陳 肖，張佳偉

（1.保定市國土資源局 競秀區(qū)分局，河北 保定 071000；2.河北軟件職業(yè)技術(shù)學(xué)院，河北 保定 071000）

0 引言

伴隨著5G技術(shù)逐漸成熟，物聯(lián)網(wǎng)已經(jīng)成為全世界研究和發(fā)展的重要方向之一。物聯(lián)網(wǎng)結(jié)合智能產(chǎn)品屬性，衍生出各種智能物聯(lián)網(wǎng)設(shè)備，如智能音箱、智能臺燈、智能空調(diào)、智能穿戴等。據(jù)統(tǒng)計，2021年全球智能物聯(lián)網(wǎng)設(shè)備數(shù)量達(dá)到250億臺，對人們的衣食住行產(chǎn)生了巨大影響，改變了人們的生活狀態(tài)，大幅提升了生活質(zhì)量。

物聯(lián)網(wǎng)興起，在給人們帶來便利生活的同時，相應(yīng)地也帶來了諸多不可預(yù)知的風(fēng)險。物聯(lián)網(wǎng)設(shè)備數(shù)量巨大且種類繁多、分布廣泛，作為新興事物，和互聯(lián)網(wǎng)一樣存在諸多安全漏洞，已經(jīng)成為黑客攻擊的重點之一。物聯(lián)網(wǎng)的先天局限性導(dǎo)致這一局面很難在短時間內(nèi)給出較為完善的解決方案，如物聯(lián)網(wǎng)設(shè)備種類繁多，各種產(chǎn)品由不同的公司生產(chǎn)，由于商業(yè)原因廠家大量使用不同架構(gòu)、不同協(xié)議，導(dǎo)致產(chǎn)品通信銜接過程容易產(chǎn)生安全隱患[1]；物聯(lián)網(wǎng)設(shè)備終端通常比較靈活、易安置，而可用資源極為有限，不能部署較為大型的安防設(shè)備或聯(lián)動策略，容易形成防護(hù)薄弱點；物聯(lián)網(wǎng)整個體系架構(gòu)基于互聯(lián)網(wǎng)，數(shù)據(jù)傳輸過程中涉及多級異構(gòu)網(wǎng)絡(luò)，導(dǎo)致大量節(jié)點設(shè)備暴露于網(wǎng)絡(luò)之中，極易被跨網(wǎng)攻擊；部分商業(yè)物聯(lián)網(wǎng)設(shè)備節(jié)點通常安置在廣袤地區(qū)，無人看守，容易造成物理上的損壞或丟失?；谝陨戏N種原因，物聯(lián)網(wǎng)設(shè)備容易受到攻擊或發(fā)生意外情況，造成硬件設(shè)備損壞而無法正常運行，甚至造成廣大用戶個人隱私數(shù)據(jù)外泄，產(chǎn)生不可估量的損失。

如何研究高可靠、高可用的物聯(lián)網(wǎng)入侵檢測技術(shù)成為行業(yè)專家關(guān)注的問題。當(dāng)前物聯(lián)網(wǎng)攻擊手段多種多樣，如通過操控其他眾多物聯(lián)網(wǎng)設(shè)備構(gòu)成僵尸網(wǎng)，同時對某一物聯(lián)網(wǎng)服務(wù)器發(fā)起訪問，形成Dos攻擊或DDos攻擊[2]；嗅探攻擊則通過協(xié)議層廣播數(shù)據(jù)包，探測物聯(lián)網(wǎng)各設(shè)備節(jié)點，再謀取進(jìn)一步攻擊；黑客通過協(xié)議漏洞不斷喚醒物聯(lián)網(wǎng)節(jié)點設(shè)備，導(dǎo)致設(shè)備節(jié)點電量較快耗盡，帶來經(jīng)濟(jì)損失；黑洞攻擊，是黑客通過入侵或者植入受控節(jié)點來控制所有流經(jīng)該節(jié)點的數(shù)據(jù)包，在最極端情況下該節(jié)點可吸收所有節(jié)點而不進(jìn)行轉(zhuǎn)發(fā)，像黑洞一樣吸收所有數(shù)據(jù)包，從而給整個網(wǎng)絡(luò)造成重大破壞。

物聯(lián)網(wǎng)入侵檢測技術(shù)大致可以分為定性分析和定量分析兩類[3]；定性分析的物聯(lián)網(wǎng)入侵檢測技術(shù)主要指的是專家系統(tǒng)，根據(jù)專家個人對應(yīng)用場景的理解進(jìn)行入侵檢測系統(tǒng)構(gòu)建，其主要特點是檢測效果嚴(yán)重依賴于既定規(guī)則庫，對入侵檢測率非常不穩(wěn)定[4-5]。定量分析的物聯(lián)網(wǎng)入侵檢測技術(shù)主要包含貝葉斯網(wǎng)絡(luò)、人工神經(jīng)網(wǎng)絡(luò)等，其對物聯(lián)網(wǎng)絡(luò)中數(shù)據(jù)流量進(jìn)行截取、降低維度、提取特征屬性、進(jìn)行自學(xué)習(xí)訓(xùn)練并構(gòu)建檢測網(wǎng)絡(luò)，其特點是能夠識別攻擊類型，一般情況下檢測效果優(yōu)于專家系統(tǒng)。以上兩種模型在面對未知攻擊時難以應(yīng)對，表現(xiàn)出較低的檢測率，且訓(xùn)練過程復(fù)雜，難以用于產(chǎn)生變化的實際應(yīng)用場景。本文提出一種基于深度學(xué)習(xí)的物聯(lián)網(wǎng)入侵檢測方法，對比其他物聯(lián)網(wǎng)入侵檢測方法，提升了檢測效率，證明了深度學(xué)習(xí)網(wǎng)絡(luò)在物聯(lián)網(wǎng)檢測應(yīng)用上具有顯著的優(yōu)越性和可用性。

1 主成分分析

在對物聯(lián)網(wǎng)中數(shù)據(jù)的入侵檢測中，存在大量異構(gòu)網(wǎng)絡(luò)和不同類型數(shù)據(jù)包，每種數(shù)據(jù)包包含若干字段。在對以上流量進(jìn)行處理的過程中，大量無效字段會對后續(xù)判斷產(chǎn)生影響，如網(wǎng)絡(luò)構(gòu)建和檢測效率等。此時需要對數(shù)據(jù)中字段進(jìn)行降維處理，但是各個字段之間關(guān)系錯綜復(fù)雜，靠人工難以進(jìn)行有效區(qū)分，此時可使用主成分分析方法進(jìn)行降維處理，在基本保留數(shù)據(jù)原本特性的情況下減少字段數(shù)量，降低無關(guān)字段影響，提升后續(xù)數(shù)據(jù)處理效率。

主成分分析，又名主分量分析，是一種被廣泛使用的數(shù)據(jù)降維處理算法，使用k個屬性代替原始數(shù)據(jù)中的m個屬性，以達(dá)到降低數(shù)據(jù)維度的需求。

主成分分析算法步驟如下[6]：

（1）對原始的矩陣X={Xij}進(jìn)行標(biāo)準(zhǔn)化處理，得到全新的矩陣A={Aij}，在上述式子中

（3）求出R矩陣特征向量、特征值，只需要對R上三角矩陣計算即可得出需要的結(jié)果；

（4）求出最終主成分部分，按照次序排序上述步驟中計算出的特征值γ1＞γ2＞…＞γp，依據(jù)的原則確定m，此時很容易得到最終降維之后的主成分部分。

2 深度學(xué)習(xí)網(wǎng)絡(luò)

深度學(xué)習(xí)的眾多學(xué)習(xí)算法中，大體可以分為有監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí)兩種[7]。有監(jiān)督學(xué)習(xí)需要使用帶標(biāo)簽數(shù)據(jù)對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行訓(xùn)練，來得到想要的結(jié)構(gòu)模型，然后用于對此類型數(shù)據(jù)集合的檢測效果。無監(jiān)督學(xué)習(xí)是在沒有人為添加任何約束的情況下，由機(jī)器根據(jù)無標(biāo)簽訓(xùn)練數(shù)據(jù)自行尋找數(shù)據(jù)規(guī)律。由于沒有添加約束，無監(jiān)督學(xué)習(xí)得到的結(jié)果不可預(yù)知，可以偵測到未知攻擊，是物聯(lián)網(wǎng)入侵檢測中研究的重點。

最小二乘支持向量機(jī)是深度學(xué)習(xí)網(wǎng)絡(luò)中被廣泛使用的算法之一，其優(yōu)點是可以通過應(yīng)用最小化結(jié)構(gòu)風(fēng)險確定真實風(fēng)險，缺點是訓(xùn)練數(shù)據(jù)集支持向量花費時間長，同時可能也會面臨檢測精細(xì)度方面的困擾。

3 深度學(xué)習(xí)網(wǎng)絡(luò)的物聯(lián)網(wǎng)入侵檢測方法

3.1 物聯(lián)網(wǎng)入侵檢測基本思路

基于深度學(xué)習(xí)的物聯(lián)網(wǎng)入侵檢測核心思路如下：

（1）獲取物聯(lián)網(wǎng)入侵?jǐn)?shù)據(jù)集，進(jìn)行預(yù)處理操作，包括數(shù)據(jù)清洗、規(guī)范化等步驟；

（2）提取數(shù)據(jù)集屬性主要特征，使用主成分分析算法抽取最有特征子集，用于降維；

（3）將第二步處理之后得到的數(shù)據(jù)集輸入，使用構(gòu)建深度學(xué)習(xí)網(wǎng)絡(luò)對樣本進(jìn)行訓(xùn)練處理；

（4）通過有監(jiān)督學(xué)習(xí)及其上一步中訓(xùn)練結(jié)果，對深度學(xué)習(xí)網(wǎng)絡(luò)進(jìn)行參數(shù)調(diào)優(yōu)，最終得到物聯(lián)網(wǎng)入侵檢測分類器。

物聯(lián)網(wǎng)入侵?jǐn)?shù)據(jù)自動識別流程如圖1所示。

圖1 物聯(lián)網(wǎng)入侵?jǐn)?shù)據(jù)自動識別處理流程圖

3.2 深度學(xué)習(xí)網(wǎng)絡(luò)建立物聯(lián)網(wǎng)入侵檢測分類器

在深度學(xué)習(xí)眾多分支中，最小二乘支持向量機(jī)相對于傳統(tǒng)人工神經(jīng)網(wǎng)絡(luò)具有顯著優(yōu)勢，如收斂快、性能優(yōu)等[8]。在此假設(shè)使用主成分分析算法對物聯(lián)網(wǎng)待檢測數(shù)據(jù)進(jìn)行降維處理，得到特征數(shù)目為n個，第i個樣本特征向量是xi∈Rn，訓(xùn)練樣本集中共有樣本數(shù)目N個，組合集合：{xi，yi}，i=1，2，…，N，xi∈R為攻擊數(shù)據(jù)類型，此時可以建立分類識別平面表示形式為：

使用深度學(xué)習(xí)對其進(jìn)行變換之后可以得到如下式子：

在上述式子中，φ（x）是空間變換函數(shù)；J是分類結(jié)果的損失函數(shù)；C是懲罰參數(shù)，用于調(diào)整誤差。

在實時性要求較高的情況下，可以使用Lagrange乘子ai∈R對上述式子進(jìn)一步處理[9]：

基于Karush-Kuhn-Tucker原理，對上式處理之后得到：

式子中，K（xi，xj）為：

其中，δ是核函數(shù)寬度參數(shù)。

3.3 物聯(lián)網(wǎng)入侵檢測分類器參數(shù)優(yōu)化

在構(gòu)建物聯(lián)網(wǎng)入侵檢測分類器中，參數(shù)C和δ對最終分類識別結(jié)果起到至關(guān)重要的作用。因此需要對上述兩個參數(shù)單獨進(jìn)行優(yōu)化處理。首先假設(shè)分類器識別誤差最小情況下，設(shè)定參數(shù)C和δ的最優(yōu)值，可以建立如下函數(shù)：

對分類器中兩個重要參數(shù)的優(yōu)化步驟如下：

（1）根據(jù)訓(xùn)練集合初始化2個隨機(jī)數(shù)；

（2）根據(jù)Logistic映射產(chǎn)生混沌變量：

（3）根據(jù)上述式子得到混沌變量：

（4）采用混沌變量在分類器參數(shù)C和δ范圍內(nèi)進(jìn)行搜索，使目標(biāo)函數(shù)J變小，也就是物聯(lián)網(wǎng)入侵檢測分類器誤差逐漸變小，直到最小值J*，此時得到分類器中兩個參數(shù)C和δ的最優(yōu)解；

（5）深度學(xué)習(xí)最小二乘支持向量機(jī)使用（4）得到的參數(shù)C和δ的最優(yōu)解重新對輸入樣本集合進(jìn)行訓(xùn)練，重新構(gòu)建得到最佳的基于深度學(xué)習(xí)的物聯(lián)網(wǎng)入侵檢測分類器。

4 仿真實驗

4.1 仿真平臺及數(shù)據(jù)集

本文使用window10操作系統(tǒng)平臺，核心配置：CPU為AMD5800H，內(nèi)存為32GB，編程語言為Java。實驗采用物聯(lián)網(wǎng)惡意攻擊數(shù)據(jù)集CIC-BoTIoT進(jìn)行，共包含83個特征屬性，13 428 602條記錄。其中，共有DDoS、DoS、偵察和盜竊四種攻擊類型。本文采用該數(shù)據(jù)集70%進(jìn)行訓(xùn)練，30%用戶效果檢測。

4.2 特征提取、參數(shù)優(yōu)化

本文采用前文敘述過的主成分分析方法對樣本數(shù)據(jù)集進(jìn)行特征選擇，最終實現(xiàn)維度下降，減少后續(xù)處理時間。特征屬性降維前后數(shù)目對比如圖2所示。

圖2 屬性降維對比圖

采用上文提到的混沌算法分別對上述四種攻擊類型分類器參數(shù)進(jìn)行確定，如表1所示。

從表1可以看出不同類型攻擊對應(yīng)參數(shù)差異明顯，說明參數(shù)需要優(yōu)化。

表1 四類物聯(lián)網(wǎng)攻擊類型參數(shù)

4.3 入侵檢測效果分析

完成網(wǎng)絡(luò)構(gòu)建和參數(shù)調(diào)優(yōu)之后，使用CICBoT-IoT[10]數(shù)據(jù)集剩余的30%進(jìn)行測試。在相同的硬件平臺，將測試結(jié)果與樸素貝葉斯網(wǎng)絡(luò)[11]、BP神經(jīng)網(wǎng)絡(luò)[12]進(jìn)行仿真效果對比，識別效率對比如圖3所示。

圖3 四種入侵檢測數(shù)據(jù)對比圖

從圖3可以看出，本文提出的基于深度學(xué)習(xí)的物聯(lián)網(wǎng)入侵檢測方法對四種入侵檢測數(shù)據(jù)的檢測率全部高于BP神經(jīng)網(wǎng)絡(luò)和貝葉斯網(wǎng)絡(luò)。在實驗過程中，相較于另外兩種方法，本文方法消耗時間相對較少，說明該方法收斂速度快，內(nèi)部網(wǎng)絡(luò)形成更加合理，是一個行之有效的物聯(lián)網(wǎng)入侵檢測方法。

5 結(jié)語

物聯(lián)網(wǎng)的興起給人們的生活帶來了質(zhì)的飛躍，同時也帶來了諸多安全隱患。因此物聯(lián)網(wǎng)入侵檢測成為研究重點。本文結(jié)合物聯(lián)網(wǎng)背景下相關(guān)內(nèi)容，提出基于深度學(xué)習(xí)的物聯(lián)網(wǎng)入侵檢測算法，實驗結(jié)果證明，該方法相對于傳統(tǒng)方法檢測速度更快，正確率更高，提升了物聯(lián)網(wǎng)的安全性，可以滿足物聯(lián)網(wǎng)實際應(yīng)用場景中的安全保障需求。