈路γy和γu上的傳輸信號，隨后是攻擊階段，即攻擊者經(jīng)過(guò)一段時(shí)間τ后，將記錄的信息重新發(fā)送到網(wǎng)絡(luò )通道 ! 8、 #$中。攻擊實(shí)施過(guò)程中無(wú)需知道系統模型知識，只需獲取通信鏈路上的披露信息即可。系統遭受重放攻擊時(shí)的輸出信號和控制信號可以表述為：

可以發(fā)現重放攻擊和傳統網(wǎng)絡(luò )控制系統中的延時(shí)數據在數學(xué)表達上相同，但延時(shí)是由路由器轉發(fā)數據包處理時(shí)長(cháng)引起的，重放攻擊是人為選擇特定時(shí)段傳輸信息再次發(fā)送，以達到損害數據完整性、一致性的目標。

圖4 重放攻擊框圖

3.2.3　欺騙攻擊（Deception attack）

欺騙攻擊是一類(lèi)較為復雜的攻擊，目的是采用多種手段“躲避”系統安全檢測，欺騙防御者使其誤以為沒(méi)有攻擊發(fā)生，從而實(shí)現隱蔽攻擊。主要攻擊手段包括錯誤數據注入攻擊（FDI attack）、偏置攻擊（Bias attack）^[46]、浪涌攻擊（Surge attack）^[47]、轉換攻擊（Covert attack）^[48]等。其攻擊模型如圖5所示。攻擊實(shí)施需要知曉安全檢測機制等模型知識，竊聽(tīng)通道γy和γu上的披露信息，擁有攻擊通道 ! 8和 #$的破壞資源。系統遭受欺騙攻擊時(shí)的輸出信號和控制信號可以表述為：

圖5 欺騙攻擊框圖

3.2.4　錯誤數據注入攻擊

錯誤數據注入攻擊是一種典型的欺騙型攻擊，普遍針對電力系統狀態(tài)估計環(huán)節（即測量通道）。攻擊者在了解電力系統拓撲結構的情況下，通過(guò)篡改傳感器測量數據，入侵傳感器和SCADA系統之間的通信網(wǎng)絡(luò )，使得控制中心接收到的傳感器測量數據不等于真實(shí)的測量數據，以“躲避”現有的壞數據辨識裝置的檢測。攻擊實(shí)施前需要知道模型知識中的系統參數和壞數據檢測機制，才能達到欺騙效果；此外還需要知道目標通道的披露信息。系統遭受攻擊后，測量輸出信號被篡改為：

表3給出了幾類(lèi)典型攻擊實(shí)施所需要素。當然，還有關(guān)于破壞信息物理系統隱私性方面的攻擊，也可以按照攻擊實(shí)施要素進(jìn)行個(gè)案建模分析。由于攻擊過(guò)程本身的復雜和多樣性，從已知攻擊形式中間找出關(guān)聯(lián)并總結出通用的攻擊模型仍然是個(gè)挑戰，本文主要從攻擊實(shí)施要素角度提供攻擊建模分析思路，對系統管理者制定防御措施有積極的指導意義。

表3 幾類(lèi)典型攻擊建模所需要素

4　結語(yǔ)

本文介紹了信息物理系統威脅和攻擊建模，它是信息物理系統中至關(guān)重要又富有挑戰的研究方向。本文的主要目的在于介紹信息物理系統的安全目標和攻擊實(shí)施的基本條件，依據攻擊實(shí)施條件闡述幾種常用攻擊的建模方式，為后續構建信息物理系統安全防護體系提供模型基礎。

★基金項目：國家自然科學(xué)基金（61473184，61673275,61873166）。

作者簡(jiǎn)介

鄔　晶（1979-），女，上海交通大學(xué)自動(dòng)化系副教授，主要研究方向為信息物理系統的建模、分析與安全控制等。

宋　蕾（1994-），女，上海交通大學(xué)自動(dòng)化系碩士研究生，主要研究方向為智能電網(wǎng)攻擊建模。

龍承念（1977-），男，上海交通大學(xué)自動(dòng)化系教授，教育部新世紀優(yōu)秀人才，主要研究方向為無(wú)線(xiàn)網(wǎng)絡(luò )、認知無(wú)線(xiàn)電、協(xié)作通信等。

李少遠（1965-），男，上海交通大學(xué)自動(dòng)化系教授，國家杰出青年基金獲得者，主要研究方向為自適應預測控制、網(wǎng)絡(luò )化分布式系統的優(yōu)化控制及數據驅動(dòng)系統控制器設計。

參考文獻：

[1] Humayed A, Lin J, Li F, et al. Cyber-physical systems security—A survey[J]. IEEE Internet of Things Journal, 2017, 4 ( 6 ) : 1802 - 1831.

[2] Burg A, Chattopadhyay A, Lam K Y. Wireless Communication and Security Issues for Cyber–Physical Systems and the Internet-of-Things[J]. Proceedings of the IEEE, 2018, 106 ( 1 ) : 38 - 60.

[3] Dardanelli A, Maggi F, Tanelli M, et al. A security layer for smartphone-to-vehicle communication over bluetooth[J]. IEEE embedded systems letters, 2013, 5 ( 3 ) : 34 - 37.

[4] Mo Y, Kim T H J, Brancik K, et al. Cyber–physical security of a smart grid infrastructure[J]. Proceedings of the IEEE, 2012, 100 ( 1 ) : 195 - 209.

[5] Baig Z A, Amoudi A R. An analysis of smart grid attacks and countermeasures[J]. Journal of Communications, 2013, 8 ( 8 ) : 473 - 479.

[6] Taylor J M, Sharif H R. Security challenges and methods for protecting critical infrastructure cyber-physical systems [C]. Selected Topics in Mobile and Wireless Networking (MoWNeT), 2017 International Conference on. IEEE, 2017 : 1 - 6.

[7] Langner R. Stuxnet: Dissecting a cyberwarfare weapon[J]. IEEE Security & Privacy, 2011, 9 ( 3 ) : 49 - 51.

[8] 駭客帝國: 公用電網(wǎng)面臨網(wǎng)絡(luò )攻擊 [EB/OL]. http://smartgrids.ofweek.com/2015-07/ART-290003-11000-28981378.html. (2015-07-22) [2018-10-10].

[9] 加拿大 Telvent 出現持續性的網(wǎng)絡(luò )攻擊 [EB/OL]. http://www.it165.net/news/html/2012-09/3333.html, 2012 - 09 - 27/ 2018 - 10 - 10.

[10] 駭客帝國:公用電網(wǎng)面臨網(wǎng)絡(luò )攻擊 [EB/OL]. http://smartgrids.ofweek.com/2015-07/ART-290003-11000-28981378.html, 2015 -07 -22/ 2018 -10 -10.

[11] 李鴻培, 王曉鵬, 王洋. 綠盟科技工控系統安全態(tài)勢報告[R]. 北京 : 綠盟科技, 2014.

[12] MARSH R. Congressman: National power grid frequently attacked [EB/OL]. http://edition.cnn.com/-2015/10/21/politics/national-power-grid-cyber-attacks/, 2015 - 10-21/ 2018 - 10 - 10.

[13] Liang G, Weller S R, Zhao J, et al. The 2015 Ukraine blackout: Implications for false data injection attacks[J]. IEEE Transactions on Power Systems, 2017, 32 ( 4 ): 3317 - 3318.

[14] GOODIN D. Israel's electric authority hit by "severe" hack attack [EB/OL]. http://ars - technica.com/security/2016/01/israels - electric - grid - hit - by - severe - hack - attack /, 2016 - 01 - 27/ 2018 - 10 - 10.

[15] 目前2018年最嚴重的網(wǎng)絡(luò )安全攻擊事件[EB/OL]. https://www.sohu.com / a / 242289413_401710, 2018 - 07 - 20/ 2018 - 10 - 10.

[16] https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2015_Final_S508C.pdf

[17] Taylor J M, Sharif H R. Security challenges and methods for protecting critical infrastructure cyber-physical systems[C]. International Conference on Selected Topics in Mobile and Wireless Networking. IEEE, 2017 : 1 - 6.

[18] US - CERT. ICS - CERT, https://www.us-cert.gov/security-publications/introduction-information-security.

[19] 張恒. 信息物理系統安全理論研究[D]. 浙江大學(xué), 2015.

[20] The European Network and Information Security Agency. Protecting Industrial Control Systems[R]. Heraklion: Recommendations for Europe and Member States, 2012 : 6 - 15.

[21] 國務(wù)院. “十三五”國家信息化規劃[Z].

[22] Zhang H, Cheng P, Shi L, et al. Optimal DoS Attack Scheduling in Wireless Networked Control System[J]. IEEE Transactions on Control Systems Technology, 2016, 24 ( 3 ) : 843 - 852.

[23] Kim J, Tong L, Thomas R J. Subspace Methods for Data Attack on State Estimation: A Data Driven Approach[J]. IEEE Transactions on Signal Processing, 2015, 63 ( 5 ) : 1102 - 1114.

[24] Amin S, Schwartz G A, Hussain A. In quest of benchmarking security risks to cyber-physical systems[J]. IEEE Network, 2013, 27 ( 1 ) : 19 - 24.

[25] Smith R S. Covert Misappropriation of Networked Control Systems: Presenting a Feedback Structure[J]. IEEE Control Systems, 2015, 35 ( 1 ) : 82 - 92.

[26] 黃慧萍,肖世德, 梁紅琴. 基于A(yíng)HP和攻防樹(shù)的SCADA系統安全脆弱性評估[J]. 控制工程, 2018, 25 ( 6 ).

[27] Chechulin A A, Kotenko I V. Attack tree-based approach for real-time security event processing[J]. Automatic Control and Computer Sciences, 2015, 49 ( 8 ) : 701 - 704.

[28] Yao L, Dong P, Zheng T, et al. Network security analyzing and modeling based on Petri net and Attack tree for SDN[C]. International Conference on Computing, Networking and Communications. IEEE, 2016 : 1 - 5.

[29] Li B, Lu R, Choo K K R, et al. On Reliability Analysis of Smart Grids under Topology Attacks: A Stochastic Petri Net Approach[J]. ACM Transactions on Cyber-Physical Systems, 2018, 3 ( 1 ) : 10.

[30] The Smart Grid Interoperability Panel–Cyber Security Working Group. Guidelines for Smart Grid Cyber Security[EB/OL]. http://www.nist.gov/smartgrid/ upload/nistir-7628_total, 2010 - 08.

[31] 湯奕, 陳倩, 李夢(mèng)雅, 等. 電力信息物理融合系統環(huán)境中的網(wǎng)絡(luò )攻擊研究綜述[J]. 電力系統自動(dòng)化, 2016, 40 ( 17 ): 59 - 69.

[32] Li Y, Quevedo D E, Dey S, et al. SINR-based DoS attack on remote state estimation: A game-theoretic approach[J]. IEEE Transactions on Control of Network Systems, 2017, 4 ( 3 ) : 632 - 642.

[33] Srikantha P, Kundur D. Denial of service attacks and mitigation for stability in cyber-enabled power grid[C]. Innovative Smart Grid Technologies Conference. IEEE, 2015: 1 - 5.

[34] Wang H, Xu L, Gu G. FloodGuard: A DoS Attack Prevention Extension in Software-Defined Networks[C]. IEEE/IFIP International Conference on Dependable Systems and Networks. IEEE, 2015: 239 - 250.

[35] Zhang H, Qi Y, Wu J, et al. DoS attack energy management against remote state estimation[J]. IEEE Transactions on Control of Network Systems, 2018, 5 ( 1 ): 383 - 394.

[36] Taylor V F, Fokum D T. Mitigating black hole attacks in wireless sensor networks using node-resident expert systems[C]. Wireless Telecommunications Symposium. IEEE, 2014: 1 - 7.

[37] Liu X, Li Z. Local Topology Attacks in Smart Grids[J]. IEEE Transactions on Smart Grid, 2017, 8 ( 6 ): 2617 - 2626.

[38] Liu X, Bao Z, Lu D, et al. Modeling of Local False Data Injection Attacks With Reduced Network Information[J]. IEEE Transactions on Smart Grid, 2017, 6 ( 4 ): 1686 - 1696.

[39] Liang G, Zhao J, Luo F, et al. A Review of False Data Injection Attacks Against Modern Power Systems[J]. IEEE Transactions on Smart Grid, 2017, 8 ( 4 ): 1630 - 1638.

[40] Na S J, Hwang D Y, Shin W S, et al. Scenario and countermeasure for replay attack using join request messages in LoRaWAN[C]. International Conference on Information Networking. IEEE, 2017: 718 - 720.

[41] Zhu M, Martínez S. On the performance analysis of resilient networked control systems under replay attacks[J]. IEEE Transactions on Automatic Control, 2014, 59 ( 3 ): 804 - 808.

[42] 曹剛. 解析中間人攻擊原理[J]. 計算機與網(wǎng)絡(luò ), 2014 ( 22 ) : 48.

[43] WilliamStalings. 密碼編碼學(xué)與網(wǎng)絡(luò )安全：原理與實(shí)踐[M]. 北京電子工業(yè)出版社, 2001.

[44] Yao Y, Xiao B, Wu G, et al. Multi-channel based Sybil Attack Detection in Vehicular Ad Hoc Networks using RSSI[J]. IEEE Transactions on Mobile Computing, 2018.

[45] Lee P, Clark A, Bushnell L, et al. A Passivity Framework for Modeling and Mitigating Wormhole Attacks on Networked Control Systems[J]. Automatic Control IEEE Transactions on, 2013, 59 ( 12 ): 3224 - 3237.

[46] Teixeira A, Shames I, Sandberg H, et al. A secure control framework for resource-limited adversaries[J]. Automatica, 2015, 51: 135 - 148.

[47] Hu Y, Li H, Luan T H, et al. Detecting stealthy attacks on industrial control systems using a permutation entropy-based method[J]. Future Generation Computer Systems, 2018.

[48] de S A O, da Costa Carmo L F R, Machado R C S. Covert attacks in cyber-physical control systems[J]. IEEE Transactions on Industrial Informatics, 2017, 13 ( 4 ): 1641 - 1651.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》