宋雪樺，汪 盼，鄧壯來(lái)，解 暉

（江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇鎮(zhèn)江212013）

糧食是關(guān)系到國(guó)計(jì)民生的重要戰(zhàn)略儲(chǔ)備物資，科學(xué)儲(chǔ)糧在維護(hù)糧食市場(chǎng)、保障社會(huì)穩(wěn)定和國(guó)家安全中具有一定的社會(huì)意義與經(jīng)濟(jì)價(jià)值[1]。隨著通信網(wǎng)絡(luò)技術(shù)的高速發(fā)展，以物聯(lián)網(wǎng)[2]（Internet of Things，IoT）為代表的高新技術(shù)在糧食安全保障領(lǐng)域的應(yīng)用得到了長(zhǎng)足發(fā)展，物聯(lián)網(wǎng)技術(shù)在糧情測(cè)控、機(jī)械通風(fēng)等領(lǐng)域中的應(yīng)用越來(lái)越廣泛。物聯(lián)網(wǎng)是在計(jì)算機(jī)網(wǎng)絡(luò)、無(wú)線傳感網(wǎng)絡(luò)等基礎(chǔ)上建設(shè)而成的，這些網(wǎng)絡(luò)自身存在安全漏洞和脆弱性問(wèn)題，這使得基于物聯(lián)網(wǎng)的糧情監(jiān)控系統(tǒng)在信息安全上面臨不少挑戰(zhàn)。因此，對(duì)糧情監(jiān)控系統(tǒng)的安全防范顯得極其重要。

入侵行為主要是破壞目標(biāo)資源的安全性、完整性以及可訪問(wèn)性，是物聯(lián)網(wǎng)信息安全防范的主要方面。入侵檢測(cè)是近年來(lái)出現(xiàn)的識(shí)別入侵行為的網(wǎng)絡(luò)安全防御技術(shù)，但是面對(duì)基于物聯(lián)網(wǎng)的糧情監(jiān)控系統(tǒng)中的海量無(wú)標(biāo)簽網(wǎng)絡(luò)數(shù)據(jù)，傳統(tǒng)的入侵檢測(cè)方法已經(jīng)無(wú)法準(zhǔn)確及時(shí)處理，要求建立穩(wěn)定、可靠且高效的入侵檢測(cè)模型以保障系統(tǒng)網(wǎng)絡(luò)安全。

張馨等[3]針對(duì)物聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全問(wèn)題，將幾種入侵檢測(cè)技術(shù)在物聯(lián)網(wǎng)架構(gòu)中的應(yīng)用進(jìn)行了對(duì)比分析，指出入侵檢測(cè)的必要性。文獻(xiàn)[4]利用反向傳播（Back Propagation,BP）神經(jīng)網(wǎng)絡(luò)和AGENT 技術(shù)，將優(yōu)化的BP算法應(yīng)用到入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）中，解決了IDS在復(fù)雜物聯(lián)網(wǎng)環(huán)境中存在的低性能問(wèn)題。Pajouh等[5]提出了一種用于物聯(lián)網(wǎng)入侵檢測(cè)的雙層降維和雙層分類模型，該模型的計(jì)算復(fù)雜度較低，因而對(duì)系統(tǒng)的計(jì)算和內(nèi)存資源要求較少。

面對(duì)多樣化的網(wǎng)絡(luò)入侵行為，基于傳統(tǒng)機(jī)器學(xué)習(xí)的入侵檢測(cè)模型無(wú)法高效地對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)層中的大量無(wú)標(biāo)簽入侵?jǐn)?shù)據(jù)進(jìn)行分類識(shí)別。Hinton等[6]提出的深度信念網(wǎng)絡(luò)（Deep Belief Network，DBN）可以實(shí)現(xiàn)對(duì)大量無(wú)標(biāo)簽數(shù)據(jù)進(jìn)行特征提取，該方法已成功地運(yùn)用在語(yǔ)音識(shí)別、計(jì)算機(jī)視覺等領(lǐng)域。DBN模型具有強(qiáng)大的表達(dá)能力，能夠提取海量網(wǎng)絡(luò)數(shù)據(jù)豐富的內(nèi)在信息，Salama團(tuán)隊(duì)[7]首次將DBN應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域。Alrawashdeh 等[8]提出了一種基于DBN 的在線異常入侵檢測(cè)系統(tǒng)，該系統(tǒng)在KDDCUP'99數(shù)據(jù)集上具有較高的檢測(cè)率和較低的假陰性率。在基于物聯(lián)網(wǎng)的糧情監(jiān)控系統(tǒng)中，利用傳感器采集大量數(shù)據(jù)進(jìn)行信息傳輸及交換，海量的通信數(shù)據(jù)會(huì)導(dǎo)致系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的效率降低，日益智能化的網(wǎng)絡(luò)攻擊使得對(duì)異常入侵行為的檢測(cè)更加困難，因此本文提出了一種基于深度信念網(wǎng)絡(luò)的交替決策樹入侵檢測(cè)（Alternating Decision Trees-based Deep Belief Nets,DBN-ADT）方法，以實(shí)現(xiàn)數(shù)據(jù)特征降維，快速實(shí)現(xiàn)異常入侵行為分析和檢測(cè)。

1 物聯(lián)網(wǎng)與糧情監(jiān)控系統(tǒng)

物聯(lián)網(wǎng)按照一定的協(xié)議，利用信息傳感設(shè)備，把物品和互聯(lián)網(wǎng)連接，以進(jìn)行信息交換與通信，實(shí)現(xiàn)對(duì)物品進(jìn)行智能化識(shí)別、監(jiān)控、控制等功能?；谖锫?lián)網(wǎng)的糧情監(jiān)控系統(tǒng)可以分為用于捕獲數(shù)據(jù)的感知層、進(jìn)行數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)層以及內(nèi)容應(yīng)用層等3個(gè)層次[9]，如圖1所示。

圖1 基于物聯(lián)網(wǎng)的糧情監(jiān)控系統(tǒng)構(gòu)架

1.1 感知層

感知層是物聯(lián)網(wǎng)發(fā)展和應(yīng)用的重要組成部分，主要利用不同類型的傳感器對(duì)糧倉(cāng)內(nèi)外各種物理參數(shù)信息進(jìn)行精準(zhǔn)獲取，實(shí)現(xiàn)對(duì)糧食信息的采集、捕獲和識(shí)別。糧情監(jiān)控系統(tǒng)集成有測(cè)量糧食內(nèi)部溫度及采集糧倉(cāng)內(nèi)外氣溫的溫度傳感器以及測(cè)量糧倉(cāng)內(nèi)外濕度的濕度傳感器等，同時(shí)提供用于擴(kuò)展的CO2、O2等濃度傳感器接口。糧情監(jiān)控系統(tǒng)一般以溫度和濕度為主要檢測(cè)信息參數(shù)，氣體濃度為輔助參數(shù)。

感知層的主要安全問(wèn)題是傳感網(wǎng)的節(jié)點(diǎn)容易受到操控，包括網(wǎng)關(guān)節(jié)點(diǎn)和普通節(jié)點(diǎn)。普通節(jié)點(diǎn)一旦被控制，攻擊者不僅可以竊取信息，還可以操控附在物品上的標(biāo)簽，影響對(duì)合法標(biāo)簽的正常讀寫。而對(duì)于網(wǎng)關(guān)節(jié)點(diǎn)，同樣存在被惡意攻擊的隱患，攻擊者可以進(jìn)行信號(hào)干擾，造成網(wǎng)絡(luò)持續(xù)擁塞。此外感知層需要接入互聯(lián)網(wǎng)，無(wú)可避免地會(huì)有來(lái)自互聯(lián)網(wǎng)的攻擊，主要有非法訪問(wèn)和拒絕服務(wù)攻擊。傳感網(wǎng)的節(jié)點(diǎn)由于結(jié)構(gòu)單一、資源較小，在一定程度上限制了其數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理和數(shù)據(jù)通信等方面的能力，在受到攻擊時(shí)，節(jié)點(diǎn)容易崩潰，甚至?xí)?dǎo)致傳感網(wǎng)絡(luò)癱瘓。

1.2 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層在互聯(lián)網(wǎng)基礎(chǔ)上，綜合各種有線和無(wú)線通信網(wǎng)、專用網(wǎng)絡(luò)。網(wǎng)絡(luò)層負(fù)責(zé)接收、傳遞和處理感知層捕獲的信息。糧情監(jiān)控系統(tǒng)采用互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)等實(shí)現(xiàn)糧倉(cāng)與監(jiān)控中心相互傳輸數(shù)據(jù)，工作人員在監(jiān)控中心可以隨時(shí)查詢和了解各個(gè)糧倉(cāng)的儲(chǔ)糧情況，減少入倉(cāng)檢查次數(shù)，同時(shí)當(dāng)糧倉(cāng)出現(xiàn)異常時(shí)監(jiān)控系統(tǒng)能夠及時(shí)報(bào)警。

網(wǎng)絡(luò)層主要安全隱患是路由攻擊，包括拒絕服務(wù)攻擊、竊取轉(zhuǎn)發(fā)數(shù)據(jù)信息以及對(duì)路徑拓?fù)涞膼阂庑袨椤Ｎ锫?lián)網(wǎng)的承載網(wǎng)絡(luò)是互聯(lián)互通的開放性異構(gòu)網(wǎng)絡(luò)，黑客利用網(wǎng)絡(luò)漏洞可以隨意竊取、修改和刪除傳輸鏈路上的數(shù)據(jù)，同時(shí)可以偽裝成合法用戶進(jìn)行網(wǎng)絡(luò)服務(wù)，非法跟蹤合法用戶以獲取有效的用戶信息，從而進(jìn)一步攻擊，導(dǎo)致整個(gè)網(wǎng)絡(luò)缺乏數(shù)據(jù)機(jī)密性和完整性保護(hù)。

1.3 應(yīng)用層

糧情監(jiān)控系統(tǒng)的應(yīng)用層主要包括糧情測(cè)控模塊、垂直管理模塊、糧食安保模塊和報(bào)警模塊。糧情測(cè)控模塊的功能是定時(shí)、實(shí)時(shí)采集溫度和濕度等信息，并分析和保存這些數(shù)據(jù)。垂直管理模塊采用互聯(lián)網(wǎng)或者通信網(wǎng)絡(luò)實(shí)現(xiàn)糧食管理部門對(duì)下屬糧倉(cāng)的遠(yuǎn)程管理和全面監(jiān)控。糧食安保模塊對(duì)視頻傳感器采集的信息進(jìn)行分析、挖掘，及時(shí)發(fā)現(xiàn)糧倉(cāng)出現(xiàn)的異常情況。報(bào)警模塊接收其他模塊傳遞的異常報(bào)警信息并及時(shí)通知相關(guān)人員，以便采取及時(shí)準(zhǔn)確有效的措施，最大限度地減輕事故影響。

應(yīng)用層的重要特征是智能性。為實(shí)現(xiàn)方便迅速地處理海量數(shù)據(jù)，需要運(yùn)用智能處理技術(shù)，因此物聯(lián)網(wǎng)中的應(yīng)用層面臨的安全挑戰(zhàn)首先是應(yīng)對(duì)海量數(shù)據(jù)的智能識(shí)別和處理。通常黑客會(huì)利用已知的應(yīng)用漏洞注入惡意代碼，對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行竊聽、注入和篡改，破壞應(yīng)用的機(jī)密性。此外，在數(shù)據(jù)智能自動(dòng)處理過(guò)程中，應(yīng)用層需要建立相應(yīng)的可控機(jī)制以及時(shí)有效地中斷災(zāi)難并從中恢復(fù)、減少攻擊帶來(lái)的損失。

基于物聯(lián)網(wǎng)的糧情監(jiān)控系統(tǒng)的核心雖然是傳統(tǒng)網(wǎng)絡(luò)，卻比之更加復(fù)雜，一旦發(fā)生病毒破壞、惡意代碼攻擊等安全問(wèn)題，不僅導(dǎo)致信息資料的泄露，還會(huì)涉及系統(tǒng)中的實(shí)物，造成的損失往往比傳統(tǒng)網(wǎng)絡(luò)更加嚴(yán)重。入侵檢測(cè)系統(tǒng)對(duì)異常網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)攻擊行為，并在糧情監(jiān)控系統(tǒng)中預(yù)警。為應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境以保護(hù)糧情監(jiān)控系統(tǒng)的數(shù)據(jù)安全，論文結(jié)合深度信念網(wǎng)絡(luò)和交替決策樹分類器提出了一種新的入侵檢測(cè)模型。

2 基于深度信念網(wǎng)絡(luò)的交替決策樹入侵檢測(cè)方法

物聯(lián)網(wǎng)的海量無(wú)標(biāo)簽數(shù)據(jù)信息只有部分特征被入侵檢測(cè)過(guò)程真正利用，而檢測(cè)系統(tǒng)在排除大量無(wú)用信息時(shí)需要花費(fèi)很大的計(jì)算量，浪費(fèi)物聯(lián)網(wǎng)中的有限資源[10]。因此采用深度信念網(wǎng)絡(luò)挖掘和提取輸入數(shù)據(jù)特征，將大量高維的無(wú)標(biāo)簽數(shù)據(jù)進(jìn)行特征降維。同時(shí)在特征數(shù)據(jù)的基礎(chǔ)上結(jié)合分類器對(duì)入侵行為進(jìn)行分類識(shí)別，論文選用ADT分類器。

由于在糧情監(jiān)控系統(tǒng)的通信過(guò)程中，待檢測(cè)的數(shù)據(jù)包不是固定長(zhǎng)度的，在確定深度信念網(wǎng)絡(luò)的輸入節(jié)點(diǎn)個(gè)數(shù)時(shí)有兩種方法可以選擇。一種方法是和待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包的最大傳輸單元（Maximum Transmission Unit，MTU）保持一致，對(duì)不足MTU的數(shù)據(jù)包采用包尾添0的方式補(bǔ)齊。另一種方法是在數(shù)據(jù)包中選取固定的屬性特征作為輸入，比如NSL-KDD數(shù)據(jù)庫(kù)將待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包設(shè)置為包含41個(gè)屬性特征的固定長(zhǎng)度。論文采用第二種方法確定DBN的輸入節(jié)點(diǎn)數(shù)量。

2.1 方法步驟設(shè)計(jì)

本文提出的基于DBN-ADT的入侵檢測(cè)方法的總體框架如圖2所示，主要包含5個(gè)模塊。

（1）數(shù)據(jù)預(yù)處理。數(shù)據(jù)集采用NSL-KDD數(shù)據(jù)集，首先數(shù)值化數(shù)據(jù)集中符號(hào)型屬性特征，將41維的原始屬性特征映射為122維的特征數(shù)據(jù)，再進(jìn)行數(shù)據(jù)歸一化處理，獲得標(biāo)準(zhǔn)化數(shù)據(jù)集[11]。

（2）DBN 預(yù)訓(xùn)練過(guò)程。通過(guò)非監(jiān)督、貪婪地訓(xùn)練每一層受限玻爾茲曼機(jī)（Restricted Boltzmann Machine，RBM）網(wǎng)絡(luò)，將大量高維、無(wú)標(biāo)簽、非線性的原始數(shù)據(jù)映射至不同特征空間，從而保留數(shù)據(jù)的關(guān)鍵特征信息，獲得較優(yōu)的低維表示[12]。

（3）權(quán)值微調(diào)過(guò)程。反向傳播網(wǎng)絡(luò)設(shè)置在DBN的最后一層，利用被附加到網(wǎng)絡(luò)頂層的帶標(biāo)簽數(shù)據(jù)，接收預(yù)訓(xùn)練輸出的低維表示作為權(quán)值微調(diào)的輸入特征向量，有監(jiān)督地自頂向下訓(xùn)練DBN模型。BP算法自頂向下將誤差信息傳播至每一層RBM，對(duì)整個(gè)網(wǎng)絡(luò)的權(quán)值進(jìn)行調(diào)整，從而獲得最優(yōu)低維表示數(shù)據(jù)。

（4）入侵識(shí)別分類。利用監(jiān)督迭代算法構(gòu)造ADT分類器，對(duì)最優(yōu)低維數(shù)據(jù)集進(jìn)行訓(xùn)練分類，最終識(shí)別5種網(wǎng)絡(luò)攻擊狀態(tài)。

（5）網(wǎng)絡(luò)攻擊報(bào)警。根據(jù)分類結(jié)果進(jìn)行報(bào)警響應(yīng)，通知用戶及時(shí)處理惡意入侵問(wèn)題，保證系統(tǒng)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

圖2 DBN-ADT的總體框架

2.2 深度信念網(wǎng)絡(luò)模型

DBN是一個(gè)具有若干潛變量層的概率生成模型，由多層無(wú)監(jiān)督的RBM網(wǎng)絡(luò)和一層采用BP算法的BP網(wǎng)絡(luò)依次疊加構(gòu)成，是一種深層神經(jīng)網(wǎng)絡(luò)。RBM是DBN的核心組件之一，包含可視層單元（v）和隱藏層單元（h）。圖3展示了一個(gè)多層的DBN模型結(jié)構(gòu)。每層RBM網(wǎng)絡(luò)的隱藏單元被訓(xùn)練捕捉在可視層表現(xiàn)出來(lái)的高維數(shù)據(jù)的相關(guān)性，抽取數(shù)據(jù)維數(shù)較低的關(guān)鍵特征，將大量原始數(shù)據(jù)低維表示映射，從而獲得較優(yōu)的初始模型參數(shù)，然后利用BP算法對(duì)整個(gè)網(wǎng)絡(luò)的權(quán)值進(jìn)行有監(jiān)督地調(diào)整，從而獲得最優(yōu)的低維表示數(shù)據(jù)。

（1）預(yù)訓(xùn)練過(guò)程

算法1 DBN預(yù)訓(xùn)練

輸入：可見層輸入特征變量v(υ1,υ2,…,υm)，隱藏層單元個(gè)數(shù)n，學(xué)習(xí)速度ε，樣本訓(xùn)練的迭代次數(shù)k；

輸出：模型參數(shù)θ={W,a,b}，其中W為鏈接權(quán)重矩陣，a，b分別為隱藏層和可視層的偏置向量；

初始化：設(shè)置Wij=ai=bj=0(i=1,2,…,m；j=1,2,…,n)；

圖3 DBN模型結(jié)構(gòu)

For t=1,2,…,k

對(duì)于每個(gè)可視層輸入特征變量(υ1,υ2,…,υm)，將υi賦值給v(t)；

For j=1,2,…,n（對(duì)于所有的隱藏層單元）

EndFor

For i=1,2,…,m（對(duì)于所有的可視層單元）

EndFor

根據(jù)（4）式和（5）式獲得更新狀態(tài)下的聯(lián)合概率分布的梯度，更新參數(shù)θ，即：

EndFor

（2）權(quán)值微調(diào)過(guò)程

算法2 DBN微調(diào)權(quán)值

輸入：從算法1中獲得模型參數(shù)θ={W,a,b}，學(xué)習(xí)速度η，訓(xùn)練樣本＜xi,ti＞(i=1,2,…,m)；

輸出：微調(diào)后的模型參數(shù)θ={W,a,b}；

初始化：模型參數(shù)θ和迭代次數(shù)n；

For t=1,2,…,n

For i=1,2,…,m（對(duì)于所有的訓(xùn)練樣本）

計(jì)算xi的實(shí)際輸出表示xi′；

計(jì)算輸出層單元k實(shí)際輸出表示與理想輸出表示xi的誤差梯度δk：

計(jì)算隱藏層單元h的誤差梯度δh：

其中，θhk為隱藏層單元h 后續(xù)輸出層單元k的鏈接權(quán)值；

更新每個(gè)網(wǎng)絡(luò)模型參數(shù)θij：

2.3 交替決策樹分類器

ADT是對(duì)經(jīng)典決策樹的一種擴(kuò)展，將傳統(tǒng)決策樹和監(jiān)督迭代算法相結(jié)合[13]，由決策節(jié)點(diǎn)和預(yù)測(cè)節(jié)點(diǎn)的交替層組成。ADT分類器的設(shè)計(jì)如圖4所示，ADT的獨(dú)特表示允許在同一個(gè)預(yù)測(cè)節(jié)點(diǎn)下添加多個(gè)決策樹樁，其中可以添加在圓圈中突出顯示的附加決策樹樁，以提高其預(yù)測(cè)準(zhǔn)確性。每個(gè)預(yù)測(cè)節(jié)點(diǎn)都分配有一個(gè)權(quán)重，該權(quán)重表示該節(jié)點(diǎn)對(duì)最終預(yù)測(cè)結(jié)果的貢獻(xiàn)，所有貢獻(xiàn)權(quán)重的總和給出了最終的預(yù)測(cè)概率。

圖4 ADT分類器

假設(shè)a=0.5,b=0.5，則得到sign( +0.4-0.6+0.2-0.2-0.1=-0.3 )=-1，又假設(shè)a=0.5,b=-0.5，則得到sign( +0.4-0.6-0.3-0.2-0.1=-0.8 )=-1，在這兩種情況下，輸出的分類結(jié)果都是-1，但是第二種情況比第一種更置信。

3 實(shí)驗(yàn)與分析

3.1 數(shù)據(jù)描述

KDDCUP'99 和NSL-KDD[14]是入侵檢測(cè)研究中最常用的數(shù)據(jù)集，論文選取NSL-KDD 數(shù)據(jù)集對(duì)DBN-ADT方法進(jìn)行評(píng)估。NSL-KDD數(shù)據(jù)集解決了KDDCUP'99數(shù)據(jù)集存在的冗余記錄等固有問(wèn)題，包含125 973個(gè)訓(xùn)練數(shù)據(jù)和22 543個(gè)測(cè)試數(shù)據(jù)。NSL-KDD數(shù)據(jù)集中的每個(gè)記錄由41個(gè)屬性特征組成，包含38個(gè)連續(xù)型屬性和3個(gè)符號(hào)型屬性，其中訓(xùn)練數(shù)據(jù)還包含1個(gè)類標(biāo)簽，包括5種攻擊行為類型：拒絕服務(wù)攻擊（Denial of Service，DoS），遠(yuǎn)程用戶攻擊（Remote to Local，R2L），用戶到根攻擊（User to Root，U2R），端口掃描攻擊（Probe）和正常（Normal）。

3.2 數(shù)據(jù)預(yù)處理

首先采用屬性映射方法將符號(hào)型離散數(shù)據(jù)轉(zhuǎn)變成數(shù)值型數(shù)據(jù)，例如字段名為“protocol_type”的屬性特征有3種取值：tcp、udp、icmp，將其分別變換為特征向量[1,0,0]、[0,1,0]和[0,0,1]。通過(guò)此法可以將41個(gè)原始屬性特征映射成122維特征數(shù)據(jù)。然后最小-最大規(guī)范化處理獲得的數(shù)據(jù)，以消除各屬性間的量綱影響，根據(jù)

將各屬性特征歸一化到同一數(shù)量級(jí)，即[0,1]范圍，式中，y為屬性值，ymax，ymin分別為該屬性的最大值和最小值。

3.3 DBN-ADT方法參數(shù)設(shè)置

實(shí)驗(yàn)平臺(tái)采用Eclipse+PyDev插件，DBN-ADT方法參數(shù)設(shè)置如表1所示。NSL-KDD數(shù)據(jù)集經(jīng)過(guò)數(shù)據(jù)預(yù)處理后得到122維特征，即輸入層有122個(gè)節(jié)點(diǎn)。而文獻(xiàn)[15]已經(jīng)詳細(xì)闡述了DBN的網(wǎng)絡(luò)深度、輸出層節(jié)點(diǎn)數(shù)等關(guān)鍵因素對(duì)入侵檢測(cè)性能的影響。本文選取5層RBM網(wǎng)絡(luò)結(jié)構(gòu)，通過(guò)折半查找法逐步遞歸選擇合適的隱藏層節(jié)點(diǎn)個(gè)數(shù)，其隱藏層節(jié)點(diǎn)數(shù)依次為110、80、55、35、10，即DBN-ADT 網(wǎng)絡(luò)結(jié)構(gòu)為122-110-80-55-35-10。在DBN 預(yù)訓(xùn)練過(guò)程中迭代次數(shù)選取30，而DBN-ADT 方法對(duì)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測(cè)的準(zhǔn)確率（Accuracy,AC）和誤報(bào)率（False Alarm Rate,FAR）與基于BP算法的權(quán)重微調(diào)過(guò)程的迭代次數(shù)關(guān)系如圖5所示。預(yù)訓(xùn)練和微調(diào)權(quán)重過(guò)程學(xué)習(xí)速度為0.06。

表1 DBN-ADT方法參數(shù)列表

圖5 迭代次數(shù)和檢測(cè)準(zhǔn)確率與誤報(bào)率的關(guān)系

當(dāng)?shù)螖?shù)增加時(shí)，DBN-ADT 方法檢測(cè)準(zhǔn)確率隨之上升，誤報(bào)率隨之下降，并在迭代次數(shù)分別為160和150左右，檢測(cè)準(zhǔn)確率開始減小，誤報(bào)率開始增大。因此在對(duì)比實(shí)驗(yàn)中權(quán)值微調(diào)過(guò)程的迭代次數(shù)選取160次。

3.4 實(shí)驗(yàn)結(jié)果分析

在對(duì)比實(shí)驗(yàn)中，將DBN-ADT方法與支持向量機(jī)（Support Vector Machine，SVM）和邏輯回歸（Logistic Regression，LR）方法對(duì)不同攻擊類型的識(shí)別準(zhǔn)確率和誤報(bào)率作為檢測(cè)性能的評(píng)價(jià)指標(biāo)進(jìn)行分析。SVM和LR作為傳統(tǒng)的分類方法，使用默認(rèn)的參數(shù)設(shè)置。

3種方法對(duì)各類攻擊實(shí)驗(yàn)結(jié)果如表2所示。從表中可以看出，DBN-ADT方法對(duì)于不同攻擊行為的分類檢測(cè)準(zhǔn)確率高于SVM和LR方法，而且DBN-ADT具有較低的誤報(bào)率。實(shí)驗(yàn)表明DBN-ADT方法能有效地提高網(wǎng)絡(luò)入侵行為的識(shí)別能力。

為了進(jìn)一步驗(yàn)證DBN-ADT 方法的實(shí)時(shí)性，在NSL-KDD 數(shù)據(jù)集中分別隨機(jī)抽取30%、50%、80%、100%的數(shù)據(jù)，并采用3種方法進(jìn)行識(shí)別準(zhǔn)確率和檢測(cè)時(shí)間（Ti）對(duì)比測(cè)試，實(shí)驗(yàn)結(jié)果如表3所示。

表2 3種分類方法針對(duì)各個(gè)攻擊類型的性能比較

表3 DBN-ADT方法與SVM和LR的準(zhǔn)確率和時(shí)間對(duì)比

從表3可以看出，在不同數(shù)據(jù)集上，與SVM和LR方法相比，DBN-ADT方法對(duì)攻擊行為的識(shí)別準(zhǔn)確率分別提高了至少7.24%、8.25%；在運(yùn)行時(shí)間方面，DBN-ADT方法約縮短至SVM的1/2、LR方法的3/5。從總體的檢測(cè)準(zhǔn)確率和實(shí)時(shí)性來(lái)說(shuō)，DBN-SC方法具有較突出的優(yōu)勢(shì)。

為了檢驗(yàn)DBN的特征學(xué)習(xí)能力，論文采用DBN與主成分分析（Principal Component Analysis，PCA）和自編碼網(wǎng)絡(luò)（AutoEncoder Network，AEN）等方法進(jìn)行對(duì)比，PCA、AEN選取默認(rèn)的參數(shù)設(shè)置。首先利用特征學(xué)習(xí)方法進(jìn)行特征提取，然后采用ADT分類器對(duì)降維的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類識(shí)別。在訓(xùn)練過(guò)程中分別抽取NSL-KDD數(shù)據(jù)集的30%、50%、80%、100%進(jìn)行實(shí)驗(yàn)分析。

實(shí)驗(yàn)對(duì)比結(jié)果如表4所示，可以發(fā)現(xiàn)，在不同的數(shù)據(jù)集中，DBN的特征學(xué)習(xí)能力比傳統(tǒng)的特征降維方法存在較大的優(yōu)勢(shì)，更適應(yīng)對(duì)高維無(wú)標(biāo)簽網(wǎng)絡(luò)數(shù)據(jù)的特征提取任務(wù)。在100%的數(shù)據(jù)訓(xùn)練階段，DBN方法的準(zhǔn)確率較PCA、AEN方法分別提高了3.46%和2.67%。

進(jìn)一步測(cè)試DBN的特征學(xué)習(xí)能力，利用數(shù)據(jù)集中100%的數(shù)據(jù)訓(xùn)練，將ADT與DBN-ADT方法進(jìn)行對(duì)比，實(shí)驗(yàn)結(jié)果如表5所示。DBN能夠提取數(shù)據(jù)的關(guān)鍵特征，測(cè)試表明DBN-ADT方法不僅可以提高識(shí)別準(zhǔn)確率，而且能降低ADT分類器的檢測(cè)時(shí)間。

表4 DBN與其他特征學(xué)習(xí)方法的準(zhǔn)確率對(duì)比

表5 ADT與DBN-ADT的實(shí)驗(yàn)對(duì)比

4 結(jié)束語(yǔ)

針對(duì)傳統(tǒng)的入侵檢測(cè)系統(tǒng)無(wú)法有效處理基于物聯(lián)網(wǎng)的糧情監(jiān)控系統(tǒng)中海量無(wú)標(biāo)簽網(wǎng)絡(luò)數(shù)據(jù)的問(wèn)題，本文充分利用深度學(xué)習(xí)在數(shù)據(jù)特征降維的優(yōu)勢(shì)，提出了一種面向糧情監(jiān)控系統(tǒng)的基于深度信念網(wǎng)絡(luò)的交替決策樹入侵檢測(cè)方法。該方法利用DBN對(duì)大量高維無(wú)標(biāo)簽數(shù)據(jù)進(jìn)行特征提取，去除冗余特征，再利用ADT分類器對(duì)DBN降維的數(shù)據(jù)集進(jìn)行入侵識(shí)別。對(duì)比實(shí)驗(yàn)表明，本文提出的DBN-ADT方法不僅提高了網(wǎng)絡(luò)攻擊分類準(zhǔn)確率，而且顯著地縮短了入侵檢測(cè)的處理時(shí)間，為入侵檢測(cè)在物聯(lián)網(wǎng)中的應(yīng)用提供了一種高效、可行的新的研究方法。