CN108536916A - 一种基于时序监控的无人飞行器安全防护方法 - Google Patents

Abstract

本发明公开了一种基于时序监控的无人飞行器安全防护方法，其步骤为：S1、定义DT‑MTL；定义对安全威胁相关性质进行描述的时序逻辑DT‑MTL，用以体现威胁检测所需的时序、实时、参数化特征；S2、设计UAS‑DL，用以将时序逻辑公式与系统事件、状态进行映射的监控规约语言UAS‑DL；S3、生成监控代码，用来根据监控规约生成相应的安全威胁监控器，基于交错自动机将DT‑MTL性质转换为自动机形式的监控器，然后生成相应的监控代码；S4、提取日志并输入监控器；S5、进行贝叶斯诊断。本发明具有原理简单、易实现和推广、监控器实时性好、可靠性好等优点。

Description

一种基于时序监控的无人飞行器安全防护方法

技术领域

本发明主要涉及到无人机领域，特指一种基于时序监控的无人飞行器安全防护方法。

背景技术

随着无人飞行系统(Unmanned Aerial Systems，UAS)包括无人机、无人浮空器、跨介质无人飞行器等各类飞行平台以及相关任务设备、信息传输设备及地面配套设备，可以自主感知、自主决策、相互协同执行任务，具有“平台无人、系统有人”的属性和自主程度高、非接触、零伤亡、可长时间工作的特点，在军事和民用领域中具有广阔的应用发展前景。软件在无人飞行系统中发挥着核心控制作用，软件中存在的缺陷或软件系统的设计考虑不够全面、健壮，将会给无人系统的保密安全性(Security)和可靠安全性(Safety)带来极大威胁，例如被外部通过各种攻击方式进行诱导、劫持，或者因软硬件缺陷引发异常而导致任务失败甚至坠毁。

尽管无人飞行系统的相关技术不断发展，但其安全威胁检测和防护技术还远不能达到人们的要求。现有无人机系统必须依靠数据通信来完成任务，通信信号易受到外界电磁环境的影响，在最近的几场局部战争中时常出现无人机被干扰坠毁或是诱骗的案例。例如2011年，伊朗军方就用GPS诱骗的方法成功捕获了美军隐形无人侦察机RQ-170。不光如此，由无人机驾驶员本身误操作导致无人机坠毁的事件也时有发生。人们一方面加强无人飞行器控制系统中软硬件设计方法研究，另一方面也认识到在系统运行时提供有效的机制从而能及时发现可能的安全威胁非常重要，必须要研究无人飞行系统的运行时安全保证方法。例如美国航空航天局(NASA)已开始针对UAS的安全保证，采用运行时验证(RuntimeVerification，RV)技术对系统运行过程中出现的安全问题进行检测，并在美军龙眼(Drangon Eye)无人机上进行了试验应用。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种原理简单、易实现和推广、监控器实时性好、可靠性好的基于时序监控的无人飞行器安全防护方法。

为解决上述技术问题，本发明采用以下技术方案：

一种基于时序监控的无人飞行器安全防护方法，其步骤为：

S1、定义DT-MTL；定义对安全威胁相关性质进行描述的时序逻辑DT-MTL，用以体现威胁检测所需的时序、实时、参数化特征；

S2、设计UAS-DL，用以将时序逻辑公式与系统事件、状态进行映射的监控规约语言UAS-DL；

S3、生成监控代码，用来根据监控规约生成相应的安全威胁监控器，基于交错自动机将DT-MTL性质转换为自动机形式的监控器，然后生成相应的监控代码；

S4、提取日志并输入监控器；

S5、进行贝叶斯诊断。

作为本发明的进一步改进：所述步骤S1的具体步骤为：

S1011、将MTL通过离散化获得的子集，它的时间区间为离散化的数值，转化为整数运算，定义时间区间J＝[t，t′]，其中t，

S1012、定义DT-MTL语法，设AP为原子命题集合，则DT-MTL合式公式，归纳定义如下：

定义如下派生时序算子：

S1013、定义DT-MTL语义，给定线性结构π，π是在AP上的原子命题集合构成的序列，其中π(i)为在π上第i个位置的命题集合，给定DT-MTL公式归纳定义满足关系如下：若则π，当且仅当p∈π(i)；

若则π，当且仅当π，

若则π，当且仅当π，且π，

若则π，当且仅当π，

若则π，当且仅当存在k≥i并且k-i∈J，使得π，并且对于任意的i≤j＜k，都有π，

当i＝0时，直接将π，记作

作为本发明的进一步改进：所述步骤S2的具体步骤为：

S2011、在生成监控器并对系统进行监控时，要和相应的事件、状态进行映射；

S2012、把逻辑公式扩展成为相应的监控脚本，给出计算机能识别的监控规约表达形式；

S2013、定义面向UAS的性质规约语言UAS-DL。

作为本发明的进一步改进：所述步骤S3的具体步骤为：

S3011、DT-MTL公式转换生成交错自动机；

S3012、从交错自动机生成广义Büchi自动机；

S3013、将广义Büchi自动机转换得到Büchi自动机；

S3014、将Büchi自动机通过经典算法转换得到非确定的有穷自动机；

S3015、将非确定的有穷自动机确定化得到确定有穷自动机；

S3016、利用转换程序将确定有穷自动机转换为可综合的硬件描述语言形式的代码。

作为本发明的进一步改进：所述步骤S4的具体步骤为：

S4011、读取飞行日志及传感器信息；

S4012、将读取的信息分类整理提取有用信息进行格式化，对格式化的信息进行编码；

S4013、将编码信息通过AXI总线传递到FPGA模块解码后输入监控器。

作为本发明的进一步改进：所述步骤S5的具体步骤为：

S5011、利用观测数据集合结合先验知识等相关方法建立监控对象的贝叶斯网络模型；

S5012、将监控器的输出和其他相关信息作为贝叶斯网络的已知信息输入网络中，得到引发问题的原因的精确概率值；

S5013、通过观测数据的累积，我们还可以利用贝叶斯网络学习算法来更新贝叶斯网络，以得到更精确的网络模型。

与现有技术相比，本发明的优点在于：

1、本发明的基于时序监控的无人飞行器安全防护方法，提出基于离散时间的度量时序逻辑(DT-MTL)对无人飞行系统的安全性质进行规约的方法，并设计了一种对性质和相关监控事件、状态进行描述的规约语言UAS-DL。

2、本发明的基于时序监控的无人飞行器安全防护方法，为基于交错自动机从监控规约自动化生成监控器的算法，以及基于路径切片以支持参数化性质监控的方法。

3、本发明的基于时序监控的无人飞行器安全防护方法，将运行时验证和基于贝叶斯网络的故障诊断相结合的方法，以提高安全威胁检测的精确性。

4、本发明的基于时序监控的无人飞行器安全防护方法，减少资源占用和提高监控效率，采用FPGA硬件实现监控器，并在广泛应用的无人机开发和仿真平台Ardupilot中进行了实验和分析。

附图说明

图1是本发明方法的流程示意图。

具体实施方式

以下将结合说明书附图和具体实施例对本发明做进一步详细说明。

运行时验证是一种轻量级的软件安全性保障技术，它基于目标系统的运行轨迹来判定给定的规约性质是否得到满足。由于系统运行轨迹的唯一性，它有效克服了当系统过于复杂后，对设计模型或代码进行模型检验所产生的状态空间爆炸问题，和软件测试技术相比也不需要考虑所有路径的覆盖率问题，因此受到广泛研究和关注。与传统的软件可靠性保障技术不同的是，运行时验证技术主要应用在系统部署后，对运行环境和上下文不确定导致的系统问题能很好地监控。

运行时验证技术一般采用时序逻辑(例如线性时序逻辑LTL)对要监控的性质进行描述。对于无人飞行系统的安全威胁进行检测时，需要监控的事件和状态不仅需要考虑其时序特征，还要考虑它们的实时特征以及参数化特征，这为监控器的生成和运行效率带来了挑战。

本发明的基于时序监控的无人飞行器安全防护方法，主要包括两个阶段：(1)监控生成阶段，也就是在监控器部署之前，根据监控对象属性规约和系统模型抽象，自动产生运行时验证器。(2)运行时验证阶段，即在无人飞行系统运行过程中。在这个阶段无人飞行系统运行时信息被收集输入到部署在独立硬件平台的监控器中来检查属性规约是否被满足。如果检测到规约背离，那么贝叶斯诊断模块对其原因进行诊断来得到更精确的诊断结果。

本发明的基于时序监控的无人飞行器安全防护方法包含以下步骤：

(1)定义离散时间的度量时序逻辑DT-MTL(Discrete-Time Metric TemporalLogic)；定义对安全威胁相关性质进行描述的时序逻辑DT-MTL，能够体现威胁检测所需的时序、实时、参数化等特征；

(2)设计无人飞行系统监控规约语言UAS-DL(Unmanned Aerial SystemsDescrition Language)；为了能够自动生成可运行的软件监控器，进一步设计了能够将时序逻辑公式与系统事件、状态进行映射的监控规约语言UAS-DL；

(3)生成监控代码；为了根据监控规约生成相应的安全威胁监控器，基于交错自动机将DT-MTL性质转换为自动机形式的监控器，然后生成相应的监控代码。

(4)提取日志并输入监控器；UAS日志和传感器信息作为运行时验证模块的输入首先传输到事件提取模块进行数据的提取和数据格式的转化，然后将轨迹送给监控器进行判断并产生监控结论。为了对参数化性质进行监控，采用基于路径切片的方法，结合规约解析生成的事件、状态信息和参数化信息，将运行轨迹分解并对应到相应的监控器。

(5)进行贝叶斯诊断；有些安全威胁可以从时序性质的违背直接推断出来，但有些时序性质只是引发安全威胁的可能原因之一，为此将运行时验证与基于贝叶斯网络的推断方法结合，监控器的判断结果可以输入到贝叶斯网络，根据事件提取和序列切片产生的先验信息进行推理以产生更为精确的监控结果。

通过采用上述本发明的技术方案，本发明具有原理简单、易实现和推广、监控器实时性好、可靠性好等优点。

在具体应用实例中，如图1所示，本发明基于时序监控的无人飞行器安全防护方法的详细步骤为：

S101、定义DT-MTL；

S1011、将MTL通过离散化获得的子集，它的时间区间为离散化的数值，可以转化为整数运算，定义时间区间J＝[t，t′]，其中t，

S1012、定义DT-MTL语法，设AP为原子命题集合，则DT-MTL合式公式(也简称为DT-MTL公式)可以归纳定义如下：

为了使用方便，往往还会定义如下派生时序算子：

S1013、定义DT-MTL语义，给定线性结构π，π是在AP上的原子命题集合构成的序列，其中π(i)为在π上第i个位置的命题集合，给定DT-MTL公式可以归纳定义满足关系如下：若则π，当且仅当p∈π(i)；

若则π，当且仅当π，

若则π，当且仅当π，且π，

若则π，当且仅当π，

若则π，当且仅当存在k≥i并且k-i∈J，使得π，并且对于任意的i≤j＜k，都有π，

特别地，当i＝0时，直接将π，记作

S102、设计UAS-DL；

S1021、在生成监控器并对系统进行监控时，要和相应的事件、状态进行映射。

S1022、把逻辑公式扩展成为相应的监控脚本，给出计算机能识别的监控规约表达形式。

S1023、定义面向UAS的性质规约语言UAS-DL。

S103、生成监控代码；

S1031、DT-MTL公式转换生成交错自动机(Alternating Automaton，AA)。

S1032、从交错自动机生成广义Büchi自动机(General Büchi Automaton，GBA)。

S1033、将广义Büchi自动机转换得到Büchi自动机。

S1034、将Büchi自动机通过经典算法转换得到非确定的有穷自动机(Non-deterministic Finite Automaton，NFA)。

S1035、将非确定的有穷自动机确定化得到确定有穷自动机(DeterministicFinite Automaton，DFA)。

S1036、利用转换程序将确定有穷自动机转换为可综合的硬件描述语言形式的代码。

S104、提取日志并输入监控器；

S1041、读取飞行日志及传感器信息。

S1042、将读取的信息分类整理提取有用信息进行格式化，对格式化的信息进行编码。

S1043、将编码信息通过AXI总线传递到FPGA模块解码后输入监控器。

S105、进行贝叶斯诊断；

S1051、利用观测数据集合结合先验知识等相关方法建立监控对象的贝叶斯网络模型。

S1052、将监控器的输出和其他相关信息作为贝叶斯网络的已知信息输入网络中，得到引发问题的原因的精确概率值。

S1053、通过观测数据的累积，还可以利用贝叶斯网络学习算法来更新贝叶斯网络，以得到更精确的网络模型。

以上仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，应视为本发明的保护范围。

Claims (6)

1.一种基于时序监控的无人飞行器安全防护方法，其特征在于，步骤为：

S1、定义DT-MTL；定义对安全威胁相关性质进行描述的时序逻辑DT-MTL，用以体现威胁检测所需的时序、实时、参数化特征；

S2、设计UAS-DL，用以将时序逻辑公式与系统事件、状态进行映射的监控规约语言UAS-DL；

S3、生成监控代码，用来根据监控规约生成相应的安全威胁监控器，基于交错自动机将DT-MTL性质转换为自动机形式的监控器，然后生成相应的监控代码；

S4、提取日志并输入监控器；

S5、进行贝叶斯诊断。

2.根据权利要求1所述的基于时序监控的无人飞行器安全防护方法，其特征在于，所述步骤S1的具体步骤为：

S1011、将MTL通过离散化获得的子集，它的时间区间为离散化的数值，转化为整数运算，定义时间区间J＝[t，t′]，其中t，

S1012、定义DT-MTL语法，设AP为原子命题集合，则DT-MTL合式公式，归纳定义如下：

定义如下派生时序算子：

S1013、定义DT-MTL语义，给定线性结构π，π是在AP上的原子命题集合构成的序列，其中π(i)为在π上第i个位置的命题集合，给定DT-MTL公式归纳定义满足关系如下：若则π，当且仅当p∈π(i)；

若则π，当且仅当π，

若则π，当且仅当π，且π，

若则π，当且仅当π，

若则π，当且仅当存在k≥i并且k-i∈J，使得π，并且对于任意的i≤j＜k，都有π，

当i＝0时，直接将π，记作

3.根据权利要求1所述的基于时序监控的无人飞行器安全防护方法，其特征在于，所述步骤S2的具体步骤为：

S2011、在生成监控器并对系统进行监控时，要和相应的事件、状态进行映射；

S2012、把逻辑公式扩展成为相应的监控脚本，给出计算机能识别的监控规约表达形式；

S2013、定义面向UAS的性质规约语言UAS-DL。

4.根据权利要求1所述的基于时序监控的无人飞行器安全防护方法，其特征在于，所述步骤S3的具体步骤为：

S3011、DT-MTL公式转换生成交错自动机；

S3012、从交错自动机生成广义Büchi自动机；

S3013、将广义Büchi自动机转换得到Büchi自动机；

S3014、将Büchi自动机通过经典算法转换得到非确定的有穷自动机；

S3015、将非确定的有穷自动机确定化得到确定有穷自动机；

S3016、利用转换程序将确定有穷自动机转换为可综合的硬件描述语言形式的代码。

5.根据权利要求1所述的基于时序监控的无人飞行器安全防护方法，其特征在于，所述步骤S4的具体步骤为：

S4011、读取飞行日志及传感器信息；

S4012、将读取的信息分类整理提取有用信息进行格式化，对格式化的信息进行编码；

S4013、将编码信息通过AXI总线传递到FPGA模块解码后输入监控器。

6.根据权利要求1所述的基于时序监控的无人飞行器安全防护方法，其特征在于，所述步骤S5的具体步骤为：

S5011、利用观测数据集合结合先验知识等相关方法建立监控对象的贝叶斯网络模型；

S5012、将监控器的输出和其他相关信息作为贝叶斯网络的已知信息输入网络中，得到引发问题的原因的精确概率值；

S5013、通过观测数据的累积，我们还可以利用贝叶斯网络学习算法来更新贝叶斯网络，以得到更精确的网络模型。