CN111757328A - 一种跨技术通信的欺骗攻击检测方法 - Google Patents

Abstract

本发明提供了一种跨技术通信的欺骗攻击检测方法，包括以下步骤：步骤1，建立跨技术通信网络，获取正常数据；步骤2，使用一类支持向量机算法对正常数据进行训练并构建一类支持向量机算法分类器；步骤3，使用步骤2得到的一类支持向量机算法分类器获取异常数据；步骤4，将正常数据和异常数据作为训练集，使用支持向量机算法进行分类训练，得到训练好的支持向量机算法分类器，通过支持向量机算法分类器对网络中的数据进行检测。

Description

一种跨技术通信的欺骗攻击检测方法

技术领域

本发明涉及一种跨技术通信的欺骗攻击检测方法。

背景技术

在最近的几十年中，对无线通信的越来越多的需求也增加了与通信安全性相关的问题。作为一项新兴的研究工作，跨技术通信(CTC，Cross-Technology-Communication)技术为实现异构无线设备之间的直接通信打开了一个有希望的方向。不幸的是，CTC的安全性并没有一直在设计中就被考虑在内，因此CTC的应用可能会遭受严重的安全隐患。由于无线传输介质的开放性，欺骗攻击特别容易实现，并且会严重损害网络性能。例如，假设存在恶意WiFi发射器或攻击者已经破坏了该恶意WiFi发射器，则它可以在同一频带中发送欺骗数据包，以通过CTC控制蓝牙或ZigBee接收器(Zigbee技术是一种应用于短距离和低速率下的无线通信技术，Zigbee过去又称为“HomeRF Lite”和“FireFly”技术,统一称为Zigbee技术)。

作为一项新兴的研究工作，跨技术通信(CTC)技术为实现异构无线设备之间的直接通信打开了一个有希望的方向。根据使用不同层调制的CTC，现有的CTC工作可以分为两类：数据包级调制和物理级调制。具体来说，与粗粒度包级调制相比，物理级调制可以通过直接模拟物理层中的异构信号来实现高速吞吐量。

发明内容

发明目的：为解决背景技术中存在的技术问题，本发明一种跨技术通信的欺骗攻击检测方法，包括如下步骤：

步骤1，建立跨技术通信网络，获取正常数据；

步骤2，使用一类支持向量机算法对正常数据进行训练并构建一类支持向量机算法分类器；

步骤3，使用步骤2得到的一类支持向量机算法分类器获取异常数据；

步骤4，将正常数据和异常数据作为训练集，使用支持向量机算法进行分类训练，得到训练好的支持向量机算法分类器，通过支持向量机算法分类器对网络中的数据进行检测。

步骤1包括：所述跨技术通信网络包括无线设备、服务器和控制台；

所述无线设备包括ZigBee设备和WiFi设备，设定网络中所有的ZigBee设备正常通信，不存在欺骗攻击；服务器接收合法ZigBee设备和WiFi设备监视的数据包以进行全局检测；控制台接收数据包，利用时间戳或序列号对接收信号强度RSS样本进行归一化，组合数据包并构造样本，本发明中，合法zigbee设备以及WiFi设备统称为正常用户、有效节点、合法节点或者正常节点。

步骤2包括：

步骤2-1，构建训练集：根据控制台获取的接收信号强度RSS样本数据，得到Wi-Fi节点i的向量x_i为：

其中

是来自第k个设备的节点i的接收信号强度RSS值；

将Wi-Fi节点的向量用作其信号指纹，并使用来自合法节点的向量实时构建训练集X：

X＝{x₁,x₂,…,x_n}

其中n是训练集中的样本总数，训练集X中的数据即正常数据；

步骤2-2，一类支持向量机算法的目标表述为下列二次优化问题：

其中，

是训练集中特征向量的非线性映射函数，w是权重向量，ξ_i是松弛变量，b是使间隔最大化的偏置量，正则化参数v∈(0,1)；

在所有样本中，满足

的帧

即为支持向量，通过求解上述二次优化问题，得到分类器f(x)：

步骤2-3，为了确定测试样本向量x_j落在超平面之上还是离群值之上(样本数据是手动收集的，所以可以将整个样本数据拿出75％用于训练，再将25％用作测试数据)，决策函数使用非线性核函数K(x_i,x_j)：

其中，μ_i是通过

函数使间隔最大化而获得的拉格朗日因子，f_OSVM是最终的决策函数；

分别采用三种不同的核函数K(x_i,x_j)，即下面方程式中给出的多项式：

这三个核函数分别对应着：多项式核函数，sigmoid核函数，RBF核函数，这三个核函数有不同的适用场景，使用不同的核函数计算，会有不同的分类精度，可以分别使用，最后选择分类精度较高的核函数训练一类支持向量机算法的分类器。

最终，求解出参数μ_i，b，并采用上述三种不同的核函数，当代入测试样本向量x_j，f_OSVM(x_j)＝1的情况，则表示帧x_j来自合法设备；f_OSVM(x_j)＝-1表示帧x_j来自非法设备，即欺骗攻击的发动者；对于支持向量

f_OSVM(x_j)＝0。

步骤3包括：使用一类支持向量机算法来检测测试样本是否为新颖样本，如果是，即f_OSVM(x_j)＝-1，表示对应的设备是非法设备，即欺骗攻击者，所述测试样本即为异常数据。由于缺少欺骗攻击的异常数据，使用训练好的一类支持向量机为接下来构造支持向量机分类器提供了异常数据，将正常数据和异常数据作为训练集，训练构造支持向量机算法分类器，通过支持向量机算法分类器对网络中爆发的大规模欺骗攻击进行探测。

步骤4包括：

带有I个特征向量的标记训练集D由下式给出：

D＝{x_i|x_i∈Rⁿ,y_i∈[-1,+1]}

其中

是来自第k个设备的节点i的接收信号强度RSS值，y_i是x_i的标签；

目标是找到最大间隔超平面，以将y_i＝+1的特征向量与y_i＝-1的特征向量分开，任何超平面都能够写成满足以下特征向量的集合：

w^Tx+b＝0

w^Tx+b＝1

其中，

是超平面相对于原点沿w的偏移量；如果w^Tx-b>0，则y_i标记为1，否则y_i标记为-1，如下所示：

设定训练样本是线性可分离的，则在超平面w^Tx+b＝0上没有训练点，为了控制可分离性，建立以下不等式：

等于：

超平面w^Tx+b＝c形成分离超平面，c是变量，-1<c<1；

所有训练数据必须满足(一类支持向量机算法分类器的训练数据是一类数据即正常的RSS值，支持向量机算法分类器的训练数据需要两类，即正常数据以及异常数据)：

其中δ是间隔；下式中施加约束：

δ||w||＝1

则找到最大间隔超平面的问题变成下式问题：

对偶问题是：

α_i和α_j是拉格朗日因子；对偶问题的由来是使用拉格朗日乘数法对上面方程的简化，因为直接求解如下问题：

非常困难，所以使用拉格朗日乘数法得到其对偶问题进行求解。

必须有可行的解决方案

则满足

的特征向量为支持向量，S为支持向量集：

如果x_i是支持向量，则α_i>0，否则α_i＝0：

其中|S|表示支持向量集S中元素的数量；

对于测试样本z，如果

z属于1类，否则，它属于-1类，在下式中给出：

步骤4中，如果允许错误ξ_i，需要解决以下问题：

其中ξ_i是优化中的松弛变量；ξ_i＝0表示x_i没有错误；C是误差和间隔之间的折衷参数；

对偶问题是：

对偶优化问题使用QP求解器解决，w被恢复为

用于测试测试样本z，如果

z属于1类，否则，它属于-1类。

步骤4中，设定核函数由

定义，探测欺骗攻击问题变成：

和一类支持向量机类似，支持向量机的决策函数，分别采用了以下三种核函数：

则支持向量机分类器的决策函数f_SVM(x)为：

f_SVM(x)用于测试测试样本z，如果f_SVM(z)＝1，则表示测试样本z来自合法设备，即不存在欺骗攻击，否则，f_SVM(z)＝-1，则测试样本z来自非法设备，此时网络中存在欺骗攻击。

本发明具有如下有益效果：1、本发明方法不依赖于密码学，与环境条件和发送方与接收方之间的距离有关的接收信号强度(RSS)这一物理属性，因此，本发明方案不需要任何额外的开销或对无线设备和传感器节点的修改。2、本发明使用了OSVM算法在缺少异常数据的情况下，只需要正常的RSS训练样本就可以实现分类器的构造，以探测欺骗攻击。3、OSVM分类器可以获取异常数据，从而为SVM分类器的训练提供样本，当网络中爆发大规模欺骗攻击时，使用SVM分类器可以获得更高的分类精度。

附图说明

下面结合附图和具体实施方式对本发明做更进一步的具体说明，本发明的上述和/或其他方面的优点将会变得更加清楚。

图1是物理层跨技术通信过程示意图。

图2是本发明涉及的网络架构示意图。

图3是两个ZigBee设备通信时遇到攻击示意图。

具体实施方式

与数据包级调制相比，物理级调制的粒度更细，因此可以通过直接模拟物理层中的异构信号来实现高速吞吐量。作为一项开创性研究，WEBee使用WiFi信号来模拟另一个ZigBee信号，而无需更改硬件或固件。如图1所示，为了使有效负载的射频信号RF(RF-RadioFrequency Signal)波形类似于ZigBee信号，WEBee精心填充了发送的Wi-Fi帧的有效负载。当ZigBee设备接收到这样的WiFi帧时，它将忽略WiFi标头，前导和尾部作为噪声，而有效载荷将成功通过ZigBee前导检测，然后ZigBee接收器将对仿真的ZigBee帧进行解调。

在本实施例中，主要研究跨技术通信(CTC)的欺骗攻击，尤其是从WiFi到ZigBee的欺骗攻击，并建议利用接收信号强度(RSS，Received Signal Strength)，这是一种与环境条件以及发送方和接收方之间的距离相关的物理属性(不依赖于密码学)，以此作为检测欺骗的依据。具体来说，当短距离ZigBee设备彼此通信时，具有广泛部署和更长传输范围的WiFi设备可以轻松发起CTC欺骗攻击。为了抵消通过CTC链路进行的上述欺骗攻击，本发明使用基于RSS物理属性的机器学习方法研究从WiFi设备到ZigBee设备的CTC欺骗攻击，即首先使用一类支持向量机(OSVM)针对网络中的正常用户进行训练并构建分类器，当检测出一个奇异的数据时则意味着出现异常情况(存在欺骗攻击)；当拥有大量的训练数据时，使用支持向量机算法(SVM)进行分类训练。最后，本发明的方案不需要任何额外的开销或对无线设备和传感器节点的修改。

图2中提供了系统设计的网络架构，该架构由无线设备(即ZigBee设备和WiFi设备)，服务器和控制台组成。设定存在ZigBee设备之间正常通信的情况。由于WiFi设备可以直接与ZigBee设备通信，因此攻击者可以使用WiFi设备伪装成ZigBee设备来发起欺骗攻击。此时，网络中的合法ZigBee设备和WiFi设备可以充当“监视器”，并实时接收WiFi攻击者的帧以进行欺骗检测。服务器接收合法ZigBee设备和WiFi设备监视的数据包以进行全局检测。控制台接收数据包，利用时间戳或序列号对RSS样本进行归一化，组合数据包并构造样本。

如图3所示，两个ZigBee设备正在相互通信。由于无线传输介质的开放性，位于附近位置的WiFi设备可以轻松地从ZigBee发射机接收数据帧。因此，WiFi攻击者会发起包括两个步骤的欺骗攻击。首先，攻击者处于频道监听状态，获取ZigBee设备的发送帧，然后将身份信息伪装成合法设备的伪装，最后成功发动恶意攻击。

通过拥有测量ZigBee设备上Wi-Fi数据包的RSS的能力，可以使用ZigBee和Wi-Fi设备中的RSS值来检测欺骗攻击者。部署网络后，将测量来自所有ZigBee和Wi-Fi设备的每个Wi-Fi发射机的RSS。因此，可以获得Wi-Fi节点i的向量为：

其中

是来自设备k的节点i的RSS值。然后可以将Wi-Fi设备的向量用作其信号指纹，并使用来自有效节点的向量实时构建训练集。最后，使用一类支持向量机(OSVM)算法来检测向量样本是否为新样本。一个新的向量样本表示相应的设备是欺骗攻击者。

1、一类支持向量机(OSVM)

机器学习组件根据机器学习算法的计算结果输出指标I_ML，指示用户是否在目标区域内。使用一类支持向量机(OSVM)算法，其中一类是有效用户。整个过程可以在以下步骤中进行描述。

1)训练集：使用来自有效用户的选定RSS数据填充训练集。训练集中每个样本都包括接收帧的时间，发送者的MAC地址以及来自AP和监视器的RSS数据。将训练集表示为X＝{x₁,x₂,…,x_n}

其中n是训练集中的样本总数，RSS将每个样本描述为：

OSVM的主要目标是在训练数据集中，基于特征向量生成决策函数。在本发明中，OSVM通过在非线性空间中找到一个合适的超平面来探测恶意设备，因此，目标被表述为下列二次优化问题：

其中，n是训练样本的数量，

是训练集中特征向量的非线性映射函数(nonlinear mapping function)，w是模型的权重向量(weight vector)，ξ_i是松弛变量(non-zero slack variable)，使模型具有一定的公差/容差(tolerance)，b是使间隔最大化的偏置量(bias variable)，正则化参数(regularization parameter)v∈(0,1)设置为0.01以控制公差/容差(tolerance)，它代表离群值的上限值和支持向量的数量的下限值，v的变化控制ξ和b之间的权衡。在所有训练样本中，满足

的帧

即所谓的支持向量，位于分类器的边缘。通过解决问题，获得分类器：

f(x)＝1的情况表示帧x来自有效用户；否则f(x)＝-1。对于支持向量

f(x)＝0。

为了确定测试样本向量x_j落在超平面之上还是离群值之上(样本数据是手动收集的，所以可以将整个样本数据拿出75％用于训练，再将25％用作测试数据)，决策函数使用非线性核函数K(x_i,x_j)：

其中，μ_i是通过

函数使间隔最大化而获得的拉格朗日乘数(Lagrangemultiplier)。在恶意中继节点攻击检测问题中，分别采用了三种不同的内核函数K(x_i,x_j)，即下面方程式中给出的多项式，Sigmoid和径向基函数(RBF)函数。

这三个核函数分别对应着：多项式核函数，sigmoid核函数，RBF核函数，这三个核函数有不同的适用场景，使用不同的核函数计算，会有不同的分类精度，可以分别使用，最后选择分类精度较高的核函数训练一类支持向量机算法的分类器。

最终，求解出参数μ_i，b，并采用上述三种不同的核函数，当代入测试样本向量x_j，f_OSVM(x_j)＝1的情况，则表示帧x_j来自合法设备；f_oSVM(x_j)＝-1表示帧x_j来自非法设备，即欺骗攻击的发动者；对于支持向量

f_OSVM(x_j)＝0。

2、支持向量机(SVM)

带有I个特征向量的标记训练集D由下式给出，y_i是x_i的标签：

D＝{x_i|x_i∈Rⁿ,y_i∈[-1,+1]}

每个特征向量x_i是一个n维实向量：

目标是找到最大间隔超平面，以将y_i＝+1的特征向量与y_i＝-1的特征向量分开，任何超平面都能够写成满足以下特征向量的集合：

w^Tx+b＝0

w^Tx+b＝1

其中，

是超平面相对于原点沿w的偏移量。如果w^Tx-b>0，则y_i标记为1，否则y_i标记为-1，如下所示：

设定训练点是线性可分离的，则在超平面w^Tx+b＝0上没有训练点。因此，为了控制可分离性，建立以下不等式：

等于：

超平面w^Tx+b＝c(-1<c<1)形成分离超平面。如果训练数据D是线性可分离的，则可以选择两个超平面，以使所有特征向量都被两个超平面分开，并且它们之间没有特征向量，然后尝试最大化它们的距离。它们所包围的区域称为“间隔”。具有最大间隔的超平面是所谓的最佳分离超平面。目标是确定最佳分离超平面。从训练数据x到分离超平面的欧几里德距离为

经过x并与分离超平面正交的线是

其中|a|是从x到超平面的欧几里德距离。

然后所有训练数据必须满足：

其中δ是间隔。下式中施加约束：

δ||w||＝1

从上面两个公式，获得最优的分离超平面。找到最佳分离超平面的问题变成下式问题：

因此对偶问题是：

这是一个二次规划(QP)问题。因为设定训练数据是可分离的，所以必须有可行的解决方案

支持向量是那些满足

S被称为支持向量集：

如果x_i是支持向量，则α_i>0，否则α_i＝0：

其中|S|这里表示集合S中元素的数量。

通常，许多α_i为零。w是少量数据点x_i的线性组合。用于测试新数据z，如果

z属于1类，否则，它属于-1类，在下式中给出：

实际上，训练数据始终不可分离。如果允许“错误”ξ_i，需要解决以下问题：

其中ξ是优化中的“松弛变量”。ξ_i＝0表示x_i没有错误。C是误差和间隔之间的折衷参数。

它的对偶问题是：

对偶优化问题使用QP求解器解决。w被恢复为

用于测试新数据z，如果

z属于1类，否则，它属于-1类。

可以通过一些“核技巧”来使用非线性SVM。假设核函数由

定义。问题变成：

w被恢复为

用于测试新数据z，如果

z属于1类，否则，它属于-1类。

总而言之，基于SVM的身份验证方案的思想是使用D获得分类器

或

在本发明实施例中，对于公式：

其中

是来自设备k的节点i的RSS值。上式中的RSS值是无线设备的信号强度的测量值，在OSVM分类器训练中，将在其他无线设备上接收到的合法节点i的RSS值代入上式，参与前文所述一系列公式的运算求解，设定核函数由

定义，探测欺骗攻击问题变成：

和一类支持向量机类似，支持向量机的决策函数，分别采用了以下三种核函数：

则支持向量机分类器的决策函数f_SVM(x)为：

f_SVM(x)用于测试测试样本z，如果f_SVM(z)＝1，则表示测试样本z来自合法设备，即不存在欺骗攻击，否则，f_SVM(z)＝-1，则测试样本z来自非法设备，此时网络中存在欺骗攻击。

本发明提供了一种跨技术通信的欺骗攻击检测方法，具体实现该技术方案的方法和途径很多，以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (7)

1.一种跨技术通信的欺骗攻击检测方法，其特征在于，包括以下步骤：

步骤1，建立跨技术通信网络，获取正常数据；

步骤2，使用一类支持向量机算法对正常数据进行训练并构建一类支持向量机算法分类器；

步骤3，使用步骤2得到的一类支持向量机算法分类器获取异常数据；

步骤4，将正常数据和异常数据作为训练集，使用支持向量机算法进行分类训练，得到训练好的支持向量机算法分类器，通过支持向量机算法分类器对网络中的数据进行检测。

2.根据权利要求1所述的方法，其特征在于，步骤1包括：所述跨技术通信网络包括无线设备、服务器和控制台；

所述无线设备包括ZigBee设备和WiFi设备，设定网络中所有的ZigBee设备正常通信，不存在欺骗攻击；服务器接收合法ZigBee设备和WiFi设备监视的数据包以进行全局检测；控制台接收数据包，利用时间戳或序列号对接收信号强度RSS样本进行归一化，组合数据包并构造样本，合法ZigBee设备和WiFi设备统称为正常用户。

3.根据权利要求2所述的方法，其特征在于，步骤2包括：

步骤2-1，构建训练集：根据控制台获取的接收信号强度RSS样本数据，得到Wi-Fi节点i的向量x_i为：

其中

是来自第k个设备的节点i的接收信号强度RSS值；

将Wi-Fi节点的向量用作其信号指纹，并使用来自合法节点的向量实时构建训练集X：

X＝{x₁，x₂，…，x_n}

其中n是训练集中的样本总数，训练集X中的数据即正常数据；

步骤2-2，一类支持向量机算法的目标表述为下列二次优化问题：

其中，

是训练集中特征向量的非线性映射函数，w是权重向量，ξ_i是松弛变量，b是使间隔最大化的偏置量，正则化参数u∈(0，1)；

在所有样本中，满足

的帧

即为支持向量，通过求解上述二次优化问题，得到分类器f(x)：

步骤2-3，为了确定测试样本向量x_j落在超平面之上还是离群值之上，决策函数使用非线性核函数K(x_i，x_j)：

其中，μ_i是通过

函数使间隔最大化而获得的拉格朗日因子，f_OSVM是最终的决策函数；其中，K(x_i，x_j)分别采用三种不同的核函数，即下面方程式中给出的多项式：

最终，求解出参数μ_i，b，并采用上述三种不同的核函数，当代入测试样本向量x_j，f_OSVM(x_j)＝1的情况，则表示帧x_j来自合法设备；f_OSVM(x_j)＝-1表示帧x_j来自非法设备，即欺骗攻击的发动者；对于支持向量

f_OSVM(x_j)＝0。

4.根据权利要求3所述的方法，其特征在于，步骤3包括：使用一类支持向量机算法来检测测试样本是否为新颖样本，如果是，即f_OSVM(x_j)＝-1，表示对应的设备是非法设备，即欺骗攻击者，所述测试样本即为异常数据。

5.根据权利要求4所述的方法，其特征在于，步骤4包括：

带有I个特征向量的标记训练集D由下式给出：

D＝{x_i|x_i∈Rⁿ，y_i∈[-1，+1]}

其中

是来自第k个设备的节点i的接收信号强度RSS值，y_i是x_i的标签；

目标是找到最大间隔超平面，以将y_i＝+1的特征向量与y_i＝-1的特征向量分开，任何超平面都能够写成满足以下特征向量的集合：

w^Tx+b＝0

w^Tx+b＝1

其中，

是超平面相对于原点沿w的偏移量；如果w^Tx-b＞0，则y_i标记为1，否则y_i标记为-1，如下所示：

设定训练样本是线性可分离的，则在超平面w^Tx+b＝0上没有训练点，为了控制可分离性，建立以下不等式：

等于：

超平面w^Tx+b＝c形成分离超平面，c是变量，-1＜c＜1；

所有训练数据必须满足：

其中δ是间隔；下式中施加约束：

δ||w||＝1

则找到最大间隔超平面的问题变成下式问题：

对偶问题是：

α_i和α_j是拉格朗日因子；

必须有可行的解决方案

则满足

的特征向量为支持向量，S为支持向量集：

如果x_i是支持向量，则α_i＞0，否则α_i＝0：

其中|S|表示支持向量集S中元素的数量；

对于测试样本z，如果

z属于1类，否则，它属于-1类，在下式中给出：

6.根据权利要求5所述的方法，其特征在于，步骤4中，如果允许错误ξ_i，需要解决以下问题：

其中ξ_i是优化中的松弛变量；ξ_i＝0表示x_i没有错误；C是误差和间隔之间的折衷参数；

对偶问题是：

对偶优化问题使用QP求解器解决，w被恢复为

用于测试测试样本z，如果

z属于1类，否则，它属于-1类。

7.根据权利要求6所述的方法，其特征在于，步骤4中，设定核函数由

定义，探测欺骗攻击问题变成：

其中α就是使用拉格朗日乘数法引入的拉格朗日因子，支持向量机的决策函数，分别采用了以下三种核函数：

则支持向量机分类器的决策函数f_SVM(x)为：

f_SVM(x)用于测试测试样本z，如果f_SVM(z)＝1，则表示测试样本z来自合法设备，即不存在欺骗攻击，否则，f_SVM(z)＝-1，则测试样本z来自非法设备，此时网络中存在欺骗攻击。

Images