WO2022227946A1

WO2022227946A1 - 一种基于双层动态切换观测器的分布式安全状态重构方法

Info

Publication number: WO2022227946A1
Application number: PCT/CN2022/082371
Authority: WO
Inventors: 温广辉; 雷旭强; 吕跃祖; 赵丹; 周佳玲
Original assignee: 东南大学
Priority date: 2021-04-27
Filing date: 2022-03-23
Publication date: 2022-11-03
Also published as: US11757723B2; CN113206842A; US20230208719A1; CN113206842B

Abstract

本发明公开了一种基于双层动态切换观测器的分布式安全状态重构方法，包括如下步骤：根据多智能体系统构建其传感通道在遭受攻击后的动力学模型；结合具体的多智能体系统模型为每一个多智能体搭建双层观测器，构造合适的观测通信拓扑，并设计相应的残差生成器；针对观测模型分析生成残差阈值的动态信息，检验每一个残差信号与阈值之间的大小，根据比较的大小动态地切换观测器间的通信拓扑，进行新的数据通信交互；结合自身的观测数据和收到的邻居的观测信息进行迭代更新生成新的观测数据，并以残差信号是否大于当前的阈值作为判断对应通信通道是否遭受攻击的标准。本发明能够确保正确识别出所有遭受恶意攻击的传输通道且安全重构出系统的真实状态。

Description

一种基于双层动态切换观测器的分布式安全状态重构方法

技术领域

本发明涉及安全控制技术领域，尤其是一种基于双层动态切换观测器的分布式安全状态重构方法。

背景技术

进入21世纪，以智能化、无人自主化为主的多智能体系统已成为系统与控制技术领域的研究热点并在无人工厂、智能物流、智慧城市等领域取得了重要应用。同时，多智能体系统在联合侦查、精确打击、协同对抗等方面的重要作用使其成为军事作战领域必不可少的一部分。值得注意的是，多智能体系统在提高系统效率的同时，使得系统更容易遭受网络攻击，尤其在远程控制工作环境中，其与远程交互中心进行通信时极易被恶意攻击者操纵部分传输数据，使得远程中心对多智能体的运行判断形成信息紊乱，造成指挥与决策上的错误，严重危及整个系统的正常运作甚至是相关人员的人身安全。传统集中式的稀疏攻击识别方法由于其巨大的计算复杂度，在面对大规模广域分布的多智能体系统状态估计时耗资巨大，单纯的分散式或分布式状态估计方法又难以抵抗恶意攻击的侵蚀，因此急需发展一种针对大规模多智能体系统在远程通信时遭遇稀疏传感攻击的安全状态估计方法，以避免上述方法的局限性。

在现有的安全状态重构算法中，文献(L.An and G.H.Yang.Distributed secure state estimation for cyber-physical systems under sensor attacks.Automatica,2019,107:526-538.)利用观测器收集一定时长的量测数据进而构建了一个优化问题来进行系统的安全状态估计，并通过投影梯度下降算法与投票定位算法实现优化问题的求解，从而得到系统的安全状态估计与遭遇稀疏攻击的传输通道定位。该方案优势在于能够做到系统状态的精确重构与攻击定位，但缺陷在于其计算消耗大、在面对时变攻击时的估计延迟问题均不容忽视，且该方法本质上仍然是集中式的处理方案。文献(A.Gusrialdi,Z.Qu and M.A.Simaan.Competitive interaction design of cooperative systems against attacks.IEEE Transactions on Automatic Control,2018,63(9):3159-3166.)在考虑leader-follower多智能体系统遭受外部攻击时，通过为每一个follower智能体构建一个虚拟隐藏网络系统，利用竞争交互的概念设计虚拟系统与物理系统间的交互通信，从而使得多智能体实现弹性一致性跟踪。这个方案的缺陷在于要求每个智能体的攻击存在一致上界，且精确跟踪难以保持。文献(A.Barboni,H.Rezaee,F.Boem and T.Parisini.Detection of covert cyber-attacks in interconnected systems:a distributed model-based approach.IEEE Transactions on Automatic Control,2020,65(9):3728-3741.)为每个智能体分别构建一个基于量测输出的分散式观测器和依赖未知分散式观测输入的分布式龙贝格观测器，通过两种不同的观测器将隐蔽攻击的定位至智能体及其邻居构成的子系统中，并通过残差阈值从该子系统中定位出具体的被攻击的智能体。这个方案的缺陷在于只允许单个智能体的邻居子系统中存在一个遭受攻击的智能体，且该攻击识别方法只能应对单独隐蔽攻击存在的情形。

发明内容

本发明所要解决的技术问题在于，提供一种基于双层动态切换观测器的分布式安全状态重构方法，通过两层观测器间的通信拓扑的相互切换配合，确保能够正确识别出所有遭受恶意攻击的传输通道且安全重构出系统的真实状态，为多智能体系统在网络攻击环境中的安全决策与稳定运行提供依据。

为解决上述技术问题，本发明提供一种基于双层动态切换观测器的分布式安全状态重构方法，包括如下步骤：

步骤1、根据所研究的多智能体系统构建其传感通道在遭受攻击后的具体动力学模型；

步骤2、结合具体的多智能体系统模型为每一个多智能体搭建双层观测器，构造合适的观测通信拓扑，并设计相应的残差生成器；

步骤3、针对观测模型分析生成残差阈值的动态信息，检验每一个残差信号与阈值之间的大小，根据比较的大小动态地切换观测器间的通信拓扑，进行新的数据通信交互；

步骤4、结合自身的观测数据和收到的邻居的观测信息进行迭代更新生成新的观测数据，并以残差信号是否大于当前的阈值作为判断对应通信通道是否遭受攻击的标准。

优选的，步骤1中，根据所研究的多智能体系统构建其传感通道在遭受攻击后的具体动力学模型具体为：

将传感通道遭遇稀疏攻击后的多智能体系统的动力学模型描述如下：

其中，x _i(t),y _i(t),d _i(t)分别是第i个智能体的n维真实状态、p维量测输出和对应传感通道上的p维攻击输入，a _ij表示两个智能体之间的权重信息，γ _i(t)∈{0,1}表示第i个智能体对应的传感通道是否遭受攻击，且有

N为智能体的个数；矩阵A,B,C分别为系统状态参数矩阵与量测矩阵，矩阵

为一致性控制输入矩阵对于正定矩阵P、常数κ＞0满足下列LMI成立：AP+PA ^T-2BB ^T+κP＜0，其中

为多智能体系统通信拓扑所对应的拉普拉斯矩阵

的第二小特征根。

优选的，步骤2中，结合具体的多智能体系统模型为每一个多智能体搭建双层观测器，构造合适的观测通信拓扑，并设计相应的残差生成器具体包括如下步骤：

步骤201、为每一个智能体构建一个基于残差信息的双层观测器；其中，第一层观测器在认定其对应传感通道未被攻击时，主要利用量测残差来实现对多智能体系统状态的估计，并将其观测数据发送给第二层的观测邻居；反之在观测器认定传感通道被攻击之后，其利用两层观测器间的误差来实现状态观测，并停止发送观测数据给其邻居；第二层观测器主要依据其观测邻居发送的观测数据进行分布式状态估计，并只有在观测器认定其对应传感通道被攻击之后，才发送其观测数据给其观测邻居；

步骤202、基于上述多智能体的动力学模型和双层观测器，构建相应的残差生成器，具体如下：

记智能体i的观测残差为

相应的检验残差由观测残差和Lyapunov矩阵组成，记为z _i(t)＝||Q ^-TC ^Tε _i(t)|| ²；其中Q ^TQ＝P为Lyapunov矩阵。

优选的，步骤3中，针对观测模型分析生成残差阈值的动态信息，检验每一个残差信号与阈值之间的大小，根据比较的大小动态地切换观测器间的通信拓扑，进行新的数据通信交互具体包括如下步骤：

步骤301、对每一个观测器i，默认初始化观测误差阈值ρ _i(0)＝||Q ^-TC ^Tε _i(0)|| ²的上界为其先验信息；否则，根据初始参数的上界限定，可获知一公共初始化误差上界阈值ρ _i(0)＝ρ ₀；

步骤302、当t＞0时，每个观测器i根据如下的动力学模型来生成每个时刻的阈值信息：

其中

与

分为矩阵P的最小与最大特征值，参数μ,m ₀,m ₁可见步骤401中；然后比较每个时刻的z _i(t)与ρ _i(t)的大小，若z _i(t)＞ρ _i(t)，则观测器认定第i个传感通道遭受攻击，并切换其通信拓扑；否则观测器i仍依照原先的通信拓扑将其观测信息发送给所有的邻居

优选的，步骤4中，结合自身的观测数据和收到的邻居的观测信息进行迭代更新生成新的观测数据，并以残差信号是否大于当前的阈值作为判断对应通信通道是否遭受攻击的标准具体包括如下步骤：

步骤401、双层观测器i接收量测输出以及所有邻居的状态估计信息，然后利用如下公式来表示其动力学更新：

其中，

分别为对应两层观测器的状态，L＝P ^-1C ^T为增益矩阵使得A-LC是Hurwitz稳定的，且存在常数m ₀＞0,m ₁＞0以及正定矩阵P对给定的常数0＜μ＜κ使得下列LMI成立：

θ _i(t)＝0/1表示观测中心认定第i个通道是否被攻击者所操纵，其值的变化使得双层观测器的通信拓扑发生动态切换；

步骤402、对于观测器i的攻击识别逻辑θ _i(t)，其赋值标准描述如下：

其中θ _i(t)＝0则表示观测器认定第i个传输通道被攻击，反之则认为第i个传输通道未被攻击。

本发明的有益效果为：本发明实现了传感通道中有部分传输数据被攻击者所篡改后仍可以安全重构出系统真实状态，为多智能体系统在网络攻击环境中的安全决策与运行提供依据；一方面，现有安全状态重构方法是通过将该问题转化为高维优化问题求解，本发明通过构建双层动态切换的分布式观测器，将攻击的注入和相应残差信号与衰减阈值的比较关系一一对应起来，有效加快了恶意攻击检测的效率，同时保证能够安全重构多智能体的系统状态，进而降低网络系统崩溃的可能性；另一方面，本发明通过切换拓扑和逻辑识别算法的配合，实现了识别稀疏传感攻击的同时保证系统真实状态的安全重构。观测器间通信拓扑的动态切换防止了攻击在各个观测器间的传递，有效遏制了攻击者对系统观测器的影响。

附图说明

图1是本发明的基于双层动态切换观测器的分布式安全状态重构方法的步骤示意图。

图2是本发明的基于双层动态切换观测器的分布式安全状态重构方法的具体流程示意图。

图3是本发明实例所提供的多智能体系统及双层观测器设计的通信拓扑结构图。

图4是本发明实例所提供多智能体系统真实状态与观测器重构的状态示意图。

图5是本发明实例所提供实际攻击的通道指标与观测器识别的攻击指标示意图。

具体实施方式

如图1所示，一种基于双层动态切换观测器的分布式安全状态重构方法，包括如下步骤：

本发明实施例中，该步骤具体为：

步骤101、将传感通道遭遇稀疏攻击后的多智能体系统的动力学模型描述如下：

N为智能体的个数。矩阵A,B,C分别为系统状态参数矩阵与量测矩阵，

为一致性控制输入，对于正定矩阵P、常数κ＞0满足下列LMI成立：AP+PA ^T-2BB ^T+κP＜0，其中

为多智能体系统通信拓扑所对应的拉普拉斯矩阵

的第二小特征根。

步骤2、对每一个智能体构建一双层动态切换观测器，并生成相应的残差；

本发明实施例中，该步骤具体为：

步骤201、为每一个智能体构建一个基于残差信息的双层观测器。其中，第一层观测器在认定其对应传感通道未被攻击时，主要利用量测残差来实现对多智能体系统状态的估计，并将其观测数据发送给第二层的观测邻居；反之在观测器认定传感通道被攻击之后，其利用两层观测器间的误差来实现状态观测，并停止发送观测数据给其邻居。第二层观测器主要依据其观测邻居发送的观测数据进行分布式状态估计，并只有在观测器认定其对应传感通道被攻击之后，才发送其观测数据给其观测邻居。

记智能体i的观测残差为

相应的检验残差由观测残差和Lyapunov矩阵组成，记为z _i(t)＝||Q ^-TC ^Tε _i(t)|| ²；其中Q ^TQ＝P为Lyapunov矩阵；

步骤3、通过利用每一个观测器生成的残差信号与当前阈值的大小来动态切换观测间的

通信传输通道，同时与邻居进行观测信号传输交互；

本发明实施例中，该步骤具体为：

其中

与

分为矩阵P的最小与最大特征根值，参数μ,m ₀,m ₁可见步骤401中。然后比较每个时刻的z _i(t)与ρ _i(t)的大小，若z _i(t)＞ρ _i(t)，则观测器认定第i个传感通道遭受攻击，并切换其通信拓扑；否则观测器i仍依照原先的通信拓扑将其观测信息发送给所有的邻居

步骤4、通过每个观测器对所接收到邻居的观测信号进行迭代更新完成分布式状态重构，并生成恶意传感攻击识别信号；

本发明实施例中，该步骤具体为：

其中，

实施例1

步骤1、对于由5辆无人驾驶小车构成的多智能体系统，其动力学模型如下：

攻击者每隔5s随机选取2个小车的传感传输通道进行攻击注入，且其坏数据注入函数为d _i(t)＝(-ip _i 0.5e ^t/20) ^T。

接下来，依照图2所描述的流程来进行相应的参数求解，以实现多智能体的分布式安全状态观测。

步骤2、5辆小车以及双层观测器间的通信拓扑如图3所示，其中虚线圆分别表示第一层观测器与第二层观测器；观测器通道中实线代表观测器认定无恶意攻击时的通信拓扑通道，虚线则表示观测器认定存在恶意攻击时动态切换的通信通道。步骤3、控制器与观测器的相关参数选取如下：

图4为智能体的真实状态与第2层观测器的观测数据。可以看出，在恶意攻击者存在的情况下，本发明所提出的双层观测器能够实现安全的状态重构。

图5为各个传感传输通道在每个时刻的攻击指标与观测器识别的攻击指标，其中空心圆圈代表当前时刻实际的攻击通道指标，叉号表示观测器识别出的攻击指标，纵坐标 0则表示空的攻击指标。可以看到在t＞10s后，双层观测器关于攻击的识别指标可以成功匹配真实攻击指标，表明稀疏传感攻击可以被本发明所提出的双层观测器检测并识别。这证明了本发明提出的基于双层动态切换观测器的分布式安全状态估计方法的有效性。

Claims

一种基于双层动态切换观测器的分布式安全状态重构方法，其特征在于，包括如下步骤：

步骤1、根据所研究的多智能体系统构建其传感通道在遭受攻击后的具体动力学模型；

步骤2、结合具体的多智能体系统模型为每一个多智能体搭建双层观测器，构造合适的观测通信拓扑，并设计相应的残差生成器；

步骤3、针对观测模型分析生成残差阈值的动态信息，检验每一个残差信号与阈值之间的大小，根据比较的大小动态地切换观测器间的通信拓扑，进行新的数据通信交互；

步骤4、结合自身的观测数据和收到的邻居的观测信息进行迭代更新生成新的观测数据，并以残差信号是否大于当前的阈值作为判断对应通信通道是否遭受攻击的标准。
如权利要求1所述的基于双层动态切换观测器的分布式安全状态重构方法，其特征在于，步骤1中，根据所研究的多智能体系统构建其传感通道在遭受攻击后的具体动力学模型具体为：

将传感通道遭遇稀疏攻击后的多智能体系统的动力学模型描述如下：

其中，x _i(t),y _i(t),d _i(t)分别是第i个智能体的n维真实状态、p维量测输出和对应传感通道上的p维攻击输入，a _ij表示两个智能体之间的权重信息，γ _i(t)∈{0,1}表示第i个智能体对应的传感通道是否遭受攻击，且有
N为智能体的个数；矩阵A,B,C分别为系统状态参数矩阵与量测矩阵，矩阵
为一致性控制输入矩阵对于正定矩阵P、常数κ＞0满足下列LMI成立：AP+PA ^T-2BB ^T+κP＜0，其中
为多智能体系统通信拓扑所对应的拉普拉斯矩阵
的第二小特征根。
如权利要求1所述的基于双层动态切换观测器的分布式安全状态重构方法，其特征在于，步骤2中，结合具体的多智能体系统模型为每一个多智能体搭建双层观测器，构造合适的观测通信拓扑，并设计相应的残差生成器具体包括如下步骤：

步骤201、为每一个智能体构建一个基于残差信息的双层观测器；其中，第一层观测器在认定其对应传感通道未被攻击时，主要利用量测残差来实现对多智能体系统状态的估计，并将其观测数据发送给第二层的观测邻居；反之在观测器认定传感通道被攻击之后，其利用两层观测器间的误差来实现状态观测，并停止发送观测数据给其邻居；第二层观测器主要依据其观测邻居发送的观测数据进行分布式状态估计，并只有在观测器认定其对应传感通道被攻击之后，才发送其观测数据给其观测邻居；

步骤202、基于上述多智能体的动力学模型和双层观测器，构建相应的残差生成器，具体如下：

记智能体i的观测残差为
相应的检验残差由观测残差和Lyapunov矩阵组成，记为
其中Q ^TQ＝P为Lyapunov矩阵。
如权利要求1所述的基于双层动态切换观测器的分布式安全状态重构方法，其特征在于，步骤3中，针对观测模型分析生成残差阈值的动态信息，检验每一个残差信号与阈值之间的大小，根据比较的大小动态地切换观测器间的通信拓扑，进行新的数据通信交互具体包括如下步骤：

步骤301、对每一个观测器i，默认初始化观测误差阈值ρ _i(0)＝||Q ^-TC ^Tε _i(0)|| ²的上界为其先验信息；否则，根据初始参数的上界限定，可获知一公共初始化误差上界阈值ρ _i(0)＝ρ ₀；

步骤302、当t＞0时，每个观测器i根据如下的动力学模型来生成每个时刻的阈值信息：

其中
与
分为矩阵P的最小与最大特征值，参数μ,m ₀,m ₁可见步骤401中；然后比较每个时刻的z _i(t)与ρ _i(t)的大小，若z _i(t)＞ρ _i(t)，则观测器认定第i个传感通道遭受攻击，并切换其通信拓扑；否则观测器i仍依照原先的通信拓扑将其观测信息发送给所有的邻居
如权利要求1所述的基于双层动态切换观测器的分布式安全状态重构方法，其特征在于，步骤4中，结合自身的观测数据和收到的邻居的观测信息进行迭代更新生成新的观测数据，并以残差信号是否大于当前的阈值作为判断对应通信通道是否遭受攻击的标准具体包括如下步骤：

步骤401、双层观测器i接收量测输出以及所有邻居的状态估计信息，然后利用如下公式来表示其动力学更新：

其中，
分别为对应两层观测器的状态，L＝P ^-1C ^T为增益矩阵使得A-LC是Hurwitz稳定的，且存在常数m ₀＞0,m ₁＞0以及正定矩阵P对给定的常数0＜μ＜κ使得下列LMI成立：

θ _i(t)＝0/1表示观测中心认定第i个通道是否被攻击者所操纵，其值的变化使得双层观测器的通信拓扑发生动态切换；

步骤402、对于观测器i的攻击识别逻辑θ _i(t)，其赋值标准描述如下：

其中θ _i(t)＝0则表示观测器认定第i个传输通道被攻击，反之则认为第i个传输通道未被攻击。