CN109861825B - Cps系统中基于加权规则与一致度的内部攻击检测方法 - Google Patents
Cps系统中基于加权规则与一致度的内部攻击检测方法 Download PDFInfo
- Publication number
- CN109861825B CN109861825B CN201910117327.XA CN201910117327A CN109861825B CN 109861825 B CN109861825 B CN 109861825B CN 201910117327 A CN201910117327 A CN 201910117327A CN 109861825 B CN109861825 B CN 109861825B
- Authority
- CN
- China
- Prior art keywords
- state
- consistency
- probability
- data
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明CPS系统中基于加权规则与一致度的内部攻击检测方法,该方法基于CPS系统应用场景,包括四个参与方:可信权威;控制中心;网关;网络节点,具体步骤如下:(1)网络节点数据汇报阶段;(2)识别行为规则阶段;(3)根据规则生成状态机阶段;(4)收集一致度数据阶段;(5)拟合一致度分布阶段;(6)内部攻击检测阶段。本发明通过对规则权重、正常/异常节点区分阈值等相关配置参数进行调节与优化,检测方法具有简易、灵活、准确的特性。
Description
技术领域
本发明涉及一种内部攻击检测方法,具体涉及一种CPS系统中基于加权规则与一致度的内部攻击检测方法。
背景技术
截止目前,对内部攻击检测系统的研究大致可分为三类:基于模板的,基于异常行为的和基于规则的。基于模板的检测系统利用数据挖掘算法来检测可能的内部攻击,其完全依赖于已知的攻击模板信息。尽管该类方法对于已知的攻击类型非常有效,然而对于未知的攻击模板却无能为力。相反,基于异常行为的检测方法通过定义一些恶意或异常的行为,并检测节点状态是否偏移到正常行为的范围以外,从而很好地解决了未知攻击模板的问题。相关研究工作利用不同的技术,如统计学、偏差距离度量、历史数据统计和基于模型的分析方法等,提出了一些基于异常行为的检测方法,试图准确区别正常行为和异常行为。然而,传统的基于异常行为的检测方法需要耗费很大的计算代价来检测内部攻击,并且通常具有很高的误报率。到目前为止,仅有少量几个针对通信网络环境的基于规则的内部攻击检测系统的相关研究工作被公开发表。例如,Silva等人利用七种类型的基于交通的规则来检测内部攻击,Dutertre等人提出了规则状态机来检测通信网络中的内部攻击的恶意行为。然而,已有的文献没有充分考虑CPS系统的物理环境和控制体系的闭环结构。除此以外,Mitchell等人设计了一系列基于规则的内部攻击检测系统,但只考虑了特定研究领域的高层面需求,其方法过于粗糙,不够实用。
发明内容
针对现有技术中存在的问题,本发明设计的目的在于提供一种CPS系统中基于加权规则与一致度的内部攻击检测方法。
物理信息融合系统(CPS系统)通过计算、通信、控制的有机融合与深度协作,实现大型工程系统的实时感知、动态控制和信息服务。CPS系统的应用彻底改变了人类与自然物理世界的交互方式,因此在健康医疗、智能交通、汽车制造、环境监控、航空电子、防御监控、智能家居等领域均有着广泛的应用前景。然而,传统物理系统融入信息技术后更易遭受来自网络层的攻击。而且,由于通过开放的互联网络对CPS系统发起的攻击不仅包括来自系统外部的恶意攻击者,也包括来自系统内部的合法用户,因此其攻击程度异常复杂并越发加剧。如今,尽管针对CPS系统的内部攻击检测已经引起了广泛关注,但是由于CPS系统的复杂性以及内部攻击的隐蔽性和潜在性,相关研究仍处于初级阶段,并且研究分散,缺少系统性。因此,本发明实现了一种物理-信息融合系统中基于加权规则与一致度的内部攻击检测方法。主要创新点包括:1)基于少数服从多数、历史回溯与逻辑推理、数值分析与趋势研判等理论基础和经验启发,建立了3族规则库,合理和准确刻画了CPS系统网络节点的行为规范,并用于内部攻击检测;2)考虑到各规则对受监节点一致性程度的评价具有不同的影响度和支配性,创新了一种基于规则权重和节点一致度的评估策略,显著提升了传统评价策略的检测效率;3)区别于现有技术,该发明基于真实数据对设计的内部攻击检测方法进行效率分析及性能调优;4)因为对内部攻击行为的检测涉及到长期行为建模和深度数据分析,因此,该发明特别关注统计学特征(节点一致度的数学期望),以权衡内部攻击检测方法的取伪率和弃真率。
本发明通过以下技术方案加以实现:
所述的CPS系统中基于加权规则与一致度的内部攻击检测方法,其特征在于该方法基于CPS系统应用场景,由可信权威负责管理整个系统;由控制中心负责对系统全局数据进行收集、集成,并对系统运行状态进行集中监控、分析和决策;由网关负责对CPS系统各自治区域网络节点的数据进行聚合,并将各节点的汇报数据转发给控制中心;由CPS系统感知端的带有传感器的n个网络节点N={N1,N2,…,Nn}(或用户U={U1,U2,…,Un})负责实时采集并周期性汇报用户数据,每个网络节点既作为受监节点周期性汇报自身的实时数据,又作为邻居节点对相邻节点汇报数据进行监控,具体步骤如下:
(1)网络节点数据汇报阶段
在各数据汇报时间节点tγ,各网络节点通过公钥密码算法对汇报数据进行密码学处理;
1)将实时数据按照汇报规范进行转换与封装;
2)选用合适的公钥密码算法对汇报数据进行密码学安全处理,以抵抗外部攻击;
3)将转换后的汇报数据通过网关聚合与中继,转发至控制中心;
(2)识别行为规则阶段
控制中心接受到各网络节点的汇报数据后,执行以下操作:
1)解密并验证数字签名的正确性;
2)构建三个行为规则用于检测潜在的恶意网络节点;
(3)根据规则生成状态机阶段
1)识别攻击行为指标
依据违反网络节点的三个行为规则,分别识别出三个攻击行为指标:
i)第一个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的瞬时汇报值超过了某个阈值;
ii)第二个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的汇报数据平均值超过了某个阈值;
iii)第三个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的汇报数据方差超过了某个阈值;
2)用连接范式表示攻击行为指标
连接范式表示的攻击行为指标:
攻击行为编号1:
攻击行为编号2:
攻击行为编号3:
i)w表示受监节点邻居节点个数的最大值;
ii)xi和x(i,1),…,x(i,w)分别表示网络节点i汇报值的瞬时值与其w个邻居节点相应的监测值;
iii)μi和μ(i,1),…,μ(i,w)分别表示网络节点i汇报值的均值与其w个邻居节点相应的监测值;
iv)σi和σ(i,1),…,σ(i,w)分别表示网络节点i汇报值的方差与其w个邻居节点相应的监测值;
3)用析取范式合并谓词
4)确定状态组件和取值范围
i)将状态组件的连续数据量化为取值范围内对应的整数;
ii)不失一般性,设网络节点监控指标的取值范围在[-10,10]内,由此产生的自动机有(21w+1)3≈6.81*1019(假设w=4,即每个网络节点平均有4个相邻节点)个状态;
iii)直接量化模式下,状态组件所生成的自动机规模太大,下面将对状态空间进行进一步规约;
5)优化状态空间
通过减少状态组件的取值,减小状态机的规模,并对状态数进行优化:
i)对于三个状态组件,每个规则只考虑四种状态:安全/正常、黄色警告、红色警告和不安全/异常;
ii)对每个规则进行进一步转换,对第1条规则,通过计算比率β1=α/w来进行优化,其中α是观察到网络节点i瞬时汇报数据异常(|xi-x(i,j)|>α1,j=1,…,w)的所有邻居节点的数目;对第2条规则和第3条规则进行类似的优化;
iii)产生具有64种状态的压缩状态机,其中只有1个安全状态,26个是警告状态(包括7个黄色警告和19个红色警告),37个是不安全/异常状态;
6)创建行为规则状态机
i)对所有状态进行编号:1,…,64;
ii)对状态机中的每对(i,j)赋值pij,其表示从状态i转移到状态j的概率;
iii)考虑偶然的环境噪音、系统扰动和通信故障等因素,用perr来刻画和仿真监测节点误判受监节点真实状态的出错概率;
对初始为正常状态的网络节点:
i)计算pij处于正常状态的概率为1-perr,处于黄色警告的概率为perr×7/63,处于红色警告的概率为perr×19/63,处于异常状态的概率为perr×37/63;
ii)描绘正常网络节点的行为规则状态机;
对遭受鲁莽型攻击的网络节点:
i)节点会一直处于异常或警告状态,但是,由于环境噪音或通信故障,监管节点偶尔会误判为处于安全状态;
ii)计算pij处于正常状态的概率为perr,处于黄色警告的概率为7/63×(1-perr),处于红色警告的概率为19/63×(1-perr),处于异常状态的概率为37/63×(1-perr);
对遭受随机型攻击的网络节点:
i)随机型攻击以pa的概率发起攻击,以1-pa的概率停止攻击,并以1-perr的概率被监管节点检测到其攻击行为;
ii)计算pij处于正常状态的概率为pa×perr+(1-pa)×(1-perr),处于黄色警告的概率为7/63×(pa×(1-perr)+(1-pa)×perr),处于红色警告的概率为19/63×(pa×(1-perr)+(1-pa)×perr),处于异常状态的概率为37/63×(pa×(1-perr)+(1-pa)×perr);
iii)描绘遭受随机型攻击的网络节点行为规则状态机;
(4)收集一致度数据阶段
i)对每个受监节点状态的随机过程进行建模,其转换概率为pij,并用πj表示受监节点处于状态j的概率;
ii)对所有可能转移到状态j的过程进行累加,得出处于状态j的随机过程概率其中/>
iii)用cj刻画状态j的“等级”(与“安全”状态之间的距离),并计算受监节点的一致度
iv)设计基于规则-权重和一致度的安全等级评估策略,并用于评估受监节点的一致度,其一般性模型包括m个状态和n个规则,当处于正常状态时,一致度为1;当处于异常状态时,用[0,1]区间的数据表示偏离程度。对所有规则进行累加,得到一致度表达式 其中,γk表示规则k的权重,并满足/>Djk表示行为数据bjk偏离安全状态的距离;Dmax(Rk)表示对于Rk(规则k),所有可能的异常状态偏离正常状态的最大距离。综合起来,受监节点的一致度为/>
(5)拟合一致度分布阶段
i)利用服从贝塔分布的随机变量X~Beta(α,β)刻画受监节点的一致度,其概率密度为(其中Γ(·)表示伽马函数);
ii)X的累积分布函数F(X)和数学期望EB[X]如下:
iii)对收集的所有的一致度历史数据(c1,…,cn)进行训练,并基于最大似然估计法,通过求解以下微分方程组估算出α和β的数值:
其中
iv)采用工程通用做法,令α=1,得到单参数分布Beta(1,β)。对应的概率密度为f(x;β)=β(1-x)β-1,计算出β的估算值为:
(6)内部攻击检测阶段
1)计算取伪率和弃真率
i)记CT为一致度的下限阈值;
ii)如果异常节点的一致度(记为事件Xb,具有累积分布函数超过CT,那么取伪事件发生,即pfn=Pr{Xb>CT}=1-F(CT);
iii)如果正常节点的一致度(记为事件Xg,具有累积分布函数小于CT,那么弃真事件发生,即pfp=Pr{Xg≤CT}=F(CT);
2)识别内部攻击
根据贝叶斯后验推理识别内部攻击。
所述的CPS系统中基于加权规则与一致度的内部攻击检测方法,其特征在于步骤(1)中公钥密码算法采用加密、数字签名的方式。
所述的CPS系统中基于加权规则与一致度的内部攻击检测方法,其特征在于步骤(1)中将实时数据按照汇报规范进行转换是指将浮点数放大到对应的整数。
所述的CPS系统中基于加权规则与一致度的内部攻击检测方法,其特征在于步骤(1)中合适的公钥密码算法是指使用Elliptic-Curve-ElGamal加密算法,以及ECDSA椭圆曲线数字签名算法对汇报数据进行密码学安全处理。
本发明通过对规则权重、正常/异常节点区分阈值等相关配置参数进行调节与优化,检测方法具有简易、灵活、准确的特性。
附图说明
图1为系统架构图;
图2为系统模块结构图;
图3为正常状态的网络节点行为规则状态机;
图4为遭受随机型攻击的网络节点行为规则状态机;
图5为基于加权规则和一致度的安全等级评估策略。
具体实施方式
以下结合说明书附图对本发明做进一步详细描述,并给出具体实施方式。
本发明基于典型的CPS系统应用场景,系统整体架构如图1所示,包含以下四个参与方:(1)可信权威:负责管理整个系统,系统初始化后不再参与后续具体操作;(2)控制中心:负责对系统全局数据进行收集、集成,并对系统运行状态进行集中监控、分析与决策;(3)网关:负责对CPS系统各自治区域网络节点的数据进行聚合,并将各节点的汇报数据转发给控制中心;(4)网络节点:CPS系统感知端共有n个节点N={N1,N2,…,Nn}(或用户U={U1,U2,…,Un}),每个节点Ni∈N均配有CPS系统传感器,用于实时采集并周期性汇报用户数据,每个节点同时赋予以下2种职能:1)作为受监节点:周期性汇报自身的实时数据;2)作为邻居节点:对相邻节点汇报数据进行监控。
系统模块结构如图2所示,(1)网络节点数据汇报模块:1)对网络节点实时汇报的浮点数据进行整数化转换与封装的技术,用于基于公钥密码理论处理汇报数据的方法;2)基于公钥密码算法技术对网络节点汇报数据进行密码学安全汇报的方法;(2)识别行为规则模块:基于“少数服从多数、状态跟踪与证据收集、短期与长期相结合”等理论基础和经验启发,建立CPS系统内部攻击检测规则库的技术,用于合理和准确刻画CPS系统网络节点行为规范的方法;(3)根据规则生成状态机模块:1)识别攻击行为指标:对照CPS系统网络节点行为规则,识别攻击行为指标的方法;2)用连接范式表示攻击行为指标:用连接范式对攻击行为指标进行形式化表示的方法;3)用析取范式合并谓词:用析取范式合并谓词的方法;4)确定状态组件和取值范围:i)将状态组件连续数据量化为取值范围内对应的整数的方法;ii)根据网络节点监控指标的取值范围,产生全状态自动机的方法;5)优化状态空间:i)对状态组件的行为规则进行合理性状态缩减的方法;ii)对各行为规则按照统一规范进行统一量化与标准化处理与转换的方法;iii)产生压缩状态机并对各状态进行分类与状态区分的方法;6)创建行为规则状态机:i)对所有状态进行编号,并对状态机中的各状态的转移概率进行量化的方法;ii)考虑环境噪音、系统扰动和通信故障等因素,刻画和仿真监测节点误判率的方法;iii)针对网络节点正常状态、异常状态(遭受鲁莽型攻击以及随机型攻击),对状态机各状态进行量化,并计算转移概率的方法(4)收集一致度数据模块:i)对各受监节点状态的随机过程进行建模与量化的方法;ii)通过对所有可能的转移状态进行累加,计算状态机各状态到达率的方法;iii)通过量化各节点与“安全”状态之间的距离,刻画各状态的“等级”,并计算受监节点一致度的方法;iv)创新并设计基于规则-权重和一致度的安全等级评估策略,并建立一般性模型,用于评估受监节点一致度的方法;(5)拟合一致度分布模块:i)利用服从贝塔分布的随机变量刻画受监节点一致度的方法;ii)通过一致度历史数据收集及训练,并基于最大似然估计法,求解系统参数最佳估算值的方法;(6)内部攻击检测模块:1)计算取伪率和弃真率:i)定义节点一致度的下限阈值,结合概率学理论,计算取伪率和弃真率的方法;ii)定义异常节点的一致度事件,通过计算累积分布函数,形式化并量化取伪率的方法;iii)定义正常节点的一致度事件,通过计算累积分布函数,形式化并量化弃真率的方法;2)识别内部攻击:根据贝叶斯后验推理识别内部攻击的方法;(7)效应分析模块:1)蒙特卡洛仿真模拟:i)搭建蒙特卡洛仿真平台,产生符合CPS系统网络节点概率分布及状态转换规律的随机样本及状态机的技术;ii)通过收集网络节点一致度的历史数据,验证本发明设计的内部攻击检测方法的可行性;iii)整理各种条件下的仿真结果,为系统管理员和工程师提供参数设定的参考指南;2)真实数据检验:i)选取CPS系统实际应用场景,收集真实数据与测试样本;ii)基于本发明提出的内部攻击检测方法,配置相关参数,验证本发明设计的内部攻击检测方法的高效性;(8)性能比对与系统优化模块:i)基于实测数据,将本发明设计的“基于规则权重和一致度评估策略”的内部攻击检测方法与当前主流的同类检测方法进行比较,验证本发明设计的内部攻击检测方法的可行性和高效性;ii)对相关配置参数进行调节与优化,提升本发明设计的内部攻击检测方法的简易性、灵活性与准确性的方法。
具体检测步骤为:
(1)网络节点数据汇报阶段
在各数据汇报时间节点tγ,各网络节点通过加密、数字签名等公钥密码算法对汇报数据进行密码学处理。
1)将实时数据按照汇报规范进行转换(将浮点数放大到对应的整数)与封装;该发明设计的内部攻击检测方法适用于普遍的CPS系统,表1列举了典型的一些CPS系统的监控参数;
表1典型CPS系统监控参数
| CPS系统类型 | 监控变量 | 变量类型 |
| 智慧旅游 | 环境、温度、湿度等 | 浮点数(2位小数) |
| 健康医疗 | 血压、脉搏、体温等 | 浮点数(5位小数) |
| 智能交通 | 限速、油耗、速度等 | 浮点数(5位小数) |
| 汽车制造 | 零件、工序、进度等 | 浮点数(3位小数) |
| 环境监控 | PM2.5、气温、气压等 | 浮点数(2位小数) |
| 航空电子 | 经度、纬度、速度等 | 浮点数(8位小数) |
| 防御监控 | 海拔、速度、时间等 | 浮点数(5位小数) |
| 智能家居 | 能耗、时间、故障等 | 浮点数(2位小数) |
| … | … | … |
2)选用合适的公钥密码算法对汇报数据进行密码学安全处理,以抵抗外部攻击;本发明的核心创新在于抵抗内部攻击,我们选用Elliptic-Curve-ElGamal加密算法,以及ECDSA椭圆曲线数字签名算法对汇报数据进行密码学安全处理。不失一般性,对于应对外部攻击的其他公钥密码算法都能适用;
3)将转换后的汇报数据通过网关聚合与中继,转发至控制中心;
(2)识别行为规则阶段
控制中心接受到各网络节点的汇报数据后,执行以下操作:
1)解密并验证数字签名的正确性;
2)构建如表2所示的行为规则,用于检测潜在的恶意网络节点;
表2行为规则
(3)根据规则生成状态机阶段
1)识别攻击行为指标
依据违反网络节点的三个行为规则(如表2所示),分别识别出三个攻击行为指标:
i)第一个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的瞬时汇报值超过了某个阈值;
ii)第二个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的汇报数据平均值超过了某个阈值;
iii)第三个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的汇报数据方差超过了某个阈值;
2)用连接范式表示攻击行为指标
连接范式表示的攻击行为指标如表3所示:
i)w表示受监节点邻居节点个数的最大值;
ii)xi和x(i,1),…,x(i,w)分别表示网络节点i汇报值的瞬时值与其w个邻居节点相应的监测值;
iii)μi和μ(i,1),…,μ(i,w)分别表示网络节点i汇报值的均值与其w个邻居节点相应的监测值;
iv)σi和σ(i,1),…,σ(i,w)分别表示网络节点i汇报值的方差与其w个邻居节点相应的监测值;
表3行为指标
3)用析取范式合并谓词
4)确定状态组件和取值范围
i)将状态组件的连续数据量化为取值范围内对应的整数;
ii)不失一般性,设网络节点监控指标的取值范围在[-10,10]内,由此产生的自动机有(21w+1)3≈6.81*1019(假设w=4,即每个网络节点平均有4个相邻节点)个状态;
iii)直接量化模式下,状态组件所生成的自动机规模太大,下面将对状态空间进行进一步规约;
5)优化状态空间
通过减少状态组件的取值,减小状态机的规模,并对状态数进行优化:
i)对于三个状态组件,每个规则只考虑四种状态:安全/正常、黄色警告、红色警告和不安全/异常;
ii)对每个规则进行进一步转换,如表4所示。对第1条规则,通过计算比率β1=α/w来进行优化,其中α是观察到网络节点i瞬时汇报数据异常(|xi-x(i,j)|>α1,j=1,…,w)的所有邻居节点的数目;对第2条规则和第3条规则进行类似的优化;
表4网络节点组件状态
| β1=α/w | β2=β/w | β3=γ/w | 状态 |
| [0,a1] | [0,b1] | [0,c1] | 安全/正常 |
| (a1,a2] | (b1,b2] | (c1,c2] | 黄色警告 |
| (a2,a3] | (b2,b3] | (c2,c3] | 红色警告 |
| (a3,1] | (b3,1] | (c3,1] | 不安全/异常 |
iii)产生具有64种状态的压缩状态机。其中只有1个安全状态,26个是警告状态(包括7个黄色警告和19个红色警告),37个是不安全/异常状态;
6)创建行为规则状态机
i)对所有状态进行编号:1,…,64;
ii)对状态机中的每对(i,j)赋值pij,其表示从状态i转移到状态j的概率;
iii)考虑偶然的环境噪音、系统扰动和通信故障等因素,用perr来刻画和仿真监测节点误判受监节点真实状态的出错概率;
对初始为正常状态的网络节点:
i)计算pij处于正常状态的概率为1-perr,处于黄色警告的概率为perr×7/63,处于红色警告的概率为perr×19/63,处于异常状态的概率为perr×37/63;
ii)图3描绘了正常网络节点的行为规则状态机。其中G、MW、GW和B分别表示正常、黄色警告、红色警告和异常状态;
对遭受鲁莽型攻击的网络节点:
i)节点会一直处于异常或警告状态,但是,由于环境噪音或通信故障,监管节点偶尔会误判为处于安全状态;
ii)计算pij处于正常状态的概率为perr,处于黄色警告的概率为7/63×(1-perr),处于红色警告的概率为19/63×(1-perr),处于异常状态的概率为37/63×(1-perr);
对遭受随机型攻击的网络节点:
i)随机型攻击以pa的概率发起攻击,以1-pa的概率停止攻击,并以1-perr的概率被监管节点检测到其攻击行为;
ii)计算pij处于正常状态的概率为pa×perr+(1-pa)×(1-perr),处于黄色警告的概率为7/63×(pa×(1-perr)+(1-pa)×perr),处于红色警告的概率为19/63×(pa×(1-perr)+(1-pa)×perr),处于异常状态的概率为37/63×(pa×(1-perr)+(1-pa)×perr);
iii)图4描绘了遭受随机型攻击的网络节点行为规则状态机;
(4)收集一致度数据阶段
i)对每个受监节点状态的随机过程进行建模,其转换概率为pij,并用πj表示受监节点处于状态j的概率;
ii)对所有可能转移到状态j的过程进行累加,得出处于状态j的随机过程概率其中/>
iii)用cj刻画状态j的“等级”(与“安全”状态之间的距离),并计算受监节点的一致度
iv)创新并设计基于规则-权重和一致度的安全等级评估策略,并用于评估受监节点的一致度,如图5所示。其一般性模型包括m个状态和n个规则,当处于正常状态时,一致度为1;当处于异常状态时,用[0,1]区间的数据表示偏离程度。对所有规则进行累加,得到一致度表达式其中,γk表示规则k的权重,并满足/>Djk表示行为数据bjk偏离安全状态的距离;Dmax(Rk)表示对于Rk(规则k),所有可能的异常状态偏离正常状态的最大距离。综合起来,受监节点的一致度为/>
(5)拟合一致度分布阶段
i)利用服从贝塔分布的随机变量X~Beta(α,β)刻画受监节点的一致度,其概率密度为(其中Γ(·)表示伽马函数);
ii)X的累积分布函数F(X)和数学期望EB[X]如下:
iii)对收集的所有的一致度历史数据(c1,…,cn)进行训练,并基于最大似然估计法,通过求解以下微分方程组估算出α和β的数值:
其中
iv)采用工程通用做法,令α=1,得到单参数分布Beta(1,β)。对应的概率密度为f(x;β)=β(1-x)β-1,计算出β的估算值为:
(6)内部攻击检测阶段
1)计算取伪率和弃真率
i)记CT为一致度的下限阈值;
ii)如果异常节点的一致度(记为事件Xb,具有累积分布函数超过CT,那么取伪事件发生,即pfn=Pr{Xb>CT}=1-F(CT);
iii)如果正常节点的一致度(记为事件Xg,具有累积分布函数小于CT,那么弃真事件发生,即pfp=Pr{Xg≤CT}=F(CT);
2)识别内部攻击
根据贝叶斯后验推理识别内部攻击;
(7)效应分析阶段
1)蒙特卡洛仿真模拟
搭建蒙特卡洛仿真平台,针对正常和异常(遭受鲁莽型攻击和随机型攻击)状态,产生大量重复性、连续性的符合节点概率分布及状态转换规律的随机样本及状态机,并通过收集网络节点一致度的历史数据(c1,…,cn),验证本发明内部攻击监测方法的有效性。仿真实验表明,本发明所设计的内部攻击检测方法是可行的。
仿真结果为系统管理员和工程师提供了参数设定的参考指南。例如,对照表5的实验结果,可根据不同的环境条件和攻击类型灵活选择最小的CT以动态性满足不同的pfn和pfp要求(达到可接受pfn的最小pfp)。
表5给定perr,pa和攻击类型,不同pfn和pfp要求对应的CT设定
2)真实数据检验模块
表6参数设置
| 参数 | 值 | 参数说明 |
| perr | 0.001 | 系统扰动引起的误判率 |
| α1 | 0.8℃ | 瞬时值阈值 |
| α2 | 0.5℃ | 均值阈值 |
| α3 | 0.6℃ | 方差阈值 |
| γ1 | 60% | 规则1权重 |
| γ2 | 20% | 规则2权重 |
| γ3 | 20% | 规则3权重 |
| a1 | 20% | 规则1正常状态上限 |
| a2 | 35% | 规则1黄色警告上限 |
| a3 | 50% | 规则1红色警告上限 |
| b1 | 20% | 规则2正常状态上限 |
| b2 | 35% | 规则2黄色警告上限 |
| b3 | 50% | 规则2红色警告上限 |
| c1 | 20% | 规则3正常状态上限 |
| c2 | 35% | 规则3黄色警告上限 |
| c3 | 50% | 规则3红色警告上限 |
选取智能家居实际应用场景,收集了8352户家庭的真实数据,将智能家居网络节点汇报的舒适度性能指标数据作为测试样本。基于本发明提出的内部攻击检测方法,对相关参数进行设置,如表6所示,将所设计的节点行为规则库作为内部攻击检测的标准。真实数据验证表明,本发明所设计的内部攻击检测方法是高效的。
(8)性能比对与系统优化阶段
基于真实数据验证,将本发明设计的内部攻击检测方法与当前主流的同类检测方法进行比较。主流检测方法均基于距离型(如哈明、欧几里得、曼哈顿、列文斯坦等)评估策略,且均未考虑每个规则的权重。由于网络节点行为异构性与多样性的自然属性,检测效率不够高效。通过相关比较表明,本发明提出的基于规则权重和一致度的评估策略,其内部攻击检测效率明显高于现有相关技术。
本发明通过对规则权重、正常/异常节点区分阈值等相关配置参数进行调节与优化,检测方法具有简易、灵活、准确的特性。
针对CPS系统中网络节点的行为特性,基于“少数服从多数、状态跟踪与证据收集、历史回溯与逻辑推理、数值分析与趋势研判、短期与长期相结合”等理论基础和经验启发,建立了3族规则库,合理和准确刻画了CPS系统网络节点的行为规范,并用于内部攻击检测;
针对CPS系统网络节点行为的异构性与多样性自然属性,充分考虑到各规则对受监节点一致性程度的评价具有不同的影响度和支配性,创新了一种基于规则权重和节点一致度的评估策略,显著提升了传统的基于距离评价策略的检测效率;
区别于现有技术,该发明基于真实数据对设计的内部攻击检测方法进行效率分析及性能调优;本发明同时给出了相关参数配置指南,方便系统管理员及工程师快速选择、配置和适用CPS系统内部攻击检测机制;
因为对内部攻击行为的检测涉及到长期行为建模和深度数据分析,因此,该发明特别关注统计学特征(节点一致度的数学期望),以权衡内部攻击检测方法的取伪率和弃真率。针对不同应用环境下的多参数设定方法,本发明同时给出了不同应用需求的参数配置指南。
Claims (4)
1.CPS系统中基于加权规则与一致度的内部攻击检测方法,其特征在于该方法基于CPS系统应用场景,由可信权威负责管理整个系统;由控制中心负责对系统全局数据进行收集、集成,并对系统运行状态进行集中监控、分析和决策;由网关负责对CPS系统各自治区域网络节点的数据进行聚合,并将各节点的汇报数据转发给控制中心;
由CPS系统感知端的带有传感器的n个网络节点N={N1,N2,…,Nn}或用户U={U1,U2,…,Un}负责实时采集并周期性汇报用户数据,每个网络节点既作为受监节点周期性汇报自身的实时数据,又作为邻居节点对相邻节点汇报数据进行监控,具体步骤如下:
(1)网络节点数据汇报阶段
在各数据汇报时间节点tγ,各网络节点通过公钥密码算法对汇报数据进行密码学处理;
1)将实时数据按照汇报规范进行转换与封装;
2)选用合适的公钥密码算法对汇报数据进行密码学安全处理,以抵抗外部攻击;
3)将转换后的汇报数据通过网关聚合与中继,转发至控制中心;
(2)识别行为规则阶段
控制中心接受到各网络节点的汇报数据后,执行以下操作:
1)解密并验证数字签名的正确性;
2)构建三个行为规则用于检测潜在的恶意网络节点;
(3)根据规则生成状态机阶段
1)识别攻击行为指标
依据违反网络节点的三个行为规则,分别识别出三个攻击行为指标:
i)第一个行为指标刻画被控对象的多个相邻节点连同控制中心观察到受监节点的瞬时汇报值超过了某个阈值;
ii)第二个行为指标刻画被控对象的多个相邻节点连同控制中心观察到受监节点的汇报数据平均值超过了某个阈值;
iii)第三个行为指标刻画被控对象的多个相邻节点连同控制中心观察到受监节点的汇报数据方差超过了某个阈值;
2)用连接范式表示攻击行为指标
连接范式表示的攻击行为指标:
攻击行为编号1:
攻击行为编号2:
攻击行为编号3:
i)w表示受监节点邻居节点个数的最大值;
ii)xi和x(i,1),…,x(i,w)分别表示网络节点i汇报值的瞬时值与其w个邻居节点相应的监测值;
iii)μi和μ(i,1),…,μ(i,w)分别表示网络节点i汇报值的均值与其w个邻居节点相应的监测值;
iv)σi和σ(i,1),…,σ(i,w)分别表示网络节点i汇报值的方差与其w个邻居节点相应的监测值;
3)用析取范式合并谓词
4)确定状态组件和取值范围
i)将状态组件的连续数据量化为取值范围内对应的整数;
ii)实际应用中,网络节点监控指标的取值范围在[-10,10]内,由此产生的自动机有(21w+1)3≈6.81*1019个状态,假设w=4,即每个网络节点平均有4个相邻节点;
iii)直接量化模式下,状态组件所生成的自动机规模太大,下面将对状态空间进行进一步规约;
5)优化状态空间
通过减少状态组件的取值,减小状态机的规模,并对状态数进行优化:
i)对于三个状态组件,每个规则只考虑四种状态:安全/正常、黄色警告、红色警告和不安全/异常;
ii)对每个规则进行进一步转换,对第1条规则,通过计算比率β1=α/w来进行优化,其中α是观察到网络节点i瞬时汇报数据异常|xi-x(i,j)|>α1,j=1,…,w的所有邻居节点的数目;对第2条规则和第3条规则进行类似的优化;
iii)产生具有64种状态的压缩状态机,其中只有1个安全状态,26个是警告状态,包括7个黄色警告和19个红色警告,37个是不安全/异常状态;
6)创建行为规则状态机
i)对所有状态进行编号:1,…,64;
ii)对状态机中的每对(i,j)赋值pij,其表示从状态i转移到状态j的概率;
iii)考虑偶然的环境噪音、系统扰动和通信故障等因素,用perr来刻画和仿真监测节点误判受监节点真实状态的出错概率;
对初始为正常状态的网络节点:
i)计算pij处于正常状态的概率为1-perr,处于黄色警告的概率为perr×7/63,处于红色警告的概率为perr×19/63,处于异常状态的概率为perr×37/63;
ii)描绘正常网络节点的行为规则状态机;
对遭受鲁莽型攻击的网络节点:
i)节点会一直处于异常或警告状态,但是,由于环境噪音或通信故障,监管节点偶尔会误判为处于安全状态;
ii)计算pij处于正常状态的概率为perr,处于黄色警告的概率为7/63×(1-perr),处于红色警告的概率为19/63×(1-perr),处于异常状态的概率为37/63×(1-perr);
对遭受随机型攻击的网络节点:
i)随机型攻击以pa的概率发起攻击,以1-pa的概率停止攻击,并以1-perr的概率被监管节点检测到其攻击行为;
ii)计算pij处于正常状态的概率为pa×perr+(1-pa)×(1-perr),处于黄色警告的概率为7/63×(pa×(1-perr)+(1-pa)×perr),处于红色警告的概率为19/63×(pa×(1-perr)+(1-pa)×perr),处于异常状态的概率为37/63×(pa×(1-perr)+(1-pa)×perr);
iii)描绘遭受随机型攻击的网络节点行为规则状态机;
(4)收集一致度数据阶段
i)对每个受监节点状态的随机过程进行建模,其转换概率为pij,并用πj表示受监节点处于状态j的概率;
ii)对所有可能转移到状态j的过程进行累加,得出处于状态j的随机过程概率其中/>
iii)用cj刻画状态j的“等级”即与“安全”状态之间的距离,并计算受监节点的一致度
iv)设计基于规则-权重和一致度的安全等级评估策略,并用于评估受监节点的一致度,其一般性模型包括m个状态和n个规则,当处于正常状态时,一致度为1;当处于异常状态时,用[0,1]区间的数据表示偏离程度。对所有规则进行累加,得到一致度表达式 其中,γk表示规则k的权重,并满足/>Djk表示行为数据bjk偏离安全状态的距离;Dmax(Rk)表示对于Rk即规则k,所有可能的异常状态偏离正常状态的最大距离,综合起来,受监节点的一致度为/>
(5)拟合一致度分布阶段
i)利用服从贝塔分布的随机变量X~Beta(α,β)刻画受监节点的一致度,其概率密度为其中Γ(·)表示伽马函数;
ii)X的累积分布函数F(X)和数学期望EB[X]如下:
iii)对收集的所有的一致度历史数据(c1,…,cn)进行训练,并基于最大似然估计法,通过求解以下微分方程组估算出α和β的数值:
其中
iv)采用工程通用做法,令α=1,得到单参数分布Beta(1,β)。对应的概率密度为f(x;β)=β(1-x)β-1,计算出β的估算值为:
(6)内部攻击检测阶段
1)计算取伪率和弃真率
i)记CT为一致度的下限阈值;
ii)如果异常节点的一致度,记为事件Xb,具有累积分布函数超过CT,那么取伪事件发生,即pfn=Pr{Xb>CT}=1-F(CT);
iii)如果正常节点的一致度,记为事件Xg,具有累积分布函数小于CT,那么弃真事件发生,即pfp=Pr{Xg≤CT}=F(CT);
2)识别内部攻击
根据贝叶斯后验推理识别内部攻击。
2.如权利要求1所述的CPS系统中基于加权规则与一致度的内部攻击检测方法,其特征在于步骤(1)中公钥密码算法采用加密、数字签名的方式。
3.如权利要求1所述的CPS系统中基于加权规则与一致度的内部攻击检测方法,其特征在于步骤(1)中将实时数据按照汇报规范进行转换是指将浮点数放大到对应的整数。
4.如权利要求1所述的CPS系统中基于加权规则与一致度的内部攻击检测方法,其特征在于步骤(1)中合适的公钥密码算法是指使用Elliptic-Curve-ElGamal加密算法,以及ECDSA椭圆曲线数字签名算法对汇报数据进行密码学安全处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910117327.XA CN109861825B (zh) | 2019-02-15 | 2019-02-15 | Cps系统中基于加权规则与一致度的内部攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910117327.XA CN109861825B (zh) | 2019-02-15 | 2019-02-15 | Cps系统中基于加权规则与一致度的内部攻击检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109861825A CN109861825A (zh) | 2019-06-07 |
| CN109861825B true CN109861825B (zh) | 2023-10-27 |
Family
ID=66897988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910117327.XA Active CN109861825B (zh) | 2019-02-15 | 2019-02-15 | Cps系统中基于加权规则与一致度的内部攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109861825B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111182001A (zh) * | 2020-02-11 | 2020-05-19 | 深圳大学 | 基于卷积神经网络的分布式网络恶意攻击检测系统及方法 |
| CN111314934B (zh) * | 2020-02-14 | 2021-08-10 | 西北工业大学 | 一种统一最优判决的网络协同探测方法 |
| CN115051872B (zh) * | 2022-06-30 | 2023-03-17 | 苏州科技大学 | 基于互联cps考虑攻击信号和未知扰动的攻击检测方法 |
| CN117774007B (zh) * | 2024-02-27 | 2024-04-23 | 天津润华科技有限公司 | 基于图像处理的物流转运机器人工作异常检测方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
| US10417425B2 (en) * | 2016-06-13 | 2019-09-17 | The Trustees Of Columbia University In The City Of New York | Secured cyber-physical systems |
-
2019
- 2019-02-15 CN CN201910117327.XA patent/CN109861825B/zh active Active
Non-Patent Citations (1)
| Title |
|---|
| 刘扬 ; 方圆 ; 孙鸿 ; 刘烃 ; .基于物理-信息模糊推理的智能电网攻击检测方法.中国科技论文.2016,(14),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109861825A (zh) | 2019-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109861825B (zh) | Cps系统中基于加权规则与一致度的内部攻击检测方法 | |
| Shitharth | An enhanced optimization based algorithm for intrusion detection in SCADA network | |
| Ashok et al. | Online detection of stealthy false data injection attacks in power system state estimation | |
| CN102802158B (zh) | 基于信任评估的无线传感器网络异常检测方法 | |
| Suaboot et al. | A taxonomy of supervised learning for idss in scada environments | |
| Shirazi et al. | Evaluation of anomaly detection techniques for scada communication resilience | |
| CN104539626A (zh) | 一种基于多源报警日志的网络攻击场景生成方法 | |
| CN107517216A (zh) | 一种网络安全事件关联方法 | |
| Tertytchny et al. | Classifying network abnormalities into faults and attacks in IoT-based cyber physical systems using machine learning | |
| Kosek et al. | Ensemble regression model-based anomaly detection for cyber-physical intrusion detection in smart grids | |
| CN105868629B (zh) | 一种适用于电力信息物理系统的安全威胁态势评估方法 | |
| CN104899513B (zh) | 一种工业控制系统恶意数据攻击的数据图检测方法 | |
| Chaudhary et al. | Analysis of fuzzy logic based intrusion detection systems in mobile ad hoc networks | |
| CN115086089B (zh) | 一种用于网络安全评估预测的方法及系统 | |
| CN108111463A (zh) | 基于平均值和标准差的多维度基线自学习和异常行为分析 | |
| US20150205856A1 (en) | Dynamic brownian motion with density superposition for abnormality detection | |
| Naderi et al. | Toward detecting cyberattacks targeting modern power grids: A deep learning framework | |
| Patil et al. | A machine learning approach to distinguish faults and cyberattacks in smart buildings | |
| He et al. | Detection of false data injection attacks leading to line congestions using Neural networks | |
| Li et al. | An online approach to covert attack detection and identification in power systems | |
| Mboweni et al. | A machine learning approach to intrusion detection in water distribution systems–A review | |
| CN112437440A (zh) | 无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法 | |
| Tian et al. | Codesign of fdi attacks detection, isolation, and mitigation for complex microgrid systems: An hbf-nn-based approach | |
| CN101834847A (zh) | 基于多移动代理和数据挖掘技术的网络入侵防御系统 | |
| CN116956148A (zh) | 一种电力系统数据交互安全威胁信息分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |