一种物联网入侵检测方法、系统、电子设备及存储介质与流程

本发明涉及网络安全，特别涉及一种物联网入侵检测方法、系统、电子设备及存储介质。

背景技术：

1、随着互联网的不断发展，日益增长互联网流量反映出企业的业务向线上转移、来源复杂和所承载的信息多样化的特点。随着物联网快速发展，数百万的传感器和设备继续产生数据并交换重要信息。作为一个范围广，并且开放性高的网络，必须更加关注网络安全威胁。

2、为了确保网络的安全，在网络环境中使用入侵检测机制至关重要。先前的工作表明，大规模物联网设备在新出现的漏洞中仍然很脆弱。一些物联网场景，如网络物理系统（cps），对安全至关重要，一旦妥协，它将对人类和环境造成可怕的破坏。为了保护物联网网络，传统的研究集中在使用机器学习（ml）对入侵进行模式化。

3、然而，传统的入侵检测模型无法实现在线更新，且在检测时需要完全访问所有的旧训练数据资源，难以适应数据量庞大且快速变化的物联网攻击环境。

4、因此，如何对快速变化的物联网攻击环境提供高效的入侵检测，是一个亟需解决的问题。

技术实现思路

1、为了解决上述技术问题的不足之处，本发明提供了一种物联网入侵检测方法、系统、电子设备及存储介质，以对快速变化的物联网攻击环境提供高效的入侵检测，保证其在检测遗留攻击和新攻击方面的性能，提高网络信息安全。

2、为解决上述问题，本发明实施例提供了一种物联网入侵检测方法，所述方法包括：

3、捕获物联网入侵流量数据并获得目标网络流；

4、对所述目标网络流进行特征提取得到流量参数；

5、将所述流量参数输入至目标检测模型进行检测以得到检测结果，所述检测结果包括流类别；

6、其中，所述目标检测模型集成增量学习参数更新算法，所述目标检测模型通过所述增量学习参数更新算法进行参数更新，所述增量学习参数更新算法通过如下训练获得：

7、将旧数据集的攻击指纹层用多个神经元的新子层进行扩展，以将所述目标检测模型的初始状态更新为第一状态；所述神经元的新子层的数量与新数据集中的新攻击类别数量相对应；

8、根据新类别数据附加新输出层到所述目标检测模型上以将所述第一状态更新为第二状态；

9、根据交叉蒸馏损失函数和梯度下降更新所述目标检测模型并将所述标检测模型的新输出层和旧输出层进行合并；

10、将与预设特征匹配的旧类别数据从所述目标检测模型的内存中删除，并增加所述新类别数据以更新所述目标检测模型的内存；

11、利用第一损失函数对所述目标检测模型进行优化。

12、可选地，所述初始状态为：，所述第一状态为：；所述第二状态为：；

13、其中，是流量的统计特征，为神经网络层，是softmax层，是生成每个攻击流量类别和正常流量类别概率的攻击指纹层。

14、可选地，初始状态的所述目标检测模型为dnn深度神经网络；所述dnn深度神经网络的预测结果为，且前向传播模型为；

15、其中，为各层级的参数，为各层级输出，为每层的偏置因子，且，为输入向量，为神经网络层数，为激活函数；

16、根据第二损失函数和梯度下降更新所述dnn深度神经网络各层级的参数，所述第二损失函数为：；

17、其中，n是训练样本的数量，每个样本包括提取的前i个包数量和真实总包数，是调整超长预测惩罚的超参数，是控制确定超长预测的阈值， ，，是特征向量。

18、可选地，所述根据交叉蒸馏损失函数和梯度下降更新所述目标检测模型并将所述目标检测模型的新输出层和旧输出层进行合并，包括：

19、根据交叉熵损失函数，将新数据集和旧数据集一并进行梯度下降以更新所述目标检测模型并得到旧输出层；

20、根据蒸馏损失将旧数据集进行梯度下降以更新所述目标检测模型并得到新输出层；

21、将旧输出层和新输出层进行合并。

22、可选地，所述交叉蒸馏损失函数为：；

23、其中，；蒸馏损失定义为，表示个蒸馏损失，为旧数据集中分类层总数，表示第个分类层；，，n为新数据集中流量样本总数量，t为新数据集中的新攻击类别数量，s为旧数据集中的攻击类别数量，为样本的真实标签，为估计的样本类别的概率，g为温度的超参数。

24、可选地，所述将与预设特征匹配的旧类别数据从所述目标检测模型的内存中删除，包括：

25、确定所述旧类别数据中的平均特征向量；

26、获取每个所述旧类别数据与所述平均特征向量的目标距离；

27、判断所述目标距离是否小于预设边界值；

28、当所述目标距离大于或等于所述预设边界值时，将对应的所述旧类别数据从所述目标检测模型的内存中删除。

29、可选地，所述增量学习参数更新算法训练时，在所述利用第一损失函数对所述目标检测模型进行优化之后，所述方法还包括：

30、根据流长度分布算法训练所述目标检测模型，所述流长度分布算法为：

31、，其中，表示不同流长度区间，为正整数；

32、以及，所述将所述流量参数输入至目标检测模型进行检测以得到检测结果的方式具体为：

33、根据所述目标网络流的实际流长度选择对应的流长度区间进行检测以得到检测结果。

34、为了解决上述问题，本发明实施例还提供一种物联网入侵检测系统，所述系统包括网络监控模块、流量处理模块、入侵检测模块和增量学习参数更新模块，其中，

35、网络监控模块，用于捕获物联网入侵流量数据并获得目标网络流，以及将所述目标网络流传递给所述流量处理模块；

36、流量处理模块，用于对所述目标网络流进行特征提取得到流量参数并将所述流量参数传递给所述入侵检测模块；

37、入侵检测模块，用于将所述流量参数输入至目标检测模型进行检测以得到检测结果，所述检测结果包括流类别；

38、增量学习参数更新模块，用于通过所述增量学习参数更新算法对所述目标检测模型进行参数更新，所述增量学习参数更新算法通过如下训练获得：

39、将旧数据集的攻击指纹层用多个神经元的新子层进行扩展，以将所述目标检测模型的初始状态更新为第一状态；所述神经元的新子层的数量与新数据集中的新攻击类别数量相对应；

40、根据新类别数据附加新输出层到所述目标检测模型上以将所述第一状态更新为第二状态；

41、根据交叉蒸馏损失函数和梯度下降更新所述目标检测模型并将所述目标检测模型的新输出层和旧输出层进行合并；

42、将与预设特征匹配的旧类别数据从所述目标检测模型的内存中删除，并增加所述新类别数据以更新所述目标检测模型的内存；

43、利用第一损失函数对所述目标检测模型进行优化。

44、为了解决上述问题，本发明实施例还提供一种电子设备，所述电子设备包括：

45、至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上述所述的物联网入侵检测方法。

46、为了解决上述问题，本发明实施例还提供一种计算机可读存储介质，其存储计算机程序，所述计算机程序被处理器执行时实现如上述所述的物联网入侵检测方法。

47、本发明的实施例提供的技术方案可以包括以下有益效果：

48、本发明实施例中，通过捕获物联网入侵流量数据并获得目标网络流，然后进行特征提取得到流量参数，将流量参数输入至集成了增量学习参数更新算法的目标检测模型中，输出得到检测结果。在训练时，将旧数据集的攻击指纹层用多个神经元的新子层进行扩展以将目标检测模型的初始状态更新为第一状态，神经元的新子层的数量与新数据集中的新攻击类别数量相对应；根据新类别数据附加新输出层到目标检测模型上以将第一状态更新为第二状态，根据交叉蒸馏损失函数和梯度下降更新目标检测模型并将目标检测模型的新输出层和旧输出层进行合并，将与预设特征匹配的旧类别数据从目标检测模型的内存中删除并增加新类别数据以更新目标检测模型的内存，最后利用第一损失函数对目标检测模型进行优化。通过上述方法，目标检测模型的参数和内存中的样本均得到更新，使得该物联网入侵检测方法具有连续学习新流量和保留旧流量的原始检测精度的能力，确保其在检测遗留攻击和新攻击方面的性能，避免了再培训的开销，解决了传统的入侵检测模型无法实现在线更新，且在检测时需要完全访问所有的旧训练数据资源，难以适应数据量庞大且快速变化的物联网攻击环境的问题，能够对快速变化的物联网攻击环境提供高效的入侵检测，提高网络信息安全。

49、应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本发明。