本发明涉及一种基于预测控制的拒绝服务攻击防御方法,属于网络安全技术领域。
背景技术:
随着计算机技术、网络通信技术和控制技术的迅速发展,网络化控制系统以其布线少、成本低、便于远程监控与控制、易于扩展和维护等优势,已逐渐成为工业自动化控制系统的发展趋势。
网络化控制系统是将控制系统的控制端与被控端通过通信网络连接起来组成的闭环分布式控制系统,是一种分布式、网络化实时反馈控制系统。系统信息层信息交流均采用“数据包”的形式进行传输,但由于系统信息层逐步融入到开放式公共网络,当网络中存在某种攻击时,系统将趋于不稳定。其中典型的攻击拒绝服务攻击(dos),该攻击通过欺骗伪装及其他手段以使得提供服务资源的主机出现错误或资源耗尽,从而让目标机器停止提供服务或资源访问。在dos攻击中存着在一种隐蔽性攻击,其攻击存在递增性,即相邻两次攻击的长度差大于零,该攻击与网络诱导的连续丢包类似,但攻击造成的连续丢包不具有随机性,而是具有攻击者设计攻击时的递增形式,其攻击效果具有“累积效应”,通过多次攻击的累积对系统造成巨大的影响,甚至趋向于不稳定。因此,为实现控制系统在dos攻击情况下稳定运行,对安全控制策略的研究成为重点。其困难在于:一方面开放式通信网络具有边界模糊,端点复杂多变以及攻击者决策先验未知等特点,使得难以对信息层的攻击源头进行检测和预防;另一方面,传统故障诊断方法主要解决由物理系统本身原因造成的统计性问题,难以应对依赖于智能攻击者具有任意决策权的攻击行为。
技术实现要素:
本发明所要解决的技术问题是提供一种针对拒绝服务攻击服务,设计基于不同攻击强度的自适应预测补偿控制算法,能够实现系统稳定和降低预测补偿保守性的基于预测控制的拒绝服务攻击防御方法。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种基于预测控制的拒绝服务攻击防御方法,用于针对网络中的目标系统,实现针对网络中拒绝服务攻击的防御,目标系统中内置传感器、预测控制器和预测补偿器;其中,预测控制器中内置拒绝服务攻击检测器和计时器;传感器用于针对目标系统中预设对应于拒绝服务攻击的指定属性状态信号进行检测;传感器与预测控制器中的拒绝服务攻击检测器相连接,同时,预测控制器与预测补偿器相连接;所述拒绝服务攻击防御方法中,首先根据目标系统动态模型,构建对应目标系统的预测控制器,并采用状态状态反馈控制率,求解获得目标系统信号完全传输情况下的预测控制器参数k,并在预测补偿器中,初始化最新系统补偿信号数据为空,然后根据如下步骤,执行拒绝服务攻击防御方法;
步骤a.预测控制器中的拒绝服务攻击检测器,检测预测控制器在l个连续采样周期内,是否接收到传感器所检测目标系统中预设对应于拒绝服务攻击的指定属性状态信号,是则判断当前目标系统反馈回路中存在拒绝服务攻击,并进入步骤b;否则继续执行步骤a中预测控制器中拒绝服务攻击检测器的检测;
步骤b.预测补偿器判断其中最新系统补偿信号数据是否为空,是则直接进入步骤c;否则由预测补偿器根据最新系统补偿信号数据,针对目标系统所遭受当前拒绝服务攻击的持续攻击时长进行补偿,然后进入步骤c;
步骤c.针对当前目标系统反馈回路中所存在的拒绝服务攻击,由预测控制器中的计时器针对当前拒绝服务攻击进行计时,获得当前拒绝服务攻击的持续攻击时长,并由预测控制器获得目标系统遭受当前拒绝服务攻击所对应的目标系统当前动态轨迹,然后进入步骤d;
步骤d.由预测控制器根据当前拒绝服务攻击的持续攻击时长,以及目标系统当前动态轨迹,并结合预测控制器参数k,预测获得目标系统遭受下一次拒绝服务攻击的预测持续攻击时长,然后进入步骤e;
步骤e.由预测控制器基于目标系统动态模型,根据所预测目标系统遭受下一次拒绝服务攻击的预测持续攻击时长,获得对应于目标系统遭受下一次拒绝服务攻击的系统补偿信号数据,并发送给预测补偿器,用于更新预测补偿器中的最新系统补偿信号数据,然后返回步骤a。
作为本发明的一种优选技术方案:所述根据目标系统动态模型,构建对应目标系统的预测控制器,包括如下步骤:
步骤001.针对目标系统,构建所对应线性系统如下:
其中,xk表示采样周期t中第k时刻目标系统所对应的n维系统状态量矩阵,uk表示采样周期t中第k时刻目标系统所接收到的m维控制输入量矩阵,yk表示采样周期t中第k时刻目标系统所对应的r维输出量矩阵,a表示预设xk所对应的n维系数矩阵,b表示预设uk所对应的m维系数矩阵,c表示对应目标系统输出所预设xk对应的n维系数矩阵;uk=kxk,k表示对应uk所预设xk对应的n维系数矩阵;
步骤002.定义sk+1表示目标系统遭受第k+1次拒绝服务攻击的开始时刻,假设在sk+1时刻目标系统遭受拒绝服务攻击,且该第k+1次拒绝服务攻击的持续攻击时长为dk+1,将该第k+1次拒绝服务攻击的持续攻击时长划分为典型切换系统,包括预测控制实施部分和攻击部分,则预测控制实施部分所对应的预测控制器如下:
其中,
攻击部分所对应的预测控制器如下:
其中,dk+1表示预测控制器针对目标系统所遭受拒绝服务攻击的采样周期长度。
作为本发明的一种优选技术方案:所述目标系统信号完全传输情况下的预测控制器参数k,采用状态状态反馈控制率,根据如下步骤003至步骤005进行求解;
步骤003.针对目标系统,选择lyapunov函数为
步骤004.基于lyapunov稳定性理论可得:
即
步骤005.根据schar引理可得:
作为本发明的一种优选技术方案:所述步骤c,所述预测控制器中的计时器设置于预测控制器中的信号接收端,针对当前目标系统反馈回路中所存在的拒绝服务攻击,由预测控制器中的计时器根据相邻到达数据包的时间戳,计算反馈信号序列的时间间隔,实现针对当前拒绝服务攻击的计时,获得当前拒绝服务攻击的持续攻击时长。
作为本发明的一种优选技术方案,所述步骤d包括如下步骤:
步骤d01.针对拒绝服务攻击的非攻击时长子系统和持续攻击时长子系统,分别给出相应的lyapunov函数如下:
其中,p1、p2分别表示预设适维正定矩阵,v1、v2分别表示预设lyapunov函数;并在目标系统模型完全已知,且目标系统状态可完全获取的假设下,预测控制器采用基于模型的预测算法,得到的预测状态等同于目标系统的真实状态,则预测控制实施部分所对应的预测控制器更新如下:
步骤d02.基于lyapunov稳定性理论:
其中,λ1、λ2为子系统的指数衰减率;
步骤d03.进一步获得:
步骤d04.令ε1=max(λ(p1)),ε2=max(λ(p2)),则获得:
步骤d05.进一步获得
步骤d06.获得nk与dk关系:
作为本发明的一种优选技术方案:所述步骤b中,当由预测补偿器根据最新系统补偿信号数据,针对目标系统所遭受当前拒绝服务攻击的持续攻击时长进行补偿时,其中,若最新系统补偿信号数据完全补偿目标系统遭受当前拒绝服务攻击的持续攻击时长,则目标系统实现指数稳定;若最新系统补偿信号数据未完全补偿目标系统遭受当前拒绝服务攻击的持续攻击时长,则采用零输入控制。
本发明所述一种基于预测控制的拒绝服务攻击防御方法的应用系统,采用以上技术方案与现有技术相比,具有以下技术效果:本发明所设计基于预测控制的拒绝服务攻击防御方法,针对拒绝服务攻击服务,设计基于不同攻击强度的自适应预测补偿控制算法,基于前一次dos攻击的强度计算得到针对下一次攻击的自适应预测区间长度,对攻击区间进行控制补偿,能够实现系统稳定和降低预测补偿保守性。
附图说明
图1是本发明基于预测控制的拒绝服务攻击防御方法的流程示意图。
图2是本发明设计方法运行过程中攻击信号、预测信号以及控制输入信号的模拟示意图;
图3是未采用本发明设计方法的系统状态跟踪示意图;
图4是采用本发明设计方法的系统状态跟踪示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
如图1所示,本发明设计了一种基于预测控制的拒绝服务攻击(dos)防御方法,用于针对网络中的目标系统,实现针对网络中拒绝服务攻击(dos)的防御,实际应用当中,目标系统中内置传感器、预测控制器和预测补偿器;其中,预测控制器中内置拒绝服务攻击(dos)检测器和计时器;传感器用于针对目标系统中预设对应于拒绝服务攻击(dos)的指定属性状态信号进行检测;传感器与预测控制器中的拒绝服务攻击(dos)检测器相连接,同时,预测控制器与预测补偿器相连接;所述拒绝服务攻击(dos)防御方法中,首先根据目标系统动态模型,构建对应目标系统的预测控制器,这里预测控制器的构建,具体包括如下步骤:
步骤001.针对目标系统,构建所对应线性系统如下:
其中,xk表示采样周期t中第k时刻目标系统所对应的n维系统状态量矩阵,uk表示采样周期t中第k时刻目标系统所接收到的m维控制输入量矩阵,yk表示采样周期t中第k时刻目标系统所对应的r维输出量矩阵,a表示预设xk所对应的n维系数矩阵,b表示预设uk所对应的m维系数矩阵,c表示对应目标系统输出所预设xk对应的n维系数矩阵;uk=kxk,k表示对应uk所预设xk对应的n维系数矩阵;
步骤002.定义sk+1表示目标系统遭受第k+1次拒绝服务攻击(dos)的开始时刻,假设在sk+1时刻目标系统遭受拒绝服务攻击(dos),且该第k+1次拒绝服务攻击(dos)的持续攻击时长为dk+1,将该第k+1次拒绝服务攻击(dos)的持续攻击时长划分为典型切换系统,包括预测控制实施部分和攻击部分,则预测控制实施部分所对应的预测控制器如下:
其中,
攻击部分所对应的预测控制器如下:
其中,dk+1表示预测控制器针对目标系统所遭受拒绝服务攻击(dos)的采样周期长度。
基于预测控制器的构建,采用状态状态反馈控制率,根据如下步骤003至步骤005,求解获得目标系统信号完全传输情况下的预测控制器参数k。
步骤003.针对目标系统,选择lyapunov函数为
步骤004.基于lyapunov稳定性理论可得:
即
步骤005.根据schar引理可得:
在预测补偿器中,初始化最新系统补偿信号数据为空,然后根据如下步骤,执行拒绝服务攻击(dos)防御方法。
步骤a.预测控制器中的拒绝服务攻击(dos)检测器,检测预测控制器在l个连续采样周期内,是否接收到传感器所检测目标系统中预设对应于拒绝服务攻击(dos)的指定属性状态信号,是则判断当前目标系统反馈回路中存在拒绝服务攻击(dos),并进入步骤b;否则继续执行步骤a中预测控制器中拒绝服务攻击(dos)检测器的检测。
步骤b.预测补偿器判断其中最新系统补偿信号数据是否为空,是则直接进入步骤c;否则由预测补偿器根据最新系统补偿信号数据,针对目标系统所遭受当前拒绝服务攻击(dos)的持续攻击时长进行补偿,然后进入步骤c。其中,当由预测补偿器根据最新系统补偿信号数据,针对目标系统所遭受当前拒绝服务攻击(dos)的持续攻击时长进行补偿时,其中,若最新系统补偿信号数据完全补偿目标系统遭受当前拒绝服务攻击(dos)的持续攻击时长,则目标系统实现指数稳定;若最新系统补偿信号数据未完全补偿目标系统遭受当前拒绝服务攻击(dos)的持续攻击时长,则采用零输入控制。
步骤c.所述预测控制器中的计时器设置于预测控制器中的信号接收端,针对当前目标系统反馈回路中所存在的拒绝服务攻击(dos),由预测控制器中的计时器根据相邻到达数据包的时间戳,计算反馈信号序列的时间间隔,实现针对当前拒绝服务攻击(dos)的计时,获得当前拒绝服务攻击(dos)的持续攻击时长,并由预测控制器获得目标系统遭受当前拒绝服务攻击(dos)所对应的目标系统当前动态轨迹,然后进入步骤d。
步骤d.由预测控制器根据当前拒绝服务攻击(dos)的持续攻击时长,以及目标系统当前动态轨迹,并结合预测控制器参数k,预测获得目标系统遭受下一次拒绝服务攻击(dos)的预测持续攻击时长,然后进入步骤e。
上述步骤d包括如下步骤:
步骤d01.针对拒绝服务攻击(dos)的非攻击时长子系统和持续攻击时长子系统,分别给出相应的lyapunov函数如下:
其中,p1、p2分别表示预设适维正定矩阵,v1、v2分别表示预设lyapunov函数;并在目标系统模型完全已知,且目标系统状态可完全获取的假设下,预测控制器采用基于模型的预测算法,得到的预测状态等同于目标系统的真实状态,则预测控制实施部分所对应的预测控制器更新如下:
步骤d02.基于lyapunov稳定性理论:
其中,λ1、λ2为子系统的指数衰减率;
步骤d03.进一步获得:
步骤d04.令ε1=max(λ(p1)),ε2=max(λ(p2)),则获得:
步骤d05.进一步获得
步骤d06.获得nk与dk关系:
步骤e.由预测控制器基于目标系统动态模型,根据所预测目标系统遭受下一次拒绝服务攻击(dos)的预测持续攻击时长,获得对应于目标系统遭受下一次拒绝服务攻击(dos)的系统补偿信号数据,并发送给预测补偿器,用于更新预测补偿器中的最新系统补偿信号数据,然后返回步骤a。
将上述设计基于预测控制的拒绝服务攻击(dos)防御方法,应用到实际当中,如图2所示,基于图2所示本发明设计方法运行过程中攻击信号、预测信号以及控制输入信号的模拟示意图,在该攻击信号的作用下对系统进行仿真,得出如图3、图4所示的仿真结果,如图3、图4所示,x1、x2是系统的运行状态,在不采用预测控制时,dos攻击将导致系统状态不稳定;在采用预测控制时,系统仍然可以在存在dos攻击的情况下达到稳定的状态。该仿真结果说明,本发明所采用的预测控制方法可以有效的解决一类隐蔽性dos攻击,使系统保持稳定的运行。如此,本发明所设计基于预测控制的拒绝服务攻击防御方法,针对拒绝服务攻击服务,设计基于不同攻击强度的自适应预测补偿控制算法,基于前一次dos攻击的强度计算得到针对下一次攻击的自适应预测区间长度,对攻击区间进行控制补偿,能够实现系统稳定和降低预测补偿保守性。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变动。