CN112491785B - 一种基于多路径切换的无限制DoS攻击防护方法 - Google Patents

一种基于多路径切换的无限制DoS攻击防护方法 Download PDF

Info

Publication number
CN112491785B
CN112491785B CN202011107358.6A CN202011107358A CN112491785B CN 112491785 B CN112491785 B CN 112491785B CN 202011107358 A CN202011107358 A CN 202011107358A CN 112491785 B CN112491785 B CN 112491785B
Authority
CN
China
Prior art keywords
packet loss
path
path switching
controller
follows
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011107358.6A
Other languages
English (en)
Other versions
CN112491785A (zh
Inventor
赵云波
朱巧慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University of Technology ZJUT
Original Assignee
Zhejiang University of Technology ZJUT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University of Technology ZJUT filed Critical Zhejiang University of Technology ZJUT
Priority to CN202011107358.6A priority Critical patent/CN112491785B/zh
Publication of CN112491785A publication Critical patent/CN112491785A/zh
Application granted granted Critical
Publication of CN112491785B publication Critical patent/CN112491785B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

基于多路径切换的无限制DoS攻击防护方法,首先根据网络丢包率情况和系统模型确定系统可以容忍的最大丢包数,设计DoS攻击检测模块,从而得到多切换路径条件;然后执行器端记录当前传感器到控制器的连续丢包数并发送给传感器,若当前连续丢包数满足路径切换条件,则传感器和控制器切换路径传输数据,若当前连续丢包数没有满足路径切换条件,则继续检测。多路径切换防护方法通过不断检测和切换路径,可以解决无限制DoS攻击造成的连续丢包现象,从而使得系统一直保持稳定。

Description

一种基于多路径切换的无限制DoS攻击防护方法
技术领域
本发明涉及网络化控制系统与网络安全领域,具体涉及无限制DoS攻击下,对网络化控制系统进行多路径切换的防护方法。
背景技术
网络化控制系统(NCS)的数据传输通道被诸如英特网之类的数据通信网络所封闭,近年来被广泛应用于各个领域。然而,数据通信网络的引入为攻击者对控制系统进行攻击提供了便捷的途径。在这些网络攻击中,拒绝服务(DoS)攻击是最常见的,它会对NCS造成严重的影响。DoS攻击通过向目标机器发送大量请求来耗尽所有网络资源,从而使合法用户无法使用。由于DoS攻击的结果是NCS中的控制器(执行器)将无法从传感器(控制器)接收数据,因此所考虑的NCS将被迫开环运行,存在系统失稳甚至崩溃的问题。
在发生无限制DoS攻击时,如果控制系统存在检测攻击的机制并且采取防护措施,就能避免控制系统面临失稳的问题。虽然目前对于无限制DoS攻击的相关研究还在起步阶段,但是基于多路径切换的无限制DoS攻击防护方法提供了一种有效解决无限制DoS攻击引起的连续数据包丢失问题。多路径切换防护方法是利用随机丢包和无限制DoS攻击引起的丢包的区别来判断是否存在攻击,由此来进一步通知传感器和控制器切换路径,有效避免了连续的数据包丢失。
发明内容
为了克服无限制DoS攻击造成的连续丢包问题,本发明提出了一种基于多路径切换的防护策略,结合随机丢包和攻击引起丢包的区别,得到攻击评判标准,从而切换路径,在一定程度上解决了无限制DoS攻击造成的连续丢包问题。
本发明解决其技术问题所采用的技术方案是:
一种基于多路径切换的无限制DoS攻击防护方法,含有以下步骤:
步骤1.系统初始化及确定路径切换条件:传感器到控制器的传感数据以及控制器到执行器的控制数据通过数据通信网络传输,网络中存在无限制DoS攻击,已知网络闭环丢包率p,及系统模型如下:
x(k+1)=Ax(k)+Bu(k) (1-1)
其中,各参数定义如下:
A,B:系统矩阵;
x(k):k时刻系统状态;
u(k):k时刻执行器实际使用的控制信号;
计算路径切换条件,步骤如下:
步骤1.1确定系统可容忍最大丢包数:根据系统稳定性条件得到系统保持其所需性能的最大连续丢包数,计算公式为:
Figure BDA0002727395060000021
其中,各参数定义如下:
ξ:攻击频率的上界;
γ,β:系统衰减系数;
Nc:控制系统保持其所需性能的最大连续丢包数;
Figure BDA0002727395060000022
且P0,P1,P2是对称正定矩阵满足以下不等式,
Figure BDA0002727395060000023
1 TP0φ1+(1-p)φ1 TP1φ1-γP1<0 (1-6)
Figure BDA0002727395060000024
其中
Figure BDA0002727395060000031
K:控制器状态反馈增益;
步骤1.2:设计DoS攻击检测模块:如果记录到传感器到执行器连续的丢包数超过一定的阈值,则视为在k时刻的受到DoS攻击,否则应视为正常丢包。阈值应根据网络丢包率调整确定,引入参数α反映检测灵敏度,计算公式为:
Figure BDA0002727395060000032
Nd=logpα (1-3)
其中,各参数定义如下:
Nd(k):k时刻传感器到执行器的连续丢包数;
Nd:检测攻击的连续丢包数阈值;
p:网络闭环丢包率;
步骤1.3生成多路径切换模块:当检测到存在攻击或者达到系统可容许范围连续丢包数时应切换路径,得到路径切换标准,即当前连续丢包数超过多路径切换条件的连续丢包数阈值时,通知传感器和控制器切换路径,计算公式为;
N=min{Nc,Nd} (1-8)
若Nc<Nd,可返回步骤12调节检测灵敏度参数;
其中,参数定义如下:
N:多路径切换条件的连续丢包数阈值;
步骤2.采样:在k时刻,传感器对被控对象进行采样,并将采样x(k)发送给控制器;
步骤3.生成控制器:控制器基于最新可用的传感数据生成控制律,并将控制信号发送给执行器,控制率计算公式为:
Figure BDA0002727395060000041
uk=Kx(k) (3-2)
Figure BDA0002727395060000042
其中,各参数定义如下:
uk:k时刻控制器使用最新的传感数据产生的控制信号;
θk:数据包丢失情况,θk=1表示x(k)传输成功,θk=0表示x(k)传输失败,且Pr{θk=0}=p;
Figure BDA0002727395060000043
最新的传感数据;
步骤4.执行:执行器将可用的控制信号应用到被控对象,其DoS攻击检测模块计算连续丢包数Nd(k)并将其发送到传感器;
步骤5.切换路径:传感器判断当前连续丢包数Nd(k)和多路径切换条件的连续丢包数阈值N的关系,以决定是否需要切换路径。当Nd(k)≥N时,前向信道和后向信道同时切换路径。
本发明的技术构思为:首先,根据网络丢包率情况和系统模型确定切换路径的条件;然后执行器端记录当前传感器到控制器的连续丢包数并发送给传感器,若当前连续丢包数满足路径切换条件,则传感器和控制器切换路径传输数据,若当前连续丢包数没有满足路径切换条件,则继续检测。多路径切换防护策略通过不断检测和切换路径,可以解决无限制DoS攻击造成的连续丢包现象,从而使得系统一直保持稳定。
与现有技术相比,本发明技术方案的优点有:
(1)本发明利用随机丢包和攻击产生连续丢包的区别,得到检测无限制DoS攻击的方法,较可靠地解决了无限制DoS攻击检测问题;
(2)多路径切换防护策略有效避免了无限制DoS攻击产生的连续丢包问题,不断将系统切换到没有攻击的子系统中,使得系统可以保持稳定。
附图说明
图1是实施本发明方法的系统模型结构图;
图2是实施本发明方法的基于多路径切换策略的系统模型结构图;
图3是实施本发明方法的多路径切换策略流程图。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图对本发明作进一步的详细描述。参照图2和图3,一种基于多路径切换的无限制DoS攻击防护方法,换言之,即用多路径切换方法对控制系统存在无限制DoS攻击进行防御。本发明是在简化的系统模型(如图1所示)中,通过多路径切换方法进行路径切换,最终使控制系统能够接收反馈信息。发明面向存在无限制DoS攻击的网络化控制系统,针对控制系统受到无限制DoS攻击情况,提出了多路径切换方法使得系统保持稳定运行。
实施例:
一种基于多路径切换的无限制DoS攻击防护方法,含有以下步骤:
(1)系统初始化及确定路径切换条件:传感器到控制器的传感数据以及控制器到执行器的控制数据通过数据通信网络传输,网络中存在无限制DoS攻击,已知网络闭环丢包率p=0.3,及系统模型如下:
x(k+1)=Ax(k)+Bu(k)+ω(k) (1-1)
其中,各参数定义如下:
Figure BDA0002727395060000061
ω(k):方差为0.01的高斯白噪声;
系统初始状态为x(0)=[1 1 1]T
计算路径切换条件,步骤如下:
步骤11确定系统可容忍最大丢包数:根据系统稳定性条件得到系统保持其所需性能的最大连续丢包数,计算公式为:
Figure BDA0002727395060000062
其中,各参数定义如下:
ξ:选取攻击频率的上界为0.02;
γ,β:系统衰减系数选取γ=0.8,β=1.1;
Figure BDA0002727395060000063
且P0,P1,P2是对称正定矩阵满足以下不等式,
Figure BDA0002727395060000065
1 TP0φ1+(1-p)φ1 TP1φ1-γP1<0 (1-6)
Figure BDA0002727395060000066
其中
Figure BDA0002727395060000064
此时控制系统保持其所需性能的最大连续丢包数Nc=13.8460,控制器增益K=[0.1490 0.0334 -0.7513];
步骤12:设计DoS攻击检测模块:如果记录到传感器到执行器连续的丢包数超过一定的阈值,则视为在k时刻的受到DoS攻击,否则应视为正常丢包。阈值应根据网络丢包率调整确定,引入参数α=10-5反映检测灵敏度,计算公式为:
Figure BDA0002727395060000071
Nd=logpα (1-3)
其中,各参数定义如下:
u(k):k时刻执行器实际使用的控制信号;
Nd(k):k时刻传感器到执行器的连续丢包数;
Nd:检测攻击的连续丢包数阈值;
p:网络闭环丢包率;
此时Nd=9.5624;
步骤13生成多路径切换模块:当检测到存在攻击或者达到系统可容许范围连续丢包数时应切换路径,得到路径切换标准,即当前连续丢包数超过多路径切换条件的连续丢包数阈值时,通知传感器和控制器切换路径,计算公式为;
N=min{Nc,Nd} (1-8)
若Nc<Nd,可返回步骤12调节检测灵敏度参数;
此时多路径切换条件的连续丢包数阈值N=Nd
(2)采样:在k时刻,传感器对被控对象进行采样,并将采样x(k)发送给控制器;
(3)生成控制器:
步骤31控制器基于最新可用的传感数据生成控制律,控制率计算公式为:
Figure BDA0002727395060000072
uk=Kx(k) (3-2)
Figure BDA0002727395060000073
其中,各参数定义如下:
uk:k时刻控制器使用最新的传感数据产生的控制信号;
θk:数据包丢失情况,θk=1表示x(k)传输成功,θk=0表示x(k)传输失败,且Pr{θk=0}=p;
Figure BDA0002727395060000081
最新的传感数据;
步骤32控制器将控制信号发送给执行器;
(4)执行:
步骤41执行器将可用的控制信号应用到被控对象;
步骤42执行器端DoS攻击检测模块计算连续丢包数Nd(k),并将其发送到传感器;
(5)切换路径:
步骤51传感器判断当前连续丢包数Nd(k)和多路径切换条件的连续丢包数阈值N的关系,以决定是否需要切换路径;
步骤52若Nd(k)≥N时,前向信道和后向信道同时切换路径,同时将Nd(k)置零。在设定的参数下,此时连续丢包数满足10个时应切换路径,同时跳过步骤53进入步骤(5)重新检测;
步骤53若Nd(k)<N时,进入下一个时刻,跳转到步骤(5)继续检测。

Claims (1)

1.一种基于多路径切换的无限制DoS攻击防护方法,含有以下步骤:
(1)系统初始化及确定路径切换条件:传感器到控制器的传感数据以及控制器到执行器的控制数据通过数据通信网络传输,网络中存在无限制DoS攻击,已知网络闭环丢包率p=0.3,及系统模型如下:
x(k+1)=Ax(k)+Bu(k)+ω(k) (1-1)
其中,各参数定义如下:
Figure FDA0002727395050000011
ω(k):方差为0.01的高斯白噪声;
系统初始状态为x(0)=[1 1 1]T
计算路径切换条件,步骤如下:
步骤11确定系统可容忍最大丢包数:根据系统稳定性条件得到系统保持其所需性能的最大连续丢包数,计算公式为:
Figure FDA0002727395050000012
其中,各参数定义如下:
ξ:选取攻击频率的上界为0.02;
γ,β:系统衰减系数选取γ=0.8,β=1.1;
Figure FDA0002727395050000013
且P0,P1,P2是对称正定矩阵满足以下不等式,
Figure FDA0002727395050000014
Figure FDA0002727395050000015
Figure FDA0002727395050000021
其中
Figure FDA0002727395050000022
此时控制系统保持其所需性能的最大连续丢包数Nc=13.8460,控制器增益K=[0.14900.0334 -0.7513];
步骤12:设计DoS攻击检测模块:如果记录到传感器到执行器连续的丢包数超过一定的阈值,则视为在k时刻的受到DoS攻击,否则应视为正常丢包; 阈值应根据网络丢包率调整确定,引入参数α=10-5反映检测灵敏度,计算公式为:
Figure FDA0002727395050000023
Nd=logpα (1-3)
其中,各参数定义如下:
u(k):k时刻执行器实际使用的控制信号;
Nd(k):k时刻传感器到执行器的连续丢包数;
Nd:检测攻击的连续丢包数阈值;
p:网络闭环丢包率;
此时Nd=9.5624;
步骤13生成多路径切换模块:当检测到存在攻击或者达到系统可容许范围连续丢包数时应切换路径,得到路径切换标准,即当前连续丢包数超过多路径切换条件的连续丢包数阈值时,通知传感器和控制器切换路径,计算公式为;
N=min{Nc,Nd} (1-8)
若Nc<Nd,可返回步骤12调节检测灵敏度参数;
此时多路径切换条件的连续丢包数阈值N=Nd
(2)采样:在k时刻,传感器对被控对象进行采样,并将采样x(k)发送给控制器;
(3)生成控制器:
步骤31控制器基于最新可用的传感数据生成控制律,控制律 计算公式为:
Figure FDA0002727395050000031
uk=Kx(k) (3-2)
Figure FDA0002727395050000032
其中,各参数定义如下:
uk:k时刻控制器使用最新的传感数据产生的控制信号;
θk:数据包丢失情况,θk=1表示x(k)传输成功,θk=0表示x(k)传输失败,且Pr{θk=0}=p;
Figure FDA0002727395050000033
最新的传感数据;
步骤32控制器将控制信号发送给执行器;
(4)执行:
步骤41执行器将可用的控制信号应用到被控对象;
步骤42执行器端DoS攻击检测模块计算连续丢包数Nd(k),并将其发送到传感器;
(5)切换路径:
步骤51传感器判断当前连续丢包数Nd(k)和多路径切换条件的连续丢包数阈值N的关系,以决定是否需要切换路径;
步骤52若Nd(k)≥N时,前向信道和后向信道同时切换路径,同时将Nd(k)置零; 在设定的参数下,此时连续丢包数满足10个时应切换路径,同时跳过步骤53进入步骤(5)重新检测;
步骤53若Nd(k)<N时,进入下一个时刻,跳转到步骤(5)继续检测。
CN202011107358.6A 2020-10-16 2020-10-16 一种基于多路径切换的无限制DoS攻击防护方法 Active CN112491785B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011107358.6A CN112491785B (zh) 2020-10-16 2020-10-16 一种基于多路径切换的无限制DoS攻击防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011107358.6A CN112491785B (zh) 2020-10-16 2020-10-16 一种基于多路径切换的无限制DoS攻击防护方法

Publications (2)

Publication Number Publication Date
CN112491785A CN112491785A (zh) 2021-03-12
CN112491785B true CN112491785B (zh) 2022-05-24

Family

ID=74926513

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011107358.6A Active CN112491785B (zh) 2020-10-16 2020-10-16 一种基于多路径切换的无限制DoS攻击防护方法

Country Status (1)

Country Link
CN (1) CN112491785B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113315129B (zh) * 2021-04-27 2022-08-23 浙江工业大学 DoS攻击和欺骗攻击下多区域电力系统负载频率控制方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110138764A (zh) * 2019-05-10 2019-08-16 中北大学 一种基于层次攻击图的攻击路径分析方法
CN110199509A (zh) * 2017-01-28 2019-09-03 高通股份有限公司 使用多路径验证的未授权接入点检测
CN111400653A (zh) * 2020-03-05 2020-07-10 江西师范大学 一种基于多路径传输系统的鲁棒性分析模型测评方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016130054A1 (en) * 2015-02-09 2016-08-18 Telefonaktiebolaget Lm Ericsson (Publ) Method and device for handling multi path connections
US10185832B2 (en) * 2015-08-12 2019-01-22 The United States Of America As Represented By The Secretary Of The Army Methods and systems for defending cyber attack in real-time

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110199509A (zh) * 2017-01-28 2019-09-03 高通股份有限公司 使用多路径验证的未授权接入点检测
CN110138764A (zh) * 2019-05-10 2019-08-16 中北大学 一种基于层次攻击图的攻击路径分析方法
CN111400653A (zh) * 2020-03-05 2020-07-10 江西师范大学 一种基于多路径传输系统的鲁棒性分析模型测评方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
多径路由网络化控制系统的路径调度与控制器协调设计;赵云波 等;《系统科学与数学》;20190415;全文 *

Also Published As

Publication number Publication date
CN112491785A (zh) 2021-03-12

Similar Documents

Publication Publication Date Title
EP2854366B1 (en) Limiting the efficacy of a denial of service attack by increasing client resource demands
US6847624B2 (en) CDMA mobile communications system and its random access control method and base station
KR101442020B1 (ko) 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치
CN112491785B (zh) 一种基于多路径切换的无限制DoS攻击防护方法
CN109768955B (zh) 基于软件定义网络防御分布式拒绝服务攻击的系统及方法
KR100908404B1 (ko) 분산서비스거부공격의 방어방법 및 방어시스템
US20230099706A1 (en) Wireless intrusion prevention system, wireless network system comprising same, and method for operating wireless network system
CN110099027B (zh) 业务报文的传输方法和装置、存储介质、电子装置
US7137144B1 (en) Technique of defending against network connection flooding attacks
CN106685930B (zh) 一种传输控制协议选项的处理方法及装置
CN112800422B (zh) 一种隐蔽攻击下的网络化电机系统远程状态估计方法
KR20130124692A (ko) 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법
Hong et al. Dynamic threshold for DDoS mitigation in SDN environment
Serag et al. Exposing new vulnerabilities of error handling mechanism in {CAN}
KR100614757B1 (ko) 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법
CN107395596A (zh) 一种基于冗余控制器切换的拒绝服务攻击防御方法
CN109600273B (zh) 一种udp报文传输性能的优化方法及系统
CN110401601B (zh) 一种拟态路由协议系统和方法
US7496373B2 (en) Method for controlling transmission power
KR101918441B1 (ko) 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템
CN102546587B (zh) 防止网关系统会话资源被恶意耗尽的方法及装置
JPH0865265A (ja) Cdmaシステム
CN110995586B (zh) 一种bgp报文的处理方法、装置、电子设备及存储介质
JP4304249B2 (ja) スキャン攻撃不正侵入防御装置
CN110198298B (zh) 一种信息处理方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant