本發(fā)明涉及具有網(wǎng)絡(luò)特性的物理系統(tǒng)融合的控制和信息安全領(lǐng)域，具體涉及一種應(yīng)用于網(wǎng)絡(luò)控制系統(tǒng)的安全及攻擊檢測和防御的架構(gòu)設(shè)計和模型的建立。

背景技術(shù)：

在網(wǎng)絡(luò)控制系統(tǒng)中，隨著控制目標和控制器的廣域異地分布的廣泛應(yīng)用，信息安全問題逐漸成為具備網(wǎng)絡(luò)特征的控制系統(tǒng)正常運行的威脅甚至造成危害，尤其是對關(guān)乎國家安全和具有重大經(jīng)濟效益、前景的關(guān)鍵設(shè)備安全。所謂的關(guān)鍵設(shè)備的安全，如電網(wǎng)系統(tǒng)中的SCADA系統(tǒng)、核電站中的離心機轉(zhuǎn)速監(jiān)測系統(tǒng)、分布式編隊執(zhí)行任務(wù)的空軍巡航隊的協(xié)同控制系統(tǒng)等。要求由控制器發(fā)出的執(zhí)行任務(wù)的命令能夠準確及時到達而不被截獲和篡改，同時監(jiān)測執(zhí)行設(shè)備運轉(zhuǎn)的重要、關(guān)鍵數(shù)據(jù)能夠安全及時的傳遞給控制器所在的控制中心而不被截獲、修改和干擾。但是由于系統(tǒng)規(guī)模大、復(fù)制程度高，加之控制中心和遠程被控對象多呈現(xiàn)為地理區(qū)域不在同一處的分布式網(wǎng)絡(luò)控制系統(tǒng)。

研究發(fā)現(xiàn)，CPS的物理層的基礎(chǔ)設(shè)施或設(shè)備，尤其是一些關(guān)鍵設(shè)備，以及管理層的數(shù)據(jù)和通信層的信息易于受到遠程的攻擊，而變得脆弱甚至是功能失靈。網(wǎng)絡(luò)控制系統(tǒng)作為一類典型的CPS，廣泛應(yīng)用于各類通用和專用系統(tǒng)，如電力系統(tǒng)、交通運輸系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制過程(本地或遠程)等。系統(tǒng)的關(guān)鍵的設(shè)備和流程的安全和可靠是系統(tǒng)正常運轉(zhuǎn)的保證。2009年，伊朗的核工程項目中的位于納坦茲的濃縮鈾工廠和布什爾核電廠汽輪機控制同時遭到了“超級工廠病毒-Stuxnet”的惡意攻擊，使得鈾濃縮設(shè)備中約1000臺離心機因攻擊而癱瘓，伊朗的核工程項目的進展受到了極大的影響。

震網(wǎng)(Stuxnet)病毒于2010年6月首次被檢測出來，極具毒性和破壞力，是第一個專門定向攻擊真實世界中基礎(chǔ)(能源)設(shè)施的“蠕蟲”病毒，比如核電站，水壩，國家電網(wǎng)。12月，一位德國計算機高級顧問表示，“震網(wǎng)”計算機病毒令德黑蘭的核計劃拖后了兩年。

“震網(wǎng)”代碼非常精密，主要有兩個功能，一是使被攻擊對象(如伊朗的離心機)運行失控，二是掩蓋被攻擊對象發(fā)生故障的情況，以“正常運轉(zhuǎn)”的假記錄回傳給管理部門，造成決策的誤判，是一類典型的欺騙攻擊方式。

由于在典型的閉環(huán)回路的控制系統(tǒng)中，從控制器到遠程被控對象的控制信號和從遠程被控對象反饋到控制器的輸出反饋信號，經(jīng)過閉環(huán)雙向回路，控制指令和輸出反饋信號都可能會因為網(wǎng)絡(luò)環(huán)節(jié)的不安全受到截獲、篡改等可能存在的網(wǎng)絡(luò)攻擊，使得系統(tǒng)的魯棒性下降甚 至系統(tǒng)崩潰。而在一些情況下，攻擊方主要采用信息傳輸過程中的一些漏洞得到一些泄露信息，從中得到系統(tǒng)的特征，根據(jù)這些特征進行隱藏攻擊。

若要保證系統(tǒng)的穩(wěn)定和準確運行，必須設(shè)計相應(yīng)的裝置和控制單元，對回路中傳送和接收端接收的信號進行鑒別，對系統(tǒng)中的故障進行檢測和隔離，甚至是設(shè)計一套有效的方案對系統(tǒng)遭受攻擊后能夠快速恢復(fù)到正常狀態(tài)或次正常的穩(wěn)定狀態(tài)。保證系統(tǒng)的安全，就是在系統(tǒng)被攻擊的情況下，能夠有一套有效的方案將攻擊信號從被攻擊后的信號中。

技術(shù)實現(xiàn)要素：

本發(fā)明主要是根據(jù)在閉環(huán)系統(tǒng)的雙向回路中可能出現(xiàn)的對控制信號和輸出反饋信號可能出現(xiàn)的攻擊進行分析和預(yù)測，并根據(jù)預(yù)測可能會出現(xiàn)的信息截獲、篡改、拒絕服務(wù)等攻擊行為進行防御，設(shè)計出一種新型的具備反攻擊能力的閉環(huán)控制系統(tǒng)的架構(gòu)。在該架構(gòu)下，針對一般情況下的具有隱藏功能的網(wǎng)絡(luò)攻擊和具備智能性的隱藏攻擊分別設(shè)計不同的架構(gòu)環(huán)節(jié)，對兩種不同的網(wǎng)絡(luò)攻擊進行防御，同時這兩種結(jié)構(gòu)，在防御攻擊的同時也具備不易被檢測的特性，在防御和消除網(wǎng)絡(luò)攻擊的同時也能隱藏好自己，這樣使得攻擊方的時間攻擊作用被屏蔽。

針對上述的技術(shù)目的，本發(fā)明將采取如下的技術(shù)方案，具體是：

一種具有攻擊防護的工業(yè)網(wǎng)絡(luò)閉環(huán)控制方法，包括：在閉環(huán)控制系統(tǒng)中，控制器將控制信號經(jīng)過網(wǎng)絡(luò)傳給遠程被控對象，遠程被控對象在接收到控制信號后，通過判斷控制信號在傳輸前后的異同，甄別出控制信號在傳輸中是否遭受攻擊系統(tǒng)的隱藏攻擊信號μ的攻擊或破壞；在甄別出控制信號在傳輸中遭受攻擊或破壞的情況下，能夠獲取隱藏攻擊信號μ以及遠程被控對象的真實控制信息，該真實控制信息為與控制信號近似的真實控制信號；將真實控制信息輸入遠程被控對象，以維持整個工業(yè)網(wǎng)絡(luò)控制的正常工作，得到遠程被控對象在真實控制信號下工作時的測量信息；將隱藏攻擊信號μ輸入虛擬被控對象，以模擬攻擊狀態(tài)下的整個工業(yè)網(wǎng)絡(luò)控制的工況，得到虛擬被控對象在隱藏攻擊信號μ下工作時的虛擬測量信息；將遠程被控對象在真實控制信號下工作時的測量信息、虛擬被控對象在隱藏攻擊信號下工作時的虛擬測量信息融合后，得到融合信息；在融合信息回傳至控制器前，通過判斷融合信息在傳輸前后的異同，判斷融合信息是否在回傳過程中遭受攻擊系統(tǒng)的隱藏攻擊信號η的攻擊或破壞；在判斷出融合信息在回傳過程中遭受攻擊或破壞的情況下，能夠獲取隱藏攻擊信號η以及與融合信息近似的融合替代信息；以該融合替代信息輸入控制器，計算下一周期的控制信號。

本發(fā)明的另一技術(shù)目的是提供一種具有攻擊防護和屏蔽的反攻擊工業(yè)網(wǎng)絡(luò)閉環(huán)架構(gòu)，包 括：控制器，遠程被控對象，設(shè)置在控制器前端的前端輸出反饋處理裝置，設(shè)置在控制器后端的后端控制輸出融合、編碼處理單元，設(shè)置在遠程被控對象前端的前端接收信號解碼、處理單元，以及設(shè)置在遠程被控對象后端的后端測量輸出融合、編碼處理單元；其中：所述的后端控制輸出融合、編碼處理單元，能夠完成控制信號的時間戳形成、加密、數(shù)據(jù)封裝；采用明文和隱文結(jié)合編碼控制信號；所述的前端接收信號解碼、處理單元，包括控制信號攻擊檢測模塊、控制信號攻擊防護模塊、隱藏攻擊模擬模塊；所述的控制信號攻擊檢測模塊，根據(jù)控制信號在遠程傳輸前后的異同，甄別出控制信號在遠程傳輸中是否遭受攻擊系統(tǒng)的隱藏攻擊信號μ的攻擊或破壞；且在判斷出控制信號在傳輸中遭受攻擊系統(tǒng)的隱藏攻擊信號μ的攻擊或破壞時，啟動控制信號攻擊防護模塊；所述的控制信號攻擊防護模塊，用于獲取隱藏攻擊信號μ以及與控制信號近似的遠程被控對象的真實控制信息，并將所得到的隱藏攻擊信號μ輸入隱藏攻擊模擬模塊，真實控制信息輸入遠程被控對象；所述的隱藏攻擊模擬模塊，具有模型結(jié)構(gòu)與遠程被控對象近似的虛擬被控對象，通過輸入的隱藏攻擊信號μ，模擬攻擊狀態(tài)下的整個工業(yè)網(wǎng)絡(luò)控制的工況，得到虛擬被控對象在隱藏攻擊信號μ下工作時的虛擬測量信息；所述的遠程被控對象，通過輸入的真實控制信息，得到遠程被控對象在真實控制信息下工作時的測量信息；后端測量輸出融合、編碼處理單元，具有信號融合模塊以及數(shù)據(jù)加密編碼封裝模塊；信號融合模塊，能夠分別完成遠程被控對象在真實控制信息控制下的輸出和虛擬被控對象在隱藏攻擊信號μ下的虛擬測量信息的融合處理；數(shù)據(jù)加密編碼封裝模塊，對輸入的數(shù)據(jù)能夠完成加密編碼封裝，包括時間戳形成、加密、數(shù)據(jù)封裝，并采用明文和隱文結(jié)合編碼傳輸信號；所述的前端輸出反饋處理裝置，包括反饋信息攻擊檢測模塊、反饋信息攻擊防護模塊；所述的反饋信息攻擊檢測模塊，根據(jù)反饋信息在傳輸前后的異同，判斷反饋信息是否在回傳過程中遭受攻擊系統(tǒng)的隱藏攻擊信號η的攻擊或破壞；當判斷出反饋信息在回傳過程中遭受攻擊系統(tǒng)的隱藏攻擊信號η的攻擊或破壞時，啟動反饋信息攻擊防護模塊；所述反饋信息攻擊防護模塊，用于獲取隱藏攻擊信號η以及與反饋信息近似的反饋真實信息；所述控制器，通過輸入的反饋信息，結(jié)合控制律，計算下一周期的控制信號。

根據(jù)上述的技術(shù)方案，本發(fā)明具有如下的有益效果：

本申請比傳統(tǒng)常用容錯控制中采用的冗余單元結(jié)構(gòu)精簡，具有成本低，效率高的優(yōu)點。同時還具備了容錯控制無法檢測隱藏(或欺騙)攻擊的特點。

附圖說明

圖1為閉環(huán)系統(tǒng)反攻擊架構(gòu)工作原理示意圖；

圖2為控制信號數(shù)據(jù)包(幀)封裝結(jié)構(gòu)示意圖；

圖3為輸出信號數(shù)據(jù)包(幀)封裝結(jié)構(gòu)示意圖；

圖4具備前處理單元和后處理單元的攻擊可屏蔽反攻擊架構(gòu)示意圖；

圖5數(shù)據(jù)分離并行反攻擊結(jié)構(gòu)圖；

圖6隱藏攻擊具有智能隱藏單元的流程圖；

圖7隱藏攻擊無智能隱藏單元的流程圖；

注：圖中虛線框中的是對網(wǎng)絡(luò)環(huán)境中隱藏攻擊的模型結(jié)構(gòu)的設(shè)計和建模，P(plant)：遠程被控對象；Pre-P：輸入控制信號預(yù)處理單元，C：(controller)：控制器；Pre-C：控制器前端輸入的反饋信號的預(yù)處理環(huán)節(jié)；CA(Covert Agent)：隱藏智能(攻擊)單元。

具體實施方式

下面將結(jié)合附圖詳細地說明本發(fā)明所涉及的技術(shù)方案。

系統(tǒng)啟動之初，在控制對象端，因存有訓(xùn)練、學(xué)習(xí)的良好數(shù)據(jù)，在[0,t_s]時間段內(nèi)，系統(tǒng)狀況正常，為后續(xù)過程中選擇需要的可信數(shù)據(jù)提供依據(jù)，這個是一個非常重要的設(shè)計前提。

根據(jù)圖1，閉環(huán)系統(tǒng)的反攻擊架構(gòu)工作原理和工作過程如下，啟動系統(tǒng)，控制序列按照圖2所示三個部分進行數(shù)據(jù)封裝，對工信號和鑒別信號分別采用顯性編碼和隱性編碼技術(shù)進行編碼，然后通過網(wǎng)絡(luò)媒介傳送至遠程控制端，遠程控制端接收到檢測信號，遠程控制端接收到控制信號之后進行鑒別，若沒有發(fā)現(xiàn)被攻擊、篡改，系統(tǒng)則正常進行指令執(zhí)行，若發(fā)現(xiàn)控制信號被攻擊或篡改等，則從前期的歷史健康數(shù)據(jù)中選取比較合適的數(shù)據(jù)信息代替執(zhí)行，然后系統(tǒng)運行的傳感和測量輸出按照圖3所示封裝數(shù)據(jù)，并通過顯性和隱性編碼，然后通過網(wǎng)絡(luò)將數(shù)據(jù)傳送回控制器端，形成一個閉環(huán)的回來。

在本地控制器端，對接收到的回傳輸出信號進行攻擊檢測，若沒有被攻擊，代如計算，得出下一時刻(周期)的控制決策信息，若檢測發(fā)現(xiàn)回傳的輸出信號遭到攻擊或者篡改等，則從前期的歷史數(shù)據(jù)庫中選擇最佳的歷史信息作為依據(jù)，替換已經(jīng)被攻擊或被病毒感染的數(shù)據(jù)。

根據(jù)圖4所示，在控制器和執(zhí)行機構(gòu)(本地控制中心和遠程被控對象)的信號處理單元的前端和后端均設(shè)計增加了前置單元和后處理單元。本地控制的后置單元主要完成控制信息的時間戳、控制輸入信號和控制輸入特征信號的編碼和傳送；而前置單元主要負責將遠程控制對象傳回的反饋信號根據(jù)類型、大小、結(jié)構(gòu)等和控制規(guī)則下的預(yù)測結(jié)果已經(jīng)前期訓(xùn)練的健康數(shù)據(jù)做對比分析，鑒別、判定回傳數(shù)據(jù)是否遭到攻擊、篡改或病毒感染等，為下一周期控制決策提供依據(jù)。

與本地控制器相比，遠程被控對象端剛好相反，被控對象后端功能單元主要完成設(shè)備運 行后的測量輸出信號的數(shù)據(jù)封裝，以及數(shù)據(jù)編碼和傳送；而在遠程被控對象前端，主要完成對從網(wǎng)絡(luò)通道接收的控制信息的解碼和鑒別計算，提取出原信號送給控制對象(執(zhí)行結(jié)構(gòu))，然后將檢測得到攻擊相關(guān)數(shù)據(jù)直接送到控制對象后端，然后與執(zhí)行機構(gòu)運行后的測量輸出一起封裝傳送。該檢測單元主要用于確認信息在從控制器傳送到遠程被控對象的環(huán)節(jié)中是否遭受攻擊、篡改或病毒感染等，以保證控制的有效性和安全性。

換句話說，本發(fā)明提供了一種具有攻擊防護的工業(yè)網(wǎng)絡(luò)閉環(huán)控制方法，包括：在閉環(huán)控制系統(tǒng)中，控制器將控制信號經(jīng)過網(wǎng)絡(luò)傳給遠程被控對象，遠程被控對象在接收到控制信號后，通過判斷控制信號在傳輸前后的異同，甄別出控制信號在傳輸中是否遭受攻擊系統(tǒng)的隱藏攻擊信號μ的攻擊或破壞；在甄別出控制信號在傳輸中遭受攻擊或破壞的情況下，能夠獲取隱藏攻擊信號μ以及遠程被控對象的真實控制信息，該真實控制信息為與控制信號近似的真實控制信號；將真實控制信息輸入遠程被控對象，以維持整個工業(yè)網(wǎng)絡(luò)控制的正常工作，得到遠程被控對象在真實控制信號下工作時的測量信息；將隱藏攻擊信號μ輸入虛擬被控對象，以模擬攻擊狀態(tài)下的整個工業(yè)網(wǎng)絡(luò)控制的工況，得到虛擬被控對象在隱藏攻擊信號μ下工作時的虛擬測量信息；將遠程被控對象在真實控制信號下工作時的測量信息、虛擬被控對象在隱藏攻擊信號下工作時的虛擬測量信息融合后，得到融合信息；在融合信息回傳至控制器前，通過判斷融合信息在傳輸前后的異同，判斷融合信息是否在回傳過程中遭受攻擊系統(tǒng)的隱藏攻擊信號η的攻擊或破壞；在判斷出融合信息在回傳過程中遭受攻擊或破壞的情況下，能夠獲取隱藏攻擊信號η以及與融合信息近似的融合替代信息；以該融合替代信息輸入控制器，計算下一周期的控制信號。

在融合信息回傳至控制器前，通過判斷融合信息在傳輸前后的異同，還能夠判斷出攻擊系統(tǒng)是否具有智能特性；當判斷出攻擊系統(tǒng)不具有智能時，下一周期的工業(yè)網(wǎng)絡(luò)閉環(huán)控制方法簡化如下：在閉環(huán)控制系統(tǒng)中，控制器將控制信號經(jīng)過網(wǎng)絡(luò)傳給遠程被控對象，被控對象在接收到控制信號后，通過判斷控制信號在傳輸前后的異同，甄別出控制信號在傳輸中是否遭受隱藏攻擊信號μ的攻擊或破壞；在甄別出控制信號在傳輸中遭受攻擊或破壞的情況下，能夠獲取隱藏攻擊信號μ以及遠程被控對象的真實控制信息，該真實控制信息為與控制信號近似的真實控制信號；將真實控制信息輸入遠程被控對象，以維持整個工業(yè)網(wǎng)絡(luò)控制的正常工作，得到被控對象在真實控制信號下工作時的測量信息；將隱藏攻擊信號μ輸入虛擬被控對象，以模擬攻擊狀態(tài)下的整個工業(yè)網(wǎng)絡(luò)控制的工況，得到虛擬被控對象在隱藏攻擊信號μ下工作時的虛擬測量信息；將遠程被控對象在真實控制信號下工作時的測量信息回傳至控制器前，通過判斷測量信息在傳輸前后的異同，判斷測量信息是否在回傳過程中遭受隱藏攻擊信 號η的攻擊或破壞；在判斷出測量信息在回傳過程中遭受攻擊或破壞的情況下，能夠獲取隱藏攻擊信號η以及與測量信息近似的測量替代信息；以該測量替代信息輸入控制器，計算下一周期的控制信號。

基于上述的閉環(huán)控制方法，本發(fā)明提供了一種具有攻擊防護和屏蔽的反攻擊工業(yè)網(wǎng)絡(luò)閉環(huán)架構(gòu)，包括：控制器，遠程被控對象，設(shè)置在控制器前端的前端輸出反饋處理裝置，設(shè)置在控制器后端的后端控制輸出融合、編碼處理單元，設(shè)置在遠程被控對象前端的前端接收信號解碼、處理單元，以及設(shè)置在遠程被控對象后端的后端測量輸出融合、編碼處理單元；其中：所述的后端控制輸出融合、編碼處理單元，能夠完成控制信號的時間戳形成、加密、數(shù)據(jù)封裝；采用明文和隱文結(jié)合編碼控制信號；所述的前端接收信號解碼、處理單元，包括控制信號攻擊檢測模塊、控制信號攻擊防護模塊、隱藏攻擊模擬模塊；所述的控制信號攻擊檢測模塊，根據(jù)控制信號在遠程傳輸前后的異同，甄別出控制信號在遠程傳輸中是否遭受攻擊系統(tǒng)的隱藏攻擊信號μ的攻擊或破壞；且在判斷出控制信號在傳輸中遭受攻擊系統(tǒng)的隱藏攻擊信號μ的攻擊或破壞時，啟動控制信號攻擊防護模塊；所述的控制信號攻擊防護模塊，用于獲取隱藏攻擊信號μ以及與控制信號近似的遠程被控對象的真實控制信息，并將所得到的隱藏攻擊信號μ輸入隱藏攻擊模擬模塊，真實控制信息輸入遠程被控對象；所述的隱藏攻擊模擬模塊，具有模型結(jié)構(gòu)與遠程被控對象近似的虛擬被控對象，通過輸入的隱藏攻擊信號μ，模擬攻擊狀態(tài)下的整個工業(yè)網(wǎng)絡(luò)控制的工況，得到虛擬被控對象在隱藏攻擊信號μ下工作時的虛擬測量信息；所述的遠程被控對象，通過輸入的真實控制信息，得到遠程被控對象在真實控制信息下工作時的測量信息；后端測量輸出融合、編碼處理單元，具有信號融合模塊以及數(shù)據(jù)加密編碼封裝模塊；信號融合模塊，能夠分別完成遠程被控對象在真實控制信息控制下的輸出和虛擬被控對象在隱藏攻擊信號μ下的虛擬測量信息的融合處理；數(shù)據(jù)加密編碼封裝模塊，對輸入的數(shù)據(jù)能夠完成加密編碼封裝，包括時間戳形成、加密、數(shù)據(jù)封裝，并采用明文和隱文結(jié)合編碼傳輸信號；所述的前端輸出反饋處理裝置，包括反饋信息攻擊檢測模塊、反饋信息攻擊防護模塊；所述的反饋信息攻擊檢測模塊，根據(jù)反饋信息在傳輸前后的異同，判斷反饋信息是否在回傳過程中遭受攻擊系統(tǒng)的隱藏攻擊信號η的攻擊或破壞；當判斷出反饋信息在回傳過程中遭受攻擊系統(tǒng)的隱藏攻擊信號η的攻擊或破壞時，啟動反饋信息攻擊防護模塊；所述反饋信息攻擊防護模塊，用于獲取隱藏攻擊信號η以及與反饋信息近似的反饋真實信息；所述控制器，通過輸入的反饋信息，結(jié)合控制律，計算下一周期的控制信號。

進一步地，所述的前端輸出反饋處理裝置，還包括攻擊系統(tǒng)智能判斷模塊；該攻擊系統(tǒng)智能判斷模塊，根據(jù)融合信息在傳輸前后的異同進行判斷；當攻擊系統(tǒng)智能判斷模塊判斷出 攻擊系統(tǒng)不具有智能監(jiān)測模塊時，下一周期中，控制信號執(zhí)行前處理單元中，關(guān)閉隱藏攻擊模擬模塊；遠程被控對象后端的后端測量輸出融合、編碼處理單元中，關(guān)閉信號融合模塊，直接將遠程被控對象在控制真實信號下工作時的測量信息作為反饋信息攻擊檢測模塊的輸入信息進行檢測判斷。

以上部分是閉環(huán)系統(tǒng)反攻擊架構(gòu)的大致工作原理，具體細節(jié)將繼續(xù)給出。

若系統(tǒng)滿足如下兩個假設(shè)條件：

假設(shè)1：隱藏攻擊方已經(jīng)完全掌握了控制對象的模型信息，即P_u＝Π_u，表示控制對象的信息已經(jīng)完全泄露。

假設(shè)2：系統(tǒng)除攻擊外不受到任何外界擾動的影響，或者外界的擾動不足以影響系統(tǒng)的魯棒性和安全性。

假設(shè)3：假設(shè)用于檢測的信號和通過信息隱藏技術(shù)傳送可保證安全。

則會出現(xiàn)系統(tǒng)遭到攻擊后因此類攻擊方可完全隱藏起攻擊行為而不被察覺，因此，設(shè)計控制信號組成形式如下：其中T_stamp(k)用于表示時間戳， 表示實際用于控制的控制信息，表示用于鑒別的附加信息利用哈希函數(shù) 獲得，并分別采用顯性編碼和隱藏編碼技術(shù)進行編碼。并且根據(jù)哈希函數(shù)可將任意長度的數(shù)據(jù)，通過哈希函數(shù)生成固定長度的摘要信息(驗證信息)，然后可以用 來驗證的信息是否遭到攻擊。在控制系統(tǒng)中，考慮系統(tǒng)的實時性和穩(wěn)定性，選擇相應(yīng)算法的等級和復(fù)雜度。

信號接收端，即所設(shè)計的工業(yè)控制系統(tǒng)的執(zhí)行機構(gòu)端，也就是工業(yè)網(wǎng)絡(luò)中的遠程被控端，接收到控制信息后，進行攻擊檢測，即驗證閉環(huán)回路中的控制和反饋信號的完整性、機密性、可獲得性等指標是否遭到破壞。

上述定義中的hash(.)函數(shù)，在信息安全領(lǐng)域中通常會采用各種哈希函數(shù)算法來實現(xiàn)，本發(fā)明就函數(shù)這部分參考現(xiàn)有的哈希函數(shù)算法，并允許根據(jù)實際設(shè)計需求在其中進行修改和完善，進而得到改進型哈希函數(shù)，即定義中的hash(.)函數(shù)。

根據(jù)上述設(shè)計，在控制器后端將控制信息的序列，按照設(shè)計的三個部分進行加密、封裝，然后才用UDP協(xié)議進行傳送。另外，在本地網(wǎng)絡(luò)，考慮系統(tǒng)的實時性，一般采用總線協(xié)議進行數(shù)據(jù)傳輸。

在沒有攻擊的情況下，到達Pre-plant的控制信號為的序列，僅通過解密運算和上述設(shè)計的逆過程，即可得到真實有效的控制信息。Pre-plant單元通過解密運算得到利用和T_stamp(k)的直接大小比較，初步判斷系統(tǒng)是否遭受攻擊，安全情況下否則可判斷系統(tǒng)不安全；然后利用 與的關(guān)系進一步判斷系統(tǒng)的安全性，安全情況下兩者相等，否則兩者不等；若成立，則可進一步確定系統(tǒng)是安全的。最后根據(jù)時間戳的形成過程，更深一步驗證形成時間戳的摘要文件是否相等，更高級別的判定控制信號的安全性。

在[t₀,t₁,...,t_r]時間段內(nèi)，用于鑒別的附加信息序列 若控制信息在t_s(s＜r)時刻遭到攻擊，此時傳輸來的控制信號包括以下三個部分：分別為和隱藏攻擊信號μ，通過解密運算得到的耦合信息分別為；和其中利用逆函數(shù) 得到而通過得到最接近u_c(k)的信息，其中 代表健康歷史數(shù)據(jù)庫中最接近的值，從歷史健康數(shù)據(jù)庫系統(tǒng)中通過查詢歷史時刻的信息：找到最接近的歷史數(shù)據(jù)u_c(k-ih)替代當前時刻的u_c(k)，輸入遠程被控對象；然后利用解密得到的此時有關(guān)系 成立，通過算法分離出隱藏攻擊信號μ。

攻擊信號被分離后，被控對象前置處理器替代信號u_c(k-ih)和攻擊信號μ分別送至真實被控對象和虛擬被控對象兩個不同的回路，分別輸出真實的輸出和攻擊擬合輸出

然后針對兩種不同情況分別設(shè)計該部分的數(shù)據(jù)封裝形式和內(nèi)容：

(一)考慮攻擊方?jīng)]有智能檢測功能：

此時只要系統(tǒng)的實際測量輸出按照控制器端輸出的控制信息的封裝形式和方法，封裝成如下結(jié)構(gòu)其中為輸出的時間戳， 其中F(.)為加密算法函數(shù)，為檢測驗證信息，通過哈希函數(shù)運算獲得然后利用UDP編碼傳輸，編碼過程中對時間戳和測量輸出的加密信號采用顯性編碼，而第三部分的驗證信息采用隱性編碼，給予更高級的保護。

在控制器的接收端(pre-controller)前置單元，接收到上述遠程被控對象的測量輸出數(shù)據(jù)結(jié)構(gòu)為經(jīng)過網(wǎng)絡(luò)環(huán)境后到達本地解密后的信號為 通過前面的假設(shè)3，可以保證控制器的前端處理裝置，采用類似于遠程被控對象的對接收到的控制信號的處理的方式，可以通過時間戳、加密后的測量輸出已經(jīng)隱性編碼傳送過來的檢測驗證信息。

(二)當攻擊方回路中存在智能單元：

在遠程被控對象到控制器的回路中，攻擊方可截獲回傳的信息，同時因其因一直檢測系統(tǒng)和系統(tǒng)的信息泄露，已經(jīng)初步掌握了控制系統(tǒng)的模型信息，同時也已經(jīng)破解了明文信息中的控制輸入和測量輸出的信息，所以才能夠?qū)嵤┲虚g人攻擊，將具備隱蔽特性的攻擊信號μ，插入到控制信息的序列中，然后在反饋回路中將攻擊形成的效果去除，進而達到隱藏攻擊(欺騙攻擊的效果)。

針對上述這種比較高級的攻擊形式，在信息回傳的時候，必須將其攻擊效果一起封裝回傳，以便于攻擊方在反饋回路將攻擊效果去除進而隱藏攻擊行為，欺騙控制器做出決策。

將攻擊行為μ的影響通過虛擬被控對象的擬合作用，得到擬合輸出為然后利用 形成時間戳，然后利用加密算法函數(shù)F(.)對和分別進加密，獲得密文信號為和并計算作為被控對象末端的測量輸出，然后驗證信號最后采用UDP協(xié)議傳輸封裝了時間戳、綜合測量輸出已經(jīng)檢測驗證信號的數(shù)據(jù)包

在反饋回路接收數(shù)據(jù)到的信為采取類似被控對象前端對控制信號的解密類似的過程。因為攻擊存在，且攻擊方有智能檢測和處理單元，因此，我們知道在接收到的信號中中已經(jīng)去除了攻擊信號的作用于遠程被控對象的輸出，那么這個時候只需要驗證如下一些指標來判斷系統(tǒng)是否遭受攻擊：

(1)檢測時間戳，判斷是否成立，不成立則說明系統(tǒng)遭受較為驗證的攻擊；

(2)若(1)成立，判斷是否成立，若等式成立，表明系統(tǒng)安全，若等式不成立，則表明系統(tǒng)遭受攻擊；

(3)在(2)中等式成立的基礎(chǔ)上，進一步解密時間戳，對比原文哈希運算后的摘要文件，更深一步確定系統(tǒng)的安全性；(若系統(tǒng)實時性要求較高，此步驟可以推遲到最 后一步完成，為下個周期決策服務(wù))；

(4)利用還原被控對象的測量輸出為下一個時刻的控制決策做參考。

在不確定攻擊方是否存在智能檢測環(huán)節(jié)之前，先快速高效解密反饋回路回傳的數(shù)據(jù)

得到然后驗證幾個條件:若條件(i)(ii)成立則可判定攻擊系統(tǒng)沒有智能檢測環(huán)節(jié)，攻擊級別較低，下個周期可改進回傳數(shù)據(jù)的結(jié)構(gòu)，將攻擊數(shù)據(jù)分類后，可以不做任何處理，減少模擬被控對象這個冗余環(huán)節(jié)的設(shè)計。若(i)(iii)條件成立，則可以判斷攻擊方架構(gòu)內(nèi)存在智能檢測環(huán)節(jié)，該環(huán)節(jié)可以將其攻擊效果去除，以達到“中間人”攻擊(欺騙攻擊)的效果，讓控制器端無法發(fā)現(xiàn)。

當上述所有條件都不成立的時候，表明測量輸出在回傳的過程中再次遭受攻擊，針對這種情況，需要采用被控對象前端預(yù)處理環(huán)節(jié)的同樣思路和方法，對回傳并解密后的信號 進行處理，根據(jù)歷史數(shù)據(jù)庫提供的信息，快速查詢找到符合條件的數(shù)據(jù)分離出反饋回路中的攻擊η。然后將健康、安全的數(shù)據(jù)送至控制器，控制器運算決策下一個周期的控制策略u_c(k+1)，進入下一個周期循環(huán)。