基于注意力机制的物联网异常流量检测方法技术

本发明专利技术公开了一种基于注意力机制的物联网异常流量检测方法，主要包括：获取带有标签的训练数据集，对该训练集数据进行预处理后得到统一大小的灰度图像；构建基于注意力机制的物联网异常流量检测模型；利用预处理后得到统一大小的灰度图像训练物联网异常流量检测模型，得到该模型的最佳网络参数；实时获取物联网设备网络流量，并对流量数据进行预处理后得到统一大小的灰度图像；将得到的灰度图像输入到训练好的物联网异常流量检测模型中，该模型的输出即为检测结果。本发明专利技术结合深度可分离卷积和多通道注意力机制，使物联网异常流量检测模型在兼具高准确性的同时，更加轻量化，推理速度也更快。速度也更快。速度也更快。

【技术实现步骤摘要】
基于注意力机制的物联网异常流量检测方法


[0001]本专利技术涉及物联网(Internet of Things,IoT)安全领域，涉及一种网络异常流量检测方法，尤其涉及一种基于注意力机制的物联网异常流量检测方法。

技术介绍

[0002]物联网(Internet of Things，IoT)将传统互联网下人与人之间的连接扩展到人与物、物与物之间的连接，具有广泛的应用前景和强大的产业带动力，万物互联将成为移动通信的必然趋势。通常，物联网的体系结构可拆解为感知层、传输层、平台层与应用层。其中，感知层通过RFID、条形码、定位模组、传感器、智能控制器等组件随时随地采集物理世界的数据，而后通过传输层将数据传输至平台层，平台层对数据进行加工、计算等操作后将得到的结果输送至应用层，应用层可以对平台层传入的数据进行进一步的计算、处理和知识挖掘等操作，从而给不同行业提供智能服务，实现对现实物理世界的实时控制、准确管理和科学决策。
[0003]随着物联网的普及和发展，越来越多的设备连接到互联网，随之而来的网络安全问题也日益突出。其中，物联网异常流量检测问题变得尤为重要。在传统的异常流量检测方法中，需要人工提取流量特征，并且检测准确率不高。近年来，基于表征学习的物联网异常流量检测方法受到越来越多的关注，其优势是不需要人工提取流量特征，而是可以从原始的数据中自动学习流量的特征，并且检测精度高。卷积神经网络(CNN)
[1,2]是目前最受欢迎的表征学习方法，原因在于它的深层架构可以学习到丰富的图像特征。而基于CNN的异常流量检测模型通常过于复杂，需要占用较多的计算资源和内存资源。
[0004]随着边缘计算概念的提出，将物联网异常流量检测模型部署在边缘设备上逐渐成为一种趋势。然而，物联网边缘设备的计算资源十分有限，这就要求部署在边缘设备的异常流量检测模型在具备检测精度的同时，应尽可能少地占用设备的计算资源和内存资源。目前基于表征学习的物联网异常流量检测模型大多过于复杂、推理速度慢，不适合在资源受限的物联网环境下部署。
[0005][参考文献][0006][1]Kalchbrenner N,Grefenstette E,Blunsom P.A Convolutional Neural Network for Modelling Sentences[J].Eprint Arxiv,2014,1.
[0007][2]He K,Jian S.Convolutional neural networks at constrained time cost[C].In 2015 IEEE Conference on Computer Vision and Pattern Recognition(CVPR),2015.

技术实现思路

[0008]针对上述现有技术，本专利技术提供一种基于注意力机制的物联网异常流量检测方法，用于解决模型检测精度低、模型过于复杂以至于其无法部署在资源受限的边缘网关等设备的问题。本专利技术所述的方法在兼具检测准确率的同时，使模型尽可能轻量化以适合其
部署在资源受限的物联网边缘设备上。
[0009]为了解决上述技术问题，本专利技术提出的一种基于注意力机制的物联网异常流量检测方法，包括以下步骤：
[0010]步骤一、获取带有标签的训练数据集，对该训练集数据进行预处理后得到统一大小的灰度图像；
[0011]步骤二、构建基于注意力机制的物联网异常流量检测模型；
[0012]步骤三、利用预处理后得到统一大小的灰度图像训练物联网异常流量检测模型，得到该模型的最佳网络参数；
[0013]步骤四、实时获取物联网设备网络流量，并对流量数据进行预处理后得到统一大小的灰度图像；将得到的灰度图像输入到训练好的物联网异常流量检测模型中，该模型的输出即为检测结果。
[0014]进一步讲，本专利技术所述的物联网异常流量检测方法，其中，
[0015]步骤一中，获取训练数据集有两种方式之一，一种是公开的物联网数据集，另一种是利用物联网流量数据捕获模块采集物联网流量，然后进行人工标注，为数据集添加标签。
[0016]步骤一中，对训练集数据进行预处理后得到统一大小的灰度图像的过程如下；
[0017]1‑
1)流切分：将采集到的所有数据中具有相同五元组的物联网流量数据包切分为流，并存为格式为pcap的原始流量文件，其中，所述的五元组是指源IP地址、源端口、目的IP地址、目的端口和传输层协议；
[0018]1‑
2)匿名化处理：对所述原始流量文件进行匿名化处理得到匿名流量文件，去除数据包中存在的影响流量特征提取的数据信息；
[0019]1‑
3)统一长度：使用缩减或归零方法将匿名流量文件中的长度统一为m
×
m个字节，过程是：当匿名流量文件的长度大于m
×
m个字节的时候，则截取该匿名流量文件的前m
×
m个字节，当匿名流量文件的长度小于m
×
m个字节的时候，则在该匿名流量文件的末尾添加若干个0x00；
[0020]1‑
4)生成灰度图像：将统一长度后的流量文件进行归一化处理，将所有字节统一除以255以映射到[0,1]之间，并将归一化处理后的流量文件表示成m
×
m大小的灰度图像。
[0021]步骤1
‑
2)中，影响流量特征提取的数据信息包括源IP地址、目的IP地址地，源MAC地址和目的MAC地址。
[0022]步骤二构建的物联网异常流量检测模型的结构包括特征提取部分和特征分类部分；所述的特征提取部分具有三个阶段，第一阶段包括一个卷积神经网络和两个深度可分离的卷积编码器，第二阶段和第三阶段相同，包括一个下采样神经网络、一个深度可分离的卷积编码器和一个深度可分离的多通道注意力编码器；所述的特征分类部分包括一个平均池化层和一个全连接层，所述全连接层后连接有Softmax；
[0023]所述的深度可分离的卷积编码器的结构是包括一个深度卷积神经网络、两个点卷积神经网络和一个跳跃连接：所述深度卷积神经网络的核的大小为3
×
3，经过该深度卷积神经网络得到输入的局部特征；两个点卷积神经网络用来丰富上述局部特征，在点卷积神经网络之后连接有标准归一化层和高斯误差线性单元，用以非线性的特征映射；所述的跳跃连接使得信息在网络层次中流动；所述的深度可分离的卷积编码器的表达如下所示：
[0024]x
i+1
＝x
i
+Linear
G
(Linear(LN(D
w
(x
i
))))
ꢀꢀꢀꢀ
(1)
[0025]式(1)中，x
i
表示H
×
W
×
1的输入特征图，D
w
是k
×
k深度卷积，LN表示标准归一化操作，Linear表本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于注意力机制的物联网异常流量检测方法，其特征在于，包括以下步骤：步骤一、获取带有标签的训练数据集，对该训练集数据进行预处理后得到统一大小的灰度图像；步骤二、构建基于注意力机制的物联网异常流量检测模型；步骤三、利用预处理后得到统一大小的灰度图像训练物联网异常流量检测模型，得到该模型的最佳网络参数；步骤四、实时获取物联网设备网络流量，并对流量数据进行预处理后得到统一大小的灰度图像；将得到的灰度图像输入到训练好的物联网异常流量检测模型中，该模型的输出即为检测结果。2.根据权利要求1所述的物联网异常流量检测方法，其特征在于，步骤一中，获取训练数据集有两种方式之一，一种是公开的物联网数据集，另一种是利用物联网流量数据捕获模块采集物联网流量，然后进行人工标注，为数据集添加标签。3.根据权利要求2所述的物联网异常流量检测方法，其特征在于，步骤一中，对训练集数据进行预处理后得到统一大小的灰度图像的过程如下；1
‑
1)流切分：将采集到的所有数据中具有相同五元组的物联网流量数据包切分为流，并存为格式为pcap的原始流量文件，其中，所述的五元组是指源IP地址、源端口、目的IP地址、目的端口和传输层协议；1
‑
2)匿名化处理：对所述原始流量文件进行匿名化处理得到匿名流量文件，去除数据包中存在的影响流量特征提取的数据信息；1
‑
3)统一长度：使用缩减或归零方法将匿名流量文件中的长度统一为,
×
m个字节，过程是：当匿名流量文件的长度大于m
×
m个字节的时候，则截取该匿名流量文件的前m
×
m个字节，当匿名流量文件的长度小于m
×
m个字节的时候，则在该匿名流量文件的末尾添加若干个0x00；1
‑
4)生成灰度图像：将统一长度后的流量文件进行归一化处理，将所有字节统一除以255以映射到[0,1]之间，并将归一化处理后的流量文件表示成m
×
m大小的灰度图像。4.根据权利要求3所述的物联网异常流量检测方法，其特征在于，步骤1
‑
2)中，影响流量特征提取的数据信息包括源IP地址、目的IP地址地，源MAC地址和目的MAC地址。5.根据权利要求1所述的物联网异常流量检测方法，其特征在于，步骤二构建的物联网异常流量检测模型的结构包括特征提取部分和特征分类部分；其中，所述的特征提取部分具有三个阶段，第一阶段包括一个卷积神经网络和两个深度可分离的卷积编码器，第二阶段和第三阶段相同，包括一个下采样神经网络、一个深度可分离的卷积编码器和一个深度可分离的多通道注意力编码器；所述的特征分类部分包括一个平均池化层和一个全连接层，所述全连接层后连接有Softmax；2
‑
1)所述的深度可分离的卷积编码器的结构及表达：所述的深度可分离的卷积编码器包括一个深度卷积神经网络、两个点卷积神经网络和一个跳跃连接：所述深度卷积神经网络的核的大小为3
×
3，经过该深度卷积神经网络得到输入的局部特征；两个点卷积神经网络用来丰富上述局部特征，在点卷积神经网络之后连接有标准归一化层和高斯误差线性单元，用以非线性的特征映射；所述的跳跃连接使得信
息在网络层次中流动；所述的深度可分离的卷积编码器的表达如下所示：x
i+1
＝x
i
+Linear
G
(Linear(LN(D
w
(x
i
))))
ꢀꢀꢀꢀꢀꢀ
(1)式(1)中，x
i
表示H
×...

【专利技术属性】
技术研发人员：何礼，石高涛，
申请(专利权)人：天津大学，
类型：发明
国别省市：