楊 珊，吳崔屏

（浙江理工大學(xué) 信息科學(xué)與工程學(xué)院，浙江 杭州 310018）

0 引言

信息物理系統(tǒng)（Cyber-physical System，CPS）是將計(jì)算機(jī)技術(shù)、無(wú)線通信與控制功能深度融合的綜合技術(shù)體系，引起了社會(huì)生活的巨大變革。作為自動(dòng)化領(lǐng)域的前沿研究方向，推動(dòng)CPS 技術(shù)應(yīng)用對(duì)于國(guó)家制造戰(zhàn)略的順利實(shí)施、提升國(guó)家科技實(shí)力具有重大的現(xiàn)實(shí)意義［1-2］。由于互聯(lián)網(wǎng)從設(shè)計(jì)之初并沒有系統(tǒng)考慮各種潛在的安全隱患，以致席卷全球病毒事件的頻繁發(fā)生，使得信息物理系統(tǒng)時(shí)時(shí)經(jīng)受著嚴(yán)峻的網(wǎng)絡(luò)信息安全考驗(yàn)。

由于當(dāng)前CPS 技術(shù)將物理進(jìn)程、通信過程與社會(huì)空間進(jìn)行了深度融合，使得網(wǎng)絡(luò)化程度不斷加深，傳統(tǒng)的信息物理系統(tǒng)的安全防御技術(shù)已不能滿足當(dāng)下網(wǎng)絡(luò)安全的需求。網(wǎng)絡(luò)信息安全的本質(zhì)是攻防對(duì)抗，如何設(shè)計(jì)合理且有效的防御機(jī)制，需要從系統(tǒng)融合的角度深入了解惡意攻擊者的攻擊空間和攻擊模型。由于物理系統(tǒng)面臨的攻擊種類繁多，比較常見的分類將網(wǎng)絡(luò)攻擊劃分為物理攻擊和通信攻擊，其中通信攻擊中的拒絕服務(wù)（Denial of Service，DoS）攻擊通過阻塞網(wǎng)絡(luò)傳輸通道、占用通信帶寬，使得系統(tǒng)可用資源被消耗殆盡，導(dǎo)致系統(tǒng)量測(cè)數(shù)據(jù)不能正常傳輸［3］。

隨著信息技術(shù)的發(fā)展，數(shù)據(jù)融合的概念被提出，多傳感器數(shù)據(jù)融合（Multi-Sensor Data Fusion，MSDF）逐步發(fā)展成一門信息綜合處理的專用技術(shù)。數(shù)據(jù)融合是指對(duì)多傳感器的感知數(shù)據(jù)進(jìn)行多維處理和合理控制，能夠更完善且精確地反映出檢測(cè)對(duì)象特征，從而獲得對(duì)被測(cè)對(duì)象的一致性描述［4］。與單傳感器相比，MSDF 在目標(biāo)識(shí)別、跟蹤與導(dǎo)航等方面極大地增強(qiáng)了量測(cè)信息的可信度，提升了受控系統(tǒng)的實(shí)用性與信息利用率，并對(duì)網(wǎng)絡(luò)資源進(jìn)行了整體優(yōu)化，不僅降低了網(wǎng)絡(luò)能源消耗，而且保障了網(wǎng)絡(luò)能量均衡。

從網(wǎng)絡(luò)安全的角度，無(wú)線通信網(wǎng)絡(luò)的脆弱性使得CPS易受到惡意攻擊干擾，重放攻擊、虛假數(shù)據(jù)注入攻擊以及DoS 攻擊不斷對(duì)系統(tǒng)產(chǎn)生安全威脅。文獻(xiàn)［5］研究了網(wǎng)絡(luò)系統(tǒng)中遠(yuǎn)程端的信息安全問題，傳感器根據(jù)輪詢協(xié)議向遠(yuǎn)程估計(jì)器發(fā)送量測(cè)數(shù)據(jù)，并基于誤差協(xié)方差演化提出最優(yōu)攻擊分配策略的充分條件；文獻(xiàn)［6］針對(duì)DoS 攻擊的分布式降維融合估計(jì)問題，基于新的攻擊和補(bǔ)償模型，為被尋址的CPS 設(shè)計(jì)了一種遞歸分布式卡爾曼融合估計(jì)器；文獻(xiàn)［7］研究了DoS 攻擊下具有多傳輸通道的觸發(fā)分布式網(wǎng)絡(luò)的安全估計(jì)問題；文獻(xiàn)［8］在攻擊者發(fā)動(dòng)DoS 攻擊阻塞NCSS 信道過程中，考慮攻擊者在能量限制及隱蔽性的約束條件下不能在任意時(shí)間點(diǎn)發(fā)動(dòng)高強(qiáng)度攻擊，針對(duì)攻擊的最優(yōu)調(diào)度問題進(jìn)行了分析；文獻(xiàn)［9］針對(duì)動(dòng)態(tài)模型未知的信息系統(tǒng)在DoS攻擊下的安全控制問題，提出無(wú)模型H∞控制方法，利用博弈論將H∞控制轉(zhuǎn)化為二人零和博弈問題；文獻(xiàn)［10］從攻擊者角度研究多傳感器系統(tǒng)安全問題，以數(shù)學(xué)期望的形式推出子系統(tǒng)誤差協(xié)方差表達(dá)式，并量化其與系統(tǒng)的融合誤差協(xié)方差關(guān)系。

從數(shù)據(jù)融合的角度，文獻(xiàn)［11］、［12］針對(duì)傳感系統(tǒng)獲取的量測(cè)數(shù)據(jù)在傳輸過程中受到一定程度的干擾問題，提出將多種融合算法與卡爾曼濾波技術(shù)結(jié)合的數(shù)據(jù)融合方法；文獻(xiàn)［13］在虛假數(shù)據(jù)注入攻擊模型下，針對(duì)CPS 融合系統(tǒng)的穩(wěn)定性進(jìn)行了分析；文獻(xiàn)［14］在經(jīng)典的多模型交互算法基礎(chǔ)上，提出一種解決隨機(jī)線性混合系統(tǒng)狀態(tài)估計(jì)問題的分布式方法；文獻(xiàn)［15］對(duì)于無(wú)線傳感網(wǎng)絡(luò)系統(tǒng)動(dòng)態(tài)估計(jì)的分布式濾波器，針對(duì)惡意網(wǎng)絡(luò)攻擊，提出基于信任的分布式處理框架，允許相鄰節(jié)點(diǎn)交換信息，并通過真值發(fā)現(xiàn)算法找出一系列可信節(jié)點(diǎn)。

本文聚焦于CPS 中拒絕服務(wù)攻擊的安全控制問題，基于分布式網(wǎng)絡(luò)系統(tǒng)的處理框架，攻擊者針對(duì)傳感器與遠(yuǎn)程估計(jì)器的無(wú)線傳輸通道發(fā)起惡意攻擊。本文貢獻(xiàn)如下：①對(duì)于無(wú)線傳輸通道，通過伯努利分布模型描述傳輸系統(tǒng)中存在的量測(cè)數(shù)據(jù)丟失特性；②對(duì)于分布式網(wǎng)絡(luò)系統(tǒng)存在的DoS 攻擊進(jìn)行安全狀態(tài)估計(jì)和攻擊檢測(cè)；③通過數(shù)值仿真驗(yàn)證分布式最優(yōu)融合估計(jì)與檢測(cè)算法的有效性。

1 問題描述

典型的信息物理系統(tǒng)包括網(wǎng)絡(luò)組件與物理組件，當(dāng)系統(tǒng)狀態(tài)在一定范圍內(nèi)變化時(shí)，信息系統(tǒng)可以近似為線性系統(tǒng)。當(dāng)系統(tǒng)處于惡意攻擊狀態(tài)時(shí)，其攻擊狀態(tài)結(jié)構(gòu)如圖1所示。在系統(tǒng)正常運(yùn)行時(shí)，傳感器測(cè)量受控系統(tǒng)設(shè)備得到量測(cè)值，量測(cè)值通過無(wú)線不可靠通道傳輸給遠(yuǎn)程端進(jìn)行最優(yōu)狀態(tài)估計(jì)。由于無(wú)線傳輸通道的開放性和共享性，使得數(shù)據(jù)在傳輸過程中易受到惡意攻擊干擾。

Fig.1 CPS system under attack圖1 攻擊狀態(tài)CPS系統(tǒng)

將受控目標(biāo)CPS 抽象成離散線性時(shí)不變系統(tǒng)，多傳感器網(wǎng)絡(luò)控制系統(tǒng)模型如下：

其中，i=1，2，....，N。針對(duì)分布式網(wǎng)絡(luò)系統(tǒng)，在基于伯努利分布模型的不可靠無(wú)線通道量測(cè)傳輸中，定義=Pr(=1) ∈[0，1]為量測(cè)數(shù)據(jù)到達(dá)率。由于攻擊會(huì)造成量測(cè)數(shù)據(jù)丟失，當(dāng)系統(tǒng)處于不穩(wěn)定的情況下，卡爾曼濾波器無(wú)法進(jìn)行正常的狀態(tài)預(yù)測(cè)估計(jì)，因此考慮DoS 攻擊狀態(tài)下遠(yuǎn)程估計(jì)器接收的量測(cè)值為傳感器量測(cè)值加上前一時(shí)刻量測(cè)值的結(jié)果，以保證系統(tǒng)的正常、穩(wěn)定運(yùn)行。現(xiàn)定義DoS 攻擊下分布式網(wǎng)絡(luò)系統(tǒng)量測(cè)數(shù)據(jù)傳輸丟失的補(bǔ)償模型為：

2 攻擊識(shí)別檢測(cè)方案

本文考慮的是分布式傳感網(wǎng)絡(luò)的拒絕服務(wù)攻擊，信息系統(tǒng)在受到攻擊后的表現(xiàn)形式為不可靠通道量測(cè)數(shù)據(jù)丟失，造成遠(yuǎn)程狀態(tài)估計(jì)器無(wú)法正常工作。為了降低系統(tǒng)噪聲和數(shù)據(jù)丟失對(duì)系統(tǒng)運(yùn)行的影響，通過分布式卡爾曼濾波和故障檢測(cè)器進(jìn)行系統(tǒng)數(shù)據(jù)融合與安全狀態(tài)檢測(cè)，得到系統(tǒng)的最優(yōu)狀態(tài)估計(jì)量。

2.1 局部狀態(tài)估計(jì)器

假設(shè)系統(tǒng)處于攻擊狀態(tài)，結(jié)合卡爾曼濾波理論，推導(dǎo)出信息濾波器的去噪處理過程?；诓Ｐ?，DoS 攻擊子節(jié)點(diǎn)i的狀態(tài)估值、誤差值以及誤差協(xié)方差時(shí)間更新如下：

在時(shí)間更新的基礎(chǔ)上，調(diào)整DoS 攻擊狀態(tài)下子節(jié)點(diǎn)的最優(yōu)增益為：

由式（8）、式（9）可知，處于攻擊狀態(tài)時(shí)，系統(tǒng)狀態(tài)估值和誤差協(xié)方差發(fā)生了改變［16］。

2.2 分布式網(wǎng)絡(luò)數(shù)據(jù)融合

考慮到單傳感器無(wú)法滿足實(shí)際應(yīng)用需求，因此需要擴(kuò)展傳感網(wǎng)絡(luò)規(guī)模，以克服單傳感器系統(tǒng)時(shí)間和空間的局限性。其中，傳感系統(tǒng)通過多個(gè)不可靠無(wú)線信道將局部量測(cè)值發(fā)送到遠(yuǎn)程估計(jì)器，然后通過融合中心進(jìn)行融合估計(jì)。基于分布式網(wǎng)絡(luò)系統(tǒng)的融合狀態(tài)估值如下：

本文通過最優(yōu)融合算法進(jìn)行系統(tǒng)狀態(tài)估計(jì)，其中最優(yōu)權(quán)系數(shù)及融合誤差方差陣如下：

2.3 攻擊檢測(cè)判決規(guī)則

統(tǒng)計(jì)分析實(shí)際觀測(cè)值與理論估值之間的偏差程度，作為估計(jì)器輸出用于攻擊檢測(cè)。系統(tǒng)在遠(yuǎn)程估計(jì)端配備KL檢測(cè)器來(lái)判斷系統(tǒng)是否遭受DoS 攻擊，并采用如下指標(biāo)作為系統(tǒng)判斷規(guī)則對(duì)結(jié)果進(jìn)行評(píng)價(jià)：

其中，m為隨機(jī)序列維度，δ為系統(tǒng)攻擊檢測(cè)閾值。在穩(wěn)定運(yùn)行的系統(tǒng)中，隨機(jī)序列{pk}及{qk}滿足零均值的高斯分布，Σp和Σq為隨機(jī)序列協(xié)方差矩陣?；诜植际骄W(wǎng)絡(luò)系統(tǒng)，通過遠(yuǎn)程端獲得的新息序列和新息序列的KL 散度判斷系統(tǒng)是否處于攻擊狀態(tài)。若兩者的KL 散度為δ，系統(tǒng)將狀態(tài)置為H0；當(dāng)系統(tǒng)遭受DoS 攻擊，并且成功檢測(cè)出異常時(shí)，檢測(cè)器將系統(tǒng)狀態(tài)置為H1，并發(fā)送報(bào)警信號(hào)。具體檢測(cè)算法如下：

算法1信息系統(tǒng)DoS攻擊檢測(cè)算法

3 仿真驗(yàn)證

為了驗(yàn)證分布式網(wǎng)絡(luò)框架下多傳感器融合濾波估計(jì)和異常檢測(cè)的有效性，以分析一定區(qū)域內(nèi)的動(dòng)態(tài)目標(biāo)追蹤問題，通過MATLAB 對(duì)穩(wěn)定系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊仿真分析，并對(duì)該方法與其它檢測(cè)方法的檢測(cè)性能進(jìn)行對(duì)比。假設(shè)目標(biāo)追蹤系統(tǒng)包含3 個(gè)傳感器，基于式（1）、式（2）的系統(tǒng)模型，相關(guān)參數(shù)變量取值為：

其中，基于過程噪聲與量測(cè)噪聲的協(xié)方差矩陣為：

當(dāng)動(dòng)態(tài)目標(biāo)追蹤系統(tǒng)不處于攻擊狀態(tài)時(shí)，量測(cè)數(shù)據(jù)只發(fā)生自然丟失。當(dāng)追蹤系統(tǒng)遭受惡意攻擊后，系統(tǒng)量測(cè)數(shù)據(jù)處于“1”狀態(tài)表示正常傳輸，“0”狀態(tài)表示數(shù)據(jù)傳輸丟失。如圖2 所示，追蹤系統(tǒng)不可靠信道的量測(cè)數(shù)據(jù)自然丟失與遭受DoS 攻擊時(shí)發(fā)生的量測(cè)數(shù)據(jù)傳輸丟失具有明顯差異（彩圖掃OSID 碼可見）。

統(tǒng)計(jì)網(wǎng)絡(luò)系統(tǒng)攻擊前后實(shí)際觀測(cè)值與理論估計(jì)值之間的偏差程度，作為估計(jì)器輸出判斷系統(tǒng)的檢測(cè)狀態(tài)。CPS 系統(tǒng)在遠(yuǎn)程估計(jì)端配備KL 散度檢測(cè)器來(lái)檢測(cè)分布式多傳感器系統(tǒng)是否遭受攻擊［17］。由圖3 可知，在系統(tǒng)運(yùn)行[50，500]-1時(shí)間段內(nèi)，Ks，1=126，352，386，484，Ks，2=193，265，422，Ks，3=124，141，172，288，網(wǎng)絡(luò)系統(tǒng)處于攻擊狀態(tài)。

Fig.3 Multi-sensor KL divergence detection圖3 多傳感器KL散度檢測(cè)

目標(biāo)追蹤系統(tǒng)在未受攻擊的狀態(tài)下，經(jīng)分布式融合濾波估計(jì)的仿真如圖4 所示。系統(tǒng)真實(shí)狀態(tài)響應(yīng)與濾波融合的最優(yōu)狀態(tài)估值近似重合，由圖可知系統(tǒng)通過最優(yōu)融合算法，能在穩(wěn)定運(yùn)行時(shí)進(jìn)行可靠的狀態(tài)估計(jì)。

Fig.4 Optimal fusion state estimation圖4 最優(yōu)融合狀態(tài)估計(jì)

隨著網(wǎng)絡(luò)系統(tǒng)的不斷運(yùn)行，采用攻擊狀態(tài)下單傳感系統(tǒng)的檢測(cè)函數(shù)［18］，假設(shè)在系統(tǒng)檢測(cè)窗口J=50 的情況下，分布式融合系統(tǒng)實(shí)際觀測(cè)值與理論估計(jì)值之間的量測(cè)殘差序列如圖5所示。

Fig.5 Fusion system residual sequence圖5 融合系統(tǒng)殘差序列

為了進(jìn)一步考慮分布式框架下融合估計(jì)算法與異常檢測(cè)算法相結(jié)合的檢測(cè)方案性能，在系統(tǒng)量測(cè)殘差分布基礎(chǔ)上，對(duì)系統(tǒng)分別進(jìn)行卡方檢測(cè)和歐式檢測(cè)仿真對(duì)比，如圖6、圖7所示。

Fig.6 Chi-square detection of fusion system圖6 融合系統(tǒng)卡方檢測(cè)

Fig.7 Fusion system Euclidean detection圖7 融合系統(tǒng)歐氏檢測(cè)

基于單傳感器系統(tǒng)檢測(cè)函數(shù)，在量測(cè)數(shù)據(jù)傳輸總丟包率0.05 的基礎(chǔ)上，對(duì)分布式網(wǎng)絡(luò)系統(tǒng)檢測(cè)窗口J=20、J=50、J=100 的不可靠通道進(jìn)行多次數(shù)據(jù)統(tǒng)計(jì)分析?？ǚ綑z測(cè)與歐式檢測(cè)對(duì)比如表2所示。

Table 2 Comparison of chi-square test and European test表2 卡方檢測(cè)與歐式檢測(cè)對(duì)比

基于分布式傳感網(wǎng)絡(luò)系統(tǒng)，在數(shù)據(jù)到達(dá)率相同的情況下，隨著檢測(cè)窗口增大，檢測(cè)器的檢測(cè)率均有所下降，且卡方檢測(cè)的下降速度更快。相比之下，歐式檢測(cè)能更好地用于分布式網(wǎng)絡(luò)框架下的拒絕服務(wù)攻擊檢測(cè)。

4 結(jié)語(yǔ)

本文研究了分布式框架下多傳感網(wǎng)絡(luò)系統(tǒng)在遭受拒絕服務(wù)攻擊時(shí)的安全狀態(tài)估計(jì)問題。在單傳感網(wǎng)絡(luò)攻擊檢測(cè)模型基礎(chǔ)上，考慮了融合估計(jì)算法與惡意攻擊相結(jié)合的攻擊檢測(cè)模型，并對(duì)分布式網(wǎng)絡(luò)系統(tǒng)進(jìn)行卡方和歐式檢測(cè)仿真對(duì)比。

CPS 技術(shù)的蓬勃發(fā)展與國(guó)家安全、社會(huì)穩(wěn)定和人民福祉緊密相關(guān)，隨著通信網(wǎng)絡(luò)日益開放共享，網(wǎng)絡(luò)安全問題變得愈發(fā)重要。惡意DoS 攻擊作為網(wǎng)絡(luò)系統(tǒng)中易于實(shí)現(xiàn)的攻擊形式，在馬爾可夫模型、伯努利分布模型等研究中，能量受限及周期性等特征也應(yīng)該逐步成為該領(lǐng)域關(guān)注的研究方向。與此同時(shí)，針對(duì)多傳感器數(shù)據(jù)融合，基于分布式的一致性濾波和貝葉斯估計(jì)等也應(yīng)獲得更廣泛的關(guān)注。