一种深层特征聚合引导的轻量型网络攻击检测方法与流程

本发明涉及网络安全，尤其涉及一种深层特征聚合引导的轻量型网络攻击检测方法。

背景技术：

1、网络安全技术领域主要用于保护网络系统及其数据的保密性、完整性和可用性，预防、检测和响应各种网络威胁和攻击。该领域涵盖加密技术、访问控制、网络协议安全、恶意软件防护、入侵检测与防御等多个方面。

2、其中，网络攻击检测方法是指通过技术手段分析网络通信和文件数据特征，从而识别潜在的网络攻击行为或恶意软件的方法。通过检测jpeg文件中的病毒，通过研究jpeg文件的格式结构和异常特征，识别嵌入在图像中的恶意代码，防止病毒传播和信息系统的损害。

3、现有技术在检测jpeg文件中的病毒时，更多依赖于文件数据的静态特征分析或已知特征模式匹配，难以深入挖掘文件中潜在的隐蔽信息。由于未对文件压缩域内部特征的细致解析，容易忽略特性间的动态关系，导致对复杂嵌入手段的攻击行为识别不够全面。对于频率分布的空间变化和局部特征的异常波动，无法进行有效量化和判断，容易错失隐蔽性强的恶意代码。此外，对信号周期性特征及其与空间分布特征的关联分析能力不足，这种局限使得对于高级恶意代码嵌入模式的判断较为模糊。在未进行多层次特征提取的情况下，无法对文件整体威胁区域进行直观标记，难以快速定位攻击热点，导致威胁范围的扩大和检测效率的下降。

技术实现思路

1、本发明的目的是解决现有技术中存在的缺点，而提出的一种深层特征聚合引导的轻量型网络攻击检测方法。

2、为了实现上述目的，本发明采用了如下技术方案：一种深层特征聚合引导的轻量型网络攻击检测方法，包括以下步骤：

3、s1：收集jpeg文件的压缩数据并解析压缩域结构，对压缩域结构中每个压缩块提取离散余弦变换系数，结合量化表对系数进行反量化，记录每个块的频率分布总幅值，统计相邻块之间频率幅值的变化幅度，生成频率特征分布表；

4、s2：基于所述频率特征分布表，将全部块的熵值按照梯度进行划分并标记熵值变化区间，捕捉超出梯度变化阈值的熵值变化区间，生成选定的梯度熵分布区域表；

5、s3：提取所述选定的梯度熵分布区域表中离散余弦变换系数的周期性特征，分析频率分量之间的重复性变化，针对周期信号分布区域内的局部熵值波动，判断周期信号与局部熵波动的相互增强程度，生成周期性信号增强区域图；

6、s4：基于所述周期性信号增强区域图中的数据，将增强信号覆盖区域内的频率特征点与空间位置聚合，计算特征点的异常等级，将异常等级对应到jpeg文件整体空间分布中，得到特征聚合的jpeg网络攻击检测图。

7、作为本发明的进一步方案，所述记录每个块的频率分布总幅值的获取步骤具体为：

8、s111：基于jpeg文件的压缩数据，解析文件头提取图像元数据，量化表记录频率分量权重值，根据霍夫曼表重建编码映射关系，获取块划分信息定位每个图像块位置与维度，并提取每个块的离散余弦变换系数，生成频率系数矩阵；

9、s112：基于所述频率系数矩阵，逐项匹配量化表中的权重值进行反量化，获取每个图像块的频率特性值及总幅值，并对全部图像块循环处理，生成每个块的频率幅值数据表。

10、作为本发明的进一步方案，所述频率特征分布表的获取步骤具体为：

11、s121：对于所述每个块的频率幅值数据表，采用公式：

12、

13、计算归一化频率分布总幅值的平均变化量，得到相邻块之间的频率分布变化数据；

14、其中，是相邻块对的总数，表示当前统计的块对编号，是当前第对中块的频率分布总幅值，是当前第对中与块相邻的块的频率分布总幅值，和分别表示块在水平方向和竖直方向的索引；

15、s122：基于所述相邻块之间的频率分布变化数据，按照图像块的空间位置进行组织，将归一化频率差异值映射成矩阵，分析矩阵行列方向的变化趋势并进行统计，生成频率特征分布表。

16、作为本发明的进一步方案，所述选定的梯度熵分布区域表的获取步骤具体为：

17、s211：基于所述频率特征分布表中的数据，采用公式：

18、

19、计算第块的局部熵值，得到局部相邻块熵值数据；

20、其中，表示当前统计的频率变化幅值类别，是第块中，频率变化值属于第类别的概率值，是频率变化幅值的类别总数，分别表示图像中块的行索引和列索引；

21、s212：基于所述局部相邻块熵值数据，将熵值按梯度范围划分区间，并统计各区间中的块数量及其变化情况，与预设梯度变化阈值进行比较，标记显著梯度变化区间，生成选定的梯度熵分布区域表。

22、作为本发明的进一步方案，所述分析频率分量之间的重复性变化的获取步骤具体为：

23、s311：基于所述选定的梯度熵分布区域表中的区域信息，定位每个图像块的索引范围，从jpeg文件中解析块的离散余弦变换系数，按照图像块的索引顺序提取系数，建立选定区域的离散余弦变换系数矩阵；

24、s312：基于所述选定区域的离散余弦变换系数矩阵，采用公式：

25、

26、计算频率分量的重复率，得到重复性变化分析结果；

27、其中，代表周期内的块编号，表示第个块与参考块相比具有一致频率分量的数量，表示周期内参与比较的块总数。

28、作为本发明的进一步方案，所述周期性信号增强区域图的获取步骤具体为：

29、s321：基于所述重复性变化分析结果，逐块分析熵值波动与重复率的联合分布，判断周期信号与熵波动的相互增强程度，生成增强区域范围数据；

30、s322：基于所述增强区域范围数据，提取增强信号块的位置和特征，将其整理为包括位置索引、增强信号强度、波动幅度多种属性的数据表，通过数据可视化方式标注特征点，得到周期性信号增强区域图。

31、作为本发明的进一步方案，所述计算特征点的异常等级的获取步骤具体为：

32、s411：基于所述周期性信号增强区域图中的数据，将增强信号覆盖区域内的频率特征点与空间位置数据进行提取和归档，按频率分量值、熵值梯度变化及空间位置坐标聚合，并进行分类处理，建立频率点与熵值梯度变化的联合分布数据；

33、s412：基于所述频率点与熵值梯度变化的联合分布数据，采用公式：

34、

35、计算异常等级，得到特征点的异常等级数据；

36、其中，是频率特征的权重，是特征点的频率分量，是空间位置的权重，是特征点的空间位置指数。

37、作为本发明的进一步方案，所述特征聚合的jpeg网络攻击检测图的获取步骤具体为：

38、s421：基于所述特征点的异常等级数据，提取jpeg文件的分块信息，获取每块的异常等级值和对应的二维空间坐标，创建二维矩阵表示jpeg文件的空间分布，填充每个块的异常等级值，并进行可视化，生成jpeg文件整体的异常等级分布图；

39、s422：基于所述jpeg文件整体的异常等级分布图，逐块筛选异常等级高于预设异常阈值的块并提取二维坐标，进行空间聚合分析，对威胁块进行分组和标记，生成特征聚合的jpeg网络攻击检测图。

40、与现有技术相比，本发明的优点和积极效果在于：

41、本发明中，通过解析jpeg文件的压缩域结构，提取离散余弦变换系数并结合量化表进行反量化，能够更准确地恢复文件中的频率特性值和空间分布。提高了对文件特性变化的敏感度，尤其是能够捕捉频率分布的细微异常。利用相邻块间频率变化幅度计算局部熵值，并对熵值变化区间进行标记与阈值比较，可以准确识别异常的局部特征区域。这种熵值计算和梯度分析的结合使得对隐藏于文件中的潜在攻击行为的定位更具精度。周期性信号的提取和增强区域分析通过深入挖掘离散余弦变换系数的重复性变化特征，不仅提高了对隐蔽攻击的检测能力，还能够识别特定的信号模式，形成有针对性的威胁判断。基于频率特征点与熵值变化的联合分布，构建异常等级分类体系，并将结果映射到文件的空间分布中，从整体上强化了对文件威胁区域的直观呈现，提升了对jpeg文件中潜在威胁的捕捉能力。