李富強，郜麗賽，鄭寶周，谷小青

1.河南農(nóng)業(yè)大學 理學院，鄭州450002

2.上海大學 機電工程與自動化學院，上海市電站自動化技術重點實驗室，上海200444

網(wǎng)絡控制系統(tǒng)是將通信網(wǎng)絡引入控制閉環(huán)的復雜分布式控制系統(tǒng)，其空間分布的傳感器、控制器和執(zhí)行器等系統(tǒng)組件經(jīng)由共享通信網(wǎng)絡傳遞信息。該系統(tǒng)高度融合物理系統(tǒng)與信息系統(tǒng)，具有柔性高、成本低、安裝和維護方便等優(yōu)點[1]，廣泛應用于智能電網(wǎng)、智慧交通、精準農(nóng)業(yè)等領域。

在共享通信網(wǎng)絡為網(wǎng)絡控制系統(tǒng)帶來諸多便利的同時，來自網(wǎng)絡空間的惡意攻擊使其面臨重大的安全挑戰(zhàn)。針對網(wǎng)絡控制系統(tǒng)的攻擊大概分為拒絕服務攻擊和欺騙攻擊，拒絕服務攻擊通過阻塞通信網(wǎng)絡使有用數(shù)據(jù)包不能按時送達，欺騙攻擊通過篡改數(shù)據(jù)包內(nèi)容而破壞數(shù)據(jù)包的真實性和完整性[2]，虛假數(shù)據(jù)注入（False Data Injection，F(xiàn)DI）攻擊為欺騙攻擊的典型代表。

近年來，考慮網(wǎng)絡攻擊影響的安全控制系統(tǒng)研究引起了廣泛關注，其中多數(shù)成果研究了拒絕服務攻擊對網(wǎng)絡控制系統(tǒng)的影響，僅有少量研究對FDI攻擊下的安全控制策略進行了探索。例如：考慮傳感器至控制器通道中具有伯努利分布的FDI攻擊影響，文獻[3]設計了分布式脈沖控制器，保證了多智能體系統(tǒng)的均方有界一致性?？紤]文獻[3]中隨機FDI攻擊影響，文獻[4]研究了基于采樣數(shù)據(jù)的非線性多智能體系統(tǒng)均方一致性?？紤]傳感器至控制器以及控制器至執(zhí)行器通道中均存在伯努利分布欺騙攻擊情形，文獻[5]分析了離散時間隨機非線性系統(tǒng)在概率統(tǒng)計上的輸入狀態(tài)穩(wěn)定性。針對欺騙攻擊下基于令牌的無線網(wǎng)絡控制系統(tǒng)，文獻[6]將其建模為包含一個攻擊子系統(tǒng)的切換系統(tǒng)，并獲得了保持系統(tǒng)指數(shù)穩(wěn)定的攻擊最大持續(xù)激活時間。為了最大化以Kullback-Leibler散度為檢測約束的二次效用函數(shù)，文獻[7]從攻擊者角度提出了隨機系統(tǒng)的最優(yōu)欺騙攻擊方案，并證明了最優(yōu)攻擊的線性變換具有高斯分布。使用最優(yōu)控制理論刻畫最優(yōu)攻擊設計，文獻[8]針對全部和部分執(zhí)行器被攻擊情形，分別設計了最優(yōu)狀態(tài)反饋FDI攻擊策略和最優(yōu)切換FDI攻擊策略。為便于使用發(fā)展成熟的周期采樣理論進行系統(tǒng)分析，多數(shù)成果采用周期采樣控制策略。為了在最壞情形下保證系統(tǒng)性能，采樣率通常設置較高。當系統(tǒng)穩(wěn)定運行時，控制器通常不需要頻繁更新[9]，高采樣率產(chǎn)生的大量冗余數(shù)據(jù)將導致網(wǎng)絡帶寬及節(jié)點能量等系統(tǒng)受限資源浪費。因此，有必要研究FDI攻擊下網(wǎng)絡控制系統(tǒng)的新型通信及控制策略，以節(jié)約系統(tǒng)受限資源。

不考慮FDI攻擊影響，為了節(jié)約系統(tǒng)受限資源，文獻[10]提出了事件觸發(fā)控制策略。不同于周期采樣控制策略忽略系統(tǒng)動態(tài)進行按時控制，事件觸發(fā)控制策略僅在系統(tǒng)動態(tài)滿足觸發(fā)條件時進行按需控制[11]?，F(xiàn)有事件觸發(fā)控制系統(tǒng)研究重點關注如何設計事件觸發(fā)機制，以節(jié)約更多系統(tǒng)資源，較少考慮FDI攻擊影響。另外，與周期采樣機制比較，事件觸發(fā)機制下按需發(fā)送的數(shù)據(jù)包數(shù)量較少但對系統(tǒng)性能影響更大，若該數(shù)據(jù)包被FDI攻擊篡改，極易引起系統(tǒng)性能惡化，甚至崩潰[12]。此外，現(xiàn)有事件觸發(fā)控制系統(tǒng)分析方法通常假設不存在FDI攻擊，當考慮FDI攻擊影響時現(xiàn)有方法可能不再適用。因此，面向通信與控制多目標要求，有必要研究考慮FDI攻擊影響的事件觸發(fā)安全控制策略。

針對上述問題，本文研究了FDI攻擊下網(wǎng)絡控制系統(tǒng)的事件觸發(fā)安全控制策略，主要創(chuàng)新點如下：（1）不同于周期采樣機制和連續(xù)事件觸發(fā)機制，引入了基于對象狀態(tài)周期采樣值的離散事件觸發(fā)機制，該機制易于軟件實現(xiàn)，且從原理上避免了Zeno現(xiàn)象，并能夠節(jié)約系統(tǒng)受限資源。（2）通過劃分零階保持器保持時間，建立了有機融合隨機FDI攻擊、事件觸發(fā)機制、網(wǎng)絡誘導延時和外部擾動多約束參數(shù)的閉環(huán)系統(tǒng)時滯模型。（3）推導出了同時刻畫隨機FDI攻擊、事件觸發(fā)機制、網(wǎng)絡誘導延時和外部擾動多約束影響的系統(tǒng)漸近穩(wěn)定條件，得到了FDI攻擊下事件觸發(fā)器與安全控制器的協(xié)同設計方法。

1 系統(tǒng)建模

1.1 系統(tǒng)描述

考慮以下線性時不變對象：

其中，x(t)∈?n,u(t)∈?nu,z(t)∈?nz分別表示對象狀態(tài)、控制輸入和受控輸出，外部擾動ω(t)∈?nω滿足ω(t)∈L2[0,∞)，A、B、Bω和C為適當維數(shù)增益矩陣。

FDI攻擊下事件觸發(fā)網(wǎng)絡化控制系統(tǒng)如圖1所示，傳感器周期采樣對象狀態(tài)，事件觸發(fā)器根據(jù)觸發(fā)條件判斷是否發(fā)送當前采樣值，事件觸發(fā)器發(fā)送的數(shù)據(jù)包經(jīng)過通信網(wǎng)絡時可能被FDI攻擊篡改，控制器根據(jù)接收數(shù)據(jù)包更新控制信號，零階保持器接收并轉(zhuǎn)發(fā)控制信號至執(zhí)行器，執(zhí)行器按照控制信號調(diào)整對象狀態(tài)，從而完成控制閉環(huán)。

圖1 FDI攻擊下事件觸發(fā)網(wǎng)絡化控制系統(tǒng)

1.2 事件觸發(fā)機制設計

基于對象狀態(tài)周期采樣值，設計離散事件觸發(fā)機制如下：

其中，閾值參數(shù)δ∈(0,1)，正定矩陣Ω＞0，bkh和bkh+jh分別表示最近觸發(fā)時刻和當前采樣時刻，bk+1h表示下一個觸發(fā)時刻，h表示采樣周期。

事件觸發(fā)機制（2）工作原理如圖1所示：基于緩存器中的已觸發(fā)對象狀態(tài)x(bkh)及傳感器獲取的當前采樣對象狀態(tài)y(bkh+jh)，比較器判斷是否滿足事件觸發(fā)條件為歐式范數(shù)），若滿足，則開關閉合，發(fā)送當前采樣值；若不滿足，則開關打開，丟棄當前采樣值。

不同于周期采樣機制發(fā)送所有采樣值，事件觸發(fā)機制（2）僅發(fā)送滿足觸發(fā)條件的采樣值，因此觸發(fā)時刻集合St為采樣時刻集合Ss的子集，即St={b1h,b2h,…}?Ss={h,2h,…}。特殊地，若閾值參數(shù)δ=0，觸發(fā)條件一直成立，則事件觸發(fā)機制轉(zhuǎn)變?yōu)橹芷诓蓸訖C制，即St=Ss。

注釋1不同于連續(xù)時間事件觸發(fā)機制[13-14]需要增加專用硬件以連續(xù)監(jiān)測對象信息，且需要復雜計算以設置參數(shù)避免Zeno現(xiàn)象，事件觸發(fā)機制（2）僅依賴于對象狀態(tài)的周期采樣值，易于軟件實現(xiàn)，且從根本上避免了Zeno現(xiàn)象。

1.3 閉環(huán)系統(tǒng)建模

考慮通信網(wǎng)絡誘導延時影響[15]，基于觸發(fā)時刻集合St，控制器更新時刻集合表示為其中表示觸發(fā)時刻bkh發(fā)送數(shù)據(jù)包對應的網(wǎng)絡誘導延時，-τ和τˉ分別表示網(wǎng)絡誘導延時的下界和上界。更新的控制信號立即發(fā)至零階保持器，因此零階保持器的更新時刻集合即為控制器更新時刻集合。

不考慮FDI攻擊時，在零階保持器作用下，對象的控制輸入表示為：

其中，K為控制器增益矩陣，τk+1表示觸發(fā)時刻bk+1h發(fā)送數(shù)據(jù)包對應的網(wǎng)絡誘導延時。

其中：

在劃分子區(qū)間上，定義e(t)=x(bkh)-x(bkh+?kh)及η(t)=t-(bkh+?kh)，則不考慮FDI攻擊時對象控制輸入（3）表示為：基于不考慮FDI攻擊時對象控制輸入（5），得到考慮FDI攻擊影響的對象控制輸入如下：

其中，f(t)=α(t)g(x(bkh))表示隨機FDI攻擊模型，g(x(bkh))表示針對觸發(fā)時刻發(fā)送數(shù)據(jù)包x(bkh)的FDI攻擊函數(shù)，F(xiàn)DI攻擊具有伯努利分布。隨機變量α(t)∈{0,1}表示FDI攻擊激活狀態(tài)，當α(t)=1時，F(xiàn)DI攻擊處于激活狀態(tài)，控制器輸入被篡改，即；當α(t)=0時，F(xiàn)DI攻擊未激活，控制器輸入未被篡改，即u(t)=uˉ(t)。另外表示α(t)的數(shù)學期望，則，

注釋2為盡量避免被安全檢測機制發(fā)現(xiàn)，攻擊者通常主動限定FDI攻擊能量[16]，使其滿足gT(x(bkh))g(x(bkh))≤xT(bkh)GTGx(bkh)，其中G為適當維數(shù)攻擊能量限定矩陣。

注釋3與文獻[17]研究角度和FDI攻擊模型不同：（1）文獻[17]從攻擊者角度考慮如何設計FDI攻擊，以有效操縱系統(tǒng)穩(wěn)定性，本文從防御者角度考慮如何對FDI攻擊進行有效防御；（2）文獻[17]根據(jù)設定FDI攻擊模型，對系統(tǒng)進行持續(xù)性攻擊，本文考慮具有伯努利分布的FDI攻擊模型，對系統(tǒng)進行隨機攻擊。

綜上，將FDI攻擊下對象控制輸入（6）代入對象模型（1），建立閉環(huán)系統(tǒng)時滯模型如下：

2 系統(tǒng)漸近穩(wěn)定性分析

引理1若f1,f2,…,fN:?n??在開區(qū)間D上具有正值，則在開區(qū)間D上fi的互凸組合滿足[18]：

定理1對于給定采樣周期h，網(wǎng)絡誘導延時界0≤-τ≤τˉ，觸發(fā)閾值參數(shù)δ∈(0,1)，攻擊能量限定矩陣G，及H∞性能指標γ＞0，如果存在正定矩陣Ω＞0,P＞0,R＞0,S＞0,Q1＞0,Q2＞0,Q3＞0,以及適當維數(shù)矩陣U2和U3，使得以下條件成立：

其中：

則FDI攻擊下事件觸發(fā)控制系統(tǒng)（7）是漸近穩(wěn)定的，且滿足H∞性能指標γ。

證明構造Lyapunov-Krasovskii泛函如下：

式中，正定矩陣P＞0,S＞0,R＞0,Q1＞0,Q2＞0,Q3＞0,表示列矩陣。

對Lyapunov-Krasovskii泛函（10）求導得到：

其中，sym{}表示矩陣與其轉(zhuǎn)置矩陣之和，且：

考慮如下兩種情況：

（1）若η(t)∈[η1,ηm)，對ζ1、ζ2、ζ3使用Jensen不等式得到：

（2）如果η(t)∈[ηm,η2]，對式（11）中ζ1、ζ2、ζ3使用Jensen不等式，并對變換后的ζ3使用互凸方法，能夠得到與式（1）類似的結果，不再贅述。

對Lyapunov-Krasovskii泛函導數(shù)（11）求數(shù)學期望得到：

其中：

由事件觸發(fā)機制（2）可知，以下不等式成立：

利用注釋2中攻擊能量受限條件及正定矩陣P＞0得到：

利用式（13）、（14）和（15）得到：

特殊地，類似于FDI攻擊下閉環(huán)系統(tǒng)（7）的建模過程，得到無FDI攻擊影響的閉環(huán)系統(tǒng)模型如下：

基于閉環(huán)系統(tǒng)模型（17），得到不考慮FDI攻擊影響的系統(tǒng)穩(wěn)定性條件如下。

推論1對于給定采樣周期h，網(wǎng)絡誘導延時界0≤-τ≤τˉ，觸發(fā)閾值參數(shù)δ∈(0,1)，及H∞性能指標γ＞0，如果存在正定矩陣Ω＞0,P＞0,R＞0,S＞0,Q1＞0,Q2＞0,Q3＞0,以及適當維數(shù)矩陣U2和U3，使得以下條件成立：

其中：

則不考慮FDI攻擊影響的事件觸發(fā)控制系統(tǒng)（17）是漸近穩(wěn)定的，且滿足H∞性能指標γ。

證明與定理1中證明過程類似，不再贅述。

注釋4在定理1和推論1中，利用時滯分解思想[19]，將時滯區(qū)間分解為和，并構造了包含分解時滯區(qū)間項的Lyapunov-Krasovskii泛函（10）。另外，在式（12）的推導中，使用了引理1中的互凸組合方法。時滯分解方法和互凸組合方法均有助于降低結果保守性。以文獻[20]衛(wèi)星姿態(tài)控制系統(tǒng)為例，對于給定時滯區(qū)間下界η1，表1列出了兩種方法分別得到的時滯區(qū)間上界η2。與文獻[20]中方法比較，推論1得到了更大的時滯區(qū)間上界，保守性更低。

表1 兩種方法分別得到的時滯區(qū)間上界η2

注釋5為了降低保守性，文獻[21-22]分別使用了Wirtinger積分不等式方法和二次凸方法。如注釋4所示，定理1使用時滯分解和互凸組合方法降低了保守性，下一步研究將引入文獻[21-22]中方法，進一步降低保守性。

在定理1中，控制器增益矩陣K與正定矩陣P耦合，不能直接用于狀態(tài)反饋控制器設計，因此將在下章中給出控制器設計方法。

3 事件觸發(fā)機制與控制器協(xié)同設計

其中，

則FDI攻擊下事件觸發(fā)控制系統(tǒng)（7）是漸進穩(wěn)定的，且滿足H∞性能指標γ。同時，得到事件觸發(fā)機制（2）參數(shù)及控制器（3）增益矩陣K=YX-1。

證明 正定矩陣P的逆矩陣記為X=P-1，定義矩陣如下：

使用Φ1和Φ2對定理1中條件（9）變換如下：

其中：

對于正定矩陣Q＞0，顯然(H-Q)Q-1(H-Q)＞0成立，因此-HQ-1H≤Q-2H，使用此不等式，由Π?22得到Πˉ22，從而得到定理2中條件（19）。

因此，若滿足條件（19），系統(tǒng)（7）是漸近穩(wěn)定的，且滿足H∞性能指標，并能夠同時得到事件觸發(fā)機制參數(shù)及控制器增益矩陣。

注釋6定理2給出了FDI攻擊下事件觸發(fā)機制與控制器協(xié)同設計條件，能夠同時獲得滿足系統(tǒng)通信與控制目標的事件觸發(fā)機制參數(shù)及控制器增益矩陣。設計的控制器能夠保證系統(tǒng)在FDI攻擊下的漸近穩(wěn)定性，設計的事件觸發(fā)機制能夠在系統(tǒng)穩(wěn)定前提下有效節(jié)約系統(tǒng)受限資源，從而克服了emulation-like方法[23-24]的兩步分離設計局限：首先在不考慮事件觸發(fā)機制情況下設計控制器使系統(tǒng)穩(wěn)定，然后再設計事件觸發(fā)機制節(jié)約系統(tǒng)資源并保持系統(tǒng)穩(wěn)定。

4 數(shù)例仿真

以文獻[20]中衛(wèi)星姿態(tài)控制系統(tǒng)為例，將其刻畫為被控對象模型（1），增益矩陣如下：

系統(tǒng)矩陣A的特征值為?0.021 9±0.423 7j和0，因此系統(tǒng)不穩(wěn)定，需要設計控制器鎮(zhèn)定系統(tǒng)。其他參數(shù)如下：Bω=[0.02 0 0.02 0],C=[0.05 0 0 0],網(wǎng)絡誘導延時界-τ=0,τˉ=80 ms,采樣周期h=100 ms,H∞指標γ=16,擾動ω(t)=sin(2πt)，F(xiàn)DI攻擊數(shù)學期望αˉ=0.2，攻擊能量限定矩陣G=diag{0.1,0.5,0.2,0.6}，F(xiàn)DI攻擊函數(shù)g(x(bkh))=col{tanh(-0.5x2(bkh))tanh(0.2x3(bkh))tanh(-0.6x4(bkh))tanh(0.1x1(bkh))}，tanh為雙曲正切函數(shù)，仿真時間50 s。

由定理2得到協(xié)同設計的事件觸發(fā)機制（2）參數(shù)及控制器（3）增益矩陣如下：δ=0.02,系統(tǒng)狀態(tài)響應如圖2所示，在協(xié)同設計的控制器作用下，受FDI攻擊影響的系統(tǒng)能夠漸進穩(wěn)定。系統(tǒng)狀態(tài)范數(shù)如圖3所示，與無FDI攻擊的文獻[20]中方法比較，在定理2協(xié)同設計控制器作用下，考慮FDI攻擊影響，系統(tǒng)能夠獲得類似的控制性能。

圖2 系統(tǒng)狀態(tài)響應

圖3 系統(tǒng)狀態(tài)范數(shù)‖‖x

協(xié)同設計的事件觸發(fā)機制的觸發(fā)時刻及觸發(fā)間隔如圖4所示，大部分觸發(fā)間隔大于采樣周期，平均觸發(fā)間隔為253 ms，大于采樣周期100 ms。在仿真時間50 s內(nèi)，傳感器共周期采樣500個對象狀態(tài)，其中198個采樣值滿足觸發(fā)條件被發(fā)送出去，數(shù)據(jù)發(fā)送率僅為39.6%。與周期采樣機制數(shù)據(jù)發(fā)送率100%比較，協(xié)同設計的事件觸發(fā)機制在保證系統(tǒng)控制性能前提下，節(jié)約了60.4%的相關系統(tǒng)資源。

圖4 事件觸發(fā)機制的觸發(fā)時刻與觸發(fā)間隔

FDI攻擊函數(shù)如圖5所示，其為對象狀態(tài)的雙曲正切函數(shù)，攻擊函數(shù)值隨著對象狀態(tài)演化逐漸接近平衡點。隨機FDI攻擊的激活時刻與事件觸發(fā)機制的觸發(fā)時刻如圖6所示，縱坐標2和1.5分別表示事件觸發(fā)時刻和FDI攻擊激活時刻。針對事件觸發(fā)機制發(fā)送的198個數(shù)據(jù)包，在具有伯努利分布的隨機FDI攻擊影響下，共計44個數(shù)據(jù)包遭到FDI攻擊篡改，攻擊率為22.2%。

圖5 FDI攻擊函數(shù)

圖6 事件觸發(fā)時刻與FDI攻擊激活時刻

綜上，一方面，協(xié)同設計的事件觸發(fā)機制能夠?qū)?shù)據(jù)發(fā)送率降為39.6%，有效節(jié)約了網(wǎng)絡帶寬等系統(tǒng)受限資源。另一方面，雖然高達22.2%的觸發(fā)器發(fā)送數(shù)據(jù)包被FDI攻擊篡改，但是在協(xié)同設計的控制器作用下，系統(tǒng)仍然能夠漸進穩(wěn)定。

5 結束語

本文研究了FDI攻擊下網(wǎng)絡控制系統(tǒng)的事件觸發(fā)安全控制策略。首先，基于周期采樣的對象狀態(tài)，引入了能夠有效降低數(shù)據(jù)發(fā)送率的離散事件觸發(fā)機制，該機制易于軟件實現(xiàn)，且從原理上避免了Zeno現(xiàn)象，克服了連續(xù)事件觸發(fā)機制的局限。然后，通過劃分零階保持器保持時間，建立了有機融合FDI攻擊、事件觸發(fā)機制、網(wǎng)絡誘導延時和外部擾動多約束參數(shù)的閉環(huán)系統(tǒng)時滯模型。基于Lyapunov穩(wěn)定性理論，推導出了FDI攻擊下系統(tǒng)漸近穩(wěn)定的充分條件，并使用時滯分解方法和互凸組合方法降低了結果保守性。利用線性矩陣不等式技術，面向FDI攻擊下系統(tǒng)通信與控制多目標，得到了事件觸發(fā)機制與安全控制器協(xié)同設計條件。仿真表明，協(xié)同設計的事件觸發(fā)機制能夠節(jié)約60.4%的網(wǎng)絡帶寬等系統(tǒng)受限資源，協(xié)同設計的安全控制器在22.2%觸發(fā)數(shù)據(jù)包被FDI攻擊篡改情形下能夠保證系統(tǒng)的漸近穩(wěn)定性，驗證了本文方法的有效性。