文摘

我们研究网络攻击的后果,防守,和恢复系统中启用了一个物理系统的网络系统通过扩展以前的应用程序模型的种群生物学疾病网络系统和耦合网络系统与物理系统的状态,使用电网的同步模型。类比疾病模型中个体易感,感染,或恢复,在网络系统中,组件可以毋庸置疑,容易受到攻击,毋庸置疑,暂时不会受伤害的攻击,破坏,或重置,从而无法为物理系统的性能做出贡献。我们模型的网络适应性免疫系统防御对策的类比。我们链接物理和网络系统的物理系统的性能指标取决于网络系统的状态(我)一个通用的非线性关系的网络系统和物理系统的性能和(2)一个电网的同步电动机模型组成的效用与许多客户的智能电表可以成为妥协,在稳定状态下的转子角度差性能的指标。我们使用耦合模型,这两个已经涌现性,对两种情况进行调查。首先,当一个攻击者,依靠隐形妥协是隐藏,直到检测到在日常维护或发起的攻击。妥协仍未被发现的概率下降随着时间的推移和妥协的水平随时间增加。由于这些动态,一个最佳时间攻击的出现,我们探索如何随参数的网络系统。第二,我们说明一个电力科学研究院场景的逆向工程的先进的计量基础设施(AMI)耦合发电机的同步电机方程和效用模型的妥协。我们推导正则条件相关的电网故障的妥协的妥协和耗散参数检测的同步电机模型。 We conclude by discussing the innovative aspects of our methods, which include (i) a fraction of decoy components in the cyber system, which are not connected to the rest of the cyber system or the physical system and thus do not spread compromise but increase the probability of detection of compromise, (ii) allowing components of the cyber system to return to the un-compromised state either temporarily invulnerable or immediately vulnerable, (iii) adaptive Defensive Counter Measures that respond in a nonlinear fashion to attack and compromise (in analogy to killer T cells of the immune system), (iv) a generic metric of performance of the physical system that depends upon the state of the cyber system, and (v) coupling a model of the electric grid to the model of compromise of the cyber system that leads to a condition for failure of the grid in terms of parameters of both compromise and the synchronous motor model, directions for future investigations, and connections to recent studies on broadly the same topics. We include a pseudocode as an Appendix and indicate how to obtainR脚本的第一作者的模型。

1。介绍

最近的一项调查(1)的网络攻击在复杂系统与物理和网络组件的网络系统支持功能物理系统强调的重要性,提高我们理解这类系统的能力,而且它超出了网络攻防态势至关重要,但包括网络域的变化如何产生物理变化结果(可能反之亦然)。即一个希望确保物理系统仍在预期的操作制度或不受欢迎的人,需要发现方法来实现这一目标。现代电力和通信系统等都是典型的例子系统(2,3)和(1智能电网的具体情况,中断和稳定通过分布式拒绝服务(DDOS)或欺骗攻击,改变传感器信息(4,5)是治疗。

在本文中,我们扩展的想法1在一个新的方向通过显式地攻击动力学耦合模型和物理功能响应的系统受到攻击。这使我们能够分析探索系统动力学的耦合的非线性系统,特别是如何参数化攻击某些类型和行为结果的影响在性能和功能的系统(在这种情况下,智能电网)。在这一过程中,我们开发一个建模方法,为攻击者创建的能力来优化他们的攻击的时机和节奏,和后卫和设计师选择防御策略,部署防御性资产,使建筑和设计选择调到cyber-physical耦合系统。

要做到这一点,我们妥协的建立在现有的非线性动态模型的网络系统,从疾病的种群生物学(进口想法6- - - - - -11),描述性能使用一个通用的物理系统的非线性指标(cf。6- - - - - -10])或电网的非线性动力学,并介绍对策有基于免疫系统的非线性动力学(12,13]。

我们的目标是开发一个系统动力学模型,探索角色的攻击和维修率,检测能力,和其他设计参数对动力学,特别是如何妥协的网络系统传播,和性能的物理系统响应有关。因为我们的目标是理解重要的变量以及它们如何影响性能,我们构建一个启发式模型(14]这不是特定于任何特定的情况,但与许多复杂系统共性。使用模型将有助于确定如何衡量能够评估容易受到网络攻击,攻击的后果物理系统的性能,并确定设计权衡和路线防守。

我们链接物理和网络系统的物理系统的性能指标取决于国家的网络系统,使用(我)一个通用的非线性关系的网络系统和物理系统的性能和(2)的同步电动机模型的电网负荷是一个实用程序让消费者使用先进的计量基础设施(AMI);智能电表)可能会受到损害。

在下一节中,我们妥协的网络系统开发模型,之后,我们介绍两种指标的物理系统的性能。然后说明网络系统的动态模型,之后,我们把两个例子。首先我们展示的时机攻击时,攻击者依靠隐形走出两个妥协的非线性性质和性能。我们探讨物理系统的性能取决于妥协和性能参数和显示攻击的最佳时间取决于物理系统的参数和利率的外部和内部co-compromise妥协。

第二,我们探索先进的计量基础设施(AMI)的妥协和失败的电网。AMI是物联网的一个例子,这增加了网络妥协的风险,因为它增加了攻击者的访问点(14- - - - - -19]。在这个例子中,我们夫妇妥协的模型同步电动机模型的电网来说明电力科学研究院场景AMI.27 [20.]对AMI的逆向工程,一个特定的情况下如何影响智能电表可以导致电网的负荷端故障。因为电网现在认为是关键的基础设施,数据往往以机密的方式对待(21,22]。通过使用一般网格访问模型,我们能够清楚地看到如何妥协的传播和与网格的性能。

2。材料和方法

我们想象一个物理系统组成的一个复杂的系统,通过网络系统,需要启用命令,交流信息,更普遍的与外部世界进行交互。攻击网络系统导致妥协的组件,它有一个物理系统。我们的目标是提供一个框架,用于建模妥协在网络系统中,连接网络和物理系统(包括一般和特别(电网)),并使用该模型来探索的动力妥协,攻击,和恢复网络系统和相关的物理系统的性能。

我们首先描述国际患者安全分类的概念性框架模型的网络系统(部分2。1),之后,我们推导出动力学方程的妥协和恢复(部分2。2)。然后我们展示动态简化当攻击者依靠隐形(部分2。3),在这种妥协是建立,直到它被发现在执行定期维护或攻击。我们考虑两个性能指标(部分2。4):(i)的通用指标的数量取决于毋庸置疑网络组件,破坏网络组件的数量,和水平的防御对策(DCM)和(2)同步电动机模型的电网性能的指标是电网的稳定性。

2.1。网络子系统的概念描述

攻击网络系统首先需要外部妥协:获得组件接口与外部世界。一旦“内部”的网络系统,第二阶段的内部co-compromise可以开始,受损组件感染noncompromised组件。妥协组件可以立即减少物理系统的性能或者对手隐藏妥协,直到准备执行攻击。

在很多情况下,网络组件接口与外部世界可以保护外部硬度(14在这种情况下,防病毒阻止攻击者进入网络系统。网络组件,并不接口与外部世界从co-compromise同样可以保护内部硬度(14]。外部和内部硬度依靠多种机制(21,23,24),我们不显式模型。然而,现在很清楚,外部和内部硬度是必要但不充分可靠的和有弹性的网络系统(21)和弹性的网络系统(因此物理系统的性能)需要某种形式的防御对策(DCM),返回系统状态接近前一个攻击。保护内部妥协和外部co-compromise可能不是有效的(例如,安装防病毒不捍卫)或随着时间的推移可能会失去其有效性(例如,攻击者发现了一种方法来规避当前已经安装的防病毒)。

因此,在任何时候,网络系统包括五类组件(图1):首先,毋庸置疑,脆弱的组件可以妥协外部或内部。我们允许一小部分这些组件是诱饵,没有功能,但仪器的检测有高概率的妥协。第二,毋庸置疑网络组件目前的外部或内部妥协暂时免受恶意软件,但随着时间的推移他们的防病毒软件的年龄,不再有效。第三,破坏网络组件被恶意软件感染。第四,一旦发现受损组件,它们是暂时从网络中删除系统恢复或重置后(21]。这些组件不会导致物理系统的性能。一段时间后,组件被重置回到网络系统暂时无敌(有效的防病毒安装)或仍然脆弱的(没有防病毒安装或安装防病毒无效)。第五,一旦检测到妥协,DCM发现并发送激活受损组件到重置阶段。因为DCM使用网络资源,我们假设他们的存在可以减少物理系统的功能。

2.2。妥协的动态、防御和检测

2.2.1。动态网络系统的组件

我们假设网络系统组件,动力学特征是质量作用在平均场近似25- - - - - -29日]。毋庸置疑,脆弱的网络组件,用过渡到成为受损组件(我),因为外部妥协速率正比于它们的数量和(2)由于之前破坏网络组件的内部co-compromise速率正比于这两种组件的数量,占诱饵网络组件。此外,暂时无敌失去保护和网络组件受损重置网络组件没有任何保护增加不妥协和脆弱的组件的数量。我们假设这些转变的速度与数量成比例。因此,动态是 右边的方程(1),是无量纲的;是外部的妥协这毋庸置疑网络组件的一部分幸存的外部妥协来 是 ; co-compromise的速度,这样当有吗破坏网络组件 ,幸存的co-compromise毋庸置疑网络组件的一部分 是 ; 暂时无敌网络组件的速度变得脆弱;和妥协的组件被重置返回容易妥协。毋庸置疑,暂时的网络组件,用 ,转换到毋庸置疑和脆弱状态失去保护。破坏网络组件,重启与临时保护从外部或内部妥协不妥协和暂时无敌状态的过渡。我们假设的利率转换组件的数量成正比,这样动态 在这个方程,是妥协的速度重置网络组件和返回到网络系统暂时无敌。如果 和 ,然后重置所有网络组件返回容易受到攻击。另一方面,如果 和 ,然后所有网络组件返回暂时不会受伤害的攻击。在最一般的情况下,两者都有和返回非零,所以,网络组件有一个混合物的漏洞。破坏网络组件,用 ,由于进程数量增加第一项右边的方程(1)。破坏网络组件转换到重置状态由于定期维护期间受损组件可能发现被DCM,用 。我们假设这些转换比例的利率定期维护的数量和他们的数量和DCM DCM被激活时的水平。我们让表示一个指标函数,它是1如果DCM被激活的时间,否则为0。妥协的动态网络组件 在哪里是妥协的过渡的速度在定期维护和网络组件来重置是过渡的速度破坏网络组件的DCM重置。防御对策是强化根除恶意软件的努力。我们不指定扩张型心肌病的机制,因为它们依赖情况(23]。扩张型心肌病是活跃的只有在检测到妥协,这可能发生在定期维护,通过识别外部妥协,或异常的物理系统的性能30.- - - - - -32]。妥协是检测后,我们DCM的动力学模型,用 ,在类比免疫系统的T细胞(12,13]。

如果 在方程(4),DCM是活跃的只有当破坏网络组件现在和在没有被破坏的网络组件,唯一的稳定状态 。这是我们假设的情况计算。当 ,有一个积极的稳态水平的DCM即使没有妥协的系统,提供准备防御的网络系统可能以牺牲性能的物理系统(见下文)。的参数控制DCM的增长率;特别是,当 ,DCM的增长率下降随着DCM的水平增加。

因为网络组件创建和销毁,不妥协的数量和脆弱,毋庸置疑,暂时无敌,妥协和重置组件金额 。这是被右边第二项的方程(1)和(2)。

2.2.2。妥协的检测

提出了各种方法检测妥协(30.),但总体上妥协的检测将是不完美的,因为不管具体的过程(例如,信号匹配或反常行为)将出现假阳性和假阴性的14]。我们让表示妥协仍未被发现的概率 。

我们假设的概率发现妥协在未来单位的时候外部妥协和网络组件是妥协 在哪里和nondecoy妥协的检测率和妥协诱饵网络组件,分别和时的检测率影响活动的外部妥协吗 。一般来说,我们预料 。为简单起见,这里我们设置为计算 。

一开始认为妥协是未被发现的, ;随后

方程(5)生成一个轨迹妥协是不被时间的概率 。我们使用这个轨迹来描述随机过程的检测。也就是说,从 ,我们生成实现的时间检测到妥协,并探索不同时间的后果在物理系统的性能检测。

2.2.3。摘要:混合Deterministic-Stochastic非线性模型

网络系统的完整的动力学模型由方程(1)- (5)。由于方程(1)- (4),模型本质上是非线性的。由于方程(5),它是随机的,即使其余的动力是决定性的。我们实现这个混合deterministic-stochastic模型通过求解方程(1)- (5), 生成的轨迹 。鉴于这种轨迹,我们生成检测的时候,用 通过均匀分布的随机变量,然后进行比较 。然后,对于每一个 ,我们解决方程(1)- (5)来确定整个轨迹的妥协,检测和康复妥协。

的基本情况,我们使用这些参数: , 。所有计算都做的RStudio版本1.0.143底层R3.6.1版本。

2.3。当攻击者依靠隐形简化

当一个对手依靠隐形,妥协是隐藏,直到执行攻击。即网络妥协可能会持续很长一段时间和未被发现的14,21]。在一般情况下,攻击者发起攻击等待的时间越长,越有可能是妥协将检测和去除33- - - - - -35),这表明一个最佳的攻击会出现妥协和动力学的检测。

模拟这种情况下,我们假设妥协(内部和外部)增加,直到检测到(我)通过定期维护或(ii)攻击者决定发动袭击 。我们假设如果妥协是发现在进攻发起之前,攻击者的值是0。否则,当隐藏的妥协变得活跃,评估价值的攻击的攻击需要一个度量的效用,我们认为(1)破坏网络组件的数量或减少(2)物理系统的性能。

2.3.1。动力学之前攻击或检测

为简单起见,我们假设所有网络组件最初是容易妥协。妥协是隐藏,直到攻击或发现以来, 总是没有网络组件被重置。因此在攻击或检测之前,只有方程(1),(3)和(5)相关。即网络组件un-compromised和脆弱或妥协,但妥协网络组件不承认,直到检测到或执行攻击。我们让表示un-compromised和脆弱的网络组件的数量,方程(1)和(3)减少

自 有解决方案 从哪个遵循直接。

2.3.2。攻击的价值

妥协的概率仍然隐藏到攻击的时间是 ,由方程的解决方案(5)。攻击的价值需要我们引入一个攻击者的效用函数。我们将考虑两种选择。首先,攻击的价值可能受损的数量来计算的网络组件在攻击的时候。第二,攻击可能的价值被测量的物理系统的性能降低攻击后执行。

攻击的价值衡量的预期破坏网络组件的数量

自是增加时间的函数和是时间的递减函数,他们的产品将有一个峰值,导致一个最佳的攻击和攻击的时候,最佳的“漂亮”好,在给予的感觉几乎相同的值作为最优价值的攻击。

评估价值的攻击以减少物理系统的性能由于破坏网络组件需要一个度量 对物理系统的性能时,网络系统毋庸置疑,妥协组件和DCM的水平 。在下一节中,我们描述这样一个性能函数。

鉴于 ,对攻击者的价值之间的差异 ——物理系统的性能没有妥协的网络组件和dcm和 ——当有物理子系统的性能un-compromised网络组件和破坏网络组件在攻击的时候,也没有积极扩张型心肌病。这个性能函数的期望值

效用函数是可能的其他选择,尽管将在下一节中看到的,一个通用的指标的物理系统可以捕获的性能广泛的效用函数,从阈值的线性关系。我们还注意到值的攻击到对手可能不是一样的所有者成本系统。

2.4。网络物理系统的性能指标

一般来说,网络和物理系统耦合的非线性。我们首先考虑一个通用的测量性能的物理系统的性能是一个函数的数量不妥协的网络组件,诱骗网络组件的一部分,破坏网络组件的数量,和DCM的水平。性能不妥协的总数增加,nondecoy网络组件增加和减少损害网络组件的总数增加和DCM的水平增加。

然后我们把电网的同步电动机模型,以稳定性为指标(21,32),尽管我们将显示的可靠性和弹性网格的模型。

2.4.1。一个通用的性能指标

我们的模型性能物理系统的功能如下。首先,我们假设物理系统的性能增加的数量根据毋庸置疑网络组件 在哪里是毋庸置疑的数量网络组件的物理系统的性能是其50%的最大值(设置为1不失一般性)和捕获的分散性能的物理系统(图2)。

方程(11)可以容纳各种假设的物理系统的性能。例如,如果物理系统的性能大约是总数的线性函数毋庸置疑网络组件,然后参数给图中的虚线2 (c)是适当的,可以选择给50%的性能。另一方面,如果物理系统是通信系统,只有一个或几个网络组件需要消息通过毋庸置疑,那么小的价值是适当的。在通信系统中,性能将取决于带宽,连接,和消息的准确性,所有这些都可以妥协;任务性能指标准确性、及时性和完整性的信息。这些在s形函数映射需要特定系统的详细知识,因而超出了本文的范围。

我们使用一个类似的乙状结肠描述性能的降低由于妥协的网络系统和假设DCM使用计算带宽,从而也减少物理系统的性能。我们假设当DCM的水平 ,物理系统的性能减少的一个因素 ,在哪里 。

一个通用的指标的分数时的物理系统的性能网络组件的诱饵, 不妥协的网络组件,破坏网络组件和DCM的水平 ,然后

如果攻击者需要妥协很多网络物理系统的组件来降低性能,我们集一个比较大的值。另一方面,如果攻击者可以关闭物理系统通过妥协一些网络组件将小。的在方程(12)捕获,诱饵组件在网络系统中不属于物理系统的功能。

基线计算使用这种通用性能函数的情况下,我们使用 。

2.4.2。一个Generator-One Load-Many消费者电网

造型复杂电网的一个方法是使用二阶振荡方程来源于基尔霍夫定律,平衡权力在每个节点的网格33- - - - - -55]。即电网建模为电耦合系统设备交付机器/负载发电机产生的电能通过输电线路和电网管理的一个关键目标是正确同步发电机和负荷。当负载太大,负载不均,或发生严重破坏,发电机或负载可能会失去同步20.]。如果这是足够强大,它可能导致电网故障(50- - - - - -55]。

在同步电动机模型,发电机或负载的特点是功率平衡方程(53)的形式 右边条款在哪里,分别马达的速度消散的能量,它的速度积累能量,并传递能量的速度。每个发电机或负载的状态所描述的转子角,测量相对于参考设备旋转以标准化的频率,并满足波动方程(50- - - - - -54] 在哪里的偏差转子参考频率,转子的转动惯量乘以参考频率,是阻尼、摩擦系数随着转子旋转,然后呢和分别是,产生的机械功率和净电能通过传输线传播。

电网建模为一个耦合的方程与方程(13);和参考频率的偏差发电机或负载,用 ,满足[53]。 在哪里耗散发生在吗发电机或负载,传输线的耦合强度,是一个矩阵的条目1如果发电机/加载和连接,否则和0。 对发电机和 对负载。电网将在稳定状态下消耗和一代的能量平衡,所以如果有发电机和负荷 。

为了专注于妥协的需求网络子系统,我们用最简单的网格,在[56组成的,单个发生器( )和一个负载( )(图3)的设想与许多客户效用AMI。物理系统由发电机、变电站、变压器、塔和输电线路;有两个网络系统耦合。第一个网络系统是监控和数据采集(SCADA) [2,37- - - - - -39)系统,从变电站和发出控制信号收集测量设备,变电站自动化或保护系统和能源管理系统。第二个是网络系统与AMI的消费者。为了简化分析,我们专注于妥协的网络系统和如何在网格可以动摇妥协。

我们让和表示发电机的相位偏差和效用。在这种情况下,减少一个值;我们替换通过 ,为简单起见耗散参数设置 ,取代通过发电机和负载,发电机和负载的方程

从第一个方程减去第二个方程,我们得到一个二阶方程的相位差 ,写成一阶系统

对于这个模型,传输功率 (53,自然度量性能的网格模型是发射功率在一个稳定状态。如果 ,这个网格有一个稳定的状态 。如果 ,没有稳定状态;而不是解决方案周期。然而,当 但接近 ,如果耗散系数足够小,周期解(因此不稳定运行的电网)与稳态共存。特别是[57- - - - - -59),为每个值 ,有一个临界值的耗散系数,我们表示所以,如果 那么就没有周期解和网格将全球稳定。然而,当 ,还有一个周期解([52),图2),因此网格的操作将不稳定;Rohden et al。52)确定这种情况下断电。大电网经常操作的区域的顺序降低输电线路的产能过剩的成本(53),这使得从一个稳定状态过渡到振荡的可能性或混沌行为的可能性更大。

计算的基本情况,我们使用 。

3所示。结果与讨论

我们开始(部分3.1)说明的基本动力学模型和相关的物理系统的性能使用通用性能指标。这些表明,稳态水平的妥协,即使主动防御,与观测一致,每个人都应该假定网络系统已经渗透和专注于确定后果的渗透14]。因为模型的混合deterministic-stochastic性质的妥协,我们报告的时间分布检测和妥协的时候水平检测,然后展示动态的实现。敏感性分析(部分3.2),我们探索如何妥协的动力学和物理系统的性能取决于诱饵网络组件的一部分 。然后,我们(部分3.3)显示结果当一个攻击者依靠隐形,特别是攻击的最佳时间是如何出现和它如何取决于系统的参数和指标的选择对攻击者的价值。我们开始网格模型上的部分简要总结(部分3.4.1)的动态generator-one加载网格没有妥协,然后(部分3.4.2)一些妥协的模型网格的模型。我们说明EPRI场景AMI.27 [20.]对AMI逆向工程通过展示智能电表发出误导性的信号对电力需求会导致电网的负荷端失败和推导正则条件失败的网格的受损组件的数量的时候检测和同步电动机的损耗参数模型。

3.1。妥协和复苏的动力

对于这些结果,我们集 。没有DCM,妥协是只有通过定期维护。在图4的数量,我们将展示的动态网络组件(图4(一)),物理系统的性能和检测到妥协(图的概率4 (b))。我们使用的动态检测的概率来创建时间的随机实现检测(图4 (c))和破坏网络组件的数量检测的时候妥协(图4 (d))。

网络系统达到稳态的破坏网络组件与脆弱的和暂时的网络组件。因此,物理系统的性能下降到一个稳定状态。

表现在图4 (b)可以直接在(图3.14相比21),显示的时间进程的负载之前,期间和之后的网络攻击或人物在[2.1 - -2.332)描述系统的弹性响应中断/攻击。当DCM变得活跃,虽然物理系统的性能可能会增加,因为删除妥协,物理系统的性能不需要回到原来状态后中断/攻击(见下文)。

条件检测时间,全系统的行为是由方程(1)- (5),我们说明了通过选择8倍的检测捕获大部分范围图4 (c)。

网络系统恢复90%以上的初始状态(左面板图5)。在稳定状态,无论检测妥协的时候,毋庸置疑,脆弱,毋庸置疑,目前硬化和破坏网络组件(其余重置)。妥协组件的网络系统持续稳定状态,因为外部攻击和内部co-compromise继续。受损组件的数量保持在低水平,因为DCM维持在零水平(图5,右手面板,蓝线)。DCM的非零稳态的成本降低性能。为了说明这一点,在图6,我们把性能检测的时候一样的人物5。性能下降妥协妥协的构建之前检测和性能取决于时间的最低水平检测的妥协。然而,在稳态性能只返回到初始值的70%。

3.2。诱饵的作用网络组件

探索诱饵的作用网络组件,我们横扫八的值 ,从0到0.25([的精神60])。为每个值 ,我们确定检测的300倍。条件都我们检测的时候,计算的动态网络系统和物理系统的性能。

因为配方(方程(1),(3)和(5))检测的概率增加,妥协,给定的时间会增加,和破坏网络组件的数量在给定的时间将下降(数字7(一)和7 (b))。无法预测的是,标准偏差检测的时间和数量的妥协组件的时候发现妥协下降的增加。

根据结果如图5和6,我们预计一旦DCM被激活,系统将恢复,达到一个稳定状态,独立于检测到的时间妥协(随机组件)和确定性的方式不同 。结果(图7 (c)的意思是,虽然物理系统的稳态性能下降 ,稳态性能的标准偏差几乎是0。

另一方面,物理系统的最低性能取决于检测到妥协的时间(如在图6),这样的价值 。最低性能决定通过网络组件的程度的妥协,妥协是发现和DCM的反应。在图7 (d),我们的平均值和标准偏差的最小物理系统的性能。的均值最低性能是一个增加的功能的标准差最小性能的递减函数 。

3.3。隐形和攻击的最佳时间

当攻击者依靠隐形,结果成为决定性的,因为攻击者的价值是一个期望的时间检测图8(一个),我们显示了时间的两个价值功能。最优时间的攻击显然从这些数据中,一系列的攻击一样的攻击是“不错”的价值61年]。条件参数,我们之前预测攻击发生时对攻击者的价值衡量的损失的物理系统的性能,而不是破坏网络组件的数量。在数据8 (b)和8 (c)我们展示的最佳时间攻击的一系列值和 。

3.4。负载侧的失败Generator-One负载电网由于AMI的妥协

我们首先总结网格模型的属性没有任何妥协,然后链接到模型的妥协。

3.4.1。网格模型的属性没有妥协

没有妥协,参数 ,和 和初始条件 和 导致稳态方程(16)。在初始瞬态动力学、稳态的 是达到了。由于发射功率是 和稳态值增加而 ,发射功率也增加 。

正如上面所讨论的,方法从下面,可能出现不稳定。例如,与所有其他参数如上所述,等于或 ,网格达到一个稳定状态,但对于 一个振荡的解决方案发展。在其他参数条件,关键值介于0.177(振动)和0.178(稳态接近)。

这些结果表明,一个路由不稳定的电网(我们下面详细探索)增加权力的要求。为了说明这个概念没有妥协和检测模型的复杂性,我们解决了方程(16) 和 在哪里 ,0.8,0.85,0.9,和0.95特征要求的增加力量。在这种情况下, 这存在一个稳定的状态。然而,我们预期不稳定达到1。这确实是案例的价值在0.831和0.832之间,电网失去稳定。此外,增加使系统更稳定:当 ,的价值导致不稳定在0.8588和0.8589之间,当下跌 的价值导致不稳定在0.8844和0.8845之间。这是一个物理系统的临界操作时接近扰动的能力,变得更加脆弱。的一个角色模型,如我们发展是帮助识别和描述物理系统的潜在失效模式。

3.4.2。负载侧的失败Generator-One负载电网由于AMI的妥协

我们夫妇妥协的模型及其检测和电网的更换通过 ,在哪里是多少一个妥协AMI增加的电力需求,然后呢 ,计算从方程(3),是妥协AMI的数量 。我们假设 为计算。在图9我们显示,传输功率假设妥协的动态检测和时间是一样的在图所示5。

网格显示的信号与世俗妥协,几乎线性增加的电力需求(部分时间之前的轨迹检测由垂直的虚线表示)。如果及早检测发生(如前六板),DCM被激活,妥协是减少,网格回到一个稳定的稳定状态。然而,见两个面板底部,如果检测时太晚了,那么网格进入一个地区的不稳定甚至在DCM被激活。

网格计算风险由于AMI妥协,在网络系统中,我们注意到当电力负荷的要求 检测到和妥协 ,网格的条件不稳定 也可以写成

方程(18)是一个典型的关系链接妥协和电网的负荷端失败。因为妥协的检测是一个随机过程,检测的时间和程度的妥协的时候检测不同。因为妥协是一个随机过程,检测水平的妥协左边的方程(18)是一个随机变量。的概率是电网故障的风险水平的妥协左边的方程(18)超过了比右边的方程。在图10网格作为一个函数,我们将展示风险per-compromised AMI的要求增加力量。如果per-compromised AMI要求增加力量足够小,网格从妥协的风险几乎是0。有一个范围的风险的网格是一个线性函数 。足够大的值 ,失败的网格是保证。

因此,了解的增加要求的权力,损害网络组件可用于预测电网故障或不是。例如,画一条水平线,如图10 ()或10 (b)在电网的风险级别,可以容忍和定位的价值线相交的曲线将提供的价值信息每AMI需求增加力量,可以容忍的。需求的增长是一个异常运行条件,这可能是用于检测妥协([21),建议4.10 pg 92)。

4所示。结论

我们的工作涉及到一组非线性微分方程的耦合动力学的妥协和防御网络系统(我)一个非线性通用性能函数理解网络攻击通过隐形或(ii)的非线性转子方程电网理解的角色负荷端电网的稳定性上妥协。这样做让我们探索如何攻击使用隐形时出现的最佳时间(数字8和9)和获得一个正则条件(方程(17)或(18)稳定的电网的负荷端妥协。

4.1。小说本文的贡献和连接最近的其他工作

创新我们的工作包括(我)诱饵的一小部分组件在网络系统中,没有连接到其他的网络系统或物理系统,因此不妥协,但传播的概率增加检测妥协,(2)允许组件的网络系统立即回到un-compromised状态暂时无敌或者脆弱,(3)适应性防御对策,自适应响应攻击和妥协,(iv)通用的物理系统的性能指标取决于网络系统的状态,和(v)耦合模型的电网模型的网络系统的妥协导致电网的条件失败的妥协和同步电动机模型的参数。

4.2。未来工作方向

我们讨论未来的工作与网络妥协和通用性能函数的模型,该模型的网络妥协和电网,以及我们的论文中给出的方法和结果与最近的研究(1,62年)一般主题的安全系统网络和物理组件。

4.2.1。准备与网络相关的妥协和通用性能函数

主题新兴网络模型的妥协和通用性能函数保证未来的调查包括:(i)的妥协和恢复网络系统的动力学表明,有机会进一步调查的操作弹性规划退化的网络系统在设计时的物理系统和(2)攻击者依靠隐形,自然延伸我们的结果是探讨图8变化检测的概率取决于外部妥协,有时会生成一个“后”检测。

4.2.2。与网络相关的妥协和电网

我们已经展示了如何可以破坏一个电网负荷端妥协。如果电网的性能指标的分数是加载,然后方程(11)不需要任何形式的尺度改变物理系统的捕获性能,通过比较可以看出我们的图2与图3.14 (21]。

虽然保护电网断开发电机的效用是防御路线之一,它是一个极端的解决方案。另一方面,发展一种机制来识别当个人消费者要求异常的力量然后断开这些消费者的效用是一个潜在的防御。智能电表在定期报告定义消息结构以可预测的方式(21]。妥协的迹象或故障可能包括另一个报告结构,报告不寻常的时候,或报道通常的范围以外的值(18]。这些结果的一个含义是,重要的是匹配检测策略时愿意接受风险潜在的电力需求有一个时间模式。即在高的电力需求,网络组件的妥协AMI可能导致不稳定的电网,这表明战略妥协的检测应调整的模式要求的权力。这里开发模型,如我们可以帮助资源配置的检测。这个想法完全操作,将包括一个检测模型(30.]与假阳性(消费者并不要求额外的权力,但看到这样做),假阴性与妥协并不检测AMI(消费者),和一个经济模型来评估电力中断的成本(2]。这样做超出了本文的范围。

水平的效用,防御是一种机制,通过广义州长或电动弹簧(63年),增加的价值随着电力需求的增加。在这种情况下,成本是公用事业运营效率较低增加。在断开的情况下消费者,发展必要的模型是可行的,但超出了本文的范围。

另一个未来的一步是扩大发电机和负荷的数量。新西兰网格(53)是一个很好的候选人这样的下一个步骤。另外,有关电网的适应能力的建议之一是依靠各种类型的芯片(21]。由于其本身的结构,这样的网格将有很多的访问接口与外部世界(51),从而提高一个全新的问题,可以应用本文模型。同样,消费者产生太阳能的发展,可以搬到电力公司(因此改变历史的一种方式的分布从电力公司电力消费者双向传输的权力)提出问题的模型可以适应这里开发。此外,随着电网变得越来越分散,阻力和恢复从网络攻击将越来越多地依赖于快速甚至实时测量和响应(22]。

4.2.3。连接到其他最近的工作

现在我们简要讨论如何想法在我们的论文链接(1和最近的一个额外的调查62年在网络的非线性系统的过滤。在[1),作者描述容忍网络攻击方法(基于博弈论等方法或控制理论);这些可以显式地建模和测试功能的网络系统使用我们的方法的有效性。我们的工作补充,在[1),在未来,我们的工作可以用来探索智能电网网络攻击的影响,检查潜在的access-and-maneuver类型的攻击破坏系统控制和地方电力系统为无效的,在某些情况下,破坏性的州。

的调查62年)引发了许多潜在的扩展我们的工作和方向等未来的探索。(我)我们的方法可以用于特定的通信和合同协议的分析,调查系统上下文中的协议比其他人或多或少是有弹性和不同通信协议的性能和有效性/政策在不同网络条件下。(2)直接使用我们的方法,我们可以尝试更细粒度的计算表示network-induced复杂性,并验证分析方法的通用性和相关假设。(3)自然延伸我们的分析方法是将其他类型或波动的来源可能传播或以不同的方式影响节点。(iv)因为妥协的显式表示的网络系统,我们的方法可以用来探索如何使用过滤方法来提高反应的损失当节点传感和通信的节点角色和探索结果当传感器和通信功能影响不对称(64年]。(v)更多的理论水平,我们的方法可以用来检查适用性的集员滤波处理系统信息审查由于网络攻击(或不可用65年]。

4.3。最终结论

在这篇文章中,我们提供了一个框架基于种群生物学的分析疾病的妥协与网络和物理系统的复杂系统,给的例子如何使用一个通用的框架的性能和指标度量涉及电网的性能,并建议进一步解释的机会。使用这个框架还有许多工作要做。

附录

计算的伪代码

计算得到的伪代码遵循代码可以从第一作者。编写的代码和伪代码R和有组织的方式,允许其他个体直接访问的想法。因此,计算效率已经牺牲了清晰的开发和演示。一般来说,我们适应的伪代码的形式(65年)和继续使用的数学符号,在实际代码被修改以明确的方式。Rscript可以获得第一作者(电子邮件保护)。

. 1。创建通用性能函数

创建通用性能函数方程(12),使用这些步骤。(我)指定的参数 ,和 。(2)周期结束 来 。(3)周期结束 来 。(iv)对于每一个组合的和 ,集 和 (v)通用性能函数方程(12) 然后产品 。

由信用证。指定的参数

剩余的参数如下:(我)这些动态的妥协,防御和检测(方程(1)- (5)): , 。(2)那些为发电机装运模型的电网(方程(16)): 。

出具。运行模型没有妥协的防御对策

为了产生结果如图4(一)求解方程(1)- (3)和(5)在缺乏DCM(即集 )。我们使用了阶龙格库塔计划在包deSolve r的步骤如下:(我)指定时间增量当求解方程(1)- (3)和(5)。(2)维动态变量 ,和向量的长度 。(3)指定初始条件;如果所有组件最初毋庸置疑(摘要)这些都是 和 。(iv)生产图4 (b),解决了微分方程和通用性能函数的链接部分背书。

各。创建时间的分布,妥协是发现和妥协的检测水平

为了产生结果如图4 (c)和4 (d)遵循下面的步骤:(我)指定复制的数量检测和创建时间的向量和的长度(2)周期从1到(3)为每一个 ,画一个随机变量均匀分布在[0,1],确定时间的 和 。集等于这个时间和 ,在哪里计算从部分。3。

本。运行模型时妥协的防御对策被激活

为了产生结果如图5和6一系列的检测系统的评估,我们现在解决完整deterministic-stochastic模型,这需要指标函数 ,将0倍不到检测的时间吗和1倍。我们模型的累积正态分布函数,它本质上是一个阶跃函数足够小的标准差。因此,在代码中,我们计算了通过添加一个方程方程(1)- (5): 在哪里标准偏差(计算,我们使用 )和检测到的时间妥协。一次方程(. 1)是附加到方程(1)- (5),一个收入如下:(我)指定的值次检测的范围;对于本文中所示的结果,我们使用了向量 。(2)在检测时间周期。(3)遵循相同的步骤与方程(部分由. 1)附加。(iv)为每个值 ,确认所以本质上是一个阶跃函数生成 。

要求寄出。全面的诱饵组件的一部分

为了探索诱饵组件(图的作用7),我们将从标量矢量;我们使用的计算 然后进行如下:(我)诱饵组件的一部分转换为一个向量与范围。(2)周期结束(3)为每个值在部分A.3-A.5重复这些步骤;这样做会产生图所需的所有数据7。

A.7。当攻击者依靠隐形

当攻击者依靠隐形(方程(8),图8),我们有一个明确的解决方案的数量毋庸置疑网络组件(在方程(8网络组件())和妥协的数量 。这允许快速探索通过全面的外部妥协和co-compromise率 ,实现了这些步骤。(我)指定的范围的妥协和co-compromise探索和创建或替换标量和由向量。指定一个向量发起攻击。(2)循环率的外部妥协和co-compromise的速度(3)随时间周期从 来 。(iv)每一次计算从方程(8), 。(v)在每次循环的攻击。(vi)计算性能直接从方程(9),(10)和(12)。

如系。一个Generator-One电网负荷模型没有妥协

指出在文本,一个generator-one负荷模型可能显示不稳定取决于方程中的参数值(16)的传输功率成正比 。为了探索这种不稳定性的本质,进行这些步骤。(我)指定标量和和一个向量的值在方程(16)。(2)如上所述,维向量和的长度 并指定初始值。求解方程(16)(我们deSolve用于R)。(3)重复前面的步骤以不同的值数值确定的价值给定值的不稳定发展和 。(iv)最初为了探索网格的失败由于日益增长的需求,选择的值 ,和的方程解(16)是稳定的。创建一个向量增加了要求的权力。(v)周期结束和每个值,解决方程(16)以上确定电网稳定或振荡行为。

A.9。一些妥协的模型和电网的模式

一个是现在的一些妥协和电网的模型,在其中在方程(16)所取代 在哪里决定在方程的解决方案(1)- (5与这些步骤)和收益。(我)指定的值(2)融合本部分,如上图,在方程(16)所取代 。这将是足够的生产结果如图9。生产结果如图10添加的步骤。(3)指定一个向量的增加要求的权力(提供x设在在图10)和关键值从部分如决定;表示这个向量, 。(iv)为每个组合的时间检测 , ,和 ,的分数在方程(超过给定的阈值18)。

数据可用性

本文的结果生成的使用R3.6.1版本(可在凹口的网站https://cran.r-project.org/)1.0.143 RStudio版本。R脚本用于本文的模型可以直接从第一作者了。

的利益冲突

作者没有利益冲突。

确认

作者感谢杰夫•邓恩的建议使用双物流指标的性能,而不是单个物流只取决于un-compromised网络组件;苏李建模负荷端电网由于损害AMI的失败;保罗·维的建议添加杀手T细胞的模拟;理论生态学集团和他的同事在卑尔根大学生物学系的评论在回答说毫米。作者感谢匿名裁判指出引用(1,62年]。执行这项工作的一部分就业的吉米·该基金会在约翰霍普金斯大学应用物理实验室(JHU-APL)。Marc甜菜与JHU-APL由合同15 - 1015。