CN112261656A - 一种基于序列模型的无线传感网入侵检测方法 - Google Patents

一种基于序列模型的无线传感网入侵检测方法 Download PDF

Info

Publication number
CN112261656A
CN112261656A CN202011026063.6A CN202011026063A CN112261656A CN 112261656 A CN112261656 A CN 112261656A CN 202011026063 A CN202011026063 A CN 202011026063A CN 112261656 A CN112261656 A CN 112261656A
Authority
CN
China
Prior art keywords
network
wireless sensor
sensor network
intrusion detection
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011026063.6A
Other languages
English (en)
Inventor
程小辉
牛童
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Technology
Original Assignee
Guilin University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Technology filed Critical Guilin University of Technology
Priority to CN202011026063.6A priority Critical patent/CN112261656A/zh
Publication of CN112261656A publication Critical patent/CN112261656A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/06Testing, supervising or monitoring using simulated traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

针对无线传感网面临的网络以及节点的安全问题,提出了一种基于序列模型的无线传感网入侵检测系统。针对无线传感网的特点,入侵检测系统共划分为基于主机以及基于网络两部分。在网络方面,采用最新的WSN‑DS数据集作为训练数据集,并使用深度学习中的LSTM序列模型作为检测的核心技术,在预处理后的数据集上进行模型的训练调试后,达到良好的攻击识别率以及误报率。在主机方面,采用系统调用数据集ADFA_LD作为训练数据集,考虑到节点的计算能力,使用深度学习中的RNN模型作为识别模块,在保障节点正常工作的前提下,提升了入侵系统的识别性能。

Description

一种基于序列模型的无线传感网入侵检测方法
技术领域
本发明涉及信息安全以及物联网领域,具体为基于序列模型的无线传感网入侵检测方法。针对无线传感网的网络层以及无线传感节点自身分别设计具有针对性的网络入侵检测系统以及主机入侵检测系统。
背景技术
物联网的网络层主要为无线传感网,由小型传感器以及无线网络协议组成。物联网的网络层可以使用基于网络的入侵检测系统进行防御,网络入侵检测系统主要通过采集网络中的流量数据进行分析训练,从而保证系统的安全。
物联网的感知层主要为传感器节点,目前基于设备主机的入侵检测技术主要通过采集主机的系统调用号进行分析训练,从而对可能存在的安全威胁进行识别预测,保证系统的安全。
(1)双向LSTM模型
双向LSTM模型可以更好分析输入序列的上下文关系,从而做出更好地预测。另外,LSTM模型可以在输入序列较长的情况下保证模型仍可以识别当前序列的前后文关系,而普通的序列模型RNN在输入序列较长的情况时效果很差,双向LSTM的模型如图1所示。
(2)WSN-DS
无线传感网络入侵数据集WSN-DS在目前应用广泛的分层路由协议LEACH环境下进行采集的,其中包含了正常模式以及四种类型的拒绝服务攻击下的374662条数据记录。其中具体的分类信息如表1所示。通过表1可以看出WSN-DS总计多达374662条数据记录,相较于其他的公共数据集更加庞大。大量的数据更适合使用深度学习模型进行分类学习,通过多层次的长时间训练可以达到很好的分类准确度。
数据集中涉及到了四种攻击均属于针对无线传感网LEACH协议的拒绝服务攻击。其中,黑洞攻击通过使正常节点发送大量广播包的方式,让该节点成为当前群组的组长,来收集该集群下其余节点的有用信息,随后丢弃这些信息,达到该集群的有效信息无法传出的目的。WSN-DS每条记录共有19个特征,代表该节点的必要流量信息。
发明内容
通过对目前的入侵检测系统以及相关数据集进行研究,将基于网络的入侵检测系统与基于主机的入侵检测系统相结合,完成了物联网无线传感网的网络层以及感知层的双重入侵检测系统。通过利用深度学习中的序列模型RNN以及LSTM模型,大幅提升了入侵检测算法的识别精度,相较于传统的入侵检测技术,提出的方法还具有更低的误报率。
本发明的技术方案为:
首先针对无线传感网络的特点,选取合适的数据集。随后,针对选定的数据集进行具有针对性的数据预处理工作。在得到入侵检测系统可以处理的数据后,将入侵检测系统的核心算法在处理好的数据集上进行训练。最后对训练完成的算法进行调试,直至满足需求为止。入侵检测系统工作步骤如下:
步骤一,提取无线传感网的特征信息,利用网络流量抓取工具wireshark对无线传感网的网络流量信息进行抓取,并保存到数据库中。在主机方面,使用strace工具对节点的系统调用进行抓取并记录。
步骤二,对提取到的特征信息进行预处理。从数据库中读取收集到的信息,将信息进行逐条合并后统一处理成字符串的形式,随后对处理后的文本进行n-garm算法生成字典,用字典索引代替原有数据,最后处理成one-hot编码形式。
步骤三,在预处理后的信息数据上进行序列模型算法的训练,在训练时,多次尝试使用不同的学习率、调整网络模型结构、batch-size等参数。
步骤四,调试算法参数,获得最佳的识别精度以及最低的误报率。
步骤五,在无线传感网上进行部署实验。
步骤六,对流量以及系统数据进行筛选,存在问题时发出警报。
本发明的有益效果在于基于序列模型的入侵检测系统可以有效对无线传感网进行安全防护,通过对无线传感网的网络层以及主机层进行数据学习分析,在发生疑似攻击时第一时间发出警报,保障无线传感网不受攻击威胁。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1为序列模型LSTM的模型结构图;
图2为网络层入侵检测系统模型结构图;
图3为网络层深度学习模型图,包括两个全连接层、一个激活层以及一个序列层;
图4为主机层入侵检测模型结构图;
图5为主机层深度学习模型图,包括一个激活层、一个全连接层以及一个序列层;
图6为网络层入侵检测模型训练结果图,图(a)为网络层训练模型的准确度,图(b)为损失值;
图7为主机层入侵检测模型训练结果图,图(a)为感知层训练模型的准确度,图(b)为损失值;
图8为训练好后的各种算法对比图,可以看出使用的深度学习算法在识别精度以及误报率上都达到了最佳。
具体实施方式
图1为LSTM的模型结构图,可以看出输入的X1到Xn通过Wf单元完成前向的输出,随后再从Xn到X1通过Wb单元完成反向的输出,通过将前向与反向输出相结合,分别得到最终输出O1到On。其中,距离输出O1较近的输入X1、X2等会被分配较大的权重,距离较远的Xn、Xn-1等会被分配较小的权重,从而平衡输入上下文对输出的影响。可以看出,双向LSTM模型可以很好地学习输入的序列的上下文关系,在输入序列较长时仍然可以有很好的效果,适合处理较长的序列模型。
如图2所示,通过对WSN-DS数据集进行语言模型预处理成序列模型可以使用的数据后,使用双向LSTM模型对其训练,通过反复实验调参达到最佳的识别准确度。本文设计的物联网感知层的入侵检测系统如图2所示,首先通过WSN-DS数据集对入侵检测系统进行训练以达到满意的识别精度,随后对感知层节点的网络流量进行预处理,随后传入训练好的入侵检测系统,识别当前节点的网络流量是否存在问题,如有问题则发出警报,确保系统安全。
网络层采用的入侵检测模型的结构如图3所示。首先通过Embedding层对输入的one-hot向量进行去稀疏处理,减小模型的计算量。随后数据依次传入到双向LSTM层、全连接层1、全连接层2以及激活层中,采用Adam优化器,通过Softmax分类输出分类结果。
通过将ADWA-LD数据集进行数据预处理后,在序列模型上进行训练,随后部署在物联网感知层节点中。通过实时分析物联网感知层节点的系统调用信息,实现实时监测物联网节点安全。感知层入侵检测系统如图4所示。
如图5所示,感知层采用的入侵检测模型的结构如图5所示。首先通过Embedding层对输入的one-hot向量进行去稀疏处理,减小模型的计算量。随后考虑到节点的计算能力,采用较为简单的RNN层以及一层全连接层,最后通过softmax作为激活层进行分类输出。
通过图6、图7可以看出,两个模型经过训练都达到了99%以上的准确度。其中网络层的入侵检测模型准确度为99.36%,loss为0.0221,感知层的入侵检测模型准确度为99.12%,loss为0.0286。

Claims (1)

1.一种基于序列模型的无线传感网入侵检测方法,其特征在于:分别设计了基于主机的入侵检测系统以及基于网络的入侵检测系统,分别对应无线传感网的网络层以及主机节点层,对无线传感网进行全面防护,其中网络层的检测识别算法采用双向LSTM网络,对网络流量进行双向学习,以提升识别精度,考虑到无线传感网节点的计算能力,主机层的入侵检测系统采用简单序列模型作为识别算法,在保障识别精度的基础上实现轻量化,包括以下步骤:
步骤一,提取无线传感网的特征信息,利用网络流量抓取工具wireshark对无线传感网的网络流量信息进行抓取,并保存到数据库中,在主机方面,使用strace工具对节点的系统调用进行抓取并记录;
步骤二,对提取到的特征信息进行预处理;
步骤三,在预处理后的信息数据上进行序列模型算法的训练;
步骤四,调试算法参数,获得最佳的识别精度以及最低的误报率;
步骤五,在无线传感网上进行部署实验;
步骤六,对流量以及系统数据进行筛选,存在问题时发出警报。
CN202011026063.6A 2020-09-25 2020-09-25 一种基于序列模型的无线传感网入侵检测方法 Pending CN112261656A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011026063.6A CN112261656A (zh) 2020-09-25 2020-09-25 一种基于序列模型的无线传感网入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011026063.6A CN112261656A (zh) 2020-09-25 2020-09-25 一种基于序列模型的无线传感网入侵检测方法

Publications (1)

Publication Number Publication Date
CN112261656A true CN112261656A (zh) 2021-01-22

Family

ID=74234191

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011026063.6A Pending CN112261656A (zh) 2020-09-25 2020-09-25 一种基于序列模型的无线传感网入侵检测方法

Country Status (1)

Country Link
CN (1) CN112261656A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113067798A (zh) * 2021-02-22 2021-07-02 中国科学院信息工程研究所 Ics入侵检测方法、装置、电子设备和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101013976A (zh) * 2007-02-05 2007-08-08 南京邮电大学 无线传感器网络的混合入侵检测方法
CN104333534A (zh) * 2014-09-18 2015-02-04 南京邮电大学 6LoWPAN 传感网络的DoS 检测系统
CN109309586A (zh) * 2018-10-08 2019-02-05 山东衡昊信息技术有限公司 一种食品加工远程控制系统入侵检测方法
CN109714322A (zh) * 2018-12-14 2019-05-03 中国科学院声学研究所 一种检测网络异常流量的方法及其系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101013976A (zh) * 2007-02-05 2007-08-08 南京邮电大学 无线传感器网络的混合入侵检测方法
CN104333534A (zh) * 2014-09-18 2015-02-04 南京邮电大学 6LoWPAN 传感网络的DoS 检测系统
CN109309586A (zh) * 2018-10-08 2019-02-05 山东衡昊信息技术有限公司 一种食品加工远程控制系统入侵检测方法
CN109714322A (zh) * 2018-12-14 2019-05-03 中国科学院声学研究所 一种检测网络异常流量的方法及其系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113067798A (zh) * 2021-02-22 2021-07-02 中国科学院信息工程研究所 Ics入侵检测方法、装置、电子设备和存储介质
CN113067798B (zh) * 2021-02-22 2022-04-12 中国科学院信息工程研究所 Ics入侵检测方法、装置、电子设备和存储介质

Similar Documents

Publication Publication Date Title
CN108400895B (zh) 一种基于遗传算法改进的bp神经网络安全态势评估算法
CN107241352B (zh) 一种网络安全事件分类与预测方法及系统
CN107040517B (zh) 一种面向云计算环境的认知入侵检测方法
CN105208037B (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN113364787B (zh) 一种基于并联神经网络的僵尸网络流量检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN111224994A (zh) 一种基于特征选择的僵尸网络检测方法
CN112804253A (zh) 一种网络流量分类检测方法、系统及存储介质
CN114239737A (zh) 一种基于时空特征与双层注意力的加密恶意流量检测方法
CN112583852A (zh) 一种异常流量检测方法
CN116208356B (zh) 一种基于深度学习的虚拟货币挖矿流量检测方法
Wang et al. 2ch-TCN: a website fingerprinting attack over tor using 2-channel temporal convolutional networks
CN118041699B (zh) 一种基于人工智能的网络入侵定位系统
Al-Shabi Design of a network intrusion detection system using complex deep neuronal networks
Hagar et al. Deep learning for improving attack detection system using CSE-CICIDS2018
CN112261656A (zh) 一种基于序列模型的无线传感网入侵检测方法
CN117081759A (zh) 一种基于用户异常行为检测的安全防护方法
CN117978530A (zh) 基于多粒度特征提取的恶意加密流量识别的方法
Niu et al. DarkGuardNet: A deep learning framework for imbalanced dark web traffic identification and application classification
CN113839925A (zh) 基于数据挖掘技术的IPv6网络入侵检测方法及系统
Tian et al. A transductive scheme based inference techniques for network forensic analysis
CN115987599A (zh) 基于多层次注意力机制的恶意加密流量检测方法及系统
CN116527307A (zh) 一种基于社区发现的僵尸网络检测算法
CN113691562B (zh) 一种精确识别恶意网络通讯的规则引擎实现方法
Li et al. Research on intrusion detection based on neural network optimized by genetic algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20210122

WD01 Invention patent application deemed withdrawn after publication