文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.2016.04.021
中文引用格式: 李俊,郭嫻,孫軍. 基于擴(kuò)展Kalman濾波的工業(yè)控制系統(tǒng)DDoS攻擊檢測(cè)[J].電子技術(shù)應(yīng)用,2016,42(4):73-77.
英文引用格式: Li Jun,Guo Xian,Sun Jun. The detection of DDoS attack for industrial control systems based on extended Kalman filtering[J].Application of Electronic Technique,2016,42(4):73-77.
0 引言
工業(yè)控制系統(tǒng)(Industrial Control System,ICS)廣泛應(yīng)用在工業(yè)、能源、交通、水利以及市政等重點(diǎn)領(lǐng)域,用于控制生產(chǎn)設(shè)備的運(yùn)行。典型的工業(yè)控制系統(tǒng)包括可編程邏輯控制器(Programmable Logic Controller,PLC)、分布式控制系統(tǒng)(Distribute Control System,DCS)及數(shù)據(jù)采集與監(jiān)控系統(tǒng)(Supervisory Control And Data Acquisition,SCADA)等。工業(yè)控制系統(tǒng)是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,其安全問題直接關(guān)系到國民經(jīng)濟(jì)的正常運(yùn)行和社會(huì)穩(wěn)定[1]。
隨著我國“互聯(lián)網(wǎng)+”、“中國制造2025”等戰(zhàn)略的推進(jìn)實(shí)施,互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等信息技術(shù)對(duì)工業(yè)生產(chǎn)的各環(huán)節(jié)和城市關(guān)鍵基礎(chǔ)設(shè)施建設(shè)的滲透越來越深,從而加劇了工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)。
近年來,工業(yè)控制系統(tǒng)信息安全事件不斷發(fā)生,從伊朗核電站感染Stuxnet病毒事件,到Havex入侵了歐美1 000多家能源系統(tǒng),再到烏克蘭電力系統(tǒng)被BlackEnergy惡意軟件攻擊等事件,充分反映了工業(yè)控制系統(tǒng)信息安全面臨的嚴(yán)峻形勢(shì)。研究工業(yè)控制系統(tǒng)的攻擊檢測(cè)方法,對(duì)及時(shí)發(fā)現(xiàn)并阻止黑客的入侵攻擊和避免造成物理損失具有重大意義。
1 背景
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展及普及,網(wǎng)絡(luò)安全問題越發(fā)凸顯,尤其是拒絕服務(wù)攻擊(Denial of Service,DoS),盡管方式簡單,但是攻擊非常有效。它能夠短時(shí)間內(nèi)使服務(wù)網(wǎng)絡(luò)中充斥大量的信息,消耗帶寬或系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)趨于癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。其中,分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)作為DoS的特殊形式,它采用一種分布、協(xié)作方式對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。在眾多的攻擊方式中,分布式拒絕服務(wù)攻擊的危害最大,最易于達(dá)到攻擊效果,并且最難進(jìn)行抵御和追蹤,同時(shí)它也是現(xiàn)今網(wǎng)絡(luò)面臨的主要威脅之一。
針對(duì)網(wǎng)絡(luò)DDoS攻擊的檢測(cè)研究由來已久,目前的檢測(cè)方法大概可以分為兩大類,大多數(shù)的檢測(cè)方法或采用其中一種,或兩種方法結(jié)合使用。其中一種是對(duì)服務(wù)/控制網(wǎng)絡(luò)中流量進(jìn)行建模分析,利用網(wǎng)絡(luò)遭受DDoS攻擊時(shí),與模型相關(guān)的參數(shù)變化來識(shí)別出DDoS攻擊,如文獻(xiàn)[2-6];另外一種是利用網(wǎng)絡(luò)在遭受DDoS攻擊時(shí)網(wǎng)絡(luò)表現(xiàn)出來的特性(如:IP地址集聚等)來進(jìn)行攻擊判斷,如文獻(xiàn)[7-10]。
對(duì)于具體的研究方法,文獻(xiàn)[2]利用網(wǎng)絡(luò)發(fā)生DDoS攻擊時(shí),攻擊網(wǎng)絡(luò)的目的地址或者目的端口過于集中的特性,以及發(fā)生DDoS攻擊時(shí)的協(xié)議特征建立基于聚集和協(xié)議分布防御分布式拒絕服務(wù)攻擊(Aggregat-based Protocal Analysis,ATA-ANTI-DDoS)模型,來檢測(cè)DDoS攻擊;文獻(xiàn)[3]利用網(wǎng)絡(luò)特性建立自回歸系統(tǒng)模型,以此模型來估計(jì)參數(shù)分形維數(shù)和自相似系數(shù),同時(shí)利用基于最大似然估計(jì)的改變點(diǎn)檢測(cè)方法來檢測(cè)DDoS攻擊;文獻(xiàn)[4]認(rèn)為網(wǎng)絡(luò)數(shù)據(jù)包具有多位屬性,提出使用利用主成份分析(Principal Component Analysis,PCA)來降低主干網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)采集維數(shù),同時(shí),對(duì)網(wǎng)絡(luò)中的OD流量和物理鏈路流量進(jìn)行建模和特征進(jìn)行分析;文獻(xiàn)[5]在骨干網(wǎng)絡(luò)中,在網(wǎng)絡(luò)應(yīng)用層的DDoS攻擊(Application Distributed Denial of Service,AL-DDoS)中,構(gòu)造了一個(gè)實(shí)時(shí)變頻矢量,并建立實(shí)時(shí)的業(yè)務(wù)模型。通過檢查AL-DDoS攻擊流量的熵值,實(shí)時(shí)業(yè)務(wù)模型可以設(shè)別出真實(shí)的AL-DDoS攻擊;文獻(xiàn)[6]通過檢測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)包地址來建立檢測(cè)矩陣模型,同時(shí)運(yùn)用遺傳算法(Genetic Algorithm,GA)來減少模型中的地址劃分沖突問題,以此提高對(duì)DDoS攻擊的檢測(cè)效率;文獻(xiàn)[7]提出的方法主要是針對(duì)網(wǎng)絡(luò)的物理層中的流量,利用數(shù)據(jù)包的維數(shù)來檢測(cè)DDoS攻擊;文獻(xiàn)[8]提出從歷史網(wǎng)絡(luò)流量中抽取合法用戶的IP地址建立數(shù)據(jù)庫,以檢查流經(jīng)路由器當(dāng)前數(shù)據(jù)包中的源IP地址是否在合法的IP數(shù)據(jù)庫作為DDoS的檢測(cè)手段;文獻(xiàn)[9]使用累積和(Cumulative Sum,CUSUM)方法來統(tǒng)計(jì)路由器中進(jìn)出各端口的流量,并以進(jìn)出口流量比率作為檢測(cè)DDoS攻擊的統(tǒng)計(jì)量;文獻(xiàn)[10]提出一種基于卡爾曼濾波的低速率分布式拒絕服務(wù)攻擊(Low-rate Distribute Denial of Service,LDDoS)攻擊檢測(cè)方法,該方法根據(jù)網(wǎng)絡(luò)流量矩陣估算理論以及網(wǎng)絡(luò)在遭受DDoS攻擊時(shí)流量突然減小的事實(shí),對(duì)流量矩陣進(jìn)行有效的預(yù)測(cè)和估算,然后通過比較預(yù)測(cè)與估算的誤差就可以有效地檢測(cè)LDDoS攻擊。
本文在充分分析了工業(yè)系統(tǒng)中DDoS攻擊的特點(diǎn)和傳統(tǒng)DDoS檢測(cè)方法的基礎(chǔ)上,提出一種擴(kuò)展Kalman濾波和控制系統(tǒng)的模型參數(shù)識(shí)別的算法來檢測(cè)DDoS的攻擊。通過在搭建的SCADA工業(yè)控制仿真系統(tǒng)平臺(tái)中進(jìn)行測(cè)試和實(shí)驗(yàn),驗(yàn)證了本文提出的算法可以有效識(shí)別出針對(duì)特定工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的DDoS攻擊。
2 基于擴(kuò)展Kalman濾波的工業(yè)控制系統(tǒng)DDoS攻擊檢測(cè)
2.1 典型的工業(yè)控制系統(tǒng)結(jié)構(gòu)圖
典型的工業(yè)控制系統(tǒng)結(jié)構(gòu)如圖1所示。
在上述的常用工業(yè)控制系統(tǒng)中,最具有代表性意義的當(dāng)屬在石油石化、電力等能源行業(yè)應(yīng)用最多SCADA系統(tǒng)。常見的SCADA系統(tǒng)的網(wǎng)絡(luò)體系構(gòu)架如圖2所示。
越來越多的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)采用基于TCP/IP的工業(yè)以太網(wǎng)協(xié)議。第一,由于企業(yè)的信息管理網(wǎng)絡(luò)已經(jīng)廣泛采用了基于TCP/IP協(xié)議的以太網(wǎng)交互技術(shù),這使得控制系統(tǒng)更加集成化。第二,控制網(wǎng)絡(luò)采用以太網(wǎng),大大提高了信息傳輸速率。第三,控制網(wǎng)絡(luò)采用以太網(wǎng),大大提高了不同設(shè)備和系統(tǒng)之間的信息交換效率。下面以Modbus/TCP協(xié)議為例,簡要說明工業(yè)控制系統(tǒng)使用的協(xié)議特點(diǎn)。
Modbus協(xié)議廣泛使用在SCADA系統(tǒng)中,它通常負(fù)責(zé)人機(jī)交互界面和控制器等的數(shù)據(jù)通信。現(xiàn)在Modbus已經(jīng)成為工業(yè)控制事實(shí)上的標(biāo)準(zhǔn),很多Modbus系統(tǒng)使用TCP作為通信層協(xié)議。Modbus/TCP使用了TCP/IP協(xié)議棧的五層,分別為:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。在TCP/IP以太網(wǎng)上傳輸,支持Ethernet II和802.3兩種幀格式,其數(shù)據(jù)幀包含報(bào)文頭、功能碼和數(shù)據(jù)3部分,其使用的端口號(hào)是502。
Modbus使用主從通信模式。主設(shè)備負(fù)責(zé)發(fā)起查詢?nèi)蝿?wù),從設(shè)備負(fù)責(zé)進(jìn)行響應(yīng)。但同一時(shí)刻,只有一個(gè)設(shè)備作為主設(shè)備。在異構(gòu)型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中,包含有Modbus/TCP和串口Modbus設(shè)備,常使用網(wǎng)關(guān)或網(wǎng)橋?qū)⑵溥B接到IP網(wǎng)絡(luò)中。
從使用最廣泛的Modbus/TCP協(xié)議的特征,可以看到工業(yè)控制系統(tǒng)所使用的協(xié)議相對(duì)互聯(lián)網(wǎng)HTTP等協(xié)議較簡單,功能碼較少,信息交互機(jī)制簡單,處理高效,沒有加入加密等安全機(jī)制。可見,工控系統(tǒng)的協(xié)議特點(diǎn)決定了工控系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊的承受力很低。
2.2 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)區(qū)別
根據(jù)美國國家標(biāo)準(zhǔn)技術(shù)研究院(National Institute of Standards and Technology, NIST)發(fā)布的《工業(yè)控制系統(tǒng)(ICS)信息安全指南》可以清楚地看到傳統(tǒng)信息系統(tǒng)與工業(yè)控制系統(tǒng)之間的區(qū)別,如表1[11]所示。
通過表1中的對(duì)比可以看到,工業(yè)控制系統(tǒng)因?yàn)樾枰影踩⒖煽俊⑵椒€(wěn)的運(yùn)行環(huán)境,而對(duì)實(shí)時(shí)性和數(shù)據(jù)準(zhǔn)確性要求更高。由此,傳統(tǒng)的信息系統(tǒng)和工業(yè)控制系統(tǒng)對(duì)于DDoS攻擊的承受能力和防范要求是不一樣的。工業(yè)控制系統(tǒng)因其獨(dú)特的特點(diǎn),就使得系統(tǒng)在檢測(cè)DDoS攻擊方面必須更加高效、準(zhǔn)確、實(shí)時(shí)、高速和及時(shí)。同時(shí),發(fā)生DDoS攻擊時(shí),要保證數(shù)據(jù)的有效和準(zhǔn)確,特別是不能破壞控制系統(tǒng)的控制類數(shù)據(jù)。
2.3 擴(kuò)展Kalman濾波算法
卡爾曼濾波是一種高效的遞歸濾波器,它通過對(duì)輸入和輸出貫徹?cái)?shù)據(jù),對(duì)系統(tǒng)狀態(tài)進(jìn)行最優(yōu)估計(jì),同時(shí)通過去除一系列的噪聲來還原真實(shí)數(shù)據(jù)。擴(kuò)展卡爾曼濾波算法是在標(biāo)準(zhǔn)卡爾曼濾波算法的基礎(chǔ)上發(fā)展起來的,它的基本思想是:在濾波值的附近使用泰勒展開式,對(duì)于二階以上的高階項(xiàng)全部省去,從而將原非線性系統(tǒng)近似為線性系統(tǒng),再利用標(biāo)準(zhǔn)的卡爾曼濾波算法對(duì)系統(tǒng)線性化型模型進(jìn)行濾波。
擴(kuò)展Kalman濾波方程組包含了預(yù)測(cè)步驟和更新步驟。對(duì)于離散系統(tǒng),控制過程可以用微分方程描述為:
通常,在網(wǎng)絡(luò)流量采樣中,U(k)為系統(tǒng)的控制量,如果沒有則為0,W(k)和V(k)可以假設(shè)成白噪聲矩陣來近似處理,它們的協(xié)方差矩陣分別是Q和R,卡爾曼濾波器可以結(jié)合k時(shí)刻的預(yù)測(cè)值和測(cè)量值,得到下一時(shí)刻k+1的估計(jì)值。
假設(shè)現(xiàn)在的時(shí)刻為k+1,利用k時(shí)刻的最優(yōu)估算,記為:X(k|k),可以得到k的先驗(yàn)估計(jì),記為:X(k+1|k),則有:
其中,HT是H的轉(zhuǎn)置矩陣,I為單位矩陣,當(dāng)系統(tǒng)是單系統(tǒng)模型時(shí),I=1;此時(shí)通過k時(shí)刻的觀測(cè)值和預(yù)估值即可使系統(tǒng)進(jìn)入k+1的狀態(tài),Φ和H分別是f和h的雅各比矩陣,其雅各比矩陣的具體求導(dǎo)法則如下:
2.4 基于Kalman濾波的模型參數(shù)識(shí)別算法
網(wǎng)絡(luò)發(fā)生DDoS攻擊時(shí),網(wǎng)絡(luò)中的很多性質(zhì)都發(fā)生了變化,如網(wǎng)絡(luò)的流量、時(shí)延以及數(shù)據(jù)包量與IP地址的比值等。要想準(zhǔn)確地判斷工業(yè)控制系統(tǒng)網(wǎng)絡(luò)是否發(fā)生了DDoS攻擊,只知道流量情況是不夠的,如果知道網(wǎng)絡(luò)發(fā)生DDoS攻擊時(shí)的數(shù)據(jù)包和IP地址等的關(guān)系,就能大大提高DDoS檢測(cè)的準(zhǔn)確性。
在網(wǎng)絡(luò)中,采樣時(shí)刻k與流量的關(guān)系描述函數(shù)f和h,以及系統(tǒng)在發(fā)生DDoS攻擊時(shí),IP與流量的擬合關(guān)系函數(shù)g等都是未知的,它們都表征著網(wǎng)絡(luò)的性能特點(diǎn)。并且,這些表征網(wǎng)絡(luò)性質(zhì)的函數(shù)都與具體的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)有關(guān)(如網(wǎng)絡(luò)帶寬、端口數(shù)量、路由能力等)。但不論這些函數(shù)是線性的還是非線性的,均可以用泰勒級(jí)數(shù)來展開,并可以對(duì)函數(shù)做近似處理:
將包含參數(shù)的函數(shù)f(x)和h(x)代入擴(kuò)展卡爾曼濾波算法中,同時(shí)利用網(wǎng)絡(luò)的歷史數(shù)據(jù),通過使用參數(shù)辨識(shí)的方法,得到流量的具體模型參數(shù)ai、bi和ci(i=0,1,2)。
3 實(shí)驗(yàn)平臺(tái)說明
3.1 實(shí)驗(yàn)平臺(tái)概況
本實(shí)驗(yàn)的驗(yàn)證平臺(tái)是電子一所研究工業(yè)控制系統(tǒng)信息安全所搭建的一套模擬天然氣管道輸送的SCADA系統(tǒng)。除了仿真測(cè)試系統(tǒng)的天然氣用壓縮空氣來代替之外,系統(tǒng)平臺(tái)的輸送控制流程和工藝均來自中國某油田的實(shí)際生產(chǎn)運(yùn)行系統(tǒng),并且系統(tǒng)的控制器、工作站、數(shù)據(jù)庫等均與實(shí)際運(yùn)行的一樣。圖3所示是簡化的仿真測(cè)試系統(tǒng)平臺(tái)的結(jié)構(gòu)圖。
該SCADA系統(tǒng)具有3個(gè)操作站(本地場(chǎng)、工程師站、遠(yuǎn)程中心)、若干個(gè)RTU(遠(yuǎn)程設(shè)備終端,協(xié)議是Modbus/TCP)、公司上層網(wǎng)以及一個(gè)中心服務(wù)器。其中,通過RTU將現(xiàn)場(chǎng)的實(shí)時(shí)數(shù)據(jù)傳遞到服務(wù)器中,各個(gè)操作站和管理網(wǎng)通過網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)數(shù)據(jù)通信和共享;另外,各個(gè)操作站將依據(jù)各自的控制權(quán)限將控制命令通過服務(wù)器發(fā)送到RTU,實(shí)現(xiàn)對(duì)執(zhí)行機(jī)構(gòu)的實(shí)時(shí)控制。
3.2 攻擊測(cè)試說明
本次攻擊測(cè)試針對(duì)的是SCADA系統(tǒng)在管道輸送過程中的降壓流程。具體的DDoS攻擊手段是通過使用1臺(tái)高性能計(jì)算機(jī)控制10片刀片式服務(wù)器發(fā)生針對(duì)服務(wù)器服務(wù)端口進(jìn)行的。攻擊測(cè)試是在500 s的時(shí)間內(nèi)隨機(jī)進(jìn)行多次攻擊,持續(xù)時(shí)間5 s~10 s不等,同時(shí)反復(fù)進(jìn)行多次測(cè)試。
4 實(shí)驗(yàn)
4.1 實(shí)驗(yàn)前數(shù)據(jù)預(yù)處理
實(shí)驗(yàn)前,針對(duì)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)采集。針對(duì)該工業(yè)控制系統(tǒng)所使用的端口號(hào)進(jìn)行數(shù)據(jù)統(tǒng)計(jì),采集時(shí)間隨機(jī)從30 min~24 h等分45組進(jìn)行,得到具體45組數(shù)據(jù),如圖4。
對(duì)圖4得到的柱狀圖中的數(shù)據(jù)進(jìn)一步處理,得到如圖5所示數(shù)據(jù)包采樣的均值和平滑處理值。
對(duì)系統(tǒng)的仿真測(cè)試平臺(tái)的數(shù)據(jù)包采集值與所采集的報(bào)文的IP地址進(jìn)行處理,得到報(bào)文數(shù)據(jù)值與IP地址的比值關(guān)系,如圖6所示。
從圖4、圖5和圖6中,可以看出工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的流量數(shù)據(jù)基本是平穩(wěn)的,這與傳統(tǒng)的IT互聯(lián)網(wǎng)的網(wǎng)絡(luò)流量忽高忽低不同;同時(shí),在正常的網(wǎng)絡(luò)運(yùn)行中,每個(gè)IP地址所對(duì)應(yīng)的報(bào)文數(shù)基本也是恒定的。這些不同于傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)特性,為本文提出的算法提供了很好的適用性和檢測(cè)的準(zhǔn)確性。
4.2 算法實(shí)驗(yàn)
在仿真測(cè)試平臺(tái)中對(duì)所提出的DDoS的檢測(cè)算法進(jìn)行實(shí)際的編程測(cè)試,得到圖7所示的實(shí)際攻擊檢測(cè)圖。
在建立的仿真測(cè)試平臺(tái)中進(jìn)行算法的測(cè)試,可以看出在系統(tǒng)平臺(tái)發(fā)生DDoS攻擊時(shí),系統(tǒng)的瞬時(shí)流量急劇增加,同時(shí)數(shù)據(jù)包量與IP地址的比值也發(fā)生了顯著的變化。實(shí)驗(yàn)結(jié)果表明,在特定的控制系統(tǒng)網(wǎng)絡(luò)中,本文提出的算法可以有效檢測(cè)出DDoS的攻擊。
5 結(jié)語
隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多采用通用協(xié)議、通用硬件和通用軟件,并以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,以DDoS為代表的傳統(tǒng)網(wǎng)絡(luò)攻擊方式也正在向工業(yè)控制系統(tǒng)擴(kuò)散。由于工業(yè)控制系統(tǒng)高實(shí)時(shí)性、弱防護(hù)、計(jì)算能力有限等特點(diǎn),傳統(tǒng)信息系統(tǒng)中的入侵檢測(cè)方法不適合直接用于工業(yè)控制系統(tǒng)。本文根據(jù)工業(yè)控制網(wǎng)絡(luò)干擾小、數(shù)據(jù)變化不大等特點(diǎn),設(shè)計(jì)出適用于工業(yè)系統(tǒng)的入侵檢測(cè)方法。實(shí)驗(yàn)證明,提出的基于擴(kuò)展Kalman濾波和控制系統(tǒng)的模型參數(shù)識(shí)別算法可以較好地完成工業(yè)控制系統(tǒng)DDoS的攻擊檢測(cè)。
參考文獻(xiàn)
[1] 周雪.2013工業(yè)控制系統(tǒng)迎來“大考”[J].信息安全與通信保密,2013(9):10-21.
[2] 孫知信,姜舉良,焦琳.DDoS攻擊檢測(cè)和防御模型[J].軟件學(xué)報(bào),2007,18(9):2245-2261.
[3] XIA Z,LU S,LI J.DDoS flood attack detection based on fractal parameters[C].Processing of the 8th International Conference on Wireless Communications Networking and Mobile.Shanghai:IEEE,2012:1-5.
[4] LAKHINA A,CROVELLA M,DIOT C.Structural analysis of network traffic flow[C].Processing of the SIGMETRICS/Performance.New York:ACM,2004:61-72.
[5] ZHOU W,WEI J,SHENG W,et al.Detection and defense of application-layer DDoS attacks in backbone web traffic[J].Future Generation Computer Systems,2014(38):36-46.
[6] LEE S,KIM D,LEE J,et al.Detection of DDoS attacks using optimized traffic matrix[J].Computers and Mathematics with Applications,2012(63):501-510.
[7] LAKHINA A,CROVELLA M,DIOT C.Diagnosing network-wide traffic anomalies[C].Processing of the SIGMETRICS’04.Portland:ACM,2004:219-230.
[8] PENG T,LECKIE C,RRAMAOHANARAO K.Protection from distributed denial of service attacks using history-based IP filtering[C].Anchorage:IEEE Computer Science,2003:482-486.
[9] PU S.Choosing parameters for detecting DDoS attack[C].Chengdu:IEEE Computer Society,2012:239-242.
[10] 吳志軍,岳猛.基于卡爾曼濾波的LDDoS攻擊監(jiān)測(cè)方法[J].電子學(xué)報(bào),2011(22):1590-1594.
[11] 美國國家標(biāo)準(zhǔn)和技術(shù)研究院.NIST-SP800-82,《工業(yè)控制系統(tǒng)(ICS)安全指南》[S].北京:國家標(biāo)準(zhǔn)出版社,2012:15-27.