本发明专利技术公开的属于信息科学技术领域,具体为一种基于图神经网络模型的物联网入侵检测方法,包括具体步骤如下:首先针对入侵检测数据集中存在的错误、缺失、异常值数据进行清洗和处理,并对数据集进行筛选和抽样,以保证数据的质量和可靠性,减少噪声和提高模型效果,然后,从原始数据中提取图数据的特征,并对数据进行归一化处理,将不同特征的取值范围缩放到相同的区间内,以便后续神经网络模型的训练和优化,过后,将处理后的数据集划分为训练集、验证集和测试集,以便于对模型进行训练、调参和评估,本发明专利技术通过综合考虑节点和边的特征,提高了分类器的准确性和鲁棒性,从而在攻击流检测方面具有更好的表现。检测方面具有更好的表现。检测方面具有更好的表现。
【技术实现步骤摘要】
一种基于图神经网络模型的物联网入侵检测方法
[0001]本专利技术涉及信息科学
,具体为一种基于图神经网络模型的物联网入侵检测方法。
技术介绍
[0002]物联网是一种连接和管理物理设备的网络技术,它可以让物体具有智能化、自动化、网络化等特征,实现物与物之间的互联和数据的共享。随着物联网应用的不断发展,物联网安全问题也越来越受到关注。物联网设备的普及、数据的传输和存储等环节都面临着入侵和攻击的风险。因此,需要对物联网进行安全防护,其中入侵检测是非常重要的一环。网络犯罪分子破坏和利用物联网网络来进行恶意活动,如物联网勒索软件、僵尸网络DDoS攻击。
[0003]入侵检测系统(NIDS)被用在物联网网络内的节点上以监测流量,是检测网络攻击的重要工具。NIDS有两种主要类型,基于签名的系统和基于入侵检测的系统。基于签名的NIDS依赖于一套预先安装的攻击签名,将其与监测的网络流量进行比较和模式匹配以检测攻击。因此,这种类型的NIDS可以有效地检测已知的攻击,而且误报率相对较低,但它们在检测未知的入侵行为或现有攻击的变种方面的效果较差。相比之下,基于入侵检测的系统有可能通过检测网络中常规流量模式的偏差来检测入侵行为。在过去的几年里,在应用新的机器学习模型和技术,特别是基于深度学习的方法来开发新的NIDS解决方案方面取得了很大进展。
[0004]目前物联网中的设备数量很大,形成的图数据也非常庞大。如何高效地处理大规模的图数据,从中发掘有用的信息,是一个关键的技术问题。入侵检测模型需要具有很高的鲁棒性和泛化性能,可以适应不同的数据场景和攻击方式,从而更好地识别恶意流量。如何提高模型的鲁棒性和泛化性能也是一个重要的技术问题。传统的GNN已经广泛应用,然而这些方法主要是针对节点分类的节点特征,目前还无法考虑边分类的边特征。目前使用的图卷积神经网络(GCN)来进行P2P僵尸网络节点检测,首先通过创建与不同的真实大规模网络流量混合的僵尸网络连接来生成僵尸网络流量。然后应用GCN进行僵尸网络节点分类,生成的图不包括任何流量或节点特征,该方法只考虑网络连接图的拓扑信息进行P2P僵尸网络节点分类,而不是流量分类。这种方法限制了对僵尸网络攻击的检测,而没有关注其他网络攻击,如XSS和勒索软件。此外,它没有利用网络流量数据中提供的所有网络流量信息。虽然现有的一些图表示学习方法已经考虑了边特征,但不能直接应用于网络入侵检测,这些方法考虑了边特征,但只是改进了节点的表示从而获得更好的性能,这并不属于边分类。
[0005]因此,专利技术一种基于图神经网络模型的物联网入侵检测方法。
技术实现思路
[0006]鉴于上述和/或现有一种基于图神经网络模型的物联网入侵检测方法中存在的问题,提出了本专利技术。
[0007]因此,本专利技术的目的是提供一种基于图神经网络模型的物联网入侵检测方法,能够解决上述提出现有的问题。
[0008]为解决上述技术问题,根据本专利技术的一个方面,本专利技术提供了如下技术方案:
[0009]一种基于图神经网络模型的物联网入侵检测方法,其包括具体步骤如下:
[0010]步骤一,数据预处理:首先针对入侵检测数据集中存在的错误、缺失、异常值数据进行清洗和处理,并对数据集进行筛选和抽样,以保证数据的质量和可靠性,减少噪声和提高模型效果,然后,从原始数据中提取图数据的特征,并对数据进行归一化处理,将不同特征的取值范围缩放到相同的区间内,以便后续神经网络模型的训练和优化,过后,将处理后的数据集划分为训练集、验证集和测试集,以便于对模型进行训练、调参和评估;
[0011]步骤二,提取特征:提取数据包的时间序列、大小、频率特征,并将其融合起来,以获得整个网络的特征表示;
[0012]步骤三,构建图神经网络模型:首先对边特征进行嵌入,为了包括边特征,需要对图的边信息进行采样和聚合,另外,在算法的最终输出需要提供一个边嵌入,将测试流量记录转换为图形,并通过训练从中计算出边嵌入,其使用的神经网络模型包括两个层(K=2),这意味着邻域信息是从两跳邻居节点中聚合的;
[0013]步骤四,模型训练和优化:使用常用的训练和优化方法随机梯度下降、反向传播算法,对构建好的图神经网络模型进行训练和优化,并通过有监督学习进行参数调优,使其能够更好地拟合和分类数据;
[0014]步骤五,模型评估和部署:使用测试数据集对训练好的模型进行评估,在评估完成后,可以将模型部署到物联网应用中进行实时的入侵检测。
[0015]作为本专利技术所述的一种基于图神经网络模型的物联网入侵检测方法的一种优选方案,其中:所述步骤一中在划分数据集时,需要考虑到数据集的大小和样本分布因素,以保证模型的泛化能力和鲁棒性。
[0016]作为本专利技术所述的一种基于图神经网络模型的物联网入侵检测方法的一种优选方案,其中:所述步骤三中边嵌入是通过两个节点嵌入的连接而产生的,将学习后得到的特征首先经过全连接层,输出的边嵌入通过一个softmax层进行分类,与数据集提供的标签进行比较,并在反向传播阶段调整可训练的模型参数。
[0017]作为本专利技术所述的一种基于图神经网络模型的物联网入侵检测方法的一种优选方案,其中:所述步骤三中在图构建中,所有剩余的流量记录字段都被分配到边,所以图的节点是没有特征的,因此,在算法中,给所有节点分配一个向量,值均赋为1,每个节点中的所有一常量向量的维度取决于边特征的数量;
[0018]所述算法如下所示:
[0019]input:Graph G(V,ε);
[0020]input edge features
[0021]input node features
[0022]depth K;
[0023]weight matrices;
[0024]non
‑
linearity;
[0025]differentiable aggregator functions;
[0026]output:Edge embeddings
[0027][0028]所述算法输入包括边特征由于基于流量的NIDS数据集通常只包括边特征而不是节点特征,因此,使用向量x
v
{1,...,1}来初始化节点特征和初始节点嵌入,一个常量向量的维度与边特征的数量相同。
[0029]作为本专利技术所述的一种基于图神经网络模型的物联网入侵检测方法的一种优选方案,其中:所述步骤三中聚合的方法包括均值聚合、池化聚合和LSTM,其中池化聚合的聚合函数如下公式1所示,先对目标顶点的邻居顶点向量进行一次非线性变换,再进行一次max
‑
pooling操作,将结果与目标顶点向量拼接,最后再经过一次非线性变换,得到目标顶点的第k层表示向量;
[0030][0031]在第k层创建采样的邻边的聚合嵌入,如下公式2所示,其中,是节点v的采样邻居节点N(v)中的边uv在第k
‑
1层的特征,集合代表邻居节点N(v)的采样边,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于图神经网络模型的物联网入侵检测方法,其特征在于,包括具体步骤如下:步骤一,数据预处理:首先针对入侵检测数据集中存在的错误、缺失、异常值数据进行清洗和处理,并对数据集进行筛选和抽样,以保证数据的质量和可靠性,减少噪声和提高模型效果,然后,从原始数据中提取图数据的特征,并对数据进行归一化处理,将不同特征的取值范围缩放到相同的区间内,以便后续神经网络模型的训练和优化,过后,将处理后的数据集划分为训练集、验证集和测试集,以便于对模型进行训练、调参和评估;步骤二,提取特征:提取数据包的时间序列、大小、频率特征,并将其融合起来,以获得整个网络的特征表示;步骤三,构建图神经网络模型:首先对边特征进行嵌入,为了包括边特征,需要对图的边信息进行采样和聚合,另外,在算法的最终输出需要提供一个边嵌入,将测试流量记录转换为图形,并通过训练从中计算出边嵌入,其使用的神经网络模型包括两个层(K=2),这意味着邻域信息是从两跳邻居节点中聚合的;步骤四,模型训练和优化:使用常用的训练和优化方法随机梯度下降、反向传播算法,对构建好的图神经网络模型进行训练和优化,并通过有监督学习进行参数调优,使其能够更好地拟合和分类数据;步骤五,模型评估和部署:使用测试数据集对训练好的模型进行评估,在评估完成后,可以将模型部署到物联网应用中进行实时的入侵检测。2.根据权利要求1所述的一种基于图神经网络模型的物联网入侵检测方法,其特征在于,所述步骤一中在划分数据集时,需要考虑到数据集的大小和样本分布因素,以保证模型的泛化能力和鲁棒性。3.根据权利要求1所述的一种基于图神经网络模型的物联网入侵检测方法,其特征在于,所述步骤三中边嵌入是通过两个节点嵌入的连接而产生的,将学习后得到的特征首先经过全连接层,输出的边嵌入通过一个softmax层进行分类,与数据集提供的标签进行比较,并在反向传播阶段调整可训练的模型参数。4.根据权利要求1所述的一种基于图神经网络模型的物联网入侵检测方法,其特征在于,所述步骤三中在图构建中,所有剩余的流量记录字段都被分配到边,所以图的节点是没有特征的,因此,在算法中,给所有节点分配一个向量,值均赋为1,每个节点中的所有一常量向量的...
【专利技术属性】
技术研发人员:吴晓鸰,罗奕彤,凌捷,
申请(专利权)人:广东工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。