基于多層神經(jīng)網(wǎng)絡(luò)的智能家居入侵檢測方法

胡 蓉，楊 柳，胡向東

(1.重慶郵電大學(xué) 移通學(xué)院，重慶401520; 2.重慶郵電大學(xué) 自動化學(xué)院，重慶400065)

0 引 言

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等新一代信息技術(shù)的快速發(fā)展及其在民生領(lǐng)域的推廣應(yīng)用，在改善居民生活質(zhì)量、提高居民生活水平、創(chuàng)建更加舒適便捷的家居環(huán)境方面具有重要意義的智能家居正在興起；但其在帶給人們便利的同時，卻暴露出如隱私泄露、非授權(quán)訪問、非法指令注入、拒絕服務(wù)等信息安全隱患。

智能家居的組成一般可分為感知層、網(wǎng)絡(luò)層和應(yīng)用層，其安全需求可以基于分層進(jìn)行分析。感知層由若干個感知節(jié)點構(gòu)成，該層主要致力于阻止惡意節(jié)點的加入及對網(wǎng)絡(luò)中節(jié)點身份、采集數(shù)據(jù)和節(jié)點間數(shù)據(jù)傳輸?shù)膫卧?、竊聽和破壞等，確保數(shù)據(jù)的機(jī)密性、完整性、真實性。網(wǎng)絡(luò)層的安全需求主要體現(xiàn)為路由安全和避免網(wǎng)絡(luò)擁塞，阻止拒絕服務(wù)攻擊。應(yīng)用層主要應(yīng)滿足身份認(rèn)證、訪問控制、數(shù)據(jù)機(jī)密性和用戶隱私保護(hù)等需求。

確保智能家居安全是其得到應(yīng)用推廣的必要前提。目前，國內(nèi)外針對智能家居安全的研究才剛起步，現(xiàn)有大多數(shù)智能家居解決方案缺乏安全性設(shè)計或側(cè)重于基本的被動防御，在應(yīng)對越來越頻繁發(fā)生的信息安全攻擊時，顯得力不從心。入侵檢測[1]作為一種主動防御技術(shù)，能在盡量少地影響智能家居網(wǎng)絡(luò)性能的前提下，對網(wǎng)絡(luò)中出現(xiàn)的各類入侵行為進(jìn)行監(jiān)測、分析、預(yù)警和處理，從而提高智能家居系統(tǒng)應(yīng)對外部威脅的能力。為此，本文結(jié)合人工智能技術(shù)提出基于多層神經(jīng)網(wǎng)絡(luò)的智能家居入侵檢測方法。

1 國內(nèi)外研究進(jìn)展綜述

近年來，越來越多的企業(yè)在開發(fā)智能家居功能的同時，開始聚焦產(chǎn)品的安全性，如Nest公司推出的智能家居設(shè)備通過加密連接保障數(shù)據(jù)的安全性和私密性；360公司推出的智能攝像頭采用HTTPS(hyper text transter protocol secure)方式進(jìn)行雙向認(rèn)證交互，以保證用戶身份認(rèn)證，視屏數(shù)據(jù)流采用私有加密協(xié)議進(jìn)行傳輸，保障數(shù)據(jù)安全性；小米公司將智能家居SIM(subscriber identification module)卡變?yōu)榘踩酒?，?qiáng)化通信加密和設(shè)備身份識別；大量可用于智能家居的云平臺在接入環(huán)節(jié)保障數(shù)據(jù)安全傳輸并設(shè)置設(shè)備認(rèn)證和權(quán)限管理功能。存在的問題是安全方式單一，不能適應(yīng)快速發(fā)展的智能家居的實際安全需求。

文獻(xiàn)[2]提出了一種基于GPRS(general packet radio service)的智能家居安全監(jiān)控策略，其研究僅限于通過控制智能家居硬件實現(xiàn)智能家居的報警機(jī)制；文獻(xiàn)[3]提出了一種基于智能家居安全網(wǎng)關(guān)的遠(yuǎn)程安全通信方案，但未對其方案的實質(zhì)效果進(jìn)行驗證。文獻(xiàn)[4]探討了基于SMS4-CCM算法的通信保密協(xié)議，實現(xiàn)遠(yuǎn)程用戶安全接入、入網(wǎng)設(shè)備認(rèn)證、測控指令加密傳輸?shù)纫幌盗邪踩雷o(hù)功能。這類研究屬于被動防御機(jī)制，但還不能滿足智能家居的主動安全需求。

入侵檢測技術(shù)作為一種主動防御手段，近年來很多專家學(xué)者采用進(jìn)化算法、機(jī)器學(xué)習(xí)、人工神經(jīng)網(wǎng)絡(luò)等方法在入侵檢測方面取得了多項研究成果，但大部分都集中在對入侵檢測數(shù)據(jù)特征提取方面。如文獻(xiàn)[5]提出了基于墨魚優(yōu)化算法的入侵檢測模型，文獻(xiàn)[6]提出了一種基于引力搜索和粒子群優(yōu)化的人工神經(jīng)網(wǎng)絡(luò)的檢測方法。文獻(xiàn)[7]提出了一種基于網(wǎng)絡(luò)的入侵檢測框架，采用機(jī)器學(xué)習(xí)和線性邏輯回歸分類模型檢測受到攻擊的主機(jī)，在識別出攻擊源后，生成相應(yīng)的應(yīng)對策略并推送到底層設(shè)備，以避免家居物聯(lián)網(wǎng)設(shè)備進(jìn)一步受到攻擊；該方案可取得較高的檢測率，但是僅針對某些特定的應(yīng)用場景效果較好。文獻(xiàn)[8]提出基于網(wǎng)絡(luò)流量的入侵檢測技術(shù)，通過主成分分析法、時間序列統(tǒng)計技術(shù)等方法分析數(shù)據(jù)包頭特征和數(shù)據(jù)包統(tǒng)計特征，以判斷網(wǎng)絡(luò)是否出現(xiàn)攻擊行為；該技術(shù)針對如DDoS(distributed denial of service)和某些木馬病毒等網(wǎng)絡(luò)流量特征明顯的攻擊行為有較好的檢測效果，針對權(quán)限繞過、跨站等攻擊檢測效果較差。

針對智能家居的現(xiàn)有入侵檢測技術(shù)仍處于初步研究階段，主要不足為：①數(shù)據(jù)量大難以處理，特別是針對某一特定主機(jī)的大量分布式拒絕服務(wù)攻擊；②數(shù)據(jù)的維度較高且難以降維，支持向量機(jī)等傳統(tǒng)機(jī)器學(xué)習(xí)方法會受到時間和空間復(fù)雜度約束，只能通過學(xué)習(xí)得到低維結(jié)構(gòu)，不能給出準(zhǔn)確的映射關(guān)系；③難以檢測新型攻擊。入侵檢測系統(tǒng)和防御措施通常滯后于攻擊手段；④漏報率和誤報率較高。

2 智能家居入侵檢測模型的構(gòu)建

基于物聯(lián)網(wǎng)技術(shù)的智能家居系統(tǒng)的一般構(gòu)成如圖1所示，涉及檢測節(jié)點、路由節(jié)點、網(wǎng)關(guān)、服務(wù)器和終端顯示器等。

圖1 智能家居系統(tǒng)的一般構(gòu)成Fig.1 General structure of smart home system

在構(gòu)建智能家居入侵檢測模型時應(yīng)充分考慮資源最小化、高性能、可擴(kuò)展性和實時性等需求，提高檢測率、降低漏檢率。所構(gòu)建的智能家居入侵檢測模型如圖2所示，包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、基于多層神經(jīng)網(wǎng)絡(luò)的入侵檢測和本地響應(yīng)4個模塊；其中，基于多層神經(jīng)網(wǎng)絡(luò)的入侵檢測模塊是該模型的核心。

2.1 數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊負(fù)責(zé)智能家居入侵檢測系統(tǒng)中基礎(chǔ)信息的獲取，包括家居環(huán)境信息和網(wǎng)絡(luò)中傳感器、路由、網(wǎng)關(guān)等節(jié)點中傳輸?shù)臄?shù)據(jù)。環(huán)境信息是指感知層中的各種傳感器感知的家居信息。節(jié)點數(shù)據(jù)包括傳輸?shù)膮f(xié)議、源地址、目的地址等。數(shù)據(jù)采集模塊的主要作用為通過軟件捕獲各節(jié)點之間傳輸?shù)脑紨?shù)據(jù)包，通過分析數(shù)據(jù)包的內(nèi)容獲取智能家居實時的環(huán)境信息，通過分析數(shù)據(jù)包的包頭部分獲得節(jié)點中數(shù)據(jù)傳輸信息，經(jīng)過處理后作為智能家居入侵檢測模型數(shù)據(jù)來源。

2.2 數(shù)據(jù)預(yù)處理模塊

該模塊將采集模塊獲得的數(shù)據(jù)處理成檢測模塊所需要的形式。首先對采集到的數(shù)據(jù)進(jìn)行統(tǒng)計分析，獲得建立連接協(xié)議的基本特征、數(shù)據(jù)包內(nèi)容特征、基于時間或主機(jī)的網(wǎng)絡(luò)流量統(tǒng)計特征；獲得的統(tǒng)計特征分字符串和數(shù)值2種類型，數(shù)值類型有連續(xù)型和離散型；為了減小不同度量標(biāo)準(zhǔn)對檢測結(jié)果的影響，字符串型數(shù)據(jù)按照一定的規(guī)則映射成為離散數(shù)據(jù)，數(shù)值型數(shù)據(jù)需進(jìn)行歸一化處理。

圖2 智能家居入侵檢測模型Fig.2 Intrusion detection model for smart home

2.3 基于多層神經(jīng)網(wǎng)絡(luò)的入侵檢測模塊

基于多層神經(jīng)網(wǎng)絡(luò)的入侵檢測模塊主要流程分為訓(xùn)練和測試環(huán)節(jié)，通過訓(xùn)練確定模型參數(shù)，通過測試獲得檢測結(jié)果并分析模型性能。

訓(xùn)練環(huán)節(jié)捕獲智能家居網(wǎng)關(guān)的流量數(shù)據(jù)，生成帶標(biāo)簽的數(shù)據(jù)集，選取其中部分?jǐn)?shù)據(jù)作為測試數(shù)據(jù)對多層網(wǎng)絡(luò)進(jìn)行訓(xùn)練；對測試數(shù)據(jù)集進(jìn)行編碼預(yù)處理，形成待測數(shù)據(jù)集，再將待測數(shù)據(jù)集作為多層神經(jīng)網(wǎng)絡(luò)的輸入，訓(xùn)練網(wǎng)絡(luò)的權(quán)值和偏置，并確定多層神經(jīng)網(wǎng)絡(luò)的深度。采用無監(jiān)督方法對多層神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，根據(jù)模糊神經(jīng)網(wǎng)絡(luò)輸出值與標(biāo)簽值的差值對網(wǎng)絡(luò)參數(shù)進(jìn)行有監(jiān)督的參數(shù)微調(diào)。

測試環(huán)節(jié)將未用于訓(xùn)練的帶標(biāo)簽流量數(shù)據(jù)生成測試數(shù)據(jù)集，對測試數(shù)據(jù)集進(jìn)行編碼預(yù)處理，形成待測數(shù)據(jù)集；將待測數(shù)據(jù)集作為多層網(wǎng)絡(luò)的輸入，根據(jù)輸出判斷行為類別，并計算所有測試數(shù)據(jù)的檢測率、誤檢率，若檢測率較低，誤檢率較高，則對網(wǎng)絡(luò)參數(shù)進(jìn)行有監(jiān)督的反向微調(diào)。

深度學(xué)習(xí)通過構(gòu)建具有多個隱層的神經(jīng)網(wǎng)絡(luò)，并且在訓(xùn)練模型參數(shù)時采用“逐層初始化”的無監(jiān)督學(xué)習(xí)方法，利用其強(qiáng)大的特征學(xué)習(xí)能力，實現(xiàn)高維特征向低維特征的映射；入侵檢測具有模糊性，如系統(tǒng)的正常超載和異常超載的界限，合法用戶的誤操作和非法用戶操作的界限，利用模糊神經(jīng)網(wǎng)絡(luò)較強(qiáng)的容錯能力，能夠同時處理確定性和非確定性信息，提高網(wǎng)絡(luò)發(fā)現(xiàn)新型攻擊的能力。

本文通過深度學(xué)習(xí)實現(xiàn)對高維數(shù)據(jù)特征的學(xué)習(xí)，通過模糊神經(jīng)網(wǎng)絡(luò)對低維數(shù)據(jù)進(jìn)行分析，以判斷是否為攻擊行為。多層神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)由多個限制玻爾茲曼機(jī)和一個模糊神經(jīng)網(wǎng)絡(luò)構(gòu)成，該算法的核心步驟包括：限制波爾茲曼機(jī)的學(xué)習(xí)方法、網(wǎng)絡(luò)深度的確定、多層神經(jīng)網(wǎng)絡(luò)權(quán)值微調(diào)。

2.3.1 限制玻爾茲曼機(jī)模型參數(shù)和學(xué)習(xí)方法

限制波爾茲曼機(jī)[9]的結(jié)構(gòu)如圖3所示，只有可見層節(jié)點和隱藏層節(jié)點之間才會存在連接，可見層節(jié)點之間和隱藏層節(jié)點之間不存在連接。圖3中,V(v1,v2,…,vn)為可見層單元，n為可見層節(jié)點數(shù)量，V表示輸入數(shù)據(jù)，可對輸入數(shù)據(jù)進(jìn)行編碼；H(h1,h2,…,hm)為隱藏層單元，其中，m為隱藏層節(jié)點數(shù)量；W表示可見層單元和隱藏層單元之間的連接權(quán)值；A(a1,a2,…,an)表示可見層偏置；B(b1,b2,…,bm)表示隱藏層偏置。當(dāng)輸入V時通過P(H|V)得到隱藏層H，得到隱藏層H后，通過P(V|H)又能得到可見層，通過對網(wǎng)絡(luò)的權(quán)值和偏置等參數(shù)的調(diào)整尋優(yōu)，最終得到重構(gòu)的V與原來的V如果一樣，那么所獲得的隱藏層就是可見層的另一種表示。

圖3 限制玻爾茲曼機(jī)結(jié)構(gòu)Fig.3 Structure of restricted Boltzmann machine

限制波爾茲曼機(jī)模型可以表示為一個基于能量的模型，對于一組給定狀態(tài)(v,h)，可定義能量模型為

(1)

(3)式中，wij表示第i個可見層節(jié)點與第j個隱藏層節(jié)點的連接權(quán)值。

顯然能量出現(xiàn)的概率與可見層單元和隱藏層單元的取值有關(guān)，那么能量出現(xiàn)的概率就是可見單元V和隱藏單元H的聯(lián)合概率密度

(2)

由此可得到邊緣概率密度為

(3)

(4)

由于限制波爾茲曼機(jī)的連接受到限制，即同層之間的節(jié)點不存在連接，在知道可見層單元的情況下，通過能量模型可以直觀地從聯(lián)合分布導(dǎo)出條件分布為

(5)

限制波爾茲曼機(jī)節(jié)點的狀態(tài)只有0和1這2種，每個節(jié)點也只有0和1這2個值，因此，在已知可見層節(jié)點的條件下，隱藏層中第i個節(jié)點為1的概率為

(6)

可將已知可見層單元的條件下，隱藏層單元的概率寫成隱藏層所有節(jié)點條件概率的乘積。隱藏層的條件概率分布可表示為

(7)

同理，在已知隱藏層H的情況下，可見層中第j個節(jié)點的概率分布可表示為

(8)

(8)式中，函數(shù)f是激活函數(shù)(sigmoid)

(9)

本文使用Gibbs采樣解決該問題。在限制玻爾茲曼機(jī)進(jìn)行k步Gibbs采樣具體算法如下。

用一個訓(xùn)練樣本初始化可視節(jié)點的狀態(tài)v(0)，交替進(jìn)行下面的采樣：

h(0)～P(h|v(0))

v(1)～P(v|h(0))

…

v(k)～P(v|h(k-1))

h(k)～P(h|v(k))

(10)

利用P(h|v(k))，采樣出h(k)；利用P(v|h(k-1))，采樣出v(k)；利用k步驟Gibbs采樣得到的vk來近似估計

p(hi=1|v(k))vj(k)

(11)

(12)

(13)

更新權(quán)值的方法為

(14)

(14)式中：N表示迭代次數(shù)；μ為學(xué)習(xí)率。

2.3.2 多層神經(jīng)網(wǎng)絡(luò)的深度

本文引入重構(gòu)誤差來確定多層網(wǎng)絡(luò)的深度，以訓(xùn)練數(shù)據(jù)作為初始狀態(tài)，與經(jīng)過限制波爾茲曼機(jī)進(jìn)行一次Gibbs采樣后的差異量來定義重構(gòu)誤差，即

(15)

網(wǎng)絡(luò)深度訓(xùn)練流程如圖4所示，具體規(guī)則為

(16)

(16)式中：ε為目標(biāo)重構(gòu)誤差的閾值；Ldeep為隱藏層個數(shù)。如果此時網(wǎng)絡(luò)通過訓(xùn)練, 重構(gòu)誤差低于閾值, 則開始進(jìn)行參數(shù)的反向微調(diào); 否則, 網(wǎng)絡(luò)深度加1, 繼續(xù)進(jìn)行訓(xùn)練。重構(gòu)誤差判斷法運算簡單也便于實現(xiàn)。

圖4 網(wǎng)絡(luò)深度訓(xùn)練Fig.4 Network depth training

2.3.3 多層神經(jīng)網(wǎng)絡(luò)參數(shù)微調(diào)

T-S模糊神經(jīng)網(wǎng)絡(luò)用“if-then”規(guī)則來定義，在規(guī)則Ri的情況下，模糊推理為

(17)

(18)

根據(jù)模糊計算結(jié)果計算模糊模型的輸出值

(19)

T-S模糊神經(jīng)網(wǎng)絡(luò)算法是一種有監(jiān)督的分類器，通過利用輸出誤差來評估輸出層的直接前一層的誤差，在用這個誤差評估更前一次的誤差，經(jīng)過反復(fù)一層一層的反向傳播學(xué)習(xí)，獲得其他各層的誤差估計。

多層神經(jīng)網(wǎng)絡(luò)參數(shù)反向微調(diào)過程。

Step1計算每條記錄通過多層神經(jīng)網(wǎng)絡(luò)后的實際輸出y′；

Step3對模糊神經(jīng)網(wǎng)絡(luò)進(jìn)行系數(shù)修正

(20)

(21)

Step5權(quán)值更新

?ij=?ij+Δ?ij

(22)

Δ?ij=μξiξh

(23)

(23)式中：μ為學(xué)習(xí)率，需要通過實驗和經(jīng)驗確定；ξi為節(jié)點i的輸出；ξh為隱藏層的遞歸誤差梯度；

Step7使用(21)式，更新權(quán)值，N減1，若不為0，跳轉(zhuǎn)到Step 5，若為0，結(jié)束。

重復(fù)上述步驟，直到輸出誤差足夠小，即

(24)

(24)式中：s為訓(xùn)練樣本序列；z為輸出節(jié)點序列；dsz為樣本s在節(jié)點z的理想輸出；Osz為樣本s在節(jié)點z的實際輸出。

2.4 本地響應(yīng)模塊

本地響應(yīng)模塊要求能夠?qū)碜詸z測模塊的檢測結(jié)果快速做出響應(yīng)，以有效阻止入侵行為的繼續(xù)發(fā)生，保障智能家居能夠持續(xù)運行。本地響應(yīng)模塊對不同的行為類型采取不同的響應(yīng)方式，包括主動響應(yīng)和被動響應(yīng)。主動響應(yīng)是指當(dāng)發(fā)現(xiàn)入侵行為之后，響應(yīng)模塊采取對入侵行為阻斷、干擾等直接的方式，最終達(dá)到保護(hù)智能家居系統(tǒng)的作用。被動響應(yīng)是指當(dāng)發(fā)現(xiàn)入侵行為之后，響應(yīng)模塊不對攻擊行為進(jìn)行干預(yù)，而是生成記錄或報警等間接響應(yīng)方式。

3 仿真與測試結(jié)果分析

為了驗證本文所提出的智能家居入侵檢測系統(tǒng)的性能，對基于多層神經(jīng)網(wǎng)絡(luò)的智能家居入侵檢測模型進(jìn)行仿真，對其檢測率、誤檢率以及時間復(fù)雜度等性能進(jìn)行測試。

3.1 仿真平臺及仿真數(shù)據(jù)來源

仿真數(shù)據(jù)來自于流行的KDDCUP99入侵檢測數(shù)據(jù)集[11]，數(shù)據(jù)有41個特征屬性，其中34個為數(shù)值型連續(xù)變量，7個為字符串型離散變量。該數(shù)據(jù)集分為訓(xùn)練數(shù)據(jù)和測試數(shù)據(jù)，數(shù)據(jù)集標(biāo)簽類型如表1所示，其中，粗體標(biāo)簽表示其只存在測試集中。

3.2 仿真過程與結(jié)果分析

按照原始數(shù)據(jù)集各類標(biāo)簽所占比例隨機(jī)從訓(xùn)練數(shù)據(jù)集中選擇111 950條記錄生成訓(xùn)練集，其中，Normal，DoS，Probing，R2L和U2R分別為30 000，80 000，1 000，800，150條記錄，用于多層神經(jīng)網(wǎng)絡(luò)的訓(xùn)練。同樣隨機(jī)從測試數(shù)據(jù)集中選擇81 400條記錄生成測試集，其中，Normal，DoS，Probing，R2L和U2R分別為20 000，60 000，500，800，100條記錄，用于多層神經(jīng)網(wǎng)絡(luò)的測試。

表1 數(shù)據(jù)集標(biāo)簽類型

首先需要確定多層神經(jīng)網(wǎng)絡(luò)的深度即使用限制波爾茲曼機(jī)的個數(shù)，然后使用測試集對入侵檢測的性能進(jìn)行評估，本文將用攻擊行為的檢測率pd、正常行為的誤檢率pf、所有行為檢測準(zhǔn)確率pe和對測試集所有數(shù)據(jù)進(jìn)行識別時所需檢測時間t來評價算法的性能。其定義為

(25)

(26)

(27)

(25)—(27)式中：E表示被正確識別攻擊類型的樣本數(shù)；F表示該類攻擊樣本的總數(shù)；N表示正常類型樣本被誤判為異常樣本的個數(shù)；M表示正常樣本總數(shù)；P表示能夠正確識別類型的樣本個數(shù)；Q表示所有類型樣本的總數(shù)。

1)多層神經(jīng)網(wǎng)絡(luò)的深度確定。選取訓(xùn)練集分別對本文提出的多層神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練；測試集作為訓(xùn)練完成的多層神經(jīng)網(wǎng)絡(luò)的輸入，實現(xiàn)將原始數(shù)據(jù)映射為10維的低維數(shù)據(jù)，再通過模糊神經(jīng)網(wǎng)絡(luò)對不同深度的多層神經(jīng)網(wǎng)絡(luò)獲得的低維數(shù)據(jù)進(jìn)行分類，最終獲得針對網(wǎng)絡(luò)深度為2,3,4,5的訓(xùn)練集的重構(gòu)誤差、基于測試集的準(zhǔn)確率和檢測時間，結(jié)果如表2所示。

由表2可知，測試初期的準(zhǔn)確率隨著深度加深而增加，當(dāng)網(wǎng)絡(luò)深度增加到一定值之后，準(zhǔn)確率反而降低；隨著網(wǎng)絡(luò)深度的增加，檢測時間隨之增加，時間復(fù)雜度和空間復(fù)雜度都在提高。綜合檢測準(zhǔn)確率和檢測時間，本文選取重構(gòu)誤差的閾值為0.02，當(dāng)網(wǎng)絡(luò)深度大于4時可滿足條件；結(jié)合智能家居服務(wù)器性能，本文選擇深度為4的多層神經(jīng)網(wǎng)絡(luò)。

表2 不同深度多層網(wǎng)絡(luò)的性能指標(biāo)

2)多層神經(jīng)網(wǎng)絡(luò)入侵檢測性能分析。本文提出將多個限制波爾茲曼機(jī)與模糊神經(jīng)網(wǎng)絡(luò)組成多層神經(jīng)網(wǎng)絡(luò)，在保證其檢測率的前提下，能夠檢測出網(wǎng)絡(luò)中的新型攻擊。多層神經(jīng)網(wǎng)絡(luò)與淺層神經(jīng)網(wǎng)絡(luò)即BP神經(jīng)網(wǎng)絡(luò)和文獻(xiàn)[12]基于深度學(xué)習(xí)入侵檢測系統(tǒng)的檢測率和誤檢率對比結(jié)果分別如圖5和圖6所示。

圖5 檢測率對比Fig.5 Comparison of detection rate

通過對比發(fā)現(xiàn)，多層神經(jīng)網(wǎng)絡(luò)和文獻(xiàn)[12]中提到的基于深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)對樣本量較大的DoS攻擊和R2L攻擊有較高的檢測率以及較低的誤檢率，對樣本量較少的Probing攻擊和U2L攻擊檢測率較低，此時淺層網(wǎng)絡(luò)的性能優(yōu)于深層網(wǎng)絡(luò)；但本文提出的多層神經(jīng)網(wǎng)絡(luò)引入了模糊神經(jīng)網(wǎng)絡(luò)，提高了深度學(xué)習(xí)處理小樣本的能力，其檢測率高于文獻(xiàn)[12]的方法。為進(jìn)一步說明，按照各攻擊類型所占比例選取100, 500，1 000，5 000，10 000，50 000，100 000條測試集數(shù)據(jù)對網(wǎng)絡(luò)進(jìn)行訓(xùn)練，獲得測試集數(shù)據(jù)檢測準(zhǔn)確率如圖7所示。

圖6 誤檢率對比Fig.6 Comparison of false detection rate

圖7 基于不同數(shù)量訓(xùn)練樣本的檢測準(zhǔn)確率Fig.7 Detection accuracy based on differentnumber of training samples

圖7的結(jié)果對比再次印證了上述結(jié)論，即在樣本量較大情況下，文獻(xiàn)[12]中提到的基于深度學(xué)習(xí)多層神經(jīng)網(wǎng)絡(luò)的檢測效果優(yōu)于淺層的BP神經(jīng)網(wǎng)絡(luò)；樣本量較少時，淺層的BP神經(jīng)網(wǎng)絡(luò)檢測效果更優(yōu)；但本文提出的多層神經(jīng)網(wǎng)絡(luò)由于引入模糊神經(jīng)網(wǎng)絡(luò)，提高了網(wǎng)絡(luò)處理小樣本的能力，因此，針對大小不同樣本量表現(xiàn)出綜合性能優(yōu)勢。

選取KDDCUP99數(shù)據(jù)集中在訓(xùn)練集和測試集均未出現(xiàn)的新型攻擊，形成100條測試集。將該測試集應(yīng)用于本文提出的多層神經(jīng)網(wǎng)絡(luò)、由4個限制波爾茲曼機(jī)構(gòu)成的深度置信網(wǎng)絡(luò)和BP神經(jīng)網(wǎng)絡(luò)，其檢測率pd如表3所示。

表3結(jié)果表明本文提出的多層神經(jīng)網(wǎng)絡(luò)入侵檢測方法在檢測新型入侵行為時有較明顯的優(yōu)勢，提升了入侵檢測模型的適應(yīng)性。

表3 針對新型攻擊檢測率對比

4 結(jié)束語

隨著“智慧城市”和智能家居的興起，其在帶給人們生活舒適便利的同時，卻存在系統(tǒng)拒絕服務(wù)和用戶隱私泄露等信息安全風(fēng)險。本文構(gòu)建了一種融合深度學(xué)習(xí)和模糊神經(jīng)網(wǎng)絡(luò)的多層神經(jīng)網(wǎng)絡(luò)入侵檢測模型，將多個限制玻爾茲曼機(jī)和模糊神經(jīng)網(wǎng)絡(luò)有機(jī)地結(jié)合，通過深度學(xué)習(xí)提高其特征學(xué)習(xí)能力，通過模糊神經(jīng)網(wǎng)絡(luò)的容錯性和邊界模糊性增強(qiáng)其發(fā)現(xiàn)新型攻擊的能力。為保證模型有較低時間和空間復(fù)雜度，利用重構(gòu)誤差來優(yōu)化確定網(wǎng)絡(luò)的深度，在提高網(wǎng)絡(luò)檢測率的同時，降低算法開銷。仿真測試結(jié)果表明，所提出的基于人工智能入侵檢測新方法相比現(xiàn)有方法有更高的檢測率，如針對拒絕服務(wù)攻擊和遠(yuǎn)程非法訪問的檢測率達(dá)94%以上，對正常行為的誤檢率低于1%，且針對所測試新型攻擊的檢測率超過60%。

值得指出的是：本文提出的多層神經(jīng)網(wǎng)絡(luò)入侵檢測方法盡管有助于提高智能家居入侵的檢測性能和發(fā)現(xiàn)新型攻擊的能力，但針對小樣本的檢測準(zhǔn)確率還不夠高，這是學(xué)習(xí)算法的固有缺陷，且該方法存在多層神經(jīng)網(wǎng)絡(luò)參數(shù)微調(diào)問題，需要付出一定的時間成本，這些都是下一步的研究方向。