[发明专利]CPS系统中基于加权规则与一致度的内部攻击检测方法

说明书

本发明CPS系统中基于加权规则与一致度的内部攻击检测方法，该方法基于CPS系统应用场景，包括四个参与方：可信权威；控制中心；网关；网络节点，具体步骤如下：(1)网络节点数据汇报阶段；(2)识别行为规则阶段；(3)根据规则生成状态机阶段；(4)收集一致度数据阶段；(5)拟合一致度分布阶段；(6)内部攻击检测阶段。本发明通过对规则权重、正常/异常节点区分阈值等相关配置参数进行调节与优化，检测方法具有简易、灵活、准确的特性。

技术领域

本发明涉及一种内部攻击检测方法，具体涉及一种CPS系统中基于加权规则与一致度的内部攻击检测方法。

背景技术

截止目前，对内部攻击检测系统的研究大致可分为三类：基于模板的，基于异常行为的和基于规则的。基于模板的检测系统利用数据挖掘算法来检测可能的内部攻击，其完全依赖于已知的攻击模板信息。尽管该类方法对于已知的攻击类型非常有效，然而对于未知的攻击模板却无能为力。相反，基于异常行为的检测方法通过定义一些恶意或异常的行为，并检测节点状态是否偏移到正常行为的范围以外，从而很好地解决了未知攻击模板的问题。相关研究工作利用不同的技术，如统计学、偏差距离度量、历史数据统计和基于模型的分析方法等，提出了一些基于异常行为的检测方法，试图准确区别正常行为和异常行为。然而，传统的基于异常行为的检测方法需要耗费很大的计算代价来检测内部攻击，并且通常具有很高的误报率。到目前为止，仅有少量几个针对通信网络环境的基于规则的内部攻击检测系统的相关研究工作被公开发表。例如，Silva等人利用七种类型的基于交通的规则来检测内部攻击，Dutertre等人提出了规则状态机来检测通信网络中的内部攻击的恶意行为。然而，已有的文献没有充分考虑CPS系统的物理环境和控制体系的闭环结构。除此以外，Mitchell等人设计了一系列基于规则的内部攻击检测系统，但只考虑了特定研究领域的高层面需求，其方法过于粗糙，不够实用。

发明内容

针对现有技术中存在的问题，本发明设计的目的在于提供一种CPS系统中基于加权规则与一致度的内部攻击检测方法。

物理信息融合系统(CPS系统)通过计算、通信、控制的有机融合与深度协作，实现大型工程系统的实时感知、动态控制和信息服务。CPS系统的应用彻底改变了人类与自然物理世界的交互方式，因此在健康医疗、智能交通、汽车制造、环境监控、航空电子、防御监控、智能家居等领域均有着广泛的应用前景。然而，传统物理系统融入信息技术后更易遭受来自网络层的攻击。而且，由于通过开放的互联网络对CPS系统发起的攻击不仅包括来自系统外部的恶意攻击者，也包括来自系统内部的合法用户，因此其攻击程度异常复杂并越发加剧。如今，尽管针对CPS系统的内部攻击检测已经引起了广泛关注，但是由于CPS系统的复杂性以及内部攻击的隐蔽性和潜在性，相关研究仍处于初级阶段，并且研究分散，缺少系统性。因此，本发明实现了一种物理-信息融合系统中基于加权规则与一致度的内部攻击检测方法。主要创新点包括：1)基于少数服从多数、历史回溯与逻辑推理、数值分析与趋势研判等理论基础和经验启发，建立了3族规则库，合理和准确刻画了CPS系统网络节点的行为规范，并用于内部攻击检测；2)考虑到各规则对受监节点一致性程度的评价具有不同的影响度和支配性，创新了一种基于规则权重和节点一致度的评估策略，显著提升了传统评价策略的检测效率；3)区别于现有技术，该发明基于真实数据对设计的内部攻击检测方法进行效率分析及性能调优；4)因为对内部攻击行为的检测涉及到长期行为建模和深度数据分析，因此，该发明特别关注统计学特征(节点一致度的数学期望)，以权衡内部攻击检测方法的取伪率和弃真率。

本发明通过以下技术方案加以实现：