文摘
识别异常和恶意的交通物联网(物联网)网络对物联网的安全至关重要。跟踪和阻止不必要的流量在物联网网络需要设计一个框架,用于识别更准确的攻击,很快,用更少的复杂性。许多机器学习(ML)算法证明了他们在物联网网络效率来检测入侵。但这ML算法存在许多错误分类问题由于不适当和不相关的特征尺寸。本文深入研究了解决这类问题。我们已经介绍了轻量级低成本特征选择物联网入侵检测技术与低复杂性和高精度由于其低的计算时间。小说提出了特征选择技术的集成rank-based卡方,皮尔逊相关性,分数的相关性提取相关特征数据集的所有可用的特性。然后,特征熵估计应用于验证提取所有功能之间的关系来识别恶意物联网的交通网络。最后,一个极端的梯度合奏提高方法用于分类的特征相关的攻击类型。仿真在三个数据集上执行。NSL-KDD, USNW-NB15, and CCIDS2017, and results are presented on different test sets. It was observed that on the NSL-KDD dataset, accuracy was approx. 97.48%. Similarly, the accuracy of USNW-NB15 and CCIDS2017 was approx. 99.96% and 99.93%, respectively. Along with that, state-of-the-art comparison is also presented with existing techniques.
1。介绍
是物联网技术在数字世界的新时代。物联网是赋予物理对象在无缝地处理数据1]。它使物体互动,让他们反应,无需人工干预。据Gartner最近的一份报告,将会有大约84亿2020年全世界连接实物和预计这个数字将增加到204亿到2022年(2]。这些应用程序是高度承诺和最好的服务。这个数字提高了学者致力于物联网的潜力,性能、效率、挑战,威胁,和安全性。因此,表愿望的高安全性、隐私、身份验证、和康复的攻击。欺骗、窃听、DoS和DDoS攻击物联网应用(1),和维护这些应用程序,我们需要方法,可以防止这种类型的攻击3]。雾也是一个新兴技术,让用户虚拟存储和处理数据在云计算和设备之间,与雾在物联网安全可以发挥至关重要的作用。雾节点有可能生产物联网系统的警报或警告,如果他们遇到任何可疑数据或请求(1]。一些研究者应用边缘计算也是发展最快的技术之一,可以嵌入与其他技术改善其安全,潜力,性能、流动性和数据管理。因此,它也可以应用于物联网应用程序。边缘计算技术提供更短的响应时间(4]。这有助于更好的延迟和系统性能特别是物联网应用程序生成的数据。它可以防止窃听在物联网应用程序和数据泄露。此外,物联网三层架构和工作有知觉,三层网络和应用程序。实现最大的物联网系统的安全和隐私,它在各层的安全至关重要。许多架构提出了物联网在各层的安全使用机器学习(毫升)或深度学习(DL)。学者们研究了各种问题,挑战,在物联网和威胁。此外,现有安全系统是不足以处理所有方面的安全。所以,需要更先进的和增强的安全系统;否则,物联网可能失去其高潜力和高需求。 This advanced and improved system can be deployed with the help of the latest technologies that can be replaced with classical algorithms in IoT security. Machine learning (ML), deep learning (DL), and artificial intelligence (AI) serve methods that will improve the performance and efficiency of algorithms. Efficient intrusion detection systems can help reduce malicious IoT traffic. The incoming IoT packet streams are monitored continuously by intrusion detection systems [5]。主要有两个威胁检测方法:基于签名和anomaly-based。从先前公认的攻击模式是设计一种基于签名的方法。因此,相当于一个id基于签名的签名看到的事件和报告风险匹配。有几个问题采用基于签名,和以下总结:(我)第一个问题是唯一已知的攻击well-investigated特点可以发现,虽然零日(即。不能检测到未知)攻击。不幸的是,攻击者继续发展他们的策略绕过传统的安全机制在不同的攻击行为(6]。(2)第二个问题是,即使新发现的攻击的数量增长,那么签名的数量,导致进一步的相似性存储模式和新的出现。这就提出了一个检测系统更加复杂,直接影响系统的响应时间,这一个实时入侵检测系统的关键问题。因此,在一定条件下,这些IDSs的系统性能降低由于来源有限,可用性(7]。
Anomaly-based检测技术可以解决上述的局限性。基于异常的系统观察序列的数据包和构建系统的正常行为模型。然后学习模式识别异常依赖索引正常和异常数据包之间的相似之处。在这种方法中,主要的挑战是建立一个模型具有独特的正常的系统行为,参考不同的底层行为,由单独的数据源。诚然,各种类型的数据引用可以产生假阳性率增加减少恶意和正常的学习行为之间的相似之处(8]。阅读在此领域的一些研究工作之后,作者主要基于签名的有效性表示担忧ids在场景攻击无法找到9]。本文塑造了这一假设。事实上,基于一个ids签名无法检测未知攻击,因为攻击的词汇不可能包含这些定义。更糟的是,一个id是部署在距离,如果不是在终端设备或低成本的物联网网关。在基于签名的方法,根据需要定期更新的攻击的定义更为困难。
出现的主要问题,而实现入侵检测模型,它必须处理大量的数据。大,无关和冗余数据可能会导致对机器学习的性能产生负面影响。因此,建筑机器学习算法,特征选择中扮演一个主要问题。模型的准确性和时间复杂度的影响由于的存在无关紧要的功能。摘要入侵检测模型在特征选择方法。在这篇文章中,一个包装器为IDS的特征选择算法来处理大量和高维数据集。冗余或过滤无关的特性,显著提高机器学习的训练时间和准确性。筛选、包装和嵌入式三种特征选择方法。在过滤方法中,每个特性分配重量和特征子集用于机器学习分类。过滤方法有好处,它需要更少的计算资源和时间,但这种类型的特征选择的主要问题是缺乏兼容分类过程,从而导致低精度。 Another feature selection method is wrapper method that considered the classification performance while selecting feature subset. This method results in high accuracy but takes more computational time. The embedded feature selection is another method that shows performance in between filter method and wrapper method. In IDS, data need high accuracy as training time was not of much concern. Therefore, in this paper, wrapper feature selection method is adopted. Pearson correlation, f_score correlation, and rank-based chi-square feature selection techniques are combined together to design a hybrid wrapper-type feature selection method that selects optimal or relevant features out of number of feature sets. Correlation feature selection method finds the association among features. But one of the drawbacks is that if it takes entire population (i.e., entire data), it does not result in good performance. Therefore, in this paper, hybridization of feature selection techniques is performed on different sets of data. This results in accurate association among features and gives high accuracy.
本文的主要贡献如下:(我)在这篇文章中,最先进的关于检测恶意的入侵检测框架物联网交通和他们的挑战也提出了(2)本文还提出了一个模型基于特征选择技术打算为物联网交通设计一个轻量级的算法(3)拟议的框架是在物联网的情况下有效的方法可以处理大数据的最佳特性(iv)最后,本文给出了一个与现有技术比较先进的
本文的剩余部分是说明如下:部分2介绍了入侵检测技术的背景知识,为物联网安全,和他们的挑战进行了讨论。节3拟议的方法,论文概述和训练算法。节4,结果分析该模型在不同的数据集。这部分也给了与现有技术比较先进的。最后,在节5结论和未来的研究范围进行了讨论。
2。相关的工作
的参与物联网设备,在我们的日常生活中,越来越多,和收集的数据安全的关键问题这些设备也迅速增加。因此,在[10),三层介绍了入侵检测系统。系统的角度是确定的领域物联网网络基于网络攻击(11]。IDS整体架构由三层;第一层由一个网络工具,扫描和识别与物联网设备基于Mac地址和分类基于他们的行为。第二层识别真正的或恶意的包的连接物联网设备。如果发现任何恶意的或恶意数据包在第二层,第三层将决定什么样的攻击。一些商业物联网设备连接在家里,从这些设备和收集创建交通,tcpdump程序运行在一个接入点。最后,在Syslog服务器,这聚集流量PCAP日志的形式传输,然后储存。随着网络收集数据从实验开始的过程,一个时间跨度为有用和有害数据决定。物联网设备的实验安排和实现,这样整体入站和出站流量处理在访问点记录使用tcpdump工具。增加网络的复杂性,四个自动多级恶意的攻击,在网络上建立了一些场景。 When an individual attack takes place, scripts were developed to generate logs. This is important for the data labeling task which will be further done to supervise the machine learning. The next process is the feature selection in which the development of machine learning is based on an intrusion detection system and IoT. The limitation of this system is that this is not a real-time implemented system.
在[12),入侵检测系统是由使用雾设计计算方法来实现它在网络传播。介绍系统包括两个部分;即。,the first one is attack observation at fog nodes which uses the OS-ELM algorithm which detects that the packet which is coming through IoT traffic is genuine or just to create attacks. The second section of the proposed system is summating at cloud service which provides the global view to examine and observe the ongoing security condition of IoT applications. This is used to forecast the upcoming action of the attacker. The results of this experiment are estimated based on accuracy and response time, the given system achieves 97.36% of accuracy, and response time is evaluated as this system determines attacks 25% faster as compared to other algorithms. This system is to be protected from proactive attacks, which is the limitation of this system.
在[13),作者引入了一个机密保护分布式入侵检测系统结构的基础上循序渐进的学习。这个模型是用来识别拒绝服务攻击,因为许多研究人员仍不成功的在决定实时交通数据集,因此许多攻击者插入恶意的交通模式腐败训练结构。拟议的结构包括三个网络;他们正在生成网络,收集所有的传入流量从物联网设备,然后,独特的功能的设备提取autoencoders的帮助。第二个网络桥接网络,所有收集到的数据提取的有用特性从第一网络(生成网络)被发送到网络的桥梁。收集的数据进行了分析,然后与可用的数据在第三网络分类器网络。在这个网络中,只有重要的桥接网络发送的数据,这样模型将不会像耗时。为了节省时间执行,CNN(卷积神经网络)模型用于最小化假警报和无关紧要的服务访问。简单,它可以被定义为整个过程可以分为三个阶段;第一个是预处理阶段; the second phase is the comparison phase; the third phase is the classification phase based on separate coding extraction of feature and fusion, incremental maintaining module, and finally classification process. This structure has given classification accuracy with minimum space and low computational cost, but the limitation of this structure is that it is not able to identify new attacks in multiple attack scenarios.
在[14),作者提出了一个入侵检测模型基于苍井空蜜罐识别恶意软件攻击。蜜罐只不过是一个虚幻的环境,收集数据的攻击和攻击者只陷阱但不禁止他们。介绍了入侵检测蜜罐系统的体系结构由一个低交互蜜罐IDS服务器和网络。他们收集的所有信息从传入流量和调查收集到的数据。复杂事件处理(CEP)引擎连接不同的直接从主机和网络攻击事件,蜜罐代理,SDN控制器,等。根据CEP的结果,恶意的过程确定和摧毁。蜜罐代理结构运用社会豹算法(苍井空)。介绍入侵检测蜜罐系统采用复杂事件处理技术特性之间的相互关连主机,网络,和几个事件。ransomware加密过程发生为已读,加密,写入和删除。当有进展或运动从一个状态到另一个假的文件夹,它调查活动是否由用户或攻击者的活动。一旦文件被读取和加密,它表示作为可疑活动,检查特定的变量,然后这个过程的结果发送到CEP引擎和防火墙; here, engine interrelates the values from the honey folder, audit watch, and SDN application and creates an alert which is based on high accuracy, and thus, it determines the malware attacks with minimized loss and high accuracy. The software-defined networking (SDN) applications upgrade network security by applying simple commands. It does not work on healthcare implants, so further this model can be amplified for Internet-connected toys to identify the malware attacks.
在[15),识别有害数据插入在物联网网络,使用一个轻量级入侵检测系统。攻击识别是通过使用机器学习依赖于支持向量机(SVM)。介绍了系统的体系结构包括两个阶段:第一个是训练阶段,第二个是评价阶段。整个系统是由不同的交通强度。培训数据库携带标签样本中获得培训阶段,然后使用这些数据库获取他们的特性,并生成一个池的特性可以被称为功能池。这池伴随着一个向量标签发送训练分类器,然后这个训练分类器分类样本的标记样本和未标记样本。计算分类器的性能,同样的功能使用的培训阶段从数据样本中。实验中完成这项工作与不同的交通强度,并证明了包到达率特性和基于支持向量机分类器能够检测到网络中的入侵等其他分类器相比,神经网络、基于事例和DT。使用这个模型的结果是入侵检测系统依赖于一个支持向量机(SVM)达到足够的检测的攻击。
在[16],作者介绍了入侵检测系统,依靠出色的偏差,研究人员将其命名为Passban;这个系统是用于安全的物联网,与该系统有关。Passban由数据包流的发现、特征提取、训练和模型的加载,操作经理,和web管理界面。在这个工作中,作者侧重于网络交换的性能的客观识别模式略有不同,和名称异常。这些不同的攻击模式是模式发生在网络。看到下面成了一个分类,一种学习策略,可以明确的现状。有许多算法获得,基本上依靠两种技术;第一个是分析,第二个是孤立。特征提取是另一个步骤,然后应用机器学习;从数据中提取一些特征。 Trained data are saved in the local memory of the edge device and the prediction; phase-predicted anomalies are also detected. Finally, all the anomalies are then forwarded to the action manager. In this, Passban is worked on two scenarios and then results are declared. In the first scenario, LOF and i-forest are capable of detecting all the attacks with adequate accuracy, while in the second scenario arrangements are not requisite, which means Passban is connected individually to the network which is to be identified for the attack; it can scan overall traffic of the device linked with the network. This technique is useful in threat determining with the accurate performance, and it can be applied on inexpensive devices also.
在[5),作者讨论了多个工作,依靠物联网设备,安全程序,机器学习程序。研究的主要目的是创建一个连接在上述三个领域。第一个结是物联网和安全程序之间,物联网架构包含三层:感知层、网络层和应用程序层,每一层有不同的攻击。入侵检测被发现许多机器学习技术。这个调查给予完整的网络入侵检测分析物联网安全建立在学习技术的各个方面。这里,物联网的攻击分类是基于挑战他们欺骗,路由攻击像天坑攻击,选择转发攻击,黑洞攻击,虫洞攻击,重放攻击,篡改攻击,否定攻击,和中间人攻击;这些都是技术术语的攻击。其他类型的攻击是基于设计挑战,其中一些互操作性和多样性,安全和隐私,等。基于机制过滤数据包,采用加密,使用健壮的密码身份验证方案,和审计和日志活动。各种学习技术所描述的是不同的研究人员;有些机器学习和深度学习,并基于这些学习策略,不同的算法生成决策树、人工神经网络、朴素贝叶斯、森林最优路径算法,物流递归、支持向量机等。本研究工作有助于从一个学术的观点来看,也是工业研究。
在[17),作者提出了一种两级AI IDS SD-IoT网络流分类和特征提取两个阶段。体系结构具有自学习能力。得到最好的特征被提取,提高蝙蝠算法和最优性能群部门和二进制微分应用突变。然后,一种改进的随机森林是申请网络流分类、和改善分类,权衡机制也使用。实验结果是KDD Cup 1999数据集的一个子集上执行后,将采样。实验结果验证架构的更好的精度和更低的开销比以前更好的解决方案,至于它是关心未来的工作,它可以扩展应用于实际网络流量分类。
在[18),作者提出了一个新颖的SDRK-ML算法,即监督款,并进一步扩展到一个无监督聚类技术。物联网和云之间的放置算法层,使其更好地发挥作用。雾节点设置为一个网关和执行数据采集、后来,特征提取是已输入完成训练SDRK深前馈神经网络和k - means其核心工作但在本文中,由于不适当的k - means, k - means命名为“RRS-K-means”的一种变体是用来克服np完全问题。在试验台,提到雾是安装一个可编程的特点,减轻了攻击进行评估。NSL-KDD基准数据集上的实验结果执行。本文的局限性是雾节点本身也可以是一个点黑客的攻击,所以相同的识别和减少培训时间是一些建议的研究工作。
在[19),作者开发了一种CNN-based架构提取链接的属性加载入侵检测路边单元。这种深架构由六个秘密层,三是卷积层和三池层实现平均池与因素两个获得异常波动。为激活函数,乙状结肠函数。链接收费的空间特征表示为一个矩阵,并提出了基于标准的L1的损失函数的反向传播算法训练模型。第一个评价参数的敏感性,使用不同的计算重量和偏见,是评估精度的性能。低轨道离子炮安装实验结果,结果从四个攻击,TCP, UDP, SYN和HTTP。实现DDoS,卢瓦安装。
的作者(20.)提出了交通的有效选择CorrAUC方法通过使用算法来提高物联网网络中流量检测。四个步骤的方法工作。在第一步中,选择一个函数度量称为CorrAUC提取特征。在第二步中,包装技术是用于开发和设计一个算法基于相同的指标。在第三个步骤中,它结合了中华民国曲线相关性属性(CAE)和ROC曲线面积(AUC)检测bot-IoT选择有效的功能。在最后一步中,集成TOPSIS和香农熵将用于验证选择特性的双射软集。皮尔森相关系数之间的利用米和N特征选择中的属性矩阵,但功能生效,如果特性和类之间的关系不是强相关,相关性计算更精确。新开发的数据集称为bot-IoT用于实验评估。本部分中最重要的工作表进行了总结1与他们的局限性。
3所示。方法
物联网的提出了入侵检测框架见图1。这个框架提供了一个概述的框架,它是由三个基本层:数据层、通讯或网络层和应用程序层。数据层由智能传感器数据或物联网节点。收集到的数据,从传感器或任何数据用户,共同传达给下一层,即。、通信或网络层。这一层由网关或开关设备,负责分析收集到的网络数据。异常数据包分析了使用该方法,向管理员报告,而正常的数据包传送到下一层的存储和分析的目的。我们解释了技术提出了在这一节中一步一步的细节。我们的方法包括三个步骤的有效选择物联网网络:数据收集和提取功能,优化选择的特性和分类(如图2)。物联网数据包捕获和传输预处理和特征提取在数据收集阶段。第二,该特征选择方法选择功能包含足够的信息,然后选择特性准确过滤并选择有效的特征选择的ML算法基于这些最优特性。该算法是一个熵特性评估的相关性估计由一个特定的机器学习解决问题(ML)算法(21选择有效的入侵检测。熵的估计,它提供了更详细的信息是否选择特性相似,是一种数学方法用于均匀性测量。有效的物联网功能选择攻击的检测在物联网的网络环境中,这种技术产生非常有效的结果。此外,我们的方法选择特性,携带足够的信息来识别物联网攻击(22物联网网络。要理解清楚,有效的特征选择方法在下面讨论的物联网网络,考虑物联网检测的攻击。
3.1。数据采集和特征提取
传入的交通流捕获,进一步规范化的必要特征提取出传入的数据包(23]。这些提取的功能帮助寻找攻击的类型及其识别。但在特征选择过程之前,应进行预处理提取的数据或特性,因为数据预处理起着至关重要的作用在网络流量处理的数据量是巨大的。这个阶段的算法中说明了算法1。
|
||||||||||||||||||||||
在预处理过程中,减少冗余数据和标准化是重要的一步。这导致平衡数据在规定的范围内形成。的z得分技术用于规范化传入的数据包,见以下方程: 在哪里x我=我th特性集,=的均值我th特性集,=标准差我th特性集。
3.2。特征选择
有效特征选择解决问题与物联网网络恶意攻击检测,三种特征选择方法与熵估计杂化。这将导致选择最好的和最优特征选择。之间的相关特性,选择有效的特征也减少以及计算的数据量。进一步执行特征熵估计克服从类不平衡问题通过消除不相关的功能。
一个rank-based卡方特征选择算法(24)是用来评估依赖的特性集(f我)类标签(cl)。在数学上,它是在下列方程表示为: 在哪里=数量的观察在类cl和=预期观察类的数量cl。
此外,采用皮尔逊时刻相关的技术。这种技术被用来研究独立之间的关系和目标类特征更彻底。P相关系数,一系列值+ 1−1,皮尔森相关系数是可用的。值0表示两个变量无关。值高于0是一种积极的协会,和一个值低于0 - 1。这种技术用于识别不同的特征或属性之间的关系。在数学上,它是代表如下: 在哪里一个我和B我=特性集和和=的特性集一个我和B我,分别。
最后,F采用分数相关性特征选择方法。F分数的相关性是一个算法,用于确定数据值之间的直接或间接的关系。如果这F分数中值较小的特性集,那么这些功能并不相关,而如果价值更高,那么这个特性是高度相关的,可以添加到特征子集。在数学上,它是在下列方程表示为: 在哪里=的均值f我特性集,=的均值我th的属性fj特性集,=我th的属性nth实例fj特性集,=数量的属性jth特性集。
从三种不同的算法,找到相关性后不同的特性集。这些特性集进一步输入特征熵估计算法在最优特征选择结果有助于发现输入数据包的类。这被认为是一个整体的特征选择倾向于给出一个精确的结果。在算法中对此进行了阐述2。
|
熵估计(费用)的特性被用来找到密切相关的特征提取;信息增益公式用于特征选择。在目标变量的上下文,它评估每个变量的增加。计算被称为两个随机变量之间的互信息在这稍微不同的应用程序。最好的特点是由熵的计算。熵是一个不确定性测量,可用于简洁的方式演绎的分布特征。它是数学评估在以下方程: 在哪里Ef=熵的特征集,f我=我th特性集,=熵nth特性集的子集。
因此,对于攻击检测,这些特征选择技术应用于产生重要的相关特性和删除不必要的特性来减少计算复杂度,将导致减少执行时间为恶意交通物联网。
3.3。极端的梯度增加分类
梯度推进是一种集体的机器学习算法,可用于解决分类(25)和回归建模问题。决策树模型是用于创建集合体。纠正过去造成的误分类预测模型,介绍了树木的同时匹配数组。梯度增加得名的事实时减少损失梯度模型拟合,几乎像一个神经网络。基于模拟安装使用梯度方法和可配置的可微的损失函数。因为GBDT算法容易过度拟合,而XGBoost技术标准化因素加入到原始GBDT算法。XGBoost已经广泛增强与以往算法相比,可以极大地增强了培训的时间和精度。让我们考虑输入x我,输出o我,分别观察和预测标签。数学(26),学习模型表示为 在哪里=弱学习功能。
损失函数,而训练,数学在下列方程表示为: 在哪里=培训损失函数, =实证观察和预测标签之间的损失=提高学习者的损失。
整个培训过程中说明了算法3。
4所示。结果与讨论
在本部分中,首先,我们有说明和实验的环境使用的数据集。然后,指标讨论了用于测量性能提出的模型,和之后,结果进行了讨论。
4.1。实验装置
我们选择三个数据集提出的绩效评估方法,即NSL-KDD数据集(27],新南威尔士大学NB15数据集[28],CICIDS2017数据集(29日]。NSL-KDD数据集生成的数据库知识发现(KDD)杯”99数据集来消除相同的数据集和缓解的问题涉及数据库知识发现(KDD)杯”99数据集。有125973 NSL-KDD训练数据库中的数据记录和22544测试数据文件中的数据文件。NSL-KDD记录的大小足够大,可以使用完整的记录没有具有代表性的使用。给定的训练数据集由41特点和22入侵攻击。这里,连接有21个特点,类型相同的主机连接在一起的有19个特点。植物完美的场景计划在澳大利亚网络安全(ACCS)中心实验室网络范围,建立了空间和时间的组合活动的未经加工的网络数据包UNSW-NB 15集(28]。收集100 GB的未加工的数据流量使用tcpdump工具(例如,pcap文件)。有九个不同的安全威胁在这个数据集。最后的数据集是CICIDS2017 [29日),包括更新鲜的数据包,有或没有攻击,非常类似于现实世界的通信网络。这个数据库包含当前现实世界的网络信息已经收集5天,包括各种恶意软件以及正常数据。这项工作是工作在64位英特尔Core-5 CPU与10 8 GB RAM在Windows环境。机器学习算法在MATLAB中实现2020 a。
4.2。性能参数
拟议的工作是评估的基础上,以下参数: TP代表真阳性意味着如果实际和预测数据样本在本质上是异常的,然后评估TP, TN代表真正的-这意味着如果实际和预测数据样本在本质上不是一个异常,然后TN评估,FP代表假阳性这意味着如果实际和预测样本数据是正常的和异常的性质,分别评估FP, FN代表假阴性,这意味着如果实际和预测样本数据异常和正常的,分别,然后FN评估。
4.3。结果分析
表2显示了该入侵检测系统的性能评估与5倍NSL-KDD数据集验证。表2代表性能参数的准确性、精密、召回和F_Measure。同样的,表3代表CCIDS2017数据集上的性能评估。和表4代表UNSW_NB15数据集上的性能评估。在这个分析中,随机选择样本测试数据集和评估。在这工作,5倍执行验证。数据集随机分为5部分,一部分选择测试,和其他部分用于培训。同样的,表5代表了该算法的时间复杂度。从表5,这是观察到的平均时间复杂度NSL-KDD数据集是约。38秒,而对于USNW_NB15和赛迪2017约时间复杂度。2秒,3秒,分别。该方法会产生一个轻量级的物联网设备的低成本的特征选择方法。这是由于计算时间复杂度低,如图3。这个数字证明了时间选择的数量从传入的物联网网络流量的特性。
4.4。比较先进的
物联网或边缘节点很容易受到网络攻击,恶意软件和网络连通性使注射从互联网。在大多数的攻击检测学习模型,梯度问题发生和消失的后期培训期间面临着过度拟合问题。如今,它已成为一个最有前途的研究领域的研究人员每日在引入新的攻击网络。本节致力于探索其他的工作人员在入侵检测领域。比较先进的解释了与其他现有的工作表6。
5。结论
攻击检测在物联网是一个相当重要的任务跟踪物联网交通的安全。在过去的几年里,许多研究人员已经实现机器学习(ML)技术跟踪并阻止恶意交通物联网。但在不适当的特性,这些毫升模型导致误分类问题以及在学习过程中时间复杂度。这值得注意的问题需要通过设计一个框架来解决最优和准确的特征选择从恶意交通物联网。为此,提出了一个新的框架模型。首先,提出的特征选择方法是由结合rank-based卡方,皮尔逊相关性,f_score相关提取相关特征数据集的所有可用的特性。这些算法是一种包装技术,过滤掉的特性分类更准确和有效。然后,特征熵估计应用于验证提取所有功能之间的关系来识别恶意物联网的交通网络。实验模拟了通过使用三个数据集,NSL-KDD, UNSW-NB15 CCIDS2017,相比之下,一些现有的工作。观察到在NSL-KDD数据集、准确性是约。 97.48%. Similarly, the accuracy of USNW-NB15 and CCIDS2017 was approx. 99.96% and 99.93%, respectively. The following conclusions can be derived from the implementation of the proposed algorithm:(我)拟议的框架可以在互联网上实施安全与诚信的事情(物联网)(2)特征选择技术去除局部最小值的缺点,他们收敛更快(3)通过选择最优特性,减少训练时间(iv)高度相关的特性需要改善性能水平。不必要的特性将导致计算的复杂性(v)更快的执行与减少特性导致更快的入侵警报,并相应预防措施可以应用
在未来的工作中,这项工作将会扩展到其他数据集也更实时的攻击检测将探索。这将创建使用细粒度的限制以确保在大数据集即使启用隐私特征分类算法和分析操作的。物联网(物联网)应用程序框架开发必要的技术能力施加足够的安全控制更多的数据收集、传输和分析在一个共同的基础设施。
符号
| 物联网交通: | 传入的物联网交通 |
| : | 提取的特征 |
| : | 网关节点 |
| 我规范: | 归一化输入数据包 |
| x我: | 我th特性集 |
| 意思是(x我): | 的意思是我th特性集 |
| : | 的标准偏差我th特性集 |
| : | Z分数的特性集 |
| f: | 特性集 |
| cl: | 类标签 |
| : | Rank-based卡方特征选择 |
| : | 在课堂上观察cl |
| : | 在课堂上的预期数量的观察cl |
| P相关系数: | 皮尔森时刻相关 |
| 一个我,B我: | 任何特性集 |
| , : | 的特性集 |
| : | F分数的相关性 |
| : | 的意思是f我特性集 |
| : | 的意思是我th的属性fj特性集 |
| : | 的我th的属性nth实例fj特性集 |
| : | 的属性jth特性集 |
| Ef: | 特性集的熵 |
| f我: | 我th特性集 |
| : | 的熵nth特性集的子集 |
| x我: | 输入数据 |
| o我: | 观察到的类标签 |
| : | 预测类标签 |
| : | 弱学习函数 |
| : | 培训损失函数 |
| : | 实证观察和预测之间的损失函数标签 |
| : | 的损失函数,提高了学习者 |
| : | 特征向量 |
| : | 最优特征向量。 |
数据可用性
的数据支持本研究的发现可以在请求从相应的作者。
的利益冲突
作者宣称没有利益冲突。
确认
这项工作是支持的哈立德国王大学的研究人员支持项目数量(r . g . p . 1/77/42),哈立德国王大学,沙特阿拉伯。