基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统

摘要

本发明提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统，涉及计算机网络安全技术领域。该方法由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现，DoS攻击检测系统包括：FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点；基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值测量和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。

说明书

技术领域

本发明涉及计算机网络安全技术领域，特别是指一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统。

背景技术

CPS(Cyber-Physical System，信息物理系统)是将环境感知、网络通信、数据计算与控制等系统相结合的复杂系统，在生物医疗的监测记录、交通运输的高效通信以及智能电网的调度配电等各个领域都有广泛应用。在CPS将物理系统与网络融合的过程中，由于网络的开放性和数据交互的频繁性，容易遭受恶意的网络攻击。这些攻击往往会破坏正常通信，影响数据的可信性进而对系统产生损害。因此，对CPS的安全性进行研究具有重要意义。

DoS(Denial of Service，拒绝服务)攻击作为通信传输网络中常见的恶意攻击手段，由攻击者向通信通道发送大量无用的数据包以占用网络带宽资源，影响资源的正常传输，使计算机网络无法向合法请求提供服务。DoS攻击具有方式简单、容易发动的特点，它的存在会使得系统的服务效率变差，乃至网络阻塞、通信中断，无法实现正常的业务需求。DoS攻击具有方式简单、容易发动的特点，它的存在会使得系统的服务效率变差，乃至网络阻塞、通信中断，无法实现正常的业务需求。

对恶意攻击的检测是系统安全问题的研究重点之一，如何针对特定类型的攻击设置合理的评判指标以及保证检测的高度准确性是其中的难点和关键，针对DoS攻击的检测已经取得了一些非常出色的成果。文献[O.Igbe,O.Ajayi,T.Saadawi.Denial of serviceattack detection using dendritic cell algorithm.In: Proceedings of IEEEAnnual Ubiquitous Computing,Electronics and Mobile Communication Conference,New York City,USA,2017,pp.294-299]将对正常流量和非正常流量的检测比作人体免疫系统对正常细胞和非正常细胞的区分，通过树突状细胞算法将每一个节点视为一个树突状细胞实现对网络中DoS攻击的检测。文献[D.Wang,L.He,Y.Xue,Y.Dong.Exploitingartificial immune systems to detect unknown DoS attacks in real-time.In:Proceedings of IEEE International Conference on Cloud Computing andIntelligence Systems,Hangzhou,China,2012,pp.646-650]通过树状的父子结构对信息的保存及单个流以及多个流相结合特征的提取，采用邻域负选择方法增强训练对攻击流的筛别，降低了攻击流的隐蔽性，具有动态适应性。

综上所述，现有技术中的检测方法无法尽早、及时地检测出DoS攻击，并提前采取合适的对策，降低或避免攻击所造成的影响。

发明内容

针对现有技术中无法尽早、及时地检测出DoS攻击，并提前采取合适的对策，降低或避免攻击所造成的影响的问题，本发明提出了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法及系统。

为解决上述技术问题，本发明提供如下技术方案：

一方面，提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法，该方法应用于电子设备，由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现，DoS攻击检测系统包括：FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点；该方法包括：

S1：获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设所述有限脉冲响应FIR子系统的循环周期；

S2：所述输出参数经所述二值传感器输入至所述通信网络；所述通信网络传输数据至所述估计中心；

S3：根据传输过程历史数据中，估计中心接收到的γ

S4：通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测。

可选地，步骤S1中，获取有限脉冲响应FIR子系统的输入参数以及输出参数，包括：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u

可选地，步骤S1中，预设所述有限脉冲响应FIR子系统的循环周期，包括：

预设所述FIR子系统输入周期为n，即u

可选地，步骤S2中，所述输出参数经所述二值传感器输入到所述通信网络，包括：

将得到的所述FIR子系统输出y

可选地，步骤S3中，根据传输过程历史数据中，估计中心接收到的γ

其中，当γ

通过所述概率模型得出DoS攻击策略，记为(p

可选地，DoS攻击检测系统中，存在一个已知集合

可选地，步骤S4中，通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测，包括：

通过所述DoS攻击节点，基于所述估计中心的接收的可用信息{γ

根据所述估计中心的接收的可用信息{γ

其中，

根据下述公式(7)计算参数估计值

其中，Φ

判断是否收到DoS攻击：若

可选地，步骤S4中，通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测，包括：

通过所述DoS攻击节点，基于所述估计中心的接收的可用信息以及未知参数的先验信息Ω

给定初值χ

基于k时刻信息γ

其中，mod(k,n)表示k除以n的余数；

基于χ

其中，约定

判断k时刻是否受到了DoS攻击：若

一方面，提供了一种基于二值量测面向FIR子系统辨识的DoS攻击检测系统，该系统应用于电子设备，该系统包括：

FIR子系统，用于获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设所述有限脉冲响应FIR子系统的循环周期；

二值传感器，用于所述输出参数经所述二值传感器输入至通信网络；

通信网络，用于传输数据至估计中心；

估计中心，用于根据传输过程历史数据中，估计中心接收到的γ

DoS攻击节点，用于通过所述DoS攻击节点，根据所述DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成所述通信网络数据传输过程的攻击检测。

可选地，FIR子系统，用于：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u

一方面，提供了一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令，所述至少一条指令由所述处理器加载并执行以实现上述基于二值量测面向FIR子系统辨识的DoS 攻击检测方法。

一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述至少一条指令由处理器加载并执行以实现上述基于二值量测面向FIR子系统辨识的DoS攻击检测方法。

本发明实施例的上述技术方案至少具有如下有益效果：

上述方案中，本发明提供的方法能够及时的检测到攻击的发生，并提前采取合适的对策，降低或避免攻击所造成的影响。针对FIR(Finite Impulse Response，有限脉冲响应)系统，基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值测量和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。引入了漏判率和误判率的概念，给出了它们的计算方法和大数据量下的近似计算公式。进而，分析了系统参数的先验信息和数据长度对检测算法性能的影响。通过数值仿真证实了分析结果的合理性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的方法流程图；

图2是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的方法流程图；

图3是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测的数据传输图；

图4是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的离线检测算法示意图；

图5是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的在线检测算法示意图；

图6是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率在不同攻击策略下的变化曲线图；

图7是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率随着试验次数T的变化曲线图；

图8是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的误判率随着试验次数T的变化曲线图；

图9是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的漏判率在不同先验信息下的变化曲线图；

图10是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测方法的误判率在不同先验信息下的变化曲线图；

图11是本发明实施例提供的一种基于二值量测面向FIR系统辨识的DoS攻击检测系统的系统结构图；

图12是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明实施例提供了一种基于二值量测面向FIR系统辨识的DoS攻击检测方法，该方法可以由基于二值量测面向FIR系统辨识的DoS攻击检测系统实现，DoS攻击检测系统包括：FIR子系统、二值传感器、通信网络、估计中心以及DoS攻击节点；该方法可以由电子设备实现，该电子设备可以是终端或服务器。如图1所示的基于二值量测面向FIR系统辨识的DoS攻击检测方法流程图，该方法的处理流程可以包括如下的步骤：

S101：获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设有限脉冲响应FIR子系统的循环周期；

S102：输出参数经二值传感器输入至通信网络；通信网络传输数据至估计中心；

S103：根据传输过程历史数据中，估计中心接收到的γ

S104：通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS 攻击检测算法，完成通信网络数据传输过程的攻击检测。

可选地，步骤S101中，获取有限脉冲响应FIR子系统的输入参数以及输出参数，包括：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u

可选地，步骤S101中，预设有限脉冲响应FIR子系统的循环周期，包括：

预设FIR子系统输入周期为n，即u

可选地，步骤S102中，输出参数经二值传感器输入到通信网络，包括：

将得到的FIR子系统输出y

可选地，步骤S103中，根据传输过程历史数据中，估计中心接收到的s

其中，当γ

通过概率模型得出DoS攻击策略，记为(p

可选地，DoS攻击检测系统中，存在一个已知集合

可选地，步骤S104中，通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成通信网络数据传输过程的攻击检测，包括：

通过DoS攻击节点，基于估计中心的接收的可用信息{γ

根据估计中心的接收的可用信息{γ

其中，

根据下述公式(7)计算参数估计值

其中，Φ

判断是否收到DoS攻击：若

可选地，步骤S104中，通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成通信网络数据传输过程的攻击检测，包括：

通过DoS攻击节点，基于估计中心的接收的可用信息以及未知参数的先验信息Ω

给定初值χ

基于k时刻信息γ

其中，mod(k,n)表示k除以n的余数；

基于χ

其中，约定

判断k时刻是否受到了DoS攻击：若

本发明实施例中，本发明针对FIR系统，基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值测量和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。尽早、及时地检测出DoS攻击有助于提前采取合适的对策，降低或避免攻击所造成的影响，如：在智能电网中实现对攻击的实时监测以及状态恢复，可以提高电网系统的鲁棒性；在无人汽车系统中，针对攻击设计故障检测器与控制器相协同可以提高汽车的安全性，等等。

本发明实施例提供了一种基于二值量测面向FIR子系统辨识的DoS攻击检测方法，该方法可以由电子设备实现，该电子设备可以是终端或服务器。如图2所示的基于二值量测面向FIR子系统辨识的 DoS攻击检测方法流程图，该方法的处理流程可以包括如下的步骤：

S201：根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u

S202：预设FIR子系统输入周期为n，即u

S203：输出参数经二值传感器输入到通信网络，包括：

将得到的FIR子系统输出y

一种可行的实施方式中，如图3所示，s

S204：根据传输过程历史数据中，估计中心接收到的γ

一种可行的实施方式中，根据传输过程历史数据中，估计中心接收到的s

其中，当γ

通过概率模型得出DoS攻击策略，记为(p

一种可行的实施方式中，本发明具有如下假设：1、系统噪声{d

本发明实施例中，目的是在系统辨识的框架下对DoS攻击进行检测，设计算法来判断其存在性，引入评价算法性能的指标，并对影响算法性能的因素进行分析。

S205：通过DoS攻击节点，基于估计中心的接收的可用信息{γ

一种可行的实施方式中，如图4所示，设计的DoS攻击离线检测算法包括：

根据估计中心的接收的可用信息{γ

其中，

根据下述公式(7)计算参数估计值

其中，Φ

判断是否收到DoS攻击：若

S206：通过DoS攻击节点，基于估计中心的接收的可用信息以及未知参数的先验信息Ω

一种可行的实施方式中，如图5所示，设计的DoS攻击在线检测算法包括：

给定初值χ

基于k时刻信息γ

其中，mod(k,n)表示k除以n的余数；

基于χ

其中，约定

判断k时刻是否受到了DoS攻击：若

一种可行的实施方式中，本发明还引入可检测性、漏判率、误判率的概念，然后给出漏判率和误判率的计算方法，进而讨论系统参数先验信息和数据长度对检测算法性能的影响。

一种可行的实施方式中，本发明给出定义I.可检测性：对于一些破坏性比较小或者甚微的网络攻击，从算法的角度往往难以判断其存在性，讨论网络攻击的可检测性是分析检测算法性能的基本前提。对给定的系统和攻击检测算法，一个网络攻击称为是可检测的或具有可检测性是指：在数据量充分大时，检测算法可以准确判断系统是否受到了它的攻击。否则，称为是不可检测的或不具有可检测性。接下来建立可检测性的定义，并对二值测量下的系统和离线检测算法，给出DoS攻击(p

一种可行的实施方式中，本发明给出引理I.对二值测量下的系统和离线检测算法，如果假设1-假设3成立，由公式(7)给出的未知参数的估计值强收敛到Φ

其中，

F

根据假设2.1、公式(1)-(4)以及全概率公式，可以得出

根据上式并考虑到输入的周期性，可知

E(γ

E(γ

由大数定律，可得

结合公式(6)、(11)可以给出

ξ

由公式(7)，引理得证。

在p

其中，

由此给出了DoS攻击可检测的条件。对于不可检测的攻击，即便数据量足够大，也不能判断它的存在性。在接下来的讨论中，没有特殊说明都假定(p

一种可行的实施方式中，定义II.误判率与漏检率：检测算法的判断结果与实际情况是否一致会出现两种情况：判断结果与实际情况吻合和判断结果与实际情况冲突。其中，后者又可以分为漏判和误判两种情况，相应的关系如表1所示。

表1.检测结果与实际情况对比

对给定的先验信息Ω

漏判率和误判率类似于统计假设检验中犯第Ⅰ类错误和第Ⅱ类错误的概率。设计如下假设检验问题：

原假设H

当假设H

根据定义II，可知算法1的漏判率P

其中，∨表示逻辑运算“或”；

下面给出在数据长度N比较大时漏判率和误判率的计算表达式，为此先给出一个引理。

一种可行的实施方式中，本发明给出引理II，在引理I的条件下，θ的估计值

其中，

一种可行的实施方式中，证明：记S

E(S

＝η

＝0

和

考虑到1-p

引理III有

由公式(12)可得

结合公式(6)和公式(19)、(20)，以及引理II可知

由微分中值定理可知，存在介于η

由公式(14)可知

上式结合公式(6)、(19)-(20)以及引理II可知：

联合上式、

在上述引理中，可以看出，Σ是p

其中，

于是，在N比较大时，根据公式(17)(18)可得DoS离线检测算法的漏判率和误判率分别为：

其中，

|Σ

由(22)和(23)可知，影响检测算法判断结果的主要因素有未知参数先验信息和数据长度，接下来对它们进行分析。

下面结合本发明实施例，对未知参数先验信息的单调性进行详细说明。

设存在两个集合Ω

以及

若系统受到DoS攻击，则离线检测算法在先验信息Ω

根据上述公式以及公式(22)和(26)，可知P

若系统未受到DoS攻击，则算法1在先验信息Ω

联合上式、以及公式(23)和(27)，可得，即先验信息范围越大，误判率越小。

关于未知参数先验信息的单调性

为方便本小节的表述，假定系统参数的先验信息Ω

并记

漏判率P

记

其中，

定义函数g

其中，

其中

由于Σ

时，

在公式(28)中，G(m)对m求导，可得

其中，

由于

误判率P

若系统未受到DoS攻击，算法1在不同数据长度下的误检率分别为

注意到θ＝[a

其中，0表示元素全为0的n维列向量。于是，有

本发明实施例中，针对给出的攻击检测方法，做出了数据仿真实验，下面进行详细说明。

考虑系统：

其中，周期性输入{u

s

来近似DoS离线检测算法在数据长度为N、实验次数为T时的漏判率和误判率。

给定另一组攻击策略(p

给定数据长度N，可由(22)和(23)计算得到DoS离线检测算法的漏判率P

给定系统参数的另一个先验信息：Ω

本发明实施例中，旨在解决DoS攻击的检测问题，在系统辨识的框架下针对二值观测FIR系统设计了检测算法，引入了评价检测算法性能的指标：漏判率和误判率，并给出了它们的计算方法，讨论了系统参数先验信息和数据长度对检测算法的影响。

本发明在量化辨识的框架下对DoS攻击的检测展开研究。针对FIR系统，基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值量测和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。

由于小概率事件也有可能发生以及样本数量有限的情况，因而不可避免地会犯“弃真”和“取伪”的错误，检测算法会出现“漏判”和“误判”，也就是统计中的第I类错误和第II类错误。引入了漏判率和误判率的概念，给出了它们的计算方法和大数据量下的近似计算公式。进而，分析了系统参数的先验信息和数据长度对检测算法性能的影响，先验信息范围越大，系统的漏判率越大、误判率越小，随着数据长度的增加，漏判率和误判率也逐渐降低。

图11是根据一示例性实施例示出的一种基于二值量测面向FIR子系统辨识的DoS攻击检测系统 300框图。参照图11，该系统300包括：

FIR子系统310，用于获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设有限脉冲响应 FIR子系统的循环周期；

二值传感器320，用于输出参数经二值传感器输入至通信网络；

通信网络330，用于传输数据至估计中心；

估计中心340，用于根据传输过程历史数据中，估计中心接收到的γ

DoS攻击节点350，用于通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成通信网络数据传输过程的攻击检测。

可选地，FIR子系统310，用于：

根据如下述公式(1)，获取单输入单输出的有限脉冲响应FIR子系统的系统参数：

其中，u

可选地，FIR子系统310，用于：

预设FIR子系统输入周期为n，即u

可选地，二值传感器320，用于：将得到的FIR子系统输出y

可选地，估计中心340，用于示性函数s

其中，当γ

通过概率模型得出DoS攻击策略，记为(p

可选地，DoS攻击检测系统中，存在一个已知集合

可选地，DoS攻击节点350，用于通过DoS攻击节点，基于估计中心的接收的可用信息 {γ

根据估计中心的接收的可用信息{γ

其中，

根据下述公式(7)计算参数估计值

其中，Φ

判断是否收到DoS攻击：若

可选地，DoS攻击节点350，用于通过DoS攻击节点，基于估计中心的接收的可用信息以及未知参数的先验信息Ω

给定初值χ

基于k时刻信息γ

其中，mod(k,n)表示k除以n的余数；

基于χ

其中，约定

判断k时刻是否受到了DoS攻击：若

本发明实施例中，在量化辨识的框架下对DoS攻击的检测展开研究。针对FIR系统，基于未知参数的先验信息建立了判断DoS攻击存在性的指标；充分利用了二值测量和系统输入的特性，基于经验测度法设计了攻击检测算法，并给出了其在线形式，实现了基于当前数据判断系统在当前时刻是否受到了攻击。面向检测算法的能力讨论了可检测性，得到了攻击策略具有可检测性的充分必要条件。

图12是本发明实施例提供的一种电子设备400的结构示意图，该电子设备400可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessing units，CPU)401和一个或一个以上的存储器402，其中，所述存储器402中存储有至少一条指令，所述至少一条指令由所述处理器401加载并执行以实现下述于二值量测面向FIR系统辨识的DoS攻击检测方法的步骤：

S1：获取有限脉冲响应FIR子系统的输入参数以及输出参数，预设有限脉冲响应FIR子系统的循环周期；

S2：输出参数经二值传感器输入至通信网络；通信网络传输数据至估计中心；

S3：根据传输过程历史数据中，估计中心接收到的γ

S4：通过DoS攻击节点，根据DoS攻击策略，针对通信网络的离线状态以及在线状态设计DoS攻击检测算法，完成通信网络数据传输过程的攻击检测。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，上述指令可由终端中的处理器执行以完成上述二值量测面向FIR系统辨识的DoS攻击检测方法。例如，所述计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。