基于機(jī)器學(xué)習(xí)的物聯(lián)網(wǎng)反入侵檢測(cè)方法研究

龔 琴，柯善良

（閩南科技學(xué)院計(jì)算機(jī)信息學(xué)院，福建泉州 362332）

0 引言

機(jī)器學(xué)習(xí)是人工智能技術(shù)的應(yīng)用核心，是使計(jì)算機(jī)保持智能處理能力的最根本途徑.該算法的實(shí)際研究方向由貝葉斯學(xué)習(xí)、人工神經(jīng)網(wǎng)絡(luò)、隨機(jī)森林、決策樹等多部分共同組成.其中，貝葉斯學(xué)習(xí)是統(tǒng)計(jì)學(xué)領(lǐng)域的重要組成部分.人工神經(jīng)網(wǎng)絡(luò)是一種具有非線性適應(yīng)能力的數(shù)據(jù)信息處理結(jié)構(gòu)，能夠在克服傳統(tǒng)人工智能思想在直覺方面缺陷的同時(shí)，加強(qiáng)該項(xiàng)技術(shù)手段對(duì)于非結(jié)構(gòu)化信息的實(shí)際處理能力［1］.隨機(jī)森林可借助多個(gè)樹狀分類器結(jié)構(gòu)，實(shí)現(xiàn)對(duì)數(shù)據(jù)信息參量的預(yù)測(cè)與分類.決策樹允許不同類別數(shù)據(jù)信息之間存在取值交集，可直接計(jì)算信息屬性與信息類別之間的關(guān)聯(lián)度統(tǒng)計(jì)量.

化學(xué)鍍是一種不需要通電，利用強(qiáng)還原劑在含有金屬離子的溶液中，將金屬離子還原成金屬而沉積在各種材料表面形成致密鍍層的方法。本文利用兩種金屬的氧化還原電勢(shì)差，在電勢(shì)較低的金屬表面沉積一層電勢(shì)較高的第2相金屬，通過調(diào)節(jié)實(shí)驗(yàn)條件對(duì)表面的結(jié)構(gòu)進(jìn)行調(diào)控。本文以金屬銅為還原劑，通過化學(xué)鍍，在銅基底上沉積生長一層Ag納米薄膜，通過修飾以烷基硫醇即可獲得具有超疏水的表面材料。

在物聯(lián)網(wǎng)環(huán)境中，隨著數(shù)據(jù)文件傳輸時(shí)間的延長，一部分信息參量會(huì)以非關(guān)聯(lián)性格式對(duì)網(wǎng)絡(luò)安全性造成威脅，從而導(dǎo)致動(dòng)態(tài)網(wǎng)絡(luò)防護(hù)能力的持續(xù)下降.傳統(tǒng)模糊C均值型反入侵檢測(cè)方法通過定義數(shù)據(jù)集離散屬性的方式，確定反入侵信息在不同度量范圍內(nèi)的傳輸能力，再聯(lián)合局部最優(yōu)解，實(shí)現(xiàn)對(duì)待檢測(cè)參量完整性與一致性的準(zhǔn)確分析.然而與此方法匹配的實(shí)際復(fù)雜度等級(jí)過高，很難使物聯(lián)網(wǎng)運(yùn)行安全性得到有效保障.為解決此問題，提出一種基于機(jī)器學(xué)習(xí)的物聯(lián)網(wǎng)反入侵檢測(cè)方法，在AMLF網(wǎng)絡(luò)框架、用戶訪問接口等多個(gè)應(yīng)用結(jié)構(gòu)的作用下，設(shè)置物聯(lián)網(wǎng)IDS條碼的具體數(shù)值，再利用數(shù)據(jù)信息的反入侵關(guān)聯(lián)規(guī)則，完善入侵檢測(cè)的執(zhí)行流程.

1 基于機(jī)器學(xué)習(xí)的物聯(lián)網(wǎng)應(yīng)用環(huán)境

基于機(jī)器學(xué)習(xí)的物聯(lián)網(wǎng)應(yīng)用環(huán)境由AMLF網(wǎng)絡(luò)框架、用戶訪問接口、數(shù)據(jù)信息統(tǒng)計(jì)器3個(gè)結(jié)構(gòu)共同組成，具體搭建方法如下.

1.1 AMLF網(wǎng)絡(luò)框架AMLF網(wǎng)絡(luò)框架由物聯(lián)網(wǎng)外部服務(wù)器、物聯(lián)網(wǎng)管理員、路由器、Server服務(wù)器、ADSL傳輸線、VPN傳輸線等多個(gè)結(jié)構(gòu)共同組成.其中，物聯(lián)網(wǎng)外部服務(wù)器直接與路由器結(jié)構(gòu)體相連，可在預(yù)知管理員節(jié)點(diǎn)執(zhí)行能力的基礎(chǔ)上，安排機(jī)器學(xué)習(xí)網(wǎng)絡(luò)的實(shí)際連接環(huán)境，再借助ADSL傳輸線、VPN傳輸線，實(shí)現(xiàn)對(duì)反入侵信息參量的傳輸與反饋［2-3］.Server服務(wù)器位于AMLF網(wǎng)絡(luò)框架最底層，可在物聯(lián)網(wǎng)路由器的調(diào)度下，調(diào)試設(shè)備結(jié)構(gòu)體自身的實(shí)際連接狀態(tài)，一方面可使底層應(yīng)用主機(jī)始終與機(jī)器學(xué)習(xí)網(wǎng)絡(luò)保持相同的執(zhí)行處理能力，另一方面也可為物聯(lián)網(wǎng)環(huán)境提供相對(duì)較強(qiáng)的數(shù)據(jù)信息承載能力.

2.3 入侵檢測(cè)流程入侵檢測(cè)流程完善是物聯(lián)網(wǎng)入侵檢測(cè)方法應(yīng)用的關(guān)鍵處理環(huán)節(jié)，可在機(jī)器學(xué)習(xí)理論的作用下，對(duì)具有攻擊性的數(shù)據(jù)信息進(jìn)行清洗，再通過數(shù)據(jù)集篩選的方式，分別確定物聯(lián)網(wǎng)反入侵信息的數(shù)據(jù)連續(xù)性、數(shù)據(jù)標(biāo)準(zhǔn)性與數(shù)據(jù)歸一性，并可將最終所獲得的數(shù)據(jù)集文件，調(diào)試成統(tǒng)一的信息傳輸形式［13］.由于降維原理的存在，整個(gè)物聯(lián)網(wǎng)環(huán)境中的反入侵關(guān)聯(lián)規(guī)則會(huì)始終保持變動(dòng)后狀態(tài)，且當(dāng)IDS條碼值結(jié)果趨于穩(wěn)定后，這些文件信息的傳輸位置才能得到有效固定，從而使最終的檢測(cè)結(jié)果得到精確化處理.假設(shè)異常記錄、正常記錄同時(shí)存在于物聯(lián)網(wǎng)信息文件中，則在機(jī)器學(xué)習(xí)主機(jī)的作用下，檢測(cè)中心設(shè)備會(huì)默認(rèn)前者對(duì)應(yīng)非常規(guī)的攻擊信息，而后者對(duì)應(yīng)常規(guī)的反入侵信息.至此，實(shí)現(xiàn)各項(xiàng)物理應(yīng)用系數(shù)的計(jì)算與處理，在機(jī)器學(xué)習(xí)理論的作用下，完成物聯(lián)網(wǎng)反入侵檢測(cè)方法的搭建.

阿里有些不舍，他望望母親，又望望阿東。阿東說：“你站在這里，姆媽怎么睡得好？姆媽睡不好，肯定不喜歡你?！?/p>

圖1 AMLF網(wǎng)絡(luò)框架結(jié)構(gòu)圖Fig.1 The structure diagram of AMLF network framework

圖2 用戶訪問接口連接原理Fig.2 The connection principle of the user access interface

在機(jī)器學(xué)習(xí)理論的作用下，按照物聯(lián)網(wǎng)IDS條碼設(shè)置、數(shù)據(jù)信息的反入侵關(guān)聯(lián)規(guī)則建立、入侵檢測(cè)完善的處理流程，實(shí)現(xiàn)物聯(lián)網(wǎng)反入侵檢測(cè)方法的順利應(yīng)用.

圖3 數(shù)據(jù)信息統(tǒng)計(jì)器結(jié)構(gòu)圖Fig.3 The structure diagram of the data information statistician

2 物聯(lián)網(wǎng)反入侵檢測(cè)方法

1.3 數(shù)據(jù)信息統(tǒng)計(jì)器數(shù)據(jù)信息統(tǒng)計(jì)器由信息統(tǒng)計(jì)子模塊、反入侵信息收集子模塊兩類結(jié)構(gòu)共同組成.其中，信息統(tǒng)計(jì)子模塊與物聯(lián)網(wǎng)環(huán)境下的機(jī)器學(xué)習(xí)模型直接相連，可在感知用戶訪問接口連接需求的同時(shí)，對(duì)各項(xiàng)數(shù)據(jù)應(yīng)用信息進(jìn)行整合與規(guī)劃，并從其中挑選完全獨(dú)立的檢測(cè)節(jié)點(diǎn)，生成全新的樣本數(shù)據(jù)空間集合［6］.對(duì)于數(shù)據(jù)信息統(tǒng)計(jì)器而言，反入侵信息過濾是機(jī)器學(xué)習(xí)模型作用下，物聯(lián)網(wǎng)主機(jī)所具備的最主要執(zhí)行能力，隨著待檢測(cè)數(shù)據(jù)信息數(shù)值量的增大，信息統(tǒng)計(jì)器結(jié)構(gòu)的實(shí)際數(shù)據(jù)存儲(chǔ)能力也會(huì)逐漸增強(qiáng)，直至優(yōu)化器主機(jī)能夠完全記錄反入侵信息的實(shí)際傳輸作用能力［7-8］.總的來說，數(shù)據(jù)信息統(tǒng)計(jì)器作為AMLF網(wǎng)絡(luò)框架的下級(jí)執(zhí)行結(jié)構(gòu)，能夠在適應(yīng)用戶訪問接口中數(shù)據(jù)輸出需求的同時(shí)，對(duì)子模塊結(jié)構(gòu)體中的待傳輸信息參量進(jìn)行存儲(chǔ)與記錄.

將船舶i作為目標(biāo)船，搜索船舶i周圍最近的船舶。由于AIS基站不能同時(shí)發(fā)送目標(biāo)水域所有船的信息，因此，每條船之間存在一定的時(shí)差，使用數(shù)據(jù)插值的方法將他船的位置推算至目標(biāo)船同步的時(shí)刻，保證信息同步；在tk時(shí)刻船舶i周圍船舶為

1)將漁網(wǎng)填充色設(shè)置為空。為了使?jié)O網(wǎng)圖層不遮擋遙感影像，需將漁網(wǎng)圖層填充色設(shè)置為空；為與遙感影像的色彩形成較大反差便于判讀，通常將漁網(wǎng)邊框色設(shè)置為黃色，并將漁網(wǎng)邊框?qū)挾仍谀J(rèn)值的基礎(chǔ)上適當(dāng)調(diào)高(圖6)。

表1 物聯(lián)網(wǎng)IDS條碼設(shè)置原理Tab.1 Setting principle of IDS bar code of the Internet of Things

為驗(yàn)證基于機(jī)器學(xué)習(xí)物聯(lián)網(wǎng)反入侵檢測(cè)方法的實(shí)際應(yīng)用價(jià)值，設(shè)計(jì)如下對(duì)比實(shí)驗(yàn).以圖5所示物聯(lián)網(wǎng)檢測(cè)主機(jī)作為實(shí)驗(yàn)對(duì)象，分別將其與實(shí)驗(yàn)組、對(duì)照組物聯(lián)網(wǎng)應(yīng)用設(shè)備相連，其中實(shí)驗(yàn)組設(shè)備搭載基于機(jī)器學(xué)習(xí)物聯(lián)網(wǎng)反入侵檢測(cè)方法，對(duì)照組設(shè)備搭載模糊C均值型反入侵檢測(cè)方法，在相同實(shí)驗(yàn)環(huán)境下，記錄各項(xiàng)實(shí)驗(yàn)指標(biāo)的具體變化情況.

確保項(xiàng)目申報(bào)、落實(shí)從貧困戶的意愿和需求出發(fā)，引導(dǎo)貧困戶實(shí)施高收益項(xiàng)目；項(xiàng)目落實(shí)做到前期培訓(xùn)、實(shí)施指導(dǎo)、后續(xù)服務(wù)，保證項(xiàng)目充分發(fā)揮作用。

式（1）中，v0代表物聯(lián)網(wǎng)環(huán)境中的反入侵信息下限關(guān)聯(lián)條件，vn代表物聯(lián)網(wǎng)環(huán)境中的反入侵信息上限關(guān)聯(lián)條件，n代表關(guān)聯(lián)度遍歷系數(shù)，emax代表物聯(lián)網(wǎng)反入侵信息的最大檢測(cè)特征值，emin代表物聯(lián)網(wǎng)反入侵信息的最小檢測(cè)特征值.

1.2 用戶訪問接口用戶訪問接口存在于物聯(lián)網(wǎng)開發(fā)用戶與AMLF網(wǎng)絡(luò)框架之間，可在機(jī)器學(xué)習(xí)任務(wù)的作用下，導(dǎo)出已存儲(chǔ)的各項(xiàng)數(shù)據(jù)信息應(yīng)用模型，再通過安排反入侵檢測(cè)用戶的方式，實(shí)現(xiàn)對(duì)各項(xiàng)檢測(cè)任務(wù)的處理與安排.在物聯(lián)網(wǎng)應(yīng)用環(huán)境中，由于主機(jī)集群的作用影響，AMLF網(wǎng)絡(luò)框架可在統(tǒng)計(jì)用戶訪問接口連接需求的同時(shí)，將各項(xiàng)物聯(lián)網(wǎng)反入侵信息反饋至相關(guān)開發(fā)用戶之中［4-5］.物聯(lián)網(wǎng)檢測(cè)環(huán)境可存儲(chǔ)大量的反入侵信息參量，并可遵照機(jī)器學(xué)習(xí)理論的處理需求，建立多項(xiàng)任務(wù)處理文件，由于所有檢測(cè)用戶都可直接提取用戶訪問接口中的數(shù)據(jù)信息，因此物聯(lián)網(wǎng)主機(jī)集群能夠長期保持對(duì)于反入侵檢測(cè)信息的查詢敏感性，這也是用戶訪問接口能夠較好適應(yīng)機(jī)器學(xué)習(xí)理論執(zhí)行需求的主要原因.

圖4 入侵檢測(cè)流程圖Fig.4 The flow chart of intrusion detection

3 實(shí)驗(yàn)對(duì)比與分析

2.2 數(shù)據(jù)信息的反入侵關(guān)聯(lián)規(guī)則數(shù)據(jù)信息反入侵關(guān)聯(lián)規(guī)則可以借助最小置信度、最小支持度兩項(xiàng)物理系數(shù)，確定與物聯(lián)網(wǎng)用戶相關(guān)的反入侵信息指定條件，從而發(fā)現(xiàn)更為頻繁的數(shù)據(jù)集參量條件.最小置信度能夠遍歷所有物聯(lián)網(wǎng)環(huán)境下的反入侵信息參量，并可根據(jù)最大頻繁項(xiàng)集條件，確定機(jī)器學(xué)習(xí)模型的實(shí)際作用強(qiáng)度，從而使得數(shù)據(jù)信息統(tǒng)計(jì)器中的文件傳輸流量水平得到大幅提升［11-12］.最小支持度是形成數(shù)據(jù)信息反入侵關(guān)聯(lián)規(guī)則的基礎(chǔ)應(yīng)用條件，可在已知物聯(lián)網(wǎng)反入侵信息存儲(chǔ)條件的同時(shí)，規(guī)劃檢測(cè)指令的實(shí)際作用強(qiáng)度，從而避免入侵信息攻擊風(fēng)險(xiǎn)性等級(jí)的無辜攀升.設(shè)σ代表最小置信度參數(shù)，ε代表最小支持度參數(shù)，聯(lián)立上述物理量，可將數(shù)據(jù)信息的反入侵關(guān)聯(lián)規(guī)則定義為：

2.1 物聯(lián)網(wǎng)IDS條碼設(shè)置基于機(jī)器學(xué)習(xí)的IDS條碼，簡(jiǎn)稱HIDS條碼，是物聯(lián)網(wǎng)反入侵檢測(cè)指令執(zhí)行過程中的重要數(shù)據(jù)信息記錄文件.數(shù)據(jù)信息統(tǒng)計(jì)器通常安裝在處理能力已知的學(xué)習(xí)主機(jī)之上，可在感知本地用戶連接行為的同時(shí)，通過審計(jì)處理的形式，記錄反入侵信息參量所滿足的攻擊模式，再借助AMLF框架，實(shí)現(xiàn)對(duì)相關(guān)數(shù)據(jù)文件的調(diào)度與調(diào)試［9-10］.物聯(lián)網(wǎng)IDS條碼設(shè)置必須滿足如下幾項(xiàng)原則：（1）為實(shí)施檢測(cè)的條碼文件只適用于數(shù)據(jù)信息的交換與加密環(huán)境，可以精確分析數(shù)據(jù)參量的反入侵行為，并可檢測(cè)到現(xiàn)有網(wǎng)關(guān)條件是否能夠滿足機(jī)器學(xué)習(xí)指令的實(shí)際作用需求.（2）IDS條碼在運(yùn)行過程中，必須占據(jù)一定比重的物聯(lián)網(wǎng)網(wǎng)關(guān)協(xié)議，并可將局限于本地主機(jī)中的用戶行為，得到充分解放.（3）由于隱蔽性能力較強(qiáng)，物聯(lián)網(wǎng)IDS條碼必須能夠較好適應(yīng)用戶訪問接口的實(shí)際處理需求.

圖5 物聯(lián)網(wǎng)檢測(cè)主機(jī)Fig.5 The Internet of Things detection host

ITM指標(biāo)能夠反映物聯(lián)網(wǎng)運(yùn)行安全性等級(jí)的應(yīng)用滿足情況，一般情況下，ITM指標(biāo)數(shù)值越大，物聯(lián)網(wǎng)運(yùn)行安全性等級(jí)的滿足程度也就越高，反之則越低.表2記錄了實(shí)驗(yàn)組、對(duì)照組ITM指標(biāo)數(shù)值的實(shí)際變化情況.

表2 ITM指標(biāo)數(shù)值對(duì)比表Tab.2 Comparison table of ITM indicators value

分析表2可知，隨著實(shí)驗(yàn)時(shí)間的延長，實(shí)驗(yàn)組ITM指標(biāo)始終保持穩(wěn)定上升的數(shù)值變化趨勢(shì)，整個(gè)實(shí)驗(yàn)過程中的最大數(shù)值結(jié)果達(dá)到了73.43%.對(duì)照組ITM指標(biāo)則在一段時(shí)間的穩(wěn)定狀態(tài)后，開始持續(xù)性下降，整個(gè)實(shí)驗(yàn)過程中的最大數(shù)值結(jié)果僅能達(dá)到54.21%，與實(shí)驗(yàn)組最大值相比，下降了19.22%.綜上可知，應(yīng)用基于機(jī)器學(xué)習(xí)物聯(lián)網(wǎng)反入侵檢測(cè)方法后，ITM指標(biāo)出現(xiàn)了明顯上升的數(shù)值變化趨勢(shì)，能夠較好滿足物聯(lián)網(wǎng)運(yùn)行的安全性等級(jí)需求.

DSR指標(biāo)能夠反映入侵信息的攻擊風(fēng)險(xiǎn)性等級(jí)，一般情況下，DSR指標(biāo)數(shù)值越小，入侵信息的攻擊風(fēng)險(xiǎn)性等級(jí)越高，反之則越低.表3記錄了實(shí)驗(yàn)組、對(duì)照組DSR指標(biāo)數(shù)值的具體變化情況.

表3 DSR指標(biāo)數(shù)值對(duì)比表Tab.3 Comparison table of DSR indicators value

分析表3可知，隨著實(shí)驗(yàn)時(shí)間的延長，實(shí)驗(yàn)組DSR指標(biāo)始終保持上升與下降交替出現(xiàn)的數(shù)值變化趨勢(shì)，整個(gè)實(shí)驗(yàn)過程中的最大數(shù)值結(jié)果達(dá)到了60.40%.對(duì)照組DSR指標(biāo)則保持先上升、再穩(wěn)定的數(shù)值變化趨勢(shì)，整個(gè)實(shí)驗(yàn)過程中的最大數(shù)值結(jié)果僅能達(dá)到21.71%，與實(shí)驗(yàn)組最大值相比，下降了38.69%.綜上可知，應(yīng)用基于機(jī)器學(xué)習(xí)物聯(lián)網(wǎng)反入侵檢測(cè)方法后，DSR指標(biāo)數(shù)值得到有效控制，可適當(dāng)抑制物聯(lián)網(wǎng)入侵信息攻擊風(fēng)險(xiǎn)性等級(jí)的上升行為.

4 結(jié)束語

在機(jī)器學(xué)習(xí)原理的作用下，物聯(lián)網(wǎng)反入侵檢測(cè)方法重新設(shè)立了用戶訪問接口與數(shù)據(jù)信息統(tǒng)計(jì)器，并借助AMLF網(wǎng)絡(luò)框架，對(duì)實(shí)際檢測(cè)流程進(jìn)行不斷完善.從實(shí)用性角度來看，ITM指標(biāo)的增大、DSR指標(biāo)的減小，能夠在保障物聯(lián)網(wǎng)運(yùn)行安全性的同時(shí)，實(shí)現(xiàn)對(duì)入侵信息攻擊風(fēng)險(xiǎn)性等級(jí)的有效控制，具備較強(qiáng)實(shí)際應(yīng)用價(jià)值.