杨 珊，吴崔屏

（浙江理工大学 信息科学与工程学院，浙江 杭州 310018）

0 引言

信息物理系统（Cyber-physical System，CPS）是将计算机技术、无线通信与控制功能深度融合的综合技术体系，引起了社会生活的巨大变革。作为自动化领域的前沿研究方向，推动CPS 技术应用对于国家制造战略的顺利实施、提升国家科技实力具有重大的现实意义［1-2］。由于互联网从设计之初并没有系统考虑各种潜在的安全隐患，以致席卷全球病毒事件的频繁发生，使得信息物理系统时时经受着严峻的网络信息安全考验。

由于当前CPS 技术将物理进程、通信过程与社会空间进行了深度融合，使得网络化程度不断加深，传统的信息物理系统的安全防御技术已不能满足当下网络安全的需求。网络信息安全的本质是攻防对抗，如何设计合理且有效的防御机制，需要从系统融合的角度深入了解恶意攻击者的攻击空间和攻击模型。由于物理系统面临的攻击种类繁多，比较常见的分类将网络攻击划分为物理攻击和通信攻击，其中通信攻击中的拒绝服务（Denial of Service，DoS）攻击通过阻塞网络传输通道、占用通信带宽，使得系统可用资源被消耗殆尽，导致系统量测数据不能正常传输［3］。

随着信息技术的发展，数据融合的概念被提出，多传感器数据融合（Multi-Sensor Data Fusion，MSDF）逐步发展成一门信息综合处理的专用技术。数据融合是指对多传感器的感知数据进行多维处理和合理控制，能够更完善且精确地反映出检测对象特征，从而获得对被测对象的一致性描述［4］。与单传感器相比，MSDF 在目标识别、跟踪与导航等方面极大地增强了量测信息的可信度，提升了受控系统的实用性与信息利用率，并对网络资源进行了整体优化，不仅降低了网络能源消耗，而且保障了网络能量均衡。

从网络安全的角度，无线通信网络的脆弱性使得CPS易受到恶意攻击干扰，重放攻击、虚假数据注入攻击以及DoS 攻击不断对系统产生安全威胁。文献［5］研究了网络系统中远程端的信息安全问题，传感器根据轮询协议向远程估计器发送量测数据，并基于误差协方差演化提出最优攻击分配策略的充分条件；文献［6］针对DoS 攻击的分布式降维融合估计问题，基于新的攻击和补偿模型，为被寻址的CPS 设计了一种递归分布式卡尔曼融合估计器；文献［7］研究了DoS 攻击下具有多传输通道的触发分布式网络的安全估计问题；文献［8］在攻击者发动DoS 攻击阻塞NCSS 信道过程中，考虑攻击者在能量限制及隐蔽性的约束条件下不能在任意时间点发动高强度攻击，针对攻击的最优调度问题进行了分析；文献［9］针对动态模型未知的信息系统在DoS攻击下的安全控制问题，提出无模型H∞控制方法，利用博弈论将H∞控制转化为二人零和博弈问题；文献［10］从攻击者角度研究多传感器系统安全问题，以数学期望的形式推出子系统误差协方差表达式，并量化其与系统的融合误差协方差关系。

从数据融合的角度，文献［11］、［12］针对传感系统获取的量测数据在传输过程中受到一定程度的干扰问题，提出将多种融合算法与卡尔曼滤波技术结合的数据融合方法；文献［13］在虚假数据注入攻击模型下，针对CPS 融合系统的稳定性进行了分析；文献［14］在经典的多模型交互算法基础上，提出一种解决随机线性混合系统状态估计问题的分布式方法；文献［15］对于无线传感网络系统动态估计的分布式滤波器，针对恶意网络攻击，提出基于信任的分布式处理框架，允许相邻节点交换信息，并通过真值发现算法找出一系列可信节点。

本文聚焦于CPS 中拒绝服务攻击的安全控制问题，基于分布式网络系统的处理框架，攻击者针对传感器与远程估计器的无线传输通道发起恶意攻击。本文贡献如下：①对于无线传输通道，通过伯努利分布模型描述传输系统中存在的量测数据丢失特性；②对于分布式网络系统存在的DoS 攻击进行安全状态估计和攻击检测；③通过数值仿真验证分布式最优融合估计与检测算法的有效性。

1 问题描述

典型的信息物理系统包括网络组件与物理组件，当系统状态在一定范围内变化时，信息系统可以近似为线性系统。当系统处于恶意攻击状态时，其攻击状态结构如图1所示。在系统正常运行时，传感器测量受控系统设备得到量测值，量测值通过无线不可靠通道传输给远程端进行最优状态估计。由于无线传输通道的开放性和共享性，使得数据在传输过程中易受到恶意攻击干扰。

Fig.1 CPS system under attack图1 攻击状态CPS系统

将受控目标CPS 抽象成离散线性时不变系统，多传感器网络控制系统模型如下：

其中，i=1，2，....，N。针对分布式网络系统，在基于伯努利分布模型的不可靠无线通道量测传输中，定义=Pr(=1) ∈[0，1]为量测数据到达率。由于攻击会造成量测数据丢失，当系统处于不稳定的情况下，卡尔曼滤波器无法进行正常的状态预测估计，因此考虑DoS 攻击状态下远程估计器接收的量测值为传感器量测值加上前一时刻量测值的结果，以保证系统的正常、稳定运行。现定义DoS 攻击下分布式网络系统量测数据传输丢失的补偿模型为：

2 攻击识别检测方案

本文考虑的是分布式传感网络的拒绝服务攻击，信息系统在受到攻击后的表现形式为不可靠通道量测数据丢失，造成远程状态估计器无法正常工作。为了降低系统噪声和数据丢失对系统运行的影响，通过分布式卡尔曼滤波和故障检测器进行系统数据融合与安全状态检测，得到系统的最优状态估计量。

2.1 局部状态估计器

假设系统处于攻击状态，结合卡尔曼滤波理论，推导出信息滤波器的去噪处理过程。基于伯努利模型，DoS 攻击子节点i的状态估值、误差值以及误差协方差时间更新如下：

在时间更新的基础上，调整DoS 攻击状态下子节点的最优增益为：

由式（8）、式（9）可知，处于攻击状态时，系统状态估值和误差协方差发生了改变［16］。

2.2 分布式网络数据融合

考虑到单传感器无法满足实际应用需求，因此需要扩展传感网络规模，以克服单传感器系统时间和空间的局限性。其中，传感系统通过多个不可靠无线信道将局部量测值发送到远程估计器，然后通过融合中心进行融合估计。基于分布式网络系统的融合状态估值如下：

本文通过最优融合算法进行系统状态估计，其中最优权系数及融合误差方差阵如下：

2.3 攻击检测判决规则

统计分析实际观测值与理论估值之间的偏差程度，作为估计器输出用于攻击检测。系统在远程估计端配备KL检测器来判断系统是否遭受DoS 攻击，并采用如下指标作为系统判断规则对结果进行评价：

其中，m为随机序列维度，δ为系统攻击检测阈值。在稳定运行的系统中，随机序列{pk}及{qk}满足零均值的高斯分布，Σp和Σq为随机序列协方差矩阵。基于分布式网络系统，通过远程端获得的新息序列和新息序列的KL 散度判断系统是否处于攻击状态。若两者的KL 散度为δ，系统将状态置为H0；当系统遭受DoS 攻击，并且成功检测出异常时，检测器将系统状态置为H1，并发送报警信号。具体检测算法如下：

算法1信息系统DoS攻击检测算法

3 仿真验证

为了验证分布式网络框架下多传感器融合滤波估计和异常检测的有效性，以分析一定区域内的动态目标追踪问题，通过MATLAB 对稳定系统进行网络攻击仿真分析，并对该方法与其它检测方法的检测性能进行对比。假设目标追踪系统包含3 个传感器，基于式（1）、式（2）的系统模型，相关参数变量取值为：

其中，基于过程噪声与量测噪声的协方差矩阵为：

当动态目标追踪系统不处于攻击状态时，量测数据只发生自然丢失。当追踪系统遭受恶意攻击后，系统量测数据处于“1”状态表示正常传输，“0”状态表示数据传输丢失。如图2 所示，追踪系统不可靠信道的量测数据自然丢失与遭受DoS 攻击时发生的量测数据传输丢失具有明显差异（彩图扫OSID 码可见）。

统计网络系统攻击前后实际观测值与理论估计值之间的偏差程度，作为估计器输出判断系统的检测状态。CPS 系统在远程估计端配备KL 散度检测器来检测分布式多传感器系统是否遭受攻击［17］。由图3 可知，在系统运行[50，500]-1时间段内，Ks，1=126，352，386，484，Ks，2=193，265，422，Ks，3=124，141，172，288，网络系统处于攻击状态。

Fig.3 Multi-sensor KL divergence detection图3 多传感器KL散度检测

目标追踪系统在未受攻击的状态下，经分布式融合滤波估计的仿真如图4 所示。系统真实状态响应与滤波融合的最优状态估值近似重合，由图可知系统通过最优融合算法，能在稳定运行时进行可靠的状态估计。

Fig.4 Optimal fusion state estimation图4 最优融合状态估计

随着网络系统的不断运行，采用攻击状态下单传感系统的检测函数［18］，假设在系统检测窗口J=50 的情况下，分布式融合系统实际观测值与理论估计值之间的量测残差序列如图5所示。

Fig.5 Fusion system residual sequence图5 融合系统残差序列

为了进一步考虑分布式框架下融合估计算法与异常检测算法相结合的检测方案性能，在系统量测残差分布基础上，对系统分别进行卡方检测和欧式检测仿真对比，如图6、图7所示。

Fig.6 Chi-square detection of fusion system图6 融合系统卡方检测

Fig.7 Fusion system Euclidean detection图7 融合系统欧氏检测

基于单传感器系统检测函数，在量测数据传输总丢包率0.05 的基础上，对分布式网络系统检测窗口J=20、J=50、J=100 的不可靠通道进行多次数据统计分析。卡方检测与欧式检测对比如表2所示。

Table 2 Comparison of chi-square test and European test表2 卡方检测与欧式检测对比

基于分布式传感网络系统，在数据到达率相同的情况下，随着检测窗口增大，检测器的检测率均有所下降，且卡方检测的下降速度更快。相比之下，欧式检测能更好地用于分布式网络框架下的拒绝服务攻击检测。

4 结语

本文研究了分布式框架下多传感网络系统在遭受拒绝服务攻击时的安全状态估计问题。在单传感网络攻击检测模型基础上，考虑了融合估计算法与恶意攻击相结合的攻击检测模型，并对分布式网络系统进行卡方和欧式检测仿真对比。

CPS 技术的蓬勃发展与国家安全、社会稳定和人民福祉紧密相关，随着通信网络日益开放共享，网络安全问题变得愈发重要。恶意DoS 攻击作为网络系统中易于实现的攻击形式，在马尔可夫模型、伯努利分布模型等研究中，能量受限及周期性等特征也应该逐步成为该领域关注的研究方向。与此同时，针对多传感器数据融合，基于分布式的一致性滤波和贝叶斯估计等也应获得更广泛的关注。