【技术实现步骤摘要】
一种基于终端攻击安全选择网络的方法、系统、设备及介质
[0001]本专利技术属于无线通信
,具体为应用于异构无线网络中基于终端攻击的安全网络选择。
技术介绍
[0002]随着人们对终端的使用需求日益增大,终端的数量急剧上升且分布广泛。目前无线网络环境主要是由5G宏蜂窝、微蜂窝、长期演进(Long Term Evolution,LTE)以及无线局域网(Wireless Local Area Network,WLAN)融合而成的异构无线网络,在复杂的网络环境中,终端接入的网络不可能是一成不变的,需要进行网络的选择与切换。
[0003]公开号CN113382412A的专利文献公开了一种超密集异构网络中考虑终端安全的网络选择方法。该方法是在存有恶意终端的超密集异构网络中,针对高并发接入请求带来的资源分配效率降低和拥塞问题,提出了一种考虑终端安全和资源调度的垂直切换算法。首先,在网络侧通过基于有限状态机的攻击检测算法,构建终端安全评估模型,计算得到终端安全度。
[0004]该方法考虑了终端安全性对网络选择的影响,虽然提高了网络资源的分配效率,但由于基于有限状态机的攻击检测算法实时在线评估终端安全性,将会给网络带来较大的负载,尤其是终端数量较多时,网络性能的下降也将更加明显。
[0005]公开号CN115396897A的专利文献公开了一种用于移动通信协议的安全测试用例挖掘模型的训练方法,其安全测试用例挖掘模型为BP神经网络模型,获取移动通信协议中已知的协议攻击方式,已知的协议攻击方式包含被攻击信令的 ...
【技术保护点】
【技术特征摘要】
1.一种基于终端攻击安全选择网络的方法,其特征在于,采集终端TCP请求报文,根据请求报文检测报文关键信息中终端特征和TCP空报文流量确定终端攻击类型,构建不同攻击类型的安全测试矩阵获得测试结果集,根据测试结果集计算不同攻击方式的测试通过率,获取数据集;利用数据集训练BP神经网络模型,BP神经网络模型通过对不同的DoS攻击方式的测试通过率训练,训练完成的BP神经网络模型输出终端安全度,根据终端安全度确定终端安全切换策略;终端根据所述终端安全切换策略接入相应满足要求的网络。2.根据权利要求1所述的方法,其特征在于,所述终端安全切换策略包括:根据终端安全度将对应终端加入高安全性终端集合或低安全性终端集合;属于高安全性终端集合中的终端在切换判决时,优先接入所有候选网络,对于低安全性终端集合中的终端,放入接入缓冲队列中,或者使其接入开放式的Wi
‑
Fi网络中。3.根据权利要求1所述的方法,其特征在于,所述接入相应满足要求的网络为:根据数据传输速率和网络资源占用率,基于接收信号强度联合网络剩余带宽的方式触发切换,终端当前连接网络的剩余带宽不能满足其最小带宽需求,或者接收信号强度小于设定阈值与迟滞余量之和时触发切换;根据数据传输速率、网络资源占用率联合优化求解,选取吞吐量最大的网络作为终端切换的目标网络。4.根据权利要求2所述的方法,其特征在于,所述根据终端安全度将对应终端加入高安全性终端集合或低安全性终端集合具体为:终端安全度大于等于0.6时加入高安全性终端集合,终端安全度低于0.6时加入低安全性终端集合。5.根据权利要求3所述的方法,其特征在于,所述选择吞吐量最大的网络进行切换包括:当终端当前连接网络的剩余带宽不能满足其最小带宽需求,或者接收信号强度RSS小于设定阈值与迟滞余量之和时触发网络切换,根据公式:Ο=Max(C
ij
‑
NC
j
)确定吞吐量,选择吞吐量最大的网络进行切换,其中,根据网络的总资源块数量N
RB
,网络j在时间T内分配的总资源块数量∑
τ∈(t
‑
T,t)
RBj
τ
,调用公式:计算网络j在T时间内的网络资源占用率NC
j
;根据t时刻终端i从网络j分到的资源块数Z
ij
(t),资源块的带宽B
r
,基站的传输功率ρ
ij
,信道增益δ
ij
,高斯白噪声功率I
ij
,来自其他基站的信号干扰总和∑
n∈N,n≠j
Gn,根据公式:计算t时刻终端i从网络j中获取的用户数据传输速率C
ij
(t),确定网络数据传输速率C
ij
。6.根据权利要求1
‑
5其中之一所述的方法,其特征在于,所述利用数据集训练BP神经网络模型包括:将数据集中终端发起攻击测试通过率划分为训练集、验证集和测试集,作为BP神经网络模型的输入参数;训练集用于计算梯度、更新网络权值和阈值,验证集用于估计误差,测试集用于评估网络模型的泛化能力;若训练集误差降低但验证集误差增高,则停止训练,同时返回具有最小验证集误差的权重及阈值。7.根据权利要求1
‑
5其中之一所述的方法,其特征在于,所述确定终端攻击类型包括:服务器检测模块分析基站TCP空报文记录表,检测基站接收到的TCP空报文数量,终端在一
个采样周期T内连续发出的TCP空报文数量超过设定阈值时,则判定该终端产生了SYN洪泛类DoS攻击;服务器检测模块分析基站报文关键信息表,根据TCP报文中记录的报文关键信息IP、MAC、RST,当接收报文中标记位RST为1时,查询报文关键信息表,如果该报文的IP地址在报文关键信息表中,则比较对应的MAC地址,如果MAC地址不同,则判定该发送报文的终端发起IP欺骗类DoS攻击,其中,IP用于记录合法用户的接入地址,MAC用于标识唯一的终端设备。8.根据权利要求1
‑
5其中之一所述的方法,其特征在于,所述根据测试结果集计算不同攻击方式的测试通过率包括:预定时间内,对基站覆盖范围内全部终端进行,IP欺骗类DoS攻击安全测试结果,构建测试结果集为:进行SYN洪泛类DoS攻击安全测试,构建测试结果集为:其中,为终端i第n次IP欺骗类DoS攻击测试的结果,为终端i第n次SYN洪泛类DoS攻击测试的结果;将测试通过次数除以测试总次数,得到基站覆盖范围内发起相关类型攻击的测试通过率。9.一种基于终端攻击安全选择网络的系统,其特征在于,包括终端行为监测模块、预处理模块、系统评估模块、BP神经网络模型和网络切换控制模块;所述系统评估模块获取基站覆盖范围终端TCP请求报文;所述预处理模块提取TCP报文的IP地址、MAC地址、RST信息,存入报文关键信息表,提取TCP报文的IP地址、MAC地址、TCP空报文,存入TCP空报文记录表;所述系统评估模块根据请求报文检测报文关键信息中终端特征和TCP空报文流量,确定终端攻击类型,构建不同攻击类型的安全测试矩阵获得测试结果集,根据测试结果集计算不同攻击方式的测试通过率,获取数据集;利用数据集训练BP神经网络模型...
【专利技术属性】
技术研发人员:李丽,
申请(专利权)人:重庆长安汽车股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。