外部干扰和随机DoS 攻击下的网联车安全H∞ 队列控制

宋秀兰 李洋阳 何德峰

近年来,由于在提高道路安全性和通行效率等方面的优势,网联自主车辆得到了学术界和工业界的广泛关注[1].通过车-车(Vehicle to vehicle,V2V)或车-基础设施无线网络交换和共享数据,并综合利用车载传感、先进计算和智能控制技术实现网联自主车辆协同队列驾驶.然而,开放的无线网络信息传输和车辆高速移动特性使得网联自主车辆队列控制系统容易遭受恶意网络攻击,如数据窃密、篡改和中断等[2],给用户隐私、财产和安全带来极大威胁.

攻击者通过在介质访问控制层,中断数据包传输或通过注入恶意软件破坏网络组件,以一种隐秘和不可预测的方式攻击网络系统[3].目前,网联车潜在的攻击类型包括欺骗攻击、重放攻击和拒绝服务(Denial of service,DoS)攻击[4],其中DoS 攻击是最常见的恶意网络攻击,其攻击特性是干扰车联网络的射频或用大量请求阻止V2V 网络接入,以阻止车辆之间的信息交互,进而破坏车辆间的数据传输和队列控制系统.对此,相关学者探索DoS 攻击的网联车安全队列控制方法,并取得了一些尝试性成果.如文献[5]将DoS 攻击建模为连续数据包丢失,设计基于线性矩阵不等式(Linear matrix inequality,LMI)的网联车DoS 攻击弹性控制器;文献[6]将DoS 攻击结合不均匀采样建模为一个时滞系统,再基于Lyapunov 稳定性理论、Jensen 不等式方法和拓扑矩阵解耦技术,建立了队列稳定跟踪的充分条件.目前,大部分文献将网联车DoS 攻击建模为网络化时延或丢包系统[5-7],但网联车在无DoS 攻击下,通信过程会存在时延和丢包现象,所以这些模型无法有效表征DoS 攻击对网联车队列系统的影响.

近期有学者采用图论表示通信拓扑,进而将DoS 攻击建模成拓扑切换的形式,如文献[8-9]将网联车受到的DoS 攻击建模为拓扑切换模型,并引入恢复机制提出弹性控制协议设计,保证了网联车队列系统在DoS 攻击下的内部稳定性.在实际中,大多数DoS 攻击会充分利用随机发生的网络负载、网络拥塞和网络传输效率发起攻击[10-11],即DoS 攻击发生具有很强的随机性,会严重恶化现有网联车队列系统的稳定性和控制性能.但据笔者所知,目前DoS 攻击下的网联车安全队列控制方法还未充分考虑DoS 攻击的频率及强度的随机性的特性.

除随机DoS 攻击外,外部干扰也是网联车队列系统中不可忽视的重要因素.为了抑制外部干扰对网联车队列系统的不利影响,Ploeg 等[12]采用H∞控制方法,建立干扰下的车辆队列L2弦稳定性;文献[13]提出一种显式处理外部扰动的车辆队列minmax 预测控制方法.值得注意的是,目前车辆队列弦稳定性的结果大多考虑前导车的外部扰动;然而,由于地面摩擦、阵风和滚转阻力等不确定性影响,跟随车辆也会受到外部干扰,有必要研究前导车和跟随车同时受外部干扰下的网联车安全队列控制问题.

针对各辆网联车都可能同时受到随机DoS 攻击和外部干扰影响的场景,本文提出一种新的网联车安全H∞队列控制方法.首先,将随机DoS 攻击导致的信道拥塞建模为服从马尔科夫随机过程的通信拓扑切换模型.然后,再设计拓扑恢复机制,使得在攻击停留时间内将瘫痪通信拓扑恢复为正常通信拓扑.接着,采用H∞控制方法抑制网联车的外部干扰影响,设计具有稳定性保证的网联车安全H∞队列控制器.在此基础上,建立在随机DoS 攻击和外部干扰作用下的网联车队列系统的弦稳定性充分条件.最后,考虑变速典型交通场景,通过仿真比较DoS 攻击下的网联车安全队列控制方法,验证本文方法的优越性.

1 系统描述

考虑N+1 辆网联车在快速路同一车道纵向行驶,如图1 所示,头车编号为0,跟随车辆编号依次为 1,2,···,N.假设每辆车安装了车载雷达以测量本车与前车之间的距离、内置全球定位系统传感器测量车辆纵向位置信息和无线收发模块用于V2V通信以及发动机控制单元用于计算驱动转矩.当DoS 攻击发生时,一些车间通信信道被阻塞,导致车辆间无法正常传输车辆信息(即位置pi、速度vi和加速度ai),则车联网接入选择机制将改变车间通信拓扑结构,尽可能恢复车辆间信息传输.考虑车联网DoS 攻击发生的随机性,本文将车辆队列受到攻击后的拓扑切换建模为马尔科夫跳变过程.

图1 DoS 攻击下的网联车队列示意图Fig.1 A schematic of a connected vehicle platoon subject to DoS attacks

1.1 车辆纵向动力学模型

考虑队列中车辆i的纵向动力学方程[14-15]:

式中,mi为车辆的重量,τi为车辆的惯性时间常数,wi(t)∈L2[0,∞) 是外部干扰,ςi(t) 是车辆的发动机输入,方程fi为:

式中,ξ、Yi、Fdi和Fmi分别为空气密度、车辆i的横截面积、阻力系数和机械阻力.为了线性化式(1)中的加速度变化方程,令:

式中,ui为控制输入.将式(2)代入式(1),可得:

令车辆的状态向量xi(t)=[pi(t),vi(t),ai(t)]T,则由式(3)可得车辆状态空间方程为:

1.2 车辆间通信拓扑

为描述网联车之间的信息传输,采用有向图GN=(VN,EN,Π)描述车辆间的通信拓扑结构,其中VN={1,2,···,N}表示N辆跟随车的集合,有向边EN ⊆VN×VN是跟随车与其他车辆的可能连接情况集合,Π=[aij] 为邻接矩阵.若跟随车i可以接收来自车辆j的信息,则aij=1;反之,aij=0.定义车辆i的邻居集合为Ni={j∈VN|aij=1},图GN的度矩阵Δ=diag{d1,···,dN},其中GN的拉普拉斯矩阵定义为L=Δ-Π.另外,令头车矩阵HN=diag{h1,···,hN},若跟随车i可以接收来自头车的信息,则hi=1;反之,hi=0.假设是包含N辆跟随车与1 辆头车的有向图,则对应的拉普拉斯矩阵为=L+H.

1.3 DoS 攻击模型

针对网联车受到随机发生的DoS 攻击,本文采用马尔科夫随机通信拓扑切换的形式描述该DoS 攻击.考虑有向图,其中σ(t)是在有限集S={1,2,···,q}中的连续时间马尔科夫过程,其跃迁率定义为:

式中,r,s∈S,Δt＞0,limΔt→0O(Δt)/Δt=0,πrs为从拓扑r到拓扑s的转换速率,满足当r≠s时,πrs≥0;当r=s时,注意,当r=s时,表示在当前时间段通信拓扑未发生跳变,即车辆没有受到DoS 攻击;而当r≠s时,表示在时刻t+Δt通信拓扑从r切换成s,即队列中有车辆受到DoS 攻击[16].

车辆队列受随机DoS 攻击过程如图2 所示.假设车辆先以G1正常拓扑情况行驶,在某一时刻,队列车辆受DoS 攻击后,网联车队列拓扑随机切换成相应通信链路受阻情况,这个过程服从马尔科夫随机过程.

图2 DoS 攻击造成的拓扑切换示意图Fig.2 A schematic of topologies switching suffered from DoS attacks

1.4 问题描述

在车辆队列中,每辆跟随车i都期望跟踪头车的速度v0(t),同时与前一辆车保持理想的安全距离di,i-1,其数学描述为:

式中,di,i-1为车辆i与前车的理想间距,本文使用车头时距安全策略[17]:

式中,ddes为静止理想车间距;l为车头时距,即当前车与前车经过同一地点的时间差.

考虑到异质车辆队列跟踪过程中存在外部干扰wi(t),车辆跟随性能和队列弦稳定性可能会受影响.进一步,随机DoS 攻击导致车辆间通信链路拥塞,通信拓扑发生随机切换,车辆跟随性能及安全性会受到威胁.因此,本文目标是设计一种安全H∞队列控制方法,保证网联车在同时存在外部干扰和随机DoS 攻击时,车辆队列仍然能保持理想的间距安全和稳定行驶.

2 安全 H∞ 队列控制

2.1 队列控制器设计

为满足车辆跟踪目标(5),设计控制输入为[18-19]:

式中,Dij=[dij,0,0]T中的dij是车i与车j之间的理想车距;c是耦合系数;K=[kp,kv,ka]T是待计算的反馈控制增益;分别是时变邻接矩阵和头车矩阵的元素,由t时刻的通信拓扑决定.

考虑车辆状态空间方程式(4),定义跟随车与头车之间的状态误差为:

式中,x0(t)=[p0(t),v0(t),a0(t)]T.将式(7) 和式(8)代入式(4),可得:

式中,IN为N阶单位矩阵,Lσ(t)=Lσ(t)+Hσ(t)为时变通信拓扑矩阵.进一步定义系统输出:

式中,M=[1,0,0].在零初始条件下,对于∀w(t)∈L2[0,∞),车辆队列系统输出y(t) 满足如下H∞控制性能:

式中,参数γ＞0 表示扰动抑制水平.

2.2 队列内部稳定性分析

在马尔科夫随机DoS 攻击和扰动同时存在情况下,考虑车辆队列闭环系统(10)和跟踪目标(5),应用Lyapunov-Krasovskii 稳定性理论[20-21]建立LMI 满足内部稳定性的充分条件.

定理1.考虑车辆队列闭环系统和给定扰动抑制水平γ＞0,如果存在适当的正定矩阵Pr ∈R3×3,满足如下LMI :

证明.根据Lyapunov-Krasovskii 稳定性理论,取如下函数:

式中,Pr∈R3×3为正定矩阵,r=σ(t)∈S表示当前通信网络状态,共有q个状态.对式(14)求导,可得:

式中,πrs对应的转移矩阵为:

将式(10)代入式(15),整理可得:

定义向量ϑ(t)=[eT(t),wT(t)]T,则式(19)可简化为:

式中,矩阵Λ∈R6N×6N为:

根据Lyapunov-Krasovskii 稳定性理论,当且仅当 Λ＜0 时,车辆队列闭环系统渐近稳定.显然,要使上述条件成立,则需要如下不等式成立:

值得注意的是,式(21)是非线性不等式,对此需进行线性化,在不等式两边分别左乘和右乘对角矩阵 d iag{Pr,I3×3} 和 d iag{,I3×3},再应用Schur补定理转换,得到不等式(13).

根据随机DoS 攻击和外部干扰对车辆队列的影响,在分析队列内部稳定性过程中,应用马尔科夫拓扑转换率,可以推导出满足LMI 的稳定性充分条件.若LMI 有可行解,则可求得对应控制器增益矩阵K和耦合系数c.

2.3 队列弦稳定性分析

第2.2 节得到了队列受随机DoS 攻击和干扰时保持车辆内部稳定性的控制器,进一步,还需要分析车辆队列的弦稳定性.弦稳定意味着队列上游车辆的误差不会在车辆队列下游被放大.本文以车辆与前车的间距误差作为衡量指标,即对于任意频率ω＞0,车辆队列满足‖H(jω)‖≤1,其中H(s)=ep,r(s)/ep,r-1(s),ep,r(s) 为ep,r(t) 的拉普拉斯变换,且ep,r(t)=pr-1(t)-pr(t)-di,i-1.

考虑车辆纵向动态方程式(3),有:

同时对式(22)两边取拉普拉斯变换,可得传递函数H(s)=ep,r(s)/ep,r-1(s).根据车辆受DoS 攻击情况,分别考虑以下3 种不同情况下的传递函数.

1) 情况1.车辆r与其前车r-1 均未受到攻击,可以接收到头车及前车的车辆信息s.此时有:

令s=jω,可得:

2)情况2.车辆r与前车r-1 均受到攻击,都无法接收到头车信息,但可以接收前车信息.此时传递函数为:

同上,代入s=jω,可得:

3)情况3.车辆r受到攻击,但前车未受攻击.此时传递函数为:

实际上,式(26) 可看作是式(25) 的特例.将H3(s) 分子中的项改写为如下形式:

如本节所述,需要满足队列弦稳定性要求‖H(jω)‖≤1,则要求β1＞0,β2＞0,即:

至此,在外部干扰和随机DoS 攻击下的车辆队列弦稳定性分析完毕.

3 仿真验证与分析

本节使用Matlab 2016a 设计仿真实验,考虑在马尔科夫随机DoS 攻击和外部干扰同时存在情况下,验证本文安全队列控制器的有效性;并通过对比文献[6]和文献[9]的控制方法,进一步验证本文方法针对随机DoS 攻击的优越性.

根据实际队列行驶场景,仿真时长为80 s,车辆行驶最大距离不超过1.2 km.队列由7 辆不同车组成,其中包括1 辆头车和6 辆跟随车,头车初始位置p0(0)=0 m,初速度v0(0)=10 m/s,跟随车辆初始状态分别为xi(0)=[-15i,10,0]T.为验证队列跟踪性能,预先设定头车运动状态为:

时距与车辆的相关仿真参数如表1 所示.

表1 仿真参数Table 1 The parameters of simulation

图3 4 种常见的通信拓扑示意图Fig.3 Four common communication topology diagrams

图4 DoS 攻击过程Fig.4 Process of DoS attacks

图5 给出3 种安全队列控制器作用下的各辆车速度仿真结果,其中图5(a)、图5(b)和图5(c)分别对应本文方法设计的控制器、文献[6]设计的控制器和文献[9]设计的控制器.由图5 可以看出,在3种安全控制器作用下的车辆队列整体保持一定的跟踪性能,但相比于其他2 种控制器,本文控制器作用下各辆车速度一致性程度较高.在外部干扰和随机DoS 攻击下,文献[6]控制器驱动下的跟随车速度与头车速度发生了较大偏移,说明车辆队列的跟踪性能变差;文献[9]控制器驱动下的速度曲线有多处波动,各车辆速度不稳定,即车辆队列的跟踪性能变差.

图5 车辆速度曲线Fig.5 Velocity profiles of vehicles

图6 给出3 种安全队列控制器作用下的车间距误差仿真结果,其中图6(a)、图6(b)和图6(c)分别对应本文方法设计的控制器、文献[6]设计的控制器和文献[9]设计的控制器.由图6 可以看出,本文方法和文献[6]控制器能实现队列中各辆车的位置间距误差收敛到零的控制目标,但本文方法得到的间距误差峰值为4.6 m,文献[6]控制器得到的间距误差峰值达到16.4 m,无法达到缩小间距误差的控制效果;而在文献[9]控制器驱动下,每辆车间距误差最终收敛不一致且无法收敛到零,同时间距误差峰值达到13.2 m.此外,由图6 进一步可知,3 种安全队列控制器均能实现网联车队列在遭受外部干扰和随机DoS 攻击下的队列弦稳定性.该实验结果表明,本文控制器驱动下的网联车队列能保持良好的安全性,并且由于车间距误差更小,使得道路容纳车辆的密度可以更大,从而提高了道路的通行效率和容量.

图6 车辆间距误差曲线Fig.6 Spacing error profiles of vehicles

为进一步验证本文控制器对随机DoS 攻击的弹性,在理想车间距、初始状态、通信拓扑类型和外部干扰相同的情况下,增加DoS 攻击频率(即修改马尔科夫拓扑转换率),观察队列稳定性情况.令Θr(t)为 [0,t) 间隔内拓扑出现的总时间,则θr(t)=Θr(t)/t,其中θr(t) 为拓扑的拓扑率,对比实验结果如表2 所示.表2 中,“”代表稳定,“×”代表不稳定.由表2 可以看出,随着攻击时间的增加,文献[6]方法控制的车辆队列最先失去稳定性,然后是文献[9].当DoS 攻击时长达到26 s 时,本文方法控制的车辆队列才失去稳定性.对比表2 中实验2 和实验3 可知,随着不断增加DoS 攻击发生的频率,文献[9]方法控制的车辆队列会最先产生不稳定;当DoS 攻击时长和攻击发生的频率增加到一定程度时,本文方法控制的车辆队列也将失去稳定性,即对DoS 攻击强度存在弹性上界.

表2 不同强度的DoS 攻击实验Table 2 Experiments of DoS attacks with different intensities

4 结束语

针对车辆外部干扰和随机DoS 攻击下的安全队列控制问题,本文给出一种基于H∞的网联车安全队列控制方法.首先,将车辆随机DoS 攻击建模为马尔科夫通信拓扑切换随机过程.然后,考虑车辆外部干扰,采用LMI 方法计算控制器增益和耦合系数.在此基础上,得到车辆队列闭环系统的稳定性和队列弦稳定性充分性条件.最后,对比仿真结果验证了本文方法在抑制外部干扰和随机DoS 攻击产生的影响方面具有优越性.后续将进一步研究通信时延和车辆启动或刹车过程产生的控制时延对网联车安全队列性能的影响.