CN108601026A - 基于随机抽样一致性的感知数据错误化攻击检测方法 - Google Patents

Abstract

本发明涉及基于随机抽样一致性的感知数据错误化攻击检测方法。现有方法需要大量训练数据且计算和通信开销大。本发明利用节点位置信息和信号传播特性，能高效地识别出恶意节点，包含如下步骤：传感器节点采集目标信号，收集测量数据，再对目标状态进行估计并识别恶意节点，最后将目标状态估计值与预设门限比较判断目标是否存在。识别恶意节点主要利用随机表决思想，随机抽取部分测量数据估计目标状态参数，再利用所有测量数据对该模型参数进行评估，从而找出评分最高的最优解，将不支持最优解的识别为恶意节点并将其隔离。本发明操作简单，容易实现；仅需汇集一次测量数据，降低通信开销；适用范围广，可用于检测不同种类的感知数据错误化攻击。

Description

基于随机抽样一致性的感知数据错误化攻击检测方法

技术领域

本发明属于通信技术的无线网络安全领域，具体是信息处理中的分布式检测领域，涉及一种基于随机抽样一致性的感知数据错误化攻击检测方法。

背景技术

分布式检测是分布式信息处理的一个重要分支。分布式检测是指网络中的多个传感器节点首先测量目标发出的信号，然后对观测到的数据或本地判决结果进行融合，最后对目标是否在感兴趣区域内作出判决。分布式系统结构中传感器节点身份平等，各条通信链路负载量基本均衡，能有效减小通信代价，减轻计算负担，降低节点能耗，避免网络拥塞问题；而且分布式系统结构具有可扩展性，能够适应动态变化的网络拓扑，当部分节点失效时依然能够正常工作，便于系统维护。分布式结构的优势使分布式检测系统性能稳定，有较好的鲁棒性，在无线传感器网络、认知无线网络、车载自组织网络、物理信息系统等领域有广泛应用。

分布式系统结构具有开放特性，由此衍生出一系列安全问题。网络中传感器节点大多部署在开放环境中，容易被周围环境干扰，甚至被攻击者俘获而变成恶意节点。恶意节点可能发起感知数据错误化攻击，即恶意节点通过篡改传感器的局部测量数据，致使分布式检测性能下降。因此，解决分布式检测系统中的感知数据错误化攻击问题显得尤为重要。

目前，防御感知数据错误化攻击的方法有：异常数据检测法、基于信誉度反馈法、部署可信节点法等。异常数据检测方法可分为五类：统计法、最近邻居法、聚类法、分类法、谱分解法。比如一种用支持向量数据描述法检测异常数据，可视为一个无监督学习的单分类器，用于区分正常数据和非正常数据。分类器的训练数据无需事先标记，但要求训练数据中不能混入错误数据，而且需要大量数据进行训练。基于信誉度反馈的防御方法，需要首先计算节点初始可信度，然后根据诊断序列的可信度反馈情况和贝叶斯法则评估最终可信度，从而调整正常节点和恶意节点的分类，但是需要保存历史信息，且攻击者有可能破坏信誉度机制。部署可信节点的防御方法是在信誉度机制的基础上，在网络中部署可信节点，并通过信誉传播使信誉度评估值在所有传感器节点之间达成共识，提高了信誉度机制的稳定性，但部署可信节点的代价高，且布置有效可信节点的数目与位置仍有待研究。

为了保证分布式检测系统的准确性和鲁棒性，亟需一种快速而有效的检测方法，用于识别发起感知数据错误化攻击的恶意节点，以提高分布式检测的准确性和效率，实现分布式检测系统的实用价值。

发明内容

本发明的目的是针对感知数据错误化攻击，提供一种基于随机抽样一致性的感知数据错误化攻击检测方式，以保证分布式检测系统的可靠性，减小恶意攻击对系统检测性能的负面影响，提高分布式检测系统的工作效率。

考虑到节点观测结果与信号传播特性有关，而恶意节点篡改后的结果未必遵循这种关系。因此，本发明利用节点位置信息和信号传播特性，以及随机表决的思想，提出了一种基于随机抽样一致性的识别感知数据错误化攻击的方法。本发明能有效地识别网络中的恶意节点，且仅需汇报一次测量数据，减小了通信开销，提高了系统鲁棒性。

本发明方法包含以下步骤：

步骤一、传感器节点采集目标发射的信号，获取测量数据；具体过程是：

网络中各个传感器节点对目标发出的信号进行独立感知；信号传播模型采用路径损耗模型，传感器节点i处的测量数据为x_i：

其中，1≤i≤N，N是传感器节点总数，d_i是传感器节点i与目标的距离，P₀是在距目标的参考距离为d₀处测得的参考功率，α是路径损耗因子，ε_i是测量误差；

若各传感器节点处的测量噪声是高斯白噪声，均值为0，方差为即网络拓扑结构、传感器节点位置和目标位置固定；假设在二维空间内，传感器节点i的坐标为(x_i,y_i),目标的坐标为(x_t,y_t)，则传感器节点i与目标之间的距离设参考距离d₀＝1，则：

x_i＝P₀-10αlg d_i+ε_i(dB)。

步骤二、收集传感器节点测量数据，构建目标状态估计模型；具体过程如下：

收集所有传感器节点的测量数据，同一时刻网络中所有N个观测到的数据构成一个观测向量x＝[x₁,x₂,...,x_N]^T，T表示转置；对测量数据建立线性模型，即目标状态估计模型，表达式如下：

x＝Hθ+ε；

其中，H是观测矩阵，θ是信号传播模型中的未知参数，θ＝[P₀ α]^T；ε是误差向量，若各节点处的测量噪声互不相关，Σ是噪声的协方差矩阵，

若遭到恶意攻击，测量数据被篡改，感知数据错误化攻击模型如下：

x^a＝x+a；

其中，攻击向量a＝[a₁a₂,...,a_N]^T；若传感器节点i是诚实节点，则a_i＝0；若传感器节点i是恶意节点，则a_i≠0；最终收集到的测量数据y＝[y₁,y₂,...,y_N]^T＝x^a。

步骤三、根据测量数据估计目标状态并识别恶意节点；具体过程如下：

(1)随机抽取部分数据估计目标状态，得到模型假设参数；

从测量数据y中随机抽取b个点作为采样点，第k轮随机抽取产生最小样本集其中，1≤k≤K，K是迭代上限，是第k轮被抽中的b个测量数据；第k轮中所有被抽取的节点序号用抽取序列集表示，m_k,j∈{1,2,...,N},m_k,j表示第k轮第j个被抽中的传感器节点编号，j＝1,2,…,b，且满足b为最小样本容量；令权重矩阵采用加权最小二乘估计法，求解第k轮最小样本集y_k的参数估计结果，作为模型假设参数

其中，H_k和W_k是根据第k轮抽取序列集选出的对应观测矩阵H和权重矩阵W的矩阵子块；

(2)传感器节点对模型假设参数进行评估，区分局内点和局外点；

以评分函数评估第k轮产生的模型假设参数采用误差作为检验量，其中h_i是观测矩阵H第i行的全部元素，h_i＝[1,-10lgd_i]；结合节点本地测量数据，传感器节点i对模型假设参数的评分结果为：

其中，η是误差阈值，函数是自由度为1的卡方分布累积分布函数的逆函数；β是置信度，取值为0.95～0.99；自由度为u的卡方分布累积分布函数的定义式为：

其中，Γ(·)为Gamma函数，γ(·,·)为下不完全Gamma函数，数据误差在阈值范围内视为局内点，局内点序号构成支持集在阈值范围外视为局外点，局外点序号构成反对集所有传感器节点对第k轮模型假设参数的总评分为：

(3)步骤(1)和(2)重复进行K次；

判断步骤(1)和(2)的累计执行次数k是否大于等于迭代上限K，若k＜K，重复执行步骤(1)和(2)；若k≥K，则直接执行步骤(4)；

(4)选取最优假设参数，识别正常节点和恶意节点；

在所有参数估计结果中，选取评分最高的模型假设参数作为最优假设参数：

进而对节点进行分类，支持最优假设的局内点视为正常节点，即正常节点集为不支持最优假设的局外点则视为恶意节点，即恶意节点集为

(5)隔离恶意节点，重新进行目标状态估计；

将恶意节点隔离，把支持最优假设的局内点也作为样本数据，重新进行参数估计，得到目标状态参数估计结果为表示参考功率估计值，表示路径损耗因子估计值。

步骤四、根据目标状态估计值判断目标是否存在，具体过程如下：

将参考功率估计值与预先设定的判决门限Λ比较，判断目标是否存在：

其中，表示目标存在，表示目标不存在，判决门限的取值为：

其中，下角标11表示取矩阵第1行第1列的子块；P_FA表示预设的虚警概率；函数Q^-1(·)是互补累积分布函数的逆函数，互补累积分布函数的定义式为v为积分变量。

进一步，为确保目标状态估计结果的可靠性，所述的传感器节点总数N满足N≥2N_mmax+2，N_mmax是攻击者所能捕获的节点数量上限。

进一步，所述的最小样本容量b≥2，且最小样本中所选节点到目标距离不相等，才能求解出模型参数估计值。

进一步，所述的迭代上限K与最小样本容量b和正常节点比例p_in有关：

其中，p_suc为置信概率，取值为0.95～0.99；若网络中存在N_h个正常节点，正常节点比例为p_in＝N_h/N。迭代次数会直接影响计算复杂度。若置信概率取值固定，随着异常点比例或最小样本容量增加，所需迭代次数呈指数增长。因此在能够保证识别精度的情况下，选择尽可能小的最小样本容量值，以减少计算开销。

本发明利用随机抽样一致性算法，随机抽取样本估计目标状态参数，然后所有节点评价估计参数是否准确，与已有分布式检测中的感知数据错误化攻击检测方法相比，具有以下优点：本发明操作简单，容易实现，便于模块化；本发明适用范围广，可用于检测固定攻击、概率攻击、隐秘攻击等多种攻击方式，即使攻击者潜伏一段时间后再发起攻击，也不会影响本发明的检测性能；本发明仅需汇集一次测量数据，无需历史信息，可用于处理大量测量数据，节约了系统的通信开销；此外，本发明在恶意节点比例低于50％时，具有较好的鲁棒性。

附图说明

图1为本发明实施例中的系统模型示意图。

图2为本发明方法的流程图。

具体实施方式

下面结合附图并举实施例对本发明的技术方案进行详细说明。

如附图1所示，本实施例系统模型为：网络中存在一个目标，如附图1中星形所示；网络中共部署了10个传感器节点，如附图1中圆形所示，编号为1,2,…,10。攻击者成功捕获编号为1至3的节点，使它们成为恶意节点，恶意节点如附图1中虚线圆形所示。编号为4至10的节点是正常节点，如附图1中实线圆形所示。节点i处的测量噪声的功率在本实例中i＝1,2,…,10。节点i与目标的距离d_i且距离互不相等，在本实例中d₁至d₁₀分别为1.5,1.8,2,2.2,2.5,2.8,3,3.2,3.6,4。

如附图2所示，这一种基于随机抽样一致性的感知数据错误化攻击检测方法通过以下步骤实现：

步骤一、网络中各个传感器节点对目标发出的信号进行独立感知，传感器节点采集到的信号为：x₁,x₂,...,x₁₀。

步骤二、编号为1至3的节点是恶意节点，发起感知数据错误化攻击，篡改后的测量数据为y_j＝x_j+a_j。其中，1≤j≤3；a_j是攻击偏移量，a_j≠0。编号为4至10的节点是正常节点，保持原始测量数据不变，y_l＝x_l。其中，4≤l≤10；对于正常节点，可视为攻击偏移量a_l恒为0。

收集同一时刻网络中所有传感器节点的测量数据y＝[y₁,y₂,...,y₁₀]^T，其中包含攻击向量a＝[a₁a₂,...,a₁₀]^T。

步骤三、根据测量数据估计目标状态并识别恶意节点，具体为：

(1)随机抽取部分数据估计目标状态，得到模型假设参数

进行第k轮样本抽取(k初始值为1)，从测量数据中随机抽取3个样本点，产生一个最小样本集被抽中的节点序号构成抽取序列集m_k,j∈{1,2,...,10}，j＝1,2,3。

令权重矩阵

观测矩阵采用加权最小二乘估计法，求解最小样本集y_k的参数估计结果，得到信号传播模型的假设参数为其中，H_k和W_k是根据第k轮抽取序列集选出的对应观测矩阵H和权重矩阵W的矩阵子块。

(2)节点对模型假设参数进行评估，区分局内点和局外点

用评分函数评估模型假设参数采用误差作为检验量，其中h_i＝[1,-10lgd_i]。结合节点本地测量数据，节点i对模型假设参数的评分结果为：

其中，η是误差阈值，计算方式为若置信度β＝0.95，本例中误差阈值η＝1.96。数据误差在阈值范围内视为局内点，这些局内点序号构成支持集在阈值范围外视为局外点，局外点序号构成反对集所有传感器节点对第k轮模型假设参数的总评分为

(3)步骤(1)和(2)重复进行K次。

更新轮次k＝k+1，比较k与迭代上限K的大小关系。迭代上限K的计算式为：

其中，p_suc为置信概率；p_in为正常节点比例。本实例中，取p_suc＝0.99，p_in＝0.7，迭代上限的具体数值为K≈10.9628。当k<K时，继续执行步骤(1)和(2)；当k≥K时，直接执行步骤(4)。

(4)选取最优假设参数，识别诚实节点和恶意节点

选取评分最高的模型假设参数作为最优假设参数，对节点进行分类，支持最优假设的局内点视为正常节点，即正常节点集为 不支持最优假设的局外点则视为恶意节点，即恶意节点集为

(5)隔离恶意节点，重新进行目标状态估计

将恶意节点隔离，把支持最优假设的局内点也作为样本数据，重新进行参数估计，得到目标状态参数估计结果为

步骤四、将参考功率估计值与预先设定的判决门限Λ比较，判断目标是否存在：

其中，表示目标不存在，表示目标存在。判决门限Λ的计算式为：

其中，P_FA表示预设的虚警概率，若取P_FA＝0.1；对应互补累积分布函数的逆函数的值Q^-1(0.1)≈1.2816；判决门限为Λ≈1.3316。

以上所述为本发明的一个实施例，本发明不受上述实施例限制，可将本发明的技术方案与实际应用场景结合确定具体实施方法。

Claims (4)

1.基于随机抽样一致性的感知数据错误化攻击检测方法，其特征在于该方法包含以下步骤：

步骤一、传感器节点采集目标发射的信号，获取测量数据；具体过程如下：

网络中各个传感器节点对目标发出的信号进行独立感知；信号传播模型采用路径损耗模型，传感器节点i处的测量数据为x_i：

其中，1≤i≤N，N是传感器节点总数，d_i是传感器节点i与目标的距离，P₀是在距目标的参考距离为d₀处测得的参考功率，α是路径损耗因子，ε_i是测量误差；

若各传感器节点处的测量噪声是高斯白噪声，均值为0，方差为即网络拓扑结构、传感器节点位置和目标位置固定；假设在二维空间内，传感器节点i的坐标为(x_i,y_i),目标的坐标为(x_t,y_t)，则传感器节点i与目标之间的距离设参考距离d₀＝1，则：

x_i＝P₀-10αlgd_i+ε_i(dB)；

步骤二、收集传感器节点测量数据，构建目标状态估计模型；具体过程如下：

收集所有传感器节点的测量数据，同一时刻网络中所有N个观测到的数据构成一个观测向量x＝[x₁,x₂,...,x_N]^T，T表示转置；对测量数据建立线性模型，即目标状态估计模型，表达式如下：

x＝Hθ+ε；

其中，H是观测矩阵，θ是信号传播模型中的未知参数，θ＝[P₀α]^T；ε是误差向量，若各节点处的测量噪声互不相关，Σ是噪声的协方差矩阵，

若遭到恶意攻击，测量数据被篡改，感知数据错误化攻击模型如下：

x^a＝x+a；

其中，攻击向量a＝[a₁a₂,...,a_N]^T；若传感器节点i是诚实节点，则a_i＝0；若传感器节点i是恶意节点，则a_i≠0；最终收集到的测量数据y＝[y₁,y₂,...,y_N]^T＝x^a；

步骤三、根据测量数据估计目标状态并识别恶意节点；具体过程如下：

(1)随机抽取部分数据估计目标状态，得到模型假设参数；

从测量数据y中随机抽取b个点作为采样点，第k轮随机抽取产生最小样本集其中，1≤k≤K，K是迭代上限，是第k轮被抽中的b个测量数据；第k轮中所有被抽取的节点序号用抽取序列集表示，m_k,j∈{1,2,...,N},m_k,j表示第k轮第j个被抽中的传感器节点编号，j＝1,2,…,b，且满足b为最小样本容量；令权重矩阵采用加权最小二乘估计法，求解第k轮最小样本集y_k的参数估计结果，作为模型假设参数

其中，H_k和W_k是根据第k轮抽取序列集选出的对应观测矩阵H和权重矩阵W的矩阵子块；

(2)传感器节点对模型假设参数进行评估，区分局内点和局外点；

以评分函数评估第k轮产生的模型假设参数采用误差作为检验量，其中h_i是观测矩阵H第i行的全部元素，h_i＝[1,-10lgd_i]；结合节点本地测量数据，传感器节点i对模型假设参数的评分结果为：

其中，η是误差阈值，函数是自由度为1的卡方分布累积分布函数的逆函数；β是置信度，取值为0.95～0.99；自由度为u的卡方分布累积分布函数的定义式为：

其中，Γ(·)为Gamma函数，γ(·,·)为下不完全Gamma函数，数据误差在阈值范围内视为局内点，局内点序号构成支持集在阈值范围外视为局外点，局外点序号构成反对集所有传感器节点对第k轮模型假设参数的总评分为：

(3)步骤(1)和(2)重复进行K次；

判断步骤(1)和(2)的累计执行次数k是否大于等于迭代上限K，若k＜K，重复执行步骤(1)和(2)；若k≥K，则直接执行步骤(4)；

(4)选取最优假设参数，识别正常节点和恶意节点；

在所有参数估计结果中，选取评分最高的模型假设参数作为最优假设参数：

进而对节点进行分类，支持最优假设的局内点视为正常节点，即正常节点集为不支持最优假设的局外点则视为恶意节点，即恶意节点集为

(5)隔离恶意节点，重新进行目标状态估计；

将恶意节点隔离，把支持最优假设的局内点也作为样本数据，重新进行参数估计，得到目标状态参数估计结果为 表示参考功率估计值，表示路径损耗因子估计值；

步骤四、根据目标状态估计值判断目标是否存在，具体过程如下：

将参考功率估计值与预先设定的判决门限Λ比较，判断目标是否存在：

其中，表示目标存在，表示目标不存在，判决门限的取值为：

其中，下角标11表示取矩阵第1行第1列的子块；P_FA表示预设的虚警概率；函数Q^-1(·)是互补累积分布函数的逆函数，互补累积分布函数的定义式为v为积分变量。

2.如权利要求1中所述的基于随机抽样一致性的感知数据错误化攻击检测方法，其特征在于：所述的传感器节点总数N满足N≥2N_mmax+2，N_mmax是攻击者所能捕获的节点数量上限。

3.如权利要求1中所述的基于随机抽样一致性的感知数据错误化攻击检测方法，其特征在于：所述的最小样本容量b≥2，且最小样本中所选节点到目标距离不相等。

4.如权利要求1中所述的基于随机抽样一致性的感知数据错误化攻击检测方法，其特征在于：所述的迭代上限K与最小样本容量b和正常节点比例p_in有关：

其中，p_suc为置信概率，取值为0.95～0.99；若网络中存在N_h个正常节点，正常节点比例为p_in＝N_h/N。