基于内存增强自编码器集成结构的无人机异常检测方法技术

本发明专利技术公开了一种基于内存增强自编码器集成结构的无人机异常检测方法，该方法基于数据包处理模块

【技术实现步骤摘要】
基于内存增强自编码器集成结构的无人机异常检测方法


[0001]本专利技术涉及无人机安全
，特别是一种基于内存增强自编码器集成结构的无人机异常检测方法
。

技术介绍

[0002]随着计算机技术的不断发展，智能无人系统已在众多领域得到了广泛应用
。
然而，受限于系统网络的开放性
、
决策的部分自主性以及资源的有限性，这些智能无人系统在面对如未知攻击
、
复杂攻击等新型安全挑战时，其安全性倍受威胁
。
尤其在无人机网络这类典型的智能无人系统中，安全问题更为凸显
。
当前，针对智能无人系统网络安全问题的主流解决方案主要是在系统中部署网络入侵检测系统（
Network Intrusion Detection System
，
NIDS
），旨在对恶意或异常的网络流量进行有效的识别与筛选
。
[0003]NIDS
是一种部署于计算机网络关键节点的设备或软件，其主要职责是在检测到异常网络流量或活动时向网络管理员发出警告
。
近年来，得益于机器学习技术的快速发展，基于机器学习的
NIDS
已取得了显著的进步
。
与基于攻击特征匹配的传统
NIDS
相比，基于机器学习的
NIDS
更擅长学习数据的复杂非线性特征，并能利用网络的自相似性，采用异常检测的方式来识别未知或新型的攻击
。
其典型的实施方式包括收集网络中一段时间内的流量数据，在特定的学习节点上利用这些数据对神经网络进行训练，然后将训练完成的神经网络模型部署于网络节点，并基于此模型对网络流量进行检测
。
当网络流量数据被判断为异常或恶意流量时，系统会向管理员发出警报
。
然而，为了提升
NIDS
的准确性，采用的神经网络常常趋于复杂，包括增加神经网络的层数和神经元数量，从而使特定学习节点对计算能力的需求也大幅提升
。
将这类
NIDS
应用于无人机网络时，会面临以下几个主要挑战：
[0004]1、
无法在资源受限的无人机上部署
。
当前采用的模型算法在设计初期并未考虑资源有限的情况，导致模型对计算能力和内存的需求超出了无人机节点的承受范围
。
大部分无人机无法提供模型训练或运行所必需的计算资源
。
尽管可以在大型无人机或远程云服务器上进行模型训练或推理，但高频的数据回传在消耗大量网络带宽的同时，也会面临更高的安全风险（如隐私泄漏和网络窃听）
。
[0005]2、
难以实现在线检测
。
集中训练和检测模型在运行过程中通常需要汇总各无人机节点的数据包，这增加了传输时间，降低了攻击检测的时效性
。
复杂检测模型即使在算力充足的节点完成训练后部署至资源受限的节点，其高计算复杂度也导致数据包检测效率低下，难以满足动态复杂的无人机网络的在线检测需求
。
[0006]3、
数据需要大量的人工标注
。
当前基于监督学习的
NIDS
需要使用带有标签的数据，而对数据标注需要消耗大量的人力资源
。
此外，基于人工标签数据的检测方法，无法有效应对样本缺失的新型和未知攻击
。

技术实现思路

[0007]本专利技术的目的在于提供一种基于内存增强自编码器集成结构的无人机异常检测
方法，采用无监督学习的思想实现轻量级在线检测，在不需要对数据进行人工标注的同时，能够有效应对新型攻击和未知攻击检测
。
[0008]实现本专利技术目的的技术解决方案为：一种基于内存增强自编码器集成结构的无人机异常检测方法，该方法基于数据包处理模块
、
特征处理模块以及异常检测模块，具体包括以下步骤：
[0009]步骤
1、
数据包处理模块基于网络嗅探器和消息队列技术，实现数据包采集
、
报文解析及数据缓存；
[0010]步骤
2、
特征处理模块提取数据流，并基于衰减窗口模型对数据流进行序列划分，选择并计算复合统计特征，采用层次聚类方法构建网络流量特征矩阵及网络流量特征组；
[0011]步骤
3、
异常检测模块基于双层内存增强自编码器的集成结构，进行网络流量异常检测
。
[0012]本专利技术与现有技术相比，其显著优点为：
[0013]（1）针对单个自编码器性能有限且模型复杂度较高的问题，本专利技术预先将多维网络特征按其相关性分类，然后分别放入多个较小规模的自编码器中，通过自编码器集成架构，提升性能的同时降低了总体模型复杂度；
[0014]（2）本专利技术采用了内存增强自编码器进行集成，能够有效解决传统自编码器在异常数据上重构能力过强的问题，进而降低无人机网络异常检测的漏报率；
[0015]（3）本专利技术在检测方法中的数据包处理模块加入了基于操作系统的消息队列，在保证低环境依赖性的同时可有效应对流量突发场景，提高了方法的稳定性
。
附图说明
[0016]图1是异常检测方法技术原理图
。
[0017]图2是异常检测方法工作流程图
。
[0018]图3是数据包处理模块工作流程图
。
[0019]图4是特征处理模块工作流程图
。
[0020]图5是衰减窗口模型原理图
。
[0021]图6是内存增强自编码器原理图
。
[0022]图7是双层内存增强自编码器集成结构图
。
具体实施方式
[0023]本专利技术所提基于内存增强自编码器集成结构的无人机异常检测方法，主要包含数据包处理模块
、
特征处理模块以及异常检测模块
。
其中数据包处理模块主要基于网络嗅探器和消息队列技术，实现数据包采集
、
报文解析及数据缓存功能；特征处理模块主要提取数据流，并基于衰减窗口模型对数据流进行序列划分，选择并计算复合统计特征，采用层次聚类方法构建网络流量特征矩阵及网络流量特征组；异常检测模块主要基于双层内存增强自编码器的集成结构进行网络流量异常检测
。
图1为本专利技术无人机异常检测的技术原理示意图，下面对本专利技术技术方案做进一步详细说明
。
[0024]本专利技术一种基于内存增强自编码器集成结构的无人机异常检测方法，该方法基于数据包处理模块
、
特征处理模块以及异常检测模块，具体包括以下步骤：
[0025]步骤
1、
数据包处理模块基于网络嗅探器和消息队列技术，实现数据包采集
、
报文解析及数据缓存；
[0026]步骤
2、
特征处理模块本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于内存增强自编码器集成结构的无人机异常检测方法，其特征在于，该方法基于数据包处理模块
、
特征处理模块以及异常检测模块，具体包括以下步骤：步骤
1、
数据包处理模块基于网络嗅探器和消息队列技术，实现数据包采集
、
报文解析及数据缓存；步骤
2、
特征处理模块提取数据流，并基于衰减窗口模型对数据流进行序列划分，选择并计算复合统计特征，采用层次聚类方法构建网络流量特征矩阵及网络流量特征组；步骤
3、
异常检测模块基于双层内存增强自编码器的集成结构，进行网络流量异常检测
。2.
根据权利要求1所述的基于内存增强自编码器集成结构的无人机异常检测方法，其特征在于，步骤1中，数据包处理模块基于网络嗅探器和消息队列技术，实现数据包采集
、
报文解析及数据缓存，具体步骤如下：步骤
1.1、
基于网络嗅探器对正常流量及混合流量进行采集并解析其中包含的数据包，从中提取出正常数据信息集合，及混合数据信息集合，其中集合
、
分别包含及个数据包，及分别包含了集合
、
中第个和第个数据包的全部信息；步骤
1.2、
在网速正常情况下，数据包处理模块直接将集合
、
传输至后续特征处理模块；在流量突发场景下，使用基于操作系统的消息队列进行辅助传输
。3.
根据权利要求2所述的基于内存增强自编码器集成结构的无人机异常检测方法，其特征在于，步骤
1.2
中所述基于操作系统的消息队列，具体为：利用操作系统提供的消息队列
API
，在操作系统内核空间维护一个消息链表，通过将当前无法处理的数据信息缓存至内存空间，由特征处理模块依据自身处理速度以“先进先出”原则依次取出数据特征信息进行处理，使流量突发情况下系统持续运行
。4.
根据权利要求3所述的基于内存增强自编码器集成结构的无人机异常检测方法，其特征在于，步骤2中，特征处理模块提取数据流，并基于衰减窗口模型对数据流进行序列划分，选择并计算复合统计特征，采用层次聚类方法构建网络流量特征矩阵及网络流量特征组，具体如下：步骤
2.1、
从正常数据信息集合及混合数据信息集合中提取网络数据流；步骤
2.2、
采用衰减窗口模型对数据流进行序列划分，然后选择并计算数据流复合统计特征，构建正常数据流特征矩阵及混合数据流特征矩阵；步骤
2.3、
基于层次聚类方法，依据特征间相关性将数据流特征矩阵中的多维特征分为多个特征类，构建正常流量特征类集合及混合流量特征集合，用于后续异常检测模块中多个自编码器调用，其中作为异常检测模块训练过程的输入，作为异常检测模块检测过程的输入
。5.
根据权利要求4所述的基于内存增强自编码器集成结构的无人机异常检测方法，其特征在于，步骤
2.1
中，提取的网络数据流包括：
提取基于源
MAC
地址和
IP
地址的出站流量
、
源
IP
地址的出站流量；针对网络攻击的单向性，选用源
IP
与目的
IP
间产生的出入站流量；考虑到数据流量的差异性，选用源
TCP/UDP
套接字与目的
TCP/UDP
套接字之间产生的出入站流量
。6.
根据权利要求5所述的基于内存增强自编码器集成结构的无人机异常检测方法，其特征在于，步骤
2.2
中，采用衰减窗口模型对数据流进行序列划分，具体如下：衰减窗口模型计算设定数据包到达时动态数据流复合统计特征，对象是从初始时刻到设定数据包到达时刻间隔内所有数据包；当有新数据包到达时，在窗口内的所有数据包依据自身时间戳与到达时刻差值，基于衰减窗口模型所定义的衰减函数计算对应衰减权重，并基于衰减权重对自身数据包各数据进行衰减，以构成新的数据序列，衰减函数计算公式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
其中为此时衰减权重；为以数据包到达时间为自变量，以衰减权重为因变量的函数关系；是衰减因子，；为此时序列已到达的数据包项数；表示第个数据包到达时间，表示最新数据包到达时间；以增量更新方式计算所述衰减窗口模型中数据流复合统计特征；对于正常数据信息集合，设为数据包统计对象，针对入站流量，在衰减因子为的情况下，当入站流量第个数据包到达时，入站流量数据流序列表示为，当出站流量第个数据包到达时，出站流量数据流序列表示为，表示为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
其中，为当前序列权重，表示序列中所有数据包统计对象数值的和，表示序列中所有数据包统计对象数值的平方和；表示在需要与出站流量对比时，与针对统计对象残差积的和；当第个数据包到达时，首先根据公式
(1)
计算序列衰减权重，并带入到公式
(3)、(4)、(5)、(6)
中，分别更新每一项值：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(4)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(5)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(6)
其中
、
分别对应在第个数据包到达时的衰减权重
、

【专利技术属性】
技术研发人员：任保全，胡天柱，何吉，刘成梁，
申请(专利权)人：军事科学院系统工程研究院系统总体研究所，
类型：发明
国别省市：