CN103401878A - 频谱感知数据篡改攻击检测方法 - Google Patents

Abstract

本发明提出了频谱感知数据篡改攻击检测方法，所述方法针对无线电协同频谱感知中，频谱感知数据篡改攻击行为检测性能受恶意用户数量影响的问题，通过融合中心独立感知，并对认知用户上报数据进行校验，实现了对频谱感知数据篡改SSDF攻击行为的检测。本发明方法仅需要在融合中心加装主用户感知模块，而不需要额外的可信感知节点，易于实现；融合中心的感知数据不在无线信道中传输，不会被恶意用户截获，具有可靠的安全性；检测量不受恶意用户数量变化的影响，对不同恶意用户数量的场景有很强适应性。

Description

频谱感知数据篡改攻击检测方法

技术领域

本发明属于无线通信技术领域，尤其是涉及频谱感知数据篡改攻击检测方法。

背景技术

认知无线电是一种通过感知环境频谱空洞，智能、动态地利用空闲频谱的技术。该技术通过频谱动态复用，可以有效提高频谱利用率，缓解频谱资源匮乏的问题。作为有效利用空闲频谱的前提，频谱感知是认知无线电领域中最基础的关键技术。为了克服阴影、衰落等无线信道特性对频谱感知带来的不良影响，协同频谱感知已经成为增强感知可靠性的有效方法。在协同频谱感知系统中，多个认知用户分别独立地感知主用户的工作状态，并将得到的感知结果上报至融合中心，由融合中心对主用户发射机的工作状态做出最终的判决。

然而，由于对外部电磁环境的开放性，协同频谱感知面对的安全风险尤为突出。一旦频谱感知受到攻击，整个认知无线通信系统的可靠性将大大降低。在众多攻击样式中，频谱感知数据篡改SSDF攻击是最常见的一种。具体描述为，恶意用户通过篡改其感知结果来误导融合中心做出错误判决，从而达到骗取频谱接入机会或者破坏主用户通信的目的。当发起攻击的恶意用户数量较大，甚至超过诚实用户（即正常工作的认知用户）数量时，现有的安全机制都面临更大的挑战。如何设计可靠的攻击检测方法，特别是适用于不同恶意用户数量场景的攻击检测方法，成为研究焦点。

发明内容

本发明所要解决的技术问题在于克服现有技术的不足,本发明提出了频谱感知数据篡改攻击检测方法。

为解决上述技术问题，本发明采用的技术方案如下：频谱感知数据篡改攻击检测方法，其步骤如下：

步骤1,融合中心感知主用户状态，获取感知数据

融合中心接收认知用户CU传送的感知数据v_t，

其中，t为时隙，v_t∈{0,1}，0表示CU未检测到主用户存在；1表示CU检测到主用户存在；

步骤2，计算认知用户CU传送的感知数据和融合中心感知数据之间的归一化差异值y：

y的计算公式为：

$y=\frac{1}{L}\underset{t=1}{\overset{L}{\mathrm{\Σ}}}{x}_t$

其中，L为时隙数，x_t表示第t时隙认知用户CU传送的感知数据和融合中心感知数据的差异值，即：

$x_t=v_t^F\⊕v_t;$

步骤3，计算诚实用户传送的感知数据与融合中心感知数据的差异概率μ_H：

其计算公式为：

${\mathrm{\μ}}_H=P_0(P_f^F(1-P_f^H)+(1-P_f^F)P_f^H)+P_1((1-P_m^F)P_m^H+P_m^F(1-P_m^H))$

式中，

分别表示诚实用户的等效感知虚警概率和等效感知漏检概率；

分别表示融合中心的感知虚警概率和感知漏检概率；P₀、P₁分别表示主用户空闲和忙状态的先验概率；

步骤4，计算恶意用户传送的感知数据与融合中心感知数据差异概率μ_M的最大似然估计

：

所述最大似然估计

满足下列方程：

$2{\widehat{\mathrm{\μ}}}_M^3+(L-2\mathrm{Ly}-3){\widehat{\mathrm{\μ}}}_M^2+(2\mathrm{Ly}+1){\widehat{\mathrm{\μ}}}_M-{\mathrm{Ly}}^2=0$

且 ${\widehat{\mathrm{\μ}}}_M\∈({\mathrm{\μ}}_H,1-{\mathrm{\μ}}_H);$

步骤5，计算攻击行为的检测门限η′：

所述检测门限η′满足：

$P_m^{\mathrm{MBD}}=Q(\frac{-\mathrm{\η}\text{'}}{{\widehat{\mathrm{\σ}}}_M}+\frac{{\mathrm{\μ}}_H-{\widehat{\mathrm{\μ}}}_M}{{\widehat{\mathrm{\σ}}}_M})-Q(\frac{-\mathrm{\η}\text{'}}{{\widehat{\mathrm{\σ}}}_M}+\frac{{\mathrm{\μ}}_H-{\widehat{\mathrm{\μ}}}_M}{{\widehat{\mathrm{\σ}}}_M}),$

其中，

是预设的攻击行为漏检概率；

$Q\left(x\right)=\frac{1}{\sqrt{2\mathrm{\π}}}{\∫}_x^{\∞}\exp (-t^2/2)\mathrm{dt};$

${\widehat{\mathrm{\σ}}}_M=\sqrt{{\widehat{\mathrm{\μ}}}_M(1-{\widehat{\mathrm{\μ}}}_M)/L};$

步骤6，判断认知用户属性：

被检测认知用户属性的双边检测判决式为：

|y-μ_H|>η′

如果该不等式成立，则判定该认知用户为恶意用户；否则，判定该认知用户为诚实用户。

本发明的有益效果是：本发明提出了频谱感知数据篡改攻击检测方法，所述方法针对无线电协同频谱感知中，频谱感知数据篡改攻击行为检测性能受恶意用户数量影响的问题，通过融合中心独立感知，并对认知用户上报数据进行校验，实现了对频谱感知数据篡改SSDF攻击行为的检测。本发明方法仅需要在融合中心加装主用户感知模块，而不需要额外的可信感知节点，易于实现；融合中心的感知数据不在无线信道中传输，不会被恶意用户截获，具有可靠的安全性；检测量不受恶意用户数量变化的影响，对不同恶意用户数量的场景有很强适应性。

附图说明

图1是有大规模恶意用户攻击存在的协同频谱感知模型图。

图2为本发明方法对攻击行为检测的性能图。

图3为在恶意用户数量变化的情况下，本发明方法对攻击行为的检测性能图。

具体实施方式

下面结合附图，对本发明提出的频谱感知数据篡改攻击检测方法进行详细说明：

如图1所示，N个认知用户分布在一定区域内，独立地感知主用户发射机的工作状态，融合中心同时也独立地对主用户状态进行感知。在每个感知时隙结束时，认知用户将感知数据上报至融合中心。系统中主用户发射机以时隙机制工作，且时隙内处于工作状态的先验概率为P₁，空闲概率为P₀。对每一个认知用户的上报数据，融合中心都进行如下处理：

步骤1：接收一个认知用户CU在过去L个时隙的上报的感知数据[v₁,v₂,v₃,...,v_L]，融合中心通过独立感知主用户状态,获取感知数据其中，v_t∈{0,1}，

t∈{1,2,3,...,L}，v_t表示认知用户CU在第t时隙的上报数据，

表示融合中心在t时隙的感知结果。0表示CU未检测到主用户存在，1表示CU检测到主用户存在。

步骤2：统计认知用户CU上报数据和融合中心感知结果之间的归一化差异y。

利用已获取的L个时隙的上报感知数据，结合公式

$y=\frac{1}{L}\underset{t=1}{\overset{L}{\mathrm{\Σ}}}{x}_t$

计算归一化差异y。其中，x_t表示第t时隙认知用户CU的上报数据和融合中心的差异值，即

根据中心极限定理，y服从正态分布，即

其中,μ_H和μ_M分别表示CU是诚实用户和恶意用户时y的均值，也分别是诚实用户和恶意用户上报数据与融合中心感知结果的差异概率；

和

分别表示CU是诚实用户和恶意用户时y的方差。

步骤3：计算诚实用户上报数据与融合中心感知结果的差异概率μ_H。

因为诚实用户的感知性能由融合中心统一配置，所以利用公式

${\mathrm{\μ}}_H=P_0(P_f^F(1-P_f^H)+(1-P_f^F)P_f^H)$

$+P_1((1-P_m^F)P_m^H+P_m^F(1-P_m^H))$

可以直接求出μ_H。上式中的

分别表示诚实用户的等效感知虚警概率和等效感知漏检概率； 分别表示融合中心的感知虚警概率和感知漏检概率；P₀，P₁分别表示主用户空闲和忙状态的先验概率。所有认知用户工作参数（感知时间长度，感知算法等）由融合中心配置，于是可假设

且

步骤4：计算恶意用户上报数据与融合中心感知结果的差异概率μ_H的最大似然估计 ${\widehat{\mathrm{\μ}}}_M.$

接收到L个时隙的上报数据之后，对认知用户CU的行为检测可以建模成二元假设检验问题，检测表达式可表示为

其中，

表示CU是诚实用户的假设，表示CU是恶意用户的假设。

j∈{H,M}，表示y的条件概率密度函数。η是攻击行为检测的判决门限。

由于恶意用户的攻击策略一般是未知的，所以μ_M和条件概率密度函数

也是未知的。可以用μ_M的最大似然估计值代替未知的μ_M，即

为求出

需要求解方程，

经化简后得到，

$2{\widehat{\mathrm{\μ}}}_M^3+(L-2\mathrm{Ly}-3){\widehat{\mathrm{\μ}}}_M^2+(2\mathrm{Ly}+1){\widehat{\mathrm{\μ}}}_M-{\mathrm{Ly}}^2=0.$

在

范围内求解以上一元三次方程即可得到μ_M的最大似然估计。此外， ${\widehat{\mathrm{\σ}}}_M=\sqrt{{\widehat{\mathrm{\μ}}}_M(1-{\widehat{\mathrm{\μ}}}_M)/L}.$

步骤5：计算攻击行为的检测门限η′。

y服从正态分布，于是步骤4中检测表达式可以表示为

$\mathrm{LR}\left(y\right)=\frac{\frac{1}{\sqrt{2\mathrm{\π}}{\mathrm{\σ}}_M}\exp (-\frac{{(y-{\mathrm{\μ}}_M)}^2}{{2\mathrm{\σ}}_M^2})}{\frac{1}{\sqrt{2\mathrm{\π}}{\mathrm{\σ}}_H}\exp (-\frac{{(y-{\mathrm{\μ}}_H)}^2}{{2\mathrm{\σ}}_H^2})}>\mathrm{\η}.$

检测表达式可以进一步化简为，

$({\mathrm{\σ}}_M^2-{\mathrm{\σ}}_H^2)y^2-(2{\mathrm{\μ}}_H{\mathrm{\σ}}_M^2-2{\mathrm{\μ}}_M{\mathrm{\σ}}_H^2)y+({\mathrm{\μ}}_H^2{\mathrm{\σ}}_M^2-{\mathrm{\μ}}_M^2{\mathrm{\σ}}_H^2)>2{\mathrm{\σ}}_H^2{\mathrm{\σ}}_M^{2}1n\left(\mathrm{\η}\frac{{\mathrm{\σ}}_M^2}{{\mathrm{\σ}}_H^2}\right).$

考虑双边检测，可简化为

|y-μ_H|>η′。

由于漏检的恶意用户对认知网络危害更大，本发明以攻击行为的漏检概率

为设计性能指标。本发明采用双边检测器，利用最大似然估计代替未知的μ_M，以上检测表达式的漏检概率为

$P_m^{\mathrm{MBD}}=Q(\frac{-\mathrm{\η}\text{'}}{{\widehat{\mathrm{\σ}}}_M}+\frac{{\mathrm{\μ}}_H-{\widehat{\mathrm{\μ}}}_M}{{\widehat{\mathrm{\σ}}}_M})-Q(\frac{-\mathrm{\η}\text{'}}{{\widehat{\mathrm{\σ}}}_M}+\frac{{\mathrm{\μ}}_H-{\widehat{\mathrm{\μ}}}_M}{{\widehat{\mathrm{\σ}}}_M}),$

其中， $Q\left(x\right)=\frac{1}{\sqrt{2\mathrm{\π}}}{\∫}_x^{\∞}\exp (-t^2/2)\mathrm{dt}.$

所以，根据预设的可以用数值方法求得η′。

步骤6：判断认知用户属性。

利用双边检测判决式

|y-μ_H|>η′，

来判断被检测认知用户的属性。如果上述不等式成立则判定CU为恶意用户；否则，判定CU为诚实用户。

以下为本发明的实施例：

图1中的协同感知系统，假定参数设置如下，系统中共有N=20个认知用户，其中恶意用户数量M随具体的仿真场景而变化。主用户空闲概率为P₀=0.8。认知用户感知性能一致，为P_f=P_m=0.3。诚实用户的等效性能为

恶意用户采用独立攻击策略，错报概率q₀₁，q₁₀（q₀₁为将“1”篡改为“0”的概率，q₁₀为将“0”篡改为“1”的概率）的取值范围因不同实验场景，在以下研究中分别定义。融合中心的独立感知性能为 $P_f^F=P_m^F=0.3.$

图2描述了基于100个时隙的观察，本发明提出方法对攻击行为的检测性能。横坐标表示攻击行为检测的虚警概率（将诚实用户行为错判为恶意用户攻击的概率），纵坐标表示攻击行为检测的漏检概率

（将恶意用户攻击错判为诚实用户行为的概率）。图中研究了三种场景，参数设置如下，

从实验结果可以看出，

随着的增大而减小，这是二元假设检验固有的属性。给定漏检概率

时，场景1下的虚警概率最低。这是因为当q₀₁=q₁₀=1时，攻击行为检测量y的均值为μ_M=0.58，与μ_H=0.42的偏离量最大。而当q₀₁=q₁₀=0.5时，μ_M=0.5，与μ_H=0.42的偏离较小。由此可见，给定攻击行为漏检概率

时，虚警概率随攻击参数增大而减小。换句话说，攻击强度越大，攻击行为越容易被检测到。

图3研究了恶意用户在网络中的比例对攻击行为检测算法性能的影响。图中还将本发明提出的双边检测算法与DSND检测方法以及DBAD检测方法做了比较（和本发明的方法一样，这两种检测方法都不需要知道恶意用户攻击策略的先验信息，且在少量恶意用户存在的网络中拥有可靠的检测性能）。实验中，认知用户总数N=20，恶意用户的比例从0.1增长至0.9。恶意用户的错报概率为q₀₁=1，q₁₀=1。从图中可以看出，本发明提出方法的性能不受恶意用户比例的影响，即使网络中的恶意用户达到18个（占全部认知用户的90%），所提出的算法仍能获得较低的错误检测概率

而DSND和DBAD检测方法的错误概率随着恶意用户的比例增加而增加，当恶意用户数大于10个，即超过总用户数一半时，DSND和DBAD检测方法的检测性能还不如随机猜测。

Claims (1)

1.频谱感知数据篡改攻击检测方法，其特征在于，包含步骤如下：

步骤1,融合中心感知主用户状态，获取感知数据

；融合中心接收认知用户CU传送的感知数据v_t，

其中，t为时隙，v_t∈{0,1}，0表示CU未检测到主用户存在；1表示CU检测到主用户存在；

步骤2，计算认知用户CU传送的感知数据和融合中心感知数据之间的归一化差异值y：

y的计算公式为：

$y=\frac{1}{L}\underset{t=1}{\overset{L}{\mathrm{\Σ}}}{x}_t$

其中，L为时隙数，x_t表示第t时隙认知用户CU传送的感知数据和融合中心感知数据的差异值，即：

$x_t=v_t^E\⊕v_t;$

步骤3，计算诚实用户传送的感知数据与融合中心感知数据的差异概率μ_H：

其计算公式为：

${\mathrm{\μ}}_H=P_0(P_f^F(1-P_f^H)+(1-P_f^F)P_f^H)+P_1((1-P_m^F)P_m^H+P_m^F(1-P_m^H))$

式中，

分别表示诚实用户的等效感知虚警概率和等效感知漏检概率；

分别表示融合中心的感知虚警概率和感知漏检概率；P₀、P₁分别表示主用户空闲和忙状态的先验概率；

步骤4，计算恶意用户传送的感知数据与融合中心感知数据差异概率μ_M的最大似然估计

所述最大似然估计

满足下列方程：

$2{\widehat{\mathrm{\μ}}}_M^3+(L-2\mathrm{Ly}-3){\widehat{\mathrm{\μ}}}_M^2+(2\mathrm{Ly}+1){\widehat{\mathrm{\μ}}}_M-{\mathrm{Ly}}^2=0$

且 ${\widehat{\mathrm{\μ}}}_M\∈({\mathrm{\μ}}_H,1-{\mathrm{\μ}}_H);$

步骤5，计算攻击行为的检测门限η′：

所述检测门限η′满足：

$P_m^{\mathrm{MBD}}=Q(\frac{-\mathrm{\η}\text{'}}{{\widehat{\mathrm{\σ}}}_M}+\frac{{\mathrm{\μ}}_H-{\widehat{\mathrm{\μ}}}_M}{{\widehat{\mathrm{\σ}}}_M})-Q(\frac{-\mathrm{\η}\text{'}}{{\widehat{\mathrm{\σ}}}_M}+\frac{{\mathrm{\μ}}_H-{\widehat{\mathrm{\μ}}}_M}{{\widehat{\mathrm{\σ}}}_M}),$

其中，

是预设的攻击行为漏检概率；

$Q\left(x\right)=\frac{1}{\sqrt{2\mathrm{\π}}}{\∫}_x^{\∞}\exp (-t^2/2)\mathrm{dt};$

${\widehat{\mathrm{\σ}}}_M=\sqrt{{\widehat{\mathrm{\μ}}}_M(1-{\widehat{\mathrm{\μ}}}_M)/L};$

步骤6，判断认知用户属性：

被检测认知用户属性的双边检测判决式为：

|y-μ_H|>η′

如果该不等式成立，则判定该认知用户为恶意用户；否则，判定该认知用户为诚实用户。

Images