【技术实现步骤摘要】
本专利技术属于物联网领域,具体涉及一种针对iot入侵检测系统的成本敏感流量特征选择方法及系统。
技术介绍
1、物联网技术在城市环境、住宅环境、汽车行业等领域有着广泛的应用。物联网设备的数量预计将在后续几年超过250亿。物联网设备的即插即用特性和默认初始密码构成了重大的安全风险。此外,物联网设备有限的计算资源和存储空间使防御措施变得困难,加剧了其脆弱性。物联网设备极易受到僵尸网络等恶意软件的攻击。僵尸网络是由受感染的节点组成,这些节点可以发动ddos攻击,传播垃圾邮件,窃取私人信息,造成经济损失。
2、为了提高物联网设备的安全性,网络入侵检测系统(nids)对基于网络行为的恶意软件检测起着至关重要的作用。机器学习和基于深度学习的nids由于能够检测具有相似行为模式的未知恶意流量而获得了极大的关注,但它们在物联网场景中遇到了重大挑战。由于低功耗和资源限制,物联网设备难以执行密集型安全任务。因此,在雾层(网络边缘)部署nids是降低硬件成本的有效方法。然而,物联网网络中的nids往往面临着对能效的高要求,而传统的基于ml的ids往往缺乏准确性,且不节能。ids的计算成本高,会大大增加物联网网关的负担,从而增加网络拥塞。
3、现有研究方法侧重于减少冗余特征,通过筛选出对识别能力具有提出贡献的特征,删减其余特征。但现有方法没有考虑不同特征之间计算成本的差异。计算一个复杂的特征可能比计算一个简单的特征花费几十倍甚至数百倍的时间。因此,仅仅通过减少特征的数量来降低计算成本是不够严格的。为增强iot网络的安全性,需要一种
技术实现思路
1、本专利技术的目的是提出一种针对iot入侵检测系统的成本敏感流量特征选择方法及系统,旨在解决现有流量特征筛选技术无法有效权衡计算成本与识别效果,导致在恶意流量识别上识别效率低下、计算成本高的问题。
2、本专利技术实现其目的所采用的技术方案是:
3、一种针对iot入侵检测系统的成本敏感流量特征选择方法,包括以下步骤:
4、s1:获取特征构建源码和不同场景的pcap文件,从中提取各场景的流特征;
5、s2:获取流特征提取时的特征计算时间,并根据各场景的流传输频率计算场景权重,利用场景权重对特征计算时间加权平均,得到特征计算损失;
6、s3:基于正交稀疏向量算法对提取的流特征构成的特征空间进行粒子初始化,每个粒子代表一个特征子集,并通过粒子初始化为粒子赋予初始位置和速度;
7、s4:基于粒子的初始位置和速度,采用粒子群优化算法中随机更新粒子的位置和速度,生成临时特征子集;
8、s5:通过随机森林分类器训练并测试临时特征子集,记录f1分数;
9、s6:根据特征计算损失和f1分数计算特征子集的综合评分;
10、s7:如果当前特征子集的综合评分超过历史最优值,则将当前特征子集更新为当前全局最优特征子集。
11、进一步地,步骤s1中获取6个场景的pcap文件,该6个场景包括扫描流量、dos流量、c&c流量、iot良性流量、pc端流量和移动端流量。
12、进一步地,步骤s2中根据各场景的流传输频率计算权重的式子为:
13、
14、其中,weighti为场景权重,为场景pcap文件i的流总数,durationi为场景pcap文件i的总持续时间,log底数取e。
15、进一步地,步骤s2中计算特征计算损失的式子为:
16、
17、其中,fclj为特征计算损失,normalize为归一化函数,weighti为场景权重,costj为特征计算时间。
18、进一步地,步骤s3中基于正交稀疏向量算法对提取的流特征构成的特征空间进行粒子初始化的步骤包括:
19、将所有粒子分为不同的组,每组独立初始化,确定粒子初始位置;
20、在每组中,每个粒子使用与其他粒子速度正交的稀疏向量作为初始速度;
21、通过控制稀疏度来决定每个粒子的初始速度维度数,并根据稀疏度计算粒子总数。
22、进一步地,步骤s4中采用粒子群优化算法中随机更新粒子的速度的式子为:
23、
24、
25、其中,speedp为粒子p的速度,w为惯性因子,c1为自我认知学习因子,c2为社会认知学习因子,vectorrandom为随机向量,为粒子目前为止的最佳坐标,为粒子的当前坐标,为目前为止的全局最佳坐标。
26、进一步地,步骤s5中随机森林分类器是对临时特征子集在medbiot、bot-iot、ciciot dataset2023和iot-23数据集上进行训练和测试。
27、进一步地,步骤s6中采用多维适应度函数,根据特征计算损失和f1分数计算适应度,将该适应度作为特征子集的综合评分。
28、进一步地,步骤s6中采用多维适应度函数计算适应度的步骤包括:
29、根据f1分数计算识别分数:
30、sd=scale(f1,4)
31、根据特征计算损失计算计算损失分数:
32、
33、根据特征计算损失计算特征数量分数:
34、
35、根据识别分数、计算损失分数和特征数量分数的加权求和,得到适应度:
36、recofitness=w1·sd+w2·sc+w3·sn
37、其中,recofitness为适应度,sd为识别分数,sc为计算损失分数,sn为特征数量分数,w1,w2,w3为权重系数,fclselected为当前特征子集的特征计算损失,fcltotal为总体特征计算损失,scale为缩放数值函数。
38、一种针对iot入侵检测系统的成本敏感流量特征选择系统,包括:
39、数据获取模块,用于获取特征构建源码和不同场景的pcap文件,从中提取各场景的流特征;
40、特征计算损失评估器,用于获取流特征提取时的特征计算时间,并根据各场景的流传输频率计算场景权重,利用场景权重对特征计算时间加权平均,得到特征计算损失;
41、特征选择模块,用于基于正交稀疏向量算法对提取的流特征构成的特征空间进行粒子初始化,每个粒子代表一个特征子集,并通过粒子初始化为粒子赋予初始位置和速度;基于粒子的初始位置和速度,采用粒子群优化算法中随机更新粒子的位置和速度,生成临时特征子集;通过随机森林分类器训练并测试临时特征子集,记录f1分数;根据特征计算损失和f1分数计算特征子集的综合评分;如果当前特征子集的综合评分超过历史最优值,则将当前特征子集更新为当前全局最优特征子集。
42、与现有技术相比,本专利技术的有益效果是:
43、1.本专利技术采用计算成本评估模型,本文档来自技高网...
【技术保护点】
1.一种针对loT入侵检测系统的成本敏感流量特征选择方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤S1中获取6个场景的PCAP文件,该6个场景包括扫描流量、DoS流量、C&C流量、loT良性流量、PC端流量和移动端流量。
3.如权利要求1所述的方法,其特征在于,步骤S2中根据各场景的流传输频率计算权重的式子为:
4.如权利要求3所述的方法,其特征在于,步骤S2中计算特征计算损失的式子为:
5.如权利要求1所述的方法,其特征在于,步骤S3中基于正交稀疏向量算法对提取的流特征构成的特征空间进行粒子初始化的步骤包括:
6.如权利要求1所述的方法,其特征在于,步骤S4中采用粒子群优化算法中随机更新粒子的速度的式子为:
7.如权利要求1所述的方法,其特征在于,步骤S5中随机森林分类器是对临时特征子集在MedbIoT、Bot-IoT、CICIoT Dataset2023和IoT-23数据集上进行训练和测试。
8.如权利要求1所述的方法,其特征在于,步骤S6中采用多维适应
9.如权利要求l所述的方法,其特征在于,步骤S6中采用多维适应度函数计算适应度的步骤包括:
10.一种针对IoT入侵检测系统的成本敏感流量特征选择系统,实现权利要求1-9任一项所述的方法,其特征在于,包括:
...【技术特征摘要】
1.一种针对lot入侵检测系统的成本敏感流量特征选择方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤s1中获取6个场景的pcap文件,该6个场景包括扫描流量、dos流量、c&c流量、lot良性流量、pc端流量和移动端流量。
3.如权利要求1所述的方法,其特征在于,步骤s2中根据各场景的流传输频率计算权重的式子为:
4.如权利要求3所述的方法,其特征在于,步骤s2中计算特征计算损失的式子为:
5.如权利要求1所述的方法,其特征在于,步骤s3中基于正交稀疏向量算法对提取的流特征构成的特征空间进行粒子初始化的步骤包括:
6.如权利要求1所述的方法,其特征在...
【专利技术属性】
技术研发人员:夏葳,熊刚,李镇,陈子骞,肖俊超,梁睿琪,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。