本发明专利技术公开的一种物联网恶意检测器的安全性评估方法及系统,包括:获取恶意样本和正常样本;构建物联网恶意检测器的替代检测器;从正常样本中选取离恶意样本余弦距离最大的样本为标志点;通过进化计算从恶意样本中搜索候选对抗样本,在进化计算的过程中,每一代都会在恶意样本上添加扰动生成子代样本,计算子代样本到标志点的余弦距离,将余弦距离大于门限值的子代样本选定为候选对抗样本,将余弦距离不大于门限值的子代样本参与到下一轮进化计算中;通过替代检测器对候选对抗样本进行检测,将通过检测的样本作为对抗样本对物联网恶意检测器的安全性进行评估,获得安全性评估结果。能够对物联网恶意检测器的安全性进行及时有效的评估。有效的评估。有效的评估。
【技术实现步骤摘要】
一种物联网恶意检测器的安全性评估方法及系统
[0001]本专利技术涉及数据处理
,尤其涉及一种物联网恶意检测器的安全性评估方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
[0003]由于物联网的恶意攻击逐渐增多,促使物联网恶意检测技术不断发展。目前主要通过基于机器学习的物联网恶意检测器对物联网的恶意攻击进行检测,来防止物联网的恶意攻击。
[0004]但对于物联网恶意检测器的安全性不能进行有效的评估,进而不能根据准确的评估结果对物联网恶意检测器进行改进。
[0005]基于流文本的恶意检测器是用HTTP头部提取的特征训练获得的,目前主要通过修改url的任意字符来产生恶意样本,进而对流文本的物联网恶意检测器进行安全评估,但是修改url任意字符的方法可能使url中原有的恶意功能失效,通过该样本对流文本的物联网恶意检测器进行安全评估时,评估准确率较低。
[0006]如果对其他领域的安全性评估方法进行改造,后应用于流文本的物联网恶意检测器安全评估时,生成对抗样本的时间在一秒以上,有的甚至到了分钟级别,网络延迟较大。
[0007]故专利技术人认为:现有方法不能对流文本的物联网恶意检测器的安全性进行及时有效的评估。
技术实现思路
[0008]本专利技术为了解决上述问题,提出了一种物联网恶意检测器的安全性评估方法及系统,能够对物联网恶意检测器进行及时有效的安全性评估。
[0009]为实现上述目的,本专利技术采用如下技术方案:
[0010]第一方面,提出了一种物联网恶意检测器的安全性评估方法,包括:
[0011]获取恶意样本和正常样本;
[0012]构建物联网恶意检测器的替代检测器;
[0013]从正常样本中选取离恶意样本余弦距离最大的样本为标志点;
[0014]通过进化计算从恶意样本中搜索候选对抗样本,在进化计算的过程中,每一代都会在恶意样本上添加扰动生成子代样本,计算子代样本到标志点的余弦距离,将余弦距离大于门限值的子代样本选定为候选对抗样本,将余弦距离不大于门限值的子代样本参与到下一轮进化计算中;
[0015]通过替代检测器对候选对抗样本进行检测,将通过检测的样本作为对抗样本;
[0016]利用对抗样本对物联网恶意检测器的安全性进行评估,获得安全性评估结果。
[0017]进一步的,正常样本和恶意样本的获取过程为:
[0018]获取原始数据集;
[0019]从原始数据集中提取特征数据;
[0020]通过物联网恶意检测器对特征数据进行识别获得正常样本和恶意样本。
[0021]进一步的,构建替代检测器的过程为:
[0022]构建物联网恶意检测器的替代模型;
[0023]通过正常样本和恶意样本对构建的替代模型进行训练,训练好的模型为替代检测器。
[0024]进一步的,从正常样本中选取标志点的具体过程为:
[0025]将正常样本聚类成N簇,对于每一簇,计算恶意样本到簇中所有样本的余弦距离,并确定该簇的标记点;
[0026]选取离恶意样本余弦距离最大的标志点为正常样本的标志点。
[0027]进一步的,门限值的确定过程为:
[0028]确定标志点所在簇;
[0029]选取标志点所在簇中的第一个样本e1和第T*size(C)个样本eT;
[0030]根据恶意样本与样本e1、样本eT间的余弦距离,确定门限值。
[0031]进一步的,通过在url上追加词的方式在恶意样本上添加扰动,并在词与url之间设置表示url参数的字符。
[0032]进一步的,获得安全性评估结果的过程为:
[0033]通过物联网恶意检测器对对抗样本进行检测,获得检测为成功的样本;
[0034]计算检测为成本的样本占对抗样本数量的百分比;
[0035]根据该百分比计算获得物联网恶意检测器的安全性评估结果。
[0036]第二方面,提出了一种物联网恶意检测器的安全性评估系统,包括:
[0037]样本获取模块,用于获取恶意样本和正常样本;
[0038]替代检测器构建模块,用于构建物联网恶意检测器的替代检测器;
[0039]标志点获取模块,用于从正常样本中选取离恶意样本余弦距离最大的样本为标志点;
[0040]候选对抗样本获取模块,用于通过进化计算从恶意样本中搜索候选对抗样本,在进化计算的过程中,每一代都会在恶意样本上添加扰动生成子代样本,计算子代样本到标志点的余弦距离,将余弦距离大于门限值的子代样本选定为候选对抗样本,将余弦距离不大于门限值的子代样本参与到下一轮进化计算中;
[0041]对抗样本获取模块,用于通过替代检测器对候选对抗样本进行检测,将通过检测的样本作为对抗样本;
[0042]物联网恶意检测器安全评估模块,用于利用对抗样本对物联网恶意检测器的安全性进行评估,获得安全性评估结果。
[0043]第三方面,提出了一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成一种物联网恶意检测器的安全性评估方法所述的步骤。
[0044]第四方面,提出了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成一种物联网恶意检测器的安全性评估方法所述的步骤。
[0045]与现有技术相比,本专利技术的有益效果为:
[0046]1、本专利技术通过构建物联网恶意检测器的替代检测器,并通过简化计算从恶意样本中选取出候选对抗样本,再通过替代检测器对候选对抗样本进行再次筛选,获得对抗样本,通过对抗样本对物联网恶意检测器的安全性进行检测,保证了物联网恶意检测器安全性评估的准确性。
[0047]2、本专利技术使用追加字符级别扰动,而非修改字符的方式生成对抗样本,避免了在生成对抗样本时破坏原有的恶意功能,从而保证物联网恶意检测器安全性评估的准确有效性。
[0048]3、本专利技术使用聚类和余弦距离指导下的进化计算,来搜索候选对抗样本,加快了搜索的时间,缩短了检测时的延迟。
[0049]本专利技术附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
附图说明
[0050]构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。
[0051]图1为实施例1公开方法的总体流程图;
[0052]图2为实施例1获得替代检测器的流程图;
[0053]图3为恶意样本朝着正常样本标志点变形图;
[0054]图4为实施例1标志点选取和门限值计算过程图;
[0055]图5为实施例1通过进化计算获取候选对抗样本的过程图。
具体实施方式
[0056]下面结合附图与实施例对本专利技术作进一步说明。本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种物联网恶意检测器的安全性评估方法,其特征在于,包括:获取恶意样本和正常样本;构建物联网恶意检测器的替代检测器;从正常样本中选取离恶意样本余弦距离最大的样本为标志点;通过进化计算从恶意样本中搜索候选对抗样本,在进化计算的过程中,每一代都会在恶意样本上添加扰动生成子代样本,计算子代样本到标志点的余弦距离,将余弦距离大于门限值的子代样本选定为候选对抗样本,将余弦距离不大于门限值的子代样本参与到下一轮进化计算中;通过替代检测器对候选对抗样本进行检测,将通过检测的样本作为对抗样本;利用对抗样本对物联网恶意检测器的安全性进行评估,获得安全性评估结果。2.如权利要求1所述的一种物联网恶意检测器的安全性评估方法,其特征在于,正常样本和恶意样本的获取过程为:获取原始数据集;从原始数据集中提取特征数据;通过物联网恶意检测器对特征数据进行识别获得正常样本和恶意样本。3.如权利要求1所述的一种物联网恶意检测器的安全性评估方法,构建替代检测器的过程为:构建物联网恶意检测器的替代模型;通过正常样本和恶意样本对构建的替代模型进行训练,训练好的模型为替代检测器。4.如权利要求1所述的一种物联网恶意检测器的安全性评估方法,从正常样本中选取标志点的具体过程为:将正常样本聚类成N簇,对于每一簇,计算恶意样本到簇中所有样本的余弦距离,并确定该簇的标记点;选取离恶意样本余弦距离最大的标志点为正常样本的标志点。5.如权利要求4所述的一种物联网恶意检测器的安全性评估方法,门限值的确定过程为:确定标志点所在簇;选取标志点所在簇中的第一个样本e1和第T*size(C)个样本eT;根据恶意样本与样本e1、样本eT间的余弦距离,确定门限值。6.如权利要求1所述的一种物联网恶意检测器的安全性评估方法,通过...
【专利技术属性】
技术研发人员:陈贞翔,袁鹏,王闪闪,赵川,荆山,王文月,白道宽,曹雪阳,
申请(专利权)人:济南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。