(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111499047.3 (22)申请日 2021.12.09 (71)申请人 重庆邮电大 学 地址 400065 重庆市南岸区黄桷垭崇文路2 号 (72)发明人 巩小雪　庞嘉豪　张琦涵　郭磊　 (74)专利代理 机构 北京同恒源知识产权代理有 限公司 1 1275 代理人 廖曦 (51)Int.Cl. H04B 10/85(2013.01) H04B 10/61(2013.01) H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01)G06N 3/08(2006.01) (54)发明名称 一种基于BILSTM的物理层攻击检测与识别 方法 (57)摘要 本发明涉及一种基于BILSTM的物理层攻击 检测与识别方法， 涉及光纤通信的安全领域， 具 体是一种利用物理层带内注入攻击与带外注入 攻击对正常传输信号的攻击机制不同， 正常信号 在攻击信号的作用下经过长距离光纤传输后， 光 谱会发生不同程度的变化， 变化的光谱反映着不 同的攻击类型与不同的攻击强度， 利用BILSTM网 络的前向、 后向序列相关性的超强学习能力， 来 识别不同的攻击类型以及攻击强弱。 模 型结构简 单、 对不同类别的注入攻击的识别精度高， 攻击 检测实时性高、 模型成本耗费低。 配合基于PCA的 特征降维方法， 可将原光谱 4097维特征降低到2 0 维的同时、 对不同类别的注入攻击的识别精度也 高、 攻击检测实时性高。 权利要求书3页 说明书13页 附图21页 CN 114362834 A 2022.04.15 CN 114362834 A 1.一种基于BI LSTM的物理层攻击检测与识别方法， 其特 征在于： 包括以下步骤： S1： 定义宏观的攻击检测与识别的网络 框架； S2： 搭建带内、 带外注入攻击实现的16QAM双偏振相干通信系统； S3： 在没有注入干扰激光的条件下， 将相干通信系统接收端检索到的光谱数据标记为 信号正常传输下的光谱， 并采集 正常传输条件下的光谱样本； S4： 保证相干发射机信号发射功率恒定， 改变注入激光的功率， 在功率不变的情况下改 变激光的发送频率， 发送频率的变化范围在16QAM信号的传输窗口内， 进 行N次攻击后， 统计 接收端BER的分布情况， 根据BER的分布情况定义该功率下的注入攻击属于带内轻度攻击， 还是带内强度攻击， 改变注入激光的发射功率， 并采集相应攻击条件下的光谱样本； S5： 定义带外轻度、 强度攻击， 在相干发射机发射功率不变的情况下， 在不同的激光功 率下， 改变激光的发射频率， 频率范围在合法信号的传输窗口外， 在一个特定功 率激光攻击 下， 进行N+1次攻击后， 统计接收端BER的分布情况， 根据BER的分布情况定义该功率下的注 入攻击属于带内轻度攻击， 还是带内强度攻击， 改变注入激光的发射功 率， 并采集相应攻击 条件下的光谱样本； S6： 搭建BILSTM、 一维卷积神经网络1D ‑CNN、 支持向量机SVM分类模型， 分别来进行攻击 检测与识别， 通过比较各种模 型的攻击识别精度、 模型训练 时间复杂度、 GPU利用率、 测试集 样本分类的时间消耗指标来验证BI LSTM模型的优势以及模型的泛化能力； S7： 搭建Auto ‑Encoder， PCA降维模型， 比较BILSTM在两种降维方式下的训练模型的识 别精确度、 模 型训练的时间复杂度、 测试集样 本测试的时间复杂度、 GPU利用率， 得出训练模 型在精度达 到要求的同时， 数据样本被降维到的最低维度 度数。 2.根据权利 要求1所述的基于BILSTM的物 理层攻击检测与识别方法， 其特征在于： 所述 步骤S1中， 定义攻击检测与识别的网络框架， 攻击者在 网络节点通过一些耦合设备处注入 攻击信号， 信号经过ON(Optical  Network)传输后， SDN(Software  Defined Network， 软件 定义网络)中的Optic al Network Controller对ON进行传输监测， 首先对传输信号的光谱 数据进行检索、 存储、 数据预处理， 最后将预 处理后的数据馈送到已经训练好的神经网络进 行攻击检测与识别， 并且将网络受攻击情况以警报触发的形式送到网络安全管理员， 从而 对网络攻击进行 快速处理。 3.根据权利 要求1所述的基于BILSTM的物 理层攻击检测与识别方法， 其特征在于： 所述 步骤S2中， 相干发射机发射出的25G ‑16QAM双偏振信 号， 经过波分复用器WDM后， 在 ROADM处 与注入的连续波激光CW  Laser干扰信号共同传 入到光纤传输环中， 所述光纤传输环由偏振 分复用标准单模光纤和EDFA组成， 最后经过一个中心频率为发送的16QAM信号中心频率的 50GHz带宽的光带通滤波器 OBPF后， 在相干接收机前， ROADM中进行接收信号的光谱检测， 并 将信号光谱数据进行存 储， 用作后续处 理。 4.根据权利 要求1所述的基于BILSTM的物 理层攻击检测与识别方法， 其特征在于： 所述 步骤S3中， 首先， 25G ‑16QAM双偏振传输信号在经过500KM长距离传输后， 经过解调端的数字 信号处理DSP后， BER为0， 此时将从接收端处的ROADM中检索的光谱数据标记为信号正常传 输下的光谱， 并采集 正常传输条件下的光谱样本 。 5.根据权利 要求1所述的基于BILSTM的物 理层攻击检测与识别方法， 其特征在于： 所述 步骤S4中， 保证相干发射机信号 发射功率恒定， 改变注入激光的功 率， 在功率不变的情况下权　利　要　求　书 1/3 页 2 CN 114362834 A 2改变激光的发送频率， 发送频率的变 化范围在16 QAM信号的传输窗口内， 即fc‑25GHz≤f≤fc +25GHz， fc为传输信号的载波频率， f为激光的频率， 进行60 1次攻击后， 统计接收端BE R的分 布情况， 重复此过程， 最后根据在不同功率激光攻击下， 接收端的BER分布情况定义带内轻 度攻击与带内强度攻击， 若在某个功率下， 改变激光的频率进行601次攻击中， BER<0.02的 样本数占据总样本数的50％或者50％以上， 就认为在该功率下的带内攻击， 有50％或者 50％以上的概率花费一些高昂的代价进行比特纠错， 这类攻击称为带内轻度攻击， 并采集 相应攻击条件下的光谱样本； 而BER<0.02的样本数占据总样本数的5％或者低于5％， 就认 为在该攻击下， 能消除攻击带来的影响从而正常传输的概率低于或者等于5％， 这类攻击被 定义为带内强度攻击， 并采集相应攻击条件下的光谱样本 。 6.根据权利 要求1所述的基于BILSTM的物 理层攻击检测与识别方法， 其特征在于： 所述 步骤S5中， 定义带外轻度、 强度攻击， 在相干发射机发射功率不变的情况下， 在不同的激光 功率下， 改变激光的发射频率， 频率范围在合法信号的传输窗口外， 在一个特定功 率激光攻 击下， 进行602次实验， 若接收端的BER<0.02的样本数占据总样本数的50％或者50％以上， 就认为这类攻击属 于带外轻度攻击， 并采集相应攻击条件下的光谱样本， 若BER<0.02的样 本数占据总样本数 的5％或低于5％， 就将这类攻击定义为带外强度攻击， 并采集相应攻击 条件下的光谱样本 。 7.根据权利 要求1所述的基于BILSTM的物 理层攻击检测与识别方法， 其特征在于： 步骤 S6中所述搭建BI LSTM包括： 一个LSTM块由遗忘门、 学习门、 输出门组成， 对输入序列 X＝{x1x2x3...xN}到输出序列H ＝{h1h2h3...hN}的映射过程， 在N ＝t时刻， 输入序列xt在遗忘门处时， 进行如下运 算： ft＝σ(wf·[ht‑1,xt]+bf) 在学习门处时： it＝σ(wi·[ht‑1,xt]+bi) 神经元的临时状态： ct＝tanh(wc·[ht‑1,xt]+bc) 神经元的当前状态： ct＝ft*ct‑1+it*ct 到输出门时： ot＝σ(wo·[ht‑1,xt]+bo) 最后神经 元的隐层状态： ht＝ot*tanh(ct) 其中w代表神经元的权重矩阵， b代表神经元的偏置向量， σ 是sigmoid激活函数， LSTM块 对xt进行的计算， 不仅跟前时刻LSTM块隐层状态ht‑1有关， 还与前时刻LSTM块的细胞状态 ct‑1有关， 并且使用sigmo id、 tanh作为激活函数； BILSTM为： LSTM块对xt进行的计算， 不仅 依赖xt与前向序列xt‑1之间的相关性， 还取决于 与后向序列xt+1之间的相关性。 8.根据权利 要求1所述的基于BILSTM的物 理层攻击检测与识别方法， 其特征在于： 步骤 S6中所述1D ‑CNN为： 光谱样本X＝{ x1x2x3...xN}经输入层进入隐藏层后， 首先被一维卷积层 卷积核按位卷积， 进行特征提取， 之后在最大池化层 处进行主要特征提取， 添加Dropout层权　利　要　求　书 2/3 页 3 CN 114362834 A 3