一种面向物联网的网络攻击检测和状态估计方法与流程

1.本发明涉及网络攻击检测技术领域，具体涉及一种面向物联网的网络攻击检测和状态估计方法。


背景技术：

2.近年来，网络化的分布式无人系统在民用和军事领域都得到了极大的发展。在民用领域，信息物理融合系统(cyber-physical system,cps)是大规模的、地理上分散的、联合的、异构的计算单元与物理对象在网络空间中高度集成交互形成的智能无人系统，其中的嵌入式设备(例如传感器和执行器)被联网以感知，监视和控制物理世界。这些构成了工业物联网的基础。
3.与传统的网络控制系统相比，物联网系统通常面临很高的网络攻击风险，这会带来一些额外的安全漏洞。网络攻击可以通过网络部分以隐秘且不可预测的方式注入系统。在没有足够的硬件或软件策略安全保护的情况下，攻击者可以任意干扰某些类型的系统动态，也可以引起任何干扰。毫无疑问，网络攻击被视为物联网系统的主要威胁之一。
4.状态估计是物联网系统一个十分重要的系统对于物联网系统状态估计问题，构建一套针对网络攻击下无人系统的安全状态估计方法，减轻网络攻击以及各种概率性通信故障的影响是十分重要的。传统的方法将系统的噪声假设为高斯分布，通过局部滤波器接收到的量测得到残差，然后通过残差构建检测的统计量，该统计量服从χ2分布，通过设置阈值来判断是否存在攻击。由于并不是每次攻击都会被检测到，量测会受到攻击异常值的影响，高斯分布的假设并不成立，此时采用高斯假设会造成估计的不稳定甚至发散。


技术实现要素：

5.为解决上述技术问题，本发明提供了一种面向物联网的网络攻击检测和状态估计方法。
6.技术方案：本发明包括以下步骤：
7.一种面向物联网的网络攻击检测和状态估计方法，包括以下步骤：
8.(1)建立系统噪声student-t分布模型，给定物联网状态初值x0和相应的误差协方差矩阵p0，以及系统的自由度η0。
9.(2)当时间步k≥1时，根据上一时刻的状态值和相应的误差协方差矩阵p
k-1
，计算单形采样sigma点，计算k-1时刻后验状态单形采样sigma点的方程表示为：
[0010][0011]
其中，表示k-1时刻的状态估计，p
k-1
表示k-1时刻状态估计对应的误差方差矩阵，γ为大于0小于1的比例因子，χ
k-1
为k-1时刻后验状态单形采样sigma点。
[0012]
(3)根据计算得到的单形采样sigma点，对状态和观测进行预测，也就是时间更新：
[0013]
1)根据k-1时刻后验状态单形采样sigma点χ
k-1
计算经过非线性变换后的sigma点，
表达式如下：
[0014]
χ
k|k-1
＝f(χ
k-1
)
[0015]
其中，f(
·
)表示状态方程，χ
k|k-1
表示k时刻χ
k-1
的一步预测；
[0016]
2)根据1)得到的一步预测sigma点χ
k|k-1
，计算状态预测，以及经过量测方程变换后的sigma点:
[0017][0018][0019]
其中，表示k时刻状态的一步预测，l表示状态向量的维数，χ
i,k|k-1
表示χ
k|k-1
的第i列，表示对应的估计误差矩阵，q表示l
×
l维的状态误差方差矩阵，一阶权重系数和二阶权重系数定义如下：
[0020][0021][0022]
其中,α为比例因子，β为用于引入状态的先验信息；
[0023]
3)根据1得到的一步预测sigma点χ
k|k-1
，计算经过量测非线性变换后的量测sigma点z
k|k-1
，其表达式为：
[0024]zk|k-1
＝h(χ
k|k-1
)；
[0025]
根据得到的量测sigma点z
k|k-1
量测预测其对应的协方差以及状态和量测的互协方差其表达式分别为：
[0026][0027]
[0028][0029]
其中,表示k时刻量测的一步预测，h(
·
)表示观测方程，z
k|k-1
表示量测的sigma点，z
i,k|k-1
表示z
k|k-1
的第i列，表示k时刻量测估计的误差方差矩阵，r表示nz×
nz维的量测噪声方差矩阵，nz其中表示量测维数，表示k时刻状态和量测的互协方差矩阵。
[0030]
(4)当物联网观测数据zk到来时，进行基于f分布的攻击检测；
[0031]
1)根据观测zk，上一步得到的量测预测及其对应的误差协方差构造统计量，表达式为：
[0032][0033][0034]
其中,zk表示k时刻物联网观测到的量测，表示残差。系统正常工作时，有rk服从f分布，即：
[0035][0036]
其中,nz其中表示量测维数，v表示自由度，f(a,b)表示参数a和b的f分布；
[0037]
2)根据1)得到的统计量进行异常检测，
[0038]
如果系统正常工作，则有：
[0039][0040]
其中，tg表示阈值，q表示分位数。如果rk＞qtg表示出数据异常，则认为物联网节点遭到网络攻击，否则认为系统正常工作。
[0041]
(5)根据上一步的检测结果，进行量测更新；
[0042]
如果rk＞qtg，则只用预测值对状态进行更新：
[0043][0044][0045]
否则，利用量测对状态进行更新：计算滤波增益kk，后验状态估计及其对应的协方差自由度更新ηk，其表达式分别为：
[0046]
[0047][0048][0049]
ηk＝η
k-1
+nz；
[0050]
其中，为k时刻状态的估计，为其对应的误差估计方差矩阵，kk为滤波增益，η
k-1
表示k-1时刻系统的自由度，ηk表示k时刻系统的自由度，此步骤保证了存在异常值情况下系统状态估计的稳定。
[0051]
本发明的有益技术效果是：
[0052]
本发明由于网络攻击，特别是错误注入攻击会产生与正常状态相差较大的数据，也就是异常值，因此量测噪声并不服从高斯分布，传统基于高斯假设的网络攻击检测和状态估计方法效果并不理想。本发明假设系统噪声服从student-t分布，不同于高斯分布，student-t分布具有“重尾”(heavy tailed)特性，比较符合具有异常值的噪声的分布。采用该假设后，即使有偶然的漏检，系统的局部估计仍然会保持稳定。与χ2检测类似，可以通过局部量测构建与残差相关的检测统计量，该统计量的分布服从f分布而不是χ2分布，因而可以构建f检测器。该检测器可以隔离大部分错误注入攻击，剩余量测仍服从student-t分布，还需要采用student-t滤波器。该方法可以在检测的同时保持系统估计的稳定，提高攻击检测的稳定性和准确率。需要注意的是，本发明利用状态估计方法，通过检测物联网状态数据是否存在异常值，从而间接检测到网络攻击。当物联网状态数据存在异常值时，说明其很有可能遭到了网络攻击或者其它故障。
附图说明
[0053]
图1为本发明的全流程示意图。
具体实施方式
[0054]
为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述，以下实施例用于说明本发明，但不用来限制本发明的范围。
[0055]
如图1所示，本发明具体涉及一种面向物联网的网络攻击检测和状态估计方法，包括以下步骤：
[0056]
(1)建立系统噪声student-t分布模型，给定物联网状态初值x0和相应的误差协方差矩阵p0，以及系统的自由度η0。
[0057]
(2)当时间步k≥1时，根据上一时刻的状态值和相应的误差协方差矩阵p
k-1
，计算单形采样sigma点，计算k-1时刻后验状态单形采样sigma点的方程表示为：
[0058][0059]
其中，表示k-1时刻的状态估计，p
k-1
表示k-1时刻状态估计对应的误差方差矩
阵，γ为大于0小于1的比例因子，χ
k-1
为k-1时刻后验状态单形采样sigma点。
[0060]
(3)根据计算得到的单形采样sigma点，对状态和观测进行预测，也就是时间更新：
[0061]
1)根据k-1时刻后验状态单形采样sigma点χ
k-1
计算经过非线性变换后的sigma点，表达式如下：
[0062]
χ
k|k-1
＝f(χ
k-1
)；
[0063]
其中，f(
·
)表示状态方程，χ
k|k-1
表示k时刻χ
k-1
的一步预测；
[0064]
2)根据1)得到的一步预测sigma点χ
k|k-1
，计算状态预测，以及经过量测方程变换后的sigma点:
[0065][0066][0067]
其中，表示k时刻状态的一步预测，l表示状态向量的维数，χ
i,k|k-1
表示χ
k|k-1
的第i列，表示对应的估计误差矩阵，q表示l
×
l维的状态误差方差矩阵，一阶权重系数和二阶权重系数定义如下：
[0068][0069][0070]
其中,α为比例因子，β为用于引入状态的先验信息；
[0071]
3)根据1得到的一步预测sigma点χ
k|k-1
，计算经过量测非线性变换后的量测sigma点z
k|k-1
，其表达式为：
[0072]zk|k-1
＝h(χ
k|k-1
)；
[0073]
根据得到的量测sigma点z
k|k-1
量测预测其对应的协方差以及状态和量测的互协方差其表达式分别为：
[0074][0075]
[0076][0077]
其中,表示k时刻量测的一步预测，h(
·
)表示观测方程，z
k|k-1
表示量测的sigma点，z
i,k|k-1
表示z
k|k-1
的第i列，表示k时刻量测估计的误差方差矩阵，r表示nz×
nz维的量测噪声方差矩阵，nz其中表示量测维数，表示k时刻状态和量测的互协方差矩阵。
[0078]
(4)当物联网观测数据zk到来时，进行基于f分布的攻击检测；
[0079]
1)根据观测zk，上一步得到的量测预测及其对应的误差协方差构造统计量，表达式为：
[0080][0081][0082]
其中,zk表示k时刻物联网观测到的量测，表示残差。系统正常工作时，有rk服从f分布，即：
[0083][0084]
其中,nz其中表示量测维数，v表示自由度，f(a,b)表示参数a和b的f分布；
[0085]
2)根据1)得到的统计量进行异常检测，
[0086]
如果系统正常工作，则有：
[0087][0088]
其中，tg表示阈值，q表示分位数。如果rk＞qtg表示出数据异常，则认为物联网节点遭到网络攻击，否则认为系统正常工作。
[0089]
(5)根据上一步的检测结果，进行量测更新；
[0090]
如果rk＞qtg，则只用预测值对状态进行更新：
[0091][0092][0093]
否则，利用量测对状态进行更新：计算滤波增益kk，后验状态估计及其对应的协方差自由度更新ηk，其表达式分别为：
[0094]
[0095][0096][0097]
ηk＝η
k-1
+nz；
[0098]
其中，为k时刻状态的估计，为其对应的误差估计方差矩阵，kk为滤波增益，η
k-1
表示k-1时刻系统的自由度，ηk表示k时刻系统的自由度，此步骤保证了存在异常值情况下系统状态估计的稳定。
[0099]
具体实施方法为：
[0100]
(1)模型建立
[0101]
在模型建立阶段，假设系统噪声服从student-t分布，不同于高斯分布，student-t分布具有“重尾”(heavy tailed)特性，比较符合具有异常值的噪声的分布。采用该假设后，即使有偶然的漏检，系统的局部估计仍然会保持稳定。与χ2检测类似，可以通过局部量测构建与残差相关的检测统计量，该统计量的分布服从f分布而不是χ2分布，因而可以构建f检测器。该检测器可以隔离大部分错误注入攻击，剩余量测仍服从student-t分布，还需要采用student-t滤波器。
[0102]
(2)最终配准阶段：
[0103]
给定状态初值x0和相应的误差协方差矩阵p0，以及系统的自由度η0，利用估计误差矩阵p
k-1
对k-1时刻的状态估计，然后对k-1时刻后验状态单形采样sigma点。再利用状态方程f(
·
)对时间进行更新，对k时刻χ
k-1
的一步进行预测，表示k时刻状态的一步预测，χ
k|k-1
的第i列，i＝1,2,3,4,5
…
,n；建立估计误差矩阵方程状态误差方差矩阵qk、状态方程h(
·
)、量测噪声方差矩阵rk、k时刻状态和量测的互协方差矩阵
[0104]
本发明采用student-t分布模型进行模型的建立，该student-t分布模型的估计误差矩阵，计算k-1时刻后验状态单形采样sigma点，表达式为：
[0105]
之后进行时刻的一步预测，以进行时间更新，表达式为：
[0106]
再用量测噪声方差矩阵通过局部量测构建与残差相关的检测统计量，进行构造量统计，其表达式为：
[0107][0108]
如果系统正常工作，则有
[0109][0110]
如果rk＞γtg，则
[0111]
[0112][0113]
否则
[0114][0115][0116][0117]
ηk＝η
k-1
+nz。
[0118]
以上所述仅是本发明的优选实施方式，并不用于限制本发明，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

技术特征：
1.一种面向物联网的网络攻击检测和状态估计方法，其特征在于，包括以下步骤：(1)建立系统噪声student-t分布模型，给定物联网状态初值x0和相应的误差协方差矩阵p0，以及系统的自由度η0；(2)当时间步k≥1时，根据上一时刻的状态值和相应的误差协方差矩阵p
k-1
，计算单形采样sigma点，计算k-1时刻后验状态单形采样sigma点的方程表示为：其中，表示k-1时刻的状态估计，p
k-1
表示k-1时刻状态估计对应的误差方差矩阵，γ为大于0小于1的比例因子，χ
k-1
为k-1时刻后验状态单形采样sigma点；(3)根据计算得到的单形采样sigma点，对状态和观测进行预测，也就是时间更新：1)根据k-1时刻后验状态单形采样sigma点χ
k-1
计算经过非线性变换后的sigma点，表达式如下：χ
k|k-1
＝f(χ
k-1
)；其中，f(
·
)表示状态方程，χ
k|k-1
表示k时刻χ
k-1
的一步预测；2)根据1)得到的一步预测sigma点χ
k|k-1
，计算状态预测，以及经过量测方程变换后的sigma点:sigma点:其中，表示k时刻状态的一步预测，l表示状态向量的维数，χ
i,k|k-1
表示χ
k|k-1
的第i列，表示对应的估计误差矩阵，q表示l
×
l维的状态误差方差矩阵，一阶权重系数和二阶权重系数定义如下：定义如下：其中,α为比例因子，β为用于引入状态的先验信息；3)根据1得到的一步预测sigma点χ
k|k-1
，计算经过量测非线性变换后的量测sigma点
z
k|k-1
，其表达式为：z
k|k-1
＝h(χ
k|k-1
)；根据得到的量测sigma点z
k|k-1
量测预测其对应的协方差以及状态和量测的互协方差其表达式分别为：其表达式分别为：其表达式分别为：其中,表示k时刻量测的一步预测，h(
·
)表示观测方程，z
k|k-1
表示量测的sigma点，z
i,k|k-1
表示z
k|k-1
的第i列，表示k时刻量测估计的误差方差矩阵，r表示n
z
×
n
z
维的量测噪声方差矩阵，n
z
其中表示量测维数，表示k时刻状态和量测的互协方差矩阵；(4)当物联网观测数据z
k
到来时，进行基于f分布的攻击检测；1)根据观测z
k
，上一步得到的量测预测及其对应的误差协方差构造统计量，表达式为：式为：其中,z
k
表示k时刻物联网观测到的量测，表示残差。系统正常工作时，有r
k
服从f分布，即：其中,n
z
其中表示量测维数，v表示自由度，f(a,b)表示参数a和b的f分布；2)根据1)得到的统计量进行异常检测，如果系统正常工作，则有：r
k
≤qt
g
,其中，t
g
表示阈值，q表示分位数。如果r
k
＞qt
g
表示出数据异常，则认为物联网节点遭到网络攻击，否则认为系统正常工作；(5)根据上一步的检测结果，进行量测更新；
如果r
k
＞qt
g
，则只用预测值对状态进行更新：，则只用预测值对状态进行更新：否则，利用量测对状态进行更新：计算滤波增益k
k
，后验状态估计及其对应的协方差自由度更新η
k
，其表达式分别为：，其表达式分别为：，其表达式分别为：η
k
＝η
k-1
+n
z
；其中，为k时刻状态的估计，为其对应的误差估计方差矩阵，k
k
为滤波增益，η
k-1
表示k-1时刻系统的自由度，η
k
表示k时刻系统的自由度，此步骤保证了存在异常值情况下系统状态估计的稳定。

技术总结
本发明公开了一种面向物联网的网络攻击检测和状态估计方法，本发明假设系统噪声服从Student-t分布，通过局部量测构建与残差相关的检测统计量，该统计量的分布服从F分布而不是χ2分布，因而可以构建F检测器。该检测器可以隔离大部分错误注入攻击，剩余量测仍服从Student-t分布，还需要采用基于单形采样的Student-t滤波器。该方法可以在检测的同时保持系统估计的稳定，可以提高攻击检测的稳定性和准确率。和准确率。和准确率。


技术研发人员：董鹏
受保护的技术使用者：苏州慧至智能科技有限公司
技术研发日：2023.03.27
技术公布日：2023/7/12