基于事件觸發(fā)的遙操作系統(tǒng)在DOS攻擊下的安全控制

鄭凱中，樊春霞

（南京郵電大學(xué) 自動化學(xué)院、人工智能學(xué)院，江蘇 南京 210023）

遙操作系統(tǒng)是指通過主從端的通信，操作人員遠(yuǎn)程控制操作對象。隨著遙操作系統(tǒng)技術(shù)的發(fā)展，目前已廣泛應(yīng)用于醫(yī)療手術(shù)、采礦和處理有毒材料、海底和太空的探索、農(nóng)業(yè)生產(chǎn)等領(lǐng)域［1］。

遙操作系統(tǒng)要求遠(yuǎn)程環(huán)境中的從端機(jī)械臂跟蹤主端機(jī)械臂，并且從端機(jī)械臂能夠?qū)⑦h(yuǎn)程環(huán)境反饋給主端機(jī)械臂［2］，控制方式主要有基于位置反饋和力反饋的各種操作方案［1－3］。

在遙操作系統(tǒng)中，主從兩端需要利用通信鏈路進(jìn)行信息交互。而通信鏈路很容易受到惡意攻擊，其中攻擊方式主要為DOS攻擊和欺騙攻擊［4］。欺騙攻擊是通過篡改傳輸?shù)臄?shù)據(jù)包影響數(shù)據(jù)的可信度［5］，而DOS攻擊通過阻塞通信鏈路以達(dá)到阻止系統(tǒng)之間的通信［6－7］。 相較于欺騙攻擊，通信網(wǎng)絡(luò)更容易受到DOS攻擊［8］。如果對DOS攻擊處理不當(dāng)，可能會導(dǎo)致系統(tǒng)不能達(dá)到一致性［9］，如受到DOS攻擊的物理信息系統(tǒng)［10－11］。 因此，解決 DOS攻擊是網(wǎng)絡(luò)控制系統(tǒng)設(shè)計中的一個重要安全問題［12］。

目前的研究中，針對DOS攻擊下的不同系統(tǒng)提出了很多解決方案。文獻(xiàn)［4－7］研究了非線性多智能體在DOS攻擊下的安全一致性。文獻(xiàn)［8－9］研究了非線性系統(tǒng)在DOS攻擊下的控制策略。文獻(xiàn)［10－11］研究了信息物理系統(tǒng)在DOS攻擊下的穩(wěn)定性。文獻(xiàn)［12］研究在DOS攻擊下的移動機(jī)器人跟蹤控制。文獻(xiàn)［13］在線性系統(tǒng)中通過滿足一定條件的觸發(fā)事件序列可抵消DOS攻擊。文獻(xiàn)［14］研究了DOS攻擊下線性多智能體的平均一致性。目前，對受到DOS攻擊的機(jī)械臂遙操作系統(tǒng)，研究成果還比較少。但是遙操作系統(tǒng)應(yīng)用非常廣泛，如深海探測、空間機(jī)械臂等，所以有必要研究DOS攻擊下的遙操作系統(tǒng)穩(wěn)定性。

綜合考慮遙操作系統(tǒng)存在傳輸時延和DOS攻擊阻塞通信鏈路的特性，本文采用事件觸發(fā)控制算法。雖然本文并沒有專門針對遙操作系統(tǒng)傳輸時延進(jìn)行控制器設(shè)計，但是依據(jù)事件觸發(fā)控制算法，只要傳輸時延小于連續(xù)兩個觸發(fā)時刻的差值即δ＝，從而可以消除傳輸時延，并且不會影響遙操作系統(tǒng)的穩(wěn)定性。同時也降低了遙操作系統(tǒng)的傳輸頻率，減少控制器的更新［15－17］。 通過 Lyapunov 函數(shù)理論證明了DOS攻擊下的遙操作系統(tǒng)在設(shè)計的事件觸發(fā)控制算法下的穩(wěn)定。也通過仿真驗證了DOS攻擊下遙操作系統(tǒng)的兩種運動情形，即沒有力反饋和存在力反饋，在事件觸發(fā)控制算法下的穩(wěn)定，這也是本文的創(chuàng)新之一。

1 遙操作系統(tǒng)的數(shù)學(xué)模型

1.1 系統(tǒng)模型

遙操作系統(tǒng)一般由5個部分組成：操作人員、主機(jī)械臂、通信通道、從機(jī)械臂和外部環(huán)境，如圖1所示。

圖1 遙操作系統(tǒng)結(jié)構(gòu)示意圖

本文的遙操作系統(tǒng)的主從機(jī)械臂的動力學(xué)方程用如下歐拉－拉格朗日方程［3］表示

其中，下標(biāo)（i＝m，s）表示主機(jī)械臂和從機(jī)械臂，qi∈Rn表示機(jī)械臂的關(guān)節(jié)角位置，∈Rn表示機(jī)械臂的關(guān)節(jié)角速度，表示機(jī)械臂的關(guān)節(jié)角加速度，Mi（qi） ∈ R（n×n）為機(jī)械臂的慣性矩陣，為科氏力和離心力，Gi（qi）∈Rn代表重力矩陣，τi（t）∈Rn是關(guān)節(jié)控制力矩，Ji∈R（n×n）是雅可比矩陣，F(xiàn)h∈Rn是操作者施加在主機(jī)械臂上的力，F(xiàn)e∈Rn是環(huán)境給從機(jī)械臂的力。

主從機(jī)械臂的動力學(xué)方程具有以下3個性質(zhì)［18］：

性質(zhì)1 慣性矩陣Mi（qi）為對稱正定矩陣且有界，即

其中λmin｛Mi（qi）｝，λmax｛Mi（qi）｝ 分別表示M（qi）的最小和最大特征值。

性質(zhì) 3 方程可參數(shù)線性化，即Mi（qi）x＋，對于任意的x，y∈Rn都成立，其中為回歸矩陣，θ為機(jī)械臂的參數(shù)向量。

1.2 DOS 攻擊模型

網(wǎng)絡(luò)攻擊一般可以分為欺騙攻擊和DOS攻擊，其中DOS攻擊是一種常見且有效的攻擊方式［5］。DOS攻擊是一種利用TCP／IP網(wǎng)絡(luò)協(xié)議的漏洞使系統(tǒng)的通信信道擁堵的惡意攻擊方式。DOS攻擊的目的是使目標(biāo)系統(tǒng)不能進(jìn)行數(shù)據(jù)傳輸［7］。假設(shè)攻擊者可以在任意時刻對系統(tǒng)進(jìn)行DOS攻擊，但不能一直進(jìn)行攻擊，每次攻擊完之后需要停止去補(bǔ)充能量來進(jìn)行下次攻擊，所以將DOS攻擊分為活躍期和休眠期［8］。在活躍期內(nèi)，系統(tǒng)無法進(jìn)行數(shù)據(jù)傳輸，則控制器的輸出維持在上一個成功接收的狀態(tài)信息。設(shè)是 DOS 攻擊序列，其中是第n次攻擊開始的時刻。假設(shè)表示第n次攻擊時長且，則第n次攻擊時長記為且從初始時刻 0 到終止時刻t，其中t＞0，把DOS攻擊時不可通信階段記為［10］

則沒有DOS攻擊時，系統(tǒng)可正常通信時間記為

假設(shè) 1［10］對于在 DOS 攻擊時間段 Ψd（0，t）滿足條件

其中η≥0且T＞1。

1.3 事件觸發(fā)機(jī)制

一般遙操作系統(tǒng)發(fā)送數(shù)據(jù)機(jī)制有兩種：按固定時間周期性發(fā)送，稱為時間觸發(fā)；另一種為按照事件觸發(fā)機(jī)制發(fā)送。按照事件觸發(fā)機(jī)制發(fā)送數(shù)據(jù)是一種按需發(fā)送數(shù)據(jù)的方式，通?？梢怨?jié)約通信資源［11］，因此本文采用事件觸發(fā)機(jī)制發(fā)送數(shù)據(jù)。

設(shè)｛tk｝k∈N代表事件觸發(fā)序列，基于事件的控制輸入為 τi（t） ＝ f（qi（tk（t）））， 其中 qi（tk（t）） 代表最近一次成功傳輸?shù)臓顟B(tài)［10］，且

由于可能在一開始的時候就發(fā)生DOS攻擊，即t0＝ 0，τi（0） ＝ 0， 故令 qi（t－1） ＝ 0。

2 遙操作系統(tǒng)控制器設(shè)計

2.1 控制器設(shè)計

在設(shè)計控制器之前，先定義幾個輔助變量

其中，λ為正常數(shù)。

根據(jù)動力學(xué)方程性質(zhì)3參數(shù)線性化可進(jìn)行如下變形

其中i（i＝m，s）分別表示主從機(jī)械臂。

對于遙操作系統(tǒng)，當(dāng)在 t∈ ［tk，tk＋1） 時間段內(nèi)受到DOS攻擊時，通信鏈路阻塞，主從機(jī)械臂不能進(jìn)行信息交互，從而不能更新控制輸入，采用零階保持器的思想，利用在tk時刻接收到的信息來構(gòu)造控制器，由此提出一種基于事件觸發(fā)的控制算法如下

其中ki為正的常值增益，下標(biāo) （p＝h，e）。 從式（13）可以看出在時間間隔 ［tk，tk＋1） 內(nèi)， τi（t） 的值不變。

把式（10）～（13）代入到動力學(xué)方程（1）和（2）中可得

遙操作系統(tǒng)主從機(jī)械臂的控制器更新由觸發(fā)律決定，觸發(fā)律為

其中， εi（t） ＝ ［Yi（tk） － Yi（t）］θ，0 ＜ μ ＜ 1，?i（t）＝表示由DOS攻擊引起的額外誤差，只有當(dāng)系統(tǒng)受到DOS攻擊時，觸發(fā)函數(shù)才有此項。 當(dāng) fi（?i（t），εi（t）） ＜ 0 時，事件不觸發(fā)，主從機(jī)械臂的控制器仍然保持上一觸發(fā)時刻的狀態(tài)。 當(dāng) fi（?i（t），εi（t）） ≥0 時，事件觸發(fā)，控制器更新其狀態(tài)。每次事件觸發(fā)之后，?i（t），εi（t） 都會重置為 0。

2.2 穩(wěn)定性證明

定理1 對于主從機(jī)械臂動力學(xué)方程為（1）和（2）的遙操作系統(tǒng)，正常通信時，當(dāng)觸發(fā)器（式（15））大于等于0時，主、從機(jī)械臂之間發(fā)生信息交互，而當(dāng)系統(tǒng)遭受能量有限的DOS攻擊的時間段或者觸發(fā)器（式（15））小于0，則主、從機(jī)械臂之間沒有信息交互，控制器（式（13））可以使得遙操作系統(tǒng)在上述兩種情況下保持有界穩(wěn)定，且無Zeno行為。

其中，j（j＝s，m），表示當(dāng) i＝m 時，j＝s；當(dāng)i＝s時，j＝m。

對于存在DOS攻擊下的遙操作系統(tǒng)，將穩(wěn)定性分析分為兩部分來證明，其一是未受到攻擊時，其二是在受到DOS攻擊時。

首先考慮系統(tǒng)未受到DOS攻擊，也就是系統(tǒng)在Ψr（0，t）時段內(nèi)。記此時的李雅普諾夫函數(shù)為Vr。在沒有受到DOS攻擊時，事件觸發(fā)律（式（15））可表示為 fi（φi（t），εi（t））＝ki‖?i（t）‖ ＋ ‖εi（t）‖ ＋‖ei‖ － μki‖si（t）‖， 因此利用性質(zhì) 1，可得

在事件觸發(fā)時刻 tk，?i（t）、εi（t） 都會重置為 0。則下一事件觸發(fā)時刻 tk＋1由 εi（t） 和 ?i（t） 的變化率和 si（t） 決定。 在下一個觸發(fā)時刻 tk＋1時，k‖?i（tk＋1）‖ ＋ ‖εi（tk＋1）‖ ＝ μk‖si（tk＋1）‖ 成立?？傻玫健瑂i（tk＋1）‖ ＞0，這表明存在一個嚴(yán)格為正的δ，使系統(tǒng)不存在Zeno行為。

綜上，系統(tǒng)不存在Zeno行為，證畢。

3 數(shù)值仿真

為了驗證上述控制算法對遙操作系統(tǒng)在DOS攻擊下的有效性，其中遙操作系統(tǒng)中的主從機(jī)械臂在兩種情形下進(jìn)行仿真，分別是自由運動即主從機(jī)械臂在整個運動過程中沒有受到任何接觸力和存在操作者控制主機(jī)械臂和從機(jī)械臂與環(huán)境接觸產(chǎn)生力反饋兩種情形。

在仿真實驗中，假設(shè)主從機(jī)械臂都是兩自由度兩連桿旋轉(zhuǎn)機(jī)械臂，主從機(jī)械臂的質(zhì)量m1＝m2＝1.6 kg，主從機(jī)械臂的連桿長度l1＝l2＝1.45 m；重力加速度為g＝10m／s2，式（1）（2）中的機(jī)械臂動力學(xué)參數(shù)分別為［20］

3.1 無力反饋的仿真

首先考慮遙操作系統(tǒng)中主從機(jī)械臂在自由運動情況下受到DOS攻擊的情況，仿真驗證本文所提出的事件觸發(fā)控制算法的有效性。

在自由運動的情形下，即Fh＝0，F(xiàn)e＝0。遙操作系統(tǒng)的主從機(jī)械臂的初始位置分別設(shè)置為：qm＝［－2.3，2］，qs＝［2，1］；初始速度分別設(shè)置為［1.2，2.3］，［－2，3］?？刂圃鲆鎘＝55。仿真結(jié)果分別如圖2～5所示。

圖2 機(jī)械臂位置跟蹤

從圖2可以看出，遙操作系統(tǒng)在自由情形受到DOS攻擊情況下，從機(jī)械臂關(guān)節(jié)1，2都能快速跟蹤到主機(jī)械臂的位置，保證了遙操作系統(tǒng)在圖4所示的DOS攻擊下遙操作系統(tǒng)的穩(wěn)定性。圖3顯示了從機(jī)械臂的兩個關(guān)節(jié)能快速追蹤到主機(jī)械臂兩關(guān)節(jié)的速度。圖5顯示了遙操作系統(tǒng)在自由運動情行下，主從機(jī)械臂的所有觸發(fā)時刻。

圖3 機(jī)械臂速度跟蹤

圖4 自由運動時DOS攻擊

圖5 自由運動時機(jī)械臂主從端觸發(fā)時刻

3.2 存在力反饋的仿真

在存在操作者控制主機(jī)械臂并且從機(jī)械臂與環(huán)境中的物體相碰撞的情況下，驗證事件觸發(fā)控制算法對存在力反饋的遙操作系統(tǒng)在DOS攻擊下仍能保持穩(wěn)定。

在人類操作主端機(jī)械臂時，對其施加的力為Fh＝［15，0］T，當(dāng)從端與環(huán)境的物體發(fā)生碰撞，假設(shè)從端不能移動，則Fe＝［15，0］T。 仿真結(jié)果分別如圖6～9所示。

圖6 機(jī)械臂位置跟蹤

從圖6可以看出，在存在力反饋的遙操作系統(tǒng)在DOS攻擊下仍能保持很好的穩(wěn)定，雖然主從端機(jī)械臂關(guān)節(jié)2之間存在很小的誤差，但是從機(jī)械臂的關(guān)節(jié)1，關(guān)節(jié)2都能在非常短的時間內(nèi)跟蹤到主機(jī)械臂的兩個關(guān)節(jié)。圖7顯示了主從機(jī)械臂的兩個關(guān)節(jié)速度，可以看出兩個機(jī)械臂的關(guān)節(jié)1，關(guān)節(jié)2速度基本達(dá)到一致，誤差可忽略不計。圖8顯示了遙操作系統(tǒng)運行時受到DOS攻擊的時刻。圖9分別顯示了在遙操作整個運行過程中，主從機(jī)械臂的所有觸發(fā)時刻。

圖7 機(jī)械臂速度跟蹤

圖8 存在力反饋時DOS攻擊

圖9 機(jī)械臂主從端觸發(fā)時刻

4 結(jié)束語

本文研究了DOS攻擊下，遙操作系統(tǒng)的穩(wěn)定性問題。由于能量限制，攻擊者實施DOS攻擊時，大都是間隔性的，當(dāng)遙操作系統(tǒng)受到DOS攻擊時，相當(dāng)于主從兩端之間的通信被阻斷，從事件觸發(fā)發(fā)送數(shù)據(jù)的角度看，這個通信被阻斷相當(dāng)于事件觸發(fā)器處于關(guān)斷狀態(tài)，不發(fā)送數(shù)據(jù)。因此，本文將DOS攻擊導(dǎo)致的主從兩端跟蹤誤差作為事件觸發(fā)器的一個條件來設(shè)計觸發(fā)律。為了避免遙操作系統(tǒng)發(fā)生Zeno現(xiàn)象，區(qū)分了遙操作系統(tǒng)是否收到DOS攻擊而設(shè)計了事件觸發(fā)器。最后，分別在自由運動即沒有力反饋的情況和從機(jī)械臂與物體相碰后產(chǎn)生力反饋的兩種運動情形，驗證了DOS攻擊下，主從機(jī)械臂仍能夠保持同步，從而保證了遙操作系統(tǒng)的穩(wěn)定性。