基于多路徑切換的無限制DoS攻擊防護方法，首先根據網絡丟包率情況和系統模型確定系統可以容忍的最大丟包數，設計DoS攻擊檢測模塊，從而得到多切換路徑條件；然后執行器端記錄當前傳感器到控制器的連續丟包數并發送給傳感器，若當前連續丟包數滿足路徑切換條件，則傳感器和控制器切換路徑傳輸數據，若當前連續丟包數沒有滿足路徑切換條件，則繼續檢測。多路徑切換防護方法通過不斷檢測和切換路徑，可以解決無限制DoS攻擊造成的連續丟包現象，從而使得系統一直保持穩定。

技術領域

本發明涉及網絡化控制系統與網絡安全領域，具體涉及無限制DoS攻擊下，對網絡化控制系統進行多路徑切換的防護方法。

背景技術

網絡化控制系統(NCS)的數據傳輸通道被諸如英特網之類的數據通信網絡所封閉，近年來被廣泛應用于各個領域。然而，數據通信網絡的引入為攻擊者對控制系統進行攻擊提供了便捷的途徑。在這些網絡攻擊中，拒絕服務(DoS)攻擊是最常見的，它會對NCS造成嚴重的影響。DoS攻擊通過向目標機器發送大量請求來耗盡所有網絡資源，從而使合法用戶無法使用。由于DoS攻擊的結果是NCS中的控制器(執行器)將無法從傳感器(控制器)接收數據，因此所考慮的NCS將被迫開環運行，存在系統失穩甚至崩潰的問題。

在發生無限制DoS攻擊時，如果控制系統存在檢測攻擊的機制并且采取防護措施，就能避免控制系統面臨失穩的問題。雖然目前對于無限制DoS攻擊的相關研究還在起步階段，但是基于多路徑切換的無限制DoS攻擊防護方法提供了一種有效解決無限制DoS攻擊引起的連續數據包丟失問題。多路徑切換防護方法是利用隨機丟包和無限制DoS攻擊引起的丟包的區別來判斷是否存在攻擊，由此來進一步通知傳感器和控制器切換路徑，有效避免了連續的數據包丟失。

發明內容

為了克服無限制DoS攻擊造成的連續丟包問題，本發明提出了一種基于多路徑切換的防護策略，結合隨機丟包和攻擊引起丟包的區別，得到攻擊評判標準，從而切換路徑，在一定程度上解決了無限制DoS攻擊造成的連續丟包問題。

本發明解決其技術問題所采用的技術方案是：

一種基于多路徑切換的無限制DoS攻擊防護方法，含有以下步驟：

步驟1.系統初始化及確定路徑切換條件：傳感器到控制器的傳感數據以及控制器到執行器的控制數據通過數據通信網絡傳輸，網絡中存在無限制DoS攻擊，已知網絡閉環丟包率p，及系統模型如下：

x(k+1)＝Ax(k)+Bu(k) (1-1)

其中，各參數定義如下：

A,B：系統矩陣；

x(k)：k時刻系統狀態；

u(k)：k時刻執行器實際使用的控制信號；

計算路徑切換條件，步驟如下：

步驟1.1確定系統可容忍最大丟包數：根據系統穩定性條件得到系統保持其所需性能的最大連續丟包數，計算公式為：

其中，各參數定義如下：

ξ：攻擊頻率的上界；

γ,β：系統衰減系數；

N_c：控制系統保持其所需性能的最大連續丟包數；

且P₀,P₁,P₂是對稱正定矩陣滿足以下不等式，