本发明涉及网络化控制系统与网络安全领域,具体涉及无限制dos攻击下,对网络化控制系统进行多路径切换的防护方法。
背景技术:
网络化控制系统(ncs)的数据传输通道被诸如英特网之类的数据通信网络所封闭,近年来被广泛应用于各个领域。然而,数据通信网络的引入为攻击者对控制系统进行攻击提供了便捷的途径。在这些网络攻击中,拒绝服务(dos)攻击是最常见的,它会对ncs造成严重的影响。dos攻击通过向目标机器发送大量请求来耗尽所有网络资源,从而使合法用户无法使用。由于dos攻击的结果是ncs中的控制器(执行器)将无法从传感器(控制器)接收数据,因此所考虑的ncs将被迫开环运行,存在系统失稳甚至崩溃的问题。
在发生无限制dos攻击时,如果控制系统存在检测攻击的机制并且采取防护措施,就能避免控制系统面临失稳的问题。虽然目前对于无限制dos攻击的相关研究还在起步阶段,但是基于多路径切换的无限制dos攻击防护方法提供了一种有效解决无限制dos攻击引起的连续数据包丢失问题。多路径切换防护方法是利用随机丢包和无限制dos攻击引起的丢包的区别来判断是否存在攻击,由此来进一步通知传感器和控制器切换路径,有效避免了连续的数据包丢失。
技术实现要素:
为了克服无限制dos攻击造成的连续丢包问题,本发明提出了一种基于多路径切换的防护策略,结合随机丢包和攻击引起丢包的区别,得到攻击评判标准,从而切换路径,在一定程度上解决了无限制dos攻击造成的连续丢包问题。
本发明解决其技术问题所采用的技术方案是:
一种基于多路径切换的无限制dos攻击防护方法,含有以下步骤:
步骤1.系统初始化及确定路径切换条件:传感器到控制器的传感数据以及控制器到执行器的控制数据通过数据通信网络传输,网络中存在无限制dos攻击,已知网络闭环丢包率p,及系统模型如下:
x(k 1)=ax(k) bu(k)(1-1)
其中,各参数定义如下:
a,b:系统矩阵;
x(k):k时刻系统状态;
u(k):k时刻执行器实际使用的控制信号;
计算路径切换条件,步骤如下:
步骤1.1确定系统可容忍最大丢包数:根据系统稳定性条件得到系统保持其所需性能的最大连续丢包数,计算公式为:
其中,各参数定义如下:
ξ:攻击频率的上界;
γ,β:系统衰减系数;
nc:控制系统保持其所需性能的最大连续丢包数;
pφ1tp0φ1 (1-p)φ1tp1φ1-γp1<0(1-6)
其中
k:控制器状态反馈增益;
步骤1.2:设计dos攻击检测模块:如果记录到传感器到执行器连续的丢包数超过一定的阈值,则视为在k时刻的受到dos攻击,否则应视为正常丢包。阈值应根据网络丢包率调整确定,引入参数α反映检测灵敏度,计算公式为:
nd=logpα(1-3)
其中,各参数定义如下:
nd(k):k时刻传感器到执行器的连续丢包数;
nd:检测攻击的连续丢包数阈值;
p:网络闭环丢包率;
步骤1.3生成多路径切换模块:当检测到存在攻击或者达到系统可容许范围连续丢包数时应切换路径,得到路径切换标准,即当前连续丢包数超过多路径切换条件的连续丢包数阈值时,通知传感器和控制器切换路径,计算公式为;
n=min{nc,nd}(1-8)
若nc<nd,可返回步骤12调节检测灵敏度参数;
其中,参数定义如下:
n:多路径切换条件的连续丢包数阈值;
步骤2.采样:在k时刻,传感器对被控对象进行采样,并将采样x(k)发送给控制器;
步骤3.生成控制器:控制器基于最新可用的传感数据生成控制律,并将控制信号发送给执行器,控制率计算公式为:
uk=kx(k)(3-2)
其中,各参数定义如下:
uk:k时刻控制器使用最新的传感数据产生的控制信号;
θk:数据包丢失情况,θk=1表示x(k)传输成功,θk=0表示x(k)传输失败,且pr{θk=0}=p;
步骤4.执行:执行器将可用的控制信号应用到被控对象,其dos攻击检测模块计算连续丢包数nd(k)并将其发送到传感器;
步骤5.切换路径:传感器判断当前连续丢包数nd(k)和多路径切换条件的连续丢包数阈值n的关系,以决定是否需要切换路径。当nd(k)≥n时,前向信道和后向信道同时切换路径。
本发明的技术构思为:首先,根据网络丢包率情况和系统模型确定切换路径的条件;然后执行器端记录当前传感器到控制器的连续丢包数并发送给传感器,若当前连续丢包数满足路径切换条件,则传感器和控制器切换路径传输数据,若当前连续丢包数没有满足路径切换条件,则继续检测。多路径切换防护策略通过不断检测和切换路径,可以解决无限制dos攻击造成的连续丢包现象,从而使得系统一直保持稳定。
与现有技术相比,本发明技术方案的优点有:
(1)本发明利用随机丢包和攻击产生连续丢包的区别,得到检测无限制dos攻击的方法,较可靠地解决了无限制dos攻击检测问题;
(2)多路径切换防护策略有效避免了无限制dos攻击产生的连续丢包问题,不断将系统切换到没有攻击的子系统中,使得系统可以保持稳定。
附图说明
图1是实施本发明方法的系统模型结构图;
图2是实施本发明方法的基于多路径切换策略的系统模型结构图;
图3是实施本发明方法的多路径切换策略流程图。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图对本发明作进一步的详细描述。参照图2和图3,一种基于多路径切换的无限制dos攻击防护方法,换言之,即用多路径切换方法对控制系统存在无限制dos攻击进行防御。本发明是在简化的系统模型(如图1所示)中,通过多路径切换方法进行路径切换,最终使控制系统能够接收反馈信息。发明面向存在无限制dos攻击的网络化控制系统,针对控制系统受到无限制dos攻击情况,提出了多路径切换方法使得系统保持稳定运行。
实施例:
一种基于多路径切换的无限制dos攻击防护方法,含有以下步骤:
(1)系统初始化及确定路径切换条件:传感器到控制器的传感数据以及控制器到执行器的控制数据通过数据通信网络传输,网络中存在无限制dos攻击,已知网络闭环丢包率p=0.3,及系统模型如下:
x(k 1)=ax(k) bu(k) ω(k)(1-1)
其中,各参数定义如下:
ω(k):方差为0.01的高斯白噪声;
系统初始状态为x(0)=[111]t
计算路径切换条件,步骤如下:
步骤11确定系统可容忍最大丢包数:根据系统稳定性条件得到系统保持其所需性能的最大连续丢包数,计算公式为:
其中,各参数定义如下:
ξ:选取攻击频率的上界为0.02;
γ,β:系统衰减系数选取γ=0.8,β=1.1;
pφ1tp0φ1 (1-p)φ1tp1φ1-γp1<0(1-6)
其中
步骤12:设计dos攻击检测模块:如果记录到传感器到执行器连续的丢包数超过一定的阈值,则视为在k时刻的受到dos攻击,否则应视为正常丢包。阈值应根据网络丢包率调整确定,引入参数α=10-5反映检测灵敏度,计算公式为:
nd=logpα(1-3)
其中,各参数定义如下:
u(k):k时刻执行器实际使用的控制信号;
nd(k):k时刻传感器到执行器的连续丢包数;
nd:检测攻击的连续丢包数阈值;
p:网络闭环丢包率;
此时nd=9.5624;
步骤13生成多路径切换模块:当检测到存在攻击或者达到系统可容许范围连续丢包数时应切换路径,得到路径切换标准,即当前连续丢包数超过多路径切换条件的连续丢包数阈值时,通知传感器和控制器切换路径,计算公式为;
n=min{nc,nd}(1-8)
若nc<nd,可返回步骤12调节检测灵敏度参数;
此时多路径切换条件的连续丢包数阈值n=nd;
(2)采样:在k时刻,传感器对被控对象进行采样,并将采样x(k)发送给控制器;
(3)生成控制器:
步骤31控制器基于最新可用的传感数据生成控制律,控制率计算公式为:
uk=kx(k)(3-2)
其中,各参数定义如下:
uk:k时刻控制器使用最新的传感数据产生的控制信号;
θk:数据包丢失情况,θk=1表示x(k)传输成功,θk=0表示x(k)传输失败,且pr{θk=0}=p;
步骤32控制器将控制信号发送给执行器;
(4)执行:
步骤41执行器将可用的控制信号应用到被控对象;
步骤42执行器端dos攻击检测模块计算连续丢包数nd(k),并将其发送到传感器;
(5)切换路径:
步骤51传感器判断当前连续丢包数nd(k)和多路径切换条件的连续丢包数阈值n的关系,以决定是否需要切换路径;
步骤52若nd(k)≥n时,前向信道和后向信道同时切换路径,同时将nd(k)置零。在设定的参数下,此时连续丢包数满足10个时应切换路径,同时跳过步骤53进入步骤(5)重新检测;
步骤53若nd(k)<n时,进入下一个时刻,跳转到步骤(5)继续检测。
1.一种基于多路径切换的无限制dos攻击防护方法,含有以下步骤:
(1)系统初始化及确定路径切换条件:传感器到控制器的传感数据以及控制器到执行器的控制数据通过数据通信网络传输,网络中存在无限制dos攻击,已知网络闭环丢包率p=0.3,及系统模型如下:
x(k 1)=ax(k) bu(k) ω(k)(1-1)
其中,各参数定义如下:
ω(k):方差为0.01的高斯白噪声;
系统初始状态为x(0)=[111]t;
计算路径切换条件,步骤如下:
步骤11确定系统可容忍最大丢包数:根据系统稳定性条件得到系统保持其所需性能的最大连续丢包数,计算公式为:
其中,各参数定义如下:
ξ:选取攻击频率的上界为0.02;
γ,β:系统衰减系数选取γ=0.8,β=1.1;
其中
此时控制系统保持其所需性能的最大连续丢包数nc=13.8460,控制器增益k=[0.14900.0334-0.7513];
步骤12:设计dos攻击检测模块:如果记录到传感器到执行器连续的丢包数超过一定的阈值,则视为在k时刻的受到dos攻击,否则应视为正常丢包。阈值应根据网络丢包率调整确定,引入参数α=10-5反映检测灵敏度,计算公式为:
nd=logpα(1-3)
其中,各参数定义如下:
u(k):k时刻执行器实际使用的控制信号;
nd(k):k时刻传感器到执行器的连续丢包数;
nd:检测攻击的连续丢包数阈值;
p:网络闭环丢包率;
此时nd=9.5624;
步骤13生成多路径切换模块:当检测到存在攻击或者达到系统可容许范围连续丢包数时应切换路径,得到路径切换标准,即当前连续丢包数超过多路径切换条件的连续丢包数阈值时,通知传感器和控制器切换路径,计算公式为;
n=min{nc,nd}(1-8)
若nc<nd,可返回步骤12调节检测灵敏度参数;
此时多路径切换条件的连续丢包数阈值n=nd;
(2)采样:在k时刻,传感器对被控对象进行采样,并将采样x(k)发送给控制器;
(3)生成控制器:
步骤31控制器基于最新可用的传感数据生成控制律,控制率计算公式为:
uk=kx(k)(3-2)
其中,各参数定义如下:
uk:k时刻控制器使用最新的传感数据产生的控制信号;
θk:数据包丢失情况,θk=1表示x(k)传输成功,θk=0表示x(k)传输失败,且pr{θk=0}=p;
步骤32控制器将控制信号发送给执行器;
(4)执行:
步骤41执行器将可用的控制信号应用到被控对象;
步骤42执行器端dos攻击检测模块计算连续丢包数nd(k),并将其发送到传感器;
(5)切换路径:
步骤51传感器判断当前连续丢包数nd(k)和多路径切换条件的连续丢包数阈值n的关系,以决定是否需要切换路径;
步骤52若nd(k)≥n时,前向信道和后向信道同时切换路径,同时将nd(k)置零。在设定的参数下,此时连续丢包数满足10个时应切换路径,同时跳过步骤53进入步骤(5)重新检测;
步骤53若nd(k)<n时,进入下一个时刻,跳转到步骤(5)继续检测。
技术总结