金诗博，张 立

(天津中德应用技术大学软件与通信学院，天津 300350)

1 引言

所谓物联网，就是利用各种信息传感器、射频识别技术、全球定位系统、红外线传感器、激光扫描器等多种设备，进行数据采集、数据控制等操作的一种技术。它是以因特网、传统通信网络等为基础的信息承载载体，它能使普通物理对象通过独立的寻址方式形成互联互通的网络。随着物联网在人们生活中的广泛应用，网络中存储的用户信息也随之增多，同时，恶意用户对网络信息的篡改、窃取、修改等攻击事件也随之增多[1]。利用能量管理系统中的坏数据进行虚假数据注入攻击，可以发现漏洞，对状态估计结果进行篡改，严重危害物联网的安全可靠运行。与此同时，由于配电网具有复杂的网络拓扑结构和低冗余度的特点，使得其潜在的网络攻击威胁越来越大。FDIAs的防御和识别成为保证物联网信息安全的韧性和经济运行的新挑战。

虚假数据攻击对物联网造成了严重危害，不仅影响了物联网的安全稳定，也给国民经济带来了不可估量的后果。因此，对虚假数据攻击的检测显得尤为重要，对虚假数据攻击的研究也很多“攻击检测”是指识别企图攻击、正在进行的攻击或已发生的攻击的过程；是一种网络安全技术，用于检测任何可能危害或试图危害系统机密性、完整性或可用性的行为[2]。目前攻击检测技术的研究比较成熟，主要有基于免疫原理的攻击检测方法、基于协议分析的攻击检测方法和基于灰色神经网络的攻击检测算法，为解决攻击检测系统误报率高、自适应性差等问题提供了可借鉴的思路，适合于实时检测。但目前的攻击检测产品多为手工操作，攻击行为很容易被简单的特征串搜索所捕捉，只能检测到预先定义的攻击模式，无法检测到现有攻击手段的简单变种和新的攻击类型；针对网络数据的变化，很难对攻击模式进行修改，将其应用于物联网假数据注入攻击的检测工作中，会产生严重的检测精度问题。针对这一系列问题，在传统的攻击检测方法基础上，采用贝叶斯算法，以提高物联网攻击的检测效率。

2 物联网虚假数据注入攻击检测方法设计

检测攻击行为的前提是能够通过观察系统历史的当前活动和正常活动状态之间的差异来检测异常。一般来说，异常检测建立正常系统活动的状态模型并保持其更新，然后将用户当前的活动与该正常模型进行比较[3]。如果发现的差异超过设置的阈值，则发现非法攻击行为。

2.1 分析物联网体系结构与运行特点

从上到下，物联网分为感知层、传输层和应用层三个层次，图1显示了物联网的基本架构。

图1 物联网结构体系示意图

在图1中，感知层表示物联网的感知器官，用于识别物体和收集信息。传输层是物联网结构体系中的关键部分。来自物联网的数据通常用于不同的决策和执行过程，其中每个对象都必须拥有唯一标识。为了维护用户隐私，防止恶意攻击，应严格保护用户和设备的身份不受第三方的影响。

2.2 物联网虚假数据注入攻击模拟分析

为了对物联网虚假数据注入攻击过程进行模拟分析，论文给出了虚假数据注入攻击原理如图2所示。

图2 虚假数据注入攻击原理图

假设物联网的虚假注入数据为a，攻击向量为b，e为量测误差，发动攻击后，则受攻击后的量测值如下式所式

zb=Hx+b+e

(1)

式中H为m×n的物联网拓扑雅可比矩阵，x为状态变量。此时，受攻击的状态变量可以表示为

xb=x+b

(2)

将原始的量测值分解为d个子区域，受攻击后的量测值分解为如下形式

(3)

(4)

物联网中全部区域的状态估计的残差表达式可由下式表示，为所有子区域残差总和可以表示为

(5)

此时，计算被攻击后的最小残差为

(6)

同时满足如下关系式

(7)

式(6)和(7)中参数β表示攻击向量的优化量，正则化参数用λ表示。入侵攻击时未对物联网进行区别攻击，因此攻击者获得的拓扑雅可比矩阵并不完整，因此用表示雅可比矩阵，对进行划分，得到n个子模块，此时得到了雅可比矩阵函数计算公式

(8)

因此，根据不同的情况，有两种不同的攻击路径，即无目标随机伪数据攻击路径和特定目标伪数据攻击路径[6，7]。对于无目标随机伪数据攻击，攻击者向系统的运行状态值注入虚假数据。这样的假数据可以是任意值，即式(8)中的参数c。利用假数据攻击某个目标的方法是通过改变系统的某些状态值来攻击某个目标。

2.3 设置检测指标

为了量化物联网在虚假数据注入攻击下的变化，通过比较当前时间步长的距离指数和历史距离指数值，可以判断物联网是否受到虚假数据的攻击。绝对距离比较两种概率分布之间的差异，定义如下

(9)

式中，P表示此时与前一段时间的变化分布，q表示的是历史数据的变化分布。同理还设置了网络流量、不良数据以及网络运行状态作为物联网攻击的检测指标。

2.4 收集物联网动态数据包

利用WinPcap物联网数据包采集技术，编写网络数据包采集程序，实现了数据包的采集。捕获器代码可以分为两部分：核心部分和数据分析部分。核心部分负责数据包的捕获和过滤，分析部分负责数据的预处理和过滤。第一个类将包初始化到包中，并在类声明中包含必要的相关字段，包括起始时间、源地址、源端口、目的地址、目的端口、协议类型、版本信息、生存时间、头大小、包长度、优先级、延迟、吞吐量等字段，并定义了相应的get，set函数。然后根据接口设计编写了网络包捕获程序[9]。过滤条件包括IP、UDP、HTTP等协议类型，可以由用户根据需要选择开始收集网络数据包，并将采集到的数据以表格的形式显示出来，根据需要停止采集工作，选择是否保存数据。

2.5 提取数据包中的重要特征

利用物联网动态数据包采集支持，提取其中的数据特征。特征量的提取过程就是在高维测量空间对特征进行映射或改变使维度减小而获得相应特征的过程[10]。数据包的特征包括数据大小、异常分值等，以异常分值特征为例，提取的特征结果可以表示为

(10)

式中g(x)为x的路径长度，即从根节点到被孤立节点边的总和，E[g(x)]为所有路径长度的均值。式(10)得出的计算结果趋于 0.5 时，正常程度越高，当其趋于 1 时，异常程度越高。同理可以得出其它数据包体征的量化提取结果。

2.6 利用贝叶斯算法确定攻击类型

贝叶斯公式如下

(11)

式中的P(x)是特征向量的概率密度函数，P(ωi)为在所研究的攻击检测问题中出现ωi类的概率，也就是先验概率。P(x|ωi)为在模式属于ωi类的条件下出现的概率密度，称为的类条件概率密度[11]。将提取的物联网动态数据包特征作为初始数据代入到贝叶斯算法中，结合不同的攻击类型特征便可以确定当前物联网中的攻击类型。

2.7 实现物联网虚假数据注入攻击检测

结合攻击类型的分析结果以及动态数据包的特征提取结果，分别从物联网流量、运行状态以及不良数据三个方面进行物联网虚假数据注入攻击检测，并得出监测指标的具体取值[12]。将综合检测指标的计算结果与虚假数据注入攻击下的运行特征数据指标做比对，从而输出物联网虚假数据注入攻击的检测结果。

3 对比实验分析

3.1 攻击检测实验环境

将攻击检测系统安装到一个安装了操作系统的主机上，然后在另一个或多个安装了操作系统的主机上使用攻击软件或攻击程序对安装了攻击检测系统的主机进行攻击，同时观察攻击检测系统实时工作情况。另外攻击测试实验环境的具体参数配置情况如表1所示。

表1 攻击检测平台的主要开发环境

3.2 选择物联网测试样本

选择多个小型的物联网作为此次实验的研究对象样本，并根据物联网的节点数量的多少，按照从小到大的顺序进行排列和编码。设置各个物联网中的传输数据包如图3所示。

图3 物联网数据包详细信息设置界面

3.3 设置攻击检测标准数据

在实验环境下，利用硬件设备以及编程工具生成网络攻击程序，并结合虚假数据注入攻击的特征进行攻击类型的控制，并将其加入到实验样本中。针对不同的物联网进行攻击的次数不同，此次实验的进行时间为1小时，利用随机生成程序对物联网进行攻击，并统计在实验过程中各个网络样本所遭受的攻击次数，以此作为攻击检测的对比标准。另外除了虚拟数据注入攻击外，还设置了其它的攻击方式，作为实验的干扰变量。

3.4 设置检测精度评价指标

为了进一步验证本文方法的有效性，设计实验指标，以便评估该方法的准确性和适用性。下面给出检测精度评价指标的计算公式。

准确率A的计算方法如下

(12)

查准率P的计算方法如下

(13)

召回率R的计算方法如下

(14)

漏检率M的计算方法如下

(15)

误检率O的计算方法如下

(16)

式中，TD是正确判断为攻击的次数，FD是错误判断为攻击的次数，TU是正确判断为非攻击的次数，FU是错误判断为非攻击的次数。准确率、召回率与查准率越高，漏检率与误检率越低，则攻击检测的效果越好。

3.5 实验过程与结果分析

将设计的攻击检测方法导入到实验环境中，并设置基于核主成分分析的攻击检测方法和基于LSTM神经网络的SQL注入攻击检测方法作为实验的对比方法，一同导入到实验环境中。通过攻击检测方法在实验环境中的运行，分别得出虚假数据注入攻击检测结果输出界面如图4所示。

图4 检测结果输出界面

将攻击结果与设置的标准数据做对比，并将对比结果导入到式(12)中，得出各个检测评价指标的具体取值。经过数据统计得出攻击检测性能的测试结果如表2所示。

表2 检测性能测试对比结果

将表2中的数据代入到式(12)中，便可以得出在不同的攻击检测方法下对应的检测性能量化值，计算结果如表3所示。

表3 不同方法下各种性能均值对比

经过计算设计的基于贝叶斯的物联网虚假数据注入攻击检测方法的准确率、召回率与查准率更高，且漏检率与误检率更低，即相比于两个对比方法，设计方法的攻击检测效果更佳。

4 结束语

虚假数据注入攻击利用基于残差的不良数据检测和识别方法的漏洞，改变物联网的实测值，以获取非法经济利益或扰乱物联网的稳定运行。基于贝叶斯原理，设计并应用了一种针对物联网的伪数据注入攻击检测方法，能够判断当前物联网中是否存在假数据注入攻击现象，检测结果具有较高的可信度。针对虚假数据注入攻击提出了更有针对性的防御措施，最大限度地保障了物联网的信息安全和运营安全。