一种信息物理融合系统安全风险传播分析方法与流程

本发明属于信息物理融合系统建模分析、网络安全等领域，具体涉及一种信息物理融合系统安全风险传播分析方法。

背景技术：

信息物理融合系统(cps)是将信息、通信、传感和控制嵌入到物理空间的集计算、通信和控制为一体的综合复杂系统。在cps的应用中，最为关注的焦点是其在电力、石油石化、核能、航空、铁路、关键制造等关系国计民生的国家关键基础设施行业中的应用，即工业控制系统(ics)。而震网、乌克兰大停电等事件已经实证了信息安全攻击能对cps产生严重的物理影响，甚至危及国家安全。因此cps的安全风险分析具有重要理论和实际意义。

现有的信息物理融合系统的安全风险分析方法主要分为以下两类：(1)基于仿真的分析；(2)基于建模的分析。基于仿真的分析通过搭建信息物理融合系统实体，如购买相关物理设备和信息设备，还原出目标信息物理融合系统，然后在该系统中施加具体的攻击，并查看分析攻击对系统的影响。这种方法的主要缺陷是需要购买相关设备，代价大。基于建模的分析通过对信息物理融合系统安全问题进行抽象建模，如元细胞自动机等建模系统组件失效过程，在建模的基础上，分析攻击对cps系统的影响。该方法不需要购买设备，但现有的安全建模分析方法重点考察了系统的控制命令和监测数据遭受攻击的安全风险，忽略了信息物理融合系统组成部件的内部运行机理，无法深度分析攻击对物理和信息系统的影响，从而难以推导出完整的安全风险传播路径。

技术实现要素：

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种结构简单、使用方便、生产成本低的。

为实现上述目的及其他相关目的，本发明提供一种信息物理融合系统安全风险传播分析方法，其包括如下步骤：(1)确定信息物理融合系统的最小组成部分；(2)将不同组成部分统一建模为构件；(3)确定各构件间的交互规则；(4)针对某一选择的起始构件，根据攻击模型，修改构件输出；(5)分析修改的构件输出对其它交互构件的影响，进一步修改对应交互构件的输出，重复上述过程直至交互停止，从而得出完整的安全风险传播路径和最终的安全故障。优选的，步骤(2)具体包括如下步骤：(2-1)以图形表示组件，如方框、圆圈等；(2-2)在组件图形的一侧以图形，如线条，表示输入，在另一侧以图形，如线条，表示输出；(2-3)在组件图形内，以方框、圆圈等图形表示过程控制；(2-4)对于信息组件，使用建模语言，对其运行机制进行抽象建模；(2-5)对于物理组件，使用建模语言，对其运行机制进行抽象建模。

优选的，步骤(3)具体包括如下步骤：(3-1)根据信息物理融合系统的设计文档，确定组件间的连接关系；(3-2)根据信息物理融合系统的设计文档和开发文档，针对每一连接，确定连接上的传输内容，即为交互规则。

优选的，在步骤(3-1)中，一个构件可能与其它多个构件存在交互，针对每一个交互，均使用图形进行连接。

优选的，在步骤(3-2)中，连接上的传输内容可以为控制命令和具体数据内容。

优选的，在步骤(1)中，采用分层的信息物理融合系统原子部件划分方法确定最小最小组成部件，首先将信息物理融合系统划分为物理组成部分和信息组成部分两大类，然后针对物理组成部分、信息组成部分，根据系统功能的不同，进一步划分，从系统整体到子功能模块逐层划分，并根据实际需求确定构件标准，从而确定信息物理融合系统的原子部件。优选的，所述步骤(5)具体包括如下步骤：为表述清晰，令s表示选择的起始构件，s对应的交互构件定义为以s的输出为输入的构件，记s的交互构件ii，0≤i≤n，n≥1；(5-1)构造s的交互构件集合为o{ii}；(5-2)从集合o{ii}中选择构件ii；(5-3)以s的输出作为ii的输入，ii的其它可能输入保持不变；(5-4)根据ii过程控制，分析在当前输入情况下应产生的输出值，并修改对应输出；(5-5)从o{ii}中删除ii；(5-6)重复执行步骤(5-2)至(5-4)，直至集合o{·}为空；(5-7)以ii为新的起始构件，执行步骤(5-1)至(5-7)；当遍历完所有的交互构件后，即可得出完整的安全风险传播路径和最终的安全故障。

如上所述，本发明的信息物理融合系统安全风险传播分析方法具有以下有益效果：本发明提供的一种信息物理融合系统安全风险传播分析方法，解决了信息物理融合系统中安全风险难以确定问题，包括信息系统遭受攻击对物理系统的影响以及物理系统遭受攻击对信息系统的影响等。本发明方法将信息物理融合系统分解为构件，并用图形化方式表示构件的组成和相互关联关系，形象直观且易于使用。同时，本发明对信息构件和物理构件的运行机制分别进行建模，因而能够准确推导出攻击对信息构件和物理构件的影响，并通过追踪构件的数据交互获得完整的安全风险传播路径和最终的安全故障。

附图说明

图1为信息物理融合系统安全风险传播分析方法的详细流程图。

图2无人机飞行模态判断与切换子系统信息构件建模示意图。

图3无人机刚体连接器物理构件建模示意图。

图4为无人机安全风险传播示意图

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效。

请参阅图1至图4。须知，本说明书所附图式所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容得能涵盖的范围内。同时，本说明书中所引用的如“上”、“下”、“左”、“右”、“中间”及“一”等的用语，亦仅为便于叙述的明了，而非用以限定本发明可实施的范围，其相对关系的改变或调整，在无实质变更技术内容下，当亦视为本发明可实施的范畴。

为克服现有cps安全风险分析的缺陷，本发明提供了一种信息物理融合系统安全风险传播分析方法，来解决信息物理融合系统中安全风险难以确定问题，能够推导出完整的安全风险传播路径并确定最终的安全故障，并且支持图形化分析处理，便于使用。该安全风险分析方法具体如下：

一种信息物理融合系统安全风险传播分析方法，包括如下步骤：

(1)确定信息物理融合系统的最小组成部分；

(2)将不同组成部分统一建模为构件；

(3)确定各构件间的交互规则；

(4)针对某一选择的起始构件，根据攻击模型，修改构件输出；

(5)分析修改的构件输出对其它交互构件的影响，进一步修改对应交互构件的输出，重复上述过程直至交互停止，从而得出完整的安全风险传播路径和最终的安全故障。

(1)确定信息物理融合系统的最小组成部件：信息物理融合系统的最小组成部件可称之为原子部件，即由原子部件的不同组合形成最终的信息物理融合系统。为分析信息物理融合系统的安全风险，可以根据实际需求，采用不同的划分标准来确定信息物理融合系统的原子部件。如将一套完整的物理设备或信息处理系统作为一个原子部件，也可以进一步划分，以完成独立功能的功能模块为一个原子部件。本发明专利使用一种分层的信息物理融合系统原子部件划分方法，在实际应用中，可以自行定义原子部件标准，从而实现信息物理融合系统安全风险分析的针对性和灵活性。

分层的信息物理融合系统原子部件划分方法表述如下：首先将信息物理融合系统划分为物理组成部分和信息组成部分两大类。然后针对物理组成部分，根据系统功能的不同，进一步划分，如划分成传感类、执行类；针对不同功能的物理系统，还可以进一步对包括的物理设备进行组成划分，以不同物理设备为组件；针对物理设备，还可以以完成独立功能的功能模块为一个组成部件。信息组成部分的划分也可以按照同样的方法进行，如可以将信息组成部分划分为网络传输类、信息处理类、人机交互类等不同系统。针对每一系统按照功能的不同还可以进一步划分。因此，从系统整体到子功能模块逐层划分，并根据实际需求确定构件标准，从而确定信息物理融合系统的原子部件。

(2)将不同组成部件统一建模为构件：本发明专利使用输入、输出和过程控制来统一建模信息和物理组件。

所述步骤(2)具体包括如下步骤：

(2-1)以图形表示组件，如方框、圆圈等；

(2-2)在组件图形的一侧以图形，如线条，表示输入，在另一侧以图形，如线条，表示输出；

(2-3)在组件图形内，以方框、圆圈等图形表示过程控制；

(2-4)对于信息组件，可以使用相关建模语言，如aadl，对其运行机制进行抽象建模；

(2-5)对于物理组件，可以使用相关建模语言，如modelica，对其运行机制进行抽象建模。

(3)确定各构件间的交互规则：各构件间的交互规则即为步骤(2)中构件输入和输出的具体内容。本发明专利中，交互规则具体体现为控制命令和数据内容两类。

所述步骤(3)具体包括如下步骤：

(3-1)根据信息物理融合系统的设计文档，确定组件间的连接关系；

(3-2)根据信息物理融合系统的设计文档和开发文档，针对每一连接，确定连接上的传输内容，即为交互规则。

在步骤(3-1)中，一个构件可能与其它多个构件存在交互，因此针对每一个交互，均使用图形，如线条进行连接。

在步骤(3-2)中，连接上的传输内容可以为控制命令和具体数据内容。为区别起见，可以使用关键字对传输内容进行区分。如control关键字表示控制命令，data关键字表示数据内容。连接上的传输内容可表示为：“control：控制命令”和“data：数据内容”。

(4)针对某一选择的起始构件，根据攻击模型，修改构件输出。本发明专利针对已知的攻击进行安全风险分析，因而针对始构件，对其施加的攻击的后果是已知的。因而可以根据攻击结果直接修改构件输出，而不用考虑其过程控制。

(5)分析修改的构件输出对其它交互构件的影响，进一步修改对应交互构件的输出，重复上述过程直至交互停止，从而得出完整的安全风险传播路径和最终的安全故障。

为表述清晰，令s表示选择的起始构件，s对应的交互构件定义为以s的输出为输入的构件，记s的交互构件ii，0≤i≤n，n≥1。特别的，若i＝0，则表示s无交互构件，则安全风险分析停止。

所述步骤(5)具体包括如下步骤：

(5-1)构造s的交互构件集合为o{ii}；

(5-2)从集合o{ii}中选择构件ii；

(5-3)以s的输出作为ii的输入，ii的其它可能输入保持不变；

(5-4)根据ii过程控制，分析在当前输入情况下应产生的输出值，并修改对应输出；

(5-5)从o{ii}中删除ii；

(5-6)重复执行步骤(5-2)至(5-4)，直至集合o{·}为空；

(5-7)以ii为新的起始构件，执行步骤(5-1)至(5-7)；

当遍历完所有的交互构件后，即可得出完整的安全风险传播路径和最终的安全故障。

与现有技术相比，本发明提供的一种信息物理融合系统安全风险传播分析方法，解决了信息物理融合系统中安全风险难以确定问题，包括信息系统遭受攻击对物理系统的影响以及物理系统遭受攻击对信息系统的影响等。本发明方法将信息物理融合系统分解为构件，并用图形化方式表示构件的组成和相互关联关系，形象直观且易于使用。同时，本发明对信息构件和物理构件的运行机制分别进行建模，因而能够准确推导出攻击对信息构件和物理构件的影响，并通过追踪构件的数据交互获得完整的安全风险传播路径和最终的安全故障。

下面结合附图对本发明再作进一步详细说明。

图1给出了一种信息物理融合系统安全风险传播分析方法的详细流程图。

以无人机中飞行模态判断与切换子系统为例，图2给出了信息构件的组成示意图。飞行模态判断与切换子系统根据当前输入的无人机飞行状态信息如飞行高度、速度、方向、外围设备信息如导航数据、遥控指令信息如起飞、着陆等指令及接受到的gps信号信息等计算飞机的当前位置与飞行距离，判断无人机是否按照预定的航线到达相应的航点，是否需要进行飞行模态如姿态、方向的切换，并根据导航数据和判断结果计算出无人机下一时刻的横向模态和纵向模态。

以无人机中刚体连接器为例，图3给出了物理组件的组成示意图。将无人机的机身视作一个刚体，用刚体连接器将无人机的推动器和机身进行连接，根据无人机动力学方程对无人机物理系统中的变量进行约束和控制，并用modelica对无人机的物理系统进行建模。

如图4所示，假定选定无人机的高度传感器为起始构件，对其施加物理攻击，使其不能测量正确的高度值，高度测量值一直保持为1米。与其交互的构件为飞行模态判断与切换子系统，根据高度传感器的输出值1米，计算出横向和纵向模态为上升状态，该信号值作为输出值发送至无人机的刚体连接器，使得无人机一直处理上升飞行状态，最终超过无人机的设计高度，并失去地面控制。

(1)本发明使用分层法对信息物理融合系统进行分解，得出原子组件，并对物理组件和信息组件进行统一建模为构件，因而本专利能够适用于不同规模和类型的实际信息物理融合系统，而不局限于特定领域；

(2)本发明对信息构件和物理构件的运行机制分别进行建模，因而能够准确推导出攻击对信息构件和物理构件的影响，并通过追踪构件的命令和数据交互过程获得完整的安全风险传播路径和最终的安全故障；

(3)本发明使用图形化方式表示构件的组成和相互关联关系，形象直观且易于使用。

需要声明的是，本发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用，不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理启发下，可作各种修改、等同替换、或改进。但这些变更或修改均在申请待批的保护范围内。