引用本文

庞岩, 王娜, 夏浩. 基于博弈论的信息物理融合系统安全控制. 自动化学报, 2019, 45(1): 185-195. doi: 10.16383/j.aas.2018.c180365

PANG Yan, WANG Na, XIA Hao. A Game Theory Approach for Secure Control of Cyber-physical Systems. ACTA AUTOMATICA SINICA, 2019, 45(1): 185-195. doi: 10.16383/j.aas.2018.c180365

http://www.aas.net.cn/cn/article/doi/10.16383/j.aas.2018.c180365

关键词

零和博弈，极大极小控制，LQG控制，数据包时序攻击 

摘要

对于远程复杂的操控系统，信息物理融合系统（Cyber-physical system，CPS）主要依靠无线网络实现从传感器到控制器，从控制器到执行器间的信息传输，由于其依靠网络传输数据的特性使其控制系统极易遭到安全威胁.本文从物理系统入手，意图保护CPS系统中物理实体的正常运行不受由于恶意攻击造成网络空间入侵带来的干扰.以受到数据包时序攻击的信息物理融合系统为研究对象，将其安全性研究抽象为一个博弈过程，基于非合作博弈的两人零和博弈模型，设计了可变延迟情况下鲁棒输出反馈的极大极小控制器.并且采用参数化的软约束二次型目标函数，在控制器设计时引入干扰衰减因子γ，通过对γ的取值使得二次型目标函数取极小值，从而保证了最差情况下的稳定控制，在满足γ的约束条件下，本文通过粒子群搜索算法得出γ的值.另外，本文还对所设计的极大极小控制器，与线性二次型高斯（Linear quadratic Gaussian，LQG）控制对比分析，用双水箱系统进行了仿真验证，发现在受攻击情况下本文所设计的控制器最终能够实现稳定控制，而LQG却不能.

文章导读

信息物理融合系统[1] (Cyber-physical system, CPS)是在环境感知的基础上综合计算、网络和物理实体的高效能网络化智能信息系统, 通过3C (Computation、communication、control)技术的有机融合与深度协作, 实现大型工程系统的实时感知、动态控制和信息服务.其本质是将计算过程和物理过程有效地融合在一起, 通过嵌入式计算机和网络对物理过程进行监控.我国在2009年将CPS列入重点研究方向[2], 但对CPS的研究无论从软件还是硬件以及理论基础上都存在着诸多难点.物联网、人工智能、云计算等技术的成熟和发展, 将会为CPS的研究和应用带来巨大的转机.

信息物理融合系统由深度集成、紧密耦合的计算和物理组件组成, 并具备通信能力.然而依赖于通信网络和标准通信协议来传输测量和控制数据包增加了对物理系统的攻击的可能性.因此, 对于可靠性差的通信网络下的网络控制系统研究也成为一个热门的研究领域[3].通信网络是CPS的核心, 系统的各部分元件在这里进行信息交换和传递, 而CPS中的信息系统结构复杂异构, 系统也随着发展变得更加复杂、开放, 因此极易受到外界干扰甚至恶意攻击.在存在恶意攻击威胁情况下, 如何设计防御控制策略, 对故障进行控制和及时恢复, 使系统在短时间内更正错误, 防止错误扩散, 不影响系统正常的工作状态, 是CPS安全性研究[4-5]的重点. CPS的安全性也可分为故障安全和主动安全.故障安全是对偶发故障的避免, 通过故障检测技术[6]实现对故障的及时发现以及将故障对系统带来的危害降至最低.而主动安全则侧重于对恶意攻击的主动防范.对于CPS系统的安全设计来说, 主要关心怎么预防事故的发生, 因此故障安全和主动安全都需要保证.而对于本文考虑的存在恶意攻击的情况下, 则主要研究主动安全, 从而对系统进行弹性与鲁棒控制.

目前国内相关的研究文献甚少, 国外的研究也处于起步阶段, 对于CPS的安全性研究大多集中于网络数据加密[7]、模型验证[8]或借助网络安全[9]的研究方法等, 而很少考虑物理系统的控制安全.与上述研究方向不同, 本文将着重考虑通信对于控制的影响, 给予系统一定的容错能力, 从受控系统上保证物理设备的安全.

在现有文献研究中, 下列文献研究了控制系统中数据通信受到攻击时的影响及控制方法设计.文献[10-11]致力于最小化控制目标函数的反馈控制器的设计, 在这两篇文献中, 仅考虑了数据包丢失, 未考虑延迟.在文献[12]中提出了延迟和数据包丢失下的预测控制器设计, 但是没有明确考虑乱序. Sinopoli等[13]利用伯努利过程研究了测量损失下卡尔曼滤波的应用, 提出了数据包丢失概率对于最优估计的一个阈值条件, 并给出了阈值函数.研究控制或者数据包丢包概率的条件是控制系统能够容忍并且仍然能够保持系统的可靠性.控制系统中数据丢包模型常用伯努利模型, 伯努利模型由于其通用性强及易处理，因此在最近几年被广泛地研究[14].然而伯努利过程仅给出了一个数据包丢失的离散概率分布模型, 对时延及观测噪声并没有考虑.伊利诺伊大学的Tamer Basar教授对博弈论在控制中的应用做出了很多工作, 包括对采用博弈论的方法进行H∞控制器设计的专著, 并且在文献[15]中提出用动态博弈的方法对有损网络进行H∞优化控制.文献[16]从数学范数概念出发, 提出把H2/H∞混合控制问题抽象为两个对局者在信息不完全情况下的非零和博弈模型, 通过纳什均衡设计输出反馈控制器, 使系统在保持鲁棒稳定性的前提下最大程度地降低干扰对输出的影响, 使系统获得最优动态性能指标.因此, 博弈论在针对冲突模式下的动态控制有良好的应用前景.

本文将研究信息物理融合系统受到攻击下的控制策略, 借助最优控制的理论和方法, 将其抽象为二人零和动态博弈问题, 设计了在网络控制系统中对数据包的时序攻击具有弹性的鲁棒输出反馈控制器.对网络时间序列算法的攻击将导致产生时变延迟, 造成数据包接收顺序的改变.对于无线传感器网络数据传输过程中由于对数据包时序攻击造成的可变延迟, 本文通过运用极大极小值原理并将其和黎卡提微分方程的解[17-18]相结合给出了最优控制策略的控制律.最后用双水箱模型进行仿真验证, 并与LQG (Linear quadratic Gaussian)控制进行了对比发现, 本文所用方法最终实现了系统的稳定控制, 而LQG控制在受到攻击后则出现剧烈震荡.

图 1  无线传感器网络控制系统模型

图 2  LQG控制器结构图

图 3  极大极小控制器结构图

随着传感、通信技术和控制理论的进一步综合发展, 以及物联网研究和开发的成熟化, CPS将成为各国未来科技发展的一个研究热点[25].本文根据最优控制的理论, 将信息物理系统的攻击防御模型作为二人零和动态博弈问题, 设计了在网络控制系统中对数据包的时序攻击具有弹性的鲁棒输出反馈控制器.运用极大极小值原理并将其和黎卡提微分方程的解相结合给出了最优控制策略的控制律.并与随机系统的线性二次型最优控制即LQG控制器进行对比, 结果显示本文所设计的极大极小控制器具有更好的控制效果.

受攻击下的信息物理融合系统的安全性问题, 是系统决策者与网络攻击者之间的博弈与对抗, 随着无线网络的普及及智能系统的发展, 无线通讯网络与物理实体之间信息交互的安全性将显得尤为重要.如果在完全信息状态下, 也就是攻击者能够获取受控系统信息的状态下, 攻击将会有策略性.因此对于具有策略性的外部干扰和攻击, 如何使受控系统不受影响或降低其带来的影响, 也就是如何使系统具有更好的弹性控制或鲁棒控制性能将会是今后重点研究的方向和解决的问题.

作者简介

庞岩

大连理工大学航空航天学院副教授.主要研究方向为混杂系统与非线性系统控制, 信息物理融合系统弹性控制.E-mail:ypang@dlut.edu.cn

王娜   

上海飞机设计研究院助理工程师.2018年于大连理工大学航空航天学院获得硕士学位.主要研究方向为信息物理融合系统的安全控制, 飞机控制律设计.E-mail:wangna1@comac.cc

夏浩  

大连理工大学控制科学与工程学院教授.主要研究方向为控制器评价, 过程控制.本文通信作者.E-mail:hao.x.xia@dlut.edu.cn