CN116527329A - 一种基于机器学习的入侵检测方法及系统 - Google Patents

一种基于机器学习的入侵检测方法及系统 Download PDF

Info

Publication number
CN116527329A
CN116527329A CN202310390306.1A CN202310390306A CN116527329A CN 116527329 A CN116527329 A CN 116527329A CN 202310390306 A CN202310390306 A CN 202310390306A CN 116527329 A CN116527329 A CN 116527329A
Authority
CN
China
Prior art keywords
cluster head
cluster
head node
flow
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310390306.1A
Other languages
English (en)
Other versions
CN116527329B (zh
Inventor
卢志海
王斌
欧阳暖清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong College of Industry and Commerce
Original Assignee
Guangdong College of Industry and Commerce
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong College of Industry and Commerce filed Critical Guangdong College of Industry and Commerce
Priority to CN202310390306.1A priority Critical patent/CN116527329B/zh
Publication of CN116527329A publication Critical patent/CN116527329A/zh
Application granted granted Critical
Publication of CN116527329B publication Critical patent/CN116527329B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络入侵检测技术领域,尤其是涉及一种基于机器学习的入侵检测方法及系统,该方法包括如下步骤S100:将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;S200:采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;S300:搜索簇头节点的最近一个强信号时长TH;S400:通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;S500:以预测流量标记出各个簇区中的入侵风险簇区;S600:断开入侵风险簇区的路由通信,本发明通过入侵约束值能够准确的检测网络攻击,能够提高入侵检测的速度,极大的减少了虚假报警和入侵识别错误率。

Description

一种基于机器学习的入侵检测方法及系统
技术领域
本发明涉及网络入侵检测技术领域,尤其是涉及一种基于机器学习的入侵检测方法及系统。
背景技术
目前的网络入侵方式日趋灵活,但是目前几乎没有结合网络环境来监测入侵的方法,例如无法结合网络的拓扑、网络流量、主机系统信息等进行检测,单纯通过白名单的方式会出现大量的误报,而且在大量还原解析数据包的过程中,会出现海量的数据包还原和解释的运算,从而给服务器端造成极大的压力,降低了系统的性能,而结合网络环境的方法,例如专利公开号为CN114785703A的发明专利,通过物联网各节点与基站之间的信号强度构建网络连通图,对图卷积网络模型进行训练得到训练好的模型,通过训练好的模型对各个节点的出入流量进行预测得到各个节点的预测流量,尽管能避免在由于局部数据拥塞导致的物联网数据传输高延迟问题,但是其并无法实现入侵检测,系统的安全性难以得到保障。
发明内容
本发明为克服上述情况不足,旨在提供一种能解决上述问题的技术方案。
一种基于机器学习的入侵检测方法,包括如下步骤:
S100:将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;
S200:采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;
S300:搜索簇头节点的最近一个强信号时长TH;
S400:通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;
S500:以预测流量标记出各个簇区中的入侵风险簇区;
S600:断开入侵风险簇区的路由通信。
作为本发明进一步的方案:在S100中,通过HEED算法或者GAF算法进行网络分簇,物联网中的各个簇头节点之间通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法生成路由路径,通过路由路径与基站进行通信。
作为本发明进一步的方案:在S200中,采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型的方法如下:
采集预设时间内物联网中各个簇头节点的网络流量;将采集到的网络流量采用留出法或交叉验证法划分训练集和测试集,通过训练集对机器学习模型进行训练,并采用测试集进行测试,训练并测试完成后,得到流量模型。
其中,预设时间为12-24小时,机器学习模型为支持向量机模型、深度强化学习模型、决策树模型或卷积神经网络模型中任意一种,各个簇头节点的网络流量为物联网中各个簇区内簇头节点与各普通节点之间的通信的网络流量或者数据包的数量。
作为本发明进一步的方案:在S300中,搜索簇头节点的最近一个强信号时长TH的方法如下:
在簇头节点对应的簇区内的所有普通节点中选取与簇头节点之间的网络流量最大的普通节点标记为待测节点;逆时间顺序依次搜索待测节点与簇头节点之间的历史的信号强度值最大的时刻为强信号时刻,以当前时刻到强信号时刻之间的时长为强信号时长TH。
作为本发明进一步的方案:在S500中,以预测流量标记出各个簇区中的入侵风险簇区的方法如下:
S501:以物联网中簇头节点的数量为N,以i为簇头节点的序号,i∈[1,N],获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的预测流量Pre(i);获取物联网中第i个簇头节点的最近一个强信号时长TH内的网络流量为实际流量Real(i),或者,获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的网络流量为实际流量Real(i);
S502:计算第i个簇头节点的入侵约束值DS(i);
S503:计算所有簇头节点的入侵约束值的平均值为MeanDS,在i的取值范围内依次扫描各个簇区中的簇头节点的入侵约束值是否大于或等于MeanDS,如果是,则标记该簇头节点所对应的簇区为入侵风险簇区。
作为本发明进一步的方案:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
其中,max{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最大的实际流量,min{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最小的实际流量,i1为变量。
作为本发明进一步的方案:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
其中,max{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最大的实际流量,min{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最小的实际流量,i1为变量。
作为本发明进一步的方案:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
计算第i个簇头节点的预测出入比IOV(i),
计算第i个簇头节点的入侵约束值DS(i),
DS(i)=exp(-(Pre(l)+(IOV(l)-1))2)
其中exp为指数函数,i2为变量。
作为本发明进一步的方案:在S600中,断开入侵风险簇区的路由通信的方法如下:
由于物联网中的各个簇头节点之间通过路由路径与基站进行通信,当存在入侵风险簇区时,以所有簇头节点为簇头集合,在簇头集合中去除入侵风险簇区对应的簇头节点获得簇头子集,并且通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法重新生成簇头子集的路由路径,从而断开入侵风险簇区的路由通信。
本发明还提供一种基于机器学习的入侵检测系统,包括处理器、存储器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述基于机器学习的入侵检测方法,处理器执行计算机程序运行在以下系统的单元中:
物联网分簇单元,用于将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;
模型训练单元,用于采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;
强信号搜索单元,用于搜索簇头节点的最近一个强信号时长TH;
流量预测单元,用于通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;
风险簇区标记单元,用于以预测流量标记出各个簇区中的入侵风险簇区;
风险簇区断开单元,用于断开入侵风险簇区的路由通信。
与现有技术相比,本发明的有益效果是:本发明提供一种基于机器学习的入侵检测方法及系统,能够间接的通过入侵约束值以簇区内异常的高频流量异常以识别出入侵风险较大的物联网的簇区,通过入侵约束值能够准确的检测网络攻击,该数学模型计算代价低,能够提高入侵检测的速度,流量特征提取简单,系统资源的占用率代价低,极大的减少了虚假报警和入侵识别错误率。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1所示为一种基于机器学习的入侵检测方法的流程图。
图2所示为一种基于机器学习的入侵检测系统结构图。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明实施例中,一种基于机器学习的入侵检测方法,包括如下步骤:
S100:将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;
S200:采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;
S300:搜索簇头节点的最近一个强信号时长TH;
S400:通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;
S500:以预测流量标记出各个簇区中的入侵风险簇区;
S600:断开入侵风险簇区的路由通信。
在S100中,通过HEED算法或者GAF算法进行网络分簇,物联网中的各个簇头节点之间通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法生成路由路径,通过路由路径与基站进行通信,物联网为无线传感器网络或者由多个无线物联网终端构成的无线网络,节点为无线传感器网络的节点或者无线物联网终端。
在S200中,采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型的方法如下:
采集预设时间内物联网中各个簇头节点的网络流量;将采集到的网络流量采用留出法或交叉验证法划分训练集和测试集,通过训练集对机器学习模型进行训练,并采用测试集进行测试,训练并测试完成后,得到流量模型。
其中,预设时间为12-24小时,机器学习模型为支持向量机模型、深度强化学习模型、决策树模型或卷积神经网络模型中任意一种,各个簇头节点的网络流量为物联网中各个簇区内簇头节点与各普通节点之间的通信的网络流量或者数据包的数量。
在S300中,搜索簇头节点的最近一个强信号时长TH的方法如下:
在簇头节点对应的簇区内的所有普通节点中选取与簇头节点之间的网络流量最大的普通节点标记为待测节点;逆时间顺序依次搜索待测节点与簇头节点之间的历史的信号强度值最大的时刻为强信号时刻,以当前时刻到强信号时刻之间的时长为强信号时长TH。
其中,强信号时长是簇头节点对应的簇区内最近一次高信号强度的时间长度,根据入侵检测的特性,在遭受网络入侵时,被入侵的网络具体表现为局部流量异常,尤其是信号强度最大的节点的网络流量一般是出现局部流量增大的现象,因此通过强信号时长能够表现出可能该簇区被入侵的位置和时间,为了引入局部的网络流量的优选方案如下:
获取簇头节点与该簇头节点所在簇区中各个普通节点的信号强度值的平均值RSSIAVE,如果在该簇区内首次有普通节点与簇头节点之间的信号强度值大于或等于RSSIAVE,和/或,在该簇区内的所有普通节点中该普通节点与簇头节点之间的网络流量最大,则将该普通节点与簇头节点之间的网络流量记为RECV,逆时间顺序依次搜索该普通节点与簇头节点的之间的历史的网络流量RECV(t),如果搜索到RECV(t)>RECV(t+1)且RECV(t)>RECV(t-1)时,则标记此时的t时刻为后标时刻t1;从t1时刻开始再次逆时间顺序依次搜索该普通节点与簇头节点的之间的历史的网络流量RECV(t),如果再次搜索到RECV(t)>RECV(t+1)且RECV(t)>RECV(t-1)时,则标记此时的t时刻为后标时刻t2;则以t2到t1之间的时长为强信号时长TH,其中,RECV(t)是该普通节点与簇头节点的之间在t时刻的网络流量,RECV(t-1)是该普通节点与簇头节点的之间在t-1时刻(t时刻的前一个采集时刻)的网络流量,RECV(t+1)是该普通节点与簇头节点的之间在t+1时刻(t时刻的后一个采集时刻)的网络流量。
其中,由于被入侵的网络具体表现为局部流量异常,尤其是信号强度最大的节点的网络流量一般是出现局部流量增大的现象,因此为了能够准确的标记出物联网的簇区可能的被入侵的位置和时间,提供了以下方案:
在S500中,以预测流量标记出各个簇区中的入侵风险簇区的方法如下:
S501:以物联网中簇头节点的数量为N,以i为簇头节点的序号,i∈[1,N],获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的预测流量Pre(i);获取物联网中第i个簇头节点的最近一个强信号时长TH内的网络流量为实际流量Real(i),或者,获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的网络流量为实际流量Real(i);
S502:计算第i个簇头节点的入侵约束值DS(i);
S503:计算所有簇头节点的入侵约束值的平均值为MeanDS,在i的取值范围内依次扫描各个簇区中的簇头节点的入侵约束值是否大于或等于MeanDS,如果是,则标记该簇头节点所对应的簇区为入侵风险簇区。
在S502中,有三种计算第i个簇头节点的入侵约束值DS(i)的方法,第一种计算第i个簇头节点的入侵约束值DS(i)的方法如下:
其中,max{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最大的实际流量,min{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最小的实际流量,i1为变量。
第二种计算第i个簇头节点的入侵约束值DS(i)的方法如下:
其中,max{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最大的实际流量,min{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最小的实际流量,i1为变量。
第三种计算第i个簇头节点的入侵约束值DS(i)的方法如下:
计算第i个簇头节点的预测出入比IOV(i),
计算第i个簇头节点的入侵约束值DS(i),
DS(i)=exp(-(Pre(l)+(IOV(l)-1))2)
其中exp为指数函数,i2为变量。
在S600中,断开入侵风险簇区的路由通信的方法如下:
由于物联网中的各个簇头节点之间通过路由路径与基站进行通信,当存在入侵风险簇区时,以所有簇头节点为簇头集合,在簇头集合中去除入侵风险簇区对应的簇头节点获得簇头子集,并且通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法重新生成簇头子集的路由路径,从而断开入侵风险簇区的路由通信。
请参阅图2,本发明还提供一种基于机器学习的入侵检测系统,包括处理器、存储器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述基于机器学习的入侵检测方法,处理器执行计算机程序运行在以下系统的单元中:
物联网分簇单元,用于将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;
模型训练单元,用于采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;
强信号搜索单元,用于搜索簇头节点的最近一个强信号时长TH;
流量预测单元,用于通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;
风险簇区标记单元,用于以预测流量标记出各个簇区中的入侵风险簇区;
风险簇区断开单元,用于断开入侵风险簇区的路由通信。
一种基于机器学习的入侵检测系统可以运行于桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备中;一种基于机器学习的入侵检测系统,可运行的系统可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上诉例子仅仅是一种基于机器学习的入侵检测系统的示例,并不构成对一种基于机器学习的入侵检测系统的限定,可以包括比上诉例子更多或更少的部件,或者组合某些部件,或者不同的部件,例如一种基于机器学习的入侵检测系统还可以包括输入输出设备、网络接入设备、总线等。
处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、其他可编程逻辑器件、分立门、晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是一种基于机器学习的入侵检测系统运行系统的控制中心,利用各种接口和线路连接整个一种基于机器学习的入侵检测系统可运行系统的各个部分。
存储器可用于存储所述计算机程序和/或模块,处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现一种基于机器学习的入侵检测系统的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。

Claims (10)

1.一种基于机器学习的入侵检测方法,其特征在于,包括如下步骤:
S100:将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;
S200:采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;
S300:搜索簇头节点的最近一个强信号时长TH;
S400:通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;
S500:以预测流量标记出各个簇区中的入侵风险簇区;
S600:断开入侵风险簇区的路由通信。
2.根据权利要求1所述的基于机器学习的入侵检测方法,其特征在于:在S100中,通过HEED算法或者GAF算法进行网络分簇,物联网中的各个簇头节点之间通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法生成路由路径,通过路由路径与基站进行通信。
3.根据权利要求1所述的基于机器学习的入侵检测方法,其特征在于:在S200中,采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型的方法如下:
采集预设时间内物联网中各个簇头节点的网络流量;将采集到的网络流量采用留出法或交叉验证法划分训练集和测试集,通过训练集对机器学习模型进行训练,并采用测试集进行测试,训练并测试完成后,得到流量模型。
其中,预设时间为12-24小时,机器学习模型为支持向量机模型、深度强化学习模型、决策树模型或卷积神经网络模型中任意一种,各个簇头节点的网络流量为物联网中各个簇区内簇头节点与各普通节点之间的通信的网络流量或者数据包的数量。
4.根据权利要求1所述的基于机器学习的入侵检测方法,其特征在于:在S300中,搜索簇头节点的最近一个强信号时长TH的方法如下:
在簇头节点对应的簇区内的所有普通节点中选取与簇头节点之间的网络流量最大的普通节点标记为待测节点;逆时间顺序依次搜索待测节点与簇头节点之间的历史的信号强度值最大的时刻为强信号时刻,以当前时刻到强信号时刻之间的时长为强信号时长TH。
5.根据权利要求1所述的基于机器学习的入侵检测方法,其特征在于:在S500中,以预测流量标记出各个簇区中的入侵风险簇区的方法如下:
S501:以物联网中簇头节点的数量为N,以i为簇头节点的序号,i∈[1,N],获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的预测流量Pre(i);获取物联网中第i个簇头节点的最近一个强信号时长TH内的网络流量为实际流量Real(i),或者,获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的网络流量为实际流量Real(i);
S502:计算第i个簇头节点的入侵约束值DS(i);
S503:计算所有簇头节点的入侵约束值的平均值为MeanDS,在i的取值范围内依次扫描各个簇区中的簇头节点的入侵约束值是否大于或等于MeanDS,如果是,则标记该簇头节点所对应的簇区为入侵风险簇区。
6.根据权利要求5所述的基于机器学习的入侵检测方法,其特征在于:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
其中,max{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最大的实际流量,min{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最小的实际流量,i1为变量。
7.根据权利要求5所述的基于机器学习的入侵检测方法,其特征在于:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
其中,max{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最大的实际流量,min{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最小的实际流量,i1为变量。
8.根据权利要求5所述的基于机器学习的入侵检测方法,其特征在于:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
计算第i个簇头节点的预测出入比IOV(i),
计算第i个簇头节点的入侵约束值DS(i),
DS(i)=exp(-(Pre(l)+(IOV(l)-1))2)
其中exp为指数函数,i2为变量。
9.根据权利要求2所述的基于机器学习的入侵检测方法,其特征在于:在S600中,断开入侵风险簇区的路由通信的方法如下:
由于物联网中的各个簇头节点之间通过路由路径与基站进行通信,当存在入侵风险簇区时,以所有簇头节点为簇头集合,在簇头集合中去除入侵风险簇区对应的簇头节点获得簇头子集,并且通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法重新生成簇头子集的路由路径,从而断开入侵风险簇区的路由通信。
10.一种基于机器学习的入侵检测系统,其特征在于:包括处理器、存储器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现权利要求1-9中任意一项所述的基于机器学习的入侵检测方法,处理器执行计算机程序运行在以下系统的单元中:
物联网分簇单元,用于将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;
模型训练单元,用于采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;
强信号搜索单元,用于搜索簇头节点的最近一个强信号时长TH;
流量预测单元,用于通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;
风险簇区标记单元,用于以预测流量标记出各个簇区中的入侵风险簇区;
风险簇区断开单元,用于断开入侵风险簇区的路由通信。
CN202310390306.1A 2023-04-12 2023-04-12 一种基于机器学习的入侵检测方法及系统 Active CN116527329B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310390306.1A CN116527329B (zh) 2023-04-12 2023-04-12 一种基于机器学习的入侵检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310390306.1A CN116527329B (zh) 2023-04-12 2023-04-12 一种基于机器学习的入侵检测方法及系统

Publications (2)

Publication Number Publication Date
CN116527329A true CN116527329A (zh) 2023-08-01
CN116527329B CN116527329B (zh) 2023-11-17

Family

ID=87403840

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310390306.1A Active CN116527329B (zh) 2023-04-12 2023-04-12 一种基于机器学习的入侵检测方法及系统

Country Status (1)

Country Link
CN (1) CN116527329B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932794A (zh) * 2012-11-01 2013-02-13 中国科学院信息工程研究所 一种分簇自组织网络中黑洞攻击检测方法
CN112532643A (zh) * 2020-12-07 2021-03-19 长春工程学院 基于深度学习的流量异常检测方法、系统、终端及介质
CN113408609A (zh) * 2021-06-17 2021-09-17 武汉卓尔信息科技有限公司 一种网络攻击检测方法及系统
CN114401145A (zh) * 2022-01-20 2022-04-26 北京邮电大学 一种网络流量检测系统及方法
CN114710325A (zh) * 2022-03-17 2022-07-05 广州杰赛科技股份有限公司 网络入侵检测模型的构建方法、装置、设备及存储介质
WO2022263884A1 (en) * 2021-06-15 2022-12-22 Telefonaktiebolaget Lm Ericsson (Publ) Security for iot platform built on a wireless sensor network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932794A (zh) * 2012-11-01 2013-02-13 中国科学院信息工程研究所 一种分簇自组织网络中黑洞攻击检测方法
CN112532643A (zh) * 2020-12-07 2021-03-19 长春工程学院 基于深度学习的流量异常检测方法、系统、终端及介质
WO2022263884A1 (en) * 2021-06-15 2022-12-22 Telefonaktiebolaget Lm Ericsson (Publ) Security for iot platform built on a wireless sensor network
CN113408609A (zh) * 2021-06-17 2021-09-17 武汉卓尔信息科技有限公司 一种网络攻击检测方法及系统
CN114401145A (zh) * 2022-01-20 2022-04-26 北京邮电大学 一种网络流量检测系统及方法
CN114710325A (zh) * 2022-03-17 2022-07-05 广州杰赛科技股份有限公司 网络入侵检测模型的构建方法、装置、设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
田伟宏;李喜旺;司志坚;: "基于长短期记忆网络的工控网络异常流量检测", 计算机系统应用, no. 09 *

Also Published As

Publication number Publication date
CN116527329B (zh) 2023-11-17

Similar Documents

Publication Publication Date Title
CN112953924B (zh) 网络异常流量检测方法、系统、存储介质、终端及应用
CN113470695B (zh) 声音异常检测方法、装置、计算机设备及存储介质
CN113469234A (zh) 一种基于免模型联邦元学习的网络流量异常检测方法
US20210360406A1 (en) Internet-of-things device classifier
CN110602120B (zh) 一种面向网络的入侵数据检测方法
JP7268756B2 (ja) 劣化抑制プログラム、劣化抑制方法および情報処理装置
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
US11972334B2 (en) Method and apparatus for generating a combined isolation forest model for detecting anomalies in data
CN115270954A (zh) 基于异常节点识别的无监督的apt攻击检测方法和系统
CN111224984B (zh) 一种基于数据挖掘算法的Snort改进方法
CN111159508A (zh) 一种基于算法多样性的异常检测算法集成方法及系统
CN105678333B (zh) 一种拥挤区域的确定方法和装置
CN110113368A (zh) 一种基于子轨迹模式的网络行为异常检测方法
Ramírez et al. Explainable machine learning for performance anomaly detection and classification in mobile networks
CN113923014A (zh) 一种基于k近邻法的车载总线网络异常检测方法
CN116527329B (zh) 一种基于机器学习的入侵检测方法及系统
Qiu et al. Abnormal traffic detection method of internet of things based on deep learning in edge computing environment
CN112422546A (zh) 一种基于变邻域算法和模糊聚类的网络异常检测方法
CN110770753B (zh) 高维数据实时分析的装置和方法
CN114554521B (zh) 针对多路径传输协议的子流共享带宽瓶颈检测方法和装置
CN115766176A (zh) 网络流量处理方法、装置、设备及存储介质
Prerau et al. Unsupervised anomaly detection using an optimized K-nearest neighbors algorithm
CN114972781A (zh) 聚档优化方法、电子设备及计算机可读存储介质
CN112989869B (zh) 人脸质量检测模型的优化方法、装置、设备及存储介质
CN115150165B (zh) 一种流量识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant