◆倪晓波 刘进芬

拟态防御技术在无人机飞控领域的应用与分析

◆倪晓波1刘进芬2

（1.紫金山实验室 江苏 211100；2.南京工业大学浦江学院 江苏 211222）

无人机在近年来的快速发展中，由于各种各样的未知漏洞，导致了许多的安全问题，传统的防御技术难以应对未知特征和未知缺陷的攻击，本文以动态冗余作为核心架构技术，提出了一种结合拟态防御技术的无人机飞控架构系统，可以有效地解决未知漏洞带来的威胁。

拟态；无人机；飞控；异构执行体

1 引言

近年来随着传感、遥感、飞控、云台、计算式视觉、图像传输等相关技术的快速完善，无人机的发展也进入了快车道，在军用无人机市场依旧火热的前提下民用无人机的应用也开始逐步普及。无人机的身影出现在高速路口、乡间村落、城市楼宇、田间农地、医院工厂等场景，目前在航拍、农业、植保、微型自拍、快递运输、灾难救援、观察野生动物、监控传染病、测绘、新闻报道、电力巡检、救灾、影视拍摄、制造浪漫等等领域的应用，大大拓展了无人机本身的用途，发达国家也在积极扩展行业应用与发展无人机技术。无人机用途广泛，2020年新冠疫情暴发，无人机作为智能无人化工作的代表，具有高效无休的工作能力、零接触的工作特点，成为阻断疫情传播的防控利器，在安防巡检、消杀作业、物流配送、宣传喊话、照明测温、农业植保等方面发挥了重要的作用。

然而，无人机领域的高速发展也带来了更大的危机和挑战，前段时间，西安无人机“乱码”事件成为网络焦点。正值五一劳动节，西安市耗费上千万人民币举办规模盛大的无人机飞行表演。没想到现场发生严重事故，部分设计好的图案最终呈现为“乱码”；不少无人机直接坠毁。此事虽未经确切考证是因为黑客攻击导致，但无人机安全问题却早就不是个新鲜事儿。世界各地，无人机被黑客攻击的例子还有很多。无人机看起来高端大气上档次，实际上安全防护性十分脆弱，很容易遭受攻击。

2 拟态防御体系结构

在目前无人机安全领域，攻击者的攻击手段主要是通过挖掘微处理器和实时操作系统的漏洞，并利用这些漏洞开发工具，从而干扰操作站对飞行过程的控制，攻击者利用实时操作系统漏洞或者控制软件编程漏洞或者微处理器设备缺陷来达到操控飞控程序或者设备的目的，使得传统的防护手段全部失效，当前传统的被动防护手段和技术，主要通过某些特定的特征信息来匹配规则、识别攻击，来达到安全防护的目的，能否成功防护往往取决于防御规则数据库的完备性以及在新漏洞爆发后的响应及时性。但是这些都是后知的防护，每次出现一种新的攻击手段或漏洞，受到损失后再进行防护，是一种“亡羊补牢”式的修补；并且，不是攻击者的每一次攻击都会留有通用的规则，若规则匹配失败，会有较高的误检率，对于未知漏洞的防护能力几乎为零，近年来，多家无人机厂商如大疆和零度等均被曝光出安全漏洞，严重影响用户体验以及存在重大安全隐患。由于被动式防御存在的缺陷，安全界开始关注网络信息安全主动防御技术的研究。

移动目标防御（Moving Target Defense，MTD）[1]主要采用一些多样性动态随机化技术，如有效地址突变，IP地址随机化，端口随机化，加密随机化技术等不断地变换系统运行时的攻击面，隐藏某些关键的信息，同时动态地改变环境来迷惑对手，进一步放大攻击者信息收集的难度，增加系统缺陷的不确定性和动态性，可以有效降低系统缺陷暴露和被攻击的概率。但是目前，MTD技术存在很多问题，在动态切换两个系统攻击面的过程中，攻击者会通过切换存在的间隔时间，获取得到动态切换的规律并以此来进行突破。效能评估机制很难取得平衡：动态性过强时影响系统开销，动态性过低时目标的安全性和弹性技术又得不到保证。

拟态安全防御（Mimic Security Defense，MSD）[2]是由我国工程院院士邬江兴提出的一种新型主动防御技术，主要目的是针对网络空间中可能存在的大量未知漏洞和软件后门，采用动态异构冗余（DHR，Dynamic Heterogeneous Redundancy）的系统架构和运行机制，在允许基本运行环境有一定程度的“有毒带菌”的情况下，采用沙滩建楼的方法构建有内生机理安全的风险可控、可信的系统来实现主动防御，可为信息网络基础设施或提供不依赖传统安全手段，最近几年在国内外引起广泛关注。目前已有一些典型的拟态防御系统依据MSD技术陆续出现，如拟态存储服务器[3]，拟态构造Web服务器[4]、拟态构造路由器[5]、拟态构造域名服务器[6]、拟态软件定义网络（Software Defined Network）[7]、拟态防御以太网交换机[8]等相关领域都有着广泛应用。

3 拟态无人机飞控系统架构

传统的无人机系统架构如图1所示，由于飞控使用的处理器架构（如MWC使用atmega）单一，很容易受到攻击者的攻击，攻击者通过发送恶意指令挖掘处理器或者操作系统漏洞，进而绕过权限验证，进行劫持攻击或者拒绝服务攻击，造成飞行轨迹的安全隐患。

图1 传统无人机飞控系统架构图

拟态飞控无人机硬件架构如图2所示，主要由通信系统、拟态控制系统、异构执行体集、动力系统构成。其中通信系统主要由GPS模块、遥控接收器模块、天线以及数传模块构成；动力系统主要由电池、螺旋桨、电机、调速器组成；其他外设系统主要包括SPI、I2C、SDRAM、LED灯、FLASH存储器、压力计、串口和调试下载口以及相应的外设驱动程序；拟态控制系统主要由策略分发器、调度器、以及判决器构成，包含了拟态防御中核心功能，策略分发模块主要负责将收到的控制指令通过复制然后发送给每一个异构微处理器进行处理，判决器模块主要负责对微处理器执行结果进行判决，并将判决结果输出至动力系统和外设系统。

异构执行体集由3个不同的异构体组成，每个异构执行体包含不同的微处理器MCU，如Atmel公司的at91rm系列或者Arm公司的cortexm等，分别运行不同的实时操作系统如nuttx，ucos，uclinux等和通过不同的编译工具链交叉编译出的控制管理软件。

4 拟态飞控指令执行步骤

根据拟态防御理论，无人机飞控的指令执行步骤如下：

（1）通信系统收到地面控制平台的控制指令信息和基于GPS的定位信息，通过拟态控制系统的策略分发模块进行复制并分发到各个异构微控制器；

（2）微控制器收到控制指令并独立响应，进行处理解析，并把结果输出到拟态控制系统的判决模块；

（3）判决模块收到处理结果后根据多数一致性表决算法将结果反馈到动力系统；

（4）如果有某个拟态微处理器输出结果不一致，则认为该拟态微处理器受到攻击，标记其为异常状态，拟态调度模块将输出异常状态的微控制器进行清洗恢复，主要是通过重启来完成。

5 结论

本文以拟态防御理论为基础，分析了当前无人机领域的安全现状，提出了一种基于拟态防御技术的无人机飞控架构系统，并详细设计以及介绍了飞控系统中各个子系统及模块的功能，给出了无人机飞控指令拟态控制系统中的执行步骤。实验表明，该飞控系统可以有效地防御中间人攻击（MITM），拒绝服务攻击（Dos）带来的恶意指令攻击。

图2 基于拟态防御的无人机飞控系统架构

[1]KEWLEY D L，BOUCHARD J F. DARPA information assurance program dynamic defense experiment summary [J]. IEEE Transactions on Systems，Man，and Cybernetics⁃Part A： Systems and Humans，2001，31（4）：331-336.

[2]邬江兴.网络空间拟态防御导论[M].科学出版社，2017.

[3]陈越，王龙江，严新成，等. 基于再生码的拟态数据存储方案[J].通信学报，2018，39（4）：21-34.

[4]仝青，张铮，张为华，等. 拟态防御Web服务器设计与实现[J]. 软件学报，2017，28（4）：883-897.

[5]马海龙，伊鹏，江逸茗，等. 基于动态异构冗余机制的路由器拟态防御体系结构[J]. 信息安全学报，2017，2（1）： 29-42.

[6]王禛鹏，扈红超，程国振. 一种基于拟态安全防御的DNS框架设计[J]. 电子学报，2017，45（11）：139-148.

[7]李传煌，任云方，汤中运，等. SDN中服务部署的拟态防御方法[J].通信学报，2018，39（S2）：121-130.

[8]宋克，刘勤让，魏帅，等. 基于拟态防御的以太网交换机内生安全体系结构[J]. 通信学报，2020，41（5）：18-26.

南京工业大学浦江学院2020年度校级课题（njpj2020-1-02）