[发明专利]CPS系统中基于加权规则与一致度的内部攻击检测方法

摘要

本发明CPS系统中基于加权规则与一致度的内部攻击检测方法，该方法基于CPS系统应用场景，包括四个参与方：可信权威；控制中心；网关；网络节点，具体步骤如下：(1)网络节点数据汇报阶段；(2)识别行为规则阶段；(3)根据规则生成状态机阶段；(4)收集一致度数据阶段；(5)拟合一致度分布阶段；(6)内部攻击检测阶段。本发明通过对规则权重、正常/异常节点区分阈值等相关配置参数进行调节与优化，检测方法具有简易、灵活、准确的特性。

主权项

1.CPS系统中基于加权规则与一致度的内部攻击检测方法，其特征在于该方法基于CPS系统应用场景，由可信权威负责管理整个系统；由控制中心负责对系统全局数据进行收集、集成，并对系统运行状态进行集中监控、分析和决策；由网关负责对CPS系统各自治区域网络节点的数据进行聚合，并将各节点的汇报数据转发给控制中心；由CPS系统感知端的带有传感器的n个网络节点N＝{N₁,N₂,…,N_n}(或用户U＝{U₁,U₂,…,U_n})负责实时采集并周期性汇报用户数据，每个网络节点既作为受监节点周期性汇报自身的实时数据，又作为邻居节点对相邻节点汇报数据进行监控，具体步骤如下：(1)网络节点数据汇报阶段在各数据汇报时间节点t_γ，各网络节点通过公钥密码算法对汇报数据进行密码学处理；1)将实时数据按照汇报规范进行转换与封装；2)选用合适的公钥密码算法对汇报数据进行密码学安全处理，以抵抗外部攻击；3)将转换后的汇报数据通过网关聚合与中继，转发至控制中心；(2)识别行为规则阶段控制中心接受到各网络节点的汇报数据后，执行以下操作：1)解密并验证数字签名的正确性；2)构建三个行为规则用于检测潜在的恶意网络节点；(3)根据规则生成状态机阶段1)识别攻击行为指标依据违反网络节点的三个行为规则，分别识别出三个攻击行为指标：i)第一个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的瞬时汇报值超过了某个阈值；ii)第二个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的汇报数据平均值超过了某个阈值；iii)第三个行为指标刻画被控对象(受监节点)的多个相邻节点(连同控制中心)观察到受监节点的汇报数据方差超过了某个阈值；2)用连接范式表示攻击行为指标连接范式表示的攻击行为指标：攻击行为编号1：攻击行为编号2：攻击行为编号3：i)w表示受监节点邻居节点个数的最大值；ii)x_i和x_(i,1),…,x_(i,w)分别表示网络节点i汇报值的瞬时值与其w个邻居节点相应的监测值；iii)μ_i和μ_(i,1),…,μ_(i,w)分别表示网络节点i汇报值的均值与其w个邻居节点相应的监测值；iv)σ_i和σ_(i,1),…,σ_(i,w)分别表示网络节点i汇报值的方差与其w个邻居节点相应的监测值；3)用析取范式合并谓词4)确定状态组件和取值范围i)将状态组件的连续数据量化为取值范围内对应的整数；ii)不失一般性，设网络节点监控指标的取值范围在[‑10,10]内，由此产生的自动机有(21^w+1)³≈6.81*10¹⁹(假设w＝4，即每个网络节点平均有4个相邻节点)个状态；iii)直接量化模式下，状态组件所生成的自动机规模太大，下面将对状态空间进行进一步规约；5)优化状态空间通过减少状态组件的取值，减小状态机的规模，并对状态数进行优化：i)对于三个状态组件，每个规则只考虑四种状态：安全/正常、黄色警告、红色警告和不安全/异常；ii)对每个规则进行进一步转换，对第1条规则，通过计算比率β₁＝α/w来进行优化，其中α是观察到网络节点i瞬时汇报数据异常(|x_i‑x_(i,j)|>α₁,j＝1,…,w)的所有邻居节点的数目；对第2条规则和第3条规则进行类似的优化；iii)产生具有64种状态的压缩状态机，其中只有1个安全状态，26个是警告状态(包括7个黄色警告和19个红色警告)，37个是不安全/异常状态；6)创建行为规则状态机i)对所有状态进行编号：1,…,64；ii)对状态机中的每对(i,j)赋值p_ij，其表示从状态i转移到状态j的概率；iii)考虑偶然的环境噪音、系统扰动和通信故障等因素，用p_err来刻画和仿真监测节点误判受监节点真实状态的出错概率；对初始为正常状态的网络节点：i)计算p_ij处于正常状态的概率为1‑p_err，处于黄色警告的概率为p_err×7/63，处于红色警告的概率为p_err×19/63，处于异常状态的概率为p_err×37/63；ii)描绘正常网络节点的行为规则状态机；对遭受鲁莽型攻击的网络节点：i)节点会一直处于异常或警告状态，但是，由于环境噪音或通信故障，监管节点偶尔会误判为处于安全状态；ii)计算p_ij处于正常状态的概率为p_err，处于黄色警告的概率为7/63×(1‑p_err)，处于红色警告的概率为19/63×(1‑p_err)，处于异常状态的概率为37/63×(1‑p_err)；对遭受随机型攻击的网络节点：i)随机型攻击以p_a的概率发起攻击，以1‑p_a的概率停止攻击，并以1‑p_err的概率被监管节点检测到其攻击行为；ii)计算p_ij处于正常状态的概率为p_a×p_err+(1‑p_a)×(1‑p_err)，处于黄色警告的概率为7/63×(p_a×(1‑p_err)+(1‑p_a)×p_err)，处于红色警告的概率为19/63×(p_a×(1‑p_err)+(1‑p_a)×p_err)，处于异常状态的概率为37/63×(p_a×(1‑p_err)+(1‑p_a)×p_err)；iii)描绘遭受随机型攻击的网络节点行为规则状态机；(4)收集一致度数据阶段i)对每个受监节点状态的随机过程进行建模，其转换概率为p_ij，并用π_j表示受监节点处于状态j的概率；ii)对所有可能转移到状态j的过程进行累加，得出处于状态j的随机过程概率其中iii)用c^j刻画状态j的“等级”(与“安全”状态之间的距离)，并计算受监节点的一致度iv)设计基于规则‑权重和一致度的安全等级评估策略，并用于评估受监节点的一致度，其一般性模型包括m个状态和n个规则，当处于正常状态时，一致度为1；当处于异常状态时，用[0,1]区间的数据表示偏离程度。对所有规则进行累加，得到一致度表达式其中，γ_k表示规则k的权重，并满足D_jk表示行为数据b_jk偏离安全状态的距离；D_max(R_k)表示对于R_k(规则k)，所有可能的异常状态偏离正常状态的最大距离。综合起来，受监节点的一致度为(5)拟合一致度分布阶段i)利用服从贝塔分布的随机变量X～Beta(α,β)刻画受监节点的一致度，其概率密度为(其中Γ(·)表示伽马函数)；ii)X的累积分布函数F(X)和数学期望E_B[X]如下：iii)对收集的所有的一致度历史数据(c₁,…,c_n)进行训练，并基于最大似然估计法，通过求解以下微分方程组估算出α和β的数值：其中iv)采用工程通用做法，令α＝1，得到单参数分布Beta(1,β)。对应的概率密度为f(x；β)＝β(1‑x)^β‑1，计算出β的估算值为：(6)内部攻击检测阶段1)计算取伪率和弃真率i)记C_T为一致度的下限阈值；ii)如果异常节点的一致度(记为事件X_b，具有累积分布函数超过C_T，那么取伪事件发生，即p_fn＝Pr{X_b>C_T}＝1‑F(C_T)；iii)如果正常节点的一致度(记为事件X_g，具有累积分布函数小于C_T，那么弃真事件发生，即p_fp＝Pr{X_g≤C_T}＝F(C_T)；2)识别内部攻击根据贝叶斯后验推理识别内部攻击。