CN110856178B - 一种基于无线网络物理层iq信号的行为识别方法 - Google Patents

一种基于无线网络物理层iq信号的行为识别方法 Download PDF

Info

Publication number
CN110856178B
CN110856178B CN201911070541.0A CN201911070541A CN110856178B CN 110856178 B CN110856178 B CN 110856178B CN 201911070541 A CN201911070541 A CN 201911070541A CN 110856178 B CN110856178 B CN 110856178B
Authority
CN
China
Prior art keywords
signal
signals
data
wireless network
physical layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911070541.0A
Other languages
English (en)
Other versions
CN110856178A (zh
Inventor
石高涛
李国栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin University
Original Assignee
Tianjin University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin University filed Critical Tianjin University
Priority to CN201911070541.0A priority Critical patent/CN110856178B/zh
Publication of CN110856178A publication Critical patent/CN110856178A/zh
Application granted granted Critical
Publication of CN110856178B publication Critical patent/CN110856178B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于无线网络物理层IQ信号的行为识别方法,步骤1:进行物理层IQ信号的采集;步骤2:对IQ信号做降噪处理,并剔除异常数据;步骤3:使用深度学习模型,对IQ信号进行特征提取;步骤4:对提取特征降维后的IQ信号进行聚类,通过训练好的聚类模型给原始IQ信号数据打标签;步骤5:根据标签所形成的行为模式序列,做数据挖掘关联规则分析;步骤6:预测无线网络当前的下一步行为。与现有技术相比,本发明无需对终端接入点设备做任何更改,并且降低正常无线网络在通信过程中所造成的损失,提高移动用户在无线网络中的通信安全和高效持久连接;在物理层阶段,更快速有效地发现特有的安全威胁或攻击模式,从而更早采取相应的防御措施。

Description

一种基于无线网络物理层IQ信号的行为识别方法
技术领域
本发明涉及无线网络安全领域,特别涉及一种基于无线网络物理层IQ信号的行为识别方法。
背景技术
随着社会的不断进步和科技的迅猛发展,全世界的军事、社会、经济各方面都越来越依赖计算机网络,计算机网络成为人类社会不可或缺的一部分,无线网络由于其自身灵活、可移动、可扩展的优势渐渐成为发展的主要方向。目前的现状是,人类社会对于无线网络的依赖程度变得越来越高,但也因为无线网络极易受到攻击,使得我们的生存环境变得十分危险,窃听数据、修改传输数据,拒绝服务等安全威胁频频发生,安全性成为了发展无线网络的瓶颈。为了应对无线网络安全性问题,许多国内外无线网络设备供应商提出了一些解决方案,比如,物理地址过滤,通过对无线接入点的设定,将指定的无线网卡的物理地址输入到接入点中,而接入点对收到的数据包做判断,符合标准的才能被转发,否则将会被丢弃,然而这个方案不支持大量移动用户,并且接入点中的物理地址列表必须随时更新,可扩展性差,无法实现机器在不同的接入点之间漫游。另外,恶意攻击者会盗取合法的物理地址信息接入网络。采用安全认证协议,认证机制是对客户机硬件进行单向认证,采用开放式***认证与共享式密钥认证算法,然而这种解决方案并不能实现无线网络的持久连接,会极易被攻破。
发明内容
针对现有方法中存在的问题和不足,本发明提出了一种基于无线网络物理层IQ信号的行为识别方法,通过IQ信号来分析网络的特征,从无线网络物理层出发发现该网络中特有的安全威胁或攻击模式,获取行为模式序列分析攻击者所在的攻击网络,预测攻击者的下一步行为,从而进行威胁的防御。
本发明的一种基于无线网络物理层IQ信号的行为识别方法,包括以下步骤:
步骤1:进行物理层IQ信号的采集;即,对两台通过无线网络通信协议进行组网的实验设备,通用软件无线电外设作为物理层IQ信号的采集设备,设置对应的频段,完成该无线网络内物理层IQ信号的采集;
步骤2:对IQ信号做降噪处理,并剔除异常数据;即,通过常见的信号去噪处理方法(如加权移动平均、阈值去噪法等)对IQ信号进行去噪处理,并剔除异常数据,处理后的每条IQ信号的数据按照先后顺序保存在文件中;
步骤3:使用深度学习模型,对IQ信号进行特征提取;即,将处理后的IQ信号的数据放入深度学习模型下自动进行特征提取,所提取的高强度低维特征能够代表每条IQ信号的数据,以保留IQ信号的原始属性为目标,对深度学习模型进行训练;
步骤4:对提取特征降维后的IQ信号进行聚类,通过训练好的聚类模型给原始IQ信号数据打标签;即,将提取的特征降维后的IQ信号的数据放入聚类模型(如高斯混合模型最大期望聚类法)进行训练和测试,依据聚类评价指标,得到具有鲁棒性的聚类模型,对每条原始IQ信号通过特征提取,在聚类过程中进行分簇和对给IQ信号打标签,所有标签组成了一个行为模式序列;
步骤5:根据标签所形成的行为模式序列,做数据挖掘关联规则分析;即,根据步骤2中按照每条IQ信号的保存顺序来保存对应的标签,采用数据挖掘中的关联规则方法进行分析(找出在行为序列中频繁出现的子序列,“频繁”受到支持度阈值的约束;对于满足最小支持度阈值的子序列产生的集合就称为频繁项集,所有的关联规则是由满足最小置信度阈值的频繁项集而产生的,关联规则是指行为之间存在先导和后继关系),对序列内的规律知识(不同行为之间的关联关系,根据这种关系可以从一个行为信息推断另一个行为信息,如在IEEE802.11无线通信协议中,一般情况下,发送方每发出一个RTS信号,后面就会跟着接收方发出的CTS信号)进行挖掘;
步骤6:预测无线网络当前的下一步行为。
与现有技术相比,本发明达到了以下的积极效果:;
(1)无需对终端接入点设备做任何更改,并且降低正常无线网络在通信过程中所造成的损失,提高移动用户在无线网络中的通信安全和高效持久连接。
(2)在物理层阶段,更加快速有效地发现该网络中特有的安全威胁或攻击模式,从而更早采取相应的防御措施。
附图说明
图1为本发明的一种基于无线网络物理层IQ信号的行为识别方法的流程图;
图2为本发明实施例的无线网络物理层IQ信号采集示意图;
图3为本发明实施例的物理层IQ信号去噪声处理示意图;
图4为本发明实施例的深度学习基于RNN的自动编码器模型示意图;
图5为本发明实施例的关联规则算法的评价标准示意图。
具体实施方式
下面结合附图和实施例对本发明技术方案进行详细描述。
如图1所示,为本发明的一种基于无线网络物理层IQ信号的行为识别方法整体流程图。具体步骤描述如下:
步骤1:进行物理层IQ信号的采集;即,对两台通过无线网络通信协议进行组网的实验设备,通用软件无线电外设作为物理层IQ信号的采集设备,设置对应的频段,完成该无线网络内物理层IQ信号的采集;
步骤2:对IQ信号做降噪处理,并剔除异常数据;即,通过常见的信号去噪处理方法(如加权移动平均、阈值去噪法等)对IQ信号进行去噪处理,并剔除异常数据,处理后的每条IQ信号的数据按照先后顺序保存在文件中;
步骤3:使用深度学习模型,对IQ信号进行特征提取;即,将处理后的IQ信号的数据放入深度学习模型(如带有循环神经网络的自动编码器)下自动进行特征提取,所提取的高强度低维特征能够代表每条IQ信号的数据,以保留IQ信号的原始属性为目标,对深度学习模型进行训练;
步骤4:对提取特征降维后的IQ信号进行聚类,通过训练好的聚类模型给原始IQ信号数据打标签;即,将提取的特征降维后的IQ信号的数据放入聚类模型(如高斯混合模型最大期望聚类法)进行训练和测试,依据聚类评价指标,得到具有鲁棒性的聚类模型,对每条原始IQ信号通过特征提取,在聚类过程中进行分簇和对给IQ信号打标签,所有标签组成了一个行为模式序列;
步骤5:根据标签所形成的行为模式序列,做数据挖掘关联规则分析;即,根据步骤2中按照每条IQ信号的保存顺序来保存对应的标签,采用数据挖掘中的关联规则方法进行分析(找出在行为序列中频繁出现的子序列,“频繁”受到支持度阈值的约束;对于满足最小支持度阈值的子序列产生的集合就称为频繁项集,所有的关联规则是由满足最小置信度阈值的频繁项集而产生的,关联规则是指行为之间存在先导和后继关系),对序列内的规律知识(不同行为之间的关联关系,根据这种关系可以从一个行为信息推断另一个行为信息,如在IEEE802.11无线通信协议中,一般情况下,发送方每发出一个RTS信号,后面就会跟着接收方发出的CTS信号)进行挖掘;
步骤6:预测无线网络当前的下一步行为。
具体明实施例描述如下:
以无线网络IEEE802.11g为例,本发明的一种基于无线网络物理层IQ信号的行为识别方法的实现流程描述如下:
如图2所示,为本发明实施例的无线网络物理层IQ信号采集示意图。两台实验计算机通过802.11g无线网络通信协议进行组网,USRPN210作为802.11g物理层IQ信号的采集设备,设置频段为2.422GHz,完成该无线网络内物理层IQ信号的采集;
如图3所示,为本发明实施例的物理层IQ信号去噪声处理示意图。本发明实施例通过加权移动平均、阈值去噪法对IQ数据进行去噪声处理,通过动态滑动窗口取加权后的平均值,超过设定的阈值认定为有效IQ数据,处理后的每条IQ数据按先后顺序的存放在文件中;
将IQ信号数据放入带有循环神经网络的自动编码器模型下自动进行特征提取,此过程模型需要训练,模型的损失函数由两部分构成,原始IQ数据与提取的特征数据之间类分布差异的KL散度,原始IQ数据与重构输出的交叉熵,具体为公式(1)。
模型构建如图4;
Figure BDA0002260814360000051
式中,“+”号的前半部分是KL散度的推导公式,μ和σ是原始IQ信号经过两层循环神经网络和单层线性层处理在隐空间形成的高斯分布z的均值和标准差;“+”号的后半部分是重构后所形成的多元高斯分布具有对角协方差结构的多元高斯函数,在解码器输出的过程中,将原始IQ信号数据进行放入高斯分布中计算符合分布的概率值。
将提取的特征数据放入k-shape聚类模型进行训练和测试,基于每条IQ信号的数据之间存在的互相关性进行距离度量,得到IQ信号的数据之间的差异程度,并确定聚类质心序列,最后将IQ信号的数据在k-shape中循环迭代,分出IQ信号的数据所属质心序列的簇。依据聚类评价指标兰德指数,Silhouette Coefficient轮廓系数得到具有鲁棒性的聚类模型。对每条IQ信号的数据通过特征提取,在聚类模型中进行分簇,打标签;
有序的IQ信号的数据对应的标签号组成了一个行为模式序列,采用数据挖掘中Apriori方法进行分析,整个序列随机拆分成多个非等长连续序列作为输入,在算法中计算相应的支持度、置信度和提升度,依据这三个相互制约判别标准得到每类IQ信号的数据之间的关联规则,根据已知IQ信号的数据的行为序列预测之后IQ信号的数据所属类别,从而达到预测网络中接下来的行为。
如图5所示,为本发明实例的关联规则算法的评价标准示意图。图中字母表示IEEE802.11g中的几类IQ信号:字母A代表RTS信号,字母B代表CTS信号,字母C代表ACK信号,字母D代表Probe response信号,字母E代表Action信号,字母F代表CF-End信号,字母G代表Beacon信号,字母H代表Ack-Req信号。其中,第一层表示设备采集到的所有信号之间的行为关系。第二层表示通过支持度阈值的关联规则。支持度,目的是剔除那些无意义,出现概率较低的规则。第三层表示通过提升度阈值的关联规则;提升度,反映了关联规则中的信号之间的相关性。第四层表示通过置信度阈值的关联规则;置信度,反映了先决条件发生的条件下,关联结果发生的概率。在第五层中开始行为预测,在A信号和B信号相继发生后,接下来最有可能出现的是C信号的行为。

Claims (1)

1.一种基于无线网络物理层IQ信号的行为识别方法,其特征在于,该方法包括以下步骤:
步骤1:进行物理层IQ信号的采集;即,对两台通过无线网络通信协议进行组网的实验设备,通用软件无线电外设作为物理层IQ信号的采集设备,设置对应的频段,完成该无线网络内物理层IQ信号的采集;
步骤2:对IQ信号做降噪处理,并剔除异常数据;即,通过常见的信号去噪处理方法对IQ信号进行去噪处理,并剔除异常数据,处理后的每条IQ信号的数据按照先后顺序保存在文件中;
步骤3:使用深度学习模型,对IQ信号进行特征提取;即,将处理后的IQ信号的数据放入深度学习模型下自动进行特征提取,所提取的高强度低维特征能够代表每条IQ信号的数据,以保留IQ信号的原始属性为目标,对深度学习模型进行训练;
步骤4:对提取特征降维后的IQ信号进行聚类,通过训练好的聚类模型给原始IQ信号数据打标签;即,将提取的特征降维后的IQ信号的数据放入聚类模型进行训练和测试,依据聚类评价指标,得到具有鲁棒性的聚类模型,对每条原始IQ信号通过特征提取,在聚类过程中进行分簇和给IQ信号打标签,所有标签组成了一个行为模式序列;
步骤5:根据标签所形成的行为模式序列,做数据挖掘关联规则分析;即,根据步骤2中按照每条IQ信号的保存顺序来保存对应的标签,采用数据挖掘中的关联规则方法进行分析,对序列内的规律知识进行挖掘;
步骤6:有序的IQ信号的数据对应的标签号组成了一个行为模式序列,采用数据挖掘中Apriori方法进行分析,整个序列随机拆分成多个非等长连续序列作为输入,在算法中计算相应的支持度、置信度和提升度,依据这三个相互制约判别标准得到每类IQ信号的数据之间的关联规则,根据已知IQ信号的数据的行为序列预测之后IQ信号的数据所属类别,从而达到预测网络中接下来的行为。
CN201911070541.0A 2019-11-05 2019-11-05 一种基于无线网络物理层iq信号的行为识别方法 Active CN110856178B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911070541.0A CN110856178B (zh) 2019-11-05 2019-11-05 一种基于无线网络物理层iq信号的行为识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911070541.0A CN110856178B (zh) 2019-11-05 2019-11-05 一种基于无线网络物理层iq信号的行为识别方法

Publications (2)

Publication Number Publication Date
CN110856178A CN110856178A (zh) 2020-02-28
CN110856178B true CN110856178B (zh) 2021-11-02

Family

ID=69598836

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911070541.0A Active CN110856178B (zh) 2019-11-05 2019-11-05 一种基于无线网络物理层iq信号的行为识别方法

Country Status (1)

Country Link
CN (1) CN110856178B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111551893A (zh) * 2020-06-19 2020-08-18 天津大学 一种深度学习与集成神经网络的室内定位方法
CN112566174B (zh) * 2020-12-02 2022-05-03 中国电子科技集团公司第五十二研究所 一种基于深度学习的异常i/q信号识别方法及***
CN117527446B (zh) * 2024-01-03 2024-03-12 上海人工智能网络***工程技术研究中心有限公司 一种网络异常流量精细化检测方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100362803C (zh) * 2004-10-15 2008-01-16 华中科技大学 基于聚类与关联的网络安全报警***
CN103368979B (zh) * 2013-08-08 2015-02-04 电子科技大学 一种基于改进K-means算法的网络安全性验证装置
US10454967B1 (en) * 2015-09-25 2019-10-22 EMC IP Holding Company LLC Clustering computer security attacks by threat actor based on attack features
CN105306475B (zh) * 2015-11-05 2018-06-29 天津理工大学 一种基于关联规则分类的网络入侵检测方法
CN106411921B (zh) * 2016-10-31 2019-05-14 中国人民解放军信息工程大学 基于因果贝叶斯网络的多步攻击预测方法
CN108712397A (zh) * 2018-04-28 2018-10-26 天津大学 基于深度学习的通信协议识别方法
CN109327480B (zh) * 2018-12-14 2020-12-18 北京邮电大学 一种多步攻击场景挖掘方法
CN109711459B (zh) * 2018-12-24 2019-11-15 广东德诚科教有限公司 用户个性化行为评测方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN110856178A (zh) 2020-02-28

Similar Documents

Publication Publication Date Title
Wong et al. Clustering learned CNN features from raw I/Q data for emitter identification
CN110856178B (zh) 一种基于无线网络物理层iq信号的行为识别方法
Hall et al. Radio frequency fingerprinting for intrusion detection in wireless networks
Hall et al. Enhancing intrusion detection in wireless networks using radio frequency fingerprinting.
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Zolotukhin et al. Analysis of HTTP requests for anomaly detection of web attacks
Tan et al. Network intrusion detection based on LDA for payload feature selection
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
KR102067324B1 (ko) 무선 Wi-Fi 망에서 딥러닝을 이용한 위장 공격 특장점 분석 장치 및 방법
Juvonen et al. An efficient network log anomaly detection system using random projection dimensionality reduction
CN110798463A (zh) 基于信息熵的网络隐蔽信道的检测方法及装置
Ghaznavi et al. A low complexity cluster based data fusion to defense against SSDF attack in cognitive radio networks
Raihan-Al-Masud et al. Network intrusion detection system using voting ensemble machine learning
Robinson et al. Novel device detection using RF fingerprints
CN111224984A (zh) 一种基于数据挖掘算法的Snort改进方法
Wang et al. Specific emitter identification based on deep adversarial domain adaptation
RU2615317C1 (ru) Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований
CN116578970A (zh) 一种基于图神经网络的异构图中社交机器人检测方法
CN114884755A (zh) 一种网络安全防护方法、装置、电子设备及存储介质
Hoque et al. An alert analysis approach to DDoS attack detection
CN113542222A (zh) 一种基于双域vae的零日多步威胁识别方法
CN115086019B (zh) 一种工业物联网物理层数据波形特征入侵检测方法
Huang et al. Research on Malicious URL Identification and Analysis for Network Security
CN114501446B (zh) 动态工业场景下基于PU bagging策略的物理层认证方法
CN115714687B (zh) 入侵流量检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant