本文考虑下述一维的线性不变的系统：

其中：x_k表示系统状态变量，y_k表示系统输出变量，a、c是系统参数，ω_k、υ_k则是均值为 0、方差为p、q的正态分布噪声。本文假设a、c是可测的且系统是稳定的。

下面给出卡尔曼滤波器的主要内容，用来在接收端估计系统运行变量^[13]：

其中：$P_k^ - $与P_k分别表示先验与后验估计的估计误差方差，K_k表示卡尔曼增益。在下面的讨论中，我们假设系统已经运行到稳定状态，此时本文用$\bar P$与K分别表示稳态系统下的估计误差方差与卡尔曼增益，并定义新息序列为${z_k} = {y_k} - c\hat x_k^ - $，它是均值为 0、方差为${\sigma _z} = {c^2}\bar P + q$的正态分布。

定义1：假设g_k和h_k是两个随机序列，$f\left( {{g_k}} \right)$和$f\left( {{h_k}} \right)$则表示上述序列的概率密度函数，则这两个序列的KL散度可以表示为：

值得注意的是，当两个随机序列都满足均值为0的正态分布时，KL散度的表达式可以化简为

其中：Tr为矩阵轨迹，σ_g与σ_h为对应序列的方差。进一步，当维数为 1 维时，它关于σ_g的二阶导数为$\dfrac{1}{{2\sigma _g^2}} > 0$，即它关于σ_g来说是一个凸函数，且当σ_g大于σ_h时，KL散度值单调递增^[14]。

假设攻击者能够拦截和修改传输的新息序列，它的目标是使估计误差最大化，并避免被错误数据检测器检测到。基于文献[5]，我们主要考虑下述攻击形式：

其中：t_k为任意的攻击系数，b_k为服从0均值，方差为σ_b的正态分布序列，且${\tilde z_{\rm{k}}}$的方差为

同时对于系统预先给定的检测器阈值δ，攻击必须满足以下条件：

我们称满足这一条件的攻击形式为线性欺诈攻击，即它不会被检测器所发现。

基于上述内容的讨论，我们了解到KL散度的大小取决于两个正态分布的方差的差距，因此为了检测上述线性欺诈攻击，我们期望扩大攻击存在时的新息序列的方差以帮助检测器检测攻击的存在。我们给出水印加密的模块，具体模式如图1所示，在系统发送新息序列之前，我们对数据进行预处理：

图  1  系统运行阶段的水印加密以及解密

Figure 1.  Watermark encryption and decryption during system operation

其中：u为大于0的实数，m_k为满足均值为0，方差为σ_m的正态分布的随机序列。

并在接收端对数据进行还原：

其中：$\tilde r\left( {{z_k}} \right)$是接收端实际收到的数据。可以看出，若数据并未被攻击，则数据可以完全被还原，从而对系统并不产生影响。而当攻击存在时，有

容易得到，它的均值为0，方差为：

若攻击者不知道水印的存在，仍采取水印不存在时的最优攻击策略，由文献[7] 可知，其最优攻击策略为${t_k} = - \sqrt {x}$，其中x为方程x=2δ+1+lgx的最大解，b_k=0，此时$D\left( {{{\tilde z}_{\rm{k}}}\parallel {z_k}} \right) = \delta $。定理1说明了水印加密存在时，攻击会触发KL散度检测器的警报。

定理 1：当水印存在时，原最优攻击会使得KL散度超过限定的阈值，从而使检测器发出警报。

证明：当攻击者使用参数${t_k} = - \sqrt x$，b_k=0 时，${\sigma _{{z_f}}} = x{\sigma _z} + \dfrac{1}{{{u^2}}}{\left( {\sqrt x + 1} \right)^2}{\sigma _m}$，${\sigma _{\tilde z}} = x{\sigma _z}$，由于x为方程x=2δ+1+lgx的最大解，容易得知x≥1，即可以得到${\sigma _{{z_f}}} \geqslant {\sigma _{\tilde z}}$，由KL散度在一侧的单调性，我们可以得到：

故KL散度检测器会触发警报，从而发现攻击的存在，证毕。

进一步可以看到由于KL散度在一侧单调递增，若水印参数较大，则可以使KL散度值进一步变大，使得攻击的暴露速度加快，但同时较大的参数会使得容易被攻击者发现水印的存在。同时基于上述定理，可以得知水印的存在可以有效地使文献[13] 中的最优攻击被检测器发现。

因较大的水印参数可能使得水印被攻击者发现，若攻击者知道了水印参数u以及m_k的方差σ_m，此时攻击者会重新构造攻击，从而避开KL散度检测器^[15]。即使攻击者重构攻击，水印的存在会使得攻击的效果变差，即估计误差方差仍被控制在一定范围内。在此之前需要得到估计误差方差关于攻击参数t_k的表达式：

引理 1：当有水印存在时，在如式（5）的攻击形式下，估计误差方差的表达式为：

其中：σ_z^*是使得$D\left( {{{\tilde z}_{\rm{k}}}\parallel {z_k}} \right) = \delta $时的${\tilde z_{\rm{k}}}$的方差。

证明：证明过程与[7]类似，这里不再赘述，证毕。

由引理1容易得知，当攻击不存在时，估计误差方差为：

下面给出水印能有效控制攻击效果的详细说明：

定理 2：当水印参数u>0，σ_m→ +∞时，估计误差方差

证明：要证明上述结论，只需要证明当水印参数u>0，σ_m→ +∞ 时，t_k→1。固定参数u，重新构造的攻击需要满足条件：

可以得到

由于$\sigma _z^* > \dfrac{1}{{{u^2}}}{\sigma _b}$，可以得到，当σ_m→ +∞ 时，t_k→1，故${\tilde P_k} \to {a^2}{\tilde P_{k - 1}} + p + {K^2}\sigma _z^* - 2\bar PcK$。因此当水印参数较大时，可以将估计误差限制在较小的范围，可以有效地限制攻击者的决策范围，证毕。

通过引理1以及定理2可知，水印的存在可以降低估计误差方差，从而减小对系统的影响，在实际运用中，适当大小的水印参数即可限制攻击者的策略，并非要求趋向于无穷。

我们比较了不同水印情况下对于线性欺骗攻击的影响，考虑下面这样的系统，系统参数为a=0.7，c=0.3，p=0.5和q=0.1，KL散度检测器的阈值δ=1。

图2示出了不同的水印参数对于KL散度检测器的影响，其中黑线为攻击不存在时的KL散度值，蓝线，红线和绿线分别表示原最优攻击存在时参数分别为u=0.5，σ_m=1；u=0.5，σ_m=4；u=0.5，σ_m=8 时，KL散度检测器所得到的KL散的值的变化曲线。结果表明，在存在最佳攻击的情况下，水印的存在可以增加KL散度的值，从而触发警报。

图  2  不同程度的水印参数对KL散度值的影响

Figure 2.  Influence of different degrees of watermark parameters on KL divergence value

当攻击者完全了解水印的存在，即知道水印的协方差矩阵并重构最佳攻击策略时，我们分析水印参数对攻击者造成的估计误差协方差的影响。对于相同的KL散度阈值，图3给出了在重构的最优线性欺诈攻击下，不同水印参数的影响下，远程估计误差协方差的演变。其中红线表示任意水印存在、攻击不存在时的估计误差方差，黄线，黑线，蓝线和绿线分别表示当存在攻击而不加水印时的远程估计误差协方差。从图3可以看出，水印参数越大，估计的误差协方差越小。根据定理2的结论，参数的值变大，重构攻击可能引起的估计误差协方差变小。根据仿真结果，当u=0.5，σ_m=1 000 时，估计误差方差的值趋向于攻击不存在时的估计误差方差的值。

图  3  不同水印参数下，重构的最优欺诈攻击所能造成的估计误差方差的大小比较

Figure 3.  Comparison of estimated error variances caused by reconstructed optimal deception attacks under different watermark parameters

本文使用水印加密和解密来帮助KL散度检测器在远程状态估计方案中识别线性欺骗攻击。与以前的结果不同，当不存在攻击时，我们使用加水印加密和解密的过程来恢复传输的数据，以避免影响系统的估计性能。针对不同的线性攻击场景，进一步分析了该方法的可靠性及其对估计误差的影响。当攻击者采取最佳线性欺骗攻击时，可以证明该攻击将触发警报，事实上在适当的参数选择下，KL散度的值趋于正无穷大。当攻击者重构针对水印的最佳线性欺诈攻击时，通过选择适当的参数，这种攻击只能对系统性能产生有限的影响。总结上述情况并获得最佳参数选择，可以削弱攻击者的影响或使KL散度检测器尽快检测到攻击。同时本文提供了一个仿真示例，以验证本文的方法对线性欺骗攻击的影响。