祝超群, 黃 鵬

(1. 蘭州理工大學(xué) 電氣工程與信息工程學(xué)院, 甘肅 蘭州 730050; 2. 蘭州理工大學(xué) 甘肅省工業(yè)過(guò)程先進(jìn)控制重點(diǎn)實(shí)驗(yàn)室, 甘肅 蘭州 730050; 3. 蘭州理工大學(xué) 電氣與控制工程國(guó)家級(jí)實(shí)驗(yàn)教學(xué)示范中心, 甘肅 蘭州 730050)

目前,綜合了計(jì)算機(jī)、通信網(wǎng)絡(luò)和物理空間的信息物理系統(tǒng)(cyber physical systems,CPS)在當(dāng)下的網(wǎng)絡(luò)化環(huán)境中得到了迅速發(fā)展,在生產(chǎn)制造、智能能源、智能家居和交通運(yùn)輸?shù)刃袠I(yè)的變革中有著舉足輕重的作用[1-3].由于物理環(huán)境的限制,CPS中控制器、傳感器和執(zhí)行器等系統(tǒng)組件通過(guò)網(wǎng)絡(luò)空間進(jìn)行數(shù)據(jù)傳輸,勢(shì)必會(huì)產(chǎn)生系統(tǒng)信息安全方面的問(wèn)題.在開放的網(wǎng)絡(luò)環(huán)境中,信息傳輸?shù)臏?zhǔn)確性和時(shí)效性對(duì)物理環(huán)境的安全性影響深遠(yuǎn)[4].近年來(lái),網(wǎng)絡(luò)安全問(wèn)題頻出,2020年8月新西蘭證券交易所受到網(wǎng)絡(luò)攻擊,襲擊迫使交易所暫停其現(xiàn)金市場(chǎng)交易1 h,擾亂了其債務(wù)市場(chǎng)；2021年5月美國(guó)最大的成品油運(yùn)輸管道運(yùn)營(yíng)商遭黑客攻擊,導(dǎo)致美國(guó)東南部地區(qū)的汽油供給大量中斷.針對(duì)CPS的安全性問(wèn)題,當(dāng)前學(xué)者的研究主要集中在拒絕服務(wù)(denial of service,DoS)攻擊、虛假數(shù)據(jù)注入(false data injection,FDI)攻擊和重放(replay)攻擊三個(gè)方面[5].其中,DoS攻擊是一種試圖使系統(tǒng)資源不可用的網(wǎng)絡(luò)攻擊模式,通常利用阻塞系統(tǒng)信道的方式來(lái)使系統(tǒng)性能下降甚至失穩(wěn),因其攻擊形式易于實(shí)現(xiàn),手段多樣化而備受學(xué)者們的關(guān)注.

當(dāng)前對(duì)于DoS攻擊的研究主要是將其建模為數(shù)據(jù)包丟失的形式.Su等[6]將DoS攻擊建立為一種周期性模型,并運(yùn)用隨機(jī)分析法證明了系統(tǒng)的隨機(jī)穩(wěn)定性.Yan等[7]建立了一種限制攻擊持續(xù)時(shí)間的間歇性DoS攻擊模型,研究了DoS攻擊下CPS的故障估計(jì)問(wèn)題.上述研究考慮的DoS攻擊都是周期已知的,雖然此類DoS攻擊便于實(shí)施,但周期性的攻擊特點(diǎn)使其易于被檢測(cè).與周期DoS攻擊不同,隨機(jī)DoS攻擊具有一定的不確定性,對(duì)控制系統(tǒng)造成的危害更大.Liu等[8]通過(guò)一個(gè)隨機(jī)跳變系統(tǒng)表征了DoS攻擊的隨機(jī)性,并提出了一種模型依賴的彈性控制器來(lái)減輕DoS攻擊的影響,該控制策略對(duì)微電網(wǎng)防御DoS攻擊有很好的效果.Wang等[9]利用Bernoulli分布來(lái)描述DoS攻擊的隨機(jī)性,建立了一個(gè)具有隨機(jī)干擾的系統(tǒng)模型,研究了隨機(jī)DoS攻擊下CPS的保性能控制問(wèn)題.Bogdan等[10]針對(duì)遭受DoS攻擊的離散時(shí)間網(wǎng)絡(luò)化控制系統(tǒng),采用伯努利隨機(jī)過(guò)程描述傳感器數(shù)據(jù)包丟失行為,在此基礎(chǔ)上分析了系統(tǒng)的穩(wěn)定性,但該文未考慮網(wǎng)絡(luò)化系統(tǒng)中存在的其他各類通信約束.

隨著CPS的快速發(fā)展,通信網(wǎng)絡(luò)的負(fù)擔(dān)也逐漸加重,數(shù)量龐大的數(shù)據(jù)包造成的網(wǎng)絡(luò)擁塞使得系統(tǒng)控制性能大大降低.相對(duì)于傳統(tǒng)的時(shí)間觸發(fā)策略,事件觸發(fā)通信在有限的網(wǎng)絡(luò)資源環(huán)境下可減少不必要的數(shù)據(jù)包發(fā)送,有效地降低網(wǎng)絡(luò)通信負(fù)擔(dān).近年來(lái),基于事件觸發(fā)的控制問(wèn)題得到廣泛關(guān)注[11-17].Peng等[11]提出了一種離散事件觸發(fā)通信方案,是否傳輸量測(cè)信息由當(dāng)前采樣狀態(tài)和當(dāng)前采樣狀態(tài)與最近傳輸狀態(tài)之間的誤差決定.李煒等[12]在離散事件觸發(fā)通訊機(jī)制下,針對(duì)一類存在執(zhí)行器時(shí)變故障的系統(tǒng),研究了非均勻傳輸NCS故障調(diào)節(jié)與通訊協(xié)同設(shè)計(jì)的問(wèn)題.Ge和楊等[13-14]采用動(dòng)態(tài)事件觸發(fā)通信調(diào)度,根據(jù)實(shí)時(shí)情況動(dòng)態(tài)調(diào)節(jié)數(shù)據(jù)是否發(fā)送,有效減輕了網(wǎng)絡(luò)負(fù)擔(dān).上述研究表明,事件觸發(fā)通信策略可以有效地降低網(wǎng)絡(luò)通信負(fù)擔(dān),顯著提高通信資源的利用率.此外,對(duì)于遭受DoS攻擊的信息物理系統(tǒng),事件觸發(fā)機(jī)制在減輕通信負(fù)擔(dān)的同時(shí),也能夠在一定程度上降低DoS攻擊對(duì)系統(tǒng)性能帶來(lái)的負(fù)面影響.Cheng等[15]提出了一種抗周期DoS攻擊的彈性事件觸發(fā)方案,但是該事件觸發(fā)機(jī)制主要是為周期性DoS攻擊設(shè)計(jì)的,對(duì)于具有一定隨機(jī)分布特性的DoS攻擊適用性不強(qiáng).李煒等[16]結(jié)合事件觸發(fā)通訊機(jī)制,研究了CPS雙重安全控制與通訊的協(xié)同設(shè)計(jì)問(wèn)題.Sun等[17]將DoS攻擊引起的數(shù)據(jù)包丟失處理為觸發(fā)條件的不確定性,將DoS造成的影響和事件觸發(fā)機(jī)制有機(jī)結(jié)合,在保證系統(tǒng)性能的同時(shí)對(duì)DoS攻擊具有良好的彈性,但該文并沒有充分考慮系統(tǒng)所處物理環(huán)境的不確定性.在現(xiàn)階段的研究中,研究者大多都是在DoS攻擊以固定周期阻斷系統(tǒng)通信的條件下,進(jìn)行基于事件觸發(fā)通信的系統(tǒng)控制問(wèn)題研究,但針對(duì)一些攻擊模式不確定的隨機(jī)型DoS攻擊,采用事件觸發(fā)機(jī)制進(jìn)行保證系統(tǒng)控制性能的研究還相對(duì)較少.

基于上述分析,本文針對(duì)受到隨機(jī)DoS攻擊的CPS,基于離散事件觸發(fā)機(jī)制研究了系統(tǒng)的保性能控制問(wèn)題.考慮了系統(tǒng)中存在的不確定性,建立了具有不確定性的離散系統(tǒng)模型,將DoS攻擊行為建模為服從Bernoulli分布的隨機(jī)過(guò)程,在此基礎(chǔ)上借助Lyapunov穩(wěn)定性理論和線性矩陣不等式方法給出閉環(huán)系統(tǒng)穩(wěn)定的充分條件和保性能水平,并基于事件觸發(fā)機(jī)制設(shè)計(jì)了系統(tǒng)保性能狀態(tài)反饋控制策略,最后通過(guò)仿真實(shí)例驗(yàn)證了所提出控制方法的有效性.

1 問(wèn)題描述

考慮DoS攻擊下的一類CPS,其結(jié)構(gòu)如圖1所示.系統(tǒng)狀態(tài)量測(cè)信號(hào)通過(guò)網(wǎng)絡(luò)傳送到控制器.零階保持器ZOH的作用是使得控制器在沒有接收到最新的狀態(tài)信息時(shí),保持最近一次控制器的輸入不變,直到獲得新的數(shù)據(jù)包.

圖1 DoS攻擊下的CPS結(jié)構(gòu)Fig.1 CPS structure under DoS attacks

考慮具有不確定性的離散時(shí)間被控對(duì)象模型為

x(k+1)=(A+ΔA)x(k)+(B+ΔB)u(rk)

(1)

其中：x(k)∈Rn，u(rk)∈Rm分別表示系統(tǒng)的狀態(tài)和控制輸入；A、B分別是已知的適當(dāng)維數(shù)常數(shù)矩陣；ΔA和ΔB分別為不確定性矩陣,表示系統(tǒng)模型中的參數(shù)不確定性.

為了便于分析,首先對(duì)CPS提出如下假設(shè)：

假設(shè)1，系統(tǒng)狀態(tài)均為可直接量測(cè)的.

假設(shè)2，參數(shù)不確定性是范數(shù)有界的,并具有以下形式：

(2)

其中：F∈Ri×j是滿足FTF≤I的不確定矩陣;D、Ea、Eb分別是反映不確定性結(jié)構(gòu)的常數(shù)矩陣.

假設(shè)3，傳感器是時(shí)間驅(qū)動(dòng)周期采樣的,采樣周期為h.

參考文獻(xiàn)[11]提出的離散事件觸發(fā)通信機(jī)制,令e(rk)=x(k)-x(rk),則滿足以下離散事件觸發(fā)通信機(jī)制的采樣數(shù)據(jù)允許通過(guò)網(wǎng)絡(luò)傳輸：

eT(rk)Ue(rk)≥δxT(rk)Ux(rk)

(3)

其中：rk為事件觸發(fā)時(shí)刻;U為觸發(fā)矩陣；δ∈(0,1)是事件觸發(fā)參數(shù).則下一次數(shù)據(jù)傳輸?shù)挠|發(fā)時(shí)刻為

rk+1=inf{k|eT(rk)Ue(rk)≥δxT(rk)Ux(rk)}

本文采用的基于離散事件觸發(fā)機(jī)制的狀態(tài)反饋控制器為

u(rk)=Kx(rk)

(4)

本文只考慮狀態(tài)量測(cè)通道內(nèi)的DoS攻擊問(wèn)題,當(dāng)DoS攻擊發(fā)生時(shí)會(huì)導(dǎo)致滿足事件觸發(fā)條件的狀態(tài)量測(cè)數(shù)據(jù)包丟失,記rk為在控制器一側(cè)當(dāng)前收到的最新數(shù)據(jù)包時(shí)刻.

假設(shè)4，由于DoS攻擊的影響,在接下來(lái)的rk+1,rk+2,…,rk+n時(shí)刻的滿足事件觸發(fā)條件的數(shù)據(jù)包會(huì)在傳輸過(guò)程中丟失,記n為DoS攻擊造成的最大數(shù)據(jù)包連續(xù)丟失數(shù).

傳感器量測(cè)數(shù)據(jù)在傳輸過(guò)程中有可能遭受到DoS攻擊,隨機(jī)DoS攻擊可描述為

(5)

αk是獨(dú)立同分布的Bernoulli隨機(jī)過(guò)程,滿足：

Pr{αk=1}=p, Pr{αk=0}=1-p

由CPS結(jié)構(gòu)圖可知,滿足傳輸條件的傳感器量測(cè)數(shù)據(jù)在通信網(wǎng)絡(luò)中進(jìn)行傳送.當(dāng)測(cè)量信道遭受到DoS攻擊后,控制器輸入保持為最近一次DoS攻擊發(fā)生前的事件觸發(fā)時(shí)刻的狀態(tài).基于上述分析,考慮DoS攻擊行為的狀態(tài)反饋控制器(4)可以描述為

u(rk)=αkKx(rk)+(1-αk)Kx(rk-n)

(6)

綜合考慮式(1,4,6),可得閉環(huán)系統(tǒng)模型為

(7)

將式(2)代入式(7),可得

x(k+1)=A1x(k)+B1e(rk)+B2x(rk-n)

(8)

其中：

A1=A+αkBK+DF(Ea+αkEbK)B1=αk(B+DFEb)KB2=(B+DFEb)K(1-αk)

結(jié)合上述閉環(huán)系統(tǒng)模型,考慮如下形式的二次型系統(tǒng)性能指標(biāo)函數(shù):

(9)

本文的目的是對(duì)事件觸發(fā)機(jī)制(3)和狀態(tài)反饋控制器(5)進(jìn)行協(xié)同設(shè)計(jì),從而實(shí)現(xiàn)閉環(huán)系統(tǒng)(8)的保性能控制,且獲得給定二次型目標(biāo)函數(shù)(9)的上界.

2 主要結(jié)果

本節(jié)首先給出DoS攻擊下CPS穩(wěn)定的充分條件,同時(shí)得到二次型目標(biāo)函數(shù)的上界,再進(jìn)一步求取所設(shè)計(jì)保性能控制器的參數(shù)矩陣.

引理1[18]給定適當(dāng)維數(shù)的矩陣D、E和Y=YT,則

Y+DFE+ETFTDT<0

對(duì)所有滿足FTF≤I的矩陣F成立,當(dāng)且僅當(dāng)存在一個(gè)常數(shù)ε>0,使得

Y+εDDT+ε-1ETE<0

定理1對(duì)于閉環(huán)系統(tǒng)(8),若存在矩陣K、對(duì)稱正定矩陣P、G和U,使得對(duì)所有允許的不確定性,有以下矩陣不等式成立：

(10)

J≤J*=xT(0)Px(0)+xT(r-n)Gx(r-n)

(11)

其中:

則在事件觸發(fā)機(jī)制(3)下的閉環(huán)系統(tǒng)(8)在隨機(jī)DoS攻擊下是魯棒穩(wěn)定的,且具有保性能水平J*.

證明選取李雅普諾夫Lyapunov函數(shù):

(12)

其中:P和G為正定矩陣.顯然對(duì)任意x(k)≠0,V(k)是正定的.沿閉環(huán)系統(tǒng)(8)的任意軌線計(jì)算V(k)的前向差分,并考慮事件觸發(fā)條件(3),可得

ΔV(k)=V(k+1)-V(k)=

xT(k+1)Px(k+1)+

eT(rk)Ue(rk)+δxT(rk)Ux(rk)=

xT(k+1)Px(k+1)+

xT(rk)Gx(rk)-xT(k)Px(k)-

xT(rk-n)Gx(rk-n)-eT(rk)Ue(rk)+

δxT(rk)Ux(rk)

(13)

令

由式(13)可得:

由式(10)可得

(Θ+diag{Q+KTRK,0,0})<0

則有

V(k+1)-V(k)+xT(k)Qx(k)+uT(k)Ru(k)<0

即

ΔV(k)<-xT(k)(Q+KTRK)x(k)<0

(14)

可以得到閉環(huán)系統(tǒng)(8)是魯棒穩(wěn)定的.進(jìn)而,對(duì)式(14)兩邊從k=0到k=∞求和,可得

由于系統(tǒng)是穩(wěn)定的,可知V(x(∞))=0,于是有

xT(0)Px(0)+xT(r-n)Gx(r-n)

從而

定理得證.

定理2對(duì)于具有性能指標(biāo)(9)的閉環(huán)系統(tǒng)(8),給定參數(shù)ε>0,在事件觸發(fā)機(jī)制(3)下若存在矩陣W、對(duì)稱正定矩陣X、M和H,使得以下矩陣不等式成立:

(15)

其中:

則可得到閉環(huán)系統(tǒng)(8)在隨機(jī)DoS攻擊下的離散事件觸發(fā)參數(shù)U及魯棒保性能控制器:

K=WX-1

(16)

且相應(yīng)的保性能水平滿足J≤J*.

證明矩陣不等式(10)可以寫成

(17)

其中:

對(duì)式(17)應(yīng)用舒爾補(bǔ)定理,可得

(18)

將A1、B1、B2的值帶入式(18),可得

(19)

其中:

Λ12=A+αkBK

對(duì)式(19)應(yīng)用引理1,可知存在一個(gè)常數(shù)ε>0,使得以下矩陣不等式成立:

(20)

對(duì)式(20)應(yīng)用舒爾補(bǔ)定理,可得

(21)

其中：

Λ11=-P-1+εDDT

Λ13=(1-αk)BK

對(duì)式(21)分別左乘右乘合同矩陣diag{IP-1P-1P-1I},并記X=P-1,W=KP-1,H=P-1GP-1,M=P-1UP-1,S=P-1QP-1,Z=R-1,可得

(22)

對(duì)式(22)再次應(yīng)用舒爾補(bǔ)定理,可得式(15),由證明過(guò)程可知式(16)成立.類似于定理1的證明,可得J≤J*.定理得證.

3 仿真實(shí)例

為了驗(yàn)證本文所提控制策略的有效性,參考文獻(xiàn)[19]的RLC電路模型,被控對(duì)象的狀態(tài)方程為

取C=0.5 μF,L=4 H,R=0.01 Ω.假設(shè)采樣周期h=0.02 s,同時(shí)考慮到系統(tǒng)中的不確定性,則離散化后被控對(duì)象的狀態(tài)方程為

x(k+1)=(A+ΔA)x(k)+(B+ΔB)u(rk)

相應(yīng)的保性能水平的上界為J*=27.763 9.

圖2a是無(wú)DoS攻擊時(shí)的事件觸發(fā)時(shí)刻,圖2b是無(wú)DoS攻擊時(shí)網(wǎng)絡(luò)化控制下的RLC電路的狀態(tài)軌跡圖.從圖2a可以看出,本文所采用的離散時(shí)間觸發(fā)通信機(jī)制達(dá)到了節(jié)約網(wǎng)絡(luò)通信資源的目的.從圖2b可以看出,本文所提出的保性能控制策略在無(wú)DoS攻擊時(shí)可使系統(tǒng)迅速達(dá)到穩(wěn)定狀態(tài).

圖2 無(wú)DoS攻擊時(shí)的事件觸發(fā)時(shí)刻和狀態(tài)軌跡Fig.2 Event trigger time and state trajectory without DoS attacks

考慮到系統(tǒng)受到隨機(jī)性DoS攻擊,假設(shè)攻擊造成的數(shù)據(jù)最大連續(xù)丟包數(shù)n=4.根據(jù)定理2可得系統(tǒng)遭受DoS攻擊時(shí)的控制器增益和事件觸發(fā)矩陣分別為

圖3給出了DoS攻擊概率為0.20的攻擊時(shí)刻和有效事件觸發(fā)時(shí)刻.從圖3b可以看出,受到DoS攻擊時(shí)會(huì)使部分滿足事件觸發(fā)條件的系統(tǒng)狀態(tài)無(wú)法傳輸,相較于無(wú)攻擊情況下的事件觸發(fā)時(shí)刻,系統(tǒng)受到攻擊時(shí)的有效事件觸發(fā)次數(shù)顯著減少,但仍然可以達(dá)到節(jié)約通信資源的目的.

圖3 攻擊概率為0.20的攻擊時(shí)刻和有效觸發(fā)時(shí)刻Fig.3 Attack time and effective trigger time with attacks probability of 0.2

圖4給出了網(wǎng)絡(luò)化控制下的RLC電路在受到隨機(jī)DoS攻擊下的狀態(tài)軌跡.可以看出,本文所提出的保性能控制器在遭受到隨機(jī)DoS攻擊后,閉環(huán)系統(tǒng)仍然能保持穩(wěn)定,系統(tǒng)狀態(tài)在有限步數(shù)內(nèi)收斂于平衡狀態(tài).

圖4 攻擊概率為0.20的狀態(tài)軌跡Fig.4 State trajectory with attacks probability of 0.20

圖5給出了系統(tǒng)受到DoS攻擊概率為0.40的攻擊時(shí)刻和有效事件觸發(fā)時(shí)刻.通過(guò)對(duì)比不同攻擊概率下的有效通信觸發(fā)時(shí)刻可知,當(dāng)攻擊概率提高時(shí)會(huì)導(dǎo)致更多的量測(cè)數(shù)據(jù)無(wú)法到達(dá)控制器端.

圖5 攻擊概率為0.40的攻擊時(shí)刻和有效觸發(fā)時(shí)刻Fig.5 Attack time and effective trigger time with attacks probability of 0.40

圖6給出了攻擊概率為0.40時(shí)系統(tǒng)的狀態(tài)軌跡.可以看到,當(dāng)系統(tǒng)受到攻擊概率為0.40的DoS攻擊時(shí),本文所提的控制策略仍然能夠保證系統(tǒng)穩(wěn)定.

圖6 攻擊概率為0.40的狀態(tài)軌跡Fig.6 State trajectory with attacks probability of 0.40

表1給出了保性能水平上界J*與隨機(jī)DoS攻擊概率的關(guān)系.從表1可以看出,隨著通信信道出現(xiàn)DoS攻擊,系統(tǒng)的性能指標(biāo)上界隨著攻擊概率的提升逐漸增大,但是仍然可以保證狀態(tài)的穩(wěn)定.當(dāng)攻擊概率為0.6時(shí),系統(tǒng)會(huì)出現(xiàn)不穩(wěn)定的情況,這表明所設(shè)計(jì)的保性能控制器在一定的攻擊強(qiáng)度下能夠使得系統(tǒng)穩(wěn)定運(yùn)行.

表1 保性能水平上界J*與DoS攻擊概率的關(guān)系Tab.1 The relation of upper bound J* for performance index and DoS attacks probability

4 結(jié)論

本文研究了隨機(jī)DoS攻擊下基于事件觸發(fā)機(jī)制的信息物理系統(tǒng)安全控制問(wèn)題.考慮到DoS攻擊造成的數(shù)據(jù)丟包以及由于環(huán)境變化和元件老化等因素造成的系統(tǒng)參數(shù)不確定性,借助狀態(tài)反饋控制律給出了閉環(huán)系統(tǒng)模型,基于Lyapunov穩(wěn)定理論和線性矩陣不等式技術(shù)得到了閉環(huán)系統(tǒng)穩(wěn)定的充分條件和保性能水平,求解出了保性能控制器與事件觸發(fā)矩陣.最后,通過(guò)仿真實(shí)例驗(yàn)證了所提出控制方法的有效性.今后將在DoS攻擊同時(shí)存在于測(cè)量信道和控制信道的條件下,進(jìn)行CPS的安全控制問(wèn)題研究.