Skip to main content
QUICK REVIEW

[论文解读] Detection of Hidden Attacks on Cyber-Physical Systems from Serial Magnitude and Sign Randomness Inconsistencies

Paul J Bonczek, Nicola Bezzo|arXiv (Cornell University)|Apr 30, 2021
Smart Grid Security and Resilience参考文献 20被引用 7
一句话总结

本文提出串行检测器(Serial Detector),一种运行时监视器,通过分析卡方检验统计量差异在幅度和符号上的序列不一致性,检测网络物理系统中隐蔽的虚假数据注入攻击。通过监控连续检验统计量偏离预期随机性的偏差,该方法在识别那些通过保持一致的幅度和符号行为来规避传统检测的攻击方面,优于最先进的检测器(如Bad-Data、CUSUM和CUSIGN)。

ABSTRACT

Stealthy false data injection attacks on cyber-physical systems (CPSs) introduce erroneous measurement information to on-board sensors with the purpose to degrade system performance. An intelligent attacker is able to leverage knowledge of the system model and noise characteristics to alter sensor measurements while remaining undetected. To achieve this objective, the stealthy attack sequence is designed such that the detector performs similarly in the attacked and attack-free cases. Consequently, an attacker that wants to remain hidden will leave behind traces of inconsistent behavior, contradicting the system model. To deal with this problem, we propose a runtime monitor to find these inconsistencies in sensor measurements by monitoring for serial inconsistencies of the detection test measure. Specifically, we employ the chi-square fault detection procedure to monitor the magnitude and signed sequence of its chi-square test measure. We validate our approach with simulations on an unmanned ground vehicle (UGV) under stealthy attacks and compare the detection performance with various state-of-the-art anomaly detectors.

研究动机与目标

  • 为解决传统异常检测器难以检测到的隐蔽虚假数据注入攻击挑战,通过利用模型不一致性进行检测。
  • 开发一种运行时监视器,通过检测检验统计量差异在幅度和符号上的序列不一致性,识别隐藏攻击。
  • 表征能够规避所提串行检测器的最坏情况攻击场景,从而确立检测边界和鲁棒性极限。
  • 在真实世界的无人地面车辆(UGV)案例研究中,验证检测器在偏置攻击和模式化攻击下的有效性,这些攻击可欺骗传统检测器。

提出的方法

  • 该方法采用卡方故障检测程序,从残差向量 rk 计算标量检验统计量 zk = rTkΣ−1rk。
  • 串行检测器监控检验统计量差异 dk = zk − zk−1 的序列行为,分析其幅度和符号序列。
  • 对于幅度检测,通过滑动窗口计算报警率 ψM,并与基于预期卡方分布推导出的 3σ 检测边界进行比较。
  • 对于符号检测,使用累积符号(CUSIGN)方法分析 dk 的符号序列,以检测非随机的符号变化。
  • 通过统计阈值建立检测边界:Ω± 用于幅度,Ψ± 用于符号,基于预期报警率和标准差。
  • 攻击规避分析推导出攻击向量 δk 的约束条件,以确保报警率保持在检测边界内,从而在串行检测器下保持隐蔽性。

实验结果

研究问题

  • RQ1检验卡方检验统计量差异在幅度和符号上的序列不一致性,是否能有效检测出逃避传统检测器的隐蔽攻击?
  • RQ2能够规避所提串行检测器的最坏情况攻击策略是什么?
  • RQ3在相同攻击条件下,串行检测器的性能与 Bad-Data、CUSUM 和 CUSIGN 等最先进的检测器相比如何?
  • RQ4攻击者在多大程度上可操控检验统计量序列,以保持一致的幅度和符号行为,同时仍能逃避检测?
  • RQ5在真实系统噪声和模型不确定性下,哪些统计边界定义了串行检测器的检测能力?

主要发现

  • 串行检测器成功检测出可欺骗传统检测器(如 Bad-Data、CUSUM 和 CUSIGN)的偏置攻击和模式化攻击,这些检测器在相同条件下未触发报警。
  • 在偏置攻击下,串行检测器的幅度分量检测到检验统计量序列中的不一致性,而符号分量保持不变,因此未被检测到。
  • 在模式化攻击下,串行检测器的符号分量识别出预期符号切换行为的破坏,而幅度保持在边界内。
  • 检测器的预期报警率为 E[ψM] = 0.20(幅度)和 E[ψS] = 2/3(符号),检测边界设定为 ±3 个标准差。
  • 攻击规避分析表明,攻击者必须同时精确控制 δk 以满足幅度和符号约束,使得成功规避变得越来越困难。
  • 在 UGV 案例研究的仿真结果表明,串行检测器通过检测传统基于检验统计量的检测方案存在局限性的隐藏攻击,提供了额外的安全保障。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。