一种海事交通网络威胁识别方法及装置制造方法及图纸

本发明专利技术提供了一种海事交通网络威胁识别方法及装置，所述方法包括步骤：采集海上交通网络数据，并解析成可读文件格式；对数据特征进行预处理；对网络数据包的静态特征属性进行转换，将网络静态特征向量化；将数据集转换成时序神经网络输入的格式，并将数据集划分为训练集和测试集；构建基于事件分割的GatedFormer模型；使用训练集和测试集对模型进行训练和测试。本发明专利技术通过将海事交通网络威胁识别和人工智能方法进行深度结合，减少人工分析的程度，提高海事交通网络威胁识别的准确率。率。率。

【技术实现步骤摘要】
一种海事交通网络威胁识别方法及装置


[0001]本专利技术涉及海上网络安全态势感知
，具体地，涉及一种海事交通网络威胁识别方法及装置。

技术介绍

[0002]随着智能物联网技术的发展，海上运输系统逐渐走向数字化时代。现代船舶将导航和通信系统，以及其他用于监控和控制船舶运行的系统连接在一起，大大提高的船舶系统的集成度的通信效率。然而，随着这些物联网设备在船上大规模部署，船舶网络可能遭受更多的网络攻击风险。
[0003]海上交通网络不同于传统的地面网络，一方面，船舶严重依赖于网络信号进行船岸之间的协同通信，而在复杂的海洋环境中，海上通信系统的传输距离更长，信号需要通过卫星、天线等设备进行传输，这些设备可能会限制船舶接收信号的效率。另一方面，海面上存在许多信号干扰源如雷电、电磁干扰等，影响信号的传输质量，导致信号中断或误码率增加，船舶一旦受到攻击，必然造成经济损失，甚至威胁到船员安全。此外，现有船舶计算机系统技术陈旧，计算机杀毒软件病毒数据库更新滞后，无法及时响应黑客针对船舶通信网络发起的各种高级攻击威胁。因此，提出一种针对于海事交通网络的威胁识别方法显得至关重要。
[0004]目前，在传统的威胁识别方法中往往采用人工提取和分析威胁特征，或者是采用机器学习的方法进行网络威胁识别。但是在海事物联网等大规模和复杂的环境中，这些方法可能仍然存在准确率低、误检率高和模型泛化性不强等问题，无法满足快速、准确和智能化的网络威胁分析需求。近年来新技术如深度学习的发展为实现这一目标提供了有力支持。深度学习在处理大规模非结构化数据以及对系统整体威胁态势的行为建模方面展现出巨大的潜力。通过深度学习的威胁识别模型的设计，可以深层次地挖掘海事网络威胁数据中的隐藏特征，提取相关威胁指标。将深度学习模型与海上运输系统中大量的网络安全数据结合起来，可以实现对海上网络威胁的感知和防御，这对于保障海事物联网和海上运输系统的安全具有重要意义。

技术实现思路

[0005]针对现有技术中的缺陷，本专利技术的目的在于提供一种海事交通网络威胁识别方法及装置，通过将海事交通网络威胁识别和人工智能方法进行深度结合，减少人工分析的程度，提高海事交通网络威胁识别的准确率。
[0006]为解决上述问题，本专利技术的技术方案为：
[0007]一种海事交通网络威胁识别方法，包括以下步骤：
[0008]采集海上交通网络数据，并解析成可读文件格式；
[0009]对数据特征进行预处理；
[0010]对网络数据包的静态特征属性进行转换，将网络静态特征向量化；
[0011]将数据集转换成时序神经网络输入的格式，并将数据集划分为训练集和测试集；
[0012]构建基于事件分割的GatedFormer模型；
[0013]使用训练集和测试集对模型进行训练和测试。
[0014]优选地，所述采集海上交通网络数据，并解析成可读文件格式的步骤具体包括：在船舶网关上部署Shell脚本，利用tcpdump命令进行抓包，得到原始的PCAP格式的网络数据包，利用CICFlowMeter工具对PCAP格式数据包进行解析，转化为CSV格式数据。
[0015]优选地，所述对数据特征进行预处理的步骤具体包括：对数据特征进行相关性分析，删除相关性大于0.7的冗余特征。
[0016]优选地，所述对网络数据包的静态特征属性进行转换，将网络静态特征向量化的步骤具体包括：针对IPv4地址使用32位二进制数或者点分十进制数表示，IPv6地址使用128位二进制数或者冒号分隔的十六进制数表示，Port使用16位无符号整数表示，将其转换成二进制数或者十进制数，将IP地址和port转换成数字表示之后，将它们作为向量的一部分，串联起来，用于训练和预测深度学习模型。
[0017]优选地，所述将数据集转换成时序神经网络输入的格式，并将数据集划分为训练集和测试集的步骤具体包括：将数据集转换成时序神经网络输入的格式，包括窗口划分和标准化，首先将原始数据集按照时间顺序进行排序，并将其划分为多个窗口，窗口的大小为60s，每个时间窗口内的数据视为一个网络事件，将每个时间窗口内的数据包按照顺序排列，形成具有60个时间步长的时序序列，然后对数据进行预处理操作，包括数据归一化、填充、平滑处理，减少数据中的噪声。
[0018]优选地，所述构建基于事件分割的GatedFormer模型的步骤具体包括：
[0019]所述基于事件分割的GatedFormer模型的主干网络包括Spatial
‑
wise transformer和Temporal
‑
wise transformer；
[0020]Temporal
‑
wise transformer部分将每一个网络事件划分为K个网络子事件，利用门循环单元来提取的每个网络子事件的细粒度时间特征：
[0021][0022][0023][0024][0025]其中，和表示对应的权重矩阵和偏置参数，i表示第i个网络事件，i∈[1，K]，表示第i个网络事件t时刻的输入，表示第i个网络事件t
‑
1时刻的子事件状态，是基于当前时间步的输入和重置门R
t
计算出的候选隐状态，R
t
为重置门，控制前一个时间步的隐藏状态中哪些信息将被重置，Z
t
为更新门，决定哪些信息和添加哪些事件信息；
[0026]采用基于事件的注意力机制提取事件之间的顺序关系，以提取的最新网络事件的时间状态作为query，历史时间窗口内网络事件的状态作为key，得到历史网络事件的影响因子，对其进行累计加权求和得到最终的网络事件状态V
′
K
：
[0027][0028][0029]其中，W
K
，W
v
和W
β
表示相应的权重矩阵，E
K
表示第K个网络子事件时间特征，β
i
表示第i个子事件和第K个子事件的注意力分数；
[0030]将最终的网络事件状态V
′
K
结合位置编码，输入到Temporal
‑
wise transformer中；
[0031]通过Spatial
‑
wise transformer提取威胁事件的维度特征；
[0032]采用门控机制自动学习每个编码器的权重，得到最终的预测向量。
[0033]优选地，所述Spatial
‑
wise transformer和Temporal
‑
wise transformer均包含三个模块，分别为多头自注意力MHA模块、Add&Norm模块和前馈神经网络FFN模块，MHA和FFN之间进行层归一化BN，使得特征向量在神经网络中的传递更加稳定。
[0034]优选地，所述Spatial
‑
wise T本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种海事交通网络威胁识别方法，其特征在于，所述方法包括以下步骤：采集海上交通网络数据，并解析成可读文件格式；对数据特征进行预处理；对网络数据包的静态特征属性进行转换，将网络静态特征向量化；将数据集转换成时序神经网络输入的格式，并将数据集划分为训练集和测试集；构建基于事件分割的GatedFormer模型；使用训练集和测试集对模型进行训练和测试。2.根据权利要求1所述的海事交通网络威胁识别方法，其特征在于，所述采集海上交通网络数据，并解析成可读文件格式的步骤具体包括：在船舶网关上部署Shell脚本，利用tcpdump命令进行抓包，得到原始的PCAP格式的网络数据包，利用CICFlowMeter工具对PCAP格式数据包进行解析，转化为CSV格式数据。3.根据权利要求1所述的海事交通网络威胁识别方法，其特征在于，所述对数据特征进行预处理的步骤具体包括：对数据特征进行相关性分析，删除相关性大于0.7的冗余特征。4.根据权利要求1所述的海事交通网络威胁识别方法，其特征在于，所述对网络数据包的静态特征属性进行转换，将网络静态特征向量化的步骤具体包括：针对IPv4地址使用32位二进制数或者点分十进制数表示，IPv6地址使用128位二进制数或者冒号分隔的十六进制数表示，Port使用16位无符号整数表示，将其转换成二进制数或者十进制数，将IP地址和port转换成数字表示之后，将它们作为向量的一部分，串联起来，用于训练和预测深度学习模型。5.根据权利要求1所述的海事交通网络威胁识别方法，其特征在于，所述将数据集转换成时序神经网络输入的格式，并将数据集划分为训练集和测试集的步骤具体包括：将数据集转换成时序神经网络输入的格式，包括窗口划分和标准化，首先将原始数据集按照时间顺序进行排序，并将其划分为多个窗口，窗口的大小为60s，每个时间窗口内的数据视为一个网络事件，将每个时间窗口内的数据包按照顺序排列，形成具有60个时间步长的时序序列，然后对数据进行预处理操作，包括数据归一化、填充、平滑处理，减少数据中的噪声。6.根据权利要求1所述的海事交通网络威胁识别方法，其特征在于，所述构建基于事件分割的GatedFormer模型的步骤具体包括：所述基于事件分割的GatedFormer模型的主干网络包括Spatial
‑
wise transformer和Temporal
‑
wise transformer；Temporal
‑
wise transformer部分将每一个网络事件划分为K个网络子事件，利用门循环单元来提取的每个网络子事件的细粒度时间特征：环单元来提取的每个网络子事件的细粒度时间特征：环单元来提取的每个网络子事件的细粒度时间特征：环单元来提取的每个网络子事件的细粒度时间特征：其中，和表示对应的权重矩阵和偏置参数，i表示第i个网络事件，i∈[1，K]，表示第i个网络事件t时刻的输入，表示第i个网络事件t
‑
1时刻的子事件状态，是基于当
前时间步的输入和重置门R
t
计算出的候选隐状态，R
t
为重置门，控制前一个时间步的隐藏状态中哪些信息将被重置，Z
t
为更新门，决定哪些信息和添加哪些事件信息；采用基于事件的注意力机制提取事件之间的顺序关系，以提取的最新网络事件的时间状态作为query，历史时间窗口内网络事件的状态作为key，得到历史网络事件的影响因子，对其进行累计加权求和得到最终的网络事件状态...

【专利技术属性】
技术研发人员：史强强，刘晋，
申请(专利权)人：上海海事大学，
类型：发明
国别省市：