一种基于终端攻击安全选择网络的方法、系统、设备及介质技术方案

本申请公开一种基于终端攻击安全选择网络的方法、系统、设备及介质，包括，采集终端TCP请求报文，根据请求报文检测终端特征和流量确定终端攻击类型，构建不同攻击方式的安全测试矩阵，计算不同攻击方式的测试通过率，获取数据集；利用数据集训练BP神经网络模型，通过对不同的DoS攻击方式的测试通过率的训练完成的BP神经网络模型输出终端安全度，根据终端安全度确定终端接入网络的安全切换策略；综合考虑数据传输速率和网络资源占用率，结合终端安全性切换策略接入相应满足要求的网络。本申请提高了安全用户的接入速率和切换速率，降低了切换失败率和时延，网络性能明显提升。网络性能明显提升。网络性能明显提升。

【技术实现步骤摘要】
一种基于终端攻击安全选择网络的方法、系统、设备及介质


[0001]本专利技术属于无线通信
，具体为应用于异构无线网络中基于终端攻击的安全网络选择。

技术介绍

[0002]随着人们对终端的使用需求日益增大，终端的数量急剧上升且分布广泛。目前无线网络环境主要是由5G宏蜂窝、微蜂窝、长期演进(Long Term Evolution，LTE)以及无线局域网(Wireless Local Area Network，WLAN)融合而成的异构无线网络，在复杂的网络环境中，终端接入的网络不可能是一成不变的，需要进行网络的选择与切换。
[0003]公开号CN113382412A的专利文献公开了一种超密集异构网络中考虑终端安全的网络选择方法。该方法是在存有恶意终端的超密集异构网络中，针对高并发接入请求带来的资源分配效率降低和拥塞问题，提出了一种考虑终端安全和资源调度的垂直切换算法。首先，在网络侧通过基于有限状态机的攻击检测算法，构建终端安全评估模型，计算得到终端安全度。
[0004]该方法考虑了终端安全性对网络选择的影响，虽然提高了网络资源的分配效率，但由于基于有限状态机的攻击检测算法实时在线评估终端安全性，将会给网络带来较大的负载，尤其是终端数量较多时，网络性能的下降也将更加明显。
[0005]公开号CN115396897A的专利文献公开了一种用于移动通信协议的安全测试用例挖掘模型的训练方法，其安全测试用例挖掘模型为BP神经网络模型，获取移动通信协议中已知的协议攻击方式，已知的协议攻击方式包含被攻击信令的传输流程和传输信息、被攻击信令对应的攻击类型；基于移动通信的特征，根据已知的协议攻击方式中的被攻击信令的传输流程和传输信息获取每个已知的攻击协议方式中被攻击信令对应的协议特征向量，以被攻击信令对应的协议特征向量为样本、被攻击信令的攻击类型为样本标签组成训练集；获得的训练集对BP神经网络模型进行多次迭代训练。
[0006]该方法从已知的协议攻击方式出发，研究安全测试用例挖掘模型，并通过实验验证了所提方法的性能，但可检测的攻击方式有限。
[0007]公开号CN102651856A的专利文献公开了一种提高终端上网安全性的方法、系统和装置。网络侧接收终端上报的网络安全信息，根据各个终端上报的网络安全信息生成网络安全策略，根据所述网络安全策略向终端发送安全指示，终端根据该安全指示对待获取或已获取的网络信息进行安全提示。
[0008]该方法通过制定不同的网络安全策略给终端发出安全指示，过于依赖终端上报的网络安全信息，当网络中存在恶意终端时，成效也将难以保障。
[0009]由于用户的一些不安全操作行为经常使终端面临各种各样的威胁，比如在非官方的应用商店下载一些APP，使自己的手机被安装了恶意软件、感染病毒等，显然这一类终端的安全性要低于正常的用户设备，因此很容易成为黑客攻击网络的载体。此外，在异构无线网络环境中，尤其是在一些人流量较大的城市中心区域，通常会有大量用户接入免费开放
且没有任何安全验证的公共Wi
‑
Fi网络。对于上述低安全性终端在接入网络的过程中，很可能对网络系统发生拒绝服务DoS(Denial of Service，DoS)攻击。此类终端通常以发送大量的无用请求或者伪造认证用户IP的形式，来影响或阻止网络系统响应其他外来合法终端的服务请求，从而导致安全性较高的用户无法正常接入网络，严重时将使网络系统崩溃。因此亟需一种综合考虑用户数据率、网络负载以及终端安全性的网络选择策略，用于异构无线网络环境。

技术实现思路

[0010]基于此，本申请根据恶意终端的相关特点，考虑终端安全性评估性能以及终端安全对网络选择的影响，提出了一种基于BP神经网络的安全网络选择方法，以提升用户的服务质量以及网络环境的安全。
[0011]基于本申请的一方面，提出一种基于终端攻击安全选择网络的方法，包括，采集终端TCP请求报文，根据请求报文检测报文关键信息中终端特征和TCP空报文流量确定终端攻击类型，构建不同攻击类型的安全测试矩阵获得测试结果集，根据测试结果集计算不同攻击方式的测试通过率，获取数据集；利用数据集训练BP神经网络模型，BP神经网络模型通过对不同的DoS攻击方式的测试通过率训练，训练完成的BP神经网络模型输出终端安全度，根据终端安全度确定终端安全切换策略；终端根据安全切换策略接入相应满足要求的网络。
[0012]进一步优选，所述安全切换策略包括：根据终端安全度将对应终端加入高安全性终端集合或低安全性终端集合；属于高安全性终端集合中的终端在切换判决时，优先接入所有候选网络，对于低安全性终端集合中的终端，放入接入缓冲队列中，或者使其接入开放式的Wi
‑
Fi网络中。
[0013]进一步优选，所述接入相应满足要求的网络为，根据数据传输速率和网络资源占用率，基于接收信号强度联合网络剩余带宽的方式触发切换，终端当前连接网络的剩余带宽不能满足其最小带宽需求，或者接收信号强度小于设定阈值与迟滞余量之和时触发切换；根据数据传输速率、网络资源占用率联合优化求解，选取吞吐量最大的网络作为终端切换的目标网络。
[0014]进一步优选，所述根据终端安全度将对应终端加入高安全性终端集合或低安全性终端集合具体为：终端安全度大于等于0.6时加入高安全性终端集合，终端安全度低于0.6时加入低安全性终端集合。
[0015]进一步优选，所述选择吞吐量最大的网络进行切换包括：当终端当前连接网络的剩余带宽不能满足其最小带宽需求，或者接收信号强度RSS小于设定阈值与迟滞余量之和时触发网络切换，根据公式：Ο＝Max(C
ij
‑
NC
j
)确定吞吐量，选择吞吐量最大的网络进行切换，其中，根据网络的总资源块数量N
RB
，网络j在时间T内分配的总资源块数量∑
τ∈(t
‑
T，t)
RBj
τ
，调用公式：计算网络j在T时间内的网络资源占用率NC
j
；根据t时刻终端i从网络j分到的资源块数Z
ij
(t)，资源块的带宽B
r
，基站的传输功率ρ
ij
，信道增益δ
ij
，高斯白噪声功率I
ij
，来自其他基站的信号干扰总和∑
n∈N，n≠j
Gn，根据公式：
[0016][0017]计算t时刻终端i从网络j中获取的用户数据传输速率C
ij
(t)，确定网络数据传输速率C
ij
。
[0018]进一步优选，所述利用数据集训练BP神经网络模型包括，将数据集中终端发起攻击测试通过率划分为训练集、验证集和测试集，作为BP神经网络模型的输入参数；训练集用于计算梯度、更新网络权值和阈值，验证集用于估计误差，测试集用于评估网络模型的泛化能力；若训练集误差降低但验证集误差增高，则停止训练，同时返回具有最小验证集误差的权重及阈值。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于终端攻击安全选择网络的方法，其特征在于，采集终端TCP请求报文，根据请求报文检测报文关键信息中终端特征和TCP空报文流量确定终端攻击类型，构建不同攻击类型的安全测试矩阵获得测试结果集，根据测试结果集计算不同攻击方式的测试通过率，获取数据集；利用数据集训练BP神经网络模型，BP神经网络模型通过对不同的DoS攻击方式的测试通过率训练，训练完成的BP神经网络模型输出终端安全度，根据终端安全度确定终端安全切换策略；终端根据所述终端安全切换策略接入相应满足要求的网络。2.根据权利要求1所述的方法，其特征在于，所述终端安全切换策略包括：根据终端安全度将对应终端加入高安全性终端集合或低安全性终端集合；属于高安全性终端集合中的终端在切换判决时，优先接入所有候选网络，对于低安全性终端集合中的终端，放入接入缓冲队列中，或者使其接入开放式的Wi
‑
Fi网络中。3.根据权利要求1所述的方法，其特征在于，所述接入相应满足要求的网络为：根据数据传输速率和网络资源占用率，基于接收信号强度联合网络剩余带宽的方式触发切换，终端当前连接网络的剩余带宽不能满足其最小带宽需求，或者接收信号强度小于设定阈值与迟滞余量之和时触发切换；根据数据传输速率、网络资源占用率联合优化求解，选取吞吐量最大的网络作为终端切换的目标网络。4.根据权利要求2所述的方法，其特征在于，所述根据终端安全度将对应终端加入高安全性终端集合或低安全性终端集合具体为：终端安全度大于等于0.6时加入高安全性终端集合，终端安全度低于0.6时加入低安全性终端集合。5.根据权利要求3所述的方法，其特征在于，所述选择吞吐量最大的网络进行切换包括：当终端当前连接网络的剩余带宽不能满足其最小带宽需求，或者接收信号强度RSS小于设定阈值与迟滞余量之和时触发网络切换，根据公式：Ο＝Max(C
ij
‑
NC
j
)确定吞吐量，选择吞吐量最大的网络进行切换，其中，根据网络的总资源块数量N
RB
，网络j在时间T内分配的总资源块数量∑
τ∈(t
‑
T，t)
RBj
τ
，调用公式：计算网络j在T时间内的网络资源占用率NC
j
；根据t时刻终端i从网络j分到的资源块数Z
ij
(t)，资源块的带宽B
r
，基站的传输功率ρ
ij
，信道增益δ
ij
，高斯白噪声功率I
ij
，来自其他基站的信号干扰总和∑
n∈N，n≠j
Gn，根据公式：计算t时刻终端i从网络j中获取的用户数据传输速率C
ij
(t)，确定网络数据传输速率C
ij
。6.根据权利要求1
‑
5其中之一所述的方法，其特征在于，所述利用数据集训练BP神经网络模型包括：将数据集中终端发起攻击测试通过率划分为训练集、验证集和测试集，作为BP神经网络模型的输入参数；训练集用于计算梯度、更新网络权值和阈值，验证集用于估计误差，测试集用于评估网络模型的泛化能力；若训练集误差降低但验证集误差增高，则停止训练，同时返回具有最小验证集误差的权重及阈值。7.根据权利要求1
‑
5其中之一所述的方法，其特征在于，所述确定终端攻击类型包括：服务器检测模块分析基站TCP空报文记录表，检测基站接收到的TCP空报文数量，终端在一
个采样周期T内连续发出的TCP空报文数量超过设定阈值时，则判定该终端产生了SYN洪泛类DoS攻击；服务器检测模块分析基站报文关键信息表，根据TCP报文中记录的报文关键信息IP、MAC、RST，当接收报文中标记位RST为1时，查询报文关键信息表，如果该报文的IP地址在报文关键信息表中，则比较对应的MAC地址，如果MAC地址不同，则判定该发送报文的终端发起IP欺骗类DoS攻击，其中，IP用于记录合法用户的接入地址，MAC用于标识唯一的终端设备。8.根据权利要求1
‑
5其中之一所述的方法，其特征在于，所述根据测试结果集计算不同攻击方式的测试通过率包括：预定时间内，对基站覆盖范围内全部终端进行，IP欺骗类DoS攻击安全测试结果，构建测试结果集为：进行SYN洪泛类DoS攻击安全测试，构建测试结果集为：其中，为终端i第n次IP欺骗类DoS攻击测试的结果，为终端i第n次SYN洪泛类DoS攻击测试的结果；将测试通过次数除以测试总次数，得到基站覆盖范围内发起相关类型攻击的测试通过率。9.一种基于终端攻击安全选择网络的系统，其特征在于，包括终端行为监测模块、预处理模块、系统评估模块、BP神经网络模型和网络切换控制模块；所述系统评估模块获取基站覆盖范围终端TCP请求报文；所述预处理模块提取TCP报文的IP地址、MAC地址、RST信息，存入报文关键信息表，提取TCP报文的IP地址、MAC地址、TCP空报文，存入TCP空报文记录表；所述系统评估模块根据请求报文检测报文关键信息中终端特征和TCP空报文流量，确定终端攻击类型，构建不同攻击类型的安全测试矩阵获得测试结果集，根据测试结果集计算不同攻击方式的测试通过率，获取数据集；利用数据集训练BP神经网络模型...

【专利技术属性】
技术研发人员：李丽，
申请(专利权)人：重庆长安汽车股份有限公司，
类型：发明
国别省市：