基于深度學(xué)習(xí)模型的物聯(lián)網(wǎng)異常入侵檢測系統(tǒng)

劉濤 李思鑒 孫文龍 伍少成

（深圳供電局有限公司 廣東省深圳市 518000）

1 引言

隨著物聯(lián)網(wǎng)愈加智能化，增加了計算機、傳感器、建筑物、社區(qū)等領(lǐng)域的創(chuàng)新。物聯(lián)網(wǎng)設(shè)備也廣泛應(yīng)于不同領(lǐng)域，產(chǎn)生了用于家庭、教育、醫(yī)療、農(nóng)業(yè)、軍事和商業(yè)的各種計算設(shè)備和通信技術(shù)[1]。個人在物聯(lián)網(wǎng)環(huán)境中通過互聯(lián)網(wǎng)與現(xiàn)實世界的應(yīng)用程序進(jìn)行交互，簡化了人們的生活與生產(chǎn)方式。此外，物聯(lián)網(wǎng)通過信息傳感設(shè)備按約定的協(xié)議，將任何物體與網(wǎng)絡(luò)相連接，用于信息交換。不同領(lǐng)域的設(shè)備導(dǎo)致了多種通信標(biāo)準(zhǔn)、設(shè)備和協(xié)議的產(chǎn)生[2]。

嵌入式系統(tǒng)中包含多個傳感器，允許它們遠(yuǎn)程收集物理設(shè)備的實時數(shù)據(jù)。從設(shè)備獲取的數(shù)據(jù)可以用于創(chuàng)建智能決策算法并有效管理物聯(lián)網(wǎng)設(shè)置。然而廣泛使用的現(xiàn)實世界設(shè)備與互聯(lián)網(wǎng)的鏈接往往會引發(fā)有關(guān)網(wǎng)絡(luò)安全威脅的問題，進(jìn)而危及到物聯(lián)網(wǎng)用戶，甚至?xí)绊懓ňW(wǎng)絡(luò)、應(yīng)用、社交平臺以及服務(wù)器在內(nèi)的完整生態(tài)系統(tǒng)[3]。2019年360發(fā)布《典型IoT設(shè)備網(wǎng)絡(luò)安全分析報告》稱“未來幾年物聯(lián)網(wǎng)設(shè)備漏洞將高于整體漏洞 14.7%”[3]，保護(hù)物聯(lián)網(wǎng)設(shè)備的安全得到了越來越多的關(guān)注，保護(hù)系統(tǒng)必須針對物聯(lián)網(wǎng)架構(gòu)的重大攻擊衡量物理安全和網(wǎng)絡(luò)安全，還需要對網(wǎng)絡(luò)保護(hù)進(jìn)行徹底分析[4]。由于資源受限，傳統(tǒng)的入侵檢測技術(shù)對于物聯(lián)網(wǎng)來說不夠安全，大多數(shù)入侵檢測系統(tǒng)需要相當(dāng)大的計算能力和存儲空間。因此，有必要為物聯(lián)網(wǎng)設(shè)備設(shè)計和構(gòu)建智能入侵檢測技術(shù)，以保護(hù)其免受受損物聯(lián)網(wǎng)設(shè)備的攻擊。

物聯(lián)網(wǎng)的多樣性與異構(gòu)性使得其系統(tǒng)面臨著與傳統(tǒng)計算機系統(tǒng)不同的安全漏洞。越來越多的物聯(lián)網(wǎng)設(shè)備連接至無線網(wǎng)絡(luò)，整個網(wǎng)絡(luò)的隱私和安全可能會受到更多威脅。首先，物聯(lián)網(wǎng)系統(tǒng)在設(shè)備、平臺、通信方法和協(xié)議方面差異很大。其次，物聯(lián)網(wǎng)系統(tǒng)由互聯(lián)網(wǎng)連接組件和控制設(shè)備組成，使用不安全或過時的組件可能會導(dǎo)致設(shè)備的安全性完全受損。再次，物聯(lián)網(wǎng)設(shè)備缺乏安全的更新機制，如果一臺設(shè)備更新過程出現(xiàn)問題，就可能成為惡意攻擊的受害者。最后，物聯(lián)網(wǎng)系統(tǒng)或其組成部分將受到物理危害。此外，由于資源有限，在物聯(lián)網(wǎng)設(shè)備上實施復(fù)雜的安全機制和軟件通常很困難。因此，傳統(tǒng)的系統(tǒng)安全技術(shù)已不適用于新的物聯(lián)網(wǎng)環(huán)境。

對此，研究者提出了幾種解決方案，通過識別物聯(lián)網(wǎng)系統(tǒng)中的異常情況，使用機器學(xué)習(xí)和深度學(xué)習(xí)技術(shù)來緩解網(wǎng)絡(luò)攻擊。由于基于機器學(xué)習(xí)的入侵檢測技術(shù)涉及到大量的數(shù)學(xué)公式運算，深度學(xué)習(xí)由于其強大的自主特征學(xué)習(xí)能力而受到物聯(lián)網(wǎng)安全技術(shù)研究人員的青睞。深度學(xué)習(xí)技術(shù)已被證明是模式匹配的最佳方法，可以將任何物聯(lián)網(wǎng)環(huán)境輸入檢測為真實或無效請求。這些入侵檢測系統(tǒng)，從數(shù)據(jù)源上，可分為基于主機[2]的入侵檢測與基于網(wǎng)絡(luò)[3]的入侵檢測；從體系結(jié)構(gòu)上，可分為集中式入侵檢測系統(tǒng)[4]與分布式入侵檢測系統(tǒng)[5]；從檢測方法上，可分為基于誤用[9]的檢測技術(shù)與基于異常[6]的檢測技術(shù)。基于異常的檢測方法首先確定何為正常，即正常行為的特征，然后用定量的方法描述，當(dāng)用戶行為活動異于正常操作時，則被定義為攻擊行為。如基于數(shù)據(jù)挖掘的異常檢測方法[7]、基于特征選擇的異常檢測方法[9]、基于建模的異常檢測方法[9]等。基于異常的檢測方法側(cè)重于發(fā)現(xiàn)哪些模式是正常的或異常的，使用這種方法檢測入侵的優(yōu)勢在于識別新的入侵可能，劣勢則是容易出現(xiàn)誤報。研究人員嘗試將機器學(xué)習(xí)技術(shù)與基于異常的入侵檢測方法相結(jié)合，機器學(xué)習(xí)善于從大量的歷史數(shù)據(jù)中挖掘出其中隱含的規(guī)律，能夠讓基于異常的檢測方法取得更好的決策能力。因為在同一方案中采用不同的識別方法，可以消除單個進(jìn)程的漏洞，并增強了整個物聯(lián)網(wǎng)系統(tǒng)的可靠性。

作為機器學(xué)習(xí)領(lǐng)域中一個全新的研究方向，深度學(xué)習(xí)（Deep Learning,DL）模擬人腦進(jìn)行分析學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)，可根據(jù)要解決的問題自動構(gòu)建模型，而不是用于特定任務(wù)。DL包含多個隱藏層的人工神經(jīng)網(wǎng)絡(luò)的應(yīng)用。本文提出一種基于深度分析模型的物聯(lián)網(wǎng)異常入侵檢測模型用于流量異常檢測任務(wù)。該方法通過深度遷移學(xué)習(xí)方法在微調(diào)網(wǎng)絡(luò)的同時自動注釋未標(biāo)記數(shù)據(jù)集，文中基于ToN-IoT數(shù)據(jù)集的四個數(shù)據(jù)集進(jìn)行入侵檢測實驗。其試驗結(jié)果表明本文所提的入侵檢測系統(tǒng)實現(xiàn)了99.7%的準(zhǔn)確率，且在精密度、召回率、F1評分等指標(biāo)上也取得了不錯的成績。

2 入侵檢測系統(tǒng)

研究人員將入侵檢測系統(tǒng)（Intrusion Detection System,IDS）引入物聯(lián)網(wǎng)安全領(lǐng)域，并成為保障物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)。IDS作為一種積極主動的防御技術(shù)，收集網(wǎng)絡(luò)中各區(qū)域和節(jié)點信息，利用軟硬件結(jié)合的方式監(jiān)控網(wǎng)絡(luò)，捕獲攻擊信息、攻擊行為并發(fā)出警報，從而保護(hù)系統(tǒng)資源的完整性、私密性和可用性（如圖1所示）。張[10]針對網(wǎng)絡(luò)流量數(shù)據(jù)的時空雙重特性,提出了融合卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)的入侵檢測模型—CNN-LSTM-IDS，CNN用于學(xué)習(xí)流量數(shù)據(jù)的空間特征，然后特征輸入到LSTM中用于學(xué)習(xí)流量數(shù)據(jù)的時序特征，實驗表明混合結(jié)構(gòu)模型的性能比單獨模型有所提高。Otoum Yazan等人[11]提出了一種新的基于深度學(xué)習(xí)的入侵檢測系統(tǒng)（DL-IDS），用于檢測物聯(lián)網(wǎng)環(huán)境中的安全威脅。李等人[12]提出了一種基于深度強化學(xué)習(xí)算法近端策略優(yōu)化（Proximal Policy Optimization 2.0,PPO2）的工業(yè)物聯(lián)網(wǎng)入侵檢測系統(tǒng)。將深度學(xué)習(xí)的感知能力和強化學(xué)習(xí)的決策能力相結(jié)合，實現(xiàn)對工業(yè)物聯(lián)網(wǎng)多種類型網(wǎng)絡(luò)攻擊的有效檢測。K.Maseer等人[13]提出了一種新的混合加權(quán)深度信念網(wǎng)絡(luò)（HW-DBN）算法，用于構(gòu)建高效可靠的入侵檢測模型，以檢測現(xiàn)有和新的網(wǎng)絡(luò)攻擊，對web攻擊和機器人攻擊場景均實現(xiàn)了99%以上的檢測精度。

圖1：入侵檢測系統(tǒng)IDS工作示意圖

2.1 物聯(lián)網(wǎng)安全原則

本文決心在物聯(lián)網(wǎng)環(huán)境中尋找到了解物聯(lián)網(wǎng)應(yīng)用的各種場景和漏洞的技術(shù)，建立一個有效的物聯(lián)網(wǎng)安全系統(tǒng)。此外，在加強有效物聯(lián)網(wǎng)安全策略的同時，應(yīng)衡量以下基本安全原則。

保密性：這是物聯(lián)網(wǎng)網(wǎng)絡(luò)保護(hù)的一個基本要素。為了保護(hù)物聯(lián)網(wǎng)設(shè)備處理的數(shù)據(jù)的機密性，各種物聯(lián)網(wǎng)安全解決方案中通常使用傳統(tǒng)的密碼原語。

完整性：跨物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)通常通過遠(yuǎn)程通信進(jìn)行移動，必須以真正的方式進(jìn)行更改。在這種方法中，當(dāng)確保有一個強大的監(jiān)控工具來識別在圍繞不可信的遠(yuǎn)程系統(tǒng)通信期間的任何修改時，可靠性是一個主要問題。

認(rèn)證：物聯(lián)網(wǎng)架構(gòu)需要一種健壯的認(rèn)證機制，該機制因框架而異以提供強大的保護(hù)。因此，在創(chuàng)建認(rèn)證設(shè)計時，權(quán)衡是一個重大挑戰(zhàn)，例如在設(shè)計認(rèn)證計劃時考慮物聯(lián)網(wǎng)使用的安全和安保方面。

授權(quán)：授權(quán)為物聯(lián)網(wǎng)框架的客戶端提供特權(quán)。因此，客戶端可以利用通過計算設(shè)備收集的人員、系統(tǒng)或管理信息。因而可根據(jù)所涉及的人員、組件、設(shè)備和電力資源來維護(hù)安全。

可用性：物聯(lián)網(wǎng)框架應(yīng)始終可供授權(quán)用戶用于管理和通信任務(wù)?？捎眯允俏锫?lián)網(wǎng)框架有效組織的關(guān)鍵組成部分。物聯(lián)網(wǎng)設(shè)備可因幾種威脅變得不可用。因此，確保物聯(lián)網(wǎng)處理對其用戶的持續(xù)可用性是物聯(lián)網(wǎng)安全的一個基本要素。

2.2 物聯(lián)網(wǎng)安全威脅

安全攻擊可以分為真實攻擊和虛擬攻擊。因此，對互聯(lián)網(wǎng)的攻擊也可以分為被動攻擊和主動攻擊。

2.2.1 被動攻擊

攻擊者通常隱藏自己，通過觀察通信線路來收集來自設(shè)備、設(shè)備所有者或兩者的信息，從而引發(fā)潛在風(fēng)險。被動攻擊觀察和監(jiān)控信息，將其用于特定目標(biāo)。這類攻擊不會影響設(shè)備器資產(chǎn)，數(shù)據(jù)不會受到影響。用戶無法看到被動攻擊的存在，因為它是秘密執(zhí)行的。這類攻擊目的是獲取數(shù)據(jù)或檢查設(shè)備的漏洞。最常見的被動攻擊是竊聽，它在兩臺設(shè)備之間通過互聯(lián)網(wǎng)進(jìn)行通信時截取信息，并用于流量分析，以獲取網(wǎng)絡(luò)流量信息供分析。此外，由于物聯(lián)網(wǎng)環(huán)境中不確定工具的指數(shù)互連產(chǎn)生一些威脅。這些是基于無線傳感器網(wǎng)絡(luò)且特定于協(xié)議的，例如RPL（一種輕量級距離矢量路由協(xié)議）協(xié)議[14]。該路由協(xié)議能夠高效的利用智能設(shè)備的能量、計算資源，組建靈活的拓?fù)浣Y(jié)構(gòu)，實現(xiàn)數(shù)據(jù)路由。但由于物聯(lián)網(wǎng)設(shè)備的資源有限,導(dǎo)致RPL協(xié)議面臨許多的安全威脅。

2.2.2 主動攻擊

主動攻擊涉及巧妙竊聽通信路徑和修改或改變物聯(lián)網(wǎng)結(jié)構(gòu)以控制系統(tǒng)資源。主動攻擊試圖破壞和中斷設(shè)備，用戶會收到關(guān)于攻擊的通知。這類攻擊將使其可用性和完整性面臨風(fēng)險。與被動威脅相比，主動攻擊更難實現(xiàn)。拒絕服務(wù)攻擊（DoS）是可用于物聯(lián)網(wǎng)的主動威脅的常見示例。當(dāng)入侵者控制關(guān)閉儀器時，就會發(fā)生DoS攻擊。這將阻止真實用戶檢索特定設(shè)備。相反，入侵者會向focus機器注入大量流量，直到它無法回復(fù)或崩潰。例如，緩沖區(qū)溢出會向機器發(fā)送越來越大的流量，超過緩沖區(qū)可以管理的閾值，從而導(dǎo)致系統(tǒng)崩潰。

還有網(wǎng)絡(luò)控制報文協(xié)議（Internet Control Message Protocol,ICMP）洪水攻擊，指當(dāng) ICMP 回應(yīng)請求包過多以至超出了被攻擊者的最大限度，使被攻擊者耗盡所有資源來進(jìn)行響應(yīng)。ICMP對于用戶數(shù)據(jù)的傳遞起著重要的作用，受到干擾的服務(wù)通常包括在線銀行賬戶、網(wǎng)站或電子郵件。DoS威脅可以在任何地方毫不費力地進(jìn)行。如前所述，大多數(shù)智能系統(tǒng)如醫(yī)療系統(tǒng)、交通系統(tǒng)、家庭、城市和可穿戴設(shè)備中使用的工具，都運行在低功耗和有損網(wǎng)絡(luò)上，這使得保障安全通信具有挑戰(zhàn)性，增加了被入侵和其他有害事物攻擊的風(fēng)險。因此，物聯(lián)網(wǎng)需要安排檢測機制和安全通信系統(tǒng)，以支持其實用和有價值的執(zhí)行。

總之，物聯(lián)網(wǎng)設(shè)備中沒有什么是絕對安全的。這允許用戶在物聯(lián)網(wǎng)環(huán)境中輕松檢索其數(shù)據(jù)。盡管如此，它為入侵者檢索任何網(wǎng)段創(chuàng)造了一種不受保護(hù)的環(huán)境。圖2展示了物聯(lián)網(wǎng)環(huán)境中威脅的各個維度，包括網(wǎng)絡(luò)設(shè)備、云設(shè)備、傳感器、應(yīng)用程序以及其它物聯(lián)網(wǎng)系統(tǒng)。用戶應(yīng)注意所有物聯(lián)網(wǎng)設(shè)備的安全缺陷，以保護(hù)自己免受網(wǎng)絡(luò)威脅。已經(jīng)形成了幾種減少網(wǎng)絡(luò)威脅的方法和結(jié)構(gòu)。例如，機器學(xué)習(xí)可以幫助檢測日志并對廣泛網(wǎng)絡(luò)上的攻擊進(jìn)行分類。

圖2：物聯(lián)網(wǎng)環(huán)境的威脅維度

3 基于深度學(xué)習(xí)模型的IDS

3.1 研究目標(biāo)

由于物聯(lián)網(wǎng)設(shè)備在互聯(lián)和相互依存的環(huán)境中運行，新的威脅不斷出現(xiàn)。此外，由于物聯(lián)網(wǎng)設(shè)備通常在無人值守的環(huán)境中運行，可能會遭到入侵者的惡意訪問。因為物聯(lián)網(wǎng)設(shè)備通常通過無線網(wǎng)絡(luò)鏈接，竊聽者可以從通信通道訪問私有信息。除了這些安全問題外，物聯(lián)網(wǎng)設(shè)備由于能量和處理能力有限，無法納入先進(jìn)的安全功能。因此，應(yīng)在物聯(lián)網(wǎng)網(wǎng)絡(luò)中建立額外的保護(hù)線，以保護(hù)基于物聯(lián)網(wǎng)的組織免受網(wǎng)絡(luò)威脅。深度學(xué)習(xí)技術(shù)最近在檢測網(wǎng)絡(luò)攻擊的流行應(yīng)用中變得更加可靠。物聯(lián)網(wǎng)環(huán)境中訓(xùn)練有素的系統(tǒng)將主要捕捉異常和正常行為。可以通過注冊和檢查物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)流量，以了解正常模式。在偏離正常模式的地方可以識別出異常行為。這些方法也經(jīng)過測試，可以預(yù)測新的威脅，并提供全面的物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)安全協(xié)議。

3.2 實驗設(shè)置

入侵檢測系統(tǒng)主要在數(shù)據(jù)收集模塊和攻擊檢測分析模塊中包含攻擊證據(jù)。研究物聯(lián)網(wǎng)系統(tǒng)在數(shù)據(jù)收集模塊中的輸入數(shù)據(jù)，以發(fā)現(xiàn)在分析模塊中使用各種機器學(xué)習(xí)技術(shù)的交互行為。深度學(xué)習(xí)技術(shù)在不同領(lǐng)域取得了顯著的成就，并被證明是比傳統(tǒng)機器學(xué)習(xí)更好的選擇。此外，使用深度學(xué)習(xí)的入侵檢測系統(tǒng)取得了非常好的結(jié)果?；谏疃葘W(xué)習(xí)的方法更具影響力，適用于流量分析，以確定物聯(lián)網(wǎng)環(huán)境中的正常和異常流量。此外，與以前的安全技術(shù)不同，深度學(xué)習(xí)技術(shù)可以智能地預(yù)測新的安全威脅。圖3顯示了在物聯(lián)網(wǎng)環(huán)境中使用深度學(xué)習(xí)模型的入侵檢測。

圖3：基于深度學(xué)習(xí)模型的IDS

3.2.1 數(shù)據(jù)集

本工作采用ToN-IoT數(shù)據(jù)集，該數(shù)據(jù)集可以在ToN-IoT存儲庫中檢索[15]。該數(shù)據(jù)集從物聯(lián)網(wǎng)設(shè)備遙測、操作系統(tǒng)日志和基于物聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)流量等各種來源收集數(shù)據(jù)。ToNIoT數(shù)據(jù)集使用正?；蚬魳?biāo)簽進(jìn)行分類，以進(jìn)行二進(jìn)制分類。攻擊子類型包括：Backdoor[16],DDoS,Injection,Normal,Password cracking[17],Scanning,Ransomware[18],XSS[19]（如表1所示）。本文選取了ToN-IoT數(shù)據(jù)集中的四個子數(shù)據(jù)集IoT_Weather,IoT_GPS_Tracker,IoT_Garage_Door,IoT_Thermostat進(jìn)行研究。

表1：不同網(wǎng)絡(luò)攻擊說明

3.2.2 數(shù)據(jù)平衡

合成少數(shù)過采樣技術(shù)（Synthetic Minority Over-sampling Technique,SMOTE）[20]方法通常用于數(shù)據(jù)平衡。SMOTE的主要思想是通過合并仍然存在的各種少數(shù)群體案例來創(chuàng)建新的少數(shù)群體案例。首先，確定所有少數(shù)案例的k近鄰。然后，在少數(shù)案例及其k近鄰之間的位置上啟動少數(shù)案例，直到數(shù)據(jù)庫平衡。因此可以有效避免過擬合的問題。

3.2.3 分類器

該模型通過各種機器學(xué)習(xí)算法和深度學(xué)習(xí)模型進(jìn)行評估：隨機森林、投票分類器（Voting Classfier）、人工神經(jīng)網(wǎng)絡(luò)（Artificial Neural Network,ANN）和1D-CNN。分類器訓(xùn)練期間使用了以下參數(shù)：損失：交叉熵?fù)p失函數(shù)分類（用于ANN和CNN）；優(yōu)化器：Adam （用于ANN和CNN）；Dropout 率設(shè)為0.5（用于ANN和CNN）；批大小分別設(shè)為20（ANN）和128（CNN）；測試大小設(shè)為0.2（適用所有分類器）；樹的數(shù)量分別設(shè)置為1000 （隨機森林）and 500（絕對多數(shù)投票majority voting）。

3.2.4 評估標(biāo)準(zhǔn)

該模型的主要目的是根據(jù)以下結(jié)果對正常和異常攻擊進(jìn)行分類，包括TP（被模型預(yù)測為正類的正樣本）、TN（被模型預(yù)測為負(fù)類的負(fù)樣本）、FP（被模型預(yù)測為正類的負(fù)樣本）和FN（被模型預(yù)測為負(fù)類的正樣本）四類，評估公式如公式（1）-（4）。此外，評估混淆矩陣以證明有多少數(shù)據(jù)被正確和錯誤分類。用于評估性能的指標(biāo)包括精確率P、召回率R、準(zhǔn)確率Acc和F1值。

4 實驗結(jié)果

實驗使用機器學(xué)習(xí)和深度學(xué)習(xí)模型在ToN-IoT數(shù)據(jù)集上進(jìn)行。用于評估性能的指標(biāo)包括精確率P、召回率R、準(zhǔn)確率Acc和F1值。每個數(shù)據(jù)集通過不同分類器獲得的最好結(jié)果如表2所示。結(jié)果表明，對于IoT_Weather、IoT_Thermostat、IoT_GPS_Tracker和IoT_Garage_Door數(shù)據(jù)集，投票分類器達(dá)到了99.7%的最高精度。通過所用分類器對每個數(shù)據(jù)集獲得的精度如表3所示。隨機分類器實現(xiàn)了最大精度，即在物聯(lián)網(wǎng)遙測數(shù)據(jù)集的各種數(shù)據(jù)集上達(dá)到99.7%以上。

表2：不同數(shù)據(jù)集在分類器獲得的最好實驗結(jié)果

表3：通過所用分類器對每個數(shù)據(jù)集獲得的準(zhǔn)確率

5 結(jié)論

本文提出了一個基于人工智能的入侵檢測模型，使用ToN-IoT數(shù)據(jù)集的四個數(shù)據(jù)集進(jìn)行物聯(lián)網(wǎng)網(wǎng)絡(luò)的入侵檢測，并用準(zhǔn)確率、精密度、召回率、F1評分等進(jìn)行評估。該模型在其中三個數(shù)據(jù)集上（IoT_GPS_Tracker、IoT_Garage_Door、IoT_Thermostat）實現(xiàn)了99.7%以上的準(zhǔn)確率（使用投票分類器），未來主要工作是開發(fā)一個安全物聯(lián)網(wǎng)傳感器的智能電網(wǎng)計量系統(tǒng)。