CN110740127A - 一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法 - Google Patents

Abstract

一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法，包括以下步骤：第一步，查看网络化控制系统正常运行时的数据，同时确定服务器端与客户端的IP地址，编写Lua脚本，监听目标信道；第二步，通过系统辨识方法获取增益矩阵；第三步，编写篡改数据脚本，在上述的监听Lua脚本中继续添加数据处理内容，针对目标数据，实施偏差攻击；第四步，在基于递归最小二乘的自适应Kalman滤波方法上加入了滑动窗口，即采用改进的自适应卡尔曼滤波估计攻击注入的偏差值。本发明的通过网络入侵，篡改倒立摆系统的通讯数据，改变倒立摆的稳定位置；利用改进的自适应卡尔曼滤波，准确估计出注入的偏差攻击值。

Description

一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法

技术领域

本发明属于网络安全领域，涉及到一种偏差攻击方法、改进的自适应卡尔曼滤波方法和基于以太网的网络化倒立摆实验平台。

背景技术

网络化控制系统(Networked Control System，NCS)是控制技术、计算机网络与通讯技术的结合，通过网络形成闭环反馈的控制系统。随着科技的进步，NCS的应用越来越广泛，影响着人们的生活。例如：复杂的工业控制系统、军工系统、远程医疗、机器人遥感技术、智能车系统、移动传感器网络等。但是，随着NCS与外部网络的联系越来越密切，安全隐患也随之而来。由于传统的工业系统基于物理隔离，采用的是专用的工业通信协议、操作系统等，工业网络实现的功能较为单一，只关注功能的安全以及物理安全，没有着重关注信息传输的漏洞，部分设备甚至处于“裸奔”状态，攻击者容易侵入网络内部，监听工控系统中的通信数据，设计恶意攻击，破坏系统。

近些年，国际上出现了很多NCS攻击的大事件。伊朗“震网”病毒事件是第一次真正意义上的网络攻击，核心攻击原理是修改了离心机压力参数和转子转速的参数，使得设备功能瘫痪，无法正常运行，大大延迟了伊朗的核计划；马鲁基郡排水系统受攻击事件，前排水系统承包商使用膝上计算机控制了150个污水抽水站，当发现时，已有100万升污水排放到了雨水渠中，居民用水成为问题；2015年，乌克兰某些地区的电力系统遭受网络攻击，黑客攻击了电力公司的数据采集与监视控制(Supervisory Control And DataAcquisition，SCADA)系统，导致发电设备故障，引发大面积的停电，对人们生活造成极大影响；2018年，思科Talos研究小组发现Moxa EDR-810有17个漏洞，其中包括了许多严重的命令注入和拒绝服务(Denial of Server，DoS)漏洞；同年8月，台湾机体电路公司遭到“WannaCry”勒索病毒侵袭，3个厂区受到感染，造成重大的经济损失；

由上述的NCS攻击事件可知，如今的网络安全并不只是个人的信息安全，而是影响到社会，甚至是国家的安全。因此，网络安全受到研究人员的高度重视，攻防博弈拉开序幕，通过模拟攻击对网络安全进行自检，相应的，通过防御对安全态势进行评估。

就攻击方而言，在工控系统中，系统的稳定依赖于精确的数据，一旦数据遭受到篡改，会导致系统的稳态发生变化，甚至损坏系统。由于工控网络不提供安全机制，攻击者利用这些漏洞入侵网络内部，监听工控系统中的通信数据，发起不同类型的攻击，如：偏差攻击、几何攻击、浪涌攻击等。

就防御方而言，检测方法一般有控制学或统计学两个方向。从控制学的角度，通常有量测量残差、量测量突变法等；从统计学的角度，检测的原理就转换为区分虚假数据与正常数据的分类问题，通常有神经网络、KNN、支持向量机等。进一步地，基于递归最小二乘的自适应卡尔曼滤波方法能够较好的实现对攻击值的估计。

网络化倒立摆系统具有NCS的基本特点，对网络化倒立摆系统的攻击和防御估计是NCS攻防验证。在NCS安全问题的背景下，针对NCS攻击问题，本发明引入了Ettercap网络嗅探工具，以网络化倒立摆系统为平台，实施了偏差攻击，改变了系统的稳定状态，在仿真中，使用改进的自适应卡尔曼滤波方法估计出注入的偏差攻击值。

发明内容

为了更加深入了解NCS的攻击及估计方式，本发明提供了一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法，通过网络入侵，篡改倒立摆系统的通讯数据，改变倒立摆的稳定位置；通过仿真实验，利用改进的自适应卡尔曼滤波，估计出注入的偏差攻击值。

为达到上述效果，本发明采用的技术方案如下：

一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法，包括以下步骤：

步骤1，查看网络化控制系统正常运行时的数据，同时确定服务器端与客户端的IP地址；编写Lua脚本，监听目标信道：攻击者主机接入系统的局域网中，在Linux系统中编写Lua脚本，设置相应的过滤规则，设置处理截获数据包的程序，此处只观察系统的输入输出数据，只需显示数据即可，最后执行脚本；

步骤2，通过系统辨识方法获取增益矩阵：已知数据的传输格式情况下，对获取的数据进行预处理，通过系统辨识方法得到各个数据在系统中的权重，即获取增益矩阵K；

步骤3，编写篡改数据脚本：在上述的监听Lua脚本中继续添加数据处理内容，针对目标数据，实施偏差攻击，即在目标数据的基础上添加一个较小的非零常数，形式如下：

其中，y是系统正常运行时传输的数据，δ为较小的非零常数，t为实验时间，T是注入攻击的时刻，值得注意的是，Lua语言中的数值计算或数据类型转换会影响字符串的长度，需编写相应的处理函数，保证长度不变；然后，执行篡改数据的脚本；

步骤4，采用改进的自适应卡尔曼滤波估计攻击注入的偏差值。

进一步，所述步骤4中，改进的自适应卡尔曼滤波步骤如下：

4.1对于离散的线性时变系统，

其中，

表示系统的状态；表示系统的控制量输入；表示系统的量测；

是不相关的高斯白噪声，其协方差矩阵为

Φ(k)θ代表了执行器故障，由已知的矩阵序列和一个常量参数向量组成，此例中，Φ(k)＝-B(k)diag(u(k))；

4.2自适应卡尔曼滤波由初始步骤和递推步骤组成，如下：

4.2.1初始化协方差矩阵和辅助变量：

其中，

为预测状态误差协方差矩阵；

是辅助变量；

为注入攻击的估计值；

为状态向量的最优估计；I_p为p阶单位矩阵；

4.2.2递推步骤如下：

4.2.2.1首先，计算新息

4.2.2.2通过经典的卡尔曼滤波器，计算状态估计方程的协方差矩阵和卡尔曼增益：

其中，

为新息协方差矩阵；

为状态估计增益矩阵，即卡尔曼增益；

4.2.2.3通过遗忘因子λ以及这三个辅助变量计算参数估计增益矩阵

4.2.2.4计算参数估计

以及状态估计

4.3进一步地，在实际应用系统中，无法得知具体的过程噪声Q和量测噪声R，但是，上述的自适应卡尔曼滤波要求模型参数和噪声的先验知识，所以具有一定的局限性，而改进的自适应卡尔曼滤波是基于新息自适应估计，对观测噪声模型进行估计和修正；如下：

4.3.1若系统噪声和量测噪声服从不相关的高斯分布且新息序列满足各态遍历性时，可根据新息序列的滑动平均获得新息协方差的极大似然估计

其中，i₀＝k-M+1，M为滑动窗口的采样宽度，将

代替式中的Σ；

4.3.2基于新息协方差估计的滤波增益计算公式为

本发明的有益效果主要表现在：当NCS处于稳定状态时，攻击方入侵目标通信网络，实行偏差攻击篡改数据，改变系统的当前状态，一方面展现了NCS的脆弱性，另一方面针对NCS设计了攻击方案，为NCS的攻击研究提供了具体的实现方法；同时，提出了改进的自适应卡尔曼滤波方法，无需调整噪声矩阵R，准确估计出注入的偏差攻击值。

附图说明

图1是网络攻击流程图。

图2是网络化倒立摆平台示意图。

图3是系统正常运行数据展示图。

图4是设计的攻击示意图。

图5是各实验设备IP地址图。

图6是攻击者监听信道数据图，其中，(a)是控制量监听，(b)是状态信息监听。

图7是客户端传输数据结构图。

图8是攻击后服务器端与客户端采集数据图。

图9是改进的自适应卡尔曼滤波的流程图。

图10是攻击量测信息时，自适应卡尔曼滤波与改进的自适应卡尔曼滤波的对比图。

图11是攻击控制量信息时，自适应卡尔曼滤波与改进的自适应卡尔曼滤波的对比图。

具体实施方式

为了使本发明的技术方案、设计思路能更加清晰，下面结合附图再进行详尽的描述。

参照图1～图11，一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法，包括以下步骤：

步骤1：查看系统正常运行数据。实验平台为固高公司出品的直线一级倒立摆，加入网络模块后，如图2所，服务器端与倒立摆系统相连，负责采集倒立摆的当前状态信息，如：小车位置和速度、摆杆角度和角速度，并将数据发送至客户端；客户端接收后，依据基于线性二次型调节器(linear quadratic regulator，LQR)的控制方法，计算出对应的控制量，转发至服务器；服务器根据控制量，调节倒立摆，整个系统处于由网线、路由器等连接形成的局域网中，通过TCP/IP协议通讯，端口号设置为8088，为方便加入网络攻击，采样周期设置为T＝0.015s；

倒立摆的状态空间模型为：

其中x为小车位移，为小车速度；θ为摆杆的角度，

为摆杆的角速度，

使用的LQR控制方法，选取Q_lqr、R_lqr值为

通过MATLAB计算得K＝[-5.4772 -5.7628 37.7210 7.2268]，网络化倒立摆系统正常运行时，各项数据如图3所示，小车位置最终稳定在0.01m附近，其余各项数据都趋于0，处于稳定状态；

图4展示了所设计的攻击平台，攻击者通过路由器、网线接入局域网，各个设备的IP地址如图5所示；攻击者的操作是在Linux系统中完成，首先在Lua脚本中导入hook与packet模块，其次，设置过滤规则，根据实验需求，设定截取的数据包类型为tcp，端口号为8088，定义数据包数据处理函数，将截获的数据显示在终端界面，文件保存为datashow.lua；

执行脚本，监听数据。由于系统的采样周期较短，所以分别监听截取控制量信息和量测信息，终端执行命令“ettercap-T-q-MARP:oneway--lua-script datashow.lua-wnetwork.pcap/192.168.0.100///192.168.0.102//”截取状态信息数据，控制量信息通过修改发送、接收端的IP获取，部分监听数据如图6所示；

步骤2，通过系统辨识方法得到增益矩阵，服务器采集的数据以字符串形式上传，传输格式如图7所示，长度共有41位，前32位分别存储了倒立摆系统的4个的量测信息；之后8位是数据包的记次位，记录数据包的传输次数；最后一位是帧尾，用于判断是否为需要篡改的数据，提取终端中显示的控制量信息和量测信息，通过MATLAB利用最小二乘法，求出增益矩阵

K'＝[-5.4773 -5.7628 37.721 7.2268](12)

与步骤1中的K基本相同，由此，根据权重信息，攻击者能设计更加精确的攻击方式；

步骤3：编写偏差攻击脚本，本次攻击的目标是位置信息；在步骤1中的监听脚本基础上添加接收数据的处理程序，将接收的数据按图7格式进行字符串分割，获得四个量测信息，δ取值为0.05，篡改位置信息；在操作过程中，类型的转换，会消除double类型字符串中多余的0，需添加“补零”函数；由于Lua语言的缺陷，某些数值计算，会增加字符串长度，需编写截取前8位数据的函数，保证字符串长度不变；最后，将修改的位置信息与其余数据按原格式重新组合成新的字符串；

执行脚本，图8为服务器和客户端采集的信息；与图3相比，图8(a)显示服务器采集受攻击后倒立摆系统的实际状态信息，图中展示了位置信息发生了较大的改变，系统的稳定位置由初始位置的0.01m，转移到-0.04m附近，客户端接收的是偏差攻击后的数据，由图8的子图(a)、(b)可知，客户端和服务器的数据只有位置信息不同，子图(b)中位置信息在15s处发生了改变，但是逐渐回到了0.01m的初始稳定处；

由此可知，实行的偏差攻击达到了预期效果，倒立摆的当前状态已经发生了改变，但是从客户端中只能看到系统受到了干扰，随后又逐步稳定在初始状态，说明攻击具有一定的隐蔽性。

由于网络化倒立摆实验平台具有一定的局限性，故改进的自适应卡尔曼滤波以仿真实验估计攻击值，参照图9的流程图，对实验进行详述：

步骤4，为了保持一致性，以倒立摆的仿真实验为例，将公式(10)离散化，即取倒立摆的离散状态空间模型，

4.1初始化各项辅助变量和协方差矩阵；状态增益矩阵为上述LQR的增益矩阵K＝[-5.4772 -5.7628 37.7210 7.2268]，窗口大小设置为M＝20，过程噪声协方差Q＝10^-5*diag([1,0.01,0.25,0.86])，量测噪声协方差初始值设定为R_orgin＝10^-5*diag([1,5,1,2])，误差协方差P(0|0)＝I，辅助变量S(0)＝I，遗忘因子λ＝0.96，若攻击的对象为位置信息，记为x'＝[p,0,0,0]^T，已知矩阵序列Φ可通过下式确定

其中，x为正常的状态信息，u'为攻击后的控制量；令Φ＝B*(-K)，θ＝x'，得

仿真实验中，总迭代次数为2000次，在迭代次数为300次时加入攻击，攻击只改变位置信息，大小为δ＝0.05，为简便，取Φ＝B*(-K(1))，即取增益矩阵K的第一列，位置的权重；θ＝δ＝0.05，迭代次数t从1开始，其余变量的初值都设置为0；

4.2判断迭代次数t是否大于或等于预设的滑动窗口大小M，若满足条件，那么根据公式(8)，根据窗口内的量测信息计算新息协方差；若不满足，先根据给定的初始量测噪声矩阵R_orgin以及公式(5)计算新息协方差；进一步地，通过辅助变量计算卡尔曼增益K以及参数增益矩阵Γ；根据公式(4)，通过一步预测的状态信息与模型输出的真实值计算新息

最后，整合数据，计算攻击的估计值

以及状态估计

迭代次数自增1。

图10分别展示了在仿真中使用自适应卡尔曼滤波和改进的自适应卡尔曼滤波的跟踪效果，图中虚线代表了在仿真迭代中，注入攻击的值，实线代表了对攻击的估计跟踪。由图可知，两种方法在跟踪上都有很好的效果，后者在跟踪速度上相对于前者较慢，但是减少了调节量测噪声R的时间。

进一步地，对控制量进行攻击也能达到相应的效果，在相同的设置环境下，令Φ＝-B，θ＝K(1)*δ，当δ＝0.05时，θ＝-0.27386。图11展示了两种方法对于控制量受到攻击时，对攻击值跟踪效果，改进的自适应卡尔曼滤波的结果也能很好地跟踪攻击值。

Claims (2)

1.一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法，其特征在于，所述方法包括以下步骤：

步骤1，查看网络化控制系统正常运行时的数据，同时确定服务器端与客户端的IP地址；编写Lua脚本，监听目标信道：攻击者主机接入系统的局域网中，在Linux系统中编写Lua脚本，设置相应的过滤规则，设置处理截获数据包的程序，此处只观察系统的输入输出数据，只需显示数据即可，最后执行脚本；

步骤2，通过系统辨识方法获取增益矩阵：已知数据的传输格式情况下，对获取的数据进行预处理，通过系统辨识方法，得到各个数据在系统中的权重，即获取增益矩阵K；

步骤3，，编写篡改数据脚本：在上述的监听Lua脚本中继续添加数据处理内容，针对目标数据，实施偏差攻击，即在目标数据的基础上添加一个较小的非零常数，具体形式如下：

其中，y是系统正常运行时传输的数据，δ为较小的非零常数，t为实验时间，T是注入攻击的时刻，Lua语言中的数值计算或数据类型转换会影响字符串的长度，需编写相应的处理函数，保证长度不变；然后，执行篡改数据的脚本；

步骤4，采用改进的自适应卡尔曼滤波估计攻击注入的偏差值。

2.如权利要求1所述的基于改进的自适应卡尔曼滤波的偏差攻击的估计方法，其特征在于，所述步骤4中，改进的自适应卡尔曼滤波步骤如下：

4.1对于离散的线性时变系统，

其中，表示系统的状态；

表示系统的控制量输入；

表示系统的量测；

是不相关的高斯白噪声，其协方差矩阵为Φ(k)θ代表了执行器故障，由已知的矩阵序列

和一个常量参数向量

组成，此例中，Φ(k)＝-B(k)diag(u(k))；

4.2自适应卡尔曼滤波由初始步骤和递推步骤组成，如下：

4.2.1初始化协方差矩阵和辅助变量：

其中，

为预测状态误差协方差矩阵；

是辅助变量；

为注入攻击的估计值；为状态向量的最优估计；I_p为p阶单位矩阵；

4.2.2递推步骤如下：

4.2.2.1首先，计算新息

4.2.2.2通过经典的卡尔曼滤波器，计算状态估计方程的协方差矩阵和卡尔曼增益：

其中，为新息协方差矩阵；

为状态估计增益矩阵，即卡尔曼增益；

4.2.2.3通过遗忘因子λ以及

这三个辅助变量计算参数估计增益矩阵

4.2.2.4计算参数估计以及状态估计

4.3进一步地，由于在实际应用系统中，无法得知具体的过程噪声Q和量测噪声R，但是，上述的自适应卡尔曼滤波要求模型参数和噪声的先验知识，所以具有一定的局限性，而改进的自适应卡尔曼滤波是基于新息自适应估计，对观测噪声模型进行估计和修正；如下：

4.3.1若系统噪声和量测噪声服从不相关的高斯分布且新息序列满足各态遍历性时，可根据新息序列的滑动平均获得新息协方差的极大似然估计

其中，i₀＝k-M+1，M为滑动窗口的采样宽度，将

代替式中的Σ；

4.3.2基于新息协方差估计的滤波增益计算公式为

Images