马尔可夫信息物理系统拒绝服务攻击安全控制*

马 超 , 吴 伟

1(北京科技大学 自动化学院,北京 100083)2(复杂系统管理与控制国家重点实验室(中国科学院 自动化研究所),北京 100190)

近年来,伴随着信息与网络技术的飞速发展,信息物理系统成为了一个热门的研究领域[1,2].信息物理系统在实际应用中的例子包括智能电网[3]、智能运输系统[4]、智能工厂[5]等.特别是由于信息物理系统中通信网络组件的使用,信息物理系统的安全控制问题受到了研究学者的广泛关注.一般而言,当信息物理系统中的传感器或者通信网络受到恶意攻击后,信息物理系统将无法按照正常系统状态进行控制,从而导致控制系统的性能下降甚至不稳定[6-8].常见的网络攻击类型主要有拒绝服务攻击[9]、重放攻击[10]以及欺骗攻击[11].近年来,拒绝服务攻击作为一种典型的恶意攻击手段被大量应用于网络系统,其主要方式为阻塞信息的正常通信.因此,针对拒绝服务攻击的特点,一些有效的安全控制及调度策略被提出,并且取得了良好的控制效果[12-14].此外,考虑到信息物理系统中存在的通信资源约束,基于事件触发的通信与控制策略被大量采用.与传统的基于时间触发策略不同,基于事件触发的策略可以按照给定的事件触发机制大量地减少信息传递的次数,从而提高通信资源的利用率[15-17].

另一方面,作为一类特殊的切换系统,马尔可夫跳变系统通常用来描述具有不同模态切换特性的实际物理系统[18].许多针对马尔可夫跳变系统的分析与综合方法被提出,用来解决稳定性问题[19]、状态估计问题[20]、同步问题[21]等.需要指出的是:大多数针对信息物理系统的建模通常基于系统参数及状态非跳变假设,相应的结果仍然具有一定的保守性.目前,对于马尔可夫跳变类型信息物理系统的研究尚处于起步阶段,例如文献[22]通过利用自适应滑模控制方法成功解决了马尔可夫跳变类型信息物理系统在对抗攻击下的安全控制问题等,然而在其他类型网络攻击下的安全控制问题仍然具有相当的挑战性[23,24].

针对以上不足,本文主要研究了一类马尔可夫跳变信息物理系统在拒绝服务攻击下的安全控制问题.与已有的文献相比较,本文的贡献主要包括以下3 个方面.

(1) 考虑到马尔可夫跳变信息物理系统的跳变特性,建立了一种新的模态依赖安全控制模型,从而更好地模拟实际网络攻击的模式;

(2) 提出了一种新颖的模态依赖事件触发控制策略,用来解决网络攻击下的安全控制问题;

(3) 利用凸优化的方法建立了实现安全控制所需要的充分性条件,并且给出了相应的事件触发函数与安全控制器的设计过程.

本文第1 节首先给出马尔可夫跳变信息物理系统的模型与安全控制问题的数学描述,并且设计了模态依赖的事件触发函数与控制器.第2 节给出相应的充分性条件以及数学推导过程.第3 节通过一个数值仿真的例子说明本文所提出设计方法的有效性与适用性.第4 节对本文研究工作进行总结并给出未来研究工作的一些展望.

本文采用下列统一的数学符号:Rn表示实数域n维向量空间,Rm×n表示实数域m×n矩阵空间,P>0 表示矩阵P是正定的,E{·}表示随机过程的数学期望,*表示对称矩阵中的对称部分.

1 预备知识与问题描述

1.1 马尔可夫跳变信息物理系统数学模型

固定概率空间为(Ω,F,P),考虑下列连续时间马尔可夫跳变信息物理系统,其动力学模型为

其中,x(t)∈Rn为系统的状态向量,u(t)∈Rm为系统的控制输入,A(σ(t))与B(σ(t))均为模态σ(t)下的已知常量矩阵.不失一般性,假设系统的任意模态均为可检测的,并且系统的初始状态假定为:x(0)=x0.

σ(t)表示连续时间离散状态的马尔可夫过程,其取值在一个有限的集合I={1,2,…,N}内.相应的,其状态转移概率矩阵Π={πij},∀i,j∈I被描述为

其中,πij≥0 表示从t时刻模态i跳变到从t+Δt时刻模态j的转移概率,,Δt>0,o(Δt)表示Δt的高阶无穷小,

1.2 模态依赖事件触发的安全控制器设计

在实际应用中,拒绝服务攻击通常难以预测.当攻击发生以后,安全控制器可以确保系统在一定的安全性能下稳定的运行.在事件触发策略下,假定系统的传感器按照时间序列采样传输的,其采样周期为h,其采样序列为S1={0,h,2h,3h,…,kh,(k+1)h,…}.不失一般性,当前控制信息成功更新时刻(事件触发时刻)定义为tkh,且下一个成功更新时刻定义为tk+1h,其更新序列为S2={0,t1h,t2h,t3h,…,tkh,tk+1h,…}.

此外,定义ε(ikh)为拒绝服务攻击的发生:

其中,ikh为第k个控制信息成功更新间隔内的传感器采样时刻,即tkh=ikh

更进一步,定义拒绝服务攻击的持续时间为

其中,表示能量有限的拒绝服务攻击发生情况下的控制信息成功更新时刻.

此外,定义ikh时刻拒绝服务攻击发生情况下的马尔可夫跳变信息物理系统状态误差为e(ikh)=x(ikh)-x(tkh),从而可以设计下列模态依赖的事件触发策略:

其中,

·δ为模态依赖的阈值参数;

·Φ1(σ(t))与Φ2(σ(t))为模态依赖的常量矩阵;

在此基础上,可以设计下面的模态依赖状态反馈控制器:

其中,K(σ(t))∈Rm×n为待求的模态依赖状态反馈增益矩阵.

将上述设计的状态反馈控制器带入信息物理系统,可以进一步得到闭环系统的状态方程为

为了方便描述上述方程,采用下标i来描述σ(t).因此,系统(5)可以进一步写成下面的形式:

值得注意的是,本文中的事件触发控制机制考虑了模态变化对于事件触发函数以及控制器的影响,因此具有更加广泛的适用性.此外,考虑到拒绝服务攻击具有针对性地对于信息物理系统的不同模态进行不同的攻击方式,本文所提出的模态依赖拒绝服务攻击也具有更加实际的背景.

1.3 控制目标

根据上述结果,本文的控制目标是:当拒绝服务攻击发生时,马尔可夫跳变信息物理系统(1)可以确保具有均方意义下渐近一致有界,即确保零初始系统的控制性能损失在安全控制器的作用下满足一定的指标JDoS,即||x(t)||≤JDoS,其中,||x(t)||表示x的欧几里德范数.

2 控制算法设计

在本节中,首先通过建立合适的Lyapunov-Krasovskii 泛函给出了实现安全控制性能的充分性条件,进而通过矩阵变换的方法求解模态依赖安全控制器的有效增益.

定理1.给定信息物理系统(1)与相应的事件触发安全控制器增益(4),如果存在模态依赖矩阵Pi>0,矩阵R>0,当满足下列线性矩阵不等式条件Ξi<0 时,系统可以在拒绝服务攻击发生时控制性能损失满足指标:

由上式可知存在一个参数κ>0,从而可以得到:

3 仿真验证

本节通过一个仿真例子来验证所设计控制算法的有效性,需要指出的是,本文提出的算法对于线性马尔可夫信息物理系统具有一定的通用性与适用性.

考虑下列负载根据马尔可夫链变化的RLC 电路模型,如图1 所示.

Fig.1 RLC circuit图1 RLC 电路

在仿真实验中,假设上述RLC 电路具有两个不同模态,即两种不同的负载满足马尔可夫链变化,这里使用下列参数:

系统的采样周期设定为h=0.05s,事件触发参数设置为δ=0.1.根据上述参数设置,根据定理2 的算法可以得到相应的模态依赖安全控制器增益为

Fig.2 Release intervals of the event-triggered control图2 事件触发释放间隔

Fig.3 State response of the closed-loop Markov jump cyber-pysical system图3 马尔可夫跳变信息物理系统闭环状态轨迹

Fig.4 Performance response of the closed-loop Markov jump cyber-pysical system图4 马尔可夫跳变信息物理系统性能轨迹

从图2 可以看出,采用事件触发策略可以降低控制器的更新间隔从而减轻网络负载.同时,从图3、图4 可以看到:马尔可夫跳变RLC 电路在闭环控制作用下最终的系统状态可以收敛在一定范围区间内,即满足第1.3节中的控制目标||x(t)||≤JDoS.综上所述,不难发现:系统可以在安全控制器的作用下有效的满足性能指标,仿真结果支持了理论计算的有效性.

4 结 论

本文研究了一类马尔可夫跳变信息物理系统在拒绝服务攻击下的安全控制问题.特别地,提出了一种新颖的模态依赖安全控制器设计方法用来应对模态依赖拒绝服务攻击的影响.通过使用凸优化的方法,给出了确保系统的控制性能损失指标的充分性条件.在此基础上,利用矩阵方法设计了模态依赖安全控制器.最后,通过一个RLC 电路的例子验证了本文所得到理论结果的有效性.未来研究工作将进一步研究通信带宽约束对于信息物理系统安全控制的影响.