CN117240524A - 一种基于混合模型的物联网入侵检测方法及系统 - Google Patents
一种基于混合模型的物联网入侵检测方法及系统 Download PDFInfo
- Publication number
- CN117240524A CN117240524A CN202311136310.1A CN202311136310A CN117240524A CN 117240524 A CN117240524 A CN 117240524A CN 202311136310 A CN202311136310 A CN 202311136310A CN 117240524 A CN117240524 A CN 117240524A
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- data
- model
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 108
- 238000012549 training Methods 0.000 claims abstract description 74
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 57
- 238000012360 testing method Methods 0.000 claims abstract description 28
- 238000007781 pre-processing Methods 0.000 claims abstract description 27
- 238000007637 random forest analysis Methods 0.000 claims abstract description 23
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 16
- 238000001914 filtration Methods 0.000 claims abstract description 16
- 230000002159 abnormal effect Effects 0.000 claims abstract description 5
- 238000000034 method Methods 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 10
- 230000004913 activation Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 8
- 239000000203 mixture Substances 0.000 claims description 6
- 238000003064 k means clustering Methods 0.000 claims description 5
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 230000006855 networking Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 230000000875 corresponding effect Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000003066 decision tree Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于混合模型的物联网入侵检测方法及系统,属于网络安全技术领域,包括:对物联网输入数据进行预处理,得到物联网预处理数据;采用信息增益算法和快速过滤算法对物联网预处理数据进行特征选取,获得目标特征数据;基于特征模型的随机森林算法对目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;将待检测物联网输入数据输入混合物联网入侵检测模型,输出物联网入侵检测结果。本发明通过应用混合的物联网入侵检测模型,相对于单一的检测模型,混合模型既可以达到检测效率高的目标,又可以检测未知攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于混合模型的物联网入侵检测方法及系统。
背景技术
物联网的快速发展推动了各种智慧城市应用的普及。如今,物联网设备(如智能家居设备、车联网、工业设备等)接入互联网已成为必然趋势。然而,由于硬件资源有限,缺乏安全基础,这些设备很容易受到网络攻击。一方面,黑客可以通过互联网远程访问来控制这些物联网设备。另一方面,大量物联网设备应用未加密的通信协议,为黑客拦截和篡改数据提供了可乘之机。
在物联网安全态势下,单个设备的漏洞很可能成为危及物联网安全的突破口。另外,利用设备的安全漏洞,黑客还可以破坏控制设备的软件,导致设备成为僵尸机,数据丢失,系统故障,甚至个人关键信息的泄露。大多数物联网设备缺乏安全保护,因此容易受到来自网络层的攻击。这些来自网络层的攻击中拒绝服务和僵尸网络攻击由于攻击规模大、隐蔽性强,危害更大。通过这些攻击,物联网设备被黑客攻击,可能表现异常。一旦黑客掌握了对它们的控制权,由此带来的危害将是灾难性的。为了保护物联网及其设备,目前较为有效的措施之一是在物联网网络上建立入侵检测系统。作为入侵检测系统中表现较好的一类,基于人工智能的入侵检测系统可以有效地检测网络流量和区分恶意流量。根据检测方法,入侵检测系统分为混合型,基于特征的检测和基于异常的检测。虽然基于特征的入侵检测系统可以高精度地检测已知的攻击,但是它不能检测未知的和新的(零日)攻击。同时,基于异常的入侵检测系统的主要缺点是误报率高。
近年来,机器学习技术的兴起促进了入侵检测系统的发展。许多入侵检测系统与相关的机器学习技术相结合,以提高检测效率和准确性。例如,有许多有监督学习算法,如支持向量机、极端梯度提升和梯度提升决策树等在系统中应用。这些算法都属于单分类器模型,有各自的缺点。支持向量机不适合大规模训练数据集,难以解决多分类问题。极端梯度提升不适合处理超高维特征数据。梯度提升决策树容易过拟合,忽略数据集中要素的相关性。
针对上述各类检测方法存在的缺陷,需要提出能结合各检测方法优势的综合检测方法,以应对日益复杂的物联网入侵检测场景。
发明内容
本发明提供一种基于混合模型的物联网入侵检测方法及系统,用以解决现有技术中针对物联网入侵检测单独应用各检测方法存在的缺陷。
第一方面,本发明提供一种基于混合模型的物联网入侵检测方法,包括:
获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;
采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;
基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;
将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
根据本发明提供的一种基于混合模型的物联网入侵检测方法,获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据,包括:
对所述物联网输入数据进行独热编码,得到独热编码数据;
由所述独热编码数据、所述独热编码数据的邻居数据帧和预设随机数,得到过采样处理数据;
通过特征平均值和特征值标准偏差对所述过采样处理数据进行标准化处理,得到标准化数据;
基于K均值聚类算法处理所述标准化数据,得到所述物联网预处理数据。
根据本发明提供的一种基于混合模型的物联网入侵检测方法,采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据,包括:
确定所述物联网预处理数据的目标变量信息和特征变量信息;
由发送目标变量信息之前的不确定度减去接收特征变量信息的后验不确定度,得到目标变量信息和特征变量信息之间的信息增益;
由所述信息增益、所述发送目标变量信息之前的不确定度和发送特征变量信息之前的不确定度,得到目标变量信息和特征变量信息之间的不确定相关性;
采用贝叶斯优化-高斯过程确定预设特征相关度阈值,筛选出大于所述预设特征相关度阈值的特征变量信息;
将所述不确定相关性按照从大到小降序排列,依次计算每个特征变量信息以及小于所述不确定性的所有其他特征变量信息之间的不确定相关性;
将所述所有其他特征变量信息之间的不确定相关性中大于所有其他特征变量信息与特征变量信息之间的不确定相关性所对应的特征变量信息,得到所述目标特征数据。
根据本发明提供的一种基于混合模型的物联网入侵检测方法,基于特征模型的随机森林算法对所述目标特征数据进行训练学习,包括:
从所述目标特征数据中随机抽取若干个训练样本,由所述若干个训练样本训练构成子模型;
采用投票方式确定得票最多的子模型对应的分类结果作为分类结果;
利用所述随机森林算法标记所述分类结果,得到正常流量分类结果、已知的恶意流量分类结果和未知的恶意流量分类结果。
根据本发明提供的一种基于混合模型的物联网入侵检测方法,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,包括:
将所述未知的恶意流量分类结果依次输入至卷积神经网络的卷积核和预设激活函数进行处理,确定保留数据以及丢弃数据;
将保留数据以及丢弃数据中的时序信息输入至长短时记忆网络的全连接层和预设激活函数进行处理,得到最终流量分类结果。
根据本发明提供的一种基于混合模型的物联网入侵检测方法,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型,包括:
获取NSL-KDD数据集、CICIDS2018数据集和Bot-IoT数据集;
基于预设划分比例分别将所述NSL-KDD数据集、所述CICIDS2018数据集和所述Bot-IoT数据集划分为训练集、验证集和测试集;
采用所述训练集、所述验证集和所述测试集进行训练和测试,获得所述混合物联网入侵检测模型。
第二方面,本发明还提供一种基于混合模型的物联网入侵检测系统,包括:
预处理模块,用于获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;
选取模块,用于采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;
训练模块,用于基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;
处理模块,用于将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
第三方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于混合模型的物联网入侵检测方法。
第四方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于混合模型的物联网入侵检测方法。
第五方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述基于混合模型的物联网入侵检测方法。
本发明提供的基于混合模型的物联网入侵检测方法及系统,通过应用混合的物联网入侵检测模型,相对于单一的检测模型,混合模型既可以达到检测效率高的目标,又可以检测未知攻击。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的物联网入侵检测系统应用场景图;
图2是本发明提供的基于混合模型的物联网入侵检测方法的流程示意图之一;
图3是本发明提供的基于混合模型的物联网入侵检测方法的流程示意图之二;
图4是本发明提供的基于特征模型结构图;
图5是本发明提供的基于异常模型结构图;
图6是本发明提供的基于混合模型的物联网入侵检测系统的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着物联网技术的普及,大量设备接入网络,物联网通过多样化的网络连接传输数据,实现远程控制和维护的功能。虽然物联网给人们带来了极大的便利,但物联网及其设备被攻击的概率也在大幅增加。物联网设备和网络容易受到拒绝服务攻击和僵尸网络攻击。为了防御这些攻击,通常将物联网入侵检测系统设置在控制中心和网关连接处,原因主要有:1)因为大多数黑客利用远程攻击(非法访问、假冒攻击、拒绝服务攻击等)来获得对物联网设备的控制,所以应特别注意来自外部网络的流量。该系统需要具备检测来自外部网络流量的能力。2)由于黑客可以通过入侵设备实体(暴力、非法访问等)来危害物联网网络,因此该系统也需要检测来自内部网络的流量。3)一旦该系统检测到恶意流量,就需要发出警告,需要控制中心管理人员及时发现并处理,如图1所示。
图2是本发明实施例提供的基于混合模型的物联网入侵检测方法的流程示意图之一,如图2所示,包括:
步骤100:获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;
步骤200:采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;
步骤300:基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;
步骤400:将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
具体地,如图3所示,首先是获取的物联网输入数据,经过一系列预处理,包括数据标准化、过采样处理、独热编码和K均值聚类算法,得到物联网预处理数据;然后通过信息增益算法和快速过滤算法进行特征选取,获得目标特征数据;进一步地,采用基于特征模型的随机森林算法对目标特征数据进行训练学习,得到正常分类结果,已知攻击恶意分类结果和未知攻击恶意分类结果,将未知攻击恶意分类结果输入至基于异常模型的卷积神经网络和长短时记忆网络进行训练学习,进一步得到正常或恶意分类结果,再利用网络中公开的数据集划分后的训练集、验证集和测试集对模型进行训练测试,得到混合物联网入侵检测模型,在实际应用中,将待检测物联网输入数据输入混合物联网入侵检测模型,即可输出得到物联网入侵检测结果。
本发明通过应用混合的物联网入侵检测模型,相对于单一的检测模型,混合模型既可以达到检测效率高的目标,又可以检测未知攻击。
基于上述实施例,获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据,包括:
对所述物联网输入数据进行独热编码,得到独热编码数据;
由所述独热编码数据、所述独热编码数据的邻居数据帧和预设随机数,得到过采样处理数据;
通过特征平均值和特征值标准偏差对所述过采样处理数据进行标准化处理,得到标准化数据;
基于K均值聚类算法处理所述标准化数据,得到所述物联网预处理数据。
具体地,针对系统获取的物联网输入数据,需要先经过数据清洗,删除有缺失值存在的数据。由于后续个别特征采用字符的形式且训练数据的各个类别数据数量存在不平衡的情况,这对于后续的计算和处理不友好,因此需要对输入的数据进行独热编码和过采样处理:
yi=OenHot(xi)
ynew=yi+β×(y0-yi)
其中OneHot表示独热编码,xi表示第i条数据,yi表示经过独热编码后的数据,ynew表示经过采样处理得到的新数据,y0是从yi的邻居数据帧中随机选取的,β表示(0,1)之间的一个随机数。
经过独热编码后所有值都变为数字了,但是面对的下一个问题就是对于同一个特征下的值来说,它们的数值可能不是一个量级的,有的甚至相差很大。因此为了方便后续计算,数据需要经过标准化处理:
其中h为标准化后的值,a为原始值,μ代表特征的平均值,σ是特征值的标准偏差。经过标准化处理过后,数据区间会被转换为(-1,1)。
为了提高模型的训练效率和降低模型训练的复杂度,需要对数据进行采样。采用基于K均值的聚类采样算法来处理数据集,并获得具有高度代表性的子集。K均值聚类算法对数据进行迭代聚类分析,找出K个最佳质心并最小化所有数据点于相应质心之间距离的平方和:
其中CLi为i的聚类中心,B为聚类数据点。
基于上述实施例,采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据,包括:
确定所述物联网预处理数据的目标变量信息和特征变量信息;
由发送目标变量信息之前的不确定度减去接收特征变量信息的后验不确定度,得到目标变量信息和特征变量信息之间的信息增益;
由所述信息增益、所述发送目标变量信息之前的不确定度和发送特征变量信息之前的不确定度,得到目标变量信息和特征变量信息之间的不确定相关性;
采用贝叶斯优化-高斯过程确定预设特征相关度阈值,筛选出大于所述预设特征相关度阈值的特征变量信息;
将所述不确定相关性按照从大到小降序排列,依次计算每个特征变量信息以及小于所述不确定性的所有其他特征变量信息之间的不确定相关性;
将所述所有其他特征变量信息之间的不确定相关性中大于所有其他特征变量信息与特征变量信息之间的不确定相关性所对应的特征变量信息,得到所述目标特征数据。
具体地,由于得到的目标特征数据包含大量冗余或无用的要素,即使移除这些要素也不会导致信息丢失。因此,本发明实施例中的特征选择可以选取那些与结果高度相关的特征并删除不相关或冗余的特征,既可以提高入侵检测系统的准确性,又减少了运行时间。此外,选取相关特征简化模型也有助于生成对抗网络中数据生成过程。特征选取基于信息增益和快速过滤算法,具体的计算步骤为:
信息增益是基于信息熵计算的,它表示信息消除不确定性的程度,并通过对信息增益排序来选择特征。在特征选择期间,目标变量被用作信息U,特征变量被用作信息V。通过对信息增益进行排序,确定特征的顺序,从而选择特征。信息U和V之间的信息增益表示为:
IG[U,V]=Ent[U]-Ent[U|V]
其中Ent[U]表示发送信息U之前的不确定度,Ent[U|V]表示接收V之后仍然存在的信息U的平均不确定度,即后验不确定度。
进一步地,快速消息过滤算法首先基于上面信息增益来求解两个特征之间的不确定性:
其中Ent[V]表示在发送目标特征V之前的不确定性。
在此基础上,选择相关度大于预设阈值δ的特征。为了获得合适的相关阈值,使用贝叶斯优化-高斯过程对δ进行优化。此优化过程利用验证准确性作为超参数优化的目标函数;将SU[U,V]按大小降序排列,依次计算每个特征U和小于SU[U,V]的所有其他特征W之间的相关性SU[U,W];删除SU[U,W]大于SU[W,V]的特征W,获得特征子集S(s1,s2…sn),即目标特征数据。
基于上述实施例,基于特征模型的随机森林算法对所述目标特征数据进行训练学习,包括:
从所述目标特征数据中随机抽取若干个训练样本,由所述若干个训练样本训练构成子模型;
采用投票方式确定得票最多的子模型对应的分类结果作为分类结果;
利用所述随机森林算法标记所述分类结果,得到正常流量分类结果、已知的恶意流量分类结果和未知的恶意流量分类结果。
具体地,如图4所示,在本发明实施例中的入侵检测系统,基于特征模型根据现有特征进行匹配和分类,通过随机森林来区分网络中的正常和恶意流量数据。基于特征的模型使用随机森林来对数据集进行特征匹配和分类。
在随机森林算法中,特征匹配和分类步骤如下:1)从传入的特征中有放回的随机抽取x个训练样本,用这些抽取的样本组成新的训练集;2)然后根据这些新的训练集训练得到子模型;3)对于物联网恶意流量分类问题,采用投票的形式,采用得票最多的子模型的分类结果作为最终的分类结果。基于特征模型使用一种基于树结构的贝叶斯优化算法来优化随机森林模型使用到的参数。经过随机森林模型后,基于特征的模型将标记流量的预测结果,对于已知的正常流量和恶意流量会输出对应的匹配结果,未知的恶意流量将会被送到基于异常模型做进一步的检测。
基于上述实施例,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,包括:
将所述未知的恶意流量分类结果依次输入至卷积神经网络的卷积核和预设激活函数进行处理,确定保留数据以及丢弃数据;
将保留数据以及丢弃数据中的时序信息输入至长短时记忆网络的全连接层和预设激活函数进行处理,得到最终流量分类结果。
具体地,如图5所示,基于异常模型使用卷积神经网络中的卷积核从样本数据中提取未知恶意流量的特征,同时得到这些特征的相关描述,然后将这些数据送到长短时记忆网络。
在接收到来自卷积层的数据后需要对数据进行重塑,使其符合长短时记忆网络的处理类型。随后将其送入网络中,1)借助激活函数确定需要保留与丢弃的数据;2)对数据中时序信息进行建模进而获取流量中时间序列的长期依赖关系并学习到流量的时序模式;3)采用全连接层和激活函数输出对流量的分类结果。
基于上述实施例,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型,包括:
获取NSL-KDD数据集、CICIDS2018数据集和Bot-IoT数据集;
基于预设划分比例分别将所述NSL-KDD数据集、所述CICIDS2018数据集和所述Bot-IoT数据集划分为训练集、验证集和测试集;
采用所述训练集、所述验证集和所述测试集进行训练和测试,获得所述混合物联网入侵检测模型。
具体地,本发明实施例利用网络中公开的三个数据集NSL-KDD,CICIDS2018以及Bot-IoT对该入侵检测系统进行训练和测试。其中NSL-KDD和CICIDS2018主要作为物联网中网络层的数据测试,Bot-IoT是一个物联网攻击数据集,更加贴合本系统所处环境。将这三个数据集分别进行训练和测试,每一个数据集中的80%作为训练集,10%作为验证集,剩下的10%作为测试集。最后得到的结果显示本系统中基于特征模型在三个数据集上的检测准确率和F1分数都可以达到99.9%以上,基于异常的模型也可以达到98.5%以上的准确率和F1分数。
可以理解的是,本发明对于已知的物联网攻击,通过随机森林提取流量特征来建立一个特征库,然后将测试集提取的特征和该特征库进行比对;对于拒绝服务和僵尸网络等物联网攻击检测难的问题,基于异常的模型采用了卷积神经网络和长短时记忆网络相结合的方式来提高系统对拒绝服务和僵尸网络攻击的检测准确率。
下面对本发明提供的基于混合模型的物联网入侵检测系统进行描述,下文描述的基于混合模型的物联网入侵检测系统与上文描述的基于混合模型的物联网入侵检测方法可相互对应参照。
图6是本发明实施例提供的基于混合模型的物联网入侵检测系统的结构示意图,如图6所示,包括:预处理模块61、选取模块62、训练模块63和处理模块64,其中:
预处理模块61用于获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;选取模块62用于采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;训练模块63用于基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;处理模块64用于将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行基于混合模型的物联网入侵检测方法,该方法包括:获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的基于混合模型的物联网入侵检测方法,该方法包括:获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的基于混合模型的物联网入侵检测方法,该方法包括:获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于混合模型的物联网入侵检测方法,其特征在于,包括:
获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;
采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;
基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;
将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
2.根据权利要求1所述的基于混合模型的物联网入侵检测方法,其特征在于,获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据,包括:
对所述物联网输入数据进行独热编码,得到独热编码数据;
由所述独热编码数据、所述独热编码数据的邻居数据帧和预设随机数,得到过采样处理数据;
通过特征平均值和特征值标准偏差对所述过采样处理数据进行标准化处理,得到标准化数据;
基于K均值聚类算法处理所述标准化数据,得到所述物联网预处理数据。
3.根据权利要求1所述的基于混合模型的物联网入侵检测方法,其特征在于,采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据,包括:
确定所述物联网预处理数据的目标变量信息和特征变量信息;
由发送目标变量信息之前的不确定度减去接收特征变量信息的后验不确定度,得到目标变量信息和特征变量信息之间的信息增益;
由所述信息增益、所述发送目标变量信息之前的不确定度和发送特征变量信息之前的不确定度,得到目标变量信息和特征变量信息之间的不确定相关性;
采用贝叶斯优化-高斯过程确定预设特征相关度阈值,筛选出大于所述预设特征相关度阈值的特征变量信息;
将所述不确定相关性按照从大到小降序排列,依次计算每个特征变量信息以及小于所述不确定性的所有其他特征变量信息之间的不确定相关性;
将所述所有其他特征变量信息之间的不确定相关性中大于所有其他特征变量信息与特征变量信息之间的不确定相关性所对应的特征变量信息,得到所述目标特征数据。
4.根据权利要求1所述的基于混合模型的物联网入侵检测方法,其特征在于,基于特征模型的随机森林算法对所述目标特征数据进行训练学习,包括:
从所述目标特征数据中随机抽取若干个训练样本,由所述若干个训练样本训练构成子模型;
采用投票方式确定得票最多的子模型对应的分类结果作为分类结果;
利用所述随机森林算法标记所述分类结果,得到正常流量分类结果、已知的恶意流量分类结果和未知的恶意流量分类结果。
5.根据权利要求4所述的基于混合模型的物联网入侵检测方法,其特征在于,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,包括:
将所述未知的恶意流量分类结果依次输入至卷积神经网络的卷积核和预设激活函数进行处理,确定保留数据以及丢弃数据;
将保留数据以及丢弃数据中的时序信息输入至长短时记忆网络的全连接层和预设激活函数进行处理,得到最终流量分类结果。
6.根据权利要求5所述的基于混合模型的物联网入侵检测方法,其特征在于,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型,包括:
获取NSL-KDD数据集、CICIDS2018数据集和Bot-IoT数据集;
基于预设划分比例分别将所述NSL-KDD数据集、所述CICIDS2018数据集和所述Bot-IoT数据集划分为训练集、验证集和测试集;
采用所述训练集、所述验证集和所述测试集进行训练和测试,获得所述混合物联网入侵检测模型。
7.一种基于混合模型的物联网入侵检测系统,其特征在于,包括:
预处理模块,用于获取物联网输入数据,对所述物联网输入数据进行预处理,得到物联网预处理数据;
选取模块,用于采用信息增益算法和快速过滤算法对所述物联网预处理数据进行特征选取,获得目标特征数据;
训练模块,用于基于特征模型的随机森林算法对所述目标特征数据进行训练学习,基于异常模型的卷积神经网络和长短时记忆网络对所述目标特征数据进行训练学习,采用预设公开数据集进行训练和测试,得到混合物联网入侵检测模型;
处理模块,用于将待检测物联网输入数据输入所述混合物联网入侵检测模型,输出物联网入侵检测结果。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述基于混合模型的物联网入侵检测方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于混合模型的物联网入侵检测方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于混合模型的物联网入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311136310.1A CN117240524A (zh) | 2023-09-04 | 2023-09-04 | 一种基于混合模型的物联网入侵检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311136310.1A CN117240524A (zh) | 2023-09-04 | 2023-09-04 | 一种基于混合模型的物联网入侵检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117240524A true CN117240524A (zh) | 2023-12-15 |
Family
ID=89090350
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311136310.1A Pending CN117240524A (zh) | 2023-09-04 | 2023-09-04 | 一种基于混合模型的物联网入侵检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117240524A (zh) |
-
2023
- 2023-09-04 CN CN202311136310.1A patent/CN117240524A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
CN113283476B (zh) | 一种物联网网络入侵检测方法 | |
CN111585948B (zh) | 一种基于电网大数据的网络安全态势智能预测方法 | |
CN110166454B (zh) | 一种基于自适应遗传算法的混合特征选择入侵检测方法 | |
CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
Han et al. | PPM-InVIDS: Privacy protection model for in-vehicle intrusion detection system based complex-valued neural network | |
CN115270996A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
Zhang et al. | Detection of android malware based on deep forest and feature enhancement | |
Shao et al. | Deep learning hierarchical representation from heterogeneous flow-level communication data | |
Ageyev et al. | Traffic monitoring and abnormality detection methods analysis | |
JP2004312083A (ja) | 学習データ作成装置、侵入検知システムおよびプログラム | |
CN113542222B (zh) | 一种基于双域vae的零日多步威胁识别方法 | |
CN116614251A (zh) | 一种数据安全监控系统 | |
CN115622793A (zh) | 一种攻击类型识别方法、装置、电子设备及存储介质 | |
CN117240524A (zh) | 一种基于混合模型的物联网入侵检测方法及系统 | |
CN116578970A (zh) | 一种基于图神经网络的异构图中社交机器人检测方法 | |
CN111159588B (zh) | 一种基于url成像技术的恶意url检测方法 | |
Nicheporuk et al. | A System for Detecting Anomalies and Identifying Smart Home Devices Using Collective Communication. | |
Alshammari et al. | Scalable and robust intrusion detection system to secure the iot environments using software defined networks (SDN) enabled architecture | |
Samadzadeh et al. | Evaluating Security Anomalies by Classifying Traffic Using a Multi-Layered Model | |
CN113420293A (zh) | 一种基于深度学习的安卓恶意应用检测方法及系统 | |
CN114710306A (zh) | 基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型 | |
Saeed et al. | Machine learning based intrusion detection system in cloud environment | |
Xu et al. | Self-supervised graph representation learning for black market account detection | |
CN116056087B (zh) | 网络攻击检测方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |