DoS攻擊下具備隱私保護(hù)的多智能體系統(tǒng)均值趨同控制

時間：TIME\@"yyyy'年'M'月'd'日'"2022年3月29日學(xué)海無涯頁碼：第1-頁共1頁DoS攻擊下具備隱私保護(hù)的多智能體系統(tǒng)均值趨同控制多智能體系統(tǒng)是由多個具有一定傳感、計算、執(zhí)行和通信能力的智能個體組成的網(wǎng)絡(luò)系統(tǒng),作為分布式人工智能的重要分支,已成為解決大型、復(fù)雜、分布式及難預(yù)測問題的重要手段[1-2].趨同問題作為多智能體系統(tǒng)分布式協(xié)調(diào)控制領(lǐng)域中一個最基本的研究課題,是指在沒有協(xié)調(diào)中心的情況下,系統(tǒng)中每個節(jié)點(diǎn)僅根據(jù)相互間傳遞的信息,將智能體動力學(xué)與網(wǎng)絡(luò)通信拓?fù)漶詈铣蓮?fù)雜網(wǎng)絡(luò),并設(shè)計合適的分布式控制方法,從而在有限時間內(nèi)實(shí)現(xiàn)所有節(jié)點(diǎn)狀態(tài)值的一致或同步.

然而具備分布式網(wǎng)絡(luò)特點(diǎn)的多智能體系統(tǒng)由于普遍規(guī)模龐大,單個節(jié)點(diǎn)結(jié)構(gòu)簡單且節(jié)點(diǎn)地理位置分散等原因,使得系統(tǒng)中易產(chǎn)生脆弱點(diǎn),這就使其在推廣應(yīng)用中面臨兩項(xiàng)基本挑戰(zhàn):1)節(jié)點(diǎn)狀態(tài)信息的隱私泄露問題;2)節(jié)點(diǎn)或節(jié)點(diǎn)間的通信鏈路可能會遭受網(wǎng)絡(luò)攻擊的問題,如欺騙攻擊、拒絕服務(wù)(Denial-of-service,DoS)攻擊等.

針對節(jié)點(diǎn)狀態(tài)信息的隱私泄露問題,即在考慮多智能體網(wǎng)絡(luò)趨同的同時,保證系統(tǒng)中節(jié)點(diǎn)的初始狀態(tài)值不被泄露,已有較多研究人員開展相關(guān)的工作.其中,有學(xué)者借助于傳統(tǒng)的安全多方計算方法,例如Yao等[3]提出混淆電路算法,Shamir等[4]提出秘鑰共享算法等.然而這類通用的隱私保護(hù)方法因計算和通信消耗較大,不適用于單個智能體節(jié)點(diǎn)結(jié)構(gòu)較為簡單的分布式系統(tǒng),尤其是受到硬實(shí)時約束的一類多智能體系統(tǒng)應(yīng)用.如上述的混淆電路的計算延遲為秒級[5],而對于多智能體系統(tǒng)一些典型應(yīng)用如多無人飛行器編隊(duì)的實(shí)時控制,其容許的計算延遲僅為毫秒級[6].針對多智能體系統(tǒng)均值趨同過程中節(jié)點(diǎn)信息泄露問題,有研究人員提出了一系列專門的隱私保護(hù)策略[7-10].這些方法大多基于模糊處理的思想,即通過加入噪聲來掩蓋真實(shí)的狀態(tài)值.其中一種常用的手段是差分隱私方法[11],然而這種差分隱私下的模糊處理方法會影響最終趨同值的精度,即使系統(tǒng)無法收斂到精確的節(jié)點(diǎn)初始狀態(tài)的平均值.最近文獻(xiàn)[12]提出的一種基于相關(guān)噪聲混淆技術(shù)的改進(jìn)方法,克服了傳統(tǒng)差分隱私方法中精度下降的問題,但卻需要較多的算力.最近的文獻(xiàn)[13]采用一種基于狀態(tài)分解的方法,將每個節(jié)點(diǎn)的初始狀態(tài)分解為兩個隨機(jī)的子狀態(tài),只令其中一個子狀態(tài)參與相鄰節(jié)點(diǎn)間的信息交互,而另一子狀態(tài)保留在本節(jié)點(diǎn)內(nèi)部,不參與鄰居間信息傳遞.只要兩個隨機(jī)子狀態(tài)的和滿足特定條件,在所設(shè)計的趨同算法下,系統(tǒng)能夠達(dá)成均值趨同,且保護(hù)每個節(jié)點(diǎn)的狀態(tài)信息不被泄露.

此外,有學(xué)者研究基于可觀測性的方法用來保護(hù)多智能體系統(tǒng)中節(jié)點(diǎn)的隱私[14-16].基本思想是設(shè)計網(wǎng)絡(luò)的交互拓?fù)浣Y(jié)構(gòu)以最小化某個節(jié)點(diǎn)的觀測性,本質(zhì)上相當(dāng)于最小化該節(jié)點(diǎn)推斷網(wǎng)絡(luò)中其他節(jié)點(diǎn)初始狀態(tài)的能力.然而,這類基于可觀測性的方法仍然存在隱私泄露的風(fēng)險.為了提高對隱私攻擊的抵御能力,另一種常見的方法是使用加密技術(shù).然而,雖然基于密碼學(xué)的方法可以很容易地在聚合器或第三方[17]的幫助下實(shí)現(xiàn)隱私保護(hù),例如基于云的控制或運(yùn)算[18-20],但是由于分散密鑰管理的困難,在沒有聚合器或第三方的情況下,將基于密碼學(xué)的方法應(yīng)用到完全分散的均值趨同問題是很困難的.同時,基于密碼學(xué)的方法也將顯著增加通信和計算開銷[21],往往不適用于資源有限或受硬實(shí)時約束的分布式網(wǎng)絡(luò)控制系統(tǒng).

以上的工作均是在安全的通信環(huán)境下完成的,然而在實(shí)際應(yīng)用場景中,由于物理設(shè)備和通信拓?fù)浣Y(jié)構(gòu)都有可能遭受網(wǎng)絡(luò)攻擊,導(dǎo)致以往有關(guān)多智能體系統(tǒng)趨同研究的失效,這使得針對多智能體系統(tǒng)在網(wǎng)絡(luò)攻擊下的趨同研究發(fā)展迅速,并取得了一些顯著成果[22-26].目前多智能體系統(tǒng)中常見的網(wǎng)絡(luò)攻擊主要有兩種形式:欺騙攻擊[22,25,27-28]和DoS攻擊[29-33].其中DoS攻擊是多智能體系統(tǒng)中最常見也是最容易實(shí)現(xiàn)的攻擊形式,只要攻擊者掌握系統(tǒng)元器件之間的通信協(xié)議,即可利用攻擊設(shè)備開展干擾、阻塞通信信道、用數(shù)據(jù)淹沒網(wǎng)絡(luò)等方式啟動DoS攻擊.在DoS攻擊影響下,智能體間交互的狀態(tài)信息因傳遞受阻而致使系統(tǒng)無法達(dá)成一致.近年來,研究者們從控制理論的角度對DoS攻擊下的系統(tǒng)趨同問題進(jìn)行了研究.其中,有研究人員通過構(gòu)建依賴于參數(shù)的通用Lyapunov函數(shù)設(shè)計一種趨同方法[31],使其能夠適用于因通信鏈路存在隨機(jī)攻擊導(dǎo)致通信拓?fù)潆S機(jī)切換的情況.此外,有研究者通過設(shè)計一個獨(dú)立于全局信息的可靠分布式事件觸發(fā)器[32],很好地解決了大規(guī)模DoS攻擊下的一致性問題.更有研究者開始研究異構(gòu)多智能體系統(tǒng)在通信鏈路遭受攻擊時的趨同問題[33],通過設(shè)計基于觀測器的控制器,實(shí)現(xiàn)在通信鏈路存在DoS攻擊時兩層節(jié)點(diǎn)間的趨同問題.而在本文中,考慮多智能體之間通信鏈路遭受DoS攻擊的情況,通過攻擊開始時刻與攻擊鏈路矩陣刻畫DoS攻擊模型,通過增強(qiáng)網(wǎng)絡(luò)拓?fù)湟詽M足所謂的[][][]{()}部分,可進(jìn)一步分解為下式:

根據(jù)無向圖屬性:a′ij[k]=a′ji[k]aij′[k]=aji′[k],對于任意vi,vj∈Vvi,vj∈V,有:

a′ij[k](yj[k]?yi[k])=?a′ji[k](yi[k]?yj[k])

(25)將式(25)代入式(24),可得:

∑i=1M{∑j=1Ma′ij[k](yj[k]?yi[k])}=0

(26)將式(26)(26)代入式(23)(23),可得:

∑i=1M(xαi[k+1]+xβi[k+1])=∑i=1M(xαi[k]+xβi[k])

(27)由式(27)容易看出,對于進(jìn)行狀態(tài)分解后的網(wǎng)絡(luò),系統(tǒng)節(jié)點(diǎn)子狀態(tài)的和是固定不變的.□

下面給出本文的主要結(jié)論.

定理1.考慮DoS攻擊下多智能體系統(tǒng)(4),在滿足假設(shè)1、2和3條件下,若其通信拓?fù)錆M足(f+1)(f+1)-魯棒圖,且系統(tǒng)節(jié)點(diǎn)在所給的分布式協(xié)議(19)下進(jìn)行狀態(tài)更新,則系統(tǒng)可實(shí)現(xiàn)輸出值均值趨同.

證明.由于系統(tǒng)的通信圖是一個(f+1)(f+1)-魯棒圖,根據(jù)引理5可知,系統(tǒng)在滿足假設(shè)1的DoS攻擊下,其網(wǎng)絡(luò)圖仍能夠保持連通.顯然,經(jīng)過狀態(tài)分解之后的系統(tǒng)同樣能夠保證網(wǎng)絡(luò)圖的連通性.根據(jù)引理6,當(dāng)k=0k=0時,有:

12M∑i=1M(xαi[1]+xβi[1])=12M∑i=1M(xαi[0]+xβi[0])

(28)隨后,根據(jù)引理4和式(28)可知,系統(tǒng)可以實(shí)現(xiàn)均值趨同,即任意節(jié)點(diǎn)的子狀態(tài)xαi[k]xiα[k]和xβi[k]xiβ[k]都將收斂至:

12M∑i=1M(xαi[1]+xβi[1])

再根據(jù)式(28)和狀態(tài)分解約束條件xαi[0]+xβi[0]=2xi[0]xiα[0]+xiβ[0]=2xi[0],可得:

limk→∞xαi[k]=limk→∞xβi[k]=1M∑j=1Mxj[0]

(29)最后,根據(jù)式(29)和輸出方程yi[k]=nxαi[k]yi[k]=nxiα[k],可得:

limk→∞yi[k]=limk→∞nxαi[k]=nM∑j=1Mxj[0]

(30)□

注4.相比于文獻(xiàn)[13]設(shè)計的隱私保護(hù)狀態(tài)更新協(xié)議,本文在協(xié)議(19)的設(shè)計過程中進(jìn)一步考慮了在實(shí)際環(huán)境對測量條件等的限制導(dǎo)致難以獲得系統(tǒng)中節(jié)點(diǎn)的真實(shí)狀態(tài)值的情況,引入了節(jié)點(diǎn)輸出值的概念,通過觀測矩陣獲取的系統(tǒng)輸出yy進(jìn)行協(xié)議(19)的設(shè)計,可確保系統(tǒng)在該協(xié)議下實(shí)現(xiàn)輸出值均值趨同.

3.4隱私保護(hù)分析本節(jié)對趨同控制過程中單個節(jié)點(diǎn)信息的隱私保護(hù)進(jìn)行分析.本文考慮兩種隱私竊聽者:好奇竊聽者和外部竊聽者.好奇竊聽者是指一類能夠正確遵循所有控制協(xié)議步驟但具有好奇性的節(jié)點(diǎn),這類節(jié)點(diǎn)會收集接收到的數(shù)據(jù)并試圖猜測其他節(jié)點(diǎn)的狀態(tài)信息.而外部竊聽者是指一類了解整個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的外部節(jié)點(diǎn),并能夠竊聽某些內(nèi)部節(jié)點(diǎn)的通信鏈路從而獲得在該通信鏈路交互的信息.

一般來說,這里的外部竊聽者比好奇竊聽者更具有破壞力,因?yàn)橥獠扛`聽者會竊聽多個節(jié)點(diǎn)通信鏈路上交互的信息,而好奇竊聽者只能竊聽該節(jié)點(diǎn)通信鏈路交互的信息,但好奇竊聽者有一個外部竊聽者無法得知的信息,即該好奇竊聽者的初始狀態(tài)值.

定義好奇竊聽者vi∈Vvi∈V在第kk次迭代時所獲得的信息為:Ii[k]={a′ip[k]|vp∈Ni,yp[k]|vp∈Ni,xi[k],Ii[k]={aip′[k]|vp∈Ni,yp[k]|vp∈Ni,xi[k],xαi[k],xβi[k],ai,αβ[k]}xiα[k],xiβ[k],ai,αβ[k]}.隨著狀態(tài)值迭代更新,竊聽者vivi收集獲得的信息表示為Ii=?∞k=0Ii[k]Ii=?k=0∞Ii[k].

定義4.如果竊聽者無法以任何精度保證估計節(jié)點(diǎn)狀態(tài)信息xi[0]xi[0]的值,則稱節(jié)點(diǎn)vivi得到了隱私保護(hù).

在給出結(jié)論前,需要用到下述引理.

引理7[13].在采用狀態(tài)分解方法的信息交互通信中,如果正常節(jié)點(diǎn)vjvj具有至少一個不與好奇竊聽節(jié)點(diǎn)vivi直接相連的正常鄰居節(jié)點(diǎn)vmvm,則對于節(jié)點(diǎn)vjvj的任意初始狀態(tài)xˉˉˉj[0]≠xj[0]xˉj[0]≠xj[0],竊聽節(jié)點(diǎn)vivi獲得的信息始終滿足Iˉˉˉi=IiIˉi=Ii.

引理8[13].在采用狀態(tài)分解方法的信息交互通信中,如果正常節(jié)點(diǎn)vjvj存在至少一個正常鄰居節(jié)點(diǎn)vmvm,其ajm[0]ajm[0]的值對于外部竊聽者不可見,則節(jié)點(diǎn)vjvj的任意初始狀態(tài)的任何變化都可以完全通過對外部竊聽者不可見的ajm[0]ajm[0],aj,αβ[0]aj,αβ[0]和am,αβ[0]am,αβ[0]的變化來補(bǔ)償,因此外部竊聽者無法以任何精度保證估計正常節(jié)點(diǎn)vjvj的初始狀態(tài)值xj[0]xj[0].

定理2.考慮DoS攻擊下多智能體系統(tǒng)(4),對于系統(tǒng)中任意正常節(jié)點(diǎn)vj∈Vvj∈V,如果vjvj在所給的分布式協(xié)議(19)下進(jìn)行狀態(tài)更新,則在整個信息交互過程中,其狀態(tài)信息值xj[0]xj[0]具備隱私保護(hù).

證明.首先,分析系統(tǒng)存在好奇竊聽者vivi的情況.對于任意正常節(jié)點(diǎn)vjvj,在所給的分布式協(xié)議(19)下,其初始狀態(tài)顯然滿足xˉˉˉj[0]≠xj[0]xˉj[0]≠xj[0],Iˉˉˉi=IiIˉi=Ii.再由引理6可知,該條件下好奇竊聽者無法準(zhǔn)確估計節(jié)點(diǎn)vjvj的初始值,因此節(jié)點(diǎn)vjvj的狀態(tài)值xj[0]xj[0]得到了隱私保護(hù).

隨后,分析系統(tǒng)存在外部竊聽者的情況.在本文所提的分布式算法(19)下,外部竊聽者對于系統(tǒng)中任意正常節(jié)點(diǎn)vj∈Vvj∈V的其中之一子狀態(tài)不可見.根據(jù)引理7,vjvj初始狀態(tài)值的變化則對于外部竊聽者不可見,故外部竊聽者無法準(zhǔn)確估計正常節(jié)點(diǎn)vjvj的初始值,因此節(jié)點(diǎn)vjvj的狀態(tài)值xj[0]xj[0]得到了隱私保護(hù).□

4.數(shù)值仿真

本節(jié)通過一些仿真算例來驗(yàn)證提出算法的有效性.同時與文獻(xiàn)[13]中的算法進(jìn)行了比較,以驗(yàn)證其優(yōu)勢.

考慮由5個節(jié)點(diǎn)組成的無向圖網(wǎng)絡(luò),其通信拓?fù)淙鐖D3所示.每個節(jié)點(diǎn)分別賦予初始狀態(tài)值x1[0]=3x1[0]=3,x2[0]=6x2[0]=6,x3[0]=9x3[0]=9,x4[0]=12x4[0]=12,x5[0]=15x5[0]=15.

圖35個節(jié)點(diǎn)組成的通信圖

Fig.3Networktopologyofmulti-agentsystemwith5nodes

首先考慮節(jié)點(diǎn)采用文獻(xiàn)[13]中的控制律更新狀態(tài),令ε=0.2ε=0.2,對應(yīng)的鄰接矩陣設(shè)置為:

A1=0.75???????0100110100010010000110110???????

(31)值得注意的是,文獻(xiàn)[13]并未涉及輸出方程,因此不妨用xixi表示節(jié)點(diǎn)vivi的內(nèi)部狀態(tài),x+ixi+表示和鄰居節(jié)點(diǎn)進(jìn)行交互的狀態(tài)值.

考慮存在外部竊聽者試圖猜測節(jié)點(diǎn)v1v1的初始狀態(tài)值x1[0]x1[0].可以構(gòu)造以下的外部竊聽者對節(jié)點(diǎn)v1v1的初始狀態(tài)值進(jìn)行估計:

z[k+1]=z[k]+x+1[k+1]?(x+1[k]+ε∑j=1Ma1j(x+j[k]?x+1[k]))

(32)式中,z[k]z[k]表示竊聽者在kk時刻獲知的觀測狀態(tài).顯然,外部竊聽者初始觀測狀態(tài)z[0]=x+1[0]z[0]=x1+[0].假設(shè)該外部竊聽者除了不可獲知節(jié)點(diǎn)v1v1與v2v2之間的權(quán)值a12[0]a12[0]外,具備整個網(wǎng)絡(luò)其他的拓?fù)湫畔?此時給a12[0]a12[0]隨機(jī)賦值0.7.

系統(tǒng)中各個節(jié)點(diǎn)的狀態(tài)變化軌跡如圖4所示.圖中實(shí)線表示各節(jié)點(diǎn)αα子狀態(tài)值變化曲線,點(diǎn)連線表示外部竊聽者對節(jié)點(diǎn)v1v1初始狀態(tài)值的猜測曲線,虛線表示節(jié)點(diǎn)v1v1的初始狀態(tài)值.可以看出,在無DoS攻擊影響下,文獻(xiàn)[13]中的控制方法可使系統(tǒng)準(zhǔn)確收斂到所有節(jié)點(diǎn)初始狀態(tài)的均值9,且外部竊聽者不能準(zhǔn)確推斷節(jié)點(diǎn)v1v1的初始狀態(tài)x1[0]=3x1[0]=3.

圖4控制方法下的各節(jié)點(diǎn)狀態(tài)軌跡[13]

Fig.4Statetrajectoryofeachnodewithcontrollaw[13]

然后,考慮網(wǎng)絡(luò)中存在DoS攻擊的情況.不妨令f=2f=2,相應(yīng)的,Adversory(P,k0)(P,k0)中的攻擊矩陣為:

P=????????1011101111111101111111011????????

(33)令k0=5k0=5,即表示系統(tǒng)在第5次狀態(tài)更新時,開始發(fā)生DoS攻擊,并且持續(xù)發(fā)生至更新結(jié)束.

圖5顯示的是在上述攻擊影響下基于文獻(xiàn)[13]中算法的系統(tǒng)各個節(jié)點(diǎn)的狀態(tài)變化曲線.圖5中實(shí)線表示各節(jié)點(diǎn)αα子狀態(tài)值變化曲線,點(diǎn)連線表示外部竊聽者對節(jié)點(diǎn)v1v1初始狀態(tài)值的猜測曲線,虛線表示節(jié)點(diǎn)v1v1的初始狀態(tài)值.從中可以明顯看到,在DoS攻擊下,盡管系統(tǒng)仍具備保護(hù)隱私的能力,但系統(tǒng)中各個節(jié)點(diǎn)的狀態(tài)則無法達(dá)成趨同.

圖5DoS攻擊影響下各節(jié)點(diǎn)狀態(tài)軌跡[13]

Fig.5StatetrajectoryofeachnodewithcontrollawunderDoSattacks[13]

考慮遭受同樣滿足Adversory(P,k0)(P,k0)的DoS攻擊,重新設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),使其滿足定理1中的通信圖要求,即滿足3-魯棒圖.設(shè)計后的網(wǎng)絡(luò)通信圖如圖6所示.

圖65個節(jié)點(diǎn)組成的新通信圖

Fig.6Newnetworktopologyof5nodes

同樣令ε=0.2ε=0.2,鄰接矩陣設(shè)置為:

A2=0.75????????0111110110110111110110110????????

(34)同樣考慮存在一個外部竊聽者試圖猜測節(jié)點(diǎn)v1v1的初始狀態(tài)值.考慮此時傳輸?shù)氖禽敵鰻顟B(tài),令yiyi表示節(jié)點(diǎn)vivi和鄰居節(jié)點(diǎn)進(jìn)行交互的信息值,輸出方程中觀測矩陣前系數(shù)n=1n=1,構(gòu)造以下的外部竊聽者對節(jié)點(diǎn)v1v1的初始狀態(tài)值進(jìn)行猜測:

z[k+1]=z[k]+y1[k+1]?(y1[k]+ε∑j=1Ma1j(yj[k]?y1[k]))

(35)外部竊聽者初始觀測狀態(tài)z[0]=y1[0]z[0]=y1[0].根據(jù)定理2中的條件,實(shí)例中假設(shè)外部竊聽者可以獲得除了節(jié)點(diǎn)v1v1和v2v2之間的權(quán)值a12[0]a12[0]外的整個拓?fù)鋱D信息.同樣為a12[0]a12[0]隨機(jī)賦值0.7.因此,根據(jù)定理1和定理2可知,系統(tǒng)節(jié)點(diǎn)在滿足圖6所給的通信圖下,在本文控制協(xié)議下可以達(dá)成均值趨同,且每個節(jié)點(diǎn)的狀態(tài)信息得到隱私保護(hù).

圖7顯示的是在DoS攻擊下系統(tǒng)節(jié)點(diǎn)在本文所提控制方法下的狀態(tài)變化軌跡.