CN114362834B - 一种基于bilstm的物理层攻击检测与识别方法 - Google Patents

一种基于bilstm的物理层攻击检测与识别方法 Download PDF

Info

Publication number
CN114362834B
CN114362834B CN202111499047.3A CN202111499047A CN114362834B CN 114362834 B CN114362834 B CN 114362834B CN 202111499047 A CN202111499047 A CN 202111499047A CN 114362834 B CN114362834 B CN 114362834B
Authority
CN
China
Prior art keywords
attack
under
spectrum
laser
bilstm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111499047.3A
Other languages
English (en)
Other versions
CN114362834A (zh
Inventor
巩小雪
庞嘉豪
张琦涵
郭磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN202111499047.3A priority Critical patent/CN114362834B/zh
Publication of CN114362834A publication Critical patent/CN114362834A/zh
Application granted granted Critical
Publication of CN114362834B publication Critical patent/CN114362834B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Optical Communication System (AREA)

Abstract

本发明涉及一种基于BILSTM的物理层攻击检测与识别方法,涉及光纤通信的安全领域,具体是一种利用物理层带内注入攻击与带外注入攻击对正常传输信号的攻击机制不同,正常信号在攻击信号的作用下经过长距离光纤传输后,光谱会发生不同程度的变化,变化的光谱反映着不同的攻击类型与不同的攻击强度,利用BILSTM网络的前向、后向序列相关性的超强学习能力,来识别不同的攻击类型以及攻击强弱。模型结构简单、对不同类别的注入攻击的识别精度高,攻击检测实时性高、模型成本耗费低。配合基于PCA的特征降维方法,可将原光谱4097维特征降低到20维的同时、对不同类别的注入攻击的识别精度也高、攻击检测实时性高。

Description

一种基于BILSTM的物理层攻击检测与识别方法
技术领域
本发明属于光纤通信的安全领域,涉及一种基于BILSTM的物理层攻击检测与识别方法。
背景技术
光网络承载了90%以上的互联网流量。但光网络是脆弱的,易受到多种物理层攻击,诸如在合法信号的传输窗口内、外进行的功率信号注入攻击、在光网络节点进行的窃听攻击、在合法用户信道发送非法的信号,进行的伪造攻击。其中,注入攻击对信号传输的质量最具破坏性,带内攻击信号叠加在合法信号的传输窗口内,由于干扰信号的不可滤除性,在接收端引入了额外噪声,会造成信号BER(Bit Error Rate)增大,使得通信服务质量发生降级。
带外攻击则是通过在合法信号传输窗口外,注入一个高功率信号,通过EDFA(Erbium Doped Fiber Amplifier,掺铒光纤放大器)的增益竞争,以及光纤的非线性效应,造成合法信号的功率衰减,以及相位发生变化,使得信号传输质量发生恶化。
已有的常规机器学习算法需利用比特误码率、差分群时延、接收信号功率、信号损失、Q因子等需要昂贵光电转换设备才能获得的参数进行训练、检测和识别,但其输入参数获得复杂,实时性低。
发明内容
有鉴于此,考虑到光谱可在避免光电转换的情况下直接获得,且深度学习有着对任意复杂非线性函数的高度近似性,使得深度学习一直备受大家的关注,其中LSTM(LongShort-Term Memory,长短期记忆)网络作为RNN(Recurrent Neural Network,循环神经网络)的一种改进形式,继承了RNN大部分模型特征,同时解决了梯度反向传播过程中出现的梯度消失问题,而BILSTM作为LSTM的一种改进形式,不仅学习前向序列相关性,也学习后向序列相关性,适用于处理与序列分布高度相关的问题,而光谱识别,可看成是一个与光谱特征分布高度相关的分类问题。
为达到上述目的,本发明提供如下技术方案:
一种基于BILSTM的物理层攻击检测与识别方法,包括以下步骤:
S1:定义宏观的攻击检测与识别的网络框架;
S2:搭建带内、带外注入攻击实现的16QAM双偏振相干通信系统;
S3:在没有注入干扰激光的条件下,将相干通信系统接收端检索到的光谱数据标记为信号正常传输下的光谱,并采集正常传输条件下的光谱样本;
S4:保证相干发射机信号发射功率恒定,改变注入激光的功率,在功率不变的情况下改变激光的发送频率,发送频率的变化范围在16QAM信号的传输窗口内,进行N次攻击后,统计接收端BER的分布情况,根据BER的分布情况定义该功率下的注入攻击属于带内轻度攻击,还是带内强度攻击,改变注入激光的发射功率,并采集相应攻击条件下的光谱样本;
S5:定义带外轻度、强度攻击,在相干发射机发射功率不变的情况下,在不同的激光功率下,改变激光的发射频率,频率范围在合法信号的传输窗口外,在一个特定功率激光攻击下,进行N+1次攻击后,统计接收端BER的分布情况,根据BER的分布情况定义该功率下的注入攻击属于带内轻度攻击,还是带内强度攻击,改变注入激光的发射功率,并采集相应攻击条件下的光谱样本;
S6:搭建BILSTM、一维卷积神经网络1D-CNN、支持向量机SVM分类模型,分别来进行攻击检测与识别,通过比较各种模型的攻击识别精度、模型训练时间复杂度、GPU利用率、测试集样本分类的时间消耗指标来验证BILSTM模型的优势以及模型的泛化能力;
S7:搭建Auto-Encoder,PCA降维模型,比较BILSTM在两种降维方式下的训练模型的识别精确度、模型训练的时间复杂度、测试集样本测试的时间复杂度、GPU利用率,得出训练模型在精度达到要求的同时,数据样本被降维到的最低维度度数。
进一步,所述步骤S1中,定义攻击检测与识别的网络框架,攻击者在网络节点通过一些耦合设备处注入攻击信号,信号经过ON(Optical Network)传输后,SDN(SoftwareDefined Network,软件定义网络)中的Optical Network Controller对ON进行传输监测,首先对传输信号的光谱数据进行检索、存储、数据预处理,最后将预处理后的数据馈送到已经训练好的神经网络进行攻击检测与识别,并且将网络受攻击情况以警报触发的形式送到网络安全管理员,从而对网络攻击进行快速处理。
进一步,所述步骤S2中,相干发射机发射出的25G-16QAM双偏振信号,经过WDM(波分复用器)后,在ROADM处与注入的CW Laser(Continuous Wave Laser,连续波激光)干扰信号共同传入到光纤传输环中,所述光纤传输环由偏振分复用标准单模光纤和EDFA组成,最后经过一个中心频率为发送的16QAM信号中心频率的50GHz带宽的OBPF(Optical BandPass Filter,光带通滤波器)后,在相干接收机前,ROADM中进行接收信号的光谱检测,并将信号光谱数据进行存储,用作后续处理。
进一步,所述步骤S3中,首先,25G-16QAM双偏振传输信号在经过500KM长距离传输后,经过解调端的DSP(Digital Signal Processing,数字信号处理)后,BER为0,此时将从接收端处的ROADM中检索的光谱数据标记为信号正常传输下的光谱,并采集正常传输条件下的光谱样本。
进一步,所述步骤S4中,保证相干发射机信号发射功率恒定,改变注入激光的功率,在功率不变的情况下改变激光的发送频率,发送频率的变化范围在16QAM信号的传输窗口内,即fc-25GHz≤f≤fc+25GHz,fc为传输信号的载波频率,f为激光的频率,进行601次攻击后,统计接收端BER的分布情况,重复此过程,最后根据在不同功率激光攻击下,接收端的BER分布情况定义带内轻度攻击与带内强度攻击,若在某个功率下,改变激光的频率进行601次攻击中,BER<0.02的样本数占据总样本数的50%或者50%以上,就认为在该功率下的带内攻击,有50%或者50%以上的概率花费一些高昂的代价进行比特纠错,这类攻击称为带内轻度攻击,并采集相应攻击条件下的光谱样本;而BER<0.02的样本数占据总样本数的5%或者低于5%,就认为在该攻击下,能消除攻击带来的影响从而正常传输的概率低于或者等于5%,这类攻击被定义为带内强度攻击,并采集相应攻击条件下的光谱样本。
进一步,所述步骤S5中,定义带外轻度、强度攻击,在相干发射机发射功率不变的情况下,在不同的激光功率下,改变激光的发射频率,频率范围在合法信号的传输窗口外,在一个特定功率激光攻击下,进行602次实验,若接收端的BER<0.02的样本数占据总样本数的50%或者50%以上,就认为这类攻击属于带外轻度攻击,并采集相应攻击条件下的光谱样本,若BER<0.02的样本数占据总样本数的5%或低于5%,就将这类攻击定义为带外强度攻击,并采集相应攻击条件下的光谱样本。
进一步,步骤S6中所述搭建BILSTM为:
一个LSTM块由遗忘门、学习门、输出门组成,对输入序列X={x1x2x3...xN}到输出序列H={h1h2h3...hN}的映射过程,在N=t时刻,输入序列xt在遗忘门处时,进行如下运算:
ft=σ(wf·[ht-1,xt]+bf)
在学习门处时:
it=σ(wi·[ht-1,xt]+bi)
神经元的临时状态:
ct=tanh(wc·[ht-1,xt]+bc)
神经元的当前状态:
ct=ft*ct-1+it*ct
到输出门时:
ot=σ(wo·[ht-1,xt]+bo)
最后神经元的隐层状态:
ht=ot*tanh(ct)
其中w代表神经元的权重矩阵,b代表神经元的偏置向量,σ是sigmoid激活函数,LSTM块对xt进行的计算,不仅跟前时刻LSTM块隐层状态ht-1有关,还与前时刻LSTM块的细胞状态ct-1有关,并且使用sigmoid、tanh作为激活函数;
BILSTM为:LSTM块对xt进行的计算,不仅依赖xt与前向序列xt-1之间的相关性,还取决于与后向序列xt+1之间的相关性。
进一步,步骤S6中所述1D-CNN为:光谱样本X={x1x2x3...xN}经输入层进入隐藏层后,首先被一维卷积层卷积核按位卷积,进行特征提取,之后在最大池化层处进行主要特征提取,添加Dropout层的目的是防止网络训练过程中出现过拟合,之后经过BN
(BatchNormalization,批标准化)层进行批标准化,加快网络的训练过程,最后从全局平均池化层输入到全连接层,全连接层计算出攻击类别后,输出到输出层。
进一步,步骤S7中所述PCA(Principal Component Analysis,主成分分析)是一种无监督学习方法,利用正交变换把由线性相关变量表示的变量数据转换成由少数线性无关的变量表示的数据,其中的线性无关变量就是所谓的“主成分”;
Auto-Encoder(自编码器)也是一种无监督学习方法,用于特征降维与提取,自编码器由编码器与解码器组成;当光谱样本X={x1x2x3...xN}通过输入层进入自编码器时,在输出层处的输出为有损的输入光谱样本,X_={x_1x_2x_3...x_N},自编码器中的编码器输出即为降维后的样本Y={y1y2y3...ym}且m≤N,当输入X与输出X_映射过程中引入的降维损失越小时,编码器的降维效果越好。
本发明的有益效果在于:本发明搭建的BILSTM网络对注入攻击的识别率为100%,经原始数据集进行PCA降维后,对没有攻击、带内轻度攻击、带内强度攻击、带外轻度攻击、带外强度攻击的平均分类精度较高,模型训练迭代时间较低。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作优选的详细描述,其中:
图1为攻击检测与识别的网络框架;
图2为带内、带外注入攻击实现的16QAM双偏振相干通信系统;
图3为信号正常传输条件下的光谱;
图4为被发送功率为0.035mw,频偏Δf=1GH的激光攻击后的信号光谱;
图5为受到发送功率为0.035mw,频偏为Δf=1GHz的激光攻击后与受到攻击前的光谱对比图;
图6为被发送功率为0.035mw,频偏Δf=3GH的激光攻击后的信号光谱;
图7为被发送功率为0.035mw,频偏Δf=7GH的激光攻击后的信号光谱;
图8为被发送功率为0.035mw,频偏Δf=12GH的激光攻击后的信号光谱;
图9为被发送功率为0.07mw,频偏Δf=3GH的激光攻击后的信号光谱;
图10为被发送功率为0.07mw,频偏Δf=7GH的激光攻击后的信号光谱;
图11为被发送功率为0.07mw,频偏Δf=12GH的激光攻击后的信号光谱;
图12为被发送功率为58.85mw,频偏Δfout=50GHz的激光攻击后的信号光谱;
图13为被发送功率为58.85mw,频偏Δfout=100GHz的激光攻击后的信号光谱;
图14为被发送功率为58.85mw,频偏Δfout=150GHz的激光攻击后的信号光谱;
图15为被发送功率为80mw,频偏Δfout=50GHz的激光攻击后的信号光谱;
图16为被发送功率为80mw,频偏Δfout=100GHz的激光攻击后的信号光谱;
图17为被发送功率为80mw,频偏Δfout=150GHz的激光攻击后的信号光谱;
图18为LSTM网络结构;
图19为BILSTM网络结构;
图20为1D-CNN网络结构;
图21为Auto-Encoder结构;
图22为BILSTM直接对光谱进行检测的混淆矩阵、模型的训练时间、测试集测试时间、GPU利用率;
图23为CNN直接对光谱进行检测的混淆矩阵、模型的训练时间、测试集测试时间、GPU利用率;
图24为SVM直接对光谱进行检测的混淆矩阵、模型的训练时间、测试集测试时间、GPU利用率;
图25为当PCA将光谱样本特征分别降到20、30、40…、150维时,BILSTM模型检测与识别的性能;
图26为当Auto-Encoder将光谱样本特征分别降到20、30、40…、150维时,BILSTM模型检测与识别的性能;
图27为当PCA将光谱样本特征降到20维时,BILSTM模型的检测性能、检测的实时性、资源消耗等情况;
图28为当Auto-Encoder将光谱样本特征降到120维时,BILSTM模型的检测性能、检测的实时性、资源消耗等情况。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
其中,附图仅用于示例性说明,表示的仅是示意图,而非实物图,不能理解为对本发明的限制;为了更好地说明本发明的实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
本发明实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要理解的是,若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本发明的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
考虑到光谱可在避免光电转换的情况下直接获得,且深度学习有着对任意复杂非线性函数的高度近似性,使得深度学习一直备受大家的关注,其中LSTM(Long Short-TermMemory,长短期记忆)网络作为RNN(Recurrent Neural Network,循环神经网络)的一种改进形式,继承了RNN大部分模型特征,同时解决了梯度反向传播过程中出现的梯度消失问题,而BILSTM作为LSTM的一种改进形式,不仅学习前向序列相关性,也学习后向序列相关性,适用于处理与序列分布高度相关的问题,而光谱识别,可看成是一个与光谱特征分布高度相关的分类问题。
因此本发明直接利用光谱设计高实时性的检测和识别方法:一种基于BILSTM对不同强度,不同类型的注入攻击,通过接收端合法信号光谱特征的变化,进行检测与识别方法。
包括以下内容:
步骤1:定义攻击检测与识别的网络框架,如图1所示,攻击者在网络节点通过一些耦合设备,例如在OXC(optical cross-connect,光交叉连接)处注入攻击信号,信号经过ON传输后,SDN(Software Defined Network,软件定义网络)中的Optical NetworkController对ON进行传输监测,首先对传输信号的光谱数据进行检索、存储、数据预处理,最后将预处理后的数据馈送到已经训练好的神经网络进行攻击检测与识别,并且将网络受攻击情况以警报触发的形式送到网络安全管理员,从而对网络攻击进行快速处理。
步骤2:搭建带内、带外注入攻击实现的16QAM双偏振相干通信系统,如图2所示,相干发射机发射出的25G-16QAM双偏振信号,经过WDM(波分复用器)后,在ROADM处与注入的CWLaser(Continuous Wave Laser,连续波激光)干扰信号共同传入到光纤传输环中,光纤传输环由偏振分复用标准单模光纤和EDFA组成,最后经过一个中心频率为发送的16QAM信号中心频率的50GHz带宽的OBPF(Optical Band Pass Filter,光带通滤波器)后,在相干接收机前,ROADM中进行接收信号的光谱检测,并将信号光谱数据进行存储,用作后续处理。
步骤3:首先,25G-16QAM双偏振传输信号在经过500KM长距离传输后,经过解调端的DSP(Digital Signal Processing,数字信号处理)后,BER为0,这个时候将从接收端处的ROADM中检索的光谱数据标记为信号正常传输下的光谱,并采集正常传输条件下的光谱样本。
步骤4:保证相干发射机信号发射功率恒定,改变注入激光的功率,在功率不变的情况下改变激光的发送频率,发送频率的变化范围在16QAM信号的传输窗口内,即fc-25GHz≤f≤fc+25GHz,fc为传输信号的载波频率,f为激光的频率,进行601次攻击后,统计接收端BER的分布情况,重复此过程,最后根据在不同功率激光攻击下,接收端的BER分布情况定义带内轻度攻击与带内强度攻击,若在某个功率下,改变激光的频率进行601次攻击中,BER<0.02的样本数占据总样本数的50%或者50%以上,就认为在该功率下的带内攻击,有50%或者50%以上的概率花费一些高昂的代价,如强纠错,进行比特纠错,从而可以消除攻击带来的影响,这类攻击称为带内轻度攻击,并采集相应攻击条件下的光谱样本。
而BER<0.02的样本数占据总样本数的5%或者低于5%,就认为在该攻击下,能消除攻击带来的影响从而正常传输的概率低于或者等于5%,这类攻击被定义为带内强度攻击,并采集相应攻击条件下的光谱样本。
步骤5:定义带外轻度、强度攻击,类似于带内轻度攻击,带内强度攻击的定义,在相干发射机发射功率不变的情况下,在不同的激光功率下,改变激光的发射频率,频率范围在合法信号的传输窗口外,在一个特定功率激光攻击下,进行602次实验,若接收端的BER<0.02的样本数占据总样本数的50%或者50%以上,就认为这类攻击属于带外轻度攻击,并采集相应攻击条件下的光谱样本,若BER<0.02的样本数占据总样本数的5%或低于5%,就将这类攻击定义为带外强度攻击,并采集相应攻击条件下的光谱样本。
步骤6:搭建BILSTM、1D-CNN(一维卷积神经网络)、SVM(Support VectorMachines,支持向量机)分类模型,分别来进行攻击检测与识别,通过比较各种模型的攻击识别精度、模型训练时间复杂度、GPU利用率、测试集样本分类的时间消耗等指标来验证BILSTM模型的优势以及模型的泛化能力。
步骤7:搭建Auto-Encoder,PCA降维模型,比较BILSTM在两种降维方式下的训练模型的识别精确度、模型训练的时间复杂度、测试集样本测试的时间复杂度、GPU利用率等,得出训练模型在精度达到要求的同时,数据样本能被降维到的最低维度度数。
在本实施例中,采用VPI transmission Maker 9.5作为仿真软件,对提出的方案性能进行验证,传输系统如图2所示,由于带外注入攻击引起的EDFA中正常信号与带外注入激光之间的增益竞争需要的条件很苛刻(通常需要带外注入激光功率是正常信号功率的100倍以上),从实际的注入攻击成本考虑,通常希望注入激光功率小,并且攻击效果显著,经过仿真验证,带外注入攻击主要靠传输光纤的非线性效应,注入激光与正常信号之间发生交叉相位调制,受攻击的正常信号经过长距离光纤传输后,其光谱会发生不同程度的变化,EDFA增益竞争引入的受攻击信号光谱的微小变化可以不考虑,所以仿真系统中用理想放大器替换EDFA。与用EDFA放大器下正常信号因受注入攻击,光谱发生的变化相比。在理想放大器下,正常信号因受注入攻击,光谱发生的变化程度基本一致,不影响最后注入攻击检测与识别的一般性。
考虑到ROADM在实际传输系统中起着攻击信号耦合、发送信号放大、作为接收端光谱检测时的信号输出端口,因此在本实施例中,可以直接将攻击激光信号注入到WDM中即可,省去ROADM器件的使用。
VPI中部分参数设置如下:
表1
首先,在信号正常传输条件下,相干发射机的发射功率设置为2dbm,发射信号的波特率为25G Baud,传输符号数为211,光纤传输环环数设置为5(信号传输总距离为5×100KM),经过光纤长距离传输后,用分辨率为0.1nm的OSA(Optical Spectrum Analyzer:光谱分析仪)检测到的信号光谱如图3所示,Input 1表示正常传输的16QAM信号在fc-50GHz≤f≤fc+50GHz频带内的信号带光谱,fc为传输信号的载波频率。
1.带内攻击
设置连续波激光器的发射功率为0.035mw,发射激光的频率设置为fc+Δf,fc是正常传输信号的载波频率,Δf是注入激光的频率偏移量,简称频偏。为实现带内攻击的有效性,将Δf定义为:Δf∈(-15GHz,15GHz),当Δf=1GHz时,正常信号与注入激光经过光纤长距离传输后的光谱如图4所示,Input 2代表受带内攻击影响后的信号光谱,图5则是将未受到带内攻击的信号光谱(Input 1)与受到带内攻击后的信号光谱(Input 2)对比图,箭头指向处则是两种情况下光谱特征差异的体现,当Δf分别为3GHz、7GHz、12GHz时,受带内攻击的信号光谱发生不同程度的变化,分别如图6、图7、图8所示,Input 1表示正常传输下的信号光谱,Input 2表示受带内攻击后的信号光谱,随着Δf变化的程度增大,光谱之间的特征差异也变得更加明显。在发射功率为0.035mw、0.03mw、0.025mw、0.02mw、0.015mw,Δf∈(-15GHz,15GHz)的攻击条件下分别采集601个样本,不同攻击条件下接收端BER分布如表1-1所示:
表1-1
注入激光发射功率 采集样本总数 BER<0.02的样本占总样本的比例
0.035mw 601 50%
0.03mw 601 58%
0.025mw 601 64%
0.02mw 601 72%
0.015mw 601 80%
将五种不同激光发射功率下采集的总样本定义为带内轻度攻击样本。
将连续波激光器的发射功率分别设置为0.07mw、0.08mw、0.09mw、0.1mw、0.11mw,Δf∈(-15GHz,15GHz)的攻击条件下分别采集601个样本,不同攻击条件下接收端BER分布如表1-2所示:
表1-2
将五种不同激光发射功率下采集的总样本,定义为带内强度攻击样本。
图9、图10、图11分别为激光发射功率为0.07mw,Δf分别为3GHz、7GHz、12GHz攻击条件下,正常传输下信号的光谱(Input 1)与受带内强度攻击后的信号光谱(Input 2)特征差异,箭头指向特征差异比较大的位置,相比带内轻度攻击造成的光谱差异而言,带内强度攻击引入的光谱幅度特征差异更加明显。
2.带外攻击
设置连续波激光器的发射功率分别为58.85mw、58.80mw、58.75mw、58.70mw、58.65mw,激光发射频率为fc±Δfout,其中fc为正常传输信号的载波频率,Δfout为频率偏移量且Δfout∈(50GHz,200GHz),在五种攻击条件下分别采集602个光谱样本,在接收端BER分布情况如表2-1所示,将五种不同激光发射功率下采集的总样本,定义为带外轻度攻击样本。
表2-1
注入激光发射功率 采集样本总数 BER<0.02的样本占总样本的比例
58.85mw 602 50%
58.80mw 602 56%
58.75mw 602 63%
58.70mw 602 67%
58.65mw 602 69%
图12、图13、图14分别为激光发射功率为58.85mw,激光频率偏移Δfout=50GHz、100GHz、150GHz时,正常传输下信号的光谱(Input 1)与受带外轻度攻击后的信号光谱(Input2)特征差异,随着Δfout的增大,两种光谱之间的特征差异逐渐变小,Input 1与Input 2的光谱趋近重合。
设置连续波激光器的发射功率分别为80mw、85mw、90mw、95mw、100mw,激光发射频率为fc±Δfout,其中fc为正常传输信号的载波频率,Δfout为频率偏移量且Δfout∈(50GHz,200GHz),在五种攻击条件下分别采集602个光谱样本,在接收端BER分布情况如表2-2所示,将五种不同激光发射功率下采集的总样本,定义为带外强度攻击样本。
表2-2
图15、图16、图17分别为激光发射功率为80mw,激光频率偏移Δfout=50GHz、100GHz、150GHz时,正常传输下信号的光谱(Input 1)与受带外强度攻击后的信号光谱(Input2)特征差异,箭头指向特征差异比较大的位置,随着Δfout的增大,两种光谱之间的特征差异逐渐变小,同时由于带外注入攻击信号的功率增大,引入了更多的两种光谱之间的幅度特征差异。
3.LSTM与1D-CNN
LSTM网络结构如图18所示,LSTM作为RNN的一种改进形式,解决了RNN长期依赖学习出现的梯度消失问题,通过对旧信息的选择性遗忘,新信息的学习来更新权重信息,一个LSTM块由遗忘门、学习门、输出门组成,对输入序列X={x1x2x3...xN}到输出序列H={h1h2h3...hN}的映射过程,在N=t时刻,输入序列xt在遗忘门处时,进行如下运算:
ft=σ(wf·[ht-1,xt]+bf) (3.1)
在学习门处时:
it=σ(wi·[ht-1,xt]+bi) (3.2)
神经元的临时状态:
ct=tanh(wc·[ht-1,xt]+bc) (3.3)
神经元的当前状态:
ct=ft*ct-1+it*ct (3.4)
到输出门时:
ot=σ(wo·[ht-1,xt]+bo) (3.5)
最后神经元的隐层状态:
ht=ot*tanh(ct) (3.6)
其中w代表神经元的权重矩阵,b代表神经元的偏置向量,σ是sigmoid激活函数,LSTM块对xt进行的计算,不仅跟前时刻LSTM块隐层状态ht-1有关,还与前时刻LSTM块的细胞状态ct-1有关,并且使用sigmoid、tanh作为激活函数,这样在长期依赖学习的过程中可以有效防止梯度消失的问题。
BILSTM的网络结构如图19所示,LSTM块对xt进行的计算,不仅依赖xt与前向序列xt-1之间的相关性,还取决于与后向序列xt+1之间的相关性。
1D-CNN的网络结构如图20所示,光谱样本X={x1x2x3...xN}经输入层进入隐藏层后,首先被一维卷积层卷积核按位卷积,进行特征提取,之后在最大池化层处进行主要特征提取,添加Dropout层的目的是防止网络训练过程中出现过拟合,之后经过BN(BatchNormalization,批标准化)层进行批标准化,加快网络的训练过程,最后从全局平均池化层输入到全连接层,全连接层计算出攻击类别后,输出到输出层。
4.SVM
SVM(支持向量机)是有监督学习方式中性能比较优越的分类器,SVM的非线性核函数将不同类别的样本,按照特征差异映射到超平面上的不同位置进行分类,SVM可处理非线性特征,同时也考虑了变量之间的相互作用,能够处理大型特征空间,对整个数据集依赖性很低,即当有特征缺失时,模型表现效果仍然很好。
5.PCA与Auto-Encoder
PCA(Principal Component Analysis,主成分分析)是一种常用的无监督学习方法,利用正交变换把由线性相关变量表示的变量数据转换成由少数线性无关的变量表示的数据,其中的线性无关变量就是所谓的“主成分”。
Auto-Encoder(自动编码器)也是一种无监督学习方法,主要用于特征降维与提取,结构如图21所示。从图中可以看到自编码器由编码器与解码器组成。
当光谱样本X={x1x2x3...xN}通过输入层进入自编码器时,在输出层处的输出为有损的输入光谱样本,X_={x_1x_2x_3...x_N},自编码器中的编码器输出即为降维后的样本Y={y1y2y3...ym}且m≤N,当输入X与输出X_映射过程中引入的降维损失越小时,编码器的降维效果越好。
6.结果展示
(a)BILSTM、CNN、SVM直接进行光谱检测
BILSTM与CNN训练过程中采用RMSprop(Root Mean Square prop,均方根传递)优化器,由于这里是一个对光谱进行多分类的问题,隐层输出采用softmax激活函数,损失函数采用categorical_crossentropy,训练次数epochs设置为200,采集的总光谱样本数为15035,一个光谱的特征维度为4097,数据集划分比例为:训练集:验证集:测试集=3:1:1。
TensorFlow的版本为2.4.0、NVIDIA GeForce GTX 1060 6GB驱动,CPU版本号为lntel(R)Core(TM)i7-8700 CPU@3.20GHz(12CPUs)~3.2GHz。
Softmax:
其中zi表示全连接层第i个神经元的输出,J表示全连接层中神经元总数或者分类类别数。
其中Y是一个样本的标签,是该样本的预测值。
BILSTM、CNN、SVM结构配置如表6-1所示:
表6-1
/>
Auto-Encoder神经网络结构,如表6-2所示:
表6-2
图22、23分别为BILSTM与CNN迭代200次后,在测试集上对各种攻击检测与识别的混淆矩阵图,以及模型训练时间、测试集测试时间、训练过程中GPU的利用率。SVM在测试集上对各种攻击检测与识别的混淆矩阵、模型训练时间、测试集分类时间如图24所示。模型训练过程中,BILSTM模型在迭代55次左右时对各类攻击情况的平均识别精度趋近于99.45%,耗时24s左右。而CNN模型在迭代126次左右时对各类攻击情况的平均识别精度趋近于98.80%,耗时378s左右。
从图24中可以看出,SVM无法100%检测出正常信号是否受到攻击,当正常信号受到带内轻度攻击,带外轻度攻击的时候,SVM分别有0.34%、0.66%的概率将其判定为未受到攻击。
从图22、23中可以看到CNN、BILSTM网络均可100%识别出正常传输信号是否受到攻击,但是CNN迭代200次时的时间消耗是BILSTM网络的6倍以上。并且BILSTM对各类攻击情况的平均识别准确率达到了99.45%((100%+99.50%+99.68%+100%+98.09%)/5),而CNN对各类攻击情况的平均识别准确率只有98.84%。
同时,在网络训练的过程中BILSTM的实时GPU利用率为20%~30%、而CNN的实时GPU利用率却在60%~70%之间。BILSTM对3007个测试集样本的测试时间为1018ms,而CNN的测试时间为825ms。所以无论是在识别准确率上,还是资源消耗情况,攻击识别速度上,BILSTM都是一个最佳的选择。
(b)PCA与Auto-Encoder降维下的光谱检测
图25、26展示了分别用PCA、Auto-Encoder将光谱样本特征维度降到20、
30、40…、150维时,模型迭代200次后,BILSTM对不同类别攻击的平均识别精度。
从图25中可以看到当光谱样本特征维度降到20维时,基于PCA降维的BILSTM模型对信号是否受到攻击的检测精度达到了100%,而对不同的攻击类别的平均识别精度达到了99.30%,模型对各类攻击检测与识别的混淆矩阵、模型训练时间、测试集测试时间、GPU实时利用率如图27所示。而随着PCA的components的增加,降维过程中额外引入的噪声也会增加,造成模型分类精度降低。从图26中可以看到当光谱样本特征维度被降到120维时,基于Auto-Encoder降维的BILSTM模型不仅能100%识别出信号是否受到攻击,并且对各类攻击的平均识别精度就可达到99.24%,模型对各类攻击检测与识别的混淆矩阵、模型训练时间、测试集测试时间、GPU实时利用率如图28所示。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种基于BILSTM的物理层攻击检测与识别方法,其特征在于:包括以下步骤:
S1:定义宏观的攻击检测与识别的网络框架;
S2:搭建带内、带外注入攻击实现的16QAM双偏振相干通信系统;
S3:在没有注入干扰激光的条件下,将相干通信系统接收端检索到的光谱数据标记为信号正常传输下的光谱,并采集正常传输条件下的光谱样本;
S4:保证相干发射机信号发射功率恒定,改变注入激光的功率,在功率不变的情况下改变激光的发送频率,发送频率的变化范围在16QAM信号的传输窗口内,进行N次攻击后,统计接收端BER的分布情况,根据BER的分布情况定义该功率下的注入攻击属于带内轻度攻击,还是带内强度攻击,改变注入激光的发射功率,并采集相应攻击条件下的光谱样本;
S5:定义带外轻度、强度攻击,在相干发射机发射功率不变的情况下,在不同的激光功率下,改变激光的发射频率,频率范围在合法信号的传输窗口外,在某个功率激光攻击下,进行N+1次攻击后,统计接收端BER的分布情况,根据BER的分布情况定义该功率下的注入攻击属于带外轻度攻击,还是带外强度攻击,改变注入激光的发射功率,并采集相应攻击条件下的光谱样本;
S6:搭建BILSTM、一维卷积神经网络1D-CNN、支持向量机SVM分类模型,分别来进行攻击检测与识别,通过比较各种模型的攻击识别精度、模型训练时间复杂度、GPU利用率、测试集样本分类的时间消耗指标来验证BILSTM模型的优势以及模型的泛化能力;
S7:搭建Auto-Encoder,PCA降维模型,比较BILSTM在两种降维方式下的训练模型的识别精确度、模型训练的时间复杂度、测试集样本测试的时间复杂度、GPU利用率,得出训练模型在精度达到要求的同时,数据样本被降维到的最低维度度数。
2.根据权利要求1所述的基于BILSTM的物理层攻击检测与识别方法,其特征在于:所述步骤S1中,定义攻击检测与识别的网络框架,攻击者在网络节点通过一些耦合设备处注入攻击信号,信号经过ON(Optical Network)传输后,SDN(Software Defined Network,软件定义网络)中的Optical Network Controller对ON进行传输监测,首先对传输信号的光谱数据进行检索、存储、数据预处理,最后将预处理后的数据馈送到已经训练好的神经网络进行攻击检测与识别,并且将网络受攻击情况以警报触发的形式送到网络安全管理员,从而对网络攻击进行快速处理。
3.根据权利要求1所述的基于BILSTM的物理层攻击检测与识别方法,其特征在于:所述步骤S2中,相干发射机发射出的25G-16QAM双偏振信号,经过波分复用器WDM后,在ROADM处与注入的连续波激光CW Laser干扰信号共同传入到光纤传输环中,所述光纤传输环由偏振分复用标准单模光纤和EDFA组成,最后经过一个中心频率为发送的16QAM信号中心频率的50GHz带宽的光带通滤波器OBPF后,在相干接收机前,ROADM中进行接收信号的光谱检测,并将信号光谱数据进行存储,用作后续处理。
4.根据权利要求1所述的基于BILSTM的物理层攻击检测与识别方法,其特征在于:所述步骤S3中,首先,25G-16QAM双偏振传输信号在经过500KM长距离传输后,经过解调端的数字信号处理DSP后,BER为0,此时将从接收端处的ROADM中检索的光谱数据标记为信号正常传输下的光谱,并采集正常传输条件下的光谱样本。
5.根据权利要求1所述的基于BILSTM的物理层攻击检测与识别方法,其特征在于:所述步骤S4包括以下步骤:
S41:保证相干发射机信号发射功率恒定,改变注入激光的功率,在功率不变的情况下改变激光的发送频率,发送频率的变化范围在16QAM信号的传输窗口内,即fc-25GHz≤f≤fc+25GHz,fc为传输信号的载波频率,f为激光的频率,进行601次攻击后,统计接收端BER的分布情况;
S42:重复步骤S41,最后根据在不同功率激光攻击下,接收端的BER分布情况定义带内轻度攻击与带内强度攻击;若在某个功率下,改变激光的频率进行601次攻击中,BER<0.02的样本数占据总样本数的50%或者50%以上,就认为在该功率下的带内攻击,有50%或者50%以上的概率花费一些高昂的代价进行比特纠错,这类攻击称为带内轻度攻击,并采集相应攻击条件下的光谱样本;而BER<0.02的样本数占据总样本数的5%或者低于5%,就认为在该攻击下,能消除攻击带来的影响从而正常传输的概率低于或者等于5%,这类攻击被定义为带内强度攻击,并采集相应攻击条件下的光谱样本。
6.根据权利要求1所述的基于BILSTM的物理层攻击检测与识别方法,其特征在于:所述步骤S5中,定义带外轻度、强度攻击,在相干发射机发射功率不变的情况下,在不同的激光功率下,改变激光的发射频率,频率范围在合法信号的传输窗口外,在某个功率激光攻击下,进行602次实验,若接收端的BER<0.02的样本数占据总样本数的50%或者50%以上,就认为这类攻击属于带外轻度攻击,并采集相应攻击条件下的光谱样本,若BER<0.02的样本数占据总样本数的5%或低于5%,就将这类攻击定义为带外强度攻击,并采集相应攻击条件下的光谱样本。
7.根据权利要求1所述的基于BILSTM的物理层攻击检测与识别方法,其特征在于:步骤S6中所述搭建BILSTM包括:
一个LSTM块由遗忘门、学习门、输出门组成,对输入序列X={x1x2x3...xN}到输出序列H={h1h2h3...hN}的映射过程,在N=t时刻,输入序列xt在遗忘门处时,进行如下运算:
在学习门处时:
神经元的临时状态:
神经元的当前状态:
到输出门时:
最后神经元的隐层状态:
ht=ot*tanh(ct)
其中w代表神经元的权重矩阵,b代表神经元的偏置向量,σ是sigmoid激活函数,LSTM块对xt进行的计算,不仅跟前时刻LSTM块隐层状态ht-1有关,还与前时刻LSTM块的细胞状态ct-1有关,并且使用sigmoid、tanh作为激活函数;
BILSTM为:LSTM块对xt进行的计算,不仅依赖xt与前向序列xt-1之间的相关性,还取决于与后向序列xt+1之间的相关性。
8.根据权利要求1所述的基于BILSTM的物理层攻击检测与识别方法,其特征在于:步骤S6中所述1D-CNN为:光谱样本X={x1x2x3...xN}经输入层进入隐藏层后,首先被一维卷积层卷积核按位卷积,进行特征提取,之后在最大池化层处进行主要特征提取,添加Dropout层的目的是防止网络训练过程中出现过拟合,之后经过批标准化BN层进行批标准化,加快网络的训练过程,最后从全局平均池化层输入到全连接层,全连接层计算出攻击类别后,输出到输出层。
9.根据权利要求1所述的基于BILSTM的物理层攻击检测与识别方法,其特征在于:步骤S7中所述主成分分析PCA是一种无监督学习方法,利用正交变换把由线性相关变量表示的变量数据转换成由少数线性无关的变量表示的数据,其中的线性无关变量就是所谓的“主成分”;
自编码器Auto-Encoder也是一种无监督学习方法,用于特征降维与提取,自编码器由编码器与解码器组成;当光谱样本X={x1x2x3...xN}通过输入层进入自编码器时,在输出层处的输出为有损的输入光谱样本,X_={x_1x_2x_3...x_N},自编码器中的编码器输出即为降维后的样本Y={y1y2y3...ym}且m≤N,当输入X与输出X_映射过程中引入的降维损失越小时,编码器的降维效果越好。
CN202111499047.3A 2021-12-09 2021-12-09 一种基于bilstm的物理层攻击检测与识别方法 Active CN114362834B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111499047.3A CN114362834B (zh) 2021-12-09 2021-12-09 一种基于bilstm的物理层攻击检测与识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111499047.3A CN114362834B (zh) 2021-12-09 2021-12-09 一种基于bilstm的物理层攻击检测与识别方法

Publications (2)

Publication Number Publication Date
CN114362834A CN114362834A (zh) 2022-04-15
CN114362834B true CN114362834B (zh) 2023-11-24

Family

ID=81098120

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111499047.3A Active CN114362834B (zh) 2021-12-09 2021-12-09 一种基于bilstm的物理层攻击检测与识别方法

Country Status (1)

Country Link
CN (1) CN114362834B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110018447A (zh) * 2019-04-09 2019-07-16 电子科技大学 基于双谱分析与卷积神经网络的信号发射机个体识别方法
CN110995339A (zh) * 2019-11-26 2020-04-10 电子科技大学 一种分布式光纤传感信号时空信息提取与识别方法
CN111476067A (zh) * 2019-01-23 2020-07-31 腾讯科技(深圳)有限公司 图像的文字识别方法、装置、电子设备及可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210158922A1 (en) * 2019-11-27 2021-05-27 International Business Machines Corporation Summarizing medication events based on multidimensional information extracted from a data source

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111476067A (zh) * 2019-01-23 2020-07-31 腾讯科技(深圳)有限公司 图像的文字识别方法、装置、电子设备及可读存储介质
CN110018447A (zh) * 2019-04-09 2019-07-16 电子科技大学 基于双谱分析与卷积神经网络的信号发射机个体识别方法
CN110995339A (zh) * 2019-11-26 2020-04-10 电子科技大学 一种分布式光纤传感信号时空信息提取与识别方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
End-to-end Learning for Optical Fiber Communication with Data-driven Channel Model;Mingliang Li;《2020 Opto-Electronics and Communications Conference 》;全文 *
基于时间自动机的物联网入侵检测方法;钟小莉;谢旻旻;封希媛;;计算机仿真(10);全文 *

Also Published As

Publication number Publication date
CN114362834A (zh) 2022-04-15

Similar Documents

Publication Publication Date Title
Saif et al. Machine learning techniques for optical performance monitoring and modulation format identification: A survey
CN108259166B (zh) 基于svm处理的连续变量量子密钥分发系统及其实现方法
US20210111794A1 (en) Optical network performance evaluation using a hybrid neural network
CN109379132B (zh) 一种低速相干探测和神经网络估计光纤色散的装置与方法
CN111262690A (zh) 基于离散调制的自由空间连续变量量子密钥分发协议
CN114372530A (zh) 一种基于深度自编码卷积网络的异常流量检测方法及系统
CN113328855A (zh) 一种异步匹配的测量设备无关量子密钥分发方法及系统
CN113626960B (zh) 一种抗模式耦合少模信号复杂格式解析方法及装置
Manesh et al. Performance comparison of machine learning algorithms in detecting jamming attacks on ADS-B devices
Du et al. A CNN-based cost-effective modulation format identification scheme by low-bandwidth direct detecting and low rate sampling for elastic optical networks
CN110518973B (zh) 一种基于机器学习的光纤窃听监测方法及相关设备
Song et al. Experimental study of machine-learning-based detection and location of eavesdropping in end-to-end optical fiber communications
CN114362834B (zh) 一种基于bilstm的物理层攻击检测与识别方法
Hayle et al. Hybrid of free space optics communication and sensor system using IWDM technique
Liu et al. Transmitter fingerprinting for VLC systems via deep feature separation network
Borkowski et al. Optical modulation format recognition in Stokes space for digital coherent receivers
Cho et al. Convolutional recurrent machine learning for OSNR and launch power estimation: a critical assessment
Kaur et al. Predicting the performance of radio over free space optics system using machine learning techniques
CN114598581B (zh) 概率整形信号的双阶段检测模型训练方法、识别方法及装置
Wu et al. Abnormal information identification and elimination in cognitive networks
Mani et al. Free-space optical channel performance under atmospheric losses using orthogonal frequency division multiplexing
CN115865197A (zh) 散粒噪声下可见光通信scma实数码本优化方法及系统
Pham et al. Performance analysis of amplify–decode‐and‐forward multihop binary phase‐shift keying/free‐space optical systems using avalanche photodiode receivers over atmospheric turbulence channels
CN112787815B (zh) 基于攻击感知和防御的连续变量量子密钥通信方法及系统
CN114912482A (zh) 辐射源的识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant