信息物理融合的控制系统安全技术研究 张云贵 教授 yunguizhang@263.net 冶金自动化研究设计院 张云贵 教授 yunguizhang@263.net 冶金自动化研究设计院 混合流程控制系统与装备国家重点实验室 http://www.arim.com

目录 1 控制系统安全问题与研究方向 2 NCS 安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

1. 信息物理融合（ＣＰＳ）系统 www Cloud Big Data IoT 发电站 电网 交通 车间 社区 App, App,App,… 1. 信息物理融合（ＣＰＳ）系统 www Cloud Big Data IoT 2010年伊朗布什尔核电站遭到的Stuxnet攻击受到广泛关注。 由于ICS与物理世界紧密相连，ICS的安全问题直接反映的就是重大基础设施的安全问题，如电网、化工厂、大型交通系统等，这些基础设施涉及国计民生，如果遭到破坏，将对国民信心、国家安全造成直接打击，因此包括ICS信息安全在内的网络安全已经成为世界范围内的国家战略安全问题 App, App,App,… 发电站 电网 交通 车间 社区

1. 信息物理融合（ＣＰＳ）系统的本质 定义： 综合计算、网络和物理环境的多维复杂系统，通过3C（Computation、Communication、Control）技术的有机融合与深度协作，实现大型工程系统的实时感知、动态控制和信息服务 物理系统的信息化 RFID、WSN、现场总线 嵌入式智能 互联网 … 网络系统的物理化 具有协同能力的智能体（Agent） 扁平化、泛在互联 基于语义的互操作 …

网络控制系统（NCS）：I4.0下的最常见ICS类型 （1） 通过接入物理通信信道，对通信报文发动攻击 （2） 侵入传感器、执行器节点 （3） 侵入控制器节点 从时间轴上可以分为两个阶段，其分水岭是网络访问权的获得。黑客获得网络控制权之前的攻击目标是突破Integrity 和 Availability 的限制，攻击的对象是网络的协议报文。获得网络控制权之后， 黑客的攻击目标是嵌入智能节点，执行恶意程序。从安全防御的角度看，前一阶段的防御是主动防御，目的是隔离攻击者与被攻击目标，后一阶段是被动防御，目的是对攻击行为预警与保护。 图中 A1：对传感器攻击，导致传感器传输错误的结果； A1’：对执行器攻击，导致执行器的执行结果异常，通过传感器可以监测这种异常（如用流量计监测阀门的开度）； A2、A4：对网络攻击，使通信不正常； A3：对控制器攻击，输出错误命令； A5：对生产过程攻击（不通过网络攻击），导致生产目标偏离。 图1-2 信息物理融合的工业控制系统

工业网络控制系统安全理论研究方向上存在的问题 (1) 工业控制系统网络安全缺少最基本的理论指导 焦点放在工业控制网络边界防御上，没有考虑黑客突破防御边界后的安全问题场景。缺乏对黑客攻击策略、手段和目标的数学描述。 缺乏对安全问题发生后信息、物理系统相互作用的研究。 缺乏恶意环境下信任管理的基本理论与技术，缺乏全系统的信誉评估以及基于信誉的资源管控技术。 (2) 入侵检测技术需要从网络向控制组件、算法、被控制对象延伸 构成NCS的要件：网络、组件、算法。目前研究强调基于网络特性的检测，而没有基于另外两个要素的入侵检测技术。 从哲学的角度思考，没有攻不破的防线，如果攻击者在非法获得网络控制系统组件的访问能力（注意：不是网络访问能力）后，可能采取的什么样的攻击策略？ 如果不回答这个问题，就无法对这类安全问题发生后系统的走向（状态及变化趋势）进行预测与评估。物理系统安全的基本条件是状态可观测与可控制，上述问题意味着物理系统的高度风险 与ICS相联系的物理系统其变化趋势一旦启动，往往具有某种“惯性”，过程中无论是传感器信号还是控制信号的扰动、停顿、中止都会给物理系统带来影响，有些影响是灾难性的，因此ICS要求有一定的安全弹性，在受到攻击时，系统能保证某种可接受程度的“降阶”运行。何时做、怎么做、做到什么程度，涉及一系列的理论和技术问题，都需要从信息系统、物理系统两个角度开展研究才能实现。 (3)沿用 IT系统安全刚性原则可能对控制系统带来灾难性 的后果 源于IT安全技术研究的是完整性、可用性、保密性，所谓的CIA三原则，追求的是网络安全的一些刚性目标。 控制系统安全需要兼顾鲁棒性、自适应性、生存性、容错性，追求的是控制安全的一些弹性目标。

NCS各层级安全研究的难点 通信信道安全技术 加密操作与实时性的矛盾 现场总线系统可能安装在安全脆弱的环境中 现场总线的多样性，决定了很难有统一的安全解决方案 对某个现场总线协议的安全功能扩展可能导致与标准的、已经安装的设备和系统的不兼容 网络安全目标和网络管理目标的相互背离 智能控制器、传感器、执行器的入侵检测技术 黑客侵入并潜伏在控制器、传感器、执行器中，在满足一定的触发条件时开始执行恶意程序 理性黑客在获得智能控制器、传感器、执行器的控制权后，会采用何种攻击策略，缺乏系统的理论描述 即使可以预计黑客的可能攻击策略，也无法获得黑客采用这些策略的概率、发起攻击的强度等关键参数

NCS各层级安全研究的难点（续） 系统级信息融合与信任管理 信道、控制器、执行器、传感器的安全状态信息如何整合 参与控制的各种智能体（控制器、传感器、执行器、网络部件）哪些些是可信的，如何进行信任评估与管理 恶意环境下，基于分布式控制架构的系统如何进行安全任务 在一个NCS系统中容易受到恶意攻击的传感器、执行器以及不安全的控制器都有可能存在，到底哪一个是可信的，这就涉及到信任管理的问题。在黑客成功入侵NCS后， 需要有一种办法判断NCS 每个智能体（如传感器等）的可信赖度，因为黑客可能对任何一个智能体（Agent） 植入恶意代码执行恶意功能。每个Agent的信任度评判需要与NCS中所有要素结合起来作相关性分析。在有容错能力的NCS中（同时也意味着存在冗余资源，比如备份的传感器、执行器等），在检测到系统异常（攻击或者干扰问题），需要选择可信赖的资源进行替换。因此，需要建立一套理论体系和方法，实现对NCS要素的信任评估和管理，当系统中的某项资源（传感器、网络部件、控制器等）的可信度偏离严重时，可以限制或者取消该智能体在NCS里的作用。

NCS研究面临的四大挑战 （1）NCS安全控制算法的设计： 需要研究理性黑客的入侵模型和攻击的策略，必须基于恶意环境下（存在恶意的传感器、执行器或者控制器）的信任管理，保障控制算法的安全性（Security）、可靠性（Safety）和弹性（Resilience） （2）新型的NCS物理信道主动防御的架构和算法： 可以有效地防御可能的黑客入侵，且能提供可量化的性能指标，满足控制系统对实时性和弹性的要求 （3）信息物理融合的新型入侵检测系统（CPS based IDS） 设计: 新型的IDS不仅要检测控制网络（信道）的入侵，还要检测黑客对NCS的部件（传感器、执行器、控制器）的入侵和对物理系统的直接攻击。还需要建立基于物理系统的受网络攻击后的异常特征，结合网络攻击特征，建立可信、高效率的入侵检测的理论框架和算法 黑客在试图进入NCS系统，成功获得网络访问权后侵入并潜伏到NCS的组件中，在一定的触发条件下对NCS的传感器信息、状态估计与控制算法、执行器执行几个层级的攻击模型目前还没有系统的研究。 （4）弹性NCS的体系结构、实现技术、系统安全弹性的量化评估技术

目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

如何从控制系统（P）的角度描述信息（C）安全 从信息安全的角度理解控制系统，出现全新的观点： 单纯传感器测量误差并不可怕（式中n(k+1) ，只受当前测量值的影响)，而系统的偏离（攻击或者扰动所致）会传递。结论：状态估计的偏差具有累加效应和传递效应，状态估计相当于对控制过程的一个全生命周期的认证计算（Authentication） 从信息物理融合的角度考虑， x(t)不仅包含控制过程的物理状态，还应该包括NCS的信道状态，传感器、执行器和控制器等网络状态 w(t) 和n(t) 可能是物理扰动，也可能是网络攻击，因此不再满足“高斯随机序列，协方差为Q0，均值为0”的假设 因此对于一个NCS系统，保持控制对象各状态正确传递和同步对于控制系统的整体可靠性、安全性至关重要 不同于信息系统安全问题，控制系统安全与时序密切相关。脱离时序谈安全状态毫无意义。

NCS 黑客攻击模型 黑客的攻击对象可以是u(t), 也可以是y(t), 分别对应控制变量和传感器变量，数学本质是状态方程的重构，即引入攻击因子 从黑客对NCS的可用性、完整性的攻击手段上来分，NCS受到的攻击大致可以分为欺骗攻击和拒绝服务攻击（DoS）。欺骗攻击用来破坏系统信息的完整性，一般会通过注入（Injection）、修改（Modification）、重播（Replay）等方式，通过对通信信道或者部分传感器、执行器、控制器的攻击，发送虚假信息， 即 或 ，实现对控制系统的攻击。虚假信息包括：虚假或错误时间信息、传感器测量值、设定值、控制命令、源/目的/ID等。而网络的DoS 攻击一般是通过阻塞或阻断通信信道、封锁报文等方式，如Drop攻击、路由协议攻击、泛洪（Flood）攻击等，目的就是使NCS的参与各方无法有效地获得信息 攻击的分类： 从效果上分：DoS 攻击 / 欺骗攻击 从手段上分：内容攻击 / 时序攻击

NCS 基本的攻击类型--DoS 攻击 对控制命令的DoS攻击本质是使控制失效，相当于对控制信号u(t) 的一个子集u叠加一个完全相反的值： 对传感器信号的DoS攻击，相当于传感器的值强制归零，对一个子集y发动DoS攻击，可以表示如下： 在满足攻击触发条件时，给系统叠加与子集u对应的控制信号u(t)相反信号，从而抵消控制命令 在满足攻击触发条件 时，给系统叠加与传感器采集信号 相反信号，从而抵抵消对状态的监测

NCS 基本的攻击类型—欺骗 攻击 对控制信号 的一个子集u发动的欺骗攻击，可以理解为对控制命令的替换： 对传感器信号 的一个子集y发动的欺骗攻击，也可以理解为对传感器检测值的替换： 黑客对控制信号 的一个子集u发动的欺骗攻击，可以表示为：在满足攻击触发条件 时，对系统子集u对应的控制信号 的替换。 黑客对传感器信号 的一个子集y发动的欺骗攻击，可以表示为： 在满足攻击触发条件 时，对传感器采集信号 的替换

通信报文的攻击模型 定理1：黑客攻击攻击函数H可以抽象为“异或”攻击。这种攻击具有时序特点，其攻击结构如图 2- 5所示，图中黑客的攻击双箭头表示黑客给出攻击报文的同时，可以记录网络报文，包括发送者和接收者的报文 根据定理1，可以将黑客的攻击分为两种：（1）报文时序攻击；（2）报文内容攻击。

NCS安全目标几个概念 定义1 A(p,q) 攻击： 黑客对一个NCS系统中的p个信息通道（传感器和控制器之间或者传感器和执行器之间），发起q次连续攻击，称为一次 A(p,q)攻击。 定义2 物理安全状态集S： 当NCS遭受黑客攻击时，大多数情况下，物理系统的参数如果能约束在某种边界条件内，系统就是安全的。这个安全约束集合就是物理安全状态集S 图2-1 一个典型的液位控制NCS结构图 图2-1中，所谓物理系统的安全状态集S，指的是在遭受黑客攻击时，反应釜的液位还能满足一定的边界条件，比如： Lmin < 液位<Lmax）

NCS安全目标数学描述 一个可以用状态方程 来表示系统特性的物理信息融合系统，其安全目标为： 对于给定的安全状态集S和系统失效概率ε，对任何攻击序列 A(p,q) ，都存在一个控制序列U(k)，使得： k0,..,q Pr[ X(k)  S ]  1- 上述定义的理论价值在于： （1）对于来自信息系统的攻击 ，可以采用控制系统的办法，也就是寻找合适的控制序列Uk，来实现安全目标 （2）安全状态集体现了安全弹性的概念 （3）安全防御技术，本质上就是控制序列Uk的设计 （4）失效概率可以用系统对NCS的安全弹性进行评估 （1）对于来自信息系统的攻击 ，可以采用控制系统的办法，也就是寻找合适的控制序列Uk，来实现安全目标。这是一种信息物理系统融合的基本思路。本文所提出的所有理论和方法都是基于这一基本思路。 （2）安全状态集体现了安全弹性的概念。安全状态集是在受到攻击时保证物理安全的底线，所以如何设计这个安全状态集，与具体的工艺知识严格相关。 （3）安全防御技术，本质上就是控制序列Uk的设计。不同的Uk序列体现了不同的防御理论、技术或者软硬件产品的差异，其防御效果可以用系统失效概率来比较。

目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3 基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

基于工业控制模型的非参数CUSUM入侵检测 入侵检测技术面对的挑战（如何检出STUXNET）： 所有信道防御技术失效，黑客可以通过修改报文来篡改运行参数 或 控制命令 成功潜入传感器、执行器、控制器节点，当某种触发条件成立时，可执行恶意程序 了解NCS的控制算法，可以避开NCS的一般性安全检测 科学问题： 信息物理融合的视角建立黑客攻击模型（与IT IDS本质差别） 在“行进中发现问题” 关键参数选择方法与检测结果优化 最优停止问题 选择CUSUM算法 黑客攻击传感器信号示意图

问题的描述 恶意环境下测量信号的一般模型： ak(i) 是受攻击时的测量信号 为时间序列 检测目标： 对连续的观测序列z(1), z(2),…, z(N) ，在尽可能在最短的时间内判断出序列是否存在异常 图4-2 黑客攻击传感器信号示意图

CUSUM（Cumulative sum）算法 在给定的误报率下，对于检测序列z(i), 假设在检测点z(k)发生攻击（H1）服从概率分布为p1，不发生攻击（H0）的概率分布为p0. 变化的检测的初始状态值S(0)=0 缺点： 黑客的攻击概率分布不可能获得 对数概率比的计算较为复杂 缺乏对准确率、误警率等性能参数的定量相关分析 其中 判决函数： （1）由剑桥大学的E. S. Page于1954年首先提出，CUSUM适合对具有特定物理含义、连续采集的数据样本序列围绕统计均值的变化做出判断，从而实现变化检测。 （2）CUSUM算法的目标是使测试停止时间N最小，也就是在N时刻，判决函数确认检测序列Z的变化成立 改进1：替代概率密度 改进2：合理选择参数 β 本质：最优停止 对发生 攻击的概率进行历史跟踪，观测曲线下降到0后，截止 ；观测曲线上升到阈值 ，报警

热风炉拱顶温度控制系统CUSUM入侵检测 图4- 7控制系统物理模型仿真结构图 热风炉拱顶温度是热风炉生产中的重要参数，拱顶温度较低时，在送风期将不能保证规定的热风温度，而拱顶温度过高将会对拱顶造成损伤 操作规程规定最高拱顶温度即拱顶目标温度为 1350 ℃ ，拱顶的上限温度为 1400 ℃ ，拱顶控制温度为 1300 ℃。 拱顶温度控制需设定以下参数：煤气流量、拱顶目标温度和废气管理温度。将拱顶温度保持在拱顶目标温度附近，一旦拱顶温度达到拱顶目标温度后，燃烧至废气温度达到废气管理温度，燃烧停止。拱顶温度为控制目标，废气管理温度作为限制条件，控制参量为煤气流量 在仿真热风炉控制系统时，将热风炉的数学模型近似用带延迟的一阶系统来表示。煤气最大流量的取值范围为 0 ～40 000 m3/ h，即最大流量约为 11 m3/ s。若以最大流量送煤气，由于拱顶最高温度不能超过1350 ℃，所以K =1350/11≈122，惯性时间常数T =200s，滞后时间 τ =20 S 控制目标温度设置为1300 图4- 8 拱顶温度控制系统阶跃响应

热风炉拱顶温度控制系统CUSUM入侵检测--取值 假设高炉热风炉煤气流量传感器 拱顶温度传器为 在一段时间间隔内 各传感器输出 i代表系统的各传感器编号，则 温度传感器和流量传感器值选取2.5~3.5比较合适，在系统没有受到攻击时，产生误报的概率大大降低，基本上可以消除系统固有偏差。 值与产生误报的概率成反比，即值越大，产生误报的概率越小，但是检测攻击的时间变长；需要折衷考虑，进行选择。由上图可以看出，选择还应该考虑系统采样时间和频率，可以通过实验测定 图4- 9 系统稳态时检测值与预测值误差分布

黑客攻击下的入侵检测仿真分析-温度偏差攻击 加入常量偏差 之后，温度传感器值为： 判决函数为： 攻击从k=0时间 开始，攻击隐蔽不被发现需要满足： 首先构建欺骗攻击，攻击对象为流量传感器和温度传感器，黑客的攻击形式表现为（1）篡改传感器数据；（2）攻击煤气调节阀，通过控制网络劫持发送给控制煤气调节阀的控制命令，发送欺骗控制命令，最终达到控制煤气调节阀的目的。 假设高级黑客对该控制系统进行攻击，已经预先知道：控制系统的控制策略、控制模型及控制命令信号。黑客希望达到攻击效果又不让检测系统发现攻击，需要采用隐蔽方法，即攻击过程中使传感器或执行器的检测值始终处于“正常范围”，否则很容易被检测出来。

蓄热期拱顶温度正负偏差攻击仿真及检测效果 可以看到，对象是一个惯性环节，煤气流量调节阀，是一个具有饱和机制的对象，随着负值增大，拱顶温度蓄热值也随之增大，但到达一定温度，约 左右，拱顶温度不再增加，说明该控制系统设计具有弹性，通过注入负值的攻击，也不能达到极限温度1400℃，系统不会处于危险状态。图4- 11的偏差曲线表明，蓄热期的负攻击效果与攻击|c2|成正比，1100秒处发起的攻击，在1500后可以成功的检测出来。这期间的400秒，由于控制系统的调节作用，攻击没有给系统带来有意义的危害。 可以看到，随着正值增大，拱顶温度蓄热值也随之减小，拱顶温度与注入正值成线性反比关系。攻击结束之后，系统重新回到目标平衡状态，但是拱顶温度越低，重新回到目标平衡状态的时间就越长。从攻击效果分析，虽然攻击也没有使系统处于危险状态，但温度值降低，浪费能源，对高炉炼铁的质量有很大的影响。 图4- 19蓄热期拱顶温度偏差攻击（负值攻击）效果 图4- 10 蓄热期拱顶温度偏差攻击（正值攻击）效果 蓄热期的负攻击效果与攻击|c2|成正比，攻击没有给系统带来有意义的危害，控制系统对负偏差攻击具有安全弹性。 算法在1500后可以成功的检测出攻击，滞后40秒。 蓄热期的拱顶温度与正偏差攻击值成线性反比关系。 攻击的效果是使工况劣化（温度偏低），能耗增大，铁水质量变差。 检出时间与攻击时间基本同步，由阈值决定

目录 1 控制系统安全问题与研究方向 2 工控安全问题的数学模型 3基于物理系统模型的信息系统入侵检测 4 控制系统的信任管理概念与方法

NCS的信任管理目标及信任评估模型 目标： 科学问题： 恶意环境下，对NCS 的各参与单元的可信任度进行计算，从而甄别出系统的安全风险点 恶意环境信誉表达？ 安全任务分配策略？ 有效性？ 信任管理是来自社会系统中的概念，基于各参与方的行为特征来进行评估。需要有一种模型能够描述NCS中参与控制的各种要素的活动，以及彼此的影响。分簇系统模型恰好能胜任之一工作。 关键是分簇系统模型可以利用较为成熟的MAS技术来进行描述，而且MAS还有比较好仿真工具和软件基础开发平台。

Agent的定义 1、来源：分布式人工智能 2、学科交叉：人工智能、分布式计算、数据库、心理学。 3、一般性定义： 4、“强定义”和“弱定义” 弱定义：自主性、社会性、反应性、能动性。 （计算机进程、程序、windows） 强定义：“弱定义”+BDI+目标、可靠、学习、移动、诚实。 BDI:Belief+Desire+Intention 信念 意愿 意图

I4.0 下控制系统表达的最有效概念： Agent 个人理解： 处于特定环境中，通过感知环境，并能自主完成目标的计算实体。 基本结构：

Agent的分类 协同agent 静止agent 特性属性 移动属性 界面agent 学习agent 移动agent 智能agent 控制属性 基于支持向量机的agent 综合属性 基于神经网络的agent 反应型agent 基于模糊逻辑的agent 混合型agent

多Agent系统 MAS定义 Agent通信方式 MAS特性 集中式 多Agent系统作为多个Agent的集合，Agent之间的通信是所有的Agent的交流协作的基础。 Agent通信方式 直接通信、间接通信、广播通信、混合模式。 MAS特性 主动+自治 模块+分层 交互+协作 实时+异步 分布式 公司级大数据平台软件AriCloud、实时数据库级软件AriPlat (AriPAPlat的升级版)、中小企业嵌入式级软件AriNode(AriPlat的简化版)。其中，AriCloud用于全公司数据集成或在线服务后台，通过集群方式支持大规模访问，其下层为AriPlat或AriNode；AriPlat在原有AriPAPlat2.2.1之上，增强了压缩、解压缩能力，增加了标签数据的再组织，标准化了对外接口，适用于为一个业务系统服务（二级/EMS）；AriNode适用于中小企业数据的采集、缓存和远传，对硬件要求底。 混合式

分布式网络控制系统的Agent模型 ？ a) 两个控制单元组成的液位控制系统 b) 系统功能逻辑结构 ？？？多Agent

多PLC组成的典型控制系统的MAS模型 a s c NCS的多Agent分簇控制结构图

基于簇信誉的安全任务分配方法 功能安全度

基于簇信誉的安全任务分配方法 网络安全度 A(x) ： 类型为x的Agent集合；|A(x)|：类型为x的agent 的总数 ：类型为x的Agent I 的网络风险值 网络风险值计算： 例：用S3M的状态参数对（认证失败次数，再同步次数），即（Hfail ，Hresync）来计算

簇信誉与传感器、执行器单元信誉 单元的信誉 1）传感器、执行器单元满足功能的能力值，f ； 2）传感器、执行器单元与控制器协商时网络安全的值，c 。 计算信誉值的基准起始时间为t0，到时刻t， 簇内第i个单元节点的信誉: 簇信誉 控制器的信誉由其内部的各个传感器、执行器单元的信誉值，以及其他簇与该簇协商中获得可靠资源的历史情况综合决定。假设簇的控制器为P，时间t的信誉值为： 两个函数分别表示从时刻t0到t的单元k 的累积功能安全度与网络安全度。 α与β为两个参数，表示两部分的相对重要性， 。为了简便，可以把信誉值的基准起始时间忽略，取 和 的实时值替代累计值，直接将传感器或者执行器节点i当前的信誉值记为 。

安全任务分配模型 1. 定义： 2. 任务分配给簇控制器的判决函数 判决函数设计原则： 与资源的不匹配度成反比 与信誉度成正比 ：任务t需要的能力资源集合 ：控制器P拥有的能力资源集合 ：P的信誉值 ：单元 i 拥有的能力资源集合 ：单元i 的信誉值 2. 任务分配给簇控制器的判决函数 判决函数设计原则： 与资源的不匹配度成反比 与信誉度成正比 权重系数反应工艺与系统差异 任务分配给簇控制器的过程： 1）任务到达系统；2）操作管理人员通过人机交互Agent向各个控制器下达该任务的能力要求情况；3）每个控制器通过人机交互Agent将本簇的能力资源情况报告给管理工作站（人员）；4）管理人员根据每个控制器的能力资源情况和信誉值进行决策选择，决策机制为： 假设任务t需要的能力资源集合为 ，控制器P通过人机交互Agent所报告的自身簇所拥有的能力资源集合为 ，P的信誉值为 ，那么系统将会把任务t分配给如下控制器（记为Final-P控制器） 任务分配给传感器、执行器单元的过程：1）任务被分配给某个控制器；2）控制器通过其簇内通信Agent向各个传感器、执行器单元下达该任务的能力需要情况；3）每个传感器、执行器单元通过其通信Agent将自己的能力情况报告给控制器；4）控制器根据每个传感器、执行器单元所报告的能力情况和信誉值进行决策，决策机制类似于控制器的选择机制 3. 任务分配给簇传感器、执行器的判决函数

信誉机制效果分析 信誉机制下分配到恶意资源的概率ph： 安全资源充足时（g-hn r），任务被分配到恶意资源的概率也为0 a) Ph与恶意资源（h）关系 安全资源充足时（g-hn r），任务被分配到恶意资源的概率也为0 “凹”曲线，随着恶意资源的不断增加，系统的安全状况才逐步恶化，接近边界时才迅速恶化 当安全资源充足（g-hn r）时，任务分配到恶意资源的概率为0。当安全资源不足（g-h<n r）时，先把安全资源（g-h）分配给任务，再从疑似恶意资源（数量为h）中补齐不足部分（数量为n r-(g-h)） b)Ph与任务所需资源（n*r）关系 图5-5 有信誉机制时分配到恶意资源的概率

Thanks 13801284008 yunguizhang@263.net