通过在感知通信信道上注入电磁干扰信号使无人机瘫痪

撰文 | 苗　卉

编辑 | 刘梦迪

惯性测量单元（IMU）是无人机姿态控制的关键组件。如果IMU传递的传感器数据被干扰，无人机将无法保持其姿态，最终导致坠毁。现有的反无人机技术主要集中在利用声波共振来干扰IMU传感器。然而，这些方法往往需要针对每种传感器进行精细调整，并且容易被低成本的塑料屏蔽措施所防御。

在2023年的NDSS会议上，来自韩国科学技术院的Joonha Jang，Mangi Cho，Jaehoon Kim，Yongdae Kim以及三星SDS的Dongkwan Kim提出了一种使无人机瘫痪的新方法，该方法利用电磁干扰（EMI）信号注入，破坏IMU与控制单元之间的通信信道，有效地篡改了IMU传感器数据，从而实现无人机的瘫痪。

IMU是一个集成芯片，包含四个传感器：陀螺仪、加速度计、磁力计和一个气压计。每个传感器分别测量一个目标物理量，包括角速度、线性加速度、磁场和大气压力。这些测量值经过处理、传输并解释为用于无人机姿态控制的数字化值。控制单元利用这些获取的值计算当前姿态与期望姿态之间的差异，确定要发送给旋翼的适当指令，实现稳定飞行。如果IMU与控制单元之间的通信通道被破坏，失真的IMU数值将被输入到控制算法中，从而严重影响无人机的飞行稳定性。具体原理如下图所示：

通信通道失真对姿态控制算法数据流影响的分析

1、破坏通信信道

作者的核心理念是通过破坏通信通道，绕过信号的过滤机制，将IMU错误数据直接输入到无人机的姿态控制算法中这些错误数据会从感知阶段传播到执行阶段，进而引发系统性故障。为了验证破坏通信信道是否能有效引起控制单元接收的IMU数据失真，作者通过故障注入的方式进行了实验。在实验中通过连接IMU传感器和控制单元板（Arduino Uno）进行评估，连接的传感器和控制单元板通过I2C进行通信，同时用逻辑分析仪观察通信信号和解释结果。实验结果如下图所示：

物理阻断正常通信信号

上图中第一行为I2C信号在没有被阻断的情况下的原始通信信号，第二、三行分别为将SDA和SCL通道阻断为高电平时的情况。其中SDA用于传输数据，SCL用于传输时钟信号。结果显示，阻断SDA通道后，失真值被立即传输到控制单元，使得通信中断。当阻断SCL通道后，I2C通信将被立即中断，同时控制单元持续接收到失真值。因此当任何一个通信通道被阻断时，通信均无法正常进行。

注入额外噪声到正常通信信号中

上图中第一行为原始通信信号，第二、三、四行分别为在SDA、SCL和两个通道上受到扭曲的通信信号。结果显示，当SDA通道受到扭曲后，控制单元接收到任意数据，导致通信中断。当SCL通道受到扭曲后，在通信短暂中断期间，控制单元接收到显著波动的IMU数据。而当SCL和SDA信道同时受到扭曲时，可以观察到明显的异常数据传输和通信短暂中断。

总结来说，I2C通信通道中的损坏，即使是故意的部分失真，也能引发系统中严重的错误传播。

2、远程EMI注入通信信道

进一步地，为了验证远程EMI信号注入是否能有效破坏通信信道，作者设置了如下图所示实验：

EMI注入的实验设置

实验中使用了五种控制单元板（Arduino Uno、Arduino Mega、Arduino Nano、Pixhawk4和DJI Mavic Pro）和六种IMU传感器（MPU6050、MPU6500、MPU9150、MPU9250、L3G4200D和L3GD20）进行评估。在进行EMI信号注入时，使用了单极天线和一个输出功率为100mW的射频（RF）信号发生器。注入过程中，使用示波器与逻辑分析仪监测目标IMU与控制单元板之间通信信号的变化。

实验结果表明：

• 每块控制单元板（如Arduino、PX4）都有一个特定的易感频率（如下图所示），当在此频率下注入EMI信号时，通信通道的信号会遭到严重干扰。

控制单元板与多个IMU传感器连接的EMI易感性评估

• EMI信号注入后，I2C和SPI通信信道出现大量的误码和数据丢失，导致控制单元无法接收到正确的传感器数据。IMU传感器数据被错误地传递或完全丢失。

• EMI信号注入所需的功率相对较小，在特定频率下，使用低功率（例如100mW）的EMI信号即可有效破坏通信通道。

• 控制单元板在某些频率下会意外地充当天线，导致EMI信号更容易被其接收，从而加剧通信通道的干扰。

3、EMI注入无人机实验

在该部分中，作者进行了模拟实验和真实实验，结果证明，当注入远程EMI时，失真传感器数据的误差会有效地传播到无人机的姿态控制算法中，导致无人机瞬间坠落。

• 使用PX4 SITL进行攻击模拟，结果如下图所示：

PX4 SITL攻击评估日志的图示

当攻击破坏IMU数据（左图）时，这些数据会被输入PID控制循环，导致旋翼指令的破坏（右图）。

• 使用真实无人机进行攻击评估：实验的无人机基于广泛使用的开源MultiWii飞行控制固件和MPU 6050传感器构建。此外，作者采用了一种悬停框架，能够在不造成不必要损坏（如机臂断裂）的情况下评估攻击效果，并支持无人机悬停飞行，包括通过轴承球结构在x、y和z轴上的旋转。实验设置如下图所示：

攻击无人机实验设置

当易受干扰频率的电磁波辐射到实际无人机时，IMU数据（陀螺仪、加速度计、磁力计和气压计）立即被破坏，具体如下图所示。

控制单元在注入EMI后接收到极度失真的IMU数据

由于无人机的姿态控制依赖于这些数据，被破坏的数值导致旋翼突然停止或不规则旋转。

作者提出了一种使无人机瘫痪的新的攻击方法，该方法能够导致无人机立即坠落到地面。与现有的主流反无人机技术相比，作者的方法具有几个优势：

1. 攻击频率取决于控制单元板，使得攻击者能够针对特定类型的无人机进行攻击，同时减少对其他无人机的附带损害；

2. 攻击能够立即使无人机失效，从而使得检测和缓解变得困难。因此，未来的研究可以专注于使用先进硬件进行远程实验，并探索无副作用的潜在缓解措施。

Jang J H, Cho M, Kim J, et al. Paralyzing Drones via EMI Signal Injection on Sensory Communication Channels[C]//NDSS. 2023.