基于随机森林筛选和支持向量机的入侵检测方法及相关装置制造方法及图纸

本发明专利技术提供基于随机森林筛选和支持向量机的入侵检测方法及相关装置，包括：收集不同品牌的

【技术实现步骤摘要】
基于随机森林筛选和支持向量机的入侵检测方法及相关装置


[0001]本专利技术属于入侵检测
特别涉及基于随机森林筛选和支持向量机的入侵检测方法及相关装置
。

技术介绍

[0002]射频
(RF)
信号技术广泛应用于物联网
(IoT)
，给人们带来了极大的便利
。NFC(near field communication
，近场通信
)
技术作为目前流行的射频信号技术之一，被应用于门禁管理，例如电动摩托车的钥匙
、
小区门禁卡等
。
例如，在电动摩托车中，
NFC
物理上是
NFC
卡的钥匙可以使用
RF
信号无线传输有关锁的命令，以简化解锁过程
。
用户可以使用
NFC
钥匙代替传统的容易被汽车盗窃或盗窃的物理钥匙来控制电动摩托车
。
[0003]NFC
技术在改变人们生活方式的同时，也为攻击者提供了更多克隆密钥的途径，增加了智能设备的风险
。
现在大部分手机都可以模拟
NFC
卡，无需认证
。
因此，攻击者可以轻松获得访问权限以使用这些设备，而无需任何成本和被注意到的风险
。
例如，电动摩托车可以通过克隆
NFC
密钥
、
中继攻击等方式被攻击者窃取，这对安全构成了巨大的潜在威胁
。
因此，迫切需要采取行动保护
NFC
设备的安全
。
[0004]现有技术的缺陷和不足：
[0005]目前有许多关于
NFC
安全性的研究，其中主要有两种防御方式
。
一种方法是提出增强身份验证安全性的协议
。
尽管它可以提供一定程度的安全性，但它在设备中的采用受到可用空间有限及其对实时处理和通信的要求的阻碍
。
另一种方法是通过分析数据来设计模型以确保
NFC
安全性，但无法从外部识别恶意
NFC
设备
。

技术实现思路

[0006]本专利技术的目的在于提供基于随机森林筛选和支持向量机的入侵检测方法及相关装置，以解决在设备中的采用受到可用空间有限及其对实时处理和通信的要求的阻碍，以及无法从外部识别恶意
NFC
设备的问题
。
[0007]为实现上述目的，本专利技术采用以下技术方案：
[0008]第一方面，本专利技术提供基于随机森林筛选和支持向量机的入侵检测方法，包括：
[0009]收集不同品牌的
NFC
锁的射频信号数据，并构建样本集；
[0010]基于随机森林算法得到入侵检测中特征的重要性排名，基于重要性排名进行特征筛选，用筛选出来的特征检测入侵行为；
[0011]在不同设备进行射频信号开锁的场景下，进行基于支持向量机
SVM
的分类检测
。
[0012]可选的，收集不同品牌的
NFC
锁的射频信号数据：
[0013]收集
m
种
NFC
锁品牌和其对应的
NFC
钥匙，选取
n
种具有
NFC
复制功能的设备作为恶意攻击者，利用
RFID
嗅探器
Proxmark3
嗅探
m
个合法
NFC
钥匙和
n
个非法
NFC
钥匙，分别采集射频信号数据集；
Proxmark3
通过天线检测放置在其上的钥匙，并将采集到的射频信号数据通过数据线传输至电脑，提取相同
NFC
开锁时间段通信交互相关的数据；使用从嗅探设备获得
的射频信号数据来组成数据集
。
[0014]可选的，构建样本集：
[0015]每个品牌的合法数据由匹配的
NFC
钥匙的
x
次嗅探组成，其中
70
％
x
次用于训练，
30
％
x
次用于测试；攻击数据由
n
种具有
NFC
复制功能的设备模拟的合法
NFC
密钥的
y
次嗅探组成，其中
70
％
y
次用于训练，
30
％
y
次用于测试
。
[0016]可选的，通过随机森林算法，得到入侵检测中特征的重要性排名，重要性排名的唯一区别是源设备，与源设备有关的射频信号特征分别为偏度
、
绝对值的平均值
、
峰度和信息熵
。
[0017]可选的，偏度
、
绝对值的平均值
、
峰度和信息熵计算具体如下，其中
x
代表数据的第
i
个值，
n
代表数据的数量；
μ
代表数据的平均值，
σ
代表数据的方差，而
E
代表期望函数：
[0018]偏度的数学计算过程定义如下，其中
k2
和
k3
分别代表二阶和三阶中心矩：
[0019][0020]偏度是衡量偏离方向和程度的指标，是统计数据分布不对称程度的数值特征；使用偏度来衡量射频数据的对称性和射频信号数据分布的偏斜程度
。
[0021]峰度的计算公式表示为：
[0022][0023]峰度是衡量数据分布的尾部和峰度的统计量，该统计量需要与正态分布进行比较，峰态的绝对值越高，分布模式与正态分布的差异越陡；
[0024]信息熵的计算公式表示为：
[0025][0026]其中
i
标记了决策空间中第
i
个可能的样本，
p
的值是第
i
个决策的可能性，并且
K
是与单位选择相关的任意常数；信息熵是衡量系统混乱程度的指标，信息熵越高，射频信号数据的随机性和不确定性越大，利用信息熵，评估射频信号数据的混乱程度；
[0027][0028]绝对值的平均值的计算公式表示为：
[0029]用绝对值的平均值来反映波峰和波谷的大小
。
[0030]可选的，用筛选出来的特征检测入侵行为：
[0031]四个特征的二乘二组合的散点图，定义其中0标签代表合法数据，其他五个标签代表不同手机获得的非法数据；合法设备的射频信号数据的绝对值和峰度的平均值与其他设备不同；使用射频信号数据的四个特征来检测入侵行为，用提取的特征来表达来自不同设备的射频信号数据确实有不同的物理特征，根据射频信号检测来自不同设备的攻击...

【技术保护点】

【技术特征摘要】
1.
基于随机森林筛选和支持向量机的入侵检测方法，其特征在于，包括：收集不同品牌的
NFC
锁的射频信号数据，并构建样本集；基于随机森林算法得到入侵检测中特征的重要性排名，基于重要性排名进行特征筛选，用筛选出来的特征检测入侵行为；在不同设备进行射频信号开锁的场景下，进行基于支持向量机
SVM
的分类检测
。2.
根据权利要求1所述的基于随机森林筛选和支持向量机的入侵检测方法，其特征在于，收集不同品牌的
NFC
锁的射频信号数据：收集
m
种
NFC
锁品牌和其对应的
NFC
钥匙，选取
n
种具有
NFC
复制功能的设备作为恶意攻击者，利用
RFID
嗅探器
Proxmark3
嗅探
m
个合法
NFC
钥匙和
n
个非法
NFC
钥匙，分别采集射频信号数据集；
Proxmark3
通过天线检测放置在其上的钥匙，并将采集到的射频信号数据通过数据线传输至电脑，提取相同
NFC
开锁时间段通信交互相关的数据；使用从嗅探设备获得的射频信号数据来组成数据集
。3.
根据权利要求1所述的基于随机森林筛选和支持向量机的入侵检测方法，其特征在于，构建样本集：每个品牌的合法数据由匹配的
NFC
钥匙的
x
次嗅探组成，其中
70
％
x
次用于训练，
30
％
x
次用于测试；攻击数据由
n
种具有
NFC
复制功能的设备模拟的合法
NFC
密钥的
y
次嗅探组成，其中
70
％
y
次用于训练，
30
％
y
次用于测试
。4.
根据权利要求1所述的基于随机森林筛选和支持向量机的入侵检测方法，其特征在于，通过随机森林算法，得到入侵检测中特征的重要性排名，重要性排名的唯一区别是源设备，与源设备有关的射频信号特征分别为偏度
、
绝对值的平均值
、
峰度和信息熵
。5.
根据权利要求4所述的基于随机森林筛选和支持向量机的入侵检测方法，其特征在于，偏度
、
绝对值的平均值
、
峰度和信息熵计算具体如下，其中
x
代表数据的第
i
个值，
n
代表数据的数量；
μ
代表数据的平均值，
σ

【专利技术属性】
技术研发人员：荀毅杰，刘家佳，金子腾，杨雨薇，
申请(专利权)人：西北工业大学，
类型：发明
国别省市：