文摘

物联网(物联网)是一个分布式系统,由智能对象(事物)的连接,可以不断在传感领域的事件和通过互联网传输数据。物联网被视为互联网的下一次革命,因为它提供了巨大的改善人类日常活动包括提供有效的医疗服务和智能城市、智能交通系统的发展。物联网环境中,通过合适的安全机制的应用有效的安全管理技术,入侵检测系统提供了一个防御墙攻击互联网和有效的监测设备与互联网上的网络流量。因此,入侵检测系统(IDS)是一项决议提出的人员来监控和安全物联网通信。在这项工作中,细致的分析,基于物联网的安全网络服务质量度量执行部署入侵检测系统通过实验获得了通信和测量网络的性能基于与现有安全指标进行比较。最后,我们提出一种新的和有效的id使用基于深度学习分类方法,即模糊CNN,为提高通信的安全。这个系统的主要和最重要的优势包括大量的检测精度,准确的检测更有效的拒绝服务(DoS)攻击,和减少假阳性率。

1。介绍

物联网(物联网)是未来互联网的革命,在智能对象使用远程方式通过互联网连接和管理(1作为一个支柱。事件在部署物联网环境感知设备(2]。由于自然资源约束(3)物联网的传感器和环境部署,提供有效的安全正在成为一个重大的挑战[4]。物联网设备的部署环境是容易受到各种类型的攻击5)等入侵者黑客、恶意软件和病毒(6]。这些入侵者的主要目的是发动各种形式的攻击,导致网络中违反数据完整性(7]。此外,入侵者可以发动拒绝服务(DoS)攻击(8)可以排气的网络和设备资源(9诸如能源物联网环境中。从文献,我们发现安全提供了物联网在很多作品中通过使用加密算法的安全机制(10如对称密钥密码体制和公钥密码体制(11]。

自抑制物联网设备资源,使用加密技术在物联网安全(12导致巨大的通信和计算开销。的设计和部署入侵检测系统(ids)能够解决这个问题。因此,ids已经广泛应用在物联网环境监测和注意骗子为了提供高效安全物联网通信(13,14]。一个id是一个物联网的设备上运行的软件。IDS监视网络中的设备的行为和识别恶意活动,如果有的话,所进行的设备。当检测到入侵(攻击)15),通知设备管理员,谁需要必要的行动来防止这种隔离恶意入侵设备。这样,IDSs是有用的,以确保设备安全物联网环境中(16]。入侵检测系统大致分为两类17)根据显式类型的入侵,anomaly-based入侵和入侵舞弊。异常入侵是由外部攻击者。另一方面,滥用入侵是由物联网系统的内部成员提供安全凭证的系统管理员。

在另一个分类执行取决于类型的入侵,IDSs分为四种,即基于签名id, id基于异常(18),基于规范[id19,20.),和混合的方法id (21]。在IDS中基于签名(22),对于每一个攻击被探测到,它描述了攻击模式。在这个方案中,一个触发器消息时提高了攻击模式所描述的匹配。通过使用这种类型的id,可以更有效地检测出已知的攻击类型。下一个类别是anomaly-based id。在这个方案中,数据的正常行为获得的设备要设置和值。如果设备行为价值观,ids认为这是可疑的行为(23,24]。

异常id是利用位置和时间约束识别恶意设备。不同类型的攻击是在DoS攻击等沟通(25- - - - - -27],女巫攻击[28,29日),选择转发攻击(30.- - - - - -32),蠕虫整个攻击(33],黑洞攻击[34- - - - - -36],缩孔攻击[37- - - - - -39),干扰攻击,和假数据注入攻击40]。因此,许多研究人员检测他们的想法的一个或多个这些攻击入侵检测和预防提出了不同的方法。然而,用户社区感兴趣是最合适的方法从所有这些方法来保护他们的物联网环境中,因为没有标准的指导方针和建议提供文献中选择最合适的方法来入侵物联网应用程序发现和抑制。当前物联网社会的需要是一个工作的可用性,分析物联网的所有流行的ids和提供适当的指导方针和建议为维护他们的应用程序选择最佳的方案。

QoS测量是一种必要的和具有挑战性的任务。许多研究假阳性率作为衡量的一个重要指标安全提供了IDSs的数量。然而,攻击者实施攻击降低网络性能和消耗的网络资源,拒绝从网络访问合法用户的机会。这可以更有效地降低了测量网络功能和提供的服务物联网。可以更有效的测量当且仅当合适的包交货率等指标,延迟,能源消耗,数据包预期和加速节点,和整体网络吞吐量用于有效的QoS测量和比较分析。

入侵检测系统(ids)是强大的机制(41)使用在互联网上识别异常行为的根据他们的恶意攻击者活动。在这个场景中,必须开发IDSs不仅检测已知类型的恶意攻击,但也发现新类型的攻击进行交流的数据通过互联网使用不同的方法。因此,ids,现有文献中或被提议的新必须评估他们的能力与合适的指标等检测准确性,误判率和错误率。现实的IDS评估也需要测试基准数据集和真实数据集。这里,这样以来基准数据集是最重要的基础数据集创建使用大量的网络数据通过使用有效的施工方法和测试与实际系统的统计学意义,公平的比较,计算方法和验证。当一个新提出的机器学习算法与给定数据集评估,检测算法的性能与精度高了。这样的算法也与真实的网络环境进行测试;他们提供了一个类似的性能。因此,有必要来测试一种新的分类算法不仅通过不同数量的特性也通过评估他们使用基准数据集。

第一个数据集用于评价IDSs是DARPA KDD 98数据集。这个后来扩展形成数据集KDD’99杯(42,43]。这个数据集包含连接记录创建的考虑各种组合的攻击类型和包括正常类,他们作为基准数据集用于评估任何基于网络的IDS。这个数据集是由他们通过收集和建立手工和多样化的试验台honeypot组成。其他类型的数据集创建的IDSs的有效评价包括ISCXIDS 2012数据集称为入侵检测评估数据集提出Shivari et al。44,45),生成的现实数据集海德尔et al。46,47),使用模糊规则开发和验证,最后云入侵检测数据集(CIDD)开发研究所于2017年由加拿大网络安全(48]。

在这部作品中,评估进行了统一使用基准数据集KDD ' 99杯数据集[中讨论43,49),而且,作品被验证使用真实的网络跟踪数据。的一个主要原因为评价选择KDD Cup 99数据集的IDS系统,这是被广泛接受的基准数据集用于大部分的研究工作id。这个数据集包含41 38的数值属性和其他3是象征性的属性。这个数据集的属性的一些时间属性描述时间(秒数),是一个连续的网络连接持续时间属性数据属性,和protocol_type(一个离散数据属性描述传输和网络层协议)包括TCP和UDP。

本文的调查IDSs开发来保护互联网通信,讨论和比较。本文的主要贡献在于它不仅提出了一种新的智能id但是还提供了一个全面的调查和比较分析的入侵检测系统出现在文学,因此建议合适的方法和作品,可以提高物联网的安全网络。物联网攻击源自互联网,因此,这项工作包括攻击计算机网络,包括有线和无线网络使用和不流动(50]。它认为acknowledgement-based方案和基于机器学习智能方法都是用于提高设备的安全性。

本文的最重要的贡献是提出了一种新型智能IDS通过扩展卷积神经网络(CNN)与模糊规则对准确决策(51,52]。此外,这项工作评估现有ids也使用模糊变量和比较他们和检测时间采用合适的评价指标,如假阳性率,能源消耗,包交货率,延迟分析,网络吞吐量和错误率在物联网环境中。最后,它提供了建议选择最好的设计和预防方法,证明了通过测量和度量,以及新的IDS提出了物联网网络工作。

2。文献调查

安全的沟通可以通过使用各种方法包括提供访问控制(53),文中针对安全路由技术(54),基于代理的方法(55),时间分析(56),入侵检测技术为特征选择和分类开发,密钥管理技术,加密和解密方法,信任管理技术,防火墙和应用注意事项57- - - - - -65年]。各种作者提出了各种各样的机制提供安全物联网环境中通过id。在本节中,由不同作者的文章评论id在物联网提供了合适的分析来强调他们的好处和限制在物联网领域的id (66年- - - - - -70年]。欧维斯et al。71年)提出了遗传算法(72年id为物联网。此外,他们的算法生成智能规则分析连接设备的行为,这样可以过滤恶意内容并识别恶意链接出现在连接设备。这项工作的局限性是它具有显著的计算开销和未知攻击不准确检测到该系统。王等人。73年]提出使用隐马尔可夫模型(HMM)用于开发id。在他们的工作,他们认为效率、速度和精度的优化参数评估他们的id。他们提出的技术是基于异常行为的入侵检测。尽管这个系统使用统计方法来处理新的情况,检测精度不均匀,因此缺乏安全规定。Helai [74年)通过应用数据挖掘技术提出了一个基于签名的id。在此系统中,分类和模式识别方法已经用来区别正常行为的异常行为的设备,因此,提高了检测精度。然而,这个系统不适合物联网环境因为它涉及更多的计算开销。

Kolias et al。75年)提出了一个安全系统。该系统利用群体智慧发展的id。游情报的并行特性减少了训练时间,因此提高了quality-of-intrusion检测在许多情况下。然而,这个系统中产生的行为规则不统一,和一个小一个规则的变化影响了别人。Jaisankar et al。76年IDS)进行了一项调查。在这工作,他们用模糊粗糙集(77年执行异常值检测入侵检测)。Gendreu和摩尔人78年开发的IDS)进行了一项调查在过去提供安全物联网。在这个调查中,作者强调了IDS的一般过程,当前物联网研究IDS的挑战。此外,IDS发展质量的要求在一个物联网环境中解释这项工作。然而,最新的趋势和攻击模式需要进一步分析,和新技术是必要的。

Thangaramya et al。79年)提出了一个安全模型对孤立点检测的无线传感器网络。本文强调了开放研究的挑战和为未来的改善提供了空间的方法用于安全通信的发展。里奇- et al。80年)解释了需要加强物联网的安全为物联网提供安全解决方案。这项工作强调了开发第三方安全应用程序的基本概念。杨et al。81年提出了一个安全模型,分析了物联网的安全与隐私问题。在这工作,他们在四层的安全问题进行了分析。然而,攻击的检测和预防措施发生在各层不提供这项工作。Kouicem et al。69年]提供了一个包容性的调查在物联网可靠性的问题。他们使用SDN解释说,因为它能够更有效地保护安全和隐私。然而,他们发现,大多数现有的方法涉及更多的计算复杂性和管理费用。

从相关作品,研究缺口识别是普遍的,大多数ids的文学在本质上是通用的,专注于网络安全,和大多数人不专注于使用基于深度学习计算智能的发展中一个可靠的入侵检测系统。因此,他们不适合物联网提供高效安全的环境。当前物联网通信的需要提供一个灵活的和更有效的安全机制,可以找到已知的小说类型的攻击和防止他们更明智地使用人工智能(AI)和机器学习(ML)技术(82年]。在这项工作中,我们提出一种新的智能IDS进行特征提取、特征选择和智能分类器分类通过扩展CNN与模糊推理系统的模糊规则的方法更有效地识别入侵者通过有效的规则匹配和也进行演绎推理。此外,全面调查IDSs的物联网也在开展这项工作,它突出的优点和局限性的ids可用于物联网环境和比较其与提出的工作。这项工作的主要贡献包括综合文献调查,确定合适的指标进行比较,测量各种参数更有效地通过识别的粒度测量,最后的建议一个新的id使用深度学习技术。基于实验进行这项工作,发现该智能IDS是更有效的入侵检测率和减少假阳性。

3所示。入侵检测系统物联网通信

IDS在物联网分为三组是建立在他们的部署,即中央集权的id (cid),分布式IDS(做)和混合id (HIDS)。在cid,只在集中式服务器进行分析,在控制所有设备出现在网络。在这个方案中,id通常是放置在一个集中的控制点的设备(79年]像结束服务器、集群头和路由器(83年]。IDS的数据分析网络流量检测入侵(84年]。第二类型的IDSs中使用物联网安全分布式ids。在这个方案中,采用物联网的传感节点设备上的部署。每一个传感器将能够分析节点的感知数据来识别行为在物联网设备来检测入侵。混合id是一个集体集中和分配IDSs的混合物。这个方案是IDS的概念也被放置在集中式服务器和传感设备出现在物联网环境中。混合IDS的优点是,可以检测到入侵的集中式服务器和传感装置(80年]。

4所示。在物联网的分类id

1在物联网显示了id的分类法。物联网的IDSs分为三组,即采用基于入侵检测机制(14,85年- - - - - -88年),ids的检测是基于网络结构,专注于开发的,采用攻击类型。


图1
分类物联网的id。

基于的IDS机制是进一步细分为四类,即异常检测,特征检测和规范和混合id。基于网络的IDS检测结构进一步分为cid,并和hid灯。基于攻击的入侵检测进一步分为IDS检测拒绝服务攻击,回复攻击,女巫攻击,虫洞攻击,假数据注入攻击和干扰攻击。

4.1。基于异常检测的id

异常入侵检测技术(89年,90年)用于区分设备的正常行为和异常行为。基于异常的入侵检测,设备的行为与正常的行为和一个阈值(TH)值是用来找出一种设备,如果有任何偏差超过阈值。这种装置将贴上一个可疑装置,并将观察一段时间。如果异常行为仍在一个设备,它将被视为恶意设备并将分离与其他设备通信。不同的作者提出了不同的技术提供安全物联网环境基于异常检测。

傅et al。91年)提出了一个IDS技术在检测各种攻击是使用矿业技术开发的。他们使用语义技术入侵检测设备在一个物联网环境的不当行为。他们提出的系统使用切片完成入侵检测的时间窗技术。在这种技术中,收集到的关于设备的信息是基于时间的分类分析。在此系统中,检测到异常,将现有的数据与正常的概要文件和检查是否有偏差。如果数据不一致,那么它被认为是入侵。这种技术已经被评估基于理论分析。然而,存在显著的复杂性在实时数据的比较,因此,网络生活影响很大。丁等。92年)提出一个创新的理论基础技术检测设备的物联网环境的异常。在此系统中,信息安全提供的设备利用网络资源。拟议的系统监控恶意设备以识别自私的设备和入侵者。此外,在这个基于游戏的模型中,每个设备的允许使用一个最佳数量。设备中利用网络资源对恶意数据传输监控,确保设备可能导致网络的脆弱性。这个系统的优点包括能力检测系统的正常行为。这个模型的约束是缺乏所需的检测精度。

Ragasegarar et al。93年)提出了分布式异常检测体系结构提供安全设备。在此体系结构中,设备的分组是由使用hyperellipsoidal平面法。每个设备的信息是用来探测周围环境对设备的异常行为在本地和全球存在的组。设备收集信息来识别局部和全局异常行为的设备。此外,当设备上的数据传感领域,根据收集到的数据异常检测。高涨的优点是网络生命时间和减少计算开销。入侵检测准确性的主要限制是减少当hyperellipsoidal平面展开的宽度。陈等人。94年)提出了一个fusion-based防护技术提供更好的防御攻击入侵者造成的。在这种方法中,每个设备发送一个字节消息为入侵检测融合缓存。这种方法的好处在于它是健壮的天性。此外,该方法在检测未知类型的攻击并不准确。

火腿等。95年)提出一个高效anomaly-based入侵检测技术来检测恶意软件在android操作系统使用一个线性支持向量机。这种方法的好处是,它提供真正的积极和入侵检测精度时等同于其他现有方法。局限性的存在是重要的计算开销。此外,该方法需要大量的实现可以排气的网络和系统资源设备物联网环境中。王等人。96年)提出了一个有效的安全机制,可以训练和检测入侵在大规模物联网设备提供有效的物联网安全服务。这种方法的优点是在其能力提供有效的实时入侵检测在有更好的精度。此外,该方法优化系统性能和网络生命时间。的限制是消耗更多的能量,将排气网络和系统资源。此外,它能够识别只有数量有限的已知的攻击在物联网环境中。

Pongle和Chavan33IDS)提出了一个虫洞攻击能够识别的基于他们的邻居设备和位置信息。这种方法的优点是其能源效率和实时入侵检测能力。此外,提出了入侵检测系统提高QoS减少包开销和提高包交货率。此外,该方法能够检测只有一个类型的攻击,可以是已知的攻击或未知攻击。塞万提斯et al。97年)提出了一个有效的id是能够识别天坑攻击使用监督和信任98年)管理机制来监控设备在物联网环境下的行为。这种方法的优点是,它优化了网络和系统网络中的能源效率和提高QoS的最小化包和路由开销,而且增加了包交货率。此外,该方法有较低的假阳性和假阴性率。然而,这个模型是能够发现只有数量有限的攻击。此外,该id是复杂的高计算开销不是所需的物联网。

萨默维尔et al。99年]提出一种轻量级入侵检测大纲就是能检测各种攻击。该系统使用深度包检测入侵分析和入侵检测方案部署在物联网设备。这种方法的优点在于其准确的入侵检测功能。此外,提出了IDS在本质上是轻量级和假阳性入侵检测率低。它增强了QoS通过减少网络通信开销。另一方面,在报文分类存在显著的计算和通信开销,消耗更多的能量和时间。此外,该id只能检测已知的攻击类型,可以检测到的路由数据包从物联网环境中的其他设备发送。Eliseev和GurinaOne hundred.)提出了一个入侵计划能够观察到的异常行为在物联网环境下的设备。他们提出的入侵系统使用相关函数是基于请求-响应的方法。计划方法的好处是,它在本质上是轻量级的,从而仅消耗资源网络的最优数量。此外,他们建议入侵检测方案提供了一个提高准确率。局限性是它的排队延迟和通信延迟。此外,建议的id是复杂的计算开销可能很快耗尽网络资源。

Grgic et al。101年)提出了一个安全框架的设备物联网在基于ipv6可以识别恶意节点的分布式系统。拟议的框架监控设备使用协作处理的异常行为识别攻击。系统框架的优点是其能源效率和更好的入侵检测的准确性。限制其假阳性率高,它可以探测到只在一个物联网环境已知类型的攻击。声纳和阿帕德海耶(102年)设计了一种使用知识代理系统可以识别各种攻击。在这个模型中,智能代理(103年)被放置在网络服务器和网关设备用于监视传入的数据流量的行为。拟议的系统有一个黑名单和greylist颜色区别显示恶意合法设备和设备之间的区别。他们的工作的优点是它的低假真阳性率高。此外,该工作有更好的入侵检测的准确性。的限制是IDS不会提出可行的实施在合理的时间内没有提供设备的可伸缩性。

两翼et al。104年)提出了一个系统,它可以检测分布式DoS攻击使用三层人工神经网络(ANN)。四个节点充当客户端,一个节点作为服务器进行数据分析。服务器充当一个水槽,接收来自客户的请求和响应请求。专家系统的优势是使用一个基于知识的方法建立了有效的分析和检测DDoS攻击的数据包从服务器收到了。此外,该模型实时优化的资源,有更好的能力来检测节点的恶意活动。局限性是入侵检测的准确性取决于概率估计。此外,使用的专家系统知识库应该训练更准确,从而获得更好的结果。表1给的比较不同的基于异常检测中的难点。

表1
比较不同的基于异常的入侵检测系统检测。
4.2。id基于签名

基于签名的IDS提供更好的防御各种网络攻击基于生成的签名。在此系统中,当前的网络行为与恶意攻击模式匹配跟踪的类型生成的入侵者的攻击。许多作者提出的方法提供安全物联网环境中使用一个基于签名的入侵检测方法。

阿明et al。105年)提出了一个签名保护Internet-protocol-based无处不在的传感器网络。在这个id,签名生成各种攻击模式。生成的攻击模式被存储为一个数组,保存在布隆过滤器。当数据包进入布隆过滤器,它匹配的攻击模式和过滤器。基于模式匹配,检测到的攻击类型。这种方法的优点是,它具有较低的误警率和提供更好的入侵检测的准确性。此外,该模型在本质上是轻量级的,因此,它可以执行更好的优化(106年的网络资源。的局限性,它只能检测到一个固定的模式的攻击。此外,在数据传输通信开销从节点到布隆过滤器。哦,et al。107年)设计一个id,可以识别各种攻击模式匹配引擎。在这里,匹配引擎使用辅助转移的早期识别攻击。通过这样做,可以早期发现攻击基于匹配的模式,可以尽早终止攻击。该系统的优点是,它改善了计算复杂度和与固定入侵检测精度高,生成的攻击签名模式。此外,它是可伸缩的,确保更好的内存利用率。的局限性,它只能检测已知有限数量的攻击基于pregenerated签名模式。此外,该系统不能实时实现。

太阳et al。108年)提出了一个入侵检测方案是能够检测恶意攻击使用云眼睛IoT-based云环境。在设备方面,云的眼睛使用一种智能的轻量级代理扫描仪检测的恶意数据传入的数据包。服务器端云的眼睛由一个大型数据库可以存储预定义的攻击模式和定期更新。系统采用可疑斗交叉过滤(SBCF)检测数据包的恶意数据。攻击的类型确定基于匹配模式与一个预定义的攻击签名模式。这个系统的优点是,它提供信任和安全服务(109年在不影响隐私。此外,提出了入侵检测系统提供了更好的资源优化和有限的预定义的模式特征可以有效检测攻击。局限性是它消耗更多的内存和有能力检测只有数量有限的已知的和熟悉的攻击基于pregenerated签名模式。表2显示的比较各种IDSs开发基于签名模式。

表2
比较基于签名的id。
4.3。IDS根据规范

IDS根据规范检测入侵规范正常。入侵检测是被合法的系统进行进一步分析。在过去,许多研究人员设计了许多ids根据规范来提供增强的安全物联网环境。部分采用基于其规范将在本节中讨论。Misra et al。110年计划一个id与面向服务的体系结构(SOA)模型的物联网环境。在这个id, SOA配置作为物联网应用中间件提供服务。该id将DALERT控制消息发送给所有可用的节点。当请求的特定设备中间件超过限制设置为阈值,系统检测到网络中的漏洞的可能性。基于这些信息,网络管理员检测入侵。局限性是假阳性率高,不能实现真正的时间。此外,这个id可以只能够检测入侵和不能够确认攻击。Murynets和木星111年)设计了一个入侵检测系统能够检测入侵的短消息发送者通过使用体积(SMS)和基于内容的技术。容量分析的目的是检测入侵基于预定义的模式的偏差。基于内容的算法的主要目的是跟踪物联网的设备环境。通过削弱这两个算法,可以有效地检测到独立的DoS攻击。这些IDSs的优点是,他们提供更好的入侵检测的准确性。局限性是它有复杂的实现任务和没有实时检测入侵的能力。

夏et al。112年)设计一个新的id可以识别物联网环境中节点内部攻击。这个id设计以及隐私意识到路由协议确保网络中节点的隐私。在路由维护阶段,检测到恶意活动的帮助邻居节点和基于节点的流量分析过去的行为。做的优点是,它具有较好的入侵检测准确性和较低的预期寿命。局限性是它的通信和计算开销。此外,该系统只能识别限制数量的攻击。La et al。113年IDS)提出了一个基于创新的模型,可以检测欺骗攻击。系统采用“粘蜜罐”作为防御工具,能够分析传入的数据包根据预定义的智能规则。任何可疑数据包honeypot进一步分析。此id的优势是它更好的入侵检测的准确性。入侵检测过程中的局限性是它的开销在物联网环境消耗更多的网络资源。

艾哈迈德和Ko (36设计一个id,可以提供防御黑洞攻击。在当地的决策过程,数据收集节点的邻居之间的关系来检测恶意行为。恶意节点的有效性识别在当地的决策过程是进一步验证了全球节点验证阶段。这个id的优点是实时入侵检测,入侵检测准确性。此外,推荐的IDS有更好的包交付率和提供良好的防御在物联网环境下黑洞攻击。局限性是计划只探测黑洞攻击和真阳性假阳性高、低利率。此外,IDS的准确性降低感染节点数的增加。

Surendar和Umamakeswari114年)计划一个id,可以识别天坑攻击使用基于基于规范模型的入侵检测和请求-响应方法在物联网环境中。观察者节点起着至关重要的作用通过检查所有节点的行为来确定节点的数据包。这个id的优点是它的低存储和计算开销。的限制是不实时检测到的入侵。此外,入侵的准确性是成反比的总数被感染节点。傅et al。115年)提出了一个id可以检测攻击使用物联网环境中的一个自动机模型。该id具有四个主要机制,即事件监视器,事件数据基地,事件分析器和响应事件。事件监视器的重要作用是检查网络和传播他们的活动在数字格式到事件分析器。事件数据库的作用是存储记录的事件和分化成正常数据和异常数据。事件分析器的作用是分析存储数据,和它的工作原理基于三个子,即网络结构学习模块,操作流抽象学习模块、入侵检测模块。这个id是它容易实现的好处和更好的入侵检测率。局限性是它的通信开销和资源消耗增加。此外,这个id有更多的延迟和可以全新仅适用于实现容忍延迟网络。

Bose et al。116年)建议一个IDS能够检测物联网环境中选择转发攻击。这个IDS检测入侵在两个方面,即cid和做。在cid, id放在水槽来检测恶意节点。在分布式IDS,入侵检测方案位于路由节点。在这个id,节点监控在两个地方。第一级的监控是由路由器节点,第二个级别的监控是由下沉。最初,路由器节点检查他们的邻居的性能和寄给水槽。水槽交叉检查节点的行为,标识节点数据包频繁。发布包的节点经常被称为“恶意节点,“他们孤立于网络。这个id的优点是容易实现较低的复杂性。 The limitations are its low intrusion detection accuracy and the fact that it consumes more network resources. Moreover, the proposed IDS has high computation and communication overhead.

刘等人。117年)设计了一个id,可以识别入侵。该id将数据分为低风险和高风险的数据。此外,证监会和PCA算法用于检测频率的自动调节。这种入侵检测系统的优点是它的高适应性和更好的假数据报警处理。限制其假阳性。此外,入侵检测精度降低的体积数据时增加的设备物联网环境。表3给了IDSs开发基于规范的比较。

表3
比较基于规范的id。
4.4。基于混合检测方法id

采用基于节点的混合法检测异常行为通过结合基于异常检测的id和签名的一代。IDS的功能是它可以更有效地识别未知类型的攻击并没有检测到基于在IDS异常检测和签名的一代。

不同作者已经提出了很多采用基于混合方法来增强在物联网环境下的安全设备。阿明et al。118年)设计了能够检测攻击的安全框架在互联网protocol-ubiquitous传感器网络(IP-USN)。拟议的框架作用于两个模块,即网络数据包分析器(IPA)和USN数据包分析器。这些模块的主要目的是提供有效的分析传入的数据流量。异丙醇模块进一步分为两个模块,即异常探测器和模式分类器。攻击的重要作用检测器来检测各种设备的行为。数据包分析器的异常行为检测设备和地图的预定义模式使用机器学习算法和组在一个共同的标签。这个id的优点是其轻量级的财产和更好的错误错误检测率。此外,该id积极入侵检测率高。限制是计算的开销和脆弱性在入侵检测延迟。

Kasinathan et al。119年)设计了一个安全框架,它可以检测DoS攻击6 lowpan (IPv6在低功耗私人区域网络)物联网环境。拟议的框架有效地分析传入的数据包在6 lowpan检测网络中异常。一旦入侵检测,报警是经理的决定。DoS保护经理验证的入侵与加载签名存储在数据库中。如果检测到异常匹配与预定义的数字签名。这个id的优点是减少错误入侵检测率和提高可用性。的限制是IDS可以只实现操作只有在动态的网络拓扑。此外,预定义的签名不经常更新DoS保护经理。

Raza et al。120年)建议一个id,可以识别攻击基于物联网环境的路由。建议IDS使用三个模块的设计。第一个模块由6 lowpan映射器;模块的重要作用是收集的信息网络。第二个模块的作用是分析收集到的信息和检测网络中的入侵。第三个模块组成的分布式防火墙;还异常活动进入网络和处理网络中丢包情况。它的优点是这个id可以扩展到其他网络。此外,该id可以实时实现,积极入侵检测率高。的限制是消耗更多的网络资源和改善了通信和计算开销。

Matsunaga和丰田121年)设计了一个id,可以能够探测到入侵基于邻居节点广播最新的排名基于时间戳的方法。两个步骤的系统功能。在第一步中,每个节点广播它的邻居节点的行列。在第二阶段,时间戳已附加到每个节点来验证任何异常。这个id的优点是,它更真实积极的入侵检测率,它在本质上是高度可伸缩的。限制是它的计算和通信开销。此外,该id会消耗大量的资源,影响网络的一致性。

Sedjelmaci et al。122年建议一个id基于博弈论的方法与混合入侵检测方法。该id使用异常和网络中基于签名的方法来检测入侵。纳什均衡(NE)是所有节点的计算。不计算分数和类型的入侵检测方法采用解码。这个id的优点是低开销。此外,系统具有一种改进入侵检测率和是轻量级的。局限性是它有一个高的延迟和复杂的计算开销。Shreenivas et al。123年建议一个IDS检测到的攻击基于EthereumX (ETX)值和地理提示。拟议的IDS使用6 mapper监测节点的行为在一个有向无环图(DAG)基于计算ETX值,和入侵检测。这个id的优点是其提高入侵检测的准确性和实时实现。局限性是它增加假阳性入侵检测的准确性。

Midi et al。124年)建议一个id,可以检测攻击基于专家知识在物联网环境下驱动。专家知识驱动的系统监控网络中网络意义上的入侵。这个id的优点是其入侵检测精度高和更好地优化网络资源的RAM和CPU使用率。局限性是它的计算开销很大程度上影响了网络性能。Sedjelmaci和Senouci125年)建议一个id,可以检测虫洞和排水口攻击在物联网环境中基于博弈论模型。这个id的优点是它的入侵检测精度高和轻量级的性质。此外,该id优化网络资源。的限制是可以大大影响网络性能的计算开销。表4给出了混合型入侵检测方法的比较。

表4
比较的物联网环境中使用的混合型入侵检测方法。

5。提出的模型

本文是由两个部分组成的,即调查工作和提出相关的工作。的有效评估现有和拟议的系统,下面的网络设置使用。仿真参数如表所示5

表5
仿真参数。

IDS的概述智能开发的这项工作图所示2。发达模型由七大模块,即物联网IDS数据集,管理员模块、数据预处理模块、一个分类模块,经理决定,模糊推理系统和知识库。在这部作品中,KDD cup 1999数据集,由41特性已被用于开发该系统。管理员模块可以作为用户界面和还充当入侵预防模块只要决定经理提供报告入侵和入侵者。等数据预处理模块包含两个子功能分析子系统和特征选择子系统。特性分析子系统计算每个41属性的优势出现在数据集和提供了一个测量分数的形式信息增益率。特征选择子系统的帮助下选择最贡献的特征特性分析子系统和模糊推理系统。所选择的特性给出反馈属性分类模块。分类模块分析自身的特性和比较与选择的特征数据预处理模块。它适用于模糊规则的模糊推理系统和决定。 The decision manager has complete control over the system.


图2
提出了系统的体系结构。

因此,决定经理协调与所有其他模块,使最终决定入侵和通知有关入侵者的入侵和管理员模块等采取行动阻止用户和节点参与交流。知识库包含域规则出现在这工作,一般规则和模糊规则的决策经理和分类模块所使用的最有效的决策。

5.1。智能特征选择

智能特征选择过程(126年)用于这项工作的所有特性计算信息增益率出现在数据集。它使用一个阈值选择最补贴基于特性的敏感性,通过物联网网络的信息交流。基于阈值和信息增益率和用户的使用历史,特征选择算法选择最优的特征数量的特定应用程序指定的持续时间(算法1)。

输入:IDS入侵检测数据集,41特性存在的数据集的集合,模糊规则和阈值(刺)。
输出:选择特性
步骤1:初始化功能NFS的数量= {}
第二步:读IDS数据集(物联网_DS)特性集(FS1、FS2…….FS41),模糊规则(FR1, FR2…. .复用),用力推。
N= 71
步骤3:为= 1,N/ /发现的信息增益率71功能
开始
Split(物联网数据集,AS1 AS2,……。ASN, G1, G2)
j=+ 1;
计算所有特征IGR值(As1, AS2……. . ASN)使用公式
信息(G1) =−
信息(G2) =
IGR(如)= 100年
如果IGR (ASi)≥刺
FS = FS U ASi;
如果
步骤4:应用模糊规则。
第六步:检查功能再次使用模糊规则和发现的重要特性。
返回选定的特性集。
算法1
智能模糊规则的特征选择算法。

6显示应用智能之后提取的数据集的特征选择算法。最初,所有41属性(127年从IDS数据集被认为是。

表6
从IDS数据集选择功能列表。

这些特性给出的反馈深度模糊CNN提出了这项工作。此外,模糊CNN比较给定的特征与其他特征选择和模糊规则适用于找到一组最优的特性。最后,使用最优的特性集模糊CNN的完全连接网络组件进行分类,其结果是用来识别入侵更准确。

5.2。模糊推理系统

模糊规则的模糊推理系统包括,游行,射击规则和规则执行组件。在规则匹配128年),首先它执行使用三角形隶属函数模糊化的属性,然后,它形成了模糊规则。决定经理需要的输入模糊推理规则和执行它的决定。样本集的模糊规则表7

表7
模糊推理规则。
5.3。分类算法

新的智能分类算法和设计这工作是通过用CNN算法如果…那么规则。这个深刻的模糊分类器执行卷积和马克斯池操作,在两个函数的卷积f 代表运营商吗t使用积分给出下列方程如下:

此外,我们使用卷积9马克斯池层和10层与模糊推理系统进行集成的分类任务。所有这些层一起操作的数据集和提供一组特征用于分类。

偏差函数的完全连接的网络组件提出模糊CNN。如果两者都是匹配的,它与分类过程收益。在不匹配的情况下,它与决策咨询经理提供反馈的属性使用基于属性的敏感性。

6。分析现有IDS的方法

在本节中,各种现有的入侵检测方法的性能分析129年- - - - - -136年)是基于性能指标如入侵检测的准确性(IDA),假阳性入侵检测率(FPIDR),实时入侵检测(RTID),容错率(功能处理量)和网络资源优化(NRO)可伸缩性。表8给不同的入侵检测方法的性能调查与给定的性能指标。

表8
性能的调查不同的入侵检测方法。

3提供各种类别的入侵检测系统的性能与各种性能指标如入侵检测率(IDR),实时入侵检测(RTID),容错率(功能处理量)和网络资源优化(NRO)可伸缩性。


图3
各种入侵检测系统的性能分析。

如图3基于异常检测,IDS有更好的假阳性入侵检测率相比,在物联网环境中其他类别id。原因改进是id基于异常检测监控的数据有效地检测节点和检测异常的不规则行为如果有偏离正常行为。因此,IDS基于异常检测具有更好的假阳性率。入侵检测的准确性和网络资源优化的百分比基于签名的IDS远远高于在物联网环境中与其他id。这种性能的原因是一个id基于签名的有效监控传入的数据,以发现任何异常。检测到异常与预定义的签名攻击产生的网络管理员。如果检测到异常匹配一个预定义的攻击签名,检测到的攻击类型。此外,基于签名的IDS具有更好的优化网络资源。IDS根据规范具有更高的实时入侵检测系统由于大多数IDS的设计是基于通用框架有效地检测入侵。ID基于混合检测方法具有更好的可伸缩性和由自然容错。

6.1。仿真结果的工作

该系统执行NS3模拟器。建议系统与其他的系统使用性能参数相比,即包交货率,延迟,平均能量消耗,DoS攻击,网络的生存时间、探测攻击,L2R攻击,R2L攻击,并最终安全分析。图4提供了比较分析基于包交货率(PDR)之间拟议的id和其他三个现有系统的id。


图4
包交付分析。

从图4,很明显,该id具有更好的PDR当等同于其他相关id通过丁et al。92年),陈等人。94年王,et al。96年]。这个进步是有可能的,因为该系统使用的反馈结果智能特征选择算法的选择主要基于信息增益的特征。最后,它使用fuzzy-based CNN分类器识别入侵。因此,该系统具有更好的PDR。

从图在图5,我们可以证明该智能模糊CNN分类器提供了一个较低的通信延迟,因为它具有更好的攻击检测的准确性和有效识别恶意节点。因此,它具有更好的性能在沟通延迟。图6提供了一个比较分析网络的能源消耗与其他现有的系统。


图5
延迟的分析。

图6
能耗分析。

6显示该id消耗更少的能量相比,提出的现有工作,如系统叮et al。92年陈],[94年),和王96年),因为该系统只使用选择和最优数量的特性,使分类器快速收敛。因此,建议系统最优能耗比其他现有的系统。

从图中所示的图7我们可以理解,提出智能分类器有更好的网络寿命分析,因为它具有更好的攻击检测的准确性和有效地识别异常。在拟议的工作,把精力花在沟通恶意节点发送的数据包将被淘汰,因此,它增加了网络的生命周期。图8DoS提供分析检测的准确性提出了系统与其他现有方法。从图8提出模糊CNN可以检测DoS攻击更有效地将模糊规则的使用。


图7
网络生命周期的分析。

图8
DoS攻击检测分析。

9提供了一个分析探测网络中攻击检测。提出了模糊CNN检测探针与演绎推理攻击更准确。


图9
探测攻击检测分析。

10为拟议中的id提供R2L攻击的分析与其他现有的系统。


图10
分析R2L攻击检测。

从图10提出模糊CNN检测准确性超过5%相比,现有的系统。使用新的偏差函数和类的模糊规则启用该模糊CNN分类器来检测R2L攻击更可靠的比相关的分类器。图11提供了分析后提供的总体安全应用网络中采用基于比较。


图11
提出了系统的安全分析。

从图11,提供的总体安全提出了id高于安全物联网相关IDS测试提供的。提出以来的安全增加系统更准确地识别入侵者和防止恶意节点在物联网的网络通信。

基于调查取得的这项工作,提供以下建议:(1)混合入侵检测系统是更好的候选人提供安全物联网环境他们检测识别和无法辨认的攻击(2)在实时物联网安全环境中,人工智能和ML-based技术可以部署与异常入侵检测模型(3)安全路由算法必须由包括节点id组件提供高度安全的通信(4)特征选择和特征优化任务必须进行开发具有更高的检测率(5)规则优化必须减少检测时间执行

来验证这些建议的有效性,他们植入新的IDS测试和开发的这项工作。在实验验证的基础上,这项调查提供了指导方针为物联网智能发展的id。

7所示。结论和未来的挑战

在这篇文章中,我们提供了一个详细的分析开发的id在物联网环境下所呈现的不同的研究人员。此外,我们提出了一种新的智能IDS使用模糊CNN克服的局限性IDSs中文学。本文给出了物联网的id是分为四类,即基于异常检测IDS,签名,规格,和混合方法进行比较分析。在每个类别下,深入分析了各种现有IDS协议执行。此外,每个类别的id的性能分析基础上进行各种性能指标如网络资源优化、假阳性入侵检测率和可伸缩性。最后,这项工作中所开发的智能IDS使用信息增益率选择突出的特点。入侵分类,智能fuzzy-based CNN分类器是用来精确地分类基于QoS参数的入侵。提出智能分类器使用NS3模拟器,模拟与性能指标,即包交货率,延迟,平均能量消耗,DoS攻击,网络的生存时间、探测攻击,L2R攻击,R2L攻击,并最终安全分析。提出系统增强了安全10%以上,网络寿命5%以上和4%的检测精度比现有的作品。未来计划建议系统的应用提出了智能IDS IoT-based网络与动态网络拓扑。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称没有利益冲突。

作者的贡献

Kannan博士,教授,高级Vellore理工学院,提供专家建议,进行修改的手稿。

确认

谢谢Vellore理工,Vellore,印度这个手稿提供资金。