楊 珊，吳崔屏

（浙江理工大學(xué) 信息科學(xué)與工程學(xué)院，浙江 杭州 310018）

0 引言

信息物理系統(tǒng)（Cyber-physical System，CPS）是將計算機(jī)技術(shù)、無線通信與控制功能深度融合的綜合技術(shù)體系，引起了社會生活的巨大變革。作為自動化領(lǐng)域的前沿研究方向，推動CPS 技術(shù)應(yīng)用對于國家制造戰(zhàn)略的順利實施、提升國家科技實力具有重大的現(xiàn)實意義［1-2］。由于互聯(lián)網(wǎng)從設(shè)計之初并沒有系統(tǒng)考慮各種潛在的安全隱患，以致席卷全球病毒事件的頻繁發(fā)生，使得信息物理系統(tǒng)時時經(jīng)受著嚴(yán)峻的網(wǎng)絡(luò)信息安全考驗。

由于當(dāng)前CPS 技術(shù)將物理進(jìn)程、通信過程與社會空間進(jìn)行了深度融合，使得網(wǎng)絡(luò)化程度不斷加深，傳統(tǒng)的信息物理系統(tǒng)的安全防御技術(shù)已不能滿足當(dāng)下網(wǎng)絡(luò)安全的需求。網(wǎng)絡(luò)信息安全的本質(zhì)是攻防對抗，如何設(shè)計合理且有效的防御機(jī)制，需要從系統(tǒng)融合的角度深入了解惡意攻擊者的攻擊空間和攻擊模型。由于物理系統(tǒng)面臨的攻擊種類繁多，比較常見的分類將網(wǎng)絡(luò)攻擊劃分為物理攻擊和通信攻擊，其中通信攻擊中的拒絕服務(wù)（Denial of Service，DoS）攻擊通過阻塞網(wǎng)絡(luò)傳輸通道、占用通信帶寬，使得系統(tǒng)可用資源被消耗殆盡，導(dǎo)致系統(tǒng)量測數(shù)據(jù)不能正常傳輸［3］。

隨著信息技術(shù)的發(fā)展，數(shù)據(jù)融合的概念被提出，多傳感器數(shù)據(jù)融合（Multi-Sensor Data Fusion，MSDF）逐步發(fā)展成一門信息綜合處理的專用技術(shù)。數(shù)據(jù)融合是指對多傳感器的感知數(shù)據(jù)進(jìn)行多維處理和合理控制，能夠更完善且精確地反映出檢測對象特征，從而獲得對被測對象的一致性描述［4］。與單傳感器相比，MSDF 在目標(biāo)識別、跟蹤與導(dǎo)航等方面極大地增強(qiáng)了量測信息的可信度，提升了受控系統(tǒng)的實用性與信息利用率，并對網(wǎng)絡(luò)資源進(jìn)行了整體優(yōu)化，不僅降低了網(wǎng)絡(luò)能源消耗，而且保障了網(wǎng)絡(luò)能量均衡。

從網(wǎng)絡(luò)安全的角度，無線通信網(wǎng)絡(luò)的脆弱性使得CPS易受到惡意攻擊干擾，重放攻擊、虛假數(shù)據(jù)注入攻擊以及DoS 攻擊不斷對系統(tǒng)產(chǎn)生安全威脅。文獻(xiàn)［5］研究了網(wǎng)絡(luò)系統(tǒng)中遠(yuǎn)程端的信息安全問題，傳感器根據(jù)輪詢協(xié)議向遠(yuǎn)程估計器發(fā)送量測數(shù)據(jù)，并基于誤差協(xié)方差演化提出最優(yōu)攻擊分配策略的充分條件；文獻(xiàn)［6］針對DoS 攻擊的分布式降維融合估計問題，基于新的攻擊和補(bǔ)償模型，為被尋址的CPS 設(shè)計了一種遞歸分布式卡爾曼融合估計器；文獻(xiàn)［7］研究了DoS 攻擊下具有多傳輸通道的觸發(fā)分布式網(wǎng)絡(luò)的安全估計問題；文獻(xiàn)［8］在攻擊者發(fā)動DoS 攻擊阻塞NCSS 信道過程中，考慮攻擊者在能量限制及隱蔽性的約束條件下不能在任意時間點發(fā)動高強(qiáng)度攻擊，針對攻擊的最優(yōu)調(diào)度問題進(jìn)行了分析；文獻(xiàn)［9］針對動態(tài)模型未知的信息系統(tǒng)在DoS攻擊下的安全控制問題，提出無模型H∞控制方法，利用博弈論將H∞控制轉(zhuǎn)化為二人零和博弈問題；文獻(xiàn)［10］從攻擊者角度研究多傳感器系統(tǒng)安全問題，以數(shù)學(xué)期望的形式推出子系統(tǒng)誤差協(xié)方差表達(dá)式，并量化其與系統(tǒng)的融合誤差協(xié)方差關(guān)系。

從數(shù)據(jù)融合的角度，文獻(xiàn)［11］、［12］針對傳感系統(tǒng)獲取的量測數(shù)據(jù)在傳輸過程中受到一定程度的干擾問題，提出將多種融合算法與卡爾曼濾波技術(shù)結(jié)合的數(shù)據(jù)融合方法；文獻(xiàn)［13］在虛假數(shù)據(jù)注入攻擊模型下，針對CPS 融合系統(tǒng)的穩(wěn)定性進(jìn)行了分析；文獻(xiàn)［14］在經(jīng)典的多模型交互算法基礎(chǔ)上，提出一種解決隨機(jī)線性混合系統(tǒng)狀態(tài)估計問題的分布式方法；文獻(xiàn)［15］對于無線傳感網(wǎng)絡(luò)系統(tǒng)動態(tài)估計的分布式濾波器，針對惡意網(wǎng)絡(luò)攻擊，提出基于信任的分布式處理框架，允許相鄰節(jié)點交換信息，并通過真值發(fā)現(xiàn)算法找出一系列可信節(jié)點。

本文聚焦于CPS 中拒絕服務(wù)攻擊的安全控制問題，基于分布式網(wǎng)絡(luò)系統(tǒng)的處理框架，攻擊者針對傳感器與遠(yuǎn)程估計器的無線傳輸通道發(fā)起惡意攻擊。本文貢獻(xiàn)如下：①對于無線傳輸通道，通過伯努利分布模型描述傳輸系統(tǒng)中存在的量測數(shù)據(jù)丟失特性；②對于分布式網(wǎng)絡(luò)系統(tǒng)存在的DoS 攻擊進(jìn)行安全狀態(tài)估計和攻擊檢測；③通過數(shù)值仿真驗證分布式最優(yōu)融合估計與檢測算法的有效性。

1 問題描述

典型的信息物理系統(tǒng)包括網(wǎng)絡(luò)組件與物理組件，當(dāng)系統(tǒng)狀態(tài)在一定范圍內(nèi)變化時，信息系統(tǒng)可以近似為線性系統(tǒng)。當(dāng)系統(tǒng)處于惡意攻擊狀態(tài)時，其攻擊狀態(tài)結(jié)構(gòu)如圖1所示。在系統(tǒng)正常運(yùn)行時，傳感器測量受控系統(tǒng)設(shè)備得到量測值，量測值通過無線不可靠通道傳輸給遠(yuǎn)程端進(jìn)行最優(yōu)狀態(tài)估計。由于無線傳輸通道的開放性和共享性，使得數(shù)據(jù)在傳輸過程中易受到惡意攻擊干擾。

Fig.1 CPS system under attack圖1 攻擊狀態(tài)CPS系統(tǒng)

將受控目標(biāo)CPS 抽象成離散線性時不變系統(tǒng)，多傳感器網(wǎng)絡(luò)控制系統(tǒng)模型如下：

其中，i=1，2，....，N。針對分布式網(wǎng)絡(luò)系統(tǒng)，在基于伯努利分布模型的不可靠無線通道量測傳輸中，定義=Pr(=1) ∈[0，1]為量測數(shù)據(jù)到達(dá)率。由于攻擊會造成量測數(shù)據(jù)丟失，當(dāng)系統(tǒng)處于不穩(wěn)定的情況下，卡爾曼濾波器無法進(jìn)行正常的狀態(tài)預(yù)測估計，因此考慮DoS 攻擊狀態(tài)下遠(yuǎn)程估計器接收的量測值為傳感器量測值加上前一時刻量測值的結(jié)果，以保證系統(tǒng)的正常、穩(wěn)定運(yùn)行?，F(xiàn)定義DoS 攻擊下分布式網(wǎng)絡(luò)系統(tǒng)量測數(shù)據(jù)傳輸丟失的補(bǔ)償模型為：

2 攻擊識別檢測方案

本文考慮的是分布式傳感網(wǎng)絡(luò)的拒絕服務(wù)攻擊，信息系統(tǒng)在受到攻擊后的表現(xiàn)形式為不可靠通道量測數(shù)據(jù)丟失，造成遠(yuǎn)程狀態(tài)估計器無法正常工作。為了降低系統(tǒng)噪聲和數(shù)據(jù)丟失對系統(tǒng)運(yùn)行的影響，通過分布式卡爾曼濾波和故障檢測器進(jìn)行系統(tǒng)數(shù)據(jù)融合與安全狀態(tài)檢測，得到系統(tǒng)的最優(yōu)狀態(tài)估計量。

2.1 局部狀態(tài)估計器

假設(shè)系統(tǒng)處于攻擊狀態(tài)，結(jié)合卡爾曼濾波理論，推導(dǎo)出信息濾波器的去噪處理過程。基于伯努利模型，DoS 攻擊子節(jié)點i的狀態(tài)估值、誤差值以及誤差協(xié)方差時間更新如下：

在時間更新的基礎(chǔ)上，調(diào)整DoS 攻擊狀態(tài)下子節(jié)點的最優(yōu)增益為：

由式（8）、式（9）可知，處于攻擊狀態(tài)時，系統(tǒng)狀態(tài)估值和誤差協(xié)方差發(fā)生了改變［16］。

2.2 分布式網(wǎng)絡(luò)數(shù)據(jù)融合

考慮到單傳感器無法滿足實際應(yīng)用需求，因此需要擴(kuò)展傳感網(wǎng)絡(luò)規(guī)模，以克服單傳感器系統(tǒng)時間和空間的局限性。其中，傳感系統(tǒng)通過多個不可靠無線信道將局部量測值發(fā)送到遠(yuǎn)程估計器，然后通過融合中心進(jìn)行融合估計?；诜植际骄W(wǎng)絡(luò)系統(tǒng)的融合狀態(tài)估值如下：

本文通過最優(yōu)融合算法進(jìn)行系統(tǒng)狀態(tài)估計，其中最優(yōu)權(quán)系數(shù)及融合誤差方差陣如下：

2.3 攻擊檢測判決規(guī)則

統(tǒng)計分析實際觀測值與理論估值之間的偏差程度，作為估計器輸出用于攻擊檢測。系統(tǒng)在遠(yuǎn)程估計端配備KL檢測器來判斷系統(tǒng)是否遭受DoS 攻擊，并采用如下指標(biāo)作為系統(tǒng)判斷規(guī)則對結(jié)果進(jìn)行評價：

其中，m為隨機(jī)序列維度，δ為系統(tǒng)攻擊檢測閾值。在穩(wěn)定運(yùn)行的系統(tǒng)中，隨機(jī)序列{pk}及{qk}滿足零均值的高斯分布，Σp和Σq為隨機(jī)序列協(xié)方差矩陣?；诜植际骄W(wǎng)絡(luò)系統(tǒng)，通過遠(yuǎn)程端獲得的新息序列和新息序列的KL 散度判斷系統(tǒng)是否處于攻擊狀態(tài)。若兩者的KL 散度為δ，系統(tǒng)將狀態(tài)置為H0；當(dāng)系統(tǒng)遭受DoS 攻擊，并且成功檢測出異常時，檢測器將系統(tǒng)狀態(tài)置為H1，并發(fā)送報警信號。具體檢測算法如下：

算法1信息系統(tǒng)DoS攻擊檢測算法

3 仿真驗證

為了驗證分布式網(wǎng)絡(luò)框架下多傳感器融合濾波估計和異常檢測的有效性，以分析一定區(qū)域內(nèi)的動態(tài)目標(biāo)追蹤問題，通過MATLAB 對穩(wěn)定系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊仿真分析，并對該方法與其它檢測方法的檢測性能進(jìn)行對比。假設(shè)目標(biāo)追蹤系統(tǒng)包含3 個傳感器，基于式（1）、式（2）的系統(tǒng)模型，相關(guān)參數(shù)變量取值為：

其中，基于過程噪聲與量測噪聲的協(xié)方差矩陣為：

當(dāng)動態(tài)目標(biāo)追蹤系統(tǒng)不處于攻擊狀態(tài)時，量測數(shù)據(jù)只發(fā)生自然丟失。當(dāng)追蹤系統(tǒng)遭受惡意攻擊后，系統(tǒng)量測數(shù)據(jù)處于“1”狀態(tài)表示正常傳輸，“0”狀態(tài)表示數(shù)據(jù)傳輸丟失。如圖2 所示，追蹤系統(tǒng)不可靠信道的量測數(shù)據(jù)自然丟失與遭受DoS 攻擊時發(fā)生的量測數(shù)據(jù)傳輸丟失具有明顯差異（彩圖掃OSID 碼可見）。

統(tǒng)計網(wǎng)絡(luò)系統(tǒng)攻擊前后實際觀測值與理論估計值之間的偏差程度，作為估計器輸出判斷系統(tǒng)的檢測狀態(tài)。CPS 系統(tǒng)在遠(yuǎn)程估計端配備KL 散度檢測器來檢測分布式多傳感器系統(tǒng)是否遭受攻擊［17］。由圖3 可知，在系統(tǒng)運(yùn)行[50，500]-1時間段內(nèi)，Ks，1=126，352，386，484，Ks，2=193，265，422，Ks，3=124，141，172，288，網(wǎng)絡(luò)系統(tǒng)處于攻擊狀態(tài)。

Fig.3 Multi-sensor KL divergence detection圖3 多傳感器KL散度檢測

目標(biāo)追蹤系統(tǒng)在未受攻擊的狀態(tài)下，經(jīng)分布式融合濾波估計的仿真如圖4 所示。系統(tǒng)真實狀態(tài)響應(yīng)與濾波融合的最優(yōu)狀態(tài)估值近似重合，由圖可知系統(tǒng)通過最優(yōu)融合算法，能在穩(wěn)定運(yùn)行時進(jìn)行可靠的狀態(tài)估計。

Fig.4 Optimal fusion state estimation圖4 最優(yōu)融合狀態(tài)估計

隨著網(wǎng)絡(luò)系統(tǒng)的不斷運(yùn)行，采用攻擊狀態(tài)下單傳感系統(tǒng)的檢測函數(shù)［18］，假設(shè)在系統(tǒng)檢測窗口J=50 的情況下，分布式融合系統(tǒng)實際觀測值與理論估計值之間的量測殘差序列如圖5所示。

Fig.5 Fusion system residual sequence圖5 融合系統(tǒng)殘差序列

為了進(jìn)一步考慮分布式框架下融合估計算法與異常檢測算法相結(jié)合的檢測方案性能，在系統(tǒng)量測殘差分布基礎(chǔ)上，對系統(tǒng)分別進(jìn)行卡方檢測和歐式檢測仿真對比，如圖6、圖7所示。

Fig.6 Chi-square detection of fusion system圖6 融合系統(tǒng)卡方檢測

Fig.7 Fusion system Euclidean detection圖7 融合系統(tǒng)歐氏檢測

基于單傳感器系統(tǒng)檢測函數(shù)，在量測數(shù)據(jù)傳輸總丟包率0.05 的基礎(chǔ)上，對分布式網(wǎng)絡(luò)系統(tǒng)檢測窗口J=20、J=50、J=100 的不可靠通道進(jìn)行多次數(shù)據(jù)統(tǒng)計分析?？ǚ綑z測與歐式檢測對比如表2所示。

Table 2 Comparison of chi-square test and European test表2 卡方檢測與歐式檢測對比

基于分布式傳感網(wǎng)絡(luò)系統(tǒng)，在數(shù)據(jù)到達(dá)率相同的情況下，隨著檢測窗口增大，檢測器的檢測率均有所下降，且卡方檢測的下降速度更快。相比之下，歐式檢測能更好地用于分布式網(wǎng)絡(luò)框架下的拒絕服務(wù)攻擊檢測。

4 結(jié)語

本文研究了分布式框架下多傳感網(wǎng)絡(luò)系統(tǒng)在遭受拒絕服務(wù)攻擊時的安全狀態(tài)估計問題。在單傳感網(wǎng)絡(luò)攻擊檢測模型基礎(chǔ)上，考慮了融合估計算法與惡意攻擊相結(jié)合的攻擊檢測模型，并對分布式網(wǎng)絡(luò)系統(tǒng)進(jìn)行卡方和歐式檢測仿真對比。

CPS 技術(shù)的蓬勃發(fā)展與國家安全、社會穩(wěn)定和人民福祉緊密相關(guān)，隨著通信網(wǎng)絡(luò)日益開放共享，網(wǎng)絡(luò)安全問題變得愈發(fā)重要。惡意DoS 攻擊作為網(wǎng)絡(luò)系統(tǒng)中易于實現(xiàn)的攻擊形式，在馬爾可夫模型、伯努利分布模型等研究中，能量受限及周期性等特征也應(yīng)該逐步成為該領(lǐng)域關(guān)注的研究方向。與此同時，針對多傳感器數(shù)據(jù)融合，基于分布式的一致性濾波和貝葉斯估計等也應(yīng)獲得更廣泛的關(guān)注。