联合LeNet和知识图谱的链路建立行为识别方法

联合LeNet和知识图谱的链路建立行为识别方法0

摘要：在电磁对抗环境下，通信行为识别是电磁空间信号挖掘利用的重要一环。针对非合作无线网络中链路建立行为识别检测困难以及传统方法特征表征能力弱的问题，本文提出了联合LeNet和知识图谱的链路建立行为识别方法，该方法在数据预处理的基础上，建立了特征数据库，并使用知识图谱（Knowledge Graph， KG）进行特征的可视化。此外，该方法能够对低信噪比条件下的IQ信号也有很好的识别效果，在实测数据的基础上，信噪比为-20 dB的情况下，平均准确率达到90%以上，能够对链路建立行为进行有效识别。

关键词：链路建立行为识别; 非合作无线网络; LeNet; 知识图谱; 深度学习

中图分类号： TJ760

文献标识码： A

文章编号： 1673-5048（2024）06-0112-08

DOI： 10.12132/ISSN.1673-5048.2024.0077

0 引言

通信行为识别是电磁空间信号挖掘利用的重要一环，是指基于无线通信设备及网络发射的电磁信号数据，通过分析提取信号的时、频、能等多域特征揭示通信活动的丰富语义，实现对通信设备及网络^［1^］行为的识别。由于这种识别是在感知系统与目标无线通信设备及网络非合作的前提下仅通过分析感知到的信号数据实现的，不需要目标设备或网络主体的配合。

在电磁环境非合作无线网络中通信行为识别是获取电子情报的重要手段，而对于链路建立行为的识别尤为重要，识别链路建立行为可以更好地了解非合作网络节点之间的关系、通信协议等信息。具体来说，链路建立行为识别，可以及早地发现节点的异常或恶意攻击行为，辅助制定安全策略，提前做好保障防止数据的泄露；对于频繁建立链接的节点，传输的信息可能更值得获取，有利于辨别通信行为的紧迫性，对关键节点的发现起辅助支撑作用。

近年来，机器学习和深度学习等人工智能的方法逐渐被应用于通信行为识别领域中^［2-4^］，例如文献［5］使用改进K-means的聚类方法，通过通信行为进行数据挖掘，从而进行通信行为特征分析；文献［6］采用梯度提升决策树等算法基于用户通信行为数据，建立了诈骗电话识别模型；文献［7］提出一种基于双谱特征和改进LeNet的短波无线电台通信行为识别算法等。但这些方法对于通信行为的特征表征能力较弱，对于噪声较大的强对抗环境考虑不全面，信噪比低于0 dB的情况能否起到识别效果未知。

知识图谱（Knowledge Graph， KG） ^［8-12^］本质上是一种语义网络的知识库，即一个具有有向图结构的知识库，其中图的结点代表实体或者概念，而图的边代表实体之间的各种语义关系^［13^］，能够组织和表示知识及其之间的相互联系^［14^］，因此，将知识图谱应用于信号的特征表征中，可以更加准确地描述信号的特征和含义。因此，本文引入知识图谱来构建信号特征知识图谱增加信号特征的表征能力。

综上所述，在复杂电磁环境下，面向非合作无线网络，本文提出一种联合LeNet和知识图谱的链路建立行为识别方法，该方法首先构建了信号特征数据KG库，提高了对信号特征的表征能力，然后优化了特征KG联合LeNet进一步提高了极低信噪比条件下的识别准确率，能够有效的识别链路建立行为。

1 链路建立行为及系统模型

1.1 链路建立行为

对于无线宽带自组网设备，本文研究的链路建立行为包括请求发送行为RTS（Request to Send），允许发送行为CTS（Clear to Send）以及应答行为ACK（Acknowledgement）^［15^］。

（1） RTS（Request to Send，请求发送）

RTS帧确保发送方在发送数据前取得媒介的控制权，以避免与其他设备发生冲突，以便传输大型帧。 RTS帧的格式如图1所示， RTS帧只包含标头。帧主体中并未包含任何数据，标头之后即为FCS（帧检查码）。

（2） CTS（Clear to Send，允许发送）

CTS帧有两种目的，其格式如图2所示。 CTS帧用于接收方应答RTS帧，如果之前没有RTS出现，就不会产生CTS。 CTS既可以用于避免碰撞，确保数据传输的可靠性，也可以用作防护机制，避免与其他设备之间的干扰。

（3） ACK（Acknowledgement，确认应答）

ACK帧（见图3）就是MAC以及任何数据传输（包括一般传输RTS/CTS交换之前的帧、帧片段）所需要的正面应答；还用于链路建立时的握手确认。

图1～3可以看出三者的帧结构相似，即帧具体结构识别起来具有一定的难度，其在数据链路层和物理层传输时具有相似性，由图4可以看出三者的波形差异不大，难以精确地辨别，考虑到同一类信号仍存在差异，本文采用联合LeNet和知识图谱的识别方法对链路建立行为进行有效识别。

1.2 系统模型

本文旨在面向非合作无线网络的环境实现链路建立行为的有效识别。如图5所示，链路建立行为识别系统由数据采集、知识图谱（Knowledge Graph， KG）构建、神经网络架构以及行为识别四个部分组成。

2 信号特征知识图谱

针对特征表征能力弱的问题，对IQ信号进行时、频域特征提取，基于所构建的特征数据库，利用先验专家知识，通过建立实体和属性之间的关系构建信号特征知识图谱。

知识图谱通过实体和关系的图结构形式，提供了除表面的数据模式外丰富的语义信息，因此知识图谱能够提高特征的可解释性，增强特征的表征能力，使每一个实体和属性都有明确的语义，用知识图谱进行特征表征还为未来跨领域的知识融合提供了可能，增强模型的泛化能力。目前主要是行为层级的知识图谱，随着研究的深入，未来考虑对知识图谱层级构建的加深，可以扩展到设备、网络等，用于网络拓扑推理，构建动态知识图谱识别系统。

本文选取了均值、方差、标准差、峰度、偏度、最大值、最小值、峰峰值、整流平均值、均方根、波形因子、峰值因子、脉冲因子、裕度因子等作为时域提取的信号特征；选取了重心频率、均方频率、频率方差、功率谱熵、频带能量等作为频域提取的信号特征，以此构建电磁信号知识图谱^［16^］。

2.1 部分特征

（1）峰度与偏度^［17^］

峰度可用来度量随机变量概率分布的陡峭程度：

K=1n∑ni=1Xi－μσ4（1）

式中： μ为均值； σ为信标准差。峰度的取值范围为［1， +∞），峰度值越大，概率分布图越高尖，峰度值越小，概率分布图越矮胖。

偏度可用来度量随机变量概率分布的不对称性：

S=1n∑ni=1Xi－μσ3（2）

偏度的取值范围为（-∞， +∞），当S<0时，概率分布图左偏；当S=0时，表示数据相对均匀地分布在平均值两侧；当S>0时，概率分布图右偏。

（2）脉冲因子与裕度因子^［18^］

脉冲因子表示信号中瞬时峰值与平均水平之间的差距：

I=xpeak1n∑ni=1xi（3）

裕度因子表示信号的峰值与平均水平之间的差距：

Ce=xpeakxr=xpeak1n∑ni=1xi2（4）

式中：xpeak为峰值； xr为方根幅值。

（3）重心频率与均方频率^［19^］

重心频率可以用来描述信号在频谱中分量较大的信号成分的频率，反映了信号功率谱的分布情况：

S1=∑Nk=1fk·P（k）∑Nk=1P（k）（5）

式中： P（k）为对应点的功率谱值； fk为对应点的频率幅值大小。低频幅值较大时，重心距离原点较近。

均方频率是信号频率平方的加权平均值，可以用来描述功率谱主频带分布：

S2=∑Nk=1f2k·P（k）∑Nk=1P（k）（6）

（4）功率谱熵^［20^］

功率谱熵可作为时间不确定性的一种度量，同时也反映了信号的不确定性：

Hs=－∑ni=1|P（k）|∑P（k）log2|P（k）|∑P（k）（7）

2.2 知识图谱构建方案

首先对原始IQ信号根据实部和虚部分别进行时、频域的特征提取，并且对所提取的特征进行拼接得到信号特征。

构建特征知识图谱的过程中以信号为实体，以特征数值为基础，作为属性值，利用先验知识，将其添加到信号特征属性维度中，以一般实体对、关系的形式为例，则对应实体对为信号、特征、特征数值（行为-具有-特征、特征-是-数值），实际以实体-属性-属性值为格式构建信号特征知识图谱，但是构建后特征以列表属性展示表征能力差。为了展现的更加直观，将特征作为边，特征数值作为节点（行为-特征-特征值），则对应ack_1-四阶累积量-25.21。在Neo4j通过以下方式进行特征知识图谱的构建：

（1）前期提取信号的多维特征属性，生成.csv文件（utf-8编码）；

（2）在Neo4j平台的图数据库管理系统（Graph Database Management System， Graph DBMS）中导入.csv文件；

（3）利用Cypher命令进行图谱的构建，部分命令示例如下：

LOAD CSV WITH HEADERS FROM "file： ∥/ack_1.csv" AS line

match （from：概念1{name： line.node1}），（to：概念2{name： line.node2}）

merge （from）-［r：关联{name： line.link}］->（to）

LOAD CSV FROM 'file： ∥/ack.csv' AS line CREATE （： Map { linkID： line［0］， nod1： line［1］， link： line［2］， nod2： line［3］ }）;

CREATE （line［1］）-［r： line［2］］->（line［3］）;

（4）生成如图6所示的知识图谱，可导出为CSV， JSON， PNG， SVG文件。