DoS 攻擊下具備隱私保護(hù)的多智能體系統(tǒng)均值趨同控制

胡沁伶 鄭 寧 徐 明 伍益明 何熊熊

多智能體系統(tǒng)是由多個具有一定傳感、計(jì)算、執(zhí)行和通信能力的智能個體組成的網(wǎng)絡(luò)系統(tǒng),作為分布式人工智能的重要分支,已成為解決大型、復(fù)雜、分布式及難預(yù)測問題的重要手段[1-2].趨同問題作為多智能體系統(tǒng)分布式協(xié)調(diào)控制領(lǐng)域中一個最基本的研究課題,是指在沒有協(xié)調(diào)中心的情況下,系統(tǒng)中每個節(jié)點(diǎn)僅根據(jù)相互間傳遞的信息,將智能體動力學(xué)與網(wǎng)絡(luò)通信拓?fù)漶詈铣蓮?fù)雜網(wǎng)絡(luò),并設(shè)計(jì)合適的分布式控制方法,從而在有限時間內(nèi)實(shí)現(xiàn)所有節(jié)點(diǎn)狀態(tài)值的一致或同步.

然而具備分布式網(wǎng)絡(luò)特點(diǎn)的多智能體系統(tǒng)由于普遍規(guī)模龐大,單個節(jié)點(diǎn)結(jié)構(gòu)簡單且節(jié)點(diǎn)地理位置分散等原因,使得系統(tǒng)中易產(chǎn)生脆弱點(diǎn),這就使其在推廣應(yīng)用中面臨兩項(xiàng)基本挑戰(zhàn):1)節(jié)點(diǎn)狀態(tài)信息的隱私泄露問題;2)節(jié)點(diǎn)或節(jié)點(diǎn)間的通信鏈路可能會遭受網(wǎng)絡(luò)攻擊的問題,如欺騙攻擊、拒絕服務(wù)(Denial-of-service,DoS)攻擊等.

針對節(jié)點(diǎn)狀態(tài)信息的隱私泄露問題,即在考慮多智能體網(wǎng)絡(luò)趨同的同時,保證系統(tǒng)中節(jié)點(diǎn)的初始狀態(tài)值不被泄露,已有較多研究人員開展相關(guān)的工作.其中,有學(xué)者借助于傳統(tǒng)的安全多方計(jì)算方法,例如Yao 等[3]提出混淆電路算法,Shamir 等[4]提出秘鑰共享算法等.然而這類通用的隱私保護(hù)方法因計(jì)算和通信消耗較大,不適用于單個智能體節(jié)點(diǎn)結(jié)構(gòu)較為簡單的分布式系統(tǒng),尤其是受到硬實(shí)時約束的一類多智能體系統(tǒng)應(yīng)用.如上述的混淆電路的計(jì)算延遲為秒級[5],而對于多智能體系統(tǒng)一些典型應(yīng)用如多無人飛行器編隊(duì)的實(shí)時控制,其容許的計(jì)算延遲僅為毫秒級[6].針對多智能體系統(tǒng)均值趨同過程中節(jié)點(diǎn)信息泄露問題,有研究人員提出了一系列專門的隱私保護(hù)策略[7-10].這些方法大多基于模糊處理的思想,即通過加入噪聲來掩蓋真實(shí)的狀態(tài)值.其中一種常用的手段是差分隱私方法[11],然而這種差分隱私下的模糊處理方法會影響最終趨同值的精度,即使系統(tǒng)無法收斂到精確的節(jié)點(diǎn)初始狀態(tài)的平均值.最近文獻(xiàn)[12]提出的一種基于相關(guān)噪聲混淆技術(shù)的改進(jìn)方法,克服了傳統(tǒng)差分隱私方法中精度下降的問題,但卻需要較多的算力.最近的文獻(xiàn)[13]采用一種基于狀態(tài)分解的方法,將每個節(jié)點(diǎn)的初始狀態(tài)分解為兩個隨機(jī)的子狀態(tài),只令其中一個子狀態(tài)參與相鄰節(jié)點(diǎn)間的信息交互,而另一子狀態(tài)保留在本節(jié)點(diǎn)內(nèi)部,不參與鄰居間信息傳遞.只要兩個隨機(jī)子狀態(tài)的和滿足特定條件,在作者所設(shè)計(jì)的趨同算法下,系統(tǒng)能夠達(dá)成均值趨同,且保護(hù)每個節(jié)點(diǎn)的狀態(tài)信息不被泄露.

此外,有學(xué)者研究基于可觀測性的方法用來保護(hù)多智能體系統(tǒng)中節(jié)點(diǎn)的隱私[14-16].基本思想是設(shè)計(jì)網(wǎng)絡(luò)的交互拓?fù)浣Y(jié)構(gòu)以最小化某個節(jié)點(diǎn)的觀測性,本質(zhì)上相當(dāng)于最小化該節(jié)點(diǎn)推斷網(wǎng)絡(luò)中其他節(jié)點(diǎn)初始狀態(tài)的能力.然而,這類基于可觀測性的方法仍然存在隱私泄露的風(fēng)險(xiǎn).為了提高對隱私攻擊的抵御能力,另一種常見的方法是使用加密技術(shù).然而,雖然基于密碼學(xué)的方法可以很容易地在聚合器或第三方[17]的幫助下實(shí)現(xiàn)隱私保護(hù),例如基于云的控制或運(yùn)算[18-20],但是由于分散密鑰管理的困難,在沒有聚合器或第三方的情況下,將基于密碼學(xué)的方法應(yīng)用到完全分散的均值趨同問題是很困難的.同時,基于密碼學(xué)的方法也將顯著增加通信和計(jì)算開銷[21],往往不適用于資源有限或受硬實(shí)時約束的分布式網(wǎng)絡(luò)控制系統(tǒng).

以上的工作均是在安全的通信環(huán)境下完成的,然而在實(shí)際應(yīng)用場景中,由于物理設(shè)備和通信拓?fù)浣Y(jié)構(gòu)都有可能遭受網(wǎng)絡(luò)攻擊,導(dǎo)致以往有關(guān)多智能體系統(tǒng)趨同研究的失效,這使得針對多智能體系統(tǒng)在網(wǎng)絡(luò)攻擊下的趨同研究發(fā)展迅速,并取得了一些顯著成果[22-26].目前多智能體系統(tǒng)中常見的網(wǎng)絡(luò)攻擊主要有兩種形式:欺騙攻擊[22,25,27-28]和DoS 攻擊[29-33].其中DoS 攻擊是多智能體系統(tǒng)中最常見也是最容易實(shí)現(xiàn)的攻擊形式,只要攻擊者掌握系統(tǒng)元器件之間的通信協(xié)議,即可利用攻擊設(shè)備開展干擾、阻塞通信信道、用數(shù)據(jù)淹沒網(wǎng)絡(luò)等方式啟動DoS 攻擊.在DoS 攻擊影響下,智能體間交互的狀態(tài)信息因傳遞受阻而致使系統(tǒng)無法達(dá)成一致.近年來,研究者們從控制理論的角度對DoS 攻擊下的系統(tǒng)趨同問題進(jìn)行了研究.其中,有研究人員通過構(gòu)建依賴于參數(shù)的通用Lyapunov 函數(shù)設(shè)計(jì)一種趨同方法[31],使其能夠適用于因通信鏈路存在隨機(jī)攻擊導(dǎo)致通信拓?fù)潆S機(jī)切換的情況.此外,有研究者通過設(shè)計(jì)一個獨(dú)立于全局信息的可靠分布式事件觸發(fā)器[32],很好地解決了大規(guī)模DoS 攻擊下的一致性問題.更有研究者開始研究異構(gòu)多智能體系統(tǒng)在通信鏈路遭受攻擊時的趨同問題[33],通過設(shè)計(jì)基于觀測器的控制器,實(shí)現(xiàn)在通信鏈路存在DoS 攻擊時兩層節(jié)點(diǎn)間的趨同問題.而在本文中,考慮多智能體之間通信鏈路遭受DoS 攻擊的情況,通過攻擊開始時刻與攻擊鏈路矩陣刻畫DoS 攻擊模型,通過增強(qiáng)網(wǎng)絡(luò)拓?fù)湟詽M足所謂的r-魯棒圖來刻畫信息流的局部冗余量[34],從而抵御DoS 攻擊的影響.

然而,針對趨同問題,將網(wǎng)絡(luò)攻擊和隱私保護(hù)兩者結(jié)合起來考慮的研究還鮮有見文獻(xiàn)報(bào)道.2019年Fiore 等[24]率先開展了同時考慮隱私保護(hù)和網(wǎng)絡(luò)攻擊的研究工作,但所得成果仍存在一定的局限性:1)所提方法雖能保護(hù)節(jié)點(diǎn)隱私且最終達(dá)成狀態(tài)值趨同,卻無法確保系統(tǒng)達(dá)成均值趨同;2)作者僅考慮了欺騙攻擊下的控制器設(shè)計(jì)問題,因此所得結(jié)論并不適用于網(wǎng)絡(luò)中存有DoS 攻擊的系統(tǒng).

基于上述觀察與分析,本文主要致力于研究DoS攻擊下具備節(jié)點(diǎn)信息隱私保護(hù)的多智能體系統(tǒng)均值趨同問題,從而補(bǔ)充現(xiàn)有趨同算法的相關(guān)結(jié)果.同時,考慮實(shí)際環(huán)境對測量條件等的限制,不易直接獲取節(jié)點(diǎn)的真實(shí)狀態(tài)值[35],為此本文圍繞節(jié)點(diǎn)的輸出值,即通過觀測矩陣獲取的系統(tǒng)輸出y,進(jìn)行趨同控制器的設(shè)計(jì)工作.本文的主要貢獻(xiàn)包括:

1)針對DoS 攻擊在多智能體系統(tǒng)分布式協(xié)同控制中的攻擊特性和發(fā)生范圍,及對網(wǎng)絡(luò)拓?fù)溥B通性的影響,建立相應(yīng)數(shù)學(xué)模型;

2)針對一類DoS 攻擊下的無向通信網(wǎng)絡(luò)多智能體系統(tǒng),提出一種基于狀態(tài)分解的節(jié)點(diǎn)信息隱私保護(hù)策略.當(dāng)滿足特定條件時,所提策略可確保系統(tǒng)輸出狀態(tài)不被竊聽者準(zhǔn)確推斷出來;

3)針對DoS 攻擊的影響,分析給出了系統(tǒng)中節(jié)點(diǎn)通信拓?fù)涞聂敯粜詶l件,并據(jù)此設(shè)計(jì)一種基于輸出量測值y的分布式控制方法,理論分析并證明系統(tǒng)可容忍特定數(shù)目的鏈路遭受DoS 破壞,并實(shí)現(xiàn)輸出均值趨同.

本文內(nèi)容結(jié)構(gòu)為:第1 節(jié)介紹本文所需要用到的圖論知識,網(wǎng)絡(luò)拓?fù)鋱D的相關(guān)性質(zhì)以及均值趨同算法;第2 節(jié)主要對DoS 攻擊模型和擬解決問題進(jìn)行描述;第3 節(jié)提出系統(tǒng)在DoS 攻擊下的隱私保護(hù)均值趨同控制方法,并分別對在攻擊下的網(wǎng)絡(luò)拓?fù)漪敯粜浴⑾到y(tǒng)收斂性以及隱私保護(hù)能力進(jìn)行分析;第4 節(jié)通過一組仿真實(shí)例驗(yàn)證算法的有效性;第5節(jié)是總結(jié)與展望.

1 預(yù)備知識

1.1 圖論知識

考慮由M個智能體組成的多智能體系統(tǒng),節(jié)點(diǎn)之間為雙向傳遞信息,其通信網(wǎng)絡(luò)可抽象地用一個無向加權(quán)圖G=(V,E,A)表示.其中V={v1,v2,···,vM}表示節(jié)點(diǎn)集合,E?V×V表示邊集.兩個節(jié)點(diǎn)[aij]∈RM×M表示,如果(vj,vi)∈E,則aij＞0;否之間的連接關(guān)系用鄰接矩陣(權(quán)重矩陣)A=則aij=0.在無向圖中,鄰接矩陣是對稱的,即如果(vj,vi)∈E,則同時有(vi,vj)∈E,且aij=aji.本文不考慮節(jié)點(diǎn)自環(huán)情況,即令aii=0.節(jié)點(diǎn)vi的鄰居集合表示為Ni={vj∈V|(vj,vi)∈E}.無向圖G對應(yīng)的Laplacian 矩陣為L=D－A,其中D為度矩陣,定義為:

除了上述無向圖的基本知識,本文的研究工作還用到了r-可達(dá)集合和r-魯棒圖的概念.這兩個概念最早由文獻(xiàn)[36]提出,隨后被文獻(xiàn)[22,27]等利用并擴(kuò)展,主要用于分析節(jié)點(diǎn)間拓?fù)涞钟W(wǎng)絡(luò)攻擊的魯棒性.經(jīng)筆者少許修改,具體定義如下:

定義1[36].r-可達(dá)集合:對于圖G=(V,E)及其中一非空子集S?V,如果S中至少有一個節(jié)點(diǎn)vi在集合NiS中有不少于r個節(jié)點(diǎn),則稱S為r-可達(dá)集合.

定義 2[36].r-魯棒圖:對于圖G=(V,E),如果對V中任意一對非空子集S1,S2?V,S1∩S2=?,保證至少有一個子集為r-可達(dá)集合,則稱G為r-魯棒圖.

以下是一些關(guān)于r-魯棒圖的基本性質(zhì).

引理1[22].考慮一個r-魯棒圖G=(V,E),令表示G中每個節(jié)點(diǎn)至多移除s(s＜r)條邊后的圖,則是一個 (r－s)-魯棒圖.

引理2[22].對于一個無向圖G,如果G滿足1-魯棒圖,則有G為連通圖.

1.2 均值趨同算法

考慮有M個節(jié)點(diǎn)組成的無向加權(quán)多智能體系統(tǒng).為了讓系統(tǒng)實(shí)現(xiàn)均值趨同,也就是所有節(jié)點(diǎn)的狀態(tài)xi[k] 最終收斂到它們初始狀態(tài)的平均值,根據(jù)文獻(xiàn)[13,37],其節(jié)點(diǎn)動態(tài)更新方程可設(shè)計(jì)為:

式中,xi[k] 為節(jié)點(diǎn)vi在k時刻的狀態(tài)值,ε∈(0,1/Δ)為系統(tǒng)增益系數(shù),Δ 通常定義為:

文獻(xiàn)[38]表明,當(dāng)系統(tǒng)拓?fù)錆M足連通圖,且存在η＞0 使得η≤aij＜1 時,系統(tǒng)可在更新規(guī)則(1)下實(shí)現(xiàn)均值趨同,即:

2 問題描述

本文研究對象為如下M個智能個體組成的一階離散時間多智能體系統(tǒng),其動力學(xué)模型為:

式中,xi[k]∈RN為系統(tǒng)的狀態(tài)值,ui為控制輸入,yi[k]∈RQ為系統(tǒng)經(jīng)通信鏈路傳輸?shù)玫降牧繙y信號,需要注意的是,由于通信鏈路中存在DoS 攻擊,yi[k] 可能遭受影響而無法被鄰居節(jié)點(diǎn)接收到.nCi∈RQ×N為觀測矩陣,其中n為從觀測矩陣中抽取出的系數(shù),n∈R+為大于0 的正實(shí)數(shù).

2.1 攻擊模型

本文所討論的DoS 攻擊表現(xiàn)為某種傳輸嘗試失敗的情況[39],其存在于多智能體系統(tǒng)中各智能體之間的通信鏈路中,即當(dāng)通信圖中兩個節(jié)點(diǎn)間的鏈路發(fā)生DoS 攻擊時,其通信鏈路將會被切斷,此時兩個節(jié)點(diǎn)無法通過該鏈路進(jìn)行信息交互,進(jìn)而達(dá)到攻擊多智能體系統(tǒng)的目的.在多智能體系統(tǒng)分布式協(xié)同控制中,運(yùn)載節(jié)點(diǎn)輸出量測值的通信鏈路遭遇DoS 攻擊的示意圖如圖1 所示.

圖1 DoS 攻擊下的多智能系統(tǒng)框圖Fig.1 The diagram of the multi-agent system under DoS attacks

本文以Adeversory (P,k0)刻畫系統(tǒng)遭遇DoS攻擊的情況.其中P=[pij[k]]∈RM×M表示攻擊狀態(tài)矩陣,當(dāng)節(jié)點(diǎn)vi和節(jié)點(diǎn)vj之間在k時刻發(fā)生DoS攻擊時,pij[k]=0;否則pij[k]=1.k0為系統(tǒng)遭遇DoS 攻擊的開始時刻.

考慮攻擊者資源的有限,本文假設(shè)攻擊發(fā)生范圍滿足f-本地有界[22]的定義,該假設(shè)在文獻(xiàn)[22-23,25]中被廣泛采用.結(jié)合DoS 攻擊,具體定義如下:

定義3(f-本地有界DoS 攻擊).對于系統(tǒng)中的任一節(jié)點(diǎn),如果與其相鄰節(jié)點(diǎn)的通信鏈路中,任意時刻遭遇DoS 攻擊的鏈路條數(shù)至多不超過f條,則稱此類攻擊模型為f-本地有界DoS 攻擊.

2.2 系統(tǒng)假設(shè)

結(jié)合上述給出的Adeversory (P,k0)和攻擊發(fā)生范圍模型,本文對所研究的系統(tǒng)作出如下假設(shè):

假設(shè)1.系統(tǒng)中任意一個節(jié)點(diǎn)的通信鏈路中在任意時刻至多有f條鏈路同時遭受DoS 攻擊,即滿足定義 3 攻擊模型.具體地,則對于任意vi∈V,在任意時刻k,都有下式成立:

雖然本文考慮的是固定無向拓?fù)?但在DoS攻擊影響下,可以看到系統(tǒng)的通信圖卻會與之發(fā)生變化.因此,本文接下去用時變圖符號G[k]=(V,E[k], A[k])表示系統(tǒng)在DoS 攻擊影響下的真實(shí)通信情況.

假設(shè)2.存在一個標(biāo)量η滿足 0＜η＜1,對于所有的i,j∈{1,···,M},如果aij[k]＞0,那么η≤aij[k]＜1.

假設(shè)3.系統(tǒng)任意節(jié)點(diǎn)狀態(tài)值xi∈RN受限于一個非空閉凸集,表示為Xi∈RN,令X=,則X?.

根據(jù)上述假設(shè),可以得出系統(tǒng)具備如下屬性:

引理3[38].當(dāng)系統(tǒng)的網(wǎng)絡(luò)通信圖為有向連通圖且鄰接矩陣為雙隨機(jī)矩陣時,并且滿足假設(shè)2 和3 時,那么對于系統(tǒng)中任意節(jié)點(diǎn)vi∈V在動態(tài)更新式 (1)下,有:

式中,{h[k]} 為一個定義的輔助序列,對于每個時刻k,有:

根據(jù)文獻(xiàn)[38],因鄰接矩陣為雙隨機(jī)矩陣,由式(7)～(8)可得:

將式(9)代入式(5),即:

引理4.當(dāng)系統(tǒng)的網(wǎng)絡(luò)通信圖為無向連通圖,并且滿足假設(shè)2 和3 時,那么由引理3 可知,對于系統(tǒng)中任意節(jié)點(diǎn)vi∈V在動態(tài)更新式(1)下,式(10)仍然成立.

證明.根據(jù)引理3 可知,在網(wǎng)絡(luò)通信圖為有向圖情況下,鄰接矩陣為雙隨機(jī)矩陣表明在該網(wǎng)絡(luò)通信圖中,所有節(jié)點(diǎn)通信鏈路滿足出度等于入度的條件,而在無向圖中,該條件同樣成立,因此在無向圖中,式(10)仍然成立. □

針對上述建立的網(wǎng)絡(luò)攻擊模型和相關(guān)的系統(tǒng)假設(shè),本文的研究目標(biāo)是,設(shè)計(jì)一種控制策略,使得:1)系統(tǒng)的輸出達(dá)到趨同并且趨同值是等于所有智能體初始輸出狀態(tài)的平均值;2)在整個趨同過程中保護(hù)每個節(jié)點(diǎn)的信息值隱私.

3 控制器設(shè)計(jì)

3.1 DoS 攻擊下網(wǎng)絡(luò)拓?fù)漪敯粜詶l件

首先對網(wǎng)絡(luò)通信鏈路圖的魯棒性條件進(jìn)行討論,以便于開展后續(xù)控制器的設(shè)計(jì)工作.

引理5.考慮多智能體系統(tǒng)(4),如果其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)滿足 (f+1)-魯棒的無向圖,那么系統(tǒng)在遭受f-本地有界DoS 攻擊下,即滿足假設(shè)1,其通信圖仍可保持連通性.

證明.根據(jù)假設(shè)1 可知,網(wǎng)絡(luò)中每個節(jié)點(diǎn)任意時刻至多有f條通信鏈路遭受DoS 攻擊破壞.再由引理1 可知,此時網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)至少是1-魯棒圖.最后由引理2 可知,系統(tǒng)網(wǎng)絡(luò)拓?fù)淙匀荒軌虮３诌B通性. □

3.2 DoS 攻擊下隱私保護(hù)控制

上述小節(jié)給出了系統(tǒng)遭受DoS 攻擊下通信網(wǎng)絡(luò)仍舊保持連通的條件,接下去本小節(jié)給出本文核心的控制器設(shè)計(jì)方法.

基于上述方法,本文給出具體的具備隱私保護(hù)的輸出均值趨同控制協(xié)議:

定義:

并且

式中,I為單位矩陣,L′[k] 為DoS 攻擊下的Laplacian 矩陣,其滿足:

圖2 5 個節(jié)點(diǎn)組成的示例圖Fig.2 Example of network with 5 nodes

式中,DoS 攻擊下系統(tǒng)對應(yīng)的鄰接矩陣為A′[k]=,滿足:

D′[k]為對應(yīng)于鄰接矩陣A′[k] 的度矩陣.

另外,在協(xié)議(11)中,y[k]=nCxα[k]為系統(tǒng)的狀態(tài)輸出方程,C為輸出方程的觀測矩陣,定義為:

式中,ei表示 RM中第i個規(guī)范基向量,該向量中第i個位置數(shù)為1,其他位置數(shù)為0.

注1.考慮實(shí)際環(huán)境中不同情況,當(dāng)n∈(0,1)時,系統(tǒng)輸出方程將會縮小狀態(tài)值進(jìn)行信息交互,適用于節(jié)點(diǎn)狀態(tài)值過大的情況;當(dāng)n=1 時,系統(tǒng)狀態(tài)輸出方程將會輸出原本節(jié)點(diǎn)需要進(jìn)行信息交互的狀態(tài)值;當(dāng)n∈(1,∞)時,系統(tǒng)狀態(tài)輸出方程將會放大狀態(tài)值進(jìn)行信息交互,適用于節(jié)點(diǎn)狀態(tài)值過小的情況.

值得注意的是,對于系統(tǒng)中的節(jié)點(diǎn),用于和鄰居節(jié)點(diǎn)進(jìn)行信息交互的狀態(tài)值xα[k] 是無法被鄰居節(jié)點(diǎn)獲取的,需通過系統(tǒng)狀態(tài)輸出方程傳遞給鄰居節(jié)點(diǎn).簡言之每個節(jié)點(diǎn)經(jīng)過信息交互接收到的鄰居節(jié)點(diǎn)的值并不是xα[k],而是經(jīng)過輸出方程輸出的y[k].

令A(yù)αβ[k]為每個節(jié)點(diǎn)vi,i=1,2,···,M的兩個子狀態(tài)之間的耦合權(quán)重ai,αβ[k]對應(yīng)的矩陣,定義為

為便于敘述,本文考慮節(jié)點(diǎn)的狀態(tài)值及輸出值為一維的情況,即令N=1,Q=1.從而,基于輸出狀態(tài)值的控制協(xié)議可表示為:

事實(shí)上,只要向量狀態(tài)中的每個標(biāo)量狀態(tài)元素都有獨(dú)立的耦合權(quán)重,本節(jié)所提出的控制方法所有分析及結(jié)果同樣適用于向量狀態(tài)的情況.

注2.與文獻(xiàn)[13,37]的更新式(1)相比,本文給出的協(xié)議(19)中,由于每個可見子狀態(tài)的鄰居數(shù)增加了一個 (不可見子狀態(tài)),因此ε的上限從1/Δ降低為 1/(Δ+1).

注3.相比于文獻(xiàn)[13,37]設(shè)計(jì)的更新式(1),本文在協(xié)議(19)的設(shè)計(jì)過程中考慮了系統(tǒng)通信鏈路中存在DoS 攻擊的情況,可確保在存在一定能力DoS 攻擊時,系統(tǒng)在協(xié)議(19)的約束下實(shí)現(xiàn)均值趨同.

3.3 輸出均值趨同分析

在給出本文主要結(jié)論前,需要下述引理知識.

引理6.考慮多智能體系統(tǒng)(4),如果其網(wǎng)絡(luò)通信圖是一個無向連通圖,則對于狀態(tài)分解后的網(wǎng)絡(luò),所有節(jié)點(diǎn)子狀態(tài)總和是固定不變的.

證明.由輸出方程yi[k]=,推導(dǎo)可得:

再將式(20)代入式(19),可得:

進(jìn)一步,由式(21),可得:

因此有:

將式(25)代入式(24),可得:

將式(26)代入式(23),可得:

由式(27)容易看出,對于進(jìn)行狀態(tài)分解后的網(wǎng)絡(luò),系統(tǒng)節(jié)點(diǎn)子狀態(tài)的和是固定不變的. □

下面給出本文的主要結(jié)論.

定理1.考慮DoS 攻擊下多智能體系統(tǒng)(4),在滿足假設(shè)1、2 和3 條件下,若其通信拓?fù)錆M足(f+1)-魯棒圖,且系統(tǒng)節(jié)點(diǎn)在所給的分布式協(xié)議(19)下進(jìn)行狀態(tài)更新,則系統(tǒng)可實(shí)現(xiàn)輸出值均值趨同.

證明.由于系統(tǒng)的通信圖是一個(f+1)-魯棒圖,根據(jù)引理5 可知,系統(tǒng)在滿足假設(shè)1 的DoS 攻擊下,其網(wǎng)絡(luò)圖仍能夠保持連通.顯然,經(jīng)過狀態(tài)分解之后的系統(tǒng)同樣能夠保證網(wǎng)絡(luò)圖的連通性.根據(jù)引理6,當(dāng)k=0 時,有:

隨后,根據(jù)引理4 和式(28)可知,系統(tǒng)可以實(shí)現(xiàn)均值趨同,即任意節(jié)點(diǎn)的子狀態(tài)都將收斂至:

注4.相比于文獻(xiàn)[13]設(shè)計(jì)的隱私保護(hù)狀態(tài)更新協(xié)議,本文在協(xié)議(19)的設(shè)計(jì)過程中進(jìn)一步考慮了在實(shí)際環(huán)境對測量條件等的限制導(dǎo)致難以獲得系統(tǒng)中節(jié)點(diǎn)的真實(shí)狀態(tài)值的情況,引入了節(jié)點(diǎn)輸出值的概念,通過觀測矩陣獲取的系統(tǒng)輸出y進(jìn)行協(xié)議(19)的設(shè)計(jì),可確保系統(tǒng)在該協(xié)議下實(shí)現(xiàn)輸出值均值趨同.

3.4 隱私保護(hù)分析

本節(jié)對趨同控制過程中單個節(jié)點(diǎn)信息的隱私保護(hù)進(jìn)行分析.本文考慮兩種隱私竊聽者:好奇竊聽者和外部竊聽者.好奇竊聽者是指一類能夠正確遵循所有控制協(xié)議步驟但具有好奇性的節(jié)點(diǎn),這類節(jié)點(diǎn)會收集接收到的數(shù)據(jù)并試圖猜測其他節(jié)點(diǎn)的狀態(tài)信息.而外部竊聽者是指一類了解整個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的外部節(jié)點(diǎn),并能夠竊聽某些內(nèi)部節(jié)點(diǎn)的通信鏈路從而獲得在該通信鏈路交互的信息.

一般來說,這里的外部竊聽者比好奇竊聽者更具有破壞力,因?yàn)橥獠扛`聽者會竊聽多個節(jié)點(diǎn)通信鏈路上交互的信息,而好奇竊聽者只能竊聽該節(jié)點(diǎn)通信鏈路交互的信息,但好奇竊聽者有一個外部竊聽者無法得知的信息,即該好奇竊聽者的初始狀態(tài)值.

定義4.如果竊聽者無法以任何精度保證估計(jì)節(jié)點(diǎn)狀態(tài)信息xi[0]的值,則稱節(jié)點(diǎn)vi得到了隱私保護(hù).

在給出結(jié)論前,需要用到下述引理.

引理7[13].在采用狀態(tài)分解方法的信息交互通信中,如果正常節(jié)點(diǎn)vj具有至少一個不與好奇竊聽節(jié)點(diǎn)vi直接相連的正常鄰居節(jié)點(diǎn)vm,則對于節(jié)點(diǎn)vj的任意初始狀態(tài),竊聽節(jié)點(diǎn)vi獲得的信息始終滿足=Ii.

引理8[13].在采用狀態(tài)分解方法的信息交互通信中,如果正常節(jié)點(diǎn)vj存在至少一個正常鄰居節(jié)點(diǎn)vm,其ajm[0] 的值對于外部竊聽者不可見,則節(jié)點(diǎn)vj的任意初始狀態(tài)的任何變化都可以完全通過對外部竊聽者不可見的ajm[0],aj,αβ[0]和am,αβ[0] 的變化來補(bǔ)償,因此外部竊聽者無法以任何精度保證估計(jì)正常節(jié)點(diǎn)vj的初始狀態(tài)值xj[0].

定理2.考慮DoS 攻擊下多智能體系統(tǒng)(4),對于系統(tǒng)中任意正常節(jié)點(diǎn)vj∈V,如果vj在所給的分布式協(xié)議(19)下進(jìn)行狀態(tài)更新,則在整個信息交互過程中,其狀態(tài)信息值xj[0] 具備隱私保護(hù).

證明.首先,分析系統(tǒng)存在好奇竊聽者vi的情況.對于任意正常節(jié)點(diǎn)vj,在所給的分布式協(xié)議(19)下,其初始狀態(tài)顯然滿足.再由引理6 可知,該條件下好奇竊聽者無法準(zhǔn)確估計(jì)節(jié)點(diǎn)vj的初始值,因此節(jié)點(diǎn)vj的狀態(tài)值xj[0] 得到了隱私保護(hù).

隨后,分析系統(tǒng)存在外部竊聽者的情況.在本文所提的分布式算法(19)下,外部竊聽者對于系統(tǒng)中任意正常節(jié)點(diǎn)vj∈V的其中之一子狀態(tài)不可見.根據(jù)引理7,vj初始狀態(tài)值的變化則對于外部竊聽者不可見,故外部竊聽者無法準(zhǔn)確估計(jì)正常節(jié)點(diǎn)vj的初始值,因此節(jié)點(diǎn)vj的狀態(tài)值xj[0]得到了隱私保護(hù). □

4 數(shù)值仿真

本節(jié)通過一些仿真算例來驗(yàn)證提出算法的有效性.同時與文獻(xiàn)[13]中的算法進(jìn)行了比較,以驗(yàn)證其優(yōu)勢.

考慮由5 個節(jié)點(diǎn)組成的無向圖網(wǎng)絡(luò),其通信拓?fù)淙鐖D3 所示.每個節(jié)點(diǎn)分別賦予初始狀態(tài)值x1[0]=3,x2[0]=6,x3[0]=9,x4[0]=12,x5[0]=15.

圖3 5 個節(jié)點(diǎn)組成的通信圖Fig.3 Network topology of multi-agent system with 5 nodes

首先考慮節(jié)點(diǎn)采用文獻(xiàn)[13]中的控制律更新狀態(tài),令ε=0.2,對應(yīng)的鄰接矩陣設(shè)置為:

值得注意的是,文獻(xiàn)[13]并未涉及輸出方程,因此不妨用xi表示節(jié)點(diǎn)vi的內(nèi)部狀態(tài),表示和鄰居節(jié)點(diǎn)進(jìn)行交互的狀態(tài)值.

考慮存在外部竊聽者試圖猜測節(jié)點(diǎn)v1的初始狀態(tài)值x1[0].可以構(gòu)造以下的外部竊聽者對節(jié)點(diǎn)v1的初始狀態(tài)值進(jìn)行估計(jì):

式中,z[k]表示竊聽者在k時刻獲知的觀測狀態(tài).顯然,外部竊聽者初始觀測狀態(tài)z[0]=.假設(shè)該外部竊聽者除了不可獲知節(jié)點(diǎn)v1與v2之間的權(quán)值a12[0]外,具備整個網(wǎng)絡(luò)其他的拓?fù)湫畔?此時給a12[0]隨機(jī)賦值0.7.

系統(tǒng)中各個節(jié)點(diǎn)的狀態(tài)變化軌跡如圖4 所示.圖中實(shí)線表示各節(jié)點(diǎn)α子狀態(tài)值變化曲線,點(diǎn)連線表示外部竊聽者對節(jié)點(diǎn)v1初始狀態(tài)值的猜測曲線,虛線表示節(jié)點(diǎn)v1的初始狀態(tài)值.可以看出,在無DoS攻擊影響下,文獻(xiàn)[13]中的控制方法可使系統(tǒng)準(zhǔn)確收斂到所有節(jié)點(diǎn)初始狀態(tài)的均值9,且外部竊聽者不能準(zhǔn)確推斷節(jié)點(diǎn)v1的初始狀態(tài)x1[0]=3.

圖4 控制方法下的各節(jié)點(diǎn)狀態(tài)軌跡[13]Fig.4 State trajectory of each node with control law[13]

然后,考慮網(wǎng)絡(luò)中存在DoS 攻擊的情況.不妨令f=2,相應(yīng)的,Adversory (P,k0)中的攻擊矩陣為:

令k0=5,即表示系統(tǒng)在第5 次狀態(tài)更新時,開始發(fā)生DoS 攻擊,并且持續(xù)發(fā)生至更新結(jié)束.

圖5 顯示的是在上述攻擊影響下基于文獻(xiàn)[13]中算法的系統(tǒng)各個節(jié)點(diǎn)的狀態(tài)變化曲線.圖5 中實(shí)線表示各節(jié)點(diǎn)α子狀態(tài)值變化曲線,點(diǎn)連線表示外部竊聽者對節(jié)點(diǎn)v1初始狀態(tài)值的猜測曲線,虛線表示節(jié)點(diǎn)v1的初始狀態(tài)值.從中可以明顯看到,在DoS攻擊下,盡管系統(tǒng)仍具備保護(hù)隱私的能力,但系統(tǒng)中各個節(jié)點(diǎn)的狀態(tài)則無法達(dá)成趨同.

圖5 DoS 攻擊影響下各節(jié)點(diǎn)狀態(tài)軌跡[13]Fig.5 State trajectory of each node with control law under DoS attacks[13]

考慮遭受同樣滿足Adversory (P,k0)的DoS攻擊,重新設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),使其滿足定理1 中的通信圖要求,即滿足3-魯棒圖.設(shè)計(jì)后的網(wǎng)絡(luò)通信圖如圖6 所示.

圖6 5 個節(jié)點(diǎn)組成的新通信圖Fig.6 New network topology of 5 nodes

同樣令ε=0.2,鄰接矩陣設(shè)置為:

同樣考慮存在一個外部竊聽者試圖猜測節(jié)點(diǎn)v1的初始狀態(tài)值.考慮此時傳輸?shù)氖禽敵鰻顟B(tài),令yi表示節(jié)點(diǎn)vi和鄰居節(jié)點(diǎn)進(jìn)行交互的信息值,輸出方程中觀測矩陣前系數(shù)n=1,構(gòu)造以下的外部竊聽者對節(jié)點(diǎn)v1的初始狀態(tài)值進(jìn)行猜測:

外部竊聽者初始觀測狀態(tài)z[0]=y1[0].根據(jù)定理2 中的條件,實(shí)例中假設(shè)外部竊聽者可以獲得除了節(jié)點(diǎn)v1和v2之間的權(quán)值a12[0]外的整個拓?fù)鋱D信息.同樣為a12[0]隨機(jī)賦值0.7.因此,根據(jù)定理1和定理2 可知,系統(tǒng)節(jié)點(diǎn)在滿足圖6 所給的通信圖下,在本文控制協(xié)議下可以達(dá)成均值趨同,且每個節(jié)點(diǎn)的狀態(tài)信息得到隱私保護(hù).

圖7 顯示的是在DoS 攻擊下系統(tǒng)節(jié)點(diǎn)在本文所提控制方法下的狀態(tài)變化軌跡.其中實(shí)線表示各節(jié)點(diǎn)輸出值變化曲線,點(diǎn)連線表示外部竊聽者對節(jié)點(diǎn)v1初始狀態(tài)值的猜測曲線,虛線表示節(jié)點(diǎn)v1的初始狀態(tài)值.由圖7 可以看出,系統(tǒng)在DoS 攻擊下仍然可以收斂到所有節(jié)點(diǎn)初始輸出狀態(tài)的平均值9,且外部竊聽者無法成功估計(jì)節(jié)點(diǎn)v1的初始值.仿真結(jié)果驗(yàn)證了本文方法的有效性.

圖7 DoS 攻擊下系統(tǒng)中各節(jié)點(diǎn)在本文所提算法下的輸出狀態(tài)軌跡Fig.7 State trajectory of each node with our proposed control law under DoS attacks

5 結(jié)束語

本文針對DoS 攻擊下無向多智能體網(wǎng)絡(luò)趨同問題,提出了一種具有節(jié)點(diǎn)信息隱私保護(hù)能力的趨同方法,實(shí)現(xiàn)了DoS 攻擊下系統(tǒng)輸出值的均值趨同.結(jié)合狀態(tài)分解方法,設(shè)計(jì)了節(jié)點(diǎn)輸出狀態(tài)的初始值隱私保護(hù)策略,保證所有節(jié)點(diǎn)信息在分布式算法鄰居間信息交互過程中不被竊聽者竊取.進(jìn)一步,借助r-魯棒圖概念,分析給出了系統(tǒng)在所建立DoS攻擊模型下的通信網(wǎng)絡(luò)拓?fù)湟?并設(shè)計(jì)了相應(yīng)的輸出均值趨同控制協(xié)議.最后,通過一組數(shù)值仿真實(shí)驗(yàn)驗(yàn)證了所提方法的有效性.

同時,本文目前研究設(shè)計(jì)的輸出均值趨同控制協(xié)議還存在著一定的不足值得在進(jìn)一步的研究中進(jìn)行改進(jìn).1)該輸出均值趨同協(xié)議目前僅適用于無向拓?fù)渚W(wǎng)絡(luò),而在現(xiàn)實(shí)生活中,有向圖更加普遍,因此接下來的研究將致力于針對有向拓?fù)淝闆r,對本文所設(shè)計(jì)的輸出均值趨同控制協(xié)議進(jìn)行進(jìn)一步的改進(jìn).2)本文為了抵御系統(tǒng)所遭受的DoS 攻擊,通過增加通信鏈路來增強(qiáng)網(wǎng)絡(luò)拓?fù)涞倪B通性,這一定程度上增加了通信的成本,因此尋找一個能夠解決通信成本大幅度增加的問題的方法是接下來值得研究的方向.