本发明专利技术属于物联网技术领域,公开了一种网络入侵检测的方法,包括如下步骤:步骤1:在边缘网关上部署模型,所述模型采用随机森林算法对多个数据包的特征进行训练得到;所述特征通过抓取边缘网收到的数据包并采用argus client程序对数据包的特征进行提取得到;步骤2:边缘网关对收到的数据包采用argus client程序进行特征提取并采用模型对提取得到的特征进行推理,得到针对该数据包的推理结果。该方法对数据包的特征提取进行优化,得到了能够利于边缘网关进行推理的特征,其推理精度高,计算量小、计算速度快,同时通过优化模型推理算法,利于边缘网关的推理部署。同时,本发明专利技术还提供了基于该方法的系统。提供了基于该方法的系统。提供了基于该方法的系统。
【技术实现步骤摘要】
一种网络入侵检测的方法和系统
[0001]本专利技术属于物联网领域,具体涉及一种网络入侵检测的方法和系统。
技术介绍
[0002]物联网技术的广泛应用,在发展迅速的同时也造成诸多安全问题,需建立完整且稳定的系统来确保物联网的安全。而入侵检测系统,成为保护物联网安全的关键技术。
[0003]传统的安全解决方案已经覆盖了个人电脑、服务器、网络和云存储,这些解决方案大多可部署于云平台,但是物联网和网关部分依然是较为薄弱和空白。由于物联网结构和行为的差异,传统网络安全解决方案可能无法直接适用。
[0004]随着机器学习和深度学习技术的发展,从检测技术、数据集、架构设计和工作模式等方面,从数据集入手,对现阶段基于机器学习的物联网入侵检测系统,进行了物联网安全检测的探索,并设计一套边缘网关和云平台结合的系统。
[0005]而结合机器学习算法,正是能最大体现边缘计算优点的方向。选中机器学习算法而不是深度学习的原因,是因为深度学习的神经网络,需要借助GPU或NPU等硬件支持。而机器学习算法的效果不会比深度学习差很多,重要的是只需要使用CPU资源就可以完成,更适合目前绝大部分的边缘网关硬件环境。
[0006]因此现有技术不足有:目前主要是依赖x86架构下的主动检测和防御解决方案,只适合部署在PC或者云服务器上。对于其他芯片架构的嵌入式方案非常稀缺,更缺乏有效部署更新方式。
[0007]针对深度或机器学习算法,大多利用GPU、NPU硬件加速,边缘网关的嵌入式方案下CPU方案难以应用。
[0008]更多是针对服务器端的服务软件进行检测和防护,工业或物联网数据部分很少,比如CoAP、MQTT等协议的。
[0009]没有针对边缘设备进行优化,消耗资源较大。
[0010]CN115396212A公开了一种检测模型的训练方法、装置、计算机设备、存储介质和计算机程序产品;其说明书记载:所述方法包括:获取第一网络数据集以及第二网络数据集,并将所述第一网络数据集和所述第二网络数据集进行融合处理,得到样本数据集;所述样本数据集包括样本网络数据和所述样本网络数据的数据类型标识,所述数据类型标识包括正常数据类型标识和攻击数据类型标识;对各所述样本网络数据进行特征提取,得到网络特征数据集;所述网络特征数据集包含提取出的各样本网络特征数据、以及各所述样本网络特征数据对应的初始权重;基于权重调整算法对所述各所述样本网络特征数据对应的初始权重进行更新,并基于更新后的权重构建目标网络特征数据集;所述目标网络特征数据集包括目标样本网络特征数据、所述目标样本网络特征数据的数据类型标识以及各所述样本网络特征数据对应的权重;
基于所述目标网络特征数据集和各所述目标样本网络特征数据对应的数据类型标识,对机器学习模型进行训练,得到检测模型,所述检测模型用于检测网络数据的数据类型标识。
[0011]所述对各所述样本网络数据进行特征提取,得到网络特征数据集,包括:对所述样本数据集中的所述各所述样本网络数据进行数据预处理,得到数据预处理后的各所述样本网络数据;使用随机森林算法对所述数据预处理后的各所述样本网络数据进行特征提取,得到所述网络特征数据集。
[0012]所以结合以上分析可见,如果要在边缘设备进行网络入侵识别,其面临的现实问题在于:1.特征如何优化,要进行全部特征的分析是不现实的,算力、计算速度无法满足;2.如何进行推理采用适用于边缘网关无GPU或NPU的现实情况。
[0013]所以,本项目的核心在于,如何实现低算力的边缘网关针对网络入侵的高效、及时、准确的发现。
技术实现思路
[0014]针对现有技术的不足,本专利技术的目的在于提供一种边缘网关通过机器学习算法进行网络入侵检测的方法,该方法对数据包的特征提取进行优化,得到了能够利于边缘网关进行推理的特征,其推理精度和UNSW
‑
NB15完整数据集的特征进行推理的结果类似,具有计算量小、计算速度快的优势,同时通过优化模型推理算法,利于边缘网关的推理部署。
[0015]同时,本专利技术还提供了基于该方法的系统。
[0016]为达到此专利技术目的,本专利技术采用以下技术方案:一种边缘网关通过机器学习算法进行网络入侵检测的方法,包括如下步骤:步骤1:在边缘网关上部署模型,所述模型采用随机森林算法对多个数据包的特征进行训练得到;所述特征通过抓取边缘网收到的数据包并采用argus client程序对数据包的特征进行提取得到;步骤2:边缘网关对收到的数据包采用argus client程序进行特征提取并采用模型对提取得到的特征进行推理,得到针对该数据包的推理结果。
[0017]在上述的边缘网关通过机器学习算法进行网络入侵检测的方法中,所述步骤3中,采用二分类推理的方式进行推理;所述推理结果为:正常数据包或异常数据包;如果推理结果是异常数据包,则边缘网关禁止该异常数据包所对应的IP地址的其他任何数据包的传输。
[0018]在上述的边缘网关通过机器学习算法进行网络入侵检测的方法中,还包括步骤3:将异常数据包发送到云平台,通过云平台对异常数据包采用多分类算法进行分析,得到异常数据包所代表的攻击类型,并根据攻击类型生成防护策略反馈给边缘网关,所述边缘网关根据防护策略进行对应的操作。
[0019]在上述的边缘网关通过机器学习算法进行网络入侵检测的方法中,所述步骤1中的特征为:tcprtt、dur、smeansz、dmeansz、synack、dttl、sttl、dbytes、sbytes、dwin、swin、
dload、sload、dloss、sloss、dpkts、spkts中的一种或多种。
[0020]tcprtt:英文含义:TCP connection setup round
‑
trip time, the sum of synack and ackdat;中文含义:"TCP连接建立往返时间,synack和ackdat的总和"。在TCP连接建立过程中,客户端发送一个SYN报文段到服务器端,服务器端回复一个SYN+ACK报文段,最后客户端回复一个ACK报文段。这三个报文段的往返时间被称为TCP连接建立往返时间。其中,SYN+ACK报文段和ACK报文段的长度可能不同,因此它们的往返时间也可能不同。"synack和ackdat的总和" 可以理解为这两个报文段的往返时间之和。
[0021]dur:英文含义:Record total duration;中文含义:抓取数据包总时长。
[0022]smeansz:英文含义:Mean of the flow packet size transmitted by the src;中文含义:“计算源地址发送的流量数据包大小的平均值”。其中,“源地址”指的是数据包的发送方。如果你有一个数据包流量的记录,你可以将所有源地址相同的数据包大小加起来,再除以这些数据包的总个数,得到源地址发送的流量数据包大小的平均值。
[0023]dmean:英文含义:本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种边缘网关通过机器学习算法进行网络入侵检测的方法,其特征在于,包括如下步骤:步骤1:在边缘网关上部署模型,所述模型采用随机森林算法对多个数据包的特征进行训练得到;所述特征通过抓取边缘网收到的数据包并采用argus client程序对数据包的特征进行提取得到;步骤2:边缘网关对收到的数据包采用argus client程序进行特征提取并采用模型对提取得到的特征采用二分类推理的方式进行推理,得到针对该数据包的推理结果。2.根据权利要求1所述的边缘网关通过机器学习算法进行网络入侵检测的方法,其特征在于,所述推理结果为:正常数据包或异常数据包;如果推理结果是异常数据包,则边缘网关禁止该异常数据包所对应的IP地址的其他任何数据包的传输。3.根据权利要求2所述的边缘网关通过机器学习算法进行网络入侵检测的方法,其特征在于,还包括步骤3:将异常数据包发送到云平台,通过云平台对异常数据包采用多分类算法进行分析,得到异常数据包所代表的攻击类型,并根据攻击类型生成防护策略反馈给边缘网关,所述边缘网关根据防护策略进行对应的操作。4.根据权利要求1所述的边缘网关通过机器学习算法进行网络入侵检测的方法,其特征在于,所述步骤1中的特征为:tcprtt、dur、smeansz、dmeansz、synack、dttl、sttl、dbytes、sbytes、dwin、swin、dload、sload、dloss、sloss、dpkts、spkts中的一种或多种。5.根据权利要求1所述的边缘网关通过机器学习算法进行网络入侵检测的方法,其特征在于,所述数据包的抓取方式为通过TcpDump程序或argus server程序抓取原始报文。6.根据权利要求1所述的边缘网关通过机器学习算法进行网络入侵检测的方法,其特征在于,所述边缘网关使用Docker环境进...
【专利技术属性】
技术研发人员:招嘉焕,黄章良,
申请(专利权)人:广州鲁邦通物联网科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。