當前位置:
首頁 > 最新 > 無人機網路應對信息物理攻擊面臨的挑戰

無人機網路應對信息物理攻擊面臨的挑戰

在過去幾十年,無人機系統(UAS)網路攻擊技術及攻擊消減技術作為一個比較熱門的研究領域,產生了許多研究成果和建議。但是,研究團隊把UAS網路建模為典型的MANET,往往忽略對各種脆弱性的關注與研究。專門針對無人機系統及其信息物理方面的脆弱性實施的攻擊,使得無人機系統網路面臨各種挑戰。本文就無人機信息物理方面的脆弱性及其所面臨的挑戰展開分析討論,重點是無人機網路和通信方面的一些關鍵脆弱性。

1. 引言

隨著無人機成本的下降,對多架無人機協同執行任務的研究廣受關注,隨之也帶來大量的挑戰,應對這些挑戰成為在民用和軍用場景安全可靠部署無人機系統的關鍵。針對無人機實施的攻擊包括破壞指揮控制鏈路,從而捕獲和使用機載節點,進而實施動能攻擊。保證多無人機系統指揮控制的安全,對於其安全可靠地集成到軍事和民用空域極為重要。由於無人機的指揮控制依賴機載信息物理組件,無人機網路在面對信息物理攻擊時存在許多脆弱性,面臨許多挑戰,因而需要強健的標準和框架,應對從機械組件到信息處理單元和通信系統各個方面的潛在惡意操縱威脅,提供可靠性和彈性保障。

多無人機操作中,需要通過無人機間鏈路交換態勢信息和操作指令,這是編隊控制和任務優化等重要功能的基礎。對於無人機系統網路的體系結構,研究人員一致傾向於採用分散和自組織解決方案。採用這種方案,可以更短時間和更低成本實現無人機系統動態部署。

典型的無人機系統網路結構如圖1所示。通過圖1中各類鏈路和介面,可以看出這種網路本身的複雜特性。多個子系統匯聚在一起,使得該網路不僅有各子系統的脆弱性,而且它們之間的交互還會帶來新的脆弱性。

GIF

2. 無人機的各部分組成

無人機是信息物理系統,意味著其操作依賴系統物理和計算單元之間的交互。因此,無人機的安全不僅取決於計算和通信單元以及協議,而且取決於系統的物理組件。為了對包含整個機身在內的無人機的安全問題進行分析,需要一個整體框架,匯聚傳統上相互獨立的各個組件。無人機體系結構和能力的多樣性是框架開發過程中遇到的障礙之一,因而設計框架模型面臨許多困難。然而,由於系統基本要求的相似性,可以針對傳統型無人機產生高級系統模型。圖2示出傳統無人機各個組件,大部分無人機包含多個通信天線,如空對地、空對空、衛星數據鏈和導航天線以及感測器組。典型無人機定位導航系統由全球導航衛星系統(GNSS)接收機(對於精確定位)和慣性測量單元(IMU)(基於動能感測器讀數進行相對定位)組成。該系統進一步擴展,還包括空中交通監視器,如廣播式自動相關監視(ADS-B)和防撞系統。

通過一個或多個處理器,對無人機的操作和導航進行監督,使用各無線電和感測器的輸出進行電子和機械參數調整,這個過程由自適應控制機制執行。每個單元都可能成為惡意攻擊的目標,致使無人機進入非理想狀態或者出現嚴重故障。

GIF

3. 無人機系統網路的獨有特性

對無人機系統網路脆弱性進行精確分析,首先需要了解機載網路與傳統計算機網路的不同。在最初研究階段,人們認為無人機系統通信和協議與普通分散式移動網路相似。通過深入研究,證明了無人機系統網路與移動自組織網路(MANET)和無線感測器網路(WSN)有許多不同之處,例如移動性、機械自由度及其運行條件等。無人機的速度可達每小時幾百英里,機載平台增加了通信子系統和無人機系統網路等方面需求的複雜度。在鏈路層,鏈路管理和接入控制的自適應性必須能夠快速適應高動態環境中像鄰居發現和資源分配這樣的任務。同樣,網路層必須能夠提供快速路由發現和路徑計算,同時保持信息流的可靠性。

在物理層,無人機系統不僅在通信而且在動能方面有獨特要求。由於無人機系統網路的跨度會隨無人機群的範圍變化而變化,無人機無線電的傳送功率必須能夠針對有效功耗和持續通信進行調整。同樣,隨著任務地理環境的快速變化,無人機系統鏈路的信道可用性會發生變化。潛在的解決方案是為無人機系統裝備動態頻譜接入(DSA)和自適應無線電,以便提供所需的靈活性。此外,機載平台天線的傳統布設方式會在飛機方向和高度發生變化時,對機載無線電增益產生影響,而且隨著無人機非常規機動時間的延長,這個問題會進一步加劇。

GIF

4. 對無人機系統網路的潛在攻擊

從外部機身和天線到網路層和應用棧,無人機每個構件都可能存在脆弱性。按照網路功能和信息物理因素進行分類,表1列出了一些針對無人機系統網路的攻擊。本節將對錶1列出的各種攻擊進行概述,對潛在攻擊消減方法和研究領域提出初步想法。

4.1 感測器和導航

無論是自主無人機還是遙控無人機,對環境的觀測都由機載感測器完成,感測器是飛行控制的「耳目」,提供安全成功完成任務所需的環境測量。但是,評估系統脆弱性時往往忽視信息物理系統中重要感測器被攻擊者惡意利用的問題。攻擊者可能會操縱或濫用感覺感測輸入或功能,觸發或傳送惡意代碼,誤導依賴這些感測器的進程,或者使這些感測器無法正常工作,從而形成拒絕服務攻擊並觸發非預期的自動防故障機制。

在導航測量方面,傳統上通過GNSS和IMU單元的協作對飛機進行精確定位。GNSS信號(如GPS信號)易受欺騙攻擊的影響,有些文獻演示驗證了僅依賴商用GPS接收機進行定位的無人機易受相對簡單的干擾和欺騙攻擊,可能會導致無人機墜落或被敵方捕獲。自GPS建立以來,對於針對GNSS的各種欺騙,提出了多種對抗措施,包括利用接收到的GPS信號的方向和極化進行攻擊探測、利用波束形成和統計信號處理方法消除欺騙信號等。在一些文獻中,提出對IMU和GPS讀數變化的交叉驗證方法,旨在從融合測量的異常情況中檢測出欺騙攻擊。這種技術儘管在理論上頗具吸引力,但實際部署起來需要高可靠性的IMU和對有效性能的自適應閾值控制,對於小型無人機工業來說,從經濟上是不可行的。由於存在這些局限性,這種檢測技術對於高級欺騙攻擊是無能為力的,由此,證明了當前民用GNSS技術對於任務關鍵應用的不足。

IMU和GNSS系統與其他感測器(例如攝像機)的融合可能會降低被欺騙的可能性。但是,基於視覺的導航同樣易遭受攻擊,其中最簡單的就是使用高強度激光波束使無人機接收感測器飽和,從而將攝像機致盲(阻塞)。更高級的攻擊可以針對視覺導航系統實施欺騙:在較小的區域內,均勻或周期性修改無人機載攝像機下的地形紋理,從而造成對運動和方向的誤算。通過研究這種攻擊對融合定位系統控制環路的影響,可以確定這種攻擊及其潛在消減技術的可行性。

4.2 故障處理機制

儘管無人機的可靠性要求越來越嚴苛,但由於物理損傷和無法預測的狀態轉換,使得無人機機械和電子子系統仍然易發故障。因此,對於重要的無人機系統,必須考慮故障的可能性並且實施故障處理機制,以降低此類事件對系統造成的影響。故障處理機制的典型方法是:當出現臨時性故障時,無人機進入懸停模式,當出現持久故障以及毀滅性故障(如被捕獲或墜落)時,無人機進入返回基地模式。在遠程操作系統中,一旦檢測到某一故障,可自動觸發故障處理機制。然而,由於故障檢測機制易受攻擊者操縱,對無人機系統網路來說,這一過程增加了另一個攻擊面。例如,如果通信臨時中斷觸發無人機懸停模式,那麼敵方會對鏈路進行干擾,限制無人機運動,從而使其更易對無人機實施動能摧毀或物理捕獲。

4.3 空中交通管制(ATC)和碰撞規避

無人機與國家和國際空域的集成對保證無人機操作安全和可靠性的要求更高。對於有人機和無人機飛行安全來說,態勢感知和碰撞規避是重要考量。在主要民用空域中飛行的現代有人機裝備了輔助監視技術,如廣播式自動相關監視(ADS-B),它允許每架飛機對其鄰近空中交通進行監視。這種監視信息與其他可用的交通監視手段結合,可為交通告警和防撞系統(TCAS)提供態勢感知,TCAS系統對與其他飛機的碰撞風險進行監測,生成防止碰撞報告。

隨著無人機的大規模部署,類似用於有人機的上述技術對於無人機系統越來越重要。在一些文獻中,對無人機TCAS和ATC解決方案提出多項建議,其中許多是基於採用ADS-B和商用TCAS協議。從安全的角度看,這種方法存在大量的致命脆弱性,對於任務關鍵無人機系統應用不可行。首先,ADS-B是一種非安全協議,該協議缺乏認證機制並且有非加密廣播特性,即使相對簡單的攻擊(竊聽以及通過干擾或假數據注入操縱空中交通數據等),也難以抵抗。因而,依賴ADS-B的TCAS系統可產生錯誤的結果和報告,導致飛行路徑產生非預期變化或發生碰撞。

此外,經過證明,TCAS有一個缺陷,被稱為「TCAS導致的碰撞」。通常情況下,TCAS無法預測其生成的報告的長期影響。在某些交通密集場景中,TCAS生成的報告可能會導致碰撞無法規避的狀況出現。因而,能夠操縱交通數據的對手可有意控制交通條件,引發TCAS導致的碰撞。例如,如圖3所示的4架無人機的場景,在此場景中,UAV1和UAV2最初是在碰撞路徑上,因此,它們各自的TCAS會分別生成一份碰撞規避報告,讓它們下降和爬升。在低高度,UAV3和UAV4也處在碰撞路徑上,而生成的碰撞規避報告使得UAV4爬升,最終造成UAV1和UAV4相碰撞。即使兩架無人機TCAS能夠生成新的修正報告,但在碰撞發生前,已沒有足夠的時間變到新路徑。

4.4 物理層

為了保持與衛星中繼、地面控制站及其他無人機主要鏈路的持續連通能力,典型的無人機需要多個無線電介面。這種複雜度以及無人機的物理和機械特性使得潛在脆弱性範圍進一步擴大,從而產生了多種專門針對無人機系統網路的攻擊。本節討論針對無人機節點物理層的一些攻擊。

(1)自適應無線電攻擊

無人機系統網路處在高度動態的運行環境中,傳播和鏈路條件不斷變化,若要保持持續可靠的通信,必須使用自適應無線電。根據運行需求,這種自適應性要求可能會施加於發射功率、頻率、調製和天線配置等物理層參數。這些參數的控制過程主要依賴環境輸入,而這些輸入有可能被敵方操縱。這一攻擊類似於對認知無線電網路的頻譜感知過程進行欺騙攻擊。針對此類攻擊,研究人員基於異常檢測和分散式測量融合,提出各種消減技術。但是,由於無人機系統網路條件的快速變化,會造成所確定的異常檢測基線不切實際。因此,基於異常檢測和分散式測量融合而提出的各種削減技術對於靈活的無人機系統無線電來說是不夠的,必須按照機載網路的獨特需求,定製新的解決方案。

(2)天線

對於無人機無線電天線的選擇,目前傾向於使用全向天線,因為全向天線在水平或垂直面各種方向的接收和發射相對均勻。由於增益是均勻的,從而無需考慮傳輸方向問題,這種特性簡化了移動節點的通信。而另一方面,全向天線的這種特性擴大了竊聽者和干擾者的攻擊面,他們無需嚴格對準無線電方向就可實施攻擊。對抗此類攻擊應該採用定向天線,而定向天線僅能夠在某些方向上進行通信,而在其他方向上則處於「盲」狀態。除了安全性優勢以外,定向天線的優點還包括傳輸距離長和空間復用率高,可提供更高網路容量。但是,採用定向天線必然會增加開銷。在高度移動的網路中保持定向通信,其複雜性和成本都非常高,因為它需要實時了解其他節點的位置而且需要採用天線波束方向圖重構能力。

為了克服上述兩種方法的不利因素,可以採取一種天線陣列波束成形折衷方案,結合全向天線的無方向性與定向天線的空間選擇性優點,探測單個信號的到達方向(DoA),然後將測量數據和其他系統參數用於對天線陣的輻射方向圖進行電子重構。採用波束成形技術,可通過調整天線方向圖使零位朝向干擾機方向,對干擾機信號進行空間濾波。這種技術的精度和效率取決於對干擾信號的正確探測以及對波束成形器的DoA估值的解析。對手可能會通過將干擾信號賦形為鄰近合法節點的模擬波形的方式,避免被探測到或造成虛假探測,從而對DoA估計器實施攻擊。

另一個攻擊場景是充分利用波束零陷過程。在自組織無人機系統網路中,波束零陷必須以分散式方式實施,以便目標節點獨立保持或重新獲得與網路的連通。由於缺乏協同,某一個節點對干擾機造成的零陷可能會使合法信號方向無效。對手可能會依靠機動性模型和網路構成,部署多個移動干擾機,以便操縱DoA測量,最終造成網路必需的多個合法鏈路無效。在某些條件下,為了最大化干擾攻擊效率,對手可能會對分散式波束零陷機制進行持久操縱,針對這種情況的解決方案是保持斷開狀態。通過對此類攻擊可行性的分析研究,可以加深對對抗措施和消減技術的理解。

4.5 鏈路層

與一般多跳無線網路類似,無人機系統網路的拓撲基於無人機間的相對位置確定:接近起點的無人機之間可直接進行通信,而那些遠離起點的無人機必須採用中繼節點到達其目的地。對手可基於對網路拓撲的了解,分析其目標的結構,優化其攻擊,並且識別那些斷開後可導致最大量網路連通失敗的節點,從而確定最易受到攻擊的區域。儘管拓撲對於網路彈性的影響獲得廣泛研究,但提出的消減技術卻不能為無人機系統網路提供實用的解決方案。這類解決方案基於一種「通過隱匿保證安全」的方法,建議在節點間運用隱蔽通信,向對手隱藏網路拓撲。這種方法不僅會降低網路吞吐量和增加處理成本,而且通過時序分析攻擊,仍可高精度估算這類網路拓撲。因此,在任務關鍵場景中,隱藏拓撲並不是一種可靠的解決方案。

拓撲自適應控制是一種備選消減技術。在這種方法中,干擾攻擊探測會觸發一種重構過程, 無人機系統網路節點會為保持連通性而改變各自的位置。這種方法的基本設想是節點具有對攻擊的探測和定位能力,可能通常不具實用性。需要進一步研究的是針對干擾攻擊最小化拓撲脆弱性的問題。

傳輸延遲隨機化是一種針對拓撲推理攻擊的消減技術。希望通過在轉發延遲中引入隨機化,削弱連接各跳之間的觀測相關性,從而降低時序分析攻擊的精度。然而,無人機系統網路的高度機動性以及隨之而來的最小反應時間需求限制了其許可的最大延遲量。這種局限性限制了轉發延遲的隨機化,從而可能會削弱這種消減技術的作用。對於延遲隨機化,一種潛在選擇方案是傳送誘騙信號,擾亂對手的相關分析。

4.6 網路層

無人機系統網路高機動性的影響在網路層尤為突出,其拓撲變化的速度和頻率所造成的挑戰仍是研究熱點。然而,對路由機制安全的研究一直延續無人機系統網路等同於MANET的傳統。然而事實上,無人機載網路的獨特性使其在網路層所面臨的挑戰與傳統MANET不同。無人機系統網路的高動態特性以及對反應時間的嚴格要求需要採用新的路由機制,計算快速變化的拓撲中的路徑。有些文獻對這一領域進行了研究,但缺乏詳細技術分析以及從安全形度對各種建議進行比較。

與鏈路層相似,無人機系統網路的路由層容易遭受業務分析攻擊,這種攻擊需要推斷單個業務流以及端到端連接的源-宿對。針對此類攻擊,一些文獻中提出各種消減技術,其中許多技術依賴傳統方法,如混合和誘騙傳輸。由於採用此類技術需要增加無人機系統網路冗餘和開銷,所以對相應的防禦策略進行綜合可行性分析和優化設計至關重要,目前研究團隊尚未有實質性進展。

GIF

5. 結語

從無人機信息物理特性出發,對無人機系統脆弱性的分析範圍應該進一步擴展。除了電子和計算組件所面臨的威脅,機械單元和計運算元系統間的交互也會產生大量不容忽視的脆弱性。通過研究無人機系統網路所面臨的信息物理攻擊,可以看出:無論是在無人機系統通信的各個組網組件還是在網路與其他組件的相依性方面,仍面臨嚴重威脅。考慮到無人機信息物理問題的嚴重性,如果針對無人機系統網路所面臨的主要挑戰仍然缺乏有效的解決方案,那麼成功走向以無人機航空為主流的時代是難以想像的。

(於金華 編譯)


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 電科小氙 的精彩文章:

TAG:電科小氙 |