保護(hù)CPS的第一步是識別這些系統(tǒng)可能存在的風(fēng)險，然后確定如何通過深度防御方法解決這些風(fēng)險的優(yōu)先級。風(fēng)險評估包括識別CPS中的資產(chǎn)[74]，了解其安全風(fēng)險，并實施對策以將風(fēng)險降低到可接受的水平[13，75，76，77，78].滲透測試可能是了解系統(tǒng)風(fēng)險級別的最常見方法，可用于設(shè)計漏洞管理和修補(bǔ)策略。供應(yīng)鏈也是另一個風(fēng)險因素，在風(fēng)險管理與治理CyBOK知識領(lǐng)域[79]中進(jìn)一步討論。

CPS中的一個新領(lǐng)域是識別執(zhí)行器或傳感器，如果它們受到損害，它們?yōu)楣粽咛峁〤PS的最大可控性[80，30，81，82，83]，然后優(yōu)先保護(hù)這些設(shè)備。

識別風(fēng)險后，一般的縱深防御方法包括預(yù)防、檢測和緩解機(jī)制。在本節(jié)中，我們將介紹用于防止、檢測和緩解攻擊的跨領(lǐng)域安全工作，下一節(jié)將介紹特定的CPS域，例如電網(wǎng)以及智能交通系統(tǒng)。本節(jié)分為三個部分：（1）防止攻擊（第2.1節(jié)），（2）檢測攻擊（第2.2節(jié)）和（3）緩解攻擊（第2.3節(jié)）。

2.3緩解攻擊

減輕CPS故障的大多數(shù)工作都集中在安全性和可靠性（保護(hù)系統(tǒng)免受隨機(jī)和/或獨(dú)立故障的影響）上。攻擊緩解是安全性和可靠性保護(hù)的擴(kuò)展，適用于系統(tǒng)中的故障不是由自然隨機(jī)創(chuàng)建的，而是由對手創(chuàng)建的。

攻擊緩解與彈性控制系統(tǒng)的概念有關(guān)，彈性控制系統(tǒng)定義為保持狀態(tài)感知和可接受的操作正常水平以響應(yīng)干擾（包括意外和惡意威脅）的系統(tǒng)[131]。

緩解技術(shù)主要有兩種類型：i）主動和ii）被動。主動緩解會在發(fā)生任何攻擊之前考慮在CPS中部署的設(shè)計選擇。另一方面，反應(yīng)性響應(yīng)僅在檢測到攻擊后才會生效，并且它們會在線重新配置系統(tǒng)，以最大程度地減少攻擊的影響。我們首先描述主動方法。

保守控制：減輕攻擊影響的最初想法之一是以足夠的安全裕度操作系統(tǒng)，以便在發(fā)生攻擊時，它會攻擊者更難到達(dá)不安全的區(qū)域。這種類型的控制算法的一個直觀想法是使用模型預(yù)測控制（MPC）來設(shè)計一種控制策略，該策略預(yù)測攻擊將從下一個時間步長開始發(fā)生[37]，因此計劃一個最佳控制操作，在攻擊發(fā)生時嘗試保持系統(tǒng)安全。保守地運(yùn)行CPS通常以次優(yōu)操作和系統(tǒng)未受到攻擊時的額外成本為代價。

彈性估計：彈性估計算法試圖獲得系統(tǒng)的這種狀態(tài)，即使傳感器的子集受到損害[132，133]。基本思想是使用CPS的知識以及所有傳感器值的相關(guān)性。在傳感器測量中具有足夠的冗余，彈性估計算法可以拒絕嘗試的攻擊，并仍然獲得準(zhǔn)確的狀態(tài)估計。這個想法類似于信息論中的糾錯碼，其中傳輸?shù)谋忍氐淖蛹赡軙黄茐?，但糾錯代碼重建原始消息。然而，缺點(diǎn)是并非所有CPS都有各種相關(guān)傳感器來檢查其他傳感器的一致性，因此這種方法取決于系統(tǒng)的屬性。

傳感器融合：彈性估計算法通常假設(shè)各種多模態(tài)傳感器來實現(xiàn)其安全保證。這也是傳感器融合背后的想法，不同類型的傳感器可以幫助“確認(rèn)”其他傳感器的測量[134，135，136].汽車系統(tǒng)中傳感器融合的一個基本示例是驗證LiDAR讀數(shù)和攝像頭測量值是否報告一致的觀測結(jié)果。

虛擬傳感器：當(dāng)我們使用物理定律異常檢測系統(tǒng)時，我們實際上擁有了系統(tǒng)物理演變的模型。因此，減輕對CPS傳感器的攻擊的一種方法是使用系統(tǒng)的物理模型來提出預(yù)期的傳感器值，然后可以將其提供給控制算法[30，137，117]。通過去除傳感器值及其從系統(tǒng)模型獲得的期望值，我們正在使用開環(huán)控制有效地控制系統(tǒng)，這可能在短期內(nèi)有效，但作為長期解決方案可能存在風(fēng)險，因為所有物理模型并不完美，真實世界和模型仿真之間的誤差會隨著時間的推移而增加。在將虛擬傳感器設(shè)計為攻擊-響應(yīng)機(jī)制時，另一個重要的考慮因素是，每當(dāng)系統(tǒng)由于誤報[30]。

約束致動：保守操作的類似原則是物理約束CPS的執(zhí)行器，以便如果攻擊者成功獲得對系統(tǒng)的訪問權(quán)限，則其更改系統(tǒng)操作的速度受到限制。例如，這種方法可以保證車輛隊列行駛系統(tǒng)的安全性，即使攻擊者完全控制了其中一輛車[138]。

慣性復(fù)位：減輕攻擊的另一個想法是盡可能頻繁地重置和多樣化系統(tǒng)，以便攻擊者無法獲得對系統(tǒng)的持續(xù)控制[139，140]?；舅枷胧?，系統(tǒng)的完整軟件重置將使系統(tǒng)再次以受信任狀態(tài)啟動，從而消除攻擊者的存在。這要求系統(tǒng)具有受信任的計算基礎(chǔ)，可以在尚未加載惡意軟件的安全狀態(tài)下啟動系統(tǒng)。但是，關(guān)閉正在運(yùn)行的系統(tǒng)是一種潛在的危險行為，目前尚不清楚該提案是否可行。

反應(yīng)控制補(bǔ)償：當(dāng)傳感器或控制器受到攻擊時，會產(chǎn)生新的動作以維護(hù)系統(tǒng)的安全。受容錯控制的文獻(xiàn)的啟發(fā)，一種想法是嘗試估計攻擊信號，然后生成補(bǔ)償動作以消除它[141].這種方法的問題在于它不考慮戰(zhàn)略對手;然而，博弈論方法可以解決這一限制。在博弈論模型中，攻擊者破壞一組控制信號

一個∈R但防守方使用剩余的控制器ud∈R醫(yī)學(xué)博士部署防御

攻擊者和防御者之間的博弈可以是同時的（零和或最小極大博弈）[142，143，144]或順序的（例如，斯塔克爾伯格博弈）[145，146，147]。博弈論的挑戰(zhàn)之一是，為了建模和證明結(jié)果，公式需要簡化，此外，模型需要添加一些在實踐中可能不成立的額外假設(shè)。

安全控制操作：另一種反應(yīng)性方法是更改甚至阻止?jié)撛诘膼阂饪刂撇僮髯饔糜谙到y(tǒng)。將高保證控制器（HAC）作為高性能控制器（HPC）的備份的想法早于CPS安全性的工作，并被提議作為安全性防止復(fù)雜且難以驗證的HPC將系統(tǒng)驅(qū)動到不安全狀態(tài)的機(jī)制[148]。一種更新的、以安全為導(dǎo)向的方法是使用參考監(jiān)視器的概念來檢查控制動作是否會導(dǎo)致任何不安全的行為，然后再允許它進(jìn)入現(xiàn)場[39]。所提出的方法依賴于控制器的控制器（C2），該控制器調(diào)解控制器發(fā)送到物理系統(tǒng)的所有控制信號。特別是，C2嘗試保留三個主要屬性：

1）安全（該方法不得引入新的不安全行為，即，當(dāng)操作被拒絕對工廠進(jìn)行“自動化”控制時，不應(yīng)導(dǎo)致工廠采取不安全行為）;2）安全性（調(diào)解保證應(yīng)在威脅模型允許的所有攻擊下成立）;3）性能（控制系統(tǒng)必須滿足實時期限，同時施加最小的開銷）。

本節(jié)中介紹的用于預(yù)防、檢測和響應(yīng)攻擊的所有安全建議通常適用于CPS。但是，每個CPS應(yīng)用程序都有獨(dú)特的屬性，這些屬性可以改變這些解決方案的實施方式。此外，特定CPS域的一些獨(dú)特屬性可以帶來新的解決方案（例如為植入式醫(yī)療設(shè)備提出的觸摸訪問原理[149]）。在下一節(jié)中，我們將重點(diǎn)從一般和抽象的CPS描述更改為特定于領(lǐng)域的問題和解決方案。