一种基于机器学习的物联网入侵检测方法技术

本发明专利技术公开了一种基于机器学习的物联网入侵检测方法，属于物联网安全领域，包括数据预处理、划分数据集及数据降维、构建最小二乘支持向量机、对最小二乘支持向量机进行稀疏化处理、形成基分类器、构建出基于神经网络的基分类器、进行入侵行为检测和进行预测实验。本发明专利技术采用最小二乘支持向量机算法以及剪枝技术等降低计算的复杂性；采用改进的进化策略优化模型以摆脱极值点，达到模型最优的效果，可提高判断的准确性。本发明专利技术具有计算量小、误报率低和检测准确性高的特点，适合物联网中的入侵检测。

【技术实现步骤摘要】
一种基于机器学习的物联网入侵检测方法
本专利技术属于物联网安全领域，涉及一种基于机器学习的物联网入侵检测方法。
技术介绍
随着物联网技术的快速发展，物联网产品逐渐得到普及，然而，目前智能设备的安全防护能力普遍较为薄弱，升级维护机制不健全、智能设备安全配置不合理等问题导致智能设备存在较多的安全隐患。随着时代发展，大量的智能设备不断涌现，但相应的安全保障措施还不够健全。例如传统的安全手段，比如确定自身安全的认证技术，确保安全传输的密钥建立和分发机制，确保数据自身安全的数据加密技术等，都是被动的防范。再加上物联网的传感器网络由大量无人看守的传感器节点组成，传统的入侵检测系统因物联网传感器节点电源能量有限、计算能力不足、存储空间有限等原因，难以满足需求。随着智能化技术得发展，人工智能技术开始应用于各行各业。与此同时入侵检测技术也将得到极大的发展。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种运算速度快、检测率高的基于智能化的面向物联网的入侵检测方法。为达到上述目的，本专利技术提供如下技术方案：一种基于机器学习的物联网入侵检测方法，包括以下步骤：S1：数据预处理：对NSL-KDD网络入侵数据集进行数值化，标准化处理；S2：划分数据集及数据降维：将处理好的数据进行主成分降维，使得原数据集具有相关性的特征值转化为相互独立的或不相关的变量，使得特征值减小，减少计算复杂度。降维后的数据集采用交叉验证法将数据集分为训练集和测试集。S3：构建最小二乘支持向量机(LS-SVM)：采用高斯核将原空间映射到高维特征空间中，对于最小二乘支持向量机中的惩罚因子C和核参数σ的选取采用进化策略的优化算法。S4：对最小二乘支持向量机进行稀疏化处理：采用暴力剪枝法，根据求得到的支持向量参数大小对样本进行剪枝。S5：利用剪枝好的LS-SVM模型建立入侵检测数据的分类模型，形成基分类器。S6：构建人工神经网络，提取训练样本高层次的抽象特征，运用进化策略对神经网络的连接权值进行选择。构建出基于神经网络的基分类器。为了神经网络解决非线性问题，减少计算量，所采用的人工神经网络包含三层，即输入层，隐层，输出层。传统的BP神经网络采用梯度下降法来更新权值和阈值，容易陷入局部极小值点，使得算法的收敛精度下降。采用进化策略来优化权值和阈值将摆脱这一缺点。将S2中的训练和测试集对建立好的神经网络模型进行训练，得到多个神经网络模型，也即是基分类器。S7：多次随机重采样，训练形成多个基分类器，利用集成学习算法中的AdaBoost算法将多个基分类器组合成一个强分类器，进行入侵行为检测；到这一步为止，整个入侵检测算法训练过程结束。步骤S5，S6建立了类型不同的多个基分类器，利用AdaBoost算法将所有基分类器组合起来形成一个强分类器，就得到了最终所要得到的入侵检测模型。S8：训练好的模块被装入网络节点或路由节点中作为入侵检测的检测引擎。检测后的结果放入数据库中，定期的用更新的数据库训练出新的模型，达到动态学习的目的。进一步，在步骤S1中，数据数值化处理：原始数据集中有数据是字符型数据，为了便于计算采用相对应的数值进行替换。增加算法的可执行性。数据标准化处理，采用min-max方法标准化处理，将数据限制在[0，1]之间。采用的公式为：Y＝(x-xmin)/(xmax-xmin)x为原始数据，xmin为该特征下的最小值，xmax为该特征下的最大值，Y即为标准化后的数据值。进一步，所述步骤S2中，划分数据集时采用交叉验证的方法，将数据集划分为N个大小相似的互斥子集，任意一个子集都可以作为数据子集，将数据子集的10％作为测试集，其余的作为训练集，得到N对训练集和测试集。原始数据集的特征维度为41维，对此数据进行训练不仅增加运算的复杂度，而且对预测的准确性，采用主成分分析(PCA)降维技术对数据进行降维处理，在保证数据信息真实性的情况下降低了运算的复杂性。进一步，所述的步骤S3中，一般的支持向量机在处理大型数据时运行速度慢，占用的内存空间大，不适合在物联网中进行运算；SVM的目标函数为：s.t.yi((ωT，xi)+b)≥1，i＝1，....m，其中(ωT，xi)+b为分类的预测值，y为样本的真实标签，ω＝(ω1；ω2；....ωd)为法向量，b为位移项，m为训练样本的数量。LS-SVM的目标函数为：s.t.yi(ωT*xi+b)＝1-∈i，∈i≥0，i＝1，....m，其中(ωT，xi)+b为分类的预测值，y为样本的真实标签，ω＝(ω1；ω2；....ωd)为法向量，b为位移项。∈i∈R表示拟合误差，C为惩罚因子，m为训练样本的数量。基于最小二乘的支持向量机将不等式约束条件改为等式约束，明显的加快了SVM的学习时间。在构建LS-SVM模型时，使用高斯核将低维度的样本空间映射到高维空间。其中K(X，Xi)为核函数，它可以使得样本成为线性可分的。核参数δ和惩罚因子C对模型的预测起着很关键的作用，采用改进型进化策略对这两个参数进行优化选出最合适的两个参数。改进进化策略：(1)均匀分布初始种群。在确定初始种群时在参数可能的取值区间内进行均匀抽样，提高算法的全局搜索能力。(2)采用梯度下降法优化进化策略的变异强度。即若产生的子代比父代强，则沿着这个子代的梯度方向上增大变异强度，反之亦然。(3)采用(μ，λ)-ES进化策略方法。使用μ个亲本产生λ个子代，从子代中选出μ个个体最为下一代的亲本。进一步，所述的步骤S4中，采用最小二乘支持向量机就是把所有的样本都作为支持向量，这大大的降低了支持向量的稀疏性，为了弥补LS-SVM的稀疏性，采取暴力剪枝法对LS-SVM进行稀疏性改进。直接去除掉对LS-SVM回归贡献程度低的样本，用新的样本值重新进行步骤S3，保证在维持一定准确率的情况下尽可能的减少样本数量。因此，这可在保证预测准确性的同时降低了模型预测的计算量。进一步，在步骤S5中，将S2得到的训练集和测试集分别进行步骤S3，S4建立多个LS-SVM训练模型，也即是基分类器。本专利技术的有益效果在于：本专利技术采用在智能化的方法进行入侵检测，克服了传统检测被动型的特点；与传统入侵检测方法相比，引入了智能化的方法将支持向量机与神经网络相结合构造出集成学习的模型，能够主动的检测出一些未知的入侵行为，剔除一些由于人为操作失误带来的误报行为，即采用上述方案具有计算效率高，误报率低、检测率高的优势。附图说明为了使本专利技术的目的、技术方案和有益效果更加清楚，本专利技术提供如下附图进行说明：图1为本专利技术实施例所述的入侵检测的流程图；图2为本专利技术实施例所述的神经元结构图；图3为本专利技术实施例所述的人工神经网络训练方法示意图；图4为本专利技术实施例所述的述集成学习的结构图；图5为本专利技术实施例所述的物联网结构图。具体实施方式下面将结合附图，对本专利技术的优选实施例进行详细的描述。参照图1所示的检测流程图，本专利技术实施例所述的一种基于机器学习的物联网入侵检测方法，包括以下步骤：101、数据预处理中，对NSL-KDD网络入侵数据集进行数值化，标准化处理；102、划分数据集，数据降维：将处理好的数据进行主成分降维，使得原数据集具有相关性的特征值转化为相互独立的或不相关的变量，使得特征值减小，减少计算复杂度。降维后的数据集采用交叉验证法将数据本文档来自技高网...

【技术保护点】
1.一种基于机器学习的物联网入侵检测方法，其特征在于：包括以下步骤：S1：数据预处理：对NSL‑KDD网络入侵数据集进行数值化处理和标准化处理；S2：划分数据集及数据降维：将预处理后的数据集进行主成分分析降维，使得原数据集具有相关性的特征值转化为相互独立的或不相关的变量；用交叉验证法将降维后的数据集分为互斥的训练子集，生成多组训练集和测试集；S3：构建最小二乘支持向量机LS‑SVM：采用高斯核将原空间映射到高维特征空间中，对于最小二乘支持向量机中的惩罚因子C和核参数σ采用改进型进化策略的方法进行优化选取；S4：对最小二乘支持向量机进行稀疏化处理：采用暴力剪枝法，根据求得到的支持向量参数大小对样本进行剪枝；S5：利用剪枝好的LS‑SVM模型建立入侵检测的分类模型，形成基分类器；S6：构建人工神经网络ANN，提取训练样本高层次的抽象特征，运用进化策略对神经网络的连接权值进行优化选择，构建出基于神经网络的基分类器；S7：训练形成多个基分类器,利用集成学习算法中的AdaBoost算法将多个基分类器组合成一个强分类器，进行入侵行为检测；S8：将建立好的强分类模型加载到物联网的网络节点或路由节点，收集接受信号的各个特征信息，将其带入模型进行预测，根据预测结果采取相应的措施决定是否安全通信。...

【技术特征摘要】
1.一种基于机器学习的物联网入侵检测方法，其特征在于：包括以下步骤：S1：数据预处理：对NSL-KDD网络入侵数据集进行数值化处理和标准化处理；S2：划分数据集及数据降维：将预处理后的数据集进行主成分分析降维，使得原数据集具有相关性的特征值转化为相互独立的或不相关的变量；用交叉验证法将降维后的数据集分为互斥的训练子集，生成多组训练集和测试集；S3：构建最小二乘支持向量机LS-SVM：采用高斯核将原空间映射到高维特征空间中，对于最小二乘支持向量机中的惩罚因子C和核参数σ采用改进型进化策略的方法进行优化选取；S4：对最小二乘支持向量机进行稀疏化处理：采用暴力剪枝法，根据求得到的支持向量参数大小对样本进行剪枝；S5：利用剪枝好的LS-SVM模型建立入侵检测的分类模型，形成基分类器；S6：构建人工神经网络ANN，提取训练样本高层次的抽象特征，运用进化策略对神经网络的连接权值进行优化选择，构建出基于神经网络的基分类器；S7：训练形成多个基分类器,利用集成学习算法中的AdaBoost算法将多个基分类器组合成一个强分类器，进行入侵行为检测；S8：将建立好的强分类模型加载到物联网的网络节点或路由节点，收集接受信号的各个特征信息，将其带入模型进行预测，根据预测结果采取相应的措施决定是否安全通信。2.根据权利要求1所述的基于机器学习的物联网入侵检测方法，其特征在于：在步骤S1中，所述的数据数值化处理包括：将原始数据集中的字符型特征数据采用相对应的数值进行替换；所述的数据标准化处理包括：采用Min-max标准化方法进行处理，将原始数据限制在[0,1]之间，公式为：Y＝(x-xmin)/(xmax-xmin)x为原始数据，xmin为该特征下的最小值，xmax为该特征下的最大值，Y即为标准化后的数据值。3.根据权利要求2所述的基于机器学习的物联网入侵检测方法，其特征在于：在步骤S2中，将数据集划分为N个大小相似的互斥子集，每个互斥子集均作为数据子集，将数据子集的10％作为测试集，...

【专利技术属性】
技术研发人员：魏琴芳，吕博文，胡向东，胡蓉，李仁杰，白银，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆,50