CN113179264A - 网络化控制系统中数据传输的攻击检测方法 - Google Patents

Abstract

网络化控制系统中数据传输的攻击检测方法，它属于数据传输的攻击检测领域。本发明解决了现有方法不能对历史未出现过的攻击进行检测的问题。本发明通过建立检测通道可以实现多种攻击的检测，而且检测使用的是无监督方法，相比于使用分类器的攻击检测方法，本发明在训练模型时不需要额外的受攻击数据来训练分类器，同时对于历史未出现过的攻击也可进行有效检测。通过对传输信号与重建信号的残差分析，可以对受攻击的通道进行判断，方便快速找到受攻击通道。本发明可以应用于网络化控制系统中数据传输的攻击检测。

Description

网络化控制系统中数据传输的攻击检测方法

技术领域

本发明属于数据传输的攻击检测领域，具体涉及一种网络化控制系统中数据传输的攻击检测方法。

背景技术

数据在数字控制器、传感器和执行器之间流动时，需要依赖通信通道进行传输，因此，容易受到通信网络的错误数据注入攻击、拒绝服务攻击和重放攻击，这些潜在的攻击为控制网络带来了巨大的安全隐患，系统一旦受到攻击会造成巨大的经济损失。攻击是否能够被预防或者能够被及时的定位和检测，对系统性能的维持起着至关重要的作用。目前，针对三种攻击的检测方式主要有数字签名技术、数字水印技术和观测器技术等。

随着工业数据库的丰富和人工智能方法的不断完善，数据驱动的深度学习方法应用越来越广泛。目前，基于支持向量机的分类器和基于深度神经网络的分类器已经被提出作为攻击检测的方法。这两种算法都是有监督的机器学习算法，可以根据标记的训练数据将测量数据分类为正常数据和异常数据。但是，由于历史数据中攻击很少出现，所以训练数据集通常高度不平衡。此外，通过这种方式，检测器只能检测已知的攻击，这是一个显著的弱点。

发明内容

本发明的目的是为解决现有方法不能对历史未出现过的攻击进行检测的问题，而提出了一种网络化控制系统中数据传输的攻击检测方法。

本发明为解决上述技术问题所采取的技术方案是：网络化控制系统中数据传输的攻击检测方法，所述方法具体包括以下步骤：

步骤一、构建数据的加密模型和解密模型；

步骤二、对历史采集的原始传感器数据中每一个维度内的数据分别进行归一化处理之后，利用归一化处理后的数据对加密模型和解密模型进行训练；

并存储加密模型所提取出的每个特征在历史传感器数据中的最大值和最小值；

步骤三、对训练好的加密模型和解密模型进行封装，封装之后的函数关系为：

加密模型：x^trans＝f(x^meas)

解密模型：

其中，x^meas为待加密的传感器数据，x^trans为加密后的传感器数据，

为解密出的传感器数据；

步骤四、在发送端，根据存储的每个特征在历史传感器数据中的最大值和最小值，对需要传输的数据进行归一化处理，获得归一化处理后的需要传输的数据；

归一化处理后的需要传输的数据通过加密模型进行加密处理，得到加密后的数据；

步骤五、通过混沌随机信号发生器生成混沌随机信号，将加密后的数据和混沌随机信号一起进行传输，其中，加密后的数据通过L个信号通道进行传输，混沌随机信号通过检测通道进行传输；

步骤六、在接收端，通过解密模型对各信号通道所传输的加密后数据进行解密操作；

步骤七、根据解密出的数据计算每个信号通道的重建误差，根据接收端产生的同步混沌随机信号计算检测通道的残差，再根据信号通道的重建误差和检测通道的残差进行攻击检测；

所述步骤七的具体过程为：

步骤七一、用于传输加密处理后的数据的第l个信号通道的重建残差为：

其中，

为对第l个信号通道解密出的数据，

为第l个信号通道所传输的加密数据，l＝1,2,…,L；

步骤七二、若每个信号通道的重建残差均满足r_l≤Δ_th，Δ_th为重建残差阈值，则加密处理后的数据在传输过程中未受到错误数据注入攻击；

若每个信号通道的重建残差均满足r_l＞Δ_th，则发生了全部通道的错误数据注入攻击；

当加密处理后的数据在传输过程中未受到错误数据注入攻击，或者发生了全部通道的错误数据注入攻击时，则继续执行步骤七三；

否则，若有的信号通道的重建残差大于Δ_th，有的信号通道的重建残差小于等于Δ_th，则重建残差大于Δ_th的信号通道发生了错误数据注入攻击、拒绝服务攻击或重放攻击，攻击检测结束；

步骤七三、计算检测通道的残差r_c为：

其中，

为发送端传输过来的混沌随机信号，

为接收端产生的同步混沌随机信号；

若检测通道的残差r_c大于0，则全部通道受到拒绝服务攻击和重放攻击，否则未发生全部通道受到拒绝服务攻击和重放攻击的情况；

攻击检测结束。

本发明的有益效果是：本发明提出了一种网络化控制系统中数据传输的攻击检测方法，本发明通过建立检测通道可以实现多种攻击的检测，而且检测使用的是无监督方法，相比于使用分类器的攻击检测方法，本发明在训练模型时不需要额外的受攻击数据来训练分类器，同时对于历史未出现过的攻击也可进行有效检测。通过对传输信号与重建信号的残差分析，可以对受攻击的通道进行判断，方便快速找到受攻击通道。

与现有方法不同，本发明在无需详细地知道控制系统和被控对象的内部结构特征时，就可以根据采集到的传感器数据和控制信号进行攻击检测。

附图说明

图1为本发明方法的流程图；

图2a)为部分通道发生注入错误数据攻击时的解密还原残差图；

图中，

图2b)为部分通道发生注入错误数据攻击时的检测通道残差图；

图3a)为部分通道发生拒绝服务攻击时的解密还原残差图；

图3b)为部分通道发生拒绝服务攻击时的检测通道残差图；

图4a)为部分通道发生重放攻击时的解密还原残差图；

图4b)为部分通道发生重放攻击时的检测通道残差图；

图5a)为全部通道发生拒绝服务攻击时的解密还原残差图；

图5b)为全部通道发生拒绝服务攻击时的检测通道残差图；

图6a)为全部通道发生重放攻击时的解密还原残差图；

图6b)为全部通道发生重放攻击时的检测通道残差图；

图7a)为1通道的残差监测图；

图7b)为2通道的残差监测图；

图7c)为3通道的残差监测图；

图7d)为4通道的残差监测图；

图7e)为5通道的残差监测图；

图7f)为6通道的残差监测图；

图7g)为7通道的残差监测图；

图7h)为8通道的残差监测图。

具体实施方式

具体实施方式一、结合图1说明本实施方式。本实施方式所述的一种网络化控制系统中数据传输的攻击检测方法，所述方法具体包括以下步骤：

步骤一、构建数据的加密模型和解密模型；

步骤二、对历史采集的原始传感器数据中每一个维度内的数据分别进行归一化处理之后，利用归一化处理后的数据对加密模型和解密模型进行训练；

并存储加密模型所提取出的每个特征在历史传感器数据中的最大值和最小值；

步骤三、对训练好的加密模型和解密模型进行封装，封装之后的函数关系为：

加密模型：x^trans＝f(x^meas) (7)

解密模型：

其中，x^meas为待加密的传感器数据，x^trans为加密后的传感器数据，

为解密出的传感器数据；

步骤四、在发送端，根据存储的每个特征在历史传感器数据中的最大值和最小值，对需要传输的数据进行归一化处理，获得归一化处理后的需要传输的数据；

本步骤仅对加密模型需要提取的特征所对应的维度数据进行归一化，然后仅对归一化了的维度的数据进行加密；

归一化处理后的需要传输的数据通过加密模型进行加密处理，得到加密后的数据；

步骤五、通过混沌随机信号发生器生成混沌随机信号，将加密后的数据和混沌随机信号一起进行传输，其中，加密后的数据通过L个信号通道进行传输，混沌随机信号通过检测通道进行传输；

所述信号通道和检测通道都是正常的通道，只是为了区分，将用于传输加密后的数据的通道叫做信号通道，将用于传输混沌随机信号的通道叫做检测通道，每个信号通道中对应传输一个特征的数据，混沌随机信号通过1个检测通道进行传输；

步骤六、在接收端，通过解密模型对各信号通道所传输的加密后数据进行解密操作；

步骤七、根据解密出的数据计算每个信号通道的重建误差，根据接收端产生的同步混沌随机信号计算检测通道的残差，再根据信号通道的重建误差和检测通道的残差进行攻击检测；

所述步骤七的具体过程为：

步骤七一、用于传输加密处理后的数据的第l个信号通道的重建残差为：

其中，

为对第l个信号通道解密出的数据，

为第l个信号通道所传输的加密数据，l＝1,2,…,L；

步骤七二、若每个信号通道的重建残差均满足r_l≤Δ_th，Δ_th为重建残差阈值，则加密处理后的数据在传输过程中未受到错误数据注入攻击；

若每个信号通道的重建残差均满足r_l＞Δ_th，则发生了全部通道的错误数据注入攻击；

当加密处理后的数据在传输过程中未受到错误数据注入攻击，或者发生了全部通道的错误数据注入攻击时，则继续执行步骤七三；

否则，若有的信号通道的重建残差大于Δ_th，有的信号通道的重建残差小于等于Δ_th，则重建残差大于Δ_th的信号通道发生了错误数据注入攻击、拒绝服务攻击或重放攻击，攻击检测结束；

步骤七三、计算检测通道的残差r_c为：

其中，

为发送端传输过来的混沌随机信号，

为接收端产生的同步混沌随机信号；

若检测通道的残差r_c大于0，则全部通道受到拒绝服务攻击和重放攻击，否则未发生全部通道受到拒绝服务攻击和重放攻击的情况；

攻击检测结束。

具体实施方式二：本实施方式与具体实施方式一不同的是，所述步骤一的具体过程为：

将自编码器的编码部分作为数据的加密模型，将自编码器的解码部分作为数据的解密模型，其中，自编码器的编码部分与解码部分的层数相同，且自编码器的编码部分和解码部分的节点数呈镜像对称。

模型的重建效果需要使用RMSE函数进行评估，RMSE越小，模型重建效果越好，当RMSE满足实际精度要求之后可用于随后的使用，否则要继续调整网络结构继续训练，如加深网络或者增加节点数。RMSE的计算公式如下:

具体实施方式三：本实施方式与具体实施方式二不同的是，所述自编码器的编码层的节点数逐层递减，整体呈沙漏型。

具体实施方式四：本实施方式与具体实施方式三不同的是，所述加密模型描述为：

其中，W₁ ^e和

分别代表编码部分第一层的权重矩阵和偏置，σ_T(·)为Tanh非线性激活函数，x^meas为待加密的传感器数据，

和

分别代表编码部分第n层的权重矩阵和偏置，n为编码部分包含的层数。

具体实施方式五：本实施方式与具体实施方式四不同的是，所述解密模型描述为：

其中，W₁ ^d和

分别代表解码部分第一层的权重矩阵和偏置，σ_L(·)为Linear激活函数，x^trans为加密后的传感器数据，

和

分别代表解码部分第n层的权重矩阵和偏置，n为解码部分包含的层数。

具体实施方式六：本实施方式与具体实施方式五不同的是，所述Tanh非线性激活函数σ_T(·)的表达式为：

其中，x为函数的自变量，e为自然对数的底数。

具体实施方式七：本实施方式与具体实施方式六不同的是，所述Linear激活函数σ_L(·)的表达式为：

σ_L(x)＝x (4)。

具体实施方式八：本实施方式与具体实施方式七不同的是，所述对历史采集的原始传感器数据中每一个维度内的数据分别进行归一化处理，归一化处理的具体过程为：

其中，x_i′为原始传感器数据中第i′个维度的数据，min(x_i′)为原始传感器数据中第i′个维度内的数据的最小值，max(x_i′)为原始传感器数据中第i′个维度内的数据的最大值，x_i′,j为第i′个维度内的第j个数据，

为归一化后的第i′个维度内的第j个数据。

具体实施方式九：本实施方式与具体实施方式八不同的是，所述利用归一化处理后的数据对加密模型和解密模型进行训练时，所采用的损失函数J(W,b)为：

其中，L为加密模型提取的特征的数量，

为第i个特征对应的归一化后原始传感器数据，

为解密模型重建出的第i个特征的数据。

具体实施方式十：本实施方式与具体实施方式九不同的是，所述混沌随机信号由混合的切比雪夫混沌映射模型生成，该混合的切比雪夫混沌映射模型包括两个参数不同的切比雪夫映射，生成的混沌随机信号的形式为：

x_a,k+1＝cos(n_a*cos^-1(x_a,k)) (11)

x_b,k+1＝cos(n_b*cos^-1(x_b,k)) (12)

其中，x_a,k+1和x_a,k分别为第一个切比雪夫映射在k+1时刻和k时刻产生的随机信号，n_a为第一个切比雪夫映射的系统参数，x_b,k+1和x_b,k分别为第二个切比雪夫映射在k+1时刻和k时刻产生的随机信号，n_b为第二个切比雪夫映射的系统参数，x_k+1为k+1时刻的混沌随机信号，x_k+1∈[-1,1]，n_a,n_b＞1。

同理，在发送端和接收端设置相同的初始状态和系统参数n_a,n_b，其幅值与其余传输通道幅值相同，可以防止检测通道暴露。

实施例

本发明的实施案例为智能电网的仿真系统。其中系统中的测量参数由最优潮流算法针对不同的负载计算得到，由各个支路，发电机和负载的功率流组成，共339个测量参数。

在本例中，共采集36000个时刻的数据，并对其进行攻击检测测试。其中前25000个数据作为训练集用于离线训练，剩下的11000个样本用于测试。在线检测时，测试集中前10000个时刻中数据正常传输，后1000个时刻在第三通道中分别加入错误数据注入攻击，拒绝服务攻击和重放攻击进行部分通道攻击检测测试，最后全部通道加入拒绝服务和重放攻击进行全部通道攻击检测测试。

1、离线训练阶段：

针对上述数据集的构建解密加密网络，网络总共8层，加密层节点数由339逐层递减至32，将传感器数据归一化之后进行训练，对训练阶段的每个特征的最大值和最小值进行存储，用于随后在线阶段的归一化处理。经过130次迭代，训练集重建均方根误差达到0.0045，验证集为0.0046。

2、在线部署测试：

1)检测通道信号生成器参数配置：

在发送端和接收端配置初始状态为0.3和0.4，参数对应为n_a＝3.0001，n_b＝10的混合切比雪夫映射，用于产生无规则随机信号，该信号随加密后的信号一同传输。

2)加密传输和解密：

发送端先将需要传输的数据按照公式(5)进行归一化，其归一化所使用的最大值和最小值为离线训练时样本的最大值和最小值，处理后的数据通过加密模型(7)进行加密处理，将加密后的数据和检测通道的信号一起进行传输。当数据传输到接收端时，通过解密模型(8)进行解密操作，并通过反归一化得到原始数据，数据重建误差曲线见图2a)至图6b)的前10000节点，正常工作时误差均在阈值之下。

3)攻击检测：

A、错误数据注入攻击和部分通道拒绝服务和重放攻击检测

注入攻击后重建误差的变化曲线见图2a)至图4b)的10000节点至11000节点，其重建均方根误差大于阈值，可进行有效的检测。

B、全部通道拒绝服务和重放攻击检测

该种攻击通过检测通道残差r_c指示，实验结果如图5a)至图6b)所示，在从第10000个样本开始，该指标大于阈值时，可判定此时的传输通道受到全部通道拒绝服务或重放攻击检测。

C、受攻击通道判断

在1通道和3通道加入错误数据注入攻击，对每个通道的重建误差进行监测，部分通道(受攻击通道附近通道)的重建误差曲线见图7a)至图7h)，发现注入攻击的通道误差要明显大于其他通道。

本发明的上述算例仅为详细地说明本发明的计算模型和计算流程，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动，这里无法对所有的实施方式予以穷举，凡是属于本发明的技术方案所引伸出的显而易见的变化或变动仍处于本发明的保护范围之列。

Claims (10)

1.网络化控制系统中数据传输的攻击检测方法，其特征在于，所述方法具体包括以下步骤：

步骤一、构建数据的加密模型和解密模型；

步骤二、对历史采集的原始传感器数据中每一个维度内的数据分别进行归一化处理之后，利用归一化处理后的数据对加密模型和解密模型进行训练；

并存储加密模型所提取出的每个特征在历史传感器数据中的最大值和最小值；

步骤三、对训练好的加密模型和解密模型进行封装，封装之后的函数关系为：

加密模型：x^trans＝f(x^meas)

解密模型：

其中，x^meas为待加密的传感器数据，x^trans为加密后的传感器数据，

为解密出的传感器数据；

步骤四、在发送端，根据存储的每个特征在历史传感器数据中的最大值和最小值，对需要传输的数据进行归一化处理，获得归一化处理后的需要传输的数据；

归一化处理后的需要传输的数据通过加密模型进行加密处理，得到加密后的数据；

步骤五、通过混沌随机信号发生器生成混沌随机信号，将加密后的数据和混沌随机信号一起进行传输，其中，加密后的数据通过L个信号通道进行传输，混沌随机信号通过检测通道进行传输；

步骤六、在接收端，通过解密模型对各信号通道所传输的加密后数据进行解密操作；

步骤七、根据解密出的数据计算每个信号通道的重建误差，根据接收端产生的同步混沌随机信号计算检测通道的残差，再根据信号通道的重建误差和检测通道的残差进行攻击检测；

所述步骤七的具体过程为：

步骤七一、用于传输加密处理后的数据的第l个信号通道的重建残差为：

其中，

为对第l个信号通道解密出的数据，

为第l个信号通道所传输的加密数据，l＝1,2,…,L；

步骤七二、若每个信号通道的重建残差均满足r_l≤Δ_th，Δ_th为重建残差阈值，则加密处理后的数据在传输过程中未受到错误数据注入攻击；

若每个信号通道的重建残差均满足r_l＞Δ_th，则发生了全部通道的错误数据注入攻击；

当加密处理后的数据在传输过程中未受到错误数据注入攻击，或者发生了全部通道的错误数据注入攻击时，则继续执行步骤七三；

否则，若有的信号通道的重建残差大于Δ_th，有的信号通道的重建残差小于等于Δ_th，则重建残差大于Δ_th的信号通道发生了错误数据注入攻击、拒绝服务攻击或重放攻击，攻击检测结束；

步骤七三、计算检测通道的残差r_c为：

其中，

为发送端传输过来的混沌随机信号，

为接收端产生的同步混沌随机信号；

若检测通道的残差r_c大于0，则全部通道受到拒绝服务攻击和重放攻击，否则未发生全部通道受到拒绝服务攻击和重放攻击的情况；

攻击检测结束。

2.根据权利要求1所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述步骤一的具体过程为：

将自编码器的编码部分作为数据的加密模型，将自编码器的解码部分作为数据的解密模型，其中，自编码器的编码部分与解码部分的层数相同，且自编码器的编码部分和解码部分的节点数呈镜像对称。

3.根据权利要求2所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述自编码器的编码层的节点数逐层递减，整体呈沙漏型。

4.根据权利要求3所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述加密模型描述为：

其中，W₁ ^e和

分别代表编码部分第一层的权重矩阵和偏置，σ_T(·)为Tanh非线性激活函数，x^meas为待加密的传感器数据，

和

分别代表编码部分第n层的权重矩阵和偏置，n为编码部分包含的层数。

5.根据权利要求4所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述解密模型描述为：

其中，W₁ ^d和

分别代表解码部分第一层的权重矩阵和偏置，σ_L(·)为Linear激活函数，x^trans为加密后的传感器数据，

和

分别代表解码部分第n层的权重矩阵和偏置，n为解码部分包含的层数。

6.根据权利要求5所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述Tanh非线性激活函数σ_T(·)的表达式为：

其中，x为函数的自变量，e为自然对数的底数。

7.根据权利要求6所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述Linear激活函数σ_L(·)的表达式为：

σ_L(x)＝x。

8.根据权利要求7所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述对历史采集的原始传感器数据中每一个维度内的数据分别进行归一化处理，归一化处理的具体过程为：

其中，x_i′为原始传感器数据中第i′个维度的数据，min(x_i′)为原始传感器数据中第i′个维度内的数据的最小值，max(x_i′)为原始传感器数据中第i′个维度内的数据的最大值，x_i′,j为第i′个维度内的第j个数据，

为归一化后的第i′个维度内的第j个数据。

9.根据权利要求8所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述利用归一化处理后的数据对加密模型和解密模型进行训练时，所采用的损失函数J(W,b)为：

其中，L为加密模型提取的特征的数量，

为第i个特征对应的归一化后原始传感器数据，

为解密模型重建出的第i个特征的数据。

10.根据权利要求9所述的网络化控制系统中数据传输的攻击检测方法，其特征在于，所述混沌随机信号由混合的切比雪夫混沌映射模型生成，该混合的切比雪夫混沌映射模型包括两个参数不同的切比雪夫映射，生成的混沌随机信号的形式为：

x_a,k+1＝cos(n_a*cos^-1(x_a,k))

x_b,k+1＝cos(n_b*cos^-1(x_b,k))

其中，x_a,k+1和x_a,k分别为第一个切比雪夫映射在k+1时刻和k时刻产生的随机信号，n_a为第一个切比雪夫映射的系统参数，x_b,k+1和x_b,k分别为第二个切比雪夫映射在k+1时刻和k时刻产生的随机信号，n_b为第二个切比雪夫映射的系统参数，x_k+1为k+1时刻的混沌随机信号，x_k+1∈[-1,1]，n_a,n_b＞1。

Images