工业互联网中远程通信数据防篡改检测方法

潘 伟，李新建，陈 飞

（湖北中烟工业有限责任公司，湖北武汉 430030）

远程通信数据传输量逐渐增加，对远程通信数据传输的完整性、安全性和稳定性提出了更高的要求。一些不法分子篡改远程通信数据，不仅打乱了工业互联网的数据传输秩序，还导致了用户的大量信息泄露，甚至发生误导用户进入危险网站的现象，给用户带来了直接经济损失，同时给网络维护带来了巨大困难。远程数据传输技术不断发展，不法分子的数据篡改技术日益精进，由传统的协议栈篡改法发展成了现在的信道直接篡改法，尤其在数据传输过程中，被篡改数据混在多种数据中，给工业互联网中远程通信数据防篡改检测工作带来了巨大的挑战[1-2]。

针对工业互联网中远程通信数据防篡改检测，国内的相关专家进行了深入的研究。文献[3]提出的基于模糊神经网络的远程通信数据防篡改检测通过构建神经网络系统，利用卷积层分析信道数据，并采用模糊层次法构建层次指标，通过计算信道权重，判断是否发生数据篡改行为，该方法的检测效率较高，但指标的选取缺乏合理性，导致检测结果的准确率较低。文献[4]提出一种基于分层聚合的分布式异常数据检测方案，通过建立无线传感器网络模型，以顶点理论为基础，在信道内部署无线传感器进行数据采集，通过分析各个无线传感器采集的数据，综合判断数据的传输状态，整体检测准确率较高，但计算量较大，导致其检测结果缺乏实时性。为解决以上问题，提出了一种新型的工业互联网中远程通信数据防篡改检测方法，并设计实验进行验证。

1 基于特征提取的远程通信数据防篡改检测

针对工业互联网远程通信数据的低通数据传输信道，进行远程通信数据防篡改检测优化设计，在特征提取技术的基础上提出了基于特征提取的远程通信数据防篡改检测方法。

1.1 工业互联网中远程通信数据的特征提取

获取工业互联网中远程通信信道的输出功率，参考功率特征向量的提取原则，提取远程通信信道的输出功率特征向量。针对小部分稀疏数据，采取数据整合法进行特征提取，以保证数据覆盖率[5-6]。数据输出综合特征向量的表示方法如下：

式中，t表示特征向量的提取时间；a表示提取范围，具体到某一模块；b表示远程通信信道输出功率的相对增益。

参考上述表达式，以相对相位偏移特征向量ψ(t)为因变量，找到当前工业互联网中远程通信数据序列的所有未被篡改数据集，根据未篡改数据的分布位置进行检测节点设计，得到的远程通信数据防篡改检测节点的最优部署位置为：

式中，x和y表示节点在二维节点部署图中的横坐标和纵坐标[7-8]。根据以上得到的最优部署位置，在设计的远程通信数据防篡改检测的网格分布式特征提取模型的基础上，部署远程通信数据防篡改检测节点。节点的活跃度计算方式如下：

式中，u(t)表示在t时间下节点的活跃度；T表示活跃度计算周期；Drect表示节点属性值；K是整数。在数据防篡改检测过程中，由于受网络环境的影响，不可避免地存在一定噪声干扰，假设在检测过程中受到的噪声干扰为h(t)，则输出的远程通信数据防篡改特征向量为：

式中，t0表示特征向量的提取时延[9-10]。为了更好地描述远程通信数据状态，结合信道均衡调度法获取目标特征提取点的冲击响应特征向量，该特征向量的描述为：

式中，E表示信道的相对能耗；C表示冲击响应系数。结合上述特征向量提取结果，考虑检测过程中存在的强电磁干扰，采用扩频处理法对上述特征向量进行扩频处理，得到的强电磁干扰下数据传输信道冲击响应值为：

式中，X为受电磁干扰数据的特征分布矩阵；β为信道的抗电磁干扰系数。由于检测过程中可能存在重复检测数据和冗余数据，因此需要对输出的特征向量进行进一步优化，优化公式如下所示：

式中，C表示远程通信数据的互信息熵。

1.2 工业互联网中远程通信数据的特征匹配

针对上述提取的特征向量，基于LPP（Locality Preserving Projections）算法进行特征匹配，LPP 算法是一种非线性空间向量分析方法，全名为局部保持投影映射法。基于LPP 算法的特征匹配过程如下：

1）构建平面节点邻接图。假设共有N个节点参与特征向量提取，设任意两个相邻节点分别为z1、z2，两节点间的相对距离为l，在两个节点之间建立一条边，则该边的权重计算值为：

式中，x1和x2分别表示z1和z2在平面节点邻接图中的横坐标[11-12]，l表示平面节点权重，若该边与两个节点间的连接线重合，则权重值为0。

2）特征映射：特征向量与特征值之间的映射关系如下：

式中，α表示特征向量；λ表示映射参数；D表示映射矩阵。D的输入值为边的权重值，矩阵中每一列之和PF的表达式为：

式中，eij表示节点[13-14]。进行特征映射的目的在于对提取的特征向量进行降维处理可以有效降低篡改数据特征点的数量和特征向量维数，从而缩短数据防篡改检测的时间。

3）特征向量匹配：特征向量匹配的基本策略是比较目标特征点与其相近特征向量描述点间的欧式距离比值，然后进行匹配。设定某一欧式距离阈值为H，则特征向量匹配关系式为：

式中，d1、d2均表示目标特征点与相近特征向量描述点间的欧式距离[15]。

若满足式（12），则表示特征向量匹配成功，反之则表示匹配失败。匹配目标提取点的每一个特征，就可以实现某一时间段内的数据防篡改检测。该匹配方式的优点在于处理过程简单、容易操作，且针对多处篡改数据的检测效果较好。

2 远程通信数据防篡改检测

在上述特征提取和特征匹配的基础上，根据信息匹配结果，在工业互联网环境下进行远程通信数据防篡改检测。参考工业互联网下远程通信数据各支路的数据传输信号G(O)，其中，O表示所检测的数据传输信道。当信道的衰落状态满足数据传输需求时，结合节点监测值和目标数据的信息熵确定代价函数，得到的远程通信数据防篡改的代价函数为：

式中，Δθ表示远程通信数据中被篡改数据的分布特征向量。根据以上函数进行计算，当计算结果F(t)为0时，表示在检测时间段内被检测信道内的数据未被篡改；当计算结果为1 时，表示在检测时间段内被检测信道内的数据完整性受到破坏，出现被篡改现象，将响应预警机制，向中央处理系统发送被篡改指令，并结合特征向量比对，锁定被篡改数据的传输途径和位置，及时中断信息传输，完成整体的检测过程[16]。

参考工业互联网中各个检测节点被篡改数据平均测量值，得到远程通信数据传输信道的防篡改系数贝叶斯估计值s(t)为：

贝叶斯估计值越高，表明该信道的数据防篡改能力越强，由此完成工业互联网中远程通信数据防篡改检测方法研究。

3 实验研究

为了验证提出的工业互联网中远程通信数据防篡改检测方法的有效性，选用所提方法和文献[3]基于模糊神经网络的远程通信数据防篡改检测方法、文献[4]基于分层聚合的分布式异常数据检测方案进行实验对比。

设定实验参数如下：操作系统为Windows 10、处理器为四核处理器、处理容量为15 TB。为确保实验结果的准确性，对内部的实验参数进行统计，分别计算不同方法的篡改行为检测准确率、防篡改成功率以及防篡改时间。每隔50 个节点做一次统计，比较不同方法检测篡改行为次数，如表1 所示。

表1 篡改行为检测结果

根据表1 可知，随着篡改行为次数的增加，不同方法检测到的篡改次数准确率在不断下降，但是所提出的检测方法与文献[3]方法和文献[4]方法相比，检测能力更好，检测准确率更高。对10 次实验检测结果进行统计可知，当篡改行为次数低于100 次时，所提出的检测方法检测结果准确率高达100%，在篡改行为次数低于500 次时，所提出的方法篡改行为结果检测准确率始终在99.85%以上。

在检测到篡改行为后，使用不同的检测方法可进行防篡改操作。防篡改成功率计算公式如下：

式中，M为防篡改成功次数，F为检测到的试图防篡改次数。得到的防篡改成功率实验结果如表2所示。

表2 防篡改成功率实验结果

根据表2 可知，所提出的检测方法的防篡改成功率始终在99%以上，高于文献[3]方法和文献[4]方法。所提出的检测方法对于工业互联网内部数据进行了充分分析，可以很好地确定远程通信数据，因此能够更好地实现防篡改检测。检测时间实验结果如图1 所示。

由图1 可知，所提出的检测方法检测时间更短，因为所提方法在进行特征匹配过程中，能够保证特征向量的完整性，剔除多余特征点，保留最具辨识性的特征进行匹配，因此可以有效缩短检测时间，确保检测效率。

图1 检测时间实验结果

4 结束语

针对传统远程通信数据防篡改检测方法出现的检测准确度低、效率低、实时性差等问题，提出了工业互联网下的远程通信数据防篡改检测方法。该方法通过提取特征向量、特征匹配等方式对信道内的传输数据进行深入挖掘。实验结果表明，所提出的检测方法检测性能较好，能够有效地抑制和防范远程通信数据篡改现象的发生，为数据防篡改检测工作提供的便利，有益于促进工业互联网的进一步发展。但所提出的检测方法还不适用于多个数据传输信道的同时检测，检测性能还需进一步增强。