一种在存在瞬态故障时传感器的攻击检测和识别方法技术

本发明专利技术一种在存在瞬态故障时传感器的攻击检测和识别方法，结合融合间隔进一步判断两个传感器间隔相交时故障的检测，并考虑系统动力学模型，利用历史测量提高传感器攻击检测和识别的性能。本发明专利技术一种在存在瞬态故障时传感器的攻击检测和识别方法，在存在瞬态故障的系统中，能够把瞬态故障和攻击区分开；相比以前的攻击检测方法，本发明专利技术对各种攻击类型都有较好的检测和识别性能，特别是对于隐身攻击，以前的方法无法检测到这类攻击，而本发明专利技术的方法的检测和识别率平均能达到90％多。

A method of sensor attack detection and recognition in presence of transient faults

The invention provides a method for detecting and identifying sensor attacks in the presence of transient faults, further judging the fault detection when two sensors intersect with each other by combining the fusion interval, and considering the system dynamics model, improving the performance of sensor attack detection and identification by using the history measurement. The invention relates to an attack detection and identification method for sensors in the presence of transient faults, which can distinguish transient faults from attacks in the presence of transient faults. Compared with previous attack detection methods, the invention has better detection and identification performance for various types of attacks, especially for stealth attacks. The former method can not detect such attacks, and the detection and recognition rate of the method of the present invention can reach more than 90% on average.

【技术实现步骤摘要】
一种在存在瞬态故障时传感器的攻击检测和识别方法
：本专利技术涉及一种在存在瞬态故障时传感器的攻击检测和识别方法，尤其涉及一种基于传感器之间成对不一致关系的传感器攻击检测方法，属于CPS系统安全领域，主要应用于具有多个传感器测量相同物理变量(例如，速度)的CPS系统。
技术介绍
：随着信息物理系统(Cyber-PhysicalSystems，CPS)在安全关键领域(如：医疗系统，智能交通系统，国防和电力系统等)的广泛应用，确保这样的系统的安全性是必要的。因此，越来越多的人开始关注CPS的安全问题。恶意攻击者利用安全漏洞可能会对CPS系统造成灾难性地影响，从而破坏其安全性。例如，最近的研究发现，攻击者可能通过车载通信协议或传感器欺骗中的漏洞来劫持车辆。类似地，对CPS的攻击可能会妨碍关键基础设施的发展，如MaroochyWater漏洞和StuxNet病毒对用于工业过程控制的SCADA系统的攻击。由于传感技术的普及，现代CPS通常配备有多个测量相同物理变量的传感器。例如，可以通过超声波、轮编码器、GPS、IMU等多个传感器来估算汽车的速度。虽然每个传感器的精度可能不同，但融合多个传感器的测量不仅可以产生比任何单个传感器更精确的估计，从而使系统更加鲁棒。然而，增加的传感器多样性也导致更大的攻击脆弱性。目前很多CPS系统都是通过多个测量相同物理变量的传感器实现对CPS的精确控制，因此有必要确保各种传感器的输出真实可靠。在以前的文献中，研究人员提出了一些传感器攻击检测方法。例如，序贯概率比检验、累计和统计，卡尔曼滤波算法，连续概率比测试等，其中大多数方法关注于具有概率传感器的情况。有文献提出通过测量数据协方差矩阵中元素的变化来检测和识别不良数据。此外，大多数检测传感器被恶意攻击的方法都没有考虑瞬态故障，它们以相同的方式处理攻击和故障，因此忽略了传感器有时可能由于暂时干扰而提供错误测量的事实。瞬态故障是指传感器在短时间内提供错误的测量值，并在短时间内消失。例如，在隧道中GPS常常暂时与卫星失去连接。这种瞬态故障可能发生在系统的正常操作期间，所以瞬态故障不应该被视为系统的安全威胁。尽管最近的一些模型被设计用于在存在瞬态故障时传感器的攻击检测，它们是保守的。当专业攻击者在一段时间内非常轻微或不经常地操作传感器输出时它们几乎无法检测到攻击，例如隐身攻击。
技术实现思路
由于目前大多数传感器攻击检测方法都没有区分瞬态故障和攻击，因此，在存在瞬态故障时，现有的方法容易出现误报的情况，导致攻击检测和识别性能降低。此外，目前用于在存在瞬态故障时传感器的攻击检测和识别方法是保守的，它们仅考虑两个传感器的间隔不相交时的情况，忽略了相交时也可能存在故障的情况。因此，当攻击者具有足够的计算能力并知道系统的检测算法时，他为了保持不被检测到，可以设计更为隐秘的攻击。这种情况下，现有的方法不能够检测到这种攻击。本专利技术的目的是针对这些问题，提出一种在存在瞬态故障时传感器的攻击检测和识别方法，结合融合间隔进一步判断两个传感器间隔相交时故障的检测，并考虑系统动力学模型，利用历史测量提高传感器攻击检测和识别的性能。本专利技术一种在存在瞬态故障时传感器的攻击检测和识别方法，包括如下步骤：步骤一、故障检测首先，使用一个基于融合间隔的故障模型，由于融合间隔包含真实值，因此，在t时刻，任何不与融合间隔相交的传感器都被认为是故障的；其中是传感器i在t时刻间隔形式的测量值；是t时刻传感器的融合间隔；Fi(t)表示传感器i在t时刻提供了故障的测量。其次，考虑两个传感器测量Si和Sj之间的关系，进一步确定传感器是否提供故障测量；两个传感器测量之间的关系可以分为：相交和不相交；以下针对不同的情况提出不同的检测方法；(1)两个测量不相交的情况；(a)比较当前轮次即t时刻任意两个传感器之间的测量；如果两个测量之间的间隔不相交，那么这两个传感器至少有一个提供了错误的测量；这两个传感器之间是弱的不一致关系；其中是传感器j在t时刻间隔形式的测量值；两个传感器之间的第一层关系是弱不一致性，由谓词WI(Si，Sj，t)表示；(b)融合过去和当前的测量；首先把t-1时刻的测量映射到t时刻，由表示，因此在t时刻就获得了2N个测量；然后把从t-1时刻映射过来的测量和t时刻的测量进行比较，如果它们不相交，那么就称它们是弱不一致的；注意，两个测量来自不同的传感器；(2)两个测量相交的情况；(a)在t时刻，利用改进的融合算法计算融合间隔；然后，让每个传感器的测量与融合间隔进行比较；如果传感器的测量不与融合间隔相交，则说明该传感器提供了错误的测量；因此，如果传感器i和j均不与融合间隔相交，并且i和j的间隔相交，则传感器i和j在t时刻是弱不一致的；(b)融合过去和当前的测量；首先计算t-1时刻的融合间隔，t是当前时刻，再让t-1时刻的测量与t-1时刻的融合间隔进行比较；然后把t-1时刻的测量映射到t时刻并计算融合间隔，将t时刻的测量与t时刻融合间隔进行比较；如果满足下面3个条件，则称传感器i和j是弱不一致的；根据上述步骤(1)、(2)得到的t时刻的弱不一致关系对，计算任意两个传感器在一段时间内可能提供的故障测量次数；步骤二、传感器攻击检测累加传感器之间的不一致信息，如果在一段时间内传感器i和j之间存在强不一致关系，则系统中存在攻击；强不一致的判断方法如下：在给定的窗口w中，如果两个传感器频繁地发生弱不一致关系并且弱不一致的数量超过瞬态故障模型的阈值，则它们之间的关系变为强不一致关系；具体过程如下：给定传感器i、j和时间t，其中，两个传感器之间的第二层关系是强不一致性，由谓词SI(Si，Sj，t)表示；fi和fj分别是传感器i和j在理论上最多允许提供故障测量的次数。根据弱不一致的定义，如果两个传感器i和j在t′时刻是弱不一致关系，则在t′处至少有一个传感器提供了故障的测量；在大小为min(wi，wj)的窗口中，如果弱不一致的数量大于fi+fj(即阈值)；这意味着这两个测量中必须至少有一个是非瞬态故障，即(fi′＞fi)∪(fj′＞fj)，其中fi′表示在窗口w中传感器i提供故障测量的总数；fj′表示在窗口w中传感器j提供故障测量的总数；那么这两个传感器之间是强不一致的，系统中存在攻击；步骤三、传感器的攻击识别通过上面的攻击检测方法仅能判断出系统中是否存在攻击，并不知道是哪个传感器被攻击；为了识别哪个传感器被攻击，假设系统中至多有s(s＜N-1)个传感器被攻击；累加系统的强不一致信息，在t时刻，如果强不一致对中传感器i出现的次数超过s，则称传感器i被攻击了，由谓词A(Si，t)表示；其中，N为测量相同物理变量的传感器的数量；具体过程如下：给定传感器i和时间t，让degree(Si，t)表示传感器i在t时刻的度；与传感器i具有强不一致关系的传感器共有n(n＞s)个，由j表示；由于i和j是强不一致关系，如果i没有被攻击，那么j必须被攻击；此时共n个传感器受到攻击。本专利技术一种在存在瞬态故障时传感器的攻击检测和识别方法，其优点及功效在于：在存在瞬态故障的系统中，能够把瞬态故障和攻击区分开；相比以前的攻击检测方法，本专利技术对各种攻击类型都有较好的检测和识别性能，特别是对于隐身攻击，以前的方法无法检测到这类攻击，本文档来自技高网...

【技术保护点】
1.一种在存在瞬态故障时传感器的攻击检测和识别方法，其特征在于：该方法包括如下步骤：步骤一、故障检测首先，使用一个基于融合间隔的故障模型，由于融合间隔包含真实值，因此，在t时刻，任何不与融合间隔相交的传感器都被认为是故障的；

【技术特征摘要】
1.一种在存在瞬态故障时传感器的攻击检测和识别方法，其特征在于：该方法包括如下步骤：步骤一、故障检测首先，使用一个基于融合间隔的故障模型，由于融合间隔包含真实值，因此，在t时刻，任何不与融合间隔相交的传感器都被认为是故障的；其中是传感器i在t时刻间隔形式的测量值；是t时刻传感器的融合间隔；Fi(t)表示传感器i在t时刻提供了故障的测量；其次，考虑两个传感器测量Si和Sj之间的关系，进一步确定传感器是否提供故障测量；两个传感器测量之间的关系可以分为：相交和不相交；以下针对不同的情况提出不同的检测方法；(1)两个测量不相交的情况；(a)比较当前轮次即t时刻任意两个传感器之间的测量；如果两个测量之间的间隔不相交，那么这两个传感器至少有一个提供了错误的测量；这两个传感器之间是弱的不一致关系；其中是传感器j在t时刻间隔形式的测量值；两个传感器之间的第一层关系是弱不一致性，由谓词WI(Si，Sj，t)表示；(b)融合过去和当前的测量；首先把t-1时刻的测量映射到t时刻，由表示，因此在t时刻就获得了2N个测量；然后把从t-1时刻映射过来的测量和t时刻的测量进行比较，如果它们不相交，那么就称它们是弱不一致的；注意，两个测量来自不同的传感器；(2)两个测量相交的情况；(a)在t时刻，利用改进的融合算法计算融合间隔；然后，让每个传感器的测量与融合间隔进行比较；如果传感器的测量不与融合间隔相交，则说明该传感器提供了错误的测量；因此，如果传感器i和j均不与融合间隔相交，并且i和j的间隔相交，则传感器i和j在t时刻是弱不一致的；(b)融合过去和当前的测量；首先计算t-1时刻的融合间隔，t是当前时刻，再让t-1时刻的测量与t-1时刻的融合间隔进行比较；然后把t-1时刻的测量映射到t时刻并计算融合间隔，将t时刻的测量与t时刻融合间隔进行比较；如果满足下面3个条件，则称传感器i和j是弱不一致的；根...

【专利技术属性】
技术研发人员：王瑞，杨康，关永，李晓娟，施智平，邵振洲，张倩颖，罗晨霞，
申请(专利权)人：首都师范大学，
类型：发明
国别省市：北京,11