2025-12-25 02:38:12 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CONFUSENSE攻击利用IEMI或供应链植入，单次注入合法配置指令即可持久改变无人机传感器采样率或使其休眠，造成数据缺失/默认值/陈旧值，触发RTOS调度死锁并拖慢整机，100%致坠；AI强化学习可精细诱导航迹偏移，现有检测失效。建议总线加认证、轮询寄存器、解耦调度并屏蔽电磁。 综合评分： 92 文章分类： 漏洞分析,威胁情报,IoT安全,安全建设,AI安全

cover_image

论文研读与思考 | CONFUSENSE——针对无人机控制系统的隐蔽传感器重配置攻击

hkdmh

玄枢战队-Arcane Hub

2025年12月24日 19:22 陕西

一. 绪论：从瞬态欺骗到持久化重配置

在网络物理系统（CPS）安全领域，针对无人机（UAV）传感器的攻击一直是一个热点。传统的攻击模型主要集中在“传感器欺骗”（Sensor Spoofing）和“信号干扰”（Jamming）。例如，GPS 欺骗需要攻击者持续发射伪造的卫星信号，而声波干扰则利用陀螺仪的共振频率注入噪声。这些攻击有一个共同的缺陷：攻击的时效性完全依赖于攻击信号的持续存在。一旦攻击者停止发射信号，或受害无人机飞出干扰范围，传感器读数通常会恢复正常，系统便能通过故障保护机制（Failsafe）恢复稳定。

本论文提出的 CONFUSENSE 攻击范式，从根本上改变了这一现状。研究团队发现，现代飞行控制器与传感器之间的通信总线（如 I2C、SPI）存在严重的信任缺陷。攻击者无需持续伪造数据，只需单次成功注入一条合法的“配置命令”，即可从根本上改变传感器的工作模式（如进入休眠或大幅降低采样率）。这种改变是持久的（Persistent），即便是攻击者撤离现场，传感器仍会按照错误的配置运行，直至系统断电重启。

CONFUSENSE 的核心在于利用有意电磁干扰（IEMI）或供应链植入，修改传感器的内部寄存器。这种攻击不仅会导致数据中断，更会导致飞行控制器的实时操作系统（RTOS）出现调度异常，从而实现隐蔽的拒绝服务（DoS）甚至精细的对抗性操控。

Figure 1: With CONFUSENSE, an adversary remotely recon f igures a flying drone’s onboard sensor (e.g., via IEMI).

该图展示了攻击的宏观流程：攻击者（左下角恶魔图标）通过远程手段（如 IEMI）向无人机机载传感器（Sensor）注入重配置指令。传感器被重新配置后，不再发送正确的读数，导致控制器（Controller）计算出错误的控制指令，最终驱动执行器（Actuator）使无人机偏离预期的黑色虚线轨迹，沿红色实线坠毁或被劫持。

二. 威胁模型与系统架构脆弱性分析

2.1 飞行控制系统的解剖

典型的商用或开源无人机（如运行 ArduPilot 或 PX4 的设备）采用集中式架构。微控制器（MCU）作为大脑，通过各种总线连接感知末梢。

Figure 2: Flight control—sensors, GPS receivers and their contribution to the state estimation.

该图详尽描述了传感器数据在系统内的流转过程：感知层包括IMU（加速度计+陀螺仪）、气压计、GPS、磁力计独立采集数据。数据汇入 MCU 后，进入扩展卡尔曼滤波（EKF）。注意图中区分了 EKF Prediction（预测）和 EKF Update（更新）。这是一个关键细节：EKF 的预测步骤通常由高频的 IMU 数据触发，而更新步骤则依赖 GPS 等低频数据修正；接着融合后的状态（姿态、位置）被送入姿态控制、位置控制算法，最终转化为电机（Motor Control）的 PWM 信号。

2.2 总线协议的“裸奔”状态

传感器与 MCU 之间通常通过 I2C、SPI 或 UART 总线通信。研究指出，这些协议在设计之初仅考虑了嵌入式系统的高效互联，完全缺失了安全属性：传感器无法验证指令是否来自合法的 MCU；总线上的数据完全明文传输；为了适应不同应用（如手机、手环），通用的 MEMS 传感器芯片（如 MPU6050, BMI055）保留了丰富的可编程寄存器。

这种架构缺陷使得任何能够物理接入或电磁耦合到总线的攻击者，都拥有了与 MCU 同等的“管理员权限”。

三. 攻击实现：物理层注入与信号操纵

3.1 IEMI 注入实验台构建

Figure 3: IEMI injection testbed.

为了验证攻击可行性，作者搭建了一套低成本的攻击验证系统：

左侧展示了软件无线电（SDR USRP X310），用于生成特定的射频波形；信号经过功率放大器（Power Amplifier）增强。右侧使用高增益的八木天线（Yagi Antenna）定向发射电磁波；目标是连接了 IMU 的树莓派（模拟飞行控制器），并连接了示波器以捕捉总线波形。

3.2 信号注入原理

I2C 总线由时钟线（SCL）和数据线（SDA）组成。IEMI 攻击的原理并非简单的噪声覆盖，而是利用电磁感应在导线上产生感应电压。当感应电压超过逻辑电平阈值时，原本的低电平（0）会被翻转为高电平（1），或者干扰时钟信号的时序。

作者发现，通过在 120MHz 至 150MHz 频段（最佳频率 126MHz）注入信号，可以在 10cm 距离内精确修改总线上传输的数据包。

3.3 两种致命的重配置策略

攻击者并不需要随意破坏数据，而是通过注入合法的 I2C “写寄存器”指令，实施以下两种策略：

策略 A：传感器挂起（Sensor Suspension）

这是最直接的拒绝服务攻击。攻击者向传感器的电源管理寄存器（Power Management Register）写入特定值，强制传感器进入休眠模式。

Figure 4: I2C bus oscilloscope capture.

此图是示波器捕获的电压轨迹，横轴为时间，纵轴为电压。

攻击前总线正在传输正常的读写信号，攻击瞬间紫色区域显示了 IEMI 信号的注入窗口，持续约 800µs（5 个时钟周期）。此后，原本写入寄存器的数据包 Payload 从 0x01（正常模式）被篡改为 0x40（挂起/休眠模式），传感器接收到该指令后，立即停止采样，后续读取操作只能得到无效数据。

策略 B：采样频率降级（Sampling Frequency Reduction）

这是一种更为隐蔽且危害更大的攻击。攻击者修改传感器的采样率分频寄存器（Sample Rate Divider），将传感器的工作频率从数百赫兹强制降低到极低水平（如 10Hz）。

Figure 5: Sensor sampling frequency modification via IEMI attack on MPU6050.

与 Figure 4 类似，该图展示了针对频率寄存器的攻击。

IEMI 信号（紫色部分）在 4 个时钟周期内（640µs）将写入 Payload 的值从 0x00（无分频，最高速）篡改为 0xFF（最大分频）。对于 MPU6050 传感器，写入 0xFF 意味着采样率将被降低至约 31.25Hz。这不仅减少了数据量，更对飞控系统造成了深远的级联影响（详见后文）。

3.4 本地总线劫持验证

Figure 6: Reading Gyro X on the shared bus.

除了远程 IEMI，作者还验证了基于本地植入（如恶意硬件）的攻击效果：

上图（攻击前）：MCU 发送读取 Gyro X 轴指令 0x43，传感器正常返回有效读数 0x0151;下图（攻击后）：攻击者注入重配置指令后，传感器不再更新数据，返回全零值 0x0000。这证实了攻击成功切断了数据流。

四. 控制干扰机理：从数据异常到系统失稳

4.1 攻击对控制理论模型的破坏

论文利用控制理论对攻击进行了形式化描述。在离散时间线性系统中，传感器的观测值是状态反馈的基础。CONFUSENSE 攻击引入了攻击变量，使得控制器接收到的观测值发生畸变。

Figure 7: CONFUSENSE attack abstraction.

该图精炼地总结了三种攻击后果，Absent Data（数据缺失）：。传感器完全停止响应，控制器读不到任何数据。这对应于传感器被彻底禁用的情况。Default Data（默认值）：（常数）。传感器进入错误状态，持续输出固定的默认值（如 0 或最大量程）。Stale Data（陈旧数据）：。传感器停止更新，但通信接口仍保持活跃，控制器每次读取到的都是最后一次采样的“僵尸数据”。

图中右侧的反馈回路展示了这些错误数据如何通过 EKF 和 PID 控制器，最终导致执行器输出错误的控制量。

4.2 硬件层面的响应差异

Figure 8:Suspend attack behavior on the four tested IMUs.

这是一个极具价值的对比图，横跨四个子图 (a)-(d)，红背景区域表示攻击生效期：

(a) BMI055：加速度计（第一行蓝色）完全停止输出（Absent），陀螺仪（第二行粉色）输出固定值。值得注意的是，系统的 EKF 频率（第四行绿色）并未受影响，保持在高位。

(b) BMI270：这是最危险的情况之一。加速度计和陀螺仪均开始输出异常巨大的固定值（如 141.53 m/s²），导致姿态解算（第三行）认为无人机正在剧烈翻滚。

(d) MPU6000：输出接近 0 的默认值，且数据频率出现显著抖动和下降。

4.3 致命发现：RTOS 调度器死锁

这是本论文最深刻的发现之一。在分析 ArduPilot 固件源码并结合实验现象后，作者揭示了一个软件架构层面的重大漏洞。

现代飞控系统通常运行在实时操作系统（RTOS）上，任务调度极其严格。ArduPilot 的主循环（Scheduler Loop）在设计上存在一种同步阻塞机制：它会等待 IMU 的新数据以触发 EKF 的预测步骤。

Figure 9:Dependency between the IMU sampling frequency and theattitude estimation frequency.

该图揭示了“频率重配置攻击”的毁灭性打击：图表横轴为被攻击者篡改后的传感器配置频率，纵轴为系统实际测得的 EKF 更新频率。

观察四张子图可以发现，当传感器频率被降低到系统预设的 400Hz 以下时（如 100Hz, 50Hz, 12.5Hz），系统的 EKF 频率（黄色线）也随之等比例下降。

这意味着攻击者不仅仅是减少了传感器数据，而是实际上“拖慢”了整个飞行电脑的运行速度。由于 CPU 花费大量时间等待 IMU 数据，导致通信任务、故障检测任务、日志记录任务全部被延迟。这种“时间维度的攻击”让传统的超时检测机制完全失效，因为检测器本身也被降速了。

五. 物理后果评估：仿真与实测

5.1 轨迹偏差分析

Figure 10: Motivating example, a drone flies on a straight trajectory.

攻击导致的轨迹偏差示意图

上图（俯视轨迹）表示无人机原定沿虚线飞行。攻击开始（SDA点）后，由于传感器数据异常，姿态估计出现偏差，无人机开始侧向漂移（红色实线）。

下图（高度剖面）红色背景区域表示攻击持续期。在此期间，由于收到陈旧或错误数据（Stale Observations），状态估计值（State Estimate）与真实值逐渐解耦。当攻击停止或导致失控时，无人机试图修正错误（Correction），但往往为时已晚，导致高度骤降并坠毁（Drone Crashes）。

5.2 故障保护机制的局限

作者统计了不同数据异常模式下的坠毁率和检测率：

Table 1: Emulation of CONFUSENSE attack with Ardupilot SITL.

Table 2: Emulation of CONFUSENSE with Ardupilot SITL.

ArduPilot 的 EKF 故障保护通常能检测到这种情况（方差为 0），并触发紧急降落。但在触发前，无人机平均会偏离航线 1-16 米。

Default/Absent Data（默认/缺失数据）则是最致命的。由于数据完全错误且持续，或者数据完全消失导致调度器阻塞，故障保护机制往往无法及时触发。实验显示，在此类攻击下，无人机 100% 坠毁，且在坠毁前的偏差可达 138 米（如 Absent Data 模式下）。

六. 进阶威胁：基于强化学习的对抗性操控

6.1 攻击合成框架

作者将攻击过程建模为一个马尔可夫决策过程（MDP）。

Agent（攻击者）通过观察无人机的状态，决定在当前时刻是否激活攻击（）。

Environment（环境）则包含物理引擎（PyBullet）和 ArduPilot 固件。为了加速训练，使用了 CRIU（用户态检查点/恢复工具）技术。

Figure 11: Controllable attack synthesis framework

左侧是 RL Agent，它向环境输出动作（Action: 是否攻击 SDA 线）。右侧是环境，通过 UDP 接口与 ArduPilot 通信，并反馈状态（State）和奖励（Reward）。这种闭环训练使得 AI 能够探索出人类难以设计的攻击时序。

6.2 奖励函数与训练效果

训练的目标是引导无人机飞向目标点，同时避免触发故障保护或翻机。奖励函数距离目标越近奖励越高；触发 Failsafe 或翻转则给予重罚。

Figure 12: Attack synthesis: training reward, 1M iterations (∆Dist).

横轴为训练迭代次数（百万次），纵轴为平均奖励值。可以看到，随着训练进行，奖励值稳步上升。这表明 Agent 逐渐学会了“潜行”——即在不触发警报的前提下，通过间歇性干扰来微调无人机的姿态。

6.3 操控实战演示

最终的训练结果令人震惊。攻击者成功实现了对无人机的定向诱导。

Figure 13: Drone Traces, the attack synthesis learned policy.

该图清晰展示了三条轨迹：

Mission Trajectory（绿色）：无人机原本计划的直线飞行路径。

Deviate Left（紫色）：攻击者设定左侧为目标点。图中紫色叉号表示攻击触发的时刻。可以看到，Agent 通过精准的间歇性攻击，成功迫使无人机向左转弯。

Deviate Right（橙色）：同理，Agent 成功诱导无人机向右转弯。

这一结果证明，CONFUSENSE 已经超越了简单的干扰，具备了劫持（Hijacking）的能力。

七. 检测防御与未来展望

7.1 现有防御体系的崩塌

研究评估了当前最先进的无人机安全监视器 M2MON。M2MON 旨在通过监控 MCU 的内存映射 I/O（MMIO）访问模式来检测异常。

然而，CONFUSENSE 对 M2MON 实现了降维打击：攻击者是通过 IEMI 或总线直接修改传感器，MCU 的读取指令本身是合法的，因此 MMIO 访问序列没有异常。如前所述，频率重配置攻击导致 RTOS 整体变慢，M2MON 作为运行在 MCU 上的软件任务，其检测逻辑也被迫延迟执行。因而，在面对挂起攻击时，M2MON 的检测准确率从正常情况下的 0.9999 暴跌至 0.0002，基本完全失效。

7.2 防御建议

针对这一新型威胁，作者提出了多层面的缓解措施：

根本解决之道是在传感器总线中引入认证机制（如 HMAC），防止未授权的寄存器写入。但这需要更新硬件标准，成本较高；另外，改进 ArduPilot 的驱动设计。不再被动等待数据，而是建立一个独立的、高优先级的定时任务，周期性地轮询关键配置寄存器（如采样率、电源管理），一旦发现配置被篡改立即重置。

解除调度耦合，重新设计 RTOS 调度器，切断主循环与传感器数据的强同步关系，防止传感器故障拖慢整个系统；针对 IEMI 攻击，加强机身的电磁屏蔽设计，特别是在总线排线处增加屏蔽层。

八. 结论

CONFUSENSE 攻击的研究揭示了无人机生态系统中一个长期被忽视的隐患：对外部传感器配置状态的盲目信任。

通过简单的物理层注入，攻击者可以持久地改变传感器的物理特性（如采样率），进而利用软件架构中的调度缺陷，实施难以检测的控制回路破坏。更令人担忧的是，结合强化学习技术，这种破坏可以转化为精确的对抗性操控。这项工作不仅在技术上实现了突破（如 IEMI 注入与 RTOS 漏洞的结合），更为未来的 CPS 安全设计敲响了警钟：安全不仅仅是保护数据流，更要保护系统的配置状态与时间基准。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：玄枢战队-Arcane Hub hkdmh《论文研读与思考 | CONFUSENSE——针对无人机控制系统的隐蔽传感器重配置攻击》