CN112887326A

CN112887326A - 一种基于边云协同的入侵检测方法

Info

Publication number: CN112887326A
Application number: CN202110200602.1A
Authority: CN
Inventors: 缪祥华; 欧元芳
Original assignee: Kunming University of Science and Technology
Current assignee: Kunming University of Science and Technology
Priority date: 2021-02-23
Filing date: 2021-02-23
Publication date: 2021-06-01

Abstract

本发明提供一种基于边云协同的入侵检测方法。包括如下步骤：主机或网络设备上抓取数据包，上传到边缘端；在边缘端将采集到的数据包进行数据预处理，然后使用预先构建的分类器模型来分类出各种攻击；云端分析边缘端上传的入侵检测模型处理结果的可靠性，为了边缘端能解决未知入侵，云端对边缘端的模型更新后重新传回边缘端。当系统通过模型判别攻击类型时出现将正常行为判定为攻击类型时，网络管理员将误报反馈给系统，同时上传至云端，在云端进行模型更新后传回边缘端，以减少边缘端出现误报。将边缘计算与云计算进行协同，应用于入侵检测，能降低时延，更能提高入侵检测系统的检测准确率，同时增强对未知攻击类型的检测。

Description

一种基于边云协同的入侵检测方法

技术领域

本发明涉及一种基于边云协同的入侵检测方法，属于网络信息安全领域。

背景技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。通过入侵检测技术，可以监测主机和网络等边缘侧的异常数据。目前基于云环境下的入侵检测已经很成熟，但在云环境下传输海量数据、云中心处理数据都需要时间，这增加了响应时间。入侵检测系统一旦遭受恶意入侵，如果不能及时响应将造成严重后果，近年出现的边缘计算能解决这一问题。边缘计算将边缘设备(基站、无线接入点、路由器等)作为云端和设备端设备之间的桥梁，将云服务扩展到网络边缘侧，将数据在设备端附近就能得到及时有效的处理，能够弥补云计算大数据分析过程的时延高、周期长、网络耗能严重等缺陷。因此，将边缘计算与云计算进行协同能够更好地提高入侵检测的速度和准确率。

发明内容

为了克服现有技术的不足，本发明提供一种基于边云协同的入侵检测方法。

本发明采用的技术如下：一种基于边云协同的入侵检测方法，包括以下步骤：

(1)主机或网络设备上抓取数据包，上传至边缘端。

(2)在边缘端，对抓取到的数据包进行数据过滤、格式处理和数据预处理操作。

(3)在边缘端利用预先构建好的改进果蝇算法优化极限学习机模型，对预处理所得数据进行分类，确定属于哪种攻击。将检测到的攻击事件反馈到系统，以便网络管理员能及时做出决策。

(4)云端分析边缘端上传的入侵检测模型处理结果的可靠性，并更新边缘端模型，存储分析结果。云端对边缘端模型进行更新后重新传回边缘端，不断交互，赋予边缘端更强的入侵检测能力。

(5)当系统通过模型判别攻击类型时，出现将正常行为判定为攻击类型情况时，网络管理员将误报反馈给系统，同时上传至云端，并在云端进行模型更新，更新后传回边缘端，以减少边缘端出现误报的情况。

基于边云协同的入侵检测方法，其基于设备端、边缘端和云端，设备端包含采集、反馈功能，能够进行数据采集、数据上传和误报反馈；边缘端包括对数据进行过滤、数据预处理、模型训练以及攻击分类功能，在边缘端提前将改进果蝇算法优化极限学习机模型进行训练，当进行入侵检测时，边缘端将已检测到的攻击反馈给设备端，将分类结果上传至云端；云端包括结果分析、模型优化和存储数据功能，能分析边缘端入侵检测模型处理结果的可靠性，并更新模型，将更新的模型传回边缘端。

主机或网络设备上抓取的数据包主要来自：从网卡上直接复制转发过来的数据，系统的日志文件以及一些关键进程的日志文件，系统配置文件改动部分等。这些数据作为原始素材，发送给边缘端进行处理。

抓取到的数据包非常庞大，需要对抓取到的数据包进行数据过滤、格式处理和数据预处理操作。具体步骤为：在边缘端将使用一定的过滤规则对数据包过滤，留下需要分析的数据，剔除掉无效信息；为便于输入模型进行分类处理，将对过滤后的数据进行进一步的处理，包括将其格式设置为跟训练集KDD CUP99数据集一样的格式，将其字符型数据转化为数值型数据，进行归一化的预处理操作。

改进果蝇算法优化极限学习机模型包括以下步骤：

3.1)使用主成分分析法(PCA)对预处理好的KDD CUP99数据集进行特征提取去除冗余特征，并对提取完的数据集进行划分，其中训练集占70％，测试集占30％。

3.2)初始化极限学习机模型参数，获取输入层节点、隐藏层节点和输出层节点以及网络初始权值和阈值。

3.3)利用改进果蝇算法获取全局最优位置，改进果蝇算法的全局最优位置即为极限学习机隐含层最优初始权值和阈值。

3.4)将最优初始权值和阈值带入极限学习机(ELM)中，对测试集进行实验，得到改进果蝇算法优化极限学习机模型，即最优分类器模型。

所述步骤(3.3)中的改进果蝇算法，一方面是在算法初始化阶段，利用精英反向学习策略初始化种群，同时搜索当前解与其动态反向学习的解，(X_ij ^*,Y_ij ^*)是初始种群(X_ij,Y_ij)对应的反向解，(X_ij ^*,Y_ij ^*)＝(Xa_j+Xb_j-X_ij,Ya_j+Yb_j-Y_ij)，其中Xa_j＝min(X_ij)，Xb_j＝max(X_ij)，Ya_j＝min(Y_ij),Yb_j＝max(Y_ij)分别是X和Y在搜索区间第j维的最小值和最大值，利用适应度评价函数比较初始种群和反向种群，将较优的解作为初始解；另一方面是为克服算法的早熟收敛性，提高精度，引入修正因子对味道浓度判定值S_i做了修改，修正公式如下：β＝ρ·Dist_i，S_i＝1/Dist_i+βi＝1,2,...n，其中ρ是均匀分布，β是修正因子，Dist_i表示果蝇个体新位置与原点之间的距离；

所述改进果蝇算法具体包括以下步骤：

3.3.1)随机产生初始种群(X_ij,Y_ij),i＝1,2,...N,j＝1,2,...,L，N是群体规模，L是问题的维度，X_ij,Y_ij∈搜索区间。

3.3.2)计算反向种群(X_ij ^*,Y_ij ^*),i＝1,2,...N,j＝1,2,...,L，N是群体规模，L是问题的维度，(X_ij ^*,Y_ij ^*)是(X_ij,Y_ij)对应的反向解。

3.3.3)利用适应度评价函数比较初始种群和反向种群，选择N个适应度高的个体组成初始种群。

3.3.4)初始化果蝇群体搜索食物的方向与距离。

3.3.5)引入修正因子对味道浓度判定值进行修改后，计算味道浓度判定值，同时将味道浓度判定值带入味道浓度判定函数(或称适应度函数fitness function)，求出果蝇个体的味道浓度。

3.3.6)求出果蝇群体中味道浓度最优的果蝇，保留位置。

3.3.7)保留最佳味道浓度值与X,Y坐标，此时果蝇群体利用视觉往该位置飞去。

3.3.8)进入迭代寻优，重复执行步骤3.3.4)～3.3.6)，并判断味道浓度是否优于前一迭代味道浓度，同时当前迭代次数是否小于最大迭代次数Maxgen,若是则执行步骤3.3.7。保留具有较优味道浓度判定函数值的果蝇个体。

本发明的有益效果是:

(1)引入边云协同模式，边缘计算能在终端设备的网络边缘处理和存储数据，就近提供服务从而保证较低的延迟。边缘计算能够将云计算的计算能力下沉到数据端，提供计算、存储和网络服务，能解决云服务器存储和计算负担过重、网络传输带宽压力过大等问题。因此，将边缘计算与云计算进行协同能够更好地提高入侵检测的速度和准确率。

(2)使用改进果蝇算法优化极限学习机模型，由于入侵检测数据具有量大、变化快、未知的攻击多等特点，因此，使用极限学习机作为入侵检测的分类器，能够有效发挥其快速学习的优势和很好的泛化能力。

(3)利用精英反向学习改进果蝇算法，扩大了种群的多样性，扩大了搜索空间，提高搜索性能，也避免算法陷入局部最优。对味道浓度判定值做了修改，是为了克服算法的早熟收敛性，提高精度。采用改进的果蝇算法对ELM神经网络参数进行优化，能提高算法的泛化能力，也能避免算法陷入局部最优解。

附图说明

下面结合附图对本发明进行详细的描述。

图1是本发明实施例一种基于边云协同的入侵检测方法流程示意图；

图2是改进果蝇算法优化极限学习机入侵检测模型流程图；

图3是改进果蝇算法流程图。

具体实施方式

下面结合附图和具体实施方式，对本发明做进一步的说明。

实施例1：如图1-3所示，一种基于边云协同的入侵检测方法，基于设备端、边缘端和云端，设备端包含采集、反馈功能，能够进行数据采集、数据上传和误报反馈；边缘端包括对数据进行过滤、数据预处理、模型训练以及攻击分类功能，在边缘端提前将改进果蝇算法优化极限学习机模型进行训练，当进行入侵检测时，边缘端将已检测到的攻击反馈给设备端，将分类结果上传至云端；云端包括结果分析、模型优化和存储数据功能，能分析边缘端入侵检测模型处理结果的可靠性，并更新模型，将更新的模型传回边缘端。

一种基于边云协同的入侵检测方法，包括如下步骤：

(1)主机或网络设备上抓取数据包，上传至边缘端。

(2)边缘端对抓取到的数据包进行数据过滤，格式处理和数据预处理操作。

(3)边缘端利用预先构建好的改进果蝇算法优化极限学习机模型，对预处理所得数据进行分类，确定属于哪种攻击。将检测到的攻击事件反馈到系统，以便网络管理员能及时做出决策。

边缘计算(Edge Computing,EC)是指一种将相关应用程序运算由中心节点移至逻辑上的边缘节点来处理的计算方式，目标是提高数据处理效率，减少延迟。

边缘计算作为云计算的一种补充，其设备主要部署于接近产生计算数据源的用户端网络边缘，用于将原有云计算中由大型的中心云节点处理的大型服务划分为相对较小的计算模块，然后分别交给不同的边缘节点进行计算处理。

为了合理分配入侵检测系统的计算负载，将入侵检测系统部署在边缘端，这个部署的原因是：一方面如果入侵检测系统部署在云端，由于所有数据都必须发送到云端，网络通信成本会增加，计算负载也会增加，还会造成延迟；另一方面云端很容易成为攻击的目标，如果入侵检测系统部署在云端，入侵检测系统容易遭受过多攻击；另一方面：使用极限学习机训练模型时，训练数据集比较大，如果只通过云端进行训练，会大大增加训练时间。

入侵是一个连续不断的行为，时刻都会有新的攻击类型，所以将边缘端的分类结果上传至云端，云端分析边缘端入侵检测模型处理结果的可靠性，更新边缘端的模型，更新后重新传回边缘端。通过不断交互，赋予边缘端更强的入侵检测能力，使其模型能够检测出未知攻击。当发现边缘端的入侵检测结果出现误报及错误时，及时反馈给网络管理员做出相应决策，同时传给云端进行数据分析，模型更新后传回边缘端，通过设备端-边缘端-云端三层的不断交互，使得入侵检测模型更好，入侵检测系统的检测以及响应能力更优，能够更好地提高入侵检测的速度和准确率。

极限学习机(ELM)是一种由输入层、隐含层和输出层组成的前馈神经网络，只需要设置隐含层神经元的个数及隐含层神经元的激活函数，学习过程中不需要更新输入层到隐含层的权值和隐含层神经元的偏置，即可计算出隐含层与输出层间的连接权值，因而通过一次学习即可获得最优值。

假设总共存在N个任意的样本(X_i,t_i),X_i＝[x_i1,x_i2,...x_in]^T∈Rⁿ.一个拥有L个隐含结点的单隐层神经网络可以表示为

其中，g(x)为激活函数，W_j＝[w_j1,w_j2,...,w_jn]^T∈R^m表示输入层和隐含层第j个神经元之间的输入权重，β_j为隐含层和输出层第j个神经元之间的输出权重，b_j是第j个隐层单元的偏置。W_j*X_i是W_j和X_i对应的内积。

果蝇优化算法(FOA)，即果蝇算法，是基于果蝇觅食行为的仿生学原理而提出的一种新兴群体智能优化算法。果蝇算法通过模拟果蝇群体觅食行为，采用群体协作、信息共享的机制进行寻优操作。

改进果蝇算法优化极限学习机模型流程如图2所示，包括以下步骤：

1)使用主成分分析法(PCA)对预处理好的KDD CUP99数据集进行特征提取去除冗余特征，并对提取完的数据集进行划分，其中训练集占70％，测试集占30％。

2)初始化极限学习机模型参数，获取输入层节点、隐藏层节点和输出层节点以及网络初始权值和阈值。

3)利用改进果蝇算法获取全局最优位置，改进果蝇算法的全局最优位置即为极限学习机隐含层最优初始权值和阈值。

4)将最优初始权值和阈值带入ELM中，对测试集进行实验，得到改进果蝇算法优化极限学习机模型，即最优分类器模型。

主成分分析法(PCA)是一种线性降维技术，从多维特征提取反映数据属性的信息主元，这些主元可以反映几乎全部的高维信息，并且具有数目少、互不相关的特点。

改进果蝇算法，一方面是在算法初始化阶段，利用精英反向学习策略初始化种群，同时搜索当前解与其动态反向学习的解，(X_ij ^*,Y_ij ^*)是初始种群(X_ij,Y_ij)对应的反向解，(X_ij ^*,Y_ij ^*)＝(Xa_j+Xb_j-X_ij,Ya_j+Yb_j-Y_ij)，其中Xa_j＝min(X_ij)，Xb_j＝max(X_ij)，Ya_j＝min(Y_ij),Yb_j＝max(Y_ij)分别是X和Y在搜索区间第j维的最小值和最大值，利用适应度评价函数比较初始种群和反向种群，将较优的解作为初始解；另一方面是为克服算法的早熟收敛性，提高精度，引入修正因子对味道浓度判定值S_i做了修改，修正公式如下：β＝ρ·Dist_i，S_i＝1/Dist_i+βi＝1,2,...n，其中ρ是均匀分布，β是修正因子，Dist_i表示果蝇个体新位置与原点之间的距离；

所述改进果蝇算法流程如图3所示，详细步骤如下：

3.3.2)计算反向种群(X_ij ^*,Y_ij ^*),i＝1,2,...N,j＝1,2,...,L，N是群体规模，L是问题的维度，(X_ij ^*,Y_ij ^*)是(X_ij,Y_ij)对应的反向解:

其中，Xa_j＝min(X_ij),Xb_j＝max(X_ij),Ya_j＝min(Y_ij),Yb_j＝max(Y_ij)分别是X和Y在搜索区间第j维的最小值和最大值。

S_i＝1/Dist_i (4)

其中，Dist_i表示果蝇个体新位置与原点之间的距离，Dist_i的倒数作为适应度评价函数S_i。

3.3.4)初始化果蝇群体搜索食物的方向与距离。

式中：RandValue为搜索距离。

3.3.5)引入修正因子β对味道浓度判定值S_i进行修改后，计算味道浓度判定值，同时将味道浓度判定值S_i带入味道浓度判定函数(或称适应度函数fitness function)，求出果蝇个体的味道浓度。修正公式如下：

S_i＝1/Dist_i+β i＝1,2,...n (6)

β＝ρ·Dist_i (7)

其中ρ是均匀分布，β是修正因子，Dist_i表示果蝇个体新位置与原点之间的距离。

求果蝇个体的味道浓度Smell_i：

Smell_i＝function(S_i) (8)

3.3.6)求出果蝇群体中味道浓度最优的果蝇，保留位置。

[bestSmell,bestIndex]＝min(Smell_i) (9)

3.3.7)保留最佳味道浓度值SmellBest与X,Y坐标，此时果蝇群体利用视觉往该位置飞去。

SmellBest＝bestSmell (10)

本发明将边缘计算与云计算进行协同，应用于入侵检测，能降低时延，更能提高入侵检测系统的检测准确率，同时增强对未知攻击类型的检测。

以上结合附图对本发明的具体实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化。

Claims

1.一种基于边云协同的入侵检测方法，其特征在于：包括如下步骤：

(1)主机或网络设备上抓取数据包，上传至边缘端；

(2)在边缘端，对抓取到的数据包进行数据过滤、格式处理和数据预处理操作；

(3)在边缘端利用预先构建好的改进果蝇算法优化极限学习机模型，对预处理所得数据进行分类，确定属于哪种攻击，将检测到的攻击事件反馈到系统，以便网络管理员能及时做出决策；

(4)云端分析边缘端上传的入侵检测模型处理结果的可靠性，并更新边缘端模型，存储分析结果，云端对边缘端模型进行更新后重新传回边缘端，不断交互，赋予边缘端更强的入侵检测能力；

2.根据权利要求1所述基于边云协同的入侵检测方法，其特征在于：基于设备端、边缘端和云端，设备端包含采集、反馈功能，能够进行数据采集、数据上传和误报反馈；边缘端包括对数据进行过滤、数据预处理、模型训练以及攻击分类功能，在边缘端提前将改进果蝇算法优化极限学习机模型进行训练，当进行入侵检测时，边缘端将已检测到的攻击反馈给设备端，将分类结果上传至云端；云端包括结果分析、模型优化和存储数据功能，能分析边缘端入侵检测模型处理结果的可靠性，并更新模型，将更新的模型传回边缘端。

3.根据权利要求1所述基于边云协同的入侵检测方法，其特征在于：所述步骤(1)中：从主机或网络设备上抓取的数据包主要来自：从网卡上直接复制转发过来的数据，系统的日志文件以及一些关键进程的日志文件，系统配置文件改动部分，这些数据作为原始素材，发送给边缘端进行处理。

4.根据权利要求1所述基于边云协同的入侵检测方法，其特征在于：所述步骤(2)中：抓取到的数据包非常庞大，需要对抓取到的数据包进行数据过滤、格式处理和数据预处理操作，具体步骤为：在边缘端将使用一定的过滤规则对数据包过滤，留下需要分析的数据，剔除掉无效信息；为便于输入模型进行分类处理，将对过滤后的数据进行进一步的处理，包括将其格式设置为跟训练集KDD CUP99数据集一样的格式，将其字符型数据转化为数值型数据，进行归一化的预处理操作。

5.根据权利要求1所述基于边云协同的入侵检测方法，其特征在于：所述步骤(3)中，改进果蝇算法优化极限学习机模型包括以下步骤：

3.1)使用主成分分析法对预处理好的KDD CUP99数据集进行特征提取去除冗余特征，并对提取完的数据集进行划分，其中训练集占70％，测试集占30％；

3.2)初始化极限学习机模型参数，获取输入层节点、隐藏层节点和输出层节点以及网络初始权值和阈值；

3.3)利用改进果蝇算法获取全局最优位置，改进果蝇算法的全局最优位置即为极限学习机隐含层最优初始权值和阈值；

3.4)将最优初始权值和阈值带入极限学习机中，对测试集进行实验，得到改进果蝇算法优化极限学习机模型，即最优分类器模型。

6.根据权利要求5所述基于边云协同的入侵检测方法，其特征在于：所述步骤(3.3)中的改进果蝇算法，一方面是在算法初始化阶段，利用精英反向学习策略初始化种群，同时搜索当前解与其动态反向学习的解，(X_ij ^*,Y_ij ^*)是初始种群(X_ij,Y_ij)对应的反向解，(X_ij ^*,Y_ij ^*)＝(Xa_j+Xb_j-X_ij,Ya_j+Yb_j-Y_ij)，其中Xa_j＝min(X_ij)，Xb_j＝max(X_ij)，Ya_j＝min(Y_ij),Yb_j＝max(Y_ij)分别是X和Y在搜索区间第j维的最小值和最大值，利用适应度评价函数比较初始种群和反向种群，将较优的解作为初始解；另一方面是为克服算法的早熟收敛性，提高精度，引入修正因子对味道浓度判定值S_i做了修改，修正公式如下：β＝ρ_·Dist_i，S_i＝1/Dist_i+βi＝1,2,...n，其中ρ是均匀分布，β是修正因子，Dist_i表示果蝇个体新位置与原点之间的距离；

所述改进果蝇算法具体包括以下步骤：

3.3.1)随机产生初始种群(X_ij,Y_ij),i＝1,2,...N,j＝1,2,...,L，N是群体规模，L是问题的维度，X_ij,Y_ij∈搜索区间；

3.3.2)计算反向种群(X_ij ^*,Y_ij ^*),i＝1,2,...N,j＝1,2,...,L，N是群体规模，L是问题的维度，(X_ij ^*,Y_ij ^*)是(X_ij,Y_ij)对应的反向解；

3.3.3)利用适应度评价函数比较初始种群和反向种群，选择N个适应度高的个体组成初始种群；

3.3.4)初始化果蝇群体搜索食物的方向与距离；

3.3.5)引入修正因子对味道浓度判定值进行修改后，计算味道浓度判定值，同时将味道浓度判定值带入味道浓度判定函数(或称适应度函数fitness function)，求出果蝇个体的味道浓度；

3.3.6)求出果蝇群体中味道浓度最优的果蝇，保留位置；

3.3.7)保留最佳味道浓度值与X,Y坐标，此时果蝇群体利用视觉往该位置飞去；

3.3.8)进入迭代寻优，重复执行步骤3.3.4)～3.3.6)，并判断味道浓度是否优于前一迭代味道浓度，同时当前迭代次数是否小于最大迭代次数Maxgen，若是则执行步骤3.3.7，保留具有较优味道浓度判定函数值的果蝇个体。