針對拒絕服務(wù)攻擊的安全狀態(tài)估計與檢測

周秀瑩 葉方概 任 祝

(浙江理工大學(xué)信息學(xué)院 杭州 310018)

(201930604012@mails.zstu.edu.cn)

近年來，以計算機(jī)科學(xué)為代表的信息技術(shù)迅速發(fā)展，一些代表新技術(shù)發(fā)展的計算技術(shù)詞匯，如互聯(lián)網(wǎng)+、云計算、大數(shù)據(jù)、工業(yè)4.0等泉涌而出，而信息物理系統(tǒng)(cyber-physical system, CPS)[1]是其中最為引人關(guān)注的技術(shù)熱詞之一，CPS也已廣泛用于實(shí)際的基礎(chǔ)設(shè)施建設(shè)中，尤其是在能源、交通運(yùn)輸、航空航天等領(lǐng)域.CPS由能夠相互通信的計算機(jī)設(shè)備組成，由于不同組件和技術(shù)之間的互聯(lián)性，信息傳輸網(wǎng)絡(luò)的引入增加了物理層動態(tài)過程的安全風(fēng)險[2]，CPS容易受到網(wǎng)絡(luò)攻擊的威脅，從而使系統(tǒng)網(wǎng)絡(luò)或物理過程受到破壞，造成損失.CPS是支撐信息化和工業(yè)化深度融合的一套綜合技術(shù)體系，隨著CPS中遠(yuǎn)程控制和管理需求的激增，安全性在這一類系統(tǒng)中扮演著至關(guān)重要的角色.

互聯(lián)網(wǎng)是匿名開放系統(tǒng)，是信息化社會的關(guān)鍵基礎(chǔ)設(shè)施，可以實(shí)現(xiàn)信息共享[3].互聯(lián)網(wǎng)的介入，使得無線網(wǎng)絡(luò)組存在的惡意攻擊和隨機(jī)丟包等因素，嚴(yán)重影響著CPS的安全運(yùn)行.目前，網(wǎng)絡(luò)攻擊比較常見的分類有物理攻擊和通信攻擊，通信攻擊又分為典型的拒絕服務(wù)攻擊、重放攻擊和虛假數(shù)據(jù)注入攻擊[4].CPS安全問題本質(zhì)上是攻防對抗，只有深入分析攻擊行為，研究它的本質(zhì)特征，然后用數(shù)學(xué)模型描述攻擊行為，才能設(shè)計出合理的防御機(jī)制[5].

對于CPS安全問題，研究主要從以下2個角度進(jìn)行分析：從攻擊者角度研究最優(yōu)攻擊，從受攻擊者角度研究有效防御.

從攻擊者角度，文獻(xiàn)[6-8]針對不同條件下的DoS(denial of service)攻擊，提出了其最優(yōu)攻擊調(diào)度；文獻(xiàn)[9]研究了離散時間線性動態(tài)系統(tǒng)下的基于一類拒絕服務(wù)攻擊模型的最優(yōu)控制問題；對于虛假數(shù)據(jù)注入攻擊，文獻(xiàn)[10]考慮將攻擊向量設(shè)計轉(zhuǎn)化為線性回歸模型子集選擇，設(shè)計了一種基于快速回歸算法的攻擊構(gòu)造方法；文獻(xiàn)[11-13]根據(jù)攻擊前后系統(tǒng)性能指標(biāo)的變化，提出了具有隱蔽特性的虛假數(shù)據(jù)攻擊，使攻擊前后殘差基本不變，可以欺騙χ2檢測器的線性攻擊策略，并給出了攻擊效果最優(yōu)時的攻擊形式.

從受攻擊者角度，文獻(xiàn)[14]在考慮惡意攻擊者和系統(tǒng)能量受限的情況下，采用二者零和博弈提出了攻擊者和受攻擊系統(tǒng)有效防御的最優(yōu)決策，文獻(xiàn)[15]在文獻(xiàn)[16]提出的DoS攻擊模型基礎(chǔ)上，研究了DoS攻擊下的受攻擊系統(tǒng)彈性控制策略設(shè)計問題；文獻(xiàn)[17]為了提高對線性欺騙攻擊的檢測精度，提出了一種數(shù)據(jù)融合與驗證算法；文獻(xiàn)[18]在考慮使用多傳感器的線性時不變系統(tǒng)，子系統(tǒng)可能被惡意攻擊問題，提出了基于高斯混合模型(GMM)的檢測機(jī)制.

在各種各樣的網(wǎng)絡(luò)攻擊中，阻止網(wǎng)絡(luò)化系統(tǒng)元件之間通信的DoS攻擊，由于其攻擊方式簡單，是攻擊空間中最容易實(shí)現(xiàn)的攻擊方式[19].無線傳輸信道由于惡意攻擊者發(fā)起DoS攻擊，即在通信網(wǎng)絡(luò)信道上發(fā)送偽造數(shù)據(jù)包，從而使傳感器數(shù)據(jù)采集器與遠(yuǎn)程估計器之間的通信不可用，信息無法正常收發(fā)[20]，從而造成數(shù)據(jù)丟包，估計器無法收到量測數(shù)據(jù).卡爾曼狀態(tài)估計器通過利用過去狀態(tài)的估計值和動態(tài)模型對當(dāng)前時刻的狀態(tài)量進(jìn)行預(yù)測矯正，從而計算最優(yōu)估計值.然而，這是建立在數(shù)據(jù)可靠有效的基礎(chǔ)上，惡意攻擊者對CPS發(fā)起DoS攻擊時，估計器無法收到量測數(shù)據(jù)以進(jìn)行正常的預(yù)測矯正，進(jìn)一步威脅CPS安全運(yùn)行.

本文針對DoS攻擊檢測問題，考慮惡意攻擊者對傳感器與估計器之間無線傳輸信道存在固有隨機(jī)數(shù)據(jù)包丟失的CPS發(fā)起DoS干擾攻擊，運(yùn)用伯努利分布描述DoS攻擊的量測數(shù)據(jù)丟失特性，在檢測數(shù)據(jù)端利用最近一次收到的狀態(tài)信息進(jìn)行更新序列的預(yù)測設(shè)計，以補(bǔ)償DoS攻擊造成的數(shù)據(jù)包丟失，提出了一種新型的時間序列檢測模型，以后驗估計誤差協(xié)方差作為性能指標(biāo)，最后檢測DoS攻擊的識別閾值.

1 問題描述

本文考慮拒絕服務(wù)攻擊下的CPS，配備有傳感器、卡爾曼濾波器和故障檢測器.傳感器將采集到的數(shù)據(jù)通過無線信道將數(shù)據(jù)傳輸?shù)綖V波器.由于無線信道開放、共享、廣播的特性，攻擊者很容易對傳輸信道進(jìn)行攻擊.信息物理系統(tǒng)由一個離散時不變系統(tǒng)組成，其動態(tài)模型描述如下：

xk+1=Axk+ωk,

(1)

yk=Hxk+vk,

(2)

(3)

以上為系統(tǒng)處于安全運(yùn)行情況下的系統(tǒng)模型及卡爾曼模型估計器.只有數(shù)據(jù)正常傳輸時，卡爾曼濾波估計器才能安全運(yùn)行，在發(fā)生數(shù)據(jù)丟包時，卡爾曼估計器則無法正常估計預(yù)測.然而，由于網(wǎng)絡(luò)本身的特性，網(wǎng)絡(luò)擁堵和中繼路由緩存和處理能力的限制，不可避免地會發(fā)生丟包、時滯等影響系統(tǒng)可靠性和穩(wěn)定的問題出現(xiàn).

在典型的CPS中，傳感器將按照一定順序傳輸?shù)牧繙y數(shù)據(jù)通過一個共享的無線通信頻道發(fā)送信息給遠(yuǎn)程估計器.本文考慮攻擊者在傳感器和卡爾曼濾波器之間進(jìn)行干擾，當(dāng)攻擊者發(fā)起DoS攻擊時，將會導(dǎo)致數(shù)據(jù)包丟失.例如：取系統(tǒng)工作一個時間段[k0,km]，其中，在區(qū)間內(nèi)，在時刻kn的數(shù)據(jù)成功傳輸，攻擊者從時刻kn+1發(fā)起攻擊，在接下來的時刻[kn+2,km]發(fā)生拒絕服務(wù)攻擊后還有可能發(fā)生隨機(jī)丟包，即在[k0,km]這個時間段內(nèi)傳輸信道同時存在隨機(jī)和DoS數(shù)據(jù)包丟失.

2 攻擊識別方案

假設(shè)攻擊者有能力截取無線信道中傳輸?shù)男畔?，本文研究的DoS攻擊，攻擊者對系統(tǒng)發(fā)起攻擊，使傳輸信道發(fā)生數(shù)據(jù)丟包，從而使傳感器采集到的數(shù)據(jù)無法傳輸?shù)焦烙嬈魃?，造成估計器無法正常工作.由于卡爾曼濾波器能減少系統(tǒng)噪聲和測量噪聲對系統(tǒng)的干擾，所以本文采用卡爾曼估計器和故障檢測器來進(jìn)行攻擊檢測.用S1={yk0,yk1,…,ykm}表示傳輸序列，yk傳輸成功與否，可用下列模型表示：

(4)

Pr(αk=0)=ρ,

Pr(αk=1)=1-ρ,

var(αk)=ρ(1-ρ),

以此類推，可以得到在[k0,km]運(yùn)行時段中發(fā)生連續(xù)2步丟包、多步丟包的數(shù)據(jù)補(bǔ)償模型.

表1 網(wǎng)絡(luò)數(shù)據(jù)傳遞表

從表1可以看出，在系統(tǒng)工作時間段[1,7]內(nèi)，量測值y1,y2,y4,y7成功傳輸，而量測值y3,y5,y6丟失，其中，y5,y6是連續(xù)丟包的.在實(shí)際情況中，由于檢測數(shù)據(jù)端無法獲取到量測值，系統(tǒng)所能得到的準(zhǔn)確信息只有最近一次的估計值和預(yù)測值，如表1所示，在最后2列得到補(bǔ)償.

在以上考慮的補(bǔ)償策略下，現(xiàn)定義系統(tǒng)的判斷規(guī)則，并采用如下指標(biāo)對結(jié)果進(jìn)行評價：

(5)

其中，Pk|k為殘差zk的協(xié)方差矩陣，且在穩(wěn)定系統(tǒng)中，zk服從高斯分布；J為傳感器檢測窗口大小，δ為攻擊檢測閾值，gk表示時刻k的后驗誤差協(xié)方差跡的平均值，檢測器將|gk-μ|與確定閾值相比較，如果gk大于閾值，則會觸發(fā)報警.μ為確定常量，不同系統(tǒng)的μ值不一樣，在系統(tǒng)安全運(yùn)行的情況下，將其定義為

系統(tǒng)安全運(yùn)行時，檢測器將系統(tǒng)狀態(tài)置為H0；當(dāng)系統(tǒng)遭受到DoS攻擊，并成功檢測出異常時，檢測器將系統(tǒng)狀態(tài)置為H1，并發(fā)送報警信號.

3 數(shù)值仿真

為了驗證本文所提出的DoS攻擊下故障檢測方案的有效性，根據(jù)同時存在DoS干擾攻擊和固有隨機(jī)數(shù)據(jù)包丟失情況的離散時間的線性時不變系統(tǒng)狀態(tài)方程(1)(2)(4)構(gòu)建仿真模型，采用MATLAB對穩(wěn)定系統(tǒng)進(jìn)行DoS攻擊，離散系統(tǒng)方程如下：

在攻擊者不發(fā)動攻擊時，僅存在無線信道固有的數(shù)據(jù)包丟失；在攻擊者發(fā)動攻擊時，使得無線信道的數(shù)據(jù)包成功傳輸率下降.假設(shè)系統(tǒng)未受到攻擊時，隨機(jī)丟包序列信號如圖1所示.其中“0”表示數(shù)據(jù)包丟失,“1”表示數(shù)據(jù)包傳輸正常.

系統(tǒng)在某一時段受到DoS攻擊信號序列如圖2所示.

惡意攻擊者在存在固有隨機(jī)丟包系統(tǒng)發(fā)起拒絕服務(wù)攻擊仿真結(jié)果如圖3所示.

圖1 隨機(jī)丟包序列信號

圖2 DoS攻擊序列信號

圖3 系統(tǒng)狀態(tài)響應(yīng)

圖4 最優(yōu)化估算值

4 結(jié) 論

本文研究了CPS受到DoS攻擊情況下的安全性問題.針對DoS攻擊下的安全狀態(tài)估計與檢測，本文提出了一種基于最優(yōu)狀態(tài)估計系統(tǒng)和故障檢測器相結(jié)合的攻擊檢測模型.最后通過MATLAB仿真實(shí)驗驗證了檢測的有效性.

隨著物聯(lián)網(wǎng)的研究與發(fā)展日趨成熟，以及傳感、通信技術(shù)和控制理論的飛速發(fā)展，信息物理系統(tǒng)將成為未來科技發(fā)展的一個研究熱點(diǎn)[21].隨著無線網(wǎng)絡(luò)的發(fā)展和智能系統(tǒng)的普及，無線通信與物理設(shè)備之間信息交互的安全性變得越來越重要，在未來的研究中，對于信息物理系統(tǒng)的外部干擾和攻擊，將考慮含有控制輸入的系統(tǒng)，并考慮在控制器和估計器傳輸數(shù)據(jù)的無線信道中同時發(fā)生數(shù)據(jù)丟包時的檢測模型.