CN116405273A - 一种面向物联网的网络攻击检测和状态估计方法 - Google Patents
一种面向物联网的网络攻击检测和状态估计方法 Download PDFInfo
- Publication number
- CN116405273A CN116405273A CN202310304783.1A CN202310304783A CN116405273A CN 116405273 A CN116405273 A CN 116405273A CN 202310304783 A CN202310304783 A CN 202310304783A CN 116405273 A CN116405273 A CN 116405273A
- Authority
- CN
- China
- Prior art keywords
- state
- measurement
- representing
- time
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 27
- 238000000034 method Methods 0.000 title claims abstract description 15
- 238000005259 measurement Methods 0.000 claims abstract description 62
- 238000005070 sampling Methods 0.000 claims abstract description 9
- 239000011159 matrix material Substances 0.000 claims description 35
- 230000014509 gene expression Effects 0.000 claims description 18
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 230000009466 transformation Effects 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000002347 injection Methods 0.000 abstract description 4
- 239000007924 injection Substances 0.000 abstract description 4
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种面向物联网的网络攻击检测和状态估计方法,本发明假设***噪声服从Student‑t分布,通过局部量测构建与残差相关的检测统计量,该统计量的分布服从F分布而不是χ2分布,因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击,剩余量测仍服从Student‑t分布,还需要采用基于单形采样的Student‑t滤波器。该方法可以在检测的同时保持***估计的稳定,可以提高攻击检测的稳定性和准确率。
Description
技术领域
本发明涉及网络攻击检测技术领域,具体涉及一种面向物联网的网络攻击检测和状态估计方法。
背景技术
近年来,网络化的分布式无人***在民用和军事领域都得到了极大的发展。在民用领域,信息物理融合***(Cyber-physical system,CPS)是大规模的、地理上分散的、联合的、异构的计算单元与物理对象在网络空间中高度集成交互形成的智能无人***,其中的嵌入式设备(例如传感器和执行器)被联网以感知,监视和控制物理世界。这些构成了工业物联网的基础。
与传统的网络控制***相比,物联网***通常面临很高的网络攻击风险,这会带来一些额外的安全漏洞。网络攻击可以通过网络部分以隐秘且不可预测的方式注入***。在没有足够的硬件或软件策略安全保护的情况下,攻击者可以任意干扰某些类型的***动态,也可以引起任何干扰。毫无疑问,网络攻击被视为物联网***的主要威胁之一。
状态估计是物联网***一个十分重要的***对于物联网***状态估计问题,构建一套针对网络攻击下无人***的安全状态估计方法,减轻网络攻击以及各种概率性通信故障的影响是十分重要的。传统的方法将***的噪声假设为高斯分布,通过局部滤波器接收到的量测得到残差,然后通过残差构建检测的统计量,该统计量服从χ2分布,通过设置阈值来判断是否存在攻击。由于并不是每次攻击都会被检测到,量测会受到攻击异常值的影响,高斯分布的假设并不成立,此时采用高斯假设会造成估计的不稳定甚至发散。
发明内容
为解决上述技术问题,本发明提供了一种面向物联网的网络攻击检测和状态估计方法。
技术方案:本发明包括以下步骤:
一种面向物联网的网络攻击检测和状态估计方法,包括以下步骤:
(1)建立***噪声Student-t分布模型,给定物联网状态初值x0和相应的误差协方差矩阵P0,以及***的自由度η0。
(3)根据计算得到的单形采样Sigma点,对状态和观测进行预测,也就是时间更新:
1)根据k-1时刻后验状态单形采样Sigma点χk-1计算经过非线性变换后的sigma点,表达式如下:
χk|k-1=f(χk-1)
其中,f(·)表示状态方程,χk|k-1表示k时刻χk-1的一步预测;
2)根据1)得到的一步预测Sigma点χk|k-1,计算状态预测,以及经过量测方程变换后的Sigma点:
其中,表示k时刻状态的一步预测,L表示状态向量的维数,χi,k|k-1表示χk|k-1的第i列,/>表示/>对应的估计误差矩阵,Q表示L×L维的状态误差方差矩阵,一阶权重系数/>和二阶权重系数/>定义如下:
其中,α为比例因子,β为用于引入状态的先验信息;
3)根据1得到的一步预测Sigma点χk|k-1,计算经过量测非线性变换后的量测Sigma点Zk|k-1,其表达式为:
Zk|k-1=h(χk|k-1);
其中,表示k时刻量测的一步预测,h(·)表示观测方程,Zk|k-1表示量测的Sigma点,Zi,k|k-1表示Zk|k-1的第i列,/>表示k时刻量测估计的误差方差矩阵,R表示nz×nz维的量测噪声方差矩阵,nz其中表示量测维数,/>表示k时刻状态和量测的互协方差矩阵。
(4)当物联网观测数据zk到来时,进行基于F分布的攻击检测;
其中,nz其中表示量测维数,v表示自由度,F(a,b)表示参数a和b的F分布;
2)根据1)得到的统计量进行异常检测,
如果***正常工作,则有:
其中,Tg表示阈值,q表示分位数。如果rk>qTg表示出数据异常,则认为物联网节点遭到网络攻击,否则认为***正常工作。
(5)根据上一步的检测结果,进行量测更新;
如果rk>qTg,则只用预测值对状态进行更新:
ηk=ηk-1+nz;
本发明的有益技术效果是:
本发明由于网络攻击,特别是错误注入攻击会产生与正常状态相差较大的数据,也就是异常值,因此量测噪声并不服从高斯分布,传统基于高斯假设的网络攻击检测和状态估计方法效果并不理想。本发明假设***噪声服从Student-t分布,不同于高斯分布,Student-t分布具有“重尾”(Heavy Tailed)特性,比较符合具有异常值的噪声的分布。采用该假设后,即使有偶然的漏检,***的局部估计仍然会保持稳定。与χ2检测类似,可以通过局部量测构建与残差相关的检测统计量,该统计量的分布服从F分布而不是χ2分布,因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击,剩余量测仍服从Student-t分布,还需要采用Student-t滤波器。该方法可以在检测的同时保持***估计的稳定,提高攻击检测的稳定性和准确率。需要注意的是,本发明利用状态估计方法,通过检测物联网状态数据是否存在异常值,从而间接检测到网络攻击。当物联网状态数据存在异常值时,说明其很有可能遭到了网络攻击或者其它故障。
附图说明
图1为本发明的全流程示意图。
具体实施方式
为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述,以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,本发明具体涉及一种面向物联网的网络攻击检测和状态估计方法,包括以下步骤:
(1)建立***噪声Student-t分布模型,给定物联网状态初值x0和相应的误差协方差矩阵P0,以及***的自由度η0。
(3)根据计算得到的单形采样Sigma点,对状态和观测进行预测,也就是时间更新:
1)根据k-1时刻后验状态单形采样Sigma点χk-1计算经过非线性变换后的sigma点,表达式如下:
χk|k-1=f(χk-1);
其中,f(·)表示状态方程,χk|k-1表示k时刻χk-1的一步预测;
2)根据1)得到的一步预测Sigma点χk|k-1,计算状态预测,以及经过量测方程变换后的Sigma点:
其中,表示k时刻状态的一步预测,L表示状态向量的维数,χi,k|k-1表示χk|k-1的第i列,/>表示/>对应的估计误差矩阵,Q表示L×L维的状态误差方差矩阵,一阶权重系数和二阶权重系数/>定义如下:
其中,α为比例因子,β为用于引入状态的先验信息;
3)根据1得到的一步预测Sigma点χk|k-1,计算经过量测非线性变换后的量测Sigma点Zk|k-1,其表达式为:
Zk|k-1=h(χk|k-1);
其中,表示k时刻量测的一步预测,h(·)表示观测方程,Zk|k-1表示量测的Sigma点,Zi,k|k-1表示Zk|k-1的第i列,/>表示k时刻量测估计的误差方差矩阵,R表示nz×nz维的量测噪声方差矩阵,nz其中表示量测维数,/>表示k时刻状态和量测的互协方差矩阵。
(4)当物联网观测数据zk到来时,进行基于F分布的攻击检测;
其中,nz其中表示量测维数,v表示自由度,F(a,b)表示参数a和b的F分布;
2)根据1)得到的统计量进行异常检测,
如果***正常工作,则有:
其中,Tg表示阈值,q表示分位数。如果rk>qTg表示出数据异常,则认为物联网节点遭到网络攻击,否则认为***正常工作。
(5)根据上一步的检测结果,进行量测更新;
如果rk>qTg,则只用预测值对状态进行更新:
ηk=ηk-1+nz;
具体实施方法为:
(1)模型建立
在模型建立阶段,假设***噪声服从Student-t分布,不同于高斯分布,Student-t分布具有“重尾”(Heavy Tailed)特性,比较符合具有异常值的噪声的分布。采用该假设后,即使有偶然的漏检,***的局部估计仍然会保持稳定。与χ2检测类似,可以通过局部量测构建与残差相关的检测统计量,该统计量的分布服从F分布而不是χ2分布,因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击,剩余量测仍服从Student-t分布,还需要采用Student-t滤波器。
(2)最终配准阶段:
给定状态初值x0和相应的误差协方差矩阵P0,以及***的自由度η0,利用估计误差矩阵Pk-1对k-1时刻的状态估计,然后对k-1时刻后验状态单形采样Sigma点。再利用状态方程f(·)对时间进行更新,对k时刻χk-1的一步进行预测,表示k时刻状态的一步预测,χk|k-1的第i列,i=1,2,3,4,5…,n;建立估计误差矩阵方程/>状态误差方差矩阵Qk、状态方程h(·)、量测噪声方差矩阵Rk、k时刻状态和量测的互协方差矩阵/>
再用量测噪声方差矩阵通过局部量测构建与残差相关的检测统计量,进行构造量统计,其表达式为:
如果***正常工作,则有
如果rk>γTg,则
否则
ηk=ηk-1+nz。
以上所述仅是本发明的优选实施方式,并不用于限制本发明,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。
Claims (1)
1.一种面向物联网的网络攻击检测和状态估计方法,其特征在于,包括以下步骤:
(1)建立***噪声Student-t分布模型,给定物联网状态初值x0和相应的误差协方差矩阵P0,以及***的自由度η0;
(3)根据计算得到的单形采样Sigma点,对状态和观测进行预测,也就是时间更新:
1)根据k-1时刻后验状态单形采样Sigma点χk-1计算经过非线性变换后的sigma点,表达式如下:
χk|k-1=f(χk-1);
其中,f(·)表示状态方程,χk|k-1表示k时刻χk-1的一步预测;
2)根据1)得到的一步预测Sigma点χk|k-1,计算状态预测,以及经过量测方程变换后的Sigma点:
其中,表示k时刻状态的一步预测,L表示状态向量的维数,χi,k|k-1表示χk|k-1的第i列,/>表示/>对应的估计误差矩阵,Q表示L×L维的状态误差方差矩阵,一阶权重系数和二阶权重系数/>定义如下:
其中,α为比例因子,β为用于引入状态的先验信息;
3)根据1得到的一步预测Sigma点χk|k-1,计算经过量测非线性变换后的量测Sigma点Zk|k-1,其表达式为:
Zk|k-1=h(χk|k-1);
其中,表示k时刻量测的一步预测,h(·)表示观测方程,Zk|k-1表示量测的Sigma点,Zi,k|k-1表示Zk|k-1的第i列,/>表示k时刻量测估计的误差方差矩阵,R表示nz×nz维的量测噪声方差矩阵,nz其中表示量测维数,/>表示k时刻状态和量测的互协方差矩阵;
(4)当物联网观测数据zk到来时,进行基于F分布的攻击检测;
其中,nz其中表示量测维数,v表示自由度,F(a,b)表示参数a和b的F分布;
2)根据1)得到的统计量进行异常检测,
如果***正常工作,则有:
其中,Tg表示阈值,q表示分位数。如果rk>qTg表示出数据异常,则认为物联网节点遭到网络攻击,否则认为***正常工作;
(5)根据上一步的检测结果,进行量测更新;
如果rk>qTg,则只用预测值对状态进行更新:
ηk=ηk-1+nz;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310304783.1A CN116405273B (zh) | 2023-03-27 | 2023-03-27 | 一种面向物联网的网络攻击检测和状态估计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310304783.1A CN116405273B (zh) | 2023-03-27 | 2023-03-27 | 一种面向物联网的网络攻击检测和状态估计方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116405273A true CN116405273A (zh) | 2023-07-07 |
CN116405273B CN116405273B (zh) | 2023-10-20 |
Family
ID=87009613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310304783.1A Active CN116405273B (zh) | 2023-03-27 | 2023-03-27 | 一种面向物联网的网络攻击检测和状态估计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116405273B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101771758A (zh) * | 2008-12-31 | 2010-07-07 | 北京亿阳信通软件研究院有限公司 | 一种性能指标值正常波动范围的动态确定方法及其装置 |
US20190288904A1 (en) * | 2016-12-07 | 2019-09-19 | Huawei Technologies Co., Ltd. | Network Detection Method and Apparatus |
CN113468473A (zh) * | 2021-06-30 | 2021-10-01 | 清华大学 | 户外固定大型机械设备的运行状态实时评估方法及*** |
CN114666153A (zh) * | 2022-04-08 | 2022-06-24 | 东南大学溧阳研究院 | 基于状态估计残差分布描述的虚假数据注入攻击检测方法及其*** |
CN114666361A (zh) * | 2022-01-29 | 2022-06-24 | 上海至冕伟业科技有限公司 | 一种基于消防物联网的水***整体故障检测***及方法 |
CN115766062A (zh) * | 2022-09-23 | 2023-03-07 | 上海理工大学 | 微电网***虚假数据注入攻击的检测、隔离及消除方法 |
-
2023
- 2023-03-27 CN CN202310304783.1A patent/CN116405273B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101771758A (zh) * | 2008-12-31 | 2010-07-07 | 北京亿阳信通软件研究院有限公司 | 一种性能指标值正常波动范围的动态确定方法及其装置 |
US20190288904A1 (en) * | 2016-12-07 | 2019-09-19 | Huawei Technologies Co., Ltd. | Network Detection Method and Apparatus |
CN113468473A (zh) * | 2021-06-30 | 2021-10-01 | 清华大学 | 户外固定大型机械设备的运行状态实时评估方法及*** |
CN114666361A (zh) * | 2022-01-29 | 2022-06-24 | 上海至冕伟业科技有限公司 | 一种基于消防物联网的水***整体故障检测***及方法 |
CN114666153A (zh) * | 2022-04-08 | 2022-06-24 | 东南大学溧阳研究院 | 基于状态估计残差分布描述的虚假数据注入攻击检测方法及其*** |
CN115766062A (zh) * | 2022-09-23 | 2023-03-07 | 上海理工大学 | 微电网***虚假数据注入攻击的检测、隔离及消除方法 |
Non-Patent Citations (4)
Title |
---|
古浩原;崔建强;杨浩;赵虎;: "电力***状态估计算法的综合分析", 电气开关, no. 06, pages 11 - 14 * |
史德阳;罗永健;侯银涛;张卫东;: "基于F分布的无线传感器网络攻击检测方法", 河北科技大学学报, vol. 33, no. 06, pages 519 - 524 * |
夏业茂;陈高燕;刘应安;: "基于多元t-分布的隐马尔可夫潜变量模型的稳健推断", ***科学与数学, vol. 36, no. 10, pages 1783 - 1803 * |
胡向东;赵代娜;: "基于方差齐性检验的无线传感网火灾监测", 重庆邮电大学学报(自然科学版), vol. 25, no. 02, pages 166 - 171 * |
Also Published As
Publication number | Publication date |
---|---|
CN116405273B (zh) | 2023-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sathishkumar et al. | Non-fragile filtering for singular Markovian jump systems with missing measurements | |
CN111611718B (zh) | 基于贝叶斯学习的执行器故障估计方法 | |
Han et al. | Local design of distributed H∞‐consensus filtering over sensor networks under multiplicative noises and deception attacks | |
CN110531732B (zh) | 一种非线性网络化控制***的随机故障检测方法 | |
CN113765880B (zh) | 一种基于时空关联性的电力***网络攻击检测方法 | |
CN113741309A (zh) | 一种基于观测器的双动态事件触发控制器模型设计方法 | |
CN110826054A (zh) | 一种基于报文数据场特征的车载can总线入侵检测方法 | |
CN115022031B (zh) | 解决fdi攻击对多智能体***影响的安全一致性控制方法 | |
CN116186643A (zh) | 一种多传感器协同目标跟踪方法、***、设备及介质 | |
CN112487425A (zh) | 一种多智能体***在欺骗攻击情况下实现一致性的方法 | |
Gai et al. | Dynamic Event-Triggered Hᵢ/H∞ Optimization Approach to Fault Detection for Unmanned Aerial Vehicles | |
CN116405273B (zh) | 一种面向物联网的网络攻击检测和状态估计方法 | |
Zhao et al. | Data-driven event-triggered bipartite consensus for multi-agent systems preventing doS attacks | |
Wang et al. | Cooperative attack strategy design via H−/H∞ scheme for linear cyber‐physical systems | |
Ding et al. | Neuroadaptive prescribed-time secure control for nonlinear interconnected NCSs via multiple triggering against DoS attacks | |
Zhu et al. | Fault detection for nonlinear networked control systems based on fuzzy observer | |
CN116540665A (zh) | 基于未知输入观测器的多无人机***安全控制方法 | |
Renganathan et al. | Anomaly detection under multiplicative noise model uncertainty | |
CN112953943B (zh) | 分布式估计中基于信任机制的错误数据注入攻击对抗方法 | |
Ni et al. | Predefined-time consensus tracking of high-order multiagent system with deception attack | |
Doostmohammadiany et al. | Simultaneous distributed estimation and attack detection/isolation in social networks: Structural observability, kronecker-product network, and chi-square detector | |
Gerencsér et al. | Recursive estimation of GARCH processes | |
Zhang et al. | Distributed sensor fault diagnosis in a class of interconnected nonlinear uncertain systems | |
Yu et al. | Consensus of heterogeneous multi-agent systems with uncertain DoS attack: Application to mobile stage vehicles | |
CN110515069B (zh) | 一种用于分布式目标跟踪的自适应一致性信息滤波方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |