CN116405273A - 一种面向物联网的网络攻击检测和状态估计方法 - Google Patents

Abstract

本发明公开了一种面向物联网的网络攻击检测和状态估计方法，本发明假设***噪声服从Student‑t分布，通过局部量测构建与残差相关的检测统计量，该统计量的分布服从F分布而不是χ²分布，因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击，剩余量测仍服从Student‑t分布，还需要采用基于单形采样的Student‑t滤波器。该方法可以在检测的同时保持***估计的稳定，可以提高攻击检测的稳定性和准确率。

Description

一种面向物联网的网络攻击检测和状态估计方法

技术领域

本发明涉及网络攻击检测技术领域，具体涉及一种面向物联网的网络攻击检测和状态估计方法。

背景技术

近年来，网络化的分布式无人***在民用和军事领域都得到了极大的发展。在民用领域，信息物理融合***(Cyber-physical system,CPS)是大规模的、地理上分散的、联合的、异构的计算单元与物理对象在网络空间中高度集成交互形成的智能无人***，其中的嵌入式设备(例如传感器和执行器)被联网以感知，监视和控制物理世界。这些构成了工业物联网的基础。

与传统的网络控制***相比，物联网***通常面临很高的网络攻击风险，这会带来一些额外的安全漏洞。网络攻击可以通过网络部分以隐秘且不可预测的方式注入***。在没有足够的硬件或软件策略安全保护的情况下，攻击者可以任意干扰某些类型的***动态，也可以引起任何干扰。毫无疑问，网络攻击被视为物联网***的主要威胁之一。

状态估计是物联网***一个十分重要的***对于物联网***状态估计问题，构建一套针对网络攻击下无人***的安全状态估计方法，减轻网络攻击以及各种概率性通信故障的影响是十分重要的。传统的方法将***的噪声假设为高斯分布，通过局部滤波器接收到的量测得到残差，然后通过残差构建检测的统计量，该统计量服从χ²分布，通过设置阈值来判断是否存在攻击。由于并不是每次攻击都会被检测到，量测会受到攻击异常值的影响，高斯分布的假设并不成立，此时采用高斯假设会造成估计的不稳定甚至发散。

发明内容

为解决上述技术问题，本发明提供了一种面向物联网的网络攻击检测和状态估计方法。

技术方案：本发明包括以下步骤：

一种面向物联网的网络攻击检测和状态估计方法，包括以下步骤：

(1)建立***噪声Student-t分布模型，给定物联网状态初值x₀和相应的误差协方差矩阵P₀，以及***的自由度η₀。

(2)当时间步k≥1时，根据上一时刻的状态值

和相应的误差协方差矩阵P_k-1，计算单形采样Sigma点，计算k-1时刻后验状态单形采样Sigma点的方程表示为：

其中，

表示k-1时刻的状态估计，P_k-1表示k-1时刻状态估计对应的误差方差矩阵，γ为大于0小于1的比例因子，χ_k-1为k-1时刻后验状态单形采样Sigma点。

(3)根据计算得到的单形采样Sigma点，对状态和观测进行预测，也就是时间更新：

1)根据k-1时刻后验状态单形采样Sigma点χ_k-1计算经过非线性变换后的sigma点，表达式如下：

χ_k|k-1＝f(χ_k-1)

其中，f(·)表示状态方程，χ_k|k-1表示k时刻χ_k-1的一步预测；

2)根据1)得到的一步预测Sigma点χ_k|k-1，计算状态预测，以及经过量测方程变换后的Sigma点:

其中，

表示k时刻状态的一步预测，L表示状态向量的维数，χ_i,k|k-1表示χ_k|k-1的第i列，/>

表示/>

对应的估计误差矩阵，Q表示L×L维的状态误差方差矩阵，一阶权重系数/>

和二阶权重系数/>

定义如下：

其中,α为比例因子，β为用于引入状态的先验信息；

3)根据1得到的一步预测Sigma点χ_k|k-1，计算经过量测非线性变换后的量测Sigma点Z_k|k-1，其表达式为：

Z_k|k-1＝h(χ_k|k-1)；

根据得到的量测Sigma点Z_k|k-1量测预测

其对应的协方差/>

以及状态和量测的互协方差/>

其表达式分别为：

其中,

表示k时刻量测的一步预测，h(·)表示观测方程，Z_k|k-1表示量测的Sigma点，Z_i,k|k-1表示Z_k|k-1的第i列，/>

表示k时刻量测估计的误差方差矩阵，R表示n_z×n_z维的量测噪声方差矩阵，n_z其中表示量测维数，/>

表示k时刻状态和量测的互协方差矩阵。

(4)当物联网观测数据z_k到来时，进行基于F分布的攻击检测；

1)根据观测z_k，上一步得到的量测预测

及其对应的误差协方差/>

构造统计量，表达式为：

其中,z_k表示k时刻物联网观测到的量测，

表示残差。***正常工作时，有r_k服从F分布，即：

其中,n_z其中表示量测维数，v表示自由度，F(a,b)表示参数a和b的F分布；

2)根据1)得到的统计量进行异常检测，

如果***正常工作，则有：

其中，T_g表示阈值，q表示分位数。如果r_k＞qT_g表示出数据异常，则认为物联网节点遭到网络攻击，否则认为***正常工作。

(5)根据上一步的检测结果，进行量测更新；

如果r_k＞qT_g，则只用预测值对状态进行更新：

否则，利用量测对状态进行更新：计算滤波增益K_k，后验状态估计

及其对应的协方差/>

自由度更新η_k，其表达式分别为：

η_k＝η_k-1+n_z；

其中，

为k时刻状态的估计，/>

为其对应的误差估计方差矩阵，K_k为滤波增益，η_k-1表示k-1时刻***的自由度，η_k表示k时刻***的自由度，此步骤保证了存在异常值情况下***状态估计的稳定。

本发明的有益技术效果是：

本发明由于网络攻击，特别是错误注入攻击会产生与正常状态相差较大的数据，也就是异常值，因此量测噪声并不服从高斯分布，传统基于高斯假设的网络攻击检测和状态估计方法效果并不理想。本发明假设***噪声服从Student-t分布，不同于高斯分布，Student-t分布具有“重尾”(Heavy Tailed)特性，比较符合具有异常值的噪声的分布。采用该假设后，即使有偶然的漏检，***的局部估计仍然会保持稳定。与χ²检测类似，可以通过局部量测构建与残差相关的检测统计量，该统计量的分布服从F分布而不是χ²分布，因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击，剩余量测仍服从Student-t分布，还需要采用Student-t滤波器。该方法可以在检测的同时保持***估计的稳定，提高攻击检测的稳定性和准确率。需要注意的是，本发明利用状态估计方法，通过检测物联网状态数据是否存在异常值，从而间接检测到网络攻击。当物联网状态数据存在异常值时，说明其很有可能遭到了网络攻击或者其它故障。

附图说明

图1为本发明的全流程示意图。

具体实施方式

为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述，以下实施例用于说明本发明，但不用来限制本发明的范围。

如图1所示，本发明具体涉及一种面向物联网的网络攻击检测和状态估计方法，包括以下步骤：

(1)建立***噪声Student-t分布模型，给定物联网状态初值x₀和相应的误差协方差矩阵P₀，以及***的自由度η₀。

(2)当时间步k≥1时，根据上一时刻的状态值

和相应的误差协方差矩阵P_k-1，计算单形采样Sigma点，计算k-1时刻后验状态单形采样Sigma点的方程表示为：

其中，

表示k-1时刻的状态估计，P_k-1表示k-1时刻状态估计对应的误差方差矩阵，γ为大于0小于1的比例因子，χ_k-1为k-1时刻后验状态单形采样Sigma点。

(3)根据计算得到的单形采样Sigma点，对状态和观测进行预测，也就是时间更新：

1)根据k-1时刻后验状态单形采样Sigma点χ_k-1计算经过非线性变换后的sigma点，表达式如下：

χ_k|k-1＝f(χ_k-1)；

其中，f(·)表示状态方程，χ_k|k-1表示k时刻χ_k-1的一步预测；

2)根据1)得到的一步预测Sigma点χ_k|k-1，计算状态预测，以及经过量测方程变换后的Sigma点:

其中，

表示k时刻状态的一步预测，L表示状态向量的维数，χ_i,k|k-1表示χ_k|k-1的第i列，/>

表示/>

对应的估计误差矩阵，Q表示L×L维的状态误差方差矩阵，一阶权重系数

和二阶权重系数/>

定义如下：

其中,α为比例因子，β为用于引入状态的先验信息；

3)根据1得到的一步预测Sigma点χ_k|k-1，计算经过量测非线性变换后的量测Sigma点Z_k|k-1，其表达式为：

Z_k|k-1＝h(χ_k|k-1)；

根据得到的量测Sigma点Z_k|k-1量测预测

其对应的协方差/>

以及状态和量测的互协方差/>

其表达式分别为：

其中,

表示k时刻量测的一步预测，h(·)表示观测方程，Z_k|k-1表示量测的Sigma点，Z_i,k|k-1表示Z_k|k-1的第i列，/>

表示k时刻量测估计的误差方差矩阵，R表示n_z×n_z维的量测噪声方差矩阵，n_z其中表示量测维数，/>

表示k时刻状态和量测的互协方差矩阵。

(4)当物联网观测数据z_k到来时，进行基于F分布的攻击检测；

1)根据观测z_k，上一步得到的量测预测

及其对应的误差协方差/>

构造统计量，表达式为：

其中,z_k表示k时刻物联网观测到的量测，

表示残差。***正常工作时，有r_k服从F分布，即：

其中,n_z其中表示量测维数，v表示自由度，F(a,b)表示参数a和b的F分布；

2)根据1)得到的统计量进行异常检测，

如果***正常工作，则有：

其中，T_g表示阈值，q表示分位数。如果r_k＞qT_g表示出数据异常，则认为物联网节点遭到网络攻击，否则认为***正常工作。

(5)根据上一步的检测结果，进行量测更新；

如果r_k＞qT_g，则只用预测值对状态进行更新：

否则，利用量测对状态进行更新：计算滤波增益K_k，后验状态估计

及其对应的协方差/>

自由度更新η_k，其表达式分别为：

η_k＝η_k-1+n_z；

其中，

为k时刻状态的估计，/>

为其对应的误差估计方差矩阵，K_k为滤波增益，η_k-1表示k-1时刻***的自由度，η_k表示k时刻***的自由度，此步骤保证了存在异常值情况下***状态估计的稳定。

具体实施方法为：

(1)模型建立

在模型建立阶段，假设***噪声服从Student-t分布，不同于高斯分布，Student-t分布具有“重尾”(Heavy Tailed)特性，比较符合具有异常值的噪声的分布。采用该假设后，即使有偶然的漏检，***的局部估计仍然会保持稳定。与χ²检测类似，可以通过局部量测构建与残差相关的检测统计量，该统计量的分布服从F分布而不是χ²分布，因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击，剩余量测仍服从Student-t分布，还需要采用Student-t滤波器。

(2)最终配准阶段：

给定状态初值x₀和相应的误差协方差矩阵P₀，以及***的自由度η₀，利用估计误差矩阵P_k-1对k-1时刻的状态估计，然后对k-1时刻后验状态单形采样Sigma点。再利用状态方程f(·)对时间进行更新，对k时刻χ_k-1的一步进行预测，

表示k时刻状态的一步预测，χ_k|k-1的第i列，i＝1,2,3,4,5…,n；建立估计误差矩阵方程/>

状态误差方差矩阵Q_k、状态方程h(·)、量测噪声方差矩阵R_k、k时刻状态和量测的互协方差矩阵/>

本发明采用student-t分布模型进行模型的建立，该student-t分布模型的估计误差矩阵，计算k-1时刻后验状态单形采样Sigma点，表达式为：

之后进行时刻的一步预测，以进行时间更新，表达式为：

再用量测噪声方差矩阵通过局部量测构建与残差相关的检测统计量，进行构造量统计，其表达式为：

如果***正常工作，则有

如果r_k＞γT_g，则

否则

η_k＝η_k-1+n_z。

以上所述仅是本发明的优选实施方式，并不用于限制本发明，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims (1)

1.一种面向物联网的网络攻击检测和状态估计方法，其特征在于，包括以下步骤：

(1)建立***噪声Student-t分布模型，给定物联网状态初值x₀和相应的误差协方差矩阵P₀，以及***的自由度η₀；

(2)当时间步k≥1时，根据上一时刻的状态值

和相应的误差协方差矩阵P_k-1，计算单形采样Sigma点，计算k-1时刻后验状态单形采样Sigma点的方程表示为：

其中，

表示k-1时刻的状态估计，P_k-1表示k-1时刻状态估计对应的误差方差矩阵，γ为大于0小于1的比例因子，χ_k-1为k-1时刻后验状态单形采样Sigma点；

(3)根据计算得到的单形采样Sigma点，对状态和观测进行预测，也就是时间更新：

1)根据k-1时刻后验状态单形采样Sigma点χ_k-1计算经过非线性变换后的sigma点，表达式如下：

χ_k|k-1＝f(χ_k-1)；

其中，f(·)表示状态方程，χ_k|k-1表示k时刻χ_k-1的一步预测；

2)根据1)得到的一步预测Sigma点χ_k|k-1，计算状态预测，以及经过量测方程变换后的Sigma点:

其中，

表示k时刻状态的一步预测，L表示状态向量的维数，χ_i,k|k-1表示χ_k|k-1的第i列，/>

表示/>

对应的估计误差矩阵，Q表示L×L维的状态误差方差矩阵，一阶权重系数

和二阶权重系数/>

定义如下：

其中,α为比例因子，β为用于引入状态的先验信息；

3)根据1得到的一步预测Sigma点χ_k|k-1，计算经过量测非线性变换后的量测Sigma点Z_k|k-1，其表达式为：

Z_k|k-1＝h(χ_k|k-1)；

根据得到的量测Sigma点Z_k|k-1量测预测

其对应的协方差/>

以及状态和量测的互协方差/>

其表达式分别为：

其中,

表示k时刻量测的一步预测，h(·)表示观测方程，Z_k|k-1表示量测的Sigma点，Z_i,k|k-1表示Z_k|k-1的第i列，/>

表示k时刻量测估计的误差方差矩阵，R表示n_z×n_z维的量测噪声方差矩阵，n_z其中表示量测维数，/>

表示k时刻状态和量测的互协方差矩阵；

(4)当物联网观测数据z_k到来时，进行基于F分布的攻击检测；

1)根据观测z_k，上一步得到的量测预测

及其对应的误差协方差/>

构造统计量，表达式为：

其中,z_k表示k时刻物联网观测到的量测，

表示残差。***正常工作时，有r_k服从F分布，即：

其中,n_z其中表示量测维数，v表示自由度，F(a,b)表示参数a和b的F分布；

2)根据1)得到的统计量进行异常检测，

如果***正常工作，则有：

r_k≤qT_g,

其中，T_g表示阈值，q表示分位数。如果r_k＞qT_g表示出数据异常，则认为物联网节点遭到网络攻击，否则认为***正常工作；

(5)根据上一步的检测结果，进行量测更新；

如果r_k＞qT_g，则只用预测值对状态进行更新：

否则，利用量测对状态进行更新：计算滤波增益K_k，后验状态估计

及其对应的协方差

自由度更新η_k，其表达式分别为：

η_k＝η_k-1+n_z；

其中，

为k时刻状态的估计，/>

为其对应的误差估计方差矩阵，K_k为滤波增益，η_k-1表示k-1时刻***的自由度，η_k表示k时刻***的自由度，此步骤保证了存在异常值情况下***状态估计的稳定。

Images