一种基于无线网络事件单元流量可视化的攻击检测方法

本发明属于无线网络入侵检测，具体涉及一种基于无线网络事件单元流量可视化的攻击检测方法。

背景技术：

1、随着大数据、机器学习、深度学习、神经网络等人工智能技术的发展，越来越多基于人工智能的攻击检测系统(adss)和入侵检测系统(idss)在学术界和工业界中被提出。

2、在当今的数字时代，无线网络已经渗透到人们日常生活的方方面面。从基本的家庭wi-fi连接到公司的无线局域网，甚至是物联网设备的广泛集成。无线技术的进步赋予了我们无与伦比的便利性和灵活性，使无线技术成为现代生存和就业的重要组成部分。虽然无线网络给我们的日常生活带来了极大的便利，但它容易受到各种安全威胁，尤其是针对物理层和数据链路层的攻击，与传统有线网络相比，无线网络存在许多固有的安全隐患。为此，无线网络攻击检测作为保障无线网络安全的关键手段应运而生。其主要目的是通过监测和分析无线网络流量，实时发现并应对潜在的威胁和攻击。

3、针对无线网络的攻击检测，业界开展了广泛的研究，比较前沿的有以下几种：使用卷机神经网络和格拉姆角场(gramian angular field，gaf)相结合的wi-fi网络入侵检测系统，但是该方法使用从wi-fi帧中提取的特征集来生成图像并检测，过度依赖于预定的规则和模式来识别已知的攻击。通过开源服务发现工具进行自动网络扫描和数据挖掘的技术，用于基于深度强化学习的认知网络入侵检测系统，但是该方法的深度强学习神经网络构建过于复杂，且对计算资源的需求较高。

技术实现思路

1、为了解决现有技术中存在的上述问题，本发明提供了一种基于无线网络事件单元流量可视化的攻击检测方法。本发明要解决的技术问题通过以下技术方案实现：

2、本发明提供了一种基于无线网络事件单元流量可视化的攻击检测方法，包括：

3、步骤1：获取无线网络中设备的网络流量数据包；

4、步骤2：将所述网络流量数据包按照事件单元进行拆分，得到多个事件单元流量数据；

5、步骤3：将所述事件单元流量数据转换为对应的彩色图像；

6、步骤4：对所述彩色图像进行归一化处理，调整所述彩色图像的尺寸；

7、步骤5：将归一化后的彩色图像输入至攻击流量图像检测模型中，得到所述彩色图像对应事件单元流量数据的检测结果；

8、其中，所述攻击流量图像检测模型是采用adam优化器和交叉熵损失函数对二分类的卷积神经网络进行训练得到的。

9、在本发明的一个实施例中，所述步骤1包括：

10、使用网络数据包捕获工具，获取无线网络中设备的网络流量数据包，将所述网络流量数据包存储为pcap格式。

11、在本发明的一个实施例中，所述事件单元为无线网络通信中的单个网络通信事件，仅包含一个单独的数据包。

12、在本发明的一个实施例中，在所述步骤2中，将每个事件单元流量数据存储为对应的pcap格式文件。

13、在本发明的一个实施例中，所述步骤3包括：

14、步骤3.1：对所述pcap格式文件进行解析，获取所述事件单元流量数据的原始二进制数据；

15、步骤3.2：将所述原始二进制数据转换为十六进制字符串，按照6个字符的长度对所述十六进制字符串进行顺序划分，得到多个连续的字符段；

16、步骤3.3：将每个字符段转换为rgb颜色通道的值，根据所述rgb颜色通道的值，形成所述彩色图像。

17、在本发明的一个实施例中，所述步骤3.3包括：

18、步骤3.31：将所述字符段中每两个字符转换为对应的十进制整数，得到3个0到255之间的十进制整数；

19、步骤3.32：将3个十进制整数分别作为rgb颜色通道的值，得到一个像素块；

20、步骤3.33：按照预设的图像宽度，将根据所述十六进制字符串得到的所有像素块以从左到右、从上到下的方式排列填充形成所述彩色图像。

21、在本发明的一个实施例中，所述步骤4包括：

22、步骤4.1：将根据不包含加密数据的十六进制字符串得到的彩色图像的尺寸作为归一化标准；

23、步骤4.2：将像素大小超过所述归一化标准的彩色图像，进行像素块剪裁操作，将像素大小低于所述归一化标准的彩色图像，进行像素块重复对齐操作。

24、在本发明的一个实施例中，所述二分类的卷积神经网络，包括：特征提取模块、特征映射模块和分类预测模块；其中，

25、所述特征提取模块，用于对输入的彩色图像进行特征提取得到图像特征，所述图像特征包括图像边缘、颜色和纹理信息；

26、所述特征映射模块，用于将所述图像特征映射转换为一维特征向量；

27、所述分类预测模块，用于对所述一维特征向量进行预测分类，得到所述彩色图像对应事件单元流量数据为正常流量数据或异常流量数据的检测结果。

28、在本发明的一个实施例中，所述特征提取模块包括依次级联的二维卷积层、池化层和第一丢弃层，其中，所述二维卷积层的激活函数为relu函数，所述二维卷积层采用16个大小为3×3的滤波器；所述池化层为最大池化层；所述第一丢弃层的丢弃比率为0.2；

29、所述特征映射模块包括依次级联的展平层、第一全连接层和第二丢弃层，其中，所述第一全连接层的激活函数为relu函数，所述第二丢弃层的丢弃比率为0.4；

30、所述分类预测模块包括第二全连接层，所述第二全连接层的激活函数为softmax函数。

31、与现有技术相比，本发明的有益效果在于：

32、1.本发明的基于无线网络事件单元流量可视化的攻击检测方法，使用未处理的pcap网络流量数据包，分割用于直接检查，而不需要任何复杂的特征工程或领域专业知识，避免手动提取特征，简化了攻击检测过程，有效提高攻击检测的效率；

33、2.本发明的基于无线网络事件单元流量可视化的攻击检测方法，使用简单的2d-cnn(二分类的卷积神经网络)结构对事件单元流量数据对应的彩色图像进行分类，大大降低了模型的复杂性，减少了资源消耗，显著提高了分类效率和准确率。

34、上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。

技术特征：

1.一种基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，包括：

2.根据权利要求1所述的基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，所述步骤1包括：

3.根据权利要求1所述的基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，所述事件单元为无线网络通信中的单个网络通信事件，仅包含一个单独的数据包。

4.根据权利要求1所述的基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，在所述步骤2中，将每个事件单元流量数据存储为对应的pcap格式文件。

5.根据权利要求4所述的基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，所述步骤3包括：

6.根据权利要求5所述的基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，所述步骤3.3包括：

7.根据权利要求6所述的基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，所述步骤4包括：

8.根据权利要求1所述的基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，所述二分类的卷积神经网络，包括：特征提取模块、特征映射模块和分类预测模块；其中，

9.根据权利要求8所述的基于无线网络事件单元流量可视化的攻击检测方法，其特征在于，

技术总结本发明涉及一种基于无线网络事件单元流量可视化的攻击检测方法，包括：获取无线网络中设备的网络流量数据包；将网络流量数据包按照事件单元进行拆分，得到多个事件单元流量数据；将事件单元流量数据转换为对应的彩色图像；对彩色图像进行归一化处理，调整彩色图像的尺寸；将归一化后的彩色图像输入至攻击流量图像检测模型中，得到彩色图像对应事件单元流量数据的检测结果。其中，攻击流量图像检测模型是采用Adam优化器和交叉熵损失函数对二分类的卷积神经网络进行训练得到的。本发明的基于无线网络事件单元流量可视化的攻击检测方法，避免手动提取特征，简化了攻击检测过程，有效提高攻击检测的效率。技术研发人员：张志为,尹浩,汤贵源,任保全,沈玉龙,李洪钧,王艳梅,苏楠受保护的技术使用者：中国人民解放军军事科学院系统工程研究院技术研发日：技术公布日：2024/7/29