針對一類非線性系統的虛假數據注入攻擊估計方法

俞曉天，朱俊威，馮 宇

(浙江工業大學 信息工程學院，杭州 310023)

1 引 言

隨著計算機技術和網絡通訊技術的迅猛發展，網絡化控制系統(Networked Control Systems，NCSs)應運而生.NCSs最重要的特征是連接了網絡空間及物理空間，從而實現資源共享和遠程監控，因此被廣泛應用于生產協作網、交通系統、水源系統、電力系統、大型計算機網絡等工程技術大系統.另一方面，使用通信網絡進行數據傳輸和交換雖然為控制系統的組織和部署帶來便利，可由于網絡的引入，系統與遠程控制和監測中心之間就會因為網絡的不穩定、節點沖突、帶寬限制等原因存在數據量化誤差、網絡時延、丟包、信道衰減、信噪比約束等問題[1-3].這些問題的存在，不但會降低NCSs的控制性能，有時甚至會使系統失穩.

信息網絡的開放性和易受感染性也給NCSs系統帶來了不可避免的安全隱患.例如，震網蠕蟲病毒[4]利用西門子數據采集與監控系統的漏洞入侵核電站、供水廠、化工廠等大型工業系統；烏克蘭電網遭Black Energy惡意軟件攻擊[5]，導致三十多個變電站出現故障，八萬多用戶斷電；又如胰島素泵、心臟起搏器和心臟除顫器等植入式醫療設備若遭受黑客攻擊，那么甚至會有致命后果[6].

NCSs的安全問題引起各行業及學術界的高度重視，因而成為一種重要的研究方向.例如，文獻[7]介紹了拒絕服務攻擊、重放攻擊、零狀態攻擊和虛假數據注入攻擊的攻擊場景；文獻[8]針對報警信息數量龐大的情況，制定多維度評估指標體系來分析不同攻擊的威脅值；文獻[9]基于隱馬爾科夫鏈模型，將網絡安全狀態劃分為四個等級，并根據不同攻擊強度進行網絡安全態勢感知及預測；文獻[10]把被攻擊的系統建模為帶外部輸入的廣義系統，并且從理論和圖論兩個角度研究了檢測系統的局限性.

其中虛假數據注入攻擊因其隱蔽性和破壞性，引起了眾多國內外學者的研究興趣.當只有傳感器網絡受到攻擊時，文獻[11]提出了一種基于鄰居節點信息的追蹤策略，利用中轉節點及其相鄰節點緩存記錄的特征信息定位到被俘獲的節點；文獻[12]將傳感器與攻擊者交互決策過程建模為主從博弈，討論資源約束下雙方的最優動作；文獻[13]針對多通道數據傳輸中丟包率不同的情況，設計安全濾波器滿足指定的安全等級；文獻[14]考慮傳輸時延的影響并在攻擊能量有限的條件下，通過求解線性矩陣不等式得到濾波器的解.但實際中網絡攻擊往往是非單獨發生的，更多的是出現執行器網絡和傳感器網絡的并發攻擊.

另一方面，針對虛假數據注入并發攻擊的研究也有很大突破.例如，文獻[15]采用事件觸發機制采樣，并針對離散化后的網絡系統，通過錐補線性化方法協同設計觀測器和控制器；文獻[16]利用兩個自適應滑膜觀測器分別對物理攻擊和傳感器攻擊進行觀測和重構，并應用于電力系統；進一步，文獻[17]考慮建模誤差，針對有界攻擊提出具有魯棒性能的攻擊觀測器.值得注意的是，到目前為止，關于網絡中存在并發攻擊的估計問題的研究大部分是針對可靠傳輸展開的，而針對通信約束例如丟包的相關問題研究較少.

鑒于以上討論，為了在數據丟包的情況下得到理想的估計效果，本文改進了基于中間變量的估計器設計方法[18].本文的主要工作如下：1)考慮丟包下的觀測問題，傳統方法的重點主要放在攻擊估計上，沒有充分考慮網絡中數據傳輸的通信約束；2)針對一類同時存在執行器攻擊和傳感器攻擊的非線性系統，設計安全估計器.最后，通過網絡化多軸運動系統的攻擊估計實驗來驗證本文算法的有效性.

說明：上標T表示矩陣的轉置m.表示m維歐幾里得空間.P≥0(P>0)表示P是一個半正定(正定)矩陣,并且和分別表示數學期望,歐式范數,最大特征值以及最小特征值.*表示矩陣的對稱部分.In表示n×n維單位矩陣.

2 數學模型及問題定義

2.1 模型描述

給出NCSs框架如圖1所示.基于該框架，考慮線性時不變離散系統為：

圖1 網絡化控制系統框架圖Fig.1 System framework of NCSs

(1)

其中，x(k)∈n,u(k)∈m和y(k)∈p分別為系統狀態量，控制輸入和測量輸出，設x(0)為已知的系統初始狀態量；A∈n×n,B∈n×m和C∈p×n為常數矩陣；非線性項g(k,x(k))∈×n→n表示模型不確定性和外界干擾，滿足以下條件：

‖g(k,x1(k))-g(k,x2(k))‖≤φ‖x1(k)-x2(k)‖

其中，φ是已知的常數.

信號傳輸存在丟包現象，通常將其建模為獨立同分布的伯努利過程[3，13].本文用γ1(k)和γ2(k)分別對執行器網絡和傳感器網絡的丟包過程進行表征.在任意時刻，γi(k)，i=1，2取值為0或1，分別表示發生丟包和傳輸成功，并且基于TCP-Like通信協議[3]，接收端能在采樣周期內得知傳輸是否成功.定義該隨機過程的概率函數為：

(2)

則該概率函數服從：

針對NCSs中頻繁出現的網絡攻擊，本文考慮了虛假數據注入攻擊.攻擊者通過向執行器網絡和傳感器網絡發送虛假數據的方式進行攻擊.對于控制輸入v(k)，在執行器端接收到的錯誤信息為：

u(k)=γ1(k)v(k)+γ1(k)Euau(k)

(3)

其中，au(k)∈r為執行器攻擊;Eu∈m×r為執行器攻擊分布矩陣.由于本文的重點是估計器的設計，故對控制輸入v(k)不作具體討論.

在估計器端接收到的錯誤信息為：

s(k)=γ2(k)y(k)+γ2(k)Day(k)

(4)

其中，ay(k)∈q為傳感器攻擊;D∈p×q為傳感器攻擊分布矩陣.并且攻擊信號au(k)和ay(k)滿足以下條件：

‖au(k+1)-au(k)‖≤ηu，‖ay(k+1)-ay(k)‖≤ηy

其中，ηu≥0，ηy≥0.不失一般性，這里假設x(0)，γ1(k)，γ2(k)，au(k)和ay(k)相互獨立.

由式(1)-式(4)，本文反饋系統可以描述為：

(5)

(6)

進一步，設計安全估計器.首先，引入中間變量：

(7)

其中，w∈為調優參數.得到估計器如下形式：

(8)

其中，L∈(n+q)×p是待設計的估計器增益;和分別為ζ(k)，τ(k)，au(k)和ay(k)的估計值.

2.2 問題定義

(9)

相應的，對eτ(k)的誤差系統為：

(10)

問題1.對于非線性系統(5)和安全估計器(8)，丟包影響下的虛假數據注入攻擊估計問題就是找到一個估計器增益矩陣L使得狀態估計誤差eζ(k)和中間變量估計誤差eτ(k)有界.

3 主要結果

本節由定理出發給出了第2節中安全估計問題的解決方法.

3.1 基于丟包的安全估計器設計

定理1.給定調優參數w，如果存在矩陣P1∈(n+q)×(n+q)>0，P2∈r×r>0，H∈(n+q)×p和一個正數ε滿足:

(11)

其中，

證明：

構造以下Lyapunov函數：

(12)

根據兩個獨立隨機變量γ1和γ2的特性(2)，對上式兩端求期望可得:

根據基本不等式，可知存在參數ε>0使下面不等式成立:

整理上式得：

同理，得到Lyapunov函數差分的第二個分量：

上述結果代入式(12)得：

其中，

Σ12=Π12，Σ22=Π22

基于Schur補定理，可知線性矩陣不等式(11)等效于Σ<0.因此可得：

(13)

由對V(k)的定義(12)可知：

(14)

結合式(13)和式(14)可得：

ΔV(k)≤-κV(k)+β

證明完畢.

可解條件中不包括攻擊信號有界，若攻擊信號無界但其變化率有界，現有的估計器設計方案仍能保證估計誤差一致有界，實驗中的斜坡攻擊說明了這一情況.若攻擊信號是常數信號，滿足：ηu=ηy=0，易知β=0，則估計誤差收斂到零，實驗中的常數攻擊說明了這一情況.若去掉非線性項g(k，x(k))，則現有結果可以退化為針對線性系統的安全估計器設計.

3.2 參數調節及設計流程

其中，X>0.根據Schur補定理，可將上式轉化為:

(15)

當執行器網絡中不存在丟包現象時，即：μ1(k)=1，則Lyapunov不等式變為：

圖2 安全估計器設計流程圖Fig.2 Secure estimator design flow chain

4 實驗結果與分析

為了驗證算法的有效性，進行網絡化多軸運動系統攻擊估計實驗.首先，對本文的實驗設備及建模進行描述.然后，通過求解定理1中的線性矩陣不等式得到估計器增益的解.最后，將展示所設計安全估計器的估計效果.

4.1 實驗平臺

本文的實驗平臺如圖3所示.網絡化多軸運動控制實驗平臺主要由臺達ASDA-A2-0221-M交流伺服系統、ECMA-C10604S電機、Contex-A53單片機、PC上位機和通信網絡組成.其中電機為被控對象，由交流伺服驅動器對其進行驅動；ARM單片機負責數據中轉，將交流伺服系統的位置和速度信息進行封裝，并發送給PC上位機；PC上位機負責接收來自ARM單片機的數據，運行估計算法；通信網絡由CAN總線和無線網絡兩部分組成，CAN總線負責ARM單片機與和交流伺服系統之間的通訊，無線網絡負責ARM單片機與和PC之間的通訊.由于CAN總線的硬件環境為雙絞線，通過實驗測量其丟包率極小，故本實驗不考慮CAN總線上數據傳輸的丟包，只考慮數據通過無線網絡傳輸的丟包.

圖3 網絡化多軸運動系統實驗平臺Fig.3 Experimental platform of networked multi-axis motion system

在速度模式下，電機的狀態量為位置p和速度υ，即x=[pυ].通過采樣離散化后電機的動力學模型為:

其中，T=0.5s為采樣周期;u(k)=γ1(k)v(k)+γ1(k)Euau(k)為執行器端接收到的數據，控制量v(k)=-[24.7 0.6]y(k);建模誤差g(k，x(k))=0.015sin(x(k)).

伺服電機通過20-bits編碼器實時測量位置并計算速度.可得測量模型為：

y(k)=x(k)

同時網絡中存在攻擊，執行器網絡攻擊分布矩陣Eu=1;傳感器網絡攻擊分布矩陣D=[0 1]T.經實驗測量得，無線網絡的丟包率約為5%.

4.2 求解LMI

設置閾值為0.005.根據安全估計器設計流程，首先選擇某個調優參數w滿足式(15)，然后通過LMI工具箱求解式(11)得到相應的估計器增益矩陣L，并觀察估計器與觀測值的誤差值es，若大于閾值，則重新選擇調優參數w，最后發現當參數w=20時，誤差es穩定在0.002左右，滿足設計要求.

具體的，當參數w=20時，求解線性矩陣不等式(11)可得：

因此可得安全估計器增益為：

4.3 實驗結果

本實驗考慮三種不同的攻擊信號，分別為斜坡信號、常數信號和正弦信號.設定伺服系統初始狀態和估計器初始估計值都為零.通過100次重復實驗，最后平均估計性能由圖4-圖7所示.其中，圖4展示了對執行器攻擊的平均估計性能，實線表示真實值，點劃線表示所設計的安全估計器的估計值，虛線表示標準中間估計器的估計值，可以看到標準中間估計器的估計抖動較大，不能很好地適應丟包環境，而本文所設計的安全估計器能有效抑制丟包的影響，估計過程抖動較小；圖5展示了對傳感器攻擊的平均估計性能，可以看到標準中間估計器的估計誤差較大，而本文所設計的安全估計器能快速地跟上實際值且估計效果良好；圖6和圖7分別展示了對電機位置和速度的平均估計性能，可以看到安全估計器能夠很好地對系統的狀態量進行估計.同時本實驗也印證了文中所述，對無界攻擊(斜坡信號)的估計誤差是有界的，對常數攻擊的估計誤差為零.

圖4 執行器攻擊估計Fig.4 Actuator attack estimation

圖5 傳感器攻擊估計Fig.5 Sensor attack estimation

圖6 位置估計Fig.6 Position estimation

圖7 速度估計Fig.7 Velocity estimation

5 結 論

本文考慮數據傳輸中存在的丟包現象，針對一類同時存在執行器攻擊和傳感器攻擊的非線性系統，通過設計安全估計器來估計狀態量與并發攻擊信號.網絡化多軸運動系統實驗結果表明，本文設計的安全估計器在丟包率較大的環境中仍能通過調節調優參數w達到較好的估計精度.因此，本文所提的方法具有一定實際意義.下一步的工作包括：首先，調優參數w對算法的有解性及估計精度有很大影響，本文只討論了該參數選擇的必要條件，如何系統理論地選擇調優參數得到最優攻擊估計將是未來的研究方向之一.此外，研究安全估計器與容侵控制器的協同設計，實現通信約束下攻擊信號實時補償是另一個重要的研究方向.