CN114554490A - 一种基于时序模型的异常ap检测方法及系统 - Google Patents

一种基于时序模型的异常ap检测方法及系统 Download PDF

Info

Publication number
CN114554490A
CN114554490A CN202111642769.XA CN202111642769A CN114554490A CN 114554490 A CN114554490 A CN 114554490A CN 202111642769 A CN202111642769 A CN 202111642769A CN 114554490 A CN114554490 A CN 114554490A
Authority
CN
China
Prior art keywords
data
abnormal
model
training
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111642769.XA
Other languages
English (en)
Inventor
李桐
王磊
王刚
宋进良
刘扬
周小明
刘一涛
刘刚
李钊
刘劲松
雷振江
李广翱
杨超
陈得丰
杨智斌
耿洪碧
任帅
陈剑
李欢
张彬
佟昊松
孙赫阳
孙茜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Liaoning Electric Power Co Ltd
Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Liaoning Electric Power Co Ltd
Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Liaoning Electric Power Co Ltd, Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202111642769.XA priority Critical patent/CN114554490A/zh
Publication of CN114554490A publication Critical patent/CN114554490A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/06Testing, supervising or monitoring using simulated traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Molecular Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于时序模型的异常AP检测方法系统,方法包括以下步骤:步骤1,采集正常AP数据和异常AP数据,进行数据预处理,将在时间维度上进行数据数值化;步骤2,以步骤1的数据预处理结果生成训练数据集,设置训练的时间窗口、训练输入数据和输出数据;步骤3,以步骤2的数据训练集,以设定的损失函数和梯度训练RNN时序模型,在模型训练完成后可得到保存的模型,用于模型预测;步骤4,使用步骤3保存的模型,以设定时间窗口的AP数据作为输入,预测下一时刻是否出现异常AP;步骤5,将步骤4的模型预测结果以可视化的形式予以展示。本发明用于对公共区域的异常AP进行检测及发现,防止被攻击者伪造钓鱼AP监听、窃取用户网络通信数据。

Description

一种基于时序模型的异常AP检测方法及系统
技术领域
本发明属于计算机网络安全领域,更具体地,涉及一种基于时序模型的异常AP检测方法及系统。
背景技术
随着Wi-Fi技术的不断发展,Wi-Fi 6的时代悄然到来,为海量无线接入提供了“以一当十”的支撑平台。有调研机构预测,到2022年将有120亿台设备连接到互联网,其中通过Wi-Fi的连接将占到较大一部分。比如现在美国有74%的Android移动设备流量是通过Wi-Fi传输的,而这个比例在我国则更高。然而,由于Wi-Fi接入点(AP,Access Point)、路由器和热点常常是高度暴露的攻击面,对于Wi-Fi的安全却依旧不能掉以轻心。庞大用户群直接导致了恶意Wi-Fi攻击的手法不断翻新。例如,让人难分真假的AP来钓鱼,用户一不小心就有可能踏进攻击者设置的Wi-Fi陷阱,造成信息泄露或经济损失。
攻击者在伪造AP热点时,往往在SSID(Service Set Identifier,网络名称)上做手脚,模仿合法AP的SSID成为高仿SSID。一旦用户没注意连到假冒的恶意AP上,攻击者就可以发动中间人(MITM,Man-in-the-Middle)攻击进而拦截流量,窃取证书,将恶意代码注入受害者浏览器,甚至可把受害者重定向到恶意网站等操作。虽然攻击者可以任意伪造AP,但是在特定的信号覆盖范围内,出现的已知AP信号是可以监测和度量的,通过收集特定范围内的无线信号,可以对异常AP进行自动识别,从而及时预警和发现,避免用户遭受损失。
发明内容
为解决现有技术中存在的不足,本发明的目的在于,提供一种基于时序模型的异常AP检测系统及装置,用于对公共区域的异常AP进行检测及发现,防止被攻击者伪造钓鱼AP监听、窃取用户网络通信数据。
本发明采用如下的技术方案。
本发明一方面提供了一种基于时序模型的异常AP检测方法,其特征在于,包括以下步骤:
步骤1,采集正常AP数据和异常AP数据,进行数据预处理,将在时间维度上进行数据数值化;
步骤2,以步骤1的数据预处理结果生成训练数据集,设置训练的时间窗口、训练输入数据和输出数据;
步骤3,以步骤2的数据训练集,以设定的损失函数和梯度训练RNN时序模型,在模型训练完成后可得到保存的模型,用于模型预测;
步骤4,使用步骤3保存的模型,以设定时间窗口的AP数据作为输入,预测下一时刻是否出现异常AP;
步骤5,将步骤4的模型预测结果以可视化的形式予以展示。
优选地,步骤1具体包括:
步骤1.1,采集AP信号数据和接入设备的信号数据;
步骤1.2,对步骤1.1获得的信号数据进行审计识别,包括:MAC地址及厂商信息;
步骤1.3,对步骤1.1获得的信号数据以设定的通信协议进行信道识别,确定接入设备所采用的信道;
步骤1.4,对步骤1.2和步骤1.3获得数据进行数据预处理获取标识场景类型数据的监测数据特征和场景类别信息,在时间维度上进行数据数值化。
优选地,步骤2具体包括:生成训练数据集通过设置时间窗口长度为3,用
Figure 232083DEST_PATH_IMAGE001
次的窗口间隔进行模型训练;
数据集格式为:
Figure 290168DEST_PATH_IMAGE001
次的监测数据特征
Figure 53594DEST_PATH_IMAGE002
为训练输入数据,是否异常的场景类别
Figure 386486DEST_PATH_IMAGE003
为输出数据。
优选地,步骤3中,损失函数用来评价模型的预测值和真实值的差异程度,以如下公式表示,
Figure 623695DEST_PATH_IMAGE004
式中:
Figure 649420DEST_PATH_IMAGE005
表示损失函数,
Figure 837824DEST_PATH_IMAGE006
表示在监测数据特征
Figure 771145DEST_PATH_IMAGE002
在场景类别
Figure 908866DEST_PATH_IMAGE003
发生的条件下发生的概率。
优选地,步骤3中,为了防止过拟合,将数据集按4:1的比例随机拆分为训练集和验证集,然后将监测数据特征
Figure 590645DEST_PATH_IMAGE002
作为参数导入RNN时序模型得到场景类别
Figure 813816DEST_PATH_IMAGE003
,进行梯度更新,让目标函数趋于极小值,与真实结果比较评价模型优劣。
优选地,步骤4中,模型预测的数据为
Figure 222932DEST_PATH_IMAGE001
时刻的监测数据特征,作为输入数据X导入模型预测
Figure 464426DEST_PATH_IMAGE007
次时刻的AP场景状态
Figure 363112DEST_PATH_IMAGE003
,看
Figure 339158DEST_PATH_IMAGE003
是否出现异常AP场景。
优选地,步骤5中,对回传的特征信息进行可视化展示,包括与前端用户的配置管理,对接入信号源设备的统计分析以及异常AP的告警。
本发明的第二方面提供了基于时序模型的异常AP检测方法的系统
一种基于时序模型的异常AP检测系统,包括:信号源采集模块、信号源审计模块、信道识别模块、异常AP监测模块和可视化展示模块;其特征在于:
所述信号源采集模块用于AP信号采集和接入设备采集;
所述信号源审计模块用于对设备发出信号源进行识别,定位信号源设备的MAC地址;
所述信道识别模块采用设定通信协议,确定接入设备所采用的信道方式;
所述异常AP监测模块采用基于时序模型算法,根据在特定范围内采集的AP信号特征,进行模型训练和预测;
所述可视化展示模块,该模块通过构建AP监测信息监控平台对回传的特征信息进行可视化展示。
优选地,所述信号源采集模对AP信号实施主动发射、接收和波段扫描探测,主动探测和收集信号,与AP进行信息交互,侦测AP信号与接入设备的交互信息,从而判断对固定区域。
优选地,所述异常AP监测模块采用基于时序模型算法,实施异常AP检测,通过对周边的AP设备进行实时、持续的监测,实现对伪AP设备的判别。
与现有技术相比,本发明的有益效果至少包括:本发明针对攻击者伪造AP窃取用户信息的攻击行为提出了一种基于时间序列模型的异常AP检测算法,设计实现了一种异常AP的系统及装置,从一线业务场景中获取AP信息,能够帮助管理人员进行及时了解无线网络信号的分布情况,及时预警和发现异常AP,适用于无线安全审计管理。
附图说明
图1为一种基于时序模型的异常AP检测系统组成图。
图2为不同信号源信号状态监测。
图3 IEEE 802.11协议的帧结构组成。
图4为RNN网络模型结构。
图5为本发明所述检测方法流程图。
具体实施方式
下面结合附图对本申请作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本申请的保护范围。
如图5所述,本发明的实施例1提供了一种基于时序模型的异常AP检测方法,包括以下步骤:
步骤1,采集正常AP数据和异常AP数据,进行数据预处理,将在时间维度上进行数据数值化。为了区分正常AP和异常AP数据,分别设置两种不同的场景进行数据采集,即正常AP场景和异常AP场景。将采集的AP信号、接入设备的信号数据,审计识别的MAC地址及厂商信息,信道识别模块分析识别的信号信息,进行数据预处理获取标识该类型数据的特征和场景类别信息,在时间维度上进行数据数值化。
在本发明优选但非限制性的实施方式中,步骤1具体包括:
步骤1.1,如图1所示,采集AP信号数据和接入设备的信号数据。进一步优选地,通过AP信号源采集设备进行AP信号的主动发射、接收和波段扫描探测,主动探测和收集信号,与AP进行信息交互,侦测AP信号与接入设备的交互信息,从而判断对固定区域内的接入设备类型。在AP信号源探测阶段,每个信号源接入点每秒中大约会发送10个数据包,这些数据包包含网络名称、是否使用了加密、工作的频道等。
更优选地,探测信号源与接入设备的交互内容,采集到设备MAC地址、信号强度、信号频道等数据,如下表所示:
表1 采集接入设备数据情况
Figure 83123DEST_PATH_IMAGE008
步骤1.2,对步骤1.1获得的信号数据进行审计识别,包括:MAC地址及厂商信息。进一步优选地,对设备发出信号源进行识别,定位信号源设备的MAC(Media Access ControlAddress)地址。通过解析MAC地址的结构,审计识别信号源设备的生产厂商。MAC地址有一个固定的卡号,用来确认网络设备位置的位址,由48位二进制组成,后24位可标识厂商,以如下表所示,
表2 MAC地址结构
Figure 149430DEST_PATH_IMAGE009
步骤1.3,对步骤1.1获得的信号数据以设定的通信协议进行信道识别,确定接入设备所采用的信道。进一步优选地,如图3所示,采用IEEE 802.11协议集,支持通过解析IEEE 802.11b/g协议,对AP信号提供的1-13个信道进行自动识别,确定该设备所采用的信道方式。在网络通信的数据链路层传中,数据被封装成了帧,帧是网络通信中的一个数据块。在传输的时候,帧有固定的格式,最小46字节,最大1500字节。IEEE 802.11的帧结构如图3所示。
步骤1.4,对步骤1.2和步骤1.3获得数据进行数据预处理获取标识场景类型数据的监测数据特征和场景类别信息,在时间维度上进行数据数值化。
预处理可以使用归一化,例如但不限于,线性归一化、标准差归一化、非线性归一化。本发明实施例优选地,通过对采集原始数据的线性变换进行离差标准化处理,使结果落到[0,1]区间,转换函数如下:
Figure 219018DEST_PATH_IMAGE010
对序列x1, x2, x3, …, xn进行变换,新序列y1, y2, y3, …,yn∈[0,1]且无量纲,其中max为样本数据的最大值,min为样本数据的最小值。
步骤2,以步骤1的数据预处理结果生成训练数据集,设置训练的时间窗口、训练输入数据和输出数据。
在本发明优选但非限制性的实施方式中,步骤2具体包括:生成训练数据集通过设置时间窗口长度为3,用
Figure 134890DEST_PATH_IMAGE011
次的窗口间隔进行模型训练;
数据集格式为:
Figure 885808DEST_PATH_IMAGE012
次的监测数据特征
Figure 72201DEST_PATH_IMAGE013
为训练输入数据,是否异常的场景类别
Figure 578269DEST_PATH_IMAGE014
为输出数据。
步骤3,以步骤2的数据训练集,以设定的损失函数和梯度训练RNN时序模型,在模型训练完成后可得到保存的模型,用于模型预测。值得注意的是,异常AP监测模块采用基于时序模型算法,根据在特定范围内采集的AP信号特征,进行模型训练和预测。异常AP检测通过对周边的AP设备进行实时、持续的监测,实现对伪AP设备的判别。
时序模型预测分析依赖于事件发生的先后顺序,利用过去一段时间内某事件时间的特征来预判未来一段时间内该事件的特征。时序模型算法采用循环神经网络(RNN,Recurrent Neural Network),RNN的每一时间步的网络结构一致,且当前的输出是下一时间的输入。相比与普通神经网络的各计算结果之间相互独立的特点,RNN的每一次隐含层的计算结果都与当前输入以及上一次的隐含层结果相关,通过这种方法,RNN的计算结果便具备了记忆之前几次结果的特点。
RNN网络模型结构如图4所示,描述了在序列索引号t附近RNN的模型。左边部分是模型没有按时间展开的图,右边部分是按时间序列展开的结果。其中,A代表RNN模型,xt代表在序列索引号t时训练样本的输入。同样的,xt−1和xt+1代表在序列索引号t−1和t+1时训练样本的输入。htht代表在序列索引号t时模型的隐藏状态。htht由xtxt和ht−1ht−1共同决定。otot代表在序列索引号t时模型的输出。otot只由模型当前的隐藏状态htht决定。
在本发明优选但非限制性的实施方式中,步骤3中,模型训练需要定义好损失函数和梯度。损失函数用来评价模型的预测值和真实值的差异程度。损失函数如下,该损失函数能非常好的表征概率分布,适用于预测结果属于每个类别的置信度,以如下公式表示,
Figure 997749DEST_PATH_IMAGE015
式中:
Figure 801626DEST_PATH_IMAGE016
表示损失函数,
Figure 622951DEST_PATH_IMAGE017
表示在监测数据特征
Figure 299920DEST_PATH_IMAGE018
在场景类别
Figure 160691DEST_PATH_IMAGE014
发生的条件下发生的概率。
进一步地,步骤3中,为了防止过拟合,将数据集按4:1的比例随机拆分为训练集和验证集,然后将监测数据特征
Figure 315729DEST_PATH_IMAGE018
作为参数导入RNN时序模型得到场景类别
Figure 257140DEST_PATH_IMAGE014
,进行梯度更新,让目标函数趋于极小值,与真实结果比较评价模型优劣。
步骤4,使用步骤3保存的模型,以设定时间窗口的AP数据作为输入,预测下一时刻是否出现异常AP。
在本发明优选但非限制性的实施方式中,步骤4中,模型预测的数据
Figure 291961DEST_PATH_IMAGE019
时刻的监测数据特征,作为输入数据X导入模型预测
Figure 686033DEST_PATH_IMAGE020
次时刻的AP场景状态
Figure 379183DEST_PATH_IMAGE014
,看
Figure 175101DEST_PATH_IMAGE014
是否出现异常AP场景。
步骤5,将步骤4的模型预测结果以可视化的形式予以展示。
在本发明优选但非限制性的实施方式中,步骤5中,构建AP监测信息监控平台对回传的特征信息进行可视化展示,包括与前端用户的配置管理,对接入信号源设备的统计分析以及异常AP的告警等可视化展示。通过将设备置于特定的无线网络环境中进行信号源探测和信息收集,并实时对探测和收集的信息进行统计分析,回传至AP软硬件检查系统信息监控平台实现可视化。
如图1所示,本发明的实施例2提供了一种基于时序模型的异常AP检测系统,运行所述的一种基于时序模型的异常AP检测方法,包括:信号源采集模块、信号源审计模块、信道识别模块、异常AP监测模块和可视化展示模块。
所述信号源采集模块用于AP信号采集和接入设备采集。信号源采集模块对AP信号实施主动发射、接收和波段扫描探测,主动探测和收集信号,与AP进行信息交互,侦测AP信号与接入设备的交互信息,从而判断对固定区域内的接入设备类型,如图2所示。
在本发明优选但非限制性的实施方式中,在AP信号源探测阶段,每个信号源接入点每秒中大约会发送10个数据包,这些数据包包含网络名称、是否使用了加密、工作的频道等。
进一步优选地,信号源采集模块可以探测信号源与接入设备的交互内容,采集到设备MAC地址、信号强度、信号频道等数据,如表1所示。
所述信号源审计模块用于对设备发出信号源进行识别,定位信号源设备的MAC(Media Access Control Address)地址。通过解析MAC地址的结构,审计识别信号源设备的生产厂商。MAC地址有一个固定的卡号,用来确认网络设备位置的位址,由48位二进制组成,后24位可标识厂商,结构如表2所示。
所述信道识别模块采用IEEE 802.11协议集,通过解析IEEE 802.11b/g协议,对AP信号提供的1-13个信道进行自动识别,确定该设备所采用的信道方式。在网络通信的数据链路层传中,数据被封装成了帧,帧是网络通信中的一个数据块。在传输的时候,帧有固定的格式,最小46字节,最大1500字节。在本发明优选但非限制性的实施方式中,IEEE 802.11的帧结构如3所示。
所述异常AP监测模块采用基于时序模型算法,根据在特定范围内采集的AP信号特征,进行模型训练和预测。异常AP检测通过对周边的AP设备进行实时、持续的监测,实现对伪AP设备的判别。进一步地,基于RNN时序模型进行异常AP检测的步骤主要包括数据预处理、构建模型网络、模型训练、预测推理等步骤。
所述可视化展示模块,该模块通过构建AP监测信息监控平台对回传的特征信息进行可视化展示,包括与前端用户的配置管理,对接入信号源设备的统计分析以及异常AP的告警等可视化展示。通过将设备置于特定的无线网络环境中进行信号源探测和信息收集,并实时对探测和收集的信息进行统计分析,回传至AP软硬件检查系统信息监控平台实现可视化。
本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述,但是本领域技术人员应该理解,以上实施示例仅为本发明的优选实施方案,详尽的说明只是为了帮助读者更好地理解本发明精神,而并非对本发明保护范围的限制,相反,任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。

Claims (10)

1.一种基于时序模型的异常AP检测方法,其特征在于,包括以下步骤:
步骤1,采集正常AP数据和异常AP数据,进行数据预处理,将在时间维度上进行数据数值化;
步骤2,以步骤1的数据预处理结果生成训练数据集,设置训练的时间窗口、训练输入数据和输出数据;
步骤3,以步骤2的数据训练集,以设定的损失函数和梯度训练RNN时序模型,在模型训练完成后可得到保存的模型,用于模型预测;
步骤4,使用步骤3保存的模型,以设定时间窗口的AP数据作为输入,预测下一时刻是否出现异常AP;
步骤5,将步骤4的模型预测结果以可视化的形式予以展示。
2.如权利要求1所述的一种基于时序模型的异常AP检测方法,其特征在于:
步骤1具体包括:
步骤1.1,采集AP信号数据和接入设备的信号数据;
步骤1.2,对步骤1.1获得的信号数据进行审计识别,包括:MAC地址及厂商信息;
步骤1.3,对步骤1.1获得的信号数据以设定的通信协议进行信道识别,确定接入设备所采用的信道;
步骤1.4,对步骤1.2和步骤1.3获得数据进行数据预处理获取标识场景类型数据的监测数据特征和场景类别信息,在时间维度上进行数据数值化。
3.如权利要求2所述的一种基于时序模型的异常AP检测方法,其特征在于:
步骤2具体包括:生成训练数据集通过设置时间窗口长度为3,用
Figure 80216DEST_PATH_IMAGE001
次的窗口间隔进行模型训练;
数据集格式为:
Figure 969675DEST_PATH_IMAGE001
次的监测数据特征
Figure 911086DEST_PATH_IMAGE002
为训练输入数据,是否异常的场景类别
Figure 290115DEST_PATH_IMAGE003
为输出数据。
4.如权利要求3所述的一种基于时序模型的异常AP检测方法,其特征在于:
步骤3中,损失函数用来评价模型的预测值和真实值的差异程度,以如下公式表示,
Figure 188582DEST_PATH_IMAGE004
式中:
Figure 616152DEST_PATH_IMAGE005
表示损失函数,
Figure 146490DEST_PATH_IMAGE006
表示在监测数据特征
Figure 899683DEST_PATH_IMAGE002
在场景类别
Figure 577789DEST_PATH_IMAGE003
发生的条件下发生的概率。
5.如权利要求4所述的一种基于时序模型的异常AP检测方法,其特征在于:
步骤3中,为了防止过拟合,将数据集按4:1的比例随机拆分为训练集和验证集,然后将监测数据特征
Figure 74629DEST_PATH_IMAGE002
作为参数导入RNN时序模型得到场景类别
Figure 725053DEST_PATH_IMAGE003
,进行梯度更新,让目标函数趋于极小值,与真实结果比较评价模型优劣。
6.如权利要求5所述的一种基于时序模型的异常AP检测方法,其特征在于:
步骤4中,模型预测的数据为
Figure 117988DEST_PATH_IMAGE001
时刻的监测数据特征,作为输入数据X导入模型预测
Figure 486653DEST_PATH_IMAGE007
次时刻的AP场景状态
Figure 20140DEST_PATH_IMAGE003
,看
Figure 587388DEST_PATH_IMAGE003
是否出现异常AP场景。
7.如权利要求6所述的一种基于时序模型的异常AP检测方法,其特征在于:
步骤5中,对回传的特征信息进行可视化展示,包括与前端用户的配置管理,对接入信号源设备的统计分析以及异常AP的告警。
8.一种基于时序模型的异常AP检测系统,运行如权利要求1至7任一项所述的一种基于时序模型的异常AP检测方法,包括:信号源采集模块、信号源审计模块、信道识别模块、异常AP监测模块和可视化展示模块;其特征在于:
所述信号源采集模块用于AP信号采集和接入设备采集;
所述信号源审计模块用于对设备发出信号源进行识别,定位信号源设备的MAC地址;
所述信道识别模块采用设定通信协议,确定接入设备所采用的信道方式;
所述异常AP监测模块采用基于时序模型算法,根据在特定范围内采集的AP信号特征,进行模型训练和预测;
所述可视化展示模块,该模块通过构建AP监测信息监控平台对回传的特征信息进行可视化展示。
9.根据权利要求8所述的一种基于时序模型的异常AP检测系统,其特征在于:
所述信号源采集模对AP信号实施主动发射、接收和波段扫描探测,主动探测和收集信号,与AP进行信息交互,侦测AP信号与接入设备的交互信息,从而判断对固定区域。
10.根据权利要求9所述的一种基于时序模型的异常AP检测系统,其特征在于:
所述异常AP监测模块采用基于时序模型算法,实施异常AP检测,通过对周边的AP设备进行实时、持续的监测,实现对伪AP设备的判别。
CN202111642769.XA 2021-12-30 2021-12-30 一种基于时序模型的异常ap检测方法及系统 Pending CN114554490A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111642769.XA CN114554490A (zh) 2021-12-30 2021-12-30 一种基于时序模型的异常ap检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111642769.XA CN114554490A (zh) 2021-12-30 2021-12-30 一种基于时序模型的异常ap检测方法及系统

Publications (1)

Publication Number Publication Date
CN114554490A true CN114554490A (zh) 2022-05-27

Family

ID=81670157

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111642769.XA Pending CN114554490A (zh) 2021-12-30 2021-12-30 一种基于时序模型的异常ap检测方法及系统

Country Status (1)

Country Link
CN (1) CN114554490A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116506216A (zh) * 2023-06-19 2023-07-28 国网上海能源互联网研究院有限公司 一种轻量化恶意流量检测存证方法、装置、设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116506216A (zh) * 2023-06-19 2023-07-28 国网上海能源互联网研究院有限公司 一种轻量化恶意流量检测存证方法、装置、设备及介质
CN116506216B (zh) * 2023-06-19 2023-09-12 国网上海能源互联网研究院有限公司 一种轻量化恶意流量检测存证方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
CN107995626B (zh) 一种用于识别无线局域网中wifi信号安全类别的方法和装置
US10834596B2 (en) Method for blocking connection in wireless intrusion prevention system and device therefor
CN1783810B (zh) 用于确定无线设备位置的方法
CN107197456B (zh) 一种基于客户端的识别伪ap的检测方法及检测装置
CN104009870B (zh) Wlan无线入侵告警聚合方法
KR102188124B1 (ko) 열화상 카메라 및 와이파이 기반의 질병 관리 역학 조사 관제 시스템
US11240136B2 (en) Determining attributes using captured network probe data in a wireless communications system
CN109347806A (zh) 一种基于主机监控技术的挖矿恶意软件检测系统及方法
CN105681272A (zh) 一种移动终端钓鱼WiFi的检测与抵御方法
CN101540667A (zh) 无线局域网中的通信干扰方法和设备
CN115428499A (zh) 无线ip摄像头探测系统及方法
CN114554490A (zh) 一种基于时序模型的异常ap检测方法及系统
Dasgupta et al. MMDS: multilevel monitoring and detection system
KR102204342B1 (ko) 무선 ip 카메라 탐지 시스템 및 방법
CN114338171A (zh) 一种黑产攻击检测方法和装置
CN113691483B (zh) 异常用户设备的检测方法、装置、设备及存储介质
Meng et al. Building a wireless capturing tool for WiFi
CN111726810A (zh) 数控加工环境中的无线信号监测及无线通信行为审计系统
CN114449444B (zh) 基于WiFi-BLE信号被动嗅探的跨智能可携带设备关联方法
JP7403637B2 (ja) 不正な基地局の識別および報告
RU2810111C1 (ru) Способ обнаружения несанкционированных и поддельных точек доступа Wi-Fi
CN113347634B (zh) 一种基于信号及信令指纹的4g、5g空口攻击检测方法
Lu A position self-adaptive method to detect fake access points
KR102479425B1 (ko) 유무선 네트워크의 불법 디바이스 검출 및 차단 방법과 장치
CN101977375A (zh) 分布式无线入侵检测系统及其检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination