CN114500102A - 一种基于抽样的边缘计算架构物联网入侵检测系统及方法 - Google Patents

一种基于抽样的边缘计算架构物联网入侵检测系统及方法 Download PDF

Info

Publication number
CN114500102A
CN114500102A CN202210225016.7A CN202210225016A CN114500102A CN 114500102 A CN114500102 A CN 114500102A CN 202210225016 A CN202210225016 A CN 202210225016A CN 114500102 A CN114500102 A CN 114500102A
Authority
CN
China
Prior art keywords
network
data packet
intrusion detection
packet
network traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210225016.7A
Other languages
English (en)
Other versions
CN114500102B (zh
Inventor
沈士根
李振威
沈亦周
周海平
孙攀军
王建华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Shaoxing
Original Assignee
University of Shaoxing
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Shaoxing filed Critical University of Shaoxing
Priority to CN202210225016.7A priority Critical patent/CN114500102B/zh
Publication of CN114500102A publication Critical patent/CN114500102A/zh
Application granted granted Critical
Publication of CN114500102B publication Critical patent/CN114500102B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于抽样的边缘计算架构物联网入侵检测系统及方法。本发明应用于边缘计算架构物联网,包括网络流量质量判别器,用于从特定批次的网络流量训练数据集中,按照回合选择预设大小的网络流量数据包特征向量、网络流量数据包选择网络,用于根据其特征向量判断所述流量数据包选择网络选择的网络流量数据包是否恶意。本发明提供的系统通过网络流量质量判别器和网络流量数据包选择网络组合,实现数据包的自动抽样检测而不需要外部人员干涉,增加了边缘计算架构物联网入侵检测系统面对大量数据时候的稳定性,又能够节省边缘计算架构物联网入侵检测系统的资源消耗,提高了边缘计算架构物联网入侵检测系统的性能。

Description

一种基于抽样的边缘计算架构物联网入侵检测系统及方法
技术领域
本发明属于物联网安全领域,更具体地,涉及一种基于抽样的边缘计算架构物联网入侵检测系统及方法。
背景技术
边缘计算作为一种新型网络架构,利用周围可以提供网络、计算、存储、应用等能力的边缘服务器,就近提供各种服务和应用,有效地解决了物联网应用程序中的延迟问题,同时提高了网络性能,降低运营成本,保证资源的合理使用。然而,在如今物联网逐渐普及的环境下,大量异构物联网设备带来了海量的隐私数据,这些数据存在不同的位置,很难保证完整性;另外,未经授权的用户或对手可能会修改或滥用上传的数据,将导致数据泄漏和其他问题。传统的物联网入侵检测系统无法适应这些挑战,而采用边缘计算架构,能使入侵检测系统拥有更多可用的计算资源,大大减少了网络平台上的延迟,提高物联网中恶意程序入侵检测的效率。
入侵检测系统主要用来监控和检测主机侧或网络侧的异常数据,针对网络流量进行异常检测的称作基于网络的入侵检测系统。数据包作为网络传输流的组成部分,包含了整个数据流的部分信息。随着诸如TLS和SSL等加密技术的部署,通过监控网络传输过程中数据包特定行为或者数据包的尺寸等特征信息进行网络流量判断已成为入侵检测系统的主流。鉴于网络传输过程可以抽象为一系列基于时间的事件序列,所以可以利用循环神经网络处理序列问题的优势来进行入侵检测系统的设计。
当前,不同的研究机构公布了不同的入侵检测系统及方法。专利申请文件CN202111513344.9中提出了解决入侵检测警告的处理方法,通过对事件的合并以及知识库的裁剪行为,减小了入侵检测规则库的体积,提高了相应系统的性能,但该方法需要事先设定好入侵检测的规则库。专利申请文件CN202111241314.7中提出在抽取数据包的属性信息之后将之与入侵检测规则库进行规则位掩码比对,最后得出网络入侵检测结果,虽然在模式匹配方式上进行了优化,可以提升入侵检测效率,但是仍然需要开发人员事先设定好规则库。专利申请文件CN202111302681.3中利用卷积神经网络对加密数据包中的原始字节进行卷积操作,以此保持原始信息不丢失,最后利用前馈神经网络进行入侵检测过程,但没有考虑到数据包本身的行为以及网络传输过程中的时序特征。专利申请文件CN202110750388.7利用“卷积层+上下采样层”的深度学习模型,利用数据增强减少过拟合,但还是需要加载检测所有数据,不能适用于数据量级大的应用场景。
综上,现有的入侵检测技术应用于物联网存在需要改进的地方。首先,接入设备的增多带来了大量数据,依靠规则库进行模式匹配的方式不适合如今的应用场景,亟需一个高效的入侵检测系统来处理;第二,边缘计算服务器应该可以在长期的检测过程中能自适应地进行优化,减少开发人员的工作量;第三,入侵检测系统应该要注意到网络流量潜在的时序特点,从而优化自身网络模型达到更好的检测效率。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种基于抽样的边缘计算架构物联网入侵检测系统及方法,其目的在于利用网络流量潜在的时序特点,抽样选择网络流量数据包进行入侵检测,获得一批网络流量数据的整体检测结果,降低计算量以适应边缘计算架构,由此解决现有的物联网入侵检测系统数据膨胀,导致入侵检测相对效率低下,不能很好的石英边缘计算架构的技术问题。
为实现上述目的,按照本发明的一个方面,提供了一种基于抽样的边缘计算架构物联网入侵检测系统,其应用于边缘计算架构物联网,包括网络流量质量判别器、网络流量数据包选择网络;
所述流量数据包选择网络,用于从特定批次的网络流量训练数据集中,按照回合选择预设大小的网络流量数据包特征向量,提交给所述网络流量质量判别器;并评价所述网络流量质量判别器的判别结果,根据对所有回合选择的网络流量数据包特征向量的评价更新所述入侵检测系统;
所述网络流量质量判别器,用于根据其特征向量判断所述流量数据包选择网络选择的网络流量数据包是否恶意,从而对所述批次的网络数据流量进行入侵检测抽样判断。
优选地,所述基于抽样的边缘计算架构物联网入侵检测系统,其所述网络流量数据包特征向量sn,包括网络流量特征和数据包位置特征;所述数据包位置特征为所选择的网络流量数据包在所述批次的网络流量训练数据集中的位置信息。
优选地,所述基于抽样的边缘计算架构物联网入侵检测系统,其所述流量数据包选择网络基于演员-批评家网络;
所述演员网络用于根据上一回合选择的网络流量数据包特征向量sm采用深度学习网络判断动作概率分布π(ai|sm;θm),并按照动作概率分布π(ai|sm;θm)进行随机抽样,得到决定当前回合选中网络流量数据包位置的具体动作a,并记录数据包位置特征,选择用于输入网络流量质量判别器的网络流量数据包获取其特征向量sn,提交给所述流量数据包选择网络;其中θm表示演员网络当前的内部参数;
所述批评家网络,用于获取上一回合所述网络质量判别器输出的判别结果,并根据上一回合选择的网络流量数据包特征向量sm采用深度学习网络评价上一回合的所述网络流量质量判别器的判别结果,获得网络流量质量判别器的性能评价
Figure BDA0003538861610000031
和网络流量数据包选择评价
Figure BDA0003538861610000032
所有回合的网络流量质量判别器的性能评价
Figure BDA0003538861610000033
和网络流量数据包选择评价
Figure BDA0003538861610000034
用于更新网络流量质量判别器、网络流量数据包选择网络。
优选地,所述基于抽样的边缘计算架构物联网入侵检测系统,其所述流量数据包选择网络、和/或所述网络流量质量判别器基于神经网络;所述神经网络的隐藏层包括GRU层。
按照本发明的另一个方面,提供了所述的基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其基于演员-批评家网络;包括以下步骤:
所述批评家网络,根据特定批次得网络流量训练数据集的所有回合的判别结果和评价结果,以使得批评家网络更新误差Lc,m最小为目标函数,采用向后传播的方式进行其神经网络的参数更新;
所述演员网络,根据特定批次得网络流量训练数据集的所有回合的判别结果和评价结果,以使得演员网络更新误差La,m最小为目标函数,采用向后传播的方式进行其神经网络的参数更新;
所述网络流量质量判别器,优选为深度学习神经网络,根据特定批次得网络流量训练数据集的所有回合的判别结果和评价结果,以使得其损失值Lossm最小为目标函数,采用向后传播的方式进行其神经网络的参数更新。
优选地,所述基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其所述演员网络更新误差Lc,m按照如下方法计算:
Lc,m=(Lm-Vm)2=Δm 2
其中,Δm为总奖励和总评价差异。
优选地,所述基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其所述演员网络更新误差La,m按照如下方法计算:
La,m=-log(π(am|·))Δm-βH(·)
其中,am代表演员网络在第m个数据包处执行的动作,π(am|·)表示演员网络在第m个数据包处输出的动作分布,β为熵值的权重,用来控制熵对于该损失函数的重要程度,H(·)表示计算动作分布π(ai|sm;θm)的熵值,Δm为总奖励和总评价差异;其中
Figure BDA0003538861610000041
其中,ai表示第i个可供选择的动作,sm表示当前作为输入的第m个网络流量数据包的特征向量,θm表示演员网络当前的内部参数,π(ai|sm;θm)表示演员网络在第m个数据包处产生的动作分布。
优选地,所述基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其所述总奖励和总评价差异Δm,按照如下方法计算:
Δm=Lm-Vm
其中,Lm为入侵检测系统对第m个网络流量数据包进行训练的总奖励,包括网络流量质量判别器的性能奖励
Figure BDA0003538861610000051
以及网络流量数据包选择奖励
Figure BDA0003538861610000052
Vm为入侵检测系统网络对第m个网络流量数据包进行训练的总评价,包括网络流量质量判别器的性能评价
Figure BDA0003538861610000053
以及网络流量数据包选择评价
Figure BDA0003538861610000054
所述入侵检测系统对第m个网络流量数据包进行训练的总奖励Lm,按照如下方法计算:
Figure BDA0003538861610000055
其中,αL为奖励调节超参数;
Figure BDA0003538861610000056
为网络流量质量判别器的性能奖励,表征在第m个数据包后网络流量质量判别器后续作出的判断与真实的训练数据集标签的差值情况;
Figure BDA0003538861610000057
为网络流量数据包选择奖励,表征第m个数据包对后面数据包选择与否的衡量值;分别按照如下方法计算:
Figure BDA0003538861610000058
Figure BDA0003538861610000059
其中,M表示所述批次的网络流量特征数据中网络流量数据包的总数量,yi表示第i个网络流量数据包真实的训练数据集标签,
Figure BDA00035388616100000510
为第i个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果;Ii表示如果选择了第i个数据包,则值为0,否则值为1;下标i表示第i个数据包;
所述入侵检测系统网络对第m个网络流量数据包进行训练的总评价Vm,按照如下方法计算:
Figure BDA0003538861610000061
其中αv为评价调节超参数;
Figure BDA0003538861610000062
为网络流量质量判别器的性能评价,为批评家网络的输出;
Figure BDA0003538861610000063
为网络流量数据包选择评价,为批评家网络的输出。
优选地,所述基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其所述网络流量质量判别器的损失值Lossm按照如下方法计算:
Figure BDA0003538861610000064
其中,ym表示第m个网络流量数据包真实的训练数据集标签,
Figure BDA0003538861610000065
为第m个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果。
按照本发明的另一个方面提供了一种基于抽样的边缘计算架构物联网入侵检测方法,其包括以下步骤:
检测数据采集:采集网络流量数据,并提取其网络流量特征,预处理为特定大小的成批次的网络数据流量包特征向量;
抽样:将采集的待检测数据输入到本发明提供的基于抽样的边缘计算架构物联网入侵检测系统,流量数据包选择网络按回合选择的网络流量数据包特征向量;
检测:将流量数据包选择网络选择的网络流量数据包特征向量采用网络流量质量判别器判断所述网络流量数据包是否包含恶意;并根据该批次所有回合的判断结果确定所述批次的网络数据流量包是否恶意。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
本发明提供的系统通过网络流量质量判别器和网络流量数据包选择网络组合,实现数据包的自动抽样检测而不需要外部人员干涉,增加了边缘计算架构物联网入侵检测系统面对大量数据时候的稳定性,又能够节省边缘计算架构物联网入侵检测系统的资源消耗,提高了边缘计算架构物联网入侵检测系统的性能。同时,由于网络流量数据包选择网络的存在,可以方便的通过更新网络流量数据包选择网络,从而完成入侵检测系统的在线更新,无需暂停物联网工作状态更新判别器模型。
优选方案,所述流量数据包选择网络基于演员-批评家网络,将门控循环单元(Gated Recurrent Unit,GRU)的数据长期记忆,和演员-批评家网络的数据包自主挑选特点进行整合,保证了处理大量数据时候得到较好的识别率。
优选技术方案,利用深度学习的训练方式,借鉴强化学习中演员-批评家的网络架构设计,实现了针对网络流量数据包特定行为序列或者属性进行检测的入侵检测分类器,以及一个可以有选择地检测数据包的网络结构,从而解决大量数据检测时传统入侵检测系统难以处理的问题,同时避免了第三方规则库的设置。
附图说明
图1是本发明实施例提供的基于抽样的边缘计算架构物联网入侵检测系统结构示意图;
图2是本发明实施例提供的基于抽样的边缘计算架构物联网入侵检测系统的更新方法示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明提供的入侵检测系统,应用于边缘计算架构物联网,包括网络流量质量判别器、网络流量数据包选择网络;
所述流量数据包选择网络,用于从特定批次的网络流量训练数据集中,按照回合选择预设大小的网络流量数据包特征向量,提交给所述网络流量质量判别器;并评价所述网络流量质量判别器的判别结果,根据对所有回合选择的网络流量数据包特征向量的评价更新所述入侵检测系统;所述网络流量数据包特征向量sn,包括网络流量特征和数据包位置特征;所述网络流量特征采用网络流量特征提取工具获取,例如CICFlowmeter;所述数据包位置特征为所选择的网络流量数据包在所述批次的网络流量训练数据集中的位置信息。
所述流量数据包选择网络,优选基于演员-批评家网络(actor-critic网络):
所述演员网络用于根据上一回合选择的网络流量数据包特征向量sm采用深度学习网络判断动作概率分布π(ai|sm;θm),并按照动作概率分布π(ai|sm;θm)进行随机抽样,得到决定当前回合选中网络流量数据包位置的具体动作a,并记录数据包位置特征,选择用于输入网络流量质量判别器的网络流量数据包获取其特征向量sn,提交给所述流量数据包选择网络;其中θm表示演员网络当前的内部参数,用于表示神经网络的内部状态,例如权值矩阵;
所述批评家网络,用于获取上一回合所述网络质量判别器输出的判别结果,并根据上一回合选择的网络流量数据包特征向量sm采用深度学习网络评价上一回合的所述网络流量质量判别器的判别结果,获得网络流量质量判别器的性能评价
Figure BDA0003538861610000081
和网络流量数据包选择评价
Figure BDA0003538861610000082
所有回合的网络流量质量判别器的性能评价
Figure BDA0003538861610000083
和网络流量数据包选择评价
Figure BDA0003538861610000084
用于更新网络流量质量判别器、网络流量数据包选择网络。
所述网络流量质量判别器,用于根据其特征向量sn判断所述流量数据包选择网络选择的网络流量数据包是否恶意,从而对所述批次的网络数据流量进行入侵检测抽样判断。
本发明提供的入侵检测系统的更新方法包括以下步骤:
所述批评家网络,优选为深度学习神经网络,根据特定批次的网络流量训练数据集的所有回合的判别结果和评价结果,以使得批评家网络更新误差Lc,m最小为目标函数,采用向后传播的方式进行其神经网络的参数更新;所述演员网络更新误差Lc,m按照如下方法计算:
Lc,m=(Lm-Vm)2=Δm 2
其中,Δm为总奖励和总评价差异。
所述演员网络,优选为深度学习神经网络,根据特定批次得网络流量训练数据集的所有回合的判别结果和评价结果,以使得演员网络更新误差La,m最小为目标函数,采用向后传播的方式进行其神经网络的参数更新;所述演员网络更新误差La,m按照如下方法计算:
La,m=-log(π(am|·))Δm-βH(·)
其中,am代表演员网络在第m个数据包处执行的动作,π(am|·)表示演员网络在第m个数据包处输出的动作分布,β为熵值的权重,用来控制熵对于该损失函数的重要程度,H(·)表示计算动作分布π(ai|sm;θm)的熵值,Δm为总奖励和总评价差异;其中
Figure BDA0003538861610000091
其中,ai表示第i个可供选择的动作,sm表示当前作为输入的第m个网络流量数据包的特征向量,θm表示演员网络当前的内部参数,π(ai|sm;θm)表示演员网络在第m个数据包处产生的动作分布。
所述总奖励和总评价差异Δm,按照如下方法计算:
Δm=Lm-Vm
其中,Lm为入侵检测系统对第m个网络流量数据包进行训练的总奖励,包括网络流量质量判别器的性能奖励
Figure BDA0003538861610000092
以及网络流量数据包选择奖励
Figure BDA0003538861610000093
Vm为入侵检测系统网络对第m个网络流量数据包进行训练的总评价,包括网络流量质量判别器的性能评价
Figure BDA0003538861610000094
以及网络流量数据包选择评价
Figure BDA0003538861610000095
所述入侵检测系统对第m个网络流量数据包进行训练的总奖励Lm,按照如下方法计算:
Figure BDA0003538861610000101
其中,αL为奖励调节超参数;
Figure BDA0003538861610000102
为网络流量质量判别器的性能奖励,表征在第m个数据包后网络流量质量判别器后续作出的判断与真实的训练数据集标签的差值情况;
Figure BDA0003538861610000103
为网络流量数据包选择奖励,表征第m个数据包对后面数据包选择与否的衡量值;分别按照如下方法计算:
Figure BDA0003538861610000104
Figure BDA0003538861610000105
其中,M表示所述批次的网络流量特征数据中网络流量数据包的总数量,yi表示第i个网络流量数据包真实的训练数据集标签,
Figure BDA0003538861610000106
为第i个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果;Ii表示如果选择了第i个数据包,则值为0,否则值为1;下标i表示第i个数据包;
所述入侵检测系统网络对第m个网络流量数据包进行训练的总评价Vm,按照如下方法计算:
Figure BDA0003538861610000107
其中αv为评价调节超参数;
Figure BDA0003538861610000108
为网络流量质量判别器的性能评价,为批评家网络的输出;
Figure BDA0003538861610000109
为网络流量数据包选择评价,为批评家网络的输出。
所述网络流量质量判别器,优选为深度学习神经网络,根据特定批次得网络流量训练数据集的所有回合的判别结果和评价结果,以使得其损失值Lossm最小为目标函数,采用向后传播的方式进行其神经网络的参数更新,所述网络流量质量判别器的损失值Lossm按照如下方法计算:
Figure BDA00035388616100001010
其中,ym表示第m个网络流量数据包真实的训练数据集标签,
Figure BDA00035388616100001011
为第m个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果。
本发明提供的基于抽样的边缘计算架构物联网入侵检测方法,包括以下步骤:
检测数据采集:采集网络流量数据,并提取其网络流量特征,预处理为特定大小的成批次的网络数据流量包特征向量;
抽样:将采集的待检测数据输入到本发明提供的基于抽样的边缘计算架构物联网入侵检测系统,流量数据包选择网络按回合选择的网络流量数据包特征向量;
检测:将流量数据包选择网络选择的网络流量数据包特征向量采用网络流量质量判别器判断所述网络流量数据包是否包含恶意;并根据该批次所有回合的判断结果确定所述批次的网络数据流量包是否恶意。
以下为实施例:
本实施例提供的入侵检测系统,如图1所示,应用于边缘计算架构物联网,包括网络流量质量判别器、网络流量数据包选择网络;
网络流量质量判别器,使用3层的GRU,每层网络包含了256个神经元;和GRU相连的是一个全连接的线性层,最终的输出会经过sigmoid函数处理成0至1之间的数字,0表示分类器认为该网络流量是良性的,1则是带有攻击的网络流量。其输入为呗网络流量数据包选择网络选择的网络流量数据包的特征向量,特征向量包括网络流量特征和数据包位置特征。本实施例采用的网络流量特征包括源端口、目的端口、TCP标识符、传输协议、距离上一次收到的数据包的间隔、数据包方向(packets direction),使用CICFlowmeter提取;数据包位置特征为步长,步长表示两个被选中的数据包之间的数据包数量。本系统对于一批待检测的网络流量数据可以在选择检测部分数据包的情况下,对网络流量进行判断,达到良好的检测性能并且节省资源消耗。
所述网络流量数据包选择网络,基于演员-评论家网络;
演员网络,包括输入层、隐藏层和输出层,其中隐藏层使用3层的GRU,每层网络包含了256个神经元;和GRU相连的是一个全连接的线性层;输出层包括对应20种不同的动作的概率的输出神经元,即最大步长为20,故共有20种可能步长,分别对应一个输出神经元,输出特定步长的概率。所述演员网络,其输入为上一回合选择的网络流量数据包特征向量sm,获得动作概率分布分布π(ai|sm;θm),并按照动作概率分布π(ai|sm;θm)进行随机抽样,得到决定当前回合选中网络流量数据包位置的具体动作a,并记录数据包位置特征,本实施例采用的数据包位置特征为步长,步长表示两个被选中的数据包之间的数据包数量,在系统运行的过程里,这个数值会被添加到当前被选中的网络流量数据的特征向量中,与采用网络流量特征提取工具获取的网络流量特征合并作为网络流量数据包特征向量sn参与神经网络的输入。
批评家网络,包括输入层、隐藏层和输出层,其中隐藏层使用3层的GRU,每层网络包含了256个神经元;和GRU相连的是一个全连接的线性层;输出层包括对应评论家的两个性能评价值的输出神经元。输入为上一回合所述网络流量数据包选择网络输出的数据包位置特征、上一回合选择的网络流量数据包特征向量sm,输出为上一回合的网络流量质量判别器的性能评价
Figure BDA0003538861610000121
和网络流量数据包选择评价
Figure BDA0003538861610000122
本实施例提供的入侵检测系统的运行过程如下:
检测数据采集:系统维护人员采用公开的CICFlowmeter工具对网络流量进行特征提取,实现边缘计算架构物联网入侵检测数据采集。边缘计算架构物联网入侵检测系统将所述数据集差异过大的数据进行标准化预处理,得到神经网络可接受的输入数据。对于一批次32个数据包数据,设最大步长为20,采用Z-score标准化方法进行预处理,具体如下:
对于某个特征fi,有边缘计算架构物联网入侵检测系统计算该特征所有值的均值μi和标准差δi;最终得出标准化后的数据
Figure BDA0003538861610000123
按照如下公式计算:
Figure BDA0003538861610000131
抽样检测:对于采集的每一批次的待检测数据进行抽样检测,具体步骤如下:
(1)初始化:设置容器
Figure BDA0003538861610000132
并将容器置为空集,其存储内容分别为:容器
Figure BDA0003538861610000133
存储网络流量质量判别器的判断结果;
Figure BDA0003538861610000134
用于存储批评家网络输出的网络流量质量判别器的性能评价
Figure BDA0003538861610000135
以及存储批评家网络输出的网络流量数据包选择评价
Figure BDA0003538861610000136
用于存储演员网络输出的动作概率分布π(ai|sm;θm),
Figure BDA0003538861610000137
用于存储演员网络输出的数据包位置特征,即步长。
(2)数据选择及质量判断:第一次数据选择网络流量数据包,采用第1条数据,步长为0,之后按照容器
Figure BDA0003538861610000138
存储的步长选择网络流量数据包;
将选中的数据流量数据包,其CICFlowmeter工具提取的网络流量特征和步长组合为网络流量数据包特征向量sm,将网络流量数据包特征向量sm分别操作:
A、输入到网络流量质量判别器,得到选择的网络流量数据包的判断结果,如果认为该网络流量是良性的,则判断结果为0,如果认为带有攻击的网络流量,则判断结果为1,追加存储到容器
Figure BDA0003538861610000139
中;
B、与上一回合的步长值一同输入到批评家网络中,得到网络流量质量判别器的性能评价
Figure BDA00035388616100001310
存储到容器中;得到网络流量数据包选择评价
Figure BDA00035388616100001311
追加存储到容器
Figure BDA00035388616100001312
中;
C、输入到演员网络中,得到动作概率分布π(ai|sm;θm),追加存储到容器
Figure BDA00035388616100001313
中;抽样得到数据包位置特征即步长,追加存储到容器
Figure BDA00035388616100001314
中。
根据容器
Figure BDA00035388616100001315
的内容选择下一条网络流量数据包,获取其CICFlowmeter工具提取的网络流量特征,与容器
Figure BDA00035388616100001316
存储的步长值,组合为下一次网络流量数据包特征向量sn;如此往复迭代,每回合会统计批次中跳过步长后剩余的数据包个数,剩余的数据为0,则该批次所有数据选择回合结束。
结果判断及预警:当容器
Figure BDA0003538861610000141
中存在1时,则认为该批次中包含攻击流量,进行报警,否则认为流量安全。
本实施例的入侵检测系统的更新方法包括以下步骤:
训练数据集形成:系统维护人员采用公开的CICFlowmeter工具对网络流量进行特征提取,实现边缘计算架构物联网入侵检测数据采集。边缘计算架构物联网入侵检测系统将所述数据集中差异过大的数据进行标准化预处理,得到神经网络可接受的输入数据。采用公开的包含有标签的训练据集CIC-IDS-2017,ym表示第m个网络流量数据包真实的训练数据集标签,ym=0表示该网络流量数据为良性网络流量数据,ym=1表示该网络流量数据为攻击性网络流量数据,其他步骤同检测数据采集。
入侵检测系统的运行:采用训练数据集中的特征部分作为检测数据,使入侵检测系统在该数据集上运行直至所有回合预测完毕,得到容器
Figure BDA0003538861610000142
存储网络流量质量判别器的判断结果
Figure BDA0003538861610000143
其中
Figure BDA0003538861610000144
为第m个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果,
Figure BDA0003538861610000145
即第m个网络流量质量判别器输出的网络流量数据包判断为良性;
Figure BDA0003538861610000146
即第m个网络流量质量判别器输出的网络流量数据包判断为带有攻击;
Figure BDA0003538861610000147
用于存储批评家网络输出的网络流量质量判别器的性能评价
Figure BDA0003538861610000148
以及网络流量数据包选择评价
Figure BDA0003538861610000149
用于存储演员网络输出的动作概率分布π(ai|sm;θm),
Figure BDA00035388616100001410
用于存储演员网络输出的数据包位置特征,即步长。
网络更新:计算总奖励和总评价差异Δm,按照如下方法计算:
Δm=Lm-Vm
其中,Lm为入侵检测系统对第m个网络流量数据包进行训练的总奖励,包括网络流量质量判别器的性能奖励
Figure BDA00035388616100001411
以及网络流量数据包选择奖励
Figure BDA00035388616100001412
Vm为入侵检测系统网络对第m个网络流量数据包进行训练的总评价,包括网络流量质量判别器的性能评价
Figure BDA00035388616100001413
以及网络流量数据包选择评价
Figure BDA00035388616100001414
所述入侵检测系统对第m个网络流量数据包进行训练的总奖励Lm,按照如下方法计算:
Figure BDA0003538861610000151
其中,αL为奖励调节超参数,用来控制边缘计算架构物联网入侵检测系统对跳过数据包这一功能的重视程度,即步长权重值,本实施例取0.1;
Figure BDA0003538861610000152
为网络流量质量判别器的性能奖励,表征在第m个数据包后网络流量质量判别器后续作出的判断与真实的训练数据集标签的差值情况;
Figure BDA0003538861610000153
为网络流量数据包选择奖励,表征第m个数据包对后面数据包选择与否的衡量值;分别按照如下方法计算:
Figure BDA0003538861610000154
Figure BDA0003538861610000155
其中,M表示所述批次的网络流量特征数据中网络流量数据包的总数量,yi表示第i个网络流量数据包真实的训练数据集标签,
Figure BDA0003538861610000156
为第i个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果;Ii表示如果选择了第i个数据包,则值为0,否则值为1;下标i表示第i个数据包;
所述入侵检测系统网络对第m个网络流量数据包进行训练的总评价Vm,按照如下方法计算:
Figure BDA0003538861610000157
其中αv为评价调节超参数;
Figure BDA0003538861610000158
为网络流量质量判别器的性能评价,为批评家网络的输出;
Figure BDA0003538861610000159
为网络流量数据包选择评价,为批评家网络的输出。
(1)批评家网络更新:以使得批评家网络更新误差Lc,m最小为目标函数,采用向后传播的方式进行其神经网络的参数更新;所述演员网络更新误差Lc,m按照如下方法计算:
Lc,m=(Lm-Vm)2=Δm 2
其中,Δm为总奖励和总评价差异。
(2)演员网络更新:以使得演员网络更新误差La,m最小为目标函数,采用向后传播的方式进行其神经网络的参数更新;所述演员网络更新误差La,m按照如下方法计算:
La,m=-log(π(am|·))Δm-βH(·)
其中,am代表演员网络在第m个数据包处执行的动作,π(am|·)表示演员网络在第m个数据包处输出的动作分布,β为熵值的权重,本实施例取0.01,用来控制熵对于该损失函数的重要程度,H(·)计算动作分布π(ai|sm;θm)的熵值,Δm为总奖励和总评价差异;其中
Figure BDA0003538861610000161
其中,ai表示第i个可供选择的动作,sm表示当前作为输入的第m个网络流量数据包的特征向量,θm表示演员网络当前的内部参数,π(ai|sm;θm)表示演员网络在第m个数据包处产生的动作分布。
(3)网络流量质量判别器更新:以使得其损失值Lossm最小为目标函数,采用向后传播的方式进行其神经网络的参数更新,所述网络流量质量判别器的损失值Lossm按照如下方法计算:
Figure BDA0003538861610000162
其中,ym表示第m个网络流量数据包真实的训练数据集标签,
Figure BDA0003538861610000163
为第m个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果。
以上网络更新,学习率取0.001。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于抽样的边缘计算架构物联网入侵检测系统,其特征在于,应用于边缘计算架构物联网,包括网络流量质量判别器、网络流量数据包选择网络;
所述流量数据包选择网络,用于从特定批次的网络流量训练数据集中,按照回合选择预设大小的网络流量数据包特征向量,提交给所述网络流量质量判别器;并评价所述网络流量质量判别器的判别结果,根据对所有回合选择的网络流量数据包特征向量的评价更新所述入侵检测系统;
所述网络流量质量判别器,用于根据其特征向量判断所述流量数据包选择网络选择的网络流量数据包是否恶意,从而对所述批次的网络数据流量进行入侵检测抽样判断。
2.如权利要求1所述的基于抽样的边缘计算架构物联网入侵检测系统,其特征在于,所述网络流量数据包特征向量sn,包括网络流量特征和数据包位置特征;所述数据包位置特征为所选择的网络流量数据包在所述批次的网络流量训练数据集中的位置信息。
3.如权利要求1所述的基于抽样的边缘计算架构物联网入侵检测系统,其特征在于,所述流量数据包选择网络基于演员-批评家网络;
所述演员网络用于根据上一回合选择的网络流量数据包特征向量sm采用深度学习网络判断动作概率分布π(ai|sm;θm),并按照动作概率分布π(ai|sm;θm)进行随机抽样,得到决定当前回合选中网络流量数据包位置的具体动作a,并记录数据包位置特征,选择用于输入网络流量质量判别器的网络流量数据包获取其特征向量sn,提交给所述流量数据包选择网络;其中θm表示演员网络当前的内部参数;
所述批评家网络,用于获取上一回合所述网络质量判别器输出的判别结果,并根据上一回合选择的网络流量数据包特征向量sm采用深度学习网络评价上一回合的所述网络流量质量判别器的判别结果,获得网络流量质量判别器的性能评价
Figure FDA0003538861600000011
和网络流量数据包选择评价
Figure FDA0003538861600000012
所有回合的网络流量质量判别器的性能评价
Figure FDA0003538861600000021
和网络流量数据包选择评价
Figure FDA0003538861600000022
用于更新网络流量质量判别器、网络流量数据包选择网络。
4.如权利要求1至3任意一项所述的基于抽样的边缘计算架构物联网入侵检测系统,其特征在于,所述流量数据包选择网络、和/或所述网络流量质量判别器基于神经网络;所述神经网络的隐藏层包括GRU层。
5.如权利要求1至4任意一项所述的基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其特征在于,其基于演员-批评家网络;包括以下步骤:
所述批评家网络,根据特定批次得网络流量训练数据集的所有回合的判别结果和评价结果,以使得批评家网络更新误差Lc,m最小为目标函数,采用向后传播的方式进行其神经网络的参数更新;
所述演员网络,根据特定批次得网络流量训练数据集的所有回合的判别结果和评价结果,以使得演员网络更新误差La,m最小为目标函数,采用向后传播的方式进行其神经网络的参数更新;
所述网络流量质量判别器,优选为深度学习神经网络,根据特定批次得网络流量训练数据集的所有回合的判别结果和评价结果,以使得其损失值Lossm最小为目标函数,采用向后传播的方式进行其神经网络的参数更新。
6.如权利要求5所述的基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其特征在于,所述演员网络更新误差Lc,m按照如下方法计算:
Lc,m=(Lm-Vm)2=Δm 2
其中,Δm为总奖励和总评价差异。
7.如权利要求5所述的基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其特征在于,所述演员网络更新误差La,m按照如下方法计算:
La,m=-log(π(am|·))Δm-βH(·)
其中,am代表演员网络在第m个数据包处执行的动作,π(am|·)表示演员网络在第m个数据包处输出的动作分布,β为熵值的权重,用来控制熵对于该损失函数的重要程度,H(·)表示计算动作分布π(ai|sm;θm)的熵值,Δm为总奖励和总评价差异;其中
Figure FDA0003538861600000031
其中,ai表示第i个可供选择的动作,sm表示当前作为输入的第m个网络流量数据包的特征向量,θm表示演员网络当前的内部参数,π(ai|sm;θm)表示演员网络在第m个数据包处产生的动作分布。
8.如权利要求6或7所述的基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其特征在于,所述总奖励和总评价差异Δm,按照如下方法计算:
Δm=Lm-Vm
其中,Lm为入侵检测系统对第m个网络流量数据包进行训练的总奖励,包括网络流量质量判别器的性能奖励
Figure FDA0003538861600000032
以及网络流量数据包选择奖励
Figure FDA0003538861600000033
Vm为入侵检测系统网络对第m个网络流量数据包进行训练的总评价,包括网络流量质量判别器的性能评价
Figure FDA0003538861600000034
以及网络流量数据包选择评价
Figure FDA0003538861600000035
所述入侵检测系统对第m个网络流量数据包进行训练的总奖励Lm,按照如下方法计算:
Figure FDA0003538861600000036
其中,αL为奖励调节超参数;
Figure FDA0003538861600000037
为网络流量质量判别器的性能奖励,表征在第m个数据包后网络流量质量判别器后续作出的判断与真实的训练数据集标签的差值情况;
Figure FDA0003538861600000038
为网络流量数据包选择奖励,表征第m个数据包对后面数据包选择与否的衡量值;分别按照如下方法计算:
Figure FDA0003538861600000039
Figure FDA0003538861600000041
其中,M表示所述批次的网络流量特征数据中网络流量数据包的总数量,yi表示第i个网络流量数据包真实的训练数据集标签,
Figure FDA0003538861600000042
为第i个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果;Ii表示如果选择了第i个数据包,则值为0,否则值为1;下标i表示第i个数据包;
所述入侵检测系统网络对第m个网络流量数据包进行训练的总评价Vm,按照如下方法计算:
Figure FDA0003538861600000043
其中αv为评价调节超参数;
Figure FDA0003538861600000044
为网络流量质量判别器的性能评价,为批评家网络的输出;
Figure FDA0003538861600000045
为网络流量数据包选择评价,为批评家网络的输出。
9.如权利要求5所述的基于抽样的边缘计算架构物联网入侵检测系统的更新方法,其特征在于,所述网络流量质量判别器的损失值Lossm按照如下方法计算:
Figure FDA0003538861600000046
其中,ym表示第m个网络流量数据包真实的训练数据集标签,
Figure FDA0003538861600000047
为第m个网络流量质量判别器输出的网络流量数据包是否恶意的判断结果。
10.一种基于抽样的边缘计算架构物联网入侵检测方法,其特征在于,包括以下步骤:
检测数据采集:采集网络流量数据,并提取其网络流量特征,预处理为特定大小的成批次的网络数据流量包特征向量;
抽样:将采集的待检测数据输入到如权利要求1至4任意一项所述的基于抽样的边缘计算架构物联网入侵检测系统,流量数据包选择网络按回合选择的网络流量数据包特征向量;
检测:将流量数据包选择网络选择的网络流量数据包特征向量采用网络流量质量判别器判断所述网络流量数据包是否包含恶意;并根据该批次所有回合的判断结果确定所述批次的网络数据流量包是否恶意。
CN202210225016.7A 2022-03-09 2022-03-09 一种基于抽样的边缘计算架构物联网入侵检测系统及方法 Active CN114500102B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210225016.7A CN114500102B (zh) 2022-03-09 2022-03-09 一种基于抽样的边缘计算架构物联网入侵检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210225016.7A CN114500102B (zh) 2022-03-09 2022-03-09 一种基于抽样的边缘计算架构物联网入侵检测系统及方法

Publications (2)

Publication Number Publication Date
CN114500102A true CN114500102A (zh) 2022-05-13
CN114500102B CN114500102B (zh) 2024-02-13

Family

ID=81485539

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210225016.7A Active CN114500102B (zh) 2022-03-09 2022-03-09 一种基于抽样的边缘计算架构物联网入侵检测系统及方法

Country Status (1)

Country Link
CN (1) CN114500102B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111444821A (zh) * 2020-03-24 2020-07-24 西北工业大学 一种城市道路标志自动识别方法
CN111600851A (zh) * 2020-04-27 2020-08-28 浙江工业大学 面向深度强化学习模型的特征过滤防御方法
US20200301924A1 (en) * 2019-03-20 2020-09-24 Guangdong University Of Technology Method for constructing sql statement based on actor-critic network
US20200374310A1 (en) * 2020-08-11 2020-11-26 Intel Corporation Protection from network initiated attacks
CN112382097A (zh) * 2020-11-27 2021-02-19 佛山市墨纳森智能科技有限公司 一种基于动态交通流的城市道路监管方法、系统及可读存储介质
CN113179263A (zh) * 2021-04-25 2021-07-27 周口师范学院 一种网络入侵检测方法、装置及设备
CN113283476A (zh) * 2021-04-27 2021-08-20 广东工业大学 一种物联网网络入侵检测方法
CN113660273A (zh) * 2021-08-18 2021-11-16 国家电网公司东北分部 超融合架构下基于深度学习的入侵检测方法及装置
KR102354467B1 (ko) * 2021-06-25 2022-01-24 영남대학교 산학협력단 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200301924A1 (en) * 2019-03-20 2020-09-24 Guangdong University Of Technology Method for constructing sql statement based on actor-critic network
CN111444821A (zh) * 2020-03-24 2020-07-24 西北工业大学 一种城市道路标志自动识别方法
CN111600851A (zh) * 2020-04-27 2020-08-28 浙江工业大学 面向深度强化学习模型的特征过滤防御方法
US20200374310A1 (en) * 2020-08-11 2020-11-26 Intel Corporation Protection from network initiated attacks
CN112382097A (zh) * 2020-11-27 2021-02-19 佛山市墨纳森智能科技有限公司 一种基于动态交通流的城市道路监管方法、系统及可读存储介质
CN113179263A (zh) * 2021-04-25 2021-07-27 周口师范学院 一种网络入侵检测方法、装置及设备
CN113283476A (zh) * 2021-04-27 2021-08-20 广东工业大学 一种物联网网络入侵检测方法
KR102354467B1 (ko) * 2021-06-25 2022-01-24 영남대학교 산학협력단 패킷에 대한 판단 지연을 이용한 네트워크 침입탐지 시스템
CN113660273A (zh) * 2021-08-18 2021-11-16 国家电网公司东北分部 超融合架构下基于深度学习的入侵检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈良臣;: "高速网络入侵检测中流量数据约简研究", 现代电子技术, no. 16 *

Also Published As

Publication number Publication date
CN114500102B (zh) 2024-02-13

Similar Documents

Publication Publication Date Title
Zhang et al. Solving dynamic traveling salesman problems with deep reinforcement learning
WO2018076571A1 (zh) Lte网络中的异常值检测方法及系统
US20030004902A1 (en) Outlier determination rule generation device and outlier detection device, and outlier determination rule generation method and outlier detection method thereof
CN112396160A (zh) 基于图神经网络的交易欺诈检测方法及系统
CN110166344B (zh) 一种身份标识识别方法、装置以及相关设备
CN110602105A (zh) 一种基于k-means的大规模并行化网络入侵检测方法
CN113364751A (zh) 网络攻击预测方法、计算机可读存储介质及电子设备
CN111046303A (zh) 一种热点区域的自动检测方法、装置及系统
CN114372803A (zh) 一种基于交易图谱的快速反洗钱检测方法
CN111224984B (zh) 一种基于数据挖掘算法的Snort改进方法
CN112491891A (zh) 物联网环境下基于混合深度学习的网络攻击检测方法
CN112364304A (zh) 一种区块链的日蚀攻击检测方法及装置
CN116506181A (zh) 一种基于异构图注意力网络的车联网入侵检测方法
CN115293235A (zh) 建立风险识别模型的方法及对应装置
Muhati et al. Asynchronous advantage actor-critic (a3c) learning for cognitive network security
Hu et al. A Network Security Situation Prediction Method Based on Attention-CNN-BiGRU
CN114500102A (zh) 一种基于抽样的边缘计算架构物联网入侵检测系统及方法
CN117580046A (zh) 一种基于深度学习的5g网络动态安全能力调度方法
CN116916317A (zh) 一种基于大白鲨和随机森林的入侵检测方法
CN116597197A (zh) 一种自适应消除分类负梯度的长尾目标检测方法
Shafiq et al. Identification of attack traffic using machine learning in smart IOT Networks
Chao et al. Research on network intrusion detection technology based on dcgan
CN114925938A (zh) 一种基于自适应svm模型的电能表运行状态预测方法、装置
CN111556017B (zh) 一种基于自编码机的网络入侵检测方法及电子装置
CN116599683A (zh) 一种恶意流量检测方法、系统、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant