CN111510433B - 一种基于雾计算平台的物联网恶意流量检测方法 - Google Patents

Abstract

本发明涉及一种基于雾计算平台的物联网恶意流量检测方法，该检测方法基于雾计算平台运行，检测方法包括(1)搭建实验网络，架设特征提取模块，用于收集下辖IoT设备的流量数据包；搭建Mirai僵尸网络环境，获取发起DDoS攻击时的流量数据包；(2)利用特征提取模块对流量数据包进行特征值分类、提取，生成特征数据；(3)数据处理模块对特征数据进行数据维度重构；(4)在雾计算节点上搭建卷积神经网络。本发明将卷积神经网络异常检测算法移植到IoT僵尸网络领域，提高了IoT设备DDoS恶意流量的识别率；基于雾计算平台架构搭建，实现对下辖IoT设备异常流量的实时检测，降低DDoS攻击的后果。

Description

一种基于雾计算平台的物联网恶意流量检测方法

技术领域

本发明涉及一种基于雾计算平台的物联网恶意流量检测方法，属于网络安全技术领域。

背景技术

分布式拒绝服务攻击(DDoS,distributed denial of service)是一种危害性极强的分布式、大范围协同作战的网络攻击手段，攻击者利用其控制的众多僵尸主机或物联网(The Internet of Things，简称IoT)设备，同时向被攻击目标发起拒绝服务攻击(DoS,denial of service)，最终导致被攻击目标的系统资源耗尽甚至崩溃，被攻击目标“拒绝”为正常用户提供所需服务。DDoS攻击主要针对被攻击目标的系统资源和网络带宽，攻击范围包括网络层到应用层。2016年10月，Mirai僵尸网络控制超过十万个IoT设备对Dyn DNS(Dynamic，Domain Name System，动态域名系统)基础设施进行分布式拒绝服务(DDoS)攻击，许多知名网站，包括Github、Amazon、Netflix、Twitter、CNN和Paypal等，均在数小时内无法访问。2017年第四季度与2016年第四季度相比，DDoS攻击总数增加了14％，DDoS攻击已经对系统和网络造成了严重的安全威胁，根据最新的研究表明，几乎所有的DDoS攻击者都会使用两种以上的向量攻击方式进行攻击活动，这使得针对恶意流量的检测变得愈发困难。

目前针对IoT设备的异常检测算法主要包括支持向量机、多层感知器、硬检测阈值、模糊推理等手段，但这些算法存在时延长、精度低、误报率高等问题。此外，DDoS攻击需要在发起初期采取流量清洗等手段进行防御，现有的防御策略多数是基于云计算平台搭建实现的，这种单一式的防御手段存在反迟延敏感性低和单点攻击等风险，很难在DDoS攻击发起的初期及时发现并采取防御措施。

人工神经网络拥有概括抽象、学习和自适应以及内在并行计算等特性，这些特性使其在DDoS攻击检测中具有独特优势。卷积神经网络(Convolutional Neural Networks,CNN)在互联网恶意流量异常检测领域的应用研究已经趋于完善。但由于算法复杂度高和部署框架硬件水平受限等现实原因，鲜有学者将CNN应用于IoT恶意流量监测领域。本发明将异常检测系统框架搭建在雾计算架构中，雾架构节点具备一定的存储和计算能力，能够支持CNN神经网络的部署，另外，雾计算架构部署于边缘设备和云层之间，相较于云计算，具有时延敏感性低等优点，可以在DDoS发起的初期进行识别并启动防御机制。

发明内容

针对现有技术的不足，本发明提供了一种基于雾计算平台的物联网恶意流量检测方法，提出了一种在雾计算节点上开发CNN神经网络检测物联网僵尸网络异常流量的方法。相较于云计算平台，雾计算节点的分布更靠近边缘节点，能够克服云平台的迟延性等问题，还可以实现对下辖IoT设备异常流量的实时检测并及时采取防御措施。

术语解释：

DDoS(Distributed Denial of Service，分布式拒绝服务)：DDoS是指攻击者通过病毒程序控制僵尸主机，被动发起的和正常访问一样的访问数据，使得目标主机防火墙无法识别，从而占用大量服务器网络带宽等资源，导致程序或者服务器无法正常响应正常访问者的访问请求，甚至是宕机。

人工神经网络(Artificial Neural Network)：ANN是一种基于生物学中神经网络的基本原理，在理解和抽象了人脑结构和外界刺激响应机制后，以网络拓扑知识为理论基础，模拟人脑的神经系统对复杂信息的处理机制的一种数学模型。

雾计算架构(Fog Computing)：雾计算是一种分布式协作架构，能够将实际数据来源与云端之间的各种特定应用程序或服务用在最有效的位置进行管理。这种类型的计算正有效地将云端计算功能和服务扩展到网络的边际，将其优势和功能发挥在最贴近数据能被执行与操作之处。

本发明的技术方案为：

一种基于雾计算平台的物联网恶意流量检测方法，该检测方法基于雾计算平台运行，雾计算平台包括若干个分布式雾计算节点，雾计算节点包括雾架构网关节点模块、代理节点模块、通用计算节点模块和数据存储节点模块；

雾架构网关节点模块(Fog Gateway Nodes,FGN)，充当IoT设备网络和本地交换机之间、IoT设备网络和互联网之间的动态接入点；

代理节点模块(Broker Nodes)，当雾架构网关节点模块无法满足下辖IoT设备的计算需求时，所述代理节点模块代表雾架构网关节点模块，与通用计算节点模块或数据存储节点模块或云数据中心进行通信；以提供IoT设备所需的资源；

通用计算节点模块(General Computing Nodes,GCN)，为所述雾计算节点提供计算支持，所述雾架构网关节点模块通过所述代理节点模块访问所述通用计算节点模块；

数据存储节点模块(Repository nodes)，为雾架构网关节点模块、代理节点模块及通用计算节点模块提供用于即时访问和分析过往数据的接口，以维护各种应用程序的数据；同时管理分布式数据库；以促进数据的共享、复制、恢复和安全存储；

所述检测方法包括如下步骤：

(1)搭建实验网络，在雾架构网关节点模块处架设特征提取模块，用于收集雾架构网关节点模块下辖IoT设备的流量数据包；在虚拟环境下搭建Mirai僵尸网络环境，获取IoT僵尸网络设备发起DDoS攻击时的流量数据包；

(2)利用特征提取模块对实验网络下的流量数据包和Mirai僵尸网络环境下的流量数据包进行特征值的分类、提取，生成特征数据，并将特征数据传送至数据处理模块；

所述特征数据包括无状态特征信息和状态特征信息；

(3)利用数据处理模块对所述特征数据进行数据维度重构，生成适合卷积神经网络学习的数据结构形式，并将数据处理模块处理后的数据作为卷积神经网络的输入层；每28个流量数据包为一组，四组并列合成为一个28×28的适合作为神经网络输入的数据；

(4)在雾计算平台上搭建卷积神经网络；将步骤(3)处理后的特征数据分为训练数据和测试数据；并将所述训练数据输入到搭建的卷积神经网络中进行训练；再利用卷积神经网络对所述测试数据进行测试检测，最后经过softmax分类器对输入的测试数据进行分类，若分类结果为正常流量，则不进行处理；若分类结果为异常流量，则立即将发起攻击的IoT设备的IP地址上传至雾计算节点的代理节点模块，立即启动应急响应机制，将恶意IoT设备屏蔽，以避免更大规模的DDoS攻击的发起。

本发明中，特征提取是指在实验环境下，搭建IoT设备组成的实验网络，结合物联网设备正常流量和异常流量的主要区别，针对性的在物联网设备产生的流量数据包中提取特征值。所述数据处理是指将实验中收集到的特征数据转换为适合作为人工神经网络输入的格式。所述人工神经网络模块经过适当的数据进行训练，以用于检测物联网设备的恶意流量。所述的雾计算节点用于实现对DDoS攻击的快速反应，在攻击行动发生的初期启动流量清洗机制。

根据本发明优选的，所述步骤(4)中，所述卷积神经网络包括卷积层C1、最大池化层S1、卷积层C2、最大池化层S2、全连接层D1和全连接层D2，具体组成为：

卷积层C1：卷积操作共使用32个过滤器，卷积核的大小为3×3，卷积步长为1；卷积层C1包括32个28×28的特征图；

最大池化层S1：卷积层C1层的每个特征图在该层进行一次大小为2×2的最大池化操作；所述最大池化层S1包括32个13×13的特征图；

卷积层C2：卷积操作共使用64个过滤器，卷积核的大小为3×3，卷积步长为1，卷积层C2包括64个11×11的特征图；

最大池化层S2：包括64个5×5的特征图；该层与S1层类似；

全连接层D1：包括1024个神经元，所述全连接层D1与所述最大池化层S2层全相连；

全连接层D2：包括10个神经元，所述全连接层D2与所述全连接层D1全相连；

输入层的特征向量首先经过卷积层C1，以提取高维度特征值，而后进行标准化处理，学习分布特征；再经过最大池化层S1，以减少模型的参数和计算量，防止过拟合；再依次经过卷积层C2和最大池化层S2，最后将所得数据输入全连接层D1和全连接层D2，在卷积神经网络的输出端通过softmax分类器对特征数据进行分类。

根据本发明优选的，所述步骤(4)中，在卷积神经网络的训练过程中，使用GPU加速手段，以减少训练时间；激活函数选择线性整流函数ReLU：y＝max(0,x)或Softplus：y＝ln(1+e^x)，其中，x为神经元的输入，y表示神经元的输出。

根据本发明优选的，A、所述雾架构网关节点模块采用Pandaboard和德州仪器的SmartRF06板，结合CC2538模块和MOD-ENC28J60以太网模块来实现；

所述CC2538模块与所述SmartRF06板共同构成网络接收器节点，且负责接收来自其他雾计算节点的数据及该雾架构网关节点下辖的IoT设备的数据，所述CC2538模块与所述SmartRF06板均通过MOD-ENC28J60模块将接收的数据传送至Pandaboard板；所述Pandaboard为所述雾架构网关节点提供Wi-Fi支持，所述Pandaboard利用集成的以太网端口(Ethernet Port)与以太网连接；

B、所述代理节点模块包括安全管理器、资源管理器、数据管理器和云管理器；

所述安全管理器生成下辖IoT设备的秘钥、并对下辖IoT设备的秘钥进行核验及证书的验证；以确保雾计算节点之间的安全通信；

所述资源管理器为下辖的IoT设备用户分配计算资源，所述代理节点模块从所述数据存储节点模块的应用程序目录中获取不同应用程序的需求，所述代理节点模块通过通用计算节点的资源监控器感知每个代理节点模块中的资源状态；

所述数据管理器接收下辖IoT设备上传的数据，IoT设备上传的数据经过雾架构网关节点模块Pandaboard板传输到所述数据管理器，所述数据管理器创建雾计算节点的区块并使所述创建雾计算节点的区块加入区块链；

所述云管理器负责与云数据中心之间的通信；

C、所述通用计算节点模块包括安全执行管理器、资源监视器和应用执行器；

所述安全执行管理器与代理节点模块的数据管理器共同负责区块链数据的验证工作；

所述资源监视器负责监控计算资源的状态，状态包括空闲或忙碌，并将状态结果上报给代理节点模块的资源管理器；

所述应用执行器根据代理节点模块的资源管理器为不同的应用程序分配计算资源，并向资源监视器通知资源状态；从而增加雾计算节点的容错能力；

D、所述数据存储节点模块包括凭证存储文档、应用程序目录、数据容器和云平台扩展器；

所述安全管理器生成的下辖IoT设备的秘钥存储在所述凭证存储文档中，且所述秘钥通过代理节点模块共享给其他雾计算节点；

所述应用程序目录维护应用程序的信息，并辅助所述代理节点模块的资源管理器为应用程序配置资源；

所述数据容器接收下辖IoT设备上传的数据，且所述数据容器从所述应用程序目录中接收中间数据，以便系统中断后可以从中断处重新进行数据处理；

所述数据存储节点模块通过云平台扩展器在云数据中心上备份信息；且所述云平台扩展器辅助其他组件与云数据中心之间的通信；其它组件即雾计算节点包括雾架构网关节点模块、代理节点模块、通用计算节点模块。

根据本发明优选的，所述步骤(1)中，在搭建实验网络时，IoT设备的种类包括智能LED灯泡E27、小米1080P智能摄像机、HUAWE智能体脂秤CH18、OPPO智能手表、HUAWEI HiLink智能插头、TP-LINK TL-IPC42C-4智能摄像头、HEM-7211智能血压仪、L43M5-4X智能电视。目的是为求实验结果尽量与实际相符。

根据本发明优选的，所述步骤(1)中，在获取IoT僵尸网络设备发起的DDoS攻击流量数据包时，使用Kali Linux虚拟机作为DoS源，使用Apache平台搭建Web网站服务器作为DoS攻击的目标，并模拟Mirai僵尸网络的攻击；所述攻击的类型包括TCP SYN泛洪攻击、UDP泛洪攻击和HTTP GET泛洪攻击。目的是为避免运行Mirai僵尸网络病毒带来的风险和复杂性。

根据本发明优选的，所述步骤(2)中，所述无状态特征信息包括源IP地址、时间戳、数据包大小、通信协议、包间时间间隔△t，包间时间间隔导数

所述状态特征信息包括目的IP地址。

无状态特征信息不会随时间的变化而改变，与流量无关的特征，提取这些信息时不会按IP源拆分传入的流量，因此，这些信息是最轻量级的，易于在雾计算节点实现。状态特征信息用于反应网络流量随时间变化的规律。无状态特征信息和状态特征信息在正常流量和异常流量中区别明显，故以上两类述特征值作为鉴别流量是否异常之依据。

根据本发明优选的，所述步骤(1)中，使用WireShark软件作为所述特征提取模块，用以提取流量数据包中的特征值。

根据本发明优选的，所述步骤(3)中，使用Python软件作为所述数据处理模块，通过Python将所述特征数据转化为适合卷积神经网路输入的二维特征矩阵。

本发明的有益效果为：

1.本发明填补可使用卷积神经网络检测IoT设备DDoS流量的空白。

2.本发明旨在将现今较为完善的卷积神经网络异常检测算法移植到IoT僵尸网络领域，提高了IoT设备DDoS恶意流量的识别率。

3.本发明基于雾计算平台架构搭建，雾计算是由大量异构存在的无线分布式设备通过网络相互链接并在无中心干预的情况下协作完成计算和存储等诸多任务的平台。相较于云计算平台，雾计算节点的分布更靠近边缘节点，能够克服云平台的迟延性等问题，在DDoS攻击发起的初期对其进行识别并采取相应的防御策略，实现对下辖IoT设备异常流量的实时检测并及时采取防御措施，降低DDoS攻击的后果。

附图说明

图1为实施例1提供的基于雾计算平台的物联网恶意流量检测系统的结构示意图；

图2为实施例1提供的特征提取和数据处理过程示意图；

图3为实施例1提供的卷积神经网络的结构示意图；

图4为对比例1提供的传统的物联网异常流量检测系统通常基于聚类分析算法的示意图。

具体实施方式

下面结合实施例和说明书附图对本发明做进一步说明，但不限于此。

实施例1

一种基于雾计算平台的物联网恶意流量检测方法，该检测方法基于雾计算平台运行，雾计算平台包括若干个分布式雾计算节点，如图1所示，雾计算节点包括雾架构网关节点模块、代理节点模块、通用计算节点模块和数据存储节点模块；

雾架构网关节点模块(Fog Gateway Nodes,FGN)，充当IoT设备网络和本地交换机之间、IoT设备网络和互联网之间的动态接入点；

代理节点模块(Broker Nodes)，当雾架构网关节点模块无法满足下辖IoT设备的计算需求时，代理节点模块代表雾架构网关节点模块，与通用计算节点模块或数据存储节点模块或云数据中心进行通信；以提供IoT设备所需的资源；

通用计算节点模块(General Computing Nodes,GCN)，为雾计算节点提供计算支持，雾架构网关节点模块通过代理节点模块访问通用计算节点模块；

数据存储节点模块(Repository nodes)，为雾架构网关节点模块、代理节点模块及通用计算节点模块提供用于即时访问和分析过往数据的接口，以维护各种应用程序的数据；同时管理分布式数据库；以促进数据的共享、复制、恢复和安全存储；

本发明中，A、雾架构网关节点模块采用Pandaboard和德州仪器的SmartRF06板，结合CC2538模块和MOD-ENC28J60以太网模块来实现；

CC2538模块与SmartRF06板共同构成网络接收器节点，且负责接收来自其他雾计算节点的数据及该雾架构网关节点下辖的IoT设备的数据，CC2538模块与SmartRF06板均通过MOD-ENC28J60模块将接收的数据传送至Pandaboard板；Pandaboard为雾架构网关节点提供Wi-Fi支持，Pandaboard利用集成的以太网端口(Ethernet Port)与以太网连接；

B、代理节点模块包括安全管理器、资源管理器、数据管理器和云管理器；

安全管理器生成下辖IoT设备的秘钥、并对下辖IoT设备的秘钥进行核验及证书的验证；以确保雾计算节点之间的安全通信；通俗讲，IoT设备秘钥就是登陆IoT设备的账号密码。

资源管理器为下辖的IOT设备用户分配计算资源，代理节点模块从数据存储节点模块的应用程序目录中获取不同应用程序的需求，代理节点模块通过通用计算节点的资源监控器感知每个代理节点模块中的资源状态；

数据管理器接收下辖IoT设备上传的数据，IoT设备上传的数据经过雾架构网关节点模块Pandaboard板传输到数据管理器，Pandaboard板是网关节点，网关节点与IoT设备直接相连，数据管理器创建雾计算节点的区块并使创建雾计算节点的区块加入区块链；

云管理器负责与云数据中心之间的通信；

C、通用计算节点模块包括安全执行管理器、资源监视器和应用执行器；

安全执行管理器与代理节点模块的数据管理器共同负责区块链数据的验证工作；

资源监视器负责监控计算资源的状态，状态包括空闲或忙碌，并将状态结果上报给代理节点模块的资源管理器；

应用执行器根据代理节点模块的资源管理器为不同的应用程序分配计算资源，并定期向资源监视器通知资源状态；从而增加雾计算节点的容错能力；

D、数据存储节点模块包括凭证存储文档、应用程序目录、数据容器和云平台扩展器；

安全管理器生成的下辖IoT设备的秘钥存储在凭证存储文档中，且秘钥通过代理节点模块共享给其他雾计算节点；

数据存储节点模块通过云平台扩展器在云数据中心上备份信息；

应用程序目录维护各种类型的应用程序的详细信息，并辅助代理节点模块的资源管理器为应用程序配置资源；

数据容器接收下辖IoT设备上传的数据，且数据容器从应用程序目录中接收中间数据，以便系统中断后可以从中断处重新进行数据处理；

云平台扩展器辅助其他组件与云数据中心之间的通信；其它组件即雾计算节点包括雾架构网关节点模块、代理节点模块、通用计算节点模块和数据存储节点模块中包括的组件。

检测方法包括如下步骤：

(1)搭建实验网络，在雾架构网关节点模块处架设特征提取模块，用于收集雾架构网关节点模块下辖IoT设备的流量数据包；即正常流量；在虚拟环境下搭建Mirai僵尸网络环境，获取IoT僵尸网络设备发起DDoS攻击时的流量数据包；即异常流量；通过搭建两套环境，分别用于收集正常流量和异常流量。

步骤(1)中，在搭建实验网络时，IoT设备的种类包括智能LED灯泡E27、小米1080P智能摄像机、HUAWE智能体脂秤CH18、OPPO智能手表、HUAWEI HiLink智能插头、TP-LINK TL-IPC42C-4智能摄像头、HEM-7211智能血压仪、L43M5-4X智能电视。目的是为求实验结果尽量与实际相符。

步骤(1)中，在获取IoT僵尸网络设备发起的DDoS攻击流量数据包时，使用KaliLinux虚拟机作为DoS源，使用Apache平台搭建Web网站服务器作为DoS攻击的目标，并模拟Mirai僵尸网络的攻击；攻击的类型包括TCP SYN泛洪攻击、UDP泛洪攻击和HTTP GET泛洪攻击。目的是为避免运行Mirai僵尸网络病毒带来的风险和复杂性。

步骤(1)中，使用WireShark软件作为特征提取模块，用以提取流量数据包中的特征值。

(2)如图2所示，利用特征提取模块对实验网络下的流量数据包和Mirai僵尸网络环境下的流量数据包进行特征值的分类、提取，生成特征数据，并将特征数据传送至数据处理模块；

步骤(2)中，特征数据包括无状态特征信息和状态特征信息；

无状态特征信息包括源IP地址、时间戳、数据包大小、通信协议、包间时间间隔△t，包间时间间隔导数

状态特征信息包括目的IP地址。

无状态特征信息不会随时间的变化而改变，与流量无关的特征，提取这些信息时不会按IP源拆分传入的流量，因此，这些信息是最轻量级的，易于在雾计算节点实现。状态特征信息用于反应网络流量随时间变化的规律。无状态特征信息和状态特征信息在正常流量和异常流量中区别明显，故以上两类述特征值作为鉴别流量是否异常之依据。

(3)如图2所示，利用数据处理模块对特征数据进行数据维度重构，生成适合卷积神经网络学习的数据结构形式，并将数据处理模块处理后的数据作为卷积神经网络的输入层；每28个流量数据包为一组，四组并列合成为一个28×28的适合作为神经网络输入的数据；

步骤(3)中，使用Python软件作为数据处理模块，通过Python将特征数据转化为适合卷积神经网路输入的二维特征矩阵。

(4)在雾计算平台上搭建卷积神经网络；将步骤(3)处理后的特征数据分为训练数据和测试数据；并将训练数据输入到搭建的卷积神经网络中进行训练；再利用卷积神经网络对测试数据进行测试检测，最后经过softmax分类器对输入的测试数据进行分类，若分类结果为正常流量，则不进行处理；若分类结果为异常流量，则立即将发起攻击的IoT设备的IP地址上传至雾计算节点的代理节点模块，立即启动应急响应机制，将恶意IoT设备屏蔽，以避免更大规模的DDoS攻击的发起。

步骤(4)中，如图3所示，卷积神经网络包括卷积层C1、最大池化层S1、卷积层C2、最大池化层S2、全连接层D1和全连接层D2，具体组成为：

卷积层C1：卷积操作共使用32个过滤器，卷积核的大小为3×3，卷积步长为1；卷积层C1包括32个28×28的特征图；

最大池化层S1：卷积层C1层的每个特征图在该层进行一次大小为2×2的最大池化操作；最大池化层S1包括32个13×13的特征图；

卷积层C2：卷积操作共使用64个过滤器，卷积核的大小为3×3，卷积步长为1，卷积层C2包括64个11×11的特征图；

最大池化层S2：包括64个5×5的特征图；该层与S1层类似；

全连接层D1：包括1024个神经元，全连接层D1与最大池化层S2层全相连；

全连接层D2：包括10个神经元，全连接层D2与全连接层D1全相连；

输入层的特征向量首先经过卷积层C1，以提取高维度特征值，而后进行标准化处理，学习分布特征；再经过最大池化层S1，以减少模型的参数和计算量，防止过拟合；再依次经过卷积层C2和最大池化层S2，最后将所得数据输入全连接层D1和全连接层D2，在卷积神经网络的输出端通过softmax分类器对特征数据进行分类。卷积神经网络输出0或者1，再经过softmax分类器输出输入的特征数据属于正常流量，还是异常流量。

本发明中，特征提取是指在实验环境下，搭建IoT设备组成的实验网络，结合物联网设备正常流量和异常流量的主要区别，针对性的在物联网设备产生的流量数据包中提取特征值。数据处理是指将实验中收集到的特征数据转换为适合作为人工神经网络输入的格式。人工神经网络模块经过适当的数据进行训练，以用于检测物联网设备的恶意流量。雾计算节点用于实现对DDoS攻击的快速反应，在攻击行动发生的初期启动流量清洗机制。

本发明实验所用卷积神经网络基于pytorch平台搭建，实验用数据共118451条，其中正常流量81654，DDoS恶意流量36797条。取实验数据中的80％做为训练用流量，20％用作检测流量。

CNN模型在训练时batch_size设置为50，综合现有研究并考虑CNN网络层数对训练精读的影响和现实部署的难易程度等因素，在卷积神经网络的训练过程中，使用GPU加速手段，以减少训练时间；激活函数选择线性整流函数ReLU：y＝max(0,x)其中，x为神经元的输入，y表示神经元的输出。

本发明通过对比机器学习中的SVM算法和人工神经网络中的全连接反馈神经网络(4层，每层11个神经元)算法，使用相同的数据集，通过2000轮的迭代训练趋于收敛之后，对测试数据进行测试，得出各种检测方法的准确率，如下表1所示：

表1

	卷积神经网络	人工神经网络	SVM算法
				准确度	0.941	0.939	0.92

由表1可知，本发明提供的检测方法，能够有效提高对恶意流量的准确率。

对比例1

传统的物联网异常流量检测系统通常基于聚类分析算法，如图4所示，周启惠等人给出了一种基于聚类分析算法的IoT异常检测系统，如图4所示，[周启惠,邓祖强,邹萍等人，基于区块链的防护物联网设备DDoS攻击方法[J].应用科学学报,2019,37(02):67-77.],该检测系统主要包括以下几个步骤：

1.节点利用Wireshark工具捕获IoT设备的网络流量。

2.假定节点已具有下辖IoT设备正常运转适当天数的流量，之后根据聚类算法对数据包内容进行聚类分析，形成如下的特征-协议簇：<TCP，{簇1，簇2，簇3······}>、<UDP，{簇1，簇2，簇3······}>、<HTTP，{簇1，簇2，簇3······}>。

而后判断实时捕获流量中的连接协议类型，根据连接协议类型匹配到上述特征–协议簇，用连接数据包内容与特征簇进行相似度匹配，若匹配程度低于设定的阈值，则当前连接为疑似DDoS异常连接，否则当前连接为正常连接。

该系统虽然易于实现和部署，但是检测识别率不高，约为0.7-0.75。综上可知，本发明提供的检测方法具有较为明显的优势，提高了IoT设备DDoS恶意流量的识别率，雾计算节点的分布更靠近边缘节点，能够克服云平台的迟延性等问题，在攻击行动发生的初期启动流量清洗机制。

Claims (9)

1.一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，该检测方法基于雾计算平台运行，雾计算平台包括若干个分布式雾计算节点，雾计算节点包括雾架构网关节点模块、代理节点模块、通用计算节点模块和数据存储节点模块；

雾架构网关节点模块，充当IoT设备网络和本地交换机之间、IoT设备网络和互联网之间的动态接入点；

代理节点模块，当雾架构网关节点模块无法满足下辖IoT设备的计算需求时，所述代理节点模块代表雾架构网关节点模块，与通用计算节点模块或数据存储节点模块或云数据中心进行通信；

通用计算节点模块，为所述雾计算节点提供计算支持，所述雾架构网关节点模块通过所述代理节点模块访问所述通用计算节点模块；

数据存储节点模块，为雾架构网关节点模块、代理节点模块及通用计算节点模块提供用于即时访问和分析过往数据的接口，同时管理分布式数据库；

所述检测方法包括如下步骤：

(1)搭建实验网络，在雾架构网关节点模块处架设特征提取模块，用于收集雾架构网关节点模块下辖IoT设备的流量数据包；在虚拟环境下搭建Mirai僵尸网络环境，获取IoT僵尸网络设备发起DDoS攻击时的流量数据包；

(2)利用特征提取模块对实验网络下的流量数据包和Mirai僵尸网络环境下的流量数据包进行特征值的分类、提取，生成特征数据，并将特征数据传送至数据处理模块；

所述特征数据包括无状态特征信息和状态特征信息；

(3)利用数据处理模块对所述特征数据进行数据维度重构，生成适合卷积神经网络学习的数据结构形式，并将数据处理模块处理后的数据作为卷积神经网络的输入层；每28个流量数据包为一组，四组并列合成为一个28×28的适合作为神经网络输入的数据；

(4)在雾计算平台上搭建卷积神经网络；将步骤(3)处理后的特征数据分为训练数据和测试数据；并将所述训练数据输入到搭建的卷积神经网络中进行训练；再利用卷积神经网络对所述测试数据进行测试检测，最后经过softmax分类器对输入的测试数据进行分类，若分类结果为正常流量，则不进行处理；若分类结果为异常流量，则立即将发起攻击的IoT设备的IP地址上传至雾计算节点的代理节点模块，立即启动应急响应机制，将恶意IoT设备屏蔽。

2.根据权利要求1所述的一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，所述步骤(4)中，所述卷积神经网络包括卷积层C1、最大池化层S1、卷积层C2、最大池化层S2、全连接层D1和全连接层D2，具体组成为：

卷积层C1：卷积操作共使用32个过滤器，卷积核的大小为3×3，卷积步长为1；卷积层C1包括32个28×28的特征图；

最大池化层S1：卷积层C1层的每个特征图在该层进行一次大小为2×2的最大池化操作；所述最大池化层S1包括32个13×13的特征图；

卷积层C2：卷积操作共使用64个过滤器，卷积核的大小为3×3，卷积步长为1，卷积层C2包括64个11×11的特征图；

最大池化层S2：包括64个5×5的特征图；

全连接层D1：包括1024个神经元，所述全连接层D1与所述最大池化层S2层全相连；

全连接层D2：包括10个神经元，所述全连接层D2与所述全连接层D1全相连；

输入层的特征向量首先经过卷积层C1，以提取高维度特征值，而后进行标准化处理，学习分布特征；再经过最大池化层S1，以减少模型的参数和计算量，防止过拟合；再依次经过卷积层C2和最大池化层S2，最后将所得数据输入全连接层D1和全连接层D2，在卷积神经网络的输出端通过softmax分类器对特征数据进行分类。

3.根据权利要求1所述的一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，所述步骤(4)中，在卷积神经网络的训练过程中，使用GPU加速手段，激活函数选择线性整流函数ReLU：y＝max(0,x)或Softplus：y＝ln(1+e^x)，其中，x为神经元的输入，y表示神经元的输出。

4.根据权利要求1所述的一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，

A、所述雾架构网关节点模块采用Pandaboard和德州仪器的SmartRF06板，结合CC2538模块和MOD-ENC28J60以太网模块来实现；

所述CC2538模块与所述SmartRF06板共同构成网络接收器节点，且负责接收来自其他雾计算节点的数据及该雾架构网关节点下辖的IoT设备的数据，所述CC2538模块与所述SmartRF06板均通过MOD-ENC28J60模块将接收的数据传送至Pandaboard板；所述Pandaboard为所述雾架构网关节点提供Wi-Fi支持，所述Pandaboard利用集成的以太网端口与以太网连接；

B、所述代理节点模块包括安全管理器、资源管理器、数据管理器和云管理器；

所述安全管理器生成下辖IoT设备的秘钥、并对下辖IoT设备的秘钥进行核验及证书的验证；

所述资源管理器为下辖的IOT设备用户分配计算资源，所述代理节点模块从所述数据存储节点模块的应用程序目录中获取不同应用程序的需求，所述代理节点模块通过通用计算节点的资源监控器感知每个代理节点模块中的资源状态；

所述数据管理器接收下辖IoT设备上传的数据，IoT设备上传的数据经过雾架构网关节点模块Pandaboard板传输到所述数据管理器，所述数据管理器创建雾计算节点的区块并使所述创建雾计算节点的区块加入区块链；

所述云管理器负责与云数据中心之间的通信；

C、所述通用计算节点模块包括安全执行管理器、资源监视器和应用执行器；

所述安全执行管理器与代理节点模块的数据管理器共同负责区块链数据的验证工作；

所述资源监视器负责监控计算资源的状态，并将状态结果上报给代理节点模块的资源管理器；

所述应用执行器根据代理节点模块的资源管理器为不同的应用程序分配计算资源，并向资源监视器通知资源状态；

D、所述数据存储节点模块包括凭证存储文档、应用程序目录、数据容器和云平台扩展器；

所述安全管理器生成的下辖IoT设备的秘钥存储在所述凭证存储文档中，且所述秘钥通过代理节点模块共享给其他雾计算节点；

所述应用程序目录维护应用程序的信息，并辅助所述代理节点模块的资源管理器为应用程序配置资源；

所述数据容器接收下辖IoT设备上传的数据，且所述数据容器从所述应用程序目录中接收中间数据；

所述数据存储节点模块通过云平台扩展器在云数据中心上备份信息；且所述云平台扩展器辅助其他组件与云数据中心之间的通信。

5.根据权利要求1所述的一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，所述步骤(1)中，在搭建实验网络时，IoT设备的种类包括智能LED灯泡E27、小米1080P智能摄像机、HUAWE智能体脂秤CH18、OPPO智能手表、HUAWEI HiLink智能插头、TP-LINK TL-IPC42C-4智能摄像头、HEM-7211智能血压仪、L43M5-4X智能电视。

6.根据权利要求1所述的一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，所述步骤(1)中，在获取IoT僵尸网络设备发起的DDoS攻击流量数据包时，使用KaliLinux虚拟机作为DoS源，使用Apache平台搭建Web网站服务器作为DoS攻击的目标，并模拟Mirai僵尸网络的攻击；所述攻击的类型包括TCP SYN泛洪攻击、UDP泛洪攻击和HTTP GET泛洪攻击。

7.根据权利要求1所述的一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，所述步骤(2)中，所述无状态特征信息包括源IP地址、时间戳、数据包大小、通信协议、包间时间间隔△t，包间时间间隔导数

所述状态特征信息包括目的IP地址。

8.根据权利要求1所述的一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，所述步骤(1)中，使用WireShark软件作为所述特征提取模块，用以提取流量数据包中的特征值。

9.根据权利要求1-8任一项所述的一种基于雾计算平台的物联网恶意流量检测方法，其特征在于，所述步骤(3)中，使用Python软件作为所述数据处理模块，通过Python将所述特征数据转化为适合卷积神经网路输入的二维特征矩阵。

Images