[发明专利]基于单源领域扩充与先验参数迁移的ARP攻击检测方法

说明书

本申请公开了一种基于单源领域扩充与先验参数迁移的ARP攻击检测方法，首先获取单源领域样本，单源领域样本包括标记样本和未标记样本；对标记样本进行Bootstrap采样得到标记样本子集，对未标记样本进行K‑means聚类并进行分簇采样得到未标记样本子集，根据标记样本子集和未标记样本子集得到多源领域样本；然后，基于多源领域样本进行贝叶斯集成模型的源参数预处理，得到用于迁移的源领域参数；最后通过与目标领域参数的可迁移度分析，在设置源领域参数权重后与目标领域参数结合得到迁移参数，并通过加权不同源的迁移参数得到对ARP攻击进行检测的目标分类器。可以看出，本申请能够相比于现有技术提高了新工业物联网场景中的ARP攻击检测效果。

技术领域

本发明涉及ARP攻击检测领域，特别涉及一种基于单源领域扩充与先验参数迁移的ARP攻击检测方法。

背景技术

在工业物联网场景的运行初期，只依靠其少量数据训练的检测模型无法拥有良好的ARP(Address ResolutionProtocol，地址解析协议)攻击检测性能，因为ARP攻击需要随着工业物联网的运行程度的加深才能呈现出其潜在的规律性从而被发现。另一方面，因为环境配置和生产业务的不同，在不同工业物联网环境下的生产数据具有不同的统计性质，从而导致在一个已经运行成熟的工业物联网场景下训练得到的ARP攻击检测器无法适用于新环境。

现有技术中通常是采用半监督学习的ARP攻击检测方法，然而这种方法，则存在着少量数据无法进行半监督学习，而其他环境下训练好的检测模型又无法直接用于该环境的问题。

发明内容

基于此，本申请实施例提供了一种基于单源领域扩充与先验参数迁移的ARP攻击检测方法，能够相比于现有技术提高了新工业物联网场景中的ARP攻击检测效果。

本申请提供了一种基于单源领域扩充与先验参数迁移的ARP攻击检测方法，该方法包括：

获取单源领域样本，所述单源领域样本包括标记样本和未标记样本；

对所述标记样本进行Bootstrap采样得到标记样本子集，对所述未标记样本进行K-means聚类并进行分簇采样得到未标记样本子集，根据所述标记样本子集和所述未标记样本子集得到多源领域样本；

基于所述多源领域样本进行贝叶斯集成模型的源参数预处理，得到用于迁移的源领域参数；

通过与目标领域参数的可迁移度分析，在设置源领域参数权重后与目标领域参数结合得到迁移参数，并通过加权不同源的迁移参数得到目标分类器，所述目标分类器用于对ARP攻击进行检测。

可选地，对所述未标记样本进行K-means聚类并进行分簇采样得到未标记样本子集，包括：

在未标记样本上进行K-means聚类，将其分到K_S个由相似度高的数据组成的簇然后计算每个簇与目标训练数据D_T的相似度，其中，数据流统计信息的相似性来反映簇与目标训练数据之间的相似性，X_i与X_j分别表示簇与目标领域中的数据，将和的相似度定义为：

将所有簇与目标领域训练数据的相似度之和作为分母，其相似度作为分子，可以得到该簇的采样权重，并将其作为其采样比例，具体公式为：

对每个簇进行采样大小为的放回采样，共同构成未标记样本子集

可选地，标记样本子集为根据所述标记样本子集和所述未标记样本子集得到多源领域样本，包括：

标记样本子集和未标记样本子集共同组成由未标记样本D_S采样得到的样本经过K_s轮采样扩充后，由K_s个源领域构成的多源领域样本。