CN110011969B - 基于信任评价机制的分布式检测数据错误化攻击防御方法 - Google Patents

Abstract

本发明公开了一种基于信任评价机制的分布式检测数据错误化攻击防御方法。现有防御方法受诸多条件限制，无法保证分布式系统收敛性和收敛精度。本发明根据分布式系统中节点状态更新规则以及邻居节点信息，可得状态约束范围。通过观察邻居节点状态是否在约束范围内评估其信任度。本发明方法首先感知目标获得测量数据，检测邻居节点异常行为，评估邻居节点信任度，识别邻居节点身份，调节融合权重，执行一致性算法更新节点状态以及添加补偿数据。仅利用本地和单跳邻居提供的数据评估信任度，从而识别并隔离恶意节点，此外还通过恢复机制抵消恶意节点注入的错误数据。本发明方法具有计算复杂度低，无需网络全局信息，能保障收敛精度等优点。

Description

基于信任评价机制的分布式检测数据错误化攻击防御方法

技术领域

本发明属于分布式信息处理领域，具体是分布式信息处理中的分布式检测领域，涉及一种基于信任评价机制的分布式检测数据错误化攻击防御方法。

背景技术

分布式检测是分布式信息处理的重要应用之一。分布式检测是指分布式网络中的传感器节点以协作的方式完成检测任务：节点首先感知目标获得测量数据，然后彼此间交换数据并通过共识协议进行数据融合，最后判断目标是否在感兴趣区域内。分布式检测提高了系统整体的检测准确度和检测效率。

但由于分布式系统开放的特性，传感器节点容易受到攻击而变成恶意节点。数据错误化攻击是其中一种典型的攻击方式。发起数据错误化攻击的恶意节点会在数据融合过程中注入错误数据。由于分布式网络的连通性，注入的错误数据会通过节点间的数据交换扩散到整个网络，从而导致分布式系统收敛于错误结果甚至无法收敛。

现有的数据错误化攻击的防御方法主要有：状态重构法、集合值观测法、局部滤波法、移动节点检测法等。状态重构法是指节点根据系统模型参数和收到的所有历史数据回溯分布式系统状态，这种方法需要知道网络全局信息，且对网络拓扑有特殊要求。集合值观测法是指通过判断攻击检测滤波器的可行状态集合是否为空集从而判断系统中是否有攻击者，这种方法需要已知全局网络拓扑结构，且计算开销大。局部滤波法指其中节点在状态更新过程中忽略其邻居节点提供的数据中的极端值，这种方法准确度不高。移动节点检测法是指通过在网络中额外加入移动节点作为检测器，在分布式网络中随机游走以检测通信范围内的恶意节点，这种方法会增加系统成本。

上述防御方法在实际应用时面临诸多限制：节点本地信息受限，让每个节点获取网络全局信息既不现实也不安全；节点资源受限，每个节点的计算能力、存储空间、电池能量等资源是有限的；网络拓扑结构不确定，实际网络拓扑结构未必能达到上述检测方法的要求。且上述防御方法都只是检测出有无攻击者或识别出恶意节点，但是曾经注入的错误数据仍有所残留，导致收敛结果与真实收敛结果存在偏差。因此亟需设计一种防御方法不但能识别出恶意节点并隔离，还能去除之前注入的错误数据，以抵抗数据错误化攻击的影响，保证系统检测性能。

发明内容

本发明的目的是针对随机或人为注入错误数据影响分布式系统检测性能的问题，提供一种基于信任评价机制的分布式检测数据错误化攻击防御方法，用于识别出注入错误数据的恶意节点，同时保证分布式检测系统的收敛性和收敛精度。

为了实现上述目的，本发明方法包括以下步骤：

步骤1.传感器节点感知目标信号，得到测量数据；具体如下：

分布式检测系统中有N个传感器节点，各个传感器节点对目标信号进行感知，在第t次采样时，节点i感知到的信号为：

其中i＝1,2,…,N，s(t)为目标信号第t次采样值，h_i为目标与节点i间的信道增益；n_i(t)为节点i的本地观测噪声，假设噪声是均值为0，方差为

的加性高斯白噪声；

和

分别表示目标不存在的假设和存在的假设；

经过M次采样后，得到测量数据

令节点i的初始状态值为x_i(0)＝y_i。

步骤2.相邻传感器节点间交换状态数据，具体如下：

若为初始步数，即k＝0，节点i仅要求其邻居节点j提供初始状态值x_j(0)；

若为非初始步数，即k≥1，节点i除了要求其邻居节点j提供当前第k步状态值x_j(k)之外，还需提供前一步(第k-1步)节点j本身与其邻居节点中的最大状态值

和最大值对应节点编号j_M，以及最小状态值

和最小值对应节点编号j_m。

步骤3.节点根据接收的状态数据，判断其邻居节点是否有异常行为，具体如下：

若为初始步数，跳过步骤3；

若为非初始步数，各节点将根据其邻居节点的状态值是否在约束范围内，判断该邻居节点是否行为异常：若在约束范围内，则此时节点i判定其邻居节点j行为正常，记检测结果为I_ij(k)＝1；若不在约束范围内，则此时节点i判定其邻居节点j行为异常，记检测结果为I_ij(k)＝0；判别准则为：

步骤4.节点根据其邻居节点行为检测结果评估邻居节点信任度，具体过程如下：

4-1.更新节点正常行为累积记录和异常行为累积记录：

若为初始步数，令正常行为和异常行为初始记录值分别为

和ζ_ij(0)＝0；

若为非初始步数，各节点更新其邻居节点异常行为或正常行为记录值；节点i对其邻居节点j的正常行为累积记录值

和异常行为累积记录值ζ_ij(k)的更新式分别为：

其中ρ₁、ρ₂为遗忘因子，用于调节当前检测结果与历史检测结果的比重；

4-2.节点评估其邻居节点的信任度：

各节点根据邻居节点异常行为或正常行为记录，更新节点本地信任管理器中的邻居节点信任度；节点i对其邻居节点j的信任评估结果为：

信任度c_ij(k)∈[0,1]；信任度越高，则此时节点i认为节点j是正常节点的可能性越高；反之，信任度越小，则此时节点i认为节点j是恶意节点的可能性越高。

步骤5.节点根据信誉度识别其邻居节点身份，具体过程如下：

5-1.基于滑动时间窗动态更新节点信誉度：

假设滑动窗口的大小为Ω，滑动步长为1；选取与当前步数最近的Ω组连续记录的信任度数据来描述当前时刻的信誉度；每产生一个新的信任度数据，若滑动窗口已满，则最先加入滑动窗口的旧数据被删除，滑动窗口随之更新一次；若滑动窗口未满，则新加入的数据添加到滑动窗口尾部；节点i对其邻居节点j的信誉度更新方式为：

5-2.识别邻居节点身份：

各节点根据更新后的信誉度判别其邻居节点身份；如果信誉度的值低于异常阈值c_L，则该邻居节点被识别为恶意节点；如果信誉度高于正常阈值c_H，则该邻居节点被识别为正常节点；如果信誉度大于等于异常阈值c_L、小于等于正常阈值c_H，则该邻居节点被识别为可疑节点，其身份有待继续观察，0.5≤c_L＜c_H＜1；节点i识别其邻居节点j身份的准则为：

其中，集合

分别为当前第k步节点i识别出的正常邻居节点集合、可疑邻居节点集合、恶意邻居节点集合，它们都是节点i邻居节点集合

的子集，即

步骤6.节点调节融合权重并更新本地状态，具体过程如下：

6-1.调节可疑节点融合权重：

根据识别结果，各节点对其邻居节点中可疑节点的融合权重进行调节；节点i将其可疑邻居节点j的权重衰减因子设置为：

其中权重衰减因子b_ij(k)∈[0,1]；对于节点i的正常邻居节点j，相当于b_ij(k)＝1；对于节点i的恶意邻居节点j，相当于b_ij(k)＝0；

6-2.执行一致性算法更新节点状态：

各节点执行一致性算法更新本地状态；正常邻居节点照常融合，可疑邻居节点融合权重被下调，恶意邻居节点被隔离；节点i状态更新过程为：

其中ε为迭代步长，且满足0＜ε＜min(w_i/d_i)，w_i为节点i的原始融合权重，d_i为节点i的邻居节点个数，u_i(k)为节点i在融合过程中注入的错误数据；若节点i是正常节点，u_i(k)＝0；若节点i是恶意节点，u_i(k)≠0。

步骤7.识别出恶意节点后添加补偿数据，具体如下：

假设节点在第k₀步首次检测出有周围有可疑节点，并从此开始记录该可疑节点的历史数据；若在第k步，该可疑节点被判为恶意节点，则立即将其隔离，并且正常节点间达成共识，由恶意节点j的正常邻居节点i输入补偿数据v_i(k)，表达式为：

其中

即节点j是在k步被识别出的恶意节点。

步骤8.判断各节点状态是否达到稳定值以及一致性算法迭代步数是否达到上限：若节点状态没有稳定且迭代步数k小于上限K，则继续执行步骤2～7；若节点状态稳定或迭代步数k达到上限K，则结束。

本发明根据分布式系统中节点状态更新规则以及邻居节点提供的数据，确定状态约束条件，通过观察邻居节点状态是否在约束范围内评估其信任度，从而调节融合权重，防御数据错误化攻击。与已有的防御方法相比，具有如下优点：

(1)现有防御方法大多需要网络全局信息，而本发明所提方法仅需相距一跳的邻居节点提供的信息，无需全局信息。

(2)现有防御方法都仅做到了检测出网络中有无攻击者或识别出有攻击行为的恶意节点，但是曾经注入的错误数据仍在网络中有所残留，即使找到并剔除，最后收敛结果与真实收敛结果也存在一定偏差。而本发明所提方法根据识别出的恶意节点的历史信息，可以近似恢复真实收敛结果，保障收敛精度。

附图说明

图1为本发明实施例中的系统模型示意图。

图2为本发明方法的流程图。

具体实施方式

以下结合附图并举实施例对本发明作进一步详细说明。

如图1所示，在分布式检测系统中，多个传感器节点随机地分布在某个区域内对目标进行检测。待检测目标如图1中星形所示，节点如图1中圆形所示。系统中部署N个传感器节点(本实例中N＝10)，其中有N₁个恶意节点(本实例中N₁＝3)，如图1中虚线圆所示。

如图2所示，本实例具体通过以下步骤实现：

步骤1.传感器节点感知目标信号得到测量数据。采样M(本实例中M＝20)次后，N个节点感知目标信号得到的本地测量数据分别为y₁,y₂,...,y_N，令节点i的初始状态值为x_i(0)＝y_i。

步骤2.相邻传感器节点间交换状态数据。当步数k＝0时，节点间仅需交换初始状态值，即节点i仅需其邻居节点j的初始状态值x_j(0)。当步数k≥1时，节点间除了要交换状态值还要交换最值，即节点i需其邻居节点j当前状态值x_j(k)，还需第k-1步节点j本身与其邻居节点中的最大状态值

和最大值对应节点编号j_M，以及最小状态值

和最小值对应节点编号j_m。

步骤3.节点根据接收的状态数据判断其邻居节点是否有异常行为。当步数k＝0时，跳过此步骤。当步数k≥1时，节点i根据最值信息得到其邻居节点j的状态约束范围为

若邻居节点j的状态值x_j(k)满足

则行为正常，检测结果I_ij(k)＝1，否则行为异常，检测结果I_ij(k)＝0。

步骤4.节点根据其邻居节点行为检测结果评估邻居节点信任度。当步数k＝0时，令节点i的其邻居节点j的正常行为记录

和异常行为记录ζ_ij(k)的初始值均为0。当步数k≥1时，根据邻居节点的历史记录与当前检测结果更新

和ζ_ij(k)：

其中异常因子ρ₁、ρ₂用于调节当前检测结果与历史检测结果的比重，由于重点关注节点异常行为，因此0＜ρ₁≤ρ₂≤1(本实例中取ρ₁＝0.98、ρ₂＝1)。

各节点根据邻居节点异常行为或正常行为记录，更新节点本地信任管理器中邻居节点的信任度，在当前k步节点i对其邻居节点j的信任度为：

信任度满足c_ij(k)∈[0,1]。信任度越高，则此时节点i认为节点j是正常节点的可能性越高。反之，信任值越小，则此时节点i认为节点j是恶意节点的可能性越高。各节点的初始信任度默认为0.5。

步骤5.节点根据信誉度识别其邻居节点身份。采用滑动时间窗动态更新节点信誉度，假设滑动窗口的大小为Ω＝10，节点i对其邻居节点j的信誉度更新结果为：

根据更新后的信誉度判别其邻居节点身份，节点i识别其邻居节点j身份的准则如下：

其中，集合

分别为此时节点i识别出的正常邻居节点集合、可疑邻居节点集合、恶意邻居节点集合；c_H和c_L分别为正常阈值和异常阈值,有0.5≤c_L＜c_H＜1(本实例中取c_H＝0.75、c_L＝0.5)。

步骤6.节点调节融合权重并更新本地状态。根据识别结果，节点i计算其可疑邻居节点j的权重衰减因子为：

其中衰减因子b_ij(k)∈[0,1]。对于节点i的正常邻居节点j，相当于b_ij(k)＝1；对于节点i的恶意邻居节点j，相当于b_ij(k)＝0。

各节点执行一致性算法更新本地状态。正常邻居节点照常融合，可疑邻居节点融合权重被下调，恶意邻居节点被隔离。节点i状态更新过程为：

假设节点等比例融合，即w_i＝0.1，对于图1的拓扑结构，节点至多有4个邻居节点，则迭代步长0＜ε＜0.025(本实例中取ε＝0.01)，u_i(k)为节点i在融合过程中注入的错误数据。对于图1中的正常节点，i＝1,2,...,7，u_i(k)＝0；对于图1中的恶意节点，i＝8,9,10，u_i(k)≠0。

步骤7.识别出恶意节点后添加补偿数据。假设节点在第k₀步首次检测出有周围有可疑节点，并从此开始记录该可疑节点的历史数据；若在第k步，该可疑节点被判为恶意节点，则立即将其隔离，并且正常节点间达成共识，由恶意节点j的正常邻居节点i输入补偿量v_i(k)，表达式为：

其中

即节点j是在k步被识别出的恶意节点。

步骤8.重复执行步骤二至步骤七，直至各节点状态稳定或者步数k达到上限K(本实例中取K＝100)。

上述实施例所述的内容仅仅是对本发明实现形式的列举，本发明的保护范围不应限于实施例所陈述的具体形式，本发明的保护范围也应包含在本发明基础上所构思的同类发明方法。

Claims (2)

1.基于信任评价机制的分布式检测数据错误化攻击防御方法，其特征在于该方法包含以下步骤：

步骤(1).传感器节点感知目标信号，得到测量数据；具体如下：

分布式检测系统中有N个传感器节点，各个传感器节点对目标信号进行感知，在第t次采样时，节点i感知到的信号为：

其中i＝1,2,…,N，s(t)为目标信号第t次采样值，h_i为目标与节点i间的信道增益；n_i(t)为节点i的本地观测噪声，假设噪声是均值为0，方差为

的加性高斯白噪声；

和

分别表示目标不存在的假设和存在的假设；经过M次采样后，得到测量数据

令节点i的初始状态值为x_i(0)＝y_i；

步骤(2).相邻传感器节点间交换状态数据，具体如下：

若为初始步数，即k＝0，节点i仅要求其邻居节点j提供初始状态值x_j(0)；

若为非初始步数，即k≥1，节点i除了要求其邻居节点j提供当前第k步状态值x_j(k)之外，还需提供前一步节点j本身与其邻居节点中的最大状态值x_jM(k-1)和最大值对应节点编号j_M，以及最小状态值x_jm(k-1)和最小值对应节点编号j_m；

步骤(3).节点根据接收的状态数据，判断其邻居节点是否有异常行为，具体如下：

若为初始步数，跳过步骤(3)；

若为非初始步数，各节点将根据其邻居节点的状态值是否在约束范围内，判断该邻居节点是否行为异常：若在约束范围内，则此时节点i判定其邻居节点j行为正常，记检测结果为I_ij(k)＝1；若不在约束范围内，则此时节点i判定其邻居节点j行为异常，记检测结果为I_ij(k)＝0；判别准则为：

步骤(4).节点根据其邻居节点行为检测结果评估邻居节点信任度，具体过程如下：

(4-1).更新节点正常行为累积记录和异常行为累积记录：

若为初始步数，令正常行为和异常行为初始记录值分别为

和ζ_ij(0)＝0；

若为非初始步数，各节点更新其邻居节点异常行为或正常行为记录值；节点i对其邻居节点j的正常行为累积记录值

和异常行为累积记录值ζ_ij(k)的更新式分别为：

其中ρ₁、ρ₂为遗忘因子，用于调节当前检测结果与历史检测结果的比重；

(4-2).节点评估其邻居节点的信任度：

各节点根据邻居节点异常行为或正常行为记录，更新节点本地信任管理器中的邻居节点信任度；节点i对其邻居节点j的信任评估结果为：

信任度c_ij(k)∈[0,1]；信任度越高，则此时节点i认为节点j是正常节点的可能性越高；反之，信任度越小，则此时节点i认为节点j是恶意节点的可能性越高；

步骤(5).节点根据信誉度识别其邻居节点身份，具体过程如下：

(5-1).基于滑动时间窗动态更新节点信誉度：

假设滑动窗口的大小为Ω，滑动步长为1；选取与当前步数最近的Ω组连续记录的信任度数据来描述当前时刻的信誉度；每产生一个新的信任度数据，若滑动窗口已满，则最先加入滑动窗口的旧数据被删除，滑动窗口随之更新一次；若滑动窗口未满，则新加入的数据添加到滑动窗口尾部；节点i对其邻居节点j的信誉度更新方式为：

(5-2).识别邻居节点身份：

各节点根据更新后的信誉度判别其邻居节点身份；如果信誉度的值低于异常阈值c_L，则该邻居节点被识别为恶意节点；如果信誉度高于正常阈值c_H，则该邻居节点被识别为正常节点；如果信誉度大于等于异常阈值c_L、小于等于正常阈值c_H，则该邻居节点被识别为可疑节点，其身份有待继续观察，c_L＜c_H；

节点i识别其邻居节点j身份的准则为：

其中，集合

分别为当前第k步节点i识别出的正常邻居节点集合、可疑邻居节点集合、恶意邻居节点集合，它们都是节点i邻居节点集合

的子集，即

步骤(6).节点调节融合权重并更新本地状态，具体过程如下：

(6-1).调节可疑节点融合权重：

根据识别结果，各节点对其邻居节点中可疑节点的融合权重进行调节；节点i将其可疑邻居节点j的权重衰减因子设置为：

其中权重衰减因子b_ij(k)∈[0,1]；对于节点i的正常邻居节点j，相当于b_ij(k)＝1；对于节点i的恶意邻居节点j，相当于b_ij(k)＝0；

(6-2).执行一致性算法更新节点状态：

各节点执行一致性算法更新本地状态；正常邻居节点照常融合，可疑邻居节点融合权重被下调，恶意邻居节点被隔离；节点i状态更新过程为：

其中ε为迭代步长，且满足0＜ε＜min(w_i/d_i)，w_i为节点i的原始融合权重，d_i为节点i的邻居节点个数，u_i(k)为节点i在融合过程中注入的错误数据；若节点i是正常节点，u_i(k)＝0；若节点i是恶意节点，u_i(k)≠0；

步骤(7).识别出恶意节点后添加补偿数据，具体如下：

假设节点在第k₀步首次检测出周围有可疑节点，并从此开始记录该可疑节点的历史数据；若在第k步，该可疑节点被判为恶意节点，则立即将其隔离，并且正常节点间达成共识，由恶意节点j的正常邻居节点i输入补偿数据v_i(k)，表达式为：

其中

即节点j是在k步被识别出的恶意节点；

步骤(8).判断各节点状态是否达到稳定值以及一致性算法迭代步数是否达到上限：若节点状态没有稳定且迭代步数k小于上限K，则继续执行步骤(2)～(7)；若节点状态稳定或迭代步数k达到上限K，则结束。

2.如权利要求1所述的基于信任评价机制的分布式检测数据错误化攻击防御方法，其特征在于：c_L≥0.5，c_H＜1。

Images