CN112910926A - 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质 - Google Patents

一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质 Download PDF

Info

Publication number
CN112910926A
CN112910926A CN202110255903.4A CN202110255903A CN112910926A CN 112910926 A CN112910926 A CN 112910926A CN 202110255903 A CN202110255903 A CN 202110255903A CN 112910926 A CN112910926 A CN 112910926A
Authority
CN
China
Prior art keywords
historical
charging
attack
deviation
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110255903.4A
Other languages
English (en)
Inventor
蒋富
刘博文
杨迎泽
彭军
刘伟荣
黄志武
李恒
张晓勇
刘勇杰
武悦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Central South University
CERNET Corp
Original Assignee
Central South University
CERNET Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Central South University, CERNET Corp filed Critical Central South University
Priority to CN202110255903.4A priority Critical patent/CN112910926A/zh
Publication of CN112910926A publication Critical patent/CN112910926A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质,该方法包括:利用基于时域的攻击检测进行初步检测;其中,若瞬时跟踪偏差和历史跟踪偏差标准差中存在一个以上的异常特征,执行二次检测;否则,视为当前充电网络未受到攻击;利用基于频域的攻击检测进行二次检测,其中,基于历史输出电流的频谱数据提取频谱峰值频点,若非低频范围内存在所述频谱峰值频点,当前充电网络受到攻击,否则,视为当前充电网络未受到攻击。本发明所述方法兼顾数据的时域特征和频域特征,能够有效捕捉时域范围内充电模块输出分布的偏离,同时针对虚假数据注入式攻击在频域内的弱隐蔽性,引入频谱分析,有效提高攻击检测准确率。

Description

一种基于时频域分析的充电网络注入式攻击检测方法、系统、 终端及可读存储介质
技术领域
本发明属于网络安全技术领域,具体涉及一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质。
背景技术
城市公共交通在朝着“高效率,低排放”的目标发展。因此对储能式有轨电车的大规模部署在充电网络的可靠性有着更高的要求。
目前应用广泛的储能式有轨电车充电网络,其在安全防护方面采用的数据安全检测技术为传统的坏数据检测技术。但是随着网络在不同应用领域的拓展,节点间的通信通道数量和数据交换量都在不断增加,随着协同控制、无线通信等技术的引入,同时也将以注入式攻击为首的新型网络攻击引入到系统中。现有的坏数据检测机制中,检测系统仅通过对比估计值与实测值的一致性进行诊断,因此其仅能检测系统的故障输出,而攻击的注入导致系统估计值与实测值出现趋于一致的异常波动无法有效识别,从而导致坏数据检测机制失效,极大的危害系统的安全可靠运行。
因此,针对现有技术的缺陷,继续研究一种能够应用于储能式有轨电车充电网络的虚假数据注入式攻击检测方法识别的方法时极有必要的,用于识别攻击是否存在攻击。
发明内容
本发明的目的是针对现有的坏数据检测机制无法准确检测充电网络中虚拟数据注入式攻击的问题,提供一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质。所述方法兼顾数据的时域特征和频域特征,能够有效捕捉时域范围内充电模块输出分布的偏离,同时针对虚假数据注入式攻击在频域内的弱隐蔽性,引入基于频谱分析的辅助检测手段,能够有效提高攻击检测准确率。
一方面,本发明提供的一种基于时频域分析的充电网络注入式攻击检测方法,包括如下步骤:
步骤S01:利用基于时域的攻击检测进行初步检测;
其中,计算充电模块的瞬时跟踪偏差幅值和历史跟踪偏差标准差,若瞬时跟踪偏差和历史跟踪偏差标准差中存在一个以上的异常特征,则执行步骤S02;否则,视为当前充电网络未受到攻击;
步骤S02:利用基于频域的攻击检测进行二次检测;
其中,采集充电模块的历史输出电流,并进行傅里叶变换得到历史输出电流的频谱数据,并基于所述频谱数据提取到频谱峰值频点,若非低频范围内存在所述频谱峰值频点,当前充电网络受到攻击,否则,视为当前充电网络未受到攻击;
所述低频范围是由0Hz及其预设允许精度确定。
由于虚假数据注入式攻击只能躲过基于时域分析的坏数据监测机制而无法躲避频域分析,因此使用频谱分析法,对离散时间信号进行快速傅里叶变换(FFT),提取各个充电模块实际输出的频谱特征。通过对原数据进行快速傅里叶变换,可以提取原时域数据的频域信息。由于正常充电模块输出的直流电流仅在接近0Hz的低频处存在峰值,若发现频域信息中存在其他位置处持续存在频点,则认为当前系统的输出异常,即确认受到了攻击。
还应当理解,步骤S01和步骤S02分别是基于各个充电模块进行识别的,若其中一个充电模块的数据异常检测出受到攻击,也是视为当前充电网络受到攻击,若是所有都检测出来未受到攻击,视为当前充电网络未受到攻击。
可选地,若识别出当前的充电网络受到攻击,还包括:识别所述攻击的模式,所述模式以攻击注入位置划分为:传感器攻击和通信通道攻击;
其中,识别所述攻击的模式的过程如下:
S21:获取充电模块的历史输出电流;
S22:基于所述历史输出电流得到充电模块的历史自参考偏差和历史协同参考偏差;
S23:基于所述历史自参考偏差和历史协同参考偏差判断攻击模式;
其中,若历史自参考偏差和历史协同参考偏差中均未存在异常,则认为检测系统误报;
若历史自参考偏差和历史协同参考偏中至少一个存在异常,且异常首发时刻仅存在协同参考偏差,则认为攻击模式为通信通道攻击;否则,认为攻击模式为传感器攻击。
可选地,所述充电模块的瞬时跟踪偏差幅值由瞬时自参考偏差和瞬时协同参考偏差累加和组成,其公式如下:
Figure BDA0002968346530000021
其中,em为充电模块m的瞬时跟踪偏差幅值,Ire0为充电模块输出参考电流;Im为充电模块m的自身输出电流;Ik为通过数据交换网络接收的其他充电模块k的输出电流;am用于表征充电模块m是否使用参考电流数据,bmk用于表征充电模块m与其他充电模块的通信通道建立情况,n为相邻充电模块的序列号。
可选地,所述充电模块的历史跟踪偏差标准差由历史跟踪偏差计算得到,其公式如下:
Figure BDA0002968346530000031
其中,se表示历史跟踪偏差标准差;th表示历史数据调用长度,emt表示在t时刻的瞬时跟踪偏差;emt表示历史数据调用长度中各时刻瞬时跟踪偏差的平均值。
可选地,将充电模块作为节点划分数据交互网络局部通信域,同一个通信域中的其他充电模块参与检测充电模块的步骤S01中的初步检测以及S02中的二次检测。
二方面,本发明还提供一种基于上述检测方法的检测系统,包括:时域检测模块和频域检测模块;
其中,所述时域检测模块利用基于时域的攻击检测进行初步检测;
其中,所述时域检测模块计算充电模块的瞬时跟踪偏差幅值和历史跟踪偏差标准差,并判断瞬时跟踪偏差和历史跟踪偏差标准差中是否存在一个以上的异常特征;若不存在,视为当前充电网络未受到攻击;
若存在,所述频域检测模块利用基于频域的攻击检测进行二次检测;
其中,所述频域检测模块采集充电模块的历史输出电流,并进行傅里叶变换得到历史输出电流的频谱数据,并基于所述频谱数据提取到频谱峰值频点;然后识别频谱峰值频点所处范围,若非低频范围内存在所述频谱峰值频点,当前充电网络受到攻击,否则,视为当前充电网络未受到攻击。
第三方面,本发明还提供一种基于时频域分析的充电网络注入式攻击检测系统,包括物理层、控制层以及网络层;
其中,所述物理层中设有若干个并联的充电模块以及传感器,传感器与所述充电模块连接用于采集充电模块的输出电流,并将充电模块的输出电流反馈至控制层和网络层;
所述控制层中设有若干个控制器,每个充电模块分别与一个控制器连接,所述控制器用于提供PWM调制信号至所述充电模块以控制输出电流;以及与同一个充电模块连接的传感器和控制器之间通讯连接,所述传感器将充电模块的输出电流反馈至控制层中的所述控制器;
所述网络层由模块通信规则构成,所述传感器将充电模块的输出电流以无线通讯方式发送至数据交互网络,并通过所述数据交互网络发送至其相邻充电模块匹配的控制器;
所述控制器依据充电模块的输出电流以及其他充电模块的输出电流采用前述一种基于时频域分析的充电网络注入式攻击检测方法进行攻击检测。
第四方面,本发明还提供一种检测终端,包括处理器和存储器,所述存储器内存储了计算机程序,所述处理器调用所述计算机程序以执行:一种基于时频域分析的充电网络注入式攻击检测方法的步骤。
第五方面,本发明还提供一种可读存储介质,其存储了计算机程序,所述计算机程序被处理器调用以执行:一种基于时频域分析的充电网络注入式攻击检测方法的步骤。
有益效果
1.本发明提供的一种基于时频域分析的充电网络注入式攻击检测方法,其将时域和频域特征相结合,提供了一种全新的、适用于储能式有轨电车充电网络的攻击检测手段,充分考虑了由于网络通信技术的引入而导致的网络虚拟数据注入式攻击的问题,填补了储能式有轨电车充电网络在网络威胁防护方面的安全防护漏洞。其通过研究发现虚拟数据在频域内的弱隐蔽性,因此,在本发明在时域的基础上引入频域检测,即使用基于频域的检测方法进行二次检测来辅助检测攻击是否存在,进一步提高虚假数据注入式攻击的检测可靠性。本方法的成功部署,可以有效填补储能式有轨电车充电网络在虚假数据注入式攻击检测防护方面的空白,是适应我国新能源公共交通发展提速要求的重要进步,也是智能公共交通发展的必然趋势。这对我国新能源公共交通的提高效率和安全、社会的发展均有重要意义,其社会效益显著。
2.本发明的进一步改进方案中,还实现了攻击模式的识别,有效识别攻击模式是传感器攻击或是通信通道攻击,其从攻击注入位置对输出影响的角度出发,分别提取不同攻击模式下系统波动的异常特征,从而形成规则的攻击模式识别方法,充分利用攻击检测中的前者计算结果,两者相辅相成,从而实现不同攻击位置的有效识别,具备普适应,并为后续快速进行防护或者修复垫定基础。
附图说明
图1为本发明的储能式有轨电车充电网络示意图
图2为本发明的整体算法流程示意图
图3为本发明的时频域特征提取示意图
图4为本发明的攻击检测方法流程示意图
图5为本发明的数据交互网络示意图
图6为本发明的充电模块示意图
图7为本发明的攻击模式识别算法流程图
具体实施方式
随着协同控制、无线通讯等技术的引入,针对充电网络面临的虚假数据注入式攻击无法有效检测的问题,本发明提供的一种基于时频域分析的充电网络注入式攻击检测方法来识别虚假数据注入式攻击以及对应的攻击模式。其中,下文将以储能式有轨电车充电网络为例进行说明,其他可行的实施例中,具有类似问题的充电网络也是适用于本发明构思的。下面将结合实施例对本发明做进一步的说明。
如图1所示,本发明涉及的储能式有轨电车充电网络结构包括:物理层、控制层和网络层。
其中,物理层由多个并联充电模块和传感器组成。各个充电模块依据对应控制器提供的PWM调制信号控制输出电流。在物理层,传感器采集充电模块输出电流数据,一方面,以有线的方式将充电模块自身输出数据传输至本充电模块对应的DSP控制器,即控制层中的对应控制器;另一方面,传感器将采集到的充电模块输出电流数据通过安装在充电模块的通信控制器和网络数据收发器以无线通信的方式发送至数据交互网络。
网络层由模块通信规则构成,内嵌模块通信拓扑,各充电模块实际输出的电流值在网络层按照通信拓扑,被转发至相邻充电模块。其中,在建立通信规则时,预先划分了充电模块的相邻关系,本实施例中,划分为了局部通信域,即充电模块的相邻充电模块指代局部通信域中的相邻充电模块。
控制层由各个充电模块的控制器组成,控制器根据模块自身输出电流值及接收到的相邻充电模块的输出电流值,计算跟踪偏差值,并调整PWM信号的占空比以均衡模块输出。其中,本实施例中,每个充电模块匹配一个控制器,两者的数量相等的,其他可行的实施例中,允许存在多个充电模块匹配同一个控制器进行控制,其控制信号分成多路,分别控制对应的充电模块的输出电流,本发明对此不进行具体的技术限定。
如图6所示,本实施例中提供的充电模块由AC-DC整流器、MOS开关管、二极管、电感和电容组成。充电模块的输入端直接连接至主电网,并使用整流器将来自于主电网的交流电流转换成直流。MOS开关管、二极管、电感喝电容组成buck电路,其中的MOS开关管为调节buck电路输出的核心控制组件,控制信号通过控制MOS开关管的通断状态来调节BUCK电路的输出幅值。所组成的buck电路使用经AC-DC整流器输出的直流电作为输入,以可供超级电容充电的直流电流为输出。Buck电路的控制输入,即MOS开关管的控制信号为来自于控制器的PWM调制信号,通过周期性控制MOS开关的打开和关闭,调整模块的输出电流。其他可行的实施例中,可以根据实际需求选择其他类型的充电模块。
其中,本发明依据攻击位置将攻击模式分为传感器攻击和通信通道攻击。其中,当传感器攻击注入至充电系统时,传感器输出至自身充电模块及相邻充电模块的数据被截取并叠加攻击向量,导致在攻击注入时刻自身充电模块和相邻充电模块接收到错误的输出电流数据,并在一定攻击影响叠加过程后,自身充电模块和相邻充电模块均出现输出异常。当通信通道攻击注入至充电系统时,在数据交互网络中交互的数据被截取并叠加攻击向量,导致在攻击注入时刻,作为数据接收方的相邻充电模块接收到错误的输出电流数据,并在一定攻击影响叠加过程后,相邻充电模块出现输出异常。
首先,为了有效鉴别攻击是否存在,如图3和图4所示,本实施例提供的一种基于时频域分析的充电网络注入式攻击检测方法由基于时域的攻击检测以及基于频域的攻击检测构成,实现过程如下:
步骤S01:利用基于时域的攻击检测进行初步检测,具体是利用时域特征进行检测。其中,时域特征包括:瞬时跟踪偏差幅值和历史跟踪偏差标准差。
瞬时跟踪偏差由瞬时自参考偏差和瞬时协同参考偏差累加和组成,瞬时自参考偏差表示充电模块自身的输出电流与充电模块的参考电流之间的偏差;瞬时协同参考偏差表示充电模块与相邻充电模块之间的输出偏差。因此,瞬时跟踪偏差用于表征偏差瞬时幅值偏离情况,其公式如下:
Figure BDA0002968346530000061
其中,em为充电模块m的瞬时跟踪偏差幅值,Ire0为充电模块输出参考电流;Im为充电模块m的自身输出电流;Ik为通过数据交换网络接收的其他充电模块k的输出电流;am用于表征充电模块m是否使用参考电流数据,bmk用于表征充电模块m与其他充电模块的通信通道建立情况,n为相邻充电模块的序号。
am和bmk的取值如下:
Figure BDA0002968346530000062
其中,nref表示与参考节点(为其他节点提供充电模块的参考电流)建立数据连接的充电模块序号,即使用参考电流数据的充电模块m对应am=1,否则,am=0。
Figure BDA0002968346530000063
其中,nm表示模块m所在通信域中包含的模块序号。本实施例中,将充电模块划分局部通信域,同一个通信域中的充电模块的相邻充电模块参与检测计算,从上述公式(3)可知,同一个通信域中bmk为1,否则,为0。其他可行的实施例中,若未划分局部通信域,上述公式(3)中的通信域可以理解为一个整体的通信域。
从上述公式(1)可知,瞬时自参考偏差与充电模块自身输出电流相关,瞬时协同参考偏差与充电模块自身输出电流以及其他充电模块的输出电流相关。
历史跟踪偏差标准差由历史跟踪偏差计算得到。历史跟踪偏差由历史自参考偏差和历史协同参考偏差累加和得到,应当理解,历史跟踪偏差实质上历史数据中的多个瞬时跟踪偏差得到,参照上述公式(1)。本实施例中选择历史自参考偏差为历史10个采样步长时间范围内充电模块自身输出电流与充电模块参考电流之间的偏差。历史10个采样步长时间范围内模块自身输出电流使用滚动更新保存的方式存储在控制器内嵌RAM内。同理,历史协同参考偏差的计算方法为历史10个采样步长时间范围内充电模块之间的输出电流偏差,同样使用滚动更新保存的方式存储在控制器内嵌RAM内。最后,使用历史10个采样步长范围内的历史跟踪偏差计算标准差得到历史跟踪偏差标准差。历史跟踪偏差标准差用于表征偏差当前分布情况,其公式如下所示:
Figure BDA0002968346530000071
其中,se表示历史跟踪偏差标准差;th表示历史数据调用长度,emt表示在t时刻的瞬时跟踪偏差;emt表示历史数据调用长度中各时刻瞬时跟踪偏差的平均值。
步骤S01中计算出充电模块的时域特征后,利用时域特征进行初步检测。即:若瞬时跟踪偏差或历史跟踪偏差标准差两个特征有一个以上的异常,则激发第二层检测机制,即基于频域的攻击检测。否则,视为当前充电网络未受到攻击。
步骤S02:利用基于频域的攻击检测进行二次检测。本发明选用的频域特征为频谱峰值频点。
其中,频谱峰值频点的计算数据为历史500个采样补偿范围内的各个充电模块的输出电流数据,同理,历史500个采样补偿范围内的模块输出电流使用滚动更新保存的方式存储在控制器内嵌RAM内。在提取频谱峰值频点特征时,首先调用RAM内的充电模块的历史输出电流数据,并以10000个采样点为基础进行快速傅里叶变换,从而得到历史数据的频谱数值计算结果。最后从历史数据的频谱数值计算结果中提取得到频域特征,即频谱峰值频点。频谱峰值频点用于表征数据的频谱特性。
二次检测过程是利用频谱特征进行识别,即:控制器调用存储在内部RAM内的充电模块自身的历史输出电流数据,并进行傅里叶变换得到历史输出电流的频谱数据,并基于所述频谱数据提取到频谱峰值频点,若非低频范围内存在所述频谱峰值频点,当前充电网络受到攻击,否则,视为当前充电网络未受到攻击。其中,低频范围指代接近0Hz的范围,其在0Hz周围设有预设允许误差,其一般为经验值。
二次检测的机理为:假数据注入式攻击只能躲过基于时域分析的坏数据监测机制而无法躲避频域分析,因此使用频谱分析法,若发现频域信息中存在其他非低频位置处持续存在频点,则认为当前系统的输出异常,即确认受到了攻击。
最后,当基于时域的攻击检测和基于频域的攻击检测两层检测方法均确认当前存在异常,即可认为当前系统受到了虚假数据注入式攻击,并对该异常进行进一步的分析。
综上所述,本实施例提供的检测方法,其在每个采样步长中,仅运行基于时域的攻击检测。在系统正常运行时,控制器实时获取充电模块自身传感器获取的充电模块的输出电流,同时获取相邻模块的输出电流,并将获取到的输出电流存储在控制器内部RAM中,用于计算瞬时跟踪偏差和历史跟踪偏差标准差。之后,若瞬时跟踪偏差和历史跟踪偏差标准差任一个出现异常,则触发二次检测机制。应当理解,异常的标准可以设置为是否超过阈值,譬如,瞬时偏差幅值是否超过幅值检测阈值,历史偏差标准差是否超过标准差阈值,阈值为经验值。
在现有的攻击检测方法中,基于模型的攻击检测方法具有较低的计算复杂度,但是对于模型准确性的依赖性强,这就意味着错误的模型将会引入新的错误。基于数据的攻击检测方法,其检测能力依赖于训练集的可靠性。若使用错误数据,支持向量机的训练结果将包含错误的数据特征。而基于模型-数据相结合的方法虽然能够更加准确地检测出系统的不确定性和虚假数据注入式攻击,但是在该方法的可行性依赖阈值的合理划分、状态的正确估计、机器学习方法的选择及训练集选择等多个方面,严重增加了系统的不稳定性并且降低了可控性和可调整性,同时增加了系统的计算负荷。考虑到本实施例所针对对象为储能式有轨电车充电网络,在每个充电模块中内嵌的控制器具有计算能力低、数据存储空间有限等特点,无法布置上述攻击检测方法,故提供一种本实施例所述的具有低计算复杂度、高检测准确度和低误报率的虚假数据注入式攻击检测方法应运而生。
本发明所提出的攻击检测方法兼顾数据的时域特征和频域特征,能够有效捕捉时域范围内充电模块输出分布的偏离,同时针对虚假数据注入式攻击在频域内的弱隐蔽性,引入基于频谱分析的辅助检测手段,能够有效提高攻击检测准确率。通过实验对比,本发明所述的攻击检测方法相对于基于欧几里得距离的检测方法,准确率提高了5%以上,特别是在攻击向量幅值较小时,攻击检测准确率提升能够达到17.67%。
需要说明的是,本实施例1中针对历史数据设置的采样步长范围为经验值,其可以根据实际需求进行适应性调整。还应当说明的是,本实施例中,控制层的控制器作为控制中心,其计算出充电模块的时域特征以及频谱特征,并进行检测,其中可以使用任一控制器作为主控制器,其依据所有控制器的结果最终确定系统是否受到攻击。其也可以依托本发明的构思,选择外部终端或者设备执行检测方法,即将相关数据实时传输至外部终端或者设备,再由其加载算法实现检测。
实施例2:
在完成攻击检测的基础上,本发明还针对攻击模式进行识别,即识别传感器攻击或是通信通道攻击。
根据如图2所示的整体算法流程示意图最后一个环节和如图4所示的攻击检测方法流程示意图确认攻击存在的后续分析,本发明提出了针对通信通道攻击和传感器攻击。当充电系统受到通信通道攻击时,作为数据接收方的相邻充电模块m跟踪偏差计算结果如公式(5)所示,
Figure BDA0002968346530000091
其中,echannel_attack表示相邻充电模块m的跟踪偏差;Ire0表示充电模块输出参考电流;Im表示相邻模块m的自身输出电流值;Ik表示相邻模块m通过数据交互网络接收到的其他充电模块k输出电流;Ia表示被截取并叠加攻击向量的数据发送方的输出电流;
Figure BDA0002968346530000092
表示用于叠加的虚假数据攻击向量;am用于表征相邻充电模块m是否使用参考电流数据;bmk用于表征相邻充电模块m与其他充电模块k的通信通道建立情况,其取值参照公式(2)和公式(3)。
当充电系统受到传感器攻击时,作为数据发送方的自身充电模块跟踪偏差计算结果如公式(4)所示,
Figure BDA0002968346530000093
其中,
Figure BDA0002968346530000094
表示用于叠加的虚假数据攻击向量。
通过对公式(5)的分析可知,在通信通道攻击情况下,攻击注入时刻作为数据发送方的充电模块因未接收错误数据而未受到攻击影响,故其自参考偏差并未出现异常;而作为数据接收方的相邻充电模块,其自参考偏差项由于未涉及到错误交互数据的计算,故其自参考偏差项在攻击首发时刻未出现异常。而在攻击注入时刻,未接收到错误数据的充电模块,其协同参考偏差的计算未受到错误数据的影响,故其协同参考偏差并未出现异常。而接收了错误数据的充电模块在计算协同参考偏差时,由于使用到了经过数据交互网络的错误数据,其协同参考偏差将出现异常。由于攻击的持续注入,数据发送方和接收方模块的输出将受到持续影响,其输出将偏离预设值,进而导致模块的自参考偏差出现异常。
通过对公式(6)的分析传感器攻击情况下,作为数据发送方的充电模块在攻击注入时刻由于使用了叠加有攻击向量的错误数据,其自参考偏差在计算过程中会出现因攻击向量而导致异常,然后该充电模块的自参考偏差随着攻击的持续注入而持续出现异常。对于未接收错误数据的模块不受攻击的影响,故自参考偏差未出现异常。而对于接收错误数据的相邻充电模块,由于其接收到错误数据,模块输出受到错误数据的影响,随后出现自参考偏差异常。除此之外,在攻击注入时刻,作为直接被攻击的模块的协同参考偏差由于使用了叠加有虚假数据的错误数据而出现异常。同时,由于通信信道的存在,异常被同步传输到数据接收模块。此时,错误数据接收模块的输出协同参考偏差矩阵中将同步存在异常。由于攻击的持续注入,错误数据接收模块的跟踪偏差将持续存在偏差。这会使模块的输出异常,进而导致模块的自参考偏差异常。
通过上述分析可知,通信通道攻击中,攻击注入时刻下充电模块的自参考偏差是没有异常的,而传感器攻击中,攻击注入时刻下充电模块的自参考偏差是存在异常的。据此,本发明提供的识别攻击的模式过程为:
S21:获取充电模块的历史输出电流;
S22:基于所述历史输出电流得到充电模块的历史自参考偏差和历史协同参考偏差;
S23:基于所述历史自参考偏差和历史协同参考偏差判断攻击模式;
其中,若历史自参考偏差和历史协同参考偏差中均未存在异常,则认为检测系统误报;
若历史自参考偏差和历史协同参考偏中至少一个存在异常,且异常首发时刻仅存在协同参考偏差,则认为攻击模式为通信通道攻击;否则,认为攻击模式为传感器攻击。
本实施例中,提取存储在控制器RAM内500个采样步长范围内的历史数据,并回调历史数据的自参考偏差和协同参考偏差。其他可行的实施例中,可以根据实际需求调整采样步长范围以及提取的个数。
实施例3:
在实施例1和实施例2的基础上,如图5所示,本发明适用的充电网络对象为一个包含较多充电模块的大范围充电系统,在单一控制器处理全部模块的攻击检测特征会导致计算过于复杂,这将会导致占用的计算资源过多。为了降低攻击检测复杂度,本发明提出了输出数据交互网络局部通信域概念。在有限数量的充电模块之间以单向双通道的方式建立了数据交互网络通信通道。在所提出的输出数据交互网络局部通信域中,物理世界中的模块和通信连接可以使用图的形式描述。物理世界中的充电模块可以抽象为局部通信域图中的节点,同时,通信连接可以抽象为图中的连接线。在图5中,节点0表示虚拟参考节点,为其他节点提供参考电流值;节点1,2,3,...,N表示物理世界中的充电模块;黑色虚线表示节点接受参考电流值并用于计算;红色实线表示充电模块间的数据通信。单一充电模块可以同时存在于多个局部通信域内,换言之,局部通信域内的充电模块既可以作为局部通信域内的主控制器,也可以作为协同控制器为主控制器提供模块输出数据。
实施例4:本实施例还提供一种检测终端,其作为外部设备,与图1所示的充电网络连接,用于获取充电模块的输出电流,其包括处理器和存储器,所述存储器内存储了计算机程序,所述处理器调用所述计算机程序以执行:一种基于时频域分析的充电网络注入式攻击检测方法的步骤。
其中,各个步骤的实现过程请参照前述方法的具体实现过程,在此不再赘述。
实施例5:
本发明还提供一种可读存储介质,其存储了计算机程序,所述计算机程序被处理器调用以执行:一种基于时频域分析的充电网络注入式攻击检测方法的步骤。其中,各个步骤的实现过程请参照前述方法的具体实现过程,在此不再赘述。
应当理解,在本发明实施例中,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。
所述可读存储介质为计算机可读存储介质,其可以是前述任一实施例所述的控制器的内部存储单元,例如控制器的硬盘或内存。所述可读存储介质也可以是所述控制器的外部存储设备,例如所述控制器上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述可读存储介质还可以既包括所述控制器的内部存储单元也包括外部存储设备。所述可读存储介质用于存储所述计算机程序以及所述控制器所需的其他程序和数据。所述可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。需要强调的是,本发明所述的实例是说明性的,而不是限定性的,因此本发明不限于具体实施方式中所述的实例,凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式,不脱离本发明宗旨和范围的,不论是修改还是替换,同样属于本发明的保护范围。

Claims (9)

1.一种基于时频域分析的充电网络注入式攻击检测方法,其特征在于,包括如下步骤:
步骤S01:利用基于时域的攻击检测进行初步检测;
其中,计算充电模块的瞬时跟踪偏差幅值和历史跟踪偏差标准差,若瞬时跟踪偏差和历史跟踪偏差标准差中存在一个以上的异常特征,则执行步骤S02;步骤S02:利用基于频域的攻击检测进行二次检测;
其中,采集充电模块的历史输出电流,并进行傅里叶变换得到历史输出电流的频谱数据,并基于所述频谱数据提取频谱峰值频点,若非低频范围内存在所述频谱峰值频点,当前充电网络受到攻击;
所述低频范围是由0Hz及其预设允许精度确定。
2.根据权利要求1所述的方法,其特征在于:若识别出当前的充电网络受到攻击,还包括:识别所述攻击的模式,所述模式以攻击注入位置划分为:传感器攻击和通信通道攻击;
其中,识别所述攻击的模式的过程如下:
S21:获取充电模块的历史输出电流;
S22:基于所述历史输出电流得到充电模块的历史自参考偏差和历史协同参考偏差;
S23:基于所述历史自参考偏差和历史协同参考偏差判断攻击模式;
其中,若历史自参考偏差和历史协同参考偏差中均未存在异常,则认为检测系统误报;
若历史自参考偏差和历史协同参考偏中至少一个存在异常,且异常首发时刻仅存在协同参考偏差,则认为攻击模式为通信通道攻击;否则,认为攻击模式为传感器攻击。
3.根据权利要求1所述的方法,其特征在于:所述充电模块的瞬时跟踪偏差幅值由瞬时自参考偏差和瞬时协同参考偏差累加和组成,其公式如下:
Figure FDA0002968346520000011
其中,em为充电模块m的瞬时跟踪偏差幅值,Ire0为充电模块输出参考电流;Im为充电模块m的自身输出电流;Ik为通过数据交换网络接收的其他充电模块k的输出电流;am用于表征充电模块m是否使用参考电流数据,bmk用于表征充电模块m与其他充电模块的通信通道建立情况,n为相邻充电模块的序列号。
4.根据权利要求1所述的方法,其特征在于:所述充电模块的历史跟踪偏差标准差由历史跟踪偏差计算得到,其公式如下:
Figure FDA0002968346520000021
其中,se表示历史跟踪偏差标准差;th表示历史数据调用长度,emt表示在t时刻的瞬时跟踪偏差;
Figure FDA0002968346520000022
表示历史数据调用长度中各时刻瞬时跟踪偏差的平均值。
5.根据权利要求1所述的方法,其特征在于:将充电模块作为节点划分数据交互网络局部通信域,同一个通信域中的其他充电模块参与检测充电模块的步骤S01中的初步检测以及S02中的二次检测。
6.一种基于权利要求1-5任一项所述方法的检测系统,其特征在于:包括:时域检测模块和频域检测模块;
其中,所述时域检测模块利用基于时域的攻击检测进行初步检测;
其中,所述时域检测模块计算充电模块的瞬时跟踪偏差幅值和历史跟踪偏差标准差,并判断瞬时跟踪偏差和历史跟踪偏差标准差中是否存在一个以上的异常特征;
若存在,所述频域检测模块利用基于频域的攻击检测进行二次检测;
其中,所述频域检测模块采集充电模块的历史输出电流,并进行傅里叶变换得到历史输出电流的频谱数据,并基于所述频谱数据提取频谱峰值频点;然后识别频谱峰值频点所处范围,若非低频范围内存在所述频谱峰值频点,当前充电网络受到攻击。
7.一种基于时频域分析的充电网络注入式攻击检测系统,其特征在于:包括物理层、控制层以及网络层;
其中,所述物理层中设有若干个并联的充电模块以及传感器,传感器与所述充电模块连接用于采集充电模块的输出电流,并将充电模块的输出电流反馈至控制层和网络层;
所述控制层中设有若干个控制器,每个充电模块分别与一个控制器连接,所述控制器用于提供PWM调制信号至所述充电模块以控制输出电流;以及与同一个充电模块连接的传感器和控制器之间通讯连接,所述传感器将充电模块的输出电流反馈至控制层中的所述控制器;
所述网络层由模块通信规则构成,所述传感器将充电模块的输出电流以无线通讯方式发送至数据交互网络,并通过所述数据交互网络发送至其相邻充电模块匹配的控制器;
所述控制器依据充电模块的输出电流以及其他充电模块的输出电流采用权利要求1-5任一项所述的检测方法进行攻击检测。
8.一种检测终端,其特征在于:包括处理器和存储器,所述存储器内存储了计算机程序,所述处理器调用所述计算机程序以执行:权利要求1-5任一项所述方法的步骤。
9.一种可读存储介质,其特征在于:存储了计算机程序,所述计算机程序被处理器调用以执行:权利要求1-5任一项所述方法的步骤。
CN202110255903.4A 2021-03-09 2021-03-09 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质 Pending CN112910926A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110255903.4A CN112910926A (zh) 2021-03-09 2021-03-09 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110255903.4A CN112910926A (zh) 2021-03-09 2021-03-09 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质

Publications (1)

Publication Number Publication Date
CN112910926A true CN112910926A (zh) 2021-06-04

Family

ID=76107335

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110255903.4A Pending CN112910926A (zh) 2021-03-09 2021-03-09 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质

Country Status (1)

Country Link
CN (1) CN112910926A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116232742A (zh) * 2023-03-08 2023-06-06 中国信息通信研究院 基于状态估计的虚假数据攻击检测方法和系统
CN116990578A (zh) * 2023-09-26 2023-11-03 杭州智驳科技有限公司 基于智慧电力的直流电流检测方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161241A (zh) * 2016-08-25 2016-11-23 北京科技大学 一种无线传感器网络路由层低速洪泛攻击的检测方法
CN109375105A (zh) * 2018-11-01 2019-02-22 湖南工程学院 一种新能源汽车电机运行检测系统及检测方法
US20190256616A1 (en) * 2017-10-11 2019-08-22 Arizona Board Of Regents On Behalf Of Arizona State University Solid state nanopores aided by machine learning for identification and quantification of heparins and glycosaminoglycans

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161241A (zh) * 2016-08-25 2016-11-23 北京科技大学 一种无线传感器网络路由层低速洪泛攻击的检测方法
US20190256616A1 (en) * 2017-10-11 2019-08-22 Arizona Board Of Regents On Behalf Of Arizona State University Solid state nanopores aided by machine learning for identification and quantification of heparins and glycosaminoglycans
CN109375105A (zh) * 2018-11-01 2019-02-22 湖南工程学院 一种新能源汽车电机运行检测系统及检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘博文等: "《Detection of False-Data Injection Attacks in》", 《2020 IEEE ENERGY CONVERSION CONGRESS AND EXPOSITION》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116232742A (zh) * 2023-03-08 2023-06-06 中国信息通信研究院 基于状态估计的虚假数据攻击检测方法和系统
CN116232742B (zh) * 2023-03-08 2023-10-24 中国信息通信研究院 基于状态估计的虚假数据攻击检测方法、系统、电子设备及介质
CN116990578A (zh) * 2023-09-26 2023-11-03 杭州智驳科技有限公司 基于智慧电力的直流电流检测方法及系统
CN116990578B (zh) * 2023-09-26 2024-03-01 杭州智驳科技有限公司 基于智慧电力的直流电流检测方法及系统

Similar Documents

Publication Publication Date Title
CN112910926A (zh) 一种基于时频域分析的充电网络注入式攻击检测方法、系统、终端及可读存储介质
CN108234492B (zh) 考虑负荷数据虚假注入的电力信息物理协同攻击分析方法
CN104573510B (zh) 一种智能电网恶意数据注入攻击及检测方法
Koley et al. Protection scheme for power transmission lines based on SVM and ANN considering the presence of non‐linear loads
US20180120367A1 (en) Communication-less fault section identification for hybrid hvdc transmission systems
Wang et al. A novel fault diagnosis method of smart grids based on memory spiking neural P systems considering measurement tampering attacks
Tan et al. Cyberattack detection for converter-based distributed dc microgrids: Observer-based approaches
CN107450016A (zh) 基于rst‑cnn的高压断路器故障诊断方法
CN108879606B (zh) 抽能绕组匝间故障判别方法及匝间故障保护方法和装置
Hossen et al. Self-secure inverters against malicious setpoints
CN109658002A (zh) 考虑控保系统竞争失效的电力电子装置可靠性建模方法
CN114002550B (zh) 一种直流配电网接地故障选线方法及系统
US20220043046A1 (en) Ground fault directionality detection method, device and computer readable storage medium
CN108471172A (zh) 通用型无线电能传输系统耦合机构的耦合系数辨识方法
CN114050553A (zh) 一种基于电压互感器位置识别的匝间保护方法及装置
CN109672154B (zh) 一种防止非故障相饱和差动保护误动的方法及装置
CN103618309A (zh) 电网中误差参数的调节方法和系统
CN114884027A (zh) 一种电流差动保护方法和系统
CN111917569B (zh) 利用漏报攻击模型评估电力系统抵抗网络攻击稳定的方法
CN111025080B (zh) 一种基于站域信息确定故障线路的方法及系统
Manyun et al. Detecting false data injection attacks on modern power systems based on Jensen-Shannon distance
CN207301792U (zh) 一种直流控制系统和稳控系统之间的接口测试系统
CN113709118A (zh) 一种多设备协同发波检验的物理入侵设备定位方法及系统
Zhang et al. Performance Analysis of Chi-square Detection for False Data Injection Attack
Radoglou-Grammatikis et al. False data injection attacks against high voltage transmission systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20210604

WD01 Invention patent application deemed withdrawn after publication