CN116405273B - 一种面向物联网的网络攻击检测和状态估计方法 - Google Patents

一种面向物联网的网络攻击检测和状态估计方法 Download PDF

Info

Publication number
CN116405273B
CN116405273B CN202310304783.1A CN202310304783A CN116405273B CN 116405273 B CN116405273 B CN 116405273B CN 202310304783 A CN202310304783 A CN 202310304783A CN 116405273 B CN116405273 B CN 116405273B
Authority
CN
China
Prior art keywords
state
measurement
representing
time
distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310304783.1A
Other languages
English (en)
Other versions
CN116405273A (zh
Inventor
董鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Huizhi Intelligent Technology Co ltd
Original Assignee
Suzhou Huizhi Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Huizhi Intelligent Technology Co ltd filed Critical Suzhou Huizhi Intelligent Technology Co ltd
Priority to CN202310304783.1A priority Critical patent/CN116405273B/zh
Publication of CN116405273A publication Critical patent/CN116405273A/zh
Application granted granted Critical
Publication of CN116405273B publication Critical patent/CN116405273B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

本发明公开了一种面向物联网的网络攻击检测和状态估计方法,本发明假设系统噪声服从Student‑t分布,通过局部量测构建与残差相关的检测统计量,该统计量的分布服从F分布而不是χ2分布,因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击,剩余量测仍服从Student‑t分布,还需要采用基于单形采样的Student‑t滤波器。该方法可以在检测的同时保持系统估计的稳定,可以提高攻击检测的稳定性和准确率。

Description

一种面向物联网的网络攻击检测和状态估计方法
技术领域
本发明涉及网络攻击检测技术领域,具体涉及一种面向物联网的网络攻击检测和状态估计方法。
背景技术
近年来,网络化的分布式无人系统在民用和军事领域都得到了极大的发展。在民用领域,信息物理融合系统(Cyber-physical system,CPS)是大规模的、地理上分散的、联合的、异构的计算单元与物理对象在网络空间中高度集成交互形成的智能无人系统,其中的嵌入式设备(例如传感器和执行器)被联网以感知,监视和控制物理世界。这些构成了工业物联网的基础。
与传统的网络控制系统相比,物联网系统通常面临很高的网络攻击风险,这会带来一些额外的安全漏洞。网络攻击可以通过网络部分以隐秘且不可预测的方式注入系统。在没有足够的硬件或软件策略安全保护的情况下,攻击者可以任意干扰某些类型的系统动态,也可以引起任何干扰。毫无疑问,网络攻击被视为物联网系统的主要威胁之一。
状态估计是物联网系统一个十分重要的系统对于物联网系统状态估计问题,构建一套针对网络攻击下无人系统的安全状态估计方法,减轻网络攻击以及各种概率性通信故障的影响是十分重要的。传统的方法将系统的噪声假设为高斯分布,通过局部滤波器接收到的量测得到残差,然后通过残差构建检测的统计量,该统计量服从分布,通过设置阈值来判断是否存在攻击。由于并不是每次攻击都会被检测到,量测会受到攻击异常值的影响,高斯分布的假设并不成立,此时采用高斯假设会造成估计的不稳定甚至发散。
发明内容
为解决上述技术问题,本发明提供了一种面向物联网的网络攻击检测和状态估计方法。
技术方案:本发明包括以下步骤:
一种面向物联网的网络攻击检测和状态估计方法,包括以下步骤:
(1)建立系统噪声Student-t分布模型,给定物联网状态初值和相应的误差方差矩阵P0,以及系统的自由度η0
(2)当时间步k≥1时,根据上一时刻的状态值和相应的误差方差矩阵Pk-1,计算单形采样Sigma点,计算k-1时刻后验状态单形采样Sigma点的方程表示为:
其中,表示k-1时刻的状态估计,Pk-1表示k-1时刻状态估计对应的误差方差矩阵,γ为大于0小于1的比例因子,/>为k-1时刻后验状态单形采样Sigma点;
(3)根据计算得到的单形采样Sigma点,对状态和量测进行预测,也就是时间更新:
1)根据k-1时刻后验状态单形采样Sigma点计算经过非线性变换后的sigma点,表达式如下:
其中,f(·)表示状态方程,表示k时刻/>的一步预测;
2)根据1)得到的一步预测Sigma点计算状态预测,以及经过量测方程变换后的Sigma点:
其中,表示k时刻状态的一步预测,L表示状态向量的维数,/>表示/>的第i列,/>表示/>对应的估计误差矩阵,Qk表示k时刻L×L维的状态误差方差矩阵,一阶权重系数/>和二阶权重系数/>定义如下:
其中,α为比例因子,β为用于引入状态的先验信息;
3)根据1)得到的一步预测Sigma点计算经过量测非线性变换后的量测Sigma点Zk|k-1,其表达式为:
根据得到的量测Sigma点Zk|k-1量测预测其对应的协方差/>以及状态和量测的互协方差/>其表达式分别为:
其中,表示k时刻量测的一步预测,h(·)表示量测方程,Zk|k-1表示量测的Sigma点,Zi,k|k-1表示Zk|k-1的第i列,/>表示k时刻量测估计的误差方差矩阵,R表示nz×nz维的量测噪声方差矩阵,nz其中表示量测维数,/>表示k时刻状态和量测的互协方差矩阵;
(4)当物联网观测到量测zk到来时,进行基于F分布的攻击检测;
1)根据观测到的量测zk,上一步得到的量测预测及其对应的误差方差矩阵/>构造统计量,表达式为:
其中,zk表示k时刻物联网观测到的量测,表示残差;系统正常工作时,有rk服从F分布,即:
其中,nz其中表示量测维数,v表示自由度,F(a,b)表示参数a和b的F分布;
2)根据1)得到的统计量进行异常检测,
如果系统正常工作,则有:
其中,Tg表示阈值,q表示分位数;如果rk>qTg表示出数据异常,则认为物联网节点遭到网络攻击,否则认为系统正常工作;
(5)根据上一步的检测结果,进行量测更新;
如果rk>qTg,则只用预测值对状态进行更新:
否则,利用量测对状态进行更新:计算滤波增益Kk,后验状态估计及其对应的协方差/>自由度更新ηk,其表达式分别为:
ηk=ηk-1+nz
其中,为k时刻状态的估计,/>为其对应的误差估计方差矩阵,Kk为滤波增益,ηk-1表示k-1时刻系统的自由度,ηk表示k时刻系统的自由度,此步骤保证了存在异常值情况下系统状态估计的稳定。
本发明的有益技术效果是:
本发明由于网络攻击,特别是错误注入攻击会产生与正常状态相差较大的数据,也就是异常值,因此量测噪声并不服从高斯分布,传统基于高斯假设的网络攻击检测和状态估计方法效果并不理想。本发明假设系统噪声服从Student-t分布,不同于高斯分布,Student-t分布具有“重尾”(Heavy Tailed)特性,比较符合具有异常值的噪声的分布。采用该假设后,即使有偶然的漏检,系统的局部估计仍然会保持稳定。与检测类似,可以通过局部量测构建与残差相关的检测统计量,该统计量的分布服从F分布而不是/>分布,因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击,剩余量测仍服从Student-t分布,还需要采用Student-t滤波器。该方法可以在检测的同时保持系统估计的稳定,提高攻击检测的稳定性和准确率。需要注意的是,本发明利用状态估计方法,通过检测物联网状态数据是否存在异常值,从而间接检测到网络攻击。当物联网状态数据存在异常值时,说明其很有可能遭到了网络攻击或者其它故障。
附图说明
图1为本发明的全流程示意图。
具体实施方式
为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述,以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,本发明具体涉及一种面向物联网的网络攻击检测和状态估计方法,包括以下步骤:
(1)建立系统噪声Student-t分布模型,给定物联网状态初值和相应的误差方差矩阵P0,以及系统的自由度η0
(2)当时间步k≥1时,根据上一时刻的状态值和相应的误差方差矩阵Pk-1,计算单形采样Sigma点,计算k-1时刻后验状态单形采样Sigma点的方程表示为:
其中,表示k-1时刻的状态估计,Pk-1表示k-1时刻状态估计对应的误差方差矩阵,γ为大于0小于1的比例因子,/>为k-1时刻后验状态单形采样Sigma点;
(3)根据计算得到的单形采样Sigma点,对状态和量测进行预测,也就是时间更新:
1)根据k-1时刻后验状态单形采样Sigma点计算经过非线性变换后的sigma点,表达式如下:
其中,f(·)表示状态方程,表示k时刻/>的一步预测;
2)根据1)得到的一步预测Sigma点计算状态预测,以及经过量测方程变换后的Sigma点:
其中,表示k时刻状态的一步预测,L表示状态向量的维数,/>表示/>的第i列,/>表示/>对应的估计误差矩阵,Qk表示k时刻L×L维的状态误差方差矩阵,一阶权重系数/>和二阶权重系数/>定义如下:
其中,α为比例因子,β为用于引入状态的先验信息;
3)根据1)得到的一步预测Sigma点计算经过量测非线性变换后的量测Sigma点Zk|k-1,其表达式为:
根据得到的量测Sigma点Zk|k-1量测预测其对应的协方差/>以及状态和量测的互协方差/>其表达式分别为:
其中,表示k时刻量测的一步预测,h(·)表示量测方程,Zk|k-1表示量测的Sigma点,Zi,k|k-1表示Zk|k-1的第i列,/>表示k时刻量测估计的误差方差矩阵,R表示nz×nz维的量测噪声方差矩阵,nz其中表示量测维数,/>表示k时刻状态和量测的互协方差矩阵;
(4)当物联网观测到量测zk到来时,进行基于F分布的攻击检测;
1)根据观测到的量测zk,上一步得到的量测预测及其对应的误差方差/>构造统计量,表达式为:
其中,zk表示k时刻物联网观测到的量测,表示残差;系统正常工作时,有rk服从F分布,即:
其中,nz其中表示量测维数,v表示自由度,F(a,b)表示参数a和b的F分布;
2)根据1)得到的统计量进行异常检测,
如果系统正常工作,则有:
其中,Tg表示阈值,q表示分位数;如果rk>qTg表示出数据异常,则认为物联网节点遭到网络攻击,否则认为系统正常工作;
(5)根据上一步的检测结果,进行量测更新;
如果rk>qTg,则只用预测值对状态进行更新:
否则,利用量测对状态进行更新:计算滤波增益Kk,后验状态估计及其对应的协方差/>自由度更新ηk,其表达式分别为:
ηk=ηk-1+nz
其中,为k时刻状态的估计,/>为其对应的误差估计方差矩阵,Kk为滤波增益,ηk-1表示k-1时刻系统的自由度,ηk表示k时刻系统的自由度,此步骤保证了存在异常值情况下系统状态估计的稳定。
具体实施方法为:
(1)模型建立
在模型建立阶段,假设系统噪声服从Student-t分布,不同于高斯分布,Student-t分布具有“重尾”(Heavy Tailed)特性,比较符合具有异常值的噪声的分布。采用该假设后,即使有偶然的漏检,系统的局部估计仍然会保持稳定。与检测类似,可以通过局部量测构建与残差相关的检测统计量,该统计量的分布服从F分布而不是/>分布,因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击,剩余量测仍服从Student-t分布,还需要采用Student-t滤波器。
(2)最终配准阶段:
给定状态初值x0和相应的误差方差矩阵P0,以及系统的自由度η0,利用估计误差矩阵Pk-1对k-1时刻的状态估计,然后对k-1时刻后验状态单形采样Sigma点。再利用状态方程f(·)对时间进行更新,对k时刻的一步进行预测,/>表示k时刻状态的一步预测,/>的第i列,i=1,2,3,4,5…,n;建立估计误差矩阵方程/>状态误差方差矩阵Qk、状态方程h(·)、量测噪声方差矩阵Rk、k时刻状态和量测的互协方差矩阵/>
本发明采用student-t分布模型进行模型的建立,该student-t分布模型的估计误差矩阵,计算k-1时刻后验状态单形采样Sigma点,表达式为:
之后进行时刻的一步预测,以进行时间更新,表达式为:
再用量测噪声方差矩阵通过局部量测构建与残差相关的检测统计量,进行构造量统计,其表达式为:
如果系统正常工作,则有
rk≤γTg
如果rk>γTg,则
否则
ηk=ηk-1+nz
以上所述仅是本发明的优选实施方式,并不用于限制本发明,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。

Claims (1)

1.一种面向物联网的网络攻击检测和状态估计方法,其特征在于,包括以下步骤:
(1)建立系统噪声Student-t分布模型,给定物联网状态初值和相应的误差方差矩阵P0,以及系统的自由度η0
(2)当时间步k≥1时,根据上一时刻的状态值和相应的误差方差矩阵Pk-1,计算单形采样Sigma点,计算k-1时刻后验状态单形采样Sigma点的方程表示为:
其中,表示k-1时刻的状态估计,Pk-1表示k-1时刻状态估计对应的误差方差矩阵,γ为大于0小于1的比例因子,/>为k-1时刻后验状态单形采样Sigma点;
(3)根据计算得到的单形采样Sigma点,对状态和量测进行预测,也就是时间更新:
1)根据k-1时刻后验状态单形采样Sigma点计算经过非线性变换后的sigma点,表达式如下:
其中,f(·)表示状态方程,表示k时刻/>的一步预测;
2)根据1)得到的一步预测Sigma点计算状态预测,以及经过量测方程变换后的Sigma点:
其中,表示k时刻状态的一步预测,L表示状态向量的维数,/>表示/>的第i列,表示/>对应的估计误差矩阵,Qk表示k时刻L×L维的状态误差方差矩阵,一阶权重系数和二阶权重系数/>定义如下:
其中,α为比例因子,β为用于引入状态的先验信息;
3)根据1)得到的一步预测Sigma点计算经过量测非线性变换后的量测Sigma点Zk|k-1,其表达式为:
根据得到的量测Sigma点Zk|k-1量测预测其对应的协方差/>以及状态和量测的互协方差/>其表达式分别为:
其中,表示k时刻量测的一步预测,h(·)表示量测方程,Zk|k-1表示量测的Sigma点,Zi,k|k-1表示Zk|k-1的第i列,/>表示k时刻量测估计的误差方差矩阵,R表示nz×nz维的量测噪声方差矩阵,nz其中表示量测维数,/>表示k时刻状态和量测的互协方差矩阵;
(4)当物联网观测到量测zk到来时,进行基于F分布的攻击检测;
1)根据观测到的量测zk,上一步得到的量测预测及其对应的误差方差矩阵/>构造统计量,表达式为:
其中,zk表示k时刻物联网观测到的量测,表示残差;系统正常工作时,有rk服从F分布,即:
其中,nz其中表示量测维数,v表示自由度,F(a,b)表示参数a和b的F分布;
2)根据1)得到的统计量进行异常检测,
如果系统正常工作,则有:
rk≤qTg,
其中,Tg表示阈值,q表示分位数;如果rk>qTg表示出数据异常,则认为物联网节点遭到网络攻击,否则认为系统正常工作;
(5)根据上一步的检测结果,进行量测更新;
如果rk>qTg,则只用预测值对状态进行更新:
否则,利用量测对状态进行更新:计算滤波增益Kk,后验状态估计及其对应的协方差自由度更新ηk,其表达式分别为:
ηk=ηk-1+nz
其中,为k时刻状态的估计,/>为其对应的误差估计方差矩阵,Kk为滤波增益,ηk-1表示k-1时刻系统的自由度,ηk表示k时刻系统的自由度,此步骤保证了存在异常值情况下系统状态估计的稳定。
CN202310304783.1A 2023-03-27 2023-03-27 一种面向物联网的网络攻击检测和状态估计方法 Active CN116405273B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310304783.1A CN116405273B (zh) 2023-03-27 2023-03-27 一种面向物联网的网络攻击检测和状态估计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310304783.1A CN116405273B (zh) 2023-03-27 2023-03-27 一种面向物联网的网络攻击检测和状态估计方法

Publications (2)

Publication Number Publication Date
CN116405273A CN116405273A (zh) 2023-07-07
CN116405273B true CN116405273B (zh) 2023-10-20

Family

ID=87009613

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310304783.1A Active CN116405273B (zh) 2023-03-27 2023-03-27 一种面向物联网的网络攻击检测和状态估计方法

Country Status (1)

Country Link
CN (1) CN116405273B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771758A (zh) * 2008-12-31 2010-07-07 北京亿阳信通软件研究院有限公司 一种性能指标值正常波动范围的动态确定方法及其装置
CN113468473A (zh) * 2021-06-30 2021-10-01 清华大学 户外固定大型机械设备的运行状态实时评估方法及系统
CN114666361A (zh) * 2022-01-29 2022-06-24 上海至冕伟业科技有限公司 一种基于消防物联网的水系统整体故障检测系统及方法
CN114666153A (zh) * 2022-04-08 2022-06-24 东南大学溧阳研究院 基于状态估计残差分布描述的虚假数据注入攻击检测方法及其系统
CN115766062A (zh) * 2022-09-23 2023-03-07 上海理工大学 微电网系统虚假数据注入攻击的检测、隔离及消除方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108173670B (zh) * 2016-12-07 2020-06-02 华为技术有限公司 检测网络的方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771758A (zh) * 2008-12-31 2010-07-07 北京亿阳信通软件研究院有限公司 一种性能指标值正常波动范围的动态确定方法及其装置
CN113468473A (zh) * 2021-06-30 2021-10-01 清华大学 户外固定大型机械设备的运行状态实时评估方法及系统
CN114666361A (zh) * 2022-01-29 2022-06-24 上海至冕伟业科技有限公司 一种基于消防物联网的水系统整体故障检测系统及方法
CN114666153A (zh) * 2022-04-08 2022-06-24 东南大学溧阳研究院 基于状态估计残差分布描述的虚假数据注入攻击检测方法及其系统
CN115766062A (zh) * 2022-09-23 2023-03-07 上海理工大学 微电网系统虚假数据注入攻击的检测、隔离及消除方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
基于F分布的无线传感器网络攻击检测方法;史德阳;罗永健;侯银涛;张卫东;;河北科技大学学报;第33卷(第06期);第519-524页 *
基于多元t-分布的隐马尔可夫潜变量模型的稳健推断;夏业茂;陈高燕;刘应安;;系统科学与数学;第36卷(第10期);第1783-1803页 *
基于方差齐性检验的无线传感网火灾监测;胡向东;赵代娜;;重庆邮电大学学报(自然科学版);第25卷(第02期);第166-171页 *
电力系统状态估计算法的综合分析;古浩原;崔建强;杨浩;赵虎;;电气开关(第06期);第11-14、18页 *

Also Published As

Publication number Publication date
CN116405273A (zh) 2023-07-07

Similar Documents

Publication Publication Date Title
Sathishkumar et al. Non-fragile filtering for singular Markovian jump systems with missing measurements
Geng et al. State estimation under non-Gaussian Lévy and time-correlated additive sensor noises: A modified Tobit Kalman filtering approach
Zheng et al. Recursive state estimation for discrete‐time nonlinear systems with event‐triggered data transmission, norm‐bounded uncertainties and multiple missing measurements
Han et al. Local design of distributed H∞‐consensus filtering over sensor networks under multiplicative noises and deception attacks
Liu et al. Fault detection for discrete-time systems with randomly occurring nonlinearity and data missing: A quadrotor vehicle example
CN113741309A (zh) 一种基于观测器的双动态事件触发控制器模型设计方法
Long et al. Adaptive time‐varying formation control of uncertain Euler–Lagrange systems with event‐triggered communication
CN115022031B (zh) 解决fdi攻击对多智能体系统影响的安全一致性控制方法
CN110531732B (zh) 一种非线性网络化控制系统的随机故障检测方法
Jin et al. Distributed Kalman filters with random sensor activation and noisy channels
CN109309593B (zh) 一种基于Round-Robin协议的网络化系统的故障检测方法
CN113325708B (zh) 基于异构多智能体的多无人机系统的故障估计方法
CN116405273B (zh) 一种面向物联网的网络攻击检测和状态估计方法
Jenabzadeh et al. Distributed consensus filter for a class of continuous‐time nonlinear stochastic systems in sensor networks
Lu et al. Variance‐constrained resilient H∞ filtering for mobile robot localization under dynamic event‐triggered communication mechanism
CN116186643B (zh) 一种多传感器协同目标跟踪方法、系统、设备及介质
Zhao et al. Data-driven event-triggered bipartite consensus for multi-agent systems preventing doS attacks
Deka et al. The Gaussian multiplicative approximation for state‐space models
Zhu et al. Fault detection for nonlinear networked control systems based on fuzzy observer
George et al. Distributed fault detection and accommodation in dynamic average consensus
CN112953943B (zh) 分布式估计中基于信任机制的错误数据注入攻击对抗方法
Doostmohammadiany et al. Simultaneous distributed estimation and attack detection/isolation in social networks: Structural observability, kronecker-product network, and chi-square detector
Yu et al. Consensus of heterogeneous multi-agent systems with uncertain DoS attack: Application to mobile stage vehicles
Renganathan et al. Anomaly detection under multiplicative noise model uncertainty
Guo et al. A novel EM implementation for initial alignment of SINS based on particle filter and particle swarm optimization

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant