基于深度强化学习的工业控制系统动态水印防御重放攻击

1. 项目概述：当工业控制遭遇“完美”攻击，我们如何破局？

在工业物联网和机器类型通信（MTC）的世界里，控制系统就像工厂的“神经中枢”，每一个指令都关乎生产线的安危。然而，有一种攻击方式，它不破坏、不篡改，只是“完美”地重复你过去的指令，让你在虚假的平静中走向失控——这就是重放攻击。想象一下，一个黑客录下了你正常操作机床的指令序列，然后在关键时刻原封不动地播放回去。传感器反馈一切“正常”，但实际设备可能已经偏离了预定轨迹，导致碰撞或生产出大量废品。这种攻击隐蔽性强，传统基于异常检测的防火墙或入侵检测系统往往难以奏效。

动态水印技术，就是为了应对这种“完美犯罪”而生的“暗号”系统。它的核心思想听起来很巧妙：我们在发送给执行器（比如电机、阀门）的控制信号里，偷偷加入一层只有我们自己知道的、精心设计的随机噪声（即“水印”）。这个噪声的统计特性（比如方差）是我们预先设定好的秘密。当控制信号驱动设备运行后，传感器会测量系统的实际输出。由于我们拥有精确的系统数学模型，我们可以预测：如果系统是真实的、未被攻击的，那么叠加了已知噪声的控制信号，应该会产生一个符合特定统计规律的传感器读数。如果攻击者进行了重放，他只能重放过去的“信号+水印”组合，而无法实时生成与当前秘密水印相匹配的虚假传感器数据。这时，通过一个叫做卡方检测器的统计工具，我们就能发现预测输出与实际测量之间的“对不上号”，从而揪出攻击。

但这里存在一个经典的“两难”困境：水印噪声加得太大，固然更容易被检测到，但也会严重干扰系统的正常控制性能，导致设备抖动、精度下降；水印加得太小，又容易被系统本身的噪声淹没，起不到检测作用。传统的静态水印方案无法解决这个矛盾。这正是我们引入深度强化学习（DDPG）和数字孪生的原因。DynaMark框架的目标，就是创造一个能自己学会“踩钢丝”的智能体：它在一个高保真的虚拟副本（数字孪生）中，通过数百万次的试错，学习如何在不同的系统状态和疑似攻击风险下，动态调整水印的“强度”（协方差矩阵），在确保安全检测灵敏度的同时，将对控制性能的影响降到最低。本文将深入拆解这个框架从理论到落地的全过程，特别聚焦于如何将一个前沿的学术概念，转化为能在真实步进电机上稳定运行的、多速率在线决策系统。无论你是从事工控安全、强化学习应用，还是对数字孪生与物理系统结合感兴趣的工程师，都能从中获得可直接复现的实操细节和避坑指南。

2. 核心原理拆解：动态水印、DDPG与数字孪生如何协同作战

2.1 动态水印：为何它是重放攻击的“克星”？

要理解动态水印，首先得看穿重放攻击的“把戏”。假设我们有一个简单的线性控制系统，其离散状态空间模型为：x_{k+1} = A x_k + B u_k + w_ky_k = C x_k + v_k其中，u_k是控制输入，y_k是传感器测量输出，w_k和v_k分别是过程噪声和测量噪声。在正常操作下，控制器根据目标计算u_k。重放攻击者记录下一段历史正常数据{u^0, y^0}_{k=1}^N，然后在攻击期间，持续向控制器注入u^0_k，并向监控系统发送伪造的y^0_k。由于(u^0_k, y^0_k)本身是自洽的正常数据对，传统的基于模型或数据的异常检测器完全失效。

动态水印的破局点在于引入一个秘密的随机过程。控制器不再发送u_k，而是发送u'_k = u_k + φ_k。其中，φ_k是我们独立生成的、均值为零、协方差为U_k的水印信号，其统计特性是已知的私钥。此时，被攻击者记录的数据变成了(u'_k, y_k)。当攻击发生时，攻击者回放的是过去的u'_k（包含了当时的水印φ_k），并发送对应的历史y_k。然而，系统真实的动态方程要求当前的传感器输出y_k必须与当前注入的水印φ_k（而非历史水印）相匹配。由于攻击者不知道当前实时生成的水印φ_k是什么，他无法伪造出与之匹配的y_k。因此，我们可以构造一个残差信号：r_k = y_k - C (A x_{k-1} + B u'_{k-1})在无攻击假设下，r_k的统计特性应与已知的噪声(w_k, v_k)及水印φ_k的统计特性一致。通过卡方检测器对一段时间窗口内的r_k进行假设检验，就能以一定的置信度（如95%）判断是否发生了重放攻击。这里的核心在于，水印将攻击检测问题，从一个难以建模的“异常行为识别”问题，转化为了一个可严格数学推导的“统计一致性检验”问题。

2.2 DDPG：让智能体学会平衡安全与性能的“艺术”

确定了水印能检测攻击，接下来就是决定每个时刻水印的“强度”U_k。这本质上是一个序列决策问题：我们需要一个策略，能够根据当前对系统状态和攻击概率的“信念”，输出一个最优的水印协方差U_k。目标是在保证检测概率（安全性）的同时，最小化水印对控制性能的干扰。这正是强化学习（RL）的用武之地。

我们选择了深度确定性策略梯度算法。与输出动作概率分布的策略梯度方法不同，DDPG的输出是确定的、连续的动作值，非常适合我们的连续动作空间（水印协方差矩阵的元素）。DDPG采用Actor-Critic架构：

• Actor网络（策略网络）：输入当前状态观测（如系统输出y_k、攻击信念d_k），直接输出确定性的动作a_k，即我们想要的水印参数（在DynaMark中，输出是L_k，最终U_k = L_k^2）。
• Critic网络（价值网络）：评估在状态s_k下执行动作a_k所能获得的长期累积奖励的期望值Q(s_k, a_k)。它用来指导Actor网络的更新方向。

DDPG训练中的几个关键“稳定器”是工程成功的保障：

1. 目标网络：分别复制Actor和Critic网络，得到对应的目标网络。用于计算稳定的目标Q值，极大缓解了自举法带来的训练不稳定性。更新采用软更新（θ_target ← τθ + (1-τ)θ_target），让目标参数缓慢跟踪当前参数，如同给训练过程增加了“惯性”。
2. 经验回放池：将智能体与环境交互产生的转移(s, a, r, s')存储起来，训练时从中随机采样小批量数据。这打破了数据间的时序相关性，使训练数据更接近独立同分布，是稳定深度RL训练的基石。
3. 探索噪声：为了在确定性策略下进行探索，我们在Actor输出的动作上添加了奥恩斯坦-乌伦贝克过程噪声。OU噪声具有时间相关性，比独立高斯噪声更适合物理系统的连续控制探索。
4. 双Critic网络：采用两个独立的Critic网络，取它们输出的最小值作为目标Q值。这能有效克服Q值过高估计的偏差，是TD3等先进算法的核心思想，DynaMark在DDPG中提前应用了这一技巧。

奖励函数的设计是引导智能体行为的“指挥棒”。DynaMark采用了加权和的形式：r = ω1 * r_perf + ω2 * r_detect + ω3 * r_watermark。其中，r_perf惩罚系统输出偏离设定值，r_detect鼓励在攻击发生时产生大的检测统计量，r_watermark则惩罚使用过大的水印方差。通过调整权重ω，我们就在安全、性能、水印成本三者之间设定了权衡的优先级。

2.3 数字孪生：为RL训练提供一个高保真、低成本的“练兵场”

在真实电机上直接���练RL智能体是不现实的。试错成本极高，探索阶段的随机动作可能导致设备损坏，而且训练需要数百万步交互，物理时间无法承受。数字孪生为此提供了完美的解决方案。

DynaMark为步进电机构建的DT并非一个简单的传递函数仿真，而是一个高度还原物理测试台细节的模型：

1. 分段线性模型：将电机的运动轨迹划分为多个操作块（如加速、匀速、减速），每个块内使用系统辨识得到的线性参数{A_i, B_i, Q_i}。这比单一的全局线性模型精度高得多。
2. 控制器行为仿真：直接从真实控制器抓取控制信号u_t的轨迹，对其拟合高斯混合模型。这样，仿真时可以从GMM中采样u_t，而无需对复杂的底层闭环控制固件进行逆向工程，就能复现出控制器行为的随机统计特性。
3. 多时间尺度与攻击注入：仿真包含“快时间”和“决策时间”两个尺度。快时间模拟电机的高频采样（如10kHz），决策时间（每500个快时间步）RL智能体才做一次决策。仿真中还可以在指定时间窗口注入“翻转攻击”等攻击模式，并模拟攻击者重放历史测量值的行为。
4. 检测器同步：仿真环境严格按照物理检测器的逻辑运行：每500步固定一个水印方差U_t，但只将前100个样本送给卡方检测器更新信念d_t。这完美模拟了物理系统中数据处理存在延迟和批处理的特性。

> 注意：构建一个“有用”的数字孪生，关键在于“功能保真”而非“物理保真”。我们的目标不是复现每一个电磁场细节，而是确保在“控制信号→水印注入→状态演化→检测器输出→奖励计算”这个闭环中，虚拟环境与真实环境的行为在统计意义上一致。这是RL智能体所学策略能够成功迁移到真实世界的根本前提。

3. 从仿真到实物：DynaMark系统实现全解析

3.1 系统辨识与数字孪生构建实操

在将任何算法部署到实体电机之前，第一步是“认识你的对象”。我们使用步进电机+编码器+微控制器构成一个典型的定位控制系统。

步骤一：数据采集与预处理

1. 让电机执行一个预设的步进轨迹（例如，从0点移动到某位置，停留，再返回）。同时，以高频率（如1kHz）同步采集两个关键信号：a) 控制器发送给电机驱动器的PWM命令（或步进脉冲）u_t；b) 编码器反馈的实际位置y_t。
2. 数据清洗至关重要：检查并剔除因通信中断产生的NaN或异常值。对编码器读数进行标定，将其转换为物理单位（如毫米或弧度）。

步骤二：分段线性模型辨识

1. 根据电机的运动剖面（速度曲线），将整个轨迹手动划分为几个阶段，例如：静止启动、匀加速、匀速、匀减速、静止保持。每个阶段可以近似为一个线性时不变系统。
2. 对每个阶段的数据，采用最小二乘法等系统辨识技术，估计该阶段的状态空间矩阵A_i, B_i，以及过程噪声的协方差Q_i。C矩阵通常很简单（输出就是位置状态）。
3. 实操心得：对于步进电机，在匀速段，A阵非常接近1（积分器），B阵反映了输入对速度的影响。在加速/减速段，A和B会有所不同。分段建模能显著提升模型在变化工况下的预测精度。

步骤三：控制器行为建模（GMM拟合）这是构建高保真DT的巧妙一步。我们不对控制器的PID算法进行数学建模，而是采用数据驱动的方式：

1. 提取每个运动阶段对应的控制信号序列{u_t}。
2. 使用scikit-learn的GaussianMixture模型，对该一维信号进行拟合。通常选择3-5个高斯分量就能很好地捕捉其分布特征（例如，在匀速段，u_t可能集中在某个常值附近；在换向点，可能出现脉冲）。
3. 在仿真中，当模拟到第i个阶段时，就从对应的第i个GMM中采样，作为当前的控制输入u_t。这样，仿真环境的控制输入统计特性与实物完全一致。

步骤四：仿真环境集成将上述模型整合到一个定制的Gymnasium风格环境中。环境的step函数需要完成：

1. 根据当前阶段索引，从对应GMM采样u_t。
2. 接收RL智能体给出的动作a_t（即L_t），计算水印方差U_t = L_t^2，并采样水印φ_t ~ N(0, U_t)。
3. 计算施加水印后的控制量u'_t = u_t + φ_t。
4. 使用当前阶段的线性模型(A_i, B_i)和过程噪声w_t ~ N(0, Q_i)，计算下一状态y_{t+1}。
5. 如果处于攻击窗口，则用攻击逻辑覆盖u'_t和y_{t+1}。
6. 每500个快时间步（一个决策周期），调用一次检测器，用前100个样本更新攻击信念d_t，并计算奖励。
7. 返回新的观测(y_t, d_t)、奖励r_t和结束标志。

3.2 DDPG智能体的PyTorch实现与调参细节

基于PyTorch实现DDPG，需要搭建两个核心网络和训练循环。

网络结构设计（以物理测试台配置为例）：

• Actor网络：输入维度为观测空间维度（例如，位置y_t和信念d_t共2维）。采用3个全连接层，每层64个神经元，使用LeakyReLU激活函数。层归一化被用在激活函数之前，这对稳定深度网络的训练非常有效。输出层使用tanh激活函数将输出限制在[-1, 1]区间，然后根据实际需要缩放为L_t的值域。
• Critic网络：输入为状态和动作的拼接向量。同样采用3层64神经元的全连接层。输出为一个标量Q值。

训练超参数设置（参考Table V）：

• 优化器：RMSprop，学习率1e-3。相比Adam，RMSprop在RL任务中有时更稳定。
• 软更新系数τ：5e-3。这是一个非常小的值，意味着目标网络参数每次只更新0.5%，极大地保证了训练稳定性。
• 经验回放池大小：1e6。足够大的缓冲区保证了数据的多样性，避免过早遗忘旧经验。
• 批次大小：128。适中的批次大小兼顾了梯度估计的准确性和计算效率。
• 探索噪声：OU过程，参数(μ=0, σ0=0.99, θ=0.15)。θ是均值回归速度，σ是波动率。我们还设置了噪声衰减σ ← 0.995σ，在训练后期逐渐减少探索，利于策略收敛。
• 梯度裁剪：将Critic网络的梯度范数限制在1.0以内，防止梯度爆炸。

训练流程伪代码：

for episode in range(total_episodes): state = env.reset() ou_noise.reset() episode_reward = 0 for t in range(steps_per_episode): # 1. 选择动作（探索+利用） with torch.no_grad(): action = actor(state) + ou_noise.sample() action = np.clip(action, action_low, action_high) # 2. 与环境交互 next_state, reward, done, _ = env.step(action) replay_buffer.push(state, action, reward, next_state, done) # 3. 更新网络（当缓冲区数据足够后） if len(replay_buffer) > batch_size: # 采样批次 s_batch, a_batch, r_batch, ns_batch, d_batch = replay_buffer.sample(batch_size) # 更新Critic with torch.no_grad(): target_actions = target_actor(ns_batch) target_q1 = target_critic1(ns_batch, target_actions) target_q2 = target_critic2(ns_batch, target_actions) target_q = torch.min(target_q1, target_q2) y = r_batch + gamma * target_q * (1 - d_batch) current_q1 = critic1(s_batch, a_batch) current_q2 = critic2(s_batch, a_batch) loss_critic = F.mse_loss(current_q1, y) + F.mse_loss(current_q2, y) optimizer_critic.zero_grad() loss_critic.backward() torch.nn.utils.clip_grad_norm_(critic1.parameters(), 1.0) torch.nn.utils.clip_grad_norm_(critic2.parameters(), 1.0) optimizer_critic.step() # 更新Actor（延迟更新，例如每更新两次Critic更新一次Actor） if training_step % policy_delay == 0: actor_actions = actor(s_batch) actor_loss = -critic1(s_batch, actor_actions).mean() # 最大化Q值 optimizer_actor.zero_grad() actor_loss.backward() optimizer_actor.step() # 软更新目标网络 soft_update(target_actor, actor, tau) soft_update(target_critic1, critic1, tau) soft_update(target_critic2, critic2, tau) state = next_state episode_reward += reward if done: break

> 注意事项：DDPG的训练对超参数极其敏感。一个关键的技巧是监控Critic Loss和Actor Loss。如果Critic Loss突然变得非常大或变成NaN，很可能是梯度爆炸或Q值发散，需要检查梯度裁剪、学习率或奖励缩放。如果奖励一直不增长，可能是探索噪声太大或网络结构不合适。建议从一个较小的环境（如数值仿真）开始调参，稳定后再迁移到复杂的数字孪生环境。

3.3 多速率在线决策管道的工程实现

训练好的策略需要部署到真实的实时系统中。这里最大的挑战是协调不同速度的任务：高速数据采集、中速检测计算、低速RL决策。DynaMark采用了基于“选通”的多速率调度设计，这是一个非常经典的实时系统模式。

三个选通及其职责：

• 选通1（T1，高速，~1kHz）：负责从电机控制器的串口缓冲区读取原始遥测数据(时间戳, 位置, 控制量, 水印)。它以一个固定的时间间隔ΔT1（如1ms）触发，每次读取一个批次（如100个样本）的数据，然后立即刷新串口缓冲区，防止旧数据堆积。读取的数据被暂存，供下游处理。
• 选通2（T2，中速，~10Hz）：以较慢的周期ΔT2（如100ms）运行。它获取T1暂存的最新批次数据，进行预处理（去NaN，单位换算），然后调用卡方检测器和贝叶斯信念更新模块，计算出当前系统状态和攻击概率d_t。这个结果被保持τ2时间。
• 选通3（T3，低速，~1Hz）：这是RL策略运行的地方，周期ΔT3最长（如1秒）。它获取T2计算出的最新信念d_t和系统状态y_t，输入到已导出为ONNX格式的Actor网络中，推理得到当前的水印参数L_t，进而得到协方差U_t。然后生成水印φ_t，并将其与当前控制量u_t叠加，生成最终的水印控制命令u'_t，发送给执行器。这个命令会保持τ3时间，直到下一次更新。

关键工程细节：

1. 时序保障：ΔTi和τi必须经过精心设计，确保τi >= ΔTi，即一个选通的结果在其下一个周期更新前始终有效。同时，要确保T3的周期是T2的整数倍，T2的周期是T1的整数倍，避免时序错乱。
2. ONNX部署：将训练好的PyTorch Actor网络导出为ONNX格式，可以利用ONNX Runtime进行高性能、低延迟的跨平台推理，特别适合在资源受限的边缘设备或工控机上运行。
3. 缓冲区管理：串口读取必须使用带超时和刷新机制的同步读取。我们的实验发现，批次大小设为100，读取后暂停10ms并刷新缓冲区，能最稳定地获取干净、连续的数据块，避免数据帧错位。
4. 攻击注入模拟：为了在线测试，我们在代码中预留了攻击开关。当触发“重放攻击”时，系统会用预先录制的一段正常数据替换实时读取的y_t，同时向控制器发送一个翻转的攻击信号-u_t，而检测器收到的却是被替换的历史数据，从而模拟出重放攻击的效果。

4. 实验结果分析与避坑指南

4.1 性能评估：安全性 vs. 控制精度的权衡

我们通过两个场景评估DynaMark框架：纯数值仿真和物理步进电机测试台。

在数值仿真中，我们设定了一个简单的二阶系统，并模拟重放攻击。对比了静态水印（固定方差）和DynaMark动态水印。结果显示，在相同的平均水印能量约束下，DynaMark能更早、更可靠地检测到攻击（更高的检测率，更低的漏报率）。同时，由于在系统稳定、无攻击威胁时，DDPG智能体会自动选择很小的水印方差，因此其对系统稳态误差的负面影响比始终使用大方差水印的静态方案降低了约40%。

在物理测试台中，效果更为直观。我们让电机执行重复的点对点运动。在不开启水印时，电机运行平稳，定位精度由编码器分辨率决定。开启静态强水印后，可以明显观察到电机在匀速段出现高频抖动，定位误差的方差增大。而启用DynaMark后，在电机启动、停止等动态过程以及我们手动注入攻击的时间段，系统自动增大了水印方差；在匀速运行的无攻击阶段，水印方差迅速减小到接近零的水平。此时，电机的运行平滑度与未加水印时几乎无异，但系统却具备了实时检测重放攻击的能力。

量化指标：

• 检测延迟：从攻击开始到卡方检测统计量持续超过阈值的时间。DynaMark相比静态最优水印，平均延迟缩短了约30%。
• 误报率：在无攻击情况下错误触发警报的概率。通过调整卡方检测的置信水平α（如0.1），可以控制系统性地控制误报率。
• 控制性能损失：用水印注入期间系统输出误差的均方根值与无水印时的基准值之比来衡量。DynaMark将此损失控制在5%以内，而达到相同检测能力的静态水印方案则会造成15%以上的性能损失。

4.2 常见问题与排查实录

在实际部署中，我们遇到了诸多挑战，以下是总结出的“避坑指南”：

问题1：训练不稳定，Critic的Q值输出爆炸或变成NaN。

• 排查：首先检查奖励函数是否未进行缩放。如果奖励数值过大（如几百上千），很容易导致梯度爆炸。
• 解决：对奖励进行归一化或缩放，例如，将所有奖励除以一个估计的最大奖励值。务必启用梯度裁剪，这是防止训练崩溃最简单有效的手段。也可以尝试略微降低学习率。

问题2：策略收敛到一个糟糕的局部最优解，例如始终输出零水印（完全追求控制性能而放弃安全）。

• 排查：检查奖励函数中安全性奖励r_detect的权重ω2是否设置得过低。在训练初期，由于智能体策略很差，很难触发成功的检测，导致r_detect长期为负或零，智能体可能学会忽略它。
• 解决：可以尝试使用课程学习。先从简单的环境（如攻击频率高、系统动态简单）开始训练，让智能体更容易获得安全奖励。然后逐步增加环境难度（如降低攻击显著性、增加系统噪声）。也可以考虑在训练初期给r_detect一个更高的权重，引导智能体关注安全目标。

问题3：数字孪生仿真结果很好，但迁移到实物后性能下降，检测不灵。

• 排查：这是“模拟到真实的鸿沟”。最常见的原因是仿真模型不够准确，特别是噪声模型。仿真中使用的过程噪声Q_i和测量噪声R可能低估了实物中的噪声水平。
• 解决：在系统辨识阶段，更精细地估计噪声协方差。或者在仿真中引入一个“域随机化”技巧：在每次训练回合中，随机化模型参数（如A, B矩阵在小范围内扰动）和噪声强度。这会让训练出的策略对模型不确定性更具鲁棒性，从而更好地泛化到实物。

问题4：多速率管道中出现数据不同步或时序错乱。

• 排查：各个选通之间的生产-消费关系出现竞态条件。例如，T2在计算时，T1可能正在覆盖数据缓冲区。
• 解决：采用双缓冲或环形缓冲区机制。T1写入缓冲区A时，T2从缓冲区B读取；下一周期交换。确保所有时间间隔ΔTi是严格的整数倍关系，并使用高精度定时器（如time.perf_counter）来调度任务。在关键代码段添加时间戳日志，是调试异步系统最有力的工具。

问题5：串口通信数据出现偶发性错乱或丢失。

• 排查：这是工控通信中的典型问题。可能是波特率不匹配、缓冲区溢出、或电磁干扰。
• 解决：除了使用合适的波特率（如115200）外，在每次读取数据后强制刷新串口缓冲区（serial.flushInput()）是至关重要的，这能清除可能残留的旧数据包。此外，在数据协议中增加帧头、帧尾和校验和（如CRC），并在解析时进行校验，可以丢弃错误数据包，保证数据的完整性。我们的实验表明，加入10ms的读取后暂停，能让串口硬件和操作系统有足够时间稳定，显著降低错包率。

5. 框架扩展与未来应用展望

DynaMark框架展示了一个将前沿AI算法与工业控制系统深度结合的范式。其核心思路——利用数字孪生提供安全、高效的训练环境，再利用强化学习解决复杂的动态优化问题——可以扩展到更广泛的工业安全场景。

扩展方向一：应对更复杂的攻击模型。当前主要针对重放攻击。未来可以训练智能体识别并应对更狡猾的攻击，如隐蔽的虚假数据注入攻击、零日攻击等。这需要在数字孪生中构建更丰富的攻击模拟库，并设计相应的奖励信号。

扩展方向二：多智能体协同安全。在一个大型工业网络（如多条生产线、多个车间）中，攻击可能在不同节点间迁移。可以构建多个DynaMark智能体，通过通信共享攻击信念信息，协同调整各自的水印策略，实现网络级的安全态势感知和联动防御。

扩展方向三：与现有工业安全协议融合。动态水印可以作为OPC UA、Modbus TCP等工业通信协议的一个安全增强层。水印的生成和验证可以封装在协议栈的底层，对上层应用透明，从而以最小代价提升现有系统的内生安全性。

从工程实践的角度看，这个项目的最大价值在于提供了一套完整的、可复现的方法论闭环：从系统建模、仿真环境构建、RL算法训练与调优，到最后的实时系统集成与部署。它证明了，即使在资源受限、实时性要求高的工业边缘侧，通过精心的算法轻量化和系统架构设计，也能部署和运行深度强化学习模型。对于工业控制系统的开发者而言，安全不再仅仅是一个外挂的防火墙或杀毒软件，而是可以通过智能算法深度融入控制逻辑本身的一种属性。这或许是迈向真正“安全内生”的工业互联网的关键一步。