馬爾可夫信息物理系統拒絕服務攻擊安全控制*

馬 超 , 吳 偉

1(北京科技大學 自動化學院,北京 100083)2(復雜系統管理與控制國家重點實驗室(中國科學院 自動化研究所),北京 100190)

近年來,伴隨著信息與網絡技術的飛速發展,信息物理系統成為了一個熱門的研究領域[1,2].信息物理系統在實際應用中的例子包括智能電網[3]、智能運輸系統[4]、智能工廠[5]等.特別是由于信息物理系統中通信網絡組件的使用,信息物理系統的安全控制問題受到了研究學者的廣泛關注.一般而言,當信息物理系統中的傳感器或者通信網絡受到惡意攻擊后,信息物理系統將無法按照正常系統狀態進行控制,從而導致控制系統的性能下降甚至不穩定[6-8].常見的網絡攻擊類型主要有拒絕服務攻擊[9]、重放攻擊[10]以及欺騙攻擊[11].近年來,拒絕服務攻擊作為一種典型的惡意攻擊手段被大量應用于網絡系統,其主要方式為阻塞信息的正常通信.因此,針對拒絕服務攻擊的特點,一些有效的安全控制及調度策略被提出,并且取得了良好的控制效果[12-14].此外,考慮到信息物理系統中存在的通信資源約束,基于事件觸發的通信與控制策略被大量采用.與傳統的基于時間觸發策略不同,基于事件觸發的策略可以按照給定的事件觸發機制大量地減少信息傳遞的次數,從而提高通信資源的利用率[15-17].

另一方面,作為一類特殊的切換系統,馬爾可夫跳變系統通常用來描述具有不同模態切換特性的實際物理系統[18].許多針對馬爾可夫跳變系統的分析與綜合方法被提出,用來解決穩定性問題[19]、狀態估計問題[20]、同步問題[21]等.需要指出的是:大多數針對信息物理系統的建模通常基于系統參數及狀態非跳變假設,相應的結果仍然具有一定的保守性.目前,對于馬爾可夫跳變類型信息物理系統的研究尚處于起步階段,例如文獻[22]通過利用自適應滑模控制方法成功解決了馬爾可夫跳變類型信息物理系統在對抗攻擊下的安全控制問題等,然而在其他類型網絡攻擊下的安全控制問題仍然具有相當的挑戰性[23,24].

針對以上不足,本文主要研究了一類馬爾可夫跳變信息物理系統在拒絕服務攻擊下的安全控制問題.與已有的文獻相比較,本文的貢獻主要包括以下3 個方面.

(1) 考慮到馬爾可夫跳變信息物理系統的跳變特性,建立了一種新的模態依賴安全控制模型,從而更好地模擬實際網絡攻擊的模式;

(2) 提出了一種新穎的模態依賴事件觸發控制策略,用來解決網絡攻擊下的安全控制問題;

(3) 利用凸優化的方法建立了實現安全控制所需要的充分性條件,并且給出了相應的事件觸發函數與安全控制器的設計過程.

本文第1 節首先給出馬爾可夫跳變信息物理系統的模型與安全控制問題的數學描述,并且設計了模態依賴的事件觸發函數與控制器.第2 節給出相應的充分性條件以及數學推導過程.第3 節通過一個數值仿真的例子說明本文所提出設計方法的有效性與適用性.第4 節對本文研究工作進行總結并給出未來研究工作的一些展望.

本文采用下列統一的數學符號:Rn表示實數域n維向量空間,Rm×n表示實數域m×n矩陣空間,P>0 表示矩陣P是正定的,E{·}表示隨機過程的數學期望,*表示對稱矩陣中的對稱部分.

1 預備知識與問題描述

1.1 馬爾可夫跳變信息物理系統數學模型

固定概率空間為(Ω,F,P),考慮下列連續時間馬爾可夫跳變信息物理系統,其動力學模型為

其中,x(t)∈Rn為系統的狀態向量,u(t)∈Rm為系統的控制輸入,A(σ(t))與B(σ(t))均為模態σ(t)下的已知常量矩陣.不失一般性,假設系統的任意模態均為可檢測的,并且系統的初始狀態假定為:x(0)=x0.

σ(t)表示連續時間離散狀態的馬爾可夫過程,其取值在一個有限的集合I={1,2,…,N}內.相應的,其狀態轉移概率矩陣Π={πij},?i,j∈I被描述為

其中,πij≥0 表示從t時刻模態i跳變到從t+Δt時刻模態j的轉移概率,,Δt>0,o(Δt)表示Δt的高階無窮小,

1.2 模態依賴事件觸發的安全控制器設計

在實際應用中,拒絕服務攻擊通常難以預測.當攻擊發生以后,安全控制器可以確保系統在一定的安全性能下穩定的運行.在事件觸發策略下,假定系統的傳感器按照時間序列采樣傳輸的,其采樣周期為h,其采樣序列為S1={0,h,2h,3h,…,kh,(k+1)h,…}.不失一般性,當前控制信息成功更新時刻(事件觸發時刻)定義為tkh,且下一個成功更新時刻定義為tk+1h,其更新序列為S2={0,t1h,t2h,t3h,…,tkh,tk+1h,…}.

此外,定義ε(ikh)為拒絕服務攻擊的發生:

其中,ikh為第k個控制信息成功更新間隔內的傳感器采樣時刻,即tkh=ikh

更進一步,定義拒絕服務攻擊的持續時間為

其中,表示能量有限的拒絕服務攻擊發生情況下的控制信息成功更新時刻.

此外,定義ikh時刻拒絕服務攻擊發生情況下的馬爾可夫跳變信息物理系統狀態誤差為e(ikh)=x(ikh)-x(tkh),從而可以設計下列模態依賴的事件觸發策略:

其中,

·δ為模態依賴的閾值參數;

·Φ1(σ(t))與Φ2(σ(t))為模態依賴的常量矩陣;

在此基礎上,可以設計下面的模態依賴狀態反饋控制器:

其中,K(σ(t))∈Rm×n為待求的模態依賴狀態反饋增益矩陣.

將上述設計的狀態反饋控制器帶入信息物理系統,可以進一步得到閉環系統的狀態方程為

為了方便描述上述方程,采用下標i來描述σ(t).因此,系統(5)可以進一步寫成下面的形式:

值得注意的是,本文中的事件觸發控制機制考慮了模態變化對于事件觸發函數以及控制器的影響,因此具有更加廣泛的適用性.此外,考慮到拒絕服務攻擊具有針對性地對于信息物理系統的不同模態進行不同的攻擊方式,本文所提出的模態依賴拒絕服務攻擊也具有更加實際的背景.

1.3 控制目標

根據上述結果,本文的控制目標是:當拒絕服務攻擊發生時,馬爾可夫跳變信息物理系統(1)可以確保具有均方意義下漸近一致有界,即確保零初始系統的控制性能損失在安全控制器的作用下滿足一定的指標JDoS,即||x(t)||≤JDoS,其中,||x(t)||表示x的歐幾里德范數.

2 控制算法設計

在本節中,首先通過建立合適的Lyapunov-Krasovskii 泛函給出了實現安全控制性能的充分性條件,進而通過矩陣變換的方法求解模態依賴安全控制器的有效增益.

定理1.給定信息物理系統(1)與相應的事件觸發安全控制器增益(4),如果存在模態依賴矩陣Pi>0,矩陣R>0,當滿足下列線性矩陣不等式條件Ξi<0 時,系統可以在拒絕服務攻擊發生時控制性能損失滿足指標:

由上式可知存在一個參數κ>0,從而可以得到:

3 仿真驗證

本節通過一個仿真例子來驗證所設計控制算法的有效性,需要指出的是,本文提出的算法對于線性馬爾可夫信息物理系統具有一定的通用性與適用性.

考慮下列負載根據馬爾可夫鏈變化的RLC 電路模型,如圖1 所示.

Fig.1 RLC circuit圖1 RLC 電路

在仿真實驗中,假設上述RLC 電路具有兩個不同模態,即兩種不同的負載滿足馬爾可夫鏈變化,這里使用下列參數:

系統的采樣周期設定為h=0.05s,事件觸發參數設置為δ=0.1.根據上述參數設置,根據定理2 的算法可以得到相應的模態依賴安全控制器增益為

Fig.2 Release intervals of the event-triggered control圖2 事件觸發釋放間隔

Fig.3 State response of the closed-loop Markov jump cyber-pysical system圖3 馬爾可夫跳變信息物理系統閉環狀態軌跡

Fig.4 Performance response of the closed-loop Markov jump cyber-pysical system圖4 馬爾可夫跳變信息物理系統性能軌跡

從圖2 可以看出,采用事件觸發策略可以降低控制器的更新間隔從而減輕網絡負載.同時,從圖3、圖4 可以看到:馬爾可夫跳變RLC 電路在閉環控制作用下最終的系統狀態可以收斂在一定范圍區間內,即滿足第1.3節中的控制目標||x(t)||≤JDoS.綜上所述,不難發現:系統可以在安全控制器的作用下有效的滿足性能指標,仿真結果支持了理論計算的有效性.

4 結 論

本文研究了一類馬爾可夫跳變信息物理系統在拒絕服務攻擊下的安全控制問題.特別地,提出了一種新穎的模態依賴安全控制器設計方法用來應對模態依賴拒絕服務攻擊的影響.通過使用凸優化的方法,給出了確保系統的控制性能損失指標的充分性條件.在此基礎上,利用矩陣方法設計了模態依賴安全控制器.最后,通過一個RLC 電路的例子驗證了本文所得到理論結果的有效性.未來研究工作將進一步研究通信帶寬約束對于信息物理系統安全控制的影響.