基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术

工程科学学报 Chinese Journal of Engineering 基于EtherCAT总线的七自由度机械臂的隐藏攻击技术 汪世鹏解仑李连鹏孟盛王志良 Covert attack technology of EtherCAT based 7 degrees of freedom manipulator WANG Shi-peng.XIE Lun,LI Lian-peng,MENG Sheng,WANG Zhi-liang 引用本文： 汪世鹏，解仑，李连鹏，孟盛，王志良.基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术.工程科学学报，2020,42(12)： 1653-1663.doi:10.13374f.issn2095-9389.2019.12.07.002 WANG Shi-peng.XIE Lun,LI Lian-peng,MENG Sheng.WANG Zhi-liang.Covert attack technology of EtherCAT based 7 degrees of freedom manipulator[J].Chinese Journal of Engineering,2020,42(12):1653-1663.doi:10.13374/j.issn2095- 9389.2019.12.07.002 在线阅读View online:https::/doi.org10.13374.issn2095-9389.2019.12.07.002 您可能感兴趣的其他文章 Articles you may be interested in 基于自适应搜索的免疫粒子群算法 Immune particle swarm optimization algorithm based on the adaptive search strategy 工程科学学报.2017,39(1)：125 https:1doi.org/10.13374j.issn2095-9389.2017.01.016 螺旋桨清洗机器人超灵巧机械臂设计 Ultra-smart manipulator design for propeller-cleaning robots 工程科学学报.2017,396)：924 https::/1doi.org/10.13374.issn2095-9389.2017.06.016 函数型数据分析与优化极限学习机结合的弹药传输机械臂参数辨识 Parameter identification of a shell transfer arm using FDA and optimized ELM 工程科学学报.2017,39(4：611 https::/doi.org10.13374j.issn2095-9389.2017.04.017 基于粒子群最大似然估计的焊缝早期隐性损伤磁记忆精确定位模型 MMM accurate location model of early hidden damage in welded joints based on PSO and MLE 工程科学学报.2017,3910：1559 https:doi.org/10.13374.issn2095-9389.2017.10.015 烧伤创面多自由度精密激光切痂系统 Precision multi-degree-of-freedom laser therapy system for excision of eschar over burn wound 工程科学学报.2019,41(6：809 https:loi.org10.13374j.issn2095-9389.2019.06.013 高速公路绿篱修剪机器人手臂避障路径规划 Obstacle avoidance path planning for expressway hedgerow pruning robot manipulator 工程科学学报.2019,41(1)：134htps:/1doi.org/10.13374j.issn2095-9389.2019.01.015

基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术 汪世鹏 解仑 李连鹏 孟盛 王志良 Covert attack technology of EtherCAT based 7 degrees of freedom manipulator WANG Shi-peng, XIE Lun, LI Lian-peng, MENG Sheng, WANG Zhi-liang 引用本文: 汪世鹏, 解仑, 李连鹏, 孟盛, 王志良. 基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术[J]. 工程科学学报, 2020, 42(12): 1653-1663. doi: 10.13374/j.issn2095-9389.2019.12.07.002 WANG Shi-peng, XIE Lun, LI Lian-peng, MENG Sheng, WANG Zhi-liang. Covert attack technology of EtherCAT based 7 degrees of freedom manipulator[J]. Chinese Journal of Engineering, 2020, 42(12): 1653-1663. doi: 10.13374/j.issn2095- 9389.2019.12.07.002 在线阅读 View online: https://doi.org/10.13374/j.issn2095-9389.2019.12.07.002 您可能感兴趣的其他文章 Articles you may be interested in 基于自适应搜索的免疫粒子群算法 Immune particle swarm optimization algorithm based on the adaptive search strategy 工程科学学报. 2017, 39(1): 125 https://doi.org/10.13374/j.issn2095-9389.2017.01.016 螺旋桨清洗机器人超灵巧机械臂设计 Ultra-smart manipulator design for propeller-cleaning robots 工程科学学报. 2017, 39(6): 924 https://doi.org/10.13374/j.issn2095-9389.2017.06.016 函数型数据分析与优化极限学习机结合的弹药传输机械臂参数辨识 Parameter identification of a shell transfer arm using FDA and optimized ELM 工程科学学报. 2017, 39(4): 611 https://doi.org/10.13374/j.issn2095-9389.2017.04.017 基于粒子群最大似然估计的焊缝早期隐性损伤磁记忆精确定位模型 MMM accurate location model of early hidden damage in welded joints based on PSO and MLE 工程科学学报. 2017, 39(10): 1559 https://doi.org/10.13374/j.issn2095-9389.2017.10.015 烧伤创面多自由度精密激光切痂系统 Precision multi-degree-of-freedom laser therapy system for excision of eschar over burn wound 工程科学学报. 2019, 41(6): 809 https://doi.org/10.13374/j.issn2095-9389.2019.06.013 高速公路绿篱修剪机器人手臂避障路径规划 Obstacle avoidance path planning for expressway hedgerow pruning robot manipulator 工程科学学报. 2019, 41(1): 134 https://doi.org/10.13374/j.issn2095-9389.2019.01.015

工程科学学报.第42卷，第12期：1653-1663.2020年12月 Chinese Journal of Engineering,Vol.42,No.12:1653-1663,December 2020 https://doi.org/10.13374/j.issn2095-9389.2019.12.07.002;http://cje.ustb.edu.cn 基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术 汪世鹏，解仑四，李连鹏，孟盛，王志良 北京科技大学计算机与通信工程学院.北京100083 ☒通信作者，E-mail:xielun@ustb.edu.cn 摘要针对七自由度机械臂控制系统提出了一种七自由度机械臂隐蔽攻击模型.首先基于推导的机械臂逆运动学方程，对 基于EtherCAT总线的七自由度机械臂进行运动规划与建模；其次，根据粒子群算法的研究与分析，提出了基于混沌理论的多 种群粒子群优化的七自由度机械臂系统PD参数辨识算法：最后搭建了七自由度机械臂的攻击实验平台并使用辨识的参数 结合隐蔽攻击原理开展了机械臂系统的攻击实验，并且将所提出的隐蔽攻击技术与其他传统攻击技术进行了比较.结果表 明，所提出的七自由度机械臂隐蔽攻击方法可以破坏机械臂系统的数据完整性和准确性，并且具有很好的隐蔽性，验证了所 建立的攻击模型的有效性和可行性。 关键词EtherCAT;运动学；隐蔽攻击：机械臂；粒子群 分类号TP309.3 Covert attack technology of EtherCAT based 7 degrees of freedom manipulator WANG Shi-peng,XIE Lun,LI Lian-peng.MENG Sheng,WANG Zhi-liang School of Computer and Communication Engineering,University of Science and Technology Beijing.Beijing 100083,China Corresponding author,E-mail:xielun@ustb.edu.cn ABSTRACT While the industrial robotic manipulator is a kind of multi-input and multi-output human-like operation and highly autonomous control system.It is widely used in medical care,home service,industrial manufacturing and other fields.With the integration of cyber-physical system networks and the Internet in recent years,the control commands of the industrial robotic arm control system can be totally exposed to the Internet.Under these circumstances,the chances of successful attacks by attackers to systems are increasing year by year.Compared to the security of traditional cyber physical system,the security of manipulator control system is a very challenging problem.In this paper,a covert attack method of 7 degrees of freedom (7-DOF)manipulator control system was proposed.Firstly,based on the inverse kinematics equation of the manipulator,the motion planning and modeling of 7-DOF manipulator,which communicated by EtherCAT,was carried out.Secondly,according to the research and analysis of particle swarm optimization method,a 7-DOF manipulator system PID parameter identification algorithm based on chaotic theory for multi-swarm particle swarm optimization was proposed.Parameter identification mainly identified the PID parameters of each joint.The principle and derivation process of the algorithm were described in detail.Finally,the experimental platform of manipulator control system was built and the identified parameters were used in combination with the covert attack principle to conduct the experiment.The proposed method was compared with other traditional attack methods,such as state machine attack and traditional sine attack.The results show that the covert attack model of the proposed 7-DOF manipulator can destroy the data integrity and accuracy of the manipulator system,and has a good concealment,which verifies the effectiveness and feasibility of the established attack model.The attack experiment platform constructed in this paper provides the physical basis for the attack and defense experiment of the manipulator,and it has certain reference 收稿日期：2019-12-07 基金项目：国家重点研发计划重点资助专项(2017YFB1302104):国家自然科学基金面上资助项目(61672093)：智能机器人与系统高精尖 创新中心开放基金资助项目(2018IRS01)

基于 EtherCAT 总线的七自由度机械臂的隐蔽攻击技术 汪世鹏，解    仑苣，李连鹏，孟    盛，王志良 北京科技大学计算机与通信工程学院，北京 100083 苣通信作者，E-mail：xielun@ustb.edu.cn 摘    要    针对七自由度机械臂控制系统提出了一种七自由度机械臂隐蔽攻击模型. 首先基于推导的机械臂逆运动学方程，对 基于 EtherCAT 总线的七自由度机械臂进行运动规划与建模；其次，根据粒子群算法的研究与分析，提出了基于混沌理论的多 种群粒子群优化的七自由度机械臂系统 PID 参数辨识算法；最后搭建了七自由度机械臂的攻击实验平台并使用辨识的参数 结合隐蔽攻击原理开展了机械臂系统的攻击实验，并且将所提出的隐蔽攻击技术与其他传统攻击技术进行了比较. 结果表 明，所提出的七自由度机械臂隐蔽攻击方法可以破坏机械臂系统的数据完整性和准确性，并且具有很好的隐蔽性，验证了所 建立的攻击模型的有效性和可行性. 关键词    EtherCAT；运动学；隐蔽攻击；机械臂；粒子群 分类号    TP309.3 Covert attack technology of EtherCAT based 7 degrees of freedom manipulator WANG Shi-peng，XIE Lun苣 ，LI Lian-peng，MENG Sheng，WANG Zhi-liang School of Computer and Communication Engineering, University of Science and Technology Beijing, Beijing 100083, China 苣 Corresponding author, E-mail: xielun@ustb.edu.cn ABSTRACT    While  the  industrial  robotic  manipulator  is  a  kind  of  multi-input  and  multi-output  human-like  operation  and  highly autonomous  control  system.  It  is  widely  used  in  medical  care,  home  service,  industrial  manufacturing  and  other  fields.  With  the integration of cyber-physical system networks and the Internet in recent years, the control commands of the industrial robotic arm control system can be totally exposed to the Internet. Under these circumstances, the chances of successful attacks by attackers to systems are increasing year by year. Compared to the security of traditional cyber physical system, the security of manipulator control system is a very  challenging  problem.  In  this  paper,  a  covert  attack  method  of  7  degrees  of  freedom  (7-DOF)  manipulator  control  system  was proposed.  Firstly,  based  on  the  inverse  kinematics  equation  of  the  manipulator,  the  motion  planning  and  modeling  of  7-DOF manipulator, which communicated by EtherCAT, was carried out. Secondly, according to the research and analysis of particle swarm optimization  method,  a  7-DOF  manipulator  system  PID  parameter  identification  algorithm  based  on  chaotic  theory  for  multi-  swarm particle swarm optimization was proposed. Parameter identification mainly identified the PID parameters of each joint. The principle and derivation process of the algorithm were described in detail. Finally, the experimental platform of manipulator control system was built and the identified parameters were used in combination with the covert attack principle to conduct the experiment. The proposed method was compared with other traditional attack methods, such as state machine attack and traditional sine attack. The results show that the covert attack model of the proposed 7-DOF manipulator can destroy the data integrity and accuracy of the manipulator system, and has a good  concealment,  which  verifies  the  effectiveness  and  feasibility  of  the  established  attack  model.  The  attack  experiment  platform constructed in this paper provides the physical basis for the attack and defense experiment of the manipulator, and it has certain reference 收稿日期: 2019−12−07 基金项目: 国家重点研发计划重点资助专项（2017YFB1302104）；国家自然科学基金面上资助项目（61672093）；智能机器人与系统高精尖 创新中心开放基金资助项目（2018IRS01） 工程科学学报，第 42 卷，第 12 期：1653−1663，2020 年 12 月 Chinese Journal of Engineering, Vol. 42, No. 12: 1653−1663, December 2020 https://doi.org/10.13374/j.issn2095-9389.2019.12.07.002; http://cje.ustb.edu.cn

1654 工程科学学报.第42卷，第12期 significance for similar researchers KEY WORDS EtherCAT:kinematics;covert attack;manipulator;particle swarm optimization 工业机械臂是一种多输入多输出的类人的作 操作员的安全性：展示了攻击者如何利用软件漏 业、高度自主的控制系统，广泛应用于医疗护理、 洞等破坏这些需求，从而导致机器人领域独有的 家庭服务、工业制造等领域.近年来，随着信息物 严重后果.Lagraa等使用ROS对机器人摄像机进 理系统网络与互联网的融合，机械臂控制系统的 行了结构化安全评估，并使用一些安全漏洞接管 安全暴露于互联网中，使得攻击者攻击成功的几 了从机器人摄像机传人的视频流，针对此提出了 率逐年增加.Stuxnet和Duqu恶意病毒已经证明了 一种入侵检测系统来检测异常流量s1 Vilches等 信息物理系统是能够被攻击而且造成的后果极其 着重于创建一个开放和免费访问的机器人漏洞评 严重-2 分系统，主要考虑了机器人技术当中的相关安全 攻击者通常选择现场总线和机械臂控制模型 问题咧虽然已经有研究人员开始关注机械臂安 作为入侵对象.机械臂系统中以太网总线种类很 全相关的研究，但是针对机械臂控制系统的隐蔽 多，常用的有ProfinetIO!-、Modbus6-刃、EtherCAT8-I 攻击的文章还很少.因此，研究基于EtherCAT总 等.相较于其他总线而言，EtherCAT总线实时性 线的隐蔽攻击技术对提高机械臂控制系统安全十 更高、具有更灵活的网络拓扑结构、可无缝集成 分必要 现有的总线系统.因此，EtherCAT总线在工业控 本文提出了一种基于混沌理论的多种群粒子 制领域中备受关注.然而，该总线缺少像身份认证 群优化的七自由度机械臂系统PID参数辨识算 等安全上的保障，Granat等io指出EtherCAT总线 法；然后使用该算法对EtherCAT总线下的七自由 暴露于DoS/DDoS,中间人攻击等常见的攻击.与 度机械臂进行了系统辨识，得到的参数作为隐蔽 可达空间受限的六自由度机械臂相比，七自由度 控制器的参数：最后根据提出的隐蔽攻击方法展 机械臂(7-DOF manipulator)能保持末端机构在平 开隐蔽攻击.实验结果表明了在七自由度机械臂 面上位置不变的情况下，实现构型的变换，而且七 上实施隐蔽攻击的可行性.本研究的新颖之处在 自由度机械臂在设计上和人体手臂的模型相类 于提出了一种针对部署在EtherCAT总线上的机 似，因此具有更好的灵活性山 械臂隐蔽攻击方法并搭建了实验测试平台.作为 在信息物理攻击方法及模型研究等方面，隐 探索性的研究，对EtherCAT总线的安全性以及机 蔽攻击(Covert attacks,.CA)又称为错误数据注入攻 械臂控制系统的稳定性作出了贡献， 击(False data injection attacks,FDI),是一类比较有 意义的攻击方式2-切Xie等提出了一种基于错 1七自由度机械臂模型 误数据注入的攻击方法，攻击者如果获得了当前 机械臂运动规划是保障机械臂在符合设定的 电力系统相关配置信息，便有可能注入干扰智能 约束以及避障条件下，依据规划的路径完成位置 电网状态估计过程的恶意攻击包，从而绕开系统 中已有的不良数据检测方法.隐蔽攻击模型的思 和姿态的转换.正向运动学通过机械臂各个关节 路是篡改当前控制系统的传感器测量值，并且使 的实际转动或伸缩值，求解其末端的位置和姿态： 修改后的数值仍处于合法运行范围之内，从而避 对应的逆运动学是已知末端的姿态和位置，求解 免被标准的入侵检测方法检测到，实现对控制系 各个关节转动或伸缩量，通常运动规划都是以逆 统的影响.相较于普通攻击，隐蔽攻击更难被发 运动学为基础201 现，造成的损失也比其他类型的攻击更严重.de 1.1运动规划模型 Sa等提出了一种针对化工生产过程的隐蔽攻击 Denavit和Hartenberg2为了表示机械臂相邻 模型，并对攻击的影响进行了评估.Krotofil和 连杆间的运动规则，针对各个关节的连杆建立坐 Larsen!提出了一种新的化工过程仿真模型，并实 标系，该坐标系被称为D-H坐标系.按照机械臂连 施了隐蔽攻击.Quarta等叼对工业机器人控制系 杆和关节的分布情况、依据D-H坐标系的创建规 统进行了相关的分析，提出了一个攻击者模型，并 则和各个连杆的长度，建立如图1所示的七自由 将其与工业机器人应该遵守的最低要求相对应： 度机械臂D-H坐标系，可得到如表1所示的机械 精确感知环境，执行控制逻辑的正确性以及人类 臂连杆结构参数

significance for similar researchers. KEY WORDS    EtherCAT；kinematics；covert attack；manipulator；particle swarm optimization 工业机械臂是一种多输入多输出的类人的作 业、高度自主的控制系统,广泛应用于医疗护理、 家庭服务、工业制造等领域. 近年来，随着信息物 理系统网络与互联网的融合，机械臂控制系统的 安全暴露于互联网中，使得攻击者攻击成功的几 率逐年增加. Stuxnet 和 Duqu 恶意病毒已经证明了 信息物理系统是能够被攻击而且造成的后果极其 严重[1−2] . 攻击者通常选择现场总线和机械臂控制模型 作为入侵对象. 机械臂系统中以太网总线种类很 多，常用的有Profinet IO[3−5]、Modbus[6−7]、EtherCAT[8−9] 等. 相较于其他总线而言，EtherCAT 总线实时性 更高、具有更灵活的网络拓扑结构、可无缝集成 现有的总线系统. 因此，EtherCAT 总线在工业控 制领域中备受关注. 然而，该总线缺少像身份认证 等安全上的保障，Granat 等[10] 指出 EtherCAT 总线 暴露于 DoS/DDoS,中间人攻击等常见的攻击. 与 可达空间受限的六自由度机械臂相比，七自由度 机械臂（7-DOF manipulator）能保持末端机构在平 面上位置不变的情况下，实现构型的变换，而且七 自由度机械臂在设计上和人体手臂的模型相类 似，因此具有更好的灵活性[11] . 在信息物理攻击方法及模型研究等方面，隐 蔽攻击（Covert attacks, CA）又称为错误数据注入攻 击（False data injection attacks, FDI），是一类比较有 意义的攻击方式[12−13] . Xie 等[14] 提出了一种基于错 误数据注入的攻击方法，攻击者如果获得了当前 电力系统相关配置信息，便有可能注入干扰智能 电网状态估计过程的恶意攻击包，从而绕开系统 中已有的不良数据检测方法. 隐蔽攻击模型的思 路是篡改当前控制系统的传感器测量值，并且使 修改后的数值仍处于合法运行范围之内，从而避 免被标准的入侵检测方法检测到，实现对控制系 统的影响. 相较于普通攻击，隐蔽攻击更难被发 现，造成的损失也比其他类型的攻击更严重. de Sá等[15] 提出了一种针对化工生产过程的隐蔽攻击 模型 ，并对攻击的影响进行了评估. Krotofil 和 Larsen[16] 提出了一种新的化工过程仿真模型，并实 施了隐蔽攻击. Quarta 等[17] 对工业机器人控制系 统进行了相关的分析，提出了一个攻击者模型，并 将其与工业机器人应该遵守的最低要求相对应： 精确感知环境，执行控制逻辑的正确性以及人类 操作员的安全性；展示了攻击者如何利用软件漏 洞等破坏这些需求，从而导致机器人领域独有的 严重后果. Lagraa 等使用 ROS 对机器人摄像机进 行了结构化安全评估，并使用一些安全漏洞接管 了从机器人摄像机传入的视频流，针对此提出了 一种入侵检测系统来检测异常流量[18] . Vilches 等 着重于创建一个开放和免费访问的机器人漏洞评 分系统，主要考虑了机器人技术当中的相关安全 问题[19] . 虽然已经有研究人员开始关注机械臂安 全相关的研究，但是针对机械臂控制系统的隐蔽 攻击的文章还很少. 因此，研究基于 EtherCAT 总 线的隐蔽攻击技术对提高机械臂控制系统安全十 分必要. 本文提出了一种基于混沌理论的多种群粒子 群优化的七自由度机械臂系统 PID 参数辨识算 法；然后使用该算法对 EtherCAT 总线下的七自由 度机械臂进行了系统辨识，得到的参数作为隐蔽 控制器的参数；最后根据提出的隐蔽攻击方法展 开隐蔽攻击. 实验结果表明了在七自由度机械臂 上实施隐蔽攻击的可行性. 本研究的新颖之处在 于提出了一种针对部署在 EtherCAT 总线上的机 械臂隐蔽攻击方法并搭建了实验测试平台. 作为 探索性的研究，对 EtherCAT 总线的安全性以及机 械臂控制系统的稳定性作出了贡献. 1    七自由度机械臂模型 机械臂运动规划是保障机械臂在符合设定的 约束以及避障条件下，依据规划的路径完成位置 和姿态的转换. 正向运动学通过机械臂各个关节 的实际转动或伸缩值，求解其末端的位置和姿态； 对应的逆运动学是已知末端的姿态和位置，求解 各个关节转动或伸缩量，通常运动规划都是以逆 运动学为基础[20] . 1.1    运动规划模型 Denavit 和 Hartenberg[21] 为了表示机械臂相邻 连杆间的运动规则，针对各个关节的连杆建立坐 标系，该坐标系被称为 D-H 坐标系. 按照机械臂连 杆和关节的分布情况、依据 D-H 坐标系的创建规 则和各个连杆的长度，建立如图 1 所示的七自由 度机械臂 D-H 坐标系，可得到如表 1 所示的机械 臂连杆结构参数. · 1654 · 工程科学学报，第 42 卷，第 12 期

汪世鹏等：基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术 1655· 1000 式(2)中，[nx,ny,n=、[ox,o,o]、[ax,ay,a]为机 械臂末端的俯仰角、偏航角和滚转角，，， 875 为机械臂末端的位移.依据所建立的D-H坐标系 d 对七自由度机械臂逆运动学模型求解！由于构 768 型设计上符合存在封闭解的Pieper准则P),可求解 677 出各个关节角的解析解方程，得到解析的运动学 y 模型. 1.2机械臂PID控制器模型 526 机械臂的运动规划需要各个关节的控制器依 据模型的参数进行计算才能实施.机械臂运动控 400 d 制是依靠各个关节执行器来达到目标位姿.本文 所用机械臂的关节控制器是采用PD进行调节 234 的.具体PID控制框图如图2所示 0 图2中，y表示七自由度机械臂期望的末端位 d 100 置，表示七自由度机械臂期望的末端速度，表示 七自由度机械臂期望的末端加速度；P表示规划 轨迹的期望位置；w,=1…7)表示关节位置， (i=1…7)表示关节速度，0=1…7)表示关节加速 图1七自由度机械臂DH坐标系 度；x、太、分别表示七自由度机械臂末端期望位 Fig.1 7-DOF manipulator D-H coordinate system 置、期望速度和期望加速度 坐标系{}相对于坐标系{i-1}的坐标变换矩阵 图2所示关节控制器采用三闭环的位置随动 如下 系统，位置环使得各个关节到达指定的位置，速度 FT= 环使得各个关节的速度能够按照要求的量进行转 cos sini 0 动，电流环可以防止速度过载从而提升系统稳 ai-1 sin0icosai-1 cos0;cosai-1 -sinai-1-sinai-1di 定性 关节位置控制器是位置式PID控制器为 sin;sinai-1 cos;sinai-1 cosai-1 cosai-idi 0 0 0 1 (1) o=kk肉+20+eu-- 已知目标位姿(x,y,,,B,y),则建立逆运动学 求解等式 nx Ox dx 1 9T-T]T3TTSTST9T y Oy 4 (2) 0: a t (3) 0 0 0 1 式中，Ok)表示第k次的关节转动输出，表示可调 表1 机械臂D-H坐标系参数 Table 1 D-H coordinate system parameters of manipulator Joint,i Twist angle,a) Link length,a1 Joint angle,, Offset of connecting rod,d/mm Range/() 1 0 0 8 234 ±180 2 % 0 6 0 ±135 3 90 0 8的 292 ±180 4 -90 0 8 0 135 5 甲 0 0s 242 ±180 6 -90 0 9% 0 ±135 7 90 0 0 107 ±180

坐标系{i}相对于坐标系{i–1}的坐标变换矩阵 如下 i−1 i T =   cos θi −sinθi 0 ai−1 sinθi cosαi−1 cos θi cosαi−1 −sinαi−1 −sinαi−1di sinθisinαi−1 cos θisinαi−1 cosαi−1 cosαi−1di 0 0 0 1   （1） (xt , yt ,zt 已知目标位姿 ,α, β, γ),则建立逆运动学 求解等式 0 7 T = 0 1 T 1 2 T 2 3 T 3 4 T 4 5 T 5 6 T 6 7 T =   nx ox ax xt ny oy ay yt nz oz az zt 0 0 0 1   （2） [nx, ny, nz] T [ox, oy, oz] T [ax, ay, az] T [xt , yt , zt] T 式（2）中， 、 、 为机 械臂末端的俯仰角、偏航角和滚转角， 为机械臂末端的位移. 依据所建立的 D-H 坐标系 对七自由度机械臂逆运动学模型求解[22] . 由于构 型设计上符合存在封闭解的 Pieper 准则[23] ，可求解 出各个关节角的解析解方程，得到解析的运动学 模型. 1.2    机械臂 PID 控制器模型 机械臂的运动规划需要各个关节的控制器依 据模型的参数进行计算才能实施. 机械臂运动控 制是依靠各个关节执行器来达到目标位姿. 本文 所用机械臂的关节控制器是采用 PID 进行调节 的. 具体 PID 控制框图如图 2 所示. y y˙ y¨ ωi(i = 1···7) ω˙ i (i = 1···7) ω¨ i(i = 1···7) x、 x˙、x¨ 图 2 中， 表示七自由度机械臂期望的末端位 置， 表示七自由度机械臂期望的末端速度， 表示 七自由度机械臂期望的末端加速度；Pd 表示规划 轨迹的期望位置 ； 表示关节位置 ， 表示关节速度， 表示关节加速 度； 分别表示七自由度机械臂末端期望位 置、期望速度和期望加速度. 图 2 所示关节控制器采用三闭环的位置随动 系统，位置环使得各个关节到达指定的位置，速度 环使得各个关节的速度能够按照要求的量进行转 动，电流环可以防止速度过载从而提升系统稳 定性. 关节位置控制器是位置式 PID 控制器为    O(k) = Kˆ p   e(k)+ Ts TI ∑n i e(i)+ Td Ts (e(k)−e(k−1))   Kˆ i = Kˆ p Ts TI Kˆ d = Kˆ p Td Ts （3） O(k) k Kˆ 式中， 表示第 次的关节转动输出， p 表示可调 1000 d7 d5 d3 d1 x0 z0 y0 z1 y2 z3 y4 z5 z7 y6 x2 x1 x4 x3 x6 x7 x5 y1 z2 y3 z4 y5 y7 z6 875 768 677 526 400 234 100 0 图 1    七自由度机械臂 D-H 坐标系 Fig.1    7-DOF manipulator D-H coordinate system 表 1 机械臂 D-H 坐标系参数 Table 1 D-H coordinate system parameters of manipulator Joint, i Twist angle, αi–1/(°) Link length, ai–1 Joint angle, θi Offset of connecting rod, di /mm Range/(°) 1 0 0 θ1 234 ±180 2 –90 0 θ2 0 ±135 3 90 0 θ3 292 ±180 4 –90 0 θ4 0 ±135 5 90 0 θ5 242 ±180 6 –90 0 θ6 0 ±135 7 90 0 θ7 107 ±180 汪世鹏等： 基于 EtherCAT 总线的七自由度机械臂的隐蔽攻击技术 · 1655 ·

·1656 工程科学学报.第42卷，第12期 Joint Joint Joint Position Kinetic position speed current controller controller controller controller model Joint controller 7-DOF mainpulator 图2机械臂PD控制框图 Fig.2 Manipulator PID control block diagram 节的比例系数，T表示控制器的积分常数，表示 式中，1≤i≤：X及V:为第次迭代位置与速度；w是 可调节的积分系数，T表示采样周期，T表示微分 惯性权重，c1,c2,c3是主种群和从种群中粒子的学 常数，R表示可调节的微分系数，e()表示第k次的 习权重；1,23是主种群和从种群中粒子随机真 关节转动偏差 值，取值为0≤1,2,3≤1上；PM,PM分别是主种群的 2多种群粒子群的PD参数辨识 局部最优位置和全局最优位置；P是从种群的全 局极值位置；是迁移因子，如果从种群中的全局 在对机械臂控制系统进行隐蔽攻击时，需要 最优位置大于主种群中的全局最优位置，则p=1, 获得足够的先验知识，由于通常只能获取部分机 如果从种群中的全局最优位置和主种群中的全局 械臂相关的知识，在这种情况下是几乎不能够实 最优位置处于同等水平，则p=0.5,如果从种群中 施隐蔽攻击，因此需要通过一些措施获取机械臂 的全局最优位置低于主种群中的全局最优位置， 控制系统模型.本文将群智能优化算法引入到七 则=0.由从种群和主种群的全局最优位置来搜 自由度PD参数辨识过程中，利用多种群粒子群 索整个种群的最优 优化系统辨识算法得到七自由度机械臂最佳匹配 2.2多种群粒子群的PD参数辨识 模型参数，并将其应用到隐蔽攻击方法中 基于前述机械臂PD控制模型可知，每个关 2.1多种群粒子群优化算法 节都有6个参数需要辨识，因此使用多种群粒子 混沌粒子群算法(Chaotic particle swarm optimi- 群系统辨识对七自由度机械臂进行辨识的参数为 zation,.CPSO)以及基本粒子群算法(Particle 42个.实现基于多种群粒子群算法的七自由度机 swarm optimization,PSO)P等随着算法的搜索空 械臂运动控制模型的系统参数辨识方法的详细步 间的维度增加其获取全局最优值的效率会大大降 骤如下： 低.多种群粒子群优化算法(Multi--swarm particle 1)将群体中的n个粒子随机初始化到解空间中 swarm optimization,MPSO)是在PSO上进化而 根据七自由度机械臂系统模型参数待辨识的个数 来的一种优化算法，其核心思想是将种群随机划 设置粒子的维度为42，并在随机初始化粒子的起 分成几个子群，子群内部按照PSO算法的流程进 始位置和起始速度.这些初始化了的粒子构成了 行迭代更新，并且子群之间共享信息从而帮助整 七自由度机械臂的系统参数解集合并设定好学习 个种群更好地寻优. 权重c1,c2,c3的初始值以及惯性权重w的初始值等 多种群粒子群优化算法采取的是主从策略，按 2)划分群体为多个种群.将种群划分成多个 照种群之间的竞态关系可以将多种群粒子算法分为 群体，群体的个数为s,划分的方式如下：对所有的 竞争型和合作型.合作型多种群粒子群优化算法 粒子进行编号，编号为1的粒子划分进1号子群体 相对于竞争型而言少了一个迁移因子.本文采用竞 中，2号粒子划分进2号子群体中，号粒子划分进 争型多种群粒子群算法中主种群的更新策略如下： s号子群体中，+1号粒子被划分进1号子群体中， Vi=wVi+cir(PM-Xi)+oc2r2(PM-Xi)+(1-). 以此类推，通过这种方式将整个种群划分成多个 c3r3(PS-Xi) 子群.划分完毕的种群中选择全局最优位置所在 Xi+I=Xi+Vi.dt 的子种群为主群，其余子群为从子群 (4) 3)通过适应度函数来计算每个子群中粒子对

TI Kˆ i Ts Td Kˆ d e(k) k 节的比例系数， 表示控制器的积分常数， 表示 可调节的积分系数， 表示采样周期， 表示微分 常数， 表示可调节的微分系数， 表示第 次的 关节转动偏差. 2    多种群粒子群的 PID 参数辨识 在对机械臂控制系统进行隐蔽攻击时，需要 获得足够的先验知识，由于通常只能获取部分机 械臂相关的知识，在这种情况下是几乎不能够实 施隐蔽攻击，因此需要通过一些措施获取机械臂 控制系统模型. 本文将群智能优化算法引入到七 自由度 PID 参数辨识过程中，利用多种群粒子群 优化系统辨识算法得到七自由度机械臂最佳匹配 模型参数，并将其应用到隐蔽攻击方法中. 2.1    多种群粒子群优化算法 混沌粒子群算法（Chaotic particle swarm optimi￾zation， CPSO） [24] 以 及 基 本 粒 子 群 算 法 （ Particle swarm optimization，PSO） [25] 等随着算法的搜索空 间的维度增加其获取全局最优值的效率会大大降 低. 多种群粒子群优化算法（Multi-swarm particle swarm optimization，MPSO） [26] 是在 PSO 上进化而 来的一种优化算法，其核心思想是将种群随机划 分成几个子群，子群内部按照 PSO 算法的流程进 行迭代更新，并且子群之间共享信息从而帮助整 个种群更好地寻优. 多种群粒子群优化算法采取的是主从策略，按 照种群之间的竞态关系可以将多种群粒子算法分为 竞争型和合作型. 合作型多种群粒子群优化算法 相对于竞争型而言少了一个迁移因子. 本文采用竞 争型多种群粒子群算法中主种群的更新策略如下：    Vi = wVi +c1r1 ( P M i − Xi ) +φc2r2 ( P M g − Xi ) +(1−φ)· c3r3 ( P S g − Xi ) Xi+1 = Xi +Vi · dt （4） 1 ⩽ i ⩽ n Xi Vi i w c1, c2, c3 r1,r2,r3 0 ⩽ r1,r2,r3 ⩽ 1 P M i P M g P S g φ φ = 1 φ= 0.5 φ= 0 式中， ； 及 为第 次迭代位置与速度； 是 惯性权重， 是主种群和从种群中粒子的学 习权重； 是主种群和从种群中粒子随机真 值，取值为 ； ， 分别是主种群的 局部最优位置和全局最优位置； 是从种群的全 局极值位置； 是迁移因子，如果从种群中的全局 最优位置大于主种群中的全局最优位置，则 ， 如果从种群中的全局最优位置和主种群中的全局 最优位置处于同等水平，则 ，如果从种群中 的全局最优位置低于主种群中的全局最优位置， 则 . 由从种群和主种群的全局最优位置来搜 索整个种群的最优. 2.2    多种群粒子群的 PID 参数辨识 基于前述机械臂 PID 控制模型可知，每个关 节都有 6 个参数需要辨识，因此使用多种群粒子 群系统辨识对七自由度机械臂进行辨识的参数为 42 个. 实现基于多种群粒子群算法的七自由度机 械臂运动控制模型的系统参数辨识方法的详细步 骤如下： c1, c2, c3 w 1）将群体中的 n 个粒子随机初始化到解空间中. 根据七自由度机械臂系统模型参数待辨识的个数 设置粒子的维度为 42，并在随机初始化粒子的起 始位置和起始速度. 这些初始化了的粒子构成了 七自由度机械臂的系统参数解集合并设定好学习 权重 的初始值以及惯性权重 的初始值等. s i s i+1 2）划分群体为多个种群. 将种群划分成多个 群体，群体的个数为 ，划分的方式如下：对所有的 粒子进行编号，编号为 1 的粒子划分进 1 号子群体 中，2 号粒子划分进 2 号子群体中， 号粒子划分进 号子群体中， 号粒子被划分进 1 号子群体中， 以此类推，通过这种方式将整个种群划分成多个 子群. 划分完毕的种群中选择全局最优位置所在 的子种群为主群，其余子群为从子群. 3）通过适应度函数来计算每个子群中粒子对 x x · x ·· ω ω· ω·· y y · ··y Position controller Joint position controller Joint speed controller Joint current controller Joint controller 7-DOF mainpulator Kinetic model Executive Pd 图 2    机械臂 PID 控制框图 Fig.2    Manipulator PID control block diagram · 1656 · 工程科学学报，第 42 卷，第 12 期

汪世鹏等：基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术 1657 应的适应值和更新的学习因子c1i,c2i,c3及权重w. 搜索过程中将混沌序列使用方程 4)主种群更新.主群根据迭代方程更新群体 x=a+(b-a)z (8) 中粒子的速度和位置，更新公式如下： 将粒子逆映射到原来的空间中去 Vi=wiVi+cur(PM-Xi)+pc2ir2(PM-X)+(1-) 6)计算从子群中每个粒子的适应度函数值 c3ir3(P-Xi) 对这些粒子的位置和粒子历史最优值进行比较， Xi+I =Xi+Vi.dt 如果优于的话则更新粒子的主种群以及从种群中 (5) 的粒子最优值，分别得到PM,P,Ps以及P 5)从子群更新.在更新从子群的时候采用下 7)判断当前位置是否为优于全局最优值.如 面的步骤进行 果是的话，则将当前位置赋给全局最优值Pg a)确定从子群参数的可行域[a,b),设置混沌算 8)判断迭代是否符合终止要求.将设定的迭 法初始化参数 代次数值和算法当前的迭代次数进行比较，如果 b)通过Logistic映射引入混沌变量，Logistic映射 达到了则算法终止，否则，算法将跳转到步骤4继 公式为z=z(1-),其中，z表示混沌域并且z∈(0,1)， 续执行 μu为L0 gistic参数，取值范围为μ∈[3.5699456,4.对于 七自由度机械臂的多种群粒子算法系统辨识 粒子位置向量x映射到Logistic方程定义域上得 的基本流程图如图3所示. x-a 12 b-a (6) 3设计与实验 c)从子群更新粒子的位置以及速度，使用的 3.1系统整体架构 方程为 本文在工业以太网EtherCAT总线上搭建了七 Vi=wiVi+clir (Pi-Xi)+c2ir2(Pa-Xi) (7) 自由度机械臂控制和攻击测试平台，该平台主要 Xi+1=Xi+Vi-dt 包含了EtherCAT主站、工业交换机、EtherCAT从 START Update the historical Whether the current position is better than Initial population size optimal value of particles the historical optimal value of the particle Divide the population into multiple subgroups, chaotic initialization Whether the particles current position is better than the global optimal value Calculate the fitness function value Assign current of each subgroup of particles position to Ps 少 Whether the maximum number The speed and position of iterations is reached of the main and subpopulation N update particles Calculate the fitness function value END of each subgroup 图3七自由度机械臂的多种群粒子算法系统辨识基本流程图 Fig.3 Basic flow chart of MPSO system identification for 7-DOF manipulator

c1i , c2i 应的适应值和更新的学习因子 , c3i 及权重 wi . 4）主种群更新. 主群根据迭代方程更新群体 中粒子的速度和位置，更新公式如下：    Vi = wiVi +c1ir1 ( P M i − Xi ) +φc2ir2 ( P M g − Xi ) +(1−φ)· c3ir3 ( P S g − Xi ) Xi+1 = Xi +Vi · dt （5） 5）从子群更新. 在更新从子群的时候采用下 面的步骤进行. a）确定从子群参数的可行域 [a,b] ，设置混沌算 法初始化参数. z = µz(1−z) z ∈ (0,1) µ µ ∈ [3.5699456,4] b）通过 Logistic 映射引入混沌变量，Logistic 映射 公式为 ，其中，z 表示混沌域并且 ， 为 Logistic 参数，取值范围为 . 对于 粒子位置向量 x 映射到 Logistic 方程定义域上得 zi = x−a b−a （6） c）从子群更新粒子的位置以及速度，使用的 方程为    Vi = wiVi +c1ir1 (Pi − Xi)+c2ir2 ( Pg − Xi ) Xi+1 = Xi +Vi · dt （7） 搜索过程中将混沌序列使用方程 x = a+(b−a)z （8） 将粒子逆映射到原来的空间中去. P M i P M g P S i P S g 6）计算从子群中每个粒子的适应度函数值. 对这些粒子的位置和粒子历史最优值进行比较， 如果优于的话则更新粒子的主种群以及从种群中 的粒子最优值，分别得到 ， ， 以及 . Pg 7）判断当前位置是否为优于全局最优值. 如 果是的话，则将当前位置赋给全局最优值 . 8）判断迭代是否符合终止要求. 将设定的迭 代次数值和算法当前的迭代次数进行比较，如果 达到了则算法终止，否则，算法将跳转到步骤 4 继 续执行. 七自由度机械臂的多种群粒子算法系统辨识 的基本流程图如图 3 所示. 3    设计与实验 3.1    系统整体架构 本文在工业以太网 EtherCAT 总线上搭建了七 自由度机械臂控制和攻击测试平台，该平台主要 包含了 EtherCAT 主站、工业交换机、EtherCAT 从 START Initial population size Divide the population into multiple subgroups, chaotic initialization particles Update the historical optimal value of particles Whether the current position is better than the historical optimal value of the particle Whether the current position is better than the global optimal value Whether the maximum number of iterations is reached Assign current position to Pg Calculate the fitness function value of each subgroup of particles The speed and position of the main and subpopulation update particles Calculate the fitness function value of each subgroup END Y N N Y Y N 图 3    七自由度机械臂的多种群粒子算法系统辨识基本流程图 Fig.3    Basic flow chart of MPSO system identification for 7-DOF manipulator 汪世鹏等： 基于 EtherCAT 总线的七自由度机械臂的隐蔽攻击技术 · 1657 ·

1658 工程科学学报.第42卷，第12期 站、七自由度机械臂以及攻击者.提出的平台中 机攻击七自由度机械臂 各个设备之间的关系如图4所示 EtherCAT从站主要包含了基于lan9252设计 的EtherCAT从站多协议网关以及插入FC1100 EtherCAT master Industrial switch 7-DOF manipulator PCI卡的主机组成的标准EtherCAT从站系统.本 EtherCAT EtherCAT slave 1 slave 3 文中设计的EtherCAT从站多协议网关用于连接 EtherCAT EtherCAT 机械臂等多种实验设备，该网关电路上主要包含 slave 2 slave 5 了EtherCAT从站专用控制芯片LAN9252、标准以 Control system 太网接口电路、电源管理电路、STM32的外围设 EtherCAT slave(FC1100)4 备电路及调试电路等，如图5所示 攻击者由标准计算机搭载Kali Linux系统，通 过工业交换机接入EtherCAT通信网络中.EtherCAT Attacker 协议在设计的时候并没有考虑连接的安全性来保 图4系统整体架构图 护主站和从站之间的通信.因此，很容易受到媒体 Fig.4 System architecture 访问控制(Media access control,MAC)欺骗.本文 EtherCAT主站采用EtherCAT主站软件架构， 采用了MAC地址欺骗的方法，由于该方法的实施 在Linux原有的任务调度的基础上移植xenomai,. 效果取决于工业交换机整体性能，本文在实施实 扩展Linux操作系统的在严格通信要求上的任务 验时不进行相应的研究.EtherCAT协议实施中间 调度.采用改进的开源主站SOME连接EtherCAT 人攻击的流程如图6所示 从站读取机械臂的状态信息并向机械臂控制系统 图中MACS表示EtherCAT从站的MAC地 中写入命令字 址，MACM表示EtherCAT主站的MAC地址， 工业交换机在工业控制系统中用于将工业以 MAC_A表示攻击者根据主站和从站通信获得的 太网数据转发到各个受控对象，但同时也提供给 主站以及从站伪造地址，根据欺骗的过程进行修 攻击者一种人侵方式.在本文中通过工业型交换 改，Src表示通信过程中数据的源地址，Dst表示通 ADC 8 MHz JTAG TJA1050 MAX485 SWD CAN LTΠ963E UART2 SPI TPs79633 OLED STM32F407ZGTx I M Flash 192 K SRAM 10 ower management DEBUG KEY 。。。 ! LED GPIO EEPROM IIC LAN9252 EtherCAT RESET EtherCAT EtherCAT port 1 port 2 25 MHz 图5 EtherCAT从站多协议网关硬件结构图 Fig.5 EtherCAT slave multi-protocol gateway hardware structure diagram

站、七自由度机械臂以及攻击者. 提出的平台中 各个设备之间的关系如图 4 所示. EtherCAT 主站采用 EtherCAT 主站软件架构， 在 Linux 原有的任务调度的基础上移植 xenomai， 扩展 Linux 操作系统的在严格通信要求上的任务 调度. 采用改进的开源主站 SOME 连接 EtherCAT 从站读取机械臂的状态信息并向机械臂控制系统 中写入命令字. 工业交换机在工业控制系统中用于将工业以 太网数据转发到各个受控对象，但同时也提供给 攻击者一种入侵方式. 在本文中通过工业型交换 机攻击七自由度机械臂. EtherCAT 从站主要包含了基于 lan9252 设计 的 EtherCAT 从站多协议网关以及插 入 FC1100 PCI 卡的主机组成的标准 EtherCAT 从站系统. 本 文中设计的 EtherCAT 从站多协议网关用于连接 机械臂等多种实验设备，该网关电路上主要包含 了 EtherCAT 从站专用控制芯片 LAN9252、标准以 太网接口电路、电源管理电路、STM32 的外围设 备电路及调试电路等，如图 5 所示. 攻击者由标准计算机搭载 Kali Linux 系统，通 过工业交换机接入 EtherCAT 通信网络中. EtherCAT 协议在设计的时候并没有考虑连接的安全性来保 护主站和从站之间的通信. 因此，很容易受到媒体 访问控制（Media access control, MAC）欺骗. 本文 采用了 MAC 地址欺骗的方法，由于该方法的实施 效果取决于工业交换机整体性能，本文在实施实 验时不进行相应的研究. EtherCAT 协议实施中间 人攻击的流程如图 6 所示. 图 中 MAC_S 表 示 EtherCAT 从 站 的 MAC 地 址 ， MAC_M 表 示 EtherCAT 主 站 的 MAC 地 址 ， MAC_A 表示攻击者根据主站和从站通信获得的 主站以及从站伪造地址，根据欺骗的过程进行修 改，Src 表示通信过程中数据的源地址，Dst 表示通 EtherCAT master EtherCAT slave 1 EtherCAT slave 3 EtherCAT slave 5 EtherCAT slave (FC1100) 4 Attacker 7-DOF manipulator EtherCAT slave 2 Industrial switch Control system 图 4    系统整体架构图 Fig.4    System architecture STM32F407ZGTx 1 M Flash 192 K SRAM 8 MHz JTAG SWD TJA1050 CAN MAX485 UART2 OLED SPI KEY LED IO RESET LAN9252 EtherCAT 25 MHz EtherCAT port 1 EtherCAT port 2 EEPROM IIC TPS79633 LTI963E Power management DEBUG ADC GPIO 图 5    EtherCAT 从站多协议网关硬件结构图 Fig.5    EtherCAT slave multi-protocol gateway hardware structure diagram · 1658 · 工程科学学报，第 42 卷，第 12 期

汪世鹏等：基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术 ·1659 MACS:01-01-05-01-00-00 MAC A:Variable MACM74-D4-35-88-53-78 Slave controller Attacker Master controller Sre (MAC_M)Dst (MAC_S)(ECAT_P) Sre (MAC S)Dst (MAC_M)(ECAT_P) Normal communication _process Sre (MAC_S]Dst [MAC_M)Oth_P) Sre (MAC_M)Dst (MAC_S)Oth_P)SE IMAC_M D MAC_S ECAT PS) Spoofing and forwarding Sre (MAC_M)D (MAC_S)LECAT_PS_M) process Sre (MAC_M;Dst [MAC_S)[ECAT_PRI Sre (MAC_S)Dst (MAC_M)(Oth_P) Sre (DR (MAC_S)ECAT_PR_MI 图6 EtherCAT中间人攻击示意图 Fig.6 EtherCAT man-in-the-middle attack diagram 信过程中数据的目的地址，ECAT P,ECAT PS ECAT PR表示数据包中的EtherCAT帧ECAT PS M, ECAT PR M表示修改后的EtherCAT帧，oth表示 为了实施中间人构建的其他包.攻击者采用持续 3 的发送数据包来充当主站从站来进行数据的篡改 与转发. 3.2实验 根据系统整体架构搭建的工业以太网下的七 自由度机械臂平台如图7所示.其中工业型交换 机是整个系统的连接枢纽，工作人员通过工业型 交换机可以远程控制ROS-EtherCAT主站；ROS- EtherCAT主站通过工业交换机线性连接FC1100 以及4块EtherCAT从站多协议网关，构成EtherCAT Self-mio 总线通信系统，并且有l块EtherCAT从站多协议 C1100 slves 网关通过CAN总线连接七自由度机械臂.攻击者 通过工业型交换机接人整个通信网络中，在图中 图7七自由度机械臂系统平台 并未展示出来. Fig.7 7-DOF manipulator system platform 本文提出的七自由度机械臂隐蔽攻击原理如 图8所示. 关节的反馈值减去添加偏差应该产生的影响值， 图中攻击者主要通过对被攻击的机械臂运动 从而欺骗控制器，让机械臂系统认为当前机械臂 学模型知识以及机械臂关节的控制模型知识构建 的执行已经到达了目标位置及姿态，从而完成隐 一个类似于机械臂控制器的隐蔽控制器，其中隐 蔽攻击的目的.机械臂的运动规划模型主要在攻 蔽控制器的参数通过前面章节所提出的基于混沌 击的时候让机械臂的位姿到达指定的攻击姿态， 理论的多种群粒子群的PID参数辨识算法获得. 达到预期的攻击效果[+头候+候…+议] 使用构造的PID攻击函数对控制器的输出 为各个关节的实际输出值，其中n=7, i=1,2,…,7)添加一个偏差试(i=1,2,…,7),对机械 -头-？…收-爱]为各个关节的反馈欺 臂的各个关节的实际输出造成影响，然后对各个 骗值，其中n=7

信过程中数据的目的地址 ， ECAT_P， ECAT_PS， ECAT_PR 表示数据包中的EtherCAT 帧，ECAT_PS_M， ECAT_PR_M 表示修改后的 EtherCAT 帧，oth_表示 为了实施中间人构建的其他包. 攻击者采用持续 的发送数据包来充当主站从站来进行数据的篡改 与转发. 3.2    实验 根据系统整体架构搭建的工业以太网下的七 自由度机械臂平台如图 7 所示. 其中工业型交换 机是整个系统的连接枢纽，工作人员通过工业型 交换机可以远程控制 ROS-EtherCAT 主站；ROS￾EtherCAT 主站通过工业交换机线性连接 FC1100 以及 4 块 EtherCAT 从站多协议网关，构成 EtherCAT 总线通信系统，并且有 1 块 EtherCAT 从站多协议 网关通过 CAN 总线连接七自由度机械臂. 攻击者 通过工业型交换机接入整个通信网络中，在图中 并未展示出来. 本文提出的七自由度机械臂隐蔽攻击原理如 图 8 所示. u i k i = 1,2,··· ,7 uˆ i k i = 1,2,··· ,7 图中攻击者主要通过对被攻击的机械臂运动 学模型知识以及机械臂关节的控制模型知识构建 一个类似于机械臂控制器的隐蔽控制器，其中隐 蔽控制器的参数通过前面章节所提出的基于混沌 理论的多种群粒子群的 PID 参数辨识算法获得. 使 用 构 造 的 PID 攻 击 函 数 对 控 制 器 的 输 出 ( ) 添加一个偏差 ( )，对机械 臂的各个关节的实际输出造成影响，然后对各个 [ u 1 k +uˆ 1 k u 2 k +uˆ 2 k ... u n k +uˆ n k ] n = 7 [ y 1 k −yˆ 1 k y 2 k −yˆ 2 k ... y n k −yˆ n k ] n = 7 关节的反馈值减去添加偏差应该产生的影响值， 从而欺骗控制器，让机械臂系统认为当前机械臂 的执行已经到达了目标位置及姿态，从而完成隐 蔽攻击的目的. 机械臂的运动规划模型主要在攻 击的时候让机械臂的位姿到达指定的攻击姿态， 达到预期的攻击效果. 为 各 个 关 节 的 实 际 输 出 值 ， 其 中 , 为各个关节的反馈欺 骗值，其中 . MAC_S: 01-01-05-01-00-00 MAC_A: Variable MAC_M: 74-D4-35-88-53-78 Slave controller Attacker Normal communication process Spoofing and forwarding process Src {MAC_M} Dst {MAC_S} {ECAT_P} Src {MAC_M} Dst {MAC_S} {Oth_P} Src {MAC_S} Dst {MAC_M} {Oth_P} Src {MAC_S} Dst {MAC_M} {Oth_P} Src {MAC_M} Dst {MAC_S} {ECAT_PR_M} Src {MAC_M} Dst {MAC_S} {ECAT_PS} Src {MAC_M} Dst {MAC_S} {ECAT_PS_M} Src {MAC_M} Dst {MAC_S} {ECAT_PR} Src {MAC_S} Dst {MAC_M} {ECAT_P} Master controller 图 6    EtherCAT 中间人攻击示意图 Fig.6    EtherCAT man-in-the-middle attack diagram Object 7-DOF manipulator Industrial switch Self-mode EtherCat slaves FC1100 slves 图 7    七自由度机械臂系统平台 Fig.7    7-DOF manipulator system platform 汪世鹏等： 基于 EtherCAT 总线的七自由度机械臂的隐蔽攻击技术 · 1659 ·

.1660 工程科学学报.第42卷，第12期 Mainpulator motion planning model Concealed controller PID attack function Controller [b是资 图8七自由度机械臂隐蔽攻击原理图 Fig.8 7-DOF manipulator covert attack schematic 首先从协议的角度对七自由度机械臂展开攻 常运行状态，这种攻击方式可以直接造成机械臂 击，因为EtherCAT协议对于拒绝服务攻击(Denial 系统无法进行正常的操作而保持上次正常规划执 of service,.DoS)没有任何抵抗措施，因此本文进行 行完的位姿，但很容易被操作人员发现 EtherCAT协议攻击的部署相对简单.EtherCAT协 正弦攻击具有较好的隐蔽性，一般的入侵检 议在部署过程中，只有主站能够修改从站的状态 测系统很难检测到正弦攻击造成的异常.正弦攻 机状态，而EtherCAT从站只有在运行状态才能进 击的幅度值以及频率值都能够改变，对其进行傅 行周期性通信过程，因此对EtherCAT从站状态机 里叶变换分析可以发现其能量分布极其集中，因 进行攻击会导致机械臂无法进行正常工作，这种 此能造成更强的攻击后果，本文在七自由度机械 攻击很容易被操作人员发现或者被入侵检测系统 臂上同样构建了正弦攻击.正弦攻击下的效果图 检测到.本文根据EtherCAT主从通信过程编写了 如图10所示 一个可以攻击同一网段下的任一从站的状态机攻 从正弦攻击与正常工作下的机械臂的速度曲 击程序，攻击过程及效果如图9所示 线上可以看到，正弦攻击下速度出现明显的频率 变化以及幅度变化，在位置曲线上有明显的波动 (a 出现，而正常工作下的速度曲线以及位置曲线都 11t 很平滑.并且在ROS-EtherCAT主站上可以看到控 制系统报出执行出错的重大错误，机械臂并未按 照正常的轨迹规划去执行. 由于EtherCAT通信网络上有多个EtherCAT从 图9状态机攻击.(a)状态机攻击执行图：(b)ROS-EtherCAT主站状 站设备，导致数据量相比单个设备来说要多很多， 态检测 因此，需要分析数据结构，找出七自由度机械臂相 Fig.9 State machine attack:(a)state machine attack execution diagram; (b)ROS-EtherCAT master status detection 应数据，对于机械臂数据的分析假设攻击者已经 获得了部分关于机械臂控制器的知识，如图11所 从图中可以看到攻击期间，ROS-EtherCAT主 示，从抓取的网络包中，分析属于机械臂的通信数 站检测到了有从站没有进入运行状态，主站读取 据，其中红色方框中为七自由度机械臂通信时的 从站中的映射值出现了错误，当停止了状态机攻 一帧数据 击之后，主站将从站的状态由错误状态恢复至正 从数据的传输格式来看，EtherCAT上传输的

首先从协议的角度对七自由度机械臂展开攻 击，因为 EtherCAT 协议对于拒绝服务攻击（Denial of service, DoS）没有任何抵抗措施，因此本文进行 EtherCAT 协议攻击的部署相对简单. EtherCAT 协 议在部署过程中，只有主站能够修改从站的状态 机状态，而 EtherCAT 从站只有在运行状态才能进 行周期性通信过程，因此对 EtherCAT 从站状态机 进行攻击会导致机械臂无法进行正常工作，这种 攻击很容易被操作人员发现或者被入侵检测系统 检测到. 本文根据 EtherCAT 主从通信过程编写了 一个可以攻击同一网段下的任一从站的状态机攻 击程序，攻击过程及效果如图 9 所示. 从图中可以看到攻击期间，ROS-EtherCAT 主 站检测到了有从站没有进入运行状态，主站读取 从站中的映射值出现了错误，当停止了状态机攻 击之后，主站将从站的状态由错误状态恢复至正 常运行状态，这种攻击方式可以直接造成机械臂 系统无法进行正常的操作而保持上次正常规划执 行完的位姿，但很容易被操作人员发现. 正弦攻击具有较好的隐蔽性，一般的入侵检 测系统很难检测到正弦攻击造成的异常. 正弦攻 击的幅度值以及频率值都能够改变，对其进行傅 里叶变换分析可以发现其能量分布极其集中，因 此能造成更强的攻击后果，本文在七自由度机械 臂上同样构建了正弦攻击. 正弦攻击下的效果图 如图 10 所示. 从正弦攻击与正常工作下的机械臂的速度曲 线上可以看到，正弦攻击下速度出现明显的频率 变化以及幅度变化，在位置曲线上有明显的波动 出现，而正常工作下的速度曲线以及位置曲线都 很平滑. 并且在 ROS-EtherCAT 主站上可以看到控 制系统报出执行出错的重大错误，机械臂并未按 照正常的轨迹规划去执行. 由于 EtherCAT 通信网络上有多个 EtherCAT 从 站设备，导致数据量相比单个设备来说要多很多， 因此，需要分析数据结构，找出七自由度机械臂相 应数据，对于机械臂数据的分析假设攻击者已经 获得了部分关于机械臂控制器的知识，如图 11 所 示，从抓取的网络包中，分析属于机械臂的通信数 据，其中红色方框中为七自由度机械臂通信时的 一帧数据. 从数据的传输格式来看，EtherCAT 上传输的 Joint1 Joint2 Joint3 Mainpulator motion planning model Concealed controller Controller [yk 1−yk 1 yk 2−yk 2 … yk n−yk n ] ^ ^ ^ [u 1 k+u 1 k u 2 k+u2 …k u n k+u n k ] ^ ^ ^ PID attack function Joint4 Joint5 Joint6 Joint7 u i k u i k ^ y i k y i k ^ + 图 8    七自由度机械臂隐蔽攻击原理图 Fig.8    7-DOF manipulator covert attack schematic (a) (b) 图 9    状态机攻击. （a）状态机攻击执行图；（b） ROS-EtherCAT 主站状 态检测 Fig.9    State machine attack: (a) state machine attack execution diagram； (b) ROS-EtherCAT master status detection · 1660 · 工程科学学报，第 42 卷，第 12 期

汪世鹏等：基于EtherCAT总线的七自由度机械臂的隐蔽攻击技术 ·1661 (-s-per)/paads (a) -0.5 -1.0 -0.4 -0.6 -1.5 Speed curve (-s-pe)/paadS Speed curve -0R -2.0 -2.5 9 3 4 5 4 Time/s 80 0 7 -2 8 Position curve -4Position curve -6 5 4 5 6 4 Time/s Time/s ◆ (c)8 图10正弦攻击.(a)正常工作下的速度位置曲线：(b)正弦攻击下的速度位置曲线：(c)ROS-EtherCAT主站状态 Fig.10 Sinusoidal attack:(a)speed position curve under normal working;(b)speed position curve under sinusoidal attack;(c)ROS-EtherCAT master status 数据采用的是大端模式，七自由度机械臂上CAN 提出的系统辨识算法辨识效果良好 总线数据按照帧格式可以看到数据为帧D,为 根据本文提出的七自由度机械臂隐蔽攻击模 0xl07,数据长度(Data length count,DLC)为0x06, 型，七自由度系统辨识参数以及七自由度机械臂 接下来的为数据区，数据分别为0x05、0x9c、0x34、 的运动学模型构建出的攻击，攻击函数采取正弦 0x16、0x00、0x00、0x00、0x00.基于图11(a)分析 攻击函数，攻击效果如图12所示.从图12(a)中可 得到的EtherCAT总线传输的数据格式，结合关节 以看到ROS-EtherCAT主站在攻击者进行隐蔽攻 控制器内存控制表信息（图11(b),根据提出的多 击时并未检测到任何异常，并且认为机械臂已经 种群粒子群的七自由度系统辨识算法对七自由度 到达了目标位姿，而图12(b)是机械臂的真实位姿 机械臂系统进行参数辨识.首先，根据上述得到的 状态，和图12(a)中显示的位姿有明显差异，从而 传输数据将群体中的n个粒子随机初始化到解空 验证了本文提出的七自由度机械臂隐蔽攻击技术 间，划分群体为多个种群，通过适应度函数来计算 的实施具有良好的隐蔽性，根据需要造成的破坏 每个子群中粒子对应的适应值，然后主种群、从子 大小构造出攻击函数能够造成很严重的后果 群更新，计算从子群中每个粒子的适应度函数值， 从不同的角度对比上述攻击，如表3所示.本 判断当前位置是否为优于全局最优值.需要辨识 文提出的七自由度机械臂隐蔽攻击技术在实施上 的参数有42个，通过上述过程得到相应的最优值. 比较复杂，但是在保证破坏性的情况下具有较好 表2列出了关节6和关节7参数辨识结果，其中位 的隐蔽性 置PID参数为外环控制关键参数，速度PID为内 4结论 环控制关键参数，位置外环参数是速度内环的输 入.从真实值和辨识值之间的对比，可以看到本文 本文提出了基于七自由度机械臂的隐蔽攻击

数据采用的是大端模式，七自由度机械臂上 CAN 总线数据按照帧格式可以看到数据为帧 ID，为 0x107, 数据长度（Data length count, DLC）为 0x06， 接下来的为数据区，数据分别为 0x05、0x9c、0x34、 0x16、0x00、0x00、0x00、0x00. 基于图 11（a）分析 得到的 EtherCAT 总线传输的数据格式，结合关节 控制器内存控制表信息（图 11（b）），根据提出的多 种群粒子群的七自由度系统辨识算法对七自由度 机械臂系统进行参数辨识. 首先，根据上述得到的 传输数据将群体中的 n 个粒子随机初始化到解空 间，划分群体为多个种群，通过适应度函数来计算 每个子群中粒子对应的适应值，然后主种群、从子 群更新，计算从子群中每个粒子的适应度函数值， 判断当前位置是否为优于全局最优值. 需要辨识 的参数有 42 个，通过上述过程得到相应的最优值. 表 2 列出了关节 6 和关节 7 参数辨识结果，其中位 置 PID 参数为外环控制关键参数，速度 PID 为内 环控制关键参数，位置外环参数是速度内环的输 入. 从真实值和辨识值之间的对比，可以看到本文 提出的系统辨识算法辨识效果良好. 根据本文提出的七自由度机械臂隐蔽攻击模 型，七自由度系统辨识参数以及七自由度机械臂 的运动学模型构建出的攻击，攻击函数采取正弦 攻击函数，攻击效果如图 12 所示. 从图 12（a）中可 以看到 ROS-EtherCAT 主站在攻击者进行隐蔽攻 击时并未检测到任何异常，并且认为机械臂已经 到达了目标位姿，而图 12（b）是机械臂的真实位姿 状态，和图 12（a）中显示的位姿有明显差异，从而 验证了本文提出的七自由度机械臂隐蔽攻击技术 的实施具有良好的隐蔽性，根据需要造成的破坏 大小构造出攻击函数能够造成很严重的后果. 从不同的角度对比上述攻击，如表 3 所示. 本 文提出的七自由度机械臂隐蔽攻击技术在实施上 比较复杂，但是在保证破坏性的情况下具有较好 的隐蔽性. 4    结论 本文提出了基于七自由度机械臂的隐蔽攻击 0 −0.5 Speed curve (a) −1.0 −1.5 −2.0 −2.5 0 1 2 Time/s Speed/(rad·s−1 ) Speed/(rad·s−1 ) Position/rad Position/rad 3 4 5 6 7 0 1 2 Time/s 3 4 5 6 7 80 Position curve 75 70 65 55 60 0 Position curve −2 −4 −8 −6 −1.2 0 −0.2 Speed curve (b) −0.4 −0.6 −0.8 −1.0 0 1 2 Time/s 3 4 5 6 7 0 1 2 Time/s 3 4 5 6 7 (c) 图 10    正弦攻击. （a）正常工作下的速度位置曲线；（b）正弦攻击下的速度位置曲线；（c） ROS-EtherCAT 主站状态 Fig.10    Sinusoidal attack: (a) speed position curve under normal working; (b) speed position curve under sinusoidal attack; (c) ROS-EtherCAT master status 汪世鹏等： 基于 EtherCAT 总线的七自由度机械臂的隐蔽攻击技术 · 1661 ·