【技术实现步骤摘要】
一种基于双重特征选择和贝叶斯优化物联网入侵检测方法
[0001]本专利技术涉及一种物联网入侵检测方法,特别是涉及一种基于双重特征选择和贝叶斯优化物联网入侵检测方法。
技术介绍
[0002]物联网是一种通过信息传感设备,按约定的协议,把任何物品与互联网相连接,进行信息交换和通信,以实现对物品的智能化管控的网络。近年来,随着5G通信、低功耗广域网、人工智能等相关技术的发展,物联网的应用日益广泛,并逐步衍生出如智能家居、数字医疗、智慧交通以及工业互联网等新型智能网络场景。物联网在人们的生产生活中的开始占据着越来越重要的地位。但随着海量的物联网终端设备直接或间接地接入互联网,物联网所面临的安全风险也与日俱增。因此为了保障物联网系统的安全,对网络中的异常行为进行入侵检测是十分必要的。
[0003]物联网环境中,终端节点设备普遍存在硬件资源受限、功率有限、异构性和多连接性等特点,这些特点使得传统的入侵检测方案难以直接应用在物联网设备中,因此现有检测策略大多都是将数据上传到云端进行统一识别。但是这种方式一方面会增加云端节点的压力。...
【技术保护点】
【技术特征摘要】
1.一种基于双重特征选择和贝叶斯优化物联网入侵检测方法,其特征在于,所述方法包括以下过程:S1.通过相关攻击软件模拟真实物联网环境可能会面临的各种攻击类型,并由流量捕获模块对产生的流量数据包进行捕获,然后按五元组特征将数据包整合为数据流形式;S2.对捕获的数据流提取相关流特征信息;S3.根据发出攻击的客户端五元组信息,为提取的数据流特征添加标签,构成流量特征数据集;S4.对流量特征集进行预处理,使其转变为机器学习模型可以识别的标准结构化数据;S5.通过双重特征选择模块对流量特征集中的无关或弱相关特征进行剔除,以降低模型复杂度并提高模型检测效率;S6.使用LightGBM对选择后的特征集进行交叉验证评估,并采用贝叶斯优化方法实现检测模型参数的快速调优;S7.对于调优后的检测模型,使用全部的特征集进行训练,然后将训练完成的检测模型嵌入到物联网设备中进行流量的实时监测。2.根据权利要求1所述的一种基于双重特征选择和贝叶斯优化物联网入侵检测方法,其特征在于,所述S1中流量捕获模块通过设置时间间隔来完成数据流的捕获,这个间隔被称为时间窗口;在时间窗口内的流量数据包被捕获后会按照五元组特征被分组为一条条数据流,五元组特征具体包括源IP和目的IP、源端口和目的端口以及传输层协议。3.根据权利要求1所述的一种基于双重特征选择和贝叶斯优化物联网入侵检测方法,其特征在于,所述S2中提取的相关流特征信息分为六类,分别为TCP/UDP连接特征,统计特征,DNS相关特征,SSL相关特征,HTTP相关特征,违规行为相关特征。4.根据权利要求1所述的一种基于双重特征选择和贝叶斯优化物联网入侵检测方法,其特征在于,所述S3中构建的流量特征数据集包含100000条正常流量样本,90000条异常流量样本;其中异常流量中包含9种不同的攻击类型,分别为scanning、password、dos、xss、backdoor、injection、ransom、ware、ddos和mitm,每种攻击类型各10000条样本。5.根据权利要求1所述的一种基于双重特征选择和贝叶斯优化物联网入侵检测方法,其特征在于,所述S4中数据预处理过程包括特征编码和数据归一化两部分;特征编码即将流量数据集中的字符型离散特征(proto、service、conn_state、dns_query、ssl_version、ssl_cipher、ssl_subject、ssl_issuer、http_method、http_uri、http_version、http_orig_mime_types、http_resp_mime_types、weird_name和weird_addl)编码为数字特征,以便于导入后续的机器学习模型;数据归一化即消除特征之间的量纲差异,这里采用最小值
‑
最大值函数进行归一化...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。