程 洋 王萃清 钟梦筱

（兰州理工大学电气工程与信息工程学院 兰州 730050）

1 引言

NCS将闭环控制分散于实时网络，突破了传统控制系统在空间物理位置上的限制以及信息的封闭性和局限性，已成为现代大规模复杂控制系统的首选构架。高度网络化的NCS信息安全风险显著增加，使得其控制或传感信息更容易被窃取，删除和篡改，导致集成信息网络的NCS不可避免的成为网络攻击对象［1～4］。本文所考虑的拒绝服务攻击是出现频率最高、危害最大的网络攻击［5～6］。

近年来，DoS攻击下NCS安全问题获得了学者的广泛关注［7～9］，并取得了一定研究成果。如文献［6］、［10］研究了DoS攻下NCS的稳定性问题。其中，文献［6］研究了DoS攻击下NCS输入到状态稳定，并给出了保证输入到状态稳定的DoS攻击频率以及持续时间约束描述。文献［10］将DoS攻击的影响看作时变时延，使用线性矩阵不等式的理论研究了DoS攻击下NCS的稳定性问题。文献［11～12］对DoS攻击下NCS的弹性控制做了研究。其中，文献［11］考虑了干扰与DoS攻击并存的NCS安全问题，通过切换系统的架构来实现DoS攻击下NCS的弹性控制。文献［12］通过有状态重置功能的预测控制器研究了DoS攻击下的弹性控制问题。文献［13］考虑了马尔科夫DoS攻击下的切换控制问题。文献［14］通过博弈论来考虑无线传感网络下DoS攻击问题，通过求解纳什均衡问题，获得DoS攻击下状态估计器的安全控制策略。

可以看出已有文献均从控制系统的角度考虑DoS攻击的对抗。DoS攻击阻塞NCS通信信道的特性，使得NCS在受到DoS攻击时系统状态严重偏离系统平衡状态，进而为根据系统状态考虑DoS攻击下NCS带宽需求提供了依据。与前述文献从控制系统的角度考虑NCS安全不同，本文充分考虑NCS带宽需求多样性以及时变的特点，在发生大流量DoS攻击时，通过动态分配NCS带宽，实现NCS多子系统采样周期的重新调整达到对抗DoS攻击的目的，即通过通信策略的主动改变来应对不同流量的DoS攻击。

2 问题描述

2.1 DoS攻击

本文所考虑的是时间约束型DoS攻击［6］，其攻击模式可描述为

其中，max_atpkg=800packets/s。

图1 DoS攻击模式

2.2 DoS攻击下NCS控制输入

考虑NCS N个子系统通过网络形成控制闭环，每个控制闭环均具有如图1所示结构，其中动态带宽管理器被所有子系统共享。

设第i个子控制系统为

其中，xi(t)∈ℝn表示控制系统状态变量，ui(t)表示控制系统控制输入。设(Ai，Bi)可控，进而可设计状态反馈矩阵Ki使得Ai+BiKi具有负实部。设为ui(t)的更新时刻，其中，i0=0。在理想状态下（无DoS攻击），对于∀t∈{ik}，ui(t)都可被传输，即

其中 t∈[ik，ik+1)。

图2 NCS动态带宽分配结构

考虑到大流量DoS攻击将引起NCS严重丢包或时延，在发生DoS攻击时使用最近一次成功传输的控制信号作为NCS执行器输入，即

其中，ik(t)表示最近一次成功传输的控制输入时刻，且xi(tk(t)=0)=0。

3 NCS动态带宽分配策略

从调节采样周期的角度考虑DoS攻击的对抗，本质上是用冗余的数据传输来补偿由DoS攻击引起的数据包丢失。在文献［6］中，DoS攻击下NCS采样周期的选取依赖于DoS攻击频率和持续时间约束且是等周期的，即NCS采样周期的选取依赖于对DoS流量以及模式的假设，先于DoS攻击的出现。显然，该通信策略并没有真正考虑NCS带宽的实时需求，即在未发生DoS攻击时大量占用系统网络带宽，且所选择的等采样周期限制了NCS主动对抗DoS攻击的能力。

同时，由文献［6］可以看出，保证NCS一定量的数据传输是保证NCS在受到DoS攻击时维持稳定状态的关键。考虑到大型分布式NCS控制对象带宽需求的多样性与时变性，本文从带宽分配的角度来考虑DoS攻击的对抗如图2。定义{ik}k≥0表示系统采样时刻集合，{tk}k≥0表示系统带宽分配时刻集合（带宽分配事件），并定义ek(ik)表示当前状态与系统参考输入的误差。

为了实现带宽的分布式分配策略，对NCS节点做出如下假设：

1）智能传感器节点：传感器是时间驱动的，且传感器的采样周期可调，并有其可接收和存储少量数据，如存储系统总可用网络带宽Bg（packets/s）。

2）控制器、执行器是事件驱动的。

3）网络节点：网络节点可计算当前可用网络带宽比例U，且0≤U≤1，并可传输U给相应系统节点［17］，文中是传感器节点。

结合前述描述可得到如下NCS传感数据传输策略：

其中，f(ba(ik)，ek(ik))的选取依赖于NCS当前网络可用带宽ba(ik)和系统误差ek(ik)。显然，∆k同时受系统性能需求和网络带宽约束，即∆k∈[hs，hl]，其中，hs表示当前网络状况下所能采取的最小采样周期，hl表示维持NCS性能所能采用的最大采样周期，且hs≤hl。网络带宽b和采样周期h的关系可由b=进行刻画［18］，其中m表示子系统数据传输、计算控制输入等消耗的时间。动态带宽分配策略具有如下特点（数据传输策略实例如图3所示）：

1）当 ek(ik)→0时，∆k→hl

2）当ek(ik)远离系统平衡状态时，∆k→hs

3）当多个子系统共享同一个网络链路时，由1）节省的网络带宽可用于其他子系统

图3 数据传输策略实例

4 NCS动态带宽分配策略的实现

基于以上考虑，现给出以下动态带宽分配策略的实现。

1）所分配带宽与系统误差之间的关系采用如下函数进行刻画

其中，c＞0，为动态带宽分配因子。

2）带宽分配因子c的选择原则

图4 不同因子c下带宽分配情形

采样周期的选取与NCS网络带宽的使用直接相关，较短的采样周期意味着较大的采样频率，即NCS有限网络带宽被大量占用，但较长的采样周期将导致NCS出现较大误差，进而导致NCS系统状态持续波动。由图4可以看出，选取不同的带宽分配因子c，针对同一误差所求得的动态采样周期差别很大，进而动态带宽分配因子的选取需考虑在不占用大量网络带宽的情况下保证NCS对带宽需求的灵敏度。

3）在文献［6］中，DoS攻击下NCS采样周期的选择策略依赖于∆*（5），即当发生DoS攻击时NCS的采样周期小于或等于∆*（详细证明见文献［6］）。

其中，τD和T分别表示DoS攻击频率和单个攻击数据包的持续时间。

并有，α1和α2分别是 P的最大和最小特征值，P是李亚普洛夫方程（6）的唯一解，且Q是正定对称矩阵。并有γ1是Q的最大特征值，γ2=‖‖2PBK。σ决定于NCS的控制质量需求，且满足如下条件

显然，DoS攻击的攻击频率以及持续时间不可预测。因此，通过约束DoS攻击频率和持续时间，提前选择NCS采样周期使得NCS在面对不确定流量的DoS攻击时很被动。

4）在本文中，采样间隔∆k的选取依赖于系统状态和当前可用网络带宽，可更好地应对不同流量下NCS的带宽需求。

考虑到NCS各子系统带宽需求的多样性和时变性，当NCS部分子系统受到DoS攻击时，由4）所节省的网络带宽有利于其他子系统应对突发带宽需求，如DoS攻击引起的网络带宽需求突变。

5 数值仿真分析

考虑图2结构下的NCS，两个子系统Σ1和Σ2具有相同的模型参数

α1=0.1423，α2=0.1569，γ1=1，γ2=1.4260

进而由式（7）得到σ＜0.7013，选取σ=0.65，得到：

以下仿真中，DoS攻击流量（2）如图5所示。

1）当无动态带宽分配策略时，DoS攻击的约束条件如下，其仿真结果如图7所示。

2）当使用动态带宽分配策略时，仅Σ1受到DoS攻击的影响，Σ2未受到DoS攻击。考虑到是零输入初始状态响应，选取如下函数作为带宽调度函数：

其中，hl=0.3s，δ1=0.2，δ2=0.001，得到如图8所示仿真结果。

由图6可以看出，在无DoS攻击时，动态带宽分配策略能大幅节省NCS系统带宽由初始的0.01s到最终的0.3s，但无动态带宽分配策略时，采样周期始终为0.02s。

由图7可以看出在无动态带宽分配策略时NCS所能承受的最大DoS攻击流量为125packets/s，当DoS攻击流量达到150 packets/s，系统已不能保持稳定状态。

将图7与图8对比得到在动态带宽分配策略下NCS所能承受DoS攻击流量明显增加，由图7中的125packets/s上升到375 packets/s，即使DoS攻击流量达到500 packets/s时系统最终稳定状态还基本可以保持。可见，实时动态分配NCS网络带宽能有效地对抗不同流量下的DoS攻击。

图5 DoS攻击流量变化

图6 无DoS攻击下有无带宽分配策略NCS状态及采样周期

图7 无带宽分配策略时不同DoS攻击流量下NCS状态

图8 有带宽分配策略不同DoS攻击流量下NCS状态（c=10）

6 结语

NCS被控对象带宽需求的多样性和时变性使得合理的带宽分配具有提升NCS控制质量的作用，进而使得通过动态带宽分配策略对抗DoS攻击成为可能。在控制系统中，本文首次提出从资源动态分配的角度对抗DoS攻击。首先，在正常情形下（无DoS攻击时），通过动态分配网络带宽以节省NCS总可用带宽；其次，当部分子系统受到诸如DoS攻击的影响时，通过网络带宽的再分配实现利用其他子系统已节省带宽来实现被攻击子系统的数据恢复。最后，实验结果体现了该策略在对抗局部DoS攻击上的有效性以及相对于等采样周期策略的优势。