dos设置yymmdd时间格式_面向CAN总线的DoS、模糊攻击、DNS攻击、GPS欺骗攻击入侵检测...
*相关内容节选自本实验室万洋和黄非易的部分研究工作
针对DoS攻击、报文模糊攻击,使用逻辑回归(LR)和支持向量机(SVM)技术针对预处理过的CAN报文数据集进行训练模型,从而得到LR和SVM两个模型,然后根据分类准确率、检测精确率、召回率、F1值等评价指标比较两个模型在CAN报文DoS攻击入侵检测以及CAN报文模糊攻击入侵检测两种情景下的表现。
针对DNS 攻击,采用神经网络入侵检测技术,对DNS 攻击数据进行模拟后,使用两种判别器模式培训,分别检测不同的攻击模式。而针对GPS 欺骗攻击,使用GPS-HackerRF,模拟卫星信号,进行GPS 欺骗,同时根据信号衰减原则计算信号传播距离,从而到达检测欺骗攻击的目的。后期通过仿真实验验证,最终实现检测的准确率在95%以上。
1
CAN总线DoS攻击入侵检测 该部分的输入是用于训练模型的数据集,该程序采用二分的策略,将数据集的一半用于训练模型,一半用于检测模型。 1.1 输入 该部分的默认输入是一个文件,文件内包含CAN报文数据及标签,格式如图1-1所示。 各个部分分别代表: 时间戳、CAN ID、长度、data[0]、data[1]、data[2]、data[3]、data[4]、data[5]、data[6]、data[7]、标签。
图1-1 CAN报文DoS攻击输入数据格式
1.2 输出
由于针对每种入侵检测场景,本程序都提供了基于两种技术即逻辑回归和支持向量机训练出的两个模型,由用户自己选择。这里提供默认数据集训练出的结果作为演示。逻辑回归模型的有效输出如图1-2所示。
图1-2 逻辑回归模型针对CAN总线DoS攻击的检测结果 这里异常数据作为正例,正常数据作为负例。如上指标分别指真正例(TP)、假正例(FP)、真负例(TN)、假负例(FN)、命中数、总数、准确率、精确率、召回率、F1值。值得注意的是,准确率(Accuracy)的求解方式是 Accuracy =(TP+TN)/(TP+FP+TN+FN),指的是被正确分类的样本占总体样本的比例。精确率(Precision)的求解方式是Precision =TP/(TP+FP),指的是被分类为正例当中实际为正例的样本所占的比例。召回率(Recall)的求解方式是Recall = TP/(TP+FN),指的是实际为正例的当中被分类为正例的样本的比例。根据定义可知精确率和召回率是矛盾的,因此一般还需要增加权衡指标,本文使用F1值来评估模型。F1值的求解公式是F1=2*Precision*Recall/(Precision+Recall),即F1值是精确率和召回率的调和平均数。 支持向量机模型的有效输出如图1-3所示。
图1-3 支持向量机模型针对CAN总线DoS攻击的检测结果
两个模型的对比如表1-1所示。用户根据评价指标制作表格进行对比,这里我们提供这种表格作为模板。
表1 -1 两种模型针对CAN总线DoS攻击的检测结果
2
CAN总线模糊攻击入侵检测 2.1 输入 输入的格式如图2-1所示,同CAN总线的DoS攻击部分。
图2-1 CAN报文模糊攻击输入数据格式
2.2 输出 LR模型的输出如图2-2所示,输出的评价指标同CAN总线DoS攻击入侵检测部分相同。
图2-2 逻辑回归模型针对CAN总线模糊攻击的检测结果
SVM模型的输出如图2-3所示。
图2-3 支持向量机模型针对CAN总线模糊攻击的检测结果
两个模型的对比如表2-1所示。表2-1 两种模型针对CAN总线模糊攻击的检测结果
3
DNS攻击入侵检测 (1)设计入侵检测机制。如下图3-1所示,将入侵检测模型应用到DNS服务器中。当用户向DNS服务器发送请求后,应答数据包先进入缓冲队列,进入本地客户端以后,检查IP地址是否重复了,如果不重复,再次检测物理地址是否一样。最后如果一样,可以直接访问对应的IP地址。如果不一样,则向DNS服务器请求重传。
图3-1 系统工作流程
(2)生成伪造DNS数据包。在本研究中,我们为DNS网络提出了基于神经网络的入侵检测模型。神经网络是机器学习的一种模式。神经网络是通过对抗过程估计生成模型的新框架。入侵检测网络具有两个判别模型,即第一判别器和第二判别器,两种判别器的不同的训练过程通过图3-2(a)和图3-2(b)展示。
图3-2(a) 第一判别器训练过程
图3-2(b) 第二判别器训练过程
针对已知攻击的训练:第一个判别器接收两种数据:正常DNS数据和异常DNS数据。通过检测两种数据的差距,检测异常入侵。但是第一判别器有一个缺陷,它只能检测已知的攻击数据。上图3-2(b),针对未知攻击的训练:第二判别器的主要作用就是针对未知攻击数据,同样是第一判别器的模型,但是多了生成器和BP算法,以此来生成随机数据来模拟未知攻击,但是这个随机生成受已知攻击影响,结合BP算法,推出可能的攻击数据。 从模拟DNS数据的情况看,单一DNS数据的数量最少约有40个,最多为3500,数据的数量呈现上升趋势,这一趋势的原因是模拟器模拟DNS数据为同一DNS服务器,所以出现的数据数量和发送频率几乎相同。有些数量较少,则不进入考虑之中。
图3-3 实验结果
4
GPS欺骗攻击检测 设计入侵检测模型:如图4-1,入侵检测系统到GPS接收器中,针对接收的GPS信号,根据经过传播以后信号的衰减量,计算得出发射信号的基地与GPS接收器的物理距离,根据这个距离的真实性,检测是否被攻击,从模型中得出结果。如果计算距离真实,就传递这个数据最终计算成所在位置。如果距离失真,就进行报错,等待用户的下一步指令,是重新发起申请还是等待。
图4-1 入侵检测模型
伪造GPS信号:利用GPS工作原理,将之前的方程集中的某一个方程中的(xi,yi,zi)改变其真实值,其中i∈{1,2,3,4}。要想实现这一情况,可以让一台干扰机对GPS进行干扰,干扰机将优先接收到卫星信号,然后进行高保真处理这些或者某一个卫星信号,然后经过一段时间,干扰机再将处理过后的卫星信号转发给GPS接收器,GPS接收器就会得到一个错误的卫星信号,即某一个卫星的准确位置发生了改变,这样GPS接收器在收到卫星信号以后会对方程集解方程,最终得到的x,y,z会比正常的x,y,z值要大。使用GPS-HackerRF来进行GPS欺骗。具体步骤:第一,下载编译gps-sdr-sim。第二,RINEX星 历下载。 第三,生成GPS仿真数据。 最后,HackRF发射GPS数 。 对于GPS欺骗攻击,利用神经网络的入侵检测模型,利用GPS-HackerRF进行模拟信号,共计13720个,并且接收来自卫星的真实信号22341个,利用模型进行检测,发现对于真实信号的检测全部通过没有误判,而对于模拟的GPS信号,检测数即正确率如表4-1所示。 表4-1 检验结果表
