CN114928463A - 基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统 - Google Patents
基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统 Download PDFInfo
- Publication number
- CN114928463A CN114928463A CN202210242355.6A CN202210242355A CN114928463A CN 114928463 A CN114928463 A CN 114928463A CN 202210242355 A CN202210242355 A CN 202210242355A CN 114928463 A CN114928463 A CN 114928463A
- Authority
- CN
- China
- Prior art keywords
- fir
- dos attack
- dos
- subsystem
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统,涉及计算机网络安全技术领域。该方法由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现,DoS攻击检测系统包括:FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点;基于未知参数的先验信息建立了判断DoS攻击存在性的指标;充分利用了二值测量和系统输入的特性,基于经验测度法设计了攻击检测算法,并给出了其在线形式,实现了基于当前数据判断系统是否受到了攻击。面向检测算法的能力讨论了可检测性,得到了攻击策略具有可检测性的充分必要条件。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别是指一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统。
背景技术
CPS(Cyber-Physical System,信息物理系统)是将环境感知、网络通信、数据计算与控制等系统相结合的复杂系统,在生物医疗的监测记录、交通运输的高效通信以及智能电网的调度配电等各个领域都有广泛应用。在CPS将物理系统与网络融合的过程中,由于网络的开放性和数据交互的频繁性,容易遭受恶意的网络攻击。这些攻击往往会破坏正常通信,影响数据的可信性进而对系统产生损害。因此,对CPS的安全性进行研究具有重要意义。
DoS(Denial of Service,拒绝服务)攻击作为通信传输网络中常见的恶意攻击手段,由攻击者向通信通道发送大量无用的数据包以占用网络带宽资源,影响资源的正常传输,使计算机网络无法向合法请求提供服务。DoS攻击具有方式简单、容易发动的特点,它的存在会使得系统的服务效率变差,乃至网络阻塞、通信中断,无法实现正常的业务需求。DoS攻击具有方式简单、容易发动的特点,它的存在会使得系统的服务效率变差,乃至网络阻塞、通信中断,无法实现正常的业务需求。
对恶意攻击的检测是系统安全问题的研究重点之一,如何针对特定类型的攻击设置合理的评判指标以及保证检测的高度准确性是其中的难点和关键,针对DoS攻击的检测已经取得了一些非常出色的成果。文献[O.Igbe,O.Ajayi,T.Saadawi.Denial of serviceattack detection using dendritic cell algorithm.In: Proceedings of IEEEAnnual Ubiquitous Computing,Electronics and Mobile Communication Conference,New York City,USA,2017,pp.294-299]将对正常流量和非正常流量的检测比作人体免疫系统对正常细胞和非正常细胞的区分,通过树突状细胞算法将每一个节点视为一个树突状细胞实现对网络中DoS攻击的检测。文献[D.Wang,L.He,Y.Xue,Y.Dong.Exploitingartificial immune systems to detect unknown DoS attacks in real-time.In:Proceedings of IEEE International Conference on Cloud Computing andIntelligence Systems,Hangzhou,China,2012,pp.646-650]通过树状的父子结构对信息的保存及单个流以及多个流相结合特征的提取,采用邻域负选择方法增强训练对攻击流的筛别,降低了攻击流的隐蔽性,具有动态适应性。
综上所述,现有技术中的检测方法无法尽早、及时地检测出DoS攻击,并提前采取合适的对策,降低或避免攻击所造成的影响。
发明内容
针对现有技术中无法尽早、及时地检测出DoS攻击,并提前采取合适的对策,降低或避免攻击所造成的影响的问题,本发明提出了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统。
为解决上述技术问题,本发明提供如下技术方案:
一方面,提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法,该方法应用于电子设备,由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现,DoS攻击检测系统包括:FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点;该方法包括:
S1:获取有限脉冲响应FIR子系统的输入参数以及输出参数,预设所述有限脉冲响应FIR子系统的循环周期;
S2:所述输出参数经所述二值传感器输入至所述通信网络;所述通信网络传输数据至所述估计中心;
S3:根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS攻击策略;
S4:通过所述DoS攻击节点,根据所述DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成所述通信网络数据传输过程的攻击检测。
可选地,步骤S1中,获取有限脉冲响应FIR子系统的输入参数以及输出参数,包括:
根据如下述公式(1),获取单输入单输出的有限脉冲响应FIR子系统的系统参数:
其中,uk是所述FIR子系统输入;φk=[uk,...,uk-n+1]T是所述FIR子系统输入组成的回归向量;θ=[a1,...,an]T是未知参数向量,a1…an代表参数向量中的分量,是一个代数符号;dk是所述FIR子系统噪声;yk是所述FIR子系统输出。
可选地,步骤S1中,预设所述有限脉冲响应FIR子系统的循环周期,包括:
可选地,步骤S2中,所述输出参数经所述二值传感器输入到所述通信网络,包括:
将得到的所述FIR子系统输出yk经由阈值为C∈(-∞,∞)的二值传感器测量,得到如下述公式(3) 的示性函数sk:
可选地,步骤S3中,根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS 攻击策略,包括:所述示性函数sk通过所述通信网络传输给远程的所述估计中心,在时刻k,若攻击发生,估计中心不能接收到sk,则发生了数据丢包;在所述通信网络的传输过程中,用γk表示是否发生了攻击:
其中,当γk=1时,表示未受到攻击,当γk=0时,表示受到攻击;所述γk的分布依赖于sk的取值,通过如下述公式(5)的概率模型表示:
通过所述概率模型得出DoS攻击策略,记为(p0,p1);其中,Pr表示概率,p0表示当sk取0时,γk取0的概率,p1表示当sk取1时,γk取0的概率。
可选地,步骤S4中,通过所述DoS攻击节点,根据所述DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成所述通信网络数据传输过程的攻击检测,包括:
通过所述DoS攻击节点,基于所述估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},以及未知参数的先验信息Ωθ,设计如下DoS攻击离线检测算法:
根据所述估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},根据下述公式(6)对ξN,i进行计算:
其中,Φ-1为由所述公式(5)定义的Φ的逆矩阵;F-1(·)表示噪声分布函数F(·)的反函数;
可选地,步骤S4中,通过所述DoS攻击节点,根据所述DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成所述通信网络数据传输过程的攻击检测,包括:
通过所述DoS攻击节点,基于所述估计中心的接收的可用信息以及未知参数的先验信息Ωθ,设计如下DoS攻击在线检测算法:
给定初值χ0,i,j∈(0,1),i=1,2,...,n,j=1,2。
基于k时刻信息γk,γksk和χk-1,i,j,根据下述公式(8)计算χk,i,j,i=1,...,n,j=1,2:
其中,mod(k,n)表示k除以n的余数;
一方面,提供了一种基于二值量测面向FIR子系统辨识的DoS攻击检测系统,该系统应用于电子设备,该系统包括:
FIR子系统,用于获取有限脉冲响应FIR子系统的输入参数以及输出参数,预设所述有限脉冲响应FIR子系统的循环周期;
二值传感器,用于所述输出参数经所述二值传感器输入至通信网络;
通信网络,用于传输数据至估计中心;
估计中心,用于根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS攻击策略;
DoS攻击节点,用于通过所述DoS攻击节点,根据所述DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成所述通信网络数据传输过程的攻击检测。
可选地,FIR子系统,用于:
根据如下述公式(1),获取单输入单输出的有限脉冲响应FIR子系统的系统参数:
其中,uk是所述FIR子系统输入;φk=[uk,...,uk-n+1]T是所述FIR子系统输入组成的回归向量;θ=[a1,...,an]T是未知参数向量,a1…an代表参数向量中的分量,是一个代数符号;dk是所述FIR子系统噪声;yk是所述FIR子系统输出。
一方面,提供了一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现上述基于二值量测面向FIR子系统辨识的DoS 攻击检测方法。
一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现上述基于二值量测面向FIR子系统辨识的DoS攻击检测方法。
本发明实施例的上述技术方案至少具有如下有益效果:
上述方案中,本发明提供的方法能够及时的检测到攻击的发生,并提前采取合适的对策,降低或避免攻击所造成的影响。针对FIR(Finite Impulse Response,有限脉冲响应)系统,基于未知参数的先验信息建立了判断DoS攻击存在性的指标;充分利用了二值测量和系统输入的特性,基于经验测度法设计了攻击检测算法,并给出了其在线形式,实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性,得到了攻击策略具有可检测性的充分必要条件。面向检测算法的能力讨论了可检测性,得到了攻击策略具有可检测性的充分必要条件。引入了漏判率和误判率的概念,给出了它们的计算方法和大数据量下的近似计算公式。进而,分析了系统参数的先验信息和数据长度对检测算法性能的影响。通过数值仿真证实了分析结果的合理性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的方法流程图;
图2是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的方法流程图;
图3是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的数据传输图;
图4是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的离线检测算法示意图;
图5是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的在线检测算法示意图;
图6是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率在不同攻击策略下的变化曲线图;
图7是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率随着试验次数T的变化曲线图;
图8是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的误判率随着试验次数T的变化曲线图;
图9是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率在不同先验信息下的变化曲线图;
图10是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的误判率在不同先验信息下的变化曲线图;
图11是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测系统的系统结构图;
图12是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明实施例提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法,该方法可以由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现,DoS攻击检测系统包括:FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点;该方法可以由电子设备实现,该电子设备可以是终端或服务器。如图1所示的基于二值量测面向FIR系统辨识的DoS攻击检测方法流程图,该方法的处理流程可以包括如下的步骤:
S101:获取有限脉冲响应FIR子系统的输入参数以及输出参数,预设有限脉冲响应FIR子系统的循环周期;
S102:输出参数经二值传感器输入至通信网络;通信网络传输数据至估计中心;
S103:根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS攻击策略;
S104:通过DoS攻击节点,根据DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS 攻击检测算法,完成通信网络数据传输过程的攻击检测。
可选地,步骤S101中,获取有限脉冲响应FIR子系统的输入参数以及输出参数,包括:
根据如下述公式(1),获取单输入单输出的有限脉冲响应FIR子系统的系统参数:
其中,uk是FIR子系统输入;φk=[uk,...,uk-n+1]T是FIR子系统输入组成的回归向量;θ=[a1,...,an]T是未知参数向量,a1…an代表参数向量中的分量,是一个代数符号;dk是FIR子系统噪声;yk是FIR子系统输出。
可选地,步骤S101中,预设有限脉冲响应FIR子系统的循环周期,包括:
可选地,步骤S102中,输出参数经二值传感器输入到通信网络,包括:
将得到的FIR子系统输出yk经由阈值为C∈(-∞,∞)的二值传感器测量,得到如下述公式(3)的示性函数sk:
可选地,步骤S103中,根据传输过程历史数据中,估计中心接收到的sk的取值,获得DoS攻击策略,包括:示性函数sk通过通信网络传输给远程的估计中心,在时刻k,若攻击发生,估计中心不能接收到sk,则发生了数据丢包;在通信网络的传输过程中,用γk表示是否发生了攻击:
其中,当γk=1时,表示未受到攻击,当γk=0时,表示受到攻击;γk的分布依赖于sk的取值,通过如下述公式(5)的概率模型表示:
通过概率模型得出DoS攻击策略,记为(p0,p1);其中,Pr表示概率,p0表示当sk取0时,γk取0 的概率,p1表示当sk取1时,γk取0的概率。
可选地,步骤S104中,通过DoS攻击节点,根据DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成通信网络数据传输过程的攻击检测,包括:
通过DoS攻击节点,基于估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},以及未知参数的先验信息Ωθ,设计如下DoS攻击离线检测算法:
根据估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},根据下述公式(6)对ξN,i进行计算:
其中,Φ-1为由公式(5)定义的Φ的逆矩阵;F-1(·)表示噪声分布函数F(·)的反函数;
可选地,步骤S104中,通过DoS攻击节点,根据DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成通信网络数据传输过程的攻击检测,包括:
通过DoS攻击节点,基于估计中心的接收的可用信息以及未知参数的先验信息Ωθ,设计如下DoS 攻击在线检测算法:
给定初值χ0,i,j∈(0,1),i=1,2,...,n,j=1,2。
基于k时刻信息γk,γksk和χk-1,i,j,根据下述公式(8)计算χk,i,j,i=1,...,n,j=1,2:
其中,mod(k,n)表示k除以n的余数;
本发明实施例中,本发明针对FIR系统,基于未知参数的先验信息建立了判断DoS攻击存在性的指标;充分利用了二值测量和系统输入的特性,基于经验测度法设计了攻击检测算法,并给出了其在线形式,实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性,得到了攻击策略具有可检测性的充分必要条件。尽早、及时地检测出DoS攻击有助于提前采取合适的对策,降低或避免攻击所造成的影响,如:在智能电网中实现对攻击的实时监测以及状态恢复,可以提高电网系统的鲁棒性;在无人汽车系统中,针对攻击设计故障检测器与控制器相协同可以提高汽车的安全性,等等。
本发明实施例提供了一种基于二值量测面向FIR子系统辨识的DoS攻击检测方法,该方法可以由电子设备实现,该电子设备可以是终端或服务器。如图2所示的基于二值量测面向FIR子系统辨识的 DoS攻击检测方法流程图,该方法的处理流程可以包括如下的步骤:
S201:根据如下述公式(1),获取单输入单输出的有限脉冲响应FIR子系统的系统参数:
其中,uk是FIR子系统输入;φk=[uk,...,uk-n+1]T是FIR子系统输入组成的回归向量;θ=[a1,...,an]T是未知参数向量,a1…an代表参数向量中的分量,是一个代数符号;dk是FIR子系统噪声;yk是FIR子系统输出。
S203:输出参数经二值传感器输入到通信网络,包括:
将得到的FIR子系统输出yk经由阈值为C∈(-∞,∞)的二值传感器测量,得到如下述公式(3)的示性函数sk:
一种可行的实施方式中,如图3所示,sk通过通信网络传输给远程的估计中心,但其传输过程可能受到DoS攻击。
S204:根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS攻击策略;
一种可行的实施方式中,根据传输过程历史数据中,估计中心接收到的sk的取值,获得DoS攻击策略,包括:示性函数sk通过通信网络传输给远程的估计中心,如图3所示,在时刻k,若攻击发生,估计中心不能接收到sk,则发生了数据丢包;在通信网络的传输过程中,用γk表示是否发生了攻击:
其中,当γk=1时,表示未受到攻击,当γk=0时,表示受到攻击;γk的分布依赖于sk的取值,通过如下述公式(5)的概率模型表示:
通过概率模型得出DoS攻击策略,记为(p0,p1);其中,Pr表示概率,p0表示当sk取0时,γk取0 的概率,p1表示当sk取1时,γk取0的概率。
一种可行的实施方式中,本发明具有如下假设:1、系统噪声{dk}是均值为零、方差为σ2的独立同分布正态随机变量序列;2、其分布函数和概率密度函数分别记为F(g)和f(g),攻击过程{γk}是一个独立的随机变量序列,0≤p0,p1<1;3、存在一个已知集合使得系统的未知参数θ∈Ωθ;其中,Ωθ为位置参数θ的先验信息。
本发明实施例中,目的是在系统辨识的框架下对DoS攻击进行检测,设计算法来判断其存在性,引入评价算法性能的指标,并对影响算法性能的因素进行分析。
S205:通过DoS攻击节点,基于估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},以及未知参数的先验信息Ωθ,设计DoS攻击离线检测算法,完成通信网络数据传输过程的攻击检测。
一种可行的实施方式中,如图4所示,设计的DoS攻击离线检测算法包括:
根据估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},根据下述公式(6)对ξN,i进行计算:
其中,Φ-1为由公式(5)定义的Φ的逆矩阵;F-1(·)表示噪声分布函数F(·)的反函数;
S206:通过DoS攻击节点,基于估计中心的接收的可用信息以及未知参数的先验信息Ωθ,设计DoS攻击在线检测算法。
一种可行的实施方式中,如图5所示,设计的DoS攻击在线检测算法包括:
给定初值χ0,i,j∈(0,1),i=1,2,...,n,j=1,2。
基于k时刻信息γk,γksk和χk-1,i,j,根据下述公式(8)计算χk,i,j,i=1,...,n,j=1,2:
其中,mod(k,n)表示k除以n的余数;
一种可行的实施方式中,本发明还引入可检测性、漏判率、误判率的概念,然后给出漏判率和误判率的计算方法,进而讨论系统参数先验信息和数据长度对检测算法性能的影响。
一种可行的实施方式中,本发明给出定义I.可检测性:对于一些破坏性比较小或者甚微的网络攻击,从算法的角度往往难以判断其存在性,讨论网络攻击的可检测性是分析检测算法性能的基本前提。对给定的系统和攻击检测算法,一个网络攻击称为是可检测的或具有可检测性是指:在数据量充分大时,检测算法可以准确判断系统是否受到了它的攻击。否则,称为是不可检测的或不具有可检测性。接下来建立可检测性的定义,并对二值测量下的系统和离线检测算法,给出DoS攻击(p0,p1)具有可检测性需要满足的条件。
一种可行的实施方式中,本发明给出引理I.对二值测量下的系统和离线检测算法,如果假设1-假设3成立,由公式(7)给出的未知参数的估计值强收敛到Φ-1[C-F-1(η1),...,C-F-1(ηn)]T,即
其中,
Fi=F(C-πiθ),pi=p0+(p1-p0)Fi,i=1,2,...,n。
根据假设2.1、公式(1)-(4)以及全概率公式,可以得出
根据上式并考虑到输入的周期性,可知
E(γ(l-1)n+i)=1-pi, (12)
E(γ(l-1)n+is(l-1)n+i)=(1-p1)Fi. (13)
由大数定律,可得
结合公式(6)、(11)可以给出
ξN,i→ηi,w.p.1 as N→∞,i=1,2,...,n. (14)
由公式(7),引理得证。
其中,
由此给出了DoS攻击可检测的条件。对于不可检测的攻击,即便数据量足够大,也不能判断它的存在性。在接下来的讨论中,没有特殊说明都假定(p0,p1)是可检测的。
一种可行的实施方式中,定义II.误判率与漏检率:检测算法的判断结果与实际情况是否一致会出现两种情况:判断结果与实际情况吻合和判断结果与实际情况冲突。其中,后者又可以分为漏判和误判两种情况,相应的关系如表1所示。
表1.检测结果与实际情况对比
对给定的先验信息Ωθ和数据长度N,一个攻击检测算法的漏判率是指:系统受到攻击,但算法判断系统未受到攻击的概率,记做PM(N,Ωθ)。误判率是指:系统未受到攻击,但算法判断系统受到了攻击的概率,记做PE(N,Ωθ)。
漏判率和误判率类似于统计假设检验中犯第Ⅰ类错误和第Ⅱ类错误的概率。设计如下假设检验问题:
原假设H0:系统受到DoS攻击,备择假设H1:系统未受到DoS攻击。
当假设H0正确时,小概率事件也有可能发生,此时会拒绝假设H0,因而犯了“弃真”的错误,称此为第一类错误,也就是出现了“漏判”;当假设H0不正确,但抽样检验未发生不合理结果时,这时会接受H0,因而犯了“取伪”的错误,称此为第二类错误,也就是出现了“误判”。
根据定义II,可知算法1的漏判率PM(N,Ωθ)和误判率PE(N,Ωθ)分别为:
下面给出在数据长度N比较大时漏判率和误判率的计算表达式,为此先给出一个引理。
一种可行的实施方式中,证明:记Sl,i:=ηiγ(l-1)n+i-γ(l-1)n+is(l-1)n+i,i=1,2,...,n。根据公式(12) 和(13),可得
E(Sl,i)=E(ηiγ(l-1)n+i-γ(l-1)n+is(l-1)n+i)
=ηi(1-pi)-(1-p1)Fi
=0
和
引理III有
由公式(12)可得
结合公式(6)和公式(19)、(20),以及引理II可知
上式结合公式(6)、(19)-(20)以及引理II可知:
在上述引理中,可以看出,Σ是p0,p1的函数,因此也可以记为Σ=Σ(p0,p1)。在没有攻击时,也就是p0=p1=0时,记Σ为Σ2,即
于是,在N比较大时,根据公式(17)(18)可得DoS离线检测算法的漏判率和误判率分别为:
其中,
|Σi|表示矩阵的行列式;Σi由引理II给出,i=1,2。
由(22)和(23)可知,影响检测算法判断结果的主要因素有未知参数先验信息和数据长度,接下来对它们进行分析。
下面结合本发明实施例,对未知参数先验信息的单调性进行详细说明。
以及
若系统受到DoS攻击,则离线检测算法在先验信息Ωθ,1和Ωθ,2下的漏判率分别为
根据上述公式以及公式(22)和(26),可知PM(N,Ωθ,1)≤PM(N,Ωθ,2),即先验信息范围越小,漏判率越小。
若系统未受到DoS攻击,则算法1在先验信息Ωθ,1和Ωθ,2下的误判率分别为
联合上式、以及公式(23)和(27),可得,即先验信息范围越大,误判率越小。
关于未知参数先验信息的单调性
为方便本小节的表述,假定系统参数的先验信息Ωθ是Rn中的长方体,即有
漏判率PM(N,Ωθ)关于数据长度N的单调性:
由于Σ1是协方差矩阵,可知:μi,i>0。因此,当
在公式(28)中,G(m)对m求导,可得
其中,
由于根据gi(t)的单调性可知:ζi(m)<0,i=1,2,...,n。注意到因此由公式(30) 可知,当时,即G(m)关于m单调递减,也就意味着PM(N,Ωθ)关于N单调递减。这说明了,随着数据长度N的增加,检测算法的漏判率逐渐降低。
误判率PE(N,Ωθ)关于数据长度N的单调性:
若系统未受到DoS攻击,算法1在不同数据长度下的误检率分别为
注意到θ=[a1,...,an]T∈Ωθ,因此可知
本发明实施例中,针对给出的攻击检测方法,做出了数据仿真实验,下面进行详细说明。
考虑系统:
其中,周期性输入{uk}构成的循环矩阵Φ=circ(1,-1.5);未知参数θ=[a1,a2]T=[1,-1.5]T∈Ωθ={[z1,z2]|-3.4≤z1≤-1.1,-0.2≤z2≤1.7};二值传感器的阈值C=0;N为样本长度;噪声{dk}是独立同分布的正态随机变量序列,均值为0,标准差为8,即dk~N(0,82)。
sk通过一个通信网络传输给远程的估计中心,但受到DoS攻击,其中(p0,p1)=(0.2,0.05)。采用本发明设计的DoS离线检测算法来检测是否存在攻击,进行了T次试验,第T=350次试验得到的参数估计(由(7)给出)序列记做:采用频率逼近概率的方法,用
来近似DoS离线检测算法在数据长度为N、实验次数为T时的漏判率和误判率。
给定另一组攻击策略(p0,p1)=(0.11,0.15),此时,根据引理I知 可以看出这组攻击不满足可检测性。在攻击策略(p0,p1)=(0.2,0.05)时,可得这说明该攻击满足可检测性。图6给出了DoS离线检测算法在不同攻击策略下的漏判率随着数据量的变化曲线,从中可以看出,当攻击策略不满足可检测性条件时,DoS离线检测算法在数据量足够大时也无法检测到它的存在;反之,随着数据量的增大, DoS离线检测算法的判断越来越准确。
给定数据长度N,可由(22)和(23)计算得到DoS离线检测算法的漏判率PM(N,Ωθ)=0.43781,误判率PE(N,Ωθ)=0.18879。图7和图8给出了DoS离线检测算法的漏判率和误判率随着试验次数T 的变化曲线,从中可以看出:随着实验次数的增加,DoS离线检测算法的漏判率和误判率趋于由(22)和 (23)计算得到的结果。
给定系统参数的另一个先验信息:Ωθ,2={[z1,z2]|-3.6≤z1≤-1,-0.4≤z2≤1.9},并把原来的Ωθ记做Ωθ,1,可以看出图9和图10展示了算法1的漏判率和误判率在不同先验信息下的变化曲线,可以看出:在相同的数据长度N下,先验信息范围越大,系统的漏判率越大,误判率越小,这与前述误判率的结论一致;在给定的先验信息Ωθ下,随着数据长度N的增加,漏判率和误判率也逐渐降低,这与对单调性判断的结论一致。
本发明实施例中,旨在解决DoS攻击的检测问题,在系统辨识的框架下针对二值观测FIR系统设计了检测算法,引入了评价检测算法性能的指标:漏判率和误判率,并给出了它们的计算方法,讨论了系统参数先验信息和数据长度对检测算法的影响。
本发明在量化辨识的框架下对DoS攻击的检测展开研究。针对FIR系统,基于未知参数的先验信息建立了判断DoS攻击存在性的指标;充分利用了二值量测和系统输入的特性,基于经验测度法设计了攻击检测算法,并给出了其在线形式,实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性,得到了攻击策略具有可检测性的充分必要条件。
由于小概率事件也有可能发生以及样本数量有限的情况,因而不可避免地会犯“弃真”和“取伪”的错误,检测算法会出现“漏判”和“误判”,也就是统计中的第I类错误和第II类错误。引入了漏判率和误判率的概念,给出了它们的计算方法和大数据量下的近似计算公式。进而,分析了系统参数的先验信息和数据长度对检测算法性能的影响,先验信息范围越大,系统的漏判率越大、误判率越小,随着数据长度的增加,漏判率和误判率也逐渐降低。
图11是根据一示例性实施例示出的一种基于二值量测面向FIR子系统辨识的DoS攻击检测系统 300框图。参照图11,该系统300包括:
FIR子系统310,用于获取有限脉冲响应FIR子系统的输入参数以及输出参数,预设有限脉冲响应 FIR子系统的循环周期;
二值传感器320,用于输出参数经二值传感器输入至通信网络;
通信网络330,用于传输数据至估计中心;
估计中心340,用于根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS 攻击策略;
DoS攻击节点350,用于通过DoS攻击节点,根据DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成通信网络数据传输过程的攻击检测。
可选地,FIR子系统310,用于:
根据如下述公式(1),获取单输入单输出的有限脉冲响应FIR子系统的系统参数:
其中,uk是FIR子系统输入;φk=[uk,...,uk-n+1]T是FIR子系统输入组成的回归向量;θ=[a1,...,an]T是未知参数向量,a1…an代表参数向量中的分量,是一个代数符号;dk是FIR子系统噪声;yk是FIR子系统输出。
可选地,FIR子系统310,用于:
可选地,二值传感器320,用于:将得到的FIR子系统输出yk经由阈值为C∈(-∞,∞)的二值传感器测量,得到如下述公式(3)的示性函数sk:
可选地,估计中心340,用于示性函数sk通过通信网络传输给远程的估计中心,在时刻k,若攻击发生,估计中心不能接收到sk,则发生了数据丢包;在通信网络的传输过程中,用γk表示是否发生了攻击:
其中,当γk=1时,表示未受到攻击,当γk=0时,表示受到攻击;γk的分布依赖于sk的取值,通过如下述公式(5)的概率模型表示:
通过概率模型得出DoS攻击策略,记为(p0,p1);其中,Pr表示概率,p0表示当sk取0时,γk取0 的概率,p1表示当sk取1时,γk取0的概率。
可选地,DoS攻击节点350,用于通过DoS攻击节点,基于估计中心的接收的可用信息 {γk,γksk:k=1,2,...,N},以及未知参数的先验信息Ωθ,设计如下DoS攻击离线检测算法:
根据估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},根据下述公式(6)对ξN,i进行计算:
其中,Φ-1为由公式(5)定义的Φ的逆矩阵;F-1(·)表示噪声分布函数F(·)的反函数;
可选地,DoS攻击节点350,用于通过DoS攻击节点,基于估计中心的接收的可用信息以及未知参数的先验信息Ωθ,设计如下DoS攻击在线检测算法:
给定初值χ0,i,j∈(0,1),i=1,2,...,n,j=1,2。
基于k时刻信息γk,γksk和χk-1,i,j,根据下述公式(8)计算χk,i,j,i=1,...,n,j=1,2:
其中,mod(k,n)表示k除以n的余数;
本发明实施例中,在量化辨识的框架下对DoS攻击的检测展开研究。针对FIR系统,基于未知参数的先验信息建立了判断DoS攻击存在性的指标;充分利用了二值测量和系统输入的特性,基于经验测度法设计了攻击检测算法,并给出了其在线形式,实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性,得到了攻击策略具有可检测性的充分必要条件。
图12是本发明实施例提供的一种电子设备400的结构示意图,该电子设备400可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessing units,CPU)401和一个或一个以上的存储器402,其中,所述存储器402中存储有至少一条指令,所述至少一条指令由所述处理器401加载并执行以实现下述于二值量测面向FIR系统辨识的DoS攻击检测方法的步骤:
S1:获取有限脉冲响应FIR子系统的输入参数以及输出参数,预设有限脉冲响应FIR子系统的循环周期;
S2:输出参数经二值传感器输入至通信网络;通信网络传输数据至估计中心;
S3:根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS攻击策略;
S4:通过DoS攻击节点,根据DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成通信网络数据传输过程的攻击检测。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括指令的存储器,上述指令可由终端中的处理器执行以完成上述二值量测面向FIR系统辨识的DoS攻击检测方法。例如,所述计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于二值量测面向FIR系统辨识的DoS攻击检测方法,其特征在于,所述方法由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现,所述DoS攻击检测系统包括:FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点;所述方法包括:
S1:获取有限脉冲响应FIR子系统的输入参数以及输出参数,预设所述有限脉冲响应FIR子系统的循环周期;
S2:所述输出参数经所述二值传感器输入至所述通信网络;所述通信网络传输数据至所述估计中心;
S3:根据传输过程历史数据中,估计中心接收到的γk以及γksk取值,获得DoS攻击策略;
S4:通过所述DoS攻击节点,根据所述DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成所述通信网络数据传输过程的攻击检测。
5.根据权利要求3所述的方法,其特征在于,所述步骤S3中,根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS攻击策略,包括:
所述示性函数sk通过所述通信网络传输给远程的所述估计中心,在时刻k,若攻击发生,估计中心不能接收到sk,则发生了数据丢包;在所述通信网络的传输过程中,用γk表示是否发生了攻击:
其中,当γk=1时,表示未受到攻击,当γk=0时,表示受到攻击;所述γk的分布依赖于sk的取值,通过如下述公式(5)的概率模型表示:
通过所述概率模型得出DoS攻击策略,记为(p0,p1);其中,Pr表示概率,p0表示当sk取0时,γk取0的概率,p1表示当sk取1时,γk取0的概率。
7.根据权利要求6所述的方法,其特征在于,所述步骤S4中,通过所述DoS攻击节点,根据所述DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成所述通信网络数据传输过程的攻击检测,包括:
通过所述DoS攻击节点,基于所述估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},以及未知参数的先验信息Ωθ,设计如下DoS攻击离线检测算法:
根据所述估计中心的接收的可用信息{γk,γksk:k=1,2,...,N},根据下述公式(6)对ξN,i进行计算:
其中,Φ-1为由所述公式(5)定义的Φ的逆矩阵;F-1(·)表示噪声分布函数F(·)的反函数;
8.根据权利要求6所述的方法,其特征在于,所述步骤S4中,通过所述DoS攻击节点,根据所述DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成所述通信网络数据传输过程的攻击检测,包括:
通过所述DoS攻击节点,基于所述估计中心的接收的可用信息以及未知参数的先验信息Ωθ,设计如下DoS攻击在线检测算法:
给定初值χ0,i,j∈(0,1),i=1,2,...,n,j=1,2。
基于k时刻信息γk,βksk和χk-1,i,j,根据下述公式(8)计算χk,i,j,i=1,...,n,j=1,2:
其中,mod(k,n)表示k除以n的余数;
9.一种基于二值量测面向FIR子系统辨识的DoS攻击检测系统,其特征在于,所述系统包括:
FIR子系统,用于获取有限脉冲响应FIR子系统的输入参数以及输出参数,预设所述有限脉冲响应FIR子系统的循环周期;
二值传感器,用于所述输出参数经所述二值传感器输入至通信网络;
通信网络,用于传输数据至估计中心;
估计中心,用于根据传输过程历史数据中,估计中心接收到的γk以及γksk的取值,获得DoS攻击策略;
DoS攻击节点,用于通过所述DoS攻击节点,根据所述DoS攻击策略,针对通信网络的离线状态以及在线状态设计DoS攻击检测算法,完成所述通信网络数据传输过程的攻击检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210242355.6A CN114928463B (zh) | 2022-03-11 | 2022-03-11 | 基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210242355.6A CN114928463B (zh) | 2022-03-11 | 2022-03-11 | 基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114928463A true CN114928463A (zh) | 2022-08-19 |
CN114928463B CN114928463B (zh) | 2023-03-14 |
Family
ID=82805320
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210242355.6A Active CN114928463B (zh) | 2022-03-11 | 2022-03-11 | 基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114928463B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110213115A (zh) * | 2019-06-25 | 2019-09-06 | 南京财经大学 | 一种多网络攻击下事件驱动网络控制系统的安全控制方法 |
CN112286051A (zh) * | 2020-09-20 | 2021-01-29 | 国网江苏省电力有限公司信息通信分公司 | 复杂网络攻击下基于自适应事件触发机制的神经网络量化控制方法 |
US20210243224A1 (en) * | 2020-02-05 | 2021-08-05 | King Fahd University Of Petroleum And Minerals | Control of cyber physical systems subject to cyber and physical attacks |
-
2022
- 2022-03-11 CN CN202210242355.6A patent/CN114928463B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110213115A (zh) * | 2019-06-25 | 2019-09-06 | 南京财经大学 | 一种多网络攻击下事件驱动网络控制系统的安全控制方法 |
US20210243224A1 (en) * | 2020-02-05 | 2021-08-05 | King Fahd University Of Petroleum And Minerals | Control of cyber physical systems subject to cyber and physical attacks |
CN112286051A (zh) * | 2020-09-20 | 2021-01-29 | 国网江苏省电力有限公司信息通信分公司 | 复杂网络攻击下基于自适应事件触发机制的神经网络量化控制方法 |
Non-Patent Citations (4)
Title |
---|
胡传昊;杜丽双;张亚;: "带网络攻击识别机制的传感器网络分布式滤波算法" * |
郭金等: "System identification with binary-valued observations under both denial-of-service attacks and data tampering attacks: defense scheme and its optimality", 《CONTROL AND TECHNOLOGY》 * |
郭金等: "System identification with binary-valued observations under both denial-of-service attacks and data tampering attacks: the optimality of attack strategy", 《CONTROL THEORY AND TECHNOLOGY》 * |
郭金等: "System Identification With Binary-Valued Observations Under Data Tampering Attacks", 《IEEE TRANSACTIONS ON AUTOMATIC CONTROL》 * |
Also Published As
Publication number | Publication date |
---|---|
CN114928463B (zh) | 2023-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8483056B2 (en) | Analysis apparatus and method for abnormal network traffic | |
Murguia et al. | Cusum and chi-squared attack detection of compromised sensors | |
Kurt et al. | Real-time nonparametric anomaly detection in high-dimensional settings | |
EP4037286A1 (en) | Method and apparatus for predicting fault of optical module | |
Mishra et al. | Secure state estimation: Optimal guarantees against sensor attacks in the presence of noise | |
US10719768B1 (en) | System and method for detecting an undesirable event | |
CN112242984B (zh) | 检测异常网络请求的方法、电子设备和计算机程序产品 | |
GB2478066A (en) | Identifying errors in a computer system using the relationships between the sources of log messages | |
CN110602034B (zh) | 一种基于pso-svm检测s7协议异常通讯行为的方法和系统 | |
JP2018148350A (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
CN113992350A (zh) | 基于深度学习的智能电网虚假数据注入攻击的检测系统 | |
Marchetti et al. | Identification of correlated network intrusion alerts | |
CN112685207A (zh) | 错误评估的方法、设备和计算机程序产品 | |
CN107846402B (zh) | 一种bgp稳定性异常检测方法、装置及电子设备 | |
CN114330487A (zh) | 一种基于bipmu的无线网络网络安全态势评估方法 | |
Guo et al. | DoS attack detection in identification of FIR systems with binary‐valued observations | |
CN110289992A (zh) | 一种报文处理方法及装置 | |
CN114928463B (zh) | 基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统 | |
Liu et al. | On logarithmically optimal exact simulation of max-stable and related random fields on a compact set | |
Rohr et al. | Kalman filtering for a class of degenerate systems with intermittent observations | |
CN117014182A (zh) | 一种基于lstm的恶意流量检测方法及装置 | |
Xu et al. | Quantized innovations Kalman filter: stability and modificationwith scaling quantization | |
Gupta et al. | Quickest detection of false data injection attack in remote state estimation | |
Perwira et al. | Anomaly-based intrusion detection and prevention using adaptive boosting in software-defined network | |
CN113935034A (zh) | 基于图神经网络的恶意代码家族分类方法、装置和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |