CN114928463A - 基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统 - Google Patents

Abstract

本发明提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统，涉及计算机网络安全技术领域。该方法由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现，DoS攻击检测系统包括：FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点；基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值测量和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。

Description

基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统

技术领域

本发明涉及计算机网络安全技术领域，特别是指一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统。

背景技术

CPS(Cyber-Physical System，信息物理系统)是将环境感知、网络通信、数据计算与控制等系统相结合的复杂系统，在生物医疗的监测记录、交通运输的高效通信以及智能电网的调度配电等各个领域都有广泛应用。在CPS将物理系统与网络融合的过程中，由于网络的开放性和数据交互的频繁性，容易遭受恶意的网络攻击。这些攻击往往会破坏正常通信，影响数据的可信性进而对系统产生损害。因此，对CPS的安全性进行研究具有重要意义。

DoS(Denial of Service，拒绝服务)攻击作为通信传输网络中常见的恶意攻击手段，由攻击者向通信通道发送大量无用的数据包以占用网络带宽资源，影响资源的正常传输，使计算机网络无法向合法请求提供服务。DoS攻击具有方式简单、容易发动的特点，它的存在会使得系统的服务效率变差，乃至网络阻塞、通信中断，无法实现正常的业务需求。DoS攻击具有方式简单、容易发动的特点，它的存在会使得系统的服务效率变差，乃至网络阻塞、通信中断，无法实现正常的业务需求。

对恶意攻击的检测是系统安全问题的研究重点之一，如何针对特定类型的攻击设置合理的评判指标以及保证检测的高度准确性是其中的难点和关键，针对DoS攻击的检测已经取得了一些非常出色的成果。文献[O.Igbe,O.Ajayi,T.Saadawi.Denial of serviceattack detection using dendritic cell algorithm.In: Proceedings of IEEEAnnual Ubiquitous Computing,Electronics and Mobile Communication Conference,New York City,USA,2017,pp.294-299]将对正常流量和非正常流量的检测比作人体免疫系统对正常细胞和非正常细胞的区分，通过树突状细胞算法将每一个节点视为一个树突状细胞实现对网络中DoS攻击的检测。文献[D.Wang,L.He,Y.Xue,Y.Dong.Exploitingartificial immune systems to detect unknown DoS attacks in real-time.In:Proceedings of IEEE International Conference on Cloud Computing andIntelligence Systems,Hangzhou,China,2012,pp.646-650]通过树状的父子结构对信息的保存及单个流以及多个流相结合特征的提取，采用邻域负选择方法增强训练对攻击流的筛别，降低了攻击流的隐蔽性，具有动态适应性。

综上所述，现有技术中的检测方法无法尽早、及时地检测出DoS攻击，并提前采取合适的对策，降低或避免攻击所造成的影响。

发明内容

针对现有技术中无法尽早、及时地检测出DoS攻击，并提前采取合适的对策，降低或避免攻击所造成的影响的问题，本发明提出了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统。

为解决上述技术问题，本发明提供如下技术方案：

一方面，提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法，该方法应用于电子设备，由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现，DoS攻击检测系统包括：FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点；该方法包括：

S1：获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设所述有限脉冲响应FIR子系统的循环周期；

S2：所述输出参数经所述二值传感器输入至所述通信网络；所述通信网络传输数据至所述估计中心；

S3：根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS攻击策略；

S4：通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测。

可选地，步骤S1中，获取有限脉冲响应FIR子系统的输入参数以及输出参数，包括：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u_k是所述FIR子系统输入；φ_k＝[u_k,...,u_k-n+1]^T是所述FIR子系统输入组成的回归向量；θ＝[a₁,...,a_n]^T是未知参数向量，a₁…a_n代表参数向量中的分量，是一个代数符号；d_k是所述FIR子系统噪声；y_k是所述FIR子系统输出。

可选地，步骤S1中，预设所述有限脉冲响应FIR子系统的循环周期，包括：

预设所述FIR子系统输入周期为n，即u_k+n＝u_k(k≥1)；记

则{u_k}生成如下述公式(2)的循环矩阵：

可选地，步骤S2中，所述输出参数经所述二值传感器输入到所述通信网络，包括：

将得到的所述FIR子系统输出y_k经由阈值为C∈(-∞,∞)的二值传感器测量，得到如下述公式(3) 的示性函数s_k：

可选地，步骤S3中，根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS 攻击策略，包括：所述示性函数s_k通过所述通信网络传输给远程的所述估计中心，在时刻k，若攻击发生，估计中心不能接收到s_k，则发生了数据丢包；在所述通信网络的传输过程中，用γ_k表示是否发生了攻击：

其中，当γ_k＝1时，表示未受到攻击，当γ_k＝0时，表示受到攻击；所述γ_k的分布依赖于s_k的取值，通过如下述公式(5)的概率模型表示：

通过所述概率模型得出DoS攻击策略，记为(p₀,p₁)；其中，P_r表示概率，p₀表示当s_k取0时，γ_k取0的概率，p₁表示当s_k取1时，γ_k取0的概率。

可选地，DoS攻击检测系统中，存在一个已知集合

使得系统的未知参数θ∈Ω_θ；所述Ω_θ为所述位置参数θ的先验信息。

可选地，步骤S4中，通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测，包括：

通过所述DoS攻击节点，基于所述估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，以及未知参数的先验信息Ω_θ，设计如下DoS攻击离线检测算法：

根据所述估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，根据下述公式(6)对ξ_N,i进行计算：

其中，

[g]表示小于或等于“g”的最大正整数；

根据下述公式(7)计算参数估计值

其中，Φ^-1为由所述公式(5)定义的Φ的逆矩阵；F^-1(·)表示噪声分布函数F(·)的反函数；

判断是否收到DoS攻击：若

则判定系统受到了DoS攻击；否则，判定未受到DoS攻击，完成所述通信网络数据传输过程的攻击检测。

可选地，步骤S4中，通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测，包括：

通过所述DoS攻击节点，基于所述估计中心的接收的可用信息以及未知参数的先验信息Ω_θ，设计如下DoS攻击在线检测算法：

给定初值χ_0,i,j∈(0,1)，i＝1,2,...,n,j＝1,2。

基于k时刻信息γ_k,γ_ks_k和χ_k-1,i,j，根据下述公式(8)计算χ_k,i,j,i＝1,...,n,j＝1,2：

其中，mod(k,n)表示k除以n的余数；

基于χ_k,i,1和χ_k,i,2，根据下述公式(9)计算

其中，约定

判断k时刻是否受到了DoS攻击：若

则判定系统受到了DoS攻击；否则，判定系统未受DoS攻击，完成所述通信网络数据传输过程的攻击检测。。

一方面，提供了一种基于二值量测面向FIR子系统辨识的DoS攻击检测系统，该系统应用于电子设备，该系统包括：

FIR子系统，用于获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设所述有限脉冲响应FIR子系统的循环周期；

二值传感器，用于所述输出参数经所述二值传感器输入至通信网络；

通信网络，用于传输数据至估计中心；

估计中心，用于根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS攻击策略；

DoS攻击节点，用于通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测。

可选地，FIR子系统，用于：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u_k是所述FIR子系统输入；φ_k＝[u_k,...,u_k-n+1]^T是所述FIR子系统输入组成的回归向量；θ＝[a₁,...,a_n]^T是未知参数向量，a₁…a_n代表参数向量中的分量，是一个代数符号；d_k是所述FIR子系统噪声；y_k是所述FIR子系统输出。

一方面，提供了一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令，所述至少一条指令由所述处理器加载并执行以实现上述基于二值量测面向FIR子系统辨识的DoS 攻击检测方法。

一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述至少一条指令由处理器加载并执行以实现上述基于二值量测面向FIR子系统辨识的DoS攻击检测方法。

本发明实施例的上述技术方案至少具有如下有益效果：

上述方案中，本发明提供的方法能够及时的检测到攻击的发生，并提前采取合适的对策，降低或避免攻击所造成的影响。针对FIR(Finite Impulse Response，有限脉冲响应)系统，基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值测量和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。引入了漏判率和误判率的概念，给出了它们的计算方法和大数据量下的近似计算公式。进而，分析了系统参数的先验信息和数据长度对检测算法性能的影响。通过数值仿真证实了分析结果的合理性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的方法流程图；

图2是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的方法流程图；

图3是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的数据传输图；

图4是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的离线检测算法示意图；

图5是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的在线检测算法示意图；

图6是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率在不同攻击策略下的变化曲线图；

图7是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率随着试验次数T的变化曲线图；

图8是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的误判率随着试验次数T的变化曲线图；

图9是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率在不同先验信息下的变化曲线图；

图10是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的误判率在不同先验信息下的变化曲线图；

图11是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测系统的系统结构图；

图12是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明实施例提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法，该方法可以由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现，DoS攻击检测系统包括：FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点；该方法可以由电子设备实现，该电子设备可以是终端或服务器。如图1所示的基于二值量测面向FIR系统辨识的DoS攻击检测方法流程图，该方法的处理流程可以包括如下的步骤：

S101：获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设有限脉冲响应FIR子系统的循环周期；

S102：输出参数经二值传感器输入至通信网络；通信网络传输数据至估计中心；

S103：根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS攻击策略；

S104：通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS 攻击检测算法，完成通信网络数据传输过程的攻击检测。

可选地，步骤S101中，获取有限脉冲响应FIR子系统的输入参数以及输出参数，包括：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u_k是FIR子系统输入；φ_k＝[u_k,...,u_k-n+1]^T是FIR子系统输入组成的回归向量；θ＝[a₁,...,a_n]^T是未知参数向量，a₁…a_n代表参数向量中的分量，是一个代数符号；d_k是FIR子系统噪声；y_k是FIR子系统输出。

可选地，步骤S101中，预设有限脉冲响应FIR子系统的循环周期，包括：

预设FIR子系统输入周期为n，即u_k+n＝u_k(k≥1)；记

则{u_k}生成如下述公式(2)的循环矩阵：

可选地，步骤S102中，输出参数经二值传感器输入到通信网络，包括：

将得到的FIR子系统输出y_k经由阈值为C∈(-∞,∞)的二值传感器测量，得到如下述公式(3)的示性函数s_k：

可选地，步骤S103中，根据传输过程历史数据中，估计中心接收到的s_k的取值，获得DoS攻击策略，包括：示性函数s_k通过通信网络传输给远程的估计中心，在时刻k，若攻击发生，估计中心不能接收到s_k，则发生了数据丢包；在通信网络的传输过程中，用γ_k表示是否发生了攻击：

其中，当γ_k＝1时，表示未受到攻击，当γ_k＝0时，表示受到攻击；γ_k的分布依赖于s_k的取值，通过如下述公式(5)的概率模型表示：

通过概率模型得出DoS攻击策略，记为(p₀,p₁)；其中，P_r表示概率，p₀表示当s_k取0时，γ_k取0 的概率，p₁表示当s_k取1时，γ_k取0的概率。

可选地，DoS攻击检测系统中，存在一个已知集合

使得系统的未知参数θ∈Ω_θ；Ω_θ为位置参数θ的先验信息。

可选地，步骤S104中，通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成通信网络数据传输过程的攻击检测，包括：

通过DoS攻击节点，基于估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，以及未知参数的先验信息Ω_θ，设计如下DoS攻击离线检测算法：

根据估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，根据下述公式(6)对ξ_N,i进行计算：

其中，

[g]表示小于或等于“g”的最大正整数；

根据下述公式(7)计算参数估计值

其中，Φ^-1为由公式(5)定义的Φ的逆矩阵；F^-1(·)表示噪声分布函数F(·)的反函数；

判断是否收到DoS攻击：若

则判定系统受到了DoS攻击；否则，判定未受到DoS攻击，完成通信网络数据传输过程的攻击检测。

可选地，步骤S104中，通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成通信网络数据传输过程的攻击检测，包括：

通过DoS攻击节点，基于估计中心的接收的可用信息以及未知参数的先验信息Ω_θ，设计如下DoS 攻击在线检测算法：

给定初值χ_0,i,j∈(0,1)，i＝1,2,...,n,j＝1,2。

基于k时刻信息γ_k,γ_ks_k和χ_k-1,i,j，根据下述公式(8)计算χ_k,i,j,i＝1,...,n,j＝1,2：

其中，mod(k,n)表示k除以n的余数；

基于χ_k,i,1和χ_k,i,2，根据下述公式(9)计算

其中，约定

判断k时刻是否受到了DoS攻击：若

则判定系统受到了DoS攻击；否则，判定系统未受DoS攻击，完成通信网络数据传输过程的攻击检测。

本发明实施例中，本发明针对FIR系统，基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值测量和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。尽早、及时地检测出DoS攻击有助于提前采取合适的对策，降低或避免攻击所造成的影响，如：在智能电网中实现对攻击的实时监测以及状态恢复，可以提高电网系统的鲁棒性；在无人汽车系统中，针对攻击设计故障检测器与控制器相协同可以提高汽车的安全性，等等。

本发明实施例提供了一种基于二值量测面向FIR子系统辨识的DoS攻击检测方法，该方法可以由电子设备实现，该电子设备可以是终端或服务器。如图2所示的基于二值量测面向FIR子系统辨识的 DoS攻击检测方法流程图，该方法的处理流程可以包括如下的步骤：

S201：根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u_k是FIR子系统输入；φ_k＝[u_k,...,u_k-n+1]^T是FIR子系统输入组成的回归向量；θ＝[a₁,...,a_n]^T是未知参数向量，a₁…a_n代表参数向量中的分量，是一个代数符号；d_k是FIR子系统噪声；y_k是FIR子系统输出。

S202：预设FIR子系统输入周期为n，即u_k+n＝u_k(k≥1)；记

则{u_k}生成如下述公式(2)的循环矩阵：

S203：输出参数经二值传感器输入到通信网络，包括：

将得到的FIR子系统输出y_k经由阈值为C∈(-∞,∞)的二值传感器测量，得到如下述公式(3)的示性函数s_k：

一种可行的实施方式中，如图3所示，s_k通过通信网络传输给远程的估计中心，但其传输过程可能受到DoS攻击。

S204：根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS攻击策略；

一种可行的实施方式中，根据传输过程历史数据中，估计中心接收到的s_k的取值，获得DoS攻击策略，包括：示性函数s_k通过通信网络传输给远程的估计中心，如图3所示，在时刻k，若攻击发生，估计中心不能接收到s_k，则发生了数据丢包；在通信网络的传输过程中，用γ_k表示是否发生了攻击：

其中，当γ_k＝1时，表示未受到攻击，当γ_k＝0时，表示受到攻击；γ_k的分布依赖于s_k的取值，通过如下述公式(5)的概率模型表示：

通过概率模型得出DoS攻击策略，记为(p₀,p₁)；其中，P_r表示概率，p₀表示当s_k取0时，γ_k取0 的概率，p₁表示当s_k取1时，γ_k取0的概率。

一种可行的实施方式中，本发明具有如下假设：1、系统噪声{d_k}是均值为零、方差为σ²的独立同分布正态随机变量序列；2、其分布函数和概率密度函数分别记为F(g)和f(g)，攻击过程{γ_k}是一个独立的随机变量序列，0≤p₀,p₁＜1；3、存在一个已知集合

使得系统的未知参数θ∈Ω_θ；其中，Ω_θ为位置参数θ的先验信息。

本发明实施例中，目的是在系统辨识的框架下对DoS攻击进行检测，设计算法来判断其存在性，引入评价算法性能的指标，并对影响算法性能的因素进行分析。

S205：通过DoS攻击节点，基于估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，以及未知参数的先验信息Ω_θ，设计DoS攻击离线检测算法，完成通信网络数据传输过程的攻击检测。

一种可行的实施方式中，如图4所示，设计的DoS攻击离线检测算法包括：

根据估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，根据下述公式(6)对ξ_N,i进行计算：

其中，

[g]表示小于或等于“g”的最大正整数；

根据下述公式(7)计算参数估计值

其中，Φ^-1为由公式(5)定义的Φ的逆矩阵；F^-1(·)表示噪声分布函数F(·)的反函数；

判断是否收到DoS攻击：若

则判定系统受到了DoS攻击；否则，判定未受到DoS攻击。

S206：通过DoS攻击节点，基于估计中心的接收的可用信息以及未知参数的先验信息Ω_θ，设计DoS攻击在线检测算法。

一种可行的实施方式中，如图5所示，设计的DoS攻击在线检测算法包括：

给定初值χ_0,i,j∈(0,1)，i＝1,2,...,n,j＝1,2。

基于k时刻信息γ_k,γ_ks_k和χ_k-1,i,j，根据下述公式(8)计算χ_k,i,j,i＝1,...,n,j＝1,2：

其中，mod(k,n)表示k除以n的余数；

基于χ_k,i,1和χ_k,i,2，根据下述公式(9)计算

其中，约定

判断k时刻是否受到了DoS攻击：若

则判定系统受到了DoS攻击；否则，判定系统未受DoS攻击。

一种可行的实施方式中，本发明还引入可检测性、漏判率、误判率的概念，然后给出漏判率和误判率的计算方法，进而讨论系统参数先验信息和数据长度对检测算法性能的影响。

一种可行的实施方式中，本发明给出定义I.可检测性：对于一些破坏性比较小或者甚微的网络攻击，从算法的角度往往难以判断其存在性，讨论网络攻击的可检测性是分析检测算法性能的基本前提。对给定的系统和攻击检测算法，一个网络攻击称为是可检测的或具有可检测性是指：在数据量充分大时，检测算法可以准确判断系统是否受到了它的攻击。否则，称为是不可检测的或不具有可检测性。接下来建立可检测性的定义，并对二值测量下的系统和离线检测算法，给出DoS攻击(p₀,p₁)具有可检测性需要满足的条件。

一种可行的实施方式中，本发明给出引理I.对二值测量下的系统和离线检测算法，如果假设1-假设3成立，由公式(7)给出的未知参数的估计值强收敛到Φ^-1[C-F^-1(η₁),...,C-F^-1(η_n)]^T，即

其中，

F_i＝F(C-π_iθ),p_i＝p₀+(p₁-p₀)F_i,i＝1,2,...,n。

根据假设2.1、公式(1)-(4)以及全概率公式，可以得出

根据上式并考虑到输入的周期性，可知

E(γ_(l-1)n+i)＝1-p_i, (12)

E(γ_(l-1)n+is_(l-1)n+i)＝(1-p₁)F_i. (13)

由大数定律，可得

结合公式(6)、(11)可以给出

ξ_N,i→η_i,w.p.1 as N→∞,i＝1,2,...,n. (14)

由公式(7)，引理得证。

在p₀＝p₁＝0时，可知η_i＝F_i,i＝1,2,...,n，进而有

根据定义4.1和引理4.1，可知： DoS攻击(p₀,p₁)是可检测的

其中，

由此给出了DoS攻击可检测的条件。对于不可检测的攻击，即便数据量足够大，也不能判断它的存在性。在接下来的讨论中，没有特殊说明都假定(p₀，p₁)是可检测的。

一种可行的实施方式中，定义II.误判率与漏检率：检测算法的判断结果与实际情况是否一致会出现两种情况：判断结果与实际情况吻合和判断结果与实际情况冲突。其中，后者又可以分为漏判和误判两种情况，相应的关系如表1所示。

表1.检测结果与实际情况对比

对给定的先验信息Ω_θ和数据长度N，一个攻击检测算法的漏判率是指：系统受到攻击，但算法判断系统未受到攻击的概率，记做P_M(N,Ω_θ)。误判率是指：系统未受到攻击，但算法判断系统受到了攻击的概率，记做P_E(N,Ω_θ)。

漏判率和误判率类似于统计假设检验中犯第Ⅰ类错误和第Ⅱ类错误的概率。设计如下假设检验问题：

原假设H₀：系统受到DoS攻击，备择假设H₁：系统未受到DoS攻击。

当假设H₀正确时，小概率事件也有可能发生，此时会拒绝假设H₀，因而犯了“弃真”的错误，称此为第一类错误，也就是出现了“漏判”；当假设H₀不正确，但抽样检验未发生不合理结果时，这时会接受H₀，因而犯了“取伪”的错误，称此为第二类错误，也就是出现了“误判”。

根据定义II，可知算法1的漏判率P_M(N,Ω_θ)和误判率P_E(N,Ω_θ)分别为：

其中，∨表示逻辑运算“或”；

表示

在条件F下的密度函数。

下面给出在数据长度N比较大时漏判率和误判率的计算表达式，为此先给出一个引理。

一种可行的实施方式中，本发明给出引理II，在引理I的条件下，θ的估计值

具有如下的渐近正态性：

N→∞,

其中，

表示依分布收敛，

diag[...]代表对角矩阵，

η_i由公式(11)给出，i＝1,...,n

一种可行的实施方式中，证明：记S_l,i:＝η_iγ_(l-1)n+i-γ_(l-1)n+is_(l-1)n+i，i＝1,2,...,n。根据公式(12) 和(13)，可得

E(S_l,i)＝E(η_iγ_(l-1)n+i-γ_(l-1)n+is_(l-1)n+i)

＝η_i(1-p_i)-(1-p₁)F_i

＝0

和

考虑到1-p₁≥0，F_i＞0，1-η_i＞0，可知α_i＞0。因为

以及

固有：

引理III有

由公式(12)可得

结合公式(6)和公式(19)、(20)，以及引理II可知

由微分中值定理可知，存在介于η_i和ξ_N,i之间的数

使得

由公式(14)可知

N→∞，注意到

可知

上式结合公式(6)、(19)-(20)以及引理II可知：

联合上式、

和公式(21)，引理得证。

在上述引理中，可以看出，Σ是p₀,p₁的函数，因此也可以记为Σ＝Σ(p₀,p₁)。在没有攻击时，也就是p₀＝p₁＝0时，记Σ为Σ₂，即

其中，

否则，记Σ为Σ₁，即Σ₁＝Σ(p₀,p₁|p₀≠0∨p₁≠0)。

于是，在N比较大时，根据公式(17)(18)可得DoS离线检测算法的漏判率和误判率分别为：

其中，

|Σ_i|表示矩阵的行列式；Σ_i由引理II给出，i＝1,2。

由(22)和(23)可知，影响检测算法判断结果的主要因素有未知参数先验信息和数据长度，接下来对它们进行分析。

下面结合本发明实施例，对未知参数先验信息的单调性进行详细说明。

设存在两个集合Ω_θ,1和Ω_θ,2，使得θ∈Ω_θ,1,Ω_θ,2，且有

根据(24)和(25)，可知

以及

若系统受到DoS攻击，则离线检测算法在先验信息Ω_θ,1和Ω_θ,2下的漏判率分别为

根据上述公式以及公式(22)和(26)，可知P_M(N,Ω_θ,1)≤P_M(N,Ω_θ,2)，即先验信息范围越小，漏判率越小。

若系统未受到DoS攻击，则算法1在先验信息Ω_θ,1和Ω_θ,2下的误判率分别为

联合上式、以及公式(23)和(27)，可得，即先验信息范围越大，误判率越小。

关于未知参数先验信息的单调性

为方便本小节的表述，假定系统参数的先验信息Ω_θ是Rⁿ中的长方体，即有

并记b＝[b ₁,…,b _n]^T∈Rⁿ,

对于不是长方体的情况，可采用多个长方体逼近的方式进行处理。下文中，当“≤”和“≥”连接两个向量时，约定表示向量中对应的各个元素之间的“≤”和“≥”。

漏判率P_M(N,Ω_θ)关于数据长度N的单调性：

记

在(20)中，令

可得：

其中，

对于可检测的攻击，可知

因此，c_i 与

符号相同，下面仅讨论c_i ＞0，

的情况，其余情况的讨论类似可得。

定义函数g_i(t)＝tψ(υ_i(t),Σ₁)，υ_i(t)＝[x₁,...,x_i-1,mt,x_i+1,x_n]^T，i＝1,2,...,n。g_i(t)对t求导，可得

其中，

设

则有

其中

将上式带入(29)，可以得到

由于Σ₁是协方差矩阵，可知：μ_i,i＞0。因此，当

时，

在公式(28)中，G(m)对m求导，可得

其中，

由于

根据g_i(t)的单调性可知：ζ_i(m)＜0，i＝1,2,...,n。注意到

因此由公式(30) 可知，当

时，

即G(m)关于m单调递减，也就意味着P_M(N,Ω_θ)关于N单调递减。这说明了，随着数据长度N的增加，检测算法的漏判率逐渐降低。

误判率P_E(N,Ω_θ)关于数据长度N的单调性：

若系统未受到DoS攻击，算法1在不同数据长度下的误检率分别为

注意到θ＝[a₁,...,a_n]^T∈Ω_θ,因此可知

其中，0表示元素全为0的n维列向量。于是，有

由于

与

在N较大时近似服从同一个正态分布，因此有P_E(N,Ω_θ)≥P_E(N+1,Ω_θ)；即：随着数据长度的增加，误判率逐渐减小。

本发明实施例中，针对给出的攻击检测方法，做出了数据仿真实验，下面进行详细说明。

考虑系统：

其中，周期性输入{u_k}构成的循环矩阵Φ＝circ(1,-1.5)；未知参数θ＝[a₁,a₂]^T＝[1,-1.5]^T∈Ω_θ＝{[z₁,z₂]|-3.4≤z₁≤-1.1,-0.2≤z₂≤1.7}；二值传感器的阈值C＝0；N为样本长度；噪声{d_k}是独立同分布的正态随机变量序列，均值为0，标准差为8，即d_k～N(0,8²)。

s_k通过一个通信网络传输给远程的估计中心，但受到DoS攻击，其中(p₀,p₁)＝(0.2,0.05)。采用本发明设计的DoS离线检测算法来检测是否存在攻击，进行了T次试验，第T＝350次试验得到的参数估计(由(7)给出)序列记做：

采用频率逼近概率的方法，用

和

来近似DoS离线检测算法在数据长度为N、实验次数为T时的漏判率和误判率。

给定另一组攻击策略(p₀,p₁)＝(0.11,0.15)，此时，根据引理I知

可以看出这组攻击不满足可检测性。在攻击策略(p₀,p₁)＝(0.2,0.05)时，可得

这说明该攻击满足可检测性。图6给出了DoS离线检测算法在不同攻击策略下的漏判率随着数据量的变化曲线，从中可以看出，当攻击策略不满足可检测性条件时，DoS离线检测算法在数据量足够大时也无法检测到它的存在；反之，随着数据量的增大， DoS离线检测算法的判断越来越准确。

给定数据长度N，可由(22)和(23)计算得到DoS离线检测算法的漏判率P_M(N,Ω_θ)＝0.43781，误判率P_E(N,Ω_θ)＝0.18879。图7和图8给出了DoS离线检测算法的漏判率和误判率随着试验次数T 的变化曲线，从中可以看出：随着实验次数的增加，DoS离线检测算法的漏判率和误判率趋于由(22)和 (23)计算得到的结果。

给定系统参数的另一个先验信息：Ω_θ,2＝{[z₁,z₂]|-3.6≤z₁≤-1,-0.4≤z₂≤1.9}，并把原来的Ω_θ记做Ω_θ,1，可以看出

图9和图10展示了算法1的漏判率和误判率在不同先验信息下的变化曲线，可以看出：在相同的数据长度N下，先验信息范围越大，系统的漏判率越大，误判率越小，这与前述误判率的结论一致；在给定的先验信息Ω_θ下，随着数据长度N的增加，漏判率和误判率也逐渐降低，这与对单调性判断的结论一致。

本发明实施例中，旨在解决DoS攻击的检测问题，在系统辨识的框架下针对二值观测FIR系统设计了检测算法，引入了评价检测算法性能的指标：漏判率和误判率，并给出了它们的计算方法，讨论了系统参数先验信息和数据长度对检测算法的影响。

本发明在量化辨识的框架下对DoS攻击的检测展开研究。针对FIR系统，基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值量测和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。

由于小概率事件也有可能发生以及样本数量有限的情况，因而不可避免地会犯“弃真”和“取伪”的错误，检测算法会出现“漏判”和“误判”，也就是统计中的第I类错误和第II类错误。引入了漏判率和误判率的概念，给出了它们的计算方法和大数据量下的近似计算公式。进而，分析了系统参数的先验信息和数据长度对检测算法性能的影响，先验信息范围越大，系统的漏判率越大、误判率越小，随着数据长度的增加，漏判率和误判率也逐渐降低。

图11是根据一示例性实施例示出的一种基于二值量测面向FIR子系统辨识的DoS攻击检测系统 300框图。参照图11，该系统300包括：

FIR子系统310，用于获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设有限脉冲响应 FIR子系统的循环周期；

二值传感器320，用于输出参数经二值传感器输入至通信网络；

通信网络330，用于传输数据至估计中心；

估计中心340，用于根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS 攻击策略；

DoS攻击节点350，用于通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成通信网络数据传输过程的攻击检测。

可选地，FIR子系统310，用于：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u_k是FIR子系统输入；φ_k＝[u_k,...,u_k-n+1]^T是FIR子系统输入组成的回归向量；θ＝[a₁,...,a_n]^T是未知参数向量，a₁…a_n代表参数向量中的分量，是一个代数符号；d_k是FIR子系统噪声；y_k是FIR子系统输出。

可选地，FIR子系统310，用于：

预设FIR子系统输入周期为n，即u_k+n＝u_k(k≥1)；记

则{u_k}生成如下述公式(2)的循环矩阵：

可选地，二值传感器320，用于：将得到的FIR子系统输出y_k经由阈值为C∈(-∞,∞)的二值传感器测量，得到如下述公式(3)的示性函数s_k：

可选地，估计中心340，用于示性函数s_k通过通信网络传输给远程的估计中心，在时刻k，若攻击发生，估计中心不能接收到s_k，则发生了数据丢包；在通信网络的传输过程中，用γ_k表示是否发生了攻击：

其中，当γ_k＝1时，表示未受到攻击，当γ_k＝0时，表示受到攻击；γ_k的分布依赖于s_k的取值，通过如下述公式(5)的概率模型表示：

通过概率模型得出DoS攻击策略，记为(p₀,p₁)；其中，P_r表示概率，p₀表示当s_k取0时，γ_k取0 的概率，p₁表示当s_k取1时，γ_k取0的概率。

可选地，DoS攻击检测系统中，存在一个已知集合

使得系统的未知参数θ∈Ω_θ；Ω_θ为位置参数θ的先验信息。

可选地，DoS攻击节点350，用于通过DoS攻击节点，基于估计中心的接收的可用信息 {γ_k,γ_ks_k:k＝1,2,...,N}，以及未知参数的先验信息Ω_θ，设计如下DoS攻击离线检测算法：

根据估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，根据下述公式(6)对ξ_N,i进行计算：

其中，

[g]表示小于或等于“g”的最大正整数；

根据下述公式(7)计算参数估计值

其中，Φ^-1为由公式(5)定义的Φ的逆矩阵；F^-1(·)表示噪声分布函数F(·)的反函数；

判断是否收到DoS攻击：若

则判定系统受到了DoS攻击；否则，判定未受到DoS攻击，完成通信网络数据传输过程的攻击检测。

可选地，DoS攻击节点350，用于通过DoS攻击节点，基于估计中心的接收的可用信息以及未知参数的先验信息Ω_θ，设计如下DoS攻击在线检测算法：

给定初值χ_0,i,j∈(0,1)，i＝1,2,...,n,j＝1,2。

基于k时刻信息γ_k,γ_ks_k和χ_k-1,i,j，根据下述公式(8)计算χ_k,i,j,i＝1,...,n,j＝1,2：

其中，mod(k,n)表示k除以n的余数；

基于χ_k,i,1和χ_k,i,2，根据下述公式(9)计算

其中，约定

判断k时刻是否受到了DoS攻击：若

则判定系统受到了DoS攻击；否则，判定系统未受DoS攻击，完成通信网络数据传输过程的攻击检测。

本发明实施例中，在量化辨识的框架下对DoS攻击的检测展开研究。针对FIR系统，基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值测量和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。

图12是本发明实施例提供的一种电子设备400的结构示意图，该电子设备400可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessing units，CPU)401和一个或一个以上的存储器402，其中，所述存储器402中存储有至少一条指令，所述至少一条指令由所述处理器401加载并执行以实现下述于二值量测面向FIR系统辨识的DoS攻击检测方法的步骤：

S1：获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设有限脉冲响应FIR子系统的循环周期；

S2：输出参数经二值传感器输入至通信网络；通信网络传输数据至估计中心；

S3：根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS攻击策略；

S4：通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成通信网络数据传输过程的攻击检测。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，上述指令可由终端中的处理器执行以完成上述二值量测面向FIR系统辨识的DoS攻击检测方法。例如，所述计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于二值量测面向FIR系统辨识的DoS攻击检测方法，其特征在于，所述方法由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现，所述DoS攻击检测系统包括：FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点；所述方法包括：

S1：获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设所述有限脉冲响应FIR子系统的循环周期；

S2：所述输出参数经所述二值传感器输入至所述通信网络；所述通信网络传输数据至所述估计中心；

S3：根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k取值，获得DoS攻击策略；

S4：通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测。

2.根据权利要求1所述的方法，其特征在于，所述步骤S1中，获取有限脉冲响应FIR子系统的输入参数以及输出参数，包括：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u_k是所述FIR子系统输入；φ_k＝[u_k,...,u_k-n+1]^T是所述FIR子系统输入组成的回归向量；θ＝[a₁,…,a_n]^T是未知参数向量，a₁…a_n代表参数向量中的分量，是一个代数符号；d_k是所述FIR子系统噪声；y_k是所述FIR子系统输出。

3.根据权利要求2所述的方法，其特征在于，所述步骤S1中，预设所述有限脉冲响应FIR子系统的循环周期，包括：

预设所述FIR子系统输入周期为n，即u_k+n＝u_k(k≥1)；记

则{u_k}生成如下述公式(2)的循环矩阵：

4.根据权利要求3所述的方法，其特征在于，所述步骤S2中，所述输出参数经所述二值传感器输入到所述通信网络，包括：

将得到的所述FIR子系统输出y_k经由阈值为C∈(-∞,∞)的二值传感器测量，得到如下述公式(3)的示性函数s_k：

5.根据权利要求3所述的方法，其特征在于，所述步骤S3中，根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS攻击策略，包括：

所述示性函数s_k通过所述通信网络传输给远程的所述估计中心，在时刻k，若攻击发生，估计中心不能接收到s_k，则发生了数据丢包；在所述通信网络的传输过程中，用γ_k表示是否发生了攻击：

其中，当γ_k＝1时，表示未受到攻击，当γ_k＝0时，表示受到攻击；所述γ_k的分布依赖于s_k的取值，通过如下述公式(5)的概率模型表示：

通过所述概率模型得出DoS攻击策略，记为(p₀,p₁)；其中，P_r表示概率，p₀表示当s_k取0时，γ_k取0的概率，p₁表示当s_k取1时，γ_k取0的概率。

6.根据权利要求5所述的方法，其特征在于，所述DoS攻击检测系统中，存在一个已知集合

使得系统的未知参数θ∈Ω_θ；所述Ω_θ为所述位置参数θ的先验信息。

7.根据权利要求6所述的方法，其特征在于，所述步骤S4中，通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测，包括：

通过所述DoS攻击节点，基于所述估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，以及未知参数的先验信息Ω_θ，设计如下DoS攻击离线检测算法：

根据所述估计中心的接收的可用信息{γ_k,γ_ks_k:k＝1,2,...,N}，根据下述公式(6)对ξ_N,i进行计算：

其中，

[g]表示小于或等于“g”的最大正整数；

根据下述公式(7)计算参数估计值

其中，Φ^-1为由所述公式(5)定义的Φ的逆矩阵；F^-1(·)表示噪声分布函数F(·)的反函数；

判断是否收到DoS攻击：若

则判定系统受到了DoS攻击；否则，判定未受到DoS攻击，完成所述通信网络数据传输过程的攻击检测。

8.根据权利要求6所述的方法，其特征在于，所述步骤S4中，通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测，包括：

通过所述DoS攻击节点，基于所述估计中心的接收的可用信息以及未知参数的先验信息Ω_θ，设计如下DoS攻击在线检测算法：

给定初值χ_0,i,j∈(0,1)，i＝1,2,...,n,j＝1,2。

基于k时刻信息γ_k,β_ks_k和χ_k-1,i,j，根据下述公式(8)计算χ_k,i,j,i＝1,...,n,j＝1,2：

其中，mod(k,n)表示k除以n的余数；

基于χ_k,i,1和χ_k,i,2，根据下述公式(9)计算

其中，约定

判断k时刻是否受到了DoS攻击：若

则判定系统受到了DoS攻击；否则，判定系统未受DoS攻击，完成所述通信网络数据传输过程的攻击检测。

9.一种基于二值量测面向FIR子系统辨识的DoS攻击检测系统，其特征在于，所述系统包括：

FIR子系统，用于获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设所述有限脉冲响应FIR子系统的循环周期；

二值传感器，用于所述输出参数经所述二值传感器输入至通信网络；

通信网络，用于传输数据至估计中心；

估计中心，用于根据传输过程历史数据中，估计中心接收到的γ_k以及γ_ks_k的取值，获得DoS攻击策略；

DoS攻击节点，用于通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测。

10.根据权利要求9所述的装置，其特征在于，所述FIR子系统，用于：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u_k是所述FIR子系统输入；φ_k＝[u_k,...,u_k-n+1]^T是所述FIR子系统输入组成的回归向量；θ＝[a₁,...,a_n]^T是未知参数向量；d_k是所述FIR子系统噪声；y_k是所述FIR子系统输出。

Images