基于信道特征的模仿攻击检测方法、装置、设备和介质制造方法及图纸

本发明专利技术公开一种基于信道特征的模仿攻击检测方法、装置、设备和介质，方法包括：采集无线设备运行一段时间内的信道特征真实值并构建检测向量序列，将检测向量序列输入预训练后的深度学习模型，得到对应时刻的信道特征预测值，根据信道特征真实值与信道特征预测值的偏差构建信道特征偏差序列；对信道特征偏差序列进行处理得到平滑后的偏差序列；根据平滑后的偏差序列计算动态阈值，根据动态阈值检测受到模仿攻击的时刻。本发明专利技术预测值中包括信道特征时间序列的时间相关性，减小了设备因移动引起的噪声干扰；根据动态阈值无监督地检测受到攻击的时刻，对无线网络系统中的模仿攻击进行高效地检测，提高了检测的准确率和鲁棒性，增加无线网络的安全性。无线网络的安全性。无线网络的安全性。

【技术实现步骤摘要】
基于信道特征的模仿攻击检测方法、装置、设备和介质


[0001]本专利技术涉及物理层攻击检测
，尤其涉及一种基于信道特征的模仿攻击检测方法、装置、设备和介质。

技术介绍

[0002]电子设备的广泛使用极大程度上便利了人们的日常生活，然而各种网络攻击的存在威胁着使用者的安全。其中最严重的威胁之一是由出于恶意目的滥用其特权的内部用户造成的。
[0003]内部威胁的一大类来自于模仿攻击，模仿攻击指攻击设备通过模仿合法设备的数据链路层地址或其他合法身份验证信息，从而伪装成合法设备接入无线网络，从而窃取信息或者发布错误指令这样的攻击行为。
[0004]对于模仿攻击的检测问题，已有长期的研究。早期的方法主要是在网络层以上乃至应用层检测攻击行为。这类方法主要基于对使用者执行的命令序列和系统调用序列的分析，研究者利用调用站点、调用堆栈、系统调用参数信息、捕获序列关系等方面检测攻击者，使用的具体算法如基于信息论、基于文本挖掘、基于朴素贝叶斯。此类方法的一个关键问题在于，他们对算力的要求较高，大量的终端设备由于计算资源有限，难以在实际工作中应用。
[0005]无线网络安全领域近年来的发展是利用发送设备和接收设备之间独有的信道特性来进行身份验证。接收信号强度作为一个典型的信道特征，与设备位置密切相关，当发送设备处于不同位置时，接收信号强度也会变化，它的值很难被攻击者模拟。大量的研究已经展开，通过分析接收信号强度的变化情况来检测模仿攻击。2008年，Anish等人在“Spatial Signatures for Lightweight Security in Wireless Sensor Networks”使用基于接收信号强度的空间特征去检测和定位攻击，然而在遭受噪声干扰或者设备彼此距离接近时他们方法的鲁棒性和检测率都不能让人满意。2010年，Chen等人在“Detecting and localizing identity
‑
based attacks in wireless and sensor networks”提出了许多基于接收信号强度的攻击检测的理论研究成果，通过使用统计显著性检验，他们提出了一个通用的攻击检测模型，同时得到了信号空间中接收信号强度距离和物理空间中节点距离两者间的数学关系。
[0006]随着机器学习技术的快速发展，在攻击检测时结合机器学习方法成为新的趋势。机器学习方法包括有监督方法和无监督方法，有监督方法要求大量可靠的预标注数据作为训练集，但在实际工作中这很难得到。同时，在训练集中很难包含所有的攻击类型，这会导致有监督模型在遇到未知攻击时表现不佳。由于有监督方法的限制，无监督方法被更多地采用。2010年Chen等人在“Detecting and localizing identity
‑
based attacks in wireless and sensor networks”利用无线节点得到的接收信号强度的空间相关性提出了一个通用的攻击检测模型，模型使用K
‑
means算法推导出测试统计量，处理使用不同传输功率级别攻击的攻击者的情况时具有鲁棒性。他们还提出了基于信号空间中接收信号强度距
离确定两个设备是否位于同一位置的准确率，检测率，假阳率的解析表达式。2017年，Nguyen等人在“WiLAD：wireless localisation through anomaly detection”中将无监督方法一类支持向量机应用于攻击检测，他们假定合法设备在一个较为固定的位置范围内是安全的，使用一类支持向量机去学习在这个安全范围内得到的接收信号强度。如果检测到设备的接收信号强度不在安全区域内，则认为发生了攻击。相比于非安全区域，安全区域的面积通常是很小的，方法只需要收集安全区域的数据，且无需标注，这极大减小了收集训练数据的成本。
[0007]当攻击设备代替合法设备发送信号时，由于位置和信道环境的突变会导致接收信号强度的突变，通过检测这种变化可以检测到攻击设备出现。对于传统的有监督方法，需要大量有标注的数据集，实际很难得到，且不能有效应对训练数据中未出现的攻击形式；在无监督领域，目前主要以聚类算法为基础，这种算法通常只能学习到特定范围的值是正常的，这适用于发射机位置固定的情况，当发射机处于移动状态时，表现会显著下降。

技术实现思路

[0008]专利技术目的：针对现有技术中的缺陷，本专利技术提供了一种基于信道特征的模仿攻击检测方法、装置、设备和介质，解决了现有的模仿攻击检测过程中当合法设备处于移动状态或者多个位置时，信道特征波动影响检测结果准确率和鲁棒性问题。
[0009]技术方案：为实现上述技术目的，本专利技术采用以下技术方案：一种基于信道特征的模仿攻击检测方法，包括以下步骤：
[0010]采集无线设备运行一段时间内的信道特征真实值并构建检测向量序列，将所述检测向量序列输入预训练后的深度学习模型，得到对应时刻的信道特征预测值，根据所述信道特征真实值与信道特征预测值的偏差构建信道特征偏差序列；
[0011]对所述信道特征偏差序列进行处理得到平滑后的偏差序列；
[0012]根据平滑后的偏差序列计算动态阈值，根据所述动态阈值检测受到模仿攻击的时刻。
[0013]进一步地，所述预训练后的深度学习模型的训练过程包括：
[0014]采集无线设备正常运行时的信道特征真实值历史数据，所述信道特征真实值历史数据包括无线设备处于不同运动状态、不同位置下的信道特征真实值历史数据；
[0015]针对每个时刻的信道特征真实值历史数据，提取该时刻前一个时间窗口的信道特征真实值历史数据，构建训练向量序列；
[0016]将所述训练向量序列作为深度学习模型的输入，深度学习模型输出该时刻的信道特征预测值，信道特征真实值历史数据中的该时刻信道特征真实值作为标签，经训练得到所述预训练后的深度学习模型。
[0017]进一步地，对所述信道特征偏差序列进行处理得到平滑后的偏差序列，包括：
[0018]对所述信道特征偏差序列进行距离惩罚处理，得到信道特征波动序列；
[0019]对所述信道特征波动序列进行平滑处理，得到平滑后的偏差序列。
[0020]进一步地，所述对所述信道特征偏差序列进行距离惩罚处理，得到信道特征波动序列，包括：
[0021]对所述信道特征偏差序列中每个时刻的偏差，从所述信道特征偏差序列中提取该
时刻前一个距离惩罚窗口的偏差，构建距离惩罚窗口集；
[0022]对所述距离惩罚窗口集中的每个偏差计算关于该时刻的偏差对应的平均波动程度；
[0023]所述信道特征偏差序列中所有时刻的平均波动程度构成信道特征波动序列。
[0024]进一步地，所述信道特征偏差序列中每个时刻的平均波动程度计算公式为：
[0025][0026]其中，d
t
为e
t
的平均波动程度，e
t
为信道特征偏差序列中t时刻的偏本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于信道特征的模仿攻击检测方法，其特征在于，包括以下步骤：采集无线设备运行一段时间内的信道特征真实值并构建检测向量序列，将所述检测向量序列输入预训练后的深度学习模型，得到对应时刻的信道特征预测值，根据所述信道特征真实值与信道特征预测值的偏差构建信道特征偏差序列；对所述信道特征偏差序列进行处理得到平滑后的偏差序列；根据平滑后的偏差序列计算动态阈值，根据所述动态阈值检测受到模仿攻击的时刻。2.根据权利要求1所述的一种基于信道特征的模仿攻击检测方法，其特征在于：所述预训练后的深度学习模型的训练过程包括：采集无线设备正常运行时的信道特征真实值历史数据，所述信道特征真实值历史数据包括无线设备处于不同运动状态、不同位置下的信道特征真实值历史数据；针对每个时刻的信道特征真实值历史数据，提取该时刻前一个时间窗口的信道特征真实值历史数据，构建训练向量序列；将所述训练向量序列作为深度学习模型的输入，深度学习模型输出该时刻的信道特征预测值，信道特征真实值历史数据中的该时刻信道特征真实值作为标签，经训练得到所述预训练后的深度学习模型。3.根据权利要求1所述的一种基于信道特征的模仿攻击检测方法，其特征在于：对所述信道特征偏差序列进行处理得到平滑后的偏差序列，包括：对所述信道特征偏差序列进行距离惩罚处理，得到信道特征波动序列；对所述信道特征波动序列进行平滑处理，得到平滑后的偏差序列。4.根据权利要求3所述的一种基于信道特征的模仿攻击检测方法，其特征在于：所述对所述信道特征偏差序列进行距离惩罚处理，得到信道特征波动序列，包括：对所述信道特征偏差序列中每个时刻的偏差，从所述信道特征偏差序列中提取该时刻前一个距离惩罚窗口的偏差，构建距离惩罚窗口集；对所述距离惩罚窗口集中的每个偏差计算关于该时刻的偏差对应的平均波动程度；所述信道特征偏差序列中所有时刻的平均波动程度构成信道特征波动序列。5.根据权利要求4所述的一种基于信道特征的模仿攻击检测方法，其特征在于：所述信道特征偏差序列中每个时刻的平均波动程度计算公式为：其中，d
t
为e
t
的平均波动程度，e
t
为信道特征偏差序列中t时刻的偏差，w
d
为距离惩罚窗口长度，d
tj
为e
t
相对于e
j
的相对波动程度，e
j
为距离惩罚窗口中j时刻的偏差，t
‑
w
d
≤j≤t
‑
1。6.根据权利要求5所述的一种基于信道特征的模仿攻击检测方法，其特征在于：所述e
t
相对于e
j

【专利技术属性】
技术研发人员：方兰婷，汪群轲，胡爱群，黄杰，
申请(专利权)人：网络通信与安全紫金山实验室，
类型：发明
国别省市：