CN113132291A - 一种边缘侧基于网络流量的异构终端特征生成及识别方法 - Google Patents

Abstract

本发明属于工业物联网信息安全领域，具体的说是一种应用于工业物联网下海量异构终端的流量特征生成、优化及识别方法。本发明包括以下步骤：流量提取：边缘网关对底层物联网设备的流量信息进行采集，生成设备流量特征缓存；特征选择：对设备流量特征进行降维，消除噪声特征；分类识别：对特征选择后的设备流量特征进行分类识别。应用到工业物联网边缘计算体系下物理和计算资源均有限的物联网设备中，边缘网关利用异构终端流量进行唯一特征识别，实现了边缘网关对底层接入的设备的全方位、多维度的识别，抵御MAC地址伪造等攻击威胁，支撑边缘网关对非法终端设备的接入认证和管控，保护系统敏感资源。

Description

一种边缘侧基于网络流量的异构终端特征生成及识别方法

技术领域

本发明属于工业物联网信息安全领域，具体的说是一种应用于工业物联网下海量异构终端的流量特征生成、优化及识别方法。

背景技术

物联网促进了物理世界和数字世界的深度融合，加速了工业发展，但同时也引发了新的安全问题。工业控制网络也在朝着生产高度数字化、网络化、智能化发展，工控系统数据上“云”成为发展主流。在此过程中，大量终端设备直接暴露于互联网，这些设备存在的漏洞(如：心脏滴血、破壳等漏洞)一旦被利用，可导致设备被控、用户隐私泄露、云服务端数据被窃取等安全风险，甚至会对基础通信网络造成严重影响。感知层终端是整体系统的最外层边界，终端基数大、种类繁杂、地理分布广泛、工作和使用情况复杂、接触人员众多安全意识和习惯参差不齐，可以利用的终端的缺陷数量庞大，终端面对的风险众多，面临终端自身漏洞被利用、远程接入渗透攻击风险。

终端在系统应用中承担着数据输入、用户访问、数据输出职责，是整体系统的最外层边界。终端基数大、种类繁杂、地理分布广泛、工作和使用情况复杂、接触人员众多安全意识和习惯参差不齐，可以利用的终端的缺陷数量庞大，终端面对的风险众多，统计表明绝大多数的数据窃取、系统破坏都是从内部终端发起的。

为了避免恶意工控终端对网络系统的破坏，必须对终端进行精确识别从而采取有效的访问控制。然而传统的基于设备静态标识的识别方法难以避免静态特征易被攻击的缺陷。传统的终端识别方案通常采用设备ID、用户ID、IP地址、媒体访问控制(media accesscontrol,MAC)地址等信息进行识别。设备ID、用户ID的静态性，IP地址、MAC地址的开放性，均使得上述识别信息容易被黑客扫描、读取并仿冒。设备指纹将静态的设备信息与动态的用户行为数据相结合，构造更为动态复杂的标识信息组合，为物联网智能终端的准确识别提供了新的思路。

在提取终端设备指纹的过程中，存在着如何提取设备有效的数据特征和何时提取的问题。传统的提取方式仅提取设备启动阶段的流量特征，但因异构终端是轻量级的，开机时间较短，流量数据少且单一等问题导致生成的设备指纹信息不足，从而影响之后利用设备指纹进行分类的精度。对于通过设备指纹对终端进行精确识别，决策树、支持向量机、随机森林等机器学习算法的应用取得了良好的效果。

发明内容

针对在背景技术中提出的传统的认证方式需要依赖强大的加密协议或复杂的认证机制来保证通信的可靠性而不适用于物理和计算资源均有限的物联网设备的问题，本发明提出一种基于流量特征的异构终端特征生成及识别方法，降低了异构终端设备识别过程中的计算资源，提高了认证效率，有效地阻挡非法设备对工业控制系统的未授权访问，对终端设备进行有效的访问控制，保护系统的敏感资源。

本发明为实现上述目的所采用的技术方案是：

一种边缘侧基于网络流量的异构终端特征生成及识别方法，包括以下步骤：

1)流量提取：边缘网关对底层物联网设备的流量信息进行采集，生成设备流量特征缓存；

2)特征选择：对设备流量特征进行降维，消除噪声特征；

3)分类识别：对特征选择后的设备流量特征进行分类识别。

采用MGA-SVM算法对设备流量特征进行降维。

采用随机森林算法对特征选择后的设备流量特征进行分类识别。

所述流量特征为若干行矩阵，每一行为流量特征信息包括设备的协议、端口、数据内容、时间戳信息，每一列为若干个设备的信息。

步骤2)包括以下步骤：

2.1)预处理：包括将设备流量特征数字化和归一化：

所述数字化的方法为：计算采集的设备流量特征中非数字特征的数量k，并对设备流量特征中重复特征的数量进行表征；然后将重复的非数字特征从大到小排序；最后将非数字特征从零到k分别赋值，从而使设备流量特征中所有的非数字特征全部转换为了数字特征；

所述归一化的公式为：

其中，x_ij表示底层物联网设备流量第i行、第j列的特征值，x_maxj和x_minj分别表示底层物联网设备流量第j列中的最大值和最小值，x′_ij表示归一化后的底层物联网设备流量第i行、第j列的特征值，归一化范围为[-1,1]；

2.2)初始化：

在流量特征的矩阵的每一行后加入惩罚因子c以及高斯核函数的参数γ，将参数c和参数γ作为T’带入以下公式，求出T，即新的c和γ；

其中,T是结果标度值，T’是将要标度的旧值，max_T和min_T分别是新间隔的上限和下限，当前间隔的下限和上限分别由max_T’和min_T’表示，参数c用于修正对特征流量分类的过拟合，参数γ用于控制非线性分离过程；

2.3)适应度计算：对初始化后的流量特征矩阵的每一行采用以下适应度函数进行计算：

α∈[1,0]，β＝(1-α)

其中，Fitness为适应度函数，Detection_rate表示给定分类器的分类精度，具体为：

将流量特征中选择的特征即某一列作为子集，采集到的所有流量特征即所有列作为数据集，|S_F|是所选子集的基数，|T_F|是数据集中的特征总数，α和β是两个参数，分别对应分类质量和子集长度的重要性，TP为真正例，TN为真反例，FP为假正例，FN为假反例；

2.4)选择：采用随机选择的选择机制，选择初始化之后的流量特征中适应度的值最小的若干行构成选择池；

2.5)交叉变异：将初始化之后的流量特征中的某一行作为父本，采用多父本进行交叉变异的方式，具体方式为：

a)三个父本由一个轮盘随机选择，若有重复的父本，则删除重复的父本并从选择池中随机选择一个父本代替；

b)根据适应度函数得到的适应度值对三个父本进行降序排列，适应度最大的为P₁，最小为P₃，剩余的为P₂；

c)三个子代即O_i有如下公式产生：

O₁＝P₁+θ×(P₂-P₃)

O₂＝P₂+θ×(P₃-P₁)

O₃＝P₃+θ×(P₁-P₂)

其中θ是(0,1)之间的随机数，O₁和O₂作为交叉产生的子代，O₃通过如下方法产生变异子代M_worst；

d)从父本P₃中随机选择一维记为R_V

e)P₃[1,R_V]＝1-P₃[1,R_V],

f)M_worst＝O₃+θ×(P₃-O₃)；

返回步骤2.2)直至达到设定的迭代次数为止，得到最终子代，即流量特征信息。

所述随机森林算法使用CART决策树作为元分类器，采用bagging重采样框架，生成训练集样本，再通过投票方式得出最终的分类结果，进而识别出不同的异构终端设备。

本发明具有以下有益效果及优点：

1.本发明提出了一种基于终端流量特征的异构终端特征生成及识别方案，并将其应用到工业物联网边缘计算体系下物理和计算资源均有限的物联网设备中，边缘网关利用异构终端流量进行唯一特征识别，实现了边缘网关对底层接入的设备的全方位、多维度的识别，抵御MAC地址伪造等攻击威胁，支撑边缘网关对非法终端设备的接入认证和管控，保护系统敏感资源。

2.本发明将MGA-SVM算法用于对原始设备流量特征进行特征选择提取，消除不必要的和有噪声的特征，获得相关特性的最佳子集。由于第二子集必须求值，而且是一个NP-hard问题，因此通过应用搜索和进化算法来寻找最优子集。此方法能够在尽可能降低数据维度的情况下保证分类精度，降低异构终端设备进行身份识别认证的时延，提高认证效率。

附图说明

图1为本发明在边缘计算框架下的系统部署图；

图2为基于终端流量特征的异构终端的特征识别方案的总体框图；

图3为流量特征选择方案流程图。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

如图1所示，在边缘计算框架中，系统主要分为云、边、端三部分。其中，边缘侧部署本发明对“端”上的大量异构终端产生的流量信息进行缓存，然后对缓存的流量进行特征选择，最后进行设备分类并将分类结果上报到云端；云端进行统一的设备管理并将接入信息下发到边缘侧；“端”代表海量异构终端，如计量电表、摄像头、控制设备、传感器等。

如图2所示，一种基于终端流量特征的异构终端的特征生成及识别方案，包括以下步骤：

1)流量提取阶段：网关对底层物联网设备的流量信息进行采集，生成原始设备特征库

2)特征选择阶段：使用MGA-SVM算法对原始设备流量进行降维，消除不必要的和有噪声的特征，提高设备识别效率。

3)分类识别阶段：使用随机森林算法进行设备多分类识别。随机森林作为一个性能良好的组合分类算法，基于多维特征的数据分类运行效率更高，实现起来相对简单。

1.流量提取阶段

流量特征提取模块是通过在边缘网关侧监听和捕获底层终端设备的通信流量信息，根据协议规约解析对应格式的字段值。在此过程中，由于行业场景的固定性，虽然终端设备的网络行为易受到环境变化的影响，但此阶段的流量特征也是标识设备的重要组成部分，因此，提取设备运行阶段开始一段时间的流量特征生成异构终端设备特征。流量特征矩阵的行主要包括协议、端口、数据内容、时间戳、等信息，列为对应的具体数据。

2.特征选择阶段

在本发明中，使用一种称为MGA-SVM的混合技术进行特征选择。该方法的一般原理图如图3所示。从图3可以看出，特征选择的过程包括5个步骤(预处理、初始化、适应度计算、选择、多父交叉和多父突变)。每一步的细节如下:

2.1)预处理

此阶段包含两个部分：数字化和归一化。针对终端流量不同字段，本发明将其中的非数字化特征如服务、协议类型、标志位转为数字化特征。如下算法描述了将非数字化特征转化为数字化特征的过程：

首先，计算采集的流量特征中非数字特征的数量(用k表示)，并对特征中涉及的重复特征的数量进行表征；然后将重复的非数字特征从大到小排序；最后对这些非数字特征从零到k分别进行赋值。

通过此方法，流量特征中所有的非数字特征全部转换为了数字特征。在接下来使用遗传算法的过程中，还需要将数字化特征归一化，终端流量按如下公式进行归一化，归一化范围为[-1,1]。

其中，x_ij表示终端设备流量第i行、第j列的特征值，x_maxj和x_minj分别表示终端设备流量第j列中的最大值和最小值，x′_ij表示归一化后的终端设备流量第i行、第j列的特征值。

2.2)初始化

在使用MGA算法进行有效流量特征选择的过程中，使用高斯核的支持向量机到成功执行数据点的线性分离需要优化两个重要参数c和γ。其中，参数c修正对特征流量分类的过拟合，参数γ控制非线性分离过程。在本发明中提取的流量特征中，由于c和γ的搜索空间是非常大的，因此计算出这两个参数的最优值是非常困难的。因此，本发明使用MGA算法来完成这个任务。每一条染色体中基因的个数为表示特征的值的数量加上两个额外的值对应于c和γ参数。

表示特征的值是四舍五入的，具有等于或大于0.5的值意味着新值等于1，并且将选择与该值匹配的特性。而小于0.5的值将四舍五入为0，它们的匹配特性将不被选中。参数c和γ对应两个剩余值，这两个参数的不同值对应不同的搜索空间，通过如下公式更改c和γ的取值。其中c的取值范围为[0.01,35000.0],γ的取值范围为[0.0001,32.0]。

其中,T是结果标度值，T’是将要标度的旧值。max_T和min_T分别是新间隔的上限和下限。当前间隔的下限和上限分别由max_T’和min_T’表示。

2.3)适应度计算

在给出特征和支持向量机参数的解决方案后，为了在保证分类精度的前提下尽可能选择较少的流量特征，必须考虑基于支持向量机分类器性能和所选特征个数的评价标准来评价这些解决方案。因此，本发明提出使用如下适应度函数来进行评价：

α∈[1,0]，β＝(1-α)

其中，Detection_rate表示给定分类器(支持向量机分类器)的分类精度，具体为：

|S_F|是所选子集的基数，|T_F|是数据集中的特征总数。α和β是两个参数，分别对应分类质量和子集长度的重要性。

2.4)选择

为了改善较差的解决方案，本发明选择的解决方案是随机选择的选择(轮盘)机制。由于概率与适应度(目标值)成正比，所以该算法更有可能选择最佳解。

2.5)交叉变异

交叉算子是遗传算法中一个非常重要的算子。它负责结构重组(配对染色体间的信息交换)和遗传算法的收敛速度，本发明使用多父本交叉变异的方式。在传统遗传算法中，两个亲本的染色体被组合在一起，产生一个新的染色体，它继承了存储在亲本染色体中的信息片段。例如从给定的一对父母(P1，P2)产生一个后代(O)，使得O＝P1+r(P1-P2)，其中r是0到1之间的随机数。由于使用两个父本产生子代的变化效率太低，本发明提出多亲交叉变异，即使用了三个亲本而不是两个。产生子代的具体方法如下：

a)三个父本由一个轮盘随机选择，若有重复的父本，则删除重复的父本并从选择池中随机选择一个父本代替。

b)根据适应度值对三个父本进行降序排列，适应度最大的为P₁，最小为P₃。

c)三个子代(O_i)有如下公式产生：

O₁＝P₁+θ×(P₂-P₃)

O₂＝P₂+θ×(P₃-P₁)

O₃＝P₃+θ×(P₁-P₂)

其中θ是(0,1)之间的随机数，O₁和O₂作为交叉产生的子代，O3通过如下方法产生变异子代M_worst

d)从父本P3中随机选择一列记为R_V

e)P₃[1,R_V]＝1-P₃[1,R_V],

f)M_worst＝O₃+θ×(P₃-O₃)

最后，通过向主种群中加入交叉算子和变异算子生成新的解后，计算它们的适应度，然后用选择算子选择合适的解进行下一代。

在使用MGA-SVM算法降维过程中，流量特征表示特征的值是四舍五入的，具有等于或大于0.5的值意味着新值等于1，并且将选择与该值匹配的特性，用此特征。而小于0.5的值将四舍五入为0，它们的匹配特性将不被选中，此特征舍弃。

3.分类识别阶段

本发明使用随机森林算法进行异构终端设备的识别，算法使用CART决策树作为元分类器，采用bagging重采样框架，生成差异性较大的多种训练集样本，再通过投票方式得出最终的分类结果，进而识别出不同的异构终端设备。

3.1)随机森林算法步骤

如果随机森林采用m棵决策树，则必须生成数量为m个的样本集对每棵树训练，采用全样本方式对m棵决策树训练效果较差，主要原因在于全样本训练对局部样本自身规律的忽视，而影响模型泛化能力。生成随机森林的具体步骤如下：

a)利用重采样方式提取样本集数据并生成n个样本。

b)如果样本特征数量为a个，对n个样本选择a中n个特征，采用创建决策树方式获得理想分割点。

c)重复m次可生成的决策树数量为m棵。

d)采用多数投票机制预测，得出结果。

Claims (6)

1.一种边缘侧基于网络流量的异构终端特征生成及识别方法，其特征在于，包括以下步骤：

1)流量提取：边缘网关对底层物联网设备的流量信息进行采集，生成设备流量特征缓存；

2)特征选择：对设备流量特征进行降维，消除噪声特征；

3)分类识别：对特征选择后的设备流量特征进行分类识别。

2.根据权利要求1所述的一种边缘侧基于网络流量的异构终端特征生成及识别方法，其特征在于，采用MGA-SVM算法对设备流量特征进行降维。

3.根据权利要求1所述的一种边缘侧基于网络流量的异构终端特征生成及识别方法，其特征在于，采用随机森林算法对特征选择后的设备流量特征进行分类识别。

4.根据权利要求1所述的一种边缘侧基于网络流量的异构终端特征生成及识别方法，其特征在于，所述流量特征为若干行矩阵，每一行为流量特征信息包括设备的协议、端口、数据内容、时间戳信息，每一列为若干个设备的信息。

5.根据权利要求1所述的一种边缘侧基于网络流量的异构终端特征生成及识别方法，其特征在于，步骤2)包括以下步骤：

2.1)预处理：包括将设备流量特征数字化和归一化：

所述数字化的方法为：计算采集的设备流量特征中非数字特征的数量k，并对设备流量特征中重复特征的数量进行表征；然后将重复的非数字特征从大到小排序；最后将非数字特征从零到k分别赋值，从而使设备流量特征中所有的非数字特征全部转换为了数字特征；

所述归一化的公式为：

其中，x_ij表示底层物联网设备流量第i行、第j列的特征值，x_maxj和x_minj分别表示底层物联网设备流量第j列中的最大值和最小值，x′_ij表示归一化后的底层物联网设备流量第i行、第j列的特征值，归一化范围为[-1，1]；

2.2)初始化：

在流量特征的矩阵的每一行后加入惩罚因子c以及高斯核函数的参数γ，将参数c和参数γ作为T’带入以下公式，求出T，即新的c和γ；

其中，T是结果标度值，T’是将要标度的旧值，max_T和min_T分别是新间隔的上限和下限，当前间隔的下限和上限分别由max_T’和min_T’表示，参数c用于修正对特征流量分类的过拟合，参数γ用于控制非线性分离过程；

2.3)适应度计算：对初始化后的流量特征矩阵的每一行采用以下适应度函数进行计算：

d∈[1，0]，β＝(1-α)

其中，Fitness为适应度函数，Detection_rate表示给定分类器的分类精度，具体为：

将流量特征中选择的特征即某一列作为子集，采集到的所有流量特征即所有列作为数据集，|S_F|是所选子集的基数，|T_F|是数据集中的特征总数，α和β是两个参数，分别对应分类质量和子集长度的重要性，TP为真正例，TN为真反例，FP为假正例，FN为假反例；

2.4)选择：采用随机选择的选择机制，选择初始化之后的流量特征中适应度的值最小的若干行构成选择池；

2.5)交叉变异：将初始化之后的流量特征中的某一行作为父本，采用多父本进行交叉变异的方式，具体方式为：

a)三个父本由一个轮盘随机选择，若有重复的父本，则删除重复的父本并从选择池中随机选择一个父本代替；

b)根据适应度函数得到的适应度值对三个父本进行降序排列，适应度最大的为P₁，最小为P₃，剩余的为P₂；

c)三个子代即O_i有如下公式产生：

O₁＝P₁+θ×(P₂-P₃)

O₂＝P₂+θ×(P₃-P₁)

O₃＝P₃+θ×(P₁-P₂)

其中θ是(0，1)之间的随机数，O₁和O₂作为交叉产生的子代，O₃通过如下方法产生变异子代M_worst；

d)从父本P₃中随机选择一维记为R_V

e)P₃[1，R_V]＝1-P₃[1，R_V]，

f)M_worst＝O₃+θ×(P₃-O₃)；

返回步骤2.2)直至达到设定的迭代次数为止，得到最终子代，即流量特征信息。

6.根据权利要求3所述的一种边缘侧基于网络流量的异构终端特征生成及识别方法，其特征在于，所述随机森林算法使用CART决策树作为元分类器，采用bagging重采样框架，生成训练集样本，再通过投票方式得出最终的分类结果，进而识别出不同的异构终端设备。

Images