工業(yè)信息物理系統(tǒng)數(shù)據(jù)注入攻擊的事件觸發(fā)彈性控制

陳 峰孫子文

(1.江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院,江蘇無錫 214122;2.物聯(lián)網(wǎng)技術(shù)應(yīng)用教育部工程研究中心,江蘇無錫 214122)

1 引言

信息物理系統(tǒng)(cyber-physical-systems,CPS)是計(jì)算、通信和物理過程高度集成的系統(tǒng),通過在物理設(shè)備中嵌入感知、通信和計(jì)算能力,實(shí)現(xiàn)物理過程的實(shí)時(shí)控制[1].CPS 與網(wǎng)絡(luò)控制系統(tǒng)(networked control systems,NCS)不同,物理設(shè)備除了傳遞信息之外,協(xié)調(diào)能力,計(jì)算能力更加強(qiáng)大,從而能實(shí)現(xiàn)系統(tǒng)自治.近年來,隨著計(jì)算機(jī)和通信技術(shù)的快速發(fā)展,利用其信息空間與物理現(xiàn)實(shí)深度融合的特性,CPS已經(jīng)廣泛應(yīng)用于各種工業(yè)環(huán)境,形成工業(yè)信息物理系統(tǒng)(industrial-cyber-physical-systems,ICPS),如智能電網(wǎng)、配水網(wǎng)絡(luò)系統(tǒng)和現(xiàn)代化工廠等,成為支撐和引領(lǐng)新一輪產(chǎn)業(yè)變革的核心技術(shù)[2].信息系統(tǒng)和物理設(shè)備通過無線網(wǎng)絡(luò)結(jié)合使得ICPS具有低成本、自組織、易部署、易維護(hù)等優(yōu)點(diǎn).但工業(yè)無線通信網(wǎng)絡(luò)的脆弱性導(dǎo)致ICPS易遭受惡意網(wǎng)絡(luò)攻擊[3],例如拒絕服務(wù)攻擊(denial-ofservice,DoS)、數(shù)據(jù)重放攻擊(replay data attack)、數(shù)據(jù)注入攻擊(data injection attack).2010年,伊朗核電項(xiàng)目遭到“StuxNet”病毒攻擊,導(dǎo)致部分核電設(shè)施遭到嚴(yán)重破壞[4];2015年,“BlackEnergy”病毒致使烏克蘭電網(wǎng)供電系統(tǒng)中斷,后續(xù)變種病毒又攻擊了烏克蘭一家礦業(yè)公司和鐵路運(yùn)營(yíng)系統(tǒng)[5].這些事件表明,ICPS面對(duì)惡意網(wǎng)絡(luò)攻擊時(shí)出現(xiàn)大量問題,生產(chǎn)設(shè)備遭到破壞,經(jīng)濟(jì)發(fā)展受到影響,甚至引發(fā)大型工業(yè)事故、危及人的生命安全等嚴(yán)重的后果.因此,對(duì)網(wǎng)絡(luò)攻擊下的ICPS進(jìn)行分析,并設(shè)計(jì)方法保證控制系統(tǒng)的安全性、彈性等性能是非常重要且有意義的.

在各種網(wǎng)絡(luò)攻擊中,數(shù)據(jù)注入攻擊是最具有破壞性的,攻擊者通過劫持物理設(shè)備(傳感器、控制器等)或者無線通信信道來注入錯(cuò)誤的或者無用的但存在安全隱患的數(shù)據(jù),破壞數(shù)據(jù)的完整性,最終導(dǎo)致系統(tǒng)性能下降甚至崩潰[6-7].目前,數(shù)據(jù)注入攻擊下的ICPS安全問題研究主要專注于攻擊方的最優(yōu)攻擊策略和防御方的攻擊檢測(cè)以及安全控制策略.對(duì)于攻擊方最優(yōu)攻擊策略研究,文獻(xiàn)[8]將稀疏最優(yōu)攻擊向量求解模型轉(zhuǎn)化成混合整數(shù)線性規(guī)劃問題,再使用數(shù)據(jù)規(guī)劃優(yōu)化器Gurobi快速求解得到攻擊策略.文獻(xiàn)[9]則以降低數(shù)據(jù)注入攻擊可檢測(cè)性與增加控制的代價(jià)為攻擊向量的優(yōu)化目標(biāo),提出Stealthy control signal attacks 攻擊模型.對(duì)于數(shù)據(jù)注入攻擊的入侵檢測(cè)主要采用異常信號(hào)方法進(jìn)行檢測(cè),例如加權(quán)最小平方檢測(cè)[10-12]、基于卡爾曼濾波器的χ2檢測(cè)[13-15]和基于二元假設(shè)的貝葉斯檢測(cè)[16-18],前2種方法均利用觀測(cè)值計(jì)算殘差,然后通過與給定的閾值比較來判定是否受到攻擊.對(duì)于數(shù)據(jù)注入攻擊防御控制策略的研究,零星文獻(xiàn)從魯棒控制[19]、最優(yōu)控制[20]等角度進(jìn)行研究,而彈性控制策略成為許多學(xué)者專注研究的熱點(diǎn)問題,通過研究和設(shè)計(jì)控制系統(tǒng)結(jié)構(gòu)與算法實(shí)現(xiàn)ICPS的“彈性”最大化[21].彈性控制能實(shí)現(xiàn)系統(tǒng)在受到意想不到的惡意攻擊和罕見的極端干擾的情況下,能夠通過快速改變結(jié)構(gòu)和參數(shù),在性能稍有退化的一定安全等級(jí)下運(yùn)行,同時(shí)一旦攻擊和干擾停止能夠迅速恢復(fù)[22].文獻(xiàn)[23]通過修改系統(tǒng)矩陣,便于系統(tǒng)能夠快速適應(yīng)外界干擾的影響,能在一定程度上抵御大小固定數(shù)據(jù)注入攻擊.假設(shè)攻擊者只攻擊固定傳感器或執(zhí)行器,文獻(xiàn)[24]通過廣義似然檢測(cè)器提供的有效信息在線更新卡爾曼濾波器,設(shè)計(jì)了一種能夠在攻擊結(jié)束后快速恢復(fù)閉環(huán)系統(tǒng)狀態(tài)的彈性線性二次高斯型控制器.文獻(xiàn)[25]提出了一種改進(jìn)的自適應(yīng)彈性控制方案來緩解同樣只攻擊固定傳感器和執(zhí)行器的注入攻擊,應(yīng)用自適應(yīng)邊界估計(jì)機(jī)制和Nussbam函數(shù)具有更快的增長(zhǎng)率,實(shí)施兩步反推法來減輕未知攻擊的影響,然后通過應(yīng)用指數(shù)衰減的勢(shì)壘Lyapunov函數(shù)來約束系統(tǒng)變量.然而,上述文獻(xiàn)在研究數(shù)據(jù)注入攻擊時(shí)都沒有考慮工業(yè)實(shí)際環(huán)境中存在的干擾和噪聲,并且對(duì)攻擊者的攻擊模型做了很多假設(shè),加了很多約束條件,不符合真實(shí)的攻擊場(chǎng)景.

另一方面,由于ICPS在高溫、高壓和天氣變化等工業(yè)惡劣條件下,通信帶寬、計(jì)算和電池設(shè)備能源資源有限,使得在研究ICPS網(wǎng)絡(luò)安全問題時(shí)考慮無線通信資源的合理使用具有重要意義.事件觸發(fā)(eventtriggered)方案在ICPS中能有效降低網(wǎng)絡(luò)資源的使用率,文獻(xiàn)[26]提出針對(duì)線性離散系統(tǒng)的周期事件觸發(fā)控制策略,分別構(gòu)建基于事件觸發(fā)的受擾動(dòng)和分段線性離散系統(tǒng)框架,推導(dǎo)出實(shí)現(xiàn)系統(tǒng)閉環(huán)漸近穩(wěn)定性和?2增益性能的線性矩陣不等式條件,然而文獻(xiàn)[26]并沒有考慮網(wǎng)絡(luò)中存在的惡意攻擊.隨后,文獻(xiàn)[27]首先進(jìn)行了事件觸發(fā)機(jī)制下DoS攻擊的控制策略研究,找到能約束DoS攻擊的最佳事件觸發(fā)間隔和頻率.文獻(xiàn)[28]針對(duì)DoS攻擊建立周期事件觸發(fā)控制框架,并設(shè)計(jì)彈性控制策略來緩解DoS攻擊.文獻(xiàn)[29]則將DoS攻擊問題轉(zhuǎn)化為事件觸發(fā)機(jī)制下的有界丟包問題,控制端利用最近一次接收的信息進(jìn)行控制序列預(yù)測(cè),實(shí)現(xiàn)對(duì)DoS的有效補(bǔ)償.大量學(xué)者對(duì)DoS攻擊的事件觸發(fā)控制策略進(jìn)行了充分的研究,然而極少有針對(duì)數(shù)據(jù)注入攻擊進(jìn)行研究的.

本文進(jìn)一步深入研究存在干擾和噪聲的ICPS中,傳感器至控制器任意信道會(huì)遭遇數(shù)據(jù)注入攻擊時(shí)的事件觸發(fā)彈性控制策略.首先,在文獻(xiàn)[26]受擾動(dòng)框架基礎(chǔ)上設(shè)計(jì)H∞觀測(cè)器約束干擾和噪聲,采用H∞觀測(cè)器、預(yù)測(cè)器和事件觸發(fā)器建立基于事件觸發(fā)的ICPS模型來降低通信資源的使用率,并分析觸發(fā)參數(shù)與系統(tǒng)性能之間的關(guān)系.然后,構(gòu)造基于改進(jìn)卡爾曼濾波器的攻擊補(bǔ)償模塊進(jìn)行攻擊補(bǔ)償,利用攻擊策略矩陣重構(gòu)攻擊補(bǔ)償模塊的參數(shù),實(shí)現(xiàn)對(duì)數(shù)據(jù)注入攻擊的彈性控制.

2 基于事件觸發(fā)的ICPS模型分析

2.1 基于事件觸發(fā)的ICPS模型

位于愛爾蘭的科克理工學(xué)院的溫度調(diào)節(jié)系統(tǒng)是一個(gè)典型的微型ICPS系統(tǒng)[30],如圖1所示.該系統(tǒng)包括被控對(duì)象、傳感器子系統(tǒng)、控制器子系統(tǒng)、執(zhí)行器子系統(tǒng)和無線通信網(wǎng)絡(luò).被控對(duì)象為建筑樓的各個(gè)樓層,傳感器子系統(tǒng)是由多個(gè)無線傳感器組成用于監(jiān)視建筑各樓層溫度的變化情況,執(zhí)行器子系統(tǒng)由微電網(wǎng)、熱電聯(lián)產(chǎn)設(shè)備(thermal combined heat and power unit,CHP)、鍋爐和調(diào)節(jié)閥組成用于執(zhí)行遠(yuǎn)程控制室發(fā)出的控制指令來調(diào)節(jié)各樓層溫度為恒定值.

圖1 微型ICPS系統(tǒng)結(jié)構(gòu)圖Fig.1 Micro ICPS structure diagram

ICPS的網(wǎng)絡(luò)通信資源是有限的,因此需要減少數(shù)據(jù)通過無線通信網(wǎng)絡(luò)的傳輸次數(shù),但減少數(shù)據(jù)的傳輸次數(shù)會(huì)使得信息更新不及時(shí),導(dǎo)致系統(tǒng)不穩(wěn)定.為有效減少數(shù)據(jù)通過無線通信網(wǎng)絡(luò)的傳輸次數(shù),并保證系統(tǒng)期望的閉環(huán)穩(wěn)定,本文針對(duì)傳感器子系統(tǒng)到控制器子系統(tǒng)之間通信信道的數(shù)據(jù)傳輸問題,構(gòu)建了如圖2所示的基于事件觸發(fā)的ICPS控制模型.

基于事件觸發(fā)的ICPS控制模型主要包括被控對(duì)象、控制器子系統(tǒng)、傳感器子系統(tǒng)和執(zhí)行器子系統(tǒng)等子系統(tǒng)包括動(dòng)態(tài)估計(jì)器和反饋控制器,動(dòng)態(tài)估計(jì)器基于被控對(duì)象模型對(duì)系統(tǒng)狀態(tài)進(jìn)行動(dòng)態(tài)估計(jì),反饋控制器對(duì)系統(tǒng)進(jìn)行反饋校正.傳感器子系統(tǒng)是具有事件觸發(fā)控制策略的智能傳感器系統(tǒng),包括H∞觀測(cè)器、預(yù)測(cè)器和事件觸發(fā)器,觀測(cè)器根據(jù)被控對(duì)象輸出測(cè)量值對(duì)系統(tǒng)狀態(tài)進(jìn)行觀測(cè)得到觀測(cè)器狀態(tài),預(yù)測(cè)器對(duì)動(dòng)態(tài)估計(jì)器的狀態(tài)進(jìn)行跟蹤得到預(yù)測(cè)器狀態(tài),事件觸發(fā)器根據(jù)預(yù)測(cè)器狀態(tài)和觀測(cè)器狀態(tài)進(jìn)行狀態(tài)信息計(jì)算來判斷是否發(fā)送最新觀測(cè)器狀態(tài)值.

圖2 基于事件觸發(fā)的ICPS控制模型Fig.2 Event-triggered ICPS control model

被控對(duì)象可描述為離散線性時(shí)不變系統(tǒng)(1):

其中:tk=kh為采樣時(shí)刻,h為采樣周期,k ∈N,記{tk}為采樣時(shí)刻序列;x(tk)∈Rnx,u(tk)∈Rnu,y(tk)∈Rny,ω(tk)∈Rnx和υ(tk)∈Rny分別代表系統(tǒng)的狀態(tài)向量、控制向量、輸出向量、系統(tǒng)干擾和測(cè)量噪聲;nx,ny,nu分別為狀態(tài)向量、輸出向量、控制向量的維度;ω(tk),υ(tk)是有界的,滿足‖ω(tk)‖≤κω,‖υ(tk)‖≤κυ,κω和κυ是已知的常量;A,B和C分別為狀態(tài)矩陣、控制矩陣和輸出矩陣.

傳感器子系統(tǒng)中開關(guān)Lock的閉合狀態(tài)決定了觀測(cè)器是否輸出值到預(yù)測(cè)器和控制器系統(tǒng)中的動(dòng)態(tài)估計(jì)器,Lock閉合取決于事件觸發(fā)器中的控制策略和觀測(cè)器狀態(tài)值的傳輸時(shí)間間隔:

1) Lock閉合控制策略1.由事件觸發(fā)器的控制策略控制.當(dāng)觀測(cè)器狀態(tài)xs(tk)顯著偏離預(yù)測(cè)器狀態(tài)xp(tk)時(shí),事件觸發(fā)并觸發(fā)Lock閉合,觀測(cè)器將最新觀測(cè)器狀態(tài)發(fā)送到預(yù)測(cè)器和動(dòng)態(tài)估計(jì)器,及時(shí)對(duì)系統(tǒng)進(jìn)行反饋校正;否則,Lock保持打開,即表示系統(tǒng)處于穩(wěn)定狀態(tài),無需向預(yù)測(cè)器和動(dòng)態(tài)估計(jì)器發(fā)送最新觀測(cè)器狀態(tài).

2) Lock閉合控制策略2.由觀測(cè)器狀態(tài)值的傳輸時(shí)間間隔控制.設(shè)Lock閉合傳輸觀測(cè)器狀態(tài)xs(tk)的時(shí)刻為zm,m ∈N,且有{zm}?{tk}.記2個(gè)相鄰傳輸時(shí)間間隔?m=zm+1-zm.為避免事件連續(xù)觸發(fā)和事件長(zhǎng)時(shí)間未觸發(fā),觀測(cè)器狀態(tài)xs(tk)的傳輸時(shí)間間隔則要滿足分別為傳輸時(shí)間間隔的下界和上界.當(dāng)事件在傳輸時(shí)間間隔小于下界或達(dá)到上界時(shí)未觸發(fā),則Lock也將閉合,觀測(cè)器將發(fā)送數(shù)據(jù)到預(yù)測(cè)器和動(dòng)態(tài)估計(jì)器.

根據(jù)Lock閉合控制策略,則描述傳感器子系統(tǒng)中的事件觸發(fā)器為

其中:σ為事件觸發(fā)參數(shù)且σ >0,σ越大,事件觸發(fā)次數(shù)越少,但系統(tǒng)穩(wěn)定性逐漸降低;ρ=λ‖C‖(κω+κυ)+κυ為觸發(fā)常量,κω和κυ為干擾和噪聲的邊界,κω和κυ越大,系統(tǒng)受到的外界干擾越強(qiáng),穩(wěn)定性越容易遭到破壞,λ為觀測(cè)器的H∞性能指標(biāo),λ越小,系統(tǒng)魯棒性越好;ε也為觸發(fā)參數(shù)且ε>0,ε與觀測(cè)器狀態(tài)‖xs(tk)‖的傳輸時(shí)間間隔下界成正相關(guān)性,ε越大,最小傳輸時(shí)間間隔越大;‖xs(tk)-xp(tk)‖和‖xs(tk)‖為無單位范數(shù);ε和ρ之積為無單位常量.

控制器子系統(tǒng)中的動(dòng)態(tài)估計(jì)器可描述為

其中xc(tk)為tk時(shí)刻的估計(jì)器狀態(tài).當(dāng)事件未觸發(fā)時(shí),即Lock打開,估計(jì)器當(dāng)前時(shí)刻的狀態(tài)xc(tk)為其前一時(shí)刻的狀態(tài)xc(tk-1)和控制量u(tk-1)的加權(quán)和;當(dāng)事件觸發(fā)時(shí),即Lock閉合,估計(jì)器當(dāng)前時(shí)刻的狀態(tài)xc(tk)更新為觀測(cè)器當(dāng)前時(shí)刻狀態(tài)xs(tk).

控制器子系統(tǒng)中的反饋控制器可描述為

其中Kf為反饋增益矩陣.Kf配置所有極點(diǎn)在單位圓內(nèi),保證系統(tǒng)閉環(huán)穩(wěn)定性.

傳感器子系統(tǒng)中的H∞觀測(cè)器可描述為

其中:us(tk-1)為tk-1時(shí)刻傳感器子系統(tǒng)中的控制量,L為實(shí)現(xiàn)系統(tǒng)H∞性能的觀測(cè)器增益矩陣.

為精確跟蹤動(dòng)態(tài)估計(jì)器的狀態(tài),傳感器子系統(tǒng)中的預(yù)測(cè)器采用和動(dòng)態(tài)估計(jì)器(3)相同的模型,可描述為

當(dāng)事件未觸發(fā)時(shí),即Lock打開,估計(jì)器當(dāng)前時(shí)刻的狀態(tài)xp(tk)為其前一時(shí)刻的狀態(tài)xp(tk-1)和控制量us(tk-1)的加權(quán)和;當(dāng)事件觸發(fā)時(shí),即Lock閉合,估計(jì)器當(dāng)前時(shí)刻的狀態(tài)xp(tk)更新為觀測(cè)器當(dāng)前時(shí)刻狀態(tài)xs(tk).

2.2 基于事件觸發(fā)的ICPS模型設(shè)計(jì)

2.2.1 H∞觀測(cè)器的設(shè)計(jì)

設(shè)系統(tǒng)狀態(tài)x(tk)和觀測(cè)器狀態(tài)xs(tk)之間的誤差為es(tk)=x(tk)-xs(tk),根據(jù)式(1)的第1行公式和式(5)預(yù)測(cè)tk+1時(shí)刻的觀測(cè)器誤差為

其中:Φ1=A-LC,d(tk)=[ωT(tk)υT(tk)]T為有界輸入干擾和噪聲,Ψ=[I -L];tk+1時(shí)刻系統(tǒng)狀態(tài)x(tk+1)和觀測(cè)器狀態(tài)xs(tk+1)之間的誤差為tk時(shí)刻的誤差es(tk)和有界輸入干擾和噪聲d(tk)的加權(quán)和.

根據(jù)式(7)中的Φ1和Ψ設(shè)計(jì)H∞觀測(cè)器,來觀測(cè)被控對(duì)象的狀態(tài)、約束干擾和噪聲,實(shí)現(xiàn)H∞性能,即

根據(jù)系統(tǒng)有界實(shí)引理[31],如果正定矩陣P1、觀測(cè)器增益矩陣L、適當(dāng)維度的矩陣Φ1和Ψ使得如下線性矩陣不等式成立:

則系統(tǒng)滿足H∞性能.因此選擇合適的矩陣P1,L是設(shè)計(jì)H∞觀測(cè)器的保障.

2.2.2 事件觸發(fā)器的設(shè)計(jì)

設(shè)計(jì)事件觸發(fā)器來減少觀測(cè)器狀態(tài)xs(tk)通過無線網(wǎng)絡(luò)傳輸?shù)拇螖?shù),并保證系統(tǒng)的輸入到狀態(tài)穩(wěn)定性.事件觸發(fā)器主要設(shè)計(jì)式(2)中的觸發(fā)參數(shù)σ和ε,通過設(shè)計(jì)適當(dāng)?shù)挠|發(fā)參數(shù)σ實(shí)現(xiàn)系統(tǒng)在有界輸入干擾和噪聲d(tk)下的輸入到狀態(tài)穩(wěn)定性,而觸發(fā)參數(shù)ε的設(shè)計(jì)由傳輸間隔下界確定.

1) 觸發(fā)參數(shù)σ的設(shè)計(jì).

設(shè)系統(tǒng)狀態(tài)x(tk)和估計(jì)器狀態(tài)xc(tk)之間的誤差為e(tk)=x(tk)-xc(tk),將e(tk)和式(3)一起代入到式(1)的第1行公式,得到系統(tǒng)(1)的閉環(huán)模型表示形式:

其中Φ2=A+BKf.為設(shè)計(jì)觸發(fā)參數(shù)σ,實(shí)現(xiàn)系統(tǒng)輸入到狀態(tài)穩(wěn)定,引入定義1和引理1.

3 數(shù)據(jù)注入攻擊下基于事件觸發(fā)的ICPS模型

3.1 數(shù)據(jù)注入攻擊模型

數(shù)據(jù)注入攻擊可以選擇任意的網(wǎng)絡(luò)傳輸信道,向其注入偏差信號(hào)來達(dá)到破壞系統(tǒng)穩(wěn)定性的目的.為模擬這種攻擊場(chǎng)景,假設(shè)攻擊者有以下能力[32]:

①攻擊者可以對(duì)任何網(wǎng)絡(luò)傳輸信道發(fā)起攻擊,攻擊者在觀測(cè)器狀態(tài)傳輸時(shí)刻zm對(duì)nx個(gè)信道的攻擊策略矩陣為

數(shù)據(jù)注入攻擊使得控制器子系統(tǒng)接收到虛假數(shù)據(jù),做出錯(cuò)誤的控制決策,對(duì)系統(tǒng)穩(wěn)定性造成了嚴(yán)重的破壞,因此必須采取措施來提高系統(tǒng)對(duì)攻擊的容忍性.

3.2 攻擊補(bǔ)償模塊的設(shè)計(jì)與分析

為降低數(shù)據(jù)注入攻擊對(duì)系統(tǒng)穩(wěn)定性的影響,在圖2模型基礎(chǔ)上,改進(jìn)卡爾曼濾波器構(gòu)造攻擊補(bǔ)償模塊,產(chǎn)生校正信號(hào)對(duì)受攻擊信號(hào)進(jìn)行攻擊補(bǔ)償,建立數(shù)據(jù)注入攻擊下基于事件觸發(fā)的ICPS模型,如圖3所示.攻擊補(bǔ)償模塊包括攻擊檢測(cè)、改進(jìn)卡爾曼濾波器和信號(hào)校正器.攻擊檢測(cè)對(duì)受攻擊信號(hào)進(jìn)行檢測(cè),根據(jù)檢測(cè)結(jié)果識(shí)別攻擊策略矩陣;改進(jìn)卡爾曼濾波器根據(jù)攻擊策略矩陣進(jìn)行狀態(tài)估計(jì)得到狀態(tài)最優(yōu)值;信號(hào)校正器根據(jù)受攻擊觀測(cè)器狀態(tài)和狀態(tài)最優(yōu)值之差得到校正信號(hào)進(jìn)行攻擊補(bǔ)償.在受到數(shù)據(jù)注入攻擊時(shí),攻擊補(bǔ)償模塊中改進(jìn)卡爾曼濾波器和信號(hào)校正器能快速改變結(jié)構(gòu)與參數(shù),使系統(tǒng)在性能稍退化一定程度的情況下運(yùn)行,實(shí)現(xiàn)對(duì)攻擊的彈性控制.

圖3 數(shù)據(jù)注入攻擊下基于事件觸發(fā)的ICPS模型Fig.3 Event-triggered ICPS model under data injection attack

觀測(cè)器狀態(tài)xs(zm)在zm傳輸時(shí)刻受到惡意信號(hào)Γzmazm的攻擊,攻擊檢測(cè)組件對(duì)受攻擊信號(hào)進(jìn)行檢測(cè),并識(shí)別出攻擊策略矩陣.攻擊檢測(cè)組件如圖4所示,包括閾值檢測(cè)(threshold detection,TD)檢測(cè)和機(jī)器學(xué)習(xí)(machine-learning detection,MD)檢測(cè).

圖4 攻擊檢測(cè)組件Fig.4 Attack detection component

1) TD檢測(cè).

設(shè)置的閾值包括最大或最小安全值和設(shè)備規(guī)格.最大或最小安全值為對(duì)系統(tǒng)正常運(yùn)行狀態(tài)的數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)而計(jì)算出的上、下界,且該閾值在設(shè)備允許的安全值范圍內(nèi)(例如圖1中鍋爐的最高允許溫度,電氣元件的最大電流等),避免引起設(shè)備的損壞或者故障;設(shè)備規(guī)格為設(shè)備銘牌上的標(biāo)稱工作溫度、電壓、頻率等.將每個(gè)信道傳輸值與對(duì)應(yīng)的閾值進(jìn)行比較,并計(jì)算出誤差發(fā)送給MD檢測(cè).在TD檢測(cè)中如果信道p的測(cè)量值不在最大或最小安全值范圍內(nèi),則判斷信道p受到攻擊,向量ψ的第p維值μp置為1.ψ在檢測(cè)開始前為nx維的零向量,即所有信道都未受到攻擊.

2) MD檢測(cè).

機(jī)器學(xué)習(xí)算法可以從系統(tǒng)正常運(yùn)行狀態(tài)的數(shù)據(jù)中學(xué)習(xí)出每個(gè)信道的安全模型,然后將測(cè)得的信道測(cè)量值與學(xué)習(xí)的模型進(jìn)行比較,從而確定該信道是否受到攻擊.本文采用單類支持向量機(jī)(a single-class support vector machine,1-SVM)[33],1-SVM通過從信道值組合的特征向量來學(xué)習(xí)安全模型.特征向量由3部分組成:①原始信道測(cè)量值;②TD檢測(cè)計(jì)算出的閾值誤差;③與其他信道測(cè)量值的組合函數(shù)值.在MD檢測(cè)中,當(dāng)安全模型判斷信道p受到攻擊,同樣將向量ψ的第p維值μp置為1.

最后,由向量ψ的各維值識(shí)別出攻擊策略矩陣為

3.3 數(shù)據(jù)注入攻擊下穩(wěn)定性分析

進(jìn)行攻擊補(bǔ)償后,控制器系統(tǒng)接收到的數(shù)據(jù)為

4 仿真與結(jié)果

采用MATLAB 仿真軟件進(jìn)行基于事件觸發(fā)的ICPS模型仿真.為模擬實(shí)際系統(tǒng),將倒立擺系統(tǒng)作為被控對(duì)象,并以控制擺桿的位置為目標(biāo),驗(yàn)證所設(shè)計(jì)的模型的有效性和系統(tǒng)受到數(shù)據(jù)注入攻擊時(shí)基于改進(jìn)卡爾曼濾波的攻擊補(bǔ)償模塊對(duì)系統(tǒng)穩(wěn)定性的影響.

4.1 被控對(duì)象的數(shù)學(xué)模型及仿真參數(shù)

采用一級(jí)直線型倒立擺作為被控對(duì)象,其結(jié)構(gòu)如圖5所示[34].倒立擺的控制目標(biāo)是使擺桿始終保持在垂直狀態(tài).為達(dá)到控制目的,遠(yuǎn)程計(jì)算機(jī)采集無線傳感器傳輸?shù)臄[桿角位移和小車位置等參數(shù),使用控制器中算法計(jì)算得到控制量,再通過無線網(wǎng)絡(luò)發(fā)送給小車.然后控制量經(jīng)數(shù)模轉(zhuǎn)換驅(qū)動(dòng)執(zhí)行器直流電機(jī)施加作用于小車的力,實(shí)現(xiàn)倒立擺的實(shí)時(shí)控制,使倒立擺處于垂直狀態(tài).其中,攻擊者隨機(jī)對(duì)無線通信信道發(fā)起數(shù)據(jù)注入攻擊,破壞采集信號(hào)的完整性,并造成控制器作出錯(cuò)誤的控制決策.

圖5 倒立擺控制模型Fig.5 Inverted pendulum control model

忽略空氣流動(dòng)和各種摩擦,倒立擺系統(tǒng)可抽象成小車和勻質(zhì)桿組成的系統(tǒng).假設(shè)小車質(zhì)量和擺桿質(zhì)量分別由mc和mp表示,b為小車摩擦系數(shù),l為擺桿轉(zhuǎn)動(dòng)軸心到桿質(zhì)心的長(zhǎng)度,J為擺桿慣量,u(t)為控制小車沿著水平坐標(biāo)軸水平移動(dòng)的力,s(t)和θ1(t)分別為小車位置和擺桿與垂直向上方向的夾角,可由傳感器節(jié)點(diǎn)實(shí)時(shí)檢測(cè),φ為擺桿與垂直向下方向的夾角.由倒立擺平衡方程有倒立擺的參數(shù)設(shè)置如表1所示.

表1 倒立擺參數(shù)Table 1 Inverted pendulum parameter

將各參數(shù)代入式(43)-(44),并在采樣周期h=0.01 s下進(jìn)行離散化得到

干擾ω(tk)和噪聲υ(tk)的大小為[-0.4,0.4]的均勻分布,觀測(cè)器增益矩陣L和反饋增益矩陣Kf分別為

系統(tǒng)初始狀態(tài)為x(0)=xp(0)=xc(0),γ1=1,λ=0.63,θ=0.3.設(shè)置傳輸間隔上下界分別為=1 s和=0.02 s,由式(23)計(jì)算得到ε=0.0097.仿真時(shí)長(zhǎng)為10 s.

4.2 仿真與分析

4.2.1 事件觸發(fā)控制策略對(duì)系統(tǒng)穩(wěn)定性的影響

周期采樣機(jī)制下,每采樣一次數(shù)據(jù),傳感器端向無線網(wǎng)絡(luò)發(fā)送一次數(shù)據(jù),本文仿真時(shí)長(zhǎng)都為10 s,采樣周期h=0.01 s,則原本需通過無線網(wǎng)絡(luò)發(fā)送1000次數(shù)據(jù).定義傳感器端數(shù)據(jù)發(fā)送率η的計(jì)算公式:

其中:φtri代表10 s內(nèi)在事件觸發(fā)機(jī)制下傳感器端數(shù)據(jù)發(fā)送的次數(shù).η越小代表數(shù)據(jù)通過無線網(wǎng)絡(luò)傳輸次數(shù)越少,通信資源消耗越少,通信資源使用率越低,資源利用越高效.

初始時(shí)擺桿偏移角度為0.4 rad,0時(shí)刻后小車受到作用力的干擾擺桿轉(zhuǎn)動(dòng),且擺桿偏移角度和數(shù)據(jù)傳輸時(shí)間受事件觸發(fā)參數(shù)σ的影響.σ需滿足式(18)輸入到狀態(tài)穩(wěn)定條件,即0<σ <1.σ取從接近0的值開始逐漸遞增直至接近1,進(jìn)行多次實(shí)驗(yàn).為體現(xiàn)系統(tǒng)各性能指標(biāo)隨σ的變化情況,下面列舉實(shí)驗(yàn)結(jié)果中對(duì)比性較強(qiáng)的σ取值來進(jìn)行分析.

ICPS模型在事件觸發(fā)控制策略下擺桿的偏移角度隨仿真時(shí)間的變化情況圖6所示,η、數(shù)據(jù)平均傳輸時(shí)間間隔和2 s后擺桿偏移范圍隨觸發(fā)參數(shù)σ的變化情況如表2所示.當(dāng)σ=0.0015時(shí),擺桿在作用力的調(diào)節(jié)下,2 s 后趨于穩(wěn)定,數(shù)據(jù)平均0.047 s傳輸一次,η為21.34%.當(dāng)σ=0.089,數(shù)據(jù)平均0.084 s傳輸一次,η為11.94%,擺桿輕微振蕩,但不明顯.當(dāng)σ=0.465時(shí),η進(jìn)一步減少為7.83%,但擺桿振蕩越來越劇烈,且在2s后角度在(-0.07,0.08)rad區(qū)間內(nèi)擺動(dòng).當(dāng)σ=1.126時(shí),平均傳輸時(shí)間間隔達(dá)到0.169 s,η僅為5.97%,但不滿足式(18)輸入到狀態(tài)穩(wěn)定條件σ <1,0.8 s后擺桿偏移角度劇烈震蕩,系統(tǒng)就變得不穩(wěn)定.上述實(shí)驗(yàn)結(jié)果顯示,在滿足σ <1的情況下,當(dāng)σ選取為0.089時(shí),相對(duì)于σ=0.465,在傳感器端數(shù)據(jù)發(fā)送率增加不明顯的情況下,卻有更好的穩(wěn)定性;相對(duì)于σ=0.0015,系統(tǒng)在仍然比較穩(wěn)定的情況下,傳感器端數(shù)據(jù)發(fā)送率降低明顯.因此選擇觸發(fā)參數(shù)σ為0.089,不僅可以有效減少數(shù)據(jù)通過無線通信網(wǎng)絡(luò)的傳輸次數(shù),還可以保證系統(tǒng)期望的穩(wěn)定性.

表2 系統(tǒng)性能隨觸發(fā)參數(shù)σ的變化情況Table 2 Change of system performance with trigger parameterσ

圖6 事件觸發(fā)控制控制策略下擺桿的偏移角度Fig.6 Pendulum offset angle under event-triggered control strategy

同樣的干擾和噪聲下,選取相同的σ=0.089,在文獻(xiàn)[26]和本文兩個(gè)不同的事件觸發(fā)控制框架下擺桿的偏移角度隨仿真時(shí)間的變化情況圖7所示,觸發(fā)時(shí)間間隔如圖8所示.從圖7中看出,在文獻(xiàn)[26]的框架下,擺桿振蕩幅度雖然不劇烈,但振蕩次數(shù)頻繁,并且從圖8中看出,數(shù)據(jù)平均0.043 s傳輸一次,η為22.93%,顯然,文獻(xiàn)[26]所設(shè)計(jì)的框架在面對(duì)干擾和噪聲時(shí)效果不佳.而本文設(shè)計(jì)的H∞觀測(cè)器和事件觸發(fā)控制策略對(duì)干擾和噪聲有良好的抑制作用,不僅可以從圖7中看出擺桿穩(wěn)定,而且可以從圖8(b)中看出,數(shù)據(jù)平均0.097 s傳輸一次,η降低為10.75%.

圖7 文獻(xiàn)[26]和本文控制策略下的擺桿偏移角度Fig.7 Pendulum offset angle under the control strategy of[26]and this paper

圖8 文獻(xiàn)[26]和本文控制策略下的觸發(fā)時(shí)間間隔Fig.8 The inter-event times of the control strategy in [26]and this paper

4.2.2 攻擊補(bǔ)償模塊對(duì)數(shù)據(jù)注入攻擊的影響

由于攻擊者能量有限[32],攻擊信號(hào)須滿足‖azm‖≤1,各信道的攻擊信號(hào)序列如圖9 所示.選取σ=0.089,滿足式(40),未設(shè)計(jì)攻擊補(bǔ)償模塊的文獻(xiàn)[26]中模型與本文設(shè)計(jì)的ICPS模型在受到數(shù)據(jù)注入攻擊時(shí)擺桿的偏移角度隨仿真時(shí)間的變化情況如圖10所示.當(dāng)文獻(xiàn)[26]的系統(tǒng)沒有構(gòu)造攻擊補(bǔ)償模塊且從6 s開始受到‖azm‖≤1的惡意攻擊時(shí),擺桿偏移角度增大,振蕩非常劇烈,惡意攻擊嚴(yán)重破壞了系統(tǒng)穩(wěn)定性.當(dāng)系統(tǒng)構(gòu)造基于普通卡爾曼濾波器的攻擊補(bǔ)償模塊,即攻擊檢測(cè)組件未能檢測(cè)出攻擊時(shí),擺桿振蕩幅度明顯下降,2 s后在(-0.1,0.1)rad區(qū)間內(nèi)擺動(dòng),但是從圖11上中看出6 s后事件大量連續(xù)觸發(fā),耗費(fèi)了大量通信資源,傳感器端數(shù)據(jù)發(fā)送率η為46.32%.當(dāng)系統(tǒng)構(gòu)造基于改進(jìn)卡爾曼濾波器的攻擊補(bǔ)償模塊時(shí),擺桿輕微振蕩,且從圖11下中看出6 s后事件并未連續(xù)觸發(fā),數(shù)據(jù)發(fā)送率η降低為25.76%.通過對(duì)比文獻(xiàn)[26]、普通卡爾曼濾波器和改進(jìn)卡爾曼濾波器對(duì)ICPS控制系統(tǒng)穩(wěn)定性和數(shù)據(jù)傳輸時(shí)間的影響可知,采用基于改進(jìn)卡爾曼濾波器的攻擊補(bǔ)償模塊不僅能有效改善ICPS系統(tǒng)在受到數(shù)據(jù)注入攻擊時(shí)的穩(wěn)定性能,還能有效降低通信資源的使用率.

圖9 各信道攻擊信號(hào)序列圖Fig.9 Attack signal sequence of each channel

圖10 數(shù)據(jù)注入攻擊下的擺桿偏移角度Fig.10 Pendulum offset angle under data injection attack

圖11 普通卡爾曼濾波器和改進(jìn)卡爾曼濾波器下的觸發(fā)時(shí)間間隔Fig.11 The inter-event times of common Kalman filter and improved Kalman filter

5 結(jié)語

為抵御無線網(wǎng)線中的數(shù)據(jù)注入攻擊和節(jié)約ICPS網(wǎng)絡(luò)通信資源,本文立足輸入到狀態(tài)穩(wěn)定理論,設(shè)計(jì)了基于事件觸發(fā)的ICPS模型,通過事件觸發(fā)控制策略來減少數(shù)據(jù)通過無線網(wǎng)絡(luò)傳輸?shù)拇螖?shù),并且采用基于改進(jìn)卡爾曼濾波器的攻擊補(bǔ)償模塊進(jìn)行攻擊補(bǔ)償.以倒立擺作為ICPS的被控對(duì)象,采用MATLAB對(duì)所提出的模型進(jìn)行仿真,仿真結(jié)果表明,采用基于事件觸發(fā)的ICPS模型和基于改進(jìn)卡爾曼濾波器的攻擊補(bǔ)償模塊的組合,不僅可以降低數(shù)據(jù)注入攻擊對(duì)系統(tǒng)穩(wěn)定性的破壞,還能有效節(jié)約通信資源.本文重點(diǎn)解決了如何緩解攻擊對(duì)系統(tǒng)的影響,然而關(guān)于攻擊檢測(cè)方法的設(shè)計(jì)并未進(jìn)行深入研究,設(shè)計(jì)準(zhǔn)確高效的檢測(cè)方法將更有利于對(duì)攻擊的控制,為此攻擊檢測(cè)和彈性控制的聯(lián)合設(shè)計(jì)將是下一步的研究重點(diǎn).