楊 珊，吳崔屏

（浙江理工大學 信息科學與工程學院，浙江 杭州 310018）

0 引言

信息物理系統（Cyber-physical System，CPS）是將計算機技術、無線通信與控制功能深度融合的綜合技術體系，引起了社會生活的巨大變革。作為自動化領域的前沿研究方向，推動CPS 技術應用對于國家制造戰(zhàn)略的順利實施、提升國家科技實力具有重大的現實意義［1-2］。由于互聯網從設計之初并沒有系統考慮各種潛在的安全隱患，以致席卷全球病毒事件的頻繁發(fā)生，使得信息物理系統時時經受著嚴峻的網絡信息安全考驗。

由于當前CPS 技術將物理進程、通信過程與社會空間進行了深度融合，使得網絡化程度不斷加深，傳統的信息物理系統的安全防御技術已不能滿足當下網絡安全的需求。網絡信息安全的本質是攻防對抗，如何設計合理且有效的防御機制，需要從系統融合的角度深入了解惡意攻擊者的攻擊空間和攻擊模型。由于物理系統面臨的攻擊種類繁多，比較常見的分類將網絡攻擊劃分為物理攻擊和通信攻擊，其中通信攻擊中的拒絕服務（Denial of Service，DoS）攻擊通過阻塞網絡傳輸通道、占用通信帶寬，使得系統可用資源被消耗殆盡，導致系統量測數據不能正常傳輸［3］。

隨著信息技術的發(fā)展，數據融合的概念被提出，多傳感器數據融合（Multi-Sensor Data Fusion，MSDF）逐步發(fā)展成一門信息綜合處理的專用技術。數據融合是指對多傳感器的感知數據進行多維處理和合理控制，能夠更完善且精確地反映出檢測對象特征，從而獲得對被測對象的一致性描述［4］。與單傳感器相比，MSDF 在目標識別、跟蹤與導航等方面極大地增強了量測信息的可信度，提升了受控系統的實用性與信息利用率，并對網絡資源進行了整體優(yōu)化，不僅降低了網絡能源消耗，而且保障了網絡能量均衡。

從網絡安全的角度，無線通信網絡的脆弱性使得CPS易受到惡意攻擊干擾，重放攻擊、虛假數據注入攻擊以及DoS 攻擊不斷對系統產生安全威脅。文獻［5］研究了網絡系統中遠程端的信息安全問題，傳感器根據輪詢協議向遠程估計器發(fā)送量測數據，并基于誤差協方差演化提出最優(yōu)攻擊分配策略的充分條件；文獻［6］針對DoS 攻擊的分布式降維融合估計問題，基于新的攻擊和補償模型，為被尋址的CPS 設計了一種遞歸分布式卡爾曼融合估計器；文獻［7］研究了DoS 攻擊下具有多傳輸通道的觸發(fā)分布式網絡的安全估計問題；文獻［8］在攻擊者發(fā)動DoS 攻擊阻塞NCSS 信道過程中，考慮攻擊者在能量限制及隱蔽性的約束條件下不能在任意時間點發(fā)動高強度攻擊，針對攻擊的最優(yōu)調度問題進行了分析；文獻［9］針對動態(tài)模型未知的信息系統在DoS攻擊下的安全控制問題，提出無模型H∞控制方法，利用博弈論將H∞控制轉化為二人零和博弈問題；文獻［10］從攻擊者角度研究多傳感器系統安全問題，以數學期望的形式推出子系統誤差協方差表達式，并量化其與系統的融合誤差協方差關系。

從數據融合的角度，文獻［11］、［12］針對傳感系統獲取的量測數據在傳輸過程中受到一定程度的干擾問題，提出將多種融合算法與卡爾曼濾波技術結合的數據融合方法；文獻［13］在虛假數據注入攻擊模型下，針對CPS 融合系統的穩(wěn)定性進行了分析；文獻［14］在經典的多模型交互算法基礎上，提出一種解決隨機線性混合系統狀態(tài)估計問題的分布式方法；文獻［15］對于無線傳感網絡系統動態(tài)估計的分布式濾波器，針對惡意網絡攻擊，提出基于信任的分布式處理框架，允許相鄰節(jié)點交換信息，并通過真值發(fā)現算法找出一系列可信節(jié)點。

本文聚焦于CPS 中拒絕服務攻擊的安全控制問題，基于分布式網絡系統的處理框架，攻擊者針對傳感器與遠程估計器的無線傳輸通道發(fā)起惡意攻擊。本文貢獻如下：①對于無線傳輸通道，通過伯努利分布模型描述傳輸系統中存在的量測數據丟失特性；②對于分布式網絡系統存在的DoS 攻擊進行安全狀態(tài)估計和攻擊檢測；③通過數值仿真驗證分布式最優(yōu)融合估計與檢測算法的有效性。

1 問題描述

典型的信息物理系統包括網絡組件與物理組件，當系統狀態(tài)在一定范圍內變化時，信息系統可以近似為線性系統。當系統處于惡意攻擊狀態(tài)時，其攻擊狀態(tài)結構如圖1所示。在系統正常運行時，傳感器測量受控系統設備得到量測值，量測值通過無線不可靠通道傳輸給遠程端進行最優(yōu)狀態(tài)估計。由于無線傳輸通道的開放性和共享性，使得數據在傳輸過程中易受到惡意攻擊干擾。

Fig.1 CPS system under attack圖1 攻擊狀態(tài)CPS系統

將受控目標CPS 抽象成離散線性時不變系統，多傳感器網絡控制系統模型如下：

其中，i=1，2，....，N。針對分布式網絡系統，在基于伯努利分布模型的不可靠無線通道量測傳輸中，定義=Pr(=1) ∈[0，1]為量測數據到達率。由于攻擊會造成量測數據丟失，當系統處于不穩(wěn)定的情況下，卡爾曼濾波器無法進行正常的狀態(tài)預測估計，因此考慮DoS 攻擊狀態(tài)下遠程估計器接收的量測值為傳感器量測值加上前一時刻量測值的結果，以保證系統的正常、穩(wěn)定運行?，F定義DoS 攻擊下分布式網絡系統量測數據傳輸丟失的補償模型為：

2 攻擊識別檢測方案

本文考慮的是分布式傳感網絡的拒絕服務攻擊，信息系統在受到攻擊后的表現形式為不可靠通道量測數據丟失，造成遠程狀態(tài)估計器無法正常工作。為了降低系統噪聲和數據丟失對系統運行的影響，通過分布式卡爾曼濾波和故障檢測器進行系統數據融合與安全狀態(tài)檢測，得到系統的最優(yōu)狀態(tài)估計量。

2.1 局部狀態(tài)估計器

假設系統處于攻擊狀態(tài)，結合卡爾曼濾波理論，推導出信息濾波器的去噪處理過程。基于伯努利模型，DoS 攻擊子節(jié)點i的狀態(tài)估值、誤差值以及誤差協方差時間更新如下：

在時間更新的基礎上，調整DoS 攻擊狀態(tài)下子節(jié)點的最優(yōu)增益為：

由式（8）、式（9）可知，處于攻擊狀態(tài)時，系統狀態(tài)估值和誤差協方差發(fā)生了改變［16］。

2.2 分布式網絡數據融合

考慮到單傳感器無法滿足實際應用需求，因此需要擴展傳感網絡規(guī)模，以克服單傳感器系統時間和空間的局限性。其中，傳感系統通過多個不可靠無線信道將局部量測值發(fā)送到遠程估計器，然后通過融合中心進行融合估計?；诜植际骄W絡系統的融合狀態(tài)估值如下：

本文通過最優(yōu)融合算法進行系統狀態(tài)估計，其中最優(yōu)權系數及融合誤差方差陣如下：

2.3 攻擊檢測判決規(guī)則

統計分析實際觀測值與理論估值之間的偏差程度，作為估計器輸出用于攻擊檢測。系統在遠程估計端配備KL檢測器來判斷系統是否遭受DoS 攻擊，并采用如下指標作為系統判斷規(guī)則對結果進行評價：

其中，m為隨機序列維度，δ為系統攻擊檢測閾值。在穩(wěn)定運行的系統中，隨機序列{pk}及{qk}滿足零均值的高斯分布，Σp和Σq為隨機序列協方差矩陣?；诜植际骄W絡系統，通過遠程端獲得的新息序列和新息序列的KL 散度判斷系統是否處于攻擊狀態(tài)。若兩者的KL 散度為δ，系統將狀態(tài)置為H0；當系統遭受DoS 攻擊，并且成功檢測出異常時，檢測器將系統狀態(tài)置為H1，并發(fā)送報警信號。具體檢測算法如下：

算法1信息系統DoS攻擊檢測算法

3 仿真驗證

為了驗證分布式網絡框架下多傳感器融合濾波估計和異常檢測的有效性，以分析一定區(qū)域內的動態(tài)目標追蹤問題，通過MATLAB 對穩(wěn)定系統進行網絡攻擊仿真分析，并對該方法與其它檢測方法的檢測性能進行對比。假設目標追蹤系統包含3 個傳感器，基于式（1）、式（2）的系統模型，相關參數變量取值為：

其中，基于過程噪聲與量測噪聲的協方差矩陣為：

當動態(tài)目標追蹤系統不處于攻擊狀態(tài)時，量測數據只發(fā)生自然丟失。當追蹤系統遭受惡意攻擊后，系統量測數據處于“1”狀態(tài)表示正常傳輸，“0”狀態(tài)表示數據傳輸丟失。如圖2 所示，追蹤系統不可靠信道的量測數據自然丟失與遭受DoS 攻擊時發(fā)生的量測數據傳輸丟失具有明顯差異（彩圖掃OSID 碼可見）。

統計網絡系統攻擊前后實際觀測值與理論估計值之間的偏差程度，作為估計器輸出判斷系統的檢測狀態(tài)。CPS 系統在遠程估計端配備KL 散度檢測器來檢測分布式多傳感器系統是否遭受攻擊［17］。由圖3 可知，在系統運行[50，500]-1時間段內，Ks，1=126，352，386，484，Ks，2=193，265，422，Ks，3=124，141，172，288，網絡系統處于攻擊狀態(tài)。

Fig.3 Multi-sensor KL divergence detection圖3 多傳感器KL散度檢測

目標追蹤系統在未受攻擊的狀態(tài)下，經分布式融合濾波估計的仿真如圖4 所示。系統真實狀態(tài)響應與濾波融合的最優(yōu)狀態(tài)估值近似重合，由圖可知系統通過最優(yōu)融合算法，能在穩(wěn)定運行時進行可靠的狀態(tài)估計。

Fig.4 Optimal fusion state estimation圖4 最優(yōu)融合狀態(tài)估計

隨著網絡系統的不斷運行，采用攻擊狀態(tài)下單傳感系統的檢測函數［18］，假設在系統檢測窗口J=50 的情況下，分布式融合系統實際觀測值與理論估計值之間的量測殘差序列如圖5所示。

Fig.5 Fusion system residual sequence圖5 融合系統殘差序列

為了進一步考慮分布式框架下融合估計算法與異常檢測算法相結合的檢測方案性能，在系統量測殘差分布基礎上，對系統分別進行卡方檢測和歐式檢測仿真對比，如圖6、圖7所示。

Fig.6 Chi-square detection of fusion system圖6 融合系統卡方檢測

Fig.7 Fusion system Euclidean detection圖7 融合系統歐氏檢測

基于單傳感器系統檢測函數，在量測數據傳輸總丟包率0.05 的基礎上，對分布式網絡系統檢測窗口J=20、J=50、J=100 的不可靠通道進行多次數據統計分析。卡方檢測與歐式檢測對比如表2所示。

Table 2 Comparison of chi-square test and European test表2 卡方檢測與歐式檢測對比

基于分布式傳感網絡系統，在數據到達率相同的情況下，隨著檢測窗口增大，檢測器的檢測率均有所下降，且卡方檢測的下降速度更快。相比之下，歐式檢測能更好地用于分布式網絡框架下的拒絕服務攻擊檢測。

4 結語

本文研究了分布式框架下多傳感網絡系統在遭受拒絕服務攻擊時的安全狀態(tài)估計問題。在單傳感網絡攻擊檢測模型基礎上，考慮了融合估計算法與惡意攻擊相結合的攻擊檢測模型，并對分布式網絡系統進行卡方和歐式檢測仿真對比。

CPS 技術的蓬勃發(fā)展與國家安全、社會穩(wěn)定和人民福祉緊密相關，隨著通信網絡日益開放共享，網絡安全問題變得愈發(fā)重要。惡意DoS 攻擊作為網絡系統中易于實現的攻擊形式，在馬爾可夫模型、伯努利分布模型等研究中，能量受限及周期性等特征也應該逐步成為該領域關注的研究方向。與此同時，針對多傳感器數據融合，基于分布式的一致性濾波和貝葉斯估計等也應獲得更廣泛的關注。