本发明专利技术涉及网络入侵检测技术领域,尤其是涉及一种基于机器学习的入侵检测方法及系统,该方法包括如下步骤S100:将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;S200:采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;S300:搜索簇头节点的最近一个强信号时长TH;S400:通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;S500:以预测流量标记出各个簇区中的入侵风险簇区;S600:断开入侵风险簇区的路由通信,本发明专利技术通过入侵约束值能够准确的检测网络攻击,能够提高入侵检测的速度,极大的减少了虚假报警和入侵识别错误率。和入侵识别错误率。和入侵识别错误率。
【技术实现步骤摘要】
一种基于机器学习的入侵检测方法及系统
[0001]本专利技术涉及网络入侵检测
,尤其是涉及一种基于机器学习的入侵检测方法及系统。
技术介绍
[0002]目前的网络入侵方式日趋灵活,但是目前几乎没有结合网络环境来监测入侵的方法,例如无法结合网络的拓扑、网络流量、主机系统信息等进行检测,单纯通过白名单的方式会出现大量的误报,而且在大量还原解析数据包的过程中,会出现海量的数据包还原和解释的运算,从而给服务器端造成极大的压力,降低了系统的性能,而结合网络环境的方法,例如专利公开号为CN114785703A的专利技术专利,通过物联网各节点与基站之间的信号强度构建网络连通图,对图卷积网络模型进行训练得到训练好的模型,通过训练好的模型对各个节点的出入流量进行预测得到各个节点的预测流量,尽管能避免在由于局部数据拥塞导致的物联网数据传输高延迟问题,但是其并无法实现入侵检测,系统的安全性难以得到保障。
技术实现思路
[0003]本专利技术为克服上述情况不足,旨在提供一种能解决上述问题的技术方案。
[0004]一种基于机器学习的入侵检测方法,包括如下步骤:
[0005]S100:将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;
[0006]S200:采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;
[0007]S300:搜索簇头节点的最近一个强信号时长TH;
[0008]S400:通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;
[0009]S500:以预测流量标记出各个簇区中的入侵风险簇区;
[0010]S600:断开入侵风险簇区的路由通信。
[0011]作为本专利技术进一步的方案:在S100中,通过HEED算法或者GAF算法进行网络分簇,物联网中的各个簇头节点之间通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法生成路由路径,通过路由路径与基站进行通信。
[0012]作为本专利技术进一步的方案:在S200中,采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型的方法如下:
[0013]采集预设时间内物联网中各个簇头节点的网络流量;将采集到的网络流量采用留出法或交叉验证法划分训练集和测试集,通过训练集对机器学习模型进行训练,并采用测试集进行测试,训练并测试完成后,得到流量模型。
[0014]其中,预设时间为12
‑
24小时,机器学习模型为支持向量机模型、深度强化学习模
型、决策树模型或卷积神经网络模型中任意一种,各个簇头节点的网络流量为物联网中各个簇区内簇头节点与各普通节点之间的通信的网络流量或者数据包的数量。
[0015]作为本专利技术进一步的方案:在S300中,搜索簇头节点的最近一个强信号时长TH的方法如下:
[0016]在簇头节点对应的簇区内的所有普通节点中选取与簇头节点之间的网络流量最大的普通节点标记为待测节点;逆时间顺序依次搜索待测节点与簇头节点之间的历史的信号强度值最大的时刻为强信号时刻,以当前时刻到强信号时刻之间的时长为强信号时长TH。
[0017]作为本专利技术进一步的方案:在S500中,以预测流量标记出各个簇区中的入侵风险簇区的方法如下:
[0018]S501:以物联网中簇头节点的数量为N,以i为簇头节点的序号,i∈[1,N],获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的预测流量Pre(i);获取物联网中第i个簇头节点的最近一个强信号时长TH内的网络流量为实际流量Real(i),或者,获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的网络流量为实际流量Real(i);
[0019]S502:计算第i个簇头节点的入侵约束值DS(i);
[0020]S503:计算所有簇头节点的入侵约束值的平均值为MeanDS,在i的取值范围内依次扫描各个簇区中的簇头节点的入侵约束值是否大于或等于MeanDS,如果是,则标记该簇头节点所对应的簇区为入侵风险簇区。
[0021]作为本专利技术进一步的方案:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
[0022][0023]其中,max{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最大的实际流量,min{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最小的实际流量,i1为变量。
[0024]作为本专利技术进一步的方案:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
[0025][0026]其中,max{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最大的实际流量,min{Real(1),Real(i1)}表示物联网中从第1个簇头节点到第i1个簇头节点的实际流量中最小的实际流量,i1为变量。
[0027]作为本专利技术进一步的方案:在S502中,计算第i个簇头节点的入侵约束值DS(i)的方法如下:
[0028]计算第i个簇头节点的预测出入比IOV(i),
[0029][0030]计算第i个簇头节点的入侵约束值DS(i),
[0031]DS(i)=exp(
‑
(Pre(l)+(IOV(l)
‑
1))2)
[0032]其中exp为指数函数,i2为变量。
[0033]作为本专利技术进一步的方案:在S600中,断开入侵风险簇区的路由通信的方法如下:
[0034]由于物联网中的各个簇头节点之间通过路由路径与基站进行通信,当存在入侵风险簇区时,以所有簇头节点为簇头集合,在簇头集合中去除入侵风险簇区对应的簇头节点获得簇头子集,并且通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法重新生成簇头子集的路由路径,从而断开入侵风险簇区的路由通信。
[0035]本专利技术还提供一种基于机器学习的入侵检测系统,包括处理器、存储器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述基于机器学习的入侵检测方法,处理器执行计算机程序运行在以下系统的单元中:
[0036]物联网分簇单元,用于将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;
[0037]模型训练单元,用于采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;
[0038]强信号搜索单元,用于搜索簇头节点的最近一个强信号时长TH;
[0039]流量预测单元,用于通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;
[0040]风险簇区标记单元,用于以预测流量标记出各个簇区中的入侵风险簇区;...
【技术保护点】
【技术特征摘要】
1.一种基于机器学习的入侵检测方法,其特征在于,包括如下步骤:S100:将物联网的各节点进行网络分簇分为多个簇区,每个簇区中的节点包括簇头节点和普通节点;S200:采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型;S300:搜索簇头节点的最近一个强信号时长TH;S400:通过流量模型对各个簇头节点的网络流量进行预测得到从当前时间开始经过强信号时长TH的各个簇区的预测流量;S500:以预测流量标记出各个簇区中的入侵风险簇区;S600:断开入侵风险簇区的路由通信。2.根据权利要求1所述的基于机器学习的入侵检测方法,其特征在于:在S100中,通过HEED算法或者GAF算法进行网络分簇,物联网中的各个簇头节点之间通过RIP路由算法、BGP路由算法、OSPF路由算法或BGP路由算法生成路由路径,通过路由路径与基站进行通信。3.根据权利要求1所述的基于机器学习的入侵检测方法,其特征在于:在S200中,采集物联网的各个簇头节点的网络流量对机器学习模型进行训练获得流量模型的方法如下:采集预设时间内物联网中各个簇头节点的网络流量;将采集到的网络流量采用留出法或交叉验证法划分训练集和测试集,通过训练集对机器学习模型进行训练,并采用测试集进行测试,训练并测试完成后,得到流量模型。其中,预设时间为12
‑
24小时,机器学习模型为支持向量机模型、深度强化学习模型、决策树模型或卷积神经网络模型中任意一种,各个簇头节点的网络流量为物联网中各个簇区内簇头节点与各普通节点之间的通信的网络流量或者数据包的数量。4.根据权利要求1所述的基于机器学习的入侵检测方法,其特征在于:在S300中,搜索簇头节点的最近一个强信号时长TH的方法如下:在簇头节点对应的簇区内的所有普通节点中选取与簇头节点之间的网络流量最大的普通节点标记为待测节点;逆时间顺序依次搜索待测节点与簇头节点之间的历史的信号强度值最大的时刻为强信号时刻,以当前时刻到强信号时刻之间的时长为强信号时长TH。5.根据权利要求1所述的基于机器学习的入侵检测方法,其特征在于:在S500中,以预测流量标记出各个簇区中的入侵风险簇区的方法如下:S501:以物联网中簇头节点的数量为N,以i为簇头节点的序号,i∈[1,N],获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的预测流量Pre(i);获取物联网中第i个簇头节点的最近一个强信号时长TH内的网络流量为实际流量Real(i),或者,获取物联网中第i个簇头节点的从当前时刻T0开始经过强信号时长TH的网络流量为实际流量Real(i);S502:计算第i个簇头节点的入侵约束值DS(i);S503:计算所有簇头节点的入侵约束值的平均值为MeanDS,在i的取值范围内依次扫描各个簇区中的簇头节点的入侵约束值是否大于或等于MeanDS,如...
【专利技术属性】
技术研发人员:卢志海,王斌,欧阳暖清,
申请(专利权)人:广东工贸职业技术学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。