CN114499934B

CN114499934B - 一种工业物联网中基于融合学习的入侵检测方法及系统

Info

Publication number: CN114499934B
Application number: CN202111547315.4A
Authority: CN
Inventors: 杜清河; 赵梓晓; 宋宇航
Original assignee: Xian Jiaotong University
Current assignee: Xian Jiaotong University
Priority date: 2021-12-16
Filing date: 2021-12-16
Publication date: 2022-12-09
Anticipated expiration: 2041-12-16
Also published as: CN114499934A

Abstract

本发明公开了一种工业物联网中基于融合学习的入侵检测方法及系统，包括：所述占用资源状态输入到训练后的神经网络中，得各时刻的流量负载估计值；将各时刻的流量负载估计值分别输入到训练后的自回归差分移动平均模型中，得下一时刻流量负载估计值的置信区间；判断当前时刻的流量负载估计值是否在当前时刻流量负载估计值的置信区间内，当当前时刻的流量负载估计值不在当前时刻流量负载估计值的置信区间内时，则将上一时刻的流量负载估计值作为当前时刻的流量负载估计值；将各时刻的流量负载估计值输入到训练后的分类器中进行分类，以判断各时刻是否存在入侵，该方法及系统能够及时识别入侵，且不会导致上层协议层信息丢失。

Description

一种工业物联网中基于融合学习的入侵检测方法及系统

技术领域

本发明属于异常检测领域，涉及一种工业物联网中基于融合学习的入侵检测方法及系统。

背景技术

海量机器类通信(mMTC)是5G的三大应用场景之一，支持大规模IoT/CPS节点接入，满足工业物联网应用的连通性和可靠性需求。在大规模设备上行传输时，mMTC通常采用基于竞争的随机接入(RA)。为了处理mMTC中随机接入引入的潜在冲突问题，通常使用传统的四步随机接入过程。该过程也可以作为授权过程，但由于其包括来回握手交互，因此引入了过多的延迟和以及导致了极低的资源利用效率。

利用mMTC场景下设备在大多数情况下处于休眠状态的零星流量特性，最近免授权(GF)接入方法已被提议应用在基于竞争的随机接入中，其设备可以直接将接入信令及其数据一起上行传输至基站，而无需经过授权过程。典型的免授权接入方法包括K重复和Proactive方法。在K重复方案中，设备不必等待基站有关接入结果的反馈，而是在K个不同的资源块上重复传输K次，以提高成功接入和传输的概率；作为在此基础上的增强设计，在Proactive方案中如果设备接收到基站下放的表征成功的反馈ACK，则可以立即停止重复传输。虽然免授权接入显着降低了工业物联网场景的延迟，然而这将在安全和隐私方面造成新的风险。由于丢弃了传统随机接入模式中的四步握手程序，设备失去了动态授权的潜在机会。相应地，攻击者可以更容易地将自己伪装成合法设备，从而可以入侵传播虚假信息或者通过占用更多的随机访问资源来制造拥塞攻击等。考虑到对延迟和资源利用效率的改善，即使以安全和隐私为代价，丢弃频繁的握手程序也是可以理解的。

为了弥补这种风险，基站需要根据接收到的物理层信号增强入侵检测能力或在上层协议层解码数据。现有的入侵检测方案主要是在上层协议层实现的，这通常需要基站提前检查用户侧设备的合法性或解码数据携带的信息。这显然带来了更长的处理时间，从而无法及时识别入侵。另一方面，如果设备之间发生冲突，基站几乎不可能解码接收到的信号，从而导致上层协议层信息丢失。此外，工业mMTC网络通常会寻求轻量化的入侵检测解决方案，以减轻存储压力和计算复杂性。

发明内容

本发明的目的在于克服上述现有技术的缺点，提供了一种工业物联网中基于融合学习的入侵检测方法及系统，该方法及系统能够及时识别入侵，且不会导致上层协议层信息丢失，并且存储压力及计算复杂性较低。

为达到上述目的，本发明采用如下技术方案：

本发明提供了一种工业物联网中基于融合学习的入侵检测方法包括：

获取接入周期内各时刻基站在物理层及接入层处观察到的资源占用状态；

将所述占用资源状态输入到训练后的神经网络中，得各时刻的流量负载估计值；

将各时刻的流量负载估计值分别输入到训练后的自回归差分移动平均模型中，得下一时刻流量负载估计值的置信区间；

判断当前时刻的流量负载估计值是否在当前时刻流量负载估计值的置信区间内，当当前时刻的流量负载估计值不在当前时刻流量负载估计值的置信区间内时，则将上一时刻的判决输入值作为当前时刻的判决输入值；否则，则将当前时刻的流量负载估计值与均值相减后作为当前时刻的判决输入值；

通过滑窗从各时刻截取固定长度的判决输入值，再输入到训练后的分类器中进行分类，以判断各时刻是否存在入侵，完成工业物联网中基于融合学习的入侵检测。

所述神经网络为基于反向传播算法的神经网络。

所述资源占用状态包括成功资源数、冲突资源数以及空闲资源数。

将所述占用资源状态输入到训练后的神经网络中，得各时刻的流量负载估计值之后还包括：将当前时刻的流量负载估计值存储到观测历史池中。

所述将各时刻的流量负载估计值分别输入到训练后的自回归差分移动平均模型中，得下一时刻流量负载估计值的置信区间的具体过程为：

将当前时刻流量负载估计值以及之前所有时刻得到的流量负载估计值输入到训练后的自回归差分移动平均模型中，得下一时刻的流量负载预测结果，再以此计算下一时刻流量负载预测结果的上下95％置信区间。

所述分类器为支持向量机。

本发明所述的工业物联网中基于融合学习的入侵检测系统，包括：

获取模块，用于获取接入周期内各时刻基站在物理层及接入层处观察到的资源占用状态；

估计模块，用于将所述占用资源状态输入到训练后的神经网络中，得各时刻的流量负载估计值；

确定模块，用于将各时刻的流量负载估计值分别输入到训练后的自回归差分移动平均模型中，得下一时刻流量负载估计值的置信区间；

判断模块，用于判断当前时刻的流量负载估计值是否在当前时刻流量负载估计值的置信区间内，当当前时刻的流量负载估计值不在当前时刻流量负载估计值的置信区间内时，则将上一时刻的判决输入值作为当前时刻的判决输入值；否则，则将当前时刻的流量负载估计值与均值相减后作为当前时刻的判决输入值；

分类模块，用于通过滑窗从各时刻截取固定长度的判决输入值，再输入到训练后的分类器中进行分类，以判断各时刻是否存在入侵，完成工业物联网中基于融合学习的入侵检测。

所述神经网络为基于反向传播算法的神经网络。

所述分类器为支持向量机。

本发明具有以下有益效果：

本发明所述的工业物联网中基于融合学习的入侵检测方法及系统在具体操作时，基于神经网络、自回归差分移动平均模型及分类器进行入侵分类检测，可以合理应对泊松分布流量数据本身的随机性，能够在物理层及MAC层提前检测入侵，从而更早发出入侵警报，有利于系统及时应对免授权接入引入的安全问题，同时不会导致上层协议层信息丢失，并且存储压力及计算复杂性较低。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明的工作流程图；

图2为本发明的流程图；

图3为本发明的一种性能分析图；

图4为本发明的另一种性能分析图；

图5为实施例三的一种仿真结果图；

图6为实施例三的另一种仿真结果图；

图7为实施例四的一种仿真结果图；

图8为实施例四的另一种仿真结果图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

下面结合附图对本发明做进一步详细描述：

本发明重点研究K重复免授权接入下的入侵检测，每个活跃设备以K重复的方式接入和传输数据到基站，即同一个数据包将被发送K次。基站将时间划分为连续的时隙，则一个接入周期内有K个相邻时隙，每时隙有W个可用资源块(RB)。所有设备只能在每个接入周期的第一个时隙激活并开始连续的K次接入尝试，且即使其中一次尝试成功，也不会停止剩余的尝试。设备的激活不必等待基站ACK/NACK反馈。如果某时隙两个或多个设备占用同一个RB，则它们都会发生冲突并失败；如果某时隙只有一个设备占用了一个RB，则可以认为该尝试成功，从而意味着该活跃设备成功接入了BS。K重复能够提高一个设备成功访问的概率，但也暴露了可能引入更多冲突的风险。设置K＝2来平衡这个问题，旨在减少碰撞的同时取得更大的成功概率。

考虑K重复免授权接入下可能的攻击类型，并选择虚假信息散布攻击(FDD)和阻塞攻击(CA)作为本发明的研究对象。在FDD攻击中，攻击者依然采用了K重复接入方案，其重复次数与合法设备相同。然而，他们的目的是将虚假数据传输到基站，这些数据将与从环境中收集到的真实数据一起存储，最终导致上层做出不适当的决策。它对于一些警报系统、区块链技术和隐私服务至关重要，例如智能可穿戴设备的健康监测。在CA攻击中，攻击者采用了K重复免授权接入方案，但它们的重复次数显著超过合法用户所遵循的重复次数。显然，这会造成两个问题，一是资源浪费，包括频谱资源、计算存储资源等，二是设备之间发生激烈碰撞，因此基站无法及时接收到场景节点收集到的数据，这对于一些实时服务至关重要，例如自动驾驶汽车的传感器节点和安全系统的监控摄像头。

泊松过程(即数据包到达之间的时间间隔服从指数分布)适用于对物联网和无线传感器网络中的流量进行建模，因此本发明主要关注这种常见类型，并考虑到实现更好的吞吐量，根据文献中已进行过的讨论，设置泊松分布参数λ＝50数据包/ms。这个值对检测精度没有显著影响，并且本发明提出的学习网络也不依赖于这种流量模型。即使在正常序列中，各时间点的流量负载值也有明显的波动。FDD攻击存在时，有连续的高峰出现，表明一些隐藏的恶意设备发起攻击并传输了虚假数据。CA攻击存在时，会出现明显的激峰，说明有恶意用户涌入并制造非常规冲突。本发明旨在实时序列中检测出FDD攻击或CA攻击是否存在，并给出合理延时内的警报区间。

基于反向传播算法的神经网络(BPNN)的预训练

本发明采用具有反向传播(BP)算法的多层前馈神经网络，为确定合适的BPNN隐藏层节点数，重复模拟20-200个设备的接入过程，分别记录成功、冲突及空闲的RB数，共2353组样本。选择均方误差(MSE)、平均绝对误差(MAE)及决定系数(R²)作为评估指标，其中，MSE与MAE表示回归预测的流量负载与真实负载之间的差距，R²表示回归预测与真实值之间的拟合程度，其越接近1，则表示拟合效果越好。使用1810个样本作为训练集，进行10折交叉验证，以求得节点数；确定节点数后，利用剩余的543个样本作为测试集，再次进行回归预测的准确度评估。

训练集结果如表1所示，当节点数增加时，神经网络回归性能已经趋向非常高的准确度，提升空间很小。从尽可能简化网络的角度出发，为神经网络选择5个隐藏层节点，神经网络结构图参考图2。

表1

之后在测试集上再次验证网络的泛化性能，所得结果为：MSE、MAE及R²值分别为53.802,5.154和0.981，其中，决定系数接近于1，从而可以说明网络能够很好的解释输入向量对输出值的影响，实现回归预测作用。

自回归差分移动平均模型(ARIMA)的定阶

由于泊松过程的随机性，其每时刻的用户数量依然会有较大波动，对攻击判决造成干扰，如果只是简单的设置一个最大用户阈值，超过该阈值则视为有入侵发生，则很容易造成误判。因此，本发明采用自回归差分移动平均(ARIMA)模型来消除这种波动误差，并利用历史记录值和随机误差项进行预测，二者分别对应于模型中的自回归(AR)和移动平均(MA)，原始ARIMA模型公式可表述为：

其中，y_t代表t时间的预测值，ε_t代表随机误差，不同时刻的随机误差独立同分布，视为均值为零，方差固定为δ²的白噪声序列。延迟算子B的定义为By_t＝y_t-1，则y_t的m阶差分可表示为(1-B)^my_t，p、d和q分别表示历史项、差分项和误差项的模型参数，即通过过去p个时间点的用户数与q个随机误差项，对接下来的一个时间点的用户数进行预测。

使用带有FDD攻击的泊松时间序列对ARIMA模型进行预训练，以确定具体的模型参数。由于ARIMA模型的预测针对于平稳序列，对于非平稳随机序列，需要对其进行一阶或多阶差分使其成为平稳序列。使用Augmented Dickey-Fuller(ADF)对以上训练序列进行平稳型检验，并选择5％的显著性水平。经过多次实验，发现在某些次实验下可以接受训练序列平稳的假设，但有时该假设不成立，这可能与泊松过程的随机波动有关。而对其进行一阶差分后，序列可视为平稳。则式(1)中，d＝1。

使用Akaike信息准则(AIC)和Durbin-Watson(DW)检验作为指标来评估不同的p、q组合对模型性能的影响。AIC可以衡量数据拟合的质量，尽量避免过拟合问题，DW检验可以衡量回归分析中残差的一阶自相关，以判断时间序列的有效信息是否已经完全提取到模型中。然而较高的p、q容易使自回归模型不稳定和移动平均模型不可逆，因此将讨论范围限制在1≤p,q≤4。当p＝2，q＝3时，模型(2,1,3)能同时在AIC和DW间实现较好的表现。此时DW等于2.2，较为接近理想值，则说明ARIMA模型在做预测时已经在很大程度上提取了序列的全部有效信息，其表达式为：

支持向量机(SVM)的预训练

入侵判决可视为一个二分类问题，即有入侵和没有入侵。SVM是一种用于分类问题的机器学习算法，其已在文献中被证明其在泊松序列异常检测任务中具有优秀的分类性能。当数据线性可分时，SVM的目标是找到一个分离度最大的超平面，这是一个凸二次规划问题。对于非线性情况，SVM能够通过使用核函数将数据映射到高维空间来解决原始空间中的线性不可分问题。

首先，定义SVM的输入特征向量。通过滑窗在时间序列中选取多个滑窗值，作为SVM的输入特征向量。此处假设基站可以通过历史池预先获知用户侧泊松过程的均值，则滑窗中选择的是观测值与均值之差，这样处理可以方便SVM灵敏感知异常数据，提升分类性能。具体而言，若当前时刻的流量负载观测值(由第一模块BPNN计算得出)小于等于当前时刻95％置信区间上界(由第二模块ARIMA预测得出)，则视为一个合法数据，与均值相减生成判决输入值，可被相应位置的滑窗记录；反之，若观测值大于置信上界，则视为一个离群值，其对应的判决输入值由上一时刻的判决输入值替代，由公式描述如下：

其中，N_w表示第w毫秒负载估计得到的观测值，U_w表示ARIMA预测得到的第w毫秒95％置信区间上界，L_w+1表示第w+1毫秒对应的滑窗值，λ表示泊松过程均值，基站可由历史数据信息较容易获知。

因此，对于长度为q的滑窗，第i毫秒时滑窗中各位置所对应的滑窗值为L_i+1-q,L_i+2-q,...,L_i。

对滑窗的标签进行以下规定：当有半个滑窗长度已进入入侵区间时，则当前滑窗标记为与该次入侵有关的第一个正例；此后随时间移动的若干滑窗都应标记为正例；直到恰有半个滑窗长度已离开入侵区间，则当前滑窗标记为负例，且此后随时间移动的若干滑窗都应标记为负例，直到滑窗完全离开入侵区间。

以上标签规则实际上是与滑窗数据的选取规则相对应。由于当序列中产生一个激增时，ARIMA模型总是缓慢平稳地逼近这种突变，因此在入侵刚发生的几个毫秒内，其负载预测值的95％置信上界会低于负载观测值，对应位滑窗值由之前时刻的滑窗值替代。值得注意的是，之前时刻的滑窗值往往并没有入侵发生，因此，若强行将这样的滑窗标记为正例，则会对分类器造成严重困扰。当然，这样的标签规则可能会导致在入侵实际发生的前几毫秒内无法拉响警报，但本发明旨在将这样的警报延迟控制在可接受范围内，同时极大降低虚警概率。

接下来我们使用带有FDD的时间序列训练SVM，SVM的核函数为RBF。定义分类器评价指标准确率(accuracy)和精确率(precision)，二者公式为：

其中，TP表示标记为正，分类为正的样本数量，TN表示标记为负，分类为负的样本数量，FP表示标记为负，预测为正的样本数量，P+N表示总样本数。将存在入侵视为正例，没有入侵视为负例。当窗口长度为10时，SVM的分类准确率为94.7％，精确率为98.2％，从而可以说明SVM算法对以上异常的滑窗数据具有较好的检测性能，同时虚警概率很低。在实际检测中，基站不必重新训练SVM，而仅需将最近的滑窗输入即可获得分类结果。

实施例一

本发明所述的工业物联网中基于融合学习的入侵检测方法包括：

1)获取接入周期内各时刻基站在物理层及接入层处观察到的资源占用状态；

2)将所述占用资源状态输入到训练后的神经网络中，得各时刻的流量负载估计值；

3)将各时刻的流量负载估计值分别输入到训练后的自回归差分移动平均模型中，得下一时刻流量负载估计值的置信区间；

4)判断当前时刻的流量负载估计值是否在当前时刻流量负载估计值的置信区间内，当当前时刻的流量负载估计值不在当前时刻流量负载估计值的置信区间内时，则将上一时刻的判决输入值作为当前时刻的判决输入值；否则，则将当前时刻的流量负载估计值与均值相减后作为当前时刻的判决输入值；

5)通过滑窗从各时刻截取固定长度的判决输入值，再输入到训练后的分类器中进行分类，以判断各时刻是否存在入侵，完成工业物联网中基于融合学习的入侵检测。

在实时检测中，SVM输入滑窗的选择规则与预训练中式(3)相同，滑窗中的每一位均随实时序列变化。使用预先训练好的SVM对滑窗分类，分类结果作为当前时刻是否存在入侵的依据。若存在入侵，则当前时刻点触发警报。此处定义模糊处理：若一个滑窗时间长度内出现两次及以上警报，则该段时间视为警报区间；反之，若某次警报仅是单独出现，则无论是否的确发生入侵，均视为一次虚警。

所述神经网络为基于反向传播算法的神经网络。

将当前时刻流量负载估计值以及之前所有时刻得到的流量负载估计值输入到训练后的自回归差分移动平均模型中，得下一时刻的流量负载预测结果，从而据此计算下一时刻流量负载预测结果的上下95％置信区间。

所述分类器为支持向量机。

实施例二

所述神经网络为基于反向传播算法的神经网络；所述分类器为支持向量机；所述资源占用状态包括成功资源数、冲突资源数以及空闲资源数。

图3为ARIMA(2,1,3)模型对一段带有FDD攻击的泊松序列实时预测示意图。由图3分析知，当入侵者发动FDD攻击时，由负载估计获知的观测值将立即实现一个明显的激增，然而ARIMA模型获知的预测值则是通过坡度上升来逼近这种突变。

图4为ARIMA(2,1,3)模型对一段带有CA攻击的泊松序列实时预测示意图。由图4分析知，当入侵导致流量负载出现尖峰，ARIMA模型预测能在较短时间内响应并缩短与观测值的差距。

因此，实时预测值并不能作为攻击判决的主要依据。进一步观察可以发现，预测值的上下95％置信区间一定程度上能够反映观测值是否发生突变，但仍然存在误判的可能。本发明中，当观测值超过95％置信区间上界时，认为该值是一个离群值，并在判决时将该值丢弃。由于攻击存在时ARIMA的置信上界能够很快的爬升，因此这样的设定并不会损失过多的有效信息。

实施例三

设基站为约3万个mMTC设备提供服务，各设备激活服从参数为50包/ms的泊松分布，固定以K重复免授权接入的方式进行接入并传输数据，重复次数K＝2。每时隙可用资源数为50RB。FDD攻击者与正常用户均值之比为0.2-0.7，SVM算法的滑窗长度选择为10。

为验证本发明的优越性，在仿真时，另外设立两种对比方案，分别为基于期望阈值的方案和基于碰撞概率的方案。对比方案的滑窗数据即为各时间点的观测负载值。对于前者，若滑窗内数据的平均值高于所设置的期望阈值，则视为有入侵；对于后者，若滑窗内每个时间点的资源碰撞概率的均值高于所设置的概率阈值，则视为有入侵。

在一般性的检测性能评估中，对于一段持续入侵，往往只需触发一次警报即视为有效检测。本发明在此基础上设置更严格的标准，希望给出的警报区间能够尽可能真实的逼近入侵区间，便于管理者事后对流量变化进行分析。具体而言，定义成功检测为警报区间的开始与结束时间与真实入侵区间相比均处于合理延时范围内，假定该延时范围在数值上等于窗口长度。即当窗口长度为10时，则可容忍的最大延时为10ms。成功检测概率即为成功检测次数与入侵次数之比。

在Matlab软件中对上述场景进行仿真，当入侵者与合法用户之比变化时，各检测方案的仿真结果如图5所示。当攻击者与合法用户之比在0.2-0.7范围内时，本发明均能实现95.2％以上的检测成功概率。与之形成明显对比的是基于碰撞概率的检测方案，当入侵者较多时，碰撞明显，该方案检测性能良好，然而当入侵者较少时，该方案无法形成有效检测。

对于一段带有FDD攻击的泊松时间序列，其真实入侵区间与警报区间的仿真结果如图6所示。警报区间与入侵区间相比，仅有微小的时延，说明警报在一定程度上可以真实地反映入侵情况，对系统及管理者事后分析有很大的帮助。

实施例四

设基站为约3万个mMTC设备提供服务，各设备激活服从参数为50包/ms的泊松分布，固定以K重复免授权接入的方式进行接入并传输数据，重复次数K＝2。每时隙可用资源数为50RB。CA攻击者与正常用户均值之比为0.2-0.7,SVM算法的滑窗长度选择为10。

为验证本发明的优越性，在仿真时另外设立两种对比方案，分别为基于期望阈值的方案和基于碰撞概率的方案。对比方案的滑窗数据即为各时间点的观测负载值。对于前者，若滑窗内数据的平均值高于所设置的期望阈值，则视为有入侵；对于后者，若滑窗内每个时间点的资源碰撞概率的均值高于所设置的概率阈值，则视为有入侵。

在一般性的检测性能评估中，对于一段持续入侵，往往只需触发一次警报即视为有效检测。由于CA攻击持续时间极短，可视为瞬时攻击，故给出精确的警报区间有一定困难，在此种情形下定义成功检测为真实入侵区间内触发一次及以上警报，成功检测概率即为成功检测次数与入侵次数之比。

在Matlab软件中对上述场景进行仿真，当入侵者与合法用户之比变化时，仿真结果如图7所示。当攻击者与合法用户之比在0.2-0.7范围内时，本发明均能实现接近100％的检测成功概率。与之形成明显对比的是基于碰撞概率的检测方案，当入侵者较多时，碰撞明显，该方案检测性能良好，然而当入侵者较少时，该方案无法形成有效检测，且当资源碰撞比阈值设置不合理，则基于碰撞概率的检测方案将完全失效。

对于一段带有CA攻击的泊松时间序列，其真实入侵区间与警报区间的仿真结果如图8所示。当大量攻击者突然占用过多的频谱资源时，本发明能够迅速感知到这种异常，并及时触发警报。

综上，本发明在工业物联网免授权接入场景下，面对虚假信息散布攻击(FDD)和阻塞攻击(CA)两种攻击模式，均能实现大于95％的入侵检测成功概率，且能在合理的延时范围内给出警报区间。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims

1.一种工业物联网中基于融合学习的入侵检测方法，其特征在于，包括：

将占用资源状态输入到训练后的神经网络中，得各时刻的流量负载估计值；

2.根据权利要求1所述的工业物联网中基于融合学习的入侵检测方法，其特征在于，所述神经网络为基于反向传播算法的神经网络。

3.根据权利要求1所述的工业物联网中基于融合学习的入侵检测方法，其特征在于，所述资源占用状态包括成功资源数、冲突资源数以及空闲资源数。

4.根据权利要求1所述的工业物联网中基于融合学习的入侵检测方法，其特征在于，将所述占用资源状态输入到训练后的神经网络中，得各时刻的流量负载估计值之后还包括：将当前时刻的流量负载估计值存储到观测历史池中。

5.根据权利要求1所述的工业物联网中基于融合学习的入侵检测方法，其特征在于，所述将各时刻的流量负载估计值分别输入到训练后的自回归差分移动平均模型中，得下一时刻流量负载估计值的置信区间的具体过程为：

将当前时刻流量负载估计值以及之前所有时刻得到的流量负载估计值输入到训练后的自回归差分移动平均模型中，得下一时刻的流量负载预测结果，并以此计算下一时刻流量负载预测结果的上下95％置信区间。

6.根据权利要求1所述的工业物联网中基于融合学习的入侵检测方法，其特征在于，所述分类器为支持向量机。

7.一种工业物联网中基于融合学习的入侵检测系统，其特征在于，包括：

估计模块，用于将占用资源状态输入到训练后的神经网络中，得各时刻的流量负载估计值；

8.根据权利要求7所述的工业物联网中基于融合学习的入侵检测系统，其特征在于，所述神经网络为基于反向传播算法的神经网络。

9.根据权利要求7所述的工业物联网中基于融合学习的入侵检测系统，其特征在于，所述分类器为支持向量机。

10.根据权利要求7所述的工业物联网中基于融合学习的入侵检测系统，其特征在于，所述资源占用状态包括成功资源数、冲突资源数以及空闲资源数。