一种基于融合间隔和历史测量的传感器攻击检测方法技术

本发明专利技术涉及一种基于融合间隔和历史测量的传感器攻击检测和识别方法，其特征在于：具体包括如下步骤：步骤一、为系统增加一个虚拟传感器；步骤二、传感器的攻击检测；步骤三、传感器的攻击识别。本发明专利技术能够及时高效地检测到各种恶意攻击，特别是当专业攻击者为了保持未被检测到，在一段时间内非常轻微或不频繁地操纵传感器输出时(即，隐身攻击)，本发明专利技术也能很好地检测和识别攻击。已有的方法，对这类隐身攻击几乎是无法检测和识别的。

A sensor attack detection method based on fusion interval and historical measurement

The invention relates to a sensor attack detection and recognition method based on fusion interval and historical measurement, which is characterized by the following steps: step 1, adding a virtual sensor to the system; step 2, sensor attack detection; step 3, sensor attack identification. The invention can detect all kinds of malicious attacks timely and efficiently, especially when the professional attacker manipulates the sensor output very slightly or infrequently (i.e., stealth attack) for a period of time in order to keep undetected, the invention can also detect and identify attacks well. The existing methods are almost impossible to detect and recognize such stealth attacks.

【技术实现步骤摘要】
一种基于融合间隔和历史测量的传感器攻击检测方法
：本专利技术涉及一种传感器攻击检测方法，尤其涉及一种基于融合间隔和历史测量的传感器攻击检测方法，属于CPS系统安全领域，主要应用于具有多个传感器测量相同物理变量的CPS系统。
技术介绍
：随着信息物理系统(Cyber-PhysicalSystems，CPS)的广泛使用，越来越多的人开始关注CPS的安全问题。信息技术与物理世界之间的相互作用使得CPS容易受到各种恶意攻击的破坏，从而破坏了它的安全性。例如，恶意攻击者可以通过传感器欺骗、拒绝服务(DenialofService，DoS)攻击和分布式拒绝服务(DistributedDenialofService，DDoS)攻击等手段来延迟或扭曲控制命令。这些传感器攻击手段可能导致CPS系统无法及时执行任务，从而导致灾难性后果。由于现代CPS通常具有测量相同物理变量(例如，编码器，超声波，GPS和IMU可以提供速度测量)的多个传感器，因此系统可以使用冗余信息来防御恶意攻击。虽然每个传感器的精度可能不同，融合多个传感器的测量不仅可以产生比任何单个传感器更精确的估计，而且还增加了系统对外部干扰的鲁棒性。目前很多CPS系统都是通过多个测量相同物理变量的传感器实现对CPS的精确控制，因此有必要确保各种传感器的输出真实可靠。在过去已经进行了许多关于传感器故障检测和隔离的工作，其中绝大多数关注于概率传感器的情况，例如在该领域中的关键工作，卡尔曼滤波器--传感器精度的假设与已知的系统动力学模型相结合，以产生实际状态的最佳线性估计量。还有文献提出通过测量数据协方差矩阵中元素的变化来检测和识别不良数据。但是，当系统出现瞬态故障时，这些方法容易产生残留污染和残余淹没，导致误报或无法检测到攻击。此外，目前大多数有关传感器攻击检测的方法没有考虑瞬态故障，它们以相同的方式处理攻击和故障，从而忽略了传感器有时可能由于暂时干扰而提供错误测量的事实。例如，GPS常常暂时失去与隧道中卫星的连接。这种瞬态故障可能发生在系统的正常操作期间，并在不久之后消失，由于其持续时间短，瞬态故障不应该被视为系统的安全威胁。此外，尽管最近的一些模型被设计用于在存在瞬态故障时传感器的攻击检测，它们是保守的。当专业攻击者在一段时间内非常轻微或不经常地操作传感器输出时它们几乎无法检测到攻击，例如隐形攻击。
技术实现思路
：由于目前大多数传感器攻击检测方法在存在瞬态故障时，其攻击检测和识别性能有所降低，并且容易出现误报的情况。此外，当攻击者具有无限的计算能力和全系统知识，包括传感器/设计规范和采用的传感器融合算法等知识时，他为了保持不被检测到，可以设计更为隐秘的攻击。这时现有的方法很难检测到这种攻击。本专利技术的目的是针对这些问题提出了一种基于融合间隔和历史测量的传感器攻击检测和识别方法，大大提高了攻击检测和识别的性能，尤其是对于隐身攻击。本专利技术一种基于融合间隔和历史测量的传感器攻击检测和识别方法，具体包括如下步骤：步骤一、为系统增加一个虚拟传感器为了使用融合间隔和历史测量，本专利技术为系统增加一个虚拟传感器。虚拟传感器是一个虚设的传感器，在系统中是不存在的。在传感器攻击检测中，把融合间隔或者历史测量作为虚拟传感器的测量。虚拟传感器的使用如下：(1)当使用历史测量来判断攻击的时候，如果历史测量和当前的测量是来自同一个传感器i，此时历史测量(t时刻i的测量)就作为虚拟传感器的一个测量值。在使用时，虚拟传感器实际上就作为一个真实的传感器和其它传感器的测量进行比较。(2)当使用融合间隔来判断攻击的时候，融合间隔就作为虚拟传感器的测量。是t时刻还是t+1时刻的融合间隔，根据具体的检测算法需要来确定。步骤二、传感器的攻击检测(一)弱不一致检测(1)融合过去和当前的测量。首先把t时刻的测量值通过系统动力学模型映射到t+1时刻，这样在t+1时刻就有2N(一共有N个传感器)个测量，然后让这2N个测量进行两两比较。如果两个测量是来自同一个传感器不同时刻的测量，并且这两个测量不相交，那么该传感器和虚拟传感器之间是弱不一致关系。其中，表示传感器i从t时刻映射到t+1时刻的测量，Sl，u(i，t+1)表示传感器i在t+1时刻的观测值。如果两个测量是来自不同传感器不同时刻的测量，并且这两个测量不相交，那么这两个传感器之间是弱不一致关系。(2)单个传感器和融合间隔的比较。首先计算t时刻的融合间隔，并把t时刻的融合间隔作为虚拟传感器的一个测量值映射到t+1时刻，这时t+1时刻就有N+1个传感器，由于融合间隔包含真实值，因此在t+1时刻融合算法的输入f是不变的。然后计算t+1时刻的融合间隔。最后把t+1时刻的融合间隔和t+1时刻所有传感器的测量值进行比较(不包括虚拟传感器)。由于融合间隔包含真实值，因此不与融合间隔相交的测量是故障的，则该传感器和虚拟传感器之间是弱不一致关系。其中是t+1时刻的融合间隔。(二)强不一致检测两个传感器之间的强不一致关系的判断方法如下：在给定的窗口w中，如果两个传感器频繁地发生弱不一致关系并且弱不一致的数量超过瞬态故障模型的阈值，则它们之间的关系变为强不一致关系：给定传感器i、j和时间t，通过上述提到的强不一致概念，来展示本专利技术的攻击检测方法。此处的攻击检测方法仅涉及检测系统中是否存在攻击，将在以下的传感器攻击识别部分解决哪个传感器被攻击的问题。(三)判断攻击是否存在累积两个传感器之间的强不一致信息；在一段时间内，如果任意两个传感器i和j之间存在强不一致关系，那么系统中存在攻击。步骤三、传感器的攻击识别为了识别哪个传感器被攻击，假设系统中至多有s(s<N-1)个传感器被攻击。本专利技术累加系统的强不一致信息，在t时刻，如果强不一致对中传感器i出现的次数超过s，则称传感器i被攻击了：给定传感器i和时间t，让degree(Si，t)表示传感器i在t时刻的度，本专利技术一种基于融合间隔和历史测量的传感器攻击检测方法，其优点及功效在于：能够及时高效地检测到各种恶意攻击，特别是当专业攻击者为了保持未被检测到，在一段时间内非常轻微或不频繁地操纵传感器输出时(即，隐身攻击)，本专利技术也能很好地检测和识别攻击。已有的方法，对这类隐身攻击几乎是无法检测和识别的。附图说明图1所示为本专利技术实施例系统模型框图。图2所示为本专利技术方法流程图。具体实施方式下面结合附图和实施例，对本专利技术的技术方案做进一步的说明。(一)硬件装置：本专利技术从EV3机器人平台上获取大量的实验数据来测试攻击检测方法的性能。EV3上装有超声波和左右两个电机(内嵌角度传感器)用来测量EV3的速度值。实验中，让EV3以1m/s的速度匀速直线运动40分钟，每个传感器收集400个测量值。本专利技术实施例的系统模型如图1所示。从物理环境中获取传感器的测量值，然后将其通过网络传送给控制器，在传输过程中传感器的测量值被攻击者恶意篡改，导致控制器可能收到错误的测量。本专利技术在控制器这里添加一个攻击检测方法，当控制器收到传感器的测量值以后，首先通过攻击检测算法判断哪些测量是正确的，哪些测量是错误的。然后控制器再根据检测的结果把决策发送给执行器，执行器再将决策反馈给物理环境(例如：EV3)。(二)方法：攻击模型：传感器i的瞬态故障模型是一个三元组(δi，fi本文档来自技高网...

【技术保护点】
1.一种基于融合间隔和历史测量的传感器攻击检测和识别方法，其特征在于：具体包括如下步骤：步骤一、为系统增加一个虚拟传感器虚拟传感器是一个虚设的传感器，在系统中是不存在的，在传感器攻击检测中，把融合间隔或者历史测量作为虚拟传感器的测量；虚拟传感器的使用如下：(1)当使用历史测量来判断攻击的时候，如果历史测量和当前的测量是来自同一个传感器i，此时历史测量即t时刻i的测量就作为虚拟传感器的一个测量值；(2)当使用融合间隔来判断攻击的时候，融合间隔就作为虚拟传感器的测量；步骤二、传感器的攻击检测(一)弱不一致检测(1)融合过去和当前的测量首先把t时刻的测量值通过系统动力学模型映射到t+1时刻，系统中一共有N个传感器，这样在t+1时刻就有2N个测量，然后让这2N个测量进行两两比较；如果两个测量是来自同一个传感器不同时刻的测量，并且这两个测量不相交，那么该传感器和虚拟传感器之间是弱不一致关系；其中，

【技术特征摘要】
1.一种基于融合间隔和历史测量的传感器攻击检测和识别方法，其特征在于：具体包括如下步骤：步骤一、为系统增加一个虚拟传感器虚拟传感器是一个虚设的传感器，在系统中是不存在的，在传感器攻击检测中，把融合间隔或者历史测量作为虚拟传感器的测量；虚拟传感器的使用如下：(1)当使用历史测量来判断攻击的时候，如果历史测量和当前的测量是来自同一个传感器i，此时历史测量即t时刻i的测量就作为虚拟传感器的一个测量值；(2)当使用融合间隔来判断攻击的时候，融合间隔就作为虚拟传感器的测量；步骤二、传感器的攻击检测(一)弱不一致检测(1)融合过去和当前的测量首先把t时刻的测量值通过系统动力学模型映射到t+1时刻，系统中一共有N个传感器，这样在t+1时刻就有2N个测量，然后让这2N个测量进行两两比较；如果两个测量是来自同一个传感器不同时刻的测量，并且这两个测量不相交，那么该传感器和虚拟传感器之间是弱不一致关系；其中，表示传感器i从t时刻映射到t+1时刻的测量，Sl，u(i，t+1)表示传感器i在t+1时刻的观测值；如果两个测量是来自不同传感器不同时刻的测量，并且这两个测量不相交，那么这两个传感器之间是弱不一致关系；(2)单个传感器和融合间隔的比较首先计算t...

【专利技术属性】
技术研发人员：王瑞，杨康，关永，罗晨霞，李晓娟，施智平，张倩颖，
申请(专利权)人：首都师范大学，
类型：发明
国别省市：北京,11