面向二值量化FIR系统的数据篡改攻击检测方法及系统

面向二值量化fir系统的数据篡改攻击检测方法及系统
技术领域
1.本发明涉及网络安全技术领域，特别是指一种面向二值量化fir系统的数据 篡改攻击检测方法及系统。


背景技术：

2.cps(cyber-physical system，信息物理系统)是一种集计算、通信和物理 设备于一体的新兴技术，由于其强健壮性、高可靠性以及运行速度快的特点，已 经得到了广泛应用。例如，在智慧交通方面，cps被用于设计虚拟交通控制系统以 实现零死亡公路概念；在就诊医疗方面，cps被用于远程医疗、线上诊断等以达到 及时的疾病诊断和预防。在基础工业和军事等领域，cps不断增强的自主性使其 应用变得也越来越普遍。由于cps计算、感知、通信和驱动之间紧密交互的特点， 使其极易受到网络安全威胁。特别地，与国家基础设施紧密结合的cps一旦遭受 到恶意攻击，将会带来不可估量的严重后果。据统计，cps所遭受的网络攻击的数 量和频率逐年增长。因此，如何保证cps的安全运行成为了其发展路上亟需解决 的问题。
3.近年来，针对cps安全性的问题引起了学者们的广泛研究。攻击检测是保障 cps安全运行的重要策略之一，旨在及早发现恶意行为和网络攻击，从而采取适 当的反击和缓解措施，以尽量减少或防止重大损失。从某一特定的攻击类型出发， 现有技术试图检测这类攻击是否存在。针对ddos攻击，现有技术利用深度卷积神 经网络和真实数据，对分布式拒绝服务攻击进行了早期检测；针对数据完整性攻 击，现有技术]使用一种基于深度学习的自动编码器从测量数据中自动提取噪声， 并检查提取的噪声从而检测是否存在攻击；针对时间延迟攻击，现有技术提出了 一种基于深度学习的检测和表征方法，通过一个分层的长-短期记忆模型从而持 续监控系统中的信号以达到检测和描述攻击的目的；针对重放攻击，现有技术通 过建立不连续重放攻击的一次性攻击持续时间模型从而提出了一种周期性水印 策略，旨在成功检测攻击的情况下，降低成本。从系统的角度出发构建模型，文 现有技术]可以检测到多种攻击的存在。现有技术使用博弈的思想，建立了零和 混合状态随机博弈模型，除了可以检测多种攻击，作者还考虑到了最优控制成本 等需求，从而平衡系统的安全开销和控制成本；现有技术基于系统所使用的的网 络，提出了一个整体弹性cps框架，可以实时检测、隔离和恢复网络物理攻击。
4.数据篡改攻击是一种经典的、非常常见的针对cps的网络攻击方式，也是近 年来引起广泛关注的一种攻击。数据篡改攻击通过修改网络中传输数据来影响 cps的估计/控制中心，使其做出错误的判断或者决策，以致下达错误指令导致物 理设备的执行出现问题甚至损坏。这类攻击往往难以被现有的入侵检测系统所识 别，从而可以隐秘地侵入cps系统，影响cps的稳定运行。因此，针对数据篡改攻 击的检测算法得到了重视。


技术实现要素：

5.本发明针对现有技术如何设计检测算法，来判定系统是否受到了攻击的问题， 提
出了本发明。
6.为解决上述技术问题，本发明提供如下技术方案：
7.一方面，本发明提供了一种面向二值量化fir系统的数据篡改攻击检测方法， 该方法由面向二值量化fir系统的数据篡改攻击检测系统实现，该系统包括输入 节点、fir系统、二值传感器、通信网络以及数据中心。该方法包括：
8.s1、输入节点获取系统输入数据。
9.s2、将系统输入数据输入到有限脉冲响应fir系统，得到fir系统输出。
10.s3、二值传感器对fir系统输出进行测量，得到测量结果。
11.s4、将测量结果通过通信网络传输到数据中心。
12.s5、数据中心对通信网络进行数据传输的过程进行检测，得到检测结果；其 中，检测结果为通信网络进行数据传输的过程是否受到攻击。
13.可选地，s3中的测量结果由示性函数表示，如下式(1)所示：
[0014][0015]
其中，yk是系统输出；c∈(-∞,∞)是二值传感器的阈值。
[0016]
可选地，s5中的数据中心预先设置有攻击检测算法。
[0017]
攻击检测算法的设计过程包括：
[0018]
s51、设计攻击检测算法；其中，攻击检测算法包括离线攻击检测算法以及在 线攻击检测算法。
[0019]
s52、构建检测指标，对攻击检测算法进行分析评估；其中，检测指标包括误 判率以及漏判率。
[0020]
可选地，s52中的误判率为通信网络进行数据传输的过程未受到攻击，但攻 击检测算法判断受到了攻击的概率。
[0021]
漏判率为通信网络进行数据传输的过程受到了攻击，但攻击检测算法判断未 受到攻击的概率。
[0022]
可选地，s51中的离线攻击检测算法，如下式(2)-(4)所示：
[0023][0024][0025][0026]
其中，γn是二值函数，表示系统是否受到了攻击，γn＝1表示系统受到了攻击， γn＝0表示系统未受到攻击；未知参数的先验信息是已知集合，θ∈θ； 是由系统输入uk生成的循环矩阵，uk是n-周期的，即u
k+n
＝uk，k≥1， 记φk＝[uk,
…
,u
k-n+1
]
t
是系统输入组成的回归向量；n是数据长度； t表示矩阵或向量的转置；c∈(-∞,∞)是二值传感器的阈值；f-1
(
·
)是噪声分布函数 f(
·
)的逆函数；表示小于或等于n/n的最大正整数；{s1,s2,...sn}是数据 中心接收到的
数据。
[0027]
可选地，s52中的误判率，如下式(5)所示：
[0028][0029]
其中，0≤p,q≤1，p+q＝0表示系统未受到攻击，p+q≠0表示系统受到了攻 击；表示在条件下的密度函数；pr表示概率。
[0030]
可选地，s52中的误判率，还包括根据公式(5)以及近似求解方法，得到离 线攻击检测算法的误判率。
[0031]
可选地，s52中的漏判率，如下式(6)所示：
[0032][0033]
其中，0≤p,q≤1，p+q＝0表示系统未受到攻击，p+q≠0表示系统受到了攻 击；表示在条件下的密度函数；pr表示概率。
[0034]
可选地，s51中的在线攻击检测算法，如下式(7)-(9)所示：
[0035][0036][0037][0038]
其中，γn是二值函数，表示系统是否受到了攻击，γn＝1表示系统受到了攻击， γn＝0表示系统未受到攻击；未知参数的先验信息是已知集合，θ∈θ； 是由系统输入uk生成的循环矩阵，uk是n-周期的，即u
k+n
＝uk，k≥1， 记φk＝[uk,...,u
k-n+1
]
t
是系统输入组成的回归向量；n是数据长度； t表示矩阵或向量的转置；c∈(-∞,∞)是二值传感器的阈值；f-1
(
·
)是噪声分布函数 f(
·
)的逆函数；表示小于或等于k的最大正整数； mod(k,n)表示k除以n的余数,0/0＝0；表示小于或等于n/n的最大正 整数；sk是数据中心接收到的当前数据。
[0039]
另一方面，本发明提供了一种面向二值量化fir系统的数据篡改攻击检测系 统，该系统应用于实现面向二值量化fir系统的数据篡改攻击检测方法，该系统 包括输入节点、fir系统、二值传感器、通信网络以及数据中心；其中：
[0040]
输入节点，用于获取系统输入数据。
[0041]
fir系统，用于将系统输入数据输入到fir系统，得到fir系统输出。
[0042]
二值传感器，用于对fir系统输出进行测量，得到测量结果。
[0043]
通信网络，用于将测量结果通过通信网络传输到数据中心。
[0044]
数据中心，用于对通信网络进行数据传输的过程进行检测，得到检测结果； 其中，检测结果为通信网络进行数据传输的过程是否受到攻击。
[0045]
可选地，二值传感器，进一步用于：
[0046]
测量结果由示性函数表示，如下式(1)所示：
[0047][0048]
其中，yk是系统输出；c∈(-∞,∞)是二值传感器的阈值。
[0049]
可选地，数据中心预先设置有攻击检测算法。
[0050]
攻击检测算法的设计过程包括：
[0051]
s51、设计攻击检测算法；其中，攻击检测算法包括离线攻击检测算法以及在 线攻击检测算法。
[0052]
s52、构建检测指标，对攻击检测算法进行分析评估；其中，检测指标包括误 判率以及漏判率。
[0053]
可选地，误判率为通信网络进行数据传输的过程未受到攻击，但攻击检测算 法判断受到了攻击的概率。
[0054]
漏判率为通信网络进行数据传输的过程受到了攻击，但攻击检测算法判断未 受到攻击的概率。
[0055]
可选地，数据中心，进一步用于：
[0056][0057][0058][0059]
其中，γn是二值函数，表示系统是否受到了攻击，γn＝1表示系统受到了攻击， γn＝0表示系统未受到攻击；未知参数的先验信息是已知集合，θ∈θ； 是由系统输入uk生成的循环矩阵，uk是n-周期的，即u
k+n
＝uk，k≥1， 记φk＝[uk,...,u
k-n+1
]
t
是系统输入组成的回归向量；n是数据长度； t表示矩阵或向量的转置；c∈(-∞,∞)是二值传感器的阈值；f-1
(
·
)是噪声分布函数 f(
·
)的逆函数；表示小于或等于n/n的最大正整数；{s1,s2,sn}是数据 中心接收到的数据。
[0060]
可选地，数据中心，进一步用于：
[0061][0062]
其中，0≤p,q≤1，p+q＝0表示系统未受到攻击，p+q≠0表示系统受到了攻 击；表示在条件下的密度函数；pr表示概率。
[0063]
可选地，误判率，还包括根据公式(5)以及近似求解方法，得到离线攻击检 测算法的误判率。
[0064]
可选地，数据中心，进一步用于：
[0065][0066]
其中，0≤p,q≤1，p+q＝0表示系统未受到攻击，p+q≠0表示系统受到了攻 击；表示在条件下的密度函数；pr表示概率。
[0067]
可选地，数据中心，进一步用于：
[0068][0069][0070][0071]
其中，γn是二值函数，表示系统是否受到了攻击，γn＝1表示系统受到了攻击， γn＝0表示系统未受到攻击；未知参数的先验信息是已知集合，θ∈θ； 是由系统输入uk生成的循环矩阵，uk是n-周期的，即u
k+n
＝uk，k≥1， 记φk＝[uk,...,u
k-n+1
]
t
是系统输入组成的回归向量；n是数据长度； t表示矩阵或向量的转置；c∈(-∞,∞)是二值传感器的阈值；f-1
(
·
)是噪声分布函数 f(
·
)的逆函数；表示小于或等于k的最大正整数； mod(k,n)表示k除以n的余数,0/0＝0；表示小于或等于n/n的最大正 整数；sk是数据中心接收到的当前数据。
[0072]
本发明实施例提供的技术方案带来的有益效果至少包括：
[0073]
上述方案中，从系统辨识的角度出发，针对二值量化fir(finite impulseresponse，有限脉冲响应)系统研究数据篡改攻击的检测问题。充分利用系统参 数的先验信息和二值测量数据，设计了针对数据篡改攻击的检测算法，同时给出 了其在线形式；引入了一组通用的、可用于评估检测算法性能的指标——误判率 和漏判率，以衡量算法的判断结果和实际情况的符合程度，并给出了它们的计算 方法，进而得到了它们在大样本条件
下的显示表达式；讨论了数据长度、系统参 数的先验信息以及攻击策略等因素对算法误判率和漏判率的影响。结果表明：随 着数据长度的增加，算法的误判率和漏判率逐渐降低。
附图说明
[0074]
为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需 要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一 些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可 以根据这些附图获得其他的附图。
[0075]
图1是本发明实施例提供的面向二值量化fir系统的数据篡改攻击检测方法 流程示意图；
[0076]
图2是本发明实施例提供的面向二值量化fir系统的数据篡改攻击检测系统 框图；
[0077]
图3是本发明实施例提供的检测算法执行流程图；
[0078]
图4是本发明实施例提供的在固定数据长度下误判率随着实验次数变化图；
[0079]
图5是本发明实施例提供的在固定数据长度下漏判率随着实验次数变化图；
[0080]
图6是本发明实施例提供的在不同先验信息下的误判率图；
[0081]
图7是本发明实施例提供的在不同先验信息下的漏判率图；
[0082]
图8是本发明实施例提供的在不同攻击策略下的漏判率图；
[0083]
图9是本发明实施例提供的面向二值量化fir系统的数据篡改攻击检测系统 框图。
具体实施方式
[0084]
为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图 及具体实施例进行详细描述。
[0085]
如图1所示，本发明实施例提供了一种面向二值量化fir系统的数据篡改攻 击检测方法，该方法可以由面向二值量化fir系统的数据篡改攻击检测系统实现， 该系统包括输入节点、fir系统、二值传感器、通信网络以及数据中心。如图1 所示的面向二值量化fir系统的数据篡改攻击检测方法流程图，该方法的处理流 程可以包括如下的步骤：
[0086]
s1、输入节点获取系统输入数据。
[0087]
s2、将系统输入数据输入到有限脉冲响应fir系统，得到fir系统输出。
[0088]
s3、二值传感器对fir系统输出进行测量，得到测量结果。
[0089]
一种可行的实施方式中，考虑单输入单输出离散时间有限脉冲响应系统，如 下式(1)所示：
[0090][0091]
其中，uk是系统输入；φk＝[uk,...,u
k-n+1
]
t
是输入组成的回归向量；θ＝[a1,...,an]
t
是系统的未知参数；dk是系统噪声；yk是系统输出，由阈值为c∈(-∞,∞)的二值传 感器测量，测量结果由示性函数表示，如下式(2)所示：
γn＝0表示系统未受到攻击；未知参数的先验信息是已知集合，θ∈θ； 是由系统输入uk生成的循环矩阵，uk是n-周期的，即u
k+n
＝uk，k≥1， 记φk＝[uk,...,u
k-n+1
]
t
是系统输入组成的回归向量；n是数据长度； t表示矩阵或向量的转置；c∈(-∞,∞)是二值传感器的阈值；f-1
(
·
)是噪声分布函数 f(
·
)的逆函数；表示小于或等于n/n的最大正整数；{s1,s2,...sn}是数据 中心接收到的数据。
[0115]
可选地，s51中的在线攻击检测算法，即算法(6)-(8)的在线形式：基于 当前数据sk，判断系统在当前时刻是否受到了攻击。如下式(9)-(11)所示：
[0116][0117][0118][0119]
其中，γn是二值函数，表示系统是否受到了攻击，γn＝1表示系统受到了攻击， γn＝0表示系统未受到攻击；未知参数的先验信息是已知集合，θ∈θ； 是由系统输入uk生成的循环矩阵，uk是n-周期的，即u
k+n
＝uk，k≥1， 记φk＝[uk,...,u
k-n+1
]
t
是系统输入组成的回归向量；n是数据长度； t表示矩阵或向量的转置；c∈(-∞,∞)是二值传感器的阈值；f-1
(
·
)是噪声分布函数 f(
·
)的逆函数；表示小于或等于k的最大正整数； mod(k,n)表示k除以n的余数,且约定0/0＝0；表示小于或等于n/n的 最大正整数；sk是数据中心接收到的当前数据。
[0120]
s52、构建检测指标，对攻击检测算法进行分析评估。
[0121]
其中，检测指标包括误判率以及漏判率。
[0122]
可选地，s52中的误判率为通信网络进行数据传输的过程未受到攻击，但攻 击检测算法判断受到了攻击的概率。
[0123]
漏判率为通信网络进行数据传输的过程受到了攻击，但攻击检测算法判断未 受到攻击的概率。
[0124]
一种可行的实施方式中，数据篡改攻击检测算法的判断结果可以分为两种， 一种是算法给出的结论与实际情况相符；另一种则是与实际情况不符，即误判和 漏判。它们之间的关系如表1所示。
[0125]
表1
[0126][0127]
定义1(误判率和漏判率)对给定的先验信息θ和数据长度n，一个攻击检 测算法的误判率是指：系统未受到攻击，但算法判断系统受到了攻击的概率，记 做pe(n,θ)。漏判率是指：系统受到攻击，但算法判断系统未受到攻击的概率，记 做pm(n,θ)。
[0128]
注1对一个攻击检测算法，构造假设检验问题“原假设h0：系统受到攻击， 备择假设h1：系统未受到攻击”。那么，当系统受到攻击而算法判断系统未受到 攻击时，此时拒绝原假设h0，犯下第i类错误；当系统未受到攻击而判断系统受 到攻击时，拒绝备择假设h1，犯下第ii类错误。在这种意义下，算法的漏判率可 以看做第i类错误发生的概率，误判率可以看做第ii类错误发生的概率。
[0129]
可选地，s52中的误判率，如下式(12)所示：
[0130][0131]
其中，0≤p,q≤1，p+q＝0表示系统未受到攻击，p+q≠0表示系统受到了攻 击；表示在条件下的密度函数；pr表示概率。
[0132]
可选地，s52中的误判率，还包括根据公式(12)以及近似求解方法，得到 离线攻击检测算法的误判率。
[0133]
可选地，s52中的漏判率，如下式(13)所示：
[0134][0135]
其中，0≤p,q≤1，p+q＝0表示系统未受到攻击，p+q≠0表示系统受到了攻 击；表示在条件下的密度函数；pr表示概率。
[0136]
由于二值量化的高度非线性，的密度函数难以得到，这就导致无法根据(12) 和(13)来求算法(6)-(8)的漏判率和误判率。下面给出一种近似求解方法，为此 先给出如下引理。
[0137]
引理1考虑系统(1)和二值量测(2)，如果假设2.1和假设2.2成立，那么由 (7)给出的未知参数θ的估计值是渐近正态的，具体有：
[0138]
1)若系统未受到数据篡改攻击，则有下式(14)：
[0139]
(20)：
[0156][0157]
并记对于不是长方体的情况，可采用 多个长方体逼近的方式进行处理。下文中，当“≤”连接两个向量时，约定其表 示对应元素的“≤”。
[0158]
1)误判率pe(n,θ)关于数据长度n的单调性。
[0159]
分别对数据长度n和n+1，由(18)可得算法(6)-(8)的误判率为下式(21)：
[0160][0161]
注意到θ＝[a1,...,an]
t
∈θ，因此可知
[0162]
于是，有
[0163]
由于与在n较大时近似服从同一个正态分布，因此有 pe(n,θ)≥pe(n+1,θ).这也就说明了，随着数据长度n的增加，算法的误判率逐渐降 低。
[0164]
2)漏判率pm(n,θ)关于数据长度n的单调性。
[0165]
记根据(19)和引理1，可知在n 比较大时算法(6)-(8)的漏判率为下式(22)：
[0166][0167]
其中，x＝[x1,...xn]
t
表示均值为零、方差为的n-维正态随机变量，即 [0168]
不失一般性，考虑pm(n,θ)＜1的情形。可知此时有因此，与符号 相同，i＝1,...,n。下面仅讨论的情况，其余情况的讨论类 似可得。
[0169]
在(22)中进行符号替换，令g(t)＝pm(n,θ)，则有下式(23)：
[0170][0171]
记g(t)对t求导，可得下式(24)：
[0172][0173]
其中，
[0174][0175]
根据,li(z)对z求导可得下式(26)：
[0176][0177]
其中，vi(z)＝[x1,...,x
i-1
,zt,x
i+1
,,xn]
t
。设则有 下式(27)：
[0178][0179]
其中
[0180]
将上式中的dwi(z)/dz带入(26)中，得到下式(28)：
[0181][0182]
由于是一个协方差矩阵，可知：μ
i,i
＞0，i＝1,...,n。因此当
[0183][0184]
时，dli(z)/dz＜0。这意味着，li(z)关于z单调递减。
[0185]
由于根据(25)可知：εi(t)＜0，i＝1,...,n。注意到(29) 等价于由(24)可知，当
[0186]
[0187]
时，dg(t)/dt＜0，即g(t)关于t单调递减，这就说明了：随着数据长度n的增 加，算法(6)-(8)的漏判率逐渐降低。
[0188]
1.2系统参数先验信息对误判率和漏判率的影响。
[0189]
设系统参数θ有两个先验信息θ1和θ2，且有这意味着θ1比θ2包含的 信息更为精确，或者说θ2比θ1的信息更加宽泛。下面讨论它们对误判率和漏判率 的影响。
[0190]
1)当系统未受到攻击时，算法(6)-(8)可能会做出系统受到攻击的错误 判断，由(18)可得误判率为下式(30)、(31)：
[0191][0192][0193]
因为根据(17)可知：
[0194][0195]
联合(30)-(31)，有pe(n,θ1)≥pe(n,θ2).
[0196]
2)当系统受到攻击时，算法(6)-(8)可能会做出系统未受到攻击的判断， 由(19)可得漏判率为
[0197][0198][0199]
根据(32)，可知pm(n,θ1)≥pm(n,θ2).
[0200]
这说明了：先验信息是一把“双刃剑”，先验信息越精确，检测算法的漏判 率越低，越能准确的判断出系统是否受到攻击，然而，范围过小的先验信息，会 使得算法处于高度警备状态，尤其在数据量不充足的情况下，检测算法会出现较 高的误判率。
[0201]
1.3攻击策略(p,q)对误检率和漏判率的影响
[0202]
攻击者希望对系统所发动的攻击可以躲避检测算法，它在设定攻击策略(p,q) 时就要使检测算法的漏判率尽量变大。下面给出(p,q)的一种设定方法可使得漏判 率趋近于1.
[0203]
定义如下矩阵和集合：
[0204][0205]
上式中假定了矩阵a是满秩的。如果攻击策略(p,q)满足下式(34)：
[0206]
[p,q]∈θ
*
,
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(34)
[0207]
那么由(15)和ηi的表达式可知下式(35)：
[0208][0209]
因此，
[0210]
根据引理1和定义1，可得算法(6)-(8)的漏判率
[0211][0212]
这说明了，当数据量n较大时，检测算法的漏判率趋近于1，此时算法会大 概率认为系统未受到攻击，从而使得攻击者可以顺利篡改通信数据并影响系统正 常运行。
[0213]
进一步地，对检测算法的性能进行分析。
[0214]
考虑系统
[0215][0216]
其中，系统参数θ＝[a1,a2]
t
＝[-1,2]
t
；系统输入uk以{-1,2}为一个周期进行循环； 系统噪声{dk}是均值为0、方差为102的独立同分布正态随机变量序列；系统输出 yk由阈值c＝0的二值传感器测量，记做它通过一个通信网络传输到远程数据 中心，但传输过程中受到(3)所描述的数据篡改攻击，数据中心收到的数据记做 sk。
[0217]
2.1漏判率与误判率的计算。
[0218]
设数据长度n＝5000，系统参数的先验信息为θ＝{[z1,z2]|-2≤z1≤-0.5,0≤z2≤2},
[0219]
此时，通过(18)和(19)计算可得，在该条件下，算法(6)-(8)的误判 率pe(n,θ)＝0.5，漏判率pm(n,θ)＝0.4133。
[0220]
对算法(6)-(8)进行t＝500次试验，第i次得到的参数估计序列记做 [0221]
在没有攻击时(即(p,q)＝(0,0))，使用
[0222][0223]
来近似误判率。然后，设定攻击策略(p,q)＝(0.1,0.2)，使用
[0224][0225]
表示漏判率。结果如图4和图5所示，从中可以看出：随着实验次数的增加， 在给定的数据长度n下，算法(6)-(8)的漏判率和误判率趋近于由(18)和(19) 计算得到的值。
[0226]
2.2数据长度和先验信息对漏判率和误判率的影响。
[0227]
给定系统参数的两个先验信息：
[0228]
θ1＝{[z1,z2]|-1.2≤z1≤-0.5,0.8≤z2≤2.5},
[0229]
θ2＝{[z1,z2]|-1.5≤z1≤-0.2,0.5≤z2≤3}.
[0230]
此时，可以看出首先，考虑系统不受攻击的情况，即(p,q)＝(0,0)； 然后，设置攻击策略(p,q)＝(0.1,0.2)。对算法(6)-(8)进行一次试验，得到的参数估 计序列为：用表示误判率pe(n,θ)，用表示漏判 率pm(n,θ)。
[0231]
图6和图7给出了在先验信息θ1和θ2下误判率和漏判率随着数据长度的变 化趋势。从中可以看出，在给定实验次数和先验信息的条件下，随着数据量n的 增加，算法的误判率和漏判率都逐渐降低；在其他条件都相同的情况下时，先验 信息越宽泛，算法(6)-(8)的误判率越低；反之，先验信息越精确，算法(6)-(8) 的漏判率就越低。
[0232]
2.3攻击策略对漏判率和误判率的影响。
[0233]
给定系统参数的先验信息θ＝{[z1,z2]|-1.5≤z1≤2,01≤z2≤3}，以及两组不同的攻 击策略：(p1,q1)＝(0.1,0.2)和(p2,q2)＝(0.4,0.3)。其中，(p2,q2)满足式(34)，此时有
[0234]
图8给出了算法(6)-(8)在不同的攻击策略下漏判率随着数据长度的变化趋 势。可以看出，当攻击策略为(p1,q1)时，随着数据量n的增加，算法(6)-(8)的漏 判率趋近于零；当攻击策略为(p2,q2)时，随着数据量n的增加，算法(6)-(8)的漏 判率趋近于1。
[0235]
引理3(lyapunov中心极限定理)设随机变量x1,x2...,xk,...相互独立，且有数 学期望和方差记若存在常数δ＞0使得
[0236][0237]
则有
[0238][0239]
其中，表示标准正态分布。
[0240]
引理4在引理1的条件下，由(7)给出的参数估计序列会强收敛到 即，
[0241][0242]
其中，ηi在引理1中给出，i＝1,...,n。
[0243]
证明：由(1)，(2)和(3)可知，
[0244]
[0245]
由于系统输入是周期的，于是可知，
[0246][0247]
由大数定律可知，
[0248][0249]
结合(7),(8)，引理得证。
[0250]
引理1证明：先证明(15)。当系统遭受攻击时，注意到根据(36)，对于l＝1,...,ln可知下式(38)：
[0251][0252]
和
[0253][0254]
由(38)可知，
[0255][0256]
因此，可以得到：
[0257][0258]
对于i＝1,...,n，由于s
(l-1)n+i
相互独立，且具有相同的期望ηi，方差一致有界， 结合上式可得：
[0259][0260]
即：
[0261][0262]
由(7)，(8)和引理4可知
[0263][0264]
由微分中值定理可知，存在vi位于ηi和之间使得
[0265][0266]
由(37)可知，当n
→
∞时，有于是可知，vi→
ηi。结合(39) 可知
[0267][0268]
结合(40)，(15)得证。
[0269]
当系统未遭受攻击，在(15)中，令(p,q)＝(0,0)，(14)得证。
[0270]
本发明实施例中，从系统辨识的角度出发，针对二值量化fir系统研究数据 篡改攻击的检测问题。充分利用系统参数的先验信息和二值测量数据，设计了针 对数据篡改攻击的检测算法，同时给出了其在线形式；引入了一组通用的、可用 于评估检测算法性能的指标——误判率和漏判率，以衡量算法的判断结果和实际 情况的符合程度，并给出了它们的计算方法，进而得到了它们在大样本条件下的 显示表达式；讨论了数据长度、系统参数的先验信息以及攻击策略等因素对算法 误判率和漏判率的影响。结果表明：随着数据长度的增加，算法的误判率和漏判 率逐渐降低。
[0271]
如图9所示，本发明实施例提供了一种面向二值量化fir系统的数据篡改攻 击检测系统，该系统应用于实现面向二值量化fir系统的数据篡改攻击检测方法， 该系统包括输入节点、fir系统、二值传感器、通信网络以及数据中心；其中：
[0272]
输入节点，用于获取系统输入数据。
[0273]
fir系统，用于将系统输入数据输入到fir系统，得到fir系统输出。
[0274]
二值传感器，用于对fir系统输出进行测量，得到测量结果。
[0275]
通信网络，用于将测量结果通过通信网络传输到数据中心。
[0276]
数据中心，用于对通信网络进行数据传输的过程进行检测，得到检测结果； 其中，检测结果为通信网络进行数据传输的过程是否受到攻击。
[0277]
可选地，二值传感器，进一步用于：
[0278]
测量结果由示性函数表示，如下式(1)所示：
[0279][0280]
其中，yk是系统输出；c∈(-∞,∞)是二值传感器的阈值。
[0281]
可选地，数据中心预先设置有攻击检测算法。
[0282]
攻击检测算法的设计过程包括：
[0283]
s51、设计攻击检测算法；其中，攻击检测算法包括离线攻击检测算法以及在 线攻击检测算法。
[0284]
s52、构建检测指标，对攻击检测算法进行分析评估；其中，检测指标包括误 判率以及漏判率。
[0285]
可选地，误判率为通信网络进行数据传输的过程未受到攻击，但攻击检测算 法判断受到了攻击的概率。
[0286]
漏判率为通信网络进行数据传输的过程受到了攻击，但攻击检测算法判断未 受到攻击的概率。
[0287]
可选地，数据中心，进一步用于：
[0288][0289][0290][0291]
其中，γn是二值函数，表示系统是否受到了攻击，γn＝1表示系统受到了攻击， γn＝0表示系统未受到攻击；未知参数的先验信息是已知集合，θ∈θ； 是由系统输入uk生成的循环矩阵，uk是n-周期的，即u
k+n
＝uk，k≥1， 记φk＝[uk,...,u
k-n+1
]
t
是系统输入组成的回归向量；n是数据长度； t表示矩阵或向量的转置；c∈(-∞,∞)是二值传感器的阈值；f-1
(
·
)是噪声分布函数f()的逆函数；表示小于或等于n/n的最大正整数；{s1,s2,...sn}是数据 中心接收到的数据。
[0292]
可选地，数据中心，进一步用于：
[0293][0294]
其中，0≤p,q≤1，p+q＝0表示系统未受到攻击，p+q≠0表示系统受到了攻 击；表示在条件下的密度函数；pr表示概率。
[0295]
可选地，误判率，还包括根据公式(5)以及近似求解方法，得到离线攻击检 测算法的误判率。
[0296]
可选地，数据中心，进一步用于：
[0297][0298]
其中，0≤p,q≤1，p+q＝0表示系统未受到攻击，p+q≠0表示系统受到了攻 击；表示在条件下的密度函数；pr表示概率。
[0299]
可选地，数据中心，进一步用于：
[0300][0301][0302][0303]
其中，γn是二值函数，表示系统是否受到了攻击，γn＝1表示系统受到了攻击， γn＝0表示系统未受到攻击；未知参数的先验信息是已知集合，θ∈θ； 是由系统输入uk生成的循环矩阵，uk是n-周期的，即u
k+n
＝uk，k≥1， 记φk＝[uk,...,u
k-n+1
]
t
是系统输入组成的回归向量；n是数据长度； t表示矩阵或向量的转置；c∈(-∞,∞)是二值传感器的阈值；f-1
(
·
)是噪声分布函数 f(
·
)的逆函数；表示小于或等于k的最大正整数； mod(k,n)表示k除以n的余数,0/0＝0；表示小于或等于n/n的最大正 整数；sk是数据中心接收到的当前数据。
[0304]
本发明实施例中，从系统辨识的角度出发，针对二值量化fir系统研究数据 篡改攻击的检测问题。充分利用系统参数的先验信息和二值测量数据，设计了针 对数据篡改攻击的检测算法，同时给出了其在线形式；引入了一组通用的、可用 于评估检测算法性能的指标——误判率和漏判率，以衡量算法的判断结果和实际 情况的符合程度，并给出了它们的计算方法，进而得到了它们在大样本条件下的 显示表达式；讨论了数据长度、系统参数的先验信息以及攻击策略等因素对算法 误判率和漏判率的影响。结果表明：随着数据长度的增加，算法的误判率和漏判 率逐渐降低。
[0305]
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过 硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一 种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘 等。
[0306]
以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精 神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护 范围之内。