本发明专利技术公开了一种物联网网络入侵检测方法,基于条件生成对抗网络和深度神经网络对物联网网络入侵行为进行检测;具体步骤如下:S1、对物联网的原始流量数据进行预处理;S2、对少数类流量数据样本进行分类;S3、建立包括有生成器和判别器的条件生成对抗网络;S4、重复训练生成器和判别器;S5、通过训练好的条件生成对抗网络生成虚假的少数类流量数据样本;S6、结合步骤S5生成的虚假的少数类流量数据样本和真实的原始流量数据训练深度神经网络;S7、通过训练好的深度神经网络检测物联网入侵攻击行为。本发明专利技术具有检测准确率高、误报率低等优点。
【技术实现步骤摘要】
一种物联网网络入侵检测方法
本专利技术涉及物联网信息安全的
,尤其涉及到一种物联网网络入侵检测方法。
技术介绍
物联网时代的到来,给人们带来了许多便利,但同时也带来了许多信息安全问题。物联网设备如今已遍布在社会的方方面面,因此物联网的安全问题造成的损失比传统网络更加严重,不仅仅涉及个人信息隐私安全,还可能造成实物威胁。例如黑客入侵了摄像头设备会造成隐私泄漏,入侵了高功率设备的话可能会导致电线短路造成严重的灾害事故。因此,研究与当今的物联网安全相对应的入侵保护方法就变得十分必要。常见的入侵保护方法有防火墙、密码保护等,但由于入侵方法的多样性,被动的防御难以满足全面的安全需求,因此入侵检测系统能很好的填补这方面的空缺。传统的入侵检测是一种黑名单规则的检测方法,根据一套用于描述系统已知的攻击情形的规则对审计数据进行分类建立一张恶意行为黑名单,但是基于误用的入侵检测系统高度依赖已有的签名知识库和人工标记行为,难以检测未知攻击,同时很容易被攻击者获悉黑名单绕开已有的规则而进行入侵攻击,对物联网设备造成很大的威胁。另一个入侵检测方案是基于异常的入侵检测技术,对系统异常的行为进行检测,当检测到物联网设备存在异常流量时将做出警告。该方案需要将预处理好的数据放入机器学习算法中进行训练,建立可以有效对正常流量和异常流量进行分类的模型。现有的专利方案有“一种物联网感知层入侵检测方法”(公开日2014.03.05,公开号CN103618744A)。但由于现实生活中,正常流量数据是远大于异常流量数据的,太少的异常样本导致学习算法无法很好的学习到异常数据的特征,使得最后训练出来的模型分类效果差,因此现有的技术方案对于很多少样本的攻击识别准确率低,误报率高,不能很好的保护物联网的安全。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供一种准确率高、误报率低的物联网网络入侵检测方法。为实现上述目的,本专利技术所提供的技术方案为:一种物联网网络入侵检测方法,基于条件生成对抗网络和深度神经网络对物联网网络入侵行为进行检测;具体步骤如下:S1、对物联网的原始流量数据进行预处理;S2、对少数类流量数据样本进行分类;S3、建立包括有生成器和判别器的条件生成对抗网络;S4、重复训练生成器和判别器;S5、通过训练好的条件生成对抗网络生成虚假的少数类流量数据样本;S6、结合步骤S5生成的虚假的少数类流量数据样本和真实的原始流量数据训练深度神经网络;S7、通过训练好的深度神经网络检测物联网入侵攻击行为。进一步地,所述步骤S1对物联网的原始流量数据进行预处理的具体过程如下:S1-1、对流量数据中存在的缺失值进行检查,去掉异常值和不相关的冗余信息,将字符型数据变成数值型数据;S1-2、对数值型数据进行归一化;S1-3、对归一化后的数据进行降维,提取数据特征;S1-4、形成标准的数据集。进一步地,所述步骤S1-3通过主成分分析法对归一化后的数据进行降维。进一步地,所述步骤S2对少数类流量数据样本进行分类时,提取少样本类别,分类标签进行one-hot编码处理,不同类别用二进制数组表示。进一步地,,所述步骤S3中,条件生成对抗网络的目标函数如下:其中,E为期望值,x为真实数据,z为虚假数据,G为生成器模型,D为判别器模型,pdata(x)为真实攻击样本的分布,pz(z)为生成样本的分布,logD为判别器将真实数据判定为真实数据的概率,log(1-D(G))为判别器将虚假数据仍判定为虚假数据的概率,y为指定的攻击类型的标签。进一步地,所述步骤S3建立的条件生成对抗网络中,生成器和判别器均采用5个隐藏层,每一层应用Leaky-ReLU函数,生成器和判别器在输出层之后应用Sigmoid激活函数。进一步地,所述判别器的学习率为0.0025,生成器的学习率为0.02。进一步地,所述步骤S4中,训练生成器时,生成器使用随机高斯分布函数random.normal()输入一个具有100维度的高斯噪声P(z)和定义好的攻击类别y进行编码,y为少样本攻击类别的热编码,链接方式采用数组相乘;固定判别器,当判别器成功判别虚假的少数类流量数据样本和真实的原始流量数据时,生成器将进行梯度更新再生成新的虚假样本让判别器判别,生成器目标值设置为1,采用交叉熵损失函数损失值为L1;交叉熵损失函数如下:其中,Loss为损失值,x为样本真实值,为样本预测值,N为当前训练的样本数;训练判别器时,将经过生成器生成的虚假的少数类流量数据样本和真实的原始流量数据放入判别器进行判别;固定生成器,判别器通过判断真实的原始流量数据和生成器生成的虚假的少数类流量数据样本,将判别器的真实的原始流量数据训练的目标值设置为1,虚假的少数类流量数据样本训练的目标值设置为0,目标将真假样本数据的输出概率值接近1和0,最后通过激活函数将概率值转换为样本的预测分类标签;通过交叉熵损失函数,真实的原始流量数据的损失值记为L2,虚假的少数类流量数据样本的损失值记为L3;如果损失值未达到阈值或者未达到指定的循环次数,重复训练训练生成器和判别器,使用Adam优化器进行梯度更新优化,损失值Loss=L1+L2+L3。进一步地,所述步骤S6中,使用深度神经网络来构建分类器,采用八层的前馈深度神经网络,所有隐含层的激活函数为Leaky-ReLU函数,输出层的激活函数为Softmax函数;神经网络通过组合低层次特征形成更高层次潜在特征,放入真实的原始流量数据和虚假的少数类流量数据样本混合一起的数据进行训练,通过交叉熵函数计算真实标签与输出值之间的损失值,然后用Adam优化器对深度神经网络进行梯度更新,直到循环结束。与现有技术相比,本方案原理及优点如下:1)本方案针对物联网网络入侵检测存在的类不平衡现象,采用条件生成对抗网络进行少数类样本数据的生成,从而提高了少数类攻击的检测准确性。2)本方案将条件生成对抗网络和深度神经网络融合在一起,前者可以学习样本的数据分布,然后生成分布一致的虚假数据作为数据来源。后者可以学习通过组合低层次特征形成更高层次潜在特征,能在保证数据完整性的前提下,更好的利用数据之间的特性,使模型的性能更加高效,从而对物联网网络流量更好的监控,有效检测到入侵攻击行为。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的服务作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种物联网网络入侵检测方法的原理流程图;图2为本专利技术一种物联网网络入侵检测方法中采用到的条件生成对抗网络的示意图。具体实施方式下面结合具体实施例对本专利技术作进一步说明本文档来自技高网...
【技术保护点】
1.一种物联网网络入侵检测方法,其特征在于,基于条件生成对抗网络和深度神经网络对物联网网络入侵行为进行检测;/n具体步骤如下:/nS1、对物联网的原始流量数据进行预处理;/nS2、对少数类流量数据样本进行分类;/nS3、建立包括有生成器和判别器的条件生成对抗网络;/nS4、重复训练生成器和判别器;/nS5、通过训练好的条件生成对抗网络生成虚假的少数类流量数据样本;/nS6、结合步骤S5生成的虚假的少数类流量数据样本和真实的原始流量数据训练深度神经网络;/nS7、通过训练好的深度神经网络检测物联网入侵攻击行为。/n
【技术特征摘要】
1.一种物联网网络入侵检测方法,其特征在于,基于条件生成对抗网络和深度神经网络对物联网网络入侵行为进行检测;
具体步骤如下:
S1、对物联网的原始流量数据进行预处理;
S2、对少数类流量数据样本进行分类;
S3、建立包括有生成器和判别器的条件生成对抗网络;
S4、重复训练生成器和判别器;
S5、通过训练好的条件生成对抗网络生成虚假的少数类流量数据样本;
S6、结合步骤S5生成的虚假的少数类流量数据样本和真实的原始流量数据训练深度神经网络;
S7、通过训练好的深度神经网络检测物联网入侵攻击行为。
2.根据权利要求1所述的一种物联网网络入侵检测方法,其特征在于,所述步骤S1对物联网的原始流量数据进行预处理的具体过程如下:
S1-1、对流量数据中存在的缺失值进行检查,去掉异常值和不相关的冗余信息,将字符型数据变成数值型数据;
S1-2、对数值型数据进行归一化;
S1-3、对归一化后的数据进行降维,提取数据特征;
S1-4、形成标准的数据集。
3.根据权利要求2所述的一种物联网网络入侵检测方法,其特征在于,所述步骤S1-3通过主成分分析法对归一化后的数据进行降维。
4.根据权利要求1所述的一种物联网网络入侵检测方法,其特征在于,所述步骤S2对少数类流量数据样本进行分类时,提取少样本类别,分类标签进行one-hot编码处理,不同类别用二进制数组表示。
5.根据权利要求1所述的一种物联网网络入侵检测方法,其特征在于,所述步骤S3中,条件生成对抗网络的目标函数如下:
其中,E为期望值,x为真实数据,z为虚假数据,G为生成器模型,D为判别器模型,pdata(x)为真实攻击样本的分布,pz(z)为生成样本的分布,logD为判别器将真实数据判定为真实数据的概率,log(1-D(G))为判别器将虚假数据仍判定为虚假数据的概率,y为指定的攻击类型的标签。
6.根据权利要求5所述的一种物联网网络入侵检测方法,其特征在于,所述步骤S3建立的条件生成对抗网络中,生成器和判别器均采用5个隐藏层,每一层应用Leaky-ReLU函...
【专利技术属性】
技术研发人员:柳毅,梁坚锋,凌捷,李斯,罗玉,
申请(专利权)人:广东工业大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。