CN113765928B

CN113765928B - 物联网入侵检测方法、设备及介质

Info

Publication number: CN113765928B
Application number: CN202111063442.7A
Authority: CN
Inventors: 梁伟; 吴嘉懿; 陈晓红; 郑旭哲; 黄素珍; 胡春华; 徐雪松
Original assignee: Hunan University of Technology
Current assignee: Hunan University of Technology
Priority date: 2021-09-10
Filing date: 2021-09-10
Publication date: 2023-03-24
Anticipated expiration: 2041-09-10
Also published as: CN113765928A

Abstract

本公开实施例中提供了一种物联网入侵检测方法、系统、设备及介质，属于数据处理技术领域，具体包括：获取目标流量数据包；提取目标流量数据包中的特征信息；将初始节点特征、路由图和邻接矩阵输入到图卷积神经网络，得到目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征；将源节点特征、数据特征和目标节点特征拼接，得到目标向量；将目标向量输入多层感知器，输出目标流量数据包对应的攻击类型。通过本公开的方案，对流量包进行分析处理，拼接网络节点信息和网络结构信息，利用边的语义信息结合图卷积输出的带有结构信息的节点表示输入多层感知器进行入侵攻击的检测，提高了检测效率、精准度和安全性。

Description

物联网入侵检测方法、设备及介质

技术领域

本公开实施例涉及数据处理技术领域，尤其涉及一种物联网入侵检测方法、系统、设备及介质。

背景技术

目前，在物联网技术迅速普及的背景下，以提供智能服务为目的的海量数据交换成为可能，却逐渐面临着高度敏感性数据容易受到攻击的问题，所以如何检测到在数据交换中的异常并保证高度敏感性数据的安全至关重要。于是物联网入侵检测适时出现。现有的联网入侵检测大多采用基于图卷积神经网络的物联网入侵检测方法，根据收集到的离散数据学习网络、系统和个体的行为特征，训练模型部署到各个服务器上，对于每一次数据包传输进行类别判断，从而检测入侵行为。然而，由于物联网设别是资源受限的设备，这样训练的模型的规模与参数量都会让物联网终端设备无法负载，传统方法无法在边缘端进行异常行为的检测，从而不能实时分析异常行为和云端负载过大，只考虑了网络节点的信息，却忽略了网络结构本身的信息，导致模型受攻击容易，且只学习局部结构和硬标签信息，但没有考略软标签对模型的影响，这样会使得针对模型的攻击更加容易，使用一定的模型攻击技术，就可以使得入侵检测系统失效，无法判断是否存在网络攻击并给出警报。

可见，亟需一种检测效率、精准度和安全性高的物联网入侵检测方法。

发明内容

有鉴于此，本公开实施例提供一种物联网入侵检测方法、系统、设备及介质，至少部分解决现有技术中存在检测效率、精准度和安全性较差的问题。

第一方面，本公开实施例提供了一种物联网入侵检测方法，包括：

获取目标流量数据包；

提取所述目标流量数据包中的特征信息，其中，所述特征信息包括初始节点特征、路由图、邻接矩阵和数据特征；

将所述初始节点特征、所述路由图和所述邻接矩阵输入到图卷积神经网络，得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征；

将所述源节点特征、所述数据特征和所述目标节点特征拼接，得到目标向量；

将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型。

根据本公开实施例的一种具体实现方式，所述将所述初始节点特征、所述路由图和所述邻接矩阵输入到图卷积神经网络，得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征的步骤，包括：

将所述初始节点特征、所述路由图和所述邻接矩阵输入到所述图卷积神经网络，更新所述节点特征得到节点矩阵；

根据所述路由图查找所述目标流量数据包对应的源ip地址和目标ip地址，并从所述节点矩阵中分别选取所述源ip地址对应的源节点特征和所述目标ip地址对应的目标节点特征。

根据本公开实施例的一种具体实现方式，所述提取所述目标流量数据包中的特征信息的步骤之前，所述方法还包括：

将预设属性指标输入边表示模型，筛除所述目标流量数据包中的无效属性数据；

所述边表示模型将所述无效属性数据中的全零值剔除后进行归一化操作，并计算所述归一化操作后的数据的均值和方差；

当所述归一化操作后的数据的均值大于第一阈值，以及，所述归一化操作后的数据的方差大于第二阈值时，将所述预设属性指标对应的数据和所述归一化操作后的数据形成所述数据特征。

根据本公开实施例的一种具体实现方式，所述将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型的步骤之前，所述方法还包括：

利用预设数量的样本向量训练所述多层感知器；

计算所述多层感知器的输出与所述样本向量的真实标签之间的类别损失，并通过链式求导法则更新所述变表示模型、所述多层感知器和所述图卷积神经网络的参数。

根据本公开实施例的一种具体实现方式，所述类别损失的表达式为ζ＝μH(p_s，y)+(1-μ)H(p_s，p_t)+λζ_LSF，其中，H(p_s，y)为基于数据特征的知识提取，H(p_s，p_t)是基于向量的知识提取，ζ_LSP代表了所述图卷积神经网络的局部知识提取。λ、μ分别为平衡不同损失的超参数。y是真实的标签，p_s为学生模型的预测标签，p_t为教师模型的预测标签。

根据本公开实施例的一种具体实现方式，所述计算所述多层感知器的输出与所述样本向量的真实标签之间的类别损失的步骤，包括：

将全部所述样本向量分别输入所述教师模型和所述学生模型，生成对应的SoftMax值；

计算所述教师模型的SoftMax值和所述学生模型的SoftMax值的匹配度；

根据所述匹配度计算所述类别损失。

第二方面，本公开实施例提供了一种物联网入侵检测系统，包括：

获取模块，用于获取目标流量数据包；

提取模块，用于提取所述目标流量数据包中的特征信息，其中，所述特征信息包括初始节点特征、路由图、邻接矩阵和数据特征；

卷积模块，用于将所述初始节点特征、所述路由图和所述邻接矩阵输入到图卷积神经网络，得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征；

拼接模块，用于将所述源节点特征、所述数据特征和所述目标节点特征拼接，得到目标向量；

分类模块，用于将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型。

第三方面，本公开实施例还提供了一种电子设备，该电子设备包括：

至少一个处理器；以及，

与该至少一个处理器通信连接的存储器；其中，

该存储器存储有可被该至少一个处理器执行的指令，该指令被该至少一个处理器执行，以使该至少一个处理器能够执行前述第一方面或第一方面的任一实现方式中的物联网入侵检测方法。

第四方面，本公开实施例还提供了一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令用于使该计算机执行前述第一方面或第一方面的任一实现方式中的物联网入侵检测方法。

第五方面，本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，该计算机程序包括程序指令，当该程序指令被计算机执行时，使该计算机执行前述第一方面或第一方面的任一实现方式中的物联网入侵检测方法。

本公开实施例中的物联网入侵检测方案，包括：获取目标流量数据包；提取所述目标流量数据包中的特征信息，其中，所述特征信息包括初始节点特征、路由图、邻接矩阵和数据特征；将所述初始节点特征、所述路由图和所述邻接矩阵输入到图卷积神经网络，得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征；将所述源节点特征、所述数据特征和所述目标节点特征拼接，得到目标向量；将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型。

本公开实施例的有益效果为：通过本公开的方案，实时获取并且提取数据中的关键内容进行数据的分析，然后进行数据网络节点信息的实时更新，再拼接网络节点信息和网络结构信息，最后基于拼接信息进行分类，利用边的语义信息结合图卷积输出的带有结构信息的节点表示输入多层感知器进行入侵攻击的检测，提高了物联网入侵检测方法的检测效率、精准度和安全性。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本公开实施例提供的一种物联网入侵检测方法的流程示意图；

图2为本公开实施例提供的一种物联网入侵检测方法涉及的数据处理流程示意图；

图3为本公开实施例提供的一种物联网入侵检测方法涉及的模型训练流程示意图；

图4为本公开实施例提供的一种物联网入侵检测系统的结构示意图；

图5为本公开实施例提供的电子设备示意图。

具体实施方式

下面结合附图对本公开实施例进行详细描述。

以下通过特定的具体实例说明本公开的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本公开的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。

还需要说明的是，以下实施例中所提供的图示仅以示意方式说明本公开的基本构想，图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

另外，在以下描述中，提供具体细节是为了便于透彻理解实例。然而，所属领域的技术人员将理解，可在没有这些特定细节的情况下实践所述方面。

在物联网技术迅速普及的背景下，以提供智能服务为目的的海量数据交换成为可能，却逐渐面临着高度敏感性数据容易受到攻击的问题，所以如何检测到在数据交换中的异常并保证高度敏感性数据的安全至关重要。于是物联网入侵检测适时出现。入侵检测系统能够对网络数据传输进行实时监控，在发现异常的数据传输行为时发出警报或采取主动反应措施，能够很好的解决敏感性数据安全的问题。系统会自动的获取并分析物联网设备的节点特征、邻接矩阵、路由图以及传输过程中的数据，从而实现实时判断入侵行为。对于物联网的设备来说，通过对数据的来源节点以及传送数据的内容进行分析，然后判断是否是入侵行为，将会保证高度敏感性数据的安全性。

基于GCN的物联网入侵检测方法已经被广泛研究，同时又被证明在网络入侵任务中是有效的，所以是目前主流的解决方法之一，但同时也存在一些不足如潜在的语义特征被忽略、需要较高的计算能力等。潜在的语义特征被忽略会使得攻击变得更加容易，使用一定的模型攻击技术，就可以使得入侵系统失效，无法判断是否存在网络攻击并给出警报。

然而上述现有的GCN物联网检测方法存在着一些不能忽略的技术问题：

1.传统方法无法在边缘端进行异常行为的检测，从而不能实时分析异常行为和云端负载过大。

2.传统方法只考虑了网络节点的信息，却忽略了网络结构本身的信息，导致模型受攻击容易。

3.传统方法只学习LSP和硬标签信息，但没有考略软标签对模型的影响。

本公开实施例提供一种物联网入侵检测方法，所述方法可以应用于网络安全监控场景的物联网入侵检测过程中。

参见图1，为本公开实施例提供的一种物联网入侵检测方法的流程示意图。如图1和图2所示，所述方法主要包括以下步骤：

S101，获取目标流量数据包；

具体实施时，在不同的物联网设备之间进行通信时，可以将通信时产生的数据包信息捕获，作为所述目标流量数据包。

S102，提取所述目标流量数据包中的特征信息，其中，所述特征信息包括初始节点特征、路由图、邻接矩阵和数据特征；

在获取到所述目标流量数据包之后，可以对所述目标数量数据包中的信息进行解析，抽取出不同的实体以及实体与实体之间通信的数据，例如初始节点特征、路由图、邻接矩阵和数据特征等，并将其抽象成图数据的形式，形成所述特征信息。

S103，将所述初始节点特征、所述路由图和所述邻接矩阵输入到图卷积神经网络，得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征；

具体实施时，考虑到在物联网的背景下，图卷积神经网络(Graph ConvolutionalNetwork，简称GCN)对于图结构数据的特征提取十分的重要。由于在图结构中，个体自身的特征已经无法完全代表个体的所有信息，需要将个体邻居节点的信息作为当前节点的信息补充，从而得到比一个单体特征更完整的信息。所述初始节点特征、所述路由图和所述邻接矩阵均为图数据的形式，可以在得到所述初始节点特征、所述路由图和所述邻接矩阵后，将所述初始节点特征、所述路由图和所述邻接矩阵输入到所述图卷积神经网络中，通过GCN进行节点更新、特征提取，最后输出更新过后的节点特征、通信的双方ip和端口，作为所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征。

S104，将所述源节点特征、所述数据特征和所述目标节点特征拼接，得到目标向量；

具体实施时，在得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征后，可以再结合所述数据特征，然后将将所述源节点特征、所述数据特征和所述目标节点特征拼接，得到目标向量，从而保证将边的语义信息也进行结合表示，得到更完整的信息表示提高了检测的精度。

S105，将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型。

具体实施时，在得到所述目标向量后，可以将所述目标向量输入所述多层感知器，通过神经网路的计算和预测，最终输出判别结果，作为所述目标流量数据包对应的攻击类型。

本实施例提供的物联网入侵检测方法，通过实时获取并且提取数据中的关键内容进行数据的分析，然后进行数据网络节点信息的实时更新，再拼接网络节点信息和网络结构信息，最后基于拼接信息进行分类，利用边的语义信息结合图卷积输出的带有结构信息的节点表示输入多层感知器进行入侵攻击的检测，提高了物联网入侵检测方法的检测效率、精准度和安全性。。

在上述实施例的基础上，步骤S103所述的，将所述初始节点特征、所述路由图和所述邻接矩阵输入到图卷积神经网络，得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征，包括：

例如，所述图卷积神经网路可以采用三层卷积层，然后根据所述初始节点特征和所述路由图对所述邻接矩阵F进行聚合和更新，更新所述节点特征得到所述节点矩阵，图卷积计算的细节为X_min，j＝min{X_1，j，X_2，j，X_3，j，…，X_n，j}，其中，X_min,_j代表了第j个属性中{X_1,j,X_2,j,X_3,j,…,X_n,j}最小的值，

NF＝A Relu((A·Relu(A·NF·W⁰)W¹))W²,

NF＝＜nf₁，nf2...，nf_N＞，

其中，NF是点的特征表示,nf_i表示第i节点的M维向量，N是节点的数量。nf_i ^l+1、nf_i ^l分别代表了节点i在l+1层和l层上的特征。N_i代表了节点i及其邻居节点，/>

是从节点i转换的信息权重，c_ij代表了节点j到节点i的阶数，/>

是归一化系数并且σ(*)是一个非线性激活函数。

得到所述节点矩阵后，可以根据所述路由图查找所述目标流量数据包对应的源ip地址和目标ip地址，并从所述节点矩阵中分别选取所述源ip地址对应的源节点特征和所述目标ip地址对应的目标节点特征，从而能获取到所述源节点特征和所述目标节点特征对应的边。

可选的，步骤S102所述的，提取所述目标流量数据包中的特征信息之前，所述方法还包括：

具体实施时，考虑到所述目标流量数据包中包含的信息较多，可能存在对后续攻击类型分析无用或造成干扰的数据，可以在得到所述目标流量数据包之后，根据所述预设数学指标，通过所述边表示模型对输入的目标流量数据包进行数据筛除，从而剔除无效属性数据，然后让所述无效数据中的全零值进行进一步剔除后将剩余数据进行归一化操作，并计算所述归一化操作后的数据的均值和方差，然后当所述归一化操作后的数据的均值大于第一阈值，以及，所述归一化操作后的数据的方差大于第二阈值时，将所述预设属性指标对应的数据和所述归一化操作后的数据形成所述数据特征。所述数据特征是实体与实体之间的通信特征数据，将会在后续进行数据拼接，从而解决传统GCN的忽略网络图带来的信息，从而提高数据处理的效率和检测精度。

在上述实施例的基础上，步骤S105所述的，将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型之前，所述方法还包括：

利用预设数量的样本向量训练所述多层感知器；

可选的，所述类别损失的表达式为ζ＝μH(p_s，y)+(1-μ)H(p_s，p_t)+λζ_LSP，其中，H(p_s，y)为基于数据特征的知识提取，H(p_s，p_t)是基于向量的知识提取，ζ_LSP代表了所述图卷积神经网络的局部知识提取。λ、μ分别为平衡不同损失的超参数。y是真实的标签，p_s为学生模型的预测标签，p_t为教师模型的预测标签。

具体实施时，考虑到物联网设备实时产生的数据量以及在与云端交互的过程中所需花费大量的时间，使得实时监控网络数据传输变得困难。边缘计算是解决这类问题非常高效的一种方法。但是，在实际情况中，由于在云端模型的模型比较复杂，如果直接部署在物联网服务器上，会消耗大量的计算资源，使得计算不可持续。而基于知识蒸馏将原本云端的模型进行知识迁移，得到新的轻量级、紧凑的学生模型能够缓解这种问题。对攻击类型判定精度的要求，可以先利用预设数量的样本向量训练所述多层感知器，然后计算所述多层感知器的输出与所述样本向量的真实标签之间的类别损失即基于LSP、软标签和硬标签的知识蒸馏模型，并通过链式求导法则更新所述变表示模型、所述多层感知器和所述图卷积神经网络的参数，通过整合网络结构信息来提高多层感知机的分类性能，然后选取最优的多层感知器对所述目标流量数据包进行判别。

进一步的，所述计算所述多层感知器的输出与所述样本向量的真实标签之间的类别损失的步骤，包括：

根据所述匹配度计算所述类别损失。

具体实施时，如图3所示，所述教师模型与所述学生模型的输入均为全部所述样本向量，然后通过各自的拟合、计算，生成相应的SoftMax值，最后进行SoftMax值的配对，得到软标签的匹配程度。在得到SoftMax值的基础上，获得预测的标签值并且与真实的标签值进行对比，构建损失函数。

例如，ζ代表了总体的损失函数，H(p_s，y)，H(p_s，p_t)是所述多层感知器MLP的交叉熵损失函数，它的公式如下：

ζ_LSP是GCN局部知识的损失函数，越小的ζ_LSP代表了局部结构的分布更加的相似，因此给定图中所有节点上的分布相似性，计算出图的平均相似性，它的公式如下：/>

N代表了图中节点的个数，S_i代表了对应点的分布相似性，对于分布的相似性定义，这里用KL散度表示，具体实现如下：

/>

SIM(nf_i，nf_j)是一个测量给定节点对的相似性函数，这里使用的是欧式距离，计算方法如下：

nf_i是GCN中的节点，我们使用NF＝{nf₁，nf₂，...，nf_n}来表示GCN的所有节点。

与上面的方法实施例相对应，参见图4，本公开实施例还提供了一种物联网入侵检测系统40，包括：

获取模块401，用于获取目标流量数据包；

提取模块402，用于提取所述目标流量数据包中的特征信息，其中，所述特征信息包括初始节点特征、路由图、邻接矩阵和数据特征；

卷积模块403，用于将所述初始节点特征、所述路由图和所述邻接矩阵输入到图卷积神经网络，得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征；

拼接模块404，用于将所述源节点特征、所述数据特征和所述目标节点特征拼接，得到目标向量；

分类模块405，用于将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型。

图4所示装置可以对应的执行上述方法实施例中的内容，本实施例未详细描述的部分，参照上述方法实施例中记载的内容，在此不再赘述。

参见图5，本公开实施例还提供了一种电子设备50，该电子设备包括：至少一个处理器以及与该至少一个处理器通信连接的存储器。其中，该存储器存储有可被该至少一个处理器执行的指令，该指令被该至少一个处理器执行，以使该至少一个处理器能够执行前述方法实施例中的物联网入侵检测方法。

本公开实施例还提供了一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令用于使该计算机执行前述方法实施例中的物联网入侵检测方法。

本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，该计算机程序包括程序指令，当该程序指令被计算机执行时，使该计算机执行前述方法实施例中的物联网入侵检测方法。

下面参考图5，其示出了适于用来实现本公开实施例的电子设备50的结构示意图。本公开实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图5示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图5所示，电子设备50可以包括处理装置(例如中央处理器、图形处理器等)501，其可以根据存储在只读存储器(ROM)502中的程序或者从存储装置508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中，还存储有电子设备50操作所需的各种程序和数据。处理装置501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。

通常，以下装置可以连接至I/O接口505：包括例如触摸屏、触摸板、键盘、鼠标、图像传感器、麦克风、加速度计、陀螺仪等的输入装置506；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置507；包括例如磁带、硬盘等的存储装置508；以及通信装置509。通信装置509可以允许电子设备50与其他设备进行无线或有线通信以交换数据。虽然图中示出了具有各种装置的电子设备50，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置509从网络上被下载和安装，或者从存储装置508被安装，或者从ROM 502被安装。在该计算机程序被处理装置501执行时，执行本公开实施例的方法中限定的上述功能。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备可以执行上述方法实施例的相关步骤。

或者，上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备可以执行上述方法实施例的相关步骤。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。

应当理解，本公开的各部分可以用硬件、软件、固件或它们的组合来实现。

以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以权利要求的保护范围为准。

Claims

1.一种物联网入侵检测方法，其特征在于，包括：

获取目标流量数据包；

所述提取所述目标流量数据包中的特征信息的步骤之前，所述方法还包括：

当所述归一化操作后的数据的均值大于第一阈值，以及，所述归一化操作后的数据的方差大于第二阈值时，将所述预设属性指标对应的数据和所述归一化操作后的数据形成所述数据特征；

将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型；

所述将所述目标向量输入多层感知器，输出所述目标流量数据包对应的攻击类型的步骤之前，所述方法还包括：

利用预设数量的样本向量训练所述多层感知器；

计算所述多层感知器的输出与所述样本向量的真实标签之间的类别损失，并通过链式求导法则更新所述边表示模型、所述多层感知器和所述图卷积神经网络的参数；

所述类别损失的表达式为ζ＝μH(p_s，y)+(1-μ)H(p_s，p_t)+λζ_LSP，其中，H(p_s，y)为基于数据特征的知识提取，H(p_s，p_t)是基于向量的知识提取，ζ_LSP代表了所述图卷积神经网络的局部知识提取，λ、μ分别为平衡不同损失的超参数，y是真实的标签，p_s为学生模型的预测标签，p_t为教师模型的预测标签；

所述计算所述多层感知器的输出与所述样本向量的真实标签之间的类别损失的步骤，包括：

根据所述匹配度计算所述类别损失。

2.根据权利要求1所述的方法，其特征在于，所述将所述初始节点特征、所述路由图和所述邻接矩阵输入到图卷积神经网络，得到所述目标流量数据包中的源ip地址对应的源节点特征和目标ip地址对应的目标节点特征的步骤，包括：

3.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行前述权利要求1-2中任一项所述的物联网入侵检测方法。

4.一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令用于使该计算机执行前述权利要求1-2中任一项所述的物联网入侵检测方法。