杂志上的传感器

PDF
杂志上的传感器/2020年/文章
特殊的问题

工业物联网优势分析(IIOT)

把这个特殊的问题

研究文章|开放获取

体积 2020年 |文章的ID 8828591 | https://doi.org/10.1155/2020/8828591

班达尔Alotaibi, Munif Alotaibi, 一堆深度学习物联网网络攻击检测方法”,杂志上的传感器, 卷。2020年, 文章的ID8828591, 10 页面, 2020年 https://doi.org/10.1155/2020/8828591

一堆深度学习物联网网络攻击检测方法

学术编辑器:凯文·李
收到了 06年4月2020年
修改后的 2020年8月14日
接受 04年9月2020年
发表 2020年9月18日

文摘

物联网(物联网)设备和应用程序是全球急剧增加,从而导致更多的网络安全挑战。这些挑战包括恶意活动目标物联网设备和造成严重的损害,如数据泄漏、钓鱼和垃圾邮件活动,分布式拒绝服务(DDoS)攻击,和安全漏洞。摘要堆叠深学习方法提出了检测恶意流量数据,特别是恶意攻击目标物联网设备。拟议的堆叠深度学习方法与五pretrained捆绑残余网络(ResNets)深入学习可疑活动的特点和区别于正常的交通。每个pretrained ResNet模型由10残块。我们使用的两个大型数据集来评估我们的检测方法的性能。我们调查了两个异构物联网环境使我们的方法可部署在任何物联网设置。我们的方法有能力区分良性和恶意流量数据和检测最物联网的攻击。实验结果表明,我们建议的堆叠深学习方法可以实时提供更高的检测率与现有的分类技术。

1。介绍

物联网(物联网)设备日益增长的数量和在我们的日常生活中扮演非常重要的角色。物联网设备在许多流行的技术解决方案和概念,如家庭自动化、自动汽车,智能城市,物联网的医疗和先进制造业。在物联网、物理设备和日常用品可以分配互联网协议IP地址和网络连接。这些设备使用嵌入式传感器、处理器和通信硬件收集过程,把他们从周围环境中获取的数据。因此,他们暴露在许多网络安全威胁1,2]。2017年5月,Synopsys对此进行的一项调查表明,67%的制造商认为医疗设备很容易攻击和医疗设备是最可能在12个月内妥协,但只有17%的制造商应用程序,以防止这些攻击(3]。McAfee表示,2020年发布的一份报告指出,网络罪犯正在利用COVID-19冠状病毒大流行,导致显著增加几个类别,如物联网恶意软件威胁,移动恶意软件,PowerShell恶意软件。具体来说,McAfee实验室网络威胁感知375每分钟在2020年第一季度(4]。因此,至关重要的系统,如医疗物联网设备和医疗保健网络已经被网络罪犯的目标疾病继续蔓延(5]。

最具破坏性的物联网环境的缺陷之一是缺乏安全措施。这一缺陷使物联网设备容易受到各种攻击,如拒绝服务(DoS),欺骗,数据泄漏,安全网关和窃听。

这些漏洞可以造成巨大的伤害,硬件和导致系统断电,渲染服务不可用,甚至造成物理伤害个人(6]。因此,物联网技术的物联网设备的安全功能不满足最低安全需求,比如中央情报局(机密性、数据完整性和可用性)。的物联网设备的安全功能不足的原因是双重的:物联网设备的异构性对硬件、软件和协议多样性和有限的计算能力(7]。一般来说,很难一个物联网设备的计算能力较低,内存大小有限,限制了电池的功能来执行高安全算法需求密集计算和通信负载(8]。因此,物联网环境中实现和部署安全措施是一个长期的问题(9]。然而,安全解决方案,如nids(网络入侵检测系统)不增加开销物联网设备/环境是有效的,他们被认为是对网络攻击的第一道防线。

最近,主要研究区域内NIDS机和肤浅的学习方法,是基于著名的算法,如朴素贝叶斯(NB) [10),支持向量机(SVM) [11),而决策树(DT) [12]。与基于规则的专家系统NIDS相比,传统的机器上优于NIDS的方法有几个优点,如最小/不人类专家互动(一个昂贵的过程,要求劳动密集型过程)和构建时减少错误数据。深度学习机器学习(子域)已成功地应用在许多应用程序中,如计算机视觉(13),自然语言处理(14),和语音识别15),它取得了最先进的成果。出于的成功基于机器学习方法和准确的改进的空间网络流量分类和识别攻击,我们调查深入学习提高NIDS的性能,尤其是精度。

1.1。物联网的挑战和攻击场景

智能与广泛的异质性驻留在多元化的物联网环境中,和他们互相连接到通过各种通信链接和网络协议。例如,居住在智能家居设备不同于设备驻留在智能电网。智能家居物联网设备包括但不限于智能电器、安全摄像头,婴儿监视器、连接照明,智能电表,门铃,恒温器,太阳能电池板,烟雾报警器和摄像头。这些设备可以驻留在一个物联网环境设置(即。智能家居设置),但不是每一个物联网环境中。这些设备使用特定的网络协议相互通信和连接网关使用相同的或另一个网络协议。设备驻留在不同的物联网环境如智能电网的范围可以从发电机、智能电子设备(ied)、断路器、变电站开关。本节中使用的术语和它们的描述如表所示1


术语 描述

智能电表 一个物联网设备,报告信息,如天然气、水、或家庭或组织的能源消耗。
恒温器 一个给定系统的感官的仪器温度和执行行动来维持温度。它还允许用户远程控制家庭供暖或空调。
网关 中央枢纽,作为桥梁连接传感器或执行器网络。
开关 数据链路层的设备,使用48比特位标识符(也称为MAC地址)来传递数据。
无线访问点 网络设备连接无线局域网设备的线网络通过路由器或交换机。

在这个研究中,我们调查了两个攻击场景目标两个异构物联网环境中,即智能家居和智能电网,来验证我们的断言。智能家居环境的攻击场景如图1包括各种物联网设备,包括门铃,恒温器,婴儿监视器,安全摄像头,摄像头。这些设备连接到无线网络接入点,充当协调人,继电器交通网络的有线方面(即通过数据链路层设备。一个开关)。网络攻击可以启动使用两个著名的僵尸网络称为Bashlite和Mirai。

可能的攻击发起Bashlite僵尸网络可以下面的形式:(1)扫描:嗅探网络为了找到肉鸡设备启动其他攻击(2)垃圾:启动垃圾短信(3)用户数据报协议(UDP):交通推出使用UDP协议充斥网络(4)传输控制协议(TCP):交通推出利用TCP协议充斥网络(5)组合:启动垃圾短信和连接到给定的IP地址和端口号

可能的攻击发起Mirai如下:(1)设备通过扫描网络扫描:找到脆弱(2)应答:发动袭击,洪水网络使用Ack数据包(3)Syn:洪水网络发起Syn数据包(4)UDP:启动UDP流量充斥网络(5)UDPPlain:洪水与UDP网络流量使用更少的选择

智能电网的攻击场景如图2由电力系统的各个组件,配置框架。配置包括发电机(用G1和G2)和智能电子设备(标记为R1 R4),其目的是开关或关闭断路器。断路器用BR1-BR4连接使用两条线:一条连接BR1 BR2,和其他线连接BR3 BR4。此外,距离保护方案,跌倒检测故障的断路器是使用的简易爆炸装置。使用这个方案,因为没有内部验证机制,检测检测故障是否伪造或者有效。此外,运营商可以用来发射命令波浪翻滚的简易爆炸装置。简易爆炸装置连接到网络的有线方面通过变电站开关。

以下列出的攻击(连同他们的目的)可以发起入侵者伤害物联网环境(即。工业控制系统):(1)远程跳闸命令注入:断路器是开放的结果(即发出命令。启动远程继电器跳闸命令注入)(2)数据注入:这种攻击可以通过调整实现值等参数序列组件,电流,电压模拟一个有效的故障,影响操作符(运营商遇到停电)(3)继电器设置变化:攻击者利用距离保护方案(用于配置继电器)改变继电器的设置,以阻止它们的功能。因此,继电器将无法旅行一个有效的命令或适当的错

1.2。动机

当我们介绍中提到的,很难实现需要的计算资源的安全解决方案,如加密在low-constrained物联网设备。NIDS进场的重要性:它甚至可以实现强大的计算机或服务器在物联网环境下的边缘,它作为第一道防线,在物联网环境下的所有设备。然而,部署一个巩固NIDS工作在任何物联网环境中是一个重型任务因为这些异构智能的东西有不同的特点,这些设备所产生的交通是不同的(即。合法的交通物联网设备在给定物联网环境可能不同于交通所产生的合理的物联网设备在另一个物联网环境)。出于这些挑战,我们提出一个可以深入学习的NIDS物联网设备的特点和检测入侵者打算伤害物联网环境。我们评估方法在两个异构物联网环境组成的异构物联网设备。

我们最好的知识,提出的体系结构堆叠深度学习的方法是小说和改善当前的性能(精度)的nids部署在物联网模式。本研究论文的贡献如下:(1)小说堆叠深度学习体系结构包括五个pretrained残余网络(ResNet)模型提出了准确识别物联网网络攻击(2)该方法实现了有前景的结果在两个广泛使用的数据集涉及物联网交通(3)该方法是评估两个异构物联网环境中,使该方法更全面,能够发现更多的攻击比先前提出的方法

剩下的纸是构造如下:部分2调查相关工作。深入学习和堆叠泛化合奏背景介绍部分3。部分4提出我们的建议堆放深度学习的方法。部分5介绍了实证评价和结果。部分6分析结果。部分7结论我们的研究论文。

几种方法的检测物联网攻击之前提出。例如,最近的一项研究[16)提出了一个基于correntropy和相关系数的特征选择方法评估和衡量网络流量特性的力量和重要性。然后,演算法整体法结合三个分类技术,即NB,人工神经网络(ANN)和DT,发现任何恶意的事件。该方法测试在两个数据集,这是为物联网交通特别是物联网僵尸网络的攻击。该方法产生了一种很有前途的结果相比,nids基于传统算法。然而,这种方法并不全面,不能检测目标物联网网络的所有攻击,因为它是评估使用DNS和HTTP流量,和生成的恶意流量包含物联网僵尸网络的攻击。

米尔斯基et al。17)提出了一个网络异常检测框架使用一个基于合奏autoencoders无监督学习方法,可以有效地探测在网络流量异常模式。框架由一个特征提取器提取有用的特性,特性映射器的特性映射到autoencoders之一,并异常探测器分类和检测任何恶意数据包在网络流量。一些固有的局限性异常检测能够显著影响这种方法,考虑物联网设备的异质性及其生成意想不到的流量。首先,攻击者可以绕过这种方法通过生成交通,类似于正常交通,但包括恶意活动。第二,交通从合法设备软件缺陷可能被视为异常流量,从而增加虚假警报的数量。

Meidan et al。18)提出了深度学习autoencoders发现任何攻击发射物联网机器人。在这部作品中,深autoencoder训练在良性的实例只表现出正常的行为,这样它可以被训练来重建其输入。因此,它成功重建正常的观察,但它在重建失败异常观测(未知的行为)。当重建误差累积,然后给定的观测被归类为异常。一个阈值被用来区分良性和恶意活动。框架是评估在一个数据集,能够有效地检测异常交通。然而,使用不同的物联网框架并不是评估设置智能家居(即。,normal traffic was generated through nine smart home devices, such as a doorbell, security camera, and thermostat). Thus, its effectiveness in detecting other IoT attacks and IoT environments has not been investigated. It is an approach designed for a specific purpose: IoT botnet attacks that target smart home devices. This technique might not work in other IoT environments as effectively as it does in smart home settings because of the heterogeneity of IoT environments, in which it is hard to make profiles for the normal traffic of IoT devices. Marcelo et al. [19)设计了一种自适应网络层组成的几个方案构建块来分析网络行为的Mirai Bashlite僵尸网络家族和开发可以帮助阻止攻击的签名。普罗科菲耶夫等。20.)使用逻辑回归模型来检测物联网僵尸网络在早期操作步骤。这些方法共享相同的限制,这是他们设计的恶意软件检测物联网家庭(即。Mirai Bashlite)。其他攻击目标物联网设备可以绕过NIDS和影响物联网环境。Derhab et al。21提出了一个入侵检测系统。他们的系统利用随机方法和子空间的整体造型 - - - - - -最近的邻居(资讯)检测伪造命令攻击被发送到降解工业控制过程的性能。随机子空间(也称为装袋)使用特性采取随机的子集,而不是利用整个特性集。随机子空间总是与分类器绑定(通常是一个决策树分类器)来执行监督学习。作者研究资讯,取得了可喜的成果,然后,他们使用随机子空间作为一个整体的方法组成的资讯,进一步提高性能。尽管该方法取得了有前景的结果,只有在一个数据集测试设计用于智能电网环境。在其他物联网设置测试时,其有效性可能恶化。

王等人。22)提出了一个方法基于递归神经网络(RNN)称为人工长期短期记忆(LSTM)检测数据在工业控制过程中注入攻击。作者利用一个LSTM特征能够预测的时间序列和处理离散数据通过构造相应的相关性。LSTM被训练使用正常的流量和测试使用的流量传感器产生的试验台。随后,作者利用欧几里得探测器(即。,a detector employing a Euclidean distance mechanism) to measure the deviation of new unseen traffic to detect attacks. The proposed method is a specific-purposed strategy that was introduced to detect data injection attacks in the industrial control process. Thus, its effectiveness in the detection of other attacks that target IoT environments was not investigated. Additionally, the authors only used one dataset, which is not sufficient for evaluating the performance of the proposed method.

大多数先前提议解决方案利用传统的机器学习算法来检测物联网网络攻击。然而,这些解决方案缺乏准确性。虽然有一些解决方案基于深度学习,这些现成的体系结构设计的用于解决其他问题;因此,他们不够准确检测物联网网络攻击。此外,所有这些解决方案只寻求解决问题的一部分,例如,检测智能家居网络攻击(即。,这些异构物联网环境解决方案进行评估)。

3所示。ResNet和堆叠整体背景

本节讨论的两种技术用于检测物联网网络攻击。深度学习、特别是ResNet架构和堆叠概括整体介绍了部分3.13.2,分别。

3.1。ResNet模型背景

深度学习是机器学习与进化的一个子集。深度学习已经重塑了机器学习领域,最近获得了机器学习研究团体的关注由于其强大的性能。它可以表示和特征提取有意义的数据。此外,它可以处理大量的数据在短时间内,同时保持杰出的表现。此外,一些深学习算法如卷积神经网络(CNN)不需要任何预处理步骤。深入学习算法能够解决许多复杂的问题。特别,CNN是一种先进的学习方法,在许多领域取得了最先进的成果,如面部、步态,行动,和语音识别;视觉目标识别;和对象检测。CNN是由多个处理层,如卷积、二次抽样,充分连接层。 The ultimate goal of these layers is to extract and learn the important features and representations of data. Although CNN is making major advances in solving very complicated issues that cannot be solved by other algorithms, optimizing and finding the best CNN model are still complicated issues. In the last decade, researchers have proposed many advanced deep CNN models, such as AlexNet [23],ResNet [24],Xception [25),视觉几何组(VGG) (26),《盗梦空间》(27]。ResNet有很大的性能和与其他CNN相比取得了最先进的架构。

ResNet模型由许多ResNet块。ResNet块有一个特殊的基础映射和“身份快捷连接”功能,它跳过一个或多个层。

3.2。堆叠泛化合奏

堆叠泛化(28)或者只是堆积于1992年提出的沃伯特。一堆泛化合奏技术,结合多个级通过metaclassifier或metalearner分类模型。这些训练有素的输出级模型结合起来,作为功能训练metaclassification模型。堆叠的过程概括如下:两个不相交的数据集分为训练集,基本级别的分类模型的训练,利用第一部分,基本级别的分类模型使用第二部分进行了测试,并从基本分类模型生成的预测是用作输入和地面真值表输出训练metaclassification模型。注意堆叠泛化的训练和测试部分类似于交叉验证;然而,基本级别的分类模型相结合(很可能非线性)而不是利用“赢者通吃”的技术。叠加所带来的精度已经被证明是高于单个分类器(29日]。

4所示。我们建议的方法

本文中提出的方法使用一个最先进的机器学习算法来检测网络攻击对物联网设备。我们的方法是基于深度学习。我们堆放五深ResNet模型 ,这些模型的输出连接到一个新的模型,将它们的输出作为新的训练数据。下面的算法1解释堆ResNet模型的功能。

输入:训练数据
输出:系综分类器
初始化:
步骤1:学习基本的分类器C
= 1到5
学习C基于D
结束了
第二步:形成新的预测数据集Dh
= 1到5
Dh= { },
结束了
步骤3:学习一元分类器
学习H基于
返回

是数据集, 是输入样本, 的标签样本, 是指数。

在每个ResNet模型中,所有10个ResNet块有两个卷积层。考虑到输入 ,这是送入卷积层( ),ResNet块被定义为的操作 在哪里 层的索引。我们的提议的体系结构模型如图3。每个sub-ResNet模型由10 ResNet块。每个ResNet分别与训练数据训练 之后,一个全新的模型训练学习如何最好地结合所有5个的子的贡献。因此,如图3,在测试阶段,每个5子接收输入(一个向量)和转换它通过一系列的层。然后,所有五个模型的输出组合起来形成一个新的训练数据集 ,这是美联储直接新meta-algorithm吗 新meta-algorithm包含两个致密层Softmax输出类分数紧随其后。第一个致密层由40个神经元,第二致密层包含20个神经元。所有五个ResNet模型有相同的设置。

每个卷积层16卷积过滤器(内核),输出特性的地图。一个卷积层使用。每个卷积过滤器的大小是9,大步的1。这些参数的值是经验决定的。此外,在我们的例子中,使用一维卷积层自输入是一维的。每个滤波器的输出是美联储直接ReLU激活函数,将每个值 同样的如果它是正的,或它将输出为零,如图所示 在哪里 是激活函数的输入值。每个卷积核的操作定义如下: 在哪里 是卷积算子。它可变内核 与输入图像 ,添加了偏差 ,然后应用整流器的功能 ,在方程(定义2),产生一个特征映射 每个过滤器的输出垫与零输出特性映射具有相同的长度作为输入。开始训练我们的网络,偏见在我们的模型中都初始化为0,和每个内核初始化使用的权重矩阵Glorot (Xavier)统一初始化30.]。泽维尔初始化了一个均匀分布的样本范围内 ,在哪里 在哪里 是输入的数量单位矩阵和重量 是输出的数量单位权重矩阵。最后ResNet块后,平均池(avg池)是用来降低数据的大小,如图3。我们发现池平均结果略优于最大池。我们的模型使用平均池大小为2,大步的2,减少和downsample特征图。平均池被定义为 在哪里 是普通池的大小。池平均分为矩形池的输入区域。

每个地区 是downsampled通过计算其值的平均值。

在完全连接层,Softmax用于分类。Softmax被定义为 在哪里 是一个输入向量,输出一个向量,0和1之间的值,这一笔。培训期间我们还利用交叉熵的损失函数和亚当优化器的优化模型。我们使用默认参数值,建议在原来的纸。因此,我们设置的值 到0.9, 0.999,学习速率衰减到0。我们选择了亚当优化器,因为它具有RMSProp优化器和AdaGrad优化器。

5。实证评估和结果

我们利用Keras (Python编程语言的深度学习图书馆)(31日)来实现我们提出的方法。的方法相比,我们的方法是使用scikit-learn实现(机器学习Python库)32]。所有的实验使用笔记本电脑运行Windows 10操作系统和16 GB的RAM。

5.1。数据集

在我们的实验中,我们努力利用真实的案例研究方案,进行了一个工业控制系统(ICS)(即。,智能电网设置)33和智能家居环境18]。

5.1.1。电力系统数据集

第一集是一个电力系统数据集,使用ICS网络攻击数据集集合的一部分。电力系统数据集分为三个不同的subdatasets,分类根据类的数量,他们包括(即。,二进制类subdataset,三级subdataset,多级subdataset)。在这项研究中,我们只专注于二进制类subdataset。的二进制类subdataset有15个不同的数据集。表2显示了在二进制类实例的数量subdataset。样品的数量是78377,正常类样本的数量是22714,和不正常类样本的数目是55663。特征的数量是128。发起网络攻击产生异常交通数据注入,远程跳闸命令注入和继电器设置改变。每个样本(实例)二进制subdataset分为正常事件或攻击事件。电力系统及其信息公开https://sites.google.com/a/uah.edu/tommy-morris-uah/ics-data-sets


数据集 样品 数据集 样品 数据集 样品

1 4966年 2 5069年 3 5415年
4 5202年 5 5161年 6 4967年
7 5236年 8 5315年 9 5340年
10 5569年 11 5251年 12 5224年
13 5271年 14 5115年 15 5276年

5.1.2中。N-BaIoT:物联网僵尸网络攻击数据集

N-BaIoT数据集(18)由九subdatasets来自九个物联网设备:Danmini门铃,Ecobee恒温器,尼奥•门铃,飞利浦B120N10婴儿监视器,飞利浦B120N10婴儿Monitor2条款PT 737 e安全摄像头,提供PT 838摄像头,三星SNH 1011 N网络摄像头,SimpleHome XCS7 1002什么摄像头,和SimpleHome XCS7 1003什么摄像头。每个九集都有恶意数据,可分为10攻击,这是由两个僵尸网络(即。,这些攻击是集成到“攻击”类),加上一个类的“良性的。“三subdatasets N-BaIoT数据集的细节,我们在实验中使用如表所示3。N-BaIoT数据集及其细节公开http://archive.ics.uci.edu/ml/datasets/detection_of_IoT_botnet_attacksN_BaIoT


数据集 良性的

Ecobee恒温器 39100年 835876年
尼奥•门铃 13113年 355500年
三星SNH 1011 N网络摄像头 52150年 375222年

5.2。结果

有15个电力系统subdatasets二进制类。我们将每一个测试培训15到70%和30%。例如,在第一个subdataset,我们有3790 1625训练样本和测试样本。每个样本被归为攻击或正常。我们pretrained五层ResNet单独使用训练集模型。使用30%的测试数据集,我们给这五个ResNets为元模型的输出特性。因此,元模型在基本级别的模型的输出训练。

如本节所述,我们的性能评估方法和其他三个类似的方法。最近提出了两种方法来检测恶意攻击的工业控制系统环境(21和智能家居环境16]。我们还测试了几个机器学习算法,随机森林取得最好的准确性。(也就是最准确的方法。,the random forest ensemble method) among the tested methods was included in this study to further evaluate our proposed method. As we mentioned in the previous subsection, the power system dataset and N-BaIoT dataset were utilized to validate our proposed method, particularly binary-class datasets. The first dataset contains 15 subdatasets. For the binary class, our method achieved the best performance in terms of accuracy on all subdatasets. The results of our method when applied to the power system dataset are listed in Table4


模型 电力系统
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

我们的 97.7 97.9 97.2 96.0 97.1 96.8 98.3 97.2 96.7 98.0 97.9 98.0 98.5 98.4 96.9
(16] 93.4 89.3 89.8 88.8 32.5 90.2 75.2 74.9 89.1 88.5 89.8 89.6 92.7 90.1 88.5
(21] 90.0 88.5 86.8 84.9 88.6 85.6 88.5 89.2 87.2 88.8 86.7 86.3 88.9 88.1 87.4
射频 93.8 93.1 94.5 93.3 94.0 93.4 94.3 94.0 93.2 94.0 94.3 93.9 96.0 94.8 92.9
LR 87.7 71.0 72.7 67.9 75.0 71.3 77.5 74.3 69.9 73.1 76.3 69.4 78.5 75.0 68.7
DT 92.5 90.0 89.5 89.4 92.3 91.3 89.2 92.3 90.1 87.9 91.2 89.7 92.7 90.6 88.5
乔治。 77.6 73.2 72.1 69.0 76.2 72.3 78.7 74.0 70.5 73.2 77.6 69.6 79.1 74.9 70.0
QDA 50.2 51.4 48.8 50.7 44.9 47.5 49.3 47.8 52.8 50.6 43.2 54.3 49.7 46.4 57.3
然而, 89.4 87.4 86.7 85.1 89.2 85.8 88.0 89.2 86.6 88.4 86.0 86.0 88.9 88.1 87.5
25.2 34.1 33.5 39.2 31.5 32.1 29.2 60.8 35.6 33.4 75.8 39.0 27.6 28.9 38.7
XGB 88.3 84.2 88.4 81.7 81.7 82.6 84.7 86.5 84.4 86.4 84.5 80.9 86.3 83.6 83.4
中长期规划 79.1 69.4 71.1 62.1 71.5 32.0 73.9 28.0 65.7 71.6 76.5 65.2 76.2 28.4 62.7
RSS 93.8 92.1 93.8 92.8 94.2 93.1 92.8 93.9 92.0 92.7 92.0 92.4 95.5 94.3 92.0
GB 90.0 85.7 87.5 82.5 83.5 83.9 85.6 87.3 85.5 87.7 86.0 84.6 87.1 85.7 85.3

我们的方法的平均精度和精度的比较方法如图4。平均精度计算的精度测试方法在每个subdataset除以subdatasets的数量。如图4,我们的方法优于其他方法在电力系统数据集上进行测试。我们的方法的平均精度为97.5%,这比其他的方法;第二个最精确的方法是随机森林(即。,它的精度是94%)。

我们还应用N-BaIoT数据集的方法。这个数据集有九条subdatasets。我们只使用三个subdatasets评估我们的方法。类似于第一个数据集,我们把subdatasets分成70%的训练,30%用于测试。所有方法的结果,包括我们,都描绘在图4,这表明,我们的方法达到最佳性能的准确性N-BaIoT数据集。我们的方法的准确性和精度(即第二好的方法。随机森林),分别是100%和99.9991%。

6。讨论

结果表明,我们提出的方法被证明是比其他算法更能精确地检测一个物联网的网络攻击。我们所有的网络参数,这样的时代,过滤器,ResNet块,致密层和神经元的数量,是根据经验决定的。例如,我们根据经验确定的时代很可能帮助我们的模型学习中提供的样本数据集的特点。在培训过程中,我们的模型可以优化非常顺利,到达当地的最适条件,如图5(即。,this shows the convergence of our meta-algorithm). The figure shows both the accuracy and the loss function during the training process of our meta-algorithm.

我们还指出,减少或增加ResNet块的数量降低了精度。此外,我们发现5 ResNet模型是最优的选择。我们指出,减少时代的数量超过200的准确性下降,尽管增加时期超过200的数量没有显著改善的结果,只会增加计算时间。

我们的方法可以实时检测入侵。目标数据集来衡量一个数据包的检测时间是电力系统数据集,数据集和样本的数量是78377。培训我们将数据集分为70%和30%为每个subdataset进行测试。这给了我们大约23513个样本进行测试和培训。23513个样本的总测试时间是15811 ms。一个包的检测时间是样品在测试集的数量(即。,23513)除以总测试时间(即。15811 ms)。因此,一个包的测试时间大约是1.49毫秒,根据实时的限制。

我们也调查了几个优化器的性能,即亚当优化器(34],RMSProp优化器、SGD优化器和AdaGrad优化器(35]。我们发现亚当优化器有最好的表现,它的优势RMSProp优化和AdaGrad优化器。图6在训练阶段显示了我们的模型的精度在使用这些优化。此外,这种分析证明了亚当优化器,用于在我们的模型中,是最优的选择。

7所示。结论和未来的工作

恶意攻击目标物联网设备是非常具有挑战性的问题。他们目标物联网设备,可以导致严重的问题,如数据泄漏、钓鱼和垃圾邮件活动,DDoS攻击,安全漏洞。在本文中,我们提出一种堆叠深度学习的方法来检测恶意流量数据,特别是恶意攻击目标物联网设备。该方法利用剩余块结构识别可能危害物联网环境的活动。我们调查了几个机器学习算法和两个相关的工作方法与我们建议的方法进行比较。我们评估我们的方法使用两个著名的数据来自两个异构物联网环境。实验结果表明,我们的方法能够深入学习的特点,在两个不同的物联网环境中异构物联网设备。因此,我们提出的方法具有更好的预测性能与相关方法相比,可以达到良好的结果。在未来的工作中,我们计划调查转移学习和其他先进的pretrained模型来提高物联网IDSs的性能方面的准确性和检测时间。我们还将整合其他异构物联网环境证明物联网网络犯罪产生的网络流量是相似的,和一个通用id可以在异构物联网环境中部署。 We will also investigate the impact of deceasing or increasing the number of ResNet blocks on accuracy.

缩写

DDoS: 分布式拒绝服务
集成电路: 工业控制系统
ReLU: Rectified-linear-unit系统
物联网: 物联网
VGG: 视觉几何组
内存: 随机存取存储器
ResNet: 剩余的网络
Xception: 极端的《盗梦空间》
简易爆炸装置: 智能电子设备
网络入侵检测系统: 网络入侵检测系统
情报局: 机密性、数据完整性和可用性
支持向量机: 支持向量机
射频: 随机森林
注: 朴素贝叶斯
安: 人工神经网络
DT: 决策树
资讯: - - - - - -最近的邻居
RNN: 递归神经网络
LSTM: 长时间的短期记忆
LR: 逻辑回归
LDA: 线性判别分析
QDA: 二次判别分析
XGB: 极端的梯度增加
简要: 多层感知
RSS: 随机子空间
GB: 梯度增加
域名: 域名系统
HTTP: 超文本传输协议
WLAN: 无线局域网
无线网络: 无线保真度
麦克: 媒体访问控制。

数据可用性

在我们的实验中,我们努力利用真实的案例研究方案,进行了一个工业控制系统(ICS)(即。智能电网背景)[34]和智能家居环境中[18]。(1)电力系统数据集:第一集是一个电力系统数据集,使用ICS的一部分网络攻击数据集收集[34]。电力系统及其信息公开https://sites.google.com/a/uah.edu/tommy-morris-uah/ics-data-sets。(2)N-BaIoT:物联网僵尸网络攻击数据集:N-BaIoT数据集[18]由九subdatasets来自九个物联网设备。N-BaIoT数据集及其细节公开http://archive.ics.uci.edu/ml/datasets/detection_of_IoT_botnet_attacks_N_BaIoT

的利益冲突

作者在此证明他们没有利益冲突。作者不隶属于任何组织有直接或间接的经济利益在手稿中讨论的主题。

引用

  1. e . Anthi l·威廉姆斯,m . Słowińska g . Theodorakopoulos和p . Burnap”监督入侵检测系统的智能家居物联网设备,“IEEE物联网》第六卷,没有。5,9042 - 9053年,2019页。视图:出版商的网站|谷歌学术搜索
  2. b . Alotaibi”,利用区块链来克服网络在物联网的安全问题:复习一下,”IEEE传感器杂志,19卷,不。23日,第10971 - 10953页,2019年。视图:出版商的网站|谷歌学术搜索
  3. “网络安全主管:医疗设备网络攻击的“靶子”,“https://www.digitalhealth.net/2017/12/medical-device-functionality-vs-cybersecurity/视图:谷歌学术搜索
  4. “McAfee实验室COVID-19威胁报告”,2020年7月https://www.mcafee.com/enterprise/en - us/assets/reports/rp季度- - 7月- 2020. - pdf的威胁视图:谷歌学术搜索
  5. h . s . Lallie洛杉矶牧羊犬,j . r .护士et al。”时代的网络安全covid-19:一个时间表和分析网络犯罪和网络攻击在大流行期间,“2020年,http://arxiv.org/abs/2006.11929视图:谷歌学术搜索
  6. e . Anthi a Javed、o . Rana和g . Theodorakopoulos“基于云计算的安全数据共享和分析能源管理系统”云基础设施、服务和智能城市物联网系统。2017年IISSC CN4IoT 2017。课堂讲稿的计算机科学研究所、社会信息和通信工程,189卷施普林格,a . Longo Ed,可汗,2017年。视图:出版商的网站|谷歌学术搜索
  7. j . Frahim c . Pignataro j . Apcar和m .明天获得物联网:拟议的框架,2015年。
  8. l·肖x Wan, x, y,和d . Wu”物联网安全技术基于机器学习:物联网设备使用AI来增强安全性如何?”IEEE信号处理杂志,35卷,不。5,41-49,2018页。视图:出版商的网站|谷歌学术搜索
  9. e . Anthi s·艾哈迈德·o . Rana g . Theodorakopoulos和p . Burnap”EclipseIoT:一个安全的和自适应物联网中心,“电脑与安全卷,78年,第490 - 477页,2018年。视图:出版商的网站|谷歌学术搜索
  10. l . Koc t . A . Mazzuchi, s . Sarkani”网络入侵检测系统基于一个隐藏的朴素贝叶斯多类分类器,”专家系统与应用程序,39卷,不。18日,第13500 - 13492页,2012年。视图:出版商的网站|谷歌学术搜索
  11. s . j . Horng m . y . Su黄懿慧Chen等人“一种新颖的基于层次聚类的入侵检测系统和支持向量机,”专家系统与应用程序,38卷,不。1,第313 - 306页,2011。视图:出版商的网站|谷歌学术搜索
  12. d .月亮,h . Im,金正日,j . h .公园”DTB-IDS:基于决策树的入侵检测系统使用行为分析对预防恰当的攻击,“《华尔街日报》的超级计算,卷73,不。7,2881 - 2895年,2017页。视图:出版商的网站|谷歌学术搜索
  13. y . j . Wang, j .毛z黄黄c和w·徐”CNN-RNN:一个统一的多标记图像分类框架”《IEEE计算机视觉与模式识别会议拉斯维加斯,页2285 - 2294年,NV,美国,2016年。视图:谷歌学术搜索
  14. a·库马尔,o . Irsoy, p . Ondruska et al .,“问我什么:动态内存网络对于自然语言处理,”国际会议上机器学习,页1378 - 1387,纽约,纽约,美国,2016年。视图:谷歌学术搜索
  15. n . w . Chan Jaitly、问:勒和o . Vinyals,“听着,参加和法术:大词汇量的语音识别的神经网络,”2016年IEEE国际会议音响、演讲和信号处理(ICASSP),第4964 - 4960页,上海,中国,2016年3月。视图:出版商的网站|谷歌学术搜索
  16. n·穆斯塔法、b·特恩布尔和k·k·r·Choo”一个入侵de - tection技术基础上提出了保护网络流量统计流特征的物联网,”IEEE物联网》第六卷,没有。3、4815 - 4830年,2019页。视图:出版商的网站|谷歌学术搜索
  17. y米尔斯基,t . Doitshman y Elovici, a . Shabtai”Kitsune: autoencoders在线网络入侵检测的合奏,”2018年,http://arxiv.org/abs/1802.09089视图:谷歌学术搜索
  18. y Meidan m . Bohadana y Mathov et al .,“N-BaIoT-network——基于物联网检测僵尸网络攻击使用autoencoders深处,“IEEE普适计算,17卷,不。3,2018,pp。12日至22日。视图:出版商的网站|谷歌学术搜索
  19. j . Ceron k . Steding-Jessen c . Hoepers l·格兰维尔和c . Margi”使用一种自适应网络层,提高物联网僵尸网络调查”传感器,19卷,不。3,p。727年,2019年。视图:出版商的网站|谷歌学术搜索
  20. A·o·普罗科菲耶夫、y s Smirnova和v . A . Surov”方法来检测物联网僵尸网络,”2018年IEEE会议的俄罗斯年轻研究人员在电气和电子工程(EIConRus),页105 - 108年,莫斯科,俄罗斯,January-Febuary 2018。视图:出版商的网站|谷歌学术搜索
  21. a . Derhab m . Guerroumi a Gumaei et al .,”区块链和随机子空间上优于IDS SDN-enabled工业物联网安全,”传感器,19卷,不。14,3119年,页2019。视图:出版商的网站|谷歌学术搜索
  22. x y . w . Wang谢,l . Ren,朱,r . Chang和问:阴,“检测数据注入攻击在工业控制系统中使用递归神经网络短期记忆,”2018年13 IEEE会议工业电子产品和应用(ICIEA)武汉,页2710 - 2715年,中国,2018年5月- 6月。视图:出版商的网站|谷歌学术搜索
  23. a . Krizhevsky i Sutskever, g·e·辛顿“Imagenet抚慰心灵,对深卷积神经网络,”先进的神经信息处理系统,页1097 - 1105,柯伦Associates Inc ., 2012。视图:谷歌学术搜索
  24. k . x张,他任美国,j .太阳,“深残余学习图像识别,”《IEEE计算机视觉与模式识别会议拉斯维加斯,页770 - 778年,NV,美国,2016年。视图:谷歌学术搜索
  25. f . Chollet”与切除可分离旋转Xception:深入学习,”《IEEE计算机视觉与模式识别会议火奴鲁鲁,页1251 - 1258年,嗨,美国,2017年。视图:谷歌学术搜索
  26. k . x张,他任美国,j .太阳”空间金字塔池深卷积网络视觉识别,”IEEE模式分析与机器智能,37卷,不。9日,第1916 - 1904页,2015年。视图:出版商的网站|谷歌学术搜索
  27. c . Szegedy w·刘,y贾et al .,“要更深的曲线玲珑,”《IEEE计算机视觉与模式识别会议美国,页1 - 9,波士顿,MA, 2015。视图:谷歌学术搜索
  28. d·h·沃伯特“堆叠泛化”,神经网络,5卷,不。2、241 - 259年,1992页。视图:出版商的网站|谷歌学术搜索
  29. “整体学习,”斯维尔m大脑理论和神经网络的手册美国剑桥,麻省理工学院出版社,马,2008年。视图:谷歌学术搜索
  30. x Glorot和y Bengio”理解的难度训练前馈神经网络——荷兰国际集团(ing)深,”《十三人工智能国际会议上和统计撒丁岛,页249 - 256年,意大利,2010年。视图:谷歌学术搜索
  31. f . Chollet“Keras”, 2015年,https://keras.io视图:谷歌学术搜索
  32. f . Pedregosa g . Varoquaux a Gramfort et al .,“Scikit-learn:机器学习在Python中,”机器学习研究杂志》上》12卷,第2830 - 2825页,2011年。视图:谷歌学术搜索
  33. r . c . b .劳务j . m .海狸m·a·巴克纳Adhikari, t . Morris和锅,“机器学习电力系统扰动和网络攻击歧视”2014年第七届国际研讨会上弹性控制系统(ISRCS)美国丹佛市,页1 - 8,2014年8月。视图:出版商的网站|谷歌学术搜索
  34. d . p . Kingma和j .英航“亚当:随机优化方法,”第三学习国际会议上代表——交单(ICLR2015)圣地亚哥分校,2015年。视图:谷歌学术搜索
  35. j . Duchi大肠领唱者,y歌手,“次梯度自适应在线学习和随机优化方法,”机器学习研究杂志》上,12卷,不。7日,2011年。视图:谷歌学术搜索

版权©2020班达尔王子Alotaibi Munif Alotaibi。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。


更多相关文章

PDF 下载引用 引用
下载其他格式更多的
订单打印副本订单
的观点1901年
下载727年
引用

相关文章

文章奖:2020年杰出的研究贡献,选择由我们的首席编辑。获奖的文章阅读