基于深度学习模型的物联网异常入侵检测系统

刘涛 李思鉴 孙文龙 伍少成

（深圳供电局有限公司 广东省深圳市 518000）

1 引言

随着物联网愈加智能化，增加了计算机、传感器、建筑物、社区等领域的创新。物联网设备也广泛应于不同领域，产生了用于家庭、教育、医疗、农业、军事和商业的各种计算设备和通信技术[1]。个人在物联网环境中通过互联网与现实世界的应用程序进行交互，简化了人们的生活与生产方式。此外，物联网通过信息传感设备按约定的协议，将任何物体与网络相连接，用于信息交换。不同领域的设备导致了多种通信标准、设备和协议的产生[2]。

嵌入式系统中包含多个传感器，允许它们远程收集物理设备的实时数据。从设备获取的数据可以用于创建智能决策算法并有效管理物联网设置。然而广泛使用的现实世界设备与互联网的链接往往会引发有关网络安全威胁的问题，进而危及到物联网用户，甚至会影响包括网络、应用、社交平台以及服务器在内的完整生态系统[3]。2019年360发布《典型IoT设备网络安全分析报告》称“未来几年物联网设备漏洞将高于整体漏洞 14.7%”[3]，保护物联网设备的安全得到了越来越多的关注，保护系统必须针对物联网架构的重大攻击衡量物理安全和网络安全，还需要对网络保护进行彻底分析[4]。由于资源受限，传统的入侵检测技术对于物联网来说不够安全，大多数入侵检测系统需要相当大的计算能力和存储空间。因此，有必要为物联网设备设计和构建智能入侵检测技术，以保护其免受受损物联网设备的攻击。

物联网的多样性与异构性使得其系统面临着与传统计算机系统不同的安全漏洞。越来越多的物联网设备连接至无线网络，整个网络的隐私和安全可能会受到更多威胁。首先，物联网系统在设备、平台、通信方法和协议方面差异很大。其次，物联网系统由互联网连接组件和控制设备组成，使用不安全或过时的组件可能会导致设备的安全性完全受损。再次，物联网设备缺乏安全的更新机制，如果一台设备更新过程出现问题，就可能成为恶意攻击的受害者。最后，物联网系统或其组成部分将受到物理危害。此外，由于资源有限，在物联网设备上实施复杂的安全机制和软件通常很困难。因此，传统的系统安全技术已不适用于新的物联网环境。

对此，研究者提出了几种解决方案，通过识别物联网系统中的异常情况，使用机器学习和深度学习技术来缓解网络攻击。由于基于机器学习的入侵检测技术涉及到大量的数学公式运算，深度学习由于其强大的自主特征学习能力而受到物联网安全技术研究人员的青睐。深度学习技术已被证明是模式匹配的最佳方法，可以将任何物联网环境输入检测为真实或无效请求。这些入侵检测系统，从数据源上，可分为基于主机[2]的入侵检测与基于网络[3]的入侵检测；从体系结构上，可分为集中式入侵检测系统[4]与分布式入侵检测系统[5]；从检测方法上，可分为基于误用[9]的检测技术与基于异常[6]的检测技术。基于异常的检测方法首先确定何为正常，即正常行为的特征，然后用定量的方法描述，当用户行为活动异于正常操作时，则被定义为攻击行为。如基于数据挖掘的异常检测方法[7]、基于特征选择的异常检测方法[9]、基于建模的异常检测方法[9]等。基于异常的检测方法侧重于发现哪些模式是正常的或异常的，使用这种方法检测入侵的优势在于识别新的入侵可能，劣势则是容易出现误报。研究人员尝试将机器学习技术与基于异常的入侵检测方法相结合，机器学习善于从大量的历史数据中挖掘出其中隐含的规律，能够让基于异常的检测方法取得更好的决策能力。因为在同一方案中采用不同的识别方法，可以消除单个进程的漏洞，并增强了整个物联网系统的可靠性。

作为机器学习领域中一个全新的研究方向，深度学习（Deep Learning,DL）模拟人脑进行分析学习的神经网络，可根据要解决的问题自动构建模型，而不是用于特定任务。DL包含多个隐藏层的人工神经网络的应用。本文提出一种基于深度分析模型的物联网异常入侵检测模型用于流量异常检测任务。该方法通过深度迁移学习方法在微调网络的同时自动注释未标记数据集，文中基于ToN-IoT数据集的四个数据集进行入侵检测实验。其试验结果表明本文所提的入侵检测系统实现了99.7%的准确率，且在精密度、召回率、F1评分等指标上也取得了不错的成绩。

2 入侵检测系统

研究人员将入侵检测系统（Intrusion Detection System,IDS）引入物联网安全领域，并成为保障物联网安全的关键技术。IDS作为一种积极主动的防御技术，收集网络中各区域和节点信息，利用软硬件结合的方式监控网络，捕获攻击信息、攻击行为并发出警报，从而保护系统资源的完整性、私密性和可用性（如图1所示）。张[10]针对网络流量数据的时空双重特性,提出了融合卷积神经网络和循环神经网络的入侵检测模型—CNN-LSTM-IDS，CNN用于学习流量数据的空间特征，然后特征输入到LSTM中用于学习流量数据的时序特征，实验表明混合结构模型的性能比单独模型有所提高。Otoum Yazan等人[11]提出了一种新的基于深度学习的入侵检测系统（DL-IDS），用于检测物联网环境中的安全威胁。李等人[12]提出了一种基于深度强化学习算法近端策略优化（Proximal Policy Optimization 2.0,PPO2）的工业物联网入侵检测系统。将深度学习的感知能力和强化学习的决策能力相结合，实现对工业物联网多种类型网络攻击的有效检测。K.Maseer等人[13]提出了一种新的混合加权深度信念网络（HW-DBN）算法，用于构建高效可靠的入侵检测模型，以检测现有和新的网络攻击，对web攻击和机器人攻击场景均实现了99%以上的检测精度。

图1：入侵检测系统IDS工作示意图

2.1 物联网安全原则

本文决心在物联网环境中寻找到了解物联网应用的各种场景和漏洞的技术，建立一个有效的物联网安全系统。此外，在加强有效物联网安全策略的同时，应衡量以下基本安全原则。

保密性：这是物联网网络保护的一个基本要素。为了保护物联网设备处理的数据的机密性，各种物联网安全解决方案中通常使用传统的密码原语。

完整性：跨物联网设备的数据通常通过远程通信进行移动，必须以真正的方式进行更改。在这种方法中，当确保有一个强大的监控工具来识别在围绕不可信的远程系统通信期间的任何修改时，可靠性是一个主要问题。

认证：物联网架构需要一种健壮的认证机制，该机制因框架而异以提供强大的保护。因此，在创建认证设计时，权衡是一个重大挑战，例如在设计认证计划时考虑物联网使用的安全和安保方面。

授权：授权为物联网框架的客户端提供特权。因此，客户端可以利用通过计算设备收集的人员、系统或管理信息。因而可根据所涉及的人员、组件、设备和电力资源来维护安全。

可用性：物联网框架应始终可供授权用户用于管理和通信任务。可用性是物联网框架有效组织的关键组成部分。物联网设备可因几种威胁变得不可用。因此，确保物联网处理对其用户的持续可用性是物联网安全的一个基本要素。

2.2 物联网安全威胁

安全攻击可以分为真实攻击和虚拟攻击。因此，对互联网的攻击也可以分为被动攻击和主动攻击。

2.2.1 被动攻击

攻击者通常隐藏自己，通过观察通信线路来收集来自设备、设备所有者或两者的信息，从而引发潜在风险。被动攻击观察和监控信息，将其用于特定目标。这类攻击不会影响设备器资产，数据不会受到影响。用户无法看到被动攻击的存在，因为它是秘密执行的。这类攻击目的是获取数据或检查设备的漏洞。最常见的被动攻击是窃听，它在两台设备之间通过互联网进行通信时截取信息，并用于流量分析，以获取网络流量信息供分析。此外，由于物联网环境中不确定工具的指数互连产生一些威胁。这些是基于无线传感器网络且特定于协议的，例如RPL（一种轻量级距离矢量路由协议）协议[14]。该路由协议能够高效的利用智能设备的能量、计算资源，组建灵活的拓扑结构，实现数据路由。但由于物联网设备的资源有限,导致RPL协议面临许多的安全威胁。

2.2.2 主动攻击

主动攻击涉及巧妙窃听通信路径和修改或改变物联网结构以控制系统资源。主动攻击试图破坏和中断设备，用户会收到关于攻击的通知。这类攻击将使其可用性和完整性面临风险。与被动威胁相比，主动攻击更难实现。拒绝服务攻击（DoS）是可用于物联网的主动威胁的常见示例。当入侵者控制关闭仪器时，就会发生DoS攻击。这将阻止真实用户检索特定设备。相反，入侵者会向focus机器注入大量流量，直到它无法回复或崩溃。例如，缓冲区溢出会向机器发送越来越大的流量，超过缓冲区可以管理的阈值，从而导致系统崩溃。

还有网络控制报文协议（Internet Control Message Protocol,ICMP）洪水攻击，指当 ICMP 回应请求包过多以至超出了被攻击者的最大限度，使被攻击者耗尽所有资源来进行响应。ICMP对于用户数据的传递起着重要的作用，受到干扰的服务通常包括在线银行账户、网站或电子邮件。DoS威胁可以在任何地方毫不费力地进行。如前所述，大多数智能系统如医疗系统、交通系统、家庭、城市和可穿戴设备中使用的工具，都运行在低功耗和有损网络上，这使得保障安全通信具有挑战性，增加了被入侵和其他有害事物攻击的风险。因此，物联网需要安排检测机制和安全通信系统，以支持其实用和有价值的执行。

总之，物联网设备中没有什么是绝对安全的。这允许用户在物联网环境中轻松检索其数据。尽管如此，它为入侵者检索任何网段创造了一种不受保护的环境。图2展示了物联网环境中威胁的各个维度，包括网络设备、云设备、传感器、应用程序以及其它物联网系统。用户应注意所有物联网设备的安全缺陷，以保护自己免受网络威胁。已经形成了几种减少网络威胁的方法和结构。例如，机器学习可以帮助检测日志并对广泛网络上的攻击进行分类。

图2：物联网环境的威胁维度

3 基于深度学习模型的IDS

3.1 研究目标

由于物联网设备在互联和相互依存的环境中运行，新的威胁不断出现。此外，由于物联网设备通常在无人值守的环境中运行，可能会遭到入侵者的恶意访问。因为物联网设备通常通过无线网络链接，窃听者可以从通信通道访问私有信息。除了这些安全问题外，物联网设备由于能量和处理能力有限，无法纳入先进的安全功能。因此，应在物联网网络中建立额外的保护线，以保护基于物联网的组织免受网络威胁。深度学习技术最近在检测网络攻击的流行应用中变得更加可靠。物联网环境中训练有素的系统将主要捕捉异常和正常行为。可以通过注册和检查物联网设备和网络流量，以了解正常模式。在偏离正常模式的地方可以识别出异常行为。这些方法也经过测试，可以预测新的威胁，并提供全面的物联网设备和网络安全协议。

3.2 实验设置

入侵检测系统主要在数据收集模块和攻击检测分析模块中包含攻击证据。研究物联网系统在数据收集模块中的输入数据，以发现在分析模块中使用各种机器学习技术的交互行为。深度学习技术在不同领域取得了显著的成就，并被证明是比传统机器学习更好的选择。此外，使用深度学习的入侵检测系统取得了非常好的结果。基于深度学习的方法更具影响力，适用于流量分析，以确定物联网环境中的正常和异常流量。此外，与以前的安全技术不同，深度学习技术可以智能地预测新的安全威胁。图3显示了在物联网环境中使用深度学习模型的入侵检测。

图3：基于深度学习模型的IDS

3.2.1 数据集

本工作采用ToN-IoT数据集，该数据集可以在ToN-IoT存储库中检索[15]。该数据集从物联网设备遥测、操作系统日志和基于物联网系统的网络流量等各种来源收集数据。ToNIoT数据集使用正常或攻击标签进行分类，以进行二进制分类。攻击子类型包括：Backdoor[16],DDoS,Injection,Normal,Password cracking[17],Scanning,Ransomware[18],XSS[19]（如表1所示）。本文选取了ToN-IoT数据集中的四个子数据集IoT_Weather,IoT_GPS_Tracker,IoT_Garage_Door,IoT_Thermostat进行研究。

表1：不同网络攻击说明

3.2.2 数据平衡

合成少数过采样技术（Synthetic Minority Over-sampling Technique,SMOTE）[20]方法通常用于数据平衡。SMOTE的主要思想是通过合并仍然存在的各种少数群体案例来创建新的少数群体案例。首先，确定所有少数案例的k近邻。然后，在少数案例及其k近邻之间的位置上启动少数案例，直到数据库平衡。因此可以有效避免过拟合的问题。

3.2.3 分类器

该模型通过各种机器学习算法和深度学习模型进行评估：随机森林、投票分类器（Voting Classfier）、人工神经网络（Artificial Neural Network,ANN）和1D-CNN。分类器训练期间使用了以下参数：损失：交叉熵损失函数分类（用于ANN和CNN）；优化器：Adam （用于ANN和CNN）；Dropout 率设为0.5（用于ANN和CNN）；批大小分别设为20（ANN）和128（CNN）；测试大小设为0.2（适用所有分类器）；树的数量分别设置为1000 （随机森林）and 500（绝对多数投票majority voting）。

3.2.4 评估标准

该模型的主要目的是根据以下结果对正常和异常攻击进行分类，包括TP（被模型预测为正类的正样本）、TN（被模型预测为负类的负样本）、FP（被模型预测为正类的负样本）和FN（被模型预测为负类的正样本）四类，评估公式如公式（1）-（4）。此外，评估混淆矩阵以证明有多少数据被正确和错误分类。用于评估性能的指标包括精确率P、召回率R、准确率Acc和F1值。

4 实验结果

实验使用机器学习和深度学习模型在ToN-IoT数据集上进行。用于评估性能的指标包括精确率P、召回率R、准确率Acc和F1值。每个数据集通过不同分类器获得的最好结果如表2所示。结果表明，对于IoT_Weather、IoT_Thermostat、IoT_GPS_Tracker和IoT_Garage_Door数据集，投票分类器达到了99.7%的最高精度。通过所用分类器对每个数据集获得的精度如表3所示。随机分类器实现了最大精度，即在物联网遥测数据集的各种数据集上达到99.7%以上。

表2：不同数据集在分类器获得的最好实验结果

表3：通过所用分类器对每个数据集获得的准确率

5 结论

本文提出了一个基于人工智能的入侵检测模型，使用ToN-IoT数据集的四个数据集进行物联网网络的入侵检测，并用准确率、精密度、召回率、F1评分等进行评估。该模型在其中三个数据集上（IoT_GPS_Tracker、IoT_Garage_Door、IoT_Thermostat）实现了99.7%以上的准确率（使用投票分类器），未来主要工作是开发一个安全物联网传感器的智能电网计量系统。